DB21∕T 3661-2022 信息化项目全过程网络安全服务规范(辽宁省).pdf

1、 ICS 91.120.25 CCS L70 21 辽宁省地方标准 DB21/T 36612022 信息化项目全过程网络安全服务规范 Cyber security service specification for the whole process of informatization 2022-11-30 发布 2022-12-30 实施 辽宁省市场监督管理局 发 布 DB21/T 36612022 I 目次 前言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 基本要求.2 5 服务组织模式及人员职责.2 组织模式.2 5.1 人员职责.3 5.26 规划设计阶段网络

2、安全服务内容.4 网络安全投资决策咨询.4 6.1 网络安全规划编制.5 6.2 网络安全建设方案编制.5 6.3 商用密码应用规划编制.5 6.4 商用密码应用解决方案编制.5 6.57 招标采购阶段网络安全服务内容.5 8 部署实施阶段网络安全服务内容.6 网络安全监理.6 8.1 网络安全项目管理.6 8.2 网络安全集成（或建设）.6 8.39 验收评估阶段网络安全服务内容.6 信息安全风险评估.6 9.1 网络安全等级保护测评.6 9.2 商用密码应用安全性评估.6 9.3 软件安全性测试.7 9.4 源代码安全审计.7 9.5 渗透测试.7 9.610 运行维护阶段网络安全服务内容

3、.8 信息安全风险评估.8 10.1 网络安全等级保护测评.8 10.2 商用密码应用安全性评估.8 10.3 软件安全性测试.8 10.4 网络安全运维.9 10.5 网络安全应急保障.9 10.6 信息安全管理体系建设.10 10.7 网络安全培训.10 10.8DB21/T 36612022 II 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由辽宁省工业和信息化厅提出并归口。本文件起草单位：北方实验室（沈阳）股份有限公司、沈阳德西企业管理服务有限公司

4、、辽宁省检验检测认证中心。本文件主要起草人：张健楠、韩晓娜、袁洪朋、李海涛、丁琳、张鏖、朱江、刘强、刘文志、李琳、肖宇鹏、高殿悦、丁显东、魏凤娇、蔡雨、吴晓峰、马超、梁爽、邱学思、叶松、韩燕妮。本文件发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈，我们将及时答复并认真处理，根据实际情况依法进行评估及复审。归口管理部门通讯地址：辽宁省工业和信息化厅（沈阳市皇姑区北陵大街45-2号），联系电话：024-86893258。文件起草单位通讯地址：北方实验室（沈阳）股份有限公司（沈阳市浑南新区三义街6-1号21层），联系电话：024-83785841/83785849。

5、DB21/T 36612022 1 信息化项目全过程网络安全服务规范 1 范围 本文件规定了信息化项目全过程网络安全服务的术语和定义、基本要求、服务组织模式及人员职责，规划设计、招标采购、部署实施、验收评估、运行维护各阶段网络安全服务的要求。本文件适用于辽宁省内信息化项目全过程网络安全服务的实施。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 18336.2 信息技术 安全技术 信息技术安全评估准则 第2部分:安全功能组件 GB/

6、T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25069 信息安全技术 术语 GB/T 25070 信息安全技术 网络安全等级保护安全设计技术要求 GB/T 28448 信息安全技术 网络安全等级保护测评要求 GB/T 39786 信息安全技术 信息系统密码应用基本要求 ISO/IEC 27001 信息技术 安全技术 信息安全管理体系要求 3 术语和定义 GB/T 18336.2、GB/T 22239、GB/T 25069、GB/T 25070、GB/T 28448、GB/T 39786和ISO/IEC 27001界定的以及下列术语和定义适用于本文件。3.1 信息化项目全过

7、程 the whole process of informatization project 完整的信息化项目管理流程，包括规划设计、招标采购、部署实施、验收评估和运行维护和共五个阶段。3.2 网络安全服务 cybersecurity service 面向组织或个人的各类网络安全保障需求,由服务提供方按照服务协议所执行的一个网络安全过程或任务。3.3 网络安全设计 cybersecurity design 针对信息系统的安全保障需求，设计总体安全策略，形成安全架构、技术体系和管理体系。3.4 网络安全投资决策咨询 cybersecurity investment decision consul

8、tation DB21/T 36612022 2 在项目前期研究阶段，通过对投资项目的技术、产品、市场、工艺技术及设备、财务效益、内外部发展环境等方面的分析和评价，分析计算投资项目在项目计算期产生的预期现金流确定其投资价值以及相关的风险有多大，进而做出投资决策。3.5 信息安全管理体系 information security management system 在整体或特定范围内建立信息安全目标和策略，以及完成这些目标和策略所用方法的总集。3.6 网络安全监理 cybersecurity supervision 具有相关资质的监理单位受网络安全工程建设单位的委托，依据国家有关法律法规、标准规

9、范和监理合同，对信息系统项目实施的监督管理。3.7 信息安全风险评估 Information security risk assessment 从风险管理角度，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。3.8 网络安全等级保护测评 testing and evaluation for graded cybersecurity protection 测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。3.9 商用密码应用安全性评估 security evaluation of

10、 commercial password application 在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。4 基本要求 规划设计阶段提供网络安全投资决策咨询、网络安全规划编制、网络安全建设方案编制、商用密4.1 码应用规划编制、商用密码解决方案编制服务。招标采购阶段提供招投标文件及合同咨询服务。4.2 部署实施阶段提供网络安全监理、网络安全项目管理服务。4.3 验收评估阶段提供信息安全风险评估、网络安全等级保护测评、商用密码应用安全性评估、软件4.4 安全性测试、源代码安全审计、渗透测试服务。运行维护阶段提供信息安全风险评估、网络

11、安全等级保护测评、商用密码应用安全性评估、软件4.5 安全性测试、网络安全运维、网络安全应急保障、信息安全管理体系建设、网络安全培训服务。5 服务组织模式及人员职责 组织模式 5.1 5.1.1 服务过程分为规划设计、招标采购、部署实施、验收评估和运行维护五个阶段。5.1.2 每个阶段对应提供不同的安全服务项，为信息化项目全过程建设各个阶段的网络安全提供全方位的服务和保障。5.1.3 信息化项目全过程网络安全服务框架如图 1 所示。DB21/T 36612022 3 网络安全服务内容信息化项目全过程规划设计阶段招标采购阶段部署实施阶段验收评估阶段运行维护阶段招投标文件及合同咨询网络安全建设方案

12、编制网络安全投资决策咨询商用密码应用解决方案编制商用密码应用规划编制网络安全规划编制网络安全监理网络安全项目管理网络安全应急保障网络安全运维信息安全管理体系建设网络安全培训源代码安全审计软件安全性测试信息安全风险评估网络安全等级保护测评商用密码应用安全性评估渗透测试 图1 信息化项目全过程网络安全服务框架 人员职责 5.2 各岗位人员职责如表1所示。表1 人员职责划分表 序号 角色 职责 人员技能要求 1 投资决策综合性咨询服务组 负责制定投资决策综合性咨询服务的服务方案、负责网络安全建设方案编制、负责商用密码应用规划编制 熟悉信息化和网络安全相关法律、法规及标准，掌握计算机软硬件、网络、项目

13、管理和信息安全基础知识，具有系统规划、风险评估、服务设计策划和学习沟通能力 2 网络安全规划师 负责网络安全服务的整体规划 3 网络安全设计师 制定网络安全设计方案 4 网络安全招标采购咨询师 为网络安全服务项目提供采购咨询 熟悉信息化和网络安全相关法律、法规及标准，掌握计算机软硬件、网络、项目管理和信息安全基础知识，具有过程执行和优化、故障排除、项目管理和学习沟通能力 5 网络安全监理工程师 编写监理规划中的网络安全管理的监理工作内容及监理实施细则；审查施工单位报送的营业执照、企业资质和安全生产许可证 DB21/T 36612022 4 表 1 人员职责划分表（续）6 网络安全风险评估师 对

14、信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行风险评估 熟悉信息化和网络安全相关法律、法规及标准，掌握计算机软硬件、网络、项目管理和信息安全基础知识，具有设备安装配置、巡检监控、设备操作、工具应用等能力 7 等保测评师 负责信息安全服务项目的安全评估工作;负责信息安全服务等级保护项目实施,协助客户完成定级备案、专家评审、差距分析、方案设计、安全整改、管理制度等相关工作 8 密码测评师 对商用密码应用安全性评估工作提供技术支持，并对其项目测评的方法、方案、进度、输出成果等进行把控；对网络安全等级保护测评工作提供技术支持，并对其项目测评的方案、进度输出成果等进行把控 9

15、 渗透测评师 实施网络和 Web、app 的渗透测试；能对常见的漏洞原因、原理、可利用性、风险程度等相关分析报告，如 sql 注入，xss，csrf，命令执行，文件包含，任意文件下载/读取。文件上传，越权/未授权操作等漏洞；对互联网领域的重大安全事件进行跟踪、分析；跟踪最新行业领域技术相关知识输出；对安全领域的新技术、新方法进行研究 10 网络安全运维工程师 负责网络、系统和业务等方面的常规安全加固工作，进行常规的安全扫描、渗透测试，通过应用安全工具和系统开展安全运维工作。熟悉信息化和网络安全相关法律、法规及标准，掌握计算机软硬件、网络、项目管理和信息安全基础知识，熟悉常见安全漏洞的利用原理，

16、熟悉安全监控、安全加固、安全研判、风险处置、应急响应等的流程及方法 11 网络安全应急响应工程师 从事信息安全技术领域应急响应工作，包括应急响应事件监测、应急响应事件分析和处置等。12 网络安全集成工程师 在建设和整改过程中完成项目网络、安全设备的调试及配置，协助解决客户各类技术服务需求。13 文档管理员 负责样品、文档保管、交接、跟踪和保密工作 14 计划管理员 负责对外联络，协助领导组开展工作 15 质量保证工程师 负责全过程网络安全服务的质量监督 16 专家 全过程网络安全服务技术咨询 6 规划设计阶段网络安全服务内容 网络安全投资决策咨询 6.1 网络安全投资决策咨询服务包括以下内容：

17、a)确定投资目标，确定投资目标是投资决策的前提；b)选择投资方向，在明确投资目标后，应进一步拟定具体的投资方向；c)制定投资方案，在决定投资方向之后，应着手制定具体的投资方案，并对方案进行可行性论证；DB21/T 36612022 5 d)评价投资方案，主要是对投资风险与回报进行评价分析，由此来断定投资决策方案的可靠性；e)反馈调整决策方案和投资后的评价，投资方案确定之后，还必须要根据环境和需要的不断变化，对原先的决策进行适时地调整，从而使投资决策更科学合理。网络安全规划编制 6.2 网络安全规划应按以下几个方面进行规划：a)通过风险评估等方式提取组织的安全需求，对相应的安全保障目标、任务、措

18、施和步骤进行规划；b)从策略、组织、管理、技术、资源等多个层面进行规划。网络安全建设方案编制 6.3 网络安全建设方案可分为三个层面，具体包括以下内容：a)以基础安全技术框架、网络安全管理体系、现有安全风险控制建设为重点；b)构建以人机结合分析、持续监测、安全事件流程闭环为核心的主动安全防御体系；c)重点完善主动防御体系，以漏洞、资产、威胁、事件四个维度为抓手，建设漏洞管理平台、资产管理平台、威胁实时监测、事件管理平台，形成以安全效果为目标的安全运营体系。商用密码应用规划编制 6.4 商用密码应用规划编制包括以下内容：a)推进基准站网商用密码应用：摸清基准站商用密码应用需求、制定商用密码应用实

19、施方案、商用密码应用试点示范和推广应用；b)推进面向社会服务的商用密码应用；c)建立健全商用密码应用标准体系；d)加强科技创新，推动商用密码广泛应用。商用密码应用解决方案编制 6.5 商用密码应用解决方案编制包括以下内容：a)物理和环境安全的商用密码应用；b)网络和通信安全的商用密码应用；c)设备和计算安全的商用密码应用；d)应用和数据安全的商用密码应用；e)管理制度角度的商用密码应用；f)人员管理角度的商用密码应用；g)建设运行角度的商用密码应用；h)应急处置角度的商用密码应用。7 招标采购阶段网络安全服务内容 网络安全招标采购咨询主要包括以下内容：a)提供网络安全领域项目招标文件编制和招标

20、技术的咨询指导服务，协助完成详细的具体的技术质量要求的技术性文书；b)提供网络安全领域项目投标文件编制和投标技术的咨询指导服务，协助完成应招标文件要求编制的技术响应性文件；DB21/T 36612022 6 c)提供网络安全领域项目招投标合同的咨询指导服务，协助完成招标合同中的技术内容。8 部署实施阶段网络安全服务内容 网络安全监理 8.1 网络安全监理主要包括以下内容：a)依据网络安全方面的标准和要求，在工程建设各阶段向建设单位提供相关咨询,并协助建设单位对承建单位在工程建设中的网络安全实施服务进行监理；b)对信息系统运维阶段的其他网络安全实施服务进行监理。网络安全项目管理 8.2 可提供的

21、网络安全项目管理服务包括以下内容：范围管理、项目风险管理、项目集成管理、质量管理、时间管理、项目人力资源管理、工程咨询服务、综合能力管理、采购管理、成本管理、沟通管理等。网络安全集成（或建设）8.3 可提供的网络安全项目集成（或建设）服务包括以下内容：计算机应用系统工程和网络系统工程的安全需求界定、安全设计、建设实施、安全保证，协助信息系统管理人员进行信息系统的安全运维工作，及时整改并修复信息系统中所存在的安全隐患，降低安全隐患被非法利用的可能性。9 验收评估阶段网络安全服务内容 信息安全风险评估 9.1 信息安全风险评估包括以下内容：a)风险评估准备，制定评估工作计划，包括评估业务范围、评估

22、标准内容等；b)资产识别，确定资产的机密性、完整性和可用性，进行资产赋值，并对重要和关键资产进行标注；c)威胁识别，进行威胁识别、威胁分类和威胁赋值；d)脆弱性识别，进行脆弱性识别和脆弱性赋值；e)已有安全措施确认，应确认安全措施的有效性；f)风险分析，风险分析及风险值计算，形成风险评估报告。网络安全等级保护测评 9.2 网络安全等级保护测评包括以下内容：a)测评准备，信息收集和分析、工具和表单准备；b)测评方案编制，确定测评对象、测评指标、测评内容、工具及测评方法；c)现场测评，进行现场测评和结果记录、结果确认和资料归还；d)形成测评报告，进行单项测评结果判定、单元测评结果判定、整体测评、系

23、统安全评估、安全问题风险分析，形成等级测评结论并编制测评报告。商用密码应用安全性评估 9.3 商用密码应用安全性评估包括以下内容：a)评估密码应用方案，编制测评方案，包括密码应用解决方案、实施方案和应急处置方案；DB21/T 36612022 7 b)前期准备，搜集系统部署图等文档证据、人员访谈了解系统业务情况；c)现场测评，进行工具测试和人工核查；d)进行密码应用安全评估并根据系统的密码应用情况出具测评报告。软件安全性测试 9.4 软件安全性测试包括程序、网络、数据库安全性测试内容。a)程序安全性测试：1)测试是否明确区分系统中不同用户权限；2)测试系统中会不会出现用户冲突；3)测试用户登陆

24、密码是否是可见、可复制；4)测试是否可以通过绝对途径登陆系统；5)测试用户退出系统后是否删除了所有鉴权标记，是否可以使用后退键而不通过输入口令进入系统。b)网络安全性测试：1)测试采取的防护措施是否正确装配好，有关系统的补丁是否及时修补；2)模拟非授权攻击，查看防护系统是否坚固；3)采用成熟的网络漏洞检查工具检查系统相关漏洞；4)采用各种木马检查工具检查系统木马情况；5)采用各种防外挂工具检查系统各组程序的客外挂漏洞。c)数据库安全性测试：1)测试系统数据的机密性；2)测试系统数据的完整性；3)测试系统数据可管理性；4)测试系统数据的独立性；5)测试系统数据可备份和恢复能力。源代码安全审计 9

25、.5 源代码安全审计服务主要包括以下内容：a)通过自动化代码安全扫描工具，对源代码进行非破坏性质的审计工作；b)通过工具扫描、手工测试验证相结合的方法，对源代码进行非破坏性质的审计工作；c)通过对业务系统模块的源代码进行审查，检查代码在程序编写上可能引起的安全性和脆弱性问题；d)通过对源代码进行安全审计，根据软件实际安全性和脆弱性问题出具测评报告。渗透测试 9.6 渗透测试服务包括以下内容：a)信息收集：通过公开渠道、直接访问、扫描网站等方式获取目标信息；b)漏洞探测：完成信息收集之后，对网站进行漏洞探测；c)漏洞验证：将探测到的有可能成功利用的全部漏洞逐一进行验证，验证成功后再应用于目标中；

26、d)权限提升：利用目标系统存在的弱点进行本地权限提升并直接控制目标系统；e)内网渗透：通过模拟攻击外网服务器，获取外网服务器的权限，利用外网服务器作为跳板，攻击内网其他服务器，获取有用信息和数据；DB21/T 36612022 8 f)信息整理：整理渗透工具、整理收集信息、整理漏洞信息；g)痕迹清理：在渗透测试结束后清除渗透测试痕迹及相关影响内容；h)报告输出：进行整理资料，对漏洞成因、验证过程和带来危害进行分析，并提出修补建议，对所有产生的问题提出合理高效安全的解决办法。完成渗透测试报告编写。10 运行维护阶段网络安全服务内容 信息安全风险评估 10.1 信息安全风险评估包括以下内容：a)风

27、险评估准备，制定评估工作计划，包括评估业务范围、评估标准内容等；b)资产识别，确定资产的机密性、完整性和可用性，进行资产赋值，并对重要和关键资产进行标注；c)威胁识别，进行威胁识别、威胁分类和威胁赋值；d)脆弱性识别，进行脆弱性识别和脆弱性赋值；e)已有安全措施确认，应确认安全措施的有效性；f)风险分析，风险分析及风险值计算，形成风险评估报告。网络安全等级保护测评 10.2 网络安全等级保护测评包括以下内容：a)测评准备，信息收集和分析、工具和表单准备；b)测评方案编制，确定测评对象、测评指标、测评内容、工具及测评方法；c)现场测评，进行现场测评和结果记录、结果确认和资料归还；d)形成测评报告

28、，进行单项测评结果判定、单元测评结果判定、整体测评、系统安全评估、安全问题风险分析，形成等级测评结论并编制测评报告。商用密码应用安全性评估 10.3 商用密码应用安全性评估包括以下内容：a)评估密码应用方案，编制测评方案，包括密码应用解决方案、实施方案和应急处置方案；b)前期准备，搜集系统部署图等文档证据、人员访谈了解系统业务情况；c)现场测评，进行工具测试和人工核查；d)进行密码应用安全评估并根据系统的密码应用情况出具测评报告。软件安全性测试 10.4 软件安全性测试包括程序、网络、数据库安全性测试内容。a)程序安全性测试：1)测试是否明确区分系统中不同用户权限；2)测试系统中会不会出现用户

29、冲突；3)测试用户登陆密码是否是可见、可复制；4)测试是否可以通过绝对路径登陆系统；5)测试用户退出系统后是否删除了所有鉴权标记，是否可以使用后退键而不通过输入口令进入系统。b)网络安全性测试：DB21/T 36612022 9 1)测试采取的防护措施是否正确装配好，有关系统的补丁是否及时修补；2)模拟非授权攻击，查看防护系统是否坚固；3)采用成熟的网络漏洞检查工具检查系统相关漏洞；4)采用各种木马检查工具检查系统木马情况；5)采用各种防外挂工具检查系统各组程序的客外挂漏洞。c)数据库安全性测试：1)测试系统数据的机密性；2)测试系统数据的完整性；3)测试系统数据可管理性；4)测试系统数据的独

30、立性；5)测试系统数据可备份和恢复能力。网络安全运维 10.5 网络安全运维服务包括以下内容：a)日常维护，主要做好日常网络安全基础性防护工作，涉及软硬件和网络资产的安全状况检查、设备远程管理、口令安全管理、数据访问控制、系统日志分析、网络安全态势监控、数据备份、安全策略配置、邮件安全审查等，同时对安全告警、策略变更、安全事件、安全需求等进行处理；b)安全巡检，定期对网络设备、安全设备、操作系统、数据库、中间件、应用系统等进行安全配置检查和漏洞扫描，对数据备份的安全状况进行检查，同时定期开展漏洞和弱口令等专项检查和扫描，确认网络是否存在不安全因素；c)安全评估，不断地实施风险评估以识别系统面临

31、的不断变化的风险和脆弱性；d)安全加固，对网络设备、安全设备、操作系统、数据库、中间件、应用系统进行安全基线加固和安全配置优化；e)补丁管理，针对漏洞扫描发现的问题，以及客户补丁管理提供的建议，定期进行补丁升级，同时帮助客户维护补丁管理系统和防病毒系统。网络安全应急保障 10.6 网络安全应急保障服务包括以下内容：a)网络环境安全事件的应急处置：影响网络运行和信息安全的重大事件由应急处置工作组统一指挥处置；b)网络运行事件处置：网络运行相关事件由网络部负责，重大事件立即向应急处置工作组负责人报告；c)网络攻击事件处置：由网络部按应急流程处置，对于大规模、影响较大的恶意代码、拒绝服务攻击、系统入

32、侵和端口扫描进行处置；d)信息安全事件处置：发生信息安全事件应及时通知网络部安全负责人，及时消除非法信息，恢复系统；e)应急演练：根据组织已有的应急预案，在设备、系统、业务、组织等不同层面进行测试和演练,从而提高组织的应对各类突发网络安全事件的能力，演练的方式可分为桌面演练、模拟演练和实战演练；f)安全通告和预警，定期通过邮件或者其他联系方式向客户提供系统的安全通告，为客户实时提供最新的安全漏洞和安全警告，可使客户提高尽快速处理突发事件的能力，保证客户信息系统的安全。DB21/T 36612022 10 信息安全管理体系建设 10.7 信息安全管理体系建设宜按照ISO/IEC 27001组织实

33、施，应按以下原则进行建设：a)确定信息安全管理体系范围，包括影响其实现信息安全管理体系预期结果能力的外部和内部事项、与信息安全相关的要求、相应接口及依赖关系；b)制定信息安全方针包括信息安全目标、对满足适用的信息安全相关要求的承诺、对持续改进信息安全管理体系的承诺；c)明确管理职责，最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通；d)以风险评估为基础选择控制目标与控制方式，量化测评风险发生的可能程度及其造成的后果；e)制定程序文件阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。网络安全培训 10.8 网络安全培训服务包括以下内容：a)基础培训：包括安全导

34、论、安全法律法规、操作系统应用、计算机网络、HTML&JS、PHP 编程、Python 编程及 docker 基础等；b)web 安全培训：包括 web 安全概述、web 安全基础、web 安全漏洞及防御及企业 web 安全防护策略等；c)渗透测试培训：包括渗透测试概述、渗透测试环境搭建、渗透测试工具使用、信息收集与社工技巧、web 渗透、中间件渗透及内网渗透等；d)代码审计培训：包括代码审计概述、PHP 代码审计、Python 代码审计、Java 代码审计、C/C+代码审计及代码审计实战等；e)安全加固培训：包括网络协议安全、密码学及应用和操作系统安全配置等；f)企业级培训：包括企业安全建设、等保原理、等保制度建设及等保测评实践等。