招标内容及要求

一、项目概况（采购标的）

1、随着信息化的发展，近几年网络安全越发严峻，为了维护网络安全，国家层面从很早就颁发和制定一系列政策来维护信息安全。《教育部关于进一步加强直属高校直属单位信息技术安全工作的通知》（教技[2015]1号）、《教育部关于印发<教育信息化2.0行动计划>的通知》（教技〔2018〕6号）、《教育部办公厅关于印发<2020年教育信息化和网络安全工作要点>的通知》（教科技厅〔2020〕1号）和教育部《关于加强新时代教育管理信息化工作的通知》(教科信函〔2021〕13号)等文件，对高校等级保护建设和测评工作提出新的要求和实施办法。

2、近年来，福建理工大学信息系统规模和复杂性的不断增加，面对黑客攻击、未经授权入侵和其他威胁的风险也在逐渐增加。许多系统管理人员常常忙于解决日常运维过程中出现的琐碎问题，以维持信息系统的持续可用，而没有更多精力定期检查信息系统中是否存在安全隐患、跟踪并获得相应的漏洞补丁、及时修复信息系统安全问题。为了降低信息系统中安全隐患被非法利用的可能性或在被利用后能及时加以响应，需要引入专业的信息安全服务公司协助福建理工大学进行安全运维服务工作，开展校园网络安全运营服务项目，提高福建理工大学网络安全管理水平，确保学校信息化业务的安全稳定运行。

3、目前，福建理工大学已建成覆盖所有校区、所有楼群的“千兆主干”IP网，并构建以统一身份认证、统一信息门户和统一数据库为中心的数字化校园基础软件平台，在网站和信息建设方面，学校当前已备案3个等保三级信息系统，42个等保二级信息系统。其中3级系统情况如下：

序号	系统名称	备案等级
1	网站群系统	3级
2	一卡通系统	3级
3	教学综合信息服务平台	3级

二、技术和服务要求（以“★”标示的内容为不允许负偏离的实质性要求）

★（一）服务要求

1、等保合规服务

1.1每年2次协助校方整理等级保护相关规章制度、备案材料等。完成网站群、一卡通和教学综合信息服务平台三个等保三级信息系统每年1次等保复测、三个等保二级信息系统两年1次等保复测以及新建信息系统的定级、测评、备案等工作。

1.2服务期限：2年，从签订合同之日起计算。

1.3服务交付物：《XX信息系统等级保护测评报告》、《XX信息系统等级保护备案证明》。

2、7*24小时安全运营服务

2.1通过云端工程师与本地工程师结合专业安全监测平台实现对学校Web网站，内部系统、网络和终端7*24安全运营包含(安全监测、预警、防御和响应），从而实时保障学校网络安全。

2.2服务期限：2年，从签订合同之日起计算。

2.3服务交付物：《首次漏洞扫描报告-含修复方案》、《安全运营周报》、《安全运营月报》、《安全运营季度汇报》、《服务资产管理清单》、《漏洞管理报告》、《事件处置报告》、《应急响应报告》、《安全威胁通告-含受影响资产识别》、《年度安全运营总结汇报》。

3、重要时期安全保障服务

3.1重保值守服务：在省委网信办、省公安厅、省教育厅等上级部门明确的重要时期，及法定节假日如（五一、十一、重保保障服务：元旦等除周末外）按相关文件要求依托“福建省网信人才培养（示范）基地”在部分重点时间提供夜间现场值守保障服务。

3.1.1服务期限：2年，从签订合同之日起计算。

3.1.2服务交付物：《福建理工大学XX时刻重保值守方案》。

3.2护网保障服务：省、市行业主管部门组织的攻防演练期间提供全过程技术支撑，并有不少于2人的团队在现场执行保障。

3.2.1交付成果：《XX攻防演练保障工作方案》。

3.2.2报告周期：以上级部门通知要求为准。

4、网络安全设备续保服务

4.1采购方现有深信服品牌的以下系统：1台防火墙已经超过维保及升级服务期，为使系统能正常使用，须续保：（1）对现有的1台AF-2000-J000P-S3防火墙（设备SN码：W2YAEI0014）提供2年原厂商软件升级更新等服务。

4.2服务期限：2年，从签订合同之日起计算。

4.3服务方式：（1）远程电话支持；（2）现场维修、巡检服务。

5、漏洞管理平台服务

5.1提供一套漏洞管理平台，通过整合内网主机扫描、基线扫描以及人工渗透测试等漏洞信息，对内部资产的漏洞数据进行统一的关联、展示和告警。使管理人员能够有效地追踪漏洞的整个生命周期，清晰地了解整个网络的安全健康状况。

5.2服务期限：2年，从签订合同之日起计算。

5.3服务交付物：漏洞管理平台一套。

6、网络安全运营平台服务

6.1提供潜伏威胁探针和态势感知作为安全服务工具组成网络安全运营平台用以保障网络安全，实时展示网络整体状态，遭受过的攻击类型，正面临什么样的危险，发生网络安全问题时能及时发现问题的关键。

6.2服务期限：2年，从签订合同之日起计算。

6.3服务交付物：《网络安全态势月报》。

7、深度威胁狩猎服务

7.1安服专家通过定期或持续上门服务的方式，综合运用丰富的技术经验及威胁情报知识库，借助已有安全设备的检测能力，结合专家现场的自主发现，对安全流量日志进行分析研判，包括对外部威胁的识别、对内部脆弱性问题的深挖、对内网安全事件的判断，以及对安全有效性的分析这些内容；最后通过面对面汇报与解读，使客户尽早发现关键风险问题，并通过提供可落地修复处置建议和指导，推动客户闭环。

7.2服务期限：2年，从签订合同之日起计算。

7.3服务交付物：《深度威胁狩猎报告》。

8、人员现场服务

8.1指派≥1名安服工程师提供至少1季度1次的现场服务，现场服务人员主要职责如下：

8.1.1协助学校开展资产梳理服务，通过持续安全运营结合实际访谈和调研，梳理学校信息资产和业务环境状况，最终呈现《福建理工大学信息资产清单》。

8.2独立承担安全评估服务，主要包括系统渗透测试、安全漏洞检测、安全基线检查等，要求如下：

8.2.1系统渗透测试。每季度到校开展1次渗透测试，全年4次渗透测试结束后需完全覆盖学校登记在册的应用系统。

8.2.2服务周期：2年，从签订合同之日起计算。

8.2.3交付成果：《福建理工大学第X季度渗透测试报告》。

8.3安全漏洞检测。每季度对信息系统、网络设备、主机、中间件、数据库开展1次漏洞扫描，并对扫描结果进行进一步分析，判断漏洞可利用情况，确定漏洞威胁等级，提出整改意见并形成书面漏洞报告，协助分管老师完成漏洞登记、通报下发、整改复查工作，实现漏洞闭环管理。

8.3.1服务周期：2年，从签订合同之日起计算。

8.3.2交付成果：《福建理工大学X季度系统漏洞检查报告》。

8.4安全基线检查。对照《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），每季度对托管在数据中心的网络设备、安全设备、主机、中间件、数据库开展1次安全基线检查。

8.4.1服务周期：2年，从签订合同之日起计算。

8.4.2交付成果：《福建理工大学第X季度安全基线检查报告》。

8.5跟踪信息系统安全漏洞处置情况。

8.6完成学校领导交办的其他相关事项。

9、安全服务工具

中标人须提供潜伏威胁探针（1台）、零信任访问控制系统（1套2台），用以保障学校的网络安全，以上3台硬件应在2年服务期满后继续提供给采购人使用，直到新一轮的等保运维及网络安全设备升级服务项目启动为止。

10、突发情况

若发生突发情况，中标人须在接到采购人通知后4小时内提供响应服务。

（二）技术要求

1、潜伏威胁探针要求：网络层吞吐量≥1.5Gbps，应用层吞吐量≥500Mbps。

规格≥1U，内存大小≥8G，硬盘容量≥256G SSD，电源：单电源，接口：≥6千兆电口，≥2千兆光口SFP。（指标项1）

2、零信任访问控制系统需提供控制中心和代理网关两台硬件设备和1000个接入授权。控制中心要求：规格≥1U，内存大小≥16G，硬盘容量≥128G SSD，电源：单电源，接口≥6千兆电口+2千兆光口SFP。最大并发用户数≥2000，新建用户数（个/秒）-本地认证≥90，新建用户数（个/秒）-外部认证（如LDAP）≥60；代理网关要求：规格≥1U，内存大小≥16G，硬盘容量≥128GB SSD，电源：单电源，接口≥6千兆电口，≥2千兆光口SFP。最大理论加密流量≥300Mbps，最大理论并发用户数（个）≥3000，最大理论https并发连接数（个）≥30000，理论https新建连接数（个/秒）≥400。（指标项2）

3、在服务期间，根据学校安全工作需求，投标人需借用相关安全产品，不得再向采购人收取费用。（指标项3）

4、在服务期间，需依托“福建省网信人才培养（示范）基地”积极开展重要时期安全保障服务等相关安全服务工作。（指标项4）

5、为保证服务质量，在服务期间投标人须配备项目经理至少1人、安服工程师至少3人、云端安服经理至少1人以保障安全服务效果。（指标项5）

6、投标人所提供的7*24小时安全运营服务应当为学校提供7*24小时的安全守护，不论是白天、黑夜、节假日，都应能做到7*24H在线服务，并且在节假日期间应当每日为学校提供《节假日值守总结》。（指标项6）

7、投标人所提供的7*24小时安全运营服务需具备云端检测和分析平台，通过采集学校安全设备和工具的安全告警和安全日志，结合大数据分析、人工智能等技术手段，为学校提供7*24小时持续不间断的安全威胁分析鉴定。（指标项7）

8、投标人所提供的网络安全运营平台服务工具需支持安全态势的可视化呈现，支持展示综合安全态势、包括资产态势、脆弱性态势、网络攻击态势、安全事件态势、外连态势、横向威胁态势等大屏。（指标项8）

9、投标人所提供的网络安全运营平台服务工具需支持综合安全风险、主机安全风险、脆弱性感知、外部感知、摘要报告、处置报告多种方式呈现，可快速生成月度、季度、年度报告；摘要报告支持PPT格式导出，包含网络安全整体解读、网络安全风险详情、告警及事件响应盘点。（指标项9）

10、投标人所提供的网络安全运营平台服务工具需支持上下级平台级联设置，可支持下级平台上报资产信息、安全事件、脆弱性风险等数据。（指标项10）

▲11、投标人所提供的网络安全运营平台需支持对接学校现有态势感知设备，并支持将现有资产、威胁、漏洞和安全事件等相关安全告警信息同步到网络安全运营平台。投标人需提供承诺函（格式自拟）（指标项11）。

▲12、投标人所提供的网络安全运营平台需支持对接学校现有终端安全软件，当监测到终端发生中毒等安全风险时，支持通过网络安全运营平台远程针对病毒进行查杀。投标人需提供承诺函（格式自拟）（指标项12）。

▲13、投标人所提供的网络安全运营平台需支持对接学校现有防火墙设备，通过采集网络侧数据，对威胁、事件进行监测以及对安全策略有效性检查与调优，实现网络侧联动遏制。投标人需提供承诺函（格式自拟）（指标项13）

14、投标人所提供的零信任访问控制系统需支持多因素认证，支持管理员结合已对接的主认证和辅认证类型进行设置，可自由选择采用首次认证+二次认证+终端认证+增强认证等方式。（指标项14）

15、投标人所提供的零信任访问控制系统需支持将设备安全事件单独记录在设备安全日志中，事件类型包括但不限于：接口扫描、接口webshall攻击、接口参数爆破、接口越权调用等设备API防护日志。（指标项15）

16、投标人所提供的安全服务工具需支持命令注入检测、PHP代码检测、XSS攻击检测、Webshell上传检测、SQL注入检测、XXE攻击检测、JAVA代码检测、SQL非注入型检测、MYSQL解析增强、php反序列化检测等自定义配置启用、高检出、低误报模式。（指标项16）

17、投标人所提供的安全服务工具需支持FTP、IMAP、MS Sql、Mysql、Oracle、POP3、RDP、Sip 、Redis 、Ldap 、Nntp 、Openssl 、SMTP、SSH、Telnet、Tomcat、Sybase、Xmpp 、Zabbix 、Weblogic 、Wordpress 、VNC等协议暴力破解检测。（指标项17）

18、投标人使用的服务工具需支持从“严重”、“高危”、“中危”、“低危”四个安全级别展示资产的风险分布情况。（指标项18）

▲19、投标人使用的服务工具支持对不少于9000种应用的识别和控制，应用类型包括游戏、购物、图书百科、工作招聘、P2P下载、聊天工具、旅游出行、股票软件等类型应用进行检测与控制。（需提供功能截图证明）（指标项19）

▲20、投标人使用的服务工具支持策略生命周期管理功能，支持对安全策略修改的时间、原因、变更类型进行统一管理，便于策略的运维与管理。（需提供功能截图证明）（指标项20）

▲21、投标人使用的服务工具支持僵尸主机检测功能，产品预定义特征库超过110万种，可识别主机的异常外联行为。（需提供功能截图证明）（指标项21）

▲22、投标人使用的服务工具内置多种文件检测引擎，包括智能引擎、恶意脚本分析引擎、智能检测引擎、云端分析引擎。（需提供功能截图证明）（指标项22）

▲23、投标人使用的服务工具需支持在满足条件的情况下，可配置成即使是关机重启，也能自动拉起客户端并自动登录一键上线（强制注销情况除外），可配置的条件包括但不限于：授信终端、Windows域环境、自定义网络环境等。（需提供功能截图证明）（指标项23）

▲24、投标人使用的服务工具可配置在触发异常环境的条件时，用户需完成增强认证才可登录。可配置的异常环境包括但不限于：账号首次登录、账号在该终端首次登录、闲置账号登录、弱密码登录、异常时间登录、非常用地点登录等。（需提供功能截图证明）（指标项24）

三、商务要求（以“★”标示的内容为不允许负偏离的实质性要求）

采购包1：

序号	参数性质	类型	要求
1	★	交货时间	本项目服务期为730天，自合同签订之日起开始提供服务。
2	★	交货地点	福建省福州市闽侯县上街镇学府南路69号
3	★	交货条件	验收合格后
4	★	是否邀请投标人验收	不邀请投标人验收
5	★	履约验收方式	1、期次1，说明：服务期满1年，中标人应书面向采购人申请对该项目进行本年度验收。中标人与采购人以及有关管理部门按招标文件以及合同相关条款要求一同进行系统验收，在此期间，如发现系统测评、备案存在问题，中标人应按采购人规定的时间无条件配合进行相关整改直至系统测评合格，验收合格后出具本年度验收报告。 2、期次2，说明：服务期满2年，中标人应书面向采购人申请对该项目进行最终验收。中标人与采购人以及有关管理部门按招标文件以及合同相关条款要求一同进行系统验收，在此期间，如发现系统测评、备案存在问题，中标人应按采购人规定的时间无条件配合进行相关整改直至系统测评合格，验收合格后出具最终验收报告。
6	★	合同支付方式	1、服务期满1年，且信息系统完成定级备案、测评工作，取得测评报告，收到中标人出具的增值税普通发票后，达到付款条件起30日内，支付合同总金额的50.00% 2、服务期满2年，且信息系统完成定级备案、测评工作，取得测评报告，经采购人最终验收通过，收到中标人出具的增值税普通发票后，达到付款条件起30日内，支付合同总金额的50.00%
7	★	履约保证金	缴纳, 本采购包履约保证金为合同金额的10.0% 说明：签订合同时，中标人需缴纳中标总价的10%履约保证金。(若中标人符合中小企业认定标准且按招标文件规定提供有效证明文件的，履约保证金收取比例为中标总价的5%)。驻点人员驻点期限结束后，中标人完整履行采购合同，无合同条款所规定的未了事件，则以银行转账方式无息退还给中标人。
8	★	其他	实行绩效考核制进行付款：根据考核情况，按照不同等级进行付款，采购人在30日内(遇法定公休节假日顺延)以转账方式按年结算支付前一年度服务经费。 2、维保期结束后，采购人将对中标人的服务进行考核，（1）最终考核得分≥90分，则按当年应付服务款项的100%支付服务费；（2）85分≤最终考核得分＜90分，则按当年应付服务款项的95%支付服务费；（3）80分≤最终考核得分＜85分，则按当年应付服务款项的85%支付服务费；（4）70分≤最终考核得分＜80分，则按当年应付服务款项的70%支付服务费；5）最终考核得分＜70分，则视为中标人违约，采购人有权终止合同不予支付当年服务费用。采购人收到中标人出具的增值税普通发票后30日内支付。【招标文件中合同支付方式以此条为准】