年度一体化安全运营能力服务需求

年度一体化安全运营能力服务需求（一）项目概况为进一步完善我县业务网络和数据安全体系建设,提升应对网络安全威胁和数据安全风险的能力，守牢安全底线。为保证县安全运营分中心，除了自有服务能力外，还需要按年采购专业服务。2024年度一体化安全运营能力服务项目服务期12个月。（二）服务清单序号服务项分项建设内容1安全监测服务网络态势安全感知服务网络态势安全感知服务,动态感知全业务外网各类安全隐患。2代码审计服务平台服务+人工审计费用（含22个应用系统的人工审计服务）。3渗透测试服务对80个应用系统进行渗透测试，发现应用系统中存在的网络和数据安全缺陷，并提供改进建议。4安全防护服务终端安全防护服务提供平台运维分析和5000个终端的防护服务，做好入侵防御、安全事件溯源、主机微隔离、安全态势分析、资产管理等终端安全管理与防护。5云防护服务提供10个站点云监测、黑链监测和云防护服务，以及120个站点的应用存活、平稳度7*24小时监测服务。6安全运维服务重要节假日及重大活动安全保障服务在国庆、春节、省市县攻防演练等重要时期，提供7*24小时厂商专家安全值守服务及特殊时期安全保障服务。7日常安全运维服务提供全县业务网络和公共数据一体化安全运营服务，确保安全运营中心正常运转。8云桌面运维服务云桌面服务器及配套软件的运维服务。9日志审计服务提供全县业务外网、业务云平台和设备日志审计服务,存储时间不少于180天。10基线核查服务每季度对业务外网的服务器、操作系统、数据库、网络设备、安全设备等进行1次基线核查服务。（三）服务内容1.安全监测服务1.1网络态势安全感知服务电子业务网络中包含有大量的网络设备、服务器、应用系统等，同时随着安全体系的逐步完善，还会增加大量的安全设备。这些数量庞大的网络设备、安全设备在日常运行中会产生大量的安全信息、告警信息，同时又彼此独立，成为一个个的安全孤岛，传统分散的管理方式效率低下而且无法抓取重点信息。为了实现对网络安全资源的统一管理，提高安全事故发现的时效性和处理的效率，需要建立网络态势安全感知，对区域内业务网络资产情况、风险情况、事件情况、告警情况进行整体态势分析，并依赖其开展通报预警、应急处置等相关技术支撑和运营工作。自备的网络态势安全感知服务工具参数要求如下，该工具使用授权时间12个月：技术指标具体要求数据采集种类支持内置180余种的数据源类型开箱即用，默认可接入各类硬件设备和应用系统，包含但不限于主机、防火墙、IPS/IDS、WAF、网络设备、安全设备、数据库、应用系统、中间件、存储；设备、虚拟化设备、机房设备等多种设备和系统的日志接入方式。数据丰富化通过图形化操作对解析标准化后的数据进行信息的丰富化，提供更为全面的安全日志，补齐的信息包括：二元组、五元组、资产信息、地理位置信息等。XDR分析规则具备多种分析规则；能够覆盖常见的安全场景。APT检测APT专项行为检测，针对流行APT攻击总结行为或环境特征规则，分析实时数据流，检测相关APT攻击；APT专项病毒检测，基于长期的历史研究积累，针对APT使用的病毒、恶意样本进行专门查杀，能有效检出已知类型的APT恶意样本。威胁情报态势支持展现威胁情报总量、更新情况，当前系统中威胁情报的分类、数量。以及当前系统威胁情报告警情况，高频命中的情报IOC、攻击团伙\家族等。运行监控态势支持运行状态异常的节点给出告警提示；支持监控接入各数据源的数据上报情况，支持实时展示整体日志采集速率、告警生成速率，以及整体安全信息的入库速率。风险资产分析所有产生的告警中，提炼出遭受到攻击的内网资产信息，从而方便快速排查具体内网资产的风险情况；支持通过资产名称、资产IP、资产标签、是否存在漏洞、是否失陷等条件对风险资产进行检索；支持通过失陷状态、风险等级、最近受攻击事件等维度进行风险资产排序。威胁情报支持针对域名、IP（加端口）、URL的查询，判定恶意类型包括APT攻击、勒索软件、挖矿软件、网银木马、窃密木马、黑客工具、后门软件、僵尸网络、常规木马、矿池数据、其它远控。1.2代码审计服务本地平台年服务应用上云前进行安全监测包括但不限于代码审计等工作，本服务在本地部署代码审计平台，由安全运营中心人员对代码进行本地化审计服务。代码审计外部专家支撑年服务对的应用系统，在本地团队用本地代码审计平台做初审前提下，由第三方专业技术人员检测和审计，通过人工和工具相结合的方式,对应用系统的源代码进行分析查看,并提供相应的修复建议。本服务的服务期限为12个月，提供22个应用系统的审计服务。1)源代码设计源代码设计问题通常来源于程序设计之初，例如代码编写工具的使用等。在这方面的审计主要是分析代码的系统性和约束范围，主要从下面的几个方面进行：不安全的域、不安全的方法、不安全的类修饰符、未使用的外部引用、未使用的代码。2)错误处理不当这类问题的检查主要是通过分析源代码了解程序在管理错误、异常、日志记录以及敏感信息等方面是否存在缺陷。如果程序处理这类问题不当，最可能的问题是将敏感信息泄露给攻击者，从而可能导致危害性后果。这类问题主要体现在以下几个方面：程序异常处理、返回值用法、空指针、日志记录。3)直接对象引用直接对象引用意指在引用对象时没有进行必要的校验，从而可能导致被攻击者利用。通过代码检查，审计人员可以分析出程序是否存在直接对象引用以及相应的对象引用是否安全。直接独享引用问题主要有以下几类：直接引用数据库中的数据、直接引用文件系统、直接引用内存空间。4)资源滥用资源滥用是指程序对文件系统对象、CPU、内存、网络带宽等资源的不恰当使用。资源使用不当可能导致程序效率降低，遭受拒绝服务攻击的影响。代码检查中，审计人员将会根据编码规范分析代码中对各种资源的引用方法进行分析，发现其中可能导致资源过度占用方面的问题。资源占用方面的问题主要有以下几类：不安全的文件创建、修改和删除、竞争冲突、内存泄露、不安全的过程创建。5)API滥用API滥用是指由系统或程序开发框架提供的API被恶意使用，导致出现无法预知的安全问题。检查过程中，审计人员将会针对此类问题来对源代码进行分析以发现此类问题。API滥用主要有下面几种类型：不安全的数据库调用、不安全的随机数创建、不恰当的内存管理调用、不全的字符串操作、危险的系统方法调用。自备相应的服务工具参数要求如下，提供1个平台端授权，授权期限12个月：技术指标具体要求功能概述采购源代码缺陷分析与代码保障系统，支持企业级源代码缺陷分析、源代码缺陷审计、源代码缺陷修复跟踪功能。在不改变企业现有开发测试流程的前提下，该系统与软件版本管理、持续集成、Bug跟踪等系统进行集成，将源代码安全检测融入企业开发测试流程中，实现软件源代码安全目标的统一管理、自动化检测、差距分析、Bug修复追踪等功能，帮助企业以最小代价建立代码安全保障体系并落地实施，构筑信息系统的“内建安全”。源代码静态安全检查功能支持C、C++、Java、PHP、Go、Python等主流编程语言开发的软件源代码的缺陷检测。支持SQL注入、跨站脚本、敏感信息泄露、硬编码密码、逻辑表达式、API误用、异常处理等常见安全缺陷问题的检测。支持对源代码缺陷分析模板的灵活配置，具体到每一个缺陷类型，内置模板不少于18个。支持缺陷白名单功能，对缺陷可以根据具体规则和扫描语言，配置白名单。白名单生效范围可针对具体项目和所有项目。支持文件白名单功能，可以对多个文件或文件夹进行过滤，不统计该文件和文件夹下检测的问题结果，提高系统检测精准性。支持对检测失败和已有的任务重新发起检测，无需重新上传代码。源代码缺陷审计功能能够对源代码安全扫描结果进行汇总，并按照问题的严重性和可能性进行威胁级别的划分，如高、中、低等多个级别。能针对每一个源代码检测任务能够展现相关信息，如任务名称、任务类型、代码总行数、平均缺陷密度等信息。源代码软件组成分析功能可通过识别出的开源组件与漏洞库进行匹配，发现项目中引用的、存在已知漏洞的开源组件，并提供漏洞清单。关联开源组件与项目，可快速搜索引用了某一开源组件的项目。包括已经发布的项目和正在开发的项目。内置常见的CVE漏洞和全部的CNNVD漏洞，CVE漏洞库和CNNVD漏洞库支持本地升级。提供组件清单功能，展示组件来源，组件版本、组件生态，组件许可证，并提供组件对应的漏洞分布信息。默认提供规则集对代码进行审计，默认提供全部、代码规范和安全缺陷三个档位的规则集，也支持用户自定义规则集。提供自定义检测规则功能，自主添加检测规则用于源代码缺陷检测。支持使用ping、telnet、curl工具对其他服务器发起探测请求，排查网络问题。1.3渗透测试服务根据相关要求，对相关应用系统（80个应用系统）进行一次渗透测试，发现应用系统中存在的网络和数据安全缺陷，并提供改进建议。通过真实模拟黑客使用的工具、分析方法来对应用系统进行模拟攻击，结合智能工具扫描结果和人工确认，进行深入的手工测试和分析，从而充分识别应用系统风险并要求进行整改。具体服务要求包括：渗透测试服务技术要求对用户提供的系统，通过白盒、黑盒或灰盒方式进行测试，发现网络和应用系统中网络和系统存在的安全缺陷，提供渗透测试报告和改进建议。支撑、保障服务技术要求：1）在服务期模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试。2）服务人员提供的渗透测试报告，必须包含漏洞从发现到最终利用的整个过程记录。2.安全防护服务2.1终端安全防护服务完善业务外网内各单位的终端安全防护机制，在业务外网网络边界进行相应安全防护，配置访问控制策略，抵御网络内部攻击，终端授权管控提供5000个授权。可进行主机入侵防御、安全事件溯源、主机微隔离、安全态势分析、资产管理等终端安全管理与防护。自备相应的服务工具参数要求如下，提供1个平台端、5000个客户端使用授权，授权期限12个月:技术指标具体要求终端资源占用要求对终端系统CPU占用低于2%，内存占用低于200M，终端软件不大于1M。终端支持的操作系统要求支持多种操作系统，包括但不限于RHEL/CentOS632/64位、RHEL/CentOS732/64位、Ubuntu、Debian、Suse、SunOS5.10、Windows7及以上、WindowsServer2003及以上、中标麒麟、银河麒麟、KaliGNU/Linux2020.1x64server、MacOS、UOS等操作系统。系统信息采集要求支持采集系统基本信息采集，以及硬件信息、操作系统信息、补丁信息。系统日志监控要求支持系统日志类信息的采集、进程创建事件监控、目录、文件审核监控、注册表读写、U盘插拔读写监控。终端漏洞发现具备漏洞发现引擎，无需要远程扫描，即可发现终端资产存在漏洞；支持展示漏洞TOP与漏洞分布情况，进行漏洞评估，展示漏洞情况和列表，并能以漏洞视角查询命中的终端。漏洞库数量漏洞库兼容CVE、CNVD、CNNVD，漏洞数量大于22万。事件识别分析集中统计分析和展示识别到的攻击事件；支持安全事件的查询分析能力，支持提供快捷的全文检索条件，也支持通过时间范围、IP地址、事件类型、来源设备、威胁等级等条件进行查询，并对查询结果提供按时间分段的统计图，查询结果以列表形式进行展示；支持在页面内展示事件详细信息，事件详情包括但不限于：事件摘要、事件关键属性、攻击过程、涉及的攻击者、受害者详情，还包括关联的日志信息、情报信息，并展示攻击者使用的ATT&CK中定义的战术及技术，以及基于攻击流程展示各项攻击技术之间的关联路径。取证分析能力支持提供取证分析能力，支持取证日志快速检索分析能力；用户可查看终端所采集的所有原始日志、指纹信息等，可按日志类型、IP等过滤条件进行筛选。合规结果查询要求提供终端用户侧的自检方式以及合规结果查询。分析规则自定义能力用户可自行按日志内容进行配置攻击识别检测规则。隔离处置全面封锁隔离能力，包括主机隔离、网络链路封禁、文件隔离、进程查杀等。提供统一的访问控制策略设置，可配置访问控制，实现主机侧南北向、东西向细粒度的按需访问控制。支持对网络访问的入出站配置，控制访问，可按五元组进行配置。支持对主机进行隔离，仅保留与服务端的通信，便于解除隔离。一键响应提供一键响应操作，支持对终端风险的快速隔离，和访问的阻断控制。环境持续监控持续监控环境变化，动态评估终端环境可信，及时阻断超过风险阈值终端的访问。安全态势和可视化支持整体终端安全态势分析及可视化展示，包括攻击链统计、网络访问统计、威胁事件类型统计、攻击诱捕统计、弱点统计、事件列表、事件趋势统计等，支持系统整体评分，接入容量占比和月事件总数等。日志管理符合国家要求，能够收集、存储，并保留至少180天的终端日志，包括系统、服务、应用、用户访问等内容。诱捕能力终端侧支持系统、网站、数据库等服务模拟，进程、文件、漏洞模拟等诱捕能力，至少包括tcp、ssh、telnet、http、ftp、rdp、mysql、postgres、sftp、samba、tomcat等。2.2云防护服务根据相关要求，提供10个站点云监测、黑链监测和云防护服务，以及120个站点的应用存活、平稳度7*24小时监测服务。具体服务要求包括：1、提供10个站点的7×24综合安全监测和防护服务，本服务采用SaaS化形式，无须用户部署软件或硬件，包含远程网页挂马及黑链监测服务，验证确认疑似网页挂马事件、黑链事件并通告用户，响应用户反馈；提供WEB威胁防护、DDoS防护、敏感数据防护、数据防泄漏、威胁情报等防护；每月提供一次服务报告。2、提供120个站点的应用存活、平稳度7*24小时监测服务。对网站通断，响应延迟，异常返回码三种问题提供监测能力；每月提供一次服务报告。3.安全运维服务3.1重要节假日及重大活动安全保障服务在国庆、春节、省市县攻防演练等重要时期，提供7*24小时厂商专家安全值守服务及特殊时期安全保障服务。需提供7*24小时安全值守，提供安全应急响应的技术支持，提出安全建议，判断事件类型，处理安全事件，降低安全风险和影响，并每日提交日报。重要时期安全保障服务提供现场服务，根据具体的服务内容，现场服务一般包括下列内容：（1）安全漏洞扫描（2）主机安全检查（3）安全值守服务（4）安全日志分析（5）应急响应服务非现场服务一般包括下列内容：（1）信息安全通告（2）信息安全咨询（3）对外服务检查（4）WEB站点渗透测试（5）网站安全监测服务3.2日常安全运维服务（1）确保安全运营中心的有效运转：制定合理的管理制度和工作流程，确保平台正常、稳定地运营。

（2）安全规章制定：制定安全运营中心的安全规章，明确中心安全目标、安全策略和安全措施，并负责保护业务网和业务云的数据安全和网络安全。

（3）资源调配和协调：对安全运营中心资源进行全面的调配和协调，包括网络设备、服务器、安全大脑平台和人力资源等，保证中心运作的正常性和优化性。

（4）安全事故应急处置：在遭受到攻击或其他安全事件时，及时组织应急处理，采取相应的安全措施，尽可能减少安全损失和风险。本服务的服务期限为12个月，服务具体要求包括：数据安全运营服务服务项服务要求数据安全运营服务资产权限管理依托数据库权限管控系统、对权限申请工单、运维人员账号、身份信息，敏感资产以及敏感资产访问权限进行维护管理。安全策略管理结合业务场景，合理配置安全产品防护策略，如脱敏策略、数据库安全防御策略、风险防御策略、敏感sql等。定期对数据安全产品的使用情况进行分析，并结合管理要求，持续进行管控措施策略和配置的优化，并定期输出策略优化建议。通过动态的优化，提高安全产品防护的精细度和告警的精确度，将日常威胁事件处理的数量控制在可人工处理数量级。安全审计分析结合数据安全审计日志，运营人员周期性对安全事件信息开展分析、审阅，对阻断事件、高危事件、可疑事件进行风险确认，发现系统中潜藏高危人员、高危操作、高危敏感数据等隐患。基于审计事件推动进行风险闭环处置工作，同时从多维度对审计数据做专业化分析，输出风险报表。安全告警管理依托数据安全管理平台的安全风险态势、资产分布、安全事件分析、告警分析等功能，结合人工分析，对告警有效去重、归类合并，持续对告警规则、告警级别设置优化，提高告警准确度，防止告警过载和遗漏。对已产生的风险告警事件，进行应急响应处理，同时深度挖掘，通过安全策略联动处置，确保漏洞修复。定期对告警事件处置情况总结分析，输出安全事件处理报告。安全作业服务日常运营中，公共数据平台业务接入需要时，确保产品能力提供。涉及数据安全产品实时作业任务、定时作业任务等，从设置、执行、结果验证全周期的技术支撑，确保达到预期效果。（2）网络安全运营服务安全运维服务负责运维业务网的核心安全设备和网络设备，根据等保要求做好日常运维工作，并提供运维服务报告。风险评估服务风险评估的工作内容就是根据国际和国内风险管理的思想，遵循国际和国内风险评估的方法论，由专业评估人员通过专业工具和分析手段，从技术和管理两个方面查找信息系统存在的漏洞，从资产评估、脆弱性评估、安全措施有效性评估以及综合评估，最终通过全面的分析，识别出当前系统所存在的风险，并在评估分析完成后提出针对性的风险控制规划措施。安全服务日常操作对安全大脑服务、终端安装服务所配备的工具做日常操作，在此基础上形成业务网的安全月报。（3）终端安全运营服务终端安全运维服务终端安全运营服务依托已经部署的全网资产管理系统和终端安全平台，从资产发现、安全合规、数据分析、风险预警、协同处置等方面入手，提高业务网内终端的安全自运营能力，是帮助目标资产扎实持续做好终端安全的风险监控与修补工作、为管理层提供可视化的与资产所有者关联的终端安全指标、推动终端安全水平提升。全网资产管理系统运营部署并运营全网资产管理系统，将资产和人员的管理作为安全保护的核心，构建以终端安全为核心的纵深防御体系，在基础指标的各个层面进行安全防护控制，形成一张立体防护网络，确保终端的安全。终端安全平台运营部署并有效运营终端安全运营平台，可以帮助安全管理者对业务网内终端安全定义可量化的指标，利用终端采集到的关键数据进行可视化的展示和运营流程的支撑，清晰地告诉安全管理者当前业务网内部终端安全情况，为下一步的安全运营决策提供参考。终端供应商和部门管理员协调服务协调终端供应商专业的人员团队，整合各部门管理员，提供闭环的安全管家式服务，目的是通过安全组织优化、安全技术保证、安全持续运作、安全衡量体系的建设和落实，全方位保障业务网内各个部门终端资产安全管理能力的逐步提升。3.3云桌面运维服务应用系统运维管理人员需要长期通过云桌面进行相应的开发和运维，本次提供云桌面运维服务。保障云桌面进行开发和运维时，将相应的数据存储于云桌面的服务工具，保障数据安全性和可靠性。运维管理人员能够通过云桌面服务管理平台统一对云桌面服务工具进行管理，一旦出现云桌面服务工具故障的问题，能够迅速排查云桌面服务工具故障，简化运维管理人员工作，提升工作效率。云桌面服务功能要求如下：指标项具体指标要求云桌面服务授权提供云桌面运维服务，服务期12个月。云桌面服务功能要求为确保业务连续性，云桌面服务平台需支持平滑滚动升级，支持集群不停机情况下的服务工具逐台升级，升级时自动迁移虚拟机至其他主机，不影响业务运行。支持虚拟机集中备份与恢复，可按需选择多个虚拟机或全部虚拟机备份至外置服务器，支持设置备份策略，实现全自动化备份。（提供第三方检测报告证明可对虚拟机备份并恢复）云桌面服务工具兼容性终端操作系统复杂，要求云桌面服务操作系统满足：支持Windows7/10/11、WindowsServer，支持三种以上的Linux虚拟桌面操作系统，其中要包含国产Linux操作系统UOS和麒麟。支持USB3.0高速存储设备，千兆网络环境中传输速率最高可达60MB/s,满足用户从桌面云高速访问本地大容量文件的需求。云桌面服务管理桌面使用需要支持个人虚拟磁盘功能（高速盘），通过管理界面，维护用户个人账号与虚拟化层保存的块存储文件的对应关系，提供为用户新建、分配、删除、锁定个人虚拟磁盘功能。该磁盘将在用户登录至某个随机变化桌面过程中，自动挂载至该虚拟机并分配固定盘符，并在用户注销时自动移除。桌面服务需支持模板链接克隆及完整复制虚拟机。链接克隆可以提高上线维护效率，完整复制虚拟机可以让虚拟机保持独立，不受模板单点故障影响。克隆时可指定虚拟机数量、运行位置、存储位置、网口信息、磁盘大小，并需支持链接克隆虚拟机转为完整复制虚拟机，本项目要求100个虚拟机派生时间不超过5分钟。监控运维为满足管理员日常运营数据统计与安全事件发生时信息追溯审计要求，平台应支持管理记录所有用户的登录记录，包括登录账号、终端IP地址、MAC地址、终端型号、登录登出时间等，并支持信息导出，以方便管理员输出报告。云桌面服务运维平台需支持虚拟机、主机、虚拟化集群、应用程序资源监控与故障分析功能，能够基于对象进行健康状态评分，分析资源使用情况，如CPU、内存、磁盘IO等，云桌面虚拟机能够支持应用进程、服务运行状态、外设连接等使用情况分析并能够支持常见的Windows、统信UOS、麒麟KylinOS操作系统。3.4日志审计服务日志审计分析平台是对日志数据的综合性管理平台，是网络安全、数据安全解决方案中极为重要的组成部分。通过对各类日志的全面采集、解析和全局关联分析，全面感知各种安全威胁和异常行为事件。提供事前可预警、事后可审计的安全管理能力，满足网络安全法、等级保护2.0、数据安全法等相关法律法规对日志数据的留存及审计要求。通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保业务的不间断运营安全。要求日志存储不少于180天，功能参数要求如下：指标项技术参数日志收集支持Sysl