一、项目概述
随着宜宾市中级人民法院信息技术的不断发展和广泛应用,网络与信息系统的基础性、全局性作用日益增强,信息安全已经成为国家安全的重要组成部分,为了做好宜宾市中级人民法院的信息安全工作,做到有效控制安全风险、全面落实各项安全工作、处理各类安全事件,宜宾市中级人民法院需要借助第三方专业安全维护公司,借助具备高层次信息安全从业资质的专业技术团队,通过日常巡检、安全加固、边界防护、终端安全等一系列保障措施,建设完整的信息系统安全运维体系,扎实有效加强信息安全防护能力,从而确保宜宾市中级人民法院信息系统安全高效运行,为更好地服务人民群体、服务审判建设“人民满意的司法机关”奠定坚实的基础。
二、服务方式及要求
服务方式包括:现场人员服务、支撑团队现场服务、根据技术要求远程服务等。详见项目服务内容。
(一)维护总体要求:
1.保密原则:安全服务是一个长期的过程,信息的保密尤为重要,需要运行维护的单位和人员同时签署严格的保密协议。
2.标准性原则:服务方案的设计与实施需依据国内或国际的相关标准进行。
3.规范性原则:安全服务过程和文档设计需遵循多种安全标准,具有很好的规范性,以便于项目的跟踪和控制。具备为采购人信息系统提供规范安全服务的能力。
4.可控性原则:安全服务所使用的工具、方法和过程都事先与采购人沟通确认,经双方认可方可实施,服务进度遵守进度表的安排,保证对服务工作的可控性。
5.整体性原则:为宜宾市中级人民法院提供的安全服务应覆盖网络系统的网络基础设施安全、终端安全、边界安全障等各个层面,避免造成未来的安全隐患。
(二)维护技术要求:
1.一切安全测试、评估类活动,均遵循国家法律、以及双方所约定的合同及补充条款要求。
2.所有执行项目遵循双方约定服务范围。
3.对于可能造成危害的运行维护行为提前获得用户同意与认可,并在双方约定的可控范围内进行运行维护。
4.服务人员在整个运行维护过程中,将遵循内部规范严格规避可能存在的风险和隐患。
5. 运行维护结果按双方约定形式,由服务人员撰写报告完整提供给采购人,并按用户要求对内容做出适当的说明。
6.供应商遵循安全保密要求,服务过程中和服务完成后,均不会以任何形式将服务过程中所获取的采购人数据泄露给第三方。
7.供应商应在服务中使用包括但不限于脆弱性扫描、配置核查、流量监控分析等风险评估及保障工具实现制自动化,提高工作效率。
三、年度服务内容
序号 | 安全服务项目 | 服务方式 | 服务周期(次) | 备注 |
1 | 基础安全运维 | 1人/年 | 1年 | 现场 |
2 | 漏洞扫描服务 | 1次/年 | 1年 | 现场 |
3 | 渗透测试服务 | 1次/年 | 1年 | 现场 |
4 | 应急响应服务 | 2次/年 | 1年 | 远程+现场 |
5 | 漏洞速递服务 | 不限 | 1年 | 远程 |
6 | 安全培训服务 | 1次/年 | 1年 | 现场 |
(一)基础安全运维:按宜宾市中级人民法院的安全要求,持续加强网络安全管理工作的质量和水平。应委派有经验的安全技术人员提供现场服务,协助宜宾市中级人民法院信息中心处理日常信息安全工作,加快响应时间,保证服务质量。
基础安全运维服务具体内容如下:
任务名称 | 任务描述 |
网络规划和维护 | 协助中院管理员进行网络规划和设备维护 |
安全运维 | 对信息安全产品进行管理,适当时候调整相关产品策略 |
安全整改 | 协助后续安全项目实施,对发现的问题进行整改,提出专业的安全建议 |
日常事件响应 | 日常监控信息安全产品,根据每日事件进行有效统计,并进行处理, |
设备日常运维状况提交 | 记录日常设备运维信息,对信息安全资产进行收集和统计,对信息化备品备件进行日常管理 |
特殊事件报告 | 发生特殊事件及时通过书面报告整个过程,并进行保障 |
安全咨询 | 参与设计信息安全方面的建设方案,对其他运维人员行为进行安全审计 |
(二)漏洞扫描服务:
定期的利用专业的漏洞扫描工具对宜宾市中级人民法院的信息系统进行扫描,及时发现存在的问题,并提供解决这些问题的方法和建议。
(三)渗透测试服务:模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全作深入的探测,发现系统最脆弱的环节。
渗透测试服务内容如下:
基本要求 | 渗透方式 | 对业务系统不限范围不限方式(DDOS攻击方式除外)的进行远程渗透测试。 |
风险要求 | 供应商应采取有关措施降低测试可能带来的安全风险,防止测试影响系统的正常运行,并对参与测试人员签订保密协议,责任书,有一定的监控能力,及时审计发现恶意的破坏或盗取信息行为。 | |
信息收集 | 被动式信息收集 | 收集目标系统暴露于网络上,不需要额外的授权便可获取到的信息。 |
专业安全工具扫描 | 专业安全工具扫描、嗅探,对系统的网络、主机和应用程序进行远程漏洞扫描,并对扫描结果进行分析。 | |
跨站脚本攻击 | 指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。跨站脚本攻击又分:Dom、反射型、存储型,存储型可以获取用户cookie登录到用户中心。 | |
未授权访问 | 通过未授权访问一些敏感页面、命令执行,getshell等操作导致危害到网站安全性。例如:管理后台、第三方账号登录、Redis、Mongodb、Memcache、Jenkins、elasticsearch、hadoop、Docker、CouchDB。 | |
报告编写 | 渗透测试报告包括渗透测试整个流程描述,会对发现问题的思路与手法进行必要的说明,并且结合目标系统环境,对安全问题进行风险分析,出具针对性解决方案。 | |
交付方式 | 交付渗透测试报告;交付安全威胁修复建议; | |
(四)应急响应服务:应急响应服务:中标供应商需提供7*24小时应急响应服务。宜宾地区需2小时内到达现场处理黑客攻击、病毒爆发、木马/后门程序、入侵事件等。
应急响应服务内容如下:
基本要求 | 服务方式 | 应急响应服务:中标供应商需提供7*24小时应急响应服务。宜宾地区需2小时内到达现场处理黑客攻击、病毒爆发、木马/后门程序、入侵事件等。 |
交付方式 | 应急响应报告。 | |
(五)漏洞速递服务:在披露后通过邮件或微信等安全方式第一时间推送,从而帮助宜宾市中级人民法院及时做出应对措施。
(六)安全培训:通过大量的当前典型安全事件导入,从感性认知层面对目前的信息安全威胁给予直观、形象的描述,使员工能对当前的信息安全威胁有一个深刻的认识。同时通过案例介绍的方式对员工日常工作、生活中经常用到的一些采购人端应用工具、系统的安全威胁进行分析,并阐明具体的防范措施,最终协助建立起适合个人、企业的用户行为基准。
服务运维清单(包括但不限于以下安全产品):
序号 | 产品名称 | 规格型号 | 品牌 | 单位 | 数量 | 服务范围 |
1 | 终端安全管理系统: 市级控制中心(终端一体机控制中心) | 360天擎终端安全管理系统V6.0: TQ-ESM | 360 | 台 | 1 | 全市两级法院(包含乡镇法庭) |
终端安全管理系统: 终端审计功能授权 | 360天擎终端安全管理系统 | 360 | 套 | 2250 | ||
终端安全管理系统: 终端审计功能授权(2年升级服务) | 360天擎终端安全管理系统 | 360 | 套 | 2250 | ||
终端安全管理系统:终端防病毒+补丁管理+运维管控 | 360天擎终端安全管理系统 | 360 | 套 | 2250 | ||
终端安全管理系统:终端防病毒+补丁管理+运维管控(2年升级服务) | 360天擎终端安全管理系统 | 360 | 套 | 2250 | ||
终端安全管理系统:终端移动存储管理功能授权 | 360天擎终端安全管理系统 | 360 | 套 | 2250 | ||
终端安全管理系统:终端移动存储管理功能授权(2年升级服务) | 360天擎终端安全管理系统 | 360 | 套 | 2250 | ||
2 | 终端准入 控制系统 | 360天擎终端安全管理系统V6.0:NAC-1000S | 360 | 台 | 1 | |
3 | 区县硬件软件分控制中心 | 360天擎终端安全管理系统V6.0:TQ-ESM | 360 | 台 | 10 | |
4 | 日志审计系统 | 网神SecFox日志收集与分析系统 V5.0:R1000 | 网神 | 台 | 1 | |
5 | 服务器防病毒软件(Windows服务器) | 360天擎私有云杀毒管理系统 | 360 | 套 | 120 | |
服务器防病毒软件(Windows服务器) | 360天擎私有云杀毒管理系统 | 360 | 套 | 120 | ||
6 | 入侵防御系统 | 网御入侵防护系统V3.0 Leadsec-IPS | 网御星云 | 台 | 1 | 全市两级法院 |
7 | 安全运维网关 | 网御运维安全网关V3.0 LA-OS | 网御星云 | 台 | 1 | |
8 | 防火墙 | 网御防火墙系统V3.0 PowerV6000 | 网御星云 | 台 | 10 | |
9 | 防火墙 | 网御防火墙系统V3.0/ Power V6000 | 网御星云 | 台 | 2 | 市本级 |
10 | 可信边界网关 | 网御可信边界综合安全网关系统V3.0/ Power V-TBSG | 网御星云 | 台 | 1 | |
11 | 安全隔离与信息单向导入系统 | 网御安全隔离与信息单向导入系统V2.0/ Leadsec-UDGAP | 网御星云 | 台 | 2 | |
12 | 跨网数据调用服务系统 | 数据安全交换系统Leadsec-DC | 网御星云 | 套 | 1 | 市本级 |
13 | 万兆防火墙 | 网御星云PowerV6000 | 网御星云 | 台 | 1 | 市本级 |
四、项目预算为18万元每年。
五、商务要求
(一)需壹名信息安全专业人员驻场,驻场人员需具备信息安全中级以上职称或国家级信息安全测评机构注册的信息安全专业人员。
(二)服务期限:本次招标服务时间为三年,首次服务时间为一年,自签订正式合同之日起一年时间。服务期内采购方根据合同约定的验收方式定期对服务方服务质量进行考核,考核不合格采购方有权直接终止合同;投标方对运维内容无法有效保障,给采购方造成重大社会影响的,采购方有权拒绝向投标人支付余款、追缴已支付的款项,并有权提前终止与投标人的合同。在供应商提供的服务完全满足采购人工作需求,且服务内容不变、服务质量不变、中标金额不变、考核合格并在双方均未提出解除合同的情况下,本项目可自动履行下一年度合同,无需另行签定合同,本项目最多自动履行两年。
(三)履行合同的时间:自签订正式合同起。合同履行地点:宜宾市中级人民法院。服务方式:驻场服务,上班时间与宜宾中院一致并接受宜宾中院统一管理。同时,根据技术形式开展远程支持。
(四)验收标准:根据合同约定。
(五)付款方式:自服务开始之日起30日内支付年度服务费用的95%,服务满一年符合采购人的相关要求并验收合格后15日内支付年度服务费用的5%,否则将不予支付。
(六)以上参数必须全部达到并满足,为了保障供应商的专业和能取得相关设备原厂商的支持,参加投标供应商需取得我院安全产品清单内所有设备原厂商出具的针对本项目服务授权书原件。
六、邀约时间为即日起至2020年10月20日14:30分止;邀约开标时间为:2020年10月20日14:30分,地点:宜宾市中级人民法院,联系电话:0831-2322322。
