福州市政府采购合同

编制说明

1、签订合同应遵守《中华人民共和国政府采购法》、《中华人民共和国合同法》。

2、签订合同时，采购人与中标人应结合招标文件第五章规定填列相应内容。招标文件第五章已有规定的，双方均不得对规定进行变更或调整；招标文件第五章未作规定的，双方可通过友好协商进行约定。

甲方：福州市不动产登记和交易中心

乙方：福建国科信息科技有限公司

根据招标编号为[350100]XH[CS]*******-1的2020年福州市不动产登记和交易中心信息系统安全保障服务服务类采购项目项目（以下简称：“本项目”）的招标结果，乙方为中标人。现经甲乙双方友好协商，就以下事项达成一致并签订本合同：

1、下列合同文件是构成本合同不可分割的部分：

1.1合同条款；

1.2招标文件、乙方的投标文件；

1.3其他文件或材料：□无。□无。

2、合同标的

解锁编辑

3、合同总金额

3.1合同总金额为人民币大写：壹拾柒万陆仟元整（￥176000.0000）。

4、合同标的交付时间、地点和条件

4.1交付时间：合同签订后 (30) 天内交货；

4.2交付地点：采购人指定地点；

4.3交付条件： 验收合格 。

5、合同标的应符合招标文件、乙方投标文件的规定或约定，具体如下：

本次服务对象为福州市不动产登记和交易中心指定的网络设备、安全设备、主机、操作系统、业务系统、数据库等。针对安全运维服务范围内具体工作内容包括以下几个方面： 5.1 互联网暴露资产自查服务 定期梳理互联网暴露资产的安全风险，梳理暴露在互联网上的资产信息，输出互联网暴露端口列表和漏洞情况，提供安全整改建议报告，督促完成安全整改，避免被上级及外部监管单位通报。 在服务过程中采用的服务工具平台包含资产管理功能，提供资产清单导入导出（资产清单内容包括内网IP/开放端口_内网/公网IP 开放端口_公网/端口服务/业务类型/服务器类型/域名/操作系统/归属部门项目经理/邮箱/电话/备注等信息）、资产清单在线编辑、资产自动发现（包括IP地址、开放端口、应用协议等信息，资产发现的结果可导出为excel格式）、资产变更自动对比及记录等功能。 成果：输出《资产信息报告》 频度：每年一次 5.2 定期安全巡检服务 定期对本次服务对象进行巡检。发现是否存在安全隐患和可疑事件，运行是否正常。巡检内容包括设备的运行状态、策略、配置、日志分析等。提供安全巡检报告及日志分析报表。 在服务过程中使用的服务工具支持安全日志分析功能，可自动对安全设备日志进行采集，对安全设备的厂商无限制，可对攻击源、攻击目标、攻击事件类型进行统计和TOP10分析，可通过IP关联的地址信息将攻击来源和强度在地图上直观的显示。 成果：安全设备巡检记录及升级记录、日志分析报告 频度：外网每月一次，内网每季度一次 5.3 渗透测试服务 提供的渗透测试是由具备高技能和高素质的安全服务人员发起，并模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵。目的在于充分挖掘和暴露系统的弱点，从而让单位管理人员了解系统所面临的威胁。渗透测试往往作为风险评估的一个重要环节，为风险评估提供重要的原始参考数据。 提供的渗透测试主要将WEB应用安全性测试分为信息收集、漏洞扫描与验证、手工漏洞挖掘、报告输出四个阶段来开展。其中，信息收集阶段的主要工作是尽可能了解测试目标，掌握测试目标的信息（如功能模块、访问方式、应用场景等），获取必要的测试条件（如测试账号）。漏洞扫描与验证阶段，使用自动化测试工具对通用的安全漏洞进行扫描和发现，并通过手工验证的方式验证漏洞的存在性和危害性。手工漏洞挖掘阶段，在自动化测试的基础上，进一步从攻击者的思维对系统进行威胁分析，并模拟黑客攻击的思路和手段，对梳理出的安全威胁进行非破坏性的验证尝试，从而发现系统的漏洞。在完成上述工作后，将发现的漏洞以明确且易于阅读的方式整理成报告，并提供相应的解决方案，提交给应用管理人员进行整改，同时建立漏洞跟踪机制，确保所有发现的漏洞已处置完毕，形成闭环。 成果：输出《渗透测试报告》 频度：每年一次 5.4 网站安全监测服务 提供7*24小时网站实时安全监测服务。通过对网站的不间断监测服务从而提升网站的安全防护能力和网站服务质量，并通过安全监测平台的事件跟踪功能建立起一种长效的安全保障机制。网站安全监测维度分别为安全风险检测(漏洞检测)，安全事件监测(网站篡改、暗链、网页木马、敏感关键字)、网站可用性监测等，形成7*24小时的实时监测机制。 安全漏洞检测服务 通过大数据漏洞扫描技术，定期对目标网站进行全面的安全漏洞扫描，发现系统存在的各类安全隐患，并持续跟踪漏洞修复情况。 安全事件监测服务 对网站进行页面资源与指纹信息的分析，通过监测技术对各类安全事件进行全面分析感知，包括篡改、暗链、黑页、挂马、后门等，并向相关部门和人员进行定向安全通报。支持对网站被植入暗链等篡改事件进行监测，包括对广告、游戏、博彩、色情、医疗、推广等类型的暗链进行监测。 内容监测服务 云监测引擎结合语义分析和聚类分析，构建机器学习算法，可精准识别敏感词汇。结合积累多年的海量大数据样本库，能够高效识别变种敏感词汇。根据定制模型，建立多维度用户画像，高效识别色情、涉政、暴恐、垃圾广告等敏感词汇。 网站可用性监测服务 对于实时性要求比较高的重点网站，采用分布式节点进行数据监测，以多链路多点监测形式，发现在不同区域内网站系统的多线路访问可用性情况。网站服务质量实时监测提供目标站点的域名解析可用性、网站服务可用性、以及网站内容可用性监测，能够较为全面的实时了解网站可用性状况。 重大威胁预警服务 通过对国内外互联网上最新网络安全威胁情报的实时监控，第一时间获取最新安全威胁，形成专有的基础指纹信息库。当互联网上有重大安全事件或者0day漏洞爆发时，根据指纹匹配对用户进行快速的初步预警，然后根据精确的检测策略，对用户进行精确的预警并且提供0day预警报告。 成果：《网站安全监测报告》 频度：每周一次，提供一个站点的安全监测服务 5.5 安全配置核查服务 通过自动化的进行安全配置检查，从而节省传统的手动单点安全配置检查的时间，并避免传统人工检查方式所带来的失误风险，同时能够出具详细的检测报告，使用户全面了解当前系统的配置情况，大大提高检查结果的准确性和合规性，节省时间成本，让检查工作变得简单。 提供的核查服务主要使用评估工具，通过远程的方式对被评估对象进行一系列的安全探测，以发现网络中和系统中可能存在的不安全配置项与安全隐患，包括操作系统、网络设备、数据库、中间件等设备及系统的安全配置加固建议。 成果：《安全配置核查报告》频次：每年一次，专业工程师提供现场扫描 5.6 应急演练服务 提供在日常工作中拟定的安全预案模拟各类安全攻击和演练场景进行演练操作，包括信息安全、网络安全、业务安全等，并组织相应的人员进行排练。 成果：《安全应急演练预案》频度：每年一次 5.7 应急响应服务 建立安全应急小组，在出现安全事件时提供技术支撑。信息网络中发生黑客入侵、网页篡改、病毒传播以及其它网络安全事件时，提供远程支持及现场支撑，能够立即远程一键中断涉及安全事件的信息系统对互联网服务，并提供内网一键断网途径，现场支撑在2小时内到达现场，实施最有效的紧急救援，进行事件还原和入侵追踪，并提出恢复补救方案。 成果：《应急响应服务报告》 频度：应急时提供 5.8 安全漏洞扫描服务 提供的安全漏洞扫描将信息资产与风险漏洞相结合，尽可能准确发现网络应用系统和主机的安全漏洞，在发现基础上对每个漏洞提出详细的修复建议作为后续的安全加固的依据。 在服务过程中使用的服务工具提供自动化漏洞扫描功能、配置基线检查和弱口令自动发现功能，并能够对发现的漏洞、配置问题、弱口令问题进行跟踪记录，提供功能运行证明资料。 成果：《安全漏洞扫描报告》频次：每年两次 5.9 重大时期安全保障服务 重要时期主要指国家、政府或企事业单位及商业社会团体需要经历的，具有重大政治、经济影响的一段时间或配合上级安全检查工作时间。在此期间，提供网络安全保障，提供特殊保障和技术支撑服务、配合进行网络安全检查工作等。保证单位重要信息系统的安全稳定运行，以保障业务单位或部门更好的完成既定的战略或战术目标。 在重大时期安全保障服务期间，服务工程师使用检查工具对业务系统进行安全自查，安全自查包含对服务器主机、数据库、WEB应用、中间件和用户弱口令等安全对象进行自查。 提供的安全自查工具支持数据库安全检查，支持自动搜索功能，可以自动搜索出某一网段或指 定IP范围内（端口号可默认或指 定范围）的活动数据库，获得数据库的基本信息（包括IP、数据库类型、服务名、端口号、数据库版本、操作系统类型、主机名等）。 成果：《安全保障服务报告》频度：每年一次 5.10安全培训服务 1) 安全意识培训 培训目的：使受训人员了解网络安全的概念、最新政策法规、热点事件及工作过程中需要注意的安全问题，形成安全意识，提升单位整体安全水平，满足等级保护标准中对于安全意识培训的要求。 培训主要内容包含：网络安全的基本概念、网络安全典型事件分析、国际网络安全形势、国内网络安全发展历史及趋势、口令安全、软件使用安全、认识与防范恶意程序、移动办公与网络访问安全、重要信息保密与数据备份、钓鱼、电信诈骗的防范、社会工程学攻击形式与防范、APT攻击案例、个人隐私信息保护 频度：每年开展一次安全意识培训，每次时长为半天。 2) 安全技术培训 培训目的：使受训人员了解网络安全相关的技术，掌握安全开发、安全维护过程中需要的专业技能，提升单位整体安全水平，满足等级保护标准中对于安全技能培训的要求。 培训主要内容包含：网络安全技术、安全漏洞的检测与修复、操作系统的安全加固、数据库的安全加固、中间件的安全加固、安全性需求分析、安全编码、WEB应用安全性测试、应急响应 频度：每年开展一次安全技能培训，每次时长为一天。

6、验收

6.1验收应按照招标文件、乙方投标文件的规定或约定进行，具体如下：

由甲方单位自行组织验收。。

6.2本项目是否邀请其他投标人参与验收：

不邀请。

7、合同款项的支付应按照招标文件的规定进行，具体如下：

解锁编辑

8、履约保证金

无。

9、合同有效期

自合同签订之日起生效，运维期满且完成付款之日截止。

10、违约责任

10.1本项目不允许乙方以任何名义和理由进行转包，如有发现，甲方有权单方终止合同，视为乙方违约；乙方违约对甲方造成的损失的，需另行支付相应的赔偿。 10.2任何一方违反本合同的约定，使得本合同的全部或部分不能履行，违约一方应按本合同约定承担违约责任，本合同没有约定的，按照法律法规承担违约责任，并赔偿对方因此遭受的损失（包括但不限于由此产生的诉讼费和律师费等相关费用）；如双方违约，根据实际情况各自承担相应的责任。 10.3甲方无故未能按时付款，每逾期一日，应向乙方支付合同总价1‰的违约金；，并要求甲方支付剩余合同款，违约金的最高限额为合同总价的20%；如对乙方造成损失的，甲方需另行支付相应的赔偿。 10.4乙方不能完成所承诺的服务而造成甲方经济损失的，甲方有权单方终止合同，并追回所有己付款项，同时乙方应向甲方赔付总合同款的20%作为违约金。 10.5由于甲方原因需调整项目内容、进度的，甲、乙双方需另行协商签订书面补充协议。

11、知识产权

11.1乙方提供的采购标的应符合国家知识产权法律、法规的规定且非假冒伪劣品；乙方还应保证甲方不受到第三方关于侵犯知识产权及专利权、商标权或工业设计权等知识产权方面的指控，任何第三方如果提出此方面指控均与甲方无关，乙方应与第三方交涉，并承担可能发生的一切法律责任、费用和后果；若甲方因此而遭致损失，则乙方应赔偿该损失。

11.2若乙方提供的采购标的不符合国家知识产权法律、法规的规定或被有关主管机关认定为假冒伪劣品，则乙方中标资格将被取消；甲方还将按照有关法律、法规和规章的规定进行处理，具体如下：无。。

12、解决争议的方法

12.1甲、乙双方协商解决。

12.2若协商解决不成，则通过下列途径之一解决：

13、不可抗力

13.1因不可抗力造成违约的，遭受不可抗力一方应及时向对方通报不能履行或不能完全履行的理由，并在随后取得有关主管机关证明后的15日内向另一方提供不可抗力发生及持续期间的充分证据。基于以上行为，允许遭受不可抗力一方延期履行、部分履行或不履行合同，并根据情况可部分或全部免于承担违约责任。

13.2本合同中的不可抗力指不能预见、不能避免、不能克服的客观情况，包括但不限于：自然灾害如地震、台风、洪水、火灾及政府行为、法律规定或其适用的变化或其他任何无法预见、避免或控制的事件。

14、合同条款

按照招标文件的要求和我方提交的响应文件（包括首次响应文件、补充澄清等响应文件）中的承诺，投入项目所需相关资源，并在合同约定的期限内组织有经验的人员做好项目的实施和服务工作。

15、其他约定

15.1合同文件与本合同具有同等法律效力。

15.2本合同未尽事宜，双方可另行补充。

15.3本合同自签订之日起生效。

15.4本合同纸质文件一式 肆 份。合同电子文本通过政府采购网上公开信息系统自动备案。合同纸质文本需与备案电子文本一致，以备案电子文本为准，具有同等效力。

15.5其他：□无。□ 无。

签订地点： 福州市
签订日期：2020年12月30日