绍兴市公共资源易中心网络安全防护服务项目征求意见.docVIP

绍兴市公共资源交易中心网络安全防护服务项目3、影响政府采购“公开、公平、公正”原则的其他情况。 二、征求意见的回复： 1、各供应商及专家提出修改意见和建议的，请于2017年8月20日下午17时前（节假日除外）将书面材料密封后送至绍兴市公共资源交易中心政府采购科。同时将书面材料的电子文档发送至以下信箱：sxztb@163.com。联系电话：0575 联系人：蒋一能。 2、地址：绍兴市迪荡新城惠利街20号鼎盛时代大厦四楼绍兴市公共资源交易中心政府采购科431室 3、本项目征求的建议意见只作为采购人制定采购文件的参考，供应商有权按照《中华人民共和国政府采购法》的有关规定，在采购文件正式发布后在规定时间内对采购文件的有关内容进行质疑。 三、合格的修改意见和建议书要求： 1、供应商提出修改意见和建议的，书面材料须加盖单位公章和经法人代表签字确认，是授权代理人签字的，必须出具针对该项目的法人代表授权书及联系电话。 2、专家提出修改意见和建议的，须出具本人与该项目相关专业证书复印件及联系电话。 3、各供应商及专家提出修改意见和建议内容必须是真实的，并附相关依据，如发现存在提供虚假材料或恶意扰乱政府采购正常秩序的，一经查实将提请有关政府采购管理机构，列入不良行为记录。 四、本项目预算金额：15万元。 五、拟采购项目货物清单及技术要求： 01标 网络安全防护服务项目 为了积极应对当前严峻的安全形势，确保绍兴市公共资源交易中心（以下简称“中心”）系统和网络的安全、高效、稳定，现需采购为期一年的网络安全防护服务。 本次采购的内容是对市公共资源交易平台子系统和网站（涉及网站和10个子系统、IP地址等）提供网络安全防护服务，本次服务包括三大块：一是现场安全排查服务；二是安全运维服务（包括子系统和网站漏洞扫描服务、7*24小时安全监测和报警服务，应急响应服务、应急演练服务及巡检服务）；三是安全培训服务。本次中心采购网络安全防护服务的具体技术需求如下： 服务项目 技术要求说明 1、安全排查 对（包括资源交易服务平台、管理系统、会员系统、建设工程辅助评标系统、政府采购辅助评标系统、资格预审评标系统、轨道交通辅助评标系统、车牌网上竞价系统、专家管理系统等）和网站（域名及公网IP）进行安全排查，消除安全隐患，提供安全排查报告，协助整改。 可联系中心信息科进行现场踏勘。 2、 安全运维 2.1漏洞扫描 ▲在服务有效期内，应定期对绍兴市公共资源交易平台子系统和门户网站进行全面、深入的网站漏洞扫描和系统漏洞扫描并自有的平台提供不同品牌扫描的扫描比对数据（的管理平台应满足不少于种品牌设备接入，同时提供不少于三的数据网站漏洞扫描和系统漏洞扫描检测设备或产品进行交叉覆盖式扫描，确保不漏扫。投标时提供相关的设备、产品品牌列表。 通过对绍兴市公共资源交易平台子系统和门户网站中指定网页范围进行信息系统高危脚本漏洞检测验证（包括SQL注入、XSS攻击、恶意执行逻辑错误等典型脚本漏洞信息），发现存在的安全隐患，提供扫描报告，明确当前绍兴市公共资源交易平台子系统和门户网站中存在的安全问题，协助中心尽快解决，最大限度降低系统性安全风险，提高绍兴市公共资源交易平台子系统和门户网站的安全性能。 ▲漏洞扫描频率：每月不少于一次 2.2 7*24小时实时安全监测和报警服务 在服务有效期内，自有的平台对绍兴市公共资源交易平台子系统和门户网站进行的7*24小时绍兴市公共资源交易平台子系统和门户网站安全监测。安全监测服务内容包括但不仅限于：漏洞监测、网页篡改监测、挂马监测、暗链监测、可用性监测、敏感信息监测等，使中心能够全面了解自身网站的安全性，及时发现、及时解决绍兴市公共资源交易平台子系统和门户网站中存在的任何安全威胁。 对于发现存在页面篡改、挂马与暗链、反动与色情等事件，应在三分钟内关闭网站服务或断开服务器外网服务，并发出相应的警报。 1. 漏洞扫描与跟踪检测 实现对监测网站和系统进行漏洞扫描，能够将扫得的漏洞准确定位并提供取证，能够提供各类漏洞的修复建议，能够对漏洞历史情况进行跟踪，全方位了解网站及子系统当前安全程度。 要求可扫描SQL注入、XSS跨站脚本、伪造跨站点请求（CSRF）、网页木马、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄漏、弱口令、Xpath注入、LDAP注入、框架注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookie注入、敏感文件、第三方软件、其他各类CGI漏洞等各种类型。 2. 主要页面篡改监测 实时监测，检测网站首页面和二级、三级页面，通过网站页面的大小、页面元素等进行比对分析，对网站页面进行定时监测。及时发现应用系统页面被恶意删除、篡改等问题。一旦发生页面被篡改情况，并经过人工确认