苏州农业职业技术学院关于安全运维服务竞争性谈判成交公告
苏州农业职业技术学院关于安全运维服务竞争性谈判成交公告
项目名称:苏州农业职业技术学院关于安全运维服务竞争性谈判成交公告
一、项目编号:HXZX2020-BS-T-024
二、项目名称:安全运维服务
三、中标(成交)信息
分包1
中标供应商名称:苏州亿阳值通科技发展有限公司
中标供应商地址:苏州工业园区东平街272号
中标金额: 壹拾玖万陆仟元整人民币196000元
四、主要标的信息
服务类 | ||
名称:安全运维服务 服务范围:采购方所指定地点。 服务要求: | ||
序号 | 服务名称 | 服务内容概述 |
1 | 业务系统漏洞扫描服务和加固服务 | 系统漏洞扫描服务包含:系统层漏洞扫描、网络层安全漏洞扫描、应用层漏洞扫描;加固服务。 |
2 | 上线前安全检查 | 1、针对院方业务系统特征完成各系统安全基线的建设工作。 2、院方每次新的业务系统上线前,需进行相应系统或版本的安全检查工作,新系统或版本经过相关测试达到设计要求后,进入安全检查流程。 |
3 | 渗透测试 | 渗透测试主要依据已经发现的安全漏洞,模拟入侵者的攻击方法对院方系统和网络进行非破坏性质的攻击性测试。渗透测试主要以人工渗透为主,辅助以攻击工具的使用,保证整个渗透测试过程都在可以控制和调整的范围之内。服务应包含网络方面、系统方面和应用方面、加固服务。 |
4 | 应急响应服务 | 1、在第一时间内对院方信息系统面临的紧急安全事件及潜在威胁进行紧急响应。紧急安全事故包括:大规模病毒爆发、网络入侵事件、拒绝服务攻击、主机或网络异常事件等。潜在威胁包括外网爆发的大规模安全事件、尚未影响到院方,但存在极大安全隐患的。 2、协助完成院方信息安全应急预案制定和修订工作,建立全面的信息安全体系。 |
5 | 安全咨询服务 | 根据国家信息安全相关标准规范对院方信息系统的规划、设计、建设、改造、验收、上线、运营以及废弃等阶段中涉及的安全问题提供顾问咨询服务;依据等级保护要求出具相应的等级保护报告,协助院方做好等级保护工作。 |
6 | 安全培训服务 | 针对不同岗位和职责的人员提供不同培训内容,包括信息安全意识教育、网络攻防、应用安全开发和国家等级保护相关标准的培训。内容包含安全培训计划、安全意识培训、安全技能培训、等级保护标准培训;提供信息安全宣传材料。 |
7 | 驻场工程师 | 网络安全服务及运维驻场服务,提供专业驻场信息安全运维人员一名,为期一年。服务期内学院新增的安全设备维护、积极参与学院的信息安全建设中来,服从院方临时指派的各项工作。 |
服务时间:一年。(实际时间按合同签订时间为准)
服务标准:
(1)业务系统漏洞扫描和加固服务
执行内容 | 执行细节 | 执行周期、频率 | 响应方式 |
业务系统脆弱性扫描 | 系统层:包含UNIX系列、Linux系列以及专用操作系统等。通过脆弱性扫描需发现操作系统本身的不安全因素,主要包括身份认证、访问控制、系统漏洞等及操作系统的安全配置问题。 | ≥4次 /年 | 针对扫描服务发现的漏洞,要求能够提供专业有效的解决建议,同时需派驻场人员进行,对漏洞进行修复,对系统安全进行加固,并针对每次扫描发现的问题,形成总结性报告提交给院方。 |
网络层:通过脆弱性扫描需发现网络信息的安全性问题,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性、远程接入、域名系统、路由系统的安全等。 | |||
应用层:通过脆弱性扫描需发现所采用的应用软件和数据的安全性,包括:数据库软件、Web服务、电子邮件系统、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。 | |||
对评估范围内的主机、服务器、信息系统等进行安全扫描,需提供资产与漏洞的对应及分布情况,需提供可操作的安全建议或临时解决办法。 | |||
★可采用的扫描方式不仅限于硬件设备扫描,也可采用SaaS服务“零部署”的方式,收集资产并对资产进行漏洞扫描。 | |||
SaaS漏洞扫描可支持服务试用,可用于日常对各类IT资产操作系统或交换路由设备及系统上运行的数据库、Web网站等服务上存在的安全漏洞进行定期自助扫描。 | |||
扫描内容包含漏洞扫描、配置核查、WEB应用扫描等,对于扫描出的漏洞风险、配置核查风险、WEB应用风险需进行综合分析,给出总体综合评估结论,扫描报告可包含主机漏洞、配置核查等多项结果。 | |||
设备支持风险告警和风险闭环处理,可在集中告警平台灵活配置告警内容、告警方式、告警资产范围等,支持邮件和页面告警,支持单个或批量修改风险状态。 | |||
设备可按IP范围、起止时间、任务名称、任务状态、漏洞模板、配置模板、用户账号筛选所有扫描任务并进行汇总,支持在线查看汇总的风险详情和输出离线汇总报表。 | |||
设备支持Web应用扫描能力,提供多种Web应用漏洞的安全检测,如SQL注入、跨站脚本、网站挂马、网页木马、CGI漏洞等。 | |||
设备配置核查支持本地检查,可以利用ActiveX控件进行本地检查,仅需要IE访问配置核查设备即可进行本机配置核查 | |||
外网远程扫描需针对信息系统层面,通过扫描器发现信息系统常见的SQL注入、跨站等漏洞。 |
(2)上线前安全检查
执行内容 | 执行细节 | 执行周期、频率 | 响应方式 |
安全基线建设 | 基于每个业务系统的基本特征,建设各自的系统层面的安全基线 | 每年2次 | 基于业务系统的安全特性制定相应的安全基线。 |
系统上线前检查 | 需进行相应系统或版本的安全检查工作,新系统或版本经过相关测试达到设计要求后,进入安全检查流程,由院方将需进行安全检查的系统信息提交厂家服务人员。服务厂家安全检查团队需要在第一时间确认,并提供专业的安全检查方案,按照以下检查项目进行全面安全检查: | 不限次数 | 需自备相关安全检查软硬件,最终将安全检查结果输出报告提交院方。 |
(3)渗透测试服务
执行内容 | 执行细节 | 执行周期、频率 | 响应方式 |
网站漏洞渗透测项目 | ★在服务期内对院方门户系统、主数据平台等进行渗透测试。 其中各类系统需要分别从学生、教师、管理员三个角色进行测试。 | ≥1次 /年 | 通过渗透测试,发现业务系统存在的安全漏洞,并为院方提供修复建议,包括配置、认证、会话、授权、数据验证等测试内容,以及安全建议整理及测试报告编写等工作。同时需驻场人员,对漏洞进行修复,对系统安全进行加固。 |
★服务人员提供的渗透测试报告,必须包含漏洞从发现到最终利用的整个过程记录,通过共同对系统进行加固完之后,需要进行二次测试已确认漏洞是否合理修复。 | |||
数据存储区:SQL 注入、二次注入、NoSQL注入、XPath注入、LDAP注入。 | |||
验证机制:设计缺陷、暴力破解登陆、可预测性、注册用户、记住密码、 密码修改、忘记密码缺陷、万能密码登录绕过。 | |||
会话管理:可预测性、泄露令牌、劫持令牌。 | |||
访问控制:水平权限、垂直权限、未授权访问。 | |||
后端组件:注入操作系统命令、操作文件路径、注入 XML 后端 HTTP 请求。 | |||
应用程序逻辑缺陷:无限制操作、 绕过、 验证码问题、 修改任意密码、与机制竞争。 | |||
跨站攻击:反射型 XSS、存储型 XSS、DOM 型 XSS、请求伪造、UI 伪装、数据劫持。 | |||
信息泄露:错误信息、调试信息、公共信息、提示信息、敏感信息。 上传漏洞:任意上传文件、截断上传。 | |||
服务器漏洞渗透测试项目 | ★在服务期内对院方门户系统、主数据平台等进行渗透测试。 其中各类系统需要分别从学生、教师、管理员三个角色进行测试。 | ≥1次 /年 | 通过渗透测试,发现业务系统存在的安全漏洞,并为院方提供修复建议,包括配置、认证、会话、授权、数据验证等测试内容,以及安全建议整理及测试报告编写等工作。同时需驻场人员,对漏洞进行修复,对系统安全进行加固。 |
★服务人员提供的渗透测试报告,必须包含漏洞从发现到最终利用的整个过程记录,通过共同对系统进行加固完之后,需要进行二次测试已确认漏洞是否合理修复。 | |||
Web 服务器配置缺陷:默认证书、默认内容、目录列表、WebDAV 方法、Web服务器作为代理服务器、虚拟主机配置缺陷、保障 Web 服务器配置的安全。 | |||
易受攻击的服务器软件: 应用程序框架缺陷、 内存管理漏洞、 编码与规范化漏洞、查找 Web 服务器漏洞。 |
(4)应急响应服务
执行内容 | 执行细节 |
应急服务 | ★要求在服务期内需提供至少2次应急服务。 |
接到应急响应请求时迅速启动响应预案。 | |
接到远程紧急响应请求发出 30 分钟内安全应急团队和驻场人员对服务请求进行支持。 | |
在远程紧急响应2小时后未能解决问题,则立即执行本地紧急响应流程,在本地紧急响应请求发出后,安全应急团队需要在2小时内到达事故现场,协助驻场人员、院方人员进行问题处理等。 | |
远程紧急响应和本地紧急响应提供 7×24 小时服务。 |
(5)安全咨询服务
执行内容 | 执行细节 | 执行周期、频率 | 响应方式 |
技术方案咨询 | 对院方信息系统的规划、设计、建设等技术方案的可行性、可靠性、安全性等提供专业咨询。 | 不限次数 | 基于不同的咨询需求,提供相应专业的咨询服务 |
安全风险控制咨询 | 对院方信息系统运行中各环节存在的安全风险控制方法、措施是否得当、有效提供专业咨询。 | ||
信息系统安全管理咨询 | 对院方信息系统上线、运营中的安全管理机制提供专业咨询;依据等级保护要求出具相应的等级保护报告,协助院方做好等级保护工作。 |
(6)安全培训服务
执行内容 | 执行细节 | 执行周期、频率 | 响应方式 |
安全服务培训 | 根据学院信息系统和人员的情况,提供不少于3人次的信息安全专业系列培训课程,培训课程和培训计划院方自行选择;提供信息安全宣传材料。 | 每年至少3次(培训时间不少于1.5个小时) | 安排专业的安全培训工程师进行培训 |
★安全意识培训内容主要讲办公电脑、平板、智能设备、移动存储设备等终端设备在使用互联网、内网网络的安全、保密意识和安全常识。 | |||
★安全技术培训内容主要讲解当前最新的安全技术、黑客攻击技术和手段,以及如何做好日常的各项防范工作。 | |||
★安全等级保护培训内容主要讲国家等级保护工作政策、行业标准、监管要求、最佳实践等方面的发展情况。 |
(7)驻场工程师
执行内容 | 执行细节 | 响应方式 |
驻场工程师 | 驻场工程师需具备cisp证书或网络安全相关证书,服务承诺书中须明确驻场人员的详细信息,且承诺未经院方允许不得自行更换驻场人员,7*8小时驻场服务,重要保障时期值班时间则为7*24;服从院方临时指派的各项工作。驻场服务人员应熟悉信息安全设备并具备相关运维经验,熟悉常见的安全漏洞及修复措施,具有三年以上安全运维服务工作经验,能独立解决系统及设备出现的故障,判断处理常见的安全事件和突发事件。安服运维主要设备如下: | |
厂商和设备名 | 数量 | |
天融信 防火墙 | 1台 | |
天融信 入侵防御系统 | 1台 | |
天融信 防病毒网关 | 1台 | |
天融信 web应用防护 | 1台 | |
天融信 备份一体机 | 1台 | |
天融信 数据防泄漏系统 | 1套 | |
爱数 备份一体机 | 1台 | |
H3C虚拟化应用防护软件 | 1套 | |
H3C 云计算软件 | 1套 | |
H3C 虚拟化安全软件 | 1台 | |
H3C 云平台运维服务软件 | 1套 | |
H3C 云平台操作系统软件 | 1套 | |
知道创宇 APT安全监测系统 | 1套 |
安排驻场一名 |
五、评审专家名单:
吴栋唐亮胡元军
六、代理服务收费标准及金额:
由成交单位在领取成交通知书时向采购代理机构一次性付清。收费标准:
预算金额100万以下费率为预算金额的1.5%
说明:成交服务费以采购预算金额为基数依据,按以上规定的标准和差额定率累进法进行计算收取。例:如预算金额为150万元,则成交服务费=100万元以下部分×1.5%+(150万元-100万元以下部分)×1.1%。如按上述方法计算的金额低于人民币4000元整的,则本项目代理服务费按人民币4000元整计收。
本项目代理收费:4000元
七、公告期限
自本公告发布之日起1个工作日。
八、其他补充事宜
各有关当事人对采购结果有异议,可以在公告期限届满之日起七个工作日内,以书面形式向本公司提出质疑,逾期将不再受理。
九、凡对本次公告内容提出询问,请按以下联系方式
1.采购人信息
名称:苏州农业职业技术学院
地址:苏州市西园路279号
联 系 人:别道亮
3.代理机构联系方式
名称:苏州鸿鑫工程咨询有限公司
地址:苏州市相城区嘉元路1018号元联大厦10层
电话:****-********-****、8122
邮政编码:215000
联 系 人:赵雷、吴极
苏州鸿鑫工程咨询有限公司
2020年11月30日
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无