“科特派云平台信息系统安全服务”项目采购询价公告

我单位现对科特派云平台信息系统安全服务项目进行询价，欢迎具备条件的国内供应商参加询价。

一、采购项目名称及内容

1、项目名称：科特派云平台信息系统安全服务

2、项目单位：****

3、资金来源：科特派服务云平台

4、项目预算：9万元

5、项目内容：

为进一步加强我单位网络和信息系统整体安全，****政府有关网络和重要信息系统安全的有关要求，引入先进的安全技术手段优化代码结构，实现网络、网站和信息系统安全，提高监控能力，提高应急处置水平，保障信息系统的安全性和可靠性，落实我单位的网络信息系统安全工作，包括定期漏洞扫描、定期巡检、常态性系统安全监控等工作。

二、项目具体内容

本项目主要工作内容应当包括如下内容：

1、安全服务范围

托管在**省政务外网云平台的系统：**科技特派员服务云平台。

2、服务期限

服务期限为自合同签订之日起一年。

3、服务内容

4、服务要求

（1）云应用安全检测服务

1) 云应用安全漏洞扫描服务

为目标系统提供全方位的安全漏洞及安全隐患检查，从攻击者视角审查目标系统的脆弱性状况，包括网络漏洞、应用漏洞。

通过使用自动化安全漏洞挖掘工具和在线检测平台，以基于互联网远程检测的方式，来测试和识别网站当前的安全漏洞和存在的安全脆弱性，全面了解和掌控网站的安全状况。

投标人采用的漏洞扫描服务工具可以使用漏洞扫描与漏洞处置模块进行漏洞管理，通过内置引擎漏洞规则库能够进行web扫描、弱口令扫描、POC扫描和版本漏洞扫描等，及时发现漏洞并进行漏洞处置，能够对漏洞进行邮件、微信等推送通告，也可人工新增漏洞，扫描后可生成漏洞报告，能够通过文字、图等直观展示漏洞详情。

2) 云应用安全漏洞验证服务

对已经发现的安全问题进行人工验证，以判断网站当前的漏洞是否真实有利用，剔除误报干扰。并提供专业的安全加固措施指导建议，帮助解决当前网站存在的安全问题。

3) 云应用漏洞跟踪服务

**全运维应参 考ITIL管理架构，构**全事故管理、安全问题管理、配置管理、变更管理、云应用上线管理等管理流程，并且建立资产、脆弱性、威胁为主题的风险管理和漏洞管理体系。****服务队伍，构建**全运维体系，针对漏洞的产生、通告、修复、复查整个生命周期进行跟踪管理服务；并能通过在线服务云平台对漏洞进行实时跟踪，实现从漏洞排查治理到漏洞消除的“闭环”管理流程。

（2）云主机入侵清查服务

云主机是应用系统的依托，如果应用系统存在漏洞，黑客最终能够进一步获取服务器操作系统以及数据库系统的操作权限，因此，进一步对云主机的入侵痕迹进行深入检查，是应用系统安全运维不可忽视的一部分。云主机入侵清查服务包含：

1) 网页后门查杀：

针对网站源代码进行Webshell查杀，深入检查包括上传图片、文本、脚本以及其他可疑的网站后门程序。

2) 系统木马查杀：

网站被入侵潜伏后，通常存在隐藏比较深的系统后门（Rootkit），重点发现绕过杀毒软件的系统后门。

3) 入侵痕迹检查：

根据系统层日志、安全日志、应用层日志以及其他特征发现网站入侵痕迹，避免黑客使用隐藏账户等躲避检查的安全隐患。

投标人采用的主机入侵清查服务工具能够监控网页木马(webshell)，须提供“模拟黑客利用漏洞入侵应用系统，进行植入网页木马(webshell)等入侵行为；主机安全监控系统应能够发现网页木马并生成相关的告警，并能够查看告警信息和对应的敏感文件内容”过程的功能截图。

（3）云主机安全评估服务

1) 云主机系统漏洞扫描服务

针对云主机系统进行漏洞扫描、端口扫描、弱口令扫描等，覆盖系统的补丁、服务的开放性及安全研究机构发现的系统问题等，发现系统本身的各种问题。

2) 云主机系统配置核查服务

针对云主机系统进行配置核查，覆盖系统管理方面和安全加强方面的问题，用于识别由于系统管理员本身的管理不善而带来的安全性问题。

投标人采用的主机安全服务工具能够提供基线检查和管理功能，对常见的系统共享配置、帐号等默认策略进行检测和管理，而且能够自主添加和删除新的策略，并能够对检查结果准备进行分类统计。须提供服务工具功能截图证明。

3) 云主机中间件安全评估服务

针对Apache/IIS/Tomcat/Weblogic等Web应用服务器（中间件），从协议安全、交易完整性、数据完整性等方面进行识别和评估，评估脆弱性和风险。

4) 数据库系统安全评估服务

结合工具检测和人工安全审查方式来挖掘数据库系统的脆弱性和安全性问题，主要评估系统安全漏洞、安全配置不正确带来的安全威胁以及由于系统账号、权限等配置不严谨而产生的安全风险。帮助用户及早发现数据库系统存在的风险，避免造成敏感信息泄漏的后果。

（4） 云主机安全加固服务

1) 云主机系统配置加固服务

通过对云主机进行检查和扫描，掌控服务器当前存在的安全问题。

通过对系统层漏洞检测结果的分析，对在检测中发现的系统安全问题进行安全加固，提高系统的整体安全性能。

对云主机进行清理、加固和配置，确保服务器无高风险漏洞且符合等级保护的基本要求。

2) 云主机中间件配置加固建议

针对Apache/IIS/Tomcat/Weblogic等Web应用服务器（中间件），从协议安全、交易完整性、数据完整性等方面进行识别，并提供配置加固与优化建议。

3) 数据库安全配置加固建议

提供数据库安全加固建议，包括最大程度降低数据库系统（SQL Server，Oracle等）本身的漏洞风险、纠正数据库系统使用中构**全威胁的错误策略、加强数据库系统账号、密钥、权限等带有安全风险的配置，从整体上提升数据库系统的安全性。

（5）安全咨询与应急响应服务

1) 远程安全咨询服务

故障时能立即以电话咨询或远程维护方式与承担服务单位联系，服务提供商应立即给予技术协助，提供7 24小时服务支持。

2) 现场应急响应服务

当单位网络和信息系统遇到黑客攻击或网页篡改等恶性事件，并且远程支持无法解决时，要求2小时内到达现场，实施最有效的紧急救援及恢复补救方案。

（6）安全监控服务

1年365天通过专业的网站安全监控平台对网站进行以下服务：

a. 网站可用性监控服务：全年每隔5分钟一次对网站首页进行轮询探测，网站访问不到则通过邮件、短信等方式直接提醒到安全服务的工程师，确认安全事件后，进行人工电话告警，确保网站的可用性、安全性实时掌控。

b. 域名劫持监控服务：每隔5分钟一次对网站首页进行域名劫持探测，一旦发现域名被劫持则通过邮件、短信等方式直接提醒到安全服务的工程师，确认安全事件后，进行人工电话告警。

c. 网页挂马监控服务：每周一次采用远程监控方式对网站页面进行网页挂马分析，一旦识别到网页挂马行为，则进行邮件或短信预警。

d. 网站暗链监控服务：每周一次采用远程监控方式对网站页面进行暗链分析，一旦识别到网页存在暗链行为，则进行邮件或短信预警。

e. 敏感内容监控服务：每周一次对关键网页的敏感内容进行监控，识别网站存在政治、低俗等敏感内容情况，并进行邮件或短信预警。

f. 防篡改监控服务：每天不少于12次对网站首页进行监控，识别网站首页被篡改内容情况，并进行人工、邮件或短信预警。

g. 安全漏洞扫描服务：每季度一次针对关键网页进行OWASP Top10漏洞进行巡检，一旦发现高危漏洞，则进行邮件或短信预警。

h. 季度安全监控报告：每季度汇总安全监控情况，并提交详细监控报告。

（7）安全渗透测试服务

模拟黑客攻击测试网站，通过安全专家测试发现平台工具无法检测到的漏洞与威胁。

1）配置管理；

2）身份认证；

3）会话管理；

4）授权测试；

5）上传下载；

6）信息泄漏；

7）数据存储；

8）OWASP 10大漏洞；

（8）软件代码走查服务

定期对目标系统进行代码走查服务，采用工具与人工相结合的方式从软件代码层面发现软件安全问题，能够极大程度地确保目标系统不发生被黑客入侵或数据库泄漏事件的发生；投标人采用的服务工具能够对web源代码进行扫描，检查代码中的网页木马，网页挂马以及网页暗链。须提供服务工具功能截图证明。

（9） 安全检查专题服务

1)安全检查协助

在上级监管部门安全检查期间，应按要求进行专门的全面安全检查协助服务和保障协助。

2）管理制度辅助建设

在上级监管部门安全检查期间，协助制定信息安全管理制度。

（10） 重大节假日保障服务

在重大事件或活动期间，网站有被攻击的风险，应派技术人员提供24小时远程保障服务

（11）安全通告服务

提供最新的安全动态、技术和安全信息，包括实时安全漏洞通知、定期安全通告汇总和安全知识库更新等。通告内容包括但不限于以下内容：

国内外最新重大漏洞、病毒安全通告；

国家安全政策及法律法规；

同行业安全威胁事件通告；

国内外重**全事件，新技术发展动态通告；

重**全漏洞爆发时需结合 资产情况，提出相应修复建议。

提交成果：不定期提交《安全通告》

（12）应急演练服务

1）网络与信息安全应急预案

定制2个预案场景的《安全应急预案》；

2）网络与信息安全应急演练

针对1个预案场景进行应急演练，并提交《安全应急演练报告》。

三、相关要求

1、有意向的供应商，请按本次询价的要求向我单位提交报价单及相关服务承诺等。报价应包含完成本项目所需的税费、运输、装卸、安装、调试、检验、质保期内的售后服务等全部费用，成交供应商不得向采购方要求超出本次报价以外的其他任何费用。

2、供应商需具备省级以上网络与****中心支撑单位证书。

3、服务人员要求：

（1）投标人拟投入本项目的项目经理同时具备①IT服务项目经理认证②国家注册信息安全专业人员（CISP）证书③网络安全应急管理能力证书④注册渗透测试工程师（CISP-PTE)。

（2）投标人拟投入本项目的安全服务团队人员须具备以下任一证书：①信息安全保障人员认证（CISAW）②国家注册信息安全专业人员（CISP）证书③国家信息安全水平考试（NISP）。

投标人中标后须在项目实施前提供服务人员相应证书复印件及该人员在投标人所在单位缴纳的社保证明复印件或劳动合同。若无法满足要求，则采购单位有权取消中选资格。同时投标人将被视为恶意虚假应标，将承担相应法律责任。

4、我单位将根据符合采购需求、质量和服务相等且报价最低的原则确定成交供应商。

5、报价文件内容：

（1）报价文件（须加盖公章）；

（2）公司营业执照或副本复印件（须加盖公章）;

（3）支撑单位证书复印件（须加盖公章））。

6、报价文件请于2024 年10 月23日 18 时前以快件投递或直接送达方式送达**省**市**区华林路188****学院南门数字所办公楼。

7、合同签订：成交单位接到成交通知后三日内，到我单位签订合同。询价单、成交供应商报价单和其他更优承诺等为签订合同的依据。按承诺时间完成，如有违约行为，供应商将承担法律责任。

8、具体违约条款及其它未尽事宜，将在双方签订合同时约定。

联 系 人：高女士

联系电话：137****4738

****

2024年 10 月17日