长江师范学院网络安全保障服务项目公开招标公告

正文内容

根据《中华人民**国政府采购法》等有关规定，现对******网络安全保障服务项目进行公开招标，欢迎合格的供应商前来投标。 一、采购项目的服务内容 序号 服务项目 服务内容 预算金额（元） * 监测服务 网站安全主要包括网站可用性监测、脆弱性检测、网页木马监测、链接监测、安全事件监测等内容。网站可用性监测应提供多种方式对网站进行监控，在发生故障*分钟内进行短信等形式告警。 ***** * 互联网暴露面梳理 安全技术团队通过多种梳理手段和方式的融合，探测学校互联网地址上潜在的未知资产、不必要开放的资产，包括：老旧Web资产、僵尸系统、边缘系统、无主系统、敏感开放端口、互联系统（第三方互联、其他互联）、远程管理等信息，对监测发现的暴露面，通过人工逐一核实，并验证互联网资产是否存在可利用漏洞、弱口令，提供暴露面收敛等相关整改建议，协助指导收敛工作，定期稽查保障闭环管理。重点关注未知资产，包括影子资产、隐匿资产、被遗忘的老化资产、本应下线的应用程序/镜像/微服务，以及恶意资产、钓鱼网站、供应链资产等，配合清理所有多余的暴露面，从根源上有效挖掘学校暴露在互联网上的安全隐患点。 * 资产梳理 通过安全工具或手动的方式，搜集包括网络拓扑图、网络与安全设备清单、IP 地址分配、Vlan 划分、数据流走向、链路带宽、访问流量、服务器清单、存储设备、机房机柜布局图、机房基础设施部署、技术文档、系统运维管理制度等资料，整理出设备资产明细，了解各应用系统的功能、服务对象、业务流程、承载信息、安全保护属性、相关软硬件资产及重要程度、网络架构、系统部署、业务数据交互和管理运维机制等具体情况，从而初步掌握信息安全状况，形成资产报告，为后续安全服务工作提供依据。数据中心内资产的全面梳理（梳理的信息包含支撑业务系统运转的操作系统、数据库、中间件、应用系统的版本，类型，IP地址，应用开放协议和端口等信息；应用系统管理方式、资产的重要性以及网络拓扑）。 * 脆弱性检测 对我校数据中心信息系统资产进行脆弱性检测，包含物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面，出具脆弱性检测报告，每年一次。 * 渗透测试 在不影响业务正常开展的前提下，通过模拟黑客攻击的方式，验证用户中心网站等信息系统抵御黑客攻击的能力，从而发现信息系统的安全隐患和脆弱点，并提出安全整改建议，以指导相关人员对系统进行安全优化和加固。每年*次，重保、攻防演练时期渗透不包含在年度次数内，每次重保、攻防演练前根据学校要求单独做渗透测试。 * 代码审计监管 配合学校对**信息进行代码审计管理工作，审查第三方代码审计机构文档，使******更加真实的了解到信息系统的安全性状况。在******协调相应开发商完成整改后，再次对相关系统源代码进行审计报告审查，以检查整改的情况。 * 辅助检查 在学校迎接上级单位、**、网信部门等监督检查和安全自查工作过程中，全程提供信息安全辅助、技术咨询和协助编制相关材料的服务，保障检查工作的顺利进行。在信息系统日常运行阶段提供安全建议，并配合******进行日常安全管理制度的实施和微调工作，进而提高******的安全管理能力，完善******安全管理体系，从而提高******信息系统整体的安全防护能力，保障******日常业务的连续性、稳定性。 * 安全巡检服务 对学校安全设备运行状态、安全日志进行检查、过滤，对恶意地址、存在危害的行为及时封堵、调整安全策略，提前发现、及时处理。基于主动响应和被动响应流程，对页面篡改、通报、断网、webshell、黑链等各类严重安全事件进行紧急响应和处置。 需提供对服务器、存储、安全设备进行巡检、运维演示。 * 重要时刻专人值守服务 在重要关键时刻，包括重大会议期间、网络重大割接或其它任何可能对业务运营产生重大影响的时刻，提供重要时刻的专人现场值守支持。 ** 安全预警通告服务 通过日常巡检，结合目前业界发布新漏洞，为******提供网络安全预警通告服务，提高学校安全管理人员与安全技术人员的安全防范意识。 ** 漏洞扫描及修复服务 每月对操作系统、数据库、常见应用/协议、Web通用漏洞与常规漏洞进行漏洞扫描，并出具漏洞扫描报告。在扫描完成之后根据漏洞扫描报告和业务实际情况提供处置建议，包含补丁方案或临时规避措施。 ** 网络安全培训服务 提供包括但不限于安全意识、技术、政策、动态、事件、攻防演练等相关安全培训服务。 ** 应急响应 对于学校突发的安全事件，例如网络入侵、拒绝服务攻击、大规模病毒爆发、主机或网络异常事件等紧急安全问题，安全技术团队第一时间到达现场提供技术支持，对学校受影响系统进行全面威胁排查，控制事态发展，保护或恢复主机、网络服务的正常工作，协助学校修复漏洞以防同类安全事件再次发生，尽快使业务系统恢复正常运行，减少学校因此次安全事件造成的经济损失并且提供事后分析。 二、采购项目的服务范围及要求 服务范围：学校数据中心所有资产及系统 *.日常安全服务事项 完成管理信息系统的资产信息、信息系统等级保护基本信息、关键信息基础设施识别与认定基本信息的梳理工作；完成相关系统重要程度分析、网络脆弱性评估、主机脆弱性评估、应用脆弱性评估、安全措施有效性评估等风险评估服务；提供恶意代码检查、安全日志分析、安全制度执行管理等安全事件分析；使用态势感知平台完成对校内系统整体情况的监测、运维等，确保系统的稳定、安全运行。 *.网络安全监控和防护 按照国家信息安全漏洞共享平台及各大厂家安全漏洞提示，进行补丁打包、更新升级，及时处理主机操作系统、中间件异常问题，及时协调处理代码层漏洞，定期进行系统配置备份。定期检验应急预案的有效性和可行性；当遭受网络病毒/木马、黑客入侵、DOS 攻击等时，派出安全专家团队进行现场排查处理安全事件，保障业务系统的连续性，阻止和减小安全事件带来的负面影响；定期进行渗透测试、漏洞扫描、挂马暗链、篡改、敏感信息监测等网络安全监测服务。 *.数据安全保障服务 检查数据传输过程中的加解密防护措施，确保数据使用过程中的安全；及时排查信息系统数据安全问题，处理数据错误、数据丢失、数据冗余和数据冲突等问题；实时处理服务请求，进行特殊数据维护、回退数据维护、数据脱敏、数据备份等。 *重要敏感时刻安全值守 在举行重大活动、处理重要事件、以及特殊保障期（如两会、法定节日、敏感时期等）时，提供重保解决方案，组织专业活动前，开展安全意识和技能培训、安全检查、加固整改；活动时，提供**** 小时监测预警、现场安全值守、安全事件分析研判；重保后提供总结报告，制定完善跟踪复查策略和安全整改建议。 三、履约时间与地点 *.履约时间：网络安全保障服务时间：****年*月**日****年*月**日 *.履约地点：****** 四、实施要求 项目团队的总体要求，中标方按照用户要求开展安全保障专项服务，并在投标文件中建立合理的项目进度计划，详细阐述项目过程中各项服务如何开展、具体实施步骤、要求有标准化交付安全服务的效果评价方法。中标方需要派出强有力的人员组建成项目组，项目经理、技术负责人至少需要 * 年以上的相关项目工作经验。 项目团队需保持稳定，中标方应承诺项目经理、技术负责人等核心人员必须专职承担本项目工作，未经用户单位许可不得更换。中标方应明确项目经理和技术负责人在本项目中的岗位职责、任职资格及管理权限，并明确项目经理和技术负责人调动相关**的权力，确保项目顺利实施。 服务提供商需具备的资质：信息系统安全运维资质、信息系统安全集成资质、信息技术服务运行维护标准符合性资质。 五、验收标准 投标人提供的服务在满足安全服务内容和要求的基础上，达到下述服务考核指标要求作为验收标准。 *.服务方按照要求对开放了互联网访问服务的信息系统（网站）提供云端 **** 小时实时网络安全威胁监测预警与处置服务； *.按照服务内容要求按时交付安全服务报告，内容包括监测和处置安全事件的详细工作记录； *.通过流量威胁分析服务，对网络安全状况进行整体分析，针对高危网络节点提供专业的详细的风险分析及策略规则定制服务。 *.定期进行信息系统（网站）的漏洞扫描和安全加固并在规定时间内完成。 六、投标人的资格要求 *.在中华人民**国境内注册的、具有独立承担民事责任的能力的供应商； *.具有良好的商业信誉和健全的财务会计制度； *.具有履行合同所必需的设备和专业技术能力； *.有依法缴纳税收和社会保障资金的良好记录； *.近三年内，在经营活动中没有重大违法记录； *.法律、行政法规规定的其他条件。 七、投标说明 *.投标文件须密封，并加盖印章（公章）； *.招标文件是合同不可分割的一部分，参与投标即视为对招标文件要求的接受； *.请投标人务必认真阅读本招标文件，严格遵照标书内容应标。 *.下列情况属于重大偏差: (*)报价超出预算金额； (*)明显不符合询价文件中相关服务等要求； (*)投标文件附有采购人不能接受的条件； (*)不符合询价文件中规定的其他实质性要求。 投标文件有上述情形之一的，不能作为成交候选人，只保留其合格竞标人资格。 *.付款方式：签订合同后一次性付清全款。 八、评标方式 采购评标小组对投标人的资质、服务质量、报价、售后服务、优惠承诺以及相关业绩等因素进行综合评比，在完全满足询价采购文件要求的前提下，选择最低价为成交候选人。如同时出现两个及以上相同并满足询价采购文件要求的最低价，则最低报价相同的公司进行再次报价，选择最低价为成交候选人。 九、开标时间、地点 递交报价文件起止时间：****年*月**日**时间**:**-**:**。 投递报价文件及开标地点：******图书馆***会议室。 询价采购开始时间：****年*月**日**时间**：**。 十、联系方式 采购人：****** 联系人：王朴 陈先峰 联系电话：（***）******** 联系地址：******聚贤大道**号