一、服务目标
确保服务范围内的政务网络系统7X24小时安全、平稳、可靠运行,满足国家、行业网络安全监管要求,满足特殊时期的重点防护需求。
二、项目服务内容
本服务包括如下33项网络安全服务,服务内容及需求如下:
1.网络安全风险评估服务
合同周期内,依据采购人需求,按照安全风险评估国家标准GB/T*****-2022《信息安全技术 信息安全风险评估方法》和行业安全监管要求,对大东区大数据管理中心自有系统及托管本机房内的所有信息系统所属运营单位的资产状况、面临安全威胁状况、安全脆弱性状况及安全控制措施状况进行分析和评估,对信息安全风险水平进行综合评价。
服务交付物:《风险评估报告》
服务频次:每年一次(根据需求及政策相应调整)。
2.数据安全风险评估
合同周期内,依据采购人需求,按照安全风险评估国家标准GB/T*****-2022《信息安全技术信息安全风险评估方法》和《网络安全标准实践指南网络数据安全风险评估实施指引》或行业安全监管要求,大东区大数据管理中心的资产状况、面临安全威胁状况、安全脆弱性状况及安全控制措施状况进行分析和评估,对信息安全风险水平进行综合评价。
服务交付物:《数据安全风险评估报告》(针对中心各系统出具报告)。
服务频次:每年一次。
3.渗透测试服务
合同周期内,依据采购人需求,对服务范围内的应用系统进行渗透测试,由渗透测试人员开展渗透攻击。以提前发现信息系统中更深层次的安全漏洞。测试过程中完整的记录测试过程与细节,以证实哪些系统存在风险,并交付渗透测试报告。同时制定完善的安全防御措施,并协助相关运维单位进行问题整改及问题复核。为确保渗透测试全面性,测试包括但不限于如下内容:
(1)信息泄露风险。主要测试目标系统是否存在信息泄露类漏洞,包括但不限于网站目录,敏感文件,备份文件,个人信息等;
(2)信息猜解风险。主要测试目标系统中认证账号相关的内容,如弱口令,空口令等;
(3)网络传输风险。主要测试系统在认证过程中所涉及的重要信息,如用户名密码信息、交易信息、个人信息、会话信息在传输过程中是否存在泄露风险。
(4)认证功能缺陷。主要测试目标系统认证功能是否存在缺陷,是否存在如认证绕过、认证校验不严格、会话固定等风险。
(5)业务逻辑缺陷。主要测试目标系统业务逻辑是否存在缺陷,是否存在如业务流程跳跃、越权查询、越权修改等缺陷。
(6)防护功能失效。主要测试目标系统自带安全防护功能是否存在缺陷,如账号锁定机制是否完善、验证码能否被绕过、验证码是否可爆破、短信炸弹等。
(7)权限设置缺陷。主要测试目标系统是否存在越权访问问题、跨域访问问题、跨请求访问、会话遍历等问题。
(8)数据验证缺陷。主要测试目标系统在数据验证环节是否存在缺陷,如SQL注入漏洞、跨站脚本攻击漏洞、命令注入漏洞、任意文件上传漏洞、反序列化漏洞等。
服务交付物:《渗透测试报告》。
服务频次:每季度一次。
4.漏洞扫描服务
合同周期内,依据采购人需求,对服务范围内的应用系统及与系统相关的服务器和防火墙等网络设备,包括操作系统、中间件、应用系统、安全设备和网络设备等IT资源进行安全漏洞扫描,可指定资产范围进行漏洞专扫,可选定自定义资产范围及自定义漏洞POC进行漏洞专扫扫描,支持对存在APT组织使用过的漏洞进行识别并标记,并指导相关运维单位进行问题整改及问题复核。
(1)操作系统漏洞。包括但不限于Windows、AlX、Linux、HPUX、Solaris、Vmware等漏洞的识别,如版本漏洞、弱口令、协议漏洞、缓冲区溢出漏洞、远程命令执行等漏洞。
(2)网络及设备漏洞。包括但不限于华为、思科、华三等常见主流网络及安全设备的漏洞识别,如版本漏洞、弱口令、开放服务漏洞、管理界面缺陷、拒绝服务攻击漏洞等。
(3)数据库漏洞。包括但不限于Oracle、DB2、MySQL等主流数据库的安全漏洞识别,如版本漏洞、弱口令、访问权限漏洞、拒绝服务攻击漏洞、配置缺陷漏洞等。
服务交付物:《漏洞扫描报告》。
服务频次:每季度一次。
5.漏洞验证服务
合同周期内,依据采购人需求,对服务范围内的应用系统中与有关部门WEB扫描、公安通报中心、Cncert、测评中心、补天平台等漏洞机构公告的内容相关的漏洞内容进行人工验证,提交验证报告,此服务伴随安全通告实时进行。
服务交付物:《漏洞验证报告》。
服务频次:每季度一次(根据需求及政策相应调整)。
6.源代码安全审计服务
合同期内,对服务范围内的应用系统发生升级、添加新功能及新增系统上线等变更操作时,进行上线前的源代码安全审计,通过审计,使开发人员能够了解各种语言安全编码常识,明确安全缺陷种类,以及安全缺陷的描述、产生原因、导致后果及如何防范与避免。通过源代码深度检测、评估等服务,保障系统应用
本质安全,此服务伴随应用系统升级实时进行。
服务交付物:《源代码安全审计报告》。
服务频次:根据实际需求,在应用系统发生升级、添加新功能及新增系统上线等变更操作时,进行上线前的源代码安全审计。
7.网络安全应急服务
合同周期内,提供7×24小时应急响应服务,根据事件类别和级别,通过远程和现场支撑的形式协助对遇到的突发性安全事件进行紧急分析和处理,如有违规情况发生可按照相关制度进行责罚处置。主要工作内容包括:突发事件相关信息的收集、事件的分析、报告提交、问题解决建议等。紧急事件主要包括:病毒和蠕虫事件、黑客入侵事件,误操作或设备故障事件等。
服务交付物:《应急响应报告》。
服务频次:7*24小时待命,1小时内响应,3小时内到达现场。
8.特殊时期重点防护服务
合同周期内,依据采购人需求,对采购人指定的重点系统进行重要时期特殊运维防护,在重要保障时期提供网络入侵防护,DDos防护(应对网络层拒绝服务攻击),CC防护(应对应用层拒绝服务攻击),云WAF等云防护,此服务根据采购人服务需求确定。
服务交付物:《特殊时期重点防护报告》、《排班计划服务表》。
服务频次:包括但不限于重大节假日和重大活动期间。
9.网络安全监控防护服务
合同周期内,提供网络安全监测防护服务,监测互联网出口流量,定期更新防护策略和情报库,情报资源库(最少三家主流安全厂商)支持IPV6威胁情报库。并对正向攻击类情报的威胁监测与阻断、受控外联类情报的外联检测与阻断、弱口令登录检测与阻断,对最近三个月的攻击轨迹溯源,至少包括但不限于历史攻击单位,攻击类型、被攻击所属行业等属性。
服务交付物:《网络安全监控防护报告》。
服务频次:7*24小时。
10.巡检服务
合同周期内,依据采购人需求,对服务范围内的网络设备和安全设备提供巡检服务,巡检覆盖到机房、机柜、设备等。
服务交付物:《网络设备和安全设备巡检报告》、《机房巡检记录》。
服务频次:每日登记巡检记录,每季度提交巡检报告。
11.网络设备运维服务
合同周期内,依据采购人需求,提供3人驻场对服务范围内的网络设备进行运维服务,包括但不限于对各类网络设备、安全设备、服务器等关键资产的设备管理的硬件故障的检测和修复、设备配置的备份和恢复、设备软件的更新和维护等能够实时监测并呈现各类主机资产的设备状态。
服务交付物:《网络设备运维报告》。
服务频次:日常驻场期间:5*8小时,特殊时期保障期间:7*24小时。
12.网络安全运维服务
合同周期内,依据采购人需求,提供3人驻场对服务范围内的网络安全设备进行运维服务,包括对各类网络设备、安全设备、服务器等关键资产的安全管理,能够实时监测并呈现各类主机资产的安全状态。采取可行措施实现识别并阻断未授权外部用户对内部网络系统的非法访问。根据采购人业务需求设定合理的安全域,采取措施防止重要敏感数据的不合理传输,当发现违规传输时应告警并阻断,杜绝数据的异常违规传递,处理网络安全故障,包括但不限于新建信息化项目的实施等相关工作。
服务交付物:《网络安全运维报告》。
服务频次:日常驻场期间:5*8小时,特殊时期保障期间:7*24小时。
13.移动app安全检测服务
合同周期内,依据采购人需求,对服务范围内的所有政务APP进行安全性评估,包括Android和IOS,发现APP在的安全隐患,并提出解决措施。
服务交付物:《移动app安全检测报告》。
服务频次:根据实际情况,在app升级前进行。
14.APP隐私合规检查
对服务范围内的所有APP根据相关主管部门要求进行个人隐私合规检查,保证APP收集个人隐私合法,此服务伴随APP升级实时进行。
服务交付物:《APP隐私合规检查报告》。
服务频次:根据实际情况,在app升级实时进行。
15.网络安全和数据安全管理体系咨询服务
合同周期内,依据采购人需求,服务单位需要通过梳理采购人的网络安全管理和数据安全需求,优化管理机构设置、优化完善网络安全和数据安全管理制度,持续对现有网络安全和数据安全管理体系进行检验、改进和完善。
服务交付物:《网络安全和数据安全管理体系咨询报告》。
服务频次:按照实际需求进行。
16.主机安全防护服务
合同周期内,依据采购人需求,对服务范围(中心机房)内的服务器、虚拟机等提供主机安全防护服务。针对操作系统核心资源,如注册表、网络连接、系统文件、进程等资源进行有效防护,可对服务器上的特定文件进行监控和防护。可锁定对特定文件的写入,监测模式可在对特定文件写入时发出报警,支持配置防护/监测需要的文件类型,支持对特殊路径和进程的加入白名单,保证控制策略的可用性。对未知webshell识别及自动隔离。实时应用程序自我保护(RASP)技术,实时监测并拦截漏洞攻击。能够在运行时结合上下文采取相应的保护方案,实现对应用及系统的动态监控与防御,大幅度降低误报率。
服务交付物:《主机安全防护报告》。
服务频次:每季度一次。
17.钓鱼邮件防护服务
合同周期内,依据采购人需求,实时采集用户邮件流量,提供邮件专项情报联防联控,情报类型至少包括但不限于发件人情报、IP情报、URL情报、md5情报。支持实时研判威胁邮件,并支持威胁邮件列表展示,展示内容包含不限于最新活动时间、收件人、主题、威胁类型、威胁可信度、历史攻击单位等。展示命中情报的威胁邮件详情,能够显示情报威胁类型,支持根据多条件查询威胁邮件内容。
服务交付物:《钓鱼邮件防护报告》。
服务频次:每季度一次。
18.数据安全防护服务
建立数据安全防护体系,支持进网JSON、XML数据格式校验、出网JSON、XML数据格式校验,提供数据进行安全隔离、安全认证、内容核查、SQL过滤、敏感词过滤、图文转化、病毒查杀、日志审计等服务,数据传输审计、操作审计、触发安全策略报警审计、防攻击越权审计。
服务交付物:《数据安全防护报告》。
服务频次:每季度一次。
19.资产探测和管理服务
合同周期内,每季度提供网络资产动态管理和风险资产监测服务,利用网络资产识别、风险资产发现、脆弱性验证、智能分析等关键技术,建立网络资产与风险图谱,结合指纹库、POC库、网络武器特征库、违规资产行为库等核心资源,支持Treck协议栈指纹检测、域名解析扫描。通过常态化、持续性、高实时地安全运营,支持IPV4和IPV6。
服务交付物:《资产探测和管理报告》。
服务频次:每季度一次。
20.网络安全培训服务
合同周期内,提供不少6次集中的网络安全政策、法规、安全技术、网络安全意识培训,提供不少于5人次的网络安全外部认证培训(工信部或人社部认可的国家级认证机构)。
服务交付物:《网络安全培训课程表》。
服务频次:根据实际情况而定。
21.新系统上线渗透测试
合同周期内,依据采购人需求,对新系统开发设计阶段相关文档审计、开发关键节点时间段进行安全跟踪、新系统上线前进行渗透测试、评估系统上线前的安全状况,并提出相关整改建议。
服务交付物:《新系统上线渗透测报告》。
服务频次:根据实际情况,在新系统上线前进行。
22.网站安全监控
合同周期内,依据采购人需求,对服务范围内的政务内网信息系统采取7*24小时监测,监测项目包括网站漏洞扫描、挂马监测、可用性监测、页面篡改监测、域名解析监测、敏感内容监测,并通过网站安全监测平台对网站进行自动化监测,通过邮件、短信进行及时报警。
(1)网站漏洞监测。每月一次的漏洞扫描、系统漏洞扫描服务,漏洞扫描后提供漏洞验证及详细漏洞的描述和漏洞处置建议。
(2)钓鱼网站监测。提供钓鱼网站监测服务,全网检索疑似钓鱼网站,同时配合多种域名变更以及搜索引擎关键词搜索技术,针对域名库中的域名列表进行信誉评估,以检出疑似钓鱼站点。同时协助提供资料给监管单位CNCERT上报,由监管单位协助关停。
(3)完整性监测。提供页面挂马、黑链、篡改、敏感内容监测服务,其中首页至少每5分钟监测一次,二级页面至少每30分钟监测一次。
(4)可用性监测。提供每15分钟监测一次的DNS域名解析异常监测服务和平稳度监测服务。
服务交付物:《网站安全监测报告》。
服务频次:7*24小时。
23.安全配置核查
合同周期内,依据采购人需求,制定采购人安全基线标准,并利用自动化工具对服务范围内的信息系统中操作系统、中间件、数据库、网络设备、安全设备等配置脆弱性进行安全基线扫描、分析。针对不符合的配置信息,形成安全配置检查报告,并为进一步的安全加固提供依据。
服务交付物:《安全配置检查报告》。
服务频次:每季度一次。
24.安全策略合规和梳理
合同周期内,依据采购人需求,对服务范围内的信息系统利用工具对其安全域间访问控制策略进行梳理。
服务交付物:《梳理分析报告》。
服务频次:根据实际情况进行。
25.APP源代码审计
合同周期内,依据采购人需求,新上线和有重大更新的APP进行源代码审核,找出其中存在的各种安全缺陷和安全问题,以深入发现信息系统潜在的安全漏洞和设计缺陷。代码审计前相关人员须签署相关保密协议,整个审计过程中必须对所提供的代码进行严格保密,不得外泄。审计后提供详尽的代码审计报告并协助相关运维单位进行问题整改及问题复核。为确保代码审计全面性,代码审计工作应至少包括但不限于如下内容:
(1)安全漏洞分析。对软件代码进行全面扫描和分析,识别和评估其中的安全漏洞和潜在风险,发现常规网络安全漏洞例如跨站脚本(XSS)、SQL注入、命令注入等。
(2)代码规范性评估。审查代码是否符合安全最佳实践和标准,例如密码存储、输入验证、输出编码、访问控制、认证和授权等方面的规范性,规避因代不规范带来的安全风险。
(3)代码质量评估。评估代码的质量和可维护性,包括代码结构、注释、命名规范、代码复杂度等,以确保代码的可靠性和可读性。
(4)报告和建议。根据审计结果提供详细的审计报告,包括发现的问题描述、安全影响、修复建议等,便于开发团队理解和解决问题,以提高代码的安全性。
服务交付物:《APP源代码审计报告》、新建APP源代码。
服务频次:在新上线和有重大更新的APP进行源代码时进行。
26.安全应急演练
合同周期内,依据采购人需求,提供应急演练服务,包括信息安全攻防演练、业务中断应急演练、门户网站恶意篡改应急演练、信息窃取事件应急演练、计算机病毒事件应急演练等安全方面的各类演练服务。提供《安全应急演练方案》
服务交付物:《安全应急演练方案》
服务频次:每季度、重保及攻防演习前至少一次。
27.外部攻击面管理服务
合同周期内,依据采购人需求,提供外部攻击面管理服务,包括IP资产识别、域名资产识别、未知资产识别、高危端口服务识别、互联网应用组件暴露面、互联网移动端应用识别、边界脆弱性风险分析、社工钓鱼风险分析、软件供应链风险分析等。可通过平台外部攻击面可视化分析视图和风险预警详情信息。
服务交付物:《外部攻击面管理服务报告》
服务频次:每季度一次。
28.互联网敏感信息泄露监控服务
合同周期内,对国内外主流代码托管平台代码泄露监控,包括但不限于SaaS托管服务模式的github、gitee、gitlab等,以及私有代码仓库gitblit、gogs、gitea等。
敏感文件泄露监控:对互联网主流的文库、网盘、笔记软件进行监控,包括但不限于百度文库、百度搜索、百度网盘、阿里云盘、蓝奏云、天翼云盘、腾讯微云、豆丁、360文库、在线文库、新浪共享文库、道客巴巴、CSDN、虎嗅、雷锋网、原创力文档、智库文档、58网盘搜索、夸克网盘、51cto博客、博客园、知乎等。灰黑产交易监控:对暗网交易市场、黑客论坛、匿名社交软件等途径的敏感数据泄露交易监控。
服务交付物:《互联网敏感信息泄露监控》
服务频次:每季度一次。
29.安全意识测评服务
合同周期内,基于自动化钓鱼邮件工具,结合实际网络环境、邮件使用习惯和特征,以热点事件为主题,精心构造极具迷惑性且含有恶意链接的邮件,向目标群体(本级单位、下级机构、供应链等)定向开展邮件钓鱼测试,进而评估内部人员信息安全意识,为后续安全培训、技术防护手段升级提供依据。
服务交付物:《安全意识测评报告》
服务频次:每半年一次。
30.安全技能培训服务
合同周期内,依据采购人需求,定制个性化的安全技能培训课程,课程内容包括但不限于信息安全常用攻击技能、渗透测试方法、常见漏洞讲解、系统安全等相关内容,CTF课程(CTF概述、密码学、杂项、Web、逆向分析、Pwn分析和CTF演练等),AWD专项提升课程,代码审计(JAVA、PHP、ASP)课程等。授课形式需包含丰富案例及实操练习。
服务交付物:《安全技能培训报告》
服务频次:按实际情况进行。
31.威胁情报查询服务
合同周期内,提供威胁情报云平台查询账号,可通过IP地址、域名、漏洞名称、文件哈希,攻击组织、攻击事件、攻击工具等关键字,查询威胁情报信息。
服务交付物:《威胁情报报告》
服务频次:按实际情况进行。
32.日志审计服务
合同周期内,提供日志审计系统,收集所有资产的日志(包括服务器、交换机、防火墙、应用系统等相关日志)并对日志进行审计,满足日志存储180天以上。
服务交付物:日志审计系统、《日志审计报告》
服务频次:按实际情况进行。
33.漏洞探测和利用行为屏蔽
合同周期内,面对漏洞修复空窗期的风险、老旧系统补丁断更、监管合规检查等一系列难题,自动匹配出需要屏蔽的漏洞,一旦网络中出现针对该漏洞的扫描和利用行为,可以模拟阻断报文,将该会话强制断开,从而使漏洞无效,实现漏洞无法被扫描、无法被利用的效果。
服务交付物:《漏洞探测和利用拦截报告》
服务频次:每月输出一次。
三、项目要求
1.时间要求
服务周期为合同签订之日起三年。
2.服务要求
服务期间提供7X24服务响应(7X24小时工程师2小时内做好服务应答和反馈),现场需其他技术支撑时,投标人需在2小时内安排至少2名具有服务能力的工程师到达现场处理。
3.人员要求
委派的项目经理需要具备丰富的网络、安全、数据相关的技术能力,并具有相关证明技术能力的证书;服务期间内提供驻场服务,至少提供3名驻场人员,除项目经理需要驻场外,另外需要1名网络类技术人员,1名安全类技术人员。
本项目服务人员涉及项目经理、驻场保障人员、培训讲师、渗透测试专家、溯源专家、应急专家、攻防专家,相关能力要求如下表所示:
序号 | 类型 | 资格要求 | 人数 |
1 | 项目经理 | 1.具备三年以上网络安全相关工作经验并提供证明材料; 2.熟悉国家网络安全相关政策标准; 3.熟悉网络安全主流产品及最新技术实践 4.具有良好的项目质量管理能力,能独立承担项目方案及相关过程文档的编制 5.对政数业务和管理流程有一定的认识和了解 注:投标人须针对1-5项做出承诺。 | ≥1 |
2 | 驻场保障人员 | 1.一年以上网络安全行业从业经验并提供证明材料; 2.掌握扎实的网络安全基础知识,包括网络、系统、应用等领域; 3.熟悉常见Web安全漏洞的原理、危害、利用方式及修复方法; 4.能够熟练操作、使用项目相关的安全设备及工具; 5.具备一定的文档编写能力,可独立完成分析报告、工作总结等项目过程文档; 6.参加过特殊时期(演习、重保)网络安全保障工作 注:投标人须针对1-6项做出承诺 | ≥3 |
3 | 培训讲师 | 1.三年以上网络安全教育、培训从业经验,有中、大型企业全员培训经历并提供证明材料 2.有较强的逻辑思维和表达能力,控场能力,协调能力,良好的培训技巧,能独立完成培训计划的制定及完成培训任务 注:投标人须针对1-2项做出承诺 | ≥2 |
4 | 渗透测试 专家 | 1.三年以上网络安全行业从事经验并提供证明材料 2.熟悉Web/APP渗透测试的方法及流程,熟练掌握各 类渗透测试工具,有独立渗透测试项目经验,能够手工检测漏洞和验证漏洞 3.熟练掌握Web安全和漏洞挖掘,熟悉漏洞的原理,方法、利用手段及解决方案 4.至少精通C/C++.Golang.Python.Java其中一种语言; 5.熟悉代码安全审计(php/ap/jp/python)的方法及主流代码审计工具的使用, 注:投标人须针对1-5项做出承诺 | ≥2 |
5 | 溯源专家 | 1.熟悉网络溯源技术和方法,能够精准追踪和分析网络攻击的来源、路径和手段 2.具备数字取证和事件调查的能力 3.具备病毒木马逆向分析、威胁情报挖掘、APT分析等相关工作能力 4.能够对溯源过程进行全面评估,撰写详细的溯源报告,提供有针对性的改进建议和措施 注:投标人须针对1-4项做出承诺 | ≥1 |
6 | 应急专家 | 1、具备应急响应的技能,能够迅速识别和分析网络安全事件,包括入侵检测、威胁情报分析、安全日志分析等; 2、熟悉Web攻击、服务器入侵等安全事件的分析和处置流程 3、熟练掌握Windows、Linux平台常见的恶意代码分析技术与工具,熟悉webshe11、木马、蠕虫等风险检测和分析; 4、能够制定和执行应急响应计划,采取适当的措施限制和消除威胁。 注:投标人须针对1-4项做出承诺 | ≥1 |
7 | 攻防专家 | 1.深入了解各种网络攻击技术,包括漏洞利用、社会工程学、恶意代码、网络钓鱼等 2.熟悉各种网络安全防御技术和产品的原理及操作,包括防火墙、入侵检测与防御系统(IDS/IPS)、安全网关、反病毒软件等; 3.具备漏洞分析和修复的能力,能够分析软件和系统中存在的漏洞,并提供相应的修复建议; 4.熟悉威胁情报的收集、分析和利用方法,掌握最新的安全威胁动态 5.具备渗透测试和红队演练的经验,能够模拟攻击者的入侵行为,评估系统和网络的安全性; 注:投标人须针对1-5项做出承诺 | ≥1 |
8 | 代码审计专家 | 1.具备深入的编程和软件开发知识:对多种编程语言 (如Java、C/C++、Python等)和开发框架有深入的了解,精通常见的软件开发流程和编码规范; 2.精通安全漏洞和攻击技术的专业知识:具备广泛的安全漏洞知识,包括但不限于跨站脚本攻击(XSS)、SQL注入、代码注入、缓冲区溢出等; 3.精通代码审计技术:熟练掌握静态和动态代码审计技术,能够通过代码审查、源代码分析和漏洞挖掘等手段,发现潜在的安全漏洞和弱点; 4.熟悉常见的安全标准和最佳实践:了解并熟悉常见的安全标准和最佳实践,如OWASPTop10、CWE/SANSTop25等,能够根据这些标准进行代码审计和安全评估; 5.了解相关的信息安全法规和合规要求,如GDPR、HIPAA等,能够根据法规要求进行代码审计和安全评估; 注:投标人须针对1-5项做出承诺 | ≥1 |
四、违约责任
1.服务过程中,投标人如需招标人人员配合,投标人需要详细描述需要配合的内容。如需要招标人人员协助完成各种表单,需要详细描述表单的名称、功能及主要表项等等,并由投标人给出具体示例。招标人有权利拒绝提供任何未事先提出的配合要求,由此产生的损失由投标人负全责。
2.本项目中可能需要的服务设备(如笔记本电脑、PC、漏扫设备、网络安全防护设备等)均由中标方提供,招标人将按照相关要求对设备进行必要的处理。投标人在服务期间未经招标人许可不得将设备带离招标人指定场所,也不得使用任何未经招标人确认的存储设备对测评数据进行复制。
3.投标人需要给出招标人在进行调查和测评时所需要提供的信息列表。经招标人确认后提供给投标人。招标人有权利拒绝提供任何信息列表以外的招标人资产信息。
4.通过对大东区信息系统网络安全现状和需求分析,形成大东区网络安全规划与防护。
5.投标人应提供本项目的服务方案,包括技术部分和实施部分。技术部分包括整体流程、技术方法和服务方案设计等,需要对每项技术方法的应用位置进行详细描述,技术方案中应详细描述服务采用的方式及标准。
6.实施部分包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险规避措施等,需要明确每项工作的时间安排、操作时间和操作人员。安全调查和评估测评过程中,如需使用安全工具,请在实施方案中详细描述所使用的安全工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求等,并把控好相关评估的安全风险性,不能出现影响业务系统正常运行的情况。
7.投标人应详细描述安全调查和服务的组织方式,包括组成的人员及分工、实施的过程组织、实施时间安排、实施方式所遵循的标准等。
8.投标人及时发现漏洞,通报漏洞,协助招标人组织修补漏洞,避免上级单位发来的网络漏洞通报。如投标人后于上级单位通报网络漏洞,服务周期内,每次扣款1万元,通报超过2次或两次以上每次扣款5万元并暂停服务权限,直到问题得到解决并获得招标人的认可。如果在非重要时期漏洞被利用,并窃取数据或者被国家相关部门通报,招标人有权升级处罚,如增加扣款、暂停服务、解除合同等。
9.投标人在国家、省、市公安HVV中协助招标人组织防护,保护核心系统被攻破和重要数据被获取,避免公安部门严重通报。如HVV期间,非系统自身或系统用户原因,组织防护不力,导致核心系统被攻破和重要数据被获取,被公安部门严重通报,服务周期内,每次扣款5万元。如果被通报问题低端(如弱口令等低端问题被通报)招标人有权升级处罚,如增加扣款、暂停服务、解除合同等。
10.投标人应及时发现历史系统被恶意植入的病毒、木马、黑客程序,并清理、清除,要避免网络安全事件由招标人管辖侧系统、终端发起。在招标人确认的信息资产范围内,出现由招标人管辖侧系统、终端被作为“肉鸡”发起的网络安全事件,被上级单位通报,服务周期内,每次扣款2万元,如果终端中勒索病毒及时处置并恢复数据,如数据无法恢复,按照数据重要程度进行问责。
11.以上8-10条款出现,如果对招标人造成实质性直接损失,如确属投标人原因导致,除执行扣款罚则外,投标人须负责赔偿实质性直接损失。
五、付款方式
1.服务一年提交服务报告通过验收后,无重大事故或隐患,满足合同内服务要求支付合同总价的40%;
2.服务期满两年,提交服务报告通过验收后期间无重大事故或隐患,满足合同内服务要求。一个月内支付合同总价的30%;
3.合同服务期结束后,提交服务报告通过验收后无重大事故或隐患,满足合同内服务要求。一个月内支付剩余款项。
参加辽宁省政府采购活动的供应商未进入辽宁省政府采购供应商库的,请详阅辽宁政府采购网 “首页—政策法规”中公布的“政府采购供应商入库”的相关规定,及时办理入库登记手续。填写单位名称、统一社会信用代码和联系人等简要信息,由系统自动开通账号后,即可参与政府采购活动。具体规定详见《关于进一步优化辽宁省政府采购供应商入库程序的通知》(辽财采函〔2020〕198号)。
投标人在辽宁政府采购网自行下载采购文件。投标文件采用线上提交及开标现场递交投标备份文件(U盘)的方式。.参与本项目的投标人须自行办理好CA证书,如因投标人自身原因导致未线上提交投标文件的按照无效投标文件处理。投标时自行携带笔记本电脑等相关解密设备,现场解密或远程解密投标报价,具体操作流程详见辽宁政府采购网。报价解密规定时长为30分钟。