项目需求及服务要求一、项目概况为提高省安全监管局全部信息网络系统的安全性和稳定性,拟依托专业技术服务团队对省安全监管局信息系统进行加固优化,并针对各类应用系统进行漏洞检测与修复、安全监测、漏洞跟踪处置等全面安全服务,结合安全巡检、应急响应服务、安全应急预案演练等信息系统安全保障服务及时排除安全隐患。
项目预算10万元。
业务系统包括但不限于:安全生产信息化平台、网站群、OA、行政审批、固定资产、档案管理、财务管理等。
省安全监管局网络拓扑图二、服务需求中标服务方需要为用户所有信息网络系统提供全面的信息安全服务, 1年内7天×24小时不间断服务。
省安全监管局信息网络系统需要专业安全服务项目清单见下表,具体服务内容见《安全服务具体要求》。
1.安全扫描服务每月安排安全专家定期通过系统安全扫描工具,分析并指出网络安全漏洞及被测系统的薄弱环节,给出详细的检测报告,形成《安徽省安全监管局信息网络系统安全扫描报告》,并针对检测到的网络安全隐患给出相应的修补措施和安全建议,协助省安全监管局完成安全整改。
2.渗透测试服务对安全生产信息化平台、网站群、OA、行政审批、固定资产、档案管理、财务等所有业务应用系统等进行黑盒渗透测试,主要用于发现各应用系统可能存在的口令明文传输、暴力破解、认证绕过、SQL注入、溢出、XSS、目录泄露、敏感文件下载、旁站等安全问题。
针对黑盒测试发现的问题形成《安徽省安全监管局业务系统渗透测试报告》,此报告为后续各应用系统的加固优化提供明确的针对性。
在实施完针对性的优化加固服务之后,如应用系统有更新,还需要针对更新后的系统再做一次黑盒测试,主要目的为验证加固和优化服务的有效性,并提供《安徽省安全监管局业务系统加固后渗透测试复查验证报告》,给出相应的修补措施和建议,协助省安全监管局完成安全整改。
3.月度巡检服务结合国家信息系统等级保护的要求,组织相关技术力量完成重要应用系统、网络环境和安全设备检查方案,每月对安徽省安全监管局网络、主机、安全设备等物理环境和各类软件应用系统进行一次全面检查,并在对检查中发现的问题进行整改,形成检查报告和整改方案。
同时,配合安徽省安全监管局对上级主管部门要求的安全检查项开展安全检查(不定期开展),并形成报告提交。
通过定期检查及不定期检查,及时发现信息系统中存在的问题,提高信息网络系统整体安全水平,建立常态化的信息安全检查机制。
巡检服务之后出具《安徽省安全监管局安全巡检月度报告》,在巡检过程中发现的异常问题,必须及时提供应急响应服务,第一时间解决巡检过程中发现的异常问题,并提供《安全巡检异常记录反馈表》和《异常问题分析解决报告》,给出相应的整改措施和建议,协助省安全监管局完成安全整改。
4.安全加固服务根据安全扫描、月度巡检及渗透测试的结果,明确安全整改的对象和内容,进行科学合理的优化和加固,主要包括以下内容:(1)系统资产加固:对省安全监管局信息系统和业务运行环境中的相关服务器、网络设备、安全设备、操作系统、数据库、中间件等进行配置加固、优化和升级等工作。
该服务项实施之后,提供《安徽省安全监管局信息系统配置优化报告》,并出具相应的《安徽省安全监管局信息系统配置基线文档》,作为后续信息系统运维管理的重要基准数据。
(2)业务系统加固:针对渗透测试形成的《安徽省安全监管局业务系统渗透测试报告》进行漏洞修复。
涉及到应用程序或代码,积极配合程序开发商修复漏洞,确实无法修复的漏洞需要出具报告并说明原由及影响,并且利用其他方法解决漏洞无法修复的问题。
5.外网业务系统安全防护及监测服务主要包括以下内容:外网业务系统防护:支持防跨站、防SQL注入、防篡改、防木马、防黑客攻击、系统默认使用标准防护,支持高级防护和一般防护两种设置;高防DNS:DNS专用防护带宽储备不低于100G;网站防泄密:支持阻止普通用户通过正常的网页访问请求轻易获取网站敏感信息;防DDOS攻击:至少600G带宽储备,实时攻击检测和防御DDoS攻击;支持警告页面:支持报警、断开连接、给客户端发送警告页面三种方式;网站永久在线:支持当服务器收到攻击或者关闭时保证网站可以访问;内容缓存:支持缓存网站静态资源到服务器,减少资源传输时间;支持缓存的内容以及缓存内容的时间,可缓存JS、CSS、图片、HTML、首页等信息;支持手动刷新服务器缓存,支持刷新单个URL缓存;浏览器访问加速:支持将访问内容缓存在访问者的浏览器上,用户无需请求即可对网站访问,支持时间段设置并可以和源站同步;页面加速:支持对原页面HTML、CSS、JS等文件,进行压缩减少网络传输的时间,提高网页的加载速度;Web漏洞扫描:双引擎Web扫描技术,更多的漏洞发现率支持控制扫描压力控制HTTP请求个数;深度扫描:支持正常扫描和深度扫描;漏洞详情报告:支持漏洞扫描报告,输出扫描详情,并支持用电子邮件形式发送结果到邮箱;响应时间监控:支持网站相应时间监控;可用率监控:支持网站可用率统计监控;安全周报:支持在线生成安全周报,周报内容包括不限于:本周安全等级、攻击数量统计、CC攻击数攻击趋势、Web漏洞攻击趋势、CC攻击全国分布统计、Web攻击全国分布统计等信息;扫描报表:支持在线生成和导出扫描报表,并以高、中、低、提示、安全5个级别输出Web漏洞扫描结果;月度监测报告:每月月底向省安全监管局提供《外网业务系统监测报告》。
6.网络安全漏洞跟踪与处置每日追踪CNVD(国家信息安全漏洞共享平台)、CNNVD(中国国家信息安全漏洞库)、补天漏洞响应平台、漏洞盒子等互联网第三方漏洞平台提交的最新的漏洞。
针对省安全监管局及其直属事业单位、各市安全监管局互联网应用最新暴露在互联网第三方漏洞平台的相关漏洞信息进行及时的记录和验证,形成《安徽省安全监管局每日漏洞报告表》,并在第一时间通知省安全监管局;协助省安全监管局到相关漏洞平台注册认领相应漏洞,获取漏洞相关细节;协助省安全监管局联系相关应用开发商,沟通说明应用漏洞情况,要求应用开发商修补相关漏洞;在应用开发商修补相应漏洞后,对其修补的效果进行进一步的验证,以明确漏洞修补的有效性。
7.安全应急响应应急响应服务针对省安全监管局所有信息系统,包括关键的信息系统设备、网络基础设施、核心业务应用等。
当信息系统出现故障、恶意攻击、安全事件、病毒木马、性能下降等等异常问题时,服务方必须现场帮助用户分析、定位信息系统相关异常的原因、源头等,并根据分析的结果,提供相对应的解决方案,保障信息系统的正常稳定运行。
在省安全监管局网站群及其他业务系统出现被黑客入侵、挂马、篡改等安全事件之后,提供分析、取证、追踪、恢复、加固等全方位的技术支持服务。
根据服务器操作系统和业务系统日志的深入分析,发现入侵的痕迹,明确黑客入侵的时间线、IP地址,定位黑客入侵的方式、利用点,梳理黑客入侵进入网站之后的行为和动作。
针对分析的结果,清理后门和木马程序,删除黑客上传或生成的垃圾文件,协助省安全监管局修补相关系统漏洞,完善各类系统的安全防护策略,有针对性地加固网络安全防护体系,并出具详尽的分析和处理报告8.安全应急预案与演练根据省安全监管局信息网络系统实际情况,针对性地制定和修订信息网络系统应急预案,并根据应急预案,至少提供一年一次的应急演练。
在应急演练过程中,需要保留应急演练过程文档。
9.等级保护相关工作针对省安全监管局需要进行等级保护建设的应用系统,协助完成系统定级备案、测评前期准备、安全整改等工作,根据等保测评报告制定整改方案和具体措施,协助省安全监管局完成整改工作。
10.假期及重要时段技术值班保障服务在五一、十一、元旦、春节等主要节假日及重要时段,供应商需安排专业的安全工程师值班,全天24小时随时待命,及时提供现场安全应急技术支持服务。
(二)服务提交成果根据具体的服务内容,供应商应及时出具以下服务交付文档:《安徽省安全监管局安全扫描报告》《安徽省安全监管局业务系统渗透测试报告》《安徽省安全监管局安全巡检月度报告》《安徽省安全监管局安全巡检异常记录反馈表》(如果有)《安徽省安全监管局信息系统异常问题分析解决报告》(如果有)《安徽省安全监管局信息系统配置优化报告》《安徽省安全监管局信息系统配置基线文档》《安徽省安全监管局系统漏洞清单及修复报告》《安徽省安全监管局外网业务系统安全监测报告》《安徽省安全监管局每日漏洞报告表》(如果有)《安徽省安全监管局某某系统漏洞测试验证报告》(如果有)《安徽省安全监管局网络应急预案》《安徽省安全监管局应急演练方案》《安徽省安全监管局应急演练报告》《异常问题应急响应处置报告》《某某公司假期技术值班安排通知》三、报价要求供应商的报价为满足但不限于实施上述各类技术服务的固定总价,在一个服务年度内不得以任何理由向采购人提出其他费用。
四、服务质量的考核安全服务情况考核在合同期第3个月和第5个月由省安全监管局组织开展两次,每次考核总分满分100分。
考核评级①优秀:80~100分(含80分);②合格:60~80分(含60分);③不合格:60分以下。
考核原则②务单位考核得分合格的,按照合同约定执行。
②服务单位考核出现一次不合格的,扣减5%的维护服务费,并出具整改意见和更换不合格驻点运维工程师。
连续2次考核评分结果为“不合格”,扣减10%的服务费,同时,省安全监管局有权立即终止合同,违约责任由服务单位承担。
供应商的服务于本项目的本地化服务团队的成员至少包含3名及以上信息安全专业技术人员,且至少具有CISP工程师、等级保护测评师、微软认证操作系统MCP工程师、oracle数据库认证工程师等认证技术人员。
供应商在投标时,须提供本项目拟服务支持团队所有成员的相关证书复印件、社保证明、就业合同等复印件并加盖供应商公章,中标公示期内提供原件交省安全监管局核查。
项目组成员一旦确定,在整个项目期内不得随意更换。
若更换,必须提前经省安全监管局书面认可。
供应商的项目组在现场服务时间不得低于200人日,从而保证安全服务的质量。
供应商需在响应文件中提供内容如下的服务承诺函:我公司在以往的安全服务项目中未出现因我公司的原因造成的重大网络安全事故,否则视为违约。
若我公司中标,将在合同签订前向采购人提供互联网安全服务团队成员相关服务能力、社保证明、就业合同等材料,逾期未提供或提供不全的,视为违约。
如我公司违约,采购人有权中止合同并上报财政厅监管部门,一切后果由中标人自行承担。
我公司中标后即为用户网络信息安全的第一责任人,承担相关法律责任。
服务期间,用户如因我公司的原因导致重大网络安全事件,则按照合同约定承担责任。
供应商必须采用成熟、业界先进的商业硬件漏洞扫描工具进行漏洞扫描,保证对目标系统无大的影响以及扫描结果的准确性和可信度。