招标文件
项目说明及相关要求
一、项目建设背景及需求分析
(一)烟台市政务云和政务网络目前基本情况
根据山东省电子政务整合共享工作部署,2017 年以来,烟台市根据国家电子政务外网相关标准规范,建设了烟台市电子政务外网,并实现了与省电子政务外网互联互通,同时,通过对电子政务外网的优化升级和扩容改造,统一了各单位互联网出口,完成了政府部门网络集中管理工作目标。
烟台市按照“统一机构、统一规划、统一网络、统一软件”的要求,依托国家、省电子政务网络,采取“服务商建设运营、政府购买服务”建设模式,在整合利用已有网络、计算、存储等资源的基础上,由专业电子政务云服务商建设了包括电子政务公共服务云和电子政务行政服务云两个子平台的烟台市电子政务云平台,后期又撤销了我市开发区、牟平区两个县级政务云平台,并将其资源、设备全部并入市政务云统一管理,实现了信息化基础设施、平台和应用的共建共享。
目前,烟台市政务云平台所有区域均已通过等保三级测评,配置了物理服务器 300 余台, 承接各部门、单位托管服务器 90 余台,云服务 CPU 总数量 12000 余核,内存超过 37TB,存储超过 1420TB,共配置虚拟服务器 1300 余台,累计配备安全设备 52 台,网络设备 152 台。
通过政务信息系统整合工作,各部门将已建信息系统逐步迁移上云,政务云承载系统逐步上升,目前在市政务云平台运行的市直、县市区应用系统已达 300 余个,政务外网日吞吐量可达近 2GB,规模日益庞大。
(二)需求分析
近年来,国家、省、市对信息化安全、网络安全都提出了更高的要求。习总书记 2016 年 4月 19 日在网络安全和信息化工作座谈会上的讲话强调“网络安全和信息化是相辅相成的,安全是发展的前提,发展是安全的保障,安全和发展要同步推进;要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。”
2017 年 6 月 1 日正式施行的《中华人民共和国网络安全法》明确要求关键信息基础设施的安全技术措施要按照三同步原则“同步规划,同步建设,同步使用”。
烟台市电子政务云的建设和高效运行,虽然节约了资金,提高了信息化各类资源的使用效率,但信息系统的集中也带来了信息安全问题的集中。政务云平台承载着各机关单位最核心的信息系统,极易成为黑客的攻击目标,同时,各上云部门、单位均在不同程度上存在技术服务能力薄弱,安全意识不足,管理手段不规范等问题,各业务系统存在的安全漏洞和高危操作习惯所带来的安全风险已全部集中在了政务云中心和政务网络的各出口。而政务云、政务外网现有安全服务和安全设备的选择和使用,又缺乏相应的制度约束和监测管理,仅靠云、网服务商自行运维已经无法满足工作需要,市大数据局作为政务云与政务外网主管部门监管压力十分巨大,目前主要面临五方面问题:
1)缺乏行之有效的技术手段应对云化环境带来的新安全威胁和挑战
云计算虚拟化的环境,模糊了传统的物理安全边界,使得传统的基于边界的安全防护机制及策略难以在云环境下得到有效的应用,给不同业务之间、不同租户之间的安全隔离与访问控制带来了挑战。同时以硬件为主的安全防护产品也无法很好的适用于云计算虚拟化的环境,导致政务云平台安全防护技术措施不足,难以及时、快速、有效的抵御政务云平台所面临的外部和内部的各种安全威胁。
2)缺乏规范统一的系统威胁分析及安全运维服务
业务系统上云前缺乏全面的安全检查:业务系统上云前,没有对业务系统和应用进行标准化上云安全检查规范和机构,没有评估系统原有漏洞和安全隐患,导致部分系统上云时就存在严重的安全漏洞,极易被攻击者利用,给整个政务云平台带来极大的威胁。
业务系统上云后缺乏行之有效的安全闭环:通过一些技术手段和措施,对各系统上云后的运行情况及安全状况进行有效的安全监测,可以及时发现云平台及平台内各业务系统存在的安全漏洞、不明资产、网络异常和攻击行为。但是对上述威胁风险,缺乏专业的安全团队对其给出详细分析报告,进行有效处置,最终达到安全闭环的效果。
3)没有充分落实等级保护管理制度和建设
部分业务系统在迁移上云之后,虽然按照国家及相关主管、监管部门要求,履行了等级保护定级与测评,但市大数据局和政务云中心对各部门按测评结果进行的整改情况和整改效果仍缺乏有效监管,部分不整改或整改不到位的业务系统仍存在安全防护能力薄弱问题,极易被黑客攻陷。
4)应急响应机制不完善,缺乏应急演练
缺乏多方联动、健全有效的应急响应管理制度,出现紧急或重大安全事件时,各部门无法及时充分的协调各方资源,及时响应和处置。缺乏定期的应急演练,应急响应能力有待加强。
5)缺乏有效的安全监管技术手段
市大数据局在履行自身的安全监管职责方面,主要依靠自身管理人员对政务云、政务网络的安全及技术措施进行监管,且因为编制原因,并不具备专门的信息安全监管队伍。
同时,在安全监管手段方面,市大数据局按照国家电子政务外网和电子政务云建设相关标准规范,借助云平台、政务网络自身提供的安全设备和安全服务进行安全管理与审计,仅能做到威胁监测和被动防护,无法进行主动防御与安全闭环,也无法有针对性的对各个政务云系统和用户实行有效的安全监管。
综上所述,烟台市电子政务云和电子政务外网的安全监管压力比较大,所面临的困难无法通过传统手段解决,必须通过新思路、新技术、新方法构建一体化安全保障体系来应对。
根据山东省电子政务云和电子政务外网规划建设相关文件和技术规范,烟台市大数据局通过多方调研,结合全国电子政务工作领先城市先进经验,计划通过公开招标,以购买服务方式, 选择第三方政务云和政务外网安全监测服务机构,协助配合市大数据从顶层做好对政务云、政务网络的安全管理,提升政务云、政务网络服务商的安全运维水平,提高各政务云用户系统安全运维能力,在原有安全设施环境基础上对我市政务云、政务外网进行加固,进一步提升我市政务云、政务外网安全服务能力。
二、安全检测保障服务要求及内容
(一)原则及依据
1.通过本项目提供的安全监测与保障服务,需遵循的合规要求包括但不限于:
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术-网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》(GA/T 1390.2—2017)
《信息安全技术-网络安全等级保护基本要求 第 3 部分:移动互联安全扩展要求》(GA/T 1390.3—2017)
《信息安全技术-网络安全等级保护基本要求 第 5 部分:工业控制系统安全扩展要求》
(GA/T 1390.5—2017)《信息安全技术 政府门户网站系统安全技术指南》(GB/T 31506-2015)
2.本项目为购买服务类项目,供应商向市大数据局提供技术支持和咨询,实施服务所需要的各项设施、设备、软件、人员,由投标人自行选择、采购、招聘。需要部署在市电子政务云和电子政务网络运行环境的设施与设备,由供应商自行解决场地和费用。市大数据局可在职责允许的范围内,可为供应商提供一定的协助。
3、本服务是针对烟台市政务云、政务网络的第三方监测与保障服务,供应商的服务设计方案应充分调研政务云、政务网络现状,遵循持续发展的客观规律,在已有的安全管理制度、技术产品和运营服务的基础上积极创新,确保新旧体系相互依存、相互支撑、相互促进、和谐发展,构建积极防御体系,面对新时代的安全挑战,满足新形势下的安全需求。
(二)服务内容
1.安全管理体系建设服务。根据国家、省、市相关政策法规和文件要求,协助烟台市大数据局建立烟台市政务云和政务网络的安全管理规范体系。安全规范建设任务是各安全建设要求、指导、文件、需求等内容的指导性文件,能够指导、协助、规范各项目的安全建设全过程有效落地,形成统一化的安全管理框架。具体内容包含但不限于如下内容。
(1)政务云和政务网络安全技术规范。主要应包括:网络运行安全技术规范、边界防护安全技术规范、访问控制安全技术规范、入侵防范安全技术规范、安全审计技术规范、身份认证安全技术规范、数据安全技术规范等内容。
(2)政务云和政务网络安全管理规范。主要应包括:机房管理规范、资产管理规范、终端管理规范、运维规范、入云规范、人员管理规范、安全处置及应急管理规范等内容。
(3)政务云和政务网络安全运维规范。主要应包括:数据防护规范、安全配置规范、安全事件处理和应急响应流程、第三方人员访问申请审批流程等内容。
2.安全保障技术服务。根据国家、省、市相关政策法规和文件要求,协助市大数据局健全政务云、政务网络安全管理体系框架、细化落实四位一体的安全运营机制、开展应用系统的上线前评估工作、进行系统迁移部署合规性检查及指导、落实安全宣传工作、开展安全培训等服务。具体应包括但不限于如下内容。
(1)安全咨询服务。提供具有政务云安全管理体系建设相关经验的安全咨询顾问服务, 应包括组织人员管理咨询、安全管理流程咨询、制度策略管理咨询、安全建设管理咨询、安全运维管理咨询等。
(2)资产管理服务。主要包括资产梳理和资产安全监测服务。
资产梳理服务要对烟台市电子政务云管理网现有的网络设备、安全设备、服务器、存储、数据库、中间件等资产进行梳理与核对,协助烟台市电子政务云和政务网络建立资产运维管理制度,并逐步优化。通过第三方工具实现业务资产拓扑和资产安全等级评价等功能,为烟台市政务云、政务网络提供资产的实时监控能力,保障资产的可持续平稳运行。
资产安全监测服务主要对烟台市电子政务云管理网梳理校对后的资产进行定期漏洞扫描和资产基线检查,每次检查后出具扫描报告,并提供修改建议。按照每次报告情况,整理烟台市电子政务云平台安全脆弱性态势。
(3)安全统一监测预警分析服务。在政务外网的区县接入汇聚节点和市直单位接入汇聚节点各放置一台探针,进行东西向流量监测,补足当前政务外网态势平台安全检测能力缺失部分。为充分显现安全效果和利用现有安全设备,需利用现有平台对接已部署各类安全设备的安全日志,对整体安全进行统一分析,统一展示。主动提供对安全事件的预警、分析及处置建议, 辅助政务云和政务网络服务商积极探测并阻止安全漏洞与攻击行为,定期生成安全检测报告, 协助政务云、政务网络服务商做好安全策略优化,并对其部署的安全产品运行进行指导、规范、督促和审计。实现现有政务云、政务网安全监测平台与省局平台对接。
(4)安全基线评估加固服务。主要对烟台市政务云和政务网络网络设备、安全设备、操作系统、数据库、中间件等安全配置基线,采用主流的安全配置核查系统或检查脚本工具,以远程登录或检查脚本工具的方式,完成检查。依据烟台市政务云、政务网络安全技术规范对网络设备、安全设备、操作系统、数据库以及中间件的安全配置基线要求,结合安全评估结果和安全整改建议,由安全服务人员协助云、网服务商和客户运维人员实施安全加固,最终符合安全规范保障安全运行。
(5)全网络风险分析服务。通过对政务云、政务网络的网络流量、核心设备日志进行采集与分析,采用专业技术手段构建分析模型进行分析,提供包括但不限于内部失陷主机检测、外部攻击检测、内部攻击检测、内部违规检测、事件分析研判溯源等服务,定期提交分析报告, 做好各类日志的保存与管理。
(6)安全应急响应服务。提供基于于具体的安全事件的专家应急响应,安全事件检测、安全事件抑制、安全事件根除、安全事件恢复、安全事件总结服务;提供安全事件实时头报服务;定期组织攻防演练;提供安全事件研判分析服务等。
(7)重大活动安全保障服务
协助政务云和政务外网服务商做好重大活动重保期间,对业务系统进行 7*24 小时实时安全监测工作。投标人应对政务云和政务外网服务商的重保策略进行综合评估,生成评估报告和意见建议,并能够通过技术手段,辅助政务云和政务外网服务商,做好对服务器、终端、网络设备、安全设备、网站及应用系统等的安全检查,加固互联网入口部分的安全,强化政务云抵抗攻击、入侵和防篡改的能力。
3.应用系统在线/上线前安全检查评估服务。主要实现对政务云应用系统的在线、上线前软件审查,提前发现各应用系统软件漏洞和安全风险,包括但不限于如下内容。
(1)代码安全检测服务。用合理化手段和工具,对目前已部署和在烟台市电子政务云上的全部应用系统进行代码安全检测,发现系统源代码存在的安全缺陷,并采用安全测试等技术手段进行漏洞验证。
(2)渗透测试服务。对政务云应用系统,采用各种手段模拟真实的安全攻击,从而发现黑客入侵信息系统的潜在可能途径。
(3)APP 安全评估服务。通过对 APP 网络通讯、服务器端、云服务客户端、数据和业务逻辑等多个层面进行细致的梳理、测试和分析,发现 APP 的安全风险。应同时包含对手机端(IOS 和 Android)和服务端的检测。
上述服务均应生成测试报告,提供整改建议,并督促各应用系统管理部门和单位进行整改。服务期内对整改完成的应用系统提供复核确认,并出具整改完成意见。
4.安全合规检查服务。主要是针对政务云、政务网络、各应用系统的等保测评、风险评估等工作的定级、测评和整改落实资料提供合规性的第三方安全检查,提供整改建议和指导意见。定期组织安全抽查,完善安全工作推进。
5.安全培训服务。结合各项培训,从制度、管理、课程设置、讲师体系等多维度构建烟台市大数据局安全培训体系。打造面向烟台市大数据局部门,各部委办局,各县(市、区)功能区信息化管理人员、中心运维团队、中心内部工作人员的网络安全培训中心,定期举行网络安全培训,提供定制化的信息安全意识和安全实操培训服务。
6.安全运营服务。配合采购人、政务云服务商、政务网络服务商做好日常安全监测、威胁分析和漏洞扫描,做好与省安全感知平台对接和沟通协调相关工作,为烟台市云网安全运行提供服务支撑。
三、其他服务要求
1、供应商要建立统一的运行服务体系,制定服务标准和规范,为烟台市政务云和政务网络提供响应及时、安全可靠的运行保障服务。
2.供应商要设计统一的运行服务保障体系,包括服务内容、流程以及故障响应流程、日常巡检、服务质量监督和服务质量报告制度,实现对服务全生命周期的精细化管理,持续改进服务质量。
3.供应商需提供 7*24 小时服务,供应商应根据采购人业务需要配备针对本项目的服务人员,人数不少于 1 人,服务团队办公地点应设于投标人指定位置。
4.供应商需针对本项目服务,提供技术支援团队,团队人数不少于 10 人,支援团队应为本地服务团队提供不间断技术支持,当遇到突发状况时,应急团队应通过远程支援、电话通信和现场支持等方式进行响应,响应时间不超过 1 小时。
5.供应商需配备一支高水平的专业安全技术服务团队,设计合理的日常安全流程和应急响应流程,严格安全保密制度,有效的安全操作管控能力,以及长效的安全审计机制。
6.供应商应针对网络安全态势与省级对接相关工作,设计完整的技术方案,并在服务期内配合采购人做好与省级沟通协调和问题处置相关工作。
四、采购清单明细
|
安全服务名称 |
安全服务内容 |
单位 |
数量 |
备注 |
|
|
规范标准 |
安全体系建设服务 |
安全责任体系建设、安全管理体系建设、安全技术体系建设、安全运营体系建设、安全合规及监管体系建设、安全标准规范体系建设,支撑大数据安全项目的各项建设内容。配合采购人编写相关安全技术规范、安全管理规范、安全运维规范。,每年根据国家相关规范进行更新。 |
宗 |
1 |
第一年服务期完成, 后续服务期内按需更 新 |
|
安全协调与指导 |
网站安全监测分析 |
提供电子政务外网平台的安全监测和预警分析, 提供安全事件的通报处置,每月输出政务外网重要网站漏洞检查报告,政务外网安全指数分析报告。提供以下内容监测:网站漏洞监测、网页篡改监测、网页挂马监测、内容变更监测、黑词监测、黑链监测、敏感词监测、网站可用性监测; 服务标准:7*24 小时感知监测,每季度出具整体 分析报告。 |
网站/ 次 一年 4 次 (含县市区) |
300 |
|
|
安全 统一 监测 预警 分析 服务 |
全网综合审计 实时审计采集政务服务平台各类安全行为和日志 的能力,审计对象应覆盖终端、数据库、服务器、 云平台、安全设备、应用、互联网威胁情报、政 务外网流量等,提供针对异常网络行为的阻断、 复原等应急处置等服务。 应对汇聚的安全数据和行为进行智能分析、可视 化呈现、可以对出现的安全事件进行预警。 应对安全态势感知中呈现的异常、违规告警等网 络行为,通过溯源分析技术发现网络安全事件产 生的原因 ; 应对未知新型攻击 APT 攻击等威胁源进行分析检 测,对国家政务服务平台遭受攻击的事件进行分 析; 相关安全检测预警数据按照国家、省标准推送省 级检测平台。 服务标准:提供全网安全审计及 APT 检测,提供 系统进行审计支撑及预警,重大风险问题实施预 警;按需配置相关监测、推送工具,由供应商按 照需求自行设计确定。 |
系统/ 年 |
1 |
|
|
|
测评及风险评估 |
对已定级备案烟台市政务外网各业务系统配合开 展网络安全等级保护测评和风险评估,验证安全技术体系、安全管理体系、安全运营体系的合规性。对测评报告中提到的安全问题协调各方进行漏洞修复、安全整改,使烟台市政务外网各业务 系统满足等级保护和风险评估的要求; 服务标准:根据系统评估工作需要,进行支持。 |
年 |
1 |
|
|
|
|
|||||
|
|
|||||
|
安全保障服务 |
日常安全运营保障 |
互联网资产发现: a)对烟台市电子政务云管理网现有的网络设备、 安全设备、服务器、存储、数据库、中间件等资 产进行梳理与核对,协助烟台市电子政务云建立 资产运维管理制度,并逐步优化。 b)脆弱性管理服务:对烟台市电子政务云管理网梳理校对后的资产进行定期漏洞扫描,每次检查后出具扫描报告,并提供修改建议。按照每次报告情况,整理烟台市电子政务云平台安全脆弱性 态势。 服务标准:提供全年 7*24 小时资产侦测。每季度 出具报告,重大问题实时预警。 |
年 |
1 |
|
|
全流量风险分析 利用威胁情报数据,通过安全服务的方式,利用 采集到的安全大数据并采用专业攻防思路构建分 析模型,为烟台市电子政务云平台提供内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的周期性的检测、发现和响应服务。提升主动应对安全威胁能力,在信息安全方面构建最后一道“防火墙”。主要包括全应用系统日常漏洞扫描、内部失陷主机检测、外部攻击检测、内部攻击检测、内部违规检测和事件分析研判溯源五大类服务。 服务标准:提供全年 7*24 小时资产侦测。每月对应用系统漏洞扫描一次,每周根据应用整改情况 复核,配合采购人编制安全周报。每季度出具全流量风险报告,重大问题实时预警。 |
年 |
1 |
|
|
安全应急响应 |
应用失陷检测:针对政务云应用系统进行失陷检查及溯源分析 服务标准:针对全网应用系统提供失陷检查,并且提供溯源服务。 |
年 |
1 |
|
|
|
安全基线评估加固: 对烟台市电子政务云管理网梳理校对后的资产进行定期资产基线检查,每次检查后出具扫描报告, 并提供修改建议。按照每次报告情况,整理烟台市电子政务云平台安全脆弱性态势。 服务标准:每季度出具安全脆弱性分析报告及加固建议。一年 4 次。 |
年 |
1 |
|
||
|
安全策略优化服务 整体运营过程中,针对安全事件及分析,提供相关的系统及安全设备策略优化服务。针对安全产品运行指导、规范、督促、审计 服务标准:基于安全监测及安全事件分析,对现 有安全设备进行安全策略优化及调整。 |
年 |
1 |
|
||
|
威胁情报预警 基于安全服务商威胁情报平台,针对重大病毒传 播、重大反动网络攻击等行为进行提前预警通知并且提供相关安全防范措施。 |
年 |
1 |
|
||
|
安全事件实时通报 针对日常运营中的安全事件提供实时预警分析及报告。 |
年 |
1 |
|
||
|
安全应急响应处置 针对安全保障目标,提供重大安全事故二线专家现场应急服务。7*24 小时安全应急服务。 服务标准:提供二线专家现场应急响应服务,每年不超过 8 次。 |
年 |
1 |
|
|
应用安全服务专项 |
源代码安全检测和第三方上云安全检测复验 针对已上线以及新系统上线前源代码监测,针对被测系统出具相关安全检测报告; 服务标准:按照全网 300 个系统评估,每个系统 每年进行一次加固。出具《源代码安全检测报告》 |
系统/ 次 (含县市区) |
300 |
|
|
|
应用系统渗透测试 针对电子政务核心应用系统每年进行一次人工渗透测试服务,渗透测试的网站/应用数量按照 300 个评估;参与渗透测试的白帽子团队不少于50 人。服务标准:每年进行一次渗透测试,全网系统按 照 300 个评估。出具相关渗透测试分析报告。 |
|||||
|
APP 安全评估 针对移动 APP 进行安全评估及安全风险加固。服务标准:针对应用 APP 提供专项安全检测及加 固。每年检测加固 APP 数量不超过 10 个。 |
年 |
1 |
|
||
|
重大活动保障服务 |
在节假日、重大会议等重要时期,提供驻场和二线专家现场人力保障,每次现场保障不少于 4 人;提供现场人工值班值守服务,人工对相关信息系统进行监控和安全重保,处理应急突发事件等, 特重大时期 7x24 小时值班值守。 在重要会议、节假日前 5 个工作日以上,提交单次安全保障服务工作方案和现场值守人员名单。值班值守人员按照方案内要求时间和内容进行值守,值守日下班前提交本日安全值守工作报告并提交用户方安全责任人审核确认。 a) 威胁预测:通过内部威胁预测、外部威胁情报等手段,进行平台暴露面分析、外部威胁监控, 实现攻击预测和提前预防的目的。 b) 分析检测:面对重要应用系统,进行 7*24 小时在线检测和响应,实现减少威胁停留时间、控制事件、防止事件升级的目标。主要包括:网站安全监测、统一威胁监测、现场值守服务、运行状态巡检、安全日志分析; c) 实时防御:面对持续攻击,降低受攻击面,实现“攻击减速”目的。主要包括:系统安全评估、基础环境评估、漏洞扫描评估、未知资产发现、安全策略优化、网站安全防护、应用系统代码审计; d) 应急响应:实现系统联动响应与处置,并对发生的重大安全事件进行回溯分析,实现及时处置、 追踪溯源的目标。主要包括:应急预案演练、攻防实战演练、应急响应溯源; e)网站专项防护:提供网站云防护平台, Web 攻击防护服务,包含:SQL 注入、跨站攻击、伪造请求攻击、后门植入、上传漏洞攻击、路径遍历等 WEB 漏洞攻击防护; DDoS 攻击共享型防护服务,最高不超过 10Gbps 的防护,包含:SYN Flood、ACK Flood、UDP Flood、ICMP Flood、DNS Resquest Flood 等攻击类型的防护; CC 攻击防护服务(CC 攻击频率为 4 万 Q/S):防护基于应用层的 DDoS 攻击防护; 高防 DNS 服务(DNS 防护带宽 30Gbps),当客户通过 DNS 接入到防护系统中,即可支持对 DNS 的 DDoS 的攻击防护; 网站缓存加速,包含对静态资源:HTML、JS、图片、CSS 等文件的缓存,降低源站负载,提升访问者访问速度; 服务标准:每年至少 2 次固定重大活动保障,包 含春节、国庆(中秋),现场人员不少于 4 人。同时,按照国家、省、市布置其他重保任务提供额外追加的重保服务,如两会、重大活动等,不再另行收费。 |
年 |
1 |
|
详见采购文件
收藏