福建省政府采购合同

编制说明

1、签订合同应遵守《中华人民共和国政府采购法》、《中华人民共和国合同法》。

2、签订合同时，采购人与中标人应结合招标文件第五章规定填列相应内容。招标文件第五章已有规定的，双方均不得对规定进行变更或调整；招标文件第五章未作规定的，双方可通过友好协商进行约定。

甲方：福建省统计局

乙方：福建中信网安信息科技有限公司

根据招标编号为[3500]XCG[CS]*******-1的福建省统计局2019信息系统安全服务项目项目（以下简称：“本项目”）的招标结果，乙方为中标人。现经甲乙双方友好协商，就以下事项达成一致并签订本合同：

1、下列合同文件是构成本合同不可分割的部分：

1.1合同条款；

1.2招标文件、乙方的投标文件；

1.3其他文件或材料：□无。□无。

2、合同标的

解锁编辑

3、合同总金额

3.1合同总金额为人民币大写：叁拾肆万陆仟伍佰元整（￥346500.0000）。

4、合同标的交付时间、地点和条件

4.1交付时间：合同签订后 (15 ) 天内交货；

4.2交付地点：福建省福州市鼓楼区华林路196号；

4.3交付条件：合格通过验收。

5、合同标的应符合招标文件、乙方投标文件的规定或约定，具体如下：

对福建省统计局应用系统及其支撑 、数据库系统及若干网络设备提供一年的安全运维服务，详细服务内容见招标文件“第三章 招标内容及要求”。

6、验收

6.1验收应按照招标文件、乙方投标文件的规定或约定进行，具体如下：

合同通过验收，按招标文件要求。

6.2本项目是否邀请其他投标人参与验收：

不邀请。

7、合同款项的支付应按照招标文件的规定进行，具体如下：

解锁编辑

8、履约保证金

无。

9、合同有效期

自合同签订之日起一年。本合同期限届满前一个月，如甲乙双方均未提出异议，则本协议有效期自动顺延一年，顺延的次数不限。

10、违约责任

10.1乙方未能按合同要求提供服务的，每逾期一日，乙方应向甲方支付合同总额0.05%的违约金，但违约金的支付总额不超过未交货部分合同金额的20%。10.2乙方无故中途违约解除合同的，应向甲方支付合同总额20%的违约金，并返还甲方已支付的合同款，尚不足弥补甲方损失的，应赔偿相应损失。10.3乙方超过30日未能提供服务的，甲方有权中止合同，给甲方造成损失的，乙方应赔偿该损失。10.4甲方未能按合同要求付款的，每逾期一日，甲方应向乙方支付逾期金额的0.05%的违约金,但违约金的支付总额不超过逾期金额的20%。10.5甲方无故中途违约解除合同的，应向乙方支付合同总额20%的违约金。

11、知识产权

11.1乙方提供的采购标的应符合国家知识产权法律、法规的规定且非假冒伪劣品；乙方还应保证甲方不受到第三方关于侵犯知识产权及专利权、商标权或工业设计权等知识产权方面的指控，任何第三方如果提出此方面指控均与甲方无关，乙方应与第三方交涉，并承担可能发生的一切法律责任、费用和后果；若甲方因此而遭致损失，则乙方应赔偿该损失。

11.2若乙方提供的采购标的不符合国家知识产权法律、法规的规定或被有关主管机关认定为假冒伪劣品，则乙方中标资格将被取消；甲方还将按照有关法律、法规和规章的规定进行处理，具体如下：甲方因此而遭致损失的，乙方应赔偿该损失（损失包括但不限于甲方因此遭受的直接损失、间接损失，甲方支出的诉讼费、仲裁费、律师费、赔偿款等费用）。

12、解决争议的方法

12.1甲、乙双方协商解决。

12.2若协商解决不成，则通过下列途径之一解决：

提交仲裁委员会仲裁，具体如下：。
向人民法院提起诉讼，具体如下：向甲方所在地人民法院提起诉讼。

13、不可抗力

13.1因不可抗力造成违约的，遭受不可抗力一方应及时向对方通报不能履行或不能完全履行的理由，并在随后取得有关主管机关证明后的15日内向另一方提供不可抗力发生及持续期间的充分证据。基于以上行为，允许遭受不可抗力一方延期履行、部分履行或不履行合同，并根据情况可部分或全部免于承担违约责任。

13.2本合同中的不可抗力指不能预见、不能避免、不能克服的客观情况，包括但不限于：自然灾害如地震、台风、洪水、火灾及政府行为、法律规定或其适用的变化或其他任何无法预见、避免或控制的事件。

14、合同条款

详见附件一附件：安全服务内容（一）安全运维服务1. 安全运维服务期限自合同签订之日起一年。本合同期限届满前一个月，如甲乙双方均未提出异议，则本协议有效期自动顺延一年，顺延的次数不限。2. 安全运维服务范围福建省统计局应用系统及其支撑服务器、数据库系统及若干网络设备。序号系统名 称涉及设备1普查数据处理系统福建省节点部署在虚拟化环境，涉及物理设备25台PC服务器，四套存储。2福建省联网直报系统省 级节点部署在虚拟化环境，涉及物理设备25台PC服务器，四套存储。3福建省统计局门户网站部署在政务云网站群4福建省统计局内部信息网网站部署在虚拟化环境，涉及物理设备25台PC服务器，四套存储。5国家统计信息系统骨干网福建省节点系统4台路由器6福建省统计信息网络涉及省局及长乐政务云专用机房的网络设备及安全设备（详见下表）。序号设备名称数量备注1 路由器4台2 交换机13台3 核心交换机2台4 防火墙5台5 应用防火墙1台6 网管系统1台7 日志审计3台8 数据库审计1台9 漏扫系统2台10 IDS1台11 应用性能监测1台12 防毒墙1台13 认证网关3台14 抗DDOS1台15 堡垒主机2台16 负载均衡4台17 VPN设备2台18 APT预警1台19 系统漏洞扫描2台20 虚拟化环境1套21 云防火墙1台 3. 安全运维服务概述序号服务大类服务细项服务频率1 安全运维服务资产分析服务一年1次2 安全检测服务一年2次3 渗透测试服务一年2次4 安全加固服务一年2次5 安全远程监控服务一年6 远程安全巡检服务一年2次7 现场安全巡检服务一年12次8 安全咨询与应急响应服务一年9 上线测试服务一年3次10 敏感时期安全保障服务重大会议期间11 安全检查专题服务安全检查期间12 安全培训服务一年1次13 应急演练服务一年1次14 服务器入侵清查服务一年2次15 安全通告服务一年16 安全策略有效性评估及优化服务一年1次17 网络安全体系规划服务一年1次4. 安全运维服务内容4.1. 资产分析服务定期对服务范围内的目标系统进行资产分析服务，并提交资产分析报告。（1） 信息安全资产评估服务在现有信息资产资料基础上，进一步梳理web服务器、数据库服务器、应用系统等详细资产状况，包括软件版本、型号、主要应用软件等关键信息。网络方面收集网络线路状况，网络开放的服务状况，网络VLAN划分情况，应用数据的备份情况。（2） 网络拓扑绘制服务针对现有的网络设备、安全设备、服务器等状况，梳理网络结构的真实情况，并分析整体的网络拓扑结构存在的安全隐患，并绘制与本单位网络实际情况相符的网络拓扑图。4.2. 安全检测服务为目标系统提供全方位的安全漏洞及安全隐患检查，从攻击者视角审查目标系统的脆弱性状况，包括网络漏洞、应用漏洞、系统漏洞和数据库漏洞。投标人需协助采购人对漏洞进行整改，由于软件原因或系统原因等无法整改时，提出规避建议并配合采购人实施整改。(1) Web漏洞自动化扫描：通过使用自动化安全漏洞挖掘工具和在线检测平台，以基于互联网远程检测的方式，来测试和识别网站当前的安全漏洞和存在的安全脆弱性，从而帮忙客户全面了解和掌控其网站的安全状况。(2) Web应用漏洞验证及加固建议：对已经发现的安全问题进行人工验证，以判断网站当前的漏洞是否真实有利用，剔除误报干扰。并提供专业的安全加固措施指导建议，帮助客户解决当前网站存在的安全问题。(3) 系统层漏洞检测：结合工具检测和人工安全审查方式来识别网站服务器系统中的漏洞和安全性问题。工具检测主要针对系统的补丁、服务的开放性及安全研究机构发现的系统问题等；发现系统本身的各种问题。人工安全审查主要针对系统管理方面和安全加强方面的问题，用于识别由于系统管理员本身的管理不善而带来的安全性问题。(4) 数据库安全性评估：结合工具检测和人工安全审查方式来挖掘数据库系统的漏洞和安全性问题，主要评估系统安全漏洞、安全配置不正确带来的安全威胁以及由于系统账号、权限等配置不严谨而产生的安全风险。帮助用户及早发现数据库系统存在的风险，避免造成敏感信息泄漏的后果。4.3. 渗透测试服务提供Web安全专家模拟黑客对网站进行渗透测试。(1) 以人工模拟黑客攻击测试覆盖以下方面：配置管理、身份认证、会话管理、授权、上传、信息泄漏、数据存储等；此外，还覆盖OWASP十大漏洞和网络层安全隐患。4.4. 安全加固服务根据安全检测服务结果，按照GB/T22239—2019《信息安全技术 网络安全等级保护基本要求》，提供现场网站源代码加固辅导、服务器系统加固、数据库加固服务，全面的安全加固，提升系统整体安全性。(1) web源代码安全加固建议：对网站提供通过对源代码层级的加固建议，可有效防范危险字符提交、权限绕过、允许上传、远程包含等漏洞，并可以有效修复如SQL注入漏洞、XSS跨站漏洞、恶意代码上传漏洞、Cookie注入漏洞及网页Webshell等类型漏洞。(2) windows系统加固：解决在检测中发现的windows系统的安全问题，包括系统的进程、服务的开放性及安全研究机构发现的系统问题等，提高windows系统的整体安全性能。同时也包括防病毒的加强、系统安全策略的加强等。(3) 数据库安全性加固建议：纠正数据库系统使用中构成安全威胁的错误策略、加强数据库系统账号、权限等带有安全风险的配置，从整体上提升数据库系统的安全性。4.5. 安全远程监控服务提供1年365天7×24小时的远程安全监控服务，监控服务不需要改变用户环境和配置。监控基本内容包括网站可用性、响应时间，增强内容包括网页挂马监控等。(1) 网站页面可用性监控：每隔5分钟对网站进行轮询探测，网站访问不到则预警；(2) 域名劫持监控：每隔5分钟监测DNS的劫持行为；(3) 暗链检测监控：每周1次监测网站被植入暗链的行为；(4) 远程网页挂马监测服务：每周1次对网站进行挂马探测；4.6. 远程安全巡检服务远程安全巡检服务包括远程漏洞扫描和人工测试，验证网络从互联网视角来看，是否开放了多余的应用服务和端口，是否存在可攻击的漏洞，以及漏洞的位置和原因分析。巡检完成后出具安全巡检报告，内容需包含整改建议。(1) 外网漏洞扫描：从远程对目标网络进行漏洞扫描；(2) 应用漏洞评估：从远程对目标应用系统进行漏洞扫描。4.7. 现场安全巡检服务现场安全巡检服务，全面检查服务器及网络的运行状况和安全状况，从结构安全、安全配置、日志审查、安全策略等方面进行巡检。巡检完成后出具安全巡检报告，内容需包含整改建议。(1) 服务器入侵核查：在本地登录到服务器，对服务器配置进行防入侵核查；(2) 攻击行为审计分析：对系统及网站日志进行分析，发现攻击行为，并进行预警。4.8. 安全咨询与应急响应服务全年为安全事件、安全咨询、紧急状况提供技术响应支持，提供临时处置办法，分析事故原因，提供解决措施。(1) 全年远程安全咨询：故障时能立即以电话咨询或远程维护方式建立联系，立即给予技术协助，远程咨询提供5×8小时服务支持；(2) 全年网站应急响应服务：在遇到黑客入侵等紧急情况时，启动紧急响应服务程序，指派专人进行紧急响应，使安全事故的影响和损失降低到最小程度，并追查原因，提供解决方案并协助解决问题。4.9. 上线测试服务针对福建省统计局新上线应用系统统进行漏洞检测与渗透测试服务，并提交上线测试报告。4.10. 敏感时期安全保障服务在重大事件或活动期间，网站有被攻击的风险，应派技术人员24小时提供远程保障服务，保证网站和信息系统在遭受入侵等恶性事件时，在第一时间发现并阻断、反击入侵行为，保障网站和信息系统的可用性，避免入侵行为对采购人系统造成的损失，并在事后提供安全分析报告。4.11. 安全检查专题服务(1) 安全检查协助在上级监管部门安全检查期间，按要求进行专门的全面安全检查协助服务和保障协助。(2) 管理制度辅助建设在上级监管部门安全检查期间，协助福建省统计局建立与完善信息安全管理制度。4.12. 安全培训服务为了提升省统计局信息安全管理水平，至少开展一次安全培训服务，培训时长为2小时。(1) 安全技术培训：面向信息技术人员讲授信息安全新形势、新技术。4.13. 应急演练服务(1) 网络与信息安全应急预案定制5个预案场景的《安全应急预案》。(2) 网络与信息安全应急演练针对1个预案场景进行应急演练，并提交《安全应急演练报告》。 4.14. 服务器入侵清查服务服务器是应用系统的依托，如果应用系统存在漏洞，黑客最终能够进一步获取服务器操作系统以及数据库系统的操作权限，因此，进一步对服务器的入侵痕迹进行深入检查，是应用系统安全运维不可忽视的一部分。服务器入侵清查服务完提交《服务器入侵清查报告》，服务器入侵清查服务包含：(1) 网页木马查杀：针对服务范围内的网站业务应用的源代码进行Webshell网页木马查杀，深入检查内容包括网站业务系统中上传的图片、文本、脚本以及其他可疑的网站后门程序。(2) 系统后门检查：当网站应用系统被黑客入侵潜伏后，应用系统通常存在隐藏比较深的特殊系统后门（Rootkit）恶意软件程序，通过系统后门检测主要重点是发现已绕过杀毒软件的系统后门。(3) 入侵痕迹检查：针对服务器系统主机的账号、启动项、运行进程、网络连接等进行检查分析，并从中发现系统中是否有违反安全策略的行为和被攻击的迹象。(4) 日志分析服务：根据对系统层日志、安全日志、应用层日志以及其他特征进行分析，从而发现网站应用系统的入侵痕迹，避免黑客使用隐藏账户等躲避检查的安全隐患。4.15. 安全通告服务提供最新的安全动态、技术和安全信息，包括实时安全漏洞通知、定期安全通告汇总和安全知识库更新等。通告内容包括但不限于以下内容：（1) 国内外最新重大漏洞、病毒安全通告；（2) 国家安全政策及法律法规；（3) 同行业安全威胁事件通告；（4) 国内外重大安全事件，新技术发展动态通告；（5) 重大安全漏洞爆发时需结合 资产情况，提出相应修复建议。提交成果：不定期提交《安全通告》。4.16. 安全策略有效性评估及优化服务根据业务环境变化情况，定期评估现有的网络安全设备防护策略的有效性，对已采取的安网络全措施的有效性进行确认，对有效的网络安全措施继续进行保持，以避免不必要的工作和费用，防止网络安全措施的重复实施。对于已存在的不适当的安全措施进行重新优化配置，并定期分析网络安全设备的告警情况，从而及时发现网络安全隐患。(1) 网络边界访问控制有效性首先，针对网络边界安全设备的访问控制策略进行统一重新梳理，主要针对现有网络边界的端口开放情况、服务的开放情况。其次，从互联网访问角度测试远程运维的安全隐患。重点检查进行远程维护时的相应安全防护措施有效性，对远程运维的安全隐患进行分析，并提供相关的安全改进建议。(2) 网络设备安全加固服务针对网络设备进行安全评估，对评估过程中发现的问题提供相应的安全加固建议。(3) 安全产品措施有效性开展安全产品的安全措施有效性验证工作，验证核心网络设备、安全设备的安全配置是否符合数据中心安全策略要求，验证安全设备的策略是否为最小权限、最小服务，验证设备的安全审计日志是否正常工作以及是否能够正确记录安全事件的来源和事件。(4) 日志留存有效性开展日志审计措施检查工作：重点检查与安全相关的日志是否有效留存，且日志留存的期限是否满足相关的法规要求，同时验证安全设备的日志留存记录是否能够追溯定位到相应的网络攻击行为。(5) 冗余备份有效性开展对网络中的数据备份冗余措施的评估工作，验证客户的数据冗余备份措施（热备、冷备）是否能够切实有效可行。(6) 应急备份有效性对客户现有的数据备份急措施进行评估，验证应急备份措施的是否有效可行。4.17. 网络安全体系规划服务按照GB/T22239—2019《信息安全技术 网络安全等级保护基本要求》等级保护三级的安全通用要求及云计算相关要求，结合现有客户的网络安全防护情况，通过资产分析服务的报告结果进行相关的网络安全体系规划，并提供相关的安全整改加固建议。(1) 安全通信网络规划为用户设 计安全通信网络规划，包括网络架构安全规划设 计、通信传输安全规划设 计，并提供通信网络安全整改加固建议。(2) 安全区域边界规划为用户设 计安全区域边界规划，包括边界防护规划设 计、访问控制规划设 计、入侵防范规划设 计、恶意代码和垃圾邮件防范规划设 计、安全审计规划设 计，提供区域边界安全整改加固建议。(3) 安全计算环境规划为用户设 计安全计算环境规划，包括身份鉴别规划设 计、访问控制规划设 计、安全审计规划设 计、入侵防范规划设 计、恶意代码防范规划设 计、数据完整性规划设 计、数据保密性规划设 计、数据备份恢复规划设 计、剩余信息保护规划设 计、个人信息保护规划设 计，提供计算环境安全整改加固建议。(4) 安全管理中心规划为用户设 计安全管理中心规划，包括系统管理规划设 计、审计管理规划设 计、安全管理规划设 计、集中管控规划设 计，提供管理中心安全整改加固建议。(5) 安全管理制度规划为用户设 计安全管理制度规划，包括安全策略规划设 计、管理制度规划设 计、制定和发布规划设 计、评审和修订规划设 计，提供管理中心安全整改加固建议。（二）等保安全类服务1. 等保安全类服务期限自合同签订之日至备案系统通过测评，或一年，以先到为止。2. 等保安全类服务范围需进行测评的等保三级系统数量为3个，需进行测评的等保二级系统数量为2个。注：为了保障客户的信息安全，具体的系统名 称待中 标后进行提供。3. 等保安全类服务概述序号服务大类服务细项服务频率1 等保安全咨询服务资产分析服务一年1次2 风险分析服务一年1次3 需求分析与设 计服务一年1次4 安全加固辅导服务一年1次5 管理制度辅助建设一年1次6 等保测评现场辅助一年1次7 等保备案咨询服务一年1次8 等保测评服务安全等级测评服务一年1次4. 等保安全类服务内容4.1. 等保安全咨询服务对服务范围内的目标系统进行等保安全咨询服务，并提交等保相关文档。(1) 资产分析服务根据服务范围的应用组成，派遣专业工程师整理系统网络结构拓扑以及相关联的资产，编制信息系统资产清单及资产报告；(2) 风险分析服务通过现场评估、脆弱性评估以及渗透测试等技术手段分析信息系统安全风险以及基线差距。(3) 需求分析与设 计服务对服务范围内信息系统按照差距分析报告对应策略设 计整改措施，面向保护对象设 计等保安全整改设 计方案。(4) 安全加固辅导服务派遣专业工程师到为服务器实施边界防护安全策略优化、服务器病毒检查与清理、主机安全加固辅导、数据库安全加固建议以及应用安全加固建议。(5) 管理制度辅助建设按照等保相关要求，辅助用户编写等级保护的安全管理制度，达到等级保护测评要求。(6) 等保测评现场辅助在正式测评过程中，协助测评方完成测评数据采集等工作，保障备案系统通过等级测评。根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合文件《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号）、《信息安全等级保护管理办法》（公通字〔2007〕43号）文件精神，投标人应具备福建省发改委、福建省公安厅、福建省保密局联合文件《转发关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（闽发改高技【2008】675号）文件要求的安全等级测评服务资格，或具有福建省发改委、福建省公安厅、福建省保密局联合文件《转发关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（闽发改高技【2008】675号）文件要求的安全等级测评服务承担机构出具的相关承诺证明材料。(7) 等保备案咨询服务提供等级保护备案咨询服务。4.2. 等保测评服务4.2.1 技术服务目标根据福建省统计局提交的《信息系统安全等级保护测评申请书》，对福建省统计局信息系统进行安全等级测评，并为被测系统提供福建省网络与信息安全测评中心出具的信息系统安全等级测评报告（以下简称测评报告），相关的等级保护测评费用由投标人承担。4.2.2 技术服务内容(1) 安全技术方面a、 物理安全：物理安全：对物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。b、 网络安全：对网络安全的结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护等方面进行现场测试。c、 主机安全：对所采用的操作系统和数据库的信息系统进行身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制等方面的测试。d、 应用安全：对应用系统的身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制等方面进行安全测试。e、 数据安全及备份恢复：对信息系统的数据完整性、数据保密性和备份和恢复等方面进行测试。(2) 安全管理方面a、 安全管理制度：对信息系统的管理制度、制定和发布、评审和修订等方面。b、 安全管理机构：对岗位设置、人员配备、授权和审批、沟通和合 作、审核和检查等方面。c、 人员安全管理：对信息系统的人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等方面。d、 系统建设管理：对系统定级、安全方案设 计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案、等级测评等方面。e、 系统运维管理：对环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面

15、其他约定

15.1合同文件与本合同具有同等法律效力。

15.2本合同未尽事宜，双方可另行补充。

15.3本合同自签订之日起生效。

15.4本合同纸质文件一式壹份。合同电子文本通过政府采购网上公开信息系统自动备案。合同纸质文本需与备案电子文本一致，以备案电子文本为准，具有同等效力。

15.5其他：□无。□无。

签订地点：福州