当前位置:
“网络安全考核保障与安全托管技术服务”
投标人须知
一、项目名称:点击登录查看网络安全考核保障与安全托管技术服务。
二、依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国保守国家秘密法》等网络安全相关法律法规要求,以及网络安全监管部门的不定期的网络安全检查考核,为充分履行网络安全保护的义务和责任,通过专业安全服务和工具,实现涵盖事前、事中、事后的网络安全闭环运营,并在运行过程中,对存在问题的各个环节的不断优化,不断提升和增强网络安全考核及保障能力,现就采购网络安全考核保障与安全托管技术服务内容和要求如下:
1、渗透测试服务
在招标方授权许可的情况下,定期或者不定期进行网络渗透测试服务,由渗透测试技术工程师模拟黑客的攻击方法或者工具,对信息系统的现状进行安全评估。渗透测试过程包括对系统的弱点、技术缺陷进行分析和利用,在保证整个渗透测试过程都在可以控制和调整的范围之内,将入侵的过程和发现的漏洞及风险详情形成详细的报告反馈给招标方,并提出解决方案,因其它问题不能及时升级解决的,也需提供方案把风险降到最低,以及配合后续验证成果工作。
输出结果:《渗透测试报告》
2、外网资产暴露面检测
投标人提供对招标人外网资产暴露面检测服务,探测招标方在互联网侧潜在的未知资产,不必要开放的资产、网站后台等,并自动验证互联网资产是否存在可利用漏洞、弱口令,提供暴露面收敛等相关整改方案。检测内容包括:
(1)互联网资产详情:互联网主机IP及资产类型、互联网网站URL等。
(2)风险暴露面排查:风险端口、后台页面、弱口令、可入侵漏洞等。
3、网站安全监测服务
投标人对招标方网站提供7×24小时的网站安全监测服务,发现网站漏洞、网页篡改等安全问题,确保网站安全稳定运行。服务期内投标人免费提供专业的网站安全监测工具,并放置在招标方机房指定位置专用,提供以下服务能力:
(1)Web漏洞监测:具备多种Web应用漏洞的安全检测能力,如“SQL注入、跨站脚本、文件包含、CSRF、目录遍历”等网站脆弱性漏洞。
(2)网站应用监测:监测网站的可用性、域名劫持等事件。
(3)黑链/篡改事件监测:高频率监测站点是否存在被黑客植入黑链、篡改的事件,系统需要保留植入黑链、篡改的快照页面,监测频率不高于5分钟/次。
(4)敏感词全站监测:可自定义不同的敏感词库,并对网站进行全站页面爬取,发现敏感词字眼,包括文字文档等敏感信息监测。
交付成果:利用网站安全监测工具,实现对招标方网站风险的掌控:
(1)能展示网站风险的数量统计、分布及变化趋势,并可进行网站风险的详细查询。
(2)根据需求交付《网站安全监测报告》。
4、互联网数据泄露监测服务
从“攻击者视角”监控招标方外网暴露的资产和风险,使得这些可能会被攻击者发现的资产风险系数降低。
提供互联网数据泄露监测服务,涵盖招标方在互联网上的相关信息,包括单位信息、邮箱信息、APP应用程序、微信小程序、微信公众号、敏感代码信息、敏感文档信息等,以帮助及时发现并应对潜在的数据泄露风险,提供服务工具界面截图证明并加盖原厂商公章。
5、资产梳理服务
服务期内投标人提供资产梳理服务,协助招标方做好网络内部信息化资产的各项管理,免费提供专业的资产管理工具,并放置在招标方机房指定位置专用。提供以下服务能力:
(1)主机资产识别:支持自动扫描IP资产信息,包括:“存活IP、设备厂商、操作系统、端口、应用、数据库、中间件、服务版本”等资产特征。
(2)网站资产识别:支持自动识别网站资产信息,包括:“中间件信息、web框架信息、CMS OA、程序语言”等指纹信息,支持爬取网站后台、ICP备案编号、网站标题、网站返回码等属性。
(3)二级域名扫描:提供二级域名扫描功能,输入一级域名进行一键扫描,通过搜索互联网数据,自动获取到该域名的二级域名、网站标题、解析IP地址。提供服务工具界面截图证明并加盖原厂商公章。
(4)IP反查域名监测:输入IP或者网段,通过搜索互联网数据,自动获取到IP对应的域名、url链接、网站标题、返回状态码。提供服务工具界面截图证明并加盖原厂商公章。
(5)网站资产相关度分析:通过爬取单位已知的网站页面,分析网页中是否包含招标方相关的网站链接,从而发现未知网站;可配置“网段、域名”等命中规则,自动判断是否属于单位的网址。提供服务工具界面截图证明并加盖原厂商公章。
(6)MAC地址自动识别:不需要联动第三方设备、不需要在主机中安装任何代理、无需主机开放任意端口,就可支持对跨网段的IP或多个网段进行MAC地址探测识别,支持识别MAC地址的设备类型包含:“Windows、Linux、国产操作系统、交换机\路由器、安全设备、打印机、物联网设备、医疗设备等”,提供服务工具界面截图证明并加盖原厂商公章。
交付成果:利用资产梳理工具,实现招标方信息化资产的系统、自动化管理:
(1)下线资产监测:可及时发现未存活IP、未存活端口的主机和网站资产,可查看未存活IP列表、未存活端口列表,可对未存活的资产进行移除操作。
(2)新增资产趋势:可按最近一周、最近一个月、最近一个季度可查新增的主机IP资产、网站资产,掌握资产新增趋势。
(3)资产台账:通过资产梳理工具实时生成招标方资产台账。
6、主机脆弱性扫描服务
服务期内投标人提供主机脆弱性扫描服务,对招标方网络、服务器及应用系统进行漏洞发现、漏洞追踪,以建立漏洞管理长效机制,并提供专业的漏洞扫描工具,放置在招标方机房指定位置专用,提供以下服务能力:
(1)完善的漏洞库:漏洞库漏洞信息不少于220000条,与中国国家信息安全漏洞库(简称:CNN)、国家信息安全漏洞共享平台(简称CNVD)、通用漏洞披露(简称CVE)等主流标准兼容,提供详细的漏洞描述和对应的解决方案描述。支持通过多种维度对漏洞进行检索,提供服务工具界面截图证明并加盖原厂商公章。
(2)可入侵漏洞监测:集成多种POC对内网资产进行自动漏洞验证与渗透,发现可导致数据泄露、系统入侵 、越权等可入侵漏洞,先于黑客发现此类漏洞,主动发现。提供服务工具界面截图证明并加盖原厂商公章。
(3)弱口令监测:支持各类应用资产的弱口令扫描,可扫描的应用包括“SSH\SMB\RDP\TELNET\FTP\POP3\VNC\SNMP\VMAUTHD\POSTGRES\MSSQL\MYSQL\ORACLE”支持自定义字典。
(4)支持漏洞跟踪管理,能够自动对漏洞状态进行处置,自动识别“新增、已修复、未修复”的漏洞,同时支持人工方式进行漏洞状态处置,以及编写漏洞备注。提供服务工具界面截图证明并加盖原厂商公章。
交付成果:利用漏洞扫描工具,实现对招标方信息化资产漏洞的实时掌控:
(1)可实现资产漏洞数量统计、变化及趋势,并可进行漏洞的查询。
(2)根据需求自动导出《漏洞扫描报告》。
7、配置核查服务
服务期内投标人提供操作系统、中间件、数据库等的配置核查服务,并提供配置核查工具,放置在招标方机房指定位置专用,提供配置核查结果及加固建议。
(1)配置核查能力:支持20种以上常见设备和应用的配置检查,包括操作系统、应用中间件、数据库。
(2)配置核查支持类型:操作系统支持Windows 2003 / 2008 / 2012 / 2016 / 2019 / 7 / 8 / 10 / 11;支持linux(Centos、Redhat、suse等);应用服务,支持Linux、Windows下的Apache、Weblogic、TOMCAT、Websphere、Nginx,以及windows 2003/2008/2012/下IIS 6/7/8;数据库,支持Linux、Windows下Oracle8i/9i/10/11g、Mysql。
交付成果:提供《配置核查报告》。
8、协助安全加固
在发现安全漏洞风险时,提供协助安全加固服务,协助指导招标方及时修复资产存在的风险隐患,提高资产的网络防御能力,消除或降低信息系统安全风险,保障招标方信息系统的安全性和稳定性,有效防范各类网络攻击和安全威胁。
9、漏洞防护服务
针对部分主机系统或软件已经停止维护、漏洞整改慢导致积累大量漏洞债务、新型高危漏洞需要一段时间才能修复等情况,投标人提供主机漏洞防护服务,协助招标方7×24小时防护多种主机漏洞,使漏洞扫描器、恶意攻击源无法扫描到主机漏洞,包括可利用漏洞、版本漏洞等。
服务期内投标人免费提供专业的主机漏洞防护工具,并放置在招标方机房指定位置专用,提供以下服务能力:
精准检测恶意攻击源、扫描源,并可基于告警风险值、或者定向源进行屏蔽,使漏洞扫描器、恶意攻击源无法扫描到主机存在的漏洞。提供服务工具界面截图证明并加盖原厂商公章。
交付成果:可呈现攻击源IP、屏蔽原因、屏蔽过期时间、屏蔽状态等。
10、全网威胁诱捕服务
投标人应协助招标方建立常态化的主动防御机制,转换攻守态势,并通过安全自查、攻击诱捕,反被动为主动。服务期内投标人提供威胁监测诱捕服务,并提供专业的威胁监测诱捕工具,放置在招标方机房指定位置专用,提供以下服务能力:
(1)蜜罐/蜜网类功能:支持智能克隆仿真功能,可以通过自学习的模式对真实业务系统进行遍历访问,形成机器记忆,与真实业务系统一样可进行前后端的数据交互,包括但不限于以下动态交互类型:“搜索查询、登陆验证、账号注册”等,高迷惑性地吸引攻击者攻击蜜罐,要求拟态仿真蜜罐系统为纯静态系统,无需额外提供蜜罐定制服务。提供服务工具界面截图证明并加盖原厂商公章。
(2)引流防御:可将访问真实业务系统的流量引流到仿真蜜罐,使攻击无法命中真实业务系统,真正有效消耗攻击资源,并直接保护真实资产。
交付成果:利用威胁监测诱捕工具,实现对招标方信息化威胁的主动防御:
(1)可直观呈现攻击链每个阶段的安全事件。
(2)根据需求提供《威胁监测诱捕报告》。
11、主机威胁监测服务
主机安全是安全保障的最后防线,需要重点防范,投标人提供7×24主机安全监测服务,重点检测成功入侵主机行为。服务期内投标人免费提供专业的主机威胁监测工具,并部署在招标方指定机房指定位置和主机,提供以下服务能力:
(1)主动威胁监测:主动监测恶意文件(webshell、反弹shell、病毒木马)、挖矿病毒等,发现可疑的入侵事件。提供服务工具界面截图证明并加盖原厂商公章。
(2)检测任务自定义:支持自定义下发服务器入侵检测任务,可指定扫描某个文件目录,以及实时检测变更或者新增的可疑文件。
(3)恶意文件检测:包含Webshell网马、病毒木马、攻击脚本、宏病毒文件等。
(4)文件篡改检测:可检测网站文件的篡改行为,包括:“创建、写入、修改权限、重命名、删除”等篡改行为。提供服务工具界面截图证明并加盖原厂商公章。
交付成果:《主机威胁监测报告》。
12、应急响应服务
参照国家信息安全事件响应处理相关标准,帮助招标方在发生安全事件后,按照预防、情报信息收集、遏制、根除、恢复流程,提供专业的7*24小时的紧急响应处理服务,帮助招标方快速响应和处理信息安全事件。
交付成果:《应急响应报告》
13、现场运维巡检服务
投标人提供定期的对招标方安全设备进行安全检查,确保设备安全稳定运行。
(1)检查现有安全设备的各项运行指标是否正常,查看各项设备硬件运行状态是否正常。
(2)检查各项安全设备的软件版本(如操作系统补丁、防病毒系统病毒库等)是否需要升级,并在得到网络安全管理人员同意的情况下协助对各项内容进行升级。
(3)查看安全设备的日志,分析目前的安全风险情况。
(4)根据安全硬件设备的运行情况,在招标方网络/信息系统发生变化时或按照优化实施安排,投标人应提供安全策略变更和调优服务。
(5)投标人应配合招标方和其他相关厂商工程师对策略参数和运行情况进行梳理分析,针对已经过时、失效或不再适用当前网络及安全现状的设备安全策略进行优化管理,形成设备安全策略优化方案,在保证当前网络运行状态和防护状态的前提下,根据方案对设备策略进行调整,优化设备策略,达到最佳状态。
(6)安全设备的安全策略应始终随着业务和风险的变化同步调整和优化,保障招标方信息系统始终处于有效的安全防护范围。
交付成果:《安全巡检报告》、《安全策略优化报告》。
14、流量监测服务
投标人需对招标方网络提供流量检测服务,及时发现网络流量异常、攻击等安全问题,确保招标方网络流量安全稳定运行。服务期内投标人免费提供专业的流量检测工具,并部署在招标方机房指定位置,提供以下服务能力:
(1)通过流量镜像对海量流量进行采集,不少于80000威胁特征库,对于捕获的流量进行存储、分析,内置多重检测引擎,包含入侵检测、web检测、威胁情报等,结合攻击源、风险等级、地理位置、攻击目标、命中规则数、告警次数等因素综合分析,精准识别攻击源头,发现不同场景下的已知威胁和未知威胁。
(2)旁路阻断:不需要设备串联、不需要配置策略路由,就能通过监测中心对单个ip进行手工阻断。也可自动关联流量告警,根据智能研判标签,就会自动触发旁路阻断,包括但不限于非法外联-拦截域名解析的IP(高风险)、外网恶意攻击(高风险)、利用成功(高风险)、暴力破解(高风险)、外网可疑访问(中风险)等标签,可灵活针对国内/国外ip进行灵活封禁,可灵活指定封禁时间间隔。提供服务工具界面截图证明并加盖原厂商公章。
交付成果:《流量监测报告》。
15、重保支撑服务
在国家、省市****
交付成果:《重保支撑服务报告》。
16、安全培训服务
利用已有的网络安全培训体系为招标方建设网络安全人员培训机制,投标人应根据招标方人员现状设计出适应单位人员能力提升的课程体系,进行周期性的安全意识、安全技术、开发安全、安全管理等内容进行选择性培训,加强整体的安全水平。
交付成果:《网络安全培训材料》。
17、应急演练服务
投标人需提供应急演练服务,设置相关场景,模拟安全攻击事件的发生,以检验招标方在发生网络安全事件时,应急响应速度的及时性、处置流程的有效性和应急响应团队对网络安全事件处理的熟练程度,以便优化单位各部门人员对处理应急事件的流程,增进单位人员之间的协调与配合,促进单位及应急人员能力的提升。
交付成果:《应急演练报告》。
18、检查协助服务
随着国家对网络安全的越发重视,法律的逐步完善,网信、公安、行业监管部门承担安全监管职责,会不定期对重点单位进行安全检查。
投标人在公安、网信等监管和主管部门网络安全检查期间,提供安全检查协助服务,配合招标方积极应对监管单位的网络安全检查工作,并针对检查出的问题进行处置。
19、风险评估服务
投标人需依据GB/T 20984-2022《信息安全技术 信息安全风险评估方法》、GB/T 31509-2015《信息安全技术 信息安全风险评估实施指南》等标准,以科学的方法和手段,系统地分析招标方网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。
交付成果:《风险评估报告》。
★以上所有参数为基础要求,投标方可多于招标方的需求参数,不能少于基础要求参数(必要项)。
三、服务要求:
(1)投标人具有ISO管理体系认证证书3个及以上,提供证书复印件及官网查询截图,并加盖投标人公章。
(2)投标人具备“中国信息安全测评中心”或“中国网络安全审查技术与认证中心”或“中国电子工业标准化技术协会信息技术服务分会”颁发的信息安全服务资质证书或运行维护资质证书3个及以上,提供证书复印件及官网查询截图,并加盖投标人公章。
(3)服务内容中服务期内投标人免费提供的服务工具,部署在招标方指定机房指定位置,投标人须提供承诺函并加盖投标人公章;同时服务工具须满足国家有关规定,工具需具备“网络关键设备和网络安全专用产品安全认证证书”或“计算机信息系统安全专用产品销售许可证”,提供证书复印件并加盖原厂商公章。
(4)投标人须具有近一年以来河南省内医院类似的安全服务案例,提供至少2个客户名单及合同,并加盖投标人公章。
四、中标人要求:
服务期限:一年。
五、评标地点:点击登录查看门急诊医技综合楼四楼小会议室1。
六、资质文件接收截止时间:****09时00分。
七、开标时间:****09时00分
八、招标控制价:270000元(大写:贰拾柒万元整),投标人报价高于控制价的将作废标处理。
九、投标人要求:
1、投标人须具有独立法人资格、投标人需提供有效的营业执照复印件并加盖公章,委托代理人需提供法定代表人的授权委托书。
2、投标人团队成员需具备网络安全专业能力,至少2个人员具备“注册信息安全专业人员”(CISP)证书,提供人员近3个月社保缴纳证明、资质证书电子扫描件及官网查询截图,并加盖投标人公章。
十、评标小组组成:评标小组由点击登录查看相关工作人员组成。
十一、评标办法:首先对所有投标人进行资格审查;符合招标要求的投标人依次向评标小组递交第一轮报价和第二轮报价,第二轮报价结束后,评标小组对投标人进行议价,议价结果为签订合同价,报价需加盖公章或委托代理人签字按手印,报价必须按照投标人须知中第二项服务要求进行报价,直至验收后的所有费用,遇市****
十二、中标人确定:依据第二轮报价结果、投标人服务能力、服务承诺,评标小组综合评选出中标人。
十三、付款方式:验收后付至合同价的90%,服务期结束支付合同价剩余的10%。
十四、坚持公开、公平、公正、诚实信用原则,坚持按同一标准对待所有投标人。
十五、成交的投标人提供全额发票,税率执行普通税率(税费包含在报价内)。
十六、投标人准备和参加投标活动发生的费用自理。
十七、本次邀请招标未尽事宜,最终解释权为点击登录查看。
十八、招标人:点击登录查看
联系人:点击登录查看
联系方式:****
附件: 一、授权委托书
二、点击登录查看网络安全考核保障与安全托管技术服务
议标报价表(第一轮)
三、点击登录查看网络安全考核保障与安全托管技术服务
议标报价表(第二轮)
