（略）之委托,，（略）2024年網(wǎng)絡(luò)安全服務(wù)項(xiàng)目進(jìn)行詢價(jià)采購,，歡迎合格的供應(yīng)商前來參加,。
一、項(xiàng)目說明：
（一）項(xiàng)目名稱：（略）
（二）采購預(yù)算：人民幣玖萬元整（￥：90000.00）
（三）合格詢價(jià)響應(yīng)供應(yīng)商的條件：
1、具有獨(dú)立承擔(dān)民事責(zé)任的能力,；
2、具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度,；
3,、具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力；
4,、有依法繳納稅收和社會(huì)保障資金的良好記錄,；
5、參加采購活動(dòng)前三年內(nèi),，在經(jīng)營活動(dòng)中沒有重大違法記錄,；
6、法律,、行政法規(guī)規(guī)定的其他條件,。
二、采購要求：
（一）項(xiàng)目背景
（略）絡(luò)安全是數(shù)字化發(fā)展中不可或缺的重要內(nèi)容,?！?span id="oseimcgwi" class="open_quick_reg">（略）絡(luò)強(qiáng)國、數(shù)字中國,、智慧社會(huì)”,，推動(dòng)數(shù)字政府建設(shè)，是黨中央,、國務(wù)院基于我國信息化和新型城鎮(zhèn)化發(fā)展現(xiàn)狀做出的重大決策,。（略）絡(luò)安全，然而,，（略）及大量云計(jì)算,、（略）、（略）絡(luò),、大數(shù)據(jù)等新興技術(shù)的應(yīng)用,，（略）絡(luò)安全帶來了巨大挑戰(zhàn)。由于數(shù)字政府存在大量涉及國家安全,、經(jīng)濟(jì)發(fā)展和社會(huì)公共利益的重要數(shù)據(jù),，（略）絡(luò)安全問題，就可能出現(xiàn)極其嚴(yán)重的后果,。
已頒布實(shí)施的《網(wǎng)絡(luò)安全法》（略）絡(luò)安全等級(jí)保護(hù)制度的要求,，履行安全保護(hù)義務(wù)，（略）絡(luò)免受干擾,、破壞或者未經(jīng)授權(quán)的訪問,，（略）絡(luò)數(shù)據(jù)泄露或者被竊取、篡改,，并提出了具體要求,?！稊?shù)據(jù)安全法》要求開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定,，建立健全全流程數(shù)據(jù)安全管理制度,，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施,，保障數(shù)據(jù)安全,。（略）絡(luò)開展數(shù)據(jù)處理活動(dòng)，（略）絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,，履行上述數(shù)據(jù)安全保護(hù)義務(wù),。
（二）目的
（略）安全現(xiàn)狀，（略）（以下簡(jiǎn)稱“（略）”）（略）架構(gòu)方面的缺陷,、（略）站安全漏洞,、應(yīng)用層業(yè)務(wù)流程和邏輯上的安全漏洞和敏感信息泄露的風(fēng)險(xiǎn)，（略）安全現(xiàn)狀,，（略）的安全加固和維護(hù)工作做好基礎(chǔ)準(zhǔn)備，（略）修復(fù)和安全加固,，制定相應(yīng)的安全應(yīng)急措施,。
（略）未來的信息安全規(guī)劃，構(gòu)建動(dòng)態(tài),、完整,、高效的信息安全保障體系，逐步形成持續(xù)完善,、自我優(yōu)化的安全運(yùn)維體系和管理體系,，（略）（略）的整體安全能力，為保證業(yè)務(wù)的健康發(fā)展和提升核心競(jìng)爭(zhēng)力提供堅(jiān)實(shí)的基礎(chǔ)保障,。
（三）項(xiàng)目工作內(nèi)容
1,、風(fēng)險(xiǎn)評(píng)估服務(wù)按照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，基于多角度,、（略）（略）的威脅和脆弱性進(jìn)行評(píng)估,，結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組織造成的影響。
（1）服務(wù)內(nèi)容
（略）,，風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容包括：基于評(píng)估標(biāo)準(zhǔn),，建立相應(yīng)的評(píng)估模型，利用已有的評(píng)估技術(shù)和評(píng)估方法,，（略）展開全方位的評(píng)估工作,，（略）的整個(gè)體系，將系統(tǒng)資產(chǎn)的3個(gè)重要方面（機(jī)密性,、可用性和完整性）作為目標(biāo),，并從風(fēng)險(xiǎn)范圍,、風(fēng)險(xiǎn)程度和風(fēng)險(xiǎn)概率3（略）的威脅和脆弱性進(jìn)行識(shí)別，制定出風(fēng)險(xiǎn)控制措施,。
按照國際風(fēng)險(xiǎn)評(píng)估信息安全要素提取慣例和標(biāo)準(zhǔn),，調(diào)查分析用戶的已有策略，從管理,、制度,、落實(shí)情況、物理信息安全,、人員信息安全,、第三方信息安全等各方面來評(píng)估分析。調(diào)查業(yè)務(wù)流程,，并對(duì)信息資產(chǎn)進(jìn)行賦值和等級(jí)劃分,；結(jié)合工具掃描、（略）,、網(wǎng)絡(luò),、數(shù)據(jù)庫以及管理制度進(jìn)行信息安全性評(píng)估，并根據(jù)評(píng)估結(jié)果提供評(píng)估報(bào)告,，并根據(jù)風(fēng)險(xiǎn)結(jié)果設(shè)計(jì)有針對(duì)性的安全整改計(jì)劃,。
（2）工具掃描分析
針對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備,、數(shù)據(jù)庫,、（略）等使用漏洞掃描工具進(jìn)行脆弱性評(píng)估，（略）中存在的信息安全隱患和漏洞,，（略）絡(luò)實(shí)際情況提出信息安全建議,。
（3）人工評(píng)估分析
（略）絡(luò)中主機(jī)、網(wǎng)絡(luò)設(shè)備,、（略）,、數(shù)據(jù)庫等的配置以及相關(guān)機(jī)制進(jìn)行評(píng)估，（略）的脆弱性,。
包括以下內(nèi)容：
信息安全配置檢查
（略）管理和維護(hù)的正常配置,，合理配置，及優(yōu)化配置,。（略）目錄權(quán)限,，賬號(hào)管理策略，（略）配置,，進(jìn)程通信管理等,。
信息安全機(jī)制檢查
信息安全機(jī)制的使用和正常配置，合理配置,，及優(yōu)化配置,。例如日志及審計(jì),、備份不恢復(fù)，簽名不校驗(yàn),，加密不通信,，特殊授權(quán)及訪問控制等。
數(shù)據(jù)庫配置檢查
數(shù)據(jù)庫文件和口令設(shè)置等,。
2,、滲透測(cè)試服務(wù)（1）服務(wù)內(nèi)容
滲透測(cè)試模擬黑客行為對(duì)目標(biāo)對(duì)象進(jìn)行入侵，目的是發(fā)現(xiàn)目標(biāo)對(duì)象的管理與技術(shù)弱點(diǎn)以及這些弱點(diǎn)被成功利用的可能,。通過遠(yuǎn)程或本地方式：（略）
（2）滲透測(cè)試流程
1)方案制定
服務(wù)單位：（略）
在測(cè)試實(shí)施之前,，（略）對(duì)滲透測(cè)試過程和風(fēng)險(xiǎn)的知曉，使隨后的正式測(cè)試流程都在甲方可控制范圍內(nèi),。
2)信息收集
這包括：（略）名稱：（略）
3)測(cè)試實(shí)施
（略）可檢測(cè)到的漏洞測(cè)試,、（略）檢測(cè)到的漏洞測(cè)試（如：Web應(yīng)用），此階段如果成功的話,，可能獲得普通權(quán)限,。
滲透測(cè)試人員可能用到的測(cè)試手段有：掃描分析、溢出測(cè)試,、口令爆破,、社會(huì)工程學(xué)、客戶端攻擊,、中間人攻擊等，用于測(cè)試人員順利完成工程,。在獲?。?span id="oseimcgwi" class="open_quick_reg">（略）
4)報(bào)告輸出
滲透測(cè)試人員根據(jù)測(cè)試的過程結(jié)果編寫直觀的滲透測(cè)試服務(wù)報(bào)告。內(nèi)容包括：具體的操作步驟描述,；響應(yīng)分析以及最后的安全修復(fù)建議,。
（略）進(jìn)行的安全評(píng)估，（略）,、（略）絡(luò),、系統(tǒng)、應(yīng)用中隱含的漏洞和危害發(fā)生時(shí)可能導(dǎo)致的損失,。
3,、（略）（略）的硬件、軟件,、數(shù)據(jù)因非法攻擊或病毒入侵等安全原因而遭到破壞,、更改、（略）不能正常運(yùn)行,，或已經(jīng)發(fā)現(xiàn)的有可能造成上述現(xiàn)象的安全隱患,。按照事件嚴(yán)重程度分為緊急和一般兩種,。緊急事件指設(shè)備/系統(tǒng)發(fā)生的故障或異常嚴(yán)重影響單位：（略）
如發(fā)生以下情況，可定義為安全事件：
l非授權(quán)訪問,，通過入侵的方式：（略）
l信息泄密,，數(shù)據(jù)在傳輸中因數(shù)據(jù)被截取、篡改,、分析等而造成信息的泄漏,；
l拒絕服務(wù)，造成不能正常訪問服務(wù)器提供的相關(guān)服務(wù),；
l系統(tǒng)性能嚴(yán)重下降,，有不明的進(jìn)程運(yùn)行并占用大量的CPU處理時(shí)間；
l在系統(tǒng)日志中發(fā)現(xiàn)非法登錄者,；
l（略）絡(luò)大面積爆發(fā)計(jì)算機(jī)病毒感染,；
l（略）；
l（略）,；
l（略）管理員的警告信,，（略）可能被威脅；
l文件的訪問權(quán)限被修改,；
l（略）問題,；
l其它的入侵行為。
當(dāng)發(fā)生如上安全事件,，安全應(yīng)急團(tuán)隊(duì)半小時(shí)內(nèi)遠(yuǎn)程響應(yīng),、1小時(shí)內(nèi)趕到現(xiàn)場(chǎng)，分析入侵行為,，提供最佳防范方法,，將情況控制并將損失縮至最小，同時(shí)提供入侵事故過程描述并提交相應(yīng)的防范報(bào)告,，（略）在最短時(shí)間內(nèi)恢復(fù)正常工作,。
應(yīng)急響應(yīng)服務(wù)的內(nèi)容主要有以下幾個(gè)方面：
l（略）提供7x24小時(shí)應(yīng)急事件處置支撐服務(wù)。
l入侵調(diào)查及分析,，協(xié)助檢查和追蹤入侵來源
l消除被破壞的和非法的文件,；
l對(duì)系統(tǒng)的安全進(jìn)行重新評(píng)估；
l消除未來的入侵隱患,，提出安全整改建議,，提供解決和防范報(bào)告并與技術(shù)人員共同實(shí)施；
l應(yīng)急事件應(yīng)重點(diǎn)包括：病毒,、非法入侵,、DDOS攻擊、網(wǎng)頁篡改,，在事故發(fā)生后應(yīng)提交相應(yīng)的調(diào)查報(bào)告：包括事故原因,、過程描述,、入侵來源、證據(jù)報(bào)告,、解決方案,、安全建議、處理結(jié)果等,。（略）絡(luò)安全技術(shù)支持和咨詢,。每次事故處理后均作詳細(xì)記錄，記錄中應(yīng)詳細(xì)描述處理流程,。
4,、應(yīng)急演練服務(wù)（1）應(yīng)急預(yù)案編制
應(yīng)急預(yù)案的編制步驟分為啟動(dòng)應(yīng)急預(yù)案編制工作、風(fēng)險(xiǎn)評(píng)估,、業(yè)務(wù)影響分析,、應(yīng)急資源和能力評(píng)估、編制應(yīng)急預(yù)案,、應(yīng)急預(yù)案的評(píng)審與修改,、應(yīng)急預(yù)案的發(fā)布與生效七個(gè)步驟。
1）啟動(dòng)應(yīng)急預(yù)案編制工作
各單位：（略）
為了保證應(yīng)急預(yù)案編制工作的效率,，編制人員的規(guī)模應(yīng)限定在合理的范圍內(nèi),。應(yīng)急預(yù)案可以由外部機(jī)構(gòu)參與編制，但要以本單位：（略）
2）風(fēng)險(xiǎn)評(píng)估
l基礎(chǔ)情況調(diào)查
針對(duì)編寫預(yù)案的類型和范圍應(yīng)開展充分的調(diào)查工作,，收集和參閱本單位：（略）
l風(fēng)險(xiǎn)評(píng)估
風(fēng)險(xiǎn)評(píng)估是應(yīng)急預(yù)案編制的基礎(chǔ)和關(guān)鍵過程,，風(fēng)險(xiǎn)評(píng)估的結(jié)果有助于確定需要重點(diǎn)考慮的應(yīng)急對(duì)象，提供劃分應(yīng)急響應(yīng)優(yōu)先級(jí)的依據(jù),，各單位：（略）
3）業(yè)務(wù)影響分析
在進(jìn)行應(yīng)急預(yù)案編寫前,，應(yīng)充分了解單位：（略）
4）應(yīng)急資源評(píng)估
應(yīng)急資源包括人力資源、物質(zhì)資源和技術(shù)資源,。應(yīng)急資源直接影響到應(yīng)急行動(dòng)的有效性和效率，應(yīng)從人力資源,、物質(zhì)資源和技術(shù)資源三個(gè)方面對(duì)應(yīng)急資源進(jìn)行評(píng)估,，在現(xiàn)有應(yīng)急資源的基礎(chǔ)上編制應(yīng)急預(yù)案。
5）編制應(yīng)急預(yù)案
在完成了調(diào)查和風(fēng)險(xiǎn)評(píng)估,、業(yè)務(wù)影響分析,、并對(duì)應(yīng)急資源進(jìn)行評(píng)估之后，可正式開始編制應(yīng)急預(yù)案,，應(yīng)急預(yù)案的編寫應(yīng)符合相關(guān)規(guī)范的要求,；根據(jù)應(yīng)急預(yù)案的類別，在編寫過程中,，要充分向相關(guān)領(lǐng)域的專家咨詢,，并與業(yè)務(wù)部門,、系統(tǒng)運(yùn)維部門等相關(guān)部門業(yè)務(wù)骨干進(jìn)行充分討論，結(jié)合實(shí)際工作,，完成預(yù)案的編寫,。
6）應(yīng)急預(yù)案的評(píng)審和修改
確保應(yīng)急預(yù)案的科學(xué)性、合理性以及對(duì)實(shí)際情況的符合性,，各級(jí)應(yīng)急辦應(yīng)依據(jù)相關(guān)信息安全法規(guī)標(biāo)準(zhǔn)和其它有關(guān)應(yīng)急預(yù)案編制的指南性文件,，組織開展預(yù)案評(píng)審工作。編寫部門應(yīng)根據(jù)評(píng)審意見對(duì)預(yù)案進(jìn)行修改,，使其更具實(shí)用性和指導(dǎo)性,。
7）應(yīng)急預(yù)案的發(fā)布與生效
（略）絡(luò)與信息安全應(yīng)急預(yù)案經(jīng)評(píng)審?fù)ㄟ^、批準(zhǔn)并發(fā)布后,，需報(bào)備案,。
應(yīng)急預(yù)案生效后，應(yīng)及時(shí)組織開展相關(guān)工作,，包括：預(yù)案的宣貫,，預(yù)案的培訓(xùn)，落實(shí)和檢查各有關(guān)部門的職責(zé)和資源準(zhǔn)備,，組織預(yù)案的演練等,。
（2）預(yù)案培訓(xùn)
（略）絡(luò)與信息安全應(yīng)急工作中的職責(zé)，（略）絡(luò)與信息安全事件時(shí)應(yīng)采取的行動(dòng)步驟,。（略）絡(luò)與信息安全應(yīng)急工作相關(guān)管理人員和技術(shù)人員的專業(yè)培訓(xùn),，根據(jù)應(yīng)急工作組織中不同的角色職責(zé)，制定和實(shí)施有針對(duì)性的管理和技術(shù)培訓(xùn),。
定期組織應(yīng)急預(yù)案培訓(xùn),，并認(rèn)真做好培訓(xùn)效果的反饋和培訓(xùn)計(jì)劃的更新。（略）的專項(xiàng)應(yīng)急預(yù)案在組織培訓(xùn)的基礎(chǔ)上,，通過實(shí)際的應(yīng)急響應(yīng)演練過程,，幫助相關(guān)人員不斷更新應(yīng)急響應(yīng)相關(guān)的知識(shí)和技能，提高各類人員的應(yīng)急工作熟練程度,，提高突發(fā)事件發(fā)生時(shí)應(yīng)急響應(yīng)的效率,。
（3）應(yīng)急演練
（略）絡(luò)與信息安全事件，各有關(guān)部門和人員按照應(yīng)急預(yù)案中描述的步驟所進(jìn)行的一系列活動(dòng)和措施,。通告開展應(yīng)急演練,，以檢驗(yàn)應(yīng)急預(yù)案的正確性，不斷加強(qiáng)人員的安全意識(shí)和應(yīng)急響應(yīng)的熟練程度,。
根據(jù)業(yè)務(wù)特點(diǎn)設(shè)計(jì)應(yīng)急演練方案,，方案包括豐富、全面的應(yīng)急演練場(chǎng)景，如包含防病毒,、網(wǎng)絡(luò),、滲透攻擊等演練場(chǎng)景。根據(jù)演練方案編制演練腳本,，搭建演練環(huán)境,，提供自動(dòng)化工具用于構(gòu)建跨站攻擊、網(wǎng)頁篡改等復(fù)雜演練場(chǎng)景,，并提供必要的演練設(shè)備,，演練開始前為具體參與人員提供演練培訓(xùn)。
5,、漏洞掃描服務(wù)（1）服務(wù)內(nèi)容
（略）,，結(jié)合資產(chǎn)管理掌握的資產(chǎn)情況，以IT資產(chǎn)為核心,，將IT資產(chǎn)與風(fēng)險(xiǎn)漏洞相結(jié)合,，（略）開展全面的漏洞安全評(píng)估。
（略）存在的弱口令,，（略）,、服務(wù)、端口,，形成整體安全風(fēng)險(xiǎn)報(bào)告,，先于攻擊者發(fā)現(xiàn)安全問題，在盡可能準(zhǔn)確發(fā)現(xiàn)IT資產(chǎn)的安全漏洞之余,，還將協(xié)助進(jìn)行漏洞修補(bǔ)
安全漏洞掃描服務(wù)是進(jìn)一步加強(qiáng)了“探測(cè)與發(fā)現(xiàn)”漏洞全面性,，同時(shí)增強(qiáng)了“管理漏洞”側(cè)重“修復(fù)”的能力，在發(fā)現(xiàn)的基礎(chǔ)上,，對(duì)每個(gè)漏洞給出詳細(xì)信息和一些修補(bǔ)建議,。
1)（略）層漏洞識(shí)別
（略）（包括Windows、AIX和Linux等）的系統(tǒng)補(bǔ)丁,、漏洞,、病毒等各類異常缺陷。
開放服務(wù),，（略）開放的非必要端口,、服務(wù)等。
空/（略）帳戶檢測(cè),。
例如：身份認(rèn)證：通過telnet進(jìn)行口令猜測(cè)。
訪問控制：注冊(cè)表HKEY_LOCAL_MACHINE普通用戶可寫,，遠(yuǎn)程主機(jī)允許匿名FTP登錄,，ftp服務(wù)器存在匿名可寫目錄。
（略）漏洞：SystemV系統(tǒng)Login遠(yuǎn)程（略）溢出漏洞,，MicrosoftWindowsLocator服務(wù)遠(yuǎn)程（略）溢出漏洞,。
安全配置問題：部分SMB用戶存在薄弱口令,，試圖使用rsh（略）。
2)應(yīng)用層漏洞識(shí)別
應(yīng)用程序（包括但不限于數(shù)據(jù)庫Oracle,、MSSQL,，Web服務(wù)，如Apache,、WebSphere,、Tomcat、IIS等,，其他SSH,、FTP等）缺失補(bǔ)丁或版本漏洞檢測(cè)。
空弱口令應(yīng)用帳戶檢測(cè),。
數(shù)據(jù)庫軟件：Oracletnslsnr沒有設(shè)置口令,，MicrosoftSQLServerResolution服務(wù)多個(gè)安全漏洞。
Web服務(wù)器：ApacheMod_SSL/Apache-SSL遠(yuǎn)程（略）溢出漏洞,，MicrosoftIISprinterISAPI遠(yuǎn)程（略）溢出,，Web服務(wù)程序分塊編碼傳輸漏洞。
（略）：Sendmail頭處理遠(yuǎn)程溢出漏洞,，MicrosoftWindowsSMTP服務(wù)認(rèn)證錯(cuò)誤漏洞,。
（略）：防火墻拒絕服務(wù)漏洞。
（略）：POP3USER命令遠(yuǎn)程溢出漏洞,，Linux系統(tǒng)遠(yuǎn)程格式化漏洞,。
（2）服務(wù)流程
整個(gè)安全漏洞掃描服務(wù)的流程分為三個(gè)階段：準(zhǔn)備階段、掃描過程和報(bào)告匯報(bào),。（略）情況,，完成安全漏洞掃描服務(wù)。
準(zhǔn)備階段：前期技術(shù)交流包括相關(guān)安全掃描技術(shù),、掃描原理,、掃描方式：（略）
掃描過程：依據(jù)前期準(zhǔn)備階段的漏掃方案，進(jìn)行漏洞掃描,、漏洞分析和漏洞測(cè)試,，掃描過程主要是進(jìn)行范圍內(nèi)的漏洞信息數(shù)據(jù)收集，為下一步的報(bào)告撰寫提供依據(jù)和數(shù)據(jù)來源,。漏洞掃描,，主要采用漏洞掃描工具進(jìn)行范圍內(nèi)的安全掃描。漏洞分析,，主要是對(duì)掃描結(jié)果進(jìn)行分析,，（略）狀況，進(jìn)行安全分析。漏洞驗(yàn)證,，對(duì)部分需要人工確定和安全分析的漏洞,，進(jìn)行手工測(cè)試，以確定其準(zhǔn)確性和風(fēng)險(xiǎn)性,。
報(bào)告與匯報(bào)：主要對(duì)現(xiàn)場(chǎng)進(jìn)行掃描后的數(shù)據(jù)進(jìn)行安全分析,，安全工程師對(duì)漏洞掃描工具輸出的報(bào)告，漏洞分析結(jié)果及漏洞測(cè)試具體情況進(jìn)行綜合梳理,，分析,，總結(jié)。最后給出符合需求單位：（略）
（3）服務(wù)注意事項(xiàng)及措施
漏洞掃描是一項(xiàng)風(fēng)險(xiǎn)比較高的測(cè)試活動(dòng),，掃描不當(dāng)可能導(dǎo)致被掃描目標(biāo)發(fā)生服務(wù)性能下降,、影響其可用性。漏洞掃描還會(huì)嘗試部分漏洞或者配置的脆弱性驗(yàn)證,，可能會(huì)與原有的管理發(fā)生沖突,，在掃描方案確定前應(yīng)與需求部門進(jìn)行溝通和交流，以此降低風(fēng)險(xiǎn),。掃描實(shí)施的時(shí)間選擇,，應(yīng)避免業(yè)務(wù)高峰期和重要時(shí)期內(nèi)。
6,、加固咨詢服務(wù)加固咨詢服務(wù)的目標(biāo)是解決在安全評(píng)估中發(fā)現(xiàn)的技術(shù)性安全問題,，所有的被評(píng)估對(duì)象應(yīng)不再存在高風(fēng)險(xiǎn)漏洞。同時(shí),，在此過程中注意避免影響修補(bǔ)加固對(duì)象原有的功能和性能（若可能存在,，必須事先指出，并進(jìn)行周密的計(jì)劃和布置規(guī)避相應(yīng)的風(fēng)險(xiǎn)）,。
加固咨詢服務(wù)內(nèi)容是根據(jù)專業(yè)安全檢測(cè)結(jié)果,，（略）加固方案，（略）,，通過協(xié)助修改安全配置,、增加安全機(jī)制等方法，合理進(jìn)行安全性加強(qiáng),。
安全加固首先要讓加固對(duì)象滿足安全基線要求,，并采用優(yōu)化配置、調(diào)整安全策略,、安裝安全軟件等方式：（略）
安全加固過程中,，應(yīng)不僅僅局限于單獨(dú)的加固對(duì)象，對(duì)象所處的環(huán)境,，包括其他安全設(shè)備的安全防護(hù)（（略）,、防火墻等）,、網(wǎng)絡(luò)結(jié)構(gòu)等，都屬于需要考慮的范圍,。在安全咨詢服務(wù)實(shí)施期間，應(yīng)對(duì)加固對(duì)象存在的問題提出積極的建議,，并指導(dǎo)進(jìn)行安全加固服務(wù),。
7、基線核查服務(wù)基線核查服務(wù)就是針對(duì)漏洞掃描工具不能有效發(fā)現(xiàn)的方面（網(wǎng)絡(luò)設(shè)備的安全策略弱點(diǎn)和部分主機(jī)的安全配置錯(cuò)誤等）進(jìn)行安全輔助的一種有效評(píng)估手段,。除已知,、未知的漏洞外，安全配置的弱點(diǎn)或配置上的缺陷也同樣會(huì)被攻擊者利用,，因此,，（略）和設(shè)備進(jìn)行基線核查。
（略）管理,、口令管理,、認(rèn)證授權(quán)、日志配置,、進(jìn)程服務(wù),、外部端口等幾個(gè)方面，覆蓋了與安全問題相關(guān)的各個(gè)層面,。
（略）的具體檢查內(nèi)容如下：
1)網(wǎng)絡(luò)設(shè)備基線核查內(nèi)容
（略）絡(luò)設(shè)備基線核查包含但不限于以下內(nèi)容：
l帳號(hào)和口令管理
l認(rèn)證和授權(quán)策略
l網(wǎng)絡(luò)與服務(wù)
l訪問控制策略
l通訊協(xié)議,、路由協(xié)議
l日志審核策略
l加密管理
l設(shè)備其他安全配置
2)（略）檢查內(nèi)容
（略）基線核查包含但不限于以下內(nèi)容：
l系統(tǒng)漏洞補(bǔ)丁管理
l帳號(hào)和口令管理
l認(rèn)證、授權(quán)策略
l網(wǎng)絡(luò)與服務(wù),、進(jìn)程和啟動(dòng)
l（略）權(quán)限
l訪問控制
l通訊協(xié)議
l日志審核功能
l剩余信息保護(hù)
l其他安全配置
3)數(shù)據(jù)庫檢查內(nèi)容
數(shù)據(jù)庫基線核查包含但不限于以下內(nèi)容：
l帳號(hào)和口令管理
l認(rèn)證,、授權(quán)策略
l訪問控制
l通訊協(xié)議
l日志審核功能
l其他安全配置
4)（略）絡(luò)服務(wù)檢查內(nèi)容
（略）絡(luò)服務(wù)基線核查包含但不限于以下內(nèi)容：
l帳號(hào)和口令管理
l認(rèn)證、授權(quán)策略
l通訊協(xié)議
l日志審核功能
（四）產(chǎn)出物說明
（略）
工作內(nèi)容
服務(wù)頻率
工作產(chǎn)出
產(chǎn)出物數(shù)量
1
風(fēng)險(xiǎn)評(píng)估服務(wù)
1年1次
《風(fēng)險(xiǎn)評(píng)估報(bào)告》
1份
2
滲透測(cè)試服務(wù)
1年2次
《滲透測(cè)試報(bào)告》
2份
3
應(yīng)急響應(yīng)服務(wù)
按需
《安全事件應(yīng)急處置報(bào)告》
按需
4
應(yīng)急演練服務(wù)
1年1次
《網(wǎng)絡(luò)安全應(yīng)急預(yù)案》
《網(wǎng)絡(luò)安全應(yīng)急演練報(bào)告》
1份
5
漏洞掃描服務(wù)
1年4次
《漏洞掃描報(bào)告》
4份
6
加固咨詢服務(wù)
1年4次
《加固咨詢報(bào)告》
4份
7
基線核查服務(wù)
1年2次
《基線核查報(bào)告》
2份
（五）服務(wù)人員要求
為能保證在規(guī)定時(shí)間內(nèi)完成項(xiàng)目建設(shè),，供應(yīng)商必須提供穩(wěn)定的專業(yè)化的技術(shù)支持服務(wù)隊(duì)伍,，完善的技術(shù)支持服務(wù)體系。
具體人員要求如下：
項(xiàng)目經(jīng)理：（略）
項(xiàng)目組人員（3人）：具備相關(guān)信息安全經(jīng)驗(yàn),，（略）絡(luò)和安全設(shè)備,，負(fù)責(zé)項(xiàng)目安全的調(diào)研、規(guī)范編制及現(xiàn)場(chǎng)日常的安全巡檢,、安全測(cè)試,、應(yīng)急響應(yīng)等工作，（略）絡(luò)安全,、應(yīng)用安全等專業(yè),。如果應(yīng)急事件發(fā)生，則人員響應(yīng)要求在1小時(shí)內(nèi)進(jìn)行安全事件的響應(yīng)和處理,，且工作時(shí)間將不僅限于正常工作時(shí)間,，將根據(jù)事件處理要求進(jìn)行響應(yīng)
（六）服務(wù)期限和服務(wù)地點(diǎn)：（略）
1.服務(wù)期限：合同簽訂后一年,。2.服務(wù)地點(diǎn)：（略）
對(duì)成交單位：（略）
考核結(jié)構(gòu)
評(píng)價(jià)描述
分值
工作內(nèi)容及成果50分
任務(wù)完成效率20分
充分規(guī)劃、在規(guī)定時(shí)間內(nèi)提前完成任務(wù)1次及以上
16-20分
充分規(guī)劃,、在規(guī)定時(shí)間內(nèi)如期完成任務(wù)
8~15分
未充分規(guī)劃,、在規(guī)定時(shí)間內(nèi)不能完成任務(wù)1次及以上
0~7分
任務(wù)完成質(zhì)量20分
考核周期內(nèi)未出現(xiàn)質(zhì)量異常（投訴、失誤,、返工）
16-20分
考核周期內(nèi)出現(xiàn)1次質(zhì)量異常（投訴,、失誤、返工）
8~15分
考核周期內(nèi)出現(xiàn)1次以上重大質(zhì)量異常（投訴,、失誤,、返工）
0~7分
響應(yīng)及時(shí)性10分
考核周期內(nèi)主動(dòng)響應(yīng)客戶需求，積極處理問題
8-10分
考核周期內(nèi)合理響應(yīng)客戶需求
4~7分
考核周期內(nèi)響應(yīng)客戶需求被動(dòng),，消極處理問題
0~3分
人員安排及出勤20分
出勤記錄10分
考核周期內(nèi)人員全勤
8-10分
考核周期內(nèi)出現(xiàn)1次以上(含1次)3次以下(不含3次)遲到,、早退
4~7分
考核周期內(nèi)出現(xiàn)3次以上(含3次)遲到、早退
0~3分
制度執(zhí)行10分
熟悉各項(xiàng)規(guī)章制度,，嚴(yán)格遵守并督促他人遵守
8-10分
了解各項(xiàng)規(guī)章制度,，基本能夠遵守
4~7分
不熟悉各項(xiàng)規(guī)章制度，常有違反制度的行為
0~3分
服務(wù)滿意度30分
工作滿意度20分
考核周期內(nèi)未出現(xiàn)質(zhì)量異常（投訴,、失誤,、返工）
16~20分
考核周期內(nèi)出現(xiàn)1次質(zhì)量異常（投訴、失誤,、返工）
8~15分
考核周期內(nèi)出現(xiàn)1次以上重大質(zhì)量異常（投訴,、失誤、返工）
0~7分
溝通匯報(bào)10分
重視且樂于溝通,，懂得換位思考,，促進(jìn)相互理解
6~10分
不注重溝通，遇到?jīng)_突與矛盾以強(qiáng)硬或回避的態(tài)度來解決
0~5分
（八）項(xiàng)目安全
成交單位：（略）
（九）項(xiàng)目保密要求
1,、成交單位：（略）
2,、項(xiàng)目服務(wù)人員需簽署相關(guān)保密協(xié)議，承擔(dān)工作中接觸相關(guān)內(nèi)容的保密義務(wù),；
3,、項(xiàng)目成果最終所有權(quán)屬采購單位：（略）
4、成交單位：（略）
5,、以上保密規(guī)定如有違反,，采購單位：（略）
三、響應(yīng)報(bào)價(jià)文件組成及其他說明：
（一）詢價(jià)響應(yīng)文件的制作要求：
1,、詢價(jià)響應(yīng)文件組成：
（1）企業(yè)營業(yè)執(zhí)照副本,、稅務(wù)登記證副本復(fù)印件或三證合一營業(yè)執(zhí)照副本復(fù)印件
（2）響應(yīng)單位：（略）
（3）響應(yīng)報(bào)價(jià)表
（4）服務(wù)偏離表
（5）詢價(jià)響應(yīng)函
（6）項(xiàng)目實(shí)施方案
（7）響應(yīng)單位：（略）
注：以上資料若不能如實(shí)提供或提供不完整的視為無效投標(biāo)。
2,、文件的簽署和密封要求：
（1）按上述要求制作詢價(jià)響應(yīng)文件叁份（一正兩副）,，并須裝訂成冊(cè),；響應(yīng)文件封面明確標(biāo)明“正本”和“副本”，正本和副本如有不一致之處,，以正本為準(zhǔn),；
（2）詢價(jià)響應(yīng)文件均應(yīng)采用打印或使用不能擦去的黑色或藍(lán)色墨水書寫，由響應(yīng)單位：（略）
（3）詢價(jià)響應(yīng)文件須裝袋密封,，封口處須加蓋單位：（略）
3,、采購單位：（略）
（二）詢價(jià)響應(yīng)文件錯(cuò)誤的修正原則
1、響應(yīng)文件的大寫金額與小寫金額不一致的,，以大寫金額為準(zhǔn)?？們r(jià)金額與按單價(jià)匯總金額不一致的,，以單價(jià)金額計(jì)算結(jié)果為準(zhǔn)；單價(jià)金額小數(shù)點(diǎn)有明細(xì)錯(cuò)位的,，應(yīng)以總價(jià)為準(zhǔn),，并修改單價(jià)；
2,、對(duì)不同文字文本投標(biāo)文件的解釋發(fā)生異議的,，以中文文本為準(zhǔn)。
3,、供應(yīng)商不同意以上修正的,，其詢價(jià)響應(yīng)文件將被拒絕。
（三）詢價(jià)響應(yīng)文件的補(bǔ)充,、修改和撤回
供應(yīng)商在提交詢價(jià)響應(yīng)文件截止時(shí)間前,，可以對(duì)所提交的響應(yīng)文件進(jìn)行補(bǔ)充、修改或者撤回,，并書面通知采購代理機(jī)構(gòu)：（略）
（四）詢價(jià)響應(yīng)文件的澄清,、說明和更正
詢價(jià)小組在對(duì)響應(yīng)文件的有效性、完整性和響應(yīng)程度進(jìn)行審查時(shí),，可以要求供應(yīng)商對(duì)響應(yīng)文件中含義不明確,、同類問題表述不一致或者有明顯文字和計(jì)算錯(cuò)誤的內(nèi)容等作出必要的澄清、說明或者更正,。供應(yīng)商的澄清,、說明或者更正不得超出響應(yīng)文件的范圍或者改變響應(yīng)文件的實(shí)質(zhì)性內(nèi)容。
詢價(jià)小組要求供應(yīng)商澄清,、說明或者更正響應(yīng)文件應(yīng)當(dāng)以書面形式作出,。供應(yīng)商的澄清、說明或者更正應(yīng)當(dāng)由法定代表人或其授權(quán)代表簽字或者加蓋公章,。由授權(quán)代表簽字的,，應(yīng)當(dāng)附法定代表人授權(quán)書,。供應(yīng)商為自然人的，應(yīng)當(dāng)由本人簽字并附身份證明,。
為保證在評(píng)審小組要求供應(yīng)商解釋或者澄清其響應(yīng)文件時(shí)能夠及時(shí)得到回復(fù),，在評(píng)審開始前，供應(yīng)商法定代表人或授權(quán)代理人可到評(píng)審現(xiàn)場(chǎng)等候,。供應(yīng)商的澄清,、說明或者更正應(yīng)在評(píng)審小組向其提出澄清、說明或者更正要求后三十分鐘內(nèi)提交給評(píng)審小組,。在評(píng)審期間,、供應(yīng)商應(yīng)注意調(diào)整其行程安排，如響應(yīng)供應(yīng)商未到場(chǎng),，則視為供應(yīng)商放棄上述權(quán)利,，相關(guān)后果自負(fù)。
（五）遞交響應(yīng)詢價(jià)文件及確定成交供應(yīng)商日期和地點(diǎn)：（略）
1,、本次詢價(jià)通知書的響應(yīng)截止時(shí)間為2024年10月28日16：00前,。響應(yīng)單位：（略）
2、2024年10月29日10：（略）確定成交供應(yīng)商,。成交供應(yīng)商收到成交通知書后,，應(yīng)在十五日內(nèi)簽訂合同。
四,、報(bào)價(jià)說明：
1,、響應(yīng)單位：（略）
2、響應(yīng)單位：（略）
五,、綜合說明及其他：
1,、響應(yīng)單位：（略）
2、響應(yīng)單位：（略）
3,、若響應(yīng)單位：（略）
（1）將服務(wù)轉(zhuǎn)包他人,；
（2）無法有效開展服務(wù)的其它行為。
4,、服務(wù)履約期間采購方有權(quán)按照考核標(biāo)準(zhǔn)對(duì)該采購項(xiàng)目服務(wù)進(jìn)行檢查考核,。
5、成交單位：（略）
6,、響應(yīng)單位：（略）
7,、參照相關(guān)法規(guī)的規(guī)定，招標(biāo)采購單位：（略）
8,、成交服務(wù)費(fèi)：成交單位：（略）
六,、付款步驟：
本合同分三期進(jìn)行付款：
1.合同簽訂后1月內(nèi)，乙方服務(wù)人員入場(chǎng)并提交項(xiàng)目實(shí)施方案,。項(xiàng)目實(shí)施方案經(jīng)雙方認(rèn)可后,，乙方開具發(fā)票（發(fā)票金額為合同總金額的20%）,，甲方支付合同總金額的20%。
2.合同簽訂后6個(gè)月,，甲方根據(jù)階段性考核結(jié)果支付服務(wù)款,，支付金額不超過合同總金額的50%：
3.服務(wù)期滿后，甲方根據(jù)考核驗(yàn)收結(jié)果,，支付剩余款項(xiàng)：
（1）若考核完全達(dá)標(biāo)（當(dāng)期責(zé)任考核得分不少于90分）,，甲方支付給乙方結(jié)余服務(wù)費(fèi)比例的100%；
（2）若考核基本達(dá)標(biāo)（當(dāng)期責(zé)任考核得分不少于70分）,，甲方支付給乙方結(jié)余服務(wù)費(fèi)比例的80%,；
（3）若考核不達(dá)標(biāo)（當(dāng)期責(zé)任考核得分低于70分），結(jié)余服務(wù)費(fèi)將不予支付,，并終止服務(wù)合同,。
七、評(píng)審辦法：
1,、采購人：（略）
2、若滿足上述原則的最低報(bào)價(jià)響應(yīng)供應(yīng)商超過一家時(shí),，則由采購單位：（略）
八,、項(xiàng)目的終止：
出現(xiàn)下列情形之一的，將終止詢價(jià)采購活動(dòng)：
1,、因情況變化,，不再符合規(guī)定的詢價(jià)采購方式：（略）
2、出現(xiàn)影響采購公正的違法,、違規(guī)行為的,；
3、在采購過程中符合競(jìng)爭(zhēng)要求的供應(yīng)商或者報(bào)價(jià)未超過采購預(yù)算的供應(yīng)商不足3家的,。
九,、合同生效：
1、合同經(jīng)招標(biāo)代理：（略）
2,、合同簽訂生效后甲乙雙方即直接產(chǎn)生權(quán)利與義務(wù)的關(guān)系,，合同執(zhí)行過程中出現(xiàn)的問題應(yīng)按照《中華人民共和國民法典》的規(guī)定辦理。在合同履行過程中,，雙方如有爭(zhēng)議,，任何一方均可要求招標(biāo)代理：（略）
3、合同在執(zhí)行過程中出現(xiàn)的未盡事宜,，雙方應(yīng)在不違背本合同和甲方采購目的的原則下協(xié)商解決,，協(xié)商結(jié)果以書面形式蓋章記錄在案，并提交招標(biāo)代理：（略）
4,、合同一式叁份,，甲乙雙方各執(zhí)一份,，招標(biāo)代理：（略）
十、其他
1,、響應(yīng)單位：（略）
2,、響應(yīng)單位：（略）
3、如響應(yīng)單位：（略）
十一,、聯(lián)系方式：（略）
招標(biāo)代理：（略）
地址：（略）
聯(lián)系人：（略）
采購單位：（略）
（略）
2024年10月22日附件1：詢價(jià)響應(yīng)報(bào)價(jià)表
詢價(jià)響應(yīng)報(bào)價(jià)表
（略）：______
（略）
名稱：（略）
總報(bào)價(jià)（元）
備注
1



2



3



總報(bào)價(jià)（人民幣大寫）
服務(wù)期限：
報(bào)價(jià)單位：（略）
法定代表人（或負(fù)責(zé)人）或代理人（簽字或簽章）：
日期：年月日
附件2：詢價(jià)響應(yīng)函
詢價(jià)響應(yīng)函
（略）：
（略）號(hào)詢價(jià)采購?fù)ㄖ?，?jīng)仔細(xì)閱讀和研究，我方?jīng)Q定參加,，（略）承諾：
1,、我方愿意按照詢價(jià)采購?fù)ㄖ囊磺幸螅峁┍卷?xiàng)目的所有內(nèi)容,，我方的報(bào)價(jià)包含服務(wù)期限內(nèi)完成該項(xiàng)目服務(wù)工作所需的所有費(fèi)用,。
2、如果我方的詢價(jià)響應(yīng)文件被接受,，我方將嚴(yán)格履行詢價(jià)采購?fù)ㄖ幸?guī)定的每一項(xiàng)要求,，嚴(yán)格履行合同的責(zé)任和義務(wù)，保證按期,、按質(zhì)履行合同,，完成合同內(nèi)容所規(guī)定的全部工作。
3,、我方愿意提供采購方在詢價(jià)采購?fù)ㄖ幸蟮乃匈Y料,，也同意向貴方提供貴方可能另外要求的與我方響應(yīng)有關(guān)的任何證據(jù)或資料。并保證所提供的資料全部是真實(shí)的,、有效的,，若有虛假，我方愿承擔(dān)一切責(zé)任,。
4,、我們同意按詢價(jià)響應(yīng)文件中的規(guī)定，本投標(biāo)書的有效期限為開標(biāo)后45天,。
5,、我方愿意遵守詢價(jià)采購?fù)ㄖ兴械氖召M(fèi)標(biāo)準(zhǔn)。
6,、我方承諾該項(xiàng)報(bào)價(jià)在遞交后保持有效,，不作任何更改和變動(dòng)。我方同意成交后若不履行詢價(jià)采購?fù)ㄖ膬?nèi)容要求和各項(xiàng)承諾及義務(wù)的即被視為違約,，我方的成交標(biāo)資格將被取消,。
7、我方同意若無法按約定條款履行義務(wù)等行為，采購方有權(quán)取消我方成交資格,。
8,、與本次投標(biāo)有關(guān)的通訊地址：（略）
單位：（略）
地址：（略）
聯(lián)系電話：（略）
響應(yīng)單位：（略）
單位：（略）
日期：年月日
附件3：法定代表人授權(quán)委托書
法定代表人（或負(fù)責(zé)人）授權(quán)委托書
本授權(quán)委托書聲明：我（姓名）系（響應(yīng)單位：（略）
代理人在授權(quán)委托書有效期內(nèi)簽署的所有文件不因授權(quán)委托的撤銷而失效，除非有撤銷授權(quán)委托的書面通知,，本授權(quán)委托書自詢價(jià)響應(yīng)文件遞交開始至合同履行完畢止,。
代理人無轉(zhuǎn)委托權(quán)。特此委托,。
詢價(jià)響應(yīng)單位：（略）
法定代表人（或負(fù)責(zé)人）：（簽字或簽章）
委托代理人：（簽字或簽章）
日期：年月日












附件4：服務(wù)偏離表

服務(wù)偏離表
（略）
服務(wù)內(nèi)容
采購要求
投標(biāo)要求
偏離/響應(yīng)
說明




























































注：1,、響應(yīng)單位：（略）
2、未在上表中說明的,，如在響應(yīng)文件其他內(nèi)容中已有文字說明的,，則以已有文字說明為準(zhǔn)，否則,，將被認(rèn)為完全響應(yīng)采購文件的規(guī)定,。但該表不作為響應(yīng)單位：（略）
響應(yīng)單位：（略）
法定代表人或委托代理人：（簽字或蓋章）
日期：年月日
附件5：響應(yīng)單位：（略）
響應(yīng)單位：（略）
（略）
響應(yīng)單位：（略）
是否完全響應(yīng)
備注
1
具有獨(dú)立承擔(dān)民事責(zé)任的能力；

提供包括法人或者其他組織的營業(yè)執(zhí)照等證明文件,，自然人的身份證明
2
具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度,；

具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度證明。提供包括但不限于最近一期（2022年或2023年度）經(jīng)審計(jì)的財(cái)務(wù)報(bào)告或最近一期財(cái)務(wù)報(bào)表（包括資產(chǎn)負(fù)債表,、利潤表）,，其他組織、自然人及成立未滿一年的法人應(yīng)提供銀行出具的資信證明
3
具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力,；

提供證明材料或承諾
4
有依法繳納稅收和社會(huì)保障資金的良好記錄；

提供稅務(wù)登記證（如有）和最近期的依法繳納稅收的憑據(jù),，最近期的依法繳納社會(huì)保險(xiǎn)的憑據(jù)（專用收據(jù)或社會(huì)保險(xiǎn)繳納清單）,，依法免稅或不需要繳納社會(huì)保障資金的供應(yīng)商，應(yīng)提供對(duì)應(yīng)證明文件
5
參加采購活動(dòng)前三年內(nèi),，在經(jīng)營活動(dòng)中沒有重大違法記錄,。

提供書面聲明函
6
法律、行政法規(guī)規(guī)定的其他條件,；


7
合格響應(yīng)單位：（略）


響應(yīng)單位：（略）
法定代表人或委托代理人：（簽字或蓋章）
日期：年月日
（全文完）