根据《中华人民共和国政府采购法》等有关规定,现对长江师范学院网络安全保障服务项目进行公开招标,欢迎合格的供应商前来投标。
一、采购项目的服务内容
序号 | 服务项目 | 服务内容 | 预算金额(元) |
1 | 监测服务 | 网站安全主要包括网站可用性监测、脆弱性检测、网页木马监测、链接监测、安全事件监测等内容。网站可用性监测应提供多种方式对网站进行监控,在发生故障1分钟内进行短信等形式告警。 | 26000 |
2 | 互联网暴露面梳理 | 安全技术团队通过多种梳理手段和方式的融合,探测学校互联网地址上潜在的未知资产、不必要开放的资产,包括:老旧Web资产、僵尸系统、边缘系统、无主系统、敏感开放端口、互联系统(第三方互联、其他互联)、远程管理等信息,对监测发现的暴露面,通过人工逐一核实,并验证互联网资产是否存在可利用漏洞、弱口令,提供暴露面收敛等相关整改建议,协助指导收敛工作,定期稽查保障闭环管理。重点关注未知资产,包括影子资产、隐匿资产、被遗忘的老化资产、本应下线的应用程序/镜像/微服务,以及恶意资产、钓鱼网站、供应链资产等,配合清理所有多余的暴露面,从根源上有效挖掘学校暴露在互联网上的安全隐患点。 | |
3 | 资产梳理 | 通过安全工具或手动的方式,搜集包括网络拓扑图、网络与安全设备清单、IP 地址分配、Vlan 划分、数据流走向、链路带宽、访问流量、服务器清单、存储设备、机房机柜布局图、机房基础设施部署、技术文档、系统运维管理制度等资料,整理出设备资产明细,了解各应用系统的功能、服务对象、业务流程、承载信息、安全保护属性、相关软硬件资产及重要程度、网络架构、系统部署、业务数据交互和管理运维机制等具体情况,从而初步掌握信息安全状况,形成资产报告,为后续安全服务工作提供依据。数据中心内资产的全面梳理(梳理的信息包含支撑业务系统运转的操作系统、数据库、中间件、应用系统的版本,类型,IP地址,应用开放协议和端口等信息;应用系统管理方式、资产的重要性以及网络拓扑)。 | |
4 | 脆弱性检测 | 对我校数据中心信息系统资产进行脆弱性检测,包含物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面,出具脆弱性检测报告,每年一次。 | |
5 | 渗透测试 | 在不影响业务正常开展的前提下,通过模拟黑客攻击的方式,验证用户中心网站等信息系统抵御黑客攻击的能力,从而发现信息系统的安全隐患和脆弱点,并提出安全整改建议,以指导相关人员对系统进行安全优化和加固。每年2次,重保、攻防演练时期渗透不包含在年度次数内,每次重保、攻防演练前根据学校要求单独做渗透测试。 | |
6 | 代码审计监管 | 配合学校对新建信息进行代码审计管理工作,审查第三方代码审计机构文档,使长江师范学院更加真实的了解到信息系统的安全性状况。在长江师范学院协调相应开发商完成整改后,再次对相关系统源代码进行审计报告审查,以检查整改的情况。 | |
7 | 辅助检查 | 在学校迎接上级单位、公安、网信部门等监督检查和安全自查工作过程中,全程提供信息安全辅助、技术咨询和协助编制相关材料的服务,保障检查工作的顺利进行。在信息系统日常运行阶段提供安全建议,并配合长江师范学院进行日常安全管理制度的实施和微调工作,进而提高长江师范学院的安全管理能力,完善长江师范学院安全管理体系,从而提高长江师范学院信息系统整体的安全防护能力,保障长江师范学院日常业务的连续性、稳定性。 | |
8 | 安全巡检服务 | 对学校安全设备运行状态、安全日志进行检查、过滤,对恶意地址、存在危害的行为及时封堵、调整安全策略,提前发现、及时处理。基于主动响应和被动响应流程,对页面篡改、通报、断网、webshell、黑链等各类严重安全事件进行紧急响应和处置。 需提供对服务器、存储、安全设备进行巡检、运维演示。 | |
9 | 重要时刻专人值守服务 | 在重要关键时刻,包括重大会议期间、网络重大割接或其它任何可能对业务运营产生重大影响的时刻,提供重要时刻的专人现场值守支持。 | |
10 | 安全预警通告服务 | 通过日常巡检,结合目前业界发布新漏洞,为长江师范学院提供网络安全预警通告服务,提高学校安全管理人员与安全技术人员的安全防范意识。 | |
11 | 漏洞扫描及修复服务 | 每月对操作系统、数据库、常见应用/协议、Web通用漏洞与常规漏洞进行漏洞扫描,并出具漏洞扫描报告。在扫描完成之后根据漏洞扫描报告和业务实际情况提供处置建议,包含补丁方案或临时规避措施。 | |
12 | 网络安全培训服务 | 提供包括但不限于安全意识、技术、政策、动态、事件、攻防演练等相关安全培训服务。 | |
13 | 应急响应 | 对于学校突发的安全事件,例如网络入侵、拒绝服务攻击、大规模病毒爆发、主机或网络异常事件等紧急安全问题,安全技术团队第一时间到达现场提供技术支持,对学校受影响系统进行全面威胁排查,控制事态发展,保护或恢复主机、网络服务的正常工作,协助学校修复漏洞以防同类安全事件再次发生,尽快使业务系统恢复正常运行,减少学校因此次安全事件造成的经济损失并且提供事后分析。 |
二、采购项目的服务范围及要求
服务范围:学校数据中心所有资产及系统
1.日常安全服务事项
完成管理信息系统的资产信息、信息系统等级保护基本信息、关键信息基础设施识别与认定基本信息的梳理工作;完成相关系统重要程度分析、网络脆弱性评估、主机脆弱性评估、应用脆弱性评估、安全措施有效性评估等风险评估服务;提供恶意代码检查、安全日志分析、安全制度执行管理等安全事件分析;使用态势感知平台完成对校内系统整体情况的监测、运维等,确保系统的稳定、安全运行。
2.网络安全监控和防护
按照国家信息安全漏洞共享平台及各大厂家安全漏洞提示,进行补丁打包、更新升级,及时处理主机操作系统、中间件异常问题,及时协调处理代码层漏洞,定期进行系统配置备份。定期检验应急预案的有效性和可行性;当遭受网络病毒/木马、黑客入侵、DOS 攻击等时,派出安全专家团队进行现场排查处理安全事件,保障业务系统的连续性,阻止和减小安全事件带来的负面影响;定期进行渗透测试、漏洞扫描、挂马暗链、篡改、敏感信息监测等网络安全监测服务。
3.数据安全保障服务
检查数据传输过程中的加解密防护措施,确保数据使用过程中的安全;及时排查信息系统数据安全问题,处理数据错误、数据丢失、数据冗余和数据冲突等问题;实时处理服务请求,进行特殊数据维护、回退数据维护、数据脱敏、数据备份等。
4重要敏感时刻安全值守
在举行重大活动、处理重要事件、以及特殊保障期(如两会、法定节日、敏感时期等)时,提供重保解决方案,组织专业活动前,开展安全意识和技能培训、安全检查、加固整改;活动时,提供7*24 小时监测预警、现场安全值守、安全事件分析研判;重保后提供总结报告,制定完善跟踪复查策略和安全整改建议。
三、履约时间与地点
1.履约时间:网络安全保障服务时间:2024年6月30日2025年6月30日
2.履约地点:长江师范学院
四、实施要求
项目团队的总体要求,中标方按照用户要求开展安全保障专项服务,并在投标文件中建立合理的项目进度计划,详细阐述项目过程中各项服务如何开展、具体实施步骤、要求有标准化交付安全服务的效果评价方法。中标方需要派出强有力的人员组建成项目组,项目经理、技术负责人至少需要 3 年以上的相关项目工作经验。
项目团队需保持稳定,中标方应承诺项目经理、技术负责人等核心人员必须专职承担本项目工作,未经用户单位许可不得更换。中标方应明确项目经理和技术负责人在本项目中的岗位职责、任职资格及管理权限,并明确项目经理和技术负责人调动相关资源的权力,确保项目顺利实施。
服务提供商需具备的资质:信息系统安全运维资质、信息系统安全集成资质、信息技术服务运行维护标准符合性资质。
五、验收标准
投标人提供的服务在满足安全服务内容和要求的基础上,达到下述服务考核指标要求作为验收标准。
1.服务方按照要求对开放了互联网访问服务的信息系统(网站)提供云端 7*24 小时实时网络安全威胁监测预警与处置服务;
2.按照服务内容要求按时交付安全服务报告,内容包括监测和处置安全事件的详细工作记录;
3.通过流量威胁分析服务,对网络安全状况进行整体分析,针对高危网络节点提供专业的详细的风险分析及策略规则定制服务。
4.定期进行信息系统(网站)的漏洞扫描和安全加固并在规定时间内完成。
六、投标人的资格要求
1.在中华人民共和国境内注册的、具有独立承担民事责任的能力的供应商;
2.具有良好的商业信誉和健全的财务会计制度;
3.具有履行合同所必需的设备和专业技术能力;
4.有依法缴纳税收和社会保障资金的良好记录;
5.近三年内,在经营活动中没有重大违法记录;
6.法律、行政法规规定的其他条件。
七、投标说明
1.投标文件须密封,并加盖印章(公章);
2.招标文件是合同不可分割的一部分,参与投标即视为对招标文件要求的接受;
3.请投标人务必认真阅读本招标文件,严格遵照标书内容应标。
4.下列情况属于重大偏差:
(1)报价超出预算金额;
(2)明显不符合询价文件中相关服务等要求;
(3)投标文件附有采购人不能接受的条件;
(4)不符合询价文件中规定的其他实质性要求。
投标文件有上述情形之一的,不能作为成交候选人,只保留其合格竞标人资格。
5.付款方式:签订合同后一次性付清全款。
八、评标方式
采购评标小组对投标人的资质、服务质量、报价、售后服务、优惠承诺以及相关业绩等因素进行综合评比,在完全满足询价采购文件要求的前提下,选择最低价为成交候选人。如同时出现两个及以上相同并满足询价采购文件要求的最低价,则最低报价相同的公司进行再次报价,选择最低价为成交候选人。
九、开标时间、地点
递交报价文件起止时间:2024年6月21日北京时间14:30-15:00。
投递报价文件及开标地点:长江师范学院图书馆912会议室。
十、联系方式
采购人:长江师范学院
联系人:王朴 陈先峰
联系电话:(023)72790013
联系地址:重庆市涪陵区聚贤大道16号