采购需求.docx - 芙蓉区.docxVIP

政府采购合同专用条款 条款名称 编列内容规定 服务地点 长沙市芙蓉区人民政府办公室（指定地点） 履行合同的时间、地点 时间：签订合同之日起即时生效 地点：长沙市芙蓉区人民政府办公室（指定地点） 服务内容 详见采购需求 服务期限 三年（含续签两次），合同一年一签 合同价款支付方式和条件 付款人：长沙市芙蓉区人民政府办公室（通过国库集中支付）； 付款方式：按年度支付。在电子政务外网进行安全评估、加固，并成功搭建安全监控平台并验收合格后，在15个工作日内支付合同额的50%，年度期满后另行支付50%，前提是该项目财政经费预算指标已下达且中标人已按采购人要求提供对应数额的发票。 解决争议的方式 eq \o\ac(□,√) 诉讼 □ 仲裁 合同未尽事项 由甲乙双方共同协商解决 采购需求 一、采购项目名称：长沙市芙蓉区人民政府办公室芙蓉区网络安全监控服务 二、项目概况 为了保障芙蓉区电子政务外网安全稳定运行，提高安全应急处理能力，目前我区外网安全均采用服务外包，通过安全监控平台对外网平台内重要设备和系统实现安全监控，实现了应用监控/可用性管理，性能管理/网络行为分析，安全信息事件管理，并定期生成安全服务报告的功能。 本次区网络安全监控服务采购项目，服务期限为三年。（本次合同期限一年。合同一年期满后，在服务内容、数量、标准金额原则上不变的情况下，合同可续签两次，服务期共三年，合同一年一签）。 三、采购内容 3.1安全评估 对长沙市芙蓉区电子政务外网平台网络进行全面的安全评估（每年一次），评估范围为芙蓉区电子政务外网平台内所有网络信息资产及中心机房托管服务器，内容包括： 漏洞扫描：通过工具对网络系统内的操作系统、数据库和网站程序进行自动化扫描，发现各种可能遭到黑客利用的各种隐患，包括：端口扫描，漏洞扫描，密码破解，攻击测试等。 操作系统核查：核查操作系统补丁安装、进程、端口、服务、用户、策略、权限、审计、内核、恶意程序等内容，对用户当前采取的风险控制措施和管理手段的效果进行评估，在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等六个方面进行评估。 数据库核查：主要是对数据库管理系统的权限、口令、数据备份与恢复等方面进行核查。 网络及安全设备核查：网络及安全设备核查主要是针对网络及安全设备的访问控制策略进行检查，确定是否开放了网站服务以外的多余服务。 病毒木马检查：通过多种方式对机器内异常进程、端口进行分析，判断是否是木马或病毒，研究相关行为，并进行查杀。 渗透测试：模拟黑客的各种攻击手段，对评估过程中发现的漏洞安全隐患进行攻击测试，评估其危害程度，主要有：弱口令、本地权限提升、远程溢出、数据库查询等。 全面评估为每年一次，在有重大安全漏洞或隐患出现时，及时采取有针对性的安全测试并提供解决方案。 3.2安全加固 针对评估的结果，协助采购人对长沙市芙蓉区电子政务外网平台网络、操作系统及应用系统存在的安全隐患进行安全加固。 操作系统安全加固：开展windows、liunx操作系统安全加固工作，具体包括系统账号加固、密码策略加固、关闭不必要的服务及端口、主机访问控制、共享权限加固、审计策略加固等； 网络设备安全加固：开展交换机、路由器等网络设备安全加固工作，具体包括网络设备系统安全加固、网络服务安全配置、路由协议安全配置、安全审计配置等； 网络安全设备安全加固：开展防火墙、入侵检测系统等安全设备安全加固工作，具体包括安全设备系统安全加固、安全防护策略加固、审计策略加固等； 木马病毒清除：通过专业木马病毒查杀工具，针对所有服务器开展专项木马病毒查杀工作。 3.3安全监测 通过已搭建的实时安全运维平台，提供7*24小时的实时安全监测服务。通过对日常安全保障服务及日志的过滤、归并和关联分析及时发现芙蓉区电子政务外网平台出现的安全事件，并第一时间进行应急处理、提出安全加固建议。在服务期内，对监控有以下要求： 每月将监控的数据进行汇总并形成月度总结报告； 在监控期内对所有的监控发现的事件，服务方必须有确认机制（如邮件或者打印签字方式），具体方式可协商，且必须在投标技术方案中说明。 对监控到的安全事件，根据事件危害等级的不同，可以分为普通事件和严重安全事件。普通事件每周汇报总结即可，严重安全事件，须立即通知并解决。 在监控到安全事件后，服务方有义务分析事件原因，并提供解决方案。网络、系统层的安全问题，服务方有义务解决，应用层面的安全问题，服务方可协助第三方（系统集成商或者开发商）解决。 服务商在安全服务年末根据监控的情况进行总结，并针对下一年度安全建设提出规划性的意见。 在服务期内，对于服务商升级的监控平台、功能模块均应当予以免费使用。 3.4季度巡检 对长沙市芙蓉区电子政务外网平台网络进行全面的安全季度巡检，主要包括： 网络安全 网络安全主要