采购人编制采购需求的温馨提示Word下载.docx
《采购人编制采购需求的温馨提示Word下载.docx》由会员分享,可在线阅读,更多相关《采购人编制采购需求的温馨提示Word下载.docx(41页珍藏版)》请在冰豆网上搜索。
政务信息系统项目采购需求模板(信息系统运行维护类)
第一章
一、采购预算(最高限价)
采购预算(最高限价):
人民币1124000万元。
二、资格要求
(一)符合《政府采购法》第二十二条规定的条件;
分公司投标的,必须由具有法人资格的总公司授权。
(二)是否接受联合体投标:
()是(√)否。
(三)是否专门面向中小微企业采购:
()是()否。
三、政策要求
采购内容:
广州市广播电视台2018年全台新媒体网络安全保障服务采购,包括风险评估服务、安全扫描评估、安全基线检查服务、渗透测试、APP安全测试、互联网资产发现服务、重要安全保障期现场值守和专家应急响应服务等。
(一)国货/进口产品:
1、采购国货:
★本次采购产品为非进口产品(进口产品指通过中国海关报关验放进入中国境内且产自关境外的产品)。
2、采购进口产品:
经政府采购管理部门同意,本次采购的产品为本国产品或不属于国家法律法规政策明确规定限制的进口产品(经审批采购进口产品的,如仅批准部分产品采购进口的需列明)。
(二)强制节能产品:
★凡属于政府强制采购节能产品,请投标人承诺在交货时提供《节能产品政府采购清单》中的产品。
(注:
《节能产品政府采购清单》投标人可查询中国政府采购网<
>
。
)
(三)优先节能产品:
凡属优先采购节能产品,请投标人尽可能提供《节能产品政府采购清单》中的产品。
《节能产品政府采购清单》投标人可查询中国政府采购网,网址)
(四)强制性认证产品:
★凡属于《中华人民共和国实施强制性产品认证的产品目录》的产品,请投标人承诺在交货时提供该产品的《中国强制认证》(CCC认证)。
(五)环境标志产品:
凡属优先采购环境标志产品,请投标人尽可能提供《环境标志产品政府采购清单》中的产品。
《环境标志产品政府采购清单》投标人可查询中国政府采购网,网址)
(六)核心产品(适用于非单一产品采购项目):
本项目的核心产品是:
(请列出具体的产品名称)。
或本项目采购的产品全部为核心产品(如采购人不确定核心产品时适用)。
第二章采购需求
一、招标范围
确定一家中标人,为采购人提供广州市广播电视台2018年全台新媒体网络安全保障服务,包括风险评估服务、安全扫描评估、安全基线检查服务、渗透测试、APP安全测试、互联网资产发现服务、重要安全保障期现场值守和专家应急响应服务、全流量威胁检测服务、Web失陷检测服务等信息安全服务。
二、项目服务期要求
服务期从成交之日起12个月。
三、项目概况
(一)项目背景
近年来,国内国外网络信息安全形势不断变化,网络攻击呈有组织化、专业化和复杂化的态势发展。
在我国,网络强国已经升级为我国的国家战略,十九大报告更是提出,要加强互联网内容建设,建立网络综合治理体系,营造清朗的网络空间。
随着网络安全形势的日益严峻,应用系统所面临的安全风险日益增多。
一方面,由于广电媒体行业的特殊地位,针对系统的攻击、木马病毒等网络安全攻击日益增多;
另一方面,广电媒体行业的软硬件设备类型繁多,各技术系统的网络架构,系统构成,操作系统版本、应用软件等情况各不相同,给安全播出增加了难度。
(二)项目现状
广电媒体行业在网络信息系统建设上历来存在“重应用、轻安全”的特点,各系统目前也不同程度存在安全防护措施不足、运行管理不规范、网络安全技术专业人员短缺等特点。
作为政府官媒,各新媒体平台受到外界的广泛关注,作为较敏感的被攻击目标,受到网信办、工信委、广电局、公安网警等上级部门的重点关注和监测。
因此,根据《中华人民共和国网络安全法》、国家网信办《关键信息基础设施安全保护条例(征求意见稿)》对关键信息基础设施提出的具体要求,我台拟定了2018年全台新媒体网络安全保障服务采购项目。
(三)项目目标
本项目主要目标范围:
针对广视网(含手机版)、掌中广视APP、城市交换云平台、花城FM、直播(点播)融平台等5个网站系统,为广州市广播电视台2018年全台新媒体网络安全提供保障服务,包括风险评估服务、安全扫描评估、安全基线检查服务、渗透测试、APP安全测试、互联网资产发现服务、重要安全保障期现场值守和专家应急响应服务、全流量威胁检测服务、Web失陷检测服务等。
四、总体要求
(一)项目需实现的功能或者目标,以及为落实政府采购政策需满足的要求;
本次项目主要目标为广州市广播电视台2018年全台新媒体网络安全保障服务,包括风险评估服务、安全扫描评估、安全基线检查服务、渗透测试、APP安全测试、互联网资产发现服务、重要安全保障期现场值守和专家应急响应服务、全流量威胁检测服务、Web失陷检测服务等。
网络安全保障服务清单如下:
序号
服务分项
数量/单位
说明
1
风险评估服务
按需检查,一年不少于2次
对全网(包括网络、主机、应用、终端、数据、物理、管理、数据流等8个方面)进行全面风险评估。
2
安全扫描评估服务
至少每月1次
对全网的服务器、终端、网络设备、安全设备、网站及应用系统进行安全扫描。
3
安全基线检查服务
对全网各类服务器、网络设备、安全设备等IT设备进行安全基线检查。
4
渗透测试服务
按需检查,一年不少于5个系统,每个系统2次
按需检查,一年不少于5个系统,每个系统2次
5
APP安全测试服务
按需检查,一年不少于3个APP,每个APP2次
6
互联网资产发现服务
按需检查,至少4次
针对给出的IP或域名,安全服务商要自主提供并利用平台系统自动发现所有的暴露在互联网上的信息资产,并输出互联网资产发现报告
7
重大活动保障服务
120个人工时,每天三岗,每岗7*8小时,共计40天
针对用户要求的所有重大活动、节假日进行现场值守的安全保障。
提供7x24小时现场值守、主备轮岗服务
8
专家应急响应服务
一年不限次数
针对用户的信息安全事件进行应急响应。
要求一小时内到场
9
全流量威胁检测服务
由安全服务商提供1套可本地化部署的流量采集设备及配套的全流量风险分析工具,全面采集流量数据。
由安全服务工程师针对在现场部署的采集设备所采集的全流量网络数据,进行资产梳理和攻击面分析,及时发现用户网络系统中的安全事件和威胁,从而进行深度的风险分析并提出解决方案。
10
Web失陷检测服务
按需检测,至少一年2次
安全服务商要自主提供分析工具,通过专用分析工具结合云端大数据对Web网站进行失陷检测服务。
(二)项目需执行的国家相关标准、行业标准、地方标准、市场自主制定的团体标准或者其他标准、规范;
请采购人根据项目情况进行补充。
(三)项目应当落实政务信息系统整合共享要求,符合政务信息共享标准体系,确保相关系统能够按照规定接入国家共享数据交换平台。
采购需求要与现有系统功能协调一致,避免重复建设。
(四)项目应当体现公共数据开放有关要求,推动原始性、可机器读取、可供社会化再利用的数据集向社会开放。
(五)项目应当落实国家支持云计算的政策要求,推动政务服务平台集约化建设管理。
不含国家秘密、面向社会主体提供服务的政务信息系统,原则上应当采用云计算模式进行建设。
(六)项目应当落实国家密码管理有关法律法规、政策和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。
五、IT运维服务范围
IT运维服务类别
服务内容
□基础设施维护服务
□服务器与相关设备维护
□办公自动化设备维护
□网络和信息安全设备维护
□机房环境维护
□视频监控、防盗报警设备维护
□软件及信息资源维护服务
□基础软件维护
□业务系统维护
□支撑软件维护
□信息资源安全维护
□链路租赁和云平台租赁迁移服务
□链路租赁
□云平台租赁迁移服务
六、安全服务内容
针对广视网(含手机版)、掌中广视APP、城市交换云平台、花城FM、直播(点播)融平台等5个网站系统。
★为了做好2018年全台新媒体网络安全保障服务,要求安全服务商至少提供7名安全服务人员。
针对上述网站或APP的运行现状,2018年采购以下网络安全运行保障服务:
6.1风险评估服务
根据相关文件要求,帮助用户对全网进行安全风险评估,进一步控制和降低风险,改善安全状况,为信息系统的风险管理提供依据。
安全风险评估服务,包括网络、主机、应用、终端、数据、物理、管理、数据流等8个方面。
网络安全评估:
对组织的网络拓扑架构、安全域规划、VLAN划分、网络设备配置、安全设备配置、安全防护措施进行分析,从而评估网络的安全现状,查找安全隐患。
主机安全评估:
对各种操作系统,通过技术手段进行分析,发现系统配置和运行中存在的安全漏洞和安全隐患。
主机安全评估的内容,主要包括以下方面:
账号、认证、授权、网络服务、系统日志、补丁升级、病毒防护、本地安全策略等。
应用安全评估:
从账号、认证、授权、审计、性能资源、备份恢复、渗透测试等方面,对应用系统进行全面的安全评估,查找应用系统自身的安全漏洞和安全隐患。
终端安全评估:
从补丁升级、病毒防护、账号口令、网络服务、本地安全策略等方面,对终端主机的安全状况进行评估,查找终端主机的安全漏洞和安全隐患。
数据安全评估:
从数据的机密性、完整性、可用性三个方面,对数据的安全状况进行主估,查找数据层面可能存在的安全漏洞和安全隐患。
物理安全评估:
从机房的物理环境、访问控制、电力供应、线缆布放、设备摆放、标签规范、机房制度等方面,评估网络机房的安全
管理安全评估:
从安全组织、安全制度、安全人员、安全运维、安全应急、安全培训等方面,对信息安全管理现状进行评估,查找可能的安全隐患和缺失点。
要求在一年服务期内,至少开展2次风险评估服务,并针对评估报告出现的问题协助进行整改,直至问题解决。
交付成果:
《风险评估报告》。
6.2安全扫描评估服务
广州市广播电视台全网运行的服务器、终端、网络设备、安全设备、网站及应用系统,可能存在硬件、软件、协议的具体实现或系统安全策略上的缺陷,这些缺陷可能被攻击者所利用从而产生不利影响,这些缺陷就是安全漏洞。
通过安全扫描评估,可以及时发现信息系统中存在的安全漏洞,通过对Windows、Linux服务器及安全设备漏洞的整改,可以及时地消除安全漏洞可能带来的安全风险。
针对所有进行安全扫描评估的服务器、安全设备等输出安全扫描评估报告及漏洞修复报告,报告内容详细描述安全扫描结果和修复结果。
要求在服务期内,至少每月开展1次安全扫描评估服务,针对所有进行安全扫描评估的服务器、安全设备等输出安全扫描评估报告及漏洞修复报告,报告内容详细描述安全扫描结果和修复结果。
《安全扫描评估报告》
6.3安全基线检查服务
在系统部署阶段通过安全基线检查工作,发现全网各类服务器、网络设备、安全设备等IT设备自身存在的安全漏洞和薄弱环节,并对发现的脆弱性进行识别、分析、修补、检验,消除、降低IT设备的高、中风险隐患,防范安全事件发生,避免信息系统脆弱性被非法利用,增强信息系统安全防范能力,保障业务的可持续性。
针对广州市广播电视台重要信息系统的基线检查服务,主要包括以下各个层面的基线检查:
(1)网络及安全设备人工检查内容
针对交换机、路由器、防火墙、入侵防御系统、VPN等网络及安全设备进行设备设置的人工检查,尽量减少网络设备因配置不当产生的安全弱点,提升网络设备自身及网络整体的抗攻击能力。
(2)操作系统人工检查内容
针对WINDOWS、LINUX、UNIX、AIX、HP-UNIX等操作系统进行系统配置的人工检查,尽量减少服务器因操作系统设置不当生的安全弱点,提升服务器自身的抗攻击能力,并根据应用系统的不同情况,提供定制式安全策略建议,使操作系统的安全级别达到理想化状态。
(3)数据库人工检查内容
针对mysql、SQLServer、ORACLE、INFORMIX、PostgreSQL等数据库进行系统配置的人工检查,尽量减少数据库系统因配置不当产生的安全弱点,提升数据库系统的安全性
(4)Web服务器、中间件人工检查内容
针对IIS、TOMCAT、WEBLOGIC、Apache、Jboss的Web服务器、中间件进行配置人工检查,利用系统自身的安全功能提高Web服务器、中间件的安全性。
要求在一年服务期内,至少开展2次安全基线检查服务,并针对基线检查服务报告中出现的问题协助进行整改,直至问题解决。
《基线检查报告》。
6.4渗透测试服务
为广州市广播电视台的5个对外网站进行渗透测试,通过对系统的弱点、技术缺陷或漏洞的主动分析,对信息系统进行模拟攻击测试,分析系统的安全风险和应对措施。
通过渗透测试、安全修复、回归性测试进行网站安全漏洞的闭环管理,从而提高网站的安全性和降低网站出现安全事件的风险。
根据国家网信办《关键信息基础设施安全保护条例(征求意见稿)》要求,要求在服务期内,对上述但不限于5个系统进行一年2次的渗透测试。
渗透测试人员能力要求:
至少安排2名普通渗透测试人员,具备中国信息安全测评中心颁发的CISP-PTE注册渗透测试工程师资质认证的人员参与项目实施,以保障实施人员具备专业的技术实力。
至少安排2名高级渗透测试人员,承担过大型企业的信息安全风险评估工作经验,并能提供权威机构(如CNVD、CNNVD等)的相关漏洞提交证明,或者互联网公司SRC严重漏洞提交并得到确认的从业者。
按需检查,一年不少于5个系统,每个系统2次。
《渗透测试报告》。
6.5APP安全测试服务
随着广州市广播电视台业务的不断发展,推出了很多APP的业务,为了保证APP业务系统的安全性,希望通过APP安全检测,提升移动APP系统的自身的安全性。
移动APP安全测试则是一个具有高度针对性的技术评估服务,它的重点在于通过对网络通讯、服务器端、客户端、数据和业务逻辑等多个层面进行细致的梳理、测试和分析,发现移动APP面临的安全风险。
本次APP应用安全评估范围为:
应用系统客户端(包含安卓和IOS类型),针对广州市广播电视台要求的不少于3个APP客户端和服务器进行安全测试服务,APP客户端和系统需进行一年2次的安全测试服务。
移动APP安全评估主要针对APP客户端漏洞和对应的APP服务端进行安全测试。
其中客户端的安全测试包括移动APP自身出现的漏洞和移动APP所调用的系统组件漏洞。
服务端的安全测试包括传输安全测试和服务端应用安全测试。
主要通过以下方法进行测试:
Ø
身份验证突破
策略配置漏洞
APP应用分析
APP应用漏洞利用
Web服务漏洞利用
访问控制突破
系统用户提权
网页代码漏洞
溢出漏洞攻击
按需检查,一年不少于3个APP,每个APP2次,对APP客户端和系统进行安全测试服务。
《APP安全测试报告》。
6.6互联网资产发现服务
要求安全服务商基于网络扫描、搜索引擎、互联网基础数据引擎主动探测广州市广播电视台在互联网上暴露的资产,可以形成明确的资产清单,帮助广州市广播电视台发现自己的未知资产。
互联网资产发现是利用互联网安全大数据进行企业互联网资产梳理与暴露面筛查的服务。
该服务通过数据挖掘和调研的方式确定企业资产范围,之后进行主动精准探测深度发现企业暴露在外的IT设备、端口以及应用服务,并由安全专家对每个业务梳理分析,结合业务特点对资产重要程度、业务安全需求进行归纳,最终针对性的形成广州市广播电视台的资产画像,精准探测广州市广播电视台的互联网暴露面。
要求在一年服务期内,至少开展4次互联网资产发现服务,与广州市广播电视台确认后形成真实资产报告。
要求针对所有需要发现确认的业务系统输出互联网资产发现报告,该报告内容是通过互联网发现后与广州市广播电视台确认后的真实资产。
《互联网资产列表》。
6.7重要安全保障期现场值守服务
为确保重要安全播出期间网络安全,参照“十九大”期间网络安全保障工作的经验,建议专业网络安全服务企业进行现场值守和应急响应。
现场值守内容包括实时监测各网站的服务状态、实时分析网络安全设备(如防火墙等)的安全日志、对异常攻击实时封堵、遇到网站失陷时及时应急恢复,以及配合广州市广播电视台网络安全应急小组解决现场网络安全的具体问题。
要求在重要安全保障期,针对用户要求的所有重大活动、节假日进行现场值守的安全保障。
提供7x24小时现场值守、主备轮岗服务。
★要求现场人天数不低于120个人工时,按照每天三岗,每岗7×
8小时,共计40天。
在现场主要开展以下工作内容:
(1)持续安全监测;
(2)故障定位;
(3)排障处理;
(4)其他保障系统稳定可靠运行的安全工作等。
★本项须对照本招标文件“八、安全服务人员和工具的要求”提供技术总监和现场技术人员的资质情况。
《安全值守报告》
6.8专家应急响应服务
专家应急响应服务范围包括但不限于:
已完成定级备案的6个信息系统。
提供安全事件应急响应和处置服务,在发生信息破坏事件(篡改、泄露、窃取、丢失等)、大规模病毒事件、网站漏洞事件等信息安全事件时,提供应急响应专家协助处置。
若发生确切的安全事件,应急响应实施人员需要及时采取行动限制事件扩散和影响的范围,限制潜在的损失与破坏服务基础上,实施人员协助客户检查所有受影响的系统,在准确判断安全事件原因的基础上,提出基于安全事件整体安全解决方案,排除系统安全风险并协助追查事件来源、提出解决方案、协助后续处置,并提交事件应急响应报告,得到客户相关负责人的书面确认。
要求一小时内到场,一年不限次数。
《应急响应报告》。
6.9全流量威胁检测服务
全流量威胁分析服务的服务流程如下:
在现场环境部署一套专用的流量采集设备和大数据分析平台设备(未知威胁安全监测设备),设备要求能满足内网流量和出口流量要求,产权归属投标服务商,为本项目提供未知威胁监测与处置服务要求对广州市广播电视台网内流量数据进行全面采集,安全服务商安全分析专家到现场对告警、及日志进行检测和分析,出具专业分析报告。
《全流量威胁检测报告》。
要求基于全流量的威胁检测内容至少包括:
检查内容
检查项
具体服务要求
资产梳理服务
服务器类型、服务器版本、在线状态、开发语言、开放端口、新增资产、资产变更、新增端口、端口变更等。
资产类型、开放服务及端口识别
资产Web应用识别
资产Web中间件识别
资产Web业务类型识别
资产Web开发语言识别
资产服务状态变更监测
资产端口状态变更监测
数据库行为分析服务
数据库服务器敏感操作行为进行梳理,主要可抓取信息包括:
源IP、目的IP、数据库类型、时间、具体操作行为等。
数据库的内置高危存储过程识别
数据库敏感操作识别
数据库目录遍历、权限提升、非常规操作识别
非常规检测分析服务
针对网络中存在一些非常规类代理进行梳理分析,主要可抓取信息包括:
源IP、目的IP、代理地址、代理方式、使用次数等。
RegeoryTunnel识别
HTTP代理识别
SOCKS代理识别
TeamView/IRC识别
非标准端口分析
登录行为分析服务
针对登录行为进行梳理分析,主要可抓取信息包括:
源IP、目的IP、口令、登录方式、使用频率、来源属地、访问时间、常用登录地址、异常登录地址等。
主动式弱口令探测
基于企业相关信息生成弱口令
暴力破解识别
被动式邮件、WEB等弱口令探测
通用默认密码检测
服务器危险行为分析服务
对内网服务器存在的高危漏洞服务进行梳理,主要可抓取信息包括:
源IP、目的IP、up_payload、down_payload等。
反弹shell识别
Redis命令执行识别
DNSTunnel检测
反序列化攻击检测
其他高危漏洞,例如NSA等
WEB攻击分析服务
针对内网中存在的web攻击进行梳理分析,主要可抓取信息包括:
源IP、目的IP、利用模块、攻击方式、结果类型、敏感信息等。
Web通用弱口令检测识别
弱口令爆破成功识别
Webshell存在识别
Web漏洞扫描识别
黑产后门扫描识别
SQL注入攻击识别
Struts2攻击识别
上传行为攻击识别
敏感信息泄露识别
XSS跨站攻击识别
敏感路径访问识别
远程代码执行识别
XML实体注入识别
威胁情报告警
升级会员 