招标
2023-2024年度大洋网网络信息安全运维服务项目
金额
20万元
项目地址
广东省
发布时间
2023/07/20
公告摘要
公告正文
广州市交互式信息网络有限公司(简称“大洋网”)拟对2023-2024年度大洋网网络信息安全运维服务采购项目通过询价方式选择服务单位,欢迎符合资格条件的单位参加。
一、项目基本情况
1.项目名称:2023-2024年度大洋网网络信息安全运维服务项目
2.项目类别:服务类
3.采购控制价:20万元
4.采购方式:公开询价
5.采购内容:详见第三点项目需求描述。
二、报价单位的资格条件
1.报价单位应为在中华人民共和国注册的具有独立民事责任的法人或其他组织,并取得与本项目相关经营范围许可。分支机构报价的,须提供分支机构的营业执照及总公司出具的授权书,授权书须加盖总公司公章。由总公司授权的,总公司取得的相关资质证书对分支机构有效,法律法规或者行业另有规定的除外。
2.报价单位不得存在以下情况:(1)被责令停业;(2)被暂停或取消报价资格;(3)财产被接管或者冻结;(4)在最近三年内在经营活动中有重大违法记录、有重大未了结债务纠纷。(提供《资格声明函》)。
3.具有中国网络安全审查技术与认证中心或中国信息安全测评中心的信息安全服务资质认证证书信息安全风险评估(三级或以上);提供相关的资质认证证书复印件并加盖公章,
4.本项目不接受联合体报价。(提供《资格声明函》)。
三、项目需求
注:本招标文件中凡标有“★”的地方均被视为重要的指标要求。投标人要特别加以注意,必须对此具体、明确响应并完全满足这些要求,但带“★”的指标不按投标无效处理。
1.概述
面对日益猖獗的网络犯罪和精准网络攻击,公司在进行数字化转型以及技术迭代更新、重构流程及技术正在发生,网络安全是公司的底座和基石,因此提高单位内部的网络与信息系统安全合规性、杜绝或避免安全事件发生是势在必行,也是务必篡实的红线。单位内部资产包括不限于:对广州日报大洋网系列网站(人民中、较场西、广报中心机房)的关键基础设施提供日常信息安全监测预警、漏洞监控服务,对网站信息系统的基础设施、主机、网络设备、数据库、应用、网络架构、安全技术措施、安全管理制度等方面,提供专项渗透测试、风险评估服务、重要时期值守服务、提供互联网攻防演练、日常应急响应服务等。
1)通过网站安全监控预警、漏洞监控预警、重要时期监测、针对大洋网内外网的相关信息系统进行专项渗透测试和信息安全风险评估。
2)对内部的系统进行风险评估识别和评价,对内部所有信息安全现状进行风险分析、计算与评价服务。
3)实施应急响应服务、攻防演练服务、入侵痕迹分析的安全技术手段进行分析与评估,对信息系统已采取的安全措施的合理性和有效性进行技术评估,并通过评估过程中发现的问题以及采取的安全措施,进行综合分析和评估,提升信息系统面临安全事件的防护能力。
4)通过对服务平台的整体信息安全评估,包括漏洞扫描、数据安全评估服务,作为后期的信息安全规划作为有力的依据。需进行信息系统风险评估报告,包含高危风险漏洞的安全监控,完成重大活动期间监控。提供的安全服务风险评估服务为指导网站实施技术加固。
5)实施迎检自查专项服务,提前摸清与梳理单位内部资产及安全防御现状,通过使用各种评估手段,不限于渗透测试、漏洞扫描、合规配置检查、敏感数据梳理等服务,提前做好安全加固及防御,满足上级部门监管及考核要求。
6)安全意识及认证培训服务,网络安全运营是一个复杂的动态过程,需要人员全员参与,共同提升安全意识及技能,可以做到降低某个环节的单点安全隐患的发生;对于专业的IT管理人员需要进一步提升技能及安全管理知识提升,降低安全运营过程中的误操作和意识错误发生的安全事件,因此对于这些专业人员获取相关专业IT安全证书,是非常有必要的。
2.安全运维服务要求
对广州日报大洋网网站信息系统开展网络安全运维服务,包括核实现有的IT资产,完善各类信息管理制度,对发现的各业务系统网络、资产(主机、数据库、中间件、网络设备等)中存在的潜在威胁及风险,制定可行且有效的方案进行系统安全整改工作,保障各业务系统的稳定持续运行,提高核心业务数据安全保护能力。
范围:站点包含 *dayoo.com\*dayoo.cn\*Lifeofguangzhou.com、以及主机托管于较场西机房的其它代运维站点。三大机房:人民中、较场西、广中心机房服务器和安全设施。
2.1关键基础设施协同监测预警
1)网站安全监控预警,针对互联网的业务系统进行长期监控,监控服务不限于SQL注入、跨站、信息泄露、可用性等。
2)漏洞监控预警,扫描结果人工验证。
3)敏感信息监测预警,对站内敏感信息监测,防止网站出现非法敏感。
4)重要时期监测,根据需求提供高频监控,监控周期最短半小时1次。
5)安全预警通报,对于重大互联网爆发的漏洞,及时发布预警通报和修复漏洞。
2.2互联网网站安全专项渗透测试
1)针对监管部门、第三方安全服务机构和日常安全运营过程中发现的Web漏洞,需要开展漏洞验证工作,以二次确认该漏洞是否真实存在,避免误报或漏报,同时针对单位内部的全量互联网网站系统开展深度渗透测试,最后指导管理员进行漏洞加固。
2)以远程或现场方式提供服务,根据甲方要求不限次数进行Web漏洞验证、每季度进行全量应用系统的渗透测试。
2.3信息安全风险评估服务
1)信息资产识别与评价,对单位内部的系统进行风险评估的资产进行识别与评价。威胁识别与评价 对单位内部的系统进行各种威胁识别与评价。
2)脆弱性识别与评价,对单位内部需要进行风险评估的资产进行脆弱性识别与评价(包括基线配置核查、安全管理核查、系统漏洞扫描、渗透测试)。包含网站重点系统20个,半年一次,共二次。
3)风险分析与计算、评价,目前对单位内部所有信息安全现状进行风险分析、计算与评价服务。
4)报告编制与项目验收,对所有安全问题,根据信息安全现状进行报告编制,同时完成所有交付物,进行项目验收工作。
2.4关键基础设施攻防演练
设计针对互联网系统的攻防实战演练方案,并根据方案组织开展互联网攻防实战演练,及时复盘演练情况,更新应急预案和安全防御措施。每一季度一次,全年共四次。
2.5应急响应服务
针对信息安全领域疑似非法攻击事件进行处置,包括突发安全事件远程技术支持、突发安全事件现场技术支持、安全事件溯源及调查取证、保障业务连续性和安全事态控制。按实际情况全年不少于6次。计次以完成当次整个应急响应事件的保障服务。
2.6漏洞扫描
主要是根据已有的安全漏洞知识库,模拟黑客的攻击方法,检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞。安全扫描的方式可以采用工具进行网络扫描。针对用户全量服务器设备,每季度一次
2.7迎检自查(上级部门检查)
1)投标人熟悉国家安全合规政策、同时熟悉单位内部的业务流程和标准,以及对迎检流程熟悉。按照迎检要求,提供相关服务工作,不限于资料整理、网站渗透测试、APP安全检测、漏洞扫描、基线配置核查等,并提供安全整改协助和回归测试服务。
2)由资深安全专家提供远程和现场迎检自查服务,服务周期内按需提供服务及相关迎检资料输出。
2.8重要时期值守安全保障
1)投标人在重要时期,包括但不限于:两会、五一、国庆、春节等重大节假日和重要活动。通过现场或远程值守、应急响应、突发事件处理等方式,为大洋网提供重大事件期间重要信息系统安全技术服务,确保大洋网在重大时期间能够及时应对各类信息安全突发事件,保障网络与信息系统安全稳定运行。
2)由资深安全专家提供远程或现场值守服务,不少于100天、300人(8小时/班)次,服务周期内按需提供服务及相关报告输出。
2.9数据安全审计
1)主要依据《网络安全法》、《数据安全法》、《个人信息保护法》、《数据安全管理办法(草案)》、《个人信息安全规范》等法律法规与标准,从数据的生命周期对单位内部的重要系统,如采集、传输、存储、处理、交换、销毁,以及组织管理、合规管理与管理安全进行数据安全评估,满足国家安全合规政策以及提升数据安全防护水平。
2)抽查5个以内的重要信息系统,以远程与现场结合方式提供服务,服务周期内提供一次审计实施服务。
2.10网络安全培训
1)对单位内部的相关人员进行培训,内容可包括网络安全政策解读、国际安全动态、行业案例和网络安全意识宣传等内容,使相关人员提高信息安全意识,了解信息系统安全合规工作要求。以及提升管理人员的资质水平,开展安全从业人员培训及人员认证。具体培训课题以双方沟通结果为准,不限于线上或线下进行安全培训。
2)以远程或现场方式提供服务,服务周期内提供2次网络安全方面培训和1名CISP相关方向的认证培训。
3.服务清单及报告要求
四、服务支撑要求
4.1项目实施要求
1)投标人应熟悉大洋网的网络结构、业务流程和标准,以及对迎检工作流程熟悉,并按高质量交付项目。
2)项目实施前,投标人需求制定项目实施方案,包括进度计划、人员分工、风险规避及质量保证等;
3)实施漏洞扫描、渗透测试工作前,必须将实施方法、实施时间、实施人员、实施工具等具体实施方案提交招标方技术负责人,得到大洋网相应授权后才进行实施。投标人应该做到让大洋网对漏洞扫描、渗透测试所有细节和风险知晓、所有过程都在大洋网控制下进行。否则,引起的相关信息系统风险,由投标人承担;
★4)投标人在广州本地应具有分支机构,并拥有专属本地化团队和社保证明,能及时响应项目要求。
5)保密要求,非经大洋网书面许可,投标人不得将评估工作中涉及的内容及评估报告的任何内容透露给除大洋网以外的第三方。经大洋网书面许可,投标人才允许将评估报告(限于必要部分)向第三方披露,并保证第三方不将相关信息透露给其它人;
6)在项目实施过程中,投标人应具备项目质量控制的保障措施, 确保项目实施高质量地交付,所有交付物严格经过质量审计、评审,最终才交付给大洋网。
★4.2安全服务支撑工具要求
为更好辅助安全风险评估实施工作,投标人应采用安全风险管控系统可根据不同系统、不同的业务需求,自动化生成风险评估报告、漏洞管控和趋势分析,参选人在参选文件中需要提供该平台的原厂授权证明,同时响应文件要求提供系统功能截图证明,平台功能要求如下:
1)资产管理
支持通过不同的业务需求,导入不一样的资产,包括业务应用系统、网络安全设备、服务器、存储设备,并且自动关联对应项目。导入后可以展示,展示列表有名称、IP、型号、系统、地址等。
支持通过资产库,以及以往的项目,一键导入资产,以及相对应的客户单位。
2)接口管理
支持从系统中发现所有接口、所有接口请求方法。支持接口访问量、URL数量、敏感接口数量、访问IP数量、日均访问量查看、排序的功能。
3)生成报告
支持通过风险扫描,自动生成基线报告、支持对基线报告的创建、编辑、删除功能,支持展示检测发现的所有重要资产的个数:涉敏应用系统。
支持展示合规报告的具体检查情况,具体项目如:检查点、风险描述、测评类别、判定依据等。
支持通过调研表、漏洞扫描记录、渗透测试报告、基线表、自动生成风险表,并生成系统风险评估报告。
支持把风险评估报告、风险表以word、html的形式导出到线下分析
支持通过富文本编辑器描写报告某项、通过html自动插入到报告。
4)登录管理
登录支持环境扫描检测、判断是否机器操作还是人为操作、支持用户账号密码加密传输、支持SHA256、MD5加密,检测是否弱密码、支持LDAP登录接入、支持登录接口多参数验证校验。支持用户登录存活验证时长设置、支持登录次数限制、登录IP限制、用户账号限制等。
5)权限管理
支持对用户访问菜单、访问接口、对应角色、可访问客户、项目等权限设置;
支持对接口访问权限单独设置、支持对敏感应用设置、包括数据库、日志、登录、校验参数等;
支持对敏感接口、敏感数据检测,对大量敏感数据接口进行优化、限制IP白名单。
6)知识库
支持知识库多版本管理,支持多版本的数据互相流通、互相导入。
支持威胁库、弱点库、风险库、基线库、漏洞库、测试工具库等新增、编辑、删除管理。支持对基线表进行风险描述判定。
7)项目管理
支持对客户信息,包括单位名称、联系人、地址以及负责人等编辑、新增、删除等
支持对项目管理、进行项目状态判断、对项目以及评估单位进行关联、支持生成风险评估报告时、指定知识库以及项目生成
支持对项目资料管理、对调研表等资料的上传、自动分析,生成对应结果等。
8)风险统计分析
支持对基线弱点自动判断、生成对应的风险描述等。
支持对扫描的系统漏洞,进行漏洞跟踪、展示扫描类型、漏洞名称、主机IP,漏洞描述、漏洞等级、修复建议等。
支持风险扫描、对项目内所有风险数进行统计。展示具体风险数量、风险登记、对应资产IP、弱点威胁名称、资产价值、可能事件损失、整改意见、整改情况等判断。
支持对应项目的APP测试风险统计、web测试风险统计、漏洞风险扫描统计、总风险展示、项目风险对比等。
9)自动化报告
支持威胁多行进行赋值、根据对应的威胁、赋予对应的威胁值
支持脆弱性赋值,根据对应的资产、弱点、风险、检查项等、赋予对应的弱点值。
支持在历史报告、查看历史生成的风险报告、风险表、来源数据支撑等
4.3人员配备及能力要求
本项目总人员配备数应不少于5人,投标人的人员配备及能力要求如下:
1)基线配置核查、符合性检查
在本项目中,投标人派遣的技术人员开展现场安全测评、咨询服务。
2)漏洞扫描
在本项目中,投标人派遣的技术人员开展漏洞分析等安全服务。
3)渗透测试
在本项目中,投标人派遣的技术人员开展渗透测试服务。
4)安全加固协助
投标人应派遣有经验的技术人员、渗透专家,现场与各管理员进行沟通,确认加固方案,并现场指导各管理员进行安全加固。
5)回归测试
对于我方安全加固完毕的服务器、网络设备和应用系统,对其提供回归测试工作,投标人需派遣技术人员、渗透专家到现场开展工作。
6)综合风险分析及报告编制
对于现场实施完成工作,需进行综合风险分析及报告编制等工作,投标人需派遣安全咨询顾问、项目经理及质量控制人员进行开展工作。
7)人员资质要求:
项目经理资质要求:
须具备本科或以上学历,须具备10年及以上从业工作经验。
项目团队人员资质要求:
须具备本科或以上学历,均须具备2年及以上工作经验。
4.4安全保密要求
投标人与其服务人员就本次服务应签署保密协议。
针对本服务项目,要求服务人员不得变更,确需变更应提前通知广州日报大洋网,在并获得批准后方可进行。
安全检查和漏洞扫描的原始数据均存放在广州日报大洋网提供的专用机器上。其它服务过程中相关的资料均应妥善保管,仅限在项目组内为本服务项目所用,不得以任何方式外泄或用于其它用途,服务人员应及时删除存储在电脑中或纸质的数据和文件材料。
4.5服务响应要求
服务时间:合同签订之日起1年内完成服务。
★服务商须在30分钟内响应广州日报大洋网电话咨询服务请求,能在1小时内提供技术人员到达现场服务。
五、付款方式
签订合同后采购单位支付合同金额50%;服务期满且终验合格10个工作日内采购单位支付合同金额50%。
六、关于报价
1.报价的货币为人民币,单位为元。报价表格式详见附件。
2.本项目报价必须包含为本项目提供的人工、安装调试等的所有费用(含差旅费)以及国家规定的所有税费等,并提供增值税专用发票。成交供应商不得再向采购人收取任何费用。
3.成交供应商的价格须在采购合同期限内保持不变。
★4.投标人报价低于招标预算70%(不含)的,需提交对其报价合理性的书面说明并提供成本分析表等相关证明材料。评委根据证明材料评定是否低于成本价及采纳与否。
七、提交的响应文件
响应文件应包括但不限于以下加盖报价单位公章资料的清晰扫描件,详见《响应文件目录清单》。
八、响应文件提交截止时间
响应文件提交截止时间:2023年7月23日17:00(北京时间),响应文件须在报价截止时间前上传至粤传媒官网采购平台(https://cg.gdgzrb.com/cms/)。
九、评审方法
本项目采用综合评分法,分为两部分:技术部分分值50分、商务部分分值20分、价格部分分值30分。(详见附件)
十、附件
附件1:响应文件目录清单
附件2:法定代表人/负责人证明书
附件3:法定代表人/负责人授权书
附件4:资格声明函
附件5:项目响应表
附件6:服务报价表
评审方法及附件.docx
广州市交互式信息网络有限公司
2023年7月20日
一、项目基本情况
1.项目名称:2023-2024年度大洋网网络信息安全运维服务项目
2.项目类别:服务类
3.采购控制价:20万元
4.采购方式:公开询价
5.采购内容:详见第三点项目需求描述。
二、报价单位的资格条件
1.报价单位应为在中华人民共和国注册的具有独立民事责任的法人或其他组织,并取得与本项目相关经营范围许可。分支机构报价的,须提供分支机构的营业执照及总公司出具的授权书,授权书须加盖总公司公章。由总公司授权的,总公司取得的相关资质证书对分支机构有效,法律法规或者行业另有规定的除外。
2.报价单位不得存在以下情况:(1)被责令停业;(2)被暂停或取消报价资格;(3)财产被接管或者冻结;(4)在最近三年内在经营活动中有重大违法记录、有重大未了结债务纠纷。(提供《资格声明函》)。
3.具有中国网络安全审查技术与认证中心或中国信息安全测评中心的信息安全服务资质认证证书信息安全风险评估(三级或以上);提供相关的资质认证证书复印件并加盖公章,
4.本项目不接受联合体报价。(提供《资格声明函》)。
三、项目需求
注:本招标文件中凡标有“★”的地方均被视为重要的指标要求。投标人要特别加以注意,必须对此具体、明确响应并完全满足这些要求,但带“★”的指标不按投标无效处理。
1.概述
面对日益猖獗的网络犯罪和精准网络攻击,公司在进行数字化转型以及技术迭代更新、重构流程及技术正在发生,网络安全是公司的底座和基石,因此提高单位内部的网络与信息系统安全合规性、杜绝或避免安全事件发生是势在必行,也是务必篡实的红线。单位内部资产包括不限于:对广州日报大洋网系列网站(人民中、较场西、广报中心机房)的关键基础设施提供日常信息安全监测预警、漏洞监控服务,对网站信息系统的基础设施、主机、网络设备、数据库、应用、网络架构、安全技术措施、安全管理制度等方面,提供专项渗透测试、风险评估服务、重要时期值守服务、提供互联网攻防演练、日常应急响应服务等。
1)通过网站安全监控预警、漏洞监控预警、重要时期监测、针对大洋网内外网的相关信息系统进行专项渗透测试和信息安全风险评估。
2)对内部的系统进行风险评估识别和评价,对内部所有信息安全现状进行风险分析、计算与评价服务。
3)实施应急响应服务、攻防演练服务、入侵痕迹分析的安全技术手段进行分析与评估,对信息系统已采取的安全措施的合理性和有效性进行技术评估,并通过评估过程中发现的问题以及采取的安全措施,进行综合分析和评估,提升信息系统面临安全事件的防护能力。
4)通过对服务平台的整体信息安全评估,包括漏洞扫描、数据安全评估服务,作为后期的信息安全规划作为有力的依据。需进行信息系统风险评估报告,包含高危风险漏洞的安全监控,完成重大活动期间监控。提供的安全服务风险评估服务为指导网站实施技术加固。
5)实施迎检自查专项服务,提前摸清与梳理单位内部资产及安全防御现状,通过使用各种评估手段,不限于渗透测试、漏洞扫描、合规配置检查、敏感数据梳理等服务,提前做好安全加固及防御,满足上级部门监管及考核要求。
6)安全意识及认证培训服务,网络安全运营是一个复杂的动态过程,需要人员全员参与,共同提升安全意识及技能,可以做到降低某个环节的单点安全隐患的发生;对于专业的IT管理人员需要进一步提升技能及安全管理知识提升,降低安全运营过程中的误操作和意识错误发生的安全事件,因此对于这些专业人员获取相关专业IT安全证书,是非常有必要的。
2.安全运维服务要求
对广州日报大洋网网站信息系统开展网络安全运维服务,包括核实现有的IT资产,完善各类信息管理制度,对发现的各业务系统网络、资产(主机、数据库、中间件、网络设备等)中存在的潜在威胁及风险,制定可行且有效的方案进行系统安全整改工作,保障各业务系统的稳定持续运行,提高核心业务数据安全保护能力。
范围:站点包含 *dayoo.com\*dayoo.cn\*Lifeofguangzhou.com、以及主机托管于较场西机房的其它代运维站点。三大机房:人民中、较场西、广中心机房服务器和安全设施。
2.1关键基础设施协同监测预警
1)网站安全监控预警,针对互联网的业务系统进行长期监控,监控服务不限于SQL注入、跨站、信息泄露、可用性等。
2)漏洞监控预警,扫描结果人工验证。
3)敏感信息监测预警,对站内敏感信息监测,防止网站出现非法敏感。
4)重要时期监测,根据需求提供高频监控,监控周期最短半小时1次。
5)安全预警通报,对于重大互联网爆发的漏洞,及时发布预警通报和修复漏洞。
2.2互联网网站安全专项渗透测试
1)针对监管部门、第三方安全服务机构和日常安全运营过程中发现的Web漏洞,需要开展漏洞验证工作,以二次确认该漏洞是否真实存在,避免误报或漏报,同时针对单位内部的全量互联网网站系统开展深度渗透测试,最后指导管理员进行漏洞加固。
2)以远程或现场方式提供服务,根据甲方要求不限次数进行Web漏洞验证、每季度进行全量应用系统的渗透测试。
2.3信息安全风险评估服务
1)信息资产识别与评价,对单位内部的系统进行风险评估的资产进行识别与评价。威胁识别与评价 对单位内部的系统进行各种威胁识别与评价。
2)脆弱性识别与评价,对单位内部需要进行风险评估的资产进行脆弱性识别与评价(包括基线配置核查、安全管理核查、系统漏洞扫描、渗透测试)。包含网站重点系统20个,半年一次,共二次。
3)风险分析与计算、评价,目前对单位内部所有信息安全现状进行风险分析、计算与评价服务。
4)报告编制与项目验收,对所有安全问题,根据信息安全现状进行报告编制,同时完成所有交付物,进行项目验收工作。
2.4关键基础设施攻防演练
设计针对互联网系统的攻防实战演练方案,并根据方案组织开展互联网攻防实战演练,及时复盘演练情况,更新应急预案和安全防御措施。每一季度一次,全年共四次。
2.5应急响应服务
针对信息安全领域疑似非法攻击事件进行处置,包括突发安全事件远程技术支持、突发安全事件现场技术支持、安全事件溯源及调查取证、保障业务连续性和安全事态控制。按实际情况全年不少于6次。计次以完成当次整个应急响应事件的保障服务。
2.6漏洞扫描
主要是根据已有的安全漏洞知识库,模拟黑客的攻击方法,检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞。安全扫描的方式可以采用工具进行网络扫描。针对用户全量服务器设备,每季度一次
2.7迎检自查(上级部门检查)
1)投标人熟悉国家安全合规政策、同时熟悉单位内部的业务流程和标准,以及对迎检流程熟悉。按照迎检要求,提供相关服务工作,不限于资料整理、网站渗透测试、APP安全检测、漏洞扫描、基线配置核查等,并提供安全整改协助和回归测试服务。
2)由资深安全专家提供远程和现场迎检自查服务,服务周期内按需提供服务及相关迎检资料输出。
2.8重要时期值守安全保障
1)投标人在重要时期,包括但不限于:两会、五一、国庆、春节等重大节假日和重要活动。通过现场或远程值守、应急响应、突发事件处理等方式,为大洋网提供重大事件期间重要信息系统安全技术服务,确保大洋网在重大时期间能够及时应对各类信息安全突发事件,保障网络与信息系统安全稳定运行。
2)由资深安全专家提供远程或现场值守服务,不少于100天、300人(8小时/班)次,服务周期内按需提供服务及相关报告输出。
2.9数据安全审计
1)主要依据《网络安全法》、《数据安全法》、《个人信息保护法》、《数据安全管理办法(草案)》、《个人信息安全规范》等法律法规与标准,从数据的生命周期对单位内部的重要系统,如采集、传输、存储、处理、交换、销毁,以及组织管理、合规管理与管理安全进行数据安全评估,满足国家安全合规政策以及提升数据安全防护水平。
2)抽查5个以内的重要信息系统,以远程与现场结合方式提供服务,服务周期内提供一次审计实施服务。
2.10网络安全培训
1)对单位内部的相关人员进行培训,内容可包括网络安全政策解读、国际安全动态、行业案例和网络安全意识宣传等内容,使相关人员提高信息安全意识,了解信息系统安全合规工作要求。以及提升管理人员的资质水平,开展安全从业人员培训及人员认证。具体培训课题以双方沟通结果为准,不限于线上或线下进行安全培训。
2)以远程或现场方式提供服务,服务周期内提供2次网络安全方面培训和1名CISP相关方向的认证培训。
3.服务清单及报告要求
四、服务支撑要求
4.1项目实施要求
1)投标人应熟悉大洋网的网络结构、业务流程和标准,以及对迎检工作流程熟悉,并按高质量交付项目。
2)项目实施前,投标人需求制定项目实施方案,包括进度计划、人员分工、风险规避及质量保证等;
3)实施漏洞扫描、渗透测试工作前,必须将实施方法、实施时间、实施人员、实施工具等具体实施方案提交招标方技术负责人,得到大洋网相应授权后才进行实施。投标人应该做到让大洋网对漏洞扫描、渗透测试所有细节和风险知晓、所有过程都在大洋网控制下进行。否则,引起的相关信息系统风险,由投标人承担;
★4)投标人在广州本地应具有分支机构,并拥有专属本地化团队和社保证明,能及时响应项目要求。
5)保密要求,非经大洋网书面许可,投标人不得将评估工作中涉及的内容及评估报告的任何内容透露给除大洋网以外的第三方。经大洋网书面许可,投标人才允许将评估报告(限于必要部分)向第三方披露,并保证第三方不将相关信息透露给其它人;
6)在项目实施过程中,投标人应具备项目质量控制的保障措施, 确保项目实施高质量地交付,所有交付物严格经过质量审计、评审,最终才交付给大洋网。
★4.2安全服务支撑工具要求
为更好辅助安全风险评估实施工作,投标人应采用安全风险管控系统可根据不同系统、不同的业务需求,自动化生成风险评估报告、漏洞管控和趋势分析,参选人在参选文件中需要提供该平台的原厂授权证明,同时响应文件要求提供系统功能截图证明,平台功能要求如下:
1)资产管理
支持通过不同的业务需求,导入不一样的资产,包括业务应用系统、网络安全设备、服务器、存储设备,并且自动关联对应项目。导入后可以展示,展示列表有名称、IP、型号、系统、地址等。
支持通过资产库,以及以往的项目,一键导入资产,以及相对应的客户单位。
2)接口管理
支持从系统中发现所有接口、所有接口请求方法。支持接口访问量、URL数量、敏感接口数量、访问IP数量、日均访问量查看、排序的功能。
3)生成报告
支持通过风险扫描,自动生成基线报告、支持对基线报告的创建、编辑、删除功能,支持展示检测发现的所有重要资产的个数:涉敏应用系统。
支持展示合规报告的具体检查情况,具体项目如:检查点、风险描述、测评类别、判定依据等。
支持通过调研表、漏洞扫描记录、渗透测试报告、基线表、自动生成风险表,并生成系统风险评估报告。
支持把风险评估报告、风险表以word、html的形式导出到线下分析
支持通过富文本编辑器描写报告某项、通过html自动插入到报告。
4)登录管理
登录支持环境扫描检测、判断是否机器操作还是人为操作、支持用户账号密码加密传输、支持SHA256、MD5加密,检测是否弱密码、支持LDAP登录接入、支持登录接口多参数验证校验。支持用户登录存活验证时长设置、支持登录次数限制、登录IP限制、用户账号限制等。
5)权限管理
支持对用户访问菜单、访问接口、对应角色、可访问客户、项目等权限设置;
支持对接口访问权限单独设置、支持对敏感应用设置、包括数据库、日志、登录、校验参数等;
支持对敏感接口、敏感数据检测,对大量敏感数据接口进行优化、限制IP白名单。
6)知识库
支持知识库多版本管理,支持多版本的数据互相流通、互相导入。
支持威胁库、弱点库、风险库、基线库、漏洞库、测试工具库等新增、编辑、删除管理。支持对基线表进行风险描述判定。
7)项目管理
支持对客户信息,包括单位名称、联系人、地址以及负责人等编辑、新增、删除等
支持对项目管理、进行项目状态判断、对项目以及评估单位进行关联、支持生成风险评估报告时、指定知识库以及项目生成
支持对项目资料管理、对调研表等资料的上传、自动分析,生成对应结果等。
8)风险统计分析
支持对基线弱点自动判断、生成对应的风险描述等。
支持对扫描的系统漏洞,进行漏洞跟踪、展示扫描类型、漏洞名称、主机IP,漏洞描述、漏洞等级、修复建议等。
支持风险扫描、对项目内所有风险数进行统计。展示具体风险数量、风险登记、对应资产IP、弱点威胁名称、资产价值、可能事件损失、整改意见、整改情况等判断。
支持对应项目的APP测试风险统计、web测试风险统计、漏洞风险扫描统计、总风险展示、项目风险对比等。
9)自动化报告
支持威胁多行进行赋值、根据对应的威胁、赋予对应的威胁值
支持脆弱性赋值,根据对应的资产、弱点、风险、检查项等、赋予对应的弱点值。
支持在历史报告、查看历史生成的风险报告、风险表、来源数据支撑等
4.3人员配备及能力要求
本项目总人员配备数应不少于5人,投标人的人员配备及能力要求如下:
1)基线配置核查、符合性检查
在本项目中,投标人派遣的技术人员开展现场安全测评、咨询服务。
2)漏洞扫描
在本项目中,投标人派遣的技术人员开展漏洞分析等安全服务。
3)渗透测试
在本项目中,投标人派遣的技术人员开展渗透测试服务。
4)安全加固协助
投标人应派遣有经验的技术人员、渗透专家,现场与各管理员进行沟通,确认加固方案,并现场指导各管理员进行安全加固。
5)回归测试
对于我方安全加固完毕的服务器、网络设备和应用系统,对其提供回归测试工作,投标人需派遣技术人员、渗透专家到现场开展工作。
6)综合风险分析及报告编制
对于现场实施完成工作,需进行综合风险分析及报告编制等工作,投标人需派遣安全咨询顾问、项目经理及质量控制人员进行开展工作。
7)人员资质要求:
项目经理资质要求:
须具备本科或以上学历,须具备10年及以上从业工作经验。
项目团队人员资质要求:
须具备本科或以上学历,均须具备2年及以上工作经验。
4.4安全保密要求
投标人与其服务人员就本次服务应签署保密协议。
针对本服务项目,要求服务人员不得变更,确需变更应提前通知广州日报大洋网,在并获得批准后方可进行。
安全检查和漏洞扫描的原始数据均存放在广州日报大洋网提供的专用机器上。其它服务过程中相关的资料均应妥善保管,仅限在项目组内为本服务项目所用,不得以任何方式外泄或用于其它用途,服务人员应及时删除存储在电脑中或纸质的数据和文件材料。
4.5服务响应要求
服务时间:合同签订之日起1年内完成服务。
★服务商须在30分钟内响应广州日报大洋网电话咨询服务请求,能在1小时内提供技术人员到达现场服务。
五、付款方式
签订合同后采购单位支付合同金额50%;服务期满且终验合格10个工作日内采购单位支付合同金额50%。
六、关于报价
1.报价的货币为人民币,单位为元。报价表格式详见附件。
2.本项目报价必须包含为本项目提供的人工、安装调试等的所有费用(含差旅费)以及国家规定的所有税费等,并提供增值税专用发票。成交供应商不得再向采购人收取任何费用。
3.成交供应商的价格须在采购合同期限内保持不变。
★4.投标人报价低于招标预算70%(不含)的,需提交对其报价合理性的书面说明并提供成本分析表等相关证明材料。评委根据证明材料评定是否低于成本价及采纳与否。
七、提交的响应文件
响应文件应包括但不限于以下加盖报价单位公章资料的清晰扫描件,详见《响应文件目录清单》。
八、响应文件提交截止时间
响应文件提交截止时间:2023年7月23日17:00(北京时间),响应文件须在报价截止时间前上传至粤传媒官网采购平台(https://cg.gdgzrb.com/cms/)。
九、评审方法
本项目采用综合评分法,分为两部分:技术部分分值50分、商务部分分值20分、价格部分分值30分。(详见附件)
十、附件
附件1:响应文件目录清单
附件2:法定代表人/负责人证明书
附件3:法定代表人/负责人授权书
附件4:资格声明函
附件5:项目响应表
附件6:服务报价表
评审方法及附件.docx
广州市交互式信息网络有限公司
2023年7月20日
解决方案
联系我们
返回顶部