一、说明部分

经研究,决定对信息安全服务项目进行询价招标。现将有关事项明确如下：

1、投标书须用密封信封递交，并在信封盖上公章，写明采购项目名称。于 2020年 09月 27日上午11点之前（北京时间）送往嘉兴市自然资源和规划局803室。

联系人：魏先生，联系电话：0573-82131501。开标时间由采购单位确定，邀请局招标小组开标。

2、本项目投标内容：信息安全服务，具体内容详见附件1招标内容。

3、本次招标设有预算指导价，预算指导价:16万元。各服务商的报价总价不得高于预算指导价。原则上同等服务下最低价中标，如果出现两个或两个以上最低价，采购单位有权从最低报价服务商中决定中标方。

4、采购单位有权根据市场调查情况对报价结果进行对比，如有异常情况，采购单位有权提出暂不采购，并不向各维护商解释具体原因。

5、合同签订：合同由采购单位与中标方双方签订。

6、交货方式：根据合同约定提供维护服务。

7、付款条件：合同签订后30个工作日内付款，签订合同前中标人应向采购单位交纳合同金额的10%作为履约保证金。

8、违约责任:具体违约条款及其它未尽事宜，将在双方签订合同时议定。

▲9、特别要求

9.1、以上项目现场情况较为复杂，投标单位必须制定详尽的服务方案（需要投标文件中提供），服务方案不可行的报价无效。

9.2、中标单位在接到采购单位的服务需求通知后，必须在2小时内现场响应，并在4小时内解决问题，如采购单位认为中标单位无法在上述时间内提供响应服务的，采购单位有权要求投标单位以常驻维护人员的形式提供维护服务。

9.3、中标单位在需要进入采购单位主机房（数据中心）进行服务时，必须要有采购单位管理人员的陪同。

9.4、中标单位须保证采购单位任何数据不外泄，如发生由中标单位引起的数据泄密，由中标单位承担全部责任。

9.5、本项目投标商需注册在浙江省范围内。

9.6、服务时间从2020年12月1日至2021年11月30日。

嘉兴市规划管理服务中心

2020年9月24日

二、服务内容

1. 资产维护服务要求

1.1资产维护服务

资产作为一切应用的根源，对资产的发现归类更是重中之重， 服务商专业安全服务团队通过自动化探测工具和人工排摸核查归类对业主单位网络、安全设备资产、主机设备资产、重点应用系统资产等进行详细排摸普查登记造册并且进行赋值，最终提供资产梳理表。

网络、安全设备资产主要为：核心、汇聚交换机、防火墙、隔离网闸、web应用防火墙、IPS、上网行为管理等资产。

主机设备资产主要为：业务服务器主机。

重点应用系统资产主要为：边界出口映射的应用系统，核心业务应用系统。

资产维护前与业主单位进行沟通交流，由服务商安全服务人员用专业的资产发现工具对业务资产进行发掘维护，同时通过访谈、机房排摸等人工方式进行业务资产发现维护，针对发现的业务资产进行人工归类整合，最终将资产梳理表提交用户。

服务商专业安全服务团队通过自动化探测工具和访谈、人工机房排摸等多种方式对业主资产维护归类并进行赋值。

服务期内每年开展1次，一年1次。

2. 安全评估服务要求

2.1基线核查服务

安全基线是保持信息系统安全性、机密性、可用性的最小安全控制，是系统最小安全保证，是最基本的安全要求。安全基线包含配置核查，是人员、技术、组织、标准的综合的最低标准要求。

根据用户工作需求，采用人工现场设备检查的方式或者自动化基线检测方式对系统和设备等进行全面的安全配置核查和分析，发现配置的不合规项，并结合行业实际需求提出系统整改建议，输出报告。

基线核查内容包括但不限于以下内容：

Ø  操作系统安全检查

业务系统涉及到的操作系统，如Windows、Linux等进行安全配置缺陷的检查与评估。核查内容包括（但不限于）：身份鉴别方式、帐号安全设置、多余帐号和空口令检查、默认共享检查、文件系统、系统访问控制、日志及监控审计等安全情况。

Ø  网络、安全设备配置检查

对用户信息系统涉及到的网络安全设备，如防火墙、入侵检测系统、路由器、交换机等进行安全配置缺陷的检查与评估。核查内容包括（但不限于）：帐号安全设置、管理权限和角色设置、多余帐号和缺省口令检查、备份和升级情况、访问控制、日志审核、远程访问等安全情况。

基线核查前与业主单位进行沟通交流，确定检查目标，签订基线核查授权书，然后由服务商安全服务人员用专业的基线核查工具或者工人核查表对业务所在的网络设备、安全设备、主机系统等进行配置核查，针对核查内容进行分析整理，最终出具基线核查报告提交给用户。

要求服务期内每年开展1次，一年1次。

2.2主机漏洞扫描服务

主机漏洞扫描是脆弱性识别的重要手段，能够帮助用户发现设备和系统中存在的严重漏洞，帮助用户了解技术措施是否有效执行，并通过及时修补完善，避免对信息系统造成严重影响。

服务商将采用专业的主机漏洞扫描工具，对服务范围内服务器主机设备进行全面漏洞扫描与分析，扫描设备检测规则库及知识库应涵盖CVE、CNCVE、CNVD、CNNVD等标准。扫描完成后人工验证所发现的操作系统漏洞、信息泄露及配置不当等脆弱性问题，并提供漏洞扫描报告，并针对漏洞扫描中出现的问题，提供解决修复建议。

主机漏洞扫描前与业主单位进行沟通交流，确定主机漏洞扫描目标及测试范围，签订主机漏洞扫描授权书，然后由服务商安全服务人员用专业的主机漏洞扫描工具对业务所在的服务器主机等进行漏洞扫描，针对漏洞扫描内容进行分析整理验证，最终出具详细的主机漏洞扫描报告给用户。

要求服务期内半年开展1次，一年2次。

2.3 WEB漏洞扫描服务

WEB漏洞扫描是脆弱性识别的重要手段，能够帮助用户发现WEB应用中存在的严重漏洞，帮助用户了解技术措施是否有效执行，并通过及时修补完善，避免对信息系统造成严重影响。

服务商需采用专业的WEB漏洞扫描工具，对服务范围内的WEB应用（例如网站、业务平台等）进行全面漏洞扫描与分析，扫描内容包括支持OWASP TOP 10等主流安全漏洞的自动检测。扫描完成后人工验证所发现的WEB应用漏洞、信息泄露及配置不当等脆弱性问题，并提供漏洞扫描报告，并针对漏洞扫描中出现的问题，提供解决修复建议。

WEB漏洞扫描前与业主单位进行沟通交流，确定WEB漏洞扫描目标及测试范围，签订WEB漏洞扫描授权书，然后由服务商安全服务人员用专业的WEB漏洞扫描工具对WEB应用进行漏洞扫描，针对漏洞扫描内容进行分析整理验证，最终出具详细的WEB漏洞扫描报告给用户。

要求服务期内半年开展1次，一年2次。

2.4弱口令扫描服务

弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。

弱口令扫描前与业主单位进行沟通交流，确定弱口令扫描目标及测试范围，签订弱口令扫描授权书，然后由服务商安全服务人员用弱口令扫描工具对口令登入应用（例如FTP、SSH、RDP、TELNET、SQLServer等）进行扫描，针对弱口令扫描内容进行分析整理验证，最终出具弱口令扫描报告给用户。

要求服务期内半年开展1次，一年2次。

2.5渗透测试

渗透性测试是对安全情况最客观、最直接的评估方式，主要是模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试，目的是侵入系统，获取系统控制权并将入侵的过程和细节产生报告给用户，由此证实用户系统所存在的安全威胁和风险，并能及时提醒安全管理员完善安全策略。

渗透测试服务通过利用目标应用系统的安全弱点模拟真正的黑客入侵攻击方法，以人工渗透为主，以漏洞扫描工具为辅，在保证整个渗透测试过程都在可以控制和调整的范围之内尽可能的获取目标信息系统的管理权限以及敏感信息。

根据本项目需求，针对应用进行渗透测试，重点发现其应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险，输出渗透测试报告。服务商主要对WEB类应用系统进行渗透测试。

通过采用适当测试手段，发现测试目标在信息系统认证及授权、代码审查、被信任系统的测试、文件接口模块报警响应等方面存在的安全漏洞,并现场演示再现利用该漏洞可能造成的客户资金损失，并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。

服务商需派遣具有安全服务经验的工程师，采用远程或到现场的方式，对目标系统进行渗透测试工作并出具《渗透测试报告》。

要求服务期内每年开展1次，一年1次。

3. 安全运营类服务介绍

3.1安全协助加固服务

针对测评公司出具的等级保护整改建议书或安全检测的结果，对所发现网络、安全、主机层面的漏洞协助用户进行统一安全加固，专业的设备和系统由供应商按“安全基线标准”进行加固，服务商协助配置加固指导，最终确保系统的高安全性和高可用性。

信息系统的加固主要包括三个方面：操作系统加固、网络设备加固和安全设备加固。

Ø  操作系统安全加固

包括：检查系统补丁、停止不必要的服务、修改不合适的权限、修改安全策略、检查账户与口令安全、开启审核策略、关闭不必要的端口等。

Ø  网络设备安全加固

包括：禁用不必要的网络服务、修改不安全的配置、利用最小特权原则严格对设备的访问控制等。

Ø  安全设备安全加固

包括：禁用不必要的网络服务、修改不安全的配置、删除多余的安全策略、删除不安全的NAT策略、新增安全策略、升级特征库等。

安全加固前与业主单位进行沟通交流，确定加固内容，签订安全加固授权书，然后由服务商安全服务人员对业务所在的网络设备、安全设备、主机系统等进行安全加固，最终出具安全加固报告提交给用户。

要求服务期内每半开展1次，一年2次。

3.2安全行为检测服务

通过分析态势感知及APT设备，对业主内网安全行为监控分析，发现异常连接行为，并提供威胁分析报告。

安全行为检测服务主要是查看APT或者态势感知高危及已失陷的告警，对于该些告警进行分析研判，将确认过的告警告知用户，提供整改建议，指导用户进行整改。常见的告警标签为：永恒之蓝、挖矿病毒、勒索病毒、僵尸网络等。

安全行为检测服务前与业主单位进行沟通交流，确定检测内同，签订安全行为检测授权书，由服务商安全服务人员对设备告警进行分析，最终出具威胁分析报告给用户。

要求服务期内每月开展至少2次。

3.3应急响应

安全应急响应主要是针对安全事件发生时，及时，准确的解决安全事件，化解安全危机、将安全事件的风险及损失降到最低。安全事件是指在客户信息系统中出现的影响业务正常运行的任何异常事件。例如：破坏系统的完整性、系统资源拒绝服务、通过渗透或者入侵的方式来对系统进行非法访问，系统资源的滥用以及任何可能对系统造成损害的行为等。

应急响应服务是由服务商安全团队对用户业务环境中的安全事件进行响应，对用户的主机安全数据进行分析、全方位监测发现的威胁和异常进行快速响应和处置，并针对安全事件进行深入调查和原因分析；同时输出事件响应处理报告，帮助用户正确应对攻击入侵事件，降低安全事件带来的损失。

服务商信息安全紧急响应服务方式分为远程支持或现场支持。

当远程支持无法解决问题时，将派遣专业的紧急响应服务人员在第一时间到达客户所在地提供现场支持服务，保证在任何时候客户都能及时找到服务商的相关专业技术人员。当发生紧急安全事件，在征得客户许可的前提下，服务商应立即启动应急预案进行远程修复，必要时通过强制措施保护客户数据、资料安全。采取远程与现场支撑相结合的方式，第一时间处理显现威胁，并提供应急响应报告。

3.4安全培训

通过开展信息安全培训工作，使客户最终达到强化安全意识，理解安全理论，掌握安全技术，获得安全实践经验，甚至通过安全认证，使得信息安全人员能够掌握安全方面必要的专业理论和技能，全面提升从事信息安全工作人员的管理和技术水平，保证其能够胜任相应的岗位，且能够融会贯通并应用于企业的安全建设当中。

从信息安全角色的职责出发，分析承担此职责应具备的能力，进而分析通过何种培训帮助其建立工作能力，建立层次化的培训体系。要求服务商提供信息安全意识、信息安全技术、信息安全管理等方面的培训。

要求服务商提供相关场地、讲师、材料及会务服务等。服务期内每年开展1次，一年1次。

3.5重保值守服务

为响应特殊时期客户业务系统的信息安全应急保障需求，提供短期的信息安全检查结合7*24小时值守的方式为客户的业务系统在特殊时期保驾护航。

在重大活动期间（两会、国庆等）或重大网络安全事件期间提供现场安全值守服务，提供具有丰富的应急处理能力和安全服务技术经验的工程师。驻场时间由我公司和客户方商议决定，直至重大网络信息安全事件结束。

服务商根据重保期间信息安全保障工作需要，将在用户授权下，进行相关网站、重要业务系统、网络进行安全检测、监测及安全值守工作。在工作中要求做到人员实时待岗响应、安全问题及时发现、及时验证、及时通报，确保发生安全事件时能够及时处置。根据重保时间进行保障，服务期内根据甲方重保值守需求开展服务，不限次数。

具体工作要求如下：

1.建立安全值守值班表，明确人员分工和职责，各现场值守人员和应急保障人员在保障期间内不得离杭，要保证24小时电话畅通，随时可使用互联网进行工作，并能够运维自身负责的系统。

2.明确各重要系统监测范围、监测对象和监测责任人。

服务方式根据实际情况包含:

1) 通过部署采集设备采集必要的事件信息。

2) 通过平台实现事件的管理和分析，提供实时的告警。

3) 通过现场运维值守人员，通过人工方式提供对事件的监测、分析和确认。

4) 通过与国家主管机关的合作获取最新安全信息。

4. 其它要求

1、要求服务商必须具有相关安全服务能力，合同签订前必须提供相关资质的复印件。

2、费用说明：包含人工、调试费、培训、税收等一切费用。

附件1：报价明细表

项目名称：                           单位：元

报价总价（大写）：

法人签字（或盖章）：

投标人公章：                   日期：

信息安全服务项目招标文件.DOC