www.x7183.cn-久久精品国产亚洲不AV,免费观看的AV毛片的网站,黑人巨茎大战中国美女 ,青苹果乐园

重慶市商務信息和數(shù)據(jù)中心2022年網(wǎng)絡安全服務項目

28.86

1

參照服務要求及內(nèi)容

合同簽訂之日起至2023年2月28日

1

網(wǎng)絡安全資產(chǎn)普查服務

1將采購人現(xiàn)有及服務期內(nèi)新增的設備、業(yè)務系統(tǒng)、使用部門、責任人等相關信息整合在一個完整的資料庫中,做到整個信息化環(huán)境中的資產(chǎn)情況做到心中有底,有帳可查。

2、資料庫應包含但不限于操作系統(tǒng)、IP地址、數(shù)據(jù)庫、數(shù)據(jù)庫IP、中間件、開發(fā)語言、應用組件、主管部門、系統(tǒng)數(shù)據(jù)、備份方式等要素。

3、提交“信息化系統(tǒng)資料庫”。

2

滲透測試服務

1、派遣專業(yè)團隊對采購人指定的11個信息系統(tǒng)進行抵抗入侵攻擊能力測試;

服務內(nèi)容:

(1)web應用業(yè)務系統(tǒng)安全檢測:對被測目標業(yè)務系統(tǒng)業(yè)務功能進行安全檢測,對象包括OWASP Top10在內(nèi)的常規(guī)漏洞,如SQL注入、代碼注入、XSS、CSRF、SSRF、XXE、越權、邏輯漏洞、文件包含、文件上傳、任意文件讀取、驗證碼安全等。

(2)Web應用業(yè)務系統(tǒng)支撐服務檢測:對支持Web應用業(yè)務穩(wěn)定運行的服務進行安全檢測,對象包括常見系統(tǒng)服務、常見容器組件、業(yè)務框架、業(yè)務相關支撐系統(tǒng)。

(3)互聯(lián)網(wǎng)暴露面安全檢測:模擬真實的黑客攻擊,通過互聯(lián)網(wǎng)(外網(wǎng))對被測系統(tǒng)進行安全檢測,檢測范圍包含應用層安全、系統(tǒng)安全、運維安全等

(4)內(nèi)部網(wǎng)絡網(wǎng)安全檢測:以外部獲取內(nèi)網(wǎng)主機權限,或直接接入企業(yè)內(nèi)網(wǎng)的方式,對內(nèi)網(wǎng)進行橫向深度安全檢測,發(fā)現(xiàn)內(nèi)網(wǎng)中的安全問題,如業(yè)務系統(tǒng)未授權訪問、系統(tǒng)弱口令、核心敏感信息泄露等。

服務方式:

(1)信息采集分析,通過包括主機網(wǎng)絡掃描、操作系統(tǒng)類型識別、應用判別、賬號掃描、配置判別等,收集業(yè)務系統(tǒng)所在業(yè)務場景中的關聯(lián)資產(chǎn)信息;在信息搜集和整理環(huán)節(jié),優(yōu)先考慮受測網(wǎng)站或程序的基本參數(shù),以便盡可能減少其在測試過程中受到的壓力,保證目標業(yè)務系統(tǒng)穩(wěn)定運行;

(2)針對目標業(yè)務邏輯、網(wǎng)絡環(huán)境、系統(tǒng)架構,通過信息收集和數(shù)據(jù)分析,通過對漏洞的路徑式利用的評估,根據(jù)目標系統(tǒng)(包含網(wǎng)絡、主機、數(shù)據(jù)庫、中間件、應用系統(tǒng)等)所存在的脆弱點,對目標所獲取的權限級別來確定進一步進行脆弱點資產(chǎn)的探測或進一步收集目標系統(tǒng)信息,提升權限,最終獲取系統(tǒng)最高權限;

(3)滲透測試過程中,安全測試人員針對整個安全測試過程進行詳細記錄,呈現(xiàn)整個安全測試的完整攻擊路徑;測試完成后,安全測試人員清理測試過程中的操作痕跡,恢復目標系統(tǒng)至原始狀態(tài);

(4)輸出滲透測試報告,報告將客觀記錄漏洞的挖掘與利用過程,將整個滲透測試過程中的脆弱點串聯(lián)形成攻擊路徑,方便漏洞復現(xiàn);同時提供清晰可落地的修復建議,幫助快速修復隱患,總結(jié)抵御攻擊的最佳實踐評定安全漏洞級別并提出可行的修復建議,幫助客戶解決影響業(yè)務系統(tǒng)安全的關鍵威脅;

(5)滲透測試報告陳述,由安全測試人員向客戶復盤測試過程并講解報告內(nèi)容,涵蓋漏洞成因、危害程度、修復建議,以及為防止同類問題再次發(fā)生而應采取的流程規(guī)范等。

2、由專業(yè)安全工程師模擬黑客使用的漏洞發(fā)現(xiàn)技術和攻擊手段,對目標網(wǎng)絡、系統(tǒng)、主機應用的安全性深入的探測,以發(fā)現(xiàn)整個系統(tǒng)中最脆弱環(huán)節(jié)。發(fā)現(xiàn)系統(tǒng)在編碼、設備配置等方面存在的安全隱患,分析各項安全漏洞遭黑客利用的難易程度及可能帶來的負面影響,相應的安全整改方法,并根據(jù)檢測結(jié)果提供詳盡的測試報告,總結(jié)系統(tǒng)漏洞并提出整改建議。

3、測試過程中,使用專業(yè)的安全分析工具(至少包含專業(yè)的主機網(wǎng)絡安全分析、應用系統(tǒng)安全析工具)對待測系統(tǒng)進行安全分析。滲透測試工作完成之后,將本次滲透測試工作過程中所發(fā)現(xiàn)的信息系統(tǒng)的安全問題及處理方法進行總結(jié);

4、服務對象為甲方指定11個信息系統(tǒng);

5、出具《滲透測試報告》。

3

實時監(jiān)測服務

自中標之日起至二十大閉幕前對采購人11個信息系統(tǒng)實時監(jiān)測網(wǎng)絡安全威脅,內(nèi)容包括:

1、對系統(tǒng)(IPV4、IPV6)的安全狀態(tài)進行全方位監(jiān)測,包括網(wǎng)站漏洞(各類Web應用漏洞、網(wǎng)站敏感信息泄露);

2、對系統(tǒng)安全事件(網(wǎng)頁掛馬、暗鏈、關鍵詞、挖礦、敏感圖片、變更)監(jiān)測;

3、對系統(tǒng)可用性(網(wǎng)站訪問速度、網(wǎng)站應用狀態(tài))及網(wǎng)站信息(ICP備案、Alexa排名、IP、網(wǎng)站使用的三方組件及應用)監(jiān)測;

4、基于單個或多個系統(tǒng)的歷史歷次檢測結(jié)果繪制各類趨勢圖、柱狀圖、餅圖。

5、系統(tǒng)漏洞監(jiān)測包含信息泄露、配置風險、代碼執(zhí)行、目錄穿越、目錄瀏覽、文件包含、命令執(zhí)行、注入漏洞、跨站腳本攻擊、木馬后門、Web應用程序漏洞、文件上傳、跨站請求偽造等各項Web漏洞以及相關敏感信息泄露等

6、對監(jiān)控系統(tǒng)進行如監(jiān)控標簽的自定義、修改網(wǎng)站標題、自動向網(wǎng)站管理人員發(fā)送告警郵件/短信等;支持系統(tǒng)綜合檢測情況報告生成,報告格式支持常見的Word/PDF/CSV格式等;

7、出具《網(wǎng)站監(jiān)測報告》。

4

保密檢查服務

對采購人指定的250臺計算機進行全面的保密安全檢查,內(nèi)容包括:

1、是否使用非涉密網(wǎng)絡(含非涉密工作內(nèi)網(wǎng))、互聯(lián)網(wǎng)門戶網(wǎng)站、互聯(lián)網(wǎng)郵箱、即時通訊工具及公共云服務平臺等存儲、處理、傳輸國家涉密信息。

2、是否使用非涉密計算機及移動存儲介質(zhì)存儲、處理國家秘密信息。

3、是否使用非涉密辦公自動化設備存儲、處理國家秘密信息。

4、是否使用手機、智能手表、錄音筆等電子設備存儲、處理國家秘密信息。

5、是否落實信息公開發(fā)布保密審查機制。

出具《保密檢查報告》。

5

安全培訓服務

1、提供有針對性的網(wǎng)絡安全培訓,內(nèi)容包括網(wǎng)絡安全意識教育、國家等級保護等相關標準的培訓;

2、為了培訓更具精準性,具體培訓內(nèi)容及時間由采購人決定;

3、培訓頻度為1次。

6

應急演練服務

協(xié)助采購人開展一次應急演練服務,內(nèi)容包括:

1、定制演練方案。根據(jù)國家相關網(wǎng)絡安全應急預案及標準規(guī)范,結(jié)合客戶既定的網(wǎng)絡安全應急預案及規(guī)章制度,契合客戶的業(yè)務場景,依據(jù)應急演練主題為客戶量身定制符合客戶業(yè)務場景的網(wǎng)絡安全應急演練方案,對演練的分類、流程設計,演練場景設計、演練人員安排、解說腳本設計等進行設計規(guī)劃;出具《網(wǎng)絡安全應急演練方案》

2、執(zhí)行應急演練。通過執(zhí)行既定主題的應急演練,模擬客戶業(yè)務場景中可能真實發(fā)生的網(wǎng)絡安全事件,體現(xiàn)客戶內(nèi)部在應對網(wǎng)絡安全突發(fā)事件時內(nèi)部應急處置過程,檢驗應急響應過程中整個應急處置團隊的協(xié)同處置能力,提升客戶網(wǎng)絡安全應急意識和應對突發(fā)事件的能力;出具《網(wǎng)絡安全應急演練報告》

3、優(yōu)化應急預案。通過應急演練,檢驗既定的網(wǎng)絡安全應急預案中所暴露的問題,進而驗證應急預案在應對真實網(wǎng)絡安全突發(fā)事件的有效性、適用性、可靠性以及人員的協(xié)同性,檢驗應急工作機制是完善,進一步對應急預案進行優(yōu)化。

4、報告輸出,根據(jù)應急演練結(jié)果,對相應的演練過程記錄、演練情況評估、應急預案、演練現(xiàn)場總結(jié)情況等進行系統(tǒng)和全面的總結(jié),并形成《應急演練總結(jié)報告》。

5、必要時修訂網(wǎng)絡安全事件應急預案。

7

應急響應服務

服務期內(nèi)為采購人提供7X24小時、不限次數(shù)的應急響應服務,內(nèi)容包括:

1、當采購人遭受網(wǎng)絡病毒/木馬、黑客入侵、DOS攻擊以及發(fā)生其他網(wǎng)絡安全事件時,供應商服務團隊進行現(xiàn)場排查處理安全事件,保障業(yè)務系統(tǒng)的連續(xù)性,阻止和減小安全事件帶來的負面影響,供應商服務團隊第一時間通過電話進行遠程指導,兩小時內(nèi)到達現(xiàn)場;

2、網(wǎng)絡流量及日志審計:網(wǎng)絡安全突發(fā)事件發(fā)生時,根據(jù)目標系統(tǒng)的網(wǎng)絡流量、系統(tǒng)日志、應用日志、終端日志等進行流量與日志進行檢測;全面審計系統(tǒng)與應用中的日志,識別異常行為;

3、依據(jù)流量與日志全面檢測分析結(jié)果,針對網(wǎng)絡安全事件類型進行定性,研判安全事件類型(如網(wǎng)絡攻擊﹝惡意掃描、漏洞攻擊、暴力破解、拒絕服務等﹞、Web應用攻擊﹝網(wǎng)頁篡改、網(wǎng)頁掛馬、網(wǎng)頁暗鏈等﹞、惡意代碼﹝惡意病毒、僵尸網(wǎng)絡程序、挖礦程序、勒索軟件等﹞、業(yè)務安全﹝數(shù)據(jù)泄露、權限泄露等﹞;

4、綜合分析目標業(yè)務系統(tǒng)中的各類事件痕跡,包括日志審計結(jié)果與漏洞存在情況等,找到攻擊者的入侵途徑;收集攻擊者攻擊時留下的攻擊痕跡,固化好攻擊入侵的數(shù)字證據(jù);

5、針對目標系統(tǒng)進行全面排查和清理系統(tǒng)中的病毒、木馬、蠕蟲、后門等惡意程序,以及Web應用系統(tǒng)中的WebShell、篡改頁面、暗鏈、掛馬等惡意頁面;協(xié)同快速恢復因受到攻擊而無法正常動作的系統(tǒng),最大程度地降低事件對型業(yè)務產(chǎn)生的不良影響;

6、針對攻擊分析中發(fā)現(xiàn)的安全問題提供修復建議,配合用戶需求完成整改和加固,降低業(yè)務安全風險。

7、應急響應報告輸出,應急響應報告報告將完整記錄網(wǎng)絡安全突發(fā)事件應急處置過程與具體應對操作,包括問題表現(xiàn)、產(chǎn)生原因、應急處置流程與手段、應急處置結(jié)果等,幫助評估事件影響,并對事件中暴露出的安全隱患提供針對性的修復建議,提高客戶的事件應對能力。

8、應急響應服務工作完成后,針對此次事件的問題現(xiàn)象、發(fā)生原因以及處理過程,預防措施與建議進行總結(jié)報告;

9、出具《網(wǎng)絡安全應急響應服務報告》。

8

重大活動保障服務

服務期內(nèi)為采購人提供不限次數(shù)重大活動保障服務:

1、在舉行重大活動、處理重要事件、以及特殊保障期(如兩會、法定節(jié)日、敏感時期等)等時間節(jié)點,在活動前進行安全檢查,活動期間實行7X24小時遠程安全值守,保證按照上級要求做到及時處理;

2、重大時刻之前,會根據(jù)采購人信息系統(tǒng)的重要程度及工作規(guī)劃,出具《重大時刻工作方案》,重點規(guī)劃重大時刻的工作內(nèi)容,巡檢計劃、應急處置、人員安排;

3、重大時刻結(jié)束后,對此次重大時刻工作內(nèi)容進行總結(jié),并出具《重大時刻工作報告》。

(一)

《中華人民共和國政府采購法》第二十二條規(guī)定

1.具有獨立承擔民事責任的能力

1.供應商法人營業(yè)執(zhí)照(副本)或事業(yè)單位法人證書(副本)或個體工商戶營業(yè)執(zhí)照或有效的自然人身份證明或社會團體法人登記證書(提供復印件)。

2.供應商法定代表人身份證明和法定代表人授權代表委托書。

2.具有良好的商業(yè)信譽和健全的財務會計制度

供應商提供“基本資格條件承諾函”(格式自擬)

3.具有履行合同所必需的設備和專業(yè)技術能力

4.有依法繳納稅收和社會保障金的良好記錄

5.參加政府采購活動前三年內(nèi),在經(jīng)營活動中沒有重大違法記錄

6.法律、行政法規(guī)規(guī)定的其他條件

7.本項目的特定資格要求

按“三、供應商資格條件”的要求提交(如果有)。

(二)

落實政府采購政策需滿足的資格要求

按“三、供應商資格條件(二)落實政府采購政策需滿足的資格要求”的要求提交(如果有)。

1

有效性審查

響應文件簽署或蓋章

按詢價文件“七、報名資料”要求簽署或蓋章。

法定代表人身份證明及授權委托書

法定代表人身份證明及授權委托書有效,簽署或蓋章齊全。

響應方案

每個包只能有一個響應方案。

報價唯一

只能有一個有效報價,不得提交選擇性報價。

2

完整性審查

響應文件份數(shù)

響應文件正、副本數(shù)量(含電子文檔)符合詢價文件要求。

3

響應程度審查

實質(zhì)性響應

服務響應偏離表和商務響應偏離表。

磋商有效期

響應文件及有關承諾文件有效期為提交響應文件截止時間起90天。

1

報價

(20%)

20

有效的投標報價中的最低價為評標基準價,按照下列公式計算每個投標人的投標價格得分。

投標報價得分=(評標基準價/投標報價)×價格權重×100。

對小型和微型企業(yè)產(chǎn)品的價格給予6%-10%的扣除,用扣除后的價格參與評審。

2

技術部分(45%)

技術要求(30%)

30

A起評分:

有效供應商的起評分為30分。

B扣分條款:

本招標文件“二、服務內(nèi)容及要求”中有1條不滿足的,從起評分中扣除3分;有3條及以上不滿足招標文件要求的,技術要求得分為0分。

安全服務方案(15%)

15

投標人制定的安全服務方案,應包括各項服務的服務目的、服務內(nèi)容、服務方式、服務成果等內(nèi)容,根據(jù)服務方案針對性、科學性、可行性進行評審,優(yōu)的得15分,一般的得8分,差的得3分,未提供得0分。

3

商務部分(35%)

企業(yè)實力(12%)

12

1. 投標人同時具備有效的ISO9001質(zhì)量管理體系認證證書、ISO20000信息技術服務管理體系認證證書、ISO27001信息安全管理體系認證證書的得5分;具備其中2項認證的得3分;具備其中1個證書的得1分;未提供不得分。

2. 投標人同時具備有效的中國網(wǎng)絡安全審查技術與認證中心頒發(fā)的信息安全風險評估服務資質(zhì)認證、信息系統(tǒng)安全集成服務資質(zhì)認證、信息系統(tǒng)安全運維服務資質(zhì)認證證書的,得5分;具備其中2個證書的得3分;具備其中1個證書的得1分;未提供不得分。

3.投標人具備中國電子工業(yè)標準化技術協(xié)會信息技術服務分會頒發(fā)的ITSS信息技術服務標準符合性證書(業(yè)務領域:信息技術服務咨詢設計)的得2分,不滿足得0分。

提供證書復印件并加蓋公章。

服務保障能力(11%)

11

1.投標人擬委派項目經(jīng)理同時具備項目管理認證(高級項目經(jīng)理或PMP)、信息安全專業(yè)人員認證CISP、信息安全保障人員認證CISAW風險管理專業(yè)級、信息網(wǎng)絡安全專業(yè)人員認證證書高級信息安全師認證的得5分;具備其中3項的得3分,具備2項的得1分,其他不得分。

2.投標人二線專家團隊成員,具備CISP-PTE(注冊滲透測試工程師),每提供一個得2分,最多得4分,未提供不得分;

3.投標人二線專家團隊成員,具備CCSSP(國際注冊云安全系統(tǒng)認證專家),每提供一個得1分,最多得2分,未提供不得分;

提供證書復印件、項目所在地社保證明并加蓋公章,社保繳納單位名稱須與投標人一致;二線團隊人員不得重復使用項目實施團隊人員。

售后服務(7%)

7

1.投標人具備有效的售后服務認證證書,售后范圍與本項目相關,售后服務能力達到5星級的3分,沒有得0分。

2.投標人具有穩(wěn)定售后服務團隊且具有專業(yè)認證售后服務管理師的,每提供1名得1分,最多得3分。

3.供應商承諾響應時間小于30分鐘且到場時間小于2小時的,得1分。

提供證書復印件、項目所在地社保證明并加蓋公章,社保繳納單位名稱須與投標人一致。

業(yè)績(5%)

5

投標人近2年(2021-2022)承接過類似信息安全服務項目,每提供一個得1分,最多得5分,沒有不得分。

提供合同復印件并加蓋公章。