位置>千里马招标网> 招标中心> 中国人民政治协商会议浙江省委员会办公厅信息中心机关网络安全技术服务的在线询价...
您尚未开通该权限!
咨询客服:400-688-2000,掌握更多商机线索!
- 咨询:400-688-2000查看全部商机
- 日期:(略)
询价单编号 | *** | 采购目录 | 其他办公(略) | 项目优先级 | 非紧急 |
报价开始时间 | (略)5:13:16 | 报价截止时间 | (略) 15:00:00 | 供应商规模要求 | 中型企业 |
供应商资格要求 | 基本要求:符合《中华人民**国政府采购法》第二十二条的规定,符合《关于规范政府采购供应商(略) | ||||
供应商区域范围要求 | |||||
成交规则及确认方式 | 自动成交:询价单截止时间后,系统对所有参与(略),以'最低报价'原则推荐出成交供应商,报价相同的以(略)。 |
商品名称 技术参数或配置要求 建议品牌及型号 数量 控制总价(元) | ||||
网络安全技术服务 | 主要参数:1漏洞安全扫描服务 按需,1年不少于4次。 主机系统漏洞检测:对信息系统系统进行主机漏洞扫描,以发现目标信息系统的全弱点。 网站系统漏洞检测:***页范围进行信息系统高危脚本漏洞检测验证,包括SQL注入、XSS攻击、恶意执行逻辑错误等典型脚本漏洞信息。 数据系统漏洞检测:提供对数据库“弱点、不安全配置、弱口令、补丁”安全检测及准确评估;支持数据库类型包括Oracle、MSsql、DB2、Sybase、Informix、Mysql、PostgreSQL、Access; 主机病毒威胁检测:主要包括对主机系统已知病毒代码、未知病毒代码及可疑恶意代码等识别。 主机通信威胁检测:主要包括对主机系统通信链接状态、通信进程状态、进程文件状态等识别。 网络攻击威胁检测:***流量异常威胁状态识别,***地址欺骗威胁状态识别,***边界攻击威胁状态识别 交付物:《漏洞扫描表》、《漏洞扫描分析报告》等。 扫描工具要求:1.漏洞库数量不少于4万,2.检查项不少于11万,3.漏洞分类不少于150个,4.扫描引擎数量无限制,5.可以扫描各种操作系统(Windows, Linux, Unix)、数据库(SQL Server, DB2, Oracle, MySQL等)、Web应用、中间件、浏览器、Adobe应用、路由器、交换机、打印机等等,6.自动更新(包括微软周二补丁更新后的24小时之内完成对应更新) 2木马安全扫描服务 按需,1年不少于4次。 主机病毒威胁检测:完成主机系统已知病毒代码识别、完成主机系统未知病毒代码识别、完成主机系统可疑恶意代码识别 主机通信威胁检测:完成主机系统通信链接状态识别、完成主机系统通信进程状态识别、完成主机系统进程文件状态识别 网络攻击威胁检测:***流量异常威胁状态识别、***地址欺骗威胁状态识别、***边界攻击威胁状态识别 网站挂马威胁检测:***站系统挂马威胁范围识别、***站系统挂马威胁内容识别、***站系统挂马威胁风险识别 交付物:《木马病毒扫描表》、《木马病毒扫描分析报告》等。 3渗透测试服务 按需,1年不少于4次。 应采用的渗透方式:信息收集分析、端口扫描、权限提升、***段/Vlan之间的渗透 、溢出测试、SQL注入攻击、页面隐藏字段检测、跨站攻击、WEB应用测试、第三方软件误配置利用、Cookie利用、后门程序利用、VOIP测试等)。在渗透测试中还需要借助暴力破解、网络嗅探等其他方法,目的也是为获取用户名及密码。在渗透测试前投标人应以书面的形式将各种有可能存在的后果充分告之招标方。 在渗透测试的后期,投标人需要整理渗透测试的过程文档,制作渗透测试报告。渗透测试报告包含渗透过程中采用的方法、手段、测试项目、发现的问题、以及相关漏洞的加固建议和系统的安全建议。 渗透测试报告应包括: 1) 渗透测试概述(原理、目标、范围、人员、方法,局限性); 2) 渗透测试结论(系统优势、系统弱点汇总,造成的影响以及结论); 3) 严重漏洞分析和解决建议(方案); 4) 渗透测试流程(采取的重要步骤、外部输入、系统的响应、破解方法等); 5) 风险控制措施(时间选择、策略选择、系统备份与恢复,协调沟通)。 渗透测试工具要求: ★1.开源框架,具有国际大型开源社区支持(***址) 2.使用脚本语言Ruby开发 3.智能渗透测试(自动选择所有匹配的模块进行攻击,支持dry-run功能);同时支持手工渗透 ★4.多种渗透测试报告自动生成(必须提供报告样本) ★5. Web界面+命令行界面(必须提供截图) 6.***络发现功能 7.漏洞利用模块不少于****个,总模块数量不少于****个 4风险评估服务 按需,1年不少于4次。 投标人应对采购人业务系统开展通过业务调研、网络分析、人工检查等方法进行综合评估并每个业务系统形**全评估报告。安全风险级别采用科学的风险定级方式,针对相关影响及利用难易程度进行安全分析,保证安全评估结果有效。 系***络架构安全评估、主机系统安全评估、数据安全评估、应用安全评估及整体安全策略评估五大块内容。 具体要求包括: 网络架构安全评估:***段划分评估、网络访问控制评估、接入访问控制评估、网络安全审计评估、边界完整性检查评估、网络入侵防范评估、恶意代码防范评估、网络设备自身防护评估。 主机系统安全评估:包括身份鉴别、自主访问控制、安全审计、系统保护、剩余信息保护、恶意代码防范、**控制等方面评估。 数据安全评估:包括数据保护评估、数据完整性评估、数据保密性评估、安全备份评估。 应用安全评估:包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、软件容错、**控制、代码安全等方面。 整体安全策略评估:依据物理安全、网络安全、主机安全、应用安全、数据安全等五个方面评估结果,同时考虑在信息安全管理体系等其他互补因素,然后进行全面的安全策略有效性评估。并提供安全保密整体评估,评估结果作为后期加固依据。 投标人应具备ISCCC信息安全服务资质认证证书(一级风险评估服务)。 提交包括且不仅限于以下成果(含电子文档):《网络架构安全评估报告》,《主机系统安全评估报告》,《数据安全评估报告》,《应用安全评估报告》,《整体安全策略评估报告》 5安全加固服务 按需,1年不少于4次。 中标人需根据安全评估和渗透测试发现的漏洞,提供针对性的安全加固服务,包括但不仅限于: 网络加固:***站内容进行加固,***站代码本身存在的不安全因素;调整防火墙及IPS策略,***络受入侵;设置IPS安全策略,达到整体防护要求。 服务器加固:针对前期安全评估及渗透测试结果,进行补丁更新,恶意代码检测和清除,漏洞加固,增加用户密码等信息的复杂度(如长度、字符/数字混合)鉴别检查功能,应用级和文件级访问控制等操作。 应用及数据库加固:针对前期安全评估及渗透测试结果,进行数据库漏洞修复,数据库安全策略修改,提供应用系统漏洞整改建议,通过安全设备策略调整达到保护应用系统的目的,或者配合软件开发商修补漏洞。 网站加固:针对前期安全评估及渗透测试结果,***站内容进行加固,***站代码本身存在的不安全因素。***络安全服务能力评定证书(安全培训)资质 提交包括且不仅限于以下成果(含电子文档):《网络加固报告》,《服务器加固报告 》,《应用及数据库加固报告》,《网站加固报告》 6网站7*24小时监测服务 按需,1年不少于4次。 ***站进行7*24小时不间断监控,***站安全问题,***站脆弱性,并提供专业的修补意见,降低安全风险,防范于未然。主要监控功能包括但不见限于:Web漏洞扫描监控、网页木马监测、***页篡改监测、网页敏感信息监测、网站应用监测、暗链监控、弱口令检查、WebShell检测(流量监测+特征检测)等。具体要求如下: 1.Web检测:应支持对Oracle、MySQL、SQLserver等数据库的SQL注入攻击漏洞进行扫描评估检查,应支持对XSS跨站脚本攻击漏洞进行扫描评估检查,应支持对Apache、Tomcat、IIS等系统漏洞进行扫描评估检查,***络爬虫、扫描器的信息泄露、目录遍历等攻击方式进行扫描评估检查,应支持对CSRF、Shell上传文件等漏洞进行扫描评估,应支持对独立域名、范围域名进行自定义漏洞扫描评估, 2. 审计及告警:应支持对系统内部操作进行审计日志记录,应支持对系统日志进行备份,支持手工备份和自动备份两种模式,所有日志记录应支持第三方日志服务器记录,并预留有第三方日志服务器接口,应支持对系统漏洞、Web漏洞进行告警功能,同时支持SNMPv1、SNMPv2、SNMPv3、Syslog协议,并以短信、邮件进行实时告警(提供截图证明),能提供弹窗的报警模式,便于管理员管理,3. 可用性检测:***站的HTTP、DNS、PING响应,提供自定义的安全阀值,***站快速诊断提供帮助;能计量服务器掉线等安全事件发生的频率、时间段,同时提供报警操作4. 木马检测:★***页的木马检测,提供静态匹配和动态沙箱技术(提供截图证明)、提供木马现场证据信息5. 敏感信息检测:***站存在的敏感信息进行检测,检测种类不少于4种类型的敏感信息、能自定义倒入敏感信息;能自定义设置不同级别的检测敏感度6.篡改监控:能进行配置自动分发功能、***站发生的改动行为进行监控、能清晰展现篡改发生的现场信息(提供截图证明)7. 网页防篡改:应采用内核级防篡改保护,能及时阻止并报告攻击事件;应至少同时支持Windows、Linux、IBM Un***页防篡改;应支持支持超过4***页防篡改保护和恢复功能,以适应客户业务发展需要,应能支持对所有安装防篡改客户端的服务器进行集中管理,能监控所有服务器状态、防篡改信息,监控响应时间:小于0.5秒,篡改恢复时间:小于0.1秒,*****页篡改防护系统未运行时的增长须小于20%,业务响应:***页篡改防护系统未运行时的增长须小于20%,支持IIS、Weblogic、Websphere、Apache、Tomcat等,系统可以从本地或异地备份文件夹自动同步到监测目录中,系统支持增量备份功能。8.弱口令检测:支持(略)/pop/pop3/imap/ftp/rsh/rexec/wsus多种方式的弱口令扫描。支持用户自定义弱口令字典的导入。9.Webshell检测:★应支持通过以客户端部署的方式主动识别Webshell+被动的流量监测方式双重识别服务器中的Webshell(提供截图证明)、客户端部署完毕后能在监控平台上进行扫描操作及查看扫描结果,并定位Webshell位置。10.实时监控: 11.提交包括且不仅限于以下成果(含电子文档): 以电话、短信、邮件等方式,7*24小时安全预警,并提供《网站监测报告/月报》。 7APP安全检测服务 投标人应利用专业APP安全检测工具,并结合人工手段,对“**政协”APP分安卓手机版、安卓PAD版、苹果手机版、iPad版四个版本分别提供安全检测服务,并根据检测结果生成专业的检测报告,报告中涉及漏洞描述、检测方案、模拟演示、修复方案等。***络安全服务能力评定证书(风险评估)二级 APP安全检测工具要求:产品要求为国内开发,具备自主知识产权,系统稳定可靠,无需额外存储设备即可运行1系统架构:产品需采用专用机架式硬件设备,系统硬件为全内置封闭式结构2.性能要求:需支持3个以上任务并发,无限IP限制,平均每个任务需在5分钟以内完成3.著作权:产品需具有计算机软件著作权登记证书4.安全库:系统应至少包含恶意URL库、恶意APP库、APP漏洞库、恶意行为库。其中恶意URL库条数不低于****条,恶意APP库不低于****条。5.功能特点:一键上传:一键上传APP安装包,使用便捷、多层检测:覆盖代码、组件、文件和数据存储多个层面,安全加固:具有防篡改、注入、逆向破解等,兼容性强,渠道监测:覆盖国内外APP发布渠道,及时响应,专业报告:检测报告精准问题定位,详细解决方案,多任务管理:多核架构并行处理,可对任务自行调度。6.检测能力:至少能够检测以下漏洞、风险:是否对运行环境进行ROOT权限检测,是否对关键数据进行加密,WebView远程代码执行漏洞,WebView密码明文保存漏洞,WebView file域同源策略绕过漏洞,WebView不校验https证书漏洞,有风险的Webview接口,AES/DES弱加密风险,本地数据存储安全,file配置安全风险,Database配置模式安全风险,数据备份配置安全,HTTPS中间人劫持漏洞,日志泄露风险,异常处理7.加固能力:Android加固:防反编译保护,客户端防篡改保护,客户端防调试保护,客户端完整性保护,iOS加固:可对iOS应用代码进行定制化混淆,至少兼容Android/iOS常用系统版本和设备8.监测能力:监测Androi 次要参数: | 1批 | (略) |
送货方式 | 送货上门 | 送货时间 | 工作日09:00至17:00 | 送货期限 | 合同生效后7个工作日内 |
送货地址 | **省 **市 西湖区 北山街道 西湖区仁谐路2号省政协办公厅信息中心 | ||||
备注 |
商务要求 | 1、中标方安排的本项目服务实施人员应具有以下资质能力: 项目经理要求 具有本科及以上学历,需具备CISP、国际信息系统审计师(CISA)、通用信息系统和技术控制目标认证(COBIT)、国家等级保护测评师资格,且具备信息产业部计算机信息系统集成资质认证高级项目经理证书。 实施人员要求 (1)2***络、安全工程师,需具备3年以上工作经验,要求大专及以上学历,***络技术,CISCO、***络设备的配置和维护,熟悉病毒防范,熟悉防火墙、***络安全系统设备的配置和维护,***络操作系统、服务器的运维,具备CISCO CCIE认证,原件备查。 (2)2名高级数据库工程师,需具有3年以上大型数据库管理经验,要求具备OCP证书,原件备查。 (3)3名以上TIIL认证人员,具备3年以上单位IT部门的专业运营工作经验,原件备查。 (4)服务团队还应具备H3C、***科、深信服、微软、趋势科技等设备原厂工程师认证证书,原件备查。 (5)渗透测试人员应具有较强漏洞挖掘能力,需提供国家漏洞库或国家信息安全漏洞共享平台提交证明五个及以上; (6)至少1名工程师精通ISO****标准体系,能针对ISO****标准条款进行审计,并对审计过程方法与技巧具有深入理解与运用,需具有ISO**** LA证书。 注:上述人员,均必须提供人员资质证书及**本地近六个月内社保缴纳证明。(证书原件备查) |
中标供应商 | **天融(略) | 成交总价(元) | (略) | 报价时间 | ****-11-08 13:(略) |
序号 商品名称 品牌 型号 数量 单价(元) | |||||
1 | 网络安全技术服务 | 天融信/t(略) | 天融信 | 1 | (略) |
序号 供应商名称 报价时间 | ||
1 | *****络安全技术有限公司 | ****-11-08 13:(略) |
2 | **美承数码(略) | ****-11-08 17:(略) |
3 | **天健远见科技有限公司 | ****-11-07 16:(略) |
注册会员享贴心服务
项目查询服务
·让您全面及时掌握全国各省市拟建、报批、立项、施工在建项目的项目信息
·帮您跟对合适的项目、找对准确的负责人,全面掌握各项目的业主单位、设计院、总包单位、施工企业的项目经理、项目负责人的详细联系方式
·帮您第一时间获得全国项目业主、招标代理公司和政府采购中心发布的招标、中标项目信息
项目定制服务
·根据您的关注重点定制项目,从海量的项目中筛选出符合您的要求和标准的工程并及时找出关键负责人和联系方式
·根据您的需要,向您指定的手机、电子邮箱及时反馈项目进展情况
- 猜你喜欢
- 更多杭州市招标采购信息
- 潍坊市寒亭区人民法院信息集控中心项
- 11月10日
- 市本级遂宁市公安局经济技术开发区分
- 11月02日
- 来宾市法院第二期档案数字化项目(2
- 11月02日
- 健民药业集团股份有限公司 文化总
- 11月10日
- 关于2018年度上海市工商行政管理
- 11月10日
- 菏泽市质量文化教育基地展厅数字展项
- 11月10日
- 乐山市市中区妇幼保健院乐山市市中区
- 11月10日
- 佛山市经济和信息化局佛山市政府统一
- 11月10日
- 《以轨道交通为主的地理信息查询系统
- 11月10日
- 四川省巴中市委员会宣传部新闻发布中
- 11月10日
- 民用爆炸物品数据管理平台项目
- 11月10日
- 南昌铁路局物资采购所关于2017年
- 11月10日
-
杭州市建材网
杭州市采购信息网
杭州市政府公开信息
杭州市公共资源交易网
杭州市电力交易中心
杭州市交易中心
杭州市房产交易中心
杭州市工程交易中心
杭州市钢铁交易中心
杭州市建设交易中心
杭州市招投标交易中心
杭州市政府交易中心
杭州市造价信息网
杭州市市政工程信息网
杭州市水利工程信息网
杭州市通信工程信息网
杭州市医药招标网
杭州市建筑招标网
杭州市工程招标网
杭州市建设招标网
杭州市施工招标
杭州市装饰工程招标
杭州市建设工程网
杭州市水利招标信息网
杭州市电力招标网
杭州市建委招投标网
杭州市建筑管理网
杭州市建设信息港
杭州市教育招标网
杭州市装修招标
杭州市人力和社会保障局
杭州市建设网
杭州市总包工程
杭州市政府工程招标
杭州市工程施工招标
杭州市工程公开项目
杭州市工程采购信息
杭州市招标投标采购平台
杭州市省市工程建设网