我单位拟委托具有相应资质的公司实施江西省地震局监测信息应急技术平台网络安全检测与服务采购,欢迎符合资格条件的公司参加竞标。
一、项目概况
(一)项目名称:江西省地震局监测信息应急技术平台网络安全检测与服务采购采购。
(二)工作内容:
1、应用安全风险检测。
2、网站安全预警监测服务。
3、安全值守服务。
4、应急响应服务。
5、网络安全整改服务。
6、网络安全培训。
7、安全咨询服务。
8、安全通告服务。
注:以上服务内容具体要求详见附件1。
(三)建设单位:江西省地震局
二、投标人资格要求
(一)具有独立承担民事责任能力的法人或其他组织;
(二)具有良好的商业信誉和健全的财务会计制度;
(三)具有履行合同所必需的设备和专业技术能力;
(四)有依法缴纳税收和社会保障资金的良好记录;
(五)参加政府采购活动前三年内,在经营活动中没有重大违法记录。
(六)提供省内厅局级单位安全服务案例。
(七)组员配备情况:服务提供商提供项目团队的项目经理,应具备IT服务项目经理证的同时,必须同时具备中国信息安全认证中心认证的风险管理专业工程师证书,项目团队提供漏洞挖掘人员,其中至少有一名具备国家计算机网络与信息安全管理中心项目所在地分中心认可的漏洞挖掘成员(响应文件中提供项目成员一览表和相关证件原件复印件)。
三、投标人提供资料
(一)企业法人营业执照原件及复印件(加盖公章)。
(二)资质证书原件及复印件(加盖公章)。
(三)法定代表人授权委托书原件及复印件(加盖公章)。
(四)受委托人身份证原件及复印件(加盖公章)。
(五)项目人员的相关从业资质证书(加盖公章)。
(六)提供省内厅局级单位安全服务案例(合同复印件加盖公章)。
(七)报价单(密封)。
四、费用及中标方式
(一)费用结算:签订合同后15个工作日内付50%合同款,服务期末,再付50%合同款。
(二)报价方式:包含所有服务内容,按年度进行报价,报价含开具发票税金等所有费用。
(三)中标人确定方式:投标人投标文件满足本公告全部实质性要求且投标综合报价最低的供应商为中标人。
五、报名时间、地点
报名时间:2019年1月--8日至2019年1月--11日
报名地点:南昌市高新区昌东大道6929号江西省地震应急指挥中心(江西省地震局)402
谈判地点:江西省地震局
谈判日期:另行通知
联系人及电话:江 娜
****-******** 136*****610附件1.
江西省地震局监测信息应急技术平台
网络安全检测与服务项目招标需求
一、项目背景:
根据《中华人民共和国网络安全法》,江西省人民政府发布《江西省人民政府办公厅关于印发政府信息系统安全检查实施办法的通知》(赣府厅发〔2010〕56号)、《关于传发<2017年江西省网络安全执法检查工作方案>的通知》等文件要求,江西省地震局对现有的信息化系统进行全面网络安全风险排查、堵塞网络安全漏洞等安全服务建设,最大化减小信息化系统可能存在的安全隐患,对发现的安全隐患进行及时排除修复,加强系统健壮性建设,保障系统安全平稳运行。本项目包括网络安全风险检测、网站预警监测、网络安全值守、应急响应、网络安全加固、安全培训、安全咨询及安全风险通告服务。
服务对象:江西省地震局监测信息应急技术平台。江西省地震局监测信息应急技术平台包括门户网站、地震卫星通信网络、地震应急响应和地震系统行业骨干网4个组成部分。
服务列表:
序号
项目
数量
单位
1
应用安全风险检测
1
项
2
门户网站预警监测(一个域名)
1
项
3
网络安全值守
1
项
4
安全应急响应
1
项
5
网络安全加固
1
项
6
安全培训
1
项
7
安全咨询
1
项
8
安全风险通告
1
项
二、服务要求
1、应用安全风险检测
1.1应用清单及服务频率
应用系统清单列表
序号
应用系统名称
应用系统域名
1
江西省地震信息网
http://www.jxdz.gov.cn/
服务频率:一年至少四次
1.2应用安全风险检测具体内容
防盗链反查
违规链接
检测网站是否存在违规链接现象(现场/远程)。
日志分析
日志情况分析
检测网站访问日志、用户登录日志、系统运行日志是否予以保存。协助分析日志,是否有严重攻击行为(现场/远程)
后台管理
管理入口安全性
检测网站管理入口链接是否被隐藏,是否容易被查找(现场/远程)。
管理入口身份鉴别强度
检测网站管理登录入口是否有启用验证码(现场/远程)。
管理账号弱口令
检测网站管理员密码是否可猜解(现场/远程)。
信息保护
重要栏目身份鉴别
检测网站重要栏目是否有身份鉴别功能(现场/远程)。
用户名密码复杂度
检测网站用户密码是否有复杂度要求(现场/远程)。
验证码等功能
检测网站用户登录口是否有使用验证码功能(现场/远程)。
网站挂马
网站情况检测
检测网站是否已被“挂马”(现场/远程)。
挂马因素检测
检测网站是否存在“挂马”的安全隐患(现场/远程)。
SQL注入
屏蔽错误返回信息
检测SQL注入测试中网站是否屏蔽错误返回信息(现场/远程)。
对特殊字符进行了完全过滤
检测SQL注入测试中网站是否对特殊字符进行了完全过滤(现场/远程)。
表单绕过隐患
网站表单绕过入侵
检测表单绕过扫描网站是否存在表单绕过漏洞(现场/远程)。
XPath注入攻击
XPath注入
检测XPath注入扫描网站是否存在XPath注入攻击隐患(现场/远程)。
跨站隐患
XSS隐患
检测网站是否存在XSS隐患(现场/远程)。
网站跨站请求伪造隐患
检测网站否存在跨站请求伪造(现场/远程)。
源码泄露隐患
网站源码泄露隐患
检测网站否存在源码泄露隐患(现场/远程)。
配置安全
配置漏洞
检测网站服务器是否存在配置漏洞(现场/远程)。
端口安全
端口安全
检测网站是否开放了不应开放的端口(现场/远程)。
1.3应用系统安全风险检测有关要求
1.3.1本次安全评测工作采用人工检测加安全测评工具相互结合方式,所使用的安全评测工具必须为国内厂商生产制造。
1.3.2扫描工具必须自动生成简体中文版的安全评测报告;
1.3.3扫描工具支持对Web1.4.0系统、flash网站的扫描,支持强大的域名反查库,扫描IP时,可以将该IP下的域名自动加入到扫描列表中。
1.3.4支持扫描速率自动调节功能,可以对于部分防护设备进行绕过型测试。
1.3.5支持对于做了CDN处理的网站进行真实IP的主机扫描。
1.3.6支持对于主机扫描策略的高级配置,可以自定义SMB、SSH、FTP、Oracle,MySQL、SQLServer等类型的登录账号,可以对远程主机进行更深层次的登录型扫描其本地的漏洞(如:注册表漏洞,浏览器漏洞等)。
1.3.7支持弱密码扫描,扫描的类型包括:FTP、TELNET、SMB、SSH、MYSQL、MSSQL、ORACLE、远程协助、VNC,并且提供弱密码字典的自定义。
1.3.8支持对无线网络环境的安全检测,支持展示无线设备节点分布情况,支持无线风险统计及展示。
1.3.9安全评测报告内容必须包括三种工具发现的主要漏洞的手工验证结果,Web风险统计、最多安全性问题文件统计排行、以及风险的处置方法,并出具网站测评报告。
1.3.10服务商在投标时所使用的安全评测工具必须为国内厂商生产制造,其中至少一种获得由中国信息安全测评中心颁发的信息技术产品安全测评证书(级别:EAL3+);其中至少一种支持定制的便携式一体机硬件架构,适用于有线及无线等各种网络环境,便于本次前去现场检测的便利性。所有检测设备客户如果有需求时必须在一年内免费提供使用。
1.3.11安全评测中所采用的方式为远程和现场相结合的评测方式,主要内容应包括:应用系统相关信息收集与分析、系统配置脆弱性检查、利用漏洞扫描工具对系统进行脆弱性检查、口令强度测试、远程溢出攻击测试、本地权限提升测试、逻辑验证攻击测试、SQL注入攻击测试、XSS跨站脚本攻击测试、Cookies欺骗攻击测试、网络数据传输安全性测试等。为保证评估质量和效率,同时对重要的漏洞必须进行手工验证并协助进行整改。
2、网站安全预警监测服务要求
2.1功能要求:无需安装任何硬件或软件,无需改变目前的网络部署状况。实现实时监测和周期性度量网站的风险隐患,从宏观和微观两个视角对用户的网站进行透彻的风险分析,可直接根据报告采取适当的网站安全整改措施。监控平台要求为国家级重要网站进行过监控保障,提供案例证明。
类别
名称
监测频率
描述
网
站安全监控内容
挂马检测
持续7×24自动化监控,每天2小时轮询
利用“云特征库”并结合沙箱技术对网站进行挂马检测
关键字监测
采用先进的中文分词及中文语义识别技术,对网站页面中的内容进行敏感、低俗关键字检测
域名劫持监测
检测并发现网站域名对应的IP地址是否变化
可用性监测
每隔几分钟访问一次网站页面,以检测网站的响应速度
脆弱性监控
持续7×24自动化监控,每半月轮询一次
对网站存在的脆弱性进行探查,包括SQL注入漏洞、跨站脚本漏洞、开放服务漏洞、网站第三方应用漏洞等,及时发现漏洞
定期扫描业务系统是否存在弱密码,防止出现密码导致的攻击事件
综合报告分析
每周邮件通报一次;每月针对用户层、管理层产生不同报告
基于周期检测结果,辅以人工测试验证,输出检测报告,并提供趋势分析及建议
2.2监控时间:一年;监控对象:江西省地震局门户网站。
出现风险可以及时通过查看监控平台、短信、邮件三种方式通知采购人。
3、安全值守
3.1首先进行网络安全规划梳理,结合合规性要求,对现有网络架构进行合理化进行调整、合理部署已有安全产品、梳理并完善安全策略、调整并加固服务器和网络设备配置,并协助信息系统安全管理人员建立可靠、便捷的网络安全监控机制。网络安全调整完成后,每周提供一名项目组成员工程师,现场值守一天并分析网络安全态势,如安全设备及安全事件监控、安全系统日志分析、安全策略梳理等。
3.2安全运维规范和详细服务内容如下:
3.2.1应用系统安全防护根据有关标准的要求,结合应用系统的业务需求,针对不同的应用系统,提出应用系统所应满足的安全保障要求,建立安全安全保障体系。
3.2.2网络及安全设备安全配置根据网络安全规划设计,形成网络及安全设备的安全技术策略,细化为各个产品应实现的功能目标,形成规则配置,并指导实施单位进行安全实施。
3.2.3操作系统及数据库安全配置应根据网络安全规划设计,形成服务器操作系统及数据库的安全配置策略,形成规范的策略配置。
3.2.4网络及安全设备运行维护建立网络及安全产品的运行维护规范,确保信息系统基础环境的稳定运行,以及设备规则配置的更新,确保其及时更新和可追溯。
3.2.5应用系统运行维护应结合应用系统的业务需求,针对不同的应用系统,建立应用系统运行维护的安全规范,确保应用系统安全稳定运行,为运行维护人员提供指导。提出已上线运行应用系统的日常安全巡查具体措施与方法,协助江西省地震局进行定期安全检查。
3.2.6根据江西省地震局信息系统实际情况完善安全运维管理制度建立,按照合规性要求,结合现有的机构框架,借鉴已有的信息安全保障的管理制度,制定符合实际需要的安全管理制度。
3.3巡检频率:周期一年,每周至少安排一人一天现场驻守。
3.3.1现场驻守工作内容听从我方安排,协助我方完成信息网络安全工作及相关材料的报送。
4、应急响应
4.1根据江西省地震局现有的网络和信息系统状况、协助采购人制定一份完整的安全应急响应预案,并协助开展网络安全应急演练。
4.2在合同期内,如采购人出现信息系统安全问题,在接到采购人电话通知后,安全服务商的工程师必须在2小时内提供上门服务,一年至少4次应急响应。并现场分析和解决问题。
4.3为保证安全应急服务的技术质量,要求投标人对江西省地震局信息系统当前状况进行了解,在投标文件技术方案中必须提供现有的拓扑图结构及相应的设备部署情况。
5、网络安全整改要求
依照《信息安全等级保护安全建设整改工作指导意见》(公信安[2009]1429号),严格遵循《信息安全等级保护安全建设整改工作指南》各项要求,在进行全面网络安全风险检测的基础上,协助对江西省地震局进行整改,开展安全整改咨询和系统加固工作,最终使江西省地震局安全管理和技术两方面达到相应等级的保护要求。
6、安全培训
根据江西省地震局预报中心实际情况组织制定培训方案并组织相关培训,培训对象包括江西省地震局预报中心管理人员及技术人员。培训内容如下:
信息安全基础知识培训;
信息安全意识培训;
信息安全管理体系培训;
信息安全技术策略培训;
安全运维培训;
安全应急响应培训等。
7、安全咨询
配合进行可行性研究方案制定、产品选型等准备工作;为今后全区的网络软硬件平台建设提供安全咨询,提供网络安全建设中涉及到的决策、管理及运行操作问题的专业咨询。
8、安全通告
随着信息安全事件持续不断的高发态势,攻击手段不断更新,为持续保障江西省地震局信息系统的安全,服务商应每月整理并向江西省地震局信息安全管理人员通告本月内危害程度较为严重的攻击事件和安全漏洞,以供安全管理人员及时修补应对。该项服务为期一年,每月一期,并提供纸质文档。
9、其他要求
9.1为了保障应急响应服务,非本地注册企业须在本地有分支机构或驻点办事处,具有独立法人资格,并有能力提供本次政府采购服务
9.2为保障安全服务项目的技术质量,要求服务团队至少有四人组成,其中项目经理要求具备IT服务项目经理证,同时为中国信息安全认证中心认证的风险管理专业工程师;项目组成员至少有两人是国家计算机网络与安全管理中心江西分中心认可的漏洞挖掘成员,项目组成员中至少有一人在CNVD(国家信息安全漏洞共享平台)提交原创漏洞并获得《原创漏洞证明》证书。(评标依据:提供证书原件扫描件,加盖公章)。
9.3安全服务商须提供项目组成员一览表,且项目成员不可更换。
9.4以上技术要求必须完全响应,否则视为无效投标。
9.5宣布中标后,用户有权利对安全服务商提供的检测设备和服务人员证书要求进行验证,合格后签订合同。
联系人:郝工
电话:
010-68960698 邮箱:1049263697@qq.com
