一、功能及要求:根据采购人要求对相关直属单位的党政机关信息系统采取远程检测或现场检测的形式进行网络安全检测。对所负责检测的信息系统从安全扫描、渗透测试、网络安全攻防、业务逻辑、基线等方面开展风险评估,全面地发现系统存在的漏洞和安全隐患。
二、相关标准:
执行国家、省、市相关标准以及采购人要求。
三、技术规格:
| 序号 | 服务项 | 服务内容 |
| * | 技术性安全漏洞挖掘 | (*)供应商按照采购人要求,每年度安排网络安全专家,协同所需要的人员与资源,对雨花区辖区内***家党政机关事业单位、重点企业,***个网络资产(含信息系统、公众号、小程序、网络设备等)使用区域网络空间资产可视化展示系统开展一轮次网络安全和数据安全的相关检查工作。在得到有关授权许可的前提下,利用主流的网络攻击技术和漏洞利用工具,如******、****、***、*********、御剑等对目标网络、***应用系统、数据库、中间件、移动应用程序(***)以及**客户端进行模拟攻击测试,并将发现的安全漏洞(包括但不限于***注入、跨站脚本攻击、远程命令执行、安全配置不当、任意文件上传/下载、越权访问、敏感信息泄露等)进行分析整理,提升雨花区辖区内党政机关事业单位和重点企业的安全保障能力。
(*)人工深度漏洞验证。在自动化扫描的基础上,安排具有丰富实战经验的安全专家对发现的漏洞进行人工复测以核实其真实性,并剔除工具误报及无效报警,确保报告准确性。
(*)高危漏洞专项排查:服务期间,通过****、********/***等途径保持对国内外最新安全漏洞(****/****)的动态跟踪,利用自研或开源工具,如***** ***、*******、**** *****、火绒剑、绿盟等对辖区内资产进行专项排查,防范未知风险。
(*)得到有关授权许可后,供应商对雨花区辖区内企业的网络资产使用技术手段进行搜集,并同步对搜集到的网络资产利用主流的网络攻击技术和漏洞利用工具,如******、****、***、*********、御剑等进行检查工作,并将发现的安全漏洞(包括但不限于***注入、跨站脚本攻击、远程命令执行、安全配置不当、任意文件上传/下载、越权访问、敏感信息泄露等)进行分析整理,对发现的安全漏洞和风险提出解决建议,增强雨花区辖区内企业网络安全意识,提升企业网络安全防护能力。
(*)精细化资产指纹识别:对已搜集到的网络资产进行更深入的服务、组件版本识别与指纹分析,精确发现因使用过时版本或存在已知漏洞的中间件、开发框架所带来的潜在风险。 (*)技术性安全漏洞挖掘服务由供应商自备相关工具,要求服务工具具备渗透测试台账:支持以*****报表格式导入渗透测试报告,形成渗透测试台账。可在系统查看渗透测试结果,以图表形式可视化展现漏洞风险级别比例、风险应用比例,可对渗透报告中的漏洞进行跟踪确认,处置漏洞状态:未整改、已整改、忽略、未整改。提供由工具厂商盖章确认的产品界面截图证明。 |
| * | 出具安全检测报告 | 在按照采购人要求完成安全检测工作后,由供应商对安全检测结果进行分析整理,并出具完整的信息系统安全检测报告。信息系统安全检测报告包含以下内容(*)对本次检测对象相关信息的描述。
(*)在本次检测中发现的安全隐患及漏洞的识别分析及详细说明。
(*) 针对本次检测中发现的各个安全隐患或漏洞,提出对应的具体整改方案或建议等。
预计服务期内按照采购人要求出具安全检测报告超过**份。检测覆盖范围超过***家党政机关,**个应用系统,***个公众号。 |
| * | 整改复核 | 在提出整改方案或建议的指定时间后,由供应商对安全检测工作中发现的安全隐患或漏洞进行整改复核。确保安全检查工作中所发现的安全隐患或漏洞均已得到修复。
整改复核工作内容:
(*)问题分析和协助整改:由供应商在完成安全检测工作后,将发现的相关安全隐患与漏洞进行识别和分析,确定风险等级,给出对应的整改建议或具体的整改方法,并形成安全检测报告,协助被检测单位相关人员进行安全隐患及漏洞的整改;
(*)整改结果验证和跟踪:对被检测单位整改完成后的系统进行检测验证和监控,确保安全隐患及漏洞得到有效修复。对于未完成整改的安全隐患及漏洞进行持续的跟踪及向被检测单位相关人员提供协助。 |
| * | 安全运营与应急支撑 | 由供应商对辖区内党政机关事业单位和企业的信息系统进行****小时的应急支撑。
在辖区内出现重大安全事件,如被境外不法分子攻击、网站被篡改发布涉政信息、数据泄露、大范围病毒感染、传播病毒以及其它网络攻击等情况时,安排不少于两人的专业技术团队提供安全应急支持服务,包括对安全事件开展溯源分析、核查事件原因、入侵调查和分析取证,紧急事件处理,消除安全隐患、在短时间内解决信息系统的安全问题,以最快速度恢复系统的保密性、完整性和可用性,阻止和减小安全事件带来的负面影响。
应急支撑主要内容:
*)对服务过程中发现的网络安全事件进行现场或远程应急响应;
*)依据安全事件的严重级别和具体情况确定采取的响应方式;
*)供应商应急响应小组在相关人员协调下进行应急,通过分析日志、样本和流量进行溯源,还原攻击链,保留必要的样本作为证据。
*)在应急处置工作毕后,配合完成《应急响应报告》的编制。
*)配合采购人对应急处置后的安全加固效果进行二次验证。
安全运营主要内容:
*)负责对采购人的网络安全信息系统进行安全监测、分析,保证系统正常运行并满足工作需求;
*)负责对采购人相关系统使用人员在使用中提出的技术问题提供协助,确保系统各功能模块能正常使用;
*)负责对辖区内网络资产进行漏洞扫描及资产探测,并输出相关的安全服务报告;
*)负责对辖区内网络资产中发现的安全漏洞进行整理汇总,对漏洞情况进行验证后将结果制作成《漏洞详情及整改建议》文件;
*)完成采购人交代的其他相关事宜。
*)对实时监测中发现的网络安全问题、漏洞、事件进行整理,并出具完整的网络安全技术报告,协助采购人完成相关交办工作;
*)对搜集的企业网络资产进行不定期网络安全检查工作,根据检查情况编制漏洞详情及整改建议相关技术文件,协助采购人完成对企业的通报工作。
通过使用基线核查设备,对目标系统进行全面的安全配置核查:
*、安排专业技术人员通过专业的安全基线核查工具如绿盟***或者人工检查方式,评估公司业务系统网络环境中数据库、中间件、操作系统和安全设备等安全基线配置情况,及时发现安全配置弱点,满足行业安全标准要求和合规要求,对系统内核查内容包括但不限于:账号口令策略(口令复杂度高低、口令有效期)、授权与访问控制(检查并按照最小必要性进行权限分配、远程访问限制)、日志审计配置(日志记录是否打开、日志的留存时间)、协议与服务安全(禁用不安全协议、关闭多余服务)、补丁管理(系统补丁更新情况)、文件系统权限、是否留有足够设备冗余与高可用配置。
*、收集所核查系统的配置信息、并与预设的安全基线标准作为比对。
*、协助采购人进行策略调优,完善制度等安全加固工作。 *)安全运营与应急支撑服务由供应商自备相关工具,要求服务工具具备漏洞攻击管理功能:支持精准检测恶意攻击源、扫描源,并可基于告警风险值、或者定向源进行屏蔽,即使扫描源接入同一网段扫描,也能实现扫描源可以探测到资产存活但扫不到漏洞的效果,同时支持流量和主机*种模式。提供由工具厂商盖章确认的产品界面截图证明。 |
| * | 安全检查 | 在得到有关授权许可的前提下,由供应商安排渗透测试工程师,依据已发布实施的《计算机信息系统安全测评通用技术规范》、《网络安全等级保护测评要求》等国家标准和检测规范开展安全检查工作。
每年度开展一次安全检查;以及根据采购人要求临时开展的小规模安全检查。
安全检查范围覆盖雨花区辖区内党政机关事业单位和重点企业等信息系统。检测覆盖范围超过***家党政机关,**个应用系统,***个公众号。单次检测花费工时在**小时左右。
安全检测内容涵盖以下几个方面:
*)网络架构安全分析:对关键网络设备进行检查工作,从安全域的划分,边界防护、访问控制等方面分析信息系统的网络安全;
*)网络设备安全检查:对关键业务流经的防火墙、核心交换机进行安全核查(如涉及设备数量较多,则采用抽查方式),主要分析其配置文件中访问控制的有效性;
*)系统层安全检查:主要对信息系统的主机、数据库等进行配置核查,检测系统层面的安全防范措施。涉及操作系统和应用软件的安全补丁更新、杀毒软件和防火墙的安装与更新、不必要的服务和端口的关闭等;
*)应用安全检查:对选择的信息系统的业务应用进行技术测试,验证其安全功能的有效性;对业务系统安全功能进行验证,主要测试各业务系统现有的安全保护措施能否起到有效地保障措施;
*)系统脆弱性扫描:通过检查远程系统上的可用服务和配置,来确定一个已知的脆弱性,包含风险、威胁、可接受性和预计的攻击者技能;
*)安全渗透测试:模拟渗透攻击者对系统进行渗透,检测系统抵抗攻击的能力,但与恶意的攻击者不同,这种模拟的渗透攻击不会对被测试系统造成损害。 |
| * | 安全培训 | 根据采购人要求,供应商在服务期内完成*次网络安全培训。由供应商安排有资质的网络安全服务人员(拥有********认证证书)对雨花区辖区内的党政机关事业单位、重点企业的相关人员开展线上或线下的网络安全相关培训。培训规模预计参加人数在***人左右。
网络安全培训的内容包括:
*)介绍信息安全的重要性,普及相关背景知识,国家关于信息安全的政策措施;
*)信息安全的形式,及信息安全技术的发展过程与趋势;
*)部分关于信息安全的实例,影响及可能的预防措施等。 |
| * | 安全监测 | 对雨花区监测范围覆盖辖区内超过***家党政机关,****家企业,监测网络资产数量超过****个。
(*)网络流量监测:由供应商在日常中定期对网络资产进行扫描,对发现的安全漏洞进行整理汇总,对漏洞情况进行验证后将结果制作成《漏洞详情及整改建议》文件,并协调完成漏洞的相关处理工作;
(*)高危风险服务暴露面监测:定期从互联网监测辖区内单位暴露高风险端口,主要针对信息资产将***/**/**/****/****/****等高危风险端口暴露在互联网;业务管理后台/**/*******/*****等高危应用暴露在互联网以及应用系统存在远程代码执行/***注入/********等高危漏洞暴露在互联网的情况;
(*)恶意病毒木马行为监测,通过监测网络中的数据通信和网络连接行为等流量进行精确的已知病毒木马、未知恶意代码、多变种勒索病毒、挖矿木马以及新型病毒的检测分析,及时识别入侵和病毒行为;
(*)用户单位网站的网络安全外围性监测和预警通报,协助用户单位及时发现网站的安全事件和存在隐患。如网页篡改事件或网站后门事件
(*)向用户单位提供国家网络安全态势信息通报,包括国家公共互联网网络安全态势信息通报、网络安全技术和资源信息等。
(*)仿冒钓鱼监测:针对用户官网、***等在线支付系统,依托仿冒钓鱼网站监测平台监测发现通过仿冒页面或***、木马病毒、垃圾短信、垃圾邮件等方式进行传播和实施的网络钓鱼事件。
(*)不定期接收网络安全预警信息,做好与各单位网络安全负责人的预警提示,共发出预警提示信息。
(*)在监测到上述异常后,形成并发送安全通报。在服务期内提供**份以上有效的安全通报。 |
:
*、服务期限:合同签订之日起一年。
*、服务地点:采购人指定地点。
五、服务标准:
*、供应商说明进行安全检测所依照的相关评估标准、漏洞库等。
*、供应商说明进行安全检测所采用的工具,如商业评估工具、开源评估工具等。
*、供应商说明进行安全检测各项工作时,可能对目标系统产生的影响,尤其是可能造成目标系统性能下降、数据完整性和机密性破坏的影响。供应商应制定相关应急计划。
*、供应商提供网络安全监测服务需委托省级或以上国家权威机构对操作行为进行规范、约束及审计,对检测结果进行分析评估,并向采购人出具省级或以上国家权威机构盖章的监测报告。供应商需在响应文件中进行承诺,承诺函格式自拟。
六、验收标准:
*、验收:按照《关于加强长沙市政府采购项目履约验收工作的通知》(长财采购[****]*号)的规定执行,该项目采用简易程序验收。
*、验收的标准和依据:包括本采购项目的招标文件、成交供应商的响应文件、政府采购合同和有关国家标准与行业规范等;
*、供应商应按时提供符合要求的服务,并积极配合采购人进行验收。
*、项目验收国家有强制性规定的,按国家规定执行,验收费用由成交供应商承担,验收报告作为申请付款的凭证之一。
七、其他要求:
*、结算方式
*.* 付款人:中共长沙市雨花区委网络安全和信息化委员会办公室(国库集中支付)
*.* 付款方式:项目验收合格后支付合同金额的***%。
*、本项目采用费用包干方式,供应商应根据项目要求,详细列明项目所需的费用,以及人工、管理、财务等所有费用,如一旦成交,在项目实施中出现任何遗漏,均由成交供应商免费提供,采购人不再支付任何费用。
*、供应商在投标前,如需踏勘现场,有关费用自理,踏勘期间发生的意外自负。
对于上述项目要求,供应商应在响应文件中进行回应,作出承诺及说明。
采购需求仅供参考,相关内容以采购文件为准。
