招标文件
采购需求
前注:
本说明中提出的技术方案仅为参考,如无明确限制,供应商可以进行优化, 提供满足用户实际需要的更优(或者性能实质上不低于的)服务方案,且此方案须经磋商小组评审认可。
一、采购需求前附表
|
序号 |
条款名称 |
内容、说明与要求 |
|
1 |
付款方式 |
签订合同后预支付合同款的 50%,验收合格后支付合同余款 |
|
2 |
服务地点 |
安徽省教育招生考试院,采购人指定地点 |
|
3 |
服务期限 |
2022 年 10 月 1 日-2023 年 9 月 30 日 |
|
4 |
本项目采购标的所属行业 |
软件和信息技术服务业 |
二、服务概述
安徽省教育招生考试院(以下简称“考试院”)是承担普通高等学校招生、研究生和成人高等学校招生、高等教育自学考试及各类非学历证书考试组织工作的机构。近年来,安徽省教育招生考试院的考试招生信息化应用急剧增加,支持业务应用开展的信息系统基础设施建设也不断推进,而与之相适应的信息系统安全建设却没有很好的同步完善,伴随着招生考试领域的安全威胁不断升级和合规监管的双重压力,迫切需要引入专业的安全服务商为考试院提供信息安全专业服务,来进一步保障考试招生信息系统的安全运行,达到“事前可预防、事中可控制、事后可恢复”的网络安全保障目标。
三、服务依据
本次安全服务各项工作均应依据下列相关的政策条例、国家标准、行业要求。
n《中华人民共和国网络安全法》
n《国家网络安全事件应急预案》(中网办发文〔2017〕4 号)
n《 信 息 技 术 安 全 技 术 信 息 安 全 管 理 体 系 要 求 》 ( GB/T22080-2016/ISO/IEC 27001:2013)
n《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)
nGBT22239-2019《信息安全技术网络安全等级保护基本要求》
nGBT25070-2019《信息安全技术网络安全等级保护安全设计技术要求》
《信息安全等级保护商用密码管理办法》(国密局发〔2007〕11 号)
- 四、服务范围
本次安全服务范围包含安徽省教育招生考试院 5 大系统,分别是网上业务系统、考务指挥系统、网上评卷系统、网上录取系统,办公系统;服务器总数约150 个,应用合计约 25 个,150 个服务器(主要为虚拟机)系统。
第 1 包:基础安全服务
五、服务清单
|
序号 |
服务名称 |
主要服务概述 |
说明 |
|
1 |
安全培训 |
网络安全意识培训、网络安全技能培训。 |
2 次 |
|
2 |
重点保障及驻场服务 |
网络安全迎检指导、重要时期保障。 |
90 天 |
|
3 |
安全预警 |
定期为用户提供漏洞预警,特殊时期提供 7*24 小时紧急预警通告服务。 |
1 年 |
|
4 |
日常巡检 |
定期进行日常巡检,包括网络安全日志分析,基线核查,安全问题处置等相关内容。 |
每月 1 次 |
|
5 |
应急响应服务 |
服务期限内按照考试院要求提供突发网络安全事件的应急响应服务。提供服务器应用系统主机威胁监测、异常行为发现及安全风险处置。 |
按需 |
|
6 |
高级威胁检测设备租用服务 |
服务期限内提供高级威胁检测设备租用服务,用于对高级威胁的检测。 |
1 年 |
|
7 |
老旧设备维保 |
服务期内提供老旧安全设备(清单见 六、服务内容第 12 项)的硬件保修、巡检及备机服务,如清单所列安全设备出现异常,须 2 小时内提供性能和功能均不低于故障设备的周转备机进行现场替换,以满足防护要求。 |
1 年 |
包含但不限于上述清单所列内容。
六、服务内容
1、 安全培训
安全培训包含网络安全意识培训和网络安全技能培训两个部分,成交供应商根据考试院的实际情况制定针对全员的网络安全意识培训课程,提升全员的网络安全意识,更好推动信息系统安全工作的开展;针对相关技术工作人员的技术水平,制定切实可行的网络与信息安全应急培训课程,通过专业的安全培训,使考试院信息系统管理人员和技术人员充分认识到网络安全的重要性,并能够持续提升安全管理能力和安全应急技术能力。
服务交付:包括但不限于以下内容
- 《安徽省教育招生考试 院安全意识培训课程》(PPT)及培训至少 1次
- 《安徽省教育招生考试院安全技能培训课程》(PPT)及培训至少 2次
2、 重点保障及驻场服务
合同签订后,在中高考、重大节日、护网等敏感时段,成交供应商派遣项目组经验丰富的安全服务工程师至考试院现场进行安全值守,为保证驻场服务人员的专业性,驻场人员应具备需具备不少于 2 年的信息安全从业经验(合同签订后驻场服务开始前向采购人提供相关人员信息,经采购人核实同意后方可履约), 驻场时段全年累计约 3 个月,驻场人员每天的工作时间与考试院的工作时间一致。重保前,成交供应商须对考试院的重点保护目标进行梳理,确定重点保障业务系统目标,然后利用风险评估工具对目标系统开展风险评估工作,尽可能最大程度发现目标系统存在的安全漏洞,并配合考试院及时对漏洞进行修复和加固。重保期间,成交供应商需提供未知威胁检测设备,用于对高级威胁检测,驻场工程师负责进行安全事件分析;驻场工程师对考试院目标系统进行现场安全值守, 云端 7*24 远程实时监测,能第一时间迅速发现安全问题,驻场工程师随时联动后端技术安全团队,按照标准化流程开展安全事件的研判和响应工作,确保每种类型的安全事件都有专业知识的安全专家来解决。重保结束后,成交供应商安排专家对重保工作进行总结。
服务交付物:包括但不限于以下内容
- 《安徽省教育招生考试院重保服务报告》
3、 安全预警
成交供应商每周追踪 CNVD(国家信息安全漏洞共享平台)、CNNVD(中国国家信息安全漏洞库)和其他国内主要漏洞平台发布的最新漏洞,以及业界安全动态及重大安全事件,作为预警信息及时通知考试院开展相关防范工作如补丁提供、测试与安装、系统加固等,预警信息内容包括但不限于补丁安全通告、漏洞公告、病毒公告等,如遇考试院信息系统相关联的预警信息,须第一时间通知考试院,及时提出整改意见。如遇考试院需要,成交供应商须提供态势感知系统, 进行 7*24H 实时安全监测,并实时预警、推送。
服务交付物:包括但不限于以下内容《安徽省教育招生考试院信息系统安全预警报告》
4、 日常巡检
成交供应商对服务范围内的信息系统至少每周提供 1 次巡检服务,包括登录安全设备或系统,查看设备运行情况、校验配置策略、更新系统版本等,并分析设备的安全日志,针对网络入侵、攻击等高危安全日志,进一步确定安全原因, 提出安全控制措施和安全建议。
服务交付物:包括但不限于以下内容
- 《安徽省教育招生考试院日常安全运维报告》
- 《安徽省教育招生考试院信息系统安全服务运营报告》(每季度一次)
- 《安徽省教育招生考试院信息系统季度汇报》(PPT)
5、 应急响应服务
成交供应商在考试院发生网络安全事件时,提供专业及时快速的应急响应服务,安全专家需 2 小时内到达现场,对安全事件进行分析、检测、抑制、处理, 溯源并恢复系统正常运行。提供服务器主机系统应急响应服务,通过漏扫、风险发现、病毒查杀、基线检查等技术手段,及时发现服务器的安全漏洞、弱口令、文件上传、无文件攻击安全风险,并对恶意扫描、暴力破解、异常登录、反弹shell、本地提权行为等进行应急处置。完成后给出应急响应报告,报告中将还原安全事件发生的过程,同时给出对应的解决建议。尽可能减少和控制安全事件带来的损失。
服务交付物:包括但不限于以下内容《安徽省教育招生考试院网络安全事件应急处置报告》
6、 高级威胁检测设备租用服务
成交供应商在服务期限内,提供高级威胁检测设备租用服务,用于对高级威胁检测,设备使用时间为 12 个月,驻场工程师负责进行安全事件分析。
高级威胁检测设备通过全流量安全分析引擎,结合威胁情报的 IOC 快速比对,能在极短的时间内发现流量中的攻击行为,此外根据威胁情报告警提供的信息结合云端威胁情报中心进行二次分析,发现其他关联的攻击。
设备提供对威胁事件的调查分析能力,安全驻场人员可以对需要调查的威胁事件创建任务,将所有与调查问题相关的告警、日志、漏洞、配置核查、弱口令、文本和图片信息都添加至任务中。通过时间线展示、标注等功能回溯并记录威胁事件的发展过程和相关影响,借助日志检索功能不断的扩展其他的日志线索,丰富该威胁事件相关证据。设备支持完整的攻击链分析,在数据完备的情况下可以还原整个攻击过程。
服务交付物:包括但不限于以下内容《安徽省教育招生考试院高级威胁检测服务报告》
7、 老旧设备维保
本服务为安徽省教育招生考试院部分网络安全设备提供硬件维保及备机服务,要求成交供应商对设备清单所列设备提供软硬件运行维护,包含现场技术支持服务。
老旧安全设备清单如下:
|
序 号 |
服务项目 |
品牌型号 |
数量 |
维保要求 |
|
1 |
SSL VPN |
网神 SecSSL3600 X1500 |
2 台 |
硬件维保 |
|
2 |
安全管理平台 |
网神 Secox-SNI S1000 |
1 台 |
硬件维保 |
|
3 |
运维审计系统 |
网神 SecFox-BH |
1 台 |
硬件维保 |
|
4 |
Web 应用防火墙 |
网神 SecWAF3600 W1000 |
1 台 |
硬件维保 |
|
5 |
日志设计系统 |
网神 SecFox-LAS R2000 |
1 套 |
硬件维保 |
|
6 |
入侵检测系统 |
网神 SecIDS 3600 1000-CX |
1 台 |
硬件维保 |
|
7 |
入侵防御系统 |
网神 SecIPS 3600 FS520 |
1 台 |
硬件维保 |
|
8 |
业务审计系统 |
网神 SecFox-NBA |
1 台 |
硬件维保 |
|
9 |
防火墙 |
网神 NSG 1400 |
2 台 |
硬件维保 |
|
10 |
防火墙 |
网神 NSG 3200 |
2 台 |
硬件维保 |
|
11 |
防火墙 |
网神 SecGate3600 G7 |
4 台 |
硬件维保 |
成交供应商为本项目上述设备清单所列设备提供一年响应级别不低于 5*8 小时的软硬件质保服务,负责保障上述设备清单所列设备的软硬件运行情况,定期巡检、维护,尽早发现问题及时解决。运维服务工作包括但不限于以下内容:
- 日常巡检:成交供应商至少一年四次对上述清单中设备进行巡检,并出具巡检报告。
- 响应时间:服务期内,对设备的各种故障,成交供应商需提供 7*24*2 的现场响应服务。
- 周转设备:服务期内,若设备发生故障不能及时修复,成交供应商需 2 小时内提供周转设备,以先保证采购人的正常业务使用,待故障修复后再进行替换。
- 备机服务:在考试院重要业务运行期间(6月-9 月),成交供应商对影响业务运行的关键设备 VPN、防火墙和 Web 应用防火墙,提供用户现场备机服务。
- 设备更新:成交供应商需提供入侵防御、数据库审计、日志审计系统各一套,用于对本项目中部分老旧安全设备的更新。
七、服务要求
1、 管理要求
成交供应商应按照项目的需求建立完善的项目组织机构,进行相关的项目管控,项目组织结构至少包括以下部分:
- 项目领导小组:由成交供应商高层领导组成,对项目重要事项进行决策, 负责协调项目资源,并对整个项目的执行情况进行监督管理。
- 质量保障组:负责项目的实施质量,制定质量保障计划,保证项目的整体进展进度和质量。
- 项目经理:负责项目实施的组织、协调。
- 项目实施组:在项目经理带领下,负责项目的具体实施工作。
有关职责职能必须在项目组织结构里面体现,应明确标明每个项目人员的具体分工。
2、 工期要求
(1)成交供应商应按照本项目的需求合理规划工期安排,提供实施路线图,中标后需按照约定的时间完成相关工作。
(2)成交供应商的项目进度管理应该遵循以下原则:
n项目进度管理的依据是项目合同所约定的工期目标;
n在确保项目质量和安全的原则下,控制项目进度。
(3)成交供应商的项目进度管理应该至少包含以下内容:
n根据项目要求和工期,制定具体实施计划,明确各阶段工作任务;
n按照具体实施计划,定期跟踪检查,对可能发生的延误提出相应对策; 定期或不定期地召开或参加项目例会、协调会议等,向招标方通报项目进展情况,提交进度报告,及时解决相关问题;
(4)建立项目变更流程,记录项目变更。
3、 保密要求
成交供应商应严格遵守合同规定,执行国家《保密法》及有关保密的法律法规,选派具有良好职业道德的人员参与和从事本项目工作,教育相关人员恪守职业道德,服从考试院的管理,严格遵守考试院的保密规定和工作制度,并承担相应的保密责任。
项目实施过程中,成交供应商收集、产生与本项目相关的所有文档、资料, 包括文字、图片、表格、数字等各种形式所属权均归属考试院,成交供应商有义务对涉及到的内容保密,成交供应商及其服务人员需按照考试院要求签署保密协议。
成交供应商自觉接受考试院的安全保密监督和管理,成交供应商如违反安全保密条款,考试院将追究其责任,对重大的泄密事件将移交司法部门追究其法律责任;对成交供应商泄露考试院资料,造成伤害的,除依据国家法律有关规定追究有关责任人员法律责任外,还将依法承担相应的责任。
4、 人员要求
成交供应商须提供拟派参加本项目的主要人员名单以及各自职责的划分,其中至少包含一名项目经理、一名技术负责人、一名安全测试服务工程师、一名驻场工程师(除评分标准中要求提供的相关人员证明材料作为评分条件外,供应 商在响应文件中无须提供人员其他相关证明材料,由采购人在合同签订后成交 供应商进场服务前核查人员配备情况,人员须按照要求配备到位,否则采购人 有权解除合同并报监管部门按规定处理)。其中,项目经理和技术负责人必须参与整个项目实施过程。驻场工程师在项目实施过程中须驻场 3 个月。
如若更换名单内人员视为供应商违约,采购人有权终止服务合同,由此造成的一切后果和损失必须由供应商承担。
5、 质量要求
成交供应商应建立严格的质量保证体系,制定项目建设的质量控制方案和实施措施,并督促落实各环节质量控制内容和目标;保证项目各个阶段工作满足招标方对质量的要求。
成交供应商应根据项目的工作计划,对阶段性工作成果进行审核,并向采购人提交里程碑式工作成果。通过保证各阶段性成果的质量,最终保证整个项目的质量。
八、报价要求
本包别报总价,报价包含完成本包别所产生的一切费用,履约期间采购人不再追加任何费用,供应商报价时综合考虑报价风险。
详情见招标文件
收藏