湖南信息职业技术学院:学年网络安全技术保障服务采购采购需求公开

湖南信息职业技术学院:学年网络安全技术保障服务采购采购需求公开

一、功能及要求:

3.1 采购项目概况

本项目为2023-2024学年网络安全技术保障服务采购,主要项目内容包括:等级保护测评服务、网络安全设备维保服务、服务器终端检测响应平台(EDR)授权扩容、运维安全审计系统,以及网络安全运营技术服务等五个子项。投标方应依据《中华人民共和国网络安全法》和《网络安全等级保护条例》等相关政策文件,结合学院网络和信息系统实际,充分发挥自身在信息安全领域的人员、设备和技术优势,积极主动为学院网络信息安全工作提供优秀专业技术支撑服务,有效预警防御各类网络信息安全风险隐患,及时准确提供防范措施和整改建议,并对实施效果进行验证。进一步完善学院网络安全体系建设,落实网络安全等级保护2.0的要求,实现网络安全由被动响应向主动防御的过渡,逐步构建学院网络安全运营体系,切实提升学院网络安全防护水平,保障学院全年无重大网络安全责任事故发生。

3.2 服务内容及服务要求

1、服务内容

采购包1:

采购包预算金额(元): *******.12

采购包最高限价(元): *******.12

供应商报价不允许超过标的限价

(招单价的)供应商报价不允许超过标的单价

序号

标的名称

数量

标的预算

(元)

计量单位

所属行业

是否核心产品

是否允许进口产品

是否属于节能产品

是否属于环境标志产品

是否两型产品

是否首购产品

1

2023-2024学年网络安全技术保障服务采购

1.00

*******.12

软件和信息技术服务业

2、服务要求

采购包1:

供应商报价不允许超过标的预算

(招单价的)供应商报价不允许超过标的单价

标的名称:2023-2024学年网络安全技术保障服务采购

参数性质

序号

技术参数与性能指标

1

一、服务内容

(1)等级保护测评服务

服务内容:组织具有网络安全等级测评服务与检测评估资质的公司,按照国家及监管部门要求完成学院7个二级等级保护测评相关工作,包括信息系统的备案调整,新建系统的定级备案。

供应商应基于国家信息系统安全等级保护的基本要求,从安全物理环境、安全区域边界、安全通信网络、安全计算环境、安全管理中心以及安全管理制度等方面,对等保二级系统进行全面的安全评估,了解信息系统的安全现状,找出现状与相应保护等级要求之间的差距,明确不满足项并提出对应的整改建议。

服务频率:1次/年。

提交成果:《等级测评备案》、《等级测评报告》、《等级保护差距分析报告》。

(2)网络安全设备维保服务

服务内容:提供2台设备的原厂维保服务,包括技术支持、软件升级、产品质保,其中防火墙还提供网关杀毒升级许可、深信服云智订阅软件许可等特征库升级维护;提供备品备件,确保发生意外时,及时替换并恢复网络正常。2台设备具体为:深信服下一代防火墙(AF-6020-JY,采购时间2018-04)、深信服负载均衡(AD-1000-E640-ED,采购时间2018-09)。

服务频率:按需提供。

(3)服务器终端检测响应平台(EDR)授权扩容服务

服务内容:学院已经部署了深信服EDR软件,主要用于现有信息系统服务器恶意代码和病毒检测及查杀。因应用系统数量增加,剩余授权数量已无法覆盖所有服务器,需扩容50台服务器的授权。所有授权提供5年病毒库升级及软件更新、故障排查等服务。

提交成果:50台服务器的授权。

(4)运维安全审计系统

服务内容:供应商提供的运维安全审计系统满足网络安全等级保护2.0中安全管理中心的系统管理、审计管理、安全管理、集中管控的要求。通过旁路部署,不改变现有网络拓扑结构,实现统一入口、批量管理、自动运维、安全运营;通过身份鉴别(Authentication)、授权控制(Authorization)、账号管理(Accounting)、安全审计(Auditing)等四个核心功能控制IT系统运维风险,防止身份冒用和复用、防止内部误操作和权限滥用、管理人员和资产、保障追溯和提供事故分析的依据。

提交成果:采购并部署运维安全审计系统一台。

(5)网络安全运营技术服务

门户网站及信息系统在线监控

服务内容:供应商应对学院门户网站及信息系统进行7×24小时在线监测,在发现问题时通过短信、电话等方式及时进行通报,每月定期对监控情况进行总结,并编制网站监控总结报告。

服务频率:7×24小时。

提交成果:《网站监测报告》(每月)。

信息资产梳理

服务内容:供应商应根据学院网络、安全设备及云中的主机、数据库、应用系统部署的调整情况,对学院信息资产进行全面梳理,对网络、安全设备的策略进行分析并备份,并制作最新的网络拓扑图。

服务频率:2次/年(每半年一次)。

提交成果:《资产梳理清单》、《信息系统拓扑图》。

安全巡检与安全众测服务

服务内容:利用检测工具和人工排查等多种方式对学院网络设备、安全设备、主机的健康状态进行检测,包括系统资源的使用情况、业务应用服务所占用的网络资源情况、端口服务开放情况的变更等内容,并实施必要的安全维护操作,做好巡检记录单、维护记录单,提交巡检报告。根据长沙市网络安全应急演练的要求,组织开展信息系统的安全众测,系统梳理防护面,检验学院应急响应流程、验证安全防护措施的有效性等,并协助整改和复测。

服务频率:1次/年。

提交成果:《安全巡检报告》、《安全测试报告》。

渗透测试服务

服务内容:供应商应在不影响业务正常开展的前提下,对学院指定信息系统,通过模拟恶意黑客攻击深度评估信息系统安全性,全面挖掘高可利用漏洞,帮助学院发现信息系统存在的安全隐患,及时采取必要的防护措施,并提出安全整改建议。

服务频率:2次/年(每半年一次)。

提交成果:《渗透测试报告》。

系统脆弱性检查服务

服务内容:供应商应针对学院现有信息系统服务器操作系统、数据库、中间件、网络及安全设备等,进行安全扫描,以发现潜在的脆弱点,识别出能被入侵者用来非法进入网络或者非法获取信息资产的漏洞,为安全优化工作提供建设依据。

服务频率:4次/年(每季度一次)。

提交成果:《系统漏扫报告》。

新系统上线安全风险评估

服务内容:通过人工审查+自动化扫描的方式对应用系统进行审计检测,以发现信息系统的安全漏洞和逻辑缺陷,分析存在的安全风险,并提出整改和修复建议,从而改善信息系统的安全现状,提高安全稳定性。

服务频率:≥3个/年(以采购方实际需求为准)。

提交成果:《上线安全评估报告》。

数据安全风险评估

服务内容:基于国内外数据安全相关标准及学院的实际需求,通过文档查阅、人员访谈、现场查看和技术调研等方式评估学院在组织建设、制度流程、技术工具及人员能力等方面可能存在的数据安全风险,给出建设数据安全管理和技术手段的解决方案。

服务频率:1次/年。

提交成果:《数据安全风险评估报告》。

应急演练服务

服务内容:根据定制化的演练目的和场景,基于学院现有应急处置体系,组织展开应急演练工作,进一步提高师生网络安全应急处置能力。主要服务内容包括:制订应急演练方案、准备应急演练环境、实施应急演练、优化应急预案、完善应急处置体系等;在实施过程中模拟网络攻击并协助学院实施应急响应工作,包括预警与评估、应急响应预案启动和应急处置工作。演练结束后,对演练过程进行分析与回顾,协助撰写应急演练情况总结报告,并展开应急演练工作的审核,以确定改进目标和改进的具体工作内容。

服务频率:1次/年。

提交成果:《应急演练方案》、《应急演练情况总结报告》。

安全应急响应与追踪溯源服务

服务内容:根据应急预案对发生的安全事件快速作出响应,根据安全事件等级,第一时间采用现场或远程的方式对安全事件进行应急处置,最大限度地降低安全事故带来的危害,抑制事件影响扩散,帮助学院将损失降至最低程度。事后,完成追踪溯源,撰写报告。

服务频率:不限次数,7×24应急响应。

提交成果:《应急响应服务记录单》、《溯源报告》。

特殊时期网络安全值守保障服务

服务内容:根据学院现有网络情况,针对关键业务节点提供及时必要的备品备件服务,并指定技术人员提供24小时不间断值守服务,以保障在重大特殊时期信息系统业务的安全稳定不间断运转。

服务频率:≥7次/年(以采购方实际需求为准)。

提交成果:《特殊时期值守日报》。

?驻场安全运维服务

服务内容:供应商应派驻1名安全运维人员到学院提供驻场安全运维服务,驻场服务人员每个工作日(工作时间与学校一致)应对服务范围内的服务器、网络及安全设备进行检查,监测设备的运行状态,及时发现故障和隐患。如发现安全设备发生硬件故障,应及时联系厂商进行设备维修,并根据厂家产品升级情况及时对安全设备进行升级(如动态库更新)。

服务频率:5天×8小时现场值守,其他时间远程值守监测。

提交成果:《安全运维监测报告》12期(每月一期)。

?非工作时间托管服务

服务内容:供应商在驻场工作时间外提供远程安全运维服务,实时监测学院信息系统安全运行状态,发现安全问题或安全隐患及时通知学院。

服务频率:7×24小时(工作时段以外)。

提交成果:《安全运维监测报告》12期(每月一期)。

?安全检查与安全加固服务

服务内容:供应商应利用技术手段和人工排查的方式,协助学院开展信息安全检查,完善安全管理措施,减少安全风险,提高应急处置能力,确保学院信息安全。在用户授权范围内,针对在安全评估、应急响应、攻防对抗过程中发现的安全风险、不合规项、系统漏洞等提供具体落地的加固方案并协助完成加固整改,提高整体网络安全防护水平。

服务频率:1次/年。

提交成果:《信息安全检查报告》、《安全加固报告》。

?安全咨询服务

服务内容:遵循国家级行业法规政策要求,参照国内外最佳实践模型,根据学院信息安全战略目标、安全现状与需求,采用科学的信息安全规划方法论,构建符合学院未来发展的信息安全总体架构,并通过业务和项目约束关系分析关键实施计划和路径,指导信息安全建设方向,满足法律、管理与业务发展需要。

服务频率:≥1次/年(以采购方实际需求为准)。

?安全培训服务

服务内容:根据学院信息安全工作需求,结合当前信息安全态势,组织相关安全管理、安全技术专家,对广大师生、技术及信息化运维人员就相关制度法规、安全管理、安全技术的专题培训,制作培训讲义或文档,提供给受训人员。

服务频率:≥2次/年(以采购方实际需求为准)。

提交成果:《培训记录》

二、采购清单及服务要求(规格参数)

序号

采购商品/服务名称

服务要求(规格参数)

单位

数量

1

等级保护测评服务(服务类)

1. 共7个二级信息系统的等级保护测评工作;

2. 包括已有信息系统的备案更新/调整,新建系统的定级备案。

7

2

网络安全设备维保服务(服务类)

1. 提供2台设备的原厂维保:深信服下一代防火墙(AF-6020-JY,采购时间2018-04)、深信服负载均衡(AD-1000-E640-ED,采购时间2018-09);

2. 包括:技术支持、软件升级、产品质保,其中防火墙还提供网关杀毒升级许可、深信服云智订阅软件许可等特征库升级维护;

3. 提供备品备件,确保发生意外时,及时替换并恢复网络正常。

1

3

服务器终端检测响应平台(EDR)授权扩容服务(服务类)

1. 扩容50点服务器防病毒授权许可;

2. 支持通过学院现有的防病毒软件管理平台统一管理、运维;

3. 提供5年病毒库升级更新及软件升级、故障排查等服务。

5


4

运维安全审计系统(货物类)

1. 标准机架式国产设备,模块化双冗余电源;≥6个千兆电口,≥2个万兆光口(含光模块),≥1个千兆管理口;内存:≥16G,硬盘:≥100G SSD + ≥4TB SATA存储空间;

2. 物理旁路单臂部署,不改变现有网络结构;

3. 提供≥300个主机/设备许可,最大可扩容至≥500;用户数不限,图形并发≥100,字符并发≥300;运维审计数据至少存储180天;

4. 提供本地认证和第三方认证接入。采用多因子认证,支持短信(阿里云、华为云、移动云mas等)二次认证;单点登陆(如OpenID认证、CAS认证、AD域/LDAP认证、Radius认证等);

5. 支持以B/S方式管理,采用HTTPS加密方式访问。主要功能包括但不限于运维管理(用户/资源/授权的单个和批量管理)、运维审计(包括运维日志含监控录像、命令记录、文件传输等,系统日志含登录日志、配置日志、授权日志等);策略管理(IP黑白名单、密码策略等);报表管理;系统管理(故障诊断、配置备份等)。

6. 支持网页运维方式访问已授权的资产,并进行运维操作;同时支持SecureCRT、XShell、WinSCP等客户端直接连接进行代理运维目标资产。

7. 资源支持:支持资源分组管理;支持主流资源的录入、审计及单点登录,包括:主机/服务器(Linux、Windows及国产麒麟等操作系统)、数据库(MySQL/MongoDB /MariaDB/PostgreSQL/Oracle/SQL Server/Redis等)、应用系统(C/S、B/S应用)、网络设备、网络安全设备、超融合管理平台、云虚拟化管理平台(KVM/VMware等)等(提供产品截图);

8. 协议支持:字符访问支持SSH、TELNET等;图形访问支持RDP、VNC等;文件传输协议支持FTP、SFTP、RDP磁盘映射、RDP剪切板等;

9. 用户管理:采用三员管理,支持自定义角色创建;支持用户分组;支持指定用户状态(启用/禁用等)、登录时间段(可循环,如每周一到周五9:00-17:00时)、批量指定用户可访问的资源、限制登录IP、限制文件上传/下载权限、限制运维命令等规则(提供产品截图);

10. 资源口令托管:口令加密存储,支持口令的统一管理,实现账号密码代填功能;可自动对Windows、Linux等设备进行账号改密,改密支持手动和定期任务,能自定义口令变更周期和口令强度;密码配置支持全局策略和手工指定,密码复杂度支持按策略随机生成(提供产品截图);

11. 运维监控:支持对单一资源的审计设置,如启用/禁用监控录制;支持对在线会话的实时监控和即时阻断;支持运维审计日志在线播放和离线下载后播放(提供产品截图);

12. 支持IPV6,设备自身可以配置IPV6地址供客户端访问,并且支持目标设备配置IPV6地址实现单点登陆和审计(提供产品截图);

13. 支持全文审计检索。可以对用户、资产、管理地址、管理方式、操作命令、操作结果等信息进行全文检索(提供产品截图);

14. 提供授权关系查看功能。图形化直观展示用户、资产、协议、账号的授权关系(提供产品截图);

15. 提供5年维保(包括硬件质保、技术支持、软件升级等)。

16. 根据国家互联网信息办公室、工业和信息化部出台的《关于调整网络安全专用产品安全管理有关事项的公告》(2023年第1号)规定,本项目所投“运维安全审计系统”:应按照GB *****-2022《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求,由列入《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》的机构安全认证合格或者安全检测符合要求,提供有效认证或检测报告扫描件;或具有有效期内的《计算机信息系统安全专用产品销售许可证》,提供有效的证书扫描件。

1

5

网络安全运营技术服务(服务类)

门户网站及信息系统在线监控

1. 7×24小时安全监测服务及通报预警;

2. 包括但不限于:站点可用性、域名解析、网页挂马、网页篡改、网页敏感内容、钓鱼网站、黑链、暗链、外链、WebShell等情况进行检测;

3. 每月提交《网站监测报告》。

按需告警、每月月报

信息资产梳理

1. 梳理范围:1)基础设施(机房、主干网拓扑)、资源(IP/VLAN、域名)、设备(电子大屏、服务器、存储、网络设备、安全设备)、系统(应用软件、网站);2)所有资源区域:IP-分段及规划(内网业务段、公网暴露);3)应用系统组成:构成应用系统的服务器、关键组件、内部拓扑;

2. 梳理内容:操作系统、数据库、中间件、应用系统的版本类型;域名、IP地址、存续状态;应用开放协议和端口;应用系统管理方式、资产的重要性以及网络拓扑;

3. 其他要求:1)登记审核,对新上线的业务系统,进行审核登记,确认业务使用用途,评估业务开放的合理性;2)定期盘点,对资产清单定期清查更新;

4. 提交成果:《资产梳理清单》、《信息系统拓扑图》。

2次/年(每半年一次)

安全巡检与安全众测服务

1. 对象:学院信息系统/网站相关资产(如数据库、中间件、Web应用、服务等)、网络设备、安全设备等;

2. 方法:利用检测工具和人工排查等多种方式;

3. 提交《安全巡检总结》(含各系统检查结果)、《安全测试报告》。

1次/年

渗透测试服务

1. 渗透范围:学院信息系统/网站;

2. 要求:1)渗透在不影响学院系统正常运行的情况下开展,对重要信息系统、互联网开放端口目标,进行非破坏性质的攻击测试;2)所有的渗透测试行为须在明确的书面授权下进行;3)渗透测试人员须具有CISP-PTS证书;4)分系统出具测试报告,提供安全加固建议,协助整改并复查;

3. 提交《渗透测试报告》。

2次/年(每半年一次)

系统脆弱性检查服务

1. 漏扫范围:学院信息系统/网站相关资产(如数据库、中间件、Web应用、服务、网络设备、安全设备等)

2. 要求:对漏扫结果进行人工筛选,分系统/设备整理出具整改报告,协助整改并复查;

3. 提交《系统漏扫报告》。

4次/年(每季度一次)

⑥新系统上线安全风险评估

1. 评估对象:学院新上线业务系统或设备;

2. 评估手段:代码审计(如有)、漏洞扫描、基线检查、弱口令检查、渗透测试等;

3. 要求:按学院要求出具检测报告,提供安全加固建议,协助整改并复查;

4. 提交《上线安全评估报告》。

≥3个/年(以采购方实际需求为准)

数据安全风险评估

1. 评估对象:组织建设、制度流程、技术工具及人员能力等;

2. 评估手段:文档查阅、人员访谈、现场查看和技术调研等;

3. 要求:评估学院在数据安全方面可能存在的风险,给出建设数据安全管理和技术手段的解决方案;

4. 提交《数据安全风险评估报告》。

1次/年

应急演练服务

1. 服务内容:演练环境搭建、演练方案编写、演练彩排、正式演练、应急演练总结等各个阶段;

2. 服务目标:帮助学院实现全面有效的应急演练,检查已有应急方案是否科学有效,完善应急响应工作机制;

3. 提交《应急演练方案》、《应急演练总结》。

1次/年

安全应急响应与追踪溯源服务

1. 内容及要求:1)对安全事件快速作出响应,第一时间采用现场(1小时内)或远程(10分钟内)的方式对安全事件进行应急处置,抑制事件影响扩散;2)开展溯源取证,固定证据链;

2. 服务目标:采取紧急措施,协助恢复业务到正常服务状态;调查安全事件发生的原因,避免同类安全事件再次发生;

3. 人员资质要求:实施人员需具备CISP-IRE证书;

4. 提交《应急响应服务记录单》、《溯源报告》。

不限次数,7×24应急响应

⑩特殊时期网络安全值守保障服务

1. 值守时段:以教育、网信等监管部门要求为准(含攻防演练);

2. 值守要求:1)提供7×24小时现场轮班值守服务,及时通报并协助处置安全事件;2)对于间隔1个月以上的值守时期,需基于学院整体提前做好安全风险排查、提供加固建议及防护;

3. 提交《特殊时期值守日报》。

≥7次/年(以采购方实际需求为准)

?驻场安全运维服务

1. 驻场时间:合同期内,提供1人5×8小时驻场服务,按照学校上班时间、值班时间开展工作;

2. 驻场工作内容:1)负责日常安全监控和风险管理,及时发现、通知并协助处置,汇总安全问题清单;2)完成安全服务项目的实施及沟通协调工作;3)负责安全设备的日常维护工作,如安全策略维护、安全设备运行检查和配置备份、协助设备安全巡检和升级、协助系统管理;4)完成简单的安全设备的故障分析及处理,以及安全设备性能分析及优化;5)负责相关工作文档资料的收集、编撰,如安全事件整改报告、安全风险通知、工作总结、工作月报等;

3. 人员资质:有CISP资质证书;

4. 提交《安全运维监测报告》(每月)。

1年

?非工作时间托管服务

1. 值守时段:工作日中午/晚上,周末、节假日24小时值班;

2. 值守要求:围绕学院资产、漏洞、威胁、事件四个要素,持续性开展网络安全保障工作,及时发现问题、通报并处置;

3. 提交《安全运维监测报告》(每月)。

7×24小时(工作时段以外)

?安全检查与安全加固服务

1. 根据学院网络安全管理要求,针对学院信息系统/网站,提供检查方案、协助现场检查,出具检查报告,协助整改并复查;

2. 针对在安全评估、应急响应、攻防对抗过程中发现的安全风险、不合规项、漏洞进行安全加固;

3. 提交《信息安全检查方案》、《信息安全检查总结》(含各系统检查结果)、《安全加固报告》。

1次/年

?安全咨询服务

1. 在日常安全运营服务期间,按需为学校提供全面的安全专家咨询服务,建立日常、值守期间安全专家咨询沟通机制;

2. 安全咨询能够结合学校安全现状,从管理制度完整性、内容合规性,以及技术防护情况等全面为学校提供安全规划、建设、加固等建议。

≥1次/年(以采购方实际需求为准)

?安全培训服务

1. 结合学院需求,组织安全专家针对老师或学生等开展专题培训,负责培训活动的需求调研、培训讲义、授课服务等;

2. 提交《安全培训记录》。

≥2次/年(以采购方实际需求为准)

二、相关标准

服务方案的设计与实施应依据国家以及行业的相关标准进行,包括但不限于《GB/T *****-2007信息安全技术信息安全风险评测规范》、《支撑系统安全域划分与边界整合技术要求》、《设备通用安全功能和配置规范》等一系列加固规范;

三、技术规格

二、采购清单及服务要求(规格参数)

序号

采购商品/服务名称

服务要求(规格参数)

单位

数量

1

等级保护测评服务(服务类)

1. 共7个二级信息系统的等级保护测评工作;

2. 包括已有信息系统的备案更新/调整,新建系统的定级备案。

7

2

网络安全设备维保服务(服务类)

1. 提供2台设备的原厂维保:深信服下一代防火墙(AF-6020-JY,采购时间2018-04)、深信服负载均衡(AD-1000-E640-ED,采购时间2018-09);

2. 包括:技术支持、软件升级、产品质保,其中防火墙还提供网关杀毒升级许可、深信服云智订阅软件许可等特征库升级维护;

3. 提供备品备件,确保发生意外时,及时替换并恢复网络正常。

1

3

服务器终端检测响应平台(EDR)授权扩容服务(服务类)

1. 扩容50点服务器防病毒授权许可;

2. 支持通过学院现有的防病毒软件管理平台统一管理、运维;

3. 提供5年病毒库升级更新及软件升级、故障排查等服务。

5


4

运维安全审计系统(货物类)

1. 标准机架式国产设备,模块化双冗余电源;≥6个千兆电口,≥2个万兆光口(含光模块),≥1个千兆管理口;内存:≥16G,硬盘:≥100G SSD + ≥4TB SATA存储空间;

2. 物理旁路单臂部署,不改变现有网络结构;

3. 提供≥300个主机/设备许可,最大可扩容至≥500;用户数不限,图形并发≥100,字符并发≥300;运维审计数据至少存储180天;

4. 提供本地认证和第三方认证接入。采用多因子认证,支持短信(阿里云、华为云、移动云mas等)二次认证;单点登陆(如OpenID认证、CAS认证、AD域/LDAP认证、Radius认证等);

5. 支持以B/S方式管理,采用HTTPS加密方式访问。主要功能包括但不限于运维管理(用户/资源/授权的单个和批量管理)、运维审计(包括运维日志含监控录像、命令记录、文件传输等,系统日志含登录日志、配置日志、授权日志等);策略管理(IP黑白名单、密码策略等);报表管理;系统管理(故障诊断、配置备份等)。

6. 支持网页运维方式访问已授权的资产,并进行运维操作;同时支持SecureCRT、XShell、WinSCP等客户端直接连接进行代理运维目标资产。

7. 资源支持:支持资源分组管理;支持主流资源的录入、审计及单点登录,包括:主机/服务器(Linux、Windows及国产麒麟等操作系统)、数据库(MySQL/MongoDB /MariaDB/PostgreSQL/Oracle/SQL Server/Redis等)、应用系统(C/S、B/S应用)、网络设备、网络安全设备、超融合管理平台、云虚拟化管理平台(KVM/VMware等)等(提供产品截图);

8. 协议支持:字符访问支持SSH、TELNET等;图形访问支持RDP、VNC等;文件传输协议支持FTP、SFTP、RDP磁盘映射、RDP剪切板等;

9. 用户管理:采用三员管理,支持自定义角色创建;支持用户分组;支持指定用户状态(启用/禁用等)、登录时间段(可循环,如每周一到周五9:00-17:00时)、批量指定用户可访问的资源、限制登录IP、限制文件上传/下载权限、限制运维命令等规则(提供产品截图);

10. 资源口令托管:口令加密存储,支持口令的统一管理,实现账号密码代填功能;可自动对Windows、Linux等设备进行账号改密,改密支持手动和定期任务,能自定义口令变更周期和口令强度;密码配置支持全局策略和手工指定,密码复杂度支持按策略随机生成(提供产品截图);

11. 运维监控:支持对单一资源的审计设置,如启用/禁用监控录制;支持对在线会话的实时监控和即时阻断;支持运维审计日志在线播放和离线下载后播放(提供产品截图);

12. 支持IPV6,设备自身可以配置IPV6地址供客户端访问,并且支持目标设备配置IPV6地址实现单点登陆和审计(提供产品截图);

13. 支持全文审计检索。可以对用户、资产、管理地址、管理方式、操作命令、操作结果等信息进行全文检索(提供产品截图);

14. 提供授权关系查看功能。图形化直观展示用户、资产、协议、账号的授权关系(提供产品截图);

15. 提供5年维保(包括硬件质保、技术支持、软件升级等)。

16. 根据国家互联网信息办公室、工业和信息化部出台的《关于调整网络安全专用产品安全管理有关事项的公告》(2023年第1号)规定,本项目所投“运维安全审计系统”:应按照GB *****-2022《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求,由列入《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》的机构安全认证合格或者安全检测符合要求,提供有效认证或检测报告扫描件;或具有有效期内的《计算机信息系统安全专用产品销售许可证》,提供有效的证书扫描件。

1

5

网络安全运营技术服务(服务类)

门户网站及信息系统在线监控

1. 7×24小时安全监测服务及通报预警;

2. 包括但不限于:站点可用性、域名解析、网页挂马、网页篡改、网页敏感内容、钓鱼网站、黑链、暗链、外链、WebShell等情况进行检测;

3. 每月提交《网站监测报告》。

按需告警、每月月报

信息资产梳理

1. 梳理范围:1)基础设施(机房、主干网拓扑)、资源(IP/VLAN、域名)、设备(电子大屏、服务器、存储、网络设备、安全设备)、系统(应用软件、网站);2)所有资源区域:IP-分段及规划(内网业务段、公网暴露);3)应用系统组成:构成应用系统的服务器、关键组件、内部拓扑;

2. 梳理内容:操作系统、数据库、中间件、应用系统的版本类型;域名、IP地址、存续状态;应用开放协议和端口;应用系统管理方式、资产的重要性以及网络拓扑;

3. 其他要求:1)登记审核,对新上线的业务系统,进行审核登记,确认业务使用用途,评估业务开放的合理性;2)定期盘点,对资产清单定期清查更新;

4. 提交成果:《资产梳理清单》、《信息系统拓扑图》。

2次/年(每半年一次)

安全巡检与安全众测服务

1. 对象:学院信息系统/网站相关资产(如数据库、中间件、Web应用、服务等)、网络设备、安全设备等;

2. 方法:利用检测工具和人工排查等多种方式;

3. 提交《安全巡检总结》(含各系统检查结果)、《安全测试报告》。

1次/年

渗透测试服务

1. 渗透范围:学院信息系统/网站;

2. 要求:1)渗透在不影响学院系统正常运行的情况下开展,对重要信息系统、互联网开放端口目标,进行非破坏性质的攻击测试;2)所有的渗透测试行为须在明确的书面授权下进行;3)渗透测试人员须具有CISP-PTS证书;4)分系统出具测试报告,提供安全加固建议,协助整改并复查;

3. 提交《渗透测试报告》。

2次/年(每半年一次)

系统脆弱性检查服务

1. 漏扫范围:学院信息系统/网站相关资产(如数据库、中间件、Web应用、服务、网络设备、安全设备等)

2. 要求:对漏扫结果进行人工筛选,分系统/设备整理出具整改报告,协助整改并复查;

3. 提交《系统漏扫报告》。

4次/年(每季度一次)

⑥新系统上线安全风险评估

1. 评估对象:学院新上线业务系统或设备;

2. 评估手段:代码审计(如有)、漏洞扫描、基线检查、弱口令检查、渗透测试等;

3. 要求:按学院要求出具检测报告,提供安全加固建议,协助整改并复查;

4. 提交《上线安全评估报告》。

≥3个/年(以采购方实际需求为准)

数据安全风险评估

1. 评估对象:组织建设、制度流程、技术工具及人员能力等;

2. 评估手段:文档查阅、人员访谈、现场查看和技术调研等;

3. 要求:评估学院在数据安全方面可能存在的风险,给出建设数据安全管理和技术手段的解决方案;

4. 提交《数据安全风险评估报告》。

1次/年

应急演练服务

1. 服务内容:演练环境搭建、演练方案编写、演练彩排、正式演练、应急演练总结等各个阶段;

2. 服务目标:帮助学院实现全面有效的应急演练,检查已有应急方案是否科学有效,完善应急响应工作机制;

3. 提交《应急演练方案》、《应急演练总结》。

1次/年

安全应急响应与追踪溯源服务

1. 内容及要求:1)对安全事件快速作出响应,第一时间采用现场(1小时内)或远程(10分钟内)的方式对安全事件进行应急处置,抑制事件影响扩散;2)开展溯源取证,固定证据链;

2. 服务目标:采取紧急措施,协助恢复业务到正常服务状态;调查安全事件发生的原因,避免同类安全事件再次发生;

3. 人员资质要求:实施人员需具备CISP-IRE证书;

4. 提交《应急响应服务记录单》、《溯源报告》。

不限次数,7×24应急响应

⑩特殊时期网络安全值守保障服务

1. 值守时段:以教育、网信等监管部门要求为准(含攻防演练);

2. 值守要求:1)提供7×24小时现场轮班值守服务,及时通报并协助处置安全事件;2)对于间隔1个月以上的值守时期,需基于学院整体提前做好安全风险排查、提供加固建议及防护;

3. 提交《特殊时期值守日报》。

≥7次/年(以采购方实际需求为准)

?驻场安全运维服务

1. 驻场时间:合同期内,提供1人5×8小时驻场服务,按照学校上班时间、值班时间开展工作;

2. 驻场工作内容:1)负责日常安全监控和风险管理,及时发现、通知并协助处置,汇总安全问题清单;2)完成安全服务项目的实施及沟通协调工作;3)负责安全设备的日常维护工作,如安全策略维护、安全设备运行检查和配置备份、协助设备安全巡检和升级、协助系统管理;4)完成简单的安全设备的故障分析及处理,以及安全设备性能分析及优化;5)负责相关工作文档资料的收集、编撰,如安全事件整改报告、安全风险通知、工作总结、工作月报等;

3. 人员资质:有CISP资质证书;

4. 提交《安全运维监测报告》(每月)。

1年

?非工作时间托管服务

1. 值守时段:工作日中午/晚上,周末、节假日24小时值班;

2. 值守要求:围绕学院资产、漏洞、威胁、事件四个要素,持续性开展网络安全保障工作,及时发现问题、通报并处置;

3. 提交《安全运维监测报告》(每月)。

7×24小时(工作时段以外)

?安全检查与安全加固服务

1. 根据学院网络安全管理要求,针对学院信息系统/网站,提供检查方案、协助现场检查,出具检查报告,协助整改并复查;

2. 针对在安全评估、应急响应、攻防对抗过程中发现的安全风险、不合规项、漏洞进行安全加固;

3. 提交《信息安全检查方案》、《信息安全检查总结》(含各系统检查结果)、《安全加固报告》。

1次/年

?安全咨询服务

1. 在日常安全运营服务期间,按需为学校提供全面的安全专家咨询服务,建立日常、值守期间安全专家咨询沟通机制;

2. 安全咨询能够结合学校安全现状,从管理制度完整性、内容合规性,以及技术防护情况等全面为学校提供安全规划、建设、加固等建议。

≥1次/年(以采购方实际需求为准)

?安全培训服务

1. 结合学院需求,组织安全专家针对老师或学生等开展专题培训,负责培训活动的需求调研、培训讲义、授课服务等;

2. 提交《安全培训记录》。

≥2次/年(以采购方实际需求为准)

四、交付时间和地点

1.实施时间、地点与方式:

1.1 实施时间:货物类在合同签订后10个工作日内完成交货并由采购人验收合格,5个工作日内驻场人员到位;服务类在一年服务期内完成各项服务内容,直至本项目全部实施完成并验收合格。(具体时间以采购人书面通知为准)

1.2 实施地点:采购人指定地点。

1.3 实施方式:成交供应商免费运送至采购人指定地点并安装调试验收合格。

五、服务标准

3.3商务要求

、项目实施要求及说明

1.产品运输、保险及保管

1.1 成交人负责产品到采购人指定地点的全部运输,包括装卸及现场搬运等。

1.2 成交人负责产品在采购人指定地点的保管,直至产品正式投入使用并验收合格。

1.3 成交人负责其派出的人员的人身意外保险。

2.安装调试

2.1 成交人应自行准备项目实施过程中所需的符合质量要求的配件、线材、软件等材料。

2.2 根据采购方要求完成本次采购产品与原有设备联调,协助采购方完成业务部署。

3.测试验收

采购人对成交人提供的运维安全审计系统在完成调试之后进行测试验收,其他服务项目按采购人要求服务完毕后进行单项测试验收,成交人须配合测试验收。如有不满足采购需求或者响应文件之处,成交人应按采购人要求及时进行整改至测试验收通过。若因成交人原因造成测试验收未通过,采购人有权扣除合同相应款项,情节严重或者影响采购人重大实施节点的,采购人有权按相关规定解除合同,并要求成交人退还全部费用,由此带来的一切损失由成交人承担。

4.施工要

4.1 产品部署要求

4.1.1 提前了解采购方网络结构及系统情况,提供实施方案后进场部署。

4.1.2 部署期间留存实施日志,不得进行项目无关操作。

4.2 其他服务要求

有整体项目实施方案,且项目的方案设计与具体实施应满足以下原则:

4.2.1 最小影响原则:工作应尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断,如无法避免出现这些情况应在应答书上详细描述);

4.2.2 可控性原则:方法和过程要在双方认可的范围之内,安全服务的进度要按照进度表的安排,保证甲方对于服务工作的可控性;

4.2.3 整体性原则:加固内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;

4.2.4 针对性原则:修补、加固应根据评估报告,有针对性地加以解决。修改、加固后不能引入新的问题;

4.2.5 可行性原则:提出的加固方案应结合现网情况,是可以实际实施的;

4.2.6 标准性原则:服务方案的设计与实施应依据国家以及行业的相关标准进行,包括但不限于《GB/T *****-2007信息安全技术信息安全风险评测规范》、《支撑系统安全域划分与边界整合技术要求》、《设备通用安全功能和配置规范》等一系列加固规范;

4.2.7 规范性原则:工作中的过程和文档,应具有规范性,可以便于项目的跟踪和控制;

4.2.8 保密原则:对过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害甲方的行为,否则甲方有权追究乙方的责任。甲方有权要求乙方在服务结束之后销毁所有和本项目有关的数据和文档。

4.3 保密要求

4.3.1 严格遵守合同规定,执行国家《保守国家秘密法》及有关保密的法律法规,选派具有良好职业道德的人员参与和从事本项目工作,相关人员恪守职业道德,服从采购人的管理,严格遵守采购人的保密规定和工作制度,并承担相应的保密责任。

4.3.2 所有参与本项目的服务人员,都必须签订《保密承诺书》。中标人负责对《保密承诺书》归档保管,接受采购人检查。中标人对承诺履行情况负有监督责任,一经发现违反承诺情况,要及时向采购人报告。

4.3.3 中标人自觉接受采购人的安全保密监督和管理,中标人如违反安全保密条款,采购人有权追究其责任,对重大的泄密事件将移交司法部门追究其法律责任。对中标人泄露系统资料,造成伤害的,除依据有关规定追宄有关责任人员法律责任外,还将依法承担相应的民事责任。

4.4供应商为本项目配备的服务团队成员在合同有效期内原则上不得更换,如因不可抗力因素确实需要更换的,替换人员执业资格、技术职称、工作经历等不得低于原人员条件,并经采购人审核同意。乙方如擅自更换的,采购人有权取消合同。

5.验收标准和方法

5.1 项目验收国家有强制性规定的,按国家规定执行,验收报告作为申请付款的凭证之一。

5.2 验收过程中产生纠纷的,由具有资质的相关质检机构进行检测,如为采购人原因造成的,由采购人承担检测费用;否则,由成交人承担。

5.3 项目验收不合格,由成交人返工直至合格,有关返工、再行验收,以及给采购人造成的损失等费用由成交人承担。连续两次项目验收不合格的,采购人可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由成交人承担。

5.4 验收方法:按政府采购的简易验收程序验收。

5.4.1 产品部署完成并投入使用30日后,由采购方组织对产品进行验收。

5.4.2 服务类项目按照合同交付完成,由采购方组织对服务进行统一验收。

5.4.3 成交人应当在验收前,主动提供实施记录等工作证明材料。

6.质量保证

6.1 成交人提供的产品应是原装正品,符合国家质量检测标准,具有出厂合格证或国家鉴定合格证。

6.2 由于网络安全防护的专业性、复杂性和长期性,对安全服务保障技术支持团队要求:

6.2.1 拥有一只稳定的服务保障队伍,并具有较强的技术保障实力。

6.2.2 本项目的项目经理及项目组成员须具备丰富的安全服务项目实施经验,且在项目实施过程中不得更换项目经理。

6.2.3 提供项目实施的工作计划,工作内容以及服务进度安排。

6.2.4 拥有一批掌握最新的信息安全实践技术的专家,遇到突发情况时能够及时解决问题。

6.2.5 具有高端的网络与安全技术人员、具有专业的方案分析和制作人员、有专业的维护人员和专业的团队支持。

6.2.6 团队有明确分工和侧重点,基本人员均掌握一般的安全服务方法并能解决普遍性安全问题。

6.2.7 具备提供7天×24小时应急响应服务能力。

6.2.8 能够提供规范的全方位的信息与安全技术培训。

6.2.9 具有良好的职业道德,不损害用户利益。投标人在服务过程中应严格按照相关安全标准,针对服务的各个环节,有专门的项目质量管理保障,包括完善的项目实施流程、实施文档模版和质量记录文档。

二、售后服务

1.系统维护

1.1 定期维护计划。

1.2 对采购人不定期维护要求的响应措施。

1.3 对用户修改设计要求的响应措施。

2.技术支持

提供7×24小时的技术咨询服务(配件+人力)。

3.故障响应

3.1 提供7×24小时的故障受理服务。

3.1.1 网络安全应急响应服务应即时响应,并根据上级要求按时完成事件处置和恢复。

3.1.2 其他服务紧急情况下1小时内响应,24小时内恢复;非紧急情况4小时内响应,5个工作日内恢复。

3.2 对重大故障提供7×24小时的现场支援,一般故障提供5×8小时的现场支援。

3.3 备件服务:遇到重大故障,提供产品所需更换的任何备件。

4.培训

免费提供产品使用培训至少1次,对产品的基本功能、安全设置、故障排查及注意事项等,确保管理员能熟练使用产品,并解决常见问题;当采购方使用或管理人员发生变更,应当再次安排免费培训。

六、验收标准

5.验收标准和方法

5.1 项目验收国家有强制性规定的,按国家规定执行,验收报告作为申请付款的凭证之一。

5.2 验收过程中产生纠纷的,由具有资质的相关质检机构进行检测,如为采购人原因造成的,由采购人承担检测费用;否则,由成交人承担。

5.3 项目验收不合格,由成交人返工直至合格,有关返工、再行验收,以及给采购人造成的损失等费用由成交人承担。连续两次项目验收不合格的,采购人可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由成交人承担。

5.4 验收方法:按政府采购的简易验收程序验收。

5.4.1 产品部署完成并投入使用30日后,由采购方组织对产品进行验收。

5.4.2 服务类项目按照合同交付完成,由采购方组织对服务进行统一验收。

5.4.3 成交人应当在验收前,主动提供实施记录等工作证明材料。

七、其他要求

3.4其他要求

1.实施时间、地点与方式:

1.1 实施时间:货物类在合同签订后10个工作日内完成交货并由采购人验收合格,5个工作日内驻场人员到位;服务类在一年服务期内完成各项服务内容,直至本项目全部实施完成并验收合格。(具体时间以采购人书面通知为准)

1.2 实施地点:采购人指定地点。

1.3 实施方式:成交供应商免费运送至采购人指定地点并安装调试验收合格。

2.结算方法:

2.1 付款人:湖南信息职业技术学院

2.2 付款方式:第一次付款,合同中货物类项目产品到货并安装调试由采购人验收合格后,采购方向成交供应商支付合同中货物产品总金额的100%;第二次付款,合同中服务类项目在合同履约期内(一年)按时完成服务内容统一验收合格后,采购人向成交供应商支付已完成服务内容价款金额的100%。

3.本项目采取费用包干方式,供应商应根据项目要求和现场情况,详细列明项目所需的材料、人工、管理、财务等所有费用,如一旦成交,在项目实施中出现任何遗漏,均由成交供应商免费提供,采购人不再支付任何费用(交钥匙项目)。

4.如有违约,成交人需在产生违约行为后7个工作日内按合同总价款的10%支付违约金。具体以合同约定为准。

说明:第三章 磋商项目技术、服务、商务及其他要求均为实质性要求,供应商必须响应要求的所有条款,没有偏离。偏离指不满足、或不响应磋商文件的要求。

采购需求仅供参考,相关内容以采购文件为准。

联系人:郝工
电话:010-68960698
邮箱:1049263697@qq.com

标签: 网络安全技术

0人觉得有用

招标
业主

-

关注我们可获得更多采购需求

关注
相关推荐
 
查看详情 免费咨询

最近搜索

热门搜索