信息系统安全服务采购项目需求
一、项目目标
委托专业的第三方安全服务机构对信息系统进行全面的安全服务,通过常态化的安全服务,建立安全长久机制,不断发现和解决信息系统存在的问题,提升信息系统安全保障能力,保证业务系统运行安全,确保各项业务顺利开展。
二、采购清单
序号 | 产品名称 | 服务要求 | 单位 | 数量 |
一、单位网络安全运营服务 | ||||
1 | 信息化建设咨询服务 | 详见服务要求 | 年 | 1 |
2 | 单位整体网络安全策略配置服务 | 详见服务要求 | 次数/年 | 1 |
3 | 风险评估服务 | 详见服务要求 | 次数/年 | 2 |
4 | 漏洞扫描服务 | 详见服务要求 | 次数/年 | 4 |
5 | 渗透测试服务 | 详见服务要求 | 次数/年 | 4 |
6 | 应急响应服务 | 详见服务要求 | 年 | 1 |
7 | 应急演练服务 | 详见服务要求 | 次数/年 | 2 |
8 | 重保服务 | 详见服务要求 | 年 | 1 |
9 | 云上资源巡检服务 | 详见服务要求 | 次数/年 | 12 |
10 | 安全培训 | 详见服务要求 | 次数/年 | 2 |
11 | 外网安全审计服务 | 详见服务要求 | 项 | web应用防护系统1 |
二、网站安全防护服务 | ||||
1 | 网站安全防护服务 | 详见服务要求 | 项 | 1 |
三、购置SSL证书 | ||||
1 | 购置SSL证书 | 详见服务要求 | 年 | 1 |
三、服务要求
(一)单位网络安全运营服务要求
1.信息化咨询建设服务要求
服务供应商须结合数字化改革整体框架,为我办提供项目规划、可行性研究报告编制、建设方案编制、项目招投标、项目合规性等方面的意见和建议。
服务交付物:《咨询报告》。
2.单位整体网络安全策略配置服务要求
服务供应商须为我办梳理现有信息化资产,列出资产清单、资产IP表,绘制系统拓扑图。并依据《信息安全技术 网络安全等级保护要求》,针对我办OA办公系统、XX网网站系统安全现状,完成我办整体网络安全策略配置。单位整体网络安全策略配置服务,服务期限一年,每年进行一次,服务结束后出具资产清单、资产IP表、系统拓扑图、网络安全策略配置报告。
3.风险评估服务要求
服务类 | 技术类型 | 内容及要求 | |
风险评估 | 资产识别 | 依据相关国家标准或国际标准,对招标方的信息资产进行全面梳理和识别,识别内容包含但不限于资产类型、IP地址、业务部门、责任人、用途、操作系统、数据库、中间件等。 资产识别方式包含但不限于:自研工具扫描探测、人工访谈调研和实地核查等。 资产类别应按照相关规范分类,包含但不限于以下几大类: 业务应用—业务信息系统,如OA系统、门户网站等; 网络结构—网络拓扑结构图; 文档和数据—业务信息系统相关文档、数据库数据、设计方案、操作手册、业务数据等; 软硬件资产—服务器设备、安全设备、存储设备、应用软件、操作系统、中间件、数据库、网络设备等; 物理环境—机房; 组织管理—方针、规章制度等; 人力资源资产--组织架构、岗位职责等; 依据相关规范,投标人应根据资产识别结果,科学、合理的对资产进行重要性赋值,明确资产价值。 投标人应针对资产识别情况及问题及时汇报。 | |
脆弱性识别 | 依据相关国家标准或国际标准,根据资产识别结果,采用不同手段对资产进行全面的脆弱性识别,及时发现、处置脆弱性,避免或降低脆弱性被威胁利用的几率造成的影响。 脆弱性分类应至少包括但不限于以下三类: 技术性弱点—系统、程序、设备存在的漏洞或缺陷,如网络结构设计问题和代码漏洞; 操作性弱点—软件和系统配置、操作中存在的缺陷,包括人员在日常工作中的不良习惯,审计和备份的缺乏; 管理性弱点--策略、程序、规章制度、人员意识、组织结构等方面的不足。 脆弱性识别方式包含但不限于:自研工具自动探测、人工访谈调研、文档审阅和实地核查等。 渗透测试应按照以下要求实施: 1)投标人应确定目标对象后提供渗透测试服务方案和渗透测试申请,内容必须包括但不限于: 渗透测试方法和流程; 渗透测试工具; 渗透测试面临的风险和规避措施; 渗透测试时间和地点; 渗透测试人员。(资质、经验等其他证明) 2)招标方授权后,投标人应通过模拟黑客攻击行为通过本地或远程方式对目标对象进行非破坏性的入侵测试。 3)渗透测试应至少包括以下方面的工作内容: WEB应用系统渗透; 主机操作系统渗透; 数据库系统渗透。 投标人应将发现的脆弱性及时向招标方反馈,并在后续提出可落地的整改建议或方案。 | ||
威胁识别 | 依据相关国家标准或国际标准,对存在脆弱性的资产进行威胁的全面识别,及时发现潜在威胁的原因,避免或降低威胁发生的几率。 威胁来源应至少包括但不限于以下四类: 人员威胁——包括故意破坏和无意失误; 系统威胁——系统、网络或服务的故障; 环境威胁——电源故障、污染、液体泄漏、火灾等; 自然威胁——洪水、地震、台风、滑坡、雷电等; 通过技术手段识别服务器中可能存在被植入的后门程序、潜伏未触发的病毒木马等安全威胁。 投标人应对威胁利用率极高的风险提出整改建议,配合招标方及时处置。 | ||
防护能力评估 | 依据相关国家标准或国际标准,对招标方现有的防护能力进行评估,评估内容包含但不限于: 预防控制措施情况,如:已有安全策略和防护程序情况、软件版本和补丁管理、安全域和访问控制、管理体系建设及落实、安全意识培训等。 检测控制措施情况,如:网络入侵检测能力、主机入侵检测能力、安全事件报告流程。 响应控制措施,如:应急响应机制、系统备份与恢复机制、安全事件响应能力等。 根据识别结果的现状,提出建设性意见,避免重复采购相关设备或服务。 | ||
风险分析 | 投标人应组织专家团队,对存在和潜在的风险进行全面分析,保证风险分析的科学性、合理性及风险处置的可操作性。 投标人应在风险分析完成后,组织召开相关会议,将风险评估实施过程全生命周期发现的情况或问题统一反馈,并提出可落地的建议或方案。 | ||
安全加固 | 后续网络安全服务需要与我办现有防火墙(深信服AF-1000-E420型)进行实时联动,需提供相关原厂商证明文件。并开通原有防火墙网关杀毒功能模块1年授权。 | ||
服务频率 | 1年2次。 | ||
服务交付物 | 《安全风险评估报告》、《安全建设方案》。 | ||
4.漏洞扫描服务要求
发表评论