珠海市公共资源交易中心2024-2025年度网络安全运维服务项目采购公告

****2024-2025年度网络安全运维服务需求

序号

服务项目

内容描述

要求

1

应用安全扫描

提供12次应用安全扫描服务，具体分配如下：
一、交易服务平台9次 （包括主体库、基础数据库、一体化业务办理平台、通用竞价、通用电子招投标、建设工程、应急抢险、电子档案系统等子系统模块）
二、预警平台 3次

使用安全扫描评估工具等，对业务系统进行全面的漏洞扫描，检测信息泄露、SQL注入、XSS漏洞、系统命令注入漏洞、建站框架漏洞等威胁风险，完成后提供《****应用安全扫描问题清单及整改建议》，待中心完成整改后，须安排进行复查。

2

WEB渗透测试

提供8次渗透测试服务，具体分配如下：
一、交易服务平台 4次 （包括主体库、基础数据库、一体化业务办理平台、通用竞价、通用电子招投标、建设工程、应急抢险、电子档案系统等子系统模块）
二、预警平台 2次
三、预留灵活安排2次

找出系统存在的后门或漏洞、页面漏洞、后台管理账号、用户弱密码等安全风险；每次渗透性测试完成后，响应人应提交完整的渗透性测试分析报告，详细说明甲方系统/网站统有可能存在的安全风险，含整改建议和方案，并尽全力恢复好测试的系统原状态。待中心完成整改后，须安排进行复查。

3

安全巡检基线核查

提供3次安全巡检。
****中心全部服务器（包括全部虚拟机及裸金属服务器）

通过安全巡检方式对操作系统、数据库、中间件进行基线核查，包括但不限于系统服务、系统账户和权限、策略、防火墙、防病毒系统、操作系统补丁、用户密码安全、数据库策略、数据库弱密码、中间件策略、中间件管理后台、磁盘权限、网页后门等检查项。巡检完成后提供《****安全巡检情况报告及加固建议》。待中心完成整改后，须安排进行复查。

4

办公网资产安全检查

提供1次办公网络资产安全检查服务

****中心办公网络进行全局的扫描，清查办公网资产，发现办公网安全问题，输出风险评测报告情况，提供《****内网资产安全检查报告》。待中心完成整改后，须安排进行复查。

5

重保及攻防演练期间的技术支持服务

在我中心重保时期及“粤盾”、“御海”等攻防演练期间，派遣至少一名验丰富的网络安****中心提供专属服务，****中心完成上级安全检查、重保时期安全保障、应急响应、安全运营等工作。攻防演练期间须提供24小时电话值班服务，一次攻防演练时间一般为一周,攻防演练次数不定。

在中心参与重保及各类攻防演练期间，至少安排一名经验丰富的专业工作人员到现场全程参与演练，并提供安全防护、问题整改等技术支持服务，****中心完成上级安全检查、重保时期安全保障、应急响应、安全运营等工作，保证中心系统及网络的正常运行以及通报问题的及时整改；提供WEB 安全、恶意程序、网络攻击、信息破坏等网络安全问题服务支撑；提供云edr服务器端检测工具等相关安全工具；在****中心需要提供总结报告。

6

应急响应服务

****中心对出现的或者可能出现的重**全事件进行应急处理。

对出现的或者可能出现的重**全事件（包括业务中断、大规模病毒爆发、网络瘫痪、主机或网络异常事件、数据丢失等），通过远程响应和现场服务等方式，协助中心以最快速度处理紧急事件，恢复系统的完整性、可用性。保障业务系统的连续性，阻止和减少安全事件带来的负面影响。

7

日常咨询评估服务

为我中心提供安全保障相关的日常咨询顾问服务。

提供网络安全行业政策、技术发展等方面的咨询服务，包括政策法规、安全制度建设、项目安全、安全方案设计、等保测评、密码应用安全性评估等咨询服务；针对网络和安全设备具体事件提供咨询评估建议，如：新设备上线、架构调整、IP调整等。