来源:杭州市质量技术监督检测院 发布时间:2021年03月19日 浏览次数:()
杭州市质量技术监督检测院作为采购机构,就系统安全服务、系统等保测评及虚拟化平台迁移服务进行公开询价。具体如下:
一、 采购编号:HZZJY-2021-04
二、 项目名称:系统安全服务、系统等保测评及虚拟化迁移服务
三、 采购预算:本项目采购预算不超过人民币22万元。
四、 采购内容
(一)网络安全服务(预算不超过12万元)
本次拟采购安全服务,投标方需提供原厂服务授权函,中标后由原厂工程师上门提供安全技术服务支持。具体服务如下:
1.安全咨询服务
依据相关国家标准及行业标准,对我院信息安全建设提供整体安全方案咨询服务,内容包含但不限于边界安全、应用安全、数据安全、内网安全、云计算安全、运维安全、安全服务等。
(1)提供7*24时网络安全咨询服务热线,解答我院在安全建设、运维过程中的安全问题。
(2)协助我院管理员划分网络安全域,完善数据中心总体各区域拓扑及架构基础,梳理数据中心安全隐患,规划数据中心总体安全架构。
服务频率:每季度一次。
交付物:《信息安全建设方案》、《数据中心安全建设方案》。
2.漏洞扫描服务
服务厂商原厂安全服务人员使用服务厂商自主研发的商用安全评估工具对网站进行漏洞扫描,发现网站存在的web应用漏洞、主机操作系统漏洞、数据库漏洞、逻辑缺陷、弱口令、信息泄露等脆弱性问题。扫描结束后进行人工验证并去除误报,生成相关报告并提供加固建议。
安全评估工具要求:
(1)须提供服务厂商自主研发的专业WEB应用弱点扫描工具(提供销售许可证复印件)。
(2)为确保安全评估工具的成熟度,供应厂商为微软MAPP成员,可在微软发布每月安全公告之前获得微软产品的详细漏洞信息,以便提供更及时的安全防护(提供微软官方网站证明文件复印件);
(3)支持TCP SYN扫描、connect扫描、TCP ACK扫描、UDP扫描、TCP FIN扫描、TCP NULL扫描、Xmas Tree扫描、idle扫描等;
(4)支持漏洞检测、篡改检测、敏感内容检测、挂马和暗链检测。
(5)支持自定义网站操作系统、数据库、中间件等信息。
服务频次:
每季度一次,对我单位内网所有安全服务点进行漏洞扫描,包括网站、服务器、网络设备、安全设备等。
交付物:
《漏洞扫描报告》
3.应急响应服务
安全应急响应服务主要是针对安全事件发生时,及时,准确的解决安全事件,化解安全危机、将安全事件的风险及损失降到最低。安全事件是指在客户信息系统中出现的影响业务正常运行的任何异常事件。例如:破坏系统的完整性、系统资源拒绝服务、通过渗透或者入侵的方式来对系统进行非法访问,系统资源的滥用以及任何可能对系统造成损害的行为等。
本项目提供如下服务:
(1)提供入侵影响抑制:通过对事件检测分析,提供抑制手段,降低入侵影响,协助快速恢复业务。
(2)提供入侵威胁清除:排查攻击路径,恶意文件清除,分析入侵事件原因。
(3)提供入侵原因分析:排查攻击路径,分析入侵事件原因。
(4)提供加固建议指导:结合现有安全防御体系,指导用户进行安全加固,防止再次入侵。
服务频次:
一年内按需要求服务方进行现场应急响应服务。。
4.安全服务要求:
安全服务商须按照我院技术要求进行服务工作,确保我院办公网络稳定安全运行,具体要求如下:
(1)配备专业化的团队运维队伍,建立热线客服、一线上门维护人员、项目管理人员、后备技术支撑的一体化运维体系。
(2)建立7×8小时维护体系,由专人值班,建立固定的网管值班电话并保证24小时联络畅通。对全院终端与网络设备及线路故障应做到处理及时,局部故障1小时内响应,2小时内恢复;重大故障0.5小时内响应,2小时内恢复,并建立故障逐级通报制度。
(3)做好周期性的维护工作,建立健全各种技术文档资料。每季度第一个月结束前,提供上一个季度完整的漏扫报告及对应漏洞的解决方案。
(4)为保证服务厂商在本地有健全的服务体系,要求服务厂商在杭州设有分公司(提供分公司营业执照正本复印件);
(5)为保证服务人员的专业性和稳定性,要求服务人员提供服务厂商在杭分公司连续36个月的社保缴纳证明,同时服务人员需提供CISSP、CISAW(安全运维专业级)、CISAW(风险管理专业级)认证证书,以证明其安全服务能力。
(6)服务厂商必须具备安全设备生产与供应能力,需具备完整的安全建设服务能力,符合国家标准GB/T 17626.5:2008第三级及以上标准(需提供检测报告复印件)。
(7)服务厂商必须具备通过ISO20000信息技术服务管理体系、ISO27001信息安全管理体系、ISO14001环境管理体系、ISO9001质量管理体系认证,并提供上述认证证书复印件。
(二)等保测评(预算不超过5万元)
根据相关规定,我院需完成业务系统的等级保护2.0测评,并需获得该系统有关部门的认证证书。详细要求如下:
根据信息系统的安全保护等级,并依据《GB/T22239-2019信息安全技术 网络安全等级保护基本要求》、《GB/T28448-2019信息安全技术 网络安全等级保护测评要求》逐一对信息系统的安全保护等级进行测评,出具符合公安要求的二级系统测评报告,并获得公安部门颁发的备案证明。
测评的内容包括但不限于以下内容:
1、安全技术测评:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;
2、安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
(三)虚拟化平台迁移(预算不超过5万元)
1、要求将目前所有的业务系统从ovirt虚拟化平台迁移至“临时虚拟化环境”,然后将生产服务器部署Vmware平台,再将所有的虚拟机从“临时虚拟化环境”迁移至Vmware平台;供应商需熟悉ovirt虚拟化并具备相关的实施经验,需提供证明材料;
2、整体迁移过程中所需要的“临时虚拟化环境”由供应商提供,包括但不限于服务器、存储等设备,所有设备供用户使用直至本次迁移完成并保留至实施人员撤场,临时设备不能低于现有设备配置及型号;
3、由于质检业务的特殊性,要求在迁移时不能中断业务;供应商在迁移前提供完整的技术方案,并进行实际演练,且详细说明如何保证业务不中断,以及迁移失败后的回退方案;如方案或演练不通过不予许实际迁移,防止产生迁移风险;
4、由于质检业务的重要性,为防止迁移失败导致的数据丢失,要求供应商在迁移前针对所有虚拟机进行一次完整的全备份,并且恢复验证可用性;
5、整体系统迁移完成后,为防止迁移后平台不可预见的问题,要求供应商提供一位Vmware虚拟化工程师(必须有VCP证书)驻点3个月,进行系统调优及保障,以确保系统的稳定运行,驻点期间,上下班时间与客户作息一致,工作内容由客户安排;
6、整体迁移过程中如果发生数据丢失、核心生产业务中断等事故,供应商需承担相关责任;
7、本项目为交钥匙工程,供应商应详细考虑技术可行性及风险,所有内容包含在本次报价中,如产生与原业务系统的接口开发及对接或者平台迁移费用,由供应商自行与原系统开发软件厂家协商,用户不再额外支付其他任何费用。
五、合格的应标人应具备的资格要求:
1、企业营业执照复印件
2、服务报价单
3、应标承诺函
六、采购方式:询价采购。
七、获取采购文件:在本公告网页下载。
八、应标文件投递截止时间与地点:
截止时间至2021年 3 月 26 日下午 14 点,杭州市江干区九环路50号杭州市质量技术监督检测院614室。
九、应标文件需包含:服务报价单、相关资质复印件盖章、应标承诺函,其他投标人认为需要提供的材料。
十、联系方式:
采购机构:杭州市质量技术监督检测院
联系人:张艳南
联系电话:0571-85378534