一、采购项目名称
2024-2025年度深汕特别合作区政务网络安全服务项目
二、采购项目需求
(一)项目概况
为贯彻落实《中华人民共和国网络安全法》、网络安全等级保护制度2.0标准等相关法律法规和国家标准,以及省、市网络安全相关工作要求,提高深汕特别合作区政务网安全防护水平,加强网络安全、数据安全事件预防处置能力,消除网络安全管理和技术风险,不断提升网络防护能力,拟开展包括渗透测试、漏洞扫描、攻防演练、应急演练、网络安全培训、网络安全制度建设、网络安全检查等工作。
(二)服务内容
1.渗透测试
模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,针对其授权的目标进行渗透测试,重点发现网站应用层业务流程和逻辑上的安全漏洞、代码漏洞、配置不当和敏感信息泄露的等风险,安全服务工程师主要是通过网络层、系统层、应用层三个方面进行渗透测试。
2.漏洞扫描
通过使用专门的漏洞扫描工具,远程对指定的资产或本地计算机系统的安全脆弱性进行扫描,扫描器将根据已知的漏洞数据库,识别出目标系统中存在的漏洞,并输出发现的漏洞及其严重程度、影响范围和建议的修复措施。
3.攻防演练
针对深汕特别合作区信息资产进行网络安全实战攻防演习,不限路径、不限渠道对深汕特别合作区指定的信息资产进行边界突破、社工突破、内网漏洞挖掘、横向渗透等,在不影响业务的情况下,尽可能地发现信息基础设施的网络安全漏洞。
4.应急演练
检验网络安全事件应急预案的科学性、可操作性,验证应急响应小组和技术人员应对网络和信息安全突发事件的组织指挥能力和应急处置能力,确保发生安全事故时响应工作及时、有效,最大限度地减轻网络安全事件造成的损失。
5.网络安全培训
通过信息安全意识培训,提高合作区安全水平和掌握安全知识,间接提高对安全事件生命周期的管理,意识教育、案例讲解、个人信息安全防护技术等相关培训,增强工作人员的安全意识,让他们了解常见的网络威胁、如何识别潜在的攻击,并采取适当的预防措施。
6.网络安全制度建立
规范深圳市深汕特别合作区网络信息安全制度建设,建立网络信息安全工作体系,明确网络信息安全工作职责,提高网络信息安全保障能力。
7.网络安全检查
根据上级部门网络安全联合检查工作方案或者其他专项检查的指标要求,按照实际节点配合提供深汕特别合作区通过上述检查所需的与网络安全相关的资料,完成年度网络安全检查工作。
(三)服务技术要求
1.渗透测试。对合作区网站、应用系统、公众号、APP、小程序等进行非破坏性质的攻击性测试,识别可能存在的安全风险,提供专业渗透测试报告及整改加固建议,为高、中风险的安全漏洞修复、处置提供技术指导;制定渗透测试报告并对其高、中风险的安全漏洞提供协助工作;漏洞修复完成后,进行漏洞复核确认最终修复情况。此项服务合同期内至少开展4次,每季度至少开展1次。
2.漏洞扫描
①对合作区服务器、终端、网站、网络设备等进行漏洞扫描,发现潜在的风险隐患,提供专业安全扫描报告及整改加固建议,为高、中风险的安全漏洞修复、处置提供技术指导;漏洞修复完成后,进行漏洞复核确认最终修复情况,并协助采购单位将漏洞扫描计划及漏洞报告汇总报送市联合检查平台。此项服务合同期内至少开展12次,每月度至少开展1次。
②供应商应自备国内主流的漏洞扫描工具1套(同时支持数据库扫描、主机扫描、应用扫描),并及时升级更新漏洞特征库。
3.攻防演练
①邀请国内具备专业攻防能力的网络安全团队,组织6支及以上、不少于3人的攻击队,针对合作区信息系统真实环境开展为期5天及以上的全区网络安全实战攻防演练。在经采购单位许可且可控的前提下,不限路径、不限渠道对指定的信息系统进行边界突破;对漏洞进行深度利用直至提权等深度操作。供应商需承担演练组织、队伍邀请和奖金设置(对演练中的优秀攻击队伍进行嘉奖)等费用。此项工作合同期内至少开展1次。
②应自备一套攻防演练平台,平台首页可以查看当前进行中的演练,包含演练名称、演练时间、演练场地、演练倒计时和演练状态等,支持对攻击方和防守方提交的成果进行系统自动评分和人工评分。
③在国家、广东省及深圳市组织的网络安全实战演练期间,服务商需根据采购单位实际防守需求,增派足够的保障人员,组织专业技术开展监测、预警、防护、处置及追踪溯源等工作。此项工作合同期内至少开展3次。
4.应急演练。结合合作区网络安全实际现状,完善和修订合作区网络安全和数据安全事件应急预案及专项预案,针对指定信息系统编制2种及以上不同类型的网络安全突发事件应急演练脚本,内容应包括应急处置机构人员职责、监测预警机制、应急响应流程、应急保障工作等;并根据演练脚本配合采购单位组织开展网络与信息安全应急演练。此项服务合同期内至少开展1次。
5.网络安全培训
①面向合作区全体工作人员开展网络安全培训,内容包括但不限于网络安全意识教育、网络安全发展趋势、最新网络风险防范措施等。此项培训合同期内开展1次及以上,培训时长2小时以上。
②为提高合作区整体网络安全技术水平,保障网络安全人才梯队建设,针对合作区负责网络安全相关工作人员提供专业的攻防实战技术培训,包括但不限于常见攻击思路及手段、防御手段、网络攻击溯源思路及案例,此项培训为合同期内按需开展,不少于2次。为确保培训效果,以上培训内容要求服务商必须邀请2名及以上国内知名安全厂商技术专家(不包含在项目团队成员内)担任培训讲师。
6.网络安全制度建立。根据上级网信部门要求,建立健全合作区网络安全相关管理制度,优化改善现有制度至符合三级等保相关制度要求,包括但不限于安全管理制度、供应链管理制度等。此项服务合同期内至少开展1次。
7.网络安全检查。根据深圳市网络安全联合检查或者其它专项安全检查要求,协助开展网络安全自查和现场检查工作,包括但不限于终端防病毒系统安装、补丁与病毒特征库统一推送、入网安全准入防护措施落实、违规连接互联网和违规存储排查、密码与屏保设置确认、“不允许截屏、拷贝、拍照”警示标志张贴等,配合提供通过检查所需资料,并统计和汇总检查结果,上报上级网络安全主管单位。此项服务合同期内至少开展1次。
8.除上述的服务内容外,还需要完成以下内容:
①依据合作区内部业务发展战略、IT发展战略、现有的网络安全体系建设情况对合作区网络安全体系提出整改建议,包括但不限于网络安全管理制度、网络安全管理规范与技术标准、网络安全管理流程、网络安全运维流程、安全基线与网络安全联合检查、绩效考核等方面提出相应的整改建议。
②根据合作区网络安全现状,开展安全运维及安全分析工作,日常监控、管理安全设备的正常运行,开展弱口令等安全专项排查工作,解决各类安全问题,处理网络安全紧急事件和重大故障等;结合态势感知、流量监控、防火墙、运维审计、日志审计、数据库审计等设备完成日志分析,定期对重要的信息系统安全性进行审计,及时发现存在的安全隐患。
③根据合作区网络安全工作开展所需,提供包括但不限于针对计算机病毒事件、蠕虫病毒事件、特洛伊木马事件、网页内嵌恶意代码事件、拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、信息篡改事件、信息假冒事件、信息窃取事件等网络安全事件的应急响应处置服务,包括但不限于:a.自备应急处置工具,在网络安全事件发生后及时给出解决方案并提供技术支持,直至系统恢复;b.提供7×24小时重大安全事件的应急响应工作,网络安全事件或安全故障发生后,在半小时内响应,在两小时内到达现场;c.出具信息安全事件或安全故障报告,内容应包括所遇到的问题、处理过程、处理结果。
④对合作区新建业务系统、服务器、设备开展上线前安全检测工作,确保上线的系统、设备等符合网络安全要求。
⑤为加强信息资产管理,降低未知资产风险,在服务期内,至少提供市面上4种主流资产测绘平台的年度会员,用于我区互联网资产测绘统计,完善我区政务信息资产台账。
⑥配合完成其它网络安全相关工作。
(四)服务人员要求
为优质完成上述工作,供应商需派驻不少于4人的项目团队常驻深汕特别合作区管委会,派驻人员需具备专科及以上学历、CISP系列证书资质,且驻场项目团队中至少1人具备“粤盾”、“深蓝”网络安全攻防演练攻击队经历。
(五)服务质量要求
供应商应执行严格的项目管理措施,按周进行动态跟踪,每月收集并汇报项目总体情况、问题统计等情况。中标供应商必须对项目管理制定相应的规则和办法。
供应商需承担的主要任务及要求:
1.须无条件为本项目承担全部技术责任。
2.按要求提交本项目的所有相关文档和成果。
3.知识产权应全部归深汕特别合作区智慧城市建设管理服务中心所有。
4.在本项目过程中,遵循深汕特别合作区智慧城市建设管理服务中心有关管理规定,并接受深汕特别合作区智慧城市建设管理服务中心技术监督或委托监理组织的监督。
5.根据本项目要求,提供不限于以上任务的其它相关服务。
(六)服务成果
1.渗透测试:渗透测试报告和复测报告(1份/系统/季度,全年度共4份)。
2.漏洞扫描:漏洞扫描报告和复测报告(1份/月度,全年度共12份)。
3.攻防演练:
省、市级攻防演练:攻防演练防守方案、防守值班表、防守报告、攻防演练整体总结等;
区级攻防演练:攻防演练总体方案、人员信息清单、攻击方保密协议、攻击方成果总结、攻防演练整体总结等。
4.应急演练:应急预案、演练方案、演练脚本、相关视频或图片、总结报告及改进措施等。
5.网络安全培训:培训文档、PPT等资料、相关视频或图片、培训签到表、培训总结报告等。
6.网络安全制度建设:根据上级网信部门相关安全要求,建立或修订相应制度文档。
7.网络安全检查:检查方案、检查过程记录文档、相关视频或图片、检查总结汇报材料、迎检材料等。
三、商务要求
(一)服务期限
自合同签订起一年,以最终合同约定时间为准。
(二)付款方式
本项目合同价款分 4 期支付。
第一期:合同签订后,乙方项目组所有人员进场,且人员资质满足招投标文件、合同要求,支付合同金额30%的款项。
第二期:乙方完成3个月的服务后,根据服务质量考核结果,最高支付合同金额30%的款项。
第三期:乙方完成9个月的服务后,根据服务质量考核结果,最高支付合同金额20%的款项。
第四期:合同服务期满且乙方已完成合同全部服务内容后,项目通过验收后,根据服务质量考核结果,支付合同金额20%的款项。
四、供应商资格要求
1.具有独立法人资格或具有独立承担民事责任的能力的其它组织(提供营业执照或事业单位法人证等法人证明扫描件,原件备查)。
2.本项目不接受联合体投标。
3.参与本项目投标前三年内,在经营活动中没有重大违法记录。
4.参与本项目政府采购活动时不存在被有关部门禁止参与政府采购活动且在有效期内的情况。
5.具备《中华人民共和国政府采购法》第二十二条第一款的条件。
6.未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。
7.投标人必须具备中国网络安全审查技术与认证中心颁发的安全服务资质应急处理服务证书,或者中国信息安全测评中心颁发的信息安全服务(安全工程类)资质证书。
注:“信用中国”、“中国政府采购网”以及“深圳市政府采购监管网”为供应商信用信息的查询渠道。
按《政府采购促进中小企业发展管理办法》(财库〔2020〕46号)、《财政部 司法部关于政府采购支持监狱企业发展有关问题的通知》(财库〔2014〕68号)和《三部门联合发布关于促进残疾人就业政府采购政策的通知》(财库〔2017〕141号)的有关规定执行。
六、重要提示
1.报价单内容按照统一模板填写(详看附件)。
2.供应商报价为市场摸底,最终采购方式由采购人负责解释。
3.本公告期限:符合资格的供应商应当在2024年5月23日上午9:00至2024年5月29日下午6:00期间将报价单发送至以下邮箱:
深圳市深汕特别合作区智慧城市建设管理服务中心招采:zjzx@szss.gov.cn
深圳市深汕特别合作区智慧城市建设管理服务中心财务:zjzx_zhglb_cw@szss.gov.cn
(5个工作日,公布当天不算)
4.采购人有权对中标供应商就本项目资格条款要求提供的相关证明资料(原件)进行审查。供应商提供虚假资料被查实的,则可能面临被取消本项目报价资格、列入不良行为记录名单、三年内禁止参与本区政府采购活动的风险。
5.本询价公告及本项目招标文件所涉及的时间一律为北京时间。报价单位有义务在询价期间https://www.sszbdl.com/,在深圳市深汕交易有限公司官网上公布的与本项目有关的信息视为已送达各报价人。
七、联系方式
1.采购单位
单位名称:深圳市深汕特别合作区智慧城市建设管理服务中心
详细地址: 深圳市深汕特别合作区管委会文贞楼2栋2楼
项目联系人:刘工
联系方式:15521176790