询价人：中华人民共和国钦州海事局



2022年 9 月5日



















为保障我局VTS系统、VHF系统、CCTV系统及承载网络运行安全顺畅，全面监测、发现并处理网络安全隐患，降低网络安全风险，全面提升网络安全治理能力，计划采购网络安全运维服务。

一、项目概况

（一）项目建设单位：钦州海事局。

（二）项目名称：钦州海事局网络安全运维服务采购项目。

（三）项目需求：详见附件1.

二、资格要求

（一）符合《中华人民共和国政府采购法》第二十二条规定的条件，国内注册（指按国家有关规定要求注册的）依法能提供本次项目服务，具备法人资格的供应商；

（二）对在“信用中国”网站（www.creditchina.gov.cn）、中国政府采购网（www.ccgp.gov.cn）等渠道被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单及其他不符合《中华人民共和国政府采购法》第二十二条规定的供应商，不得参与政府采购活动。

（三）本次询价不接受联合体比选申请。

三、比选文件的获取

询价响应人请在2022年9月6日至2022年9月8日在广西海事局外网 （网址：http://www.gx.msa.gov.cn）信息公开/海事项目板块下载项目需求文件。

四、询价响应文件的递交

（一）询价人接受现场递交或邮寄询价响应文件，询价响应文件送至或邮寄至广西钦州市蓬莱南大道103号钦州海事局2楼209室,递交询价响应文件截止时间为2022年9月8日1700时；询价响应文件必须密封盖章。

（二）询价响应人逾期送达或未按要求送达指定地点的询价响应文件，询价人将予以拒收。

五、评选办法

询价人组成询价评选小组对响应文件进行拆封比选，询价响应单位宜大于等于三家。

六、联系方式

询价人地址：广西钦州市蓬莱南大道103号钦州海事局

联系人：冯岗

电话：18907876605

中华人民共和国钦州海事局

2022年9月5日




附件1：中华人民共和国钦州海事局网络安全运维服务




采购需求




注：以下《采购需求说明》及《采购需求一览表》所列内容为采购人所提采购需求，供应商应认真仔细研究，投标时应响应服务要求、服务质量等进行投标。




采购需求说明

一、工作目标

结合信息化办公网络使用实际，保障我单位内部网络可用性、可靠性，整体平稳、高效地运行，满足日常工作需求，进一步优化网络资源，合理使用网络信息流量，保障关键业务数据运行通畅。同时，完善运维管理体系的建设，提高服务质量水平、转变服务理念、拓宽服务范围、提高服务效率、提升服务满意度。

响应国家建设网络信息安全号召，落实政策法规要求，比如：《中华人民共和国网络安全法》、《信息系统安全等级保护基本要求》等等。我单位通过落实安全责任制，开展管理制度建设、服务管理，使系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益。

二、服务内容

2.1 安全运维服务

常规的安全服务工作应该形成一个巡检、加固、应急的安全闭环。通过定期的加固和巡检不断增强安全防护能力，消除新的安全隐患。在安全事件发生时，通过有效的应急处理机制，最快速恢复系统的保密性、完整性和可用性，阻止和降低安全威胁事件带来的严重性影响，建立立体化防护体系。

2.1.1 基础环境信息安全风险评估服务

从风险管理角度，运用科学的方法和技术手段，分析网络与信息系统所面临的安全威胁及存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，并提出针对性的安全防护建议和整改措施。

评估内容包括网络安全评估（不限于对物理网络结构、逻辑网络结构、网络的关键设备运行）、主机安全评估（不限于主机的硬件系统、操作系统、中间件）、数据库评估（发现数据库漏洞和安全隐患）。

通过“自动化工具配合人工检查”方式参考安全配置基线进行检查，主要包括网络设备、安全设备、操作系统、数据库、中间件等对象的安全配置基线，核查内容包括但不限于：帐号管理、口令策略、认证授权、日志审计等内容，以检测设备安全配置存在的问题和风险。对检查结果提供相应的技术支持。

2.1.2 安全加固服务

通过全面分析用户目前运行的网络存在的安全隐患和面临的脆弱性漏洞，有针对性的设置合理的安全策略，从而全面提升网络对抗外部攻击的能力，比如DDOS、SQL注入、跨站脚本、恶意文件上传、恶意代码等攻击。

安全加固服务主要包括但不限于以下主要内容：

（1）在防火墙上实施策略控制，严格限制访问的地址和端口；

（2）审核系统当前及实施加固之后的安全性；

（3）安装最新的系统安全补丁；

（4）禁止不必要的应用和服务；

（5）审核并加强文件系统的安全性；

（6）禁止不必要的账号，并加强账号及口令管理策略；

（7）去除后门，内核参数及配置调整；

（8）定期杀毒，定期更换服务器账号密码；

（9）启动日志审计功能。

中间件及常见网络服务安全加固包含以下内容：

（1）漏洞补丁管理，为业主方信息系统（含网站）的中间件及其他应用软件的漏洞补丁加固或版本更新提供修复建议，并在加固的前后提供漏洞验证。

（2）帐号和口令管理

（3）认证、授权策略调整

（4）通讯协议加固

（5）日志审核功能增强

（6）其他安全配置增强通过以下途径来实施系统加固服务：

（7）通过人员访谈、现场调查等途径来了解客户对欲加固系统的技术要求；

（8）实施必要的安全扫描，确认安全加固前目标系统问题所在，提取加固需求；

（9）为系统安全加固做好准备（环境、工具、资料、人员等）；

（10）通过系统加固测试来确认加固方案的可行性；

（11）借助预先准备好的Checklist及工具来实施正式的系统安全加固；

（12）通过后期安全扫描及审计来验证加固结果的有效性。

2.2 安全应急响应服务

根据已发生的安全事件及客户的需求，提供包含但不仅限于一项的应急响应服务。服务方式包括现场和远程形式。（用户不在应急单位本地且立刻需要判断威胁系数控制风险损失时采用远程方式）。

可提供的服务内容如下：

（1）被入侵植入shell：查找shell并删除、溯源入侵的手法及路径，排查服务器是否被进一步利用；根据溯源结果提供一份应急响应报告，并针对发现的问题给予整改、修复意见。

（2）木马、病毒：判断电脑终端及服务器中木马、病毒类型，根据所中木马、病毒的特征对失陷主机进行排查，排查如计划任务、进程、服务、新增用户、脚本、恶意文件等。并清理其中一台已失陷主机，观察是否能达到清除效果，已清除后，根据结果出具相应的应急响应报告。并提供相应的清除方法、整改意见。

2.3 资产梳理服务

我单位机房是由多种软硬件设备组成，包括接入链路、网络设备、主机设备、安全设备、存储设备、虚拟化平台、应用软件、域名/IP以及UPS、精密空调等各种物理环境设备，这些软硬件设备是组成其信息系统的重要资产。

对我单位机房资产盘点统计摸清家底，协助我单位对4个机房的信息资产情况进行了解盘点，更好的提供系统的运行维护服务。

服务内容包括：

（1）网络设备、安全设备的硬件设备型号、软件版本和补丁、数量、性能、质保信息等信息统计记录；

（2）平台软件（数据库、中间件、操作系统）产品型号、版本和补丁、质保信息等信息统计记录；

（3）服务器、存储的产品型号、版本、性能、质保信息等信息统计记录；

（4）业务系统软件的型号、软件版本和补丁、质保信息等信息统计记录；

（5）网络结构、网络路由、网络IP地址统计记录；

（6）综合布线系统结构图的绘制；

（7）网络链路性能、流量统计与分析；

（8）其它附属设备的统计记录。

对我单位机房所有软硬件资产详尽信息的标准化梳理，并在此基础上实现资产信息的动态维护和随时随地的检索查询，是全面运维的基础。

资产梳理服务之后，最终向我单位交付的文档主要如下：

（1）《用户信息资产统计表》

（2）《用户信息系统网络拓扑图》

（3）《用户信息系统设备信息统计表》

（4）《用户信息系统设备登录方式及帐号统计表》（如果有，单独保密交付）

2.4 应急预案及应急预案演练服务

协助我单位编制符合实际使用需求的应急预案。协助我单位开展网络安全应急预案演练，负责制定演练方案，并全程提供技术支持。

2.5 重大时期安全保障服务

为我单位在重要节日或重大活动期间提供安全保障服务，保障内容应包括：安全评估、事前保障等。

2.6 安全意识培训服务

面向我单位所在地全体职工提供网络安全意识培训，培训内容以安全上网、安全办公为主，培训时长不少于2个课时。

三、服务要求

3.1 管理要求

运维服务标准应基于CCRC-ISV-C01：2018《信息安全服务规范》中安全运维服务资质的相关技术标准及ITSS运维服务成熟度的要求来设计和履行。

3.2 服务范围

中华人民共和国钦州海事局4个机房及办公网络。

实施地点：中华人民共和国钦州海事局指定的服务地点。

3.3 服务的模式和要求

3.3.1 准备阶段

3.3.1.1 需求调研与分析

（1）调研我单位信息系统安全现状，采集我单位安全服务需求与目标，明确我单位对信息系统安全运维服务时间、服务期限、服务内容以及服务方式的需求。

（2）进行信息系统运维预算，定义运维服务。

（3）与我单位进行沟通，达成共识并形成记录。

3.3.1.2 签订服务协议

（1）与我单位签订服务协议，明确范围、目标、时间、内容、金额、质量和输出等。

（2）明确安全运维的方式，方式包括但不限于：驻场值守方式，定期巡检方式，远程值守方式。

3.3.1.3 方案设计阶段

（1）根据系统安全运维需求，编制安全运维服务方案，明确安全运维服务时间、服务内容、服务方式、服务期限、服务人员、服务交付物、服务质量管理、服务沟通机制、服务风险管理等方面要求。

（2）提供安全设备、业务系统的健康检查服务，并约定服务方式、检查频次和检查内容。

（3）专业人员负责安全管理的接口。

3.3.1.4 服务实施阶段

（1）实施初始服务，完成资产识别。

（2）采集信息系统重要资产的安全配置、流量信息等安全信息。

（3）对安全设备进行日常维护及监控，并记录硬件故障。

（4）收集与分析网络及安全设备、服务器、数据库、中间件、应用系统的日志。

（5）实施日常巡检服务：对用户的安全设备、网络设备、服务器提供业务操作巡检、状态巡检、安全策略配置巡检服务。

（6）实施日常安全运维服务：完成安全设备、网络设备、服务器、应用系统安全事件监控：病毒监测、查杀及网络防病毒维护：漏洞扫描、安全加固、补丁安装：并有相关记录。

（7）对信息安全事件进行统计与分析。

（8）实施健康检查服务：完成安全设备、业务系统的健康检查服务。

3.3.1.5 运维服务报告阶段

（1）向客户提交服务报告，定期收集与报告安全运维实施情况。

（2）汇总整理全部服务内容的记录，形成年终安全运维服务总结报告。

3.4 服务团队要求

投标人或安全服务厂商应按照用户要求成立服务项目组，项目小组不少于3人，提供服务的工程师不少于1名，具备多年安全服务项目经验或多年集成项目实施经验。提供服务的企业机构获得CISP证书人员≥10人（提供有效的认证证书复印件）。服务期内，提供服务的企业机构须每月提供一次上门巡检服务，巡检服务人员要求至少派遣1名网络安全工程师，工程师应具备相关技术认证达到中级或以上。以月为单位书面出具维护报告情况表报我单位装备信息处负责人签字确认。

3.5 投标人或安全服务厂商要求

本项目投标人或安全服务厂商须提供以下材料、资质证明，并按规定签章。

（1）投标人营业执照副本复印件；

（2）投标人法人身份证复印件，法人授权委托书原件、委托代理人身份证复印件；

（3）投标人服务承诺书；

（4）投标人类似业绩案例，提供合同复印件；

（5）服务厂商授权及售后服务承诺；

（6）服务厂商应具备网络安全应急服务支撑单位证书（国家级），提供证书复印件；

（7）服务厂商应具备ISO27001信息安全管理体系认证证书，提供证书复印件；

（8）服务厂商应具备CCRC信息安全应急处理服务资质（一级），提供证书复印件；

（9）服务厂商应具备CCRC信息系统安全运维服务资质（一级），提供证书复印件；

（10）服务厂商应具备国家信息安全测评中心颁发的信息安全服务资质（风险评估二级），提供证书复印件；

（11）服务项目组人员清单及相应资质证书；

（12）服务厂商CISP认证人员（≥10人）有效的认证证书复印件；

（11）满足采购需求内容的报价单。

备注：投标文件格式自拟。投标文件正本1份，副本2份。如正本与副本不符，以正本为准。投标文件正副本必须密封装订。