项目需求书本项目标的所属行业为软件和信息技术服务业。（一）项目背景近几年，我国关键信息基础设施面临的网络安全形势日益严峻复杂，大量党政机关网络被攻击篡改，网站平台大规模数据泄露事件频发，政务信息系统安全隐患突出，甚至有的系统长期被控，面对高级持续性的网络攻击及在每年国家级、市级和相关行业网络安全演练中的问题通报，体现出我区政务信息系统现有防护能力相对欠缺。为贯彻落实《中华人民共和国网络安全法》中“国家坚持网络安全与信息化发展并重”“建立健全网络安全保障体系，提高网络安全保护能力”等内容及相关法律法规要求，改善家级、市级和相关行业网络安全演练中的问题，满足区相关委、办、局，各直属单位上级主管部门考核中关于政务信息系统网络安全保障及网络安全等级保护测评的工作需要，进一步压实全区政务信息系统运营/使用单位网络安全责任，提高网络安全意识，健全各单位网络安全责任制度，拟通过采购服务方式对全区政务信息系统进行网络安全保护工作。（二）项目内容完善东丽区政务信息系统网络安全防护体系，全天候、全方位感知网络安全态势，提高监测预警、应急处置能力，建立统一高效网络安全风险报告机制、情报共享机制、研判处置机制，促进全区信息化健康发展。对现有东丽区政务信息系统有针对性、适时开展网络安全保护工作，包括网络资产梳理、网络安全策略配置检查等网络安全保障工作及网络安全等级保护测评工作。本次项目，计划对13套系统开展网络安全保障工作，其中三级系统12套、二级系统1套；对9套系统开展网络安全等级保护测评工作，其中三级系统8套、二级系统1套，具体服务内容如下：1、网络安全保障11网络资产梳理服务基于专业的资产扫描、发现工具对指定的业务系统资产进行深度探测，明确资产范围。发现并梳理内网主机、服务器、应用、网络设备、安全设备等内网资产；发现存在风险的资产，包括但不限于内网开放高危端口、发现僵尸主机与未知设备。12网络安全策略配置检查服务通过对网络设备、服务器等的安全策略进行全面细致检查。评估访问控制策略是否合理，确保只有授权用户能访问关键资源。检查防火墙规则，防止非法入侵。同时，对加密策略、用户认证策略等进行审查，及时发现潜在漏洞和风险。13渗透测试服务对指定业务系统进行渗透测试，利用各类渗透测试工具和人工方式模拟黑客攻击，查找应用系统中是否存在安全漏洞，给出安全问题产生的原因和整改建议，协助运维人员进行修复，修复完成后，进行复测并形成服务报告。14漏洞扫描服务由专业的安全服务人员利用专有设备在服务期间对指定的业务系统主机、数据库、网络、应用进行漏洞扫描和指导加固。漏洞扫描内容包括含系统层、应用层和相关业务系统支撑组件的扫描；遇有重大事件、信息系统发生重大变更后或厂商发布严重安全警告时，适时进行专项漏洞扫描和协助安全加固。15网络安全基线检查服务对业务系统中的重要资产进行配置核查工作，通过工具+人工的方式对东丽区政务信息系统的资产进行安全基线核查与分析，对已上线的业务系统按照需要实施，并最终出具相应的整改建议书。整改完毕后，配合进行整改检查。16安全风险评估服务根据《网络安全法》以及信息安全等级保护的相关要求，“开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定”、“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估”条款，《信息安全技术信息安全风险评估规范》（GB/T20984-2022）进行信息安全风险评估服务，形成风险评估报告。通过评估工作，发现指定的业务系统当前面临的主要安全问题。17安全培训服务服务期间开展安全意识培训，培训内容从分析典型网络安全事件的起因以及造成的危害入手，通过理论讲解、案例分析、视频演示等手段，深入浅出的介绍信息安全的基础知识。通过该培训，了解安全威胁的风险及应对措施，提高信息安全知识。18网络安全应急演练服务网络安全应急演练是保障网络安全的关键举措。由专业服务团队，提前组建演练内容，如场景设计、事件设计、时间安排、人员职责安排等各个环节，演练中，模拟攻击场景，如黑客入侵、病毒爆发等。演练中要求各相关部门迅速响应，按照应急预案展开行动，技术人员紧急排查问题、修复漏洞，决策层统筹协调、指挥作战。通过演练，检验应急预案的可行性和有效性，为应对真实的网络安全威胁筑牢坚实防线，确保网络系统稳定、安全地运行。19网络安全事件应急响应服务为全区政务信息系统提供日常网络安全应急技术和应急响应服务，按照网络安全事件分级标准对安全事件进行分级响应：一般事件：接到通知或得知事件发生后，供应商人员立即到场处理事件，并在事件处理结束后提交书面的安全事件调查分析报告：包括事故原因、过程描述、入侵来源、证据报告、解决方案、处理结果、改进建议等；较大事件：接到通知或得知事件发生后，供应商人员立即到场处理事件；24小时内提出安全事件解决方案并在事件处理结束后提交书面的安全事件调查分析报告：包括事故原因、过程描述、入侵来源、证据报告、解决方案、处理结果、改进建议等；重大事件：接到通知或得知事件发生后，供应商人员立即到场且供应商安全专家在2小时内到场进行事件处理；24小时内提出安全事件解决方案并在事件处理结束后24小时内提交书面的安全事件调查分析报告：包括事故原因、过程描述、入侵来源、证据报告、解决方案、处理结果、改进建议等；特别重大事件：接到通知或得知事件发生后，供应商人员立即到场且供应商安全专家在1小时内到场进行事件处理；在12小时内提出安全事件解决方案并在事件处理结束后12小时内提交书面的安全事件调查分析报告：包括事故原因、过程描述、入侵来源、证据报告、解决方案、处理结果、改进建议等。在服务期间，服务商需要具备城域网流量清洗能力、云端安全防护能力，防止安全事故持续发酵，造成恶劣影响。2网络安全等级保护测评根据《中华人民共和国网络安全法》、《安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《信息系统安全等级保护实施指南》、《中华人民共和国信息安全等级保护管理办法》等标准与法规要求，对涉及政务信息系统进行网络安全等级保护测评，包括初评，出具整改意见、再评、出具测评报告。21测评工作范围及要求：对被测系统进行定级、备案，协助完成定级报告、定级专家评审、备案材料梳理等工作，并完成被测系统的等级保护测评工作。按照现行国家标准、等级保护20标准，提交国家规定格式的等级保护测评报告，并以此作为验收标准。能够把握和理解国家对该类项目的具体要求，对等级保护政策标准本身有较深的认识。具有完善的工作流程，有计划、按步骤地开展测评工作，保证测评活动的每环节都得到有效的控制。现场测评环节过程中不能影响各项系统正常运行，针对工具测试等环节需要做好相应的应急预案以及操作规范。具备完善的网络安全等级保护20测评方案，包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理等。须具备项目风险管理能力，对测评活动中的主要风险进行分析，并提出相应的应对管理措施。3、技术标准规范要求本项目应遵循以下技术标准规范：GB/T31506-2022《信息安全技术政务网站系统安全指南》GB/T21061-2007《国家电子政务网络技术和运行管理规范》《GB/T32914-2023信息安全技术网络安全服务能力要求》《GB/T40645-2021信息安全技术互联网信息服务安全通用要求》GB17859-1999《计算机信息系统安全保护等级划分准则》GB/T22240-2020信息安全技术网络安全等级保护定级指南GB/T25058-2019信息安全技术网络安全等级保护实施指南GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T28448-2019信息安全技术网络安全等级保护测评要求