《肿瘤医院信息安全服务及等保评测招标文件.docx》由会员分享,可在线阅读,更多相关《肿瘤医院信息安全服务及等保评测招标文件.docx(85页珍藏版)》请在课桌文档上搜索。
1、公开招标采购文件项目名称:信息安全服务及等保评测第一章招标公告3第二章采购内容及需求10.JllrL)j.IJ口32第四章评标办法44第五章采购合同49第六章投标文件格式53第一章招标公告项目概况浙江省肿瘤医院信息安全服务及等保评测招标项目的潜在投标人应在政府采购云平台()获取(下载)招标文件,并于2023年9月22日09:30(北京时间)前递交(上传)投标文件。一、项目基本情况项目编号:ZJ-2332408-01项目名称:浙江省肿瘤医院信息安全服务及等保评测预算金额(元):2000000最高限价(元):2000000采购需求:标项名称:浙江省肿瘤医院信息安全服务及等保评测数量:1预算金额(元
2、):2000000简要规格描述或项目基本概况介绍、用途:详见第二章采购内容及需求备注:合同履约期限:标项1,按采购文件要求本项目(是)接受联合体投标。二、申请人的资格要求:I.满足中华人民共和国政府采购法第二十二条规定;未被“信用中国”()x中国政府采购网()列入失信被执行人、重大税收违法失信主体、政府采购严重违法失信行为记录名单。2 .落实政府采购政策需满足的资格要求:标项1:供应商为中小企业或小微企业,本项目专门面向中小企业采购(监狱企业及残疾人福利性单位视同小型、微型企业)3 .本项目的特定资格要求:【标项1】木项目的特定资格要求:无。三、获取招标文件时间:/至2023年09月22日,每
3、天上午00:00至12:00,下午12:00至23:59(北京时间,线上获取法定节假日均可,线下获取文件法定节假日除外)地点(网址):政采云平台线上获取方式:供应商登录政采云平台在线申请获取采购文件(进入“项目采购”应用,在获取采购文件菜单中选择项目,申请获取采购文件)售价(元):0四、提交投标文件截止时间、开标时间和地点提交投标文件截止时间:2023年09月22日09:30(北京时间)投标地点(网址):请登录政采云投标客户端投标开标时间:2023年09月22日09:30开标地点(网址):政府采购云平台(WWW)五、公告期限自本公告发布之日起5个工作日。六、其他补充事宜1 .浙江省财政厅关于进
4、一步发挥政府采购政策功能全力推动经济稳进提质的通知(浙财采监(2022)3号)、浙江省财政厅关于进一步促进政府采购公平竞争打造最优营商环境的通知(浙财采监(2021)22号)、浙江省财政厅关于进一步加大政府采购支持中小企业力度助力扎实稳住经济的通知(浙财采监(2022)8号)已分别于2022年1月29日、2022年2月1日和2022年7月1日开始实施,此前有关规定与上述文件内容不一致的,按上述文件要求执行。2 .根据浙江省财政厅关于进一步促进政府采购公平竞争打造最优营商环境的通知(浙财采监(2021)22号)文件关于“健全行政裁决机制”要求,鼓励供应商在线提起询问,路径为:政采云-项目采购-询
5、问质疑投诉-询问列表:鼓励供应商在线提起质疑,路径为:政采云-项目采购-询问质疑投诉-质疑列表。质疑供应商对在线质疑答复不满意的,可在线提起投诉,路径为:浙江政府服务网-政府采购投诉处理在线办理。3 .供应商认为采购文件使自己的权益受到损害的,可以自获取采购文件之日或者采购公告期限届满之日(公告期限届满后获取采购文件的,以公告期限届满之日为准)起7个工作日内,对采购文件需求的以书面形式向采购人提出质疑,对其他内容的以书面形式向采购人和采购代理机构提出质疑。质疑供应商对采购人、采购代理机构的答复不满意或者采购人、采购代理机构未在规定的时间内作出答复的,可以在答复期满后十五个工作日内向同级政府采购
6、监督管理部门投诉。质疑函范本、投诉书范本请到浙江政府采购网下载专区下载。4 .其他事项:(1)采购项目需要落实的政府采购政策:政府采购促进中小企业发展管理办法(财库(2020)46号)、关于促进残疾人就业政府采购政策的通知(财库(2017)141号)、关于政府采购支持监狱企业发展有关问题的通知(财库201468号)、关于调整优化节能产品环境标志产品政府采购执行机制的通知(财库20199号)。(2)根据浙江省财政厅关于规范政府采购供应商资格设定及资格审查的通知(浙财采监201324号)第6条规定接受金融、保险、通讯等特定行业的全国性企业所设立的区域性分支机构,以及个体工商户、个人独资企业、合伙企
7、业,且已经依法办理了工商、税务和社保登记手续,并且获得总机构授权或能够提供房产权证或其他有效财产证明材料,证明其具备实际承担责任的能力和法定的缔结合同能力。(3)单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得同时参加同一合同项下的投标。(4)为项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,不得参加该项目的投标。(5)本项目采购文件公告期限为本公告发布之日起5个工作日。七、对本次采购提出询问、质疑、投诉,请按以下方式联系供应商须知前附表序号名称内容1采购人2采购代理机构3踏勘现场自行踏勘4资金来源已落实5环境标志产品节能产品(1)严格执行财政部发展改革委生态环
8、境部市场监管总局关于调整优化节能产品、环境标志产品政府采购执行机制的通知(财库(2019)9号)。(2)采购人拟采购的产品属于品目清单范围的,采购人及其委托的采购代理机构将依据国家确定的认证机构出具的、处于有效期之内的节能产品、环境标志产品认证证书,对获得证书的产品实施政府优先采购或强制采购。供应商须按采购文件要求提供相关产品认证证书。(3)采购人拟采购的产品属于政府强制采购的节能产品品目清单范围的,供应商未按采购文件要求提供国家确定的认证机构出具的、处于有效期之内的节能产品认证证书,投标无效。(4)属于政府优先采购产品类别的,须按照要求提供依据国家确定的认证机构出具的、处于有效期之内的节能产
9、品或环境标志产品认证证书,否则不予认定。口不适用口适用6投标产品主体口适用立不适用7投标保证金口适用El不适用8投标文件有效期自投标截止时间起90天9投标截止时间按“招标公告”规定10投标地点按“招标公告”规定11开标时间和地点按“招标公告规定12投标答疑供应商如认为采购文件表述不清晰的,请于2023年9月8日17:00之前将疑问发送至该电子邮件(邮箱)。答疑回复内容是采购文件的组成部份,并将以更正公告的形式在本采购公告发布的同一媒体发布,请供应商密切关注更正公告。13采购文件的澄清与修改采购人或者采购代理机构可以对已发出的采购文件进行必要的澄清或者修改。澄清或者修改的内容可能影响投标文件编制
10、的,采购人或者采购代理机构应当在投标截止时间至少15日前,将以更正公告的形式在采购公告发布的同一媒体发布。采购文件的修改和澄清(答疑)答复的文件作为采购文件的补充和组成部分,对所有供应商均有约束力。若后续仍有更正内容,将继续以更正公告形式在本网站发布,请供应商密切关注更正公告。14投标文件形式本项目实行电子投标。供应商应准备2种形式的投标文件:电子加密投标文件、以介质存储的数据电文形式的备份投标文件。(1)“电子加密投标文件”是指通过“政采云电子交易客户端完成投标文件编制后生成并加密的数据电文形式的投标文件(后缀格式为JmbS)(2)”备份投标文件”是指与“电子加密投标文件”同时生成的数据电文
11、形式的电子文件(备份投标文件,用于供应商电子加密投标文件解密异常时应急使用),其他方式编制的备份投标文件视为无效备份投标文件。备份投标文件(后缀格式为.bfbs)以U盘形式提供。15投标文件的上传和递交(1)电子加密投标文件:投标文件制作完成并生成加密文件,在投标截止时间前,供应商需将加密的投标文件上传至浙江政府采购网,到达开标时间后,供应商自行解密。(具体操作指南:详见政采云平台“服务中心-帮助文档-项目采购-操作流程-电子招投标-政府采购项目电子交易管理操作指南-供应商”。)供应商未能在投标截止时间前成功上传电子加密投标文件的投标无效。(2)备份投标文件:投标截止时间前,供应商应将备份投标
12、文件递交至,以便电子加密投标文件解密异常时应急使用。备份投标文件递交要求:供应商须将备份投标文件以U盘形式单独放在密封袋中,密封后并在密封袋上注明投标项目名称、投标单位名称并加盖公章。未密封包装或者逾期送达的“备份投标文件”将不予接收。供应商若选择非开标当天递交,请确保在2023年9月21日17:00之前,将备份投标文件通过快递形式或直接送达采购代理机构处,以便标书解密异常时应急使用(地址:)16询标澄清在评标过程中,如评审小组对投标文件有疑问,由评审组长或代理机构代为将问题汇总后发起询标澄清函,供应商应在规定截止时间前回更相关内容并提交。17质疑根据中华人民共和国政府采购法第五十二条的规定,
13、供应商认为采购文件、采购过程和中标、成交结果使自己的权益受到损害的,可以在知道或者应知其权益受到损害之日起七个工作日内,以书面形式向采购人、采购代理机构提出质疑。政府采购法第五十二条规定的供应商应知其权益受到损害之日,是指:(一)对可以质疑的采购文件提出质疑的,为收到采购文件之日或者采购文件公告期限届满之日;(二)对采购过程提出质疑的,为各采购程序环节结束之日;(三)对中标或者成交结果提出质疑的,为中标或者成交结果公告期限届满之日。根据政府采购质疑和投诉办法第十三条,采购人、采购代理机构不得拒收质疑供应商在法定质疑期内发出的质疑函,应当在收到质疑函后7个工作日内作出答复,并以书面形式通知质疑供
14、应商和其他有关供应商。18投诉根据中华人民共和国政府采购法第五十五条的规定,质疑供应商对采购人、采购代理机构的答复不满意或者采购人、采购代理机构未在规定的时间内作出答复的,可以在答复期满后十五个工作日内向同级政府采购监督管理部门投诉。以联合体形式参加政府采购活动的,其投诉应当由组成联合体的所有供应商共同提出。19样品d不提供20演示M不要求演示地点:21支持中小企业1.说明(1)中小企业中小企业是指在中华人民共和国境内依法设立,依据国务院批准的中小企业划分标准确定的中型企业、小型企业和微型企业,但与大企业的负责人为同一人,或者与大企业存在直接控股、管理关系的除外。符合中小企业划分标准的个体工商
15、户,在政府采购活动中视同中小企业。在政府采购活动中,供应商提供的货物、工程或者服务符合下列情形的,享受本办法规定的中小企业扶持政策:(一)在货物采购项目中,货物由中小企业制造,即货物由中小企业生产且使用该中小企业商号或者注册商标;(二)在工程采购项目中,工程由中小企业承建,即工程施工单位为中小企业;(三)在服务采购项目中,服务由中小企业承接,即提供服务的人员为中小企业依照中华人民共和国劳动合同法订立劳动合同的从业人员。在货物采购项目中,供应商提供的货物既有中小企业制造货物,也有大型企业制造货物的,不享受本办法规定的中小企业扶持政策。以联合体形式参加政府采购活动,联合体各方均为中小企业的,联合体
16、视同中小企业。其中,联合体各方均为小微企业的,联合体视同小微企业。投标文件中须同时出具政府采购促进中小企业发展管理办法【财库(2020)46号】规定的中小企业声明函。(2)残疾人福利性单位符合关于促进残疾人就业政府采购政策的通知(财库(2017)141号)规定的条件并提供提供残疾人福利性单位声明函的残疾人福利性单位视同小型、微型企业;(3)监狱企业根据关于政府采购支持监狱企业发展有关问题的通知(财库201468号)的规定,供应商提供由省级以上监狱管理局、戒毒管理局(含新疆生产建设兵团)出具的属于监狱企业证明文件的,视同为小型和微型企业。2 .本项目采购标的为:信息安全服务及等保评测3 .所属行
17、业为:软件和信息技术服务业22联合体投标说明(1)以联合体形式投标的,联合体各方的业绩证明材料均认可。(2)以联合体形式投标的,联合体中有一方或者联合体成员根据分工按采购文件评标细则要求提供材料的,视为符合评审要求。23其他(1)采购文件中凡标注“”的条款均为实质性要求,不响应的投标文件将作无效标处理。(2)供应商未上传电子加密投标文件,其投标无效。(3)供应商上传了电子加密投标文件,未提供备份投标文件,解密出现问题后,由此导致对该供应商投标无法评审的,其后果由该供应商自行承担。(4)各供应商自行在浙江政府采购网下载或查阅采购文件和相关更正公告等,不另行通知,如有遗漏采购人、采购代理机构概不负
18、责。(5)两家或两家以上供应商提供的投标文件出自同一终端设备的,或在相同Internet主机分配地址(相同IP地址)报名或网上投标的,后果由供应商自行承担。第二章采购内容及需求一、项目背景为继续深化并认真落实我院网络安全各项规划工作,结合我院现有信息化现状,本次项目主要以优化网络架构、补强网络安全防护能力、建立长效的安全服务机制为主要目标,通过此次项目建设进一步提升我院网络安全整体防护能力。二、项目清单序号设备名称技术要求数量1等保测评服务详见技术要求章节1套2安全服务1详见技术要求章节1套3安全服务2详见技术要求章节1套4安全服务3详见技术要求章节1套5云端威胁分析平台详见技术要求章节1套6
19、外网镜像交换机详见技术要求章节1台7安全态势运营平台详见技术要求章节1套8安全DNS详见技术要求章节1套9漏洞屏蔽系统详见技术要求章节1套10云Waf订阅服务详见技术要求章节3年11安全设备监控系统详见技术要求章节1套12集成技术服务详见技术要求章节1套三、技术服务要求1、等保测评服务序号指标名称指标要求1.1等保测评内容包含2个三级、2个二级系统复评1.2其他要求签订合同后2个月内提供测评报告2、安全服务1序号技术指标指标要求2.1服务内容本次提供不少于60个资产的云端7*24小时安全专家服务,提供流量检测服务2500Mbps,检测服务器数量260个,云端威胁情报服务2I年,移动运营助手服务
20、21年,高级漏洞管理功能订阅服务21年2.2环境要求平台SAAS化形态,无需要在数据中心进行任何下载和安装,通过账号密码在云端获取服务。2.3资产识别与梳理需借助安全工具对资产进行识别和梳理,并在后续服务过程中根据识别的资产变化情况触发资产变更等相关服务流程,确保资产信息的准确性和全面性2.4安全现状评估对操作系统、数据库、常见应用/协议、Web通用漏洞与常规漏洞进行漏洞扫描2.5实现信息化资产不同应用弱口令猜解检测,如:SMB.MssqLMysqKOracleSmtp、VNCftp、telnetssh、mysqRtomcat等2.6检查支撑信息化业务的主机操作系统、数据库、中间件的基线配置情
21、况,确保达到相应的安全防护要求。2.7对失陷主机进行分析研判(如后门脚本类事件),并给出修复建议2.8分析内网主机的非法外联威胁行为,判断是否存在潜伏威胁,并给出解决建议。含:对外攻击、APTC&C通道、隐藏外联通道等外联威胁行为2.9漏洞管理提供客观的漏洞修复优先级排序,排序依据包含资产重要性、漏洞等级以及威胁情报三个维度2.10提供漏洞工单跟踪功能,展示工单跟踪状态,包含漏洞发现、漏洞验证、漏洞处置、漏洞复测等状态,方便清晰了解当前漏洞的处置状态,将漏洞处理工作可视化(提供功能截图证明)2.11针对存在的漏洞提供修复建议,能够提供精准、易懂、可落地的漏洞修复方案2.12针对服务平台生成的工
22、单,用户可在服务平台上采用邮件等方式提醒安全专家加快协助处置(提供功能截图证明)2.13提供漏洞复测措施,及时检验漏洞真实修复情况,用户可针对指定漏洞进行,降低漏洞复测时的潜在影响范围2.14威胁管理实时监测网络安全状态,对攻击事件自动化生成工单,提供工单跟踪功能,展示工单跟踪状态,包含发现风险、专家审核、跟踪处置等状态(提供功能截图证明)2.15结合威胁情报,供应商需排查是否对用户资产造成威胁并通知用户,协助及时进行安全加固2.16平台展示支持展示出当前遭受的威胁事件信息,提供服务平台漏洞表、事件表统计信息,并支持按照资产类别、威胁类型进行筛选查看。2.17服务平台可生成各类安全报告,包括但
23、不限于安全服务值守日报、特殊时期值守报告、安全服务运营月报、安全服务运营周报等。(提供功能截图证明)2.18服务平台支持导出安全报告,可自定义报告中展示的模块,包括但不限于事件管理、攻击威胁、策略管理、脆弱性管理。2.19工单类型平台支持的工单类型应包含内部威胁工单、外部威胁工单、脆弱性工单、应急工单、策略工单、其他工单。2.20告警工单管理威胁告警应显示出威胁类型,威胁发生时间,攻击者IP,被攻击者IP,威胁描述,攻击趋势等信息。2.21服务质量监督提供服务监控门户,在门户中可查看资产安全状态信息,展示纬度包括服务资产安全评级、服务运营状态及成果、安全风险概览、最新情报等。2.22提供服务质
24、量可视化展示,可以清晰地了解安全专家的服务水平,展示维度包括漏洞闭环率、漏洞平均响应时长、漏洞平均闭环时长、威胁闭环率、威胁平均响应时长、威胁平均闭环时长、事件闭环率、事件平均响应时长、事件平均闭环时长等。(提供功能截图证明)2.23便捷入口支持快捷入口配置,对关心的模块可标星置顶。实现自定义入口设定。(需提供截图证明)2.24安全监控支持首页按H、周、月等时间周期展示风险总览、包括安全事件总览、资产统计、接入设备展示包括不仅限于防火墙、探针、EDR、CWPP,待处置安全事件TOP5、XTH云端威胁狩猎报告总览、攻击面TOP5、脆弱性资产TOP5、风险资产分布及风险资产发生趋势、待处置安全事件
25、分布及安全事件发生趋势。智能对抗统计及对抗场景分析,可展示智能对抗记录,清楚明晰下一步处置方向。(需提供截图证明)2.25全网安全能力监控大屏支持展示网端数据源展示,并支持跳转相关日志检索页面。可直观展示日志到告警,告警到事件的消减比例。(需提供截图证明)2.26数据采集支持对WindOWS终端采集:进程、网络、注册表、文件、服务、计划任务、账号、WML应用漏洞利用探针、APl等信息。对LinUX终端采集:文件、进程、驱动、系统调用、模块事件等信息。支持终端防护遥测数据采集:包含传统杀毒类日志、IOA类日志;Windows系统上支持18种系统事件的遥测数据采集:包含进程销毁、文件创建事件修改、
26、文件重命名、文件删除、远程线程注入、注册表删除、进程调用API、驱动加载、模块加载、WMIFilter创建、WMICOnSUmer创建、WMlBinding创建、计划任务创建、符号链接创建、命名管道创建、命名管道打开、VolUmeSnaPShOt删除、敏感进程访问。Linux系统上支持8种系统事件的遥测数据采集:进程创建、文件删除、文件重命名、文件创建、文件修改、DNS请求、网络链接、TCP端口监听。2.27威胁检测支持攻击指标检测,对攻击者的攻击手法进行检测,指标覆盖ATT&CK所有阶段攻击手法,以检测攻击准确性为目标,通过采集的网端数据进行研判、挖掘。可以发现高级威胁。支持自定义IoA规则
27、。支持终端遥测源对ATT&CK框架中各种攻击类型的检测技术覆盖面Windows系统不低于322项,Linux系统不低于127项。(需提供第三方报告证明)2.28支持云端专家提供轻量安全服务,进行持续的威胁狩猎,发现潜在威胁;在有攻击事件生成后,进行二次确认,通过ThrealHUnting标签进行辨别,对热门威胁进行响应;(需提供截图证明)2.29检测响应支持对安全事件推送处置和响应建议,响应建议包括原理介绍、危害影响、处置建议。通过建议描述、业务影响标签和安全效果标签清晰明确指导下一步响应动作,可一键封禁IP、隔离主机等。支持在线实时聊天框或离线留言咨询攻防专家,获取云端专家支持。(需提供截图
28、证明)2.30支持一键遏制功能,可联动网端防护设备使用端网能力一键处置关键实体,实现外部威胁不入内网,关键数据不出内网,保证内网安全。2.31支持告警智能定性分析,通过分析告警的上下文关联、时序关系、历史告警发生的频率规律性,结合威胁情报与安全专家经验对当前的安全告警进行目的性确认、从而确认安全告警的优先级顺序,帮助安全人员高效的完成攻击告警的运营工作,可归类人工渗透攻击,包括定向攻击、攻防演练、内部测试。程序自动化攻击,包括监管通报、病毒、扫描器攻击。业务风险相关,包括脆弱性风险、业务不规范,和其他威胁。(需提供截图证明)2.32支持配置智能对抗开启及联动范围,页面可展示事件自动遏制率,可杳
29、看智能对抗记录及自定义对抗规则。2.33资产管理支持展示资产统计、资产来源、资产类型分布、资产防护统计、资产互联网暴、指纹信息、高风险应用统计、特殊账号统计ToP5、端口ToP5统计、应用软件ToP5统计、数据库ToP5统计。2.34支持以资产组视角、业务视角的纬度展示资产详细台账,资产组支持自定义,支持新增、编辑、删除等操作,可配置资产组的基本信息、资产组范围(可自动识别IP属性)和资产责任人。2.35支持通过开放端口、应用软件、数据库、web服务、web框架、web应用、Web站点、账号信息、运行进程、运行服务、启动项、计划任务、注册表维度进行资产清点。清点可展示相关资产列表及资产责任人、
30、数据源。(需提供截图证明)2.36风险管理支持以资产视角,对终端遥测及网络遥测扫描到的资产脆弱性进行展示,可对资产修复优先级、风险类型、风险资产及资产组名、责任人等标签进行筛选,并通过图表进行统计展示资产修复优先级情况、脆弱性统计情况、资产脆弱性TOP52.37根据资产的维度呈现安全事件、安全告警、攻击面风险等多角度呈现问题,结合ATT&CK矩阵更好发现风险资产已知威胁和潜在风险。展示维度包括ATT&CK攻击图谱命中战术匹配;威胁检测事件告警举证;威胁实体IP、域名、文件、进程提取展示;脆弱性数量及修复优先级展示;潜在风险应用及风险端口展示;风险访问展示、异常信号展示.(需提供截图证明)2.3
31、8支持风险黑客工具和运维工具的检查,至少25种风险应用检测,涵盖主流攻击入侵入口。包括黑客工具:NetworkShare、PsExec、PCHunterKPortScan、Frp、ProcessHackerMirrHkatz、Nasp、WebBrowserPassViewPowerTool%CobaltStrikesMasscan、FscanNLBrutePortScanDefenderConlrolGmerNetpassDUBruteLazykatzo运维工具:ToDeSk、向日葵、AnyDeSk、RdPConnector、TeamViewero2.39响应策略支持配置规则可按1P/域名ur
32、l联动防火墙设备进行封堵,封禁时长可按天/时/分细粒度进行设置。可对封禁对象进行删除、解封、再次封禁等操作(需提供截图证明)2.40支持拦截域名功能,联动EDR/CWPP进行拦截域名,在拦截域名界面可查看拦截域名信息,并且支持取消拦截。(需提供截图证明)2.41支持账号管理,展示登录账号信息,可对账号进行开启二次鉴权的动态口令。2.42支持角色创建和角色分配,内置包括安全管理员、超级管理员、审计管理员、系统管理员角色,可新建角色及配置相关编辑和查看权限。可对账号和角色进行关联,一个账号可以关联多种权限。(需提供截图证明)2.43针对外部威胁防止规模化的数据丢失、泄露、设备被控制,支持账号二次鉴
33、权、设备管理二次鉴权、弱密码二次鉴权(需提供截图证明)2.44APP中心平台支持可视化、免费的钓鱼演练工具。根据钓鱼演练的性质以及组织属性选择合适的钓鱼邮件模版,常见的钓鱼邮件种类可大致分为财务钓鱼、放假通知钓鱼、漏洞自检钓鱼、简历钓鱼等。2.45攻防百宝箱支持智能调查功能,通过对威胁情报以及威胁实体IP、域名、MD5的检索,自动进行统计分析,提供全局威胁狩猎,进行快速调查溯源。(需提供截图证明)2.46服务交付物交付物名称:安全服务运营报告,报告频率:每周一次2.47交付物名称:事件分析与处置报告,报告频率:按需触发,不限次数2.48交付物名称:安全通告,报告频率:按需触发,不限次数2.49
34、交付物名称:综合分析报告/运营月报,报告频率:每月一次2.50交付物名称:季度汇报PPT,报告频率:每季度一次2.51交付物名称:年度汇报PPT,报告频率:每年一次3、安全服务2序号服务类技术类型指标要求3.1渗透测试服务要求每年不少于2次,不限制系统数量。3.2供应商应保证采购人信息系统正常运行前提下,模拟黑客攻击行为通过远程或本地方式对信息系统进行非破坏性的入侵测试,查找针对应用程序的各种漏洞,帮助采购人理解应用系统当前的安全状况,发现在系统复杂结构中的最脆弱链路并针对安全隐患提出解决办法,切实保证信息系统安全。3.3供应商应在得到采购人授权后方可开始实施渗透工作。3.4供应商应确保实施渗
35、透测试的服务人员的工作保密性,签署相关的保密协议,在未经采购人允许的情况下,不得将识别的漏洞外泄、传递。3.5实施渗透测试服务后,未经采购人同意,禁止在系统留存后门。3.6服务内容采购人授权后,供应商应通过模拟黑客攻击行为通过本地或远程方式对目标对象进行非破坏性的入侵测试3.7渗透测试应至少包括但不限于以下范围的漏洞:WEB业务系统、微信小程序、微信公众号、APkC/S架构系统;3.8渗透测试内容包括但不限于:信息泄露、信息猜解、认证信息泄露、认证信息猜解、认证功能失效、认证功能滥用、数据猜解、专项漏洞、综合利用、权限篡改、权限缺失、防护功能滥用、防护功能缺失、防护功能失效、业务逻辑篡改、业务
36、功能滥用、业务功能失效3.9供应商渗透测试人员应使用不同技术手段发现不同纬度的漏洞,并进行验证,形成记录和报告。3.10供应商应编写渗透测试报告并提交给采购人,报告应该阐明采购人业务系统中存在的安全隐患以及专业的漏洞风险处置建议。3.11漏洞扫描服务要求每年不少于2次。3.12漏洞扫描应按照以下要求实施:供应商应对漏洞扫描的目标对象进行全面梳理和识别,识别内容包含但不限于资产类型、IP地址、业务部门、责任人、用途、操作率绮粒抿库、中间件等A供应需温提交漏洞扫描工具的情况(包括但不限于:设备厂商、设备型号、漏洞库、销售许可证等)、漏洞扫描工作方案(包括但不限于:目标对象、扫描时间、风险规避措施等
37、)及漏洞扫描申请,采购人授权后,方可进行。供应商应对漏洞扫描结果进行人工验证,保证漏洞扫描结果的真实性。供应商应提交针对性的解决方案,保证漏洞修复可落地。3.13漏洞扫描对象范围包括但不限于:网络设备:路由器、交换机等操作系统:windowsIinuxUNlX等数据库:Oracle、MSSQL、MySql等中间件:ApacheTomcaUHSsWeblogiC等3.14可对WEB漏洞进行扫描检测,包括但不限于:信息泄露SQL注入漏洞、XSS注入漏洞、目录遍历漏洞、本地文件包含漏洞。3.15可对系统漏洞进行扫描检测,包括但不限于:溢出漏洞、拒绝服务攻击漏洞、未授权访问漏洞、代码执行漏洞。3.16
38、敏感数据泄露监控服务服务要求提供不少于1年敏感数据泄露监控服务3.17首次互联网敏感数据泄露历史情况排查供应商根据采购人提供的敏感数据关键字导入到后端的威胁情报信息收集平台,收集相关信息,安全服务专家会对平台发现的相关信息进行过滤和整理,输出针对采购人的定制化互联网敏感数据泄露排查报告。3.18实时互联网敏感数据泄露监控供应商每月度根据采购人提供的关键字在互联网进行信息收集与匹配,一旦发现异常的情况会直接通过邮件等方式推送给采购人。3.19线上安全服务专家指导答疑供应商需接受采购人对于日常服务中碰到的问题(如报告疑问以及处置建议)的提问并答疑。3.20月度报告供应商每个月梳理本月发生的安全事件
39、总结形成报告提供给采购人3.21年度报告供应商每年底会形成采购人本年度的互联网敏感数据泄露情况报告3.22暗网情报监控支持隐匿暗网平台监控,暗网中文交易市场、茶马古道、自由国度、白宫市场等数十个暗网平台3.33支持黑客论坛监控,RaidForumssRUtor、Exploitjn等数十个黑客活跃地区的地下论坛3.34支持勒索团伙站点监控,REviKAvaddon等数十个知名勒索团伙站点3.35代码泄露监控支持国外代码托管平台监控,主要包括GitHub、GitLab.Pastebin等主要国外代码托管/共享平台3.36支持国内代码托管平台,主要包括码云Gitee等主要国内代码托管平台3.37敏感
40、文件监控支持网盘文件监控,包括百度网盘、腾讯微云、115网盘、新浪微盘、蓝奏云、MEGA等3.38支持文库文件监控,包括百度文库、道客巴巴、360doa豆丁网等3.39黑产舆情监控支持匿名设计软件监控,Telegram.POtatO等黑客常用的即时聊天平台3.40资产失陷监控支持风险DNS/URL、IP等海量威胁情报数据3.41仿冒网站监控支持仿冒网站、钓鱼网站、域名抢注等网站情况监控3.42暗网泄露事件支持面向采购人检出暗网事件的展示,主要从暗网交易标题、暗网卖家ID、发帖事件、交易链接、交易内容等维度展示出当前采购人泄露的暗网事件信息,使得采购人能直观了解到当前泄露的暗网事件情况。(提供暗
41、网情报监控功能截图)3.43代码泄露事件支持面向采购人检出代码泄露事件的展示,主要从代码项目名称、代码链接、命中关键字、关键字代码片段等维度精准定位到当前采购人泄露的代码信息,使得采购人能直观了解到当前泄露的代码事件情况。(提供代码泄露监控功能截图)3.44文件泄露事件支持面向采购人检出网盘/文库泄露事件的展示,主要从文件标题、发布时间、文件链接、文件内容等维度精准定位到当前采购人泄露的文件信息,使得采购人能直观了解到当前泄露的文件信息的情况。(提供文件泄露监控功能截图)3.45黑产舆情事件支持面向采购人检出黑产舆情事件的展示,主要从黑产论坛网站、涉及舆情群组、发布时间、黑产舆情内容等维度精准
42、定位到当前涉及采购人黑产舆情相关信息,使得采购人能直观了解到当前存在的黑产舆情事件的情况。(提供黑产舆情监控功能截图)3.46资产失陷事件支持面向采购人检出资产失陷事件的展示,主要从失陷资产、失陷类型、失陷时间、具体失陷情况等维度精准定位到当前采购人资产失陷的信息,使得采购人能直观了解到当前自身资产的健康情况。(提供资产失陷监控功能截图)3.47仿冒网站事件支持面向采购人检出仿冒网站的事件展示,主要通过语义特征和机器视觉等维度精准定位到当前采购人在互联网上被仿冒的信息,使得采购人能直观了解到当前网站在互联网上被仿冒的情况(提供仿冒网站监控功能截图)3.48交付物交付物名称:敏感数据监控服务首次
43、排查报告,报告频率:敏感信息排查服务仅有这个交付报告3.49交付物名称:敏感数据监控服务月度报告,报告频率:1年12次3.50交付物名称:敏感数据监控服务年度报告,报告频率:1年1次3.51交付物名称:敏感数据监控服务事件报告,报告频率:按需触发,不限次数3.52知识产权敏感数据泄露监控平台具备自主知识产权3.53红队检测服务要求每年不少于2次。3.54供应商应保证不影响采购人信息系统正常运行前提下,以APT攻击者视角对采购人现有防御体系进行检测,针对目标系统、人员、软硬件设备、基础架构,进行多维度、多手段、对抗性模拟攻击,发现采购人现有防御体系的短板,深入检验网络安全防护能力。3.55供应商
44、应在得到采购人授权后方可开始实施红队检测工作。2.56服务方案供应商应根据采购人安全需求及重要业务系统结构,设计针对性的红队检测方案,并提交至采购人进行评审。3.57供应商应在投标文件技术部分详细说明红队检测的实施流程、红队检测方法、实施过程中用到的工具、实施过程中可供考量的具体工作指标及各阶段输出成果。3.58供应商提供的红队检测方案必须包括但不限于:红队检测方法和流程、红队检测实施方案、红队检测须采用专业检测工具如国内外商业检测工具、自有检测工具、提供红队检测所面临的主要风险及相应的风险规避措施。3.59服务内容采购人授权后,供应商应通过模拟黑客攻击行为通过本地或远程方式对目标对象进行非破
45、坏性的入侵测试。3.60红队检测的目标范围应包括但不限于:Web相关业务系统,包含相同域名或IP下的不同端口的业务系统微信小程序、微信公众号等移动端接入点APP服务器(不涉及APP客户端的逆向分析)数据库系统(如:RedisMysqkMssqlOraCle等)协商的授权范围(如:集团总部、具体二级子公司等)其他常见的业务服务(如:邮件系统、RDP、SSH等)3.61红队检测的服务检测内容不仅包括目标系统本身,还会对攻击路径上可能涉及到的系统都进行安全检测,涉及到的测试类别包括但不限于:安全设备类服务器、主机类网络设备类数据库类集权系统类第三方应用类Web安全类3.62供应商红队检测人员应针对采购人实际情况,使用不同技术手段发现不同纬度的安全风险和隐患,形成记录和报告。3.63如有必要,在客户授权下,供应商红队检测可针对员工、高管、供应商等进行远程社工测试。供应商红队检测人员针对采购人员工展开,包括企业的员工以及第三方合作人员,通过获取企业员工敏
