当前位置:首页 > 招标公告>网络安全运维服务(JJ2025000070)采购公告
招标公告
福建省
公告内容
| 项目名称 | 网络安全运维服务 | 项目编号 | JJ2注册后查看0***0 |
|---|---|---|---|
| 公告开始日期 | 2****5-0**$3-2**$3 0**$3:3**$3:2**$3 | 公告截止日期 | 2****5-0**$3-2**$3 1**$3:0**$3:0**$3 |
| 采购单位 | 福州大学 | 付款方式 | 合同签订后,甲方向乙方支付5**$3%货款,服务完成后,甲方向乙方支付5**$3%货款。 |
| 联系人 | 成交后在我参与的项目中查看 | 联系电话 | 成交后在我参与的项目中查看 |
| 签约时间要求 | 成交后3**$3个工作日内 | 到货时间要求 | |
| 预算总价 | ¥ 4注册后查看0.0**$3 | ||
| 发票要求 | |||
| 收货地址 | |||
| 供应商资质要求 |
符合《政府采购法》第二十二条规定的供应商基本条件 相关资质 (可选) |
||
采购清单1
| 采购商品 | 采购数量 | 计量单位 | 所属分类 |
|---|---|---|---|
| 网络安全运维服务 | 1 | 项 | 安全运维服务 |
| 预算单价 | ¥?4注册后查看0.0**$3 |
|---|---|
| 技术参数及配置要求 | 一、等级保护咨询与测评服务。根据国家、地方及行业的等级保护相关政策和标准要求,针对等级保护对象的具体情况进行评估,完成≥4个三级(共5次)、6个二级(共6次)信息系统的风险分析、差距分析、整改加固、安全管理制度完善以及测评现场辅助等工作,以配合通过网络安全等级保护测评。提供包括但不限于: (1)等保资产分析服务 依据等级保护范围内的资产组成,整理各个系统的网络结构拓扑及相关联的资产,梳理形成信息系统资产清单。同时对服务范围内信息系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度进行全面梳理。 (2)等保差距评估服务? 按照《GB/T2注册后查看9-2****9信息安全技术网络安全等级保护基本要求》,将定级信息系统等级保护的各项基本要求与信息安全现状进行对比分析,从管理和技术两个层面找出存在的问题,并开展差距评估。? (3)等保安全评估服务? 对应用系统常见威胁进行评估,同时根据等级保护要求,结合信息系统的具体情况,协助开展等级保护安全测试评估工作。? (4)安全整改加固服务? 依据等级保护基本要求以及风险分析结果,专业工程师对安全整改加固工作进行辅导,确保满足等保要求。? (5)管理制度建设服务? 对网络安全管理制度进行优化,按照等级保护管理部分的标准,补充及完善等级保护要求的管理体系建设中涉及的制度文档,以及相关记录的完善工作。? (6)等保复测评服务? 在测评阶段,配合开展等级测评有关工作,组织测评整改,辅助学校顺利通过等保测评并获得测评报告。 (7)等级保护测评服务 按照《信息安全等级保护管理办法》《信息安全技术网络安全等级保护基本要求》(GB/T2注册后查看9-2****9)、《信息安全技术网络安全等级保护测评要求》(GB/T2注册后查看8-2****9)、《信息安全技术网络安全等级保护测评过程指南》(GB/T2注册后查看0-2****9)、《信息安全技术网络安全保护等级实施指南》(GB/T2注册后查看8-2****9)的要求,完成对等级保护服务范围内提供≥4个三级(共5次)、6个二级(共6次)的系统等保测评。测评包括但不限于: (1)安全物理环境?:涵盖物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。? (2)安全通信网络?:包括网络架构、通信传输、可信验证等方面。? (3)安全区域边界?:涉及边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等方面。? (4)安全计算环境?:包含身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面。? (5)安全管理中心?:包括系统管理、审计管理、安全管理、集中管控等方面。? (6)安全管理制度?:涵盖安全策略、管理制度、制定和发布、评审和修订等方面。? (7)安全管理机构?:包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等方面。? (8)安全管理人员?:涉及人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等方面。? (9)安全建设管理?:包括定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等方面。? (1**$3)安全运维管理?:涵盖环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安全事件处置、应急预案管理、外包运维管理等方面。? 交付成果包括但不限于《信息安全等级保护等级测评报告》,且测评报告的内容及格式严格遵照《信息系统安全等级测评报告模版》。 二、渗透测试服务。在服务期限内,按需提供渗透测试服务,服务对象≥1**$3个应用系统。安排安全攻防专家针对目标系统开展黑客模拟攻击渗透测试服务,全面检测被测系统的安全性。 1、渗透测试内容? 渗透测试应至少包括但不限于WEB应用系统渗透、主机操作系统渗透、数据库系统渗透。? 2、渗透测试方法? 渗透测试方法需模拟黑客入侵思路与技术手段,以人工渗透为主,工具为辅。工具包括但不局限于信息收集工具、扫描工具、口令猜测工具、脚本测试工具等。? 3、渗透测试项目? 渗透测试项目包括但不局限于配置管理、身份鉴别、认证授权、会话管理、输入验证错误处理、业务逻辑等。? 4、渗透测试具体方式? 渗透测试方法包括但不局限于信息收集、端口扫描、公网登录口的口令猜测、远程溢出、本地溢出、脚本测试、目标系统权限获取等。测试服务方式需包括但不限于现场测试与远程测试、黑盒与白盒测试。? 5、服务成果交付? 服务结束后需编写渗透测试报告并提交给学校,报告需对业务系统中存在的安全隐患以及专业的漏洞风险提供专业的处置建议。报告内容应包括但不限于信息系统整体安全状况综述、具体发现的漏洞、漏洞危险程度、修复建议等。待系统修复漏洞后,对渗透测试中发现的问题进行复测,以确认漏洞得到修复。 三、上线测试服务。针对≥1**$3个新上线业务系统开展安全检测,最终交付以实际新上线系统数量为准,将风险控制在系统上线前,助力学校强化安全体系建设,提升整体安全防护能力。上线测试覆盖配置管理、身份认证、会话管理、授权测试、上传下载、信息泄漏、数据存储等功能模块,同时涵盖XSS跨站脚本攻击、SQL注入等OWASP十大漏洞检测,并提交上线测试报告。具体服务内容包括但不限于: (1)配置管理测试 主要针对以下方面开展测试:敏感目录遍历检测、敏感接口安全性测试、通过Robots方式查找敏感接口、Web服务器控制台访问控制测试、文件备份完整性与安全性测试、HTTP方法合规性测试(如PUT、DELETE等方法的滥用风险)、历史高危漏洞复现测试(如Struts2漏洞、Heartbleed等)等 (2)认证测试。重点测试内容包括:登录验证码有效性与防暴力破解机制、认证错误提示的信息安全性(避免泄露账户状态)、账户锁定策略(如多次错误登录后的锁定规则)、认证绕过漏洞检测(如会话固定、弱口令绕过等)、找回密码与修改密码流程的安全性、数据传输加密机制(如HTTPS协议应用、敏感信息加密)、强口令策略执行情况(密码复杂度要求、有效期等)、手机验证码防重放与频率限制、撞库攻击防护能力测试、接口滥用防护(如短信接口、登录接口的频次控制)等 (3)会话管理测试。覆盖:、会话变量泄露风险检测(如URL、日志中的会话ID暴露)、Cookie属性安全性测试(HttpOnly、Secure、SameSite等属性配置)、Cookie存储方式合规性(是否明文存储敏感信息)、学校注销登录的完整性(会话信息是否完全失效)、注销时会话信息清理彻底性测试、会话超时时间合理性验证(如非活跃状态下的自动登出)、会话固定漏洞测试(登录前后会话ID是否更新)等。 (4)授权测试。主要检测以下风险场景:授权模式绕过漏洞(如未授权访问关键功能)、横向越权测试(相同权限学校间的数据访问越权)、纵向越权测试(低权限学校获取高权限操作能力)、管理后台对外网暴露风险检测、后台页面未授权访问漏洞扫描、中间件未授权访问漏洞(如Tomcat、Weblogic管理控制台)等。 (5)文件上传下载测试。测试内容包括:HTTPPUT/MOVE方法的文件上传安全性(如任意文件上传漏洞)、页面上传功能的文件类型限制、大小限制及恶意代码检测、文件下载功能的路径遍历风险测试(如下载任意文件漏洞)等。 (6)信息泄露测试。重点检测:连接数据库的账号密码加密存储情况、学校端源代码中的敏感信息暴露(如API密钥、配置信息)、源代码注释中的敏感信息残留、数据存储安全性(如明文存储身份证号、银行卡号等)、注册手机号批量获取漏洞(如接口未做频率限制)、Json数据中的敏感信息暴露风险等。 (7)数据验证测试。主要针对以下漏洞类型开展检测:跨站脚本类漏洞(XSS):反射型、存储型、DOM型、SQL注入类漏洞:数字型、字符型、盲注等场景、命令执行漏洞:操作系统命令注入、代码注入风险等。 本项目的安全服务商具备漏洞挖掘与整改能力,具备国家信息安全漏洞共享平台(CNVD)技术组、用户组认证,投标时提供国家信息安全漏洞共享平台官网的查询结果。 服务成果交付。测试完成后提交《新上线业务系统安全测试报告》,内容包括:系统整体安全状况评估、各测试模块发现的漏洞详情(含漏洞类型、危害等级)、专业修复建议与风险处置方案。 四、安全巡检服务。在服务期限内,每季度提供一次网络安全巡检服务,安全巡检服务对象不少于1**$3个业务系统及其支撑的基础网络设备。通过开展资产评估、入侵清查、漏洞扫描、策略有效性核查、辅助加固等工作,全面排查安全隐患,服务结束后输出专业报告。? (1)资产评估服务?。对服务对象的业务系统、网络结构、信息资产等进行全面识别,根据资产的表现形式对资产进行科学分类和深入分析,明确资产的重要性和安全防护重点。? (2)入侵清查服务?。网页木马查杀:深入检查上传图片、文本、脚本以及其他可疑的网站后门程序,彻底清除潜在的网页木马威胁。?系统后门检查:重点发现并清除绕过杀毒软件的系统后门,确保系统核心安全。?入侵痕迹检查:对账号、启动项、进程、网络连接等进行细致检查,保证应用系统所属基础运行环境的安全,杜绝黑客利用隐藏方式躲避检查的安全隐患。?日志分析:通过对系统层日志、安全日志、应用层日志以及其他特征的深入分析,精准发现网站入侵痕迹。? (3)漏洞扫描服务?。借助安全漏洞挖掘工具和在线检测平台等多种方式,全面测试和识别当前网络中的安全漏洞和存在的安全脆弱性,全方位检测网络中的各类脆弱性风险,并提供专业、有效的安全分析和修补建议。 本项目的安全服务商具备原创漏洞挖掘技术能力,具备2****3年以来获得国家信息安全漏洞共享平台年度漏洞信息报送突出贡献单位及工信部网络安全威胁和漏洞信息共享平台通用网络产品安全漏洞专业库技术支撑单位认证,投标时提供相关证明材料,原件备查。 (4)策略有效性核查服务?。查看网络安全设备运行状态,确保设备正常运行。?排查安全配置,保障安全策略设置的合理性和有效性。?分析日志系统,从中发现潜在的安全问题和异常情况。?查看特征库升级情况,保证安全防护的及时性和有效性。? (5)辅助加固服务?。根据安全巡检分析的结果,提供专业的安全加固建议,并派遣专业工程师到现场进行辅助加固,具体包括:?安全策略优化辅导,提升安全策略的防护能力。?服务器病毒检查与清理,保障服务器的安全运行。?提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议,全面提升系统的安全性。?加固完成后,对加固后的系统脆弱性进行复查,确保加固效果。 服务成果交付?。在安全巡检服务结束后,输出详细的《安全巡检报告》,报告内容涵盖巡检过程中发现的安全问题、问题分析、加固建议等,为学校的安全管理提供有力依据。 五、应急响应服务。提供7×2**$3小时全天候远程支持服务,确保在任意时间快速响应安全事件。具体应急响应时间标准如下:5分钟响应启动:接收到安全事件通知后,立即启动应急响应机制,完成事件信息确认并组建专业应急响应团队。3**$3分钟远程处置:通过远程方式对安全事件开展详细分析、精准定位与全面排查,初步判定事件性质、影响范围及潜在风险。 远程处置服务工具支持虚拟IP访问,在监控中心查看在线用户,审计中心查看用户日志(提供封面具有CMA及CNAS标识的第三方检测报告复印件,至少包含报告首页、对应功能测试页和报告尾页,原件备查)。6**$3分钟现场抵达:应急响应工程师在1小时内到达现场,开展实地应急处置工作,确保第一时间控制事件发展。? 应急响应服务具体内容?。在应急响应过程中,工程师将依据人员反馈及设备监测到的攻击信息,对正在发生或已发生的安全事件进行专业化处理,主要工作包括:?日志分析与溯源取证:对流量日志、主机系统日志、应用程序日志进行深度分析审计,追溯安全事件源头,明确攻击路径、手段及攻击者特征,为后续处置提供依据。?漏洞修复与问题整改:协助学校及时修复发现的安全漏洞,对漏洞修复效果进行复查验证,全面整改安全隐患,有效遏制安全事件进一步扩大,降低对业务系统的影响。?系统安全保障:采取针对性安全措施,保障系统持续安全可靠运行,通过实时监控、风险预警等手段,最大限度减少安全事件对业务连续性的干扰。? 本项目的安全服务商应具备国家互联网应急中心颁发的CNCERT网络安全应急服务甲级支撑单位认证,投标时提供证书复印件。 服务成果与报告交付?。应急响应工作结束后,向学校提供完整的《应急响应报告》,报告内容涵盖:?安全事件概述:包括事件发生时间、影响范围、初步现象等基本信息。技术分析过程:详细说明事件分析方法、漏洞定位过程及攻击手段解析。溯源结果呈现:明确攻击源、攻击路径及相关证据链。?漏洞修复情况:记录漏洞修复方案、实施过程及复查结果。? 整改建议方案:结合事件原因,提供系统性的安全整改建议与长期防护策略,助力提升整体安全防护能力。 六、应急演练服务。 1、服务目标与价值?。提供安全应急演练服务,通过体验式安全意识教育,有效提升信息安全管理及技术相关人员在面对网站安全突发事件时的组织指挥能力和应急处置能力,强化学校整体安全应急响应体系。 ?2、络与系统安全应急预案定制?。根据学校实际需求,量身定制1个场景的《安全应急预案》,确保预案符合学校  业务特点及安全管理要求,具备针对性和可操作性。?3、网络与系统安全应急演练实施?。针对定制的1个预案场景开展应急演练,演练过程严格模拟真实安全突发事件处置流程,检验相关人员对预案的掌握程度和应急响应能力。演练结束后提交《安全应急演练报告》,全面总结演练情况,包括演练过程、发现的问题、改进建议等,为学校完善安全应急管理提供参考。 七、重保服务。在上级部门组织的HW等活动期间,提供全面的防守保障服务,涵盖前期安全风险自查、安全整改加固、护网期间监测保障、人员现场值守、溯源分析、应急处置、演练后汇报总结等工作,并提交防守保障报告。 (1)安全防守统筹服务?。开展全面的安全防守工作梳理,构建科学、系统的安全防守策略。针对网信办、二级学院等不同主体,对安全防守内容进行明确划分,确保各主体在防守期间能够清晰知晓自身的工作任务与职责边界,切实保障防守期间各项工作的可执行性,为整体安全防守工作的有序开展奠定坚实基础。 (2)安全风险自查服务?。开展全面的自查工作,内容包括:?资产梳理:清晰识别并整理网络中的各类资产。?网络架构安全评估:对网络架构的安全性进行专业评估。?安全策略有效性排查:检查安全策略是否有效执行。?口令审计及漏洞扫描:审计口令安全性,扫描系统漏洞。?服务器入侵清查:清查服务器是否存在入侵情况。?渗透测试:深入测试系统的安全性。?基线配置核查:核查系统基线配置是否符合安全要求。?主机安全防护情况排查:检查主机安全防护措施的落实情况。?目标系统、重要系统区域隔离情况排查:排查目标系统和重要系统的区域隔离是否到位。? (3)安全整改加固服务?。针对自查发现的问题进行整改加固,包括:?强化口令安全,设置强口令。?优化外部访问权限和内部访问IP设置。?优化业务系统所在网络区域,完善访问控制策略。?协助进行应用系统漏洞验证和整改,确保系统安全。 (4)安全监测保障服务? 通过现有的安全监测工具,结合安全专家团队在学校 现场进行安全监测,对网络中的异常流量进行分析,及时发现可疑的执行文件和网络流量,针对潜在的未知攻击进行预警,全方位保障网络安全。(5)7*2**$3小时在线安全托管服务 HW期间为学校 提供线上7*2**$3小时安全托管,应有成熟的教育行业服务经验,提供≥2**$3家9***5/2***1高校应用交付案例,提供服务成果展示门户,通过可视化的数据,清晰的了解监测预警水平,至少展示包括漏洞闭环率、漏洞平均响应时长、威胁闭环率、威胁平均响应时长、威胁平均闭环时长、事件闭环率、事件平均闭环时长等,至少提供3名线上安全服务工程师与本地值守人员对接,实时保障学校网络安全。所采用服务平台应当做好严格的安全防护,并严格按照《信息安全技术—网络安全等级保护基本要求》至少通过等级保护三级测评(提供提供报告首页、基本信息表、等级测评结论页复印件,报告应指出该平台用于提供7*2**$3小时安全托管服务,原件备查)(6)现场值守与溯源分析服务?。提供工程师现场保障值守服务,对监测发现的网络风险、主机风险、网站风险进行统筹溯源分析。?对流量日志、主机日志、应用日志进行分析、审计、溯源等操作,准确找出事件根源,为后续处置提供依据。?依托服务工具实现未知病毒检测,支持静态文件二进制特征、动态行为特征(提供封面具有CMA及CNAS标识的第三方检测报告复印件,至少包含报告首页、对应功能测试页和报告尾页) (7)应急处置服务?。根据攻击信息,对正在发生或已经发生的安全事件进行处理,及时修复漏洞、复查漏洞、整改问题,有效控制安全事件的进一步扩大,确保系统的安全、可靠运行。依托服务工具实现云端与本地威胁情报共享,实时收集同步攻击者IP,并详细展示情报列表,包括IOC、区域、来源、更新时间、剩余封锁时间、状态、操作等,联动学校节点云安全资源池防火墙实现自动封锁(提供封面具有CMA及CNAS标识的第三方检测报告复印件,至少包含报告首页、对应功能测试页和报告尾页,原件备查) (8)对防守过程中的事宜进行各方协调和汇报工作。?撰写总结报告,梳理防守过程中的经验与问题。?推进整改问题和复查漏洞,不断完善网络安全防护体系。? (9)重要时期专项保障?。在全国两会、国庆等重要时期,提供 7×2**$3 小时全天候值守,确保实时响应安全事件。同时对信息系统(含网站)开展安全监测,重点排查异常流量、可疑访问及漏洞利用行为。一旦发生突发安全事件,立即启动应急响应机制,同步开展事件处置、漏洞修复及溯源分析,以控制风险扩散。实时采集、研判高级威胁情报,结合学校网络环境制定防护策略,并与安全保障指挥体系共享情报信息,提升整体防范能力。 服务工具应具备微信小程序服务过程展示门户,实时直观地查阅服务的每日运营动态。运营动态需包括【事件通告】【威胁通告】【威胁情报】【服务报告】【夜间值守快报】等,并支持自定义进行筛选和管理(提供相关截图证明)??。服务团队与质量要求?:投标人提供的项目人员为专业团队,需参与现场保障支持,对威胁告警事件进行分析处置。?投标人需定期输出安全值守保障报告并向安全保障指挥领导小组汇报。 八、安全培训服务。提供安全技术培训服务,培训内容聚焦网络安全核心领域,包括但不限于以下方面:1、网站安全防护与维护:涵盖网站漏洞检测、入侵防御、日常安全运维策略等内容,提升网站安全防护能力。?2、网站安全开发:讲解安全编码规范、常见安全漏洞(如XSS、SQL注入等)的防范措施,强化开发过程中的安全意识。?3、应急响应:介绍安全事件应急响应流程、处置方法及工具使用,提高应对突发安全事件的能力。?4、等保安全建设:解读等级保护相关标准与要求,分享等保合规建设的实施路径与实践经验。?5、网络安全技术攻防:分析常见攻击手段与防御技术,通过案例讲解提升攻防实战能力。? 九、安全意识培训服务?。提供的安全意识培训服务,从多维度强化参训人员的安全意识,培训内容包括:?个人电脑安全:讲解电脑病毒防范、系统补丁更新、账号密码管理等实用技能,保障个人设备安全。?邮件安全:分析钓鱼邮件特征、防范方法及邮件附件安全处理要点,降低邮件安全风险。?移动安全:介绍移动设备安全设置、应用程序安全下载与使用、移动支付安全防护等内容。?日常工作生活安全:结合办公场景与日常生活,强调数据安全保护、公共网络使用安全、社会工程学防范等意识。 十、网站安全监控服务。支持通过专业的网站安全监控平台对网站进行实时监控,定期汇总安全监控情况,并提交详细的监控报告,确保学校实时掌控网站的可用性与安全性。支持对网站首页进行轮询探测,若网站无法访问,将通过邮件或短信等方式立即发出告警,确保及时发现并处理网站异常情况。? (1)实时告警功能?。支持告警分级、事件响应与处理、分析,更有针对性地处理不同级别的安全事件。? (2)实时监控与故障定位?。支持实时查看最新告警监控项目,快速定位故障异常,并及时掌握恢复信息,以便迅速采取措施解决问题。? (3)灵活的监控频率设置?。支持设置不同的网站监控频率,满足不同场景下的监控需求。? (4)故障与告警统计分析?。提供故障汇总统计功能,通过快照进行故障分析,同时对告警消息进行汇总统计,为学校分析网站安全状况提供数据支持。? (5)多渠道告警通知?。支持通过邮件、短信、微信等多种方式及时接收告警通知,确保学校不会错过任何重要的告警信息。 十一、安全规划咨询服务。贯彻落实国家及国际信息安全标准规范、信息安全策略以及行业发展动态,在对学校信息安全现状进行科学的风险评估基础上,结合学校实际需求,为学校提供专业的日常安全咨询服务,围绕学校节点云网络安全规划、安全决策支持以及安全事件处理等方面,从安全技术、安全管理、安全运营三个关键角度,提供完整且全面的安全规划方案,有力推动学校 节点云信息安全建设的有效实施。本项目的安全服务商应具备风险评估与应急处理能力,获得CCRC信息安全风险评估服务资质一级及信息安全应急处理服务资质一级认证,投标时提供证书复印件证明,原件备查。 十二、本项目服务期限:2****5年7月-2****6年8月。 |
| 售后服务 | 质量保证期:验收合格之日起算一年;服务网点:当地;维修响应时限:报修后2**$3小时内响应;电话支持:7×2**$3小时;备用机:4**$3小时内无法排除故障,免费提供同档次备用机;质保期外:质保期外承担终身维修服务,维修过程只收取配件费,且以最优惠价格提供; |
福州大学
2****5-0**$3-2**$3 0**$3:3**$3:2**$3
报名地址: 点击跳转
附件下载
