根据《陕西省地震局自行采购管理办法(试行)》,现对陕西省地震局2024年网络安全服务内容进行公开采购,具体事项说明如下:
一、项目概况
项目名称:陕西省地震局2024年网络安全服务
采购单位:陕西省地震局信息中心
项目预算:175000元
二、服务内容
1、资产识别与梳理
2、安全现状评估
★系统与Web漏洞扫描:定期针对陕西省地震局入网资产的操作系统、数据库、常见应用/协议、Web通用漏洞与常规漏洞进行漏洞扫描。
弱口令扫描:定期开展针对入网资产不同应用弱口令猜解检测,如:SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等。
蠕虫病毒事件:服务方需确认文件是否被感染,定位失陷的代码并进行修复。
★风险判断:服务方针对监控发现的漏洞利用攻击行为、Webshell上传行为、Web系统目录遍历攻击行为、SQL注入攻击行为、信息泄露攻击行为、口令暴力破解攻击行为、僵尸网络攻击行为、系统命令注入攻击行为及僵尸网络攻击行为进行分析评估,判断攻击行为是否成功以及业务风险点。
失陷主机分析:服务方需对失陷主机进行分析研判(如后门脚本类事件),并给出修复建议。
潜伏威胁分析:服务方需分析内网主机的非法外联威胁行为,判断是否存在潜伏威胁,并给出解决建议。含:对外攻击、APTC&C通道、隐藏外联通道等外联威胁行为。
3、安全事件处置
服务方需对发现的问题进行处置,包含内网脆弱性问题,病毒类事件,入侵行为,勒索、挖矿类事件等。
4、脆弱性管理
脆弱性扫描与验证:服务方需提供不少于每月一次针对服务范围内的资产的系统脆弱性和Web漏洞进行全量扫描,并针对发现的脆弱性进行验证,验证脆弱性在已有的安全体系发生的风险及分析发生后可造成的危害。
★优先级排序:服务方需提供客观的修复优先级指导,不能以脆弱性危害等级作为唯一的修复优先级排序依据。排序依据包含但不限于资产重要性、漏洞等级以及威胁情报三个维度。
★脆弱性验证:针对发现的脆弱性问题进行验证,验证脆弱性在已有的安全体系发生的风险及分析发生后可造成的危害。针对已经验证的脆弱性,自动生成工单,安全专家跟进修复状态,各个处理进度透明,方便陕西省地震局清晰了解当前脆弱性的处置状态,将脆弱性处理工作可视化。
修复建议:针对存在的漏洞提供修复建议,能够提供精准、易懂、可落地的漏洞修复方案。
脆弱性复测:提供脆弱性复测措施,及时检验脆弱性真实修复情况。服务方要支持陕西省地震局可按需针对指定脆弱性问题,指定资产等小范围进行,降低脆弱性复测时的潜在影响范围。
脆弱性状态总览:对发现的脆弱性建立状态总览机制,自动化持续跟踪脆弱性情况,清晰直观地展示脆弱性的修复情况,遗留情况以及脆弱性对比情况。
漏洞预警与排查:服务方需实时提供最新漏洞与详细资产信息进行匹配,对最新漏洞进行预警与排查。一旦确认漏洞影响范围后,安全专家提供专业的处置建议,包括补丁方案以及临时规避措施。
5、威胁管理
依托于安全防护组件、检测响应组件和安全平台,将海量安全数据脱敏,包括脆弱性信息、共享威胁情报、异常流量、攻击日志、病毒日志等数据,利用人工智能或云端安全专家分析等技术对数据进行归因关联分析,实时监测网络安全状态,发现各类安全事件,并自动生成工单。
★实时监测网络安全状态,对攻击事件自动化生成工单,及时进行分析与预警。攻击事件包含境外黑客攻击事件、暴力破解攻击事件、持续攻击事件。对病毒事件自动化生成工单,及时进行分析与预警。病毒类型包含勒索型、流行病毒、挖矿型、蠕虫型、外发DOS型、C&C访问型、文件感染型、木马型。
服务方需每月主动分析攻击类的安全事件,发现持续性攻击,立即采取行动实时对抗,提供攻击类安全事件的处置建议。每月主动分析漏洞利用类的安全事件并验证该漏洞是否利用成功,提供工具协助处置。每月主动分析失陷类的安全事件并协助用户处置,并提供溯源服务。
服务方需每月对陕西省地震局安全组件上的安全策略进行统一管理工作,确保安全组件上的安全策略始终处于最优水平。通过全网大数据分析,发现有境外黑客或高级黑客正在攻击,立即采取行动封锁黑客行为。
6、事件管理
★基于主动响应和被动响应流程,对页面篡改、通报、断网、webshell、黑链等各类严重安全事件进行紧急响应和处置的解决方案。
针对分析得到的勒索病毒、挖矿病毒、篡改事件、webshell、僵尸网络等安全事件,对恶意文件、代码进行根除,帮助陕西省地震局快速恢复业务,排查攻击路径,还原攻击路径,分析入侵事件原因,消除或减轻影响。提供网络安全加固建议指导,结合现有安全防御体系,指导用户进行安全加固、提供整改建议、防止再次入侵。
7、资产分组管理
利用主机防火墙系统,对陕西省地震局入网资产进行识别和梳理,经过资产梳理,根据资产的业务划分和属性,对资产进行分组和添加标签,体现其业务职责,同时用于编写精简易读且高效的网络策略。
★根据业务分组与标签,定期执行用户定义的管理规则,自动化的业务管理。
★根据业务管控要求的不同,开启不同的管理模式。输出系统管控说明表及内网管控示意图。
8、资产网络访问关系可视与梳理
利用主机防火墙系统,自动采集主机的出入站流量,获取IP、端口、协议、进程等网络信息。以拓扑图、列表的方式展示资产之间、分组之间的网络访问关系。通过网络五元组和资产信息进行筛选。
★根据访问关系列表和资产业务组的管控要求,基于主机、业务组或标签维度,进行资产网络访问关系梳理。输出资产网络访问关系确认清单。
9、资产访问控制策略下发
★根据资产访问关系梳理成果,利用主机防火墙系统,结合不同管理场景,发下对应访问控制白名单策略。输出资产访问控制白名单配置清单。
以分组定义策略:实现较粗粒度的管理,比如同一业务系统内的工作负载之间可以互相访问,而无关的业务系统之间的访问被禁止。
以标签定义策略:给资产打上特定标签,则会自动继承满足该标签的网络策略,提高运维效率。比如Java主机可以访问MySQL主机。
精确到端口:策略可精确到端口,严格管控每个服务,彻底收缩暴露风险。
指定IP:对于无法安装探针的设备可以用IP表示,也支持IP段和CIDR格式。
10、资产访问控制策略运营
★利用主机防火墙系统,定期对资产进行访问策略优化和下发,输出策略变更清单。
在上线新业务的时候,只需为工作负载打上合适的标签和划分到正确的分组,就能自动继承策略。
在切换冷备时,给备份机自动设置和主机相同的标签,并撤销主机的标签,使得所有设备能和备机之间建立起通信。
11、系统交接培训
三、服务要求
1、安全服务平台
服务方需向陕西省地震局提供满足以下条件的安全服务平台:
★支持面向陕西省地震局的安全态势展示,展示出当前威胁事件信息以及脆弱性信息统计,并支持体现当前风险态势情况。
★支持面向陕西省地震局的安全报告与交付物管理,可生成、导出、下载各类安全报告,包括但不限于《安全服务值守日报》、《特殊时期值守报告》、《安全运营周报》、《安全运营月报》。
★所有可导出报告支持按照自定义模块进行导出,可自定义模块必须包括但不限于事件管理、攻击威胁(外部攻击趋势、TOP5攻击IP等)、脆弱性管理(漏洞、弱密码)。(服务方应提供服务平台支持上述服务报告自定义导出的平台功能证明截图)
★支持展示当前工单数量和工单处置状态,展示安全事件闭环效果,掌握当前专家服务进度,监督服务质量。
★服务方在本项目使用服务工具应支持将收集的安全日志上传到安全运营服务平台上,并支持在该平台上对服务工具进行管理。平台应支持配置陕西省地震局的业务信息,将业务设置为高中低三个不同的等级。在每个业务下,配置业务的资产IP范围。服务平台应支持为陕西省地震局设置白名单,包括自动封锁白名单,策略白名单等。支持重大活动保障时期的备战阶段、实战阶段、演练结束三个阶段的指导性工作流程。
2、主机防火墙系统
服务方需向陕西省地震局提供满足以下条件的主机防火墙系统:
★支持面向陕西省地震局的主机网络访问拓扑图展示,直观展现陕西地震局主机资产个体、业务组之间的网络访问关系。
★支持面向陕西省地震局的交付物管理,可生成、导出、下载访问控制清单,输出《资产网络访问关系确认清单》。
2、服务水平要求
1)安全事件服务要求:
安全事件经过服务人员的确认后,各类安全事件的判断准确率不低于99%。
在配备了服务方的边界防护服务组件和终端防护服务组件的情况下,安全事件的闭环处置比例达到100%。
2)安全威胁服务要求:
安全威胁经过服务人员的确认后,高级威胁和一般威胁的判断准确率不低于99%。
3)资产访问关系梳理服务要求
★服务方需充分做好现场调研工作,包括:建设范围调研、网络策略收集、管控方式调研,并根据调研成果输出符合本次项目要求的实施方案。
★服务方需配合采购方完成对新流程的验证工作,确保新流程融入已有流程,验证整体流程的有效性。
3、安全服务交付物要求
交付物名称:《安全服务运营报告》,报告频率:每周一次,重保期间按需调整
交付物名称:《首次威胁分析与处置报告》,报告频率:一次
交付物名称:《事件分析与处置报告》,报告频率:按需触发,不限次数
交付物名称:《安全通告》,报告频率:按需触发,不限次数
交付物名称:《综合分析报告/运营月报》,报告频率:每月一次
交付物名称:《季度汇报PPT》,报告频率:每季度一次
交付物名称:《年度汇报PPT》,报告频率:每年一次
交付物名称:《资产网络访问关系确认清单》,报告频率:一次
4、服务范围
提供针对不少于50个资产(服务器或虚拟机)的7*24小时安全服务。
5、服务频率
★提供一年内的7*24小时持续专家服务,协助威胁发现及时响应。一年内提供不少于6次线下上门协助处置日产安全事件,每次1人天。一年内提供不少于8人天的重保上门服务提供值守服务,值守工作内容包括态势感知等安全流量设备日志分析与研判及输出值守报告。
四、资质要求
营业执照副本(事业单位法人证书副本)、税务登记证副本(非盈利性事业单位不提供)、组织机构代码证副本或者统一社会信用代码证(三证合一);
本项目不接受联合体投标。
备注:以上资质文件提供复印件加盖公章查验。
五、其他要求
六、采购响应方式
采购响应文件递交地点:西安市碑林区边家村水文巷4号防震减灾科技大楼9楼
联系人:窦婧
本次采购接受邮寄,供应商可将资质材料复印件加盖公章连同采购响应文件一并邮寄。
七、付款方式
合同签订后7个工作日内,由乙方向甲方支付10%的履约保证金,甲方收到后向乙方支付合同全额,10%的履约保证金待完成全部服务支持后返还。
八、采购响应文件要求
采购响应文件应严格按照采购需求做出实质性响应,包含以下内容:
2.对安全监测、分析、通告、处置的方案及内容进行详细描述;
4.对安全平台的态势展示、报告导出、模板调整等功能进行详细描述。
5.明确描述合理的安全联动方案;
6.提供安全服务过程中的风险防范措施,并明确保密责任与赔偿承诺;
7.服务承诺及保障措施;
8.其他认为需要补充的合理化建议。
备注:以上资质文件现场提供复印件加盖公章查验
九、评标
本项目评审使用综合评分法,评标委员会将按照客观、公正、科学、择优的原则,结合项目实际情况,以项目报价、企业技术实力、安全服务方案、服务人员从业经验、业务开展情况等多个因素为评价指标,依据评标办法,进行分项评审,评审得分计入总得分。
(一)商务及技术标评分办法表
序号
评审项目
评审标准
分值
1
投标价格(20)
综合评分法中的价格分采用平均价优先法计算,即满足采购文件要求的投标价格,取其平均值作为评标基准价,其价格分为满分20分。
投标报价每偏离基准价5%扣1分,计算公式如下:投标得分=20-【(投标报价-基准价)】/(基准价*5%)。
20分
2
技术方案
(50分)
服务指标
服务方案中对招标文件中安全托管服务要求的细项根据要求进行逐项响应,从服务内容、范围、频次以及交付成果等方面做出完全的、详细的说明,如需要须提供相应材料证明,满分30分,每出现1项★项负偏离扣2分,普通项负偏离扣1分,扣完为止。
30分
3
重大会议和重大活动期间方案
投标人应提供明确的重保期间安全保障方案,方案科学合理,确保重大活动、重要会议期间的网络安全稳定。优秀得5-4分;良好得3-2分;一般得1分,未提供不得分。
5分
4
整体网络安全服务方案
根据技术方案的先进性、完整性和扩展性,方案架构设计安全可靠性以及方案的成熟度综合打分;要求系统结构清楚正确、技术方案描述条理清楚、内容齐全,设备配置合理。
优【10-15分】:方案非常合理,可以与现有关键安全设备联动,完全实现采购人要求的功能,技术成熟领先、系统的可用性及安全性较高、操作便捷、技术方案科学合理。
良【5-9分】:方案一般,可以与现有关键安全设备对接,能实现采购人要求的功能,少数次要功能实现效果存在差异;技术一般,系统的可用性及安全性一般。
一般【0-4分】:方案存在瑕疵,无法与现有关键安全设备对接,只能基本实现采购人要求的功能,部分主要功能可以实现但效果较差;安全性不强,针对性差。
未提供者不得分。
15分
5
商务部分
(30分)
服务方基本情况
注:各证书、证明复印件需加盖投标人公章
18分
6
同类型信息安全服务项目实施经验
近三年(2020年1月1日起)服务方所投服务供应商所承担的类似的信息安全服务项目等,每提供一个案例得1分,最高得6分。注:提供合同或协议复印件并加盖公章。
6分
服务方所投服务供应商具有最近三年参与重大活动安全保障工作经验,每提供1个不同客户的重大活动安全保障服务证明文件得1分,最高得6分。注:1.证明材料:商务合同、任务书、感谢信、表扬信等材料之一的复印件,加盖公章;2.业绩不重复计分。
(二)评标规则
各评委必须按照本办法据实评分。凡评分不符合本办法规定者,为无效评分。
评标过程中,各种数字计算均精确至小数点后两位。
评标委员会根据总分由高到低对供应商进行排名;得分相同的,按投标报价由低到高进行排名;得分且报价相同的,按技术标得分由高到低排名。按照上述排名办法由评标委员会推荐前三名供应商为中标候选人。
评定标过程中,若出现本办法以外的特殊情况时,将暂停评标,有关情况待评标委员会研究确定后,再行评定。
评标委员会经评审,认为投标供应商的投标不符合采购文件要求的,可以否决其投标。
本评标办法解释权归采购人。
十、定标
陕西省地震局根据评标结果确定成交单位,对未成交单位不做原因解释。