一、项目基本信息1、 项目名称：信息安全服务项目2、 招标编号： STZBF(G)2024-1873、 项目地址：山推国际事业园总部大楼4、 到货周期：两周5、 资金来源：自筹6、 项目概况：信息安全服务项目一年、信息安全重保服务一年项目说明，主要采购清单，技术规格等主要参数。设备名称采购数量规格参数维保类型备注安全服务1年一、信息安全服务要求1、为山推提供信息安全服务，包括但不限于信息安全风险预警及处置、渗透测试、漏洞扫描、弱口令检查、APP合规检测、业务上线前安全隐患****网暴漏面检查、代码审计、攻防演练、应急响应服务、安全设备策略调优等服务；指定专人组建安全服务团队，团队成员数量不少于三人，团队成员具备三年及以上类似本项目工作经验，以及必须参加过省级攻防演习。所有攻防测试不影响系统运行。所有安全技术人员、专家必须为原厂商技术人员，工作人员进场前，须向山推提供原厂人员的社保等证明材料，非原厂人员不得参与任何安全服务工作。2、安全服务实施前必须对山推全域****网络进行梳理，确保无漏项，根据风险级别进行分类分级，部署安全防护策略，提出改进措施，形成首次安全服务分析报告。日常****网络渗透、漏扫等风险检测，必须涵盖所有已公布漏洞检测情况。3、制定安服考核办法，根据考核效果，按季度支付安全费用。二、信息安全技术要求1、信息安全风险预警及处置：与山推现有7X24小时信息安全监控服务、云WAF无缝对接，实时风险预警、分析、联动处理。信息安全相关信息联动及共享服务，通过微信服务号、微信群、邮箱等手段，实现安全信息高效共享，根据内外部安全态势，提供中高危安全风险预警及处置方案，协助消除安全隐患。2、 渗透测试服务，一个季度不少于一次，同时需要根据山推要求额外随时进行渗透测试，每次渗透测试必须覆****网络及信息系统，渗透测试整改完成后，需进行整改效果验证。渗透测试应使用专业工具，由参加过省级攻防演习的工程师模拟黑客，对山推全域****网络进行模拟攻击，最终形成渗透测试报告。3、漏洞扫描服务：一个月不少于一次漏洞扫描服务，同时需要根据山推要求额外随时进行漏扫服务，每次漏扫必须覆****网络及信息系统，对指定服务器进行漏洞扫描，形成漏扫报告及整改复测报告；每周进行一次弱口令扫描服务，根据山推要求对指定服务器、业务系统进行弱口令检测，形成弱口令检查报告。4、业务上线前安全隐患排查服务：业务上线前对业务系统进行全端口漏洞扫描、形成漏扫结果，待整改完成后，进行复测，直至达到无漏洞为止。新业务系统上线前应进行代码审计，推荐人工和机器协同检测方式。5、代码审计服务：一季度不少于三次，同时需要根据山推要求额外随时进行代码审计服务。针对山推提供的系统源代码，进行全量代码安全审计，从业务逻辑层面、应用实现架构层面进行全面的评估，并通过专业工具及人工分析相结合、分批对核心系统开展代码审计工作，对程序可能存在的后门、陷阱、SQL注入、跨站漏洞、输入输出注入等风险进行有效的封堵，从源头保证应用安全，形成代码审计报告。6、 攻防演练服务，一年不少于一次，攻防演练时长不低于5天，攻防演习工程师不少于五名，包括两名参加近两年山东省国资委攻防演习的工程师。负责攻防演习的方案制定及实施，风险整改、复测等工作。通过攻防演练深度挖掘高危隐匿漏洞和由于管理上疏漏所导致的漏洞，形成攻防演练报告。演练结束后山推安全团队针对发现漏洞进行整改，整改完成后安全服务团队需进行漏洞****网络及安全设备调优服务，一季度不少于一次。调优设备包括但不限于###路由器、防火墙、WAF、IPS、数据库审计、数据库防火墙、玄武盾、日志审计、态势感知、一体化运维设备等，调优内容包括资产梳理、访问控制梳理，设备冗****网络架构评测及问题处理。需要工程师熟练掌握山石、深信服、安恒、绿盟的等安全厂商的产品使用情况。8、 应急响应服务，不限次数。山推信息系统发生突发事件时，五分钟响应，半小时内解决。如无法解决，提供临时处置方案，三小时内到达现场，根据山推要求提供现场服务支持。9、 信息安全培训服务，由安全厂商提供信息安全技术培训，培训****网络基础设施安全培训、 操作系统安全培训、数据安全培训、漏洞、攻防技术培训等。应基于山推需要每年开展不少于两次信息安全意识培训，同****网络安全宣传周”等时期提供宣传支持，同时进行钓鱼邮件、信息安全考试（含题库）等工作。10、攻防演练防守服务****网行动、国资委、省公安厅攻防演练、山东重工集团攻防演练期间，安全服务团队应基于山推需要，安排安服团队成员全程7X24小时进行防守。11、APP合规检测：检查 APP对收集、存储、使用和共享用户个人信息的方式是否合法合规；评估 APP 对数据的存储、传输和处理是否遵循安全标准，防止数据泄露、篡改或被未经授权的访问；审查 APP 所请求的系统权限是否与其功能必要相关，是否存在过度获取权限的情况等。· ****网暴漏面检查****网连接通****网访问出口、关闭容易被利用的、非必要的高危端口、整改不安全的已知的资产、修复漏洞、弱口令等问题、梳理访问控制不当的内部系统、梳理违规搭建、非法运行的系统、梳理过期未退运或临时发布的系统、梳理误操作导致泄漏的开发测试环境系统、完善安全策略、重点保护集权系统****网络访问行为。服务重保服务1年攻防演练开展前须采取预防措施****网暴漏面扫描、漏洞排查、弱口令扫描、安全设备策略梳理等加固工作，同时给出攻防演练防守方案及详细重保服务保障措施，确定信息安全服务保障团队（安全服务人员不得少于三名，所有成员必须为原厂工程师，且参加过山东省国资委或同等级别的攻防演习，工作年限不少于三年）。攻防演习期间，安全重保服务团队实时监控、处理、上报信息安全风险，具体技术要求如下：1.安全攻击监控：7*24h实时监控山推全域（包括但不限于公有云、私有云、云WAF、态势感****网络系统等）信息安全态势。2.风险研判处置：安全重保服务团队将威胁事件进行研判处置，可通过WAF、IPS、防火墙、云WAF封禁相关风险IP并记录。极端情况下经山推授权后，****网络等措施。3.安全溯源分析：安全重保服务团队对风险事件进行追溯分析，定位及追踪攻击IP，取证并协同山推进行上报反馈。4.安全防守汇报：安全重保服务团队每间隔一小时向防守群汇报相关安全动态，同时整理输出《安全重保服务日报》。攻防演练结束后，输出《攻防演练防守总结报告》，包括安全加固建议及整改结果复测。5、防守成功的判断标准：1)攻防演习对山推全域信息资产进行有效攻击，如果未受到任何攻击，则重保服务无效；2)根据攻防演习正式报告(由山推出具攻防结果)****网络及信息系统在演习期间不被攻破，未发现任何高中低危漏洞，山推不丢失任何分值。软件说明：1、 所投产品不低于以上配置参数，所投产品必须满足项目要求，不足项可自行补充； 2、本次项目实施由山推决定，实施人员必须为原厂专业工程师。 3、服务期限为一年，项目中出现的任何争议最终解释权归山推所有。二、投标资格要求1. 投标人须遵守《中华人民共和国招标投标法》、《中华人民共和国民法典》及其它有关的法律和法规；为中华人民共和国国内注册的独立法人机构，具有独立承担民事责任能力；2. 投标人经营范围满足招标项目需求，投标人注册资本不得少于人民币500万元（供参考），满足技术、质量、资金等要求，财务状况良好、经营稳定，具有全面履约的能力；3. 投标人需执业两年以上，近两年没有违反职业道德和违法执业行为；无不良信用记录，未被暂停或取消招投标资格；  4. 不接受被列入重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的投标人参与投标；不接受因违法经营受到刑事处罚、被责令停产停业、被吊销许可证或执照、有较大数额罚款的投标人参与投标；不接受在“国家企业信用信息公示系统”、“中国执****网”、“信用中国”等信息平台中，存在行政处罚及失信记录等信息的投标人参与投标；5. 投标方未被列入山东重工集团黑名单；6. 投标单位负责人为同一人或者存在控股、管理关系的不同单位，不得参加同一标段投标或者未划分标段的同一招标项目投标；7. 不接受投标方的直接或间接股东、法定代表人、董事、监事、高管为招标人员工及其亲属等投标人参与投标；8. 本项目不接受联合体投标，中标后不得分包或转包；9. 制造商与其代理商不能同时参加投标，只能选择其中一种方式；10. 无招标违规、谎报年度报告信息、提供虚假资质资料等行为或其他行政处罚记录；

本招标项目仅供正式会员查阅，您的权限不能浏览详细信息,请点击注册/登录，联系工作人员办理入网升级。
联系人：刘欣
电话：010-68809590
手机：13522553206（欢迎拨打手机/微信同号）
邮箱：kefu@bidnews.cn