陕西省地震局2025年网络安全服务采购公告_采购与招标网
我的
找项目,采招圈比人脉靠谱! 立即下载
首页> 招标> 招标公告

  • 陕西省地震局2025年网络安全服务采购公告

    采购与招标网   ,商业服务,机械电子电器   陕西   2024-11-27

    • 招标代理公司( 立即查看 )受业主单位( 立即查看 )委托,于在采购与招标网发布 陕西省地震局2025年网络安全服务采购公告 现邀请全国供应商参与投标,有意向的单位请及时联系项目联系人参与投标。

    根据《陕X自行采购管理办法》X络安全服务内容进行公开采购,具体事项说明如下:

    一、项目概况

    项目X络安全服务

    采购单位:陕XX

    项目预算X.XX

    二、服务内容

    1、资产识别与梳理

    X资产进行识别和梳理,并在后续服务过程中根据识别的资产变化情况触发资产变更等相关服务流程,确保资产信息的准确性和全面性。全面梳理服务范围内资产的基础信息(包含支撑业务系统运转的操作系统、数据库、中间件、应用系统的版本,类型,IP地址;应用开放协议和端口;应用系统管理方式、资X络拓扑),并将信息X中进行管理。

    2、安全现状评估

    ★系统与Web漏洞扫描:X资产的操作系统、数据库、常见应用/协议、Web通用漏洞与常规漏洞进行漏洞扫描。

    弱口令扫描:X资产不同应用弱口令猜解检测,如X、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等。

    基线配置核查:定期检查支撑信息化业务的主机操作系统、数据库、中间件的基线配置情况,确保达到相应的安全防护要求。检查项包含但不限于帐号和口令管理、认X络与服务、进程和启动、文件系统权限、访问控制等配置情况。

    蠕虫病毒事件:服务方需确认文件是否被感染,定位失陷的代码并进行修复。

    ★风险判断:服务方针对监控发现的漏洞利用攻击行为、Webshell上传行为、Web系统目录遍历攻击行为、SQL注入攻击行为、信息泄露攻击行为、口令暴力破解X络攻击行为、系统命令注入X络攻击行为进行X析评估,判断攻击行为是否成功以及业务风险点。

    失陷主机X析:服务方需对失陷主机进行X析研判(如后门脚本类事件),并给出修复建议。

    潜伏威胁X析:X主机的非法外联威胁行为,判断是否存在潜伏威胁,并给出解决建议。含:对外攻击、APT C&C通道、隐藏外联通道等外联威胁行为。

    3、安全事件处置

    服务方需对发现的问题进X脆弱性问题,病毒类事件,入侵行为,勒索、挖矿类事件等。

    4、脆弱性管理

    脆弱性扫描与验证:服务方需提供不少于每月一次针对服务范围内的资产的系统脆弱性和Web漏洞进行全量扫描,并针对发现的脆弱性进行验证,验证脆弱性在已有的安全体系发生的风险及X析发生后可造成的危害。

    ★优先级排序:服务方需提供客观的修复优先级指导,不能以脆弱性危害等级作为唯一的修复优先级排序依据。排序依据包含但不限于资产重要性、漏洞等级以及威胁情报三个维度。

    ★脆弱性验证:针对发现的脆弱性问题进行验证,验证脆弱性在已有的安全体系发生的风险及X析发生后可造成的危害。针对已经验证的脆弱性,自动生成工单,安全专家跟进修复状态,各个处理进度透明,方便陕X清晰了解当前脆弱性的处置状态,将脆弱性处理工作可视化。

    修复建议:针对存在的漏洞提供修复建议,能够提供精准、易懂、可落地的漏洞修复方案。

    脆弱性复测:提供脆弱性复测措施,及时检验脆弱性真实修复情况。服务方要支持陕X可按需针对指定脆弱性问题,指定资产等小范围进行,降低脆弱性复测时的潜在影响范围。

    脆弱性状态总览:对发现的脆弱性建立状态总览机制,自动化持续跟踪脆弱性情况,清晰直观地展示脆弱性的修复情况,遗留情况以及脆弱性对比情况。

    漏洞预警与排查:服务方需实时提供最新漏洞与详细资产信息进行匹配,对最新漏洞进行预警与排查。一旦确认漏洞影响范围后,安全专家提供专业的处置建议,包括补丁方案以及临时规避措施。

    5、威胁管理

    依托于安全防护组件、检测X,将海量安全数据脱敏,包括脆弱性信息、共享威胁情报、异常流量、攻击日志、病毒日志等数据,利用人工智能或云端安全专家X析等技术对数据进行归因关联X络安全状态,发现各类安全事件,并自动生成工单。

    服务方需针对每一类威胁,进行深度X析验证,X析判断是否存在其他可疑主机,将深度关联X析的结果通过邮件、微信等方式告知陕X。结合威胁情报,服务方需排X资产造成威胁,协助及时进行安全加固。每月主动X析病毒类的安全事件,针对服务范围内的业务资产使用病毒处置工具进行病毒查杀,对于服务范围外的业务资产,安全专家协助用户查杀病毒

    服务方需每月主动X析攻击类的安全事件,发现持续性攻击,立即采取行动实时对抗,提供攻击类安全事件的处置建议。每月主动X析漏洞利用类的安全事件并验证该漏洞是否利用成功,提供工具协助处置。每月主动X析失陷类的安全事件并协助用户处置,并提供溯源服务。

    服务方需每月对陕X安全组件上的安全策略进行统一管理工作,确保安全组件上的安全策略始终处于最X大数据X析,发现有境外黑客或高级黑客正在攻击,立即采取行动封锁黑客行为。

    6、事件管理

    ★基于主动响应和被动响应流程,对页面X、webshell、黑链等各类严重安全事件进行紧急响应和处置的解决方案。

    针对X析得到的勒索病毒、挖矿病毒、篡改事件、websX络等安全事件,对恶意文件、代码进行根除,帮助陕X快速恢复业务,排查攻击路径,还原攻击路径,X析入侵事件原因,消除或X络安全加固建议指导,结合现有安全防御体系,指导用户进行安全加固、提供X改建议、防止再次入侵。

    7X多源日志接入与X析服务

    8、外部暴漏面检测服务

    基于给定一级域名/组织名称(不少于X个IP/子域名、5个X资产进行探测X侧所能解析的子域名。基于资产探测任务的结果,深度识别并记录资产下各种资产属性,包含但不限于:子域名、IP、开放端口服务应用、资产变动情况、HTTP响应码、端口banner、组件、归属地、SSL证书等。

    ★基于后台资产指纹库,对资产数据库进行X类汇总;资产X类X络产品、云资产、其他;指纹库标记信息包含但不限于:厂商名称、指纹名称、指纹版本号等;

    根据陕X定义的特定关键字或关键字组合,发现并监测微信公众号、微信服务号、微信小程序、APP的资产及变化情况;能够识别资产内容包括但不限于:账号主体、资产类型、微信号、简介等;

    9、外部攻击面X析服务

    基于暴露面检测的X资产进行PoC漏洞扫描;PoC漏洞类型包含但不限于:未授权访问漏洞、数据库弱口令、远程登录协议弱口令、远程代码执行漏洞、SQL注入、敏感信息泄露漏洞、文件上传漏洞等;

    X、敏感数据泄露监测服务

    ★能够根据陕X定义的关键字或关键字组合(不少于X个关键字),对Telegram等黑客活跃的即时通讯软件进行监测,用于发现陕X相关的黑产舆情事件。

    根据陕X定义的关键字或关键字组合(不少于X个关键XX盘的共享文档进行监测,用于发现陕X相关的敏感文件X盘类型包括X盘、X盘等;

    能够根据陕X定义的关键词或关键词组合(不少于X个关键X文库的共享文档进行监测,用于发现陕X相关的敏感文件泄露事件,监测范围包括但不限于:百度文库、豆丁、道客巴巴等。

    能够根据陕X定义的关键字或关键字组合(不少于X个XX、黑客地下论坛、勒索团伙站点等进行监测并保持记录,用于发X敏感数据泄露事件或情报,XXX页内容等;

    X、系统交接培训

    ★挑选出一个业务系统,与客户相关人员共同完成业务策略梳理工作,在服务工作中将系统使用方法、业务梳理流程、系统日常运维方法教给客户相关人员,在系统策略完成后组织现场/线上培训,输出培训材料。

    三、服务要求

    1X

    服务方需向陕X提供满足以下X:

    ★支持面向陕X的安全态势展示,展示出当前威胁事件信息以及脆弱性信息统计,并支持体现当前风险态势情况。

    ★支持面向陕X的安全报告与交付物管理,可生成、导出、下载各类安全报告,包括但不限于《安全服务值守日报》、《特殊时期值守报告》、《安全运营周报》、《安全运营月报》。

    ★所有可导出报告支持按照自定义模块进行导出,可自定义模块必须包括但不限于事件管理、攻击威胁(外部攻击趋势、TOP5攻击IP等)、脆弱性管理(漏洞、弱密码)。(服X支持上述服务报X功能证明截图)

    ★支持展示当前工单数量和工单处置状态,展示安全事件闭环效果,掌握当前专家服务进度,监督服务质量。

    ★服务方在本项目使用服务工具应支持将收集的安全日志上传XX上对服务X应支持配置陕X的业务信息,将业务设置为高中低三个不同的等级。在每个业务下,配置业务的资产X应支持为陕X设置白名单,包括自动封锁白名单,策略白名单等。支持重大活动保障时期的备战阶段、实战阶段、演练结束三个阶段的指导性工作流程。

    2、外部攻击面管理服务

    服务方需向陕X提供满足以下条件的外部攻击面管理服务:

    以攻击者视X对组织数字资产攻击面进行检测发现、X析研判、情报预警和持续监控的资产安全性管理服务;

    ★借助于SX,来帮助陕X审视所属资产、第三方及供应链可被利用的攻击可能性;输出《外部攻击面管理服务报告》。

    2、服务水平要求

    1)安全事件服务要求:

    ★从安全日志产生到事件通告给陕X的时间方面,按照国家标准对安全事件的X类X级指南,重大安全事件通告时间小于XX钟,一般事件的通告时间少于1小时。

    在配备服务方的边界防护服务组件和终端防护服务组件的情况下,运营服务对于重大安全事件的遏制影响和处置完成时间小于1小时,对于一般事件的遏制影响和处置完成时间小于4小时。

    安全事件经过服务人员的确认后,各类安全事件的判断准确率不低于X%。

    在配备了服务方的边界防护服务组件和终端防护服务组件的情况下,安全事件的闭环处置比例达到X%。

    ★对于重大事故应启动应急响应机制,工作时间XX钟之内进行响应,非工作时间XX钟之内进行响应,事故地点在西安市内则2小时上门处置,省内其他城市8小时上门处置。

    2)安全威胁服务要求:

    从安全日志产出到威胁通告陕X,重大威胁通告时间少于1小时,一般威胁通告时间少于2小时。

    安全威胁经过服务人员的确认后,高级威胁和一般威胁的判断准确率不低于X%。

    3、安全服务交付物要求

    交付物名称:《安全服务运营报告》,报告频率:每周一次,重保期间按需调X

    交付物名称:《首次威胁X析与处置报告》,报告频率:一次

    交付物名称:《事件X析与处置报告》,报告频率:按需触发,不限次数

    交付物名称:《安全通告》,报告频率:按需触发,不限次数

    交付物名称:《综合X析报告/运营月报》,报告频率:每月一次

    交付物名称:《季度汇报PPT》,报告频率:每季度一次

    交付物名称:《年度汇报PPT》,报告频率:每年一次

    交付物名称:《外部攻击面管理服务报告》,报告频率:一次

    4、服务范围

    提供针对不少于X个资产(服务器或虚拟机)的7*X小时安全服务。

    5、服务频率

    ★提供一年内的7*X小时持续专家服务,协助威胁发现及时响应。提供一年内根据陕X的实际需要,提供一次外部攻击面管理服务。

    四、资质要求

    营业执照副本(事业单位法人证书副本)、税务登记证副本(非盈利性事业单位不提供)、组织机构代码证副本或者统一社会信用代码证(三证合一);

    法定代表人委托授权书,法定代表人或事业单位法人参加招标只需提供其身份证;

    本项目不接受联合体投标。

    备注:以上资质文件提供复印件加盖公章查验。

    五、其他要求

    ★服务方提供的安全服务人员(包括线上X析、咨询及安全事件响应人员)需具有1年或1年以上安全服务工作经验,项目经理和质量负责人必须具备丰富的安全服务经验及相关资质认证,确保人员稳定。如需更换安全服务人员,须由采购单位同意。

    六、采购响应方式

    采购响应时间X年X月X日至X年X月X日

    采购响应文件递交地址:X4号防震减灾科技大楼9楼

    联系人:X>

    电话X-X

    本次采购接受邮寄,供应商可将资质材料复印件加盖公章连同采购响应文件一并邮寄。

    七、付款方式

    合同签订后7个工作日内,由乙方向甲方支付X%的履约保证金,甲方收到后向乙方支付合同X%,服务期中期甲方对乙方上半年安全服务质量、定期汇报情况、安全周报月报等交付物交付情况进行打X考核,考核通过后甲方支付乙方合同总金额X%。合同到期后甲方对乙方全年安全服务质量及交付物进行验收考核,验收通过后支付乙方合同总金额X%,并返还所有履约保证金。

    八、采购响应文件要求

    采购响应文件应严格按照采购需求做出实质性响应,包含以下内容:

    1. 对安全服务准备、服务方案编制(包括技术手段、人员配置、值守内容及服务要求中所涉及的相关内容)、服务产出报告模板编制等内容进行详细描述;

    2. 对安全监测、X析、通告、处置的方案及内容进行详细描述;

    3. 对使用的安全检测工具、威胁情报库来源、威胁及安全态势通知方式进行详细描述,并说明使用权限(例如授权信息等)。

    4X的态势展示、报告导出、模板调X等功能进行详细描述。

    5. 明确描述合理的安全联动方案;

    6. 提供安全服务过程中的风险防范措施,并明确保密责任与赔偿承诺;

    7. 服务承诺及保障措施;

    8. 其他认为需要补充的合理化建议。

    备注:以上资质文件现场提供复印件加盖公章查验

    九、评标

    本项目评审使用综合评X法,评标委员会将按照客观、公正、科学、择优的原则,结合项目实际情况,以项目报价、企业技术实力、安全服务方案、服务人员从业经验、业务开展情况等多个因素为评价指标,依据评标办法,进行X项评审,评审得X计入总得X。

    序号

    评审项目

    评审标准

    X值

    1

    投标价格(X)

    综合评X法中的价格X采用平均价优先法计算,即满足采购文件要求的投标价格,取其平均值作为评标基准价,其价格X为满XXX。

    投标报价每偏离基准价5%扣1X,计算公式如下:投标得X=X-【(投标报价-基准价)】/(基准价*5%)。

    XX

    2

    技术方案

    (XX)

    服务指标

    服务方案中对招标文件中安全托管服务要求的细项根据要求进行逐项响应,从服务内容、范围、频次以及交付成果等方面做出完全的、详细的说明,如需要须提供相应材料证明,满XXX,每出现1项★项负偏离扣2X,普通项负偏离扣1X,扣完为止。

    XX

    3

    重大会议和重大活动期间方案

    投标人应提供明确的重保期间安全保障方案,方案科学合理,确保重大活动、X络安全稳定。优秀得X-8X;良好得8-4X;一般得2X,未提供不得X。

    XX

    4

    根据技术方案的先进性、完X性和扩展性,方案架构设计安全可靠性以及方案的成熟度综合打X;要求系统结构清楚正确、技术方案描述条理清楚、内容齐全,设备配置合理。

    优【X-XX】:方案非常合理,可以与现有关键安全设备联动,完全实现采购人要求的功能,技术成熟领先、系统的可用性及安全性较高、操作便捷、技术方案科学合理。

    良【6-XX】:方案一般,可以与现有关键安全设备对接,能实现采购人要求的功能,少数次要功能实现效果存在差异;技术一般,系统的可用性及安全性一般。

    一般【0-6X】:方案存在瑕疵,无法与现有关键安全设备对接,只能基本实现采购人要求的功能,部X主要功能可以实现但效果较差;安全性不强,针对性差。

    未提供者不得X。

    XX

    5

    (XX)

    服务方基本情况

    1.服务方所投服务供应商具备中国信息X颁发的安全运营类资质证书,得3X,不具备得0X,应提供相关证明材料复印件。

    2.服务方所X络安全应急服务支撑单位,获得国家级(甲级)证书得3X,省级(乙级)得2X,否则得0X,应提供相关证明材料复印件。

    6X

    6

    合法来源

    投标人需具备服务厂商提供的正式授权函,以证明其有权销售和服务相关产品或服务,提供相关证明并加盖服务厂商公章得5X,不提供不得X。

    5X

    7

    同类型信息安全服务项目实施经验

    近三年(X年1月1日起)服务方所投服务供应商所承担的类似的信息安全服务项目等,每提供一个案例得2X,最高得8X。注:提供相关证明材料并加盖厂商公章。

    8X

    服务方所投服务供应商具有最近三年参与重大活动安全保障工作经验,每提供1个不同客户的重大活动安全保障服务证明文件得2X,最高得6X。注X.证X合同、任务书、感谢信、表扬信等材料之一的复印件,加盖公章;2.业绩不重复计X。

    6X

    (二)评标规则

    各评委必须按照本办法据实评X。凡评X不符合本办法规定者,为无效评X。

    评标过程中,各种数字计算均精确至小数点后两位。

    评标委员会根据总X由高到低对供应商进行排名;得X相同的,按投标报价由低到高进行排名;得X且报价相同的,按技术标得X由高到低排名。按照上述排名办法由评标委员会推荐前三名供应商为中标候选人。

    评定标过程中,若出现本办法以外的特殊情况时,将暂停评标,有关情况待评标委员会研究确定后,再行评定。

    评标委员会经评审,认为投标供应商的投标不符合采购文件要求的,可以否决其投标。

    本评标办法解释权归采购人。

    十、定标

    陕X根据评标结果确定成交单位,对未成交单位不做原因解释。

    陕X

    X年X月X日



    免费注册会员可以查看免费信息,了解更多服务内容请进入客服中心,您在使用本网过程中,需要帮助,可以拨打下面的电话。

    会员办理咨询:400-006-6655转1。

    业务咨询:400-006-6655转1。

    入会咨询:400-006-6655转1。

    客户服务:400-006-6655转7。

    发布信息:400-006-6655转2。

0
1091000689674821
0
在线咨询
电话咨询
登录注册
我的