网络安全服务采购
截止日期:2019年09月23日 10时00分00秒
项目联系人:孙会娥
联系人电话:020-36063289
招标内容:
询价函
广东机场白云信息科技有限公司(以下简称“采购人”)现就以下项目的采购进行询价,邀请合格的供应商提交询价文件,有关事项如下:
一、询价项目说明
1. 采购编号:网站自动生成
2. 项目名称:网络安全服务采购
3. 项目位置:广州新白云机场
4. 限价说明:最高限价为人民币40万元
5. 询价内容:网络安全服务一年,技术要求详见附件。
6. 服务期限:一年。
7.询价函发出日期:2019年9月12日
递交报价文件截止日期:2019年 9月23日10:00
二、报价人资质要求
1.投标人须具有独立法人资格且在中华人民共和国境内注册,持有工商行政管理部门核发有效的法人营业执照,按国家法律经营,注册资本不低于500万元人民币;
2.报价人(包括其关联公司)2016年至今与采购人(包括其下属公司以及关联公司)无发生各种诉讼、仲裁、不良投诉以及违约行为的情况(须就上述内容提供承诺函并加盖投标人公章);
3.可提供增值税专用发票。
三、报价文件有效期
报价文件提交后 30天内。
四、报价文件内容(包含但不限于以下条目,必须分别加盖公章)
1. 报价函(报价须为含税价格,并标明税率,法人或法人授权代表签字和企业签章);
2. 企业营业执照副本复印件;
3. 法定代表人身份证明书,或报价文件签署授权委托书(如文件签署人为委托代理人);
4.上述报价人资质要求中需要提供的证明文件;
5.合作商登记表,所有的供应商需在广东省机场管理集团有限公司采购、招商管理网络平台(wz.gdairport.com)主页中“合作商注册”模块,按规定格式填写正确的供应商登记信息,登记为合格的候选供应商(已注册的除外),登陆系统打印的合作商登记表。
五、报价文件的递交
1. 报价文件的密封与标记
1.1询价文件密封袋(箱)应用封条在开口处密封,填写密封日期,封条上加盖供应商单位公章;
1.2询价文件密封袋(箱)正面应写明项目名称、采购人及报价人名称和地址、邮政编码并加盖公章;
1.3如果因密封不严,标记不清而造成询价文件过早启封、失密等情况,采购人概不负责。
2.报价文件的提交
报价文件应于规定的递交询价文件截止时间前送达或邮寄至采购人,采购人不接受以电报、电话、电传、传真方式的报价文件。
六、评审
本次评审采用综合评分法,评分按商务技术和价格两部分分别打分的方式进行。总分为100分,其中商务技术得分占30分,价格得分占70分。
评审步骤
(1)符合性审查
如果报价文件实质上没有响应询价文件的要求,其报价将被拒绝,报价人不得通过修正或撤消不合要求的偏离或保留从而使其报价成为实质上响应的报价。如有不符合下列情况之一的,其报价将被拒绝:
|
序号 |
报价文件要求 |
|
1 |
完全符合询价文件中“二、报价人资质要求”的要求 |
|
2 |
报价不超过最高限价。 |
|
3 |
报价文件有法定代表人或授权代表签字/签章,并加盖公章。 |
|
4 |
具有有效的法定代表人证明书或法人授权书。 |
|
5 |
提供合作商登记表,并加盖公章。 |
|
6 |
须提供实施方案。 |
(2)商务、技术评审
A、评审人员对报价文件的服务方案、商务响应等情况进行评分。
商务、技术评分将考虑下列因素:
商务、技术评分表(30分)
|
分类 |
评审内容 |
评审范围 |
分值 |
|
商务部分 |
投标人实力 |
具备国家互联网应急中心网络安全应急服务支撑单位证书(CNCERT);具备国家信息安全漏洞库(CNNVD)技术支撑单位证书,具备国家信息安全漏洞共享平台(CNVD)技术组资质,具备中国网络安全审查技术与认证中心颁发的信息系统安全运维服务资质,具备中国网络安全审查技术与认证中心颁发的信息安全应急处理服务资质;全部满足得3分,1项不满足扣1分,扣完为止 |
3分 |
|
平台能力 |
众测平台白帽专家不少于50000名,不少于2000家企业入驻众测平台,需提供截图证明,视平台能力情况得0~2分。 |
2分 |
|
|
成功案例 |
有大型企业的安全渗透服务经验,提供相关合同证明材料。视提供案例的数量得0-2分,每提供1个得0.2分 |
2分 |
|
|
技术部分 |
项目整体需求一解程度 |
根据各投标人提供的项目整体需求理解程度进行横向比较: 深刻理解项目内容和项目业务需求,得3分; 基本理解项目内容和项目需求,得1分; 能理解项目内容和项目需求但有所偏离,不得分; |
3分 |
|
服务能力 |
根据投标人提供的应急和重保服务便捷程度、方案实用性、服务及技术支持保障能力等进行横向比较: 服务机构设置完善,服务组织管理严密,服务操作流程全面、具体,工作、人员、设备及时间安排科学,服务便利性可保障售后服务质量高,得4分; 服务机构设置较完善,服务组织管理较严密,服务操作流程较全面、较具体,工作、人员、设备及时间安排较合理,服务便利性可保障售后服务质量较高,得2分; 有服务机构设置和服务组织管理计划,服务操作流程基本完整,工作、人员、设备及时间安排不够合理,但对售后服务质量的保障不足,得1分; 其他情况或不提供,得0分。 |
4分 |
|
|
在渗透测试期间,企业可登录后台进行管理,包含项目管理、漏洞管理、情报管理、费用中心等功能。支持企业通过后台查看漏洞状态,对漏洞进行检索和审核。视功能满足情况的0~3分 |
3分 |
||
|
2年内向中国国家信息安全漏洞库提交过安全漏洞,且拥有《中国国家信息安全漏洞库技术支撑单位》二级及以上资质,提交安全漏洞大于20000个得3分,提交安全漏洞大于10000万的2分,提交大于100个得1分,其余不得分。 |
3分 |
||
|
技术实力 |
提供的安全监测与分析平台应采用大数据架构,应用了Spark、kafka、Elasticsearch等大数据组件,支持实时的威胁分析和检测,视所采用大数据技术的成熟度和应用情况以及实时检测的能力得0~2分。(需提供截图证明) |
10分 |
|
|
系统架构应该具有全流量存储的能力,支持冷热数据分离,并支持针对热数据实时分析,针对冷数据支持实时查询、图表统计分析和下载。通过数据仓库对数据进行长时间存储,满足合规性要求。视采用技术成熟度情况得0~2分。(提供产品实际测试结果截图证明) |
|||
|
系统应采用机器学习等新型的安全分析手段以检测未知威胁,如支持常见的MySQL异常监测、WebShell异常监测,能够对最新的隐蔽隧道攻击和算法生成域名进行监测,视系统机器学习算法的应用情况得0~2分。(提供产品实际测试结果截图证明) |
|||
|
系统支持对资产进行管理,支持通过目标资产的历史数据(如基础的IP地址、开放端口以内外的访问关系,访问账号等)构建档案模型。主动以档案信息为依据,对目标资产的异常情况进行实时监测。同时也支持多种资产主动检测引擎进行资产信息主动补全。视系统机器学习算法的应用情况得0~2分。(提供产品实际测试结果截图证明) |
|||
|
为安全监测与分析平台提供硬件设备永久使用权的可得2分,提供5年使用权的得1分,五年以下的得0分。 |
每个通过符合性审查的报价人的技术商务综合得分为所有评委对该报价人评分的算术平均值。
(3)价格评审
A.供应商不得以低于成本价报价。如果评委发现供应商的报价(总价或各分项报价)明显低于合理报价,且报价文件并未对此进行详细分析,评审委员会可将其定为无效报价。
B.价格评分:投标限价与所有合格报价人投标价的综合平均价为基准价
a) 当报价等于基准价时,价格得分为70分;
b) 当报价高于基准价时,每高于基准价一个百分点(小数点后四舍五入),扣1分,扣完为止 ;
c)当报价低于基准价时,每低于基准价一个百分点(小数点后四舍五入),扣0.5分,扣完为止 。
综合得分= 商务技术得分+价格得分
保留小数点后2位,小数点后第三位四舍五入。
2.采购人将统一对所有报价同时进行拆封并评选,采购人对本次询价及相关文件资料拥有最终解释权。
3.如参与报价单位少于3家,采购人有权对相关条款进行修改和调整,并重新发布询价公告。
七、付款
按季支付。
八、以上所有项目均为不可偏离项目,如有偏离将导致供应商提交的报价文件作废。
九、询价结果发布
采购人在结果公示完毕后7个工作日内将成交通知书发给成交供应商,原件及扫描件均有效。
十、联系方式
单位名称:广东机场白云信息科技有限公司
地 址:广州白云机场东南工作区横二路A4综合北楼106室
联 系 人:孙会娥
联系电话:020-36063289
广东机场白云信息科技有限公司
网络安全技术服务项目技术要求
2019年8月
目录
一、 项目概述 3
1.1项目建设背景 3
1.2项目必要性分析 3
二、 服务方案 5
2.1安全漏洞扫描和系统人工渗透 5
2.2应急响应服务 12
2.3安全技术服务 15
2.4重保期间安全保障 16
三、 实施计划 17
四、 投资预算 18
五、 方案效果 20
六、 项目风险与管理 21
1. 技术风险 21
2. 实施过程风险 22
项目概述
1.1项目建设背景
网络是机场的重要资产,是白云机场多个二级单位信息系统运行的重要载体,运行维护中心从多个技术层面对信息安全风险进行了识别和控制,有效降低了信息系统的安全风险。但是,随着信息化技术的发展,国内外信息安全形势日趋严峻,面临的网络攻击,特别是近年来猖獗的勒索病毒攻击等安全事件屡有发生。如“1月19日生产收费系统病毒感染事件”,原因在数据捉取时未做好安全防护措施,导致服务器受病毒感染并中断业务。在安全事件发生后,信息公司缺乏安全事件原因发生的溯源定位能力,需安全厂商进场应急支援,同时发现安全监控系统的监测范围与未知威胁风险级别定位不足的安全隐患。
1.2项目必要性分析
目前,社会上因信息安全引起的安全事件,造成的社会影响尤其巨大,如今年两会期间,番禺某大学遭遇信息系统被入侵,系统出现反动言论;委内瑞拉因工控系统被入侵破坏,造成全国大面积停电;两起事件均造成极其恶劣的影响。在网络安全法颁布后,越来越多的政企和关键单位重视信息安全,均采用信息安全行业内广泛认可的安全服务解决方案,增强企业对信息安全的安全防护能力。如南方电网、广州地铁、南方航空等知名企业。
如何有效的识别信息系统的脆弱性,发现信息系统存在的安全隐患,如何加强防护手段,和在发生安全事件时是否有专业的技术人员进行处理,成为我司必须要解决的安全问题。
为了满足我司的信息安全需求,本次网络安全技术服务邀请安全厂商配合信息公司共同构建完善的持续性风险识别体系,为我司持续发现及控制新的安全威胁及风险。项目开展时,安全厂商将对网络内的信息系统进行安全风险检测,同时检查网络信息系统与互联网、生产网之间的安全防护能力。运维中心可针对信息系统可能面临的各类型安全威胁以及风险,在下一步工作计划中将对其进行重点防护和技改加固。在发生运维中心无法独立解决的安全事件时,让安全厂家及时进行现场响应,迅速溯源事件和定位问题所在,配合运维中心解决问题,减少安全事件造成的影响,从而提高网络信息系统安全水平。
服务方案
本次信息公司网络安全技术服务项目的主要服务内容如下:
2.1.1服务概述
安全漏洞扫描和渗透测试是通过模拟对网络的攻击行为来发现信息公司系统弱点、技术缺陷或者漏洞的安全评估方式。在服务过程中,安全厂商派遣安全人员到现场进行特定系统的渗透测试工作。
在本次检测过程中,安全厂商的安全服务团队以黑客的角度对信息公司所属的指定信息系统进行漏洞挖掘,在渗透测试前,安全厂商安全工程师在第一时间确认,与信息公司技术人员进行现场技术交流,确认目标测试范围、测试方法和测试时间,并提供专业的安全测试方案,签署相关授权后按照上述服务内容不能中的要求进行全面评估测试,最终输出安全评估报告及各系统针对性安全解决方案或加固建议提交信息公司,并对评审通过的解决方案实施结果进行复查。安全厂商承诺渗透测试过程中发现并经过验证的高危严重漏洞信息,发现漏洞在12小时内通告并提供处理建议。
安全厂商对测试目标进行一次渗透测试,通过最客观、最直接的方式来发现安全漏洞并协助网站技术人员、开发公司修补漏洞和加固系统,测试内容至少包括网络层、系统层、应用层三方面:
(1)网络层安全:针对系统所在网络层进行网络拓扑的探测、路由测试、防火墙规则试探、规避测试、入侵检测规则试探、规避测试、不同网段Vlan之间的渗透、端口扫描等;
(2)系统层安全:通过采用适当的测试手段,发现测试目标在系统识别、服务识别、身份认证、数据库接口模块、系统漏洞检测以及验证等方面存在的安全隐患;
(3)应用层安全:应用程序及代码在开发过程中,极为容易出现应用系统存在可利用的安全漏洞的情况。
2.1.2检测要求
安全漏洞扫描:
安全漏洞扫描必须使用公安部推荐厂家的产品、或国内知名工具(如绿盟、启明等);
系统人工渗透:
技术能力要求:安全厂家需在国家安全漏洞共享平台上传漏洞排名前五;有知名企业的安全渗透案例;渗透工程师需具备5年以上安全渗透攻击经验;人工渗透需使用以下重要安全风险漏洞列表的攻击方式对信息系统查找安全漏洞。
2.1.3漏洞覆盖
针对众多的Web漏洞,安全专家结合在各领域的应用安全工作经验及智慧,帮助我司关注最严重的漏洞,风险和漏洞列表如下:
十大Web应用风险:
|
序号 |
风险名称 |
风险描述 |
|
1 |
注入 |
注入攻击漏洞,例如SQL、OS命令以及LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者访问未被授权的数据。 |
|
2 |
跨站脚本 |
当应用程序收到含有不可信的数据,在没有进行适当的验证和转义的情况下,就将它发送给一个网页浏览器,这就会产生跨站脚本攻击(简称XSS)。XSS允许攻击者在受害者的浏览器上执行脚本,从而劫持用户会话、危害网站、或者将用户转向至恶意网站。 |
|
3 |
失效的身份认证和会话管理 |
与身份认证和会话管理相关的应用程序功能往往得不到正确的实现,这就导致了攻击者破坏密码、密匙、会话令牌或攻击其他的漏洞去冒充其他用户的身份。 |
|
4 |
不安全的直接对象引用 |
当开发人员暴露一个对内部实现对象的引用时,例如,一个文件、目录或者数据库密匙,就会产生一个不安全的直接对象引用。在没有访问控制检测或其他保护时,攻击者会操控这些引用去访问未授权数据。 |
|
5 |
跨站请求伪造 |
一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的HTTP请求,包括该用户的会话cookie和其他认证信息,发送到一个存在漏洞的Web应用程序。这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求,而这些请求会被应用程序认为是用户的合法请求。 |
|
6 |
安全配置错误 |
好的安全需要对应用程序、框架、应用程序服务器、Web服务器、数据库服务器和平台,定义和执行安全配置。由于许多设置的默认值并不是安全的,因此,必须定义、实施和维护所有这些设置。这包括了对所有的软件保护及时地更新,包括所有应用程序的库文件。 |
|
7 |
功能及访问控制缺失 |
许多Web应用程序在显示受保护的链接和按钮之前会检测URL访问权限。但是,当这些页面被访问时,应用程序也需要执行类似的访问控制检测,否则攻击者将可以伪装这些URL去访问隐藏的网页。 |
|
8 |
使用含有已知漏洞的组件 |
组件,比如:库文件、框架和其它软件模块,几乎总是以全部的权限运行。如果一个带有 漏洞的组件被利用,这种攻击可以造成更为严重的数据丢失或服务器接管。应用程序使用 带有已知漏洞的组件会破坏应用程序防御系统,并使一系列可能的攻击和影响成为可能。 |
|
9 |
未认证的重定向和转发 |
Web应用程序经常将用户重定向和转发到其他网页和网站,并且利用不可信的数据去判定 目的页面。如果没有得到适当验证,攻击者可以重定向受害用户到钓鱼软件或恶意网站, 或者使用转发去访问未授权的页面。 |
|
10 |
传输层保护不足 |
应用程序时常没有身份认证、加密措施,甚至没有保护敏感网络数据的保密性和完整性。而当进行保护时,应用程序有时采用弱算法、使用过期或无效的证书,或不正确地使用这些技术。 |
十大业务逻辑漏洞:
|
序号 |
风险名称 |
风险描述 |
|
1 |
身份认证安全 |
在没有验证码限制(意思:没有验证码限制)或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 |
|
2 |
业务一致性安全 |
手机号篡改描述: 抓包修改手机号码参数为其他号码尝试,例如在办理查询页面,输入自己的号码然后抓包,修改手机号码参数为其他人号码,查看是否能查询其他人的业务。 |
|
3 |
业务数据篡改 |
1 金额数据篡改描述: 抓包修改金额等字段,例如在支付页面抓取请求中商品的金额字段,修改成任意数额的金额并提交,查看能否以修改后的金额数据完成业务流程。 2 商品数量篡改描述: 抓包修改商品数量等字段,将请求中的商品数量修改成任意数额,如负数并提交,查看能否以修改后的数量完成业务流程。 3 最大数限制突破描述: 很多商品限制用户购买数量时,服务器仅在页面通过js脚本限制,未在服务器端校验用户提交的数量,通过抓包修改商品最大数限制,将请求中的商品数量改为大于最大数限制的值,查看能否以修改后的数量完成业务流程。 |
|
4 |
用户输入合规性 |
用户输入合规性描述:用户输入合规性功能测试,一般用户登陆处用的多一些,未对用户输入的参数未做html转义过滤(要过滤的字符包括:单引号、双引号、大于号、小于号,&符号等),防止脚本执行。在变量输出时进行HTML ENCODE 处理。 |
|
5 |
密码找回漏洞 |
密码找回逻辑描述:互联网中,有用户注册的地方,基本就会有密码找回的功能。密码找回功能里可能存在此逻辑漏洞,而这些漏洞往往可能产生非常大的危害,如用户账号被盗等。 |
|
6 |
验证码突破 |
验证码描述:验证码一般是防止批量注册、刷票、论坛灌水,有效防止某个黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试验证码。 |
|
7 |
业务授权安全 |
1 未授权访问描述:非授权访问是指用户在没有通过认证授权的情况下能够直接访问需要通过认证才能访问到的页面或文本信息。可以尝试在登录某网站前台或后台之后,将相关的页面链接复制于其他浏览器或其他电脑上进行访问,看是否能访问成功。 2 越权访问描述:越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对终端请求的数据过分相信而遗漏了权限的判定 a) 垂直越权(垂直越权是指使用权限低的用户可以访问权限较高的用户) b) 水平越权(水平越权是指相同权限的不同用户可以互相访问) |
|
8 |
业务流程乱序 |
业务流程乱序描述:一般一个程序上,针对不同的业务需求,业主会设定相应的业务流程序,快速提高相对应的工作效率。业务流程顺序一般先A过程后B过程然后C过程最后D过程,比如出现的逻辑乱序是先A过程后直接到D过程。 |
|
9 |
业务接口调用 |
业务接口调用描述:业务接口调用是以内部操作分离出外部调用的方法,使其能被修改而不影响外界其他其交互的方式,常见业务接口方式有重放攻击,短信炸弹。 A)重放攻击:在短信或邮件调用业务(例如:短信验证码,邮件验证码),对其业务环节进行调用(重放)测试。如果业务经过调用(重放)后被多次生成有效的业务或数据结果。 B)短信炸弹:在测试的过程中,一般系统平台仅在前端通过JS校验时间来控制短信发送按钮,但后台并未对发送做任何限制,导致可通过重放包的方式大量发送恶意短信。 |
|
10 |
时效性绕过 |
时效性绕过描述:针对某些带有时间限制的业务,修改其时间限制范围。 |
2.1.4漏洞分级
本次项目根据漏洞的危害程度将漏洞等级分为【严重】、【高】、【中】、【低】四个等级,结合实际利用场景中漏洞的严重程度、可利用指数等综合因素给予漏洞定级,每种等级包含的评分标准及漏洞类型如下,例如严重等级漏洞影响:
涉及可大批量获取账号信息、控制用户权限等漏洞;
涉及可大批量获取用户敏感信息,如订单信息等漏洞;
涉及可获取重要服务器控制权限等漏洞。
【严重】漏洞举例如下:
直接获取核心系统权限的漏洞(服务器权限、数据库权限),包括但不仅限于远程命令执行、任意代码执行、上传获取Webshell、SQL注入获取系统权限、缓冲区溢出;
直接导致业务拒绝服务的漏洞,包括但不仅限于直接导致移动网关业务API业务拒绝服务、网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞;
严重的敏感信息泄漏,包括但不仅限于核心 DB(资金、身份、交易相关) 的 SQL 注入,可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露;
严重的逻辑设计缺陷和流程缺陷,包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。
【高危】漏洞举例如下:
敏感信息泄漏,包括但不仅限于非核心DB SQL注入、源代码压缩包泄漏、服务器应用加密可逆或明文、移动API访问摘要、硬编码等问题引起的敏感信息泄露;
敏感信息越权访问,包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息的SSRF;
直接获取系统权限的漏洞(移动客户端权限),包括但不仅限于远程命令执行、任意代码执行;
越权敏感操作,包括但不仅限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改等较为重要的越权行为;
大范围影响用户的其他漏洞,包括但不仅限于可造成自动传播的重要页面的存储型XSS(包括存储型DOM-XSS)和涉及交易、资金、密码的CSRF。
2.1.5风险规避
安全测试过程的最大的风险在于测试过程中对业务产生影响,安全厂商服务人员采取以下措施来减小风险:
在测试中不使用含有拒绝服务或消耗服务资源的测试策略;
在测试过程中如果出现被测试系统没有响应的情况,应当立即停止测试工作,与工作人员一起分析情况,在确定原因后,并待正确恢复系统,采取必要的预防措施(比如调整测试策略等)之后,才可以继续进行;
安全厂商应用安全研究专家与信息系统的管理员保持良好沟通,随时协商解决出现的各种难题;
为防止在测试过程中出现的异常的情况,所有被测试系统均应在被测试之前作一次完整的系统备份或者关闭正在进行的操作,以便在系统发生灾难后及时恢复。
2.1.6服务流程
“安全厂商”安全评估服务的主要流程如下:
一、 信息收集
信息收集是指渗透实施前尽可能多地获取目标信息系统相关信息,例如系统资产信息、共享资源、系统版本信息、已知漏洞及弱口令等等。通过对以上信息的收集,发现可利用的安全漏洞,为进一步对目标信息系统进行渗透入侵提供基础。
二、 弱点分析
对收集到的目标信息系统可能存在的可利用安全漏洞或弱点进行分析,并确定渗透方式和步骤实施渗透测试。
三、 获取权限
对目标信息系统渗透成功,获取目标信息系统普通权限。
四、 权限提升
当获取目标信息系统普通管理权限后,利用已知提权类漏洞或特殊渗透方式进行本地提权,获取目标系统远程控制权限。
五、 报告及后续
当检测工作完成后,安全厂家出具完整的安全漏洞扫描和系统人工渗透测试报告(含整改建议)并协助我司完成漏洞的整改。交付物包含1份漏洞扫描报告、5份系统安全检测报告、1份整改建议报告(电子版)。
2.2.1服务方案
网络安全事件发生时安全专家应立即响应并现场支持,根据应急流程,快速恢复网络或系统的保密性、完整性和可用性,阻止和降低安全威胁事件带来的严重性影响。安全专家提供7*24小时的电话支持安全服务,当安全专家无法解决或无法彻底解决安全问题时,可以通过电话或在线咨询联系安全专家,在双方同时确认需要信息安全专家或安全服务队伍现场支持后,安全厂商根据我方安全事件级别进行应急响应。
2.2.2服务方式
安全厂商根据运行维护中心安全事件级别进行应急响应。紧急事件主要包括:
(1)病毒、蠕虫、木马和僵尸网络事件;
(2)黑客入侵事件;
(3)误操作或设备故障事件。
服务商安全紧急响应服务方式分为远程支持或现场支持。
远程支持安全服务方式可以分为以下几种:
(1)电话在线支持服务;
(2)7*24小时电话支持服务;
(3)传真支持服务;
(4)E-MAIL支持服务。
当远程支持无法解决问题时,将派遣专业的紧急响应服务人员在第一时间到达白云机场所在地提供现场支持服务。服务商需承诺半小时内响应,2小时内到达现场,4小时内解决安全事件,业务恢复正常,每次提供安全事件应急处理报告(含整改建议)。
2.2.3安全事件等级分类及要求
|
事件分类 |
事件描述 |
威胁级别 |
支持方式 |
|
紧急事件 |
业务系统由于安全问题崩溃、系统性能严重下降,已无法提供正常服务。出口路由由于网络安全原因非正常中断,严重影响用户使用。由于安全原因停止服务或者造成恶劣影响的。 |
高危险 |
现场支持 |
|
严重事件 |
内部的业务支持系统由于安全事件出现问题,导致不能运转正常不稳定。部分服务由于安全原因中断,影响用户正常使用。 |
中危险 |
远程支持或现场支持 |
|
一般事件 |
由于安全原因导致系统出现故障,但不影响用户正常使用。提出安全技术咨询、索取安全技术资料、技术支持等。 |
低危险 |
远程支持 |
2.2.4应急响应流程
目前网络监控系统存在误报数量多,精准度不足的问题,如“119事件”,设备虽检查到有异常文件进入网内,但是未能判定为高风险的威胁,运维人员无法从大量的非高危风险的威胁中筛选出有效数据。通过部署新的安全监控系统和采用可靠技术,对该项短板进行补全,缩短安全隐患发现时间,对系统进行日志分析、webshell检测、攻击路径溯源等方式,排查系统被入侵的情况,提高威胁监测方法和精准度,及时消除隐患,并对发现存在的安全风险进行专业处置,最大限度的降低安全事故带来的危害,减少安全事件带来的影响,将白云机场的安全损失降到最低。
新设备与原来的未知威胁感知系统,我们进行了系统功能对比。
增加了三项有效功能:
1、资产管理的功能(包含资产态势、新增资产显示、遗弃资产显示等);
2、监测模型配置(应用异常监测、事件关联监测等);
3、机器学习检测(webshell模型检测、暗链模型检测等);
增强了两项功能:
1、流量监测(从告警流量存储变成全流量的存储);
2、黑客工具攻击(利用白帽子漏洞知识库,收集更多的攻击手段);
效果如下:
事前可通过“遗弃资产”发现网内存在的无人管理机器,通过人工断开网络,达到消除它成为肉鸡、挖矿机的风险;通过“资产识别”和“新增资产显示”发现网内设备新增的异常行为和判定,如新增一个敏感端口的使用,可通过人工及时关注动态;通过“监测模型配置”“机器学习检测”对潜伏在网内进行慢攻击或者APT攻击(高级持续性攻击)发现网内的异常行为,该类攻击传统安全设备无法感知,例如前期的通过正常访问的方式进行嗅探的行为,可及时关注并制止该类行为;
事中可通过增强的“流量监控”对存储的全流量数据搜索出来,达到精准溯源攻击链,定位问题,减少排查时间;
事后可通过“机器学习检测”功能,智能AI会提高该类行为的危险级别,生成新的监控模型,加大该类行为的监测强度。
针对安全技术监测,安全厂家每月出具月度安全分析报告(电子版)
通过安全漏洞扫描、系统人工渗透测试,与设备安全监测,结合等级保护网络安全要求,安全厂家需就园区网和旅客wifi网出具安全检测报告(电子版,各系统一份)。
安全工程师按照信息公司正常作息时间实施驻场服务,包括信息安全运行状态检测,对安全设备及安全监测系统的策略调优、每天对安全设备日志信息和安全监测系统告警信息进行深入分析,及时发现安全威胁,并进行验证、处置及报告,每日提供《信息安全日报》和单次重保活动信息安全总结(电子版)。
|
信息安全运行状态检查内容 |
设备日常运行状态检查 |
1.、防火墙、防病毒等安全设施日常运行状态检查 2.时时关注木马回连、恶意文件、高危操作日志等告警)发现及时上报。 3.为了充分了解XX信息系统面临的网络安全威胁,将对各类安全设备日志进行综合关联分析,包括:防火墙日志、IDS日志、WEB防火墙日志、审计系统日志等。主要通过如下分析方法实现: l 事件级别分析:连接、低、中、高;中、高风险事件重点关注; l 合理匹配分析:事件所影响的系统与目标系统的系统是否匹配; l 数据方向分析:区分内外部、互联网边界重点关注由外到内; l 关联分析:某个事件是否有相关联的其他入侵事件; l 黑白名单分析:建立恶意IP地址黑名单; l 行为还原分析:分析事件是由什么网络行为触发的; l 异常分析:以前未出现的事件突然增加,流量突然增大等; l 攻击行为分析:攻击手段的流行度。 通过对安全设备进行日志分析能够识别网络攻击、发现潜在风险、及时进行策略调整和优化等。 |
|
应急响应 |
发生安全事件,协助运行维护中心分析事件可能的原因。 |
|
|
协助排查 |
现场根据运行维护中心需要,协助运行维护中心排查和解决问题 |
实施计划
本次安全服务项目内容无需对生产系统进行变更和对网络架构进行调整,因此在实施过程中,风险较小,运维中心可对风险进行有效把控。
整个项目的实施计划如下:
|
序号 |
控制节点 |
完成总进度情况 |
备注 |
|
1 |
采购阶段---合同签定后15日内 |
|
服务内容准备 |
|
2 |
服务阶段---合同签定后30日内 |
|
服务内容实施 |
|
3 |
服务阶段---合同签定后300日内 |
|
服务内容实施 |
|
4 |
项目验收---合同签定后365日内 |
|
项目结束 |
投资预算
该项目总预算为500000 元,详细的预算见下表。
|
序号 |
服务项 |
范围 |
服务内容 |
服务模式 |
|
1 |
安全漏洞扫描和系统人工渗透测试 |
5个应用系统; |
1、提供专业渗透测试服务, 采用内部多组竞技性测试模式,保障测试效果;2、提供框架式性安全测试服务,覆盖方案中批定区域的至少5个重要系统,提供渗透测试服务;3、采用严密的风险控制管理机制,保护测试内容及数据安全;4、为项目设置专属测试人员,每个项目设置专属项目经理,负责安全测试过程协调及管理,漏洞生命周期管理,实时反馈最新的测试进度情况;5、提供专业的渗透测试及漏洞报告,报告针对发现的问题有详细截图、视频、日志,并给出具有针对性的加固方案。 |
按照服务内容,进行人工渗透和漏洞扫描,完成5个应用系统的渗透测试和60台服务器的漏洞扫描,一个月内完成 |
|
漏洞扫描:服务器80台;
|
定期为所规定网络内(内80台服务器及应用系统10个)的全部信息系统进行漏洞扫描服务,通过安全扫描评估,可以及时发现信息系统中存在的安全漏洞,能过对Windows、Linux,的整改,可以及时的消除安全漏洞可能带来的安全风险 |
|||
|
2 |
安全事件应急响应 |
长期邮件、电话、远程7*24小时技术支持; 一年两次的安全事件现场应急服务,要求如下: 2 小时内到场,及时解决安全故障,4小时内解决安全问题; |
1.提供一年两次到场应急服务,7×24小时在紧急故障情况下,接到服务请求后,半小时内响应, 2 小时内到场,及时解决安全故障,4小时内解决安全问题,修复系统,使网络和信息服务恢复正常运行,尽可能挽回或减少损失; 2. 提供全年专人7×24电话热线技术支持(每周7天, 每天24小时;远程在线支持及邮件等支持方式服务 |
按照服务内容,一年内提供邮件、电话、远程支援的技术支持和两次现场支应急 |
|
3 |
安全技术服务 |
部署安全设备或采用可靠技术,有效提高威胁监测精准度、进行事件溯源和提供合理建议方案,缩短安全隐患发现时间; |
通过入侵检测识别与分析,高效的监测流量中的违规行为,对所有网络流量进行7*24小时监测,发现所有设备、并对设备所存在安全漏洞、运维缺陷、人为弱点、威胁情报、攻击事件提供告警,实时了解系统的安全状态,提前发现相关网络的威胁并进行可视化展示其变化态势。支持可视化报表查询,便于快速分析与定位安全事件。(含3台32路CPU,128G内存的主设备+1探针)。 每月定期shebei或紧急故障情况下,提供安全情况报告。; |
现场设备部署并根据信息安全状况进行设备功能调试并对管理员进行培训指导 |
|
4 |
重保期间安全保障 |
安全专家实行24小时驻场保障,期间不出安全事件; 时间要求: 进场时间视信息公司安全要求而定(如春节、国庆、两会等重要活动),共20个人天。 |
在重大活动检查期间,将在4小时内派安全专家协助相关系统管理人员应对重大活动保障,通过工具全面检测暴露在外网的系统可能存在的脆弱性,并系统分析和评估安全防护水平,从而有针对性地提出防护对策和解决方案,降低和消灭监管部门发现漏洞和问题的几率,并安排1-2人员驻场值守等工作(预计20人天) |
按照服务内容,提供20天重保期间驻场服务 |
方案效果
通过这次网络安全技术服务方案,可找到并改正网络安全短板,有效减小网络攻击面,提升了全网的安全系数。
系统安全渗透测试和漏洞扫描服务,引进安全专家经验,对资产安全状况进行梳理,通过资产识别、动态爬虫、学习模型、WEB 风险检测、主机风险检测、APP风险检测及人工渗透等手段找到网络的安全薄弱点,通过对漏洞的修补和安全的加固等手段,形成安全管理的合理优化建议及方案,推动网络安全能力建设。
形成网络信息安全监控机制、对网络安全事件进行有效预警。通过全网流量威胁监控,能在第一时间及时发现,结合威胁情报和安全事件的关联分析,实现对威胁的前期预警;利用全流量存储和分析技术,通过调查画布、实体行为轨迹追踪等可视化手段实现Threat Hunting(威胁追踪和溯源),基于“主动实时发现”的多维协同防护机制和能力,对公司网络与信息安全事件的预警、监控、分析、通告、处置形成闭环,从而净化网络流量。
网络信息安全监控可实现资产信息安全细粒度的深层管控和推动安全管理水平的提升。通过被动流量解析加主动资产探测,可以清晰测绘网络内资产,利用机器学习,构建资产档案,通过可视化方式,直观掌握网络安全动态,在分析与解决过程中,促进我司安全管理的专业技术能力,有效提升网络的安全管理水平。
通过应急响应服务,在发生重大安全事件,信息安全专家为我司瞬速定位安全问题和提供解决方案,为运维中心缩短安全事件响应时间,有效减少信息安全事件造成的损失和缩小安全事件影响范围。
通过重大活动的保障服务,为白云机场提供重保时期专业信息安全保障,实现了在保障期间对安全态势的实时监控和预警,有效的预防了安全事件的发生,降低了监管部门发现问题的几率。
项目风险与管理
由于信息安全是机场生产系统的重要前提基础,项目实施工作的前提是确保机场信息、通信应用业务能够正常运营。为保证实施工作顺利完成而又不影响办公,除了对项目实施做好详细的计划外,还需要对项目过程中会遇到的问题、风险进行跟踪、管理和控制,并制定相应的应急管理措施。
1. 技术风险
1、技术风险
该项目技术风险主要表现在安全服务对新增设备与现有设备的兼容性、可处理性问题上。这些问题都会给项目的实施带来一定的不确定性,尽管这些问题都能够最终解决,但是会影响项目的进度和一些资金投入。
2、风险管理措施
(1)在设备接入前,对设备配置进行多次和交叉检查,保证设备配置正确;
(2)在上架上线之前,预先进行测试,保证功能可用并正常;
(3)在夜航结束后或非办公时间进行设备替换操作,尽量不影响在用办公业务;
(4)制定回退方案,在实施失败后及时进行恢复避免影响办公业务。
2. 实施过程风险
实施过程风险主要是因为设备新增工作都是在现有系统上进行,新设备安装、调试和上线运行工作存在着影响信息、通信应用负载系统的风险。由项目初期制定详细的实施方案,避免实施过程中的风险主要在于操作规范和流程的控制,同时每次实施都要预先做好应急措施和安全保障措施,做到即使出现实施意外失败的情况也不影响或者基本不影响到信息、通信应用系统的办公业务。
<!--EndFragment-->