根據《陜西省地震局自行采購管理辦法（試行）》，現(xiàn)對陜西省地震局2024年網絡安全服務內容進行公開采購，具體事項說明如下：

一、項目概況

項目名稱：陜西省地震局2024年網絡安全服務

采購單位：陜西省地震局信息中心

項目預算：175000元

二、服務內容

1、資產識別與梳理

對陜西省地震局入網資產進行識別和梳理，并在后續(xù)服務過程中根據識別的資產變化情況觸發(fā)資產變更等相關服務流程，確保資產信息的準確性和全面性。全面梳理服務范圍內資產的基礎信息（包含支撐業(yè)務系統(tǒng)運轉的操作系統(tǒng)、數據庫、中間件、應用系統(tǒng)的版本，類型，IP地址；應用開放協(xié)議和端口；應用系統(tǒng)管理方式、資產的重要性以及網絡拓撲），并將信息錄入到安全運營平臺中進行管理。

2、安全現(xiàn)狀評估

★系統(tǒng)與Web漏洞掃描：定期針對陜西省地震局入網資產的操作系統(tǒng)、數據庫、常見應用/協(xié)議、Web通用漏洞與常規(guī)漏洞進行漏洞掃描。

弱口令掃描：定期開展針對入網資產不同應用弱口令猜解檢測，如：SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等。

基線配置核查：定期檢查支撐信息化業(yè)務的主機操作系統(tǒng)、數據庫、中間件的基線配置情況，確保達到相應的安全防護要求。檢查項包含但不限于帳號和口令管理、認證、授權策略、網絡與服務、進程和啟動、文件系統(tǒng)權限、訪問控制等配置情況。

蠕蟲病毒事件：服務方需確認文件是否被感染，定位失陷的代碼并進行修復。

★風險判斷：服務方針對監(jiān)控發(fā)現(xiàn)的漏洞利用攻擊行為、Webshell上傳行為、Web系統(tǒng)目錄遍歷攻擊行為、SQL注入攻擊行為、信息泄露攻擊行為、口令暴力破解攻擊行為、僵尸網絡攻擊行為、系統(tǒng)命令注入攻擊行為及僵尸網絡攻擊行為進行分析評估，判斷攻擊行為是否成功以及業(yè)務風險點。

失陷主機分析：服務方需對失陷主機進行分析研判（如后門腳本類事件），并給出修復建議。

潛伏威脅分析：服務方需分析內網主機的非法外聯(lián)威脅行為，判斷是否存在潛伏威脅，并給出解決建議。含：對外攻擊、APT C&C通道、隱藏外聯(lián)通道等外聯(lián)威脅行為。

3、安全事件處置

服務方需對發(fā)現(xiàn)的問題進行處置，包含內網脆弱性問題，病毒類事件，入侵行為，勒索、挖礦類事件等。

4、脆弱性管理

脆弱性掃描與驗證：服務方需提供不少于每月一次針對服務范圍內的資產的系統(tǒng)脆弱性和Web漏洞進行全量掃描，并針對發(fā)現(xiàn)的脆弱性進行驗證，驗證脆弱性在已有的安全體系發(fā)生的風險及分析發(fā)生后可造成的危害。

★優(yōu)先級排序：服務方需提供客觀的修復優(yōu)先級指導，不能以脆弱性危害等級作為唯一的修復優(yōu)先級排序依據。排序依據包含但不限于資產重要性、漏洞等級以及威脅情報三個維度。

★脆弱性驗證：針對發(fā)現(xiàn)的脆弱性問題進行驗證，驗證脆弱性在已有的安全體系發(fā)生的風險及分析發(fā)生后可造成的危害。針對已經驗證的脆弱性，自動生成工單，安全專家跟進修復狀態(tài)，各個處理進度透明，方便陜西省地震局清晰了解當前脆弱性的處置狀態(tài)，將脆弱性處理工作可視化。

修復建議：針對存在的漏洞提供修復建議，能夠提供精準、易懂、可落地的漏洞修復方案。

脆弱性復測：提供脆弱性復測措施，及時檢驗脆弱性真實修復情況。服務方要支持陜西省地震局可按需針對指定脆弱性問題，指定資產等小范圍進行，降低脆弱性復測時的潛在影響范圍。

脆弱性狀態(tài)總覽：對發(fā)現(xiàn)的脆弱性建立狀態(tài)總覽機制，自動化持續(xù)跟蹤脆弱性情況，清晰直觀地展示脆弱性的修復情況，遺留情況以及脆弱性對比情況。

漏洞預警與排查：服務方需實時提供最新漏洞與詳細資產信息進行匹配，對最新漏洞進行預警與排查。一旦確認漏洞影響范圍后，安全專家提供專業(yè)的處置建議，包括補丁方案以及臨時規(guī)避措施。

5、威脅管理

依托于安全防護組件、檢測響應組件和安全平臺，將海量安全數據脫敏，包括脆弱性信息、共享威脅情報、異常流量、攻擊日志、病毒日志等數據，利用人工智能或云端安全專家分析等技術對數據進行歸因關聯(lián)分析，實時監(jiān)測網絡安全狀態(tài),發(fā)現(xiàn)各類安全事件，并自動生成工單。

★實時監(jiān)測網絡安全狀態(tài)，對攻擊事件自動化生成工單，及時進行分析與預警。攻擊事件包含境外黑客攻擊事件、暴力破解攻擊事件、持續(xù)攻擊事件。對病毒事件自動化生成工單,及時進行分析與預警。病毒類型包含勒索型、流行病毒、挖礦型、蠕蟲型、外發(fā)DOS型、C&C訪問型、文件感染型、木馬型。

服務方需針對每一類威脅，進行深度分析驗證，分析判斷是否存在其他可疑主機，將深度關聯(lián)分析的結果通過郵件、微信等方式告知陜西省地震局。結合威脅情報，服務方需排查是否對陜西省地震局入網資產造成威脅，協(xié)助及時進行安全加固。每月主動分析病毒類的安全事件，針對服務范圍內的業(yè)務資產使用病毒處置工具進行病毒查殺，對于服務范圍外的業(yè)務資產，安全專家協(xié)助用戶查殺病毒

服務方需每月主動分析攻擊類的安全事件，發(fā)現(xiàn)持續(xù)性攻擊，立即采取行動實時對抗，提供攻擊類安全事件的處置建議。每月主動分析漏洞利用類的安全事件并驗證該漏洞是否利用成功，提供工具協(xié)助處置。每月主動分析失陷類的安全事件并協(xié)助用戶處置，并提供溯源服務。

服務方需每月對陜西省地震局安全組件上的安全策略進行統(tǒng)一管理工作，確保安全組件上的安全策略始終處于最優(yōu)水平。通過全網大數據分析，發(fā)現(xiàn)有境外黑客或高級黑客正在攻擊，立即采取行動封鎖黑客行為。

6、事件管理

★基于主動響應和被動響應流程，對頁面篡改、通報、斷網、webshell、黑鏈等各類嚴重安全事件進行緊急響應和處置的解決方案。

針對分析得到的勒索病毒、挖礦病毒、篡改事件、webshell、僵尸網絡等安全事件，對惡意文件、代碼進行根除，幫助陜西省地震局快速恢復業(yè)務，排查攻擊路徑，還原攻擊路徑，分析入侵事件原因，消除或減輕影響。提供網絡安全加固建議指導，結合現(xiàn)有安全防御體系，指導用戶進行安全加固、提供整改建議、防止再次入侵。

7、資產分組管理

利用主機防火墻系統(tǒng)，對陜西省地震局入網資產進行識別和梳理，經過資產梳理，根據資產的業(yè)務劃分和屬性，對資產進行分組和添加標簽，體現(xiàn)其業(yè)務職責，同時用于編寫精簡易讀且高效的網絡策略。

★根據業(yè)務分組與標簽，定期執(zhí)行用戶定義的管理規(guī)則，自動化的業(yè)務管理。

★根據業(yè)務管控要求的不同，開啟不同的管理模式。輸出系統(tǒng)管控說明表及內網管控示意圖。

8、資產網絡訪問關系可視與梳理

利用主機防火墻系統(tǒng)，自動采集主機的出入站流量，獲取IP、端口、協(xié)議、進程等網絡信息。以拓撲圖、列表的方式展示資產之間、分組之間的網絡訪問關系。通過網絡五元組和資產信息進行篩選。

★根據訪問關系列表和資產業(yè)務組的管控要求，基于主機、業(yè)務組或標簽維度，進行資產網絡訪問關系梳理。輸出資產網絡訪問關系確認清單。

9、資產訪問控制策略下發(fā)

★根據資產訪問關系梳理成果，利用主機防火墻系統(tǒng)，結合不同管理場景，發(fā)下對應訪問控制白名單策略。輸出資產訪問控制白名單配置清單。

?以分組定義策略：實現(xiàn)較粗粒度的管理，比如同一業(yè)務系統(tǒng)內的工作負載之間可以互相訪問，而無關的業(yè)務系統(tǒng)之間的訪問被禁止。

?以標簽定義策略：給資產打上特定標簽，則會自動繼承滿足該標簽的網絡策略，提高運維效率。比如Java主機可以訪問MySQL主機。

?精確到端口：策略可精確到端口，嚴格管控每個服務，徹底收縮暴露風險。

?指定IP：對于無法安裝探針的設備可以用IP表示，也支持IP段和CIDR格式。

10、資產訪問控制策略運營

★利用主機防火墻系統(tǒng)，定期對資產進行訪問策略優(yōu)化和下發(fā)，輸出策略變更清單。

?在上線新業(yè)務的時候，只需為工作負載打上合適的標簽和劃分到正確的分組，就能自動繼承策略。

?在切換冷備時，給備份機自動設置和主機相同的標簽，并撤銷主機的標簽，使得所有設備能和備機之間建立起通信。

?主機IP發(fā)生變化時，自動更新防火墻中相關規(guī)則的IP，避免人工運維的消耗。

11、系統(tǒng)交接培訓

★挑選出一個業(yè)務系統(tǒng)，與客戶相關人員共同完成業(yè)務策略梳理工作，在服務工作中將系統(tǒng)使用方法、業(yè)務梳理流程、系統(tǒng)日常運維方法教給客戶相關人員，在系統(tǒng)策略完成后組織現(xiàn)場/線上培訓，輸出培訓材料。

三、服務要求

1、安全服務平臺

服務方需向陜西省地震局提供滿足以下條件的安全服務平臺：

★支持面向陜西省地震局的安全態(tài)勢展示，展示出當前威脅事件信息以及脆弱性信息統(tǒng)計，并支持體現(xiàn)當前風險態(tài)勢情況。

★支持面向陜西省地震局的安全報告與交付物管理，可生成、導出、下載各類安全報告，包括但不限于《安全服務值守日報》、《特殊時期值守報告》、《安全運營周報》、《安全運營月報》。

★所有可導出報告支持按照自定義模塊進行導出，可自定義模塊必須包括但不限于事件管理、攻擊威脅（外部攻擊趨勢、TOP5攻擊IP等）、脆弱性管理（漏洞、弱密碼）。（服務方應提供服務平臺支持上述服務報告自定義導出的平臺功能證明截圖）

★支持展示當前工單數量和工單處置狀態(tài)，展示安全事件閉環(huán)效果，掌握當前專家服務進度，監(jiān)督服務質量。

★服務方在本項目使用服務工具應支持將收集的安全日志上傳到安全運營服務平臺上，并支持在該平臺上對服務工具進行管理。平臺應支持配置陜西省地震局的業(yè)務信息，將業(yè)務設置為高中低三個不同的等級。在每個業(yè)務下，配置業(yè)務的資產IP范圍。服務平臺應支持為陜西省地震局設置白名單，包括自動封鎖白名單，策略白名單等。支持重大活動保障時期的備戰(zhàn)階段、實戰(zhàn)階段、演練結束三個階段的指導性工作流程。

2、主機防火墻系統(tǒng)

服務方需向陜西省地震局提供滿足以下條件的主機防火墻系統(tǒng)：

★支持面向陜西省地震局的主機網絡訪問拓撲圖展示，直觀展現(xiàn)陜西地震局主機資產個體、業(yè)務組之間的網絡訪問關系。

★支持面向陜西省地震局的交付物管理，可生成、導出、下載訪問控制清單，輸出《資產網絡訪問關系確認清單》。

2、服務水平要求

1)安全事件服務要求：

★從安全日志產生到事件通告給陜西省地震局的時間方面，按照國家標準對安全事件的分類分級指南，重大安全事件通告時間小于30分鐘，一般事件的通告時間少于1小時。

在配備服務方的邊界防護服務組件和終端防護服務組件的情況下，運營服務對于重大安全事件的遏制影響和處置完成時間小于1小時，對于一般事件的遏制影響和處置完成時間小于4小時。

安全事件經過服務人員的確認后，各類安全事件的判斷準確率不低于99%。

在配備了服務方的邊界防護服務組件和終端防護服務組件的情況下，安全事件的閉環(huán)處置比例達到100%。

★對于重大事故應啟動應急響應機制，工作時間15分鐘之內進行響應，非工作時間30分鐘之內進行響應，事故地點在西安市內則2小時上門處置，省內其他城市8小時上門處置。

2）安全威脅服務要求：

從安全日志產出到威脅通告陜西省地震局，重大威脅通告時間少于1小時，一般威脅通告時間少于2小時。

安全威脅經過服務人員的確認后，高級威脅和一般威脅的判斷準確率不低于99%。

3）資產訪問關系梳理服務要求

★服務方需充分做好現(xiàn)場調研工作，包括：建設范圍調研、網絡策略收集、管控方式調研，并根據調研成果輸出符合本次項目要求的實施方案。

★服務方需配合采購方制定主機防火墻相關流程，包括：業(yè)務上線流程、業(yè)務下線流程、業(yè)務調整流程等。

★服務方需配合采購方完成對新流程的驗證工作，確保新流程融入已有流程，驗證整體流程的有效性。

3、安全服務交付物要求

交付物名稱：《安全服務運營報告》，報告頻率：每周一次，重保期間按需調整

交付物名稱：《首次威脅分析與處置報告》，報告頻率：一次

交付物名稱：《事件分析與處置報告》，報告頻率：按需觸發(fā)，不限次數

交付物名稱：《安全通告》，報告頻率：按需觸發(fā)，不限次數

交付物名稱：《綜合分析報告/運營月報》，報告頻率：每月一次

交付物名稱：《季度匯報PPT》，報告頻率：每季度一次

交付物名稱：《年度匯報PPT》，報告頻率：每年一次

交付物名稱：《資產網絡訪問關系確認清單》，報告頻率：一次

4、服務范圍

提供針對不少于50個資產（服務器或虛擬機）的7*24小時安全服務。

5、服務頻率

★提供一年內的7*24小時持續(xù)專家服務，協(xié)助威脅發(fā)現(xiàn)及時響應。一年內提供不少于6次線下上門協(xié)助處置日產安全事件，每次1人天。一年內提供不少于8人天的重保上門服務提供值守服務，值守工作內容包括態(tài)勢感知等安全流量設備日志分析與研判及輸出值守報告。

四、資質要求

營業(yè)執(zhí)照副本（事業(yè)單位法人證書副本）、稅務登記證副本（非盈利性事業(yè)單位不提供）、組織機構代碼證副本或者統(tǒng)一社會信用代碼證（三證合一）；

法定代表人委托授權書，法定代表人或事業(yè)單位法人參加招標只需提供其身份證；

本項目不接受聯(lián)合體投標。

備注：以上資質文件提供復印件加蓋公章查驗。

五、其他要求

★服務方提供的安全服務人員（包括線上分析、咨詢及現(xiàn)場駐場保障值守人員）需具有1年或1年以上安全服務工作經驗，項目經理和質量負責人必須具備豐富的安全服務經驗及相關資質認證，確保人員穩(wěn)定。如需更換安全服務人員，須由采購單位同意。

六、采購響應方式

采購響應時間：2023年8月30日至2023年9月1日

采購響應文件遞交地點：西安市碑林區(qū)邊家村水文巷4號防震減災科技大樓9樓

聯(lián)系人：竇婧

電話：029-88465343

本次采購接受郵寄，供應商可將資質材料復印件加蓋公章連同采購響應文件一并郵寄。

七、付款方式

合同簽訂后7個工作日內，由乙方向甲方支付10%的履約保證金，甲方收到后向乙方支付合同全額，10%的履約保證金待完成全部服務支持后返還。

八、采購響應文件要求

采購響應文件應嚴格按照采購需求做出實質性響應，包含以下內容：

1. 對安全服務準備、服務方案編制（包括技術手段、人員配置、值守內容及服務要求中所涉及的相關內容）、服務產出報告模板編制等內容進行詳細描述；

2. 對安全監(jiān)測、分析、通告、處置的方案及內容進行詳細描述；

3. 對使用的安全檢測工具、威脅情報庫來源、威脅及安全態(tài)勢通知方式進行詳細描述，并說明使用權限（例如授權信息等）。

4. 對安全平臺的態(tài)勢展示、報告導出、模板調整等功能進行詳細描述。

5. 明確描述合理的安全聯(lián)動方案；

6. 提供安全服務過程中的風險防范措施，并明確保密責任與賠償承諾；

7. 服務承諾及保障措施；

8. 其他認為需要補充的合理化建議。

備注：以上資質文件現(xiàn)場提供復印件加蓋公章查驗

九、評標

本項目評審使用綜合評分法，評標委員會將按照客觀、公正、科學、擇優(yōu)的原則，結合項目實際情況，以項目報價、企業(yè)技術實力、安全服務方案、服務人員從業(yè)經驗、業(yè)務開展情況等多個因素為評價指標，依據評標辦法，進行分項評審，評審得分計入總得分。

（一）商務及技術標評分辦法表

（二）評標規(guī)則

各評委必須按照本辦法據實評分。凡評分不符合本辦法規(guī)定者，為無效評分。

評標過程中，各種數字計算均精確至小數點后兩位。

評標委員會根據總分由高到低對供應商進行排名；得分相同的，按投標報價由低到高進行排名；得分且報價相同的，按技術標得分由高到低排名。按照上述排名辦法由評標委員會推薦前三名供應商為中標候選人。

評定標過程中，若出現(xiàn)本辦法以外的特殊情況時，將暫停評標，有關情況待評標委員會研究確定后，再行評定。

評標委員會經評審，認為投標供應商的投標不符合采購文件要求的，可以否決其投標。

本評標辦法解釋權歸采購人。

十、定標

陜西省地震局根據評標結果確定成交單位，對未成交單位不做原因解釋。

陜西省地震局

2023年8月30日