招标文件
采购项目技术、服务、政府采购合同内容条款及其他商务要求
前提:本章采购需求中标注“★”号的条款为本次磋商采购项目的实质性要求,供应商应全部满足,否则其响应文件按照无效处理。
一、项目概述
1、基于智慧教育发展需要,武侯区教育信息化应用呈现逐年增长态势。但目前,网络安全形势日益严峻,为能有效应对网络安全风险和重要时期网络安全保障工作。现拟采购网络安全服务,以提升自建信息系统以及各终端的安全防护水平,提高网络安全事件预警和处置能力。
2、本项目一个包,拟对成都市武侯区教育系统网络安全服务进行采购。
3、所属行业:
|
品目号 |
标的名称 |
数量 |
单位 |
采购预算 (万元/年) |
最高限价 (万元/年) |
所属行业 |
|
C16070000 |
教育系统网络安全服务 |
1 |
项 |
48.00 |
48.00 |
软件和信息技术服务业 |
4、服务清单
|
序号 |
项目 |
备注 |
|
1 |
协助制订网络安全制度服务 |
|
|
2 |
摸排信息系统服务 |
|
|
3 |
网络安全评估服务 |
|
|
4 |
信息系统状态可视化服务 |
|
|
5 |
等级保护支持服务 |
|
|
6 |
安全整改加固服务 |
|
|
7 |
监测阻断非法外联服务 |
|
|
8 |
应急响应服务 |
|
|
9 |
重要时期保障服务 |
|
|
10 |
攻防演练服务 |
|
|
11 |
协助网络安全培训服务 |
|
|
12 |
提供网络安全专员专业培训服务 |
|
|
13 |
其他网络安全服务 |
二、服务内容及要求
★1、服务标准
1.1《中华人民共和国网络安全法》;
1.2 GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》;
1.3 GB/T28448-2019《信息安全技术网络安全等级保护测评要求》;
1.4 GB/T28449-2018《信息安全技术网络安全等级保护测评过程指南》;
1.5《信息安全等级保护管理办法》公通字2007[43]号。
★2、服务原则
2.1先进性原则:安全服务和形成的规划方案,在路线上应与业界的主流发展趋势相一致,保证依据此方案进行安全防护的理念具备先进性。
2.2标准性原则:安全服务的选择,按照国家安全管理、安全控制、安全规程为参考依据。
2.3实用性原则:具备多层次、多角度、全方位、立体化的安全保护功能。各种安全技术措施尽显其长,相互补充。当某一种或某一层保护失效时,其它仍可起到保护作用。
2.4可控性原则:安全服务和安全规划的技术和解决方案,涉及的工程实施应具有可控性。
2.5系统性、均衡性、综合性研究原则:安全服务从全系统出发,综合分析各种安全风险,采取相应的安全措施,并根据风险的大小,采取不同强度的安全措施。
2.6可行性、可靠性原则:技术和解决方案,需在保证网络和业务系统正常运转的前提下,提供最优安全保障。
2.7可扩展性原则:良好的可扩展性,能适应安全技术的快速发展和更新,能随着安全需求的变化而变化,充分保证投资的效益。
3、服务内容及要求
3.1协助制订网络安全制度服务
3.1.1服务要求:根据相关法律法规以及网络安全行业主管部门要求,综合分析武侯教育系统网络安全实际情况,协助搭建网络安全制度框架及完善网络安全制度。
3.1.2服务频次:服务期内1次。
3.1.3服务交付:《XX年武侯教育系统网络安全制度集》。
3.2摸排信息系统服务
服务要求:摸排武侯教育信息系统数量,针对下属单位未报、瞒报等情况,利用技术探测发现,汇总建立信息系统台账,具体要求如下:
3.2.1联系区教育局机关各科室、直属单位以及下属中小学信息化负责人,收集全区教育信息系统的规模数量,建立网络资产台账。
3.2.2对全区教育信息系统网络资产进行清点,通过主动扫描、协议识别、应用识别等模式采集资产信息,识别资产的开放端口、通信协议、操作系统、指纹信息、设备类型、厂商等信息,形成信息系统资产库,与现有资产台账进行比对,梳理出未知资产、老旧资产,完善全区教育信息系统台账。
▲3.2.3供应商为履行合同所使用的网络资产梳理工具,资产识别特征库数量不少于300000条,能够对包括视频监控、交换机、路由器、网络安全产品、服务器设备、企业应用软件、Web组件等资产进行识别(提供功能截图并加盖供应商鲜章)。
▲3.2.4供应商为履行合同所使用的网络资产梳理工具,能够展示资产的变化历史,支持分析资产属性变化,包括端口、组件、协议、漏洞、管理信息(负责人、机房、管理单元、地理位置等),实现对资产风险的动态跟踪(提供功能截图并加盖供应商鲜章)。
▲3.2.5供应商为履行合同所使用的网络资产梳理工具,需支持对IP资源被占用情况、重要IP资源离线情况、禁用软件情况、禁用硬件情况、禁用端口情况、禁用服务情况进行检测(提供功能截图并加盖供应商鲜章)。
3.2.6服务频次:每月一次。
3.2.7服务交付:《XX年XX月武侯教育信息系统台账》。
3.3网络安全评估服务
服务要求:利用资产测绘、漏洞扫描、安全基线扫描、安全策略检查等技术手段,对武侯教育系统内所有信息系统进行网络安全评估,及时发现教育自建信息系统的缺陷和不足,提供网络安全加固建议,提升网络安全防护能力。
3.3.1风险资产发现:从网络武器特征、运行远程管理软件、开放高危端口等维度,对教育局机关各科室、直属单位自建信息系统进行风险排查,全面排查可能存在的风险资产、违规资产。
▲3.3.2安全漏洞探测:利用专业漏洞扫描系统,对全区教育信息系统存在的高危安全漏洞隐患进行排查,基于资产特征快速评估风险影响范围,定位问题资产并验证风险可被利用性,具体服务要求如下:
①服务所使用的漏洞扫描工具,支持对扫描出来的漏洞进行模拟利用功能,以确认漏洞的影响范围及真实性(提供功能截图并加盖供应商鲜章)。
②服务所使用的漏洞扫描工具,支持对已检测出来的漏洞进行核查检测,确定是否修复(提供功能截图并加盖供应商鲜章)。
③服务所使用的漏洞扫描工具,系统内置的POC测试数量不低于4700条(提供功能截图并加盖供应商鲜章)。
④服务所使用的漏洞扫描工具,支持自动筛选出符合漏洞特征的风险资产,进行单一漏洞专项扫描(提供功能截图并加盖供应商鲜章)。
3.3.3网络安全基线检查:对全区教育信息系统所涉及的主机操作系统、中间件、数据库以及网络安全设备的安全配置基线进行检查,检查无用账号、僵尸账号、弱口令账号、账号策略、口令策略、审计日志、远程管理等情况;检查设备管理、账号口令、安全策略、软件版本、特征库等安全配置情况。
3.3.4安全策略检查:对全区教育信息系统所涉及的安全防护设备的安全策略设置进行检查,判断是否满足安全要求,对发现的问题提出整改建议;梳理业务系统开放的服务端口以及业务服务器之间的访问关系;根据业务系统的访问需求,对安全防护设备的访问控制策略、安全防御策略进行检查,确保策略按照“按需开放,最小开放”的原则进行开放。
3.3.5服务频次:至少2次。
3.3.6服务交付:《XX年XX月武侯教育信息系统网络安全评估报告》。
3.4信息系统状态可视化服务
服务要求:基于第二项和第三项服务,将全区教育信息系统状态进行可视化呈现,信息系统状态需至少包含信息系统基础状态、网络安全态势、网络安全标准与制度、网络安全通报与处置、具体要求如下:
3.4.1信息系统基础状态呈现的信息系统数量应与《武侯教育信息系统台账》一致,至少呈现信息系统的所属单位、IP地址、在离线状态、等保信息、操作系统。
▲3.4.2网络安全态势呈现
①安全态势总览,至少包含攻击事件总量、高危漏洞排行、失陷主机及外联行为概览(提供技术承诺函并加盖供应商鲜章)。
②漏洞智能检测和管理,至少包含漏洞总数、中高危漏洞占比等(提供技术承诺函并加盖供应商鲜章)。
③失陷主机外联监测,至少包含疑似被控主机数量、外联主机top10、非法目的地址top10等(提供技术承诺函并加盖供应商鲜章)。
3.4.3网络安全标准与制度
对供应商编写的网络安全标准、网络安全制度、网络安全处理流程等方面的文件进行统一管理和呈现,定期进行版本更新。
3.4.4网络安全通报和处置对日常网络安全运维中发现的安全问题和隐患,分类呈现,跟踪安全事件处理过程并通报处置结果。
3.4.5网络安全培训和考核:
武侯区教育局网络安全培训成果展示,至少包含网络安全培训通知、网络安全培训课件、网络安全培训考核排名等内容。
3.4.6信息系统可视化服务平台基础框架建设完成时间:签订合同后2个月内。
3.5等级保护支持服务
3.5.1服务要求:依照等级保护2.0相关要求,对采购人指定的武侯教育系统内的目标系统进行等级保护差距分析,通过技术评估和管理分析等综合评估手段,分析系统与等级保护2.0要求之间的差距。
3.5.2服务频次:根据采购单位要求按需提供。
3.5.3服务交付:《XX信息系统等级保护差距分析报告》。
3.6安全整改加固服务
服务要求:采用在武侯教育信息系统上,安装主机安全防护系统(软探针)的方式,结合第三项和第五项服务,开展合规性监测,对发现的问题进行安全整改,对无法现场优化整改的内容,提出解决方案建议,进一步提升主机自身安全防护能力,具体要求如下:
▲3.6.1主机安全防护系统应支持“操作系统加固”功能,基于操作系统内核加固技术,针对操作系统核心资源,如注册表、网络连接、系统文件、进程等资源进行防护(提供功能截图并加盖供应商鲜章)。
▲3.6.2主机安全防护系统应支持struts2漏洞防护、反序列化漏洞防护、命令执行漏洞防护、任意文件读取漏洞防护、未知webshell识别及自动隔离(提供功能截图并加盖供应商鲜章)。
▲3.6.3主机安全防护系统应支持堡垒锁功能,可对服务器上的特定文件进行监控和防护,包括危险文件创建防护、危险命令执行防护、敏感文件读取防护(提供功能截图并加盖供应商鲜章)。
▲3.6.4主机安全防护系统应支持紧急情况下,“一键”对服务器进行单/双向隔离控制(提供功能截图并加盖供应商鲜章)。
3.6.5服务频次:根据采购单位要求按需提供,主机安全防护系统常态化部署。
3.6.6服务交付:《XX信息系统安全加固报告》。
3.7监测阻断非法外联服务
服务要求:供应商应提供“威胁情报联防阻断系统”,实时监测阻断教育城域网内终端的非法外联,提取分析非法外联日志,重点阻断“挖矿”活动,出具非法外联阻断报告,协助相关单位整改,具体要求如下:
▲3.7.1“威胁情报联防阻断系统”的威胁情报数据源不少于5个,正向攻击类情报至少覆盖30个行业,反向连接类情报至少包含IP类情报、URL类情报、域名类情报(提供功能截图并加盖供应商鲜章)。
▲3.7.2“威胁情报联防阻断系统”应支持攻击IP溯源画像,溯源信息至少包含历史攻击时间、攻击目标、历史攻击单位、所属行业、攻击类型、威胁等级等信息,IP画像信息包含:归属地、运营商、资产信息、组件、开放端口及网站证书等信息(提供功能截图并加盖供应商鲜章)。
▲3.7.3“威胁情报联防阻断系统”应设置攻击监测策略以满足日常及重保场景,并支持用户自定义攻击监测策略(提供功能截图并加盖供应商鲜章)。
▲3.7.4“威胁情报联防阻断系统”应支持在情报匹配的基础上,自定义开启二次本地校准功能,即“情报匹配”和“数据包中发现攻击载荷”两个条件同时满足时,才执行预设的管控动作(提供功能截图并加盖供应商鲜章)。
▲3.7.5“威胁情报联防阻断系统”的阻断率≥99%;(提供法定检验机构出具的检测报告复印件并加盖供应商鲜章)。
3.7.6服务频次:实时监测与阻断非法外联,每月出具一次阻断报告。
3.7.7服务交付:《XX年XX月武侯教育系统非法外联监测与阻断报告》。
3.8应急响应服务
3.8.1服务要求:突发安全事件30分钟以内响应,供应商按照《成都市武侯区教育系统网络与信息安全事件应急预案》协助处置,处理完毕后提供应急响应报告。
3.8.2服务频次:根据发生的安全事件次数而定。
3.8.3服务交付:《XX网络安全事件应急响应报告》。
3.9重要时期保障服务
服务要求:在重大会议、节假日等特殊时期内,安排专业服务工程师7*24小时远程值守,保障全区教育系统网络安全,具体要求如下:
3.9.1监测预警:开展安全事件实时监测服务,借助采购单位已有安全防护设备对攻击安全事件进行实时监测。
3.9.2分析研判:针对监测到的网络安全事件,通过主机日志、安全设备日志、系统日志、攻击载荷等信息对攻击行为进行分析研判。
3.9.3应急处置:根据研判分析结果和网络安全应急预案,协同采购单位各部门对网络安全事件进行处置。
3.9.4追踪溯源:根据采购单位安全防护设备、安全监测设备产生的告警信息、样本信息等,结合各种情报系统对攻击事件进行溯源分析。
3.9.5服务频次:当年重大会议、节假日等采购人指定的特殊时期。
3.9.6服务交付:《XX时期武侯教育系统网络安全重保服务报告》。
3.10攻防演练服务
服务要求:在采购人授权的前提下,以模拟黑客可能使用的攻击技术和漏洞发现技术,对武侯教育系统内的目标业务系统的安全做深入探测,发现信息系统脆弱环节,通过渗透测试发现信息系统的安全问题和隐患,进而有针对性的进行安全整改,具体服务要求如下:
3.10.1利用主流的攻击技术和工具,从互联网侧进行模拟黑客攻击测试,排查对教育局机关各科室、直属单位自建信息系统存在的cookie注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台等安全漏洞。
3.10.2对安全漏洞进行整理分析,提供相应的解决建议。
3.10.3服务频次:至少对5个目标信息系统进行模拟攻击。
3.10.4服务交付:《XX网站/系统攻防演练报告》。
3.11协助网络安全培训服务
3.11.1服务要求:协助采购单位进行全区教育系统网络安全专题线下培训,规模人数由采购单位自行确定,培训内容包括但不限于网络安全法律法规、信息系统合规要求、等保2.0、网络安全突发事件处置办法至少包括国内外网络安全形势,网络安全相关法律法规解读、网络安全基础知识、常见网络安全问题处理方法,培训完成后配合下发学时证书,同时提供网络安全培训数字资源。
3.11.2服务频次:至少2次,每次不少于4学时。
3.11.3服务要求:《XX年XX月武侯教育系统网络安全培训简报》、《XXX学时证书》。
3.12提供网络安全专员专业培训服务
3.12.1服务要求:供应商组织网络安全专员开展网络安全专业培训,并督促参加培训的网络安全专员取得网络安全证书。
3.12.2服务人数:区教育局、直属单位、各公办学校不超过一名。
3.12.3服务交付:《XX年武侯教育系统首批网络安全专员培训报告》。
3.13其他网络安全服务
3.13.1服务要求:与上级部门的网络安全系统业务对接,及配合采购人完成临时交办的网络安全工作服务。
4、本项目拟派人员不少于6人。
★三、商务要求
1、履约期限:成交供应商与采购人从签定合同之日起一年内。服务期满11个月,中标人提出验收申请及续签合同申请,验收通过且经采购人研究同意后,可续签12个月服务期,最多续签2次。如服务期出现重大事故或者采购需求变化,采购人可随时提出不再续签要求。
2、履约地点:采购人指定地址。
3、付款方式:
3.1签订合同且收到中标人的款项支付凭证15个工作日后,采购人向中标人支付合同金额的40%;合同签订6个月且收到中标人的款项支付凭证后,采购人向中标人支付合同金额的60%;
3.2每次付款前,中标人须向采购人出具合法有效完整的增值税发票及凭证资料后进行支付结算。如因中标人未按照要求提供合法有效的票据导致逾期付款的,不视为采购人违约,采购人不承担任何责任;
3.3按考核扣款,以考核得分作为第二次结算费用比例的依据:
①季度考核得分在91分及以上,当期按应付款的100%结算;
②季度考核得分在81-90分,当期按应付款的80%结算;
③季度考核得分在61-80分,当期按应付款的60%结算;
④季度考核得分在60分及以下,当期按应付款的0%结算。
考核细则:
|
序号 |
项目 |
评分标准 |
考评分值 |
|
1 |
协助制订网络安全制度服务 |
制度科学完备,应包括机房管理制度、人员管理制度等 |
10 |
|
2 |
摸排信息系统服务 |
信息系统摸排清楚,无重大遗漏 |
10 |
|
3 |
网络安全评估服务 |
报告专业度高,服务期内提交两次报告 |
10 |
|
4 |
信息系统状态可视化服务 |
可视化界面清晰,状态信息显示全 |
10 |
|
5 |
等级保护支持服务 |
整改建议和报告专业全面 |
10 |
|
6 |
安全整改加固服务 |
无重大系统漏洞 |
10 |
|
7 |
监测阻断非法外联服务 |
服务期内实时监测与阻断,阻断效果好 |
10 |
|
8 |
应急响应服务 |
响应迅速,处置妥善。 |
10 |
|
9 |
重要时期保障服务 |
确保安全稳定,无重大网络安全事件发生 |
10 |
|
10 |
网络安全培训服务 |
培训完成后学员反馈 |
10 |
一票否决制:服务期间,若发生《成都市武侯区教育系统网络与信息安全事件应急预案》中II级(含)以上的网络与信息安全事件应急响应时,合同自然终止,中标人需退还采购人支付的所有款项及赔偿相关损失,合同不再续签。
4、保密要求:供应商在对业主单位开展安全服务之前需与业主单位签订保密协议,服务过程中向业主单位借阅的任何有关资料应在服务结束后全部归还业主单位,未经业主单位允许,不得擅自复制、保留。
5、验收标准:按照《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库〔2016〕205号)的要求,同时按磋商文件要求、响应文件及承诺、签订的合同、国家及行业相关规范标准进行。
四、其他要求
供应商根据本项目提供的详细的服务方案包括:1、项目服务过程控制;2、项目服务组织架构;3、项目服务进度安排;4、项目验收安排。
收藏