江西省科学院网络安全服务采购询价公告

点击登录查看网络安全服务采购询价公告

一、项目服务需求

为全面提升点击登录查看网络安全保障能力与整体安全水平，有效识别信息系统安全隐患、完善网络安全应急处置机制、强化全员网络安全防范意识，依据国家网络安全相关法律法规、标准规范及本院信息化建设与安全管理实际需要，本次采购网络安全风险评估、网络安全应急演练及网络安全意识培训三项网络安全专业服务。

二、技术要求

2.1服务范围

本单位本次采购的服务系统清单如下：

序号	采购服务名称	数量	单位	预算金额合计（人民币）	服务简要说明
1	网络安全风险评估	2	个	58000元	通过专业的安全评估，分析资产价值、潜在威胁、薄弱环节和防护措施，提出风险管理建议，确保系统安全。风险评估服务的核心目标是通过系统的风险分析和评估，为单位提供科学的安全决策依据，降低系统运行的安全风险。
2	网络安全应急演练	1	次		以提升单位应对网络安全突发事件能力为核心，通过协助修订规范应急预案、模拟真实安全攻击场景开展演练，检验预案可行性与团队协作机制，发现应急处置流程不足，优化单位网络安全应急管理体系，增强抵御安全风险的实战能力，确保真实事件发生时能快速响应、有效处置，将损失和影响降至最低。
3	网络安全意识培训	1	次		面向单位工作人员开展，围绕网络安全法律法规、单位安全管理制度、钓鱼邮件识别、弱口令防范等核心内容，采用线下授课、案例讲解、互动答疑相结合的方式，进行网络安全意识宣传。

2.2技术依据

《中华人民共和国网络安全法》（主席令第53号）

关于印发《信息安全等级保护工作的实施意见》的通知（公通字[2004]66号文件）

关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43号文件）

《计算机信息系统安全保护等级划分准则》（GB17859-1999）

《信息安全技术网络安全等级保护测评过程指南》（GB/T28449-2018）

《信息安全技术网络安全等级保护实施指南》（GB/T25058-2019）

《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）

《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）

《信息安全技术网络安全等级保护定级指南》（GB/T22240-2020）

《信息安全技术个人信息安全规范》（GB/T35273—2020）

《信息安全技术信息安全风险评估方法》（GB/T20984-2022）

《信息安全技术信息安全风险评估实施指南》(GB/T31509-2015)

《信息安全技术网络安全事件应急演练指南》（GB/T38644-2020）

《信息安全技术网络安全意识指南》（GB/T41479-2022）

2.3项目范围

针对点击登录查看信息系统、网络环境及工作人员，开展网络安全风险评估、网络安全应急演练、网络安全意识培训等年度网络安全服务工作，全面排查安全风险、完善应急机制、提升人员安全意识与防护技能。

2.4项目内容与具体要求

本次采购包含3项核心网络安全服务，具体要求如下：

1.网络安全风险评估

严格遵循《信息安全技术信息安全风险评估方法》《信息安全技术信息安全风险评估实施指南》开展全流程风险评估。

(1) 资产识别：开展用户访谈和问卷调研，确定信息安全风险评估范围及具体系统；针对业务系统进行深度资产识别，包括业务系统、数据文档、软硬件资产、物理环境、组织管理等信息，分类统计资产情况；建立完整资产台账，明确资产名称、类型、责任人、价值、重要程度等信息。

为防止内网资产出现异常影响业务稳定性，提供的技术工具需支持EBA实体行为分析功能，通过对这些对象进行持续的行为分析和行为画像构建，识别服务器异常，包括DGA解析请求、外联C C服务器、异常协议利用、下载可疑文件、异常横向访问等。需提供具备CMA资质的第三方检测机构出具的关于以上功能检测报告复印件并加盖供应商公章佐证。

为方便安全管理人员有效管理内部资产，提供的技术工具需支持资产全生命周期管理，包括自动识别资产、入库审核、离线资产识别、自动识别资产图库、手动导入资产退库、自定义资产名称等。针对自动识别资产退库功能，可设置全局退库时间，数据更新时间。需提供具备CMA资质的第三方检测机构出具的关于以上功能检测报告复印件并加盖供应商公章佐证。

注：针对以上技术服务工具技术功能，采购人有权要求供应商在结果公示后三日内到用户现场演示，若供应商存在虚假响应情况，采购人将有权上报监督管理部门。

(2) 漏洞发现：使用Web应用安全扫描工具，检测Web应用层的常规安全漏洞；对业务系统的网络设备、主机、操作系统、数据库、中间件、应用软件进行全量漏洞扫描；人工验证扫描结果，确保漏洞真实性与准确性。

(3) 基线核查：基于用户提供的权限或管理人员的配合，对设备、数据库、中间件等安全配置进行脚本核查；将核查结果导入基线检查平台，对比行业安全标准与最佳实践，识别配置不符合项。

(4) 风险分析：综合考虑资产价值、威胁发生概率、脆弱性的破坏力、现有防护能力等因素，分析资产可能存在的安全风险；结合风险对业务战略的影响程度，明确风险等级与处置优先级，制定风险处置计划。

(5) 成果输出：数据真实、分析客观、结论明确，形成正式评估报告。

(6) 交付成果：《网络安全风险评估报告》

2.网络安全应急演练

采用桌面推演方式实施，不影响业务系统正常运行，遵循《网络安全事件应急演练指南》。

(1) 演练场景制定：围绕核心业务系统与关键数据资产，设计多样化场景，确保场景贴合实际风险，结合单位实际制定演练方案，明确演练场景、流程、角色、职责、判定标准；

(2) 演练组织与执行：采用桌面推演形式，前期向参与人员讲解演练方案、流程及注意事项；模拟事件发生，组织各部门人员分析事件、讨论应对策略与执行步骤，协调资源保障演练顺畅；全程记录攻击模拟时间、各部门响应耗时、操作内容等关键信息；

(3) 演练评估与优化：从应急响应速度、处置效果、团队协作、预案执行等维度开展评估；针对发现的问题，提出应急预案修订与应急管理体系改进建议；协助单位推进优化落地。

(4) 交付成果：《网络安全应急演练实施方案》《网络安全应急演练总结报告》

3.网络安全意识培训

(1) 内容覆盖：网络安全法律法规、单位安全制度、钓鱼邮件识别、弱口令防范等。

(2) 培训形式：线下集中授课，结合案例、演示、互动问答提升效果。

(3) 交付成果：《培训课件》。

注：以上技术要求为实质性要求，必须完全满足或优于，不满足作无效投标处理。

三、商务条款

服务期：自合同签订之日起一年内。

服务内容：

（1）根据风险评估结果，提出安全建设整改方案，供采购人针对性开展安全整改。

（2）免费提供整改技术咨询与技术支持。

付款方式：供应商完成全部3项服务并提交正式报告后，30个工作日内，采购人一次性支付全额服务费。

其它：

中标单位应保证采购人在使用该服务及相关成果时不受第三方提出侵犯其专利权、商标权和设计权的起诉。如第三方提出侵权指控或赔偿要求，成交单位须与第三方交涉，并承担一切损失、费用和法律责任。

人员安排要求：

提供固定服务技术团队，技术人员需具备网络安全风险评估、应急演练相关经验。服务期内提供7×24小时上门、远程、电话技术支持。

服务地点：江西省南昌市****

报价文件递交时间：****17：00时前（北京时间）。逾期送达或未送达指定地点的报价文件，不予受理。

递交地点：江西省南昌市****

注：以上商务要求为实质性要求，必须完全满足或优于，不满足作无效投标处理。

点击登录查看

****