招标文件
采购需求
(仅供参考,最终以磋商文件为准)
前注:
1.本说明中提出的技术方案仅为参考,如无明确限制,供应商可以进行优化,提供满足用户实际需要的更优(或者性能实质上不低于的)服务方案,且此方案须经磋商小组评审认可。
2.成交供应商必须确保整体通过用户方及有关主管部门验收,所发生的验收费用由成交供应商承担;如供应商因未及时勘察现场而导致的报价缺项漏项、或成交后无法完工,供应商自行承担一切后果。
一、采购需求前附表
|
序号 |
条款名称 |
内容、说明与要求 |
|
1 |
付款方式 |
本项目拟分两次付款,第一次,合同签订且驻场人员到位后,付合同款50%;第二次,项目验收通过后,支付剩余项目合同款。 |
|
2 |
服务地点 |
安徽省合肥市,采购人指定地点。 |
|
3 |
服务期限 |
自合同签订之日起,提供一年运维服务。(详见服务需求) |
二、项目概况
安徽省经济信息中心承担省发展改革委网络安全运维工作,本项目是对省发展改革委管理建设的网络信息系统进行安全运维。
三、服务需求
3.1总体要求
成交供应商负责对采购人网络信息系统的整体安全运维,主要内容包括但不限于主要包括脆弱性监测、渗透测试、安全自查、安全监测与预警、云安全防护、安全培训、安全驻场等内容等,确保不出现因安全事件导致的无法运行、页面篡改、数据丢失、数据泄露等现象。
3.2服务内容
3.2.1脆弱性检测
成交供应商应每季度对采购人现有网络信息系统进行1次系统脆弱性检测,包括常规信息系统脆弱性和WEB应用系统系统脆弱性检测,并根据检测结果提出优化加固建议。成交供应商每次服务前须向采购人提交安全检测方案,经采购人确认后方可实施。安全检测的过程不能影响各项业务的正常进行,所进行的检测必须避开业务高峰期,并且检测的全过程必须由采购人的人员在现场进行全面监督和管理,成交供应商需给出全面评估过程中的风险规避方案。
(1)常规信息系统脆弱性
成交供应商参照业界已经公开和厂家掌握的漏洞信息,检查采购人现有网络信息系统涉及的网络设备、服务器操作系统、数据库系统、应用软件系统的等存在的安全漏洞。每次安全漏洞扫描完成后,服务团队须提交完整的漏洞扫描分析报告,详细说明存在的安全风险,而且对系统以后整改的方向提供适当的解决方案;扫描报告包括综述、主机、漏洞、趋势等信息进行分类,综述中应对漏洞和风险分布进行定量统计分析并展示,主机中应提供漏洞分布、风险值和风险等级信息,形成《XXX系统漏洞扫描报告》。
(2)WEB 应用系统
成交供应商应使用专业的Web 扫描工具,对采购人现有网络信息系统中的Web 应用系统进行扫描,排查系统中的Cookie 注入、XPath 注入、LDAP 注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据等漏洞,并提交漏洞风险报告和处置建议,形成《XXX系统WEB漏洞扫描报告》。
3.2.2渗透测试
成交供应商应在采购的授权和监督下,每季度采购人现有网络信息系统进行受控的、非破坏性的渗透测试,希望通过从外部、内部进行渗透测试,从技术、管理、业务逻辑的角度来发现漏洞,充分挖掘客户信息泄露的途径(可追溯),从根源上解决存在的漏洞或问题,减少客户信息泄露事件的发生。
成交供应商应使用人工渗透测试技术,从外网和内网两个方向对采购人的网络信息系统进行最大限度的挖掘SQL 盲注、代码注入、struts2、越权、逻辑错误、存储型跨站脚本、中间件弱口令等使用扫描工具无法排查或挖掘的安全漏洞,提出处置建议,最终形成《XXX系统渗透测试报告》。
3.2.3配合上级部门安全检查
成交供应商在服务期内应配合采购人按照网信、公安等有关部门网络安全执法检查自查具体要求对采购人现有网络信息系统进行自查,并形成安全评估报告,每年进行至少1次详细的安全自查。成交供应商负责根据安全检查结果,对发现的安全问题进行评估,并有针对性的提出合理解决方案与整改措施,并协助采购人进行安全整改,完成检查必须的材料收集、信息汇总、信息填报、情况总结等内容。具体的检查内容包括但不局限于:
1)服务器
①Windows服务器:密码安全策略;账户登录超时锁定策略;来宾账户策略;审核策略;时间查看器; Microsoft 网络服务器;故障恢复控制台;交互式登录;网络访问;审核;权限分配;防火墙等
②Linux服务器:用户密码复杂度;定期更改密码;账户登录错误锁定策略;主机的信任关系;重要系统文件的权限;自动注销账户登录;更改 ssh 端口;减少用户 shell 下保存历史命令的条数;不必要的服务;设备密码重复的次数;防火墙等。
2)网络设备:用户账号口令策略;console口登录方式;是否配置不同权限账户;Console口和vty线路登录超时设置;账户锁定功能等。
3)安全设备:确保设备登录方式为https;限制设备的管理登录地址;密码复杂度设置;设备的登录超时设置;配置不同权限的用户;安全策略配置需达到端口级;需对用户的连接数进行限制等。
4)业务系统:优化安全防护策略;优化操作系统、中间件和数据库安全漏洞;禁用不必要的端口映射;数据备份;分析安全日志。
3.2.4安全监测与预警服务
成交供应商应对采购人现有网络信息系统提供安全监测和预警服务。
(1) 安全监测
负责采购人现有数据中心网络以及网络信息系统进行7×24⼩时不间断安全监测服务,及时发现安全事件,主动告警,每天向采购人汇报安全监测基本情况,并按月提供《安全监测月度报告》,监测内容包括但不限于以下内容:
1)外网资产梳理与监测:梳理外网资产(域名、服务器)信息,并建立监测基线,及时预警资产变动。
2)威胁情报预警:实时追踪互联网爆发漏洞并关联资产信息,服务器威胁监测预警。
3)域名状态检测:实时监测域名解析劫持,泛解析,与域名信息篡改等威胁。
4)可⽤性监测:分布式监测互联网应用的可用性与健壮性,并形成周期性统计报表。
5)被黑威胁监测:网站页面恶意篡改:深度探测网站页面并主动发现敏感篡改内容与暗链,以及网站劫持等安全威胁实时监测。恶意JavaScript脚本识别:深度识别恶意劫持或篡改类隐蔽恶意脚本。
6)网络威胁监测:对采购人数据中心网络出口进行监测,监测网络流量中的安全威胁风险。
7)监测平台主动发现威胁并由成交供应商应急响应团队实时验证,采购人在第⼀时间接收到威胁或故障通知(电话/短信/ 邮件/微信)后,协助进行漏洞及威胁处理。
(2)安全预警
要求成交供应商通过各种渠道收集、接收网络安全方面的安全通告、漏洞公告、病毒公告等,并及时通知采购人网络安全人员,配合采购人进行相应处理,以达到事前防御的效果。收集信息内容包括但不限于补丁安全通告、漏洞公告、病毒公告。
3.2.5互联网安全漏洞验证与处置
成交供应商在服务期内为采购人提供互联网安全漏洞验证与处置服务,具体内容如下:
1、每日追踪CNVD(国家信息安全漏洞共享平台)、CNNVD(中国国家信息安全漏洞库)、补天漏洞响应平台、漏洞盒子等互联网第三方漏洞平台提交的最新的漏洞。
2、针对采购人现有的网络信息系统暴露在互联网第三方漏洞平台的相关漏洞信息进行及时的记录和验证,并在第一时间通知并协助采购人进行处理,在采购人处理后要及时安排专业技术人员对其修补的效果进行进一步的验证,以明确漏洞修补的有效性。形成《漏洞报告表》;
3.2.6 云防护服务
成交供应商应为采购提供不少于10个域名的WEB 应用安全云防护服务,云防护服务对网站进行Web应用安全防护通过云端类似Web防火墙的保护功能,监控HTTP/HTTPS流量,通过各类防护引擎、策略管制识别黑客WEB攻击应用行为。通过云平台的CDN服务能够实现对节点静态文件的缓存实现网站加速优化,具体要求如下:
1、提供云防护服务,提供DDOS攻击防护服务(DDOS带宽为30G),提供CC攻击防护服务(CC攻击频率为20000Q/S),提供高防DNS服务(弹性扩展200G)。一年高防,云web防火墙日流量峰值支持100G,月流量2000G。
2、网站安全监测,可远程监测Web服务器存在的Web漏洞,监控HTTP、HTTPS流量,能够发现SQL注入、跨站脚本攻击、恶意文件上传等多种Web攻击行为。
3、网站安全保护:通过云防护平台提供类似WEB防火墙的保护功能,通过各类防护引擎、策略控制识别黑客WEB攻击应用行为,如SQL注入攻击、XSS跨站攻击、CSRP跨站请求伪造攻击等,中断攻击行为,阻止恶意请求。
4、DDOS攻击防护:支持对SYN Flood攻击、TCP Flood攻击、ACK Flood攻击、UDP Flood攻击、ICMP Flood攻击、RST Flood攻击等常见的流量型DDOS攻击进行清洗。支持对TCP/UDP/IP等类型的畸形报文攻击进行防护、支持对Smurf攻击、Land攻击、Fraggle攻击、Ping of Death攻击等DDOS攻击进行流量清洗。提供10G的DDOS攻击防护清洗能力,并提供不少于600G的扩展防护能力。
5、支持高防DNS 攻击防护,如:DNS Query Flood攻击、DNS replay food攻击、DNS域名劫持、DNS缓存投毒等DNS攻击防护类型。支持网站NS方式接入,即由防护平台提供DNS域名解析,至少提供A记录解析、CNAME记录解析、MX解析、TXT解析等DNS解析方式。
6、CC攻击防护:支持防护针对网站的CC攻击,提供1万QPS流量的CC防护能力。支持根据进入云平台流量大小来对攻击进行CC攻击判断,即攻击流量超出管理员配置流量阈值后,对攻击源进行JS防御或图片验证防御。
3.2.7整改与加固
成交供应商根据采购人网络信息系统等级保护测评、脆弱性检查、渗透测试、安全检查等检查和测评结果,及时协助采购人对检测发现的安全问题进行整改和加固,并做好跟踪和验证。对因客观原因无法解决的问题,成交供应商应给出相应有效减少网络安全风险的处置方案。
3.2.8应急响应和安全演练
(1)应急响应
在日常驻场运维过程中,遇到无法解决的以下事件:主机系统或网络与安全有关的紧急事件、网络入侵、拒绝服务攻击、网络病毒传播爆发等,服务团队须在接到应急保障申请后,派出专业的网络安全工程师,快速响应,远程协助或到现场解决安全问题。应急响应的流程须至少包含以下内容:故障诊断、故障修复、系统清理和系统防护;
发生安全事件后,服务单位人员需在2 小时内到达现场,每次服务完成后,服务团队须提交完整的事件分析报告,详细说明事件原因、经过和处理方式等,而且对以后整改的方向提供适当的解决方案。形成《XXX事件应急处置报告》。
(2)安全演练
成交供应商应协助采购人每季度进行1次安全演练,演练内容应包括但不限于以下几个方面。
1)业务连续性安全事件。由于恶意攻击而导致计算机、网络系统和安全系统遭到破坏、更改、泄漏,或者导致系统不能连续正常运行的安全事件。
2)病毒传播事件。是指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序,有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行;
3)网络攻击事件。是指通过网络或其他技术手段,利用信息系统的缺陷对信息系统实施攻击,并造成信息系统异常;包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件;
4)黑客入侵事件。指黑客入侵信息系统造成信息被篡改、假冒、泄漏、窃取、破坏等而导致的信息安全事件。包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件;
5)安全故障事件。是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的安全事件。
6)数据安全事件。指模拟业务系统数据丢失或被篡改,通过采购人现有的数据备份系统进行恢复。
最终形成《安全事件应急演练实施方案》、《安全事件演练报告》。
3.2.9安全咨询和培训
(1) 配合采购人开展网络信息系统安全体系规划和建设,协助采购人网络信息系统安全策略配置和优化。
(2) 成交供应商每年为采购人提供至少2 次的网络安全(涉及渗透测试基础知识、安全服务工具操作、网络安全意识等)现场培训,培训内容和方式由采购人决定,由成交供应商提供师资及教学课件等。
服务成果要求包含但不限于以下文档: 《培训相关讲稿》。
3.2.10驻场服务
成交供应商应并委派有经验的安全人员提供驻点服务,协助采购人处理采购人日常安全工作,负责采购人网络信息系统的安全设备管理、安全事件监测和处理警、安全日志分析和重大节日安全保障等日常安全运维工作。
(1)日常驻点运维
驻点工程师协助完成采购人网络信息系统的日常安全运维工作。负责安全设备的日常管理、巡检、配置变更、升级、维修的跟踪等;负责日常系统漏洞处置、病毒防范与处理、网络攻击与入侵的及时反应与协调处理;负责对网络运行状态、网络流量、用户操作行为等进行监测、记录和分析,日志留存不少于6个月;负责对采购人业务系统安全配置需求的合理性和安全性进行合规性审查;负责对网络信息系统有关的防火墙、WAF、病毒软件等安全设备特征库升级进行升级;负责配合测评公司对采购现有的网络信息系统进行测评。负责与成交供应商保障团队及设备厂家沟通协调等工作。
(2)重大节假日保障
在节假日与重大活动期间,由成交供应商派遣具有安全保障经验的网络与系统安全工程师到进行现场安全保障工作,提高突发事件的处理能力,主要工作内容包括但不限于为安全设备维护技术支持、安全监测分析、安全事件应急响应、系统安全相关问题解答等。成交供应商提供的安全职守服务必须满足重大活动会议期间7×24小时现场职守和应急响应,整个驻点保障提供详细每日工作报告。
四、报价要求
供应商针对本项目所有内容报总价,总价包含完成本项目所发生的一切费用,采购人后期不再增加任何费用,供应商需考虑各种风险综合报价。
五、其他要求
5.1服务团队要求
5.1.1驻场人员
要求成交供应商安排至少2名成交供应商原厂驻场运维工程师全职负责本项目相关的驻场运维服务工作,驻场人员需确保联系电话24小时畅通,工作时间内响应时间应在10分钟以内,非工作时间响应时间应为30分钟。驻场人员的专业构成及技术能力必须充分胜任本项目提出的各项技术服务要求,对于不符合采购人要求的人员,采购人有权要求更换。
5.1.2驻场时间
全年7×8小时驻场,重保时期提供7×24小时服务,特殊情况按采购人实际要求执行。
5.1.3服务团队
成交供应商需为本项目设立后台服务团队,服务团队应至少由技术总负责、项目经理、渗透测试、应急响应等方面多名专家组成,专家运维团队须明确到人,确保在运维和故障处理时能联系到相关人员,服务团队每年在项目现场开展网络安全相关工作次数不少于2次。
(1)成交供应商提供的驻场服务人员,在合同签订后有1个月试用期,试用期结束后对驻场人员技术能力、沟通能力、工作态度等方面进行综合考评,考评不合格成交供应商应及时更换;
(2)在服务期内,供应商的驻场人员调整或更换,须事先征得采购人同意后才能进行。
(3)成交供应商安排的原厂驻场工程师须保证全年7×8小时驻场,如因特殊原因需要请假,成交供应商须提前通知采购人并安排具有同等技术能力的人完成相关服务。
(4)成交供应商有义务对设备驻场人员进行操作培训,以便更好地掌握项目运维技能。
(1) 在服务期间,成交供应商的驻场服务团队须严格遵守采购人制定的各项规章制度、管理流程以及操作规范。
(2) 在服务期间,由于成交供应商的原因造成重大安全事故、生产系统瘫痪、数据丢失等严重问题的,采购人将追究成交供应商的法律责任,并有权要求成交供应商赔偿由此造成的一切损失。
(3)不论何时(服务期间或服务期结束后),供应商必须对运维服务过程中接触的采购人所有信息和数据保密。未经允许不得以任何方式向外界传递或泄露采购人的任何信息或数据,一旦发现,将追究供应商法律责任。
成交供应商在日常运行维护过程中必须严守保密纪律,并与采购人签订信息化运维保密协议。
(1)月度考核
按月对运维服务质量进行考核,满分为100分,分为日常考核项目和直接扣分项目。在运维周期结束后,组织专家对运维服务质量进行最终考核。采购人在项目验收前对成交供应商的维护服务开展一次考核,考核总分满分100分。
|
综合考核表 |
|||||||||||||||||||||||||||||||||||
|
|
考核内容 |
分值 |
|||||||||||||||||||||||||||||||||
|
日常考核项目 |
服务内容完成度 |
30 |
|||||||||||||||||||||||||||||||||
|
服务内容完成质量 |
30 |
||||||||||||||||||||||||||||||||||
|
服务响应及时情况 |
15 |
||||||||||||||||||||||||||||||||||
|
运维人员服务水平 |
10 |
||||||||||||||||||||||||||||||||||
|
服从采购人工作安排、遵守各项制度、团结合作 |
10 |
||||||||||||||||||||||||||||||||||
|
按时提交各类服务项文档 |
5 |
||||||||||||||||||||||||||||||||||
|
直接扣分项目 |
发生页面篡改、数据泄露等重大安全事件造成不良社会影响的,且未提前预警的,每次扣20分 |
|
|||||||||||||||||||||||||||||||||
|
服务过程中出现一次不满意扣5分 |
|
||||||||||||||||||||||||||||||||||
|
驻场人员擅自离岗每人每次扣2分 |
|
||||||||||||||||||||||||||||||||||
|
驻点时间由采购人统一考勤确认,每迟到及早退一次扣1分。 |
|
||||||||||||||||||||||||||||||||||
每月考核分数在80分及以上为达标。服务质量考核1次不达标的,成交供应商应按照采购人要求进行整改。服务质量考核2次不达标的,视为成交供应商未能按照招标文件、投标文件以及合同约定履行义务,成交供应商自行承担一切后果。
5.5项目验收要求
项目服务期满后,成交供应商应提交年度运维服务报告,由采购人组织对供应商在服务期内的服务质量进行评估,并出具项目验收报告。
(1)合同签订之日起7个工作日内,成交供应商须安排驻场人员到采购人项目实施现场提供驻场服务。
(2)首次服务方案:针对首次提供服务的供应商,入场服务时需制定本项目运维实施方案,针对每项服务提出具体服务计划和服务人员安排,并提交采购人。
收藏