办公厅信息中心机关网络安全技术服务中标结果
办公厅信息中心机关网络安全技术服务中标结果
基本信息
询价单编号 | **************** | 采购目录 | 其他办公消耗用品及类似物品 | 项目优先级 | 非紧急 |
报价开始时间 | 2017-11-07 15:13:16 | 报价截止时间 | 2017-11-10 15:00:00 | 供应商规模要求 | 中型企业 |
供应商资格要求 | 基本要求:符合《中华人民共和国政府采购法》第二十二条的规定,符合《关于规范政府采购供应商资格设定及资格审查的通知》第六条规定且已在本系统注册的供应商。 | ||||
供应商区域范围要求 | |||||
成交规则及确认方式 | 自动成交:询价单截止时间后,系统对所有参与供应商按照报价由低到高排序,以最低报价原则推荐出成交供应商,报价相同的以报价时间优先。 |
商品名称 | 技术参数或配置要求 | 建议品牌及型号 | 数量 | 控制总价(元) |
---|---|---|---|---|
网络安全技术服务 | 主要参数:1漏洞安全扫描服务按需,1年不少于4次。主机系统漏洞检测:对信息系统系统进行主机漏洞扫描,以发现目标信息系统的全弱点。网站系统漏洞检测:对信息系统中指定网页范围进行信息系统高危脚本漏洞检测验证,包括SQL注入、XSS攻击、恶意执行逻辑错误等典型脚本漏洞信息。数据系统漏洞检测:提供对数据库“弱点、不安全配置、弱口令、补丁”安全检测及准确评估;支持数据库类型包括Oracle、MSsql、DB2、Sybase、Informix、Mysql、PostgreSQL、Access;主机病毒威胁检测:主要包括对主机系统已知病毒代码、未知病毒代码及可疑恶意代码等识别。主机通信威胁检测:主要包括对主机系统通信链接状态、通信进程状态、进程文件状态等识别。网络攻击威胁检测:完成内网流量异常威胁状态识别,完成内网地址欺骗威胁状态识别,完成外网边界攻击威胁状态识别交付物:《漏洞扫描表》、《漏洞扫描分析报告》等。扫描工具要求:1.漏洞库数量不少于4万,2.检查项不少于11万,3.漏洞分类不少于150个,4.扫描引擎数量无限制,5.可以扫描各种操作系统(Windows, Linux, Unix)、数据库(SQL Server, DB2, Oracle, MySQL等)、Web应用、中间件、浏览器、Adobe应用、路由器、交换机、打印机等等,6.自动更新(包括微软周二补丁更新后的24小时之内完成对应更新) 2木马安全扫描服务按需,1年不少于4次。主机病毒威胁检测:完成主机系统已知病毒代码识别、完成主机系统未知病毒代码识别、完成主机系统可疑恶意代码识别主机通信威胁检测:完成主机系统通信链接状态识别、完成主机系统通信进程状态识别、完成主机系统进程文件状态识别网络攻击威胁检测:完成内网流量异常威胁状态识别、完成内网地址欺骗威胁状态识别、完成外网边界攻击威胁状态识别网站挂马威胁检测:完成网站系统挂马威胁范围识别、完成网站系统挂马威胁内容识别、完成网站系统挂马威胁风险识别交付物:《木马病毒扫描表》、《木马病毒扫描分析报告》等。 3渗透测试服务按需,1年不少于4次。应采用的渗透方式:信息收集分析、端口扫描、权限提升、不同网段/Vlan之间的渗透 、溢出测试、SQL注入攻击、页面隐藏字段检测、跨站攻击、WEB应用测试、第三方软件误配置利用、Cookie利用、后门程序利用、VOIP测试等)。在渗透测试中还需要借助暴力破解、网络嗅探等其他方法,目的也是为获取用户名及密码。在渗透测试前投标人应以书面的形式将各种有可能存在的后果充分告之招标方。在渗透测试的后期,投标人需要整理渗透测试的过程文档,制作渗透测试报告。渗透测试报告包含渗透过程中采用的方法、手段、测试项目、发现的问题、以及相关漏洞的加固建议和系统的安全建议。渗透测试报告应包括: 1) 渗透测试概述(原理、目标、范围、人员、方法,局限性); 2) 渗透测试结论(系统优势、系统弱点汇总,造成的影响以及结论); 3) 严重漏洞分析和解决建议(方案); 4) 渗透测试流程(采取的重要步骤、外部输入、系统的响应、破解方法等); 5) 风险控制措施(时间选择、策略选择、系统备份与恢复,协调沟通)。渗透测试工具要求: ★1.开源框架,具有国际大型开源社区支持(必须提供开源社区网址) 2.使用脚本语言Ruby开发 3.智能渗透测试(自动选择所有匹配的模块进行攻击,支持dry-run功能);同时支持手工渗透 ★4.多种渗透测试报告自动生成(必须提供报告样本) ★5. Web界面+命令行界面(必须提供截图) 6.被动网络发现功能 7.漏洞利用模块不少于1300个,总模块数量不少于1900个 4风险评估服务按需,1年不少于4次。投标人应对采购人业务系统开展通过业务调研、网络分析、人工检查等方法进行综合评估并每个业务系统形成安全评估报告。安全风险级别采用科学的风险定级方式,针对相关影响及利用难易程度进行安全分析,保证安全评估结果有效。系统安全评估内容应包含网络架构安全评估、主机系统安全评估、数据安全评估、应用安全评估及整体安全策略评估五大块内容。具体要求包括:网络架构安全评估:包括结构安全与网段划分评估、网络访问控制评估、接入访问控制评估、网络安全审计评估、边界完整性检查评估、网络入侵防范评估、恶意代码防范评估、网络设备自身防护评估。主机系统安全评估:包括身份鉴别、自主访问控制、安全审计、系统保护、剩余信息保护、恶意代码防范、资源控制等方面评估。数据安全评估:包括数据保护评估、数据完整性评估、数据保密性评估、安全备份评估。应用安全评估:包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、软件容错、资源控制、代码安全等方面。整体安全策略评估:依据物理安全、网络安全、主机安全、应用安全、数据安全等五个方面评估结果,同时考虑在信息安全管理体系等其他互补因素,然后进行全面的安全策略有效性评估。并提供安全保密整体评估,评估结果作为后期加固依据。投标人应具备ISCCC信息安全服务资质认证证书(一级风险评估服务)。提交包括且不仅限于以下成果(含电子文档):《网络架构安全评估报告》,《主机系统安全评估报告》,《数据安全评估报告》,《应用安全评估报告》,《整体安全策略评估报告》 5安全加固服务按需,1年不少于4次。中标人需根据安全评估和渗透测试发现的漏洞,提供针对性的安全加固服务,包括但不仅限于:网络加固:协助网站开发方对网站内容进行加固,消除网站代码本身存在的不安全因素;调整防火墙及IPS策略,防止网络受入侵;设置IPS安全策略,达到整体防护要求。服务器加固:针对前期安全评估及渗透测试结果,进行补丁更新,恶意代码检测和清除,漏洞加固,增加用户密码等信息的复杂度(如长度、字符/数字混合)鉴别检查功能,应用级和文件级访问控制等操作。应用及数据库加固:针对前期安全评估及渗透测试结果,进行数据库漏洞修复,数据库安全策略修改,提供应用系统漏洞整改建议,通过安全设备策略调整达到保护应用系统的目的,或者配合软件开发商修补漏洞。网站加固:针对前期安全评估及渗透测试结果,协助网站开发方对网站内容进行加固,消除网站代码本身存在的不安全因素。投标人需具备通信网络安全服务能力评定证书(安全培训)资质提交包括且不仅限于以下成果(含电子文档):《网络加固报告》,《服务器加固报告 》,《应用及数据库加固报告》,《网站加固报告》 6网站7*24小时监测服务按需,1年不少于4次。投标人应对采购人指定网站进行7*24小时不间断监控,能够主动监控网站安全问题,监测网站脆弱性,并提供专业的修补意见,降低安全风险,防范于未然。主要监控功能包括但不见限于:Web漏洞扫描监控、网页木马监测、远程网页篡改监测、网页敏感信息监测、网站应用监测、暗链监控、弱口令检查、WebShell检测(流量监测+特征检测)等。具体要求如下: 1.Web检测:应支持对Oracle、MySQL、SQLserver等数据库的SQL注入攻击漏洞进行扫描评估检查,应支持对XSS跨站脚本攻击漏洞进行扫描评估检查,应支持对Apache、Tomcat、IIS等系统漏洞进行扫描评估检查,应支持对网络爬虫、扫描器的信息泄露、目录遍历等攻击方式进行扫描评估检查,应支持对CSRF、Shell上传文件等漏洞进行扫描评估,应支持对独立域名、范围域名进行自定义漏洞扫描评估, 2. 审计及告警:应支持对系统内部操作进行审计日志记录,应支持对系统日志进行备份,支持手工备份和自动备份两种模式,所有日志记录应支持第三方日志服务器记录,并预留有第三方日志服务器接口,应支持对系统漏洞、Web漏洞进行告警功能,同时支持SNMPv1、SNMPv2、SNMPv3、Syslog协议,并以短信、邮件进行实时告警(提供截图证明),能提供弹窗的报警模式,便于管理员管理,3. 可用性检测:能同时检测网站的HTTP、DNS、PING响应,提供自定义的安全阀值,从而为网站快速诊断提供帮助;能计量服务器掉线等安全事件发生的频率、时间段,同时提供报警操作4. 木马检测:★支持对网页的木马检测,提供静态匹配和动态沙箱技术(提供截图证明)、提供木马现场证据信息5. 敏感信息检测:能对网站存在的敏感信息进行检测,检测种类不少于4种类型的敏感信息、能自定义倒入敏感信息;能自定义设置不同级别的检测敏感度6.篡改监控:能进行配置自动分发功能、能对网站发生的改动行为进行监控、能清晰展现篡改发生的现场信息(提供截图证明)7. 网页防篡改:应采用内核级防篡改保护,能及时阻止并报告攻击事件;应至少同时支持Windows、Linux、IBM Unix三个操作系统的的网页防篡改;应支持支持超过4GB以上网页防篡改保护和恢复功能,以适应客户业务发展需要,应能支持对所有安装防篡改客户端的服务器进行集中管理,能监控所有服务器状态、防篡改信息,监控响应时间:小于0.5秒,篡改恢复时间:小于0.1秒,资源占用在对比网页篡改防护系统未运行时的增长须小于20%,业务响应:在对比网页篡改防护系统未运行时的增长须小于20%,支持IIS、Weblogic、Websphere、Apache、Tomcat等,系统可以从本地或异地备份文件夹自动同步到监测目录中,系统支持增量备份功能。8.弱口令检测:支持ssh/smb/telnet/pop/pop3/imap/ftp/rsh/rexec/wsus多种方式的弱口令扫描。支持用户自定义弱口令字典的导入。9.Webshell检测:★应支持通过以客户端部署的方式主动识别Webshell+被动的流量监测方式双重识别服务器中的Webshell(提供截图证明)、客户端部署完毕后能在监控平台上进行扫描操作及查看扫描结果,并定位Webshell位置。10.实时监控: 11.提交包括且不仅限于以下成果(含电子文档):以电话、短信、邮件等方式,7*24小时安全预警,并提供《网站监测报告/月报》。 7APP安全检测服务投标人应利用专业APP安全检测工具,并结合人工手段,对“浙江政协”APP分安卓手机版、安卓PAD版、苹果手机版、iPad版四个版本分别提供安全检测服务,并根据检测结果生成专业的检测报告,报告中涉及漏洞描述、检测方案、模拟演示、修复方案等。投标人需具备通信网络安全服务能力评定证书(风险评估)二级 APP安全检测工具要求:产品要求为国内开发,具备自主知识产权,系统稳定可靠,无需额外存储设备即可运行1系统架构:产品需采用专用机架式硬件设备,系统硬件为全内置封闭式结构2.性能要求:需支持3个以上任务并发,无限IP限制,平均每个任务需在5分钟以内完成3.著作权:产品需具有计算机软件著作权登记证书4.安全库:系统应至少包含恶意URL库、恶意APP库、APP漏洞库、恶意行为库。其中恶意URL库条数不低于5000条,恶意APP库不低于2000条。5.功能特点:一键上传:一键上传APP安装包,使用便捷、多层检测:覆盖代码、组件、文件和数据存储多个层面,安全加固:具有防篡改、注入、逆向破解等,兼容性强,渠道监测:覆盖国内外APP发布渠道,及时响应,专业报告:检测报告精准问题定位,详细解决方案,多任务管理:多核架构并行处理,可对任务自行调度。6.检测能力:至少能够检测以下漏洞、风险:是否对运行环境进行ROOT权限检测,是否对关键数据进行加密,WebView远程代码执行漏洞,WebView密码明文保存漏洞,WebView file域同源策略绕过漏洞,WebView不校验https证书漏洞,有风险的Webview接口,AES/DES弱加密风险,本地数据存储安全,file配置安全风险,Database配置模式安全风险,数据备份配置安全,HTTPS中间人劫持漏洞,日志泄露风险,异常处理7.加固能力:Android加固:防反编译保护,客户端防篡改保护,客户端防调试保护,客户端完整性保护,iOS加固:可对iOS应用代码进行定制化混淆,至少兼容Android/iOS常用系统版本和设备8.监测能力:监测Androi 次要参数: | 1批 | 50000.00 |
送货方式 | 送货上门 | 送货时间 | 工作日09:00至17:00 | 送货期限 | 合同生效后7个工作日内 |
送货地址 | 浙江省 杭州市 西湖区 北山街道 西湖区仁谐路2号省政协办公厅信息中心 | ||||
备注 |
商务要求 | 1、中标方安排的本项目服务实施人员应具有以下资质能力:项目经理要求 具有本科及以上学历,需具备CISP、国际信息系统审计师(CISA)、通用信息系统和技术控制目标认证(COBIT)、国家等级保护测评师资格,且具备信息产业部计算机信息系统集成资质认证高级项目经理证书。实施人员要求 (1)2名资深网络、安全工程师,需具备3年以上工作经验,要求大专及以上学历,精通网络技术,CISCO、华为等网络设备的配置和维护,熟悉病毒防范,熟悉防火墙、入侵检测等网络安全系统设备的配置和维护,熟悉主流网络操作系统、服务器的运维,具备CISCO CCIE认证,原件备查。 (2)2名高级数据库工程师,需具有3年以上大型数据库管理经验,要求具备OCP证书,原件备查。 (3)3名以上TIIL认证人员,具备3年以上单位IT部门的专业运营工作经验,原件备查。 (4)服务团队还应具备H3C、山石网科、深信服、微软、趋势科技等设备原厂工程师认证证书,原件备查。 (5)渗透测试人员应具有较强漏洞挖掘能力,需提供国家漏洞库或国家信息安全漏洞共享平台提交证明五个及以上; (6)至少1名工程师精通ISO27001标准体系,能针对ISO27001标准条款进行审计,并对审计过程方法与技巧具有深入理解与运用,需具有ISO27001 LA证书。注:上述人员,均必须提供人员资质证书及杭州本地近六个月内社保缴纳证明。(证书原件备查) |
中标供应商 | 北京天融信网络安全技术有限公司 | 成交总价(元) | 49500.00 | 报价时间 | 2017-11-08 13:37:02 |
序号 | 商品名称 | 品牌 | 型号 | 数量 | 单价(元) |
---|---|---|---|---|---|
1 | 网络安全技术服务 | 天融信/topsec | 天融信 | 1 | 49500.00 |
序号 | 供应商名称 | 报价时间 |
---|---|---|
1 | 北京天融信网络安全技术有限公司 | 2017-11-08 13:37:02 |
2 | 浙江美承数码科技集团有限公司 | 2017-11-08 17:39:34 |
3 | 浙江天健远见科技有限公司 | 2017-11-07 16:10:42 |
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无