订阅|手机门户

此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

福建省人民政府侨务办公室关于采购 “福建侨网”安全服务项目的招标公告

发布时间:2017-04-20 点击数: 字号:T | T

 一、项目名称:“福建侨网”安全服务项目招标

二、服务范围:“福建侨网”http://www.fjqw.gov.cn

三、服务时间:合同签订起一年

四、服务内容

一、安全检测服务

为用户系统提供全方位的安全漏洞及安全隐患检查,从攻击者视角审查用户系统的脆弱性状况,包括网络漏洞、应用漏洞、系统漏洞和数据库漏洞。

1Web漏洞自动化扫描:通过使用自动化安全漏洞挖掘工具和在线检测平台,以基于互联网远程检测的方式,来测试和识别网站当前的安全漏洞和存在的安全脆弱性,使用户全面了解和掌控其网站的安全状况。

每季度向用户提交《网站安全检测报告》

2Web应用漏洞验证及加固建议:对已经发现的安全问题进行人工验证,以判断网站当前的漏洞是否真实,剔除误报干扰。提供专业的安全加固措施建议,帮助用户解决当前网站存在的安全问题。

3、系统层漏洞检测:结合工具检测和人工安全审查方式来识别网站服务器系统中的漏洞和安全性问题。(1)工具检测主要针对系统的补丁、服务的开放性及安全研究机构发现的系统问题等;(2)人工安全审查主要针对系统管理方面和安全加强方面的问题,用于识别由于系统管理员本身的管理不善而带来的安全性问题。

4、数据库安全性评估:结合工具检测和人工安全审查方式来挖掘数据库系统的漏洞和安全性问题,主要评估系统安全漏洞、安全配置不正确带来的安全威胁以及由于系统账号、权限等配置不严谨而产生的安全风险。帮助用户及时发现数据库系统存在的风险,避免敏感信息泄漏。

二、服务器入侵检查

深入网站前后台服务器,展开服务器入侵人工稽查服务。

网页木马查杀:网站源代码进行Webshell查杀,深入检查包括上传图片、文本、脚本以及其他可疑的网站后门程序。

每季度向用户提交《网站安全检测报告》

系统后门检查:网站被入侵潜伏后,通常存在隐藏比较深的系统后门(Rootkit),重点发现绕过杀毒软件的系统后门。

入侵痕迹检查:根据系统层日志、安全日志、应用层日志以及其他特征发现网站入侵痕迹,避免黑客使用隐藏账户等躲避检查的安全隐患。

三、安全加固服务

根据安全检测服务结果,提供现场网站源代码加固辅导、服务器系统加固、数据库加固服务,提升系统整体安全性。

1web源代码安全加固建议:对网站提供通过对源代码层级的加固建议,可有效防范危险字符提交、权限绕过、允许上传、远程包含等漏洞,并可以有效修复如SQL注入漏洞、XSS跨站漏洞、恶意代码上传漏洞、Cookie注入漏洞及网页Webshell等类型漏洞。

每季度向用户提供《网站安全加固报告》

2windows系统加固:解决在检测中发现的windows系统的安全问题,包括系统的进程、服务的开放性及安全研究机构发现的系统问题等,提高windows系统的整体安全性能。同时也包括防病毒的加强、系统安全策略的加强等。

3、数据库安全性加固:修复数据库系统本身存在的安全漏洞、纠正数据库系统使用中构成安全威胁的错误策略、加强数据库系统账号、权限等带有安全风险的配置,从整体上提升数据库系统的安全性。

四、代码类服务

提供代码走查服务、代码审计服务,一年一次。

安全代码走查服务:从软件代码层面根本性地解决软件安全问题,能够极大程度地确保网站被黑客入侵或数据库泄漏事件的发生;代码走查工作根据国家和国际上对于应用安全方面的相关要求,开展业务应用安全代码走查服务。

每季度向用户提供《网站安全加固报告》

代码审计服务:提供代码审计服务,采用白盒方式,扫描源代码存在的安全漏洞,深度挖掘源代码存在的安全漏洞。

应用代码安全加固辅导服务:根据安全测试服务结果,提供应用系统安全加固辅导,提升应用系统的整体安全性。

五、安全远程监控服务

提供7×24小时的远程安全监控服务,监控服务不需要改变用户环境和配置。监控基本内容包括网站可用性、响应时间,增强内容包括网页挂马监控等。

1网站页面可用性监控:13657*24小时,每隔5分钟对网站进行轮询探测,网站访问不到则预警。

每季度向用户提供

《网站安全监控报告》

2、域名劫持监控:13657×24小时,每隔5分钟监测DNS的劫持行为。

3、暗链检测监控:1365天每周1监测网站被植入暗链的行为。

4远程网页挂马监测服务:1365天每周1次对网站进行挂马探测。

六、云应用(网站)入侵感知监控服务

实现7*24小时监控,实现网站的入侵感知。

通过网站系统服务器中部署云应用入侵感知监控系统,实现云主机黑客入侵痕迹监控,实现黑客攻击过程的实时发现和预警。实现7*24小时监控。

每季度向用户提供

《入侵感知监控报告》

黑客入侵痕迹监测,黑客入侵过程中,将会采用修改系统账号,创建敏感文件,植入Rootkit后门等行为,安全服务必须提供黑客入侵痕迹实时监控服务,以及时发现黑客攻击行为。例如,隐藏账号是黑客控制服务器后常见的手段,而且一般系统管理员非常难以发现,入侵痕迹监测应该实时监控系统是否存在“隐藏账号”的痕迹。

配置变更监控,实现云主机安全配置核查和变更状态监控。关键服务器的安全配置一旦发生变化,意味着系统面临被攻击的风险。安全服务商应该对关键服务器建立安全基线,并实时监测配置变更情况,对于可能的安全入侵行为进行告警。

七、远程安全巡检

每季度一次的远程安全巡检服务,内容包括远程漏洞扫描和人工测试,验证网络从互联网视角来看,是否开放了多余的应用服务和端口,是否存在可攻击的漏洞,以及漏洞的位置和原因分析。

1、外网漏洞扫描:从远程对目标网络进行漏洞扫描。

每季度向用户提供

《网站远程安全巡检报告》

2、应用漏洞评估:从远处对目标应用系统进行漏洞扫描。

八、现场安全巡检

每季度一次的现场安全巡检服务,全面检查服务器及网络的运行状况和安全状况,从结构安全、安全配置、日志审查、安全策略等方面进行巡检。

1、服务器入侵核查:在本地登录到服务器,对服务器配置进行防入侵核查。

每季度向用户提供

《网站安全现场巡检报告》

2、攻击行为审计分析:对系统及网站日志进行分析,发现攻击行为,并进行预警。

九、安全咨询与应急响应服务

为安全事件、安全咨询、紧急状况提供技术响应支持,提供临时处置办法,分析事故原因,提供解决措施。

1、全年远程安全咨询:故障时能立即以电话咨询或远程维护方式建立联系,给予技术协助,远程咨询提供5×8小时服务支持;

每季度向用户提供

《网站安全应急响应报告》

2、全年网站应急响应服务:在遇到黑客入侵等紧急情况时,启动紧急响应服务程序,指派专人进行紧急响应,使安全事故的影响和损失降低到最小程度,并追查原因,提供解决方案并协助解决问题。

十、等级保护安全咨询服务

提供等级保护服务,使网站系统维持在等保三级的安全状态。

提供等保差距分析服务、等保安全加固服务、策略复查服务、管理制度辅助建设服务、等保测评现场辅助服务。

备注:涉及等保整改须采购的硬件设备以及对于设备类的维保等服务费用另行计算。

 

五、投标条件

1、凡有能力提供本招标公告所述网络安全服务内容的,具有法人资格的境内供应商均可能成为合格的投标人或投标人所投服务厂商。

2、投标人或投标人所投服务厂商应符合《中华人民共和国政府采购法》第二十二条规定条件及投标人或投标人所投服务厂商须知第3条“合格的投标人或投标人所投服务厂商”规定条件。

3、本项目不接受联合体投标。

六、投标资料

1法定代表人授权书原件及法定代表人、投标人身份证复印件(投标代表是法定代表人无需授权书)

2、企业法人营业执照副本复印件、税务登记证副本复印件、组织机构代码证复印件(若为三证合一的,可只提供有“统一社会信用代码”的法人营业执照副本复印件);

3、近期投标人或投标人所投服务厂商财务状况报告,依法缴纳税收和社会保障资金的相关材料【释义:①财务状况报告:提供企业出具的财务报表(利润表、资产负债表、现金流量表)或审计出具的财务报告;②依法缴纳税收:提供银行缴税付款凭证复印件或提供税务部门出具的缴税证明;③社会保障资金:提供网上申报成功后社会保险费申报表或社会保险费申报明细表或银行出具的缴款收讫凭证复印件或社保机构出具的缴纳社会保险费证明】;

4、具备履行合同所必需的设备和专业技术能力的证明材料【释义:①具备履行合同所必需的设备:是指提供相关设备的购置发票;②具备专业技术能力:技术人员的职称证书或用工合同】;

5、根据《财政部关于在政府采购活动中查询及使用信用记录有关问题的通知》(财库【2016125号)有关规定,投标人或投标人所投服务厂商须提供参加政府采购活动前3年内在经营活动中无不良信用记录的书面声明,并同时提供通过“信用中国”网站(www.creditchina.gov.cn)、中国政府采购网(www.ccgp.gov.cn)信用信息查询无不良信用记录的打印件(或截图);

6、无行贿犯罪记录 (根据福建省检察院与福建省财政厅的闽检发〔20147号文件规定,投标人或投标人所投服务厂商须提供其住所地或业务发生地检察机关出具的有效的行贿犯罪档案查询结果告知函。原件须附在投标文件正本中,副本附复印件)

 7、投标人或投标人所投服务厂商须具有国家信息安全评测中心颁发的信息安全服务安全工程类二级及以上服务资质证书。

 8、投标人或投标人所投服务厂商须具有省级及以上(含省级)公安部门网络安全事件应急处置安全服务(含试点)单位的资质证书。

注:投标人或投标人所投服务厂商必须同时满足以上所有的资格要求并提供资料,所有提供的相关资质证明文件应属法定有效期内的,若发生变更的,应按有关规定办理完变更手续后方可参加投标,并以发证机关核准的变更为准,所有资格证明文件复印件应是清晰的,并提供经年检或年报的证明材料,加盖投标人或投标人所投服务厂商公章并注明“与原件一致”,否则按无效投标处理。

七、报名时间:201742108时至201742717时。

八、报名地点:福州市鼓楼区营迹路17号福建省人民政府侨务办公室2203

九、联系人:高先生 林女士

十、联系电话:0591-87812964

 

 

                  福建省人民政府侨务办公室

                        2017420

相关链接