招标
四川大学2021年网络安全保障服务(ZBZXFB2021006)采购公告
金额
47万元
项目地址
四川省
发布时间
2021/06/15
公告摘要
公告正文
项目名称:四川大学2021年网络安全保障服务
项目编号:ZBZXFB2021006
采购单位:四川大学
联系人: 中标后在我参与的项目中查看
联系电话:中标后在我参与的项目中查看
签约时间要求:
到货时间要求:
预算总价:470000
收货地址:
供应商资质要求:符合《政府采购法》第二十二条规定的供应商基本条件
采购商品:四川大学2021年网络安全保障服务
采购数量:1
计量单位:项
预算单价:470000
技术参数及配置要求:1.安全评估和漏洞验证服务。通过对全校提供服务的Web资产进行全面梳理,包括存活IP、开放端口、开放服务及版本、操作系统类型及版本、中间件类型及版本等信息,确定资产范围,形成Web资产梳理清单台账。针对现有网站及应用系统做主机与Web层面的全面漏洞扫描评估。服务期内针对保障对象不限制扫描次数,扫描后通过人工漏洞验证后,形成漏洞评估报告(每次)。针对核心服务器、安全设备、网络设备配置实施配置核查,形成配置核查评估报告,服务期内针对保障对象不限制核查数量。
2.互联网敏感信息安全监控。通过自动化的方式,融合渗透攻防经验,获取四川大学暴露在互联网中的敏感信息,帮助学校摸底资产暴露情况,发现未知资产,排查敏感信息泄露,减小威胁暴露面,服务周期为1年。形成互联网敏感信息检测报告(每日、每周、每月、整个服务期)。
3.安全设备巡检与优化服务
(1)安全设备拓扑梳理、优化和策略规划。
(2)日志完备性检查,IP溯源检查。
(3)对学校所有安全设备提供巡检服务,通过人工检查、测试等方式,对学校WAF、IPS等安全设备策略有效性进行评估,对IPS等设备攻击进行验证,并协助优化、调整策略,提供协助整改服务。
(4)日常运维方案、应急预案制定(以正式文档形式提交)。
4.Web资产安全加固。针对前述Web资产梳理、安全扫描、安全评估、渗透测试等发现的各类安全风险和权威机构发布的重大安全漏洞、危险,从管理和技术等角度制定有针对性的整改和加固方案;对存在中、高风险级别以上的Web资产,协助实施安全加固,提高Web资产安全级别,最大程度的避免、降低各类安全事件的出现,保障Web资产的安全、稳定运行,安全加固服务结束后形成《XX安全加固建议方案》(每次),并进行相关安全漏洞的复测。
5.网站和信息系统安全监控。实现7*24小时远程服务,提供至少1人的(7*8小时)的驻场服务(驻场工程师须经过信息化建设与管理办公室面试合格),对四川大学所属校内不低于800个网站和信息系统需实施监测页面的可用性、挂马、黑链、篡改、敏感内容监测保障,服务周期为1年。形成安全监测报告(每日、每周、每月、整个服务期)。
6.现场值守。服务期内提供至少4人的(7*8小时)现场值守,特殊时期根据用户方需求提供(7*24小时)现场值守。通过安全检测对学校网络安全状况进行安全威胁分析,主动发现潜在未知网络威胁,对我校Web资产进行安全策略优化和网络安全风险检查,协助我校对Web资产进行安全加固。监控设备CPU使用率、内存占用率、接口流量、接口工作状态、硬盘使用情况等设备监控相关的基本参数监控。对安全设备告警信息进行分析(包含拒绝服务攻击、网络病毒爆发、漏洞远程利用、恶意代码传递等高危时间告警信息),同时提供对攻击行为的告警与拦截,帮助学校抵御网络攻击与渗透,保护学校的重要资产信息与基础设施免遭窃取与破坏,形成值守报告(每日、每周、整个服务期)。
7.应急响应。当我校出现突发紧急事件(病毒爆发、严重攻击、信息外泄、网络入侵等等)时,通过应急响应服务,及时采取行动限制事件扩散和影响的范围,限制潜在的损失与破坏服务,将损失最小化。服务提供方协助学校检查所有受影响的系统,在准确判断安全事件原因的基础上,提出基于安全事件整体安全解决方案,排除系统安全风险并协助追查事件来源、提出解决方案、协助后续处置。服务提供方派遣安全专家0.5个小时内到达我校现场,2小时内解决问题,形成应急响应报告(每事件)。服务期内提供应急响应服务,不限制响应次数。
8.应急演练。为保障四川大学重要网站和信息系统的安全稳定运行,提高在遇到突发事件时的可用性和业务连续性,根据我校的网络环境,服务提供方至少组织一次教育部要求的网络安全应急演练工作(攻防对抗等形式),通过应急演练工作验证应急流程的经济性、合理性和可操作性,评估各方面人员应对安全突发事件的组织指挥能力和应急处置能力,提高应急人员应急工作熟练程度,进一步明确相关机构和人员的职责,提升全员安全意识。 形成应急演练报告,并对应急预案进行更新。
9.网络安全检查
根据上级单位网络安全检查或抽查相关要求,综合利用Web资产发现、漏洞扫描、基线核查、渗透测试等技术手段制定详细严密的工作计划,安排网络安全专家开展全面的安全自查和整改工作,确保顺利通过上级单位和监管机构的安全检查,形成检查报告(每次)。
(1)上级单位网络安全抽查
根据上级单位网络安全检查相关要求,综合利用Web资产发现、漏洞扫描、基线核查、渗透测试、红队评估等技术手段开展全面的安全自查和整改工作。
(2)上级单位护网行动专项检查
完成上级单位网络安全检查或抽查(包含护网行动),提供必要的安全技术和安全专家支持整理保障工作中的案例和思路,帮助学校抵御网络攻击与渗透,保护学校的重要资产信息与基础设施免遭窃取与破坏,输出安全保障工作的典型经验,进行保障工作汇报并进行经验分享,对暴露出的安全问题给出能力提升指导建议。
10.安全培训。为提高学校老师专业安全能力,至少为学校提供不少于2次的本地安全培训,包括不仅限于安全意识培训、安全技能培训(渗透测试方法、常用的防护手段、攻防培训等)。
11.保障服务完成后,汇总形成整个网络安全保障服务报告。
12.本次网络安全保障服务范围包括但不仅限于上述内容。
本次服务要求具体详见:《四川大学2021年网络安全保障服务采购项目招标文件》
详情请访问原网页!
项目编号:ZBZXFB2021006
采购单位:四川大学
联系人: 中标后在我参与的项目中查看
联系电话:中标后在我参与的项目中查看
签约时间要求:
到货时间要求:
预算总价:470000
收货地址:
供应商资质要求:符合《政府采购法》第二十二条规定的供应商基本条件
采购商品:四川大学2021年网络安全保障服务
采购数量:1
计量单位:项
预算单价:470000
技术参数及配置要求:1.安全评估和漏洞验证服务。通过对全校提供服务的Web资产进行全面梳理,包括存活IP、开放端口、开放服务及版本、操作系统类型及版本、中间件类型及版本等信息,确定资产范围,形成Web资产梳理清单台账。针对现有网站及应用系统做主机与Web层面的全面漏洞扫描评估。服务期内针对保障对象不限制扫描次数,扫描后通过人工漏洞验证后,形成漏洞评估报告(每次)。针对核心服务器、安全设备、网络设备配置实施配置核查,形成配置核查评估报告,服务期内针对保障对象不限制核查数量。
2.互联网敏感信息安全监控。通过自动化的方式,融合渗透攻防经验,获取四川大学暴露在互联网中的敏感信息,帮助学校摸底资产暴露情况,发现未知资产,排查敏感信息泄露,减小威胁暴露面,服务周期为1年。形成互联网敏感信息检测报告(每日、每周、每月、整个服务期)。
3.安全设备巡检与优化服务
(1)安全设备拓扑梳理、优化和策略规划。
(2)日志完备性检查,IP溯源检查。
(3)对学校所有安全设备提供巡检服务,通过人工检查、测试等方式,对学校WAF、IPS等安全设备策略有效性进行评估,对IPS等设备攻击进行验证,并协助优化、调整策略,提供协助整改服务。
(4)日常运维方案、应急预案制定(以正式文档形式提交)。
4.Web资产安全加固。针对前述Web资产梳理、安全扫描、安全评估、渗透测试等发现的各类安全风险和权威机构发布的重大安全漏洞、危险,从管理和技术等角度制定有针对性的整改和加固方案;对存在中、高风险级别以上的Web资产,协助实施安全加固,提高Web资产安全级别,最大程度的避免、降低各类安全事件的出现,保障Web资产的安全、稳定运行,安全加固服务结束后形成《XX安全加固建议方案》(每次),并进行相关安全漏洞的复测。
5.网站和信息系统安全监控。实现7*24小时远程服务,提供至少1人的(7*8小时)的驻场服务(驻场工程师须经过信息化建设与管理办公室面试合格),对四川大学所属校内不低于800个网站和信息系统需实施监测页面的可用性、挂马、黑链、篡改、敏感内容监测保障,服务周期为1年。形成安全监测报告(每日、每周、每月、整个服务期)。
6.现场值守。服务期内提供至少4人的(7*8小时)现场值守,特殊时期根据用户方需求提供(7*24小时)现场值守。通过安全检测对学校网络安全状况进行安全威胁分析,主动发现潜在未知网络威胁,对我校Web资产进行安全策略优化和网络安全风险检查,协助我校对Web资产进行安全加固。监控设备CPU使用率、内存占用率、接口流量、接口工作状态、硬盘使用情况等设备监控相关的基本参数监控。对安全设备告警信息进行分析(包含拒绝服务攻击、网络病毒爆发、漏洞远程利用、恶意代码传递等高危时间告警信息),同时提供对攻击行为的告警与拦截,帮助学校抵御网络攻击与渗透,保护学校的重要资产信息与基础设施免遭窃取与破坏,形成值守报告(每日、每周、整个服务期)。
7.应急响应。当我校出现突发紧急事件(病毒爆发、严重攻击、信息外泄、网络入侵等等)时,通过应急响应服务,及时采取行动限制事件扩散和影响的范围,限制潜在的损失与破坏服务,将损失最小化。服务提供方协助学校检查所有受影响的系统,在准确判断安全事件原因的基础上,提出基于安全事件整体安全解决方案,排除系统安全风险并协助追查事件来源、提出解决方案、协助后续处置。服务提供方派遣安全专家0.5个小时内到达我校现场,2小时内解决问题,形成应急响应报告(每事件)。服务期内提供应急响应服务,不限制响应次数。
8.应急演练。为保障四川大学重要网站和信息系统的安全稳定运行,提高在遇到突发事件时的可用性和业务连续性,根据我校的网络环境,服务提供方至少组织一次教育部要求的网络安全应急演练工作(攻防对抗等形式),通过应急演练工作验证应急流程的经济性、合理性和可操作性,评估各方面人员应对安全突发事件的组织指挥能力和应急处置能力,提高应急人员应急工作熟练程度,进一步明确相关机构和人员的职责,提升全员安全意识。 形成应急演练报告,并对应急预案进行更新。
9.网络安全检查
根据上级单位网络安全检查或抽查相关要求,综合利用Web资产发现、漏洞扫描、基线核查、渗透测试等技术手段制定详细严密的工作计划,安排网络安全专家开展全面的安全自查和整改工作,确保顺利通过上级单位和监管机构的安全检查,形成检查报告(每次)。
(1)上级单位网络安全抽查
根据上级单位网络安全检查相关要求,综合利用Web资产发现、漏洞扫描、基线核查、渗透测试、红队评估等技术手段开展全面的安全自查和整改工作。
(2)上级单位护网行动专项检查
完成上级单位网络安全检查或抽查(包含护网行动),提供必要的安全技术和安全专家支持整理保障工作中的案例和思路,帮助学校抵御网络攻击与渗透,保护学校的重要资产信息与基础设施免遭窃取与破坏,输出安全保障工作的典型经验,进行保障工作汇报并进行经验分享,对暴露出的安全问题给出能力提升指导建议。
10.安全培训。为提高学校老师专业安全能力,至少为学校提供不少于2次的本地安全培训,包括不仅限于安全意识培训、安全技能培训(渗透测试方法、常用的防护手段、攻防培训等)。
11.保障服务完成后,汇总形成整个网络安全保障服务报告。
12.本次网络安全保障服务范围包括但不仅限于上述内容。
本次服务要求具体详见:《四川大学2021年网络安全保障服务采购项目招标文件》
详情请访问原网页!
解决方案
联系我们
返回顶部