1) WEB 应用测试
附件:
第 31 届世界大学生夏季运动会xx赛区xx体育中心体育馆网络安全服务项目需求
第一部分 供应商参加本次政府采购活动,应当具备的资格条件
(一)具备《中华人民共和国政府采购法》第二十二条
规定的条件:
1.具有独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度;
3.具有履行合同所必需的设备和专业技术能力;
4.具有依法缴纳税收和社会保障资金的良好记录;
5.参加本次政府采购活动前三年内,在经营活动中没有重大违法记录;
6.法律、行政法规规定的其他条件。
(二)本项目的特定资格要求:
1.未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单;
2.不属于其他国家相关法律法规规定的禁止参加投标的供应商;
3.本项目不接受联合体参与。
(三)落实政府采购政策需满足的资格要求:本项目非专门面向中小企业。
第二部分 项目技术、服务、政府采购合同内容条款及其他商务要求
2.1.采购项目概况
根据《中华人民共和国网络安全法》、《网络安全等级保护 2.0》等法律要求及成都大运会执委会印发的《第 31 届世界大学生夏季运
动会网络安全技术指南》、《第 31 届世界大学生夏季运动会网络安全总体方案(修订版)》文件要求,xx体育中心自建信息系统的网络安全由场馆业主单位负责,赛区委员会督促各责任单位落实网络安全主体责任,开展网络安全监督检查工作。为此,场馆需采购相关的网络安全保障服务。
2.2.项目服务内容要求
依据《第 31 届世界大学生夏季运动会网络安全技术指南》(附
件另册)、《第 31 届世界大学生夏季运动会网络安全总体方案(修订版)》(附件另册)文件要求,xx体育中心场馆应通过渗透测试、风险评估、安全加固、应急响应、安全运维、安全培训等安全服务,对自建信息系统生命周期的各个阶段进行检查、控制与修正,保障成都大运会信息系统的安全运行。
2.2.1. ★赛前检查
2.2.1.1. 资产梳理服务
服务期内,针对场馆网络与信息资产开展 1 次资产梳理服务,梳理范围包括资产信息探测、资产指纹探测、关联资产,评估资产可能存在的安全风险,清除影子资产、无主资产,收敛暴露面,减少资产风险带来的安全隐患。
输出:资产梳理报告。
2.2.1.2. 网络安全管理制度咨询服务
服务期内,根据《中华人民共和国网络安全法》、《网络安全等级保护 2.0》、《第 31 届世界大学生夏季运动会网络安全总体方案(修订版)》等文件要求对场馆开展 1 次网络安全管理制度咨询服务,对场馆现有网络安全管理制度进行梳理评估;设计符合自身安全管理需求的安全管理体系,协助场馆完善并完成自有的安全组织结构建立,帮助场馆建立起必要的人员安全管理及信息系统安全管理相适应的 安全管理制度、流程等安全管理的框架体系,指导信息系统在建设实施过程中安全管理工作建设的具体开展方向及方法。
输出:应急预案、信息安全组织管理办法、备份与恢复管理制度、资产管理制度。
2.2.1.3. 网络安全风险评估服务
风险评估是对资产、威胁和脆弱点进行详细的识别和估价,评估结果被用于评估风险和安全控制的识别和选择。通过识别资产的风险并将风险降低到可接受水平,来证明管理者所采用的安全控制是适当的。通过专业的安全评估服务,识别对所需保护的信息资产,确定信息安全要求、了解安全现状、选择控制措施,形成风险处理计划,建立满足符合国家、行业的信息安全建设要求的信息安全保障体系,从而保障相关重要系统和资源的安全,有效地减少信息系统由于安全问题引起的不可估量的损失。
服务期内,根据业务的技术架构和业务架构,提供 1 次全面的网络安全风险评估服务,评估的范围包括但不限于场馆自建信息系统
物理安全、业务流程安全、安全管理、服务器、数据库、中间件、网络设备、安全设备方面。
输出:网络安全风险评估报告。
2.2.1.4. 渗透测试服务
模拟黑客攻击手法和攻击路径,针对场馆自建信息系统进行准 确、全面的安全渗透测试,全面识别测试目标系统网络安全漏洞,并针对发现的安全漏洞,提供专业整改建议,指导相关方进行安全整改,整改完毕后,进行安全回归测试,确保漏洞处置形成有效闭环。
服务期内,按需提供渗透测试服务,服务频率和次数不做限制。测试层面包括但不限于:
1) WEB 应用测试
如ASP、CGI、JSP、PHP 等组成的WWW 应用进行渗透测试。
2) 主机操作系统
对WINDOWS、SOLARIS、AIX、LINUX、SCO、SGI 等操作系统本身进行渗透测试。
3) 数据库系统
对MS-SQL、ORACLE、MYSQL、INFORMIX、SYBASE、DB2 等数据库
系统进行渗透测试。
4) 网络设备
对各种交换机、路由器等网络设备进行渗透测试。
5) 中间件
针对关键业务中采用的各种中间件系统进行渗透测试。输出:渗透测试服务报告。
2.2.1.5. 漏洞扫描服务
服务期内,采用漏洞扫描工具对场馆网络与自建信息系统相关 WEB 应用、服务器、数据库、网络设备、安全设备信息资产开展 4 次全面扫描与分析,扫描设备检测规则库及知识库应涵盖CVE、CNCVE、 CNVD、CNNVD 标准。扫描完成后并人工验证所发现的操作系统漏洞、数据库漏洞、弱口令、信息泄露及配置不当等脆弱性问题。提出准确有效的扫描报告,并针对漏洞扫描中出现的问题,提供解决方案,协助场馆进行解决。
输出:漏洞扫描服务报告。
2.2.1.6. 网络安全运维服务
网络安全运维主要通过提供“哨兵式”的网络安全看、护服务,协助场馆及时发现并有效控制网络安全风险和威胁,做到早发现、早处置,避免发生重大网络安全事件。
服务期内提供 16 次日常安全运维咨询和安全检查服务,为场馆网络安全技术防护策略持续改进提供有效性安全建议。服务内容包括网络安全运行状态监测分析、网络安全告警分析和预警、网络安全技术防护策略持续改进。
输出:安全运维服务报告。
2.2.1.7. 安全加固服务
为了有效保障场馆网络与自建信息系统的安全运行,在对操作系统、数据库、中间件、网络设备、安全设备进行安全检测后,协助场馆侧针对主机、应用系统、中间件、数据库等被加固对象的漏洞进行修复,并配置合适的安全策略以达到加固的安全基线标准要求。
同时按照等保相关要求与《第 31 届世界大学生夏季运动会网络
安全技术指南》、《第 31 届世界大学生夏季运动会网络安全总体方案
(修订版)》文件要求,场馆需具备自建网络与信息系统的安全防护与监测能力,为落实相关文件要求,提供为期 3 个月的安全设备租赁服务。
涉及的安全设备包括:APT 高级持续性威胁检测、物联网准入网关、物联网安全威胁检测,以此提升自建网络与信息系统的安全防护与监测能力。
输出:网络安全加固方案、加固记录、安全设备实施报告。
2.2.1.8. 应急演练服务
根据成都大运会执委会办公室、xx赛区委员会办公室、成都市委网信办、成都市公安局等相关主管部门、监管部门关于网络安全事件应急演练要求,编制场馆自建网络与信息系统网络安全事件应急预案,按照网络安全事件分类分级要求,结合可能面临的网络安全风险输出网络安全事件应急演练方案,并召集相关方开展 1 次网络安全事件应急演练。
输出:网络安全事件应急预案、网络安全事件应急演练方案、网络安全事件应急演练总结报告。
2.2.1.9. 网络安全培训服务
服务期内组织 1 次网络安全培训,加强人员安全意识,使其了解所面临的安全威胁和网络安全的重要性,从而提高场馆整体网络安全保障能力和防护水平。
输出:安全培训PPT、培训记录。
2.2.1.10. 应急响应服务
服务期内组建网络安全应急响应团队,按需提供网络安全应急 响应服务,通过远程或现场的方式应对场馆突发的安全事件和安全问题。网络安全应急响应服务人员通过事件分析、原因查找、事件处置、证据保留、及事件溯源方式,快速解决场馆信息安全事件及问题,恢复业务及系统的安全运行,并确保所有事件应急处置过程得到有效控制和记录。
输出:应急处置报告。
2.2.2. ★赛时保障
根据《第 31 届世界大学生夏季运动会网络安全技术指南》、《第
31 届世界大学生夏季运动会网络安全总体方案(修订版)》文件要求,需加强对大运会信息系统的安全监控,定期对网络安全设备进行巡检和维护,及时更新网络安全防护策略,做好威胁情报和最新的网络安全漏洞收集和分析工作。
2.2.2.1. 网络安全保障前期规划服务
在大运会攻防演练、测试赛与正式比赛期间制定详尽的安全值守保障方案与计划,组建网络安全赛事保障团队。
输出物:网络安全值守保障方案。
2.2.2.2. 网络安全值守保障服务
在大运会攻防演练、测试赛与正式比赛期间提供 24 小时现场安全保障和安全值守,针对场馆自建网络与信息系统相关网络安全设备发现的大量日志记录,提炼出安全预警、安全漏洞和攻击态势等信息,防微杜渐。完成每日保障支持、安全监控、外部攻击源追溯、内部脆
弱性分析、网络安全问题处置等应急处置任务。涉及到的值守保障安排如下:
1、参与执委会组织的 1 次攻防演练,共 7 天。
2、测试赛期间,共 6 天。
3、赛前提前 7 天入场,赛事期间共计 10 天,共 17 天。
每天提供 4 个网络安全服务人员根据场馆要求开展 24 小时网络安全值守保障。
输出:网络安全值守日报、网络安全值守总结报告。
2.2.2.3. 威胁情报服务
服务期内,出现大运会相关高危漏洞或突发重要网络安全事件 时,提供相应的紧急安全事件通告,内容将包含测试方法、影响范围、修复建议内容,协助场馆进行漏洞风险自查,并提供专家支持服务,指导相关方进行安全整改。
输出:威胁情报分析报告。
2.2.3. ★赛后验收服务
根据《第 31 届世界大学生夏季运动会网络安全总体方案(修订 版)》文件要求,比赛结束后协助场馆做好项目总结、验收审计工作,验收审计完成后对成都大运会信息系统、网络安全设备及时进行下线、数据擦除和离场。
输出:赛后总结和数据清理相关过程文档。 2.3.项目服务工具技术要求
2.3.1. 安全加固服务中涉及的租赁设备配置要求
该项目安全加固服务工具清单如下:
序号 | 服务工具名称 | 服务工具数量 | 服务工具部署位置 |
1 | APT 高级持续性威胁检测 | 1 台 | 设备网 |
2 | 物联网准入网关 | 1 台 | 设备网 |
3 | 物联网安全监测 | 1 台 | 设备网 |
2.3.1.1. APT 高级持续性威胁检测
1. ★配置千兆电口≥6 个,吞吐量≥1Gbps,内存≥16G,硬盘容量≥2T;
2. 支持自动对系统告警事件降噪收敛处理;
3. 支持风险查询一键切换运营模式和专业模式,满足不同场景的研判需求;
4. 支持沙箱逃逸检测;
5. 具备不少于 30 种深度检测模块;
6. 支持基于文件系统过滤驱动实现沙箱快速恢复;
7. 具备故障排查平台对系统进行深度配置和排错;(提供功能截图并加盖供应商公章)
8. 支持动态URL 分析功能,能够检测针对浏览器的0Day 攻击、远程下载恶意文件检测;
9. 支持对流量中的数据包、会话连接、重传包、网络报文状态进行检测;
10. 支持资产风险及健康度评估。
2.3.1.2. 物联网准入网关
1. ★配置千兆电口≥6 个,应用层吞吐≥400M,内存≥4G,
硬盘≥32G SSD+1TB SAS;
2. 支持计算机、移动终端、网络设备、安全设备、办公设备、摄像头、网络录像机、网络电话和会议、视频管理平台、大屏矩阵控制器、物联网设备、存储设备等至少 650 种不同的资产接入;
3. 支持对 1400 协议的识别与管控功能,可识别注册、注销、保活、订阅、通知、图像资源、文件资源、人脸资源、机动车资源、视频片段类常用接口并可进行阻断;
4. 可根据终端脆弱性程度实现自动准入控制,其中终端脆弱性包括:仿冒终端、私接终端、带宽超限、终端默认/弱口令、开放违规端口、非法外连、异常网络行为、使用异常协议、安全漏洞;
5. 支持根据网络应用流量特征、流量方向、IP 地址(网段)、时间段为条件来设置对特定网络应用流量的自动准入规则;
6. 通知制定防病毒策略,对网络内的 FTP、邮件、HTTP 下载、上传中的文件进行病毒查杀、执行防护操作、记录日志;
7. 支持将大华、海康、宇视、科达非标协议转换成国标 GB/T28181-2016 协议接入国标平台,实现全网共享需求;(提供功能截图证明材料并加盖供应商公章)
8. 通过与场所端建立VPN 的方式,将场所端的视频等设备资 源通过加密VPN 隧道接入到平台端,可实现在平台端直接对场所端设备资源进行直接访问,同时场所端设备也可访问到平台端设备资源。
9. 支持将onvif 协议转换成国标GB/T 28181-2016 协议接入国标平台,实现全网共享需求。
2.3.1.3. 物联网安全威胁检测
1. ★配置千兆电口≥2 个,可管理资产数量≥3000 个,内存
≥64G,硬盘≥480G SSD+8TB SAS;
2. 可进行自定义监测频率设置,并对全网设备进行安全检测;
3. ▲支持对网络摄像机的IP、品牌、操作系统资产属性进行监测;
4. ▲支持对 PC 设备的设备类型、系统类型、服务类型、端口信息进行监测;
5. 对可能对视频设备、视频数据造成影响的高危信令进行安全监测、分析与告警。
6. 支持监测范围内终端的两网互通(同时连接内网和互联网)的行为,并可在两网互通监测平台子模块中定位其终端地址(内网 IP 和互联网IP);
7. 支持网中网分析,可监测视频网中存在的包括NAT 设备的私有局域网情况;
8. 支持监测网络中频繁或大规模的访问其它主机设备、服务端口的行为,提供发起扫描的设备地址、被扫描最多主机、被扫描最多端口详细信息;
9. 支持监测通过专网对全网设备特定端口或特定设备全端口扫描的行为。
2.3.2. 安全检查与保障服务涉及的工具要求
在针对场馆自建网络与信息系统开展安全检查与保障的过程中,为确保安全检查与保障的服务质量,提高检查与保障过程中的安全性、可靠性以及专业性,供应商需提供专业的服务工具以支撑检查与保障
服务内容的交付,相关服务工具清单及要求如下:
2.3.2.1. 服务工具清单
序号 | 工具名称 | 工具用途 |
1 | 信息安全等级保护工具箱 | 网络安全风险评估服 务 |
2 | 数据库漏洞扫描工具 | 漏洞扫描服务 |
3 | 自动化渗透测试工具 | 渗透测试服务 |
4 | 应急响应工具箱 | 应急响应服务 |
2.3.2.2. 服务工具要求
1. ▲为保障风险评估服务实施过程中的专业性,供应商须使用公安部认可的等级保护检查工具箱。(提供证明材料并加盖供应商公章)
2. ▲为保障风险评估服务实施过程中的安全性与可靠性,供应商使用的等级保护检查工具箱须具备中国信息安全测评中心颁发的《国家信息安全漏洞库兼容性资质证书》(提供证书复印件并加盖供应商公章)
3. ▲为保障漏洞扫描服务实施过程中的安全性与可靠性,供应商使用的漏洞扫描工具须具备检测数据库内核入侵行为和探测出黑客创建的一些隐藏对象能力。(提供第三方机构出具的证明材料复印件并加盖供应商公章)
4. ▲为保障渗透测试服务实施过程中的安全性和稳定性,供应商使用的渗透测试工具须具备保障系统稳定性和兼容性测试的能力。(提供第三方机构出具的证明材料复印件并加盖供应商公章)
5. ▲为保障应急响应服务实施过程中的专业性,供应商使用的应急处置工具须具备多维度网络安全事件分级能力。(提供第三方机构出具的证明材料复印件并加盖供应商公章)
6. 为保障应急响应服务实施过程中的安全性和可靠性,供应商使用的应急处置工具须实现安全事件的快速分析、取证、处置。(提供截图证明并加盖供应商公章)
2.4.★商务要求
2.4.1. 服务期限
本项目服务期限为合同签订之日起至 2023 年 8 月 31 日,具体时间以合同签订时约定为准。
2.4.2. 服务地点
成都xx区,xx体育中心,采购人指定地点。
2.4.3. 付款方式
合同签订生效后,采购人自收到成交供应商开具的合法有效且符合采购人财务要求的发票后 10 个工作日内支付合同总金额 40%的预付款;项目完成验收后且在收到成交供应商开具的合法有效且符合采购人财务要求的发票后 10 个工作日内,采购人向成交供应商支付剩余合同款项。
2.4.4. 违约责任
一、采购人违约责任
(一)因采购人原因逾期支付合同款的,除应及时付合同款外,应向成交供应商支付欠款总额万分之一/天的违约金;
(二)采购人支付的违约金不足以弥补成交供应商损失的,还应按成交供应商损失尚未弥补的部分,支付赔偿金给成交供应商。
二、成交供应商违约责任
(一)成交供应商不能按时完成服务内容而违约的,除应及时完成服务内容外,应向采购人支付合同金额百分之一/天的违约金;未能按时完工超过 10 天,采购人有权立即终止本项目,成交供应商则应按合 同总价的百分之十的合同总价向采购人支付赔偿金,并须全额退还采购人已经付给成交供应商的合同款。
(二)成交供应商支付的违约金不足以弥补采购人损失的,还应按采购人损失尚未弥补的部分,支付赔偿金给采购人。
2.4.5. 验收标准、时间和方法
一、验收组织方式:采购人组织。二、验收主体:采购人。
三、履约验收程序:一次性验收。
四、履约验收时间:履约完毕后 30 日内组织验收。
五、验收标准:严格按照《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库〔2016〕205 号)、《政府采购需求管理办法》(财库〔2021〕22 号)的要求进行验收。
2.4.6. 报价要求
最后报价含人工费、社保、办公费、合理利润、软硬件使用费、税金、招标代理服务费等因本采购项目履行的全部费用。
2.5.人员要求
一、供应商负责组建服务团队,服务团队需配备项目经理 1 名、
技术负责人 1 名、其他人员不少于 10 人。项目经理为固定联络人员,自备通讯工具(手机)24 小时畅通,需负责团队整体工作安排、与采购人衔接等内容。
二、拟投入的团队成员须具有履行相关项目的经验或具备履行本项目的能力。
2.6.其他要求
供应商根据采购需求制定本项目的服务实施方案,方案包含:资产梳理服务;网络安全管理制度咨询服务;网络安全风险评估服务;渗透测试服务;漏洞扫描服务;网络安全运维服务;安全加固服务;应急演练服务;网络安全培训服务;应急响应服务;网络安全保障前期规划服务;网络安全值守保障服务;威胁情报服务;赛后验收服务。
注:打★号的内容为采购项目实质性要求。
第三部分 综合评分明细表
序 号 | 评分因 素 | 分 值 | 评分标准 | 备 注 |
1 | 报价 (共同评审因素) | 10 分 | 价格分统一采用低价优先法计算,即满足磋商文件要求且最后报价最低的供应商的价格为磋商基准价,其价格分为满分。其他供应商的价格分统一按照下列公式计算: 磋商报价得分=(磋商基准价/最后磋商报价)×10 注:对小型企业、微型企业(监狱企业、残疾人福利单位视同 小微企业)的最后报价给予 10%的价格扣除,用扣除后的价格参与评审。 | |
2 | 服务实施方案 (技术类评审因素) | 14 分 | 供应商根据采购需求制定本项目的服务实施方案,方案包含: 1.资产梳理服务;2.网络安全管理制度咨询服务;3.网络安全风险评估服务;4.渗透测试服务;5.漏洞扫描服务;6.网络安全运维服务;7.安全加固服务;8.应急演练服务;9.网络安全培训服务;10.应急响应服务;11.网络安全保障前期规划服务; 12.网络安全值守保障服务;13.威胁情报服务;14.赛后验收服务。以上内容每提供 1 项的 1 分,最多得 14 分;在此基础 上,每有 1 处内容存在缺陷的扣 0.5 分,该项分值扣完为止。注:缺陷是指:项目名称、服务期限描述错误;实际方案存在相互矛盾,照搬其他项目方案而存在与本项目执行无关的内容;只有简单复制粘贴需求内容而无描述;语言文字错误;表 述内容存在歧义;不满足采购需求中非实质性要求的情形。 | |
3 | 综合实力(共同评审 因素) | 4 分 | 供应商具有基于互联网运营的漏洞响应平台,具有漏洞收集能力的得 4 分。 注:1.提供平台互联网访问地址截图;2.提供类似漏洞收集的 计算机软件著作权登记证书,若为授权使用的还应提供授权使 |
用的证明材料(如合同或协议或授权书)并加盖供应商公章。 | ||||
4 | 服务团队(共同评审因素) | 27 分 | 供应商拟投入本项目的项目经理(1 名): 具有网络规划设计师证书或信息安全工程师证书或信息系统管理工程师证书或注册信息安全专业人员(大数据安全分析师 CISP-BDSA)证书或信息安全保障人员认证证书 CISAW(风险管理)的,以上证书每具有 1 项得 3 分,最多得 9 分。 注:提供证书复印件与劳动关系证明材料并加盖供应商公章。 | |
供应商拟投入本项目的项目技术负责人(1 名): 具有网络工程师证书或信息安全工程师证书或注册信息安全专业人员(CISP)证书或信息安全保障人员认证证书 CISAW(安全运维)的,以上证书每具有 1 项得 2 分,最多得 6 分。 注:提供证书复印件与劳动关系证明材料并加盖供应商公章。 | ||||
供应商拟投入本项目的服务团队其他人员(不含项目经理与技术负责人): 1.具有类似本项目的网络信息安全类保障服务工作经验的,每有 1 人得 0.5 分,最多得 4 分。(注:提供举办单位出具的工作经验证明材料并加盖供应商公章。) 2.每有 1 人具有网络信息安全类相关专业副高级及以上职称 的得 3 分;每有 1 人具有网络信息安全类相关专业中级职称或 网络工程师证书的得 2 分;每有 1 人具有注册信息安全专业人员(注册信息安全工程师 CISE)证书或信息安全保障人员认证证书 CISAW(安全运维)的得 1 分;最多得 8 分。(注:① 同 1 人不重复计分;②提供证书复印件并加盖供应商公章。) | ||||
5 | 服务工 具技术要求 | 30 分 | 供应商针对本项目提供的服务工具完全符合第二部分中 2.3.1.1(共 10 项)、2.3.1.2(共 9 项)、2.3.1.3(共 9 项)、 2.3.2.2(共 6 项),没有负偏离得 30 分。其中“★”号的条 |
(共同评审因素) | 款为本次采购项目的实质性要求(共 3 项),供应商应全部满 足;带“▲”的重要参数(共 7 项),完全满足得 21 分,每有 1 项负偏离扣 3 分,21 分扣完为止;非“★”、“▲”的普通参 数(共 24 项),完全满足得 9 分,每有 1 项负偏离的扣 0.375分,9 分扣完为止。 注:1.以阿拉伯数字 1、2、3 为单独 1 项; 2.磋商文件中▲号项内容为关键条款,明确要求提供证明材料的应当提供要求对应的证明材料,未明确要求的提供国家认可的检验/检测机构出具的第三方检验/检测报告(至少包括报告首页、对应功能测试页和报告尾页)并加盖供应商公章,报告文字内容应能体现、佐证其满足磋商文件对应技术功能要求,否则视为不满足。 3.非“★”、“▲”为一般性条款,明确要求提供证明材料的应当提供要求对应的证明材料,未明确要求的供应商在服务偏离 表中应答或响应即视为满足。 | |||
6 | 业绩 (共同评审因素) | 15 分 | 供应商自 2018 年 1 月 1 日(含)至今具有类似本项目业绩的, 提供 1 个得 3 分,本项最多 15 分; 说明:1.类似项目是指网络安全服务类项目;2.业绩证明材料应包含合同复印件(至少包含合同首页、实施内容页、双方盖章页、时间页);3.同一个项目不重复计分;4.业绩要求时间 以合同签订日期为准。 |
注:
一、评分的取值按四舍五入法,保留小数点后两位;
二、评分标准中要求提供复印件的证明材料须清晰可辨。