招标文件
采购需求
02包
一、采购标的
1.采购标的
本次招标的内容是为响应国家号召,加强北京市生态环境局信息安全建设,提升信息系统安全能力,现邀请安全公司协助,提供网络安全防护服务,提升采购人网络安全防护能力。
采购标的:网络安全服务,1项服务。
2.项目原则
投标人方案设计与项目实施应满足以下原则:
最小影响原则:安全服务工作需尽可能小的影响系统和网络的正常运行;
可控性原则:安全服务的工具、方法和过程应在双方认可的范围之内,保证采购人对于服务过程的可控性;
技术与管理相结合原则:安全运维需将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合;
标准化与规范化原则:安全服务实施需由专业安全服务人员依照规范的操作流程进行;
保密原则:对项目实施中产生的数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究投标人的责任。
二、商务要求
1.实施的时间和地点
实施时间:2023年5月1日至2024年4月30日。实施地点:采购人指定地点。
2.付款条件(进度和方式)详见第六章合同相关规定。
三、技术要求
1.基本要求
1.1采购标的需实现的功能或者目标
北京市生态环境局的信息系统主要部署在市级政务云及局机关六层机房。
局机关六层机房部署了部分业务应用系统,用于满足局用户对北京市政务外网、生态环境部专网、互联网等网络的访问。数量约50台服务器(含虚拟服务器),30台网络设备。本机房还提供对生态环境局部分业务系统数据备份服务。
在本项目中,通过网络安全防护服务,进一步完善北京市生态环境局网络安全保障体系,进一步提高现有网络安全防护水平,保障生态环境业务系统及相关办公系统安全性及稳定性,为生态环境业务系统提供安全的网络运行环境。做好重大活动期间我局网络安全保障工作,确保市生态环境局网络和信息系统不发生重大网络安全事件。完成2个三级系统的信息系统等级保护测评及密码测评。
1.2需执行的国家相关标准、行业标准、地方标准或者其他标准、规范
《中华人民共和国保守国家秘密法》
《GB/T39786-2021信息安全技术信息系统密码应用基本要求》
以上规范如有更新,以国家、地方、行业最新标准为准。在实施本项目期间除应遵循上述规范外,还应遵循未列出的其它法律、法规及相关国家、地方、行业标准规范。
2.服务内容及要求
2.1采购标的需满足的要求;
为进一步完善采购人网络安全保障体系,提高现有网络安全防护水平,保障生态环境业务系统及相关办公系统安全性及稳定性,投标人需提供安全防护服务和安全测评服务,确保信息系统防护能力可以满足不断变化的内外部网络安全风险。具体采购需求如下:
2.1.1安全防护工作
安全防护工作需求如下:
|
序号 |
服务内容 |
单位 |
数量 |
备注 |
|
1 |
渗透测试 |
次/年 |
4 |
|
|
2 |
脆弱性检测 |
次/年 |
4 |
|
|
3 |
安全预警通报及安全事件应急处置 |
次/年 |
40 |
|
|
4 |
重大活动和重要节日安全保障 |
次/年 |
6 |
|
|
5 |
应急预案修订咨询及协助应急演练 |
次/年 |
3 |
1 次应急预案修 订,2 次应急演练 |
|
6 |
安全管理政策制度宣贯及培训支持服务 |
次/年 |
2 |
|
|
7 |
重要信息系统安全监控 |
项/年 |
1 |
全年提供 |
|
8 |
网络安全检测工作 |
次/年 |
2 |
|
|
9 |
现场技术支持服务 |
项/年 |
1 |
全年 5*8 服务 |
|
10 |
云上系统安全配合及监管服务 |
项/年 |
1 |
全年提供 |
|
11 |
政务云云主机安全服务方案 |
项/年 |
1 |
全年提供 |
|
12 |
办公云云主机脆弱性检测 |
次/年 |
4 |
|
|
13 |
CDN 服务 |
项/年 |
1 |
|
|
14 |
实战型防护能力检测 |
次/年 |
4 |
|
|
15 |
本地系统安全防护 |
次/年 |
4 |
|
|
16 |
国产化终端病毒防护及病毒库升级 |
次/年 |
4 |
|
|
17 |
三级信息系统等级保护测评 |
次/年 |
1 |
|
|
18 |
三级信息系统密码测评 |
次/年 |
1 |
|
(1)渗透测试
投标人需模拟黑客攻击等行为,对采购人指定域名从主机、应用、中间件、业务逻辑多个维度进行非破坏性的渗透测试,分析应用系统所面临的安全威胁和存在的风险,形成渗透测试分析报告。渗透测试为开展安全加固及优化建设提供依据,并协助实施调优及加固工作,渗透测试报告需详细记录测试过程并对测试问题进行总结分析。
服务范围:北京市生态环境局信息24个系统。
服务频率:1次/季度,共4次。
(2)脆弱性检测
投标人负责定期对云主机进行脆弱性检测,为建立北京市生态环境局自有的安全评估体系、确立安全策略、制定安全规划、开展安全建设提供决策建议。
服务范围:北京市生态环境局指定的云主机(数量不少于100台)。服务频率:1次/季度,共4次。
(3)安全预警通报及安全事件应急处置
投标人需实时关注网络安全动态与信息安全漏洞与安全风险情况,针对网络安全态势、重大舆情信息、重要系统漏洞及补丁信息等信息,及时向采购人告知漏洞危害、影响范围及应对方案等。同时,投标人需针对安全事件应急处置,建立一支应急安全技术队伍,当采购人发生安全事件时,在0.5小时内电话响应,1小时内现场服务响应。
服务范围:北京市生态环境局。
服务频率:提供不少于40次安全预警通报,按需提供应急响应服务。
(4)重大活动和重要节日安全保障
投标人需在春节、两会、五一、国庆等重要时期加强网络安全保障能力,派遣安全服务人员到采购人指定现场进行安全值守,以确保采购人信息系统在敏感时期安全稳定运行,及时发现潜在安全隐患或者突发安全事件,协助采购人完成隐患排查、应急事件的处置,提高采购人在重要时期的网络安全应急响应与保障能力。
服务范围:北京市生态环境局。
服务频率:提供不少于6次的安全保障值守。
(5)应急预案修订咨询及协助应急演练
投标人需收集与防护工作相关经验资料及动态信息,为网络安全应急预案修订完善提出建议。根据制定的应急预案,结合业务系统存在的脆弱性和面临的威胁,协助采购人制定应急预案演练工作计划,并模拟在业务系统及重要设备出现故障等紧急情况下进行处置,提高对安全事件的响应能力,同时验证预案正确性和适用性,进行总结分析,并根据需要对应急预案进行修订。
服务范围:北京市生态环境局。
服务频率:提供1次应急预案修订咨询及2次应急演练服务。
(6)安全管理政策制度宣贯及培训支持服务
投标人需根据采购人需求,基于网络安全法律法规与日常工作开展中存在的安全风险,协助修订相关信息安全管理制度,开展网络安全培训,配合组织开展网络安全管理制度宣贯、网络安全政策、意识、技术类培训,聘请专家进行专题授课等工作。
服务范围:北京市生态环境局。
服务频率:提供不少于2次安全培训。
(7)重要信息系统安全监控
投标人需对采购人重要业务系统进行安全监控,重点监控对公众服务的北京市生态环境投诉举报管理系统页面、网上办事页面,实时监控网站页面完整性、可用性,及时发现页面篡改信息,定期向采购人提供监控报告。
服务范围:北京市生态环境局24个信息系统。服务频率:全年提供监控服务。
(8)网络安全检测工作
投标人需按照采购人相关要求,积极配合局办公室在重大活动期间对二级单位网络安全的相关监督检查工作,排查整体网络安全状况,安排专业设备及人员组织专项巡检,
及时发现潜在的安全风险,切实做好自身网络安全防护工作,保障重大活动顺利开展。服务范围:北京市生态环境局二级单位。
服务频率:提供不少于2次网络安全检测工作。
(9)现场技术支持服务
投标人需协助采购人进行网络和信息安全管理及日常运维工作,负责基线核查、例行巡检等工作,当完成信息系统的渗透测试工作后,协调各家系统运维商及时落实对漏洞进行整改,协助采购人完成上级单位的各种安全检查,负责安全信息收集和汇总,定期提供信息系统安全监测情况汇报,实时掌握采购人各个网络状况和应用状态。
服务范围:北京市生态环境局
服务频率:提供全年5*8现场技术支持服务。
(10)云上系统安全配合及监管服务
投标人需协助采购人完成云上系统安全监管等工作,对于有关单位下达的安全通知,协助采购人进行安全整改,并出具分析报告。
服务范围:北京市生态环境局云上信息系统服务频率:按需提供。
(11)政务云云主机安全服务方案
投标人需针对采购人政务云云主机通过工具+人工结合的方式开展资产清点工作,协助采购人从安全角度自动化构建详细的资产信息,每月输出资产清点月报;针对采购人云上系统安全提供风险发现服务,协助精准监控内部风险,帮助快速定位安全问题并有效解决安全风险,提供详细的风险信息以供分析和响应;同时为云主机提供入侵检测服务,提供多锚点的检测服务,针对入侵行为,当发现失陷主机时,提供响应手段。
服务范围:北京市生态环境局指定的云主机(数量不少于100台)。服务频率:全年7*24小时持续监测。
(12)办公云云主机脆弱性检测
投标人需针对采购人办公云云主机操作系统等,采用工具扫描和手工检查相结合的方式对配置缺陷、漏洞等进行检查,以发现在操作系统、应用等层面存在的安全隐患,通过专业化的技术分析,帮助采购人了解云主机脆弱性。
服务范围:北京市生态环境局指定的办公云云主机(数量不少于30台)。服务频率:1次/季度,共4次。
(13)CDN服务
投标人需对采购人网络进行信息资产调查,对流量数据进行回溯分析、健康分析、安全评估,并提供应急响应服务。
服务范围:北京市生态环境局。服务频率:实时。
(14)实战型防护能力检测
投标人在国家重大活动等重要时期前,需通过邀请第三方作为攻方组织网络安全实战型对抗,在攻防中检测包括是否存在系统漏洞、安全设备策略是否有缺陷、监测手段是否有效等内容,为采购人有针对性地提出整改计划和方案,尽快进行整改,同时对对抗过程中发现的问题进行总结和完善安全自查和整改,为后续工作积累经验。
服务范围:北京市生态环境局指定的信息系统。服务频率:开展不少于4次实战型防护能力检测。
(15)本地系统安全防护
投标人负责定期对北京市生态环境局六楼机房主机进行安全防护策略优化、渗透测试、脆弱性检测等安全防护工作。
服务范围:北京市生态环境局六楼机房主机,包括虚拟机在内数量不少于50台。服务频率:1次/季度,共4次。
(16)国产化终端病毒防护及病毒库升级
投标人应对采购人不少于300台国产化终端,提供一年期病毒防护服务及病毒库升级服务。
服务频率:1次/季度,共4次。
详情请见招标文件
收藏