采购需求

一、 服务清单及需求

为加强和规范管理滁州市自然资源和规划局信息网络及数据安全工作，提高信息系统整体安全防护水平，实现信息安全的可查、可视、可控，依据国家有关法律、法规的要求。   本次网络安全运维服务项目的需充分围绕滁州市滁州市自然资源和规划局本地业务系统和云上系统的安全保障需求来设计和实施，具体服务清单及需求如下：

序号	服务项	服务期限
1	信息系统资产梳理服务	1 年
2	信息安全风险评估服务	1 年
3	安全漏洞扫描及配置核查服务	1 年
4	渗透测试服务	1 年
5	安全巡检服务	1 年
6	安全加固服务	1 年
7	安全应急响应服务	1 年
8	安全应急预案与演练服务	1 年
9	特殊时期网络安全重保服务	1 年
10	安全培训服务	1 年
11	网站安全监测服务	1 年
12	数据资产调研服务	1 年
13	现场基础 IT 运维服务	1 年

 

信息系统资产梳理服务

运维服务商需对滁州市自然资源和规划局现有的网络设备、安全设备、主机设备、存储备份设备、业务系统、基础软件等信息系统资产进行统计，统计的内容包括但不限于资产   的物理位置、机柜位置、接线情况、品牌、型号、参数、相关文档、标准化编号等，形成符   合要求的资产统计文档，主要是信息系统网络拓扑图、机柜物理部署图、信息系统资产归档   文档等。

频度要求：每季度更新一次汇总核查。信息系统资产梳理服务交付物主要为：

《滁州市自然资源和规划局应用系统资产季度报表》

信息安全风险评估服务

运维服务商需分析滁州市自然资源和规划局信息系统及其所依托的网络信息系统的安全状况，全面了解和掌握系统面临的信息安全威胁和风险情况，从技术层面和管理层面确定   评估范围、资产的识别和估价、安全威胁评估、脆弱性评估等。

频度要求：每半年一次全面评估。

信息安全风险评估服务交付物主要为：

《滁州市自然资源和规划局风险评估半年度报告》

安全漏洞扫描及配置核查服务

运维服务商需配备专业的漏洞扫描及配置核查工具，针对滁州市自然资源和规划局的信息系统每季度通过评估工具和人员以远程和本地扫描、检查的方式对评估范围内的系统和网络进行安全漏洞扫描和配置核查服务，从内网和外网两个角度来查找网络结构、网络设备、   服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞、配置合规及其他检查服务。

频度要求：每季度一次。

安全漏洞扫描服务交付物主要为：

《滁州市自然资源和规划局漏洞扫描及配置核查季度报告》

渗透测试服务

运维服务商需对滁州市自然资源和规划局重要业务系统按季度进行专业人工渗透测试查找漏洞并解决问题，包括本地和远程渗透测试；验证滁州市自然资源和规划局当前的安全   防护措施，找出业务风险点，并提供整改建议，协助进行安全整改。

频度要求：每季度一次。

渗透测试服务交付物主要为：

《滁州市自然资源和规划局渗透测试季度报告》

安全巡检服务

运维服务商需对滁州市自然资源和规划局的信息系统设备每月进行一次巡检，确保每一台（套）安全设备设施均符合所述的“有效”原则，处于有效工作状态。主要巡检内容包   括但不限于：网络设备硬件配置检查、网络设备功能性检查、安全设备硬件（软件）配置检   查、安全设备功能性检查、网络性能分析、安全系统性能分析等，并提交巡检服务报告。

频度要求：每月一次。

安全巡检服务交付物主要为：

《滁州市自然资源和规划局安全巡检月度报告》

安全加固服务

运维服务商需每季度根据安全漏洞扫描结果、设备巡检及渗透测试结果，监督、协助应用系统开发厂商对滁州市自然资源和规划局重要主机（服务器）、网络设备、数据库系统进行安全加固，与应用系统开发厂商合作修补已发现的应用系统漏洞。

频度要求：每季度一次。

安全加固服务交付物主要为：

《滁州市自然资源和规划局安全加固服务季度报告》

安全应急响应服务

运维服务商在接到滁州市自然资源和规划局的应急响应需求后，需按事件级别，在规定时间内对自然资源和规划局突发的重要安全事件进行响应，立即开展定位、分析、协调、   处理，提交事件调查和处理报告。为滁州市自然资源和规划局核心系统平台提供各种安全问题的应急响应技术服务，做到遇到问题第一时间处置。

频度要求：按需实时响应。

安全应急响应服务交付物主要为：

《滁州市自然资源和规划局突发事件处理报告》

安全应急预案与演练服务

运维服务商需结合相关主管单位和信息系统等级保护的具体内容，按照滁州市自然资源和规划局的要求组织相关技术力量配合完成滁州市自然资源和规划局应急响应指南和具   体操作规程。在配合滁州市自然资源和规划局完成应急响应演练前需提交应急演练计划、实   施方案，完成应急演练后需提交演练报告，并进行总结。

频度要求：每半年一次。

安全应急预案与演练服务交付物主要为：

《滁州市自然资源和规划局应急演练方案》

特殊时期网络安全重保服务

运维服务商需在两会、五一、十一、春节等重要敏感时期以及滁州市自然资源和规划局业务高峰期、重大活动期间，做好安全保障准备工作，提供现场和远程人力保障，确保滁   州市自然资源和规划局业务系统安全运行，避免敏感事件或影响业务的安全事件发生。

频度要求：按需实时响应。

特殊时期网络安全重保服务交付物主要为：

《滁州市自然资源和规划局重大活动保障方案及工作总结

安全培训服务

运维服务商通过培训，跟踪最新安全攻击事态和安全威胁趋势，从而在信息安全建设工作上更主动，更具有前瞻性，通过安全意识培训使滁州市自然资源和规划局内信息系统管   理人员和技术人员充分认识到信息安全的重要性，提高安全技术人员的安全技能。运维服务   商需对全局人员提供 2 次信息安全综合培训，对滁州市自然资源和规划局内部 IT 人员定期进行网络安全、攻防技术、安全意识等培训。

频度要求：每半年一次。

网站安全监测服务

运维服务商需对滁州市自然资源和规划局业务系统开展 7*24 小时网站监测服务，内容包括但不限于“平稳度监控”、“敏感内容监控”、“网站挂马监控”、“网站篡改监控”   和“应用漏洞监控”等；针对各项告警、预警信息进行即时研判和及时处置；采取技术手段   或人员值守方式实时监测互联网边界网络流量，及时发现攻击行为或隐患。每周、月、年生   成相应的监测报告。

频度要求：实时监控，每月生成相应的监测报告。 网站安全监测付物主要为：

《滁州市自然资源和规划局网站安全监测服务月度报告》

数据资产调研服务

运维服务商需全面对滁州市自然资源和规划局当前数据安全建设现状，明确覆盖哪些业务单元、覆盖哪些系统，明确各个接口人与相关系统在业务中的职责和作用。制定数据安   全调研方法、落实服务流程，明确现有数据类型、服务工具扫描的环境以及服务交付物的形   式等。

运维服务商需全面梳理滁州市自然资源和规划局当前数据安全建设现状，明确哪些业务单元，哪些系统涉及数据资产、明确各个接口人在相关系统数据资产生产流转中的职责和   作用。制定数据安全调研方法、落实数据安全服务流程，明确现有数据类型等。

频度要求：年度任务。（年初提供） 数据资产调研服务交付物主要为：

《滁州市自然资源和规划局 XX 年度数据资产调研报告》

现场基础 IT 运维服务

运维服务商需委派 1 名有三年运维经验的技术人员提供现场基础 IT 运维服务，运维技术人员熟识运维服务流程，具备安全服务工作经验，精通日常网络知识，熟悉防病毒、防火   墙、WAF、IPS 等安全工具的配置和维护，熟悉渗透测试和攻防演练技能，并能协助滁州市

 

自然资源和规划局处理现场基础 IT 运维及各类信息化工作事项，服务范围包含办公桌面电脑约 200 台，综合办公设备约 80 台，网络设备、服务器及存储设备约 100 台等。服务内容包括日常管理、巡检、配置变更、系统升级及维修（不包括更换硬件费用），软硬件问题处理和各类信息化工作支撑等。运维服务商同时需提供滁州市自然资源和规划局现有SASNX3-H600C 堡垒机一年原厂硬件质保及软件升级服务及为满足业务增长需要，授权管理设备总数从 50 台扩展到 100 台，中标公示期需提供原厂售后服务承诺函，质保期从合同签订生效后算起。

二、 项目服务团队要求

维服务商需成立技术服务团队，技术服务团队由项目经理、网络安全运维工程师、数据安全运维工程师、现场基础 IT 运维工程师、后端项目组团队等多名专家组成，服务团队具体职责须明确到人，确保在运维和故障处理时能及时联系到相关人员。运维服务团队的每   名成员制定详细的工作职责，对于技术水平低、服务态度差、工作不认真、责任性不强的运   维人员，在滁州市自然资源和规划局提出更换要求下，须立即予以更换。

本次服务计划采用 1+1+1+1+X 的项目团队模型，具体如下：

• 1名项目经理：负责整体项目管理、交付、协调等工作；
• 1名网络安全运维工程师：负责项目中相关网络安全运维及技术性服务工作；
• 1名数据安全技术工程师：负责项目中相关数据安全技术性服务工作；
• 1名现场基础 IT 运维工程师：负责项目中现场基础 IT 运维性服务工作；
• X名后端项目组团队：用于保障临时复发性人力需求。

三、 项目服务质量要求

运维服务商应针对服务项目内容制定详细《运维服务方案》，明确具体运维服务计划、  日常实施方案。运维服务商应设立服务台，开通服务电话和技术支持电话，提供 7×24 小时的远程技术热线支持。

四、 项目服务纪律要求

运维服务商需确保其提供的运维服务人员服从滁州市自然资源和规划局的领导和管理，  包括制定工作制度、监督工作的执行质量、分配和调整工作资源等，需服从滁州市自然资源和规划局安排。

五、 项目服务保密要求

运维服务商在服务期间，运维服务商的驻场服务团队须严格遵守滁州市自然资源和规划局制定的各项规章制度、管理流程以及操作规范。

不论何时（服务期间或服务期结束后），运维服务商必须对运维服务过程中接触的滁州   市自然资源和规划局所有信息和数据保密。未经允许不得以任何方式向外界传递或泄露滁州   市自然资源和规划局的任何信息或数据，一旦发现，将追究运维服务商法律责任。运维服务   商在日常运行维护过程中必须严守保密纪律，并与滁州市自然资源和规划局签订网络安全运   维保密协议。