网络信息安全托管服务招标需求
1.招标内容及要求
建设的内容包含:
序号 | 采购内容 | 数量 |
1 | 网络信息安全托管服务 | 1套(50资产) |
2.技术要求及目标
为浙江工商大学提供为期一年的网络信息安全托管服务(以下简称安全托管服务)。安全托管服务以保障网络安全“持续有效”为目标,围绕资产、漏洞、威胁、事件四个风险要素,通过云端安全运营平台和安全专家团队有效协同的“人机共智”模式,与本地一同构建7*24小时持续守护、有效预防和主动闭环的体系化安全运营能力。
3.服务内容要求
服务项 | 服务细项 | 详细描述 |
服务上线 | 组件部署与接入 | 安全专家对需要接入安全托管服务的组件(SIP/AF/EDR等)进行部署并接入至安全运营平台。 |
资产收集与录入 | 安全专家在上线前对服务资产进行收集,并将资产信息录入到安全运营平台中进行管理。 | |
安全现状评估 | 策略检查 | 上线前安全专家对安全组件上的安全策略进行统一检查,确保安全组件上的安全策略始终处于最优水平,针对威胁能起到最好的防护效果。 |
脆弱性评估 | 对操作系统、数据库、常见应用/协议、系统与Web漏洞进行漏洞扫描,弱口令扫描可实现信息化资产不同应用弱口令猜解检测,如:SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等。 | |
资产暴露面梳理 | 安全专家在上线前使用扫描组件对资产开展暴露面探测,以梳理资产面向互联网的开放情况,快速发现违规暴露在互联网中的资产及存在的风险并进行协助处置,实现对暴露面资产可管可控,降低暴露面资产的风险。 | |
失陷类事件评估 | 勒索病毒事件分析:安服专家分析判断主机是否感染了勒索病毒,是否已感染勒索病毒文件,根据已发生的漏洞攻击行为分析判断否存在勒索病毒攻击等。 | |
挖矿病毒事件分析:安服专家分析是否感染了挖矿病毒/木马,是否处于挖矿状态,根据已发生的漏洞攻击行为分析判断是否存在以植入挖矿木马为目的的漏洞攻击等。 | ||
蠕虫病毒事件:安服专家确认文件是否被感染,定位失陷的代码并进行修复。 | ||
失陷主机分析:安全专家对失陷主机进行分析研判(如恶意程序及后门脚本类事件),并给出处置及加固建议。 | ||
潜伏威胁分析:安全专家分析内网主机的非法外联威胁行为,判断是否存在潜伏威胁,并给出处置及加固建议。含:对外攻击、APT C&C通道、隐藏外联通道等外联威胁行为。 | ||
攻击行为评估 | 针对常见攻击行为进行分析评估,判断攻击行为是否成功以及业务风险点。 | |
安全问题处置 | 安全策略调优 | 安全专家根据安全威胁/事件分析的结果以及处置方式,对安全组件上的安全策略进行调整工作。 |
脆弱性问题修复指导 | 针对内网脆弱性,安全专家分析研判后提供实际佐证材料,并给出修复建议。 | |
失陷类事件处置 | 针对服务资产的勒索、挖矿类事件。安全专家主导处置工作,并提供最大程度溯源服务。 | |
针对后门脚本类事件。安全专家主导处置工作,提供专杀工具对感染服务器进行全面后门脚本查杀,并提供最大程度溯源服务。 | ||
针对隐藏通信通道、可疑外发行为。安全专家提供实际佐证材料,并给出修复建议,提供最大范围的溯源服务。 | ||
攻击行为处置 | 针对分析研判确认的入侵行为,安全专家给出策略调整建议。结合现有AF设备等,在获得授权后,在服务时间内安全专家调整安全策略进行封禁。 | |
资产管理 | 资产指纹探测 | 持续服务过程中安全专家每季度对资产进行指纹(操作系统、中间件、软件厂商等信息)探测,并对指纹信息进行确认与更新,确保资产指纹信息的准确性和全面性。 |
资产变更管理 | 持续服务过程中安全专家每季度对资产进行存活性探测,当发现未存活资产或资产发生变更时,安全专家对变更信息进行确认与更新,确保资产信息的准确性和全面性。 | |
脆弱性管理 | 漏洞扫描与验证 | 每月对服务资产的系统漏洞和Web漏洞进行全量扫描,并针对发现的WEB漏洞进行验证,验证WEB漏洞在已有的安全体系发生的风险及分析发生后可造成的危害。 |
漏洞修复优先级排序与通告 | 基于漏洞扫描结果、资产重要性及漏洞的威胁情报,对漏洞进行重要性排序,确定修复的优先级;并将最终结果通告给用户。 | |
漏洞可落地修复方案 | 对漏洞进行分析并输出可落地的修复方案,通过工单系统跟踪修复情况。 | |
漏洞复测与状态追踪 | 对修复的漏洞进行复测,及时更新漏洞工单的漏洞修复状态。 | |
弱口令分析与管理 | 实现信息化资产不同应用弱口令猜解检测,针对不同行业提供行业密码字典,有针对性的进行内网弱口令检测,并将检测发现的问题通过工单系统跟踪修复状态。 | |
威胁管理 | 7*24H威胁分析研判 | 基于云端安全能力平台,云端专家提供7*24小时的威胁监测,实时监测网络安全状态,对安全告警和威胁进行分析研判,并生成工单。 |
7*24H威胁通告 | 安全专家将云端分析确认后的真实威胁、事件实时通过微信、邮件等方式向用户通告,并提供处置建议。 | |
威胁影响面分析 | 安全专家针对每一个真实的威胁和告警,进行深度分析验证,分析判断受影响范围及是否攻击成功,将深度关联分析的结果通过服务群/邮件等方式告知用户。 | |
威胁协助处置 | 安全专家针对分析结果提供对应的处置或加固建议(如封锁攻击源、设置安全策略防护等措施),并协助用户闭环。 | |
威胁情报管理 | 实时抓取互联网最新威胁情报与详细资产信息进行匹配,对最新威胁情报进行通告与排查,结合威胁情报,安全专家排查是否对服务资产造成影响并通知用户,及时协助进行安全加固。 | |
策略检查 | 每月安全专家对安全组件上的安全策略进行统一检查,确保安全组件上的安全策略始终处于最优水平,针对威胁能起到最好的防护效果。 | |
策略调优 | 每月安全专家根据安全威胁/事件分析的结果以及处置方式,并对安全组件上的安全策略进行调整工作。 | |
事件管理 | 安全事件调查与分析 | 安全专家7*24H在线服务,针对主机发生的安全事件开展调查分析和影响面分析,对发生的安全事件进行人工鉴定和举证分析。 |
安全事件处置与闭环 | 对用户网络内服务资产爆发的安全事件,利用一些工具和脚本对恶意文件、代码进行根除,帮助用户快速恢复业务,消除或减轻影响,闭环事件工单。 | |
重大事件应急响应 | 事件影响抑制:通过事件检测分析,提供抑制手段,降低入侵影响,协助快速恢复业务。 | |
7*24H服务团队 | 专属服务经理 | 配置一名经验丰富的安全专家作为专属服务经理。 |
实时专家咨询 | 安全专家对用户咨询或上报的安全问题进行及时响应并给出建议,如主机加固建议咨询、安全事件处置建议咨询等。 | |
节假日值守 | 安全值守专家进行7*24小时安全监测,对发生的安全事件进行及时响应并在节假日期间每日进行值守总结,在服务群发送值守总结快报。 | |
运营成果可视 | 安全运营周报 | 安全专家每周对服务资产进行安全运营情况的分析总结并输出《安全运营周报》。 |
安全运营月报 | 安全专家每月对服务资产及整体安全状况进行分析总结并输出《安全运营月报》。 | |
安全运营季度汇报 | 安全专家每季度总结阶段性安全运营情况并输出《安全运营季报》发送给用户,向用户进行远程总结汇报。 | |
安全运营年度汇报 | 安全专家总结年度安全运营情况并输出《年度总结报告》发送给用户,向用户进行总结汇报。 | |
用户portal | 可视化Portal支持随时查看服务范围内业务资产安全状态。 | |
支持在线展示所有脆弱性、威胁、事件工单的处置进程和结果 | ||
支持用户在线对服务SLA进行查阅和监督。 |
4.项目方案及要求
4.1.服务内容要求
整体要求 | 投标人应当为采购人指定的50个核心资产提供1年7*24小时的安全托管服务,做到7*24H在线服务,并且在节假日期间应当每日为采购人提供节假日值守快报。 【服务承诺】提供相应服务承诺函,格式自拟。 |
为了保障服务质量和加强供应商与学校的沟通,供应商应当承诺为学校配置一名经验丰富的安全专家作为专属服务经理,并且实时响应供应商咨询的网络安全相关问题。 | |
供应商需支持通过云端服务平台对接学校现有网络中已部署的主要安全设备,包括下一代防火墙、端点安全管理、安全感知平台,支持实时接收安全设备检测到的安全事件信息、安全日志数据并进行联动处置。 | |
首次安全评估 | 暴露面梳理:供应商应使用安全工具对学校服务资产开展互联网暴露面探测,以梳理资产面向互联网的开放情况,快速发现违规暴露在互联网中的资产及存在的风险并进行处置,实现对暴露面资产可管可控,降低暴露面资产的风险。 |
供应商应具备互联网暴露面梳理的服务工具,该工具应当支持全资产和精确资产两种模式暴露资产收集模式,收集到的暴露面信息至少包括域名、域名标题、IP地址、开放端口、资产指纹、网站截图、移动端暴露面,并且能采集对应暴露资产的访问截图向学校举证,及对应暴露资产存在的漏洞。 | |
脆弱性管理 | 高危可利用漏洞防护:针对服务范围内资产扫描到的高危可利用漏洞,供应商应当为学校做好每一个高危可利用漏洞的防护工作,包括但不限于为学校提供漏洞修复方案和安全设备防护策略,以及帮助学校配置防护规则,保证学校不因此出现重大事件和损失。 |
威胁管理 | 7*24小时威胁鉴定:供应商应当具备云端检测和分析平台,通过采集学校安全设备和工具的安全告警和安全日志,结合大数据分析、人工智能等技术手段,为学校提供7*24小时持续不间断的安全威胁分析鉴定,同时在用户界面进行展示。 【服务承诺】提供相应服务承诺函,格式自拟。 |
个性化的检测规则定制:为了保证安全监测的准确率和服务质量,供应商应当支持为学校自定义配置安全规则,以满足日益复杂的安全趋势所带来的安全监测需求。 | |
受影响资产排查与加固:安全专家应当结合威胁情报主动排查是否对服务资产造成影响并通知用户,及时协助进行安全加固。 | |
安全策略检查:供应商安全专家每月对学校的安全设备的防护策略进行检查,确保安全设备上的安全策略始终处于最优水平,针对威胁能起到最好的防护效果。供应商云端服务平台应当具备丰富的策略检查工具(要求不少于40种策略检查的工具),支持排查安全设备防护策略配置的合理性。 | |
服务成果可视化(用户Portal) | 服务质量监控:供应商需提供服务成果展示门户(用户Portal),具备服务质量可视化展示能力,可以通过可视化的数据,清晰的了解安全专家的服务水平,至少包括高危可利用漏洞准确率、高危可利用漏洞防护率、威胁闭环率、威胁平均分析研判时效、威胁平均遏制时效、事件闭环率、事件平均分析研判时效、事件平均闭环时效,以验证供应商所承诺的服务指标。 |
服务交付物管理:供应商需提供服务成果展示门户(用户Portal),可以直观的管理服务过程中生产的服务报告和交付物,包括但不限于《项目启动会PPT》、《首次安全风险分析报告》、《威胁情报》、《安全运营周报》、《安全运营月报》、《安全运营季报》、《年度总结汇报》等。 | |
服务过程与成果可视化(移动端Portal) | 供应商需为学校提供移动端服务过程展示门户(移动端Portal),支持实时直观地查阅服务的每日运营动态,运营动态需包括【事件通告】【威胁通告】【威胁情报】【服务报告】【夜间值守快报】等,并支持自定义进行筛选和管理。 |
供应商需为学校提供移动端服务过程展示门户(移动端Portal),支持直观地查阅服务推送的各种安全事件/威胁的详细专家审核研判过程,需包含安全事件详细的【基本信息】【入侵路径】【影响主机】【主机调查】【数据包分析】等内容。 | |
供应商需为学校提供的移动端服务过程展示门户(移动端Portal),支持直观地查阅服务推送的各种安全事件/威胁的详细专家处置闭环过程,需包含安全事件详细的【抑制情况】【调查情况】【溯源情况】【处置情况】【加固情况】等内容。 | |
供应商需为学校提供移动端服务成果展示门户(移动端Portal),支持将漏洞管理的结果分发给相应的业务责任人,支持漏洞情况介绍及修复手册的发送,同时支持智能分批发送和统一发送的方式。 |
4.3.服务验收要求
所有服务内容全部落地执行,安全防护能力满足外网系统运行管理及行业合规相关要求,无监测空白与服务断档,达到既定安全防护目标,完整留存各类服务台账、巡检记录、事件处置记录,资料齐全可追溯,方可完成整体服务验收。
4.4.其他说明
1. 供应商需与学校签订正式保密协议,严格遵守学校网络安全、数据安全及保密管理相关规定,对服务过程中接触、获取的学校网络拓扑结构、网络设备部署、系统架构、业务资源分布等核心涉密网络信息严格保密,严禁私自记录、外传、复制、留存或用于本项目以外的任何用途。
2. 供应商在开展托管服务、安全巡检、应急处置、漏洞排查等工作过程中获取的学校业务数据、师生个人敏感信息、系统账号权限、日志数据等全部信息,均属于学校涉密资源,不得外泄、不得倒卖、不得对外披露、不得私自导出和复用。
3.供应商严禁对学校网络拓扑、系统架构、业务数据、安全策略等信息进行拍照、截图、存档、外传或提供给第三方,服务周期结束后须彻底销毁所有本地留存的学校相关数据及资料,并出具资料清零承诺。
4. 供应商须严格遵守《网络安全法》《数据安全法》《个人信息保护法》等法律法规,严禁利用托管服务权限开展越权操作、违规探测、恶意扫描等行为,若因供应商保密不当、操作不规范造成信息泄露、网络安全事件及合规风险,由供应商承担全部法律责任与后果。
5.报价文件递交
报价单位应于2026年06月05日12时前将报价文件密封递交至杭州市下沙高教园区浙江工商大学,逾期送达或未密封将予以拒收。
6.评审标准
询价小组根据符合采购需求、质量和服务相等且报价最低的原则确定成交供应商。
7.联系方式
联系人:马艳辉 联系电话:0571-28877663
