采购需求前附表
序号 | 类别 | 内容 |
1 | 项目立项 | 项目立项时间:2022年2月23日 |
项目立项证明文件:√有 £无 | ||
2 | 项目预算安排 | 总预算金额(万元):60 |
当年预算安排金额(万元): 60 | ||
项目资金来源:信息化运维经费 | ||
3 | 项目采购内容 | |
服务内容:****总局****税务局应用系统三同步审核服务1年 | ||
4 | 项目实施时间 | 一年(从合同签订日期开始) |
5 | 项目实施地点 | ****总局****税务局 |
6 | 项目实施范围 | 包括但不限于:安全厂商运维驻场服务、新上线以及新改造应用系统三同步服务、等级保护合规性咨询服务、安全通告服务、应急响应服务。 |
7 | 项目相关单位 | 需求部门:信息中心 |
验收部门:信息中心、征管和科技发展处 | ||
8 | 采购意向公开 | £本项目已于2022年 4月 13日公开采购意向 |
£本项目经立项审批不公开采购意向 | ||
9 | 支持中小企业 | £本项目(第 包)专门面向中小企业采购 |
£本项目预留预算金额的 %专门面向中小企业采购 | ||
£本项目不适宜由中小企业提供,且已履行报批手续。 |
项目联系人:詹晓军 联系人办公电话和手机:****0732、136****6568
一、项目概述
1、项目背景
****税务局 “金税三期”工程于2016年7月份建设完成并正式投入使用,核心业务系统包括核心征管、决策一包、决策二包、个人所得税系统、外部交换系统、税库银系统、门户网站及网上办税系统等重要业务系统。****税务局****中心也于2016年投入使用,整体网络架构****总局《****中心局域网建设技术规范》建设,按照业务规划和等级保护标准,处理中心内部划分为“三区二十一域”,标准化网络层次,双线路、双设备的热备冗余配置,参与架构的网络安全设备多达600余台,涉税业务小型机、重要主机、存储、虚拟化、中间件等关键信息基础设备800余台。业务规模和网络规模的急速扩展,“互联网+税务”行动大力推进,大数据、虚拟化、云平台等新技术的拓展应用,信息安全保障要求也越来越高。为****总局信息安全工作要求,全面贯彻落实《中华人民国和国网络安全法》,做好关键信息基础设施的安全防护,****税务局****总局《税务信息安全总体策略》要求,采购第三方的信息安全运维服务,利用专业的安全技术力量,协助我局做好信息安全管理、安全监控、安全策略、应急处置、重大时期信息安全保障等各方面,确保我省税务涉税业务系统安全稳定运行。
★2、项目内容
按照**税务信息安全管理“总体规划、分步实施,构建管理与技术并重的信息安全保障体系”为工作目标,****总局《****办公厅关于开展2021年度税务网络安全检查工作的通知》、《税务应用系统网络安全审核指南(试行)》等关于加强信息安全管理、做好信息安全与业务系统“同步规划、同步建设、同步使用”的三同步等重点工作,****税务局信息安全保障工作,提出以下信息安全技术服务及运维要求,作为本次安全服务采购需求。
序号 | 服务名称 | 服务周期 |
1 | 安全厂商运维驻场服务 | 一年 |
2 | 新上线应用系统三同步服务 | 一年 |
3 | 等级保护合规性咨询服务 | 一年 |
4 | 安全通告服务 | 一年 |
5 | 应急响应服务 | 一年 |
二、投标/响应要求
供应商资质要求:
1.符合《政府采购法》第二十二条规定的供应商条件。
2.其他特定资格条件:
****政府采购活动要求
****政府采购活动前三年内未被列入“信用中国”网站(www.****.cn)失信被执行人、重大税收违法案件当事人、政府采购严重违法失信行为记录名单和“中国政府采购”网站(www.****.cn)政府采购严重违法失信行为记录名单(以开标时的当场查询结果为准)。
3.本项目不接受联合体投标。
三、项目需求
序号 | 服务内容 | 服务年限 |
1 | 安全厂商运维驻场服务 | 1年 |
2 | 安全通告服务 | 1年 |
3 | 等级保护合规性咨询服务 | 1年 |
4 | 应急响应服务 | 1年 |
5 | 三同步服务 | 1年 |
注:以上服务起始日期为合同签订日 |
四、项目实施要求
★1、安全运维驻场服务
1、安全运维驻场服务
★(1)信息安全运维驻场服务是指中标服务商派驻一名安全厂商工程****总局****税务局,驻场人员具有丰富的网络安全知识基础和运维经验,同时作为项目接口人,负责项目协调并履约招标需求,协****总局信息安全管理要求做好信息安全运维工作。内容包括:日常巡检、系统维护、故障处理、配置优化、安全预警、安全咨询、应急响应等。
(2)人员驻场的开始时间自合同签订之日起计算,期限为一年。采购人仅为驻场工程师提供必要的场地、工位和网络环境,其它事宜自行解决。驻场工程师的驻场工作时间与采购人单位工作时间一致。电话值守时间为7*24小时,应急响应服务时间为7*24小时。
(3)驻场工程师必须在项目开始前指定,并跟进整个项目的全过程,未经采购人同意,不得更换驻场工程师。驻场工程师驻场期间,必须听从采购人的工作安排和调度,定期提交周、月、季度、半年、年度技术运维服务报告。
(4)驻场工程师必须按照采购人信息安全管理规范,建立运维操作报备制度,所有可能涉及业务正常运行的设备配置变更、设备架构调整、安全策略下发等操作行为必须向采购人报备审批后方可执行,未经采购人审批,擅自操作导致网络、业务运行异常,造成纳税人利益损害的,采购人将严肃追究其法律责任。驻场工程师具体工作内容如下:
1)日常巡检:理清采购人整体网络安全架构,绘制拓扑图,制定巡检计划和巡检内容表格,要求每日对重点区域、核心网络安全设备进行巡检;每周对全部网络安全设备进行巡检和健康检查;每月进行巡检情况总结,对采购人关注的网络安全整体运行情况分析,列明已发现、已处理、未处理以及需要采购人处理的具体事项;周、月、季度、半年、年度报告必须按时提交采购人签字确认;发现任何问题及异常情况,必须及时向采购人报告。
2)安全扫描:****总局安全体系管理办法相关规定,利用省局已经配备的绿盟漏洞扫描和WEB应用扫描设备,通过漏洞扫描系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析操作系统、应用、网络设备存在的常见漏洞。全面地安全扫描工作每月进行一次,日常扫描随机进行。并通过月报的方式提交采购人,并给出相关处理意见和解决方案。
3)安全基线:按照《税务信息系统信息安全配置基线管理办法》做好网络、安全设备安全基线管理,****中心所有网络安全设备进行安全基线的配置、设置和加固,每个设备的安全基线符合度要达到90%或以上,新增区域或设备的安全基线必须及时调整,采购人将定期通过安全基线扫描设备检验安全基线配置工作达标。
4)配置备份:全面进行网络与信息安全防护体系相关设备的数据备份工作,定期对备份数据的有效性进行检验,发现异常及时处理;驻场安全工程师应在安全设备配置有改动时对设备配置进行备份并提交给采购方存档;每月向采购人提交一次安全策略数据备份报告以及全部网络安全设备的配置备份文件。
5)故障处理:****中心机房所有安全设备软硬件故障的诊断与定位、故障修复及排除等,同时包括对网络事件(不通、速度慢等)、安全事件(病毒爆发、非法入侵等)的问题处理。对重大故障事件须在故障处理完毕3个工作日内提供相应的故障分析报告,对故障现象、故障处理经过和故障处理结果进行描述,包括故障原因分析和相关改进建议等。
6)策略优化:驻场安全工程师须根据采购人所提要求和安全态势变化制定有效的策略和方案,对相关设备及系统进行有针对性的调整和优化,调整时必须要预先通知需求方确定再执行。
7)预测预警:驻场安全运维人员应做好预测预警工作,随时对系统的运行状况做好检测监控,发现异常情况即时处理,做到防患于未然。
8)信息保密:驻场安全运维人员在日常维护服务工作中必须保证相关系统帐号、口令以及重要数据的信息安全,未经授权情况下投标方不得向外透露任何信息。
9)安全检查:驻场工程师负责协助采购人****、省直安全主管部门、第三方安全评测评估机构对**省税务进行安全专项检查、安全抽查、等保测评、风险评估或整改工作过程中全程配合和技术支持,做好相关的资料报告准备、现场检查跟进、后期整改落实方案制定和实施工作;协助采购人定****税务局的信息安全大检查,并为安全大检查工作提供全程技术支持。
10)制度修订:驻场工程师按照采购人要求****总局相关信息安全制度、规范和办法的整理汇总工作,并结合采购人实际,配套制定或修订相对应的制度办法,完善**税务信息安全规范体系。要求驻场工程师根据**税务对安全内部管理的要求,每月提交不少于2个制度办法的制定或修订工作。
11)安全分析:
11.1、网络架构分析。当网络结构或部署设备发生变更时,对整体网络的安全性和合理性进行评估,进而降低整体网络的脆弱性,有效地避免由此造成的安全风险。需向采购人提交相关分析评估报告和整改方案。
11.2、网络威胁分析。重点关注采购人门户网站和网上办税安全防护,每日检查防火墙、WEB应用防火墙、IPS等安全分析设备,追溯系统异常操作,及时发现外部攻击行为,纠正和改进安全策略中可能存在的缺陷。发现任何问题同时对发现的问题提供相应解决方案。
11.3、策略适用度分析。每月综合分析一次各网络安全设备相关的安全策略是否有效且适度,评估相关****总局及等级保护要求,安全配置基线水平是否足以满足防御当前安全威胁态势,并依据安全态势动态调整安全策略。每月需向采购人提交相关分析评估报告。
12)安全加固:
12.1、根据安全分析结果,提出安全监测、防护手段建议,并指导**省税务进行策略部署。
12.2、根据安全配置要求为基准,协助用户对各系统在新设备入网和工程验收环节进行安全功能和安全配置的符合性检查,确保设备入网时满足安全要求。
12.3、对已入网设备,应结合安全检查结果及基线配置规范,协助用户对各系统已入网设备进行安全功能和安全配置的核查和加固,保障在网设备安全运行。
12.4、在发现系统异常、发生安全事件、或发生重大故障可能涉及安全设备等情况下应进行专项检查加固。
13)其它工作:驻场工程师必须听从采购人的工作安排和部署,完成采购人交办其它工作,内容包括故障处理,安全值班、网络割接、架构调整、问题跟踪、安全方案制定等各项技术配合及安全论证工作。
2、信息安全通告服务
(1)以安全通告的形式为**省税务提供最新的安全动态、技术和定制的安全信息,包括实时安全漏洞通知、定期安全通告汇总、临时安全解决方案和安全知识库更新等。发现重**全漏洞、蠕虫病毒等可能对采购人信息系统有严重危害的,必须在第一时间通过不限于书面、邮件等方式通知到采购人,并提供详细的应对措施和应对方案。
(2)驻场服务工程师对于收到的通告及预警首先需要进行安全信息过滤。如果安全通告和预警的对象不存在于设备或系统当中(即,该安全问题对**省税务设备或系统没有任何影响),则降低风险级别,或者过滤该通告。对于可能影响到维保设备的通告,则需要明确指出那些设备或系统可能因此受到安全影响。
(3)对于通过威胁管理系统或工具发现网络中的事件存在进一步扩大的趋势时,驻场服务工程师需要及时向相关采购人汇报预警,并采取提升安全设备观测频率、临时变更安全策略等措施。
3、等级保护通用差距评估服务
投标服务商必须按照《中华人民**国网络安全法》并依据GB/T 22239-2019和GB/T 28449-2012等相关标准,从技术和管理两个层面,对采购人的信息系统进行差距评估,发现采购人信息系统的安全现状与相应安全等级存在的差距,明确改进措施。
通过落实等级保护差距评估服务,可以达到以下目标:
(1)有效落实国家等级保护文件精神
通过开展等级保护差距评估工作,可以有效落实网络安全法和等级保护文件精神。
(2)清晰了解与等保要求的差距,及时发现安全问题
通过开展等级保护差距评估工作,不仅对组织的关键信息资产进行全面梳理,识别资产的重要性;还可以帮采购人明确当前系统与相应保护等级要求之间的差距,为等级保护整改规划的实施提供科学依据,逐步完善防护能力、检测能力、响应能力、恢复能力,实现整体安全。
(3)科学地进行投资决策
通过开展等级保护差距评估工作,采购人可以清晰地了解本单位信息系统与对应等级的基本要求、技术要求之间的差距,分析确定哪些方面是实际需要整改的重点、哪些方面是具有本行业或单位特色的保护要求,从而更有的放矢地进行信息安全建设,在符合等级保护要求的前提下,使投资决策更加科学有效,有助于采购人降低成本、提高效率、提升业绩。
(4)提高员工的安全意识,培养安全人才
在实施等级保护差距评估工作过程中,采购人信息安全管理人员了解和学习了信息系统等级保护相关知识,协助采购人提高管理人员、业务人员、技术人员的安全意识,培养采购人自己的信息安全队伍。
4、应急响应服务
投标服务商必须按照《****总局****税务局网络与信息安全应急保障工作综合预案》和专项预案的要求,为采购人提供7*24小时的应急响应、重大敏感时期的安全保障服务,帮助采购人尽快对信息安全事件做出反应,包括事件处理及恢复、事后的事件描述报告以及后续的安全状况跟踪。
(1)发生或可能发生安全事件时,驻场服务工程师协助进行安全事件的定位、分析及处理,直到安全事件排除。如事件特别重大棘手,服务工程师不能在规定时限内解决问题,则应调动安全专家现场协助解决。
(2)在重大活动及节假日保障期间,驻场服务工程师按照采购人的工作安排,在指定场所进行安全值班,实时监控业务系统运行状态,做好相关安全预防措施和安全监控,现场解决可能出现的安全问题,保障系统的正常运行。
(3)驻场工程师应根据安全事件处理情况总结经验,协助**省税务制定、改进和完善《**省税务网络安全事件总体应急预案》和相关的专项预案,要求运维服务期内,协助采购人编制、修订不少余6个信息安全相关专项预案。
(4)根据《税务系统网络与信息安全应急演练工作指南(试行)》有关要求,协助采购人制定符合本单位实际的信息安全演练计划、演练程序和演练脚本,配合**省税务开展信息安全应急演练。要求每年至少制定一个综合应急演练方案,两个专项应急演练方案。
5、应用系统三同步服务
应用系统“三同步”服务是按照《中华人民**国网络安全法》****总局《税务应用系统网络安全审核指南(试行)》的要求,信息安全介入应用系统开发全过程,信息安全必须要与应用系统“同步规划、同步建设、同步使用”的要求。该服务主要是围绕**省税务在本项目服务期内新业务系统地开发建设、上线、运行维护三个阶段提供相关安全咨询、安全介入、代码审核和测试服务,完善安全需求,规范安全开发、发现系统存在的弱点问题,确保**税务**涉税业务****总局、《网络安全法》有关应用系统三同步的要求。
(1)新业务系统安全审核
中标服务商对采购人在本项目服务周期内计划进行开发设计的新涉税业务系统提供安全审核和安全咨询服务,服务内容包括对项目需求中信息安全需求部分进行审核,根据采购人应用系统实际,向采购人提交需求安全审核报告,提出改进意见和补充内容;对新业务系统网络架构、业务架构、业务开发、系统审计、权限分配、数据处理、数据存储等方面的安全设计进行审核,确保新业务系统在开发设计阶段,向采购人提交业务设计安全评审报告;对开发设计过程中在上述各方面存在的安全问题提供改进意见,并能过安全咨询报告的方式提交给**省税务及该业务系统开发商。对于业务系统开发商针对业务设计安全咨询报告进行改进的内容进行复核。各类项目中间过程安全需求审核、安全评审、安全复核报告等,必须根据采购人项目需求和项目里程碑及时提交,确保采购人应用系统按计划上线运行。
(2)新业务系统上线评估
对项目服务期内的开发的新业务系统提供业务系统上线安全评估工作,并对评估结果出具评估报告,全面诊断上线业务系统在安全防护能力方面存在的主要问题,主要原因和影响程度。综合研判信息系统面临的安全风险,确定解决问题的紧迫性和重要性。
(3)源代码安全审计服务
中标服务商在项目服务期内,对采购人新立项、新开发的新业务系统提供源代码安全审计工作。
源代码安全审计主要依据国际主流安全漏洞库CWE(Common Weakness Enumeration,常见缺陷列表)、CVE(Common Vulnerabilities Exposures,公共漏洞和暴露)和OWASP(Open Web Application Security Project,开放式Web应用程序安全项目)中关于应用系统软件安全的相关漏洞以及源代码安全审计人员的工作经验,针对应用系统源代码,分析其中可能存在安全的风险,并给出安全风险审计结果及修复建议。
①实施目标
通过对应用系统源代码(B/S或C/S架构)进行安全审计,检查应用系统编码设计过程中是否存在国际主流安全漏洞库CWE、CVE和OWASP中关于应用系统软件安全的相关漏洞。如果存在漏洞,则针对漏洞提出整改建议。
②实施对象
根据采购人**涉税业务系统的应用规模、重要等级等作为区分,采购人根据实际,要求中标方必须针对关键、重要的应用系统展开人工源代码审计,对于非重要业务应用系统,则采用机器检测方式进行源代码审计。****税务局**涉税应用系统的项目规划实际和规模,中标方在本服务期内,按照采购人的指定,对不超过20个应用系统开展源代码审计,其中包括6个重要核心业务系统进行人工源代码审计,14个非重要核心业务进行机器源代码审计。源代码审计报告内容必须在规定的时间内,完成并提交采购人,代码审计内容、审计项目、审计标准、审计格式****总局应用系统安全审核规范,否则采购人不予认可,并有权要求重新进行源代码审计。
(4)应用系统渗透测试
渗透测试主要依据安全专家已经掌握的安全漏洞,使用国际主流渗透测试工具及特定开发工具,在采购人的授权和监督下,在确保应用系统安全的情况下,模拟黑客的攻击方法,对**省税务的应用系统开展安全渗透测试,从而发现系统存在的安全漏洞和隐患,按照采购人的要求提交渗透测试报告。
①实施目标
通过模拟黑客对应用系统进行渗透测试,发现分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、XSS跨站脚本漏洞及弱口令等安全隐患,评估系统抗攻击能力,提出安全加固建议。
针对应用系统的渗透测试主要采取互联网渗透测试,即通过互联网发起远程攻击测试,比其他类型的渗透测试更能说明漏洞的严重性。
②实施对象
渗透测试对象主要为采购人在本项目服务期内新开发应用系统或已上线尚未进行验收的应用系统,****税务局**涉税应用系统的项目规划实际和规模,中标方在本服务期内,按照采购人的指定,对不超过20个面向互联网用户开发的WEB应用系统开展渗透测试。应用系统渗透测试报告必须在规定的时间内完成并提交采购人,渗透测试内容、渗透标准、报告格式****总局应用系统安全审核规范,否则采购人不予认可,并有权要求重新进行渗透测试。
五、项目验收要求
1、验收主体
由采购人自行组织相****小组进行最终验收。
2、验收时间
最终验收:项目实施完成后1个月内进行一次性验收.
3、验收方式
审核本项目运维服务工作内容的完成情况,审核运维服务的合规性和完整性,与合同要求的符合性。
4、验收程序
成交供应商应按照采购人要求,移交项目实施过程中的各类文档,并经****小组验收签字。
5、验收内容
(1)检查各类文档是否齐全。
(2)检验对故障恢复和故障解决时限是否按照合同要求完成。
(3)检验各项验收文档资料是否完整、准确、规范。
(4)审查运维服务报告,评价各类设备的运行稳定性。
(5)审查运维服务人员工作主动性,是否按时按量完成采购人交办的与设备运维服务相关的工作。
(6)成交供应商应就项目实施工作,采取文档讲解、会议研讨、培训、在日常工作中进行传帮带等方式,完成对采购人的知识转移工作。
6、主要交付物
成交供应商应向采购人提供以下文档但不限于下述文档:
1)技术文件。设备安装、运行、使用、测试、诊断和维修的技术文件。
2)实施方案。项目实施方案。
3)会议纪要。按采购人要求召开例会讨论运维中出现的问题,记录并整理会议纪要。
4)项目规范制度。针对运维服务过程中日常管理出具各类规范制度。
5)项目验收文档。项目验收过程中产生的所有验收报告、明细清单,并汇总成册。
6)过程文档。项目实施过程中形成的工作计划和工作记录。
7)变更文档。项目实施过程中的发生的计划变更、内容变更、配置变更等实时记录。
8)项目其它文档。项目实施过程中需要归档的其它文档。
具体交付物如下:
Φ 在运维服务期内,协助采购人编制、修订不少余6个信息安全相关专项预案。
Φ 在运维服务期内,至少制定一个综合应急演练方案,两个专项应急演练方案。
Φ 在运维服务期内,提供应用系统至少二个源代码审计报告及渗透测试报告。
Φ 在运维服务期内,驻厂运维人员在工作日内提供工作的季报、半年报、年报等。
Φ 在运维服务期内,定期提供安全通告服务,至少每月一次。
7、验收标准
1)服务依据:《****政府采购履约验收管理办法》(试运行)
2)本项目服务期结束。
3)成交供应商保质保量、按整体解决方案如期完成均衡负载设备运维服务全部工作,满足采购人对服务质量、技术指标、服务成果全部要求。
六、项目技术支持服务要求
1、安全服务人员要求
(1)驻场服务工程师需要熟练掌握网络、安全主流产品的功能和技术原理,能够对用户网络结构进行架构分析;有安全管理方面的知识和建设经验,如ISO27001、ITIL等;
(2)驻场服务工程师需熟悉Unix/Linux和Windows操作系统的常规操作和安全防护,拥有安全运维方面的知识和经验,并会使用相关工具;熟悉网络设备、安全设备的安装配置,能够运用多种方法进行故障排查;能够掌握各类数据库的安装配置和维护;
(3)驻场服务工程师必须具备丰富的系统集成经验;
(4)驻场服务工程师必须对信息安全等级保护相关标准及《中国人民**国网络安全法》有充分了解,熟悉等保及网络安全法的相关条文及内容。
2、安全服务商要求
本项目要求安全服务商提供运维驻场工程师及应急响应技术支持。
七、税收信息化项目开发和应用管理工作要求
本项目为非“税收信息化项目开发和应用管理工作”。
八、其他要求
1、项目保密要求
****总局要求,在提供技术前,供应商必须签订《单位网络安全承诺书》,技术人员必须签订《个人网络安全承诺书》,承诺书主要包括网络安全管理规定和相关保密要求,保密时限最低10年,法律法规有规定的从其规定,供应商未经方技术部门和业务部门许可,不得私自对外开放系统接口及系统数据,因个人原因导致招标方安全问题和数据泄密需承担法律责任。
中标人在任何时候对其持有的事务或其事务运转操作方法等机密信息实行严格保密;除非有书面授权或出于相关方进行活动的必要,不得在任何时间向任何人透露任何保密信息;除非有书面指示或出于履行其义务的合理要求,不得把任何保密信息交给任何人;不对保密信息进行拷贝、抄写、复制、复印、拍照或摄录。
2、知识转移要求
本项目不包含知识转移。
3、知识产权要求
服务商应保证采购人在提供服务过程中的任何部分不受任何关于侵犯所有权和工业产权、著作权(版权)等知识产权的指控。如果任何第三方提出侵权指控,服务商承担一切与之有关的责任。
4、项目归档要求
本次项目实施过程文档包括但不限于:有关产品知识、操作手册、设备运行维护经验、服务报告、技术文档、安装配置方案、安装配置实施文档、随机文档、手册等保证系统正常运行的必要技术资料。要求服务商应首要建立档案管理制度,确保文档资料完整齐全,所有电子档案均应与纸质档案内容相同,符合档案管理相关要求。
5、争议解决办法
本项目签订合同后,各方应通过**协商,解决在执行合同过程中所发生的或与合同有关的争议。如协商不能解决,可以提起仲裁或诉讼。诉****人民法院提起诉讼。
九、商务要求
付款方式:合同签订生效后分两次支付费用,第一次在完成合同签订后的1个月内支付合同总价的70%,第二次在全部服务完成且验收合格后的1个月内支付合同总价的30%。验收不合格,不支付服务费用。