招标文件
采购需求
一、项目概况:
“★”号条款
《用户需求书》中标注有“★”号的条款必须实质性响应,负偏离(不满足要求)将导致投标无效。
需要落实的政府采购政策:《政府采购促进中小企业发展管理办法》(财库〔2020〕46 号)、《关于政府采购支持监狱企业发展有关问题的通知》(财库〔2014〕68 号)、《关于促进残疾人就业政府采购政策的通知》(财库〔2017〕141 号)等。
本项目属于服务类项目,中小企业划分标准所属行业为:软件和信息技术服务业。
1 项目概况
1.1 基本信息
1.1.1 项目名称
省数字政府网络安全第三方服务(2024年)项目之数据安全监测分析与网络安全应急响应技术支撑服务。
1.1.2 采购人及用户单位
广东省政务服务和数据管理局。
1.1.3 项目总体目标
为保障广东省数字政府的政务数据安全,建设“高位安全监管-中位监测分析-低位合规检查”三位一体的数据安全监管支撑体系,需要开展常态化数据安全监测分析服务。通过项目实施,将提升我省数字政府数据安全监管能力,形成我省在政务数据安全监管工作的技术手段落地,进一步贯彻与落实上级部门在数据安全方面相关的法律法规以及管理要求,增强全省政务系统的数据安全监管力度与成效,形成个人信息和行业数据识别特征库、数据安全风险监测策略库、数据流转行为规则库、安全事件知识专家库等数据安全基础资源,构建具备实时监测、精准定位、高效管理能力的数据安全风险监测、异常追溯与综合治理的架构体系。
为达成相关目标,本项目将延续2023年的服务内容,主要服务内容如下:
提供第三方安全监测服务以加强数据安全监测与分析能力,并提供网络安全威胁情报和应急响应技术支撑服务,包括:
(1)提供数据安全监测与分析支撑服务。
(2)提供网络安全威胁情报分析和应急响应技术支撑服务。
1.1.4 服务地点
采购人指定服务地点。
1.2 项目背景
根据《广东省数字政府改革建设“十四五”规划》《广东省数字政府改革建设2023年工作要点》等要求,基于已有监测成效和数据安全保障需求,2024年需继续开展高位数据安全监测分析服务、中位数据流量监测分析和低位数据安全评估分析,持续加强对省政务数据的常态化监管体系保障。
2 项目预算
本项目总预算为428.56万元,详细如下:
|
序号 |
服务 |
数量 |
单位 |
单项采购预算(万元) |
|
1 |
数据安全监测与分析服务 |
1 |
项 |
331.66 |
|
2 |
网络安全威胁情报分析及应急响应技术支撑服务 |
1 |
项 |
96.9 |
3 服务期限
本项目委托服务期限:以采购人确认的各项服务启动报审备案时间为对应服务的起始时间,服务期为12个月。
4 服务内容
4.1 数据安全监测分析服务
中标人应为采购人提供第三方数据安全监测与分析服务,包括高位数据安全监测支撑服务、中位数据流量监测分析服务和低位数据安全评估分析服务。其中:高位能力需集中利用国家级高位数据安全监测能力和外围安全威胁情报信息,围绕监管职能为开展监测分析服务构建基础资源库,全面展示数据安全风险态势并对风险集中管控;中位能力需针对纳入监测的重要业务系统提供基础的网络流量数据采集、重要数据访问行为分析、数据存储、传输风险识别等能力,发现数据安全风险隐患;低位能力需聚焦高、中位发现的数据安全风险告警或事件进行评估研判,持续开展监管策略优化,依托专家团队提供数据安全评估检查等监管支撑服务。
高位、中位、低位服务的具体服务内容、工具和成果要求如下:
4.1.1 高位数据安全监测支撑服务
中标人需借助外部数据安全威胁情报,从态势、情报分析和共享的角度,主动监测发现并预警涉及省级政务相关数据买卖等事件线索,并分析可能存在的数据泄露途径。
4.1.1.1 服务内容
(一)数据泄漏途径分析与态势感知
基于内外部结合方式,实现对数据泄漏途径分析,识别数据安全防护薄弱环节,提前识别并预警数据安全风险或隐患。
(1)异常数据流动行为感知
分析研究异常数据访问行为感知,基于用户访问行为的原始数据,计算相关的基础指标,构建数据模型进行机器学习和大数据分析,对数据访问建立行为基线,利用异常检测技术,从多维度来识别异常数据访问行为,实现异常数据访问行为和数据泄露行为的感知和预警。
(2)内外结合,扫除数据安全防护隐患点
利用内部的用户访问行为结果、异常操作轨迹、数据源及责任人等相关数据为基础,再结合黑产等线索数据分析、挖掘等,分析与判断数据外泄途径、方法。进一步实现对当前数据安全防护效果分析与隐患排除。
(3)数据安全情报分析与数据安全态势感知
基于对互联网数据泄漏事件分析,梳理事件风险原因,识别相关数据资产缺陷、风险接口或管理问题等;再结合内部数据资产,对比分析是否存在类似数据资产、管理问题等,以提前预判数据安全风险的存在,实现数据风险感知。
(二)数据黑产治理及可视化
数据泄露的渠道包括黑客主动入侵、网站漏洞意外泄露、第三方合作接口泄露、内鬼作案以及自主售卖等。数据黑产治理服务紧扣泄露数据的变现环节,针对暗网网络、Telegram群、QQ群、twitter、GitHub、举报电话数据和境外数据分享网站等重要站点资源开展数据获取,研制并部署专用定向信息采集爬虫,实现与业务相关的数据内容自动化采集,研究隐私泄露资源的数据获取技术,构建面向数据泄露情报收集发现的安全事件情报发现能力,提供数据的监测检索功能,进行分类数据汇总展示。
(三)数据安全风险态势分析
数据安全风险态势分析主要是基于数据资产的风险分布情况,当前数据安全的风险情况、政务数据安全评估与检测结果视图等,利用各种图表方式清晰展示当前数据安全的风险、数据资产的分布信息等。
(1)数据资产风险分析:主要分析数据资产风险情况,主要包括数据未脱敏、脱敏不合规、未加密存储等。
(2)数据安全事件分析:将发现的各类数据安全事件进行统计归类后以图表的形式进行统计分析。包括数据安全事件的总体情况、每天的数据安全风险情况与数据安全事件发生情况数据安全的趋势,当前安全事件情况与数据安全事件发生趋势、跨境数据流动、数据库密码被爆破、数据库安全措施被关闭、数据库被勒索、数据库后门、表注入动态、远程执行恶意脚本命令等。
(3)数据安全预警视图:综合本地化监测发现的日常监测安全事件、上报的安全事件、数据安全检查发现的问题、数据资产基础信息等数据进行统计对比等,分析未来数据安全事件发生的趋势与热点。
(四)重要数据资产监管目录梳理
重要数据资产监管目录梳理主要是针对重点应用业务及数据资产等对象识别,如重点系统及关键业务、IP、敏感数据指纹等内容,是数据安全监管中敏感数据识别、访问操作行为分析及取证等场景的基础资源,开展基础信息维护、数据资产关联信息维护、数据资产信息图谱绘制、重要数据名录整理等。
(1)重要数据资产监管目录维护:对纳入监测和分析的重要数据对象或涉及到敏感数据的关键系统等对象目录提供标识、修改、查询等功能,重要数据资产目录的新增包括人工录入数据资产目录信息,以及通过平台自动发现的如高敏感数据资产信息,对于自动发现的重要数据资产目录可以对关联信息进行补全。所有操作都需要记录操作人和操作时间。
(2)重要监测数据名录:重要数据名录是将数据资产中需要监管的重要数据进行分类编目,便于对行业重要数据进行针对性的重点监测与分析。
(3)重要数据资产风险管理:重要数据资产风险管理是对重要数据资产的漏洞分析、基线分析,以及结合外部数据威胁的对比分析等进行整理。
(4)数据安全合规管理:数据安全合规是通过低位评估检测完成的合规评估矩阵,明晰未落实漏洞,辅助单位数据安全合规完善,落实国家、行业等数据安全相关法律法规的执行效果。
(五)数据安全情报监测
依托高位服务工具监测发现的情报事件,包括对数据库漏洞、数据库攻击事件、数据异常外部通联安全风险行为等场景的综合分析,为业务数据安全态势分析、数据安全防护管理等工作开展提供数据支撑。
(1)数据库漏洞风险监测。包括监测发现数据库漏洞攻击事件、非授权访问攻击、勒索病毒攻击风险等。
(2)数据库攻击事件监测。包括监测发现SQL注入、密码爆破撞库、拖库等数据库攻击行为。
(3)敏感数据明文传输泄露风险监测。监测发现重点保障单位对外传输数据,特别是跨境传输数据是否涉及个人敏感信息或单位指定敏感内容,提供传输数据统计报表。
(4)异常外部通联风险监测。监测发现异常端口通联行为、网络传输流量异常突增情况、异常境外通联行为。
(六)策略管控与监管决策
策略管控与监管决策包括对高位数据安全态势分析、中位数据安全风险监测分析、及低位的关键组件或接口API等对象的检测中的数据安全监测策略、数据安全分析策略、安全事件处置应对策略、各行业重要数据的分类分级策略、数据资产的定义规则等进行优化,支撑监管决策实施。
(1)数据安全监测策略优化:针对整个数据安全监测策略进行优化,如敏感数据识别策略、重要数据访问行为策略、异常告警规则等对象,其策略的丰富程度与精准性是影响监测效果的最关键因素之一。
(2)安全事件处置策略优化:管理部门根据属地化监测模块发现的安全风险事件以及单位上报的安全事件记录制定解决办法,详细设计处置流程策略,并下发给各个单位。
(3)重要数据分类分级策略同步与维护:为了方便差异化管理各业务的关键数据、敏感数据等,便于针对性保护重要数据以及发挥重要数据的价值,针对重要数据同步关联省“一网共享”平台的分级分类策略标准。
(4)行业监管决策支撑:主要是对各个行业的数据安全管理措施、数据资产的管理、数据安全的防护手段、发生的各类安全事件进行监管决策建议。
4.1.1.2 服务工具
高位监管支撑服务主要借助部署在互联网的外部数据安全威胁情报工具(投标人自带),从数据安全态势、数据情报分析、数据黑产分析和数据共享风险等角度分析,主动监测发现并预警涉及省级政务相关数据买卖等事件线索,并分析可能存在的数据泄露途径。同时利用自动化工具技术,针对中位数据安全监测分析数据及低位安全检查运营数据进行数据安全态势分析,基于互联网数据威胁情报和数据黑产监测研判,进而对数据安全综合关联统计、趋势分析,实现关键数据资产风险态势感知。利用图形化技术对数据资产分布、流向、异常行为、访问等要素进行集中展示,实现数据资产、数据流转、安全事件、安全决策等数据安全管理过程显形化,实现数据安全状况态势可视、数据资产可知、数据风险可管,提升数据安全整体保护能力。
4.1.1.3 服务要求
投标人服务团队需具备如下能力的项目负责人及技术人员:
(1)跨网络、跨系统、跨地域的互联网监测处置能力和大数据分析能力,具备对跨境数据流动、数据库密码被爆破、数据库安全措施被关闭、数据库被勒索、数据库后门、表注入动态库、远程执行恶意脚本命令等的监测分析能力;
(2)具有实时进行网络安全监测和预警通报能力,支持接收国家级公共互联网网络安全监测平台推送的诸如数据安全、僵尸木马活动、恶意代码传播、恶意攻击行为、恶意站点数据、APT攻击等网络安全事件及信誉数据,与国家级监测平台形成联动能力;
4.1.1.4 服务成果
对至少5个业务网关包括粤省事、粤政易、粤商通、统一身份认证、电子印章等(最终监测系统清单将在项目实施前按照省政务服务和数据管理局整体网络和数据安全管理工作的最新要求进行确定)进行监测。本项服务成果物包括但不限于《数据安全事件高位监测报告(周报)》等。
4.1.2 中位数据流量监测分析服务
中标人需在省“一网共享”平台边界部署探针等技术手段,对省“一网共享”平台的数据交换、分发(省直、地市)等业务场景中数据流转可能发生的安全问题进行监测和分析,并分析可能存在的隐患。通过建设数据安全监测平台,利用流量分析手段,实现对流量侧个人信息和行业重要数据的识别发现,对数据发布、使用和开放共享、跨境传输过程中数据泄露风险进行监测,并开展安全事件关联溯源及综合分析。
4.1.2.1 服务内容
(一) 流量还原与解析
(1)流量解析
对网络流量进行深入的分析和解读,获得有关网络活动的详细信息,获得协议、源和目的地址、端口、数据负载、客户端和服务端信息等。
(2)流量还原
将网络传输过程中经过各种协议处理和加密的数据包进行逆向操作,将其还原成原始的网络数据流,还原网络传输过程中的详细数据信息,例如请求报文、响应报文、请求参数、响应结果等。
(3)协议还原
对于通过网络传输的数据,通过对数据包进行深度解析和分析,识别和还原出其中所使用的协议类型和协议内容。如Http、FTP、POP3、SMTP、IMAP等。
(4)数据清洗
去除重复值、处理缺失值、去除异常值等操作,保证数据的准确性和完整性。
(5)数据变换
对数据进行特征提取、数据转换、数据规范化、数据离散化等操作。
(6)数据规约
对数据进行抽样、降维等操作,降低无效、错误数据对建模的影响,提高建模的准确性及降低数据存储成本。
(二) 资产识别与发现
(1)端口扫描
扫描政务网络中的IP地址和端口信息,获取网络中存在的各种服务和应用系统。通过端口扫描,可以识别出政务中存在的各种数据库、Web应用系统、邮件系统、FTP服务器等应用系统。
(2)应用识别
过深度分析网络数据流量,识别出网络中存在的应用系统。通常情况下,应用系统会使用标准的协议进行通信,如HTTP、FTP、SMTP、POP3等,通过对这些协议进行解析,可以识别出网络中存在的各种应用系统。
(3)系统识别
通过获取应用系统的基本信息和应用程序特征码等数据,对政务网络中的应用系统进行识别和分类。系统识别可以帮助政务管理者了解政务内部应用系统的类型和数量,以便进行资源规划和管理。
(4)网络拓扑分析
通过对网络流量进行还原和解析,自动发现网络拓扑结构,识别网络中各种资产、设备、应用程序等,了解网络中各个应用系统之间的连接关系。
(5)数据库识别
通过对网络流量进行还原和解析,识别政务网络中存在的数据库服务,确定数据库的类型,如Oracle、MySQL等。可进一步分析其中所包含的数据库操作,如查询、更新、删除等。
(6)文本分析
对于文档和其他非结构化数据,使用文本分析技术来识别其中的关键字、主题和语义信息,确定这些数据资产。
(7)元数据分析
分析数据定义、结构、格式、类型、语义等信息,包括数据结构分析、数据质量分析、数据血缘分析、数据使用分析等。
(三) 数据流转及访问监测
(1)敏感数据接口梳理与访问分析
针对数据访问接口分析,梳理发现省“一网共享”平台存在的敏感数据流转的接口及敏感数据暴露面,根据敏感数据类型对应用系统接口进行敏感级别划分;自定义访问控制规则,对不同类型和等级数据访问进行监测。
分析数据接口脆弱性和风险,对已梳理出的敏感数据访问接口进行多维度的脆弱性评估和风险识别,包括但不限于数据账号风险、数据权限风险、数据行为风险、数据流向风险、数据暴露面风险、数据脱敏风险等。
(2)用户数据访问基线分析和流转监测
分析研究省“一网共享”平台的用户访问行为,对业务系统账号信息的数据访问行为进行审计,从用户账户、接口、数据访问和返回情况,完整描绘数据在应用系统中流转的地图,实现对数据流动细节的监控。
(3)数据泄露追踪溯源
针对数据泄露追踪溯源运用交互式搜索技术,在数据发生泄露或异常数据流动时,对访问信息中的所有相关线索进行深入关联分析及汇总溯源,快速还原数据访问链路,定位泄露源。
(四) 敏感数据识别与判定
(1)敏感数据识别
敏感数据识别是基于流量分析对监测的数据内容(如WEB应用、文件等)对象的内容解析与还原,对数据特征分析与识别的过程。根据下发的敏感识别策略,对提取到的数据进行匹配、分析,对命中策略的相关数据,打上特征标签,开展人工判定。敏感数据主要是针对个人信息及衍生信息、政务重要数据、国家安全相关等数据。
(2)敏感数据抽样分析
针对敏感数据内容进行样本抽取,如针对个人信息识别内容抽取,如包括姓名、出生日期、身份证件号码、通信通讯联系方式、住址、位置等信息样本数据。
(五) 数据安全性分类分级
敏感数据发现与安全性分类分级是针对所监测发现的个人信息、重要数据等敏感数据的归类定级,是对网络传输中存在个人信息或政务重要数据是明文、未对数据脱敏处理等的事后发现。参考《GB∕T 35273-2020 信息安全技术 个人信息安全规范》和各行业分类分级标准,定义敏感数据的类型和级别,主要包括:
(1)敏感指纹识别
敏感指纹就是数据安全监测发现的关键业务模块或涉及敏感数据的唯一标识,即是针对特定业务动作、接口调用动作的唯一标识,基于指纹可以准确的定义业务及数据的操作行为。基于敏感数据识别结果标签,支持自定义配置敏感数据特征策略,以提供敏感指纹识别准确性和多环境适配性。指纹范围应包括:敏感web指纹、敏感接口指纹、敏感文件指纹等。
(2)敏感数据分类分级
结合省“一网共享”平台分类分级标准,在监测分析前对监测对象进行敏感数据识别、归类定级,其便于在监测中对关键数据访问行为发现策略制定。该功能是在敏感特征识别的基础,形成对识别的结果进行归类定级的方法。不同行业对敏感数据的定义和规范不同,分级分类需在各种规范的指导下,对数据价值、数据重要性的定义。
(六) 风险建模分析
(1)确定建模范围
确定建模的对象。
(2)确定威胁模型
根据建模范围,确定可能存在的威胁模型,例如内部攻击、外部攻击、社会工程等。
(3)确定风险影响因素
对于每个威胁模型,需要确定可能造成的影响因素,例如数据泄露、服务不可用等。
(4)确定风险概率和影响级别
为每个威胁模型和影响因素分配概率和影响级别,以便对风险进行量化评估。
(5)确定对策
对于每个风险模型,需要确定相应的对策,包括技术对策和管理对策,以减少或消除潜在的安全风险。
(七) 数据安全风险告警研判
(1)数据发布未脱敏不合规监测
支持针对数据发现的敏感指纹,采取专业工具进行二次访问验证,研判存在敏感数据未脱敏直接发布披露在互联网上的不合规情况。
(2)密码未脱敏或脱敏不合规监测
密码未脱敏或脱敏不合规是针对系统账号或用户财产账户的密码加密处理效果分析与甄别,发现在传输过程中未按相关要求进行加密、采用可逆加密或加密算法可破解弱加密等易导致账号被盗、引起数据泄露的风险。
(3)数据访问泄露监测
支持对业务系统中的敏感数据批量传输、高频传输、未成年人信息操作等行为的进行分析研判。安全场景应至少包括:
支持对敏感数据访问中批量下载行为的发现;
支持对敏感指纹时间段内高频访问行为的发现;
支持对敏感文件传输的发现;
支持对邮件发送、接收敏感数据的发现;
支持大文件传输监控的配置和发现;
支持对未成年人信息传输数据超限的发现。
(4)开放共享合规监测
数据开放共享合规监测即对被监测业务系统中个人信息和重要数据在对外传输、展示或共享时是否脱敏或模糊化处理的监测。例如对第三方接口的数据安全监测,包括共享数据的脱敏分析、对外数据公布的隐私处理等内容。
数据开放共享中违规行为主要体现在两种:一是对外开放共享接口敏感数据未脱敏行为,即与第三方平台接口安全;二是对内数据接口敏感数据未脱敏行为。
(5)外挂爬取数据监测
外挂爬取数据行为是攻击者利用外挂、脚本等方式对网站上的数据进行爬取下载。
通过调取流量请求日志,对外挂查询、爬虫、暴力破解等专项数据发掘与分析,识别并研判外挂爬取数据的违规行为。
(八) 数据安全综合关联分析
(1)用户访问轨迹检索
基于用户访问业务系统、文件等的网络流量行为数据,通过对处理流量日志、协议、关键字等进行检索查询,查询条件至少应包括:源目的IP、目的端口、业务系统、应用协议、操作指令、访问时间等,同时,需根据某用户访问行为轨迹全量回溯,定位数据安全异常、违规操作等事件取证。对访问轨迹详细内容的查看,并关键信息的事后追溯取证能力。
(2)流向分析
通过分析数据流量,借助平台呈现与监管系统的数据流向关系视图。分析访问关系、访问次数、访问量传输内容等要素。分析境外、敏感数据流向。
(3)画像分析
借助平台,利用机器学习、统计、概率等算法,结合UEBA技术进行系统、接口的画像分析。
(4)问题溯源分析
对指定源IP、目的IP溯源的配置,对其基于离线流量数据进行访问情况、风险分析。
(5)高级关联分析
高级关联分析是针对安全告警和本地安全事件披露信息,即安全情报关联分析。对数据安全告警间的关联,以及与漏洞威胁情报、网络安全告警的数据关联分析,识别潜在的数据安全问题或更多的数据安全事件等问题信息。同时,对其数据安全事件关键要素分析,形成数据安全知识库,或数据安全样例库,以满足日常数据安全事件分析借鉴。
(6)报表输出服务
支持对访问流量、敏感指纹、风险告警等各种维度数据的统计分析展示能力。
(九) 接口数据共享分析
接口数据共享风险分析,进行数据流转监测及异常行为分析,实时监控数据流量和内容,掌握异常敏感操作。包括API自动发现、接口敏感数据识别、API访问行为监测、接口鉴权有效性分析、接口敏感数据暴露分析、接口敏感数据监测和异常行为分析等7大分析点。
(1)API自动发现分析
通过端口镜像的方式对网络流量进行采集分析,自动识别网络流量中API资产信息,并动态生成API接口资产画像。主要包括流量采集与分析、报文的重组与还原、API资产发现与API资产配置等。
(2)接口敏感数据识别分析
根据相应的敏感数据识别规则,识别出接口对外共享的敏感数据,并对敏感数据外发情况进行统计分析。主要包括敏感数据识别规则配置、自定义敏感数据识别规则等。
(3)API访问行为分析
对外发的数据进行全程监测,按接口统计数据流向、数据内容、数据量、敏感数据等情况,对超过阈值重要数据进行日志告警。主要包括接口访问数据总览、数据流转监测与接口访问统计。
(4)接口鉴权有效性分析
还原并分析API身份验证日志,检测不健全或有隐患的身份验证模式,发现身份验证缺陷。包括数据接口水平越权风险监测、数据接口垂直越权风险监测、登录接口弱口令、密码弱加密传输。
(5)接口敏感数据暴露分析
对接口传输过程进行全程监测,发现接口敏感数据暴露风险.包括敏感信息暴露量过多风险监测、敏感信息暴露种类过多风险监测、接口返回数量控制不足风险监测、伪脱敏风险监测、明文密码传输风险监测、返回内容包含密码风险监测、get方法传输密码风险监测。
(6)接口敏感数据监测分析
对接口脱敏的情况及行为进行整体监测,识别接口未脱敏数据、脱敏不彻底的数据等情况。主要包括接口敏感数据统计与分布、脱敏异常监测和涉敏数据访问态势等。
(7)异常行为分析
对接口的用户越权访问API、用户访问频次过高、未注册的API访问、数据流量超过阈值等异常访问行为进行统一监测分析。主要包括用户的异常访问行为监测、API的异常访问行为监测、API的流量异常行为监测等。
(十) 数据跨境监测
针对网络流量,基于全球IP库,对互联网访问日志进行筛选分析,发现跨境敏感数据和数据违规事件。数据跨境风险分析,自动识别发现并梳理跨境业务与跨境数据资产,识别跨境敏感数据并监测数据跨境违规行为,包括跨境数据基础信息识别、敏感数据出境审计、数据跨境访问行为异常.
(1)跨境数据基础信息识别
在跨境数据传输过程中,识别数据信息,包括个人信息、重要数据,以便对数据进行分析、处理、管理等操作。帮助政府在跨境数据传输过程中更好地保护数据隐私,遵守相关的法律法规,提高数据处理效率和准确性。
(2)敏感数据出境审计
对出境的数据进行分类和标记,过监测、记录和分析出境数据的操作,及时发现异常操作。严格控制敏感数据的出境和访问权限,确保数据的合法使用。
(3)数据跨境访问行为异常
通过对内部网络流量、数据传输进行实时监测和分析,检测出非法的数据泄漏行为。通过对数据内容进行分析,检测出是否存在泄漏敏感数据的行为。包括跨境监测、越权访问等。
(十一) 数据安全视图
(1)数据资产风险视图
展示数据资产风险情况,主要包括数据未脱敏、脱敏不合规、未加密存储等;并结合数据分类分级进行区别展示。
(2)数据安全事件展示
将发现的各类数据安全事件进行统计归类后以图表的形式进行展示。包括数据安全事件的总体情况、每天的数据安全事件情况,数据安全的趋势,当前安全事件情况与数据安全事件发生趋势等。
(3)数据安全风险态势视图
数据安全预警视图主要是综合属地化监测模块发现的日常监测安全事件、上报的安全事件、数据安全检查发现的问题、数据资产基础信息等数据进行统计对比等,分析本地区数据安全事件发生的趋势与热点。
(4)数据安全威胁情报分析视图
收集利用外部数据安全事件收集,分析获取安全事件的要素,筛选出泄漏相关数据资产或设备,检查分析内部数据资产是否存在相关问题。
(5)数据泄漏途径分析视图
针对数据访问行为梳理数据流转关系,结合数据风险场景或安全事件,展现数据泄漏或违规问题的利用、泄漏途径、手段等要素视图。
(6)重要数据资产目录维护
对纳入监测和分析的重要数据对象或涉及到敏感数据的关键系统等对象目录提供标识、修改、查询等。
(7)重要数据资产图谱
呈现数据资产访问行为关联关系图、重要数据资产异常流转风险视图。
(8)重要监测数据名录管理
实现对数据资产中的重要数据的编目管理等功能,便于对行业重要数据进行针对性的重点监测与分析。
(9)数据安全合规管理视图
呈现低位评估检测完成的合规评估矩阵,以达到辅助单位数据安全合规事务,落实国家、行业等数据安全相关法律法规的执行效果。
(10)重要数据资产核查管理视图
提供核查任务管理、核查策略管理、核查结果展现等功能。
(11)安全事件处置策略视图
根据属地化监测模块发现的安全风险事件以及单位上报的安全事件记录,自动化形成解决办法、详细处置策略,并下发给各个单位。
(12)重要数据分类分级策略同步与维护
为了方便差异化管理各业务的关键数据、敏感数据等,便于针对性保护重要数据以及发挥重要数据的价值,实现部署针对重要数据同步关联政务大数据中心的分级分类策略标准功能。
(13)行业监管决策视图
实现对各个行业的数据安全管理措施、数据资产的管理、数据安全的防护手段、发生的各类安全事件进行监管决策的自动分析功能,形成系统推荐标准、处置手段建议等,并下发给各个单位。
(14)数据库漏洞风险视图
对数据库进行基线检测,实现合规分析与展现;基于对数据库数据安全漏洞扫描与操作行为监测,发现数据库漏洞风险等,并进行集中事件展示。
(15)数据库攻击事件视图
提供的数据库攻击行为监测,甄别发现对数据库的SQL注入、密码爆破撞库、拖库、非授权访问攻击、勒索病毒攻击等数据库攻击行为,并进行集中事件展示。
(16)敏感数据明文传输泄露风险视图
提供明文传输告警数据监测,发现重点业务模块或数据文件中敏感数据的对外传输数据行为。
识别敏感数据跨境传输且未脱敏内容,并提供传输数据统计报表与可视化集中事件展示。
(17)异常外部通联风险事件视图
提供数据安全异常外部通联监测分析,发现端口异常通联行为、网络传输流量异常突增情况、异常境外通联行为等风险场景,并进行集中事件展示。
4.1.2.2 服务工具
通过在省“一网共享”平台边界部署探针、流量监测分析平台等技术手段(以上探针、平台由把投标人自带),基于全流量访问解析,以用户访问流、网络互连、识别模型等为基础,对敏感数据识别与定位、传输途径、泄露风险分析基线,构建立体式全方位的流量监测分析探针,实现用户信息数据识别、爬虫和拖库等异常行为监测、数据跨境异常访问行为监测、数据泄露事件分析、违规行为电子取证等数据安全问题监控、追溯,进而提升数据安全状态监控与防御能力。
4.1.2.3 服务要求
投标人服务团队需具备如下能力的项目负责人及技术人员:
(1)跨网络、跨系统、跨地域的互联网监测处置能力和大数据分析能力,具备对跨境数据流动、数据库密码被爆破、数据库安全措施被关闭、数据库被勒索、数据库后门、表注入动态库、远程执行恶意脚本命令等的监测分析能力;
(2)具有实时进行网络安全监测和预警通报能力,支持接收国家级公共互联网网络安全监测平台推送的诸如数据安全、僵尸木马活动、恶意代码传播、恶意攻击行为、恶意站点数据、APT攻击等网络安全事件及信誉数据,与国家级监测平台形成联动能力;
4.1.2.4 服务成果
本项服务成果物包括但不限于《数据安全事件中位监测报告(周报)》等。
4.1.3 低位数据安全评估分析服务
4.1.3.1 服务内容
(一) 关键应用(业务)或数据接口的检测
利用渗透、业务逻辑漏洞检测等技术手段,结合检测工具,对重要应用(业务)、接口(API等)开展深度数据安全检测,主动发现系统关键组件、(开放)数据接口的安全防护效果,识别其中存在的基础安全漏洞、WEB应用漏洞、业务逻辑漏洞、系统接口漏洞、权限控制缺陷等隐患,并根据漏洞提供建议解决方案,协助业务系统开发厂商对业务系统进行完善与优化,实现事前预防,提升业务系统的安全性。检测内容主要包括:
身份认证安全性检测:通过会话重放、中间人代理及凭证参数篡改等进行检测,验证是否可以利用漏洞绕过系统正常的认证模式非法访问敏感数据。
数据窃听风险检测:对涉及应用的缓存数据管理、会话管理进行深入分析和数据挖掘,找出可能被利用监听用户会话往来数据、隐私数据的漏洞。
数据越权访问检测:通过数据越权访问检测,找出垂直和水平权限逻辑漏洞并验证是否可以通过越权访问含有敏感数据的应用,重点发现低权限用户具有访问高权限用户URL的风险。
个人信息模糊化检测:根据行业和政务对个人信息的模糊化要求,对需要模糊处理的业务进行模拟请求,并对整个事务会话和返回客户数据结果进行深入分析和页面还原,判断是否存在个人信息未模糊化的现象。
批量数据违规获取检测:对涉及敏感数据的业务进行分析及检测,从而判断出是否存在敏感数据被批量获取逻辑漏洞。
技术管控安全性检测:根据政务对相关敏感业务的管控需要,在执行相关业务操作时需通过相应技术管控手段验证。通过封装认证信息、请求函数及业务参数,对整个会话和返回客户数据结果进行深入分析,判断是否密码明文传输、是否泄漏审批人客户信息、密码、短信验证码是否存在猜解等问题。
业务逻辑安全检测:全量检测业务系统模块,识别关键业务流程中存在的逻辑问题。
(二) 重要应用数据安全合规性评估
结合国家法律法规、行业数据安全相关规定及运营要求,对重要数据系统进行安全管理合规性评估及技术措施合规评估,评估内容主要包括:
数据防泄漏能力评估:利用渗透、业务逻辑漏洞检测等技术手段,结合检测工具,对业务系统开展深度检测服务,主动发现业务系统中存在的基础安全漏洞、WEB应用漏洞、业务逻辑漏洞、系统接口漏洞等,并根据漏洞提供建议解决方案,协助业务系统开发厂商对业务系统进行优化,实现事前预防,提升业务系统的安全。
存储数据加密检测:对数据库、大数据中心、主机文件、WEB页面等开展数据加密评测,发现数据存储不合规的情况。
重点业务评估:重点围绕具备收集、使用用户个人信息功能的业务(含管理平台)开展合规性评测,内容重点包括用户个人信息全生命周期等,并运用技术能力检验个人信息去标识化、数据传输加密等情况,检查账号是否存在弱口令及权限分配不合理等安全漏洞。
数据系统合规评估:重要数据支撑系统安全管理合规性测试和技术措施合规评测,敏感及重要数据存储识别,数据防泄漏能力检测,存储数据加密情况检测。
(三) 数据安全业务风险评估
通过可控的业务安全检测技术对限定范围内的应用系统进行风险检测,同时结合OSSTMM与OWASP测试框架组合成最佳实践进行操作。及时发现业务系统数据泄露风险,并根据发现的安全风险给出针对性的解决方案。WEB检测内容包括但不限于以下内容:
(1)信息收集评估:评估项包括目录爬行遍历,搜索引擎侦测;应用程序入口探测;Web应用程序指纹探测;应用程序发现;分析错误代码-信息泄漏等;
(2)认证测试评估:评估项包括证书加密通道传输安全性测试;用户枚举测试;字典猜解测试;
(3)口令暴力猜解测试;验证绕过测试;密码重置/找回漏洞测试;用户注销缓存漏洞测试;多因素认证漏洞测试等;
(4)会话管理测试评估:评估项包括会话管理测试;Cookie属性测试;会话固定测试;会话变量泄漏测试;CSRF跨站请求伪造测试等;
(5)授权测试评估:评估项包括路径遍历测试;授权绕过测试;权限提升测试等;
(6)数据验证测试评估:评估项包括SQL 注入测试(OracleMysql MsSQLAccess);Code 注入测试;OS Commanding;缓冲区溢出测试(字符串格式)等;
(7)Web服务测试评估:评估项包括Web服务信息收集;XML架构测试;XML内容级别测试;HTTP GET参数/REST测试;Naughty SOAP附件;重放测试等;
(8)业务安全测试评估:业务办理流程测试;业务客户敏感数据测试;密码找回流程测试;业务接口调用模块测试评估等。
(四) 数据安全事件研判分析
数据安全事件研判分析主要是围绕高位监测体系、中位监测告警结果,进行具体系统中数据安全事件的深入分析,同时优化监测策略,包括监测数据资产梳理、告警事件分析、安全策略调优、安全事件取证及协助涉事单位处置等工作:
(1)业务梳理:对关注的用户单位及其行业特点、业务特点进行了解,制定调研表格,对用户单位进行调研。并输出调研报告,就安全监测目标达成一致意见。
(2)指纹梳理:对目标系统的重点业务、重要菜单、高风险业务操作指纹等业务信息进行梳理,了解目标业务敏感信息的含义、形态及其在业务系统、数据存储中的分布。
(3)监测策略优化:制定敏感数据识别策略,分级分类策略,并针对重要业务、重点指纹、高危操作制定监测策略,针对具体监测场景需求进行专题事件跟踪。
(4)告警事件分析:根据事前预制的采集目标、策略自动发现目标业务系统用户操作的敏感信息业务,并将敏感业务作为重点监测对象实时监控,一旦发现异常违规行为则立刻告警。监测内容包括敏感信息安全认证绕行监控;敏感信息越权行为监控;敏感模糊化不合规监控;敏感数据高频操作行为监控;业务流程异常监控;关键业务参数篡改监控等。
(5)专家研判分析:数据安全专家参与平台日常用户违规行为的分析,通过海量数据的统计、关联、拆分、聚合等多种分析方法,优化平台自动化分析策略,发现潜在的安全运营风险,提高监测平台的准确性、有效性。平台监测数据效验;数据还原算法优化;敏感信息识别算法优化;未告警用户行为手工分析;安全风险分析评估;风险识别策略优化等。
(6)异常行为分析及核查处置:根据告警提示信息,组织技术人员通过监测平台查看告警详情,通过“溯源”等功能还原告警用户的原始操作,通过对用户告警前后的原始操作痕迹分析,判定该用户的违规行为,并将还原后的用户操作轨迹作为违规证据向主管部门相关负责人汇报,按照相关管理办法,对违规操作用户进行处置。
(7)业务安全风险修复:持续跟踪违规行为产生的根本原因,找到被利用的系统漏洞,对漏洞的风险、影响范围、技术原理等要素进行分析、评估,并最终形成正式文档向业务主管部门提交风险修复解决方案,并验证最终修复结果。
(8)监测报告整理:定期向主管部门汇报近期监测状况,详细列举近期各监测业务系统的数据安全风险、用户异常行为、策略优化、漏洞修复方案、漏洞修复状况、新增敏感业务等,研判数据安全态势。
(五) 移动应用(APP、公众号与小程序)安全评估
根据系统上线和业务调整计划,按需对省政数局指定的5个APP、5个微信公众号及5个微信小程序的安全漏洞以及隐私泄露风险进行监测。
(1)APP基础安全检测:通过工具加人工方式覆盖App程序本身检测和App涉及接口的检测,并针对Android和iOS平台上的App终端进行安全风险分析,发现软件自身的安全隐患。
(2)App渗透测试:对应用系统(含App)开展渗透测试,采用模拟黑客所使用的攻击手段对目标系统进行模拟入侵,发现系统中存在可被利用的弱点,并验证存在弱点可能对业务造成影响,验证弱点被利用可能造成的危害。渗透测试采用内部测试和外部测试相结合的方式,对系统实现全面的测试
(3)个人信息保护专项检测:此专项检测参考全国信息安全标准化技术委员会发布的《移动互联网应用程序(App)收集使用个人信息自评估指南》(TC260-PG-20202A),针对其中归纳总结出的App收集使用个人信息六大评估点开展评估,小程序、公众号也可参考其中的适用条款进行评估,包括是否公开收集使用个人信息的规则;是否明示收集使用个人信息的目的、方式和范围;是否征得用户同意后才收集使用个人信息;是否遵循必要原则,仅收集与其提供的服务相关的个人信息;是否经用户同意后才向他人提供个人信息;是否提供删除或更正个人信息功能,或公布投诉、举报方式等信息。
(4)公众号安全检测:包括但不限于以下内容:
明文或弱密码传输用户名、密码和验证码等敏感信息;AppID和AppSecret泄露问题;泄露后台服务器地址,导致服务器可控;服务端采用默认配置导致可被攻击;未使用有效的Token机制,导致可以绕过鉴权;传输数据可修改,造成越权访问;登录设计缺陷,存在被暴力破解风险;利用业务逻辑缺陷制作短信炸弹;可批量刷赞等鉴权漏洞;文件上传漏洞。
(5)小程序安全检测:包括但不限于以下内容:
明文或弱加密传输用户名、密码和验证码等敏感信息;泄露后台服务器地址,导致服务器可控;文件上传漏洞;未使用有效的Token机制,导致可以绕过鉴权;传输数据可修改,造成越权访问。
4.1.3.2 服务工具
投标人在项目服务过程中应自带以下(但不限于)工具:
|
序号 |
工具名称 |
功能 |
|
1 |
RSAS漏洞扫描器 |
主机漏洞扫描 |
|
2 |
Nessus漏洞扫描器 |
主机漏洞扫描 |
|
3 |
Awvs |
Web应用漏洞扫描 |
|
4 |
Burpsuite |
Web应用手工分析辅助工具 |
|
5 |
Kali |
安全测试集成系统,包括各类安全测试工具 |
|
6 |
Metasploit |
漏洞利用平台 |
|
7 |
Struts2漏洞利用工具 |
检测、利用Struts2漏洞 |
|
8 |
Weblogic漏洞利用工具 |
检测、利用Weblogic漏洞 |
|
9 |
Java反序列化漏洞利用工具 |
检查、利用各类Java反序列化漏洞 |
|
10 |
各类POC |
验证、测试各类最新安全漏洞及扫描器无法检测的漏洞 |
4.1.3.3 服务要求
投标人服务团队需具备如下能力的项目负责人及技术人员:
(1)跨网络、跨系统、跨地域的互联网监测处置能力和大数据分析能力,具备对跨境数据流动、数据库密码被爆破、数据库安全措施被关闭、数据库被勒索、数据库后门、表注入动态库、远程执行恶意脚本命令等的监测分析能力;
(2)具有实时进行网络安全监测和预警通报能力,支持接收国家级公共互联网网络安全监测平台推送的诸如数据安全、僵尸木马活动、恶意代码传播、恶意攻击行为、恶意站点数据、APT攻击等网络安全事件及信誉数据,与国家级监测平台形成联动能力;
4.1.3.4 服务成果
本项服务成果物包括但不限于《敏感业务资产清单台账》《数据安全合规性评估报告》《数据安全业务风险评估报告》《数据安全事件应急响应报告》等。
4.2 网络安全威胁情报分析及应急响应技术支撑服务
中标人需组织专业的网络安全技术团队为采购人提供网络安全威胁分析和应急响应技术支撑服务,具体服务内容如下。
4.2.1 省电子政务网络安全威胁监测分析
中标人需为广东省电子政务网络信息安全提供全方位、多样化的网络安全威胁监测分析服务,以提高突发网络安全威胁监测发现能力,通过网络大数据快速分析互联网上针对广东省电子政务网络的网络攻击威胁,将各种网络安全威胁风险影响降低到最小程度。在公共互联网上针对广东省政务网上办事大厅、应用系统和网站开展网络安全高位监测,分析发现涉及广东省电子政务网络相关网络病毒(如木马和僵尸网络等)、网页篡改、网页后门、流量攻击、域名劫持等各种网络攻击事件,形成事件监测及分析报告。具体包括:
(1)对重点关注的政务网站域名开展网络安全外围监测,协助发现域名劫持、域名恶意指向等域名安全事件并及时通报。
(2)对重点关注的政务系统关键网络节点(如网站服务器、电子邮件服务器、DNS服务器、NAT设备等)实施外围监测,协助发现分布式拒绝服务攻击(DDoS)等流量异常事件并及时通报。
(3)对重点关注政务网站开展网站脆弱性、恶意代码文件、网页暗链、网页挂马等内容轮询监测,脆弱性检测包括但不限于弱口令、SQL注入、XSS漏洞、CSRF漏洞。
(4)对重点关注接入互联网的政务网络主机感染木马、蠕虫、僵尸程序等恶意程序事件进行监测并及时通报。
(5)全省电子政务涉及监测IP数量不少于3000个。中标人应定期提交网络安全威胁监测和分析报告,报告内容包括:监测对象、监测时间、事件类型等详细信息。
4.2.2 省电子政务网络安全威胁预警通报
中标人需实时跟进国家权威网络安全预警和态势信息,重点收集分析与广东省电子政务相关网络安全威胁情报信息,如政务系统存在安全漏洞或可能遭受网络攻击情况,及时通知相关单位提前防范,支撑各单位及时做好防护措施。及时跟进互联网相关预警信息,涵盖互联网、移动互联网、工业控制系统、操作系统和应用服务等漏洞信息,境外黑客动态等情况,形成网络安全预警或态势通报。具体包括:
(1)实时收集国家权威机构发布和在公共互联网披露的漏洞事件信息,开展对广东政务网上办事大厅、政务系统和网站的安全漏洞技术验证并通报(对权威机构发布的数据分析检测工作在互联网外部远程进行)。
(2)实时跟进对互联网披露安全动态信息的,获取最新的安全公告(比如某种病毒的大规模爆发期)、重大安全漏洞隐患信息(包括互联网、移动互联网、工业控制系统等漏洞)和黑客动态等,开展技术研判分析后形成网络安全通报给相关单位提前防范。
(3)提供7×24小时专家值守服务,网络安全威胁情报信息通过邮件、短信、电话等指定方式发送。
(4) 定期提交网络安全威胁预警信息报告,报告类型包括《网络安全漏洞周报》《网络安全信息与动态周报》《网络安全威胁风险通告》。
本项目服务期内,中标人应根据网络安全威胁情报信息及通告情况,编制预警和态势报告(每周、不定期),含《网络安全漏洞周报》《网络安全信息与动态周报》《网络安全威胁风险通告》,提供报告年均约400份。
4.2.3 省级数字政府应急响应技术支撑服务
中标人需为采购人支撑省数字政府网络安全应急响应技术运营服务体系,并根据省、市政数局请求,提供网络安全事件应急响应服务,协助研判事件成因,提供技术支持建议,共同提升维护政务系统安全防护能力。负责组织技术专家队伍开展对政务系统重大网络安全事件研判分析和应急响应,参与“数字政府”网络安全应急响应体系,协助有关部门开展网络安全事件处置机制与流程梳理建立,支撑政务网络安全事件应急预案修订。根据工作需要,在特定时期支撑省政务监管部门开展网络安全专项工作,如网络安全专项检查、恶意代码专项治理、政务网站漏洞专项普查等。具体包括:
(1)针对疑似广东省政务部门遭受网络攻击事件,及时开展现场服务器、主机终端等技术分析取证,通过与威胁情报数据线索挖掘分析,形成事件分析报告。
(2)广东政务网络遭受突发重大网站攻击、恶意代码、勒索病毒等事件,根据省市政数局要求,组织技术专家分析研判,协助开展远程在线支持、现场应急响应及取证分析工作,形成事件取证分析报告并提供加固防范技术支持。
(3)省政务主管部门开展网络安全专项工作,包括电子政务网络恶意代码专项治理、政务网站系统漏洞普查、网络安全专项检查支撑等专项任务,提供专项总结报告。
(4)网络安全事件应急响应专家队伍,提供7×24小时应急响应服务,网络安全事件响应工作覆盖全省21地市。事件应急响应次数年均不少于50次,专项服务次数年均不少于4次。
(5)分析报告内容包括事件背景、事件响应摘要、应急处理措施和具体的修复与防御建议等。
本项目服务期内,中标人应编制《网络安全事件应急响应服务分析报告》,全年不少于50份;编制《专项服务分析报告》,全年不少于4份。
5 服务要求
5.1 总体要求
5.1.1 总体技术要求
投标人在项目建设中需遵循以下原则:
(1)全面性原则:从技术框架、目标、涉及的机构、人员层面、产业发展、资金保障等层面都需要包涵;
(2)投资最大化原则:充分考虑和利用我省在网络安全层面已投入、已建设的基础设施、管理制度以及人员基础,以充分利用原有基础设施和投资为基础,适当进行必要的资金投入和保障,确保项目成效;
(3)专业性原则:结合网络安全领域最权威的专家、厂商和院校、机构制定专业的动态安全防护体系;
(4)创新性原则:鼓励采用创新的模式、形式、技术开展防护体系持续演进,结合互联网+发展战略,积极筹划符合我国网络空间安全战略和发展方向的防护框架。
5.1.2 技术路线
省数字政府数据安全监测与分析服务实施过程中参照以下国内外相关安全标准规范:
(1)《GB/T 37973-2019信息安全技术 大数据安全管理指南》(2019年8月30日);
(2)《GB/T 39477-2020 信息安全技术 政务信息共享信息安全技术要求》(2020年11月19日);
(3)《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019);
(4)《信息安全技术 政务信息共享数据安全技术要求》(GB/T 39477-2020);
(5)《数据出境安全评估办法)》。
5.2 管理要求
5.2.1 服务人员
投标人须书面承诺,如在项目实际执行过程中发生项目经理不能按采购文件要求胜任相关工作的,采购人有权要求更换项目经理,投标人必须在两周内调整为符合采购文件要求且能胜任相关工作的项目经理并到位开展工作,否则采购人有权终止合同并报相关管理部门进行处理。
投标人承诺的项目经理和开发实施的主要人员未经用户同意不得调整;投标人如中途更换项目经理和主要开发技术人员,应征得用户同意,否则采购人有权终止合同。
服务商应指派固定的团队为本项目提供专业服务,服务团队成员不得少于20人,其中,项目经理应具备硕士研究生或以上学历,具有15年以上安全项目实施经验,具备计算机相关的高级工程师职称,具有注册信息安全专业人员(CISP)证书或信息安全保障人员认证(CISAW)证书或信息安全工程师证书;项目团队其他成员应具有硕士研究生或以上学位,具有注册信息安全专业人员(CISP)证书或信息安全保障人员认证(CISAW)证书或信息安全工程师证书;同时数据安全监测过程可能会接触到政务服务数据,项目服务团队成员最好接受过保密培训,具有保密培训证书或保密资格证书。(若投标人提供的项目服务团队成员条件不满足上述要求,可能会影响到商务或技术评分。)
如须调整服务团队成员,须书面向采购人提出申请,说明申请理由,经采购人书面同意方可调整团队人员,调入人员的资历和从业经验不低于调出人员,否则视为违约行为,采购人有权终止服务合同。
5.2.2 进度要求
本项目服务期限为12个月,服务起始时间以采购人确认的项目服务启动报审备案时间为准。投标人需明确本项目工作的方式、方法、过程步骤、按阶段分解的详细计划、对应计划应提交的工作成果、需要采购人协调与配合的事项,并经采购人审核、批准。
采购人有权监督和管理投标项目的测试、安装、调试、故障诊断、系统开发和验收等各项工作,投标人必须接受并服从采购人的监督、管理要求,按要求提供中间过程工作成果。投标人在完全理解标书的要求后,提供实施计划,其中需要包括进度计划、里程碑、交付成果、人员安排等。
5.2.3 组织实施要求
为使项目按质、按量、按时及有序实施,投标人应建立完善、稳定的项目团队、内部组织管理方式及管理机构、协调机制、技术基础,支撑保障要求及其他相关要求。在机制保障方面,成立组织实施小组和项目专家组的双轨制的组织模式。在项目日常管理和条件保障方面,从行政组织、后勤保障和支撑条件各方面创造良好的服务环境,确保项目的顺利实施。
5.2.4 文档管理要求
投标人应在项目完成时,将本项目所有文档、资料汇集成册交付给采购人,所有文件要求用中文书写或有完整的中文注释。验收后,投标人按国家、省以及采购人档案管理要求,向采购人提供装订成册的纸质文档至少1套,电子文档1套。
5.2.5 质量保证要求
为保证本项目能按时高质的顺利完成,规避项目风险或将风险降至最低程度,投标人应建立项目质量管理体系,包括但不限于质量目标、质量指标、岗位责任、问题处理计划、质量评价、整改完善等内容,并建立奖惩制度。
5.3 验收标准
项目验收按照广东省政务服务和数据管理局项目验收的有关规定执行。项目验收的具体组织工作由项目采购人承担。
本项目的验收应符合广东省政务服务和数据管理局相关验收管理办法的要求,同时应遵循下列标准:
(1)实现合同和根据招标文件所编写的投标文件中列举的全部内容。
(2)项目验收包括按照合同和根据招标文件所编写的投标文件中相关的技术文档、培训教材、使用说明书及广东省政务服务和数据管理局项目相关验收管理办法所要求的全部文档。
5.4 其他要求
5.4.1 标准规范要求
符合《个人信息和重要数据出境安全评估办法(征求意见稿)》、《信息安全技术数据安全能力成熟度模型》、《信息安全技术政务信息共享数据安全规范》、《促进大数据发展行动纲要》(国务院)标准规范。
5.4.2 服务响应要求
服务响应可通过现场、远程等方式提供,由此产生的一切费用均由投标人承担。
(1)服务方式包括:电话服务、远程服务和现场服务等。
(2)应用系统运行维护:提供7×24小时响应服务(包括现场服务、紧急事件响应、系统升级等),出现故障时,快速受理服务请求,根据不同的故障等级在不同时间内进行响应,对于远程或电话无法解决的问题,安排技术人员现场处理,重大故障提供故障分析报告,保证市内2小时内(地市6小时内)到达现场解决重大系统故障。
5.4.3 资产权属
1.本合同不会引起任何已申请、登记的知识产权所有权的转移。
2.投标人、采购人双方一致同意,本合同所涉服务成果的知识产权归属按下列第 (3) 种方式处理:
(1)投标人负责开发软件服务,包括代码编写、调试、测试等开发工作,投标人为履行本合同义务所形成的服务成果的知识产权归采购人单独所有。
(2)投标人负责提供定制软件租赁服务,采购人基于本合同约定委托投标人定制开发的产品、程序、服务等的知识产权归甲、投标人共同所有,投标人应按采购人书面要求交付该共有部分的源代码;投标人在共有部分的基础上进行二次开发的及对二次开发形成的产品、程序等财产进行处置的,需经采购人书面同意,二次开发所形成的产品、程序、服务等的知识产权归开发者所有,共有部分仍归甲、投标人共同所有。投标人根据采购人授权,利用项目成果申请的商标、专利或输出的图片、视频等受知识产权保护的成果物,采购人有权无条件永久使用。
(3)投标人负责提供运营服务或成品软件租赁服务,投标人为履行本合同义务所形成的所有服务成果的知识产权(除成品软件开发涉及的知识产权)归采购人单独所有。
(4)本项目仅包含基础设施服务租用或运维服务,不涉及知识产权权属转移。
3.本合同所涉及的数据所有权归政府所有。投标人只能用于履行本合同之义务。
4.投标人提供的相关软件应是自行开发的产品或具备合法、合规授权,满足知识产权、安全等保三级等方面的有关规定和要求。
5.投标人保证向采购人提供的服务成果是其独立实施完成,不存在任何侵犯第三方专利权、商标权、著作权等合法权益。如因投标人提供的服务成果侵犯任何第三方的合法权益,导致该第三方追究采购人责任的,投标人应负责解决并赔偿因此给采购人造成的全部损失。
5.4.4 保密要求
1.投标人应签订保密协议,对其因身份、职务、职业或技术关系而知悉的采购人商业秘密和党政机关保密信息应严格保守,保证不被披露或使用,包括意外或过失。
2.投标人不得以竞争为目的、或出于私利、或为第三人谋利而擅自保存、披露、使用采购人商业秘密和党政机关保密信息;不得直接或间接地向无关人员泄露采购人的商业秘密和党政机关保密信息;不得向不承担保密义务的任何第三人披露采购人的商业秘密和党政机关保密信息。投标人在从事政府项目时,不得擅自记录、复制、拍摄、摘抄、收藏在工作中涉及的保密信息,严禁将涉及政府项目的任何资料、数据透露或以其他方式提供给项目以外的其他方或投标人内部与该项目无关的任何人员。
3.投标人对于工作期间知悉采购人的商业秘密和党政机关保密信息(包括业务信息在内)或工作过程中接触到的政府机关文件(包括内部发文、各类通知及会议记录等)的内容,同样承担保密责任,严禁将政府机关内部会议、谈话内容泄露给无关人员;不得翻阅与工作无关的文件和资料。
4.严禁泄露在工作中接触到的政府机关科技研究、发明、装备器材及其技术资料和政府工作信息。
5.4.5 监理要求
★投标人须承诺,在项目开展过程中接受采购人指定的咨询监理机构的监理。(投标时提交承诺函,格式可参考附件)
6 付款方式(具体以合同约定为准)
本项目计划分3期支付,具体支付方式和时间如下:
1.首期款:签订合同后15个工作日内,投标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票,采购人在收到投标人的支付申请及发票后5个工作日启动首期款支付流程,支付约占合同总金额的30%。
2.进度款:服务期满6个月且经采购人阶段性确认通过后15个工作日内,投标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票,采购人在收到投标人的支付申请及发票后5个工作日启动首期款支付流程,支付约占合同总金额的50%。
3.尾款:本项目服务期满且项目最终验收通过后15个工作日内,投标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票,采购人在收到投标人的支付申请及发票后5个工作日内启动尾款支付流程,支付合同总金额的剩余款项。
项目实际支付总金额按采购成交总金额计算,项目支付计划按合同约定执行,对于满足合同约定支付条件的,采购人应当自收到发票后10个工作日内将资金支付到合同约定的投标人账户,不得以机构变动、人员更替、政策调整等为由延迟付款,不得将采购文件和合同中未规定的义务作为向投标人付款的条件。
采购包1(数据安全监测及应急响应技术支撑服务)1.主要商务要求
|
标的提供的时间 |
本项目委托服务期限:以采购人确认的各项服务启动报审备案时间为对应服务的起始时间,服务期为12个月。 |
|
标的提供的地点 |
采购人指定服务地点。 |
|
付款方式 |
1期:支付比例30%,首期款:签订合同后15个工作日内,投标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票,采购人在收到投标人的支付申请及发票后5个工作日启动首期款支付流程,支付约占合同总金额的30%。 2期:支付比例50%,进度款:经采购人确认交付验收通过后,投标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票,采购人在收到投标人的支付申请及发票后5个工作日启动首期款支付流程,支付约占合同总金额的50%。 3期:支付比例20%,尾款:本项目服务期满且项目最终验收通过后15个工作日内,投标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票,采购人在收到投标人的支付申请及发票后5个工作日内启动尾款支付流程,支付合同总金额的剩余款项。 如项目发生合同融资,采购人应当将合同款项支付到合同约定收款账户。 |
|
验收要求 |
1期:项目验收按照广东省政务服务和数据管理局项目验收的有关规定执行。项目验收的具体组织工作由项目采购人承担。 本项目的验收应符合广东省政务服务和数据管理局相关验收管理办法的要求,同时应遵循下列标准: (1)实现合同和根据招标文件所编写的投标文件中列举的全部内容。 (2)项目验收包括按照合同和根据招标文件所编写的投标文件中相关的技术文档、培训教材、使用说明书及广东省政务服务和数据管理局项目相关验收管理办法所要求的全部文档。 |
|
履约保证金 |
不收取 |
|
其他 |
|
2.技术标准与要求
|
序号 |
品目名称 |
标的名称 |
单位 |
数量 |
分项预算单价(元) |
分项预算总价(元) |
所属行业 |
技术要求 |
|
1 |
测试评估认证服务 |
数据安全监测与分析服务 |
项 |
1.00 |
3,316,600.00 |
3,316,600.00 |
软件和信息技术服务业 |
详见附表一 |
|
2 |
测试评估认证服务 |
网络安全威胁情报分析及应急响应技术支撑服务 |
项 |
1.00 |
969,000.00 |
969,000.00 |
软件和信息技术服务业 |
详见附表二 |
附表一:数据安全监测与分析服务
|
参数性质 |
序号 |
具体技术(参数)要求 |
|
★ |
1 |
★投标人须承诺,在项目开展过程中接受采购人指定的咨询监理机构的监理。(投标时提交承诺函,格式可参考附件) |
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标无效。 |
|
附表二:网络安全威胁情报分析及应急响应技术支撑服务
|
参数性质 |
序号 |
具体技术(参数)要求 |
|
★ |
1 |
★投标人须承诺,在项目开展过程中接受采购人指定的咨询监理机构的监理。(投标时提交承诺函,格式可参考附件) |
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标无效。 |
|
收藏