公告摘要
项目编号-
预算金额40万元
招标联系人-
标书截止时间-
投标截止时间-
公告正文
一、功能及要求:
项目概况:
1、项目背景:近年来,随着信息技术的快速发展和融合创新,特别是移动网络、云计算的普遍运用和不断深入,系统、网络、终端的安全问题相互交织、相互影响,使得单位的信息安全面临着前所未有的压力和挑战。网络安全已成为关系国家政治、经济、国防、文化等领域的重大问题,世界各主要国家相继制定和大幅调整了网络安全战略,设立了专门的机构,加大了人员和资金的投入,以维护其核心利益。
随着单位信息化深入建设,在给单位重要系统提供全面信息化支持的同时,所面临的网络安全挑战也更加严峻,特别是《网络安全法》实施以来面临的安全合规和监管压力增强。在国家新型网络空间安全形势和背景下,为了提升单位整体信息安全管理水平和抗风险能力,保障业务持续安全运行,并根据国家标准,结合单位实际情况和需求来进行全面的网络安全服务规划和设计。
2、服务范围:长沙市市场监督管理局银双路机房、竹塘路机房及办公区域。
3、服务期限:合同生效之日起两年。
二、相关标准:
按国家及行业标准执行。
三、技术规格:
服务内容
以采购服务方式由第三方服务供应商提供工具和服务:全面识别现有资产、挖掘内部存在的漏洞、分析内外部潜在威胁、处置发现的安全隐患。清晰掌握自身的安全隐患、明确后期规划建设方向。
1.风险评估服务
通过对重要资产的分级、安全威胁发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等等方面的安全脆弱性的分析,并通过对已有安全控制措施的确认,借助定量、定性分许的方法,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定风险处置计划,确定下一步的安全需求方向,提出有针对性的抵御威胁的防护对策和整改措施,并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而为最大限度地保障网络和信息安全提供科学依据。
2.漏洞扫描服务
通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置,在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,能及时发现系统安全漏洞及时进行修补,能有效避免黑客攻击行为,做到防患于未然。
3.渗透测试服务
通过渗透测试进行非破坏性质的模拟入侵者攻击,获取系统信息并将入侵的过程和细节总结编写成测试报告,由此确定应用系统存在的安全威胁。开展人工渗透测试及工具渗透测试,通过工具、手工交叉方式渗透,查找信息系统存在的脆弱点和安全漏洞,输出扫描报告及修复建议,为长沙市市场监督管理局后续加固、整改,提供情况分析报告。
4.安全监测预警服务
利用专业工具对网站系统进行7X24小时的监控。网站安全监控预警服务是一项安全托管式服务,无需安装任务硬件或软件,无需改变目前的网络部署,无需专门人员进行安全设备维护和日志分析,只需要将需监测的目标网站域名告知服务运营团队并许可监控,即可获得7*24小时的网站安全监控预警服务,对目标网站也不会产生任何影响,快捷方便。
5.应急响应服务
对于突发的安全事件在最短时间内做到应急响应,了解安全事件的基本现象,判断安全事件的原因,进行故障和事件的处理,并针对安全事件形成的破坏做出灾难恢复,在必要的情况下,协助长沙市市场监督管理局进行入侵追踪和犯罪取证。同时加强路长沙市市场监督管理局自身的应急响应能力,包括协助完善应急响应流程和规范,以及协助进行定期的应急安全响应演练等。
安全事件包括:大规模病毒爆发、网络入侵事件、拒绝服务攻击、主机或网络异常事件等。一般现场处理时限如下:
故障类别
故障描述
响应时限
明确处理方案时限
工程师到达现场时限
一级故障
系统宕机,业务系统无法运行
10分钟
30分钟
1小时
二级故障
系统部分损坏,业务系统正常运行但部分功能受到影响
10分钟
1小时
2小时
三级故障
系统有故障预警或隐患,暂时未影响业务系统的正常运行
10分钟
2小时
2小时

注:到达现场时限要求不适用于交通、道路、天气等极端恶劣的不可抗外力影响条件之下。
6.安全培训服务
针对运维人员、安全管理员进行安全意识、安全常识、web构成、常见漏洞、热点0Day事件、入侵流程、恶意软件现象和防御方法培训。针对组织决策者、管理者,工作人员、运维人员和管理员等角色从个人电脑安全、邮件安全、移动安全、日常工作生活等维度进行强化安全意识培训。
7.应急演练服务
根据突发网络安全事件的性质,深度切合单位所面临的实际网络安全问题。为单位提供了全方位,分门别类的演练方案;突发网络安全事件演练解决方案应急演练场景可分为:有害程序事件演练,网络攻击事件演练,信息破坏事件演练,设备实施故障演练和灾害性事件演练。
8.安全检查服务
网络安全检查服务一般适用于公安网监部门、网信部门、行业主管单位、上级单位对所管辖区、行业内的单位进行信息安全检查,检查的范围通常包括本单位各内设机构,以及为本单位信息系统(包括网站系统、平台系统、生产业务系统等)提供运行维护支撑服务的下属单位。可根据本单位网络安全保障工作需要,将其他为本单位信息系统提供运维服务、对本单位信息系统安全可能产生重大影响的相关单位纳入检查范围。通过安全检查找出各信息系统运营单位的系统薄弱环节和安全隐患,分析网络与信息系统面临的风险,评估网络与信息系统的安全状况,进一步强化信息安全意识、规范信息安全管理,督促整改,推动辖区、行业、单位网络安全责任制和防范体系,切实保障各部门、各行业信息系统的安全运行。
9.重大活动安全保障服务
在重大活动期间对客户的互联网业务做好全面的安全防护,确保客户网络具备较强的安全防护能力,建立强壮的安全堡垒,最大程度地减少在重大活动期间被攻破的概率,重大活动期间,在全面防护的同时具备全面的信息安全事件监控预警能力,实时监控安全态势,及时发现攻击行为,实现对网络攻击的实时发现、阻断与防护。
在重大活动期间(如两会、七一建党节、国庆节等重大节日)保障单位的网络安全,一旦发现安全事件进行应急处置。
10.驻场服务
派1名具有丰富工作经验和相关资质技术人员提供现场安全值守服务,签订保密协议、接受管理,并不得随意更换。工作包括且不局限于:日常巡检、故障处理、安全策略优化、安全事件处置等。每日做好记录,每周对重点内容的安全情况做好工作汇总,每月编写安全运维月报。
四、服务清单及要求
序号
名称
服务描述
服务报价(万元)
1
安全风险评估服务
1、资产梳理:安全访谈和调研,梳理信息资产和业务环境状况,针对重要业务系统制定评估详细方案
2、脆弱性评估:通过web扫描,漏洞扫描、基线检查、漏洞验证等手段,识别业务系统安全脆弱性风险。
通过Web扫描器对Web业务系统进行扫描,主要包含如下两大类服务
Web漏洞扫描,覆盖web通用漏洞和常规漏洞。支持SQL注入、XXSS、安全配置错误、已知漏洞组件包含、敏感信息泄露等常见漏洞的检测;
信息泄漏检测,检测网站源码、数据库备份文件、SVN文件、系统重要配置、日志文件向外网泄漏
3、失陷安全检查:通过人工或工具产品检测主机系统上的恶意文件和网络行为判断是主机失陷状态
4
2
漏洞扫描服务
使用系统漏洞扫描工具对 数据库、操作系统、中间件等进行漏洞、端口、弱口令扫描,扫描完成后由技术人员对漏洞进行确认,提出整改建议,协助开发人员整改
2.5
3
渗透测试服务
渗透测试通过模拟黑客思维及行动模式,使用主流的攻击技术对目标网络、系统、数据库进行模拟攻击测试,提前发现系统潜在的各种高危漏洞和脆弱性等。
主要包括:情报搜集、威胁建模、漏洞分析、渗透攻击、后渗透攻击、报告编制
2
4
安全监测预警服务
为用户建立7*24H监测预警机制,并提供:
1.持续评估:资产暴露面、资产异动变化、漏洞脆弱性、紧急0Day漏洞等脆弱性问题;
2.实时监测:页面篡改(监测到一级和二级页面)、黑链、业务可用性、DNS劫持、网页挂马等安全事件;
3.篡改处置:支持快速阻断篡改页面的传播;
4.实时做到对网络流量、互联网出口、政务网出口、专网内自动监测,对断网的情况及时预警与处置。
注:云端安全专家7*24小时值守及应急响应,确保响应的及时性和可靠性。
2
5
应急响应服务
入侵影响抑制:通过事件检测分析,提供抑制手段,降低入侵影响,协助快速恢复业务;入侵威胁清除:排查攻击路径,恶意文件清除;入侵原因分析:还原攻击路径,分析入侵事件原因;加固建议指导:结合现有安全防御体系,开展安全加固、提供整改建议、防止再次入侵。
3
6
安全培训服务
 针对运维人员、安全管理员进行安全意识、安全常识、web构成、常见漏洞、热点0Day事件、入侵流程、恶意软件现象和防御方法培训。针对组织决策者、管理者,工作人员、运维人员和管理员等角色从个人电脑安全、邮件安全、移动安全、日常工作生活等维度进行强化安全意识培训。
0.5
7
应急演练服务
根据突发网络安全事件的性质,深度切合单位单位所面临的实际网络安全问题。为单位提供了全方位,分门别类的演练方案;突发网络安全事件演练解决方案应急演练场景可分为:有害程序事件演练,网络攻击事件演练,信息破坏事件演练,设备实施故障演练和灾害性事件演练。
1.5
8
网络安全检查服务
根据上级和公安、网信等相关安全主管部门的要求开展网络安全检查相关工作等事项。
1
9
安全运营服务
基于人机共智模式,对不同安全设备的安全日志、流量进行关联分析,通过安全专家主动识别网络和主机中的安全威胁,主动响应,协助客户闭环处置安全事件。
4
10
信息安全体系建设
建立健全信息安全管理制度、安全策略制定,形成制度汇编。归集所有安全工作报告,存档建册,做到信息留痕。
0.5
11
重大活动安全保障服务
在重大活动期间对客户的互联网业务做好全面的安全防护,确保客户网络具备较强的安全防护能力,建立强壮的安全堡垒,最大程度地减少在重大活动期间被攻破的概率,重大活动期间,在全面防护的同时具备全面的信息安全事件监控预警能力,实时监控安全态势,及时发现攻击行为,实现对网络攻击的实时发现、阻断与防护。
4
12
新系统上线安全检查服务
对1个新上线的信息系统进行安全检测,包括安全配置核查、漏洞扫描和渗透测试,以找出系统的安全问题。最终形成安全评估报告。并配合采取相关安全措施来控制安全风险
3
13
驻场运维服务
具有多年安全服务经验的工程师参与驻场,保障项目现场处置紧急情况及协助服务团队项目实施工作。
12
合计
40万元/年

四、交付时间和地点:
项目实施时间及地点
1.1 实施时间:自合同签订之日起两年。
1.2 实施地点:长沙市市场监督管理局指定地点
五、服务标准:
服务要求、质量和标准
1.整体项目维护期为两年。
2.系统维护。要求提交以下内容。
      1)定期维护计划。
      2)对采购人不定期维护要求的响应措施。
      3)对用户修改设计要求的响应措施。
3.技术支持
      1)提供7×24小时的技术咨询服务。
      2)敏感时期、重大节假日提供技术人员值守服务。技术人员须相对固定,如需调整或临时抽调时,须征得甲方同意。
3.故障响应
      1)提供7×24小时的故障服务受理。
      2)对重大故障提供7×24小时的现场支援,一般故障提供5×8小时的现场支援。
1)系统维护管理培训
培训内容主要包括系统的安装、操作、配置和维护等,系统常见故障现象的诊断和处理,常见的问题及解决办法等。中标人须为所有被培训人员提供培训环境、文字资料和讲义等相关用品。
培训对象为用户指定的系统运行管理与维护人员,5天*4人次。
2)系统使用操作培训
培训内容包括系统组成、结构、功能、使用方法等。中标人必须为所有被培训人员提供培训环境、文字资料和讲义等相关用品。所有的资料必须是简体中文书写。
培训对象为用户指定的系统操作人员, 5天*8人次。
3)不定期技术培训
在项目运行维护期内,中标人将在不定期应采购人要求集中组织日常管理技术人员、运维人员,每次进行为期1天以上的理论和实际操作培训,对当年中系统在运行过程中遇到的问题进行答疑和研讨。培训讲师全面讲解系统、设备的使用、保养和日常故障处理方法,并就试运行出现的问题进行现场排除演示和示范操作。
六、验收标准:
本项目按照《关于进一步规范政府采购项目履约验收工作管理的通知》(长财采购[2016]6号)文件的简易程序验收,中标人需提供实际服务内容清单作为验收依据,验收报告作为申请付款的凭证之一。
七、其他要求:
2.结算方法
2.1   付款人:长沙市市场监督管理局(通过国库集中支付)
2.2 付款方式:总服务期内分四次进行支付:签订合同后30个工作日内,凭中标人开具的正规发票支付合同金额的15%,;服务期满1年且经采购人年度验收合格后,凭中标人开具的正规发票支付合同金额的35%;服务期满1年半后,凭中标人开具的正规发票支付合同金额的15%;两年服务期满,经采购人验收合格后(无质量问题、售后服务纠纷,以及其他经济法律纠纷等),凭中标人开具的正规发票支付尾款。
2.3  本项目采取总价包干方式,投标人应根据项目要求和现场情况,报价中含项目所需的设备、材料以及所有人工、管理、财务等所有费用,如投标人遗漏,均由成交人自负,采购人不再支付任何费用。
3. 投标人在投标前,如须踏勘现场,有关费用自理,踏勘期间发生的意外自负。
采购需求仅供参考,相关内容以采购文件为准。
返回顶部