重庆育才中学
官网安全加固及年度运营服务技术要求
一、项目名称
官网安全加固及运营服务
二、项目情况
重庆育才中学现门户系统于2018年进行了改版,并进行了各子站集约化整合,门户网站对于我们学校的发展宣传、介绍、服务、展示我校成果、集约各平台登录窗口等发挥了重要作用。随着信息技术及其应用范围的不断发展,信息安全问题也越来越复杂,对信息安全威胁的检测和防护已很难由单个安全设备来完成。随着云计算、大数据、微服务、移动网络等技术的发展及等保2.0扩大安全建设覆盖要求,推进各行业安全建设发展,等保2.0标准还强调将网络安全防护思维从被动防御的安全体系转变为全方位主动防御,并全面整体地考虑到事前、事中、事后的防护,做到事前能够预警异常事件,事中可以及时阻断攻击和违规行为,并且在各个环节做到全方位、多层次审计,以便出现问题后可快速溯源。本次项目需要在原系统基础上进行安全加固及提供年度运营服务。
三、资格条件
(一)一般资格要求
1.具有独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度;
3.具有履行合同所必须的设备和专业技术能力;
4.有依法缴纳税收和社会保障资金的良好记录;
5.参加政府采购活动近三年内,在经营活动中没有重大违法记录;
6.法律、行政法规规定的其他条件。
(二)特定资格条件
1.供应商要求重庆本地公司或重庆本地设有分公司(根据营业执照注册地)
2.有实施过相同系统项目案例(附合同)
四、技术要求及标准
(一)安全升级加固要求
1、在原系统架构上进行安全加固,升级过程中保障门户网站的正常运行。
2、门户平台实现电脑端和移动端访问数据统计(浏览量、访客数、IP数),可以分时间段查看,便于安全监察和运营分析。
3、熟悉现有门户网站系统框架及子站和开发技术及相关接口开发模式,确保系统正常安全运行。
4、确保门户网站系统集合的第三方系统各接口功能正常运行,保障信息数据获取和数据调用及互推无误。
5、后台实现文件扫描、文件权限检测、文件差异对比,用于将文件系统采用分离模式部署,防止被攻击,防止执行恶意上传目录程序。
6、升级后台用户角色权限限制分配,密码策略(8位以上数字+字母)严格禁止弱口令,后台登录密码使用md5加密,账号验证及数据库存储密码使用md5(md5密码+md5盐)。
7、后台扫描是否有挂码文件,是否存在缓冲区溢出漏洞及检测Web网站的上传功能是否存在上传漏洞。
8、登录后台超时设置,用户5分钟未操作自动退出,后台登录锁定,用户密码错误5次以上锁定1小时,1小时后自动解锁,超级管理员只可以在后台锁定用户中手动解锁。
9、系统可对门户检测Web网站是否存在XSS跨站脚本漏洞进行自我扫描检测,并根据检测结果进行漏洞修复及相应补丁软件更新。
10、根据我方要求实现子站分离布署,实现独立数据库、独立域名、独立管理后台。
(二)运行维护要求
1、服务器运行维护管理:服务商需要熟悉现有服务器系统部署情况和安全防护方式及运行制度。
2、负责维护服务器之间的访问关系图、搭载的中间件、数据库信息、以及服务器日志备份管理。熟悉服务器探针安装及配置,负责相关管理。熟悉服务器云质效安装配置,负责相关管理。负责服务器防火墙安全软件的管理和升级。
3、每月检测Web网站是否存在SQL注入漏洞;检测Web网站是否存在XSS跨站脚本漏洞;检测Web网站是否被黑客或恶意攻击者非法植入了程序;检测Web网站服务器和服务器软件是否存在缓冲区溢出漏洞;检测Web网站的上传功能是否存在上传漏洞;进行修补漏洞修复及相应补丁软件更新;进行垃圾代码清理;通过web日志查询是否有异常访问、登录,sql报错,注入攻击;
查询服务器日志和防火墙日志,检查是否有恶意请求,CC攻击,设置策略封锁恶意请求,CC攻击的ip地址,限制其访问;
通过系统监控查询资源使用率及负载详情,对耗资源软件进行优化或卸载;每月更改各帐户及密码保障安全。
4、对安全测评公司、安全服务机构、安全设备服务商或中心相关主管部门发布的安全预警通报、安全隐患和漏洞进行响应、排查和修复。
5、服务要求及响应
(1)电话咨询:供应商应当为采购人提供7*24小时技术援助电话,解答采购人在使用中遇到的问题,及时为采购人提出解决问题的建议。
(2)专人负责:供应商应当为采购人指定专门联络人和负责人,在质量保证期内定向为该项目进行跟踪服务,包括跟踪对采购人提供问题的解决情况以及后续应用情况,专门的负责人***
(3)现场响应:采购人遇到使用及技术问题,电话咨询不能解决的,供应商应在2小时内采取相应措施,提供上门服务,确保系统正常工作。
(4)技术服务:供应商协助采购人对系统进行维护,包括数据备份、数据清理、设备清障、运行调优、数据初始化等。
五、项目实施时间
项目安全加固5个工作日内完成,项目运营时间为两年。
六、其它要求
1、中标方在服务过程中自行与原服务商或第三方公司对接,在服务过程中需要第三方公司配合时,如需产生相关费用由中标方承担。
2、中标公司需要提供现场系统演示合格后签订合同。如果演示过程中对我们现系统部署和服务器部署不熟悉则不具备中标资格。因为没有达到(特定资格条件第二条和技术要求及标准第三条)
注:以上服务要求和服务内容条款均为本次采购项目必备要求。各服务商自行在商务和技术响应文件中对其要求据实承诺,不承诺或虚假承诺或承诺不满足,将取消本次竞标资格。