福建幼儿师范高等专科学校网络安全服务项目征集方案公告

发布时间:[2024-06-28]来源:现代教育技术中心阅读量:[58]

随着《数据安全法》及《个人信息保护法》的颁布,网络安全建设要更加注重数据及个人敏感信息的机密性、安全性、完整性,严防死守“网络安全”底线。为了更好地维护我校网络及数据安全,现面向社会征集符合我校实情的网络安全服务方案,欢迎符合资格条件的供应商(厂家)前来报名参与。

一、项目概况:

1、建设地点:福建省福州市仓山区长安路89号 

2、项目限价:25万元 

3、设计范围和内容: 

(一)服务内容

序号 服务内容 服务频率或人天 服务成果
1 互联网暴露面资产梳理服务 1年/1次 《学校互联网暴露面资产梳理报告》
2 内网空间资产探测服务 1年/1次 《学校内网资产梳理报告》
3 弱口令安全检查服务 1年/2次 《学校服务器主机弱口令扫描报告》
4 漏洞扫描服务 1年/2次 《学校漏洞扫描报告》
5 木马后门安全检查服务 1年/2次 《学校木马后门安全检查报告》
6 基线安全配置检查服务 1年/2次 《学校基线安全配置检查报告》
7 渗透测试服务 1年/1次 《学校信息系统渗透测试报告》
8 新系统上线安全评估服务 按需 《学校系统上线专项安全评估报告》
9 协助安全加固服务 按需 《安全加固建议》
10 安全培训服务 1年/1次 《网络安全培训课件》
11 信息安全通告服务 按需 《信息安全通告》
12 安全事件应急响应服务 按需 《学校安全事件应急响应报告》
13 网站安全监测与防护服务 1年/7*24小时 《学校网站安全监测与防护周报》
14 安全设备巡检服务 1年/4次 《安全设备巡检月报》
15 机房安全巡检服务 1年/4次 《学校机房安全巡检报告》
16 应急演练服务 1年/1次 《学校应急演练方案》
17 重要时期安全保障服务 资源池20人天按需抽取 《安全保障日报》、《威胁监测报告》、《攻击溯源报告》
18 态势感知平台租赁 一套态势感知平台租赁
19 下一代防火墙租赁 一台下一代防火墙租赁

(二)服务要求 

1、互联网暴露面资产梳理服务 

供应商应该于合同签订后1个月内开展1次互联网暴露面资产梳理服务,发现、记录、核对我校在互联网上存货的应用、接口、端口、服务器等。且对我校教职工、学生在公网上暴露的敏感信息进行摸排,撰写《学校互联网暴露面资产梳理报告》,根据检查结果收窄攻击面,删除敏感信息减少被攻击的可能; 

2、内网空间资产探测服务 供应商应该于合同签订后1个月内开展1次内网空间资产探测服务全面发掘现网的存活主机,内网应用,安全设备等网内资产,并输出《学校内网资产梳理报告》,排查数据中心的沉默与僵尸资产,回收浪费的资源,并更新资产台账;

3、弱口令安全检查服务 供应商应该于合同签订后每季度开展1次弱口令安全检查服务发现数据中心所有认证端口的口令与授权风险,并协助扫描结果的整改,大幅度减少黑客爆破攻击的成功率,输出《学校服务器主机弱口令扫描报告》;

4、漏洞扫描服务 供应商应该于合同签订后每季度开展1次漏洞扫描,借助多种漏洞扫描工具对信息系统进行检查并制定详细的技术方案,方案包含但不限于:资产识别与赋值、威胁识别、脆弱性识别与分析、风险值算法等内容,根据检查结果出具相应的扫描报告,报告内容包含漏洞列表、漏洞详细描述、风险级别、漏洞加固建议及步骤等内容,结合应用系统实际运行情况对每条漏洞的危害性以及修复方法说明。漏洞应涵盖服务器配置、数据库、应用系统、中间件,漏洞加固建议应包含:代码级修复、系统组件升级、外围安全防护系统策略调整、可接受风险几个维度。确认漏洞修复后,对漏洞的修复情况进行复核,输出《学校漏洞扫描报告》;

5、木马后门安全检查服务 供应商应该于合同签订后每季度对开展1次木马后门检查,查找主机系统存在的木马后门安全配置隐患,汇总检查结果,并协助我校进行安全加固,输出:《学校木马后门安全检查报告》; 

6、基线安全配置检查服务 供应商应该于合同签订后每季度对开展1次基线安全配置检查工作,查找主机设备、网络设备、重要应用、数据库存在的安全配置隐患,汇总基线报告,提出整改加固方案,并协助我校进行加固,输出:《学校基线安全配置检查报告》;

7、渗透测试服务 供应商应该于合同签订后开展一次1次渗透测试工作,通过人工模拟黑客使用的工具、分析方法对网站进行安全测试,并结合智能工具扫描结果,由工程师进行手工测试和分析,识别工具弱点扫描无法发现的问题。主要分析内容包括且不限于以下漏洞:配置管理、逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误以及其他专项内容。渗透测试包含Web类与API类渗透测试,响应文件中应列出详尽的Web类和API类渗透测试项。根据渗透测试的结果出具渗透测试报告,报告内容包含漏洞发现过程关键步骤以及解读、漏洞危害程度以及造成的威胁、漏洞修复与加固建议等部分,协助安全加固处理,并做好复测工作,输出:《学校信息系统渗透测试报告》; 

8、新系统上线安全评估服务 供应商应该于合同签订后每当有新系统上线时,组织对系统进行网络安全风险评估,结合渗透测试服务、基线安全配置检查服务、漏洞扫描服务、弱口令安全检查服围绕国家等级保护法律法规条例要求对系统进行全面安全评估,协助安全加固处理,并做好复测工作,输出:《学校系统上线专项安全评估报告》; 

9、协助安全加固服务 供应商应结合其他安全服务检查内容的结果,分析其风险点,根据需要拟制安全加固方案,指导软件厂商开展安全漏洞加固工作,输出:《安全加固建议》; 

10、安全培训服务 供应商应该于合同签订后提供1次的现场网络安全培训服务,普及网络安全法律法规于网络安全意识,要求普及内容应该针对教职工或全体学生,输出:《网络安全培训课件》; 

11、信息安全通告服务 供应商应该于合同签订后不定期提供,针对网络安全最新动态全年提供最新相关安全动态信息通告,输出:《学校安全事件应急响应报告》; 

12、安全事件应急响应服务 供应商应该于合同签订提供7*24小时应急响应安全技术远程支持,当远程支持无法解决时,在承诺时间内到达现场支持,协助深入分析日志,解析事件原因,加固系统,并提供改进建议,解决网络安全问题,输出:《学校安全事件应急响应报告》; 

13、网站安全监测与防护服务 供应商应该于合同签订提供7*24小时系统安全监测与通告服务,包括网页挂马监控(不少于每周1次)、网页篡改监控(等同或优于每隔5分钟监测)、暗链检测监控(不少于每周1次)、域名劫持监控(等同或优于每隔5分钟监测)、远程网页测速(不少于每天4次)、网站可用性监测(等同或优于每隔5分钟监测),根据安全事件的紧急程度通告相关管理人员。告警通过短信、电话两种方式:a)服务质量告警,网站服务中断持续超过约定时长约定告警时间段告警;b)安全事件告警,监测到DNS解析异常、暗链、篡改、挂马等事件;钓鱼网站告警,监测到钓鱼网站时第一时间通知用户,同时提供一键断网、抗Ddos、防恶意代码等云WAF功能。日常安全监控需记录台账,每月输出:《学校网站安全监测与防护月报》; 

14、安全设备巡检服务 供应商在合同签订后每月检查安全设备的运行状况和安全状况,建立系统安全管理档案,从结构安全、安全配置、安全策略、日志审查等方面进行巡检。巡检完成后出具安全巡检报告,内容需包含整改建议。针对年度内的网络安全重大检查事项,如在常规检查中有相关专项的缺漏,需不计次数的补充检查完善,输出:《安全设备巡检报告》; 

15、机房安全巡检服务 供应商在合同签订后每月检查机房的运行状况和安全状况,建立系统安全管理档案,从结构安全、安全配置、安全策略、日志审查等方面进行巡检。巡检完成后出具安全巡检报告,内容需包含整改建议。针对年度内的网络安全重大检查事项,如在常规检查中有相关专项的缺漏,需不计次数的补充检查完善,输出:《学校机房安全巡检报告》; 

16、应急演练服务 供应商在合同签订后开展1次应急演练工作,通过模拟真实黑客攻击场景,切合实际业务环境,提供系统网络安全应急演练方案,协助系统相关责任人以模拟演练或者桌面推演的方式熟悉应急处置流程,并检验应急预案的完整性、可行性,输出《学校应急演练方案》;

17、重要时期安全保障服务 供应商在合同签订后,建立重要时期保障资源池20人天,在重大活动期间(两会、互联网大会等),通过派遣专业工程师驻场值守,对我校重要信息系统进行安全保障,资源池人天不足时从人员驻点资源池进行抽取;根据情况输出:《安全保障日报》、《威胁监测报告》、《攻击溯源报告》。 

18、基础等保合规安全能力清单

序号 产品/服务名称 数量 单位 性能要求
1 下一代防火墙(租用) 1 吞吐量≥15 Gbps,;最大并发数≥600 万,;最大新建数≥50万/秒,千兆电口≥16个(含2组电口Bypass),千兆光口≥4个,万兆光口≥4个。
2 数据库审计 (租用) 1 峰值SQL处理能力30000条/秒;硬件最大吞吐量1500Mbps;双向审计数据库流量210Mbps。
3 Web应用防火墙 (租用) 1 HTTP应用层吞吐量4 Gbps;HTTP最大新建数30000 个;HTTP最大并发数300000 个。
4 日志审计系统 (租用) 1 网口6个千兆工作管理口,授权资产数55个;每秒事务处理数2000个(条)。
5 大数据分析管理系统(态势感知) 1 全流量分析1Gbps、威胁检测模式5Gbps、日志200、数据采集和处理性能8000eps、MTBF150000小时。
6 网站云监测 1 提供漏洞监测【Web漏洞】、安全事件监测【暗链/黑页/JS挖矿脚本/网页挂马】、网站IPv4可用性监测。
7 等级保护测评与咨询服务(二级) 1 共1个系统

19.以上所有采购的软、硬件设备需满足国产化要求。


二、提交材料及要求: 

1、参加单位须提交的材料:

(1)公司简介,一份;

(2)项目建设方案及预算,六份,其中五份不显示方案提供单位(标注副本),供评审使用;另一份需盖企业公章,供留底使用(标注正本);  

(3)法定代表人身份证复印件,一份;

(4)项目联系人身份证复印件,一份;

(5)法定代表人授权书原件(项目联系人是法定代表人则无需),一份;

(6)现场进行产品演示,演示时间另行通知。

2、现场查勘 提交方案前,要求联系我校现代教育技术中心,沟通具体需求。有意向进行实地查看的报价人员由我校安排人员进行现场查看,以便报价人作为报价参考依据。

三、咨询及现场查勘时间:

2024年7月1日至2024年7月5日(逾期不再受理)。

四、报名材料提交时间、地点:

1、2024年7月12日下午16时前(逾期不再受理); 

2、提交我校现代教育技术中心办公室(一号楼2楼201)。

五、联系方式:

信息科学学院现代教育技术中心林老师

联系固话:0591-87952865 联系电话:15005976075 

电子邮箱:lgg@fjys.edu.cn 

地址:福建省福州市仓山区长安路89号一号楼2楼201