浙江衢江抽水蓄能电站2023年信息系统等级保护测评技术支持服务单一来源采购公示

中标

技术支持服务等保测评网络测评安全技术服务漏洞扫描服务漏洞扫描工具数据库安全配置检查主机操作系统安全配置检查中间件弱口令扫描基线核查服务基于漏洞扫描办公终端漏洞检测重要服务器网络设备故障应急演练网络及安全设备安全配置检查帐号和口令管理认证异常启动项认证合授权策略访问控制通信协议日志审核策略文件系统权限防ddos攻击剩余信息保护其它安全配置认证和授权策略通讯协议日志审核功能常见网络服务 OS安全网络与服务路由协议加密管理基线核查安全评估报告渗透测试情报搜集基础资产收集互联网信息泄露搜集指纹识别业务系统功能收集接口信息收集威胁建模渗透攻击应急演练服务专项应急预案模板应急演练方案及脚本有害程序事件演练网络攻击事件演练信息破坏事件演练设备设施故障演练内网传播型病毒应急演练勒索病毒应急演练挖矿病毒应急演练漏洞攻击应急演练后门攻击应急演练网站篡改应急演练网页挂马服务器故障应急演练应急演练总结报告应急响应服务木马病毒漏洞扫描检测事件检测与分析风险抑制问题处置协助业务恢复恶意程序巡检技术服务现场巡检服务 ICT

金额

项目地址

浙江省

发布时间

2023/09/21

公告摘要

项目编号dylycggs2023092109

预算金额-

招标公司天翼云科技有限公司浙江分公司

招标联系人-

中标公司浙江象网科技有限公司

中标联系人-

公告正文

单一来源采购公示
采购公示名称：	浙江衢江抽水蓄能电站2023年信息系统等级保护测评技术支持服务单一来源采购公示			采购公示编号：	DYLYCGGS2023092109
采购公示开始时间：	2023-09-22 09:00:00	采购公示结束时间：	2023-09-25 17:00:00	终止：	否

采购公示正文

[浙江衢江抽水蓄能电站2023年信息系统等级保护测评技术支持服务]，采购人为[天翼云科技有限公司浙江分公司]，项目资金已落实，现已具备采购条件，拟采取单一来源方式采购，现进行公示。
一、采购内容

序号	名称	规格参数	数量	单位
一、等保测评
1	等保测评	等保二级内外网络测评（按系统套数收费）	2	套
二、漏扫及安全技术服务
1	漏洞扫描服务	一、服务描述：	3	次
		使用系统漏洞扫描工具对数据库、操作系统、中间件等进行漏洞、端口、弱口令扫描，扫描完成后由技术人员对漏洞进行确认测试，提出整改建议，协助开发人员整改。
		漏扫数量：不得少于250个点；

		二、具体服务内容：
		a.准备阶段
		对目标用户的服务范围内资产进行搜集，获取域名、IP、网络拓扑等相关信息，作为后续的扫描资产范围；
		签署漏洞扫描委托授权函，获得用户的授权；
		约定漏洞扫描的时间和漏洞扫描工具；评估漏洞扫描过程中可能存在的技术问题并与用户协商应急响应策略；与用户沟通相关的网络环境，提供漏洞扫描设备接入点；与用户协商进行相关目标资产文件与数据的备份；
		b.扫描实施阶段
		实施扫描阶段开始现场检查网络连通性情况，根据情况分配合理 IP，确保扫描工具能探测到扫描范围内的所有主机，且无防火墙等安全设备进行阻拦，之后开展漏洞扫描；
		扫描过程中，如果目标系统出现无响应、中断等情况，扫描人员会立即中止漏洞扫描，并配合客户进行问题排查，在确认问题以及完成系统修复之后，根据分析结果调整扫描方式，经客户再次授权同意的前提下才会继续进行其余的扫描；
		c.总结汇报阶段
		总结项目工作内容及成果，并向客户汇报扫描报告结果。

		三、服务交付物
		《漏洞扫描报告》
2	基线核查服务	一、服务概述：	3	次
		基于漏洞扫描对办公终端进行常规漏洞检测外，我们还将进行基线核查服务，对重要服务器、操作系统、网络设备、安全设备、中间件、数据库等基于信息安全风险的角度进行配置核查，检测网络设备的安全策略弱点和部分主机的安全配置错误等安全隐患。提出整改建议，指导运维人员优化配置策略，从而达到相应的安全防护要求。本次检测服务不少于60个系统；

		二、具体服务内容：
		a.主机操作系统检查内容
		主机操作系统安全配置检查包含但不限于以下内容：帐号和口令管理、异常启动项、认证合授权策略、访问控制、通信协议、日志审核策略、文件系统权限、帐号和口令管理、防 ddos攻击、剩余信息保护、其它安全配置；
		b.数据库检查内容
		数据库安全配置检查包含但不限于以下内容：帐号和口令管理认证、认证和授权策略、访问控制、通讯协议、日志审核功能、其他安全配置；
		c.中间件检查内容
		中间件及常见网络服务安全配置检查包含但不限于以下内容：帐号和口令管理认证、授权策略、通讯协议、日志审核功能、其他安全配置；
		d.网络设备及安全设备检查内容
		网络及安全设备安全配置检查包含但不限于以下内容：OS 安全、异常启动项、帐号和口令管理、认证和授权策略、网络与服务、访问控制策略、通讯协议、路由协议、日志审核策略、加密管理、设备其他安全配置。

		三、服务交付物
		《基线核查安全评估报告》
3	渗透测试服务	一、服务概述：	3	次
		高级服务工程师在获得授权的情况下，以主流渗透工具结合专业自研的工具模拟黑客攻击为主要手段，发现常见的高中危漏洞为主要目标，将发现的安全漏洞进行整理，给出详细说明，并针对每一安全漏洞提供相应的解决方法。并结合客户修复情况，协助客户针对修复后的漏洞进行复测验证。本次检测服务不少于2个系统；

		二、具体服务内容：
		a.前期交互阶段
		与用户进行沟通、确定渗透测试的时间、范围、深度、测试方式（黑盒 OR 白盒、现场OR 远程）等问题，并拿到用户签署的渗透测试授权函；
		b.情报搜集阶段
		服务团队在拿到用户授权后开始情报搜集工作，搜集阶段是对目标用户的系统进行一系列踩点工作，包括：基础资产收集、互联网信息泄露搜集、指纹识别、业务系统功能收集、接口信息收集等；
		c.威胁建模阶段
		在搜集到充分的情报信息之后，服务工程师对获取的信息进行威胁建模(Threat Modeling)与攻击规划，从大量的信息情报中理清思路，确定出最可行的攻击通道；
		d.漏洞分析阶段
		漏洞分析阶段是对威胁建模阶段的初步实践，本阶段需要针对威胁建模阶段总结的测试方法进行一一验证，通过测试总结出可行的测试方法，排除不可行的测试方法。由于用户对业务系统的防护能力不同，本阶段分析得出的漏洞利用方式会有一定的差异；
		e.渗透攻击阶段
		本阶段是对用户的业务系统进行攻击性测试的阶段，漏洞分析阶段总结出的可行的漏洞利用方法，本阶段可以直接拿来利用，并以此为基础扩大渗透战果；
		f.报告输出阶段
		渗透测试工作全部完成后输出报告，报告中阐明客户系统中存在的安全隐患以及专业的漏洞风险处置建议；
		g.汇报阶段
		本阶段由专业安全服务团队向用户汇报本次渗透测试的成果，并现场对用户提出的疑问进行现场答疑。

		三、服务交付物
		《业务系统渗透测试报告》
4	应急演练服务	一、服务概述：	1	次
		据相关国家标准或国际标准，提供对应的应急演练场景专项应急预案模板，以指导应急响应团队应对与处置安全事件；
		制定应急演练方案及脚本并协助开展应急演练，模拟安全事件发生及处置的全过程，提高应对安全事件的处置能力，预防和减少安全事件造成的危害和损失。演练时间不少于2天；

		二、具体服务内容：
		应急演练服务主要通过模拟各种突发事件场景进行，根据突发网络安全事件的性质，应急演练场景可分为：有害程序事件演练、网络攻击事件演练、信息破坏事件演练、设备设施故障演练；
		有害程序事件：内网传播型病毒应急演练、勒索病毒应急演练、挖矿病毒应急演练等；
		网络攻击事件：漏洞攻击应急演练、后门攻击应急演练等；
		信息破坏事件：网站篡改应急演练、网页挂马应急演练等；
		设备设施故障事件：网络设备故障应急演练、服务器故障应急演练等；

		三、服务交付物
		《应急演练方案》、《应急演练总结报告》、《专项应急预案模板》
5	应急响应服务	一、服务概述	1	次
		当发生外部黑客入侵、数据泄露、木马病毒等突发安全事件时，基于漏洞扫描检测提供包括事件检测与分析、风险抑制、问题处置、协助业务恢复的服务，能够协助用户快速止损，最大化降低安全事件带来的影响。演练时间不少于2天；

		二、具体服务内容：
		a.应急事件
		WEB安全事件：B/S类信息系统或网站遭受恶意入侵，利用网站进行反动信息、赌博、黄色等信息发布，传播危害国家安全、社会稳定和公共利益的内容的安全事件；
		恶意程序事件：蓄意制造、传播恶意程序，或是因受到恶意程序的影响而导致的信息安全事件。恶意程序是指插入到信息系统中的一段程序，恶意程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行；
		网络攻击事件：通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件；
		信息破坏事件：通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件；
		b.应急时效
		特别重大事件（Ⅰ级），5分钟作出响应，提供远程 7*24 小时响应服务、1小时到达现场进行应急响应服务；
		重大事件（Ⅱ级），10分钟作出响应，提供远程 7*24 小时、2小时到达现场进行应急响应服务；
		较大突发事件（Ⅲ级），30分钟作出响应，提供远程 7*24 小时响应服务、4小时到达现场进行应急响应服务；
		一般性突发事件（Ⅳ级），30分钟作出响应，提供远程 7*24 小时响应服务、远程无法解决时，在4小时到达现场进行应急响应服务。

		三、服务交付物
		《应急响应报告》
6	定期巡检技术服务	一、服务描述：	1	项
		针对相关安全设备提供周期性的现场巡检服务，保障使用方的各类业务系统及安全设备稳定安全的运行；
		服务时间为1年；

二、单一来源采购原因
采用单一来源及选用上述供应商的理由是【根据集团公司《关于印发中国电信集团采购管理办法条文解释的通知》（中电信采购〔2019〕8号）和省公司关于印发中国电信浙江公司DICT项目操作规范(2022版)的通知（中电信浙〔2022〕51号）相关规定，ICT项目在营销阶段已确定产品的品牌规格型号，并经公司内部集体决策的合作伙伴选择，项目中标后，可按规定履行单一来源采购程序。本项目在营销阶段已确定产品的品牌规格型号，且经过公司内部集体决策的合作伙伴选择，适用单一来源采购方式。】
三、单一来源采购供应商
【浙江象网科技有限公司】
四、公示媒介和期限标
本公示仅在中国电信阳光采购网[A1] （https://caigou.chinatelecom.com.cn/ctsc-portal/ctscPortal）上发布，其他媒介转载无效。
公示期自2023年 9月 22日至2023年9月25日，共4天。
[公示期不少于3天，公示起始日应为公示发布第二天，起始日和截止日应避开法定休假日。]
五、联系方式
单位名称：天翼云科技有限公司浙江分公司
电话：3051169
邮箱：15305709692@189.cn
地址：衢州市柯城区衢江北路1号
邮编：324000

公示期间，如果对本项目采购内容、拟采用的采购方式和供应商选择等有异议或质疑，请【通过中国电信阳光采购网“采购协同-异议处理-提出异议”模块提出[仅适用于电子采购]】/【以书面形式签字或加盖单位公章，以纸质文件或电子扫描件通过异议接收邮箱实名提出[仅适用于传统纸质采购]】

采购人：天翼云科技有限公司浙江分公司

日期：2023年9月21日
本次修订点