网络与信息安全治理

1.网络资产梳理：资产梳理范围为华中师范大学所有信息系统资产，梳理频率为每个月一次。（1） 通过专业工具和技术手段对全校信息系统进行检测和识别，发现所有的信息系统并进行人工复核，最后将确认的信息系统登记造册，登记信息需包含信息系统名称、IP、域名、数据库、操作系统、中间件、开放端口、责任人、联系方式、是否备案等信息。（2） 对于梳理过程中发现的无信息系统运行的主机，上报信息中心后进行停机或关闭服务处理。（3） 协助校方对梳理出的信息系统按照重要性进行分级，为后续的安全检测和防护工作提供参考依据。（4） 根据网络拓扑对华师网络结构进行安全性评估，提出改进方案。 2.漏洞扫描和加固：漏洞扫描主要是针对采购方指定的地址，通过漏洞扫描工具结合人工确认的方式从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。漏洞扫描涉及系统层、网络层和应用层的安全问题。扫描结束后，中标方根据扫描结果提出信息系统加固和整改建议，并提供工具和技术人员实施信息系统加固。漏洞扫描每1个月实施1次。 3.渗透测试渗透测试系统的数量不少于15个。 (1)渗透测试中必须包含OWASP TOP10的测试、分别从内网和外网进行渗透测试； (2)渗透测试中必须包含逻辑测试，测试项包含且不限于：垃圾注册、短信轰炸、账户盗用、用户认证缺失、功能越权、平行越权、接口滥用等业务场景的安全测试； (3)中标方协助应用提供厂商修复安全漏洞； (4)根据实际漏洞情况，对采购方安全设备的安全策略做相应的调整； (5)提供漏洞复测服务； (6)渗透测试服务是要求技术性很强的工作，项目实施人员需拥有中国国家信息安全漏洞库原创漏洞证书和国家信息安全漏洞共享平台原创漏洞证书； 4. 应急响应 7*24 小时（一年不低于 4 次）提供安全应急响应服务，建立完善的应急响应流程。应急响应服务应至少包括现场取证备查、分析查明被攻击原因以及提供可行的修复建议从而以保证重要系统能及时恢复上线。提供现场应急支持，并将应急响应的全过程结果以文档形式输出交付我司。协助处理安全事件，如挂马、被黑、后门等，协助处理漏洞通报处理并反馈结果。 5. 安全通报对紧急高危的安全漏洞进行快速邮件、短信预警，预警内容包括对安全漏洞的描述，影响范围、临时修复建议和临时检出方法，并给出具体的操作步骤。需要满足以下技术: （1） 通报内容包含且不仅限于：应用安全漏洞通告、重大安全事件通告、采购方自身安全漏洞通告；（2） 通报时间7*24小时，实时通报；（3） 通报后续，根据实际情况提供远程/现场支撑。 6.新系统源代码安全扫描针对学校准备上线的新系统（不少于10个），在系统上前线使用专业的静态AST工具，对新系统的源、字节码或二进制代码的安全漏洞进行扫描，出具漏洞报告和整改建议。 7. 重大活动期间安全保障针对国家重大会议、校园大型活动等重点保障时期，为为校方提供专项保障。中标方在预约的时间范围内提供现场技术人员值守，安全事件的协同排查及调研取证工作。需要满足以下技术：（1） 保障期间做到24小时网站监控；（2） 对WAF等防护设备做细粒度的安全策略和规则，保证重大活动期间的防护能力；（3） 实时响应各类突发安全事件，第一时间做出安全处置； 8.网络安全周宣传 2018年9月份在全校范围内开展为期一周的网络安全宣传活动。具体内容线上： 专题网站：根据校方要求，协助校方进行网络安全专题网站建设，为专题网站提供文字、图片、视频等相关素材。 网络安全知识竞赛：通过网络答题方式举办网络安全知识竞赛，为比赛提供题目和参考答案，并根据比赛结果设置相应的奖项和奖品。线下： 网络安全专题讲座：协助校方举办网络安全专题讲座，联系相关网络安全企业，以案例讲解等方式，增强网络安全意识，提升网络安全风险防范能力。 横幅及展板：在学校主要干道及学生主要活动区域悬挂网络安全横幅及张贴宣传报。技术要求 本次宣传活动需要中标方提前提供具体的活动方案和策划，方案需包含宣传活动每一天的具体安排。 网络安全知识竞赛和讲座需设置合理的奖项，以提高师生的兴趣和参与度。

1.0

190000