一、功能及要求：
一、项目名称：2023-2025年度长沙住房公积金管理中心信息安全服务项目
二、项目金额：463,831.29元/年*3=1,391,493.87元
二、相关标准：
按国家相关标准执行
三、技术规格：
三、服务内容
1、安全服务（专业类）

序号	名称	服务内容	服务频次	服务期
1.1	风险评估	服务内容：对中心业务系统、综合服务平台两个等保三级系统进行风险评估，评估内容包括物理安全评估、网络安全评估、主机安全评估、应用系统评估、数据安全评估、病毒木马检查、漏洞扫描等。通过每年全面的风险评估，持续对中心的安全建设、安全规划指引方向与提供依据，每次评估后，出具相应的风险评估报告和改进措施报告。 中心业务系统包括归集、提取、信贷、财务、稽核、绩效、领导决策、行政执法、电子档案、资金结算平台、监管平台、与各相关部门（人民银行、市政府、商业银行、担保公司、住建局、不动产中心、法院等）接口等部分。 综合服务平台包括网上业务大厅、微信、在线客服系统、人脸识别系统、支付宝查询接口、自助终端等渠道。	每年开展两次	三年
1.2	代码审计	服务内容：针对信息系统新增功能模块进行代码审计，采用专业审核工具和技术服务人员手 工检查相结合，对信息系统新增功能模块 的源代码进行综合检查，以发现应用系统 的安全漏洞，并对修复之后的漏洞以渗透测试方式进行安全确认，并形成《代码审计分析报告》。	每年不少于一次	三年
1.3	渗透测试服务	服务内容：在不影响中心业务正常运行的情况下，完全模拟黑客可能使用的攻击技术和漏洞发现技术，对中心业务系统、综合服务平台、政务云上系统和蓝信APP等互联网开放端口和接口安全状况开展深入的探测，以发现和挖掘系统中存在的漏洞。渗透测试工作以人工渗透为主，辅助以攻击工具的使用。每年对各子系统进行一次全面的测试，并根据甲方需求按时按需开展。服务后，提供具有针对性的情况评估和改进措施报告。 主要的渗透测试方法包括：信息收集、端口扫描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人攻击、web脚本渗透、B/S或C/S应用程序测试、社会工程等。针对所有渗透测试系统输出渗透测试报告描述其发现的问题并提供相应的解决方案。	每年开展二次	三年
1.4	脆弱性检测	服务内容：针对中心业务系统、综合服务平台重要资产（服务器、数据库、网络设备、安全设备等），服务提供商需利用自主研发的且具备自主知识产权的脆弱性检测工具进行脆弱性检测服务，每次服务后，提供具有针对性的情况评估和改进措施报告。	每年开展两次	三年
1.5	安全加固服务	服务内容：具体包括对中心业务系统、综合服务平台加固服务、服务器操作系统加固服务、数据库及中间件安全加固及数据库脱敏协助服务、虚拟化平台安全检查与加固服务、LED巡检加固服务、社工攻击模拟服务。每次服务后，提供具有针对性的安全评估和改进措施报告。 服务项： 1、中心业务系统、综合服务平台加固服务（包括但不限于以下内容：①系统配置整改；②系统补丁修复；③与各外联单位（包括人民银行、市政府、各商业银行、担保公司、住建局、不动产中心、法院等）对接的接口安全加固。 2、服务器操作系统加固服务（包括但不限于以下内容：①系统配置整改；②官方补丁修复；③系统账户口令、协议安全、认证权限、日志审计）。 3、数据库及中间件安全加固及数据库脱敏协助服务（包括但不限于以下内容：①用户远程登录限制；②登录失败的账号锁定策略；③数据库用户账号检查；④开启资源限制；⑤数据库账户口令加密存储；⑥数据库密码安全校验；⑦设置信任IP集；⑧超时的空闲远程连接自动断开）。 4、虚拟化平台安全检查与加固服务（包括但不限于以下内容：借助中心现有的虚拟化安全软件和其他各种平台或技术手段，对虚拟化平台东西、南北向流量进行有效防护，协助中心对虚拟化平台安全进行加固，提出可行的解决方案）。 5、LED巡检加固服务（包括但不限于以下内容：中心机关、铁路分中心和各管理部的各类LED屏模拟攻击，主要检测被无线攻击可能性）。 6、社工攻击模拟服务（主要针对中心机关、铁路分中心、各管理部网点柜台、自助终端、机房进行社工模拟攻击）。	每年至少开展一次	三年
1.6	数据库审计服务	服务内容：利用数据库审计系统，对中心核心数据库增、删、改、查操作进行安全审计，全面理解业务运作逻辑，掌握应用程序正常业务数据操作规律，识别异常数据操作动作，发现和挖掘非法操作数据库行为，保障数据安全。	全年365天7*24小时	三年
1.7	网站监测预警服务	服务内容：对中心官方网站、网上业务大厅进行安全监测服务。监测网站存在的篡改、SQL 注入、XSS 跨站脚本攻击、非法访问、网站漏洞、网站挂马、网站钓鱼、网站可用性、网站敏感信息泄露等各种安全问题。 监测方式：服务提供商需利用自主研发的且具备自主知识产权的网站安全监测工具或监测平台，全年24小时不间断对网站及网站服务器监控，对发生安全攻击事件、安全漏洞时及时进行通告，有效解决因网站安全问题而造成的 损失，并对发生安全攻击事件时提供监控报告。 网站安全监控主要功能点如下：Web 应用业务防钓鱼监控、网页木马检测、页面篡改监测、网页敏感信息监测、恶意链接检测、网站可用性监测、域名监测（DNS）等。	全年365天7*24小时	三年
1.8	安全应急响应服务	服务内容：在中心发生确切的安全事件时，应急响应实施人员及时采取行动限制事件扩散和影响的范围，为中心提供一般安全事件应急响应服务，提供远程技术支持（电话、邮件、微信等即时通讯方式），提供紧急安全事件应急响应服务，提供3小时内达到中心现场。在限制潜在的损失与破坏服务基础上，实施人员协助客户检查所有受影响的系统，在准确判断安全事件原因的基础上，提出基于安全事件整体安全解决方案，排除系统安全风险并协助追查事件来源、提出解决方案、协助后续处置。 服务项： 1、远程技术支持（远程故障排查、远程协助日志分析、远程协助故障排除、远程协助系统恢复） 2、现场技术支持（现场安全事件排查、现场协助日志分析、现场协助故障排除、现场协助系统恢复）	根据甲方需求按需开展，每次服务后，提供具有针对性的应急响应报告和安全整改建议书。	三年
1.9	安全应急演练服务	服务内容：以实战化、可视化、专业级为原则，以不对实际目标系统进行破坏攻击为底线，以获取目标系统。通过开展应急演练，不断提高中心应急工作的水平和效率，发现预案的不足，进一步完善应急预案。常见安全应急演练场景有如下：DDoS攻击、蠕虫木马攻击、网页防篡改等。整个应急演练过程需提供应急演练场景模板、应急演练签到文件、应急演练脚本文件、应急演练记录文件、应急演练总结报告。	每年开展一次	三年
1.10	特殊时期安全保障服务	服务内容：在重大活动或迎检等特殊时期（包括国家、省、市范围内攻防演练、应急演练、安全检查、节假日、重大会议等）期间提供安全保障服务，以“事前准备、事中保障（值守、监控、应急、处置）、事后总结（复盘、提升）”的思路来保障中心的信息网络安全。 服务项：安全巡检、安全保障、夜间及节假日值守。	根据甲方需求按需开展	三年
1.11	安全培训	服务内容：定期举行网络安全培训，提供定制化的信息安全意识和安全实操培训服务。具体包括五部分内容：安全意识培训、安全管理与理念培训、网络及安全设备安全运维培训、操作系统及数据库安全运维培训、应用系统安全开发与运维培训。 1、安全意识培训、安全管理与理念培训面向中心机关及其下属11个管理部的相关业务人员开展，需抽派经验丰富的安服人员进行现场讲授。以现实中发生的真实案例为出发点，为中心提供生动、真实的安全意识培训，以提高中心员工在生活及工作信息安全防范意识。 2、网络及安全设备安全运维培训、操作系统及数据库安全运维培训、应用系统安全开发与运维培训主要面向科技信息处全体员工开展。	每年两次	三年
1.12	安全通告	服务内容：对于重大安全事件（高危系统漏洞、高危蠕虫病毒、恶劣入侵与攻击等）在 10分钟内通过邮件、电话、微信、短信等方式进行通告，同时提供事件类型、影响范围、如何解决（对于还没有彻底解决方法时，需提供临时解决方案）、如何预防等全方位详细情况通告。	全年365天	三年
1.13	安全咨询服务	服务内容：协助中心工作人员加强信息安全建设，结合国家、省、市信息安全法律法规，等级保护三级2.0标准和商用密码测评标准，根据中心信息安全建设需求，优化和完善现有的信息安全管理制度，协助中心建设和完善信息安全组织管理体系，提高整个信息系统运维过程中的安全可控性，协调各信息安全项目按质按量实施，确保中心信息安全建设不断积累、逐步完善、达到更高的安全保障能力。 服务频次：安全体系建设根据甲方需求按需开展。	根据甲方需求按需开展	三年

 
2、安全驻场服务（驻场类安全运维工程师1名）

序号	类别	具体要求
服务内容：安排1名原厂工程师驻场安全运维，驻场工程师具备相应综合能力、专业知识、技术技能、工程实践经验要求。驻场工作内容包括安全运行维护、安全事件告警分析、日常日志审计分析、网络策略优化、系统补丁更新、配置备份及更新、Web失陷检测、全流量风险分析等服务内容。具体要求如下：
1	综合能力	1、掌握网络安全运维常见技术架构以及演进趋势； 2、具备安全隐患的排查分析能力； 3、具备良好的技术文档编写能力； 4、具备良好的沟通表达及团队合作能力。
2	专业知识	1、需熟练掌握安全运维相关技术指南及标准规范； 2、掌握常见操作系统及网络设备的操作命令； 3、熟悉常见安全漏洞的利用原理； 4、熟悉安全运维的安全监控、安全研判、风险处置、应急响应等的流程及方法。
3	技术技能	1、掌握常见的网络安全产品，如防火墙、WAF、VPN、IDS/IPS、堡垒机、病毒防护、日志审计等的运维操作； 2、掌握TCP/IP网络协议、OSI七层参考模型的原理和应用； 3、掌握常见应用程序和操作系统安全漏洞，如SQL注入、XSS、CSRF、LFI、RFI、溢出漏洞、提取漏洞等的检测与防护原理，并修复； 4、熟练操作Linux、Windows操作系统； 5、熟悉Oracle、MySQL等数据库语言的使用； 6、熟悉静态路由、策略路由、BGP、VLAN、NAT、ACL、SNMP等协议底层工作原理； 7、熟悉常用网络监控。
4	工程实践	1、具备较强的网络安全监测、事件研判、风险处置、应急响应、溯源分析、漏洞复核等能力。 2、具备较强的网络安全保障支撑能力，具有相应网络安全重大保障研判、溯源、应急等经验。 3、具备安全策略优化服务、安全事件告警监控服务、安全审计日志分析服务、配置及备份更新服务、安全事件实施通报服务、Web失陷检测服务、全流量风险分析服务的能力。

四、交付时间和地点：
四、交付时间和地点
服务时间（期限）：3年，合同一年一签。
服务地点：长沙住房公积金管理中心。
服务方式：费用包干方式，本项目为信息安全运维服务不涉及包装运输。
五、服务标准：
五、服务标准及范围
包含但不限于以下服务内容：风险评估、代码审计、渗透测试服务、脆弱性检测、安全加固服务、数据库安全审计服务、网站监测预警服务、安全应急响应服务、安全应急演练服务、特殊时期安全保障服务、安全通告、安全培训、安全咨询服务、安全驻场服务。
注：如后期涉及系统迁移至长沙市政务云，对应的安全服务也包含在本项目中。
六、验收标准：
六、费用支付及验收标准
付款方式及验收标准：合同签订后30日内支付项目合同总金额的50%，剩余合同总金额的50%作为考核结算款。第一次考核时间为合同签订后6个月，考核金额为合同总金额的35%，根据考核情况进行支付；第二次考核时间为合同签订后12个月，考核金额为合同总金额的15%，根据考核情况进行支付。具体详见《考核办法及付款标准》。
七、其他要求：
七、其他要求
（1）技术方案中应提供服务内容的详细说明，列出详细工程进度表、分项报价安全服务所投入的人/日总数、各单项服务所投入的人/日数量。
（2）派一名具有三年以上从业经验的专职信息安全技术人员驻守现场（提供承诺函，格式自拟），实时监控信息系统的运行状况（是否发现攻击行为， 如有攻击立即报告和处理，并反馈处理结果），并提交相关安全运维报告。
（3）详细阐述服务方法、实现方式、流程、项目时间安排、项目组织、从合同签订之日起的周工作进度安排等，需提供项目经理、项目驻场人员、项目中后端支撑团队名单（包括工作分工）以及上述人员的简历等。
（4）项目实施中的所有文档：过程数据、会议纪要、过程文档、计划、方案、策略等，必须以电子、纸制同时保存，随时接受检查。
（5）针对本项目配备的安全运维项目经理和驻场安全技术人员不得随意更改，在项目实施过程中接受采购人的监督。（单独提供承诺函并加盖供应商公章，并作为成交合同的一部分）
（6）按服务内容（风险评估、代码审计、渗透测试服务、脆弱性检测、安全加固服务、数据库安全审计服务、网站监测预警服务、安全应急响应服务、安全应急演练服务、特殊时期安全保障服务、安全通告、安全培训、安全咨询服务、安全驻场服务）进行单项报价，包括每项服务单价和总价，实际费用根据提供的服务内容进行计算。
（7）保密要求：供应商应对项目实施过程及实施过程中获取的所有相关数据、信息、监测成果等材料保密，未经采购人书面允许，不得以任意形式传播或泄露相关信息。
采购需求仅供参考，相关内容以采购文件为准。