2022年網(wǎng)絡(luò)安全防護(hù)服務(wù)項(xiàng)目采購比選公告

河北省電子口岸發(fā)展股份有限公司計(jì)劃采購提升網(wǎng)絡(luò)安全防護(hù)的服務(wù)項(xiàng)目，現(xiàn)通過公開比選方式確定服務(wù)單位。

比選人資質(zhì)要求

*1、比選人應(yīng)為中華人民共和國境內(nèi)依法注冊，法律上和財(cái)務(wù)上獨(dú)立的法人或依法登記注冊的其他組織，具備有效的營業(yè)執(zhí)照，并提供有效的營業(yè)執(zhí)照復(fù)印件；

2、提供法人身份證復(fù)印件；

3、本項(xiàng)目不接受聯(lián)合體比選；

4、比選人不得存在下列情形之一：

（1）被責(zé)令停業(yè)的；

（2）被暫?；蛉∠麉⑦x資格的；

（3）財(cái)產(chǎn)被接管或凍結(jié)的；

（4）在最近三年內(nèi)有騙取中標(biāo)或嚴(yán)重違約或產(chǎn)品重大質(zhì)量問題的；

以上資質(zhì)帶“*”的條款為必須滿足項(xiàng)

技術(shù)服務(wù)要求

項(xiàng)目概況與項(xiàng)目范圍

1.1 項(xiàng)目名稱：2022年網(wǎng)絡(luò)安全防護(hù)服務(wù)項(xiàng)目。

1.2 項(xiàng)目范圍：本項(xiàng)目為根據(jù)《網(wǎng)絡(luò)安全法》及相關(guān)部門法律法規(guī)和政策文件要求，對(duì)省電子口岸公司計(jì)劃開展?jié)B透測試、漏洞掃描、重要時(shí)期安全保障、應(yīng)急響應(yīng)及應(yīng)急演練、安全意識(shí)和技能培訓(xùn)等，以保障業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行，分析定位信息系統(tǒng)安全風(fēng)險(xiǎn)和薄弱環(huán)節(jié)，制定信息系統(tǒng)安全風(fēng)險(xiǎn)管理策略，健全信息安全管理和保障體系，完善規(guī)章制度和操作流程。

1.3服務(wù)周期：截至2022年底。

服務(wù)要求

1、滲透測試服務(wù)

1.1模擬黑客的攻擊思路與技術(shù)手段，從攻擊者角度，發(fā)現(xiàn)應(yīng)用系統(tǒng)存在的安全隱患，檢測相關(guān)系統(tǒng)的威脅防御能力，深度挖掘應(yīng)用系統(tǒng)的安全漏洞，依據(jù)滲透對(duì)象，提供應(yīng)用滲透測試、系統(tǒng)滲透測試等，對(duì)院內(nèi)信息系統(tǒng)狀況進(jìn)行安全驗(yàn)證、數(shù)據(jù)分析并呈現(xiàn)驗(yàn)證結(jié)果。包括但不限于網(wǎng)站和重要業(yè)務(wù)系統(tǒng)等。

1.2 滲透方式至少包括:信息收集類、配置管理類（HTTP 方法測試、應(yīng)用中間件測試、信息泄露、異常錯(cuò)誤等）、認(rèn)證類、會(huì)話類（cookie測試、session會(huì)話測試等）、授權(quán)類（越權(quán)訪問、路徑遍歷、任意文件下載、邏輯缺陷測試等）、數(shù)據(jù)驗(yàn)證類（SQL 注入、跨站腳本、代碼注入、URL 跳轉(zhuǎn)、文件上傳測試等、輸入輸出校驗(yàn)繞過、數(shù)據(jù)篡改）、系統(tǒng)應(yīng)用漏洞（溢出、0day漏洞等）。

1.3按照提供的業(yè)務(wù)系統(tǒng)，提供不少于2次滲透測試并提交相應(yīng)的測試報(bào)告。

2、漏洞掃描

2.1使用專業(yè)安全漏洞掃描工具對(duì)評(píng)估目標(biāo)范圍內(nèi)對(duì)象進(jìn)行漏洞掃描，對(duì)信息系統(tǒng)的薄弱點(diǎn)進(jìn)行識(shí)別與評(píng)價(jià)，提交脆弱性分析報(bào)告。

2.2對(duì)出具的漏洞掃描結(jié)果的高危項(xiàng)，開展人工漏洞驗(yàn)證服務(wù)。服務(wù)涵蓋 Web 漏洞、主機(jī)、操作系統(tǒng)等高危漏洞。通過人工核查二次驗(yàn)證，最大限度去除漏洞誤報(bào)情況。

2.3人工核查單應(yīng)具備為不同的操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、中間件等獨(dú)立編制檢查單。內(nèi)容至少包括：補(bǔ)丁檢查、虛擬補(bǔ)丁檢查、賬戶和口令檢查、端口服務(wù)檢查、文件系統(tǒng)檢查、虛擬化云環(huán)境檢查、安全日志檢查、后門與日志檢查、暗鏈檢查、殺傷鏈檢查等內(nèi)容。

2.4漏洞掃描，不少于2次。  

3、應(yīng)急響應(yīng)及應(yīng)急演練支持

3.1提供安全事件應(yīng)急響應(yīng)工作。在出現(xiàn)重要安全事件時(shí)（信息系統(tǒng)遭受攻擊、網(wǎng)絡(luò)病毒爆發(fā)等），派遣高級(jí)安服人員團(tuán)隊(duì)現(xiàn)場支持、協(xié)助，對(duì)遇到的突發(fā)性安全事件進(jìn)行緊急分析和處理。主要工作內(nèi)容包括：突發(fā)事件相關(guān)信息的收集、事件的分析、報(bào)告提交、問題解決建議等，協(xié)助解決突發(fā)安全事件，并提供應(yīng)急響應(yīng)報(bào)告。

3.2提供7×24網(wǎng)絡(luò)安全應(yīng)急保障服務(wù)，當(dāng)服務(wù)對(duì)象的系統(tǒng)發(fā)生信息破壞事件（篡改、泄露、竊取、丟失等）、大規(guī)模病毒事件、網(wǎng)站漏洞事件等信息安全事件時(shí)，10分鐘內(nèi)做出響應(yīng)，30分鐘到場對(duì)安全事件進(jìn)行緊急處置，阻止事件的損害擴(kuò)大，恢復(fù)業(yè)務(wù)正常運(yùn)行，調(diào)查安全事件發(fā)生的原因并指導(dǎo)整改和加固，并協(xié)助相關(guān)部門處理安全問題；

3.3提供事件分析處理報(bào)告，就安全風(fēng)險(xiǎn)、安全事件描述、危害性、原因、排查過程、處置方法等進(jìn)行詳細(xì)說明，出具相關(guān)報(bào)告。

3.4提供1-2次的信息安全應(yīng)急響應(yīng)演練服務(wù)。

4、重要時(shí)期安全保障

4.1為保障招標(biāo)人的網(wǎng)站和重要業(yè)務(wù)系統(tǒng)在關(guān)鍵時(shí)期的安全穩(wěn)定運(yùn)行，避免突發(fā)網(wǎng)絡(luò)安全事件，在重要會(huì)議、重大活動(dòng)期間，按照招標(biāo)人的實(shí)際需要，投標(biāo)人須提供 7×24 小時(shí)的安全保障服務(wù)。

4.2重要會(huì)議、重大活動(dòng)期間包括但不限于:兩會(huì)、一帶一路、國慶慶典、凈網(wǎng)(護(hù)網(wǎng))行動(dòng)等。重要時(shí)期安全保障服務(wù)內(nèi)容至少包括:7×24小時(shí)安全值守、網(wǎng)站安全監(jiān)測、應(yīng)急響應(yīng)、安全預(yù)警等。

5、安全意識(shí)和技能培訓(xùn)

針對(duì)技術(shù)人員、管理層提供不同類型的信息安全培訓(xùn)，培訓(xùn)內(nèi)容包括但不限于網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)、信息安全管理、網(wǎng)絡(luò)安全法知識(shí)普及、政策法規(guī)、安全常識(shí)培訓(xùn)、安全意識(shí)培訓(xùn)等。

6、咨詢服務(wù)

提供信息系統(tǒng)的安全咨詢和整改建議等技術(shù)支持服務(wù)，涵蓋系統(tǒng)建設(shè)、運(yùn)維、管理、技術(shù)等相關(guān)安全問題；協(xié)助開展內(nèi)部網(wǎng)絡(luò)與信息安全檢查工作。

根據(jù)要求可采取現(xiàn)場操作培訓(xùn)、統(tǒng)一集中培訓(xùn)方式、遠(yuǎn)程培訓(xùn)等。

報(bào)價(jià)要求

本次比選項(xiàng)目的最高報(bào)價(jià)不超過14萬元，若投標(biāo)報(bào)價(jià)超過14萬元?jiǎng)t投標(biāo)無效。

人員要求

1、提供擬派參加本項(xiàng)目的主要人員名單以及各自職責(zé)的劃分，保證服務(wù)人員的穩(wěn)定性。

2、如人員不技能能滿足甲方要求，甲方有權(quán)要求投標(biāo)方調(diào)換人員，投標(biāo)方需在1個(gè)工作日內(nèi)向甲方提交備選工程師。

3、投標(biāo)方須針對(duì)本次項(xiàng)目組建本地技術(shù)團(tuán)隊(duì)，其中項(xiàng)目經(jīng)理 1 人，團(tuán)隊(duì)成員不少于 4 人。

售后服務(wù)質(zhì)量保障

除本項(xiàng)目工作實(shí)施內(nèi)容以外，投標(biāo)人在安全保障活動(dòng)期間免費(fèi)為招標(biāo)人提供安全硬件產(chǎn)品進(jìn)行支撐保障等。

7×24小時(shí)安全應(yīng)急保障服務(wù)，安全人員須在10分鐘內(nèi)響應(yīng)，60分鐘內(nèi)趕赴現(xiàn)場。

培訓(xùn)要求  

1、投標(biāo)人須提供良好的技術(shù)培訓(xùn)。  

2、培訓(xùn)主要內(nèi)容包括相關(guān)硬件和軟件課程，涵蓋檢測、診斷及維護(hù)方面的技術(shù)。在投標(biāo)文件中清楚地寫明培訓(xùn)計(jì)劃和安排。  

3、為提高網(wǎng)絡(luò)維護(hù)人員處理安全風(fēng)險(xiǎn)能力和安全意識(shí)，要求對(duì)甲方運(yùn)維人員進(jìn)行行業(yè)相關(guān)專業(yè)資格培訓(xùn)。

比選文件要求

1、比選文件遞交時(shí)間：自2022年10月12日至2022年10月14日上午9:00止。

2、比選文件遞交地點(diǎn)：河北省石家莊市新華區(qū)聯(lián)盟路699號(hào)信投集團(tuán)2層。

3、比選文件要求：比選文件需密封（加蓋公章），一式三份。

4、開標(biāo)時(shí)間：2022年10月14日上午。

4、聯(lián)系人及電話：王清 18633077705。

分享到微信

分享到微信朋友圈×

打開微信，點(diǎn)擊底部的“發(fā)現(xiàn)”，
使用“掃一掃”即可將網(wǎng)頁分享至朋友圈。