安全服务整体外包项目
        公开招标招标公告
     项目概况
     受集美大学委托，厦门政采招标咨询有限公司对[350200]ZCZB[GK]2020010、安全服务整体外包项目组织公开招标招标，现欢迎国内合格的供应商前来参加。
    安全服务整体外包项目的潜在资格预审申请人应在福建省政府采购网(zfcg.czt.fujian.gov.cn)免费注册后使用会员账号在福建省政府采购网上公开信息系统按项目获取采购文件，并于2020-07-28 09:00（北京时间）前提交申请文件。
一、项目基本情况
      项目编号：[350200]ZCZB[GK]2020010
      项目名称：安全服务整体外包项目
      采购方式：公开招标
      预算金额：4200000元     
             包1：
             合同包预算金额：4200000元
             投标保证金：0元
             采购需求：（包括但不限于标的的名称、数量、简要技术需求或服务要求等）

品目号	品目编码及品目名称	采购标的	数量（单位）	允许进口	简要需求或要求	品目预算（元）
1-1	C020204-安全集成实施服务	安全集成实施服务	1（批）	否	一、 招标内容及要求： (一) 服务范围 应用系统及其支撑的服务器、网络设备等基础环境。 (二) 服务期限 自合同签订之日起三年。 (三) 总体服务要求 1. 网络安全服务要求服务提供商具有专业的安全服务团队，团队成员包括项目经理、网络安全工程师、主机安全工程师、应用安全工程师、数据安全工程师、安全管理咨询工程师等。 2. 服务期间，如遇到我校新的网络安全需求，网络安全服务提供商应协助校方提供对应的解决方案，包括软、硬件升级、投入研发力量开发或寻找能够满足对应需求产品。（软硬件升级或更换时需考虑日志满足保存6个月的要求。） 3. 服务期间，如因我校网络升级包括IPV6升级等，如须对安全设备进行配套升级时，服务提供商应要求各设备提供商对安全设备（软、硬件）进行免费升级。更新设备或升级设备需按我校提出时间安排进行更换。（软硬件升级或更换时需考虑日志满足保存6个月的要求。） 4. 服务期间，如遇新的网络安全法律法规（如数据安全法）颁布，须及时予以解读并同时向集美大学提出系统安全改造、升级方案要求，满足集美大学的网络安全保护工作。（软硬件升级或更换时需考虑日志满足保存6个月的要求。） 5. 服务期间，要求服务方保障我校等保三级系统每年通过等级保护测评并取得相关证书；其他核心业务系统分批通过等级保护测评并取得相关证书；免费提供20个以内系统的测评服务。 6. 三年服务周期结束后，如我校下一年的服务商还未最终招标确定，则中标人应无偿顺延至最终确认中标人（时间不超过3个月的期限），且须与下一年的服务商交接相关工作，以便于学校完成接下来安全服务的工作。（软硬件更换时需考虑日志满足保存6个月的要求。） (四) 服务要求 1、 防病毒网关服务 提供2套防病毒网关服务，工具满足以下功能： 1-1. 支持链路聚合接口，适用于链路聚合环境下部署使用；支持OSPF、RIP动态路由及静态路由。 1-2. △支持对HTTP/HTTPS/FTP/SMTP/POP3/IMAP六种协议实现木马、病毒、后门、间谍软件、蠕虫等恶意软件的扫描和过滤；支持僵尸网络的防护；支持策略克隆功能。（提供界面截图） 1-3. 设备加载的特征库规则数量大于1300万。 1-4. 支持通过分析应用的行为和特征判定是否为恶意软件的启发式扫描技术，可定义启发式匹配级别。 1-5. 具备手机病毒拦截功能。 1-6. 支持恶意网页和URL过滤功能，并支持自定义黑白名单。 1-7. 支持接口联动。 1-8. 支持自身的攻击渗透防护，系统能有效地预防DOS/DDOS攻击、TCP和UDP端口扫描、异常数据包攻击，能够在发现攻击之后直接丢弃数据包，并在威胁防御日志中记录信息。 1-9. 支持详细的病毒防护日志记录，要求必须记录日期、病毒名、文件名、源IP地址、目的IP地址、采取的动作等内容。 1-10. 支持即时、定期报表生成功能，要求体现病毒威胁变化、各类应用与各IP地址带宽利用率、当前会话数、系统运行状态信息等。 1-11. △支持配置自动备份功能，可将配置文件备份到指 定服务器。（提供界面截图） 1-12. 提供满足学校数据中心性能要求的硬件设备。 2、 入侵防御IPS服务 提供2套入侵防御IPS服务，工具满足以下功能： 2-1. △支持旁路模式，支持透明、路由和混合模式；支持入侵防御虚拟化，硬件设备可以划分为多个虚拟设备，每个虚拟设备都能有独立的路由表和安全策略。（提供界面截图） 2-2. 入侵防御特征库不少于6000条特征信息，支持自定义IPS特征；可针对不同IP、用户、安全区域进行入侵防御策略配置；具备数据包拒绝与丢弃的两种方式的过滤方式。 2-3. 支持50多种协议的解码，支持协议自动解码，可以自动检测协议或手工指 定某种协议的端口号。具备针对HTTP、DNS、FTP、ICMP、IMAP、SQL、NNTP、POP、SMTP、SNMP等协议类型的入侵检测与防御。 2-4. 具备间谍软件、木马特征库，可对间谍软件、木马类入侵进行策略限制；具备针对密码探测尝试扫描的入侵防御；具备防御rootkit，针对Client 、Server；UNIX、Linux服务器的木马后门入侵特征。 2-5. 内置应用程序特征库，支持20种应用分类，能够识别国内网主流超过2000种应用，包括各种主流的P2P类下载、流媒体视频、聊天IM、邮箱、微博、贴吧等社交应用、翻墙代 理类等等。 2-6. 支持多级带宽优先级，支持独享与共享带宽，支持动态最低带宽保障；可对用户配置带宽策略，可基于URL特征库分类进行带宽控制。 2-7. △支持网站内容过滤，内置10大类、70小类的网址数据库，支持分类网站访问时间配额配置。支持阻断网站告警信息提示，并可自定义告警页面与信息。（提供界面截图） 2-8. 支持网页内容过滤，可以自定义关键词和关键字，并可过滤Active、Cookie、Java Applet等内容。 2-9. 支持HTTP内容审计功能，可对HTTP发送和接收内容进行归档审计，支持根据URL、Cookie、HTTP头、传输大小等配置审计条件；支持邮件内容审计，支持邮件协议包含SMTP、POP3、IMAP，可记录邮件协议、源目标IP、收发，件人的邮箱地址、以及邮件主题信息；支持FTP行为审计，可记录FTP服务器的文件上传与下载，可查询FTP服务器访问记录，可统计FTP访问排行。 2-10. 日志数据可根据多种条件统计排名，包括：应用、站点、应用程序、国家区域等；可统计排名垃圾邮件、入侵检测信息、用户登录记录等；可根据时间日期、域名、类别、用户、组查询网页浏览记录；支持针对Google等主流搜索引擎的关键字搜索记录。 2-11. 支持设备固件升级和安全特征库自动更新功能，支持对不同功能模块分别进行特征库离线升级。 2-12. 提供满足学校数据中心性能要求的硬件设备。 3、 WEB应用防火墙服务 提供2套Web应用防火墙服务，工具满足以下功能： 3-1. 支持透明流模式、透明代 理模式、反向代 理模式、路由牵引模式、镜像检测模式及镜像阻断模式；支持IPv4、IPv6双栈防护。 3-2. 支持通过BGP方式对流量进行牵引，并在清洗攻击后回注，回注过程支持设置SNAT策略。 3-3. 支持恶意代码攻击、错误配置攻击、隐藏字段攻击、会话劫持攻击、参数篡改攻击、缓冲区溢出攻击的防护。 3-4. 支持cookie加固及加密保护；支持页面访问顺序规则防护；支持自定义规则功能。 3-5. △支持虚拟补丁功能，支持导入appscan等第三方扫描器的扫描结果生成WAF的规则，对此类网站漏洞直接防护。（提供界面截图） 3-6. △支持网站自学习建模，可通过学习URL、host等信息展示网站结构树形图，并支持对URL的访问量和响应健康度进行图形化统计。（提供界面截图） 3-7. 支持通过自学习的URL参数的长度、类型、范围及请求方法等数据特点创建黑白名单模型，如果参数违反模型则判断为非法流量，直接执行阻断或封禁动作。 3-8. 支持网页篡改功能，能进行配置自动分发；采用内核级防篡改保护，能及时阻止并报告攻击事件；应至少同时支持Windows、Linux、IBM Unix操作系统的的网页防篡改，支持支持超过40GB以上网页防篡改保护和恢复功能，支持IIS、Weblogic、Websphere、Apache、Tomcat等。同时支持增量备份并能结合各种发布工具或发布方式。 3-9. 支持日志可视化，可对访问日志、攻击日志及安全情报等日志进行二次分析，并通过饼图、曲线图及柱图等对分析结果进行图形化统计；至少支持日志、trap、邮件、短信等告警方式。 3-10. 支持攻击态势大屏实时展示，可通过产品自带的实时态势监测模块进行攻击态势地图展示，包含对源地址、源地域、目标服务器、攻击类型、攻击趋势、流量趋势及实时事件的动画统计。 3-11. 能够根据网站的访问防护的网站、被篡改内容、篡改内容的类型、试图进行的篡改、成功的篡改、发现的日期、事件发生的日期等条件进行详细信息的查询；支持以Word、PDF、HTML等通用格式导出报表。 3-12. 提供满足学校数据中心性能要求的硬件设备。 4、 安全预警通报及监测服务 安全预警通报及监测服务工具满足以下功能： 4-1. 展示选定时间内的攻击趋势、攻击总数、攻击源IP Top10、攻击目的IP Top10、攻击协议统计、攻击严重性统计、攻击类型统计、攻击详情； 4-2. 展示选定时间内的恶意外联趋势、恶意外联总数、恶意外联活跃域名统计 Top10、恶意外联源IP Top10、恶意外联关系图、恶意外联类型、恶意外联详细信息； 4-3. 展示选定时间内的Web攻击趋势、Web攻击总数、Web攻击源IP Top10、Web攻击目的IP Top10、Web攻击URL统计、Web攻击返回码统计、Web攻击类型统计、Web攻击详情； 4-4. 当服务器前端部署代 理设备或CDN时，通过配置源IP解析规则，获取真实的攻击源IP地址，支持配置规则名 称、解析方法、解析字段、代 理级数、规则状态等信息，提供界面配置截图证明； 4-5. 提供漏洞检测功能，能够识别敏感信息泄漏漏洞、Oracle SQL注入漏洞、MySQL SQL注入漏洞、SQL Server SQL注入漏洞、远程代码执行漏洞、OpenSSL心脏出血漏洞、反序列化漏洞等高危漏洞； 4-6. 内置勒索病毒检测功能，能够识别Wannacry、Satan、GandCrab、GlobeImposter等勒索病毒，提供界面截图证明； 4-7. 内置挖矿木马检测功能，能够识别CryptoLoot、Webmine、Coinhive等网页挖矿行为，提供界面截图证明； 4-8. 支持提取触发网络入侵攻击告警的Pcap元数据； 4-9. 支持提取触发病毒检测告警的病毒文件样本； 4-10. 系统提供Syslog告警、邮件告警、SNMP Trap、网关联动、Windows告警、态势感知系统联动等事件响应策略； 4-11. 30. 配置和查询告警阻断的IP地址； 5、 运维安全审计（堡垒机）支持服务 运维安全审计（堡垒机）支持服务工具满足以下功能： 5-1. △策略分析支持黑名单、白名单状态展现，支持密码策略、账户锁定策略的状态展现；（提供界面截图） 5-2. 堡垒机支持部门分组管理，级别至少在三级以上；通过部门分级，实现对各类角色进行分权管理，使得不同部门的管理员/普通用户只能管理/访问自己部门的资源；支持多部门之间设备资源的交叉管理功能； 5-3. 支持工单管理，用户可创建电子工单，内容包括：用户账号、设备资源、系统账号、协议类型、拟执行命令、时间窗口等；电子工单提交给配置管理员审批，审批通过后，即时生效；支持对未处理工单、已完成工单、延期工单等统计分析； 5-4. △支持动态令牌认证，支持在线下载手机动态码生成器，可手动刷新令牌密钥二维码、扫码绑定、支持扫码下载客户端（苹果、安卓）；支持双因子认证，可支持谷歌动态令牌、证书认证等认证方式（提供界面截图）； 5-5. 资产管理支持资产批量导入；支持资产扫描、自动导入；支持单台设备添加多个协议；支持批量登录、会话克隆；支持SSH、telnet菜单模式、直连模式；支持RDP菜单模式； 5-6. 可跟据用户（用户组）、目标设备（设备组）、系统帐号、命令集和生效时间来设置详细的命令权限控制策略，支持命令黑白名单；对于高危指令，未经相关人员复核审批，命令无法执行； 5-7. 支持多种密码策略，支持黑、白名单控制，支持访问时间策略，支持访问地址策略，支持账号锁定策略； 5-8. 告警策略支持以短信、邮件方式发送，支持告警接受内容为时间拦截、地址拦截、指令拦截，告警来源可设置为用户、用户组； 5-9. 输入输出在同一界面展示，并能自动以不同颜色标记出被系统拒绝、切断的操作；支持以输入或者输出结果中的任意字符为关键字进行搜索，搜索结果高亮显示； 5-10. △支持对图形操作界面的文字内容进行识别并文本记录；支持以关键字进行图形搜索，搜索出来的结果可以直接定位到相关图形画面进行回放；（提供界面截图） 5-11. 对于图形操作会话支持多人会话共享，可通过实时监控进行透传至当前操作用户并进行共享操作 5-12. △策略分析支持黑名单、白名单状态展现，支持密码策略、账户锁定策略的状态展现；（提供界面截图） 6、 网络安全等级保护综合管理服务 网络安全等级保护综合管理平台服务工具满足以下功能： 6-1. 资产发现：内置资产自动发现引擎，自动发现网络中的新资产，识别资产的IP、URL、端口、服务、操作系统、安装的中间件、数据库等属性； 6-2. 资产审核：支持资产的审核管理，与资产自动引擎识别等资产进行审核与信息不全，实现资产自动发现、资产审核以及资产入库管理的资产全生命周期管理； 6-3. △具备丰富的资产管理属性，支持通过资产名 称、IP、域名、URL、所属单位、负责人、所属网络、所属业务、部署位置、等保定级、维护方等属性对资产进行标识和管理，需提供截图证明； 6-4. 支持大屏展示资产态势，包括业务总数、资产总数、新增业务系统、新增风险业务系统、新增资产、新增风险资产、新增高危漏洞资产、资产应用web服务top5、资产概况趋势、资产设备类型分布、开放服务排名等。 6-5. △支持的日志采集方式包括但不限于：Syslog、SNMP Trap、Kafka、FTP、Web API、Netflow等方式采集日志，提供日志采集方式界面配置截图； 6-6. △关联分析：支持针对日志或事件类型进行事件关联分析规则配置，并内置规则，包括：失陷主机活动、敏感数据传输、数据泄露、SQL注入、提交webshell代码、违规访问敏感文件、代码执行攻击等，提供界面截图证明； 6-7. 支持事件的分类规则，可分为九大类、百余子类的事件分类，包括：网络安全事件、数据安全事件、业务安全事件、内容安全事件、主机安全事件、可用性安全事件、异常网络访问安全事件、合规性事件、系统运行事件。 6-8. 提供告警统一展示界面，告警显示内容至少包括：告警类型、告警名 称、告警级别、源IP地址、源IP资产名 称、目的IP地址等；告警状态、告警内容等；支持告警的归并，可按照告警类型、内容进行归并展示； 6-9. 实现漏洞生命周期管理，提供包括漏洞扫描任务创建、漏洞扫描结果确认、漏洞派单处置等流程在内的漏洞闭环处置；提供漏洞扫描任务配置界面截图； 6-10. 响应管理：根据资产、响应组以及漏洞和告警的属性进行响应设置，响应方式支持邮件、系统消息等响应方式。 6-11. 工单管理：支持漏洞、告警的派单处理，按照安全运维的设定流程进行工单流转并最终到达该告警的负责人，该负责人进行告警事件的处理，在处理过程中，该工作单的处理过程的各个状态可查看、可追踪。 6-12. 支持对防火墙、SSL VPN、上网行为管理、数据库安全审计、入侵检测系统、入侵防御系统、Web应用防火墙、防病毒网关等设备进行集中管理，实现设备安全日志集中采集和审计。 7、 数据库安全审计服务 提供集美大学数据中心数据库安全审计三年服务或维保服务。 8、 上网行为审计服务 上网行为审计服务工具满足以下功能： 提供集美大学数据中心上网行为审计三年服务或维保服务。 9、 安全服务要求 9-1主机安全监控服务要求 ？ 主机配置 依据信息系统等级保护基本要求及安全最佳实践为学校制定《Windows服务器安全配置规范》、《Linux服务器安全配置规范》等，对所有定级备案的系统及开放外网访问的系统进行每年两次的系统配置核查，分析其安全配置合规性、合理性，对存在安全隐患或配置缺失的部分给出有针对性安全修补建议。通过主机配置变更监控服务工具实现主机安全配置的核查和变更状态监控。关键服务器的安全配置一旦发生变化，能实时监测配置变更情况进行告警，对于可能的安全入侵行为进行告警。 ？ Linux系统登录检查项 登录Linux系统，从身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、系统资源控制及备份与恢复等方面对系统进行全面检查。 ？ Windows系统登录检查项 登录Windows系统，从身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、系统资源控制及备份与恢复等方面对系统进行全面检查。 ？ Oracle数据库登录检查项 通过登录Oracle数据库系统，从身份鉴别、访问控制、安全审计、系统资源控制及备份与恢复等方面对数据库进行全面检查。 如遇系统重大变更，有权要求安全服务商进行相关系统配置检查一次。 ？ 入侵清查 服务器是应用系统的依托，如果应用系统存在漏洞，黑客最终能够进一步获取服务器操作系统以及数据库系统的操作权限，因此，进一步对服务器的入侵痕迹进行深入检查，是应用系统安全运维不可忽视的一部分。利用主机安全监控服务工具对监控网页木马(webshell)、黑客入侵过程中修改系统账号、创建敏感文件、植入Rootkit后门等行为进行监控清查。服务器入侵清查服务完提交报告，服务器入侵清查服务包含： 1) 网页木马查杀： 针对网站源代码进行Webshell查杀，深入检查包括上传图片、文本、脚本以及其他可疑的网站后门程序。 2) 系统后门检查： 网站被入侵潜伏后，通常存在隐藏比较深的系统后门（Rootkit），重点发现绕过杀毒软件的系统后门。 3) 入侵痕迹检查： 根据系统层日志、安全日志、应用层日志以及其他特征发现网站入侵痕迹，避免黑客使用隐藏账户等躲避检查的安全隐患。 服务过程中发现的问题可以通过微信进行告警，方便安全管理责任人能够随时用手机查看。 9-2渗透测试服务要求 在校内，针对所有定级备案的系统及开放外网访问的系统采用每年一次派遣专业技术人员现场对信息安全服务范围内业务系统进行渗透测试服务。 软件安全渗透测试： 采用自动化软件方式对业务系统进行全面深入的渗透测试，发现各种Web、网络及应用业务系统的安全漏洞及隐患，渗透测试所使用软、硬件由安全服务商提供。 人工安全渗透测试： 采用人工分析和验证方式模拟黑客的真实攻击方法对业务系统和网络进行全面深入的非破坏性质的攻击测试，覆盖SQL注入、XSS跨站脚本攻击等OWASP十大漏洞和网络层安全隐患。 所有的渗透测试行为将在学校的书面明确授权和监督下进行。 服务过程中发现的漏洞可以通过微信进行告警，方便安全管理责任人能够随时用手机查看。 9-3网站安全监控服务要求 由安全服务提供商，1年365天通过专业的网站安全监控平台实现在线监控并生成相关的告警。从而提供以下服务： 1) 域名劫持监控： 全年每隔5分钟一次对网站首页进行域名劫持探测，一旦发现域名被劫持则通过邮件或短信等方式进行告警。 2) 网页挂马监控： 每周一次采用远程监控方式对网站页面进行网页挂马分析，一旦识别到网页挂马行为，则进行邮件或短信进行告警。 3) 网站暗链监控： 每周一次采用远程监控方式对网站页面进行暗链分析，一旦识别到网页存在暗链行为，则进行邮件或短信进行告警。 4) 敏感内容监控： 每周一次对关键网页的敏感内容进行监控，识别网站存在政治、低俗等敏感内容情况，并进行邮件或短信进行告警。 5) 网站监控人工告警： 针对网站监控平台发现的问题，监控平台发送告警信息到监控值班人员的手机，由值班人员进行人工验证，确认为安全事件后，进行人工电话告警。 服务过程中发现的问题可以通过微信进行告警，方便安全管理责任人能够随时用手机查看。 9-4应用系统安全体检服务 针对业务系统及其操作系统和运行环境，开展上线安全检查服务。针对业务系统采用被动和主动相结合的模式检查软件安全缺陷和风险。如遇系统升级或代码变更需重新进行上线测试服务，并不限检测数量。 1) 漏洞深度测试： 通过使用漏洞挖掘工具和检测平台，测试和识别新上线系统当前的安全漏洞和存在的安全脆弱性，全面了解掌控业务系统的安全状况。 2) 服务器远程安全测试： 对服务器系统进行主机环境的安全测试，测试内容包含漏洞扫描、配置核查、端口扫描、口令审计等方面。测试服务器自身的安全性与对外的暴露程度。 3) 漏洞人工验证： 安全专家对找到的安全漏洞进行人工验证，并提供修复建议和漏洞复查服务。 4) OWASP测试： 检验应用系统是否满足OWASP TOP10测试规范。 测试应用系统是否存在OWASP TOP 10应用漏洞（2017新版），包含A1-注入、A2-失效的身份认证和会话管理、A3-跨站脚本（XSS）、A4-失效的访问控制、A5-安全配置措施、A6-敏感信息泄露、A7-攻击检测与防护不足、A8-跨站请求伪造（CSRF）、A9-使用含有已知漏洞的组件、A10-未受有效保护的API； 5) 等级保护测试： 检验应用系统是否满足等级保护2.0对于应用安全方面的要求，等级保护2.0要求参照国家标准《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239—2019）。 6) 上线测试： 安全服务提供商提供《系统上线检查规范》，规范应该包括但不限于以下内容：测试目的、测试条件、测试步骤、截图说明，测试范围应该包括信息收集、配置管理、认证测试、会话测试、授权测试、文件测试、泄漏测试、数据验证测试等领域。 △服务工具有采用分布式异常检测网络数据量的技术，提供详细的技术实现方法说明，且该技术实现方法获得政府权威机构网站发表，提供网站证明截图及网址，提供该技术的政府权威机构认证的相关证明材料。 服务过程中发现的问题可以通过微信进行告警，方便安全管理责任人能够随时用手机查看。 9-5应急演练与响应服务要求 应急演练 在日常工作中拟定的安全预案模拟各类安全攻击和演练场景进行演练操作，包括信息安全、网络安全、业务安全等，并组织相应的人员进行排练。 安全应急响应 提供7*24电话或远程响应服务，遇到单位发生黑客入侵、网页篡改、病毒传播、拒绝攻击服务、主机或网络异常等网络安全事件时，并且远程支持无法解决时，提供2小时内到达现场，实施最有效的紧急救援，进行事件还原和入侵追踪，并提出恢复补救方案。响应服务完成后整理详细的事故处理报告，内容包括事故原因分析、造成影响、处理办法、处理结果与改进建议等。 发生安全事件时，应开展日志分析服务，对发生安全事件的服务器进行全面的日志分析，包括系统日志、数据库日志、Web访问日志以及安全设备日志。 系统日志分析应包括关键应用的错误信息、系统服务加载失败信息、进程变更信息、日志审计策略变更信息、账户及权限变更信息、安全策略变更信息、核心服务启停信息、异常IP访问信息、异常IP数据传输信息、应用加载或审计失败信息、系统驱动加载失败信息、网络连接错误信息、登录失败信息、账户特权使用及变更信息、异常事件登录及操作信息、系统异常启停信息等。 数据库日志分析至少应包括数据库实例的错误信息，超级管理员登录系统的信息统计，陌生IP地址登录数据库系统的行为等。 安全设备分析至少应包括日志审计策略变更信息、账户及权限变更信息、安全策略变更信息、核心服务启停信息、异常IP访问信息、异常IP数据传输信息、登录失败信息、账户特权使用及变更信息、异常事件登录及操作信息、系统异常启停信息、攻击信息等。 Web访问日志至少应包括对高风险安全风险（如口令破解、SQL注入行为等）进行分析并判断攻击成功与否。对于确认成功的攻击行为，提取攻击IP地址作为黑名单进行阻断，对于存在的漏洞，提交漏洞位置，供安全加固人员分析。 9-6安全通告服务要求 提供最新的安全动态、技术和安全信息，包括实时安全漏洞通知、定期安全通告汇总和安全知识库更新等。通告内容包括但不限于以下内容： 国内外最新重大漏洞、病毒安全通告； 国家安全政策及法律法规； 同行业安全威胁事件通告； 国内外重大安全事件，新技术发展动态通告； 重大安全漏洞爆发时需结合学校资产情况，提出相应修复建议。 9-7安全检查专题服务要求 每年10人天服务，为重大活动期间提供特殊保障服务或配合上级安全检查工作。超过10人天驻点，可另外报价。 在重大活动开始之前定制重保服务方案，确定保障目标。完成对服务范围内的系统和对外提供服务的系统进行全面安全检查，并进行提供安全优化加固的建议；提供安全应急响应方案。 1) 网络安全评估 结合工具检测和人工安全审查方式来发现服务范围内的网络设备和安全设备的安全漏洞以及安全隐患问题。 1.网络架构威胁分析，分析整体的网络拓扑结构安全隐患，分析网络面临的外部和内部威胁。 2.网络设备安全扫描，利用扫描工具检查网络设备的漏洞情况、端口开放情况以及弱口令情况。 3.安全设备安全扫描，利用扫描工具检查安全设备的漏洞情况、端口开放情况以及弱口令情况。 2) 服务器安全评估 结合工具检测和人工安全审查方式来识别信息系统服务器系统中的漏洞和安全性问题。 1.工具检测主要针对系统的补丁、服务的开放性及安全研究机构发现的系统问题等，发现系统本身的各种问题。 2.人工安全审查主要针对系统管理方面和安全加强方面的问题，用于识别由于系统管理员本身的管理不善而带来的安全性问题。 3) 数据库安全评估 结合工具检测和人工安全审查方式来挖掘数据库系统的脆弱性和安全性问题，主要评估系统安全脆弱性、安全配置不正确带来的安全威胁以及由于系统账号、权限等配置不严谨而产生的安全风险。帮助用户及早发现数据库系统存在的风险，避免造成敏感信息泄漏的后果。 4) 应用安全检测 通过使用自动化安全漏洞挖掘工具和在线检测平台，来测试和识别信息系统当前的安全漏洞和存在的安全脆弱性，从而帮忙我校全面了解和掌控其信息系统的安全状况。 对已经发现的安全问题进行人工验证，以判断信息系统当前的漏洞是否真实有利用，剔除误报干扰。并提供专业的安全加固措施指导建议，解决当前信息系统存在的安全问题。 5) 日常驻点安全巡查 驻点期间对服务范围的相关安全设备日常基础运行情况每日例行巡查2次，检查防火墙、IDS、安全审计等安全设备的系统运行状态，检查 CPU、内存、磁盘空间、网络流量等性能信息，检查版本信息及规则库信息，检查是否有相关运行日志，查看是否有相关报警与错误信息，做好各安全设备的配置备份。 安全值守：重大活动时，安排一名经验丰富的专家进行现场值守，对网站的安全状况进行实时监控和日志分析；对入侵事件进行分析、检测、抑制、处理，查找入侵来源并快速恢复系统正常运行。安全服务提供商应按日提供《系统安全运行报告》。 在活动结束后1周内安全服务提供商应提供《特殊保障服务报告》，对重大活动之前的安全检查、期间的安全值守情况等进行总结。 服务过程中发现的问题可以通过微信进行告警，方便安全管理责任人能够随时用手机查看。 9-8安全培训服务要求 1) 安全意识培训： 提供现场培训服务，培训内容包含但不限于以下方面：安全标准、政策法规解读，信息安全意识、信息安全发展方向，周期性安全服务报告解读，可定制培训内容。 2) 安全技术培训： 提供现场培训服务，培训内容包含但不限于以下方面：网站安全防护、等保安全建设、网络安全技术攻防、无线网络安全防护等，可定制培训内容。 提供专业的安全培训专家名单及具体培训课程安排。 9-9管理咨询服务要求 提供专业的安全制度管理咨询服务 1) 管理咨询目标 通过有效的安全管理体系建设，最终要实现的目标是：采取集中控制、分级管理的模式，建立起完整的安全管理体系并加以实施与保持，实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式，从而在管理上确保全方位、多层次、快速有效的网络安全防护。 2) 管理咨询内容 管理咨询内容主要包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面。 ？ 安全管理机构 根据基本要求设置安全管理机构的组织形式和运作方式，明确岗位职责； 设置安全管理岗位，设立系统管理员、网络管理员、安全管理员等岗位，根据要求进行人员配备，配备专职安全员； 建立授权与审批制度； 建立内外部沟通协作渠道； 定期进行全面安全检查，特别是系统日常运行、系统漏洞和数据备份等。 ？ 安全管理制度 根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是具有可操作性，且必须得到有效推行和实施的制度。 制定严格的制定与发布流程，方式，范围等； 定期对安全管理制度进行评审和修订，修订不足及进行改进。 ？ 人员安全管理 根据基本要求制定人员录用，离岗、考核、培训几个方面的规定，并严格执行；规定外部人员访问流程，并严格执行。 ？ 系统建设管理 根据基本要求制定系统建设管理制度，包括：系统定级、安全方案制定、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择等方面。从工程实施的前、中、后三个方面，从初始定级到验收评测完整的工程周期角度进行系统建设管理。 ？ 系统运维管理 根据基本要求进行信息系统日常运行维护管理，利用管理制度以及安全管理中心进行，包括：环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等，使系统始终处于相应等级安全状态中。 9-10等保安全工作咨询 由安全服务提供商对服务范围内的目标系统提供等保安全咨询服务，并提交等保相关文档。 1) 等保资产分析 安全服务提供商根据等级保护范围内的资产组成，派遣专业工程师到现场整理各个系统的网络结构拓扑以及相关联的资产，编制信息系统资产清单及资产报告；对服务范围内信息系统开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理，编制信息系统详细描述文档。 2) 等保风险分析 安全服务提供商根据等级保护基本要求，开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理的现状分析，通过安全访谈、脆弱性评估、登录检查、日志分析以及渗透测试等技术手段对现有的安全资产进行全方位的风险评估，结合信息资产属性、威胁、脆弱性等基本要素，分析信息系统安全风险评估分析，编制风险分析报告。 3) 等保差距评估 安全服务提供商在安全评估和信息系统定级的基础上，根据《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析，从管理和技术两个层面找出存在的问题并进行差距分析。 4) 等保整改建设 安全服务提供商依据相应等级要求对当前实际情况的差距分析结果对应策略制定整改加固措施，包含安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及管理要求内容，针对不符合项以及行业特性要求进行个性化的整改方案制定，包含岗位职责梳理、技术策略实施、风险评估、管理体系建设、安全产品集成、组织方案评审、提供安全产品等方面，编制信息安全等级保护建设详细方案，协助建设单位完成建设整改工作。 5) 等保整改加固 安全服务提供商根据等级保护基本要求以及风险和差距分析结果，对服务范围内信息系统的关键资产编制安全加固实施方案。派遣专业工程师到现场根据安全加固实施方案实施边界防护安全策略优化辅导、服务器病毒检查与清理，提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议。在安全加固实施前，应提交安全加固风险分析及风险规避说明书；安全加固实施后，应提交防火墙策略文件及配置清单、服务器安全加固建议报告、设备加固建议报告等文档。 Web安全加固辅导： 根据系统渗透及上线测试结果，给出相关漏洞修补计划和修补建议，督促安全整改工作，及时跟踪漏洞修补状况，促进风险的处置措施。 服务器系统加固： 通过对系统层漏洞检测结果的分析，对在检测中发现的系统安全问题进行安全加固，提高系统的整体安全性能。 Web服务器（中间件）加固建议： 针对Apache/IIS/Tomcat等Web应用服务器（中间件）进行配置加固建议。 数据库安全加固建议： 最大程度降低数据库系统（SQL Server，Oracle等）本身的漏洞风险及加强数据库系统账号、密钥、权限等带有安全风险的配置，从而从整体上提升数据库系统的安全性。 对于需要增加投资，部署新的信息安全产品和技术的整改措施，双方根据整改方案另行协商和实施。 6) 等保制度建设 安全服务提供商协助我校对安全管理制度建设，主要包括但不限于信息安全工作职责，信息安全监督、检查机制；辅助我校编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度，达到等级保护测评要求。 7) 安全策略复查 安全服务提供商派遣专业工程师到现场针对加固前后的系统脆弱性进行复查，复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。 复查结束后，形成加固前后对比复查报告。 8) 等保定级咨询 安全服务提供商在我校信息系统专家定级的基础上，参照国家和地方对等级保护定级的有关要求，对信息系统开展摸底调查工作，掌握信息系统的基本情况，了解信息系统（包括信息网络）的业务类型、应用或服务范围、我校数量、系统结构、部署方式、安全策略、内控制度等信息，协助我校单位完成撰写信息系统定级报告，明确信息系统的边界和安全保护等级，并组织专家评审（二级以上）。 9) 等保备案辅助 安全服务提供商根据《信息安全等级保护管理办法》，信息系统运营使用单位或主管部门需到当地公安机关备案，我司提供备案咨询服务，协助我校单位填写《信息系统安全等级保护备案表》等准备材料，直到完成备案工作。 10) 等保测评辅助 安全服务提供商在测评阶段协助我方准备测评材料，指导我校单位配合测评中心开展等级测评工作，组织测评整改，并保障顺利通过等保测评获得测评报告。 11) 监督检查辅助 安全服务提供商根据我单位需要，配合完成自查工作，协助运营、使用单位接受检查和进行整改。 9-11 等保测评服务要求 按照公安部印发《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》等标准规范要求，安全服务提供商所聘请测评机构提供以下等保测评服务（包含系统等保测评费用），并为被测系统提供测评机构出具的信息系统安全等级保护测评报告。 1) 安全技术方面测评 a) 安全物理环境：对物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面测评。 b) 安全通信网络：对网络安全的网络架构划分，通信传输安全方面测试。 c) 安全区域边界：对网络划分的区域边界进行边界防护、访问控制、入侵防范、恶意代码防范、安全审计等防护措施进行测试。 d) 安全计算环境：对网络计算环境进行身份认证、访问控制、安全审计、入侵防范、恶意代码防范、数据备份恢复等方面的测试。 e) 安全管理中心：对安全管理中心内的系统管理、审计管理等方面进行安全测试。 2) 安全管理方面测评 a) 安全管理制度：对信息系统的管理制度、制定和发布、评审和修订等方面。 b) 安全管理机构：对岗位设置、人员配备、授权和审批、沟通和协作、审核和检查等方面。 c) 安全管理人员：对信息系统的人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等方面。 d) 安全建设管理：对系统定级、安全方案编制、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、报价人选择、系统备案、等级测评等方面。 e) 安全运维管理：对环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。 9-12 驻点值守安全保障服务要求 安全服务团队保证至少有1名资深安全工程师在约定工作时间内进行现场防护和应急处理服务。现场值守工程师对我校网络中的安全设备运行状态进行例行检查，并持续监控网内的安全事件，针对信息安全预警、安全防护、系统监控等方面的运行状况进行安全检查，监控各安全设备的运行状态，及时收集各安全设备的运行数据，在第一时间发现可能出现的各种网络安全问题，并及时通知加以防范。同时，保障期间每天需针对各系统的运行情况整理系统运行安全日报。（在非工作时段由远程应急监测部门进行远程保障工作，重大会议期间现场值守为7*24小时） 1. 人员选拔： 安全服务驻点人员理应由我校与安全服务提供商共同选拔，通过联合面试的手段，在项目实施正式开始前选拔出合适的人选，该人选理应具有丰富的安全服务经验，且熟悉等级保护的管理规章制度，做事仔细认真。 安全服务驻点人员应在项目实施开始前2个星期到任并开始试用。 如安全服务驻点人员在试用期不能符合学校要求，需进行更换或安全服务提供商未在项目开始之前找到合适的驻点人员，安全服务提供商应及时派遣安全服务团队核心成员作为临时驻点尽快落实对我校的网络安全驻点防护工作。 2. 公司支持 安全服务提供商应为驻点人员提供坚实可靠的远程支撑工作，保证前方一人，后方一团队的安全保障模式，并不定期考核和提升驻点人员能力。 序号 服务类别 服务项目 服务内容 服务频率 交付成果 交付方式 人员驻点服务 日常安全保障 安全设备日常巡检 驻点工程师定期对安全设备的系统运行状态。当安全设备厂商调整策略后，验证调整后的安全策略有效性以及检查该设备的运行状况；当有新安全设备接入时，驻点工程师检查该设备的安全基线，并记录新设备接入情况。 每日 《安全日报》含安全设备日常巡检内容 驻点工程师 安全设备日志分析 驻点工程师通过人工检查或工具检查的审计分析方法，对相关安全设备日志进行分析，对日志信息进行综合分析，查找当前存在的安全隐患或被攻击痕迹。 每日 《安全日报》含安全设备日志分析内容 驻点工程师+三线安全专家团队 安全事件跟进 安全漏洞跟踪管理 当我校被安全通报后，驻点工程师及时对所发现的漏洞进行验证复查，并协助开发商进行加固；若驻点工程师无法验证的情况，将协调二线安全分析团队进行验证及复查。 按需提供 《漏洞验证复查报告》 驻点工程师+二线安全分析团队 协助安全事件处理 针对危害级别小、易处置的安全事件，协助业主及应用单位及时恢复处置，并做好安全事件处理登记；若无法独立处置将协调二线安全分析团队进行处置。 按需提供 《安全事件处理报告》 驻点工程师+三线安全专家团队 配合安全设备检修 当我校的安全设备发生故障时，积极配合相关安全系统的设备厂家，提供现场响应、故障诊断、日志收集、报修、送修等服务。 按需提供 《安全设备检修记录》 驻点工程师+三线安全专家团队 安全需求支撑 项目方案安全审核支撑 协助用户的安全管理员针对用户机房项目方案网络安全部分进行审核，按照等级保护要求对安全方面提出修改意见。 按需提供 《项目方案安全审核记录》 驻点工程师+三线安全专家团队 编制安全相关的汇报内容 根据我校的实际需求，协助我校向上级汇报安全状况，编制汇报内容；定期提交安全工作汇报内容。 按需提供每月一次 《安全工作汇报》 驻点工程师+二线安全分析团队 1.安全设备日常巡检 驻点工程师定期检查安全设备的系统运行状态。当安全设备厂商调整策略后，验证调整后的安全策略有效性以及检查该设备的运行状况；当新安全设备接入时，驻点工程师检查该设备的安全基线，并记录新设备接入情况。 巡检内容如下（包含但不限于）： ？ 检查安全设备的系统运行状态，CPU、内存、磁盘空间、网络流量等性能信息。 ？ 检查系统代码变更情况并做记录，反馈至安全分析团队进行安全检查； ？ 检查安全设备的版本信息、特征库及规则库信息。 ？ 检查安全设备的配置变更记录及并做好配置备份。 ？ 新安全设备接入安全基线检查，并做好新设备接入做好记录。 ？ 网络架构调整后，及时更新和优化网络拓扑图； ？ 检查安全设备的相关报警与错误信息，并对可能发生的威胁进行排查。 ？ 对所有安全设备的访问控制安全策略进行详细分析和优化，对过期或不适合的策略提出相关处理建议，并做好系统配置备份。 2.安全设备日志分析 驻点工程师通过人工检查或工具检查的审计分析方法，对防火墙、堡垒机、入侵防御系统等相关安全设备日志进行分析，对日志信息进行综合分析，查找当前存在的安全隐患或被攻击痕迹。 ？ 对防病毒安全产品进行日志检查，对防病毒软件中出现的报警和扫描报警信息进行监控。针对已感染系统，进行完整、系统的病毒查杀。 ？ 检查日志服务器或日志综合管理系统等设备的相关运行日志、威胁日志等信息，并分析其存在的风险。 ？ 安全设备日志分析：获取防火墙、IDS、安全审计等安全设备的系统日志，通过人工检查或工具检查的审计分析方法，对日志信息进行综合分析，查找当前存在的安全隐患或被攻击痕迹。 3.漏洞跟踪管理 当我校被安全通报后，驻点工程师及时对所发现的漏洞进行验证，并协助开发商加固，若无法修复则记录原因，若加固完成则进行漏洞复查，及时跟踪漏洞的处置情况；若驻点工程师无法验证的情况，需协调二线安全分析团队进行验证及复查，依托等级保护综合管理系统进行漏洞的闭环管理，管理从漏洞的发现、确认、处理、审核到关闭全过程管理。 4.协助安全事件处理 驻点工程师针对危害级别小、易处置的安全事件，协助业主及应用单位及时恢复处置，追查来源、保留证据、消除影响，实施有效的紧急救援及恢复补救方案，并做好安全事件处理登记；若无法独立处置需协调并配合二线安全分析团队进行处置。 5.配合安全设备检修 当安全设备发生故障时，积极配合相关安全系统的设备厂家，提供现场响应、故障诊断、日志收集、报修、送修等服务,并更新《设备故障处理跟踪表》。 6.项目方案安全审核支撑 项目方案安全审核支撑服务是指协助我校网络中心的安全管理人员针对用户机房项目方案网络安全部份进行审核，按照等级保护要求对安全方面提出修改意见。 7.安全工作汇报 根据我校的实际需求，协助我校向上级汇报安全状况，编制汇报内容；定期（每月一次）向我校提交安全工作汇报内容。 8.驻点服务人员要求 为保障整体服务质量，更好的为单位提供安全服务保障及运维服务，本期派驻点人员要求如下： 1、大专及以上学历、计算机相关专业，1年以上相关工作经验； 2、熟悉主流安全相关设备，熟悉常见安全漏洞知识； 3、熟悉FW、IPS、WAF、防病毒网关等安全设备操作、日志分析操作； 4、熟悉交换路由技术，能对网络TCP/IP协议进行抓包分析，故障排查； 5、具有良好的团队协作精神，并有一定的抗压能力； 6、具有较好的逻辑思维和沟通能力； 7、须在合同签订前提供驻点人员资质证明等材料。 9-13 产学研共建服务要求 为促进高校产学研发展，投标人或所投安全服务提供商应约定在项目期间完成不少于1项安全科研课题（产业化专项等项目），且项目通过政府部门立项（须以业主作为主申报单位）。	4200000

             合同履行期限：
             本合同包：不接受联合体投标
二、申请人的资格要求：
        1.满足《中华人民共和国政府采购法》第二十二条规定；     
       
         2.本项目的特定资格要求：
         包1
（如项目接受联合体投标，对联合体应提出相关资格要求；如属于特定行业项目,供应商应当具备特定行业法定准入要求。)
三、采购项目需要落实的政府采购政策
         （1）小型、微型企业。（2）监狱企业。（3）残疾人福利性单位。（4）信用记录，按照下列规定执行：（1）投标人应在本项目招标公告发布之后，投标截止前分别通过“信用厦门”网站（http://credit.xm.gov.cn/）、“信用中国”网站（www.creditchina.gov.cn）、中国政府采购网（www.ccgp.gov.cn）查询并打印相应的信用记录（以下简称：“投标人提供的查询结果”），投标人提供的查询结果应为其通过上述网站获取的信用信息查询结果原始页面的打印件（或截图）。（2）查询结果的审查：①由资格审查小组通过上述网站查询并打印投标人信用记录（以下简称：“资格审查小组的查询结果”）。②投标人提供的查询结果与资格审查小组的查询结果不一致的，以资格审查小组的查询结果为准。③因上述网站原因导致资格审查小组无法查询投标人信用记录的（资格审查小组应将通过上述网站查询投标人信用记录时的原始页面打印后随采购文件一并存档），以投标人提供的查询结果为准。④查询结果存在投标人应被拒绝参与政府采购活动相关信息的，其资格审查不合格。
         1）小型、微型企业：适用于合同包
。（2）监狱企业：适用于合同包
。（3）残疾人福利性单位：适用于合同包
。（4）信用记录：适用于合同包
，按照下列规定执行：根据《财政部关于在政府采购活动中查询及使用信用记录有关问题的通知》<财库〔2016〕125号>精神，投标人须提供在投标截止时间前通过“信用中国”网站(www.creditchina.gov.cn)及中国政府采购网(www.ccgp.gov.cn)两个网站查询相关主体信用记录，并提供信用信息查询记录证明材料(打印件或截图)，对列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的投标人，其投标文件将被视为无效。（5）其他政策：
四、获取招标文件
        时间：2020-07-03至2020-07-28 09:00（提供期限自本公告发布之日起不得少于5个工作日），每天上午00:00:00至11:59:59，下午12:00:00至23:59:59（北京时间，法定节假日除外)
        地点：招标文件随同本项目招标公告一并发布；投标人应先在福建省政府采购网(zfcg.czt.fujian.gov.cn)注册会员，再通过会员账号在福建省政府采购网上公开信息系统按项目下载招标文件(请根据项目所在地，登录对应的(省本级/市级/区县)）福建省政府采购网上公开信息系统操作)，否则投标将被拒绝。
       方式：在线获取
       售价：免费
五、提交投标文件截止时间、开标时间和地点
        2020-07-28 09:00（北京时间）（自招标文件开始发出之日起至投标人提交投标文件截止之日止，不得少于20日）
        地点：
厦门市湖里区云顶北路842号厦门市行政服务中心4楼C区开标大厅；收标地点：厦门市行政服务中心4楼信息发布大厅东侧指定政采采购收标窗口。
六、公告期限
        自本公告发布之日起5个工作日。
七、其他补充事宜
        
八、对本次招标提出询问，请按以下方式联系。
        1.采购人信息
        名    称：集美大学 
        地    址：福建省厦门市集美区银江路１８５号
         联系方式：薛老师：0592-6182330
        2.采购代理机构信息（如有）
        名    称：厦门政采招标咨询有限公司
        地　　址：厦门市湖里区泗水道601号五缘湾营运中心一号楼8楼MNO单元
        联系方式：卢女士：0592-5900699
        3.项目联系方式
        项目联系人：卢女士
        电　　 话：卢女士：0592-5900699
        网址：zfcg.czt.fujian.gov.cn
        开户名：厦门政采招标咨询有限公司
                                    厦门政采招标咨询有限公司
                                    2020-07-03