一、项目名称:网络安全服务
二、项目编号:F2023055
三、采购人:苏州大学乐动体育LDSPORTS(中国)官方网站
地址:江苏省苏州市东环路50号凌云楼0904室
邮编:215021 传真:0512-67165076
联系人:罗老师 电话:0512-67504198,67504359
电子邮箱:lrb998@suda.edu.cn
技术联系人:宋老师 电话:13338652489
电子邮箱:songf@suda.edu.cn
四、采购服务要求
网络安全服务
(一)资产测绘梳理
1.服务内容
1.1针对全校网站及业务系统进行信息化梳理工作。
1.2统计梳理内容包括但不限于:业务类型、服务器IP、域名、系统版本、中间件版本、数据库版本、开发语言等。
1.3自动识别开放端口,协议。
1.4形成信息资产台账。
1.5提供互联网资产发现:支持通过域名、关键字、邮箱名称等信息在互联网上对用户资产进行全方位探测。
1.6提供敏感信息泄露情报服务。
2.服务要求
2.1检测范围:苏州大学所有网站及业务系统;全部内网服务器网段。
2.2服务频率:每季度至少一次。
2.3交付物:《信息资产清单》。
(二)信息资产实时安全监测
1.服务内容
1.1提供两套以上专业的网站安全监控平台,包括但不限于:本地化网站监测系统,面向互联网侧网站监测分析平台,对苏州大学基于B/S架构的业务系统进行7*24小时监控,包括但不限于网站、软件系统、APP等。监测到攻击或安全隐患等异常情况,及时分析研判,并提供告警服务,对网站存在的脆弱性进行扫描监测,包括但不限于SQL注入漏洞、跨站脚本漏洞、开放服务漏洞、敏感信息泄露、暗链外链、弱口令、个人隐私采集违规、第三方应用安全漏洞、服务有效性监控等,每月提供网站安全监测统计报表及本月校内网络安全情况,形成整体安全监测情况报告。
1.2对校方内部服务器、网络设备、数据库等进行7*24小时安全监测及漏洞扫描,防范包括但不限于主机操作系统漏洞、数据库漏洞、逻辑缺陷、后门、系统弱口令、信息泄露等,对发现的安全漏洞及时提交整改报告并协助整改。
1.3针对漏洞扫描中发现的安全漏洞和配置缺陷,根据整改建议对存在的问题协助校方整改完成后,立即进行漏洞复测,以确保漏洞已经修复。服务周期内提供7*24小时服务,发现的安全漏洞在24小时内解决并完成复测。
2.服务要求
2.1监测范围:苏州大学大学各类网站及业务系统,数量不少于500个。
2.2需在苏州大学网络内部署用于实时安全监测的产品,确保校方可在平台上实时查看被监测资产情况。
2.3交付物:《网络安全月报》和《漏洞报告》。
(三)风险评估
1.服务内容
1.1服务人员应使用商用成熟型漏洞扫描工具苏州大学重点网站及业务系统等进行安全风险评估,对重点网站及应用系统的检查与扫描,通过工具及人工的方式对苏州大学全校网络与信息系统进行漏洞扫描、风险评估,发现存在的安全风险,提供人工完成的风险评估报告及加固解决方案,协助苏州大学消除安全风险,风险评估报告需同时参考本校已有漏扫设备的扫描结果,进行交叉比对与分析。漏洞复测:针对提交的漏洞报告整改情况进行跟踪,复测校方整改情况,确保漏洞被封堵。
1.2每月按照学校要求的时间节点提供安全风险评估报告,包括但不限于各个网段的安全威胁情况、各个部门及学院的安全威胁情况、每月复测修复情况、历史各月的风险评估对比情况等,提交学校网络安全领导小组。
2.服务要求
2.1检测范围:苏州大学重点网站及业务系统,数量不少于500个。
2.2服务频率:每月至少一次。
2.3交付物:《漏洞报告》。
(四)安全加固类
1.服务内容
1.1针对安全检测评估类服务所披露的安全风险,提供专业的安全加固建议,并全程参与加固的实施过程,确保加固工作可以平稳有效的进行。
1.2对学校发现的所有漏洞提交的漏洞报告,协助相关单位进行整改,并形成漏洞追踪表,定期复测对整改情况进行跟踪,复测学校整改情况,确保漏洞被封堵。
1.3使用安全基线,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。
2.服务要求
2.1针对存在问题的网站及信息系统,提供整改建议与分析报告,并提供问题咨询与技术支持。
2.2根据学校要求完成或协助完成整改工作。
(五)安全培训
1.服务内容
1.1通过专业的培训团队,为学校在职人员、信息化人员提供信息安全意识、信息安全技能、信息安全管理等多方面的安全培训服务。
1.2培训内容包括:安全意识培训、网络安全基础产品培训、运维安全培训、攻防技术培训等。
2.服务要求
2.1培训次数:不少于2次
2.2交付物:要求供应商使用自研的信息安全意识培训教材包、信息安全意识培训素材包、安全意识验证教材包。培训相关PPT、视频等。
(六)安全设备运维和安全事件处置
1.服务内容
1.1对学校安全设备进行托管运维,设备巡检、安全监控、安全配置优化、安全培训、安全加固和风险评估等,对校方包括但不限于防火墙、WAF、APT、堡垒机、智能DNS、日志审计管理系统等网络及安全设备、系统进行日常运维,定期针对设备进行升级操作,并对设备日志进行分析研判,将高威胁风险统计并形成报告提交给校方。
1.2服务周期内根据学校情况及时更新。
2.服务要求
2.1服务频率:每周至少一次。
2.2交付物:《网络安全设备巡检报告》。
(七)渗透测试
1.服务内容
1.1对校方现有重点或新上线网络信息业务系统通过进行模拟攻击的形式进行渗透测试,主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误以及其他专项内容等。
1.2服务周期内需对不少于20个网络信息业务系统进行渗透测试,渗透结束后要求生成相关报告并提供修复建议。报告内容需包含原因分析、安全威胁修复建议以及校方要求的其他内容等。对可能存在的安全漏洞情况协助校方进行修复,修复完成后进行复测,确保漏洞被封堵。
2.服务要求
2.1服务频率:不少于20次。
2.2检查项不少于40类。
2.3交付物:《渗透测试报告及修复建议》。
(八)应急响应
1.服务内容
1.1提供7*24小时安全应急响应服务,建立完善的应急响应流程。如发生紧急网络安全事件,启动应急响应预案,立即采取临时断网、关闭事件所涉及网络信息业务等技术手段处理相关安全事件。
1.2派遣安全专家前往现场进行应急响应工作,并在十分钟内响应,一小时内到达现场开展工作,两小时内提出解决方案,查找攻击来源,定位攻击者所利用的漏洞,查杀服务器操作系统中发现的病毒或木马,将事件影响降低到最低。处理完毕后出具处置报告。
2.服务要求
2.1提供7*24小时安全应急响应服务。
2.2服务频率:一年不少于4次应急响应服务工作。
2.3交付物:《应急响应流程》《安全事件应急响应处置报告》。
(九)重保服务
1.服务内容
1.1针对教育部、省教育网信办、公安部门等上级管理部门组织的网络安全攻防演习、专项网络安全检查,以及重要时期及校方重大活动等时期,根据校方现有网络信息业务、内部服务器、网络设备、数据库的安全现状,结合业界主流的网络攻击手法,分析系统可能遭受的攻击行为及其影响范围、严重程度,提前制定对应的重要时期安全保障应急预案。并以临时调整驻场服务时间、派遣高级安全服务人员进行现场或远程技术支持等方式为校方提供专项网络及信息安全保障服务。
1.2如网络信息业务、内部服务器、网络设备、数据库遭受攻击时,安全服务人员应根据应急响应预案,根据流程进行快速响应,对入侵事件进行检测、抑制、处理,查找入侵来源并恢复系统正常运行。处理完毕后出具处置报告。
2.服务要求
2.1提供重大时期保障服务,如校方要求可安排人员驻校服务。
2.2服务频率:根据上级部门及学校要求进行调整。
2.3交付物:《重要时期安全保障应急预案》。
(十)网站云防护服务
1.服务内容
1.1针对苏州大学中、英文官方网站两套一级域名站点基于云化SaaS架构,提供网站云防护能力,无需消耗本地物理资源,通过云端服务平台完成站点管理,提供Web安全防护、入侵防护、防扫描、CC攻击防护、一键关停、永久在线、安全防护报告、安全可视等能力。
1.2提供访问与攻击原始日志离线下载能力,可按天进行下载。原始日志包含访问IP、访问时间、URL、返回码、访问域名等信息。攻击日志至少保存6个月。
2.服务要求
2.1提供苏州大学中、英文官方网站两套一级域名站点级防护。
2.2交付物:每月一份网站云防护报告。
(十一)其他:协助校方完成其它网络安全服务工作。
(十二)服务期限:1年(从合同签订之日起)。
五、评分标准:
本次磋商采用综合评分法,总分为100分,具体内容如下:
1.服务方案和防护能力(38分)
1.1 整体服务方案(12分)。要求结合采购人实际情况及行业特点,规划设计学校系统的资产测绘梳理、信息资产实时安全监测服务、风险评估服务、安全加固类服务、安全培训、安全设备运维和安全事件处置、渗透测试及处置、网站云防护、重要时期保障及应急响应服务等各阶段服务方案。方案内容齐全、结构完整,具有很好的科学性和合理性,可操作性强的得12分;方案基本齐全、结构基本完整,科学性、合理性和可操作性有欠缺的得8分;方案内容有缺失、结构不够完整,缺乏科学性和合理性,可操作性较差的得3分;不提供不得分。
1.2项目实施方案(10分)。根据采购人实际情况,规划设计项目实施方案(包括进度安排合理性、组织架构、人员安排、工具配备、项目管理、风险防范等)。方案内容齐全、结构完整,具有很好的科学性和合理性,可操作性强的得10分;方案基本齐全、结构基本完整,科学性、合理性和可操作性有欠缺的得7分;方案内容有缺失、结构不够完整,缺乏科学性和合理性,可操作性较差的得3分;未提供得0分。
1.3安全服务培训方案(6分)。提供安全威胁分析、安全防护措施、安全管理类培训方案,方案内容完全符合采购人实际需求的得6分;方案内容较符合采购人需求的得4分;方案内容符合程度一般的得2分;不提供不得分。
1.4关键网站防护能力(10分)。
(1)关键网站防护服务所使用平台应通过国家信息安全等级保护三级要求,具备自主知识产权,相关威胁检测、漏洞防护能力应与国家信息安全漏洞库相兼容,并取得相关兼容性资质,提供相关证明材料,每提供一个得1分,最高3分,未提供不得分。
(2)防护平台厂商需紧跟国家网络与信息安全前沿,具有通报技术支持能力,防护平台厂商为国家网络与信息安全信息通报中心技术支持单位的得2分,未提供不得分。
(3)防护平台需支持通过微信公众号查看防护网站整体防护态势,通过微信公众号完成防护配置,包括一键关停、防护模式等功能,得2分,需提供相关截图证明材料。
(4)防护平台无需在网站前端安装任何安全设备、软件,通过DNS指向进行安全防护,全国范围内具备不少于50个防护节点,具备近源侧本地化节点,同时满足的得3分,满足一项的得1分,需提供相关证明材料,未提供不得分。
2.价格分(20分)
2.1评标基准价:满足磋商文件要求且价格最低的报价为评标基准价,评标基准价为满分20分。
2.2其他报价供应商的报价得分按照下列公式计算:报价得分=(评标基准价/报价)×20分。
3.综合商务(42分)
3.1 供应商企业实力(16分)。
(1)供应商具有中国网络安全审查技术与认证中心颁发的有效期内信息安全服务资质证书,安全运维服务一级得2分,安全运维服务二级得1分,没有的不得分。本项满分2分。
(2)供应商具有重大漏洞和重要安全事件的发现、分析、处置能力,具备国家信息安全漏洞库技术支撑单位一级得2分,技术支撑单位二级得1分,没有的不得分。本项满分2分。(3)供应商具有中国信息安全测评中心颁发的信息安全服务资质证书,安全工程类三级得4分,具有安全工程类二级得2分;具有安全工程类一级得1分,没有不得分(提供证书复印件并加盖公章)。
(4)供应商具有完善的知识产权管理体系,提供CNCA国家认证认可监督委员认可的企业知识产权管理体系认证证书,提供证明材料复印件得2分,没有不得分(提供证书复印件并加盖公章)。
(5)供应商具有中国信息安全测评中心颁发的信息安全服务资质证书,风险评估类二级得2分,风险评估类一级得1分,没有不得分(提供证书复印件并加盖公章)。
(6)供应商提供安全服务能力应具有高度可靠的技术成熟度,市场认可度,近三年IDC、Gartner等知名咨询机构市场份额调研前三名得2分,没有不得分(提供证书复印件并加盖公章)。
(7)供应商需具有本地化服务能力,承诺10分钟响应,1小时到达现场开展工作的得2分(提供承诺书并加盖公章)。
3.2人员配备要求(11分)。
(1)项目经理同时具有CISA、CISSP、PMP、CISAW、ISO 27001Foundation证书的得满分5分,每少一个证书减1分,未提供的不得分(提供有效证书复印件,加盖公章)。
(2)除项目经理外,项目组其他成员具有应急响应工程师认证证书(CSERE)的,每有一位项目组成员满足,得2分,最高得6分,没有不得分(提供有效证书复印件,加盖公章)。
以上所有涉及人员须提供社保机构出具的近三个月来的供应商为其缴纳的社会保险证明材料原件(有社保中心参保缴费证明电子专用章的社保材料可视为原件)。
3.3 案例情况(10分)。2020年以来,每提供一份同类型重点院校或教育行业监管机构安全服务案例得1分,最高得10分,没有不得分(提供合同复印件并加盖公章)
3.4 其他优惠措施(5分)。根据是否提供磋商文件要求范围以外,磋商小组认可的具体而实在的优惠措施等综合评定。
六、供应商的报价应包括为完成本项目所发生的一切费用。
七、供应商资质要求
(一)在中国注册,具有独立法人资格;
(二)本项目不接受联合体报价。
(三)具有履行合同所必须的全部专业技术能力和必需的设备。
(四)具有良好的商业信誉,近五年内在经营活动中无违法违纪违规情况。
八、磋商响应文件的组成
(一)磋商响应文件一般由下列材料组成(部分表格样式见附件1,复印件须加盖响应单位公章,所有材料须按序装订成册):
1.目录(响应资料与页码对照表)。
2.磋商响应函、报价情况一览表、响应竞争性磋商公告基本情况。
3.公司简介(包括资质、业绩、获得的荣誉等)。
4.资格证明材料
(1)营业执照、税务登记证以及组织机构代码证(复印件)。
(2)法定代表人授权书(原件)。
(3)法定代表人身份证明材料(如身份证、护照等,复印件)。
(4)法人授权代表身份证明材料(如身份证、护照等)及响应单位为其缴纳社保的证明材料(复印件)。
(5)近三年内在经营活动中没有重大违法记录承诺函(原件)。
5.综合服务方案,包括人员配备、培训方案、质量监控、资源配备等。
6.服务承诺。
7.综合实力证明材料。
8.服务业绩证明材料。
9.增值服务方案。
10.响应单位认为应该提供的其他材料。
(二)特别说明
1. “磋商响应文件”应装订和密封,并加盖响应单位公章。
2.正本一份,副本三份,如副本与正本有出入,以正本为准。
九、磋商文件价格:人民币500元(相关缴纳事宜详见附件2),售后不退。
十、报名:服务商在报名前,须认真阅读本磋商公告,完全了解并接受其所有条款及要求,并在2023年9月7日12:00前将报名函(格式见附件3)发送邮件至lrb998@suda.edu.cn。
十一、磋商响应文件递交方式
(一)顺丰快递邮寄(建议优先采用)
1.时间:2023年9月12日9:00前寄达;
2.收件人信息:
收件人:招标中心罗老师(可请门卫代收)
联系方式:13656209516
收件地址:江苏省苏州市东环路50号凌云楼906室(招标中心)
(二)现场递交方式
1.递交时间:2023年9月12日8:30~9:00
2.递交地点:江苏省苏州市东环路50号苏州大学东校区东大门
十二、递交磋商文件截止时间:2023年9月12日9:00。
十三、磋商时间:2023年9月12日9:00。
