招标文件
采购内容
一、项目概况(采购标的)
随着信息化发展,福建省直单位住房公积金中心网络与业务难以分割。中心本地已经建成传统网络安全保障机制,现考虑仅靠设备,智能性、动态性、全局性都不足以应对越发复杂和高强度的网络攻击。安全服务的介入,能够在自己的战场积极对抗,查看系统、设备状态和日志,主动分析和应对攻击。
安全运维服务期限及范围:
(1)福建政务云虚拟化服务器31台。
(2)本地服务器10台。
(3)各类安全设备和交换设备16台。
(4)省直公积金网站、闽政通小程序、公积金网厅、公积金微信公众号等业务系统。
二、技术和服务要求(以“★”标示的内容为不允许负偏离的实质性要求)
(一)安全运维服务内容
1、网络规划设计执行服务(评审项1)
(1)针对网络现状,按需梳理网络结构的真实情况,并分析整体的网络拓扑结构安全隐患,并绘制与本单位实际情况相符的网络拓扑,优化网络结构提出安全建议。输出:《网络拓扑现状图》
(2)针对安全风险评估过程中发现的问题,考虑网络实用性、先进性、开放性可扩展性、安全性、可靠性并遵循相关政策和标准文件的要求,规划安全建设方案。输出:《网络安全建设规划方案》
(3)结合现阶段的安全建设情况,协助和指导信息科人员全面推进信息安全建设发展。
2、安全设备和交换设备运行状态巡检服务(评审项2)
根据业务设备运行情况,工作日现场巡检安全设备和网络设备的运行状态,确认是否存在瓶颈或运行异常,及时处置保证业务网络的稳定性和安全性,节假日安排应急人员待命;配合招标人完成日常安全管理工作。
3、机房安全巡检服务(评审项3)
(1)根据业务环境变化情况,每二周现场评估安全设备防护的有效性,对已采取的安全措施的有效性进行确认,对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。
(2)对于不适当的安全措施进行优化配置,并定期分析设备安全策略,及时发现安全隐患。
(3)根据业务需求,检查访问控制策略,查找配置不合理的策略。
(4)检查设备运行的安全性。从设备账号管理、远程管理、权限管理等方面开展设备自身安全性检查。
(5)定期检查相关设备日志进行分析,查看是否存在安全隐患。
(6)将以上内容整理归纳,输出《网络安全巡检报告》
4、信息资产登记服务(评审项4)
协助客户单位对自身信息系统资产进行梳理及管理工作,将采用人工+自动化发现的方式对IT资产信息进行一轮全面梳理,形成尽可能全面和准确的资产清单,为后续工作提供有力支撑。输出:《资产登记表》
5、安全漏洞扫描服务(评审项5)
半年一次针对资产机房的目标资产,通过使用漏洞挖掘工具和检测平台,来测试和识别业务系统服务器当前的安全漏洞和存在的安全脆弱性。从而帮忙客户全面了解和掌控其业务系统的安全状况。输出:《系统安全检测报告》
6、互联网资产暴露面核查(评审项6)
(1)针对客户提供的关键信息,提供一次互联网资产暴露面核查,核查内容包括:子域名资产搜集:服务方对机构在互联网解析的子域名进行快速摸底,快速探测出子域名的数量,全面找出解析的子域名,并配合机构与当前掌握的内容进行匹配,及时发现不在域名清单、不在安全防护范围内的资产。
(2)IP/IP段资产搜集:服务方对机构使用的IP/IP段进行端口、服务等目标快速探测及发现,分析对外开放的高危端口、高危应用、边缘应用等信息,协助机构收敛或关闭不必要的暴露面资产。
(3)指纹分析:服务方采用红队沉淀的指纹技术,定位分析发现机构在互联网暴露的资产是否使用了高风险应用指纹,这些指纹常常被红队进行有效利用,因此梳理完毕后云端运营工程师会协助机构开展相关的防护工作。
(4)互联网敏感数据排查:服务方对机构暴露在互联网的邮箱信息、Github信息、域名备案等敏感内容进行敏感数据的排查分析,协助机构分析敏感数据在互联网的分布情况。
(5)将以上核查内容整理归纳,输出:《互联网资产暴露面核查表》
7、业务系统验证测试服务(评审项7)
每季度一次针对业务系统进行安全资产管理、Web应用测试、漏洞人工验证、安全测试复查服务。系统测试的过程,进行模拟黑客攻击测试目标系统,通过安全专家测试发现平台工具无法检测到的漏洞与威胁,上线测试覆盖配置管理、身份认证、会话管理、授权测试、上传下载、信息泄漏、数据存储;也覆盖XSS跨站脚本攻击漏洞、SQL注入漏洞等OWASP 10大漏洞,并提交安全检测报告。输出:《验证测试报告》
8、代码审计服务(评审项8)
提供一次代码审计服务以人工评审和软件源代码安全测试系统相结合的方式对系统的源代码和软件架构的的安全性、可靠性进行全面的代码审计、深度挖掘代码中存在的安全缺陷。输出:《安全代码审计报告》
9、服务器安全评估服务(评审项9)
每半年一次服务器安全评估服务:结合工具检测和人工安全审查方式来识别信息系统服务器系统中的漏洞和安全性问题,并跟踪问题和漏洞的整改情况。输出:《服务器运维报告》
10、服务器入侵清查分析服务(评审项10)
(1)每半年一次网页木马查杀及分析:针对网站源代码进行Webshell查杀,深入检查包括上传图片、文本、脚本以及其他可疑的网站后门程序,并进行web异常攻击日志分析。
(2)系统后门检查及分析:网站被入侵潜伏后,通常存在隐藏比较深的系统后门(Rootkit),重点发现绕过杀毒软件的系统后门,并进行主机系统异常攻击日志分析。
(3)入侵痕迹检查及分析:针对云主机账号、启动项、进程、网络连接等进行检查。
(4)将以上检查内容整理归纳,输出:《服务器入侵清查报告》
11、服务器安全加固服务(评审项11)
每半年一次通过对服务系统的安全策略的不足提供加固;对主机漏洞检测结果的分析,对在检测中发现的系统的安全问题进行提交加固措施和辅助加固,以提高系统的整体安全性能。输出:《服务器安全加固建议日志》
12、数据库安全评估服务(评审项12)
每半年一次对数据库服务器提供安全配置核查评估,提供数据库帐号、权限、配置、审计等方面的核查建议,及早发现数据库系统存在的风险。最大程度降低数据库系统(SQL Server,Oracle、MySQL等等)本身的漏洞风险及加强数据库系统账号、密钥、权限等带有安全风险的配置,从而从整体上提升数据库系统的安全性。输出:《数据库安全咨询建议》
13、重保及专项检测服务(评审项13)
提供一次在安全检查期间,针对云上目标资产以及自建机房资产,提供全面专项保护,通过前期准备、资产清查、风险评估、防御与监测策略核查等工作;期间(防守)值守监测、应急处置等全面安全检查服务和保障。输出:《重保日报》
14、应急演练服务(评审项14)
针对自建机房以及云上的资产提供一次线下应急演练服务及一次业务系统开展应急演练联动服务:
(1)网络与系统安全应急预案(条款13):根据用户单位实际需求,定制1个预案场景的《安全应急预案》。
(2)网络与系统安全应急演练(条款14):针对1个预案场景进行应急演练,并提交《安全应急演练报告》。
注:这里是模拟搭建的网站环境进行应急演练,不包含HW、实战攻防演练。
(3)输出:《安全应急预案》《安全应急演练报告》
15、应急响应服务(评审项15)
(1)针对云上及自建机房的日常服务响应7*24小时,响应时间1小时内,通过电话、远程或现场方式。
(2)遇到黑客攻击或网页篡改等恶性事件,技术人员到达现场,实施最有效的紧急救援及恢复补救方案。
(3)出现因等保或法律法规要求、网络架构调整等需求,由工程师根据用户网络环境、业务需求等现场配合原厂商进行设备调试并测试业务网络、应用是否正常。
(4)客户业务网络出现无法提供正常服务,或出现降低服务质量的状态时,工程师到达客户现场针对故障现象进行网络故障定位,及时排除故障问题,确保用户业务网络恢复正常运行。设备应急工程师须具备相关资格认证。
(5)出现安全事件后,及时进行安全应急响应,输出:《应急响应报告》
16、信息安全培训(评审项16)
根据招标方实际需求,提供每年一次专场信息安全培训,培训内容包含分为安全意识培训与安全政策宣贯:
(1)提供现场安全意识培训服务,培训内容包含但不限于以下方面:信息安全意识、安全产品培训、周期性安全服务报告解读,可定制培训内容;
(2)安全政策宣贯:培训内容包含不限于安全标准、政策法规解读,信息安全发展方向,可定制培训内容。输出:《信息安全培训材料(安全意识培训与安全政策宣贯)》
17、等保建设咨询服务(评审项17)
(1)等保建设咨询是一种协助客户建立等级保护体系并通过等保测评的咨询服务。
(2)等保咨询服务:等保咨询服务遵循《信息系统安全等级保护实施指南》协助客户从系统定级、差距评估、方案设计、建设整改、系统测评五个方面进行等保体系的建设,达到符合国家等级保护的基本要求,顺利通过测评机构测评的目标。输出:《信息系统等保备案证明》。
三、商务要求(以“★”标示的内容为不允许负偏离的实质性要求)
采购包1:
|
序号 |
参数性质 |
类型 |
要求 |
|
1 |
★ |
交货时间 |
自合同签订之日起365日 |
|
2 |
★ |
交货地点 |
采购人指定地点 |
|
3 |
★ |
交货条件 |
按合同约定 |
|
4 |
★ |
是否邀请投标人验收 |
不邀请投标人验收 |
|
5 |
★ |
履约验收方式 |
1、期次1,说明:完成服务后,中标人出具验收申请和服务总结报告,报采购人组织验收。 |
|
6 |
★ |
合同支付方式 |
1、合同签订后,达到付款条件起90日内,支付合同总金额的50.00% 2、运维服务期结束后,凭双方共同签字盖章的维保报告,达到付款条件起90日内,支付合同总金额的50.00% |
履约保证金
采购包1:不缴纳
其他商务要求
8、违约责任
8.1如果中标人未能按合同规定的时间按时足额交货的(不可抗力除外),在中标人书面同意支付延期交货违约金的条件下,采购人有权选择同意延长交货期还是不予延长交货期,采购人同意延长交货期的,延期交货的时间由双方另行确定。延期交货违约金的支付采购人有权从未付的货物价款中扣除。延期交货违约金比率为每迟交1 天,按迟交货物价款的千分之一。若中标人逾期交货达30天(含30天)以上的,采购人有权单方解除本合同,中标人仍应按上述约定支付延期交货违约金。若因此给采购人造成损失的,还应赔偿采购人所受的损失。
8.2若中标人交货不合格从而影响采购人正常使用的,中标人应向采购人偿付合同价款的5 %的违约金。违约金不足以补偿损失的,采购人有权要求中标人赔偿损失。
8.3如果中标人未能按照合同约定的时间提供服务的,每逾期1天的,中标人应向采购人支付1000元违约金,若因此给采购人造成损失的,中标人还应赔偿采购人所受的损失。
8.4因中标人原因造成采购供货合同无法按时签订,视为中标人违约,采购人有权没收其投标保证金,如投标保证金不能弥补中标人违约对采购人造成的损失的,中标人还需另行支付相应的赔偿。
8.5在签定采购合同之后,中标人要求解除合同的,视为中标人违约,对采购人造成的损失的,中标人需支付相应的赔偿。
8.6因中标人原因所造成的人员伤亡方面的任何责任应受适用的中国法律规定的管辖和制约。由于中标人违反合同造成采购人货物或财产的灭失或损坏,或因采购人在中国境内使用合同设备遭受第三方侵权指控而产生的相应损失,中标人应承担全部责任,并赔偿给采购人造成的损失。
8.7因中标人原因发生质量事故、安全事故的,由中标人承担事故全部赔偿责任。同时,采购人有权终止合同,给采购人造成损失的,还应承担赔偿责任。
8.8中标人派出人员在执行任务过程中,需做好安全防护措施,若发生安全事故,由中标人负全部责任,与采购人无关。
8.9中标人派出人员在执行任务过程中,因操作不当造成采购人财产损失的,由中标人负全部赔偿责任。
8.10在明确违约责任后,中标人应在接到书面通知书起七天内支付违约金、赔偿金等。
四、其他事项
1、除招标文件另有规定外,若出现有关法律、法规和规章有强制性规定但招标文件未列明的情形,则投标人应按照有关法律、法规和规章强制性规定执行。
2、其他:
无
收藏