信息中心
首页 > 信息中心 > 首页公告栏

珠海市文化馆《珠海市数字文化馆平台系统网络安全技术服务》项目采购公告

珠海市文化馆《珠海市数字文化馆平台系统网络安全技术服务》项目采购公告
 
项目名称:《珠海市数字文化馆平台系统网络安全技术服务》
      招标内容:完成珠海市数字文化馆平台系统网络安全技术服务,
      包含:
 
     1、信息安全管理制度的制订和执行情况合规性检查;
 
     2、网络安全应急保障领导小组和网络安全应急处置预案的建设;
 
     3、信息安全管理技术防护现状的检查与整改服务;
 
     4、系统的安全评估检测服务;
 
     5、系统网络的高危漏洞的处置服务;
 
     6、全网主机的未知病毒威胁的深度安全监测服务;
 
     7、网络安全应急处置服务
 
     8、网络安全合规性培训服务;
 
     9、系统的云WAF安全防护服务;
 
    10、系统的等保测评和安全差距整改处置服务。
 
 
       招标单位:珠海市文化馆 
 
       招标金额:¥110000元(上限价)
 
       评标办法:最低价中标
 
招标条件:具有相关资格的投标人 
 
报名截止时间:201912月5日17:00止
 
开标时间:2019年12月6日14:30
 
开标地点:珠海市文化馆小会议室(香洲区前山兰埔路164号)
 
投标咨询电话:0756-8996006
 
投诉电话:0756-8996001
 
报名须提供资料: 
 
1.企业法人营业执照原件和复印件。 
 
2.法人代表人身份证原件及复印件(如非本人则须提供法人代表授权委托书和被委托人身份证原件及复印件)。 
 
3.无重大违法记录声明函(复印件加盖公章)。 
 
投标人资格要求: 
       1、投标产品必须完全响应《珠海市数字文化馆平台系统网络安全技术服务》项目采购方案”(详见附件1)的指标要求。
 
       2、投标人递交的资格证明材料须合法有效,须符合国家标准。
 
       3、投标人需提供近2年公司承接过网络系统安全技术服务项目案例3次并提供证明文件。
 
       4、安全服务技术检测工具需要满足招标方案中“★”的要求。
 
       5、不接受联合体、分支机构报价;单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得同时参与本项目的报价。
 
       6、投标人按招标方要求填写《珠海市数字文化馆平台系统网络安全技术服务》
 
 
 

详细的服务内容

根据业主的系统网络安全等级二级标准,对业主当前的信息安全管理制度的制订内容,制度执行情况,进行检查和核实,以保证制度执行的合规性和符合性。对存在的问题进行安全差距整改和处置。1次项

               

2

               

网络安全应急保障领导小组和网络安全应急处置预案的建设

               

依据国家的网络安全政策要求,业主单位应建立网络安全应急保障领导小组和网络安全应急处置预案,在发现系统网络安全事件时,立即启动网络安全应急处置预案。

               

1次项

               

3

               

信息安全管理技术防护现状的检查与整改服务

               

根据业主的系统网络安全等级二级标准,对业主当前的信息安全技术防护现状进行检查,对安全设备的使用,安全策略的配置,设备的安全差距运行情况,进行检查和核实,以保证安全设备运行的合规性和符合性。对存在的问题进行安全差距整改和处置。

               

1次项

               

4

               

系统的安全漏洞检测技术服务服务内容:
1)对业主当前的系统应用安全进行安全漏洞检测技术服务。
工作目标:检测系统应用软件当前所处的风险等级值所处的危险状态。并提交详细的系统应用软件的风险检测反馈报告。
2)对业主当前的系统主机安全进行安全漏洞检测技术服务。
工作目标:检测系统主机当前所处的风险等级值以及主机所处的危险状态。并提交详细的系统主机风险检测反馈报告。
3)对系统的应用软件和主机进行一年四次,每个季度一次的安全评估服务。
4)安全服务技术检测工具需要满足“”的要求。1

               

5

               

系统网络的高危漏洞的处置服务

1次项

               

6

               

全网主机的未知病毒威胁的深度安全监测服务

               

服务内容包括:对业主全网的主机进行未知威胁的深度安全监测服务,内容包括:
ü目标式攻击以及高级持续性威胁
ü勒索软件攻击
ü零日病毒与恶意文件
ü攻击者的网络活动
ü网页威胁如浏览器漏洞程序,网页挂马等
ü钓鱼邮件,鱼叉式网络钓鱼攻击以及其他邮件攻击
ü僵尸网络/ 木马/ 蠕虫/ 键盘记录器

               

1次项

               

7

               

网络安全应急处置服务

               

服务内容是一旦业主的网络和系统发现被“攻击”(包括演习),我司立即启动应急处置机制,确认攻击情况,对攻击的情况进行取证、证据固定、形成取证报告。同时,对攻击造成的问题或风险,进行合规性的解决和处置。

               

1

               

8

               

网络安全合规性培训服务

               

依据《中华人民共和国网络安全法》和《00 GBT 22239-2008 信息安全技术 信息系统安全等级保护基本要求》的要求,业主负责网络安全的相关工作人员,应定期接受安全培训工作。本培训是从以下内容进行重点培训的:
(1)、信息安全的范畴和概况;
(2)、信息安全体系的合规性构建;
(3)、信息安全制度的制订和健全;
(4)、系统等保测评和系统安全差距整改处置;
(5)、网络安全的防范和应急处置等。

               

1次项

               

9

               

系统的云WAF安全防护服务

               

绿盟NSfocus V_WAF.提供远程技术支持服务、1年产品系统和规则升级。支持HTTP吞吐量10Mbps,防护站点数1个。提供Web攻击监测防护服务,包含:SQL注入、跨站攻击、伪造请求攻击、后门植入、上传漏洞攻击、路径遍历等WEB漏洞攻击防护;提供DDoS攻击防护服务,包含:SYN Flood、ACK Flood、UDP Flood、ICMP Flood、DNS Resquest Flood等攻击类型的防护;提供CC攻击防护服务:防护基于应用层的DDoS攻击防护;并提供漏洞监测、网页篡改监测、网页挂马监测、内容变更监测、黑词监测、黑链监测、敏感词监测、网站可用性监测以及标准的报表管理和通报管理模块;提供单个域名一年的基础人工运维服务,服务内容包括: 7X24小时的安全事件监测验证和安全事件通告下发; 7X24小时电话售后服务。

               

1

               

10

               

系统的等保测评和安全差距整改处置服务

               

1、协助业主完成指定的系统在珠海市网警的定级备案;按照等保2.0的标准。
2、测评单位对系统进行差距测评服务:测评内容涵盖管理类测评和技术类测评、单元测评和整体性测评。测评单位提供详尽的中心机房三级系统差异测评报告(含系统差异整改建议;
3、测评单位对系统进行验收测评:测评单位对最终通过系统验收测评的报告,到公安部门备案。
4管理类的安全差距整改服务(含安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理的安全差距整改服务):具体负责完成符合业主实际情况的信息安全管理制度的编制、修订和发布工作(业主提供相关协助);针对业主的实际情况和系统的安全差距报告,为业主编制符合系统(二级)等保测评要求的信息安全管理制度文档,具体内容应包括:互联网使用管理办法、信息安全组织机构管理制度、信息安全事件管理办法、信息发布制度、信息中心机房及服务器安全管理制度、网络安全管理制度、运行维护管理制度、用户管理制度、信息资产和设备管理制度、安全审计管理制度、数据存储介质管理制度、软件开发项目管理制度、废弃管理制度、变更管理办法、办公区安全管理办法、网络安全应急预案制度及各种流程表格等。需要为业主提供以上要求内容的安全制度方案,并根据业主的实际需求对制度进行调整和修订。
5技术类的安全差距整改服务(含物理安全环境、安全通信网络、安全区域边界、安全计算环境、主机安全OS、数据库、系统应用安全的安全差距整改服务):具体负责完成根据测评单位的系统(二级)的测评差距报告,负责完成除修改系统源代码和增配设备材料外的各种差距项的安全整改处置服务工作,包括网络安全差距、主机安全差距、服务器安全差距、全网安全差距、数据和备份安全差距、系统高危漏洞的安全差距等,通过对操作系统、数据库、网络设备及中间件等对象系统(二级)的测评差距报告进行配置检查、状态分析,配置的合规性更改。有助于实现整个系统(二级)的安全防护能力提高。包括但不限于安全策略、漏洞、潜在威胁、弱密码等安全差距项。并对整改处置内容提供详尽的安全整改处置反馈报告,提交给测评单位验收复核测评。
6、对测评单位的系统漏扫报告,应采用不同的安全评估扫描工具再次复核,以确认系统高危漏洞的真实存在,并对全部高危漏洞处置完毕。同时,提交最终的没有高中危漏洞的安全评估检测报告给业主备案。

               

1次项

 

 
 
 
三、安全服务技术工具关键技术要求

参数
设备功能和技术参数要求
厂商资质
厂商需通过ISO27001认证,具备针对安全事件的远程和现场的紧急响应能力,获得中国信息安全认证中心颁发的一级应急处理服务资质证书,获得国家级网络安全应急服务支撑单位
产品资质
★产品要求为国内开发,具备自主知识产权,并经过十年以上应用检验,厂商应承诺产品的高度稳定性和可靠性。
★产品应该是被广泛应用的成熟产品,在国内市场具有较高的市场份额,市场占有率排名在不应低于前3名。须提供知名第三方机构(如IDC)出具的市场占有率排名有效证明材料。
产品要求取得
公安部颁发的《计算机信息系统安全专用产品销售许可证(增强级)》,
国家版权局颁发的《计算机软件著作权登记证书》,
中国信息安全认证中心颁发的《中国国家信息安全产品认证证书(增强级)》(CCC证书),
中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书(EAL3+级)》,
中国人民解放军信息安全产品测评认证中心的《军用信息安全产品认证证书(军B+级)》,
国家保密科技测评中心颁发的《涉密信息系统产品检测证书》
投标文件中提供上述资质复印件加盖投标人公章。
研究能力
厂商为微软MAPP成员,并有48小时内发布产品版本响应微软紧急安全公告能力。请提供微软证明。
★厂商应具备十年以上漏洞研究经验和独立漏洞发掘能力,自主发现的CVE漏洞数量不少于60个,须在厂商网站公开且CVE网站可查证,且获得漏洞厂商在安全公告致谢不少于40次,请提供证明。
★请提供与漏洞扫描相关的公开专利,要求数量不少于5个,请提供证明
服务体系
厂商应具备完善的服务保障体系,拥有总部、分公司、办事处三级技术支持平台,提供统一的免费服务热线,为客户提供高效及时的支持服务
★投标人承担过网络系统安全技术服务项目案例3次并提供证明文件。
产品要求
产品需使用专门的硬件,有自主知识产权的安全操作系统,采用B/S设计架构,并采用SSL加密通信方式,无须安装客户端,用户可通过浏览器远程方便的对产品进行管理。
1U机架式设备,含1个RJ45串口,1个GE管理口,6个10M/100M/1000M自适应以太网电口扫描口,1个接口扩展槽位(支持4电、4光、8电、8光),含交流单电源。
(详细不同型号的硬件配置详见规格功能表)
★支持IPv4和IPv6环境的部署和扫描
产品性能
允许最大并发扫描≥90个IP地址,允许最大并发任务≥15个任务,支持无限IP授权扫描。
开启全插件漏洞扫描、弱口令探测和登陆扫描后扫描速度不低于1000 ip/h。(不同型号性能参数详见规格功能表)
产品应支持多路扫描功能,可以同时对多个隔离业务子网进行扫描。
漏洞管理和分析
★支持检测的漏洞数大于40000条,兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准,并提供CVE Compatible证书。
产品支持对系统漏洞扫描、web漏洞、配置合规进行检查和综合分析,可输出同时包含漏洞扫描和配置核查结果的报表,请提供功能截图。
同时支持远程扫描和采用SMB、SSH、RDP、Telnet等协议对Windows、Linux等系统进行登录扫描。
产品应支持通过多种维度对漏洞进行检索,包括:CVE ID、BUGTRAQ ID、CNCVE ID、CNVD ID、CNNVD ID、MS 编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息。
★提供高级漏洞模板过滤器,支持将符合筛选条件的漏洞自动加入到自定义漏洞模板中,及后续插件升级包中的漏洞也可以自动加入到模板中。
内置不同的漏洞模板针对Unix、Windows操作系统、网络设备和防火墙等模板,同时支持用户自定义扫描范围和扫描策略;支持自动模板匹配技术,请提供功能截图。
★支持扫描国产操作系统、应用及软件的安全漏洞,如红旗、麒麟、起点操作系统,提供详细漏洞列表。
支持针对大数据组件框架的漏洞检测,请提供功能截图。
支持扫描主流虚拟机管理系统的安全漏洞,如:VMWareESX/ESXi,要求能够扫描大于300条相关漏洞,并提供功能截图和支持的漏洞列表。
★支持专门针对DNS服务的安全漏洞检测,包括DNS投毒等漏洞检测能力;支持“幽灵木马”检测;请提供功能截图。
★支持专门针对已有攻击利用代码的漏洞检测,检测用户资产是否存在可利用的漏洞,请提供功能截图。
支持Oracle、MySQL、MS SQL、DB2、Sybase数据库漏洞检查,请提供功能截图。
★支持智能端口挖掘,可以智能发现非默认端口启动的服务,请提供功能截图。
★具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用SMB、TELNET、FTP、SSH、POP3、TOMCAT、SQL SERVER、MYSQL、ORACLE、SYBASE、DB2、SNMP等协议进行口令猜测,允许外挂用户提供的用户名字典、密码字典和用户名密码组合字典,请提供功能截图。
支持立即执行、定时执行、周期执行扫描任务,自定义的周期时间可精确至每*月第*个星期*的*点*分,请提供功能截图。
支持断点续扫,可对已完成的扫描任务中没有被覆盖到的目标重新下发扫描任务,请提供功能截图。
★支持扫描时间段控制,只在指定时间段内执行任务,未完成任务在下一时间段自动继续执行,请提供功能截图。
★支持复用已有任务配置用于新的扫描任务,请提供功能截图。
支持认证信息管理,可将系统登录信息、配置检查模板进行统一管理和配置,提供登录信息导入功能,无须每次下任务时进行配置,请提供功能截图。
支持和微软WSUS补丁系统的联动,能够在发给主机管理员的邮件中附带自动配置WSUS的注册表文件,方便进行自动化的补丁修补,请提供功能截图。
★提供通过资产树对资产进行分级管理,支持设备权重设置和可信设备登记,支持将资产信息批量导入到资产树,可在资产树上直接指定主机开展扫描任务.请提供功能截图。
可以通过多种维度搜索定位资产和查看资产风险,包括并不限于:节点或设备名称、资产IP范围、资产管理员、资产操作系统类型、资产风险等级、漏洞名称、开放的端口、资产banner信息等,请提供功能截图。
★支持风险告警和风险闭环处理,可在集中告警平台灵活配置告警内容、告警方式、告警资产范围等,支持邮件和页面告警,支持单个或批量修改风险状态,请提供功能截图。
★支持自定义风险值计算标准配置,可对主机风险等级评定标准和网络风险等级评定标准进行自定义,请提供功能截图
风险展示和报表
★支持通过仪表盘直观展示资产风险值、主机风险等级分布、资产风险趋势、资产风险分布趋势等内容,并可查看详情,请提供功能截图。
支持在线报表,在线查看展示各节点和主机资产风险分布、漏洞分布、配置合规和脆弱账号信息,在线查看设备风险详情,请提供功能截图。
★支持高级数据分析,可对同一IP的两次扫描结果进行风险对比分析,并可在线查看同一IP的多次历史扫描结果,请提供功能截图。
★支持将按IP范围、起止时间、任务名称、任务状态、漏洞模板、用户等筛选扫描任务,并对筛选结果进行汇总,和生成在线及离线报表,请提供功能截图。
★支持实现显示扫描结果,包括扫描进度、主机存活数、预计扫描时间、漏洞风险信息等,请提供功能截图。
支持扫描任务完成后自动生成报表和发送到指定邮箱或上传到FTP服务器,请提供功能截图。
提供多种报表类型,包括综述报表和主机报表,请提供功能截图。
报表能提供针对不同角色的默认模板,离线报告支持HTML、WORD、EXCEL、PDF等格式,报告可以直接下载或自动通过邮件直接发送给相应管理人员,请提供功能截图。
★提供灵活的报表自定义,可定制报表标题、封面logo、报表页眉和页脚、报表各章节显示内容,请提供功能截图。
多权限用户管理
支持不同用户角色权限管理,区分系统管理员、普通用户、审计管理员等角色,不同管理员拥有不同的管理权限。请提供功能截图。
★支持多用户分级权限管理,可为每个用户角色分配账号、任务级的权限分配、允许登录的IP范围和允许扫描的IP范围等, 请提供功能截图
提供审计功能,能够对登录日志、操作日志和异常报告进行记录和查询,请提供功能截图。
二次开发接口和维护
具备对外接口,支持安全运营平台或其它安全产品通过该接口下发扫描任务以及获取检查结果。
支持分布式大规模部署,可通过统一平台进行集中化管理。
提供备份恢复机制,能够对扫描结果、扫描模板、参数集等配置文件进行导出和导入操作;能够对系统创建还原点对系统进行备份和还原,请提供功能截图。
★提供系统快照功能,当系统出现问题时,可以通过恢复快照,一次性将系统恢复到快照时的版本,并将用户数据一同恢复,请提供功能截图。
支持手动和自动升级。自动定时升级支持Http代理方式,立即升级支持一键式更新。请提供功能截图。
漏洞知识库至少每隔一周进行一次定期升级,请提供截图证明和链接。
★具备应急漏洞响应能力,可在紧急漏洞爆发后第一时间提供检测插件,2016年上半年发布的紧急漏洞检测插件不少于7个。请提供功能截图和链接。
配置核查能力
支持45种以上常见设备和应用的配置检查,包括操作系统、网络设备(路由器和交换机)、防火墙、应用中间件、WLAN设备、虚拟化设备。
★支持虚拟化设备配置核查,包括Hyper-V、VMWare ESXi、VMWare vCenter、XEN、XenServer配置核查
系统默认支持等级保护配置核查规范,可根据主机的级别选择不同级别的等级保护模板,并生成相应的等级保护规范的报表,可根据等保级别搜索和管理主机。
系统默认支持电信行业配置核查规范,依据中国电信[2014]528号《关于印发网络设备等安全配置要求及2011版规范修订表的通知》和[2011]555号《关于印发操作系统等安全配置要求的通知》进行配置核查
系统默认支持移动行业配置核查规范,依据中国移动管理信息系统部《中国移动管理信息系统安全基线规范V2.0》或《中国移动网络部设备安全功能和配置系列规范V2.0》进行配置核查
★系统默认支持工信部配置核查规范,依据工信部发布的《电信网和互联网安全防护基线配置要求及检测要求》(报批稿)进行配置核查
★系统默认支持油化行业合规检查规范,依据中国石油天然气集团发布的《安全配置基线》进行配置核查
支持自定义安全配置检查项和自定义模板,满足用户环境中的特定安全配置要求。
支持远程检查(IP可达),可以远程通过Telnet、SSH、SMB、RDP等协议登录方式对待查设备进行安全检查。
对于不可达网络或者物理隔离网络,支持离线检查,可提供全部操作系统、数据库、应用程序、网络设备、安全设备的离线检查工具。离线检查不安装任何软件。
支持与堡垒机联动,可从堡垒机获取目标设备密码进行配置核查,全程自动化,防止密码外泄。
★支持本地检查,可以利用ActiveX控件对windows主机进行本地检查,仅需要IE访问配置核查设备即可进行本机配置核查。
★支持通过SSH或TELNET登录到跳板机,然后再跳转到远程目标主机进行配置检查,跳转次数不限制。
WEB应用漏洞扫描能力
产品提供Web应用扫描能力,提供多种Web应用漏洞的安全检测,如SQL注入、跨站脚本、网站挂马、网页木马、CGI漏洞等。
可在界面中列出被检测网站的目录结构
Javascript解析引擎的支持,能从Javascript代码中分析出url。
产品支持自定义Cookie进行深入检测。
支持基于basic、NTLM、Cookie等认证方式的Web应用系统安全扫描。
支持登录预录制功能,能够根据用户操作,录制并指定Web扫描url,使产品能够扫描和分析一些常规页面爬取程序检测不到的url。

 
说明:
1.报价人提供的网络安全技术服务检测工具需要提供厂家的原厂授权书文件。
2.本项目网络安全服务技术要求中★”的为技术服务工具的关键技术参数指标,报价人如有任何一项存在负偏离将导致报价无效,并提供厂家盖章的证明文件作为审查依据,未提供或提供不符合要求的,视报价文件为无效文件处理。
四、上限价:110000元整(大写:拾壹万元整)
五、成交原则:满足商务技术要求的最低价格评价法。
六、付款方式
付款方式:签订合同后支付总额的70%,等保测评通过以后后支付余款30%。
 
 
 
 
 
 
 附件2
珠海市文化馆《珠海市数字文化馆平台系统网络安全技术服务》项目用户需求响应一览表
说明:供应商必须对应用户需求条款逐条应答并按要求填写下表。
项目名称:   

序号
询价文件条款描述
供应商响应描述
偏离情况说明
(正偏离/完全响应/负偏离)
 1    
 
 
 
 2    
 
 
 
 3    
 
 
 
 4    
 
 
 
 5    
 
 
 
 6    
 
 
 
 7    
 
 
 
 8    
 
 

备注:此表中“询价文件条款描述”的条款与用户需求中的条款描述不一致的,以用户需求中规定的为准。
 
响应供应商名称(单位盖公章):
 
 
日期:
 
 
 
 
附件3
珠海市文化馆《珠海市数字文化馆平台系统网络安全技术服务》项目投标报价表
项目名称:
 

项目
内容
数量
规格
金额
(元)
1
珠海市数字文化馆平台系统网络安全技术服务
1
 
总计:         元。

备注:本项目最高限价人民币110000.00元。
 
响应供应商名称(盖公章):                            日期: 
 
法定代表人或响应供应商授权代表(签名或盖章):           电话:
 
备注:
1.总报价为各小计之和。
2.报价要求具体见采购文件要求。
3.所有价格均以人民币作为货币单位填写及计算。报价应包含所有分项报价项的名称、规格型号、数量、单价及总报价。总报价应包产品价、增值税、其它税、其他伴随服务的费用、标准附件价、备品备件及专用工具价。
4.本报价应附上详细列出所有分项报价项的名称、规格型号、数量、单价及总报价。