福建教育学院网络信息安全服务服务类采购项目招标公告
福建教育学院网络信息安全服务服务类采购项目招标公告
福建教育学院网络信息安全服务服务类采购项目
公开招标招标公告
项目概况
受福建教育学院委托,福建省闽咨造价咨询有限公司对[3500]MZZJ[GK]*******、福建教育学院网络信息安全服务服务类采购项目组织公开招标,现欢迎国内合格的供应商前来参加。
福建教育学院网络信息安全服务服务类采购项目的潜在投标人应在福建省政府采购网(zfcg.czt.fujian.gov.cn)免费申请账号在福建省政府采购网上公开信息系统按项目获取采购文件,并于2021-08-03 09:00(北京时间)前递交投标文件。
一、项目基本情况
项目编号:[3500]MZZJ[GK]*******
项目名称:福建教育学院网络信息安全服务服务类采购项目
采购方式:公开招标
预算金额:400000元
包1:
合同包预算金额:400000元
投标保证金:8000元
采购需求:(包括但不限于标的的名称、数量、简要技术需求或服务要求等)
| 品目号 | 品目编码及品目名称 | 采购标的 | 数量(单位) | 允许进口 | 简要需求或要求 | 品目预算(元) |
| 1-1 | C020204-安全集成实施服务 | 安全集成实施服务 | 1(套) | 否 | 1、互联网暴露资产自查服务每半年梳理互联网暴露资产的安全风险,梳理暴露在互联网上的资产信息,输出互联网暴露端口列表和漏洞情况,提供安全整改建议报告,协助完成安全整改。应具备自主的威胁情报中心,需提供威胁情报中心相关截图。每半年提交成果:《互联网暴露资产自查情况及整改报告》2、内部系统漏洞扫描服务针对采购方内部网络信息系统进行一季度一次的服务器漏洞扫描和风险评估服务,对服务器安全策略进行核查和优化,检测网络设备、操作系统、数据库、中间件、应用服务存在的安全漏洞,覆盖漏洞扫描、端口扫描、弱口令扫描等,分析信息系统资产清单内信息系统日志,输出日志分析报告,给出风险分析和风险控制策略,协助采购方对漏洞进行修复。检测过程所采用服务工具应具备对高可利用漏洞的管理,提供截图证明。每季度提交成果:《安全风险评估、控制策略及漏洞修复报告》3、外网应用安全检测服务针对采购方面向互联网开放的关键业务系统,一个月一次进行深度应用安全检测服务,包含机器扫描和人工渗透测试。挖掘程序中存在的各种漏洞和所面临的威胁,漏洞测试覆盖OWASP十大漏洞。对检测结果进行人工分析,并对漏洞提交源代码加固建议报告,协助采购方对漏洞进行修复。检测过程所采用扫描工具应具备对扫描出或已修复的漏洞,具备一键复测功能,提供截图证明。每季度提交成果:《安全检测、修复建议及处理结果报告》4、外网服务器入侵清查服务针对采购方面向互联网开放的服务器,一个月一次对外网服务器进行入侵清查,登录到服务器进行入侵痕迹检查、后门检查、Rootkit检查。对网站源代码进行后门代码检查,发现源代码中的危险函数和Webshell脚本,对发现的入侵文件进行清理。每个月提交成果:《服务器入侵清查、修复建议及处理结果报告》5、专业渗透测 试服 务针对学 院 重 要的2-3个网站,提供半年度一次的专 业 渗 透测试服务,包括但不限于以下服务内容:(1)评估目标系统的基本特征信息(如系统名 称、版本、管理入口、网络指纹等)是否可以被远程探测和获取;(2)评估目标系统是否存在注入攻击漏洞(如SQL注入、命令注入、LDAP注入、JSON注入、Cookie注入、SSI注入、XML注入、XPath注入等),评估攻击者是否可以非法读取、篡改、添加、删除未授权数据;(3)评估目标系统是否存在跨站脚本攻击(XSS)漏洞(如存储式跨站攻击、反射型跨站脚本攻击、基于DOM的XSS攻击、Flash跨站脚本等),评估攻击者是否可以窃取用户会话、窃取敏感信息、重写Web页面、重定向到恶意网站等;(4)评估目标系统的相关安全认证及会话管理是否存在漏洞,评估攻击者是否可以窃取到密码、密钥、会话授权、用户身份等;(5)评估目标系统是否存在对不安全对象的直接引用,评估攻击者是否可以利用引用对象访问未授权的数据; (6)评估目标系统是否存在安全配置错误威胁(如应用程序、系统框架、应用程序服务、页面服务、数据库服务、运行平台等配置是否安全合理);(7)评估目标系统加密存储方面是否存在不安全因素(如应用程序是否利用适当的加密或者散列手段来妥善保护信用卡、身份验证信息等),评估攻击者是否可以窃取或者非法修改这些受保护的敏感数据;(8)评估目标系统是否限制访问者的URL,评估攻击者是否可以通过伪造URL的方式随意访问隐藏页面;(9)评估目标系统是否存在缓冲区溢出漏洞,评估攻击者是否可以利用缓冲区溢出漏洞进行非法授权访问、获取权限、破坏可用性(如导致程序运行失败、系统关机、重新启动等)等威胁操作;(10)评估目标系统是否存在业务逻辑层面缺陷;(11)评估目标系统是对未经验证的访问请求重新指向或转发至其它页面是否有正确的验证机制,评估攻击者是否可以将访问请求指向到钓鱼类或者其它恶意网站等未经授权的页面。每半年提交成果:《重要网站专业渗透测试报告》6、网络安全设备巡检服务针对采购方核心交换机和路由器等网络设备,以及防火墙、IDS、VPN、IPS、WAF、漏扫、网页防篡改系统、应用安全防护系统等安全设备,一季度一次检查设备的运行状态,设备配置策略、告警信息等。对日志进行分析,给出设备优化建议并跟踪、协助处理。每季度提交成果:《安全设备巡检报告》7、新应用上线测试服务在服务期内,对采购方新上线的应用系统提供全面的安全检查服务,包括对操作系统、中间件、数据库及应用代码的安全检查,提供加固方案,并协助对新系统进行加固,保证系统安全上线。根据新应用提交成果:《应用上线检查、加固建议及处理结果报告》8、安全应急演练服务协助采购方完善网络安全管理制度及应急处置预案,作为采购方网站应急保障队伍,协助采购方半年一次开展内部应急演练,制定应急演练预案及相关文档记录,应急演练的效果必须取得采购方的认可。每半年提交成果:《安全应急演练报告》9、安全事件响应服务建立安全应急小组,在采购方出现安全事件时提供技术支撑。遇到采购方单位发生黑客入侵、网页篡改、病毒传播等网络安全事件时,并且远程支持无法解决时,要求2小时内到达现场,实施最有效的紧急救援,进行事件还原和入侵追踪,并提出恢复补救方案。在投标文件中需提供书面承诺并加盖公章。根据事件响应提交成果:《安全事件应急响应报告》10、安全通告服务投标人应实时跟踪国内外主要的漏洞信息发布平台追踪最新的漏洞信息,每周向采购方提供安全通告,通告内容包括信息安全事件通告、紧急高危安全漏洞通知、定期安全事件预警通告、临时安全解决方案等。为方便获取漏洞信息,投标人能够提供如微信群类安全通告服务,服务内容包括:安全资讯、Web漏洞、软件漏洞、恶意代码、PoC工具等。需提供截图证明。11、网站安全监控服务对门户网站(具体被监控域名由采购方指 定,范围在2个二级域名),进行7*24小时安全监测,利用网站监测系统从多个节点自动对目标站点进行高频率的页面爬取,一旦发现目标站点的安全问题需第一时间通知采购方,监测包含挂马、篡改、敏感内容、平稳度、域名解析、钓鱼等。由网站安全监测服务团队进行审核确认问题,并把有价值的信息及时通知相关部门和人员。采用的网站监测平台需为安全服务厂商自主开发,网站监测系统须具备计算机软件著作权登记证书。同时,在重大活动敏感时期,提供信息安全专家团队7*24小时对网站进行实时监测和服务,实时分析日志异常行为,一旦有任何异常,及时采用技术措施,将安全威胁扼杀在初始阶段,努力避免信息安全事件的发生。网站安全监测服务需要提供以下服务项目:(1)网站安全脆弱性检测①远程网站漏洞扫描:由安全专家定期进行网站服务质量和安全漏洞分析,提出修补建议。②远程网站安全通告服务:通过整合自有渠道和第三方渠道,第一时间获得单位可能已暴露出的漏洞,并在监管机构进行相应通报批评前,通知并协助完成相应漏洞的修补工作。(2)网站安全完整性检测①远程网页木马监测:实时监测服务站点的页面情况,可高效、准确识别网站页面隐藏的恶意代码,避免由于网站被挂马所带来的不良影响。②远程网页敏感内容监测:实时监测服务站点是否出现一些敏感关键字,如果发现敏感内容,可以在第一时间通知采购方。③远程网页篡改监测:实时监测服务站点页面状况,发生页面被篡改情况,第一时间通知采购方,避免由页面篡改所造成的声誉和法律风险。(3)网站安全可用性检测①远程网站平稳度监测:对服务站点进行远程访问平稳度的动态监视,跟踪动态变化情况,并根据严重程度及时发出报警信号。②远程网页测速服务:通过多个监测点对相关网页进行测速活动,对于响应延迟较大的页面及时发出详细告警信息。(4)网站安全认证性检测远程钓鱼网站监测服务:通过搜索引擎以及相似域名变形的方式,检查是否存在仿冒站点的网站,一经发现及时通知并协助进行相应的阻断工作。(5)网站安全漏洞扫描利用漏洞扫描工具进行扫描,扫描对象包含网络设备、安全设备、应用系统、主机系统、数据库系统、中间件系统。网站安全漏洞扫描分为周期性扫描和针对性扫描。周期性扫描每月进行;针对性扫描基于安全通告内容,或在信息资产入网、重点时点、重大网络/系统变更时进行。网站安全漏洞检测应检查应用系统是否存在Web程序安全漏洞、数据库漏洞、操作系统漏洞等,检测内容至少包括:网站SQL注入、XSS、远程代码可执行、目录遍历、文件包含、脚本源码泄露、CRLF注入、物理路径泄漏、Cookie篡改、URL重定向、应用错误信息、脚本错误信息、敏感文件、敏感目录、目录权限、CVS信息泄漏、环境变量泄漏、Bash 信息泄漏、测试页面、弱口令、缓冲区溢出等方面漏洞检测。每月提交成果:《网站安全监控报告》12、安全配置核查服务通过自动化的安全配置检查,节省传统的手动单点安全配置检查的时间,避免传统人工检查方式所带来的失误风险,并能够出具详细的检测报告核查服务主要使用评估工具,通过本地或远程的方式,每季度对被评估对象进行一系列的安全探测,以发现网络中和系统中可能存在的不安全配置项与安全隐患,提供操作系统、网络设备、数据库、中间件等设备及系统的安全配置加固建议,并协助解决处理。采用的安全配置核查服务工具支持对官方发布的高危漏洞进行自动检测识别功能,如:支持windows系统永恒之蓝漏洞(MS17-010)的检测,需提供截图证明。13、专题保障服务提供重大会议活动及国庆、元旦等节假日期间网络安全保障,提供特殊保障和技术支撑服务,每日提供日常巡检报告。在上级监管部门网络安全检查期间,可配合进行网络安全检查工作。在信息系统等级保护测评期间,协助完成信息系统等级保护测评工作。根据安全检查提交成果:《专题活动网络安全保障措施》14、安全咨询服务为采购方工作人员提供安全咨询服务,包含并不限于如下方面内容:(1)当系统出现异常,怀疑为安全事件时,提供分析建议。(2)当发生病毒爆发事件时,提供技术解决方案建议。(3)对发布的安全通告、漏洞信息进行进一步深入解释。服务方式包含并不限于下列方式:(1)登记通告服务用户信息,分配用户支持号,提供服务热线号码,服务支持邮箱以供联系。(2)以电话、传真和电子邮件等方式回答相关安全咨询。(3)每周7×24小时电话技术支持。(4)专人记录用户咨询、投诉,并及时反馈。(5)定期提交相应的安全咨询服务汇总。每季度提交成果:《安全咨询服务汇总》15、安全培训服务面向应用系统使用人员、管理人员、维护人员等提供1次信息安全基础技术、技能和意识等方面培训,提高信息化相关人员的安全水平。包括信息安全领域最新动态、信息安全等级保护相关的技术与管理知识、网络安全检测与维护技术等方面的培训,从而提高工作人员的安全技能与安全管理水平。服务厂商应具备安全培训的能力,需提供相关权威机构关于服务厂商在安全培训的安全服务能力评定的相关证明文件;提交成果:《网络安全技术培训资料》16、安全规划服务根据风险评估,结合等级保护要求,协助采购方对未来3-5年信息安全工作进行规划,提出可行的安全规划和解决方案。对于风险评估过程中发现的安全漏洞和安全脆弱性情况,提出可行的安全加固方案,如果由于采购方原因限制不能执行的,提供过渡方案以降低安全风险。提交成果:《网络安全规划与解决方案》17、等保咨询及测评服务(不含测评费)依据国家等级保护要求对信息系统(福建教育学院门户网站、福建基础教育网)的安全技术体系与安全管理体系进行整体的符合性测评,识别安全等级差距,及时提醒单位补齐安全设备或制度,整改结束后配合测评中心进行测评,最终出具等级测评报告,使系统最终达到三级等级保护安全要求。 提交成果:《等保咨询服务材料》18、数据中心机房设备巡检服务针对采购方数据中心机房服务器、存储系统、网络设备、供电系统(含UPS),空调新风系统等,每个月不少于一次所有设备的运行状态检查,设备硬件状态、系统运行状态等,每周不少于一次的设备硬件状态检查。对日志进行分析,给出设备优化建议并跟踪、协助处理。每个月提交成果:《设备巡检报告》19、安全设备技术要求(1)在服务期限内必须保障正常使用的安全设备包括但不仅限于以上清单设备,必须满足学校现有网络性能要求,其中入侵防护系统,WEB应用防火墙和内网防火墙本次建议满足万兆性能以上。(2)以上设备若学校已有可继续使用,若没有的或不满足最新等保2.0要求的中标方必须提供,且保障采购方现有网络正常运行,不存在性能瓶颈问题,所提供设备性能不低于现有设备。 | 400000 |
二、申请人的资格要求:
1.满足《中华人民共和国政府采购法》第二十二条规定;
2.本项目的特定资格要求:
包1
(1)明细:具备履行合同所必需设备和专业技术能力专项证明材料(若有)描述:1、招标文件要求投标人提供“具备履行合同所必需的设备和专业技术能力专项证明材料”的,投标人应按照招标文件规定在此项下提供相应证明材料复印件。 2、投标人提供的相应证明材料复印件均应符合:内容完整、清晰、整洁,并由投标人加盖其单位公章。
(2)明细:招标文件规定的其他资格证明文件(若有)描述:1、(强制类节能产品证明材料,若有,应在此处填写); 2、(按照政府采购法实施条例第17条除第“(一)-(四)”款外的其他条款规定填写投标人应提交的材料,如:采购人提出特定条件的证明材料、为落实政府采购政策需满足要求的证明材料(强制类)等,若有,应在此处填写)。 ※1上述材料中若有与“具备履行合同所必需设备和专业技术能力专项证明材料”有关的规定及内容在本表b1项下填写,不在此处填写。 ※2投标人应按照招标文件第七章规定提供。
(3)明细:招标文件规定的其他资格证明文件(若有)描述:电子投标文件中的单位负责人授权书(若有)应为原件的扫描件。
(如项目接受联合体投标,对联合体应提出相关资格要求;如属于特定行业项目,供应商应当具备特定行业法定准入要求。)
三、采购项目需要落实的政府采购政策
进口产品,不适用。节能产品,适用于(合同包1),按照最新一期节能清单执行。环境标志产品,适用于(合同包1),按照最新一期环境标志清单执行。信息安全产品,适用于(合同包1)。小型、微型企业,适用于(合同包1)。监狱企业,适用于(合同包1)。促进残疾人就业,适用于(合同包1)。信用记录,适用于(合同包1),按照下列规定执行:(1)投标人应在(招标文件要求的截止时点)前分别通过“信用中国”网站(www.creditchina.gov.cn)、中国政府采购网(www.ccgp.gov.cn)查询并打印相应的信用记录(以下简称:“投标人提供的查询结果”),投标人提供的查询结果应为其通过上述网站获取的信用信息查询结果原始页面的打印件(或截图)。(2)查询结果的审查:①由资格审查小组通过上述网站查询并打印投标人信用记录(以下简称:“资格审查小组的查询结果”)。②投标人提供的查询结果与资格审查小组的查询结果不一致的,以资格审查小组的查询结果为准。③因上述网站原因导致资格审查小组无法查询投标人信用记录的(资格审查小组应将通过上述网站查询投标人信用记录时的原始页面打印后随采购文件一并存档),以投标人提供的查询结果为准。④查询结果存在投标人应被拒绝参与政府采购活动相关信息的,其资格审查不合格。
四、获取招标文件
时间:2021-07-13 10:55至2021-07-28 23:59(提供期限自本公告发布之日起不得少于5个工作日),每天上午00:00:00至11:59:59,下午12:00:00至23:59:59(北京时间,法定节假日除外)
地点:招标文件随同本项目招标公告一并发布;投标人应先在福建省政府采购网(zfcg.czt.fujian.gov.cn)免费申请账号在福建省政府采购网上公开信息系统按项目下载招标文件(请根据项目所在地,登录对应的(省本级/市级/区县))福建省政府采购网上公开信息系统操作),否则投标将被拒绝。
方式:在线获取
售价:免费
五、提交投标文件截止时间、开标时间和地点
2021-08-03 09:00(北京时间)(自招标文件开始发出之日起至投标人提交投标文件截止之日止,不得少于20日)
地点:
六、公告期限
自本公告发布之日起5个工作日。
七、其他补充事宜
/
八、对本次招标提出询问,请按以下方式联系。
1.采购人信息
名称:福建教育学院
地址:福州市鼓楼区梦山路73号
联系方式:139*****220
2.采购代理机构信息(如有)
名称:福建省闽咨造价咨询有限公司
地 址:福州市鼓楼区五四路158号环球广场B区13层
联系方式:152*****920
3.项目联系方式
项目联系人:吴沣
电 话:152*****920
网址:zfcg.czt.fujian.gov.cn
开户名:福建省闽咨造价咨询有限公司
福建省闽咨造价咨询有限公司
2021-07-13
|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
