招标
关于网络安全服务1项的在线询价公告[杭州市公安局钱塘新区分局]
金额
49万元
项目地址
浙江省
发布时间
2020/09/27
公告摘要
公告正文
一、项目信息
项目名称:杭州市公安局钱塘新区分局关于网络安全服务 1项的在线询价采购项目
项目编号:32020083116504187
项目联系人:张斌
项目联系电话:18067909869
采购计划文号:钱政采分-2020-00407[QTZFCG-YS-2020-00680]
采购计划金额(元): 490000.00
预算总额(元): 490000.00
项目所在行政区划编码:330117
项目所在行政区划名称:钱塘新区
二、采购单位信息
采购单位名称: 杭州市公安局钱塘新区分局
采购单位地址: 学林街1616号
采购单位联系人和联系方式:/
采购单位社会统一信用代码或组织机构代码:11330101002491341U
采购单位预算编码:001008
三、采购项目内容
服务要求:
1、资质及服务要求:中标单位资质及服务要求质量保证措施及服务承诺1、中标单位提供的服务是否满足技术指标要求,如有不满足的项超过5个,给予废标处理。中标单位需具有自主研发的WEB应用安全检测工具,投标时需提供检测工具软件著作权登记证书3、投标单位所使用的信息安全类工具软件(包括WEB应用弱点扫描工具、数据库扫描工具、远程安全检查工具、应急处置工具箱等)必须为正版产品,具有公安部销售许可证书,并进行详细说明。服务人员实力及素质情况本项目配备不少于4名安全服务人员,要求具有中国信息安全测评中心颁发的数据安全分析师(CISP-BDSA)认证资质,须提供证书复印件和浙江省内近三个月社保缴纳证明并加盖公司公章。为本项目配备的项目经理具备国际注册内部控制师(CICS)、信息安全等级保护测评师、注册信息安全专业人员认证(CISP)、主任审核员(ISO27001 LA)、CCSK认证资质,须提供相关证书复印件,并提供项目经理浙江省内近三个月社保证明;项目成员中具有PMP证书,并提供浙江省内近三个月社保证明;以上证书提供复印件,原件备查。要求服务商需具备以下资质文件:中标单位需具有知识产权管理体系认证证书中标单位需具有CNCERT网络安全应急服务支撑单位(国家级)证书中标单位需具有软件能力成熟度集成模型5级(CMMI5)中标单位需具有中国信息安全测评中心颁发的信息安全服务资质证书安全工程类(三级)证书中标单位需具有中国信息安全测评中心颁发的信息安全服务资质证书风险评估(二级)证书中标单位需提供的售后维护机构和人员等情况,常驻服务和技术支持机构为浙江省本地公司、办事处、第三方协作单位以上证书提供复印件。类似项目建设的成功经验截止投标时间近三年以来投标人承担类似安全服务项目,项目金额需在200万以上,至少5个,原件备查 服务时间及考核1、服务时间服务时间为合同签订生效后,投标方人员到位正式开始服务后1年。2、验收方式考核至少满足:提供用户单位所列的安全服务,提交各类报告;响应甲方提出的应急服务请求,响应时间未超出规定期限;服务期间重要网站未出现重大安全事故。否则不具备考核条件,招标单位可单方中止服务合同。中标后三个工作日内需提供上述针对中标公司资质、安全服务人员资质,业主确认所有资质齐全并通过后才能执行合同流程,资质提供中若发现有虚假应标行为,业主保留追究相关中标供应商法律责任的权力并对虚假中标供应商作出废除。
报价时间:2020年09月27日 11:04 - 2020年09月30日 15:00
四、保证金金额、收款银行、用户名及卡号
附件信息:
安全服务参数要求-钱塘新区公安0818.docx
项目名称:杭州市公安局钱塘新区分局关于网络安全服务 1项的在线询价采购项目
项目编号:32020083116504187
项目联系人:张斌
项目联系电话:18067909869
采购计划文号:钱政采分-2020-00407[QTZFCG-YS-2020-00680]
采购计划金额(元): 490000.00
预算总额(元): 490000.00
项目所在行政区划编码:330117
项目所在行政区划名称:钱塘新区
二、采购单位信息
采购单位名称: 杭州市公安局钱塘新区分局
采购单位地址: 学林街1616号
采购单位联系人和联系方式:/
采购单位社会统一信用代码或组织机构代码:11330101002491341U
采购单位预算编码:001008
三、采购项目内容
| 序号 | 采购内容 | 品牌 | 规格型号 | 数量 | 技术参数或配置要求 |
| 1 | 网络安全服务 | 1 | 1 网站扫描 钱塘新区重点政府事业单位及企业,通过定制的扫描规则,形成安全扫描策略文档,对指定的应用系统进行自动化安全扫描,人工验证扫描结果并输出安全扫描报告及修复建议 辖区内重点网站500个 1年4次 2 云防护 钱塘新区重点政府事业单位等30个网站接入到云防护系统进行安全防护,包括DDOS攻击防御、网站入侵、网页防篡改、实时攻击监测、高级威胁检测预警、一键关停、永久在线、手机APP、安全防护报告等服务内容 辖区内重点网站30个 1年 3 监测及漏洞验证 1、钱塘新区政府网站及重点企业网站需接入到杭州市公安局关键信息基础设施平台,完成全市两级关键信息系统基础设施安全防护平台运行,实现平台预警功能; 2、配合完成重点网站监测漏洞核验工作,配合将重点网站、信息系统统一纳入杭州市公安局平台进行7*24小时的实时监测和预警。 3、全区政府网站和重点企业网站、重要信息系统在服务期内由区分局网警大队针对全区政府网站和重点企事业网站、重要信息系统清单进行修改。 辖区内重点网站50个 1年 4 网络安全监管检查 针对重要信息系统、网站、工控系统等开展网络安全检查,全面排查网络安全隐患,督促和指导各运营单位及时执行整改修复,避免网络安全风险可能带来的影响。 辖区内单位 1年12次 5 移动APP安全测试服务 对APP进行安全分析,全面发现Android、IOS、微信应用等程序可能存在的安全缺陷,并提供安全测试报告和改进建议,最大程度地为保障APP的程序安全。 移动APP应用运营单位 按需 6 互联网资产发现服务 Sumap全网快速探测引擎,主要针对全网互联网IP地址做到实时监测扫描、资产识别、漏洞探测等(ICP备案信息)。 辖区内互联网 按需 7 应急响应服务 根据事件类别,通过远程和现场支持的形式协助客户对遇到的突发性安全事件进行紧急分析和处理。主要工作内容包括:突发事件相关信息的收集、事件的分析、报告提交、问题解决建议等。紧急事件主要包括:病毒和蠕虫事件、黑客入侵事件等。 全区 一年6次 8 远程渗透测试服务 通过模拟黑客使用的工具、分析方法对网站进行安全测试,并结合智能工具扫描结果,由高级工程师进行深入的手工测试和分析,识别工具弱点扫描无法发现的问题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误以及其他专项内容。 辖区内重要网站和信息系统(案件有关) 一年5个系统 9 安全通告 定期提供最新病毒的防御方案、最新系统漏洞信息及其修复方法、最新发生的安全事件等内容的安全通告报告。 / 按需 10 等保工具箱升级服务 等保工具箱升级服务 / 1年 11 网络安全培训 网络安全培训 全区 1年1-2次 二、安全服务内容(定义▲:废标项) (1)网站扫描 技术指标 指标要求 期限及频率 1年4次 服务范围 辖区内重点网站500个 服务内容 钱塘新区重点政府事业单位及企业,通过定制的扫描规则,形成安全扫描策略文档,对指定的应用系统进行自动化安全扫描,人工验证扫描结果并输出安全扫描报告及修复建议。 输出物 《网站扫描报告》 工具要求 ★须提供自主研发的专业WEB应用弱点扫描工具。 WEB应用弱点扫描工具 ▲1、产品厂家应为公安部《信息安全技术 Web应用安全扫描产品安全技术要求》标准起草单位,提供相关证明并加盖公章; 2、产品应通过国家信息安全测评信息技术产品安全测评证书EAL3+级别,提供证书复印件并加盖公章; ★3、产品通过中国信息安全认证中心获得IT产品信息安全认证证书,提供证书复印件并加盖公章; ★4、支持对各种挂马方式的网页木马进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位,提供截图证明; 5、支持常见的WEB应用弱点检测,支持OWASP TOP 10等主流安全漏洞;支持指纹识别、暴力猜解、Webshell、暗链扫描; 6、支持指纹识别、暴力猜解、Webshell、暗链扫描; 7、支持自动化漏洞验证和沙盒技术,对目标应用进行深入安全分析,取得系统安全威胁的直接证据。 (2)云防护 技术指标 指标要求 期限及频率 1年 服务范围 辖区内重点网站30个 服务内容 钱塘新区重点政府事业单位等30个网站接入到云防护系统进行安全防护,包括DDOS攻击防御、网站入侵、网页防篡改、实时攻击监测、高级威胁检测预警、一键关停、永久在线、手机APP、安全防护报告等服务内容。 服务平台要求 ★1、浙江省杭州、台州、金华、湖州、温州等地拥有云防护节点,提供该些区域的节点地址与截图证明; ★2、网站云安全防御服务平台需通过公安部检测并获得国家公安部计算机信息系统安全专用产品销售许可证,提供证书复印件; ★3、网站云安全防御服务平台必须通过由公安部颁发的信息系统安全等级保护三级备案证明,提供备案证明复印件并加盖原厂公章。 部署方式 1、无需在网站前端安装任何安全设备、软件,通过DNS流量指向到云端进行安全防护。 2、支持将防护网站NS解析到云防护DNS服务器,支持将防护网站CNAME别名指向云防护。 云防御服务 1、DDOS畸形报文过滤, 过滤frag flood、smurf、stream flood、land flood、攻击ip畸形包、tcp畸形包、udp畸形包。 2、传输层DDoS攻击防护,过滤syn flood、ack flood、udp flood、icmp flood、rstflood。 3、连接型DDoS攻击防护,过滤TCP慢速连接攻击、连接耗尽攻击、tcp新建连接限制等攻击和loic、hoic、slowloris、Pyloris、xoic等慢速攻击。 4、特征过滤,4层ip+port过滤和7层payload部分内容过滤。 5、支持检查提交的报文是否符合HTTP协议框架,如异常的请求方法、特殊字符、重点字段的缺失、超长报文造成的溢出攻击以及对高危文件的访问等。 ★6、支持识别恶意请求含:跨站脚本(XSS)、注入式攻击(包括SQL注入、命令注入 、Cookie 注入等)、跨站请求伪造等应用攻击行为。 7、支持识别服务端响应内容导致的缺陷:敏感信息泄露、已有的网页后门、错误配置、目录浏览等缺陷。 ★8、支持基于访问行为特征进行分析,能识别盗链、爬虫攻击的能力。 ★9、支持识别网站中的网页木马程序,通过策略可防止木马网页被用户访问。 10、支持对用户上传的文件后缀名和文件内容进行全方面检查,杜绝Webshell的上传和访问。 ★11、支持对WEB服务器容器、应用中间件、CMS系统等第三方组件漏洞进行有效防护。 12、支持智能识别攻击者,对网站连接发起攻击的IP地址进行自动锁定禁止访问被攻击的网站。 13、支持一键虚拟补丁功能,网站出现0day漏洞时能快速完成修复。 14、支持永久在线功能,当网站因为服务器故障、线路故障、电源等问题出现无法连接时,可显示云防护中的缓存页面。当在敏感期或特殊时期时,用户网站主动关闭期间可显示云防护中的缓存页面。 ★15、支持网站关停功能,当网站出现紧急安全事件时,可一键快速完成关停,防止产生恶劣影响,提供功能截图并加盖原厂公章 安全审计 1、能详细记录攻击事件的HTTP请求头信息,含请求的URL、UserAgent、POST内容,cookie等所有的请求头内容。 2、能详细记录服务器响应头信息,包括状态码、服务器类型等信息。 报表 1、可查看安全防护报告,包含攻击流量、攻击者区域统计、攻击者IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻击威胁等级统计等报告。 2、可查看网站访问报告,包含访问流量、访问区域统计、访问源IP统计、访问页面排行、访问终端、死链、静态资源等统计报告。 3、可查看服务质量监测报告,包含全国各省监测节点可用性分析、线路故障、CDN命中分析、首页加载时长分析、网站更新频率分析等。 4、支持日报、月报,并支持html、pdf格式导出。 5、可查看安全防护报告,包含攻击流量、攻击者区域统计、攻击者IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻击威胁等级统计等报告。 可视化展现 1、可视化页面需要可以投放到大屏幕,分辨率不低于1400*900; 2、整体网站群漏洞和可用性实时监测,包括站点服务质量监测、安全事件监测、高危端口监测、存在高中危漏洞网站等可视化数据展示与挖掘; 3、整体网站群攻击态势可视化分析,包括访问与攻击流量趋势、CC攻击趋势、受攻击网站趋势、攻击IP排行、网站访问排行等、攻击区域热点展示与挖掘; 4、单个网站可视化分析,包括访问流量、访问区域热点展示、访问与攻击源实时分析、访问源IP排行、攻击趋势、攻击区域分布、攻击类型、攻击时段、攻击源IP排行等数据展示与挖掘。 手机APP管理 通过手机APP查看网站整体态势数据,包含网站漏洞监测、可用性监测、攻击防御状态、防护报表等状态信息。 告警方式 根据不同告警级别发送邮件、短信、电话等多种告警方式。 输出物 《云防护报告》 (3)监测及漏洞验证 技术指标 指标要求 期限及频率 1年 服务范围 辖区内重点网站50个 服务内容 ▲1、钱塘新区政府网站及重点企业网站需接入到杭州市公安局关键信息基础设施平台,完成全市两级关键信息系统基础设施安全防护平台运行,实现平台预警功能; 2、配合完成重点网站监测漏洞核验工作,配合将重点网站、信息系统统一纳入杭州市公安局平台进行7*24小时的实时监测和预警。 3、全区政府网站和重点企业网站、重要信息系统在服务期内由区分局网警大队针对全区政府网站和重点企事业网站、重要信息系统清单进行修改。 输出物 《监测及漏洞验证报告》 (4)网络安全监管检查 技术指标 指标要求 期限及频率 1年12次 服务范围 辖区内单位 服务内容 针对重要信息系统、网站、工控系统等开展网络安全检查,全面排查网络安全隐患,督促和指导各运营单位及时执行整改修复,避免网络安全风险可能带来的影响。 输出物 《网络安全监管检查报告》 工具要求 ★须提供自主研发的数据库弱点扫描工具。 数据库扫描工具 ▲1、产品厂家应为公安部《信息安全技术数据库扫描产品安全技术要求》标准起草单位,提供相关证明并加盖公章; ★2、支持针对数据库每张表每个字段的内容进行敏感数据探测;敏感信息用户可以自定义添加,可以让用户了解自己的数据库系统有哪些敏感数据,存放的具体位置,便于在信息保护和审计中重点关注; 3、提供自动搜索功能,可以自动搜索出某一网段或指定IP范围内(端口号可默认或指定范围)的活动数据库,轻松获得数据库的基本信息(包括IP、数据库类型、服务名、端口号、数据库版本、操作系统类型、主机名等);可按时、按日、按周定制扫描计划,到时间自动进行扫描; 4、使用具有DBA权限的数据库用户,执行选定的安全策略实现对目标数据库的检测; 5、用户在没有授权的情况下(即:不需要数据库的用户名和密码),依据数据库版本号并根据选定的安全策略对目标数据库进行的检测; 6、能够实时检测出黑客入侵数据库后对数据库系统对象的篡改,还能探测出黑客创建的一些隐藏对象,比如隐藏的具有DBA权限的用户,并提供详细的扫描报告; 7、按漏洞类型分类:(1)缓冲区溢出漏洞(2)访问控制漏洞(3)提权漏洞(4)PL-SQL注入漏洞(5)执行权限过大漏洞(6)访问权限绕过漏洞(7)弱口令(8)数据库内核入侵探测(9)安全信息查看(10)敏感数据探测; 按风险级别分为类:(1)紧急(2)高危(3)中危(4)低危(5)信息; 8、提供扫描策略可自定义模式,操作者可以灵活选择默认策略的同时也可以自定义添加策略; 9、支持CVE、CNNVD标准; 10、提供直观的风险危害等级图表和风险类型统计图表、漏洞的描述、漏洞的风险级别、加固建议; 11、输出报告格式包括PDF、WORD、XLS等; ★12、提供不少于4个等级保护测评机构使用案例,提供合同复印件。 (5)移动APP安全测试服务 技术指标 指标要求 期限及频率 按需 服务范围 移动APP应用运营单位 服务内容 对APP进行安全分析,全面发现A |
服务要求:
1、资质及服务要求:中标单位资质及服务要求质量保证措施及服务承诺1、中标单位提供的服务是否满足技术指标要求,如有不满足的项超过5个,给予废标处理。中标单位需具有自主研发的WEB应用安全检测工具,投标时需提供检测工具软件著作权登记证书3、投标单位所使用的信息安全类工具软件(包括WEB应用弱点扫描工具、数据库扫描工具、远程安全检查工具、应急处置工具箱等)必须为正版产品,具有公安部销售许可证书,并进行详细说明。服务人员实力及素质情况本项目配备不少于4名安全服务人员,要求具有中国信息安全测评中心颁发的数据安全分析师(CISP-BDSA)认证资质,须提供证书复印件和浙江省内近三个月社保缴纳证明并加盖公司公章。为本项目配备的项目经理具备国际注册内部控制师(CICS)、信息安全等级保护测评师、注册信息安全专业人员认证(CISP)、主任审核员(ISO27001 LA)、CCSK认证资质,须提供相关证书复印件,并提供项目经理浙江省内近三个月社保证明;项目成员中具有PMP证书,并提供浙江省内近三个月社保证明;以上证书提供复印件,原件备查。要求服务商需具备以下资质文件:中标单位需具有知识产权管理体系认证证书中标单位需具有CNCERT网络安全应急服务支撑单位(国家级)证书中标单位需具有软件能力成熟度集成模型5级(CMMI5)中标单位需具有中国信息安全测评中心颁发的信息安全服务资质证书安全工程类(三级)证书中标单位需具有中国信息安全测评中心颁发的信息安全服务资质证书风险评估(二级)证书中标单位需提供的售后维护机构和人员等情况,常驻服务和技术支持机构为浙江省本地公司、办事处、第三方协作单位以上证书提供复印件。类似项目建设的成功经验截止投标时间近三年以来投标人承担类似安全服务项目,项目金额需在200万以上,至少5个,原件备查 服务时间及考核1、服务时间服务时间为合同签订生效后,投标方人员到位正式开始服务后1年。2、验收方式考核至少满足:提供用户单位所列的安全服务,提交各类报告;响应甲方提出的应急服务请求,响应时间未超出规定期限;服务期间重要网站未出现重大安全事故。否则不具备考核条件,招标单位可单方中止服务合同。中标后三个工作日内需提供上述针对中标公司资质、安全服务人员资质,业主确认所有资质齐全并通过后才能执行合同流程,资质提供中若发现有虚假应标行为,业主保留追究相关中标供应商法律责任的权力并对虚假中标供应商作出废除。
报价时间:2020年09月27日 11:04 - 2020年09月30日 15:00
四、保证金金额、收款银行、用户名及卡号
附件信息:
安全服务参数要求-钱塘新区公安0818.docx
解决方案
联系我们
返回顶部