文档介绍:A1 包、信息安全服务一、供应商资格要求 1、符合《中华人民共和国政府采购法》第二十二条的规定。 2、供应商的资质要求:无二、技术要求为满足山东省统计局信息安全等级保护整改要求,需要调整完善现有网络安全整体规划、拓扑结构、设备配置、管理制度等。具体要求: 我局信息安全等级保护备案情况如下:三级系统 1个,二级系统 5个。目前以上六个系统已经完成等级保护相应等级的差距分析,要求根据差距分析测评结果完成等级保护合规性整改,以达到三级系统和二级系统的等级保护要求。服务内容相关要求网络架构调整 1、针对不同的安全等级和业务访问数据流,划分安全域, 梳理安全域边界访问控制策略; 2、根据需要规划调整 IP地址; 3、把和专网边界有数据交互的系统部署在专网 DMZ 区; 4、新增的防火墙需要划分出安全域,把相关应用从核心交换机上迁移到对应安全域; 5 、核心交换机安全加固,对重要的服务器系统作端口和 MAC 绑定,避免广播域中 ARP 欺骗导致的信息泄露、劫持攻击。限定管理 IP 、使用 SSH 替代 管理,特权用户权限分离,修改默认的 SNMP 字符串等。 6、划分 VLAN ,把各级业务系统划分到不同的 VLAN ; 7、制定非法外联检查和管理策略,绑定重要客户端、接入交换机的 MAC ,避免非法接入; 8、对单位内的无线网络安全评估, 清查私接 AP。新采购产品、软件的安装集成 1、防火墙产品的厂商协调,设备安装、上线、策略优化; 2、内网入侵检测产品的厂商协调,设备安装、上线、策略优化; 3、防病毒网关的厂商协调,设备安装、上线、策略优化; 4、Web 应用防火墙的厂商协调,设备安装、上线、策略优化; 5、堡垒机的厂商协调,设备安装、上线、策略优化; 6、SOC 管理平台的厂商协调,产品安装、上线、策略优化; 服务器和终端安全和集中管理改造 1、服务器安全评估,对发现弱口令和漏洞提出安全加固建议,并加固; 制定 windows 安全配置加固指南、 Linux 安全配置加固指南、 SQLserver 数据库安全配置加固指南、 Tomcat 安全配置加固指南、 AIX 安全配置加固指南、 DB2 数据库安全配置加固指南、oracle 数据库安全配置加固指南,在认证授权、安全日志审计、安全策略、管理协议方面满足等保要求; 应用安全改造 1、互联网开发的应用系统如门户网站、 FTP 、邮件等系统全面渗透测试,对发现的安全漏洞提出可整改的安全建议, 加固后提供二次复查; 2、对内网应用进行安全检查,避免通过安全漏洞侵入管理后台; 3、对B/S 和C/S 架构的应用进行安全评估,包括业务应用, 访问的客户端、通讯协议、数据传输加密方式、数据接口安全性,避免业务滥用、误用、盗用,信息泄露。对发现的安全漏洞提出可整改的安全建议,加固后提供二次复查; 业务连续性保障 1、对重要的数据识别,识别数据产生、传输、存储环节, 制定可操作落地的业务持续性计划,应急预案,灾难恢复预案,协助做一次预案演练; 2、制定服务器、交换机、UPS 电源等关键设备的运维计划; 建立安全管理体系,协助落地执行 1、协助完善信息安全管理制度,包括但不限于《安全管理机构类文档》《安全管理制度类文档》《人员安全管理类文档》《系统建设管理类文档》《系统运维管理类文档》,每类文档均要包含制度类、证据类和记录类文档,符合山东省统计局管理现状,具备可落地实施性。 2、协助加强人员安全管理,满足等级保护测评要求 3、协助规范系统建设管理,满足等级保护测评要求 4、协助规范系统运维管理,满足等级保护测评要求协助运维管理 1、信息化安全改造后,提供 6个月的新增设备和软件代维, 投标人需派专人 5*8 驻场服务,每周提供运维报告和设备日志分析报告。驻场人员需熟悉网络架构的调整、服务器配置、安全设备策略优化和日志分析; 协助甲方 SOC 系统实施应用,协助管理员进行事件分析、风险分析、预警管理和应急响应处理。 2 、运维管理应基于等级保护要求和山东省统计局管理要求,建立安全管理体系,协助落地执行, 同时基于等级保护测评要求,提前准备相关的资料; 3、合同签订后,提供一年的运维管理支持服务,包括每季度一次的互联网安全渗透、内网安全***、安全设备日志分析、协助安全加固,新上线系统的安全检查服务, 预计一年有 3~5个新系统上线。 4、提供手机端的安全通告服务,每日通告包括最新的安全咨询、 web 漏洞、软件漏洞、恶意代码、 POC 工具等信息, 每日通告数量不低于 20条信息,安全通告手机客户端软件支持 IOS 和android 系统。 5、按照等级保护规范要求提供应急服务。服务质量跟踪中标人应在每周现场服务完成后提交客户满意度调查表, 由采购人对当次服务情况进行评估。客户满意度调查表的提交和