网络安全运维服务公开招标项目服务采购项目
网络安全运维服务公开招标项目服务采购项目
项目概况
网络安全运维服务公开招标项目服务采购项目的潜在投标人应在福建省政府采购网(zfcg.czt.fujian.gov.cn)免费申请账号在福建省政府采购网上公开信息系统按项目获取招标文件,并于2021年01月07日 17时00分00秒(北京时间)前提交申请文件。
项目编号:网络安全运维服务项目
项目名称:网络安全运维服务公开招标项目服务采购项目
采购方式:公开招标
预算金额:199850元
合同包信息:
包1:
合同包预算金额:199850元 投标保证金:0元
采购需求:(包括但不限于标的的名称、数量、简要技术需求或服务要求等)
| 品目号 | 品目编码及品目名称 | 采购标的 | 数量(单位) | 允许进口 | 简要需求或要求 | 品目预算(元) |
|---|---|---|---|---|---|---|
| 1-1 | C020603 - 软件运维服务 | 网络安全运维服务项目 | 1(项) | 国内 | 安全运维招标要求 (一)采购内容列表 内容基本描述数量单位 网络安全运维针对院内主要应用系统开展专业的网络安全运维,内容应包括:漏洞扫描、渗透测试、入侵防护、安全加固、应急演练、红队评估、专项安全检查、网站安全监测、风险评估、资产分析、安全咨询、等保差距分析、管理制度辅助建设、策略复查和定制安全意识培训并提供安全巡检(每季度至少一次),采用专业安全评估工具及安全工程师人工检测相结合的方式,对业务系统进行深度的安全评估和保障,以提升单位的安全保障水平;1年 (二)技术和要求 1-1 网络安全运维 要求:为保证网络安全运维的专业性,本次要求安全商须具备国家信息安全测评信息安全资质(安全工程类三级或以上)。 1)漏洞扫描 (1)安全商对范围内的IT资产提供不少于4次/年的漏洞检测,包括但不限于器、网络设备、网络安全设备、操作系统、数据库、应用系统的脆弱性进行安全评估,并提交《漏洞检测报告》; (2)漏洞检测内容包括但不限于端口扫描、系统扫描、漏洞扫描,尽可能早地发现安全漏洞并进行修补,以最大可能的消除安全隐患; (3)安全商提供的漏洞检测时,须拥有合法的漏洞管理工具使用权,具备自主研发的漏洞扫描工具并有著作权,须提供自主著作权证明。且该工具能够支持手动爬行功能,解决业务逻辑复杂的URL无法获取的问题,增加扫描范围的全面性。 (4)安全商提供漏洞检测时,须拥有合法的漏洞管理工具使用权,且该工具能够支持在扫描过程中人工指 定包括MSSQLServer、Oracle、MySQL、DB2、Informix、Sybase、达梦等常见数据库登录协议的登陆口令,登陆到相应的数据库系统中对特定应用进行深入扫描。 2)渗透测试 安全商对范围内的信息系统提供不少于2次/年的渗透测试,并提交《安全渗透测试报告》,包括但不限于以下内容: (1)评估目标系统的基本特征信息(如系统名 称、版本、管理入口、网络指纹等)是否可以被远程探测和获取; (2)评估目标系统是否存在注入攻击漏洞(如SQL注入、命令注入、LDAP注入、JSON注入、Cookie注入、SSI注入、XML注入、XPath注入等); (3)评估攻击者是否可以非法读取、篡改、添加、删除未授权数据; (4)评估目标系统是否存在跨站脚本攻击(XSS)漏洞(如存储式跨站攻击、反射型跨站脚本攻击、基于DOM的XSS攻击、FLASH跨站脚本等),评估攻击者是否可以窃取用户会话、窃取敏感信息、重写WEB页面、重定向到恶意网站等; (5)评估目标系统的相关安全认证及会话管理是否存在漏洞,评估攻击者是否可以窃取到密码、密钥、会话授权、用户身份等; (6)评估目标系统是否存在对不安全对象的直接引用,评估攻击者是否可以利用引用对象访问未授权的数据; (7)评估目标系统是否存在安全配置错误威胁(如应用程序、系统框架、应用程序、页面、数据库、运行平台等配置是否安全合理); (8)评估目标系统加密存储方面是否存在不安全因素(如应用程序是否利用适当的加密或者散列手段来妥善保护信用卡、身份验证信息等),评估攻击者是否可以窃取或者非法修改这些受保护的敏感数据; (9)评估目标系统是否限制访问者的URL,评估攻击者是否可以通过伪造URL的方式随意访问隐藏页面; (10)评估目标系统是否存在缓冲区溢出漏洞,评估攻击者是否可以利用缓冲区溢出漏洞进行非法授权访问、获取权限、破坏可用性(如导致程序运行失败、系统关机、重新启动等)等威胁操作; (11)评估目标系统是否存在业务逻辑层面缺陷; (12)评估目标系统是对未经验证的访问请求重新指向或转发至其它页面是否有正确的验证机制,评估攻击者是否可以将访问请求指向到钓鱼类或者其它恶意网站等未经授权的页面。 3)应急演练 (1)应急预案:安全商结合医院信息系统实际情况建立统一的网络安全应急预案框架,框架应包括但不限于:事件分级方法、各级事件启动应急预案的条件、应急处理流程、系统恢复流程、事后医疗和培训等内容。安全商须具备相应的应急资质。 (2)应急演练:安全商提供不少于1次/年的网络安全应急演练,并提交演练报告,通过开展应急演练,检验应急预案、应急演练计划的合理性和有效性,针对演练过程中存在的问题及时改进,并提交《应急预案》和《应急演练报告》。 4)红队评估 通过专业的原厂渗透工程师组成红队,针对院内目标系统、人员、软件、硬件和设备同时执行的多混合、基于对抗性的模拟攻击,以此来深度发现院内系统、技术、人员和基础架构中的存在的隐患。用尽可能接近真实环境攻击的方法来模拟黑客APT攻击,从而发现有可能被黑客利用的安全漏洞,以此对我院目标网络安全状况进行评估。 由于需要专业的渗透工程师参与,人员应须具备渗透的资格能力,须具备权威认证如CISP-PTE渗透测试方向的专业认证。 频度:1次。 评估点包括: ?系统:深入的红队攻击将测试并暴露多个领域的漏洞。 ?整体IT架构防护能力:网络、应用、路由器、交换机、电子设备等。 ?人员:职工、独立承包商、、部门和业务伙伴等。 ?安全监控能力:日志保存、审计能力、APT攻击发现响应能力 输出有效的《红队评估报告》 5)专项安全检查 1.定期针对异常流量、攻击日志进行分析,通过关联规则告警聚合发现安全事件;定期根据攻击流量以及公开漏洞情况,判断终端主机和应用系统存在的漏洞,及时告知客户,并将判断结果汇总到分析报告中; 2.人工确认apt告警,对受害ip的流量行为、资产特性、时间节点、客户性质和apt组织进行关联分析,排查告警产生原因、攻击路径和影响范围,并给出处置建议。 3.人工确认告警,对受害IP与远控端的流量进行分析,并给出处置建议。 4.分析网络流量传感器的webshell上传告警、网页漏洞告警和网络攻击告警,确认入侵成功事件、排查影响访问并给出处置建议;聚合传感器的攻击数据,梳理出高威胁IP。 5.分析ftp、smb、oracle、mysql、mssql、ssh、postgresql、pop3、smtp等协议的登录失败行为进行分析,提取发起爆破行为的IP,并确认是否爆破成功。 6.深入分析网络流量,发现网络中存在的网站后门,溯源分析、行为分析、影响分析并给出处置建议。 7.在专项安全检查过程中,当出现应急响应时,需提供工具进行威胁评估、病毒和APT检测。要求工具便捷式、小型U盘,具备国密安全控制芯片。 8.提供1年≥6次远程分析并输出安全运营分析报告; 6)风险评估 (1)根据《信息系统安全等级保护定级报告》和信息系统安全等级保护要求,采用的技术手段、人工方法和使用的工具,明确评估的具体内容,制订《安全评估方案》,《安全评估现场计划》,《安全评估作业指导书》,方案和作业指导书中必须明确采用的技术手段、人工方法和使用的工具,明确评估的具体内容。方案和作业指导书须经过单位批准后方可实施。 (2)根据信息系统安全等级保护基本要求,开展物理环境、网络安全、器安全、应用系统安全现状评估。 (3)通过现场评估、脆弱性评估以及渗透测试等技术手段进行信息系统安全风险评估分析,编制风险评估报告。 进行网络入侵检测,在入侵预警日志中能够明确定位入侵事件类别等。 进行渗透测试,采用工具扫描+手工验证的方式,模拟黑客攻击的方法进行非破坏性质的攻击性测试。渗透测试的内容包括但不限于以下几个方面: a.伪造跨站请求 b.跨站脚本 c.注入攻击测试:SQL注入、指令注入 d.恶意文件执行:文件包含、上传漏洞 e.直接对象不安全:参数分析、越权访问 f.信息泄漏或错误处理不当:应用错误消息、目录遍历 g.加密存储不安全:HTML中的敏感数据、敏感信息存储、鉴别信息加密传输 h.认证和会话管理不完善:会话令牌的质量、鉴别旁路、缺省帐号、口令重置、鉴别失败锁定功能、空口令 i.通信不安全 j.URL强力浏览 k.应用层DOS l.工具扫描测试 提交成果:《安全评估方案》、《信息系统安全等级保护风险分析报告》 7)资产分析 对参与安全等级保护的系统进行资产信息调查、网络结构调查、安全系统调查等,形成最终的资产报告。 (1)资产调查:调查和统计范围内的信息资产,其中必须包括但不限于物理环境、网络设备、主机、应用软件、业务系统、数据、人员、标准流程等,明确其现有状况、配置情况和管理情况,并对所有信息资产按照一定标准进行资产赋值,绘制各业务系统的数据流图。正式开展调查时调查内容须经过单位审核后方可实施。 (2)网络调查:包括对所有网络的拓扑结构进行调查,并按统一标准绘制成图。 (3)安全系统调查:包括但不限于明确现有安全设备包括防火墙、防病毒系统、入侵检测系统等)的部署情况和使用情况,编制安全区域图。 提交成果:《信息系统资产调查表》 8)安全建设咨询 在单位信息系统自行定级的基础上,参照国家和地方对信息系统安全等级保护定级的有关要求,对信息系统开展摸底调查工作,掌握信息系统的基本情况,了解信息系统(包括信息网络)的业务类型、应用或范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息,撰写信息系统定级报告,明确信息系统的边界和安全保护等级,说明定级的方法和理由。并收集整理定级系统参与具备测评资质的测评机构安全等级测评所需的资料和文档。 9)等保差距分析 在安全评估和信息系统定级的基础上,根据《信息系统安全保护等级基本要求》将定级信息系统安全等级保护的各项基本要求与信息安全现状进行比较分析,从管理和技术两个层面找出存在的问题并进行分析。 对于需要增加投资,部署新的信息安全产品和技术的整改措施,双方根据整改方案另行协商和实施。 (1)进行安全差距分析,从物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理深入识别现状与指标库之间的差距情况。 (2)进行网络安全域分析,将运维管理、开发测试、办公网络以及生产区域进行逻辑划分和访问控制策略。 (3)进行安全管理制度分析,从信息安全方针、管理体系、安全管理机构的设立、人员管理、重要区域访问控制、信息系统建设管理、产品采购、系统运维管理、恶意代码、备份恢复策略、应急响应等深入识别安全管理制度与指标库的差距情况。 (4)安全建设规划:根据上述风险评估结果,结合信息系统安全等级保护要求,等保规划方案和整改方案。 a)确立保护对象b)保护计算环境c)保护区域边界d)保护通信网络e)建设安全管理体系。 提交成果:《信息系统安全等级保护差距分析报告》 10)管理制度辅助建设 安全管理制度建设,主要包括但不限于信息安全工作职责,信息安全监督、检查机制;辅助用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度。管理制度包括但不限于:《信息系统安全策略管理》、《安全制度制订流程规定》、《操作系统维护规程》、《数据库系统维护规程》、《机安全管理员岗位职责》、《信息系统安全培训管理》、《安全管理日常维护细则》、《安全审计管理制度》、《第三方人员管理制度》、《防病毒紧急响应流程》、《机房监控与管理流程》、《机房运行管理规范》、《器运维管理规范》、《软件开发环境使用管理要求》、《系统交付管理规范》、《资产安全管理规范》、《安全事件报告和处置管理规范》、《信息系统安全应急处理体系》、《人员安全管理规范》、《信息系统安全运维管理规范》……等。 11)策略复查 (1)派遣专业工程师到现场针对加固前后的系统脆弱性进行复查,复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。 (2)复查范围包括:1)技术层面:物理安全、网络安全、主机安全、应用安全、数据安全;2)管理层面:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。 (3)复查结束后,形成加固前后对比复查报告。 | 199850 |
合同履行期限:一年
本合同包是否接受联合体投标:不接受
二、申请人的资格要求:时间:2020年12月31日至 2021年01月07日(提供期限自本公告发布之日起不得少于5个工作日),每天上午08时00分至12时00分,下午14时00分至17时00分(北京时间,法定节假日除外 )。
地点:http://www.srmyy.com/index.php?m=search&a=show&id=6013
方式:网络
售价:0
四、提交投标文件截止时间、开标时间和地点2021年01月08日 09时00分00秒(北京时间)(自招标文件开始发出之日起至投标人提交投标文件截止之日止,不得少于20日)
地点:信息管理处会议室
五、公告期限自本公告发布之日起5个工作日
六、其他补充事宜1.采购人信息
名称:福建中医药大学附属人民医院
地址:福州市台江区八一七中路602号
联系方式:********0156
2.采购代理机构信息
名 称:无
地 址:无
联系方式:无
3.项目联系方式
项目联系人:无
电 话:无
福建中医药大学附属人民医院
发布时间:2020-12-31 08:00
|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
