福建/福州-2025-12-03 00:00:00
我院拟采购 安全运维及等保测评服务 项目,现就该项目的采购事项,邀请贵单位按本询比价文件的内容及要求进行报价。
一、询比价编号:***************
二、项目名称:福建省计量科学研究院安全运维及等保测评服务询比价采购项目
三、报价人资格要求
*、法定条件:符合《政府采购法》第二十二条第一款规定的条件。
*、特定条件:
*.* 本项目属于服务类采购项目。
*.* 本项目专门面向符合财政部、工信部文件(财库〔****〕**号)规定的中、小、微企业采购。
注:本项目采购标的对应的中小企业划分标准所属行业为其他未列明行业。报价人须提供《中小企业声明函》,报价人应认真对照《工业和信息化部、国家统计局、国家发展和改革委员会、财政部关于印发中小企业划型标准规定的通知》(工信部联企业[****]***号)规定的划分标准,并按照国家统计局关于印发《统计上大中小微型企业划分办法(****)》的通知(国统字〔****〕***号)规定准确划分企业类型。
*.* 其他特定条件(若有)。
*、不接受联合体报价。
四、采购内容与要求(以“★”标示的内容为不允许负偏离的实质性要求)
*、项目概况
本次招标项目为福建省计量科学研究院*********年安全运维和系统等级保护测评服务项目。
*、采购标的一览表
人民币:万元
采购包 | 品目号 | 标的名称 | 数量 | 最高限价 | 计量单位 | 所属行业 | 是否允许进口 |
* | *** | 安全运维:能源计量数据质量评价系统 | * | * | 项 | 其他未列明行业 | 否 |
* | *** | 安全运维:福建省计量科学研究院门户网站、办公**系统 | * | **.* | 项 | 其他未列明行业 | 否 |
* | *** | 等保测评服务 | * | *.* | 项 | 其他未列明行业 | 否 |
*、采购包*技术服务要求:
★(一)服务范围
序号 | 名称 | 等保定级情况 | 服务器/虚拟机数量(台) | 部署位置 | 备注 |
* | 能源计量数据质量评价系统 | 二级 | * | 省政务云平台 | |
* | 福建省计量科学研究院门户网站 | 二级 | * | 省政务云平台 | |
* | 办公**系统 | 未定级 | * | 本地 |
备注:服务对象包括福建省计量科学研究院局域网络、互联网所涉及到的网络设备、服务器、安全设备等。
序号 | 网络及安全设备名称 | 数量 | 部署位置 | 备注 |
* | 防火墙 | * | 本地 | |
* | *** | * | 本地 | |
* | *** | * | 本地 | |
* | *** | * | 本地 | |
* | 核心交换机 | * | 本地 | |
* | 数据库审计设备 | * | 本地 | |
* | 日志审计设备 | * | 本地 |
服务期限为自合同签订生效之日起*年。
(三)服务内容
*.网络设备安全检测服务交付成果:《安全通告》全年不少于*期。
针对福建省计量科学研究院局域网络、互联网,提供网络设备安全检测服务,涉及安全措施有效性、配置核查和漏洞扫描。
*.*网络边界管控有效性及策略核查服务(条款*)
定期每季度*次指派专业的安全服务工程师到福建省计量科学研究院,对中心本地网络的网络边界安全情况进行分析,发现其可能存在的安全隐患。
*.*安全设备措施有效性及策略核查服务(条款*)
定期每季度*次指派专业的安全服务工程师到福建省计量科学研究院,对网络安全硬件措施有效性及策略进行核查,如防火墙、入侵检测、防病毒网关等安全设备,提供以下服务:
*.*.*安全策略优化:根据业务变化情况,检查访问控制策略,调整和优化安全规则达到一致性。
*.*.*运行状态巡检:检查设备运行状态,性能处理能力是否存在瓶颈或运行异常。
*.*.*自身安全性检查:从设备账号管理、远程管理、权限管理等方面开展设备自身安全性检查。
*.*.*日志巡检:定期检查相关安全设备日志进行分析,查看是否存在安全隐患。
*.*安全软件措施有效性及策略核查服务(条款*)
定期每季度*次指派专业的安全服务工程师到福建省计量科学研究院,对安全软件措施有效性及策略进行核查,如网页防篡改、终端防病毒、终端安全管理等现有安全软件,提供以下服务:
*.*.*安全策略优化:根据业务变化情况,检查访问控制策略,调整和优化安全规则达到一致性。
*.*.*运行状态巡检:检查软件运行状态,性能处理能力是否存在瓶颈或运行异常。
*.*.*自身安全性检查:从软件账号管理、远程管理、权限管理等方面开展设备自身安全性检查。
*.*.*日志巡检:定期检查相关安全软件日志进行分析,查看是否存在安全隐患。
★*.*服务价值与交付成果
通过网络设备安全检测服务,发现本地网络设备可能存在的安全风险,及时协助发现的安全漏洞与隐患,最大限度地防止本地网络的黑客入侵。保证本地网络有效的防护、稳定、安全的运行。
交付成果:每季度提交*份《网络设备安全检测报告》。
*.主机系统安全检测服务
针对服务范围内的应用主机系统,提供主机系统安全检测服务,涉及主机系统、数据库和中间件的安全检测。
*.*主机系统漏洞扫描服务(条款*)
定期每季度*次指派专业的安全服务工程师到现场,针对主机系统进行漏洞扫描、端口扫描、弱口令扫描等,覆盖系统的补丁、服务的开放性及安全研究机构发现的系统问题等,发现系统本身存在的安全问题。
*.*主机系统安全配置核查服务(条款*)
定期每季度*次指派专业的安全服务工程师到现场,参照等级保护*.*合规性标准,对主机系统进行配置核查,发现主机系统配置存在不合理和不安全的情况,提升客户对主机系统配置的安全意识。结合发现的问题进行及时调整,加强主机系统安全。
*.*主机系统后门检查服务(条款*)
定期每季度*次指派专业的安全服务工程师到福建省计量科学研究院,针对主机系统后门进行检查,检查内容包括:
*.*.*主机系统后门检查
主机系统被入侵潜伏后,通常存在隐藏比较深的系统后门(*******),重点发现绕过杀毒软件的系统后门。
*.*.*主机系统入侵痕迹检查针对主机账号、启动项、进程、网络连接等进行检查。
*.*.*主机系统日志分析服务
根据系统层日志、安全日志、应用层日志以及其他特征发现主机系统的入侵痕迹,避免黑客使用隐藏账户等躲避检查的安全隐患。
*.*主机入侵监测与安全防护服务(条款*)
针对服务范围内应用系统的互联网主机,提供全年主机入侵监测与安全防护,通过云端管理系统+终端轻代理的组合,为服务器主机提供资产管理、安全体检、安全监控、安全防护,对主机进行全方位的安全防护。
*.*.*资产管理
可获取并记录主机上的端口、网站、***容器、第三方组件、数据库、进程、账号等信息,进行统一的管理和清点,实时掌握服务器主机系统内部的资产情况。
资产采集频率设置;支持资产信息导出:支持主机及对应资产双维度查看。
*.*.*安全体检
可主动发起主机深度检测,检测的项目包括:系统漏洞、弱口令、高危账号、配置缺陷、病毒木马、网页后门、反弹 *****、异常账号、日志删除、异常进程、系统命令校验等。
*.*.*安全监控
可对主机开启各类监控包括登录监控、完整性监控、操作审计、进程监控、资源监控、性能监控。从主机安全角度,全天候监控主机的运行情况,能确保第一时间发现服务器问题,帮助快速发现安全风险和性能瓶颈。
*.*.*安全防护
提供强大的安全防护功能支持端口安全防护、防护控制、暴力破解防护、扫描防护、病毒防护、** 黑白名单设置,进程行为控制。通过对各类攻击事件的采集分析生成攻击趋势图,攻击分布图等多表,直观展现各类攻击事件。根据攻击事件危害程度自动匹配风险等级,并提供详实的攻击特征描述,用户可以此为参考对攻击者** 进行加黑处理,也可导出攻击事件做后续攻击分析。
*.*主机系统安全加固辅导服务(条款*)
定期每季度*次指派专业的安全服务工程师到现场,通过分析主机系统漏洞扫描、安全配置核查、后门检查、主机监测的结果,明确主机系统当前存在的安全问题,对在检测中发现的主机系统安全问题提供安全加固建议及辅导,协助系统管理员完成主机系统后门清理、漏洞加固和配置加固,提高系统的整体安全性,最大限度消除服务器高风险漏洞,使其符合等级保护的基本要求。
*.*中间件安全评估与配置加固建议服务(条款*)
定期每季度*次指派专业的安全服务工程师到现场,针对中间件进行安全合规评估,并提供配置加固建议。
结合工具检测和人工安全审查方式来挖掘******/***/******/********/*********等***应用服务器(中间件)的脆弱性和安全性问题,主要评估账号、日志、配置等不正确的问题带来的安全威胁,帮助用户及早发现中间件存在的风险,避免造成敏感信息泄漏的后果。
针对******/***/******/********/*********等***应用服务器(中间件)提供加固建议,包括配置加固与优化建议,最大程度降低中间件本身的漏洞风险、纠正中间件使用中构成安全威胁的错误策略、加强中间件账号、日志、配置等带有安全风险的配置,从整体上提升中间件的安全性。
*.*数据库安全评估与配置加固建议服务(条款**)
定期每季度*次指派专业的安全服务工程师到福建省计量科学研究院,针对数据库进行安全合规评估,并提供配置加固建议。
结合工具检测和人工安全审查方式来挖掘数据库系统的脆弱性和安全性问题,主要评估数据库系统安全漏洞、安全配置不正确带来的安全威胁以及由于数据库系统账号、权限等配置不严谨而产生的安全风险。帮助用户及早发现数据库系统存在的风险,避免造成敏感信息泄漏的后果。
提供数据库安全加固建议,包括最大程度降低数据库系统(*** ******,******等)本身的漏洞风险、纠正数据库系统使用中构成安全威胁的错误策略、加强数据库系统账号、密钥、权限等带有安全风险的配置,从整体上提升数据库系统的安全性。
★*.*服务价值与交付成果
通过主机安全检测与加固辅导服务,全面深入地发现主机服务器可能存在的安全风险,及时协助修复主机系统层安全中发现的安全漏洞与隐患,最大限度地防止黑客入侵。保证信息系统有效的防护、稳定、安全的运行。
交付成果:每季度*份《主机系统安全检测报告》。
*.门户网站安全监测服务
*.*可用性监测服务(条款**)
针对福建省计量科学研究院门户网站提供全年可用性监测服务,可用性监测主要涉及以下指标:网站可用性、网站访问的速度情况、网站响应时间,从而判断互联网网站是否能达到最优、最安全的服务质量。通过的可用性检测服务,从互联网线路远程实时监测目标网站站点在多种网络协议下的响应速度、首页加载时间等反映网站性能状况的内容,一旦发现网站无法访问,第一时间通知用户。
*.*合规性监测服务(条款**)
*.*.*远程网页变更监测服务
针对福建省计量科学研究院门户网站提供全年远程网页变更监测服务,远程网页变更监测服务在远程对比的基本原理上,增加了两大核心技术,来解决业界恶意变更监控普遍误报率较高的问题。一是内容网页前后模糊匹配技术通过预设值敏感度,作为前后匹配误差的判断标准;二是内容匹配算法,不仅对比网页的变化,而是识别内容,并进行非法库的匹配。例如,扫描发现网页修改中出现了“共产党”,其它部分又出现不和谐词语,系统会计算出一个差值,来进行匹配判断是否为恶意变更行为。这样一方面提升扫描效率,一方面极大降低误报率。一旦发现网站网页异常变更,第一时间通知用户。
*.*.*网页敏感信息监测服务
针对福建省计量科学研究院门户网站提供全年网页敏感信息监测服务,对网站存在的敏感信息进行检测,并且可以检测多种类型的敏感信息,同时,还能够支持自定义导入敏感信息,在自身的敏感词库的基础上,不断丰富敏感词汇。监测工具同时利用百度、谷歌等搜索引擎的强大搜索能力,通过搜索引擎接口提交搜索参数,使页面敏感词检测覆盖面更深更广,从而实现远程实时监测目标站点页面状况,一旦发现页面出现敏感关键词,第一时间通知用户并提供安全参考建议,方便用户及时删除敏感内容,避免事件影响扩散,给自身带来声誉和法律风险。
*.*.*网页恶意链接监控服务
针对福建省计量科学研究院门户网站提供全年恶意链接检测服务,检测网站暗链、桥页等恶意链接以及网页新增链接等。通过监测工具内置的暗链特征库,将远程网页信息抓取到本地,进行特征暗链特征匹配,通过排除信任域名库、**地址域名、常见隐藏手段等的干扰,并结合暗链关键词库的匹配技术,将目前挂暗链主要目的的搜索引擎关键词,准确匹配出来,从而在有效检测暗链的同时,将误报降到最低限度。一旦发现页面出现网页恶意链接,第一时间通知用户。
*.*安全性检测服务(条款**)
*.*.*网站漏洞扫描检测服务
针对福建省计量科学研究院门户网站提供全年网站漏洞扫描检测服务,提供*****定义的***威胁相关的漏洞扫描检测,通过远程的网站漏洞扫描检测,同时有效识别****.*以及*****,保障网站漏洞扫描的全面性。
网站漏洞扫描服务提供广度和深度两种扫描方式,广度优先策略是按照网页内容目录层次深浅来爬行页面,处于较浅目录层次的页面首先被爬行。当同一层次中的页面爬行完毕后,爬虫再深入下一层继续爬行,能有效控制页面的爬行深度,避免遇到一个无穷深层分支时无法结束爬行的问题。
*.*.*网站钓鱼检测服务
针对福建省计量科学研究院门户网站提供全年网站钓鱼检测服务,服务工具通过借助搜索引擎的搜索能力以及网页的模糊匹配技术,通过借助网页关键词,判断搜索关键词而来的网站中,是否出现与本域名不匹配,且相似度高的网站,来判断该网站是否为钓鱼网站,一旦发现将第一时间通知用户。
*.*.*网页木马检测服务
针对福建省计量科学研究院门户网站提供全年网页木马检测服务,检测工具采用业内领先的一体化挂马检测技术,高效、准确的识别网站页面中的恶意代码,从而使网站管理员能够第一时间感知网站的安全状态,及时清除网页木马,避免给用户带来安全威胁,继而影响网站信誉。检测工具采用基于沙箱检测和静态特征库匹配相结合的木马检测技术作为网马检测引擎,提高引擎检测准确性,降低误报率。
*.*.*弱口令检查服务
针对福建省计量科学研究院门户网站提供全年弱口令检查服务,检测工具基于调度任务对网站进行远程自动扫描,获得所述网站主机诸如:***、***、******等服务的弱口令信息,包括:用户名、密码。检测工具通过内置的用户名字典和密码字典以及组合字典,可以进行标准模式破解以及组合模式破解两种扫描方式进行弱口令扫描,扫描一方面同弱口令字典中的弱口令进行匹配,另一方面使用获取到的口令进行模拟登陆验证,从而实现弱口令检查功能,从而有效提高弱口令检测效率。
★*.*服务价值与交付成果
采用安全监测服务平台等检测服务工具对单位的福建省计量科学研究院互联网网站提供远程安全监测,用户无需安装任何软件或调整网络架构,由于无需购买和部署设备,因此用户可以在几个小时内将监测服务投入运行,并可以在第一时间获得监测到的网站安全问题,并获得专业的技术指导协助。
交付成果:每季度*份《门户网站安全监测报告》。
*.应用安全检测服务
*.*应用安全漏洞扫描服务(条款**)
定期每季度*次指派专业的安全服务工程师到客户现场,为目标应用提供全方位的安全漏洞及安全隐患检查,从攻击者视角审查目标应用系统的脆弱性状况,包括应用漏洞、应用配置。
*.*应用安全漏洞验证服务(条款**)
定期每季度*次指派专业的安全服务工程师到客户现场,对已经发现的安全问题进行人工验证,以判断应用当前的漏洞是否真实有利用,剔除误报干扰。并提供专业的安全加固措施指导建议,帮助客户解决当前应用存在的安全问题。
*.*应用安全漏洞加固辅导服务(条款**)
定期每季度*次指派专业的安全服务工程师到客户现场,提供专业的应用安全漏洞加固措施指导建议,协助应用开发商及时采取可行的应用安全加固措施进行安全加固。首次安全加固后,将进行漏洞复查和对比,以形成加固前后对比。协助客户解决当前应用存在的安全问题。
★*.*服务价值与交付成果
通过应用安全检测服务,全面深入地挖掘可能存在的被黑客利用的网站应用层安全漏洞和数据库的安全隐患,同时实现对单位作为业主或其负责运维的信息系统在发现漏洞时的有序管理,实现安全事件可追踪、可追溯,保障漏洞得到及时、有效的修复,确保各信息系统的安全运行。
交付成果:每季度*份《应用安全检测报告》。
*.安全渗透测试服务
为省政务云上的*个信息化系统提供渗透测试服务,每年*次。
*.*网站安全渗透测试服务(条款**)
安排渗透测试团队采用人工黑盒的方式对用户的应用系统进行模拟攻击测试。主要测试方法包括:信息收集、端口扫描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人攻击、***脚本渗透、*/*或*/*应用程序测试等,渗透结果进行人工分析,并对漏洞提交源代码加固建议报告。
*.*应用安全渗透测试服务(条款**)
针对应用系统进行专家级人工的渗透测试服务,全面检测***应用程序的安全性,深度挖掘程序中存在的各种漏洞和所面临的威胁,漏洞测试覆盖*****十大漏洞,如***跨站脚本攻击漏洞、***注入漏洞、恶意代码上传漏洞、******注入漏洞及其它各种敏感信息的检查等。
*.*安全加固建议及辅导服务(条款**)
根据渗透测试结果,提供详细的应用安全加固建议,并协助应用开发公司完成应用加固,并提供复查以确保漏洞得到修复。
★*.*服务价值与交付成果
(*)深度挖掘应用系统中的安全漏洞,并判断漏洞可能造成的最大限度的损失;
(*)以最权威的客户数据,让客户感受应用系统安全漏洞将带来的影响和损失,以便做好安全损失与保护的评估。
交付成果:每半年*份《安全渗透测试报告》。
*.安全应急演练服务
*.*应用应急预案设计服务(条款**)
针对单位自身的当前网络实际情况,并结合网络安全应急处置相关的政策要求,完善符合单位要求的安全应急预案,预案中包括*个场景。
制定应急预案管理的责任部门,建立统一的应急预案框架,框架应包括事件分级方法、各级事件启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;在应急预案框架制定不同事件的应急预案,应急预案要指名适用的系统、设备等,要结合系统实际状况。比如针对门户网站的网页篡改、针对业务系统的入侵等。组织信息网络应急保障队伍,并定期开展应急演练,做好应急演练相关文档记录。
*.*应用应急演练服务(条款**)
为保障网络与信息系统安全,预防和遏制网站及应用系统突发安全事件的发生,减轻和消除突发事件造成的危害和影响,组织技术力量共同完成安全应急预案中*个场景的演练,演练完成后提交《应急演练报告》及相关应急演练记录,确保能够应对各类安全事件的发生。
★*.*服务价值与交付成果
通过开展安全应急演练,提高单位对安全突发事件的组织指挥能力和应急处置能力。
交付成果:《安全应急预案》、《安全应急演练报告》。
*.安全应急响应服务
*.*安全应急响应服务(条款**)
当单位网络和信息系统遇到黑客攻击或网页篡改等恶性事件,迅速对事件做出相应的判断,确认事件给信息系统带来的影响和损害程度,区分一般事件和应急响应事件等,如果确认事件为应急响应事件且远程支持无法解决时,安排工程师到达现场处置,实施最有效的紧急救援及恢复补救方案。
*.*安全应急处置服务(条款**)
根据突发事件信息,初步判定突发事件的程度。能够自行解决,要及时加以解决;如果不能自行解决故障,由单位领导现场指挥,协调各部门力量,按照分工负责的原则,组织相关技术人员立即启动应急预案,进入应急预案的处置程序,及时控制安全事件的蔓延,采取有效的措施以防止事件进一步扩大,尽可能地减少负面影响。
*.*远程安全咨询服务(条款**)
当单位网络和信息系统故障或出现安全事件时能立即通过电话咨询或远程维护等方式提供*×**小时远程安全咨询服务支持。
★*.*服务价值与交付成果
通过应急响应为遇到黑客攻击或网页篡改等恶性事件,实施最有效的紧急救援及恢复补救工作。
交付成果:发生安全事件应急响应后提交《安全应急响应报告》。
*.重保服务
*.*远程重保服务(条款**)
为节假日、全国两会、国际重大会议、重大事件等重大活动期间提供特殊保障服务。实行**小时远程值班制度,加强漏洞检测、安全巡检及安全加固,保证系统安全。
★*.*服务价值与交付成果
通过重保服务,保障重要会议、节假日期间的信息系统的稳定运行。
交付成果:《重保时期安全保障报告》
*.安全检查专题服务
*.*安全检查专题服务(条款**)
在上级监管部门对单位进行安全检查期间,协助单位按照上级监管部门要求,进行专门的全面安全检查协助服务和保障协助,包括协助单位梳理出单位现有的信息安全管理制度相关材料等。包括但不限于网安、网信的信息系统安全检查。
★*.*服务价值与交付成果
通过安全检查专题服务,保障了在上级监管部门安全检查期间能够进行高效的协助工作。
交付成果:安全检查相关材料。
**.安全通告服务
**.*安全通告服务(条款**)
提供最新的安全动态、技术和安全信息,包括实时安全漏洞通知、定期安全通告汇总和安全知识库更新等。通告内容包括但不限于以下内容:
国内外最新重大漏洞、病毒安全通告;
国家安全政策及法律法规;
同行业安全威胁事件通告;
国内外重大安全事件,新技术发展动态通告;
重大安全漏洞爆发时需结合资产情况,提出相应修复建议。
★**.*服务价值与交付成果可以根据通告信息,轻松掌握最新的安全漏洞状态并能够安排及时修补**资产漏洞,提高单位安全脆弱性管理能力。
*、采购包*技术服务要求:
★(一)服务范围
针对福建省计量科学研究院的信息化系统开展*********年等保系统等保测评事项,提供等保咨询和等保测评服务。具体测评对象如下:
序号 | 名称 | 等保等级 | 主机数量 | 部署位置 | 备注 |
* | 福建省计量科学研究院门户网站 | 二级 | * | 省政务云 | 于*********年开展二级等保测评服务项目一次 |
★(二)服务期限
本次服务期限为合同签订生效之日至****年*月完成系统等保测评。
★(三)服务概述
序号 | 服务大类 | 服务类别 | 服务内容 | 交付成果 |
* | 等保咨询与测评服务 | 等保咨询服务 | (*)等保资产分析服务 | 《信息系统等级保护基本情况调研表》 |
(*)等保风险分析服务 | 《等级保护安全评估与整改建议报告》 | |||
(*)等保差距评估服务 | 《等保差距评估服务报告》 | |||
(*)等保安全加固辅导 | 《等级保护安全加固报告》 | |||
(*)等保制度建设服务 | 《等级保护安全管理制度》 | |||
(*)等保测评辅助服务 | 相关测评材料 | |||
(*)等保台账管理服务 | 台账管理光盘 | |||
* | 等保测评服务 | (*)等保测评服务 | 《测评报告》 |
*.*等保资产分析服务(条款*)
根据等级保护范围内的资产组成,对服务范围内各个测评对象整理的网络结构拓扑以及相关联的资产,基于等级保护综合管理系统开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理,编制《信息系统等级保护基本情况调研表》,并通过系统实现资产管理,包含网络拓扑、机房管理、设备管理、应用管理、数据管理等。
*.*等保风险分析服务(条款*)
根据等级保护基本要求,开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心的现状分析,通过安全访谈、脆弱性评估、登录检查、日志分析、等级保护综合管理系统等技术手段对现有的安全资产进行全方位的风险评估,结合信息资产属性、威胁、脆弱性等基本要素,分析信息系统安全风险评估分析,编制《等级保护安全评估与整改建议报告》。
*.*等保差距评估服务(条款*)
在安全评估和信息系统定级的基础上,根据《**/***********信息安全技术网络安全等级保护基本要求》将测评对象对应等级的等级保护的各项基本要求与信息安全现状进行比较分析,从管理和技术两个层面找出存在的问题并进行差距分析,并通过等级保护综合管理系统提供展示本单位的指标自评的总体情况、**大层面指标符合情况、自评得分变化趋势。
*.*等保安全加固服务(条款*)
根据等级保护基本要求以及风险和差距分析结果,对服务范围内信息系统的关键资产编制安全整改实施方案,实施方案中应包括加固风险分析及风险规避说明。派遣专业工程师到现场根据安全整改实施方案实施边界防护安全策略优化辅导、服务器病毒检查与清理,提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议。安全整改实施后,根据整改实施情况提交《等级保护安全加固报告》。
对于需要增加投资,部署新的信息安全产品和技术的整改措施,双方根据整改方案另行协商和实施。
*.*等保制度建设辅导服务(条款*)
协助客户建设安全管理制度,为测评对象建立起信息安全策略、方针、各项安全管理制度、安全操作规范以及各类操作记录文档体系。
提供涵盖等级保护基本要求所涉及的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理*大类安全管理要求的方针、制度、各类记录表格模板,达到等级保护测评要求。提交《等级保护安全管理制度》。
*.*等保测评类辅助服务(条款*)
协助用户准备测评材料,指导用户单位配合测评机构开展等级测评工作,组织测评整改,并保障顺利通过等保测评获得测评报告。在测评阶段通过等级保护综合管理系统提实现等级测评管理,展示本单位各定级对象测评情况,包括定级对象测评状态、测评报告及测评相关文档信息;批量下载测评所需材料、填写测评结果,支持自定义编辑测评所需的各类文档,辅助等级测评工作。
*.*等保台账管理服务(条款*)
通过服务工具等级保护综合管理系统提供等保台账管理服务,服务过程中提供各个定级对象等保咨询服务涉及到的各个环节产生的资料归档,支持对单个定级对象的定级、备案、自评、测评、管理制度五大维度的单独归档文件管理,并支持全部下载、按时间搜索按定级对象搜索等功能,服务结束后提供台账管理光盘,后续服务中可直接导入等保综合管理系统实现服务的延续。
*.等级保护测评服务
根据网络安全法及国家等级保护相关标准,对需要进行测评的应用系统进行等级测评工作,出具符合公安部门要求的测评报告。
*.*国家标准(条款*)
依据国家等级保护相关标准开展工作,依据标准包括但不限于如下国家标准:
**/* **********《信息安全技术 网络安全等级保护基本要求》
**/* ********* 《信息安全技术 网络安全等级保护定级指南》
**/* **********《信息安全技术 网络安全等级保护实施指南》
**/* **********《信息安全技术 网络安全等级保护测评要求》
**/* **********《信息安全技术 网络安全等级保护测评过程指南》
*.*技术要求
根据国家等级保护相关标准,测评人员服务范围内的系统安全等级保护测评的内容包括但不限于以下内容:
*.*.*安全技术方面
*.*.*.*安全物理环境: 包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。(条款*)
*.*.*.*安全通信网络:包括网络架构、通信传输、可信验证等方面。(条款**)
*.*.*.*安全区域边界:包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等方面。(条款**)
*.*.*.*安全计算环境:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面。(条款**)
*.*.*.*安全管理中心:包括系统管理、审计管理、安全管理、集中管控等方面。(条款**)
*.*.*安全管理方面
*.*.*.*安全管理制度:包括信息系统的管理制度、制定和发布、评审和修订等方面。(条款**)
*.*.*.*安全管理机构:包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等方面。(条款**)
*.*.*.*安全人员管理:包括信息系统的人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等方面。(条款**)
*.*.*.*安全建设管理:包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案、等级测评等方面。(条款**)
*.*.*.*安全运维管理:包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。(条款**)
*等级保护测评要求
*.*测评原则
本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则:
*.*.*保密原则:对测评的过程数据和结果数据须严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害业主单位的行为,否则业主单位有权追究其责任。(条款**)
*.*.*标准性原则:测评方案的设计与实施须依据国家等级保护的相关标准进行。(条款**)
*.*.*规范性原则:评测工作中的过程和文档,须具有很好的规范性,便于业主单位对项目的跟踪和控制。(条款**)
*.*.*可控性原则:测评服务的进度要跟上进度表的安排,保证业主单位对于测评工作的可控性。(条款**)
*.*.*整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。(条款**)
*.*.*最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。(条款**)
测评机构应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
*.*安全等级保护测评报告要求(条款**)
上述系统需根据业主单位要求在规定时间内(根据实际需求分批次)完成等级测评,出具等级保护测评报告报告。
*技术服务质量要求
★*.*投标人须具有公安部第三研究所颁发的《网络安全服务认证证书等级保护测评服务认证》;(需提供等级保护证书复印件);
*.*安全测评单位在委托方现场测评时安全测评单位在采购人现场测评时,应遵守委托方的工作纪律应遵守采购人的工作纪律,不破坏采购人的工作设备和软、硬件设施。(条款**)
*.*安全测评单位在现场测评时,应与采购方项目负责人充分沟通,如在运用相关工具或开展相关测评工作前,应事先做好风险评估和回退机制,做好安全防范措施,确保在测评工作开展过程中不影响系统的正常运行。(条款**)
*.*测评单位需积极配合采购方、采购方的第三方安全服务商以及对应系统开发商完成测评整改工作。(条款**)
*.*如投标人所投的测评机构属地非福建省,须在福建省等保办对测评机构及项目进行填报登记和审核确认。(须提供福建省等保办的登记证明,并承诺所出具的测评报告符合福建省公安厅的相关要求。投标人所投测评机构属地在福建省内的无须另行提供证明材料。(条款**)
*.*本项目要求投标人提供测评过程突发事件应急服务,能够快速应对测评过程突发事件,要求要求投标人所投的测评机构在系统备案所在省具备实验室,并且实验室经过公安部第三研究所认可,须提供该实验室场地的租赁合同或采购买卖合同,并要求该实验室场所地址与《网络安全服务认证证书等级保护测评服务认证》所列地址一致。(条款**)
五、项目商务要求(以“★”标示的内容为不允许负偏离的实质性要求)
采购包*:
序号 | 参数性质 | 类型 | 要求 |
* | ★ | 服务时间 | 自合同签订之日起两年 |
* | ★ | 服务地点 | 福建省福州市屏东路***号 |
* | ★ | 交付条件 | 经采购人验收合格。 |
* | ★ | 履约验收方式 | 完成相应的服务内容,每次提交对应的服务报告;协助修复信息化系统已发现的中高风险漏洞。 |
* | ★ | 合同支付方式 | *、合同签订后,中标人开具发票,达到付款条件起**日,支付合同总金额的**.**%。 *、完成本合同约定的一个定级系统服务,提交等级测评报告后**日,支付合同总金额**.**%。 *、项目执行完毕,中标人提供完整的服务报告等材料经采购人验收合格后,达到付款条件起**日,支付合同总金额的**.**%。 |
采购包*:
序号 | 参数性质 | 类型 | 要求 |
* | ★ | 服务时间 | ****年*月前 |
* | ★ | 服务地点 | 福建省福州市屏东路***号 |
* | ★ | 交付条件 | 经采购人验收合格。 |
* | ★ | 履约验收方式 | 按要求完成系统等保测评,并取得由具备公安部第三研究所颁发《网络安全服务认证证书等级保护测评服务认证》的合规机构出具正式测评报告。 |
* | ★ | 合同支付方式 | 出具等保测评报告并验收后付款***%。 |
六、报价要求
*、本项目以采购包报价,采购包*品目号***最高限价为*万,采购包*品目号***最高限价为**.*万元。采购包*最高限价为*.*万元。本次采购为整体采购,报价人不得将项目中同一采购包的服务拆分报价,报价人的报价为一次性含税报价,且须包括但不限于运费、税金等全部费用。
*、明细报价:报价人需按附件*的明细报价表进行报价,逐项列明,并注明价格。
*、项目不收取成交服务费,报价人应秉承严谨、负责的态度,结合自身实际情况审慎报价,报价人可在满足基本要求前提下承诺提供更好的服务。
七、报价人须知
*、报价超过本项目规定的单价或采购包最高限价。则视为无效报价;
*、纸质版报价文件正本:*份。非正本则视为无效报价;
*、报价人须提前备份好与所投递的纸质版报价文件同版本的盖章后扫描件,在中标后*日内提供给采购人,否则产生不利后果由成交供应商承担责任。
*、报价文件的“资格证明及技术商务部分”及“价格部分”须分别装订加盖骑缝章后用密封袋单独封装,否则视为无效报价。
*、密封的外包装应至少标记“项目名称、询比价编号、报价人全称、联系电话”等内容,否则造成报价文件误投、遗漏或提前拆封的,采购人不承担责任。
*、报价文件标准格式(见附件*)。未按格式要求的报价则视为无效报价。
*、报价文件的“资格证明及技术商务部分”中不得出现“价格部分”的全部或部分的价格信息(或组成资料),否则视为无效报价。
*、报价文件技术服务要求不符合本询比价文件的条款“三、采购内容与要求”中“★”标示的内容为不允许负偏离的实质性要求的视为无效报价。
*、报价文件商务条款不符合本询比价文件的条款“六、项目商务要求”的中“★”标示的内容为不允许负偏离的实质性要求的视为无效报价。
八、报价文件递交时间及要求
于****年**月*日**:**(北京时间)之前,所有报价材料均以采购包(若有)为单位,按上述包装要求包装后送至福州市屏东路***号福建省计量科学研究院***办公室。逾期送达的报价文件,将视为无效报价,不能成交。报价文件不接受邮寄!
九、报价文件内容(具体见附件*)
*、报价函;
*、报价人的资格证明文件;
注:资质证明文件,至少应包括:营业执照、身份证等与本项目相关的企业资质证明文件的复印件及报价要求的其他资质证明文件,报价人可自行补充提供其他(如***)等资质证明文件,复印件均需加盖公章。
*、技术服务及商务响应表;
*、报价人承诺函(若有);
*、报价人提交的其他资料(若有)。
*、报价一览表
*、明细报价表
十、成交原则
本项目采用综合评分法推荐成交报价人,采购包*评分标准见附件*,采购包*评分标准附件*。中标或者成交供应商拒绝与采购人签订合同的,采购人可以按照评审报告推荐的中标或者成交候选人名单排序,确定下一候选人为中标或者成交供应商,也可以重新开展采购活动。
十一、其它
各潜在报价人如对本询比价函如有疑议,请向项目负责人询问。
采购人:福建省计量科学研究院
项目负责人:张静,联系电话:*************。
附件*:其他商务要求
附件*:采购包*评分标准
附件*:采购包*评分标准
附件*:报价文件标准格式
(下载:附件*、*、*、*)
福建省计量科学研究院
****年**月*日
