采购需求 

前注： 

本说明中提出的技术方案仅为参考，如无明确限制，供应商可以进行优化， 提供满足采购人实际需要的更优（或者性能实质上不低于的）服务方案，且此方案须经磋商小组评审认可。

一、采购需求前附表 

第 1 包： 

二、项目概况 

随着社会信息化建设的逐步深入，各行各业对信息系统的依赖程度不断提 高，信息系统的稳定运行直接关系到社会秩序与国计民生。2017 年国家颁发《网络安全法》，分别从网络安全支持与促进、网络运行安全一般规定、关键信息基 础设施的运行安全、网络信息安全、监测预警与应急处置五个方面，对网络安全 有关事项进行了规定，勾勒了我国网络安全工作的轮廓：以关键信息基础设施保 护为重心，强调落实运营者责任，注重保护个人权益，加强动态感知快速反应， 以技术、产业、人才为保障，立体化地推进网络安全工作。为了加强安徽合肥公共资源交易中心信息网络安全，通过购买专业的安全服务对各业务系统现状进行了梳理，通过漏洞扫描、代码审计、WEB 云监测、云防护等技术手段，发现各业务系统的安全漏洞，并进行了加固和修复，使省安徽合肥公共资源交易中心的信息安全防护能力得到全面提升。供应商对安徽合肥公共资源交易中心网络进行整体安全管理，不限于使用交易中心现有设备，提供针对恶意攻击、入侵等情况所需设备和人员。

三、安全服务内容 

1 、事前安全服务 

1.1.组织架构与职责梳理 

服务期内对安徽合肥公共资源交易中心整体网络（包含混合云）安全完成1 次安全组织架构与职责梳理，并根据实际情况，配合安徽合肥公共资源交易中心信息办对组织架构与职责梳理进行后续的迭代更新。具体工作内容如下：

（1）安全角色定义：明确定义安全工作中的关键角色及其安全工作任务， 包括对使用单位、云服务提供商、安全服务商、运维单位、软件开发商、主管单位的安全工作任务描述。

（2）安全组织架构：规划设计政务云信息安全管理组织架构，细化各岗位的工作职责，并制定安徽合肥公共资源交易中心网络安全管理制度。

（3）安全责任边界：全面细化事前、事中、事后各项安全工作的分工和各角色之间的责任边界。编制安徽合肥公共资源交易中心网络安全责任界定表。

 提供文档： 

《安徽合肥公共资源交易中心网络安全组织架构图》 

《安徽合肥公共资源交易中心网络安全责任界定表》 

《安徽合肥公共资源交易中心网络安全管理制度》

1.2 安全管控与专项梳理 

服务期内完成一次安徽合肥公共资源交易中心安全管控专项梳理，并根据实际情况制定专项梳理内容，形成有效报告。具体内容如下：

（1）对信息安全提出明确目标，制定可操作的安全管理策略；结合应用实际，建立安全保护层次、区域和等级划分准则；

（2）根据业务特性，细化网络与信息安全事件等级，形成事件分级分类指南；

（3）建立和完善应急响应组织机构、技术保障体系和制度规范，完善应急机制，形成预防为主，预防、处置、评估和改进相衔接的应急响应工作指南；

（4）据安全事件分级分类指南，建立重大安全事件报告制度。

提供文档： 

《安全管控专项梳理报告》

1.3 网络安全资产梳理 

合同签订后 15 日内完成对安徽合肥公共资源交易中心网络安全资产梳理。

根据安徽合肥公共资源交易中心现场的实际情况，对相关系统的内、外网进行资产情报的搜集。具体内容如下：

（1）根据合肥公共资源交易中心网络现状，梳理安徽合肥公共资源交易中心网络拓扑，了解和熟悉网络架构，以便后续能做好网络安全服务及相关风险整改工作。

（2）根据合肥公共资源交易中心设备现状，统计出网络中的安全设备资产 信息。包括但不限于统计网络中的安全设备名称、物理位置、IP 地址、MAC 地址、账号、密码、策略、使用年限、端口等信息。

（3）根据合肥公共资源交易中心的业务现状，统计业务相关信息。包括但不限于业务系统名称、物理位置、IP 地址、MAC 地址、业务描述、应用程序、业务访问对象、业务访问流程等信息。

提供文档： 

《合肥公共资源交易中心网络安全资产表》

《合肥公共资源交易中心业务资产统计表》

1.4 网络安全预警通告服务 

服务期内通过各种渠道收集信息安全方面的公告，及时将梳理的结果以邮件等形式向采购人告知，并配合采购人做好相应处理工作，以达到事前防御的效果。 收集信息内容包括但不限于补丁安全通告、漏洞公告、病毒公告。当发现有新增补丁安全通告、漏洞公告、病毒公告，要及时通知并协助采购人开展相关防范工作。对于紧急重大类漏洞信息，应以最快时间通过邮件或电话向采购人告知漏洞危害、影响范围及应对方案等信息；第一时间向采购人告知互联网大型公开漏洞平台上已发布的与采购人相关的漏洞信息。供应商需提供互联网上的漏洞响应平台，提供漏洞响应平台网站URL 链接。

提供文档： 

《网络安全风险预警通告》

1.5 漏洞扫描服务 

供应商必须提供专业的漏洞扫描设备对安徽合肥公共资源交易中心整体网络信息系统进行漏洞扫描服务:包括对网站等应用系统进行漏洞检测、漏洞验证、提出漏洞处置建议等工作。供应商在接到检测申请的一周内由本地驻场人员完成 本项检测服务，从漏洞的检测、验证、处置、再验证有效性形成闭环式管理，为 每个检测的网站等应用系统提交《应用系统漏洞检测报告》，为采购人提供报告 所涉及漏洞的解释服务，包括验证危害、处置措施等。 

本次漏洞扫描服务需要满足以下要求：

（1）提供操作系统、数据库、网络设备等主流系统的漏洞库列表。

（2）能够对后门检测的安全漏洞检查，包括对 Microsoft IIS、特洛伊木马检测、Mac OS X 恶意程序等常见后门漏洞的安全检测，并提供至少 100 种以上的相关漏洞库。

（3）提供对 Web 网站漏洞扫描，能够查看网站漏洞情况和 Web 目录结构，数据进行实时同步呈现。

（4）能够通过专用的口令破解字典，包括密码字典、采购人名字典、组合 字典等多种口令破解字典，支持对 SMB、TELNET、FTP、SSH、POP3、MSSQL、MYSQL、ORACLE、DB2、SNMP 等协议进行口令猜测。

（5）提供漏洞对比机制，针对多次漏洞扫描情况进行对比，了解新增漏洞  、减少漏洞的详细数据。

（6）提供漏洞验证工具，支持通用验证方式，提供GET、Post、Put、Delete等多种验证方式。

详情见招标文件