香港中旅信息服务有限公司网络安全服务采购项目招标

 

 

序号	项目	服务内容	服务模式/要求	交付物
1	网络安全风险评估与差距分析	对集团总部及主要下属单位的IT资产进行安全风险评估，找出网络安全风险，同时对标行业主流企业，对相关风险提供可行的建议，进一步控制和降低风险，改善安全状况，为信息系统的风险管理提供依据。	至少提供2名以上安全咨询专家对集团及相关子公司进行深入调研	《风险评估报告》
2	网络安全管理提升	1. 制订工作管理办法通过对相关法律法规的全面系统研读，分析未来国内网络安全大环境，结合集团现有网络安全管理流程，编制网络安全工作管理办法，完善集团对下属企业的网络安全管控模式和管理要点，推进网络安全管理措施更好的落地，深入到各信息系统的安全管控环节，同时加强对下属公司的网络安全管理指导。		《中国旅游集团有限公司网络及网络安全工作管理方法》并协助集团安全管理员进行《办法》落地
		2. 建立考核与评估体系建立中国旅游集团网络安全工作考核及评估体系，考核及评估内容包括网络安全管理制度建设、终端及服务器管控、宣传教育及培训开展、网络安全技术防范、合规管理等方面，考核及评估内容需具备评分细则及分值标准，并完善配套考核及评估管理规定。		《网络安全考核评估及考核管理规定》，并协助集团进行第一年度的网络及网络安全考核。
		3. 调研现有集团的管理体系，建设满足等级保护要求或ISO27001要求，并符合中国旅游集团实际情况的、可落地的网络安全管理体系		《网络安全管理体系建设方案》
3	应急管理体系建设	协助建设网络安全事件管理及相应的组织，明确组织职责及管理流程、考核办法等内容，建立网络安全事件应急响应流程。		《应急响应制度》
4	网络安全培训	通过当前典型的安全事件导入，定期开展信息安全宣传活动，增强全体员工的安全意识、提升全员的网络及信息安全知识，宣传内容包括但不限于：网络及信息安全法律法规、员工安全意识、网络及信息安全制度等。选择有代表性的案例进行进行演练，对演练结果进行总结，通报。	每年度进行不少于两次的安全意识宣传课程，课程包含但不限于如下方式：电子安全漫画、对年度内出现的网络及信息安全事件发布安全预警电子公告并提供相应素材进行宣传、制订专业的调查问卷，进行钓鱼邮件等多种面向全员的安全意识评估。	《安全意识培训PPT》《安全意识演练计划》
5	联合大检查	根据网络安全联合检查要求，提供咨询服务，协助完成联合检查迎检材料准备工作，达到联合检查各项工作要求，收集材料并编写联合检查材料汇编。	至少提供一名安全人员全程配合协助完成联合大检查	《联合大检查协助材料》

序号	项目	服务内容	服务模式/要求	交付物
1	互联网资产发现	通过互联网安全大数据挖掘和调研的方式，对服务范围为集团总部所有网络和信息系统，二级公司及以下官网和对外公众平台进行梳理与暴露面筛查，主动精准探测深度发现暴露在互联网外的IT设备、端口以及应用服务，针对性的形成互联网IT资产画像，精准探测互联网暴露面	一年两次全局扫描发现暴露在互联网的集团资产	《互联网资产列表》
2	网站安全监测服务	针对网站可用性、DDOS攻击、网站挂马、网页篡改、黑词黑链、敏感词监测、钓鱼网站、网站安全漏洞等网站安全问题进行监测。	7*24小时工具监控、7*24小时人工监控及告警分析	《网站安全监测报告》
3	应急演练	模拟黑客攻击场景，进行安全事件演练，通过实战检验安全产品、安全策略、安全体系、人员能力和协同处置等多方面的防护效果。	至少一年组织一次应急演练	《应急演练报告》
4	应急响应	在发生确切的安全事件后，建立网络安全小组，对网络安全事件进行响应，依托大数据分析技术进行分析，尽量阻止和降低安全威胁事件带来的影响，尽快恢复系统的保密性、完整性和可用性	特别重大安全事故30分钟内响应，重大安全事故1小时内响应，一般事故2小时内响应	《应急响应报告》

序号	项目	服务内容	服务模式/要求	交付物
1	安全重保	针对如元旦、春节、315、电信日、两会、七一建党节、国庆等重大节假日时期对集团总部所有网络和信息系统，二级公司及以下官网和对外公众平台提供重要时期的安全保障服务，并进行安全保障工作的总结，提供安全防护整改建议	重保期间提供7*12小时人员值守	《安全重保报告》
2	渗透测试	针对指定的业务系统开展非破坏性的模拟黑客攻击测试，并协助进行修复，修复后进行复测，以确认漏洞是否被完全修复	要求通过自主技术手段对渗透测试的行为进行安全审计和高危行为预警，当发现可能产生侵害的操作行为时，可通过安全审计手段发现爆破攻击统计并可进行溯源，同时还须满足：可建立完整的攻击场景，反映目标主机受攻击的状况，实时监控攻击过程，可通过系统上交攻击成果，包括攻击域名、IP、系统描述、截屏图片、攻击手段等，以上自主技术手段需要提供截图或现场演示	《渗透测试报告》
3	红队评估	针对目标系统、人员、软件等对象同时执行的多混合、基于对抗性的模拟攻击，用尽可能接近真实环境攻击的方法来模拟黑客攻击，从而发现有可能被黑客利用的安全漏洞，从攻击的角度整体评估企业安全建设成果	一年至少提供一次全集团红队评估，并提供5人以上专家红队攻击人员，并具备红队攻击经验和有CISP-PTE证书	《红队评估报告》
4	漏洞扫描	使用业界常用工具，结合人工分析，检测主机操作系统、网络设备、安全设备等是否有已知的安全漏洞，是否有安装多余的服务，是否有非必要对外开放的端口，提供加固建议	要求对生产系统每年扫描一次、复检一次，关键系统每半年扫描一次、复检一次	《漏洞扫描报告》
5	数据库漏洞排查	使用安全工具，对数据库进行安全漏洞扫描，并结合各数据库的特性，分析得到数据库资产存在的安全隐患和漏洞，最后提供加固建议	要求对数据库每年扫描一次、复检一次，关键数据库每半年扫描一次、复检一次	《数据库漏洞排查报告》
6	态势感知和全流量威胁分析 (提供态势感知平台，深圳，香港各一套	对集团整体安全设备、网络设备的日志采集、存储和关联分析，日志存储不少于180天，同时需要对网络流量进行实时监控分析，利用采集到的安全大数据并采用专业攻防思路构建分析模型，为集团提供内部失陷主机、外部攻击、内部违规和内部风险等关键网络安全问题的周期性检测、发现和响应服务。提升主动应对安全威胁能力并满足等级保护和网络安全法相关规范的要求	自带态势感知分析工具，每周至少进行一次的全面的威胁分析工作，要求具有如下功能： 1、数据采集：支持不限于Syslog、SNMP Trap、Netflow、WMI、agent等采集方式；支持对网络设备、主机系统等安全日志、网络流量以及业务信息等多种数据源的采集。 2、关联分析：支持接入各种类型数据包括但不限于各种网络设备日志、安全设备日志、主机日志、流量日志、失陷类威胁情报数据、资产数据、漏洞数据其他日志等数据进行关联分析；支持对基于关联规则的CPU利用率、内存占用等计算资源的监控；支持关联分析规则引用规则，以发现深层、复杂威胁事件。（提供相关功能的界面截图或现场演示） 3、流量威胁检测:要求具有威胁情报系统，检测类型至少包含APT事件、僵尸网络、勒索软件、流氓推广、窃密木马、网络蠕虫、远控木马、黑市工具、其他恶意软件，并可自定义威胁情报等。（提供相关功能的界面截图或现场演示） 4、威胁情报：提供威胁情报库，类型包含：远控木马、APT事件、勒索软件、黑色工具、流氓软件、其他恶意软件、窃密木马、网络蠕虫、僵尸网络；支持威胁情报库的在线升级和手动升级。（提供相关功能的界面截图或现场演示）	《态势感知威胁分析报告》

序号	职称	服务内容	人员资质要求	人数
1	项目经理	1、 负责项目整体协调、沟通 2、 项目进度、质量管理	要求1名项目经理，至少具有5年以上网络安全工作经验，本科以上学历，具备CISSP、CISA、CISP、PMP资质证书。具有咨询、集成、实施项目的丰富经验和较强的沟通协调能力；具有预见和应对项目风险能力；具有主持或主要参加网络安全服务项目的经历，具有成功实施相关领域类似项目的实际经验。	1名
2	驻场安全运维工程师	1、 全年驻场服务 2、 每日安全日志监测,发现问题立即进行排查 3、 每月检查安全设备与系统版本更新等情况,及时更新补丁及策略更新 4、 系统上线前进行安全检查 5、 针对内网服务器定期进行漏洞扫描、定期基线核查,每季度一次 6、 依据安全监测结果进行服务器端的安全加固 7、 重要活动期间的服务值守 8、 日常发现问题及时记录处理,安全事件发现时及时响应处理,遇到无法处理事件,及时升级到二线安全专家	本科以上学历，要求3年及以上网络或网络安全运维工作经验，至少具备以下一个或以上证书：CISP、ITIL、CNVD原始漏洞证明，熟悉常见网络攻击和防护方法，掌握一门以上的脚本语言、熟悉linux shell等；具备较强的网络攻防和渗透测试能力熟悉安全运维相关工作，熟悉各类传统安全厂商的安全产品测试、部署、调配工作，熟练应对日常安全应急工作，熟悉虚拟化下的安全配置和安全防护技术。	1名
3	二线专家	1、 威胁分析与处置服务，每季度一次厂家原厂上门进行分析和处置，并汇报 2、 协助用户梳理安全管理制度,并协助进行修编 3、 安全培训服务实施 4、 应急演练、攻防演练实施 5、 渗透测试实施 6、负责配合项目经理完成各种咨询工作。	二线专家要求至少具有5年以上网络安全工作经验，本科以上学历，具备CISP-PTE注册渗透测试工程师资质、CNVD原始漏洞证明和在各大SRC的漏洞年度排名为前三相关认证证书，具有安全咨询、安全集成、安全实施交付、安全培训授课和技术指导项目的丰富经验和较强的沟通协调能力；具有网络安全顶层设计规划和应对项目风险的协调、处理能力。	多名二线专家远程和现场支持

 

分类	SLA指标	SLA要求	度量周期	计算公式	权重	考核标准	备注
系统可用性A	关键系统信息安全事件的次数 A1	关键系统信息安全事件的次数为‘0’	季度	实施方原因造成关键系统信息安全事件的次数	不适用	每出现一次扣5分
	非关键系统信息安全事件的次数A2	非关键系统信息安全事件的次数	季度	实施方原因造成非关键系统信息安全事件次数	不适用	每出现一次扣1分
质量与技术支持B	技术服务领域工作完成率B1	技术服务工作按时完成率≥95%	季度	按时完成的工作数目/工作总数x100%	30	24-30分：完成率≥95% 18-24分：80%≤完成率＜95% 3-18分：60%≤完成率＜80% 0分：完成率<60%
	培训交流领域工作质量B2	培训交流工作良好以上评价占比≥95%	季度	培训交流领域评价良好以上次数/培训交流次数x100%	20	16-20分：占比率≥95% 11-15分：80%≤占比率＜95% 1-10分：60%≤占比率＜80% 0分：占比率<60%
	安全测评领域工作完成率B3	安全测评工作，质量完成率≥95%	季度	在保障人员和系统安全以及项目质量的前期下及时完成的项目个数/项目总个数x100%	20	16-20分：完成率≥95% 11-15分：80%≤按时完成率＜95% 1-10分：60%≤按时完成率＜80% 0分：按时完成率<60%
	安全研究领域成果评价B4	安全研究工作良好以上评价占比≥90%	季度	安全研究工作良好以上评价成果数/总成果数x100%	20	16-20分：占比率≥90% 11-15分：70%≤占比率＜90% 1-10分：40%≤占比率＜70% 0分：占比率<40%
用户满意度C	用户满意度C1	投诉次数未超标	季度	有效投诉次数	10	10分：=0次 0分：>0次,1次扣2分

 

项目名称	子项目	服务内容	人天	投标价格	备注
中国旅游集团有限公司网络安全服务项目	网络安全体系梳理及建设	网络安全风险评估与差距分析
		网络安全管理提升
		应急管理体系建设
		网络安全培训
		联合大检查
		子项目总价
	互联网保障服务	互联网资产发现
		网站安全监测服务
		应急演练
		应急响应
		子项目总价
	核心重保服务	安全重保
		渗透测试
		红队评估
		漏洞扫描
		数据库漏洞排查
		全流量威胁分析服务
		子项目总价
	安全驻场服务	服务团队建设	1年服务
		子项目总价
	总投标价

 

附件四 资格审查资料

（一）营业执照

投标人须具有独立承担民事责任能力的在中华人民共和国境内或港澳地区注册的法人。须投标单位提供企业营业执照扫描件，若投标单位为港澳地区的法人须提供与营业执照类似的证明文件。

（二）2018年度财务报表或资信证明文件

投标人须提供2018年度的财务报表或基本户银行出具的近期资信证明（2018年1月1日之后成立的单位只须提供成立至今的财务报表或基本户银行出具的近期资信证明）；须投标单位提供2018年财务报表扫描件或资信证明文件扫描件。

（三）社保证明

须提供本次投标中的项目经理及现场驻场人员近半年（2019年5月-2019年11月）社保缴纳证明材料。

（四）资质文件

投标人应具备以下不少于二项的、有效的信息安全服务方面的认证或资质（须投标单位提供资质证书扫描件）：