长沙市开福区数据局（行政审批服务局）开福区电子政务外网安全监测服务采购项目采购需求公开

一、采购项目名称：**区电子政务外网安全监测服务采购项目

二、采购预算：23.3万元/年，服务期三年，合同一年一签，总预算69.9万元。

三、项目概况：

为落********服务局）网络安全管理工作要求，拟采购网络信息安全服务，通过安全测评、安全加固、安全监测、安全巡检、应急响应、安全通告等手段，确保**区电子政务外网安全、稳当、可靠运行。同时为**市**区****服务局）信息部门能够专注于其核心业务应用工作，搞好信息建设的规划管理、需求管理和项目监管提供保障基础。

供应商应根据**区电子政务外网平台的网络拓扑图及相关安全标准（包括但不限于：GB/T 20274-2006 信息安全技术信息系统安全保障评估框架、GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求、GB/T 20984-2007 信息安全技术信息安全风险评估规范）的要求来评估当前网络结构的合理性和安全性

一、服务团队要求

1、应成立满足本项目工作需要的项目组，项目组由项目经理和实施人员(不少于5人)组成，项目组所有成员应具备2年以上同类型项目实施经验。

2、应保障项目组成员的稳定，未经采购人同意，不得随意更换，如有特殊情况，应及时通知采购人，并附上拟更换人员的简历、学历证明、资格证明，经采购人审核同意后方可更换。

二、服务成果

本项目提供的服务成果包含但不限于以下内容：

1）《安全测评报告》（1年1次）

2）《安全加固报告》（1年1次）

3）《月度监测报告》（1年12次）

4）《季度巡检报告》（1年4次）

5）《应急响应报告》（按实际情况提供）

6）《安全通告》（按实际情况提供）

本项目服务期限为三年，合同一年一签。

交易地点：采购人指定地点

一、服务内容

1、全网安全性评估

服务项目将对**区电子政务外网平台内所有网络信息资产进行一次全面的安全评估，了解其客观真实的自身网络系统安全现状，及了解当前信息系统面临的安全风险，并提供风险规避建议，评估内容具体如下：

（1）网络架构分析

供应商应根据**区电子政务外网平台的网络拓扑图及相关安全标准（包括但不限于：GB/T 20274-2006 信息安全技术信息系统安全保障评估框架、GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求、GB/T 20984-2007 信息安全技术信息安全风险评估规范）的要求来评估当前网络结构的合理性和安全性，应从如下几个方面评估：

1）是否根据资产的重要级别划分不同的安全区域实现对资产的分级保护；

2）网络边界是否部署了相应的安全设备进行边界保护；

3）病毒防护系统部署是否合理；

4）根据业务需求，是否部署了相应的审计系统。

5）是否按照上级主管单位的相关标准进行全网部署。

6）对网络结构设计的安全符合性进行评估，确保当前的网络拓扑结构严格按照网络拓

7）扑结构设计的要求正确部署，配置合理，满足应用需求、安全需求和性能需求。

（2）漏洞扫描

供应商应通过工具对网络系统内的操作系统、数据库和网站程序进行自动化扫描，发现各种可能遭到黑客利用的各种隐患，包括：端口扫描，漏洞扫描，密码破解，攻击测试等。

（3）主机核查

服务器安全配置核查主要包括应用系统相关服务器的操作系统补丁安装情况、帐号管理、密码策略、系统对外开放的服务及端口、系统内部审计子系统安全设置、防病毒及特洛伊木马检测能力等。

（4）病毒木马检测

供应商应通过多种方式对机器内异常进程、端口进行分析，判断是否是木马或病毒，研究相关行为，并进行查杀。

（5）应用安全检查

1）渗透性测试

在不影响当前系统运行状况的前提下，采用各种攻击和入侵手段对系统可能存在的漏洞进行尝试，并验证其危害性，主要包括：口令破解、SQL注入、跨站、远程溢出和数据库查询等。及早预测以后可能带来的各种安全隐患，及时纠正可能影响系统功能纠正可能影响系统功能与性能的缺陷。

2）应用安全功能核查

主要对网站应用系统安全方面功能进行核查测试。

3）中间件核查

中间件安全配置核查主要对IIS、Tomcat、Apache、weblogic等相关基础信息及与安全相关的策略进行检查，以便了解中间件应用服务器的安全情况。

（6）网络设备及安全设备配置核查

用人工方式核查网络设备与主机的相关安全配置是否按照国家相关标准进行安全配置，主要核查对象为相关应用系统网络设备及安全设备。

2、安全加固

参考国内国际权威的系统安全配置标准，并结合安全测评结果，本项目将对**市**区电子政务外网平台网络、操作系统、安全设备等存在的安全隐患进行安全加固，具体如下：

（1）操作系统安全加固：开展windows、liunx操作系统安全加固工作，针对测评过程中发现的网站系统运行过程中新出现的不符合安全规范要求的项目进行相应的调整，以保证网站系统持续满足安全规范的要求，主要加固内容具体包括系统账号加固、密码策略加固、关闭不必要的服务及端口、主机访问控制、共享权限加固、审计策略加固等；

（2）网络设备安全加固：网络设备安全加固服务是通过对设备配置的调整，对网络安全性进行优化，满足组织机构安全规范要求。加固对象主要为交换机、路由器等网络设备，协助对网络设备系统配置、网络服务安全配置、路由协议安全配置、安全审计配置等进行加固；

（3）安全设备安全加固：开展防火墙、入侵检测系统等安全设备安全加固工作，具体包括安全设备系统安全加固、安全防护策略加固、审计策略加固等；

（4）木马病毒清除：通过专业木马病毒查杀工具，针对所有服务器开展专项木马病毒查杀工作，并协助进行木马清除工作。

3、月度安全监测

提供专业政务网络安全监测平台（在**区政务网总出口部署探针，通过集中监测平台）实现对IT环境、云环境中的基础架构和虚拟机进行统一透明的监控管理能力， 监控内容包括但不限于网络入侵、攻击、恶意程序感染和恶意流量等安全性内容。

4、季度巡检

供应商应有针对性的使用各种当前主流的攻击手段对**市**区****服务局）信息系统进行模拟性渗透测试，测试应用系统和服务器的抗攻击强度，挖掘系统漏洞，并验证其危害性。同时结合网站可用性监测和客户重要安全设备日志信息，对相关的日志及监测结果进行分析，对上次安全评估或巡检发现的脆弱性整加固改情况进行复查，对新添设备或配置发生变更的设备进行安全性核查，对新发现的安全漏洞及异常行为，及时提出安全整改加固建议措施，并进行安全加固。

安全巡检的主要内容应包括：

1）复查安全整改加固情况：对上次安全测评或安全巡检所发现脆弱性的整改加固情况进行复查，包括对服务范围内的网络设备、服务器、应用系统程序的安全配置整改或变更部分、系统漏洞修补情况进行核查与加固效果检验，督促安全整改加固实施工作的进度；

2）查找发现新的系统漏洞：通过漏洞扫描与渗透测试相结合方式检测操作系统与应用系统在运行过程中暴露出来的新漏洞，并提出相应的修补措施。

3）配置核查：定期对指定应用系统涉及的相关服务器、网络设备、安全设备配置进行合规性检查。

4）对病毒木马进行查杀：对应用系统、服务器与应用程序进行病毒扫描，对发现的病毒木马及其他恶意程序进行现场处置与清除。

5、应急响应

供应商应提供服务方案，方案内容须包含以下内容：

供应商应建立一套系统有效的安全应急响应机制，为信息系统遭受病毒、黑客以及其它网络安全问题提供快速的安全响应服务，在短时间内解决信息系统的安全问题，包括安全紧急事件处理和入侵分析，以最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的负面影响，主要包括以下两种响应方式：

1）本地安全应急响应：安全应急响应组在第一时间赶往网络系统安全事件的发生地点，在现场以最快的速度查找和解决问题，事后进行全面的总结和知识管理，防止事件的重复性和可扩散性，并出具详细的安全应急响应服务报告。

2）远程安全应急响应：通过电话、Email、传真等方式传送安全事件，安全应急响应组通过相同的方式积极解决问题。

需要远程登陆解决的安全事件，经与网络相关人员确认后，提供主机或设备的临时支持账号，由安全应急响应组远程登陆主机快速进行检测、修复以及取证等服务，问题解决后出具详细的安全应急响应服务报告。

6、安全通告

供应商应通过安全通告服务及时了解互联网最新的安全动态、安全技术的发展趋势，包括时效性很强的安全漏洞、攻击事件、病毒等，帮助**市**区****服务局）相关人员在最快的时间内了解重要的安全信息，并提供整改建议。

二、服务团队要求

1、应成立满足本项目工作需要的项目组，项目组由项目经理和实施人员(不少于5人)组成，项目组所有成员应具备2年以上同类型项目实施经验。

2、应保障项目组成员的稳定，未经采购人同意，不得随意更换，如有特殊情况，应及时通知采购人，并附上拟更换人员的简历、学历证明、资格证明，经采购人审核同意后方可更换。

三、服务考核方式

1、服务标准

该项目应严格遵守以下服务级别进行月度考核：

注：本表所列是指中标人对服务事件的责任响应时间与处理时限，如果事件涉及第三方处理，则处置时限为判断事件原因并通知第三方的时间，并有责任协助第三方快速处置。

2、服务考核计分表

注：考核计分为扣分项当服务不满足要求时进行扣分，扣至该项分数为零时止。

四、售后服务要求

供应商应提供售后服务方案，方案内容须包含以下内容：

（1）提供7×24小时的技术咨询服务。

（2）敏感时期、重大节假日提供技术人员值守服务。

（3）提供7×24小时的应急响应服务。对重大故障提供7×24小时的现场支援，一般故障提供5×8小时的现场支援。

五、项目保密要求

中标人对了解到的区电子政务外网相关建设情况，及服务期内监控到的安全事件状况均有保密义务，不得外泄给第三方，并签订相关保密协议。服务团队人员进场前与**市**区****服务局）签署保密协议，工作中的所有流程与操作须严格按照保密规定、制度进行。必须确保数据安全。(供应商需提供保密承诺函，承诺函格式自拟并加盖公章）。

1、验收主体：**市**区****服务局）

2、组织方式：本项目由**市**区****服务局）自行组织验收。

3、验收时间： 每年验收一次，中标人于服务期满后提出书面验收申请之日起7日内组织验收。

4、验收方式：一次性验收。

资料审查：对中标人提交的《安全测评报告》、《安全加固报告》、《月度监测报告》、《季度巡检报告》、《应急响应报告》、《安全通告》等资料进行详细审查。

现场检查：实地查看信息系统运行状态、人员配备等情况。

5、验收程序：

（1）启动验收程序：项目内容全部完成实施，先中标单位进行自查后，中标人提出验收申请之日起7日内向采购单位提出申请办理验收。因合同变更、市场因素、技术因素、配合因素等客观原因造成无法及时启动履约验收工作的，应当作出书面情况说明报至采购人。

（2****小组成员：由采购人组织本单位监督部门、财务部门、需求部门相关人员、专业技术人员等组成不少于3人（或****小组。

（3）确认验收方案（出具确认书签字）：****政府采购合同中的履约验收方案进行确认。

（4）实施项目验收：验收小组听取中标人的项目整体监测运维情况总结汇报，仔细核验所有验收资料，出具验收意见，做好验收记录，确保项目验收意见客观真实反映合同履行情况，对验收结果负责。

（5）出具项目验收书：验收小组根据个人验收意见出具项目总体验收书，经服务单位和采购人确认后验收完成。

（6）验收资料归档：项目验收完成后，采****小组成员名单、验收过程资料、验收原始记录、验收结果等资料作为采购项目档案妥善保管。

（7）验收不合格的，验收小组需要出具书面整改意见，中标人整改后重新申请验收。

6、验收内容：

（1）服务成果的完整性：《安全测评报告》、《安全加固报告》、《月度监测报告》、《季度巡检报告》、《应急响应报告》、《安全通告》。

（2）人员配置：安全运维团队的人员数量、资质、专业技能是否符合合同要求，人员变动是否按规定报备。

（3）服务响应及时性：统计运维期间故障响应时间、解决时间是否满足服务要求。

7、在服务期期间，服务每满一年若中标人上一年度服务评价得分达到90分以上，且双方对服务范围、服务内容、服务要求无异议可续签下一年合同；90分以下甲方有权终止合同，采购人终止合同时，中标人无条件服从。

当服务商连续两个月的月度评价得分低于90分或者满意度评价连续两个月低于90%时，**市**区****服务局）有权决定终止运维服务商的运维服务合同。

8、验收标准：根据考核标准进行验收。

9、与履约验收挂钩的违约责任与资金支付条件：采购人对中标人的服务工作进行月度评价、年度评价，除不可抗力因素外，以上评价结果将与年度服务费用的支付直接挂钩。

①月度考核分计算方法：月度评价得分=评价周期内当月评价实际得分；

②年度考核计算方法年度考核评价总分=(各月月度考核评价得分总和/月数)；

③年度评价分达95分及以上，视为考核达标。年度评价分≥95分时，年度服务费用=合同约定当年度服务费用；年度评价分＜95分时，按照实际得分计算；

④年度服务费用=年度服务费用×50%×(年度评价分/95)。

9、争议处理：（1）验收结果争议：中标人对项目总体验收意见及评价存在异议，拒不认可或拒不盖章的，按照政府采购合同约定的方式解决；合同未作约定的，按照《中华人民**国民法典》等相关规定处理；（2）合同履约争议：履约验收过程有关合同履行问题、违约责任认定和争议解决如本合同无约定的，则按《中华人民**国民法典》处理。

10、涉及到验收费用的支付：由中标人承担项目验收过程中的所有费用。

11、采购人的权利和义务：

（1）采购人对服务内容进行验收；（2）中标人的服务未达到采购人要求的，采购人有权提出整改要求；（3）采购人对中标人提出的履约验收质疑进行答复；（4）采购人按照合同约定的付款进度定期结算并支付款项；（5）违约金及考核扣分费用采购人有权从应付的服务费中直接扣除。

12、中标人的权利和义务：

（1）严格按照投标响应文件履行合同义务，服务质量必须符合验收标准；

（2）按照采购人提出的书面整改意见及时整改，整改后申请重新验收；

（3）中标人对验收结果存在异议，应以书面形式向采购人提出质疑。

1、服务期限及地点

（1）服务期限：本项目服务期限为三年，合同一年一签。

（2）服务地点：采购人指定地点。

2、支付方式：**市**区****服务局）（通过国库集中支付）

3、付款方式：

按年度支付，合同签订之日起计入服务期，签订合同30工作日内采购方支付50%年度服务合同款，服务满一年后，完成年度全部工作任务（无质量、售后及其他经济法律纠纷等问题），按照服务费计算办法第④条支付余款，中标人应在采购人付款前提供等额有效的发票，否则采购人有权延迟付款并不承担违约责任。

4、项目采用费用包干方式，供应商应根据项目要求和现场情况，详细列明项目所需服务的所有人工、管理、财务等所有费用，如一旦中标，在项目实施中出现任何遗漏，均由中标人免费提供，采购人不再支付任何费用。

5、本项目对应的中小企业划分标准所属行业：软件和信息技术服务业。

采购需求仅供参考，具体以招标文件内容为准。