XX省XXXX一体化安全监测平台项目建设要求.docx

XX省XXXX一体化安全监测平台项目建设要求一、建设目标为落实“安全保发展、安全促发展”的理念。在信息安全相关技术规范要求下，依托顶层设计思路，按照“统一规划、统一标准”的原则，立足当下、兼顾长远对现有信息安全架构，通过本次XX省XXXX一体化安全监测平台项目，通过建设一体化安全监测大数据分析技术实现基于大数据的安全分析能力，提升安全风险识别、安全风险分析效率。通过安全运营服务，构建从安全风险识别、安全分析、安全响应处置的闭环，进一步完善XX省XX委的安全运营水平，为保障XX省XX委业务安全稳定运行奠定坚实基础。本期项目的建设周期为合同签订后6个月，试运行期不少于12个月。序号项目建设内容数量单位1一体化安全监测平台一安全DNS威胁分析子模块建设安全DNS威胁分析系统，同时结合域名威胁情报，快速识别并阻断恶意域名请求行为，构建安全的网络办公环境，提升内部失陷主机识别能力。1项2一体化安全监测平台一互联网暴露面安全监测子模块基于XX省XX委暴露在互联网上的资产底数，开展安全监测及时识别并预警存在的安全风险，建立基于互联网侧的资产识别、风险监测、风险预警能力，对网站的漏洞威胁、网页黑链、网页篡改、网站可用性等进行实时监测。1项3一体化安全监测平台一应用安全监测子模块以应用层资产测绘能力为基础，结合软件成分安全分析技术和智能动态污点分析与防护技术，实现应用安全检测分析和防御能力。1项4一体化安全监测平台一聚合分析研判子模块聚合分析研判子模块用于支撑对多源异构安全数据的采集、治理、存储及融合分析等数据进行分析研判，支撑安全人员更加高效地开展安全运营工作，进行专项防护、安全分析、资漏管理、处置协同、防御效能评估于一体的能力子模块。1项5一体化安全监测平台一可视化驾驶舱安全驾驶舱可以提供统一的功能入口视角，直观展示一体化安全监测平台的整体能力，提供多种可视化技术实现安全监测可视化管理，主要包含态势感知大屏、智能仪表盘、周期性报表等相关可视化驾驶舱能力。1项6安全设备数据对接采集基于已部署的网络安全设备和本期项目新增部署的流量采集插件服务，通过省级XX业务网、电子政务外网等基础网络，一体化安全监测平台汇聚省本级节点和下属的分支节点流量探针监测数据，以及委本级DNS威胁分析数据、互联网暴露面威胁信息、应用安全信息等，与省XXXX网络安全协调指挥平台进行对接，对威胁信息实现预警通报和闭环处置。1项二、总体要求本次项目建设覆盖省XX委省本级XX业务网及电子政务外网本地网络交换机房、互联网暴露面业务资产、省级医疗XX单位和X个地市XX业务网骨干节点流量探针监测数据安全风险监测及应用安全监测。本项目将建设一体化安全监测平台（包含安全DNS威胁分析子模块、应用安全监测子模块、互联网暴露面安全监测子模块、聚合分析研判子模块、可视化驾驶舱）、安全设备数据对接采集。2.1. 建设内容要求网络安全作为数字化改革重要保障基础，结合省XX委现状，汇聚已有的防火墙、日志审计、堡垒机、入侵检测等安全设备数据，建设一体化安全监测平台，主要包括：安全DNS威胁分析模块、互联网暴露面安全监测模块、应用安全检测模块及安全威胁信息聚合分析等模块功能，实现日常网络安全运营管理集中化、规范化、可视化，提升省XX委网络安全能力水平。具体内容如下：1、建设汇聚安全设备数据能力基于已部署的网络安全设备和本期项目新增部署的流量采集插件服务，通过省级XX业务网、电子政务外网等基础网络，一体化安全监测平台汇聚省本级节点和下属的分支节点流量探针监测数据，以及委本级DNS威胁分析数据、互联网暴露面威胁信息、应用安全信息，与省XXXX网络安全协调指挥平台进行对接，对威胁信息实现预警通报和闭环处置。2、建设一体化安全监测能力构建省XX委一体化安全监测平台，通过建设安全分析规则模型、大数据分析模型、智能分析引擎等,实现省XX委内网IT资产管理、网络攻击与威胁监测，提升省XX委网络分析与预警能力。横向连接省XXXX网络安全协调指挥平台，对威胁信息实现预警通报和闭环处置。（1）建设安全DNS威胁分析子模块建设安全DNS威胁分析系统，同时结合域名威胁情报，快速识别并阻断恶意域名请求行为，构建安全的网络办公环境，提升内部失陷主机识别能力。（2）建设互联网暴露面安全监测子模块基于XX省XX委暴露在互联网上的资产底数，开展安全监测及时识别并预警存在的安全风险，建立基于互联网侧的资产识别、风险监测、风险预警能力，对网站的漏洞威胁、网页黑链、网页篡改、网站可用性等进行实时监测。（3）建设应用安全监测子模块以应用层资产测绘能力为基础，结合软件成分安全分析技术和智能动态污点分析与防护技术，实现应用安全检测分析和防御能力。（4）建设聚合分析研判子模块聚合分析研判子模块用于支撑对多源异构安全数据的采集、治理、存储及融合分析等数据进行分析研判，支撑安全人员更加高效地开展安全运营工作，进行专项防护、安全分析、资漏管理、处置协同、防御效能评估于一体的能力子模块。（5）建设可视化驾驶舱安全驾驶舱可以提供统一的功能入口视角，直观展示一体化安全监测平台的整体能力，提供多种可视化技术实现安全监测可视化管理，主要包含态势感知大屏、智能仪表盘、周期性报表等相关可视化驾驶舱能力。2.2. 标准规范要求基于国家、省电子政务相关标准规范、行业相关标准规范，遵循省经济社会发展标准体系，结合建设要求，设计项目相应的标准规范。1、组织人员对建设中所涉及的国家标准、行业标准及地方标准现状进行调研和梳理，为本项目标准规范建设提供理论和技术基础。2、在现有国家电子政务标准规范体系基础上，进行优化、完善，形成适合的标准规范体系框架。3、从建设需求出发，按照急用先行的原则，制定关键标准规范，为互联互通、信息共享、业务协同、信息安全打好基础。4、建立标准规范贯彻实施机制，为标准的落地实施提供服务。参考依据： 中华人民共和国网络安全法 中华人民共和国密码法 中华人民共和国数据安全法 中华人民共和国个人信息保护法 关键信息基础设施安全保护条例 GB17859-1999计算机信息系统安全保护等级划分准则 GB/T25058-2010信息安全技术信息系统安全等级保护实施指南 GBT22240-2020信息安全技术网络安全等级保护定级指南 GBT22239-2019信息安全技术网络安全等级保护基本要求 GBT25070-2019信息安全技术网络安全等级保护安全设计技术要求 GB/T20270-2006信息安全技术网络基础安全技术要求 GB/T20271-2006信息安全技术信息系统通用安全技术要求 GB/T20272-2006信息安全技术操作系统安全技术要求 GB/T20273-2006信息安全技术数据库管理系统通用安全技术要求 GB/T42453-2023信息安全技术网络安全态势感知通用技术要求 “十四五”全民健康信息化规划（国卫规划发2022）30号） 医疗XX机构网络安全管理办法（国卫规划发2022）29号） XX省2023年数据安全和个人信息保护专项行动方案 2024年“数安之江”XX省重要行业网络数据安全专项行动方案2.3. 信息安全要求本次建设的一体化安全监测平台信息系统在新建时同步考虑信息安全设施的规划、建设及使用，确保构建一套安全的网络环境保障支持业务稳定、持续运行性能的同时，保证安全技术措施同步规划、同步建设、同步使用，以保障信息安全与信息化建设相适应。1、服务保密要求服务商须在签订合同后与采购人签订保密协议。2、安全性、功能性能测试要求系统须避免各种信息安全漏洞，加强安全性防护，有完善的安全解决方案。采购人可委托第三方进行安全和性能测试，如果测试中发现存在问题，服务商需尽快解决。测试及漏洞修复所产生的费用由服务商承担。3、系统等保要求在项目建成后，系统需按照等级保护要求开展等级保护测评，系统必须整改等保过程中发现的软件问题。在运维期内，每年至少进行一次等级问题整改。4、密评要求制订商用密码应用方案，运用国产密码技术保障信息系统网络和数据安全，按照要求开展商用密码安全性评估，必须整改密评中发现的安全问题。5、代码安全要求需遵循代码安全开发规范和实施代码安全检测，检测发现的问题整改完成后,提供安全检测资质机构出具的软件代码安全检测报告。6、软件应急方案服务商必须提供系统应急方案，并得到采购人的批准，此为验收通过的必备条件之一。应急方案需考虑各种故障类型，分别给出解决方案。7、信息安全承诺保障服务商承诺严格把控项目实施人员安全风险及系统安全风险，提供核心实施人员背景审查材料，每月对系统进行安全监测和巡检。及时修复系统存在的各类安全漏洞。在政府重要活动、会议召开期间对系统进行7*24小时严密监控，一旦发现问题，要求在第一时间内关停或恢复正常服务，并尽可能的消除影响。服务商承担因系统本身漏洞所引发的信息安全事件而带来的相关法律责任。合同约定的服务期内如发生重大信息安全事件，被上级单位或公安机关通报一次，罚款5000元。如发生被悬挂反动标语、赌博色情、数据泄漏等安全事件，视情节严重程度罚款1-5万元。因运维人员管理疏忽导致的上述信息安全事件，采购人保留追诉服务商连带法律责任的权力。2.4. 详细技术要求2.4. L安全DNS威胁分析子模块功能描述参数要求功能要求服务商应为采购人定制开发安全DNS威胁分析子模块，提供包括DNS递归解析、恶意域名识别与告警、DoH加密、策略设置、APl接口等功能。DNS递归解析智能解析：支持基于运营商、所属地理区域等提供智能递归解析能力，支持联通/电信/移动/教育/BGP多线路接入；恶意域名识别与告威胁情报：威胁情报数量不少于1500万条，APT情报不少于4万条；情报包含丰富的上下文，至少包括：威胁家族、威胁类型、感染平台、攻击特点、处置建议、公开分析等。威胁检测，支持识别的攻击类型应至少包含：后门、远控木马、DDOS挖矿、银行木马、APT、DGA,黑客工具、勒索软件、数据窃取、蠕虫、钓鱼网站、黄赌毒等威胁；告警合并：支持根据1。&攻击家族等对告警进行合并，避免相同攻击重复告警。DOH加密传输加密：DNS请求支持DOH加密方式进行传输，满足本地和云端DoH、DOT加密域名解析能力，对解析流量加密处理。系统设置策略设置：支持自定义阻断策略，可自定义策略生效范围（基于资产）、威胁类型、自定义黑名单域名等。APl接口，可提供APl接口，将威胁告警、DNS解析数据、拦截日志同步至本地或第三方平台。24.2.互联网暴露面安全监测子模块功能描述参数要求互联网暴露面资产梳理能力集成：具备集成及时沟通、安全态势、人员管理、事件处置、服务介绍及应用访问集成。平台兼容：平台具备运营人员可访问安全运营平台的windows和mac端客户端，且客户端需集成及时沟通、报告月度和安全运营能力。基于XX省XX委的互联网出口IP、主域名等基础信息，提供IP+端口、域名解析、微信公众号、小程序等的暴露面识别与梳理，形成XX省XX委互联网IT资产暴露面清单。基于XX省XX委提供的相关关键字，面向百度、阿里、新浪、腾讯、天翼云网盘等主流网盘，面向百度文库、新浪爱问、豆丁网等46种文库上与XXXX委相关的数据资产进行识别监测，最终形成XX省委XX委的互联网数据暴露面清单。互联网业务安全风险检测平台能力：具备集成及时沟通、安全态势、人员管理、事件