项目服务需求

“※”标注的服务需求为符合性审查中的实质性要求，响应文件若不满足按无效响应处理。

一、项目基本情况

为重庆市教育数据中心所有信息系统（44个）提供1年安全运维服务，具体包含：信息系统日常安全运维服务、提供重庆市教育系统互联网资产漏洞感知服务、提供重庆市教育数据中心所有系统云防护服务、数据中心所有主机系统安全防护服务、互联网漏洞监测及预警服务、提供网络安全工程师驻场服务、攻防演练实战团队组建、数据中心安全设备维保服务。

二、项目服务内容

（一）信息系统日常安全运维服务：

1、安全风险评估。每半年对重庆市教育数据中心的所有网络设备、服务器、操作系统、数据库、中间件和业务应用系统等资产进行安全风险评估，并提交评估报告和整改方案。评估的具体内容至少包括如下范围：

（1）管理脆弱性评估：对运行管理、信息安全管理等安全情况进行全面核查；

（2）物理脆弱性评估：对场所环境、电磁环境、网络布线、设备和媒体介质等安全性进行全面检测；

（3）网络脆弱性评估：对网络交换设备、结构、网管系统、安全防护措施等安全性进行全面检测；

（4）系统脆弱性评估：对操作系统、数据库等安全性进行全面检测；

（5）应用脆弱性评估：对业务应用系统安全性进行全面检测。

2、每季度进行渗透性检测并出具相应报告。

对网络与信息系统存在的漏洞和隐患实施本地及远程渗透性检测与验证。尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段，对云环境下的网络、系统、主机、应用的安全性作深入的探测，发现系统最脆弱的环节，并提交渗透测试报告。

3、安全运维服务。响应供应商需提供以下安全运维服务：

（1）建立设备安全配置基线库：为采购人建立设备的安全配置基线库、定期对采购人现有系统进行脆弱性分析，对采购人开展行业网络信息安全监管工作、网络规划、信息安全建设和安全评审等信息系统相关活动提供技术支持。

（2）信息安全咨询服务：根据系统现状、业务安全需求、法律法规及相关标准要求，为采购人提供信息安全整体建设规划咨询、设计网络结构改造及优化方案、网络技术咨询、安全技术咨询、安全需求分析等服务，完成采购人《安全应急演练方案》。

（3）信息安全支撑服务：统一协调包括IT运维团队在内的运维资源，实时监控采购人指定的信息系统运行状况，及时发现并排除网络运行中的不良因素消除安全隐患。安全服务供应商结合采购人系统现状，在服务期内提供切实可行的项目服务方案（包括但不限于安全评估方案、安全整改方案和安全运维服务方案）。

（4）标准信息安全培训服务：拟定信息安全培训计划，从安全意识、典型的安全事例、安全技术、安全管理等方面，组织相关人员开展行业信息安全专项培训服务。同时为采购人提供1个网络安全相关的专业培训及认证。

（5）新系统上线测试：对新应用系统上线前进行安全检测工作。检测内容：针对系统安全性、保密性、稳定性存在的隐患进行评估，评估范围包括不限于：身份鉴别、访问控制、安全技术、信息保护、入侵防范、恶意代码防范、资源控制等。针对应用系统的安全性进行的评估，分析应用程序体系结构、设计思想和功能模块，从中发现可能的安全隐患。检测范围包括不限于：SQL注入、失效的身份认证和会话管理、跨站脚本（XSS）、不安全的直接对象引用、安全配置错误、敏感信息泄漏、功能级访问控制缺失、跨站请求伪造（CSRF）、使用含有已知漏洞的组件、未验证的重定向和转发等。

（6）网络安全应急响应服务：定期检验采购人应急预案的有效性和可行性；当采购人遭受网络病毒/木马、黑客入侵、DOS攻击等时，派出安全专家团队进行现场排查处理安全事件，保障业务系统的连续性，阻止和减小安全事件带来的负面影响，专家团队必须第一时间通过电话进行远程指导，一小时内到达现场。

（7）合规性协查服务：检查前开展自查，依据标准分析差距，查漏补缺，完成整改，确保系统安全状态高于平均基线，同时在检查时，提供检查所需一切技术配合工作。

（8）安全管理体系建设服务：全面梳理现有管理制度，参照国家及行业相关政策要求以及国内国际权威信息安全管理体系标准，完善采购人信息安全管理体系。

（9）重要时期保障服务：在举行重大活动、处理重要事件、以及特殊保障期（如两会、法定节日、敏感时期等）时，组织专业团队进行安全检查并提供安全值守保障服务。

（10）新建系统专项评估服务：在新建系统上线前，以信息资产为主线，分析信息系统可能面临的威胁，当前存在的弱点，以及弱点被威胁所利用的可能性及影响。

（11）安全预警服务：能结合威胁情报、虚拟化安全防护系统、网站监测及预警平台的安全数据对数据中心安全态势、病毒及漏洞情况做出预警通报及处置工作，实现联动协防和精准管控。

（12）安全风险整改：在获得采购人批准的情况下，完成网站及系统漏洞的修补，数据中心木马、病毒、僵尸主机、APT威胁清理，安全设备策略调整工作。

（二）为采购人提供的重庆市教育系统互联网资产提供漏洞感知服务：

为采购人提供的重庆市教育系统互联网资产漏洞感知服务和Web攻击防护服务，漏洞响应平台白帽子主动发现并收集面向互联网服务的相关系统存在的安全隐患及可利用漏洞，并针对每个漏洞提出专业详实的修复建议。服务要求如下：

1、漏洞响应平台要求：服务提供商或平台制造商需具有独立运营的漏洞响应平台，提供网站URL链接、计算机软件著作权登记证书等证明材料，以证明平台安全可信，保证漏洞挖掘过程可信。

2、平台漏洞挖掘能力：服务提供商或平台制造商2023年期间向国家漏洞信息共享平台（CNVD）提交的原创漏洞数量应不少于35000条，提供相应证明材料。

3、漏洞预警通报：平台应具备通过邮件、短信或APP推送组织单位相关的漏洞信息以及行业高危漏洞预警的能力。

4、平台自身安全性：按采购人要求执行。

5、漏洞感知报告：提供漏洞感知服务报告，报告内容应至少涉及所发现漏洞的详细风险说明、漏洞发现和利用方式说明、漏洞修补建议方案等，同时须明确漏洞回检机制，不限制回检次数，确保将漏洞彻底修复。

6、漏洞感知报告导入“渝教网络卫士”。

（三）为采购人提供数据中心互联网网站的云防护服务：

为采购人互联网网站系统提供7×24小时网站安全云防护服务，服务要求如下：

1、提供云端防护账号交付，以SaaS的方式为采购人提供网站安全防护服务（非硬件盒式WAF、非盒式抗DDoS攻击产品、非集成WAF及抗D功能的防火墙类产品，非虚拟机化WAF）。

2、支持Web攻击防护，支持识别和阻断SQL注入攻击、Cookie 注入攻击、命令注入、跨站脚本攻击、文件包含攻击、LDAP注入、XPATH注入、爬虫攻击、Struts2命令执行攻击等常见的WEB攻击，防止网站敏感信息泄露。

3、支持DDoS攻击防护，支持对SYN Flood攻击、Frag Flood攻击、ACK Flood攻击、UDP Flood攻击、ICMP Flood攻击等常见的流量型DDOS攻击进行清洗。

4、支持CC攻击防护，支持根据进入云平台流量大小来对攻击进行CC攻击判断，即攻击流量超出管理员配置流量阈值后，对攻击源进行HTTP协议验证、JS防御或图片验证防御。

5、支持访问控制功能，支持对在特定时间段内某IP地址或IP地址段是否能够访问特定URL进行访问控制。

6、支持CDN加速缓存功能，支持对CSS、JS、图片、静态HTML、首页、多媒体文件、文档类型、压缩文件等类型进行缓存。支持URL缓存黑白名单功能，可以对特定URL进行是否缓存进行控制。

7、支持一键关闭外部对源站的访问，达到一键关站的效果，并可以指定关站响应码（301,302时可以指定跳转URL）或者制定响应页面，默认响应403。提供界面截图。

（四）为采购人提供数据中心所有主机系统安全防护服务：

为数据中心虚拟化平台提供一套主机安全防护系统，并通过该系统保证虚拟化平台的安全，主机安全防护系统的要求如下：

1、防护主机数要求：为300个以上的虚拟主机提供风险合规管理、webshell、入侵检测等系统安全防护服务。

2、部署及兼容性要求：支持统一部署，对Windows类、Linux类操作系统，物理服务器、虚拟机具备相同的防护模式，统一管理界面，至少支持VMware 、Ctrix、Huawei 、H3C等国内主流虚拟化厂商平台。

3、客户端具有反逆向、反调试功能、自保护功能，客户端和管理中心通信采用安全的加密机制，客户端在安装前后，Linux服务器内核模块无变化。

4、支持实时检测Linux和Windows下的反弹shell行为并产生告警，告警信息能看到事件基本信息如受害主机IP、目标主机IP、目标端口、发现时间等，可看到事件说明，以及以攻击链方式展示的反弹详细过程。

5、扩展能力：扩展支持病毒与恶意代码查杀功能，采用知名杀毒引擎。

（五）为采购人提供数据中心互联网漏洞监测及预警服务：

为采购人所有信息系统提供7×24小时互联网漏洞监测及预警服务，服务要求如下：

1、服务方式要求：采用远端云监测服务方式。支持任意客户端，随时随地通过浏览器进行访问。

2、监测要求：支持检测被监管网站是否存在漏洞，支持告警被监管网站是否存在安全舆情事件，支持多引擎检测挂马事件，发现后以多种方式通知网站责任人。

3、基本功能要求：能高效识别篡改位置和内容，发现后进行告警。支持多引擎扫描网站存在的安全漏洞，至少每周检测一次。有效判断网站是否存在关键词，发现后自动告警提示。HTTP监测、DNS监测，可以自定义检测周期。

4、告警统计及提示要求：支持显示被监管的网站总数、存在事件的网站数、未处理的事件数、下发的通报数、尚未完成的通报数的统计。发生网站故障后，立即判别是否遭受DDOS攻击，15分钟内进行告警提示。

5、可视化要求：支持全国漏洞分布统计可视化。

  6、产生的漏洞扫描报告导入“渝教网络卫士”平台，实现漏洞情报共享机制。

（六）提供安全驻场服务

为采购人单位提供1名具备CISP认证安全驻场工程师，服务内容如下：

 1、完成安全设备日志分析、策略优化、应急处置；

 2、协助采购人进行安全通报及预警；

※注：响应文件中提供项目驻场工程师姓名及其CISP认证证书复印件、以及供应商提供为驻场工程师缴纳的近1个月的社保缴纳证明等资料，以上内容作为合同条款进行约定。签订合同后，若发现驻场人员与响应文件提供人员不同，采购人有权中止合同并追究相关责任。

（七）攻防演练实战团队组建

供应商须提供书面承诺，在服务周期内配合采购人组建一支强有力的攻防演练实战团队。（提供承诺函，格式自拟）

（八）数据中心安全设备维保服务

※为数据中心安全设备购买一年的维保，设备列表如下：

序号	名称	品牌	型号	序列号
1	全流量分析	科莱	PHTSAS3004ST202108313004	TSAS3004ST
2	全流量分析设备重保服务	科莱
3	新一代威胁感知系统（天眼）	360网神	TSS10000-S58	QG0S003229
4	新一代威胁感知系统（天眼）	360网神	TSS10000-S58	QG0S003122

三、项目服务方式

（一）服务采用远程和现场驻场的方式相结合，事件通告方式采用电话、短信和邮件多种途径进行汇报。

（二）为保证服务效率与服务质量，成交供应商组建的专家服务团队应包括日常安全服务与安全加固小组，人数大于等于2人；安全应急响应与重大时刻保障小组，人数大于等于2人；渗透测试小组，不少于1名渗透测试工程师。各小组成员不可兼任。

四、项目服务要求

（一）服务采用的标准

1、提供安全运维服务标准：

服务应参考《GB/T 20984-2022 信息安全技术信息安全风险评估方法》，且符合国家最新相关标准规范。

2、提供互联网资产威胁情报能力服务标准：

服务应参考《GB/T 24363-2009信息安全技术信息安全应急响应计划规范》、《GB/T 20985.1-2017信息技术安全技术信息安全事件管理指南》标准规范进行。

3、提供互联网漏洞监测及预警服务标准：

服务应参考《GB/T 31506-2022信息安全技术政务网站系统安全指南》、《GB/T 28458-2020网络安全漏洞标识与描述规范》标准规范进行。

※（二）服务需达到的标准

每月进行下列安全服务并提交安全月报：

1、漏洞扫描

定期对服务范围内的服务器、网络设备、安全设备、数据库进行全面的漏洞扫描，发现系统面临的威胁以及存在的安全风险，并提交相关过程文档和加固建议。

2、安全检测

定期对服务范围内的对网络设备、服务器操作系统、数据库系统、应用软件系统的安全策略和安全配置进行检查和测试，从中获得相关的信息、发现系统面临的威胁以及存在的安全性。

3、安全评估

定期对服务范围内的整体网络系统进行全面、统一的系统性的安全风险评估，识别和控制网络中的关键资产及可能会产生的安全风险，并对所发现的问题提供优化、改进建议。并根据评估的结果为关键资产建立应急响应预案以及细微调整其后安全维护服务所要监控的内容。

4、策略优化

根据安全评估的结果对系统策略及网络系统进行优化设计，制定调整系统策略优化、网络拓扑优化、安全域规划与配置、IP规划、VLAN优化等策略，并根据实际情况调整与实施。

5、安全加固

根据每年等保测评整改报告、操作系统安全评估及漏洞扫描中发现的问题，对对服务器、网络设备、数据库系统等安全漏洞进行修补，加强安全配置、安全加固处理。

※（三）事件响应要求

应急响应要求	事件级别	响应时间	事件类型描述
	一级事件	小于30分钟	服务器被控制，挂马，篡改首页,重大安全事件，损失较大
	二级事件	小于3小时	服务器被挂马,但服务器没被控制，安全事件，未造成严重损失
	三级事件	小于24小时	服务器存在漏洞，未被入侵，未造成损失