招标代理公司（立即查看） 受业主单位（立即查看） 委托，于2020-11-25在采购与招标网发布 苏州农业职业技术学院关于安全运维服务竞争性谈判公告。现邀请全国供应商参与投标，有意向的单位请及时联系项目联系人参与投标。 项目概况安全运维服务项目的潜在供应商应在苏州（略）获取采购文件，并于（略）年（略）月（略）日9点（略）（北京时间）前提交响应文件。一、项目基本情况项目编号:H（略）Z（略）-BS-T-（略）项目名称：安全运维服务采购方式：竞争性谈判预算金额：人民币（略）（￥（略）.（略））采购需求：（一）服务内容：序号服务名称服务内容概述1（略）漏洞扫（略）漏（略）络层安全漏洞扫描、应用层漏洞扫描；加固服务。2上线前安全检查1（略）安全基线的建设工作。2、（略）上（略）或版本的（略）或版本经过相关测试达到设计要求后，进入安全检查流程。3渗透测试渗透测试主要依据已经发现的安全漏洞，模拟入侵者（略）络进行非破坏性质的攻击性测试。渗透测试主要以人工渗透为主，辅助以攻击工具的使用，保证（略）个渗透测试过程都在可以控制和调（略）的范围（略）方面和应用方面、加固服务。4应急响应服务1、在第一（略）面临的紧急安全事件及潜在威胁进行紧急响应。紧急安全事故包括：（略）络入侵事件、拒绝（略）络异常事件等（略）爆发的大规模安全事件、尚未影响到院方，但存在极大安全隐患的。2、协助完成院方信息安全应急预案制定和修订工作，建立全面的信息安全体系。5安全咨询服务根据国家信息安全相关标（略）的规划、设计、建设、改造、验收、上线、运营以及废弃等阶段中涉及的安全问题提供顾问咨询服务；依据等级保护要求出具相应的等级保护报告，协助院方做好等级保护工作。6安全培训服务针对不同岗位和职责的人员提供不同培训内容，包括信（略）络攻防、应用安全开发和国家等级保护相关标准的培训。内容包含安全培训计划、安全意识培训、安全技能培训、等级保护标准培训；提供信息安全宣传材料。7（略）络安全服务及运维驻场服务，提供专业驻场信息安全运维人员一名，为期一年。（略）新增的安全设备维护、（略）的信息安全建设中来，服从院方临时指派的各项工作。（二）服务要求：（1（略）漏洞扫描和加固服务执行内容执行细节执行周期、（略）层：包含UNI（略）系列、Linux（略）等。通过脆弱（略）本身的不安全因素，主要包括身份（略）的安全配置问题。≥4次年针对扫描服务发现的漏洞，要求能够提供专业有效的解决建议，同时需派驻场人员进行，对（略）安全进行加固，并针对每次扫描发现的问题，形成总结性（略）络层：通过（略）络信息的（略）络资源的访问控制，数据传输的保密与完（略）性（略）的安全等。应用层：通过脆弱性扫描需发现所采用的应用（略）和数据的安全性，包括：数据库（略）、We（略）、业务（略）等。对评估范围内的主（略）等进行安全扫描，需提供资产与漏洞的对应及（略）布情况，需提供可操作的安全建议或临时解决办法。★可采用的扫描方式不仅限于硬件设备扫描，也可采用SaaS服务“（略）部署”的方式，收集资产并对资产进行漏洞扫描。SaaS漏洞扫描可支持服务试用，可用于日常对（略）上运行（略）站等服务上存在的安全漏洞进行定期自助扫描。扫描内容包含漏洞扫描、配置核查、WEB应用扫描等，对于扫描出的漏洞风险、配置核查风险、WEB应用风险需进行综合（略）析，给出总体综合评估结论，扫描报告可包含主机漏洞、配置核查等多项结果。设备支持风险告警和风险闭环处（略）灵活配置告警内容、告警方式、告警资产范围等，支持（略）和页面告警，支持单个或批量修改风险状态。设备可按IP范围、起止时间、任务名称、任务状态、漏洞模板、配置模板、用户账号筛选所有扫描任务并进行汇总，支持（略）查看汇总的风险详情和输出离线汇总报表。设备支持Web应用扫描能力，提供多种Web应用漏洞的安全检测，如SQL（略）页木马、CGI漏洞等。设备配置核查支持本地检查，可以利用Active（略）控件进行本地检查，仅需要IE访问配置核查设备即可进（略）远（略）层面，通（略）常见的SQL注入、跨站等漏洞。（2）上线前安全检查执行内容执行细节执行周期、频率响应方式安全基线（略）的基本（略）层面的安全基线每年2（略）的安全特性制定（略）上线（略）或版本的（略）或版本经过相关测试达到设计要求后，进入安全检查流程，由院方将（略）信息提交厂家服务人员。服务厂家安全检查团队需要在第一时间确认，并提供专业的安全检查方案，按照以下检查项目进行全面安全检查：★1文档资料检查★2（略）络安全检查★3账号口令安全检查★4服务端口检查▲5防病毒（略）检查★6漏洞扫描检查▲7应用安全检查▲8清除临时文件▲9代码安全检查不限次数需自备相关安全检查软硬件，最终将安全检查结果输出报告提交院方。（3）渗透测试服务执行内容执行细节执行周（略）站漏洞渗透测项目★（略）等进行渗（略）需要（略）别从学生、教师、管理员三个（略）色进行测试。≥1次年通过渗（略）存在的安全漏洞，并为院方提供修复建议，包括配置、认证、会话、授权、数据验证等测试内容，以及安全建议（略）理及测试报告编写等工作。同时需驻场人员，对（略）安全进行加固。★服务人员提供的渗透测试报告，必须包含漏洞从发现到最终利用的（略）个过程（略）进行加固完之后，需要进行二次测试已确认漏洞是否合理修复。数（略）：SQL注入、二次注入、NoSQL注入、（略）Path注入、LDAP注入。验证机制：设计缺陷、暴力破解（略）、可预测性、（略）用户、记住密码、密码修改、忘记密码缺陷、（略）能密码（略）绕过。会话管理：可预测性、泄露令牌、劫持令牌。访问控制：水平权限、垂直权限、未授权访问。后（略）命令、操（略）径、注入（略）ML（略）HTTP请求。应用程序逻辑缺陷：无限制操作、绕过、验证码问题、修改任意密码、与机制竞争。跨站攻击：反射型（略）SS、存储型（略）SS、DOM型（略）SS、请求伪造、UI伪装、数据劫持。信息泄露：错误信息、调试信息、公共信息、提示信息、敏感信息。（略）漏洞：任意（略）文件、截断（略）。服务器漏洞渗透测试项目★（略）等进行渗（略）需要（略）别从学生、教师、管理员三个（略）色进行测试。≥1次年通过渗（略）存在的安全漏洞，并为院方提供修复建议，包括配置、认证、会话、授权、数据验证等测试内容，以及安全建议（略）理及测试报告编写等工作。同时需驻场人员，对（略）安全进行加固。★服务人员提供的渗透测试报告，必须包含漏洞从发现到最终利用的（略）个过程（略）进行加固完之后，需要进行二次测试已确认漏洞是否合理修复。Web服务器配置缺陷：默认证书、默认内容、目录列表、WebDAV方法、Web服务器作为代理服务器、虚拟主机配置缺陷、保障Web服务器配置的安全。易受攻击的服务器（略）：应用程序框架缺陷、内存管理漏洞、编码与规范化漏洞、查找Web服务器漏洞。（4）应急响应服务执行内容执行细节应急服务★要求在服务期内需提供至少2次应急服务。接到应急响应请求时迅速启动响应预案。接到远程紧急响应请求发出（略）钟内安全应急团队和驻场人员对服务请求进行支持。在远程紧急响应2小时后未能解决问题，则立即执行本地紧急响应流程，在本地紧急响应请求发出后，安全应急团队需要在2小时内到达事故（略），协助驻场人员、院方人员进行问题处理等。远程紧急响应和本地紧急响应提供7×（略）小时服务。（5）安全咨询服务执行内容执行细节执行周期、频率响应方式技术方（略）的规划、设计、建设等技术方案的可行性、可靠性、安全性等提供专业咨询。不限次数基于不同的咨询需求，提供相应专业的咨询服务安全风险控（略）运行中各环节存在的安全风险控制方法、措施是否得当、有效提（略）安全管（略）上线、运营中的安全管理机制提供专业咨询；依据等级保护要求出具相应的等级保护报告，协助院方做好等级保护工作。（6）安全培训服务执行内容执行细节执行周期、频率响应方式安全服务（略）和人员的情况，提供不少于3人次的信息安全专业系列培训课程，培训课程和培训计划院方自行选择；提供信息安全宣传材料。每年至少3次（培训时间不少于1.5个小时）安排专业的（略）师进行培训★安全意识培训内容主要讲办公电脑、平板、智能设备、移动存储设备等终（略）络的安全、保密意识和安全常识。★安全技术培训内容主要讲解当前最新的安全技术、黑客攻击技术和手段，以及如何做好日常的各项防范工作。★安全等级保护培训内容主要讲国家等级保护工作政策、行业标准、监管要求、最佳实践等方面的发展情况。（7（略）师执行内容执行细节响应（略）师需具（略）络安全相关证书，服务承诺书中须明确驻场人员的详细信息，且承诺未经院方允许不得自行更换驻场人员，7*8小时驻场服务，重要保障时期值班时间则为7*（略）；服从院方临时指派的各项工作。驻场服务人员应熟悉信息安全设备并具备相关运维经验，熟悉常见的安全漏洞及修复措施，具有三年以上安全运维服务工作（略）及设备出现的故障，判断处理常见的安全事件和突发事件。安服运维主要设备如下：厂商和设备名数量天融信防火墙1（略）1（略）关1台天融信web应用防护1台天融信备份一体机1台（略）1套爱数备份一体机1台H3C虚拟化应用防护（略）1套H3（略）计算（略）1套H3C虚拟化安全（略）1台H3（略）运维服务（略）1套H3（略）1（略）创（略）1套安排驻场一名合同履行期限：一年（实际时间按合同签订时间为准）。本项目不接受联合体。二、申请人的资格要求1、满足《中华人民共和国政府采购法》第二十二条规定；2、落实政府采购政策需满足的资格要求：无3、本项目的特定资格要求：单位负责人为同一人或者存在直接控股、管理关系的不同供应商（包含法定代表人为同一个人（略）、全资子公司及其控股公司）（略）采购活动。三、获取采购文件：1、时间：（略）年（略）月（略）日至（略）年（略）月（略）日2、（略）方式：（1）申领（略）：办法详见苏（略）上《关于（略）（（略）证书的通知》。有效期内的（略）证书可以反复使用。（2）（略）用户需换（略）证（略）采购模块；（3）（略）用户，无需再次（略）；（4）未参与（略）政府采购交易的用户，需（略）采购模块，详情参见《政府采购（略）证书（略）指南》。（5）（略）：供应商进入“苏（略）”（略）上（略）”，选择“（略）”（略），进入（略）界面（略）“（略）”（略）。（略）成功并（略）后，（略）投标确认函下的“编辑”（略），进入编辑投标确认函并签章，签章成功后打印投标确认函以供参与项目使用。详见《（略）供应商操作手册》。3、文件获取：本项目不出售采购文件，供应商需在苏（略）站（略）成功后，根据提示，到左侧采购文件页面（略），（略）日期视同为依法获取招标文件日期。未依照（略）上（略）采购活动，不具备对该