贵州空港智能科技有限公司
竞争性谈判文件
贵州空港(略)
(略)采购竞争性谈判邀请书
贵州空港智能科技有限公司拟于近期开展(略)采购竞争性谈判,特邀请贵单位参加。现将相关要求说明如下:
一、(略)(一)项目名称:(略)
(二)项目内容:对贵阳机场全区网络及相关信息系统(包含贵阳机场到10家支线机场主干网络线路的路由设备),具体涉及机场(略)(离港网、生产网、安防网、办公网及网络出入口等),从网络终端设备(PC(略))、路由器、交换机、防火墙设备,核心交换机设(略)络安全服务。
(三)项目地点:(略)
(四)项目期限:(略)
(五)最高限价:(略)
二、竞争性谈判资格要求(一)本次竞谈邀请三家(含)以上单位参加(略),对本项目谈判单位的资格要求如下:
1.谈判单位必须具备独立法人资格、增值税一般纳税人资格,持有效的工商营业执照;
2.谈判单位近三年在经营活动中无不良(略)
3.具备中国网安全审查技术与认证中心颁发的CCRC信息安全服务资质证书(应急处理一级)一级>二级>三级;
4.是国内合法的网络安全产品生产商,且拥有自主知识产权的网络安全态势感知平台(持有相关产品计算机软件著作权证书);
5.具备CMMI 软件能力成(略)
6.具备中国网安全审查技术与认证中心颁发的CCRC信息安全服务资质证书(风险评估一级)一级>二级>三级。
(二)谈判单位递交(略):
1.企业(略)
2.无不良信用信息记录、无重大违法记录承诺;
3.资格要求(略)描件并加盖单位公章;
4.法定代表人授权委托书及被委托人身份证原件及复印件;
5.本项目报价书,报单价必须提供详细报价组成明细。
以上资料为纸质(略),竞谈文件密封装一式五份,一正四副。《竞谈报价书》要求提供一正四副共五套盖章版的标书文件,每套文件标注“正本”或“副本”、项目(略)
(三)不能完整提(略)。
三、采购内容及要求:
1.谈判单位提供网络安全态势感知监测系统,技术指标详见附件《贵阳龙洞堡国际机场(略)方案》。
2.服务内容详见附件《贵阳龙洞堡国际机场(略)方案》。
四、竞谈响应文件的编制
(一)竞谈响应报价
1.本项目按竞谈文件自主进行总价报价(含税)。
2.谈判单位报价包含但不限于:(略)方案等为供应商在项目实施期间的全部工作的费用,若双方无其他约定,我方则不支付任何额外费用。
3.谈判单位有任何遗漏项目将被视为该项目费用已计入报价。
4.报价应以人民币为单位报价。
(二)质量及服务要求的响应
1.对附件《贵阳龙洞堡国际机场(略)方案》中要求的所有条款不允许出现负偏离响应。
五、评判标准
1. 谈判单位在满足本次项目《贵阳龙洞堡国际机场(略)方案》所有要求及合理的市场报价前提下,以投标人最低价为谈判最终中标单位。
2.竞谈小组同各谈判单位谈判后将给予谈判单位同等二次报价的机会。
六、(略)
(一)项目周期要求(略)
1.该项目 合同 期限为(略)。
(二)废标条款
1.谈判单位未按照谈判小组要求对谈判响应有关问题进行(略)
2.谈判单位的谈判响应文件未实质性响应采购要求的。
3.对本谈判文件要求承诺内容未作出承诺的。
4.谈判单(略)。
5.谈判响应有关内容违反国家法律法规相关规定的。
6. 其他弄虚作假的行为。
(三)竞争性谈判胜出单位相关工作要求:
1.我公司与竞谈胜出单位签订合同,合同自签订之日起生效。
2.竞谈胜出单位在合同签署后不得因故中止或终止,若竞谈胜出单位在合同生效期间中止或终止,甲方有权追究(略)。
七、付款方式
乙方按照合同约定完成相应的工作内容并经甲方审定满足服务质量要求后,甲方分三次向乙方付款:在完成3个月工作后甲方支付至合同全款的30%(略)前需开具税率为6%的增值税专用发票,否则甲方有权拒付前述款项。
八、竞争性谈判日程安排
拟定于(略)午10:00点进行竞争性谈判,地点:贵州机场集团办公楼416会议室。
九、其他有关事项
(一)我公司在谈判结束后3日内将谈判结果电话通知各谈判单位。
(二)我公司与谈判胜出单位签订合同后即为竞争性谈判结束。
(三)此次竞争性谈判的相关解释权属于我公司。
(四)联系人:杨磊,联系电话:(略)。
(五)附件:《贵阳龙洞堡国际机场(略)方案》。
贵州空(略)
20(略)
附件:
贵阳龙洞堡国际机场(略)方案
一、项目范围及内容
1、范围
2、内容
二、项目技术要求
1、工作要求
2、技术要求
3、网络(略)
4、考核要求
本安全服务方案是对承担贵阳龙洞堡国际机场(略)项目的服务方明确具体工作、服务、责任的详细内容和标准技术。
一、项目范围及内容 1、范围贵阳龙洞堡(略)(包含贵阳机场到10家支线机场主干网络线路的路由设备),具体涉及机场的全域网络(离港网、生产网、安防网、办公网及网络出入口等),从网络终端设备(PC、摄像机等)、路由器、交换机、防火墙设备,核心交换机设备、链路网络、服务器等硬件设备设施系统到应用软件、数据库、系统软件等软件的网络安全服务。
贵州省机场集团有限公司网络安全现状:云平台系统、web网站、(略)护。包含的安全产品有:IPS、WAF、防火墙、WEB应用防火墙、数据库审计系统、防病毒软件、堡垒机、上网行为管理等。
2、内容(1)服务方在现场部署一套态势感知系统(产权归服务方所有)进行网络流量(略),实现实时的网络安全态势监控及网络安全防控,该系统须满足国家网络安全等级保护2.0三级要求,并兼容集团现有安全产品厂家的设备,满足发包(略),同时按照本服务方案要求完成合同期内的网络安全服务。
(2)服务方完成本项目范围内的网络信息资产收集,并建立电子化资料档案;
(3)服务方根据发包方的现场网络架构、网络信息资产数量、分布以及运行保障实况构建网络安全管理体系和运营体系;
(4)服务(略)置及培训等服务。
在本次项目投标结束后次日起3日内,甲方有权要求对中标单位提供的态势感知系统进行功能测试,若出现一条不满足本项目技术要求,将视为虚假应标,将废除其中标资格,由此产生的经济损失和法律责任将全部由该单位负责。
二、(略)1、(略)本项目要求(略),必须自主到现场对机场集团网络规模、网络运行、网络安全产品的实际软硬件配置、状态、业务承载及保障管理制度等一切相关信息进行调研。根据实际情况做出判断,该项涉及的(略)(含为推进项目实施的测试方案软硬件投入)的费用均已包含在服务方报价中,发包方不再支付本项目相关的其它任何费用,如果由于服务方调(略)方自主承担。
由于本项目为不停运实施,服务方履行合同时必须确保机场现场原基础网(略)系(略),项目实施前,服务方须做好备份手段和应急措施,保证项目实施开始至结束期间,集团信息系统及基础网络始终正常使用。此次项目(略)由服务方承担。
服务方承担本项目实施过程中涉及到的所有数据都必须保密,不能拷贝、不能外传,任何数据流(略),且所有数据限于机场的系统中流转。如发生数据泄密,发包方将追究服务方的责任,造成的所有损失均有服务方承担。同时要求参与本项目服务方的相关人员必须经过公安和网信部门的审查,按照发包方的管理制度签订相关保密协议。
本项目签订合同后,服务方必须提供满足现场网络安全服务保障需要的项目实施组织方案,且方案必须(略),若未经过发包方审批的方案在实施中引发任何问题的责任均由服务方承担,发包方不因审批方案而承担责任。
本项(略),服务方必(略)全相关培训。培训(略)握的基础网络安全相关内容,且培训成效必须经发包方的管理人员评定,否则将评定服务方履行该项服务不合格。
本项目签订合同后,服务方应根据发包方需求在 1 个月内搭建机场集团态势感知平台,并提供态势感知平台所有软件、硬件产品资料、和操作手册、维护手册以及系统实施等保所需的所有资料等,相关资料的质量标准必须满足发包方的要求。
为了确保本项目实施目标服务标准,本项目要求服务方固定2名网络安全工程师(人员能力进行审核后上岗)在发包方的机场网络运控中心现场开展网络安全服务工作,上班时间为每周7天(服务方保证在休息日及节假日至少有1人在现场进行网络安全值守),上午08:30至下午17:30(根据发包方工作安排进行动态调整),同时在发包方发出重保特殊时期通知后,服务方必须在重保特殊时期安排2名或多名网络安全工程师实时7*24小时驻场服务。再者,服务方保障工程师和项目联络人必须保持24小时通讯畅通,在没有保障工程师在机场现场的时段,服务方的技术人员必须在接到通知后,响应时间不超过1小时。且如果发包方评定认为服务方工作质量不达标,发包方有权要求服务方增加或更换现场驻守人员,该条款内容涉及的所有费用均已包含在服务人报价中,发包人不再支付本项目相关的其它任何费用(相关风险由服务方自主评估)。
T3和T2系统融合后,系统(略),资产梳理、(略),2023年驻场人员2人,2023年交付平台1套、服务器1台、探针2台,对应的成本费用包含在项目总报价中,发包方不(略)。
2023年重要特殊保障工作根据发包方要求灵活调配、补充驻场服务人员,执行24小时监测及预警工作。
服务方按照项目(略),时间、质量(略),发包方将(略)(根据服务方现场的工作情况每次处罚金额不低于200元)。
本项目签订合同后,服务方必须在(略)(含系统软件平台、网络防护产品、防护产品日志采集以及根据现场网络状(略)在合同履行期内保障不出现网络安全事故,服务方保证有效防范网络攻击、及时发现网络安全(略),则由服务方承担责任,发包方将追溯服务方春节、两会、五一、建党、建军、二十大、国庆的责任,出现网络安全事件则对服务方进行考核处罚(每次处罚不低于3000元)。再者若发生重大网络安全事件(发包方根据具体事件、影响范围、损失大小评定)则认定(略),判定服务方违约,拒绝支付相关条款,且发包方的一切经济损失由服务方进行赔偿。
在合同履行期间服(略)项的相关记录,并每周出具相关汇总报告,反馈给发包方现场技术人员,服从发包方的现场管理。
2、技术要求网络安全态势感知监测系统技术要求如下:
品牌 | 1.国内知名安全厂商; 2.具有国产软件自主知识产权及自主研发能力。 |
基本要求 | 1.需提供一套网络安全态势感知软件平台和一台服务器进行部署实施; 2.具备良好的弹性扩容能力和兼容性,扩容不得限制或(略)(硬件一致(略))。 |
基本功能需求 | |
基础功能 | 1.单台处理能力至≥1万EPS,离线处理能力≥百TB级数据分布式计算; 2.支持基于大数据架构横向平滑扩展,集群规模≥100台; 3.支持ipv4\ipv6、多种协议的数据接入,包括但不限于FTP、SFTP、UDP、TCP、Netflow(略) 4.支持定制化界面化配置规范化规则采(略)析规则支持正则表达式等前置过滤方式及json、kv、c(略)提取嵌套字段、配置规范化规则对解析提取的字段进行字段类型、名称、取值规范化(提供功能截(略)) 5.内置600+设备日志解析规则查看以及筛选,包括但不限于网络设备(防火墙、交换机(略))、安全设备(入侵检测(略)量探针等)、终端主(略)(提供功能截图并加盖原厂公章) 6.支持通过syslog北向接口向其他平台提供数据外发和查询能力,发送通道包括UDP、FTP/SFTP、KAFKA等,支持对外发数(略)(统一编码(略))以及数(略)(包括但不限于json、自定义模版、syslog等),并支持按(略)(提供功能截图并加盖原厂公章) 7.支持多维度资产管理,进行多维度资产(略),至少内置五种视图:资产组视图、业务系统视图、组织结构视图、地理位置视图、行业视图(提供功能截图并加盖原厂公章) 8.支持资产画像,从各维度(略),包括但不限于:漏洞信息、弱口令信息、不合规信息、威胁信息、异常信息、指纹信息、属性信息等(提供功能截(略)) 9.支持以地图、指数、雷达图、柱状图、趋势图(略)容分辨率要求、易于操作,可动态提醒当前网络最新的安全威胁态。态势呈现包括但不限于综合态势、威胁态势、脆弱性态势、环境感知态势、运维响应态势、日志审计态势(提供功能截图并加盖原厂公章) 10.能够结合环境数据自动化评估安全治理等级和评分,安全治理等级应包括优、良、待改进三级,总评分应充分结合建设情况指标、运行能力指标、安全态势指标、合规指标等加权计算得到。(提供功能截图并加盖原厂公章) |
保障能力 | 1.支持从攻击者视角进行全网攻击者行为的监控与自动封堵,可按照攻击链阶段、攻击结果等纬度进行筛选过滤(提供功能截图并加盖原厂公章) 2.支持安全编排响应自动化视角进行编排响应的监控,包括但不限于自动响应数、平均时长、人工时长、案例(略) 3.支持多源异构安全设备、网络设备、全流量设备、终端设备、APT威胁检测设备、漏洞扫描设备、网站安全检测、VPN设备等数据接入与威胁分析,输出(略)(提供功能截图并加盖原厂公章) 4.支持不少于500种内置威胁分析规则及界面化的内置规则的定期升级,覆盖扫描、暴力破解、sql注入、xss、木马、蠕虫、僵尸网络、漏洞利用、目录遍历攻击、拒绝服务攻击、勒索软件、弱口令等攻击(提供功能截图并加盖原厂公章) 5.支持资产(略),可检测存在外联行为的风险资产,可查看风险资产的IP、访问次数以及外联地域端口等的行为(提供功能截图并加盖原厂公章) 6.支持对失陷资产进行判定并提供失陷资产的判定依据,包括但不限于失陷资产概要信息、攻击结果、攻击链分布阶段、失陷资产的攻击过程及过程判定依据如攻击特征、流量上下文、关联的告警日志及流量日志以及pcap包下载,并可快速扩展该失陷资产的全部攻击事件以及该失陷资产攻击者发起的攻击、该失陷资产的同类型威胁事件(提供功能截(略)) 7.支持ATT CK模型的关联和展示,能够覆盖ATT CK中的12个攻击阶段,攻击技术覆盖80种以上 8.支持以列表形(略)、攻击持续时间、攻击组织、攻击者来源、攻击手段 、ATT CK攻击技术、画像指纹信息、攻击资产信息、风险等级等信息,支持通过时间范围、IP、地域、情报信(略)索过滤;支持在攻击者列表中对攻击者进行一键响应的快捷操作(提供功能截图并加盖原厂公章) 9.支持使用DSL、SQL语句、字符串关键字等对(略),须可自定义时间范围、规则特征、流量数据、攻击阶段、严重程度、处置建议等,并可配置回溯分析的执行周期(提供功能截图并加盖原厂公章) 10.支持可(略),包括(略):事件关键属性如攻击结果、响应码、事件描述处置建议、攻击类型、原目的IP端口等,攻击长镜(略),事件关联资产详情列表,攻击者使用的ATT CK中定义的战术及技术,处置历史及处置建议等,支持攻击证据如攻击载荷、流量取证PCAP包导出,并支持运维事件详情报告的导出下载(提供功能截图并加盖原厂公章) 11.支持一键封堵的(略),支持分账号、分权限的封堵策略管理,一键封(略),且支(略)(提供功(略)) 12.针对不同场景,平台应至少支持2类以上旁路部署的封堵设备进行联动封堵,当封堵设备发生故障时,不会影响被监测单位的自身业务(提供功能截图并加盖原厂公章) 13.支持直接通过安全设备及三方平台告警作为数据源,触发案例执行(略)。支持内置(略)(提供功能截图并加盖原厂公章) 14.支持漏洞库管理能力,漏洞数应不少于20w,支持添加自定义漏洞模板分组、自定义漏洞模板不少于500个,支持扫描任务策略自定义模板的选择;(提供功能截图并加盖原厂公章) 15.支持对漏洞处置单的一键响应操作,可针对漏洞处置单联动NF、WAF、ADS设备进行IP封堵或者域名封堵操作,支持响应设备选择、解除方式、响应原因设置; 16.支持漏洞分析能力,通过资产视角浏览不同资产上的漏洞分布情况,描述资产风险并统计不同资产上发生不同危险等级的漏洞数量,也支持通过漏洞视角浏览漏洞在不同资产上的分布情况,监测该漏洞发生的次数和出现在资产上的情况等(提供功能截图并加盖原厂公章) 17.支持漏洞闭环分析可视化展示,包括脆弱性值、脆弱性等级分布、漏洞数趋势、脆弱性值趋势、漏洞类型分布、漏洞TOP、资产脆弱性TOP等;(提供功能截图并加盖原厂公章) |
(1)每日进行网络安全基础巡检
服务方利用现有的网络安全相关防护系统,对机场网络及设备进行网络安全巡检,包含各安全防护系统日志存储性、日志完整性、日志可用性等。本项目签订合同后启动服务,每天上午8:30-12:00,下午14:00-18:00,每日出具日巡检记录表。
(2)每周进行网络安全深度巡检
服务方每周对重要网络安全相关系统及设备进行巡检,查看各系统磁盘、CPU、内存、流量、日志等信息,发现异常状况,及时上报,并跟踪处理。本项目签订合同后启动服务,每周一次。每周出具(略)。
若上述工作所形成各种记录,经发包方评审发现每项几率中出现质量问题超过三个,则评定相关项工作标准没有达到合同要求,发包方将对服务方进行考核(具体根据实际情况做出)。
3.2 安全监控(1)网络安全态势监控
服务方通过现有的网络安全防护手段进行实时监控,及时发现网络环境中的不安全行为,对发现的网络与信息不安全行为提出处置措施并协助整改(无法处理事件向发包方汇报),发包方确认后立即实施,整改完成后进行复测,形成事件闭环。项目签订合同后立即启动服务,每周出具网络安全风险清单。
(2)安全事件信息通报
服务方(略),应及(略),不得瞒报、漏报、不报、迟报。如出(略),发包方有权根据事件造成的影响对服务方进行追责(具体根据实际情况做出)。项目签订合同后立即启动服务,在事件发生当日出具网络安全事件报告。
(3)安全运维人员驻场
服务方调配安全服务人员提供驻场网络安全运维服务,安全服务人员需具备优良的安全运维能力,(略)有两年以上的相关工作经验。因驻场人员工作能力不符合发包方要求的,发包方有权要求服务方更换人员,人员更换次数底线为3次,超过3次后(略),发包方有权追责并收取相应的违约金,项目签订合同后立即启动服务。
若上述工作所形成各种记录,经发包方评审发现每项几率中出现质量问题超过三个,则评定相关(略),发包方将对(略)(具体根据实际情况做出)。
3.3 安全评估每季度服务方根据信息资产清单对发包方业务系统进行风险评估,本项目签订合同后一周内启动服务,对于不同系统根据需求分析进行不同方式的安全评估,评估(略):
(1)漏洞扫描
使用态势感知(略)系统进行漏洞扫描,并对扫描结果进行分析研判,在科技公(略),涉及外部单位的可出具整改单由科技公司下发。输出结果为漏洞扫描结果报告。
(2)漏洞复查
通过对系统进行漏洞扫描,安全检测等技术手段,对系统的网络及设备安全策略或安全配置进行检测,对根据以上操作(略),针对网络(略)面的修复建议,并协助发包方整改后进行复测。若完成整改后发生安全事故,全部责任由服务方负责。
(3)渗透测试
在服务期限内发包方有权不计次数、时间及方式对服务方承担安全服务范围的系统进行漏洞扫描和渗透测试,测试结果显示服务方有不作为或其他工作疏漏不合格的,发包方有权追责,因测试结果(略) 3 次将则以扣除相应合同款项。
(4)增值服务
在服务期限内发包方有权不计次数、时间及方式对服务方承担安全服务范围的系统进行漏洞扫描和渗透测试。若上述工作(略),经发包方评审发现每项记录中出现质量问题超过三个,则评定相关项工作标准没有达到合同要求,发包方将对服务方进行考核(具体根据实际情况做出)。
3.4 信息资产梳理(1)梳理新增网络安全相关系统的详细情况,包含但不限于系统类别、设备型号、功能、位置、接入端口、部署情况、软件应用功能等,并完成新资产(略)。本项目(略),结果输出为发包方项目负责人确认后的资产清单,并根据最新信息资产情况动态更新。同时需要发包方提供相关便利条件,以便提高与其他部门沟通和反馈效率,服务方(略),若发生信息资产清查漏项则将追溯服务方责任。
(2)根据资产清单(略),绘制运维网新增网络安全拓扑图并更新原有拓扑图,明确各系统部署、设备数量、用途、位置等。统计网络(略),包含但(略)。本项目签订合同后启动服务,输出结果不限于网络安全拓扑图,并根据最新信息资产情况动态更新。
3.5 管理体系建设服务方根据实际为发包方构建对外业务系统网络安全保障管理体系,制定(略),包含网络安全管(略)。本项目签(略),限期60天内完成。输出结果为符合国家及行业的网络安全法律、法规、条例、制度的相关要求。双方按照服务方构建的网络安全保障管理体系开展,若发生不(略),必要时以扣除相应合同款项。
3.6 重大活动保障在重大事件特殊时期,如春节、两会(略),按需提供安(略)。每1小时对网络安全防护系统日志进行检查,对所有(略),重点监控影响到系统稳定安全运行的重点安全事件的发生,包括安全攻击(重点包括DOS攻击、恶意木马、病毒攻击等)、关键敏感数据泄露等,并提供安全事故应急响应技术保障,及时启动响应的应急预案,包括:
(1)保障各系统和业务在重大活动期间不出现由于攻击等安全方面的原因导致的安全事件或故障;
(2)保障各系统和业务在重大活动期间出现由于攻击等安全方面的原因导致的安全事件或故障时,能尽快响应和恢复。
(3)本项目签订合同后启动服务,输出结果为服务范围或区域内的所有信息系统无重大安全事件发生。
3.7 应急演练及响应服务针对核心(略)演练。由服务方与发包方共同确定演练目标和演练方案,规划演练流程,设计组织结构,制定(略),并协助演练准备,辅助后勤工作,协调(略),搭建演练环境,监控网络行为,展示网络安全态势。本项目签订(略),每季度至少一次,输出结果包括演练计划、演练方案、应急预案、总结报告。
3.8 网络安全培训根据网络安全态势,制定切合网络安全相关的培训计划。发包方负责评审培训主题及计划、内容,通过后,方可实施。本项目签订合同后一周内启动服务。输出结果不限于网络安全培训计划、培训教程、培训签到表、培训考核表。服务方按照已通过评审的计划开展培训,配合完成网络安全考核题库建设,对运维人员、培训人员进行考核,做好培训记录。本项目签订合同后启动服务,每季(略)。输出结果不限于培训签到表、培训考核表,且培训成效必须经发包方的管理人员评定,否则将评定服务方履行该项服务不合格。
3.9 安全(略)漏洞及病毒简报:联动威胁(略)及处理措施,通报最新爆发的漏洞或病毒及处理措施。项目签订合同后启动服务,根据实际情况输出,输出结果为相(略)。
3.10 等保测评相关服务方配合发包方参与等保测评工作,协助提供测评机构需要的网络安全相关资料。如:安全设备类型及名称、密码策略配置、防火墙策略及设备日志等。
3.11 关键基础信息建设检查(1)在监管单位对机场信息系统进行关键信息基础设施检查前,提供具有相应支撑能力的安全专家按要求开展关键基础设施自查服务,并在监管单位检查中全程配合检查工作。
(2)检查评估内容分为合规检查和技术检查两部分。合规检查通过资料核实、人员访谈和技术验证等手段,检查被检查方是否遵从法律、法规和政策标准的相关要求。技术检查可分为安全检测和安全监测两部分。安全检测是指检查人员在合适的检测接入点,通过漏洞扫描、渗透测试和社会工程学等安全测试方法,验证被(略)。安全监测是指检查评估人员在检查工作期(略),发现被检查方(略)。
关键属性分析
检查评估方分析被检查方的业务特点,给出CII(略)(分为高、中、低三个等级)和具体描述,并把等级为高的CII业务特性定义为关键属性,关键特性可以是上述几个特性的组合。
脆弱性识别
检查评估方根据合规检查与技术检查的结果,对CII的脆弱性等级进行分析(高、中、低)并给出具体描述。脆弱性等级按照GB/T (略)脆弱性识别”和GB/T (略).2.4节“脆弱性识别”进行划分,在被检查方的意见基础之上,由检查评估方确定。
威胁分析
检查评估方根据检查结果,结合安全威胁和风险预估清单,根据分析被检查方的业务特点,按照威胁的来源(内部和外部)与威胁发生的可能性,对CII进行威胁分析并给出具体描述。威胁分析方法采用GB/T (略)威胁识别”和GB/T (略).2.3.4节“威胁分析”中定义的方法。
风险分析评估
根据上述关键属性分析、脆弱性分析和威胁分析的结果,对CII每个关键属性逐一进行定性风险分析,定性风险分析采用GB/T (略)风险分析”中定义的方法,并给出每个关键属性风险分析结果和描述,最后根据风险分析的结果确定CII整体安全状况。在上述分析评估的基础上,若存在以下情况之一的,应认定该CII的网络安全风险为高:
a) 合规检查部分有 5 项或以上明显不符的;
b) 未发现 CII 存在已公开的高危漏洞,或发现后未采取修补措施或制定修补计划的;
c) CII 范围内存在被植入超过 1 个月的后门、木马,或重要管理账号密码被窃取 1 个月以上,导
致 CII 范围内的服务(略),或个人信息和重要数据可被任意读取的;
d) 对自查和主管监管部门检查发现的问题和提出的整改意见,有时限要求,但在在时限要求内未完成的;无时限要求,在检查结束 1 个月后未制定整改计划的;
e) 出现 2 起或以上未对发现或通报预警的网络安全高危漏洞、风险、威胁和事件等及时进行应对或处置,或未按要求反馈情况的;
f) 出现 2 起或以上瞒报、漏报、谎报网络安全事件的。
n结果输出
根据合规检查、技术检查和分析评估得到的结果,输出正式的(略),报告内容应包括:
a) 被检查方描述:CII 运营单位基本情况、网络拓扑情况、核心资产情况、承载业务情况和安全防护现状;
b) 合规检查结果说明:(略)
c) 技术检查结果说明:技术检查内容、发现的主要问题(安全漏洞、隐患和被攻击情况等)及其(略)
d) 安全风险分析:通过对合规检查、技术检查中发现的安全问题及风险,汇总分析存在的安全隐患及造成的影响;
e) 安全状况评价:结合被检查方所承载业务重要性和威胁,综合评价 CII 的总体安全状况。
f) 整改建议:针对检查中发现的安全问题和风险,提出解决措施和整改建议,并对进一步提升被检查方、被检查行业网络安全水平提出建议。
3.12 远程技术支持服务方为发包(略),通过网站、电话、邮件等途径进行远程技术支持,服务方远程解答关于产品配置、使用问题,提供产品FAQ及相关手册。
3.13 网站监测对贵州省机场集团官网每周进行安全监测,对网页挂马、网页敏感内容、网站平稳度、网页篡改、网站域名解析等内容进行监控,每周提供监测报告。
3.14 网络安全竞赛支持协助发包方技术人员参与比赛,在比赛之前给相关技术人员进行知识赋能,并在比赛期间提供相应技术支撑工作,具体比赛时间由发包方决定。
3.15网络安全配置保障本项要求服务方梳理确认现场网络安全配置的合理性、充分性和可靠性,向发包方提供优化方案,发包方审议后根据实际情况组织实施。如果服务方认为现场的网络安全的软硬件配置不能保证其履行合同的安全性,则服务方可根据实际自主增配相关软硬件设施以提高防护能力(实施前必须报发包方审批),该条款(略),发包人不再支付本项目相关的其它任何费用(相关风险由(略))。
各网络(略),包含软件的安装(略)。各网络安全防护相关系统的硬件设设备,包含设备的(略)。本项目签订合同后启动服务,不定期服务。输出结果不限于网络安全拓扑图、系统拓扑图等一物一档资料。若上述(略),经发包方评(略),则评定相关(略),发包方将对服务方进行考核(具体根据(略))。
3.16 其他要求设备日志:网络安(略),项目签订合同后一周内启动服务,输出结果为网络安全态势感知分析报告。
流量分析:网络中的流量(略),项目签订(略),输出结果为网络安全态势感知分析报告。
流量阻断:能够及时的中(略)传输或攻击行为。
服务器及云端日志:服务器、操作系统及云端安全日志搜集与分析,项目签订合同后一周内启动服务,输出结果为网络安全态势感知分析报告。
特征库自动更新:采用离线或在(略),确保各设备特征库始终处于最新状态,项目签订合(略),输出结果为网络安全态势感知分析报告。
漏洞及病毒简报:通报最新发现的系统、数据库、软件等漏洞及处理措施,通报最新爆(略)。项目签订合同后一周内启动服务,每周一次,输出结果为相(略)。
第三方简报:提供绿盟、亚信、安恒、深信服等市场主流的(略)口费用问题,需要服务方自行承担。项目签订合同后一周内启动服务,每周一次,输出结果为相关安全简报。
如果发生异常事件,现场的网络安全防护产品品牌的防护能力不足的情况下,服务方必须按照发包方要求至少可以向其它网络安全防护品牌的厂商(具体(略):绿盟、深信服、天融信、安恒、奇安信等)调用防护产品到现场应急,且由服务方承担相关费用。
本项目技术要求的所有条款不允许出现负偏离响应。
4、考核要求考核项目 | 考核内容及分值 | 本月实际得分 | 扣分理由/明细 | |
(一)服务管理 (15分) | (1) | 未能按时完成安全项目工作,扣3-5分 | ||
(2) | 安全服务支持工作完全不能满足发包方需求。扣3-5分 | |||
(3) | 服务方人员技术超预期完成工作,服务态度好,加3-10分,相反,扣3-5分。 | |||
(二)服务支持(25分) | (1) | 对发包方需求完全不回应。扣3(略) | ||
(2) | 在规定的处理时限内提供整改指导和支持。加3(略),扣3-5分。 | |||
(3) | 在规定的事件(略)。加2分 | |||
(三)文档报告(20分) | (1) | 未能按时完成工作文档与报告,扣3-10分 | ||
(2) | 提供的工作文档和报告存在严重语病,可读性差,扣3-10分 | |||
(3) | 提供的工作文档和报告内容丰富,质量高。加2-5分。 | |||
(四)服务效果 (40分) | (1) | 安全评(略),每次扣1-3分。 | ||
(2) | 安全评估未能及时发现发包方存在的安全隐患,同时对发包方造成影响,按影响程度每次扣5-10分。 | |||
(3) | 安全评估及时发现安全隐患,并及时提交整改建议或方案,未发生安全事故或影响的,酌情加分。 | |||
(4) | 按月组织人员能力测评,及格成绩80分,80分以下,每人次扣5分。 | |||
总分=100-总扣分 |
备注:考核分值在90分以上为合格,低于90分的将根据扣分情况进行一定的处罚:
考核得分在90分以上(含90分)的,全额支(略)
考核得分在80-89分之内的,按95%的比例支付当季应付款;
考核得分低于80分的,按得分比例进行付款,计算方法为:付款金额=当季得分/100*当季应付款金额;
因服务方原因对发包方造成重大损失时,发包方有权终止合同。