四川省诗书画院

2024年官网安全及维护服务项目比选公告

为增强四川省诗书画院官方安全防护能力，提升官网使用效果，拟对我院2024年官网安全及维护服务项目进行公开比选，兹邀请符合要求的比选申请人参加本次比选活动。

一、项目名称

2024年官网安全及维护服务项目

二、服务期限

签订合同后1年。

三、项目主要内容和要求

（一）云主机安全

云主机数不限制，可免费扩展；（提供承诺函原件加盖供应商公章）

支持病毒防护功能，防护内容包括但不限于：病毒查杀、网马查杀、漏洞管理、微隔离、主动防御等；

支持系统防护功能，防护内容包括但不限于：系统登录防护、防暴力破解、进程防御、文件访问监控等；

支持系统监控功能，当CPU、内存、磁盘读写、网络上下行流量等达到阈值时可进行告警，CPU、内存达到一定阈值时客户端可自动熔断；

支持系统漏洞扫描和修复功能，管理中心可作为补丁服务器提供离线、在线补丁下载；

支持威胁情报功能，可对APT、木马、病毒、蠕虫、后门、勒索、挖矿、僵尸网络、漏洞利用等威胁进行离线鉴定；

具备勒索病毒防御引擎，可对已知、未知的勒索病毒进行发现和阻断；

（二）网站应用云防护

带宽、域名、云主机、互联网IP数不限制，可免费扩展；（提供承诺函原件加盖供应商公章）

全国范围内具备至少50个云防护和CDN加速节点；（提供证明文件并加盖供应商公章）

能提供最大不低于2Tbps的DDOS流量清洗能力；（提供证明文件并加盖供应商公章）

支持包括但不限于入侵防护、实时攻击监测、扫描防护、CC攻击防护、一键关停等功能；

支持区域访问控制，限制国外用户或者国内以市为最低行政单位的区域进行访问控制。

支持一键关停功能，当网站出现紧急安全事件时，可在一分钟内通过手机APP、浏览器、微信公众号一键完成关停，防止产生恶劣影响。（提供功能截图并加盖供应商公章）

（三）云安全事件监测

带宽、域名、云主机、互联网IP数不限制，可免费扩展。（提供承诺函原件加盖供应商公章）

支持对网站的应用可用性监测，访问延时监测，能及时识别网站的应用异常。

支持基于referer、UA作弊行为的网站的篡改监测；源码对比以及定位篡改点。

支持检测页面中的隐藏链接，暗链误报提交，并形成暗链白名单。

提供网页漏洞扫描，可扫描SQL注入、XSS跨站脚本、伪造跨站点请求（CSRF）、网页木马、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄漏、弱口令、Xpath注入、LDAP注入、框架注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookie注入、敏感文件、第三方软件、其他各类CGI漏洞等各种类型。

（四）备份系统

备份数据量、备份云主机、备份的日志源数不限制，可免费扩展；（提供承诺函原件加盖供应商公章）

定期对系统核心数据库以及重要日志信息进行定期备份；

备份数据至少满足6个月以上的存储备份需求。

（五）企业级SSL证书

域名、云主机、公网IP数量不限制，可免费扩展；（提供承诺函原件加盖供应商公章）

加密算法：RSA；

密钥长度≥2048位；

加密强度≥SHA-256；

至少支持Apache、Nginx、Tomcat、IIS、weblogic等环境。

（六）云堡垒机

支持运维的云主机、数据库以及用户数据不限制，可免费扩展。（提供承诺函原件加盖供应商公章）

支持访问控制、操作审计、会话监视、会话回放、告警、违规操作阻断、安全管理等功能。

支持对运维人员访问服务器的所有命令、上传文件进行审计，对云上资源运维过程进行全量审计，以实现每一笔操作可回溯，确保安全事件能够有效追责。

持丰富的运维工具库，并支持用户新建各类自定义Shell/Python/PowerShell/CMD脚本，具备脚本、命令批量执行、文件批量分发、运维任务编排等多种自动化运维功能。

（七）网站页面升级改版服务

根据要求对原有官方网站进行升级改版。

网站开发语言使用java，前端设计采用Bootstrap和vue，数据库使用mysql，中间件使用nginx。

网站需采用前后端分离技术确保网站安全。

网站后端需开发操作日志审计功能且至少保存6个月。

网站须提供1年期的技术服务支持，确保网站的可用性。

（八）网络安全服务

网络安全运维托管服务。安排根据国内外网络安全态势以及业务信息系统的变化对网络安全相关策略进行动态化调整以及安全加固，使安全防护策略始终在最优的状态。

网络安全加固。安排工程师对云主机和应用进行专项网络安全加固，确保主机层面满足网络安全等级保护要求。

网络安全巡检。每季度对信息系统的网络安全攻击情况、云主机/服务器病毒木马情况、安全日志情况、云主机/服务器资源情况等进行巡检并形成巡检报告。

网络安全扫描和检查。每季度通过多种扫描检查工具（至少包含网络安全等保工具箱、APT检查工具箱）对所有信息系统以及涉及到的应用、主机、数据库进行漏洞扫描，对扫描出的相关问题进行整改并出具漏洞扫描报告。（提供工具清单以及工具功能界面截图加盖供应商公章）

网络安全应急响应服务。当发生相关安全事件时，及时安排安全专家团队进行现场排查处理，保障业务系统的连续性，阻止和减小安全事件带来的负面影响。

网络安全渗透测试。安排渗透测试工程师对信息系统采取模拟黑客攻击的方式进行信息系统网络安全渗透测试，并出具渗透测试报告并配合进行问题整改。

网络安全报告服务。根据网络安全情况出具网络安全报告，内容至少包含信息系统基本情况、网络攻击情况、网络安全巡检情况、网站资产情况、网络安全扫描情况、其他网络安全工作情况等，报告要求按照单位要求进行装订成册提交。

（九）等级保护测评服务

邀请具备测评资质的测评机构对官网进行网络等级保护（二级）测评包括定级、测评、备案等内容，确保网站顺利通过测评。

（十）其他要求

供应商需组建具有软件开发工程师认证、注册信息安全专业人员认证、信息安全保障人员认证4个认证证书的工程师参与项目。（提供供应商人员承诺函以及人员证书复印件加盖供应商公章）

四、供应商参加本次比选活动应具备下列条件：

(一)具有独立承担民事责任的能力；

(二)具有良好的商业信誉和健全的财务会计制度；

(三)具有履行合同所必需的专业技术能力；

(四)有依法缴纳税收和社会保障资金的良好记录；

(五)参加本次比选活动前三年内，在经营活动中没有重大违法记录；

(六)法律、行政法规规定的其他条件；

(七)本项目不接受二次报价、不接受比选申请人以联合体形式参加本次比选活动。

五、报名咨询电话：028-********

六、比选申请书的递交

(一)比选申请书递交起止时间：2024年7月12日-2024年7月17日。

(二)比选申请书递交地点：成都市青羊区百花潭路10号211办公室。

(三)比选申请书必须在比选申请书递交截止时间前送达比选地点，逾期送达或没有密封的比选申请书恕不接收，本次比选不接受邮寄的比选申请书。

七、开标时间：2024年7月18日

八、比选地点：成都市青羊区百花潭路10号一楼会议室

九、比选信息发布媒体：四川省诗书画院官网

十、联系方式

比选人信息：四川省诗书画院

地址：成都市青羊区百花潭路10号

联系人：李老师

联系方式：028-********