信息安全应急处置系统
1项目背景
2014年,中央网络安全和信息化领导小组成立,习近平总书记任组长,并在领导小组第一次会议上指出:“没有网络安全就没有国家安全,没有信息化就没有现代化”、“网络安全和信息化事关国家安全和国家发展”,网络与信息安全工作已被提升至国家战略安全层面。国家信息化领导小组《关于加强信息安全保障工作的意见》(中办发[2003]27号文)要求“坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全”。
2015年,根据国家对信息安全管理工作的要求和部署,结合环境信息网络、数据、系统和网管安管平台等工作基础和信息安全现状,虚拟化、大数据、云计算、移动互联等技术对信息安全领域提出的新要求,围绕信息系统等级保护以及安全态势分析、风险监控、预测预警和应急响应等管理工作,编制了环保行业信息安全综合监管平台中长期建设总体方案,满足未来环保行业信息安全综合监管的业务需求。同时,依据总体方案建设完成了环保行业信息安全综合监管平台(二期)建设与安全技术服务,包括等级保护工作管理、信息安全通报管理、安全检查工作管理、信息安全宣传培训等业务管理工作模块,为环境信息安全管理提供全面的技术支持。
2017年06月27日,中央网信办关于印发《国家网络安全事件应急预案》的通知,建立健全国家网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保护公众利益,维护国家安全、公共安全和社会秩序。结合环保部实际情况,特别是2016年下半年以来,环保部面临前所未有的压力,多次接到国家相关部门的通报,以及在面临重大安全事件时(如“永恒之蓝”勒索软件),显得应急处理能力不足。
因此,依据平台总体方案的规划部署,为了继续完善并扩展平台功能,需要开展环保行业信息安全综合监管平台(三期)建设,在一期建设的等级保护管理工作和二期建设的安全检测与安全运维的基础上,增加信息安全应急处置
功能模块,以提升环保行业信息安全应急处置能力。
2项目目标
提高环保部信息中心信息系统安全事故应急响应和处置能力,对于可能发生的各种信息安全事故或灾害,能够在第一时间做出快速反应并采取应对措施,及时恢复信息网络和业务系统正常运行,最大程度控制和降低事件所带来的负面影响,确保信息系统运行的连续性、有效性。
3项目建设内容
以信息安全应急处置系统为依托,建立健全信息安全事故应急处置策略和分级实施的应急预案体系;建立分级管理、分级负责的应急管理体制;建立统一指挥、反应灵敏、协调有序、运转高效的应急协调机制;健全专业化和社会化相结合的应急保障体系,实现全方位的、实用的、快捷的信息安全事故应急处置手段和能力。
4项目技术要求
4.1总体要求
投标人为本项目设计和开发的环保行业信息安全综合监管平台应符合以下基本要求:
(1)规范性要求。平台应符合国家关于信息安全以及等级保护的各项管理规定和标准要求。
(2)实用性要求。平台应符合环保部现有的信息化和信息安全现状,能够满足环境信息安全管理的日常工作需求。
(3)扩展性要求。考虑到未来功能扩展的要求,平台应采用标准化接口设计和可持续发展体系结构。未来业务的扩展可在现有基础上,增加新的应用与服务模块。
(4)先进性要求。平台应采用当前业界主流开发和集成技术,在系统功能、性能、用户友好性等方面具有较好表现。
(5)兼容性要求。三期开发必须考虑与一期、二期开发内容进行对接,实现三期开发内容与一期、二期已开发内容的无缝对接,投标人须提供实现三期与一期、二期无缝集成的承诺函,并加盖印章。
4.2开发要求
(1)技术路线。要求采用J2EE技术作为项目的技术路线,为今后平台的可移植和可扩展打好基础。同时,兼顾目前环保业务系统普遍采用的跨平台应用现状,进行合理规划设计。
(2)系统架构。要求采用B/S架构,便于用户远程访问操作。
(3)部署模式。集成部署在一期、二期平台基础上。依托于“国家环境信息与统计能力建设项目”的实施,环境保护部目前已建成了连接国家、省、市、县四级环保部门的环保业务专网,并建有统一用户信息管理系统和环境保护部电子政务信息交换平台门户。本项目将采用环境保护部集中统一部署方式,部署于环保部信息中心机房,在环保业务专网上运行。
(4)应用范围。平台的用户范围包括环境保护部机关、派出机构、直属单位、各省级环保厅(局)的信息安全主管部门及安全联络员。要求平台用户管理模块实现与环保业务专网统一用户信息管理系统的集成,通过电子政务信息交换平台实现用户单点登录。
(5)数据分析。要求采用高效数据分析技术,对平台积累的行业信息安全管理数据进行数据挖掘和综合分析,以便有效的发挥这些数据的价值。分析维度包括关联性分析,横向分析,纵向分析等。
4.3系统功能要求
建立环保部信息安全应急指挥体系,明确各方的责任、义务以及相互之间的协调关系,对信息安全应急事件进行统一的评估、录入、处置和管理;同时,对应急预案(包括应急知识、应急工具、应急流程、解决方案、应急手册和应急知识库)和应急演练进行统一的管理,建立统一的应急处置学习交流平台,提
升环保部预警处置能力和应急处置能力,为环保部信息安全保驾护航。
4.3.1应急指挥体系
可以依托信息安全应急处置系统,建立环保部信息中心信息安全应急指挥体系,确定应急指挥体系的相关人员和责任,对信息安全事件进行分级、分类响应。
在信息安全应急处置系上,应该具备建立相应的应急指挥体系能力,具体功能包括:
1、可以建立信息安全应急处置办公室(简称“应急办”),明确相应的应急处理办公室成员和对应的职责,以及相关人员的联系方式等,系统管理人员可以更新、替换、删除相应的人员信息和联系方式,组织体系能够以图形化、层次化方式进行展示,展示信息不仅仅局限于姓名、联系方式等,系统应当具备扩展能力,可以展示其他信息,如技术专长、个人经历等相关信息。
2、可以建立信息安全应急处置联络组(简称“联络组”),明确相应的联络组成员和对应的职责,以及相关人员的联系方式等,系统管理人员可以更新、替换、删除相应的人员信息和联系方式,组织体系能够以图形化、层次化方式进行展示,展示信息不仅仅局限于姓名、联系方式等,系统应当具备扩展能力,可以展示其他信息,如技术专长、个人经历、等相关信息。;
3、可以建立安全技术组(简称“技术组”),技术组可以选择有相关人员组成,如网络室、安全室、技术室、应用室以及物业管理人员,明确相关人员的技术特长和对应安全责任,系统管理人员可以更新、替换、删除相关人员的人员信息和联系方式等信息,组织体系能够以图形化、层次化方式进行展示,展示信息不仅仅局限于姓名、联系方式等,系统应当具备扩展能力,可以展示其他信息,如技术专长、个人经历、等相关信息。
4、通过信息安全应急处置系统,可以清晰看到环保部信息中心信息安全应急处置体系架构,明确相应组织的职责,在进行信息安全事件处置时可以快速的进行职责划分和高效沟通和及时的响应处置。
5、系统可以根据应急处置事件的不同级别,在发起应急响应处置时,通知相应的责任人进行响应处置。系统管理人员也可以灵活地选择相应的人员进行通报。
安全事件分级进行管理,具体分为四类,分别是特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
4.3.2应急预案管理
应急预案管理包括:应急预案管理、应急预案演练管理、应急协调管理等相关内容。
其中,应急预案管理包括应急预案的制定、应急预案的审核、应急预案的发布、应急预案的修订。应急预案演练管理包括应急预案演练计划制定、应急演练实施步骤、应急演练总结。应急协调管理包括应急协调管理、工作协调管理管理、事故通报管理、信息交流管理等内容。
1、应急预案管理包括应急预案的制定、应急预案的审核、应急预案的发布、应急预案的修订。
系统提供应急预案管理接口,能够上传环保部信息中心各类信息安全应急预案,分类包括网站应急响应预案、业务系统应急响应预案、病毒蠕虫应急响应预案、DDOS应急响应预案,同时,系统也要支持用户自定义的类型的应急响应预案分类,系统应支持应急预案全生命周期的管理,包括应急预案的制定、应急预案的预发布审核、应急预案的正式发布以及应急预案的修订。系统并支持对预案对修订管理,并强制实行应急预案每年修订机制,从机制上保障应急预案的有效性和时效性。
2、应急预案演练管理包括应急预案演练计划制定、应急演练实施步骤、应急演练总结。
系统能够支持对应急预案演练进行管理,系统管理人员可以利用系统制定应急演练的计划,应急演练计划要包括演练的时间、地点、目的、内容、人员等相关信息,并可以根据时间或者响应步骤的先后顺序,制定相应的具体实施步骤,实施步骤展示可以图形化方式或流程图方式进行展示,展示要层次清晰、步骤明确。针对每次的应急预案演练,添加对应的演练总结。系统同时具备对应急预案演练的综合管理能力,对历次演练进行档案管理,系统能够按照时间和演练类型进行分类管理。
3、应急协调管理包括应急协调管理、工作协调管理、事故通报管理、信息交流管理等内容。
系统能够支持各体系之间的应急协调管理,通过系统可以建立一个统一的沟通和协调通道,信息进行对称和汇总,形成统一的管理渠道。
通过系统可以对各司局和信息中心,各部门之间、应用单位之间、工作体系之间,建立信息安全事故通报机制,开展横向、纵向间的事故通报:对于事故隐患、苗头、潜在威胁以及可能发生的事故发出预警;对于已经发生的事故及时通报,采取有效措施,防止类似事故发生;对于事故处置的情况进行通报,用以警示。
同时,通过系统可以建立一个信息交流的平台,多个工作体系之间可以进行信息的交流和沟通。通过系统可以对信息安全知识、技术、应用以及成功案例以及国内外信息安全发展趋势、最新解决方案、工作和经验等情况进行交流,实现信息资源共享,促进信息安全工作。
4.3.3预警与通报管理
1、预警管理
系统具备预警信息发布功能,支持对预警信息的管理,预警信息具备审核流程:待发布预警-预警审核-正式预警信息-预警解除。预警信息支持手工录入和按照一定格式自定导入两种方式,预警发布信息支持多种渠道的预警信息来源,包括国家互联网应急中心、公安部、网信办等不同预警发布渠道,也支持自定义的预警信息发布。
预警信息分类支持多种分类,如蠕虫病毒类、漏洞利用类、黑客攻击类、僵尸木马类等多种分类。
预警分级可以按照红色预警、橙色预警、黄色预警、蓝色预警进行分类。
2、通报管理
系统具备通报管理功能,环保部信息中心可以对接收到的各类安全事件通报按照不同的分类进行录入、发布,并进行通报的管理,如针对安全通报的解决方案、安全处置的过程记录、对相关处理的结果反馈、对后续事件的安全建议等,对安全通报进行全生命周期管理,安全通报的处理结果进行全体通告。
同时,系统能够按年度或者半年度对安全通报进行汇总和分析,为安全通报的整理和汇总提供分析数据。
4.3.4应急处置平台
应急处置平台是信息安全应急处置系统的核心功能,应急处置平台作为环保部信息中心应急处置人员和一般员工进行应急处置的技术支持平台,在具体安全事件发生时起到关键性作用。应急处置平台包括:应急通报、应急通报处置流程、应急通报处置工具、应急处置的指导手册。
应急响应分级进行响应,分级可以分为I级应急响应、II级应急响应、III 级应急响应、IV级应急响应。
1、应急接报:环保部信息中心安排相应的应急事故接报人员和固定、移动电话,对上报上来的信息安全事件进行接听和初步评估,并报请应急办、联络办,同时请安全技术组进行评估,评估审核后安全事件才可以进入应急通报录入程序。
2、应急通报:应急通报应该是一个应急通报的权威发布模块,通过该模块应急人员和一般员工对应急通报将对通报内容进行详细对了解,了解通报对内容、影响对平台和范围、处置对思路和方法等。
应急通报以显著位置进行显示,如浮动窗口、滚动窗口、滑动窗口等方式,需在信息安全应急处置系统首页进行显示,应急处置人员和一般员工在登陆到系统时,可以方便到找到相应到信息入口。
3、应急通报处置流程:系统能够自定义或者上传相关的事件处理流程,应急处置人员和一般员工,可以清晰的了解整个应急通报的处置流程。
4、应急通报处置工具:系统能够提供统一入口,由系统管理员上传相应的应急通报处置工具,而应急处置人员和一般员工,可以通过系统提供的应急通报处置工具对相应对安全事件进行处置,处置工具类型包括但不限于:专杀工具、检测工具、免疫工具、补丁工具、以及各类的补丁信息(操作系统补丁、应用补丁、数据库补丁、中间件补丁)。应急处置人员和一般员工通过此模块,就可以找到相应的工具、补丁等修复手段,进行安全通报处置。
5、应急处置手册:系统能够提供入口,系统管理人员可以上传相关的应急处置手册,应急处置人员和一般员工可以通过应急处置手册进行操作,完成应急
处置工作。
6、应急响应结束:根据应急响应的级别,确定应急响应的结束条件,系统能够支持不同应急响应级别的结束方式。
7、调查与评估:系统能够支持应急响应的调查与评估,总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。
8、系统提供反馈渠道,应急处置人员和一般员工在应急处置时遇到各类问题时,能够有一个统一的渠道进行反馈,系统管理人员能够通过系统进行统一的回复。
4.3.5应急工具库
系统提供接口,系统管理人员可以建立分类的应急工具,通过上传的应急处置工具,形成环保部信息中心的应急工具库,为应急处置提供技术支持。
应急工具库可以支持上传各类工具、文档、程序等,系统管理员可以上传不同类型的应急工具,分类支持包括:网络监测类工具、协议分析类工具、安全扫描类工具、网络工具类、攻击探测类等。一般用户也可以通过系统上传应急工具,一般用户上传的工具要经过系统管理人员件审核,待应急工具通过审核后,方可被其他用户进行下载和使用。
4.3.6应急处置案例管理
1、应急预案案例管理:应急处置案例管理可以对应急预案的案例进行管理,形成应急预案的案例库,管理人员可以对应急预案案例进行分类管理和整理。
2、应急事故案例管理:应急处置案例管理应具备对应急处置案例对管理,应急案例可以按照事件、类型等进行分类管理,应急人员可以通过系统对应急处置案例进行在线对查询,系统管理员可以对生产对应急处置案例进行分类管理,包括:分类调整、编辑、删除、更新。
4.3.7应急知识学习
应急相关知识学习模块:应急知识、应急培训、应急宣传、各种应急材料
1、应急知识:系统提供相关的模块功能,应急处置人员和一般用户可以通过该模块学习相关的应急知识,应急处置人员、一般用户和系统管理员均可以上传相关的应急知识,形成一个应急知识的交流、学习平台。
2、应急培训:系统提供一个应急知识培训的平台,应急处置人员、一般用户可以通过平台进行应急知识的培训,培训材料才可以进行上传和下载。
3、应急宣传:系统提供一个应急宣传的平台,可以将各种应急宣传材料进行上传。应急宣传可以是多种形式,图片、PPT、音频和视频等。
4、安全意识培训:系统提供一个安全意识培训课件、个人安全意识培训材料(包括图片、文字、视频、音频资料库)。
4.4系统性能要求
满足用户的应用要求,稳定、可靠、安全、实用。要求人机界面友好,界面布局合理。如只显示当前用户有权限的功能,能让用户选择的项尽量不让用户输入。同时,要求从业务功能错误、系统运行错误两方面建设错误处理机制。业务功能错误,需要建设统一友好的出错提示界面,向操作者提示错误原因。
各类错误均需记录日志,并提供按日期和类型(业务功能错误、系统运行错误)进行检索的功能。
具体性能指标要求如下表:
4.5系统集成要求
(1)与环保专网RA数字系统集成
?与RA系统集成,实现统一身份认证;
?提供数据接口,便于RA系统同步推送用户信息;
?要求投标单位给出合理的RA系统集成方案;
?投标人应承诺全程积极配合与RA系统的各种集成工作。
(2)与环保专网网络与安全管理平台(SOC)集成
要求实现环保行业信息安全综合监管平台与环保专网网络与安全管理平台(SOC)的数据集成,通过监管平台实现对SOC数据的读取和分析。
(3)与环保行业信息安全综合监管平台一期、二期开发的平台集成。
4.6安全要求
(1)投标人依据国家信息安全标准体系和信息安全等级保护体系要求,根据项目的实际需要,设计环保行业信息安全综合监管平台的安全技术方案。
(2)依据中华人民共和国公安部信息系统安全等级保护标准第三级基本要求,在身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等九个方面对平台进行设计,并提出相应的解决方案。
4.7标准化要求
(1)数据格式标准化。环保行业信息安全综合监管平台应采用标准化的数据格式,应用XML标准化结构语言,确保平台的可扩展性和可维护性。
(2)行业信息标准化。平台组织结构、人员信息、信息系统等行业内的编
码应统一采用已有的标准编码,确保整体信息标准化,便于以后维护管理。
(3)业务模型标准化。按照公安部、工信部等国家管理部门的已有相关标准,平台应采用已发布的等级保护、风险评估、应急处置等技术标准,确保业务信息的兼容性。
5项目实施管理要求
5.1项目进度要求
环保行业综合监管平台(三期)建设项目计划工期为自合同签订之日起6个月。
其中:平台方案设计阶段,2个月;平台三期软件开发及系统测试阶段,2个月;试运行阶段,2个月。
要求投标人给出科学、合理的项目实施计划,并提供甘特图。
根据工程总体进度的变化,招标人可能会延长工期或调整进度计划,投标人应在投标总价中充分考虑这种工期风险,在实施过程中不得藉此要求增加任何费用。
5.2项目组织及人员要求
1.组织机构要求
投标人应保证项目组的专业性和稳定性,必须成立合理的项目组织机构,建立健全保障项目顺利实施的各项管理制度和质量保证体系;安排足够的高素质专业技术人员参加本项目建设工作;参与此项目的技术人员必须具有强烈的服务意识和高度的责任感。
在项目组织机构中应明确各岗位的职责、任职资格,确保工程顺利实施。
2.项目经理要求
项目经理必须专职、全程负责本项目工作。
5.3软件开发质量保障要求
投标人在本项目的实施管理中须遵循软件工程的有关标准体系进行软件过程管理,采取各种可行和有效的软件质量保证措施,保证开发软件成果的质量,并提供软件开发质量保障方案。
6项目培训要求
投标人应根据本项目的情况制定合理有效的培训方案,培训方案包括但不限于培训目的、培训对象、培训组织机构、培训内容、培训大纲、培训计划、培训承诺等几个方面。具体要求如下:
1.投标人应保证提供有经验的教员,使招标人相关人员在培训后能够独立地对系统及安全设备进行应用、管理、维护,而不需投标人的人员在场指导;
2.培训包括系统使用培训、系统管理培训、二次开发培训、运维操作培训;
3.投标人应提供:培训大纲、培训计划、培训内容、培训教材;
4.在系统运行期间若招标人有其它培训要求,投标人应协助招标人完成相关培训,投标人承诺至少提供10人次的协助培训,并负责提供电子材料及教师。
7项目验收要求
具体验收要求如下:
1.已完成合同中全部工作内容;
2.已提交本项目过程中产生的全部文档及全部产出成果文档;
3.平台三期通过投标人组织的第三方评测机构进行的软件评测,并提交评测报告;
4.在服务范围内,协助招标人有等级保护测评需求的系统顺利测评;
5.通过招标人组织的项目验收会。
8质保期服务要求
从项目验收完成之日开始,投标人应提供至少一年的免费质量保证服务,提供至少1名安全应急服务人员,提供一年的信息安全应急处置服务。质保期内的售后服务内容应包括并符合以下基本要求:
1.平台功能完善。根据用户需求进行平台功能补充完善。
2.实时技术支持。投标人应提供7×24小时技术支持服务,在接到技术支持要求时,应为招标人提供如何使用平台的咨询。
3.故障响应。投标人在接到故障报修要求时,应在1小时内做出明确响应和安排,在2小时内为招标人提供维修服务,并做出故障诊断报告。若需要现场服务才能解决问题,应在3小时内到达现场。
4.热线服务。投标人应提供热线电话、E-mail、传真、网站等途径,随时接受招标人提出的各种技术问题,并在24小时内提出解决方案。
5.定期跟踪。投标人应提供每月不少于1次现场巡检服务,及时发现和排除潜在问题或故障隐患,保证平台的稳定运行。
6.系统升级。投标人所开发软件在质保期内如有升级版本,应及时免费为招标人更新。
7.维修服务。在保修期间,如故障产品的处理周期超过5个工作日,中标人必须为用户提供相同型号或性能相近的备用产品使用;同一产品出现两次重大故障,中标人必须更换成新的产品。如果由于维修服务失误或产品故障造成最终用户损失,除承担赔偿外,还要提供处理办法。
投标人应详细阐述质保期的技术支持和售后服务的内容、方式与范围,并指出在质保期内哪些服务是免费的,哪些服务是收费的。售后服务的所有报价都需要计入投标总价中,否则视为免费。投标人须认真理解上述质保服务要求,详细列出质保期服务方案,一经应答将作为合同的一部分。
9其他要求
9.1知识产权要求
投标人应保证对投标中全部软件均享有知识产权或者得到软件所有人授权能够再次授权招标人使用,并保证授予招标人和最终用户上述全部软件非独占的长期许可使用权。招标人或最终用户在使用过程中不应受到第三方关于侵犯知识产权的指控。如有任何上述指控,投标人应独自承担可能发生的一切法律责任和费用。
本项目所开发软件的知识产权归招标人所有。投标人就本项目开发的软件,应向招标人提供全部源代码和不限次数的使用权以及二次开发权。
9.2保密要求
投标人必须对项目技术文件以及由招标人提供的所有内部资料、技术文档、数据和信息予以保密。中标人须与招标人签署保密协议,保密协议中应包含且不局限下述内容:
1.不得透露招标人及招标人系统中的数据信息;
2.不得透露招标人系统的配置、设置及其他与系统有关的信息。
投标人必须遵守与招标人签订的保密协议,未经招标人书面许可,投标人不得以任何形式向第三方透露本项目标书以及本项目的任何内容。
9.3关于报价
本次招标不包括环保行业信息安全综合监管平台开发、运行所需的服务器、操作系统、数据库、中间件等软硬件基础设备采购。投标人的报价应包含为完成本招标文件提出的工作所有可能发生的费用,即所需的一切人工、物耗、工具、设备、用水、用电、保安、保险和所有可能发生的相关费用,所有费用计入投标总价。本招标文件所要求内容应视为保证系统运行所需最低要求,如有遗漏,投标人应予补充,否则,一旦中标将认为投标人认同遗漏部分并免费提供。
本项目的所有工作不允许分包或转包,否则招标人有权终止合同,并追究相
关的法律责任。
要求投标人对平台设计、开发、实施、服务等分项及安全技术服务部分合理报价,并按照上述要求编制详细的商务、技术响应文件。