贵州高速公路集团有限公司

网络安全服务采购项目询价公告

一、网络安全服务采购内容清单

二、服务商资格要求

（一）具备独立的法人资格、相关的经营范围：须提供有效的营业执照、税务登记证及组织机构代码证或三证合一证照（复印件加盖公章）。

（二）具备信息安全风险评估服务资质能力：须提供有效的网络安全等级保护测评机构推荐证书资质或信息安全风险评估服务资质（复印件加盖公章）。

三、服务须满足的规范与标准

《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）

《信息安全技术 信息系统等级保护安全设计技术要求》(GB/T 25070-2010)

《信息安全技术 信息系统安全等级保护实施指南》（GB/T?25058-2010）

《信息安全技术 信息系统通用安全技术要求》（GB/T 20271-2006）

《信息安全技术 网络基础安全技术要求》（GB/T 20270-2006）

《信息安全技术 操作系统安全技术要求》（GB/T 20272-2006）

《信息安全技术 数据库管理系统安全技术要求》（GB/T 20273-2006）

《信息安全技术 服务器技术要求》（GB/T 21028-2007）

《信息安全技术 终端计算机系统安全等级技术要求》（GA/T 671-2006）

《信息安全技术 信息系统安全管理要求》（GB/T 20269-2006）

《信息安全技术 信息系统安全工程管理要求》（GB/T 20282-2006）

GB/T 22080-2008/ISO/IEC 27001:2005《信息技术 安全技术 信息安全管理体系 要求》

四、服务范围说明

目前，贵州高速公路集团有限公司本部共有1个机房，共部署有2台防火墙（含1台WEB应用防火墙）、2台核心交换机、1台IDS、15台服务器（属于集团本部）、1套刀片服务器、2套存储等设备，主要运行了办公自动化0A系统、人资管理系统、财务管理系统、目标绩效考核系统、视频会议系统、征地拆迁信息管理系统及各项目计量系统等业务系统。

五、服务内容及具体要求

（一）网络安全风险评估

对贵州高速公路集团有限公司（以下简称贵州高速集团）本部所建设的网络和信息系统进行全面风险评估，每年进行一次，评估后需要出具详细的评估报告，不允许直接提交安全风险扫描工具输出的报告，需对报告进行分析提炼，对产生的漏洞、隐患和风险提供直观的阐述。评估范围为所有业务系统及相关的信息资产，须包括以下内容。

1.漏洞扫描：对IT基础设施（包括但不限于网络和安全设备、操作系统、数据库、中间件等）和应用系统等进行扫描，不允许直接提交漏洞扫描输出的报告，需对漏洞扫描报告进行分析提炼和验证，输出高、中和低危漏洞信息。

2.操作系统核查：核查操作系统补丁安装、进程、端口、服务、用户、策略、权限、审计、内核、恶意程序等内容，对用户当前采取的风险控制措施和管理手段的效果进行评估，在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等六个方面进行评估。

3.数据库核查：主要是对数据库管理系统的权限、口令、数据备份与恢复等方面进行核查。

4.网络及安全设备核查：网络及安全设备核查主要是针对网络及安全设备的访问控制策略进行检查，确定是否开放了网站服务以外的多余服务。

5.病毒木马检查：通过多种方式对机器内异常进程、端口进行分析，判断是否是木马或病毒，研究相关行为，并进行查杀。

6.渗透测试：模拟黑客的各种攻击手段，对评估过程中发现的漏洞安全隐患进行攻击测试，评估其危害程度，同时利用渗透性技术检测，发现未知应用系统漏洞和安全隐患。主要有：弱口令、本地权限提升、远程溢出、数据库查询等。

在有重大安全漏洞或隐患出现时，对特定系统及时采取有针对性的渗透测试，不受次数限制。

（二）安全加固

对安全风险评估报告中的安全隐患进行整改加固。须包括以下内容：

1.操作系统安全加固

（1）基本安全配置检测和优化；

（2）密码系统安全检测和增强；

（3）系统后门检测；

（4）提供访问控制策略和安全工具；

（5）增强远程维护的安全性；

（6）文件系统完整性审计；

（7）增强的系统日志分析；

（8）系统升级与补丁安装；

2.网络设备安全加固

（1）严格的防控控制措施；

（2）安全审计；

（3）合理的vlan划分；

（4）不必要的IOS服务或潜在的安全问题；

（5）路由安全；

（6）抵抗拒绝服务的网络攻击和流量控制；

（7）广播限制。

3.网络安全设备安全加固

（1）防火墙的部署位置、区域划分；

（2）IDS、漏洞扫描系统、VPN网关配置；

（3）安全设备的安全防护措施配置加固；

（4）安全设备日志管理策略加固；

（5）安全设备本身安全配置加固。

4.数据库安全加固

（1）基本安全配置检测和优化；

（2）密码系统安全检测和增强；

（3）增强远程维护的安全性；

（4）文件系统完整性审计；

（5）增强的系统日志分析；

（6）系统升级与补丁安装。

（7）病毒木马清除。

除对风险评估报告中的安全隐患进行加固外，对国家和省级有关部门通报的安全漏洞要及时进行全网加固处理，不限次数。加固完成后出具纸质加固报告。对于应用系统本身的安全风险，须指导协调第三方开发单位进行安全加固。

（三）日常安全运维服务

选派1名具有丰富工作经验和相关资质技术人员提供现场安全值守服务（每星期固定一天），保证信息系统正常安全运行。驻场人员需对应用系统、安全设备的日志进行收集、分析和管理。每月形成《机房安全、安全设备及系统日志和运维审计及整改报告》和《安全事故报警、安全事故响应、处置结果及安全服务汇总报告》。

当发生网络安全事件，在接到应急响应服务要求后，应在2小时内派应急响应小组赶到现场，分析入侵行为，提供最佳防范方法，将情况控制并降低损失，同时提供入侵事故过程描述并提交相应的防范报告。在重大节假日、敏感及重要活动期间，提供现场支持和及时处置服务。

驻场人员需实时更新网络拓扑、服务器、操作系统、数据库、网络及安全设备等软硬件资料库，完善网络和信息系统资产信息。

（四）安全检查

配合贵州高速集团完成上级单位、省级网络安全主管部门的安全检查工作。同时制定网络安全自查方案，开展网络安全自查工作，通过人工核查、工具扫描等方式开展对物理环境、网络架构和设备、主机操作系统、数据库系统、应用系统、安全控制措施及管理体系等方面识别和分析，协助贵州高速集团填写安全检查报告和总结报告。

按网络安全自查标准，配合采购人对所属两家二级单位开展一次网络安全抽查工作，抽查下级单位由采购人指定，按照网络安全自查标准开展工作，出具网络安全抽查报告和安全整改建议书。

（五）安全培训

为采购人提供一次网络安全管理和技术专题培训（参训人员包括所属各二级单位网络安全负责人和技术人员），培训主题包括但不限于：网络安全意识、政策、网络知识、信息化技术、大数据、网络安全设备、应急处置、密码应用以及网络安全管理运维等。具体培训内容和方式由采购人决定，由中选服务商提供师资、教学设备及教学课件等，培训所产生的费用由中选服务商承担。

（六）网络安全信息通报

1.对采购人及所属各二级单位对外服务网站进行安全监测（共6个网站），对于监测过程中发现的异常情况及时通报处理，同时必要时进行应急响应，对可能存在的安全隐患进行安全加固。提供监测月报、季报和年度总结，作为信息通报的重要内容。

监测涉及内容：网站可用性监测、页面篡改监测、敏感关键字检测、网页挂马监测以及脆弱性（如SQL注入、跨站脚本、WEB后门）等等。

********0">2.渗透性技术检测，从攻击者的角度来对主机系统的安全程度进行安全评估的手段，在对现有信息系统不造成任何损害的前提下，模拟入侵者对指定系统进行攻击测试，所有渗透测试需在采购人书面授权情况下进行。每月提供2个重要信息系统进行渗透性技术检测，渗透测试的结果将以报告（《白客渗透测试报告》）的形式提交，渗透测试也将作为信息系统安全通报的一个重要数据来源。

3.信息安全通报还应包含以下内容：

（1）国内外网络信息安全情况摘要

（2） 网络与信息安全预警信息

包括病毒、木马预警信息通报，安全漏洞预警信息通报：摘录国家信息安全漏洞共享平台（CNVD）、中国信息安全测评中心、国家互联网应急中心（CERT）提供主流厂商的中文安全通告，包括Windows、AIX、HP-UX、Solaris、Linux以及网络与安全设备生产商、主要几个漏洞的概述以及修补方法********1">。

六、其它说明及要求

（一）********2">项目组织机构与实施人员要求

中选服务商必须成立合理的项目组织机构，建立健全保障项目顺利实施的各项管理制度和质量保证体系，安排获得相关资质的工程技术人员参加本项目的实施；

本项目实施人员不得低于2名，其中，安全项目负责人、安全风险评估与驻场服务人员各一名。技术团队的专业构成及技术能力必须充分胜任本项目提出的各项技术服务要求。对于不合格的人员，采购人有权要求更换。

中选服务商及其参与本项目的工程人员需签署保密协议，并遵循相关保密规定。

********6">（二）质保期要求

中选服务商应根据采购方的需求，对所提供的报告提供1年的质保服务。在本项目质量保证期结束之前中选服务商应免费对报告中涉及的疑问内容进行解释，对已加固项再次出现风险隐患应免费给予加固。

质保期的服务费用全部包含在投标总价中，若不列出视为中选服务商免费提供。

********8">（三）安全事故责任

服务期内，中选服务商有责任保证全部设备、信息系统及系统产生的各类数据的完整、安全并处于良好状态，因服务单位疏忽而导致安全事故，由此产生的损失和法律责任，由中选服务商承担。

七、询价回函要求

有意参加本项目询价的各投标人请于2019年07月03日17:00前将询价函（详见附件）及其他要求回复至********3@qq.com邮箱。

贵州富通工程咨询有限公司

2019年6月28日

注：报价格式详见附件

附件：