关于网站安全升级服务的询价调研公告

技术要求

一、总体要求：

1.保障我院官网在安全升级服务合同生效后一年内，发生安全问题的概率不超过1%。计算公式为：（设备发生故障次数÷设备总数÷运维天数）×100%。

备注：“安全问题”定义范围包括但不限于以下情形：

（1）网站无法正常访问、响应异常或服务中断；

（2）被植入木马、后门、恶意代码、暗链、垃圾广告等非法内容；

（3）遭受DDoS、CC攻击、暴力破解、SQL注入、XSS跨站等网络攻击并造成实际影响；

（4）服务器、网络设备、安全设备（如防火墙、WAF等）发生非计划性宕机、异常掉线、配置失效或性能严重下降；

（5）其他影响官网正常运行与安全状态的事件。

“核心设备”范围包括但不限于：官网Web服务器、数据库服务器、应用服务器、负载均衡、WAF、防火墙、IPS/IDS、核心交换机。

2.保障我院官网在网站安全升级服务合同生效后一年内，设备故障平均恢复时间不超过180分钟（涉及到敏感问题的恢复时间不超过10分钟）。

备注：“敏感问题”定义范围包括但不限于以下情形：

（1）患者隐私数据、就诊信息、个人信息泄露、被窃取、被篡改；

（2）官网页面被篡改、发布虚假信息、反动言论、违法内容；

（3）核心业务系统、挂号/ 缴费 / 查询等关键服务异常；

（4）被监管部门通报、媒体曝光、舆情预警的安全事件；

（5）其他可能造成重大负面影响或合规风险的安全故障。

3.保障我院官网在网站安全升级服务生效后一年内，不产生与安全相关的安全事故。

4.保障我院官网在网站安全升级服务合同生效后一年内，能通过网络安全等级保护三级测评。

5.本次项目服务期间，供应商如须在采购人现有网站系统的基础上进行网站整改服务。供应商应确保其提供的安全服务及产品与现有网站系统完全兼容，保证网站数据的安全性和完整性、故障处理的效率性和便利性、维护工作的合法性。如因整改服务需要****公司（******公司）提供技术协助的，由中标供应商负责与原厂进行技术协调，并承担由此产生的一切费用和责任。供应商须在投标文件中就此项协调能力及费用承担出具书面承诺，日期需覆盖本项目服务期限范围并加盖公章，否则视为无效响应。供应商须对现有网站运行维护的网站管理系统进行三级等保测评合规的整改服务，对网站管理系统及服务器、数据库等所有漏洞（高、中、低）进行修复，包括且不限各种文件制度的编写等。标书代写

6.协助采购人完成日常安全问题处理，国家政治活动、重大节假日、省市级活动及其它特殊时期关键节点期间提供安全服务及提供上级部门要求的文件报告。

7.协助采购人完成漏洞和程序修复。

8.按照等保要求对网站的服务器进行安全加固服务，至少包括安全加固、漏洞修复处理、按照三级等保要求进行合规整改。

二、为保障通过三级等保测评，设备需满足以下要求（需以满足三级等保测评通过为标准，增设包括但不限于以下内容的安全服务）：

****中心：

1.资产清点：能定期获取并记录主机上的Web站点、Web容器、Web应用、Web应用框架、账号、计划任务、端口、数据库、进程、第三方组件、环境变量、Jar包、系统安装包、软件应用、内核模块等信息。

2.主动监控:支持对主机开启各类监控包括登录监控、完整性监控、操作审计、进程监控、**监控、性能监控、会话监控，可发现服务器问题。

3.入侵检测：支持展示及处理各类入侵事件及具有高度威胁的事件，支持识别并处置的入侵威胁事件包括：病毒木马、网页后门、反弹shell、异常账号、日志删除、异常登录、异常进程、系统命令校验等。对接国内外主流病毒查杀引擎，采用不少于4个的多引擎查杀，可检测出恶意进程及软件，并提供隔离、信任等功能。

4.安全体检：支持主动发起主机深度检测，检测的项目包括：系统漏洞、弱口令、高危账号、配置缺陷、病毒木马、网页后门、反弹shell、异常账号、日志删除、异常进程、系统命令校验等。

5.安全基线：支持对服务器操作系统（Windows和Linux）配置和web容器配置的基线内容进行检查，支持设置合规基线检测的基线模板，设置模板基础信息、规则信息，支持自定义基线检测。

6.病毒防护和主动防护功能：支持暴力破解防护、扫描防护、病毒防护、IP黑白名单、端口安全防护、访问控制、进程行为控制、反弹shell监控、远程登录防护、本地提权防护。

（二）Web应用防火墙：

1.支持云平台+安全插件的管理架构，支持公有云、私有**混合云及传统环境等场景，并支持多场景的统一实施和管理；

2.部署模式:支持反向代理防护模式和主机防护模式；

3.网站漏洞防护:支持HTTP检测，持文件上传防护，通过自定义禁止上传的文件类型，对上传至web服务器的信息进行检查;

4.文件防护:支持目录漏洞防护，支持禁止浏览畸形文件，支持短文件名防护;

5.Webshell防护:支持网页后门（webshell）查杀，分为静态查杀引擎和动态查杀引擎；

6.**防护:支持**防盗链防护，支持特定**防护，通过对某些特定**的进行防护，不允许被下载或被盗用。保护模式有**路径保护 和 **类型保护。

7.内容防护模块:支持网站后台防护，支持响应内容防护;

8.支持CC攻击防护：支持通过主动防御系统防御CC攻击。

9.支持黑白名单管理：支持通过设置IP地址为黑名单地址或者白名单地址，调整指定IP/IP段对网站的访问权限。支持的设置有白名单、黑名单、封禁区域、爬虫白名单。

10.虚拟补丁：支持在无需打补丁的情况下，通过其他方式进行非法攻击拦截，完成漏洞防护。

11.攻击分析：支持对攻击事件源和攻击源事件的分析；支持从多个维度挖掘攻击者IP的地理信息、活跃度、攻击手法特征、攻击次数、攻击服务器范围等并进行画像分析和威胁程度排名，提供攻击IP风险分布图、攻击IP地理分布图、最近30天攻击IP列表。

（三）SSL证书（OV通配符）

1.支持网站安全合规认证：提高搜索引擎排名，防止流量劫持，防止“不安全网站”警告提示。

（四）日志审计

1.支持威胁情报管理，支持威胁情报本地手工导入及在线联查，至少支持IP、域名、URL。

2.支持通过接口对URL、IP、未知文件信息排查威胁情报。

3.支持内置漏洞库及安全规则库。

4.支持针对日志或事件类型关联规则配置：至少支持事件数告警与字段统计告警。

5.必须有入侵防护日志、认证日志、病毒日志、Web安全日志、威胁日志、WAF日志、数据库审计日志、应用管理日志。

6.支持对应用安全审计日志进行持续采集，要求具有高可靠性、低时延行、软硬件结合冗余的方式。

7.支持对日志数据、系统数据定时备份，支持对数据进行快速回复。

8.支持对攻击进行自动化分析与交互示分析，可通过分析引擎对告警事件、问题资产进行实时分析。也可通过搜索、查询等方式进行高级分析。

（五）堡垒机

1.支持集中管理资产权限，全程监控操作行为，运维场景录像还原，支持身份鉴别、权限管控、风险阻断、操作审计。

2.支持通过运维权限细粒度管控、风险命令实时阻断、密码无感知托管、操作行为录播审计等，解决资产管理、权限划分以及操作追溯等问题。

3.支持权限细粒度划分，防止越权行为导致的敏感数据泄漏事件。

4.支持高危风险命令实时阻断。

（六）人员要求

供应商为本项目至少配备2名服务人员，若供应商服务人员变更，需提前 30 天告知采购人，供应商服务人员需完成工作交接并胜任工作，经采购人同意后方可完成服务人员变更（提供人员清单）。

以上技术要求为实质性要求

服务要求

1.付款方式：

（1）合同签订且供应商完成本合同项下全部安全产品的部署、配置，并提交截图等佐证材料，采购人在收到供应商开具的合同总金额50%的真实有效的增值税发票及凭证资料后15个工作日内支付。

（2）供应商应确保采购人官方网站通过网络安全等级保护三****机关备案证明。双方依据本合同约定的违约责任条款对合同期内发生的违约事项进行结算，共同书面确认最终应付尾款金额。供应商根据最终确认的尾款金额向采购人开具真实有效的增值税发票，并提交备案证明复印件。采购人在收到上述完整凭证资料后15个工作日内支付尾款。

2.售后要求：（**质保期、产品升级、备品备件等）

根据国家最新文件或网络安全问题通报，自收到采购人通知起，2小时内响应，4小时内完成处理网络安全问题，24小时内更新防护规则。

3.项目交付的时间和地点：

项目服务期限和交付地点：服务期自合同签订之日起一年；在合同签订后7日之内，完成网站网络安全三级等保测评整改及安全加固服务。交付地点：****天府院区。

4.验收的标准:

按采购人采购公告的服务要求和技术指标、供应商的响应文件及承诺与本项目合同约定标准进行验收；双方如对质量要求和技术指标的约定标准有相互抵触或异议的事项，由采购人在采购公告与响应文件中按质量要求和技术指标比较优胜的原则确定该项目的约定标准进行验收。标书代写

5.本项目是否收取履约保证金及收取金额、退还规则：

否

6.违约责任：

（1）采购人、供应商双方必须遵守本项目合同并执行合同中的各项规定，保证本项目合同的正常履行，如因服务要求不达标造成服务不达标的，按照违约条款执行。

（2）如因供应商工作人员在履行职务过程中的的疏忽、失职、过错等故意或者过失原因给采购人造成损失或侵害，包括但不限于采购人本身的财产损失、由此而导致的采购人对任何第三方的法律责任等，供应商对此均应承担全部的赔偿责任。

（3）若供应商开具的发票为虚假发票，或提供由他人开具的与实际经营业务不符的发票。因此引起发票无法认证、认证不符或其他任何因发票瑕疵导致发票作废等情形。由供应商承担相关责任。

（4）若供应商未按合同约定提供服务或服务内容不符合合同要求，每发生一次，服务期限自动顺延7天；同时，因供应商原因导致服务不达标或处置延误的，每延误一天，应按合同总金额的5‰向采购人支付违约金，违约金不足以弥补采购人损失的，供应商应继续承担赔偿责任。

（5）问题处理未能在2小时内响应，每超过1小时，扣除合同总金额的1%。问题未能在4小时完成处置的，每超过1小时，扣除合同总金额的1%。（超过处理时限，不足1小时的按1小时计算）

（6）若我院官网在安全升级服务生效后一年内，每发生一次安全问题扣5000元。

（7）若我院官网在安全升级服务生效后一年内，设备故障平均恢复时间超过180分钟（涉及到敏感问题的恢复时间超过10分钟），每超过60分钟（敏感问题10分钟），扣5000元。（超过处理时限，不足60分钟的按60分钟计算，敏感问题不足10分钟的按照10分钟计算。）

（8）若我院官网在安全升级服务生效后一年内，产生与维保服务项相关的重**全事故发生（重大事故指网站被篡改、数据发生泄露、网站因安全问题影响正常运行等情况，每发生一次扣10000元。）

（9）未能协助采购人完成日常安全问题处理，国家政治活动、重大节假日、省市级活动及其它特殊时期关键节点期间提供安全服务及未能提供相关文件报告的，每次扣5000元。

（10）因供应商内部问题导致采购人受到互联网领域（包括抖音、小红书、今日头条、微信公众号、快手、微博、问政**等）负面影响，应向采购人承担5000元/条的经济赔偿，并且供应商应在2小时内控制负面影响，且采购人有权解除合同，并追究供应商相关责任。
（11）供应商在参与本项目采购过程中，因自身围标、串标或提供虚假材料（承诺）、恶意竞标（中标后无法实质性响应采购要求等）谋取中标/成交/中选等行为被质疑成立、投诉成立或被相关上级部门通报处罚的，采购人有权解除合同，并追究供应商相关责任。

7.其它：

报价均用人民币表示，所报价格是包含交货或提供服务的验收价格，人工、运输、安装、税金和保险等相关费用以及采购要求的其他费用均应包含在报价中。采购人不再支付本项目报价外的费用。

备注：上述所以商务服务要求均为实质性要求。