1、项目需求及服务要求1、项目概况为提高省安全监管局全部信息网络系统的安全性和稳定性,拟依托专业技术服务团队对省安全监管局信息系统进行加固优化,并针对各类应用系统进行漏洞检测与修复、安全监测、漏洞跟踪处置等全面安全服务,结合安全巡检、应急响应服务、安全应急预案演练等信息系统安全保障服务及时排除安全隐患。项目预算 10 万元。业务系统包括但不限于:安全生产信息化平台、网站群、OA、行政审批、固定资产、档案管理、财务管理等。省安全监管局网络拓扑图二、服务需求中标服务方需要为用户所有信息网络系统提供全面的信息安全服务, 1 年内 7 天 24 小时不间断服务。省安全监管局信息网络系统需要专业安全服务项目
2、清单见下表,具体服务内容见安全服务具体要求 。序号 服务项目 服务内容1 安全扫描服务每月使用专业工具扫描全部信息网络系统,发现网络安全漏洞及被测系统的薄弱环节,给出详细的检测报告。2 渗透测试服务 对应用系统(网站群、业务系统等)进行渗透测试,查找漏洞。 3 月度巡检服务每月对全部信息网络系统安全运行情况进行巡检,包括关键设备巡检和各系统整体运行情况巡检,出具巡检报告。4 安全加固服务根据安全扫描、月度巡检及渗透测试结果,对重要主机(服务器) 、网络设备、数据库系统进行安全加固;与应用系统开发商合作修补已发现的系统漏洞。5外网业务系统安全防护及监测服务对开放在互联网端的业务系统(网站群等)提
3、供安全防护及监测服务。6网络安全漏洞跟踪与处置对内外网各类应用系统提供最新安全漏洞跟踪与处置服务。7 安全应急响应 提供各种网络安全问题的应急响应技术服务。8 安全应急预案与演练 为省安全监管局提供信息网络系统安全应急预案演练与修订服务。9 等级保护相关工作协助省安全监管局对需要进行等级保护的业务系统,提供定级备案、测评前期准备、安全整改等工作,并协助完成等级保护的测评认证。10假期及重要时段技术值班保障提供全年节假日和重要时段安全技术值班保障服务。(一)安全服务具体要求:.安全扫描服务每月安排安全专家定期通过系统安全扫描工具,分析并指出网络安全漏洞及被测系统的薄弱环节,给出详细的检测报告,形
4、成安徽省安全监管局信息网络系统安全扫描报告 ,并针对检测到的网络安全隐患给出相应的修补措施和安全建议,协助省安全监管局完成安全整改。.渗透测试服务对安全生产信息化平台、网站群、OA、行政审批、固定资产、档案管理、财务等所有业务应用系统等进行黑盒渗透测试,主要用于发现各应用系统可能存在的口令明文传输、暴力破解、认证绕过、SQL 注入、溢出、XSS、目录泄露、敏感文件下载、旁站等安全问题。针对黑盒测试发现的问题形成安徽省安全监管局业务系统渗透测试报告 ,此报告为后续各应用系统的加固优化提供明确的针对性。在实施完针对性的优化加固服务之后,如应用系统有更新,还需要针对更新后的系统再做一次黑盒测试,主要
5、目的为验证加固和优化服务的有效性,并提供安徽省安全监管局业务系统加固后渗透测试复查验证报告 ,给出相应的修补措施和建议,协助省安全监管局完成安全整改。.月度巡检服务结合国家信息系统等级保护的要求,组织相关技术力量完成重要应用系统、网络环境和安全设备检查方案,每月对安徽省安全监管局网络、主机、安全设备等物理环境和各类软件应用系统进行一次全面检查,并在对检查中发现的问题进行整改,形成检查报告和整改方案。同时,配合安徽省安全监管局对上级主管部门要求的安全检查项开展安全检查(不定期开展) ,并形成报告提交。通过定期检查及不定期检查,及时发现信息系统中存在的问题,提高信息网络系统整体安全水平,建立常态化
6、的信息安全检查机制。巡检服务之后出具安徽省安全监管局安全巡检月度报告 ,在巡检过程中发现的异常问题,必须及时提供应急响应服务,第一时间解决巡检过程中发现的异常问题,并提供安全巡检异常记录反馈表和异常问题分析解决报告 ,给出相应的整改措施和建议,协助省安全监管局完成安全整改。.安全加固服务根据安全扫描、月度巡检及渗透测试的结果,明确安全整改的对象和内容,进行科学合理的优化和加固,主要包括以下内容:()系统资产加固:对省安全监管局信息系统和业务运行环境中的相关服务器、网络设备、安全设备、操作系统、数据库、中间件等进行配置加固、优化和升级等工作。该服务项实施之后,提供安徽省安全监管局信息系统配置优化
7、报告 ,并出具相应的安徽省安全监管局信息系统配置基线文档 ,作为后续信息系统运维管理的重要基准数据。()业务系统加固:针对渗透测试形成的安徽省安全监管局业务系统渗透测试报告进行漏洞修复。涉及到应用程序或代码,积极配合程序开发商修复漏洞,确实无法修复的漏洞需要出具报告并说明原由及影响,并且利用其他方法解决漏洞无法修复的问题。5.外网业务系统安全防护及监测服务主要包括以下内容:外网业务系统防护:支持防跨站、防 SQL 注入、防篡改、防木马、防黑客攻击、系统默认使用标准防护,支持高级防护和一般防护两种设置;高防 DNS:DNS 专用防护带宽储备不低于 100G;网站防泄密:支持阻止普通用户通过正常的
8、网页访问请求轻易获取网站敏感信息;防 DDOS 攻击:至少 600G 带宽储备,实时攻击检测和防御 DDoS 攻击;支持警告页面:支持报警、断开连接、给客户端发送警告页面三种方式;网站永久在线:支持当服务器收到攻击或者关闭时保证网站可以访问;内容缓存:支持缓存网站静态资源到服务器,减少资源传输时间;支持缓存的内容以及缓存内容的时间,可缓存 JS、CSS、图片、HTML、首页等信息;支持手动刷新服务器缓存,支持刷新单个 URL 缓存;浏览器访问加速:支持将访问内容缓存在访问者的浏览器上,用户无需请求即可对网站访问,支持时间段设置并可以和源站同步;页面加速:支持对原页面 HTML、CSS、JS 等
9、文件,进行压缩减少网络传输的时间,提高网页的加载速度;Web 漏洞扫描:双引擎 Web 扫描技术,更多的漏洞发现率支持控制扫描压力控制 HTTP 请求个数;深度扫描:支持正常扫描和深度扫描;漏洞详情报告:支持漏洞扫描报告,输出扫描详情,并支持用电子邮件形式发送结果到邮箱;响应时间监控:支持网站相应时间监控;可用率监控:支持网站可用率统计监控;安全周报:支持在线生成安全周报,周报内容包括不限于:本周安全等级、攻击数量统计、CC 攻击数攻击趋势、Web 漏洞攻击趋势、CC 攻击全国分布统计、Web 攻击全国分布统计等信息;扫描报表:支持在线生成和导出扫描报表,并以高、中、低、提示、安全5 个级别输
10、出 Web 漏洞扫描结果;月度监测报告:每月月底向省安全监管局提供外网业务系统监测报告 。6.网络安全漏洞跟踪与处置每日追踪 CNVD(国家信息安全漏洞共享平台) 、CNNVD(中国国家信息安全漏洞库) 、补天漏洞响应平台、漏洞盒子等互联网第三方漏洞平台提交的最新的漏洞。针对省安全监管局及其直属事业单位、各市安全监管局互联网应用最新暴露在互联网第三方漏洞平台的相关漏洞信息进行及时的记录和验证,形成安徽省安全监管局每日漏洞报告表 ,并在第一时间通知省安全监管局;协助省安全监管局到相关漏洞平台注册认领相应漏洞,获取漏洞相关细节;协助省安全监管局联系相关应用开发商,沟通说明应用漏洞情况,要求应用开发
11、商修补相关漏洞;在应用开发商修补相应漏洞后,对其修补的效果进行进一步的验证,以明确漏洞修补的有效性。7.安全应急响应应急响应服务针对省安全监管局所有信息系统,包括关键的信息系统设备、网络基础设施、核心业务应用等。当信息系统出现故障、恶意攻击、安全事件、病毒木马、性能下降等等异常问题时,服务方必须现场帮助用户分析、定位信息系统相关异常的原因、源头等,并根据分析的结果,提供相对应的解决方案,保障信息系统的正常稳定运行。在省安全监管局网站群及其他业务系统出现被黑客入侵、挂马、篡改等安全事件之后,提供分析、取证、追踪、恢复、加固等全方位的技术支持服务。根据服务器操作系统和业务系统日志的深入分析,发现入
12、侵的痕迹,明确黑客入侵的时间线、IP 地址,定位黑客入侵的方式、利用点,梳理黑客入侵进入网站之后的行为和动作。针对分析的结果,清理后门和木马程序,删除黑客上传或生成的垃圾文件,协助省安全监管局修补相关系统漏洞,完善各类系统的安全防护策略,有针对性地加固网络安全防护体系,并出具详尽的分析和处理报告8.安全应急预案与演练根据省安全监管局信息网络系统实际情况,针对性地制定和修订信息网络系统应急预案,并根据应急预案,至少提供一年一次的应急演练。在应急演练过程中,需要保留应急演练过程文档。9.等级保护相关工作针对省安全监管局需要进行等级保护建设的应用系统,协助完成系统定级备案、测评前期准备、安全整改等工
13、作,根据等保测评报告制定整改方案和具体措施,协助省安全监管局完成整改工作。10.假期及重要时段技术值班保障服务在五一、十一、元旦、春节等主要节假日及重要时段,供应商需安排专业的安全工程师值班,全天 24 小时随时待命,及时提供现场安全应急技术支持服务。(二)服务提交成果根据具体的服务内容,供应商应及时出具以下服务交付文档:安徽省安全监管局安全扫描报告安徽省安全监管局业务系统渗透测试报告安徽省安全监管局安全巡检月度报告安徽省安全监管局安全巡检异常记录反馈表 (如果有)安徽省安全监管局信息系统异常问题分析解决报告 (如果有)安徽省安全监管局信息系统配置优化报告安徽省安全监管局信息系统配置基线文档安
14、徽省安全监管局系统漏洞清单及修复报告安徽省安全监管局外网业务系统安全监测报告安徽省安全监管局每日漏洞报告表 (如果有)安徽省安全监管局某某系统漏洞测试验证报告 (如果有)安徽省安全监管局网络应急预案安徽省安全监管局应急演练方案安徽省安全监管局应急演练报告异常问题应急响应处置报告某某公司假期技术值班安排通知三、报价要求供应商的报价为满足但不限于实施上述各类技术服务的固定总价,在一个服务年度内不得以任何理由向采购人提出其他费用。四、服务质量的考核安全服务情况考核在合同期第 3 个月和第 5 个月由省安全监管局组织开展两次,每次考核总分满分 100 分。考核评级优秀:80100 分(含 80 分)
15、;合格:6080 分(含 60 分) ;不合格:60 分以下。考核原则 务单位考核得分合格的,按照合同约定执行。服务单位考核出现一次不合格的,扣减 5%的维护服务费,并出具整改意见和更换不合格驻点运维工程师。连续 2 次考核评分结果为“不合格” ,扣减10%的服务费,同时,省安全监管局有权立即终止合同,违约责任由服务单位承担。安全服务考核表严格安全服务人员管理:行为规范、工作职责、技能要求等 10现场安全服务人员服从省安全监管局工作安排、遵守各项制度、团结合作、服务态度好 10应急响应及时情况 15完成故障处理情况 15积极与第三方厂商协同合作,不推诿扯皮 10未发生严重网络安全事件 20完全
16、提供合同要求的服务事项 15100 分提交服务成果文档及时、规范、完整 5五、其他要求供应商的服务于本项目的本地化服务团队的成员至少包含 3 名及以上信息安全专业技术人员,且至少具有 CISP 工程师、等级保护测评师、微软认证操作系统 MCP 工程师、oracle 数据库认证工程师等认证技术人员。供应商在投标时,须提供本项目拟服务支持团队所有成员的相关证书复印件、社保证明、就业合同等复印件并加盖供应商公章,中标公示期内提供原件交省安全监管局核查。项目组成员一旦确定,在整个项目期内不得随意更换。若更换,必须提前经省安全监管局书面认可。供应商的项目组在现场服务时间不得低于 200 人日,从而保证安
17、全服务的质量。供应商需在响应文件中提供内容如下的服务承诺函:我公司在以往的安全服务项目中未出现因我公司的原因造成的重大网络安全事故,否则视为违约。若我公司中标,将在合同签订前向采购人提供互联网安全服务团队成员相关服务能力、社保证明、就业合同等材料,逾期未提供或提供不全的,视为违约。如我公司违约,采购人有权中止合同并上报财政厅监管部门,一切后果由中标人自行承担。我公司中标后即为用户网络信息安全的第一责任人,承担相关法律责任。服务期间,用户如因我公司的原因导致重大网络安全事件,则按照合同约定承担责任。供应商必须采用成熟、业界先进的商业硬件漏洞扫描工具进行漏洞扫描,保证对目标系统无大的影响以及扫描结
18、果的准确性和可信度。投标方需在投标书中明确将使用的安全或扫描工具。供应商需对省安全监管局信息系统进行调研,建立信息资产库,安全服务的过程不能对系统性能有大的影响,不能影响业务系统的正常运行,如服务过程有可能对目标系统造成严重影响,须事先知会用户并经过书面同意,否则一切责任由供应商承担。供应商有义务在中标后,与用户签订保密协议,对用户的各类文档、资料、代码及相关信息具有保密责任,承诺未经用户书面许可,不得泄露。供应商参加本次项目的所有人员,均应和省安全监管局签署保密协议。所有与本项目相关的重要数据、往来信件,在传输、传递过程中均应加密。本次项目结束后,供应商应彻底删除用户相关的网络拓扑、IP 地址、设备配置等信息,并不保留任何电子或纸质的备份。六、付款方式服务费用分 3 次支付,合同签订后支付合同金额的 40%;在项目服务第一次考核合格后,支付合同金额的 50%;在项目服务第二次考核合格后,支付合同金额的 10%。
