招标
安全运维服务采购
金额
-
项目地址
重庆市
发布时间
2021/07/14
公告摘要
公告正文
项目名称:安全运维服务采购
竞争性谈判文件
重庆兴农智能科技有限公司
2021年7月
第一部分 邀请函
重庆兴农智能科技有限公司(以下简称“兴农智科”)近期将启动安全运维服务采购项目,特邀请有意向的单位(以下简称“谈判方”)参与该项目竞争性谈判。
邀请方名称:重庆兴农智能科技有限公司
项目名称:安全运维服务采购项目
竞争性谈判文件份数:正本一份、副本一份、电子文件一份(发送至电子邮箱:463605572@qq.com)
竞争性谈判时间及地点:请于2021年7月19日上午9:30至11:30,由贵单位项目负责人将投标文件(纸质件)交到重庆市渝北区黄山大道中段64号M楼2楼重庆兴农智能科技有限公司,并按照提交资料的先后顺序进行谈判,如未按时或超时视为放弃本次投标。
联系地址:重庆市渝北区黄山大道中段64号M楼2楼
联系人:马韬
电话:15086669690
邮 箱:176156807@qq.com
第二部分 谈判方须知
谈判方的服务和质量保障承诺应按不低于本文件中提出的所有要求的标准做出响应(但不限于此)。
一、服务项目概况
为提升重庆兴农融资担保集团有限公司的网络安全防护水平,保障各个系统和终端的安全平稳运行。拟选择一家专业网络安全运维机构,提供专业的漏洞扫描、安全巡检、安全配置检查、渗透测试服务、应急响应、安全加固、安全培训及咨询服务,对集团办公楼和水土数据中心的软硬件设备以及整个网络安全体系进行全面、专业的安全防护。
二、服务范围
(一)安全运营服务
1.日常运营服务
2.威胁监测与主动响应服务
3.漏洞管理服务
(二)安全评估类服务
1.风险评估服务
2.渗透测试服务
3.漏洞扫描服务
4.基线核查服务
(三)安全培训与咨询类服务
1.安全培训
2.安全咨询服务
(四)安全运维类服务
1.应急响应
2.应急演练
3.安全加固
4.重要时期安全保障服务
5.安全管理制度完善服务
6.安全日志分析与响应服务
三、采购要求
本项目拟采购安全运维服务包含以下要求:
(一)投标方应按照服务内容制定详细的实施计划,合理安排时间,保证服务内容在一年内实施完成。
(二)投标方应明确网络安全事故责任清单,具有给招标方造成不良后果或经济损失后的相应赔偿条款。
(三)投标方应承担招标方的信息系统等保测评整改,并承诺能够在整改后通过三级等保测评。
(四)一年内驻场服务不得少于5个人月。
四、报价
本次报价需根据网络安全运维服务报价,报价为一价全包,全额含税增值税专用发票、人工费用、合同实施过程中应预见和不可预见费用等(谈判后可再进行一次最终报价)。
第三部分 谈判方资格
参加谈判的单位需满足以下要求,谈判人必须提交证明其有资格进行谈判和有能力履行合同的证明文件,作为谈判文件的一部分。分别是:
1. 具有独立法人资格(提供营业执照复印件并加盖投标人公章);
2. 履行合同所必须的专业技术能力。(提供有效的相关认证证书复印件并加盖投标人公章);
3. 公司注册地或有分支机构在成渝两地,且在成渝两地有常驻开发人员;
4. 具有良好的商业信誉和健全的财务会计制度,近几年无行业诚信档案不良记录,能够开具技术服务或软件开发类增值税专用发票(诚信声明,加盖鲜章)。
第四部分 谈判文件制作要求
一、装订
谈判人应将谈判文件正本装订成册,将谈判文件装入一个文件袋内加以密封并在每一封贴处加盖公章。
二、内容
谈判书应包括以下内容:
1. 谈判函;
2. 报价一览表;
3. 方案书;
4. 谈判人资格证明文件(营业执照复印件并加盖投标人公章、参与项目人员资格证书复印件等);
5. 公司概况(简要说明企业背景、经营范围、企业组织结构、谈判单位联系人、联系地址、联系方式、EMAIL等);
6. 诚信申明。
注:谈判人应认真仔细阅读谈判文件的所有内容,按谈判文件的要求编写谈判文件(具体格式参见第七部分),并保证所提供的全部资料的真实性、完整性及有效性。如果没有按照谈判文件要求提交谈判文件,没有对谈判文件做出实质性响应,其谈判文件可能被拒绝。
第五部分 评审原则、办法和成交标准
一、评分原则
评分原则遵循公平、公正、科学和择优的原则。
二、评分办法
评比采用综合评分法,分报价部分、商务部分、技术部分三项,满分为100分。
三、评分标准
四、成交标准
谈判小组将根据总得分由高到低排列次序(总分相同时以技术部分得分较高的排列在前)并推荐成交候选人。
第六部分 付款方式
在我司取得同意采购结果的批复后,10个工作日内完成合同签订,在甲方收到乙方开具的增值税专用发票后15个工作日内向乙方支付合同总额的30%,一年期满后,无重大安全事故,则支付剩余70%。
第七部分 谈判文件(格式)
谈判函(格式)
致:重庆兴农智能科技有限公司
我方确认收到贵方提供的重庆兴农智能科技有限公司安全运维服务采购项目竞争性谈判文件的全部内容。我方作为谈判人进行有关本谈判的一切事宜。在此提交的谈判文件,正本 1 份,副本 1 份。
我方已完全明白谈判文件的所有条款要求,并宣布同意如下几点:
1、我方决定参加重庆兴农智能科技有限公司安全运维服务采购项目竞争性谈判。
2、我方关于重庆兴农智能科技有限公司安全运维服务采购项目谈判报价(详见报价一览表)。
3、我方已详细研究了谈判文件的所有内容包括修改文件(如果有)和所有已提供的参考资料以及有关附件,并完全明白。我方放弃在此方面提出含糊意见或误解的一切权力。
4、我方同意按照贵方可能提出的要求而提供与谈判有关的任何其它数据或信息。
5、如我方被授予合同,将保证履行谈判文件以及谈判文件修改书(如果有的话)中的全部责任和义务,按质、按量、按期完成合同中的全部任务。
谈判人(公章):
法定代表人(或授权代理人)签名:
报价文件
谈判人名称(公章):
法定代表人(或授权代理人)签名:
日 期:
法定代表人授权书(格 式)
重庆兴农智能科技有限公司:
本人(姓名) 系 (谈判人名称) 的法定代表人,现委托(姓名) 为我方代理人。代理人根据授权,以我方名义签署、澄清、说明、补正、递交、撤回、 修改 (项目名称) 谈判文件、签订合同和处理有关事宜, 其法律后果由我方承担。
委托期限: 。
代理人无转委托权。
附:法定代表人身份证明。
谈 判 人: (盖单位章)
法定代表人: (签字或盖章)
身份证号码:
委托代理人: (签字)
身份证号码:
年 月 日
公司概况(格式)
公司概况(简要说明企业背景、公司资质、经营范围、企业组织结构、办公地点、人员情况等)
诚信声明(格式)
致: 重庆兴农智能科技有限公司
XXXXX公司(单位)参加安全运维服务采购项目的投标,在此郑重声明:我公司(单位)具有良好的商业信誉和健全的财务会计制度,具有履行合同所必需的设备和专业技术能力,有依法缴纳税收和社会保障资金的良好记录,能够开具增值税专用发票,在合同签订前后随时愿意提供相关证明材料;我公司(单位)还同时声明参加本项目采购活动前三年内无重大违真实性法活动记录,我公司(单位)符合法律、行政法规规定的其他条件。我公司对所投本采购项目的所有谈判文件的和合法性以及完整性负责。我方对以上声明负全部法律责任。
特此声明。
(谈判人公章)
日期:
结果通知书
:
重庆兴农智能科技有限公司安全运维服务采购项目,经谈判小组评审,现(未)确定贵单位为成交供应商。
特此通知。
重庆兴农智能科技有限公司
2021年 月 日
竞争性谈判文件
重庆兴农智能科技有限公司
2021年7月
第一部分 邀请函
重庆兴农智能科技有限公司(以下简称“兴农智科”)近期将启动安全运维服务采购项目,特邀请有意向的单位(以下简称“谈判方”)参与该项目竞争性谈判。
邀请方名称:重庆兴农智能科技有限公司
项目名称:安全运维服务采购项目
竞争性谈判文件份数:正本一份、副本一份、电子文件一份(发送至电子邮箱:463605572@qq.com)
竞争性谈判时间及地点:请于2021年7月19日上午9:30至11:30,由贵单位项目负责人将投标文件(纸质件)交到重庆市渝北区黄山大道中段64号M楼2楼重庆兴农智能科技有限公司,并按照提交资料的先后顺序进行谈判,如未按时或超时视为放弃本次投标。
联系地址:重庆市渝北区黄山大道中段64号M楼2楼
联系人:马韬
电话:15086669690
邮 箱:176156807@qq.com
第二部分 谈判方须知
谈判方的服务和质量保障承诺应按不低于本文件中提出的所有要求的标准做出响应(但不限于此)。
一、服务项目概况
为提升重庆兴农融资担保集团有限公司的网络安全防护水平,保障各个系统和终端的安全平稳运行。拟选择一家专业网络安全运维机构,提供专业的漏洞扫描、安全巡检、安全配置检查、渗透测试服务、应急响应、安全加固、安全培训及咨询服务,对集团办公楼和水土数据中心的软硬件设备以及整个网络安全体系进行全面、专业的安全防护。
二、服务范围
(一)安全运营服务
1.日常运营服务
| 服务类 | 服务类型 | 内容及要求 |
| 服务 内容 | 资产识别与梳理 | 投标方需借助安全工具对用户资产进行全面发现和深度识别,并在后续服务过程中触发资产变更等相关服务流程,确保资产信息的准确性和全面性 |
| 投标方需结合安全工具发现的资产信息,首次进行服务范围内资产的全面梳理(梳理的信息包含支撑业务系统运转的操作系统、数据库、中间件、应用系统的版本,类型,IP地址;应用开放协议和端口;应用系统管理方式、资产的重要性以及网络拓扑),并进行动态管理。 | ||
| 安全现状评估 | 系统与Web漏洞扫描:对操作系统、数据库、常见应用/协议、Web通用漏洞与常规漏洞进行漏洞扫描 | |
| 弱口令扫描:实现信息化资产不同应用弱口令猜解检测,如:SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等 | ||
| 基线配置核查:检查支撑信息化业务的主机操作系统、数据库、中间件的基线配置情况,确保达到相应的安全防护要求。检查项包含但不限于帐号和口令管理、认证、授权策略、网络与服务、进程和启动、文件系统权限、访问控制等配置情况 | ||
| 勒索病毒事件分析:投标方需分析判断主机是否感染了勒索病毒;是否已感染勒索病毒文件;根据已发生的漏洞攻击行为分析判断否存在勒索病毒攻击等 | ||
| 挖矿病毒事件分析:投标方需分析是否感染了挖矿病毒/木马;是否处于挖矿状态;根据已发生的漏洞攻击行为分析判断是否存在以植入挖矿木马为目的的漏洞攻击等 | ||
| 蠕虫病毒事件:投标方需确认文件是否被感染,定位失陷的代码并进行修复 | ||
| 针对漏洞利用攻击行为、Webshell上传行为、Web系统目录遍历攻击行为、SQL注入攻击行为、信息泄露攻击行为、口令暴力破解攻击行为、僵尸网络攻击行为、系统命令注入攻击行为及僵尸网络攻击行为进行分析评估,判断攻击行为是否成功以及业务风险点 | ||
| 失陷主机分析:投标方需对失陷主机进行分析研判(如后门脚本类事件),并给出修复建议 | ||
| 潜伏威胁分析:投标方需分析内网主机的非法外联威胁行为,判断是否存在潜伏威胁,并给出解决建议。含:对外攻击、APT C&C通道、隐藏外联通道等外联威胁行为 | ||
| 问题 处置 | 投标方需对发现的问题进行处置,包含内网脆弱性问题,病毒类事件,入侵行为,勒索、挖矿类事件等 | |
| 漏洞 管理 | 漏洞扫描与验证:投标方需每月针对服务范围内的资产的系统漏洞和Web漏洞进行全量扫描,并针对发现的漏洞进行验证,验证漏洞在已有的安全体系发生的风险及分析发生后可造成的危害 | |
| 漏洞优先级排序:投标方需提供客观的漏洞修复优先级指导,不能以漏洞危害等级作为唯一的修复优先级排序依据。排序依据包含但不限于资产重要性、漏洞等级以及威胁情报(漏洞被利用的可能性)三个维度 | ||
| 漏洞验证:提供漏洞验证服务,针对发现的漏洞进行验证,验证漏洞在已有的安全体系发生的风险及分析发生后可造成的危害。针对已经验证的漏洞,自动生成漏洞工单,安全专家跟进漏洞状态,各个处理进度透明,方便招标方清晰了解当前漏洞的处置状态,将漏洞处理工作可视化 | ||
| 漏洞修复建议:针对存在的漏洞提供修复建议,能够提供精准、易懂、可落地的漏洞修复方案 | ||
| 漏洞复测:需提供漏洞复测措施,及时检验漏洞真实修复情况。复测措施可按需针对指定漏洞,指定资产等小范围进行,降低漏洞复测时的潜在影响范围 | ||
| 漏洞状态追踪:对发现的漏洞建立状态追踪机制,自动化持续跟踪漏洞情况,清晰直观地展示漏洞的修复情况,遗留情况以及漏洞对比情况,使得招标方可做到漏洞的可视、可管、可控 | ||
| 资产指纹信息梳理:投标方需梳理信息化资产详情(含操作系统、中间件、数据库、应用框架,开发语言等指纹信息)并形成动态管理机制。 | ||
| 最新漏洞预警与排查:投标方需实时抓取互联网最新漏洞与详细资产信息进行匹配,对最新漏洞进行预警与排查。预警信息中包含最新漏洞信息、影响资产范围。 | ||
| 最新漏洞处置指导:一旦确认漏洞影响范围后,安全专家提供专业的处置建议,处置建议包含两部分,补丁方案以及临时规避措施。 | ||
| 最新漏洞复测与状态跟踪:由投标方对该最新漏洞建立状态追踪机制;跟踪修复状态,遗留情况。 | ||
| 制定处置方案:根据用户实际业务场景需求,制定最适合的漏洞处置方案。 | ||
| 处置方案验证:根据漏洞处置方案,在用户提供的测试环境中开展漏洞处置方案验证工作,观察处置方案对测试环境产生的影响,并提供最优修复方案建议。 | ||
| 漏洞处置实施:在用户授权下,对漏洞进行处置工作,并验证漏洞是否依然存在以及配合验证业务影响面。 | ||
| 威胁 管理 | 结合大数据分析、人工智能、云端专家提供安全事件发现服务:依托于安全防护组件、检测响应组件和安全平台,将海量安全数据脱敏,包括漏洞信息、共享威胁情报、异常流量、攻击日志、病毒日志等数据,经由大数据处理平台结合人工智能和云端安全专家使用多种数据分析算法模型进行数据归因关联分析,实时监测网络安全状态,发现各类安全事件,并自动生成工单 | |
| 实时监测网络安全状态,对攻击事件自动化生成工单,及时进行分析与预警。攻击事件包含境外黑客攻击事件、暴力破解攻击事件、持续攻击事件 | ||
| 实时监测网络安全状态,对病毒事件自动化生成工单,及时进行分析与预警。病毒类型包含勒索型、流行病毒、挖矿型、蠕虫型、外发DOS型、C&C访问型、文件感染型、木马型 | ||
| 投标方需针对每一类威胁,进行深度分析验证,分析判断是否存在其他可疑主机,将深度关联分析的结果通过邮件、微信等方式告知用户 | ||
| 结合威胁情报,投标方需排查是否对用户资产造成威胁并通知用户,协助及时进行安全加固 | ||
| 投标方需每月主动分析病毒类的安全事件:提供病毒处置工具,并针对服务范围内的业务资产使用病毒处置工具进行病毒查杀,对于服务范围外的业务资产,安全专家协助用户查杀病毒 | ||
| 投标方需每月主动分析攻击类的安全事件:通过攻击日志分析,发现持续性攻击,立即采取行动实时对抗,当用户无防御措施时,提供攻击类安全事件的处置建议 | ||
| 投标方需每月主动分析漏洞利用类的安全事件并验证该漏洞是否利用成功,提供工具协助处置 | ||
| 投标方需每月主动分析失陷类的安全事件并协助用户处置,并提供溯源服务 | ||
| 策略调配:新增资产、业务变更策略调优服务,业务变更时策略随业务变化而同步更新 | ||
| 策略定期管理:投标方需每月对安全组件上的安全策略进行统一管理工作,确保安全组件上的安全策略始终处于最优水平,针对威胁能起到最好的防护效果 | ||
| 策略调整:安全专家根据安全事件分析的结果以及处置方式,根据用户授权情况按需对安全组件上的安全策略进行调整工作 | ||
| 通过攻击日志分析,发现持续性攻击,立即采取行动实时对抗 | ||
| 通过全网大数据分析,发现有境外黑客或高级黑客正在攻击,立即采取行动封锁黑客行为 | ||
| 事件 管理 | 基于主动响应和被动响应流程,对页面篡改、通报、断网、webshell、黑链等各类严重安全事件进行紧急响应和处置的解决方案。 | |
| 实时针对异常流量分析、攻击日志和病毒日志分析,经过海量数据脱敏、聚合发现安全事件。 | ||
| 针对分析得到的勒索病毒、挖矿病毒、篡改事件、webshell、僵尸网络等安全事件,通过工具和方法对恶意文件、代码进行根除,帮助客户快速恢复业务,消除或减轻影响 | ||
| 入侵影响抑制:通过事件检测分析,提供抑制手段,降低入侵影响,协助快速恢复业务 | ||
| 入侵威胁清除:排查攻击路径,恶意文件清除 | ||
| 入侵原因分析:还原攻击路径,分析入侵事件原因 | ||
| 加固建议指导:结合现有安全防御体系,指导用户进行安全加固、提供整改建议、防止再次入侵 | ||
| 服务质量监督 | 服务监控: 投标方需为用户提供服务监控门户,在门户中用户可查看业务安全状态,处置中的失陷事件以及针对这些事件的处置进度,处置责任人、联系方式等信息,方便用户时刻了解投标方的服务效果 投标方需有可视化的措施监督安全专家的服务水平,从工单的响应、工单的审核以及工单处理等维度判断服务是否出现停滞。 | |
| 运营可视 | 投标方能够提供智能化安全服务平台,可随时查看业务资产安全状态 在线展示所有事件监测结果、防御过程和防御结果 为了保证安全监测的效果,需要安全服务平台具备检测规则的自定义功能,以满足日益复杂的安全趋势所带来的安全需求 | |
| 服务交付物 | 交付物名称:《安全资产清单》,频率:动态维护 交付物名称:《安全风险评估报告》,报告频率:每季度一次 交付物名称:《漏洞管理台账》,频率:动态维护 交付物名称:《安全服务运营报告》,报告频率:每周一次 交付物名称:《首次威胁分析与处置报告》,报告频率:一次 交付物名称:《事件分析与处置报告》,报告频率:按需触发,不限次数 交付物名称:《安全通告》,报告频率:按需触发,不限次数 交付物名称:《综合分析报告》,报告频率:每月一次 交付物名称:《季度汇报PPT》,报告频率:每季度一次 交付物名称:《年度汇报PPT》,报告频率:每年一次 中标后招标方有权要求中标方严格按照上述频率要求提供服务交付物,确保满足招标方安全需求。如中标方未能按时提供,招标方有权终止服务合同,中间产生任何费用由中标方自行承担 | |
| 服务频率 | 7*24小时持续专家服务,威胁发现及时响应 | |
2.威胁监测与主动响应服务
| 服务类 | 服务类型 | 内容及要求 |
| 服务内容 | 首次威胁分析和处置 | 安全威胁分析:安全服务平台被动发现配合安全专家主动日志分析,识别服务范围内资产发现的病毒类事件、漏洞类事件、攻击类事件,并建立安全事件的进度监控机制 |
| 对外服务威胁检查:针对对外的服务器,着重对webshell、病毒进行重点排查,主动发现服务器风险隐患 | ||
| 首次威胁处置:投标方输出首次威胁分析报告,提供处置方法和工具,并上门提供首次处置服务 | ||
| 首次威胁汇报:处置完毕后,进行本次处置汇报,并进行报告解读 | ||
| 威胁分析和预警 | 结合大数据分析、人工智能、安全专家提供安全事件发现服务:依托于安全防护组件、检测响应组件和安全平台,将海量安全数据脱敏,包括漏洞信息、共享威胁情报、异常流量、攻击日志、病毒日志等数据,经由大数据处理平台结合人工智能和安全专家使用多种数据分析算法模型进行数据归因关联分析,实时监测网络安全状态,发现各类安全事件,并自动生成工单 | |
实时监测网络安全状态,对攻击事件自动化生成工单,及时进行分析与预警。攻击事件包含境外黑客攻击事件、暴力破解攻击事件、持续攻击事件 | ||
实时监测网络安全状态,对病毒事件自动化生成工单,及时进行分析与预警。病毒类型包含勒索型、流行病毒、挖矿型、蠕虫型、外发DOS型、C&C访问型、文件感染型、木马型 | ||
安全专家针对每一类威胁,进行深度分析验证,分析判断是否存在其他可疑主机,将深度关联分析的结果通过邮件、微信等方式告知用户 | ||
| 流行威胁通告与排查 | 结合最新威胁情报,及时对流行威胁进行评估、风险通告预警 | |
安全专家排查是否对用户资产造成威胁,通知用户协助及时修复或调整安全策略 | ||
| 主动响应服务 | 策略调配:新增资产、业务变更策略调优服务,业务变更时策略随业务变化而同步更新 | |
策略定期管理:安全专家每月对安全组件上的安全策略进行统一管理工作,确保安全组件上的安全策略始终处于最优水平,针对威胁能起到最好的防护效果 | ||
策略调整:安全专家根据安全事件分析的结果以及处置方式,根据用户授权情况按需对安全组件上的安全策略进行调整工作 | ||
针对病毒类的安全事件:安全专家提供病毒处置工具,并针对服务范围内的业务资产使用病毒处置工具进行病毒查杀,对于服务范围外的业务资产,安全专家提供病毒查杀方法和工具 | ||
针对攻击类的安全事件:通过攻击日志分析,发现持续性攻击,获取用户授权后采取行动实时对抗,当用户无防御措施时,投标方需提供攻击类安全事件的处置建议 | ||
针对漏洞利用类的安全事件:安全专家验证该漏洞是否利用成功,提供工具协助处置 | ||
针对失陷类的安全事件:安全专家协助用户处置,并提供溯源服务 | ||
基于主动响应和被动响应流程,对页面篡改、通报、断网、webshell、黑链等各类严重安全事件进行紧急响应和处置的解决方案 | ||
根据事件发生的根因、影响范围,针对性给出安全加固方案 | ||
安全专家通过现象深入分析安全事件的成因,发现用户网络中存在的薄弱点,通过技术手段和方法溯源攻击路径 | ||
针对勒索病毒、挖矿病毒、篡改事件、webshell、僵尸网络等安全事件,通过工具和方法对恶意文件、代码进行根除,快速恢复业务,消除或减轻影响 | ||
通过结合主动发现、主动处置、被动响应流程,对僵尸网络、病毒、后门、黑链等各类安全事件的处置服务 | ||
| 服务质量监督 | 服务监控: 投标方需为用户提供服务监控门户,在门户中用户可查看业务安全状态,处置中的失陷事件以及针对这些事件的处置进度,处置责任人、联系方式等信息,方便用户时刻了解投标方的服务效果。 投标方需有可视化的措施监督安全专家的服务水平,从工单的响应、工单的审核以及工单处理等维度判断服务是否出现停滞 | |
| 服务进度督促:针对服务平台生成的工单,招标方可按需催单,服务平台采用短信方式通知安全专家,督促投标方第一时间处理 | ||
| 服务 可视 | 通过安全服务平台,可随时查看业务资产安全状态 在线展示所有事件监测结果、防御过程和防御结果 ★本项目使用服务工具支持将收集的安全日志上传到安全服务平台上,并支持在该平台上对服务工具进行管理 | |
| 服务频率 | 7*24小时持续专家服务,威胁发现及时响应 | |
| 服务交付物 | 交付物名称:《安全服务运营报告》,报告频率:每周一次 交付物名称:《首次威胁分析与处置报告》,报告频率:一次 交付物名称:《事件分析与处置报告》,报告频率:按需触发,不限次数 交付物名称:《安全通告》,报告频率:按需触发,不限次数 交付物名称:《综合分析报告》,报告频率:每月一次 交付物名称:《季度汇报PPT》,报告频率:每季度一次 交付物名称:《年度汇报PPT》,报告频率:每年一次 中标后招标方有权要求中标方严格按照上述频率要求提供服务交付物,确保满足招标方安全需求。如中标方未能按时提供,招标方有权终止服务合同,中间产生任何费用由中标方自行承担。 | |
| 服务工具要求 | 投标商提供的服务工具须与采购单位现有防火墙及等保一体机实现联动,将经过现有设备(防火墙及等保一体机)所有流量进行分析和清洗,同时将有效的安全日志数据同步给安全服务平进行统一的汇总分析。一旦安全服务平台平台发现安全威胁,直接一键联动现有设备对的恶意外联行为进行一键阻断。(提供投标人的关于此功能能实现的承诺书原件,承诺书还须加盖服务工具产品制造商公章) 为保障应急响应速度,产品厂商应为CNCERT/CC网络安全应急服务支撑单位(国家级)。 | |
3.漏洞管理服务
| 服务类 | 服务类型 | 内容及要求 |
| 服务 内容 | 漏洞管理服务 | 一、 服务概述 依据相关规范使用专业的国产漏洞扫描工具对信息系统进行全面漏洞扫描工作,并将扫描结果进行系统化管理,清晰掌握信息系统上的漏洞信息,让漏洞修复与管理工作有的放矢 二、服务频率 服务年限以招标文件为准;漏洞扫描次数不限;漏洞管理服务的服务资产数,按照双方签署的正式合同中的资产数量提供 三、服务内容 1、资产梳理:梳理需要保护的业务系统,IP,域名并形成资产信息梳理表,并录入系统 2、漏洞扫描:针对通用web漏洞扫描、系统漏洞扫描、数据库漏洞扫描;针对检测网站源码、数据库备份文件、SVN文件、系统重要配置、日志文件向外网泄漏行为进行信息泄漏检测。针对受保护的业务资产提供弱口令的探测服务,内置包含通用性字典弱口令探测,行业性字典弱口令探测. 工具要求:投标人自购专业安全脆弱性扫描设备做评估,产品厂商须为微软安全响应中心MAPP计划成员,能第一时间获取安全威胁态势,提供微软官网查询链接及查询结果截图并加盖厂商公章;为保障安全产品软件系统质量,要求原厂商软件研发实力需通过CMMI L5认证,提供证书复印件,加盖原厂商公章;出于对安全风险评估的考虑,要求产品制造商具备由中国信息安全测评中心颁发的《信息安全服务资质证书》(安全工程类 三级),提供证书复印件,加盖原厂商公章; 3、漏洞优先级排序:投标方需提供客观的漏洞修复优先级指导,不能以漏洞危害等级作为唯一的修复优先级排序依据。排序依据包含但不限于资产重要性、漏洞等级以及威胁情报(漏洞被利用的可能性)三个维度 4、漏洞验证:提供漏洞验证服务,针对发现的漏洞进行验证,验证漏洞在已有的安全体系发生的风险及分析发生后可造成的危害。针对已经验证的漏洞,自动生成漏洞工单,安全专家跟进漏洞状态,各个处理进度透明,方便招标方清晰了解当前漏洞的处置状态,将漏洞处理工作可视化 5、漏洞通告:投标方需要提供真实的漏洞信息以及紧急漏洞通告,方便招标方清晰了解当前漏洞状态 6、漏洞修复建议:针对存在的漏洞提供修复建议,能够提供精准、易懂、可落地的漏洞修复方案 7、漏洞复测:需提供漏洞复测措施,及时检验漏洞真实修复情况。复测措施可按需针对指定漏洞,指定资产等小范围进行,降低漏洞复测时的潜在影响范围 8、漏洞状态追踪:对发现的漏洞建立状态追踪机制,自动化持续跟踪漏洞情况,清晰直观地展示漏洞的修复情况,遗留情况以及漏洞对比情况,使得招标方可做到漏洞的可视、可管、可控 9、漏洞报告:投标方需提供阶段性提供漏洞管理报告,报告中需直观展示服务效果、下一步工作计划以及漏洞处置建议 四、服务交付物 每月提交《漏洞管理服务报告》、《漏洞扫描报告》、《漏洞分类处置方案》 |
| 最新漏洞预警与排查服务 | 一、服务概述 投标方要基于对招标方业务的深入理解,及时预警与排查最新漏洞,预警与排查需包含漏洞情况,是否影响,影响范围,处置建议等信息 二、 服务频率 按需触发,不限次数 三、服务内容 1、资产指纹梳理:支持内网端口及服务探测,如:端口、服务等 支持内网业务应用探测,支持不同WEB容器识别,如:Apache、tomcat、Weblogic、WebSphere和Nginx等;支持多种服务端语言探测,如:PHP、JSP、ASP、ASPX和.NET等;支持WEB前端框架探测,如:jQuery、Bootstrap、HTML5等;支持WEB后端开发框架探测,如:Django、Rails、ThinkPHP、Struts等; 支持WEB业务应用探测,如:BBS、CMS和BLOG等 亦可通过人工梳理方式,批量导入到服务工具中。包含的信息包含但不局限支撑业务系统运转的操作系统、数据库、中间件、应用系统的版本,类型,IP地址;应用开放协议和端口;应用系统管理方式以及资产的重要性 2、最新漏洞通告:支持最新漏洞预警,可以根据漏洞级别、受影响的资产数量对受影响资产进行精准预警 3、最新漏洞排查:具备针对紧急安全事件爆发时进行紧急漏洞排查,支持基于Active检测框架实现紧急漏洞检测 4、最新漏洞修复指导:需提供最新漏洞复测措施,及时检验最新漏洞真实修复情况。复测措施可按需针对指定漏洞,指定资产等小范围进行,降低漏洞复测时的潜在影响范围 5、最新漏洞工单:针对最新漏洞,自动生成漏洞工单,安全专家跟进漏洞状态,具备催单功能 6、最新漏洞状态跟踪:自动化持续跟踪最新漏洞情况,清晰直观地展示最新漏洞的修复情况,遗留情况以及漏洞对比情况,使得招标方可做到漏洞的可视、可管、可控; 四、服务交付物 按需提供《最新漏洞预警与排查报告》 | |
| 漏洞处置服务 | 一、服务概述 基于对招标方业务的理解,输出切实可行的处置方案并由投标方审核通过后进行处置工作,便于招标方进行漏洞风险评估和管控 二、服务频率 按需进行 三、服务内容 为招标方提供漏洞处置服务,需结合招标方实际业务场景提供最贴合的处置方案,帮助招标方将漏洞的影响降到可接受范围内。处置方式应不低于三种供服务招标方按需选择 四、服务交付物 《漏洞处置方案》、《漏洞处置报告》 |
(二)安全评估类服务
1.风险评估服务
| 服务类 | 技术类型 | 内容及要求 |
| 风险评估 | 资产识别 | 1、 依据相关国家标准或国际标准,对招标方的信息资产进行全面梳理和识别,识别内容包含但不限于资产类型、IP地址、业务部门、责任人、用途、操作系统、数据库、中间件等 2、 资产识别方式包含但不限于:自研工具扫描探测、人工访谈调研和实地核查等 3、 资产类别应按照相关规范分类,包含但不限于以下几大类: Ø 业务应用—业务信息系统,如OA系统、门户网站等 Ø 网络结构—网络拓扑结构图 Ø 文档和数据—业务信息系统相关文档、数据库数据、设计方案、操作手册、业务数据等 Ø 软硬件资产—服务器设备、安全设备、存储设备、应用软件、操作系统、中间件、数据库、网络设备等 Ø 物理环境—机房 Ø 组织管理—方针、规章制度等 Ø 人力资源资产--组织架构、岗位职责等 4、 依据相关规范,投标方应根据资产识别结果,科学、合理的对资产进行重要性赋值,明确资产价值 5、 投标方应针对资产识别情况及问题及时汇报 |
| 脆弱性识别 | 1、 依据相关国家标准或国际标准,根据资产识别结果,采用不同手段对资产进行全面的脆弱性识别,及时发现、处置脆弱性,避免或降低脆弱性被威胁利用的几率造成的影响 2、 脆弱性分类应至少包括但不限于以下三类: Ø 技术性弱点—系统、程序、设备存在的漏洞或缺陷,如网络结构设计问题和代码漏洞 Ø 操作性弱点—软件和系统配置、操作中存在的缺陷,包括人员在日常工作中的不良习惯,审计和备份的缺乏 Ø 管理性弱点--策略、程序、规章制度、人员意识、组织结构等方面的不足 3、 脆弱性识别方式包含但不限于:自研工具自动探测、人工访谈调研、文档审阅和实地核查等 4、 漏洞扫描应按照以下要求实施: 漏洞扫描服务流程: Ø 投标方应对漏洞扫描的目标对象进行全面梳理和识别,识别内容包含但不限于资产类型、IP地址、业务部门、责任人、用途、操作系统、数据库、中间件等 Ø 投标方应提交漏洞扫描工具的情况(包括但不限于:设备厂商、设备型号、漏洞库、销售许可证等)、漏洞扫描工作方案(包括但不限于:目标对象、扫描时间、风险规避措施等)及漏洞扫描授权申请,招标方授权后,方可进行 Ø 投标方应对漏洞扫描结果进行人工验证,保证漏洞扫描结果的真实性 Ø 投标方应提交针对性的解决方案,保证漏洞修复可落地 漏洞扫描工具支持对象应包含但不限于: Ø 网络设备:路由器、交换机、防火墙等 Ø 操作系统:windows、linux、UNIX等 Ø 数据库:Oracle、MS SQL、Mysql等 Ø 中间件:Apache、Tomcat、weblogic等 漏洞扫描参数应包含但不限于:版本漏洞、开放端口、开放服务、空/弱口令账户、安全配置等 5、 基线核查应按照以下要求实施: 基线核查服务流程: Ø 投标方应对基线核查的资产进行全面梳理和识别,识别内容包含但不限于资产类型、IP地址、业务部门、责任人、用途、操作系统、数据库、中间件等 Ø 投标方应提交基线核查的标准,会同招标方各接口人进行沟通确认 Ø 依据相关标准或规范,投标方应结合招标方制定的基线核查标准、上级单位的基线核查标准、行业基线核查标准及行业最佳实践等,目标对象进行核查,目标对象包括但不限于:网络设备、操作系统、数据库及中间件等 Ø 投标方应组织相关人员对结果进行确认后,分析提交科学、合理的整改建议 基线核查应包含但不限于以下内容: Ø 网络设备: OS安全、帐号和口令管理、认证和授权策略、网络与服务、访问控制策略、通讯协议、路由协议、日志审核策略、加密管理、设备其他安全配置等 Ø 操作系统:系统漏洞补丁管理、帐号和口令管理、认证、授权策略、网络与服务、进程和启动、文件系统权限、访问控制、通讯协议、日志审核功能、剩余信息保护、其他安全配置等 Ø 数据库:漏洞补丁管理、帐号和口令管理、认证、授权策略、访问控制、通讯协议、日志审核功能、其他安全配置等 Ø 中间件:漏洞补丁管理、帐号和口令管理、认证、授权策略、通讯协议、日志审核功能、其他安全配置等 6、 渗透测试应按照以下要求实施: 1)投标方应确定目标对象后提供渗透测试服务方案和渗透测试申请,内容必须包括但不限于: Ø 渗透测试方法和流程 Ø 渗透测试工具 Ø 渗透测试面临的风险和规避措施 Ø 渗透测试时间和地点 Ø 渗透测试人员(资质、经验等其他证明) 2)招标方授权后,投标方应通过模拟黑客攻击行为通过本地或远程方式对目标对象进行非破坏性的入侵测试 3)渗透测试应至少包括以下方面的工作内容: Ø WEB应用系统渗透 Ø 主机操作系统渗透 Ø 数据库系统渗透 7、 投标方应将发现的脆弱性及时向招标方反馈,并在后续提出可落地的整改建议或方案。 | |
| 威胁识别 | 1、 依据相关国家标准或国际标准,对存在脆弱性的资产进行威胁的全面识别,及时发现潜在威胁的原因,避免或降低威胁发生的几率 2、 威胁来源应至少包括但不限于以下四类: Ø 人员威胁——包括故意破坏和无意失误 Ø 系统威胁——系统、网络或服务的故障 Ø 环境威胁——电源故障、污染、液体泄漏、火灾等 Ø 自然威胁——洪水、地震、台风、滑坡、雷电等 3、 通过技术手段识别服务器中可能存在被植入的后门程序、潜伏未触发的病毒木马等安全威胁 4、 投标方应对威胁利用率极高的风险提出整改建议,配合招标方及时处置 | |
| 防护能力评估 | 1、 依据相关国家标准或国际标准,对招标方现有的防护能力进行评估,评估内容包含但不限于: Ø 预防控制措施情况,如:已有安全策略和防护程序情况、软件版本和补丁管理、安全域和访问控制、管理体系建设及落实、安全意识培训等 Ø 检测控制措施情况,如:网络入侵检测能力、主机入侵检测能力、安全事件报告流程 Ø 响应控制措施,如:应急响应机制、系统备份与恢复机制、安全事件响应能力等 2、 根据识别结果的现状,提出建设性意见,避免重复采购相关设备或服务。 | |
| 风险分析 | 1、 投标方应组织专家团队,对存在和潜在的风险进行全面分析,保证风险分析的科学性、合理性及风险处置的可操作性 2、 投标方应在风险分析完成后,组织召开相关会议,将风险评估实施过程全生命周期发现的情况或问题统一反馈,并提出可落地的建议或方案。 | |
| 可落地建设方案 | 1、 根据资产识别、脆弱性评估、威胁评估、防护能力评估的输出结果进行风险分析之后,输出风险评估报告,风险评估报告中应符合业务需求的安全整改建议。 | |
| 服务频率 | 1年4次 | |
| 服务 交付物 | 《安全风险评估报告》 《安全建设方案》(高级版) | |
2.渗透测试服务
| 服务类 | 技术类型 | 内容及要求 |
| 渗透测试 | 服务要求 | 1、投标方应保证招标方信息系统正常运行前提下,模拟黑客攻击行为通过远程或本地方式对信息系统进行非破坏性的入侵测试,查找针对应用程序的各种漏洞,帮助招标方理解应用系统当前的安全状况,发现在系统复杂结构中的最脆弱链路并针对安全隐患提出解决办法,切实保证信息系统安全 2、投标方应在得到客户授权后方可开始实施渗透工作。 |
| 服务方案 | 1、投标方应根据招标方安全需求及重要业务系统结构,设计针对性的渗透测试方案,并提交至招标方进行评审 2、投标方应在投标文件技术部分详细说明渗透测试的实施流程、渗透测试方法、实施过程中用到的工具、实施过程中可供考量的具体工作指标及各阶段输出成果 3、投标方提供的渗透测试方案必须包括但不限于: Ø 渗透方法和流程 Ø 渗透测试风险评估和控制方案 Ø 渗透测试须采用国内外商业检测工具或自有检测工具 Ø 提供渗透测试所面临的主要风险及相应的风险规避措施 | |
| 服务内容 | 1、招标方授权后,投标方应通过模拟黑客攻击行为通过本地或远程方式对目标对象进行非破坏性的入侵测试 2、渗透测试应至少包括但不限于以下范围的漏洞: Ø WEB应用系统渗透 Ø 主机操作系统渗透 Ø 数据库系统渗透 3、渗透测试内容包括但不限于: Ø 身份验证类 Ø 会话管理类 Ø 访问控制类 Ø 输入处理类 Ø 信息泄露类 Ø 第三方应用类 4、投标方渗透测试人员应针对使用不同技术手段发现不同纬度的漏洞,并进行验证,形成记录和报告 | |
| 服务频率 | 1年2次 | |
| 服务交物 | 《渗透测试报告》 《渗透测试复测报告》 | |
3.漏洞扫描服务
| 服务类 | 技术类型 | 内容及要求 |
| 漏洞扫描 | 服务流程 | 1、 漏洞扫描应按照以下要求实施: 漏洞扫描服务流程: Ø 投标方应对漏洞扫描的目标对象进行全面梳理和识别,识别内容包含但不限于资产类型、IP地址、业务部门、责任人、用途、操作系统、数据库、中间件等 Ø 投标方应提交漏洞扫描工具的情况(包括但不限于:设备厂商、设备型号、漏洞库、销售许可证等)、漏洞扫描工作方案(包括但不限于:目标对象、扫描时间、风险规避措施等)及漏洞扫描申请,招标方授权后,方可进行 Ø 投标方应对漏洞扫描结果进行人工验证,保证漏洞扫描结果的真实性 Ø 投标方应提交针对性的解决方案,保证漏洞修复可落地。 |
| 服务工具 要求 | 1、 漏洞扫描工具支持对象应包含但不限于: Ø 网络设备:路由器、交换机、防火墙等 Ø 操作系统:windows、linux、UNIX等 Ø 数据库:Oracle、MS SQL、Mysql等 Ø 中间件:Apache、Tomcat、weblogic等 2、 漏洞扫描参数应包含但不限于:版本漏洞、开放端口、开放服务、空/弱口令账户、安全配置等 | |
| 服务频率 | 1年12次 | |
| 服务 交付物 | 《漏洞扫描服务报告》 | |
| 服务工具要求 | 一、功能要求: 1、Web扫描域名无限制,Web扫描任务并发数≥5个域名。系统扫描IP地址无限制,支持扫描A类、B类、C类地址,支持IP地址并行扫描≥50个。 2、产品应具备操作系统、数据库、网络设备等主流系统的漏洞库列表,并提供至少20种以上的漏洞库分类。 3、产品具备对主流的数据库软件的漏洞检查,支持Oracle、MySQL、SQL server、DB2等数据库的安全漏洞检查,并提供至少3000种相关漏洞库。 4、产品具备对主流虚拟机管理系统的漏洞检查,支持Vmware ESX\Vmware ESXi等相关漏洞。 5、产品具备对iOS、Android、Blackberry、windowsphone等操作系统,并提供至少50种以上的相关漏洞库。 6、产品具备对后门检测的安全漏洞检查,包括对Microsoft IIS特洛伊木马检测、Mac OS X恶意程序等常见后门漏洞的安全检测,并提供至少100种以上的相关漏洞库(请提供相应截图证明并加盖服务工具制造商公章)。 7、产品具备对网页暗链、敏感词汇、网站木马的检测 8、产品需支持对Web网站漏洞扫描的同时,查看网站漏洞情况和Web目录结构,数据进行实时同步呈现。 9、产品具备SMB、TELNET、FTP、SSH、POP3、TOMCAT、SQL SERVER、MYSQL、ORACLE、SYBASE、DB2、SNMP等协议进行口令猜测。 10、产品具备公安部的信息系统等级保护的配置核查。 11、产品具备漏洞对比机制,针对多次漏洞扫描情况进行对比,了解新增漏洞、减少漏洞的详细数据(请提供相应截图证明并加盖服务工具制造商公章)。 12、产品具备对导出报表进行加密处理,并设置自定义密码功能。 二、资质要求: 1、为保障安全服务的质量,要求服务工具厂商具备国测信息安全服务资质-安全工程类(三级); 2、为保障安全服务的质量,要求服务工具厂商具备国测信息安全服务资质-风险评估类(二级及以上)。(提供证书复印件并加盖设备制造商公章) | |
4.基线核查服务
| 服务类 | 技术类型 | 内容及要求 |
| 基线核查 | 服务流程 | 1、 基线核查应按照以下要求实施: 基线核查服务流程: Ø 投标方应对基线核查的资产进行全面梳理和识别,识别内容包含但不限于资产类型、IP地址、业务部门、责任人、用途、操作系统、数据库、中间件等 Ø 投标方应提交基线核查的标准,会同招标方各接口人进行沟通确认 Ø 依据相关标准或规范,投标方应结合招标方制定的基线核查标准、上级单位的基线核查标准、行业基线核查标准及行业最佳实践等,目标对象进行核查,目标对象包括但不限于:网络设备、操作系统、数据库及中间件等 Ø 投标方应组织相关人员对结果进行确认后,分析提交科学、合理的整改建议。 |
| 服务频率 | 1年12次 | |
| 服务交付物 | 《安全基线核查报告》 | |
(三)安全培训与咨询类服务
1.安全培训
服务类 | 服务类型 | 内容及要求 |
意识培训 | 安全基础培训 | 面向招标人非技术类人员。通过大量的当前典型安全事件导入,从感性认知层面对目前的网络安全威胁给予直观、形象的描述,提高员工的网络安全意识,熟悉网络安全法及网络安全基本知识。 |
网站访问安全 | 了解日常访问网站时的注意事项,知道如何安全使用浏览器 | |
电子邮件安全 | 了解在使用电子邮件过程中,如何保障其安全以及防范钓鱼邮件方法 | |
通信安全 | 了解连接网络连接、短信通讯等相关的安全注意事项,提高员工在通讯时的防诈骗意识 | |
移动设备安全 | 了解在使用手机、U盘等移动设备过程中的注意事项 | |
物理环境安全 | 了解工作环境安全和计算机的安全保密意识,提高员工日常工作中的安全意识 | |
IT人员信息安全 | 帮助IT 运维用户了解当前信息泄露、由于安全意识不足导致网站被攻击的风险,如撞库、勒索、挖矿等,增强员工安全意识,养成良好安全习惯 | |
密码安全 | 帮助企业员工更好地认知到密码安全的重要性,帮助员工具备更好的密码安全意识和良好习惯 | |
安全事件案例与视频 | 通过分析海量的安全事件案例,让客户理解信息安全的重要性,帮助客户建立良好的信息安全意识习惯,实战视频使员工对每个主题涉及的信息安全知识与预防措施有感性和理性的认知,从而细化员工的信息安全知识 | |
意识验证 | 模拟钓鱼测试 (可选) | 通过模拟邮件钓鱼测试,帮助客户发现弱安全意识人员 |
实战钓鱼测试 (可选) | 搭建钓鱼网站、邮件钓鱼等组合方式帮助客户筛选出安全意识薄弱人员,针对性提升信息安全意识 | |
现场实战演示 (可选) | 通过现场演示点击链接文件导致用户电脑被黑客控制加强学员对信息安全意识不足导致危险的直观认知 | |
服务频率 | 按需执行 | |
服务交付物 | 《信息安全培训教材》 《信息安全培训记录》 | |
2.安全咨询服务
| 服务类 | 内容及要求 |
| 服务内容 | 对信息系统安全建设过程中的特定安全问题随时提供安全咨询服务。 1)提供24小时电话咨询服务,针对出现的简单安全问题,可以通过电话沟通迅速解决。 2)如有需要,投标方需到场进行现场安全指导。 3)咨询内容包括安全技术和安全管理两个方面。 |
| 服务频率 | 按需执行 |
(四)安全运维类服务
1.应急响应
| 服务类 | 服务类型 | 内容及要求 |
| 服务内容 | 响应事件范围 | 投标方应在招标方遇到重大或突发事件后按照要求的服务响应级别采取相关的措施和行动。帮助招标方正确应对安全事件,降低安全事件带来的损失和影响,并将业务以及网络恢复到正常状态 本次招标的应急响应包含但不限于以下几类安全事件: l WEB安全事件 针对B/S类信息系统或网站遭受恶意入侵,利用网站进行反动信息、赌博、黄色等信息发布,传播危害国家安全、社会稳定和公共利益的内容的安全事件,包括但不限于:篡改、暗链、挂马、Webshell等 l 恶意程序事件 针对遭受的各类恶意程序事件进行快速处置,包括不限于病毒事件/木马事件、蠕虫事件、僵尸网络事件、勒索病毒事件、挖矿病毒事件等 l 网络攻击事件 针对招标方由于信息系统的配置缺陷、协议缺陷、程序缺陷,造成的信息系统异常的安全事件进行应急响应 l 信息破坏事件 针对招标方信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件进行应急响应,包括但不限于系统配置遭篡改、数据库内容篡改、网站内容篡改事件、信息数据泄露事件等 投标方应按以下要求及时提供应急响应服务: Ø 接到事件报告 Ø 根据事件级别进行不同级别的响应方式,包括电话、现场等 Ø 协调其他外部资源进行处理 Ø 安全事件溯源分析服务 Ø 编制应急响应情况报告,说明事件原因、处置措施等 |
| 响应时间要求 | 投标方应提供7*24应急响应服务,提供应急响应服务方案 安全事件要求应急团队须在5分钟内,对信息安全事件做出响应,并严格按照招标方信息安全等级要求迅速到达现场并解决问题: Ø 特别重大事件(Ⅰ级),5分钟作出响应,提供远程 7*24 小时响应服务、1小时到达现场进行应急响应服务 Ø 重大事件(Ⅱ级),10分钟作出响应,提供远程 7*24 小时、2小时到达现场进行应急响应服务 Ø 较大突发事件(Ⅲ级),30分钟作出响应,提供远程 7*24 小时响应服务、4小时到达现场进行应急响应服务 Ø 一般性突发事件(Ⅳ级),30分钟作出响应,提供远程 7*24 小时响应服务、远程无法解决时,在4小时到达现场进行应急响应服务 每次故障处理完毕3个工作日内提供详细的故障处理报告 | |
| 服务频率 | 1年内提供X次安全应急响应服务 | |
| 服务交付物 | 《应急响应报告》 《安全加固报告》 | |
2.应急演练
| 服务类 | 内容及要求 |
| 服务内容 | 投标方应帮助招标方通过应急演练最大限度地在安全事件发生前暴露预案和流程的缺陷,反馈应急资源的保障情况,改善各部门、机构、人员之间的协调性,增强应对突发安全事件的信心和意识,提高队伍人员的熟练程度和技术水平,进一步明确各自岗位职责,提高各级预案之间的协调性,提高应急反应能力 投标方应结合招标方网络安全要求制定对应的应急演练预案,演练预案包含但不限于以下内容: Ø 有害程序事件:内网传播型病毒应急演练、勒索病毒应急演练、挖矿病毒应急演练等 Ø 网络攻击事件:漏洞攻击应急演练、后门攻击应急演练等 Ø 信息破坏事件:网站篡改应急演练、信息泄露应急演练等 Ø 设备设施故障事件:网络设备故障应急演练、服务器故障应急演练等 投标方根据招标方年度演练需求,参考演练预案制定演练方案,并提交至招标方相关人员进行评审 投标方根据评审后的演练方案组织相关人员开展应急演练,并对应急演练过程进行记录,形成配套演练材料 |
| 服务流程 | 投标方服务流程包括演练准备、演练实施、演练总结三个主要阶段 Ø 演练准备:主要包括需求调研、预案分析、演练场景设计、确定演练组织架构、演练方案制定、演练动员和培训、人员场地保障、演练工具保障及演练环境搭建 Ø 演练实施:主要包括系统准备、演练启动、演练执行、演练解说、演练记录、演练结束及系统恢复 Ø 演练总结:主要包括演练总结报告、文件归档备案、完善预案并提供改进建议 |
| 服务频率 | 按需执行 |
| 服务交付物 | 交付文档:《应急演练脚本》、《应急演练总结报告》 支撑材料:演练解说词、现场照片等 |
3.安全加固
| 服务类 | 服务类型 | 内容及要求 |
| 服务内容 | 网络设备安全加固 | 对网络设备的管理员进行分级管理,权限更高的管理员的帐号和口令的管理要求必须保证是最严格等级,同时对其他管理员的帐号和口令的复杂度进行优化 对网络设备的登录帐号进行加固,使其满足一定强度的认证要求,并对不同级别的授权策略进行优化 网络设备的服务配置方面,必须遵循最小化服务原则,关闭网络设备不必要的所有服务,修复网络服务或网络协议自身存在的安全漏洞以降低网络的安全风险 针对网络设备管理设置访问安全限制策略,只允许特定主机访问网络设备 根据安全级别要求,开启网络设备必需的监控日志记录,并支持一定周期的日志本地存储或外置存储。人员要求:该项目实施涉及面广,对技术要求高,需配备项目负责人一名,具备CCIE网络、RHCE系统、OCP数据库、ICS存储等权威技术资质能力(提供资质复印件并加盖投标人公章)。 |
| 主机操作系统加固 | 对主机操作系统的管理员进行分级管理,确保不同管理员的帐号和口令的管理要求差异化,同时对帐号和口令的复杂度进行严格要求 确保主机操作系统的登录帐号达到一定强度的认证要求,并对不同级别的授权策略进行优化 主机操作系统的网络服务、进程和启动项配置方面,必须遵循最小化服务原则,关闭主机操作系统不需要的所有服务,降低网络服务或网络协议自身存在的安全漏洞带来的安全风险 严格把控每个文件/文件夹的访问权限,只允许授权的帐户访问此文件/文件夹 针对主机操作系统管理设置访问安全控制策略,只允许特定主机访问网络设备 按照安全级别要求,开启主机操作系统必需的监控日志记录,并支持一定周期的日志本地存储或外置存储 | |
数据库加固 | 根据数据库管理员的分级管理策略制定差异化的管理员帐号和口令的管理要求,对帐号和口令的复杂度进行优化配置 针对数据库的登录帐号进行一定强度的认证要求,以及对不同级别的授权策略进行优化调整 针对数据库管理设置访问安全访问限制策略,只允许特定主机访问网络设备 关闭不必要的服务,加固TCP/IP协议栈,使用加密通信协议 根据安全级别要求,开启数据库必需的监控日志记录,并支持一定周期的日志本地存储或外置存储 | |
中间件及常见网络服务安全加固 | 完成针对应用的管理员分级管理,不同管理员的帐号和口令的管理要求实现差异化,同时对帐号和口令的复杂度进行优化 针对应用的登录帐号进行一定强度的认证要求和不同级别的授权策略优化 根据安全级别要求,开启中间件及常见网络服务必需的监控日志记录,并支持一定周期的日志本地存储或外置存储 | |
| 服务交付物 | 《安全加固方案》 | 《安全加固报告》的具体内容应包含: 1)对加固过程的详细记录 2)对加固结果的详细记录 3)对未能实施加固(残余风险)的风险项进行详细说明,并提出安全补救措施和安全专家建议,为管理人员的后期维护提供参考 |
| 服务频率 | 6次/年 | |
4.重要时期安全保障服务
| 服务类 | 内容及要求 |
| 服务内容 | 重大节假日和重大活动前加强应用系统评估和加固服务。包括远程安全评估、本地安全审计、应用评估、渗透测试、日志分析等,对发现不完善环节进行加固。 1)重要时期包括元旦、春节、国庆、端午、中秋、五一和两会等其他重要会议或活动时期。 2)重大节假日和重大活动前提前做好各类应急防范措施。对有可能发现的安全事件进行演练,积极做好准备工作。 3)在重大节假日和重大活动期间的服务团队必须7*24小时随时待命。 |
| 服务频率 | 按需执行 |
5.安全管理制度完善服务
| 服务类 | 内容及要求 |
| 服务内容 | 根据等级保护三级要求,完善招标人各项信息安全管理制度,通过对制度的补充、完善,形成一套可以满足信息安全等级保护三级要求,并且可以实际运用的管理制度文件。 1)能够根据等保相关规范或制度的调整,对制度内容进行补充完善。 2)对已有的制度进行梳理,对存在的管理漏洞或缺失内容提出修改意见。 3)制度必须符合公司的实际情况,具有可操作性。 |
| 服务频率 | 每年一次 |
6.安全日志分析与响应服务
| 服务类 | 服务类型 | 内容及要求 |
| 服务 内容 | 设备健康体检 | 投标方需检查态势感知平台的运行状况,包含CPU、内存、磁盘以及核心进程 |
| 投标方需检查态势感知平台关联的潜伏威胁探针、下一代防火墙、终端检测系统等安全探针的设备状态 | ||
| 投标方需检查态势感知平台的序列号有效期,避免序列号过期影响安全监测和防护功能 | ||
| 投标方需检查态势感知平台的规则库有效期,避免规则库过期影响安全监测和防护功能 | ||
| 投标方需检查态势感知平台的安全分析引擎,确保分析引擎为最新 | ||
| 威胁分析和预警 | 1、投标方需分析web数据传输过程是否有存在被监听或者信息泄露风险,并给出解决建议 2、投标方需分析web的登录过程是否存在弱密码,避免web站点被轻易爆破,并给出解决建议 | |
1、投标方需分析口令爆破行为,并对攻击次数最多的TOP5攻击源验证是否爆破成功,并给出解决建议 2、投标方需对发起横向威胁top5主机和遭受横向威胁top5业务展开分析并给出解决建议 3、投标方需对WEB系统IP地址进行日志分析,判断对web应用的攻击行为,并给出解决建议 | ||
1、投标方需对失陷主机进行分析研判,并给出修复建议 2、投标方需分析内网主机的非法外联威胁行为,判断是否存在潜伏威胁,并给出解决建议 | ||
| 深度威胁分析和研判 | 投标方需开展漏洞利用攻击事件深度分析研判,判断漏洞利用行为是否成功,判断攻击行为的目的,并据此判断攻击所处的阶段(kill-chain),提出针对性的加固建议 | |
投标方需开展Webshell上传事件深度分析研判,判断webshell上传行为是否成功,判断攻击行为的目的,并据此判断攻击所处的阶段(kill-chain),提出针对性的加固建议 | ||
投标方需开展Web系统目录遍历攻击事件深度分析研判,判断攻击行为是否成功;判断攻击行为的目的,并据此判断攻击所处的阶段,提出针对性的加固建议 | ||
投标方需开展SQL注入攻击事件深度分析研判,判断攻击行为是否成功;判断攻击行为的目的,并据此判断攻击所处的阶段,提出针对性的加固建议 | ||
投标方需开展系统命令注入攻击事件深度分析研判,判断攻击行为是否成功;判断攻击行为的目的,并据此判断攻击所处的阶段,提出针对性的加固建议 | ||
投标方需开展信息泄露攻击事件深度分析研判,判断攻击行为是否成功;判断攻击行为的目的,并据此判断攻击所处的阶段,提出针对性的加固建议 | ||
投标方需开展口令暴力破解事件深度分析研判,判断攻击行为是否成功;判断攻击行为的目的,并据此判断攻击所处的阶段,提出针对性的加固建议 | ||
投标方需开展Web明文传输事件深度分析研判,判断攻击行为是否成功;判断攻击行为的目的,并据此判断攻击所处的阶段,提出针对性的加固建议 | ||
投标方需可对发生的行为进行分析判断:深度分析判断主机是否感染了勒索病毒;是否已感染勒索病毒文件;根据已发生的漏洞攻击行为分析判断否存在勒索病毒攻击等 | ||
投标方需可对发生的行为进行分析判断;深度分析是否感染了挖矿病毒/木马;是否处于挖矿状态;根据已发生的漏洞攻击行为分析判断是否存在以植入挖矿木马为目的的漏洞攻击等 | ||
针对RDP爆破和SMB爆破行为进行源IP和端口以及频率分析,结合实际情况加以分析,判断是否为正常行为 | ||
威胁主动响应 | 针对内网脆弱性,投标方需分析研判后提供实际佐证材料,并给出修复建议 | |
针对分析研判确认的入侵行为,投标方需给出策略调整建议 | ||
1、针对病毒类事件。投标方需提供病毒处置工具并指导查杀工作 2、针对勒索、挖矿类事件。投标方需主导处置工作,并提供最大程度溯源服务并提供查杀指导 3、针对后门脚本类事件。投标方需主导处置工作,提供专杀工具对感染服务器进行全面后门脚本查杀,并提供最大程度溯源服务 4、针对隐藏通信通道、可疑外发行为。投标方需提供实际佐证材料,并给出修复建议 | ||
| 服务频率 | 按需执行 | |
| 服务交付物 | 《安全日志分析与响应报告》 | |
三、采购要求
本项目拟采购安全运维服务包含以下要求:
(一)投标方应按照服务内容制定详细的实施计划,合理安排时间,保证服务内容在一年内实施完成。
(二)投标方应明确网络安全事故责任清单,具有给招标方造成不良后果或经济损失后的相应赔偿条款。
(三)投标方应承担招标方的信息系统等保测评整改,并承诺能够在整改后通过三级等保测评。
(四)一年内驻场服务不得少于5个人月。
四、报价
本次报价需根据网络安全运维服务报价,报价为一价全包,全额含税增值税专用发票、人工费用、合同实施过程中应预见和不可预见费用等(谈判后可再进行一次最终报价)。
第三部分 谈判方资格
参加谈判的单位需满足以下要求,谈判人必须提交证明其有资格进行谈判和有能力履行合同的证明文件,作为谈判文件的一部分。分别是:
1. 具有独立法人资格(提供营业执照复印件并加盖投标人公章);
2. 履行合同所必须的专业技术能力。(提供有效的相关认证证书复印件并加盖投标人公章);
3. 公司注册地或有分支机构在成渝两地,且在成渝两地有常驻开发人员;
4. 具有良好的商业信誉和健全的财务会计制度,近几年无行业诚信档案不良记录,能够开具技术服务或软件开发类增值税专用发票(诚信声明,加盖鲜章)。
第四部分 谈判文件制作要求
一、装订
谈判人应将谈判文件正本装订成册,将谈判文件装入一个文件袋内加以密封并在每一封贴处加盖公章。
二、内容
谈判书应包括以下内容:
1. 谈判函;
2. 报价一览表;
3. 方案书;
4. 谈判人资格证明文件(营业执照复印件并加盖投标人公章、参与项目人员资格证书复印件等);
5. 公司概况(简要说明企业背景、经营范围、企业组织结构、谈判单位联系人、联系地址、联系方式、EMAIL等);
6. 诚信申明。
注:谈判人应认真仔细阅读谈判文件的所有内容,按谈判文件的要求编写谈判文件(具体格式参见第七部分),并保证所提供的全部资料的真实性、完整性及有效性。如果没有按照谈判文件要求提交谈判文件,没有对谈判文件做出实质性响应,其谈判文件可能被拒绝。
第五部分 评审原则、办法和成交标准
一、评分原则
评分原则遵循公平、公正、科学和择优的原则。
二、评分办法
评比采用综合评分法,分报价部分、商务部分、技术部分三项,满分为100分。
三、评分标准
| 综合评分标准 | 技术部分评分标准 (50)分 | 服务内容响应(20分) | 对服务范围(本文第二部分第二大点的服务范围)中所有技术要求条款的技术指标全部响应为满足或优于的得20分。其中一项不满足扣2分,扣完为止。 |
| 服务方案 (10分) | 根据投标人对本项目的服务总体目标、服务工作安排、服务人员投入、服务工作计划和服务质量保障等方面横向比较。 优:服务方案完整详实,合理可行,得8~10分。 良:服务方案完整,基本合理可行,得5~7分。 差:服务方案不完整,不合理可行,得0~4分。 | ||
| 拟投入服务人员 (20分) | 1. 项目经理:横向对比投标人承诺投入本项目的项目经理资质、经验。资质如 CCIE 、RHCE、OCP、ICS等。(10分) 优:资质证书等级高,项目经验丰富,得8~10分。 良:资质证书等级一般,项目经验一般,得5~7分。 差:资质证书等级差,项目经验差,得0~4分。 2. 运维团队:横向对比投标人人承诺投入本项目的运维团队人数、资质、经验。资质如:信息安全工程师、网络工程师、OCP、CISP等。(10分) 优:团队人数多,资质证书等级高,项目经验丰富,得8~10分。 良:团队人数一般,资质证书等级一般,项目经验一般,得5~7分。 差:团队人数少,资质证书等级差,项目经验差,得0~4分。 注:提供近6个月社保证明、资质证书及工作经验等证明文件,并加盖投标人公章,不提供不得分。 | ||
| 商务部分评分标准 (50)分 | 资质(4分) | 公司需具备一下资质(每项1分): 1、 ISO27701 体系认证 2、 ISCCC中国网络安全审查技术与认证中心 安全集成、风险评估 、安全运维认证 3、 CS信息系统建设和服务能力评估体系认证 4、 商用密码专业技术体系认证 | |
| 业绩经验(6分) | 近3年内(2018年1月至采购文件发出之日),投标人有类似项目实施经验,每有一个,得2分,此项最多得6分。 注:1)案例时间以合同签订时间或甲方相关证明文件注明业绩时间为准。 2)须提供合同或甲方证明文件并加盖投标人公章。 | ||
| 总报价 (40分) | 1、评标基准价:所有初步评审合格的投标人的投标总报价的算术平均值的90%评标基准价。 2、各有效投标报价等于评标基准价的得满分40分,其余有效投标报价与评标基准价相比,每高于评标基准价1%扣0.1分,每低于评标基准价1%扣0.1分,扣完为止。(百分比四舍五入后取整数) |
四、成交标准
谈判小组将根据总得分由高到低排列次序(总分相同时以技术部分得分较高的排列在前)并推荐成交候选人。
第六部分 付款方式
在我司取得同意采购结果的批复后,10个工作日内完成合同签订,在甲方收到乙方开具的增值税专用发票后15个工作日内向乙方支付合同总额的30%,一年期满后,无重大安全事故,则支付剩余70%。
第七部分 谈判文件(格式)
谈判函(格式)
致:重庆兴农智能科技有限公司
我方确认收到贵方提供的重庆兴农智能科技有限公司安全运维服务采购项目竞争性谈判文件的全部内容。我方作为谈判人进行有关本谈判的一切事宜。在此提交的谈判文件,正本 1 份,副本 1 份。
我方已完全明白谈判文件的所有条款要求,并宣布同意如下几点:
1、我方决定参加重庆兴农智能科技有限公司安全运维服务采购项目竞争性谈判。
2、我方关于重庆兴农智能科技有限公司安全运维服务采购项目谈判报价(详见报价一览表)。
3、我方已详细研究了谈判文件的所有内容包括修改文件(如果有)和所有已提供的参考资料以及有关附件,并完全明白。我方放弃在此方面提出含糊意见或误解的一切权力。
4、我方同意按照贵方可能提出的要求而提供与谈判有关的任何其它数据或信息。
5、如我方被授予合同,将保证履行谈判文件以及谈判文件修改书(如果有的话)中的全部责任和义务,按质、按量、按期完成合同中的全部任务。
谈判人(公章):
法定代表人(或授权代理人)签名:
报价文件
谈判人名称(公章):
法定代表人(或授权代理人)签名:
日 期:
法定代表人授权书(格 式)
重庆兴农智能科技有限公司:
本人(姓名) 系 (谈判人名称) 的法定代表人,现委托(姓名) 为我方代理人。代理人根据授权,以我方名义签署、澄清、说明、补正、递交、撤回、 修改 (项目名称) 谈判文件、签订合同和处理有关事宜, 其法律后果由我方承担。
委托期限: 。
代理人无转委托权。
附:法定代表人身份证明。
| 法定代表人身份证正面复印件 |
| 法定代表人身份证反面复印件 |
谈 判 人: (盖单位章)
法定代表人: (签字或盖章)
身份证号码:
委托代理人: (签字)
身份证号码:
年 月 日
| 授权代理人身份证正面复印件 |
| 授权代理人身份证反面复印件 |
公司概况(格式)
公司概况(简要说明企业背景、公司资质、经营范围、企业组织结构、办公地点、人员情况等)
诚信声明(格式)
致: 重庆兴农智能科技有限公司
XXXXX公司(单位)参加安全运维服务采购项目的投标,在此郑重声明:我公司(单位)具有良好的商业信誉和健全的财务会计制度,具有履行合同所必需的设备和专业技术能力,有依法缴纳税收和社会保障资金的良好记录,能够开具增值税专用发票,在合同签订前后随时愿意提供相关证明材料;我公司(单位)还同时声明参加本项目采购活动前三年内无重大违真实性法活动记录,我公司(单位)符合法律、行政法规规定的其他条件。我公司对所投本采购项目的所有谈判文件的和合法性以及完整性负责。我方对以上声明负全部法律责任。
特此声明。
(谈判人公章)
日期:
结果通知书
:
重庆兴农智能科技有限公司安全运维服务采购项目,经谈判小组评审,现(未)确定贵单位为成交供应商。
特此通知。
重庆兴农智能科技有限公司
2021年 月 日
解决方案
联系我们
返回顶部