采 购 需 求
项目名称:****2024年互联网安全服务、重大时期安全保障和国家安全周宣贯服务采购项目
2024年10月
目 录
1项目概述
1.1项目背景
1.1.1项目目的、意义及背景
1.2项目内容
1.2.1采购内容
1.2.2项目实施要求
2投标/响应要求
2.1对供应商的要求
2.1.1必备资质
2.1.2是否允许联合体
2.1.3是否专门面向中小企业
2.2技术部分投标/响应内容
2.2.1投标/响应方案要求
3项目需求
3.1总体要求
2、攻防演练(重**全保障)和安全周宣贯服务
3.2服务内容和要求
3.2.1技术和服务客观指标
4人员要求
4.1总体要求
4.2管理团队
4.2.1项目经理
4.3技术团队
4.4优选资质/优选指标
5管理实施要求
1、互联网安全服务
2、攻防演练(重**全保障)和安全周宣贯服务
6保密要求
7知识转移要求
8风险管控要求
9履约验收要求
9.1总体要求
9.2具体要求
10其他要求
10.1必备要求
10.1.1★税收信息化项目开发和应用管理工作要求
10.1.2★供应链安全管理要求
10.1.3★信息化服务运维人员要求
10.1.4其他
10.2知识产权要求
10.3付款安排建议
1项目概述
1.1项目背景
1.1.1项目目的、意义及背景
网络安全形势近年出现新变化,网络安全态势变得越来越复杂,黑客攻击入侵、勒索病毒等网络安全事件愈演愈烈,严重威胁到我国的网络空间安全。同时,国内不少关键信息基础设施的建设管理单位安全意识不够、安全投入不足,面临网络安全保护的巨大挑战,让国家关键信息基础设施成为网络攻击的重灾区。
为了检验这些国家关键信息基础设施的实际安全防护能力,网络安全主管单位近年来,****政府部门、央企、内的部分国家关键信息基础设施开展网络安全攻防演练。届时**部将组织由安全厂商、测评机构、安全服务商、运营商等单位的网络安全专业技术人员组成若干攻击队伍对列为目标的系统进行安全攻击测试,验证目标系统安全防护能力的有效性。
为强化**税务服务于百万纳税人和****税务局等互联网业务系统安全性,夯实网络安全基础,全面做好互联网安全保障,确保稳定运行,按照税务系统“外防攻击、内防窃数”的网络安全工作原则,一是做好省局互联网业务系统白帽子安全众测,充分挖掘互联网业务系统安全漏洞,提升业务安全能力。二是按照《网络安全法》和税务系统网络安全规范,开展网络安全攻防演练、重大时期安全保障和每年网络安全周网络和数据安全宣贯工作,拟采购****攻防演练(重大时期安全保障)和国家安全周宣贯服务。
本项目是延续性项目,上一年度服务期采购合同金额为49万元,服务期限为2024年6月24至2025年6月13日,成交供应商为****。
本项目没有分包。
1.2项目内容
1.2.1采购内容
1、互联网安全服务
****税务局互联网应用系统一年2次税务信息系统白帽子安全众测漏洞挖掘服务,****税务局面向社会公众服务的主要互联网应用系统系统14个;一年2次针对网络和数据安全事件应急响应支持服务;服务期一年。
2、攻防演练(重大时期安全保障)和网络安全周宣贯服务:投标人需提供不少于10名安全服务工程师,在本****税务局完成至少三次网络安全相关的攻防演习(省级、行业级及国家级)的安全方案制定、安全测试、安全加固和安全值守工作,按照采购人要求做好年度网络安全宣传周相关宣传内容的编制,宣传手册、宣传展示和网络及数据安全宣传的制作,开展相关的网络和数据安全广泛性宣传。每次攻防演习服务时间不低于20天。派驻的安全技术支持人员需具备全面的安全攻防理论知识,并具备较高的安全攻防能力。
1.2.2项目实施要求
1.2.2.1实施范围要求
采购人指定需要进行安全测试、漏洞挖掘和安全防护的互联网税费业务系统,按照服务要求做好国家、税务行业和省组织的网络安全攻防演习的安全值守及税务系统内网络安全周宣贯等。
1.2.2.2实施时间要求
2025年6月14日-2026年6月13日
1.2.2.3实施地点要求
********中心
2投标/响应要求
2.1对供应商的要求
2.1.1必备资质
2.1.1.1投标人应遵守有关国家法律、法规和条例,具备《****政府采购法》第二十二条的规定和本文件中规定的条件。
2.1.1.2本项目的特定资格要求
无
2.1.2是否允许联合体
否
2.1.3是否专门面向中小企业
本项目专门面向中小企业采购项目
2.2技术部分投标/响应内容
2.2.1投标/响应方案要求
以下相关方案,若作为评审因素,则投标人应在满足★关键指标项要求的前提下,根据项目特点和采购需求,制定更为完整、详细、可操作性强的方案。
投标人应根据需求制定项目实施管理方案,方案内容应包含安全服务团队的组建,国家、行业和省级攻防演练的安全布防总体规划,7*24小时安全值守工作内容、安全众测服务的安排和执行、网络安全宣传周具体宣贯内容及安全应急响应支持服务等
3项目需求
3.1总体要求
1、互联网安全服务
序号
服务内容
数量/年限
说明
1
安全众测服务
2次/1年
应用系统一年2次税务信息系统漏洞挖掘服务,项目服务范围为采购人面向社会公众服务的所有互联网业务系统14个。
2
应急响应支持服务
2次/1年
一年2次针对网络与信息安全事件应急响应支持服务;服务期一年。
2、攻防演练(重**全保障)和安全周宣贯服务
序号
服务内容
服务概述
1
风险评估服务
依据相关规范,在招标方允许的情况下,对目标范围内的系统资产、威胁、脆弱性等各方面进行评估,对主要资产的风险进行定性或定量的脆弱性风险分析,描述不同资产的风险高低状况,给出详细的风险评估报告、整改方案及技术支撑。
2
渗透测试服务
依据相关规范,在保证用户信息系统正常运行前提下,模拟黑客攻击行为通过远程或本地方式对信息系统进行非破坏性的入侵测试,查找针对应用程序的各种漏洞。
3
漏洞扫描服务
依据相关规范,通过远程或者现场方式(具体方式由用户依据实际情况确定)使用专业的国产漏洞扫描工具对信息系统进行全面漏洞扫描工作,为安全加固提供安全建议。
4
基线核查服务
依据相关规范进行通过自动化和人工检查手段对网络(安全)设备的配置以及业务系统中的操作系统、数据库、中间件以及应用程序的配置情况进行核查,判断是否符合安全性要求,是否存在安全风险和隐患,并能根据不同业务系统的要求,进行相应等级的提供设置建议。
5
威胁监测与主动响应服务
安全专家对不**全设备的安全日志、流量进行关联分析,主动识别网络和主机中的安全威胁,协助招标方处置安全事件,并提供加固建议。
6
安全培训服务
根据客户的实际需求提供安全意识、安全理论知识、威胁分析处置理论和实际操作技能培训
7
驻场值守服务
在服务期间,安全人员在现场提供7*24小时安全事件分析、协助用户处置安全服务
8
应急响应服务
当发生外部黑客入侵、数据泄露、木马病毒等突发安全事件时,提供包括事件检测与分析、风险抑制、问题根除、协助业务恢复的服务,能够协助用户快速止损,最大化降低安全事件带来的影响
9
应急演练服务
通过提前制定应急演练预案,并协助单位开展预案演练,提高应对安全事件的处置能力,预防和减少安全事件造成的危害和损失。
10
网络安全宣传周服务
在网络安全宣传周期间,配合采购人单位完成主题安全讲座、安全宣传工作(例如:安全宣传海报展板制作、安全宣传视频制作、安全宣传手册制作)等。
3、服务履行期限
本次安全服务项目服务履行期限为:2025年1月24日-2026年1月23日
3.2服务内容和要求
采购文件(技术部分)中有标注★号的,为必备服务要求,必须满足,如未作出响应,将导致响应无效;#为重要服务内容、△为一般服务内容。
3.2.1技术和服务客观指标
4人员要求
4.1总体要求
本项目包含互联网安全众测服务、互联网安全应急响应支撑服务、重大时期保障和攻防演练等高技术要求服务,需要参与本项目的运维服务人员具有较高网络安全经验、安全渗透和攻击防范技能,精通windows、linux、数据库、中间件安全防护技术,确保能深度发现现有应用系统存在的安全隐患,发生网络攻击时能及时阻断攻击并开展攻击溯源。供应商应针对本项目提供具有网络安全3年及以上从业经验、获得相关网络安全类证书的技术服务人员。互联网众测工作要求每次众测征集不少于15名通过认证的白帽子,重大保障及攻防演习提供不少于10名的专业安全工程师,本****税务局完成至少三次网络安全相关的攻防演习(省级、行业级及国家级)的安全方案制定、安全测试、安全加固和7*24小时安全值守工作。
4.2管理团队
4.2.1项目经理
供应商要配备有经验的专职项目经理,项目经理作为项目的总接口人及项目总负责人,负责项目实施的全面工作。在项目实施过程中,项目经理严格按照项目实施计划,全权负责项目进度的管理与监督,根据实际业务要求、各种**状况、系统运行状况,项目经理须全面规划出符合实际的整个工作进度计划,其中包括:工作进度总时间表和人力**表;各阶段的具体工作内容、工作周期以及相应的负责人员;项目里程牌的定义及完工标准。项目经理将按照制订的工作进度计划对项目实施进行协调、监督与管理,****小组做进度报告;对于计划调整的部分,必须及时向采购人提交变更申请,在得到批准后,及时调整工作进度计划,并在保证工期和质量的前提下,协调各种**,监督项目实施。项目经理要审查技术实施后的项目质量,以确保整个项目顺利、高质量的完成。
4.3技术团队
供应商须为本项目组建二线技术支持团队。二线技术支持团队配置完全,至少包含安全攻防专家、安全溯源专家、数据库专家、安全应急响应专家等。
4.4优选资质/优选指标
5管理实施要求
1、互联网安全服务
(1)测试方法和漏洞至少包括端口扫描、SQL注入、XXE注入、跨站脚本、口令获取、远程命令执行、社会工程、逻辑缺陷、越权漏洞、XSS漏洞、CSRF漏洞、SSRF漏洞、任意文件操作、Web脚本及应用测试、中间件漏洞等。
(2)服务期内,针对涉及采购人的紧急重大类行业漏洞信息、安全事件、重大舆情信息、重要系统漏洞级补丁信息等,供应商应以最直接方式向客户告知漏洞对采购人应用系统的危害、影响范围及修补方案等信息等,必要时提供现场应急响应支持服务。
(3)服务期内,针对涉及采购人的紧急重大类行业漏洞信息、安全事件、重大舆情信息、重要系统漏洞级补丁信息等,供应商应以最直接方式向客户告知漏洞对采购人应用系统的危害、影响范围及修补方案等信息等,必要时提供现场应急响应支持服务。
(4)供应商在服务期内只能验证漏洞是否存在,不得影响系统运行或获取数据。
(5)供应商对服务期间发现的漏洞,及时提供漏洞报告并制**全加固方案,协助采购人开展安全加固工作和回归测试。
(6)供应商应按采购人要求,就紧急、疑难问题提供远程电话或社交工具技术支持。
(7)在发现安全风险后,1个自然日内互联网渗透测试平台技术专家需提供相应的线上漏洞报告和解决建议。
(8)对于用户修复后的漏洞,由供应商提供严格的回检服务,并且在用户申请后的3日内反馈回检结果,确认漏洞是否修复;如若用户修复不成功则会告知用户继续修复,回检次数不做限制。
(9)供应商组织的安全检测,测试内容包括但不限于网络、系统、应用、业务流程等层面,同时应根据各层面特征有针对性的制定测试方案和测试策略,内容包括但不限于测试手法、测试工具、风险规避措施等。
(10)在服务实施方检测出漏洞后,其安全专家需审核漏洞是否真正存在,如若存则第一时间进行邮件****税务局对接人。
(11)为保证被评估目标的覆盖面、真实性、深入性,深度发现应用系统所存在的网络安全问题和面临的网络安全威胁,每次测试参与测试人员不少于10人,时间不少于5天。测试验收时需保证至少发现10个以上导致业务严重危害的高危等级漏洞。
2、攻防演练(重**全保障)和安全周宣贯服务
(1)投标人需提供不少于10名安全服务工程师,在本****税务局完成至少三次网络安全相关的攻防演习(省级、行业级及国家级)的安全方案制定、安全测试、安全加固和安全值守工作。
(2)按照采购人要求做好年度网络安全宣传周相关宣传内容的编制,宣传手册、展板和网络及数据安全宣传视频的制作,开展相关的网络和数据安全广泛性宣传。每次攻防演习服务时间不低于20天。派驻的安全技术支持人员需具备全面的安全攻防理论知识,并具备较高的安全攻防能力。
3、安全技术支持服务
供应商需按照国家关于建设安全防护体系的指导思想,结合**税务业务网络安全的现状,强化互联网安全保障,做好互联网涉税应用系统的安全众测,协助开展相关的安全漏洞整改复测;在攻防演练期间应对可能发生的网络安全事件,最大力度保障本单位网络系统在攻防演练中全面防御来自攻击方的网络攻击,打赢“攻防演练”防御战。同时,加强本单位自身信息系统的安全保护措施,完善信息安全体系建设和实施,提升网络安全防护能力。
建立可靠的安全应急响应预案和应急响应处理流程,最大限度消除系统运行中各类突发事件的危害和影响,保障系统不受突发安全事件的破坏,确保系统的业务连续性和可用性,实现应急响应工作的规范化、制度化和流程化。
按照采购人信息系统运行特点积极做好安全保障和漏洞测试工作,建立信息安全预警和事件快速反应机制,建立高效的事件汇报渠道,保证对信息安全事件做到早发现、早报告、早处理、早恢复等环节的紧密衔接,一旦出现影响信息系统的安全事件,快速反应,及时准确处置。在现有安全监测措施的基础上,对重点系统进行持续和重点加强监控,及时发现安全隐患进行安全预警,并采取针对性的应对措施消除隐患。按照“早发现、早报告、早处置”的原则,加强对信息安全突发事件和可能引发信息安全突发事件的有关信息的收集、分析判断和持续监测。
6保密要求
****总局要求,在提供技术前,供应商和运维服务人员必须与采购人签订相关安全保密协议和承诺书,承诺包括网络安全管理规定和相关保密要求。保密时限最低10年,法律法规有规定的从其规定,中标人未经采购人技术部门和业务部门许可,不得私自对外开放系统接口及系统数据,因个人原因导致采购人安全问题和数据泄密需承担法律责任。
供应商在任何时候对其持有的事务或其事务运转操作方法等信息实行严格保密;除非有书面授权或出于相关方进行活动的必要,不得在任何时间向任何人透露任何保密信息;除非有书面指示或出于履行其义务的合理要求,不得把任何保密信息交给任何人;不对保密信息进行拷贝、抄写、复制、复印、拍照或摄录。
具体要求如下:
1、供应商必须与采购人签署信息安全保密协议,保证采购人信息不被泄露;
2、供应商为采购人提供运维服务的人员必须与采购人签署信息安全保密承诺书;
3、供应商应严格遵守采购人的各项安全管理制度,严格按照操作流程操作,避免人为或非人为因素的信息泄露;
4、进入采购人服务地点的人员禁止携带任何移动存储平台进入工作场地,并要求对接触的信息保密。
5、运维服务人员必须遵守**税务安全管理规范,因个人原因导致采购人安全泄密需承担法律责任。
7知识转移要求
本项目无知识转移要求
8风险管控要求
合同期内,乙方应严格遵守甲方各项网络安全管理制度、税务信息化供应链安全管理等制度,规范人员管理,履行安全保密责任,严格按照合同约定提供业务运维和运行保障服务,如出现以下等失信行为的,甲方可要求乙方限期改正、扣除合同款项等惩戒,视具体情况按次扣除合同总价款1‰至1%之间的金额,合同生效期间累计扣除不超过合同总价款5%的金额;情节严重的,甲方有权采取解除合同、****总局在**税务部门通报、3年内限制参加税****政府采购活动、推送****政府采购失信名单等相关对应措施。
(1)攻击或侵入税务信息系统(包括CA等);
(2)违反采购人网络安全管理规定,造成数据失窃、信息泄露、系统瘫痪等不良后果的;
(3)乙方运维服务质量评价被扣减5分(含5分)以上,且未按承诺改进到位的;
(4)违反合同约定内容,造成不良后果的;
(5****机关提供信息化服务的便利,向纳税人、缴费人搭车收费或变相收费;
(6) 另行开发销售合同业务需求范围内,供纳税人、缴费人使用的软件;
(7)存在馈赠礼品礼金、邀请娱乐消费等非正常交往手段“围猎”税务人员行为的;
(8)违法违规聘用3年内离职且离职前3年内从事过税务信息化及相关信息系统业务条线工作人员;
(9)其他违反规定造成不良后果的行为。
9履约验收要求
9.1总体要求
验收名称
验收要求
第1次验收
服务期结束后开展项目最终验收
9.2具体要求
1、验收主体
由采购人自行组织相****小组进行最终验收。
2、验收时间
合同约定服务期生效日起6个月开展1次项目阶段验收,服务期结束后开展项目最终验收。
3、验收方式
审核本项目互联网安全服务、重大时期安全保障和安全周宣贯服务实施工作内容的完成情况,审核服务的合规性和完整性,与合同要求的符合性。
4、验收程序
中标人应按照采购人要求,移交项目实施过程中的各类文档,并经****小组验收签字。
5、验收内容
(1)服务商应按照采购人要求,移交项目施过程中的各类文档,并经过采购人验收签字。
(2)各项安全服务的执行情况等。
(3)检验各项验收文档资料是否完整、准确、规范。
(4)审查实施服务报告,评价各类服务对象的运行稳定性。
(5)审查服务人员工作主动性,是否按时按量完成采购人交办的与服务相关的工作。
(6)中标人应就项目实施工作,采取文档讲解、会议研讨、培训、在日常工作中进行传帮带等方式,完成对采购人的知识转移工作。
6、主要交付物
中标人应向采购人提供以下文档但不限于下述文档:
(1)服务报告。出具包括但不限于盖章签字的互联网业务系统众测项目服务报告、应用系统安全漏洞修复报告,互联网安全应急响应服务报告,项目验收总结报告、网络安全攻防演练安全测试报告、网络安全攻防演练总结报告,网络安全攻防演练布防技战法报告,网络安全宣传周宣贯工作总结报告等。
(2)实施方案。项目实施技术方案。
(3)会议纪要。按采购人要求召开例会讨论服务过程中出现的问题,记录并整理会议纪要。
(4)项目验收文档。项目验收过程中产生的所有验收报告、明细清单,并汇总成册。
(5)过程文档。项目实施过程中形成的工作计划和工作记录。
(6)变更文档。项目实施过程中的发生的计划变更、内容变更、配置变更等实时记录。
(7)项目其它文档。项目实施过程中需要归档的其它文档。
7、验收标准
(1)服务依据:《****政府采购履约验收管理办法》(试运行)
(2)本项目服务期结束。
(3)中标人保质保量、按整体解决方案如期完成采购人互联网安全众测、应急响应支持、重大时期保障、攻防演习值守及安全周宣贯等工作任务,满足采购人对服务质量、技术指标、服务成果全部要求。
10其他要求
10.1必备要求
10.1.1★税收信息化项目开发和应用管理工作要求
供应商在采购以及后续项目实施过程中,应****总局税收信息化项目开发和应用管理工作要求。对于因失信行为纳入《税务系统信息化服务商失信行为记录名单》的供应商,存在一般失信行为的,由采购人函告服务商;存在严重失信行为的,由采购人约谈服务商主要负责人;对于违反合同约定的,****政府采购有关规定,采购人可采取要求限期改正、在应付合同金额中扣除违约金、解除合同、****政府采购活动等措施;对于存在影响恶劣的严重违法失信行为的,由采购人按规****政府采购严重违法失信行为记录名单。
本项目为运维服务项目,不涉及信息化项目开发和应用管理。
10.1.2★供应链安全管理要求
1、人员资格要求
(1)签订承诺书。供应商应****总局网络安全和保密管理要求,承担技术支持人员的网络安全和保密管理责任,按采购人要求签订协议和承诺书。
(2)开展背景审查。供应商承担技术支持人员背景审查工作,提供其身份证明、履历、家庭成员及主要社会关系、无犯罪记录证明等材料,并提交采购人进行备案。
(3)设置网络安全负责人(由驻场运维人员兼任)。供应商为本项目配备一名网络安全负责人,该负责人具备独立决策能力并保持相对稳定,在项目实施的全过程负责网络安全工作,组织落实各项网络安全要求。
2、日常行为规范要求
(1)工作能力要求。供应商负责对技术支持人员进行资格条件、工作胜任力以及网络安全能力评估,对技术支持人员承担的工作进行安全保密风险分析,明确技术支持人员工作范围和边界,重点防范设备和资料失窃、误操作导致的软硬件故障、工作秘密和税费数据等信息泄露、信息系统越权访问和网络攻击等风险。
(2)教育培训要求。供应商负责对技术支持人员进行网络和数据安全法律法规、网络安全意识、网络安全管理、网络安全技能、保密意识以及网络安全警示教育等培训,上岗前对其进行考核。
3、违约惩戒措施
供应商对供应链安全管理责任落实不到位,造**全事件或产生不良影响的,采购人按照《税务系统信息化服务商失信行为记录名单制度(试行)》(税总办征科发〔2022〕1号)要求,组织对供应商进行失信行为认定,并采取相应的处置措施。
4、安全管控要求
(1)安全技能要求。供应商负责派驻技术支持人员工作胜任、资格条件、以及网络安全能力评估,对技术支持人员承担的工作进行安全保密风险分析,明确技术支持人员工作范围和边界,重点防范设备和资料失窃、误操作导致的软硬件故障、敏感信息泄露、信息系统越权访问和网络攻击等风险。
(2)源代码安全要求。供应商应加强源代码安全管理,开发环境的可信可控,使用第三方组件必须执行测试和升级加固,确保税务供应链安全。
10.1.3★信息化服务运维人员要求
本项目涉及信息化服务运维人员的,运维人员应当是运维单位的正式人员,或者是与运维单位签订1年以上劳动合同且实际工作满1年的人员,常驻运维人员应当为技术骨干。
10.1.4其他
1.本项目中如涉及商品包装和快递包装的,其包装需求标准应不低于《关于印发、的通知》(财办库〔2020〕123 号)规定的包装要求,如有其他包装需求,详见采购文件技术部分相关章节。
2.本项目中如涉及网络关键设备或网络安全专用产品的,应严格执****办公室、工业和信息化部、**部、财政部和****管理委员会 2023年第 1 号《关于调整网络安全专用产品安全管理有关事项的公告》****办公室、工业和信息化部、**部和****管理委员会 2023 年第 2号《关于调整的公告》等相关文件要求,所投标(响应)设备或产品至少符合以下条件之一:一是已由具备资格的机构安全认证合格或安全检测符合要求;二是已获得《计算机信息系统安全专用产品销售许可证》,且在有效期内。
3.本项目中如涉及国家强制性产品认证证书(CCC 认证证书)、电信设备进网许可证、无线电发射设备核准证等市场准入类资质的,应严格执行国家相关法律法规的要求。
以上相关要求,由供应商在响应时应答,在履约验收中,采购人将按照采购文件、中标/成交供应商响应文件、采购合同等对中标/成交供应商提供的货物和服务进行验收,必要时依法依规开展相应检测、认证。
凡因本需求引起的或与本需求有关的任何争议,由双方**协商解决。协商不成时,任何一方****人民法院提起诉讼。
10.2知识产权要求
无
10.3付款安排建议
付款名称
付款要求
付款比例(%)
第1次付款
合同生效之日起且收到发票后10个工作日内支付
30.0
第2次付款
在合同生效并按规定执行6个月后且收到发票后10个工作日内支付
40.0
第3次付款
合同履约期满且验收合格且收到发票后10个工作日内支付尾款
30.0
备注:该需求公示期为3个工作日