各报价供应商:
根据工作需要,我单位计划采购网络与信息安全服务,服务方案具体见附件。现请各供应商对此项目进行报价:
一、报价供应商资格要求:具有独立法人资格,具有中国信息安全测评中心颁发的信息安全服务资质证书(安全工程类),具有中国网络安全审查技术与认证中心颁发的信息系统安全运维服务资质、信息系统安全集成服务、信息安全应急处理服务、信息安全风险评估服务资质(应提供相关证书复印件并加盖公章)。
二、报价文件要求:(1)按项目要求提供报价文件;(2)附营业执照复印件;(3)附法人代表授权委托书原件、法人代表身份证复印件、委托代理人身份证复印件;(4)附相关资质证明;(5)对附件中服务内容的承诺;(6)上述资料均需要加盖报价供应商单位公章,且装订成一册后加盖骑缝章。将上述资料用信封密封,在信封封口处加盖公章。不满足上述要求的报价文件视为无效报价文件。
三、报价截止日期及方式:报价文件于2022年7月26日17:30时前送至福州市鼓屏路192号山海大厦南厅9楼。联系人: 邓先生,联系电话:0591-87403360。
四、本项目一年服务报价最高限价为4.98万元,我单位将按照有效报价由低到高的顺序推选中标候选人。
附件:1.网络与信息安全服务方案
2.网络与信息安全服务报价单
福建省水利水电工程移民发展中心
2022年7月20日
附件1
网络与信息安全服务方案
一、安全服务目标
为加强网络与信息安全保障,提升网络安全防护能力,根据网络安全等级保护等有关要求,确保中心网络和信息系统安全稳定运行。
二、安全服务期限
安全服务期限为三年,合同一年一签。服务商上一年度提供服务不到位,服务购买方有权终止下一年度的服务合同签订。
三、安全服务范围
(一)福建省水利水电工程建设征地移民安置管理信息系统(以下简称安置系统):二级系统,部署于省政务云平台互联网区域,1台windows虚拟机。
(二)福建省水库移民后期扶持管理信息系统(以下简称后扶系统):二级系统,部署于省政务云平台互联网区域, 1台windows虚拟机,1台Linux虚拟机。单位机房同步部署,1台windows服务器,1台Linux服务器。
(三)其他服务器:外网文件服务器2台,放置于单位机房。
(四)网络安全设备:外网、内网防火墙各1台,放置于单位机房。
四、安全服务内容
(一)安全评估服务
通过安全评估识别单位安全现状,全面掌握网络和信息系统面临的安全威胁和风险,为安全需求和解决方案的提出提供原始依据,为信息系统的使用、管理部门开展网络安全等级保护等提供依据,为确立安全策略、制定安全规划、开展安全建设提供决策支持,保障网络与信息系统安全运行。
1.网络架构安全评估
分析整体网络拓扑结构安全隐患,以及网络面临的外部和内部威胁,面向数据中心机房网络。
2.网络设备安全评估
分析现有网络设备的配置、使用、漏洞情况,评估网络设备的有效性、安全性,面向网络交换、路由设备。
3.安全设备安全评估
分析现有安全设备的配置、使用、漏洞情况,评估安全设备的有效性、安全性,面向防火墙、数据库审计、网闸、堡垒机等相关安全设备。
4.系统主机服务器安全评估
通过工具扫描及人工测试等方式,检查网络内部的主机系统与数据库系统的漏洞情况,分析主机与数据库存在的安全漏洞,面向业务系统主机服务器。
5.核心业务系统安全评估
采用人工与工具结合的方式,对业务系统进行工具扫描和安全测试,评估业务系统存在的安全问题。登录系统检查安全配置情况,包含口令、权限、账户、日志审计、系统补丁等方面。
安全评估服务一年1次,完成后输出《安全评估报告》。
(二)安全措施有效性巡检服务
根据业务系统环境变化情况,定期评估安全设备防护的有效性,对已采取的安全措施的有效性进行确认。有效的安全措施继续保持,不适当的安全措施进行优化配置,并定期分析设备安全策略,及时发现安全隐患。
1.网络边界管控有效性及策略核查
定期对网络边界管控、对外服务等安全策略进行分析,发现可能存在的安全隐患。
2.安全设备有效性及策略核查
针对防火墙、入侵检测、防病毒网关等安全设备提供以下服务:
(1)安全策略检查:根据业务安全需求,检查安全设备安全策略,查找并更新配置不合理的策略。
(2)运行状态巡检:检查设备运行状态,是否存在瓶颈或运行异常。
(3)自身安全性检查:从设备账号管理、远程管理、权限管理等方面开展设备自身安全性检查。
(4)日志巡检:定期检查分析安全设备相关日志,查看是否存在安全隐患。
安全措施有效性巡检服务一年2次,服务完成后输出《设备巡检报告》。
(三)漏洞扫描服务
利用漏洞扫描工具对服务范围内的信息资产进行扫描,并对检测发现的安全漏洞进行人工验证。对于识别出的能被入侵者用来非法进入网络或者非法获取信息资产信息的漏洞,及时通知安全管理员完善安全策略,降低安全风险。
1.应用漏洞扫描
使用应用漏洞扫描工具对应用系统web页面进行安全扫描,检测发现SQL、XSS、第三方插件漏洞、目录遍历、csrf等漏洞。
2.主机漏洞扫描
使用漏洞扫描工具对应用系统主机进行安全扫描,检测发现主机存在的安全漏洞和安全脆弱性。
3.人工验证分析服务
针对已发现的安全漏洞进行人工测试验证,以判断漏洞是否真实存在,并评估其风险等级,针对漏洞提出专业的修复建议,协助客户解决当前存在的安全问题。
漏洞扫描服务一年2次,服务完成后输出《漏洞扫描报告》。
(四)渗透测试服务
针对应用系统进行专家级人工渗透测试服务,全面检测Web应用程序的安全性,深度挖掘程序中存在的各种漏洞和所面临的威胁,漏洞测试覆盖OWASP十大漏洞,如命令执行漏洞、SQL注入漏洞、XSS跨站脚本攻击漏洞、XXE漏洞、恶意代码上传漏洞、Cookie注入漏洞及其它各种敏感信息的检查等。渗透测试的主要内容如下:
1.信息收集
通过搜索引擎侦测、专业化工具检测、人工分析等方式,对业务系统开放端口、主机服务器、中间件、操作系统、对外服务等指纹信息进行收集分析,确定信息资产互联网暴露信息。
2.配置管理测试
开展业务系统配置管理方面安全测试,主要包括敏感目录遍历、敏感接口测试、Robots方式的敏感接口查找、 Web服务器管理控制台、文件备份测试、 HTTP方法测试、历史高危漏洞测试(心脏滴血漏洞),MS17010漏洞等方面测试。
3.认证测试
开展业务系统认证方面安全测试,主要包括登录验证码、认证错误提示、锁定策略、认证绕过、找回密码、修改密码、安全数据传输、强口令策略、手机验证码、撞库、接口滥用等方面测试。
4.会话管理测试
开展业务系统会话管理方面安全测试,主要包括会话变量泄露、 Cookie属性、 Cookie存储方式、用户注销登陆方式、注销时会话信息、会话超时时间、会话固定等方面测试。
5.授权测试
开展业务系统授权方面安全测试,主要包括绕过授权模式、横向越权、纵向越权、管理后台对外开放、后台页面未授权访问、中间件未授权访问等方面测试。
6.文件上传下载测试
开展业务系统文件上传下载方面安全测试,主要包括 HTTP PUT/MOVE上传文件、页面上传、文件下载等方面测试。
7.信息泄露测试
开展业务系统信息泄露方面安全测试,主要包括连接数据库的帐号密码加密、客户端源代码敏感信息、客户端源代码注释、不安全的存储、注册手机号批量获取、 Json敏感信息等方面测试。
8.数据验证测试
开展业务系统数据验证方面安全测试,主要包括跨站脚本类、SQL注入类、命令执行等方面测试。
9.框架安全测试
开展业务系统框架安全方面安全测试,主要包括业务系统所用框架及其中间件相关类型专项漏洞测试。
10.业务逻辑测试
针对业务逻辑方面开展安全测试,如对用户行为顺序处理不当、业务处理流程逻辑不当等问题。
渗透测试服务一年2次,服务完成后输出《渗透测试报告》。
(五)配置核查服务
对核心服务器开展配置检查,采用基线核查工具和专家手工方式对实施范围内的主机系统、应用系统、数据库系统等对象逐个进行检查分析,输出详细的基线核查情况,详细说明各类资源节点运行情况及调优建议。
配置核查服务一年2次,服务完成后输出《配置核查报告》。
(六)系统主机入侵清查服务
如果应用系统存在漏洞,黑客最终能够进一步获取服务器操作系统以及数据库系统的操作权限。对服务器的入侵痕迹进行深入检查,是应用系统安全运维不可忽视的一部分。服务器入侵清查服务主要包含:
1.网页木马查杀
针对网站源代码进行Webshell查杀,深入检查包括上传图片、文本、脚本以及其他可疑的网站后门程序。
2.入侵痕迹检查
以应用系统所使用的Web容器、服务器操作系统为对象,进行运行环境的检测,对账号状态、可疑账号、账号口令、可疑进程、系统服务、内外网网络连接、系统启动服务、任务计划、共享资源、应用程序等进行检查,保证应用系统所属基础运行环境的安全。
系统主机入侵清查服务一年2次,服务完成后输出《系统主机入侵清查报告》。
(七)安全加固优化服务
根据安全检测分析结果,提供专业的系统安全加固建议意见,派遣专业工程师到现场实施边界防护安全策略优化辅导、服务器病毒检查与清理,提供主机、数据库以及应用安全加固建议。
安全加固优化完成后,派遣专业工程师到现场进行复查,复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。
安全加固优化服务一年2次,服务完成后输出《安全加固建议报告》。
(八)网站安全监控服务
1年365天通过专业的网站安全监控平台对网站实施以下服务:
1.网站可用性监控
全年每隔5分钟一次对网站首页进行轮询探测,网站访问不到则通过邮件或短信等方式进行告警,确保网站的可用性、安全性实时掌控。可提供如下功能:
(1)实时告警功能,满足用户对于告警分级、事件响应与处理、分析需求;
(2)实时查看最新告警监控项目,快速定位故障异常,及时掌握恢复信息;
(3)可设置从2分钟到60分钟等不同网站监控频率;
(4)故障汇总统计、通过快照进行故障分析、告警消息汇总统计;
(5)允许通过邮件、短信、微信等方式及时接收告警通知。
2.域名劫持监控
全年每隔5分钟一次对网站首页进行域名劫持探测,一旦发现域名被劫持,则通过邮件或短信等方式进行告警。
3.★网页挂马监控
每周一次采用远程监控方式对网站页面进行网页挂马分析,一旦识别到网页挂马行为,则通过邮件或短信等方式进行告警。
4.★网站暗链监控
每周一次采用远程监控方式对网站页面进行暗链分析,一旦识别到网页存在暗链行为,则通过邮件或短信等方式进行告警。
5.敏感内容监控
每周一次对关键网页的敏感内容进行监控,一旦识别到网站存在政治、低俗等敏感内容情况,则通过邮件或短信等方式进行告警。
6.★网站监控告警
针对网站监控平台发现的问题,监控平台自动通过微信或者短信等方式发送告警信息到系统管理员等相关人员。
7.网站安全监控
安全服务提供商定期汇总安全监控情况,每半年提交一次《安全监控报告》。
(九)应急响应服务
提供全年的远程及现场的安全应急响应服务以及安全检查技术支持服务。当安全事件发生后,提供发现问题、解决问题的快速、有效地响应,为业主快速恢复系统的保密性、完整性和可用性,尽可能减小安全事件带来的影响。
服务完成后输出《应急响应报告》(按需提供)。
(十)安全通告服务
提供最新的安全动态、技术和安全信息,包括实时安全漏洞通知、定期安全通告汇总和安全知识库更新等。通告内容包括但不限于以下内容:
(一)国内外最新重大漏洞、病毒安全通告;
(二)国家安全政策及法律法规;
(三)同行业安全威胁事件通告;
(四)国内外重大安全事件,新技术发展动态通告;
(五)重大安全漏洞爆发时,需结合资产情况,提出相应修复建议。
不定期输出《信息安全通告》。
(十一)监督检查配合服务
1.上级部门安全检查配合
针对上级主管部门下发的安全检查通知,根据检查指标和要求等,配合业主准备相关资料,并先行自查,不足之处立即整改。在上级主管部门检查过程中,全力配合进行人员访谈、资料准备、将上级主管部门的意见和建议进行记录和反馈等工作,整改完成后,记录整改内容及下一步调整、优化思路。一年不超过2次。
2.特殊时点安全检查配合
在特殊时期,包括重大会议、国内重大节日、重大历史事件纪念日、国内特殊敏感事件时期、有新的病毒或漏洞出现、重大安全事件发生等特殊时期,可进行远程守护服务,检查网站首页是否被篡改,监控网络和互联网统一出口流量情况,提供全面的评估、应急响应等服务。一年不超过2次。
服务完成后输出安全检查相关材料,按需提供。
(十二)重要时期安全保障服务
在重要保障时期(比如数字峰会、国家大型会议等),提供远程安全值守保障服务,检查日志服务器或日志综合管理系统等设备的相关运行日志、威胁日志等信息,并分析其存在的风险。若安全事件发生时,确保能够第一时间快速处置。
服务完成后输出《重要时期安全保障报告》,按需提供。
五、安全服务项目清单
| 编号 | 服务项目 | 服务内容 | 服务频率 | 交付物 |
| 1 | 安全评估服务 | 网络架构安全评估 网络设备安全评估 安全设备安全评估 系统主机服务器安全评估 核心业务系统安全评估 | 1次/年 | 《安全评估报告》 |
| 2 | 安全措施有效性巡检服务 | 网络边界管控有效性及策略核查 安全设备有效性及策略核查 | 2次/年 | 《设备巡检报告》 |
| 3 | 漏洞扫描服务 | 利用漏洞扫描工具对服务范围内的资产进行扫描,并对发现的安全漏洞进行人工验证。 | 2次/年 | 《漏洞扫描报告》 |
| 4 | 渗透测试服务 | 模拟黑客攻击,对业务系统进行渗透测试,尽可能地挖掘潜在的入侵风险。 | 2次/年 | 《渗透测试报告》 |
| 5 | 配置核查服务 | 对实施范围内的主机系统、应用系统、数据库系统等对象进行检查分析,输出详细的基线核查情况。 | 2次/年 | 《配置核查报告》 |
| 6 | 系统主机入侵清查服务 | 进一步对系统主机的入侵痕迹进行深入检查,包含网页木马查杀、入侵痕迹清查。 | 2次/年 | 《系统主机入侵清查报告》 |
| 7 | 安全加固优化服务 | 根据安全检测结果,提供专业的系统安全加固建议意见,实施边界防护安全策略优化辅导、服务器病毒检查与清理,提供主机、数据库以及应用安全加固建议。 | 2次/年 | 《安全加固建议报告》 |
| 8 | 网站安全监控服务 | 1年365天通过专业的网站安全监控平台对网站服务,包含网站可用性监控、域名劫持监控、网页挂马监控、网站暗链监控、敏感内容监控、网站监控告警。 | 全年(报告2次/年) | 《安全监控报告》 |
| 9 | 应急响应服务 | 根据安全事件的处置要求,提供快速、有效的响应,尽可能减小安全事件带来的负面影响,找出事件的真相、查出威胁的来源与安全弱点、找到解决方法,协助判定事故的责任,避免同类事件的发生。 | 按需提供 | 《应急响应报告》 |
| 10 | 安全通告服务 | 通过跟踪国内外主要的漏洞信息发布平台,通告最新的漏洞信息。 | 按需提供 | 信息安全通告 |
| 11 | 监督检查配合服务 | (1) 上级部门安全检查配合 (2) 特殊时点安全检查配合 | 全年(不超过2次) | 安全检查相关材料 |
| 12 | 重要时期安全保障服务 | 在重要时期提供远程安全保障工作,若安全事件发生时,确保能够第一时间快速处置。 | 按需提供 | 《重要时期安全保障报告》 |
六、有关要求
(一)中标方应提交加盖中标方公章的纸质版及电子版的服务报告作为有关验收材料。
(二)在提供安全服务过程中,中标方应确保不会因工作失误而影响网络与信息系统的正常运行。
(三)投标人所采用的服务工具能够监控网页木马(webshell)。 通过模拟黑客利用漏洞入侵应用系统,进行植入网页木马(webshell)等入侵行为,主机安全监控系统应能及时发现网页木马并生成相关的告警,并能够查看告警信息和对应的敏感文件内容。投标人需提供有关功能截图佐证。
(四)投标人所采用的服务工具能够监控黑客入侵过程中修改系统账号、创建敏感文件、植入Rootkit后门等行为。通过模拟黑客利用系统漏洞,向被监控的应用系统主机添加隐藏账号,主机安全监控系统能够及时生成相关的告警,并能够查看告警信息和黑客添加的系统账号名称等。投标人需提供有关功能截图佐证。
(五)投标人所采用的安全服务工具,a)支持同时对1000个以上IP进行归属地查询,支持批量对输入的信息按照标准化格式自动调整,提取需要的关键信息,删除冗余信息;b)支持与云端的威胁情报库进行联动,支持同时对1000个以上IP进行威胁情报信息查询,自动识别挖矿木马、勒索软件、傀儡机、Cobaltstrike等类型的威胁。投标人需提供有关功能截图佐证。
(六)投标人所采用的安全服务工具,a)支持按照基线模板对主机安全配置进行基线检查;b)基于基线模板配置加固策略,自动完成对不符合项的加固工作;c)加固策略包括身份标识与鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、安全实践经验(如禁止IPC空连接、关闭自动播放等)等;d)基线模板及模板中的各策略项参数值均支持自定义。投标人需提供功能截图佐证。
(七)为保障安全服务实施质量,我单位有权要求中标方在中标后进行服务工具的功能现场演示,且提供服务工具的著作权证书。
七、付款方式
一年安全服务费分两次支付,每半年支付一次。
附件2
网络与信息安全服务报价
| 序号 | 项目名称 | 服务期限 | 数量 | 单位 | 服务报价 (单位:万元/年) | 备注 |
| 1 | 福建省水利水电工程移民发展中心网络与信息安全服务 | 3年 | 1 | 项 |
报价单位:(全称并加盖公章)
联系人:
联系电话:
日期:
原文链接:http://slt.fujian.gov.cn/ztzl/fjsslsdgcymfzzx/gzdt/202207/t20220720_5956604.htm
[免责声明] 本文来源于网络转载,仅供学习交流使用,不构成商业目的。版权归原作者所有,如涉及作品内容、版权和其它问题,请在30日内与本网联系,我们将在第一时间处理。