网络与信息安全服务需求公示采购
发送至邮箱
网络与信息安全服务需求公示采购
( (略) 市大数 (略) * -2 (略) 络与信息安全服务项目 )需求公示
项目名称
(略) 市大数 (略) * -2 (略) 络与信息安全服务项目?采购类型
服务类?采购人名称
(略) 市大数 (略) ?采购方式
公开招标?财政预算限额(元)
点击查看>> ?项目背景
(略) 市大数 (略) (以下简称“采购人”)作为 (略) 市电子政务公共资源的建设和运营单位,负责建设、 (略) 维 (略) 络平台( (略) 出口)、 (略) 、政务信息资源目录体系与交换体系、 (略) 、安全支撑平台等电子政务基础设施;负责建设、 (略) 维护政务信息资源交换平台、人口法人基础库和其他市级公共政务信息资源;负责建设、 (略) (略) (略) 技术平台和电子政务公共应用平台, (略) 生成平台、政务邮件系统、政务短信平台和其他应用支撑平台;承担全市电子政务建设的 (略) 评估工作;协助市级党政机关按照全市统 * 规划开展电子政务建设,向委托单位派驻人员提供技术指导和支持。
为贯彻落实《中华 (略) 络安全法》、网络安全等级保护制度2.0标准等相关法律法规和国家标准, (略) 开展“ (略) 动”专项工作的要求, (略) 络和信息系统及平台实战化、体系化、 (略) 络安全保护体系,特别是提高采购人关键信息基础设施安全防护水平,采购人立项采购“ * -2 (略) 络与信息安全服务项目”。
本项目服务内容主要包括安全通用服务和数据安全治理专项服务。安全通用服务从安全管理、安全技术、安全运维 * 个方面开展安全建设,打造运营服务化、管理 * 体化、事件可预警、事故可追溯、安 (略) (略) 体系。
(略) 涉及各类IT资产约 * 余台/套,包括各类服务器、网络设备、安全设备以及虚拟机等 * 余台/套,数据库系统及中间件 * 余套,涉及华为、华 * 、 * 骨文等众多国内外主流品牌。采购人建设、 (略) 维护的平台和系统 * 多个, (略) 站系统5个,等保备案系统 * 个(等保 * 级系统4个、等保 * 级系统8个,被列入关键信息基础设施候选名录4个)。
??投标人资质要求
服务类清单
| 序号 | 采购计划编号 | 需求内容 | 数量 | 单位 | 备注 | 财政预算限额(元) |
|---|---|---|---|---|---|---|
| 1 | PLAN- 点击查看>> * ? | (略) 市大数 (略) * -2 (略) 络与信息安全服务项目? | 1.0? | 项? | ? | 点击查看>> .0? |
具体技术要求
本项目拟采购的服务内容主要分为安全通用服务(包括安全管理、安全技术、安全运维)、数据安全治理服务等两个方面,服务清单列表见下表,具体技术要求及服务要求见附件。
* 、安全通用服务 * 览表
序号 | 服务类别 | 服务子项 |
安全管理服务-安全制度建设服务 | ||
1 | 安全管理制度 | M1:网络与信息安全工作责任制 |
2 | M2:安全审查管理办法 | |
3 | M3:网络与信息安全应急预案 | |
4 | 安全管理机构 | M4:安全管理机构 |
5 | 安全管理人员 | M5:安全管理人员 |
6 | 安全建设管理 | M6:等 (略) 级备案管理 |
7 | M7:安全建设管理 | |
8 | 安全运维管理 | M8:安全事件管理 |
9 | M9:安全管理 * 员特权权限管理? | |
* | M * :安全配置变更管理 | |
* | M * :风险和漏洞管理 | |
* | M * :安全审计管理 | |
* | M * :安全基线管理 | |
安全管理服务- (略) 培训服务 | ||
1 | (略) 类 | C1: (略) 服务 |
2 | C2:密码应 (略) 服务 | |
3 | 安全培训类 | C3:安全管理与意识培训 |
4 | C4:网络安全专业技术培训 | |
5 | C5:定制化培训 | |
安全技术服务-安全技术防护服务 | ||
1 | 安全监测审计类 | T1:网站安全监测服务 |
2 | T2:日志审计服务 | |
3 | T3:风险和漏洞管理服务 | |
4 | T4:网络自动扫描探测服务 | |
5 | T5:网络恶意代码防范服务 | |
6 | T6:主机防护和恶意代码防范服务 | |
安全运维服务-安全日常运维服务 | ||
1 | 日常运维类 | D1:安全检查服务 |
2 | D2:等级保护测评支持服务 | |
3 | D3:漏洞扫描服务 | |
4 | D4:基线核查服务 | |
5 | D5:安全技术支撑服务 | |
6 | D6:日常运维服务 | |
7 | D7:运维审计服务 | |
8 | 安全情报类 | D8:威胁情报服务 |
安全运维服务-安全专项运维服务 | ||
1 | 应急保障类 | P1:应急响应服务 |
2 | P2:重大保障服务 | |
3 | 安全专项类 | P3:渗透测试服务 |
4 | P4:应急演练服务 | |
5 | P5:风险评估服务 | |
6 | P6:代码审计服务 | |
?
* 、数据安全治理专项服务 * 览表
数据安全治理服务 | ||
序号 | 服务类别 | 服务项 |
1 | 数据安全管理类 | B1-1:数据安全管理:组织架构 |
2 | B1-2:数据安全管理:规章制度 | |
3 | B1-3:数据安全管理:流程规范 | |
4 | 数据安全治理类 | B2:数据库特权帐号管理服务 |
5 | B3:数据分类分级 | |
6 | 数据安全技术类 | B4:数据库安全运维管理服务 |
商务需求
?
* 、付款方式1、项目合同签订后采购人支付安全服务费总额的 * %。中标人须在合同签订后 * 个工作日内提供合同总款项 * % (略) 履约保函及服务承诺函,项目验收后 * 个工作日内退还。2、进场验收合格后采购人支付合同总款项的 * %。
* 、验收要求1、进场验收:验收内容 (略) 人员数量核查、资质审核、背景审查、能力考核,专 (略) * 资料审核,工具数量和资质审核等内容。 (略) 人员数量必须不少于4人,相关资质证书满足招投标文件要求,无犯罪记录,并通过采购人组织面试、笔试等形式的能力测试;核查提供专 (略) * 人员名单,且需要满足招投标文件要求的人数、工作经验年限以及资质要求; (略) 自备工具数量是否满足招投标要求,检查 (略) 数量、品牌、型 (略) 商授权。
2、期中验收:中标人提交期中验收报告,通过由采购人指定的第 * 方运维服务质量评估机构检查,服务评分在 * 分及以上且通过采购人审核,完成期中验收。如服务评分未达到 * 分,则扣除安全服务费总额5%予以扣除作为服务补偿。服务评分指标项见安全管理、技术、运维服务的服务SLA。
3、项目终验:中标人提交项目终验报告并且交接(包括工具割接)完成后,通过由采购人指定的第 * 方运维服务质量评估机构检查,并通过采购人或采购人指定的验收评审(若评审涉及评估费、专家费等,由中标人承担),且服务评分在 * 分及以上,完成项目验收。如服务评分未达到 * 分,则扣除安全服务费总额5%予以扣除作为服务补偿。服务评分指标项见安全管理、技术、运维服务的服务SLA。
4、关键服务考核要求:
(1)中标人在服务期内发生被通报的中高危漏洞累计数不应超过 * 个,如在服务期内累计超过 * 个中高危漏洞(中危漏洞为可利用漏洞),则安全服务费总额5%予以扣除。
(2)中标人在服务期内应避免发生同样漏洞问题被重复通报,加强漏洞发现、监测、处置、修复检测等全生命周期的闭环管理,若中标人未完成闭环管理,造成漏洞问题被重复通报,扣除安全服务费总额3%。
(3)中标人在获得最新漏洞情报,应该立即开展风险检查,并与相关系 (略) 确认,根据检查及确认结果,协 (略) 理,如存在因中标人未及时开展风险检查,导致发生被通报3次及以上,则安全服务费总额3%予以扣除。
(4)中标人开展漏洞扫描工作时,因工具配置不当、使用不熟练以及其他严重工作失误等人为原因,导致明显的高危风险或漏洞(如空口令)未被检测发现,则安全服务费总额3%予以扣除。
(5)中标人应制定详细的安全服务计划方案,协助采购人顺 (略) 过年度安全联合检查,确保不发生绩效评分项扣分情况,若发生绩效评分项扣分的情况,则安全服务费总额3%予以扣除。
(6)中标人应协助采购人做好等级保护年度测评及整改,中标人应根据实际情况提供整改建议,且必要时须临时提供可能缺失的安全产品/设备/工具, (略) 有等保系统通过测评,若由于中标人没有提供整改建议或未能临时提供相关安全产品/设备/工具,发生等保系统未通过测评的情况,则安全服务费总额3%予以扣除。
(7) (略) 漏扫、渗透、风险评估等安全服务工作时,应避免对 (略) 络环境造成故障,如导致系统宕机、重启等情况,应立即启动应急预案。因中标人问题,而导致 (略) 络环境发生了故障,将根据影响严重情况,则安全服务费总额3%予以扣除。
(8)中标人应制定详细的应急响应以及重保方案,发生安全事件时,因中标人响应不及时、技术支撑不到位、处置不当等原因,造成安全 (略) 置而导致发生不良影响,则安全服务费总额5%予以扣除。
(9)上述漏洞通报的主要来源为 (略) 信、网监、通信管理、 (略) 络安全监测和监管机构。漏洞通报的主要覆盖范围为操作系统、网络与安全设备、数据库、中间件 (略) 站等,但不包括终端。
5、上述服务评分和考核产生的服务补偿费用扣除,经双方协商同意,且中标人以等价服务补偿的,可不扣除补偿费用。
?
* 、人员要求1、 (略) 要求
为了获得更好的安全专家技术支撑服务,中标人应组建有不少 (略) 络与信息专 (略) * ,相关安全 (略) (略) 络与信息安全工作经验不少于5年; (略) 专业技术能力应能覆盖应急响应、渗透测试、风险评估、安全审计、代码审计、漏洞管理、安全工程、 (略) 络、操作系统、数据库等各方面,熟悉等保标准2.0, (略) 络与信息安全工程、系统集成、安全服务、咨询设计等项目经验。中标人在投标文件中须提供专 (略) * 人员名单、简历及承诺函(格式自拟)。
2、驻场人员要求
(1)为了保障安全服务质量,中标人需安排项目经理1名、安全服务工程师1名、安全技术支持工程师1名、安全体系建设和审计工程师1名,共计4名,提供5* (略) 服务,以及重大或紧急情况时,根据采购人要求提供7* * 小时服务。
(2) (略) 人员专业技术能力应能覆盖信息安全、网络技术、计算机系统、数据库、安全审计、项目管理等各方面,并具有优秀的文档、技术方案撰写水平。驻场服务人员至少有3人具有注册信息安全专业人员CISP证书或信息安全保障人员CISAW证书或注册信息系统安全认证专家CISSP证书或者软考信息安全工程师证书其中任 * 项。中标人在投标文件 (略) 服务人员名单、简历、资质证书及承诺函。
(3)项目经理主要 (略) 运维服务的项目管理和技术协调角色, (略) 人员管理、工作安排、工作汇报、文档材料审核和归档、技术协调等项目管理工作;要求具 (略) 络安全工作经验,熟悉《网络安全等级保护基本要求GB/T 2 * 》标准与要求, (略) 络与信息安全相关法律法规;有较强的协调、管理、沟通能力,具有全面的技术知识结构,熟悉管理体系。
(4)安全服务工程师主要承担安全日常运维、等保测评支持、漏洞扫描、安全检查、威胁情报、安全工具维护以及报告输出等安全服务;要求具备2年及以上安全运维、工程及服务领域经验, (略) 络安全设备及工具的配置和维护。
(5)安全技术支持工程师主要承担安全技术支撑、基线核查、应急响应、重大时期保障、应急演练、风险评估等安全支持服务;要求具备5年及以上安全运维、工程及服务领域经验,熟悉数据库系统(Oracle/MySQL等)、操作系统(Windows/Linux等)、路由交换等技术。
(6)安全体系建设和审计工程师主要承担安全管理制度建设、运维审计、日志审计、网站安全监测、报告撰写等服务;要求具备2年及以上安全运维、工程及服务领域经验,熟悉安全体系建设以及安全审计工作与流程,具备良好的沟通能力,具备优秀的文字表达能力和文案能力。
(7)在安全服务人员保障方面,中标人须至少提供2名备份技术人员,按中心要求(包括但不 (略) 、安全检查、重大保障等期间) (略) 服务。
(8)中标人派 (略) (略) 络安全专业技术人员应符合采购人专业技术水平、安全保密等工作要求(需签订《网络与信息安全责任书》、《保密承诺函》),无法满足采购人对服务能 (略) 人员,采购人有权要求中标人更换具备服 (略) 人员,人员更新不得影响运维服务工作质量和效果。
(9)中标人应确保派驻本 (略) 络 (略) 人员的稳定性,原则上中标人派 (略) 的人员应按采购人 (略) 管理,中标人派驻在本项目的人员如需变动,中标人须经过采购人同意且做好工作支撑准备后方可更换,采购人有权拒绝中标人的人员变更要求的权利。
( * )采购人将对中标人派驻 (略) 人员和为本项目提供服 (略) 人员安全审查,未通过审查的人员不 (略) 络安全服务。
( * ) (略) 服务的人员,需严格遵守并服从采购人的相关管理规定和工作安排,面对问题时,能够第 * 时间发现问题的原因,给出合理的解决方案,并协调相关的人 (略) 处理;工作期间不得擅自离开采 (略) 所,若确需离开的,中标人应提前通知并征得采购人同意,中标人同时暂派其他支撑服务人员顶替工作;未经采购人同意情况下,中标人不得以任 (略) (略) 服务的人员从事与本项目无关的其它工作; (略) 服务的人员能根据采购人 (略) 加班,应急保障等特殊情况,现场服务的人员的订餐、用餐费用由中标人完全承担; (略) 服务的人员如在非工作时间内进入采 (略) 所,需事先征得采购人同意。
( * )中标人 (略) 的维护服务人员签订劳动 (略) (略) 服务的人员的工资、奖金、福利待遇及其他 * 切费用;中标人必 (略) 会保险,并定期提供人员健康检查服务;关注服务人员的身心健康,做好安全教育工作, (略) 的服务人员发生人身安全事故,由中标人负责,与采购人无关。
?
* 、实质性条款序号 | 具体内容 |
1 | 投标人须完全响应本项目服务期限要求、验收要求、人员要求以及拟采购的安全服务内容,即《附件1安全管理服务》(包括《附件1-1 安全制度建设服务》《附件1-2 (略) 培训服务》)、《附件2 安全技术服务》、《附件3 安全运维服务》(包括《附件3-1 安全日常运维服务》《附件3-2 安全专项运维服务》)、《附件4 数据安全治理服务》中所有服务子项的服务对象、服务描述以及服务SLA。(投标文件中提供人员名单、简历、资质证书及承诺文件) |
2 | 投标人为采购人提供《附件2 安全技术服务》《附件3-1 安全日常运维服务》《附件4 数据安全治理服务》中所列日志审计服务、网络恶意代码防范服务、主机防护和恶意代码防范服务、漏洞扫描服务、数据库安全运维管理服务5个服务子项的服务内容时, (略) 自备的安全专用产品(组件/工具/平台) (略) 颁发的计算机信息系统安全专用产品销售许可证。(投标文件中提供证书扫 (略) 计算机信息系统安全专用产品销售许可证查询平台真实的系统查询截图) |
?
* 、知识产权所有的交付成果及其附件的知识产权属于采购人,采购人在中华人民共和国境内使用投标人提供的货物及服务时免受第 * 方提出的侵犯其专利权或其它知识产权的起诉。如果第 * 方提出侵权指控,中标人应承担由此而引起的 * 切法律责任和费用。
?
* 、报价报价范围:本项目报价以人民币报价。投标报价为综合报价,报价包含人员成本、差旅、税金、管理费、专家评审费、 (略) 有费用。投标人只能有 * 套报价方案。
?
* 、违约责任1、 (略) 文件的保密工作, (略) 资料及文件内容。如发生资料泄露事件,将依法追究相关责任。
2、中标人应提供优质服务,确保交付成果达到采购人要求,如因中标人原因导致未能通过采购人项目验收,采购人有权将中标人履约情况上报 (略) 市政 (略) 门,作为供应商履约评价。
3、违约责任:采购人逾期退还履约保证金的,除应当退还履约保证金本金外,还应当每日按合同总价的3‰向中标人偿付违约金,但因中标人自身原因导致无法及时退还的除外。
4、中标人违反合同及其附件约定的任何义务,采购人有权在履约保证金中直接扣除中标人应向采购人支付的违约金或损失赔偿额,如有不足的,中标人 (略) 分予以赔偿。
?
* 、其它1、为获得更好的服务质量,中标人提供日志审计服务、风险和漏洞管理服务、网络自动扫描探测服务、网络恶意代码防范服务、主机防护和恶意代码防范服务、漏洞扫描服务、基线核查服务、数据库安全运维管理服务服务子项的服务内容时,按要求自备的工具/组件/平台,须在合同签订时提供满足服务期限 (略) 售后服务承诺函原件。
2、其他未尽事宜由供需双方在采购合同中详细约定。
??评标信息
评标方法:综合评分法(新价格分算法)
综合评分法, (略) (略) 实质性要求,且按照评审因素的量化指标评审得分最高的投标人为中标候选人的评标方法。
价格分计算方法:
采用低价优先法计算,即满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。其他投标人的价格分统 * 按照下列公式计算:
投标报价得分=(评标基准价/投标报价)× *
评标总得分=F1×A1+F2×A2+……+Fn×An
F1、F2……Fn分别为各项评审因素的得分;
A1、A2、……An 分别为各 (略) 占的权重(A1+A2+……+An=1)。
评标过程中,不得去掉报价中的最高报价和最低报价。
?
序号 | 评分项 | 权重 | ||
1 | 价格 | * | ||
2 | 技术 | * | ||
? | 行号 | 内容 | 权重 | 评分准则 |
1 | 项目实施计划方案以及项目重点难点分析、应对措施及相关的合理化建议 | * | 根据国家法律法规和标准,考察投标人安全服务方案编制的科学性、严谨性、全面性、美观性。目标理解准确,任务分解得当,工作安排合理,从实际出发 (略) 络安全建设的重点、难点,如需求分析、项目难点分析、应急措施、解决办法等。 根据投标文件 (略) 评分: 1、项目实施计划方案应包括项目背景、需求理解和掌握、总体服务能力、总体服务框架等内容以及安全通用服务(须从安全管理、安全技术、安全运 (略) 详细说明)、数据安全治理服务等分项服务方案。 (1)方案完整,包括上述内容; (2)内容充实、材料丰富、论据充足; (3)对采购人安全服务需求理解准确; (4)关键考核指标分析透彻,完全贴合项目情况。 以上4小项要求,满足1项得 * 分,最多可得 * 分。 2、项目实施计划方案应包括重点保障、应急响应等内容,且表述准确,完全贴合项目情况。 (1)方案完整,包括上述内容; (2)内容表述准确,完全贴合项目情况。 以上2小项要求,满足1项得 * 分,最多可得 * 分。 3、项目实施计划方案对安全服务过程中的可能出现的各类问题分析透彻、描述清晰,提出的应对措施及相关建议合理、准确。 (1)可能出现的各类问题分析透彻、描述清晰; (2)提出的应对措施及相关建议合理、准确。 以上2小项要求,满足1项得 * 分,最多可得 * 分。 4、项目实施计划方案对采购人安全服务工作任务应分解得当,且实施计划安排、进度控制合理,得 * 分,最多可得 * 分。 5、项目实施计划方案对组织架构、角色分工、人员安排、资源调度合理,得 * 分,最多可得 * 分。 以上5大项合计,最多可得 * 分。 | |
2 | 质量(完成时间、安全、环保)保障措施及方案 | * | 考察投标方案对项目的质量管理认识,如项目管理维度、项目管理方法论、项目风险管理等。根据投标文件 (略) 评分: 1、为保证采购人安全服务工作的质量,提出质量保障措 (略) 、合理,采取的质量管理方法全面、准确、得当; 2、投标人具备成熟完善的项目质量管控制度及项目质量管控工具或系统,可对项目 (略) 跟踪、追溯、投诉、反馈、统计; 3、针对本项目安全服务关键考核指标,提出的补偿措施完整、清晰、合理,符合采购人业务实际需求。 满足以上3项标准的得 * 分,满足2项标准的得 * 分,满足1项标准的得 * 分,其它不得分。 | |
3 | 投标服务自备工具重点服务要求 | 8 | ( * )评分内容: 考察投标人在本项目须自备工具/组件/平台(以下简称“工具”)的日志审计服务、风险和漏洞管理服务、网络自动扫描探测服务、网络恶意代码防范服务、主机防护和恶意代码防范服务、漏洞扫描服务、基线核查服务、数据库安全运维管理服务8个服务子项的服务要求的满足情况。 1、上述8个服务子项,每1个服务子项设置分值 * .5分,8个服务子项合计最多 * 分。 2、投标人未能完全响应1个服务子项的 * 条非标记“▲”的服务要求,则扣除1. * 分,该服务子项分值扣完为止。 3、投标人未能完全响应1个服务子项的 * 条标记“▲”的服务要求,则扣除3. * 分,该服务子项分值扣完为止。 ( * )评分依据: 1、根据投标人应标情况,由专家打分。上述每类服务的服务要求项,投标人均提供服务要求完全响应文件和承诺文件,其中标记“▲”的服务要求,投标人必须提供能满足服务要求的详细佐证材料,佐证材料包括:真实系统截图以及说明材料,或第 * 方专业机构测试报告等。不提供或提供不完善、不准确的视为不满足(不完善不准确包括:证明材料不清晰、不完整、不匹配、不合理等,完善与准确的标准由专家判定)。 2、评分中出现 (略) 提供资料判断是否得分的情况, * (略) 理。 3、 (略) 符合视为完全满足; (略) (略) 分满足视为不满足。 | |
4 | 违约承诺 | 3 | 根据投标文件 (略) 评分: 1、投标人对采购人提出的安全服务过程中质量保证、售后服务、验收条件、考核要求、服务交接等内容作出全面违约承诺; 2、投标人 (略) 性高,包括具体的违约条款和违约责任。 满足以上两项标准的得 * 分,满足 * 项标准的得 * 分,其它不得分。 | |
3 | 综合实力 | * | ||
? | 行号 | 内容 | 权重 | 评分准则 |
1 | 投标人通过相关认证情况 | 5 | ( * )评分内容: 1、具有中国信 (略) 颁发的信息安全服务(安全工程类) * 级及以上 (略) 络安全审查 (略) 颁发的 * 级及以上资质得 * 分;具有中国信 (略) 颁发的信息安全服务(安全工程类) (略) 络安全审查 (略) 颁发的信息系统安全集成服务 * 级资质得 * 分;其他不得分。 2、投标人具有经认监委批准的认证机构颁发的ISO * 1信息安全管理体系认证,得 * 分。 3、投标人具有经认监委批准的认证机构颁发的GB/T * 1-ISO * 质量管理体系认证,得 * 分。 4、投标人应有良好的 (略) 维护能力,具有ITSS信息技术服务标准认证的信息 (略) 维护标准符合性证书或具有ISO * 0信息技术服务管理体系认证证书,得 * 分。 5、投标人应有良好的资信,具备AAA级或以上资信等级证书,提供证书扫描件,得 * 分。 ( * )评分依据: 1.要求提供有效的认证证书(管理体系认证证书还需提供国家认证认 (略) (略) (www.cnca.gov.cn) (略) 查询截图)作为得分依据。 2.以上资料均要求提供扫描件( (略) 截图)。评分中出现无证明资料或 (略) 提供资料判断是否得分的情况, * (略) 理。 | |
2 | 投标人同类项目业绩情况 | 3 | ( * )评分内容: 投标人近3年(自 * 日以来,以合同签订之间为准)具有以下项目经验: 1、承 (略) 市( (略) 级)及以上政府 (略) (略) 络与信息安全等级保护服务类项目的,得 * 分; 2、承 (略) 市( (略) 级)及以上政府 (略) 总部机构系统或安全运维服务项目的,得 * 分。 以上2项,合计最高得 * 分。 ( * )评分依据: 1.要求同时提供合同关键信息作为得分依据,通过合同关键信息无法判断是否得分的,还须同时提供能证明得分的其它证明资料,如项目报告或合同 * 方出具的证明文件等。以上资料均要求提供扫描件。 2.如服务 * 方 (略) 或其他不能轻易判断是否符合要求的单位, (略) (略) 的央企名录截图或工商登记信息等能有效证明的佐证材料,作为得分依据。 评分中出现无证明资料或 (略) 提供资料判断是否得分的情况, * (略) 理。 | |
3 | (略) 络与信息安全专业技 (略) * (不少于 * 人) | 3 | ( * )评分内容:? 投标人须提供不少 (略) 络与信息专业技 (略) * 人员名单以及资质证书: 1、具有漏洞挖掘与研究方面技术专家,具有CISP/CISAW(注册信息安全专业人员/信息安全保障人员认证)、系统分析师,提交过至少2个或以上国家信息安全漏洞库(CNNVD)或国家安全漏洞共享平台(CNVD)通用型原创漏洞,得 * 分; 2、具有注册信息安全专业人员-应急响应工程师认证CISP-IRE或信息安全应急响应工程师C (略) 络与信息安全应急人员认证CCSRP证书其中任 * 项,得 * 分; 3、具有注册云安全专家认证CCSP或云计算安全知识认证CCSK证书其中任 * 项,得 * 分; 4、 (略) 络安全高级工程师H3CSE-Security或华为安全专家HCIE-Security证书其中任 * 项,得 * 分; 5、具有Oracle数据库认证专家OCP资质证书,得 * 分。 以上5项,合计最多可得 * 分。1 (略) 的成员,每人至少持有以上其中1项证书,否则扣除 * 分,该评分项得分扣完为止。 ( * )评分依据: 1.要求提供投标人相关证明资料作为得分依据。 2.以上资料均要求提供扫描件( (略) 截图)。评分中出现无证明资料或 (略) 提供资料判断是否得分的情况, * (略) 理。 3.如涉及考察人员工作经验,要求提供项目合同关键信息作为得分依据,通过合同关键信息无法判断是否得分的,还须同时提供合同 * 方出具的证明文件。 | |
4 | 拟安排的项目经理情况(仅限 * 人) | 3 | ( * )评分内容: 资质要求: 1、具有软考系统集成项目管理工程师或信息系统项目管理师或项目管理专业人士PMP资质证书其中任 * 项得 * 分; 2、 (略) 络等技术,具有华为HCNP/HCIP或华 * H3CSE或思科CC (略) 络工程师或以上的其中 * 项资质证书得 * 分; 3、承 (略) 市( (略) 级)及以上政府 (略) (略) 络与信息安全工程集成或服务类项目经验得 * 分。 以上3项合计,最多可得 * 分。 ( * )评分依据: 1.要求提供人员相关资质证书扫描件。 2. 要求提供人员 (略) 络与信息安全工程集成或服务类项目的有效证明文件,如项目合同,以及投标文件或项目方案或往来函件或验收材料或 * 方证明等含有项目人员信息的有效证明文件作为得分依据。以上资料均要求提供扫描件( (略) 截图)。如服务 * 方 (略) 或其他不能轻易判断是否符合要求的单位, (略) (略) 的央企名录截图或工商登记信息等能有效证明的佐证材料,作为得分依据。评分中出现无证明资料或 (略) 提供资料判断是否得分的情况, * (略) 理。 | |
5 | 拟安 (略) (略) 成员情况(除项目经理之外的其他3人) | * | ( * )评分内容: 资质要求: 1、 (略) 络等技术,具有华为HCNA/HCIA或华 * H3CNE或思科CC (略) 络管理员的其中 * 项资质证书,提供1人得 * 分,最多可得 * 分;具有华为HCNP/HCIP或华 * H3CSE或思科CC (略) 络工程师或以上的其中 * 项资质证书,提供1人证书得 * 分,最多可得 * 分。 2、熟悉操作系统(Windows/Linux等)或数据库,具有红帽认证系统管理员RHCSA或红帽认证工程师RHCE认证证书或具有ORACEL数据库OCP认证证书,提供1人证书得 * 分。 3、具有信息系统审计师ISA或者国家注册信息系统审计师CISP-A或者注册信息系统审计师认证CISA证书或者具有注册数据安全治理专业人员(CISP-DSG)认证证书其中任 * 项,提供1人证书得 * 分,最多可得 * 分。 以上 * 项,合计最多可得 * 分。 (略) 成员,每人至少持有以上其中1项证书,不重复得分。 ( * )评分依据: 要求提供人员相关资质证书扫描件。 | |
6 | 自主知识产权产品(创新、设计)情况 | 3 | ( * )评分内容: 考察投标人提供日志审计服务、风险和漏洞管理服务、网络自动扫描探测服务、网络恶意代码防范服务、主机防护和恶意代码防范服务、漏洞扫描服务、基线核查服务、数据库安全运维管理服务服务子项的服务内容时,按要求自备的工具/组件/平台(以下简称“工具”)的自主知识产权情况。 1、自备工具具有自主知识产权的,每提供1类工具的自主知识产权证明材料,得 * 分,最多可得 * 分。同1类工具,提供多份的,仅计算1次。 ( * )评分依据: 1.要求提供有效的产权(专利)证书、软件著作权登记证书等证明材料作为得分依据。 2.以上资料均要求提供扫描件( (略) 截图)。评分中出现无证明资料或 (略) 提供资料判断是否得分的情况, * (略) 理。 | |
7 | (略) 情况 | 1 | 要求投标人就是否受 (略) (略) 罚作为得分依据;以投标人在投标文件中提供的承诺作为依据;若隐瞒情况虚假应标将导致投标无 (略) 门处理。采取客观化评分; (略) 罚不得分。 | |
8 | (略) 点 | 2 | (略) 企业或非 (略) 企业,但在 (略) (略) (略) 等机构的,得满分(须在投标文件中就设立的 (略) 说明,并提供机构营业执照扫 (略) 房屋租赁合同扫描件);否则不得分。 | |
4 | 疫情防控 | 5 | ||
? | 序号 | 评分因素 | 权重 | 评分准则 |
? | 1 | 疫情防控重点保障企业 | 3 | 纳入全国性名单或地方性名单的疫情防控重点保障企业(以下简称“重点保障企业”),直接参与我市政府采购投标的,提供至少 * 项自身属于重点保障企业的证明材料( (略) 页链接、 (略) 页截图、 (略) 门出具的文件或者企业享受重点保障企业优惠政策的其他证明文件均可),即可获得评审得分。 |
? | 2 | 稳岗企业 | 2 | 未裁员或裁员率低于 * %的企业,即投标前 * 个 (略) 会保险(至少包括养老保险)的员工人数(含免缴 (略) 会保险人数)不低于 * 年 * 月同口径人数 * %(含)的企业,视为稳岗企业,提供自身符合稳岗企业条件的承诺函即可获得评审得分。 投标人提供虚假承诺的,将 (略) 理,涉嫌存 (略) 为的, (略) (略) 罚。 |
5 | 诚信情况 | 7 | ||
? | 序号 | 评分因素 | 权重 | 评分准则 |
1 | (略) 诚信管理情况 | 5 | 根据《 (略) 关于加强招投标评审环节诚信管理的通知》(深财购[ * ] * 号)相关规定,投标人在参与政府采购活动中出现诚信相关问题且 (略) 门处理措施实施期限内的本项不得分,否则得满分。投标人无需提供任何证明材料,由工作 (略) 提供相关信息。 | |
2 | (略) 履约评价情况 | 2 | 近 * 年(以投标截止日期为准)在 (略) 有履约评价为差的记录,本项不得分,否则,得满分。投标人无需提供任何证明材料,由代理机构工作 (略) 提供相关信息。 | |
?
??其他
网络与信息安全服务项目安全服务内容
* 、安全通用服务 * 览表序号 | 服务类别 | 服务子项 |
安全管理服务-安全制度建设服务 | ||
1 | 安全管理制度 | M1:网络与信息安全工作责任制 |
2 | M2:安全审查管理办法 | |
3 | M3:网络与信息安全应急预案 | |
4 | 安全管理机构 | M4:安全管理机构 |
5 | 安全管理人员 | M5:安全管理人员 |
6 | 安全建设管理 | M6:等 (略) 级备案管理 |
7 | M7:安全建设管理 | |
8 | 安全运维管理 | M8:安全事件管理 |
9 | M9:安全管理 * 员特权权限管理 | |
* | M * :安全配置变更管理 | |
* | M * :风险和漏洞管理 | |
* | M * :安全审计管理 | |
* | M * :安全基线管理 | |
安全管理服务- (略) 培训服务 | ||
1 | (略) 类 | C1: (略) 服务 |
2 | C2:密码应 (略) 服务 | |
3 | 安全培训类 | C3:安全管理与意识培训 |
4 | C4:网络安全专业技术培训 | |
5 | C5:定制化培训 | |
安全技术服务-安全技术防护服务 | ||
1 | 安全监测审计类 | T1:网站安全监测服务 |
2 | T2:日志审计服务 | |
3 | T3:风险和漏洞管理服务 | |
4 | T4:网络自动扫描探测服务 | |
5 | T5:网络恶意代码防范服务 | |
6 | T6:主机防护和恶意代码防范服务 | |
安全运维服务-安全日常运维服务 | ||
1 | 日常运维类 | D1:安全检查服务 |
2 | D2:等级保护测评支持服务 | |
3 | D3:漏洞扫描服务 | |
4 | D4:基线核查服务 | |
5 | D5:安全技术支撑服务 | |
6 | D6:日常运维服务 | |
7 | D7:运维审计服务 | |
8 | 安全情报类 | D8:威胁情报服务 |
安全运维服务-安全专项运维服务 | ||
1 | 应急保障类 | P1:应急响应服务 |
2 | P2:重大保障服务 | |
3 | 安全专项类 | P3:渗透测试服务 |
4 | P4:应急演练服务 | |
5 | P5:风险评估服务 | |
6 | P6:代码审计服务 | |
数据安全治理服务 | ||
序号 | 服务类别 | 服务子项 |
1 | 数据安全管理类 | B1-1:数据安全管理:组织架构 |
2 | B1-2:数据安全管理:规章制度 | |
3 | B1-3:数据安全管理:流程规范 | |
4 | 数据安全治理类 | B2:数据库特权帐号管理服务 |
5 | B3:数据分类分级 | |
6 | 数据安全技术类 | B4:数据库安全运维管理服务 |
安全管理服务-安全制度建设服务 | ||||||
服务说明: (略) 络与信息安全管理现状, (略) 络与信息安全总体策略、规范、手册等制度文档, (略) 络与信息安全方针和策略总纲, (略) 络与信息安全管理体系文件(包括但不限于策略、制度、规范、作业手册等),提出完善和修订建议,不断优化管理制度体系, (略) 和实施,提升和强化管理效力,保证制度体系的合规性、可行性、可操作性。 | ||||||
序号 | 服务类别 | 服务子项 | 服务对象 | 服务描述 | 服务SLA | |
1 | 安全管理制度 | M1:网络与信息安全工作责任制 | 网络与信息安全建设纲领性文件 | (略) (略) 门检查和考核要求,协助 (略) 络安全工作责任制实施办法或细则,明确责任制实施要求, (略) 络与信息安全总体方针和安全策略制度文件, (略) 络与信息安全总体目标、适用范围、指导原则、管理意图和安全框架, (略) 络与信息安全建设工作, (略) 络与信息安全工作整体情况汇报和重大事项议定的相关流程规范和机制等。 | 专 (略) 服务,年度 * 次 | 1.?输出编制和修订的制度、流程规范和手册,并经通过审批发布。 2.?所有体系文件条款应满足国家法律法规和安全等保制度要求。 3.?应急预案等制度符合实际以 (略) 门监管要求,且能落地实施。 |
2 | 安全管理制度 | M2:网络安全审查管理办法 | 相关管理制度、流程、手册 | 以国家《网络安全审查办法》等相关法规与标准要求为依据, (略) 络安全审查管理办法,确保关键信息基础设施供应链安全, (略) 络和信息系统及平台的安全,审查制度应包括:安全设备审查流程、安全检查要求(密码应用安全性、双因素认证、日志存储和管理等), (略) 络产品和服务的安全性(是否存在中高危漏洞)、可控性等。 | 驻场服务,年度 * 次 | |
3 | 安全管理制度 | M3:网络与信息安全应急预案 | 相关应急管理制度、流程、手册 | (略) (略) 门检查检查和考核要求, (略) 络与信息安全应急工作机制, (略) 络与信息安全专项应急总体预案,结合安全风险,针对重要系统制定和完善专项应急预案,包括制定统 * 的应急预案框架,如启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容;制定重要事件的应急预案, (略) 理流程、系统恢复流程等内容。 | 专 (略) 服务,年度 * 次 | |
4 | 安全管理机构 | M4:安全管理机构 | 相关管理制度、流程、手册 | (略) (略) 门检查检查和考核要求, (略) 络与信息安全管理现状,协 (略) 络与信息安全管理机构,完善各岗位职责;调研安全运维流程和用户权责分配情况,帮助优化授权审批制度; (略) 络与信息安全 * 员管理岗位,明确岗位职责,使各项安全工作有章可循、按章办事,保证各 (略) 在可控状态下运作,避免职责不明、权限不清的现象; (略) 络与信息安全应急 (略) 机制, (略) 专业机构的 (略) 渠道, (略) (略) 门、业界专家、 (略) 商等外联单位联系列表,实现信息共享,形成有效的联动 (略) 置机制。 | 驻场服务,年度 * 次 | 4.?输出编制和修订的制度、流程规范和手册,并经通过审批发布。 5.?所有体系文件条款应满足国家法律法规和安全等保制度要求。 |
5 | 安全管理人员 | M5:安全管理人员 | 相关管理制度、流程、手册 | (略) 络与信息安全管理现状,根据等保制 (略) 络安全规范等法律法规,协助建立健全系统管理、安全管理、审计管理等 * 员以及数据运维人员的录用和离岗制度,包括对人员身份背景审查、专业技能考核等要求;协助制定第 * 方人员安全管理制度, (略) 人员的访问区域、访问授权审批、离场等提出安全要求。 | 驻场服务,年度 * 次 | |
6 | 安全建设管理 | M6:等 (略) 级备案管理 | 相关管理制度、流程、手册 | 协助优化完善等保系统定级备案制度以及流程规范。 | 驻场服务,年度 * 次 | 1.?输出编制和修订的制度、流程规范和手册,并经通过审批发布。 2.?所有体系文件条款应满足国家法律法规和安全等保制度要求。 |
7 | 安全建设管理 | M7:安全建设管理 | 相关管理制度、流程、手册 | 协助建立健全信 (略) 络与信息安全同步规划、同步建设、 (略) 的制度和基本原则,明确安全方案设计、产品采购和使用、软件开发、工程实施、测试验收、系统交付、等保测评、服务供应商选择等过程中相 (略) (略) 门职责和边界,定义工作制度流程。 | 专 (略) 服务,年度 * 次 | |
8 | 安全运维管理 | M8:安全事件管理 | 相关管理制度、流程、手册 | 协助优化完 (略) 置管理制度、流程以及安全事件报告模板,包括但不限于明确安全事件管理中安全与运维责任划分,定义安全事件分级分类,明确 (略) 处理、报告和后期恢复等过程 (略) 门和职责等内容。 | 驻场服务,年度 * 次 | 1.?输出编制和修订的制度、流程规范和手册,并经通过审批发布。 2.?所有体系文件条款应满足国家法律法规和安全等保制度要求。 |
9 | 安全运维管理 | M9:安全管理 * 员特权权限管理 | 相关管理制度、流程、手册 | 协 (略) 络与信息安全 * 员(系统管理员、安全管理员、审计管理员)特权权限管理相关规范流程,包括但不限于定义账号、口令和权限管理的不同保障级别,明确各系统建立 * 员账号以及权限设置的要求,确定权限分析和管理的基本原则和规范,编制流程中需要的各种表格等内容。 | 驻场服务,年度 * 次 | |
* | 安全运维管理 | M * :安全配置变更管理 | 相关管理制度、流程、手册 | 协助建立健全安全配置管理制度和安全变更管理制度,结合IT资产,优化完善安全配置管理规范和手册,从修订变更范围、变更申请、变更方案、变更风险评估、回退机制等环节优化完善安全变更管理流程,明确变更的提出、评审、认可等控制程序和方法,以达到控制和削减在 * 定条件下产 (略) 络与信息安全的不良影响。 | 驻场服务,年度 * 次 | |
* | 安全运维管理 | M * :风险和漏洞管理 | 相关管理制度、流程、手册 | 结合安全需求,建立健全风险和漏洞管理制度和流程,定义从资产发现、漏洞监测、漏洞识别、 (略) 置、漏洞修复检测的全生命周期闭环管理规范和流程,定义漏洞通报方式,确 (略) 理工作内容、流程,通过风险和漏洞管理制度和流程来指导和规范风险和漏洞管理,提高 (略) 置能力。 | 驻场服务,年度 * 次 | |
* | 安全运维管理 | M * :安全审计管理 | 相关管理制度、流程、手册 | (略) 络与信息安全审计制度和流程, (略) 络与信息安全工作(包括但不限于漏洞扫描、修复,安全配置基线,安全日志审计,日常维护等)审计对象、流程规范、技术手段,确保安全审计管理 (略) 。 | 驻场服务,年度 * 次 | |
* | 安全运维管理 | M * :安全基线管理 | 相关管理制度、流程、手册 | 调研和梳理设备及系统(包 (略) 络设备、安全设备、主机操作系统、数据库系统、应用系统、中间件)的类型、版本等信息,建立设备维护手册和操作指南,指导 (略) 维护过程中的具体安全操作,如各类安全技术指南,各类安全检查表要求等;建立相关安全基线规范和实际配置范例, (略) 修订。 | 专 (略) 服务,年度 * 次 | |
安全管理服务- (略) 培训服务 | |||||
序号 | 服务类别 | 服务子项 | 服务对象 | 服务描述 | 服务SLA |
1 | (略) 类 | C1: (略) 服务 | 信息化项目 | 针对新建信息化项目以及系统升级改造、检查整改等方面, (略) 络 (略) 服务。主要内容包括: 1、新建以及升级改造信息化项目的安全方案设计、产品采购和使用、软件开发、工程实施、测试验收、系统交付、等保测评、服务供应商选择等过程, (略) 络与信息 (略) 服务; 2、对于在各类检查和 (略) 络与信息安全风险和问题, (略) 服务,并撰写整改建议,并协助开展系统整改; 3、就网络与信息安全领域新的技术、体系等,开展技术交流、咨询及分享。 | 1.? (略) 报告。 2.?输出整改建议,并协助整改。 3.?输出会议纪要。 |
2 | (略) 类 | C2:密码应 (略) 服务 | 密码应用 | 依据《中华人民共和国密码法》以及国标《信息系统密码应用基本要求》、《信息安全技术 网络安全等级保护基本要求》等国家法律法规和标准,结合实际情况,开展调查研究,撰写密码应用升级改造建设方案,并通过具有密码评测资质 (略) 政主管机关的专家评审。 | 1.输出密码应用改造项目建议书并通过评审 |
3 | 安全培训类 | C3:安全管理与意识培训 | 全员 | 主要服务内容包括: 1、从安全办公、个人信息安全、帐户安全等方面普及安全常识,对常见的信息 (略) 分析,讲解,使员工提高信息安全意识,告 (略) 络行为不可为,如果 (略) 为就要承担法律责任,构成犯罪的还承担刑事责任。 2、开展《中华 (略) 络安全法》、《等级保护系列标准》、《数据安全管理办法》、《密码法》等国家法律法规和标准培训。 3、 (略) 络与信息安全管理制度、流程培训,使全员人员了解相关安全制度和流程内容,更好的支撑信息安全相关工作。 | 1.?输出培训计划、记录。 2.?全员培训时间不少于4小时/人。 |
4 | 安全培训类 | C4:网络安全专业技术培训 | 网络安全管理与技术人员 | 主要涉及渗透测试、风险评估、等级保护、数据安全、系统审计等方面内容,理论结合实际,通过案例分析,使得培训人员充分了解漏洞分析、利用、挖掘,数据安全,风险评估,系统审计等内容。 | 1.?输出培训计划、记录。 2.?培训时间不少于8小时/人。 |
5 | 安全培训类 | C5:定制化培训 | 网络安全管理与技术人员 | 根据要求提供CISP、CCSRP、CISAW、H3CSE-Security、HCIE-Security、CISA、项目 (略) 络安全专业资质培训及考试认证服务,共计不少于6人次。 | 提供培训及考试认证 |
安全技术服务 | |||||
序号 | 服务类别 | 服务子项 | 服务对象 | 服务描述和服务要求 | 服务SLA |
1 | 安全监测审计服务 | T1:网站安全监测服务 | (略) (略) 站及接口 | 服务描述 对 (略) (略) 站及接口提供安全监测服务,监控内容包括但不限于可用性、死链、挂马、暗链、篡改和敏感词。 针对 (略) 网站及接口,提供7* * 小时安全监测服务, (略) 监测平台,包括但不限于以下内容:域名可用性(每分钟)、网站首页和 * 级页面可用性(每分钟)、网站首页和 * 级页面敏感字监测(每分钟)、网站首页和 * 级页面错链扫描(每分钟)、网站首页 (略) 页篡改(每分钟)、指定API接口的可用性(每小时)、指定 * 个文件下载的可用性(每小时)、网页挂马(每周)等内容,并实时提供短信、邮件安全告警功能。 发现安全问题后,须在5分钟内以微信、短信、电话和邮件等多种方式告知用户。 | 1.对网络和主机环境不产生影响。 2.提供持续监测服务,按要求每周(月)输出安全监测报告。 |
2 | 安全监测审计服务 | T2:日志审计服务 | 指定等保系统,不多于 * 个系统 | * 、服务描述 针对指定等保系统的主机设备、安全设备、网络设备、操作系统、数据库、中间件等产 (略) 日志、应用服务日志、操 (略) 过滤筛选和审计分析,以监督不当 (略) 为,并对发生 (略) (略) 责任追查。 1、重点审计和分析: (1)操作系统 (略) 为,包括增删账户、重启、口令爆破等; (2)We (略) 为,包括XSS攻击、SQL注入攻击等, (略) 为等; (3) (略) 为,包括设备配置变更、设备工作异常等; (4)安全设 (略) 为, (略) 为、可疑操作、事件类型分布、事件发展趋势、事件频率等。 2、自备日志审计工具不少于1台/套,日志须留存6个月及以上。 * 、服务要求 ▲1、对指定服务对象开展操作日志、审计日志、流量日志、威胁日志、主机日志等各类日志收集、存储、查询、统计分析等。 2、对指定服务对象按照日志属性、日志类型、 (略) 数据备份。 3、通过各种手段,实时不间断地采集指定服务对象 (略) 商的安全设备、网络设备、操作系统等产生的海量日志信息,并通过Syslog、SNMP Trap、NetFlow、ODBC/JDBC、私有TCP/ UDP 等 (略) 日志采集。 ▲4、根据指定服务对象的设备类型、日志类型、日志等级等开展实时监控,并 (略) 商安全设备、网络设备、操作系统、应用日志开展适配分析。 5、对存储的日志,按照指定的检索要求(如开始时间、结束时间、动作类型、设备名称、日志等级、用户名、源IP、目的IP、协议)进行原始日志内容全文检索和查询匹配。 6、按照指定的统计维度、统计方式(柱状图、饼状图、折线图、表格)的生成日志报告,并对指定的检索字段和条件格式(如变色、色阶)突出标记。 | 1.?每季度输出《日志审计分析报告》。 |
3 | 安全监测审计服务 | T3:风险和漏洞管理服务 | 所有设备和系统,涉及IP数不少于 * 个 | * 、服务描述 提供风险和漏洞管理服务,包括但不限于IT资产(包括应用系统、操作系统和安全设备以及IP地址、MAC地址、域名、软件名称、软件版本、开放端口等)全面普查和梳理、风险和漏洞管理、风险和漏洞分析、统计分析、报表统计、资产台账等服务,支持快速识别风险和漏洞,提供漏洞的全生命周期管理服务,形成漏洞发现、漏洞监测、工单派发、 (略) 置、漏洞复测等全过程漏洞闭环管理,定期输出风险与漏洞报告,实现快速识别漏洞危害,迅速定位漏洞的影响范围、威胁性; (略) 漏洞整改确认环节,定位误报错报、由漏洞整改环节完成加固方案的统 * 性、并归档管理漏洞,保持长久性; (略) 建立漏洞白名单功能,规避安全检查中的不合理性;解决“不想改,不能改,不敢改,不会改”的问题, (略) 络安全监管工作的开展;建立具备自身业务系 (略) 漏洞知识库、案例库。 * 、服务要求 ▲1、提供指定服务对象的资产管理服务: (略) 、设备、网站、域名、网段、业务等 (略) 分类管理,通过控制显示的表格列,并将过滤器的列保存成自定义视图与筛选条件的条目,资产视图查看资产的信息,以及关联的漏洞,事件,能通过工单实现无责任人资产的流程确认和闭环确认,按 (略) 资产的属性更新校对,资产数据通过人工根据模板批量导入及按需导出;与“网络自动扫描探测工具”进行直接对接与导入。 ▲2、提供指定服务对象的漏洞管理服务:根据多源问题聚合的问题管理机制,开展第 * 方漏洞报告的导入,对情报库的手动添加,漏洞库要包含多个漏洞库,并以工 (略) 处置。通过工单系统实现漏洞的闭环管理,管理员以指派方式将漏洞分派给相关责任人并设置提醒,直至漏洞闭环。 3、对指定服务对象的资产 (略) 管理(如IP、端口、版本号、操作系统、数据库、中间件等),按资产IT属性及管理属性开展自定义;按照分系统管理资产; (略) 分用户、角色、权限管理。 4、告警管理服务:按照资产和问题 (略) 告警,对资产属性为筛选条件,进行事件抑制,丢弃不需要的事件, (略) 归并,防止风暴。 5、任务管理服务:按需或 (略) 资产信息抽取,通过 * 键搜索目前漏补系统内“协议/端口/服务”资产的数据,开展账户的批量安全设置(复杂度、长度、锁定阈值、锁定时间等)、最大会话限制,主动对探针盒子、主机加固系统或客户CMDB系统中抽取资产数据,在不能满足现有需求情况下,通 (略) 定制开发。 6、知识库管理服务:通过工具的 CVE,CNNVD等多方情报知识库和服务器安全管理系统的漏洞知识库获得知识库管理服务,按需对第 * (略) 重写。 | 1.?至少每月提交 * 次漏洞报告,包括但不限于各类资产风险情况(应用系统、中间件、数据库、服务器、网络设备、安全设备)、对外开放资产漏洞情况、新增中高危漏洞及整改情况、安全通报漏洞情况、漏洞来源情况等。 |
4 | 安全监测审计服务 | T4:网络自动扫描探测服务 | 所有设备和系统 | * 、服务描述 1、遵循“探测—扫描—定性—处置—审核”的安全体系构建方法论,综合运用资产探测技术,能 (略) 络资产IT信息,准确定性资产属性,快速发现资产IT信息。 2、 (略) 络自动扫描探测工具1台/套,并及时升级更新。 * 、服务要求 1、提供全域监控服务,对网络设备、安全设备、服务器、虚拟资源、应 (略) 统 * 管理,真正实现在 * 个管理平台上对异构的IT资源的统 * 管理,消除数据信息孤岛,提升运维管理效益。 ▲2、根据主动 (略) 资产扫描发现,按照资产扫描方式(如TCP、UDP、ICMP扫描,指定端口扫描),获取资产识别信息(如目标主机端口信息、版本信息、网络服务、操作系统、硬件特性等属性)。 ▲3、按照资产清单进可 (略) 设备数量、IP、资产名称、设备类型、操作系统、首次发现时间、更新时间;资产详细信息包括:IP地址、设备类型、设备名、FQDN、操作系统、操作系统详情、MAC地址、厂商与型号、服务信息、设备开放的端口、服务协议;网站清单 (略) 网站数量、网站名称、URL、系统版本,通过资产的新增、属性的发 (略) 络内资产风险,实时产生资产变动告警。 4、在网络管理方面,对接口配置IPv4地址及路由开展配置管理。 5、对帐 (略) 安全管理,根据密码有效期、密码长度、密码复杂度、登录安全策略、登录失败次数锁定、登录失败间隔、账号 (略) 系统管理,并定期开展系统与指纹库升级。 6、对登录日志、运行日志、运行操作日志和REST A (略) 本地查询与显示。 | 1.?自动扫描与探测资产IT信息采集正确率不低于 * %。 |
5 | 安全技术防护类 | T5:网络恶意代码防范服务 | 网络边界 | * 、服务描述 网络恶意代码防范服务能满足等保2.0关于在安全 (略) 恶意代码防范的要求:对 (略) 检测和清除,并维护恶意代码防护机制的升级和更新。根据业务需求, (略) 网络边界, (略) 有等保及重要系统。 * 、服务要求 ▲1、提供专业的 (略) (略) 络安全硬件平台(非UTM或防病毒模块) (略) 络恶意代码防范服务;提供透明串接、旁路监听接入模式、即插即用等方式或透明串接/旁路 (略) (略) 网络环境,而无 (略) 络结构和配置。? 2、提供IPv4/I (略) (略) (略) 络恶意代码防范服务;网络恶意代码防范服务防止单点故障,提供 (略) BYPASS操作, (略) 络故障等。 3、提供链路可靠性保障, (略) 署模式下的 (略) 传递和自动BYPASS,按需用于全互联环境或HA环境下的链路切换状态传递。 4、提供多种病毒类型( (略) 病毒、勒索病毒、挖矿病毒、宏病毒、木马、蠕虫、间谍软件、恶意脚本等混合型病毒文件)的过滤服务;提供多种压缩格式(如7z、cab、chm、nsis、rar、tar、zip、arj、bzip2、cpio、gzip、lzh、rpm、Z等格式)病毒过滤。 5、提供对HTTP/FTP/SMTP/POP3/IMAP/SMB等多项协议的病毒双向过滤服务,对协议非标准端口的自动过滤,无需单独设定端口。 ▲6、提 (略) 理服务,对协议层病毒 (略) 、告警、破坏、隔离、 (略) 理,并对每项协议病毒 (略) 单独设定,且不影响其他协议过滤策略;提供丰富(如 * 千万以上数量)的恶意代码库,且每次更新可看到库数量的变化。对恶意代码库的旧版本提供,对 * 个 (略) 回滚。对活动阶段的恶意代码(勒索病毒攻击、蠕虫攻击传播、活动木马、 (略) 络、邮件蠕虫病毒、网络共享病毒等) (略) 防御。 | 1.?计算机病毒、恶意代码的识别率、查杀率不低于 * %。 1.? (略) 络环境不产生影响。 |
6 | 安全技术防护类 | T6:主机防护和恶意代码防范服务 | (略) 有等保系统,涉及IP数不少于 * 个 | * 、服务描述 主机防护和恶意代码防范服务能满足等保2.0关于在安全 (略) 恶意代码防范的要求:应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别 (略) 为,并将其有效阻断。提供Windows、Linux、Unix等主流操作系统各类版本的主机防护和恶意代码防范服务。 * 、服务要求 ▲1、 (略) 实时显示客户端的状态及终端基本信息,如客户端连接状态、服务状态,终端机器名称、客户端版本、病毒库版本、IP地址、MAC地址、操作系统版本、高危及功能漏洞、主板信息、显卡信息、内存大小、当前版本信息和物理位置等信息;并按需导出终端信息。 2、 (略) 实现对客户端的远程运维;通过虚拟沙盒的本地反病毒引擎开展本地查杀; (略) (略) 展示(如补 * 类型、修复状态等), (略) 补 * 忽略。 ▲3、对勒索病毒开展诱捕,设置诱饵文件并实时监控,当勒索病毒 (略) 加 (略) 拦截;提供对webshe (略) 扫描检测服务。 4、对系统 (略) 防护,阻止无文本攻击、流氓、广告程序对系统的 (略) 为。按照系统文件保护、病毒免疫、进程保护、注册表保护、危险动作拦截、执行防护等多个维 (略) 防护;对终端对外攻击检测,根据自定义SYN、UDP、ICMP数据包的检测阈值,进行自动阻止 (略) 为。 5、对客户端上报的 (略) 统计分析,(如终端/部门/责 (略) 统计、防御类型分布统计、病毒类型分布统计、 (略) 统计、病毒趋势统计、 (略) 统计、操作 (略) 统计、移动 (略) 等), (略) 汇总展示; 6、对报表名称、标题、公司、内容、周期、发送等设置,内容设定模板包括病毒趋势、 (略) 、 (略) 、 (略) 、 (略) 、部门危险占比、 (略) 、被 (略) 、移动 (略) 等统计情景;周期设定日、周、月,定时生成报表;通过邮件的方式推送相关接收报表人员。 | 2.?计算机病毒、恶意代码的识别率、查杀率不低于 * %。 3.?对原主机或终端环境不产生影响。 |
?
安全运维服务-安全日常运维服务 | |||||
序号 | 服务类别 | 服务子项 | 服务对象 | 服务描述和服务要求 | 服务SLA |
1 | 日常运维类 | D1:安全检查服务 | 所有IT资产 | 服务描述 (略) 络与信息安全联合检查或者其他专项安全检查要求,按 (略) 络与信息安全检查,包括但不限于以下主要服务内容: 1、检查是否存在违规存储、处理、传输涉密信息的情况; 2、检查是否安装防病毒系统及病毒特征库是否及时更新; 3、检查Windows操作系统补 * 更新是否及时; 4、检查终端是否存在未开启防火墙、弱口令、未使用锁屏功能、未删除不必要的用户、开启默认共享、开启远程桌面等安全隐患; 5、检查 (略) 监控软件的安装及记录情况; 6、检 (略) 是否存在使用移动存储介质痕迹; 7、检查电子邮箱、微信、QQ等通讯工具是 (略) 理涉密文件、内部文件的情况; 8、 (略) 服务,并协助准备联合检查材料,材料必须准确、完整。 | 1.?自 (略) 抽查结果务必相符。 2.?输出安全检查记录和报告。 |
2 | 日常运维类 | D2:等级保护测评支持服务 | 所有等保系统 | 服务描述 结合等级保护2.0相关标准要求,对所有等保系 (略) 服务,提升整体合规能力,协助开展等保测评,主要包括以下内容: 1、协助开展定级备案,召开等 (略) 级专家评审会议,负责不多于3个系统的专家评审费用; 2、协助开展等保测评自查工作,如提供文档编制、技术支持等服务; 3、协助开展等保测评以及整改工作,采取必要的安全技术措施(如临时搭 (略) ),确保通过等保测评。 | 1.?输出等 (略) 级备案相关材料。 2.?输出等保测评自查相关材料。 3.?协助完成等保测评工作,并通过测评。 |
3 | 日常运维类 | D3:漏洞扫描服务 | 所有设备和系统,涉及IP数不少于 * 个 | * 、服务描述 协助制定漏洞扫描计划和漏洞扫描服务方案,并通过智能遍历规则库和多种扫描选项组合的手段,深入准确的检 (略) 站中存在的漏洞和弱点,最后根据扫描结果,提供测试用例来辅助验证漏洞的准确性,并提供整改建议。 1、例行漏扫 (1) (略) 有相关信息系统使用的主机、终端、数据库系统、网络设备、安全设备、系统应用以及 (略) 漏洞扫描,如存在中高危漏洞 (略) (略) 漏洞修复, (略) 复测,出具漏扫和复测报告。 (2)每周对政务数据开放平台等不多于6个指定系统主机、终端、数据库系统、网络设备、安全设备、系 (略) 漏洞扫描,如存在中高危漏洞 (略) (略) 漏洞修复, (略) 复测,出具漏扫和复测报告。 2、专项漏扫 按需开展风险评估、 (略) 、系统上线、等保测评自查、安全检查、重保时期、 (略) 动等漏洞扫描工作,如存在中高危漏 (略) (略) 漏洞修复, (略) 复测,出具漏扫和复测报告。 3、自备国内外主流的漏洞扫描工具/组件不少于3台/套(其中主机漏扫工具2台/套、应用扫描1台/套,主机漏扫工 (略) 商产品),并及时升级更新漏洞特征库。 * 、服务要求 ▲1、通过风险告警 (略) 理,对集中告警平台开展告警内容、告警方式、告警资产范围设置等; ▲2、通过 (略) 帐户口令认证登 * ,登 * 到主流的数据库(如Oracle、Mysql、MSSQL、DB2、Informix、Sybase、达梦等多种数据库类型)中对 (略) 深入扫描; 3、对扫描过程中人工指定(如SMB、SSH、Telnet、SNMP等)常见协议的登 * 口令,登 * 到相应的系统中对 (略) 深入扫描;主机漏洞知识库兼容国内外主流标准(CVE、CNCVE、CNNVD、CNVD、Bugtraq等);4、通过主动扫描和被动扫描两种模式,解决在复杂的Web业务逻辑中,避免主动扫描导致漏报问题,按需启用被动扫 (略) 有的URL,达到全面检测漏洞的目的; 5、运用登录IP限制,限制用户只能在指定某些IP的主机上登录使用,并限制用户可允许的扫描IP范围; 6、通过任务锁定与解锁, (略) 锁定,防止其他用户 (略) 操作,如果要对任务操作必须输入 (略) 解锁。 | 1.?Web漏洞、系统漏洞、数据库漏洞以及弱口令等低危漏洞的识别率不低于 * %,中高危漏洞识别率不低于 * .9%,且须达到相关安全监测和监管机构的安全检测能力。 2.?根据漏扫服务要求定期输出漏洞统计和分析报告,漏洞扫描实施前必须提供漏洞扫描服务方案。 3.?对网络和系统环境不能产生影响。 |
4 | 日常运维类 | D4:基线核查服务 | 所有等保系统 | * 、服务描述 采用人工检测、工具核查等方式对用户的主机设备、网络设备、安全设备、数据库、中间件等设 (略) 安全配置基线检查。 1、根据用户安全基线规范和实际配置范例开展安全配置基线核查。 2、根据用户安全基线规范和实际配置范例制定安全配置基线核查脚本。 3、 (略) 有等保系统 (略) 安全配置基线核查。 4、按需(如风险评估、 (略) 、系统上线、等保测评自查、安全检查、重保时期、 (略) 动)开展专项安全配置基线核查。 5、自备自动化安全基线配置核查工具/组件不少于1台/套。 * 、服务要求 1、通过常见的设备和应用(如操作系统、网络设备(路由器和交换机)、防火墙、应用中间件、WLAN设备、虚拟化设备)的配置检查。 2、提供对主流操作系统(如Windows、Linux、AIX、HP-UX、Suse等)进行配置核查服务。 3、提供主流数据库(如Oracle、DB2、Informix、MySQL、SQL server、Sybase等)进行配置核查服务。 4、提供对应用中间件(如Apache、BIND、Jboss、Tomcat、TongWeb、Weblogic、Websphere、Nginx、Resin、HIS等)配置核查服务。 5、 (略) 络设备(如华 * 、华为、思科、Juniper、 (略) 商)配置核查服务。 6、提供对主流防火墙设备(如华 * 、华为、华赛、深信服、启明 (略) 商)配置核查服务。 7、提供对主流WLAN设备(如华 * 、华为、 (略) 商))配置核查服务。 8、提供虚拟化设备配置彻查服务,包括Hyper-V、VMWare ESXi、VMWare vCenter、XEN、XenServer配置核查服务。 9、通过指定方式( (略) 、 (略) 、 (略) )开展配置核查,按照自 (略) 策略日*点*分、每*月第*个星期*的*点*分。 * 、通过时间段设置,提供在指定 (略) 任务,未完成任务在下 * 时间段 (略) 。 | 1.?基线核查准确率不低于 * %。 2.?根据服务要求定期输出基线核查统计和分析报告,并给相关建议。 3.?对网络和系统环境不能产生影响。 |
5 | 日常运维类 | D5:安全技术支撑服务 | 所有系统 | 服务描述 对安全监测、漏洞扫描、渗透测试、威胁情报、安全通报等各类渠道发现的安全漏洞,协助开发 (略) 整改,提供第 * 方技术 (略) 服务,提高系统的安全性和抗攻击能力,以期将整个系统的安全状况维持在较高的水平,减少安全事件发生的可能性。主要服务内容包括: 1、协助提供漏洞修复建议和补 * 下载链接; 2、针对存疑的风险、 (略) 验证,并提供报告; 3、在现有条件无法正常更新补 * 情况下,提供技术 (略) ,提出修复建议与安全补偿措施; 4、提供主流操作系统、网络设备、安全设备、数据库系统等设备和系统安全加固技术支持; 5、协助分析安全加固过程中风险以及提出应对措施建议。 | 1.输出漏洞修复建议、存疑漏洞验证、安全补偿措施等相关文档。 |
6 | 日常运维类 | D6:日常运维服务 | (略) 门指定日常运维服务 | 服务描述 (略) 络与信息安全日常运维支持服务,主要包括: 1、巡查时钟同步服务器:每周对时间同 (略) 巡查,保障时间同步服务器的准确性; 2、协助撰写安全工作总结、专项检查报告; 3、协助开展数字证书制作; 4、协助开展IP地址查询和确认工作。 | 1.?按要求定期输出巡检报告。 2.?输出数字证书制作及IP地址查询台账。 3.?输出相关工作报告和纪要。 |
7 | 日常运维类 | D7:运维审计服务 | 运维审计系统 | 服务描述 (略) 络与信息安全审计制度和流程,协助安全审计员每季 (略) 为运维审计和数据分析,出具审计报告。主要内容包括: 1、提供运维审计系统(堡垒机)巡检和运维服务, (略) 版本更新,保障运维审计系统安全; 2、对运维审计 (略) 分析,每季度开展1次,输出运维审计报告; 3、协助采购人通过对运维审计记录的分析,对违规运维 (略) 重现,为查明违规 (略) 理提供依据。 | 1.每季度输出运维审计报告。 |
8 | 安全监测类 | D8: (略) 置服务 | 所有IT信息 | 服务描述 定期提供提供 (略) 置服务,具体服务如下: 1、提供战略情报,包括政务领域安全总览、攻击趋势等比较宏观的报告。 2、提供事件情报,对国内外黑客组织最近针对我国政务领域的攻击事件形成分析报告,并评估可能对用户的影响。 3、提供技术和漏洞情报,包括新发的安全漏洞和特定恶意软件的指标(域名、hash、IP)等。 4、在获得最新漏洞情报,应该立即开展风险检查,并与相关系 (略) 确认,根据检查及确认结果,协 (略) 理,形成闭环管理。 | 1.按季提供战略情报。 2.按月提供事件情报。 3.重大威胁、漏洞或事件 * 小时内提供情报。 4.杜绝发生重大威胁、漏洞预警后, (略) 置导致被通报,按关键考 (略) 理。 |
安全运维服务-安全专项运维服务 | |||||
序号 | 服务类别 | 服务子项 | 服务对象 | 服务描述 | 服务SLA |
1 | 应急保障类 | P1:应急响应服务 | 所有系统 | 服务描述 (略) 信办发布的《 (略) 络安全事件应急预案》有关要求,协助建立常设的专 (略) * ;发生突发事件时, (略) 安应急办的指令,开展应急救援。 1、提 (略) 络与信息安全事件应急响应支持服务,建立专 (略) * , (略) 络安 (略) 置咨询机制,为网络安全事 (略) (略) 和决策建议。 2、专 (略) * 成员应 * 小时保持电话畅通,按需提供7* (略) (略) 络与信息安全事件应急响应安全技术专家服务,针 (略) 络与信息安 (略) 诊断、分析并协助解决,以及协助开展事后分析、取证并输出分析报告。 3、根据《 (略) 络安全事件应急预案》以及用户《信息安全事件管理程序》《服务中断分级管理》等程序文件相关要求,接到用户通知时,应即时响应, (略) 络安全事件级别在用户指定时间内(最长不超过 * 分钟)指派专 (略) * (略) 协助用 (略) 置工作。 4、 (略) 络安全事件报告,将网络安全事件详细情况在1小 (略) 安应急办。网络安全事件报告内容包括:事件发生时间和地点、发生 (略) 络与信息系统名称、事件原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、 (略) 置措施等。 | 1.?输出安全应急响应服务方案。 2.? (略) 理完毕后 * 个工作日内提交《 (略) 理和分析报告》, (略) 的改进建议。 |
2 | 应急保障类 | P2:重大保障服务 | 所有系统 | 服务描述 在重要节日、重大活动、 (略) 动等重保时期, (略) 和人力保障, (略) 络与信息安全隐患排查、安全防护、预警监测等安全保障技术支撑服务,确保业务 (略) ,避免敏感事件或影响业务的安全事件发生。 1、根据年度重保工作要求, (略) 络安全工作方案,做好重保漏洞扫描、配置核查、终端检查、 (略) 络安全自查,协助做好整改以及总结等相关工作。 2、重保期间,充分利用现有安全检测与防御手段,结合安全监测与分析经验,协助开展检测 (略) 为, (略) 置,抑制攻击事件,顺利完成重保。 3、重保期间,按需提供7* * 小时安全服 (略) 服务。 4、重保期间,按需提供7* (略) 或远程安全技术专家服务,针对重保时期各类突 (略) 诊断、分析并协助解决。 | 1.?输出重保服务方案。 2.?输出重大保障服务总结报告。 |
3 | 安全专项类 | P3:渗透测试服务 | 所有系统 | 服务描述 以人工黑盒的方式,采用信息收集、端口扫描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人攻击、web脚本渗透、B/S或C/S应用程序测试等测试方法, (略) (略) 非破坏性质的攻击性测试,并将渗透过程和细节产生报告给客户,由此证 (略) 存在的安全威胁和风险,并能及时提醒安全管理员完善安全策略。 1、需提供完整的渗透测试方案,渗透测试应结合黑盒测试、外网测试等 (略) ,可采用远程渗透、现场渗透等多种方式。 2、应详细分 (略) 带来的次生风险,主动规避渗透测试中的次生风险,确保不因渗透测试带来新的业务连续性风险问题。 3、 (略) 信息系统,渗透测试应包含API与业务逻辑渗透测试。 4、测试完成后,需出具全面的渗透测试报告,包括有效、可行的解决方案,并提供完整的攻击过程屏幕截图。 5、需指派工程师指导协助系统开发人员对测试中发 (略) 修复,并在修复后检查是否已经规避了渗透测试发现的风险,并提供复测报告。 6、提供年度渗透服务,渗透测试对象 (略) 限于主机操作系统渗透、数据库系统渗透、应用系统渗透、网络设备渗透、 (略) 有方面。 7、按需提供单个系统专项渗透服务不少于 * 次。 | 1.? (略) 有系统的渗透测试不少于1次,等保重要系统不少于2次。 2.?两次年度开展渗透测试服务的工程师不 (略) 人员。 3.?根据渗透测试服务要求输出渗透测试统计和分析报告。 |
4 | 安全专项类 | P4:应急演练服务 | 等保系统 | 服务描述 根据实际情况,结合应急预案,制定详细的 (略) 络与信息安全应急演练方案,并协助开展应急演练,通过应急演练加强安全应急 (略) 性: 1、应急演练方案至少包括2种不同类型的应急事件; 2、应 (略) 门不少于4个; 3、应急演练前,组织全体参演人员学习演练脚本并解说注意事项; 4、对应急 (略) 分析总结,并提交应急演练总结报告。 | 1.?输出《网络与信息安全应急演练方案》。 2.?输出《网络与信息安全应急演练总结报告》。 |
5 | 安全专项类 | P5:风险评估服务 | (略) 络与信息安全 | 服务描述 参照国标《信息安全技术 信息安全风险评估规范(GB/T 点击查看>> 7)》,开展 * (略) 络与信息安全风险评估服务, (略) 络与信息安全状态开展风险排查、摸清风险状况,形成风险评估报告。 1、组织成立风险评估小组,明确资产识别、脆弱性识别、威胁识别、风险 (略) 理等环节的责任人,明确责任人的职责范围。 2、风险评估的 (略) 络与信息安全。 3、对所有 (略) 赋值, (略) 有重要资产,编制重要资产清单, (略) 有主机、网络、数据库、 (略) 漏洞扫描,全面识别出资产的脆弱性和威胁,对信息系统中存在的技术型漏洞(弱点)进行评估。 4、结合资产的脆弱 (略) 风险识别,编制不可接受风险清单,制定不可接受风险整改计划,最终完成风险自评估报告和风险自评估总结。 5、对不可接受风险的整改 (略) 跟踪,编制已整改及未整改的风险清单,并说明情况。 | 1.提供不少于1人的 (略) 服务。 2.输出风险评估方案。 3.输出风险评估分析和总结报告。 |
6 | 安全专项类 | P6:代码审计服务 | 指定系统 | 服务描述 对指定系统,采用自动化静态分析技术和人工漏洞核验方式,提供代码审计服务,从安全性方面检查其脆弱性和缺陷。主要服务包括: 1、安全技术专家使用代码审计工具对 (略) 白盒安全检测。通过对系统开发框架、应用程序、客户端程序、接口及第 * 方组件和应用配置这 (略) 深入的安全分析,充分挖掘当前源代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。从源代码层面来减少和降低开发过程中的安全缺陷和安全漏洞。 2、源代码审计服务的主要对象是PHP、JAVA、ASP、.NET、Python等与Web相关的计算机代码。 3、全文本的跨函数分析,缺陷结果展示跨函数的多步成因。 4、使用文件/文件夹白名单,可以对多个文件 (略) 过滤,不统计该文件和文件夹下检测的问题结果,提高检测精准性。 5、支持缺陷知识库在线查看,能够根据缺陷类型、关键词、威胁等 (略) 搜索,分语言和类型显示该缺陷的等级、详细信息、修复建议和参考信息内容 6、展示多种项目度量的数据,包括但不限 (略) 、圈复杂度,能够提供函数级别的度量数据Api。 7、根据实际需求,提供 (略) 代码的审计服务。 提 (略) 与修复建议。 | 1.输出《代码审计报告》和《代码复查报告》以及整改意见。 |
?
数据安全治理服务 | ||||||
序号 | 服务类别 | 服务子项 | 服务对象 | 服务描述和服务要求 | 服务SLA | |
1 | 数据安全管理类 | B1-1:组织架构 | (略) 门、人员 | 服务描述 从合规要求,结合实际情况, (略) 门充分调研,业务以及数据流动的深度理解,从数据生命周期安全管理角度,对数据安全能力建设和风险控制等;建议数据安全组织架构(如决策、管理、执行),人员配备与组成、岗位设置(如数据管理、数据开发、数据运维、数据审计)、职责划分,人员能力要求等。 | 1人* (略) +专家支撑 | 1、输出满足合规要求并符合实际情况的数据安全组织架构的具体职责建议;2、数据安全意识培训; 3、人员组成与配备合理,可以覆盖数据生命周期安全管理。 |
2 | 数据安全管理类 | B1-2:规章制度 | (略) 门、人员 | 服务描述 根据合规要求, (略) 门的业务、管理现状充分调研,为保障数据安全落地以及风险控制,制定完善的数据安全管理制度,建议数据安全规章制度包含且不限政策方针、制度规范条例、执行明细和模板等方面。 | 输出满足合规要求并符合实际情况的规章制度。 | |
3 | 数据安全管理类 | B1-3:流程规范 | (略) 门、人员 | 服务描述 根据合规要求, (略) 门的业务、管理充分现状调研,除了制度的指导与约束外,结合实际管理流程,制定基于数据生命周期安全管理流程规范,保障数据安全组织架 (略) ,建议流程规范包含且不限如下: (1)数据分类分级审核流程、数据类别、级别变更流程; (2)数据访问申请审批流程; (3)数据共享交换申请审批流程; (4)数据销毁申请审批流程。 | 输出满足合规要求并符合实际情况的流程规范。 | |
4 | 数据治理类 | B2:数据库特权帐号管理服务 | (略) 门、人员 | 服务描述 数据特权账号管理服务是来指导和 (略) 核查和消除账号安全风险,抵御和防范 (略) 的试图通过风险账号发起的攻击,满足各类安全规范对账号密码安全管理方面的要求。 巡检内容包括:弱密码账号、僵尸账号、幽灵账号、 * 个月无改密账号、提权账号等。 | 现场服务 | 服务满足合规要求并符合数据库特权帐号管理。 |
5 | 数据治理类 | B3:数据分类分级 | 所有数据 | 服务描述 根据合规要 (略) 门业务、管理现状,建立数据资产分类分级标准,并输出数据资产分类分级报告。实现对 * 个数据库实例、数据量约 * T的分类分级,详细要求如下: 1、数据分类 (1)分类要求:根据来源、用途、内容、业务以及管理对 (略) 分类; (2)分类维度:数据主题分类、数据形态分类、数据特征分类、数据应用分类、 (略) 署地点分类、数据生成时间分类等。 2、数据分级 (1)分级要求:根据数据价值、重要性、敏感度以及影响范围不同对 (略) 分级; (2)分级原则:a.依从性原则,即数据资产安全等级划分应满足监管要求;b.流程差别化原则,即采用不同的安全策略和管理流程,差别对待不 (略) 全等级的数据资产。 (3)分级维度 a. * 级:低敏感级, (略) 公开的数据, (略) (略) 确定。 b. * 级:较敏感级,不能对外公开,但是经过 * 定审批流程, (略) 门和系统共享的数据。需要要采取 * 定的技术手段,保障数据存储、数据传输、数据交换、数据使用的安全需求。 c. * 级:敏感级,内核心重要数据,只 (略) (略) 使用的数据,需要要采取严格的技术手段,保障数据存储、数据传输、数据交换、数据使用的特殊安全需求。 d. * 级:极敏感级,本级数据与秘密级、机密级和绝密级国家秘密相对应,其泄露会使国家安全和利益遭受不同程度的损害。 | 专家服务,1次/年 | 1、输出符合合规要求以 (略) 门业务、管理方面的数据资产分类分级标准规范; |
6 | 数据安全技术服务 | B4:数据库安全运维管理服务 | 所有重要数据库 | * 、服务描述 从数据库登 * 、访问控制、运维脱敏、数据防篡改、工单系统、运维审计等方面全方位支持数据库安全运维管理,提供不少于 * 个数据库实例以及支持AIX\HPUX\Linux\Wind (略) 主流操作系统的运维管理服务。 * 、服务要求 1、提供分权管理服务:将 (略) 分类分级,将 (略) 归类,形成资产集合,再将资产集合的访问授权分配给不同角色的人员;同时,为避免运维过程中涉及的敏感数据泄露,数据库中的特权账户(DBA运维人员)避免接触敏感数据,并与敏感数据相隔离。 2、通过 (略) 控制,达到未受认证运维工具拒绝登 * 数据库,而受认证运维工具允许登 * 数据库;运维脱敏:根据脱敏策略开展用户身份、敏感数据对象以及脱敏规则实施脱敏。 ▲3、通过DML语句控制命令类型、表格或用户、 (略) (略) 访问控制;对DDL/DCL操作访问控制数据库系统权限、数据库对象权限、数据库代码,防止被删库等。 ▲4、通过数据库运维工具免密登录,当数据库管理人员通过Toad或sql developer等工具登录运维数据库时,通过数据库账号与数字证书的绑定,数据库管理员需要在运维PC端插入持有数字证书的U-key或安装软证书,并通过登 * 数据库运维管理系统的安 (略) 口令及证书认证,让数据库运维管理员在使用数据库运维工具中无需输入数据库用户名密码即可登录已授权访问的数据库,避免运维数据库用户和密码泄露,保障账号安全。 5、通过在数据库服务器上安装安全代理插件,对于通过SQL管理工具直连数据库 (略) (略) 准入控制,防止非法人员绕过安全系统,直接 (略) 访问。 6、提供识别真实应用及SQL管理工具md5特征,防止假冒应用及假冒SQL管理工具违规访问数据库。 | 现场服务,7* * 小时 | 1、根据合规要求、数据安全管理需求,从源头上对人员、角色、工具、操作和数 (略) 精细化的识别、认证和管控; 2、实时检测并阻断高危操作; 3、对于临时的非授权操作,采用工单 (略) 审批和管控。 |
?
??附件
* -2 (略) 络与信息安全服务项目服务申报书V 点击查看>> .docx?( (略) 市大数 (略) * -2 (略) 络与信息安全服务项目 )需求公示
项目名称
(略) 市大数 (略) * -2 (略) 络与信息安全服务项目?采购类型
服务类?采购人名称
(略) 市大数 (略) ?采购方式
公开招标?财政预算限额(元)
点击查看>> ?项目背景
(略) 市大数 (略) (以下简称“采购人”)作为 (略) 市电子政务公共资源的建设和运营单位,负责建设、 (略) 维 (略) 络平台( (略) 出口)、 (略) 、政务信息资源目录体系与交换体系、 (略) 、安全支撑平台等电子政务基础设施;负责建设、 (略) 维护政务信息资源交换平台、人口法人基础库和其他市级公共政务信息资源;负责建设、 (略) (略) (略) 技术平台和电子政务公共应用平台, (略) 生成平台、政务邮件系统、政务短信平台和其他应用支撑平台;承担全市电子政务建设的 (略) 评估工作;协助市级党政机关按照全市统 * 规划开展电子政务建设,向委托单位派驻人员提供技术指导和支持。
为贯彻落实《中华 (略) 络安全法》、网络安全等级保护制度2.0标准等相关法律法规和国家标准, (略) 开展“ (略) 动”专项工作的要求, (略) 络和信息系统及平台实战化、体系化、 (略) 络安全保护体系,特别是提高采购人关键信息基础设施安全防护水平,采购人立项采购“ * -2 (略) 络与信息安全服务项目”。
本项目服务内容主要包括安全通用服务和数据安全治理专项服务。安全通用服务从安全管理、安全技术、安全运维 * 个方面开展安全建设,打造运营服务化、管理 * 体化、事件可预警、事故可追溯、安 (略) (略) 体系。
(略) 涉及各类IT资产约 * 余台/套,包括各类服务器、网络设备、安全设备以及虚拟机等 * 余台/套,数据库系统及中间件 * 余套,涉及华为、华 * 、 * 骨文等众多国内外主流品牌。采购人建设、 (略) 维护的平台和系统 * 多个, (略) 站系统5个,等保备案系统 * 个(等保 * 级系统4个、等保 * 级系统8个,被列入关键信息基础设施候选名录4个)。
??投标人资质要求
服务类清单
| 序号 | 采购计划编号 | 需求内容 | 数量 | 单位 | 备注 | 财政预算限额(元) |
|---|---|---|---|---|---|---|
| 1 | PLAN- 点击查看>> * ? | (略) 市大数 (略) * -2 (略) 络与信息安全服务项目? | 1.0? | 项? | ? | 点击查看>> .0? |
具体技术要求
本项目拟采购的服务内容主要分为安全通用服务(包括安全管理、安全技术、安全运维)、数据安全治理服务等两个方面,服务清单列表见下表,具体技术要求及服务要求见附件。
* 、安全通用服务 * 览表
序号 | 服务类别 | 服务子项 |
安全管理服务-安全制度建设服务 | ||
1 | 安全管理制度 | M1:网络与信息安全工作责任制 |
2 | M2:安全审查管理办法 | |
3 | M3:网络与信息安全应急预案 | |
4 | 安全管理机构 | M4:安全管理机构 |
5 | 安全管理人员 | M5:安全管理人员 |
6 | 安全建设管理 | M6:等 (略) 级备案管理 |
7 | M7:安全建设管理 | |
8 | 安全运维管理 | M8:安全事件管理 |
9 | M9:安全管理 * 员特权权限管理? | |
* | M * :安全配置变更管理 | |
* | M * :风险和漏洞管理 | |
* | M * :安全审计管理 | |
* | M * :安全基线管理 | |
安全管理服务- (略) 培训服务 | ||
1 | (略) 类 | C1: (略) 服务 |
2 | C2:密码应 (略) 服务 | |
3 | 安全培训类 | C3:安全管理与意识培训 |
4 | C4:网络安全专业技术培训 | |
5 | C5:定制化培训 | |
安全技术服务-安全技术防护服务 | ||
1 | 安全监测审计类 | T1:网站安全监测服务 |
2 | T2:日志审计服务 | |
3 | T3:风险和漏洞管理服务 | |
4 | T4:网络自动扫描探测服务 | |
5 | T5:网络恶意代码防范服务 | |
6 | T6:主机防护和恶意代码防范服务 | |
安全运维服务-安全日常运维服务 | ||
1 | 日常运维类 | D1:安全检查服务 |
2 | D2:等级保护测评支持服务 | |
3 | D3:漏洞扫描服务 | |
4 | D4:基线核查服务 | |
5 | D5:安全技术支撑服务 | |
6 | D6:日常运维服务 | |
7 | D7:运维审计服务 | |
8 | 安全情报类 | D8:威胁情报服务 |
安全运维服务-安全专项运维服务 | ||
1 | 应急保障类 | P1:应急响应服务 |
2 | P2:重大保障服务 | |
3 | 安全专项类 | P3:渗透测试服务 |
4 | P4:应急演练服务 | |
5 | P5:风险评估服务 | |
6 | P6:代码审计服务 | |
?
* 、数据安全治理专项服务 * 览表
数据安全治理服务 | ||
序号 | 服务类别 | 服务项 |
1 | 数据安全管理类 | B1-1:数据安全管理:组织架构 |
2 | B1-2:数据安全管理:规章制度 | |
3 | B1-3:数据安全管理:流程规范 | |
4 | 数据安全治理类 | B2:数据库特权帐号管理服务 |
5 | B3:数据分类分级 | |
6 | 数据安全技术类 | B4:数据库安全运维管理服务 |
商务需求
?
* 、付款方式1、项目合同签订后采购人支付安全服务费总额的 * %。中标人须在合同签订后 * 个工作日内提供合同总款项 * % (略) 履约保函及服务承诺函,项目验收后 * 个工作日内退还。2、进场验收合格后采购人支付合同总款项的 * %。
* 、验收要求1、进场验收:验收内容 (略) 人员数量核查、资质审核、背景审查、能力考核,专 (略) * 资料审核,工具数量和资质审核等内容。 (略) 人员数量必须不少于4人,相关资质证书满足招投标文件要求,无犯罪记录,并通过采购人组织面试、笔试等形式的能力测试;核查提供专 (略) * 人员名单,且需要满足招投标文件要求的人数、工作经验年限以及资质要求; (略) 自备工具数量是否满足招投标要求,检查 (略) 数量、品牌、型 (略) 商授权。
2、期中验收:中标人提交期中验收报告,通过由采购人指定的第 * 方运维服务质量评估机构检查,服务评分在 * 分及以上且通过采购人审核,完成期中验收。如服务评分未达到 * 分,则扣除安全服务费总额5%予以扣除作为服务补偿。服务评分指标项见安全管理、技术、运维服务的服务SLA。
3、项目终验:中标人提交项目终验报告并且交接(包括工具割接)完成后,通过由采购人指定的第 * 方运维服务质量评估机构检查,并通过采购人或采购人指定的验收评审(若评审涉及评估费、专家费等,由中标人承担),且服务评分在 * 分及以上,完成项目验收。如服务评分未达到 * 分,则扣除安全服务费总额5%予以扣除作为服务补偿。服务评分指标项见安全管理、技术、运维服务的服务SLA。
4、关键服务考核要求:
(1)中标人在服务期内发生被通报的中高危漏洞累计数不应超过 * 个,如在服务期内累计超过 * 个中高危漏洞(中危漏洞为可利用漏洞),则安全服务费总额5%予以扣除。
(2)中标人在服务期内应避免发生同样漏洞问题被重复通报,加强漏洞发现、监测、处置、修复检测等全生命周期的闭环管理,若中标人未完成闭环管理,造成漏洞问题被重复通报,扣除安全服务费总额3%。
(3)中标人在获得最新漏洞情报,应该立即开展风险检查,并与相关系 (略) 确认,根据检查及确认结果,协 (略) 理,如存在因中标人未及时开展风险检查,导致发生被通报3次及以上,则安全服务费总额3%予以扣除。
(4)中标人开展漏洞扫描工作时,因工具配置不当、使用不熟练以及其他严重工作失误等人为原因,导致明显的高危风险或漏洞(如空口令)未被检测发现,则安全服务费总额3%予以扣除。
(5)中标人应制定详细的安全服务计划方案,协助采购人顺 (略) 过年度安全联合检查,确保不发生绩效评分项扣分情况,若发生绩效评分项扣分的情况,则安全服务费总额3%予以扣除。
(6)中标人应协助采购人做好等级保护年度测评及整改,中标人应根据实际情况提供整改建议,且必要时须临时提供可能缺失的安全产品/设备/工具, (略) 有等保系统通过测评,若由于中标人没有提供整改建议或未能临时提供相关安全产品/设备/工具,发生等保系统未通过测评的情况,则安全服务费总额3%予以扣除。
(7) (略) 漏扫、渗透、风险评估等安全服务工作时,应避免对 (略) 络环境造成故障,如导致系统宕机、重启等情况,应立即启动应急预案。因中标人问题,而导致 (略) 络环境发生了故障,将根据影响严重情况,则安全服务费总额3%予以扣除。
(8)中标人应制定详细的应急响应以及重保方案,发生安全事件时,因中标人响应不及时、技术支撑不到位、处置不当等原因,造成安全 (略) 置而导致发生不良影响,则安全服务费总额5%予以扣除。
(9)上述漏洞通报的主要来源为 (略) 信、网监、通信管理、 (略) 络安全监测和监管机构。漏洞通报的主要覆盖范围为操作系统、网络与安全设备、数据库、中间件 (略) 站等,但不包括终端。
5、上述服务评分和考核产生的服务补偿费用扣除,经双方协商同意,且中标人以等价服务补偿的,可不扣除补偿费用。
?
* 、人员要求1、 (略) 要求
为了获得更好的安全专家技术支撑服务,中标人应组建有不少 (略) 络与信息专 (略) * ,相关安全 (略) (略) 络与信息安全工作经验不少于5年; (略) 专业技术能力应能覆盖应急响应、渗透测试、风险评估、安全审计、代码审计、漏洞管理、安全工程、 (略) 络、操作系统、数据库等各方面,熟悉等保标准2.0, (略) 络与信息安全工程、系统集成、安全服务、咨询设计等项目经验。中标人在投标文件中须提供专 (略) * 人员名单、简历及承诺函(格式自拟)。
2、驻场人员要求
(1)为了保障安全服务质量,中标人需安排项目经理1名、安全服务工程师1名、安全技术支持工程师1名、安全体系建设和审计工程师1名,共计4名,提供5* (略) 服务,以及重大或紧急情况时,根据采购人要求提供7* * 小时服务。
(2) (略) 人员专业技术能力应能覆盖信息安全、网络技术、计算机系统、数据库、安全审计、项目管理等各方面,并具有优秀的文档、技术方案撰写水平。驻场服务人员至少有3人具有注册信息安全专业人员CISP证书或信息安全保障人员CISAW证书或注册信息系统安全认证专家CISSP证书或者软考信息安全工程师证书其中任 * 项。中标人在投标文件 (略) 服务人员名单、简历、资质证书及承诺函。
(3)项目经理主要 (略) 运维服务的项目管理和技术协调角色, (略) 人员管理、工作安排、工作汇报、文档材料审核和归档、技术协调等项目管理工作;要求具 (略) 络安全工作经验,熟悉《网络安全等级保护基本要求GB/T 2 * 》标准与要求, (略) 络与信息安全相关法律法规;有较强的协调、管理、沟通能力,具有全面的技术知识结构,熟悉管理体系。
(4)安全服务工程师主要承担安全日常运维、等保测评支持、漏洞扫描、安全检查、威胁情报、安全工具维护以及报告输出等安全服务;要求具备2年及以上安全运维、工程及服务领域经验, (略) 络安全设备及工具的配置和维护。
(5)安全技术支持工程师主要承担安全技术支撑、基线核查、应急响应、重大时期保障、应急演练、风险评估等安全支持服务;要求具备5年及以上安全运维、工程及服务领域经验,熟悉数据库系统(Oracle/MySQL等)、操作系统(Windows/Linux等)、路由交换等技术。
(6)安全体系建设和审计工程师主要承担安全管理制度建设、运维审计、日志审计、网站安全监测、报告撰写等服务;要求具备2年及以上安全运维、工程及服务领域经验,熟悉安全体系建设以及安全审计工作与流程,具备良好的沟通能力,具备优秀的文字表达能力和文案能力。
(7)在安全服务人员保障方面,中标人须至少提供2名备份技术人员,按中心要求(包括但不 (略) 、安全检查、重大保障等期间) (略) 服务。
(8)中标人派 (略) (略) 络安全专业技术人员应符合采购人专业技术水平、安全保密等工作要求(需签订《网络与信息安全责任书》、《保密承诺函》),无法满足采购人对服务能 (略) 人员,采购人有权要求中标人更换具备服 (略) 人员,人员更新不得影响运维服务工作质量和效果。
(9)中标人应确保派驻本 (略) 络 (略) 人员的稳定性,原则上中标人派 (略) 的人员应按采购人 (略) 管理,中标人派驻在本项目的人员如需变动,中标人须经过采购人同意且做好工作支撑准备后方可更换,采购人有权拒绝中标人的人员变更要求的权利。
( * )采购人将对中标人派驻 (略) 人员和为本项目提供服 (略) 人员安全审查,未通过审查的人员不 (略) 络安全服务。
( * ) (略) 服务的人员,需严格遵守并服从采购人的相关管理规定和工作安排,面对问题时,能够第 * 时间发现问题的原因,给出合理的解决方案,并协调相关的人 (略) 处理;工作期间不得擅自离开采 (略) 所,若确需离开的,中标人应提前通知并征得采购人同意,中标人同时暂派其他支撑服务人员顶替工作;未经采购人同意情况下,中标人不得以任 (略) (略) 服务的人员从事与本项目无关的其它工作; (略) 服务的人员能根据采购人 (略) 加班,应急保障等特殊情况,现场服务的人员的订餐、用餐费用由中标人完全承担; (略) 服务的人员如在非工作时间内进入采 (略) 所,需事先征得采购人同意。
( * )中标人 (略) 的维护服务人员签订劳动 (略) (略) 服务的人员的工资、奖金、福利待遇及其他 * 切费用;中标人必 (略) 会保险,并定期提供人员健康检查服务;关注服务人员的身心健康,做好安全教育工作, (略) 的服务人员发生人身安全事故,由中标人负责,与采购人无关。
?
* 、实质性条款序号 | 具体内容 |
1 | 投标人须完全响应本项目服务期限要求、验收要求、人员要求以及拟采购的安全服务内容,即《附件1安全管理服务》(包括《附件1-1 安全制度建设服务》《附件1-2 (略) 培训服务》)、《附件2 安全技术服务》、《附件3 安全运维服务》(包括《附件3-1 安全日常运维服务》《附件3-2 安全专项运维服务》)、《附件4 数据安全治理服务》中所有服务子项的服务对象、服务描述以及服务SLA。(投标文件中提供人员名单、简历、资质证书及承诺文件) |
2 | 投标人为采购人提供《附件2 安全技术服务》《附件3-1 安全日常运维服务》《附件4 数据安全治理服务》中所列日志审计服务、网络恶意代码防范服务、主机防护和恶意代码防范服务、漏洞扫描服务、数据库安全运维管理服务5个服务子项的服务内容时, (略) 自备的安全专用产品(组件/工具/平台) (略) 颁发的计算机信息系统安全专用产品销售许可证。(投标文件中提供证书扫 (略) 计算机信息系统安全专用产品销售许可证查询平台真实的系统查询截图) |
?
* 、知识产权所有的交付成果及其附件的知识产权属于采购人,采购人在中华人民共和国境内使用投标人提供的货物及服务时免受第 * 方提出的侵犯其专利权或其它知识产权的起诉。如果第 * 方提出侵权指控,中标人应承担由此而引起的 * 切法律责任和费用。
?
* 、报价报价范围:本项目报价以人民币报价。投标报价为综合报价,报价包含人员成本、差旅、税金、管理费、专家评审费、 (略) 有费用。投标人只能有 * 套报价方案。
?
* 、违约责任1、 (略) 文件的保密工作, (略) 资料及文件内容。如发生资料泄露事件,将依法追究相关责任。
2、中标人应提供优质服务,确保交付成果达到采购人要求,如因中标人原因导致未能通过采购人项目验收,采购人有权将中标人履约情况上报 (略) 市政 (略) 门,作为供应商履约评价。
3、违约责任:采购人逾期退还履约保证金的,除应当退还履约保证金本金外,还应当每日按合同总价的3‰向中标人偿付违约金,但因中标人自身原因导致无法及时退还的除外。
4、中标人违反合同及其附件约定的任何义务,采购人有权在履约保证金中直接扣除中标人应向采购人支付的违约金或损失赔偿额,如有不足的,中标人 (略) 分予以赔偿。
?
* 、其它1、为获得更好的服务质量,中标人提供日志审计服务、风险和漏洞管理服务、网络自动扫描探测服务、网络恶意代码防范服务、主机防护和恶意代码防范服务、漏洞扫描服务、基线核查服务、数据库安全运维管理服务服务子项的服务内容时,按要求自备的工具/组件/平台,须在合同签订时提供满足服务期限 (略) 售后服务承诺函原件。
2、其他未尽事宜由供需双方在采购合同中详细约定。
??评标信息
评标方法:综合评分法(新价格分算法)
综合评分法, (略) (略) 实质性要求,且按照评审因素的量化指标评审得分最高的投标人为中标候选人的评标方法。
价格分计算方法:
采用低价优先法计算,即满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。其他投标人的价格分统 * 按照下列公式计算:
投标报价得分=(评标基准价/投标报价)× *
评标总得分=F1×A1+F2×A2+……+Fn×An
F1、F2……Fn分别为各项评审因素的得分;
A1、A2、……An 分别为各 (略) 占的权重(A1+A2+……+An=1)。
评标过程中,不得去掉报价中的最高报价和最低报价。
?
序号 | 评分项 | 权重 | ||
1 | 价格 | * | ||
2 | 技术 | * | ||
? | 行号 | 内容 | 权重 | 评分准则 |
1 | 项目实施计划方案以及项目重点难点分析、应对措施及相关的合理化建议 | * | 根据国家法律法规和标准,考察投标人安全服务方案编制的科学性、严谨性、全面性、美观性。目标理解准确,任务分解得当,工作安排合理,从实际出发 (略) 络安全建设的重点、难点,如需求分析、项目难点分析、应急措施、解决办法等。 根据投标文件 (略) 评分: 1、项目实施计划方案应包括项目背景、需求理解和掌握、总体服务能力、总体服务框架等内容以及安全通用服务(须从安全管理、安全技术、安全运 (略) 详细说明)、数据安全治理服务等分项服务方案。 (1)方案完整,包括上述内容; (2)内容充实、材料丰富、论据充足; (3)对采购人安全服务需求理解准确; (4)关键考核指标分析透彻,完全贴合项目情况。 以上4小项要求,满足1项得 * 分,最多可得 * 分。 2、项目实施计划方案应包括重点保障、应急响应等内容,且表述准确,完全贴合项目情况。 (1)方案完整,包括上述内容; (2)内容表述准确,完全贴合项目情况。 以上2小项要求,满足1项得 * 分,最多可得 * 分。 3、项目实施计划方案对安全服务过程中的可能出现的各类问题分析透彻、描述清晰,提出的应对措施及相关建议合理、准确。 (1)可能出现的各类问题分析透彻、描述清晰; (2)提出的应对措施及相关建议合理、准确。 以上2小项要求,满足1项得 * 分,最多可得 * 分。 4、项目实施计划方案对采购人安全服务工作任务应分解得当,且实施计划安排、进度控制合理,得 * 分,最多可得 * 分。 5、项目实施计划方案对组织架构、角色分工、人员安排、资源调度合理,得 * 分,最多可得 * 分。 以上5大项合计,最多可得 * 分。 | |
2 | 质量(完成时间、安全、环保)保障措施及方案 | * | 考察投标方案对项目的质量管理认识,如项目管理维度、项目管理方法论、项目风险管理等。根据投标文件 (略) 评分: 1、为保证采购人安全服务工作的质量,提出质量保障措 (略) 、合理,采取的质量管理方法全面、准确、得当; 2、投标人具备成熟完善的项目质量管控制度及项目质量管控工具或系统,可对项目 (略) 跟踪、追溯、投诉、反馈、统计; 3、针对本项目安全服务关键考核指标,提出的补偿措施完整、清晰、合理,符合采购人业务实际需求。 满足以上3项标准的得 * 分,满足2项标准的得 * 分,满足1项标准的得 * 分,其它不得分。 | |
3 | 投标服务自备工具重点服务要求 | 8 | ( * )评分内容: 考察投标人在本项目须自备工具/组件/平台(以下简称“工具”)的日志审计服务、风险和漏洞管理服务、网络自动扫描探测服务、网络恶意代码防范服务、主机防护和恶意代码防范服务、漏洞扫描服务、基线核查服务、数据库安全运维管理服务8个服务子项的服务要求的满足情况。 1、上述8个服务子项,每1个服务子项设置分值 * .5分,8个服务子项合计最多 * 分。 2、投标人未能完全响应1个服务子项的 * 条非标记“▲”的服务要求,则扣除1. * 分,该服务子项分值扣完为止。 3、投标人未能完全响应1个服务子项的 * 条标记“▲”的服务要求,则扣除3. * 分,该服务子项分值扣完为止。 ( * )评分依据: 1、根据投标人应标情况,由专家打分。上述每类服务的服务要求项,投标人均提供服务要求完全响应文件和承诺文件,其中标记“▲”的服务要求,投标人必须提供能满足服务要求的详细佐证材料,佐证材料包括:真实系统截图以及说明材料,或第 * 方专业机构测试报告等。不提供或提供不完善、不准确的视为不满足(不完善不准确包括:证明材料不清晰、不完整、不匹配、不合理等,完善与准确的标准由专家判定)。 2、评分中出现 (略) 提供资料判断是否得分的情况, * (略) 理。 3、 (略) 符合视为完全满足; (略) (略) 分满足视为不满足。 | |
4 | 违约承诺 | 3 | 根据投标文件 (略) 评分: 1、投标人对采购人提出的安全服务过程中质量保证、售后服务、验收条件、考核要求、服务交接等内容作出全面违约承诺; 2、投标人 (略) 性高,包括具体的违约条款和违约责任。 满足以上两项标准的得 * 分,满足 * 项标准的得 * 分,其它不得分。 | |
3 | 综合实力 | * | ||
? | 行号 | 内容 | 权重 | 评分准则 |
1 | 投标人通过相关认证情况 | 5 | ( * )评分内容: 1、具有中国信 (略) 颁发的信息安全服务(安全工程类) * 级及以上 (略) 络安全审查 (略) 颁发的 * 级及以上资质得 * 分;具有中国信 (略) 颁发的信息安全服务(安全工程类) (略) 络安全审查 (略) 颁发的信息系统安全集成服务 * 级资质得 * 分;其他不得分。 2、投标人具有经认监委批准的认证机构颁发的ISO * 1信息安全管理体系认证,得 * 分。 3、投标人具有经认监委批准的认证机构颁发的GB/T * 1-ISO * 质量管理体系认证,得 * 分。 4、投标人应有良好的 (略) 维护能力,具有ITSS信息技术服务标准认证的信息 (略) 维护标准符合性证书或具有ISO * 0信息技术服务管理体系认证证书,得 * 分。 5、投标人应有良好的资信,具备AAA级或以上资信等级证书,提供证书扫描件,得 * 分。 ( * )评分依据: 1.要求提供有效的认证证书(管理体系认证证书还需提供国家认证认 (略) (略) (www.cnca.gov.cn) (略) 查询截图)作为得分依据。 2.以上资料均要求提供扫描件( (略) 截图)。评分中出现无证明资料或 (略) 提供资料判断是否得分的情况, * (略) 理。 | |
2 | 投标人同类项目业绩情况 | 3 | ( * )评分内容: 投标人近3年(自 * 日以来,以合同签订之间为准)具有以下项目经验: 1、承 (略) 市( (略) 级)及以上政府 (略) (略) 络与信息安全等级保护服务类项目的,得 * 分; 2、承 (略) 市( (略) 级)及以上政府 (略) 总部机构系统或安全运维服务项目的,得 * 分。 以上2项,合计最高得 * 分。 ( * )评分依据: 1.要求同时提供合同关键信息作为得分依据,通过合同关键信息无法判断是否得分的,还须同时提供能证明得分的其它证明资料,如项目报告或合同 * 方出具的证明文件等。以上资料均要求提供扫描件。 2.如服务 * 方 (略) 或其他不能轻易判断是否符合要求的单位, (略) (略) 的央企名录截图或工商登记信息等能有效证明的佐证材料,作为得分依据。 评分中出现无证明资料或 (略) 提供资料判断是否得分的情况, * (略) 理。 | |
3 | (略) 络与信息安全专业技 (略) * (不少于 * 人) | 3 | ( * )评分内容:? 投标人须提供不少 (略) 络与信息专业技 (略) * 人员名单以及资质证书: 1、具有漏洞挖掘与研究方面技术专家,具有CISP/CISAW(注册信息安全专业人员/信息安全保障人员认证)、系统分析师,提交过至少2个或以上国家信息安全漏洞库(CNNVD)或国家安全漏洞共享平台(CNVD)通用型原创漏洞,得 * 分; 2、具有注册信息安全专业人员-应急响应工程师认证CISP-IRE或信息安全应急响应工程师C (略) 络与信息安全应急人员认证CCSRP证书其中任 * 项,得 * 分; 3、具有注册云安全专家认证CCSP或云计算安全知识认证CCSK证书其中任 * 项,得 * 分; 4、 (略) 络安全高级工程师H3CSE-Security或华为安全专家HCIE-Security证书其中任 * 项,得 * 分; 5、具有Oracle数据库认证专家OCP资质证书,得 * 分。 以上5项,合计最多可得 * 分。1 (略) 的成员,每人至少持有以上其中1项证书,否则扣除 * 分,该评分项得分扣完为止。 ( * )评分依据: 1.要求提供投标人相关证明资料作为得分依据。 2.以上资料均要求提供扫描件( (略) 截图)。评分中出现无证明资料或 (略) 提供资料判断是否得分的情况, * (略) 理。 3.如涉及考察人员工作经验,要求提供项目合同关键信息作为得分依据,通过合同关键信息无法判断是否得分的,还须同时提供合同 * 方出具的证明文件。 | |
4 | 拟安排的项目经理情况(仅限 * 人) | 3 | ( * )评分内容: 资质要求: 1、具有软考系统集成项目管理工程师或信息系统项目管理师或项目管理专业人士PMP资质证书其中任 * 项得 * 分; 2、 (略) 络等技术,具有华为HCNP/HCIP或华 * H3CSE或思科CC (略) 络工程师或以上的其中 * 项资质证书得 * 分; 3、承 (略) 市( (略) 级)及以上政府 (略) (略) 络与信息安全工程集成或服务类项目经验得 * 分。 以上3项合计,最多可得 * 分。 ( * )评分依据: 1.要求提供人员相关资质证书扫描件。 2. 要求提供人员 (略) 络与信息安全工程集成或服务类项目的有效证明文件,如项目合同,以及投标文件或项目方案或往来函件或验收材料或 * 方证明等含有项目人员信息的有效证明文件作为得分依据。以上资料均要求提供扫描件( (略) 截图)。如服务 * 方 (略) 或其他不能轻易判断是否符合要求的单位, (略) (略) 的央企名录截图或工商登记信息等能有效证明的佐证材料,作为得分依据。评分中出现无证明资料或 (略) 提供资料判断是否得分的情况, * (略) 理。 | |
5 | 拟安 (略) (略) 成员情况(除项目经理之外的其他3人) | * | ( * )评分内容: 资质要求: 1、 (略) 络等技术,具有华为HCNA/HCIA或华 * H3CNE或思科CC (略) 络管理员的其中 * 项资质证书,提供1人得 * 分,最多可得 * 分;具有华为HCNP/HCIP或华 * H3CSE或思科CC (略) 络工程师或以上的其中 * 项资质证书,提供1人证书得 * 分,最多可得 * 分。 2、熟悉操作系统(Windows/Linux等)或数据库,具有红帽认证系统管理员RHCSA或红帽认证工程师RHCE认证证书或具有ORACEL数据库OCP认证证书,提供1人证书得 * 分。 3、具有信息系统审计师ISA或者国家注册信息系统审计师CISP-A或者注册信息系统审计师认证CISA证书或者具有注册数据安全治理专业人员(CISP-DSG)认证证书其中任 * 项,提供1人证书得 * 分,最多可得 * 分。 以上 * 项,合计最多可得 * 分。 (略) 成员,每人至少持有以上其中1项证书,不重复得分。 ( * )评分依据: 要求提供人员相关资质证书扫描件。 | |
6 | 自主知识产权产品(创新、设计)情况 | 3 | ( * )评分内容: 考察投标人提供日志审计服务、风险和漏洞管理服务、网络自动扫描探测服务、网络恶意代码防范服务、主机防护和恶意代码防范服务、漏洞扫描服务、基线核查服务、数据库安全运维管理服务服务子项的服务内容时,按要求自备的工具/组件/平台(以下简称“工具”)的自主知识产权情况。 1、自备工具具有自主知识产权的,每提供1类工具的自主知识产权证明材料,得 * 分,最多可得 * 分。同1类工具,提供多份的,仅计算1次。 ( * )评分依据: 1.要求提供有效的产权(专利)证书、软件著作权登记证书等证明材料作为得分依据。 2.以上资料均要求提供扫描件( (略) 截图)。评分中出现无证明资料或 (略) 提供资料判断是否得分的情况, * (略) 理。 | |
7 | (略) 情况 | 1 | 要求投标人就是否受 (略) (略) 罚作为得分依据;以投标人在投标文件中提供的承诺作为依据;若隐瞒情况虚假应标将导致投标无 (略) 门处理。采取客观化评分; (略) 罚不得分。 | |
8 | (略) 点 | 2 | (略) 企业或非 (略) 企业,但在 (略) (略) (略) 等机构的,得满分(须在投标文件中就设立的 (略) 说明,并提供机构营业执照扫 (略) 房屋租赁合同扫描件);否则不得分。 | |
4 | 疫情防控 | 5 | ||
? | 序号 | 评分因素 | 权重 | 评分准则 |
? | 1 | 疫情防控重点保障企业 | 3 | 纳入全国性名单或地方性名单的疫情防控重点保障企业(以下简称“重点保障企业”),直接参与我市政府采购投标的,提供至少 * 项自身属于重点保障企业的证明材料( (略) 页链接、 (略) 页截图、 (略) 门出具的文件或者企业享受重点保障企业优惠政策的其他证明文件均可),即可获得评审得分。 |
? | 2 | 稳岗企业 | 2 | 未裁员或裁员率低于 * %的企业,即投标前 * 个 (略) 会保险(至少包括养老保险)的员工人数(含免缴 (略) 会保险人数)不低于 * 年 * 月同口径人数 * %(含)的企业,视为稳岗企业,提供自身符合稳岗企业条件的承诺函即可获得评审得分。 投标人提供虚假承诺的,将 (略) 理,涉嫌存 (略) 为的, (略) (略) 罚。 |
5 | 诚信情况 | 7 | ||
? | 序号 | 评分因素 | 权重 | 评分准则 |
1 | (略) 诚信管理情况 | 5 | 根据《 (略) 关于加强招投标评审环节诚信管理的通知》(深财购[ * ] * 号)相关规定,投标人在参与政府采购活动中出现诚信相关问题且 (略) 门处理措施实施期限内的本项不得分,否则得满分。投标人无需提供任何证明材料,由工作 (略) 提供相关信息。 | |
2 | (略) 履约评价情况 | 2 | 近 * 年(以投标截止日期为准)在 (略) 有履约评价为差的记录,本项不得分,否则,得满分。投标人无需提供任何证明材料,由代理机构工作 (略) 提供相关信息。 | |
?
??其他
网络与信息安全服务项目安全服务内容
* 、安全通用服务 * 览表序号 | 服务类别 | 服务子项 |
安全管理服务-安全制度建设服务 | ||
1 | 安全管理制度 | M1:网络与信息安全工作责任制 |
2 | M2:安全审查管理办法 | |
3 | M3:网络与信息安全应急预案 | |
4 | 安全管理机构 | M4:安全管理机构 |
5 | 安全管理人员 | M5:安全管理人员 |
6 | 安全建设管理 | M6:等 (略) 级备案管理 |
7 | M7:安全建设管理 | |
8 | 安全运维管理 | M8:安全事件管理 |
9 | M9:安全管理 * 员特权权限管理 | |
* | M * :安全配置变更管理 | |
* | M * :风险和漏洞管理 | |
* | M * :安全审计管理 | |
* | M * :安全基线管理 | |
安全管理服务- (略) 培训服务 | ||
1 | (略) 类 | C1: (略) 服务 |
2 | C2:密码应 (略) 服务 | |
3 | 安全培训类 | C3:安全管理与意识培训 |
4 | C4:网络安全专业技术培训 | |
5 | C5:定制化培训 | |
安全技术服务-安全技术防护服务 | ||
1 | 安全监测审计类 | T1:网站安全监测服务 |
2 | T2:日志审计服务 | |
3 | T3:风险和漏洞管理服务 | |
4 | T4:网络自动扫描探测服务 | |
5 | T5:网络恶意代码防范服务 | |
6 | T6:主机防护和恶意代码防范服务 | |
安全运维服务-安全日常运维服务 | ||
1 | 日常运维类 | D1:安全检查服务 |
2 | D2:等级保护测评支持服务 | |
3 | D3:漏洞扫描服务 | |
4 | D4:基线核查服务 | |
5 | D5:安全技术支撑服务 | |
6 | D6:日常运维服务 | |
7 | D7:运维审计服务 | |
8 | 安全情报类 | D8:威胁情报服务 |
安全运维服务-安全专项运维服务 | ||
1 | 应急保障类 | P1:应急响应服务 |
2 | P2:重大保障服务 | |
3 | 安全专项类 | P3:渗透测试服务 |
4 | P4:应急演练服务 | |
5 | P5:风险评估服务 | |
6 | P6:代码审计服务 | |
数据安全治理服务 | ||
序号 | 服务类别 | 服务子项 |
1 | 数据安全管理类 | B1-1:数据安全管理:组织架构 |
2 | B1-2:数据安全管理:规章制度 | |
3 | B1-3:数据安全管理:流程规范 | |
4 | 数据安全治理类 | B2:数据库特权帐号管理服务 |
5 | B3:数据分类分级 | |
6 | 数据安全技术类 | B4:数据库安全运维管理服务 |
安全管理服务-安全制度建设服务 | ||||||
服务说明: (略) 络与信息安全管理现状, (略) 络与信息安全总体策略、规范、手册等制度文档, (略) 络与信息安全方针和策略总纲, (略) 络与信息安全管理体系文件(包括但不限于策略、制度、规范、作业手册等),提出完善和修订建议,不断优化管理制度体系, (略) 和实施,提升和强化管理效力,保证制度体系的合规性、可行性、可操作性。 | ||||||
序号 | 服务类别 | 服务子项 | 服务对象 | 服务描述 | 服务SLA | |
1 | 安全管理制度 | M1:网络与信息安全工作责任制 | 网络与信息安全建设纲领性文件 | (略) (略) 门检查和考核要求,协助 (略) 络安全工作责任制实施办法或细则,明确责任制实施要求, (略) 络与信息安全总体方针和安全策略制度文件, (略) 络与信息安全总体目标、适用范围、指导原则、管理意图和安全框架, (略) 络与信息安全建设工作, (略) 络与信息安全工作整体情况汇报和重大事项议定的相关流程规范和机制等。 | 专 (略) 服务,年度 * 次 | 1.?输出编制和修订的制度、流程规范和手册,并经通过审批发布。 2.?所有体系文件条款应满足国家法律法规和安全等保制度要求。 3.?应急预案等制度符合实际以 (略) 门监管要求,且能落地实施。 |
2 | 安全管理制度 | M2:网络安全审查管理办法 | 相关管理制度、流程、手册 | 以国家《网络安全审查办法》等相关法规与标准要求为依据, (略) 络安全审查管理办法,确保关键信息基础设施供应链安全, (略) 络和信息系统及平台的安全,审查制度应包括:安全设备审查流程、安全检查要求(密码应用安全性、双因素认证、日志存储和管理等), (略) 络产品和服务的安全性(是否存在中高危漏洞)、可控性等。 | 驻场服务,年度 * 次 | |
3 | 安全管理制度 | M3:网络与信息安全应急预案 | 相关应急管理制度、流程、手册 | (略) (略) 门检查检查和考核要求, (略) 络与信息安全应急工作机制, (略) 络与信息安全专项应急总体预案,结合安全风险,针对重要系统制定和完善专项应急预案,包括制定统 * 的应急预案框架,如启动预案的条件、应急组织构成、应急资源保障、事后教育和培训等内容;制定重要事件的应急预案, (略) 理流程、系统恢复流程等内容。 | 专 (略) 服务,年度 * 次 | |
4 | 安全管理机构 | M4:安全管理机构 | 相关管理制度、流程、手册 | (略) (略) 门检查检查和考核要求, (略) 络与信息安全管理现状,协 (略) 络与信息安全管理机构,完善各岗位职责;调研安全运维流程和用户权责分配情况,帮助优化授权审批制度; (略) 络与信息安全 * 员管理岗位,明确岗位职责,使各项安全工作有章可循、按章办事,保证各 (略) 在可控状态下运作,避免职责不明、权限不清的现象; (略) 络与信息安全应急 (略) 机制, (略) 专业机构的 (略) 渠道, (略) (略) 门、业界专家、 (略) 商等外联单位联系列表,实现信息共享,形成有效的联动 (略) 置机制。 | 驻场服务,年度 * 次 | 4.?输出编制和修订的制度、流程规范和手册,并经通过审批发布。 5.?所有体系文件条款应满足国家法律法规和安全等保制度要求。 |
5 | 安全管理人员 | M5:安全管理人员 | 相关管理制度、流程、手册 | (略) 络与信息安全管理现状,根据等保制 (略) 络安全规范等法律法规,协助建立健全系统管理、安全管理、审计管理等 * 员以及数据运维人员的录用和离岗制度,包括对人员身份背景审查、专业技能考核等要求;协助制定第 * 方人员安全管理制度, (略) 人员的访问区域、访问授权审批、离场等提出安全要求。 | 驻场服务,年度 * 次 | |
6 | 安全建设管理 | M6:等 (略) 级备案管理 | 相关管理制度、流程、手册 | 协助优化完善等保系统定级备案制度以及流程规范。 | 驻场服务,年度 * 次 | 1.?输出编制和修订的制度、流程规范和手册,并经通过审批发布。 2.?所有体系文件条款应满足国家法律法规和安全等保制度要求。 |
7 | 安全建设管理 | M7:安全建设管理 | 相关管理制度、流程、手册 | 协助建立健全信 (略) 络与信息安全同步规划、同步建设、 (略) 的制度和基本原则,明确安全方案设计、产品采购和使用、软件开发、工程实施、测试验收、系统交付、等保测评、服务供应商选择等过程中相 (略) (略) 门职责和边界,定义工作制度流程。 | 专 (略) 服务,年度 * 次 | |
8 | 安全运维管理 | M8:安全事件管理 | 相关管理制度、流程、手册 | 协助优化完 (略) 置管理制度、流程以及安全事件报告模板,包括但不限于明确安全事件管理中安全与运维责任划分,定义安全事件分级分类,明确 (略) 处理、报告和后期恢复等过程 (略) 门和职责等内容。 | 驻场服务,年度 * 次 | 1.?输出编制和修订的制度、流程规范和手册,并经通过审批发布。 2.?所有体系文件条款应满足国家法律法规和安全等保制度要求。 |
9 | 安全运维管理 | M9:安全管理 * 员特权权限管理 | 相关管理制度、流程、手册 | 协 (略) 络与信息安全 * 员(系统管理员、安全管理员、审计管理员)特权权限管理相关规范流程,包括但不限于定义账号、口令和权限管理的不同保障级别,明确各系统建立 * 员账号以及权限设置的要求,确定权限分析和管理的基本原则和规范,编制流程中需要的各种表格等内容。 | 驻场服务,年度 * 次 | |
* | 安全运维管理 | M * :安全配置变更管理 | 相关管理制度、流程、手册 | 协助建立健全安全配置管理制度和安全变更管理制度,结合IT资产,优化完善安全配置管理规范和手册,从修订变更范围、变更申请、变更方案、变更风险评估、回退机制等环节优化完善安全变更管理流程,明确变更的提出、评审、认可等控制程序和方法,以达到控制和削减在 * 定条件下产 (略) 络与信息安全的不良影响。 | 驻场服务,年度 * 次 | |
* | 安全运维管理 | M * :风险和漏洞管理 | 相关管理制度、流程、手册 | 结合安全需求,建立健全风险和漏洞管理制度和流程,定义从资产发现、漏洞监测、漏洞识别、 (略) 置、漏洞修复检测的全生命周期闭环管理规范和流程,定义漏洞通报方式,确 (略) 理工作内容、流程,通过风险和漏洞管理制度和流程来指导和规范风险和漏洞管理,提高 (略) 置能力。 | 驻场服务,年度 * 次 | |
* | 安全运维管理 | M * :安全审计管理 | 相关管理制度、流程、手册 | (略) 络与信息安全审计制度和流程, (略) 络与信息安全工作(包括但不限于漏洞扫描、修复,安全配置基线,安全日志审计,日常维护等)审计对象、流程规范、技术手段,确保安全审计管理 (略) 。 | 驻场服务,年度 * 次 | |
* | 安全运维管理 | M * :安全基线管理 | 相关管理制度、流程、手册 | 调研和梳理设备及系统(包 (略) 络设备、安全设备、主机操作系统、数据库系统、应用系统、中间件)的类型、版本等信息,建立设备维护手册和操作指南,指导 (略) 维护过程中的具体安全操作,如各类安全技术指南,各类安全检查表要求等;建立相关安全基线规范和实际配置范例, (略) 修订。 | 专 (略) 服务,年度 * 次 | |
安全管理服务- (略) 培训服务 | |||||
序号 | 服务类别 | 服务子项 | 服务对象 | 服务描述 | 服务SLA |
1 | (略) 类 | C1: (略) 服务 | 信息化项目 | 针对新建信息化项目以及系统升级改造、检查整改等方面, (略) 络 (略) 服务。主要内容包括: 1、新建以及升级改造信息化项目的安全方案设计、产品采购和使用、软件开发、工程实施、测试验收、系统交付、等保测评、服务供应商选择等过程, (略) 络与信息 (略) 服务; 2、对于在各类检查和 (略) 络与信息安全风险和问题, (略) 服务,并撰写整改建议,并协助开展系统整改; 3、就网络与信息安全领域新的技术、体系等,开展技术交流、咨询及分享。 | 1.? (略) 报告。 2.?输出整改建议,并协助整改。 3.?输出会议纪要。 |
2 | (略) 类 | C2:密码应 (略) 服务 | 密码应用 | 依据《中华人民共和国密码法》以及国标《信息系统密码应用基本要求》、《信息安全技术 网络安全等级保护基本要求》等国家法律法规和标准,结合实际情况,开展调查研究,撰写密码应用升级改造建设方案,并通过具有密码评测资质 (略) 政主管机关的专家评审。 | 1.输出密码应用改造项目建议书并通过评审 |
3 | 安全培训类 | C3:安全管理与意识培训 | 全员 | 主要服务内容包括: 1、从安全办公、个人信息安全、帐户安全等方面普及安全常识,对常见的信息 (略) 分析,讲解,使员工提高信息安全意识,告 (略) 络行为不可为,如果 (略) 为就要承担法律责任,构成犯罪的还承担刑事责任。 2、开展《中华 (略) 络安全法》、《等级保护系列标准》、《数据安全管理办法》、《密码法》等国家法律法规和标准培训。 3、 (略) 络与信息安全管理制度、流程培训,使全员人员了解相关安全制度和流程内容,更好的支撑信息安全相关工作。 | 1.?输出培训计划、记录。 2.?全员培训时间不少于4小时/人。 |
4 | 安全培训类 | C4:网络安全专业技术培训 | 网络安全管理与技术人员 | 主要涉及渗透测试、风险评估、等级保护、数据安全、系统审计等方面内容,理论结合实际,通过案例分析,使得培训人员充分了解漏洞分析、利用、挖掘,数据安全,风险评估,系统审计等内容。 | 1.?输出培训计划、记录。 2.?培训时间不少于8小时/人。 |
5 | 安全培训类 | C5:定制化培训 | 网络安全管理与技术人员 | 根据要求提供CISP、CCSRP、CISAW、H3CSE-Security、HCIE-Security、CISA、项目 (略) 络安全专业资质培训及考试认证服务,共计不少于6人次。 | 提供培训及考试认证 |
安全技术服务 | |||||
序号 | 服务类别 | 服务子项 | 服务对象 | 服务描述和服务要求 | 服务SLA |
1 | 安全监测审计服务 | T1:网站安全监测服务 | (略) (略) 站及接口 | 服务描述 对 (略) (略) 站及接口提供安全监测服务,监控内容包括但不限于可用性、死链、挂马、暗链、篡改和敏感词。 针对 (略) 网站及接口,提供7* * 小时安全监测服务, (略) 监测平台,包括但不限于以下内容:域名可用性(每分钟)、网站首页和 * 级页面可用性(每分钟)、网站首页和 * 级页面敏感字监测(每分钟)、网站首页和 * 级页面错链扫描(每分钟)、网站首页 (略) 页篡改(每分钟)、指定API接口的可用性(每小时)、指定 * 个文件下载的可用性(每小时)、网页挂马(每周)等内容,并实时提供短信、邮件安全告警功能。 发现安全问题后,须在5分钟内以微信、短信、电话和邮件等多种方式告知用户。 | 1.对网络和主机环境不产生影响。 2.提供持续监测服务,按要求每周(月)输出安全监测报告。 |
2 | 安全监测审计服务 | T2:日志审计服务 | 指定等保系统,不多于 * 个系统 | * 、服务描述 针对指定等保系统的主机设备、安全设备、网络设备、操作系统、数据库、中间件等产 (略) 日志、应用服务日志、操 (略) 过滤筛选和审计分析,以监督不当 (略) 为,并对发生 (略) (略) 责任追查。 1、重点审计和分析: (1)操作系统 (略) 为,包括增删账户、重启、口令爆破等; (2)We (略) 为,包括XSS攻击、SQL注入攻击等, (略) 为等; (3) (略) 为,包括设备配置变更、设备工作异常等; (4)安全设 (略) 为, (略) 为、可疑操作、事件类型分布、事件发展趋势、事件频率等。 2、自备日志审计工具不少于1台/套,日志须留存6个月及以上。 * 、服务要求 ▲1、对指定服务对象开展操作日志、审计日志、流量日志、威胁日志、主机日志等各类日志收集、存储、查询、统计分析等。 2、对指定服务对象按照日志属性、日志类型、 (略) 数据备份。 3、通过各种手段,实时不间断地采集指定服务对象 (略) 商的安全设备、网络设备、操作系统等产生的海量日志信息,并通过Syslog、SNMP Trap、NetFlow、ODBC/JDBC、私有TCP/ UDP 等 (略) 日志采集。 ▲4、根据指定服务对象的设备类型、日志类型、日志等级等开展实时监控,并 (略) 商安全设备、网络设备、操作系统、应用日志开展适配分析。 5、对存储的日志,按照指定的检索要求(如开始时间、结束时间、动作类型、设备名称、日志等级、用户名、源IP、目的IP、协议)进行原始日志内容全文检索和查询匹配。 6、按照指定的统计维度、统计方式(柱状图、饼状图、折线图、表格)的生成日志报告,并对指定的检索字段和条件格式(如变色、色阶)突出标记。 | 1.?每季度输出《日志审计分析报告》。 |
3 | 安全监测审计服务 | T3:风险和漏洞管理服务 | 所有设备和系统,涉及IP数不少于 * 个 | * 、服务描述 提供风险和漏洞管理服务,包括但不限于IT资产(包括应用系统、操作系统和安全设备以及IP地址、MAC地址、域名、软件名称、软件版本、开放端口等)全面普查和梳理、风险和漏洞管理、风险和漏洞分析、统计分析、报表统计、资产台账等服务,支持快速识别风险和漏洞,提供漏洞的全生命周期管理服务,形成漏洞发现、漏洞监测、工单派发、 (略) 置、漏洞复测等全过程漏洞闭环管理,定期输出风险与漏洞报告,实现快速识别漏洞危害,迅速定位漏洞的影响范围、威胁性; (略) 漏洞整改确认环节,定位误报错报、由漏洞整改环节完成加固方案的统 * 性、并归档管理漏洞,保持长久性; (略) 建立漏洞白名单功能,规避安全检查中的不合理性;解决“不想改,不能改,不敢改,不会改”的问题, (略) 络安全监管工作的开展;建立具备自身业务系 (略) 漏洞知识库、案例库。 * 、服务要求 ▲1、提供指定服务对象的资产管理服务: (略) 、设备、网站、域名、网段、业务等 (略) 分类管理,通过控制显示的表格列,并将过滤器的列保存成自定义视图与筛选条件的条目,资产视图查看资产的信息,以及关联的漏洞,事件,能通过工单实现无责任人资产的流程确认和闭环确认,按 (略) 资产的属性更新校对,资产数据通过人工根据模板批量导入及按需导出;与“网络自动扫描探测工具”进行直接对接与导入。 ▲2、提供指定服务对象的漏洞管理服务:根据多源问题聚合的问题管理机制,开展第 * 方漏洞报告的导入,对情报库的手动添加,漏洞库要包含多个漏洞库,并以工 (略) 处置。通过工单系统实现漏洞的闭环管理,管理员以指派方式将漏洞分派给相关责任人并设置提醒,直至漏洞闭环。 3、对指定服务对象的资产 (略) 管理(如IP、端口、版本号、操作系统、数据库、中间件等),按资产IT属性及管理属性开展自定义;按照分系统管理资产; (略) 分用户、角色、权限管理。 4、告警管理服务:按照资产和问题 (略) 告警,对资产属性为筛选条件,进行事件抑制,丢弃不需要的事件, (略) 归并,防止风暴。 5、任务管理服务:按需或 (略) 资产信息抽取,通过 * 键搜索目前漏补系统内“协议/端口/服务”资产的数据,开展账户的批量安全设置(复杂度、长度、锁定阈值、锁定时间等)、最大会话限制,主动对探针盒子、主机加固系统或客户CMDB系统中抽取资产数据,在不能满足现有需求情况下,通 (略) 定制开发。 6、知识库管理服务:通过工具的 CVE,CNNVD等多方情报知识库和服务器安全管理系统的漏洞知识库获得知识库管理服务,按需对第 * (略) 重写。 | 1.?至少每月提交 * 次漏洞报告,包括但不限于各类资产风险情况(应用系统、中间件、数据库、服务器、网络设备、安全设备)、对外开放资产漏洞情况、新增中高危漏洞及整改情况、安全通报漏洞情况、漏洞来源情况等。 |
4 | 安全监测审计服务 | T4:网络自动扫描探测服务 | 所有设备和系统 | * 、服务描述 1、遵循“探测—扫描—定性—处置—审核”的安全体系构建方法论,综合运用资产探测技术,能 (略) 络资产IT信息,准确定性资产属性,快速发现资产IT信息。 2、 (略) 络自动扫描探测工具1台/套,并及时升级更新。 * 、服务要求 1、提供全域监控服务,对网络设备、安全设备、服务器、虚拟资源、应 (略) 统 * 管理,真正实现在 * 个管理平台上对异构的IT资源的统 * 管理,消除数据信息孤岛,提升运维管理效益。 ▲2、根据主动 (略) 资产扫描发现,按照资产扫描方式(如TCP、UDP、ICMP扫描,指定端口扫描),获取资产识别信息(如目标主机端口信息、版本信息、网络服务、操作系统、硬件特性等属性)。 ▲3、按照资产清单进可 (略) 设备数量、IP、资产名称、设备类型、操作系统、首次发现时间、更新时间;资产详细信息包括:IP地址、设备类型、设备名、FQDN、操作系统、操作系统详情、MAC地址、厂商与型号、服务信息、设备开放的端口、服务协议;网站清单 (略) 网站数量、网站名称、URL、系统版本,通过资产的新增、属性的发 (略) 络内资产风险,实时产生资产变动告警。 4、在网络管理方面,对接口配置IPv4地址及路由开展配置管理。 5、对帐 (略) 安全管理,根据密码有效期、密码长度、密码复杂度、登录安全策略、登录失败次数锁定、登录失败间隔、账号 (略) 系统管理,并定期开展系统与指纹库升级。 6、对登录日志、运行日志、运行操作日志和REST A (略) 本地查询与显示。 | 1.?自动扫描与探测资产IT信息采集正确率不低于 * %。 |
5 | 安全技术防护类 | T5:网络恶意代码防范服务 | 网络边界 | * 、服务描述 网络恶意代码防范服务能满足等保2.0关于在安全 (略) 恶意代码防范的要求:对 (略) 检测和清除,并维护恶意代码防护机制的升级和更新。根据业务需求, (略) 网络边界, (略) 有等保及重要系统。 * 、服务要求 ▲1、提供专业的 (略) (略) 络安全硬件平台(非UTM或防病毒模块) (略) 络恶意代码防范服务;提供透明串接、旁路监听接入模式、即插即用等方式或透明串接/旁路 (略) (略) 网络环境,而无 (略) 络结构和配置。? 2、提供IPv4/I (略) (略) (略) 络恶意代码防范服务;网络恶意代码防范服务防止单点故障,提供 (略) BYPASS操作, (略) 络故障等。 3、提供链路可靠性保障, (略) 署模式下的 (略) 传递和自动BYPASS,按需用于全互联环境或HA环境下的链路切换状态传递。 4、提供多种病毒类型( (略) 病毒、勒索病毒、挖矿病毒、宏病毒、木马、蠕虫、间谍软件、恶意脚本等混合型病毒文件)的过滤服务;提供多种压缩格式(如7z、cab、chm、nsis、rar、tar、zip、arj、bzip2、cpio、gzip、lzh、rpm、Z等格式)病毒过滤。 5、提供对HTTP/FTP/SMTP/POP3/IMAP/SMB等多项协议的病毒双向过滤服务,对协议非标准端口的自动过滤,无需单独设定端口。 ▲6、提 (略) 理服务,对协议层病毒 (略) 、告警、破坏、隔离、 (略) 理,并对每项协议病毒 (略) 单独设定,且不影响其他协议过滤策略;提供丰富(如 * 千万以上数量)的恶意代码库,且每次更新可看到库数量的变化。对恶意代码库的旧版本提供,对 * 个 (略) 回滚。对活动阶段的恶意代码(勒索病毒攻击、蠕虫攻击传播、活动木马、 (略) 络、邮件蠕虫病毒、网络共享病毒等) (略) 防御。 | 1.?计算机病毒、恶意代码的识别率、查杀率不低于 * %。 1.? (略) 络环境不产生影响。 |
6 | 安全技术防护类 | T6:主机防护和恶意代码防范服务 | (略) 有等保系统,涉及IP数不少于 * 个 | * 、服务描述 主机防护和恶意代码防范服务能满足等保2.0关于在安全 (略) 恶意代码防范的要求:应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别 (略) 为,并将其有效阻断。提供Windows、Linux、Unix等主流操作系统各类版本的主机防护和恶意代码防范服务。 * 、服务要求 ▲1、 (略) 实时显示客户端的状态及终端基本信息,如客户端连接状态、服务状态,终端机器名称、客户端版本、病毒库版本、IP地址、MAC地址、操作系统版本、高危及功能漏洞、主板信息、显卡信息、内存大小、当前版本信息和物理位置等信息;并按需导出终端信息。 2、 (略) 实现对客户端的远程运维;通过虚拟沙盒的本地反病毒引擎开展本地查杀; (略) (略) 展示(如补 * 类型、修复状态等), (略) 补 * 忽略。 ▲3、对勒索病毒开展诱捕,设置诱饵文件并实时监控,当勒索病毒 (略) 加 (略) 拦截;提供对webshe (略) 扫描检测服务。 4、对系统 (略) 防护,阻止无文本攻击、流氓、广告程序对系统的 (略) 为。按照系统文件保护、病毒免疫、进程保护、注册表保护、危险动作拦截、执行防护等多个维 (略) 防护;对终端对外攻击检测,根据自定义SYN、UDP、ICMP数据包的检测阈值,进行自动阻止 (略) 为。 5、对客户端上报的 (略) 统计分析,(如终端/部门/责 (略) 统计、防御类型分布统计、病毒类型分布统计、 (略) 统计、病毒趋势统计、 (略) 统计、操作 (略) 统计、移动 (略) 等), (略) 汇总展示; 6、对报表名称、标题、公司、内容、周期、发送等设置,内容设定模板包括病毒趋势、 (略) 、 (略) 、 (略) 、 (略) 、部门危险占比、 (略) 、被 (略) 、移动 (略) 等统计情景;周期设定日、周、月,定时生成报表;通过邮件的方式推送相关接收报表人员。 | 2.?计算机病毒、恶意代码的识别率、查杀率不低于 * %。 3.?对原主机或终端环境不产生影响。 |
?
安全运维服务-安全日常运维服务 | |||||
序号 | 服务类别 | 服务子项 | 服务对象 | 服务描述和服务要求 | 服务SLA |
1 | 日常运维类 | D1:安全检查服务 | 所有IT资产 | 服务描述 (略) 络与信息安全联合检查或者其他专项安全检查要求,按 (略) 络与信息安全检查,包括但不限于以下主要服务内容: 1、检查是否存在违规存储、处理、传输涉密信息的情况; 2、检查是否安装防病毒系统及病毒特征库是否及时更新; 3、检查Windows操作系统补 * 更新是否及时; 4、检查终端是否存在未开启防火墙、弱口令、未使用锁屏功能、未删除不必要的用户、开启默认共享、开启远程桌面等安全隐患; 5、检查 (略) 监控软件的安装及记录情况; 6、检 (略) 是否存在使用移动存储介质痕迹; 7、检查电子邮箱、微信、QQ等通讯工具是 (略) 理涉密文件、内部文件的情况; 8、 (略) 服务,并协助准备联合检查材料,材料必须准确、完整。 | 1.?自 (略) 抽查结果务必相符。 2.?输出安全检查记录和报告。 |
2 | 日常运维类 | D2:等级保护测评支持服务 | 所有等保系统 | 服务描述 结合等级保护2.0相关标准要求,对所有等保系 (略) 服务,提升整体合规能力,协助开展等保测评,主要包括以下内容: 1、协助开展定级备案,召开等 (略) 级专家评审会议,负责不多于3个系统的专家评审费用; 2、协助开展等保测评自查工作,如提供文档编制、技术支持等服务; 3、协助开展等保测评以及整改工作,采取必要的安全技术措施(如临时搭 (略) ),确保通过等保测评。 | 1.?输出等 (略) 级备案相关材料。 2.?输出等保测评自查相关材料。 3.?协助完成等保测评工作,并通过测评。 |
3 | 日常运维类 | D3:漏洞扫描服务 | 所有设备和系统,涉及IP数不少于 * 个 | * 、服务描述 协助制定漏洞扫描计划和漏洞扫描服务方案,并通过智能遍历规则库和多种扫描选项组合的手段,深入准确的检 (略) 站中存在的漏洞和弱点,最后根据扫描结果,提供测试用例来辅助验证漏洞的准确性,并提供整改建议。 1、例行漏扫 (1) (略) 有相关信息系统使用的主机、终端、数据库系统、网络设备、安全设备、系统应用以及 (略) 漏洞扫描,如存在中高危漏洞 (略) (略) 漏洞修复, (略) 复测,出具漏扫和复测报告。 (2)每周对政务数据开放平台等不多于6个指定系统主机、终端、数据库系统、网络设备、安全设备、系 (略) 漏洞扫描,如存在中高危漏洞 (略) (略) 漏洞修复, (略) 复测,出具漏扫和复测报告。 2、专项漏扫 按需开展风险评估、 (略) 、系统上线、等保测评自查、安全检查、重保时期、 (略) 动等漏洞扫描工作,如存在中高危漏 (略) (略) 漏洞修复, (略) 复测,出具漏扫和复测报告。 3、自备国内外主流的漏洞扫描工具/组件不少于3台/套(其中主机漏扫工具2台/套、应用扫描1台/套,主机漏扫工 (略) 商产品),并及时升级更新漏洞特征库。 * 、服务要求 ▲1、通过风险告警 (略) 理,对集中告警平台开展告警内容、告警方式、告警资产范围设置等; ▲2、通过 (略) 帐户口令认证登 * ,登 * 到主流的数据库(如Oracle、Mysql、MSSQL、DB2、Informix、Sybase、达梦等多种数据库类型)中对 (略) 深入扫描; 3、对扫描过程中人工指定(如SMB、SSH、Telnet、SNMP等)常见协议的登 * 口令,登 * 到相应的系统中对 (略) 深入扫描;主机漏洞知识库兼容国内外主流标准(CVE、CNCVE、CNNVD、CNVD、Bugtraq等);4、通过主动扫描和被动扫描两种模式,解决在复杂的Web业务逻辑中,避免主动扫描导致漏报问题,按需启用被动扫 (略) 有的URL,达到全面检测漏洞的目的; 5、运用登录IP限制,限制用户只能在指定某些IP的主机上登录使用,并限制用户可允许的扫描IP范围; 6、通过任务锁定与解锁, (略) 锁定,防止其他用户 (略) 操作,如果要对任务操作必须输入 (略) 解锁。 | 1.?Web漏洞、系统漏洞、数据库漏洞以及弱口令等低危漏洞的识别率不低于 * %,中高危漏洞识别率不低于 * .9%,且须达到相关安全监测和监管机构的安全检测能力。 2.?根据漏扫服务要求定期输出漏洞统计和分析报告,漏洞扫描实施前必须提供漏洞扫描服务方案。 3.?对网络和系统环境不能产生影响。 |
4 | 日常运维类 | D4:基线核查服务 | 所有等保系统 | * 、服务描述 采用人工检测、工具核查等方式对用户的主机设备、网络设备、安全设备、数据库、中间件等设 (略) 安全配置基线检查。 1、根据用户安全基线规范和实际配置范例开展安全配置基线核查。 2、根据用户安全基线规范和实际配置范例制定安全配置基线核查脚本。 3、 (略) 有等保系统 (略) 安全配置基线核查。 4、按需(如风险评估、 (略) 、系统上线、等保测评自查、安全检查、重保时期、 (略) 动)开展专项安全配置基线核查。 5、自备自动化安全基线配置核查工具/组件不少于1台/套。 * 、服务要求 1、通过常见的设备和应用(如操作系统、网络设备(路由器和交换机)、防火墙、应用中间件、WLAN设备、虚拟化设备)的配置检查。 2、提供对主流操作系统(如Windows、Linux、AIX、HP-UX、Suse等)进行配置核查服务。 3、提供主流数据库(如Oracle、DB2、Informix、MySQL、SQL server、Sybase等)进行配置核查服务。 4、提供对应用中间件(如Apache、BIND、Jboss、Tomcat、TongWeb、Weblogic、Websphere、Nginx、Resin、HIS等)配置核查服务。 5、 (略) 络设备(如华 * 、华为、思科、Juniper、 (略) 商)配置核查服务。 6、提供对主流防火墙设备(如华 * 、华为、华赛、深信服、启明 (略) 商)配置核查服务。 7、提供对主流WLAN设备(如华 * 、华为、 (略) 商))配置核查服务。 8、提供虚拟化设备配置彻查服务,包括Hyper-V、VMWare ESXi、VMWare vCenter、XEN、XenServer配置核查服务。 9、通过指定方式( (略) 、 (略) 、 (略) )开展配置核查,按照自 (略) 策略日*点*分、每*月第*个星期*的*点*分。 * 、通过时间段设置,提供在指定 (略) 任务,未完成任务在下 * 时间段 (略) 。 | 1.?基线核查准确率不低于 * %。 2.?根据服务要求定期输出基线核查统计和分析报告,并给相关建议。 3.?对网络和系统环境不能产生影响。 |
5 | 日常运维类 | D5:安全技术支撑服务 | 所有系统 | 服务描述 对安全监测、漏洞扫描、渗透测试、威胁情报、安全通报等各类渠道发现的安全漏洞,协助开发 (略) 整改,提供第 * 方技术 (略) 服务,提高系统的安全性和抗攻击能力,以期将整个系统的安全状况维持在较高的水平,减少安全事件发生的可能性。主要服务内容包括: 1、协助提供漏洞修复建议和补 * 下载链接; 2、针对存疑的风险、 (略) 验证,并提供报告; 3、在现有条件无法正常更新补 * 情况下,提供技术 (略) ,提出修复建议与安全补偿措施; 4、提供主流操作系统、网络设备、安全设备、数据库系统等设备和系统安全加固技术支持; 5、协助分析安全加固过程中风险以及提出应对措施建议。 | 1.输出漏洞修复建议、存疑漏洞验证、安全补偿措施等相关文档。 |
6 | 日常运维类 | D6:日常运维服务 | (略) 门指定日常运维服务 | 服务描述 (略) 络与信息安全日常运维支持服务,主要包括: 1、巡查时钟同步服务器:每周对时间同 (略) 巡查,保障时间同步服务器的准确性; 2、协助撰写安全工作总结、专项检查报告; 3、协助开展数字证书制作; 4、协助开展IP地址查询和确认工作。 | 1.?按要求定期输出巡检报告。 2.?输出数字证书制作及IP地址查询台账。 3.?输出相关工作报告和纪要。 |
7 | 日常运维类 | D7:运维审计服务 | 运维审计系统 | 服务描述 (略) 络与信息安全审计制度和流程,协助安全审计员每季 (略) 为运维审计和数据分析,出具审计报告。主要内容包括: 1、提供运维审计系统(堡垒机)巡检和运维服务, (略) 版本更新,保障运维审计系统安全; 2、对运维审计 (略) 分析,每季度开展1次,输出运维审计报告; 3、协助采购人通过对运维审计记录的分析,对违规运维 (略) 重现,为查明违规 (略) 理提供依据。 | 1.每季度输出运维审计报告。 |
8 | 安全监测类 | D8: (略) 置服务 | 所有IT信息 | 服务描述 定期提供提供 (略) 置服务,具体服务如下: 1、提供战略情报,包括政务领域安全总览、攻击趋势等比较宏观的报告。 2、提供事件情报,对国内外黑客组织最近针对我国政务领域的攻击事件形成分析报告,并评估可能对用户的影响。 3、提供技术和漏洞情报,包括新发的安全漏洞和特定恶意软件的指标(域名、hash、IP)等。 4、在获得最新漏洞情报,应该立即开展风险检查,并与相关系 (略) 确认,根据检查及确认结果,协 (略) 理,形成闭环管理。 | 1.按季提供战略情报。 2.按月提供事件情报。 3.重大威胁、漏洞或事件 * 小时内提供情报。 4.杜绝发生重大威胁、漏洞预警后, (略) 置导致被通报,按关键考 (略) 理。 |
安全运维服务-安全专项运维服务 | |||||
序号 | 服务类别 | 服务子项 | 服务对象 | 服务描述 | 服务SLA |
1 | 应急保障类 | P1:应急响应服务 | 所有系统 | 服务描述 (略) 信办发布的《 (略) 络安全事件应急预案》有关要求,协助建立常设的专 (略) * ;发生突发事件时, (略) 安应急办的指令,开展应急救援。 1、提 (略) 络与信息安全事件应急响应支持服务,建立专 (略) * , (略) 络安 (略) 置咨询机制,为网络安全事 (略) (略) 和决策建议。 2、专 (略) * 成员应 * 小时保持电话畅通,按需提供7* (略) (略) 络与信息安全事件应急响应安全技术专家服务,针 (略) 络与信息安 (略) 诊断、分析并协助解决,以及协助开展事后分析、取证并输出分析报告。 3、根据《 (略) 络安全事件应急预案》以及用户《信息安全事件管理程序》《服务中断分级管理》等程序文件相关要求,接到用户通知时,应即时响应, (略) 络安全事件级别在用户指定时间内(最长不超过 * 分钟)指派专 (略) * (略) 协助用 (略) 置工作。 4、 (略) 络安全事件报告,将网络安全事件详细情况在1小 (略) 安应急办。网络安全事件报告内容包括:事件发生时间和地点、发生 (略) 络与信息系统名称、事件原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、 (略) 置措施等。 | 1.?输出安全应急响应服务方案。 2.? (略) 理完毕后 * 个工作日内提交《 (略) 理和分析报告》, (略) 的改进建议。 |
2 | 应急保障类 | P2:重大保障服务 | 所有系统 | 服务描述 在重要节日、重大活动、 (略) 动等重保时期, (略) 和人力保障, (略) 络与信息安全隐患排查、安全防护、预警监测等安全保障技术支撑服务,确保业务 (略) ,避免敏感事件或影响业务的安全事件发生。 1、根据年度重保工作要求, (略) 络安全工作方案,做好重保漏洞扫描、配置核查、终端检查、 (略) 络安全自查,协助做好整改以及总结等相关工作。 2、重保期间,充分利用现有安全检测与防御手段,结合安全监测与分析经验,协助开展检测 (略) 为, (略) 置,抑制攻击事件,顺利完成重保。 3、重保期间,按需提供7* * 小时安全服 (略) 服务。 4、重保期间,按需提供7* (略) 或远程安全技术专家服务,针对重保时期各类突 (略) 诊断、分析并协助解决。 | 1.?输出重保服务方案。 2.?输出重大保障服务总结报告。 |
3 | 安全专项类 | P3:渗透测试服务 | 所有系统 | 服务描述 以人工黑盒的方式,采用信息收集、端口扫描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人攻击、web脚本渗透、B/S或C/S应用程序测试等测试方法, (略) (略) 非破坏性质的攻击性测试,并将渗透过程和细节产生报告给客户,由此证 (略) 存在的安全威胁和风险,并能及时提醒安全管理员完善安全策略。 1、需提供完整的渗透测试方案,渗透测试应结合黑盒测试、外网测试等 (略) ,可采用远程渗透、现场渗透等多种方式。 2、应详细分 (略) 带来的次生风险,主动规避渗透测试中的次生风险,确保不因渗透测试带来新的业务连续性风险问题。 3、 (略) 信息系统,渗透测试应包含API与业务逻辑渗透测试。 4、测试完成后,需出具全面的渗透测试报告,包括有效、可行的解决方案,并提供完整的攻击过程屏幕截图。 5、需指派工程师指导协助系统开发人员对测试中发 (略) 修复,并在修复后检查是否已经规避了渗透测试发现的风险,并提供复测报告。 6、提供年度渗透服务,渗透测试对象 (略) 限于主机操作系统渗透、数据库系统渗透、应用系统渗透、网络设备渗透、 (略) 有方面。 7、按需提供单个系统专项渗透服务不少于 * 次。 | 1.? (略) 有系统的渗透测试不少于1次,等保重要系统不少于2次。 2.?两次年度开展渗透测试服务的工程师不 (略) 人员。 3.?根据渗透测试服务要求输出渗透测试统计和分析报告。 |
4 | 安全专项类 | P4:应急演练服务 | 等保系统 | 服务描述 根据实际情况,结合应急预案,制定详细的 (略) 络与信息安全应急演练方案,并协助开展应急演练,通过应急演练加强安全应急 (略) 性: 1、应急演练方案至少包括2种不同类型的应急事件; 2、应 (略) 门不少于4个; 3、应急演练前,组织全体参演人员学习演练脚本并解说注意事项; 4、对应急 (略) 分析总结,并提交应急演练总结报告。 | 1.?输出《网络与信息安全应急演练方案》。 2.?输出《网络与信息安全应急演练总结报告》。 |
5 | 安全专项类 | P5:风险评估服务 | (略) 络与信息安全 | 服务描述 参照国标《信息安全技术 信息安全风险评估规范(GB/T 点击查看>> 7)》,开展 * (略) 络与信息安全风险评估服务, (略) 络与信息安全状态开展风险排查、摸清风险状况,形成风险评估报告。 1、组织成立风险评估小组,明确资产识别、脆弱性识别、威胁识别、风险 (略) 理等环节的责任人,明确责任人的职责范围。 2、风险评估的 (略) 络与信息安全。 3、对所有 (略) 赋值, (略) 有重要资产,编制重要资产清单, (略) 有主机、网络、数据库、 (略) 漏洞扫描,全面识别出资产的脆弱性和威胁,对信息系统中存在的技术型漏洞(弱点)进行评估。 4、结合资产的脆弱 (略) 风险识别,编制不可接受风险清单,制定不可接受风险整改计划,最终完成风险自评估报告和风险自评估总结。 5、对不可接受风险的整改 (略) 跟踪,编制已整改及未整改的风险清单,并说明情况。 | 1.提供不少于1人的 (略) 服务。 2.输出风险评估方案。 3.输出风险评估分析和总结报告。 |
6 | 安全专项类 | P6:代码审计服务 | 指定系统 | 服务描述 对指定系统,采用自动化静态分析技术和人工漏洞核验方式,提供代码审计服务,从安全性方面检查其脆弱性和缺陷。主要服务包括: 1、安全技术专家使用代码审计工具对 (略) 白盒安全检测。通过对系统开发框架、应用程序、客户端程序、接口及第 * 方组件和应用配置这 (略) 深入的安全分析,充分挖掘当前源代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。从源代码层面来减少和降低开发过程中的安全缺陷和安全漏洞。 2、源代码审计服务的主要对象是PHP、JAVA、ASP、.NET、Python等与Web相关的计算机代码。 3、全文本的跨函数分析,缺陷结果展示跨函数的多步成因。 4、使用文件/文件夹白名单,可以对多个文件 (略) 过滤,不统计该文件和文件夹下检测的问题结果,提高检测精准性。 5、支持缺陷知识库在线查看,能够根据缺陷类型、关键词、威胁等 (略) 搜索,分语言和类型显示该缺陷的等级、详细信息、修复建议和参考信息内容 6、展示多种项目度量的数据,包括但不限 (略) 、圈复杂度,能够提供函数级别的度量数据Api。 7、根据实际需求,提供 (略) 代码的审计服务。 提 (略) 与修复建议。 | 1.输出《代码审计报告》和《代码复查报告》以及整改意见。 |
?
数据安全治理服务 | ||||||
序号 | 服务类别 | 服务子项 | 服务对象 | 服务描述和服务要求 | 服务SLA | |
1 | 数据安全管理类 | B1-1:组织架构 | (略) 门、人员 | 服务描述 从合规要求,结合实际情况, (略) 门充分调研,业务以及数据流动的深度理解,从数据生命周期安全管理角度,对数据安全能力建设和风险控制等;建议数据安全组织架构(如决策、管理、执行),人员配备与组成、岗位设置(如数据管理、数据开发、数据运维、数据审计)、职责划分,人员能力要求等。 | 1人* (略) +专家支撑 | 1、输出满足合规要求并符合实际情况的数据安全组织架构的具体职责建议;2、数据安全意识培训; 3、人员组成与配备合理,可以覆盖数据生命周期安全管理。 |
2 | 数据安全管理类 | B1-2:规章制度 | (略) 门、人员 | 服务描述 根据合规要求, (略) 门的业务、管理现状充分调研,为保障数据安全落地以及风险控制,制定完善的数据安全管理制度,建议数据安全规章制度包含且不限政策方针、制度规范条例、执行明细和模板等方面。 | 输出满足合规要求并符合实际情况的规章制度。 | |
3 | 数据安全管理类 | B1-3:流程规范 | (略) 门、人员 | 服务描述 根据合规要求, (略) 门的业务、管理充分现状调研,除了制度的指导与约束外,结合实际管理流程,制定基于数据生命周期安全管理流程规范,保障数据安全组织架 (略) ,建议流程规范包含且不限如下: (1)数据分类分级审核流程、数据类别、级别变更流程; (2)数据访问申请审批流程; (3)数据共享交换申请审批流程; (4)数据销毁申请审批流程。 | 输出满足合规要求并符合实际情况的流程规范。 | |
4 | 数据治理类 | B2:数据库特权帐号管理服务 | (略) 门、人员 | 服务描述 数据特权账号管理服务是来指导和 (略) 核查和消除账号安全风险,抵御和防范 (略) 的试图通过风险账号发起的攻击,满足各类安全规范对账号密码安全管理方面的要求。 巡检内容包括:弱密码账号、僵尸账号、幽灵账号、 * 个月无改密账号、提权账号等。 | 现场服务 | 服务满足合规要求并符合数据库特权帐号管理。 |
5 | 数据治理类 | B3:数据分类分级 | 所有数据 | 服务描述 根据合规要 (略) 门业务、管理现状,建立数据资产分类分级标准,并输出数据资产分类分级报告。实现对 * 个数据库实例、数据量约 * T的分类分级,详细要求如下: 1、数据分类 (1)分类要求:根据来源、用途、内容、业务以及管理对 (略) 分类; (2)分类维度:数据主题分类、数据形态分类、数据特征分类、数据应用分类、 (略) 署地点分类、数据生成时间分类等。 2、数据分级 (1)分级要求:根据数据价值、重要性、敏感度以及影响范围不同对 (略) 分级; (2)分级原则:a.依从性原则,即数据资产安全等级划分应满足监管要求;b.流程差别化原则,即采用不同的安全策略和管理流程,差别对待不 (略) 全等级的数据资产。 (3)分级维度 a. * 级:低敏感级, (略) 公开的数据, (略) (略) 确定。 b. * 级:较敏感级,不能对外公开,但是经过 * 定审批流程, (略) 门和系统共享的数据。需要要采取 * 定的技术手段,保障数据存储、数据传输、数据交换、数据使用的安全需求。 c. * 级:敏感级,内核心重要数据,只 (略) (略) 使用的数据,需要要采取严格的技术手段,保障数据存储、数据传输、数据交换、数据使用的特殊安全需求。 d. * 级:极敏感级,本级数据与秘密级、机密级和绝密级国家秘密相对应,其泄露会使国家安全和利益遭受不同程度的损害。 | 专家服务,1次/年 | 1、输出符合合规要求以 (略) 门业务、管理方面的数据资产分类分级标准规范; |
6 | 数据安全技术服务 | B4:数据库安全运维管理服务 | 所有重要数据库 | * 、服务描述 从数据库登 * 、访问控制、运维脱敏、数据防篡改、工单系统、运维审计等方面全方位支持数据库安全运维管理,提供不少于 * 个数据库实例以及支持AIX\HPUX\Linux\Wind (略) 主流操作系统的运维管理服务。 * 、服务要求 1、提供分权管理服务:将 (略) 分类分级,将 (略) 归类,形成资产集合,再将资产集合的访问授权分配给不同角色的人员;同时,为避免运维过程中涉及的敏感数据泄露,数据库中的特权账户(DBA运维人员)避免接触敏感数据,并与敏感数据相隔离。 2、通过 (略) 控制,达到未受认证运维工具拒绝登 * 数据库,而受认证运维工具允许登 * 数据库;运维脱敏:根据脱敏策略开展用户身份、敏感数据对象以及脱敏规则实施脱敏。 ▲3、通过DML语句控制命令类型、表格或用户、 (略) (略) 访问控制;对DDL/DCL操作访问控制数据库系统权限、数据库对象权限、数据库代码,防止被删库等。 ▲4、通过数据库运维工具免密登录,当数据库管理人员通过Toad或sql developer等工具登录运维数据库时,通过数据库账号与数字证书的绑定,数据库管理员需要在运维PC端插入持有数字证书的U-key或安装软证书,并通过登 * 数据库运维管理系统的安 (略) 口令及证书认证,让数据库运维管理员在使用数据库运维工具中无需输入数据库用户名密码即可登录已授权访问的数据库,避免运维数据库用户和密码泄露,保障账号安全。 5、通过在数据库服务器上安装安全代理插件,对于通过SQL管理工具直连数据库 (略) (略) 准入控制,防止非法人员绕过安全系统,直接 (略) 访问。 6、提供识别真实应用及SQL管理工具md5特征,防止假冒应用及假冒SQL管理工具违规访问数据库。 | 现场服务,7* * 小时 | 1、根据合规要求、数据安全管理需求,从源头上对人员、角色、工具、操作和数 (略) 精细化的识别、认证和管控; 2、实时检测并阻断高危操作; 3、对于临时的非授权操作,采用工单 (略) 审批和管控。 |
?
??附件
* -2 (略) 络与信息安全服务项目服务申报书V 点击查看>> .docx?招投标大数据
最近搜索
无
热门搜索
无
