招标文件
公开招标需求
本次招标共1个标段,具体内容如下表:
|
标段号 |
项目名称 |
简要技术要求 |
数量 |
单位 |
预算(万元) |
上限价(万元) |
服务期 |
|
1 |
椒江区信息与数据安全服务采购项目 |
详见技术需求 |
1 |
项 |
223 |
223 |
1年 |
一、 项目概况
近年来,国内外网络安全形势不断变化,一方面国家之间外交政策的调整,另一方面疫情对世界格局变化的加速,都给网络安全环境带来了巨大影响,各种反动势力极有可能会在重要期间通过各种方式进行破坏和干扰,其中就包括针对政务相关业务系统和网站进行的各种网络攻击等行为。“没有网络安全就没有国家安全”,在复杂的国际环境下,提升整体网络安全保障水平是当前的一项重要任务。所以国家为了加强各行业、各单位的网络安全管理与建设,自2017年《中华人民共和国网络安全法》施行后,陆续发布并施行了《中华人民共和国密码法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规体系。
椒江区大数据局作为市重点政府单位,由于人员编制有限,缺乏有效的安全监测、安全检测、安全防护手段,缺少完整的技术服务团队,无法完全做到对安全事件的事前监测、事中防护、事后响应。如何构建统一、全面、持续的一站式网络安全保障体系,帮助椒江区大数据局高质量地满足国家网络安全法律法规要求,保证业务与安全同步发展、相互促进,突出安全能力成效,提升投入产出比,降低成本,全面提升网络安全保障能力,一直是困扰椒江区大数据局相关人员的难题,所以通过此次安全服务项目,借助第三方网络安全专业单位的技术力量,帮助椒江区大数据局满足相关法律法规的同时,有效提升现有系统的安全保障水平。
椒江区大数据局根据国家及行业的相关要求,结合本单位信息安全实际情况,通过本项目的建设,建立健全信息安全有关组织、人员、制度规章、安全意识、应用安全、访问控制的体系,实现以下目标:
1、实战有效,面向整体。从实战视角科学规划“云、网、端、数”安全策略和措施,使用操作性强的方法论和配套工具,采用先进的安全分析模型,逐步明确和深化研究椒江区大数据局平台安全建设中的重点课题,集中资源解决整体安全问题。
2、体系合规,面向未来。充分发挥政府在统筹协调、优化环境、政策扶持、应用示范等方面的主导作用,以等保、关保等国家网络安全制度能力要求作为核心能力,强化安全体系顶层设计的约束性,考虑建立面向未来的防御与对抗扩展能力,促进“椒江区大数据局安全运营平台”有序健康发展。
3、常态保护,面向运营。保持落实面向持续的常态实施原则,加强落实常态化运营,落实较为基础但明显有效的工作开展,如:资产管理、最小权限、补丁管理、备份恢复。以较低的成本提升攻击门槛,以合理的成本保护大多数业务和数字资产。
4、动态迭代,面向发展。面向发展的工程能力迭代。在基础安全建设方面充分利用已有的网络安全资产,动态迭代有一定先进性并具备相当工程成熟度的产品,最后在关键领域局部考虑试点创新,统筹发展与安全,统筹业务的运行环境稳定与安全能力的发展。
5、持续进化,面向对抗。面向对抗的综合能力进化。网络安全工作从安全防御向安全对抗发展,整体上建立综合防御与泛在对抗能力结合进化的安全工作机制,参考军事对抗领域的作战指挥、兵种协作、武器装备和能力加强,最终实现无处不在、分布杀伤的泛在对抗体系。
3.2项目依据
严格依照国家关于信息化建设、有关法律、法规、政策文件精神,结合各种技术标准规范,编制本方案。主要参考的编制依据如下:
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》
《信息安全技术网络安全等级保护测评要求》
《信息安全技术网络安全安全等级保护基本要求》
《信息安全技术网络安全等级保护安全设计要求》
《信息安全技术信息网络攻击事件管理指南》
《信息安全技术信息网络攻击事件分类分级指南》
《网络安全等级保护实施指南》
《信息安全风险评估规范》
《信息安全技术信息安全风险评估规范》
《信息系统安全风险评估实施指南》
《浙江省公共数据开放和安全管理办法》
《浙江省信息安全等级保护管理办法》
3.3服务内容
|
序号 |
服务项 |
单位 |
数量 |
服务频率 |
||||||||||||||||||||||||||||
|
一、安全服务 |
||||||||||||||||||||||||||||||||
|
1 |
攻防演练服务 |
年 |
1 |
每年至少2次,每次3-5人攻击团队 |
||||||||||||||||||||||||||||
|
2 |
渗透测试服务 |
年 |
1 |
每年至少2次,分别安排在攻防演练前实施,按覆盖全区≥23个重要系统, |
||||||||||||||||||||||||||||
|
3 |
安全培训服务 |
年 |
1 |
每年至少2次,安全意识培训、安全技能培训 |
||||||||||||||||||||||||||||
|
4 |
应急演练服务 |
年 |
1 |
每年至少2次,上下半年各开展一次应急演练 |
||||||||||||||||||||||||||||
|
5 |
安全巡检服务 |
年 |
1 |
每月至少1次,开展安全巡检服务 |
||||||||||||||||||||||||||||
|
6 |
漏洞扫描服务 |
年 |
1 |
|||||||||||||||||||||||||||||
|
7 |
基线核查服务 |
年 |
1 |
每年至少4次,覆盖全区政务云≥86个应用系统 |
||||||||||||||||||||||||||||
|
8 |
核心业务安全运营托管服务 |
年 |
1 |
7*24H,对≥23个重要系统部署云主机安全保护系统,并通过云端安全运营中心和安全专家团队有效协同的“人机共智”模式7*24H持续性开展网络安全保障工作,构建持续(7*24小时)、主动、闭环的安全运营体系 |
||||||||||||||||||||||||||||
|
9 |
数据管理安全 |
年 |
1 |
含数据分类分级服务、数据权限管控服务、敏感数据识别服务、数据脱敏服务、数据加密服务、数据水印溯源服务、数据安全态势感知服务、数据使用侧检测服务、数据共享回流监管服务等 |
||||||||||||||||||||||||||||
|
10 |
数据安全可视化监管服务 |
年 |
1 |
含数据安全可视化监管系统适配、与部署监管应用适配 |
||||||||||||||||||||||||||||
|
二、数据治理服务 |
||||||||||||||||||||||||||||||||
|
1 |
数据资源目录服务 |
年 |
1 |
信息系统全面普查服务、目录更新维护服务、数据供需对接服务 |
||||||||||||||||||||||||||||
|
2 |
数据归集服务 |
年 |
1 |
数据归集服务 |
||||||||||||||||||||||||||||
|
3 |
数据治理服务 |
年 |
1 |
数据清洗实施服务、清洗规则、清洗规则更新服务、数据质量评分服务、数据问题反馈服务 |
||||||||||||||||||||||||||||
|
4 |
数据共享服务 |
年 |
1 |
数据申请、数据开发、批量数据、数据接口等数据共享全流程的协助指导服务 |
||||||||||||||||||||||||||||
|
5 |
其他数据开发服务 |
年 |
1 |
根据采购人实际需求提供其他开发服务,配合项目采购人做好省市相关数据考核内容 |
||||||||||||||||||||||||||||
|
6 |
专项培训服务 |
年 |
1 |
公共数据平台的使用培训、IRS的相关数据使用培训 |
||||||||||||||||||||||||||||
|
7 |
大数据计算服务 |
年 |
1 |
MaxCompute计算服务资源,1年预计需要25cu计算资源,500G存储空间 |
||||||||||||||||||||||||||||
|
二、驻场服务 |
||||||||||||||||||||||||||||||||
|
1 |
驻场服务 |
年 |
1 |
提供驻场运维人员不少于4人,负责网络、终端、业务、数据安全及数据治理相关工作等 |
||||||||||||||||||||||||||||
3.4 安全服务要求
3.4.1攻防演练服务
投标人应在得到客户授权后,面向椒江区大数据局及下属单位信息系统定期(每年不少于二次)开展红队攻击演练活动,以攻击者视角评估下属机构信息系统资产风险,深入挖掘信息系统可能存在的安全隐患,以检验信息系统安全防护状况。
1.攻防演练方案要求:投标方应根据采购人安全需求及重要业务系统结构,设计针对性的攻防演练方案,方案中应详细说明攻防演练的实施流程、可供考量的具体工作指标、各阶段输出成果、攻防演练所面临的主要风险及相应的风险规避措施。
2.攻防演练服务内容要求:目标系统选取调研、约束条件调研、通报机制调研、演练规则调研、设置目标标靶、组织裁判专家组、详细评分细则、签订保密协议。
3.攻防演练服务成果要求:投标方应编写攻防演练总结报告并提交给采购人,报告应该阐明采购人对本次演练工作中获得的成果、经验以及需要改进的问题进行总结。
3.4.2渗透测试服务
投标人应保证采购人信息系统正常运行并得到授权的前提下,在开展红队攻击演练活动前对重要系统(不少于23个)模拟黑客攻击行为通过远程或本地方式对信息系统进行非破坏性的入侵测试,查找针对应用程序的各种漏洞,帮助采购人理解应用系统当前的安全状况,发现在系统复杂结构中的最脆弱链路并针对安全隐患提出解决办法,切实保证信息系统安全。
1.渗透测试方案要求:投标方应根据采购人安全需求及重要业务系统结构,设计针对性的渗透测试方案,并提交至采购人进行评审,渗透测试方案应包括但不限于渗透测试方法和流程、渗透测试风险评估和控制方案、渗透测试所采用工具、渗透测试输出成果等。
2.渗透测试范围要求:包括但不限于以下范围的漏洞:WEB应用系统渗透、主机操作系统渗透、数据库系统渗透等。
3.渗透测试内容要求:包括但不限于身份验证类、会话管理类、访问控制类、输入处理类、信息泄露类、第三方应用类等。
4.渗透测试报告要求:投标方应编写渗透测试报告并提交给采购人,报告应该阐明采购人业务系统中存在的安全隐患以及专业的漏洞风险处置建议。
3.4.3 安全培训服务
投标人应定期(每年不少于二次)开展安全培训服务。
1. 安全咨询:为椒江区大数据局提供安全咨询服务,并协助完成来自各信息安全监管单位、上级单位的各项信息安全检查工作,协助完善椒江区大数据局信息安全管理制度。
2. 安全培训:投标人面向采购人提供包括但不限于安全意识提升、安全技术能力提升、安全管理能力提升等专项安全培训,提高椒江区大数据局工作人员对网络安全的认识,提高整体网络安全防护和管理水平。
3.4.4 应急演练服务
1. 投标人应定期(至少每年二次)开展完整的应急演练服务,依据网络与信息安全应急预案,模拟应对突发事件的活动。通过应急演练,进一步加强对应急处理预案的理解,通过演练检验预案中网络安全事件应急响应流程等的合理性。
2. 投标人应帮助招标方通过应急演练最大限度地在安全事件发生前暴露预案和流程的缺陷,反馈应急资源的保障情况,改善各部门、机构、人员之间的协调性,增强应对突发安全事件的信心和意识,提高队伍人员的熟练程度和技术水平,进一步明确各自岗位职责,提高各级预案之间的协调性,提高应急反应能力。
3. 投标人应结合招标方网络安全要求制定对应的应急演练预案,演练预案包含但不限于以下内容:
(1)有害程序事件:内网传播型病毒应急演练、勒索病毒应急演练、挖矿病毒应急演练等
(2)网络攻击事件:漏洞攻击应急演练、后门攻击应急演练等
(3)信息破坏事件:网站篡改应急演练、信息泄露应急演练等
(4)设备设施故障事件:网络设备故障应急演练、服务器故障应急演练等。
4. 投标人应根据评审后的演练方案组织相关人员开展应急演练,并对应急演练过程进行记录,形成配套演练材料,并交付《应急演练脚本》、《应急演练总结汇报》,报告频率:每年不少于二次。
3.4.5 安全巡检服务
投标人应在定期(至少每月一次)对在网运行的网络、安全、服务器等设备运行状态、告警日志进行分析,及时发现网络中的异常情况并处理修复;巡检过程中,对安全设备的特征库、操作系统、安全策略进行及时更新以抵御最新的安全威胁;巡检完成后,提供安全巡检报告。巡检内容要求至少包括:
1.漏洞扫描:对操作系统、数据库、常见应用/协议、Web通用漏洞与常规漏洞进行漏洞扫描,针对存在的漏洞提供修复建议,能够提供精准、易懂、可落地的漏洞修复方案。
2.弱口令扫描:实现信息化资产不同应用弱口令猜解检测,如:SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等。
3.基线配置核查:检查支撑信息化业务的主机操作系统、数据库、中间件的基线配置情况,确保达到相应的安全防护要求。检查项包含但不限于帐号和口令管理、认证、授权策略、网络与服务、进程和启动、文件系统权限、访问控制等配置情况。
4.安全风险评估:对椒江区大数据局区域政务专网运行系统进行安全风险评估,能够对信息系统进行资产识别、脆弱性识别、弱点风险、风险分析。
5.资产发现与分析:投标方需进行服务范围内资产的全面梳理(梳理的信息包含网络、安全、服务器、操作系统、数据库、中间件、IP地址、应用开放协议和端口、网络拓扑等)。
3.4.6 漏洞扫描服务
在政务部门的授权与监督下,投标人应定期(至少每季度一次)采用漏洞扫描工具定期对资产(包含全网终端及目前的86个应用系统)进行漏洞识别与分析,并给出漏洞修复建议。
1.支持全面扫描、资产发现、系统漏洞扫描、弱口令扫描、WEB漏洞扫描、基线配置核查六种任务类型,其中全面扫描支持系统漏洞扫描、WEB漏洞扫描、弱口令扫描同时执行。
2.★使用的漏洞扫描工具需支持全局风险统计功能,通过扇形图、条状图、标签、表格等形式直观展示资产风险分布、漏洞风险等级分布、紧急漏洞、风险资产清单等信息,并可查看详情。(需提供漏洞扫描工具满足以上功能的详细截图证明)。
3.★使用的漏洞扫描工具支持提供检测结果综述分析,按照等保2.0的检测项要求,统计客户业务系统存在的不符合、部分符合、符合、待确认、不适用检测项,直观了解自身业务系统合规情况。(需提供漏洞扫描工具满足以上功能的详细截图证明)。
3.4.7基线核查服务
投标人应在根据定义的安全配置基线,定期(每年不少于4次)对在政务云上(至少包含目前86个)应用系统安全配置情况进行检查,以发现可能会被攻击者利用的安全配置不当与建设不足,达到合规要求,提升安全防护有效性。
1.基线核查应包含但不限于以下内容:
(1)网络设备: OS安全、帐号和口令管理、认证和授权策略、网络与服务、访问控制策略、通讯协议、路由协议、日志审核策略、加密管理、设备其他安全配置等
(2)操作系统:系统漏洞补丁管理、帐号和口令管理、认证、授权策略、网络与服务、进程和启动、文件系统权限、访问控制、通讯协议、日志审核功能、剩余信息保护、其他安全配置等
(3)数据库:漏洞补丁管理、帐号和口令管理、认证、授权策略、访问控制、通讯协议、日志审核功能、其他安全配置等
2.★服务商提供的基线核查工具能实现对官方发布的高危漏洞进行自动检测识别功能(如:支持windows系统永恒之蓝漏洞(MS17-010)的检测)。(需提供基线核查工具满足以上功能的截图证明)。
3.★支持根据实际情况设置任意检查结果作为变更基线,后续变更任务将以当前基线作为变更与否的比较标准,支持与自身或其他设备的同类型变更项进行比对,检查设备间核心配置项的异同之处(需提供基线核查工具满足以上功能的截图证明)。
3.4.8 核心业务安全运营托管服务
投标人应根据椒江区大数据局业务特点对重要系统(不少于23个),结合现有的态势感知、流量探针等工具对接安全运营平台,结合安全专家团队有效协同的“人机共智”模式7*24小时持续性开展网络安全保障工作,构建持续(7*24小时)、主动、闭环的安全运营体系。
▲服务总体要求
1) 数据处理安全要求:安全运营平台数据接收和处理只限于在电子政务外网内完成,并出具承诺说明。
2) 服务兼容性要求:安全服务处置维护数据需与本地现有安全态势感知进行数据对接,并出具承诺说明。
3) 服务频率要求:为建立健全安全实战对抗能力,需开展7*24H持续安全对抗防护。
4) 专家上门要求:合同期内至少提供安全运营平台原厂安全专家12次上门安全服务。
服务水平协议SLA要求
投标方对于以下服务水平需出具承诺,并作为项目验收考核标准:
1) 安全通告服务按照国家标准对安全事件的分类分级指南,达成以下服务水平:
|
科目 |
水平要求(通告) |
|
重大安全事件 |
小于30分钟 |
|
一般安全事件 |
小于1小时 |
|
高级安全威胁 |
小于1小时 |
|
一般安全威胁 |
小于2小时 |
2) 投标方在于安全漏洞服务工作上,需达成以下服务水平:
|
在配备投标方的漏洞定期扫描服务组件的情况下,漏洞扫描的频率不低于每30天扫描一次。 |
||||||||||||||||||||||||||||||||
|
高危可利用漏洞从完成漏扫后发现到推送漏洞报告的时间少于2个工作日。 |
||||||||||||||||||||||||||||||||
|
高危可利用漏洞经服务人员确认后的准确率不低于99%。 |
||||||||||||||||||||||||||||||||
|
高危可利用漏洞的防护率达到99%。 |
3) 安全事件经过投标方安全托管服务人员的确认后,各类安全事件、高级安全威胁、一般安全威胁的判断准确率不低于99%。
4) 在配备了投标方的边界防护服务组件和终端防护服务组件的情况下,安全事件、高级安全威胁、一般安全威胁的闭环处置比例需达到100%。
5) 对于重大事故应启动应急响应机制,工作时间15分钟之内云端专家进行响应,30分钟内现场工程师上门处置,非工作时间30分钟之内云端专家进行响应。
服务质量监督要求
业务安全状态监控:投标方需为招标方提供服务监控门户(或用户Portal,非安全感知大屏展示类页面),在门户中招标方可查看业务和资产安全状态信息,至少包括服务资产安全评级、服务运营状态、成果、安全风险概览、最新情报、脆弱性闭环率、脆弱性平均响应时长、脆弱性平均闭环时长、威胁闭环率、威胁平均响应时长、威胁平均闭环时长、事件闭环率、事件平均闭环时长,已验证投标方所承诺的服务SLA。。
主要服务能力要求
投标方需基于以下服务能力要求,并围绕资产、漏洞、威胁、事件四个要素开展服务。
1) 投标方开展服务范围内资产全面梳理工作(梳理的信息包含:支撑业务系统运转的操作系统、数据库、中间件、应用系统的版本,类型,IP地址;应用开放协议和端口、应用系统管理方式、资产的重要性以及网络拓扑等信息),并将信息录入到安全托管运营平台中进行管理,当资产发生变更时,安全服务专家对变更信息进行确认与更新,并定期输出《资产管理表》交付招标方。
2) 投标方需在安全托管服务工作开展前进行安全现状评估工作,评估内容包括但不限于:系统与Web漏洞扫描、弱口令扫描、基线配置核查、蠕虫病毒检查、失陷主机分析、潜伏威胁分析、漏洞风险等,并输出《安全现状风险评估报告》;
3) ★投标方需提供脆弱性验证服务,针对发现的脆弱性问题进行验证,验证脆弱性在已有的安全体系发生的风险及分析发生后可造成的危害。针对已经验证的脆弱性,自动生成工单,安全专家跟进修复状态,各个处理进度透明,便于招标方清晰了解当前脆弱性的处置状态,将脆弱性处理工作可视化,(需提供服务工具脆弱性工单的功能截图证明,需展示当前脆弱性的处置状态)
4) ★针对存在的漏洞提供修复建议,投标方能够提供精准、易懂、可落地的漏洞修复方案,(提供脆弱性修复方案样本证明,需包含多种修复方案以及修复过程中可能引发的其他问题的解决方案)
5) 针对服务平台生成的工单,招标方可按需催单,用户可在服务平台上采用邮件等方式提醒安全专家加快协助处置,督促投标方第一时间处理;
6) 7*24小时实时监测网络安全状态,对攻击事件自动化生成工单,及时进行分析与预警。攻击事件包含境外黑客攻击事件、暴力破解攻击事件、持续攻击事件。;
7) 投标方需支持招标方主动申请对页面篡改、通报、断网、webshell、黑链等各类严重安全事件进行紧急响应和处置的解决方案;
8) 投标方应面向招标方提供定期的勒索病毒入侵风险专项排查,投标方应按照勒索预防Checklist开展勒索风险评估,勒索预防Checklist应当包含勒索高危利用漏洞、端口、安全策略、攻击行为、勒索残留隐患几个纬度。(需提供勒索预防Checklist清单,清单内容必须包含上述纬度,并注明每一项的更新时间);
9) ★投标方定期按照勒索预防Checklist开展勒索风险评估后应当每季度一次向招标方提供《勒索病毒风险排查报告》,包括中应包含全面的勒索风险分析和隐患加固处置的情况,并且投标方有义务按招标方要求进行远程或现场的成果汇报。(需提供《勒索风险排查报告》模板,并承诺每季度输出一次报告并向招标方汇报)
10) 投标方安全托管服务平台应支持面向招标方按照勒索预防Checklist的一键风险排查,支持纬度至少包含弱密码扫描、勒索高危利用漏洞扫描、高危利用端口扫描、勒索风险策略检查、勒索行为监测,并且投标方可按照招标方要求设置定时勒索风险排查任务。
11) 支持面向招标方的安全态势展示,展示出当前招标方遭受的威胁事件信息以及脆弱性信息统计,并支持服务专家按照资产类别、威胁类型进行定制化筛选查看,能直观感受到招标方当前的风险态势情况。
12) 投标方安全托管服务平台支持面向招标方的安全报告与交付物管理,可生成、导出、下载各类安全报告,包括但不限于《安全服务值守日报》、《特殊时期值守报告》、《安全运营周报》、《安全运营月报》。
服务交付物要求
1) 交付物名称:《安全托管服务运营报告》,报告频率:每周一次;
2) 交付物名称:《首次威胁分析与处置报告》,报告频率:一次;
3) 交付物名称:《事件分析与处置报告》,报告频率:按需触发,不限次数;
4) 交付物名称:《安全通告》,报告频率:按需触发,不限次数;
5) 交付物名称:《综合分析报告》,报告频率:每月一次;
6) 交付物名称:《季度汇报PPT》,报告频率:每季度一次;
7) 交付物名称:《年度汇报PPT》,报告频率:每年一次;
8) 中标后招标方有权要求中标方严格按照上述频率要求提供服务交付物,确保满足招标方安全需求。如中标方未能按时提供,招标方有权终止服务合同,中间产生任何费用由中标方自行承担。
3.4.9 重点时期保障服务
在重要时期提供现场安全值守服务,提供具有丰富的应急处理能力和安全服务技术经验的工程师,期间每日进行安全状况收集及汇报,提供《每日重保服务工作报告》。
1.投标方须提供特定时期的安全保障服务,内容主要包括特定时期安全值班。根据时间表,在特定时期提供安全专家值班表,按照招标方需求安排专人远程及驻场值班,确保招标方可以在第一时间得到专业支持和应急响应。
2.驻场服务要求包括但不限于:
(1)人员具有专业的安全运维知识和不低于2年的重保安全值守经验;
(2)值守期间全天3×8小时工作制,但须7×24小时响应;
(3)详细记录安全值守过程;
3.★重要时期,应急响应须提升响应级别,紧急故障由驻场人员现场解决,解决时间按照招标方对安全应急工作的划分而定,最长不应超过30分钟,如须二线专家解决的,响应时间不得超过10分钟。(出具服务承诺函)
4.★提供在线安全专家7*24小时值守服务,平台监控发现所有的安全风险由安全专家审核,精准定位安全事件,包括篡改事件、网页挂马、高危漏洞、断网事件等,保证平台通报预警报告无误报。(提供平台专家在线审核截图证明并加盖厂商公章)
3.4.10事件响应服务
投标方服务人员需要通过网络安全监测平台监测本地区的高危隐患和安全事件,对本地区的高危隐患和安全事件进行主动发现,通报到相关责任部门,监督并协助责任部门整改,并形成高危隐患和安全事件的整改处置报告。
应急响应服务
投标方应在招标方遇到重大或突发事件后按照要求的服务响应级别采取相关的措施和行动。帮助招标方正确应对安全事件,降低安全事件带来的损失和影响,并将业务以及网络恢复到正常状态。
本次招标的应急响应包含但不限于以下几类安全事件:
针对B/S类信息系统或网站遭受恶意入侵,利用网站进行反动信息、赌博、黄色等信息发布,传播危害国家安全、社会稳定和公共利益的内容的安全事件,包括但不限于:篡改、暗链、挂马、Webshell等
恶意程序事件
针对遭受的各类恶意程序事件进行快速处置,包括不限于病毒事件/木马事件、蠕虫事件、僵尸网络事件、勒索病毒事件、挖矿病毒事件等
针对招标方由于信息系统的配置缺陷、协议缺陷、程序缺陷,造成的信息系统异常的安全事件进行应急响应
针对招标方信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件进行应急响应,包括但不限于系统配置遭篡改、数据库内容篡改、网站内容篡改事件、信息数据泄露事件等
投标方应按以下要求及时提供应急响应服务:
接到事件报告
根据事件级别进行不同级别的响应方式,包括电话、现场等
协调其他外部资源进行处理
安全事件溯源分析服务
编制应急响应情况报告,说明事件原因、处置措施等
应急响应时间要求
投标方应提供7*24应急响应服务,提供应急响应服务方案
安全事件要求应急团队须在5分钟内,对信息安全事件做出响应,并严格按照招标方信息安全等级要求迅速到达现场并解决问题:
特别重大事件(Ⅰ级),5分钟作出响应,提供远程 7*24 小时响应服务、30分钟到达现场进行应急响应服务
重大事件(Ⅱ级),10分钟作出响应,提供远程 7*24 小时、1小时到达现场进行应急响应服务
较大突发事件(Ⅲ级),30分钟作出响应,提供远程 7*24 小时响应服务、2小时到达现场进行应急响应服务
一般性突发事件(Ⅳ级),30分钟作出响应,提供远程 7*24 小时响应服务、远程无法解决时,在2小时到达现场进行应急响应服务
每次故障处理完毕3个工作日内提供详细的故障处理报告
3.4.11数据分类分级服务
1.从安全角度出发,以系统级、库级、表级的颗粒度,提供结构化数据的调研和盘点工作。
2.提供自动化盘点服务方式,利用台州市政务云已经建设的数据安全能力对公共数据平台上归属椒江区的公共数据进行资产扫描服务,并具备将资产扫描结果进行自动梳理,对数据库中的表、列、表注释、列注释进行整理,输出报告;
3.制定公共数据分类分级标准,参考省级分类分级,对标台州市公共数据平台分类分级标准,确保招标方数据分类分级结果和市局标准一致。
4.提供归属招标方的分类分级独立管理账号,能够将招标方分类分级结果和市局以及其他区进行区分。
5. ★招标方分类分级工作需要利用市级分类分级平台的,需要提供市级分类分级平台的厂商技术协助。
6.分类分级要具备具备通过列内容匹配、列注释匹配、列名称匹配、函数分析等方式对数据语义内容进行自动识别,识别字段代表的业务类型的能力。
7.提供全部数据资产梳理及分类分级看板,主要包括数据资产的盘点、数据分类分级概况、数据敏感分析、数据库差异分析等,同时提供看板显示内容配置界面的功能。
8.交付数据分类分级清单和数据分类分级标准模型。
3.4.12数据权限管控服务
1.梳理招标方公共数据日常管理的权限清单,能够力利用市级建设的权限管控系统对招标方所存放在市公共数据平台上的数据进行细化到表格、表格列的权限管理。
2.权限管控遵循最小化原则,能够通过市级建设的数据权限管控系统对招标方所需访问数据的权限进行最小化管理。
3.权限管理需要细化到招标方所访问公共数据的具体人员,而非数据库账号,通过账号与人的关联方式,将权限细分到每个访问人员。
4. 通过市级数据权限管控系统对招标方访问公共数据的人员进行管理,要求梳理形成细化的《数据访问权限清单》
3.4.13敏感数据识别服务
1.利用市级建设的敏感数据识别系统将市级公共数据平台上归属招标方的公共数据进行识别;
2.敏感数据识别要能够支持各种主流数据源,比如关系型数据库(Oracle,Mysql,sqlServer,DB2,PostgreSQL,informix,MariaDB)、国产数据库(DM,GaussDB,浪潮K-DB,HotDB,Gbase 8a、Cache)、大数据平台(hive,星环,Hbase,Greenplum)、云数据库(ODPS,阿里云RDS - MySQL,阿里云RDS - SQL server,阿里云RDS - PostgreSQL,阿里云RDS - MariaDB)、文件(txt、csv、xls、xlsx)。
3.能够通过抽样的方式进行敏感数据发现,可自定义发现规则、抽样比例和匹配率,系统内置的发现规则包括:中文姓名、英文姓名、姓名拼音、韩文姓名、电话号码、邮箱、邮编、金额、日期、企业营业执照、组织机构代码证、银行卡号、军官证、港澳通行证、往来台湾通行证、护照、香港身份证、澳门身份证、税务登记证、身份证、组织机构名称、地址、IP地址、社会统一信用代码、开户许可证、医疗机构登记号、医师资格证书、医师职业证书、证券代码、证券名称、基金名称、基金代码、车牌号码、车架号等。
4.★利用市级建设的敏感数据识别系统的,需要提供敏感数据识别系统厂商的技术支持服务确认函。
5.形成招标方公共数据《敏感数据清单》。
3.4.14数据脱敏服务
1.利用市级建设的数据脱敏系统为招标方公共数据提供数据脱敏服务;
2.要求数据脱敏过程中脱敏数据不落任何中间介质,根据招标方提出的数据脱敏目的地需求直接将数据脱敏到目标端,中间无需任何数据中转过程;
3.脱敏过程能够检测源数据的DDL变动,自动识别增量的新数据表的敏感信息;
4.数据脱敏能够将敏感数据识别的结果作为脱敏的敏感信息集,可以保障公共数据敏感数据的唯一性;
5.能够自定义脱敏规则,提供SM4加密、SHA1加密、AES加密、RSA加密、随机映射、固定映射、替换、截断、截取,以及保留、取整、范围内浮动、比例内浮动等各种脱敏算法;支持分段配置不同的脱敏规则,支持正则分段、脚本分段等不同分段方式。
6.定期形成数据脱敏台账。
3.4.15数据加密服务
1.利用市级建设的数据加密系统对招标方在公共数据平台的前置库进行数据库存储加密操作;
2.能够对自建的数据库进行数据存储加密,加密算法要求能够支持AES128、AES192、AES256等国际密码算法,SM4国密算法;
3.提供支持离线加解密工具及加密信息记录,包括用户名、邮箱、电话、加密内容、加密地址等。对敏感数据文件加解密,保障数据交换传递或备份安全,接收方获取授权并验证信息后才可解密使用。
4.要求定期为招标方提供数据加密考核佐证材料。
3.4.16数据水印溯源服务
1.利用市级建设的数据水印溯源系统对招标方在公共数据平台的数据进行数据水印操作;
2.数据水印能够支持伪行、伪列、无痕水印三种水印方式,先对需要进行水印的文件进行敏感数据发现,对识别出来的敏感类型进行伪行、伪列、无痕水印或者组合的方式进行水印;
3.水印溯源能够力通过上传水印后的文件(文件格式支持csv、xls、xlsx),对其进行溯源操作,溯源成功后,溯源出的水印可对应到相应的作业及相应作业人,并且在列表中详细展示出溯源结果
4.要求定期为招标方提供数据水印溯源考核佐证材料。
3.4.17数据安全态势感知服务
1.能够利用市级数据安全态势感知平台展示和招标方相关的公共数据安全防护情况,提供可视化展示页面;
2.通过态势感知平台实时监测数据安全风险,并配置相应的告警策略,对未知威胁进行风险告警处理;
3.定期提供数据安全态势感知佐证材料。
3.4.18数据使用侧检测服务
1.根据省厅数据使用测监管要求,利用市级建设的数据安全能力为招标方在市公共数据平台上的公共数据提供使用侧监管防护手段;
2.要求根据招标方数据使用实际情况提供数据使用侧的防护场景方案。
3.形成数据使用侧的流程、制度,并根据日常使用形成数据使用侧监管台账。
3.4.19数据共享回流监管服务
1.根据省厅数据回流监管要求,利用市级建设的数据安全能力为招标方在市公共数据平台上的回流数据做好监管防护;
2.要求根据招标方数据回流实际情况制定数据回流安全防护方案;
3.形成数据回流流程、制度,并根据日常防护形成数据回流监管台账。
3.4.20数据安全可视化监管服务
本服务项目将适配和部署数据安全可视化监管系统,对公共数据共享后的使用情况进行监管,明确“谁在什么时间对哪些共享数据进行了什么操作”,当识别出数据滥用或泄漏的安全风险时,能够产生告警。
在数据安全可视化监管系统的日常运营中,基于对数据库审计日志和应用数据访问日志的关联分析,可以识别出共享数据滥用或泄漏的风险,并产生告警。
在系统的日常运营中,系统管理员将根据业务系统和数据库的具体情况,对告警规则进行配置和调整,当发生告警时,进行相应的处置。具体的处置中还可能包括对用户画像的调整。
3.5 数据治理服务要求
3.5.1 数据资源目录梳理编制服务
1)信息系统全面普查服务,根据台州市要求与椒江区大数据发展管理局实际需求进行自建系统调研表设计。并在表格设计完成后对椒江区本级业务部门,自建系统情况进行调研。
2)目录更新维护服务,对县(市、区)区数据目录进行更新维护,进行公共数据目录的新增、修改、删除等工作,确保目录更新的及时性、准确性。
3)数据供需对接服务,对于有需求无目录或者有目录无数据的情况进行供需联动,提供归集需求收集服务。
3.5.2 数据归集服务
利用台州市公共数据平台归集能力,需为椒江区提供数据归集服务,归集范围包括省市回流数据、特色数据、数据目录所需数据等。
3.5.3 数据治理服务
1)数据清洗实施服务,根据市本级数据治理工具对椒江区数据进行初步治理实施服务,由于数据不断更新,所以治理实施服务工作需要持续进行,清洗过程中利用市平台治理能力进行清洗规则配置,数据去重、数据全量清洗、数据增量清洗等。
2)清洗规则,常用清洗规则的介绍。
3)数据清洗规则更新服务,由于数据在应用过程中需要根据应用需求进行相应业务规则的治理配置,所以在治理实施服务过程中需要对清洗规则进行相应更新,以确保满足应用数据质量需求,在本次项目中提供数据清洗规则更新服务。
4)数据质量评分服务,根据数据治理情况,对各部门数据质量出具质量评分报告,在此项服务过程中,主要服务内容有:绩效评估模型、质量报告、质量统计等。
5)数据问题反馈服务,为椒江区大数据发展管理局提供数据问题反馈服务。协助椒江区大数据发展管理局完善问题反馈机制,利用台州市问题反馈系统,实现工单形式的问题处理、问题跟踪、问题评估,实现对问题数据的闭环管理。
3.5.4 数据共享服务
依托台州市一体化智能化公共数据平台,参照浙江省、台州市公共数据共享规范,结合椒江区的数据共享需求,实现数据申请、数据使用和数据接口服务。
1)数据申请服务,研判各部门应用业务数据实际需求,提供三门县各部门的应用注册、应用仓开通对接、业务数据省市级目录查询、业务数据申请提交、应用数据关联、接口应用关联等全流程的指导服务。
2)数据使用服务,协助椒江区数据使用部门数据申请等审批通过后,提升数据使用效率,进行数据融合分析,根据椒江区实际业务需求,进行业务场景专题目录编目。
3)数据接口服务,依托台州市一体化智能化公共数据平台-数据共享组件,按需有序进行数据接口的开发和对外共享,满足应用调用需求。
3.5.5 其他数据开发服务
其他服务的服务期限为1年,服务内容包括以下几点:
(1)其他开发服务,根据采购人实际需求提供组件、接口调用服务等。
(2)考核支撑服务,配合项目采购人做好省市相关数据考核内容。
3.5.6 专项培训服务
1)公共数据平台的使用培训,根据实际需求对椒江区各部门数据专员、负责数据工作人员以及街道办工作人员,开展台州市一体化智能化公共数据平台日常使用培训。
2)IRS的相关数据使用培训,根据实际需求对椒江区各部门数据专员、负责数据工作人员以及街道办工作人员,开展一体化数字资源系统(IRS)的日常使用培训以及相关数据使用培训。
3.5.7 大数据计算服务
提供大数据计算服务MaxComputeMC,1年预计需要25cu计算资源,500G存储空间。
3.6 驻场服务
投标方需提供驻场运维人员不少于4人,驻场运维人员需满足不少于一年类似工作经验,且驻场团队成员需具备信创类系统工程师、网络安全工程师、数据维护(DBA)认证,负责政务外网安全综合系统运维、负责政务外网安全终端防护系统运维、落实网络安全相关工作安排、负责网络安全服务工作推进、数据安全服务工作、日常数据相关工作事宜、公共数据平台服务工作、IRS系统服务工作及数仓服务工作等。
|
考核指标及评分表 |
||||||||||||||||||||||||||||||||
|
考核类别 |
考核项目 |
考核指标 |
评分标准(分) |
|||||||||||||||||||||||||||||
|
服务考核(50%) |
工作效率 (20%) |
1 |
服务团队进度超前,能够提前完成采购人安排的工作任务 |
15-20 |
||||||||||||||||||||||||||||
|
2 |
服务团队能按时完成各项工作任务 |
10-15 |
||||||||||||||||||||||||||||||
|
3 |
服务团队80%以上的工作能够按时完成 |
5-10 |
||||||||||||||||||||||||||||||
|
4 |
服务团队超过一半工作不能按时完成 |
0-5 |
||||||||||||||||||||||||||||||
|
工作技能 (20%) |
1 |
服务团队各项技能娴熟,经验丰富,能胜任采购人安排的工作,并帮助克服各种难题 |
15-20 |
|||||||||||||||||||||||||||||
|
2 |
服务团队具备工作所需技能,有一定经验,能解决一般困难的工作 |
10-15 |
||||||||||||||||||||||||||||||
|
3 |
服务团队具备基本工作技能,日常工作能正常进行 |
5-10 |
||||||||||||||||||||||||||||||
|
4 |
服务团队缺乏必要工作技能,需要采购人引导或培训 |
0-5 |
||||||||||||||||||||||||||||||
|
工作态度 (10%) |
1 |
服务团队工作合规,能够服从采购人工作指挥 |
8-10 |
|||||||||||||||||||||||||||||
|
2 |
服务团队工作方式不太合规或对采购人工作指令偶有不配合现象 |
5-8 |
||||||||||||||||||||||||||||||
|
3 |
服务团队工作状态差,对采购人工作指令不配合现象较多 |
0-5 |
||||||||||||||||||||||||||||||
|
业务考核(50%) |
特色专题库服务 (20%) |
1 |
按要求每月提供至少一份特色数据专报,完成质量达标 |
15-20 |
||||||||||||||||||||||||||||
|
2 |
每月提供至少一份特色数据专报,完成质量尚可 |
10-15 |
||||||||||||||||||||||||||||||
|
3 |
未按要求每月提供至少一份特色数据专报,完成质量不理想 |
0-10 |
||||||||||||||||||||||||||||||
|
数据 服务 (20%) |
1 |
达成大数据局数据各项考核指标 |
15-20 |
|||||||||||||||||||||||||||||
|
2 |
达成大数据局数据考核指标80%以上 |
10-15 |
||||||||||||||||||||||||||||||
|
3 |
未达成数据考核指标,且数据服务不理想 |
0-10 |
||||||||||||||||||||||||||||||
|
其他服务 (10%) |
1 |
理想完成上级或省大数据局和市大数据局布置的各项任务 |
8-10 |
|||||||||||||||||||||||||||||
|
2 |
完成80%以上上级或省大数据局和市大数据局布置的各项任务 |
5-8 |
||||||||||||||||||||||||||||||
|
3 |
未能及时支撑完成大部分上级或省大数据局和市大数据局布置的各项任务 |
0-5 |
||||||||||||||||||||||||||||||
1、服务期:一年
2、服务地点:台州市椒江区大数据局
3、付款条件:
(1)签订合同并中标人驻场人员进场完成培训通过采购人认可后7个工作日内支付合同总价的50%,作为预付款;
(2)运维服务期满1年后,根据采购人的考核结果支付尾款。考核结果为优秀的(≥90分)支付至合同总价的100%,考核结果为良好的(80-90分,含80分)支付至合同总价的90%,考核结果为合格的(70-80分,含70分)支付至合同总价的80%,考核结果为不合格的(<70分)支付至合同总价的60%。
收藏