A1包、网站安全监测服务.doc

A1包、网站安全监测服务 一、供应商资格要求 1、符合《中华人民共和国政府采购法》第二十二条的规定。 2、供应商的资质要求：无 二、项目需求 网站安全监测服务 一、项目简介 采购人机房及网络系统经近几年建设，已拥有较为完善的网络、软硬件支撑环境和基础运行环境，承载了全省水利系统重要业务应用系统的运行。为更好地保障网络畅通，确保信息系统安全，购买一年的网站安全监测服务，服务时间为：2017年7月1日——2018年6月30日。 二、技术服务范围及内容 本项目的服务内容主要包括但不局限于以下内容： （一）服务支持 为提供 1、渗透测试 按照采购人提供的地址列表对应用系统进行全面的安全扫描，每季度不少于一次。要求及时发现地址、端口变化情况，及时发现存在的安全风险，并积极协助开展整改工作。服务内容主要包括： （1）开放的端口、服务验证； （2）操作系统及应用程序的漏洞、弱口令检测； （3）操作系统及应用程序的安全渗透测试； （4）IP地址相关信息定期梳理。 2、网站检查 提供7*24小时网站安全监测服务，可监测网站数量不少于200个，服务内容主要包括： （1）网站访问平稳度监测服务（监测周期为15分钟）； （2）远程网站漏洞扫描服务（每月至少一次）； （3）网站域名解析监测服务（监测周期为15分钟）； （4）网站挂马监测服务（监测周期为15分钟）； （5）网站篡改监测服务（监测周期为15分钟）； （6）网站敏感内容监测服务（监测周期为15分钟）； （7）钓鱼网站监测服务（监测周期为15分钟）； （8）网站乌云安全通告服务（监测周期为15分钟）。 每月一日、十六日出具一份全网监测报告。针对危险性比较大的攻击、漏洞等安全隐患，须立即提出防护和整改方案。 3、安全咨询服务 服务内容主要 （1）对安全管理、安全技术、安全科研课题、安全热点事件、行业安全规范提供咨询、解读、分析、指导服务； （2）当系统出现异常，怀疑为安全事件时，提供事件分析和加固建议，以及安全事件追踪与取证技术支持； （3）安全体系建设和运维中，对于安全产品、安全技术、管理制度、国家法规、行业政策等问题，提供安全咨询建议和方案； （4）在信息系统开发的需求分析阶段，对系统安全风险和安全需求进行分析； （5）补充完善信息安全策略体系，根据需要制定安全管理制度和流程。 4、安全预警与通告 中标人应具有丰富的安全通告和预警能力，通告方式包括邮件、纸质和电子期刊等。通告内容主要 （1）厂商安全通告：根据省水利厅实际需求，提供主流厂商的中文安全通告，包括Windows、AIX、HP-UX、Solaris、Linux、CISCO等； （2）科技安全通告：考察市场最新安全动向，及时向省水利厅汇报发现的安全问题通告和其他有必要提示的重要安全问题通告； （3）行业安全通告：通信管理局、Cncert以及运营商相关的安全事件分析、安全规范解读、安全检查范围方法通告等。 （4）其他安全通告：其他应用系统和安全组织（如SANS/CERT等）的安全通告。 5、应急响应 提供 （1）信息安全应急预案制定与完善； （2）一年期不限次数的信息安全应急响应处理服务。 6、安全培训 一年内提供不少于两次的安全培训，投标人主要负责讲师费用。培训内容要求符合省水利厅具体环境，并涵盖国际最新安全动态。培训内容主要包括： （1）安全意识培训； （2）安全形势培训； （3）渗透测试培训等。 （二）其他服务 1、网络安全状况分析 定期现场协助分析安全状况进行全面、详细的分析，并提出相关建议。 巡检与巡检报告 中标人应为采购人提供定期安全巡检建立完整的巡检服务档案。 如正常业务时，解决方案 4、中标单位的安全支持人员须服从采购人管理，承担安全问题处理及采购人交办的其他工作事项，对不服从管理的，采购人有权要求中标单位更换服务人员。 三、服务团队 1、中标人需为本项目成立专门的服务团队，并任命项目负责人。服务期内应确保服务人员的稳定，原则上不允许更换项目组人员。 2、安全服务人员要求 安全服务人员应具备3年以上工作经验，持有国家信息安全漏洞共享平台颁发的漏洞证明证书，具有CISSP、CISP认证或其他同等资质认证中任意一个或多个。 四、服务责任 1、在合同签订后15日内，中标人应对采购人应用系统及网络环境进行检测，提交相应的技术文档。 2、发生安全问题，中标人需在半小时内响应并在6小时内解决。 3、投标人要按照采购人要求提供全面完备的安全服务保障，切实落实安全服务时效和安全服务要求，解决安全问题过程中产生的费用由中标人全部承担。 4、如果发现由于中标人责任造成不符合有关合同条款规定的要求，或由于中标人技术文件错误或中标人技术人员在渗透测试过程中错误行为而导致信息系统受到破坏，采购人有权要求中标人立即改正，恢复信息系统正常运行，并向中