根据《****地震局自行采购管理办法》,****地震局2025年网络安全服务内容进行公开采购,具体事项说明如下:
一、项目概况
项目名称:****地震局2025年网络安全服务
采购单位:****
项目预算:180000.00元
二、服务内容
1、资产识别与梳理
****地震局入网资产进行识别和梳理,并在后续服务过程中根据识别的资产变化情况触发资产变更等相关服务流程,确保资产信息的准确性和全面性。全面梳理服务范围内资产的基础信息(包含支撑业务系统运转的操作系统、数据库、中间件、应用系统的版本,类型,IP地址;应用开放协议和端口;应用系统管理方式、资产的重要性以及网络拓扑),并将信息录入到安全运营平台中进行管理。
2、安全现状评估
★系统与Web漏洞扫描:****地震局入网资产的操作系统、数据库、常见应用/协议、Web通用漏洞与常规漏洞进行漏洞扫描。
弱口令扫描:定期开展针对入网资产不同应用弱口令猜解检测,如:SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等。
基线配置核查:定期检查支撑信息化业务的主机操作系统、数据库、中间件的基线配置情况,确保达到相应的安全防护要求。检查项包含但不限于帐号和口令管理、认证、授权策略、网络与服务、进程和启动、文件系统权限、访问控制等配置情况。
蠕虫病毒事件:服务方需确认文件是否被感染,定位失陷的代码并进行修复。
★风险判断:服务方针对监控发现的漏洞利用攻击行为、Webshell上传行为、Web系统目录遍历攻击行为、SQL注入攻击行为、信息泄露攻击行为、口令暴力破解攻击行为、僵尸网络攻击行为、系统命令注入攻击行为及僵尸网络攻击行为进行分析评估,判断攻击行为是否成功以及业务风险点。
失陷主机分析:服务方需对失陷主机进行分析研判(如后门脚本类事件),并给出修复建议。
潜伏威胁分析:服务方需分析内网主机的非法外联威胁行为,判断是否存在潜伏威胁,并给出解决建议。含:对外攻击、APT C C通道、****联通道等外联威胁行为。
3、安全事件处置
服务方需对发现的问题进行处置,包含内网脆弱性问题,病毒类事件,入侵行为,勒索、挖矿类事件等。
4、脆弱性管理
脆弱性扫描与验证:服务方需提供不少于每月一次针对服务范围内的资产的系统脆弱性和Web漏洞进行全量扫描,并针对发现的脆弱性进行验证,验证脆弱性在已有的安全体系发生的风险及分析发生后可造成的危害。
★优先级排序:服务方需提供客观的修复优先级指导,不能以脆弱性危害等级作为唯一的修复优先级排序依据。排序依据包含但不限于资产重要性、漏洞等级以及威胁情报三个维度。
★脆弱性验证:针对发现的脆弱性问题进行验证,验证脆弱性在已有的安全体系发生的风险及分析发生后可造成的危害。针对已经验证的脆弱性,自动生成工单,安全专家跟进修复状态,各个处理进度透明,****地震局清晰了解当前脆弱性的处置状态,将脆弱性处理工作可视化。
修复建议:针对存在的漏洞提供修复建议,能够提供精准、易懂、可落地的漏洞修复方案。
脆弱性复测:提供脆弱性复测措施,及时检验脆弱性真实修复情况。服****地震局可按需针对指定脆弱性问题,指定资产等小范围进行,降低脆弱性复测时的潜在影响范围。
脆弱性状态总览:对发现的脆弱性建立状态总览机制,自动化持续跟踪脆弱性情况,清晰直观地展示脆弱性的修复情况,遗留情况以及脆弱性对比情况。
漏洞预警与排查:服务方需实时提供最新漏洞与详细资产信息进行匹配,对最新漏洞进行预警与排查。一旦确认漏洞影响范围后,安全专家提供专业的处置建议,包括补丁方案以及临时规避措施。
5、威胁管理
依托于安全防护组件、检测响应组件和安全平台,将海量安全数据脱敏,包括脆弱性信息、共享威胁情报、异常流量、攻击日志、病毒日志等数据,利用人工智能或云端安全专家分析等技术对数据进行归因关联分析,实时监测网络安全状态,发现各类安全事件,并自动生成工单。
★实时监测网络安全状态,对攻击事件自动化生成工单,及时进行分析与预警。攻击事件包含境外黑客攻击事件、暴力破解攻击事件、持续攻击事件。对病毒事件自动化生成工单,及时进行分析与预警。病毒类型包含勒索型、流行病毒、挖矿型、蠕虫型、外发DOS型、C C访问型、文件感染型、木马型。
服务方需针对每一类威胁,进行深度分析验证,分析判断是否存在其他可疑主机,将深度关联分析的结果通过邮件、微信****地震局。结合威胁情报,服务方需****地震局入网资产造成威胁,协助及时进行安全加固。每月主动分析病毒类的安全事件,针对服务范围内的业务资产使用病毒处置工具进行病毒查杀,对于服务范围外的业务资产,安全专家协助用户查杀病毒
服务方需每月主动分析攻击类的安全事件,发现持续性攻击,立即采取行动实时对抗,提供攻击类安全事件的处置建议。每月主动分析漏洞利用类的安全事件并验证该漏洞是否利用成功,提供工具协助处置。每月主动分析失陷类的安全事件并协助用户处置,并提供溯源服务。
服务****地震局安全组件上的安全策略进行统一管理工作,确保安全组件上的安全策略始终处于最优水平。通过全网大数据分析,发现有境外黑客或高级黑客正在攻击,立即采取行动封锁黑客行为。
6、事件管理
★基于主动响应和被动响应流程,对页面篡改、通报、断网、webshell、黑链等各类严重安全事件进行紧急响应和处置的解决方案。
针对分析得到的勒索病毒、挖矿病毒、篡改事件、webshell、僵尸网络等安全事件,对恶意文件、代码进行根除,****地震局快速恢复业务,排查攻击路径,还原攻击路径,分析入侵事件原因,消除或减轻影响。提供网络安全加固建议指导,结合现有安全防御体系,指导用户进行安全加固、提供整改建议、防止再次入侵。
7、态势感知平台多源日志接入与分析服务
利用态势感知平台系统,对第三方网络设备、安全设备、操作系统、中间件等日志信息进行解析,解析后的日志可在平台存储和检索。
利用态势感知平台系统,可以查询解析之后的原始日志告警,分为致命、高危、中危、低危和信息,可通过采集器类型与最近时间进行筛选,或直接查询采集器名称/IP地址进行搜索;
利用态势感知平台系统,能够支持的设备及系统数量不少于20个。
8、外部暴漏面检测服务
基于给定一级域名/组织名称(不少于50个IP/子域名、5个根域名)对互联网资产进行探测,主动获取互联网侧所能解析的子域名。基于资产探测任务的结果,深度识别并记录资产下各种资产属性,包含但不限于:子域名、IP、开放端口服务应用、资产变动情况、HTTP响应码、端口banner、组件、归属地、SSL证书等。
★基于后台资产指纹库,对资产数据库进行分类汇总;资产分类包括但不限于:网络产品、云资产、其他;指纹库标记信息包含但不限于:厂商名称、指纹名称、指纹版本号等;
****地震局定义的特定关键字或关键字组合,发现并监测微信公众号、微信服务号、微信小程序、APP的资产及变化情况;能够识别资产内容包括但不限于:账号主体、资产类型、微信号、简介等;
9、外部攻击面分析服务
★基于指纹从网络侧发起主动扫描识别漏洞,漏洞类型包括但不限于:Web/应用漏洞、中间件/常用软件漏洞、数据库漏洞、系统漏洞、云类型(容器、虚拟化、云原生等)、设备型漏洞等;
基于暴露面检测的结果,针对互联网资产进行PoC漏洞扫描;PoC漏洞类型包含但不限于:未授权访问漏洞、数据库弱口令、远程登录协议弱口令、远程代码执行漏洞、SQL注入、敏感信息泄露漏洞、文件上传漏洞等;
10、敏感数据泄露监测服务
★****地震局定义的关键字或关键字组合(不少于50个关键字),对Telegram等黑客活跃的即时通讯软件进行监测,****地震局相关的黑产舆情事件。
****地震局定义的关键字或关键字组合(不少于50个关键字),针对互联网网盘的共享文档进行监测,****地震局相关的敏感文件泄露事件,支持网盘类型包括但不限于:百度网盘、**云盘、夸克网盘等;
****地震局定义的关键词或关键词组合(不少于50个关键字),针对互联网文库的共享文档进行监测,****地震局相关的敏感文件泄露事件,监测范围包括但不限于:百度文库、豆丁、道客巴巴等。
****地震局定义的关键字或关键字组合(不少于50个关键字),对暗网中的交易平台、黑客地下论坛、勒索团伙站点等进行监测并保持记录,****地震局相关的暗网敏感数据泄露事件或情报,支持记录具体的网页链接、网页标题、网页内容等;
11、系统交接培训
★挑选出一个业务系统,与客户相关人员共同完成业务策略梳理工作,在服务工作中将系统使用方法、业务梳理流程、系统日常运维方法教给客户相关人员,在系统策略完成后组织现场/线上培训,输出培训材料。
三、服务要求
1、安全服务平台
****地震局提供满足以下条件的安全服务平台:
★****地震局的安全态势展示,展示出当前威胁事件信息以及脆弱性信息统计,并支持体现当前风险态势情况。
★****地震局的安全报告与交付物管理,可生成、导出、各类安全报告,包括但不限于《安全服务值守日报》、《特殊时期值守报告》、《安全运营周报》、《安全运营月报》。
★所有可导出报告支持按照自定义模块进行导出,可自定义模块必须包括但不限于事件管理、攻击威胁(外部攻击趋势、TOP5攻击IP等)、脆弱性管理(漏洞、弱密码)。(服务方应提供服务平台支持上述服务报告自定义导出的平台功能证明截图)
★支持展示当前工单数量和工单处置状态,展示安全事件闭环效果,掌握当前专家服务进度,监督服务质量。
★服务方在本项目使用服务工具应支持将收集的安全日志上传到安全运营服务平台上,并支持在该平台上对服务工具进行管理。平台****地震局的业务信息,将业务设置为高中低三个不同的等级。在每个业务下,配置业务的资产IP范围。服务平****地震局设置白名单,包括自动封锁白名单,策略白名单等。支持重大活动保障时期的备战阶段、实战阶段、演练结束三个阶段的指导性工作流程。
2、外部攻击面管理服务
****地震局提供满足以下条件的外部攻击面管理服务:
以攻击者视角对组织数字资产攻击面进行检测发现、分析研判、情报预警和持续监控的资产安全性管理服务;
★借助于SaaS化的支撑平台,****地震局审视所属资产、第三方及供应链可被利用的攻击可能性;输出《外部攻击面管理服务报告》。
2、服务水平要求
1)安全事件服务要求:
★从安全日志产生到****地震局的时间方面,按照国家标准对安全事件的分类分级指南,重**全事件通告时间小于30分钟,一般事件的通告时间少于1小时。
在配备服务方的边界防护服务组件和终端防护服务组件的情况下,运营服务对于重**全事件的遏制影响和处置完成时间小于1小时,对于一般事件的遏制影响和处置完成时间小于4小时。
安全事件经过服务人员的确认后,各类安全事件的判断准确率不低于99%。
在配备了服务方的边界防护服务组件和终端防护服务组件的情况下,安全事件的闭环处置比例达到100%。
★对于重大事故应启动应急响应机制,工作时间15分钟之内进行响应,非工作时间30分钟之内进行响应,事故地点在**市内则2小时上门处置,省内其他城市8小时上门处置。
2)安全威胁服务要求:
从安全日志产出****地震局,重大威胁通告时间少于1小时,一般威胁通告时间少于2小时。
安全威胁经过服务人员的确认后,高级威胁和一般威胁的判断准确率不低于99%。
利用态势感知平台系统提供的多源日志接入与分析服务,能够支持的设备及系统数量不少于20个。
3、安全服务交付物要求
交付物名称:《安全服务运营报告》,报告频率:每周一次,重保期间按需调整
交付物名称:《首次威胁分析与处置报告》,报告频率:一次
交付物名称:《事件分析与处置报告》,报告频率:按需触发,不限次数
交付物名称:《安全通告》,报告频率:按需触发,不限次数
交付物名称:《综合分析报告/运营月报》,报告频率:每月一次
交付物名称:《季度汇报PPT》,报告频率:每季度一次
交付物名称:《年度汇报PPT》,报告频率:每年一次
交付物名称:《外部攻击面管理服务报告》,报告频率:一次
4、服务范围
提供针对不少于50个资产(服务器或虚拟机)的7*24小时安全服务。
5、服务频率
★提供一年内的7*24小时持续专家服务,协助威胁发现及时响应。提供****地震局的实际需要,提供一次外部攻击面管理服务。
四、资质要求
****事业单位法人证书副本)、税务登记****事业单位不提供)、组织机构代码证副本或者统一社会信用代码证(三证合一);
法定代表人委托授权书,****事业单位法人参加招标只需提供其身份证;
本项目不接受联合体投标。
备注:以上资质文件提供复印件加盖公章查验。
五、其他要求
★服务方提供的安全服务人员(包括线上分析、咨询及安全事件响应人员)需具有1年或1年以上安全服务工作经验,项目经理和质量负责人必须具备丰富的安全服务经验及相关资质认证,确保人员稳定。如需更换安全服务人员,须由采购单位同意。
六、采购响应方式
采购响应时间:2024年11月27日至2024年11月29日
采购响应文件递交地点:**市**区边家村水文巷4号防震减灾科技大楼9楼
联系人:窦婧
电话:029-****5343
本次采购接受邮寄,供应商可将资质材料复印件加盖公章连同采购响应文件一并邮寄。
七、付款方式
合同签订后7个工作日内,由乙方向甲方支付10%的履约保证金,甲方收到后向乙方支付合同60%,服务期中期甲方对乙方上半年安全服务质量、定期汇报情况、安全周报月报等交付物交付情况进行打分考核,考核通过后甲方支付乙方合同总金额30%。合同到期后甲方对乙方全年安全服务质量及交付物进行验收考核,验收通过后支付乙方合同总金额10%,并返还所有履约保证金。
八、采购响应文件要求
采购响应文件应严格按照采购需求做出实质性响应,包含以下内容:
1. 对安全服务准备、服务方案编制(包括技术手段、人员配置、值守内容及服务要求中所涉及的相关内容)、服务产出报告模板编制等内容进行详细描述;
2. 对安全监测、分析、通告、处置的方案及内容进行详细描述;
3. 对使用的安全检测工具、威胁情报库来源、威胁及安全态势通知方式进行详细描述,并说明使用权限(例如授权信息等)。
4. 对安全平台的态势展示、报告导出、模板调整等功能进行详细描述。
5. 明确描述合理的安全联动方案;
6. 提供安全服务过程中的风险防范措施,并明确保密责任与赔偿承诺;
7. 服务承诺及保障措施;
8. 其他认为需要补充的合理化建议。
备注:以上资质文件现场提供复印件加盖公章查验
九、评标
本项目评审使用综合评分法,评标委员会将按照客观、公正、科学、择优的原则,结合项目实际情况,以项目报价、企业技术实力、安全服务方案、服务人员从业经验、业务开展情况等多个因素为评价指标,依据评标办法,进行分项评审,评审得分计入总得分。
(一)商务及技术标评分办法表
序号 | 评审项目 | 评审标准 | 分值 | |
1 | 投标价格(10) | 综合评分法中的价格分采用平均价优先法计算,即满足采购文件要求的投标价格,取其平均值作为评标基准价,其价格分为满分10分。 投标报价每偏离基准价5%扣1分,计算公式如下:投标得分=10-【(投标报价-基准价)】/(基准价*5%)。 | 10分 | |
2 | 技术方案 (65分) | 服务指标 | 服务方案中对招标文件中安全托管服务要求的细项根据要求进行逐项响应,从服务内容、范围、频次以及交付成果等方面做出完全的、详细的说明,如需要须提供相应材料证明,满分35分,每出现1项★项负偏离扣2分,普通项负偏离扣1分,扣完为止。 | 35分 |
3 | 重大会议和重大活动期间方案 | 投标人应提供明确的重保期间安全保障方案,方案科学合理,确保重大活动、重要会议期间的网络安全稳定。优秀得10-8分;良好得8-4分;一般得2分,未提供不得分。 | 10分 | |
4 | 整体网络安全服务方案 | 根据技术方案的先进性、完整性和扩展性,方案架构设计安全可靠性以及方案的成熟度综合打分;要求系统结构清楚正确、技术方案描述条理清楚、内容齐全,设备配置合理。 优【12-20分】:方案非常合理,可以与现有关键安全设备联动,完全实现采购人要求的功能,技术成熟领先、系统的可用性及安全性较高、操作便捷、技术方案科学合理。 良【6-12分】:方案一般,可以与现有关键安全设备对接,能实现采购人要求的功能,少数次要功能实现效果存在差异;技术一般,系统的可用性及安全性一般。 一般【0-6分】:方案存在瑕疵,无法与现有关键安全设备对接,只能基本实现采购人要求的功能,部分主要功能可以实现但效果较差;安全性不强,针对性差。 未提供者不得分。 | 20分 | |
5 | 商务部分 (25分) | 服务方基本情况 | 1.服务方所投服务供应商****测评中心颁发的安全运营类资质证书,得3分,不具备得0分,应提供相关证明材料复印件。 2.服务方所投服务供应商为网络安全应急服务支撑单位,获得国家级(甲级)证书得3分,省级(乙级)得2分,否则得0分,应提供相关证明材料复印件。 | 6分 |
6 | 合法来源 | 投标人需具备服务厂商提供的正式授权函,以证明其有权销售和服务相关产品或服务,提供相关证明并加盖服务厂商公章得5分,不提供不得分。 | 5分 | |
7 | 同类型信息安全服务项目实施经验 | 近三年(2021年1月1日起)服务方所投服务供应商所承担的类似的信息安全服务项目等,每提供一个案例得2分,最高得8分。注:提供相关证明材料并加盖厂商公章。 | 8分 | |
服务方所投服务供应商具有最近三年参与重大活动安全保障工作经验,每提供1个不同客户的重大活动安全保障服务证明文件得2分,最高得6分。注:1.证明材料:商务合同、任务书、感谢信、表扬信等材料之一的复印件,加盖公章;2.业绩不重复计分。 | 6分 |
(二)评标规则
各评委必须按照本办法据实评分。凡评分不符合本办法规定者,为无效评分。
评标过程中,各种数字计算均精确至小数点后两位。
评标委员会根据总分由高到低对供应商进行排名;得分相同的,按投标报价由低到高进行排名;得分且报价相同的,按技术标得分由高到低排名。按照上****委员会推荐前三名供应商为中标候选人。
评定标过程中,若出现本办法以外的特殊情况时,将暂停评标,****委员会研究确定后,再行评定。
评标委员会经评审,认为投标供应商的投标不符合采购文件要求的,可以否决其投标。
本评标办法解释权归采购人。
十、定标
****地震局根据评标结果确定成交单位,对未成交单位不做原因解释。
****地震局
2024年11月27日