機(jī)構(gòu)
比比招標(biāo)網(wǎng)> 招標(biāo)公告 > 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)及網(wǎng)絡(luò)安全運(yùn)營(yíng)服務(wù)(信息中心)招標(biāo)公告
| 更新時(shí)間 | 2025-08-25 | 招標(biāo)單位 | 我要查看 |
| 截止時(shí)間 | 我要查看 | 招標(biāo)編號(hào) | 我要查看 |
| 項(xiàng)目名稱 | 我要查看 | 代理機(jī)構(gòu) | 我要查看 |
| 關(guān)鍵信息 | 我要查看 | 招標(biāo)文件 | 我要查看 |
每天更新 70000 條招標(biāo)信息
涵蓋超過(guò) 1000000 家招標(biāo)單位
網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)及網(wǎng)絡(luò)安全運(yùn)營(yíng)服務(wù)(信息中心)招標(biāo)公告
發(fā)布時(shí)間:****-**-**信息來(lái)源:
重要提示:實(shí)質(zhì)性要求及重要指標(biāo)用★標(biāo)注(“★”必須標(biāo)注在序號(hào)前),★標(biāo)注項(xiàng)不得負(fù)偏離,如果負(fù)偏離,則響應(yīng)文件無(wú)效。
★標(biāo)注項(xiàng)不得負(fù)偏離(投標(biāo)人需提供滿足★標(biāo)注項(xiàng)要求的售后服務(wù)承諾加蓋投標(biāo)人公章證明)
*、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)
*. 服務(wù)目標(biāo)及需求
★*.* 總體目標(biāo)
投標(biāo)人按照網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)*.*標(biāo)準(zhǔn)對(duì)采購(gòu)人的備案需要測(cè)評(píng)的信息系統(tǒng)開(kāi)展信息安全等級(jí)保護(hù)測(cè)評(píng)工作,并符合公安監(jiān)管部門(mén)要求。
★*.*服務(wù)原則
根據(jù)采購(gòu)人實(shí)際的業(yè)務(wù)特點(diǎn)和網(wǎng)絡(luò)結(jié)構(gòu),在測(cè)評(píng)過(guò)程中,投標(biāo)人充分考慮并遵循以下原則:
保密性原則:投標(biāo)人應(yīng)與采購(gòu)人簽訂等級(jí)保護(hù)測(cè)評(píng)保密協(xié)議,對(duì)測(cè)評(píng)的過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密,未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人,不得利用此數(shù)據(jù)侵害采購(gòu)人的權(quán)益,否則采購(gòu)人有權(quán)追究投標(biāo)人的責(zé)任。
標(biāo)準(zhǔn)性原則:測(cè)評(píng)方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國(guó)家等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)進(jìn)行。
規(guī)范性原則:投標(biāo)人工作中的過(guò)程和文檔,應(yīng)具有規(guī)范性,便于項(xiàng)目跟蹤和控制。
可控性原則:測(cè)評(píng)服務(wù)的進(jìn)度應(yīng)符合進(jìn)度安排,保證采購(gòu)人對(duì)測(cè)評(píng)工作的可控性。
整體性原則:測(cè)評(píng)的范圍和內(nèi)容應(yīng)系統(tǒng)、全面、規(guī)范,滿足國(guó)家等級(jí)保護(hù)相關(guān)基本要求。
最小影響原則:技術(shù)測(cè)評(píng)工作應(yīng)盡可能小地影響采購(gòu)人在線系統(tǒng)應(yīng)用及網(wǎng)絡(luò)的正常運(yùn)行,不能對(duì)現(xiàn)有運(yùn)行系統(tǒng)造成影響。在線測(cè)評(píng)應(yīng)在采購(gòu)人許可的條件下進(jìn)行。
★*.* 服務(wù)需求
投標(biāo)人應(yīng)詳細(xì)描述等級(jí)保護(hù)測(cè)評(píng)的整體實(shí)施方案,包括項(xiàng)目概述、定級(jí)備案方案等保測(cè)評(píng)方案、項(xiàng)目實(shí)施方案、時(shí)間安排、階段性文檔提交等。投標(biāo)人應(yīng)詳細(xì)描述測(cè)評(píng)人員的組成、資質(zhì)及各自職責(zé)的劃分。投標(biāo)人應(yīng)配置經(jīng)驗(yàn)豐富的技術(shù)人員進(jìn)行等級(jí)保護(hù)測(cè)評(píng)工作,將測(cè)評(píng)報(bào)告遞交至公安局監(jiān)管部門(mén)并通過(guò)審核。
★*.* 主要工作任務(wù)
*.*.* 協(xié)助完成定級(jí)備案工作,取得備案證明;
*.*.* 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)備;
*.*.* 測(cè)評(píng)方案編制;
*.*.* 現(xiàn)場(chǎng)測(cè)評(píng);
*.*.*出具測(cè)評(píng)報(bào)告及整改建議書(shū);
*.*.*完成測(cè)評(píng)報(bào)告遞交;
*. 服務(wù)范圍及要求
★*.* 服務(wù)范圍
招標(biāo)人單位已完成備案的信息系統(tǒng)中的*個(gè)*級(jí)系統(tǒng)及*個(gè)*級(jí)系統(tǒng)。
★*.* 服務(wù)過(guò)程要求
*.*.* 投標(biāo)人應(yīng)提供測(cè)評(píng)成員的技術(shù)背景資歷資料、從事測(cè)評(píng)的經(jīng)驗(yàn)、人力資源的組織方式、項(xiàng)目實(shí)施的管理方式、項(xiàng)目成員的角色和責(zé)任。
*.*.* 投標(biāo)人應(yīng)承諾在等級(jí)保護(hù)安全測(cè)評(píng)過(guò)程中所使用的工具軟件本身不能有任何安全隱患,對(duì)此應(yīng)承擔(dān)責(zé)任。同時(shí)提供的安全服務(wù)必須在技術(shù)上先進(jìn)和成熟,使用工具軟件版本是最新的并且成熟穩(wěn)定,投標(biāo)人應(yīng)在等級(jí)保護(hù)測(cè)評(píng)過(guò)程中保證系統(tǒng)的穩(wěn)定性。
*.*.* 投標(biāo)人現(xiàn)場(chǎng)工作結(jié)束后,如果采購(gòu)人對(duì)提出的安全問(wèn)題有疑義,投標(biāo)人應(yīng)予解答。
★*.* 服務(wù)內(nèi)容要求
*.*.* 實(shí)施地點(diǎn):采購(gòu)人指定地點(diǎn)。
*.*.* 服務(wù)時(shí)間:**工作日
*.*.* 投標(biāo)人應(yīng)詳細(xì)描述等級(jí)保護(hù)測(cè)評(píng)的整體實(shí)施方案,包括項(xiàng)目概述、測(cè)評(píng)方案、項(xiàng)目實(shí)施方案、時(shí)間安排、階段性文檔提交等。投標(biāo)人應(yīng)詳細(xì)描述測(cè)評(píng)人員的組成、資質(zhì)及各自職責(zé)的劃分。投標(biāo)人應(yīng)配置經(jīng)驗(yàn)豐富的技術(shù)人員進(jìn)行等級(jí)保護(hù)測(cè)評(píng)工作。
*.*.* 投標(biāo)人的測(cè)評(píng)方法應(yīng)符合下述條件:
*.*.*.* 測(cè)評(píng)方法包括訪談、檢查和測(cè)試*種方法,可細(xì)化為文檔審查、配置檢查、工具測(cè)試和實(shí)地察看等多種方法。
*.*.*.* 如需在等級(jí)保護(hù)測(cè)評(píng)實(shí)施過(guò)程中采用在線測(cè)評(píng)工具的,各種工具軟件由投標(biāo)人推薦,經(jīng)采購(gòu)人確認(rèn)后由投標(biāo)人提供并在工作中使用。應(yīng)詳細(xì)描述所使用的安全測(cè)評(píng)工具(軟硬件型號(hào)、功能和性能描述)、使用的方式和時(shí)間、對(duì)環(huán)境和平臺(tái)的要求以及使用可能對(duì)系統(tǒng)造成的風(fēng)險(xiǎn)等。等級(jí)保護(hù)測(cè)評(píng)應(yīng)有詳細(xì)的實(shí)施方案和嚴(yán)格的操作步驟,采取的措施應(yīng)是經(jīng)過(guò)測(cè)試、穩(wěn)定可靠的。
*.*.*.* 安全工具軟件運(yùn)行可能需要的硬件平臺(tái)(如筆記本電腦、**、工作站等)和操作系統(tǒng)軟件等由投標(biāo)人推薦,經(jīng)采購(gòu)人確認(rèn)后由投標(biāo)人提供并在實(shí)際工作中使用。安全測(cè)評(píng)需要的運(yùn)行環(huán)境(如場(chǎng)地、網(wǎng)絡(luò)環(huán)境等)由采購(gòu)人提供,投標(biāo)人應(yīng)詳細(xì)描述需要的運(yùn)行環(huán)境的具體要求。
*.*.*.* 采購(gòu)人各信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)流程分為*個(gè)階段:測(cè)評(píng)準(zhǔn)備階段、方案編制階段、現(xiàn)場(chǎng)測(cè)評(píng)階段、分析與報(bào)告編制階段。
*.*.*.* 測(cè)評(píng)工作本身也會(huì)引入安全風(fēng)險(xiǎn),必須加強(qiáng)測(cè)評(píng)過(guò)程中的風(fēng)險(xiǎn)控制。測(cè)評(píng)實(shí)施前,雙方應(yīng)充分討論并明確測(cè)評(píng)對(duì)系統(tǒng)可能帶來(lái)的風(fēng)險(xiǎn)和隱患,確定測(cè)評(píng)對(duì)象、測(cè)評(píng)方法和工具,并制定應(yīng)急恢復(fù)措施。
*.*.*.* 測(cè)評(píng)操作必須遵守現(xiàn)場(chǎng)運(yùn)行規(guī)章制度,確保系統(tǒng)安全穩(wěn)定運(yùn)行。如需在線測(cè)試,按照相關(guān)工作規(guī)程,事前申請(qǐng),并在供應(yīng)商人員的指導(dǎo)和監(jiān)護(hù)下進(jìn)行。
*.*.*.* 投標(biāo)人應(yīng)重視測(cè)評(píng)保密工作,加強(qiáng)測(cè)評(píng)過(guò)程中的保密管理,確保參與測(cè)評(píng)工作人員的可靠、穩(wěn)定,防止敏感信息泄露。
*.*.*.* 優(yōu)先選擇備用設(shè)備(系統(tǒng))或臨時(shí)搭建的模擬環(huán)境進(jìn)行測(cè)評(píng),避免影響在線系統(tǒng)運(yùn)行。
*.*.*.* 根據(jù)被測(cè)評(píng)系統(tǒng)情況,在測(cè)評(píng)實(shí)施前制定應(yīng)急預(yù)案,加強(qiáng)系統(tǒng)在線應(yīng)急處置能力。
★*.* 實(shí)施團(tuán)隊(duì)要求
*.*.* 投標(biāo)人實(shí)施團(tuán)隊(duì)組成應(yīng)包括有豐富此類項(xiàng)目經(jīng)驗(yàn)的項(xiàng)目經(jīng)理、實(shí)施工程師向采購(gòu)人提供服務(wù),根據(jù)項(xiàng)目總體要求,完成項(xiàng)目需求內(nèi)容。
*.*.* 為保證項(xiàng)目順利進(jìn)行,投標(biāo)人必須組織專業(yè)的實(shí)施團(tuán)隊(duì),項(xiàng)目實(shí)施人員必須具備信息安全等級(jí)測(cè)評(píng)師證書(shū)。技術(shù)、管理人員到現(xiàn)場(chǎng),負(fù)責(zé)及時(shí)組織和進(jìn)行系統(tǒng)測(cè)評(píng);并負(fù)責(zé)解決系統(tǒng)在測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的有關(guān)問(wèn)題。對(duì)于不能勝任工作的現(xiàn)場(chǎng)技術(shù)人員,采購(gòu)人有權(quán)要求投標(biāo)人重新選派人員且不得影響工程進(jìn)度。投標(biāo)人應(yīng)保證項(xiàng)目實(shí)施人員的相對(duì)固定,如發(fā)生人員變動(dòng)需征得采購(gòu)人同意。如果采購(gòu)人認(rèn)為實(shí)施人員不能勝任工作,有權(quán)提出更換。
★*.*文檔交付
交付給招標(biāo)人單位按照合同約定測(cè)評(píng)完成的*個(gè)*級(jí)系統(tǒng)及*個(gè)*級(jí)系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)報(bào)告。
★*.* 服務(wù)質(zhì)量保證
*.*.* 投標(biāo)人在等級(jí)保護(hù)測(cè)評(píng)方案設(shè)計(jì)、實(shí)施的各個(gè)階段,均應(yīng)滿足系統(tǒng)正常穩(wěn)定運(yùn)行的要求。
*.*.* 投標(biāo)人出具的相關(guān)報(bào)告應(yīng)得到等級(jí)保護(hù)行業(yè)主管單位認(rèn)定。報(bào)告*式*份,采購(gòu)人保留*份,公安監(jiān)管部門(mén)*份,測(cè)評(píng)機(jī)構(gòu)*份。
★*.* 保密要求
*.*.* 投標(biāo)人承擔(dān)采購(gòu)人敏感信息的保密責(zé)任,在項(xiàng)目實(shí)施過(guò)程中,雙方需要復(fù)制對(duì)方提供的相關(guān)資料時(shí),應(yīng)提交書(shū)面申請(qǐng),在得到對(duì)方書(shū)面同意后方可復(fù)制,并將數(shù)據(jù)內(nèi)容記錄成表,簽字確認(rèn)。
*.*.* 未經(jīng)雙方書(shū)面同意,不得向第*方透露項(xiàng)目和涉及雙方企業(yè)信息安全、技術(shù)成果的任何內(nèi)容。
*.*.*項(xiàng)目結(jié)束后,雙方必須互相確認(rèn)測(cè)評(píng)過(guò)程中提供的相關(guān)資料,相互承擔(dān)保密責(zé)任。
*、網(wǎng)絡(luò)安全運(yùn)營(yíng)服務(wù)
*. 服務(wù)基本要求
★*.* 提供不少于*名具備滲透測(cè)試能力的駐場(chǎng)安全運(yùn)維工程師,可根據(jù)采購(gòu)人需要對(duì)業(yè)務(wù)系統(tǒng)現(xiàn)場(chǎng)滲透測(cè)試。基于業(yè)務(wù)需要提供為期*年的不少于***流量范圍內(nèi)資產(chǎn)安全運(yùn)營(yíng)服務(wù),提供****小時(shí)持續(xù)專家服務(wù)保障,醫(yī)院網(wǎng)絡(luò)發(fā)現(xiàn)的威脅可及時(shí)響應(yīng),通過(guò)服務(wù)構(gòu)建持續(xù)、主動(dòng)、閉環(huán)的安全運(yùn)營(yíng)體系。
*.* 服務(wù)過(guò)程中需配置不少于*名安全專家作為專屬服務(wù)經(jīng)理(非本場(chǎng)人員),提供持續(xù)在線服務(wù),安全專家需為客戶創(chuàng)建專屬的服務(wù)微信群,對(duì)用戶咨詢或上報(bào)的安全問(wèn)題進(jìn)行及時(shí)響應(yīng)并給出建議。
★*.* 應(yīng)使用安全工具對(duì)用戶服務(wù)資產(chǎn)開(kāi)展互聯(lián)網(wǎng)暴露面探測(cè),以梳理資產(chǎn)面向互聯(lián)網(wǎng)的開(kāi)放情況,快速發(fā)現(xiàn)違規(guī)暴露在互聯(lián)網(wǎng)中的資產(chǎn)及存在的風(fēng)險(xiǎn)并進(jìn)行處置,實(shí)現(xiàn)對(duì)暴露面資產(chǎn)可管可控,降低暴露面資產(chǎn)的風(fēng)險(xiǎn)。
★*.* 提供安全運(yùn)營(yíng)服務(wù),云端檢測(cè)和分析平臺(tái),通過(guò)采集用戶安全設(shè)備和工具的安全告警和安全日志,結(jié)合大數(shù)據(jù)分析、人工智能等技術(shù)手段,為用戶提供****小時(shí)持續(xù)不間斷的安全威脅分析鑒定,同時(shí)在用戶界面進(jìn)行展示。
★*.* 需提供的服務(wù)成果展示門(mén)戶,需要提供安全托管服務(wù)相關(guān)信息的詳細(xì)展示和呈現(xiàn),分別為安全運(yùn)營(yíng)概覽、事件&***;威脅概況、服務(wù)承諾協(xié)議***、勒索風(fēng)險(xiǎn)概況、設(shè)備安全策略檢查、行業(yè)情報(bào),并支持全屏投放展示。
★*.* 需提供專屬客戶成功經(jīng)理和安全團(tuán)隊(duì)的介紹信息,服務(wù)過(guò)程中的動(dòng)態(tài)信息,便于用戶直觀查看安全專家當(dāng)前正在執(zhí)行的任務(wù)和處置的動(dòng)作。
★*.* 需提供安全事件和威脅的概況信息,包括事件&***;威脅總數(shù)、已處置情況,處置中情況,且需要統(tǒng)計(jì)受影響資產(chǎn)的****以及事件&***;威脅類型的分布,提供相關(guān)的專家解讀,對(duì)于每*個(gè)威脅與事件,需提供詳細(xì)處置進(jìn)度(從發(fā)現(xiàn)事件、**研判、專家*次研判、事件處置到完成歸檔)和研判定性結(jié)論,讓用戶全方面了解當(dāng)前安全威脅和事件的運(yùn)營(yíng)成果。
★*.* 需提供勒索風(fēng)險(xiǎn)的概況,包括勒索風(fēng)險(xiǎn)總數(shù),已處置情況,處置中情況,且需要分析受影響資產(chǎn)的****以及勒索風(fēng)險(xiǎn)類型的分布,提供相關(guān)的專家解讀,讓用戶全方面了解當(dāng)前勒索風(fēng)險(xiǎn)的服務(wù)成果。
★*.* 需提供設(shè)備安全策略的檢查情況,包括發(fā)現(xiàn)的策略異常項(xiàng)總數(shù),已處置和處置中的數(shù)量,并提供專家解讀內(nèi)容。
★*.** 需提供行業(yè)情報(bào)的情況,情報(bào)內(nèi)容需包括安全風(fēng)險(xiǎn)通告、全球安全熱點(diǎn)事件總結(jié)、網(wǎng)絡(luò)安全政策法律動(dòng)態(tài)。
★*.** 對(duì)服務(wù)范圍內(nèi)的資產(chǎn)提供網(wǎng)絡(luò)安全事件損失理賠承諾,即在正常服務(wù)過(guò)程中因服務(wù)缺陷導(dǎo)致采購(gòu)人服務(wù)范圍內(nèi)的資產(chǎn)發(fā)生網(wǎng)絡(luò)安全事件時(shí),客戶有權(quán)要求投標(biāo)人賠償該事件給采購(gòu)人直接造成的網(wǎng)絡(luò)營(yíng)業(yè)中斷損失、數(shù)據(jù)恢復(fù)費(fèi)用、第*者責(zé)任、應(yīng)急響應(yīng)損失、網(wǎng)絡(luò)勒索損失,累計(jì)賠付金額不得低于**萬(wàn)元人民幣。
*. 運(yùn)營(yíng)服務(wù)內(nèi)容
*.* 日常安全運(yùn)維服務(wù)
★*.*.* 安全巡檢:統(tǒng)*管理防火墻、***、安全審計(jì)、防病毒系統(tǒng)、漏掃配置核查系統(tǒng)、網(wǎng)頁(yè)防篡改、***應(yīng)用防火墻等安全設(shè)備,監(jiān)控設(shè)備運(yùn)行情況,包括系統(tǒng)日志分析、系統(tǒng)運(yùn)行狀態(tài)等,發(fā)現(xiàn)異常及時(shí)告警處理。管理各安全設(shè)備,包括策略配置、任務(wù)下發(fā)等
★*.*.* 資產(chǎn)梳理:加強(qiáng)資產(chǎn)梳理工作,逐步完善基本信息的管理、查詢、審計(jì)能力,推進(jìn)網(wǎng)絡(luò)安全漏洞等隱患與基本信息的關(guān)聯(lián),以安全隱患為抓手,進(jìn)*步減少網(wǎng)絡(luò)安全漏洞與隱患,提升增改效率。
★*.*.* 資產(chǎn)漏洞全生命周期管理:提供威脅與漏洞管理平臺(tái)作為技術(shù)手段服務(wù)人員將利用平臺(tái)工具,對(duì)漏洞生命周期管理的全過(guò)程支撐
★*.*.* 漏洞掃描:制定常規(guī)基礎(chǔ)安全評(píng)估的流程及制度,根據(jù)業(yè)務(wù)的級(jí)別的不同,使用不同的漏洞掃描工作頻率進(jìn)行漏洞掃描,并輸出報(bào)告。
★*.*.* 安全配置評(píng)估:協(xié)助完成實(shí)現(xiàn)統(tǒng)*的安全配置標(biāo)準(zhǔn)以便規(guī)范日常的安全配置操作,使用軟件自動(dòng)及手工的方式對(duì)操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)及業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行全面檢查及抽樣檢查,并輸出報(bào)告
★*.*.* 弱口令檢查:利用工具及人工的方法,清查操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等的弱口令,并輸出報(bào)告。
★*.*.* 滲透測(cè)試:通過(guò)公網(wǎng)及內(nèi)網(wǎng)環(huán)境對(duì)***應(yīng)用進(jìn)行信息搜集、漏洞探測(cè)、安全防護(hù)突破、獲取權(quán)限、提權(quán)、獲取數(shù)據(jù)等測(cè)試,驗(yàn)證當(dāng)前安全防護(hù)的健壯性及已有漏洞被成功利用的可能性。
★*.*.* 安全加固實(shí)施:參考安全評(píng)估報(bào)告中提供的安全整改建議,與維護(hù)人員制定整改方案及計(jì)劃,在運(yùn)維人員的授權(quán)下,完成相關(guān)系統(tǒng)風(fēng)險(xiǎn)點(diǎn)加固,并對(duì)每*步的整改在風(fēng)險(xiǎn)列表中更新。
★*.*.* 安全加固支持:協(xié)助維護(hù)統(tǒng)*的資產(chǎn)風(fēng)險(xiǎn)列表,對(duì)有風(fēng)險(xiǎn)資產(chǎn)的整改情況進(jìn)行實(shí)時(shí)跟蹤,做到對(duì)資產(chǎn)的數(shù)量、脆弱項(xiàng)分布、整改進(jìn)度等數(shù)據(jù)的實(shí)時(shí)統(tǒng)計(jì)、分析、匯報(bào)。對(duì)于發(fā)現(xiàn)的安全脆弱項(xiàng),參考安全評(píng)估報(bào)告中提供的安全整改建議,配合維護(hù)人員完成整改,并對(duì)每*步的整改在風(fēng)險(xiǎn)列表中更新。
★*.*.** 重大活動(dòng)保障:在重大活動(dòng)時(shí)期,為采購(gòu)人重要**系統(tǒng)資產(chǎn)、包括主機(jī)、網(wǎng)絡(luò)、應(yīng)用等系統(tǒng)進(jìn)行保障,包括監(jiān)控、應(yīng)急處置等。
★*.*.** 安全培訓(xùn):提供安全培訓(xùn)服務(wù),結(jié)合采購(gòu)人網(wǎng)絡(luò)安全的實(shí)際情況和需求,對(duì)安全管理及技術(shù)人員進(jìn)行本地網(wǎng)絡(luò)與信息安全現(xiàn)場(chǎng)培訓(xùn)。
★*.*.** 惡意樣本分析:提供包括惡意文件分析、信譽(yù)分析能力,對(duì)采購(gòu)人信息系統(tǒng)中的可疑文件、外網(wǎng)***訪問(wèn)、疑似僵木蠕**地址進(jìn)行安全性分析,提供進(jìn)*步攔截的依據(jù)
★*.*.** 迎檢支撐工作:規(guī)定*年時(shí)間內(nèi),配合迎接上級(jí)領(lǐng)導(dǎo)的安全檢查工作,詳細(xì)解讀安全檢查細(xì)則,并制定安全迎檢規(guī)范和計(jì)劃,協(xié)助進(jìn)行安全檢查工作。
★*.*.** 安全應(yīng)急支持服務(wù):在業(yè)務(wù)系統(tǒng)發(fā)生安全事件后,安全服務(wù)人員應(yīng)迅速到達(dá)現(xiàn)場(chǎng),協(xié)助采購(gòu)人遏制事件的擴(kuò)大,并恢復(fù)業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)環(huán)境的正常運(yùn)行。
★*.*.** 安全事件實(shí)戰(zhàn)演練:通過(guò)在現(xiàn)網(wǎng)環(huán)境模擬安全事件的真實(shí)發(fā)生,驗(yàn)證現(xiàn)網(wǎng)已有的安全防護(hù)手段是否有效,協(xié)助管理員完成安全實(shí)戰(zhàn)應(yīng)急演練。
★*.*.** 現(xiàn)場(chǎng)安全值守:安全值守的核心工作包括預(yù)警、日常安全監(jiān)控與分析、安全事件管理與響應(yīng),主要提供安全預(yù)警、安全監(jiān)測(cè)和發(fā)現(xiàn)、安全應(yīng)對(duì)能力;另外,還包括了日常安全維護(hù)(防護(hù))工作,提供安全防護(hù)和保障能力。擴(kuò)展服務(wù)是常見(jiàn)安全值守服務(wù)的*種擴(kuò)展,主要包括風(fēng)險(xiǎn)評(píng)估、安全加固、安全咨詢、巡檢、威脅分析等。
★*.*.** 安全預(yù)警通告服務(wù):投標(biāo)人向采購(gòu)人及時(shí)通告最新安全信息,并提供安全響應(yīng)建議。
★*.*.** 信息安全管理體系建立:信息安全管理體系主要包括信息安全保障體系中的信息安全組織體系、制度規(guī)范體系、運(yùn)維流程體系。
★*.*.** 脆弱性閉環(huán)管理:集中管理資產(chǎn)風(fēng)險(xiǎn)和現(xiàn)狀,收集漏洞掃描的掃描結(jié)果,對(duì)互聯(lián)網(wǎng)資產(chǎn)和內(nèi)網(wǎng)資產(chǎn)進(jìn)行備案和監(jiān)控,實(shí)現(xiàn)資產(chǎn)脆弱性生命周期管理,包括漏洞掃描、漏洞修補(bǔ)、漏洞復(fù)查等階段,確保漏洞管理工作實(shí)現(xiàn)從“漏洞發(fā)現(xiàn)”到“漏洞治理”的集中轉(zhuǎn)變。
★*.*.** 異常流量攻擊溯源處置:對(duì)于異常流量攻擊,通過(guò)投標(biāo)人的技術(shù)手段和安全服務(wù),準(zhǔn)確定位攻擊來(lái)源,進(jìn)*步協(xié)助進(jìn)行應(yīng)急處置,并在攻擊事件發(fā)生后可通過(guò)還原攻擊場(chǎng)景,為責(zé)任追查提供數(shù)據(jù)支撐。
★*.*.** *鍵封堵服務(wù):為保障在遭遇突發(fā)安全攻擊事件時(shí),能在最短時(shí)間內(nèi)控制事態(tài)的擴(kuò)散,投標(biāo)人需提供分鐘級(jí)別的解決方案,提供監(jiān)測(cè)與防御能力的手段進(jìn)行檢測(cè)、分析、處置。
*.*.** 內(nèi)網(wǎng)準(zhǔn)入控制:為預(yù)防內(nèi)網(wǎng)攻擊,能結(jié)合醫(yī)院在用的******準(zhǔn)入控制平臺(tái)實(shí)現(xiàn)對(duì)醫(yī)院內(nèi)網(wǎng)(如和平院區(qū)內(nèi)網(wǎng)匯聚機(jī)*******-***,內(nèi)網(wǎng)接入交換機(jī)******-**)、外網(wǎng)(如和平院區(qū)外網(wǎng)匯聚交換機(jī)******-***-**,外網(wǎng)接入交換機(jī)******-***-**)、無(wú)線網(wǎng)絡(luò)的準(zhǔn)入聯(lián)動(dòng)控制。
*.*.** 提供醫(yī)院在用弱電井智能安全監(jiān)管平臺(tái)******許可或第*方軟硬件,支持對(duì)采購(gòu)人全院的弱電井實(shí)現(xiàn)近源攻擊(非法開(kāi)門(mén))實(shí)時(shí)短信,郵件告警,同時(shí)利用醫(yī)院在用的語(yǔ)音網(wǎng)關(guān)******* ******電話告警,并視頻取證。
★*.* 釣魚(yú)演練服務(wù)
*.*.* 為了幫助醫(yī)院評(píng)估組織員工的網(wǎng)絡(luò)安全意識(shí)和安全應(yīng)對(duì)能力,提供*次釣魚(yú)演練服務(wù),服務(wù)包含但不限于釣魚(yú)郵件偽造、釣魚(yú)郵件攻擊、風(fēng)險(xiǎn)操作跟蹤、釣魚(yú)風(fēng)險(xiǎn)分析等。
*.*.* 釣魚(yú)演練工具應(yīng)支持自定義釣魚(yú)郵件模板、批量發(fā)送郵件、攻擊過(guò)程沉浸式大屏展示、演練對(duì)象風(fēng)險(xiǎn)操作跟蹤(風(fēng)險(xiǎn)操作清單、用戶畫(huà)像)、演練日?qǐng)?bào)統(tǒng)計(jì)等。
*.*.* 支持釣魚(yú)鏈接/釣魚(yú)*維碼/釣魚(yú)多種釣魚(yú)演練形式。
*.*.* 支持釣魚(yú)風(fēng)險(xiǎn)操作跟蹤。
*.*.* 釣魚(yú)文案支持郵件模板自定義。
*.*.* 釣魚(yú)頁(yè)面支持鏡像仿真業(yè)務(wù)網(wǎng)站/模板頁(yè)面。
*.*.* 釣魚(yú)郵件內(nèi)容支持收件人;日期等動(dòng)態(tài)變量,發(fā)件人支持中文別名顯示。
*.*.* 支持演練實(shí)況沉浸式實(shí)時(shí)觀看。
*.*.* 輸出《釣魚(yú)演練總結(jié)報(bào)告》《釣魚(yú)演練數(shù)據(jù)統(tǒng)計(jì)表》。
★*.* 威脅狩獵服務(wù)
*.*.* 為了保障醫(yī)院網(wǎng)絡(luò)環(huán)境的安全性,需提供核心業(yè)務(wù)系統(tǒng)的深度威脅狩獵服務(wù),識(shí)別系統(tǒng)中的安全漏洞,使用主流的攻擊技術(shù)和工具對(duì)醫(yī)院網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行深入分析,以評(píng)估醫(yī)院抵抗入侵者攻擊的能力。
*.*.* 深度威脅分析:依托安全運(yùn)營(yíng)平臺(tái),對(duì)外部高價(jià)值攻擊行為進(jìn)行分析。根據(jù)安全事件關(guān)聯(lián)日志與事件上下文,對(duì)重要事件開(kāi)展深入的調(diào)查排除誤報(bào),并給出詳細(xì)的舉證信息。基于安全日志、威脅情報(bào)等信息進(jìn)行主動(dòng)挖掘,對(duì)安全事件進(jìn)行綜合分析,分析事件成因和影響范圍。基于業(yè)務(wù)特定邏輯進(jìn)行深度挖掘,盡可能快地發(fā)現(xiàn)漏洞或攻擊痕跡,發(fā)現(xiàn)潛在的安全隱患和已失陷的主機(jī)。
*.*.* 脆弱性排查:依托安全運(yùn)營(yíng)平臺(tái)整理高危可利用漏洞,并提供可落地的修復(fù)方案以便用戶修復(fù)漏洞。識(shí)別業(yè)務(wù)弱密碼問(wèn)題,并將弱密碼問(wèn)題分級(jí)分類,找出危害大的弱口令,以便優(yōu)先整改。找到對(duì)外暴露的風(fēng)險(xiǎn)端口并做出相應(yīng)的整改建議,如及時(shí)做好風(fēng)險(xiǎn)加固、關(guān)閉沒(méi)必要的端口、對(duì)需要開(kāi)放的端口做好訪問(wèn)控制等。
*.*.* 配置有效性分析:對(duì)安全運(yùn)營(yíng)平臺(tái)進(jìn)行基礎(chǔ)配置檢查,包括但不限于:平臺(tái)、探針的最新版本檢查;最新規(guī)則庫(kù)版本檢查;序列號(hào)檢查;****日志審計(jì)開(kāi)啟記錄數(shù)據(jù)包(所有服務(wù)器全方向)功能檢查等,以便后續(xù)分析能夠順利進(jìn)行。
*.*其他服務(wù)要求
*.*.* 應(yīng)具備互聯(lián)網(wǎng)暴露面梳理的服務(wù)工具,收集到的暴露面信息至少包括域名、域名標(biāo)題、**地址、開(kāi)放端口、資產(chǎn)指紋、網(wǎng)站截圖、移動(dòng)端暴露面,并且能采集對(duì)應(yīng)暴露資產(chǎn)的訪問(wèn)截圖向用戶舉證,及對(duì)應(yīng)暴露資產(chǎn)存在的漏洞。
*.*.*分析研判過(guò)程包括但不限于對(duì)脆弱性、異常流量、攻擊日志、病毒日志等數(shù)據(jù)進(jìn)行采集和實(shí)時(shí)分析研判,支持將同*資產(chǎn)的多個(gè)告警進(jìn)行聚合分析發(fā)現(xiàn)各類安全事件并生成工單,并在告警詳情中展示告警的基本信息,涉及的業(yè)務(wù)信息、攻擊趨勢(shì)、威脅詳情、攻擊原理、處置建議等內(nèi)容,并支持根據(jù)客戶情況提供備注。
*.*.*為了保證安全監(jiān)測(cè)的準(zhǔn)確率和服務(wù)質(zhì)量,應(yīng)當(dāng)支持為用戶自定義配置安全規(guī)則,以滿足日益復(fù)雜的安全趨勢(shì)所帶來(lái)的安全監(jiān)測(cè)需求。
*.*.*每月對(duì)用戶的安全設(shè)備的防護(hù)策略進(jìn)行檢查,確保安全設(shè)備上的安全策略始終處于最優(yōu)水平,針對(duì)威脅能起到最好的防護(hù)效果。投標(biāo)人提供的云端服務(wù)平臺(tái)應(yīng)當(dāng)具備豐富的策略檢查工具(要求不少于**種策略檢查的工具),支持排查安全設(shè)備防護(hù)策略配置的合理性。
*.*.*服務(wù)過(guò)程中應(yīng)具備***服務(wù)工具,支持集成在服務(wù)微信群、服務(wù)工作臺(tái),該工具能力項(xiàng)應(yīng)支持告警數(shù)據(jù)包研判、情報(bào)查詢分析、*******解碼、事件研判定性、自動(dòng)調(diào)用安全設(shè)備遏制(**、域名封堵)、事件調(diào)查溯源、運(yùn)營(yíng)數(shù)據(jù)統(tǒng)計(jì)(支持在線統(tǒng)計(jì)、分析并下載數(shù)據(jù))等。
*.*.*安全運(yùn)營(yíng)服務(wù)從安全日志上傳分析研判到通告給客戶的時(shí)間方面,按照國(guó)家標(biāo)準(zhǔn)對(duì)安全事件的分類分級(jí)指南,重大安全事件通告時(shí)間小于**分鐘,*般事件的通告時(shí)間少于**分鐘;重大威脅與事件的遏制影響完成時(shí)間少于**分鐘,*般威脅與事件的遏制影響完成時(shí)間少于*小時(shí)。
*.*.* 安全運(yùn)營(yíng)服務(wù)安全事件經(jīng)過(guò)服務(wù)人員的確認(rèn)后,通告給客戶的各類安全事件的準(zhǔn)確率不低于**%(即誤報(bào)不能超過(guò)*%);服務(wù)范圍內(nèi)的所有安全事件的閉環(huán)處置比例達(dá)到***%。安全運(yùn)營(yíng)服務(wù)應(yīng)當(dāng)滿足重大事故應(yīng)啟動(dòng)應(yīng)急響應(yīng)機(jī)制地駐,工作時(shí)間**分鐘之內(nèi)云端專家進(jìn)行響應(yīng),非工作時(shí)間**分鐘之內(nèi)云端專家進(jìn)行響應(yīng),*小時(shí)上門(mén)處置。經(jīng)客戶授權(quán)后,服務(wù)人員協(xié)助進(jìn)行安全事件的閉環(huán),*般安全事件的閉環(huán)完成時(shí)間少于**小時(shí),重大事件的閉環(huán)完成時(shí)間少于**小時(shí)。
*.*.*服務(wù)過(guò)程中提供移動(dòng)端服務(wù)過(guò)程展示門(mén)戶(移動(dòng)端******),支持直觀地查閱服務(wù)推送的各種安全事件/威脅的詳細(xì)專家審核研判過(guò)程,需包含安全事件詳細(xì)的【基本信息】【入侵路徑】【影響主機(jī)】【主機(jī)調(diào)查】【數(shù)據(jù)包分析】等內(nèi)容。
*.*.*服務(wù)過(guò)程中提供的服務(wù)成果展示門(mén)戶(或用戶******)應(yīng)具備服務(wù)質(zhì)量可視化展示,投標(biāo)人能通過(guò)可視化的數(shù)據(jù),清晰的了解安全專家的服務(wù)水平,至少包括平均研判時(shí)間、平均遏制時(shí)間****、平均閉環(huán)時(shí)間****、事件閉環(huán)率,以驗(yàn)證投標(biāo)人所承諾的服務(wù)指標(biāo)(或稱為服務(wù)***)。
*.*.**提供詳細(xì)且完整的安全運(yùn)營(yíng)服務(wù)方案,內(nèi)容包括但不限于:現(xiàn)網(wǎng)防火墻聯(lián)動(dòng)方案;數(shù)據(jù)保護(hù);遠(yuǎn)程監(jiān)控;威脅檢測(cè)以及防護(hù)
*. 服務(wù)質(zhì)量要求
★*.* 要求服務(wù)工程師學(xué)歷本科及以上,具備*年及以上相關(guān)工作經(jīng)驗(yàn)或大專學(xué)歷具備*年及以上相關(guān)工作經(jīng)驗(yàn),入場(chǎng)前采購(gòu)人與投標(biāo)人共同組織面試,根據(jù)雙方磋商結(jié)果決定運(yùn)維人選,采購(gòu)人不定期組織運(yùn)維人員進(jìn)行技能考核,根據(jù)考核結(jié)果及日常工作表現(xiàn),采購(gòu)人有權(quán)要求更換運(yùn)維服務(wù)工程師。
★*.* 駐場(chǎng)運(yùn)營(yíng)服務(wù)人員考勤要求與采購(gòu)人要求的時(shí)間*致,考勤方式按照采購(gòu)人要求執(zhí)行,直至合同期滿為止。考勤每半年考核*次,考勤不合格率大于等于*人次/半年,采購(gòu)人有權(quán)扣除合同總價(jià)*%。
★*.* 故障響應(yīng)時(shí)間*分鐘,達(dá)標(biāo)率達(dá)到**%及以上,對(duì)故障修復(fù)時(shí)間*小時(shí)的修復(fù)率達(dá)到**%及以上,考核依據(jù)為采購(gòu)人運(yùn)維管理系統(tǒng)。
★*.* 如在服務(wù)過(guò)程中故障響應(yīng)達(dá)標(biāo)率低于**%。每降低*個(gè)百分點(diǎn)采購(gòu)人有權(quán)扣除合同總價(jià)*%。因操作失誤所造成的設(shè)備損壞,數(shù)據(jù)丟失投標(biāo)人需承擔(dān)相應(yīng)的賠償責(zé)任。
★*.* 服務(wù)期內(nèi)出現(xiàn)因服務(wù)質(zhì)量、服務(wù)響應(yīng)速度、服務(wù)能力等問(wèn)題遭采購(gòu)人投訴且經(jīng)討論確系投標(biāo)人自身原因的情況,每次投訴投標(biāo)人扣除本項(xiàng)目合同總額的*‰;出現(xiàn)嚴(yán)重投訴的、給采購(gòu)人造成不良社會(huì)影響的、給采購(gòu)人工作帶來(lái)重大麻煩的情況,投標(biāo)人扣除本項(xiàng)目合同總額的*‰,投訴情況由采購(gòu)人出具書(shū)面通知書(shū)為準(zhǔn)。
★*.* 運(yùn)營(yíng)服務(wù)期間,出現(xiàn)重大安全違規(guī)情況,且給采購(gòu)人造成嚴(yán)重?fù)p失的,因操作失誤所造成的設(shè)備損壞,數(shù)據(jù)丟失投標(biāo)人需承擔(dān)相應(yīng)的賠償責(zé)任,采購(gòu)人有權(quán)追究當(dāng)事人和(或)其所屬公司法律責(zé)任并解除合同。
★*.* 因休假未提供服務(wù)(元旦、春節(jié)、清明節(jié)、勞動(dòng)節(jié)、端午節(jié)、中秋節(jié)、國(guó)慶節(jié)除外),或維修不及時(shí)所造成損失,費(fèi)用應(yīng)由投標(biāo)人承擔(dān)。
★*.* 投標(biāo)人依維保技術(shù)文件規(guī)定組成專業(yè)維護(hù)服務(wù)團(tuán)隊(duì)并同意在服務(wù)期內(nèi)保持基本穩(wěn)定,未經(jīng)采購(gòu)人書(shū)面同意更換人員,每更換或減少*人,應(yīng)向采購(gòu)人支付合同總額**%的違約金。未經(jīng)采購(gòu)人書(shū)面同意,投標(biāo)人*年之內(nèi)累計(jì)更換人員超過(guò)*名及以上的,投標(biāo)人應(yīng)按合同總價(jià)款**%支付違約金,采購(gòu)人有權(quán)解除合同。
★*.* 投標(biāo)人成交后若未達(dá)到合同要求的故障響應(yīng)時(shí)間、到達(dá)現(xiàn)場(chǎng)時(shí)間、響應(yīng)時(shí)間、系統(tǒng)故障修復(fù)時(shí)間或投標(biāo)人提供的服務(wù)承諾,每發(fā)生*次,采購(gòu)人有權(quán)扣除合同總額的*%;因投標(biāo)人未達(dá)到要求的故障響應(yīng)時(shí)間、到達(dá)現(xiàn)場(chǎng)時(shí)間和系統(tǒng)故障修復(fù)時(shí)間,引起采購(gòu)人信息系統(tǒng)發(fā)生較大事故,造成應(yīng)用不可使用時(shí),每發(fā)生*次,則采購(gòu)人有權(quán)扣除合同總額的**%;因投標(biāo)人未達(dá)到合同要求的故障響應(yīng)時(shí)間、到達(dá)現(xiàn)場(chǎng)時(shí)間和系統(tǒng)故障修復(fù)時(shí)間,造成采購(gòu)人信息系統(tǒng)(如***/****/***/***等)服務(wù)中斷超過(guò)**分鐘或引發(fā)較大社會(huì)影響,采購(gòu)人有權(quán)對(duì)投標(biāo)人按違約終止合同。如果造成重大責(zé)任事故,采購(gòu)人有權(quán)追究投標(biāo)人法律責(zé)任。
★*.** 投標(biāo)人需提供安全責(zé)任書(shū),投標(biāo)人自行承擔(dān)駐場(chǎng)工程師的所有安全責(zé)任及其帶來(lái)的經(jīng)濟(jì)損失。投標(biāo)人應(yīng)嚴(yán)格遵守與采購(gòu)人簽訂的保密協(xié)議的相關(guān)內(nèi)容,如果有違反保密協(xié)議約定或承諾的,采購(gòu)人有權(quán)單方面終止與投標(biāo)人之合作,并追究投標(biāo)人的法律責(zé)任。
★*.** 投標(biāo)人的報(bào)價(jià)明顯低于其他通過(guò)符合性審查的投標(biāo)人的報(bào)價(jià),有可能影響產(chǎn)品質(zhì)量或者不能誠(chéng)信履約的,應(yīng)當(dāng)按照評(píng)標(biāo)委員會(huì)的要求,在評(píng)標(biāo)現(xiàn)場(chǎng)合理的時(shí)間內(nèi)提供書(shū)面說(shuō)明,必要時(shí)提交相關(guān)證明材料;投標(biāo)人不能證明其報(bào)價(jià)合理性的,將被作為無(wú)效響應(yīng)處理。
★*.** 投標(biāo)人在結(jié)束服務(wù)合同后要在仍然保證采購(gòu)人系統(tǒng)正常運(yùn)行的情況下將合同結(jié)束時(shí)的項(xiàng)目整體移交給采購(gòu)人,不得更換、拆除任何部件或者應(yīng)用程序。投標(biāo)人將軟件系統(tǒng)的更新、備份、故障解決等日志資料全部交由采購(gòu)人備案存檔,并將更換記錄進(jìn)行登記。作為項(xiàng)目中存儲(chǔ)使用的所有設(shè)備或配件不得帶離采購(gòu)人,所有權(quán)歸采購(gòu)人所有,統(tǒng)*交由采購(gòu)人留存或銷(xiāo)毀。
*、內(nèi)網(wǎng)核心防火墻升級(jí)許可服務(wù)采購(gòu)
*. 服務(wù)內(nèi)容及要求
★*.* 中標(biāo)單位需為醫(yī)院提供全方位的網(wǎng)絡(luò)安全技術(shù)支持,如遇緊急情況,提供及時(shí)、有效的服務(wù)響應(yīng)。
★*.* 為醫(yī)院提供針對(duì)內(nèi)網(wǎng)現(xiàn)有*臺(tái)深信服**********-*防火墻不少于*年的硬件維保、軟件升級(jí)、安全防護(hù)規(guī)則庫(kù)升級(jí)服務(wù)。
★*.* 中標(biāo)單位在服務(wù)周期內(nèi)需提供設(shè)備巡檢服務(wù),安排網(wǎng)絡(luò)安全工程師對(duì)設(shè)備進(jìn)行日常運(yùn)行狀態(tài)的監(jiān)控,季度形成巡檢報(bào)告。
*. 服務(wù)人員要求
★*.* 中標(biāo)單位需至少派遣*名具有專業(yè)知識(shí)的資深技術(shù)人員作為本項(xiàng)目的服務(wù)工程師,負(fù)責(zé)本項(xiàng)目,統(tǒng)籌相關(guān)工作。項(xiàng)目執(zhí)行與工作匯報(bào),控制工作質(zhì)量,執(zhí)行變更和應(yīng)急情況管理,以保證設(shè)備的正常高效運(yùn)行。
★*.* 未經(jīng)采購(gòu)人同意,不得中途擅自更換指定的項(xiàng)目人員,采購(gòu)人也有權(quán)更換不合格的項(xiàng)目人員。中標(biāo)單位應(yīng)在**個(gè)工作日內(nèi)將符合采購(gòu)人要求的項(xiàng)目人員更換到位,否則采購(gòu)人有權(quán)終止合同。由此造成的損失由中標(biāo)人承擔(dān)。
★*.* 在合同履行期間,中標(biāo)人對(duì)其現(xiàn)場(chǎng)派出的人員的安全負(fù)全部責(zé)任,如中標(biāo)方工作人員在合同履行中發(fā)生安全事故的,中標(biāo)人應(yīng)負(fù)責(zé)處理并承擔(dān)責(zé)任。
★*.* 中標(biāo)單位派出的技術(shù)人員應(yīng)精通網(wǎng)絡(luò)安全技術(shù),精通防火墻的配置與部署,應(yīng)具備*年以上的相關(guān)工作經(jīng)驗(yàn)。
重要提示:實(shí)質(zhì)性要求及重要指標(biāo)用★標(biāo)注(“★”必須標(biāo)注在序號(hào)前),★標(biāo)注項(xiàng)不得負(fù)偏離,如果負(fù)偏離,則響應(yīng)文件無(wú)效。
★標(biāo)注項(xiàng)不得負(fù)偏離(投標(biāo)人需提供滿足★標(biāo)注項(xiàng)要求的售后服務(wù)承諾加蓋投標(biāo)人公章證明)
*、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)
*. 服務(wù)目標(biāo)及需求
★*.* 總體目標(biāo)
投標(biāo)人按照網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)*.*標(biāo)準(zhǔn)對(duì)采購(gòu)人的備案需要測(cè)評(píng)的信息系統(tǒng)開(kāi)展信息安全等級(jí)保護(hù)測(cè)評(píng)工作,并符合公安監(jiān)管部門(mén)要求。
★*.*服務(wù)原則
根據(jù)采購(gòu)人實(shí)際的業(yè)務(wù)特點(diǎn)和網(wǎng)絡(luò)結(jié)構(gòu),在測(cè)評(píng)過(guò)程中,投標(biāo)人充分考慮并遵循以下原則:
保密性原則:投標(biāo)人應(yīng)與采購(gòu)人簽訂等級(jí)保護(hù)測(cè)評(píng)保密協(xié)議,對(duì)測(cè)評(píng)的過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密,未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人,不得利用此數(shù)據(jù)侵害采購(gòu)人的權(quán)益,否則采購(gòu)人有權(quán)追究投標(biāo)人的責(zé)任。
標(biāo)準(zhǔn)性原則:測(cè)評(píng)方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國(guó)家等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)進(jìn)行。
規(guī)范性原則:投標(biāo)人工作中的過(guò)程和文檔,應(yīng)具有規(guī)范性,便于項(xiàng)目跟蹤和控制。
可控性原則:測(cè)評(píng)服務(wù)的進(jìn)度應(yīng)符合進(jìn)度安排,保證采購(gòu)人對(duì)測(cè)評(píng)工作的可控性。
整體性原則:測(cè)評(píng)的范圍和內(nèi)容應(yīng)系統(tǒng)、全面、規(guī)范,滿足國(guó)家等級(jí)保護(hù)相關(guān)基本要求。
最小影響原則:技術(shù)測(cè)評(píng)工作應(yīng)盡可能小地影響采購(gòu)人在線系統(tǒng)應(yīng)用及網(wǎng)絡(luò)的正常運(yùn)行,不能對(duì)現(xiàn)有運(yùn)行系統(tǒng)造成影響。在線測(cè)評(píng)應(yīng)在采購(gòu)人許可的條件下進(jìn)行。
★*.* 服務(wù)需求
投標(biāo)人應(yīng)詳細(xì)描述等級(jí)保護(hù)測(cè)評(píng)的整體實(shí)施方案,包括項(xiàng)目概述、定級(jí)備案方案等保測(cè)評(píng)方案、項(xiàng)目實(shí)施方案、時(shí)間安排、階段性文檔提交等。投標(biāo)人應(yīng)詳細(xì)描述測(cè)評(píng)人員的組成、資質(zhì)及各自職責(zé)的劃分。投標(biāo)人應(yīng)配置經(jīng)驗(yàn)豐富的技術(shù)人員進(jìn)行等級(jí)保護(hù)測(cè)評(píng)工作,將測(cè)評(píng)報(bào)告遞交至公安局監(jiān)管部門(mén)并通過(guò)審核。
★*.* 主要工作任務(wù)
*.*.* 協(xié)助完成定級(jí)備案工作,取得備案證明;
*.*.* 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)備;
*.*.* 測(cè)評(píng)方案編制;
*.*.* 現(xiàn)場(chǎng)測(cè)評(píng);
*.*.*出具測(cè)評(píng)報(bào)告及整改建議書(shū);
*.*.*完成測(cè)評(píng)報(bào)告遞交;
*. 服務(wù)范圍及要求
★*.* 服務(wù)范圍
招標(biāo)人單位已完成備案的信息系統(tǒng)中的*個(gè)*級(jí)系統(tǒng)及*個(gè)*級(jí)系統(tǒng)。
★*.* 服務(wù)過(guò)程要求
*.*.* 投標(biāo)人應(yīng)提供測(cè)評(píng)成員的技術(shù)背景資歷資料、從事測(cè)評(píng)的經(jīng)驗(yàn)、人力資源的組織方式、項(xiàng)目實(shí)施的管理方式、項(xiàng)目成員的角色和責(zé)任。
*.*.* 投標(biāo)人應(yīng)承諾在等級(jí)保護(hù)安全測(cè)評(píng)過(guò)程中所使用的工具軟件本身不能有任何安全隱患,對(duì)此應(yīng)承擔(dān)責(zé)任。同時(shí)提供的安全服務(wù)必須在技術(shù)上先進(jìn)和成熟,使用工具軟件版本是最新的并且成熟穩(wěn)定,投標(biāo)人應(yīng)在等級(jí)保護(hù)測(cè)評(píng)過(guò)程中保證系統(tǒng)的穩(wěn)定性。
*.*.* 投標(biāo)人現(xiàn)場(chǎng)工作結(jié)束后,如果采購(gòu)人對(duì)提出的安全問(wèn)題有疑義,投標(biāo)人應(yīng)予解答。
★*.* 服務(wù)內(nèi)容要求
*.*.* 實(shí)施地點(diǎn):采購(gòu)人指定地點(diǎn)。
*.*.* 服務(wù)時(shí)間:**工作日
*.*.* 投標(biāo)人應(yīng)詳細(xì)描述等級(jí)保護(hù)測(cè)評(píng)的整體實(shí)施方案,包括項(xiàng)目概述、測(cè)評(píng)方案、項(xiàng)目實(shí)施方案、時(shí)間安排、階段性文檔提交等。投標(biāo)人應(yīng)詳細(xì)描述測(cè)評(píng)人員的組成、資質(zhì)及各自職責(zé)的劃分。投標(biāo)人應(yīng)配置經(jīng)驗(yàn)豐富的技術(shù)人員進(jìn)行等級(jí)保護(hù)測(cè)評(píng)工作。
*.*.* 投標(biāo)人的測(cè)評(píng)方法應(yīng)符合下述條件:
*.*.*.* 測(cè)評(píng)方法包括訪談、檢查和測(cè)試*種方法,可細(xì)化為文檔審查、配置檢查、工具測(cè)試和實(shí)地察看等多種方法。
*.*.*.* 如需在等級(jí)保護(hù)測(cè)評(píng)實(shí)施過(guò)程中采用在線測(cè)評(píng)工具的,各種工具軟件由投標(biāo)人推薦,經(jīng)采購(gòu)人確認(rèn)后由投標(biāo)人提供并在工作中使用。應(yīng)詳細(xì)描述所使用的安全測(cè)評(píng)工具(軟硬件型號(hào)、功能和性能描述)、使用的方式和時(shí)間、對(duì)環(huán)境和平臺(tái)的要求以及使用可能對(duì)系統(tǒng)造成的風(fēng)險(xiǎn)等。等級(jí)保護(hù)測(cè)評(píng)應(yīng)有詳細(xì)的實(shí)施方案和嚴(yán)格的操作步驟,采取的措施應(yīng)是經(jīng)過(guò)測(cè)試、穩(wěn)定可靠的。
*.*.*.* 安全工具軟件運(yùn)行可能需要的硬件平臺(tái)(如筆記本電腦、**、工作站等)和操作系統(tǒng)軟件等由投標(biāo)人推薦,經(jīng)采購(gòu)人確認(rèn)后由投標(biāo)人提供并在實(shí)際工作中使用。安全測(cè)評(píng)需要的運(yùn)行環(huán)境(如場(chǎng)地、網(wǎng)絡(luò)環(huán)境等)由采購(gòu)人提供,投標(biāo)人應(yīng)詳細(xì)描述需要的運(yùn)行環(huán)境的具體要求。
*.*.*.* 采購(gòu)人各信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)流程分為*個(gè)階段:測(cè)評(píng)準(zhǔn)備階段、方案編制階段、現(xiàn)場(chǎng)測(cè)評(píng)階段、分析與報(bào)告編制階段。
*.*.*.* 測(cè)評(píng)工作本身也會(huì)引入安全風(fēng)險(xiǎn),必須加強(qiáng)測(cè)評(píng)過(guò)程中的風(fēng)險(xiǎn)控制。測(cè)評(píng)實(shí)施前,雙方應(yīng)充分討論并明確測(cè)評(píng)對(duì)系統(tǒng)可能帶來(lái)的風(fēng)險(xiǎn)和隱患,確定測(cè)評(píng)對(duì)象、測(cè)評(píng)方法和工具,并制定應(yīng)急恢復(fù)措施。
*.*.*.* 測(cè)評(píng)操作必須遵守現(xiàn)場(chǎng)運(yùn)行規(guī)章制度,確保系統(tǒng)安全穩(wěn)定運(yùn)行。如需在線測(cè)試,按照相關(guān)工作規(guī)程,事前申請(qǐng),并在供應(yīng)商人員的指導(dǎo)和監(jiān)護(hù)下進(jìn)行。
*.*.*.* 投標(biāo)人應(yīng)重視測(cè)評(píng)保密工作,加強(qiáng)測(cè)評(píng)過(guò)程中的保密管理,確保參與測(cè)評(píng)工作人員的可靠、穩(wěn)定,防止敏感信息泄露。
*.*.*.* 優(yōu)先選擇備用設(shè)備(系統(tǒng))或臨時(shí)搭建的模擬環(huán)境進(jìn)行測(cè)評(píng),避免影響在線系統(tǒng)運(yùn)行。
*.*.*.* 根據(jù)被測(cè)評(píng)系統(tǒng)情況,在測(cè)評(píng)實(shí)施前制定應(yīng)急預(yù)案,加強(qiáng)系統(tǒng)在線應(yīng)急處置能力。
★*.* 實(shí)施團(tuán)隊(duì)要求
*.*.* 投標(biāo)人實(shí)施團(tuán)隊(duì)組成應(yīng)包括有豐富此類項(xiàng)目經(jīng)驗(yàn)的項(xiàng)目經(jīng)理、實(shí)施工程師向采購(gòu)人提供服務(wù),根據(jù)項(xiàng)目總體要求,完成項(xiàng)目需求內(nèi)容。
*.*.* 為保證項(xiàng)目順利進(jìn)行,投標(biāo)人必須組織專業(yè)的實(shí)施團(tuán)隊(duì),項(xiàng)目實(shí)施人員必須具備信息安全等級(jí)測(cè)評(píng)師證書(shū)。技術(shù)、管理人員到現(xiàn)場(chǎng),負(fù)責(zé)及時(shí)組織和進(jìn)行系統(tǒng)測(cè)評(píng);并負(fù)責(zé)解決系統(tǒng)在測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的有關(guān)問(wèn)題。對(duì)于不能勝任工作的現(xiàn)場(chǎng)技術(shù)人員,采購(gòu)人有權(quán)要求投標(biāo)人重新選派人員且不得影響工程進(jìn)度。投標(biāo)人應(yīng)保證項(xiàng)目實(shí)施人員的相對(duì)固定,如發(fā)生人員變動(dòng)需征得采購(gòu)人同意。如果采購(gòu)人認(rèn)為實(shí)施人員不能勝任工作,有權(quán)提出更換。
★*.*文檔交付
交付給招標(biāo)人單位按照合同約定測(cè)評(píng)完成的*個(gè)*級(jí)系統(tǒng)及*個(gè)*級(jí)系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)報(bào)告。
★*.* 服務(wù)質(zhì)量保證
*.*.* 投標(biāo)人在等級(jí)保護(hù)測(cè)評(píng)方案設(shè)計(jì)、實(shí)施的各個(gè)階段,均應(yīng)滿足系統(tǒng)正常穩(wěn)定運(yùn)行的要求。
*.*.* 投標(biāo)人出具的相關(guān)報(bào)告應(yīng)得到等級(jí)保護(hù)行業(yè)主管單位認(rèn)定。報(bào)告*式*份,采購(gòu)人保留*份,公安監(jiān)管部門(mén)*份,測(cè)評(píng)機(jī)構(gòu)*份。
★*.* 保密要求
*.*.* 投標(biāo)人承擔(dān)采購(gòu)人敏感信息的保密責(zé)任,在項(xiàng)目實(shí)施過(guò)程中,雙方需要復(fù)制對(duì)方提供的相關(guān)資料時(shí),應(yīng)提交書(shū)面申請(qǐng),在得到對(duì)方書(shū)面同意后方可復(fù)制,并將數(shù)據(jù)內(nèi)容記錄成表,簽字確認(rèn)。
*.*.* 未經(jīng)雙方書(shū)面同意,不得向第*方透露項(xiàng)目和涉及雙方企業(yè)信息安全、技術(shù)成果的任何內(nèi)容。
*.*.*項(xiàng)目結(jié)束后,雙方必須互相確認(rèn)測(cè)評(píng)過(guò)程中提供的相關(guān)資料,相互承擔(dān)保密責(zé)任。
*、網(wǎng)絡(luò)安全運(yùn)營(yíng)服務(wù)
*. 服務(wù)基本要求
★*.* 提供不少于*名具備滲透測(cè)試能力的駐場(chǎng)安全運(yùn)維工程師,可根據(jù)采購(gòu)人需要對(duì)業(yè)務(wù)系統(tǒng)現(xiàn)場(chǎng)滲透測(cè)試。基于業(yè)務(wù)需要提供為期*年的不少于***流量范圍內(nèi)資產(chǎn)安全運(yùn)營(yíng)服務(wù),提供****小時(shí)持續(xù)專家服務(wù)保障,醫(yī)院網(wǎng)絡(luò)發(fā)現(xiàn)的威脅可及時(shí)響應(yīng),通過(guò)服務(wù)構(gòu)建持續(xù)、主動(dòng)、閉環(huán)的安全運(yùn)營(yíng)體系。
*.* 服務(wù)過(guò)程中需配置不少于*名安全專家作為專屬服務(wù)經(jīng)理(非本場(chǎng)人員),提供持續(xù)在線服務(wù),安全專家需為客戶創(chuàng)建專屬的服務(wù)微信群,對(duì)用戶咨詢或上報(bào)的安全問(wèn)題進(jìn)行及時(shí)響應(yīng)并給出建議。
★*.* 應(yīng)使用安全工具對(duì)用戶服務(wù)資產(chǎn)開(kāi)展互聯(lián)網(wǎng)暴露面探測(cè),以梳理資產(chǎn)面向互聯(lián)網(wǎng)的開(kāi)放情況,快速發(fā)現(xiàn)違規(guī)暴露在互聯(lián)網(wǎng)中的資產(chǎn)及存在的風(fēng)險(xiǎn)并進(jìn)行處置,實(shí)現(xiàn)對(duì)暴露面資產(chǎn)可管可控,降低暴露面資產(chǎn)的風(fēng)險(xiǎn)。
★*.* 提供安全運(yùn)營(yíng)服務(wù),云端檢測(cè)和分析平臺(tái),通過(guò)采集用戶安全設(shè)備和工具的安全告警和安全日志,結(jié)合大數(shù)據(jù)分析、人工智能等技術(shù)手段,為用戶提供****小時(shí)持續(xù)不間斷的安全威脅分析鑒定,同時(shí)在用戶界面進(jìn)行展示。
★*.* 需提供的服務(wù)成果展示門(mén)戶,需要提供安全托管服務(wù)相關(guān)信息的詳細(xì)展示和呈現(xiàn),分別為安全運(yùn)營(yíng)概覽、事件&***;威脅概況、服務(wù)承諾協(xié)議***、勒索風(fēng)險(xiǎn)概況、設(shè)備安全策略檢查、行業(yè)情報(bào),并支持全屏投放展示。
★*.* 需提供專屬客戶成功經(jīng)理和安全團(tuán)隊(duì)的介紹信息,服務(wù)過(guò)程中的動(dòng)態(tài)信息,便于用戶直觀查看安全專家當(dāng)前正在執(zhí)行的任務(wù)和處置的動(dòng)作。
★*.* 需提供安全事件和威脅的概況信息,包括事件&***;威脅總數(shù)、已處置情況,處置中情況,且需要統(tǒng)計(jì)受影響資產(chǎn)的****以及事件&***;威脅類型的分布,提供相關(guān)的專家解讀,對(duì)于每*個(gè)威脅與事件,需提供詳細(xì)處置進(jìn)度(從發(fā)現(xiàn)事件、**研判、專家*次研判、事件處置到完成歸檔)和研判定性結(jié)論,讓用戶全方面了解當(dāng)前安全威脅和事件的運(yùn)營(yíng)成果。
★*.* 需提供勒索風(fēng)險(xiǎn)的概況,包括勒索風(fēng)險(xiǎn)總數(shù),已處置情況,處置中情況,且需要分析受影響資產(chǎn)的****以及勒索風(fēng)險(xiǎn)類型的分布,提供相關(guān)的專家解讀,讓用戶全方面了解當(dāng)前勒索風(fēng)險(xiǎn)的服務(wù)成果。
★*.* 需提供設(shè)備安全策略的檢查情況,包括發(fā)現(xiàn)的策略異常項(xiàng)總數(shù),已處置和處置中的數(shù)量,并提供專家解讀內(nèi)容。
★*.** 需提供行業(yè)情報(bào)的情況,情報(bào)內(nèi)容需包括安全風(fēng)險(xiǎn)通告、全球安全熱點(diǎn)事件總結(jié)、網(wǎng)絡(luò)安全政策法律動(dòng)態(tài)。
★*.** 對(duì)服務(wù)范圍內(nèi)的資產(chǎn)提供網(wǎng)絡(luò)安全事件損失理賠承諾,即在正常服務(wù)過(guò)程中因服務(wù)缺陷導(dǎo)致采購(gòu)人服務(wù)范圍內(nèi)的資產(chǎn)發(fā)生網(wǎng)絡(luò)安全事件時(shí),客戶有權(quán)要求投標(biāo)人賠償該事件給采購(gòu)人直接造成的網(wǎng)絡(luò)營(yíng)業(yè)中斷損失、數(shù)據(jù)恢復(fù)費(fèi)用、第*者責(zé)任、應(yīng)急響應(yīng)損失、網(wǎng)絡(luò)勒索損失,累計(jì)賠付金額不得低于**萬(wàn)元人民幣。
*. 運(yùn)營(yíng)服務(wù)內(nèi)容
*.* 日常安全運(yùn)維服務(wù)
★*.*.* 安全巡檢:統(tǒng)*管理防火墻、***、安全審計(jì)、防病毒系統(tǒng)、漏掃配置核查系統(tǒng)、網(wǎng)頁(yè)防篡改、***應(yīng)用防火墻等安全設(shè)備,監(jiān)控設(shè)備運(yùn)行情況,包括系統(tǒng)日志分析、系統(tǒng)運(yùn)行狀態(tài)等,發(fā)現(xiàn)異常及時(shí)告警處理。管理各安全設(shè)備,包括策略配置、任務(wù)下發(fā)等
★*.*.* 資產(chǎn)梳理:加強(qiáng)資產(chǎn)梳理工作,逐步完善基本信息的管理、查詢、審計(jì)能力,推進(jìn)網(wǎng)絡(luò)安全漏洞等隱患與基本信息的關(guān)聯(lián),以安全隱患為抓手,進(jìn)*步減少網(wǎng)絡(luò)安全漏洞與隱患,提升增改效率。
★*.*.* 資產(chǎn)漏洞全生命周期管理:提供威脅與漏洞管理平臺(tái)作為技術(shù)手段服務(wù)人員將利用平臺(tái)工具,對(duì)漏洞生命周期管理的全過(guò)程支撐
★*.*.* 漏洞掃描:制定常規(guī)基礎(chǔ)安全評(píng)估的流程及制度,根據(jù)業(yè)務(wù)的級(jí)別的不同,使用不同的漏洞掃描工作頻率進(jìn)行漏洞掃描,并輸出報(bào)告。
★*.*.* 安全配置評(píng)估:協(xié)助完成實(shí)現(xiàn)統(tǒng)*的安全配置標(biāo)準(zhǔn)以便規(guī)范日常的安全配置操作,使用軟件自動(dòng)及手工的方式對(duì)操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)及業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行全面檢查及抽樣檢查,并輸出報(bào)告
★*.*.* 弱口令檢查:利用工具及人工的方法,清查操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等的弱口令,并輸出報(bào)告。
★*.*.* 滲透測(cè)試:通過(guò)公網(wǎng)及內(nèi)網(wǎng)環(huán)境對(duì)***應(yīng)用進(jìn)行信息搜集、漏洞探測(cè)、安全防護(hù)突破、獲取權(quán)限、提權(quán)、獲取數(shù)據(jù)等測(cè)試,驗(yàn)證當(dāng)前安全防護(hù)的健壯性及已有漏洞被成功利用的可能性。
★*.*.* 安全加固實(shí)施:參考安全評(píng)估報(bào)告中提供的安全整改建議,與維護(hù)人員制定整改方案及計(jì)劃,在運(yùn)維人員的授權(quán)下,完成相關(guān)系統(tǒng)風(fēng)險(xiǎn)點(diǎn)加固,并對(duì)每*步的整改在風(fēng)險(xiǎn)列表中更新。
★*.*.* 安全加固支持:協(xié)助維護(hù)統(tǒng)*的資產(chǎn)風(fēng)險(xiǎn)列表,對(duì)有風(fēng)險(xiǎn)資產(chǎn)的整改情況進(jìn)行實(shí)時(shí)跟蹤,做到對(duì)資產(chǎn)的數(shù)量、脆弱項(xiàng)分布、整改進(jìn)度等數(shù)據(jù)的實(shí)時(shí)統(tǒng)計(jì)、分析、匯報(bào)。對(duì)于發(fā)現(xiàn)的安全脆弱項(xiàng),參考安全評(píng)估報(bào)告中提供的安全整改建議,配合維護(hù)人員完成整改,并對(duì)每*步的整改在風(fēng)險(xiǎn)列表中更新。
★*.*.** 重大活動(dòng)保障:在重大活動(dòng)時(shí)期,為采購(gòu)人重要**系統(tǒng)資產(chǎn)、包括主機(jī)、網(wǎng)絡(luò)、應(yīng)用等系統(tǒng)進(jìn)行保障,包括監(jiān)控、應(yīng)急處置等。
★*.*.** 安全培訓(xùn):提供安全培訓(xùn)服務(wù),結(jié)合采購(gòu)人網(wǎng)絡(luò)安全的實(shí)際情況和需求,對(duì)安全管理及技術(shù)人員進(jìn)行本地網(wǎng)絡(luò)與信息安全現(xiàn)場(chǎng)培訓(xùn)。
★*.*.** 惡意樣本分析:提供包括惡意文件分析、信譽(yù)分析能力,對(duì)采購(gòu)人信息系統(tǒng)中的可疑文件、外網(wǎng)***訪問(wèn)、疑似僵木蠕**地址進(jìn)行安全性分析,提供進(jìn)*步攔截的依據(jù)
★*.*.** 迎檢支撐工作:規(guī)定*年時(shí)間內(nèi),配合迎接上級(jí)領(lǐng)導(dǎo)的安全檢查工作,詳細(xì)解讀安全檢查細(xì)則,并制定安全迎檢規(guī)范和計(jì)劃,協(xié)助進(jìn)行安全檢查工作。
★*.*.** 安全應(yīng)急支持服務(wù):在業(yè)務(wù)系統(tǒng)發(fā)生安全事件后,安全服務(wù)人員應(yīng)迅速到達(dá)現(xiàn)場(chǎng),協(xié)助采購(gòu)人遏制事件的擴(kuò)大,并恢復(fù)業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)環(huán)境的正常運(yùn)行。
★*.*.** 安全事件實(shí)戰(zhàn)演練:通過(guò)在現(xiàn)網(wǎng)環(huán)境模擬安全事件的真實(shí)發(fā)生,驗(yàn)證現(xiàn)網(wǎng)已有的安全防護(hù)手段是否有效,協(xié)助管理員完成安全實(shí)戰(zhàn)應(yīng)急演練。
★*.*.** 現(xiàn)場(chǎng)安全值守:安全值守的核心工作包括預(yù)警、日常安全監(jiān)控與分析、安全事件管理與響應(yīng),主要提供安全預(yù)警、安全監(jiān)測(cè)和發(fā)現(xiàn)、安全應(yīng)對(duì)能力;另外,還包括了日常安全維護(hù)(防護(hù))工作,提供安全防護(hù)和保障能力。擴(kuò)展服務(wù)是常見(jiàn)安全值守服務(wù)的*種擴(kuò)展,主要包括風(fēng)險(xiǎn)評(píng)估、安全加固、安全咨詢、巡檢、威脅分析等。
★*.*.** 安全預(yù)警通告服務(wù):投標(biāo)人向采購(gòu)人及時(shí)通告最新安全信息,并提供安全響應(yīng)建議。
★*.*.** 信息安全管理體系建立:信息安全管理體系主要包括信息安全保障體系中的信息安全組織體系、制度規(guī)范體系、運(yùn)維流程體系。
★*.*.** 脆弱性閉環(huán)管理:集中管理資產(chǎn)風(fēng)險(xiǎn)和現(xiàn)狀,收集漏洞掃描的掃描結(jié)果,對(duì)互聯(lián)網(wǎng)資產(chǎn)和內(nèi)網(wǎng)資產(chǎn)進(jìn)行備案和監(jiān)控,實(shí)現(xiàn)資產(chǎn)脆弱性生命周期管理,包括漏洞掃描、漏洞修補(bǔ)、漏洞復(fù)查等階段,確保漏洞管理工作實(shí)現(xiàn)從“漏洞發(fā)現(xiàn)”到“漏洞治理”的集中轉(zhuǎn)變。
★*.*.** 異常流量攻擊溯源處置:對(duì)于異常流量攻擊,通過(guò)投標(biāo)人的技術(shù)手段和安全服務(wù),準(zhǔn)確定位攻擊來(lái)源,進(jìn)*步協(xié)助進(jìn)行應(yīng)急處置,并在攻擊事件發(fā)生后可通過(guò)還原攻擊場(chǎng)景,為責(zé)任追查提供數(shù)據(jù)支撐。
★*.*.** *鍵封堵服務(wù):為保障在遭遇突發(fā)安全攻擊事件時(shí),能在最短時(shí)間內(nèi)控制事態(tài)的擴(kuò)散,投標(biāo)人需提供分鐘級(jí)別的解決方案,提供監(jiān)測(cè)與防御能力的手段進(jìn)行檢測(cè)、分析、處置。
*.*.** 內(nèi)網(wǎng)準(zhǔn)入控制:為預(yù)防內(nèi)網(wǎng)攻擊,能結(jié)合醫(yī)院在用的******準(zhǔn)入控制平臺(tái)實(shí)現(xiàn)對(duì)醫(yī)院內(nèi)網(wǎng)(如和平院區(qū)內(nèi)網(wǎng)匯聚機(jī)*******-***,內(nèi)網(wǎng)接入交換機(jī)******-**)、外網(wǎng)(如和平院區(qū)外網(wǎng)匯聚交換機(jī)******-***-**,外網(wǎng)接入交換機(jī)******-***-**)、無(wú)線網(wǎng)絡(luò)的準(zhǔn)入聯(lián)動(dòng)控制。
*.*.** 提供醫(yī)院在用弱電井智能安全監(jiān)管平臺(tái)******許可或第*方軟硬件,支持對(duì)采購(gòu)人全院的弱電井實(shí)現(xiàn)近源攻擊(非法開(kāi)門(mén))實(shí)時(shí)短信,郵件告警,同時(shí)利用醫(yī)院在用的語(yǔ)音網(wǎng)關(guān)******* ******電話告警,并視頻取證。
★*.* 釣魚(yú)演練服務(wù)
*.*.* 為了幫助醫(yī)院評(píng)估組織員工的網(wǎng)絡(luò)安全意識(shí)和安全應(yīng)對(duì)能力,提供*次釣魚(yú)演練服務(wù),服務(wù)包含但不限于釣魚(yú)郵件偽造、釣魚(yú)郵件攻擊、風(fēng)險(xiǎn)操作跟蹤、釣魚(yú)風(fēng)險(xiǎn)分析等。
*.*.* 釣魚(yú)演練工具應(yīng)支持自定義釣魚(yú)郵件模板、批量發(fā)送郵件、攻擊過(guò)程沉浸式大屏展示、演練對(duì)象風(fēng)險(xiǎn)操作跟蹤(風(fēng)險(xiǎn)操作清單、用戶畫(huà)像)、演練日?qǐng)?bào)統(tǒng)計(jì)等。
*.*.* 支持釣魚(yú)鏈接/釣魚(yú)*維碼/釣魚(yú)多種釣魚(yú)演練形式。
*.*.* 支持釣魚(yú)風(fēng)險(xiǎn)操作跟蹤。
*.*.* 釣魚(yú)文案支持郵件模板自定義。
*.*.* 釣魚(yú)頁(yè)面支持鏡像仿真業(yè)務(wù)網(wǎng)站/模板頁(yè)面。
*.*.* 釣魚(yú)郵件內(nèi)容支持收件人;日期等動(dòng)態(tài)變量,發(fā)件人支持中文別名顯示。
*.*.* 支持演練實(shí)況沉浸式實(shí)時(shí)觀看。
*.*.* 輸出《釣魚(yú)演練總結(jié)報(bào)告》《釣魚(yú)演練數(shù)據(jù)統(tǒng)計(jì)表》。
★*.* 威脅狩獵服務(wù)
*.*.* 為了保障醫(yī)院網(wǎng)絡(luò)環(huán)境的安全性,需提供核心業(yè)務(wù)系統(tǒng)的深度威脅狩獵服務(wù),識(shí)別系統(tǒng)中的安全漏洞,使用主流的攻擊技術(shù)和工具對(duì)醫(yī)院網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行深入分析,以評(píng)估醫(yī)院抵抗入侵者攻擊的能力。
*.*.* 深度威脅分析:依托安全運(yùn)營(yíng)平臺(tái),對(duì)外部高價(jià)值攻擊行為進(jìn)行分析。根據(jù)安全事件關(guān)聯(lián)日志與事件上下文,對(duì)重要事件開(kāi)展深入的調(diào)查排除誤報(bào),并給出詳細(xì)的舉證信息。基于安全日志、威脅情報(bào)等信息進(jìn)行主動(dòng)挖掘,對(duì)安全事件進(jìn)行綜合分析,分析事件成因和影響范圍。基于業(yè)務(wù)特定邏輯進(jìn)行深度挖掘,盡可能快地發(fā)現(xiàn)漏洞或攻擊痕跡,發(fā)現(xiàn)潛在的安全隱患和已失陷的主機(jī)。
*.*.* 脆弱性排查:依托安全運(yùn)營(yíng)平臺(tái)整理高危可利用漏洞,并提供可落地的修復(fù)方案以便用戶修復(fù)漏洞。識(shí)別業(yè)務(wù)弱密碼問(wèn)題,并將弱密碼問(wèn)題分級(jí)分類,找出危害大的弱口令,以便優(yōu)先整改。找到對(duì)外暴露的風(fēng)險(xiǎn)端口并做出相應(yīng)的整改建議,如及時(shí)做好風(fēng)險(xiǎn)加固、關(guān)閉沒(méi)必要的端口、對(duì)需要開(kāi)放的端口做好訪問(wèn)控制等。
*.*.* 配置有效性分析:對(duì)安全運(yùn)營(yíng)平臺(tái)進(jìn)行基礎(chǔ)配置檢查,包括但不限于:平臺(tái)、探針的最新版本檢查;最新規(guī)則庫(kù)版本檢查;序列號(hào)檢查;****日志審計(jì)開(kāi)啟記錄數(shù)據(jù)包(所有服務(wù)器全方向)功能檢查等,以便后續(xù)分析能夠順利進(jìn)行。
*.*其他服務(wù)要求
*.*.* 應(yīng)具備互聯(lián)網(wǎng)暴露面梳理的服務(wù)工具,收集到的暴露面信息至少包括域名、域名標(biāo)題、**地址、開(kāi)放端口、資產(chǎn)指紋、網(wǎng)站截圖、移動(dòng)端暴露面,并且能采集對(duì)應(yīng)暴露資產(chǎn)的訪問(wèn)截圖向用戶舉證,及對(duì)應(yīng)暴露資產(chǎn)存在的漏洞。
*.*.*分析研判過(guò)程包括但不限于對(duì)脆弱性、異常流量、攻擊日志、病毒日志等數(shù)據(jù)進(jìn)行采集和實(shí)時(shí)分析研判,支持將同*資產(chǎn)的多個(gè)告警進(jìn)行聚合分析發(fā)現(xiàn)各類安全事件并生成工單,并在告警詳情中展示告警的基本信息,涉及的業(yè)務(wù)信息、攻擊趨勢(shì)、威脅詳情、攻擊原理、處置建議等內(nèi)容,并支持根據(jù)客戶情況提供備注。
*.*.*為了保證安全監(jiān)測(cè)的準(zhǔn)確率和服務(wù)質(zhì)量,應(yīng)當(dāng)支持為用戶自定義配置安全規(guī)則,以滿足日益復(fù)雜的安全趨勢(shì)所帶來(lái)的安全監(jiān)測(cè)需求。
*.*.*每月對(duì)用戶的安全設(shè)備的防護(hù)策略進(jìn)行檢查,確保安全設(shè)備上的安全策略始終處于最優(yōu)水平,針對(duì)威脅能起到最好的防護(hù)效果。投標(biāo)人提供的云端服務(wù)平臺(tái)應(yīng)當(dāng)具備豐富的策略檢查工具(要求不少于**種策略檢查的工具),支持排查安全設(shè)備防護(hù)策略配置的合理性。
*.*.*服務(wù)過(guò)程中應(yīng)具備***服務(wù)工具,支持集成在服務(wù)微信群、服務(wù)工作臺(tái),該工具能力項(xiàng)應(yīng)支持告警數(shù)據(jù)包研判、情報(bào)查詢分析、*******解碼、事件研判定性、自動(dòng)調(diào)用安全設(shè)備遏制(**、域名封堵)、事件調(diào)查溯源、運(yùn)營(yíng)數(shù)據(jù)統(tǒng)計(jì)(支持在線統(tǒng)計(jì)、分析并下載數(shù)據(jù))等。
*.*.*安全運(yùn)營(yíng)服務(wù)從安全日志上傳分析研判到通告給客戶的時(shí)間方面,按照國(guó)家標(biāo)準(zhǔn)對(duì)安全事件的分類分級(jí)指南,重大安全事件通告時(shí)間小于**分鐘,*般事件的通告時(shí)間少于**分鐘;重大威脅與事件的遏制影響完成時(shí)間少于**分鐘,*般威脅與事件的遏制影響完成時(shí)間少于*小時(shí)。
*.*.* 安全運(yùn)營(yíng)服務(wù)安全事件經(jīng)過(guò)服務(wù)人員的確認(rèn)后,通告給客戶的各類安全事件的準(zhǔn)確率不低于**%(即誤報(bào)不能超過(guò)*%);服務(wù)范圍內(nèi)的所有安全事件的閉環(huán)處置比例達(dá)到***%。安全運(yùn)營(yíng)服務(wù)應(yīng)當(dāng)滿足重大事故應(yīng)啟動(dòng)應(yīng)急響應(yīng)機(jī)制地駐,工作時(shí)間**分鐘之內(nèi)云端專家進(jìn)行響應(yīng),非工作時(shí)間**分鐘之內(nèi)云端專家進(jìn)行響應(yīng),*小時(shí)上門(mén)處置。經(jīng)客戶授權(quán)后,服務(wù)人員協(xié)助進(jìn)行安全事件的閉環(huán),*般安全事件的閉環(huán)完成時(shí)間少于**小時(shí),重大事件的閉環(huán)完成時(shí)間少于**小時(shí)。
*.*.*服務(wù)過(guò)程中提供移動(dòng)端服務(wù)過(guò)程展示門(mén)戶(移動(dòng)端******),支持直觀地查閱服務(wù)推送的各種安全事件/威脅的詳細(xì)專家審核研判過(guò)程,需包含安全事件詳細(xì)的【基本信息】【入侵路徑】【影響主機(jī)】【主機(jī)調(diào)查】【數(shù)據(jù)包分析】等內(nèi)容。
*.*.*服務(wù)過(guò)程中提供的服務(wù)成果展示門(mén)戶(或用戶******)應(yīng)具備服務(wù)質(zhì)量可視化展示,投標(biāo)人能通過(guò)可視化的數(shù)據(jù),清晰的了解安全專家的服務(wù)水平,至少包括平均研判時(shí)間、平均遏制時(shí)間****、平均閉環(huán)時(shí)間****、事件閉環(huán)率,以驗(yàn)證投標(biāo)人所承諾的服務(wù)指標(biāo)(或稱為服務(wù)***)。
*.*.**提供詳細(xì)且完整的安全運(yùn)營(yíng)服務(wù)方案,內(nèi)容包括但不限于:現(xiàn)網(wǎng)防火墻聯(lián)動(dòng)方案;數(shù)據(jù)保護(hù);遠(yuǎn)程監(jiān)控;威脅檢測(cè)以及防護(hù)
*. 服務(wù)質(zhì)量要求
★*.* 要求服務(wù)工程師學(xué)歷本科及以上,具備*年及以上相關(guān)工作經(jīng)驗(yàn)或大專學(xué)歷具備*年及以上相關(guān)工作經(jīng)驗(yàn),入場(chǎng)前采購(gòu)人與投標(biāo)人共同組織面試,根據(jù)雙方磋商結(jié)果決定運(yùn)維人選,采購(gòu)人不定期組織運(yùn)維人員進(jìn)行技能考核,根據(jù)考核結(jié)果及日常工作表現(xiàn),采購(gòu)人有權(quán)要求更換運(yùn)維服務(wù)工程師。
★*.* 駐場(chǎng)運(yùn)營(yíng)服務(wù)人員考勤要求與采購(gòu)人要求的時(shí)間*致,考勤方式按照采購(gòu)人要求執(zhí)行,直至合同期滿為止。考勤每半年考核*次,考勤不合格率大于等于*人次/半年,采購(gòu)人有權(quán)扣除合同總價(jià)*%。
★*.* 故障響應(yīng)時(shí)間*分鐘,達(dá)標(biāo)率達(dá)到**%及以上,對(duì)故障修復(fù)時(shí)間*小時(shí)的修復(fù)率達(dá)到**%及以上,考核依據(jù)為采購(gòu)人運(yùn)維管理系統(tǒng)。
★*.* 如在服務(wù)過(guò)程中故障響應(yīng)達(dá)標(biāo)率低于**%。每降低*個(gè)百分點(diǎn)采購(gòu)人有權(quán)扣除合同總價(jià)*%。因操作失誤所造成的設(shè)備損壞,數(shù)據(jù)丟失投標(biāo)人需承擔(dān)相應(yīng)的賠償責(zé)任。
★*.* 服務(wù)期內(nèi)出現(xiàn)因服務(wù)質(zhì)量、服務(wù)響應(yīng)速度、服務(wù)能力等問(wèn)題遭采購(gòu)人投訴且經(jīng)討論確系投標(biāo)人自身原因的情況,每次投訴投標(biāo)人扣除本項(xiàng)目合同總額的*‰;出現(xiàn)嚴(yán)重投訴的、給采購(gòu)人造成不良社會(huì)影響的、給采購(gòu)人工作帶來(lái)重大麻煩的情況,投標(biāo)人扣除本項(xiàng)目合同總額的*‰,投訴情況由采購(gòu)人出具書(shū)面通知書(shū)為準(zhǔn)。
★*.* 運(yùn)營(yíng)服務(wù)期間,出現(xiàn)重大安全違規(guī)情況,且給采購(gòu)人造成嚴(yán)重?fù)p失的,因操作失誤所造成的設(shè)備損壞,數(shù)據(jù)丟失投標(biāo)人需承擔(dān)相應(yīng)的賠償責(zé)任,采購(gòu)人有權(quán)追究當(dāng)事人和(或)其所屬公司法律責(zé)任并解除合同。
★*.* 因休假未提供服務(wù)(元旦、春節(jié)、清明節(jié)、勞動(dòng)節(jié)、端午節(jié)、中秋節(jié)、國(guó)慶節(jié)除外),或維修不及時(shí)所造成損失,費(fèi)用應(yīng)由投標(biāo)人承擔(dān)。
★*.* 投標(biāo)人依維保技術(shù)文件規(guī)定組成專業(yè)維護(hù)服務(wù)團(tuán)隊(duì)并同意在服務(wù)期內(nèi)保持基本穩(wěn)定,未經(jīng)采購(gòu)人書(shū)面同意更換人員,每更換或減少*人,應(yīng)向采購(gòu)人支付合同總額**%的違約金。未經(jīng)采購(gòu)人書(shū)面同意,投標(biāo)人*年之內(nèi)累計(jì)更換人員超過(guò)*名及以上的,投標(biāo)人應(yīng)按合同總價(jià)款**%支付違約金,采購(gòu)人有權(quán)解除合同。
★*.* 投標(biāo)人成交后若未達(dá)到合同要求的故障響應(yīng)時(shí)間、到達(dá)現(xiàn)場(chǎng)時(shí)間、響應(yīng)時(shí)間、系統(tǒng)故障修復(fù)時(shí)間或投標(biāo)人提供的服務(wù)承諾,每發(fā)生*次,采購(gòu)人有權(quán)扣除合同總額的*%;因投標(biāo)人未達(dá)到要求的故障響應(yīng)時(shí)間、到達(dá)現(xiàn)場(chǎng)時(shí)間和系統(tǒng)故障修復(fù)時(shí)間,引起采購(gòu)人信息系統(tǒng)發(fā)生較大事故,造成應(yīng)用不可使用時(shí),每發(fā)生*次,則采購(gòu)人有權(quán)扣除合同總額的**%;因投標(biāo)人未達(dá)到合同要求的故障響應(yīng)時(shí)間、到達(dá)現(xiàn)場(chǎng)時(shí)間和系統(tǒng)故障修復(fù)時(shí)間,造成采購(gòu)人信息系統(tǒng)(如***/****/***/***等)服務(wù)中斷超過(guò)**分鐘或引發(fā)較大社會(huì)影響,采購(gòu)人有權(quán)對(duì)投標(biāo)人按違約終止合同。如果造成重大責(zé)任事故,采購(gòu)人有權(quán)追究投標(biāo)人法律責(zé)任。
★*.** 投標(biāo)人需提供安全責(zé)任書(shū),投標(biāo)人自行承擔(dān)駐場(chǎng)工程師的所有安全責(zé)任及其帶來(lái)的經(jīng)濟(jì)損失。投標(biāo)人應(yīng)嚴(yán)格遵守與采購(gòu)人簽訂的保密協(xié)議的相關(guān)內(nèi)容,如果有違反保密協(xié)議約定或承諾的,采購(gòu)人有權(quán)單方面終止與投標(biāo)人之合作,并追究投標(biāo)人的法律責(zé)任。
★*.** 投標(biāo)人的報(bào)價(jià)明顯低于其他通過(guò)符合性審查的投標(biāo)人的報(bào)價(jià),有可能影響產(chǎn)品質(zhì)量或者不能誠(chéng)信履約的,應(yīng)當(dāng)按照評(píng)標(biāo)委員會(huì)的要求,在評(píng)標(biāo)現(xiàn)場(chǎng)合理的時(shí)間內(nèi)提供書(shū)面說(shuō)明,必要時(shí)提交相關(guān)證明材料;投標(biāo)人不能證明其報(bào)價(jià)合理性的,將被作為無(wú)效響應(yīng)處理。
★*.** 投標(biāo)人在結(jié)束服務(wù)合同后要在仍然保證采購(gòu)人系統(tǒng)正常運(yùn)行的情況下將合同結(jié)束時(shí)的項(xiàng)目整體移交給采購(gòu)人,不得更換、拆除任何部件或者應(yīng)用程序。投標(biāo)人將軟件系統(tǒng)的更新、備份、故障解決等日志資料全部交由采購(gòu)人備案存檔,并將更換記錄進(jìn)行登記。作為項(xiàng)目中存儲(chǔ)使用的所有設(shè)備或配件不得帶離采購(gòu)人,所有權(quán)歸采購(gòu)人所有,統(tǒng)*交由采購(gòu)人留存或銷(xiāo)毀。
*、內(nèi)網(wǎng)核心防火墻升級(jí)許可服務(wù)采購(gòu)
*. 服務(wù)內(nèi)容及要求
★*.* 中標(biāo)單位需為醫(yī)院提供全方位的網(wǎng)絡(luò)安全技術(shù)支持,如遇緊急情況,提供及時(shí)、有效的服務(wù)響應(yīng)。
★*.* 為醫(yī)院提供針對(duì)內(nèi)網(wǎng)現(xiàn)有*臺(tái)深信服**********-*防火墻不少于*年的硬件維保、軟件升級(jí)、安全防護(hù)規(guī)則庫(kù)升級(jí)服務(wù)。
★*.* 中標(biāo)單位在服務(wù)周期內(nèi)需提供設(shè)備巡檢服務(wù),安排網(wǎng)絡(luò)安全工程師對(duì)設(shè)備進(jìn)行日常運(yùn)行狀態(tài)的監(jiān)控,季度形成巡檢報(bào)告。
*. 服務(wù)人員要求
★*.* 中標(biāo)單位需至少派遣*名具有專業(yè)知識(shí)的資深技術(shù)人員作為本項(xiàng)目的服務(wù)工程師,負(fù)責(zé)本項(xiàng)目,統(tǒng)籌相關(guān)工作。項(xiàng)目執(zhí)行與工作匯報(bào),控制工作質(zhì)量,執(zhí)行變更和應(yīng)急情況管理,以保證設(shè)備的正常高效運(yùn)行。
★*.* 未經(jīng)采購(gòu)人同意,不得中途擅自更換指定的項(xiàng)目人員,采購(gòu)人也有權(quán)更換不合格的項(xiàng)目人員。中標(biāo)單位應(yīng)在**個(gè)工作日內(nèi)將符合采購(gòu)人要求的項(xiàng)目人員更換到位,否則采購(gòu)人有權(quán)終止合同。由此造成的損失由中標(biāo)人承擔(dān)。
★*.* 在合同履行期間,中標(biāo)人對(duì)其現(xiàn)場(chǎng)派出的人員的安全負(fù)全部責(zé)任,如中標(biāo)方工作人員在合同履行中發(fā)生安全事故的,中標(biāo)人應(yīng)負(fù)責(zé)處理并承擔(dān)責(zé)任。
★*.* 中標(biāo)單位派出的技術(shù)人員應(yīng)精通網(wǎng)絡(luò)安全技術(shù),精通防火墻的配置與部署,應(yīng)具備*年以上的相關(guān)工作經(jīng)驗(yàn)。