重庆市商务信息和数据中心2022年网络安全服务项目

28.86

1

参照服务要求及内容

合同签订之日起至2023年2月28日

1

网络安全资产普查服务

1将采购人现有及服务期内新增的设备、业务系统、使用部门、责任人等相关信息整合在一个完整的资料库中,做到整个信息化环境中的资产情况做到心中有底,有帐可查。

2、资料库应包含但不限于操作系统、IP地址、数据库、数据库IP、中间件、开发语言、应用组件、主管部门、系统数据、备份方式等要素。

3、提交“信息化系统资料库”。

2

渗透测试服务

1、派遣专业团队对采购人指定的11个信息系统进行抵抗入侵攻击能力测试;

服务内容:

(1)web应用业务系统安全检测:对被测目标业务系统业务功能进行安全检测,对象包括OWASP Top10在内的常规漏洞,如SQL注入、代码注入、XSS、CSRF、SSRF、XXE、越权、逻辑漏洞、文件包含、文件上传、任意文件读取、验证码安全等。

(2)Web应用业务系统支撑服务检测:对支持Web应用业务稳定运行的服务进行安全检测,对象包括常见系统服务、常见容器组件、业务框架、业务相关支撑系统。

(3)互联网暴露面安全检测:模拟真实的黑客攻击,通过互联网(外网)对被测系统进行安全检测,检测范围包含应用层安全、系统安全、运维安全等

(4)内部网络网安全检测:以外部获取内网主机权限,或直接接入企业内网的方式,对内网进行横向深度安全检测,发现内网中的安全问题,如业务系统未授权访问、系统弱口令、核心敏感信息泄露等。

服务方式:

(1)信息采集分析,通过包括主机网络扫描、操作系统类型识别、应用判别、账号扫描、配置判别等,收集业务系统所在业务场景中的关联资产信息;在信息搜集和整理环节,优先考虑受测网站或程序的基本参数,以便尽可能减少其在测试过程中受到的压力,保证目标业务系统稳定运行;

(2)针对目标业务逻辑、网络环境、系统架构,通过信息收集和数据分析,通过对漏洞的路径式利用的评估,根据目标系统(包含网络、主机、数据库、中间件、应用系统等)所存在的脆弱点,对目标所获取的权限级别来确定进一步进行脆弱点资产的探测或进一步收集目标系统信息,提升权限,最终获取系统最高权限;

(3)渗透测试过程中,安全测试人员针对整个安全测试过程进行详细记录,呈现整个安全测试的完整攻击路径;测试完成后,安全测试人员清理测试过程中的操作痕迹,恢复目标系统至原始状态;

(4)输出渗透测试报告,报告将客观记录漏洞的挖掘与利用过程,将整个渗透测试过程中的脆弱点串联形成攻击路径,方便漏洞复现;同时提供清晰可落地的修复建议,帮助快速修复隐患,总结抵御攻击的最佳实践评定安全漏洞级别并提出可行的修复建议,帮助客户解决影响业务系统安全的关键威胁;

(5)渗透测试报告陈述,由安全测试人员向客户复盘测试过程并讲解报告内容,涵盖漏洞成因、危害程度、修复建议,以及为防止同类问题再次发生而应采取的流程规范等。

2、由专业安全工程师模拟黑客使用的漏洞发现技术和攻击手段,对目标网络、系统、主机应用的安全性深入的探测,以发现整个系统中最脆弱环节。发现系统在编码、设备配置等方面存在的安全隐患,分析各项安全漏洞遭黑客利用的难易程度及可能带来的负面影响,相应的安全整改方法,并根据检测结果提供详尽的测试报告,总结系统漏洞并提出整改建议。

3、测试过程中,使用专业的安全分析工具(至少包含专业的主机网络安全分析、应用系统安全析工具)对待测系统进行安全分析。渗透测试工作完成之后,将本次渗透测试工作过程中所发现的信息系统的安全问题及处理方法进行总结;

4、服务对象为甲方指定11个信息系统;

5、出具《渗透测试报告》。

3

实时监测服务

自中标之日起至二十大闭幕前对采购人11个信息系统实时监测网络安全威胁,内容包括:

1、对系统(IPV4、IPV6)的安全状态进行全方位监测,包括网站漏洞(各类Web应用漏洞、网站敏感信息泄露);

2、对系统安全事件(网页挂马、暗链、关键词、挖矿、敏感图片、变更)监测;

3、对系统可用性(网站访问速度、网站应用状态)及网站信息(ICP备案、Alexa排名、IP、网站使用的三方组件及应用)监测;

4、基于单个或多个系统的历史历次检测结果绘制各类趋势图、柱状图、饼图。

5、系统漏洞监测包含信息泄露、配置风险、代码执行、目录穿越、目录浏览、文件包含、命令执行、注入漏洞、跨站脚本攻击、木马后门、Web应用程序漏洞、文件上传、跨站请求伪造等各项Web漏洞以及相关敏感信息泄露等

6、对监控系统进行如监控标签的自定义、修改网站标题、自动向网站管理人员发送告警邮件/短信等;支持系统综合检测情况报告生成,报告格式支持常见的Word/PDF/CSV格式等;

7、出具《网站监测报告》。

4

保密检查服务

对采购人指定的250台计算机进行全面的保密安全检查,内容包括:

1、是否使用非涉密网络(含非涉密工作内网)、互联网门户网站、互联网邮箱、即时通讯工具及公共云服务平台等存储、处理、传输国家涉密信息。

2、是否使用非涉密计算机及移动存储介质存储、处理国家秘密信息。

3、是否使用非涉密办公自动化设备存储、处理国家秘密信息。

4、是否使用手机、智能手表、录音笔等电子设备存储、处理国家秘密信息。

5、是否落实信息公开发布保密审查机制。

出具《保密检查报告》。

5

安全培训服务

1、提供有针对性的网络安全培训,内容包括网络安全意识教育、国家等级保护等相关标准的培训;

2、为了培训更具精准性,具体培训内容及时间由采购人决定;

3、培训频度为1次。

6

应急演练服务

协助采购人开展一次应急演练服务,内容包括:

1、定制演练方案。根据国家相关网络安全应急预案及标准规范,结合客户既定的网络安全应急预案及规章制度,契合客户的业务场景,依据应急演练主题为客户量身定制符合客户业务场景的网络安全应急演练方案,对演练的分类、流程设计,演练场景设计、演练人员安排、解说脚本设计等进行设计规划;出具《网络安全应急演练方案》

2、执行应急演练。通过执行既定主题的应急演练,模拟客户业务场景中可能真实发生的网络安全事件,体现客户内部在应对网络安全突发事件时内部应急处置过程,检验应急响应过程中整个应急处置团队的协同处置能力,提升客户网络安全应急意识和应对突发事件的能力;出具《网络安全应急演练报告》

3、优化应急预案。通过应急演练,检验既定的网络安全应急预案中所暴露的问题,进而验证应急预案在应对真实网络安全突发事件的有效性、适用性、可靠性以及人员的协同性,检验应急工作机制是完善,进一步对应急预案进行优化。

4、报告输出,根据应急演练结果,对相应的演练过程记录、演练情况评估、应急预案、演练现场总结情况等进行系统和全面的总结,并形成《应急演练总结报告》。

5、必要时修订网络安全事件应急预案。

7

应急响应服务

服务期内为采购人提供7X24小时、不限次数的应急响应服务,内容包括:

1、当采购人遭受网络病毒/木马、黑客入侵、DOS攻击以及发生其他网络安全事件时,供应商服务团队进行现场排查处理安全事件,保障业务系统的连续性,阻止和减小安全事件带来的负面影响,供应商服务团队第一时间通过电话进行远程指导,两小时内到达现场;

2、网络流量及日志审计:网络安全突发事件发生时,根据目标系统的网络流量、系统日志、应用日志、终端日志等进行流量与日志进行检测;全面审计系统与应用中的日志,识别异常行为;

3、依据流量与日志全面检测分析结果,针对网络安全事件类型进行定性,研判安全事件类型(如网络攻击﹝恶意扫描、漏洞攻击、暴力破解、拒绝服务等﹞、Web应用攻击﹝网页篡改、网页挂马、网页暗链等﹞、恶意代码﹝恶意病毒、僵尸网络程序、挖矿程序、勒索软件等﹞、业务安全﹝数据泄露、权限泄露等﹞;

4、综合分析目标业务系统中的各类事件痕迹,包括日志审计结果与漏洞存在情况等,找到攻击者的入侵途径;收集攻击者攻击时留下的攻击痕迹,固化好攻击入侵的数字证据;

5、针对目标系统进行全面排查和清理系统中的病毒、木马、蠕虫、后门等恶意程序,以及Web应用系统中的WebShell、篡改页面、暗链、挂马等恶意页面;协同快速恢复因受到攻击而无法正常动作的系统,最大程度地降低事件对型业务产生的不良影响;

6、针对攻击分析中发现的安全问题提供修复建议,配合用户需求完成整改和加固,降低业务安全风险。

7、应急响应报告输出,应急响应报告报告将完整记录网络安全突发事件应急处置过程与具体应对操作,包括问题表现、产生原因、应急处置流程与手段、应急处置结果等,帮助评估事件影响,并对事件中暴露出的安全隐患提供针对性的修复建议,提高客户的事件应对能力。

8、应急响应服务工作完成后,针对此次事件的问题现象、发生原因以及处理过程,预防措施与建议进行总结报告;

9、出具《网络安全应急响应服务报告》。

8

重大活动保障服务

服务期内为采购人提供不限次数重大活动保障服务:

1、在举行重大活动、处理重要事件、以及特殊保障期(如两会、法定节日、敏感时期等)等时间节点,在活动前进行安全检查,活动期间实行7X24小时远程安全值守,保证按照上级要求做到及时处理;

2、重大时刻之前,会根据采购人信息系统的重要程度及工作规划,出具《重大时刻工作方案》,重点规划重大时刻的工作内容,巡检计划、应急处置、人员安排;

3、重大时刻结束后,对此次重大时刻工作内容进行总结,并出具《重大时刻工作报告》。

(一)

《中华人民共和国政府采购法》第二十二条规定

1.具有独立承担民事责任的能力

1.供应商法人营业执照(副本)或事业单位法人证书(副本)或个体工商户营业执照或有效的自然人身份证明或社会团体法人登记证书(提供复印件)。

2.供应商法定代表人身份证明和法定代表人授权代表委托书。

2.具有良好的商业信誉和健全的财务会计制度

供应商提供“基本资格条件承诺函”(格式自拟)

3.具有履行合同所必需的设备和专业技术能力

4.有依法缴纳税收和社会保障金的良好记录

5.参加政府采购活动前三年内,在经营活动中没有重大违法记录

6.法律、行政法规规定的其他条件

7.本项目的特定资格要求

按“三、供应商资格条件”的要求提交(如果有)。

(二)

落实政府采购政策需满足的资格要求

按“三、供应商资格条件(二)落实政府采购政策需满足的资格要求”的要求提交(如果有)。

1

有效性审查

响应文件签署或盖章

按询价文件“七、报名资料”要求签署或盖章。

法定代表人身份证明及授权委托书

法定代表人身份证明及授权委托书有效,签署或盖章齐全。

响应方案

每个包只能有一个响应方案。

报价唯一

只能有一个有效报价,不得提交选择性报价。

2

完整性审查

响应文件份数

响应文件正、副本数量(含电子文档)符合询价文件要求。

3

响应程度审查

实质性响应

服务响应偏离表和商务响应偏离表。

磋商有效期

响应文件及有关承诺文件有效期为提交响应文件截止时间起90天。

1

报价

(20%)

20

有效的投标报价中的最低价为评标基准价,按照下列公式计算每个投标人的投标价格得分。

投标报价得分=(评标基准价/投标报价)×价格权重×100。

对小型和微型企业产品的价格给予6%-10%的扣除,用扣除后的价格参与评审。

2

技术部分(45%)

技术要求(30%)

30

A起评分:

有效供应商的起评分为30分。

B扣分条款:

本招标文件“二、服务内容及要求”中有1条不满足的,从起评分中扣除3分;有3条及以上不满足招标文件要求的,技术要求得分为0分。

安全服务方案(15%)

15

投标人制定的安全服务方案,应包括各项服务的服务目的、服务内容、服务方式、服务成果等内容,根据服务方案针对性、科学性、可行性进行评审,优的得15分,一般的得8分,差的得3分,未提供得0分。

3

商务部分(35%)

企业实力(12%)

12

1. 投标人同时具备有效的ISO9001质量管理体系认证证书、ISO20000信息技术服务管理体系认证证书、ISO27001信息安全管理体系认证证书的得5分;具备其中2项认证的得3分;具备其中1个证书的得1分;未提供不得分。

2. 投标人同时具备有效的中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质认证、信息系统安全集成服务资质认证、信息系统安全运维服务资质认证证书的,得5分;具备其中2个证书的得3分;具备其中1个证书的得1分;未提供不得分。

3.投标人具备中国电子工业标准化技术协会信息技术服务分会颁发的ITSS信息技术服务标准符合性证书(业务领域:信息技术服务咨询设计)的得2分,不满足得0分。

提供证书复印件并加盖公章。

服务保障能力(11%)

11

1.投标人拟委派项目经理同时具备项目管理认证(高级项目经理或PMP)、信息安全专业人员认证CISP、信息安全保障人员认证CISAW风险管理专业级、信息网络安全专业人员认证证书高级信息安全师认证的得5分;具备其中3项的得3分,具备2项的得1分,其他不得分。

2.投标人二线专家团队成员,具备CISP-PTE(注册渗透测试工程师),每提供一个得2分,最多得4分,未提供不得分;

3.投标人二线专家团队成员,具备CCSSP(国际注册云安全系统认证专家),每提供一个得1分,最多得2分,未提供不得分;

提供证书复印件、项目所在地社保证明并加盖公章,社保缴纳单位名称须与投标人一致;二线团队人员不得重复使用项目实施团队人员。

售后服务(7%)

7

1.投标人具备有效的售后服务认证证书,售后范围与本项目相关,售后服务能力达到5星级的3分,没有得0分。

2.投标人具有稳定售后服务团队且具有专业认证售后服务管理师的,每提供1名得1分,最多得3分。

3.供应商承诺响应时间小于30分钟且到场时间小于2小时的,得1分。

提供证书复印件、项目所在地社保证明并加盖公章,社保缴纳单位名称须与投标人一致。

业绩(5%)

5

投标人近2年(2021-2022)承接过类似信息安全服务项目,每提供一个得1分,最多得5分,没有不得分。

提供合同复印件并加盖公章。