【文章內(nèi)容簡(jiǎn)介】 物及配置在適當(dāng)范圍內(nèi)進(jìn)行調(diào)整。中標(biāo)人應(yīng)按中標(biāo)通知書(shū)指定的時(shí)間、地點(diǎn)派代表前來(lái)與招標(biāo)人具體商談簽訂合同。招標(biāo)文件、中標(biāo)人的投標(biāo)文件及澄清文件等，均為簽訂合同的依據(jù)。中標(biāo)人按照招標(biāo)人要求繼續(xù)酌情修訂方案，直至得到招標(biāo)人認(rèn)可為止，方案確定后正式簽訂合同。貨款支付：自簽訂合同之日起10日內(nèi)，我中心首先支付合同約定服務(wù)金額的40%，至合同結(jié)束之日起10日內(nèi)，支付剩余的60%。以上支付均采用轉(zhuǎn)賬方式。第六章 項(xiàng)目功能技術(shù)需求書(shū)一、項(xiàng)目目標(biāo)：隨著信息化不斷的發(fā)展，業(yè)務(wù)工作對(duì)信息系統(tǒng)的依賴(lài)性越來(lái)越高，隨之而來(lái)的安全問(wèn)題也越來(lái)越多，新威脅層出不窮，應(yīng)用系統(tǒng)安全面臨嚴(yán)峻挑戰(zhàn)，一旦由于安全問(wèn)題導(dǎo)致系統(tǒng)癱瘓，會(huì)嚴(yán)重影響業(yè)務(wù)工作，因此提高常州科技局信息系統(tǒng)信息安全防護(hù)能力迫在眉睫。為準(zhǔn)確定位系統(tǒng)存在的各種風(fēng)險(xiǎn)，為信息安全規(guī)范提供科學(xué)依據(jù)，減少安全改造對(duì)系統(tǒng)產(chǎn)生負(fù)面影響，使安全投入性?xún)r(jià)比最大化，需要實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估。根據(jù)常州科技局現(xiàn)有的網(wǎng)絡(luò)安全漏洞的風(fēng)險(xiǎn)級(jí)別，針對(duì)不同漏洞選擇針對(duì)性的網(wǎng)絡(luò)安全解決方案，解決現(xiàn)有的網(wǎng)絡(luò)安全問(wèn)題。完善業(yè)務(wù)信息網(wǎng)絡(luò)安全系統(tǒng)，控制由于系統(tǒng)漏洞、病毒、黑客攻擊等原因引起的重大網(wǎng)絡(luò)危害。從物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全、系統(tǒng)安全和管理安全五個(gè)層次分別加以建設(shè)。二、項(xiàng)目實(shí)施內(nèi)容：（一）、風(fēng)險(xiǎn)評(píng)估對(duì)象及內(nèi)容常州科技局信息系統(tǒng)、門(mén)戶(hù)網(wǎng)站，對(duì)各系統(tǒng)的組織架構(gòu)、策略體系、人員安全、物理安全、網(wǎng)絡(luò)（含）安全設(shè)備、服務(wù)器系統(tǒng)及應(yīng)用（含數(shù)據(jù)庫(kù)、中間件）系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，l 評(píng)估內(nèi)容：資產(chǎn)邊界分析（1）分析待評(píng)估資產(chǎn)范圍；（2）劃分內(nèi)部資產(chǎn)子系統(tǒng)；（3）對(duì)各子系統(tǒng)進(jìn)行邊界確認(rèn)；（4）確定最終資產(chǎn)子系統(tǒng)邊界；資產(chǎn)識(shí)別（1）根據(jù)資產(chǎn)表格進(jìn)行資產(chǎn)審計(jì)；（2）分組對(duì)本地、非本地區(qū)域資產(chǎn)進(jìn)行有效錄入登記；（3）每類(lèi)資產(chǎn)明細(xì)需要審計(jì)資產(chǎn)詳細(xì)配置與當(dāng)前狀態(tài)；威脅識(shí)別（1）從物理準(zhǔn)入控制、機(jī)房溫濕度控制、機(jī)房防塵、機(jī)房電源、接地、機(jī)房屏蔽、以及防雷、防火、防盜等多個(gè)方面進(jìn)行物理威脅識(shí)別；（2）從網(wǎng)絡(luò)拓?fù)?、地址分配、VLAN劃分、路由協(xié)議、準(zhǔn)入控制、訪(fǎng)問(wèn)控制等多個(gè)方面進(jìn)行網(wǎng)絡(luò)威脅識(shí)別；（3）從系統(tǒng)來(lái)源、系統(tǒng)補(bǔ)丁、賬號(hào)安全、密碼安全、審計(jì)安全、服務(wù)安全、惡意代碼防護(hù)等多方面進(jìn)行系統(tǒng)威脅識(shí)別；（4）從應(yīng)用服務(wù)平臺(tái)、數(shù)據(jù)庫(kù)安全、中間件安全、代碼安全、數(shù)據(jù)安全、賬號(hào)安全、密碼安全、審計(jì)安全等多個(gè)方面進(jìn)行應(yīng)用威脅識(shí)別；（5）從組織架構(gòu)、人員安全、管理規(guī)定、合規(guī)性、應(yīng)用連續(xù)性要求等多個(gè)方面進(jìn)行管理威脅識(shí)別。脆弱性識(shí)別（1）從物理準(zhǔn)入控制、機(jī)房溫濕度控制、機(jī)房防 塵、機(jī)房電源、接地、機(jī)房屏蔽、以及防雷、防火、防盜等多個(gè)方面進(jìn)行物理脆弱性識(shí)別；（2）從系統(tǒng)來(lái)源、系統(tǒng)補(bǔ)丁、賬號(hào)安全、密碼安全、審計(jì)安全、服務(wù)安全、惡意代碼防護(hù)、日常運(yùn)維等多方面進(jìn)行系統(tǒng)脆弱性識(shí)別；（3）從網(wǎng)絡(luò)拓?fù)?、地址分配、VLAN劃分、路由協(xié)議、準(zhǔn)入控制、訪(fǎng)問(wèn)控制、日常運(yùn)維等多個(gè)方面進(jìn)行網(wǎng)絡(luò)脆弱性識(shí)別；（4）從應(yīng)用服務(wù)平臺(tái)、數(shù)據(jù)庫(kù)安全、中間件安全、代碼安全、賬號(hào)安全、密碼安全、審計(jì)安全、日常運(yùn)維等多個(gè)方面進(jìn)行應(yīng)用脆弱性；（5）從數(shù)據(jù)備份及恢復(fù)、應(yīng)急響應(yīng)、災(zāi)備與冗余等多方面進(jìn)行數(shù)據(jù)脆弱性識(shí)別；已有安全措施登記（1）識(shí)別已有操作系統(tǒng)安全策略；（2）識(shí)別已有應(yīng)用系統(tǒng)安全策略；（3）識(shí)別已有網(wǎng)絡(luò)系統(tǒng)安全策略；（4）識(shí)別已有安防系統(tǒng)安全策略；（5）識(shí)別已有機(jī)房系統(tǒng)安全策略；風(fēng)險(xiǎn)分析（1）根據(jù)收集的用戶(hù)數(shù)據(jù)進(jìn)行分析，評(píng)估要素關(guān)系映射；（2）根據(jù)評(píng)估要素關(guān)系進(jìn)行風(fēng)險(xiǎn)值計(jì)算（3）形成風(fēng)險(xiǎn)評(píng)估報(bào)告；（4）針對(duì)風(fēng)險(xiǎn)評(píng)估報(bào)告的解決方案；應(yīng)用系統(tǒng)滲透性測(cè)試 在相關(guān)部門(mén)的授權(quán)下，對(duì)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試，并提供相關(guān)滲透測(cè)試報(bào)告。 系統(tǒng)加固服務(wù) 依據(jù)評(píng)估結(jié)果，和甲方共同制定系統(tǒng)加固實(shí)施方案，依據(jù)方案實(shí)施加固，并輸出完整的系統(tǒng)加固實(shí)施記錄。（二）、安全服務(wù)項(xiàng)目?jī)?nèi)容及要求運(yùn)行維護(hù)安全服務(wù)l 應(yīng)急響應(yīng)服務(wù)周期：服務(wù)期內(nèi)免費(fèi)提供應(yīng)急響應(yīng)服務(wù)中標(biāo)公司為用戶(hù)突發(fā)事件提供724小時(shí)技術(shù)支持，對(duì)于客戶(hù)的安全咨詢(xún)提供524小時(shí)的專(zhuān)人電話(huà)服務(wù)，對(duì)于突發(fā)的網(wǎng)絡(luò)安全事故，公司需在2小時(shí)內(nèi)到達(dá)現(xiàn)場(chǎng)。服務(wù)內(nèi)容包括對(duì)意外事故的處理、非法入侵的處理和調(diào)查恢復(fù)、網(wǎng)絡(luò)攻擊的應(yīng)急防護(hù)等。對(duì)服務(wù)器提供現(xiàn)場(chǎng)安全維護(hù)和工作時(shí)間安全維護(hù)服務(wù)。經(jīng)維護(hù)服務(wù)發(fā)現(xiàn)故障設(shè)備損壞時(shí)，要向我信息中心相關(guān)技術(shù)人員詳細(xì)說(shuō)明設(shè)備損壞的原因及程度，并提供最佳的解決方案，損壞件更換完畢后，協(xié)助我方將有關(guān)設(shè)備恢復(fù)到原來(lái)的運(yùn)行狀態(tài)。每次維護(hù)均要有記錄，年度末提供年度匯總報(bào)告。對(duì)于數(shù)據(jù)備份，中標(biāo)公司在提供應(yīng)急響應(yīng)服務(wù)時(shí)，要確保數(shù)據(jù)的安全存放，并在故障排除后將數(shù)據(jù)恢復(fù)到原有狀態(tài)。制定網(wǎng)絡(luò)安全應(yīng)急方案（包括防病毒、入侵檢測(cè)、數(shù)據(jù)備份、防火墻以及核心交換機(jī)），并協(xié)助甲方進(jìn)行至少一次應(yīng)急演練，并提交相關(guān)報(bào)告。其中數(shù)據(jù)恢復(fù)演練每季度進(jìn)行一次。l 安全通報(bào)服務(wù)中標(biāo)公司每月通過(guò)郵件或傳真方式向我方提供安全通告郵件列表，實(shí)時(shí)提供最新出現(xiàn)的安全漏洞和安全升級(jí)通告。對(duì)于影響力大的計(jì)算機(jī)病毒提供具體的檢測(cè)和修復(fù)辦法。l 安全檢測(cè)服務(wù)服務(wù)周期：每月巡檢、每季度出具季度安全報(bào)告。服務(wù)范圍：對(duì)網(wǎng)絡(luò)安全進(jìn)行全面的評(píng)估檢測(cè)，包括工具掃描及手工檢測(cè)等，對(duì)服務(wù)器、路由器、安全設(shè)備、數(shù)據(jù)備份設(shè)備、軟件等的安全日志進(jìn)行分析檢測(cè)，提出系統(tǒng)加固建議以及相關(guān)的應(yīng)急措施。服務(wù)內(nèi)容：l 運(yùn)行環(huán)境評(píng)估檢測(cè)：對(duì)環(huán)境、設(shè)備、場(chǎng)地線(xiàn)路等物理設(shè)施進(jìn)行安全評(píng)估并對(duì)安全隱患提出相應(yīng)的解決建議或進(jìn)行修復(fù)和改造。l 平臺(tái)安全評(píng)估檢測(cè)：對(duì)服務(wù)器、工作站的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、備份設(shè)備、應(yīng)用程序的安全性進(jìn)行評(píng)估檢測(cè)并對(duì)安全隱患和脆弱性進(jìn)行修復(fù)。l 安全產(chǎn)品審計(jì)和升級(jí)：對(duì)安全產(chǎn)品（防火墻、入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)等）的日志進(jìn)行審計(jì)，對(duì)出現(xiàn)的安全隱患提出解決建議，對(duì)在免費(fèi)升級(jí)維護(hù)期內(nèi)的產(chǎn)品提供升級(jí)服務(wù)。服務(wù)目標(biāo)：全面給出相應(yīng)的安全隱患和