二、钓鱼邮件服务&安全意识教育与培训(每年一次): 根据网络安全法第三十四条、《信息安全技术网络安全等级保护基本要求》8.1.8.3安全意识教育和培训相关要求,定级对从业人员进行网络安全教育、技术培训等。 1、基于钓鱼测试服务,通过定期发送钓鱼邮件的方式,提升员工识别钓鱼邮件能力;通过嵌入式学习方式,推动企业强制性合规教育、防范商业邮件欺诈与勒索软件。 2、安全意识培训: 网络安全概述:通过典型事例了解网络安全的重要性,同时对网络安全法律法规的学习和了解,帮助职工更好的规范自己的行为,维护自己的权益。 办公安全:主要讲解作为单位职工,如何规范自身的行为,保障单位业务的持续运行,关键数据的机密性,防止因职工安全意识缺失造成单位严重损失。 个人安全:以个体为单位,主要了解如何保障个人隐私安全、防止信息泄漏、电信诈骗等。 风险评估(每年一次):根据网络安全法第十七条、第二十六条、《信息安全技术网络安全等级保护基本要求》8.1.4.4、8.1.10.5等要求,定期开展风险评估活动。派遣工程师到用户现场,梳理资产安全风险,模拟黑客攻击,检查系统、设备自身健壮性,验证可能遭受的安全威胁,并形成报告。 端口扫描:对检查目标全网进行端口扫描,涵盖300多种主流端口,如https的443端口、telnet的23端口、windows远程连接3389等,包括协议的默认和非默认端口,并且支持自定义端口。支持数据库端口,支持0-65535全端口扫描。 资产搜集:搜集检查目标网络空间中的存活资产。 资产识别:包括网络设备(服务器、路由器、交换机、ADSL、无线网络、网络存储等)、网络安全设备(防火墙、防病毒网关、网络入侵检测与防御、网络隔离和单向导入、上网行为管理系统、网络安全审计、VPN产品、移动安全、WEB应用防火墙等网络安全产品)。 漏洞评估:能够采用漏洞评估工具检测目标网络中有效资产范围内存在的安全漏洞,发现信息系统存在的安全漏洞、应用系统安全漏洞,检查系统存在的弱口令等相关漏洞。 根据检测结果,出具《风险评估报告》。 为铁岭公积金八大渠道系统进行渗透测试服务。 前期准备:确认渗透测试的方案,方案内容主要包括确认的渗透测试范围、最终对象、测试方式、测试要求的时间等内容,并与用户签署渗透测试授权书。 信息收集:通过渗透测试工具进行信息收集,内容包括:操作系统类型收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。 渗透实施:根据收集的各类信息进行深入渗透测试,出具详细的测试报告,重点描述测试发现的问题、严重程度,同时在报告中提供对安全漏洞及问题的整改建议。 问题复测:同时配合用户单位一起讨论具体加固实施办法,规避安全整改风险,通过安全加固工作修复安全漏洞,降低安全风险。 报告输入:根据初次渗透测试和二次复测结果,整理渗透测试服务输出成果报告。 重保值守、事件分析服务(每季度一次)根据网络安全第十条、第二十一条、第七十六条、《信息安全技术网络安全等级保护基本要求》8.1.10.13相关要求,保障网络免受干扰,有效应对网络安全事件,保障网络安全、运行稳定。重大节日时期,派遣专业安全服务工程师到用户单位驻场或远程,按用户指定时间,为用户信息安全提供5*8小时值守;针对安全分析所需基础数据,进行安全事件研判分析,识别安全事件并提供安全分析报告。 值守服务: 事前系统安全检查:对住房公积金管理中心业务系统(网站)服务器进行安全检查,排查风险。 对住房公积金管理中心WEB网站进行安全检测,并出具专业安全分析报告。 事前安全加固:对安全检查发现的问题进行整改,协助住房公积金管理中心对操作系统、中间件、数据库、网络设备等进行安全加固。 敏感日安全值守:当出现敏感事件,敏感日或重大会议安保期间,为客户提供5*8小时安全值守,并出具安全监控报告。 安全事件处置:对值守期间发生的安全事件进行分析与处置,降低安全事件给用户造成的影响。 安全事件分析:定期由安全分析工程师接入专业大数据分析工具,针对安全分析所需基础数据,进行安全事件研判分析,识别安全事件并提供安全分析报告。 告警深度分析:对受害IP的流量行为、资产特性、时间节点进行关联分析,排查告警产生原因、攻击路径和影响范围,并给出处置建议。 数据库安全分析:深入分析数据系统登录行为、高风险数据操作语句,发现数据库系统异常登录、sql注入漏洞和系统命令执行等。 报告输出:针对安全分析所需基础数据,进行安全事件研判分析,识别安全事件并在服务完成后编制提交《安全事件分析报告》。 服务驻场人员要求:根据甲方的运维需求,投标方需提供2人驻场服务,其中每人服务期限3年,为保障服务质量以及驻场人员的技术水平,要求人员至少具有CISSP/CISA/CISP其中之一认证证书,要求标书中提供人员证书复印件加盖公章,并保证与驻场人员为同一人。 |