招标文件
采购内容及要求
重要信息系统网络安全运维服务采购内容及要求
重要信息系统网络安全运维服务、安全设备特征库升级及高速公路联网收费系统数据异地备份服务项目批复预算为189.14万元。
该项目预算为189.14万元,由重要信息系统网络安全运维服务(预算:64.60万元)、安全设备特征库升级(预算:76.54万元)、高速公路联网收费系统数据异地备份服务(预算:48.00万元)三部分内容组成。
一、采购内容及技术要求:
1、服务内容
(一)重要信息系统网络安全运维服务
为保障省中心重要信息系统安全、稳定运行,按照国家信息安全等级保护制度要求,依据部、省相关信息安全政策、技术标准及安全文件要求,结合系统业务实际情况及安全现状,对省中心重要信息系统提供安全运维服务。由于省中心重要信息系统的网络结构较为复杂、业务数据量较大、设备数量较多,故供应商须对省中心现网资产、现网配置情况非常熟悉,需在充分理解现状的情况下开展安全运维服务工作。
(二)专业安全服务
1)漏洞扫描
每季度定期采用漏洞扫描工具,完成对系统的网络设备、安全设备、服务器、虚拟化主机、终端设备等资产的安全扫描工作,并根据扫描结果形成漏洞跟进表,协助省中心完成安全漏洞整改,并根据扫描结果进行分析,每季度提供一份系统安全扫描报告。
2)系统上线安全检测
服务系统若有增加、升级新的业务功能等,应在功能上线前进行安全检测,检测内容包括漏洞扫描、人工核查等,并出具相应上线安全检测报告,并协助完成整改。
3)渗透测试
应通过现场结合远程的方式,模拟黑客从外网、内网对系统开展至少1次渗透测试工作,测试完毕生成详细的渗透测试报告,并提供改进建议。实施人员需熟练掌握渗透测试技能,具备丰富的渗透测试经验,渗透测试过程中不得进行影响业务系统稳定运行的操作。
4)App(公众号、小程序)安全评估
应对服务系统现有APP(公众号、小程序等)及新增APP(公众号、小程序等)应用进行安全扫描、检测,有效评估APP中存在的各类安全隐患,测试完毕应生成APP(公众号、小程序等)应用安全检测报告。实施人员需熟练掌握移动APP(公众号、小程序等)的测试技能,应具有针对各类APP(公众号、小程序等)进行安全评估的丰富经验,安全评估过程中不得进行影响业务系统稳定运行的操作。
5)网络安全检测及加固
通过配置检查工具或人工的方式对系统安全设备、服务器、终端电脑等设备的安全配置进行检测(检查)。同时,定期检查系统的网络配置,应及时发现不合理、不安全的网络配置并及时进行修复。协助省中心完成网络及安全配置优化及系统安全加固,落实网络分区分域管理措施,合理划分系统网络安全区域,通过有效技术措施对安全区域进行隔离,确保安全控制策略有效、安全风险影响范围最小。
6)应急响应(含重要活动护网工作)
应针对系统制定应急响应快速服务流程,包括设备故障响应和安全事件响应。日常故障或一般事件4小时内响应处置,重大故障或重大事件2小时响应处置。在发生安全事件时,应提供安全技术团队对事件进行分析研判,采取应急措施保障业务正常运行,并协助省中心快速协调相关厂家解决设备故障问题。
重要节假日、重大活动(国家、公安、省厅、部中心等护网行动),应加强值班值守,严格落实一线在岗值班值守制度,安排不少于3人的现场护网值守,提供7*24小时应急响应服务,确保系统安全稳定运行。
7)安全演练
包括但不限于应急演练或攻防演练(攻击测试),制定网络安全演练方案,协助开展网络安全演练活动。根据演练活动结果协助省中心建立安全应急机制,完善应急措施、建立专项应急预案,服务期内提供不少于一次网络安全演练活动,并保留安全演练记录。
8)安全培训
对系统安全运维人员和安全管理人员进行信息安全政策、法规、技术标准内容的安全培训工作,完成信息安全政策的宣贯、提高相关工作人员的信息安全意识、信息安全技能。培训内容包括但不限于:信息安全意识培训、法律法规和安全标准体系培训、系统网络安全运行保障培训以及1人次CISP DSG认证培训考试,同时应保障已获得证书的有效延续认证,确保长期有效。
安全培训总时间2天,参加人员不少于50人不多于100人,应制定有针对性的信息安全培训教材,明确培训课程,讲授安排,并聘请国内信息安全技术专家担任讲师,提供实际操作体验。本次培训服务费用含讲课费、教室租用、教材、食宿。
省中心1人次CISP DSG认证培训及考试,包含教材、培训费、考试费、食宿等所有由于培训产生的费用。
2.日常安全运维服务
日常安全维护工作主要包括以下5个方面:
1)安全巡检
对系统安全设备进行现场安全巡检,及时了解安全设备运行情况,观察各个安全节点的可靠性。机房巡检每日2次,线上巡检每日1次(即设备状态检查),遇重要活动或会议期间应加大巡检频率,并提供巡检日报。对巡检中发现的安全问题或异常情况,应及时报告省中心人员,不得擅自处理,并协助省中心对问题进行整改。
2)信息资产台账维护
定期维护更新安全设备资产台账,包括资产类别、型号、用途、位置、端口使用状态、责任归属等。并重点记录资产在遭受泄密、中断、损害等破坏时所遭受的影响,以及后续状态。
3)安全运行监测
充分利用现有安全运行监测平台或借助第三方运行监测平台,对省中心部署的防火墙、网闸、日志审计系统、堡垒机、漏洞扫描、防病毒系统等安全设备(软件)运行状况进行监测,及时发现安全异常情况。对服务期限内新增的系统安全设备,也应做好安全运行监测工作。
4)协助安全检查
供应商应配合省中心完成不少于1次的信息安全抽检服务,以及时发现系统安全管理落实及安全技术实施中存在的不足及风险,检查内容包括但不限于:安全管理制度及执行情况、防病毒系统的版本升级情况、终端用户的安全合规情况、安全设备的系统性能情况、系统开放服务及安全策略检查、系统漏洞等,并出具安全检查报告,对检查中发现的完全问题,应给出合理的安全整改建议。
本项要求安全实施人员至少2名工程师(具体人员配备按照实际抽检工作量予以增加),且需完全理解高速公路联网系统各类安全规范、检查要求,并根据相关规范协助省中心完成安全检查工作。
5)其它安全信息服务
应在安全技术团队保障的基础上,协助编制(修订)全省和省中心相关网络安全管理制度、安全检查(通报)、安全技术要求、专项方案等相关文件。应梳理现有网络安全配置策略,针对服务中出现的问题,提交本年度安全运行分析报告,提出安全管理及技术方面需要完善的意见建议,包括但不限于整体系统架构的可靠性、冗余性、安全性、可扩展性方面,同时规划下一年度的安全完善计划。
3.服务报告要求
本服务项目的交付物包含但不限于以下内容:
《日巡检安全报告》
《月度安全风险分析报告》
《系统渗透测试报告》
《安全演练报告》
《安全检查报告》
《信息安全培训材料》
《季度安全扫描报告》
《年度安全运行分析报告》
其他需要的报告或者材料。
4.重要信息系统网络安全运维服务维护清单如下:
|
序号 |
系统名称 |
类别 |
设备名称 |
数量 |
单位 |
|
1 |
高速公路 联网收费 省级中心系统 高速公路 联网收费 省级中心系统 |
硬件 硬件 |
部省交互区防火墙 |
1 |
台 |
|
2 |
发行业务交互防火墙 |
1 |
台 |
||
|
3 |
安全管理区防火墙 |
1 |
台 |
||
|
4 |
支撑平台防火墙 |
2 |
台 |
||
|
5 |
路网接入防火墙 |
2 |
台 |
||
|
6 |
服务器区防火墙 |
2 |
台 |
||
|
7 |
第三方接入防火墙 |
1 |
台 |
||
|
8 |
站部防火墙 |
1 |
台 |
||
|
9 |
数据库防火墙 |
1 |
台 |
||
|
10 |
普通公路防火墙 |
1 |
台 |
||
|
11 |
普通公路VPN |
2 |
台 |
||
|
12 |
部省交互防病毒网关 |
2 |
台 |
||
|
13 |
堡垒机 |
1 |
台 |
||
|
14 |
网络准入控制 |
1 |
台 |
||
|
15 |
安全漏洞扫描 |
1 |
台 |
||
|
16 |
普通公路入侵防御 |
1 |
台 |
||
|
17 |
软硬 一体 |
内网安全管理系统 |
1 |
套 |
|
|
18 |
日志收集与审计 |
1 |
套 |
||
|
19 |
数据库安全审计系统 |
1 |
套 |
||
|
20 |
网络安全态势感知平台 |
1 |
套 |
||
|
21 |
软件 |
防病毒系统 |
1 |
套 |
|
|
22 |
高速公路网 综合监控省级中心系统 |
硬件 |
路网边界防火墙 |
1 |
台 |
|
23 |
业务区防火墙 |
2 |
台 |
||
|
24 |
安全管理区防火墙 |
1 |
台 |
||
|
25 |
互联网防火墙 |
1 |
台 |
||
|
26 |
专网接入防火墙 |
1 |
台 |
||
|
27 |
网闸 |
2 |
台 |
||
|
28 |
堡垒机 |
1 |
台 |
||
|
29 |
安全漏洞扫描 |
1 |
台 |
||
|
30 |
网络准入控制 |
1 |
台 |
||
|
31 |
入侵检测 |
1 |
台 |
||
|
32 |
RA网关 |
1 |
台 |
||
|
33 |
PKI加密机 |
1 |
台 |
||
|
34 |
数字签名系统 |
1 |
台 |
||
|
35 |
软硬 一体 |
日志收集与审计 |
1 |
套 |
|
|
36 |
软件 |
防病毒系统 |
1 |
套 |
|
|
37 |
证书接入系统RA |
1 |
套 |
||
|
38 |
陕西省高速公路省级视频云联网监测系统 |
硬件 |
视频上云防火墙 |
2 |
台 |
|
39 |
陕西交通 服务热线 12122系统 |
硬件 |
网闸 |
1 |
台 |
|
40 |
防火墙 |
1 |
台 |
||
|
41 |
WEB应用防护系统 |
1 |
台 |
5.安全设备特征库升级
按照国家信息安全等级保护制度要求,依据部、省相关信息安全政策、技术标准及安全文件要求,结合系统业务实际情况及安全现状,对高速公路联网收费省级中心系统、高速公路网综合监控省级中心系统、陕西交通服务热线12122系统的安全设备特征库购买1年升级授权服务。
1).服务要求。自服务期开始之日起20个工作日内完成安全设备特征库1年授权升级,同时,提供1年定期授权服务,并能确保特征库更新至最新版本。服务期内供应商应每月进行设备特征库升级,如遇重要时段(重要节假日、重大活动等)或当有新型蠕虫、病毒、漏洞等范围性安全事件发生时,也应进行设备特征库升级,确保及时更新至最新版本,安全策略有效,期间不能收取任何费用。本次安全设备特征库升级清单如下:
|
序号 |
系统名称 |
品牌 |
产品名称 |
待升级数量 |
单位 |
|
1 |
高速公路联网收费省级中心系统 |
天融信 |
防火墙 |
7 |
台 |
|
2 |
网御星云 |
入侵防御 |
1 |
台 |
|
|
3 |
启明星辰 |
防火墙 |
2 |
台 |
|
|
4 |
绿盟 |
安全漏洞扫描 |
1 |
台 |
|
|
5 |
亚信 |
防病毒网关 |
2 |
台 |
|
|
6 |
防病毒系统 |
1 |
套 |
||
|
7 |
安恒 |
态势感知平台 |
1 |
套 |
|
|
8 |
高速公路网综合监控省级中心系统 |
奇安信 |
防病毒系统 |
1 |
套 |
|
9 |
迪普 |
防火墙 |
1 |
台 |
|
|
10 |
陕西交通 服务热线12122系统 |
深信服 |
防火墙 |
1 |
台 |
|
11 |
绿盟 |
WEB应用防护系统 |
1 |
台 |
2).服务报告要求
本服务项目的交付物包含但不限于以下内容:
《授权升级报告》
《月度升级服务报告》
《年度升级服务报告》
6.高速公路联网收费系统数据异地备份服务
陕西省高速公路联网收费系统业务复杂、结构化数据量大,供应商应充分理解联网收费系统现网情况,对联网收费系统业务架构、数据情况、安全等级等理解清晰后提供异地数据备份技术服务。供应商应提供一整套联网收费系统核心数据库异地数据热备份所需的软硬件环境(包括机房设施等),在有效保护原有已备份到异地的历史数据安全的同时,对联网收费核心业务的新增数据库实例进行实时的异地数据备份、数据保护、数据恢复功能。
数据异地备份服务允许供应商租用其它第三方机房及线路。
1).配置要求
(1)硬件备份资源(非国产或国产配置要求满足其中一种即可)
非国产配置要求:机架式2U高度;Intel 8核CPU,处理器主频≥2.1GHz;内存≥32G,≥16个内存槽位;240G 2.5寸企业级SSD系统硬盘≥2;数据盘可用存储空间不小于180TB;板载Inteli350双千兆网口;RAID级别:0,1,5,10,50,2GB缓存;冗余电源和风扇模块。
国产配置要求:机架式2U高度;国产16核CPU,处理器主频≥2.1GHz;内存≥64G,≥16个内存槽位;240G 2.5寸企业级SSD系统硬盘≥2;数据盘可用存储空间不小于180TB;万兆光接口≥2,万兆多模光模块≥2;RAID级别:0,1,5,10,50,2GB缓存;冗余电源和风扇模块。
必须保证所有历史数据及本服务期内新增数据的完整性和一致性,若存储空间需要扩容以满足数据备份存储,供应商应及时进行扩充,不得影响数据备份,省中心无需额外支付费用。
(2)备份软件要求
在有效保护原有已备份到异地机房的历史数据安全的同时,能从已建成的本地容灾平台中提取数据并对联网收费核心业务的新增数据库实例进行实时的异地数据备份、数据保护、数据恢复功能。要求不通过RMAN进行全库增量数据扫描,具备自动记录增量数据变化的功能,减少备份时对生产数据库的影响。具备Oracle数据库的非归档模式的在线热备功能。具备Oracle数据库全库、单表、表空间、文件、数据块、存储过程、对象、索引、函数的恢复。
2).线路及机房租赁服务
(1)机房要求
距离省中心大于200公里专业化运营商级别机房,提供专业化运营商级别机房,不少于两路市电冗余输入,配置N+1冗余备份UPS系统,满足系统容量放电30分钟,具备发电机组,可支持机组满载运行大于24小时。
(2)线路要求
省中心机房和异地数据备份机房100Mbps的MSTP专线一条。确保数据通过该链路高质量、实时传输至异地数据节点。
(3)接入设备
业务内所需的安装线缆、接入设备等由供应商免费提供,并保障服务期内免费维修或更换。
3).灾备演练服务
应设计省中心联网收费系统异地灾备应急响应与数据恢复预案,制定不同场景下的应急响应及数据恢复流程,制定数据恢复相关的操作手册。每年度提供不少于一次数据验证演练服务,能够定时完成省中心容灾平台数据与异地备份数据的一致性。演练结束后,对演练结果进行评估,并进一步修订数据恢复预案及相关方案。
4).运维保障服务
服务期内,按需完成灾备系统的安装、配置、调整、升级、迁移、维修等工作。排除软硬件系统故障,恢复系统运行,包括故障定位、软件安装修复、数据恢复、硬件更换、硬件扩容、故障排除等。
(1)异地节点定期巡检
每季度安排厂家工程师对异地节点提供至少一次定期巡检服务,内容包括数据备份状态分析、系统健康状态分析、系统日志分析、系统诊断、性能分析等,梳理系统运行隐患、优化系统配置,提供系统运行报告。同时提供异地节点现场技术支持响应服务,当异地节点软硬件系统发生故障时,工程师须第一时间(4小时内)赶赴现场处理故障,对系统故障进行定位、排查和解决。
(2)运行监测
在服务期内,每日需对异地备份系统软硬件备份状态进行监测,检查系统运行状况、报警信息等,对系统出现的异常现象及时联系厂家处理。每周1次需从异地备份系统随机抽取若干张表或日志文件进行数据恢复,将异地恢复的数据与容灾库的数据进行对比验证,以确保机房容灾库的数据完整备份至异地。服务期每季度末,应提供系统运行报告。供应商应定期监测备份空间使用情况,当剩余存储空间小于10TB时,应及时向采购人报告情况,制定磁盘扩容方案,于发现问题的5个工作日内完成磁盘扩容,不得影响数据备份,采购人无需额外支付费用。
5).服务报告要求
本服务项目的交付物包含但不限于以下内容:
《日监测报告》
《周巡检报告》
《周数据恢复验证报告》
《季度系统运行报告》
《数据演练预案及报告》
《年度报告》
其他需要的报告或者材料。
二、商务要求
(一)服务基本要求
1).设备系统信息整理
供应商应梳理所服务的设备(系统)资产台账、网络拓扑、数据存储备份等系统所有资产和设备及软件配置信息,并在服务时间到期前1个月内提交纸质资料。
2).技术支持服务
1.供应商应具备完善的技术支持服务体系,并承诺提供7×24小时的电话支持服务、故障处理服务等。
2.安全设备特征库升级要求原厂技术人员对特征库进行升级,服务期内确保特征库升级至最新版本。
(二)项目人员管理要求
在服务过程中,对于供应商向省中心提供服务过程中所指派具体承担服务的人员,应向省中心提供人员名单、简历、学历等相应证明文件,并保证所提供信息的准确性和有效性。省中心有权对派入人员的资格和相关信息进行审核。为确保省中心服务工作的顺利开展,供应商应对服务人员及现场驻场人员素质整体把关,原则上应满足以下条件:
1).指定一名项目经理,负责项目的整体统筹管理、资源协调、服务质量总体把关,同时应具有预见和应对项目风险的能力。
2).项目组成员(不包括项目经理)至少五人。需指派至少两名专业驻场服务人员,确保7*8小时至少一名专业驻场服务人员。驻场应提供7×8小时值守服务,重要时段(重要节假日、重大活动等)提供7×24小时值守服务,驻场期间产生的一切费用由供应商提供。
3).为保证项目的连续性,在项目服务周期内不得随意更换服务人员。
注:商务要求为实质性要求,不得负偏离。
收藏