一、采购项目名称：监测信息应急技术平台网络安全检测与服务

二、采购单位：江西省地震局

三、行政区域：江西省南昌市东湖区

四、本项目招标公告日期：2017年11月27日

五、采购单位联系人：李正

六、采购单位地址：南昌市高新区昌东大道6929号

七、联系电话：****-********

八、中标人名称：江西安服信息产业有限公司

九、中标人地址：南昌市东湖区青山南路25号1502室

十、中标金额：78950元（人民币）

十一、谈判小组人员名单：许云廷、杨雪超、卢福水、姚懿民、李正

十二、中标公示期：1个工作日

十三、招标项目服务要求

（一）服务要求

1、应用安全风险检测

1.1应用清单及服务频率

应用系统清单列表

服务频率：一年四次

1.2应用安全风险检测具体内容

1.3应用系统安全风险检测有关要求

1.3.1本次安全评测工作采用人工检测加安全测评工具相互结合方式，所使用的安全评测工具必须为国内厂商生产制造。

1.3.2扫描工具必须自动生成简体中文版的安全评测报告；

1.3.3扫描工具支持对Web1.4.0系统、flash网站的扫描，支持强大的域名反查库，扫描IP时，可以将该IP下的域名自动加入到扫描列表中。

1.3.4支持扫描速率自动调节功能，可以对于部分防护设备进行绕过型测试。

1.3.5支持对于做了CDN处理的网站进行真实IP的主机扫描。

1.3.6支持对于主机扫描策略的高级配置，可以自定义SMB、SSH、FTP、Oracle，MySQL、SQLServer等类型的登录账号，可以对远程主机进行更深层次的登录型扫描其本地的漏洞（如：注册表漏洞，浏览器漏洞等）。

1.3.7支持弱密码扫描，扫描的类型包括：FTP、TELNET、SMB、SSH、MYSQL、MSSQL、ORACLE、远程协助、VNC，并且提供弱密码字典的自定义。

1.3.8支持对无线网络环境的安全检测，支持展示无线设备节点分布情况，支持无线风险统计及展示。

1.3.9安全评测报告内容必须包括三种工具发现的主要漏洞的手工验证结果，Web风险统计、最多安全性问题文件统计排行、以及风险的处置方法，并出具网站测评报告。

1.3.10服务商在投标时所使用的安全评测工具必须为国内厂商生产制造,其中至少一种获得由中国信息安全测评中心颁发的信息技术产品安全测评证书（级别：EAL3+）；其中至少一种支持定制的便携式一体机硬件架构，适用于有线及无线等各种网络环境，便于本次前去现场检测的便利性。所有检测设备客户如果有需求时必须在一年内免费提供使用。

1.3.11安全评测中所采用的方式为远程和现场相结合的评测方式，主要内容应包括：应用系统相关信息收集与分析、系统配置脆弱性检查、利用漏洞扫描工具对系统进行脆弱性检查、口令强度测试、远程溢出攻击测试、本地权限提升测试、逻辑验证攻击测试、SQL注入攻击测试、XSS跨站脚本攻击测试、Cookies欺骗攻击测试、网络数据传输安全性测试等。为保证评估质量和效率，同时对重要的漏洞必须进行手工验证并协助进行整改。

2、网站安全预警监测服务要求

2.1功能要求：无需安装任何硬件或软件，无需改变目前的网络部署状况。实现实时监测和周期性度量网站的风险隐患，从宏观和微观两个视角对用户的网站进行透彻的风险分析，可直接根据报告采取适当的网站安全整改措施。监控平台要求为国家级重要网站进行过监控保障，提供案例证明。

2.2监控时间：一年；监控对象：江西省地震局门户网站。

出现风险可以及时通过查看监控平台、短信、邮件三种方式通知采购人。

3、安全值守

3.1首先进行网络安全规划梳理，结合合规性要求，对现有网络架构进行合理化进行调整、合理部署已有安全产品、梳理并完善安全策略、调整并加固服务器和网络设备配置，并协助信息系统安全管理人员建立可靠、便捷的网络安全监控机制。网络安全调整完成后，每周提供一名项目组成员工程师，现场值守一天并分析网络安全态势，如安全设备及安全事件监控、安全系统日志分析、安全策略梳理等。

3.2安全运维规范和详细服务内容如下：

3.2.1应用系统安全防护根据有关标准的要求，结合应用系统的业务需求，针对不同的应用系统，提出应用系统所应满足的安全保障要求，建立安全安全保障体系。

3.2.2网络及安全设备安全配置根据网络安全规划设计，形成网络及安全设备的安全技术策略，细化为各个产品应实现的功能目标，形成规则配置，并指导实施单位进行安全实施。

3.2.3操作系统及数据库安全配置应根据网络安全规划设计，形成服务器操作系统及数据库的安全配置策略，形成规范的策略配置。

3.2.4网络及安全设备运行维护建立网络及安全产品的运行维护规范，确保信息系统基础环境的稳定运行，以及设备规则配置的更新，确保其及时更新和可追溯。

3.2.5应用系统运行维护应结合应用系统的业务需求，针对不同的应用系统，建立应用系统运行维护的安全规范，确保应用系统安全稳定运行，为运行维护人员提供指导。提出已上线运行应用系统的日常安全巡查具体措施与方法，协助江西省地震局进行定期安全检查。

3.2.6根据江西省地震局信息系统实际情况完善安全运维管理制度建立，按照合规性要求，结合现有的机构框架，借鉴已有的信息安全保障的管理制度，制定符合实际需要的安全管理制度。

3.3巡检频率：周期一年，每周一人一天。

4、应急响应

4.1根据江西省地震局现有的网络和信息系统状况、协助采购人制定一份完整的安全应急响应预案，并协助应急演练。

4.2在合同期内，如采购人出现信息系统安全问题，在接到采购人电话通知后，安全服务商的工程师必须在2小时内提供上门服务，一年至少4次应急响应。并现场分析和解决问题。

4.3为保证安全应急服务的技术质量，要求投标人对江西省地震局信息系统当前状况进行了解，在投标文件技术方案中必须提供现有的拓扑图结构及相应的设备部署情况。

5、网络安全整改要求

依照《信息安全等级保护安全建设整改工作指导意见》（公信安[2009]1429号），严格遵循《信息安全等级保护安全建设整改工作指南》各项要求，在进行全面网络安全风险检测的基础上，协助对江西省地震局进行整改，开展安全整改咨询和系统加固工作，最终使江西省地震局安全管理和技术两方面达到相应等级的保护要求。

6、安全培训

根据江西省地震局预报中心实际情况组织制定培训方案并组织相关培训，培训对象包括江西省地震局预报中心管理人员及技术人员。培训内容如下：

信息安全基础知识培训；

信息安全意识培训；

信息安全管理体系培训；

信息安全技术策略培训；

安全运维培训；

安全应急响应培训等。

7、安全咨询

配合进行可行性研究方案制定、产品选型等准备工作；为今后全区的网络软硬件平台建设提供安全咨询，提供网络安全建设中涉及到的决策、管理及运行操作问题的专业咨询。

8、安全通告

随着信息安全事件持续不断的高发态势，攻击手段不断更新，为持续保障江西省地震局信息系统的安全，服务商应每月整理并向江西省地震局信息安全管理人员通告本月内危害程度较为严重的攻击事件和安全漏洞，以供安全管理人员及时修补应对。该项服务为期一年，每月一期，并提供纸质文档。

（二）其他要求

1、为了保障应急响应服务，非本地注册企业须在本地有分支机构或驻点办事处，具有独立法人资格，并有能力提供本次政府采购服务

2、为保障安全服务项目的技术质量，要求服务团队至少有四人组成，其中项目经理要求具备IT服务项目经理证，同时为中国信息安全认证中心认证的风险管理专业工程师；项目组成员至少有两人是国家计算机网络与安全管理中心江西分中心认可的漏洞挖掘成员，项目组成员中至少有一人在CNVD(国家信息安全漏洞共享平台)提交原创漏洞并获得《原创漏洞证明》证书。(评标依据：提供证书原件扫描件，加盖公章)。

3、安全服务商须提供项目组成员一览表，且项目成员不可更换。

4、以上技术要求必须完全响应，否则视为无效投标。

5、宣布中标后，用户有权利对安全服务商提供的检测设备和服务人员证书要求进行验证，合格后签订合同。

投标人或者其他利害关系人对招标的项目的评标结果有异议的，应当在中标候选人公示期间向招标人提出，质疑联系电话：****-********。

江西省地震局

2017年12月8日