王孝云——
八届海南省纪委委员,省委教育工作委员会委员,省教育厅党组成员,省考试局党组书记、局长。
曾令富——
党组成员、副局长。
王任斌——
省考试局党组成员、副局长(挂职)。
我局决定对网络信息安全购买信息安全保障服务项目采用询价方式进行采购,欢迎具有相应资质的单位报名参加,现就有关事项公告如下:
一、项目名称:海南省考试局网络信息安全保障服务项目
二、服务期限:一年
三、采购方式:询价
四、供应商资格要求:
1.具备《政府采购法》第二十二条规定的条件;
2.属于在中华人民共和国注册的法人;
3.具有信息安全资质;
4. 未被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人名单和没有列入中国政府采购网(www.ccgp.gov.cn)政府采购严重违法失信行为记录名单;
5.近三年内有实施信息安全保障项目的经验;
6.具有信息安全相关资质高级工程师资质的员工;
7.具有实施本项目所需的人员条件要求,至少包含一名高级工程师和两名中级工程师。
五、报价要求:
本项目最高限价拾伍万圆人民币(¥15万元),所有报价单总价不得高于限价,高于限价的无效。
六、服务范围:
序号 | 信息系统名称 | 安全保护等级 |
1 | 海南省国家教育考试综合管理平台 | 三级(S3A3G3) |
2 | 海南省招生考试信息管理系统 | 三级(S3A3G3) |
3 | 海南省国家教育考试网上巡查系统 | 二级(S2A2G2) |
4 | 海南省公务员系统 | 三级(S3A3G3) |
七、网络信息安全保障服务项目内容:
本项目一共包含六个方面的服务,分别为渗透测试服务、漏洞扫描服务、重点时段安全保障服务、应急响应服务、网络安全应急演练服务,以及安全巡检服务。
序号 | 服务名称 | 服务内容描述 | 服务频次 | 服务对象 |
1 | 渗透测试服务 | 1.严格参照《网络安全等级保护基本要求》中二级S2A2和三级S3G3、《OWASP测试指南》、《OWASP Top10 2017》、PTES等国内外网络与信息安全标准及规范,在此基础上进行完善和扩展形成一套“体系化”的渗透测试内容项。 2.以渗透测试内容项作为渗透测试的基本指标,并严格按照其中的测试项进行渗透测试; 3.进行全面漏洞探测、分析,以及手工验证; 4.通过代码注入、失效的身份认证和会话管理、跨站脚本、不安全的直接对象引用、安全配置错误、敏感信息泄露、功能级访问控制、跨站请求伪造、传输层保护不足、未验证的重定向和转发、密码破解、病毒木马攻击、权限提升、溢出攻击、DDos攻击、中间人攻击、ARP欺骗等方式进行渗透测试; 5.提供详细的渗透测试报告,包括漏洞详细信息、安全问题与风险、安全评估以及安全整改建议等。 | 一年1次 | 操作系统、数据库、网络设备、主机设备和应用系统 |
2 | 漏洞扫描服务 | 1.根据省考试局需求发起,对所有的信息系统提供一年4次不定期的全面安全漏洞扫描评估服务 2.根据省考试局的需求发起,针对新上线系统提供一年8次的新系统上线前安全漏洞扫描评估服务 3.每次安全漏洞扫描后,出具相应的《安全漏洞扫描评估报告》(含安全漏洞验证),包括扫描的漏洞详细信息、安全加固建议、上线前扫描的漏洞详细信息等。 4.每次安全漏洞扫描后,对所有漏洞弱点的相关背景提供详细描述、引用,以及相应的修复和改进建议; 5.对发现的安全漏洞提出具体的安全解决方案,以及配合海南省考试局及时进行整改 | 一年12次 | 操作系统、数据库、网络设备、主机设备和应用系统 |
3 | 重点时段安全保障服务 | 1.重点时段安全保障期间,依据等保要求中二级S2A2和三级S3A3的要求,进行保障工作;利用多种专业漏洞扫描工具对主机设备、应用系统、网络设备、操作系统等进行交叉扫描验证; 2.对扫描结果进行分析、验证,帮助海南省考试局提前排查本单位重要信息系统的安全漏洞; 3.指导海南省考试局及第三方运维人员对信息系统进行安全加固 4.重点时段安全保障期间,现场派驻一名安全工程师值班一周,提供监测业务运行情况,监控日志等安全保障服务。在出现安全事故时,及时响应并组织各方技术人员修复系统问题,指导海南省考试局处理安全故障以保证信息系统在最短时间内恢复,降低时间影响和损失。 5.出具重点时段安全保障服务期间的安全服务报告 6.提前对信息系统进行安全评估,针对技术层面(主机服务器、网络及应用系统)所发现的安全问题,输出《安全评估报告》 | 1年4次,包含安全监测、安全加固、现场值守工作,合计不少于60天 | 操作系统、数据库、网络设备、主机设备和应用系统 |
4 | 应急响应服务 | 1.当出现安全事件时,协调开发商及第三方运维人员完成信息系统正常运行,应急响应的安全事件包括但不限于计算机病毒与木马攻击事件,网页代码篡改事件,网络攻击、拒绝服务攻击事件,信息泄露或篡改事件(如数据库安全事件),安全漏洞或漏洞工农及事件(包括相关信息安全监管部门发出的漏洞通报、安全预警等) 2.出具《应急响应处理报告》 3.协助海南省考试局完成相关信息安全监管部门安全检查准备工作。 | 一年3次 | 信息系统 |
5 | 网络安全应急演练服务 | 1.主要包含三项工作的落实,分别为:网络安全事件应急预案编制、落实网络安全事件应急演练工作(选取两个事件)、网络安全事件预防与应急技巧培训 2.出具《网络安全事件应急预案》、《网络安全事件应急演练总结评估报告》 | 一年1次 | 信息系统 |
6 | 安全巡检服务 | 1.网络安全巡检; 2.主机安全巡检; 3.数据库安全巡检; | 一年2次 | 网络设备、安全设备、通信线路 |
八、 供应商需要提交的材料要求:
(一)材料装订和份数要求:
复印件盖单位章,且所有的材料按以下顺序装订成册,一式三份,盖章密封:
1. 单位的营业执照副本复印件;
2. 组织机构代码证复印件;
3. 信息安全资质证明复印件;
4. 未被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人名单和没有列入中国政府采购网(www.ccgp.gov.cn)政府采购严重违法失信行为记录名单(提供信息查询结果界面截图,加盖供应商公章);
5. 近三年内与政府行业签订的信息安全服务合同;
6. 技术服务能力证明材料;
7. 符合本公告要求的技术服务方案;
8. 本项目人员安排的组织架构材料;
9. 相关项目工程师的资质证明及我国三个月的社保证明;
10. 应急响应服务承诺书;
11.海南省考试局网络信息安全服务保障项目报价单;
(二)近三年内与政府行业签订信息安全服务合同要求:
1.含渗透测试、漏洞扫描、安全加固服务、安全巡检服务内容合同案例;
2.含应急响应或网络安全应急演练服务内容合同案例。
(三)技术服务能力证明材料要求:
1.本单位技术服务团队人数;
2.具有高级项目管理工程师资质的信息材料,包括但不限于技术职称证书复印件、该员工近三个月我国社保证明。
(四)符合本公告要求的技术服务方案应包含但不限于以下内容:
1.要有对各项服务有详细的说明描述;
2.要有符合我单位实际现状的方案编制、实施计划及成果说明。
(五)本项目人员安排的组织架构应该具备以下条件:
1.应包含管理组、实施组、保密组;
2.至少包含一名高级工程师和两名中级工程师。
(六)提供“出现安全事件在4个小时内响应,并在24小时内处理,同时出具完善报告说明”的应急响应服务承诺书。
(七)海南省考试局网络信息安全服务保障项目报价单。
报价单应加盖供应商法人公章。
九、材料报送时间:
应于2020年4月2日17时30分前报送,过时将不再接收材料。
十、报送地点:
海南省考试局办公楼二楼207室
十一、联系方式:
联系人:周老师; 联系电话:65851969。
附件:海南省考试局网络信息安全服务保障项目报价单
海南省考试局
2020年3月26日
附件:
海南省考试局网络信息安全服务保障项目报价单
序号 | 服务名称 | 服务内容描述 | 服务频次 | 服务对象 | 报价(单位:元) |
1 | 渗透测试服务 | 1.严格参照《网络安全等级保护基本要求》中二级S2A2和三级S3G3、《OWASP测试指南》、《OWASP Top10 2017》、PTES等国内外网络与信息安全标准及规范,在此基础上进行完善和扩展形成一套“体系化”的渗透测试内容项。 2.以渗透测试内容项作为渗透测试的基本指标,并严格按照其中的测试项进行渗透测试; 3.进行全面漏洞探测、分析,以及手工验证; 4.通过代码注入、失效的身份认证和会话管理、跨站脚本、不安全的直接对象引用、安全配置错误、敏感信息泄露、功能级访问控制、跨站请求伪造、传输层保护不足、未验证的重定向和转发、密码破解、病毒木马攻击、权限提升、溢出攻击、DDos攻击、中间人攻击、ARP欺骗等方式进行渗透测试; 5.提供详细的渗透测试报告,包括漏洞详细信息、安全问题与风险、安全评估以及安全整改建议等。 | 一年1次 | 操作系统、数据库、网络设备、主机设备和应用系统 | |
2 | 漏洞扫描服务 | 1.根据省考试局需求发起,对所有的信息系统提供一年4次不定期的全面安全漏洞扫描评估服务 2.根据省考试局的需求发起,针对新上线系统提供一年8次的新系统上线前安全漏洞扫描评估服务 3.每次安全漏洞扫描后,出具相应的《安全漏洞扫描评估报告》(含安全漏洞验证),包括扫描的漏洞详细信息、安全加固建议、上线前扫描的漏洞详细信息等。 4.每次安全漏洞扫描后,对所有漏洞弱点的相关背景提供详细描述、引用,以及相应的修复和改进建议; 5.对发现的安全漏洞提出具体的安全解决方案,以及配合海南省考试局及时进行整改 | 一年12次 | 操作系统、数据库、网络设备、主机设备和应用系统 | |
3 | 重点时段安全保障服务
| 1.重点时段安全保障期间,依据等保要求中二级S2A2和三级S3A3的要求,进行保障工作;利用多种专业漏洞扫描工具对主机设备、应用系统、网络设备、操作系统等进行交叉扫描验证; 2.对扫描结果进行分析、验证,帮助海南省考试局提前排查本单位重要信息系统的安全漏洞; 3.指导海南省考试局及第三方运维人员对信息系统进行安全加固 4.重点时段安全保障期间,现场派驻一名安全工程师值班一周,提供监测业务运行情况,监控日志等安全保障服务。在出现安全事故时,及时响应并组织各方技术人员修复系统问题,指导海南省考试局处理安全故障以保证信息系统在最短时间内恢复,降低时间影响和损失。 5.出具重点时段安全保障服务期间的安全服务报告 6. 提前对信息系统进行安全评估,针对技术层面(主机服务器、网络及应用系统)所发现的安全问题,输出《安全评估报告》 | 1年4次,包含安全监测、安全加固、现场值守工作,合计不少于60天 | 操作系统、数据库、网络设备、主机设备和应用系统 | |
4 | 应急响应服务 | 1.当出现安全事件时,协调开发商及第三方运维人员完成信息系统正常运行,应急响应的安全事件包括但不限于计算机病毒与木马攻击事件,网页代码篡改事件,网络攻击、拒绝服务攻击事件,信息泄露或篡改事件(如数据库安全事件),安全漏洞或漏洞工农及事件(包括相关信息安全监管部门发出的漏洞通报、安全预警等) 2.出具《应急响应处理报告》 3. 协助海南省考试局完成相关信息安全监管部门安全检查准备工作。 | 一年3次 | 信息系统 | |
5 | 网络安全应急演练服务 | 1.主要包含三项工作的落实,分别为:网络安全事件应急预案编制、落实网络安全事件应急演练工作(选取两个事件)、网络安全事件预防与应急技巧培训 2.出具《网络安全事件应急预案》、《网络安全事件应急演练总结评估报告》 | 一年1次 | 信息系统 | |
6 | 安全巡检服务 | 1.网络安全巡检; 2.主机安全巡检; 3.数据库安全巡检; | 一年2次 | 网络设备、安全 设备、通信线路 | |
合计(单位:元): 人民币(大写): | |||||
报价单位(盖章): 联系人: 联系电话: 日 期:
