招标
福州市审计局网络信息安全服务采购项目其他
金额
6.5万元
项目地址
福建省
发布时间
2020/09/28
公告摘要
公告正文
福建盛鑫招标代理有限公司受福州市审计局 委托,根据《中华人民共和国政府采购法》等有关规定,现对福州市审计局网络信息安全服务采购项目进行其他招标,欢迎合格的供应商前来投标。
项目名称:福州市审计局网络信息安全服务采购项目
项目编号:FJSXWS2020036
项目联系方式:
项目联系人:小潘
项目联系电话:0591-87600110
采购单位联系方式:
采购单位:福州市审计局
采购单位地址:福州市审计局
采购单位联系方式:郑先生 13950410680
代理机构联系方式:
代理机构:福建盛鑫招标代理有限公司
代理机构联系人:小潘0591-87600110
代理机构地址: 福建盛鑫招标代理有限公司
一、采购项目内容
网络信息安全服务
二、开标时间:2020年09月30日 11:00
三、其它补充事宜
第一部分 邀请函
一、网上竞价邀请函
受福州市审计局委托,福建盛鑫招标代理有限公司采用网上竞价采购方式组织实施本次服务的采购,现邀请合格的供应商参加网上竞价。
1. 竞价编号:FJSXWS2020036
2. 项目名称:福州市审计局网络信息安全服务采购项目
3. 服务名称、服务期限及主要技术规格详见“竞价服务一览表”
4.报名起止时间:2020年9月28日9:00始-2019年9月29日17:00
5.竞价文件上传时间:2020年9月30日11:00之前,开标时间:2020年9月30日11:00。
6.网上竞价招标文件售价为50元,售后不退。
7.以上如有变更,福建盛鑫招标代理有限公司会通过中国政府采购网
(http://www.ccgp.gov.cn/)和福建盛鑫招标代理有限公司网站(http://www.fjsxzb.com)通知,请各潜在供应商关注。
招标代理机构:福建盛鑫招标代理有限公司
地 址:福州市鼓楼区鼓东街道湖东路79号外运大厦七层
邮 编:350003
电 话:0591-87600110
传 真:0591-87600010
联系人:小潘
电子信箱:fjsxzb@163.com
开户名:福建盛鑫招标代理有限公司
开户行:中信银行福州分行
账 号:7341 0101 826 0022 7015
二、竞价服务一览表
单位:元
第二部分 竞价须知
一、合格的竞价供应商
1、凡有能力提供本招标文件所述服务,具备相关法律法规、行政规章条例和本招标文件中规定的参加采购活动应当具备的条件的境内法人均可能成为合格的投标人。
2、竞价供应商必须符合《中华人民共和国政府采购法》第22条之规定条件。
二、报名须知
1、报价人对每个项目合同包报名时都必须扫描上传合格有效的法人营业执照(三证合一)、报价代表人的法定代表人授权书(以上文件均需加盖公章)。
2、在网上竞价公告截止时间前电子报价文件应按福建盛鑫招标代理有限公司后台要求的竞价文件的报价格式填写完整,并按网上报价要求上传相关材料,未按此要求的,将被视为无效报价文件。电子报价文档具法律效力。
在网上竞价公告截止时间前电子报价文件内容可多次补充、修改,以最后一次生成为准。
3、报价人报价的货物必须符合网上竞价公告的要求,并严格按照网上竞价要求在报价文件的“报价一览表”中对服务要求作出明确、具体的确定性说明,带有范围值的参数必须写明实际投标数值,不接受可选性报价(如详细配置有“可选购、大于、小于、优于”等描述都将视为无效报价),若照抄竞价文件技术要求,出现可选性报价,或经相关比对发现其描述与实际有不符或出入的,一经查实,将视为弄虚作假,其竞价无效。
4、报价文件应包括以下内容
报价书、竞价承诺书、报价一览表、服务说明一览表、报价人声明(附资格证明文件:法人营业执照(三证合一)、法人授权委托书、网上报价承诺书)、报价人提交的其它资料、成交服务费承诺书。
5、成交人的纸质报价文件应按后台要求的报价格式填写制作完整,并加盖报价单位公章和法定代表人(或授权代表)签字,整本报价文件须加盖骑缝章,在领取成交通知书时书面递交。
三、竞价准则
1、福建盛鑫招标代理有限公司将采购单位提出的采购需求在中国政府采购网
(http://www.ccgp.gov.cn/)和福建盛鑫招标代理有限公司网站(http://www.fjsxzb.com)上公告两个工作日。网上竞价的报价时限为竞价截止时间前,在报价时限截止前,符合采购需求的潜在供应商通过福建盛鑫招标代理有限公司网站进行竞价,供应商提交的报价必须低于公告最高限价的3%(不含)以上,否则,视为无效报价。
2、竞价结果在提交的报价文件全部满足竞价文件要求的前提下依据统一的价格要素评定最低报价, 按价格最低者成交(报价相同者以时间先后顺序确定)确认。
3、报价人应遵守《政府采购法》及有关政府采购相关法规,若报价人违反规定,将按有关规定处理。
四、竞价结果确认
网上竞价公告期满,福建盛鑫招标代理有限公司应以成交结果通知书等方式书面通知采
购单位。同时将中标、成交结果信息在中国政府采购网和福建盛鑫招标代理有限公司网站上公告,采购结果公告时间为一个工作日。
五、竞价保证金
1、竞价人须提交网上竞价保证金叁仟元,各竞价人应于报价截止时间前将保证金汇达福建盛鑫招标代理有限公司指定账户。
⑴保证金为竞价响应文件的组成部分之一;
⑵保证金用于保护本次竞价免受竞价人的行为而引起的风险;
⑶保证金应以银行转账或电汇的形式提交,不接受现金形式提交;
⑷未按规定提交竞价保证金的报价,其报价将被视为无效;
⑸未成交的竞价人的保证金,在竞价结束后五个工作日内予以无息退还;
⑹成交竞价人的竞价保证金,在交货验收后,向福建盛鑫招标代理有限公司提供政府采购合同及采购人验收凭证,以原提交方式予以无息退还;
⑺竞价人在报价截止时间后,要求撤回或不按规定日期签订服务合同的,其保证金将不予退还。
2、无论报价过程中的做法和结果如何,竞价人自行承担所有参与报价的全部有关费用。
3、上述技术规格及要求中所发生的一切费用均包含在报价价格中。
六.招标代理服务费
按国家计委关于印发《招标代理服务收费管理暂行办法》的通知(计价格[2002]1980号)规定标准及与采购人签定的委托协议,向中标人收取招标代理服务费。
七、其它要求
1、竞价人应根据网上竞价招标文件的技术服务要求条款,在竞价响应文件中详细说明所提供服务的技术规格和参数、作业时间等。
2、竞价包含服务开始直至经采购方验收合格并交付使用所有可能发生的费用,包括清洗费、人工费、税收等费用。
3、服务地点、作业时间以竞价一览表中的为准,竞价一览表中未体现的,则在供货通知送达后,按用户指定时间为准。
4、参与竞价的供应商必须保证所提供的全部资料的真实性及准确性,竞价方若提供虚假资料获得中标(成交),将取消成交资格,没收所有保证金,并按照相关法律予以处理。
八、网上竞价结果无效的处理
为保证竞价采购竞争更加充分,防止垄断价格及货源(服务)、排斥竞争的行为,在网上竞价采购过程中,供应商、采购单位有下列情形之一的,经查实,竞价结果无效,责令采购单位限期改正,并对采购单位予以警告;对供应商列入不良行为记录名单,并在一年内禁止参加网上竞价采购活动:
(1)参与竞价的投标供应商采取串标、围标等手段谋取中标的;
(2)参与竞价的供应商与采购单位串通,采取不正当手段排挤其他供应商的;
(3)参与竞价的供应商采用厂商报备等做法,垄断价格、货源的;
(4)参与竞价的供应商提供虚假材料谋取中标、成交的。
采购单位要加强对竞价采购工作的管理,特别是在采购需求制定、合同签订、验收付款等环节,杜绝提出倾向性采购需求、指定特定供应商、无正当理由拒签采购合同、设定高技术配置需求而降低实物验收标准及不按竞价文件设定的条款擅自提高验收标准等行为。
供应商参与网上竞价项目应当遵循诚实信用原则,所投设备均应当为市场的主流设备,供应商中标后无正当理由不与采购单位签订采购合同或拒绝履行合同义务的,福建盛鑫招标代理有限公司将不予退还其缴纳的竞价保证金;情节严重的,将报由监管部门进行处理。
福建盛鑫招标代理有限公司
2020年9月28日
福州市审计局关于网络信息安全的服务需求
技术参数及要求:(一)项目目标
为保障福州市审计局信息系统安全,全面发现信息系统中存在的安全隐患,并定期进行安全培训与应急演练,全面提高信息系统安全性及相关技术人员安全意识与技术水平。
(二)项目服务期限
服务期限为自合同签订之日起一年。
(三)安全服务对象与范围
福州市审计局业务系统安全服务范围如下:
(四)安全服务概述
(五)安全服务内容
1.安全检测服务
云应用安全漏洞扫描服务为目标系统提供全方位的安全漏洞及安全隐患检查,从攻击者视角审查目标系统的脆弱性状况,包括网络漏洞、应用漏洞。
通过使用自动化安全漏洞挖掘工具和在线检测平台,以基于现场检测的方式,来测试和识别应用当前的安全漏洞和存在的安全脆弱性,从而帮忙客户全面了解和掌控其应用系统的安全状况。
云应用安全漏洞验证服务对已经发现的安全问题进行人工验证,以判断应用当前的漏洞是否真实有利用,剔除误报干扰。
云主机系统漏洞扫描服务针对云主机系统进行漏洞扫描、端口扫描、弱口令扫描等,覆盖系统的补丁、服务的开放性及安全研究机构发现的系统问题等,发现系统本身的各种问题。
云主机系统配置核查服务针对云主机系统进行配置核查,覆盖系统管理方面和安全加强方面的问题,用于识别由于系统管理员本身的管理不善而带来的安全性问题。
云主机中间件安全评估服务针对Apache/IIS/Tomcat/Weblogic等Web应用服务器(中间件),从协议安全、交易完整性、数据完整性等方面进行识别和评估,评估脆弱性和风险。
数据库系统安全评估服务结合工具检测和人工安全审查方式来挖掘数据库系统的脆弱性和安全性问题,主要评估系统安全漏洞、安全配置不正确带来的安全威胁以及由于系统账号、权限等配置不严谨而产生的安全风险。帮助用户及早发现数据库系统存在的风险,避免造成敏感信息泄漏的后果。
2.安全加固服务
云应用安全漏洞加固建议针对云应用安全漏洞检测结果,提供专业的安全加固措施指导建议,帮助客户解决当前应用系统存在的安全问题。
云主机系统补丁加固服务a)部署Windows及Linux补丁更新服务器,系统可以通过云服务器的统一更新地址,手动或自动确认下载包括安全补丁在内的更新程序。
b)部署FTP或文件共享,把高危和紧急的安全补丁另外存放,便于系统快速修复安全漏洞。
云主机系统配置加固服务通过对云主机进行检查和扫描,掌控服务器当前存在的安全问题。
通过对系统层漏洞检测结果的分析,对在检测中发现的系统安全问题进行安全加固,提高系统的整体安全性能。
对云主机进行清理、加固和配置,确保服务器无高风险漏洞且符合等级保护的基本要求。
云主机中间件配置加固建议针对Apache/IIS/Tomcat/Weblogic等Web应用服务器(中间件),从协议安全、交易完整性、数据完整性等方面进行识别,并提供配置加固与优化建议。
数据库安全配置加固建议提供数据库安全加固建议,包括最大程度降低数据库系统(SQL Server,Oracle等)本身的漏洞风险、纠正数据库系统使用中构成安全威胁的错误策略、加强数据库系统账号、密钥、权限等带有安全风险的配置,从整体上提升数据库系统的安全性。
3.安全培训服务
安全意识培训服务:提供现场培训服务,培训内容包含但不限于以下方面:安全标准、政策法规解读,信息安全意识、信息安全发展方向,周期性安全服务报告解读,可定制培训内容。
安全技术培训服务:提供现场培训服务,培训内容包含但不限于以下方面:应用系统安全防护、等保安全建设、网络安全技术攻防、无线网络安全防护等,可定制培训内容。
4.应急预案预应急演练服务
为保障市审计局应用系统的安全,预防和遏制应用系统突发事件的发生,减轻和消除突发事件造成的危害和影响,结合市审计局日常工作情况,制定安全应急处置预案并举行安全应急演练。
5.安全咨询与应急响应服务
远程安全咨询服务故障时能立即以电话咨询或远程维护方式与承担服务单位联系,服务提供商应立即给予技术协助,提供7×24小时服务支持。
现场应急响应服务当单位网络和信息系统遇到黑客攻击或网页篡改等恶性事件,并且远程支持无法解决时,将在2小时内到达现场,实施最有效的紧急救援及恢复补救方案。
技术服务能力要求 投标人或所投安全服务商提供的Web代码安全检查工具(系统)能够对web源代码进行扫描,检查代码中的网页木马,网页挂马以及网页暗链。须提供服务工具功能截图证明。 投标人或所投安全服务商提供的服务工具能够实现云主机配置变更监控服务:实现主机安全配置核查和变更状态监控,关键服务器的安全配置一旦发生变化,能实时监测配置变更情况进行告警。须提供服务工具功能截图证明。 投标人或所投安全服务商所采用的云主机安全监控系统能够监控网页木马(webshell),提供截图;投标人或所投安全服务商的演示者通过模拟黑客利用漏洞入侵应用系统,进行植入网页木马(webshell)等入侵行为,云主机安全监控系统应能够在60秒内发现网页木马并生成相关的告警,并能够查看告警信息和对应的敏感文件内容。投标人或所投安全服务商提供功能截图并通过U盘提供操作过程的屏幕录像(录像时长不少于3分钟)。 投标人或所投安全服务商所采用的云主机安全监控系统对主机进行安全监控,能够监控黑客入侵过程中修改系统账号、创建敏感文件、植入后门等行为,投标人或所投安全服务商提供包括账号口令、权限控制、敏感文件、可疑后门等黑客入侵痕迹监测功能截图。投标人或所投安全服务商的演示者通过模拟黑客利用系统漏洞,向被监控的应用系统主机添加隐藏账号,云主机安全监控系统应能在60秒内生成相关的告警,并能够查看告警信息和对应的黑客添加的系统账号名称。投标人或所投安全服务商提供功能截图并通过U盘提供操作过程的屏幕录像(录像时长不少于3分钟)。 投标人或所投安全服务商所采用的主机安全监控系统服务工具能够提供检查和管理功能,对常见的系统共享配置、帐号等默认策略进行检测和管理等功能截图。投标人或所投安全服务商的演示者通过模拟黑客利用系统漏洞,向被监控的应用系统主机更改主机系统安全审计策略(例如:审核帐号管理),主机安全监控系统应能在60秒内生成相关的告警,并能够查看告警信息和对应的策略。提供功能截图并通过光盘/U盘提供虚拟机环境下的录屏演示(录像时长不少于3分钟)。 投标人或所投安全服务商所采用的等级保护综合管理系统服务工具能提供云平台安全资产等保合规状态管理服务,对等级保护定级范围内的安全设备和核心资产进行等保安全合规状态管理。需提供安全资产(如安全设备等)的管理界面截图,并在管理界面上直接反应资产的安全等级状态、等保安全指标差距情况、测评状态等安全指标功能截图。 投标人或所投安全服务商应具备足够的信息安全服务技术实力,需获得中国信息安全测评中心颁发的信息安全服务资质证书(安全工程类二级及以上)和(风险评估二级及以上),并获得中国网络安全审查技术与认证中心颁发的信息安全服务资质(安全运维二级及以上),获得福建省网络与信息安全信息通报中心技术支撑单位聘书。 为保障服务质量,投标人或所投安全服务商投入项目的安全服务人员需至少两名具备国家信息安全测评中心认证的注册信息安全专业人员(CISP)证书,需提供相关证书复印件。注:
1、不满足上述中任一项要求的,属重大偏离,为无效投标。
2、项目实施过程中不满足上述要求的,视为验收不合格,采购单位有权解除合同,并取消中标供应商的中标资格。
四、预算金额:
预算金额:6.5000000 万元(人民币)
项目名称:福州市审计局网络信息安全服务采购项目
项目编号:FJSXWS2020036
项目联系方式:
项目联系人:小潘
项目联系电话:0591-87600110
采购单位联系方式:
采购单位:福州市审计局
采购单位地址:福州市审计局
采购单位联系方式:郑先生 13950410680
代理机构联系方式:
代理机构:福建盛鑫招标代理有限公司
代理机构联系人:小潘0591-87600110
代理机构地址: 福建盛鑫招标代理有限公司
一、采购项目内容
网络信息安全服务
二、开标时间:2020年09月30日 11:00
三、其它补充事宜
第一部分 邀请函
一、网上竞价邀请函
受福州市审计局委托,福建盛鑫招标代理有限公司采用网上竞价采购方式组织实施本次服务的采购,现邀请合格的供应商参加网上竞价。
1. 竞价编号:FJSXWS2020036
2. 项目名称:福州市审计局网络信息安全服务采购项目
3. 服务名称、服务期限及主要技术规格详见“竞价服务一览表”
4.报名起止时间:2020年9月28日9:00始-2019年9月29日17:00
5.竞价文件上传时间:2020年9月30日11:00之前,开标时间:2020年9月30日11:00。
6.网上竞价招标文件售价为50元,售后不退。
7.以上如有变更,福建盛鑫招标代理有限公司会通过中国政府采购网
(http://www.ccgp.gov.cn/)和福建盛鑫招标代理有限公司网站(http://www.fjsxzb.com)通知,请各潜在供应商关注。
招标代理机构:福建盛鑫招标代理有限公司
地 址:福州市鼓楼区鼓东街道湖东路79号外运大厦七层
邮 编:350003
电 话:0591-87600110
传 真:0591-87600010
联系人:小潘
电子信箱:fjsxzb@163.com
开户名:福建盛鑫招标代理有限公司
开户行:中信银行福州分行
账 号:7341 0101 826 0022 7015
二、竞价服务一览表
单位:元
| 合同包 | 品目号 | 货物名称 | 技术参数及服务要求 | 数量 | 竞价最高限价单价 | 竞价最高限价总价 |
| 1 | 1 | 网络信息安全服务 | 详见附件 | 1 | 65000 | 65000 |
| 合计:人民币(大写)陆万伍仟元整(¥65000.00) | ||||||
| 备注: 服务期限为自合同签订之日起一年。 付款方式:签订合同后十五个工作日内付中标金额的80%,一年服务期满验收合格后付20%。 | ||||||
第二部分 竞价须知
一、合格的竞价供应商
1、凡有能力提供本招标文件所述服务,具备相关法律法规、行政规章条例和本招标文件中规定的参加采购活动应当具备的条件的境内法人均可能成为合格的投标人。
2、竞价供应商必须符合《中华人民共和国政府采购法》第22条之规定条件。
二、报名须知
1、报价人对每个项目合同包报名时都必须扫描上传合格有效的法人营业执照(三证合一)、报价代表人的法定代表人授权书(以上文件均需加盖公章)。
2、在网上竞价公告截止时间前电子报价文件应按福建盛鑫招标代理有限公司后台要求的竞价文件的报价格式填写完整,并按网上报价要求上传相关材料,未按此要求的,将被视为无效报价文件。电子报价文档具法律效力。
在网上竞价公告截止时间前电子报价文件内容可多次补充、修改,以最后一次生成为准。
3、报价人报价的货物必须符合网上竞价公告的要求,并严格按照网上竞价要求在报价文件的“报价一览表”中对服务要求作出明确、具体的确定性说明,带有范围值的参数必须写明实际投标数值,不接受可选性报价(如详细配置有“可选购、大于、小于、优于”等描述都将视为无效报价),若照抄竞价文件技术要求,出现可选性报价,或经相关比对发现其描述与实际有不符或出入的,一经查实,将视为弄虚作假,其竞价无效。
4、报价文件应包括以下内容
报价书、竞价承诺书、报价一览表、服务说明一览表、报价人声明(附资格证明文件:法人营业执照(三证合一)、法人授权委托书、网上报价承诺书)、报价人提交的其它资料、成交服务费承诺书。
5、成交人的纸质报价文件应按后台要求的报价格式填写制作完整,并加盖报价单位公章和法定代表人(或授权代表)签字,整本报价文件须加盖骑缝章,在领取成交通知书时书面递交。
三、竞价准则
1、福建盛鑫招标代理有限公司将采购单位提出的采购需求在中国政府采购网
(http://www.ccgp.gov.cn/)和福建盛鑫招标代理有限公司网站(http://www.fjsxzb.com)上公告两个工作日。网上竞价的报价时限为竞价截止时间前,在报价时限截止前,符合采购需求的潜在供应商通过福建盛鑫招标代理有限公司网站进行竞价,供应商提交的报价必须低于公告最高限价的3%(不含)以上,否则,视为无效报价。
2、竞价结果在提交的报价文件全部满足竞价文件要求的前提下依据统一的价格要素评定最低报价, 按价格最低者成交(报价相同者以时间先后顺序确定)确认。
3、报价人应遵守《政府采购法》及有关政府采购相关法规,若报价人违反规定,将按有关规定处理。
四、竞价结果确认
网上竞价公告期满,福建盛鑫招标代理有限公司应以成交结果通知书等方式书面通知采
购单位。同时将中标、成交结果信息在中国政府采购网和福建盛鑫招标代理有限公司网站上公告,采购结果公告时间为一个工作日。
五、竞价保证金
1、竞价人须提交网上竞价保证金叁仟元,各竞价人应于报价截止时间前将保证金汇达福建盛鑫招标代理有限公司指定账户。
⑴保证金为竞价响应文件的组成部分之一;
⑵保证金用于保护本次竞价免受竞价人的行为而引起的风险;
⑶保证金应以银行转账或电汇的形式提交,不接受现金形式提交;
⑷未按规定提交竞价保证金的报价,其报价将被视为无效;
⑸未成交的竞价人的保证金,在竞价结束后五个工作日内予以无息退还;
⑹成交竞价人的竞价保证金,在交货验收后,向福建盛鑫招标代理有限公司提供政府采购合同及采购人验收凭证,以原提交方式予以无息退还;
⑺竞价人在报价截止时间后,要求撤回或不按规定日期签订服务合同的,其保证金将不予退还。
2、无论报价过程中的做法和结果如何,竞价人自行承担所有参与报价的全部有关费用。
3、上述技术规格及要求中所发生的一切费用均包含在报价价格中。
六.招标代理服务费
按国家计委关于印发《招标代理服务收费管理暂行办法》的通知(计价格[2002]1980号)规定标准及与采购人签定的委托协议,向中标人收取招标代理服务费。
七、其它要求
1、竞价人应根据网上竞价招标文件的技术服务要求条款,在竞价响应文件中详细说明所提供服务的技术规格和参数、作业时间等。
2、竞价包含服务开始直至经采购方验收合格并交付使用所有可能发生的费用,包括清洗费、人工费、税收等费用。
3、服务地点、作业时间以竞价一览表中的为准,竞价一览表中未体现的,则在供货通知送达后,按用户指定时间为准。
4、参与竞价的供应商必须保证所提供的全部资料的真实性及准确性,竞价方若提供虚假资料获得中标(成交),将取消成交资格,没收所有保证金,并按照相关法律予以处理。
八、网上竞价结果无效的处理
为保证竞价采购竞争更加充分,防止垄断价格及货源(服务)、排斥竞争的行为,在网上竞价采购过程中,供应商、采购单位有下列情形之一的,经查实,竞价结果无效,责令采购单位限期改正,并对采购单位予以警告;对供应商列入不良行为记录名单,并在一年内禁止参加网上竞价采购活动:
(1)参与竞价的投标供应商采取串标、围标等手段谋取中标的;
(2)参与竞价的供应商与采购单位串通,采取不正当手段排挤其他供应商的;
(3)参与竞价的供应商采用厂商报备等做法,垄断价格、货源的;
(4)参与竞价的供应商提供虚假材料谋取中标、成交的。
采购单位要加强对竞价采购工作的管理,特别是在采购需求制定、合同签订、验收付款等环节,杜绝提出倾向性采购需求、指定特定供应商、无正当理由拒签采购合同、设定高技术配置需求而降低实物验收标准及不按竞价文件设定的条款擅自提高验收标准等行为。
供应商参与网上竞价项目应当遵循诚实信用原则,所投设备均应当为市场的主流设备,供应商中标后无正当理由不与采购单位签订采购合同或拒绝履行合同义务的,福建盛鑫招标代理有限公司将不予退还其缴纳的竞价保证金;情节严重的,将报由监管部门进行处理。
福建盛鑫招标代理有限公司
2020年9月28日
福州市审计局关于网络信息安全的服务需求
技术参数及要求:(一)项目目标
为保障福州市审计局信息系统安全,全面发现信息系统中存在的安全隐患,并定期进行安全培训与应急演练,全面提高信息系统安全性及相关技术人员安全意识与技术水平。
(二)项目服务期限
服务期限为自合同签订之日起一年。
(三)安全服务对象与范围
福州市审计局业务系统安全服务范围如下:
| 序号 | 系统名称 | 所属网络 | 服务器数量(台) | 部署位置 | 备注 |
| 1 | 审计管理系统 | 政务外网 | 6 | 云平台 | |
| 2 | 联网审计系统 | 政务信息网 | 3 | 云平台 | |
(四)安全服务概述
| 序号 | 服务项目 | 服务内容 | 交付成果 | 服务频率 |
| 1 | 安全检测服务 | 云应用安全漏洞扫描 云应用安全漏洞验证 云主机系统漏洞扫描服务 云主机系统配置核查服务 云主机中间件安全评估服务 数据库系统安全评估服务 | 《安全检测报告》 | 1次/年 |
| 2 | 安全加固服务 | 1)云应用安全漏洞加固建议 2)云主机系统补丁加固服务 3)云主机系统配置加固服务 4)云主机中间件配置加固建议 5)数据库安全配置加固建议 | 《安全加固报告》 | 1次/年 |
| 3 | 安全培训服务 | 定期举行网络安全与安全技术培训。 | 《安全培训.PPT》 | 1次/年 |
| 4 | 应急预案与应急演练服务 | 设计应急预案、应急演练流程及相关演练规范,并针对市审计局根据应急演练预案开展黑客攻击业务系统应急演练,提交应急演练过程记录模板 | 《应急预案》、《应急演练报告》 | 1次/年 |
| 5 | 安全咨询与应急响应服务 | 专业的安全咨询顾问团队,本地化的应急响应专家队伍。 1)7*24小时的远程安全咨询; 2)市区2小时现场紧急救援服务; | 《安全应急响应报告》(若发生安全事件发生时提交) | 全年 |
(五)安全服务内容
1.安全检测服务
云应用安全漏洞扫描服务为目标系统提供全方位的安全漏洞及安全隐患检查,从攻击者视角审查目标系统的脆弱性状况,包括网络漏洞、应用漏洞。
通过使用自动化安全漏洞挖掘工具和在线检测平台,以基于现场检测的方式,来测试和识别应用当前的安全漏洞和存在的安全脆弱性,从而帮忙客户全面了解和掌控其应用系统的安全状况。
云应用安全漏洞验证服务对已经发现的安全问题进行人工验证,以判断应用当前的漏洞是否真实有利用,剔除误报干扰。
云主机系统漏洞扫描服务针对云主机系统进行漏洞扫描、端口扫描、弱口令扫描等,覆盖系统的补丁、服务的开放性及安全研究机构发现的系统问题等,发现系统本身的各种问题。
云主机系统配置核查服务针对云主机系统进行配置核查,覆盖系统管理方面和安全加强方面的问题,用于识别由于系统管理员本身的管理不善而带来的安全性问题。
云主机中间件安全评估服务针对Apache/IIS/Tomcat/Weblogic等Web应用服务器(中间件),从协议安全、交易完整性、数据完整性等方面进行识别和评估,评估脆弱性和风险。
数据库系统安全评估服务结合工具检测和人工安全审查方式来挖掘数据库系统的脆弱性和安全性问题,主要评估系统安全漏洞、安全配置不正确带来的安全威胁以及由于系统账号、权限等配置不严谨而产生的安全风险。帮助用户及早发现数据库系统存在的风险,避免造成敏感信息泄漏的后果。
2.安全加固服务
云应用安全漏洞加固建议针对云应用安全漏洞检测结果,提供专业的安全加固措施指导建议,帮助客户解决当前应用系统存在的安全问题。
云主机系统补丁加固服务a)部署Windows及Linux补丁更新服务器,系统可以通过云服务器的统一更新地址,手动或自动确认下载包括安全补丁在内的更新程序。
b)部署FTP或文件共享,把高危和紧急的安全补丁另外存放,便于系统快速修复安全漏洞。
云主机系统配置加固服务通过对云主机进行检查和扫描,掌控服务器当前存在的安全问题。
通过对系统层漏洞检测结果的分析,对在检测中发现的系统安全问题进行安全加固,提高系统的整体安全性能。
对云主机进行清理、加固和配置,确保服务器无高风险漏洞且符合等级保护的基本要求。
云主机中间件配置加固建议针对Apache/IIS/Tomcat/Weblogic等Web应用服务器(中间件),从协议安全、交易完整性、数据完整性等方面进行识别,并提供配置加固与优化建议。
数据库安全配置加固建议提供数据库安全加固建议,包括最大程度降低数据库系统(SQL Server,Oracle等)本身的漏洞风险、纠正数据库系统使用中构成安全威胁的错误策略、加强数据库系统账号、密钥、权限等带有安全风险的配置,从整体上提升数据库系统的安全性。
3.安全培训服务
安全意识培训服务:提供现场培训服务,培训内容包含但不限于以下方面:安全标准、政策法规解读,信息安全意识、信息安全发展方向,周期性安全服务报告解读,可定制培训内容。
安全技术培训服务:提供现场培训服务,培训内容包含但不限于以下方面:应用系统安全防护、等保安全建设、网络安全技术攻防、无线网络安全防护等,可定制培训内容。
4.应急预案预应急演练服务
为保障市审计局应用系统的安全,预防和遏制应用系统突发事件的发生,减轻和消除突发事件造成的危害和影响,结合市审计局日常工作情况,制定安全应急处置预案并举行安全应急演练。
5.安全咨询与应急响应服务
远程安全咨询服务故障时能立即以电话咨询或远程维护方式与承担服务单位联系,服务提供商应立即给予技术协助,提供7×24小时服务支持。
现场应急响应服务当单位网络和信息系统遇到黑客攻击或网页篡改等恶性事件,并且远程支持无法解决时,将在2小时内到达现场,实施最有效的紧急救援及恢复补救方案。
技术服务能力要求 投标人或所投安全服务商提供的Web代码安全检查工具(系统)能够对web源代码进行扫描,检查代码中的网页木马,网页挂马以及网页暗链。须提供服务工具功能截图证明。 投标人或所投安全服务商提供的服务工具能够实现云主机配置变更监控服务:实现主机安全配置核查和变更状态监控,关键服务器的安全配置一旦发生变化,能实时监测配置变更情况进行告警。须提供服务工具功能截图证明。 投标人或所投安全服务商所采用的云主机安全监控系统能够监控网页木马(webshell),提供截图;投标人或所投安全服务商的演示者通过模拟黑客利用漏洞入侵应用系统,进行植入网页木马(webshell)等入侵行为,云主机安全监控系统应能够在60秒内发现网页木马并生成相关的告警,并能够查看告警信息和对应的敏感文件内容。投标人或所投安全服务商提供功能截图并通过U盘提供操作过程的屏幕录像(录像时长不少于3分钟)。 投标人或所投安全服务商所采用的云主机安全监控系统对主机进行安全监控,能够监控黑客入侵过程中修改系统账号、创建敏感文件、植入后门等行为,投标人或所投安全服务商提供包括账号口令、权限控制、敏感文件、可疑后门等黑客入侵痕迹监测功能截图。投标人或所投安全服务商的演示者通过模拟黑客利用系统漏洞,向被监控的应用系统主机添加隐藏账号,云主机安全监控系统应能在60秒内生成相关的告警,并能够查看告警信息和对应的黑客添加的系统账号名称。投标人或所投安全服务商提供功能截图并通过U盘提供操作过程的屏幕录像(录像时长不少于3分钟)。 投标人或所投安全服务商所采用的主机安全监控系统服务工具能够提供检查和管理功能,对常见的系统共享配置、帐号等默认策略进行检测和管理等功能截图。投标人或所投安全服务商的演示者通过模拟黑客利用系统漏洞,向被监控的应用系统主机更改主机系统安全审计策略(例如:审核帐号管理),主机安全监控系统应能在60秒内生成相关的告警,并能够查看告警信息和对应的策略。提供功能截图并通过光盘/U盘提供虚拟机环境下的录屏演示(录像时长不少于3分钟)。 投标人或所投安全服务商所采用的等级保护综合管理系统服务工具能提供云平台安全资产等保合规状态管理服务,对等级保护定级范围内的安全设备和核心资产进行等保安全合规状态管理。需提供安全资产(如安全设备等)的管理界面截图,并在管理界面上直接反应资产的安全等级状态、等保安全指标差距情况、测评状态等安全指标功能截图。 投标人或所投安全服务商应具备足够的信息安全服务技术实力,需获得中国信息安全测评中心颁发的信息安全服务资质证书(安全工程类二级及以上)和(风险评估二级及以上),并获得中国网络安全审查技术与认证中心颁发的信息安全服务资质(安全运维二级及以上),获得福建省网络与信息安全信息通报中心技术支撑单位聘书。 为保障服务质量,投标人或所投安全服务商投入项目的安全服务人员需至少两名具备国家信息安全测评中心认证的注册信息安全专业人员(CISP)证书,需提供相关证书复印件。注:
1、不满足上述中任一项要求的,属重大偏离,为无效投标。
2、项目实施过程中不满足上述要求的,视为验收不合格,采购单位有权解除合同,并取消中标供应商的中标资格。
四、预算金额:
预算金额:6.5000000 万元(人民币)
解决方案
联系我们
返回顶部