地区 | 苏州 | 类别 | 服务类 |
---|---|---|---|
采购方式 | 竞争性谈判招标 | 项目名称 | 安全运维服务 |
采购单位 | 苏州农业职业技术学院 | 代理机构 | 苏州鸿鑫工程咨询有限公司 |
项目预算 | 197000.00元 | 公示时间 | 2020-11-24 17:57:02 |
合同公告
一、合同编号:4966
二、合同名称:苏州农业职业技术学院关于安全运维服务项目的采购合同书
三、项目编号(或招标编号、政府采购计划编号、采购计划备案文案号等,如有):HXZX2020-BS-T-024
四、项目名称:安全运维服务
五、合同主体
采购人(甲方):苏州农业职业技术学院
地址:苏州市西园路279号
联系方式:18136183399
供应商(乙方):苏州亿阳值通科技发展股份有限公司
地址:苏州工业园区东平街272号
联系方式:0512-62565278
六、合同主要信息
主要标的名称:安全运维服务
规格型号(或服务要求):业务系统漏洞扫描服务和加固服务
主要标的数量:1
主要标的单价:196000.00
合同金额:196000.00
履约期限、地点等简要信息:采购单位指定地点
采购方式:竞争性谈判招标
七、合同签订日期:2020-12-15
八、合同公告日期:2020-12-17 13:31:43
九、其他补充事宜:见合同详情
一、项目编号:HXZX2020-BS-T-024
二、项目名称:安全运维服务
三、中标(成交)信息
分包1
中标供应商名称:苏州亿阳值通科技发展有限公司
中标供应商地址:苏州工业园区东平街272号
中标金额: 壹拾玖万陆仟元整 人民币196000元
四、主要标的信息
服务类
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
名称:安全运维服务
服务范围:采购方所指定地点。
服务要求:
服务时间:一年。(实际时间按合同签订时间为准)
服务标准:
(1)业务系统漏洞扫描和加固服务
(2)上线前安全检查
(3)渗透测试服务
(4)应急响应服务
(5)安全咨询服务
(6)安全培训服务
(7)驻场工程师
|
五、评审专家名单:
吴栋 唐亮 胡元军
六、代理服务收费标准及金额:
由成交单位在领取成交通知书时向采购代理机构一次性付清。收费标准:
预算金额100万以下费率为预算金额的1.5%
说明:成交服务费以采购预算金额为基数依据,按以上规定的标准和差额定率累进法进行计算收取。例:如预算金额为150万元,则成交服务费=100万元以下部分×1.5%+(150万元-100万元以下部分)×1.1%。如按上述方法计算的金额低于人民币4000元整的,则本项目代理服务费按人民币4000元整计收。
本项目代理收费:4000元
七、公告期限
自本公告发布之日起1个工作日。
八、
其他补充事宜
各有关当事人对采购结果有异议,可以在公告期限届满之日起七个工作日内,以书面形式向本公司提出质疑,逾期将不再受理。
九、
凡对本次公告内容提出询问,请按以下联系方式
1.采购人信息
名 称:苏州农业职业技术学院
地 址:苏州市西园路279号
电 话:0512-66098708
联 系 人:别道亮
3.代理机构联系方式
名称:苏州鸿鑫工程咨询有限公司
地 址:苏州市相城区嘉元路1018号元联大厦10层
电 话:0512-65981595-8121、8122
传 真:0512-66352628
邮政编码:215000
联 系 人:赵雷、吴极
苏州鸿鑫工程咨询有限公司
2020年11月30日
项目概况
安全运维服务项目的潜在供应商应在苏州政府采购交易管理平台获取采购文件,并于2020年11月30日 9点30分(北京时间)前提交响应文件。
一、项目基本情况
项目编号: HXZX2020-BS-T-024
项目名称:安全运维服务
采购方式:竞争性谈判
预算金额:人民币壹拾玖万柒仟元整(¥197000.00)
采购需求:
(一)服务内容:
序号
|
服务名称
|
服务内容概述
|
1
|
业务系统漏洞扫描服务和加固服务
|
系统漏洞扫描服务包含:系统层漏洞扫描、网络层安全漏洞扫描、应用层漏洞扫描;加固服务。
|
2
|
上线前安全检查
|
1、针对院方业务系统特征完成各系统安全基线的建设工作。
2、院方每次新的业务系统上线前,需进行相应系统或版本的安全检查工作,新系统或版本经过相关测试达到设计要求后,进入安全检查流程。
|
3
|
渗透测试
|
渗透测试主要依据已经发现的安全漏洞,模拟入侵者的攻击方法对院方系统和网络进行非破坏性质的攻击性测试。渗透测试主要以人工渗透为主,辅助以攻击工具的使用,保证整个渗透测试过程都在可以控制和调整的范围之内。服务应包含网络方面、系统方面和应用方面、加固服务。
|
4
|
应急响应服务
|
1、在第一时间内对院方信息系统面临的紧急安全事件及潜在威胁进行紧急响应。紧急安全事故包括:大规模病毒爆发、网络入侵事件、拒绝服务攻击、主机或网络异常事件等。潜在威胁包括外网爆发的大规模安全事件、尚未影响到院方,但存在极大安全隐患的。
2、协助完成院方信息安全应急预案制定和修订工作,建立全面的信息安全体系。
|
5
|
安全咨询服务
|
根据国家信息安全相关标准规范对院方信息系统的规划、设计、建设、改造、验收、上线、运营以及废弃等阶段中涉及的安全问题提供顾问咨询服务;依据等级保护要求出具相应的等级保护报告,协助院方做好等级保护工作。
|
6
|
安全培训服务
|
针对不同岗位和职责的人员提供不同培训内容,包括信息安全意识教育、网络攻防、应用安全开发和国家等级保护相关标准的培训。内容包含安全培训计划、安全意识培训、安全技能培训、等级保护标准培训;提供信息安全宣传材料。
|
7
|
驻场工程师
|
网络安全服务及运维驻场服务,提供专业驻场信息安全运维人员一名,为期一年。服务期内学院新增的安全设备维护、积极参与学院的信息安全建设中来,服从院方临时指派的各项工作。
|
(二)
服务要求:
(1)业务系统漏洞扫描和加固服务
执行内容
|
执行细节
|
执行周期、频率
|
响应方式
|
业务系统脆弱性扫描
|
系统层:包含UNIX系列、Linux系列以及专用操作系统等。通过脆弱性扫描需发现操作系统本身的不安全因素,主要包括身份认证、访问控制、系统漏洞等及操作系统的安全配置问题。
|
≥4次 /年
|
针对扫描服务发现的漏洞,要求能够提供专业有效的解决建议,同时需派驻场人员进行,对漏洞进行修复,对系统安全进行加固,并针对每次扫描发现的问题,形成总结性报告提交给院方。
|
网络层:通过脆弱性扫描需发现网络信息的安全性问题,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性、远程接入、域名系统、路由系统的安全等。
|
|||
应用层:通过脆弱性扫描需发现所采用的应用软件和数据的安全性,包括:数据库软件、Web服务、电子邮件系统、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。
|
|||
对评估范围内的主机、服务器、信息系统等进行安全扫描,需提供资产与漏洞的对应及分布情况,需提供可操作的安全建议或临时解决办法。
|
|||
★可采用的扫描方式不仅限于硬件设备扫描,也可采用SaaS服务“零部署”的方式,收集资产并对资产进行漏洞扫描。
|
|||
SaaS漏洞扫描可支持服务试用,可用于日常对各类IT资产操作系统或交换路由设备及系统上运行的数据库、Web网站等服务上存在的安全漏洞进行定期自助扫描。
|
|||
扫描内容包含漏洞扫描、配置核查、WEB应用扫描等,对于扫描出的漏洞风险、配置核查风险、WEB应用风险需进行综合分析,给出总体综合评估结论,扫描报告可包含主机漏洞、配置核查等多项结果。
|
|||
设备支持风险告警和风险闭环处理,可在集中告警平台灵活配置告警内容、告警方式、告警资产范围等,支持邮件和页面告警,支持单个或批量修改风险状态。
|
|||
设备可按IP范围、起止时间、任务名称、任务状态、漏洞模板、配置模板、用户账号筛选所有扫描任务并进行汇总,支持在线查看汇总的风险详情和输出离线汇总报表。
|
|||
设备支持Web应用扫描能力,提供多种Web应用漏洞的安全检测,如SQL注入、跨站脚本、网站挂马、网页木马、CGI漏洞等。
|
|||
设备配置核查支持本地检查,可以利用ActiveX控件进行本地检查,仅需要IE访问配置核查设备即可进行本机配置核查
|
|||
外网远程扫描需针对信息系统层面,通过扫描器发现信息系统常见的SQL注入、跨站等漏洞。
|
(2)上线前安全检查
执行内容
|
执行细节
|
执行周期、频率
|
响应方式
|
安全基线建设
|
基于每个业务系统的基本特征,建设各自的系统层面的安全基线
|
每年2次
|
基于业务系统的安全特性制定相应的安全基线。
|
系统上线前检查
|
需进行相应系统或版本的安全检查工作,新系统或版本经过相关测试达到设计要求后,进入安全检查流程,由院方将需进行安全检查的系统信息提交厂家服务人员。服务厂家安全检查团队需要在第一时间确认,并提供专业的安全检查方案,按照以下检查项目进行全面安全检查: |
不限次数
|
需自备相关安全检查软硬件,最终将安全检查结果输出报告提交院方。
|
(3)渗透测试服务
执行内容
|
执行细节
|
执行周期、频率
|
响应方式
|
网站漏洞渗透测项目
|
★在服务期内对院方门户系统、主数据平台等进行渗透测试。
其中各类系统需要分别从学生、教师、管理员三个角色进行测试。
|
≥1次 /年
|
通过渗透测试,发现业务系统存在的安全漏洞,并为院方提供修复建议,包括配置、认证、会话、授权、数据验证等测试内容,以及安全建议整理及测试报告编写等工作。同时需驻场人员,对漏洞进行修复,对系统安全进行加固。
|
★服务人员提供的渗透测试报告,必须包含漏洞从发现到最终利用的整个过程记录,通过共同对系统进行加固完之后,需要进行二次测试已确认漏洞是否合理修复。
|
|||
数据存储区:SQL 注入、二次注入、NoSQL注入、XPath注入、LDAP注入。
|
|||
验证机制:设计缺陷、暴力破解登陆、可预测性、注册用户、记住密码、 密码修改、忘记密码缺陷、万能密码登录绕过。
|
|||
会话管理:可预测性、泄露令牌、劫持令牌。
|
|||
访问控制:水平权限、垂直权限、未授权访问。
|
|||
后端组件:注入操作系统命令、操作文件路径、注入 XML 后端 HTTP 请求。
|
|||
应用程序逻辑缺陷: 无限制操作、 绕过、 验证码问题、 修改任意密码、与机制竞争。
|
|||
跨站攻击:反射型 XSS、存储型 XSS、DOM 型 XSS、请求伪造、UI 伪装、数据劫持。
|
|||
信息泄露:错误信息、调试信息、公共信息、提示信息、敏感信息。
上传漏洞:任意上传文件、截断上传。
|
|||
服务器漏洞渗透测试项目
|
★在服务期内对院方门户系统、主数据平台等进行渗透测试。
其中各类系统需要分别从学生、教师、管理员三个角色进行测试。
|
≥1次 /年
|
通过渗透测试,发现业务系统存在的安全漏洞,并为院方提供修复建议,包括配置、认证、会话、授权、数据验证等测试内容,以及安全建议整理及测试报告编写等工作。同时需驻场人员,对漏洞进行修复,对系统安全进行加固。
|
★服务人员提供的渗透测试报告,必须包含漏洞从发现到最终利用的整个过程记录,通过共同对系统进行加固完之后,需要进行二次测试已确认漏洞是否合理修复。
|
|||
Web 服务器配置缺陷:默认证书、默认内容、目录列表、WebDAV 方法、Web服务器作为代理服务器、虚拟主机配置缺陷、保障 Web 服务器配置的安全。
|
|||
易受攻击的服务器软件: 应用程序框架缺陷、 内存管理漏洞、 编码与规范化漏洞、查找 Web 服务器漏洞。
|
(4)应急响应服务
执行内容
|
执行细节
|
应急服务
|
★要求在服务期内需提供至少2次应急服务。
|
接到应急响应请求时迅速启动响应预案。
|
|
接到远程紧急响应请求发出 30 分钟内安全应急团队和驻场人员对服务请求进行支持。
|
|
在远程紧急响应2小时后未能解决问题,则立即执行本地紧急响应流程,在本地紧急响应请求发出后,安全应急团队需要在2小时内到达事故现场,协助驻场人员、院方人员进行问题处理等。
|
|
远程紧急响应和本地紧急响应提供 7×24 小时服务。
|
(5)安全咨询服务
执行内容
|
执行细节
|
执行周期、频率
|
响应方式
|
技术方案咨询
|
对院方信息系统的规划、设计、建设等技术方案的可行性、可靠性、安全性等提供专业咨询。
|
不限次数
|
基于不同的咨询需求,提供相应专业的咨询服务
|
安全风险控制咨询
|
对院方信息系统运行中各环节存在的安全风险控制方法、措施是否得当、有效提供专业咨询。
|
||
信息系统安全管理咨询
|
对院方信息系统上线、运营中的安全管理机制提供专业咨询;依据等级保护要求出具相应的等级保护报告,协助院方做好等级保护工作。
|
(6)安全培训服务
执行内容
|
执行细节
|
执行周期、频率
|
响应方式
|
安全服务培训
|
根据学院信息系统和人员的情况,提供不少于3人次的信息安全专业系列培训课程,培训课程和培训计划院方自行选择;提供信息安全宣传材料。
|
每年至少3次(培训时间不少于1.5个小时)
|
安排专业的安全培训工程师进行培训
|
★安全意识培训内容主要讲办公电脑、平板、智能设备、移动存储设备等终端设备在使用互联网、内网网络的安全、保密意识和安全常识。
|
|||
★安全技术培训内容主要讲解当前最新的安全技术、黑客攻击技术和手段,以及如何做好日常的各项防范工作。
|
|||
★安全等级保护培训内容主要讲国家等级保护工作政策、行业标准、监管要求、最佳实践等方面的发展情况。
|
(7)驻场工程师
执行内容
|
执行细节
|
响应方式
|
||||||||||||||||||||||||||||
驻场工程师
|
驻场工程师需具备cisp证书或网络安全相关证书,服务承诺书中须明确驻场人员的详细信息,且承诺未经院方允许不得自行更换驻场人员,7*8小时驻场服务,重要保障时期值班时间则为7*24;服从院方临时指派的各项工作。驻场服务人员应熟悉信息安全设备并具备相关运维经验,熟悉常见的安全漏洞及修复措施,具有三年以上安全运维服务工作经验,能独立解决系统及设备出现的故障,判断处理常见的安全事件和突发事件。安服运维主要设备如下:
|
安排驻场一名
|
合同履行期限:一年(实际时间按合同签订时间为准)。
本项目不接受联合体。
二、申请人的资格要求
1、满足《中华人民共和国政府采购法》第二十二条规定;
2、落实政府采购政策需满足的资格要求:无
3、本项目的特定资格要求:单位负责人为同一人或者存在直接控股、管理关系的不同供应商(包含法定代表人为同一个人的两个及两个以上法人,母公司、全资子公司及其控股公司),不得参加同一合同项下的政府采购活动。
三、获取采购文件:
1、时间:2020年11月24日至2020年11月27日
2、报名方式:
(1)申领CA:办法详见苏州市公共资源交易中心网上《关于办理苏州市(市级)政府采购交易系统CA证书的通知》。有效期内的CA证书可以反复使用。
(2)原市级政府采购供应商网上报名系统用户需换CA证书、办理电子签章业务及激活政府采购模块;
(3)区级政府采购交易系统用户,无需再次办理;
(4)未参与过苏州市政府采购交易的用户,需办理CA证书、电子签章业务及激活政府采购模块,详情参见《政府采购CA证书办理指南》。
(5)登录报名:供应商进入“苏州市公共资源交易中心”,进入“政府采购(网上报名)”,选择“苏州市政府采购管理交易平台”,进入“供应商”系统,进入报名界面点击“报名”按钮报名。报名成功并下载采购文件后,点击投标确认函下的“编辑”按钮,进入编辑投标确认函并签章,签章成功后打印投标确认函以供参与项目使用。详见《苏州市政府采购交易管理系统供应商操作手册》。
3、文件获取:本项目不出售采购文件,供应商需在苏州市公共资源交易中心网站报名成功后,根据提示,到左侧采购文件页面下载招标文件,报名日期视同为依法获取招标文件日期。未依照采购公告要求实行网上报名的供应商,视为未参与该项政府采购活动,不具备对该政府采购项目提出质疑的法定权利,但因供应商资格条件或报名时间设定不符合有关法律法规规定等原因使供应商权益受损的除外。
4、网上询问。报名成功的供应商在下载招标文件后,对招标文件有疑问的,可在“苏州市公共资源交易平台”网上交易系统中进行询问,询问信息不显示询问人的相关资料。代理机构通过网上交易系统收到询问后以网上答复的方式予以解答,询问人通过系统查阅。
5、技术咨询:供应商在响应过程中如有软件操作方面疑问,请拨打1.注册咨询:0512-69820846;CA办理咨询电话:0512-81876166;或在线咨询客服QQ: 805640413、442456465、864274166。咨询电话:13961452091。
6、有关该采购活动的澄清、修正及中标信息亦在苏州市政府采购网发布,请定期关注。
四、响应文件提交:
截止时间:2020年11月30日上午9点30分(北京时间)
地点:苏州市姑苏区平泷路251号城市生活广场西楼五楼(苏州市公共资源交易中心)
五、开标:
时间:2020年11月30日上午9点30分(北京时间)
地点:苏州市姑苏区平泷路251号城市生活广场西楼五楼(苏州市公共资源交易中心)
六、公告期限
自本公告发布之日起3个工作日。
七、其他补充事宜
公告发布媒体:苏州市政府采购网、江苏政府采购网。
八、凡对本次采购提出询问,请按以下方式联系
1、采购人信息
名 称: 苏州农业职业技术学院
地 址:苏州市西园路279号
联 系 人:别道亮
电 话:0512-66098708
2、采购代理机构信息
名称:苏州鸿鑫工程咨询有限公司
地址:苏州市相城区嘉元路1018号元联大厦10层
联系方式:0512-65981595-8121、8122
3、项目联系方式
项目联系人:赵雷、吴极
电话:0512-65981595-8121、8122
苏州鸿鑫工程咨询有限公司
2020年11月24日