网络安全运维服务(jj2025000070)延期公告
· 2025-06-29
由于该项目报价供应商数量不满足要求,本项目延期至2025-07-02 12:00
| 项目名称 | 网络安全运维服务 | 项目编号 | JJ2025000070 |
|---|---|---|---|
| 公告开始日期 | 2025-06-26 09:36:29 | 公告截止日期 | 2025-07-02 12:00:00 |
| 采购单位 | 福州大学 | 付款方式 | 合同签订后,甲方向乙方支付50%货款,服务完成后,甲方向乙方支付50%货款。 |
| 联系人 | 联系电话 | ||
| 签约时间要求 | 成交后30个工作日内 | 到货时间要求 | |
| 预算总价 | 450000.0 | ||
| 收货地址 | |||
| 供应商资质要求 | 符合《政府采购法》第二十二条规定的供应商基本条件 |
采购清单
| 采购商品 | 采购数量 | 计量单位 | 所属分类 |
|---|---|---|---|
| 网络安全运维服务 | 1 | 项 | 安全运维服务 |
| 品牌 | |
|---|---|
| 型号 | |
| 技术参数及配置要求 | 一、等级保护咨询与测评服务。根据国家、地方及行业的等级保护相关政策和标准要求,针对等级保护对象的具体情况进行评估,完成≥4个三级(共5次)、6个二级(共6次)信息系统的风险分析、差距分析、整改加固、安全管理制度完善以及测评现场辅助等工作,以配合通过网络安全等级保护测评。提供包括但不限于:(1)等保资产分析服务依据等级保护范围内的资产组成,整理各个系统的网络结构拓扑及相关联的资产,梳理形成信息系统资产清单。同时对服务范围内信息系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度进行全面梳理。(2)等保差距评估服务?按照《GB/T22239-2019信息安全技术网络安全等级保护基本要求》,将定级信息系统等级保护的各项基本要求与信息安全现状进行对比分析,从管理和技术两个层面找出存在的问题,并开展差距评估。?(3)等保安全评估服务?对应用系统常见威胁进行评估,同时根据等级保护要求,结合信息系统的具体情况,协助开展等级保护安全测试评估工作。?(4)安全整改加固服务?依据等级保护基本要求以及风险分析结果,专业工程师对安全整改加固工作进行辅导,确保满足等保要求。?(5)管理制度建设服务?对网络安全管理制度进行优化,按照等级保护管理部分的标准,补充及完善等级保护要求的管理体系建设中涉及的制度文档,以及相关记录的完善工作。?(6)等保复测评服务?在测评阶段,配合开展等级测评有关工作,组织测评整改,辅助学校顺利通过等保测评并获得测评报告。(7)等级保护测评服务按照《信息安全等级保护管理办法》《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)、《信息安全技术网络安全等级保护测评过程指南》(GB/T22240-2019)、《信息安全技术网络安全保护等级实施指南》(GB/T25058-2019)的要求,完成对等级保护服务范围内提供≥4个三级(共5次)、6个二级(共6次)的系统等保测评。测评包括但不限于:(1)安全物理环境?:涵盖物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。?(2)安全通信网络?:包括网络架构、通信传输、可信验证等方面。?(3)安全区域边界?:涉及边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等方面。?(4)安全计算环境?:包含身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面。?(5)安全管理中心?:包括系统管理、审计管理、安全管理、集中管控等方面。?(6)安全管理制度?:涵盖安全策略、管理制度、制定和发布、评审和修订等方面。?(7)安全管理机构?:包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等方面。?(8)安全管理人员?:涉及人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等方面。?(9)安全建设管理?:包括定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等方面。?(10)安全运维管理?:涵盖环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安全事件处置、应急预案管理、外包运维管理等方面。? 交付成果包括但不限于《信息安全等级保护等级测评报告》,且测评报告的内容及格式严格遵照《信息系统安全等级测评报告模版》。二、渗透测试服务。在服务期限内,按需提供渗透测试服务,服务对象≥15个应用系统。安排安全攻防专家针对目标系统开展黑客模拟攻击渗透测试服务,全面检测被测系统的安全性。1、渗透测试内容?渗透测试应至少包括但不限于WEB应用系统渗透、主机操作系统渗透、数据库系统渗透。?2、渗透测试方法?渗透测试方法需模拟黑客入侵思路与技术手段,以人工渗透为主,工具为辅。工具包括但不局限于信息收集工具、扫描工具、口令猜测工具、脚本测试工具等。?3、渗透测试项目?渗透测试项目包括但不局限于配置管理、身份鉴别、认证授权、会话管理、输入验证错误处理、业务逻辑等。?4、渗透测试具体方式?渗透测试方法包括但不局限于信息收集、端口扫描、公网登录口的口令猜测、远程溢出、本地溢出、脚本测试、目标系统权限获取等。测试服务方式需包括但不限于现场测试与远程测试、黑盒与白盒测试。?5、服务成果交付?服务结束后需编写渗透测试报告并提交给学校,报告需对业务系统中存在的安全隐患以及专业的漏洞风险提供专业的处置建议。报告内容应包括但不限于信息系统整体安全状况综述、具体发现的漏洞、漏洞危险程度、修复建议等。待系统修复漏洞后,对渗透测试中发现的问题进行复测,以确认漏洞得到修复。三、上线测试服务。针对≥15个新上线业务系统开展安全检测,最终交付以实际新上线系统数量为准,将风险控制在系统上线前,助力学校强化安全体系建设,提升整体安全防护能力。上线测试覆盖配置管理、身份认证、会话管理、授权测试、上传下载、信息泄漏、数据存储等功能模块,同时涵盖XSS跨站脚本攻击、SQL注入等OWASP十大漏洞检测,并提交上线测试报告。具体服务内容包括但不限于:(1)配置管理测试主要针对以下方面开展测试:敏感目录遍历检测、敏感接口安全性测试、通过Robots方式查找敏感接口、Web服务器控制台访问控制测试、文件备份完整性与安全性测试、HTTP方法合规性测试(如PUT、DELETE等方法的滥用风险)、历史高危漏洞复现测试(如Struts2漏洞、Heartbleed等)等(2)认证测试。重点测试内容包括:登录验证码有效性与防暴力破解机制、认证错误提示的信息安全性(避免泄露账户状态)、账户锁定策略(如多次错误登录后的锁定规则)、认证绕过漏洞检测(如会话固定、弱口令绕过等)、找回密码与修改密码流程的安全性、数据传输加密机制(如HTTPS协议应用、敏感信息加密)、强口令策略执行情况(密码复杂度要求、有效期等)、手机验证码防重放与频率限制、撞库攻击防护能力测试、接口滥用防护(如短信接口、登录接口的频次控制)等(3)会话管理测试。覆盖:、会话变量泄露风险检测(如URL、日志中的会话ID暴露)、Cookie属性安全性测试(HttpOnly、Secure、SameSite等属性配置)、Cookie存储方式合规性(是否明文存储敏感信息)、学校注销登录的完整性(会话信息是否完全失效)、注销时会话信息清理彻底性测试、会话超时时间合理性验证(如非活跃状态下的自动登出)、会话固定漏洞测试(登录前后会话ID是否更新)等。(4)授权测试。主要检测以下风险场景:授权模式绕过漏洞(如未授权访问关键功能)、横向越权测试(相同权限学校间的数据访问越权)、纵向越权测试(低权限学校获取高权限操作能力)、管理后台对外网暴露风险检测、后台页面未授权访问漏洞扫描、中间件未授权访问漏洞(如Tomcat、Weblogic管理控制台)等。(5)文件上传下载测试。测试内容包括:HTTPPUT/MOVE方法的文件上传安全性(如任意文件上传漏洞)、页面上传功能的文件类型限制、大小限制及恶意代码检测、文件下载功能的路径遍历风险测试(如下载任意文件漏洞)等。(6)信息泄露测试。重点检测:连接数据库的账号密码加密存储情况、学校端源代码中的敏感信息暴露(如API密钥、配置信息)、源代码注释中的敏感信息残留、数据存储安全性(如明文存储身份证号、银行卡号等)、注册手机号批量获取漏洞(如接口未做频率限制)、Json数据中的敏感信息暴露风险等。(7)数据验证测试。主要针对以下漏洞类型开展检测:跨站脚本类漏洞(XSS):反射型、存储型、DOM型、SQL注入类漏洞:数字型、字符型、盲注等场景、命令执行漏洞:操作系统命令注入、代码注入风险等。 本项目的安全服务商具备漏洞挖掘与整改能力,具备国家信息安全漏洞共享平台(CNVD)技术组、用户组认证,投标时提供国家信息安全漏洞共享平台官网的查询结果。服务成果交付。测试完成后提交《新上线业务系统安全测试报告》,内容包括:系统整体安全状况评估、各测试模块发现的漏洞详情(含漏洞类型、危害等级)、专业修复建议与风险处置方案。四、安全巡检服务。在服务期限内,每季度提供一次网络安全巡检服务,安全巡检服务对象不少于10个业务系统及其支撑的基础网络设备。通过开展资产评估、入侵清查、漏洞扫描、策略有效性核查、辅助加固等工作,全面排查安全隐患,服务结束后输出专业报告。?(1)资产评估服务?。对服务对象的业务系统、网络结构、信息资产等进行全面识别,根据资产的表现形式对资产进行科学分类和深入分析,明确资产的重要性和安全防护重点。?(2)入侵清查服务?。网页木马查杀:深入检查上传图片、文本、脚本以及其他可疑的网站后门程序,彻底清除潜在的网页木马威胁。?系统后门检查:重点发现并清除绕过杀毒软件的系统后门,确保系统核心安全。?入侵痕迹检查:对账号、启动项、进程、网络连接等进行细致检查,保证应用系统所属基础运行环境的安全,杜绝黑客利用隐藏方式躲避检查的安全隐患。?日志分析:通过对系统层日志、安全日志、应用层日志以及其他特征的深入分析,精准发现网站入侵痕迹。?(3)漏洞扫描服务?。借助安全漏洞挖掘工具和在线检测平台等多种方式,全面测试和识别当前网络中的安全漏洞和存在的安全脆弱性,全方位检测网络中的各类脆弱性风险,并提供专业、有效的安全分析和 |
尊贵的用户您好,以上正文后半部分为隐藏内容,完整详情请咨询客服:18995537323(同微信)
文章推荐:
上海市公安局杨浦分局行业专网扩建及派出所有线通信平台升级项目的公开招标公告
海购科技会员购及跨境购客服外包项目/中江表妹手工空心挂面5518品牌线上营销服务/山东高速信息集团有限公司某企业软件开发谈判采购
更多商机查看,下载保标APP
扫码关注小程序,获取商机更容易
