采购需求仅供参考.docxVIP

采购需求（仅供参考） 前注： 本说明中提出的技术方案仅为参考，如无明确限制，供应商可以进行优化，提供 满足用户实际需要的更优（或者性能实质上不低于的）服务方案，且此方案须经磋商 小组评审认可； 供应商应当在响应文件中列出完成本项目并通过验收所需的所有各项服务等全部 费用。成交供应商必须确保整体通过用户方及有关主管部门验收,所发生的验收费用 由成交供应商承担；供应商应自行勘察项目现场，如供应商因未及时勘察现场而导致 的报价缺项漏项废标、或成交后无法完工，供应商自行承担一切后果； 如对本磋商文件有任何疑问或澄清要求，请按本磋商文件“供应商须知前附表” 中约定方式联系安徽省政府采购中心，或在接受答疑截止时间前联系采购人，否则视 同理解和接受，供应商对磋商文件、采购过程、成交结果的质疑，应当在法定质疑期 内一次性提出针对同一采购程序环节的质疑。 一、项目概况 安徽省科技信息网和科技创新云服务平台作为安徽省科技信息化的网络平台， 承载着科技厅门户网站、政府信息公开网站、安徽省科技管理信息系统、科技统计系 统、科技报告系统、科技文献资源共享服务平台、科技档案管理系统等各类电子政务 服务系统，面向科技管理部门和企事业单位提供全面的公益性服务，其中安全等级保 护备案 2 级的系统有 2 个。 为保证安徽科技信息网和安徽省科技创新云服务平台稳定运行和安全保障，采 购人机房建有 1 套集绿盟的硬件防火墙（防毒墙）、入侵防御系统、网站防火墙、堡 垒机及上网行为管理为一体的网络安全保障系统。 二、服务内容 序号 类别 项目名称 服务内容 1 安全 评估 业务梳理 一、服务说明 对安徽省科技情报所中心（以下简称中心）机房的 网络情况进行资产和业务的梳理。 、 、 。 二、服务内容 对中心机房现有的网络设备、安全设备、主机设备、 存储备份设备、业务系统、基础软件等信息系统资产进 行统计，绘制出各个信息系统的拓扑图，并对系统拓扑 图上的服务器、网络设备、安全设备、存储设备等采用 统一编号的方式，标注出系统名称、系统地址、操作系 统、设备物理位置等信息，使得通过该拓扑图能够准确 定位每个系统的硬件设备相互级联关系。 三、服务交付 《安徽省科技厅资产调研表》、《安徽省科技厅信 息系统拓扑图》 四、服务期限 服务期限一年，每年至少一次，网络变化后需重新 梳理。 高级渗透 测试 一、服务说明 对门户网站、安徽省科技创新云服务平台提供的应 用系统进行高级渗透测试。 二、服务内容 对门户网站、安徽省科技管理信息系统、安徽省科技 成果登记系统、安徽省科技奖励系统、安徽省科技报告 系统等进行黑盒渗透测试，主要用于发现各应用系统可 能存在的口令明文传输、暴力破解、认证绕过、SQL 注入 溢出、XSS、目录泄露、敏感文件下载、旁站等安全问题 针对黑盒测试发现的问题形成，此报告为后续各应用系 统的加固优化提供明确的针对性。在实施完针对性的优 化加固服务之后，还需要针对各应用系统再做一次黑盒 测试，主要目的为验证加固和优化服务的有效性。 三、服务交付 《安徽省科技厅某某业务系统渗透测试》，并协助开 发进行漏洞修补和加固。 四、服务期限 服务期限一年，按照季度完成 4 次渗透测试。 web 漏洞 扫描 一、服务说明 对门户网站、安徽省科技创新云服务平台提供的业 务系统使用专业的 web 漏洞扫描工具进行扫描。 二、服务内容 1、使用自动化脚本、工具和人工方式，对网站系统进行 检查，提供评估报告以及对应修改建议。 2、使用专业 WEB 漏洞扫描设备，对网站系统本身开发环 境以及对网站系统进行扫描，提供网站系统漏洞评估报 告。 三、服务交付 《安徽省科技创新云服务平台 xx 系统 web 扫描报告》 四、工具要求 1、支持 HTTP 1.0 和 1.1 标准的 Web 应用系统、Web 2.0（Ajax、Flash、JS） 应用、基于 HTTPS 应用系统的 检测、所有类型的动态及静态页面、SQL 注入检测、跨站 脚本攻击检测、伪造跨站点请求检测、网页挂马检测、 隐藏字段检测、Cookie 安全问题检测、网站无效链接发 现、Web 路径下敏感文件检测、网站外部链接发现、 Web 服务（如 IIS、Tomcat、Apache 等）漏洞的检查。 2、支持基于 basic、NTLM、Cookie 等认证方式的 Web 应用系统安全扫描。支持 HTTP 和 SOCKS 代理扫描。 支持自定义 User-Agent 设置。 3、支持自定义扫描连接与自定义排除连接。 支持 多个任务同时暂停、继续扫描、停止、重新扫描、断点 续扫、删除等操作。 五、服务期限 服务期限一年，按照季度完成 4 次 web 扫描 系统漏洞 扫描 一、服务说明 对门户网站、安徽省科技创新云服务平台各业务系统 进行漏洞扫描服