招标文件
采购需求
一、项目概况:
1.项目立项依据
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号);
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);
《信息安全等级保护管理办法》(公通字[2007]43号);
《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号);
《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45号);
《广东省计算机信息系统安全保护条例》;
《中华人民共和国网络安全法》
GB/T 19716-2005信息安全技术信息安全管理实用规则;
GB/T 21052-2006信息安全技术等级保护系列安全产品技术要求;
GB/T 20270-2006信息安全技术网络基础安全技术要求;
GB/T 20271-2006信息安全技术信息系统安全通用技术要求;
GB/T 20272-2006信息安全技术操作系统安全技术要求;
GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求;
GB/T 21052-2007 信息安全技术信息系统物理安全技术要求;
GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求;
GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南;
GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南;
GB/T28449-2012 信息安全技术信息系统安全等级保护测评过程指南;
GB/T28448-2012 信息安全技术信息系统安全等级保护测评要求;
GBT22239-2019信息安全技术网络安全等级保护基本要求
2.现状
当前,佛山市国资国企资产规模超过4000亿,全市纳入国资监管的市属企业超过300家,佛山市国资委肩负着推进国资国企改革,壮大市属国有经济,加强国有资管理和监督的重任。
佛山市国资委一级企业和部分重点企业目前有超过30多个重要系统,包括OA办公系统、门户网站、ERP系统及各类管理系统。
在网络建设方面,8个市一级集团中,只有3个集团的网络安全基础实施较为完善。从整体来看,在安全日志审计、统一集中运维管理和全网态势威胁分析预警三方面的能力较为欠缺。
在业务系统方面,30多个业务系统,只有5个系统过了本年度等保测评工作,大部分单位未按规定进行等保测评的情况,等保测评完成率较低。
在数据安全防护方面,各集团单位的建设度基本为零。只有相关数据安全管理制度,但没有实现防护能力的技术手段或设备。
3.项目目标
构建关键基础信息设施安全防护体系,通过渗透测试、安全技术咨询及技术应急支撑等安全服务工作,提升国资国企信息系统和计算机网络的安全水平,保障信息系统的日常运行安全。通过安全应急服务,安全意识培训进一步深化国资系统信息安全管理工作,开展常态化安全服务,包括资产监测及清点管理服务,互联网暴露面探测服务,日志审计分析服务,系统定级服务。实现国资系统信息安全零事故,安全风险总体可控,安全水平持续提升。
采购包1(市国资委信息安全及等保测评(2023年度)项目)1.主要商务要求
|
标的提供的时间 |
自合同签订生效之日起1年。 |
|
标的提供的地点 |
采购人指定地点。 |
|
付款方式 |
1期:支付比例50%,合同签订生效之日起,采购人向成交供应商支付合同总额的50%;
2期:支付比例50%,成交人按照要求,完成测评工作并通过验收合格后,采购人向成交供应商支付合同总额的50%。 |
|
验收要求 |
1期:1.验收要求:成交供应商须为验收提供必需的一切条件及相关费用。 2.验收按照采购人的内部规定操作。通过验收后,需要采购人、供应商双方在验收报告上签字盖章,签字盖章后视为验收通过。 3.项目验收依次序对照执行标准: 1)符合采购文件和响应承诺中各方共同认可的各项要求; 2)双方协商一致的其它标准。 上述各类标准与法规必须是有关官方机构最新发布的现行标准版本。 |
|
履约保证金 |
不收取 |
|
其他 |
其他要求,1.项目实施过程中,供应商必须采用正版测评工具,如因版权问题导致实施计划延误,或受到来自第三方关于侵犯专利权及其他知识产权的法律指控时,供应商须承担由此而引起的一切责任和费用。 2.若供应商有效投诉达三次,且供应商没有对投诉内容进行及时合理的处理,将视作违约,供应商必须承担由此给采购人造成的全部损失。同时,采购人有权终止合同。 |
其他商务需求
|
参数性质 |
编号 |
内容明细 |
内容说明 |
|
|
1 |
报价要求 |
1.本项目报价为广东省佛山市目的地交付价。 2.磋商报价指供应商为完成本项目所收取的全部费用,包含但不限于以下费用:成本费、劳务费、交通费、场地费、税金(全额含税发票)、雇员费用以及项目实施过程中其它应预见和不可预见费用等完成本招标项目、达到采购人目的的一切费用及企业利润。 3.供应商须考虑本项目在实施期间的一切可能产生的费用。 4.报价不得高于本项目的招标项目预算金额,否则视为无效报价,作无效投标处理。 |
|
|
2 |
付款办法 |
1.合同款项的支付方式:转账结算(银行转账)。 2.付款方:采购人;收款方:成交供应商。 3.开具发票:成交供应商收款时必须持有效发票。收款方、出具发票方、合同乙方均必须与成交供应商名称一致。 4.付款期间如因特殊情况需调整,由双方协商处理。 |
|
|
3 |
保密要求 |
自觉遵守《中华人民共和国保密法》,供应商须遵守以下保密要求: 1.实施和维护人员在上岗前应签署保密协议书,并负责约束有关人员的保密工作。 2.实施人员应严格遵守有关法律法规和采购人内部规章制度,不得擅自翻阅、复制、传播所接触的资料或数据。 3.供应商现场工程师因维护服务而向采购人提供的数据资料属采购人所有,供应商负有保密的责任,供应商同意并承诺,对所有保密信息予以严格保密,未经采购人同意,不披露给任何其他人士或机构。 4.如供应商人员故意泄露采购人保密信息,供应商必须承担后果责任。 5.对蓄意破坏采购人系统或泄密事件的行为,一经查证,采购人有权中止合同,对蓄意破坏者交司法机关制裁和惩罚,供应商依法赔偿采购人的损失。 |
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标(响应)无效。 |
2.技术标准与要求
|
序号 |
品目名称 |
标的名称 |
单位 |
数量 |
分项预算单价(元) |
分项预算总价(元) |
所属行业 |
技术要求 |
|
1 |
安全运维服务 |
市国资委信息安全及等保测评(2023年度)项目 |
项 |
1.00 |
1,075,505.00 |
1,075,505.00 |
软件和信息技术服务业 |
详见附表一 |
附表一:市国资委信息安全及等保测评(2023年度)项目
|
参数性质 |
序号 |
具体技术(参数)要求 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
1 |
一、服务内容 网络安全服务保障项目服务内容,覆盖佛山市国资委核心业务的安全服务,包括网络安全设备巡检和策略加固服务,渗透测试,漏洞管理服务,资产监测及清点管理服务,互联网暴露面探测服务,日志审计分析服务,系统定级服务安全意识培训与网络安全人才培养服务,应急处置、应急演练服务,数据安全风险评估等服务。 1.安全检查服务 按照采购人与市属国资国企信息化建设现状,以及往年安全检查的实际,拟定2023年度的信息安全检查范围如下:
(1)渗透测试服务 安全服务工程师在获得授权的情况下,以主流渗透工具模拟黑客攻击为主要手段,以发现常见的高中危漏洞为主要目标,测试内容包括但不限于:系统漏洞测试(如远程溢出漏洞)、应用漏洞测试(如sql注入漏洞、xss跨站漏洞、文件上传漏洞)、数据库漏洞测试(如远程溢出漏洞、命令执行漏洞)、中间件漏洞测试(安全功能绕过漏洞、信息泄漏漏洞)、默认口令测试、Struts2漏洞测试、逻辑漏洞测试、0day漏洞测试等,将发现的系统安全漏洞进行整理,给出详细说明,并针对每一个安全漏洞提供相应的解决方法,指导并协助进行漏洞修复,对漏洞修复情况进行复测验证。 渗透测试主要目的在于发现系统自身漏洞和脆弱性,通过模拟攻击手段,验证目标系统面对常规网络攻击的安全性,提供整改方案进行修复,及时修复系统漏洞,降低漏洞风险隐患。 Ø服务交付物:《渗透测试报告》《渗透测试复测报告》 (2)漏洞管理服务 安全服务工程师使用漏洞扫描工具对网络及安全设备、操作系统、数据库、中间件等进行漏洞、端口、弱口令扫描,扫描完成后由技术人员对漏洞进行确认测试,提出整改建议,协助整改加固。 按照《佛山市政务服务数据管理局关于加强政务外网计算机设备管理的函》与《佛山市政务服务数据管理局关于加强网络接入管理的函》的要求,对市国资委网络设备与计算机设备进行相关安全检查。 满足监管要求:满足网络安全法律法规、等级保护等要求,协助单位及时发现安全漏洞和隐患,及时进行修补或评估可能的影响。 降低漏洞管理成本:漏洞管理可以减少佛山市国资委在漏洞管理工作上投入的成本,提高漏洞发现和漏洞修复的效率。 建立漏洞闭环管理机制:帮助单位通过漏洞识别与评估、优先级排序、闭环处置、跟踪复测等活动进行漏洞闭环管理,持续降低整体安全风险,提升漏洞修复效率。 Ø服务交付物:《漏洞管理报告》 (3)安全日志审计服务 在安全管理区建设日志审计系统,能够集中采集各类系统中的安全事件、用户访问记录、系统运行日志、系统运行状态、网络存取日志等各类信息,经过规范化、过滤、归并和分析等处理流程后,可以以统一格式的日志形式进行集中存储和管理。 服务工具以软件形态在安全管理区,帮助单位对日志进行实时的事件分析和审计分析、从而进行实时的事件监控和异常事件告警,最终实现对各类网络设备、安全设备、操作系统、服务器、数据库和其它应用进行全面的日志安全审计。 Ø服务交付物:《日志审计报告》 (4)等保三级测评服务 按照等级保护流程,提供全流程的等保测评咨询服务。在定级阶段,协助确认定级对象及相应等级,并配合组织专家评审;备案阶段可以配合填写备案材料以及提交备案申请;建设整改阶段可以根据实际情况和需求设计整改方案并协助完成整改;等级测评阶段会全程配合测评中心开展测评,并直至顺利获得等保测评报告。 按照GB/T 22239 -2008《信息安全技术信息系统安全等级保护基本要求》中三级安全要求,对市国资委桌面云系统、佛山市国资国企在线监管系统、佛山市国有资产监督管理业务信息平台(一期)进行复查,完善信息系统的安全保护能力。 市国资委桌面云系统:构建国资委内部的办公云平台。桌面云平台通过统一的电子政务网络出口与广域网相连,确保个人桌面云和广域网的隔离,同时确保合法用户的远程接入。项目建设桌面云终端用户总量约为80个。 佛山市国资国企在线监管系统的主要内容:制订《佛山市国资国企监管数据标准》,实现监管数据采集和报送和治理, 建设监管数据采集和报送系统,通过企业上报、市政务信息资源对接、企业信息系统对接等方式完成数据采集,形成数据资源目录,完成数据报送工作。 监管数据治理,以及监管数据展示和利用。 佛山市国有资产监督管理业务信息平台(一期)的主要建设内容包括四部分:人事及绩效管理系统、重大项目管理系统、综合门户建设、国资系统微信平台、协同办公OA与业务系统整合(包括:人事及绩效管理系统、重大项目管理系统、信访系统等)。使用人群包括市国资委机关,市属国资国企。 Ø服务交付物: 《市国资委桌面云系统等保测评报告》; 《佛山市国资国企在线监管系统等保测评报告》; 《佛山市国有资产监督管理业务信息平台(一期)等保测评报告》。 (5)资产监测及清点管理服务 安全服务团队通过对服务内的资产(服务器资产20个IP以内),资产扫描工具,对客户资产进行远程扫描、探测、识别和梳理,协助建立资产管理台账,服务范围内资产持续动态探测与变更信息更新; 对客户已经确认好的服务资产列表进行发现进行指纹识别,便于后续威胁管理可以针对性的进行未公开威胁通告和未公开威胁检测。 服务范围:国资委、8家市属一级企业,每个企业,服务资产为20个IP以内。 (6)互联网暴露面探测服务 安全服务团队模拟黑客的入侵,是否对整个网络产生威胁,以此发现系统中的深度安全隐患点。对服务资产域名在互联网上暴露的、开放的包括但不限于子域名、IP段、高危漏洞指纹信息、高危POC探测等资产等敏感信息进行搜集和梳理,并将暴露面信息整理后发送至客户。检测结果可以了解安全现状,补齐安全短板加强业务系统安全防护能力,从而加快组织信息建设的步伐。 服务范围:市国资委、8家市属一级企业,服务资产为企业出口IP。
2.安全应急服务 (1)应急演练服务 健全佛山市国资委网络与信息安全运行应急工作机制,检验门户网站系统安全应急预案的科学性,可操作性,验证应急响应小组和技术人员应对网络和信息安全突发事件的组织指挥能力和应急处置能力,确保发生安全事故时响应工作及时、有效,最大限度地减轻网络与信息安全突发事件造成的损失。同时通过演练,不断提高各部门开展应急工作的水平和效率,发现预案的不足,进一步完善应急预案。 帮助佛山国资委构建应急预案,提升在安全事件发生后的组织程度和响应速度。
服务交付物:《应急演练报告》
(2)应急响应服务 应急响应服务:为用户提供应急技术支持服务,并明确了联系人和联系方式,若佛山市国资委或市属国有一级企业遇到突发的安全问题如:发生网络入侵事件、大规模病毒爆发、遭受拒绝服务攻击等,无法及时对该事件进行处理或解决时,在收到应急响应服务请求的告警信息后,技术专家在4小时内赶到现场,协助系统管理人员查明安全事件原因,确定安全事件的威胁和破坏的严重程度,解决出现问题。 提升佛山国资委和市属一级企业应急响应能力,能够针对安全问题进行及时的反应,将安全事件的危害减到最小。
服务交付物:《应急响应报告》
3.安全培训服务 开展一次网络信息安全培训,培训时间一周,培训人员涵盖市国资委和市属企业负责信息安全的人员。通过培训,了解网络安全基础知识、最新安全态势、基本防护技能,增强佛山国资人员网络安全意识和技能。 Ø服务交付物:《安全意识培训》 4.数据安全服务 (1)数据分级分类服务 以数据源为中心,通过AI机器学习,自动提取数据库字段特征及相似列特征,为字段及其相似字段智能推荐分类分级标签,快速准确的为数据进行分类分级,为不同类别数据的开放和共享施加不同程度的管控,是保障数据安全合规的第一步。 通过数据分级分类服务,结合数据分级分类安全平台,对国资委系统数据进行梳理、数据资产标签化,从而对资产进行分级分类,为后续数据使用过程中的数据安全提供基础。数据分级分类服务计划如下:
Ø服务交付物: 《数据分类分级项目实施方案》、《重要数据保护目录》、《个人信息保护目录》、《重要数据分布视图》、《数据分类分级项目总结报告》。
(2)敏感数据防泄露监控服务 敏感数据泄露监控服务是在获得授权的前提下,根据用户提供的敏感关键字等信息帮助用户开展排查和监控泄露在互联网及暗网商的敏感数据。这里的敏感数据用户可自己定义,包括用户相关系统的账号密码,相关系统代码,合同文件,内部通讯等。 收集用户的敏感数据关键字、IP、域名等相关信息,整理成输入清单。云端安全专家会以此清单作为输入开展互联网敏感数据泄露探测,如果发现的安全事件(如代码泄露等)都会给与相关参考处置建议,如果某些情况需要安全专家深度接入排查或者需要溯源,则请应急响应服务。 服务流程如下图
服务交付物:《XX系统敏感数据泄露监控服务首次排查报告》
二、实施时间 本项目服务周期为一年,服务具体内容如下,各项服务的实施时间以采购人通知为准:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标无效。 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
收藏