根据我处业务开展需要,拟开展省国际贸易单一窗口信息系统安全管理服务项目,现对该项目预算进行前期询价(此询价函仅为采购预算询价),欢迎合格报价人前来报价。
一、项目名称
省国际贸易单一窗口信息系统安全管理服务项目。
二、服务内容
详见附件。
三、报价人的资格要求
符合《中华人民共和国政府采购法》第二十二条规定条件。
四、其他
报价人可根据项目服务内容进行报价,报价限价100万,报价单上需注明单位(公司)全称,由法定代表人或其授权代表人签字并加盖公章,本询价函自2023年9月25日发出开始询价,各报价单位(公司)请于2023年 9月27日17时30分前将报价单填写完成并自行密封后(封口处需加盖公章)送或邮寄至我处(地址:福州市鼓楼区铜盘路118号主楼2层)。提交报价时,一并提交报价人单位(公司)营业执照复印件(复印件需加盖公章)。
五、联系方式
联系人:李 英
联系电话:0591-87271053
附件:1.项目服务内容
2.项目预算报价单
福建省商务厅通关处
2023年9月25日
附件1:
省国际贸易单一窗口信息系统安全管理
服务项目
一、服务内容
(一)应用系统安全服务
1.应用安全渗透测试服务,通过人工灰盒的测试方式,对省单一窗口应用系统进行专业级别的测试,针对Windows、Linux等操作系统进行渗透测试,发现操作系统弱口令、本地溢出漏洞、敏感信息泄露等漏洞;针对Web常见的Apache软件、IIS服务组件、Tomcat中间件等进行测试,发现由于版本较低或配置不当等造成的安全漏洞;针对Web常见的应用,重点测试由于安全设计不足和开发不规范等造成的SQL注入、木马上传、任意文件下载、业务逻辑等漏洞。通过应用安全渗透测试服务发现省单一窗口应用系统中存在的安全缺陷,输出渗透测试报告和应用系统安全策略整改方案,并对整改后问题进行复测,确保安全问题已得到处置。每季度输出1份应用安全渗透测试报告,服务期内共输出4份。
2.漏洞管理服务,使用专业漏洞扫描工具,检测网络设备,Windows、Linux操作系统,MySQL、Oracle等数据库和应用服务中存在的安全漏洞。每月输出1份漏洞扫描报告和修复建议,服务期内共输出12份。
3.新系统上线测试,根据《信息安全技术 信息安全风险评估方法》(GB/T 20984—2022),对新系统的资产、安全威胁、安全脆弱性及安全控制措施状况进行分析和评估。服务期内根据实际工作安排输出相应信息安全风险水平综合评价报告。
(二)网站安全态势感知服务
对省单一窗口应用系统提供7×24小时网站安全态势感知服务,服务内容主要包括:提供远程事件值守服务,对网站的HTTP/HTTPS可用性、DNS解析、挂马、黑链、篡改、敏感等内容进行监测,发现对外开放网站安全态势和风险隐患,及时提供技术支持、监测记录及相关信息。配备7×24小时值班人员与值班手机,对安全态势感知平台发现的网页挂马事件、页面变更事件、网页敏感内容事件、网站平稳度事件、网站域名解析事件、网页黑链事件等问题,第一时间进行人工验证和短信、电话告警,提供真实可靠的威胁情况分析和解决方案,并及时协助处置。每月输出1份信息安全服务报告,服务期内输出12份。
(三)云主机安全服务
1.云主机安全检查服务,针对省单一窗口应用系统所在的云主机服务器,通过安全产品排查和人工核实的方式,对系统中云主机、网络设备、操作系统、中间件、数据库和应用服务器的配置进行入侵痕迹排查和安全配置评估等安全检查,并根据配置核查结果提供云主机系统加固建议、云主机中间件优化建议、数据库系统加固建议、云主机入侵清查服务。每季度输出1份云主机系统配置核查报告,服务期内共输出4份。
2.云主机入侵风险感知服务,对省单一窗口云主机提供7×24小时云主机入侵风险感知服务,通过部署安全监控设备对木马、系统操作风险、入侵风险等云主机安全态势进行监控。配备7×24小时值班人员与值班手机,对安全态势感知平台发现的异常操作、木马文件、恶意外连等问题第一时间进行人工验证及短信告警。每月输出1份月度信息安全服务报告,服务期内输出12份。
(四)数据库安全审计服务
提供数据库安全审计服务,服务内容主要包括:通过对访问数据库行为进行记录与多角度分析,以及对异常行为进行告警通知、审计记录和事后追踪分析,准确展示、汇报数据库访问情况、安全风险和执行效率,方便管理和掌控数据库运行情况,提高数据库安全监管能力,规范数据库使用行为,保障数据资产安全。每月输出1份月度信息安全服务报告,服务期内输出12份。
(五)安全保障服务
1.重要时期安全保障,在重要会议或重大活动等重要敏感时期,从网络层面、服务器层面、数据层面构建全方面的安全保障服务,保障网络基础设施、重点网站和业务系统安全,确保业务系统安全平稳运行。服务期内每次重保均输出1份重保报告。
2.安全通告服务,包括提供高危漏洞通告、行业安全事件周报,定期提供最新安全漏洞、威胁(0day、系统漏洞、网络攻击)的解决办法、安全问题描述和相应的处理意见,以及相关安全信息。服务期内输出1份安全通告报告。
3.安全检查专题服务,通过专业技术手段,以工具和人工相结合的方式,对特定对象进行针对性地检查评估工作,并且配合做好相关安全检查工作。
4.产品软件升级服务,检测中间件等应用版本及版本历史漏洞,排查风险情况并提出相应版本的升级请求,协助完成版本升级等工作。
5.开展1次专项应急演练,包括提供应急演练规划、和应急演练总结报告。
6.开展1次安全培训活动,包括提供培训方案和培训材料。
7.提供5×8小时的安全人员驻点服务,协助开展安全运维工作,保障省单一窗口安全运行。
(六)系统安全加固服务
1.更新系统补丁,根据安全报告和建议及时安装或更新操作系统、平台、第三方软件以及应用程序的安全补丁,以修复已知漏洞和安全问题。
2.访问权限控制,配置和管理适当的访问控制策略,定期审计,限制系统访问权限;配置用户角色和访问权限,根据权限变更需求及时调整用户权限,定期审计用户的权限归集;按策略定期更改用户密码,包含操作系统密码、数据库密码、密钥等。
3.端口安全管理,定期梳理系统内外网端口,并审计系统端口,根据系统变更及时申请维护端口,回收闲置端口。每季度输出1份系统端口映射清单,服务期内共输出4份。
(七)其他相关费用
主要包括专家评审费和评审验收费。
二、其他
1.服务时限:1年。
2.本次市场需求调查非采购邀约,市场需求调查报价仅供后续实施采购参考,省国际贸易单一窗口信息系统安全管理服务项目报价金额不得超过100万元,超出为无效报价。
附件2:
项目预算报价单
|
序号
|
服务内容
|
具体要求
|
数量
|
报价
(万元)
|
|
1
|
应用系统安全服务
|
(1)应用安全渗透测试服务,通过人工灰盒的测试方式,对省单一窗口应用系统进行专业级别的测试,针对Windows、Linux等操作系统进行渗透测试,发现操作系统弱口令、本地溢出漏洞、敏感信息泄露等漏洞;针对Web常见的Apache软件、IIS服务组件、Tomcat中间件等进行测试,发现由于版本较低或配置不当等造成的安全漏洞;针对Web常见的应用,重点测试由于安全设计不足和开发不规范等造成的SQL注入、木马上传、任意文件下载、业务逻辑等漏洞。通过应用安全渗透测试服务发现省单一窗口应用系统中存在的安全缺陷,输出渗透测试报告和应用系统安全策略整改方案,并对整改后问题进行复测,确保安全问题已得到处置。每季度输出1份应用安全渗透测试报告,服务期内共输出4份。
|
1项
|
|
|
(2)漏洞管理服务,使用专业漏洞扫描工具,检测网络设备,Windows、Linux操作系统,MySQL、Oracle等数据库和应用服务中存在的安全漏洞。每月输出1份漏洞扫描报告和修复建议,服务期内共输出12份。
|
1项
|
|
|
(3)新系统上线测试,根据《信息安全技术 信息安全风险评估方法》(GB/T 20984—2022),对新系统的资产、安全威胁、安全脆弱性及安全控制措施状况进行分析和评估。服务期内根据实际工作安排输出相应信息安全风险水平综合评价报告。
|
1项
|
|
|
2
|
网站安全态势感知服务
|
对省单一窗口应用系统提供7×24小时网站安全态势感知服务,服务内容主要包括:提供远程事件值守服务,对网站的HTTP/HTTPS可用性、DNS解析、挂马、黑链、篡改、敏感等内容进行监测,发现对外开放网站安全态势和风险隐患,及时提供技术支持、监测记录及相关信息。配备7×24小时值班人员与值班手机,对安全态势感知平台发现的网页挂马事件、页面变更事件、网页敏感内容事件、网站平稳度事件、网站域名解析事件、网页黑链事件等问题,第一时间进行人工验证和短信、电话告警,提供真实可靠的威胁情况分析和解决方案,并及时协助处置。每月输出1份信息安全服务报告,服务期内输出12份。
|
1项
|
|
|
3
|
云主机安全服务
|
(1)云主机安全检查服务,针对省单一窗口应用系统所在的云主机服务器,通过安全产品排查和人工核实的方式,对系统中云主机、网络设备、操作系统、中间件、数据库和应用服务器的配置进行入侵痕迹排查和安全配置评估等安全检查,并根据配置核查结果提供云主机系统加固建议、云主机中间件优化建议、数据库系统加固建议、云主机入侵清查服务。每季度输出1份云主机系统配置核查报告,服务期内共输出4份。
|
1项
|
|
|
(2)云主机入侵风险感知服务,对省单一窗口云主机提供7×24小时云主机入侵风险感知服务,通过部署安全监控设备对木马、系统操作风险、入侵风险等云主机安全态势进行监控。配备7×24小时值班人员与值班手机,对安全态势感知平台发现的异常操作、木马文件、恶意外连等问题第一时间进行人工验证及短信告警。每月输出1份月度信息安全服务报告,服务期内输出12份
|
1项
|
|
|
4
|
数据库安全审计服务
|
提供数据库安全审计服务,服务内容主要包括:通过对访问数据库行为进行记录与多角度分析,以及对异常行为进行告警通知、审计记录和事后追踪分析,准确展示、汇报数据库访问情况、安全风险和执行效率,方便管理和掌控数据库运行情况,提高数据库安全监管能力,规范数据库使用行为,保障数据资产安全。每月输出1份月度信息安全服务报告,服务期内输出12份。
|
1项
|
|
|
5
|
安全保障服务
|
(1)重要时期安全保障,在重要会议或重大活动等重要敏感时期,从网络层面、服务器层面、数据层面构建全方面的安全保障服务,保障网络基础设施、重点网站和业务系统安全,确保业务系统安全平稳运行。服务期内每次重保均输出1份重保报告。
|
1项
|
|
|
(2)安全通告服务,包括提供高危漏洞通告、行业安全事件周报,定期提供最新安全漏洞、威胁(0day、系统漏洞、网络攻击)的解决办法、安全问题描述和相应的处理意见,以及相关安全信息。服务期内输出1份安全通告报告。
|
1项
|
|
|
(3)安全检查专题服务,通过专业技术手段,以工具和人工相结合的方式,对特定对象进行针对性地检查评估工作,并且配合做好相关安全检查工作。
|
1项
|
|
|
(4)产品软件升级服务,检测中间件等应用版本及版本历史漏洞,排查风险情况并提出相应版本的升级请求,协助完成版本升级等工作。
|
1项
|
|
|
(5)开展1次专项应急演练,包括提供应急演练规划、和应急演练总结报告。
|
1项
|
|
|
(6)开展1次安全培训活动,包括提供培训方案和培训材料。
|
1项
|
|
|
(7)提供5×8小时的安全人员驻点服务,协助开展安全运维工作,保障省单一窗口安全运行。
|
1项
|
|
|
6
|
系统安全加固服务
|
(1)更新系统补丁,根据安全报告和建议及时安装或更新操作系统、平台、第三方软件以及应用程序的安全补丁,以修复已知漏洞和安全问题。
|
1项
|
|
|
(2)访问权限控制,配置和管理适当的访问控制策略,定期审计,限制系统访问权限;配置用户角色和访问权限,根据权限变更需求及时调整用户权限,定期审计用户的权限归集;按策略定期更改用户密码,包含操作系统密码、数据库密码、密钥等。
|
1项
|
|
|
(3)端口安全管理,定期梳理系统内外网端口,并审计系统端口,根据系统变更及时申请维护端口,回收闲置端口。每季度输出1份系统端口映射清单,服务期内共输出4份。
|
1项
|
|
|
7
|
其他相关费用
|
主要包括专家评审费和评审验收费
|
1项
|
|
|
合 计
|
|
|
报价单位(全称并盖章):
|
|
法人或授权人签字:
|
|
联系电话:
|
|
报价时间: 年 月 日
|
询价人:福建省商务厅通关处
联系人:李英 联系电话:0591-87271053
地址:福建省福州市鼓楼区铜盘路118号主楼2层
询价时间:2023年9月25日-2023年9月27日17时30分
闽公网安备
35010202000125号 版权所有:福建省商务厅地址:福州市鼓楼区铜盘路118号 
福建省商务厅官方微信
闽政通APP
