随着《数据安全法》及《个人信息保护法》的颁布,网络安全建设要更加注重数据及个人敏感信息的机密性、安全性、完整性,严防死守“网络安全”底线。为了更好地维护我校网络及数据安全,现面向社会征集符合我校实情的网络安全服务方案,欢迎符合资格条件的供应商(厂家)前来报名参与。
一、项目概况:
(一)建设地点:福建省福州市仓山区长安路89号
(二)项目概况:网络安全运维及等级保护测评服务
(三)项目服务周期:3年
(四)设计范围和内容:
1、服务内容
序号 | 服务类别 | 服务内容 | 服务频率 | 交付成果 |
1 | 安全运维服务 | 暴露面资产梳理服务 | 1次/年(3年服务) | 提交《互联网暴露面资产梳理报告》 |
漏洞扫描服务 | 2次/年(3年服务) | 提交《漏洞扫描报告》 | ||
基线安全配置检查服务 | 1次/年(3年服务) | 提交《基线安全配置检查报告》 | ||
渗透测试服务 | 1次/年(3年服务) | 提交《信息系统渗透测试报告》 | ||
新系统上线安全评估服务 | 按需(3年服务) | 提交《学校系统上线专项安全评估报告》 | ||
协助安全加固服务 | 按需(3年服务) | 提交《安全加固建议》 | ||
安全事件应急响应服务 | 按需(3年服务) | 提交《学校安全事件应急响应报告》 | ||
应急演练服务 | 1次/年(3年服务) | 提交《学校应急演练方案》 | ||
攻防演练时期安全保障服务 | 1次/年(3年服务) | 提交《安全保障日报》、《威胁监测报告》 | ||
日常安全保障 | 120天/年(3年服务) | 提交《日常安全保障服务记录》 | ||
2 | 产品租赁服务 | 下一代防火墙 | 3年 | 服务期内提供安全产品租赁,服务到期后设备资产归甲方所有 |
日志审计系统 | ||||
主机安全系统 | ||||
3 | 等级保护测评与咨询服务 | 等保咨询服务 | 2次/3年 | 《信息系统等级保护基本情况调研表》、《等级保护安全评估与整改建议报告》、《等级保护安全加固建议报告》、《定级报告》、《专家评审意见》 |
等保测评服务 | 《测评报告》 |
2、服务要求
(1)暴露面资产梳理服务
根据客户提供的IP地址规划使用信息,通过整理完善相关记录表格并下发资产调研统计表,梳理出资产的归属部门、责任人、业务系统等管理信息属性,协助客户完善互联网暴露面资产信息,且对我校教职工、互联网上暴露的敏感信息进行摸排,实现对互联网暴露面资产的可知、可查、可管、可控。
提交《互联网暴露面资产梳理报告》
(2)漏洞扫描服务
使用安全扫描产品/工具对获得授权的信息系统进行脆弱性评估,获得设备---漏洞对应及分布情况,并提供可操作的安全建议或临时解决办法。通过本地扫描和互联网扫描的方式对内网、业务网、互联网中的网络层、操作系统层、应用层进行漏洞扫描,帮助客户发现设备和系统中存在的风险点,帮助客户分析技术措施的有效执行,了解漏洞的危害,通过及时修补完善,避免对信息系统造成严重影响。
提交《漏洞扫描报告》
(3)基线安全配置检查服务
根据客户单位实际网络安全需求对服务器开展安全配置检查,采用工具核查及人工核查结合的方法进行,完成后给出详细的安全基线核查报告,报告中包括当前设备配置存在的风险以及安全配置建议。
提交《基线安全配置检查报告》
(4)渗透测试服务
本服务通过模拟真实黑客攻击行为,以攻击者视角开展全方位渗透测试,测试采用“智能工具扫描 + 人工深度测试” 相结合的模式,按网站分域推进:先通过专业工具完成初步扫描,再由高级工程师结合黑客常用工具与技术开展手工测试及分析,精准识别工具扫描无法覆盖的深层问题。核心测试内容包括但不限于:配置管理漏洞、业务逻辑缺陷、文件上传绕过、输入输出校验绕过、数据篡改风险、功能权限绕过、异常错误泄漏及其他专项安全问题。测试范围涵盖Web 类与 API 类渗透测试(响应文件将列明详尽测试项)。测试完成后出具《信息系统渗透测试报告》,明确漏洞发现关键步骤及解读、漏洞危害程度与潜在威胁、针对性修复及加固建议,并协助客户开展安全加固工作,同步完成复测验证,确保漏洞彻底闭环。
提交《信息系统渗透测试报告》
(5)新系统上线安全评估服务
新系统上线前,将围绕国家网络安全等级保护相关法律法规及条例要求,组织开展专项安全评估工作。评估整合渗透测试、基线安全配置检查、漏洞扫描、弱口令安全检查等多项服务,对系统进行全方位、多维度的安全检测,全面排查潜在安全风险。评估完成后,协助推进安全加固整改,并开展复测验证,确保风险闭环,最终输出《学校系统上线专项安全评估报告》。
提交《学校系统上线专项安全评估报告》
(6)协助安全加固服务
根据前期漏洞扫描、渗透测试、安全基线核查、设备巡检的结果,参考当前网络和系统现状,为客户信息安全架构的改进或升级提出切实可行的解决方案,在帮助客户实施的同时,帮助客户提升系统、应用程序或网络的安全性,减少潜在的安全风险和漏洞。
提交《安全加固建议》。
(7)安全事件应急响应服务
在安全事件发生后,根据客户的需求,以电话→远程支持→现场支持的方式提供服务,快速协助进行系统恢复,尽可能降低安全事件对系统的正常运营所造成的影响,同时对安全事件进行分析,查找事件原因,对其中存在的安全隐患进行规避,包括事故处理及恢复、事后的事故描述报告以及后续的安全状况跟踪。
提交《学校安全事件应急响应报告》
(8)应急演练服务
结合计算机网络和业务系统现状,针对可能发生的安全事件或事故,建立标准的应急预案,做到发生安全事件时处置方案流程化、规范化,以此降低风险,规避风险,以此减少损失,降低影响范围,尽快恢复业务运行。主要服务内容包括应急预案设计、应急预案培训、应急演练组织开展、应急预案优化。
提交《学校应急演练方案》
(9)攻防演练时期安全保障服务
①演练前期安全风险自查:
A.资产梳理;
B.网络架构安全评估;
C.安全策略有效性排查;
D.口令审计及漏洞扫描;
E.互联网系统渗透测试;
F.服务器入侵清查;
G.内网渗透测试;
H.基线配置核查;
I.主机安全防护情况排查;
J.目标系统、重要系统区域隔离情况排查。
②整改加固:根据自查结果,对整体安全进行加固,包含强口令、外部访问权限、内部访问IP等;业务系统所在网络区域优化、访问控制策略优化;协助进行应用系统漏洞验证和整改,安全风险较高、业务连续性较低的系统,下线或临时关停。
③HW值守服务:
A.监测保障服务:安全专家值守5*12小时值守服务,安全专家具有丰富的入侵分析和应急处置经验,对网络中异常流量进行检测分析,及时发现可疑的执行文件和网络流量,针对潜在的未知攻击进行预警。
B.溯源分析服务:对监测发现的网络风险、主机风险、网站风险进行统筹溯源分析(现场溯源以及结合远程溯源),其中对流量日志、主机日志、应用日志进行分析、审计、溯源等操作,找出事件根源所在。编写和提交《防守报告》。
C.根据现场值守人员反馈的攻击信息,对正在发生或者已经发生的安全事件加以处理,及时修复漏洞、复查漏洞、整改问题,控制安全事件的进一步扩大,确保系统的安全、可靠运行。
D.汇报总结服务:对防守过程事宜进行各方协调、汇报工作;撰写总结报告;
提交《安全保障日报》、《威胁监测报告》、《攻击溯源报告》
(10)日常安全保障
提供1名专业安全服务工程师进行周期性现场服务,每年至少现场服务120天,全面配合学校开展日常网络安全保障。通过周期性排查与实时监测,及时发现并处置各类现存及潜在的网络安全隐患,协助完善安全管理制度,落实漏洞修复与应急响应,切实保障校园网络系统安全稳定运行。
提交《日常安全保障服务记录》
(11)产品租赁服务,包含以下产品:
序号 | 名称 | 技术指标 | 数量 | 服务 周期 |
1 | 下一代防火墙 | 1、≥2U机箱,冗余电源;网络层吞吐量≥17G,并发连接≥600万,每秒新建连接数≥20万;≥8个千兆电口,≥8个千兆光口,≥6个万兆光口,≥1个扩展插槽,1个Console口,2个USB接口,含液晶屏; | 1台 | 3年 |
2 | 日志审计系统 | 1、≥1U机箱,≥6个千兆电口,≥1个扩展插槽,1个Console接口,≥2TB硬盘。综合日志处理性能≥2600EPS,日志采集处理均值≥7000EPS; | 1台 | |
3 | 主机安全系统 | 1、管理控制中心软件:提供对主机、容器云环境客户端的统一管理;包含主机安全控制中心、主机安全态势大屏功能、容器安全控制中心; | 1套 | |
备注: 1、服务期内提供安全产品租赁,服务到期后设备资产归甲方所有。 2、产品涉及到的特征库须满足服务年限使用。 3、提供的产品硬件须为全新设备,不接受已使用过的设备。 | ||||
(12)等级保护测评与咨询服务
针对学校2个二级系统提供等级保护咨询与等级保护测评服务;频次:2次/3年。
提交不限于《信息系统等级保护基本情况调研表》、《等级保护安全评估与整改建议报告》、《等级保护安全加固建议报告》、《定级报告》、《专家评审意见》、《测评报告》等。
二、提交材料及要求:
(一)参加单位须提交的材料
1、公司简介,一份。
2、项目建设方案及预算,六份(其中五份不显示方案提供单位,供评审使用,另一份需盖企业公章,供留底使用);
3、营业执照复印件,一份(加盖公章);
4、法定代表人身份证复印件,一份;
5、项目联系人身份证复印件,一份;
6、法定代表人授权书原件(项目联系人是法定代表人则无需),一份。
(二)现场查勘
提交方案前,要求联系我校现代教育技术中心,沟通具体需求。有意向进行实地查看的报价人员由我校安排人员进行现场查勘,以便报价人作为报价参考依据。
三、咨询及现场查勘时间:
2026年5月26日至2026年5月27日(逾期不再受理)
四、报名材料提交时间、地点:
(一)2026年6月1日下午16时50分前(逾期不再受理);
(二)提交我校现代教育技术中心办公室(一号楼2楼201)。
五、联系方式:
联系人:现代教育技术中心周老师
联系电话:13959188854
电子邮箱:zjx2018@fjys.edu.cn
地址:福建省福州市仓山区长安路89号一号楼2楼201
