一、项目名称:
深圳市文化馆2021年网络安全扫描服务项目
二、标顶:11.5万
三、项目内容:
为进一步加强信息安全管理,提高信息安全防护水平,提升信息系统安全防护能力,切实保障深圳市文化馆网络信息系统安全稳定运行,深圳市文化馆计划第三方独立专业网络安全服务机构开展对深圳数字文化馆和深圳市群众文化艺术资源数据库这两个信息系统安全扫描及运维服务。
现需对上述两个信息系统进行安全扫描及其配套服务,项目主要包含:
1、安全风险评估服务(含web漏扫与系统漏扫) 3次
2、渗透测试服务 3次
3、应急预案及演练服务 1次
四、投标人资质要求:
1、 满足《中华人民共和国政府采购法》第二十二条规定(要求投标人提供营业执照或事业单位法人证等法人证明扫描件以及《政府采购投标及履约承诺函》;
2、 参与本项目投标前三年内,在经营活动中没有重大违法记录(由供应商在《政府采购投标及履约承诺函》中作出声明)。
3、 参与本项目政府采购活动时不存在被有关部门禁止参与政府采购活动且在有效期内的情况(由供应商在《政府采购投标及履约承诺 函》中作出声明)。
4、未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单(由供应商在《政府采购投标及履约承诺函》中作出声明)。注:“信用中国”、“中国政府采购网”、“深圳信用网”以及“深圳市政府采购监管网”为供应商信用信息的查询渠道,相关信息以开标当日的查询结果为准。
五、投标申请人需提供的报名材料:
1、企业营业执照(复印件加盖投标人公章);
2、没有重大违法记录声明函(格式自拟,加盖投标人公章);
3、法人代表人证明书和法定代表人授权委托书(原件);
4、法人代表人和授权委托人身份证(复印件加盖投标人公章)。
注:请投标人将报名资料装订成册,并注明:投标项目名称、投标单位名称、联系人姓名及联系方式
六、项目要求:
序号 | 服务内容 | 工作频率 | 工作内容 |
1 | 安全风险评估服务(含web漏扫与系统漏扫) | 3次 | 一、风险评估: 1.服务概述: 服务工程师通过自研工具对组织信息资产面临的威胁、存在的脆弱性、现有防护措施及综合作用而带来风险的发生可能性进行评估,最终提供完整的风险评估报告及修复建议。 2.具体服务内容: a.资产识别 使用专用的自研工具(RAP、TSS 等)对包括:业务系统、服务器、安全设备、网络设备等进行自动化扫描发现、识别、评估,可覆盖所有的资产,根据业务对资产的实际依赖程度区分重要资产,脆弱性识别、威胁识别、风险分析等后期工作将针对重要资产进行识别; b.脆弱性评估 弱点存在于物理环境、硬件、软件、业务系统等各个方面,这些都可能被各种安全威胁利用来侵害用户的资产,让资产的价值受损。主要工作如下: 漏洞扫描:使用 TSS 工具的漏洞扫描功能,快速从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全漏洞,并给出关于安全隐患的详细信息; 基线配置核查:使用 TSS 工具的基线配置核查功能识别信息系统的安全配置情况; c.威胁评估 分析用户信息系统存在的威胁种类,确定威胁分类的标准;综合威胁来源、种类和其他因素后得出威胁列表;针对每项需要保护的信息资产,尽可能全面的发现资产所面临的威胁; d.防护能力评估 识别已有的安全控制措施,分析安全措施的有效性,确定威胁利用弱点的实际可能性,指出当前安全措施的不足; e.风险分析 综合考虑资产本身的价值、威胁发生几率、脆弱性的破坏力、现有防护能力等因素分析资产可能存在的安全风险,结合风险对业务战略的影响程度区别明确风险处置计划; f.风险评估报告 根据资产识别、脆弱性评估、威胁评估、防护能力评估的输出结果进行风险分析之后,通过 RAP 工具输出风险评估报告,风险评估报告中为用户提供符合业务需求的安全整改建议。 3.服务交付物 ▲《风险评估报告》 二、漏洞扫描: 1.服务描述: 使用系统漏洞扫描工具对 数据库、操作系统、中间件等进行漏洞、端口、弱口令扫描,扫描完成后由技术人员对漏洞进行确认测试,提出整改建议,协助开发人员整改。
2.具体服务内容: a.准备阶段 对目标用户的服务范围内资产进行搜集,获取域名、IP、网络拓扑等相关信息,作为后续的扫描资产范围; 签署漏洞扫描委托授权函,获得用户的授权; 约定漏洞扫描的时间和漏洞扫描工具;评估漏洞扫描过程中可能存在的技术问题并与用户协商应急响应策略;与用户沟通相关的网络环境,提供漏洞扫描设备接入点;与用户协商进行相关目标资产文件与数据的备份; b.扫描实施阶段 实施扫描阶段开始现场检查网络连通性情况,根据情况分配合理 IP,确保扫描工具能探测到扫描范围内的所有主机,且无防火墙等安全设备进行阻拦,之后开展漏洞扫描; 扫描过程中,如果目标系统出现无响应、中断等情况,扫描人员会立即中止漏洞扫描,并配合客户进行问题排查,在确认问题以及完成系统修复之后,根据分析结果调整扫描方式,经客户再次授权同意的前提下才会继续进行其余的扫描; c.总结汇报阶段 总结项目工作内容及成果,并向客户汇报扫描报告结果。 3.服务交付物 ▲《漏洞扫描报告》 |
2 | 渗透测试服务 | 3次 | 一、服务概述: 资深服务工程师在获得授权的情况下对指定的业务系统进行深层次的漏洞挖掘和利用,当获取到该业务系统的服务器权限后以该业务系统为跳板,展开横向的渗透测试攻击,寻找组织最具价值的信息和资产。 二、具体服务内容: a.前期交互阶段 与用户进行沟通、确定渗透测试的时间、范围、深度、测试方式(黑盒 OR 白盒、现场OR 远程)等问题,并拿到用户签署的渗透测试授权函; b.情报搜集阶段 服务团队在拿到用户授权后开始情报搜集工作,搜集阶段是对目标用户的系统进行一系列踩点工作,包括:基础资产收集、互联网信息泄露搜集、指纹识别、业务系统功能收集、接口信息收集等; c.威胁建模阶段 在搜集到充分的情报信息之后,服务工程师对获取的信息进行威胁建模(Threat Modeling)与攻击规划。从大量的信息情报中理清思路,确定出最可行的攻击通道; d.漏洞分析阶段 漏洞分析阶段是对威胁建模阶段的初步实践,本阶段需要针对威胁建模阶段总结的测试方法进行一一验证,通过测试总结出可行的测试方法,排除不可行的测试方法。由于用户对业务系统的防护能力不同,本阶段分析得出的漏洞利用方式会有一定的差异; e.渗透攻击阶段 本阶段是对用户的业务系统进行攻击性测试的阶段,漏洞分析阶段总结出的可行的漏洞利用方法,本阶段可以直接拿来利用,并以此为基础扩大渗透战果; f.后渗透攻击阶段 后渗透攻击阶段从已经攻陷了用户的一些系统开始,将以特定业务系统为目标,标识出关键的基础设施,并寻找用户组织最具价值的信息和资产,并需要推演出能够对客户组织造成最重要影响的攻击途径,本阶段主要包含权限维持、内网横向渗透、攻击痕迹清除等; g.报告输出阶段 渗透测试工作全部完成后输出报告,报告中阐明客户系统中存在的安全隐患以及专业的漏洞风险处置建议; h.汇报阶段 本阶段由安全服务团队向用户汇报本次渗透测试的成果,并现场对用户提出的疑问进行现场答疑; i.漏洞复测阶段 当用户业务系统的漏洞修补完成后可申请一次免费的漏洞复测服务,用于验证业务系统的漏洞修补情况,并向用户提交复测报告。 三、服务交付物 ▲《业务系统渗透测试报告》、《业务系统渗透测试复测报告》 |
3 | 应急预案及演练服务 | 1次 | 一、服务概述: 据相关国家标准或国际标准,按照应急演练实际情况结合组织的IT建设现状,修订对应的应急演练场景专项应急预案,以指导应急响应团队应对与处置安全事件; 制定应急演练方案及脚本并协助开展应急演练,模拟安全事件发生及处置的全过程,提高应对安全事件的处置能力,预防和减少安全事件造成的危害和损失。 二、具体服务内容: 应急演练服务主要通过模拟各种突发事件场景进行,根据突发网络安全事件的性质,应急演练场景可分为:有害程序事件演练、网络攻击事件演练、信息破坏事件演练、设备设施故障演练; 有害程序事件:内网传播型病毒应急演练、勒索病毒应急演练、挖矿病毒应急演练等; 网络攻击事件:漏洞攻击应急演练、后门攻击应急演练等; 信息破坏事件:网站篡改应急演练、网页挂马应急演练等; 设备设施故障事件:网络设备故障应急演练、服务器故障应急演练等; 多场景多样化:按照客户要求设计多场景的演练方案,综合检验突发事件时的应急处置能力及预案完善性。 演练效果展示:通过态势感知平台(按需)直观展现内网主机状况,更好的展现演练效果。 修订专项应急演练预案:应急演练结束后,按照应急演练实际情况并结合组织的IT建设现状修订对应演练场景的专项应急预案 三、服务交付物 ▲《应急演练方案》、《应急演练总结报告》、《专项应急预案修订版》 |
六、中标供应商确定办法:
报价截止时间后,采购单位将采用《综合评标法》,根据报价单位所提供的应标材料,按照采购本文件的要求和条件进行比较,从价格、技术方案、资质等方面进行综合评分,确定性价比最高的报价商为成交供应商。当出现报价供应商不足三家或其他特殊情况时,在采购未见和采购程序符合法律规定的前提下,可以继续按照公平、公正和竞争原则,进行询价谈判采购。
七、投标报名时间、地点;
公告、报名时间:2021年8月25日至2021年8月27日。
公告质疑时间:2021年8月26日 9:00--17:00
截标时间:2021年8月27日16:00时前,供应商将投标文件递交深圳市文化馆(深圳市福田区燕南路95号)223室,逾期将不予受理。
联系人:吴小强 联系电话:13760126703
深圳市文化馆
2021年8月24日