加入日期: | 2020.01.19 |
---|---|
地 区: | 福建省 |
内 容: | 为确保**省特种设备检验研究院网络与信息系统安全、可靠地运行,并最大限度地确保信息的机密性、完整性、可用性、可控性,避免各种潜在的威胁。鉴于我院****年度安全运维技术服务即将到期,现通过公开招标外包我院****年*月至****年*月网络与信息系统各项安全运维技术服务,欢迎符合相应资格条件的供应商密 |
服务项目
|
服务内容
|
服务提供方式
|
|
安全预警
|
安全资讯
|
及时推送最新的信息安全相关资讯,如安全事件、安全技术、政策法规等,帮助用户及时掌握最新的信息安全态势,有效提升信息安全的意识和能力。
|
每周一次电子邮件***
|
*** |
当互联网爆发严重安全漏洞或重大安全事件时,及时通知用户并给出初步的风险排查和防控建议,最大程度减轻或避免用户受到安全漏洞或安全事件的影响。
|
重大漏洞/事件发生24小时内电话通知用户,并给出初步的防控建议。
|
|
应急响应
|
应急响应
|
根据用户需求,安排安全工程师上门响应,提供信息安全技术支撑,协助用户快速定位问题,减轻或消除事件影响,同时协助进行事件取证并提供后续的防控建议和措施。
|
工作时间1小时内响应,4小时内到达发生现场(市内)。
|
安全检测
|
网络安全检测
|
网络拓扑与设备清单。主要检查网络拓扑设计的合理性,是否符合相关规定要求以及设备清单等信息资料是否准确完整等。
|
每季度一次上门检测,全年4次,提供检测报告。此外,根据省院要求,派遣安全工程师协助前往省内各分院进行检测,全年2次,提供检测报告。
|
网络设备运行。主要检查交换机、路由器等网络设备是否运行良好,同时对网络设备的日志进行分析。
|
|||
安全产品运行。主要检查防火墙、入侵防御、数据库审计、堡垒机、负载均衡等产品的运行情况,确保上述产品正常运行,防护规则更新及时,防护策略有效配置,防火墙访问控制策略优化,堡垒机账号使用情况检查,对安全产品日志进行分析,并协助处置。
|
|||
主机安全检测
|
性能服务。主要检查主机运行的服务是否遵循最小化原则,关闭不必要的服务,降低业务风险。
|
||
补丁更新。主要检查操作系统补丁是否及时更新,是否存在安全漏洞等。
|
|||
防病毒系统。主要检查主机是否安装防病毒系统,病毒库是否为及时更新升级,是否定期查杀病毒等。
|
|||
授权管理和访问控制。主要检查主机是否制定详细的授权管理和访问控制策略,限制不必要权限。
|
|||
身份鉴别。主要检查主机是否合理配置口令的复杂度及锁定策略等,是否存在多余默认账号和弱口令,能否有效降低被暴力破解的可能性。
|
|||
漏洞扫描。通过专业工具扫描检查服务器主机、操作系统等是否存在安全漏洞和危险应用。
|
|||
个人终端检测
|
终端系统安全风险扫描。通过专业工具扫描个人终端是否存在安全漏洞以、危险应用以及不必要的服务。
|
||
终端弱口令风险扫描。主要检查个人终端是否存在操作系统弱口令账号和应用程序弱口令账号。
|
|||
终端恶意代码扫描。通过专业工具扫描个人终端是否存在恶意软件、恶意代码。
|
|||
终端系统配置核查。主要检查个人终端是否按照标准配置安全策略、是否开启系统自动更新、是否关闭默认共享等。
|
|||
Web安全检测
|
远程控制。
|
主要检查网站是否允许远程管理,如果允许,是否采用加密通道等。
|
每季度一次上门检测,全年4次,提供评估报告。
|
WEB防火墙
|
主要检查WEB应用防火墙是否良好运行无异常,查看日志,对可疑的事件进行排查。
|
||
防篡改
|
主要检查网页防篡改系统良好运行无异常,查看日志,对可疑的入侵事件进行排查。
|
||
恶意木马
|
主要检查网站的webshell,查看是否被上传恶意的网页木马。
|
||
恶意外链
|
主要检查网站是否存在恶意外链。
|
||
身份鉴别
|
主要检查数据库配置口令的复杂度及锁定策略是否合理,是否存在多余默认账号和弱口令等。
|
||
漏洞扫描
|
通过漏洞扫描的方式检查Web系统是否存在安全漏洞和危险应用,包括sql注入、xss注入、恶意文件上传、恶意应用、命令执行等。
|
||
系统安全检测
|
安全检测
|
检测包含不少于5个信息系统缺陷及风险,包括源代码危险函数使用、系统中身份认证安全、会话管理安全、上传下载、信息泄漏、数据验证等方面,评估系统在信息泄漏、数据破坏、身份仿冒等方面的安全风险。
|
每季度一次上门检测,全年4次,提供评估报告。
|
漏洞扫描
|
通过漏洞扫描的方式检查不少于5个指定的信息系统,是否存在安全漏洞和危险应用,包括sql注入、xss注入、恶意文件上传、命令执行等。
|
||
漏洞修复
|
对Linux系统扫描出的漏洞进行定期打补丁修复。
|
||
补丁升级
|
补丁升级
|
提供院内所有服务器共30台服务器的补丁升级
|
每季度一次,一年4次
|
安全培训
|
安全意识培训
|
结合近期的网络安全热点事件、安全漏洞、安全技术,讲解日常工作中需要注意的安全问题和应对方法,帮助学员理解信息安全基本概念,树立信息安全意识,掌握日常安全防范意识。
|
每半年一次
|
安全技能培训
|
讲解日常安全保障工作中使用的安全技术、安全工具等,帮助学员了解安全的安全攻击手段及原理,明确处理流程,并能够有一定的应急应对能力。
|
||
Oracle数据库维保
|
数据库优化
|
外部性能调整(系统级)、数据库调整(实例级)、应用层调优(sql级)。
|
每季度一次,一年4次
|
巡检服务
|
检查数据库及应用系统的配置健康情况、检查数据库及应用系统的性能健康情况、检查数据库及应用系统备份的完整性、检查数据库。
|
序号
|
评分界定
|
分值
|
||
1、技术因素(满分65分)
|
||||
1-1
|
根据投标人响应文件对招标文件要求中安全服务期限、安全服务范围、采购内容及要求的逐项响应承诺情况进行评分,完全满足招标文件要求的得33分,每负偏离1项扣2分,最低得0分。
|
33分
|
||
1-2
|
服务工具
|
投标人或所投安全服务商所采用的服务工具能够对web源代码进行扫描,检查代码中的网页木马,网页挂马以及网页暗链,并支持自定义规则。服务工具应为国产,具有投标人或所投安全服务商自主知识产权,具备定制化开发功能,提供《Web代码安全走查系统》的国家著作权证书复印件(原件备查)的得1分,同时提供著作权证书和功能截图证明的得2分,其它情况不得分,满分2分。
|
2分
|
|
投标人或所投安全服务商所采用的服务工具能够对网络空间资产进行探测,探测展示结果包含不限于:操作系统、Web容器、开发语言、安全防护、城市、年份、端口、协议等;并可以展示模糊查询对象的IP、地理位置、信息系统的应用开发语言、中间件及操作系统类型等;具有统计分析功能,可以统计站点、端口及IP数量,并具有省级地图展示功能;并提供截图。服务工具应为国产,具有投标人或所投安全服务商自主知识产权,具备定制化开发功能。提供《网络空间资产探测系统》的国家著作权证书复印件(原件备查)的得1分,同时提供著作权证书和功能截图证明的得2分,其它情况不得分,满分2分。
|
2分
|
|||
投标人或所投安全服务商所采用的服务工具能够实现主机配置变更监控服务,实现主机安全配置核查和变更状态监控。关键服务器的安全配置一旦发生变化,能实时监测配置变更情况进行告警,对于可能的安全入侵行为进行告警,并提供功能截图。服务工具应为国产,具有投标人或所投安全服务商自主知识产权,具备定制化开发功能,提供《云主机入侵风险感知系统》的国家著作权证书复印件(原件备查)的得1分,同时提供著作权证书和功能截图证明的得2分,其它情况不得分,满分2分。
|
2分
|
|||
投标人或所投安全服务商所采用的服务工具能够对信息系统进行等保综合管理,具有等保安全基线管理、安全管理制度设计、安全运维工作记录等功能,并提供截图。服务工具应为国产,具有投标人或所投安全服务商自主知识产权,具备定制化开发功能,提供《信息安全等级保护综合管理系统》的国家著作权证书复印件(原件备查)的得1分,同时提供著作权证书和功能截图证明的得2分,其它情况不得分,满分2分。
|
2分
|
|||
投标人或所投安全服务商在本次项目的业务审计服务中所采用的工具有采用分布式数据存储的修复技术,提供详细的技术实现方法说明,且该技术实现方法获得省级及以上政府权威机构网站发表,提供网站证明截图及网址,提供该技术的省级及以上政府权威机构认证的相关证明材料(原件备查)得3分,否则不得分
|
3分
|
|||
投标人或所投安全服务商在本次项目的业务审计服务中所采用的工具有采用在海量SQL语句归并技术,提供详细的技术实现方法说明,且该技术实现方法获得省级及以上政府权威机构网站发表,提供网站证明截图及网址,提供该技术的省级及以上政府权威机构认证的相关证明材料(原件备查)得3分,否则不得分
|
3分
|
|||
投标人或所投安全服务商在本次项目的业务审计服务中所采用的工具有采用在海量数据中发现异常技术,提供详细的技术实现方法说明,且该技术实现方法获得省级及以上政府权威机构网站发表,提供网站证明截图及网址,提供该技术的省级及以上政府权威机构认证的相关证明材料(原件备查)得3分,否则不得分
|
3分
|
|||
1-3
|
主机安全监控服务工具
|
根据投标人或所投安全服务商所采用的主机安全监控系统服务工具能够监控网页木马(webshell),提供截图;投标人的演示者通过模拟黑客利用漏洞入侵应用系统,进行植入网页木马(webshell)等入侵行为,主机安全监控系统应能够在1分钟内发现网页木马并生成相关的告警,并能够查看告警信息和对应的敏感文件内容。投标人提供功能截图并通过光盘/U盘提供虚拟机环境下的录屏演示(录屏演示时间为3至5分钟)。由评委进行横向比较评议并打分,优得3分,良的得2分,一般得1分,差的得0分。
|
3分
|
|
根据投标人或所投安全服务商所采用的主机安全监控系统服务工具对能够监控黑客入侵过程中修改系统账号、创建敏感文件、植入Rootkit后门等行为,投标人提供包括账号口令、权限控制、敏感文件、可疑后门等黑客入侵痕迹监测功能截图。投标人的演示者通过模拟黑客利用系统漏洞,向被监控的应用系统主机添加隐藏账号(例如:hack$),主机安全监控系统应能在1分钟内生成相关的告警,并能够查看告警信息和对应的黑客添加的系统账号名称。投标人提供功能截图并通过光盘/U盘提供虚拟机环境下的录屏演示(录屏演示时间为3至5分钟)。由评委进行横向比较评议并打分,优得3分,良的得2分,一般得1分,差的得0分。
|
3分
|
|||
根据投标人或所投安全服务商所采用的主机安全监控系统服务工具能够提供基线检查和管理功能,对常见的系统共享配置、帐号等默认策略进行检测和管理,而且能够自主添加和删除新的策略,并能够对检查结果准备进行分类统计。投标人的演示者通过模拟黑客利用系统漏洞,向被监控的应用系统主机更改主机系统安全审计策略(例如:审核帐号管理),主机安全监控系统应能在1分钟内生成相关的告警,并能够查看告警信息和对应的黑客更改的安全审计策略。提供功能截图并通过光盘/U盘提供虚拟机环境下的录屏演示(录屏演示时间为3至5分钟)。由评委进行横向比较评议并打分,优得3分,良的得2分,一般得1分,差的得0分。
|
3分
|
|||
根据投标人或所投安全服务商所采用的主机安全监控系统服务工具上能展示所有监控主机资产信息,包括:分组/分类、IP地址/MAC、主机代号、标题/备注、主机名、操作系统、修改/锁定/删除。而且能够在主机监控页面上能直观展现告警趋势、监控详情、系统配置监控、采集记录情况。提供功能截图并通过光盘/U盘提供虚拟机环境下的录屏演示(录屏演示时间为3至5分钟)。由评委进行横向比较评议并打分,优得3分,良的得2分,一般得1分,差的得0分。
|
3分
|
|||
1-4
|
细微偏差
|
根据招标文件技术因素评分部分的细微偏差情形的内容,认定投标人的投标文件不存在细微偏差的,得3分;认定有细微偏差的,每一项扣0.5分,扣完为止。
|
3分
|
|
2、商务因素(满分25分)
|
||||
2-1
公安部门和网安部门证书
|
投标人或所投安全服务商具备省级(或以上)公安部门网络安全事件应急处置安全服务(含试点)单位证书、省级(或以上)网络与信息安全信息通报中心支撑单位证书和省级(或以上)网络安全应急服务支撑单位证书,三证齐全的得2分,缺少其中一项不得分。需提供相关证明材料复印件,原件备查。
|
2分
|
||
2-2
安全服务证书
|
投标人或所投安全服务商获得国家信息安全测评中心颁发的信息安全服务资质证书(安全工程类二级及以上)和(风险评估二级及以上),并获得信息安全等级保护安全建设服务机构能力评估合格证书。三证齐全的得2分,缺少其中一项不得分。需提供相关证明材料复印件,原件备查。
|
2分
|
||
2-3
公司实力
|
投标人或所投安全服务商具有省级(或以上)相关部门认证的高新技术企业证书、软件技术研发中心证书和信息网络安全企业工程技术研究中心证书,三证齐全的得2分,缺少其中一项不得分。需提供相关证书复印件,原件备查。
|
2分
|
||
2-4
综合实力
|
投标人或所投安全服务商具有信息网络安全软件公共技术服务类平台,平台主要内容须包含但不限于以下方面:高性能支撑网络系统、软件安全性测试平台、信息安全服务与技术支撑中心等,平台建设时间(以政府文件印发时间为起始时间)不低于5年,平台建设立项资金不少于500万。提供省级及以上政府部门立项批复的等证明文件复印件的得3分,否则不得分,原件备查。
|
3分
|
||
2-5
项目经理及团队成员资格证书
|
投标人或所投安全服务商本地化安全服务机构(公司、分公司、子公司)拟投入本项目的项目经理及团队人员:
1、项目经理(要求采用AB角互备管理方式)
1)投入本项目的A角项目经理须具备较强的项目管理能力与信息安全集成能力,即具有项目管理协会认证的项目管理专业人士(PMP)资格认证和国家注册信息安全专业人员(CISP)证书、中国网络安全审查技术与认证中心(CCRC)认证的信息安全保障人员工程师CISAW(安全集成专业级)证书。同时具有电子政务类云计算基础设施(IAAS层)安全或云计算应用软件安全服务类项目经验。须提供PMP证书复印件、CISP证书复印件、CISAW证书复印件、安全服务项目合同及项目经验证明材料和近12个月社保缴纳证明,原件备查。材料齐全的得3分。提供PMP证书复印件、CISP证书复印件、CISAW证书复印件的得2分。提供安全服务项目合同及项目经验证明材料的得1分,未提供不得分,满分3分。
注:以上各人员应为投标人或所投安全服务商的在职人员,需提供相关证书复印件及其近12个月社保部门出具的社会保险缴纳证明材料,否则不得分。
|
3分
|
||
项目经理及团队成员资格证书
|
投标人或所投安全服务商本地化安全服务机构(公司、分公司、子公司)拟投入本项目的项目经理及团队人员:
投入本项目的B角项目经理应有具备较强的项目管理能力与系统运维能力,即具有项目管理协会认证的项目管理专业人士(PMP)资格认证,并获得国产Linux工程师认证证书,两证齐全的得2分。须提供PMP证书复印件、Linux认证证书复印件和近12个月社保缴纳证明,原件备查。未提供不得分,满分2分。
注:以上各人员应为投标人或所投安全服务商的在职人员,需提供相关证书复印件及其近12个月社保部门出具的社会保险缴纳证明材料,否则不得分。
|
2分
|
||
项目经理及团队成员资格证书
|
投标人或所投安全服务商本地化安全服务机构(公司、分公司、子公司)拟投入本项目的项目经理及团队人员:
具有1名Web应用认证安全专家(CWASP),具有CWASP L2(专家级)证书的得1分,证书能够在网站http://www.seczone.org/?p=58查询到,提供网页查询截图;提供相关证书复印件和近12个月社保缴纳证明。
注:以上各人员应为投标人或所投安全服务商的在职人员,需提供相关证书复印件及其近12个月社保部门出具的社会保险缴纳证明材料,否则不得分。
|
1分
|
||
项目经理及团队成员资格证书
|
投标人或所投安全服务商本地化安全服务机构(公司、分公司、子公司)拟投入本项目的项目经理及团队人员:
具有至少1名工程师有足够的系统维护能力和云安全维护能力和,具有Linux系统认证工程师RHCE证书、云安全知识认证C-CCSK证书,并获得国家信息安全测评中心认证的注册信息安全专业人员(CISP)证书,材料齐全的得2分,其它情况不得分,满分2分;提供相关证书复印件和近12个月社保缴纳证明。
注:以上各人员应为投标人或所投安全服务商的在职人员,需提供相关证书复印件及其近12个月社保部门出具的社会保险缴纳证明材料,否则不得分。
|
2分
|
||
项目经理及团队成员资格证书
|
投标人或所投安全服务商本地化安全服务机构(公司、分公司、子公司)拟投入本项目的项目经理及团队人员:
具有至少1名工程师具有较强的信息安全咨询服务能力,获得ISO/IEC27001内审员认证、ISO/IEC27001Foundation证书,并获得国家信息安全测评中心认证的注册信息安全专业人员(CISP)证书,材料齐全的得2分,其它情况不得分,满分2分。提供相关证书复印件和近12个月社保缴纳证明。
注:以上各人员应为投标人或所投安全服务商的在职人员,需提供相关证书复印件及其近12个月社保部门出具的社会保险缴纳证明材料,否则不得分。
|
2分
|
||
项目经理及团队成员资格证书
|
投标人或所投安全服务商本地化安全服务机构(公司、分公司、子公司)拟投入本项目的项目经理及团队人员:
具有至少1名工程师获得中国网络安全审查技术与认证中心(CCRC)认证的信息安全保障人员工程师CISAW(安全集成专业级)证书,并获得信息安全测评中心认证的注册信息安全专业人员(CISP)证书的,得1分。提供相关证书复印件和近12个月社保缴纳证明。
注:以上各人员应为投标人或所投安全服务商的在职人员,需提供相关证书复印件及其近12个月社保部门出具的社会保险缴纳证明材料,否则不得分。
|
1分
|
||
项目经理及团队成员资格证书
|
投标人或所投安全服务商本地化安全服务机构(公司、分公司、子公司)拟投入本项目的项目经理及团队人员:
具有至少1名工程师获得中国网络安全审查技术与认证中心(CCRC)认证的信息安全保障人员工程师CISAW(安全运维专业级)证书,并获得信息安全测评中心认证的注册信息安全专业人员(CISP)证书的,得1分。提供相关证书复印件和近12个月社保缴纳证明。
注:以上各人员应为投标人或所投安全服务商的在职人员,需提供相关证书复印件及其近12个月社保部门出具的社会保险缴纳证明材料,否则不得分。
|
1分
|
||
2-6
安全服务业绩
|
类似业绩、经验:
根据投标人或所投安全服务商自2017年1月1日至今(以成交通知书发布时间为准)具备大型国家保障会议(厦门金砖会晤、G20峰会、数字峰会、一带一路等)网络安全保障服务项目案例,提供成交公告、成交通知书、采购合同关键页及感谢信,提供完整材料的得2分,未完整提供上述证明材料的不得分,满分2分。
|
2分
|
||
2-7售后及应急服务能力
|
为保障本地售后服务与应急响应服务的质量和快速便捷性,评委会根据投标人所依托安全服务商在项目实施所在地(福州市行政区域内)提供售后服务的机构设置情况进行评分:在福州市行政区域内设有公司的得2分,在福州市行政区域内设有分公司或子公司作为售后服务机构的得1分;其余情况不得分(提供工商管理局出具的公司或分公司或子公司机构设置证明,同时提供福州市本地设立分公司或子公司签订房屋租赁合同复印件,否则本项得0分)。满分2分。
|
2分
|
||
3、价格因素(满分10分)
|
||||
3-1
|
磋商报价得分 =10×(最低有效报价÷最后磋商报价)
投标人若达到规定的价格扣除的条件的,按扣除后的评审价格进入价格因素评分。
|
10分
|
||
各有效投标人的综合得分=技术因素+商务因素+价格因素
|