根据《中华人民共和国政府采购法》,中国海峡人才市场对网络安全外包服务项目进行国内公开招标采购。现邀请合格的投标单位前来投标。
一、项目编号:H2017-003
二、招标项目:中国海峡人才市场网站安全服务
三、项目内容:见附件1:“服务内容与要求”。
四、预算控制价:控制价为限价80000元,超过最高限价的投标视为无效投标。报价包括服务、发票、运输、安装、搬运、保修等费用。
五、评标方式
满足参数及使用需求的情况下最低价中标
六、投标单位资格要求
1.符合《中华人民共和国政府采购法》第二十二条规定条件;
2.必须具备本次招标货物或服务的经营范围; 营业执照复印件及税务登记证复印件(或三证合一的营业执照复印件)(副本复印件加盖公章);
3. 经销商(代理商)资格证明,法人代表授权声明书。
4.★所投安全服务厂商需获得中国信息安全测评中心颁发的信息安全服务安全工程类二级及以上资质证书。(需提供相关材料复印件并加盖公章,原件备查)。
5.★所投安全服务厂商须具有省级及以上公安部门网络安全事件应急处置安全服务(含试点)单位的资质证书,同时具有省级及以上网安办聘用的网络与信息安全应急技术支撑单位资质证书。(需提供相关材料复印件并加盖公章,原件备查)。注:上述资料应是最新、有效、清晰的并加盖投标人公章,均须注明“与原件一致”原件备查。(★必备条件)
七、招标文件组成及要求
1.报价函;
2. 凡在中国境内注册具有独立法人资格,有能力提供招标货物及服务的企业均可能成为合格的投标单位。投标单位应提供合格有效的企业营业执照和税务登记证复印件(若三证合一的企业,仅需提供三证合一的营业执照复印件)并加盖投标单位公章。
投标单位须提供法定代表人身份证复印件及其授权书原件(投标人代表是法定代表人则为法定代表人有效身份证复印件),并提供投标人代表的身份证复印件(盖章)。
3.售后服务承诺
4.以上报价文件清单均需加盖公章,密封一份送至福建人才大厦7层702对面办公室(行政)(福州市东大路36号)。
八、投递投标文件时间
2017年5月16日-2017年5月22日
上午8:30-12:00,下午14:30-17:30
九、投标截止时间
2017年5月22日下午17:30
十、开标时间地点
1.开标时间另定。
2.开标地点:福建人才大厦8楼会议室。
十一、中标以电话方式通知。
十二、项目联系人
联系人:阮金华,联系电话:13960903707
地址:福建人才大厦702办公室
中国海峡人才市场办公室
2017年5月16日
附件1:服务内容及要求
(一 (一)项目服务范围:中国海峡人才市场网站安全服务范围如下:
(二 (二)项目服务周期
服务期限为一年,且于2017年6月15日前完成第一次全面安全检测服务。
(三 (三)项目服务内容
1. 安全检测服务
每半年定期对服务范围内目标系统进行全面检测Web应用程序的安全性(扫描所使用软、硬件由安全服务商提供),并安排专业攻防人员深度挖掘程序中存在的各种漏洞和所面临的威胁,如XSS跨站脚本攻击漏洞、SQL Injection注入漏洞、恶意代码上传漏洞、Cookie注入漏洞及网页挂马、网页暗链等。并在提交安全评估报告。
2. 服务器入侵清查服务
每半年定期对服务范围内的服务器进行入侵清查,登录到服务器进行入侵痕迹检查、后门检查、Rootkit检查。对网站源代码进行后门代码检查,发现源代码中的危险函数和Webshell脚本。
3. 安全加固服务
a) Web源代码审查及加固建议:发现网站存在高危漏洞,必须及时采取可行的源代码加固措施,从网站源代码层面,安排熟悉网站开发的安全工程师为网站源代码提供代码加固详细设计方案,必要时与中国海峡人才市场协商并获得同意后修改相关源代码;首次安全加固后,应进行漏洞复查和对比,以形成加固前后对比。
b) Windows系统加固:该加固服务针对windows的服务器系统。主要是通过对系统层漏洞检测结果的分析,对在检测中发现的windows系统的安全问题进行安全加固,提高windows系统的整体安全性能。
c) 数据库安全性加固:该服务针对数据库系统,主要内容为修复数据库系统本身的漏洞及加强数据库系统账号、密钥、权限等带有安全风险的配置,从而从整体上提升数据库系统的安全性。
4. 网站安全监控服务
a) 网站安全可用性监控:1年365天7*24小时,每隔5分钟一次对网站首页进行轮询探测,网站访问不到则通过邮件和短信等方式进行告警,确保网站的可用性、安全性实时掌控。
b) 敏感内容监控服务:每隔5分钟一次对网站首页进行轮询探测对关键网页的敏感内容进行监控,识别网站存在政治、低俗等敏感内容情况,并进行邮件和短信预警。
c) 每周一次采用远程监控方式对网站页面进行网页挂马分析,一旦识别到网页挂马行为,则进行邮件和短信预警。
d) 每周一次采用远程监控方式对网站页面进行暗链分析,一旦识别到网页存在暗链行为,则进行邮件和短信预警。
e) 每周一次针对关键网页进行OWASP Top10漏洞进行巡检,一旦发现高危漏洞,则进行邮件和短信预警。
f) 安全服务提供商每季度汇总安全监控情况,并提交详细监控报告。
5. 远程安全巡检服务
a) Web漏洞测试服务:每半年派遣工程师对网站web应用进行远程漏洞扫描,测试web应用安全漏洞问题。
b) 服务器远程安全测试:每半年派遣工程师对网站服务器进行远程端口等扫描,测试服务器对外的暴露程度。
c) 远程安全巡检报告:每半年派遣工程师针对远程安全巡检发现的问题提出加固建议和辅导服务,并提供远程安全巡检报告。
6. 现场安全巡检服务
每半年派遣工程师到现场进行安全巡检服务,内容如下:
a) 对服务器进行安全核查,对网站服务器进行网页木马、攻击行为、安全配置进行全面核查,发现高危漏洞,及时开展安全加固工作。
b) 对数据库服务器安全核查,对数据库帐号、权限、配置、审计等方面进行核查,及早发现数据库系统存在的风险,出具数据库服务器安全核查报告。
c) 对网站服务器系统及网站访问日志进行分析,发现攻击行为和安全威胁状况,提交网站威胁分析报告。
d) 根据系统层漏洞检测结果,提出漏洞加固办法和修补措施,包括系统的补丁、服务的开放性及安全研究机构发现的系统问题等,提高操作系统的整体安全级别。同时也包括防病毒的加强、系统安全策略的加强等。
e) 对数据库系统实施数据库安全加固,包括修复数据库系统本身存在的安全漏洞、纠正数据库系统使用中构成安全威胁的错误策略及加强数据库系统账号、密钥、权限等带有安全风险的配置,从而从整体上提升数据库系统的安全性。
f) 现场安全巡检报告:针对现场安全巡检发现的问题提出加固建议和辅导服务,并提供现场安全巡检报告。
7. 安全咨询与远程支持服务
故障时能立即以电话咨询或远程维护方式与承担服务单位联系,服务提供商应立即给予技术协助,提供7×24小时服务支持。
8. 安全紧急响应服务
遇到黑客攻击或网页篡改等恶性事件,并且远程支持无法解决时,要求2小时内到达现场,实施最有效的紧急救援及恢复补救方案。
(四 (四)安全服务人员和工具能力要求
1) 为保证安全服务实施质量,所投安全服务厂商投入本项目的项目经理应有具备较强的IT系统运维与管理能力(即应同时具有国家注册信息安全专业人员(CISP)认证工程师和项目管理协会认证的项目管理专业人士资格认证(PMP));(须提供证书复印件和最近3个月福建省内社保缴纳证明复印件)。
2) ★所投安全服务厂商具有1名Web安全专家认证证书(CWASP)的。(须提供证书复印件和最近3个月福建省内社保缴纳证明复印件)
3) ★所投安全服务厂商提供的服务工具能够对网站进行安全风险评估,评估网站的漏洞与脆弱性。服务工具应提供网站风险列表和漏洞信息等功能,并提供截图。
4) 所投安全服务厂商提供的代码走查工具(系统)能够对web源代码进行扫描,检查代码中的网页木马,网页挂马以及网页暗链,并支持自定义规则,并提供截图。
5) ★所投安全服务厂商提供的入侵检查服务所使用的工具,在入侵预警日志中能够明确定位入侵事件类别等功能,并提供截图。
6) ★所投安全服务厂商提供服务工具能够实现主机配置变更监控服务:实现主机安全配置核查和变更状态监控。关键服务器的安全配置一旦发生变化,能实时监测配置变更情况进行告警,对于可能的安全入侵行为进行告警,并提供截图。