信息安全服务项目招标文件.docx

《信息安全服务项目招标文件.docx》由会员分享，可在线阅读，更多相关《信息安全服务项目招标文件.docx（11页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、信息安全服务项目招标文件一、说明部分经研究，决定对信息安全服务项目进行询价招标。现将有关事项明确如下：1、投标书须用密封信封递交，并在信封盖上公章，写明采购项目名称。于2020 年09月27日上午H点之前（北京时间）送往某某市自然资源和规划局803室。联系人：，联系电话：。开标时间由采购单位确定，邀请局招标小组开标。2、本项目投标内容：信息安全服务，具体内容详见附件1招标内容。3、本次招标设有预算指导价，预算指导价：16万元。各服务商的报价总价不得高 于预算指导价。原则上同等服务下最低价中标，如果出现两个或两个以上最低价，采购 单位有权从最低报价服务商中决定中标方。4、采购单位有权根据市场调查

2、情况对报价结果进行对比，如有异常情况，采购单 位有权提出暂不采购，并不向各维护商解释具体原因。5、合同签订：合同由采购单位与中标方双方签订。6、交货方式：根据合同约定提供维护服务。7、付款条件：合同签订后30个工作日内付款，签订合同前中标人应向采购单位 交纳合同金额的10%作为履约保证金。8、违约责任：具体违约条款及其它未尽事宜，将在双方签订合同时议定。9、特别要求9.1、 以上项目现场情况较为复杂，投标单位必须制定详尽的服务方案（需要投标 文件中提供），服务方案不可行的报价无效。9.2、 中标单位在接到采购单位的服务需求通知后，必须在2小时内现场响应，并 在4小时内解决问题，如采购单位认为中

3、标单位无法在上述时间内提供响应服务的，采 购单位有权要求投标单位以常驻维护人员的形式提供维护服务。9.3、 中标单位在需要进入采购单位主机房（数据中心）进行服务时，必须要有采 购单位管理人员的陪同。9.4、 中标单位须保证采购单位任何数据不外泄，如发生由中标单位引起的数据泄 密，由中标单位承担全部责任。9.5、 本项目投标商需注册在浙江省范围内。3主机漏洞 扫描服务利用权威的漏洞扫描工具，对客户的主机操作系 统进行主动漏洞扫描，并提供漏洞扫描报告，包 含漏洞详细说明和修复建议，并对修复后的结果 进行二次复核扫描。一年2次。1项4WEB漏洞扫描服务利用权威的漏洞扫描工具，对客户的WEB类应用 等

4、进行主动漏洞扫描，并提供漏洞扫描报告，包 含漏洞详细说明和修复建议，并对修复后的结果 进行二次复核扫描。一年2次。1项5弱口令扫 描服务利用弱口令扫描工具，对客户口令登入应用（如 FTP、SSH、RDP、SQLServer 等）进行弱口令扫描， 并提供弱口令扫描报告。一年2次。1项6渗透测试 服务渗透测试通过模拟黑客，使用主流的攻击技术对 目标网络、系统、数据库进行模拟攻击测试，提前 发现系统脆弱环节及系统潜在的各种高危漏洞， 并提供渗透测试报告及修复建议。包含1个系统， 一年1次。1项7安全运 营安全协助 加固服务针对测评公司出具的等级保护整改建议书或安全 检测的结果进行系统的安全配置加固，

5、专业的设 备和系统由供应商按“安全基线标准”进行加固， 服务商协助配置加固指导，最终提供安全配置加 固报告。一年2次。1项8安全行为 检测服务通过态势感知及APT设备，对业主内网安全行为 监控分析，帮助用户发现异常连接行为，并提供 威胁分析报告，包含主机威胁详细说明和处理建 议。每月至少2次。1项9应急响应 服务当发生外部黑客入侵、数据泄露、木马病毒等突 发安全事件时，应急响应人员快速响应，及时、 准确的解决安全事件，化解安全危机，能够协助 用户快速止损，最大化降低安全事件带来的影响。1项10安全培训 服务根据客户全员或技术维护人员需求，可提供安全 意识、安全理论知识、威胁分析处置理论和实际

6、操作技能等培训。一年1次。1项11重保值守 服务根据客户需求在重保期间，提供专人值守服务。 不限次数。1项报价总价（大写）：法人签字（或盖章）：投标人公章：日期9.6、 服务时间从2020年12月1日至2021年11月30日。某某市规划管理服务中心 年 月日二、服务内容1 .资产维护服务要求1资产维护服务资产作为一切应用的根源，对资产的发现归类更是重中之重，服务商专业安全服 务团队通过自动化探测工具和人工排摸核查归类对业主单位网络、安全设备资产、主机 设备资产、重点应用系统资产等进行详细排摸普查登记造册并且进行赋值，最终提供资 产梳理表。网络、安全设备资产主要为：核心、汇聚交换机、防火墙、隔离

7、网闸、web应用防 火墙、IPS、上网行为管理等资产。主机设备资产主要为：业务服务器主机。重点应用系统资产主要为：边界出口映射的应用系统，核心业务应用系统。资产维护前与业主单位进行沟通交流，由服务商安全服务人员用专业的资产发现 工具对业务资产进行发掘维护，同时通过访谈、机房排摸等人工方式进行业务资产发现 维护，针对发现的业务资产进行人工归类整合，最终将资产梳理表提交用户。服务商专业安全服务团队通过自动化探测工具和访谈、人工机房排摸等多种方式 对业主资产维护归类并进行赋值。服务期内每年开展1次，一年1次。2 .安全评估服务要求2.1 基线核查服务安全基线是保持信息系统安全性、机密性、可用性的最小

8、安全控制，是系统最小 安全保证，是最基本的安全要求。安全基线包含配置核查，是人员、技术、组织、标准 的综合的最低标准要求。根据用户工作需求，采用人工现场设备检查的方式或者自动化基线检测方式对系 统和设备等进行全面的安全配置核查和分析，发现配置的不合规项，并结合行业实际需 求提出系统整改建议，输出报告。基线核查内容包括但不限于以下内容：操作系统安全检查业务系统涉及到的操作系统，如Windows、Linux等进行安全配置缺陷的检查与评 估。核查内容包括（但不限于）：身份鉴别方式、帐号安全设置、多余帐号和空口令检 查、默认共享检查、文件系统、系统访问控制、日志及监控审计等安全情况。网络、安全设备配置

9、检查对用户信息系统涉及到的网络安全设备，如防火墙、入侵检测系统、路由器、交 换机等进行安全配置缺陷的检查与评估。核查内容包括（但不限于）：帐号安全设置、 管理权限和角色设置、多余帐号和缺省口令检查、备份和升级情况、访问控制、日志审 核、远程访问等安全情况。基线核查前与业主单位进行沟通交流，确定检查目标，签订基线核查授权书，然 后由服务商安全服务人员用专业的基线核查工具或者工人核查表对业务所在的网络设 备、安全设备、主机系统等进行配置核查，针对核查内容进行分析整理，最终出具基线 核查报告提交给用户。要求服务期内每年开展1次，一年1次。2.2 主机漏洞扫描服务主机漏洞扫描是脆弱性识别的重要手段，能

10、够帮助用户发现设备和系统中存在的 严重漏洞，帮助用户了解技术措施是否有效执行，并通过及时修补完善，避免对信息系统造成严重影响。服务商将采用专业的主机漏洞扫描工具，对服务范围内服务器主机设备进行全面 漏洞扫描与分析，扫描设备检测规则库及知识库应涵盖CVE、CNCVE、CNVD、CNNVD等标 准。扫描完成后人工验证所发现的操作系统漏洞、信息泄露及配置不当等脆弱性问题， 并提供漏洞扫描报告，并针对漏洞扫描中出现的问题，提供解决修复建议。主机漏洞扫描前与业主单位进行沟通交流，确定主机漏洞扫描目标及测试范围， 签订主机漏洞扫描授权书，然后由服务商安全服务人员用专业的主机漏洞扫描工具对业 务所在的服务器

11、主机等进行漏洞扫描，针对漏洞扫描内容进行分析整理验证，最终出具 详细的主机漏洞扫描报告给用户。要求服务期内半年开展1次，一年2次。23 WEB漏洞扫描服务WEB漏洞扫描是脆弱性识别的重要手段，能够帮助用户发现WEB应用中存在的严重 漏洞，帮助用户了解技术措施是否有效执行，并通过及时修补完善，避免对信息系统造 成严重影响。服务商需采用专业的WEB漏洞扫描工具，对服务范围内的WEB应用（例如网站、 业务平台等）进行全面漏洞扫描与分析，扫描内容包括支持OWASP TOP 10等主流安全 漏洞的自动检测。扫描完成后人工验证所发现的WEB应用漏洞、信息泄露及配置不当等 脆弱性问题，并提供漏洞扫描报告，并

12、针对漏洞扫描中出现的问题，提供解决修复建议。WEB漏洞扫描前与业主单位进行沟通交流，确定WEB漏洞扫描目标及测试范围，签 订WEB漏洞扫描授权书，然后由服务商安全服务人员用专业的WEB漏洞扫描工具对WEB 应用进行漏洞扫描，针对漏洞扫描内容进行分析整理验证，最终出具详细的WEB漏洞扫 描报告给用户。要求服务期内半年开展1次，一年2次。2.4 弱口令扫描服务弱口令（weak password）没有严格和准确的定义，通常认为容易被别人（他们有 可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。弱口令扫描前与业主单位进行沟通交流，确定弱口令扫描目标及测试范围，签订 弱口令扫描授权书，然后由服务

13、商安全服务人员用弱口令扫描工具对口令登入应用（例 如FTP、SSH、RDP、TELNET. SQLServer等）进行扫描，针对弱口令扫描内容进行分析 整理验证，最终出具弱口令扫描报告给用户。要求服务期内半年开展1次，一年2次。2.5 渗透测试渗透性测试是对安全情况最客观、最直接的评估方式，主要是模拟黑客的攻击方 法对系统和网络进行非破坏性质的攻击性测试，目的是侵入系统，获取系统控制权并将 入侵的过程和细节产生报告给用户，由此证实用户系统所存在的安全威胁和风险，并能 及时提醒安全管理员完善安全策略。渗透测试服务通过利用目标应用系统的安全弱点模拟真正的黑客入侵攻击方法， 以人工渗透为主，以漏洞扫

14、描工具为辅，在保证整个渗透测试过程都在可以控制和调整 的范围之内尽可能的获取目标信息系统的管理权限以及敏感信息。根据本项目需求，针对应用进行渗透测试，重点发现其应用层业务流程和逻辑上 的安全漏洞和敏感信息泄露的风险，输出渗透测试报告。服务商主要对WEB类应用系统 进行渗透测试。通过采用适当测试手段，发现测试目标在信息系统认证及授权、代码审查、被信 任系统的测试、文件接口模块报警响应等方面存在的安全漏洞，并现场演示再现利用该 漏洞可能造成的客户资金损失，并提供避免或防范此类威胁、风险或漏洞的具体改进或 加固措施。服务商需派遣具有安全服务经验的工程师，采用远程或到现场的方式，对目标系 统进行渗透测

15、试工作并出具渗透测试报告。要求服务期内每年开展1次，一年1次。3.安全运营类服务介绍3.1 安全协助加固服务针对测评公司出具的等级保护整改建议书或安全检测的结果，对所发现网络、安 全、主机层面的漏洞协助用户进行统一安全加固，专业的设备和系统由供应商按“安全 基线标准”进行加固，服务商协助配置加固指导，最终确保系统的高安全性和高可用性。信息系统的加固主要包括三个方面：操作系统加固、网络设备加固和安全设备加 固。操作系统安全加固包括：检查系统补丁、停止不必要的服务、修改不合适的权限、修改安全策略、 检查账户与口令安全、开启审核策略、关闭不必要的端口等。网络设备安全加固包括：禁用不必要的网络服务、修

16、改不安全的配置、利用最小特权原则严格对设 备的访问控制等。安全设备安全加固包括：禁用不必要的网络服务、修改不安全的配置、删除多余的安全策略、删除 不安全的NAT策略、新增安全策略、升级特征库等。安全加固前与业主单位进行沟通交流，确定加固内容，签订安全加固授权书，然 后由服务商安全服务人员对业务所在的网络设备、安全设备、主机系统等进行安全加固, 最终出具安全加固报告提交给用户。要求服务期内每半开展1次，一年2次。3.2 安全行为检测服务通过分析态势感知及APT设备，对业主内网安全行为监控分析，发现异常连接行 为，并提供威胁分析报告。安全行为检测服务主要是查看APT或者态势感知高危及已失陷的告警，

17、对于该些 告警进行分析研判，将确认过的告警告知用户，提供整改建议，指导用户进行整改。常 见的告警标签为：永恒之蓝、挖矿病毒、勒索病毒、僵尸网络等。安全行为检测服务前与业主单位进行沟通交流，确定检测内同，签订安全行为检 测授权书，由服务商安全服务人员对设备告警进行分析，最终出具威胁分析报告给用户。要求服务期内每月开展至少2次。3.3 应急响应安全应急响应主要是针对安全事件发生时，及时，准确的解决安全事件，化解安 全危机、将安全事件的风险及损失降到最低。安全事件是指在客户信息系统中出现的影 响业务正常运行的任何异常事件。例如：破坏系统的完整性、系统资源拒绝服务、通过 渗透或者入侵的方式来对系统进行

18、非法访问，系统资源的滥用以及任何可能对系统造成 损害的行为等。应急响应服务是由服务商安全团队对用户业务环境中的安全事件进行响应，对用 户的主机安全数据进行分析、全方位监测发现的威胁和异常进行快速响应和处置，并针对安全事件进行深入调查和原因分析；同时输出事件响应处理报告，帮助用户正确应对 攻击入侵事件，降低安全事件带来的损失。服务商信息安全紧急响应服务方式分为远程支持或现场支持。当远程支持无法解决问题时，将派遣专业的紧急响应服务人员在第一时间到达客 户所在地提供现场支持服务，保证在任何时候客户都能及时找到服务商的相关专业技术 人员。当发生紧急安全事件，在征得客户许可的前提下，服务商应立即启动应急

19、预案进 行远程修复，必要时通过强制措施保护客户数据、资料安全。采取远程与现场支撑相结 合的方式，第一时间处理显现威胁，并提供应急响应报告。3.4 安全培训通过开展信息安全培训工作，使客户最终达到强化安全意识，理解安全理论，掌 握安全技术，获得安全实践经验，甚至通过安全认证，使得信息安全人员能够掌握安全 方面必要的专业理论和技能，全面提升从事信息安全工作人员的管理和技术水平，保证 其能够胜任相应的岗位，且能够融会贯通并应用于企业的安全建设当中。从信息安全角色的职责出发，分析承担此职责应具备的能力，进而分析通过何种 培训帮助其建立工作能力，建立层次化的培训体系。要求服务商提供信息安全意识、信 息安

20、全技术、信息安全管理等方面的培训。要求服务商提供相关场地、讲师、材料及会务服务等。服务期内每年开展1次， 一年1次。3.5 重保值守服务为响应特殊时期客户业务系统的信息安全应急保障需求，提供短期的信息安全检 查结合7*24小时值守的方式为客户的业务系统在特殊时期保驾护航。在重大活动期间（两会、国庆等）或重大网络安全事件期间提供现场安全值守服 务，提供具有丰富的应急处理能力和安全服务技术经验的工程师。驻场时间由我公司和 客户方商议决定，直至重大网络信息安全事件结束。服务商根据重保期间信息安全保障工作需要，将在用户授权下，进行相关网站、 重要业务系统、网络进行安全检测、监测及安全值守工作。在工作中

21、要求做到人员实时 待岗响应、安全问题及时发现、及时验证、及时通报，确保发生安全事件时能够及时处 置。根据重保时间进行保障，服务期内根据甲方重保值守需求开展服务，不限次数。具体工作要求如下：3.6 立安全值守值班表，明确人员分工和职责，各现场值守人员和应急保障人员 在保障期间内不得离杭，要保证24小时电话畅通，随时可使用互联网进行工作，并能 够运维自身负责的系统。3.7 确各重要系统监测范围、监测对象和监测责任人。服务方式根据实际情况包含：1）通过部署采集设备采集必要的事件信息。2）通过平台实现事件的管理和分析，提供实时的告警。3）通过现场运维值守人员，通过人工方式提供对事件的监测、分析和确认。

22、4）通过与国家主管机关的合作获取最新安全信息。4.其它要求1、要求服务商必须具有相关安全服务能力，合同签订前必须提供相关资质的复印 件。2、费用说明：包含人工、调试赛、培训、税收等一切费用。附件1 ：报价明细表项目名称：单位:序 号服务主 项服务子项服务描述单位投标金 额1资产维 护资产维护 服务由服务商专业安全服务团队对安全设备资产、主 机设备资产、重点应用系统资产等进行进一步维 护，最终提供更新的资产梳理表。一年1次。1项2安全评估基线核查 服务由服务商根据基线标准对重要的网络设备、安全 设备、服务器主机系统等进行基线核查，评估系 统配置和安全基线的差距并给出改进建议，从而 达到相应的安全防护要求。一年1次。1项