一、项目背景

   遵照国家网络安全法及网络安全等级保护2.0相关要求，加强网络安全运维和网络安全技术防护，加强网络安全的监测、预警、防护、通报和应急处置能力，加强对网络安全攻击行为的感知和分析，保障网络安全工作持续有效开展。

二、项目目标

   通过提供专业的网络安全技术服务，为信息资产提供安全运维及病毒防护服务，实施安全监测、预警、安全风险分析、安全威胁和安全态势的感知和分析、安全防守手段测试、安全事件处置技术支持、安全重保协防、安全培训宣传等，加强网络安全运维及安全防护能力，提升师生安全防范意识和安全防护能力。

三、安全服务项

网络安全检测和协防服务

1. 网络安全运维服务;

2. 安全检测技术服务（漏洞扫描、系统上线前安全技术检查、渗透测试等）；

3. 态势感知技术服务；

4. 重保协防服务;

5. 应急和演练服务；

6. 规划宣传和培训服务；

7. 服务期限为一年；

8. 包含服务提供中相关的网络安全软件授权使用、安全设备租用、实施服务过程中所使用的安全工具提供、安全技术人员等；

四、安全服务方案

4.1 服务模式及周期

   4.1.1 服务方式为现场和远程相结合，服务周期为1年。

   4.1.2 服务期内技术人员本地服务提供不少于100人日/年

4.2 网络安全运维服务

4.2.1 安全运维服务

   1）人工和专业工具相结合对提供授权的信息资产包括安全设备、核心网络设备、主机等设备（不少于200台）、网站和应用系统（不少于500个）等信息资产进行定期（周、月、学期）检查，验证检查中发现的漏洞等，形成相应的检查报告。

   2）日常网络安全运维，对所有安全设备进行日常安全维护（每日维护、每月总结），对发现的安全风险提供技术解决方案。

   3）综合分析和评估网络安全设备的运行状况，按需进行安全设备和系统的安全方案及安全策略实施和优化等。

   4.2.2 协助采购人完成公安机关和上级单位的检查以及完成下达的任务

   1）协助采购人完成公安机关和上级部门的网络安全例行检查任务和专项检查任务。

   2）协助采购人完成上级部门下达的网络安全相关任务。

交付物：《安全检查报告》、《日常安全运维报告》、《漏洞验证工作记录单》等。

4.3 安全检查服务

系统上线前的安全检查服务

   1）按需提供对部分重要系统进行上线前的安全检测（不少于20个），包括系统漏洞扫描和应用漏洞扫描、漏洞人工验证、漏洞整改建议、整改后的复测等，提供安全检查报告。

   2）为保证网络安全检查过程的安全可控，上线前的安全检查设备（例如web扫描、主机扫描、弱密码扫描）或软件需为具备软件著作权或销售许可证的商业产品，不得使用开源工具，提供相应证明材料和工具使用授权书，并承诺一旦成交，如果服务过程中提供的工具无法达到预期效果，需按照采购人的要求进行更换。

   3）每个系统的上线前安全检查，至少包含2次复检。

交付物：《安全检测报告》。

• 渗透测试服务

   1）使用专业的渗透测试设备，采用人工和工具结合的方式模拟黑客攻击手段，通过信息收集、漏洞挖掘及分析等，对部分重要系统进行渗透测试（不少于10次，不超过15次）。

   2）为保证渗透测试过程的安全可控，使用的渗透测试设备需为具备软件著作权证书或销售许可证的商业产品，不得使用开源工具，如果服务过程中提供的工具无法达到预期效果，需按照用户要求更换工具。

   3）每个系统的渗透测试，包含至少1次复测。

交付物：《渗透测试报告》。

4.4 校园网全网漏洞扫描服务

  1）提供校园网全网定期和不定期漏洞扫描服务，提供漏洞扫描所需的设备；

   2）漏洞扫描设备（包括web扫描、主机扫描、弱密码扫描）或软件不得使用开源工具。

   3）按需制定漏洞扫描方案，对安全扫描、安全通报的漏洞进行人工验证，按需进行特定事件、特定时期的扫描，人工验证并分析漏洞，形成分析报告，按需调整扫描方案。

交付物:《漏洞扫描报告》《漏洞验证报告》等。

4.3 内网态势感知技术服务

  为校园建设提供内网安全态势感知综合分析服务，配备专业设备或软件，如APT、流量采集探针、安全管理中心、安全态势综合分析平台等，通过采集学校全流量数据（瞬时流量不低于20G）、日志数据、并结合第三方威胁情报，进行综合分析。服务内容包括安全事件定位取证，黑客攻击溯源分析，内外部威胁、失陷主机、攻击手段排行等。按月提供分析报告。

   1）态势感知分析平台支持接入多种类型探针，如流量采集探针、APT探针、日志采集探针（日志采集方式应支持但不仅限于Syslog、kafka、ftp、部署代理等4种方式），数据处理性能≥10000EPS，每条数据＞1KB，支持接入的流量采集探针数量不少于两台，支持接入的APT探针不少于两台。

   2）态势感知分析平台应支持不少于8种的机器学习分析场景模型，可检测发现勒索挖矿告警数异常、安全设备日志数异常、网络会话数异常、域名请求数异常等特定场景条件下的安全态势异常。

   3）提供资产发现服务，通过对采集到的校内流量进行资产发现服务，发现内容包括资产类型、资产指纹信息。资产类型涵盖终端、Web服务器、DNS服务器、邮件服务器、FTP文件服务器、网络设备、安全设备等，支持形成资产类型分布、资产弱点、资产健康度、资产风险分布等分析数据，进行态势展示。

   4）提供威胁情报服务，利用自有威胁情报，结合校内网络流量数据、资产的日志数据，进行综合分析，提高对事件研判的准确性：

       4.1）除自有威胁情报外，还应支持第三方威胁情报和采购人自有威胁情报，支持通过离线导入或手动编辑添加的方式，形成本地威胁情报，允许采购人自建情报库，并实现情报库的增删改查、导入、导出功能。

       4.2）碰撞情报IOC支持通过情报源、IOC类型、标签、置信度等多维度进行碰撞分析，内置威胁情报条数不少于400万条。。

   5）学校网络安全态势可视化展示服务，并利用大屏展示将安全态势进行呈现，大屏的展示内容应包括：外部攻击态势、横向威胁感知、资产失陷态势、web业务系统安全态势攻击者追踪溯源、资产威胁溯源、资产网络链接状态图等。

   6）提供攻击溯源调查取证服务，支持调查场景的四维自定义攻击流向图取证，攻击趋势取证、攻击链分布取证、和实体信息取证，展示攻击者和受害者的威胁情报与资产信息，可联动会话详情，点击查看不同溯源维度的会话详情，通过请求头，payload等详情字段定位攻击。

   为保证安全防护过程的安全可控，使用的专业设备和软件等工具需为具备软件著作权证书或销售许可证的专业产品，不得使用开源工具，如果服务过程中提供的工具无法达到预期效果，需按照用户的要求更换工具。

交付物:《安全风险分析报告》、《攻击排行报告》、《分析取证处置报告》等。

4.5 网络安全重保协防服务

1、提供网络安全重保前的专项安全检查，包括：漏洞扫描、主机扫描、安全策略配置等。

2、按需在重要保障时期（如国家或学校重大活动）提供7*24安全值守（按需提供本地或远程值守），在值守期间紧急情况及时预警，并且应对突发情况，及时解决安全事件、减少安全风险。

3、重保结束后，进行经验总结，整理出重保过程中发现的安全防护薄弱点，并提出整改加固建议，为学校加强网络安全防护。

交付物：《重点保障方案》、《安全值守报告》

4.6 应急和演练服务

1、安全事件应急响应服务

   1）提供应急响应服务，当系统出现恶意入侵、黑客攻击、恶意资源消耗、病毒爆发及其他各类突发安全事件时，在1小时内，为采购人开展系统安全恢复、应用服务恢复、网络性能恢复、网络病毒灾难恢复等服务，并对发生的安全事件进行分析，开展安全事件入侵追踪和取证、犯罪取证、事后安全风险分析及加固服务。

   2）如果在处置过程中，服务商需要提供应急处置所必须的设备、软件等，以保证及时有效处理网络安全事件。

   3）发生重大网络安全事件时，协助采购人准备上报公安机关和上级部门的相关材料，安排资深技术人员提供技术支持。

2、提供安全攻防演练服务，包含测试和演练中所需人员、设备、软件、模拟场景等，在真实网络环境下，攻击方模拟黑客组织对学校指定的网站、内网应用系统等目标系统进行入侵，检验采购人防护措施的有效性。并安排专业的防守人员，根据学校的安排进行防守。攻防演练过程中，以拿到被攻击系统的最高权限为目标，不能使用DDos攻击等会影响系统正常运行的手段。攻防演练结束后进行经验总结，为采购人对安全防护薄弱的地方提供安全加固方案，提高学校抵抗黑客攻击的能力。交付物包括演练方案、防护方案、复盘总结、整改方案等。

   1)制定实战攻击演练方案及流程，为采购人准备演练资源，提供安全防护需要用到的设备或软件，如蜜罐等。

   2)开展攻击演练，对采购人授权范围内的所有资产进行攻击。

   3)根据演练结果，为采购人进行问题修复和整改。

交付物：《应急响应报告》《攻防演习开展方案》《攻防演习总结报告》

4.7 安全规划及宣传培训服务

1、提供安全规划服务，根据业务和建设需求，开展整体安全规划设计，安全规划设计内容应满足等级保护2.0的合规要求，规划内容包括但不限于现状分析、整体目标、安全体系架构设计、安全建设方案、规划实施路径等。设计方案应明确系统安全域划分、安全设备部署、安全防护策略、数据安全防护、密码应用等内容。

2、结合国家和上级监管部门的要求，依据采购人的实际情况和需求，组织开展各种形式的网络安全宣传活动，全校范围内大型活动不少于2次。

3、按需提供安全意识、安全技术和安全技能相关培训，全校范围大型培训不少于2次，部门范围的技术技能培训不少于8次。

4、按需提供网络安全宣传和培训所需的材料、人员等，并组织开展学校网络安全相关的会议和活动。

交付物：《安全规划方案》，《宣传活动总结报告》、《培训材料》、《培训纪要》。

3.8服务能力要求
供应商具有国家认可的机构颁发的有效期内的与本项目相关的信息系统安全服务资质（包括但不限于安全运维和安全应急处理），提供证书复印件。

4.8 技服人员方案

1、提供优秀的项目实施队伍，应成立专门的项目组，为保证项目实施质量，项目组人数要求不少于10人。其中，具有注册信息安全专业人员（CISP）或信息安全保障人员认证（CISAW）应急响应方向等有效的国家认可资质的安全技术服务人员不少于5人。5人中较高级别技术服务人员（拥有5年以上与本项目类似的安全类从业经验，同时具备注册信息安全专业人员（CISP）和信息安全保障人员认证（CISAW）应急响应方向两种证书的高级技术人员）不少于3人。3人中至少有一人具有网络安全规划项目的实施经验。

2、派遣专人担任项目经理，项目经理应同时具有有效期内的信息系统项目管理师专业技术人员职业资格证书、信息安全保障人员认证证书（CISAW）、注册信息安全专业人员（CISP）证书，具备安全服务项目经验，拥有5年（含）以上与本项目类似的安全类从业经验。

3、服务期内项目经理和至少一名专职网络安全工程师对接跟随运维服务，及时响应各项服务需求。从事系统安全检测分析、策略优化、安全渗透、威胁情报及态势感知分析、安全事件技术支持、安全方案等相关工作的人员须为较高级别技术人员。为保证安全运维服务及态势感知分析服务质量，专职网络安全工程师需同时具备信息安全保障人员认证（CISAW）安全运维方向证书和注册信息安全专业人员大数据安全分析师（CISP-DBSA）证书。

4、提供项目组成员名单、职责和一二线通讯方式。

了解更多安全解决方案请拨打：400-116-9959