福州城投新基建集团有限公司2024年网络安全保障服务项目询价函
福州城投新基建集团有限公司2024年网络安全保障服务项目询价函
尊敬的供应商:
我司拟开展2024年网络安全保障服务项目询价工作,贵公司提交的本次报价函仅作为我司采购的参考价格,不视为贵公司要约或要约邀请,也不视作贵公司承诺报价。恳请贵公司能支持采购工作并欢迎贵公司参加后续的采购活动。
一、询价内容:
1.1项目名称:福州城投新基建集团有限公司2024年网络安全保障服务项目
1.2服务范围:福州城投新基建集团本部及权属企业
1.3服务期限:一年
1.4服务模块与内容:
(一)管理制度梳理服务
序号 | 服务项目 | 工作内容 | 交付成果 | 次数 |
1 | 管理制度梳理 | 服务内容: 1.参考公司相关制度和规定,梳理网络安全组织职责、岗位职责、岗位要求等。 2.第三方人员管理制度,包括第三方访问管理、第三方安全要求等。 3.信息系统设备安全管理制度,包括设备安全管理、软硬件维护管理、设备使用管理。 4.台账检查类服务,包括信息化台账管理、应用安全检测、安全渗透测试、安全应急演练、安全措施有效性验证、安全培训、等保系统安全性工作检查服务等。 5.信息系统安全管理制度,包括系统安全策略、安全配置、账号安全、日志管理、日常操作流程等。 | 网络安全相关管理制度、操作规程 | 2次/年 |
(二)常态化安全运营服务
序号 | 服务项目 | 工作内容 | 交付成果 | 次数 |
1 | 安全评估 | 1.服务内容: 1.1保障业务正常运行的情况下,根据相关要求,结合采购方业务情况,细化漏洞优先级,提出切实可行的安全加固意见,对业务系统进行安全评估,协助系统集成商、应用厂家等进行安全加固。降低现网系统的安全风险,提高现网系统的安全水平,提高我司业务系统的安全防护能力。 1.2对新入网系统以及IT网元进行资产识别和估价,漏洞扫描和配置合规性检查,网络架构分析,运维安全合规性检查,安全策略评估等。确保设备入网时满足安全要求:确保满足网络与系统总体安全要求、安全加固及补丁安全要求、账号口令及日志审计要求、终端安全要求、应用软件安全要求等。 | 安全评估报告 | 4次/年 |
2 | 暴露面扫描 | 1.服务内容: 1.1提供的公网暴露面扫描工具功能: 1.2支持发现资产现状 1.3支持发现客户未知的资产情况:未出现在客户已知范围内的客户相关域名和IP资产 1.4支持发现攻防演练相关资产:攻防演练时攻击对可能会利用的系统(防火墙、VPN等) 1.5支持发现开源代码 | 漏洞扫描报告 | 12次/年 |
3 | 渗透测试 | 1.服务内容: 1.1按各使用部门要求对暴露面资产等对外服务系统进行无损型渗透测试,发现系统可能存在的弱点,最大限度的降低这些公众服务系统被黑客入侵的可能性;对内网重要信息化系统、互联网出入口进行无损型渗透测试,最大限度的降低这些系统被入侵的可能性。 ★承诺在服务期间,提供渗透测试工具、威胁情报数据库、网络空间搜索引擎工具、共享网盘搜索工具等相关资源和工具,并完成相关工具的上线部署、实施工作。 1.3渗透服务内容包括: Web安全与渗透测试 病毒与木马查杀 网络渗透与防御 安全加固 1.4现场渗透测试人员在接到采购方的渗透测试申请后,确定渗透测试的资产范围与施工时间后,根据具体情况调整渗透测试的各种规则和手段,尽量减小对采购方网络和系统的影响。渗透结束后,生成对应业务系统的渗透测试报告。向我单位提交文档并进行讨论确定,完成渗透任务。 1.5为了体现服务公司的渗透测试实力,要求提供渗透测试工具包,工具包内包含的所有工具能够针对测试对象进行脆弱性检查,具备获取4个及以上的漏洞发现能力。 1.6需提供WEB扫描自动化工具,通过web扫描自动化工具,与人工手动测试相结合,提升对漏洞的发现。 1.7提供的WEB自动化扫描工具功能: 可根据需求配置扫描策略,可选择深度扫描、智能扫描和快速扫描。 支持动态和静态结合的交互式检测。 报表中可提供漏洞的详细场景信息,如判断标准,判断详情,请求头,响应头,响应内容。 | 系统渗透测试报告 | 4次/年 |
4 | 技术支持 | 1.服务内容: 1.1提供日常安全咨询与技术支持服务。 1.2熟悉采购方情况,提供切实可行的支撑、响应方案。 1.3参照信息安全等级保护规范要求进行安全基线检查,通过专业的配置核查工具结合人工分析的方式,根据普通安全规范要求,对操作系统及服务器主机(Windows、Linux、Unix、AIX等)、数据库(oracle、DB2、Mysql、Sybase等)、中间件(WebSphere、Tomcat、Apache、IIS等)、网络设备、安全设备进行安全配置核查,及时发现不合规配置,提出修改方案或者建议,并提供相应的配置核查评估报告。 1.4依据国家标准及日常信息系统安全常见漏洞用主机加固工具对操作系统及主机系统进行安全加固。 ★时限要求:在接到采购方启用应急响应服务通知后,安全专家应能在1个小时内到达采购方现场,如遇现场安全专家无法解决的安全事件,远程资深安全专家团队人员应在4小时内到达现场。 | / | 按需提供服务(不少于2次/年) |
5 | 安全加固支持 | 1.服务内容: ★承诺在日常服务期间,遇到我单位某业务系统暂时无法整改,需要进行安全加固时,需免费承诺提供2套入侵防护、2套WEB应用防火墙、50套防篡改软件和1套云安全集中管理平台,并完成上线部署、实施工作。承诺提供的入侵防护,网络吞吐量不少于20G。承诺提供WEB应用防火墙,应用层吞吐量≥6Gbps。承诺提供的网页防篡改,需支持window、linux、或国产化操作系统。承诺提供的云安全集中管理平台,支持基于X86服务器即可完成平台部署,采用旁路部署模式。可以通过策略路由实现防护流量牵引,也可以通过对接SDN控制器、核心交换机、路由器实现自动牵引,非网络设备硬件一虚多的方式。 | 服务期间提供2套入侵防护、2套WEB应用防火墙、50套防篡改软件和1套云安全集中管理平台 | 提供全年的安全加固服务 |
6 | 安全运维及应急响应 | 1.服务内容: 1.1提供安全运维支撑及应急响应方案,结合现网情况提供应急响应、应急处置、安全咨询服务等,必须包含对下列安全运维方案的详细说明:1、安全风险态势整体监控和分析服务; 2、网站检测与快速响应服务; 3、DDOS攻击监控运营服务; 4、攻击溯源分析; 5、DNS劫持监测与分析。 1.2提供安全事件应急响应服务,提供安全事故报告文件,提供安全弱点和可疑事件报告,提供7*24*365小时安全事件应急响应服务。当出现安全事件时,及时进行响应。如遇紧急安全事件,福州市区1个小时到达现场给予技术支撑。 | 安全事故报告(若有) | 按需提供服务(不少于2次/年) |
7 | 应急演练 | 1.服务内容: 1.1提供安全事件的完整模拟,通过进行真实的攻防行为,已达到提升系统管理员安全技能的目的。 1.2需根据实际业务情况,提供网页防篡改、域名劫持和网络安全病毒传播安全事件的应急预案报告、应急演练方案和应急演练总结报告。 1.3拟定安全预案模拟各类安全攻击和演练场景,针对性的进行安全演练操作,包括恶意代码应急演练、DDOS攻击应急演练、网络故障应急演练、操作系统故障应急演练、重要业务故障应急演练等,协助组织相应人员演练。 | 应急预案报告、应急演练方案和应急演练总结报告 | 4次/年 |
(三)重要时期安全保障服务
序号 | 服务项目 | 工作内容 | 交付成果 | 次数 |
1 | 安全通告服务 | 服务内容: 1.向采购方提供国内外安全资讯,提供最新安全动态信息,帮助采购方安全管理员在最快的时间内了解重要的安全信息。 2.在重保期间,提供威胁情报数据,关闭不需要的服务端口,减少暴露面,并做好互联网攻击IP、可疑IP的封堵。在攻防实战对抗防护期间,安全监控小组将对公开来源的安全情报进行实时监控,其中包括安全威胁情报监控、安全漏洞情报监控及外部披露情报监控。安全监控小组通过监控公开威胁情报平台获取最新安全威胁情报;通过监控漏洞情报平台获取最新漏洞情报;通过监控相关论坛网站获取外部披露情报;通过对安全情报内容进行过滤,筛选出符合保障资产信息的情报,并完成安全情报处置。 ★提供安全预警报告,向采购方指定人员提交安全预警通告信息,如遇紧急预警在预警发布的实时提供。安全预警报告需按采购方各单位实际系统软件使用情况定制。 | 安全预警报告 | 重保时期提供服务 |
2 | 安全监测服务 | 1.服务内容: 提供专业的网站安全监测服务,包括如何使用威胁情报系统+人工的方式,实时监测和周期度量网站的风险隐患,一旦发现网站存在风险状况,值守保障团队第一时间通知相关处置人员。 (1)主机资产监控 在实战对抗防护期间,为及时发现资产对外暴露安全风险,安全监控小组将定时对外网资产进行监测,统计当天外网活跃主机数目,开放端口个数及端口服务类型,并通过人工分析确认是否存在异常端口对外开放。 (2)网站安全监控 在实战对抗防护期间,对网站提供完整性检测、可用性检测。完整性监测能够甄别出防护站点页面是否发生了恶意篡改,是否被恶意挂马,是否被嵌入敏感内容等信息;可用性检测能够帮助防守方了解站点此时的通断状况,延迟状况。 资产发现 0day爆发快速排查 网站黑词、黑链 网站篡改监测 网站挂马监测 敏感词监测 钓鱼网站监测 ★承诺重保网站内容监控服务7*24小时,并可以提供日、周级别的安全报告,工作频率可由采购方自选。 | 安全监测报告 | 重保时期提供服务 |
3 | 日志分析服务 | 服务内容: 协助对各类系统(IDS、WAF、WEB服务器等)产生的日志进行数据分析,及时发现攻击事件和可疑行为,提供日志分析报告。 1.事件分析法 通过确定事件类型,IP地址检索,风险级别过滤,时间搜索过滤等方式,进而确定攻击IP地址和时间段,最终完成攻击结果分析。 2.流量包样本分析法 通过获取流量报文,检查触发攻击的关键字段,分析攻击类型,触发规则,再判断是否误报,最终完成攻击结果分析。 | 日志分析报告 | 重保时期提供服务 |
4 | 协助防守服务 | ★承诺在特殊保障服务期间,提供所需的2套全流量设备、1套安全态势感知平台和1套威胁情报平台,并完成上线部署、实施工作。承诺提供的全流量设备,性能不少于吞吐量10G。承诺提供的安全态势感知平台,支持集约化部署,平台具备软件化部署能力,软件形态支持部署在物理机/虚拟机/云环境/XC环境。承诺提供的威胁情报平台,具备软件化部署能力,支持双机热备和集群分布式部署。 | 2套全流量设备、1套安全态势感知平台和1套威胁情报平台 | 重保时期提供服务 |
5 | 协助溯源反制服务 | 监控现网的安全态势平台发现可以攻击行为,进行人工分析和判断、并通过攻击溯源平台发现攻击源,确认攻击行为存在后,监测组将初步分析结果反馈事件研判组综合分析研判后报工作组决策,通知应急处置组启动Web漏洞利用攻击事件应急预案,同时事件研判组队IP及现有告警进行攻击者、攻击手法溯源。 1、应急处置组及时响应并处置,若遇到应用部署在内网侧,则需溯源攻击路径并执行应急预案,具体处置步骤如下: 在防火强封禁IP; 排查安全设备监测日志、应用系统日志等查找漏洞风险点; 针对域名启用、添加安全防护策略; 应用系统管理员排查后门文件; 通知开发团队根据厂商建议进行应用整改加固。 2、应急处置组将处置结果上报工作组,同其他工作组上报处置过程至上报组,由上报组编写完成后,交由工作组、小组审阅,无问题后完成上报。 | 溯源反制报告 | 重保时期提供服务 |
(四)培训服务
序号 | 服务项目 | 工作内容 | 交付成果 | 次数 |
1 | 安全意识及 安全技术培训 | 服务内容: 1.为企事业单位工作人员提供安全意识培训,培训内容包含但不限于:网络安全形式、国家政策法规、办公安全和个人信息安全等方面。 2.为企事业单位网络安全技术人员提网络安全技术培训,培训内容包含但不限于:我国网络安全形式、国家行业法律规范要求、网络安全攻防技术、网络安全加固技术、网络安全应急处置技术等。 | 开展培训、培训报告 | 4次/年 |
2 | 安全渗透测试 能力培训 | 服务内容: 1.要求服务公司为我单位相关技术人员提供专业化的安全培训,包括但不限于安全评估、渗透测试,内容包含:高危运维端口发现、弱口令扫描、系统漏洞扫描、渗透测试等,通告培训使得我单位技术人员可以诊断等保系统可能存在的安全风险,及时对系统安全问题进行指导整改和复查。 | 开展培训、培训报告 | 2次/年 |
3 | 攻防技能培训 | 提供攻防实战能力包括: 1.提供全面展示实训状况(实训方案、实训课程、实训人员、实验/离线人数、学生的实时操作、学生课程完成度等信息,并支持通过不同图标展示学生的离线,在线,完成等状态,以便教员实时掌握学员实训进度)。 2.实训培训支持实训预览功能(实训名称、实训目的、创建教师、成绩组成标准、实训描述、实验列表、实验试卷、实训人员等)。 3.竞技培训支持提供可疑作弊告警(队伍名称、异常活动、涉嫌违规内容、级别等内容,并支持对可疑行为进行扣分、封禁团队或选手等操作)。 | 开展培训、培训报告 | 2次/年 |
(五)上网认证系统
序号 | 项目 | 内容 | 交付成果 | 次数 |
1 | 用户认证管理部署要求 | 认证系统支持高可用性部署和云化部署。 | 用户认证系统 | 提供全年服务支持 |
提供高性能用户认证平台:认证平台需具有开放性,具有良好的兼容性,能与主流品牌(锐捷、华为,Juniper,中兴,H3C,Cisco)无线AC或BRAS对接,提供无感知认证模块:可以实现基于MAC和802.1x 的用户无感知认证功能。 | ||||
提供高性能Poral平台:提供配合无线AC或多业务路由器弹出用户定制的认证页面,提供方便的用户自助服务平台,实现用户自助,实现多种AC的外置Portal对接,和COA策略下发。 | ||||
提供无感知认证模块:可以实现基于MAC和802.1x 的用户无感知认证功能。 | ||||
提供用户及策略平台:实现用户/用户组管理、策略单管理、查询统计、系统管理、权限管理等各种功能。 | ||||
认证系统必须能够部署在国产操作系统中,数据库平台使用Mariadb或国产数据库;使用模块化设计,应用模块可以分离部署。认证模块必须采用Redis高性能数据库架构设计。 | ||||
提供统一用户管理系统及数字化对接模块:实现和统一认证中心、统一用户数据库、邮件系统的对接,实现客户统一认证、管理及策略权限分发的功能。 | ||||
2 | 认证系统性能要求 | 支持的认证方式:PPPoE认证,Web portal认证,DHCP+Portal认证、802.1x认证,IPoE认证,L2TP认证,MAC认证、VLAN认证、令牌认证、智能卡认证。 | / | 提供全年服务支持 |
智能认证网关采用高性能认证平台专用硬件,含用户实名制认证、带宽管理、在线监控等功能;至少提供4个1000M光口和4个1000M电口,双电源冗余模块,支持热插拔。 | ||||
认证系统同时在线用户数:需具备用户同时在线用户数不少于1000用户。 | ||||
认证系统每秒新增Radius鉴权数大于2000。 | ||||
3 | IPv4及IPv6 认证功能要求 | 提供认证系统,能与客户现有核心设备进行IPv4及IPv6用户上网认证实现用户的认证、管理、策略下发和监控功能;同时能够兼容主流核心交换机、BRAS及路由器。 | IPv4及IPv6 认证系统 | 提供全年服务支持 |
IPv6 支持:具备IPv6 用户认证、管理、策略下发等功能。 | ||||
提供IPv6无感知认证功能:实现基于二元素(终端类型、mac地址、)无感知认证体系,实现终端类型、MAC地址和用户信息绑定。 | ||||
系统能够支持无线有线统一帐号的一体化认证及跨地域漫游认证。 | ||||
具备多种形式的本地账户的自注册服务,提供客户需求的方式;并支持批量新增、删除、修改本地账户。 | ||||
具备消息策略功能,实现用户策略(流量、时长)使用达到阀值后为用户发送短信或微信通知。 | ||||
能够实现冗余布置,提高系统稳定性。 | ||||
系统支持定时的本地和远程的全自动数据备份,并可以通过Web管理界面进行数据恢复。 | ||||
4 | 多样化的访客功能要求 | 预置普通访客、团体访客、长期访客、会议室访客、新生访客等常用访客角色,方便管理者快速配置。 | 访客认证系统 | 提供全年服务支持 |
支持访客申请、审批、授权、分发、审计、下线、冷却、销户的全生命周期管理。 | ||||
灵活的实名审核模式:访客扫二维码获取短信验证码、员工扫访客二维码,团体访客扫描会议二维码、后台预约审核等。 | ||||
多样化账号审核通知方式: 短信、email、微信推送、Web方式通知。 | ||||
访客认证支持方式方式:二维码、短信、钉钉等。 | ||||
访客账号类型需支持以下内容: 1.访客验证码(邮件、短信、APP下发) 2.批量发送验证码(邮件、短信、APP下发) | ||||
支持可配置细致的访客审核权限,提供给不同访客场景独立的访客审核管理权限,角色权限包括:访客申请审核页面、审批访客类型、是否允许审核、最大审核期限、最大审核人数、批量导入权限、访客组控制策略配置、指定访客组。 | ||||
支持多维度可视化分析,包括:访客在线实时监控、各访客类别/访客组用量分布、资费、上线次数、人数统计、访客充值统计、访客无感知统计、访客外部认证统计。 |
二、报价人的资格要求
报价人应提供合格有效的法人营业执照,具备独立法人资格并有能力提供采购货物及服务的企业。
三、报价要求
(一)按照项目采购内容进行报价,向采购人做出一次性书面参考报价;
(三)报价函提交方式:贵公司请于2024年8月14日下午18:00前提交;
1.请将加盖公章的企业基本情况表、授权委托书( 若有)、营业执照、报价函(格式详见附件1、2)以书面材料密封完好,现场递交或邮寄至福州城投新基建集团有限公司(地址:福建省福州市台江区榕发商务中心2号楼8楼,接收人张工,联系电话137*****374)
2.密封要求:报价单位应在封套的封面上标明项目名称及报价单位,并在封套的封口处贴上密封条并加盖报价单位公章。(若未按照要求密封,报价文件无效)
四、询价信息公开在中国招标投标公共服务平台(http://www.cebpubservice.com/)、福州城投优采在线(https://fuzhouctyc.com/)、四海易链电子竞价交易平台 (sihaiyilian.com)上发布。
附件1:企业基本情况表(加盖单位公章)
附件2:报价函
采购人:福州城投新基建集团有限公司
2024年8月9日
附件1:企业基本情况表
一、企业基本情况 | |
企业名称: | 法人代表: |
地址: | 邮编: |
联系人: | 手机: |
注册资本: 万元 | 主营产品: |
企业简介: | |
报价单位: (盖单位公章)
法定代表人或授权委托人: (签字或盖章)
日期: 年 月 日
注:1.填写表格如行数不够,可另行增加行数或附页。
2.应附上企业营业执照复印件并加盖单位公章。
3.若由授权委托人签字,需提供授权委托书,格式自拟。
附件2
报 价 函
福州城投新基建集团有限公司:
我司已收到本项目的询价函,经研究并满足贵公司提出的服务要求后,我司提交的报价如下:
序号 | 服务项目 | 金额(元,含税) | 备注 |
1 | 管理制度梳理服务 | ||
2 | 常态化安全运营服务 | ||
3 | 重要时期安全保障服务 | ||
4 | 培训服务 | ||
5 | 上网认证系统 | ||
6 | 合计 |
1.以上报价仅作为我司本项目的参考报价,不作为要约或要约邀请,也不视为承诺。
2.以上报价包含人工费、管理费、利润及税费等一切费用。
报价公司:(加盖公章)
联系人及联系方式:
日期:2024年 月 日
标签: 网络安全保障
0人觉得有用|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
