采购需求 

前注： 

本说明中提出的技术方案仅为参考，如无明确限制，供应商可以进行优化， 提供满足用户实际需要的更优（或者性能实质上不低于的）服务方案，且此方案须经磋商小组评审认可。 

一、采购需求前附表 

二、项目概况 

本项目是对安徽省发展改革委管理建设的信息系统进行安全运维。目前，安徽省发展改革委信息系统包括安徽省公共资源交易监管平台、安徽省公共信用信息共享服务平台、省投资项目在线审批监管平台、安徽省综合评标评审专家库管理系统等多个省级重点信息系统，这些信息系统为安徽省发展改革委开展宏观经济调控、推动社会发展、履职尽责提供了重要支撑。随着这些信息系统日益发挥作用的同时，保障信息系统的安全稳定运行，成为了一项重要任务。 

三、服务需求 

（一）总体要求 

成交供应商负责对采购人管理建设的信息系统（包括现有的 28 个和即将上线的 2 个）提供整体安全运维服务，主要内容包括脆弱性监测、渗透测试、漏洞扫描、安全自查、安全监测与预警、应急响应、及时处置安全事件、安全演练、安全培训、安全驻场等内容，确保不出现因安全事件导致的无法运行、页面篡改、数据丢失、数据泄露等现象。

（二）服务内容

1.脆弱性检测

成交供应商应在采购人的授权和监督下，每季度对采购人的信息系统进行1 次系统脆弱性检测，内容包括常规信息系统脆弱性和WEB 应用系统脆弱性检测， 并根据检测结果提出优化加固建议。成交供应商每次服务前须向采购人相关部门 提交安全检测方案，经采购人相关部门确认后方可实施。安全检测的过程不能影 响各项业务的正常进行，所进行的检测必须避开业务高峰期，并且检测的全过程 必须由采购人相关部门人员在现场进行全面监督和管理，成交供应商需给出全面 评估过程中的风险规避方案。

（1）常规信息系统脆弱性

成交供应商参照业界已经公开和厂家掌握的漏洞信息，检查采购人现有网络信息系统涉及的网络设备、服务器操作系统、数据库系统、应用软件系统的等存在的安全漏洞。每次安全漏洞扫描完成后，服务团队须提交完整的漏洞扫描分析报告，详细说明存在的安全风险，而且对系统以后整改的方向提供适当的解决方案；扫描报告包括综述、主机、漏洞、趋势等信息进行分类，综述中应对漏洞和风险分布进行定量统计分析并展示，主机中应提供漏洞分布、风险值和风险等级信息，形成《XXX 系统漏洞扫描报告》。

（2）WEB 应用系统

成交供应商应使用专业的Web 扫描工具，对采购人相关部门现有网络信息系统中的 Web 应用系统进行扫描，排查系统中的Cookie 注入、XPath 注入、LDAP 注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据等漏洞，并提交漏洞风险报告和处置建议，形成《XXX 系统WEB 漏洞扫描报告》。

2.渗透测试

成交供应商应在采购人的授权和监督下，每季度对采购人等保三级的系统（不少于9 个）进行受控的、非破坏性的渗透测试，通过从外部、内部进行渗透测试，从技术、管理、业务逻辑的角度来发现漏洞，充分挖掘信息泄露的途径（可追溯），从根源上解决存在的漏洞或问题，减少信息泄露事件的发生。除等保三级以外的信息系统应每半年开展1 次渗透测试。

成交供应商应使用人工渗透测试技术，从外网和内网两个方向对采购人相关 部门的网络信息系统进行最大限度的挖掘SQL 盲注、代码注入、Struts2、越权、逻辑错误、存储型跨站脚本、中间件弱口令等使用扫描工具无法排查或挖掘的安 全漏洞，提出处置建议，最终形成《XXX 系统渗透测试报告》。

3.安全监测与预警服务

成交供应商应对采购人的信息系统提供统一安全监测和预警服务。1）统一安全监测负责采购人现有数据中心网络以及信息系统进行 7×24 小时不间断的安全监测服务，及时发现安全事件，主动告警，每天向采购人相关部门汇报安全监测 基本情况，并按月提供《安全监测月度报告》，监测内容包括但不限于以下内容：

①  网络资产梳理与监测：梳理网络资产（域名、服务器）信息，并建立监测基线，及时预警资产变动。

②  威胁情报预警：实时追踪互联网爆发漏洞并关联资产信息，服务器威胁监测预警。

③  域名状态检测：实时监测域名解析劫持，泛解析，与域名信息篡改等威胁。

④  可用性监测：分布式监测互联网应用的可用性与健壮性，并形成周期性统计报表。

⑤  被黑威胁监测：网站页面恶意篡改（深度探测网站页面并主动发现敏感篡改内容与暗链，以及网站劫持等安全威胁实时监测），恶意 JavaScript 脚本识别（深度识别恶意劫持或篡改类隐蔽恶意脚本）。

⑥  网络威胁监测：对采购人相关部门数据中心网络出口进行监测，监测网络流量中的安全威胁风险。

⑦ 监测平台主动发现威胁并由成交供应商应急响应团队实时验证，采购人相关部门在第⼀时间接收到威胁或故障通知（电话/短信/邮件/微信）后，协助进行漏洞及威胁处理。

2）统一安全预警

要求成交供应商通过各种渠道收集、接收网络安全方面的安全通告、漏洞公告、病毒公告等，并及时通知采购人相关部门网络安全人员，配合采购人相关部门进行相应处理，以达到事前防御的效果。收集信息内容包括但不限于补丁安全通告、漏洞公告、病毒公告。

4.互联网安全漏洞验证与处置

成交供应商在服务期内为采购人相关部门提供互联网安全漏洞验证与处置服务，具体内容如下：

1）每日追踪CNVD（国家信息安全漏洞共享平台）、CNNVD（中国国家信息安全漏洞库）、补天漏洞响应平台、漏洞盒子等互联网第三方漏洞平台提交的最新的漏洞。

2）针对采购人相关部门现有的网络信息系统暴露在互联网第三方漏洞平台的相关漏洞信息进行及时的记录和验证，并在第一时间通知并协助采购人相关部门进行处理，在采购人相关部门处理后要及时安排专业技术人员对其修补的效果进行进一步的验证，以明确漏洞修补的有效性。形成《漏洞报告表》。

5.云防护服务

成交供应商应为采购人提供不少于 10 个域名的WEB 应用安全云防护服务， 云防护服务对网站进行Web 应用安全防护通过云端类似Web 防火墙的保护功能， 监控HTTP/HTTPS 流量，通过各类防护引擎、策略管制识别黑客 WEB 攻击应用行为。通过云平台的CDN 服务能够实现对节点静态文件的缓存实现网站加速优化， 具体要求如下：

1）提供云防护服务，提供DDOS 攻击防护服务（DDOS 带宽为 30G），提供 CC攻击防护服务（CC 攻击频率为 20000Q/S），提供高防 DNS 服务（弹性扩展200G）。一年高防，云web 防火墙日流量峰值支持 100G，月流量 2000G。

2）网站安全监测，可远程监测Web 服务器存在的Web 漏洞，监控 HTTP、HTTPS 流量，能够发现SQL 注入、跨站脚本攻击、恶意文件上传等多种Web 攻击行为。

3）网站安全保护：通过云防护平台提供类似 WEB 防火墙的保护功能，通过各类防护引擎、策略控制识别黑客WEB 攻击应用行为，如 SQL 注入攻击、XSS 跨站攻击、CSRP 跨站请求伪造攻击等，中断攻击行为，阻止恶意请求。

4）DDOS 攻击防护：支持对 SYN Flood 攻击、TCP Flood 攻击、ACK Flood 攻击、UDP Flood 攻击、ICMP Flood 攻击、RST Flood 攻击等常见的流量型DDOS 攻击进行清洗。支持对 TCP/UDP/IP 等类型的畸形报文攻击进行防护、支持对Smurf 攻击、Land 攻击、Fraggle 攻击、Ping of Death 攻击等DDOS 攻击进行流量清洗。提供 10G 的DDOS 攻击防护清洗能力，并提供不少于 600G 的扩展防护能力。

5）支持高防DNS 攻击防护，如：DNS Query Flood 攻击、DNS replay food 攻击、DNS 域名劫持、DNS 缓存投毒等 DNS 攻击防护类型。支持网站NS 方式接入， 即由防护平台提供 DNS 域名解析，至少提供 A 记录解析、CNAME 记录解析、MX 解析、TXT 解析等DNS 解析方式。

6）CC 攻击防护：支持防护针对网站的 CC 攻击，提供1 万 QPS 流量的CC 防护能力。支持根据进入云平台流量大小来对攻击进行 CC 攻击判断，即攻击流量超出管理员配置流量阈值后，对攻击源进行 JS 防御或图片验证防御。

6.整改与加固

成交供应商根据采购人相关部门网络信息系统等级保护测评、脆弱性检查、渗透测试、安全检查等检查和测评结果，及时协助采购人相关部门对检测发现的 安全问题进行整改和加固，并做好跟踪和验证。对因客观原因无法解决的问题， 成交供应商应给出相应有效减少网络安全风险的处置方案。

7.应急响应和安全演练

1）应急响应

在日常驻场运维过程中，遇到无法解决的以下事件：主机系统或网络与安全 有关的紧急事件、网络入侵、拒绝服务攻击、网络病毒传播爆发等，服务团队须 在接到应急保障申请后，派出专业的网络安全工程师，快速响应，远程协助或到 现场解决安全问题。应急响应的流程须至少包含以下内容：故障诊断、故障修复、系统清理和系统防护；

发生安全事件后，服务单位人员在工作时间以外情况，须保证2 小时内到达现场，每次服务完成后，服务团队须提交完整的事件分析报告，详细说明事件原因、经过和处理方式等，而且对以后整改的方向提供适当的解决方案。形成《XXX 事件应急处置报告》。

2）安全演练

成交供应商应协助采购人相关部门重要信息系统每季度进行 1 次安全演练， 演练内容应包括但不限于以下几个方面。

① 业务连续性安全事件。由于恶意攻击而导致计算机、网络系统和安全系统遭到破坏、更改、泄漏，或者导致系统不能连续正常运行的安全事件。

②  病毒传播事件。是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行；

③  网络攻击事件。是指通过网络或其他技术手段，利用信息系统的缺陷对信息系统实施攻击，并造成信息系统异常；包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件；

④  黑客入侵事件。指黑客入侵信息系统造成信息被篡改、假冒、泄漏、窃取、破坏等而导致的信息安全事件。包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件；

⑤  安全故障事件。是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的安全事件。

⑥  数据安全事件。指模拟业务系统数据丢失或被篡改，通过采购人相关部门现有的数据备份系统进行恢复。

最终形成《安全事件应急演练实施方案》、《安全事件演练报告》。

8.安全咨询和培训

1）配合采购人相关部门开展网络信息系统安全体系规划和建设，协助采购人网络信息系统的安全策略配置和优化。

2）成交供应商一年为采购人提供至少 2 次的网络安全（涉及渗透测试基础知识、安全服务工具操作、网络安全意识等）现场培训，培训内容和方式由采购人相关部门决定，由成交供应商提供师资及教学课件等。

服务成果要求包含但不限于以下文档：《培训相关讲稿》。

9.驻场服务

成交供应商应并委派有经验的安全人员提供驻点服务，协助采购人相关部门处理日常安全工作，负责采购人相关部门网络信息系统的安全设备管理、安全事件监测和处理警、安全日志分析和重大节日安全保障等日常安全运维工作。

1）日常驻点运维

驻点工程师协助完成采购人相关部门网络信息系统的日常安全运维工作。负责安全设备的日常管理、巡检、配置变更、升级、维修的跟踪等；负责日常系统漏洞处置、病毒防范与处理、网络攻击与入侵的及时反应与协调处理；负责对网络运行状态、网络流量、用户操作行为等进行监测、记录和分析，日志留存不少于 6 个月；负责对采购人相关部门业务系统安全配置需求的合理性和安全性进行合规性审查；负责对网络信息系统有关的防火墙、WAF、病毒软件等安全设备特征库升级进行升级；负责配合测评公司对现有的网络信息系统进行测评。负责与成交供应商保障团队及设备厂家沟通协调等工作。

2）重大节假日保障

在节假日与重大活动期间，由成交供应商派遣具有安全保障经验的网络与系统安全工程师到进行现场安全保障工作，提高突发事件的处理能力，主要工作内容包括但不限于为安全设备维护技术支持、安全监测分析、安全事件应急响应、系统安全相关问题解答等。成交供应商提供的安全职守服务必须满足重大活动会 议期间 7×24 现场职守和应急响应，提供每日详细工作报告。

10.配合上级部门安全检查

成交供应商在服务期内应配合采购人相关部门按照网信、公安等有关部门网络安全执法检查自查具体要求对采购人相关部门现有网络信息系统进行自查，并形成安全评估报告，每年进行至少1 次详细的安全自查。成交供应商负责根据安全检查结果，对发现的安全问题进行评估，并有针对性的提出合理解决方案与整改措施，并协助采购人相关部门进行安全整改,完成检查必须的材料收集、信息汇总、信息填报、情况总结等内容。具体的检查内容包括但不局限于：

1）服务器

①Windows 服务器：密码安全策略；账户登录超时锁定策略；来宾账户策略； 审核策略；时间查看器；Microsoft 网络服务器；故障恢复控制台；交互式登录； 网络访问；审核；权限分配；防火墙等

②Linux 服务器：用户密码复杂度；定期更改密码；账户登录错误锁定策略； 主机的信任关系；重要系统文件的权限；自动注销账户登录；更改ssh 端口；减少用户shell 下保存历史命令的条数；不必要的服务；设备密码重复的次数；防火墙等。

2）网络设备：用户账号口令策略；console 口登录方式；是否配置不同权限账户；console 口和 vty 线路登录超时设置；账户锁定功能等。

3）安全设备：确保设备登录方式为 https；限制设备的管理登录地址；密码复杂度设置；设备的登录超时设置；配置不同权限的用户；安全策略配置需达到端口级；需对用户的连接数进行限制等。

4）业务系统：优化安全防护策略；优化操作系统、中间件和数据库安全漏洞；禁用不必要的端口映射；数据备份；分析安全日志。

（三）其他要求 

1.服务期限

自合同签订之日起，提供一年运维服务。

2.服务团队要求

（1））驻场人员

要求成交供应商安排至少 2 名驻场运维工程师全职负责本项目相关的驻场运维服务工作，驻场人员须具有基本的网络认证证书（如HCNP 或H3CSE 或CCNP 或网络工程师（软件）等），其专业构成及技术能力必须充分胜任本项目提出的各项技术服务要求，须确保联系电话 24 小时畅通，工作时间内做好驻场运维服务工作，如遇应急情况，须在工作时间以外情况，须保证2 小时内到达现场。对于不符合采购人要求的人员，采购人有权要求更换。

注：除评分标准中要求提供的相关人员证明材料作为评分条件外，供应商在响应文件中无须提供人员其他相关证明材料，由采购人在合同签订后成交供应商进场服务前核查人员配备情况，人员须按照要求配备到位，否则采购人有权解除合同并报监管部门按规定处理。

（2）驻场时间

全年 7×8 小时驻场，重保时期提供 7×24 小时服务，特殊情况按采购人实际要求执行。

（3））服务团队

供应商需为本项目设立后台服务团队，服务团队应至少由技术总负责（1 人）、项目经理（1 人）、渗透测试、应急响应等方面多名专家组成，专家运维团队须明确到人，确保在运维和故障处理时能联系到相关人员，服务团队每年在项目现场开展网络安全相关工作次数不少于 2 次。

注：除评分标准中要求提供的相关人员证明材料作为评分条件外，供应商在响应文件中无须提供人员其他相关证明材料，由采购人在合同签订后成交供应商进场服务前核查人员配备情况，人员须按照要求配备到位，否则采购人有权解除合同并报监管部门按规定处理。

3.项目相关技术和质量要求

1）成交供应商结合安全监测、预警、检测与运维等工作实际情况，须每季度提供采购人信息系统网络安全整体形式评估报告，包括但不限于安全监测预警信息、安全风险信息、安全事件信息、整改情况等，并提出优化建议。

2）成交供应商结合采购人信息系统实际情况，制定各信息系统资产清单， 形成整体台账，及时对资产内容进行动态更新，对各系统的安全信息进行详细登记，包括但不限于安全监测预警信息、安全风险信息、安全事件信息、整改情况等，保证整体台账清晰，资料完整。

3）成交供应商提供的驻场服务人员，在合同签订后有 1 个月试用期，试用期结束后采购人对驻场人员技术能力、沟通能力、工作态度等方面进行综合考评， 考评不合格成交供应商应及时更换；

4）在服务期内，供应商的驻场人员调整或更换，须事先征得采购人同意后才能进行。

5）成交供应商安排的原厂驻场工程师须保证全年 7×8 小时驻场,如因特殊原因需要请假，成交供应商须提前通知采购人并安排具有同等技术能力的人完成相关服务。

6）成交供应商有义务对设备驻场人员进行操作培训，以便更好地掌握项目运维技能。

4.服务管理与保密事项

1）在服务期间，供应商的驻场服务团队须严格遵守采购人制定的各项规章制度、管理流程以及操作规范。

2）在服务期间，由于供应商的原因造成重大安全事故、生产系统瘫痪、数据丢失等严重问题的，采购人将追加供应商的法律责任，并有权要求供应商赔偿由此造成的一切损失。

3）不论何时（服务期间或服务期结束后），供应商必须对运维服务过程中接触的采购人所有信息和数据保密。未经允许不得以任何方式向外界传递或泄露采购人的任何信息或数据，一旦发现，将追究供应商法律责任。

成交供应商在日常运行维护过程中必须严守保密纪律，并与采购人签订信息化运维保密协议。

6.项目验收要求

项目服务期满后，成交供应商应提交年度运维服务报告，由采购人组织对供应商在服务期内的服务质量进行评估，并出具项目验收报告。

7.其他实施要求

1）合同签订之日起 7 个工作日内，成交供应商须安排驻场人员到采购人项目实施现场提供驻场服务。

2）首次服务方案：针对首次提供服务的供应商，入场服务时需制定本项目运维实施方案，针对每项服务提出具体服务计划和服务人员安排，并提交采购人。