招标文件
采购需求
第一部分项目概述
一、项目背景
为更好地履行维护网络安全、意识形态安全和国家安全的使命,按照中央和北京市要求,需要全面加强北京市科协市级政务云租用、云上安全防护及备份以及安全运维等保障工作,加强对市级政务云上安全防护,加强系统和应用软件的管理,加强敏感信息安全管理,加强市科协业务系统信息化运维保障,全面提高市科协网络安全保障及运维管理水平。
此外,由于系统迁移入云项目工作复杂,牵连广泛,专业性要求高,入云之后对信息系统的运维和管理比较复杂,故将通过第三方外包服务的方式,协助科协开展入云系统安全防护,确保北京市科协各项业务顺利开展。
依据《国家信息化领导小组关于加强信息安全保障工作意见》(中办发〔2003〕27号)、《中华人民共和国网络安全法》和《信息安全等级保护管理办法》等要求,科协迫切需要提高信息系统整体安全防御能力,落实网络安全等级保护制度,进一步保障信息系统基础设施稳定,保障信息系统安全、稳定地运行,扎实做好重大活动网络安全保障工作。
二、项目目标
为确保市科协信息化基础设施及信息系统能够稳定、安全、快捷地提供服务,确保信息网络及相关系统中的信息内容安全、准确、及时,从而进一步提升市科协信息化的服务质量。运维方需协调、管理各方完成日常运维工作,推进运维管理工作的制度化、规范化和高效化,发挥整体优势,实现快速决策反应。
三、项目实施周期和地点
12个月,采购人指定地点。
第二部分技术要求
一、基础软件租用服务
1.商用操作系统套餐
服务内容:Windows Server租用、安装及维护,根据漏洞扫描结果或等级测试要求对
操作系统进行安全加固。
服务范围:7套商用操作系统
2.开源操作系统套餐
服务内容:提供开源操作系统安装和维护服务,根据漏洞扫描结果或等级测试要求对操作系统进行安全加固。
服务范围:11套开源操作系统
3.开源应用中间件套餐
服务内容:开源应用中间件安装及维护服务(至少支持3种开源中间件)。服务范围:17套开源应用中间件
4.开源数据库套餐
服务内容:开源数据库安装及维护服务,根据漏洞扫描结果或等级测试要求对数据库进行安全加固。
服务范围:8套开源数据库
二、云上安全技术保障服务
按照市科协的要求,提供系统迁移入云之后的安全技术保障服务,保障入云后的信息系统安全稳定的运行。具体服务内容如下:
|
服务类别 |
服务名称 |
明细内容 |
|
云上安全服务 |
云端 APT 防护服务 |
云端 APT 防护服务 |
|
主机安全加固 |
主机安全加固 |
|
|
网页防篡改服务 |
1 监控点 |
|
|
主机杀毒服务 |
主机杀毒服务 |
|
|
主机防护 |
主机防护 |
|
|
安全检测监 测、审计服务 |
主机漏洞扫描 |
主机漏洞扫描 |
|
主机日志分析 |
主机日志分析 |
|
|
数据库审计服务 |
数据库审计服务 |
|
|
其他服务 |
本地备份服务 |
本地备份服务 |
1.云端APT防护服务
服务内容:针对科协网站群提供云端APT防护服务,检测恶意代码、0day/Nday漏洞利用攻击行为,检测已知和未知威胁,预警APT攻击行为。
服务范围:科协网站群。
2.主机安全加固
服务内容:根据云主机漏洞扫描的结果,通过技术手段对云上系统相关的操作系统进行安全策略加强、调优,满足等保技术要求,加强云上系统抵御攻击和威胁的能力。
服务范围:针对首信云上23台云主机,和信创云上2台云主机。
服务频次:不少于2次,每6个月提供一次。
3.网页防篡改服务
服务内容:通过网页防篡改服务对Web站点提供全方位的保护,防止黑客、病毒等对Web站点中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏。服务范围:针对其中10个重点系统进行监控。
4.主机杀毒服务
服务内容:针对云主机提供恶意代码检测和拦截服务,及时发现和拦截各种恶意代码、病毒木马等,并有效阻断。
服务方式:采用适配云环境的防病毒软件,对虚拟机环境进行有效的病毒防护和查杀。服务范围:针对首信云上23台云主机。
5.主机防护
服务内容:针对虚拟机操作系统引导程序、系统程序、重要配置参数和应用程序进行可信验证,并在应用程序关键执行环节进行动态可信验证,从保障主机操作系统安全的角度出发,以可信计算为基础、访问控制为核心,构建主动防御体系,从源头上保证云主机安全,提供虚拟机操作系统内核级加固、强身份鉴别、重要数据资源保护、网络访问控制等安全机制。
服务范围:针对首信云上23台云主机。
6.主机漏洞扫描
服务内容:针对入云系统云主机操作系统,采用工具扫描和手工检查相结合的方式对配置缺陷、漏洞等进行检查,以发现在主机层面存在的安全隐患,通过专业化的技术分析,
帮助用户了解入云系统的漏洞和脆弱性。
服务范围:针对首信云上23台云主机,和信创云上2台云主机。
服务频次:不少于2次。
7.主机日志分析
服务内容:通过人工或工具等方式收集信息系统云主机操作系统、数据库、中间件等的日志信息,并对收集到的日志信息进行分析、审查,发现潜在风险,并出具分析报告。
服务范围:针对首信云上23台云主机。
服务频次:不少于2次。
8.数据库审计服务
服务内容:对数据库系统的操作行为和访问行为进行分析和审计,及时发现高危操作行为和访问行为,并进行预警。
服务方式:在虚拟机部署数据库审计系统,通过虚拟网络旁路监听或代理实现数据库审计。
服务范围:针对首信云上信息系统对应的10个数据库。
服务频次:不少于4次。
9.本地备份服务
服务内容:针对入云系统数据库提供本地数据备份和恢复服务,并提供备份策略配置和维护服务。
服务方式:通过在政务云虚拟机中部署数据备份系统来实现。服务范围:入云系统数据库。
三、安全运维服务
1.常态化安全服务
服务内容:供应商应派驻不少于1名专业安全人员长期在采购人的现场工作,提供常规IT运维和安全服务,如针对服务器、网络及安全设备进行常规检查,及时发现故障和隐患,并协调相关机构进行维修和优化,以保证信息系统正常运行。
服务频次:全年提供服务,每周不少于5*8小时。服务成果:《常态化安全服务报告》。
2.渗透测试服务
服务内容:在不影响业务正常开展的前提下,供应商应通过模拟黑客攻击的方式,验证信息系统抵御黑客攻击的能力,从而发现信息系统的安全隐患和脆弱点,并提出安全整改建议,以指导相关人员对系统进行安全优化和加固。
服务范围:首信云上10个信息系统,和信创云上1个信息系统。
服务频次:不少于1次。
服务成果:《渗透测试报告》。
3.安全应急响应服务
1)专题应急预案
服务内容:供应商应根据信息系统及其承载业务信息的重要性,以及业务特点,结合国家、地区和行业等信息安全政策和标准,协助采购人制定应急预案,明确应急响应组织以及预防、预警机制,针对可能的安全事件编制规范的应急处理流程。
服务频次:不少于1次。
服务成果:《专题应急预案》。
2)应急演练
服务内容:供应商应根据应急预案规定的应急处理流程协助采购人编制应急演练方案,并进行相应模拟演练,一方面使相关方熟悉应急响应流程,提高对安全事件的响应能力;另一方面验证预案正确性和适用性,进行总结分析,根据需要对应急预案进行修订。使得相关人员了解应急流程和自己的责任,在安全事件发生时,能够有条不紊开展工作,最大程度降低安全事件带来的负面影响和损失。
服务频次:不少于1次。
服务成果:《应急演练方案》《应急演练报告》。
3)应急响应
服务内容:供应商应在信息系统发生安全事件时及时响应,执行应急响应流程,通过专家级技术支持和快速响应,及时抑制和消除采购人的信息系统安全事件,减少损失和负面影响,提高采购人的信息系统业务连续性。
服务频次:每年不少于3次。
服务成果:《安全应急响应服务报告》。
4.网站安全监控服务
服务内容:供应商应通过工具化监测和远程专家值守对网站系统提供服务周期内每天不间断的远程网站监测服务,为采购人的网站系统实现远程安全监测、安全检查、实时响应和人工分析服务。一旦网站遇到风险状况后,安全监测团队会在第一时间进行确认,并提供专业的解决方案建议,为构建完善网站安全体系的发展奠定基础。
服务范围:首信云上10个信息系统。
服务成果:《网站安全监控服务报告》。
5.安全运营巡检服务
服务内容:供应商应利用检测工具和人工检测等多种方式定期对采购人的云上虚拟机的健康状态进行检测,包括系统资源的使用情况、业务应用服务所占用的网络资源情况、端口服务开放情况的变更等内容,并实施必要的安全维护操作,做好巡检记录,维护记录单,提交巡检报告。
服务范围:针对首信云上23台云主机,和信创云上2台云主机。
服务频次:不少于12次。
服务成果:《安全运营巡检服务报告》。
6.脆弱性检测
服务内容:供应商应针对云上系统云主机操作系统、数据库和中间件,采用工具扫描和手工检查相结合的方式对配置缺陷、漏洞等进行检查,以发现在主机和应用等层面存在的安全隐患,通过专业化的技术分析,帮助采购人了解入云系统的脆弱性。
服务范围:针对首信云和信创云上共25台云主机,11个数据库,20个中间件。服务频次:不少于1次。
服务成果:《脆弱性检测报告》。
7.重保防护值守服务
服务内容:供应商应在春节、国庆等重要时期派遣安全服务人员进行现场值守,以保障采购人的信息系统安全运行为主要目标,及时发现安全隐患并协助处置、排除信息系统安全隐患,提高信息安全事件发生和处置能力,提高信息安全水平。
服务频次:本项服务按需提供。
服务成果:《重保防护值守服务报告》。
8.信息安全周宣传服务
服务内容:供应商应在服务期内提供不少于2天的基础安全意识培训,通过专业、全面的信息安全理论、信息安全实践等课程,全面提高相关人员的安全意识水平和安全技术能力,切实提高采购人的信息安全管理能力,保证业务系统安全稳定运行。
服务范围:采购人及其下属单位信息化相关人员。服务频次:根据客户需要开展。
服务成果:《信息安全周宣传服务工作记录》。
9.信息安全自查及安全咨询
服务内容:针对上级单位信息安全检查工作要求,供应商应协助采购人编制信息安全自查报告和汇报材料并提供信息安全法律法规及技术咨询服务。
服务频次:本项服务按需提供。
服务成果:《信息安全自查及安全咨询报告》。
10.数据安全管理制度建设
服务内容:依据国家相关要求,结合数据安全管理相关规范及标准,从数据安全管理制度、数据安全管理机构、数据安全管理人员等多个方面,协助采购人建立数据安全管理制度。
服务频次:不少于1次。
服务成果:《数据安全管理制度》。
注:以上提及的服务成果文件形式及份数根据甲方要求提供。
四、项目团队要求
供应商须为本项目组建稳定的、专业的、独立的服务团队,须在北京设立专门的服务项目管理机构,专门负责本项目的安全服务工作。供应商应拥有网络安全方面专业的技术专家,能够及时关注网络及安全设备技术的发展,跟踪最新的网络和安全设备发现的问题或缺陷,搜集整理安全状态、设备漏洞信息、系统补丁信息、病毒信息等。
项目团队必须配备如下几类人员:项目经理、项目技术负责人和一线服务人员。供应商应对服务团队进行分组管理,明确每组人员的组成、任务和职责。
五、培训及服务要求
1.培训要求
供应商能够针对本项目的服务内容提供全面的培训服务,培训服务方案应具有明确的培训计划、全面的培训内容、合理的培训方式,并且对培训讲师资质进行说明。
2.服务要求
要求供应商拥有一支稳定的服务保障队伍,并具有较强的技术保障实力,遇到突发情况时能够及时解决问题;服务团队有明确分工和侧重点,基本人员均掌握一般的安全服务方法并能解决常见设备的故障问题;具备提供7*24小时应急响应服务能力,针对设备出现的突发故障或问题,在10分钟内给予响应,2小时到现场,4小时内予以解决。
六、保密要求
中标人应严格遵守合同规定,执行国家《保密法》及有关保密的法律法规,选派具有良好职业道德的人员参与和从事本项目工作,教育相关人员恪守职业道德,服从采购人的管理,严格遵守采购人的保密规定和工作制度,并承担相应的保密责任。
中标人应自觉接受采购人的安全保密监督和管理,如违反安全保密条款,采购人将追究其责任,对重大的泄密事件将移交司法部门追究其法律责任;对中标人泄露系统资料,造成伤害的,除依据有关规定追究有关责任人员法律责任外,还将依法承担相应的民事责任。
七、项目验收
本项目在服务完毕之日起10个工作日内,中标人按要求提供服务期内产生的所有纸质文档和电子文档,并向采购人提出最终验收申请,采购人组织项目验收工作。
第三部分付款
合同签订后,甲方将分2次向乙方付款:
合同签订后15个工作日内,支付第一笔合同款(中标金额的70%),与此同时乙方向甲方开具与收款额等额的中华人民共和国法定增值税普通发票(税率为6%)。
阶段性验收通过后15个工作日内,支付第二笔合同款(中标金额的30%),与此同时,乙方向甲方开具与收款额等额的中华人民共和国法定增值税(6%)普通发票。
如遇市财政国库结账等特殊时期,具体支付时间将根据北京市财政局有关规定执行,不视为委托人违约。
收藏