1、XX大学网络与信息技术中心网络安全防护类服务采购方案一、采购方式:竞争性谈判二、服务期及付款方式,服务期:壹年从签订合同之日起五个工作日内供应商向校方支付合同总价5%的合同款作为合同履约保证金。服务期满经质量验收合格,由供应商向我校提供发票等有效凭证后,我校向供应商支付100%合同款。验收合格后,合同履约保证金退付按学校相关规定向供应商退还。三、交货期要求1、合同签订生效后,10个日历H内供应商进场进行服务。2、如我校在项目实施后发现成交供应商所交服务质量或内容不符合本项目合同产品配置及价格清单约定的情况,我校将拒收本次服务项目,由此产生的一切后果及损失由供应商自行承担。四、其他商务条款:(一
2、售后服务1、服务响应时间:免费质量保证期间提供7*24小时的故障服务受理,必要时提供现场支援,一般故障1小时解决,重大故障2小时解决。若问题、故障在检修后仍无法解决,供货单位免费提供不低于故障货物规格型号档次的备用货物供采购人使用,直至故障货物修复;2、技术服务:自最终验收合格之日起3个日历日内,中选供应商必须将所有相关技术资料(包含并不仅限于:所提供产品的布局图、走:线图、使用说明书、合格证、服务手册等)交采购人留存备案。3、中选供应商必须对其所提供的设备及采用的相关技术进行免费现场培训,以满足使用单位在日常存储、使用、操作等方面的需求。因培训而产生的一切费用均由中选供应商承担。(二)服务
3、地点IXX大学指定地点。(三)安装要求1、供应商在履行本合同时,应遵守校方各项管理制度,服从校方的安排和管理,安全操作,文明施工,保持环境卫生整洁,项目验收前要做好卫生清理工作,做好安全防范措施,如供应商因违反上述约定造成甲方人身、财产损害的,由供应商承担赔偿费任,同时供应商在合同履行过程中发生的任何人身伤亡事故,均由供应商承担一切法律贡任及赔偿费任。2、其他要求(软件项目参考如下)明确软件的服务器、搭载运行平台,网络等要求(明确是由学校提供还是涵盖在本项目采购中),(1)系统需要与学校网络教学平台做好功能对接、数据对接,信息完全同步。(2)与学校智誉校园对接相关要求。软件系统数据满足学校数据
4、标准要求,并按学校要求实现与学校智慈校园平台数据集成、认证对接和企业微信等学校使用的移动门户平台集成,原则上不允许单独APP部署,所有移动端功能与学校企业微信进行集成。具体集成需求细节应在项目实施前与网络与信息技术中心讨论形成对接方案,并由网络与信息技术中心认可后项目方可实施。项目验收必须由网络与信息技术中心进行验证,满足要求后方可进入验收流程。系统与学校智慧校园完成认证对接后原则上不允许保留单独的登录页面及登录方式。系统必须按照学校要求免权提供系统业务接口并协助第三方系统进行功能集成与深度业务对接工作。如该工作需要进行二次开发,二次开发费用需与学校协商确定,并提供相关开发工作的实际合同(三份
5、供学校参考。应根据用户(甲方)的实际应用情况进行个性化适应性二次开发,宜至验收合格为止。系统安全性满足国家信息系统安全等级保护二级标准,数据安全满足国家密码等保和数据安全法相关要求。如学校开展等级保护测评工作,软件厂商须无条件配合学校完成等级保护二级测评工作,对测评中发现的不满足二级等保要求的软件安全风险点免费限期进行整改,以达到等保相关要求。系统上线前中标方必须通过由公安与网信部门颁发安全资质的安全机构对系统进行安全扫描和渗透测试并形成评估报告,对发现的安全问题必须进行限期整改,并再次测试通过后才能上线运行,所产生的费用由中标方负贡。如学校使用的应用软件版木新发现重大网络安全漏洞,在软件服
6、务期内的,中标方须第一时间进行修补,如超过服务期,中标方则有义务提醒和协助学校进行修补。(三)版权:定制软件一般要求开发完成后要协助学校取得该软件的著作权证书:成品软件需投标时提供相应软件的著作权证”及销售许可(四)项目验收1、中选供应商在交货及验收活动中必须遵守采购人的有关规定。2、中选供应商负责本次采购产品的运抵采购人指定的交货地点后由采购人严格按照比选文件、响应文件及答疑记录进行验收。3、最终验收:在收到中选供应商书面验收通知后,由采购人尽快组织相关人员依照相关标准、规范、要求、合同及有关附件要求进行验收。4、相关检验检测和验收费用全部由中选供应商承担。(五)培训要求1、中选供应商应派遣
7、其精通业务的、健康的、合格的技术人员到合同货物的安装现场提供技术服务。2、中选供应商将根据自身的培训政策和使用方的具体的要求,宜接向采购人或使用单位提供培训,包括中选供应商提供的设备管理培训、技术培训和使用方要求的其他培训内容。3、以上培训内容的培训费用由中选供应商承担。五、设备名称及数量序号名称数量1网络安全服务采购项目2包(安全防护类)1套六、详细参数及技术要求服务项一,安全托管服务服务资产数量60个,服务时间7*24小时,为期一年的持续服务。服务平台能够接入学校现有的安全态势感知平台、数据中心防火墙、上网行为管理,终端安全管理软件等安全设备,以安全设备中的安全H志和安全事件作为数据支撑,
8、能够在云端联动安全组件进行联动封锁,且提供一年的漏洞扫描工具免费使用,能够对服务内的资产提供以下服务:(1)资产识别与梳理1、投标方需借助安全工具对招标方确定的服务资产进行识别和梳理,并在后续服务过程中根据识别的资产变化情况触发资产变更等相关服务流程,确保资产信息的准确性和全面性。2、投标方需结合安全工具发现的资产信息,首次进行服务范围内资产的全面梳理(梳理的信息包含支撑业务系统运转的操作系统、数据库、中间件、应用系统的版本,类型,IP地址;应用开放协议和端11:应用系统管理方式、资产的重要性以及网络拓扑),并将信息录入到安全运营平台中进行管理:当资产发生变更时,安全专家对变更信息进行确认与更
9、新。(2)脆弱性管理1、脆弱性扫描与验证:投标方需提供不少于每月一次针对服务范围内的资产的系统脆弱性和Web漏洞进行全量扫描,并针对发现的脆弱性进行验证,验证脆弱性在已有的安全体系发生的风险及分析发生后可造成的危害。2、投标方需提供客观的修熨优先级指导,不能以脆弱性危害等级作为唯一的修复优先级排序依据。排序依据包含但不限于资产重要性、漏洞等级以及威胁情报(漏洞被利用的可能性)三个维度。3、提供脆弱性验证服务,针对发现的脆弱性问题进行验证,验证脆弱性在已有的安全体系发生的风险及分析发生后可造成的危害。针对已经验证的脆弱性,F1.动生成工单,安全专家跟进修复状态,各个处理进度透明,方便招标方清晰了
10、解当前脆弱性的处置状态,将脆弱性处理工作可视化。4、针对存在的漏洞提供修复建议,能够提供精准、易懂、可落地的漏洞修复方案。5、针对服务平台生成的工单,招标方可按需催单,用户可在服务平台上采用邮件等方式提醒安全专家加快协助处置,督促投标方第一时间处理6、需提供脆弱性复测措施,及时检验脆弱性真实修复情况。投标方要支持招标方可按需针对指定脆弱性问题,指定资产等小范围进行,降低脆弱性复测时的潜在影响范围7、对发现的脆弱性建立状态总览机制,自动化持续跟踪脆弱性情况,清晰宜观地展示脆弱性的修复情况,遗留情况以及脆弱性对比情况,使得招标方可做到脆弱性的可视、可管、可控8、最新漏洞预警与排查:投标方需实时抓取
11、互联网最新漏洞与详细资产信息进行匹配,对最新漏洞进行预警与排查。预警信息中包含最新漏洞信息、影响资产范围。9、为了对内部风险进行深入检测,要求服务过程中使用的工具应具备以下功能:弱密码检测技术基于UEBA学习技术(无监督F1.我学习)提取登陆成功的特征,通过UEBA技术对响应体内容和登录跳转路径进行持续学习训练登录成功特征,包括响应体内容JSon、响应体关键字Keyword,响应体MD5值、响应体长度1.ength、登录跳转路径1.ocation,可实时H动生成学习到的登陆成功规则。(评审依据:响应文件中需提供相关截图证明,并加盖制造厂商公章,不提供或所提供的佐证材料模糊、不清晰无法证明的视为
12、不满足)10、所使用的功能能够支持敏感数据泄密功能检测能力,可自定义敏感信息,支持根据文件类型和敏感关键字进行信息过滤。(评审依据:响应文件中需提供相关截图证明,并加盖制造厂商公章,不提供或所提供的佐证材料模糊、不清晰无法证明的视为不满足)(3)威胁管理1、结合大数据分析、人工智能、云端专家提供安全事件发现服务:依托于安全防护组件、检测响应组件和安全平台,将海量安全数据脱敏,包括脆弱性信息、共享威胁情报、异常流量、攻击口志、病毒口志等数据,经由大数据处理平台结合人工智能和云端安全专家使用多种数据分析算法模型进行数据归因关联分析,实时监测网络安全状态,发现各类安全事件,并自动生成工单。2、实时监
13、测网络安全状态,对攻击事件H动化生成工单,及时进行分析与预警。攻击事件包含境外黑客攻击事件、暴力破解攻击事件、持续攻击事件。3、实时监测网络安全状态,对病毒事件自动化生成工单,及时进行分析与预警。病毒类型包含勒索型、流行病毒、挖矿型、端虫型、外发DOS型、C&C访问型、文件感染型、木马型。4、投标方需每月主动分析病毒类的安全事件:提供病毒处置工具,并针对服务范围内的业务资产使用病毒处置工具进行病毒查杀,对于服务范围外的业务资产,安全专家协助用户查杀病毒。5、策略定期管理:投标方需每月对学校接入的安全组件上的安全策略进行统一管理工作,确保安全组件上的安全策略始终处于增优水平,针对威胁能起到有效的
14、防护效果。6、服务能够提供弱密码检测能力,弱密码检测规则支持高度F1.定义,包括规则名称、生效域名、长度规则、字符规则、字典序、WCb空密码、账号白名单、密码白名单、txt文件格式导入。(评审依据:响应文件中需提供使用工具对应功能的截图证明,并加盖制造厂商公章,不提供或所提供的佐证材料模糊、不清晰无法证明的视为不满足)(4)事件管理1、基于主动响应和被动响应流程,对页面篡改、通报、断网、WebShe11、黑链等各类严重安全事件进行紧急响应和处置的解决方案。2、实时针对异常流量分析、攻击口志和病毒口志分析,经过海量数据脱敏、聚合发现安全事件。3、针对分析得到的勒索病毒、挖矿病毒、篡改事件、Web
15、she1.K(S尸网络等安全事件,通过工具和方法对恶意文件、代码进行根除,帮助招标方快速恢复业务,消除或减轻影响4、入侵影响抑制:通过事件检测分析,提供抑制手段,降低入侵影响,协助快速恢复业务5、侵威胁清除:排查攻击路径,恶意文件清除。6、提供的服务平台可自动生成风险评估报告,风险评估报告全面展示各关键阶段的服务内容及存在的风险,并提供可落地的修第建议,指导后期安全规划建设,辅助招标方决策层决策整体安全建设。(评审依据:响应文件中需提供相关截图证明,并加盖制造厂商公章,不提供或所提供的佐证材料模糊、不清晰无法证明的视为不满足)服务项二I应急响应服务1、投标方一年内应按以下要求及时提供二次应急响
16、应服务:2、接到事件报告;根据事件级别进行不同级别的响应方式,包括电话、现场等:协调其他外部资源进行处理:安全事件溯源分析服务;编制应急响应情况报告,说明事件原因、处置措施等。3、服务响应时间:投标方应提供7*24应急响应服务,提供应急响应服务方案。安全事件要求应急团队须在5分钟内,对信息安全事件做出响应,并严格按照招标方信息安全等级要求迅速到达现场并解决问题,其中一类、二类业务系统须30分钟内到达现场。三类业务系统须2个小时内到达现场。一般性故障2小时内到现场,4小时内处理解决,紧急故障2小时内处理解决。4、应急响应服务交付物:信息系统应急事件处理报告信息系统安全事件分析报告服务项三I应急演
17、练服务一年内一次应急演练服务,服务要求如下:1、服务内容:投标方应结合招标方网络安全要求制定一次对应的应急演练预案,演练预案包含但不限于以下内容:有害程序事件:内网传播型病毒应急演练、勒索病毒应急演练、挖矿病毒应急演练等:网络攻击事件:漏洞攻击应急演练、后门攻击应急演练等:信息破坏事件:网站篡改应急演练、信息泄露应急演练等:设备设施故障事件:网络设备故障应急演练、服务器故障应急演练等。2、投标方根据招标方年度演练需求,参考演练预案制定演练方案,并提交至招标方相关人员进行评审。3、投标方根据评审后的演练方案组织相关人员开展应急演练,并对应急演练过程进行记录,形成配套演练材料。4、应急演练服务交付
18、物主文档:应急演练方案、应急演练报告支撑文档:应急演练脚本包括演练解说词、应急演练记录,包含现场照片,视频等服务项四I风险评估服务提供一次200个业务资产内的风险评估服务,服务内容要求如下:(1)基线核查基线核查应按照以下要求实施:1、投标方应对基线核查的资产进行全面梳理和识别,识别内容包含但不限于资产类型、IP地址、业务部门、责任人、用途、操作系统、数据库、中间件等2、投标方应提交基线核查的标准,会同招标方各接口人进行沟通确认3、依据相关标准或规范,投标方应结合招标方制定的基线核查标准、上级单位的基线核查标准、行业基线核查标准及行业最佳实践等,目4、标对象进行核查,目标对象包括但不限于:网络
19、设备、操作系统、数据库及中间件等5、投标方应组织相关人员对结果进行确认后,分析提交科学、合理的整改建议。6、基线核查应包含但不限于以下内容:网络设备:OS安全、帐号和口令管理、认证和授权策略、网络与服务、访问控制策略、通讯协议、路由协议、口志审核策略、加密管理、设备其他安全配置等操作系统:系统漏洞补丁管理、帐号和口令管理、认证、授权策略、网络与服务、进程和启动、文件系统权限、访问控制、通讯协议、日志审核功能、剩余信息保护、其他安全配置等数据库:漏洞补丁管理、帐号和口令管理、认证、授权策略、访问控制、通讯协议、口志审核功能、其他安全配置等中间件:漏洞补丁管理、帐号和口令管理、认证、授权策略、通讯
20、协议、口志审核功能、其他安全配置等(2)脆弱性识别1、依据相关国家标准或国际标准,根据资产识别结果,采用不同手段对资产进行全面的脆弱性识别,及时发现、处置脆弱性,避免或降低脆弱性被威胁利用的几率造成的影响2、脆弱性分类应至少包括但不限于以下三类:技术性弱点一系统、程序、设备存在的漏洞或缺陷,如网络结构设计问题和代码漏洞操作性弱点一软件和系统配置、操作中存在的缺陷,包括人员在口常工作中的不良习惯,审计和备份的缺乏管理性弱点一策略、程序、规章制度、人员意识、组织结构等方面的不足3、脆弱性识别方式包含但不限于:学校现有安全工具的数据分析,人工访谈调研、文档审阅和实地核查等。4、为保证风险识别准确率以
21、及风险识别的全面性,要求服务过程中使用的工具应具备以下功能:具备IPS漏洞特征识别库、IYEB应用防护识别库、僵厂网络识别库、实时漏洞分析识别库、UR1.库、应用识别库、恶意链接库、白名单库;支持定期自动升级或离线手动升级。(评审依据:响应文件中需提供相关截图证明,并加盖制造厂商公章,不提供或所提供的佐证材料模糊、不清晰无法证明的视为不满足)(3)风险分析1、投标方应组织专家团队,对存在和潜在的风险进行全面分析,保证风险分析的科学性、合理性及风险处置的可操作性2、投标方应在风险分析完成后,组织召开相关会议,将风险评估实施过程全生命周期发现的情况或问题统一反馈,并提出可落地的建议或方案。服务项五
22、重保值守提供一次省级线下值守保障服务,在服务期间,通过线上+线下的方式提供7*24小时安全事件分析、协助用户处置安全事件。重保服务期间提供以下服务:1、资产梳理:安全访谈和调研,梳理信息资产和业务环境状况,针对重要业务系统制定评估详细方案2、脆弱性评估:通过Web扫描,漏洞扫描、基线检查、漏洞验证等手段,识别业务系统安全脆弱性风险。通过Web扫描器对Web业务系统进行扫描,主要包含如下两大类服务Web漏洞扫描,覆盖Web通用漏洞和常规漏洞。支持SQ1.注入、XXSS,安全配置错误、已知漏洞组件包含、敏感信息泄露等常见漏洞的检测:3、安全策略加固服务:检态安全设备,包含防火墙、上网行为管理、态
23、势感知等安全设备策略冲突、策略有效性等问题并提供调优服务。4、失陷安全检查:通过人工或工具产品检测主机系统上的恶意文件和网络行为判断是主机失陷状态:5、应急响应服务:通过事件检测分析,提供抑制手段,降低入侵影响,协助快速恢复业务;入侵威胁清除:排查攻击路径,恶意文件清除;入侵原因分析:还原攻击路径,分析入侵事件原因;加固建议指导:结合现有安全防御体系,指导用户进行安全加固、提供整改建议、防止再次入侵。6、总结:对整个HW工作进行总结,包括安全保障效果和成果、工作存在的问题和改进计划、业务和系统遗留风险及持续控制计划等,为后期保障工作总结最佳实践。7、现场值守服务:XX省“护网”行动期间,要求提
24、供一名安全服务人员至采购单位现场值守,提供口常网络维护,口常安全管理,对口常安全事件进行第一时间处置并且跟踪安全事件。服务项六:安全运营服务考核指标1、签订安全事件服务承诺书:2、安全事件产生至侦测并发布预警,间隔不超过2个小时,安全事件经过人工确认后准确率达99%;若不达标一次,延长安全服务总期限时间一周;3、启用应急响应机制,10分钟内线上安全服务团队进行响应,同城2小时上门处置,同省4小时内上门处置:若不达标一次,延长安全服务总期限时间一周:4、参考国家网络安全事件应急预案中1.4事件分级为标准,对属于本次项目服务范崎内,发生的安全事件进行分级。在供应商实施服务期间,尤其是在国家或上级主管单位制定的网络安全重点保障时期内,发生特别重大网络安全事件未及时监测,但被上级主管部门监测通报,每发生一次即扣除服务合同金额10$为贿偿金;发生重大网络安全事件和较大网络安全事件未及时监测,每发生一次即扣除服务合同5%为贿偿金:一般网络安全事件未及时监测,每发生一次即延长安全服务总期限时间一周。(评审依据I响应文件中需提供该项承诺函,并加盖公章)
