返回
信息安全等级保护招标书-苏州工业园区服务外包职业学院.doc

信息安全等级保护招标书-苏州工业园区服务外包职业学院.doc

ID:54291164

大小:59.50 KB

页数:8页

时间:2020-04-15

信息安全等级保护招标书-苏州工业园区服务外包职业学院.doc_第1页
信息安全等级保护招标书-苏州工业园区服务外包职业学院.doc_第2页
信息安全等级保护招标书-苏州工业园区服务外包职业学院.doc_第3页
信息安全等级保护招标书-苏州工业园区服务外包职业学院.doc_第4页
信息安全等级保护招标书-苏州工业园区服务外包职业学院.doc_第5页
资源描述:

《信息安全等级保护招标书-苏州工业园区服务外包职业学院.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、一、谈判项目:信息安全等级保护测评服务1项二、采购需求:本次项目预算金额:元(壹拾万圆整),超过此价格报价视为无效。(一)、项目目标按照国家信息安全等级保护工作规范及技术标准,对苏州工业园区服务外包职业学院信息系统进行等级保护定级,并对信息系统的安全现状实施测评,掌握信息系统安全状况、排查系统安全隐患和薄弱环节,通过与标准进行比较,找出存在不足和缺失的地方,明确信息系统安全建设整改需求,为安全建设整改提供参考依据,让安全建设投入性价比最大化。通过安全渗透测试进一步明确信息系统安全建设需求,建立完整的安全防护体系和安全防护策略,提高信息系统安全保障能力。(二)、项目实施内

2、容:序号项目名称级别服务类别1苏州工业园区服务外包职业学院校园一卡通系统二级信息安全等级保护测评服务2苏州工业园区服务外包职业学院数字化校园系统二级信息安全等级保护测评服务3负责一个等保周期(两年)内,学校所有对外发布信息系统网站的安全漏洞检测及应急响应。(含待发布网站)安全服务备注通过对信网络与息系统进行系统边界梳理、资产识别、威胁分析、脆弱性识别、等保差距检查、安全渗透测试等一系列方式方法来实现信息系统的安全防护,建立信息安全防护体系,提高安全防护保障能力。1.资产边界分析1)分析待评估资产范围;2)划分内部资产子系统;3)对各子系统进行边界确认;4)确定最终资产子

3、系统边界;2.资产识别1)根据资产表格进行资产审计;2)分组对本地、非本地区域资产进行有效录入登记;3)每类资产明细需要审计资产详细配置与当前状态;3.威胁识别1)从物理准入控制、机房温湿度控制、机房防尘、机房电源、接地、机房屏蔽、以及防雷、防火、防盗等多个方面进行物理威胁识别;2)从网络拓扑、地址分配、VLAN划分、路由协议、准入控制、访问控制等多个方面进行网络威胁识别;1)从系统来源、系统补丁、账号安全、密码安全、审计安全、安全服务、恶意代码防护等多方面进行系统威胁识别;2)从应用服务平台、数据库安全、中间件安全、代码安全、数据安全、账号安全、密码安全、审计安全等多

4、个方面进行应用威胁识别;3)从组织架构、人员安全、管理规定、合规性、应用连续性要求等多个方面进行管理威胁识别。2.脆弱性识别1)从物理准入控制、机房温湿度控制、机房防尘、机房电源、接地、机房屏蔽、以及防雷、防火、防盗等多个方面进行物理脆弱性识别;2)从系统来源、系统补丁、账号安全、密码安全、审计安全、服务安全、恶意代码防护、日常运维等多方面进行系统脆弱性识别;3)从网络拓扑、地址分配、VLAN划分、路由协议、准入控制、访问控制、日常运维等多个方面进行网络脆弱性识别;4)从应用服务平台、数据库安全、中间件安全、代码安全、账号安全、密码安全、审计安全、日常运维等多个方面进行

5、应用脆弱性识别;5)从数据备份及恢复、应急响应、灾备与冗余等多方面进行数据脆弱性识别;3.已有安全措施识别1)识别已有操作系统安全策略;2)识别已有应用系统安全策略;3)识别已有网络系统安全策略;4)识别已有安防系统安全策略;5)识别已有机房系统安全策略;4.等保测评:按照用户现状参照所定等级对应的技术要求进行测评分析,对评估对象的现状作记录,包括物理安全、网络安全、主机安全、应用安全、数据安全及备份和恢复;按照用户系统现状对应的管理要求进行测评分析,对评估对象的现状作记录,包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。1)识别信息安全风险。

6、通过对苏州工业园区服务外包职业学院重要信息系统在安全技术和安全管理方面的分析,发现信息系统在安全技术和安全管理方面与相应安全等级保护要求之间的差距,并进行风险分析,出具差距分析报告,明确信息系统面临的风险。2)增强安全防护能力。依据差距分析报告的结果,并结合苏州工业园区服务外包职业学院的实际情况,区分轻重缓急,制定针对性的安全整改计划,通过安全整改不断提高信息系统的整体安全保护水平。1.测评结果分析1)单项测评结果判定2)单元测评结果判定3)整体测评分析4)形成测评分析报告5)针对测评分析报告的整改建议2.安全渗透测试:渗透攻击测试服务检查和发现信息系统的漏洞和安全薄弱

7、环节,通过检查结果了解信息系统的安全现状,提供有效可行的安全解决方案。1)渗透测试的范围:校园一卡通系统和数字化校园系统。2)渗透测试的内容Ø工作内容包括渗透测试及提供安全解决方案。Ø本次渗透测试工作为灰盒测试。3)需要包含如下阶段Ø前期交互阶段:与用户组织进行讨论,确定渗透测试范围和目标。Ø信息搜集阶段:采用各种方法搜集用户方的所有相关信息。Ø威胁建模阶段:使用在信息搜集阶段所获取到的信息,标识出目标系统上可能存在的安全漏洞与弱点。Ø漏洞分析阶段:综合前面几个环节获取到的信息,从中分析和理解,找出攻击途径和攻击方法。Ø渗透攻击阶段:针对

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。