采购清单及服务要求模板.docx
《采购清单及服务要求模板.docx》由会员分享,可在线阅读,更多相关《采购清单及服务要求模板.docx(11页珍藏版)》请在冰豆网上搜索。
采购清单及服务要求模板
一、采购清单及服务要求
1.服务清单
序号
服务项
服务期限
1.
信息系统资产梳理服务
1年
2.
信息安全风险评估服务
1年
3.
安全扫描服务
1年
4.
安全配置基线标准制定、核查服务
1年
5.
渗透测试服务
1年
6.
安全设备巡检服务
1年
7.
新业务上云前安全评估服务
1年
8.
安全加固服务
1年
9.
网络安全漏洞跟踪与处置服务
1年
10.
云上安全监管服务
1年
11.
安全应急响应服务
1年
12.
安全应急预案与演练服务
1年
13.
特殊时期网络安全重保服务
1年
14.
安全设备监管服务
1年
15.
安全设备本地备机服务
1年
16.
网络安全咨询服务
1年
17.
安全通告服务
1年
18.
市电子政务数据中心建设等保咨询服务
1年
19.
网站云安全防御服务
1年
20.
安全培训服务
1年
2.服务需求
本次信息网络安全运维服务项目的建设要求充分围绕XX市数据资源管理局本地业务系统和云上系统的安全保障需求来实施,主要包括。
(1)信息系统资产梳理服务
服务内容为对政务云上业务系统梳理、政务云上安全资源梳理服务,市电子政务数据中心现有的网络设备、安全设备、主机设备、存储备份设备、业务系统、基础软件等信息系统资产进行统计,统计的内容包括但不限于资产的物理位置、机柜位置、接线情况、品牌、型号、参数、相关文档、标准化编号等,形成符合要求的资产统计文档,主要是信息系统网络拓扑图、机柜物理部署图、信息系统资产归档文档,云上业务系统梳理、云上安全资源梳理服务,服务次数:
2次,服务期限:
1年。
信息系统资产梳理服务主要交付物有:
《XX市数据资源管理局信息系统拓扑图》
《XX市数据资源管理局机柜物理部署图》
《XX市数据资源管理局信息系统资产归档文档》
《XX市数据资源管理局政务云业务信息系统资产归档文档》
(1)信息安全风险评估服务
服务内容为分析XX市数据资源管理局市政务云平台、市数据资源管理局业务系统(含网站、皖事通·慧滁州APP)、市电子政务数据中心安全及其所依托的网络信息系统的安全状况,全面了解和掌握系统面临的信息安全威胁和风险,服务次数:
4次,服务期限:
1年。
信息安全风险评估服务由两部分组成,技术层面和管理层面,技术层面包括确定评估范围、资产的识别和估价、安全威胁评估、脆弱性评估、风险的分析,管理层面主要围绕安全组织、安全制度、安全人员、安全运维、安全应急、安全培训等方面,结合《安徽省数据资源管理局文件》皖数资〔2019〕26号,做好管理的风险评估。
信息安全风险评估服务主要交付物为:
《XX市数据资源管理局信息安全风险评估综合报告》
(2)安全扫描服务
服务内容为针对XX市数据资源管理局业务系统和云上业务系统每月通过安全扫描工具,分析并指出网络安全漏洞及被测系统的薄弱环节,并给出详细的检测报告,服务次数:
每月1次,服务期限:
1年。
安全扫描服务通过评估工具和人员以远程和本地扫描、检查的方式对评估范围内的系统和网络进行安全扫描,从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。
安全漏洞扫描服务主要交付物为:
《XX市数据资源管理局安全漏洞扫描服务报告》
(3)安全配置基线标准制定、核查服务
服务内容为针对XX市数据资源管理局安全配置基线标准制定明确应用系统、数据库、操作系统、网络设备、安全设备等设备、模块的安全基线,应用系统及其所对应的承载的设备提供安全配置核查,服务次数:
每月1次,服务期限:
1年。
通过安全配置基线核查标准制定明确应用系统、数据库、操作系统、网络设备、安全设备等设备、模块的安全基线,通过安全配置基线核查服务包括登录信息收集、目标设备登录、设备配置检查、配置信息记录、配置安全分析和形成检查报告等。
安全配置基线标准制定、核查服务主要交付物为:
《XX市数据资源管理局安全配置核查服务报告》
《XX市数据资源管理局安全配置基线报告》
(4)渗透测试服务
服务内容为针对市政务云平台、XX市数据资源管理局业务系统(含网站、皖事通·慧滁州APP)、XX市电子政务数据中心进行渗透测试查找漏洞,并提供源代码审计服务,分挖掘当前代码中存在的安全缺陷以及规范性缺陷服务次数:
每月1次,服务期限:
1年。
渗透测试服务由项目组安全测试工程师、安全攻防服务专家等具备高技能和高素质的服务人员发起、并模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵,充分挖掘和暴露系统的弱点,从而全面了解其系统所面临的威胁,同时对相关业务系统需提供源代码审计服务,充分挖掘当前代码中存在的安全缺陷以及规范性缺陷,让相关业务系统开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。
渗透测试服务主要交付物为:
《XX市数据资源管理局系统渗透测试报告》
《XX市数据资源管理局业务系统加固后渗透测试复查验证报告》
《XX市数据资源管理局系统源代码审计服务报告》
(5)安全设备巡检服务
服务内容为按月对市政务云平台、市数据资源管理局业务系统(含网站、皖事通·慧滁州APP)、市电子政务数据中心安全运行情况进行巡检,包括关键设备巡检和各系统整体运行情况巡检,出具巡检报告,服务次数:
每月1次,服务期限:
1年。
安全设备巡检服务主要围绕本地或云端指定的服务器、网络设备、安全设备及安全日志、云服务商所提供的一系列安全运维服务能力、云上业务系统和对应的安全资源、网络资源的安全日志,同时还包括安全设备状态检查、安全日志分析和补丁管理等。
设备巡检服务主要交付物为:
《XX市数据资源管理局整网设备安全巡检月度报告》
《XX市数据资源管理局整网设备安全巡检异常记录反馈表》
《XX市数据资源管理局整网设备安全巡检异常问题分析解决报告》
(6)新业务上云前安全评估服务
服务内容为各新业务系统上云前进行安全风险评估,主要内容包括管理调研和技术评估两部分工作。
分别从物理、网络、系统、应用、数据、管理六个层面进行实施开展,服务次数:
即时,服务期限:
1年。
系统上线前安全评估服务的对象是应用系统,包括物理环境、网络设备、操作系统、应用软件、代码程序和数据等。
对XX市政务云平台新业务上线前提供详细的安全检查和风险评估,确保业务系统安全上线。
新业务上云前安全评估服务主要交付物为:
《XX市数据资源管理局新业务上云安全评估服务报告》
(7)安全加固服务
服务内容为每月根据安全扫描、月度巡检及渗透测试结果,对市电子政务数据中心、市网络交换中心重要主机(服务器)、网络设备、安全设备、中间件、数据库系统进行安全加固;与应用软件开发商合作修补已发现的应用系统漏洞,服务次数:
每月1次,服务期限:
1年。
安全加固服务主要是针对XX市数据资源管理局各业务系统的主机的漏洞和脆弱性采取的一种有效的安全手段,可以帮助系统抵御外来的入侵和蠕虫病毒的袭击,使系统可以长期保持在高度可信的状态。
安全加固服务包含网络设备、安全设备加固、主机操作系统加固、数据库加固、中间件及常见网络服务加固等。
安全加固服务主要交付物为:
《XX市数据资源管理局业务信息系统资产加固报告》
《XX市数据资源管理局业务系统加固报告》
(8)网络安全漏洞跟踪与处置服务
服务内容为针对市数据资源管理局业务系统(含网站、皖事通·慧滁州APP)、市电子政务数据中心、市网络交换中心提供最新安全漏洞跟踪与处置服务,服务期限:
1年。
网络安全漏洞跟踪与处置服务需实现结合本地风险持续监控,以及漏洞管理全流程管控能力,并且在管理流程的各环节,提供优化分析后的技术建议,最大程度加快漏洞修复效率,在漏洞被利用前完成修补。
漏洞跟踪与处置服务主要交付物为:
《XX市数据资源管理局漏洞跟踪与处置服务报告》
(9)云上安全监管服务
服务内容为主要对政务云服务商提供的所有安全资源提供定期安全检查、安全策略调优、安全配置核查、安全事件分析、安全日志分析,通过服务监控、服务报表、日志分析、事件管理、应急处置了解云上业务系统的安全态势。
云上安全监管服务主要交付物为:
《XX市数据资源管理局云上安全资源安全运维报告》
《XX市数据资源管理局云上安全资源安全日志分析报告》
《XX市数据资源管理局云上安全资源安全事件分析报告》
(10)安全应急响应服务
服务内容为XX市数据资源管理局业务系统(含网站、皖事通·慧滁州APP)、市电子政务数据中心、市网络交换中心提供各种安全问题的应急响应技术服务,服务次数:
即时,服务期限:
1年。
安全应急响应服务提供已发生安全事件的事中、事后的取证、分析及提供解决方案等工作。
安全应急响应服务主要交付物为:
《XX市数据资源管理局网络应急预案》
《XX市数据资源管理局异常问题应急响应处置报告》
(11)安全应急预案与演练服务
服务内容为XX市数据资源管理局业务系统(含网站、皖事通·慧滁州APP)、市电子政务数据中心、市网络交换中心提供应急预案与演练服务,服务次数:
2次,服务期限:
1年。
安全应急预案与演练服务按照XX市数据资源管理局的时间和需要提供安全应急预案和演练服务,应急演练主要演示常用种类的攻击行为:
网络入侵应急演练、网页篡改应急演练、恶意代码攻击应急演练、DNS拒绝服务攻击应急演练等。
安全应急预案与演练服务主要交付物为:
《XX市数据资源管理局应急演练方案》
《XX市数据资源管理局应急演练报告》
(12)特殊时期网络安全重保服务
服务内容为在重要活动开始至结束、节假日期间,除驻场服务工程外,需派遣项目组经验丰富的安全服务工程师小组至XX市数据资源管理局指定的现场进行安全值守支持,服务次数:
即时,服务期限:
1年。
特殊时期网络安全重保服务主要包括安全设备日常监控和安全事件及时处理。
特殊时期信息安全重保服务主要交付物:
《XX市数据资源管理局特殊时期信息安全重保服务统计表》
《XX市数据资源管理局特殊时期信息安全重保服务总结报告》
(13)(安全设备监管服务
服务内容为通过安全设备监控服务梳理和建立安全监控指标体系及模型:
梳理所有可用安全设备及其监控点,并通过一段时间的持续跟进,梳理出各类指标的监控模型,服务期限:
1年。
通过安全设备监控服务梳理和建立安全监控指标体系及模型:
梳理所有可用安全设备及其监控点,并通过一段时间的持续跟进,梳理出各类指标的监控模型。
包括梳理防火墙、入侵防御系统、WEB应用防护系统、抗DDOS攻击系统、堡垒机、上网行为管理等安全设备的监控点,形成包括定期的安全设备监控和维护服务。
安全设备监管服务主要交付物:
《XX市数据资源管理局源安全设备监管服务报告》
(14)安全设备本地备机服务
服务内容为服务期内需提供核心安全防护设备备机,备机使用期限一年,服务期内备机策略配置和特征库必须和在网运行设备实时同步。
服务期结束后备机全部返还给中标服务商,服务商需清空备机所有配置,服务期限:
1年。
本次服务主要的备机产品为防火墙、入侵防御系统,服务商在服务期内需提供NIPSNX5-2000A入侵防御系统备机1台、NF-T6000L下一代防火墙备机1台做为本次安全服务设备备机。
备机为全新设备,产权属于服务商,但备机在服务期内授权用户信息必须为采购人,同时部署在采购人指定位置。
(15)网络安全咨询服务
服务内容为为市数据资源管理局业务系统(含网站、皖事通·慧滁州APP)、市电子政务数据中心、市网络交换中心提供安全体系建设和管理体系建设,规范信息系统的安全规划和维护管理,促进安全规划、维护和管理工作体系化、规范化,提高信息和网络服务质量,提高网络维护队伍的整体安全素质和水平,制定安全方针、系列安全制度和操作规范,并提交信息安全管理体系汇编,服务期限:
1年。
网络安全咨询服务通过安全技术体系和安全管理体系规划为XX市数据资源管理局的整体的安全提供指导方针,确保整体的安全建设的可行性和高效,对原有安全规划方案进行修改完善,帮助XX市数据资源管理局形成更加科学的安全规划方案。
安全规划方案包括安全技术体系规划方案、安全管理体系规划方案、安全保障体系规划方案等。
网络安全咨询服务主要交付物为:
《XX市数据资源管理局网络及安全规划方案》
《XX市数据资源管理局安全管理体系规划方案》
(16)安全通告服务
服务内容为以安全通告的形式提供最新的安全动态、技术和定制的安全信息,包括实时安全漏洞通知、定期安全通告汇总、临时安全解决方案和安全知识库更新,服务期限:
1年。
服务商以安全通告的形式提供最新的安全动态、技术和定制的安全信息,包括实时安全漏洞通知、定期安全通告汇总、临时安全解决方案和安全知识库更新等整理汇总给采购人。
(17)市电子政务数据中心建设等保咨询服务
服务内容为依据等级保护2.0的相关规定,对XX市市数据中心提供安全规划、安全建设、安全实施和等级保护工作相关各方的资源投入,协助完成信息系统的定级备案、测评前期准备、安全整改等工作,通过对信息系统的调查和分析,科学、合理地划分信息系统的子系统,并依据各种因素确定信息系统的安全保护等级,服务期限:
1年。
主要包括等级保护导入培训、信息系统业务安全性分析、系统划分、系统辅助定级备案、系统安全需求导出、等级差距评估、信息系统等级安全规划和安全建设规划。
数据中心建设等保咨询服务主要交付物为:
《XX市数据资源管理局数据中心建设等保咨询服务方案》
(18)网站云安全防御服务
服务内容为针对XX市数据资源局相关网站提供云安全防御服务,防御网站数:
5个,服务期限:
1年。
网站云安全防御服务要求能有效防止SQL注入、命令注入、跨站脚本、代码执行、文件包含、远程命令、特殊攻击、恶意采集、WEB服务器漏洞防护、路径遍历、文件保护、防篡改、防盗链、缓冲区溢出、防扫描等Web攻击。
能识别Web攻击者的IP所在地区,能够根据安全需求对某区域IP进行阻断。
可以识别用户对网站的访问是否为攻击行为,若判断为攻击行为,支持阻断其所有通过云防护平台进行的访问。
能够对使用WebShell进行攻击尝试和试图访问WebShell的IP地址支持屏蔽,并支持屏蔽时间的设置。
支持提供网站安全报表,能够实时展示网站的总请求数、总流量、网站浏览人数、搜索引擎次数、缓存率和遭攻击次数。
并能支持统计每小时网站的总请求数、总流量和网络浏览人数等。
能够识别出各种Web扫描器的自动化扫描和攻击行为,并进行阻断,提供截图证明。
能够对使用WebShell进行攻击尝试和试图访问WebShell的IP地址支持屏蔽,提供截图证明。
能够支持查看网站WEB应用攻击统计,实时展示WEB应用攻击时间,被攻击站点、攻击类WEB应用攻击源IP和攻击次数,被攻击端口和IP;提供截图证明。
网站云安全防御服务主要交付物为:
《XX市数据资源管理局网站云安全防御服务报告》
(19)安全培训服务
服务内容为在服务期间为XX市数据资源管理局工作人员提供不少于2次的信息安全培训服务并提供1-2人CISP认证培训,培训费由服务商承担。
并提供内部IT人员网络设备安全培训、攻防技术培训、XX市数据资源管理局全员安全意识培训,在服务期1年内完成。
安全培训服务通过培训,跟踪最新安全攻击事态和安全威胁趋势,从而使XX市数据资源管理局信息安全建设工作上更主动,更具有前瞻性,通过安全意识培训使XX市数据资源管理局内信息系统管理人员和技术人员充分认识到信息安全的重要性,提高安全技术人员的安全技能。
安全培训服务主要交付物为:
《XX市数据资源局管理局网络安全培训大纲》
《XX市数据资源局管理局网络安全技能培训》(PPT)
《XX市数据资源局管理局网络安全技能培训》(word)
《XX市数据资源局管理局日常安全和必备安全习惯》
一、服务团队需求
本次服务采用1+3+2+4的项目团队模型,具体如下:
●1名驻场服务工程师:
职责为现场负责安全监控运维及安全配置管理、现场应急事件处理等;
●3名项目组支持工程师:
主要为1名安全测试服务工程师,1名安全攻防服务工程师,1名安全管理服务工程师;职责为提供后端支持、应急服务、特殊时期重保等;
●2名项目管理人员:
人员配备为1名项目经理和1名资深安全服务工程师,项目经理是整个项目总体负责人,服务期内每两周需到现场做项目阶段性总结和汇报;
●4名一线备份人员:
主要用于项目保障临时突发性需求。
升级会员 