项目概况
安全运维服务项目的潜在供应商应在苏州政府采购交易管理平台获取采购文件,并于2020年11月30日 9点30分(北京时间)前提交响应文件。
一、项目基本情况
项目编号:HXZX2020-BS-T-024
项目名称:安全运维服务
采购方式:竞争性谈判
预算金额:人民币壹拾玖万柒仟元整(¥197000.00)
采购需求:
(一)服务内容:
序号 | 服务名称 | 服务内容概述 |
1 | 业务系统漏洞扫描服务和加固服务 | 系统漏洞扫描服务包含:系统层漏洞扫描、网络层安全漏洞扫描、应用层漏洞扫描;加固服务。 |
2 | 上线前安全检查 | 1、针对院方业务系统特征完成各系统安全基线的建设工作。 2、院方每次新的业务系统上线前,需进行相应系统或版本的安全检查工作,新系统或版本经过相关测试达到设计要求后,进入安全检查流程。 |
3 | 渗透测试 | 渗透测试主要依据已经发现的安全漏洞,模拟入侵者的攻击方法对院方系统和网络进行非破坏性质的攻击性测试。渗透测试主要以人工渗透为主,辅助以攻击工具的使用,保证整个渗透测试过程都在可以控制和调整的范围之内。服务应包含网络方面、系统方面和应用方面、加固服务。 |
4 | 应急响应服务 | 1、在第一时间内对院方信息系统面临的紧急安全事件及潜在威胁进行紧急响应。紧急安全事故包括:大规模病毒爆发、网络入侵事件、拒绝服务攻击、主机或网络异常事件等。潜在威胁包括外网爆发的大规模安全事件、尚未影响到院方,但存在极大安全隐患的。 2、协助完成院方信息安全应急预案制定和修订工作,建立全面的信息安全体系。 |
5 | 安全咨询服务 | 根据国家信息安全相关标准规范对院方信息系统的规划、设计、建设、改造、验收、上线、运营以及废弃等阶段中涉及的安全问题提供顾问咨询服务;依据等级保护要求出具相应的等级保护报告,协助院方做好等级保护工作。 |
6 | 安全培训服务 | 针对不同岗位和职责的人员提供不同培训内容,包括信息安全意识教育、网络攻防、应用安全开发和国家等级保护相关标准的培训。内容包含安全培训计划、安全意识培训、安全技能培训、等级保护标准培训;提供信息安全宣传材料。 |
7 | 驻场工程师 | 网络安全服务及运维驻场服务,提供专业驻场信息安全运维人员一名,为期一年。服务期内学院新增的安全设备维护、积极参与学院的信息安全建设中来,服从院方临时指派的各项工作。 |
(二) 服务要求:
(1)业务系统漏洞扫描和加固服务
执行内容 | 执行细节 | 执行周期、频率 | 响应方式 |
业务系统脆弱性扫描 | 系统层:包含UNIX系列、Linux系列以及专用操作系统等。通过脆弱性扫描需发现操作系统本身的不安全因素,主要包括身份认证、访问控制、系统漏洞等及操作系统的安全配置问题。 | ≥4次 /年 | 针对扫描服务发现的漏洞,要求能够提供专业有效的解决建议,同时需派驻场人员进行,对漏洞进行修复,对系统安全进行加固,并针对每次扫描发现的问题,形成总结性报告提交给院方。 |
网络层:通过脆弱性扫描需发现网络信息的安全性问题,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性、远程接入、域名系统、路由系统的安全等。 |
应用层:通过脆弱性扫描需发现所采用的应用软件和数据的安全性,包括:数据库软件、Web服务、电子邮件系统、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。 |
对评估范围内的主机、服务器、信息系统等进行安全扫描,需提供资产与漏洞的对应及分布情况,需提供可操作的安全建议或临时解决办法。 |
★可采用的扫描方式不仅限于硬件设备扫描,也可采用SaaS服务“零部署”的方式,收集资产并对资产进行漏洞扫描。 |
SaaS漏洞扫描可支持服务试用,可用于日常对各类IT资产操作系统或交换路由设备及系统上运行的数据库、Web网站等服务上存在的安全漏洞进行定期自助扫描。 |
扫描内容包含漏洞扫描、配置核查、WEB应用扫描等,对于扫描出的漏洞风险、配置核查风险、WEB应用风险需进行综合分析,给出总体综合评估结论,扫描报告可包含主机漏洞、配置核查等多项结果。 |
设备支持风险告警和风险闭环处理,可在集中告警平台灵活配置告警内容、告警方式、告警资产范围等,支持邮件和页面告警,支持单个或批量修改风险状态。 |
设备可按IP范围、起止时间、任务名称、任务状态、漏洞模板、配置模板、用户账号筛选所有扫描任务并进行汇总,支持在线查看汇总的风险详情和输出离线汇总报表。 |
设备支持Web应用扫描能力,提供多种Web应用漏洞的安全检测,如SQL注入、跨站脚本、网站挂马、网页木马、CGI漏洞等。 |
设备配置核查支持本地检查,可以利用ActiveX控件进行本地检查,仅需要IE访问配置核查设备即可进行本机配置核查 |
外网远程扫描需针对信息系统层面,通过扫描器发现信息系统常见的SQL注入、跨站等漏洞。 |
(2)上线前安全检查
执行内容 | 执行细节 | 执行周期、频率 | 响应方式 |
安全基线建设 | 基于每个业务系统的基本特征,建设各自的系统层面的安全基线 | 每年2次 | 基于业务系统的安全特性制定相应的安全基线。 |
系统上线前检查 | 需进行相应系统或版本的安全检查工作,新系统或版本经过相关测试达到设计要求后,进入安全检查流程,由院方将需进行安全检查的系统信息提交厂家服务人员。服务厂家安全检查团队需要在第一时间确认,并提供专业的安全检查方案,按照以下检查项目进行全面安全检查:
★(1) 文档资料检查
★(2) 网络安全检查
★(3) 账号口令安全检查
★(4) 服务端口检查
▲(5) 防病毒软件检查
★(6) 漏洞扫描检查
▲(7) 应用安全检查
▲(8) 清除临时文件
▲(9) 代码安全检查 | 不限次数 | 需自备相关安全检查软硬件,最终将安全检查结果输出报告提交院方。 |
(3)渗透测试服务
执行内容 | 执行细节 | 执行周期、频率 | 响应方式 |
网站漏洞渗透测项目 | ★在服务期内对院方门户系统、主数据平台等进行渗透测试。 其中各类系统需要分别从学生、教师、管理员三个角色进行测试。 |
|
更多
