网络安全第三方渗透服务项目技术方案
一、项目背景
四川省环境信息中心作为四川省生态环境厅的直属单位,承担了四川省生态环境厅网络安全管理与维护保障工作。根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》、《网络安全等级保护基本要求》等相关法律法规和标准,结合上级监管部门和行业主管部门要求,在多年不断强化和提升网络安全防护能力的工作过程中,进行了常态化的安全运营,保障了省厅网络和信息安全可靠。 在网络攻击广泛复杂、网络安全威胁日益严峻的当下,政务网络和政务信息系统作为国家网络的重要组成部分,成为网络攻击的重点目标,对现有政务网络安全防御体系能力提出了巨大挑战。所建立的网络安全体系是否能够达到相应的防护能力,是否能够对抗有组织的网络攻击,已经部署的各类网络安全设备设施、保障措施是否有效,是否能够全面保障重要的信息系统安全稳定运行,成为当前进行网络安全体系建设与保障过程中面临的一个重要问题。
在新的形势要求下,亟需从攻防两方面的角度多层级、多手段审视检验当前省厅网络安全防御体系,查安全问题,动态调整网络安全防护策略,持续提升防御体系能力。在此背景下,计划以实战的方式积极主动应对网络攻击威胁,组织开展实战型攻防演练,对省厅现有安全防护能力、安全运维能力以及安全事件的监测、应急响应能力进行实战检验,查网络安全建设短板,提升整体防范化解重大网络安全风险能力。 二、服务遵循标准
本次项目服务遵循的法律法规和技术标准规范包括:《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)《信息安全技术 网络安全事件应急演练指南》(GB/T 38645-2020)《信息安全技术-网络安全等级保护基本要求》(GB/T 22239-2019)《信息安全技术-信息安全风险评估规范》(GB/T 20984-2022)《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986-2007)《信息安全技术 信息系统灾难恢复规范》(GB/T 20988-2007)等。
三、服务期限
自合同签订之日起至2023年12月完成项目合同约定的所有服务内容,并提交服务要求的所有报告材料。
四、服务目标
计划在2023年12月前开展2次网络安全实战攻防演练。相关服务目标如下:
第一次实战攻防演练目标:将省生态环境厅、直属单位与全省21个市(州)生态环境局全部纳入攻防演练服务范围。通过模拟攻击方视角,检验网络安全现状,并采取威胁通报、督促整改等方式,确保问题风险得到有效解决,提升生态环境系统网络安全防护水平。其次,总结归纳本次实战攻防演练中的主要根因与优秀防守、攻击技战法,作为日后进行安全能力建设的有益输入。
第二次实战攻防演练目标:本次实战攻防演练的目标范围主要包含省厅本级与直属单位。在第一次实战攻防演练基础上,吸纳此前发现的主要问题与攻击技战法,对省级生态环境单位再次进行深度实战攻击,一方面可有效评估“时间空档期”(第一次实战攻防演练与第二次实战攻防演练之间的时间空挡)是否出现新增安全风险,另一方面充分利用此前掌握的工作成果,对于威胁的进一步发现与利用提供价值参考,为后续的重大安保工作建立安全屏障。
(注:以上目标并不代表最终演练顺序,实际顺序以采购人实际工作需要安排)
五、服务内容
为切实检验全省生态环境部门网络安全防护水平,提升安全防护意识,计划组织攻击团队从攻击者视角开展2次网络安全实战攻防演练服务,服务主要内容包括:演练组织、实战演练、复盘研究以及问题整改复查等工作,以有效检验全省生态环境系统网络安全防护水平、查短板。
具体内容和要求如下:
1.演练组织
目标 | 根据四川省生态环境厅需求组织2次实战攻防演练服务,确保演练能有效检验全省生态环境部门现有安全措施的防护能力水平及应急响应能力。 |
范围 | 省生态环境厅、直属单位、21个市(州)生态环境局 |
内容 | 配合采购人用户完成2次实战攻防演练的活动策划、演练方案制定、演练规则制定等工作,并安排专人协调推动演练工作进展。对演练成果进行汇总,按采购人需求进行评分与排名。 |
人员要求 | ▲裁判服务要求:提供具有网络安全实战演练经验的裁判1名,对演练工作进行总体把控;专家服务要求:提供1名网络安全攻防专家,负责对演练整体方案进行研究把关,在演练过程中对攻击效果进行总体把控,负责演练中的应急响应支撑,保障演练安全可控。(供应商需提供承诺函加盖供应商公章) |
频次 | 完成2次服务 |
交付物 | 《四川省生态环境厅实战攻防演练实施方案》 |
技术要求 | 1.演练活动策划:对演练的组织架构、演练方式、演练时间、演练流程等进行整体策划。 2.演练方案制定:制定详细的演练实施方案,包括演练筹备阶段、实施阶段、总结阶段的工作内容、时间计划、资源保障计划等。 3.演练规则制定:根据演练目标、对象、方式等制定演练规则以及渗透测试评分规则。 4.成果汇总:演练结束后汇总攻击方和防守方成果,统计攻防数据,进行评分与排名。 5.根据采购人需求提供1次专业网络攻防演练平台对攻击过程进行审计,实现演练组织方与演练参与方之间的成果下发与上报,同时平台需满足以下要求: (1)演练过程审计。网络攻防演练平台能够从网络层捕获对目标主机的访问或入侵的数据信息,能够记录进出目标主机系统的原始网络数据包的数据 信息,通过对捕获到的网络、主机数据信息进行综合分析。攻防演练平台可以记录和禁止网络活动,扫描当前网络的活动,监视和记录网络的流量。 (2)攻防过程可视化。网络攻防演练平台能对抓取的攻击日志进行分析,建立完整的攻击场景,能够直观地反应目标主机受攻击的状况,实时监控攻击过程,并通过可视化系统监控大屏实时展现。真实全面地展示攻击方流量实时状态,展示攻方与被攻击目标的 IP地址及名称。可展示攻防双方得分、失分情况与攻防实况,为后续进行总结分析提供数据支撑。 (3)攻防成果提交。攻击方通过攻防演练平台后台管理系统上交攻击成果,包括:目标系统名称、攻击域名、目标系统 IP、URL、系统描述、攻击队伍、截屏图片、攻击手段等。 3.实施方案内容需包含但不限于演练组织架构、演练时间计划、演练流程设计、演练资源保障计划、演练规则、评分规则等。 |
| |
2.实战演练
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议