****等级保护测评及安全服务项目于2024年11月27日在**地震信息网发布采购公告,并于2024年12月2日进行投标文件的评审工作。****小组的评审意见,现将成交结果公告如下:
一、采购项目名称:
****2025年网络安全服务务项目
二、采购内容及要求:
1、资产识别与梳理
对****入网资产进行识别和梳理,并在后续服务过程中根据识别的资产变化情况触发资产变更等相关服务流程,确保资产信息的准确性和全面性。全面梳理服务范围内资产的基础信息(包含支撑业务系统运转的操作系统、数据库、中间件、应用系统的版本,类型,IP地址;应用开放协议和端口;应用系统管理方式、资产的重要性以及网络拓扑),并将信息录入到安全运营平台中进行管理。
2、安全现状评估
★系统与Web漏洞扫描:定期针对****入网资产的操作系统、数据库、常见应用/协议、Web通用漏洞与常规漏洞进行漏洞扫描。
弱口令扫描:定期开展针对入网资产不同应用弱口令猜解检测,如:SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等。
基线配置核查:定期检查支撑信息化业务的主机操作系统、数据库、中间件的基线配置情况,确保达到相应的安全防护要求。检查项包含但不限于帐号和口令管理、认证、授权策略、网络与服务、进程和启动、文件系统权限、访问控制等配置情况。
蠕虫病毒事件:服务方需确认文件是否被感染,定位失陷的代码并进行修复。
★风险判断:服务方针对监控发现的漏洞利用攻击行为、Webshell上传行为、Web系统目录遍历攻击行为、SQL注入攻击行为、信息泄露攻击行为、口令暴力破解攻击行为、僵尸网络攻击行为、系统命令注入攻击行为及僵尸网络攻击行为进行分析评估,判断攻击行为是否成功以及业务风险点。
失陷主机分析:服务方需对失陷主机进行分析研判(如后门脚本类事件),并给出修复建议。
潜伏威胁分析:服务方需分析内网主机的非法外联威胁行为,判断是否存在潜伏威胁,并给出解决建议。含:对外攻击、APT C C通道、****联通道等外联威胁行为。
3、安全事件处置
服务方需对发现的问题进行处置,包含内网脆弱性问题,病毒类事件,入侵行为,勒索、挖矿类事件等。
4、脆弱性管理
脆弱性扫描与验证:服务方需提供不少于每月一次针对服务范围内的资产的系统脆弱性和Web漏洞进行全量扫描,并针对发现的脆弱性进行验证,验证脆弱性在已有的安全体系发生的风险及分析发生后可造成的危害。
★优先级排序:服务方需提供客观的修复优先级指导,不能以脆弱性危害等级作为唯一的修复优先级排序依据。排序依据包含但不限于资产重要性、漏洞等级以及威胁情报三个维度。
★脆弱性验证:针对发现的脆弱性问题进行验证,验证脆弱性在已有的安全体系发生的风险及分析发生后可造成的危害。针对已经验证的脆弱性,自动生成工单,安全专家跟进修复状态,各个处理进度透明,方便****清晰了解当前脆弱性的处置状态,将脆弱性处理工作可视化。
修复建议:针对存在的漏洞提供修复建议,能够提供精准、易懂、可落地的漏洞修复方案。
脆弱性复测:提供脆弱性复测措施,及时检验脆弱性真实修复情况。服务方要支持****可按需针对指定脆弱性问题,指定资产等小范围进行,降低脆弱性复测时的潜在影响范围。
脆弱性状态总览:对发现的脆弱性建立状态总览机制,自动化持续跟踪脆弱性情况,清晰直观地展示脆弱性的修复情况,遗留情况以及脆弱性对比情况。
漏洞预警与排查:服务方需实时提供最新漏洞与详细资产信息进行匹配,对最新漏洞进行预警与排查。一旦确认漏洞影响范围后,安全专家提供专业的处置建议,包括补丁方案以及临时规避措施。
5、威胁管理
依托于安全防护组件、检测响应组件和安全平台,将海量安全数据脱敏,包括脆弱性信息、共享威胁情报、异常流量、攻击日志、病毒日志等数据,利用人工智能或云端安全专家分析等技术对数据进行归因关联分析,实时监测网络安全状态,发现各类安全事件,并自动生成工单。
★实时监测网络安全状态,对攻击事件自动化生成工单,及时进行分析与预警。攻击事件包含境外黑客攻击事件、暴力破解攻击事件、持续攻击事件。对病毒事件自动化生成工单,及时进行分析与预警。病毒类型包含勒索型、流行病毒、挖矿型、蠕虫型、外发DOS型、C C访问型、文件感染型、木马型。
服务方需针对每一类威胁,进行深度分析验证,分析判断是否存在其他可疑主机,将深度关联分析的结果通过邮件、微信等方式告知****。结合威胁情报,服务方需排查是否对****入网资产造成威胁,协助及时进行安全加固。每月主动分析病毒类的安全事件,针对服务范围内的业务资产使用病毒处置工具进行病毒查杀,对于服务范围外的业务资产,安全专家协助用户查杀病毒
服务方需每月主动分析攻击类的安全事件,发现持续性攻击,立即采取行动实时对抗,提供攻击类安全事件的处置建议。每月主动分析漏洞利用类的安全事件并验证该漏洞是否利用成功,提供工具协助处置。每月主动分析失陷类的安全事件并协助用户处置,并提供溯源服务。
服务方需每月对****安全组件上的安全策略进行统一管理工作,确保安全组件上的安全策略始终处于最优水平。通过全网大数据分析,发现有境外黑客或高级黑客正在攻击,立即采取行动封锁黑客行为。
6、事件管理
★基于主动响应和被动响应流程,对页面篡改、通报、断网、webshell、黑链等各类严重安全事件进行紧急响应和处置的解决方案。
针对分析得到的勒索病毒、挖矿病毒、篡改事件、webshell、僵尸网络等安全事件,对恶意文件、代码进行根除,帮助****快速恢复业务,排查攻击路径,还原攻击路径,分析入侵事件原因,消除或减轻影响。提供网络安全加固建议指导,结合现有安全防御体系,指导用户进行安全加固、提供整改建议、防止再次入侵。
态势感知平台多源日志接入与分析服务
利用态势感知平台系统,对第三方网络设备、安全设备、操作系统、中间件等日志信息进行解析,解析后的日志可在平台存储和检索。
利用态势感知平台系统,可以查询解析之后的原始日志告警,分为致命、高危、中危、低危和信息,可通过采集器类型与最近时间进行筛选,或直接查询采集器名称/IP地址进行搜索;
利用态势感知平台系统,能够支持的设备及系统数量不少于20个。
8、外部暴漏面检测服务
基于给定一级域名/组织名称(不少于50个IP/子域名、5个根域名)对互联网资产进行探测,主动获取互联网侧所能解析的子域名。基于资产探测任务的结果,深度识别并记录资产下各种资产属性,包含但不限于:子域名、IP、开放端口服务应用、资产变动情况、HTTP响应码、端口banner、组件、归属地、SSL证书等。
★基于后台资产指纹库,对资产数据库进行分类汇总;资产分类包括但不限于:网络产品、云资产、其他;指纹库标记信息包含但不限于:厂商名称、指纹名称、指纹版本号等;
根据****定义的特定关键字或关键字组合,发现并监测微信公众号、微信服务号、微信小程序、APP的资产及变化情况;能够识别资产内容包括但不限于:账号主体、资产类型、微信号、简介等;
9、外部攻击面分析服务
★基于指纹从网络侧发起主动扫描识别漏洞,漏洞类型包括但不限于:Web/应用漏洞、中间件/常用软件漏洞、数据库漏洞、系统漏洞、云类型(容器、虚拟化、云原生等)、设备型漏洞等;
基于暴露面检测的结果,针对互联网资产进行PoC漏洞扫描;PoC漏洞类型包含但不限于:未授权访问漏洞、数据库弱口令、远程登录协议弱口令、远程代码执行漏洞、SQL注入、敏感信息泄露漏洞、文件上传漏洞等;
10、敏感数据泄露监测服务
★能够根据****定义的关键字或关键字组合(不少于50个关键字),对Telegram等黑客活跃的即时通讯软件进行监测,用于发现****相关的黑产舆情事件。
根据****定义的关键字或关键字组合(不少于50个关键字),针对互联网网盘的共享文档进行监测,用于发现****相关的敏感文件泄露事件,支持网盘类型包括但不限于:百度网盘、**云盘、夸克网盘等;
能够根据****定义的关键词或关键词组合(不少于50个关键字),针对互联网文库的共享文档进行监测,用于发现****相关的敏感文件泄露事件,监测范围包括但不限于:百度文库、豆丁、道客巴巴等。
能够根据****定义的关键字或关键字组合(不少于50个关键字),对暗网中的交易平台、黑客地下论坛、勒索团伙站点等进行监测并保持记录,用于发现****相关的暗网敏感数据泄露事件或情报,支持记录具体的网页链接、网页标题、网页内容等;
11、系统交接培训
★挑选出一个业务系统,与客户相关人员共同完成业务策略梳理工作,在服务工作中将系统使用方法、业务梳理流程、系统日常运维方法教给客户相关人员,在系统策略完成后组织现场/线上培训,输出培训材料。
12、安全服务平台
服务方需向****提供满足以下条件的安全服务平台:
★支持面向****的安全态势展示,展示出当前威胁事件信息以及脆弱性信息统计,并支持体现当前风险态势情况。
★支持面向****的安全报告与交付物管理,可生成、导出、下载各类安全报告,包括但不限于《安全服务值守日报》、《特殊时期值守报告》、《安全运营周报》、《安全运营月报》。
★所有可导出报告支持按照自定义模块进行导出,可自定义模块必须包括但不限于事件管理、攻击威胁(外部攻击趋势、TOP5攻击IP等)、脆弱性管理(漏洞、弱密码)。(服务方应提供服务平台支持上述服务报告自定义导出的平台功能证明截图)
★支持展示当前工单数量和工单处置状态,展示安全事件闭环效果,掌握当前专家服务进度,监督服务质量。
★服务方在本项目使用服务工具应支持将收集的安全日志上传到安全运营服务平台上,并支持在该平台上对服务工具进行管理。平台应支持配置****的业务信息,将业务设置为高中低三个不同的等级。在每个业务下,配置业务的资产IP范围。服务平台应支持为****设置白名单,包括自动封锁白名单,策略白名单等。支持重大活动保障时期的备战阶段、实战阶段、演练结束三个阶段的指导性工作流程。
13、外部攻击面管理服务
服务方需向****提供满足以下条件的外部攻击面管理服务:
以攻击者视角对组织数字资产攻击面进行检测发现、分析研判、情报预警和持续监控的资产安全性管理服务;
★借助于SaaS化的支撑平台,来帮助****审视所属资产、第三方及供应链可被利用的攻击可能性;输出《外部攻击面管理服务报告》。
14、服务水平要求
1)安全事件服务要求:
★从安全日志产生到事件通告给****的时间方面,按照国家标准对安全事件的分类分级指南,重**全事件通告时间小于30分钟,一般事件的通告时间少于1小时。
在配备服务方的边界防护服务组件和终端防护服务组件的情况下,运营服务对于重**全事件的遏制影响和处置完成时间小于1小时,对于一般事件的遏制影响和处置完成时间小于4小时。
安全事件经过服务人员的确认后,各类安全事件的判断准确率不低于99%。
在配备了服务方的边界防护服务组件和终端防护服务组件的情况下,安全事件的闭环处置比例达到100%。
★对于重大事故应启动应急响应机制,工作时间15分钟之内进行响应,非工作时间30分钟之内进行响应,事故地点在**市内则2小时上门处置,省内其他城市8小时上门处置。
2)安全威胁服务要求:
从安全日志产出到威胁通告****,重大威胁通告时间少于1小时,一般威胁通告时间少于2小时。
安全威胁经过服务人员的确认后,高级威胁和一般威胁的判断准确率不低于99%。
利用态势感知平台系统提供的多源日志接入与分析服务,能够支持的设备及系统数量不少于20个。
15、安全服务交付物要求
交付物名称:《安全服务运营报告》,报告频率:每周一次,重保期间按需调整
交付物名称:《首次威胁分析与处置报告》,报告频率:一次
交付物名称:《事件分析与处置报告》,报告频率:按需触发,不限次数
交付物名称:《安全通告》,报告频率:按需触发,不限次数
交付物名称:《综合分析报告/运营月报》,报告频率:每月一次
交付物名称:《季度汇报PPT》,报告频率:每季度一次
交付物名称:《年度汇报PPT》,报告频率:每年一次
交付物名称:《外部攻击面管理服务报告》,报告频率:一次
16、服务范围
提供针对不少于50个资产(服务器或虚拟机)的7*24小时安全服务。
17、服务频率
★提供一年内的7*24小时持续专家服务,协助威胁发现及时响应。提供一年内根据****的实际需要,提供一次外部攻击面管理服务。
三、采购结果:
1、成交供应商:****
2、成交价格:壹拾柒万玖仟伍佰元整(小写:¥179500.00元)
3、联系人:贾建生,办公电话:029-****0865
四、付款方式说明:
合同签订后7个工作日内,由乙方向甲方支付10%的履约保证金,甲方收到后向乙方支付合同60%,服务期中期甲方对乙方上半年安全服务质量、定期汇报情况、安全周报月报等交付物交付情况进行打分考核,考核通过后甲方支付乙方合同总金额30%。合同到期后甲方对乙方全年安全服务质量及交付物进行验收考核,验收通过后支付乙方合同总金额10%,并返还所有履约保证金。
五、其他服务要求:
服务方提供的安全服务人员(包括线上分析、咨询及安全事件响应人员)需具有1年或1年以上安全服务工作经验,项目经理和质量负责人必须具备丰富的安全服务经验及相关资质认证,确保人员稳定。如需更换安全服务人员,须由采购单位同意。
六、评审小组人员:
李瑞华窦婧程燕
七、各有关当事人若对本公告有异议,请在公告期内联系采购人。
八、公告期3个工作日。
特此公告。
****
2024年12月3日