基本信息与申购明细

项目名称：	福建医科大学网络安全等级保护咨询与测评服务	项目编号：	fjmu20230163
采购单位：	福建医科大学	预算金额：	300000.00
付款方式	服务期满，通过验收后30日内付清合同全款。

物品名称：	福建医科大学网络安全等级保护咨询与测评服务			数量：	1	单位：	项
预算单价：	300000.00	是否标配：	否
申购时间：	2023-11-24	保修期(月)：	12
送货地址：	福建医科大学指定地点
设备清单列表：
技术参数：	一、投标人须知 1、请投标方认真阅读“网上竞价人须知”和“网上竞价使用手册”：http://www.fyzb.com/index/download.html 2、请投标方将响应文件及相关证明材料（含附件）盖印签字后扫描上传。将所有扫描的图片粘贴至同一份WORD或PDF文档中，请勿逐个图片上传。 3、报价说明：参照闽财购[2010]18号文件规定，供应商提交报价必须低于公告最高限价3％（不含）以上，否则，视为无效报价。在符合采购需求且报价有效的前提下，投标报价最低值中标（报价相同的，以报价时间优先者中标）。 4、福建医科大学教育科技发展有限公司相关问题请咨询0591-87382097。 二、技术参数：  本项目服务期内为采购方校园网提供重要信息系统网络安全等级保护咨询及测评服务等。 (一)服务内容及服务要求 1.等保咨询及测评服务范围 根据等级保护2.0要求，如《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》等标准规范要求，提交《信息系统等级保护测评申请书》，对采购方3个（复评）等级保护三级业务系统、16个等级保护二级业务系统及周围网络基础设施（简称采购方测评对象）进行网络安全等级保护测评辅导及测评，并为被测系统提供规定的专业测评机构出具的网络安全等级保护测评报告及公安机关的备案证书（新测评对象）。网络安全等级保护测评报告及公安机关的备案证书将作为验收的重要依据。 2.服务概述 序号 服务大类 服务类别 服务内容 服务频率 交付成果 1 等保咨询服务 等保资产分析服务 对信息系统进行调研和梳理，编制信息系统详细描述文档。 1次/年 《信息系统等级保护基本情况调研表》 等保风险分析服务 分析信息系统的安全风险以及基线差距。 《等级保护差距评估报告》 等保差距评估服务 依照等级保护要求从管理和技术两个层面找出存在的问题并进行差距分析。 等保定级咨询服务 协助用户单位完成撰写信息系统定级报告。 《专家评审意见》 等保安全加固服务 根据等保安全加固整改方案实施边界防护安全策略优化、数据库安全加固建议以及应用安全加固辅导。 《等保测评整改加固报告》 等保制度建设服务 辅助用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度，达到等级保护测评要求。 《安全管理制度汇编》 等保测评现场辅助服务 协助测评机构完成测评数据采集等工作，直至备案系统通过等级测评。   协助备案服务 提供等保备案咨询服务并协助填写《信息系统等级保护备案表》《信息系统安全等级保护定级报告》等材料 《信息系统等级保护备案表》、《信息系统安全等级保护定级报告》、《信息系统安全等级保护备案证明》 2 等保测评服务 等保测评服务 聘请测评机构提供等保测评服务（包含系统等保测评费用），并为被测系统提供测评机构出具的信息系统网络安全等级保护测评报告。 1次/年 《XX信息系统安全等级保护测评报告》 3 漏洞扫描服务 漏洞扫描服务 对信息系统、网络设备、主机、数据库进行漏洞扫描，并对扫描结果进行进一步分析，判断漏洞可利用情况，确定漏洞威胁等级，提出整改意见并形成漏洞扫描报告。 6次/年 《漏洞扫描报告》 4 终端安全监测服务 终端安全监测服务 提供≥5个服务器版端点安全软件授权，实时监测服务器端病毒感染情况，发现并遏制勒索病毒等恶意程序在内网传播；实时监测主机安全环境的变化，为主机提供统一的资产可视化和和脆弱面管理能力，通过异常行为检测和响应机制保护主机免受攻击。 全年       3.等保资产分析服务 根据等级保护范围内的资产组成，对服务范围内各个测评对象整理的网络结构拓扑以及相关联的资产，基于等级保护综合管理系统开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理，编制《信息系统等级保护基本情况调研表》，并通过系统实现资产管理，包含网络拓扑、机房管理、设备管理、应用管理、数据管理等。 4.等保风险分析服务 根据等级保护基本要求，开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心的现状分析，通过安全访谈、脆弱性评估、登录检查、日志分析、等级保护综合管理系统等技术手段对现有的安全资产进行全方位的风险评估，结合信息资产属性、威胁、脆弱性等基本要素，分析信息系统安全风险评估分析，编制《等级保护安全评估与整改建议报告》与《等级保护安全加固建议报告》。 5.等保差距评估服务 在安全评估和信息系统定级的基础上，根据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》将测评对象对应等级的等级保护的各项基本要求与信息安全现状进行比较分析，并通过等级保护综合管理系统提供展示本单位的指标自评的总体情况、10大层面指标符合情况、自评得分变化趋势。差距评估从管理和技术两个层面找出存在的问题并进行差距分析，包含以下内容： (1) 技术层面的差距评估内容 1) 安全物理环境：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。 10安全通信网络：网络架构、通信传输、可信验证。 2) 安全区域边界：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。 3) 安全计算环境：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。 4) 安全管理中心：系统管理、审计管理、安全管理、集中管控。 (2) 管理层面的差距评估内容  1) 安全管理制度：安全策略、管理制度、制定与发布、评审与修订。 2) 安全管理机构：岗位设置、人员配备、授权和审批、沟通与合作、审核和检查。 3) 安全管理人员：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。 4) 安全建设管理：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商管理。 5) 安全运维管理：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。 6.等保定级咨询服务 参照国家和地方对等级保护定级的有关要求，对信息系统开展摸底调查工作，掌握信息系统的基本情况，了解信息系统（包括信息网络）的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息，协助用户单位完成撰写信息系统定级报告，明确信息系统的边界和安全保护等级。提交《信息系统定级报告》。 7.等保安全加固服务 派遣专业工程师到现场根据等保安全加固整改方案实施边界防护安全策略优化、数据库安全加固以及应用安全加固辅导。安全加固实施前，应提交安全加固风险分析及风险规避说明书。 8.等保制度建设服务 定制建设适用于采购方实际情况的安全管理制度，主要包括但不限于信息安全工作职责，信息安全监督、检查机制；辅助用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度，达到等级保护测评要求。 9.等保测评现场辅助服务 在服务期内，协助测评机构完成测评数据采集等工作，直至备案系统通过等级测评。如测评中发现采购方缺少相应设备或设备性能不足，需要临时租借设备以保证采购方通过测评。提交测评相关材料。 10.协助备案服务 根据《信息安全等级保护管理办法》，信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门，应到公安部网站下载《信息系统安全等级保护备案表》，乙方需要协助采购方填写《信息系统安全等级保护备案表》《信息系统安全等级保护定级报告》等，同时协助到公安机关完成备案工作并获取公安机关备案证书。 11.等保台账管理服务 通过服务工具提供等保台账管理服务，服务过程中提供各个定级对象等保咨询服务涉及到的各个环节产生的资料归档，支持对单个定级对象的定级、备案、自评、测评、管理制度五大维度的单独归档文件管理。 12.等保测评服务 根据网络安全法及国家等级保护相关标准，对等保咨询与测评服务范围内的系统进行等级测评工作，出具符合公安部门要求的测评报告。 (1)测评原则 本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则： 1) 保密原则：对测评的过程数据和结果数据须严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害业主单位的行为，否则业主单位有权追究其责任。 2) 标准性原则：测评方案的设计与实施须依据国家等级保护的相关标准进行。 3) 规范性原则：评测工作中的过程和文档，须具有很好的规范性，便于业主单位对项目的跟踪和控制。 4) 可控性原则：测评服务的进度要跟上进度表的安排，保证业主单位对于测评工作的可控性。 5) 整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。 6) 最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。 测评机构应严格依照上述原则和国家等级保护相关标准开展项目实施工作。 (2)等级测试的整体要求 1) 在项目现场实施周期内，供应商为本项目成立等级保护测评小组，同时安排负责本项目的项目经理和核心技术人员驻场服务。等级保护测评小组人员需由具有等保测评资质的测评机构（须在公安部网络安全保卫局--中国网络安全等级保护网--全国网络安全等级保护测评机构推荐目录内）派出，且具备《信息安全等级保护师认证》，在项目实施途中，驻场人员未经业主单位同意不得随意更换，项目小组成员不少于3人。 2) 等级保护测评实施过程中所使用到的各种工具软件均由供应商推荐，经业主单位确认后由供应商提供并在测评中使用。 3) 安全测评工具软件运行需要的所有硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等均由供应商推荐，经业主单位确认后由供应商提供并在测评中使用。 4) 安全测评需要的运行环境（如场地、网络环境等）由业主单位提供，供应商应根据项目需要向业主单位说明需要的运行环境的具体要求。 (3)安全等级保护测评报告要求 上述系统需根据业主单位要求在规定时间内完成等级测评，并由测评机构（须在公安部网络安全保卫局--中国网络安全等级保护网--全国网络安全等级测评与检测评估机构目录内）出具等级保护测评报告。 13.漏洞扫描服务 对信息系统、网络设备、主机、数据库进行漏洞扫描，并对扫描结果进行进一步分析，判断漏洞可利用情况，确定漏洞威胁等级，提出整改意见并形成《漏洞扫描报告》。协助老师完成漏洞登记、通报下发、协助漏洞整改、整改复查等工作，实现漏洞闭环管理。 14.终端安全监测服务 提供≥5个服务器版端点安全软件授权，实时监测服务器端病毒感染情况，发现并遏制勒索病毒等恶意程序在内网传播；实时监测主机安全环境的变化，为主机提供统一的资产可视化和和脆弱面管理能力，通过异常行为检测和响应机制保护主机免受攻击。 (二)服务技术要求 1. 投标人所采用的等保风险分析服务工具需支持平台级联设置，可支持向上级平台上报资产信息、安全事件、脆弱性风险等数据。投标人须提供CMA（中国国家认证认可监督管理委员会）或CNAS（中国合格评定国家认可委员会）认证的第三方检测机构出具的关于“平台级联”功能项的产品检测报告的关键页复印件。 2. 投标人所采用的等保风险分析服务工具需支持EBA实体行为分析功能，通过行为分析和行为画像构建，识别服务器异常，包括DGA解析请求、外联C&C服务器、异常协议利用、下载可疑文件、异常横向访问等。投标人须提供截图证明。 3. 投标人所采用的等保安全加固服务工具需支持CC攻击防护功能。投标人须提供具备CMA（中国国家认证认可监督管理委员会）或CNAS（中国合格评定国家认可委员会）认证的第三方检测机构出具的关于“CC攻击防护”功能项的产品检测报告的关键页复印件。 4. 投标人所采用的等保安全加固服务工具需支持勒索病毒检测与防御功能。投标人须提供具备CMA（中国国家认证认可监督管理委员会）或CNAS（中国合格评定国家认可委员会）认证的第三方检测机构关于“勒索软件通信防护”功能项的产品检测报告的关键页复印件。 5. 投标人所采用的漏洞扫描服务工具需支持全面扫描、资产发现、系统漏洞扫描、弱口令扫描、WEB漏洞扫描、基线配置核查六种任务类型，其中全面扫描支持系统漏洞扫描、WEB漏洞扫描、弱口令扫描同时执行。投标人须提供截图证明。 6. 为方便管理员统一进行管理，投标人所采用的终端安全监测服务工具需要能够与学校现有终端安全管理系统对接，实现统一纳管。投标人须提供以上内容的承诺函（格式自拟）并加盖投标人公章。 7. 投标人所采用的终端安全监测服务工具需支持按不同时间维度展示病毒查杀事件相关信息，如不同时间维度展示病毒查杀事件爆发趋势和病毒TOP5,并展示对应事件数量和对应终端数量。投标人须提供CMA（中国国家认证认可监督管理委员会）或CNAS（中国合格评定国家认可委员会）认证的第三方检测机构关于“按不同时间维度展示病毒查杀事件相关信息”功能项的产品检测报告的关键页复印件。 8. 投标人所采用的终端安全监测服务工具需支持展示全球热点风险事件在网内终端的爆发情况。投标人须提供CMA（中国国家认证认可监督管理委员会）或CNAS（中国合格评定国家认可委员会）认证的第三方检测机构关于“展示全球热点风险事件在网内终端的爆发情况”功能项的产品检测报告的关键页复印件。
售后服务要求：	一、售后服务要求 （一）服务期：按合同签订之日起计算1年内，采购方测评对象通过测评或复评，并获得相应测评报告及备案证书为止。 （二）交付时间：合同签订后 (10) 天内开始提供约定服务。 （三）服务地点：福建省福州市闽侯县福建省福州市大学新区学府北路1号。 （四）付款方式：服务期内采购方测评对象通过测评，并获得相应测评报告及备案证书后，30个工作日内，支付中标总价款的100%。 （五）在合同的履约期内中标人如出现违规违约及服务技术或质量问题，采购人有权随时终止合同，并追究中标人所造成的损失责任。须在服务期内完成，如完不成，采购方有权随时终止合同，并追究中标人所造成的损失责任。 （六）投标方中标后，在签订合同时，须与采购方签订信息系统保密协议。 （七）验收方式数据表格 验收期次 验收期次说明 1 按照信息系统安全等级测评报告进行验收。     （八）其他事项：除招标文件另有规定外，若出现有关法律、法规和规章有强制性规定但招标文件未列明的情形，则投标人应按照有关法律、法规和规章强制性规定执行。 二、签订合同时间：中标人在接到成交通知书后15日内与采购单位签订采购合同。 三、违约责任 1、如果中标人未能按合同规定的时间按时足额交货的（不可抗力除外），在中标人书面同意支付延期交货违约金的条件下，采购人有权选择同意延长交货期还是不予延长交货期，采购人同意延长交货期的，延期交货的时间由双方另行确定。延期交货违约金的支付采购人有权从未付的合同货款中扣除。延期交货违约金比率为每迟交1 天，按迟交货物金额的2%。但是，延期交货违约金的支付总额不得超过迟交货物部分合同金额的30 %。 2、如果中标人未能按合同规定的时间或双方另行确定的延期交货期按时足额交货的（不可抗力除外），每逾期1天，中标人应按迟交货物金额的2%向采购人支付逾期交货的违约金。逾期交货违约金的支付采购人有权从未付的合同货款中予以扣除。若中标人逾期交货达30天以上（含30天）以上的，采购人有权单方解除本合同，中标人仍应按上述约定支付延期交货违约金。若因此给采购人造成损失的，还应赔偿采购人所受的损失。 3、若中标人不能交货的（逾期15个工作日视为不能交货，不可抗拒的因素除外）或交货不合格从而影响采购人正常使用的，中标人应向采购人偿付不能交货部分货款的20%的违约金。违约金不足以补偿损失的，采购人有权要求中标人赔偿损失。 4、如果中标人未能按照合同约定的时间提供服务的，每逾期1天的，中标人应向采购人支付500元违约金，若因此给采购人造成损失的，中标人还应赔偿采购人所受的损失。 四、本标书中未明之处，可进行必要的咨询和补充说明。 五、以上条款由采购人全权解释。