辽宁省委政法委网络安全运营服务项目竞争性磋商公告

★一、总体要求

1. (略) 络空间、终端、跨网边界全维度建立全生命周期的安全防护体系和监管体系。 (略) (略) 、端、边、面的数据的技术对接，实现 (略) 。

2.网络安全技术能力提升服务包含：边界安全防护服务、威胁检测服务、WEB应用防护服务、数据库安全审计服务、安全运维审计服务、漏洞扫描服务，日志安全审计服务、安全隔离与数据交换服务、终端恶意代码防护服务、安全指挥运营服务。

3. (略) 需要服务内容包含：边界安全防护服务、威胁检测服务、安全运维审计服务、漏洞扫描服务，日志安全审计服务、终端恶意代码防护服务、安全指挥运营服务。

4. (略) 区需要服务内容包含：边界安全防护服务、威胁检测服务、日志安全审计服务、终端恶意代码防护服务、安全隔离与数据交换服务。

5.核 (略) 需要服务内容包含：边界安全防护服务、数据库安全审计服务、WEB应用防护服务。

6.外 (略) 需要服务内容包含：边界安全防护服务、安全隔离与数据交换服务。

二、服务能力要求

（一）边界安全防护服务

投标人须提供符合需求的边界安全防护服务，实现有效阻止外部攻击， (略) 络安全稳定运行、满足合规要求的目的。具体服务需求如下：

1.服务能力：

（1）须具备访问控制、病毒防护、入侵防御、抗拒绝服务等服务能力，建立全面的出口防护；

（2）具备访问控制能力：支持基于源IP地址、源端口、目的IP地址、源MAC、服务、流入\流出安全域、时间调度、用户、用户组、应用防护策略、流控策略、长连接等多个元素进行访问控制；

（3）具备病毒防护能力：支持HTTP,SMTP,FTP,PO3P,IMAP等多种应用协议下病毒防护；

（4）具备入侵防御能力：支持对HTTP、SMTP、POP3、FTP、Telnet、VLAN等多种协议的分析，特征规则数量不少于9500条，特征库可按分组进行管理，并支持基于策略的入侵检测与防护。

2.服务指标：

★（1）具备国产化CPU及国产化操作系统服务能力；千兆电口≥7个，千兆光口≥4个，万兆光口≥2个，网络板卡扩展槽位≥1个，硬盘≥256GB SSD + 4TB HDD，内存≥16G；至少提供1年IPS特征库、1年防病毒库；

★（2）网络层吞吐量服务能力≥9800Mbps；TCP新建服务能力≥*/秒；TCP并发服务能力≥*。

（二）威胁检测服务

投标人须提供符合需求的威胁检测服务，实现精准识别威胁、预警，达到预防安全事件安全、保护信息资产安全的目的。具体服务需求如下：

1.服务能力：

（1）须具备双向检测、攻击链回溯分析、自定义规则、机器学均）服务能力≥3000EPS，审计对象服务能力≥100个。

（八）安全隔离与数据交换服务

投标人须提供符合需求的安全隔离与数据交换服务， (略) 安全隔离与数据交换，达到物理上隔离、阻断了攻击的一切连接。具体服务需求如下：

1.服务能力：

（1）须具备文件交换、FTP访问、数据库传输、邮件传输、安全浏览等服务能力，实现了两个不同安 (略) 络或安全域之间的安全强隔离，提供数据交换手段，保证数据搬 (略) 处于物理断开状态；

（2）具备文件交换能力：支持文件的安全交换，可通过FTP、SFTP、NFS、SMBFS、SAMBA方式进行文件交换；

（3）具备数据库同步能力：支持对Oracle、SQLServer、Sybase、Db2、MySQL等数据库间单向和双向同步；并可实现同构、异构同步、一对多、多对一同步、字段级的同步能力；

（4）具备安全浏览能力：支持透明访问和普通访问方式， (略) 用户安 (略) 资源，实现有 (略) 数据的安全；

（5）具备安全管理能力：支持内/外网主机系统分别具有独立管理接口，管理员分级管理；

（6）具备安全性能力：基于服务能力重要性及安全性考虑，支持双系统能力，即在一个系统发生故障时，可以切换到另一个系统。

2.服务指标：

★（1）具备国产化CPU及国产化操作系统服务能力；内网接口：HA口≥1个，管理口≥1个，千兆电口≥6个，千兆光口≥4个，网络板卡操作槽位≥2个，内存≥8G，硬盘≥64G SSD；外网接口：HA口≥1个，管理口≥1个，千兆电口≥6个，千兆光口≥4个，网络板卡操作槽位≥2个，内存≥8G，硬盘≥64G SSD；

★（2）网络吞吐量服务能力≥950Mbps，最大并发服务能力≥50W，延迟服务能力≤1ms。

（九）终端恶意代码防护服务

投标人须提供符合需求的安全隔离与数据交换服务，实现对终端资产风险识别、威胁发现、分析研判和响应管控，达到构建终端安全防护能力。具体服务需求如下：

1.服务能力：

（1）须具备病毒查杀、主动响应、资产管理、非法外联、外设管理、网络管控等能力，实现从人员、风险、数据多个维度实时提供管理、检测、审计与运维的持续监控和动态分析，构建自适应的终端安全闭环，解决终端安全威胁防范问题；

（2）具备病毒查杀能力：支持对已知、未知病毒、木马、恶意程序及各种加壳的病毒文件进行检测、清除。还具备宏病毒专杀、主动防御技术，保证终端安全；

（3）具备主动响应能力：支持提取告警中的特征， (略) 置规则，自动对该 (略) 进 (略) 置，提高响应时效；

（4）具备非法外联能力：支持终端的非法外联行为进行监控和告警，一旦发现终端发生非法外联行为，可根据设定动作进行响应，直至非法外联行为中止后才会解除；

（5）具备资产管理能力：支持资产管理能力包括资产发现、资产展示、资产清点和资产概览；

（6）具备外设管理能力：支持接入终端的移动存储设备进行认证，对未认证的移动存储设备，自动阻止对该移动存储设备的读取或写入操作，并弹出认证和注册提示窗，提示对设备进行认证，确保只有认证过的移动存储设备才能够在终端使用。

2.服务指标：

★（1）具备国产化环境部署服务能力，承载端为具备国产化CPU及国产化操作系统；处理器规格≥16核2.5GHz，千兆接口≥2个，内存≥32G，硬盘≥2T，具备raid能力，可终端管理及病毒查杀部署服务能力≥100个终端；

（十）安全指挥运营服务

投标人须提供符合需求的安全指挥运营服务，实现威胁信息的收集、分析、展示， (略) 的整体安全风险的掌控。具体服务需求如下：

1.服务能力：

（1）须具备资产管理、一键封堵、关联分析、范式化、脆弱性管理、告警管理、态势大屏、报表报告、工单管理等服务能力；

（2）具备态势大屏能力：支持安全要素获取和数据信息 (略) 理分析，将呈现资产态势、攻击态势、运行态势、脆弱性态势、风险态势、威胁态势等，实现信息直观呈现；

（3）具备一键封堵能力：支持快速对IP、URL、域名等对象进行一键封堵，通过策略配置封堵模板和元数据管理内容，并支持对封禁记录图形化统计展示，可通过柱状图、封禁IP云图等方式展示封禁任务成功次数、模块使用数量；

（4）关联分析能力：支持实时不间断地对所有范式化后的日志流进行日志关联分析。为运营人员提供基于规则的关联分析能力；

（5）资产管理能力：支持通过流量被动发现资产、日志识别资产、脆弱性识别资产，手动添加或批量导入资产，可自动进行重复资产合并，以便减少资产管理人员人工确认的情况；

（6）告警管理能力:支持通过访问关系、攻击上下文日志、流量、pcap包信息来快速定位入侵原因、制定应急决策；

（7）脆弱性管理能力：支持漏洞扫描服务能力所 (略) 漏洞弱点进行脆弱性呈现，实现从脆弱性统计、脆弱性发现、脆弱性清单、脆弱性追踪形成一个脆弱性生命周期的管理闭环业务；

（8）工单管理能力：支持通过工作流机制实现工单的流程管理，包括工单的创建、审批、驳回、撤销等，为安全运营工作开展提供支撑。

2.服务指标：

★（1）具备国产化环境部署服务能力，承载端为具备国产化CPU及国产化操作系统；处理器≥2个，处理器规格≥32核心2.6GHZ，≥2个千兆接口，具备接口扩展能力，内存≥128G，硬盘≥8T，具备raid能力；管理节点服务能力≥50；

★（2）日 (略) 理（平均）服务能力≥*EPS，简单搜索服务能力50亿条事件完成用时≤3秒。

2、安全运营服务

★一、总体要求

1. (略) 络安全防 (略) 络安全运营现状， (略) 络安全运营工作体系， (略) 络安全日常运营、网络安全管理规范、网络安全应急与响应，实现威胁应对、 (略) 络安全、提升安全韧性。

2.服务期内，须提供威胁监测服务、安 (略) 置服务、专属漏洞提醒和验证服务、应急响应服务、安全管理规范编写、资产梳理服务、设备巡检服务、设备运行监控服务、安全意识培训服务、量化工作及材料梳理服务、设备协同服务；

3、服务期内，至少提供1名安全运营人员，进行安全运营服务。

★二、服务能力要求：

（一）威胁监测服务

1.服务期内，安全运营人 (略) 络及业务 (略) 络安全威胁监测，监测内容包括但不限于：弱口令事件、网络攻击事件、异常流量事件等，并针对每日的安全威胁事件进行分析，形成专项报告。

2.服务交付物：《网络安全监控报告》。

3.服务频次：工作日。

（二） (略) 置服务

1.服务期内，现场安全运营人员须对发现的安全事件进行威胁分析、研判、处置， (略) 内的安全威胁，出具《安 (略) 置报告》。

2.服务交付物：《安 (略) 置报告》。

3.服务频次：工作日。

（三）专属漏洞提醒和验证服务

1.服务期内，对服务范围内的应用系统中与有关部门WEB扫描、公安通报中心、Cncert、测评中心等漏洞机构公告的内容相关的漏洞内容进行人工验证，提交验证报告，同时同步关注各大漏洞发掘机构，出现新的危害性漏洞以报告的形式迅速通知采购人并提出专项解决建议。

2.服务交付物：《漏洞验证报告》《漏洞提醒报告》。

3.服务频次：服务期内。

（四）应急响应服务

1.服务期内，根据事件类别和级别，通过远程和现场支撑的形式协助对遇到的突发性安全事件进行紧急 (略) 理，如有违规情况发生可按照相关制度进 (略) 置。主要工作内容包括：突发事件相关信息的收集、事件的分析、报告提交、问题解决建议等。紧急事件主要包括：病毒和蠕虫事件、黑客入侵事件，误操作或设备故障事件等。

2.服务交付物：《应急响应报告》。

3.服务频次：7×24小时。

（五）安全管理规范编写服务

1.服务期内， (略) 络安全法相 (略) 络安全体系进行规划，网络安全制度进行编写以及修改。建立完整的安全体系制度，明确组织架构，安全注意度，管理办法等。投标人所制定制度应按照如下框架编写：

（1）策略性文档

包括但不限于：信息安全总体策略、安全 (略) 络边界隔离安全策略、网络设备安全策略、防火墙设备安全配置策略等；

（2）制度、规范性文档

包括但不限于：安全文档管理制度、信息安全组织及岗责、人员安全管理制度、第三方驻场运维人员管理制度、信息安全培训管理制度、保密管理制度、信息资产管理制度等；

（3）模版表格类文档

包括但不限于：各类资产清单、防火墙访问规则审批表、变更申请表等其他制度配套文档；

2.服务交付物：《网络安全规范相关材料》《安全管理体系制度》。

（六）资产梳理服务

1.服务期内，通过专业的资产排查核对工具，对网络内部的信息资产进行梳理分类， (略) 络资产动态管理方法周期性的建立并更新信息资产台账，形成《资产台账表》。

2.服务交付物：《资产台账表》。

3.服务频次：每季度一次。

（七）设备巡检服务

1.服务期内，现场安全运营人员须提供安全设备的定期巡检服务，巡检内容包括：安全设备（软件/硬件）的运行情况、特征库更新情况、设备版本更新情况、设备资源使用情况（CPU、内存、硬盘空间）。

2.服务交付物：《安全设备巡检报告》。

3.服务频次：工作日。

（八）设备运行监控服务

1.服务期内，现场安全运营人员须提供对设备的实时监控，并根据实际情况实时调整设备策略，对潜在威 (略) 置，每日输出《运行监控报告》。

2.服务交付物：《运行监控报告》。

3.服务频次：工作日。

（九）安全意识培训服务

1.服务期内，投标人须针对工作人员提供现场安全培训。培训内容包括：网络安全政策、法规、运维安全意识、防钓鱼意识等培训，全面增强工作人员的安全素养。

2.服务交付物：《网络安全培训材料》。

3.服务频次：不少于2次。

（十）量化工作及材料梳理服务

1.服务期内，现场安全运营人员须根据每日的安全设备（软件/硬件）运行情况、特征库更新情况、设备版本更新情况、设备资源使用情况（CPU、内存、硬盘空间），整合输出本月的《月度设备巡检报告》《月度运行监控报告》等。

2.服务交付物：《月度设备巡检报告》《月度运行监控报告》。

3.服务频次：每月一次。

（十一）设备协调服务

1.服务期内，如发生因设备性能故障、硬件问题、产品bug等原因造成的业务稳定性异常、业务中断等问题时，现场安全运营人员应第一时间联系产品厂商，协调厂商进行版本升级、故障排查、返厂维修、备机更换等，并制定设备应急措施，减少业务影响周期，保证业务的持续性、连续性。

2.服务交付物：《设备应急措施》《厂商应急通信录》。

3.服务频次：服务期内。

（十二）安全运营人员服务能力

1.服务期内，须提供安全运营人员一名，该人员须具备安全设备调试能力、事件研判分析能力、文档写作能力、安全服务能力，能够根据的采购人的需求提供相关的文档材料，并且熟练适用nmap、fscan、goby等开源扫描工具，安全运营人员须具备3年以上工作经验及《 (略) 络信息安全工程师》证书。

2.服务交付物：1名安全运营人员。

3.服务频次：服务期内。

3、网络安全风险评估服务

★一、总体要求

1. (略) 络安全风险评估体系，梳理自身所面临的威胁及其威胁方式方法，便于有针对性防护。认识自身存在的脆弱性不足，能够有目的性地进行补遗整改。

2.服务期内，须提供漏洞监测服务、弱口令检查服务、渗透测试服务等。

★二、服务能力要求

（一）漏洞监测服务

1.服务期内，依据采购人需求，对服务范围内的应用系统及与系统相关的服务器和 (略) 络设备，包括操作系统、中间件、应用系统、安 (略) 络设备等IT资源进行安全漏洞扫描，使用至少两种扫描工具进行交叉扫描以保证漏洞的真实性和全面性，并根据漏洞逐条提供整改建议与整改方案，出具《漏洞扫描报告》与《漏洞整改建议报告》。

2.服务交付物：《漏洞扫描报告》与《漏洞整改建议报告》。

3.服务频次：每季度一次。

（二）弱口令检查服务

1.服务期内为保证每个业务系统中应用、中间件、数据库、操作系统口令的复杂度和安全性，对服务范围内的2个业务系统进行弱口令安全检查，检查方法包括弱口令扫描工具检查、流量设备探查、探针设备探测等方式，并且在发现业务系统中存在弱口令时第一时间联系责任人进行整改，并根据应用系统实际情况制定详细的密码安全策略。

2.服务交付物：《弱口令报告》与《密码安全策略建议方案》。

3.服务频次：每半年一次。

（三）渗透测试服务

1.服务期内，依据采购人需求，对服务范围内的应用系统进行渗透测试，渗透测试人员在不损害系统的前提下以黑客的手段开展渗透攻击。挖掘信息系统中更深层次的安全漏洞。测试过程中完整的记录测试过程与细节，以证实哪些系统存在风险，并交付渗透测试报告。同时制定完善的安全防御措施，并协助相关运维单位进行问题整改及问题复核。为确保渗透测试全面性，测试包括但不限于如下内容：

信息收集、SQL注入、XSS跨站、命令执行、文件包含、XXE攻击(XML实体注入)、业务逻辑、弱口令、目录遍历、上传漏洞、CSRF（跨站请求伪造）、文件上传、SSRF（服务端请求伪造）、报错敏感信息泄露、HTTP头信息泄露、应用部署文件残留、未授权漏洞、文件包含、反序列化漏洞、目录浏览漏洞、IIS短文件名漏洞、Struts2框架漏洞、不安全的用户认证、传输过程泄露、第三方库安全性、SSL/TLS安全性、僵尸域名残留泄露、可允许枚举用户名、回显显示内部错误、回显显示多余信息、暴力破解、登录提示导致信息泄漏、会话固定攻击、Cookie泄漏、验证码可绕过、Session未失效、短信炸弹、竞争性漏洞、重放攻击、中间件漏洞等。

2.服务交付物：《渗透测试报告》。

3.服务频次：每半年一次。