1.1项目名称：2020护网络安全技术支撑服务项目

1.2 采购内容、范围及工程量：

拟采购2020护网络安全技术支撑服务。主要内容为：

2.1.巡检服务

2.1.1.设备巡检

确保网络安全监测处置平台设备长期、稳定的工作，最大限度降低系统的运行故障及延长系统设备的使用寿命，维护工程师需每日对网络安全监测处置平台设备、WAF、全流量分析设备、蜜罐、等配套的安全软件系统进行巡检，排除故障发生隐患，最大限度降低设备的故障发生率。

2.1.2.系统模块

每日对网络安全监测处置平台系统各模块进行巡检，包括数据采集、数据分析、监控展示等。保证各功能模块运行正常。

2.2.网络梳理服务

配合网络管理中心梳理互利网暴露面网络架构及资产，同时配合全疆各地州对地州的网络拓扑、网络架构、安全现状进行梳理，明确网管中心及各地州网络及拓扑架构的模式，详细了解网络各出口的作用，掌握互联网暴露面安全风险状况。配合网管及各地州梳理防火墙防护策略，整理冗余策略、杜绝对外暴露运维服务端口。

网络架构梳理：

通过人工与设备相结合的方式，利用全流量分析系统中互联关系管理功能对网管中心及各地州的安全资产访问关系进行梳理，从而得到各资产的访问拓扑图，从而识别各资产属性，统计互联网出口数量和情况及互利网业务情况。

对于梳理出来的隐患及问题结合网管中心及16个地州的本地需求网络，满足集团迎检规范、符合等保2.0测评，针对每个地州提出相应整改建议，配合用户进行安全隐患问题排查解决。

防火墙策略梳理：

通过全流量分析系统或人工梳理的方式协助管理员优化防火墙的安全策略，了解当前防火墙策略的使用状况。

安全策略梳理主要针对过于“宽松”的安全策略，对于这种安全策略先分析安全策略下的真实流量状况，包括具体的源和目的都是谁，特定应用的发生频次。通过全流量分析系统，管理员可查看任何一条安全策略的流量详细信息，包括各种应用的占比等。管理员可以根据该报告制定更加有针对性、更加准确的安全策略，从而提升防火墙的安全性。

通过利用全流量分析平台或人工梳理的方式对防火墙开放端口进行排查，梳理出暴露于互联网的运维管理端口情况，联系相关负责人员进行处理，杜绝此类管理端口的暴露，降低风险。

2.3.应急演练

在护网及重大保障前期或在日常安全运维工作中定期展开应急演练工作，通过模拟真实的攻击场景，检验应急处置流程可行性，包括：安全事件监测、发现、处置、上报等环节，对出现的问题反复复盘，及时解决并提供有效措施。做到提高网络安全人员工作效率、提升问题处置人员处置能力、优化应急处理流程，保证在安全事件发生时应急处置工作有条不紊。

通过利用人工与全流量分析平台、网络安全监测处置平台相结合的方式对接入的安全数据流量分析，进行内外网安全事件监控，通过对接入的安全设备、网络设备流量分析，主要对五反五清事件进行监控包括：反域名劫持、反网页篡改、反短彩信控制、反CDN劫持、反流量攻击、数量清、位置清、型号清、策略清、效果清，对内通过对接入的网络设备、主机日志等安全数据流量的分析，利用互联关系分析模块，对内部资产行为进行监控，发现内部资产的可疑行为及病毒传播趋势。

通过利用人工与网络安全监测处置平台相结合的方式，对接入的安全设备、网络设备、安全检测平台、资产信息等安全数据流量进行安全场景分析，包括但不限于对安全威胁检测分析场景、网络安全场景、资产安全场景进行分析与监测。

协助用户建立拒绝服务攻击、网络攻击、大规模用户信息泄露等突发网络安全事件的应急机制，并完配合用户安全应急演练工作。验证安全防护及安全联动性，应急演练实施前需进行申请，实施后提交应急演练报告。

安全演练方案主要包括以下几个方面：

演练流程设计：演练将分为两个阶段，准备阶段和演练阶段。准备阶段主要是对演练需要的设备、人员、技术等进行准备，并就可能出现的问题制定相关的措施，以保证整个演练过程的顺利进行；演练阶段则由攻击、发现、抑制或消除等几个环节构成，针对不同的攻击手法、攻击目标采取同样的环节，分步进行。

演练角色制定：确定演练中的各个角色要求职责清晰，演练过程中能够有效沟通。确定参演人员是否清楚自身职责，保障中的角色，需要完成的工作等。确定参演人员是否清楚上下级的沟通接口，是否知道在什么阶段，汇报/传达什么信息，用什么手段等。

演练环境搭建：根据演练要求，搭建演练环境。演练环境包括：模拟的业务系统、操作系统、数据库，监控设备，演练终端等。

演练工具培训：根据演练要求，选取不同的演练工具，如暴力破解工具、DDOS工具、SQL注入工具等。演练前应对演练工具使用方法、可能的后果进行详细论证。

演练进行方案：根据演练要求，编写演练方案、演练脚本、演练步骤等，演练时参演人员严格按照方案进行。

风险及规避：制定详细的风险规避措施，如：演练前进行数据备份，实战演练前应制定完善的回退方法，确保演练完成后能将设备从演练状态回复到日常工作状态。

演练输入和输出：根据演练内容，确定演练的输入输出，应急演练结束后，应急演练协调小组、应急演练执行小组、应急演练评估小组共同协作完成《应急演练总结报告》，并呈交应急演练领导小组。

《安全应急攻防演练方案》

《安全应急实战攻防演练总结报告》

2.4.资产发现

资产发现工作主要围绕互联网暴露面资产发现及与互联网具备对应关系的内网资产展开，通过对这两方面资产进行资产发现工作，梳理出日常工作中无主资产、无主应用等情况，配合用户对此类资产、应用进行排查、摸底，降低或杜绝此类资产在日常安全运维工作或重大保障中存在的安全隐患、安全风险，提高资产安全管控能力。

通过人工与资产发现工具相结合，利用主动被动探测的方式进行资产探测工作，主动探测主要用于对未知网络下的发现探测，被动扫描主要用于7*24小时持续性的监听已知网络下的未发现资产，并通过信息补全和深度扫描等方式完成资产属性的补全，实现未知资产的发现与管理。并通过发现未知资产的严重安全问题，真正把资产管理和脆弱性管理结合起来，使资产管理达到全覆盖，杜绝出现无主资产和漏管情况的发生。

将资产发现发现融入至日常安全检测工作中，依据网管中心及16个地州提供的资产范围进行资产探测发现，对于检测到所有暴露在互联网的端口及服务进行排查与检测，涵盖已应用URL、可能存在APP的页面等，排查暴露面网络、安全、VPN设备远程管理服务及白名单有效性检查，关闭无用及冗余端口，对互联网与内部有对应关系的资产开展全面安全检查，涵盖子域名、APP、微信公众号，开展漏洞检测、弱口令检测、渗透测试及定级备案情况核查等内容。

通过对已发现的未知资产、无主资产进行梳理，整理出一个准确的安全资产库，降低资产安全风险，避免在集团检查或重大保障护网期间，因未知资产、无主资产造成扣分、或渗透入侵的风险发生。

2.5.护网及重保服务

利用网络安全监测处置平台，对新疆移动网管中心提供2020年护网行动及国家重保等重要保障活动的现场值守工作，对保障期间提供人员、技术确保避免发生重大安全事件，对过程中检测到的安全事件进行及时的排查定位，进行为期半年的现场人员驻场保障服务。

护网前期配合用户对资产进行整理及收集，利用专用资产梳理工具，通过各域网段级盲扫，对内网资产开展全面清查工作，梳理出内部无主主机、无主应用，更新现有资产表，配合明确每个资产实体责任人，并全面开展漏扫、渗透、弱口令核查工作，并配合完成漏洞隐患处置、开放端口最小化、无用系统及账号清理等工作。

护网期间针对新疆移动2020年计划上线的、业务发生变更的、需要进行重点保障的自有业务，现场服务人员使用相关技术，采用脚本+平台的形式，实行7*24小时值守。结合网络安全监控平台、全流量分析平台、虚拟化检测平台的多种虚拟化安全产品、网络安全处置平台、web应用防护系统、蜜罐系统、安全威胁分析与预警平台等。

在重大节日、重大会议之前一周，制定值班表，进行安全巡检，在节日期间，进行安全值守工作，对重要业务系统及对外业务平台实时监测并分析当天日志，发现攻击、入侵、病毒、DDOS等攻击，及时通知并协助用户进行安全应急处理。

值守时期主要工作内容如下：

值守期间的日常的安全监控管理与安全咨询工作，为网管提供日常安全管理工作中的安全设备运维，预防、保护、监控、检测、响应、恢复等防护技术体系，以及安全运维、安全应急等管理体系建设提供咨询服务。

值守期间如发生安全事件，根据应急处理流程，通知相关责任人，紧急处理并提交相应的处理报告。

配合全省安全检查，对重大政治活动、重大安全事件提供技术支持。

实时监控DNS服务器动行状况，记录DNS服务器的硬件动行状况和DNS请求的成功率。

作好网络入侵、病毒大范围爆发、大规模网络攻击的应急计划，制定相应应急处理流程。

在安全保障期间对发现的可疑网络安全行为和事件，针对其情况及时启动应急流程，做到及时响应、快速定位、快速排查、高效处置、及时上报，将所带来的安全威胁及风险降至最低。

2.6.日志分析服务

值守及现场服务人员通过全流量分析平台及网络安全检测处置平台，进行安全监视、审计追踪、调查取证、应急处置等事件分析服务，依托平台先进的智能事件关联分析引擎，实现对全网的安全事件进行综合分析与审计，识别和定位外部攻击、内部违规。对事件分析的整体过程和结果生成各类报表报告，实现对全网安全风险的量化分析、安全态势评估，为实现业务信息系统的持续安全运营提供技术保障。

2.7.安全设备日志解析

对护网保障期间新增安全设备，配合完成纳入网络安全监测处置平台，对安全设备日志实现日志集中采集，针对不同的安全设备日志依据其特有格式进行日志解析，对解析后的日志根据其安全特性、安全场景制定安全预警告警规则，通过不同视图和规则策略匹配，进行告警和监控分析。

2.8.平台告警策略优化

护网及现场服务期间，服务人员通过对全流量分析平台及网络安全检测处置平台的安全事件梳理工作，结合网管中心本地网络现状，优化平台告警规则及策略，提高规则命中率、优化平台工作性能，在重保及现场服务期间做到安全问题精准发现、快速定位、及时上报处置。

优化并梳理监控处置平台的告警策略，对于已产生的安全告警事件制定相匹配的安全规则，安全事件达到某个阈值或频次时产生告警，对已触发安全事件设立告警机制，达到缩短风险的发现、修复、加固处置周期，提升对安全事件发现和处置的执行效率。

2.9.重点网站监测告警分析

在日常安全服务及重大保障期间，利用网站安全监测平台对网管中心重点网站进行监测告警，做到安全问题及时发现，配合用户及时处置，降低因安全问题带来的风险与隐患。

针对网管中心重要的网络应用系统，主要是WEB应用系统的安全监控与行为分析，通过视图进行监控，统计分析数据来源，根据实际业务需求访问，梳理正常业务之间的访问，实现互联网业务系统的域名CDN劫持监测、挂马监测、敏感词监测、网页篡改监测及漏洞检测。

2.10.安全事件处理

护网及重大保障期间及日常安全运维期间，安全值守人员通过全流量分析平台及网管网络安全监测处置平台实时监控资产的安全，针对信息安全预警、安全防护、系统监控等方面的运行状况进行安全检查，监控各安全设备的运行状态，及时收集各安全设备的运行数据，若发现异常第一时间通知相应部门接口人，上报相关人员紧急处置以及根据安全告警日志分析结果，按照应急处理流程，通知相关责任人，跟踪及排查问题原因并进行处理，并提交相应的处理报告。

2.11.VPN及远程工具类脆弱性检查

针对所有在网VPN开展脆弱性检查，护网时期红方可通过社工、爆破等手段从VPN暴露面直接进入内网，作为护网红方的重点突破对象，VPN脆弱性直接关联整体护网防护手段的有效性。在备战期间，提供针对VPN的可爆破性、双因子认证有效性、可绕过性、越权等维度进行脆弱性检查，并配合完成VPN使用情况、账号使用情况、账号权限检查。

远程连接工具一直是各运营商关注重点，如TV、向日葵等，其中TV作为国外厂商开发工具，其安全性存在一定风险。利用全流量分析平台及网络安全监测处置平台针对此类远程连接事件制定相应的安全告警规则，当远程连接流量或日志触发安全规则时，及时产生告警通知安全管理员，及时处置，降低由远程连接给内网带来的风险。

1.3服务周期：自合同签订之日起6个月。

1.4项目服务质量要求：满足新疆移动要求

1.5服务地点：乌鲁木齐

1.6本项目不划分标包

1.7资格审查方式：资格后审。资格审查标准和内容详见比选文件。评审委员会将根据比选文件中载明的资格审查标准对应答人递交的比选应答文件进行审查，有任何一项因素不满符合审查标准的，不能通过资格审查，评审委员会不对资格审查不满足要求的应答人进行评分。

2.1应答人必须为在中华人民共和国境内依法注册，具有独立法人资格或为其他组织,须为增值税一般纳税人。（若为三证合一的企业，提供三证合一的营业执照扫描件及增值税一般纳税人的凭证，如：《增值税一般纳税人资格登记表》）、或是相关部门网站截屏（提供截屏的，需在截屏上填写上能在网上查询的网址））等扫描件；

注：其他组织是指合法成立、有一定的组织机构和财产，但又不具备法人资格的组织。除合伙企业、个体工商户外，其他组织还包括：①依法登记领取营业执照的个人独资企业；②依法登记领取我国营业执照的中外合作经营企业、外资企业；③依法成立的社会团体的分支机构、代表机构；④依法设立并领取营业执

照的法人的分支机构；⑤依法设立并领取营业执照的商业银行、政策性银行和非银行金融机构的分支机构；⑥依法登记领取营业执照的乡镇企业、街道企业；⑦其他符合本条规定的组织。

2.2资质要求：具备国家计算机网络应急技术处理协调中心颁发的《网络安全应急服务支撑单位证书（国家级）》。

2.3业绩要求：应答人需提供2017年1月1日至2019年12月31日的至少3份单项合同在100万及以上的同类业绩（同类指网络与信息安全服务等内容）。注：须提供合同等业绩证明材料，业绩材料包括以下内容，合同或框架合同关键页①合同：包括合同名称、合同金额、服务内容页和合同签字盖章页等复印件；②如提供框架合同还需提供订单或结算发票等能证明单个项目合同金额的凭证材料复印件。③时限：合同以签订日期为准，框架合同以订单或结算发票能证明单个项目合同金额的凭证材料时间为准；

2.4具有良好的资金和财务状况及签订和履行合同的能力和信誉，近三年无违法经营记录；

2.5单位负责人（包括法人代表、控股股东）为同一人或者存在控股（占股大于50%）、管理关系（母公司与子公司或总公司与分公司）的不同单位，不得参加同一标包应答或者未划分标包的同一项目应答；

2.6应答人不得存在下列情形之一：被责令停业或破产状态的；被暂停或取消投标资格的；财产被重组、接管、查封、扣押或冻结的；在最近三年内有严重违约的；在最近三年内有被相关行政监督部门判定并发布骗取中标的；应答产品在中国移动或其他电信运营商现网使用过程中出现过重大质量问题,至今尚未妥善解决的。

2.7该项目不接受联合体应答，不允许对标的物/服务进行分包转包。

2.8未列入中国移动通信集团新疆有限公司供应商负面行为清单（与本项目采购内容相关的产品类别）。

注：以上为必需具备条件，任何一项不满足，则不能通过本项目的资格审查。以上证明文件必须在应答有效期内，且经年检合格。

采购人名称：中国移动通信集团新疆有限公司

采购人地址：新疆乌鲁木齐水磨沟区红光山1966号移动公司

联系人：黄信

电话：139*****000

邮编：830000

招标代理机构名称：北京煜金桥通信建设监理咨询有限责任公司

详细地址：新疆乌鲁木齐北京南路556号京华杰座北门（中国移动通信集团设计院有限公司新疆分公司14楼）1423室

邮编：830000

项目负责人：安静电话：136*****012/135*****658

邮箱：********67@qq.com

标书款汇款账户如下：

账户名称：北京煜金桥通信建设监理咨询有限责任公司

开户行：中国建设银行北京广安门支行

账 号：****************8923

开户行地址：北京市宣武区广安门外南滨河路7号

投标保证金汇款账户如下：

账户名称：北京煜金桥通信建设监理咨询有限责任公司

开户行名称：中国建设银行北京广安门支行

银行账号：****************8923-0002

开户行地址：北京市宣武区广安门外南滨河路7号

9.1 供应商报名通过后请将标书费打至比选公告中提供的账户，并发送打款电子凭证或截图（汇款凭证需备注该项目代理编号及用途）到********67@qq.com邮箱，并在（b2b.10086.cn）完成点击“标书购买”，经招标代理机构项目负责人确认后方可下载采购文件。点击标书购买后需及时与招标代理机构项目负责人联系，如因供应商在标书售卖截止时间前未点击标书购买造成采购文件无法下载，视为报名不成功，后果由供应商自行承担。

9.2应答人需在应答截止时间前将公告附件：报名材料附件4投标保证金退还信息表盖章扫描件（必须为打印件且加盖公章，不允许手填，不允许加盖专用章）发送至报名邮箱********67@qq.com。或将报名材料附件4投标保证金退还信息表盖章原件带至开标现场。如未提供投标保证金退还信息表盖章扫描件或提供原件，后期影响保证金退还到账时间，后果由应答人自行承担。