1.测评对象及范围
本次等级保护测评对象为:湖南工程职业技术学院门户网站、教务管理系统、学管系统、办公系统、人事系统、数字化信息门户、移动APP、数据中心、一卡通、课程资源管理系统等10个系统。
2.服务内容
2.1等级测评(二级)
对被测评信息系统开展二级安全等级保护测评。协助学院完成等级保护备案。测评内容包括:
①物理安全测评
②网络安全测评
③主机安全测评
④应用安全测评
⑤数据安全测评
⑥安全管理制度测评
⑦安全管理机构测评
⑧人员安全管理测评
⑨系统建设管理测评
⑩系统运维管理测评
2.3风险评估
对信息系统进行风险评估,评估内容包括:网络结构评估、操作系统配置核查、应用系统安全评估、数据库安全评估、漏洞扫描、渗透测试、管理制度评估、风险分析及计算、风险处置建议。并协助进行加固。
2.3.1网络设备和安全设备安全评估
网络设备和安全设备安全配置检查主要是以人工的方式验证其安全配置是否符合其安全策略要求,检查的内容至少包括:远程管理服务、认证方式、管理IP地址控制、console端口管理、Service password密码、enable密码、帐户登录空闲时间、密码长度、更改SNMP的团体串、转存日志、日志保存要求、login banner信息、NTP服务使用、BGP认证、接入层网络设备端口控制、MAC绑定、网络端口等。
2.3.2操作系统安全评估
主要对操作系统的安全配置进行检查,检查内容至少包括:管理远程工具、访问控制、限制系统无用的默认账号登录、账号远程登录、口令策略、日志记录、日志存储、日志保存、日志系统配置文件保护、日志文件保护、服务优化、文件权限、控制用户登录会话、关键文件的安全保护等相关配置。
2.3.3数据库管理系统安全评估
主要对数据库管理系统的安全策略进行检查,检查内容应至少包括主机管理员帐号、数据库帐号、默认帐号、重要帐号设置、口令策略、帐号策略、public权限、日志审核、登录日志记录、数据库操作日志、日志审计策略、日志保存要求、日志文件保护、数据字典保护、监听程序加密、监听服务连接超时、服务监听端口等。
2.3.4中间件安全评估
对中间件的安全策略进行检测,检查内容应至少包括日志配置、脚本安全、目录权限设置、默认站点安全、Web服务扩展安全、出错页面安全、用户权限、文件安全、目录浏览、日志审计、示例文件、版本安全、身份鉴别、登录锁定、通信安全、并发数安全、运行模式、Server header安全、删除sample程序等。
2.3.5应用系统安全评估
对应用系统的安全机制进行检查,检查内容包括:校验码机制、口令策略、账号策略、认证失败处理、通讯加密机制、授权机制、会话管理、安全审计等。
2.3.6.1主机系统漏洞扫描
从被测系统内部或外部恰当选取测试点检查目标服务器存在的安全漏洞。
漏洞扫描策略如下:
①通用扫描策略:包括端口扫描、弱口令扫描、后门类扫描等;
②操作系统漏洞扫描:缓冲区溢出扫描、畸形数据包发送、蠕虫扫描等常见漏洞扫描;
③数据库漏洞扫描:包括口令猜测、本地缓冲区溢出扫描、拒绝服务攻击扫描等。
2.3.6.2应用系统漏洞扫描
从被测系统内部或外部恰当选取测试点,采用专业扫描工具检查目标系统应用层面存在的常见的安全漏洞,安全漏洞包括但不限于:SQL注入漏洞、XSS漏洞、文件上传漏洞、弱口令漏洞、中间件漏洞、目录浏览/遍历漏洞、越权访问、会话验证绕过、备份文件等。
针对扫描发现的系统漏洞和应用漏洞有针对性的采取测试工具和方法对漏洞进行验证性测试,并尝试进行授权和旁站测试,全面评估安全漏洞可以被利用的程度。
2.4安全整改加固
根据测评结果中的不符合项、结合湖南工程职业技术学院实际情况编制《湖南工程职业技术学院信息系统等级保护整改方案》,并协助完成整改加固工作。
2.5信息安全意识培训
组织1次信息安全技术培训,以介绍当前信息安全形势、政策和技术发展趋势,宣贯国家信息安全政策和工作情况,讲解信息安全专业知识及运维技能等。
2.6交付物
《湖南工程职业技术学院信息系统等级保护整改方案》
《湖南工程职业技术学院门户网站系统等级保护测评报告》
《湖南工程职业技术学院教务管理系统等级保护测评报告》
《湖南工程职业技术学院学籍管理等级保护测评报告》
《湖南工程职业技术学院办公系统等级保护测评报告》
《湖南工程职业技术学院人事系统等级保护测评报告》
《湖南工程职业技术学院数字化信息门户网站系统等级保护测评报告》
《湖南工程职业技术学院移动APP等级保护测评报告》
《湖南工程职业技术学院数据中心系统等级保护测评报告》
《湖南工程职业技术学院一卡通系统等级保护测评报告》
《湖南工程职业技术学院课程资源管理系统等级保护测评报告》
4、服务要求
4.1人员资质要求
投标人项目经理需具有技术及管理知识和经验(提供相关CISP资质证书),参与本项目的人员需具有2年或以上信息安全等级保护测评、风险评估服务工作经验。
4.2工具要求
在服务过程中,投标人使用的测评与评估工具应严格遵循可控性原则,使用的所有工具须符合信息安全等级保护测评与风险评估标准,已经过可靠的实际应用验证,且由投标人自行负责。投标人须承诺在项目实施过程中所使用的工具,投标人均具有合法使用权,免受第三方提出的侵犯知识产权的起诉。
4.3文档要求
投标人应按照等级保护测评、风险评估规范要求制定服务过程中产生的文档及其管理制度,做到科学、规范、详尽、统一。
4.4保密要求
对湖南工程职业技术学院信息保密,投标人不得在任何场合向,以任何方式第三方透漏招标人内部信息。
4.5应用标准要求
符合ISO质量管理标准体系、信息安全等级保护、信息系统风险评估要求。
5、付款方式
信息系统等级保护测评、风险评估完成验收合格后付95%。收到中标方的等级保护测评报告后五个工作日内支付合同总额的100%。具体付款方式以签订的采购合同为准,付款均凭正式税务发票,发票须由中标单位开具。
|