招标文件
采购项目内容
一、采购项目概况
本项目为网络安全驻场运维服务(安全运维服务)。包括安全扫描、风险评估、渗透测试、系统基线检查、业务系统代码审计、关键安全设备升级、安全培训、驻场维护、应急响应、重要时期保障等,以加强全省生态环境网络信息安全体系建设。
|
序号 |
项目名称 |
数量 |
单位 |
|
|
1 |
原厂设备维保 |
负载均衡TopAPP(原厂一年软硬件质保) |
1 |
台 |
|
NGFW4000-UF(原厂一年软硬件质保) |
2 |
台 |
||
|
堡垒机TopSAG(原厂一年软硬件质保) |
1 |
台 |
||
|
VPN-2150(原厂一年软硬件质保) |
1 |
台 |
||
|
数据库审计(原厂一年软硬件质保) |
1 |
台 |
||
|
web应用防火墙(原厂一年软硬件质保) |
2 |
台 |
||
|
2 |
专业网络安全服务 |
原厂定制安全培训 |
2 |
次 |
|
专业网络安全驻场运维 |
3 |
人/年 |
||
|
3 |
安全服务(基础安全评估、应用安全评估、渗透测试、安全加固、基线检查、网站监测等) |
6 |
项 |
|
二、服务要求
1、基础安全评估、应用安全评估、安全加固、安全检查、安全巡检、应急响应、网站监测技术要求
|
招标项 |
招标要求 |
|
|
基础安全评估 |
资产评估威胁评估 |
通过人工调研、访谈的形式依据相关标准进行资产赋值和威胁分析,每一年执行一次。 |
|
主机操作系统检查 |
人工对软件收集的基础数据进行安全分析,每一年执行一次。 检查内容需包括漏洞扫描和配置参数核查,由于漏洞扫描存在意外使服务器宕机、停止响应的风险,技术方案中应明确风险规避措施和扫描计划。安全配置核算应覆盖帐号管理、认证授权、日志配置、IP协议安全等方面的内容。 |
|
|
应用软件检查 |
收集并分析数据库、中间件等应用软件配置,每一年执行一次,检查内容需包括漏洞扫描和配置参数核查,由于漏洞扫描存在意外使服务器宕机、停止响应的风险,技术方案中应明确风险规避措施和扫描计划。安全配置核算应覆盖帐号管理、认证授权、日志配置、IP协议安全等方面的内容。 |
|
|
网络架构评估 |
*分析网络拓扑结构和采集的网络设备配置,每一年执行一次,对重要系统域间防火墙,尤其是互联网防火墙策略进行审核,对开放端口、开放地址、规则有效性等,并结合互联安全管理办法,对远程接入、组网结构、安全域划分等提出综合评估结论和改进建议。 |
|
|
应用安全评估 (外网网站系统) |
业务流程逻辑安全测试 |
梳理、实际操作体验业务流程,发现逻辑安全问题,每一年执行一次,业务安全评估是传统安全评估的延伸和发展,侧重于评估业务层面的安全风险,即关注于业务流程、业务处理活动,关注于业务恶用、滥用、盗用、欺诈威胁和风险等。业务安全评估以业务为中心,遵循业务风险导向的安全评估,其评估对象和内容也有别于传统安全评估。此次服务针对重点业务系统,使用成熟的业务安全工具,结合安全专家的审核,对业务系统业务流程、路由组织、组网结构、系统应用漏洞等内容进行全面安全评估,并提交系统弱点报告和综合解决建议。业务安全评估关注业务风险,其评估范围:1)业务的生命周期,包括业务设计与实现、业务运行与管理及业务间的接口和关联关系;2)信息系统的生命周期,包括需求、设计、开发、测试、部署、运维、废弃等各个环节;3)业务与信息系统依赖关系,即业务在信息系统层面的数据流、数据处理活动及其关联关系;4)业务安全保障的各个层面,包括监控、保护、响应、审计等。信息数据是中心工作活动的重要核心,须在技术方案中详细提出《敏感信息流转风险评估指标体系表》至少包括信息输入、信息处理、信息使用、信息输出、信息传输、信息保存、监督管理等方面。 |
|
渗透测试 |
互联网渗透测试 |
*从互联网针对业务系统进行渗透测试,每一年执行二次,渗透测试是指由安全专家利用安全工具并结合个人实战经验使用各种攻击技术对买方指定的目标进行非破坏性质的模拟黑客攻击和深入的安全测试,发现信息系统隐藏的安全弱点,并根据系统的实际情况,测试安全弱点被一般攻击者利用的可能性和被利用的影响,使用户深入了解当前系统的安全状况,了解攻击者可能利用的攻击方法和进入组织信息系统的途径,让管理人员非常直观地了解当前系统所面临的问题,明确信息系统当前面临的风险,以采取更强有力的保护措施。渗透测试主要技术手段包括:缓冲区溢出测试、账号密码测试、ARP欺骗测试、WEB及应用测试、SQL注入攻击测试以及其它攻击测试技术等。生成报告:在渗透测试的后期,需要整理渗透测试的过程文档,制作渗透测试报告。渗透测试报告包含渗透过程中采用的方法、手段、测试项目、发现的问题、以及相关漏洞的加固建议和系统的安全建议。报告将包括:渗透测试概述(原理、目标、范围、人员、方法,局限性)渗透测试结论(系统优势、系统弱点汇总,造成的影响以及结论)严重漏洞分析和解决建议(方案)渗透测试流程(采取的重要步骤、外部输入、系统的响应、破解方法等)风险控制措施(时间选择、策略选择、系统备份与恢复,协调沟通) |
|
内网渗透测试 |
*从内网针对业务系统进行渗透测试,每一年执行二次,内网渗透测试除覆盖互联网渗透测试的方法外,重点加强在网络访问控制保护相对较弱的背景下,各应用系统全面、深入的网络层、操作系统层、应用软件层和应用代码层的安全风险。 |
|
|
安全加固 |
基础安全加固 |
针对操作系统、中间件、数据库、网络设备进行安全配置参数调整和补丁加载的安全加固的实施建议。 |
|
应用安全加固 |
针对需要修改源代码才能加固的安全风险,提供详细的安全加固建议和技术支持。技术方案中须针对常见应用安全漏洞提出java、asp.net、php等常见编程语言对应的详细漏洞修补建议,建议要细化到示例代码级别。 |
|
|
基线检查 |
新业务上线安全检查 |
新业务上线之前对新业务系统进行基础安全评估及应用安全评估,技术方案中须详细说明为申请上线的新业务系统准备基本信息表模板、安全域检查表模板、物理安全检查表模板、帐号安全检查表模板、服务端口检查表模板、防火墙策略检查表模板、防病毒软件检查表模板,并提出执行上线检查的系统日志安全检查表模板、漏洞扫描检查表模板、安全配置检查表模板、弱口令检查表模板、渗透测试检查表模板。 |
|
应急响应 |
应急响应 |
*在发生安全事件时提供远程和现场的应急响应分析与处置服务,不限次数。重要保障期加强保障力量。发生或可能发生安全事件时,安全服务提供商应快速响应并到达现场,协助进行安全事件的定位、分析及处理,直到安全事件排除。对于影响业务的安全设备故障,在进行故障处理时,应先考虑业务恢复,然后再彻底解决故障。事件处理结束后,应出具《安全事件处理总结报告》,如安全服务提供商应工程师不能在时限内解决问题,则应调动安全专家协助解决。 |
|
网站监测 |
网站可用性监测 |
对指定的网站进行实时监测,要求监测频率不低于1次/5分钟,当发现网站不可用后,要求在10分钟内向用户进行预警,告知详细的事件信息。 |
|
网站首页篡改监测服务 |
对指定的网站首页面进行实时监测,要求监测频率不低于1次/15分钟,对网站首页面的大小、页面元素等进行比对,当发现网页篡改事件后,要求在10分钟内向用户进行预警,告知详细的事件信息,并提供页面恢复方案建议。 |
|
|
网页挂马监测 |
对指定的网站进行实时监测,要求监测频率不低于1次/24小时,检测至少包含一级和二级页面,当发现网页挂马事件后,要求在10分钟内向用户进行预警,告知详细的事件信息。 |
|
|
网站安全检测服务 |
要求每半年对指定的网站系统进行全面的安全检查,及时发现用户网站存在的各类安全漏洞、网页木马及暗链等安全事件,在每次网站安全检测服务结束后,向用户提供网站安全检测报告,详细描述安全事件信息,并提供修复方案。 |
注:以上加*的技术参数、指标为重要参数、指标,投标人投标内容低于招标文件要求的其投标无效。
三、商务要求
*1、投标报价:
本项目预算为63.5万元,投标人投标报价超过预算的为无效投标。投标报价包含完成采购项目的技术服务、实施、运输、保险及各项税金等所有费用。
*2、实施或完工时间:自上个运维周期结束之日起1年。
3、项目实施地点:采购方指定地点。
4、付款方式:签订合同后,15个工作日内采购人支付合同价款的50%,通过验收后支付50%。
5、项目验收要求:项目交付后由采购人根据合同、招标文件、投标文件组织验收。
6、售后服务基本要求:
*(1)产品维保要求:负载均衡TopAPP(原厂一年软硬件质保),NGFW4000-UF(原厂一年软硬件质保)、堡垒机TopSAG(原厂一年软硬件质保)、VPN-2150(原厂一年软硬件质保)、数据库审计(原厂一年软硬件质保)、web应用防火墙(原厂一年软硬件质保),要求提供原厂一年软硬件质保和维保。
(2)现有关键网络安全设备(防火墙、负载均衡、VPN、上网行为管理、堡垒主机),一旦出现软硬件故障在30分钟无法恢复的情况下,投标人需在30分钟内免费将同型号备机运送至中心并将网络恢复至正常状态,投标人出具承诺证明并加盖公章。
7、人员要求:
*(1)驻场人员3名,其中两名渗透工程师,驻场时间与采购人办公时间一致,要求精通不同网络安全厂家、网络设备厂家、服务器厂家的产品的调试和排错。
(2)签合同之前需要通过采购人的笔试和面试。
(3)现有关键网络安全设备,一旦出现软硬件故障在30分钟无法恢复的情况下,投标人需在30分钟内免费将同型号备机运送至中心并将网络恢复至正常状态。
*8、原厂定制安全培训要求:为提高网络维护人员处理安全风险能力和安全意识,要求对采购人运维人员进行原厂定制安全培训(能够完全操作运维审计系统、网络隔离与信息交换系统、日志审计系统、防火墙、漏扫、网络审计、上网行为管理),需要提供服务承诺和培训能力证明文件以及培训讲师简历。为提高网络维护人员处理安全风险能力和安全意识,要求对采购人运维人员进行原厂定制安全培训。
注:上述商务要求中加*项目为重要商务要求,投标承诺低于招标文件规定要求的其投标无效。
四、投标人资格要求
1.满足《中华人民共和国政府采购法》第二十二条规定。提供以下材料:
1)法人或者其他组织的营业执照等证明文件,自然人的身份证明:
a.投标人为企业(包括合伙企业)的,应提供有效的“营业执照”;
b.投标人为事业单位的,应提供有效的“事业单位法人证书”;
c.投标人是非企业机构的,应提供有效的“执业许可证”、“登记证书”等证明文件;
d.投标人是个体工商户的,应提供有效的“个体工商户营业执照”;
e.投标人是自然人的,应提供有效的自然人身份证明。2)具有良好的财务状况报告,依法缴纳税收和社会保障资金的良好记录(供应商
自行提供承诺函,格式自拟);
3)具有履行合同所必需的设备和专业技术能力的证明材料(由供应商根据项目需求提供);
4)参与采购活动前3年内在经营活动中没有重大违法记录的书面声明(格式自拟)。
2.落实政府采购政策需满足的资格要求:本项目为专门面向中小企业采购的项目;注:以上资格要求须将相应内容附在投标文件中并加盖投标人公章,否则为无效投标。
五、同类业绩
投标人投标文件中附本单位自2020年6月以来与最终用户签订的同类项目的合同扫描件,未提供者不作为无效投标,但在相应评分标准中不予计分。
注:1、投标人提供的资格和业绩等所有资料均须附在投标文件中。
2、招标文件中的扫描件的含义:对相关证明材料进行彩色扫描或拍照后(投标人声明函原件、承诺函原件、相关截图证明材料除外,直接上传),生成的电子件(彩色扫描或照片)。
收藏