一、采购项目名称:2022年度深汕特别合作区攻防演练与驻场运维服务项目
二、采购项目需求:
(一)项目概况:
为贯彻落实《中华人民共和国网络安全法》、网络安全等级保护制度2.0标准等相关法律法规和国家标准,以及公安部开展“护网行动”专项工作的要求,提高深汕特别合作区关键信息基础设施安全防护水平,加强网络安全、网络事件预防处置能力,消除网络安全管理和技术风险,不断提升网络防护能力,拟开展包括渗透测试、漏洞扫描、攻防演练、应急演练、信息安全培训、安全制度建立完善、安全开发咨询服务和驻场运维的服务工作。
为有效推进网络安全工作开展,提高网络安全防护的有效性、可靠性和安全性,根据上级统一部署工作,现公开询价,采购第三方服务项目为“2022年度深汕特别合作区攻防演练与驻场运维服务项目”需符合以下要求。
(二)服务内容
攻防演练的服务内容包括但不限于以下:
1.渗透测试。进行模拟入侵测试,评估目标系统的脆弱性,识别可能存在的安全风险。对合作区网站、应用系统、公众号、APP、小程序等进行渗透测试。合同期内开展4次以上。
2.漏洞扫描。协助我区将漏洞扫描计划及漏洞报告汇总报送市联合检查平台,通过漏洞扫描和分析评估对服务器、终端、网站、网络设备等进行漏洞隐患排查,检查服务器、终端、网站、网络设备自身健壮性,验证可能遭受的安全威胁,并协助进行修复、处置,修复处置完成后进行复扫。合同期内开展4次以上
3.攻防演练。针对漏洞扫描及渗透测试情况,根据系统实际运行环境,实施信息安全攻防演习。包括演练总体方案、真实环境攻防演练、攻击方负责模拟黑客攻击和入侵、防守方提前进行安全隐患自查和演练中防守应对措施、演练结束数据汇报、总结汇报、加固整改方案汇报等。合同期内开展1次以上。
4.应急演练。应急演练工作包括:应急预案、演练脚本、参与人员、相关视频图片、总结报告及改进措施等。合同期内开展1次以上。
5.信息安全培训。为落实深圳市联合检查工作要求以及提升合作区全员信息安全意识,通过信息安全培训,提高合作区安全水平和掌握安全知识,间接提高对安全事件生命周期的管理。安全培训,包括加强人员安全意识教育、关注网络安全发展趋势、了解新的防范措施等。合同期内开展1次以上,培训时长2小时以上。
6.完善合作区安全制度建立。优化改善至符合三级等保相关制度要求。人员角色和权限、资源规范分配、安全管理制度、应急预案等。根据各级网信部门要求完善现有的应急预案制度。
7.提供加固检测安全开发咨询服务。确保合作区开发阶段的业务系统安全性,助力合作区安全开发体系落地。合同期内开展1次以上。
8.密码测评工作。对合作区等级保护系统开展密码安全测评工作,规范密码测评工作,按要求开展工作,提供不限于密码安全测评技术及工具服务。合同期内开展1次以上。
9.为优质完成上述工作,同时根据《2021年深圳市党政机关网络安全联合检查工作方案》要求,结合深汕特别合作区的网络安全实际开展情况安排驻场工程师8名以上,人员符合要求(学历专科以上、计算机专业相关、具备文字表达、其他要求),包括1名项目经理(安全体系规划顾问)、1名渗透测试工程师、4名安全运维工程师以及2名安全服务工程师,专职提供技术服务。服务内容除完成以上工作外,还需完成如下内容:
(1)依据深汕特别合作区内部业务发展战略、IT发展战略、现有的信息安全建设情况对深汕特别合作区现有的信息安全体系提出整改建议,包括但不限于信息安全管理制度、信息安全管理规范与技术标准、信息安全管理流程、信息安全运维流程、安全基线与网络安全联合检查、绩效考核等方面提出相应的整改建议。
(2)根据深汕特别合作区网络安全的实际现状开展渗透测试和安全分析工作,结合态势感知、流量监控、防火墙、运维审计、日志审计、数据库审计等设备完成日志分析,定期对重要的信息系统安全性进行审计,发现存在的安全隐患。
(3)根据深汕特别合作区网络安全的实际现状开展安全运维工作,监控管理安全设备的运行、解决各类安全问题、制订巡检制度、操作规范、应急处理方法等,排除安全隐患、处理紧急事件和重大故障等工作
(4)根据网络安全联合检查或者其他专项安全检查要求,按需开展网络与信息安全检查,包括但不限于:
检查是否存在违规存储、处理、传输涉密信息的情况;
检查是否安装防病毒系统及病毒特征库是否及时更新;
检查Windows操作系统补丁更新是否及时;
检查终端是否存在未开启防火墙、弱口令、未使用锁屏功能、未删除不必要的用户、开启默认共享、开启远程桌面等安全隐患;
检查政务办公网是否存在使用移动存储介质痕迹;
开展网络安全风险评估工作,识别深汕特别合作区IT资产得重要性、脆弱性及威胁,得出资产得风险值。根据风险值编制网络安全风险评估报告以及不可接受风险整改建议并协助整改;
准备联合检查材料,材料必须准确、完整。
(5)完成合作区未来新建系统上线前安全检测工作。
(三)服务要求
应执行严格的项目管理措施,按周进行动态跟踪,每月收集并汇报项目总体情况、问题统计等情况。中标方必须对项目管理制定相应的规则和办法。
服务商需承担的主要任务及要求:
(1)须无条件为本项目承担全部技术责任。
(2)按要求提交本项目的所有相关文档和成果。
(3)知识产权应全部归深汕特别合作区智慧城市建设管理服务中心所有。
(4)在本项目过程中,遵循深汕特别合作区智慧城市建设管理服务中心有关管理规定,并接受深汕特别合作区智慧城市建设管理服务中心技术监督或委托监理组织的监督。
(5)根据本项目要求,提供不限于以上任务的其它相关服务。
(四)服务成果:
(1)渗透测试: 渗透性测试报告。
(2)漏洞扫描: 安全扫描报告、安全扫描复查报告等。
(3)攻防演练: 攻防演练总体方案、攻击方成果总结、防守方成果总结、攻防演练整体总结等。
(4)应急演练: 应急预案、演练脚本、参与人员、相关视频图片、总结报告及改进措施等。
(5)信息安全培训: 网络安全培训PPT、目录、安全办公、个人信息安全、账号安全普及安全常识、网络安全培训报告、培训签到表等。
(6)安全制度建设:根据市网信办相关安全要求,做好网络和信息安全制度完善工作,根据现有的制度进行修订并输出相应文档。
(7)加固检测安全开发咨询服务:配合完成开发前和开发后相应的检测加固工作及文档输出。
(8)密码测评:对深汕特别合作区的等级保护系统提供密码安全测评咨询服务工作。
(9)网络安全联合检查:协助合作区开展联合检查工作,如:终端设备涉密处理、操作系统补丁更新、弱口令、屏保、违规上网行为,配合完成修复安全隐患问题及整改工作开展。
三、供应商资格要求
1.具有独立法人资格或具有独立承担民事责任的能力的其它组织(提供营业执照或事业单位法人证等法人证明扫描件,原件备查)。
2.本项目不接受联合体投标。
3.参与本项目投标前三年内,在经营活动中没有重大违法记录。
4.参与本项目政府采购活动时不存在被有关部门禁止参与政府采购活动且在有效期内的情况。
5.具备《中华人民共和国政府采购法》第二十二条第一款的条件。
6.未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。
注:“信用中国”、“中国政府采购网”以及“深圳市政府采购监管网”为供应商信用信息的查询渠道。
7.投标人必须具备中国网络安全审查技术与认证中心颁发的安全服务资质应急处理服务证书,或者中国信息安全测评中心颁发的信息安全服务(安全工程类)资质证书。
按《政府采购促进中小企业发展管理办法》(财库〔2020〕46号)、《财政部 司法部关于政府采购支持监狱企业发展有关问题的通知》(财库〔2014〕68号)和《三部门联合发布关于促进残疾人就业政府采购政策的通知》(财库〔2017〕141号)的有关规定执行。
五、重要提示
1.报价单内容按照统一模板填写(详看附件)
2.供应商报价为市场摸底,最终采购方式由采购人负责解释。
3.本公告期限:符合资格的供应商应当在2022年4月25日上午9:00至2022年4月27日下午6:00期间将报价单发送至以下邮箱:
深汕特别合作区智慧城市建设管理服务中心:zhaocai@ssscri.com
深汕特别合作区发改财政局采购办:sshzcgb@163.com
(3个工作日,公布当天不算)
4.采购人有权对中标供应商就本项目资格条款要求提供的相关证明资料(原件)进行审查。供应商提供虚假资料被查实的,则可能面临被取消本项目报价资格、列入不良行为记录名单、三年内禁止参与本区政府采购活动的风险。
5.本询价公告及本项目招标文件所涉及的时间一律为北京时间。报价单位有义务在询价期间浏览深圳市深汕特别合作区深汕招标有限公司官网(http://sszbdl.com/),在深圳市深汕特别合作区深汕招标有限公司网上公布的与本项目有关的信息视为已送达各报价人。
六、联系方式
1.采购单位
单位名称:深圳市深汕特别合作区智慧城市建设管理服务中心
详细地址:深圳市深汕特别合作区管委会文贞楼2栋2楼
项目联系人:陈工
联系方式:15281713741
2.投诉单位
单位:深汕特别合作区发改财政局采购办
电话:0755-22100803
邮编:518200
地址:广东省深圳市深汕特别合作区政和楼1栋
附件:2022年度深汕特别合作区攻防演练与驻场运维服务项目报价单.docx