网络信息安全维保及等级测评工作合同备案

中标

网络信息安全维保及等级测评工作合同备案

网络信息安全维保等级测评服务网络安全保障服务驻场运维电话支持服务远程技术支持合理优化建议专业安全防护工程师进行威胁分析系统加固网络结构优化网络健壮性安全策略优化网络安全加固软件升级版本升级系统优化服务健康性检查硬件系统的工作状态硬件系统的运行环境进行评估硬件系统健康检查设备的配置和参数设定数据库迁移单元测试性能测试中转系统重要时间保障保障支持服务技术培训系统技术操作类的培训应用系统调研日常管理运行维护电子文档印刷品安全咨询服务系统集成咨询可行性研究方案制定网络软硬件平台建设安全通告服务渗透测试系统和应用信息收集站点信息收集溢出攻击口令猜解技术 WEB漏洞技术跨站脚本注入漏洞安全监测基础监测服务提供每月一次漏洞扫描远程事件值守 DNS解析监测平稳度监测服务基础模块驻场维保交换机信息系统安全等级保护测评服务网络安全等级保护测评服务网络安全等级保护定级备案及测评系统调研资产调研表服务器存储阵列组织架构调研管理现状调研技术现状调研对信息系统运营使用单位的网络拓扑组织架构图管理现状分析报告技术现状描述网络拓扑图应用系统现状报告安全差距分析服务等保差距分析报告安全需求分析报告依据差距分析报告信息安全整改设计方案总体设计详细设计信息安全整改方案设计安全方针安全防护体系设计安全加固防护措施建议信息安全建设规划管理咨询当前单位的组织架构管理体系信息安全管理制度梳理编制标准组织架构安全管理机构岗位职责培训服务安全培训安全基础知识培训等保体系标准培训安全管理培训工具扫描安全趋势培训

金额

15.78万元

项目地址

吉林省

发布时间

2020/04/14

公告摘要

项目编号项目采购x[20200225]-0319号

预算金额15.78万元

招标公司吉林省航道管理局

招标联系人-

中标公司长春嘉诚信息技术股份有限公司15.78万元

中标联系人-

公告正文

吉林省公共资源交易中心
（吉林省政府采购中心）
采购合同
合同编号：
SJL-JZ2020041400005GKXMHT1
分包编号：
分包名称：
签订地点：吉林省长春市人民大街9999号
签订日期：
2020-04-14
采购任务通知书编号：项目采购X[20200225]-0319号

吉林省航道管理局需求的网络信息安全维保及等级测评工作经吉林省公共资源交易中心（吉林省政府采购中心）以编号为JLSZC202000368的谈判文件在国内公开谈判，谈判小组评定
长春嘉诚信息技术股份有限公司为成交供应商。供需双方按照《中华人民共和国合同法》和有关法律法规，遵循平等、自愿、公平和诚实信用原则，同意按照下面的条款和条件订立本合同，共同信守。
1.合同标的：

序号	货物名称	品牌型号/服务内容	详细配置及主要技术参数（服务具体要求）	数量	单价(元)	小计金额(元)
1	信息化机房驻场运维及网络安全保障服务	嘉诚/信息化机房驻场运维及网络安全保障服务	驻场运维服务： 1)形成每日巡视制度，对机房中相关设备的告警显示等实际状态进行记录； 2)定期对机房设施进行检查记录； 3)掌握设备的运行情况，就保修期进行提醒； 4)对本次项目所涉及的各种设备、线路等，做好检查维护工作，发现故障，及时报告，并安排服务联系或维修，对维修情况提交书面报告； 5)对本次项目所涉及的各种设备、线路运行及维修记录，按重要性级别，定期书面报告； 6）定期检查违反规定上网或其他违反网络安全策略的行为，书面报告。 7）驻场人员遵守保密原则。对被支持单位的网络等设备、应用软件等的密码、核心应用、业务数据等负有保密责任，不得随意复制和传播。 8）中标商每月向用户提交一份网络信息安全驻场运维月度服务报告。电话支持服务：日常向用户提供专门服务于该用户的热线电话，与用户之间建立起统一的联系点。把所有支持问题统一记录、分派，确保为用户提供的支持及时和准确。远程技术支持：对于通过电话指导不能解决的故障，应通过远程接入手段，登录到故障设备，进行故障诊断，查找故障出现的原因，指导现场维护人员处理故障。告警相应及处置： 1)针对告警进行快速响应及处置； 2)查找告警问题根源并进行处理； 3)提供告警处置方案及合理优化建议； 4)针对告警进行24小时随时响应。定期的威胁分析： 1)专业安全防护工程师进行威胁分析，主要包括：物理威胁、漏洞威胁、病毒威胁、入侵威胁等方面，并生成威胁分析报告； 2)针对威胁分析报告提出合理化建议和意见。系统加固服务： 1)针对当前设备运行情况，给出网络结构优化建议并实施，提升网络健壮性； 2)根据设备运行状况，分析设备网络部署情况，可提供安全策略优化、网络安全加固； 3)根据厂家发布的软件升级信息，及时对设备的软件进行版本升级等工作，并记录日志。系统优化服务：专业优化小组每季度针对系统进行健康性检查，全面检查硬件系统的工作状态、对硬件系统的运行环境进行评估、现场解答有关硬件技术方面的问题、故障分布和维修类型状况，并交付硬件系统健康检查报告书，针对设备的运行状况，提出设备的配置和参数设定等方面优化建议及整改意见。应急处置： 1)针对此项目需求及环境成立安全应急处置小组，及时报告所发现的安全弱点和可疑事件，但任何情况下均不应尝试验证弱点； 2)检测清除网页木马和恶意代码； 3)在事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训，提供防止再次发生的补救措施，过程形成的所有文件和记录均应妥善保存； 4)应急处置小组针对应急事件进行24小时随时响应。数据库迁移服务： 1)当有数据库迁移需求时，提供数据库迁移服务； 2)根据现有环境，出具当前最适用的数据库迁移方案； 3)迁移前，对迁移方案进行评估以确保迁移成功； 4)确定迁移计划，通过对现有网络环境的评估，对现有资源利用率，服务以及系统需求非常清晰。评估后才能开始对迁移进行计划，步骤如下： a.确定迁移步骤，包括所有设备的迁移先后顺序，其顺序按风险的高低降序排列； b.确定备份方案，需要对这些设备进行备份保证服务的连续性； c.确定并准备好迁移所需的工具，包括工具在迁移中必备的一系列功能和使用工具所需具备的网络环境； d.在实际迁移开始之前确定额外的测试环境，该测试环境能够引导测试从而确保迁移成功，因此，测试环境需明确涉及的设备数量； e.规划网络环境，由于网络中的需迁移的设备各处不同位置，因此在迁移中需考虑到网络连接情况、数据备份方式，以及网络流量来源，确定网络流量是否会引发网络拥塞； 5)确定迁移周期以及参与人员，包括迁移起止时间，团队能力建设以及团队成员的角色； 6)执行小批量的测试迁移方案； 7)对小批量迁移后的设备进行测试，包括单元测试和性能测试； 8)进行最终的迁移实施服务，确保批量迁移的整个网络环境已准备完毕，并通过迁移工具完成源系统和目标系统之间的连通。此处的目标系统属于中转系统；对迁移系统进行性能审核和健康检查，如果系统状态监视则停用旧系统并将其服务暂时转移到新的系统中。重要时间保障服务： 1)在重要时间点提供保障支持服务，在重要时间点需安排工作经验丰富、技术水平高的工程师进行7×24的全方位支持； 2)保障系统不会出现由于系统自身原因导致的故障问题； 3)保障系统不会出现由于外部攻击导致的安全事件或故障； 4)保障系统出现故障时，能及时响应并恢复。技术培训服务：为甲方管理人员、系统技术人员和系统操作人员提供所需要的技术类、管理类、操作类的培训2次。一方面，让各级操作人员能够熟练的应用系统完成各项日常工作，另一方面，让管理人员可以根据业务需要灵活运用系统，并能为业务管理人员提供相应的业务指导他们熟悉该系统的操作，同时，系统管理人员和系统技术人员能够熟练日常管理、运行维护等。 1)培训安排培训负责人对培训的过程进行跟踪，包括前期的培训准备工作的开展、培训的通知发放、培训签到、培训记录、培训效果反馈、培训考试等各个环节进行控制； 2)培训对象包括管理人员、系统操作人员、系统技术人员及第三方技术人员等，针对不同人员安排不同的课程，采取不同的培训方式； 3)培训班的内容将设置多个环节，每一个环节都分为授课和练习两部分； 4)提供多种形式、全面和标准的文档给甲方，其形式包括：电子文档、印刷品等； 5)为保证最终的学习效果，将为每一期培训班布置考试题目，以验收学员的学习成果。安全咨询服务：为网络软硬件平台建设提供系统集成咨询以及培训等相关安全咨询服务。并配合进行可行性研究、方案制定、产品选型等准备工作；为网络软硬件平台建设提供安全咨询，提供网络安全建设中涉及到的决策、管理及运行操作问题的专业咨询；检查和评估现有及将来的信息化要求，提出切合实际应用的规划书，并为信息化建设提供建设性建议和报告。安全通告服务：漏洞通告：每月定期通告最新发现的系统安全漏洞情况和解决方案。病毒通告：每月定期通告最新的病毒爆发情况和处理方法。厂商安全通告及其他安全通告：提供包括Cisco、华为、华三等主流厂商的中文安全通告；其他应用系统和安全组织的安全通告；以及其他有必要提示的重要安全问题通告。渗透测试服务：模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵，充分挖掘和暴露系统的弱点，从而让管理人员了解其系统所面临的威胁，为风险评估提供重要的原始参考数据，包括： 1) 信息收集 2) 系统和应用信息收集 3) 站点信息收集 4) 溢出攻击 5) 口令猜解技术 6) WEB漏洞技术 7) 跨站脚本 8) 注入漏洞等网站安全监测服务：基础监测服务包，提供每月一次漏洞扫描及验证，并提供724小时远程事件值守服务，包含站点的DNS解析监测、50页面内的挂马、黑链、篡改、敏感内容监测平稳度监测服务：远程网站平稳度监测服务基础模块，724小时远程值守，验证确认疑似网站平稳度事件并通告用户，响应用户反馈，根据用户反馈调整服务配置，添加或调整授权，定期提供监测报告每1个站点监测授权许可，每15分钟监测一次，30分钟内验证确认疑似网站平稳度事件并通告用户。驻场维保主要设备清单如下： 39、出口防火墙网神secgate3600； 40、上网行为管理深信服AC-1000； 41、备用交换机华为S5720-36PC-EI； 42、运维区交换机华为S5720； 43、服务器区防火墙（主）网神secgate3600； 44、服务器区防火墙（备）网神secgate3600； 45、应用防火墙（主）绿盟WAF NX3 Series； 46、应用防火墙（备）绿盟WAF NX3 Series； 47、服务器区交换机（主）华为S5720； 48、服务器区交换机（备）华为S5720； 49、堡垒机绿盟SAS NX3 Series； 50、入侵检测绿盟NIDS NX3 Series； 51、日志审计明御DAS-Logger； 52、硬盘录像机； 53、VPN深信服VPN-1000； 54、出口路由器华为AR2200-S； 55、运维区防火墙深信服AF-1120； 56、核心交换机（主）华为S5720； 57、核心交换机（备）华为S5720； 58、1交换机华为smartax ma5620； 59、2交换机华为smartax ma5620； 60、一张网汇聚交换机华为S5720； 61、一张网交换机6华为S5720； 62、一张网交换机5华为S5720； 63、一张网交换机4华为S5720； 64、一张网交换机3华为S5720； 65、一张网交换机2华为S5720； 66、一张网交换机1华为S5720； 67、KVM大唐保镖kvm-1708； 68、服务器1浪潮N Series； 69、服务器2浪潮N Series； 70、服务器3浪潮N Series； 71、存储ZXNVM CMR2000-24； 72、KVM大唐保镖kvm-1708； 73、服务器1联想System x 3650； 74、水位监测系统华为RH2288 v3； 75、防病毒服务器华为RH2288 v3； 360天擎杀毒服务器华为2288H v5；	1	157800	157800
2	信息系统安全等级保护测评服务	嘉诚/信息系统安全等级保护测评服务	供招标人界河航道水位自动监测系统网络安全等级保护测评服务（三级）1个。嘉诚公司根据《信息系统安全等级保护测评要求》及《信息系统安全等级保护测评过程指南》等国家标准，负责招标单位被测系统的网络安全等级保护定级备案及测评工作。等级测评服务的基本流程应包括测评准备阶段、方案编制阶段、现场测评阶段（现场测评应包括技术测评和管理测评）及报告编制阶段等工作内容，最终向招标单位提交正式有效、丰富合理的《等级保护测评报告》。在开展等级测评服务的同时，嘉诚公司提供以下服务：一、协助定级/备案协助采购人进行应用系统评估，参照定级指南中的系统服务安全、信息系统安全、通用安全进行应用系统定级，并出具定级报告以及相关备案申请资料。输出结果：定级报告、备案申请表等。二、系统调研 1.资产调研：对信息系统运营使用单位所有网络设备、安全设备、服务器、存储阵列、机房设施等进行资产调研。 2.组织架构调研：对信息系统运营使用单位的IT组织架构进行系统调研。 3.管理现状调研：对信息系统运营使用单位的管理制度进行系统调研。 4.技术现状调研：对信息系统运营使用单位的网络拓扑、业务数据流拓扑、安全防护现状等进行系统调研。 5.应用系统调研：对信息系统运营使用单位的业务信息系统进行系统调研。输出结果：资产调研表、组织架构图、管理现状分析报告、技术现状描述、网络拓扑图、业务数据流拓扑图、应用系统现状报告等。三、安全差距分析服务 1.差距分析：依据调研分析，通过访谈、检查明确应用系统与相应等保级别的防护能力进行控制点要求项进行逐项差距分析，并出具差距分析报告。输出结果：等保差距分析报告等。四、安全需求分析服务 1.安全需求分析：依据差距分析报告，综合分析信息系统运营使用单位的安全防护能力及缺陷，从而出具整体安全需求分析；输出结果：安全需求分析报告；五、信息安全整改设计方案（总体设计、详细设计） 1.方案设计：依据差距分析报告出具信息安全整改方案设计，其中包括方案总体设计、详细设计，安全方针、安全策略、安全防护体系设计，安全加固防护措施建议、信息安全建设规划等；输出结果：信息安全整改设计方案；六、管理咨询服务 1.对当前单位的组织架构、管理体系、管理制度、岗位职责等进行梳理、编制和更新信息安全管理制度；输出结果：标准组织架构、安全管理机构、岗位职责、安全管理制度等；七、培训服务要求投标人为招标方提供1次系统的安全培训。培训内容包括：安全基础知识培训、等保体系标准培训、安全管理培训、工具扫描培训、安全趋势培训。培训地点和时间由投标人负责安排。	1	80000	80000

备注：本合同中详细配置及主要技术参数（服务具体要求）以评标时供应商投标文件为准。
2.
合同价格：237,800.00元，￥:
贰拾叁万柒仟捌佰元整。
3.
交货/服务时间、地点、方式
3.1交货/服务时间：合同订立后1天。所有货物安装调试完毕、验收合格并交付给需方的日期为交货时间。
3.2交货/服务地点：
吉林省航道管理局
3.3交货/服务方式：供方负责将货物安全完好运抵交货地点、安装调试并保证验收合格（供方负责按需方要求提供全部服务并保证验收合格）。
4.
付款方式
4.1供方交货/提供服务时应提交下列文件：销售发票[发票抬头格式：需方单位名称]，国家有关质检机构出具的检验报告或证书（如果合同约定有的话），进口产品的报关文件（如果合同约定有的话），制造厂商出具的质量检验证书、产品合格证等。
4.2财政付款：政府采购项目资金支付程序，按照国家有关财政资金支付管理的规定执行。
4.3自行付款：本合同中总价款中由采购人自行支付的部分，采购人承诺完成约定内容，2020年9月30日前首付8万元，12月底前再支付9万元，完成全部约定内容后付尾款。。
5．履约保证金
5.1
在签署本合同之前，供方应向需方提交合同总价5%的履约保证金（人民币，取整数位到百元）。履约保证金可以采用银行转账或者银行保函等其他非现金的方式提交。
5.2
履约保证金的有效期到供方提交的货物经需方验收合格并交付给需方之日止，以银行转账方式返还，不计利息。
5.3
履约保证金由需方在货物验收合格交付后10个工作日内返还。
6.质量保证金：(不收取)。
7.合同补充条款：无。
8.争议解决方式：供需双方达成仲裁协议，向长春市仲裁委员会申请仲裁（向合同签定地人民法院提起诉讼）。
9．合同构成：下列文件构成本合同不可分割的组成部分，与本合同具有同等法律效力：
9.1本合同书；
9.2中标通知书；
9.3谈判文件及澄清、修改、补遗文件；
9.4供方的响应文件及书面澄清、说明、补正文件；
9.5产品样本、样品（样机）、说明书、图纸等有关资料；
9.6吉林省省级政府采购验收报告单；
9.7合同的其它附件。
上述组成合同的文件如有不一致之处，以日期在后的为准。
10.合同份数：本合同一式三份，供需双方、公共资源交易中心各执一份。
11.合同生效：本合同在供需双方法定代表人或其授权代理人签字、加盖双方公章或者合同专用章并且需方收到供方提交的履约保证金后生效。
12.合同修改：除供需双方书面修改、补充协议外，本合同条件不得有任何变化或修改。

吉林省公共资源交易中心
（吉林省政府采购中心）

（加盖公章或合同专用章）

地址：长春市人民大街9999号

需方：吉林省航道管理局

（加盖公章或合同专用章）

地址：

法定代表人
或授权代理人
签字：
签字日期：
邮政编码：