2022年网络安全防护服务项目采购比选公告
河北省电子口岸发展股份有限公司计划采购提升网络安全防护的服务项目,现通过公开比选方式确定服务单位。
比选人资质要求
*1、比选人应为中华人民共和国境内依法注册,法律上和财务上独立的法人或依法登记注册的其他组织,具备有效的营业执照,并提供有效的营业执照复印件;
2、提供法人身份证复印件;
3、本项目不接受联合体比选;
4、比选人不得存在下列情形之一:
(1)被责令停业的;
(2)被暂停或取消参选资格的;
(3)财产被接管或冻结的;
(4)在最近三年内有骗取中标或严重违约或产品重大质量问题的;
以上资质带“*”的条款为必须满足项
技术服务要求
项目概况与项目范围
1.1 项目名称:2022年网络安全防护服务项目。
1.2 项目范围:本项目为根据《网络安全法》及相关部门法律法规和政策文件要求,对省电子口岸公司计划开展渗透测试、漏洞扫描、重要时期安全保障、应急响应及应急演练、安全意识和技能培训等,以保障业务系统的安全稳定运行,分析定位信息系统安全风险和薄弱环节,制定信息系统安全风险管理策略,健全信息安全管理和保障体系,完善规章制度和操作流程。
1.3服务周期:截至2022年底。
服务要求
1、渗透测试服务
1.1模拟黑客的攻击思路与技术手段,从攻击者角度,发现应用系统存在的安全隐患,检测相关系统的威胁防御能力,深度挖掘应用系统的安全漏洞,依据渗透对象,提供应用渗透测试、系统渗透测试等,对院内信息系统状况进行安全验证、数据分析并呈现验证结果。包括但不限于网站和重要业务系统等。
1.2 渗透方式至少包括:信息收集类、配置管理类(HTTP 方法测试、应用中间件测试、信息泄露、异常错误等)、认证类、会话类(cookie测试、session会话测试等)、授权类(越权访问、路径遍历、任意文件下载、逻辑缺陷测试等)、数据验证类(SQL 注入、跨站脚本、代码注入、URL 跳转、文件上传测试等、输入输出校验绕过、数据篡改)、系统应用漏洞(溢出、0day漏洞等)。
1.3按照提供的业务系统,提供不少于2次渗透测试并提交相应的测试报告。
2、漏洞扫描
2.1使用专业安全漏洞扫描工具对评估目标范围内对象进行漏洞扫描,对信息系统的薄弱点进行识别与评价,提交脆弱性分析报告。
2.2对出具的漏洞扫描结果的高危项,开展人工漏洞验证服务。服务涵盖 Web 漏洞、主机、操作系统等高危漏洞。通过人工核查二次验证,最大限度去除漏洞误报情况。
2.3人工核查单应具备为不同的操作系统、应用系统、数据库、中间件等独立编制检查单。内容至少包括:补丁检查、虚拟补丁检查、账户和口令检查、端口服务检查、文件系统检查、虚拟化云环境检查、安全日志检查、后门与日志检查、暗链检查、杀伤链检查等内容。
2.4漏洞扫描,不少于2次。
3、应急响应及应急演练支持
3.1提供安全事件应急响应工作。在出现重要安全事件时(信息系统遭受攻击、网络病毒爆发等),派遣高级安服人员团队现场支持、协助,对遇到的突发性安全事件进行紧急分析和处理。主要工作内容包括:突发事件相关信息的收集、事件的分析、报告提交、问题解决建议等,协助解决突发安全事件,并提供应急响应报告。
3.2提供7×24网络安全应急保障服务,当服务对象的系统发生信息破坏事件(篡改、泄露、窃取、丢失等)、大规模病毒事件、网站漏洞事件等信息安全事件时,10分钟内做出响应,30分钟到场对安全事件进行紧急处置,阻止事件的损害扩大,恢复业务正常运行,调查安全事件发生的原因并指导整改和加固,并协助相关部门处理安全问题;
3.3提供事件分析处理报告,就安全风险、安全事件描述、危害性、原因、排查过程、处置方法等进行详细说明,出具相关报告。
3.4提供1-2次的信息安全应急响应演练服务。
4、重要时期安全保障
4.1为保障招标人的网站和重要业务系统在关键时期的安全稳定运行,避免突发网络安全事件,在重要会议、重大活动期间,按照招标人的实际需要,投标人须提供 7×24 小时的安全保障服务。
4.2重要会议、重大活动期间包括但不限于:两会、一带一路、国庆庆典、净网(护网)行动等。重要时期安全保障服务内容至少包括:7×24小时安全值守、网站安全监测、应急响应、安全预警等。
5、安全意识和技能培训
针对技术人员、管理层提供不同类型的信息安全培训,培训内容包括但不限于网络安全基础知识、信息安全管理、网络安全法知识普及、政策法规、安全常识培训、安全意识培训等。
6、咨询服务
提供信息系统的安全咨询和整改建议等技术支持服务,涵盖系统建设、运维、管理、技术等相关安全问题;协助开展内部网络与信息安全检查工作。
根据要求可采取现场操作培训、统一集中培训方式、远程培训等。
报价要求
本次比选项目的最高报价不超过14万元,若投标报价超过14万元则投标无效。
人员要求
1、提供拟派参加本项目的主要人员名单以及各自职责的划分,保证服务人员的稳定性。
2、如人员不技能能满足甲方要求,甲方有权要求投标方调换人员,投标方需在1个工作日内向甲方提交备选工程师。
3、投标方须针对本次项目组建本地技术团队,其中项目经理 1 人,团队成员不少于 4 人。
售后服务质量保障
除本项目工作实施内容以外,投标人在安全保障活动期间免费为招标人提供安全硬件产品进行支撑保障等。
7×24小时安全应急保障服务,安全人员须在10分钟内响应,60分钟内赶赴现场。
培训要求
1、投标人须提供良好的技术培训。
2、培训主要内容包括相关硬件和软件课程,涵盖检测、诊断及维护方面的技术。在投标文件中清楚地写明培训计划和安排。
3、为提高网络维护人员处理安全风险能力和安全意识,要求对甲方运维人员进行行业相关专业资格培训。
比选文件要求
1、比选文件递交时间:自2022年10月12日至2022年10月14日上午9:00止。
2、比选文件递交地点:河北省石家庄市新华区联盟路699号信投集团2层。
3、比选文件要求:比选文件需密封(加盖公章),一式三份。
4、开标时间:2022年10月14日上午。
4、联系人及电话:王清 18633077705。
