网络安全运维服务（JJ2024000078）采购公告

正文内容

项目名称 网络安全运维服务 项目编号 JJ********** 公告开始日期 ****-**-** **:**:** 公告截止日期 ****-**-** **:**:** 采购单位 **** 付款方式 合同签订后，甲方向乙方支付**%货款，服务完成后，甲方向乙方支付**%货款。 联系人 成交后在我参与的项目中查看 联系电话 成交后在我参与的项目中查看 签约时间要求 成交后**个工作日内 到货时间要求 预算总价 ￥ ******.** 发票要求 增值税普通发票 增值税专用发票 含税要求 送货要求 安装要求 收货地址 供应商资质要求 符合《政府采购法》第二十二条规定的供应商基本条件 公告说明 采购清单* 采购商品 采购数量 计量单位 所属分类 网络安全运维服务 * 项 安全运维服务 无 无 品牌 品牌* 型号 品牌* 型号 品牌* 型号 品牌* 型号 品牌* 型号 品牌* 型号 预算单价 ￥******.** 技术参数及配置要求 *.等级保护咨询服务 根据国家、地方、行业的等级保护相关政策和标准要求，分析等级保护对象的具体情况，协助完成*个三级，≥*个二级信息系统的风险分析、差距分析、整改加固、安全管理制度完善、测评现场辅助的工作。配合通过网络安全等级保护测评。 （*）等保资产分析服务，根据等级保护范围内的资产组成，整理各个系统的网络结构拓扑以及相关联的资产，梳理信息系统资产清单；对服务范围内信息系统开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度进行梳理。依托资产管理服务工具，能够展示业务数据定级状态、信息完整度、指标差距、安全风险情况及系统基础软件数量、每个业务数据的指标情况、整改情况、安全风险情况。提供服务工具具有CMA或CNAS资质的检验检测机构出具的检测报告（检测报告包含报告首页、对应功能测试页和报告尾页）。 （*）等保差距评估服务，根据《GB/T *****-**** 信息安全技术 网络安全等级保护基本要求》将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析，从管理和技术两个层面找出存在的问题并进行差距分析。 （*）等保安全评估服务，对应用系统常见威胁进行评估并根据等级保护要求结合信息系统具体情况进行等级保护安全测试评估工作。依托服务工具能够发现网页木马(webshell)，支持对反动、赌博、色情等内容进行检查，检查的目标文件类型不限，可同时支持PHP、ASP、JSP、ASPX、JSPX等脚本类型；支持导出检测结果。提供服务工具具有CMA或CNAS资质的检验检测机构出具的检测报告（检测报告包含报告首页、对应功能测试页和报告尾页）。 （*）安全整改加固服务，根据等级保护基本要求以及风险分析结果，派遣专业工程师辅导安全整改加固，满足等保要求。 （*）管理制度辅助建设服务，协助对安全管理制度进行优化，按照等级保护管理部分的标准，补充及完善等级保护要求的管理体系建设中涉及到的制度文档，以及相关记录的完善。 （*）等保复测评辅助服务，在测评阶段协助准备测评材料，配合开展等级测评工作，组织测评整改，并辅助客户顺**过等保测评获得测评报告。 要求本项目采用等保服务工具能够对信息系统进行等保综合管理，具有等保安全技术评估、安全管理制度管理、资产信息梳理等功能，提供服务工具具有CMA或CNAS资质的检验检测机构出具的检测报告（检测报告包含报告首页、对应功能测试页和报告尾页）。 *.等级保护测评服务 按照《信息安全等级保护管理办法》《信息安全技术网络安全等级保护基本要求》（GB/T *****-****）、《信息安全技术网络安全等级保护测评要求》（GB/T*****-****）、《信息安全技术网络安全等级保护测评过程指南》（GB/T*****-****）、《信息安全技术网络安全保护等级实施指南》（GB/T ***** ****）的要求，对等级保护服务范围内的系统开展等保测评。测评内容包括： （*）安全物理环境： 包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护方面。 （*）安全通信网络： 包括网络架构、通信传输、可信验证方面。 （*）安全区域边界： 包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证方面。 （*）安全计算环境： 包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护方面。 （*）安全管理中心： 包括系统管理、审计管理、安全管理、集中管控方面。 （*）安全管理制度： 包括安全策略、管理制度、制定和发布、评审和修订方面。 （*）安全管理机构： 包括岗位设置、人员配备、授权和审批、沟通和**、审核和检查方面。 （*）安全管理人员： 人员录用、人员离岗、安全意识教育和培训、外部人员访问管理方面。 （*）安全建设管理： 定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择方面。 （**）安全运维管理： 环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安全事件处置、应急预案管理、外包运维管理方面。 等级保护测评服务交付成果（包括但不限于）：《信息安全等级保护等级测评报告》（测评报告内容及格式严格遵照《信息系统安全等级测评报告模版》）。 *.渗透测试服务 服务期限内，提供一次渗透测试，渗透测试服务对象≥**个应用系统。安排安全攻防专家人员针对目标系统开展黑客模拟攻击渗透测试服务，全面检测被测系统安全性。 （*）渗透测试应至少包括但不限于WEB应用系统渗透、主机操作系统渗透、数据库系统渗透。 （*）渗透测试方法需模拟黑客入侵思路与技术手段，以人工渗透为主，工具为辅，工具包括但不局限于：信息收集工具、扫描工具、口令猜测工具、脚本测试工具等。 （*）渗透测试大项包括但不局限于配置管理、身份鉴别、认证授权、会话管理、输入验证错误处理、业务逻辑等。 （*）渗透测试方法包括但不局限于:信息收集、端口扫描、公网登录口的口令猜测、远程溢本地溢出、脚本测试、目标系统权限获取等。 （*）测试服务方式需包括但不限于:现场测试与远程测试、黑盒与白盒测试。 （*）服务结束后需编写渗透测试报告并提交给学校，需对业务系统中存在的安全隐患以及专业的漏洞风险提供专业的处置建议，报告内容应包括但不限于：信息系统整体安全状况综述、具体发现的漏洞、漏洞产生的原理、漏洞危险程度、测试用例、修复建议等。待系统修复漏洞后，对渗透测试中发现的问题进行复测，以确认漏洞得到修复。 （*）要求本项目的安全服务商具备原创漏洞挖掘技术能力，在国家信息安全漏洞共享平台（CNVD）上报的漏洞积分不低于***分。投标时提供国家信息安全漏洞共享平台官网的查询结果。 *.上线测试服务 针对新上线的≥**个业务系统进行安全检测和上线测试服务，将风险杜绝在系统上线前，促进客户加强安全体系建设，提升整个体系安全防护能力。上线测试覆盖配置管理、身份认证、会话管理、授权测试、上传下载、信息泄漏、数据存储；也覆盖XSS跨站脚本攻击漏洞、SQL注入漏洞等OWASP **大漏洞，并提交上线测试报告。服务内容包含不限于一下： （*）配置管理测试，主要测试内容包括敏感目录遍历、敏感接口测试、Robots方式的敏感接口查找、 Web服务器的控制台、文件备份测试、 HTTP方法测试、历史高危漏洞测试等方面测试。 （*）认证测试，主要测试内容包括登录验证码、认证错误提示、锁定策略、认证绕过、找回密码、修改密码、安全的数据传输、强口令策略、手机验证码、撞库、接口滥用等方面测试。 （*）会话管理测试，主要测试内容包括会话变量泄露、 Cookie属性测试、 Cookie存储方式测试、用户注销登陆的方式、注销时会话信息测试、会话超时时间测试、会话固定测试等方面测试。 （*）授权测试，主要测试内容包括绕过授权模式测试、横向越权测试、纵向越权测试、管理后台对外开放测试、后台页面未授权访问测试、中间件未授权访问测试等方面测试。 （*）文件上传下载测试，主要测试内容包括 HTTP PUT/MOVE上传文件测试、页面上传测试、文件下载测试等方面测试。 （*）信息泄露测试，主要测试内容包括连接数据库的帐号密码加密测试、客户端源代码敏感信息测试、客户端源代码注释测试、不安全的存储、注册手机号批量获取、 Json敏感信息测试等方面测试。 （*）数据验证测试，主要测试内容包括跨站脚本类测试、SQL注入类测试、命令执行测试等方面测试。 *.安全巡检服务 服务期限内，每季度提供一次安全巡检服务，巡检内容包含资产评估、入侵清查、漏洞扫描、策略有效性核查、辅助加固等，服务结束后输出报告。 安全巡检服务对象要求包括但不限于，≥**个业务系统，及其支撑基础网络设备。 （*）资产评估服务，对服务对象的业务系统、网络结构、信息资产等进行识别，根据资产的表现形式对资产进行分类和分析。 （*）入侵清查服务，服务器入侵清查内容包含网页木马查杀，深入检查包括上传图片、文本、脚本以及其他可疑的网站后门程序；系统后门检查，重点发现绕过杀毒软件的系统后门；入侵痕迹检查，对账号、启动项、进程、网络连接等进行检查，保证应用系统所属基础运行环境的安全；日志分析，根据系统层日志、安全日志、应用层日志以及其他特征发现网站入侵痕迹，避免黑客使用隐藏账户等躲避检查的安全隐患。依托服务工具能够自动识别隐藏账号，能够自动识别异常进程，能够自动识别并标识木马后门，能够自动识别异常网络连接。提供服务工具具有CMA或CNAS资质的检验检测机构出具的检测报告（检测报告包含报告首页、对应功能测试页和报告尾页）。 （*）漏洞扫描服务，通过使用安全漏洞挖掘工具和在线检测平台等方式，来测试和识别当前网络中的安全漏洞和存在的安全脆弱性，全方位检测网络中的各类脆弱性风险，提供专业、有效的安全分析和修补建议。依托服务工具能够进行web扫描、弱口令扫描、POC扫描和版本漏洞扫描等，能够对漏洞进行邮件、微信等推送通告，扫描后可生成漏洞报告，能够通过文字、图等直观展示漏洞详情，投标时提供满足以上要求的漏洞扫描服务工具的功能截图。 （*）策略有效性核查服务，策略有效性核查内容包含网络安全设备运行状态查看、安全配置排查、日志系统分析、特征库升级情况查看等。 （*）辅助加固服务，根据安全巡检分析的结果，提供专业的安全加固建议，派遣专业工程师到现场辅助加固,包含安全策略优化辅导、服务器病毒检查与清理，提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议；加固完成后，对加固后的系统脆弱性进行复查。 *.应急响应服务 提供*×**小时远程支持服务，在出现安全事件时，*分钟内启动应急响应，**分钟内远程及时对事件进行详细分析、定位、排查；**分钟内到达现场服务。提供承诺函。 应急响应过程中由工程师根据相关人员、设备等反馈的攻击信息，对正在发生或者已经发生的安全事件加以处理，对流量日志、主机日志、应用日志进行分析审计、溯源等操作，找出事件根源所在；协助及时修复漏洞、复查漏洞、整改问题，控制安全事件的进一步扩大，确保系统的安全、可靠运行，提供应急响应报告。 *.应急演练服务 提供一次安全应急演练服务，进行体验式的安全意识教育。对信息安全管理、技术等相关人员提高网站安全突发事件的组织指挥能力和应急处置能力有积极的作用。 (*) 网络与系统安全应急预案 根据用户单位实际需求，定制*个预案场景的《安全应急预案》。 (*) 网络与系统安全应急演练 针对*个预案场景进行应急演练，并提交《安全应急演练报告》。 *.重保服务 服务期限内，提供护网防守保障服务，主要内容包含护网前期安全风险自查工作、安全整改加固、护网期间监测保障、人员现场值守、护网期间溯源分析、护网期间应急处置、演练后汇报总结服务，并提交防守保障报告。 （*）安全风险自查服务，自查工作内容包含资产梳理、网络架构安全评估、安全策略有效性排查、口令审计及漏洞扫描、互渗透测试、服务器入侵清查、渗透测、基线配置核查、主机安全防护情况排查、目标系统、重要系统区域隔离情况排查等。 （*）安全整改加固服务，整改加固包含强口令、外部访问权限、内部访问IP、业务系统所在网络区域优化、访问控制策略优化，协助进行应用系统漏洞验证和整改。 （*）安全监测保障服务，通过现有的安全监测相关工具结合安全专家团队在客户现场，安全监测分析，对网络中异常流量进行检测分析，及时发现可疑的执行文件和网络流量，针对潜在的未知攻击进行预警。要求护网期间将采用安全监测工具，能够监控黑客入侵过程中修改系统账号、创建敏感文件、植入Rootkit后门等行为。投标时提供功能演示，要求通过模拟黑客利用系统漏洞，向被监控的应用系统主机添加隐藏账号(例如：hack$)，主机安全监控系统应能在*分钟内生成相关的告警，并能够查看告警信息和对应的黑客添加的系统账号名称。提供通过光盘或U盘的录屏演示（录屏演示时间为*至*分钟）。 （*）溯源分析服务，派工程师在现场保障值守，现场工程师对监测发现的网络风险、主机风险、网站风险进行统筹溯源分析，对流量日志、主机日志、应用日志进行分析、审计、溯源等操作，找出事件根源所在。依托分析服务工具能够实现IP地址查询，可对输入单个IP或批量IP地址的归属地进行查询，IP与威胁情报库进行联动，能够自动识别勒索软件、傀儡机、Cobaltstrike等类型的威胁。提供服务工具具有CMA或CNAS资质的检验检测机构出具的检测报告（检测报告包含报告首页、对应功能测试页和报告尾页）。 （*）应急处置服务，根据攻击信息，对正在发生或者已经发生的安全事件加以处理，及时修复漏洞、复查漏洞、整改问题，控制安全事件的进一步扩大，确保系统的安全、可靠运行。 （*）汇报总结，对防守过程事宜进行各方协调、汇报工作；撰写总结报告；推进整改问题和复查漏洞。 （*）同时提供全国两会等重要时期保障服务，服务期限内，需在具有重大政治时期加强网络安全保障力度，加强重要网站监测，防范重大网络安全事件的发生，保证学校外网信息系统的安全稳定运行。投标人提供项目人员为专业团队，且需参与现场保障支持，对威胁告警事件进行分析处置，投标人需定期输出安全值守保障报告并向安全保障指挥领导小组汇报。▲包括但不限于专家现场安全保障服务、高级攻击诱捕服务、高级威胁情报研判获取服务、攻击预警阻断服务、应急响应处置服务及攻击追溯溯源服务。 *.安全培训服务 （*）安全技术培训服务，提供*个课时的安全技术培训，时长**分钟，培训内容包括但不限于以下方面：网站安全防护与维护、网站安全开发、应急响应、等保安全建设、网络安全技术攻防等培训。 （*）安全意识培训服务，提供*个课时的安全意识培训，时长**分钟，培训内容从个人电脑安全、邮件安全、移动安全、日常工作生活等维度进行强化参训人员的安全意识培训。 **.网站安全监控服务 通过专业的网站安全监控平台对网站进行监控，定期汇总安全监控情况，并提交详细的监控报告。网站安全监控主要包含以下服务： 全年每隔*分钟一次对网站首页进行轮询探测，网站访问不到则通过邮件或短信等方式进行告警，确保网站的可用性、安全性实时掌控。网站监控工具支持全球***个互联网监测节点，不间断的对目标网站进行可用性监控告警，能同时满足不少于*种类型的监控：网站（http/https）、ping、DNS、FTP、TCP、UDP、TraceRoute、WebSocket等，并且同时支持IPv*、IPv*网络协议监控，投标时提供满足以上要求的网站安全监控工具的功能截图。 还能提供如下功能: 实时告警功能，满足用户对于告警分级、事件响应与处理、分析需求 ； 实时查看最新告警监控项目，快速定位故障异常，及时掌握恢复信息； 可设置从*分钟到**分钟等不同网站监控频率； 故障汇总统计、通过快照进行故障分析、告警消息汇总统计； 允许通过邮件、短信、微信等方式及时接收告警通知。 参考链接 售后服务 质量保证期:验收合格之日起算一年;服务网点:省内;维修响应时限:报修后**小时内响应;电话支持:*×**小时;备用机:**小时内无法排除故障，免费提供同档次备用机;质保期外:质保期外承担终身维修服务，维修过程只收取配件费，且以最优惠价格提供; **** ****-**-** **:**:** 报名地址:https://app.yuncaitong.cn/login.html