网络信息安全专项整治服务方案书
招标编号:****
投标单位名称:****
授权代表:****
投标日期:****
1 深入理解项目需求
根据招标文件及技术规格书的详尽研读,本技术响应文件逐一对应项目目标、涵盖范围及其相关需求进行了详尽的答复。
一、项目目标
旨在提升互联网网站的安全性,我们计划实施一项专门针对网站信息安全的专项整治行动。预期的主要目标包括:
探索并制定互联网网站信息安全管控标准,编撰《互联网网站安全建设与管控要求》,从而确保安全监督具备明确的实施依据。
承担互联网网站日常信息安全管理的技术支持职责,予以全方位的协助与配合。
负责利用互联网网站安全检测系统,对公司的各部门网站进行全面安全评估,并监督其安全防护措施的实施与问题整改过程。
承担互联网网站的定期扫描任务,以支持公司各部门网站的安全监测工作,同时监督并核查各站点的安全自查情况。
实施持续的互联网网站实时监控,以便迅速察觉并应对任何异常状况,有效遏制其可能带来的负面影响,从而保障设备与系统的稳定、安全运行。
服务承诺与实施:我们充分领悟并确保满足所有需求。为此,我公司将配置一支由专业安全顾问和技术服务工程师组成的团队,并设立专门的项目管理和协调部门。我们将针对规程制定、技术支持、安全检查、定期巡查、监测及应急响应等环节,逐一建立严谨的操作流程,以确保为用户单位提供专业、迅速且高效的全方位服务。
二、主要工作内容和范围
1.研究与实施互联网网站的安全管控体系及其技术支持服务
进行互联网网站安全管理规定的研究,旨在制定《互联网网站安全建设与管控要求》,详尽阐述网站全生命周期(需求分析、设计、开发、执行、维护及退出服务)中的信息安全管控标准。此举将为互联网网站的安全管理工作奠定科学的理论基础,涵盖但不限于以下方面:
1、需求分析阶段信息安全管控要求;
2、概要设计阶段信息安全管控要求;
3、详细设计阶段信息安全管控要求;
4、开发阶段信息安全管控要求;
5、实施阶段信息安全管控要求;
6、运维阶段信息安全管控要求;
7、退运阶段信息安全管控要求。
负责互联网网站的日常信息安全管理工作,包括技术支撑与协助实施相关措施。
服务内容:互联网网站安全方案的评审支持 提供专业服务,对公司的安全方案进行全面审查,旨在确保在实施后系统安全能充分达成预设的最高效益目标。
互联网网站安全管控工作技术支持。根据公司的实际需求,参考国内外安全标准,为公司提供日常安全技术支持,协助进行互联网网站信息安全事件处理、信息安全督查、信息安全检查等工作。
响应与承诺:我们充分领悟并承诺满足所有条件。我公司将派遣专业的安全咨询专家和安全服务工程师团队,对用户的网站系统管理架构、技术保障现状及运维规章制度进行详尽梳理。基于国内外通行的标准、规范与指南,我们将精心编撰《互联网网站安全建设与管控要求》。
按照技术规格书的规定,我们将配备在网站安全攻防领域富有经验的专家,他们将提供即时的方案评审支持和应急反应服务。依托于我们专业的安全服务团队以及标准化的服务响应机制,我们将全天候为用户单位提供全面的日常安全技术支持。
2.互联网网站安全督查技术支持
实施定期全面的互联网安全审计,负责互联网网站安全监管任务,对网站的安全防护措施及整改进度进行监督和核查。要求至少进行12次以上的安全检测,涵盖所有内部互联网网站系统,采用多元方法包括漏洞扫描工具、配置评估工具以及人工渗透测试,进行无破坏性的模拟攻击演练,以评估网站安全防护能力,并生成详细的检测报告。
服务承诺与实施:我们充分理解并能满足上述需求。利用我司独有‘网站安全即服务’平台,可实现远程自动化漏洞扫描、脆弱性评估与实时安全检查。我们提供多元化的服务选项,包括定期检测、按需响应以及基于条件的触发检测。一旦云端安全专家发现潜在问题,将立即将检测报告推送给用户。此外,辅以专业渗透测试工程师的人工深度分析,我们将对网站系统进行全面的安全测评,生成详尽的渗透测试报告,以助力提升网站的整体防护效能。
3.3.1.3互联网网站安全巡查技术支持
执行全面的互联网网站审计,实施全方位的网络安全巡检任务,监控并核查各机构的网站安全自查状况,积极推动各单位对'无人管理、无人防护、未知存在'的'三无'网站进行自我排查和必要关闭。
响应与承诺:充分领悟并确保满足上述需求。我们采取专业线下审核,协同用户机构执行网站自检及针对'三无'网站的终止操作。同时,借助我公司特有的在线'网站安全运维服务'平台,能够实现自动化资产识别、服务可用性监控以及安全防护效能评估,从而显著减轻线下审计的负担。
4.互联网网站安全监测
实施对全公司对外服务信息系统的实时监控,目标在于迅速识别并有效控制任何异常状况,从而防止其可能产生的负面影响,以保障设备与系统的安全稳定运行。监测对象涵盖广州局所有的互联网网站。
监测内容包括:
1、性能监测
实施周期性的服务系统与网站性能评估,特别是首页的响应速度监控,生成详尽的运行状态报告及性能趋势分析。
确保服务系统及网站性能的稳定运行,对首页响应速度的任何异常情况实施即时警报。
2、网页篡改监测
对网页篡改行为进行监测
对疑似篡改的行为进行报警
3、敏感内容监测
实施对对外服务网站页面的持续监控,确保一旦发现非法或敏感信息,能立即触发报警机制。相关阈值和关键词设置需依据公司的实际需求进行配置。
4、网站挂马监测
对网站挂马行为进行检测并报警。
5、网络钓鱼监测
监控网络钓鱼活动惯用的技术手法,如域名劫持。一旦识别出此类攻击行为,系统会立即发出警报,并为防范措施提供相应的建议。
6、网页漏洞监测
网站安全的薄弱环节源于潜在的漏洞。实施远程网页漏洞检测,以迅速发现因更新或修改操作引发的漏洞隐患,并即时发出警报。扫描范围应涵盖SQL注入漏洞、跨站脚本攻击(XSS)漏洞以及CGI应用程序漏洞,同时提供相应的修复建议以强化防护措施。
7、备案合规性监控
实施对外服务系统合规性持续监控,针对任何不符合标准的网站与网页,系统会即时发出警报。一旦识别到异常行为,预警响应将在20分钟内启动,通过邮件、短信及电话等多种途径迅速通知信息安全团队,并提供及时的技术支持以处理相关事件。同时,我们承诺按月提交互联网网站安全监测报告,内容涵盖网站性能指标、网页篡改状况、敏感信息管理、防恶意软件攻击、网络钓鱼防范、网页漏洞检测以及网站备案合规性审核结果。
服务承诺与实施:我司全面领悟并满足所有需求,依托自主研发的'网站安全即服务'平台,该平台能自动化执行包括网站性能监控、网页篡改预警、敏感内容识别、防恶意软件攻击、网络钓鱼防范、网页漏洞扫描以及网站合规性审核等一系列功能。根据检测需求的差异,系统提供分钟级的实时监控和用户可定制的定期报告。一旦发现问题或异常,系统将在5分钟内即时发送安全警报和问题处理建议,同时指派专门的安全服务专家全程跟进,直至问题彻底解决。
我们的'网站安全即服务'平台特色在于,除常规的邮件、短信和电话警报外,还特别提供微信告警功能。这一创新设计旨在为用户带来更为专业、迅速且即时的警示与预警,实时推送包含事件处理建议及详尽的网站安全运营报告,确保信息全面且及时传达。
5.培训服务
服务提供方需组织针对招标方技术人员的培训,旨在提升其技术能力至特定标准,确保他们能够独立承担信息系统安全监测的咨询服务或项目实施工作。
响应与承诺:已全面领悟并确保满足,我们依托资深的安全攻防技术专家,针对用户单位的技术团队,实施定制化的安全技能培训,或是依据用户单位特定需求,提供专业网站攻防视角的专题培训服务。
三、其他要求
1.项目工期要求
本项目的实施周期自XXXX年1月1日起,预计至XXXX年12月31日圆满收官。
响应与承诺:已充分领悟并严格遵守上述规定,保证配备充裕的专业团队,以确保服务周期内工作流程的顺畅高效执行。
2.项目参与人员要求
在参与投标过程中,投标人需向招标方提交拟参与本项目的人员名单及相关个人信息资料。并且,任何项目周期内的人员调整,必须事先获得招标方的批准。
响应与承诺:已全面领会并确保满足上述规定,我方承诺配备符合用户需求的工程技术人员,并保证他们在本项目中的持续稳定服务。
3.项目验收及交付物要求
交付物包括但不限于以下文档:
项目执行大纲: - 项目简介:提供项目的基本概述。 - 项目范畴:明确界定项目的界限和覆盖范围。 - 技术服务实施规划:详尽阐述项目执行的具体内容,包括技术应用策略和实施步骤。 - 技术支持体系:依托的先进技术手段和平台系统详解。 - 项目沟通机制:确保信息流通的有效联系方式和机制。
月度网络安全概要报告:详尽阐述了本省互联网安全的全面动态。报告详细记录了近期僵尸木马、网页篡改以及飞客蠕虫的活跃态势,同时涵盖了本月内国内外最新的网络安全焦点新闻和发展中的安全漏洞信息。
月度对外信息系统安全评估报告概要 - 安全状况剖析:详尽分析各对外信息系统的运行表现(性能监控、网页篡改防范、敏感信息保护、防挂马策略、钓鱼网站识别、网页漏洞排查以及合规备案审查)。 - 发现问题与对策:针对识别出的安全隐患,提供定制化的修复与强化建议,致力于促使存在问题的系统迅速恢复稳定运行。
年度对外信息系统安全评估报告 本报告详尽概述了每个对外信息系统每月的安全态势分析,主要包括以下几个方面: 1. 性能监控与评估 2. 网页篡改情况追踪 3. 敏感信息保护审查 4. 防止网站恶意植入策略 5. 钓鱼攻击防范措施 6. 网页漏洞识别与管理 7. 备案合规性审核 每项系统均经过全面的安全审计,对发现的问题进行分类整理,并据此提出针对性的对外信息系统安全改进建议。
响应与承诺:已充分领悟并确保满足所有条件。承诺在中标后依据与用户单位签署的合同条款及本技术响应文件的约定,定制专门的项目实施计划,明确项目内容、交付成果,并详述采用的技术方法和依托系统。 对于安全服务过程中识别的问题,我们将按用户规定生成并提交安全月度专报、监测月报及年度总结报告。此外,我司的‘网站安全即服务’平台将根据用户需求,实现实时问题反馈与报告推送。
以下各报告:
| 交付文档 |
交付形式 |
| 网站评估报告 |
微信推送 |
| 网站运营报告 |
微信或邮件 |
| 安全风险评估报告 |
微信或邮件 |
| 安全事件报告 |
微信推送 |
| 安全处置报告 |
微信或邮件 |
| 安全巡检报告 |
微信或邮件 |
| 应急响应报告 |
微信推送 |
| 安全月报 |
微信推送 |
4.项目质量管理要求
投标方需遵循ISO质量管理体系标准,对招标项目的实施进程与交付成果实施全面的质量策划、管理和控制。
在项目执行阶段,中标方需实施严格的质量管理活动,并确保其提交的进度报告涵盖相应的质量评估信息。针对发现的质量问题,应及时制定出改进方案并确保其得到有效执行。
中标方需遵循招标人的质量管理规定,无条件接受质量检验,并提交真实且具有法律效力的质量活动凭证与证据。对于招标方指出的任何质量问题,中标方应积极响应并立即进行整改,同时确保承担由此产生的质量责任以及可能引发的工程进度延误责任。
响应与承诺:我们充分理解并确保满足所有条件。我司拥有严谨的员工管理制度、项目评估机制以及成本控制体系。特别地,我们将为本项目专门配备全职的质量管理专员,依据ISO质量管理体系的标准,全面监督项目的执行质量。我们将积极响应甲方的技术服务评估规范,确保服务质量的高标准执行。
定期汇报、及时反馈,确保项目服务质量
5.项目管理标准要求
项目管理工作标准,中标方需严格遵照广州供电局所制定的IT服务管理规范及PMO项目管理规范执行。
响应与承诺:已全面领悟并严格遵循贵单位的管理规定,承诺对本项目的执行过程实施有效管控,并定期呈交进度报告及实施相关文档。
6.项目实施服务评价
在服务周期终结时,招标方将依据技术规格书的规定进行服务质量评估。若经双方协商一致,可对考核指标进行适当的调整。投标方需对以下核心条款做出积极响应,承诺值须不低于基准值。
响应与承诺:我们充分领悟并严格遵守用户单位的服务评价规章制度,现郑重承诺如下,详情见下表:
| 序号 |
级指标 |
二一级指标 |
权重 |
指标 |
基准值 |
承诺值 |
考核指标 |
考评依据 |
备注 |
||||||
| 1 |
服务评价 |
整体评价 |
15 |
★及时服务率 |
120分11钟 |
120min |
年度累计服务及时率≥90%得20分,每下降1%扣1分 |
关键用户主观评价 |
- |
||||||
| 2 |
15 |
及时提交服务报告率 |
90% |
90% |
年度累计及时提交率=100%得 10分,每下降1%扣0.5分 |
关键用户主观评价 |
|
||||||||
| 3 |
10 |
★运行计划准 |
80% |
90% |
年度运行计划准确率≥80%,每下降 |
运行月报 |
运行计划准确率=年度准确实施的月度计 |
||||||||
|
|
|
|
|
确率 |
|
|
一个1%扣1分 |
|
划总数/(年度月度计划总数+年度临时计划总数)*100% |
||||||
| 4 |
|
20 |
★需求完成率 |
85% |
90% |
年度累计服务需求完成率≥85%得10分,每下降1%扣1分 |
项目实施月报 |
需求完成率=适用于本SLA且处理完毕的服务数量/适用于本SLA的服务数量×100% |
|||||||
| 5 |
|
10 |
★需求及时完成率 |
85% |
90% |
年度累计服务需求及时完成率≥85%得10分,每下降1%扣1分 |
项目实施月报 |
需求及时解决率=适用于本SLA且在约定时限内处理完毕的服务数量/适用于本SLA且处理完毕的服务数量×100% |
|||||||
| 6 |
|
20 |
★用户满意度 |
90% |
90% |
年度累计用户满意度≥90%得10分, |
关键用户主观 |
累计用户满意度=用户评价得分/用户 |
|||||||
|
|
|
|
|
|
每下降1%扣1分 |
评价 |
评价次数*100%(关键用户代表(信息部、信息中心、基层单位) |
||||||||
| 7 |
过程评价 |
20 |
合同管理 |
乙方收到合同后,未能在15天内完成合同盖章签字,每出现一次扣除2分 |
扣分事件单 |
过程评价满分20分,每发生一次扣分事件扣除相应的得分,扣完为止,可重复扣分。 |
|||||||||
| 8 |
预付款:完成合同签字盖章后,未能在10天内开具发票并寄送到甲方处,每出现一次扣除2分进度款:接到甲方通知后,未能在10天内开具发票并寄送到甲方处,每出现一次扣除2分 |
扣分事件单 |
|||||||||||||
| 9 |
进度管理 |
未提交月度计划变更、临时计划变更,且擅自实施变更,每出现一次扣除5分 |
扣分事件单 |
||||||||||||
| 10 |
未按照已提交的月度计 |
扣分 |
|||||||||||||
|
|
|
|
|
|
划变更、临时计划变更的要求,实施变更,每出现一次扣除2分 |
事件单 |
|
||||||||
| 11 |
质量管理人员管理 |
未按时解决信息安全中心发布的安全漏洞整改报告中涉及的中风险漏洞或以上,每出现一次扣除2分 |
扣分事件单 |
||||||||||||
| 12 |
未完成二级的已报公安机关备案的信息系统的验收测评工作,缺少一项资料扣除2分 |
扣分事件单 |
|||||||||||||
| 13 |
未完成三级的已报公安机关备案的信息系统的验收测评工作,缺少一项资料扣除3分 |
扣分事件单 |
|||||||||||||
| 14 |
未按时解决故障分析报告中涉及的问题,每出现一次扣除2分 |
扣分事件单 |
|||||||||||||
| 15 |
未经过甲方同意变更乙方项目经理,每出现一次扣除5分 |
扣分事件单 |
|||||||||||||
| 16 |
未经过甲方同意变更团 |
扣分 |
|||||||||||||
|
|
|
|
|
|
队人员,每出现一次扣除2分 |
事件单 |
|
||||||||
| 17 |
未按照合同要求配备相应的技术人员、业务人员,每出现一次扣除2分 |
扣分事件单 |
|||||||||||||
| 18 |
文档管理安全管理 |
未提交项目文档,每缺少一份文档扣除2分 |
扣分事件单 |
||||||||||||
| 19 |
未及时提交服务月报,每出现一次扣除3分 |
扣分事件单 |
|||||||||||||
| 20 |
未按照文档要求编写文档,文档出现重大错误,空白项,格式混乱等错误,每出现一份文档扣除1分 |
扣分事件单 |
|||||||||||||
| 21 |
发生违反保密协议条款,每出现一次扣5分 |
扣分事件单 |
|||||||||||||
| 22 |
发生错误引入,每出现一次扣5分 |
扣分事件单 |
|||||||||||||
| 23 |
|
|
|
|
发生涉及互联网络的泄密事件,每出现一次扣30分 |
扣分事件单 |
|
||||||||
| 24 |
发生被电监会、公安、CNCERT等外部单位正式通报,每出现一次扣30分 |
扣分事件单 |
|||||||||||||
| 25 |
发生公司信息部认可的高危信息安全漏洞/问题且未按期整改,每出现一次扣30分 |
扣分事件单 |
|||||||||||||
| 26 |
发生IV级安全事件,每出现一次扣10分 |
扣分事件单 |
|||||||||||||
| 27 |
发生Ⅲ级或以上安全事件,每出现一次扣30分 |
扣分事件单 |
|||||||||||||
| 28 |
投标人在中标后将中标项目进行转包,一次扣30分 |
扣分事件单 |
|||||||||||||
| 29 |
投标人在中标后将中标项目的部分非主体、非关键性工作进行专业分 |
扣分事件单 |
|||||||||||||
|
|
|
|
|
|
包但不符合国家有关规定的资质要求,或未经过建设单位审批同意,一次扣30分。 |
|
|
||||||||
| 30 |
奖惩 |
甲方就本合同出具正式的表扬公告、信函等,每出现一次加5分,最多加5分。 |
事件单 |
||||||||||||
| 31 |
甲方就本合同出具正式的广州局内部通报批评公文,每出现一次减10分。 |
扣分事件单 |
|||||||||||||
| 32 |
甲方就本合同出具正式的南网内部通报批评公文,每出现一次减30分。 |
扣分事件单 |
|||||||||||||
2 创新发展战略
2.1强化安全意识与实践
网站安全即服务的策略核心在于,依托安全云服务平台的强大功能,通过大数据的关联分析与智能洞察,精确定位潜在的风险节点。通过实施实时监控、迅速反应和持续强化的动态防护体系,实现“三位一体”的高效迭代。借助‘云’与终端设备的协同,以及自动化监测与专业人才的深度剖析,我们旨在防微杜渐,阻止威胁的进一步扩大。
2.2框架结构
完整的“网站安全即服务”解决方案通过安全服务云、端点安全插件以及下一代防火墙NGAF的“防御、检测、响应”体系,可以帮助用户对网站业务进行持续的安全威胁检测,第一时间发现各种安全事件,并通过云端专家为用户提供
小时的应急响应处置和持续加固服务。
该解决方案由四个关键模块构成:SECaaS云平台组件、云端边界防护与检测设备(云WAF或边界NGAF)、服务器安全管理单元,以及安全云应急响应中心。这些组件协同运作,旨在实现如下核心功能:
>“云+端”联动,全面的检测和防御能力
NGAF的双向流量检测技术在发现未知威胁方面的效能
云端快速响应的专职应急专家提供全程问题处置服务
根据用户单位的技术规格书对本项目服务需求,SECaaS云平台的远程自动化监测检测功能可有效支持安全云应急响应中心的运作。关于组件模块的详细内容,请参阅第二部分的2.3节;而项目中技术与服务的组织实施策略,您可详览于第三章‘方案建议书’中。
2.3利用先进技术驱动
2.3.1云端安全即服务架构
以往,购置设备后,设备的安全建设往往仅完成了初步阶段,后续的运维服务通常需依赖第三方厂家的专业安全顾问,他们的服务通常是定期的,如每月或每季度进行例行巡检,难以满足当前对快速响应的需求。我们主张采用产品结合云端安全服务的模式,将以往安全运维所需的知识、技能、经验、能力以及情报等转化为云端在线服务。这种服务能够与各类场景下的安全产品无缝衔接,使得用户在现有人力资源条件下也能有效进行安全建设与应急响应,实现安全的自动化、智能化管理,从而减少对人工的过度依赖。
2.3.1.1云扫描
(1)云扫描设计结构
(2)检测模块设计
安全问题的多样性要求我们针对各类独特的属性进行模块化的处理。本系统采用模块设计,通过内置插件执行详细的检测任务,从而实现高效的安全问题检测能力的动态提升,得益于其模块插件的便捷扩展性。
资产信息收集模块
该系统通过对网站基础资料的全面扫描与评估,识别出评估对象在互联网上公开的资产信息,包括子域名、开放的端口以及所采用的建站组件是否存在已公开的安全隐患。这些收集到的资产信息将作为后续模块决策的重要依据。
>常规漏洞检测模块
针对常规漏洞,主要包括SQL和XSS这类常见类型,我们的系统采取Fuzz方法进行检测。检测范围不仅限于传统的GET查询参数和POST表单数据中的字段,还包括HTTP请求的元数据,例如Cookie和Referer,以及URL路径部分,确保全面覆盖可能存在的漏洞点。
借助智能爬虫的网页动态参数识别与结构分析能力,融合了广泛涵盖的Fuzz测试技术,我们得以精确筛选出动态参数,从而提升检测效率并有效地降低误报率。
SQL检测插件具备多元化的检测手段,包括错误驱动、布尔判断及时间触发三种策略。采取串行检测方法,有效避免了对单一参数的冗余检验,同时借助启发式探测技术,显著降低了误报的可能性,提升了检测效率与准确性。
该XSS防护插件具备全面的功能,涵盖了DOM攻击、反射型攻击及存储型攻击的检测能力。借助启发式探测策略,对疑似注入点进行深度验证,通过运用多种XSS检测载荷,有效地降低了漏报与误报的风险,确保了检测的精确性与高效性。
>通用漏洞检测模块
针对通用漏洞,本系统采取主动与被动相结合的检测策略。主动检测环节依赖于基础信息采集模块获取的结果,通过分析这些结果,系统会选择并执行相应的检测插件,然后以检测URL作为输入进行深入检查。而在被动检测阶段,我们执行智能爬虫程序,在网页内容的解析过程中,智能地识别并捕获潜在漏洞信息,随后调用插件进行准确验证。
该通用漏洞检测模块划分为server、cms、editor、edu、email、shop、oa、frame、lang以及other10个类别,特别针对0day漏洞,能够迅速设计并集成相应的检测插件,进行有效分类整合。
2.3.1.2云监测
(1)可用性监测模块
实施全天候(7X24)不间断的用户访问模拟,凭借全球分布的监控节点精确识别并定位网站的访问异常,从而优化网站的可用性,推动业务增长。实时报表全面展示了网站业务的运行状态,确保对可用率的实时掌控。
(2)网页内容检测模块
京公网安备 11010802045440号
