长沙住房公积金管理中心:2022年度长沙住房公积金管理中心信息安全服务项目采购需求公开
长沙住房公积金管理中心:2022年度长沙住房公积金管理中心信息安全服务项目采购需求公开
项目名称:2022年度长沙住房公积金管理中心信息安全服务项目
项目金额:500,000元
二、相关标准:按国家及行业相关标准执行。
三、技术规格:服务内容
1、安全服务(专业类)
序号 | 名称 | 规格、参数、内容 |
1.1 | 风险评估 | 服务内容:对中心业务系统、综合服务平台两个等保三级系统进行风险评估,评估内容包括物理安全评估、网络安全评估、主机安全评估、应用系统评估、数据安全评估、病毒木马检查、漏洞扫描等。 服务频次:每年开展两次风险评估,每次评估后,出具相应的风险评估报告和改进措施报告。 中心业务系统包括归集、提取、信贷、财务、稽核、绩效、领导决策、行政执法、电子档案、资金结算平台、监管平台、与各相关部门(人民银行、市政府、商业银行、担保公司、住建局、不动产中心、法院等)接口等部分; 综合服务平台包括网上业务大厅、微信、在线客服系统、人脸识别系统、支付宝查询接口、自助终端等渠道。 |
1.2 | 渗透测试服务 | 服务内容:在不影响中心业务正常运行的情况下,完全模拟黑客可能使用的攻击技术和漏洞发现技术,对中心业务系统、综合服务平台互联网开放端口和接口等目标的安全状况开展深入的探测,以发现和挖掘系统中存在的漏洞。渗透测试工作以人工渗透为主,辅助以攻击工具的使用。 主要的渗透测试方法包括:信息收集、端口扫描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人攻击、web脚本渗透、B/S或C/S应用程序测试、社会工程等。针对所有渗透测试系统输出渗透测试报告描述其发现的问题并提供相应的解决方案。 服务频次:2021年8月中心对业务系统进行了升级改造,要求中标人2022年对各子系统进行一次全面的测试,并根据甲方需求按时按需开展。服务后,提供具有针对性的情况评估和改进措施报告。 |
1.3 | 脆弱性检测 | 服务内容:针对中心业务系统、综合服务平台重要资产(服务器、数据库、网络设备、安全设备等),服务提供商需利用自主研发的且具备自主知识产权的脆弱性检测工具进行脆弱性检测服务。 服务频次:每年至少开展两次脆弱性检测,每次服务后,提供具有针对性的情况评估和改进措施报告。 |
1.4 | 安全加固服务 | 服务内容:具体包括对中心业务系统、综合服务平台加固服务、服务器操作系统加固服务、数据库及中间件安全加固及数据库脱敏协助服务、虚拟化平台安全检查与加固服务、LED巡检加固服务、社工攻击模拟服务。 服务项: 1、中心业务系统、综合服务平台加固服务(包括但不限于以下内容:①系统配置整改;②系统补丁修复;③与各外联单位(包括人民银行、市政府、各商业银行、担保公司、住建局、不动产中心、法院等)对接的接口安全加固。 2、服务器操作系统加固服务(包括但不限于以下内容:①系统配置整改;②官方补丁修复;③系统账户口令、协议安全、认证权限、日志审计)。 3、数据库及中间件安全加固及数据库脱敏协助服务(包括但不限于以下内容:①用户远程登录限制;②登录失败的账号锁定策略;③数据库用户账号检查;④开启资源限制;⑤数据库账户口令加密存储;⑥数据库密码安全校验;⑦设置信任IP集;⑧超时的空闲远程连接自动断开)。 4、虚拟化平台安全检查与加固服务(包括但不限于以下内容:借助中心现有的虚拟化安全软件和其他各种平台或技术手段,对虚拟化平台东西、南北向流量进行有效防护,协助中心对虚拟化平台安全进行加固,提出可行的解决方案)。 5、LED巡检加固服务(包括但不限于以下内容:中心机关、铁路分中心和各管理部的各类LED屏模拟攻击,主要检测被无线攻击可能性)。 6、社工攻击模拟服务(主要针对中心机关、铁路分中心、各管理部网点柜台、自助终端、机房进行社工模拟攻击)。 服务频次:每服务项每年至少服务2次,并根据甲方需求按需开展。每次服务后,提供具有针对性的安全评估和改进措施报告。 |
1.5 | 中心官方网站、网上业务大厅安全监测预警服务 | 服务内容:服务提供商需利用自主研发的且具备自主知识产权的网站安全监测工具,对中心官方网站、网上业务大厅进行安全监测服务和安全漏洞舆情数据服务。支持通过外部互联网云端资源对中心官方网站、网上业务大厅漏洞、网页篡改、网页挂马、黑词\\暗链、DNS、可用性、敏感词等安全问题进行监测。可及时发现如挂马、内容被篡改等安全攻击和发布/链接反动、暴力、色情等行为事件并进行有效处置。中心官方网站、网上业务大厅首页监测发现不大于5分钟,其他页面监测发现时间不大于30分钟,监测深度不少于6层。 服务频次:7×24后台专家人工验证服务,月度安全监测报告。 |
1.6 | 安全应急响应服务 | 服务内容:在中心发生确切的安全事件时,应急响应实施人员及时采取行动限制事件扩散和影响的范围,为中心提供一般安全事件应急响应服务,提供远程技术支持(电话、邮件、微信等即时通讯方式),提供紧急安全事件应急响应服务,提供3小时内达到中心现场。在限制潜在的损失与破坏服务基础上,实施人员协助客户检查所有受影响的系统,在准确判断安全事件原因的基础上,提出基于安全事件整体安全解决方案,排除系统安全风险并协助追查事件来源、提出解决方案、协助后续处置。 服务项: 1、远程技术支持(远程故障排查、远程协助日志分析、远程协助故障排除、远程协助系统恢复) 2、现场技术支持(现场安全事件排查、现场协助日志分析、现场协助故障排除、现场协助系统恢复) 服务频次:根据甲方需求按需开展,每次服务后,提供具有针对性的应急响应报告和安全整改建议书。 |
1.7 | 安全应急演练服务 | 服务内容:未发生安全事件时,开展应急演练,不断提高中心开展应急工作的水平和效率,发现预案的不足,进一步完善应急预案。(常见安全应急演练场景有如下:DDoS攻击、蠕虫木马攻击、网页防篡改等) 服务频次:每年至少服务两次,并根据甲方需求按需开展。整个应急演练过程需提供应急演练场景模板、应急演练签到文件、应急演练脚本文件、应急演练记录文件、应急演练总结报告。 |
1.8 | 特殊时期安全保障服务 | 服务内容:在重大活动或迎检等特殊时期(如全国两会、中国共产党成立第二十大召开、公安和网信部门组织的护网行动等特殊时期),以“事前准备、事中保障(值守、监控、应急、处置)、事后总结(复盘、提升)”的思路来保障中心的信息网络安全。 服务项:安全巡检、安全保障、夜间及节假日值守 服务频次:根据特殊事件的时间节点以及响应上级部门的要求来开展。总共时30人天每次服务后,提供特殊时期安全巡检报告、特殊时期总结报告及改进措施报告。 |
1.9 | 安全培训服务 | 服务内容:定期举行网络安全培训,提供定制化的信息安全意识和安全实操培训服务。具体包括五部分内容:安全意识培训、安全管理与理念培训、网络及安全设备安全运维培训、操作系统及数据库安全运维培训、应用系统安全开发与运维培训。 1、安全意识培训、安全管理与理念培训面向中心机关及其下属11个管理部的相关业务人员开展,需抽派经验丰富的安服人员进行现场讲授。以现实中发生的真实案例为出发点,为中心提供生动、真实的安全意识培训,以提高中心员工在生活及工作信息安全防范意识。 2、网络及安全设备安全运维培训、操作系统及数据库安全运维培训、应用系统安全开发与运维培训主要面向科技信息处全体员工开展。 服务频次:每年至少服务两次,每次一天,并根据甲方需求按需开展。 |
1.10 | 安全通报服务 | 服务内容:包括内部安全通报和外部安全通报 1、内部安全通报(根据安全评估及安全巡检所发现的安全威胁,定期汇总成安全通报,根据中心特定渠道发送相关安全预警信息及通报文件。) 2、外部安全通报(通过相关即时通讯工具(微信/QQ/手机短信等)或相关非即时通讯工具(邮件等)为中心发送业内或非业内最新的安全动向及安全漏洞通告。 服务频次:内部安全通报根据甲方需求随时开展,外部安全通报根据实时预警第一时间发送至甲方相关技术人员。 |
1.11 | 安全体系建设 | 服务内容:根据等级保护安全制度完善(根据等级保护三级2.0标准为业主方提供详细的制度梳理、制度修订服务,并协助甲方对已修订制度进行发布管理等工作。 制度内容包括但不限于: 1、单位机房安全管理制度 2、单位网络安全管理制度 3、单位系统运行维护管理制度 4、单位数据安全管理制度 5、单位固定资产管理制度 6、单位设备管理制度 7、单位便携式计算机及移动存储介质管理制度 8、单位用户登记管理制度 9、单位口令、密码管理制度 10、单位安全责任制度 11、单位信息审查、登记、保存、清除、备份制度 12、单位操作权限管理制度 13、单位安全教育培训制度 14、单位信息系统安全应急处置预案 15、单位信息安全组织机构 16、单位数据备份与恢复制度 17、单位网络安全漏洞检测和系统升级制度 18、单位网络安全审计制度 服务频次:安全体系建设根据甲方需求按需开展。 |
1.12 | CISD、CISSP培训及考试 | 服务参加中国信息安全测评中心组织的CISD和国际信息系统安全认证联盟组织和管理的CISSP培训及考试名额各1个。 |
2、安全服务(驻场类安全运维工程师1名)
序号 | 类别 | 具体要求 |
1 | 综合能力 | 1、掌握网络安全运维常见技术架构以及演进趋势; 2、具备安全隐患的排查分析能力; 3、具备良好的技术文档编写能力; 4、具备良好的沟通表达及团队合作能力。 |
2 | 专业知识 | 1、需熟练掌握安全运维相关技术指南及标准规范; 2、掌握常见操作系统及网络设备的操作命令; 3、熟悉常见安全漏洞的利用原理; 4、熟悉安全运维的安全监控、安全研判、风险处置、应急响应等的流程及方法。 |
3 | 技术技能 | 1、掌握常见的网络安全产品,如防火墙、WAF、VPN、IDS/IPS、堡垒机、病毒防护、日志审计等的运维操作; 2、掌握TCP/IP网络协议、OSI七层参考模型的原理和应用; 3、掌握常见应用程序和操作系统安全漏洞,如SQL注入、XSS、CSRF、LFI、RFI、溢出漏洞、提取漏洞等的检测与防护原理,并修复; 4、熟练操作Linux、Windows操作系统; 5、熟悉Oracle、MySQL等数据库语言的使用; 6、熟悉静态路由、策略路由、BGP、VLAN、NAT、ACL、SNMP等协议底层工作原理; 7、熟悉常用网络监控。 |
4 | 工程实践 | 1、具备较强的网络安全监测、事件研判、风险处置、应急响应、溯源分析、漏洞复核等能力。 2、具备较强的网络安全保障支撑能力,具有相应网络安全重大保障研判、溯源、应急等经验。 3、具备安全策略优化服务、安全事件告警监控服务、安全审计日志分析服务、配置及备份更新服务、安全事件实施通报服务、Web失陷检测服务、全流量风险分析服务的能力。 |
服务时间:自合同签订后一年。
服务地点:长沙住房公积金管理中心指定地点。
五、服务标准:符合招标方要求。服务范围:
1、主机房为长沙住房公积金管理中心生产机房。
2、分机房包括容灾机房、异地备份机房、铁路分中心机房、各管理部机房(含驻政务中心管理部机房设备)。
六、验收标准:本项目采用简易程序验收。
七、其他要求:费用支付及验收标准
付款方式及验收标准:当年合同签订后10日内支付项目合同金额的50%,剩余合同金额的50%作为考核结算款。第一次考核时间为合同签订6个月后,考核金额为合同金额的35%,根据考核情况进行支付。第二次考核时间为合同签订12个月后,考核金额为合同金额的15%,根据考核情况进行支付。当中标人考核得分高于或等于90分时,采购人按应付金额的100%向中标人支付费用;当中标人考核得分低于90分时,每低1分,采购人按当次应付金额的1%扣除。在阶段性考核中,中标人得分低于70分时,采购人有权终止合同。
2022年度信息安全服务考核评分标准(半年度) | |
工作目标 | 权重 |
风险评估 | 10分 |
渗透测试服务 | 10分 |
脆弱性检测 | 10分 |
安全加固服务 | 10分 |
中心官方网站、网上业务大厅安全监测预警服务 | 10分 |
安全应急响应服务 | 10分 |
安全应急演练服务 | 5分 |
特殊时期安全保障服务 | 5分 |
安全培训服务 | 5分 |
安全通报服务 | 5分 |
驻场人员 | 20分 |
意见和建议 部门: 时间: 年 月 日 |
标签: 信息安全服务
0人觉得有用|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
