一、项目名称:基础软硬件漏洞分析及安全加固专家驻场服务采购和勒索病毒演练服务采购项目二、采购内容简介(一)基础软硬件漏洞分析及安全加固专家驻场服务采购1.建设背景采购2名基础软硬件漏洞分析和安全加固专家1年的驻场服务。2.服务需求********基础软硬件漏洞分析服务(1)漏扫支持服务乙方负责细化甲方制定的漏扫方案,在漏扫设备中调优相关扫描的配置项。在扫描期间,乙方做好现场值守。(2)漏扫结果分析服务乙方需收集已扫描系统的结果报告,并进行整合、加工处理,包括以下工作。①结果收集:对已完成扫描的系统报告,乙方需在规定的时间内完成报告的收集工作,并检核漏扫实际的执行结果,对于因****网络等原因导致漏洞扫描未能成功开展的,需做好统计记录,并及时报送给甲方。甲方待问题解决后,再次发起漏扫服务。②统计加工:乙方需按照甲方规定的维度,进行单系统及跨系统的多维度统计。结合我行主机和系统资产信息,整理出对于系统级别需要整改的漏洞清单。统计维****局限于:按照扫描出系统漏洞数目进行统计、按照各漏洞在多系统出现频次统计、按照存在命令执行、反序列化高危漏洞统计等。③漏洞分析:乙方需按照甲方要求,对漏扫结果中的漏洞归类分析。分析的维****局限于漏洞本地/远程利用、是否需要权限、造成结果为命令执行/拒绝服务/缓冲区溢出、poc是否公开、受影响主机部署位置互联****网区域。必要时乙方人员需寻求服务商专家团队支持,使漏洞的分析工作系统化、科学化。④出具整改意见:乙方完成漏洞分析后,需经甲方确认后形成正式的整改意见。整改意见应遵从科学、实际、可落地的原则。对于描出的中高危漏洞,需在扫描器原始漏洞评级的基础上,结合Poc/Exp是否公开、出现漏洞资产的部署位置等要素信息,形成科学的漏洞评级。对于商用软件原厂和开源社区不再提供支持的软件,乙方需客观的提供安全加固建议。⑤出具服务报告:进行安全扫描方案实施漏洞分析后,出具漏洞分析报告,报告名称《系统安全漏洞扫描分析报告》。报告中,会对此次扫描服务范围内的安全状况进行一个整体概述,对****网络设备,开放服务和漏洞情况进行一个统计。从每个主机的角度出具安全扫描分析报告。以上内容会通过表格,饼状图,柱状图直观地表现漏洞情况和安全情况。服务人员将会根据漏洞分析的结果针对每个漏洞进行详细描述,描述内容至少包括了漏洞厂商、威胁目标、危险级别、危害描述、检测依据以及乙方提供的详细解决方案等。********基础软硬件安全加固服务(1)出具加固方案:依据安全检查和漏洞扫描结果和安全建议,结合信息系统的实际运行情况,写出具有实际可操作性、可行的安全加固方案。逐个加固项都会有加固对象和影响范围和回退方案。回退方案是业务正常运行的必要步骤,必要时会在实验环境的条件下,进行加固实验,把握最小影响原则、规范性原则、整体性原则。(2)出具安全加固报告:安全加固方案实施后,会出具一份安全加固报告。报告中,会对此次安全加固服务的范围进行一个整体概述,并详细记录每一个加固项及加固结果。对于未能实施加固的项进行详细说明,并提出安全补救措施和安全专家建议。报告包含以下内容:①对加固过程的完整记录②对加固系统安全审计结果③有关系统安全管理方面的建议或解决方案(3)安全加固服务的涉及****网络设备加固范围②主机操作系统加固范围③数据库加固范围④中间****网络服务加固范围*****###市场发布的漏洞跟踪和排查服务负###市场上发布最新的漏洞情况进行跟踪,并进行漏洞的排查工作。********服务商需完成甲方指定的其他漏洞相关的工作。3.服务方式采用驻场服务方式完成。4.服务周期自合同签订之日起1年。5.服务人员项目实施人员要求提供原厂服务。6.服务交付文档《系统安全漏洞扫描分析报告》和《系统安全加固报告》。7.项目验收要求漏洞扫描、漏洞通告、监管发布、外部情报等渠道获取漏洞信息后进行漏洞扫描和安全加固。每次服务实施完成后,需要提交服务报告文档。8.付款方式合同期内,服务费分两次支付,每半年支付一次。我行对服务水平进行评价,评价结果为满意的支付合同总价的50%。(二)2025年勒索病毒安全事件演练服务采购1.建设背景采购20人天的现场服务。2.服务需求********技术需求:(1)****网侧进行渗透,发现安全漏洞并对该漏洞是否可以利用进行文件上传进行验证,或以社会工程学的方式植入勒索病毒程序。(2)要求制作有勒索病毒特征的恶意文件,用户电脑感染勒索病毒后会被加密,导致重要资料无法使用,对文件进行加密后能够解密。********演练阶段要求:模拟演练服务主要分为三个阶段,包括演练准备阶段、演练实施阶段和演练收尾阶段。在准备阶段提供演练计划咨询、演练方案设计撰写与修订、演练前培训等工作。在演练实施和收尾阶段提供全程化的指导与咨询。具体内容如下:(1)演练准备阶段:①制定演练计划。包括确定演练目的、分析演练需求、确定演练范围、安排演练准备与实施的日程计划。②设计演练方案。包括确定演练目标、设计演练情景与实施步骤、编写演练方案文件、演练方案评审。③演练动员与培训。在演练开始前要进行演练动员和培训,确保所有演练参与人员掌握演练规则、演练情景和各自在演练中的任务。(2)演练实施:在演练指挥与行动、演练解说、演练记录、演练宣传报道等环节提供指导、咨询,并进行实施效果评估。(3)演练收尾:演练评估与总结,存在问题的组织进行整改。提供项目实施各阶段文档和成果交付物。根据演练过程存在的问题,对应急预案进行修订。********售后服务(1)对勒索病毒演练中获取北京农商银行员工信息、系统防护体系等材料,严格保密,活动结束后及时销毁,不得留存。服务期内不得违法收集我行及其他机构敏感信息,不得散布关于我行的任何敏感信息。(2)需设有24小时服务热线,并对我行所反映的问题于2小时内响应;对需现场支持的事项,达到现场时间应小于4小时。(3)勒索病毒演练服务报告:勒索病毒演练活动结束后,即时出具勒索病毒演练服务报告,包括勒索病毒活动期间的整体情况总结、分析被勒索用户的行为、定制化提供整改建议等内容。3.服务方式采用驻场服务方式完成。4.服务周期自合同签订之日起现场服务满20人天。5.服务人员3年以上安全防护工作经验,具有信息安全相关的资质证书。安全资质证书符合如下之一:CISP、CISP-PTE、CISP-IRE。6.服务交付文档勒索病毒演练服务报告。7.项目验收要求乙方根据服务范围和进度将各阶段的提交成果(或过程性材料)提交甲方审查、检验或测试。若甲方指出存在的问题和修改意见,乙方应根据甲方意见并经双方充分讨论达成一致,对相应的提交成果(或过程性材料)进行修改,直到得到甲方的同意。8.付款方式服务商提供项目实施各阶段文档和成果交付物,我行验收通过后一次性支付合同总价的100%。如存在扣款项,按照合同约定进行扣款。
本招标项目仅供 正式会员查阅,您的权限不能浏览详细信息,请点击注册/登录,请联系工作人员办理入网升级。
联系人:方婷
电话:010-53341173
手机:13011091135 (欢迎拨打手机/微信同号)
邮箱:fangting@zbytb.com
