广州市旅游局2014年度网站运行维护采购项目项目.doc

广州市旅游局2014年度网站运行维护项目服务内容 主要内容包括网站渗透测试服务、安全加固服务、应用系统安全保护等级定级、网页防篡改服务、Web应用防护服务。确保通过专业的综合服务全面提升采购人信息系统安全防护能力，实现信息系统的纵深防御。 一、安全风险评估服务内容 序号 分项 需求 服务方式 要求 1 等保定级、差距测评服务 完成4个信息系统等保定级、差距测评分析服务工作 1次 见“应用系统安全保护等级定级服务” 2 漏洞扫描 漏洞扫描服务主要使用漏洞扫描工具，通过远程的方式对被评估对象进行一系列的安全探测，以发现网络中和系统中可能存在的安全隐患。 安全扫描过程中主要是通过评估工具以远程扫描的方式对评估范围内的系统和网络进行安全扫描，从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。 每季度1次 共计4 次 见“漏洞扫描服务要求” 3 渗透测试 借鉴黑客攻击的手法和技巧，在可控的范围内对目标信息系统进行测试，全面挖掘漏洞，只管显示信息系统面临的风险，提供渗透测试报告 每季度1次 共计4次 见“渗透测试服务要求” 4 安全加固 针对业务数据网络系统提供以下安全加固内容：主机设备安全加固；网络设备安全加固；业务系统安全加固。 提供详细的系统加固和优化方案，并对加固范围内的对象进行修补加固，在修补和加固完成后应不影响修补加固对象原有的功能和性能 每季度1次 共计4次 见“安全加固服务要求 应用系统安全保护等级定级服务 服务规模 本项目定级的系统清单如下： 序号 信息系统 待定级别 1 旅游企业管理系统 三级 2 旅游企业统计系统 二级 3 旅游统计系统 二级 4 市旅游局政府网办系统（导游证IC卡管理系统） 三级 服务内容 根据《信息系统安全保护等级定级指南》，对采购人的管理信息系统进行定级，编制定级报告和定级备案表。 等级保护评估 信息安全服务提供商针对本项目提供的等级保护评估服务，包括以下过程： a.确定评估范围：明确本次被评估系统的范围，包括每个信息系统的范围、各个等级信息系统的范围，信息系统的边界等。 b.获得信息系统的信息：通过调查或查阅资料的方式，了解被评估信息系统的构成，包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。 c.确定具体的评估对象：初步确定每个等级信息系统的被评估对象，包括整体对象，如机房、办公环境、网络等，也包括具体对象，如边界设备、网关设备、服务器设备、工作站、应用系统等。 d. 确定评估工作的方法：根据广州市旅游局信息系统安全等级情况、系统规模大小等，本次评估采用普查的方法。 e.制定评估工作计划：制定评估工作计划或方案，说明评估范围、评估对象、工作方法、人员组成、角色职责、时间计划等。 等级保护定级 信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。确定信息系统安全保护等级的一般流程如下： 确定作为定级对象的信息系统； 确定业务信息安全受到破坏时所侵害的客体； 根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度； 依据测评结果得到业务信息安全保护等级； 确定系统服务安全受到破坏时所侵害的客体； 根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度； 根据测评结果得到系统服务安全保护等级； 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。 上述步骤如图所示： 专业漏洞扫描服务 专业漏洞扫描服务是指用扫描工具对广州市旅游局信息系统进行扫描，扫描包括对各种操作系统、应用软件（office，adodb等）、网络设备等多类进行安全检测，检测将发现当前系统及软件中存在的漏洞信息，扫描完毕后将生成扫描检测报告，使采购人能对自己的网络安全状况有真实的了解，从而制定出科学合理的系统加固及风险规避计划。 服务规模 专业漏洞扫描的服务规模包括网络和安全设备、系统软件、业务应用系统等，如下表所示。 序号 设备名称 设备型号 单位 数量 备注 一 网络和安全设备 　 　 　 1 核心交换机 H3CS5600-26C 台 1 　 2 核心交换机 H3CS5500S-26 台 1 　 3 入侵检测系统 天融信Topsentry2000Ts-2204 套 1 　 4 防火墙 天融信NGFW4000TG-4324 套 1 　 5 网络审计系统 明御 套 1 　 6 楼层交换机 H3C S3600-52P