联系人22个
立即查看
可引荐人脉640人
立即引荐
历史招中标信息105条
立即监控
一、采购项目名称及内容
1、项目名称:科特派云平台信息系统安全服务
2、项目单位:****点击查看
3、资金来源:科特派服务云平台
4、项目预算:9.8万元
5、项目内容:为进一步加强我单位网络和信息系统整体安全,根据上级有关网络和重要信息系统安全的有关要求,引入先进的安全技术手段优化代码结构,实现网络、网站和信息系统安全,提高监控能力,提高应急处置水平,保障信息系统的安全性和可靠性,落实我单位的网络信息系统安全工作,包括定期漏洞扫描、定期巡检、常态性系统安全监控等工作。
二、项目具体内容
本项目主要工作内容应当包括如下内容:
1、安全服务范围
托管在**省政务外网云平台的系统:**科技特派员服务云平台。
2、服务期限
等级保护咨询服务、密码安全咨询服务的服务期限为自合同签订之日起一年。
信息系统安全服务服务期限为2025年11月5日至2026年11月4日。
3、服务内容
| 序号 | 服务项目 | 服务内容 | 交付成果 |
| S1 | 云应用安全检测服务 | 1)云应用安全漏洞扫描 2)云应用安全漏洞验证 3)云应用漏洞跟踪服务 | 《安全检测报告》2次/年 |
| S2 | 云主机入侵清查服务 | 1)网页后门查杀; 2)系统木马查杀; 3)入侵痕迹检查; | 《入侵清查报告》2次/年 |
| S3 | 云主机安全评估服务 | 1)云主机系统漏洞扫描服务 2)云主机系统配置核查服务 3)云主机中间件安全评估服务 4)数据库系统安全评估服务 | 《安全评估报告》2次/年 |
| S4 | 云主机安全加固服务 | 1)云主机系统配置加固服务 2)云主机中间件配置加固建议 3)数据库安全配置加固建议 | 《安全加固报告》2次/年 |
| S5 | 安全咨询与应急响应服务 | 专业的安全咨询顾问团队,本地化的应急响应专家队伍。 1)7*24小时的远程安全咨询; 2)市区2小时现场紧急救援服务; | 《安全应急响应报告》(若发生安全事件时提交)全年 |
| S6 | 安全监控类服务 | 7×24小时实时人工告警 | 《安全监控报告》 2次/年 |
| 涵盖漏扫、挂马、暗链、敏感内容、防篡改、域名劫持等 | |||
| S7 | 安全渗透测试服务 | 安全专家模拟黑客进行攻击测试: 1 配置管理; 2)身份认证; 3)会话管理; 4)授权测试; 5)上传下载; 6)信息泄漏; 7)数据存储; 8)OWASP 10大漏洞; | 《渗透测试报告》 2次/年 |
| S8 | 软件代码走查服务 | 通过采用面向源代码静态代码危险函数审查等方法,覆盖应用系统存在的高危漏洞位置、网页后门位置、身份认证问题、数据加密问题等5个方面。 | 《软件代码走查报告》 2次/年 |
| S9 | 专题检测服务 | 在上级监管部门安全检查期间,投标人应按招标人要求进行专门的全面安全检查服务和保障 | 全年 |
| 依据每年网安检查要求编制基础制度文档,文档可顺**过历年网安安全检查要求 | |||
| S10 | 重大节假日保障服务 | 在重大事件或活动期间,网站有被攻击的风险,应派技术人员提供24小时远程保障服务 | 全年 |
| S11 | 安全通告服务 | 不定期提供安全信息通报:包括最新病毒通报及预警服务 | 全年 |
| S12 | 应急演练服务 | 网络与信息安全应急预案:定制2个预案场景的《安全应急预案》 | 《安全应急预案》1次/年 |
| 网络与信息安全应急演练:针对1个预案场景进行应急演练,并提交《安全应急演练报告》 | 《安全应急演练报告》1次/年 | ||
| S13 | 等级保护咨询服务 | 对信息系统进行调研和梳理,编制信息系统详细描述文档。 | 《信息系统基本情况调查表》1次/年 |
| 依照等级保护要求从管理和技术两个层面找出存在的问题并进行差距分析。 | 《等级保护安全评估与整改建议》1次/年 | ||
| 分析信息系统的安全风险以及基线差距。 | |||
| 针对风险分析与差距评估的结果,实施安全策略优化辅导,提供主机、数据库、应用的安全加固建议。 | |||
| 协助设计网络安全管理制度。 | |||
| 协助客户完成撰写信息系统定级报告 | 《管理制度汇编》 1次/年 | ||
| 协助填写网络安全等级保护备案表等准备材料 | 等**级材料 1次/年 | ||
| 指导单位配合测评机构开展等级测评工作。 | 等保备案材料 1次/年 | ||
| 对信息系统进行调研和梳理,编制信息系统详细描述文档。 | 相关测评材料 1次/年 | ||
| S14 | 密码安全咨询服务 | 密码应用方案编制服务 | 《商用密码应用安全方案》 1次/年 |
| 密码应用方案评审服务 | 评审结果签字 1次/年 | ||
| 密码安全制度建设服务 | 《商用密码应用安全管理制度》、 《商用密码应用管理表格记录》 1次/年 | ||
| 密评现场辅助支持服务 | - | ||
| 密码备案辅助服务 | 《商用密码应用安全性评估备案证明》 1次/年 |
4、服务要求
(1)云应用安全检测服务
1) 云应用安全漏洞扫描服务
为目标系统提供全方位的安全漏洞及安全隐患检查,从攻击者视角审查目标系统的脆弱性状况,包括网络漏洞、应用漏洞。
通过使用自动化安全漏洞挖掘工具和在线检测平台,以基于互联网远程检测的方式,来测试和识别网站当前的安全漏洞和存在的安全脆弱性,全面了解和掌控网站的安全状况。
投标人采用的漏洞扫描服务工具可以使用漏洞扫描与漏洞处置模块进行漏洞管理,通过内置引擎漏洞规则库能够进行web扫描、弱口令扫描、POC扫描和版本漏洞扫描等,及时发现漏洞并进行漏洞处置,能够对漏洞进行邮件、微信等推送通告,也可人工新增漏洞,扫描后可生成漏洞报告,能够通过文字、图等直观展示漏洞详情。
2) 云应用安全漏洞验证服务
对已经发现的安全问题进行人工验证,以判断网站当前的漏洞是否真实有利用,剔除误报干扰。并提供专业的安全加固措施指导建议,帮助解决当前网站存在的安全问题。
3) 云应用漏洞跟踪服务
**全运维应参考ITIL管理架构,构**全事故管理、安全问题管理、配置管理、变更管理、云应用上线管理等管理流程,并且建立资产、脆弱性、威胁为主题的风险管理和漏洞管理体系。****点击查看服务队伍,构建**全运维体系,针对漏洞的产生、通告、修复、复查整个生命周期进行跟踪管理服务;并能通过在线服务云平台对漏洞进行实时跟踪,实现从漏洞排查治理到漏洞消除的“闭环”管理流程。
(2)云主机入侵清查服务
云主机是应用系统的依托,如果应用系统存在漏洞,黑客最终能够进一步获取服务器操作系统以及数据库系统的操作权限,因此,进一步对云主机的入侵痕迹进行深入检查,是应用系统安全运维不可忽视的一部分。云主机入侵清查服务包含:
1)网页后门查杀:
针对网站源代码进行Webshell查杀,深入检查包括上传图片、文本、脚本以及其他可疑的网站后门程序。
2)系统木马查杀:
网站被入侵潜伏后,通常存在隐藏比较深的系统后门(Rootkit),重点发现绕过杀毒软件的系统后门。
3)入侵痕迹检查:
根据系统层日志、安全日志、应用层日志以及其他特征发现网站入侵痕迹,避免黑客使用隐藏账户等躲避检查的安全隐患。
投标人采用的主机入侵清查服务工具能够监控网页木马(webshell),须提供“模拟黑客利用漏洞入侵应用系统,进行植入网页木马(webshell)等入侵行为;主机安全监控系统应能够发现网页木马并生成相关的告警,并能够查看告警信息和对应的敏感文件内容”过程的功能截图。
(3)云主机安全评估服务
1)云主机系统漏洞扫描服务
针对云主机系统进行漏洞扫描、端口扫描、弱口令扫描等,覆盖系统的补丁、服务的开放性及安全研究机构发现的系统问题等,发现系统本身的各种问题。
2)云主机系统配置核查服务
针对云主机系统进行配置核查,覆盖系统管理方面和安全加强方面的问题,用于识别由于系统管理员本身的管理不善而带来的安全性问题。
投标人采用的主机安全服务工具能够提供基线检查和管理功能,对常见的系统共享配置、帐号等默认策略进行检测和管理,而且能够自主添加和删除新的策略,并能够对检查结果准备进行分类统计。须提供服务工具功能截图证明。
3)云主机中间件安全评估服务
针对Apache/IIS/Tomcat/Weblogic等Web应用服务器(中间件),从协议安全、交易完整性、数据完整性等方面进行识别和评估,评估脆弱性和风险。
4)数据库系统安全评估服务
结合工具检测和人工安全审查方式来挖掘数据库系统的脆弱性和安全性问题,主要评估系统安全漏洞、安全配置不正确带来的安全威胁以及由于系统账号、权限等配置不严谨而产生的安全风险。帮助用户及早发现数据库系统存在的风险,避免造成敏感信息泄漏的后果。
(4)云主机安全加固服务
1)云主机系统配置加固服务
通过对云主机进行检查和扫描,掌控服务器当前存在的安全问题。
通过对系统层漏洞检测结果的分析,对在检测中发现的系统安全问题进行安全加固,提高系统的整体安全性能。
对云主机进行清理、加固和配置,确保服务器无高风险漏洞且符合等级保护的基本要求。
2)云主机中间件配置加固建议
针对Apache/IIS/Tomcat/Weblogic等Web应用服务器(中间件),从协议安全、交易完整性、数据完整性等方面进行识别,并提供配置加固与优化建议。
3)数据库安全配置加固建议
提供数据库安全加固建议,包括最大程度降低数据库系统(SQL Server,Oracle等)本身的漏洞风险、纠正数据库系统使用中构**全威胁的错误策略、加强数据库系统账号、密钥、权限等带有安全风险的配置,从整体上提升数据库系统的安全性。
(5)安全咨询与应急响应服务
1) 远程安全咨询服务
故障时能立即以电话咨询或远程维护方式与承担服务单位联系,服务提供商应立即给予技术协助,提供7×24小时服务支持。
2) 现场应急响应服务
当单位网络和信息系统遇到黑客攻击或网页篡改等恶性事件,并且远程支持无法解决时,要求2小时内到达现场,实施最有效的紧急救援及恢复补救方案。
(6)安全监控服务
1年365天通过专业的网站安全监控平台对网站进行以下服务:
a. 网站可用性监控服务:全年每隔5分钟一次对网站首页进行轮询探测,网站访问不到则通过邮件、短信等方式直接提醒到安全服务的工程师,确认安全事件后,进行人工电话告警,确保网站的可用性、安全性实时掌控。
b. 域名劫持监控服务:每隔5分钟一次对网站首页进行域名劫持探测,一旦发现域名被劫持则通过邮件、短信等方式直接提醒到安全服务的工程师,确认安全事件后,进行人工电话告警。
c. 网页挂马监控服务:每周一次采用远程监控方式对网站页面进行网页挂马分析,一旦识别到网页挂马行为,则进行邮件或短信预警。
d. 网站暗链监控服务:每周一次采用远程监控方式对网站页面进行暗链分析,一旦识别到网页存在暗链行为,则进行邮件或短信预警。
e. 敏感内容监控服务:每周一次对关键网页的敏感内容进行监控,识别网站存在政治、低俗等敏感内容情况,并进行邮件或短信预警。
f. 防篡改监控服务:每天不少于12次对网站首页进行监控,识别网站首页被篡改内容情况,并进行人工、邮件或短信预警。
g. 安全漏洞扫描服务:每季度一次针对关键网页进行OWASP Top10漏洞进行巡检,一旦发现高危漏洞,则进行邮件或短信预警。
h. 季度安全监控报告:每季度汇总安全监控情况,并提交详细监控报告。
(7)安全渗透测试服务
模拟黑客攻击测试网站,通过安全专家测试发现平台工具无法检测到的漏洞与威胁。
1)配置管理;
2)身份认证;
3)会话管理;
4)授权测试;
5)上传下载;
6)信息泄漏;
7)数据存储;
8)OWASP 10大漏洞;
(8)软件代码走查服务
定期对目标系统进行代码走查服务,采用工具与人工相结合的方式从软件代码层面发现软件安全问题,能够极大程度地确保目标系统不发生被黑客入侵或数据库泄漏事件的发生;投标人采用的服务工具能够对web源代码进行扫描,检查代码中的网页木马,网页挂马以及网页暗链。须提供服务工具功能截图证明。
(9)安全检查专题服务
1) 安全检查协助
在上级监管部门安全检查期间,应按要求进行专门的全面安全检查协助服务和保障协助。
2) 管理制度辅助建设
在上级监管部门安全检查期间,协助制定信息安全管理制度。
(10) 重大节假日保障服务
在重大事件或活动期间,网站有被攻击的风险,应派技术人员提供24小时远程保障服务
(11)安全通告服务
提供最新的安全动态、技术和安全信息,包括实时安全漏洞通知、定期安全通告汇总和安全知识库更新等。通告内容包括但不限于以下内容:
国内外最新重大漏洞、病毒安全通告;
国家安全政策及法律法规;
同行业安全威胁事件通告;
国内外重**全事件,新技术发展动态通告;
重**全漏洞爆发时需结合资产情况,提出相应修复建议。
提交成果:不定期提交《安全通告》
(12)应急演练服务
1)网络与信息安全应急预案
定制2个预案场景的《安全应急预案》;
2)网络与信息安全应急演练
针对1个预案场景进行应急演练,并提交《安全应急演练报告》。
(13)等保咨询服务
网络安全等级保护工作包括定级、备案、建设整改、等级测评阶段。
1)等保资产分析服务
根据等级保护范围内的资产组成,派遣专业工程师到现场整理各个系统的网络结构拓扑以及相关联的资产,编制信息系统资产清单及资产报告;对服务范围内信息系统开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、****点击查看中心以及安全管理制度进行调研和梳理,编制信息系统详细描述文档。
2)等保差距评估服务
在安全评估和信息系统定级的基础上,根据《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析,从管理和技术两个层面找出存在的问题并进行差距分析。
3)等保风险分析服务
根据等级保护基本要求,开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、****点击查看中心以及安全管理的现状分析,通过安全访谈、脆弱性评估、登录检查、日志分析以及渗透测试等技术手段对现有的安全资产进行全方位的风险评估,结合信息资产属性、威胁、脆弱性等基本要素,分析信息系统安全风险评估分析,编制风险分析报告。
4)等保安全加固服务
根据等级保护基本要求以及风险分析结果,提供专业的系统安全加固建议意见,派遣专业工程师到现场根据等保安全加固指导书,实施边界防护安全策略优化辅导、服务器病毒检查与清理,提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议。
加固完成后,派遣专业工程师到现场针对加固前后的系统脆弱性进行复查,复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。
对于需要增加投资,部署新的信息安全产品和技术的整改措施,双方根据整改方案另行协商和实施。
5)等保制度建设辅导服务
协助客户对安全管理制度建设,****点击查看管理部分的标准,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理5个方面帮助单位补充及完善等级保护要求的管理体系建设中涉及到的制度文档,以及相关记录的完善。包括但不限于信息安全工作职责,信息安全监督、检查机制;辅助单位编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度,达到等级保护测评要求。
6)等**级咨询服务
在信息系统自行定级的基础上,参照国家和地方对等级保护定级的有关要求,对信息系统开展摸底调查工作,掌握信息系统的基本情况,了解信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构、部署方式、安全策略、内控制度等信息,协助客户完成撰写信息系统定级报告,明确信息系统的边界和安全保护等级。
7)等保备案辅助服务
根据《信息安全等级保护管理办法》,信息系统运营使用单位或主管****点击查看机关备案,我司提供备案咨询服务,协助填写网络安全等级保护备案表等准备材料。
8)等保测评辅助服务
在测评阶段协助单位准备测评材料,指导单位配合测评机构开展等级测评工作,组织测评整改,并保障顺**过等保测评获得测评报告。
(14)密码安全咨询服务
1)密码应用方案编制服务
根据商用密码应用安全现状评估,对系统面临的安全风险和风险控制需求进行分析,明确商用密码应用需求,根据系统的网络安全保护等级,参照《信息系统密码应用基本要求》(GB/T 39786)等相关标准文件,编制或修订商用密码应用方案。
2)密码应用方案评审服务
提供专业的密码应用方案设计辅导咨询,并邀请商用密码安全性评估机构或者商用密码专家进行商用密码应用方案评审,以满足商用密码应用安全性评估要求,出具《商用密码应用方案评估报告》。
3)密码安全制度建设服务
编制密码安全管理制度。编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度,达到密码测评要求。
4)密评现场辅助支持服务
在密评单位进行密评工作期间,我方提供现场辅助服务。具体的服务方案为,协助密评人员调研并提供信息系统基本情况,向密评人员介绍系统情况与密码建设方案,对系统的关键数据、关键业务流程以及采取的密码放出手段进行介绍。协助密评人员进行通信数据包抓取、数字证书信息、国密通信协议信息、数据库数据、程序代码改造方案、密码产品与服务的合规资质信息的提供等服务。现场辅助服务还包括在密评人员提出整改要求后,协调信息系统开发商进行系统代码调整、协调网络人员进行网络结构调整、调整管理制度文档等工作。
5)密码备案辅助服务
根据《商用密码应用安全性评估管理办法》,信息系统运营使用单位或主管部门需到密码应用主管部门进行备案,提供备案咨询服务,协助填写密码应用安全备案所需材料,并辅助通过备案。
三、相关要求
1、有意向的供应商,请按本次询价的要求向我单位提交报价单及相关服务承诺等。报价应包含完成本项目所需的税费、运输、装卸、安装、调试、检验、质保期内的售后服务等全部费用,成交供应商不得向采购方要求超出本次报价以外的其他任何费用。
2、服务人员要求:
(1)投标人拟投入本项目的项目经理同时具备①IT服务项目经理认证②国家注册信息安全专业人员(CISP)证书③网络安全应急管理能力证书④注册渗透测试工程师(CISP-PTE)。
(2)投标人拟投入本项目的安全服务团队人员须具备以下任一证书:①信息安全保障人员认证(CISAW)②国家注册信息安全专业人员(CISP)证书③国家信息安全水平考试(NISP)。
投标人中标后须在项目实施前提供服务人员相应证书复印件及该人员在投标人所在单位缴纳的社保证明复印件或劳动合同。若无法满足要求,则采购单位有权取消中选资格。同时投标人将被视为恶意虚假应标,将承担相应法律责任。
3、我单位将根据符合采购需求、质量和服务相等且报价最低的原则确定成交供应商。
4、报价文件内容:
(1)报价文件(须加盖公章);
(2)公司营业执照或副本复印件(须加盖公章);
5、报价文件请于2025 年9月 30 日 12 时前以快件投递或直接送达方式送达**省**市**区华林路188****点击查看学院南门数字所办公楼。
6、合同签订:成交单位接到成交通知后三日内,到我单位签订合同。询价单、成交供应商报价单和其他更优承诺等为签订合同的依据。按承诺时间完成,如有违约行为,供应商将承担法律责任。
7、具体违约条款及其它未尽事宜,将在双方签订合同时约定。
联 系 人:高女士
联系电话:137****点击查看4738
****点击查看
2025年 9 月 24 日
相似项目推荐