XX大学网络与信息技术中心202X年网络安全检测类采购方案（2024年）.docx

XX大学网络与信息技术中心202X年网络安全检测类采购方案一、采购方式：竞争性谈判二、服务期及付款方式，服务期：壹年从签订合同之日起五个工作日内供应商向校方支付合同总价5%的合同款作为合同履约保证金。服务期满经质量验收合格，由供应商向我校提供发票等有效凭证后，我校向供应商支付100%合同款。验收合格后，合同履约保证金退付按学校相关规定向供应商退还。三、交货期要求1、合同签订生效后，10个日历H内供应商进场进行服务。2、如我校在项目实施后发现成交供应商所交服务质量或内容不符合本项目合同产品配置及价格清单约定的情况，我校将拒收本次服务项目，由此产生的一切后果及损失由供应商自行承担。四、其他商务条款：（一）售后服务1、服务响应时间：项目服务期间提供7*24小时的监测与预警服务受理：2、技术服务：自最终验收合格之日起3个日历日内，中选供应商必须将所有相关技术资料（包含并不仅限于：所提供产品的布局图、走线图、使用说明书、合格证、服务手册等）交采购人留存备案。3、中选供应商必须对其所提供的设备及采用的相关技术进行免费现场培训，以满足使用单位在口常存储、使用、操作等方面的需求。因培训而产生的一切费用均由中选供应商承担。（二）服务地点，XX大学指定地点。（三）服务实施要求1、供应商在履行本合同时，应遵守校方各项管理制度，版从校方的安排和管理，安全操作，文明服务，做好安全防范措施，如供应商因违反上述约定造成甲方人身、财产损害的，由供应商承担赔偿责任，同时供应商在合同履行过程中发生的任何人身伤亡事故，均由供应商承担一切法律责任及赔偿责任。2、其他要求（软件项目参考如下）明确软件的服务器、搭载运行平台，网络等要求（明确是由学校提供还是涵盖在本项目采购中），（1）系统需要与学校网络教学平台做好功能对接、数据对接，信息完全同步。（2）与学校智慧校园对接相关要求。软件系统数据满足学校数据标准要求，并按学校要求实现与学校智慈校园平台数据集成、认证对接和企业微信等学校使用的移动门户平台集成，原则上不允许单独APP部署，所有移动端功能与学校企业微信进行集成。具体集成需求细节应在项目实施前与网络与信息技术中心讨论形成对接方案，并由网络与信息技术中心认可后项目方可实施。项目验收必须由网络与信息技术中心进行验证，满足要求后方可进入验收流程。系统与学校智慧校园完成认证对接后原则上不允许保留单独的登录页面及登录方式。系统必须按照学校要求免费提供系统业务接口并协助第三方系统进行功能集成与深度业务对接工作。如该工作需要进行二次开发,二次开发费用需与学校协商确定，并提供相关开发工作的实际合同（三份）供学校参考。应根据用户（甲方）的实际应用情况进行个性化适应性二次开发，宜至验收合格为止。系统安全性满足国家信息系统安全等级保护二级标准，数据安全满足国家密码等保和数据安全法相关要求。如学校开展等级保护测评工作，软件厂商须无条件配合学校完成等级保护二级测评工作,对测评中发现的不满足二级等保要求的软件安全风险点免费限期进行整改，以达到等保相关要求。系统上线前中标方必须通过由公安与网信部门颁发安全资质的安全机构对系统进行安全扫描和渗透测试并形成评估报告，对发现的安全问题必须进行限期整改，并再次测试通过后才能上线运行，所产生的费用由中标方负贡。如学校使用的应用软件版本新发现重大网络安全漏洞，在软件服务期内的，中标方须第一时间进行修补，如超过服务期，中标方则有义务提醒和协助学校进行修补。（三）版权：定制软件一般要求开发完成后要协助学校取得该软件的著作权证”：成品软件需投标时提供相应软件的著作权证书及销售许可（四）项目验收1、中选供应商在交货及验收活动中必须遵守采购人的有关规定。2、中选供应商负责本次采购产品的运抵采购人指定的交货地点后由采购人严格按照比选文件、响应文件及答疑记录进行验收。3、最终验收：在收到中选供应商书面验收通知后，由采购人尽快组织相关人员依照相关标准、规范、要求、合同及有关附件要求进行验收。4、相关检验检测和验收费用全部由中选供应商承担。（五）培训要求1、中选供应商应派遣其精通业务的、健康的、合格的技术人员到合同货物的安装现场提供技术服务。2、中选供应商将根据自身的培训政策和使用方的具体的要求，直接向采购人或使用单位提供培训，包括中选供应商提供的设备管理培训I、技术培训和使用方要求的其他培训内容。3、以上培训内容的培训费用由中选供应商承担。五、设备名称及数量序号名称数量1202X年网络安全服务采购项目1包（安全检测类）1套六、详细参数及技术要求服务项一：漆透测试提供六个业务资产的渗透测试，渗透测试要求如卜.：1、投标方应保证招标方信息系统正常运行前提下，模拟黑客攻击行为通过远程或本地方式对信息系统进行非破坏性的入侵测试，查找针对应用程序的各种漏洞，帮助招标方理解应用系统当前的安全状况,发现布系统复杂结构中的最脆弱链路并针对安全隐患提出解决办法,切实保证信息系统安全。2、渗透测试应至少包括但不限于以卜范围的漏洞：WEB应用系统渗透、主机操作系统渗透、数据库系统渗透。3、渗透测试内容包括但不限于：身份验证类、会话管理类、访问控制类、输入处理类、信息泄露类、第三方应用类4、投标方渗透测试人员应针对使用不同技术手段发现不同纬度的漏洞，并进行验证，形成记耒和报告。5、为确保渗透效果，要求可通过脆弱性检测工具对资产实现漏洞扫描、WEB漏洞扫描、基线核查、弱口令检测及渗透测试等工作后，将检测结果同步至服务平台，自动生成脆弱性识别表，为风险分析提供数据。（评审依据：响应文件中需提供相关做图证明，并加盖制造厂商公章,不提供或所提供的佐证材料模糊、不清晰无法证明的视为不满足）6、为了更好的发现单位内部存在的漏洞，要求供应商服务过程中使用的工具应具备以下功能：支持流量实时识别漏洞分析，漏洞分析类型包含配置错误漏洞、OPenSSH漏洞、OPen1.DAP等操作系统、数据库、WCb应用等。（评审依据I响应文件中需提供相关截图证明，并加盖制造厂商公章,不提供或所提供的佐证材料模糊、不清晰无法证明的视为不满足）服务项二：红队检测服务1、按照学校时间要求为学校提供一次红队检测服务，队员3人，服务时长持续5天。2、服务内容：红队成员以ApT攻击者视角对用户现有防御体系进行深度渗透测试，对目标系统、人员、软硬件设备、基础架构，进行多维度、多手段、对抗性模拟攻击，旨在发现可能被入侵的薄弱点，并以此为跳板将攻击渗透结果最大化，进而检验现有防御体系的短板,其中包括网络系统渗透，外围打点，内网横向。3、服务后提供的交付物包括：红队检测服务实施方案红队检测服务报告红队检测服务总结汇报4、红队检测应至少包括但不限于以下范围：Web相关业务系统，包含相同域名或IP下的不同端口的业务系统微信小程序、微信公众号等移动端接入点APP服务器（不涉及APP客户端的逆向分析）数据库系统（如：Redis、MySq1、MSSq1、OraC1.e等）协商的授权范围（如：集团总部、具体二级子公司等）其他常见的服务（如：邮件系统、RDP、SSH等）5、红队检测内容包括但不限于：安全设备类、服务器、主机类、网络设备类、数据库类、集权系统类、第三方应用类、Web安全类6、为了保障红队检测的效果，要求攻击队伍获得过至少2个省级HW攻防演练比赛的的攻击队伍排名前三。服务项三：网站安全监测服务1、网站云监测系统基于云架构的SaaS化产品，无需用户部署任何软硬件，通过账号可直接进行管理，提供UO个域名/年。2、支持显示被监管网站列表。直观查看网站所属公司、解析IP、自动获取DNS服务器地址、访问状态、安全事件数、是否有新增资产、网站贡任人信息。3、支持短信、邮件将通报发给网站负责人。快捷生成短UR1.分享链接，供被监管单位RS时随地登陆通报进行处理。4、支持多引擎扫描网站存在的安全漏洞，默认每周检测一次，并支持自定义监测周期。5、基于已获取的全国范围内的DNS解析数据、10亿终端监测数据以及4000万页面/天的实时监测技术，可在钓鱼/仿冒网站出现的第一时间通知到客户。6、提供基于大数据支撑的黑词暗链发现技术手段，支持全站监测，可定位源代码篡改的位置和内容，支持监测频率H定义。7、结合海量词库及人工识别，提供敏感词发现的技术手段，支持全站监测，可定位敏感词位置和内容，提供内容篡改的历史对比图，支持监测频率自定义8、支持对HTTP监测频率H定义：支持全国范围内至少具备10个监测点，确保电信、联通和移动都具备监测点；支持h1.1.ps监控和自定义UR1.监控：支持网站故障原因定位，不限于：响应连接被重置、连接超时、h1.tp状态码、连接被拒绝等9、支持可用性监测设置请求参数，包括：HTTP头、Cookie.用户认证(Basicuth)设置，支持设置是否进行SS1.证书验证。10、F1.动扫描发现与被监管网站相关的未知资产，可通过一级域名F1.动发现所有的子域名，并可形成告警下发。11、提供Web系统总体安全态势服务和大屏呈现，能够以从业务角度开放性的对数据进行筛选、分析、呈现，可直观了解到当前网络安全态势；12、支持可用性节点智能监测，可以配置最少监测节点数量并且每次随机选择节点进行监测。提供产品功能截图并加盖制造商公章佐证13、支持按照响应时间、状态码、body的json字段、HnP响应头等设置可用性监测的告警条件,提供产品功能截图并加盖制造商公章佐证.14、支持对网站页面篡改监测及黑链进行检测检测，通过黑链特征数据库与当前检测页面进行匹配，判断当前检测页面中是否包含黑链特征数据库中的黑链特征数据。提供检测技术原理说明及国家权威机构颁发的页面篡改检测方法及黑链数据库生成相关证明文件并加盖制造商公章佐证。15、支持网站挂马监测，支持对监测网站的后门程序进行自动监测检测，包括后门文件的指纹内容,提供第三方机构颁发的检测网站是否存在后门程序的方法相关证明文件并加盖制造商公章佐证。服务项四：安全运营服务考核指标1、签订安全事件服务承诺书：2、安全事件产生至侦测并发布预警，间隔不超过2个小时，安全事件经过人工确认后准确率达99%；若不达标一次，延长安全服务总期限时间一周；3、启用应急响应机制，10分钟内线上安全服务团队进行响应，同城2小时上门处置，同省4小时内上门处置；若不达标一次，延长安全服务总期限时间一周：4、参考国家网络安全事件应急预案中1.4事件分级为标准，对属于本次项目服务范畴内，发生的安全事件进行分级。在供应商实施服务期间，尤其是在国家或上级主管单位制定的网络安全重点保障时期内，发生特别重大网络安全事件未及时监测，但被上级主管部门监测通报，每发生一次即扣除版务合同金额10%为赔偿金；发生重大网络安全事件和较大网络安全事件未及时监测，每发生一次即扣除服务合同5%为赔偿金；一般网络安全事件未及时监测，每发生一次即延长安全服务总期限时间一周。5、中标供应商所提供的红队检测版务中若未发现高危漏洞、服务器或业务系统失陷等重大安全问题，而采购人在202X年XX省网络安全攻防演练(HW)行动或其他网络安全活动中被其他单位或机构检测存在高危安全问题，则该中标供应商所提供红队检测服务不合格，一次扣除服务合同金额10%为赔偿金。(评审依据：响应文件中需提供该项承诺函，并加盖公章)