1.測評對象及范圍 本次等級保護測評對象為:湖南工程職業技術學院門戶網站、教務管理系統、學管系統、辦公系統、人事系統、數字化信息門戶、移動APP、數據中心、一卡通、課程資源管理系統等10個系統。 2.服務內容 2.1等級測評(二級) 對被測評信息系統開展二級安全等級保護測評。協助學院完成等級保護備案。測評內容包括: ①物理安全測評 ②網絡安全測評 ③主機安全測評 ④應用安全測評 ⑤數據安全測評 ⑥安全管理制度測評 ⑦安全管理機構測評 ⑧人員安全管理測評 ⑨系統建設管理測評 ⑩系統運維管理測評 2.3風險評估 對信息系統進行風險評估,評估內容包括:網絡結構評估、操作系統配置核查、應用系統安全評估、數據庫安全評估、漏洞掃描、滲透測試、管理制度評估、風險分析及計算、風險處置建議。并協助進行加固。 2.3.1網絡設備和安全設備安全評估 網絡設備和安全設備安全配置檢查主要是以人工的方式驗證其安全配置是否符合其安全策略要求,檢查的內容至少包括:遠程管理服務、認證方式、管理IP地址控制、console端口管理、Service password密碼、enable密碼、帳戶登錄空閑時間、密碼長度、更改SNMP的團體串、轉存日志、日志保存要求、login banner信息、NTP服務使用、BGP認證、接入層網絡設備端口控制、MAC綁定、網絡端口等。 2.3.2操作系統安全評估 主要對操作系統的安全配置進行檢查,檢查內容至少包括:管理遠程工具、訪問控制、限制系統無用的默認賬號登錄、賬號遠程登錄、口令策略、日志記錄、日志存儲、日志保存、日志系統配置文件保護、日志文件保護、服務優化、文件權限、控制用戶登錄會話、關鍵文件的安全保護等相關配置。 2.3.3數據庫管理系統安全評估 主要對數據庫管理系統的安全策略進行檢查,檢查內容應至少包括主機管理員帳號、數據庫帳號、默認帳號、重要帳號設置、口令策略、帳號策略、public權限、日志審核、登錄日志記錄、數據庫操作日志、日志審計策略、日志保存要求、日志文件保護、數據字典保護、監聽程序加密、監聽服務連接超時、服務監聽端口等。 2.3.4中間件安全評估 對中間件的安全策略進行檢測,檢查內容應至少包括日志配置、腳本安全、目錄權限設置、默認站點安全、Web服務擴展安全、出錯頁面安全、用戶權限、文件安全、目錄瀏覽、日志審計、示例文件、版本安全、身份鑒別、登錄鎖定、通信安全、并發數安全、運行模式、Server header安全、刪除sample程序等。 2.3.5應用系統安全評估 對應用系統的安全機制進行檢查,檢查內容包括:校驗碼機制、口令策略、賬號策略、認證失敗處理、通訊加密機制、授權機制、會話管理、安全審計等。 2.3.6漏洞掃描 2.3.6.1主機系統漏洞掃描 從被測系統內部或外部恰當選取測試點檢查目標服務器存在的安全漏洞。 漏洞掃描策略如下: ①通用掃描策略:包括端口掃描、弱口令掃描、后門類掃描等; ②操作系統漏洞掃描:緩沖區溢出掃描、畸形數據包發送、蠕蟲掃描等常見漏洞掃描; ③數據庫漏洞掃描:包括口令猜測、本地緩沖區溢出掃描、拒絕服務攻擊掃描等。 2.3.6.2應用系統漏洞掃描 從被測系統內部或外部恰當選取測試點,采用專業掃描工具檢查目標系統應用層面存在的常見的安全漏洞,安全漏洞包括但不限于:SQL注入漏洞、XSS漏洞、文件上傳漏洞、弱口令漏洞、中間件漏洞、目錄瀏覽/遍歷漏洞、越權訪問、會話驗證繞過、備份文件等。 2.3.7滲透測試 針對掃描發現的系統漏洞和應用漏洞有針對性的采取測試工具和方法對漏洞進行驗證性測試,并嘗試進行授權和旁站測試,全面評估安全漏洞可以被利用的程度。 2.4安全整改加固 根據測評結果中的不符合項、結合湖南工程職業技術學院實際情況編制《湖南工程職業技術學院信息系統等級保護整改方案》,并協助完成整改加固工作。 2.5信息安全意識培訓 組織1次信息安全技術培訓,以介紹當前信息安全形勢、政策和技術發展趨勢,宣貫國家信息安全政策和工作情況,講解信息安全專業知識及運維技能等。 2.6交付物 《湖南工程職業技術學院信息系統等級保護整改方案》 《湖南工程職業技術學院門戶網站系統等級保護測評報告》 《湖南工程職業技術學院教務管理系統等級保護測評報告》 《湖南工程職業技術學院學籍管理等級保護測評報告》 《湖南工程職業技術學院辦公系統等級保護測評報告》 《湖南工程職業技術學院人事系統等級保護測評報告》 《湖南工程職業技術學院數字化信息門戶網站系統等級保護測評報告》 《湖南工程職業技術學院移動APP等級保護測評報告》 《湖南工程職業技術學院數據中心系統等級保護測評報告》 《湖南工程職業技術學院一卡通系統等級保護測評報告》 《湖南工程職業技術學院課程資源管理系統等級保護測評報告》 4、服務要求 4.1人員資質要求 投標人項目經理需具有技術及管理知識和經驗(提供相關CISP資質證書),參與本項目的人員需具有2年或以上信息安全等級保護測評、風險評估服務工作經驗。 4.2工具要求 在服務過程中,投標人使用的測評與評估工具應嚴格遵循可控性原則,使用的所有工具須符合信息安全等級保護測評與風險評估標準,已經過可靠的實際應用驗證,且由投標人自行負責。投標人須承諾在項目實施過程中所使用的工具,投標人均具有合法使用權,免受第三方提出的侵犯知識產權的起訴。 4.3文檔要求 投標人應按照等級保護測評、風險評估規范要求制定服務過程中產生的文檔及其管理制度,做到科學、規范、詳盡、統一。 4.4保密要求 對湖南工程職業技術學院信息保密,投標人不得在任何場合向,以任何方式第三方透漏招標人內部信息。 4.5應用標準要求 符合ISO質量管理標準體系、信息安全等級保護、信息系統風險評估要求。 5、付款方式 信息系統等級保護測評、風險評估完成驗收合格后付95%。收到中標方的等級保護測評報告后五個工作日內支付合同總額的100%。具體付款方式以簽訂的采購合同為準,付款均憑正式稅務發票,發票須由中標單位開具。 |