来源:杭州市质量技术监督检测院 发布时间:2020年08月20日 浏览次数:()
杭州市质量技术监督检测院作为采购机构,就系统网络安全服务进行公开询价。具体如下:
一、采购编号:HZZJY-YW-202002
二、项目名称:系统网络安全服务
三 采购预算:本项目采购预算不超过人民币12万元
三、服务内容
本次拟采购网络安全服务,投标方需提供原厂服务授权函,中标后由原厂工程师上门提供安全技术服务支持。具体服务如下:
依据相关国家标准及教育行业标准,对我院信息安全建设提供整体安全方案咨询服务,内容包含但不限于边界安全、应用安全、数据安全、内网安全、云计算安全、运维安全、安全服务等。
提供7*24时网络安全咨询服务热线,解答我院在安全建设、运维过程中的安全问题。
协助我院管理员划分网络安全域,完善数据中心总体各区域拓扑及架构基础,梳理数据中心安全隐患,规划数据中心总体安全架构。
服务频率:
每季度一次。
交付物:
《信息安全建设方案》、《数据中心安全建设方案》。
安全服务人员使用自主研发的商用安全评估工具对网站进行漏洞扫描,发现网站存在的web应用漏洞、主机操作系统漏洞、数据库漏洞、逻辑缺陷、弱口令、信息泄露等脆弱性问题。扫描结束后进行人工验证并去除误报,生成相关报告并提供加固建议。
安全评估工具要求:
(1)须提供自主研发的专业WEB应用弱点扫描工具。
(2)为确保安全评估工具的成熟度,供应厂商为微软MAPP成员,可在微软发布每月安全公告之前获得微软产品的详细漏洞信息,以便提供更及时的安全防护;
(3)支持TCP SYN扫描、connect扫描、TCP ACK扫描、UDP扫描、TCP FIN扫描、TCP NULL扫描、Xmas Tree扫描、idle扫描等;
(4)支持漏洞检测、篡改检测、敏感内容检测、挂马和暗链检测。
(5)支持自定义网站操作系统、数据库、中间件等信息。
服务频次:
每季度一次,对我单位内网所有安全服务点进行漏洞扫描,包括网站、服务器、网络设备、安全设备等。
交付物:
《漏洞扫描报告》
3.渗透测试服务
要求针对我院所有核心网站及应用系统通过真实模拟黑客使用的工具、分析方法来对应用进行模拟攻击,由高级工程师进行深入的手工测试和分析,识别工具弱点扫描无法发现的问题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误以及其他专项内容等。渗透结束后要求生成相关报告并提供修复建议。
服务频率:
一年内按我院要求进行渗透测试服务工作,要求频率不低于每半年一次,如有新系统上线或其他特殊需求,投标方需及时提供技术支持,且不得增加其他额外费用。
交付物:
《渗透测试报告》。
4.应急响应服务
安全应急响应服务主要是针对安全事件发生时,及时,准确的解决安全事件,化解安全危机、将安全事件的风险及损失降到最低。安全事件是指在客户信息系统中出现的影响业务正常运行的任何异常事件。例如:破坏系统的完整性、系统资源拒绝服务、通过渗透或者入侵的方式来对系统进行非法访问,系统资源的滥用以及任何可能对系统造成损害的行为等。
本项目提供如下服务:
(1)提供入侵影响抑制:通过对事件检测分析,提供抑制手段,降低入侵影响,协助快速恢复业务。
(2)提供入侵威胁清除:排查攻击路径,恶意文件清除,分析入侵事件原因。
(3)提供入侵原因分析:排查攻击路径,分析入侵事件原因。
(4)提供加固建议指导:结合现有安全防御体系,指导用户进行安全加固,防止再次入侵。
服务频次:
一年内按需要求服务方进行现场应急响应服务。
5.安全服务要求:
安全服务商须按照我院技术要求进行服务工作,确保我院办公网络稳定安全运行,具体要求如下:
(1)配备专业化的团队运维队伍,建立热线客服、一线上门维护人员、项目管理人员、后备技术支撑的一体化运维体系。
(2)建立7×8小时维护体系,由专人值班,建立固定的网管值班电话并保证24小时联络畅通。对全院终端与网络设备及线路故障应做到处理及时,局部故障1小时内响应,2小时内恢复;重大故障0.5小时内响应,2小时内恢复,并建立故障逐级通报制度。
(3)做好周期性的维护工作,建立健全各种技术文档资料。每季度第一个月结束前,提供上一个季度完整的漏扫报告及对应漏洞的解决方案。
(4)为保证服务厂商在本地有健全的服务体系,要求服务厂商在杭州设有分公司;
(5)为保证服务人员的专业性和稳定性,要求服务人员提供服务厂商在杭分公司连续24个月的社保缴纳证明,同时服务人员需提供CISSP认证证书,以证明其安全服务能力。
(6)服务厂商必须具备过硬的安全服务技术能力,安全服务团队获得过“红帽杯”网络安全攻防大赛冠军。
(7)服务厂商需具备《IT产品信息安全认证证书》(EAL4增强级)。
(8)服务厂商需具备《网络关键设备和网络安全专用产品安全认证证书》(万兆增强级)。
以上证明文件需安全服务厂商盖章证明,投标时提供盖章原件,不提供者均作为无效响应文件处理。
4.本项目不接受联合体投标。
五、采购方式:询价采购。
六、获取采购文件:在本公告网页下载附件,如需纸质采购文件请按本公告第7条要求前往杭州市质量技术监督检测院领取采购文件。
七、领取采购文件:
(1)时间:2020年8月20日-2020年8月28日
(2)地点:杭州市质量技术监督检测院(江干区九环路50号613室)。
(3)领取标书时必须提供企业法人营业执照复印件,法人委托书等(均需加盖公章)。
八、应标文件投递截止时间与地点:截止时间至2020年8月28日,九环路50号杭州市质量技术监督检测院613室。
九、应标文件需包含:运维报价、相关资质复印件盖章、应标承诺书,其他投标人认为需要提供的材料。
十、联系方式:杭州市质量技术监督检测院;联系人:张艳南;联系电话: 85378534 。