信息-贵州省烟草科学研究院科研信息安全服务外包招标

该信息在十环招标网档案：
所在栏目：2018招标
十环招标网信息编号:215411
十环招标网转载自： 发布关于：信息-贵州省烟草科学研究院科研信息安全服务外包招标的信息
来源：
2018招标信息阅读方式:免费

信息-贵州省烟草科学研究院科研信息安全服务外包招标

招标人：贵州省烟草科学研究院
资金来源： 其它
1. 招标条件
本招标项目贵州省烟草科学研究院科研信息安全服务外包招标人为贵州省烟草科学研究院，采购资金自筹，项目出资比例为100%自筹。项目已具备招标条件，现对该项目采用资格后审方式进行公开招标。
2. 项目概况与招标范围
2.1项目名称：贵州省烟草科学研究院科研信息安全服务外包；
2.2项目内容：
（1）安全监控服务
7*24小时对web系统的内容安全和脆弱性以及应用程序漏洞等问题进行监测，并提供详细的监测报告展示和图形化安全状态显示。
服务商本地具有网络安全监测预警平台，通过远程使用实现周期性7x24小时全自动化监测，可对甲方外网网站系统的内容安全（如敏感关键字、挂马等）和脆弱性（如SQL注入、跨站脚本、后门）以及应用程序漏洞等问题进行监测，并提供详细的监测报告展示和图形化安全状态显示。在安全监控服务中，将完成以下工作：
l 实时监控外网门户网站系统的运行状态。发现问题，通过界面报警、手机短信、电子邮件等方式及时通知处理解决；
l 实时监控门户网站系统的安全系统。发现严重安全问题，通过界面报警、手机短信、电子邮件等方式及时通知处理解决；
l 对各种安全事件进行综合分析，根据安全风险和安全问题情况有针对性地采取措施解决问题，降低风险；
l 通过平台自动获取评估对象的脆弱性信息，包括主机扫描、网络扫描、数据库扫描等，用于分析系统、应用、网络设备存在的常见漏洞，并结合资产信息和安全事件对这些漏洞信息进行综合分析，提供详细的情况报告和处理办法；
l 通过分析各类安全设备产生的安全事件或日志信息，获取网络中存在的各类病毒、蠕虫、非法访问、攻击事件，并进行及时的处理；
l 每月提供网站安全监测报告
（2）安全巡检
每季度对信息系统进行安全巡检服务，对操作系统、数据库、中间件、网络设备开展安全配置基线检查、漏洞扫描、策略检查服务、弱口令检查及日志分析工作，并根据巡检结果输出报告。主要完成以下工作：
A、漏洞扫描
主要是通过评估工具以本地扫描的方式对安全检查范围内的服务器、网络设备和终端进行安全扫描，从网络内部和外部两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。
安全扫描项目包括但不限于如下内容：
l 信息探测类
l 网络设备与防火墙
l RPC服务
l Web服务
l CGI问题
l 文件服务
l 域名服务
l Windows远程访问
l 数据库问题
l 后门程序
l 勒索病毒
l 其他服务
l 其他问题
从网络层次的角度来看，扫描项目涉及了如下三个层面的安全问题。
1）系统层安全：该层的安全问题来自网络运行的操作系统，安全性问题表现在两方面：一是操作系统本身的不安全因素，主要包括身份认正、访问控制、系统漏洞等；二是操作系统的安全配置存在问题。
l 身份认正：系统口令猜测，……
l 访问控制：注册表 HKEY_LOCAL_MACHINE 普通用户可写，远程主机允许匿名FTP登录，ftp服务器存在匿名可写目录，……
l 系统漏洞：Linux/Unix系统Login远程缓冲区溢出漏洞，Microsoft Windows Locator服务远程缓冲区溢出漏洞，……
l 安全配置问题：部分SMB用户存在薄弱口令，试图使用rsh登录进入远程系统，……
l Bash shell漏洞等
l ……
2）网络层安全：该层的安全问题主要指网络信息的安全性，包括网络层身份认正，网络资源的访问控制，数据传输的保密与完整性、远程接入、域名系统、路由系统的安全，入侵检测的手段等。
l 网络资源的访问控制：检测到无线访问点，……
l 路由器：路由器配置接口安全认正可被绕过，交换机/路由器缺省口令漏洞……
l ……
3）应用层安全：该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性，包括：数据库软件、Web服务、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。
l 数据库软件：没有设置口令，Oracle服务多个安全漏洞，……
l Web服务器：Apache漏洞，IIS漏洞，Linux/Unix漏洞，……
l 防火墙及应用网管系统：防火墙拒绝服务漏洞，……
l 其它网络服务系统： 邮件系统漏洞，FTP、OpenSSH漏洞，……
l ……
为了确保扫描的可靠性和安全性，服务商将根据信息系统评估应用情况，与甲方相关管理人员一起确定扫描计划。计划主要包括扫描开始时间、扫描对象、预计结束时间、扫描项目、预期影响、需要对方提供的支持等等。
B、基线安全检查
服务商需对配置进行安全核查工作，对操作系统、数据库、中间件、网络设备及终端开展安全配置基线检查服务，并根据核查结果输出报告。
安全基线核查项内容及项数如下：
Windows主机安全基线核查项包括：检查是否按用户分配账号责任到人、检查是否删除或锁定无关账号、检查特殊帐号管理要求-更改缺省帐户名称、检查口令策略设置是否符合复杂度要求、检查口令生存周期要求等42项内容。
LINUX主机安全基线核查项包括：检查是否按用户分配账号责任到人、检查是否删除或锁定无关账号、检查是否限制root远程登录、检查是否按角色进行帐号管理等44项内容。
SUSE主机安全基线核查项包括：检查是否按用户分配账号责任到人、检查是否删除或锁定无关账号、检查是否限制root远程登录、检查是否按角色进行帐号管理等24项内容。
华为路由交换安全基线核查项包括：检查是否清除无关的账号、检查口令加密存放、检查是否配置过滤已知攻击、检查是否配置防地址欺骗攻击、检查是否开启路由协议认正、检查是否配置防止非法路由注入等29项内容。
H3C路由交换安全基线核查项包括：检查是否清除无关的账号、检查口令加密存放、检查是否配置过滤已知攻击、检查是否配置防地址欺骗攻击、检查是否开启路由协议认正、检查是否配置防止非法路由注入等26项内容。
ORACLE数据库安全基线核查项包括：检查是否按照用户分配帐号、检查是否删除数据库无关帐号、检查是否配置用户最小权限、检查是否使用数据库角色（ROLE）来管理对象的权限、检查帐号密码是否符合复杂度要求、检查是否配置帐户登录日志等25项内容。
IIS6安全基线核查项包括：检查是否配置防止日志文件被篡改或非法删除、检查是否配置日志功能、检查是否配置账户口令的生存期、检查日志权限配置等16项内容。
IIS7安全基线核查项包括：检查是否配置防止日志文件被篡改或非法删除、检查是否配置日志功能、检查是否配置账户口令的生存期、检查日志权限配置等18项内容。
Tomcat安全基线核查项包括：检查是否按照用户分配账号、检查是否删除或锁定与设备运行、维护等工作无关的账号、检查静态口令认正技术等10项内容。
Apache安全基线核查项包括：检查是否专门的用户帐号和组运行Apache、检查是否配备apache日志功能、检查是否禁止Apache访问Web目录之外的任何文件等10项内容。
C、弱口令检查
弱口令核查主要采取在线暴力破解和离线破解破解两种方式，对甲方信息系统中的服务器、网络设备、安全设备及终端设备进行弱口令核查。在线暴力破解是对正在运行的目标使用弱口令字典逐一进行测试，确认是否存在弱口令账号；离线破解破解是系统中的账号密码文件进行离线猜测破解。
弱口令核查提供自动核查和手动检查两种方式服务，弱口令核查包括服务器主机操作系统、网络设备、安全设备、数据库、应用中间件以及应用程序等，涉及：FTP、HTTP、IMAP、MSSQL、MYSQL、PGSQL、POP3、SIP、SIP-TCP、SMB、SMTP、SNMP、SSH2、TELNET、VNC、WEB FORM等协议的弱口令核查。
D、日志分析
针对重要服务器、网络设备进行日志分析与问题分析、开放服务检查、系统自身漏洞检查、漏洞补丁更新等，及时发现可能被入侵的痕迹。
（3）安全加固
每季度结合甲方信息系统的安全现状，编制相应的加固方案及实施报告，对信息系统安全基线、安全策略及系统漏洞进行安全加固。
系统安全是信息安全中的基础组成部分，关键数据和信息直接由系统平台提供。计算环境中不断增长的系统平台面临各种安全威胁，包括数据窃取、数据篡改、非授权访问等。这时就需要专业的安全服务，以保障运行和存贮在这些系统平台上数据的机密性、完整性和可用性。
系统安全加固是指通过一定的技术手段，提高操作系统或网络设备安全性和抗攻击能力，通常这些技术手段，只能为实施这项技术的这一台主机服务。常见的安全加固服务手段有：
l 基本安全配置检测和优化
l 密码系统安全检测和增强
l 帐号、口令策略调整
l 系统后门检测
l 提供访问控制策略和工具
l 增强远程维护的安全性
l 文件系统完整性审计
l 增强的系统日志分析
l 系统升级与补丁安装
l 网络与服务加固
l 文件系统权限增强
l 内核安全参数调整
乙方针对甲方业务系统进行安全配置策略优化，提升甲方信息系统抗攻击能力。在对系统作相应的安全配置后，结合定期的安全评估和维护服务就使得系统保持在一个较高的安全线之上。
（4）渗透测试
针对信息系统进行渗透测试服务，模拟黑客入侵，深度挖掘各系统所隐藏的漏洞问题，并提供安全整改报告，协助安全整改与复查。
服务厂家需在每季度完成渗透测试服务，需涵盖重要应用系统、WEB站点，渗透时间可由双方协助确定。
渗透测试，也叫白客攻击测试，它是一种从攻击者的角度来对主机系统的安全程度进行安全评估的手段，在对现有信息系统不造成任何损害的前提下，模拟入侵者对指定系统进行攻击测试。渗透测试通常能以非常明显，直观的结果来反映出系统的安全现状。该手段也越来越受到国际/国内信息安全业界的认可和重视。为了解本项目主机系统的安全现状，在许可和控制的范围内，将对主机系统进行渗透测试。渗透测试将作为安全评估的一个重要组成部分。
测试范围
渗透测试的范围限制于经过乙方以书面形式进行授权的主机，使用的手段也须经过甲方的书面同意。乙方承诺不会对授权范围之外的主机及网络设备进行测试和模拟攻击。
本项测试内容以抽样测试的方式进行，在实施中会与乙方具体协商。
注：所有白客攻击测试将在乙方的授权和监督下进行。
乙方职责：指定需要进行测试的设备，安排测试时间。
渗透测试流程
乙方委托是甲方进行渗透测试的必要条件。甲方将尽最大努力做到使乙方对渗透测试所有细节和风险的知晓、所有过程都在乙方的控制下进行。信息收集分析几乎是所有入侵攻击的基础。“知己知彼，百战不殆”，信息收集分析就是完成的这个任务。通过信息收集分析，攻击者（测试者）可以相应地、有针对性地制定入侵攻击的计划，提高入侵的成功率、减小暴露或被发现的几率。
信息收集的方法包括主机网络扫描、端口扫描、操作类型判别、应用判别、账号扫描、配置判别等等。入侵攻击常用的工具包括nmap、nessus、Internet Scanner等，有时，操作系统中内置的许多工具（例如telnet）也可以成为非常有效的攻击入侵武器。
通过收集信息和分析，存在两种可能性，其一是目标系统存在重大弱点：测试者可以直接控制目标系统，这时测试者可以直接调查目标系统中的弱点分布、原因，形成最终的测试报告；其二是目标系统没有远程重大弱点，但是可以获得远程普通权限，这时测试者可以通过该普通权限进一步收集目标系统信息。接下来，尽最大努力获取本地权限，收集本地资料信息，寻求本地权限升级的机会。这些不停的信息收集分析、权限升级的结果构成了整个渗透测试过程的输出。
渗透测试结果输出
渗透测试的结果将以报告（《白客渗透测试报告》）的形式提交，渗透测试也将作为综合安全评估的一个重要数据来源。
系统备份与恢复措施
为防止在渗透测试过程中出现的异常的情况，所有被评估系统均应在被评估之前作一次完整的系统备份或者关闭正在进行的操作，以便在系统发生灾难后及时恢复。
l 操作系统类：制作系统应急盘，对系统信息，注册表，sam文件，/etc中的配置文件以及其他含有重要系统配置信息和用户信息的目录和文件进行备份，并应该确保备份的自身安全。
l 数据库系统类：对数据库系统进行数据转储，并妥善保护好备份数据。同时对数据库系统的配置信息和用户信息进行备份。
l 网络应用系统类：对网络应用服务系统及其配置、用户信息、数据库等进行备份。
l 网络设备类：对网络设备的配置文件进行备份。
l 桌面系统类：备份用户信息，用户文档，电子邮件等信息资料。
风险与应对措施
渗透测试过程的最大的风险在于测试过程中对业务产生影响，乙方在本项目必须采取以下措施来减小风险：
l 在渗透测试中不使用含有拒绝服务的测试策略。
l 渗透测试时间尽量安排在业务量不大的时段或者晚上。
l 在渗透测试过程中如果出现被评估系统没有响应的情况，应当立即停止测试工作，与乙方一起分析情况，在确定原因后，并待正确恢复系统，采取必要的预防措施（比如调整测试策略等）之后，才可以继续进行。
甲方安全测试工程师会与乙方保持良好沟通。随时协商解决出现的各种难题。
（5）应急响应
对重要信息安全应急事件进行应急响应，工作内容包括事故处理及恢复、事后的事故描述报告以及后续的安全状况跟踪；提供技术咨询、远程技术支持、现场支持等服务。
乙方向甲方提供必要的资源来抵抗攻击，进行安全修复，并减少未来安全漏洞产生的可能性。安全响应服务提供了快捷的服务支持和7×24的紧急响应服务，保正网络安全无忧，预防危险发生。
紧急响应服务种类包括以下几个方面。
A、入侵调查
当入侵事件正在发生或已经发生，乙方协助甲方进行事件调查、保存正据、查找后门、追查来源等，同时提供事件处理报告以及后续的安全状况跟踪。
B、主机、网络异常响应
当主机或者网络异常事件正在发生或已经发生，乙方协助甲方进行事件调查、保存正据、查找问题的原因、追查来源等，同时提供事件处理报告以及后续的安全状况跟踪。
C、其他紧急事件
只有出现了上述严重影响网络、主机正常运行的安全事件才启用紧急响应服务，其他日常安全事件均属于安全咨询及日常安全事件处理服务范围。
安全应急响应服务也可以帮助甲方预防未来的攻击，高效地进行攻击发生时和事后的调查及收取攻击正据等工作，为起诉罪犯提供法律依据。
作为一个规范的网络安全服务商，乙方必须一整套紧急响应机制，同时也具备处理各种紧急事件经验的工程师。乙方须提供如下安全应急服务，具体请参见下表：
服务等级
服务内容
适用对象
一级
基本的反应策略与流程
5×8小时事件响应、处理及恢复服务
电话、传真、email技术支持
4小时内现场技术支持
事故处理报告
日常运营期间，不影响用户业务的普通安全事件处理
二级
完整的反应策略与流程
7×24小时事件响应、处理及恢复服务
电话、传真、email技术支持
4小时内现场技术支持
事故处理报告
节假日期间，较为严重的安全事件
三级
完整的反应策略与流程
7×24小时事件响应、应急响应、处理及恢复服务
电话、传真、email技术支持
2小时内现场技术支持
安全专家现场守候服务
事故处理报告
安全突发事故反应预演
两周内跟踪服务
重大事件、节日期间，用户业务重要性、时效性很强，发生严重影响用户业务开展、需要立即解决的的网络突发事故
服务商应急响应服务提供高效的信息安全事故反应体系以帮助甲方尽快对突发的信息安全破坏事故作出响应。在安全事件发生后，根据甲方的需求以电话->远程支持->现场支持的方式提供服务，包括事故处理及恢复、事后的事故描述报告以及后续的安全状况跟踪。
遇到安全事件的发生，一般应该及时采取汇报机制。参考要求如下：
l 任何系统用户发现系统运行可疑现象后，立即报告本部门安全信息管理员；
l 安全信息管理员应尽可能采取相应措施保护现场，并在1小时内向应急响应小组进行报告，同时报本部门安全主管领导，召集安全应急服务厂商；
l 应急响应小组和安全服务厂商应在2小时内确定现象的性质，并采取措施，收集现场数据，避免严重安全后果的发生，同时，对于安全事故，要上报信息安全领导小组；
l 安全保密领导小组根据事故的性质，向相应的主管部门进行报告。
汇报完毕，将事故定性之后，接到上级指示，对于被破坏的系统和数据，采取可行的措施进行恢复，使之重新正常运行。安全紧急响应服务内容如下：
l 服务确认
l 临时支持账号
l 远程紧急响应
l 本地紧急响应
l 响应情况简报
l 紧急响应服务报告
l 事故跟踪分析报告
对于每一个安全事件的处理，可以安全事故应急响应处理流程，具体流程包括：
①、记录系统安全事件，记录事件的每一环节，包括事件的时间、地点。要打印拷贝、记录拷贝时间、记录对话内容，并尽可能采用自动化的记录方法。
②、系统安全事件核实与判断
(1) 核实系统安全事件真实性
(2) 判断系统安全事件类型和范围
(3) 判断系统安全事件危害性
(4) 确定事件的威胁级别
③、系统安全事件现场处理方案选择
(1) 克制态度
(2) 紧急消除
(3) 紧急恢复
(4) 切换
(5) 监视
(6) 跟踪
(7) 查正辅助代码开发
(8) 报警
(9) 权力机关的反击
④、系统安全事件处理服务和过程，系统安全事件处理过程本身需要工具，需要专门处理安全事件的服务和过程。这些过程包括：拷贝过程、监视过程、跟踪过程、报警过程、通报过程、对话过程、消除过程、恢复过程和其它过程等。
⑤、系统安全事件后处理，包括事件后消除、弥补系统脆弱性、分析原因、总结教训、完善安全策略、服务和过程。
（6）安全培训
对我院职工开展至少一次信息安全意识及安全技能培训，提升各岗位工作人员信息化工作生活的安全意识，提升信息技术部门的信息安全相关知识技能。
2.3服务地点：贵阳市观山湖区龙滩坝路29号；
2.4服 务 期：；一年
2.5质量标准：符合国家、省、市及相关行业合格标准；
3. 投标人资格要求
3.1、在中华人民共和国境内注册，具有独立法人资格；
3.2、公司具有良好的商业信誉和售后服务；
3.3、投标人应遵守有关的国家法律、法令和条例；
3.4、公司具有履行合同所必需的专业技术能力；
3.5、本次招标不接受联合体投标。
4. 招标文件的获取
4.1 凡有意参加投标者，请于2018年5月8日至2018年5月14日，每日上午9时00分至12时00分，下午14时00分至16时00分(北京时间)，持加盖公章的三正合一营业执照、法定代表人授权委托书、委托人及被授权人身份正复印件报名并购买招标文件。
4.2 招标文件售价500元，售后不退。
5. 投标文件的递交
5.1 投标文件递交的截止时间（投标截止时间 ）为2018年5月28日10时00分。
5.2 逾期送达的或者未送达指定地点的投标文件，招标人不予受理。
投标人请先电话联系获取《企业备案登记表》办理投标事宜。
联系人：苏 悦
电  话：183 3920 9323
邮  箱：18339209323@163.com