市应急管理局

宜兴市应急局网络安全标准化技术服务外包询价文件

 

• 第一章 询价公告

 

宜兴市应急局决定就网络安全标准化技术服务外包项目拟采用询价方式进行采购，欢迎符合资格条件的供应商前来参加。

一、采购项目编号：YXSYJGLJ2022-0720

二、采购项目名称：宜兴市应急局网络安全标准化技术服务外包

三、采购内容：

本次信息安全技术外包服务，实现以下目标：

1. 保障宜兴市应急管理局网络信息安全，排查整改网络安全隐患，及时提供有效的安全技术防护；

2. 规范信息安全长效管理机制，实现信息安全规范化、标准化、精细化；

3. 通过专业安全服务，进一步增强信息安全防御能力，提升信息安全的预防能力和应急处理能力；

4. 完善信息安全技术体系建设，提升业务应用系统的安全性和可靠性，保障业务应用系统的安全、稳定、高效运行。

（一）服务概述

本项目宜兴市应急管理局信息安全技术外包服务，是一个包含信息防护、漏洞排查的项目。   

（二）详细服务内容

（三）服务期限与支付方式

信息安全技术外包服务期限为一年，各项服务频次见项目服务内容约定。

费用支付方式为：按验收合格后进度支付，经年度考核验收合格后，支付合同价100%。

（四）服务内容和范围

本次网络安全运维服务以非驻点方式进行。一般情况下，运维单位应每月固定至少1天，派遣技术人员到现场巡查了解需要服务的内容，并及时处置解决问题。若某批次有较多服务事项在短期内无法处理完毕，技术服务单位应派遣足够技术力量，连续处理直至全部完成。若遇突发网络应急事件、网络安全攻防演练和应急演练、重大会议或重大活动期间，需要运维单位提供全过程网络安全保障和技术支持，技术服务单位应当全程提供派驻人员给予保障。

宜兴市应急管理局信息系统，包括内部办公系统，视频会议系统，及支撑这些信息系统的服务器主机，以及相关的网络设备和安全设备。

（五）服务具体内容

1、安全评估服务

通过安全评估来识别的安全现状，全面了解和掌握系统面临的安全威胁和风险，为安全需求和解决方案的提出提供原始依据，为信息系统的使用、管理部门开展网络安全等级保护提供依据，为确立安全策略、制定安全规划、开展安全建设提供决策支持，保障信息系统安全运行。

网络架构安全评估服务

分析自建机房整体的网络拓扑结构安全隐患，分析网络内部网络面临的外部和内部威胁，面向数据中心机房网络。

网络设备安全评估服务

评估自建机房现有网络设备的配置、使用状况、漏洞情况，考察网络设备的有效性、安全性，面向交换、路由设备。

安全设备安全评估服务

评估现有安全设备的配置、使用状况、漏洞情况，考察安全设备的有效性、安全性，面向防火墙等相关安全设备。

主机服务器系统安全评估服务

利用扫描工具及相关人工测试等方式检查整个网络内部网络的主机系统与数据库系统的漏洞情况，评估主系统与数据库本身存在的安全漏洞，面向数据中心机房网络。

漏洞扫描工具具备如下功能：

   1)  支持自动生成网络拓朴图，资产类型包括：机房、云、交换机、路由器、防火墙、负载均衡、服务器、客户机等。还可以进行添加、修改、删除，并查看各资产的详细信息。（提供对应工具功能截图）

   2)  系统漏洞知识库的检测脚本大于82000多条，所有的检测脚本都能够在产品中随机进行浏览和多维度检索。（提供对应工具功能截图）

   3)  系统漏洞知识库兼容CVE、CNCVE、CNNVD、CNVD、CVSS、Bugtraq等主流标准。

   4)  支持Web2.0扫描，支持flash解析，支持自定义不扫描的目标URL，支持自定义扫描深度。（提供对应工具功能截图）

   5)  支持选择相应的数据库类型，包括主流的数据库、国产数据库和nosql数据库，可以输入相应的端口号、用户名、密码等。并支持认证授权的测试验证功能，确保认证授权的正确性和可用性。（提供对应工具功能截图）

   6)  数据库漏洞知识库的扫描策略大于2000多条，所有的检测脚本都能够在产品中随机进行浏览和多维度检索（提供对应工具功能截图）

   7)  支持扫描任务的对比分析功能，不仅可以灵活选择不同时间段的扫描任务进行对比分析，了解新增漏洞、减少漏洞的相关数据。还可以自动与上一次的扫描任务进行对比，自动获得新发现漏洞、已修复漏洞的相关数据。（提供对应工具功能截图）

   8)  支持和微软WSUS补丁更新系统进行联动，进行补丁加固。（提供对应工具功能截图）

2、安全巡检服务

针对信息系统进行定期巡检。为了确保核心信息系统安全稳定的工作，最大限度的降低系统的运行故障，提供安全设备、服务器系统、网络设备等周期性巡检服务。

安全扫描服务

通过使用自动化安全漏洞挖掘工具和在线检测平台，以基于互联网远程检测的方式，来测试和识别当前的安全漏洞和存在的安全脆弱性，从而帮助招标方全面了解和掌控其应用系统的安全状况。

渗透测试服务

对业务系统进行人工渗透测试。直观体现安全风险现状，针对渗透成果获得有效处理方案；防止系统入侵安全隐患再次被黑客利用；帮助建立一体化信息系统隐患检测机制，渗透成果作为信息系统信息安全建设参考依据。

   1)  信息收集

   通过搜索引擎侦测、专业化工具检测结合人工分析，对业务应用系统、中间件、操作系统等类型指纹收集分析、端口扫描和目标系统提供的服务识别等，确定信息资产互联网暴露面。

   2)  配置管理测试

   开展业务系统配置管理方面安全测试，主要内容包括敏感目录遍历、 Robots方式的敏感接口查找、 Web服务器的控制台、文件备份测试、 HTTP开启方法测试等方面测试。

   3)  认证测试

   开展业务系统认证方面安全测试，主要内容包括登录验证码、认证错误提示、锁定策略、认证绕过、找回密码、修改密码、安全的数据传输、强口令策略、手机验证码、撞库、接口滥用等方面测试。

   4)  会话管理测试

   开展业务系统会话管理方面安全测试，主要内容包括会话变量泄露、 Cookie属性测试、 Cookie存储方式测试、用户注销登陆的方式、注销时会话信息测试、会话超时时间测试、会话固定测试等方面测试。

   5)  授权测试

   开展业务系统授权方面安全测试，主要内容包括绕过授权模式测试、横向提权测试、纵向越权测试、后台页面未授权访问测试、中间件未授权访问测试等方面测试。    6)  文件上传下载测试

   开展业务系统文件上传下载方面安全测试，主要内容包括 HTTP PUT/MOVE上传文件测试、页面上传测试、文件下载测试等方面测试。

   7)  信息泄露测试

   开展业务系统信息泄露方面安全测试，主要内容包括连接数据库的帐号密码加密测试、源代码敏感信息测试、源代码注释测试、不安全的存储、注册手机号批量获取、 Json敏感信息测试等方面测试。

   8)  数据验证测试

   开展业务系统数据验证方面安全测试，主要内容包括跨站脚本类测试、SQL注入类测试、命令执行测试等方面测试。

配置核查服务

对服务器开展合规性配置检查，采用基线核查工具和专家手工方法对实施范围内的主机系统、应用系统、数据库系统等对象逐个进行检查分析，输出详细的基线核查情况，详细说明各类资源节点运行情况及调优建议。

3、安全加固服务

根据安全评估、基线核查服务的结果，提供每年4次的应用安全加固辅导、服务器安全加固、Web服务器（中间件）加固辅导、数据库安全加固建议，提升系统整体安全性，并提交报告。

主机系统配置加固服务

通过对系统层安全检测结果的分析，对在检测中发现的系统的安全问题进行提交加固措施和建议，针对系统层的安全策略的不足进行加固，以提高系统的整体安全性能。

   1)  安全加固服务采用“人工+工具”加固方式，即通过安全基线检查和安全策略修复，并结合第三方安全加固工具实现对操作系统的全面安全增强

   2)  本次提供的安全加固工具支持通过网络拓扑图展示已介入的服务器站点，实现对站点状态进行实时展示。（提供对应工具功能截图）

   3)  本次提供的安全加固工具支持内核级的强制访问控制功能，支持基于敏感标记(安全等级)控制文件读写权限（提供对应工具功能截图）

   4)  本次提供的安全加固工具支持对服务器cpu、内存、硬盘、等信息的监控，并可设置阀值进行告警。（提供对应工具功能截图）

   5)  本次提供的安全加固工具支持白名单功能，只有属于白名单的进程可以运行，可以有效禁止病毒或木马的执行。（提供对应工具功能截图）

   6)  本次提供的安全加固工具支持基于MD5的识别技术的文件完整性检查功能，可对文件进行资源完整性监控。（提供对应工具功能截图）

   7)  本次提供的安全加固工具支持基线检查功能，能对常见的系统脆弱性进行一键扫描和加固修复。（提供对应工具功能截图）

   8)  本次提供的安全加固工具支持模拟运行的“透明”模式，通过安全模块开关、强制访问控制开关、自主访问控制开关等的状态，保证安全策略的正常实施。（提供对应工具功能截图）

   9)  本次提供的安全加固工具支持服务器的非法外联管控，避免服务器私自连接外部网络。（提供对应工具功能截图）

   10) 本次提供的安全加固工具支持外接USB设备的管控，可对接入的第三方USB设备进行控制，防止物理层面的非法接入行为。（提供对应工具功能截图）

主机中间件配置加固建议

针对Apache/IIS/Tomcat/Weblogic等Web应用服务器（中间件），从协议安全等方面进行识别，并提供配置加固与优化建议。

数据库安全配置加固建议

提供数据库安全加固建议，包括最大程度降低数据库系统（SQL Server，Oracle等）本身的漏洞风险、纠正数据库系统使用中构成安全威胁的错误策略、加强数据库系统账号、密钥、权限等带有安全风险的配置，从整体上提升数据库系统的安全性。

应用安全加固建议

对信息系统提供通过对源代码层级的加固建议，可有效防范危险字符提交、权限绕过、允许上传、远程包含等漏洞，并可以有效修复如SQL注入漏洞、XSS跨站漏洞、恶意代码上传漏洞、Cookie注入漏洞及网页Webshell等类型漏洞。

4、应急演练服务

根据《网络安全法》等国家、各行业相关文件精神，应妥善处理应对和处置信息系统突发事件，确保信息系统的安全、稳定、持续运行，防止造成重大的损失和影响；增强用户人员的安全意识。根据突发网络安全事件的性质，深度切合本单位所面临的实际网络安全问题，为本单位提供全方位，分门别类的演练方案。

通过定期对信息网开展安全应急演练，检验网络与信息安全综合应急预案和业务技术专项应急预案的有效性，保证各项应急指挥调度工作迅速、高效、有序地进行，给用户进行体验式的安全意识教育。同时通过演练，不断提高各部门开展应急工作的水平和效率，发现预案的不足，进一步完善应急预案。

编制应急预案服务

编制1个预案场景的《安全应急预案》。建立应急预案框架，框架应包括事件分级方法、各级事件启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。

安全应急演练服务

为信息系统安全，预防和遏制突发安全事件的发生，减轻和消除突发事件造成的危害和影响，进行应急演练，确保能够应对各类安全事件的发生。

根据拟定的安全预案模拟1个预案场景进行应急演练，并提交《安全应急演练报告》。

5、应急响应服务

提供全年的远程及现场的安全应急响应服务以及安全检查技术支持服务，当安全事件发生后，向提供发现问题、解决问题的快速、有效的响应，为快速恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响，提高用户网络故障排查效率。

1）远程应急响应服务

提供7×24小时应急响应服务，1小时内电话或QQ远程支持和响应。

2）现场应急响应服务

远程应急响应无法解决问题时，2小时内现场响应。

6、安全培训服务

基于对网络安全产品和丰富的安全运维服务经验，提供全面深入的信息安全知识方面培训，面向网络管理员、信息技术人员或者全体员工的定制化安全培训服务。

开展网络安全意识培训（4课时/年），面向职工讲座，培训内容包含不限于以下方面：安全标准、政策法规解读，信息安全意识、信息安全发展方向，周期性安全服务报告解读，可定制培训内容。

7、重要时期安全保障服务

1）上级部门安全检查配合服务

针对上级主管部门下发的安全检查通知，配合用户进行相关政策的解读和消化，根据检查指标和要求等准备相关资料并先进行自查，不足之处立即进行整改，在上级主管部门检查过程中，我们将全力配合进行人员访谈、资料准备、将上级主管部门领导的意见和建议进行记录和反馈等工作，完成整改之后，记录已完成整改的内容及下一步调整、优化思路。

2）特殊时点安全检查配合服务

在特殊时期，包括在重大会议前夕、国内重大节日、重大历史事件纪念日或者国家局领导检查时期，国内发生特殊敏感事件时期、有新的病毒或漏洞出现、重大安全事件发生等特殊时期，可进行远程守护服务，检查网络门户网站的首页是否被篡改，监控网络和互联网统一出口流量情况，提供全面的评估、应急响应等服务。

四、供应商资格要求

1．符合《中华人民共和国政府采购法》规定的各项条件。

2. 在中华人民共和国境内注册，能承担本项目的境内公司。

3. 本项目谢绝联合体投标。

五、询价文件的领取

符合资格要求的供应商请于2022年7月27日至 2022年7月29日（公休日除外）上班时间到宜兴市应急管理局509室申领或直接在宜兴市应急管理局网站下载。

六、递交报价文件截止及询价时间

递交报价文件截止及询价时间：2022年7月29日17：00时（北京时间）。

七、递交报价文件及询价地点

递交报价文件：宜兴市应急管理局509室，届时请报价人的法定代表人或其委托代理人上报报价文件。

八、发布公告的媒体

宜兴市应急管理局网站（http://www.yixing.gov.cn/ajj/）

九、本询价文件由宜兴市应急管理局办公室负责解释。

联系地址：宜兴市应急管理局（宜兴市东山西路66号）

电话（传真）：0510-87850993  

询价文件发放和质疑接收联系人：吴函玺    电话：18061580921

项目技术联系人：许益          电话：18061591889

 

 

宜兴市应急管理局

                                        2022年7月27日

 

第二章 报价须知

一、综合说明

序号	内容	要求
1	采购人	宜兴市应急管理局
2	项目名称	宜兴市应急局网络安全标准化技术服务外包项目
3	实施地点	宜兴市应急管理局
4	服务时间	2022年8月1日起
5	质量要求	合格
6	服务期	一年
7	供应商资质要求	1．符合《中华人民共和国政府采购法》规定的各项条件。 2. 在中华人民共和国境内注册，能承担本项目的境内公司。 3. 本项目谢绝联合体投标。
8	报价文件递交截止时间	2022年7月29日17：00时（北京时间）
9	报价文件份数	一份
11	询价地点	宜兴市应急管理局509室
12	报价费用	供应商应承担所有准备和参加报价有关的费用

二、报价文件的组成及封装

（一）报价文件组成

报价文件分为资格证明文件和商务文件2部分。

1．资格证明文件材料：有效的企业营业执照副本复印件

2．商务文件主要包含报价一览表（格式详见第四章)。

报价人必须按上述要求提供报价文件，所提供的资料必须真实、齐全，如未按要求按时提供真实、齐全的有关资料，将导致资格审查不合格。

（二）供应商资格要求

1．报价人必须具有相应的售后服务能力；

2.在中华人民共和国境内注册的具有独立承担民事责任能力的法人单位，具有营业执照、组织机构代码证、税务登记证；

3.具备自主知识产权的软件开发公司，必须具备相应的售后服务能力和开发服务能力；

4.本采购项目不接受联合体、代理商、经销商投标。

5.单位负责人为同一人或者存在直接控股、管理关系的不同供应商，不得参加同一合同项下的采购活动；

6.供应商未被列入“信用中国”网站(www.creditchina.gov.cn)“记录失信被执行人或重大税收违法案件当事人名单或政府采购严重违法失信行为”记录名单；不处于中国政府采购网(www.ccgp.gov.cn)“政府采购严重违法失信行为信息记录”中的禁止参加政府采购活动期间。

 

三、询价程序及成交办法

宜兴市应急管理局根据符合采购需求、质量和服务相等且报价最低的原则确定成交供应商，并将结果通知所有参加报价的有效供应商。如果同时出现两个及以上相同最低有效报价，则报价相同的供应商再进行一次报价。

预中标供应商在宜兴市应急管理局网站预中标公告三天，如无异议，采购人和预中标供应商签订采购合同。

                     第三章 采购项目内容及要求                                                                                                                                  

一、采购内容

见本文件第一章询价公告

二、项目要求

    见本文件第一章询价公告

三、付款方式

    见本文件第一章询价公告