序号

服务名称

技术参数

单位

数量

单价（元）

1

桂林市政府门户网站安全监测服务采购

一、总体要求

根据《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》（国办发[2009]28号），《广西壮族自治区人民政府办公厅关于做好全区政府信息系统年度安全检查工作的通知》（桂政办发[2010]145号）文件要求，对我市各县区、市直各单位门户网站进行桂林市政府门户网站安全监测服务采购工作。

二、监测范围

对市人民政府、人大 、政协、法院、发改委、纪委监察局、文新广局、教育局、司法局、住建委、城管委、林业局、卫计委、商务局、发展研究中心、科技局、交通局、水利局、环保局、档案局、住房公积金办、房改办、审计局、规划局、工信委、机关事务管理局、地震局、供销社、博览事务局、国资委、漓江风景名胜管理局、桂林师范高等专科学校、外事侨务办、旅发委、园林局、物价局、桂林市卫生学校、农机局、投资促进局、市志办、拆迁办、安监局、国土资源局、食药监局、水产畜牧局、桂林民委、农业局、统计局、公安局、知识产权局、民政局、质监局、行政管理局、法制办、粮食局、人社局、体育局、人防办、财政局、工商局，叠彩区、雁山区、象山区、七星区、秀峰区、临桂区、阳朔县、灵川县、全州县、灌阳县、龙胜县、恭城县、荔浦县、兴安县、平乐县、永福县、资源县政府。

合计77个门户网站进行安全监测。

三、监测主要内容

1、主页挂马监测；

2、主页敏感词监测；

3、主页服务器中断（可用性）安全监测；

4、网页内容篡改监测；

5、网页漏洞监测。

四、监测方法

1、要求采用的监测方法内容：

（1）网站挂马情况监测：基于虚拟机与沙箱的高仿真用户上网环境，动态模拟用户网页浏览行为，自动发现、研判网页对操作系统的攻击，捕获未知漏洞；结合静态网页源代码分析技术，监测已知挂马攻击漏洞；

（2）通过预先设置被监测的敏感字段，实时扫描受监测页面信息内容是否存在非法或敏感信息；

（3）在持续时间段内实时扫描该网页服务是否正常运行，是否存在中断服务情况；

（4）实时监测网页内容完整性，当监测到页面被异常修改后、实时记录被篡改的次数；

（5）对指定网站进行全方位扫描，检查当前网页是否有安全漏洞；

（6）模拟安全漏洞攻击实现脆弱性监测：模拟黑客使用的漏洞攻击手法，对WEB应用的安全性做出深入分析，监测网站存在的SQL注入漏洞、XPath注入漏洞、LDAP注入漏洞、XSS漏洞、CSRF漏洞、表单绕过漏洞、CGI漏洞等脆弱性信息，深入监测常见的Web服务器漏洞，并能提供详细的监测数据和测试样例。

（7）可用性监测：每隔几分钟访问一次网站页面，即时发现网站没有响应、响应过慢、域名劫持，立即提醒；

（8）脆弱性监测：对Web环境提供专业的漏洞检测和分析，包含SQL注入、跨站脚本、CGI、CSRF、表单破解等网站漏洞及Web应用安全问题；

（9）内容安全监测：采用网页数据解析技术，针对网页内容出现的安全问题进行检测和分析，包含挂马、暗链、内容变更、关键词、内容泄露、敏感目录文件等安全问题；

2、要求采用国内安全扫描设备及软件产品辅助监测工作的完成。

五、服务要求

1、要求协助采购人对检测中发现的漏洞进行督促整改,并负责整改技术支持。

套

1

500000

服务期限

服务期限：自签订合同之日起一年时间。

服务地点

服务地点：桂林市采购人指定地点。

付款方式

合同签定后七个工作日内一次性付清；

其他要求：

1.服务期限：自签订合同之日起一年。

2.服务地点：广西桂林市采购人指定地点；

3.投标人须具备广西电子信息协会（或省级以上同类机构）颁发的三级以上（含广西三级）运行维护资质证书；

4.竞标人需具有国家或省级质量技术监督机构颁发的“计量认证证书（CMA）”；

5.投标人必须具有中国信息安全认证中心颁发的信息安全风险评估资质证书；

6.中标供应商在规定时间向被监测单位提供的监测报告；监测报告内容必须包含所有监测项目，对各子项目的监测情况进行详细分析描述，并包含技术和管理方面的整改指导意见；

7.竞标人于投标文件中必须提供针对本项目的技术、工作方案及服务方案（包括具体的技术措施、工作程序、流程、服务时间规划、人员的配备分工等），否则作竞标无效处理；

8、本项目采购预算总金额为：伍拾万元整（¥：500000.00元），最后报价超出采购预算总金额的，其响应文件按无效处理。