关于上海市教育考试院网站系统等级保护整改和安全监测服务的询价公告
2018-09-21 09:53:21
一、项目概况
对于数据中心而言,不仅要提供7*24小时不间断运行服务,还要确保各项业务应用的稳定正常运行。目前需引进专业的安全服务团队,协助进行安全防护和建设工作,通过持续的安全建设来不断降低安全风险。
二、项目范围
招标需求一览表(包括但不仅限于此)
序号 | 服务类型 | 数量 |
1 | 网站系统等级保护整改和安全监测服务 | 1 |
三、服务规格参数需求
3.1安全运维服务
序号 | 服务内容 | 服务频率 | 服务周期 | 服务说明 |
一 | 网站系统安全巡检服务 | |||
1 | 系统安全检测及配置优化 | 每月1次 | 一年 | 对指定系统进行安全配置上的检查并提供优化建议。 |
2 | 网站及系统日志审计分析 | 每月1次 | 一年 | 针对网站和系统日志进行分析,发现系统存在的可疑的攻击行为。 |
3 | 网站防火墙安全策略配置优化 | 每月1次 | 一年 | 对防火墙安全策略进行分析,并提供配置优化建议。 |
4 | 系统、防病毒等安全补丁的更新 | 按需进行 | 一年 | 对服务器系统、防病毒系统进行安全更新 |
5 | 交换设备配置检测及优化 | 每月1次 | 一年 | 对交换设备的安全配置进行检测,并进行分析提供优化建议 |
6 | 恶意访问及攻击尝试分析 | 每月1次 | 一年 | 对安全设备如waf、ips、ids等产生的告警日志进行分析,并对设备策略进行优化 |
7 | 网站及系统漏洞扫描 | 每月1次 | 一年 | 在内网对网站及系统进行安全漏洞扫描,并提供扫描报告和修复建议。 |
8 | 7*24小时网站预警监测报警(包含网站性能预警,网站安全预警,网站应用安全预警等) | 7*24小时 | 一年 | 7*24小时网站预警监测报警(包含网站性能预警,网站安全预警,网站应用安全预警等) |
9 | 提交巡检报告 | 每月1次 | 一年 | 定期提交以上工作的巡检报告 |
二 | 网站源码检测评估服务 | |||
1 | 对门户网站、开发源代码、插件等系统进行白箱测试服务,提交风险报告与整改意见 | 网站及业务系统1次 | 一年 | 结合代码审计设备,对应用系统的开发源代码、插件源码等代码进行白箱测试服务,提交风险报告与整改意见 |
2 | 根据设备产生的弱点报表提供具体的人工分析报表和建设性改善建议 | 每检测一次出具一次报告 | 一年 | 根据设备产生的弱点报表提供具体的人工分析报表和建设性改善建议,人工分析需要验证扫描结果并排除误报 |
三 | 突发事件快速应急响应服务 | |||
1 | 安全专家7*24小时电话支持服务及2小时到场服务 | 按需进行 | 一年 | 安全专家7*24小时电话支持服务及2小时到场服务 |
2 | 技术支持工程师重大事件1小时到场服务及其他事件2小时到场服务 | 按需进行 | 一年 | 技术支持工程师重大事件1小时到场服务及其他事件2小时到场服务 |
四 | 安全技术培训服务 | |||
1 | 安全培训 | 半天 | 一年 | 培训内容包含但不限于网站系统安全运维培训,包含但不限于window、linux以及常见web中间件的安全运维 “Web应用程序源码开发安全”培训,包含但不限于常见web应用漏洞的原理、修复方法;常见逻辑类web应用漏洞的原理、修复方法;常见框架或组件利用漏洞的原理、方法等。 常见web应用漏洞的原理、利用方法,利用场景、工具介绍等等。 |
2 | 网站安全咨询 | 按需进行 | 一年 | 按需提供网站安全相关的咨询服务 |
五 | 专业应急预案设计和演练服务 | |||
1 | 制定网站安全事件分级与紧急响应计划 | 每年一份 | 一年 | 制定网站安全事件分级与紧急响应计划 |
2 | 负责网站平台运行监控体系、应急处置体系以及事件问题管理体系的规划和建设 | 按需进行 | 一年 | 负责网站平台运行监控体系、应急处置体系以及事件问题管理体系的规划和建设 |
3 | 规划和建立网站平台应急处置体系,制订应急处置流程、完善应急处置手册 | 每年一次 | 一年 | 规划和建立网站平台应急处置体系,制订应急处置流程、完善应急处置手册 |
4 | 编制年度网站系统灾难恢复应急演练计划和方案,并组织协调相关资源进行实施 | 每年一次 | 一年 | 编制年度网站系统灾难恢复应急演练计划和方案,并组织协调相关资源进行实施 |
5 | 依据网站系统各项管理流程与体系,提交业务连续性计划 | 每年一次 | 一年 | 依据网站系统各项管理流程与体系,提交业务连续性计划 |
6 | 组织落实网站系统各级灾备环境的日常检查和管理工作 | 按需进行 | 一年 | 组织落实网站系统各级灾备环境的日常检查和管理工作 |
六 | 信息安全等级保护整改和测评 | |||
1 | 等保三级复测评咨询服务 | 每年一次 | 一年 | 依据信息安全等级保护要求协助考试院的“上海招考热线”系统通过三级复测评工作,并根据考试院实际需求协助梳理重要的安全管理制度落地。 |
七 | 渗透测试服务 | |||
1 | 渗透测试服务 | 每年两个 | 一年 | 采用人工黑盒的方式对考试院指定的一个应用系统进行模拟攻击测试。主要测试方法包括:信息收集、端口扫描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人攻击、web脚本渗透、B/S或C/S应用程序测试等,使用工具和漏洞均为互联网公开工具。 |
3.2供应商资质要求
企业信用等级证书
中国信息安全认证中心ISCCC应急处理一级
中国信息安全认证中心ISCCC风险评估一级
自主知识产权的众测平台
国家信息安全测评信息安全服务资质证书(安全工程类三级)
3.3类似项目经验
应提供类似项目案例或者用户感谢信等
3.4 其他要求
提供 明观网络威胁检测系统(简称NTDS)一年的本地监测并按月出具报告
四、报价
有意向的单位可先了解详情后,于2018年9月28日(星期五)15:00前向上海市教育考试院(民星路465号)提供书面投标文件。投标文件须加盖公章,密封完整(上下底必须贴封条加盖公章)。后附报价单位的相关企业资料复印件(售后服务、企业营业执照、税务证明、相关资质等证明材料)并加盖公章,并提供此类销售的案例。
联系人:张老师,联系电话:35367583。相关报价和材料请寄至:上海市杨浦区民星路465号6号楼211室(邮编:200433),上海市教育考试院,张老师收。