为对第*方测评公司提交的关于****市自然资源局网络安全隐患进行整改修复，同时对局内现有网络设备配置和相关安全设备策略进行调优，并进行安全巡检和渗透测试，现通过****的方式择优遴选****市自然资源局网络及系统安全服务单位，欢迎符合条件的单位参加投标竞争，为本项目提供服务，具体事项如下

*、项目名称

项目名称：****市自然资源局网络及系统安全服务机构采购。

*、项目概况

（*）项目地点：****市自然资源局

（*）采购范围：招标控制价为*.**元的网络及系统安全服务。

*、项目需求

（*）风险评估。包括物理、网络、主机、应用层面的安全评估，报告应结合自然资源局网络及系统的实际情况，针对发现的安全风险提供明确的切实可行的整改目标及整改技术建议，并对整改方案及整改实施提供必要的工作指导,对整改后效果是否达标还须进行跟踪确认。具体内容有：

*、信息资产分析。对自然资源局主机房内物理环境、网络设备、主机、应用软件、业务系统、数据、人员、标准流程等进行调查和分析，明确其现有状况、配置情况和管理情况，建立信息资产数据库，统*进行管理；

*、拓扑结构调查。包括对所有网络的拓扑结构进行调查，并按统*标准绘制成图；

*、安全系统调查。包括明确现有安全设备(防火墙、防病毒系统、入侵检测系统、安全扫描系统、审计系统)的部署情况和使用情况；同时了解在建网络与信息安全建设项目，使之服从统*部署原则。

（*）网络结构和网络设备评估。对网络结构的合理性、网络访问控制策略的合理性、网络访问控制策略的完善性、网络设备的配置、其它相关网络防火墙及其它安全设备的配置进行评估。具体内容有：通过对网络区域划分、网络访问控制策略、网络通信传输加密、网络数据*致性、网络系统可用性、网间互联安全、远程接入安全等，分析整体网络拓扑结构的薄弱环节或存在的安全隐患。

（*）渗透测试。根据招标方安全需求及重要业务系统结构，设计针对性的渗透测试方案，并提交至招标方进行评审。在保证信息系统正常运行前提下，模拟黑客攻击行为通过远程或本地方式对信息系统进行非破坏性的入侵测试，查找针对应用程序的各种漏洞，帮助招标方理解应用系统当前的安全状况，发现在系统复杂结构中的最脆弱链路并针对安全隐患提出解决办法，切实保证信息系统安全。具体内容有：

*、渗透测试应主要包括以下范围的漏洞：（*） ***应用系统；（*）主机操作系统；（*） 数据库系统。
*、渗透测试内容应主要包括：（*）身份验证类（*） 会话管理类（*）访问控制类（*） 输入处理类（*） 信息泄露类（*） 第*方应用类。
*、渗透测试人员应针对使用不同技术手段发现不同纬度的漏洞，并进行验证，形成记录和报告。
*、渗透测试人员应在招标方授权许可的情况下以目标业务系统为跳板进行横向渗透，发掘更深层次的漏洞并展现漏洞被利用后的危害 。
*、编写渗透测试报告并提交给招标方，报告应该阐明招标方业务系统中存在的安全隐患以及专业的漏洞风险处置建议。

(*) 网络安全巡检。具体内容有：

*、网络设备的日志和配置分析。网络设备的配置分析采用人工方式，由网络安全工程师比较配置的更改情况，对比网络进行分析，给出合理性配置建议。网络设备的日志采用人工和专业软件相结合的方式，对设备日志全面分析，统计网络的访问、流量、性能曲线、设备登录和管理等情况，给出安全性分析和建议。

*、安全设备的策略分析。对于防火墙的策略配置文件，由安全工程师进行分析以下方面：策略的更改情况、更改原因以及策略更改的合理性，进而对防火墙策略进行优化。对于防火墙的日志文件，采用人工和专业软件相结合的方式，分析*个月内的如下信息：防火墙所拦截到的正常、非正常访问信息统计分析；防火墙的日常维护情况，如：管理员登*，防火墙重起等信息。

*、入侵检测设备报警分析。由安全工程师对***的报警分析，按照报警的信息、危害性、安全事件的联系性、事件的可追溯性等各方面分析。

以上网络安全巡检应形成分析报告和建议，并根据安全巡检的结果，制定相关修补方案，根据修补方案进行加固,安全修补，同时制定切实可行的日常安全巡检制度。

*、竞标人资格要求

（*）符合《中华人民共和国****法》第***条规定，具有独立法人资格未被“信用中国”网站(***.***********.***.**)、中国****网(***.****.***.**)等渠道列入失信被执行人、重大税收违法案件当事人名单、****严重违法失信行为记录名单”（以“信用中国”（***.***********.***.**）或中国****网查询的结果为准）。

（*）为保证服务提供厂商相关工具的软件安全性，原厂商的软件研发实力通过**** **认证（提供证明材料及投标方盖章）。

（*）为保证服务提供厂商的专业性，投标原厂商是中国反网络病毒联盟****成员单位、是国家信息安全漏洞共享平台(****)用户组成员并获得中国网络安全审查技术与认证中心认证的信息安全风险评估服务资质（*级）（提供证明材料及投标方盖章）。

（*）本次采购不接受联合体竞标。

*、竞标开标时间

（*）开标时间：****年**月 **日上午*:**。

（*）开标地点：****市自然资源局*楼第*会议室。

*、响应文件构成

（*）竞标函（原件）；

（*）法定代表人身份证明书（原件）；

（*）法定代表人授权书（原件，授权委托时提供）；

（*）企业法人营业执照副本、税务登记证（或*证合*后的新版营业执照）；

（*）企业的其他资质证书等副本（复印件加盖公章）；

（*）“信用中国”（***.***********.***.**）或****网查询结果（需显示查询日期）；

（*）投标人认为需要提交的其他材料。

*、评标小组构成及评审办法

（*）评标小组:市自然资源局办公室、财务科、自然资源信息中心各*名代表组成。

（*）监督人：中国共产党****市自然资源局机关纪律检查委员会代表*人。

（*）定标方式：

经资格审核后有*家及*家以上服务单位符合条件参与投标的，最低价中标。

*、竞标结果

（*）竞标结果将在开标后*个工作日内在****市自然资源局门户网站进行公示，公示期为*个工作日。

（*）公示期期满无异议的，由采购人向中标人发出中标通知书。

*、合同签订

中标人在收到中标通知书后 * 日内，应派代表与采购人联系，商讨签订合同事宜，并在中标通知书发出后*日内完成合同订立。

*、其他

本次招标解释权属于****市自然资源信息中心

**、联系方式

（*）采购人名称：****市自然资源信息中心

地址：****市****大道***号***室

联系人：****

联系电话：****-*******

（*）主管单位名称：****市自然资源局

地址：****市****大道***号

联系人：李主任

联系电话：****-*******

（*）监督单位名称：中国共产党****市自然资源局机关纪律检查委员会

地址：****市****大道***号

联系人：李副书记

联系电话：****-*******

****市自然资源局

****年**月*日

文件下载：

关联文件：