| 序号 | 服务内容 | 服务频率 或人天 | 服务要求 | 服务成果(对应的产出物或满足等保三级项) |
| 1 | 分类分级服务 | 每年1次,本次(略)项(条)数据 | ★一、数据分类分级服务:(略) | 产出物:(略) |
| 2 | 安全运营服务 | 驻场服务,服务期限1年,法定工作日8小时工作制,如遇重保等特殊情况,须随时提供现场服务。 | ★二、安全运营服务 1、资产测绘及管控服务 1.1智能资产测绘服务 支持通过资产测绘能力,对全网资产进行探查,针对探查到的资产进行梳理及风险治理。 1.2资产梳理服务 在资产梳理过程中,首先针对发现的设备进行基础备案,形成资产台账。在自动化资产测绘的基础上,对核心资产配置安全属性、管理属性,包括:(略) | 满足等保三级:(略) |
| 3 | 智能运维服务 | 驻场服务,服务期限1年,法定工作日8小时工作制,如遇重保等特殊情况,须随时提供现场服务。 | ★三、智能运维服务 1、统一安全运维服务 1.1、安全运维授权访问服务 统一运维门户:(略) | 满足等保三级:(略) |
| 4 | 零信任访问服务 | 驻场服务,服务期限1年,法定工作日8小时工作制,如遇重保等特殊情况,须随时提供现场服务。 | ★四、零信任访问服务 1、零信任身份认证服务 终端接入政务外网之前,用户终端应通过身份认证,非授权的用户终端不允许接 入政务外网,应当满足以下要求:(略) | 满足等保三级:(略) |
| 5 | 终端应用访问审计服务 | 驻场服务,服务期限1年,法定工作日8小时工作制,如遇重保等特殊情况,须随时提供现场服务。 | ★五、终端应用访问审计服务 1、应用实时监控服务 支持基于浏览器的实时操作画面监控,实时监控过程中支持对会话的锁定和解锁,并可以在锁定解锁时发送即时通讯消息。发现危险操作可立即进行锁定操作; 支持基于浏览器操作的历史录像回放,支持倍速/低速播放、拖动、暂停、停止、重新播放等播放控制操作。 应用可视化安全审计服务 支持基于开始时间、结束时间、身份、地点、业务属性、应用账号、访问流量、操作行为等维度进行会话重组,关联用户的每次业务操作访问行为,形成业务应用会话; 支持对浏览器访问业务系统的URL进行审计日志记录; 支持对浏览器的剪切板操作进行审计日志记录; 支持对鼠标点击浏览器关键页面元素操作进行审计日志记录; 支持对指定页面或页面区域内可能存在的敏感数据敏感字段智能识别审计,包括且不限于关键字识别、基于正则表达式的识别; 支持基于日志的字段信息进行自定义检索,并定位播放该日志时间点操作录像。 2、应用数据安全保护服务 具备防扫描功能,不进行业务访问时,不对外暴漏任何TCP端口; 浏览器具备安全加固能力,包括且不限于:(略) | 满足等保三级:(略) |
| 6 | 主机安全服务 | 驻场服务,服务期限1年,法定工作日8小时工作制,如遇重保等特殊情况,须随时提供现场服务。 | ★六、主机安全服务 1、主机资产管理 1.1、资产自动发现 强大的主机资产发现与识别能力,通过轻巧的安全探针,快速获取主机的软硬件资产信息,包括CPU、内存、硬盘、网卡、操作系统、网络配置、安装软件等。通过已安装探针的主机,能自动发现网内未注册的主机信息,帮助用户掌握全网主机数量,以及已受控和未受控的主机范围,梳理主机安全管理边界。 1.2、资产自动分组 快速自动分组功能,可以降低IT管理员大量的手动运维工作量,在规模庞大的网络体系中,效果尤为显著。在接收到安全探针上报的资产信息后,根据预设的分组信息,自动对资产进行归类分组,并可自定义名称和标签,将主机资产对应到相关责任人。 1.3、资产运维管理 资产运维管理功能可实现主机资产状态的监控和资产数据管理。能够记录主机上下线轨迹和软硬件资产变更情况。对主机软硬件资产、IP配置信息变更、变更后的状态和变更时间进行记录,帮助管理员进行IT资产管理,实时了解全网主机资产状况。同时提供资产数据导出,便于资产管理员进行资产登记管理。 2、主机风险检测 2.1、主机安全基线检查 主机安全基线检查有助于用户一键获知全网主机安全基线配置详情,找出不符合安全管理规范的主机,节省大量人工检查时间,并能持续进行监控。 全面覆盖主流操作系统,支持账号与口令检查、密码生存周期检查、远程登录检查、网络与服务检查、日志审计检查、防火墙检查、系统安全配置检查等内容。检查模版支持用户自定义,检查项符合等保2.0级工信部[YD/T (略)-(略)]标准要求内容。 同时对每一个不符合项进行详细描述,提供修复指导方案,帮助用户科学合理的进行短板修复,提高主机入侵门槛。 2.2、主机系统配置检查 在主机侧采取多锚点安全检查,对操作系统的注册表安全检测、注册表变更记录、映像劫持、创建自启动项、计划任务程序、驱动程序等进行检查和实时监控,以及对异常系统和配置文件进行检查,帮助用户快速掌握全网主机存在的安全风险。 2.3、主机多维风险检查 从多个主机系统关键风险点进行监控和评估。系统弱密码检测,支持自定义及批量导入;网站后门检测,有效隔离网站后门文件或拦截网站后门利用;检测关键文件的变更异常;还可对主机内实时运行的程序进行安全检查和风险评估,帮助用户实时感知全网主机潜在的安全风险。 3、主机入侵防御 3.1、恶意程序防护 提供基于文件动作行为特征模型分析查杀能力,可在不依赖病毒特征库的情况下,对恶意程序、免杀木马、钓鱼程序、挖矿程序、勒索程序、黑名单程序等进行主动防御型查杀。能摆脱传统防病毒软件静态特征库对比带来的系统开销,以及新型高级入侵手段对静态特征库免疫的弊端。 3.2、行为入侵防御 通过实时监控主机关键的风险入口,对浏览器攻击、office攻击、恶意脚本攻击、webshell攻击、注册表异常修改等风险行为进行实时防护。在风险入口点进行全面把控,减少主机被入侵的风险。 3.3、网络入侵防御 在网络层面采用多种防护措施,可实时拦截主机网络侧的攻击,对端口扫描、泛洪攻击、TCP洪水攻击、暴力破解等进行安全防护,并能过滤信任IP。可有效检测拦截用户网络内部或外部网络的入侵行为,从网络的入口点实现封堵拦截。 4、主机环境控制 提供非白即黑的主机运行环境强控机制,通过定义主机安全运行基线,仅允许安全范围内的已知程序运行,限定主机的网络访问权限,通过控制主机最小活动范围,最大程度保障主机运行安全。杜绝一切不在安全范围内的程序运行,可以有效避免有意或无意的病毒传播,对未知威胁进行防护。为军工、金融、工控、制造业等具有高度安全防护需求的行业提供更便捷、可靠的主机安全解决方案。 5、安全事件溯源 5.1、主机安全事件溯源 详细记录文件活动轨迹、网络访问记录、注册表变更记录等,并能将网络访问情况、注册表变更情况与相关文件、用户做关联。支持追溯威胁事件的根源主机,并图形化展示威胁文件进程的调用关系,对事件详情进行描述,可追溯恶意进程的运行时间、详细路径、以及文件信息详情,并可手动加入黑白名单。支持对威胁事件追溯分析,可记录事件发生时间、发生数量、关联主机名称、登录的用户账户、事件行为描述、事件关联文件详细路径、关联文件加载的模块信息、行为发生时的调用栈信息。 5.2、网络安全事件溯源 对每一个网络安全事件进行详细记录,包括事件类型、发生次数、源目的IP、端口、关联主机、关联文件等。结合用户网络侧安全产品提供的事件碎片,快速定位涉事主机,并对事件详情进行图形化呈现,帮助用户快速了解安全事件全貌,让每一个网络安全事件有源可溯、有据可查。 6、安全态势分析 6.1、主机安全态势分析 从安全事件、风险文件、安全基线等多个层面对主机进行安全态势分析。通过逻辑的风险拓扑,展示全网风险主机分布状态,并以时间轴分析展示单主机的安全态势。 6.2、文件运行态势分析 记录文件运行轨迹,包括文件每次出现的主机和时间,记录网内新运行的文件,并展示运行趋势,展示运行文件列表和文件安全性。可从单个主机和全网主机两个维度进行分析和展示,第一时间发现网内和主机出现的新文件,对恶意文件的早期入侵和扩散,提供强有力的发现与追溯能力。 6.3、网络运行态势分析 对网内新增的网络访问进行记录,并从主机和全网维度进行网络访问趋势分析,能记录访问细节,包括IP归属地、访问时间、访问进程路径、访问端口等。网络运行态势分析和展示,能第一时间发现网内新增的通信IP,对业务和主机的异常访问发现,以及黑客的早期网络入侵行为,提供高效的检测能力。 7、主机运维管理 7.1、实时进程管理 对操作系统内正在运行的进程进行在线统计,并对每一个进程文件的安全性进行评估。可以显示每个进程文件的详细路径、覆盖的主机数量以及主机列表,管理员可手动远程进行在线停止、隔离和进程文件删除操作。 7.2、系统资源监控 可对系统内正在运行的进程进行实时监控,监控每个进程文件对CPU和内存的使用情况,并能自定义监控范围,筛选监控结果。有助于用户实时掌握每个业务的运行状态,对业务服务器硬件性能的提升提供参考数据。同时能有效发现网内的挖矿程序,避免主机计算资源被恶意利用。 7.3、主机登录监控与审计 记录主机实时登录状态和历史登录日志,帮助管理员实时掌握全网主机登录状况,快速发现被异常登录的主机。可记录登录时间、登录用户名、登录方式、远程登录IP地址等内容,实现对主机登录日志的备份,避免攻击者恶意删除登录日志导致安全事件无法追溯的问题。 7.4、全局文件检索 可对指定路径下指定文件进行全网搜索,显示所查找文件的所在主机名、文件描述、版本、HASH值、安全级别等信息,方便管理员快速定位在全网潜伏的恶意程序。 7.5、移动存储设备管理 可限制主机允许或不允许使用移动存储设备,帮助管理员规范移动存储设备的使用,减少因违规使用移动存储设备带入风险。可对单主机或用户组进行使用限制。 8、服务范围/规模 提供(略)台主机设备的主机安全服务。 | 满足等保三级:(略) |
| 7 | 网站隔离防护服务 | 驻场服务,服务期限1年,法定工作日8小时工作制,如遇重保等特殊情况,须随时提供现场服务。 | ★七、网站隔离防护服务 1、防止目录扫描及漏洞扫描 能够隐藏受攻击Web站点漏洞和目录,自动化攻击工具无法扫描出系统漏洞和目录,能够对自动化攻击(扫描)工具的防护。 2、防SQL注入 隔离平台只接收用户侧发的鼠标键盘点击事件及GET请求,基于其它请求方式的注入攻击,隔离平台一律不接收,成功阻断非GET类SQL注入攻击。 对于GET类的注入攻击,通过URL动态加密功能能够轻松防护此类攻击。 客户端浏览器上运行的隔离平台JS框架代码会精准识别各类输入框内容并限制指定特殊字符输入,存在特殊字符则进行清除文本内容并弹出提示框。/3、网页代码封装COOKIE隐藏 本地无原站点应用的COOKIE数据,有效防止因为缓存数据或COOKIE数据被窃取进行CSRF。 4、防止利用漏洞攻击 针对应用系统自身、所用第三方框架、所用第三方中间件的已知和未知漏洞,防止被探测及攻击利用。 5、阻止自动化攻击工具 支持对自动化工具,从攻击原理上进行全方位阻断。 6、防止xss攻击 支持能够阻止XSS攻击,阻止凭证提取或实时会话劫持。 7、防止破坏的身份验证攻击 支持防止对身份验证的破坏而进行攻击。 8、防止直接对象引用和错误配置泄露 支持防止对不安全的直接对象引用以及对安全错误配置的泄露。 9、防Webshell后门利用 对上传文件进行检测防止Webshell后门上传 对访问URL进行加密,使攻击者无法访问到已植入的Webshell,防止Webshell后门被利用 (略)、APT防御 隐藏应用系统的所有活动脚本、API、使用的第三方框架和中间件,让攻击者无法分析和挖掘应用系统可能存在的漏洞;再结合URL加密,防止盲注攻击,有效防护APT攻击。 (略)、防网页挂马 支持防止攻击者利用Web漏洞进行挂马,传播恶意软件。 | 满足等保三级:(略) |
| 8 | 服务工具要求 | |
| ★8.1 | 态势感知系统 | 一套 | | 提供一套态势感知系统,作为服务期内,安全整体事件监测预警工具,提供能覆盖整个数据中心的足量探针。 |
| ★8.2 | 智能监控系统 | 一套 | | 提供一套智能监控系统,作为服务期内,业务运行及资产监控工具。 |
| ★8.3 | 零信任安全系统 | 一套 | | 提供一套零信任系统,作为服务期内,零信任服务辅助工具,管理数量能覆盖政务外网。 |
| ★8.4 | 终端应用访问审计系统 | 一套 | | 提供一套终端应用访问审计系统,作为服务期内,终端应用访问审计服务辅助工具,管理数量能覆盖政务外网。 |
| ★8.5 | 主机安全系统 | 一套 | | 提供一套主机安全系统,作为服务期内,主机安全服务辅助工具,管理数量能覆盖整个数据中心。 |
| ★8.6 | 网站隔离防护系统 | 一套 | | 提供一套网站隔离防护系统,作为服务期内,网站隔离防护服务辅助工具。 |
| ★8.7 | 安全运维服务所涉及的服务工具(软、硬件辅助设备),在3年总服务期满后,资产归甲方所有。 |
| 9 | 驻场服务要求 |
| ★9.1 | 投标人承诺提供法定工作日8小时工作制驻场服务。 |
