中国铁路昆明局集团有限公司信息技术所关于昆明局集团公司网络安全防护服务项目公告
(招标编号ZB2022-CB20)
一、项目概况
按集团公司统一安排,对昆明局集团公司进行技术团队组建培训、模拟实战演练、安全自查、远程渗透测试等工作;并在重要时期提供互联网舆情信息监测、互联网资产排查梳理、重要系统渗透测试、安全防护与应急响应(专业队、厂商队)、网络安全人才日常培训服务等工作,为期一年。
项目编号:ZB2022-CB20
本项目资金已到位。
二、公示期
2022年10月12日至2022年10月17日
三、合格供应商主要资质条件
1.在中华人民共和国境内依法注册,具有独立法人和增值税一般纳税人资格的企业,且能提供符合国家规定的税率的增值税专用发票;
2.企业及其服务项目不在中国国家铁路集团有限公司和中国铁路昆明局集团有限公司暂停或停止合作关系期限内;
3.满足国家、中国国家铁路集团有限公司、行业服务的有关规定和资质要求;
4.投标方须具备CNCERT网络安全应急服务反网络诈骗领域支撑单位资质;
5.投标方须具备中国信息安全测评中心颁发的信息安全服务资质证书(云计算安全类一级);
6.投标方须提供具备国家信息安全测评中心发布的CISP-PTE渗透测试工程师证书的渗透测试服务人员,提供服务人员6个月以上的社保缴存记录复印件以备核查;
7.本项目服务商团队须具有中国信息安全测评中心颁发的CISP-PTS 注册渗透测试专家资质认证以及CISP-IRE 注册应急响应工程师资质认证,本地服务团队须具有省级(或国家级)信息安全类竞赛获奖经历、CVE原创(或CNVD原创) 漏洞的证明材料,提供认证证书复印件及相关资料并加盖公章;
8.投标方应具备实施技术能力及人员保障能力,提供详细的技术实施方案;
9.投标方应具有自主知识产权的自动化渗透测试检查工具,需提供软件著作权证书及销售许可证,并加盖单位公章;
10.投标人须提供2021年国家信息安全漏洞共享平台(CNVD)成员单位工作贡献年度排名(提供CNVD官网排名截图)以及2021年国家信息安全漏洞库(CNNVD)年度优秀技术支撑单位证明材料,提供复印件或官网链接并加盖公章;
11.投标方须提供信息安全服务资质级别、公开发布的APT报告数量、网络安全相关发明专利等证明材料,提供复印件并加盖公章;
12.投标方派驻网络工程师须为服务商正式员工,提供其6个月以上的社保缴存记录复印件以备核查;
13.投标方需持有昆明局现有主要网络安全分析设备原厂服务授权,提供相关复印件并加盖公章。
四、服务内容和要求
(一)服务内容
服务期限自合同签订之日起一年。
服务内容主要包含对昆明局集团公司提供网络安全防护服务具体内容包括:
1.安全应急响应:提供安全事件应急响应和处置服务,在发生信息破坏事件(篡改、泄露、窃取、丢失等)、大规模病毒事件、网站漏洞事件等信息安全事件时,提供应急响应专家协助处置。在日常工作中提供应急处置思维导图、各类事件应急处置步骤等材料;
2.网络与应用系统应用渗透测试:在有系统应用存在重大功能改变时,对重要主机及WEB系统开展漏洞扫描与渗透测试,测试范围应包括但不限于如下方面:a)应用系统的安全检测与渗透测试;b)主机操作系统的安全检测与渗透测试;c)数据库系统的安全检测与渗透测试;d)中间件及第三方组件的安全检测与渗透测试;e)网络设备的安全检测与渗透测试;f)关联终端设备的安全检测与渗透测试。测试内容至少包括以下: a)信息收集与目标发现;b)基础系统检测;c)口令猜测;d)溢出攻击;e)权限提升;f)脚本测试;g)检查是否可能存在潜在的社会工程学攻击方法及路径;h)敏感信息测试;i)往年发现的重点、共性问题复查;j)测试多个系统间的风险关联性;k)攻击者画像发现和还原;
3.新业务系统上线前安全评估:新建系统上线前,需提供以下服务:漏洞扫描、渗透测试、架构安全评估、代码安全审计、安全合规检查、基础环境安全检查、安全加固。交付成果:《XX系统上线前安全评估服务报告》、《XX系统上线前安全加固建议报告》;
4.全流量监测分析服务:安排专业安全工程师,利用昆明局现有主要的网络安全分析设备协助进行监测、分析和处置工作,提供包括外部攻击分析、内部违规分析、安全威胁行为分析、攻击源分析、内部风险分析和事件研判等高级分析服务。在重保期间每日提供分析日报,日常时期每周提供分析周报、每月提供分析月报;
5.安全设备策略优化:每月收集日志和分析数据,通过针对客户的入侵检测系统、入侵防御系统或防火墙等安全设备的日志进行收集,每天分析、筛选真假入侵告警,结合实际网络系统环境诊断当前的安全态势,一旦发现网络入侵事件或者尝试入侵事件,及时通知客户并提供阻止入侵的技术手段,调整和优化策略;
6.安全合规检查:依据业务系统安全管理要求和安全基线要求,对网络及安全设备、操作系统、数据库、Web服务器、中间件等进行人工检查。服务过程中提供基线脚本,协助梳理基线,对检查出的漏洞进行分类分级,每月至少开展一次;
7.等级保护建设咨询:依照国家或该行业等级保护的要求,提供等级保护定级咨询、差距评估、方案设计、协助测评等服务;
8.红蓝紫三方攻防演习:提供攻击小组,以竞赛或合作的方式展开一次真实的网络攻击,或协助我单位开展至少24学时的岗位练兵培训竞赛。对演练进行总结,并提出网络安全防护优化建设方案;
9.重点时期人员驻守服务:重点时期,工程师在昆明局集团公司进行安全值守,实时监测服务器与web应用综合防护系统工作情况,对发现的安全风险及时处置,联动其他工作人员,共同分析研判和封堵网络攻击行为;
10.数据安全咨询与培训:协助昆明局集团公司梳理内部数据资产,协助整理数据资产相关制度,明确数据安全防护重点和方向;协助昆明局集团公司开展一次全员数据安全培训,至少包括数据安全法律法规和政策解读、数据分级分类、数据安全治理实践、数据安全事件分析等,提升全员数据安全意识;
11.安全运营汇报:每周提供安全资讯,包括最新漏洞通报、安全事件分析、网络安全威胁情报等。每月最后一个工作日,对当月工作内容进行总结,内容至少包括:当月重点工作、网络安全态势分析、数据对比分析等,提交工作月报总结,必要时提交阶段或专项工作报告。
(二)服务要求:
1.提供竣工资料;
2.提交的资料符合国家、中国国家铁路集团有限公司(原中国铁路总公司、原铁道部)相关技术标准;
3.项目正常运行,满足中国铁路昆明局集团有限公司运用需求;
4.按合同约定提供服务;
5.质量保证期:在服务期间(1年内)对项目范围内的系统提供技术支持、人员培训、现场应急服务;
6.人员培训:由服务方负责对本单位管理人员、应用人员进行信息安全技术现场培训,包含一般性的安全意识、具体安全攻防操作、渗透测试等安全知识和技能,使其具备检测、应急处置能力,并提供培训资料;
7.应急服务:对甲方提供服务所需的7×24小时技术支持,以电话及远程技术维护的方式完成技术服务。
(三)其他要求
1.投标方应牢固树立“安全第一”的指导思想,建立健全各项安全管理规章制度,制订并落实各项安全防护措施。
2.投标方全面负责其作业人员日常安全管理工作,依照《劳动法》、《安全生产法》以及国家、云南省等其他有关法律法规的规定,对作业人员身份进行相关审核,建立合法劳动关系,依法承担相应的各项安全职责,保证其作业人员的合法权益。
3.作业过程中的劳动人身安全、现场安全管理工作由投标方负责。投标方人员在作业期间发生的伤害事故由投标方负全部责任,与招标方无关。
4.项目参与服务相关人员应签订保密协议与安全责任书。
5.投标方至少有1个云南本地网络安全防护服务案例,并提供有效合同。
五、联系方式
采购人:中国铁路昆明局集团有限公司信息技术所
采购组织机构: 中国铁路昆明局集团有限公司信息技术所
联系人:任利
联系电话:0871-66122123-805
传 真:0871-66122123-808
电子邮箱:39653799@QQ.COM
异议受理:
中国铁路昆明局集团有限公司纪委:0871-66123839。
六、其他
凡有意参加本项目潜在供应商请与昆明局集团有限公司信息技术所联系,在2022年10月17日18:00前书面报名参与。
中国铁路昆明局集团有限公司信息技术所
2022年10月12日
文章推荐: