服务网站源码
网站源码 时间:2021-03-24 阅读:()
采购标的具体情况项目名称:山东理工大学软件正版化及网络安全服务项目采购单位:山东理工大学采购代理机构:山东三阳项目管理有限公司编制时间:2019年09月10日1.
采购内容、数量及预算安排:名称数量预算金额(万元)山东理工大学软件正版化及网络安全服务1项38.
00采购内容及要求:详见技术指标及要求.
2.
需实现的功能或者目标:为贯彻落实全国人大常务委员会发布施行的《中华人民共和国网络安全法》及教育部《教育信息化十年发展规划(2011-2020)》的重点建设工作要求,参照国务院办公厅《政府机关使用正版软件管理办法》及使用正版软件工作部际联席会议办公室《正版软件管理工作指南》要求,以及贯彻落实山东省软件正版化工作联席会议办公室和山东省版权局印发的《2016年山东省推进使用正版软件工作实施方案》的要求,有效提升山东理工大学正版软件的部署规模和信息技术的应用水平,更好提供山东理工大学放心的生产、教学、科研环境.
同时为贯彻落实全国人大常务委员会发布施行的《中华人民共和国网络安全法》以及山东省教育厅《山东省教育厅关于加强教育行业网络与信息安全工作的通知》的部署安排,按照公安部《信息安全等级保护监督检查反馈意见书》中"建立、完善日常信息安全监测和预警机制"的指导意见,为防止山东理工大学各类网站和信息系统被恶意攻击者利用、篡改,影响学校正常工作,促进学校各类信息系统安全防护能力和防护水平的提升,最大限度地预防和减少重大信息安全事件的发生.
3.
需满足的国家相关标准、行业标准、地方标准或者其他标准、规范:政府采购促进中小企业发展.
政府采购支持监狱企业发展.
促进残疾人就业政府采购政策.
4.
需满足的质量、安全、技术规格、物理特性等要求:与本项目有关法律法规标准规范和满足国家、省市相关规范及其他相关专业现行规范.
5.
需满足的采购政策要求质量要求:供应商应保证所提供服务完全符合项目规定的质量、规格和性能的要求,保证系统能正常运行.
在质量保证期内供应商应对由于设计等缺陷而发生的任何不足或者故障负责.
供应商保证其提交的服务不侵犯任何第三方合法享有的知识产权和/或其他权益.
若因上述原因引起的第三方追溯,采购方概不负责,服务提供方承担由此引起的全部责任,并赔偿因此给采购方带来的全部损失.
安全要求:合格,无事故.
技术规格:须满足国家、省市相关规范及其他相关专业现行规范.
6.
项目交付或者实施的时间和地点:交付期:签订合同后30天内安装上线验收合格并正常运行;交付地点:山东理工大学网络信息中心(指定房间);7.
需满足的服务标准、期限、效率等要求:服务标准:成交供应商应承诺系统平台在服务期间运转正常,服务人员对系统能熟练操作、应付突发事件,判断故障、进行应急处理,且服务人员综合素质胜任岗位.
服务期限:服务期限自合同签订生效之日起一年,质保期一年,国家主管部门或者行业标准对服务本身有更高要求的,应遵循更高要求;质保期期内软件的维修、升级、补丁更新、更换、技术支持以及人员管理等所需一切支出(包括技术人员差旅费等支出)由成交供应商负责.
质保期外只收取成本费.
服务效率:7*24小时,保证系统能正常运行.
8.
项目售后服务及验收标准:须满足国家、省市相关规范及其他相关专业现行规范,并做到一次性验收合格,达到采购人有关要求.
9.
技术指标及要求:序号货物名称数量内容及要求1微软Windows桌面端操作系统1项专业版1、有校园正版授权协议;2、涵盖微软技术支持的全系列操作系统类产品;3、使用范围:全校办公室、教室、实验室和图书馆等所有教学、科研、管理及服务场所的所有计算机,同时包括全部教职工使用的电脑和笔记本;4、质保期为一年;5、质保期内,软件如有升级版本,授权对升级版本同样有效;6、质保期内,所有新增计算机不再加收任何费用;7、质保期内价格不得变动;8、质保期内,免费提供软件补丁更新和技术支持(包括电话支持和在线支持);9、所有产品必须在本地部署,包括补丁更新;10、包含32位版本和64位版本.
2微软Office办公软件1项专业版1、有校园正版授权协议;2、涵盖微软技术支持的全系列办公软件类产品;3、使用范围:全校办公室、教室、实验室和图书馆等所有教学、科研、管理及服务场所的所有计算机,同时包括全部教职工使用的电脑和笔记本;4、质保期为一年;5、质保期内,软件如有升级版本,授权对升级版本同样有效;6、质保期内,所有新增计算机不再加收任何费用;7、质保期内价格不得变动;8、质保期内,免费提供软件补丁更新和技术支持(包括电话支持和在线支持);9、产品能提供云空间,云邮件,云沟通,云会议,云网盘的功能模块,并能够在一个管理空间里管理所有的功能,其中免费提供每个云用户≥50G容量邮箱、1TB网盘空间;10、产品须支持Windows平台(32位版和64位版)和mac平台;11、须提供office全部组件;12、所有产品必须在本地部署,包括补丁更新.
3软件资源与服务管理平台及售后服务1套最新版本软件资源与服务管理平台及售后服务功能要求:(1)平台包括软件资源授权与管理系统1套和软件资源使用与服务系统1套,平台需采用标准开发接口标准,可实现与"全校统一身份认证体系"对接,实现统一的用户身份验证书和权限管理.
(其中:软件资源授权与管理系统为用户提供自动软件下载与分发、密钥激活和授权使用记录报告等功能,实现对软件资源统一管理);(2)平台提供多种授权方式:普通激活方式以及批量激活方式,用户安装操作系统和软件后,通过客户端连接至激活服务器进行激活,无需输入序列号;(3)系统分为客户端,补丁升级服务端,应用激活服务端和管理后台共四大主要模块,为用户提供系统和应用软件激活等功能,用户可以使用统一账号登录客户端选择激活方式和应用进行申请,然后在管理员分配的激活次数下对自己的系统或者应用软件进行激活,该客户端还为用户提供免费的系统更新推送和病毒库更新推送;(4)安全性:为保障软件产品的安全正常合规使用,激活客户端需支持反编译功能.
支持软件资源管理平台本地部署;平台页面可以自定义排版;自定义软件的展示位置和排序;用户可以自助下载正版软件和激活;每个正版软件可以独立设置权限,没有分配到权限的用户不显示;(5)用户可以通过激活客户端申请新的激活次数(后台管理员审批通过后生效);(6)管理员可以对用户激活次数进行控制;文档:使用帮助文档(包括常见问题);提供U盘、光盘启动安装盘的制作帮助文档及安装程序;WSUS补丁升级、病毒库更新:微软软件补丁与升级;系统防病毒更新库;(7)能给用户提供备份电脑中目前已安装的最新驱动程序的功能.
在重装电脑系统前,可将电脑中的驱动程序备份到指定的位置,可以将Windows安装程序搜索驱动的路径指向备份的驱动程序所在路径,即可快速完成各种硬件设备的驱动安装工作;统计数据:提供平台访问量统计;平台所有软件的下载量统计;正版软件激活量统计;正版软件装机量统计;下载时段统计(年、月、日、时等多维度统计);在线客户服务功能:客户服务支撑对接:(获得电话邮件服务支持);(8)服务要求:售后服务期限:1年;包括定期巡检、平台升级、数据导入、更新服务、技术支持,培训技术管理人员正确使用管理平台;技术支持网站:对本单位使用用户提供专业技术交流和技术支持网站;使用培训:使用技巧培训,管理平台使用培训;培训3名以上网络管理人员,对系统进行操作培训;技术支持:提供在线技术支持服务及服务电话和服务邮箱;(9)售后服务:提供省内客户服务支持;所有服务均按照等同于或优于磋商文件中的规格型号提供,如不符合合同要求,采购人有权提出更改;售后响应电话:电话热线和网络咨询服务(7*8小时/周);(10)软件在质保时间内出现新版本应免费升级.
其他要求:供货时提供针对此项目的原厂商软件授权使用批量许可(Volumelicense).
6网络安全服务1项需为采购人提供网络安全体系建设解决方案、信息安全风险评估服务、网站云安全防护服务、网站安全威胁监测、网站可用性监测、安全管理制度落地、应急响应、重大活动期间网络安全支持等服务.
服务期限:自合同签订之日起一年1.
1网络安全体系建设解决方案投标供应商应针对采购方网络架构、安全现状等进行分析,依据国家相关法律规章,提供网络安全体系建设整体解决方案,给出详细的产品和服务解决方案.
1.
2安全风险评估服务投标供应商应采用专业的WEB应用安全检查工具,全面对网站进行扫描,主动发现Web应用系统中隐藏的漏洞,根据漏扫结果输出详尽的漏洞描述和修补方案.
1)服务频次:每月1次2)服务要求:针对采购人提供100个以内网站站点漏扫服务,针对采购人web网站存在的安全风险并提出整改建议.
安全漏洞扫描需包含但不限于以下内容SQL注入、XSS跨站脚本、伪造跨站点请求(CSRF)、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄漏、HI-JACK攻击、弱口令、Xpath注入、LDAP注入、框架注入、链接注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookie注入、敏感文件、第三方软件、其他各类CGI漏洞支持国际目前主流WEB应用类型.
3)服务成果:成交供应商每月输出《网站漏扫扫描报告》并根据漏洞情况提供整改建议.
1.
3网站云安全防护服务要求投标供应商采用流量引导方式对网站进行安全防护,不得采用更改网站DNS解析记录方式,全面对网站进行防护,主动防御Web受到的攻击.
1)服务频次:7*24小时2)服务要求针对采购人提供100个以内网站站点的7*24小时网站云安全防护服务、可用性检测、安全威胁检测,网站问题修复及应急响应工作.
安全防护内容需包含但不限于以下内容网站安全防御:识别和阻断SQL注入攻击,Cookie注入攻击,命令注入攻击;支持爬虫防护、扫描防护;支持文件上传、下载过滤;支持LDAP、XPATH、struct2/xworks检测和防护;识别阻断跨站脚本(XSS)注入式攻击;识别和阻断应用层拒绝服务攻击,非法上传阻断,包括WebShell攻击防护,对网页请求/响应内容中的非法关键字进行检测、过滤;识别和阻断应用层拒绝服务攻击;识别和阻断敏感信息泄露、恶意代码攻击、错误配置攻击、隐藏字段攻击、会话劫持攻击、参数篡改攻击、缓冲区溢出攻击;控制网络扫描行为,提供多种威胁处理方式:返回错误码、重定向、监控、默认动作等;支持Cookie加密,支持Cookie篡改劫持,支持Cookie加固;DDOS攻击:支持对IP、TCP、UDP、ICMP、HTTP、RAW-IP等协议的DDoS攻击防护;支持对IP参数特征防护,包含IP畸形、LAND、禁止分片、重复分片、pingdeath、碎片、TCP/UDP头部分片、分片无法重组等流量特征检查机制;支持对TCP参数特征防护,包含TCP畸形、链路无数据传输、未知FIN报文、快速重复ACK、WINNUKE、序号异常、SYN代理、协议状态异常、客户端关闭接收窗口等流量特征检查机制等.
支持对UDP参数特征库防护,包含UDP畸形、UDP无载荷等流量特征检查机制;支持对ICMP参数特征防护,包含ICMP畸形、SMURF、ICMP快速重复攻击等流量特征检查机制;支持对HTTP参数特征库防护,包含HTTP畸形、HTTP请求未被响应、HTTP客户端重定向能力检查等流量特征检查机制;3)服务成果:成交供应商每个月输出《网站防护报告》.
1.
4网站安全威胁监测服务投标供应商对采购方的web流量采用流量镜像监测的手段,服务期内7*24小时监测采购方web网站情况,并及时发现各类深度的安全隐患问题和安全威胁事件.
1)服务频次:7*24小时2)服务要求:网站安全威胁监测需包含但不限于以下内容全流量审计:全面记录网络流量中2-7层协议的访问行为,方便进行审计分析和取证.
深度威胁分析:发现各种层面的威胁,包含蠕虫、DoS攻击、ARP攻击、系统漏洞利用、web攻击、TCP端口扫描等安全事件的深度威胁监控分析.
自定义规则分析:对全流量通过内置的自定义规则深度适配,精准检测可疑的非法入侵行为.
暗链接监测:网页暗链接监测采用源码比对,标签标识技术,监测引擎对网站源码与变更比对,发现潜在危险链接及非法挂载链接.
3)服务成果:成交供应商发现web网站出现安全威胁时,需及时通知采购方,提供整改建议,必要时协助采购方进行网站封锁.
1.
5网站可用性监测成交供应商需从域名可用性、网站服务可用性等多个方面对采购商的web网站在服务期内进行7*24小时监测,监测地点需在省内且不得少于3个监测点,监测线路不得低于三个运营商,监测频率10分钟/次.
可用性监测需包含但不限于以下内容:网站服务可用性监测:监测网站服务是否中断或报错;监测网站延时是否过大;监测是否存在线路异常;域名解析可用性监测:成交供应商需监测权威服务器的可用性、以及权威服务器解析IP地址是否与监测的历史基准一致来判断域名是存否发生安全问题,检测到故障时会在第一时间向采购人提出整改建议.
其他可提供的可用性监测.
成交供应商发现web网站出现无法打开或延时过大的情况,需及时通知采购方;每月需输出《网站可用性监测报告》.
1.
6IT资产健康性检查成交供应商应采用专业的安全配置核查工具定期对采购方IT资产进行健康性检查,实现对操作系统、网络设备、数据库、中间件、虚拟化平台等设备或系统的风险评估,并提供专业的安全配置建议与合规性检查报告.
1)服务频次:两次/年(每学期一次)2)服务要求:健康性检查服务包括不限于以下内容:需对网络设备、安全设备、业务系统操作系统根据等级保护基本要求及安全配置最佳实践进行资产安全配置核查,对比当前资产安全配置与等级保护要求项的差距,并出具《业务系统安全配置核查报告》.
需对安全设备当前策略进行梳理评估,按照现网环境结合业务系统需求对策略合理优化;对设备日志、流量、系统状态等安全信息进行分析,保证设备良性运行;1.
7基线加固服务成交供应商需结合漏洞扫描、威胁监测、健康性检查等其他服务项的输出结果及整改建议,协助采购方进行后续安全漏洞的加固整改工作,制定加固方案及加固实施过程中风险规避应急计划.
1.
8网站问题修复成交供应商需对通过主动扫描、流量分光等安全监测手段发现的安全隐患问题,以及上级主管部门下发的安全问题,协助采购方进行修复工作,并实时跟踪,直至问题处理完成,形成闭环.
并根据安全问题修复情况,配合编写修复报告.
1.
9安全管理制度落地为采购人全年提供不限次数的安全管理制度落地服务.
服务以国家信息安全等级保护体系为指导,设计、制定、完善和补充采购人的安全管理制度和体系要求,并协助采购方制度落地.
1.
10应急响应工作成交供应商需配合采购方编制web应急响应管理规程,制定应急响应处理预案.
成交供应商需在采购方有重大事件期间实行7*24小时人员值班确保web安全正常运行.
成交供应商需协助采购方进行事件发生后的系统修复工作,并提供安全管理改进方案.
成交供应商需根据应急响应处理的情况,对安全事件进行分析,并编写安全事件应急响应报告.
备注:1、带""的条款为本项目的实质性要求条款,供应商所提供服务必须满足该要求,若其中一条不满足将作为无效投标处理.
2、为有助于供应商选择投标产品,除部分外技术参数说明及要求中提供了推荐品牌(或型号)、参考品牌(或型号)等,但这些品牌(或型号)仅供参考,并无限制性.
供应商可以选择性能不低于推荐(或参考)的品牌(或型号)的其他产品或服务,但投标时应当提供有关技术证明资料,未提供的可能导致投标无效.
3、本技术要求所提供的技术指标是最低限度的要求,供应商应保证提供符合本技术要求和相关标准的优质服务.
对国家有关安全、环保等强制性标准,必须满足其要求.
除本技术要求特殊规定外,磋商文件中列出的标准和规程,如果已更新,供应商所提供的服务应按国家规定的标准和规程的最新版本.
采购内容、数量及预算安排:名称数量预算金额(万元)山东理工大学软件正版化及网络安全服务1项38.
00采购内容及要求:详见技术指标及要求.
2.
需实现的功能或者目标:为贯彻落实全国人大常务委员会发布施行的《中华人民共和国网络安全法》及教育部《教育信息化十年发展规划(2011-2020)》的重点建设工作要求,参照国务院办公厅《政府机关使用正版软件管理办法》及使用正版软件工作部际联席会议办公室《正版软件管理工作指南》要求,以及贯彻落实山东省软件正版化工作联席会议办公室和山东省版权局印发的《2016年山东省推进使用正版软件工作实施方案》的要求,有效提升山东理工大学正版软件的部署规模和信息技术的应用水平,更好提供山东理工大学放心的生产、教学、科研环境.
同时为贯彻落实全国人大常务委员会发布施行的《中华人民共和国网络安全法》以及山东省教育厅《山东省教育厅关于加强教育行业网络与信息安全工作的通知》的部署安排,按照公安部《信息安全等级保护监督检查反馈意见书》中"建立、完善日常信息安全监测和预警机制"的指导意见,为防止山东理工大学各类网站和信息系统被恶意攻击者利用、篡改,影响学校正常工作,促进学校各类信息系统安全防护能力和防护水平的提升,最大限度地预防和减少重大信息安全事件的发生.
3.
需满足的国家相关标准、行业标准、地方标准或者其他标准、规范:政府采购促进中小企业发展.
政府采购支持监狱企业发展.
促进残疾人就业政府采购政策.
4.
需满足的质量、安全、技术规格、物理特性等要求:与本项目有关法律法规标准规范和满足国家、省市相关规范及其他相关专业现行规范.
5.
需满足的采购政策要求质量要求:供应商应保证所提供服务完全符合项目规定的质量、规格和性能的要求,保证系统能正常运行.
在质量保证期内供应商应对由于设计等缺陷而发生的任何不足或者故障负责.
供应商保证其提交的服务不侵犯任何第三方合法享有的知识产权和/或其他权益.
若因上述原因引起的第三方追溯,采购方概不负责,服务提供方承担由此引起的全部责任,并赔偿因此给采购方带来的全部损失.
安全要求:合格,无事故.
技术规格:须满足国家、省市相关规范及其他相关专业现行规范.
6.
项目交付或者实施的时间和地点:交付期:签订合同后30天内安装上线验收合格并正常运行;交付地点:山东理工大学网络信息中心(指定房间);7.
需满足的服务标准、期限、效率等要求:服务标准:成交供应商应承诺系统平台在服务期间运转正常,服务人员对系统能熟练操作、应付突发事件,判断故障、进行应急处理,且服务人员综合素质胜任岗位.
服务期限:服务期限自合同签订生效之日起一年,质保期一年,国家主管部门或者行业标准对服务本身有更高要求的,应遵循更高要求;质保期期内软件的维修、升级、补丁更新、更换、技术支持以及人员管理等所需一切支出(包括技术人员差旅费等支出)由成交供应商负责.
质保期外只收取成本费.
服务效率:7*24小时,保证系统能正常运行.
8.
项目售后服务及验收标准:须满足国家、省市相关规范及其他相关专业现行规范,并做到一次性验收合格,达到采购人有关要求.
9.
技术指标及要求:序号货物名称数量内容及要求1微软Windows桌面端操作系统1项专业版1、有校园正版授权协议;2、涵盖微软技术支持的全系列操作系统类产品;3、使用范围:全校办公室、教室、实验室和图书馆等所有教学、科研、管理及服务场所的所有计算机,同时包括全部教职工使用的电脑和笔记本;4、质保期为一年;5、质保期内,软件如有升级版本,授权对升级版本同样有效;6、质保期内,所有新增计算机不再加收任何费用;7、质保期内价格不得变动;8、质保期内,免费提供软件补丁更新和技术支持(包括电话支持和在线支持);9、所有产品必须在本地部署,包括补丁更新;10、包含32位版本和64位版本.
2微软Office办公软件1项专业版1、有校园正版授权协议;2、涵盖微软技术支持的全系列办公软件类产品;3、使用范围:全校办公室、教室、实验室和图书馆等所有教学、科研、管理及服务场所的所有计算机,同时包括全部教职工使用的电脑和笔记本;4、质保期为一年;5、质保期内,软件如有升级版本,授权对升级版本同样有效;6、质保期内,所有新增计算机不再加收任何费用;7、质保期内价格不得变动;8、质保期内,免费提供软件补丁更新和技术支持(包括电话支持和在线支持);9、产品能提供云空间,云邮件,云沟通,云会议,云网盘的功能模块,并能够在一个管理空间里管理所有的功能,其中免费提供每个云用户≥50G容量邮箱、1TB网盘空间;10、产品须支持Windows平台(32位版和64位版)和mac平台;11、须提供office全部组件;12、所有产品必须在本地部署,包括补丁更新.
3软件资源与服务管理平台及售后服务1套最新版本软件资源与服务管理平台及售后服务功能要求:(1)平台包括软件资源授权与管理系统1套和软件资源使用与服务系统1套,平台需采用标准开发接口标准,可实现与"全校统一身份认证体系"对接,实现统一的用户身份验证书和权限管理.
(其中:软件资源授权与管理系统为用户提供自动软件下载与分发、密钥激活和授权使用记录报告等功能,实现对软件资源统一管理);(2)平台提供多种授权方式:普通激活方式以及批量激活方式,用户安装操作系统和软件后,通过客户端连接至激活服务器进行激活,无需输入序列号;(3)系统分为客户端,补丁升级服务端,应用激活服务端和管理后台共四大主要模块,为用户提供系统和应用软件激活等功能,用户可以使用统一账号登录客户端选择激活方式和应用进行申请,然后在管理员分配的激活次数下对自己的系统或者应用软件进行激活,该客户端还为用户提供免费的系统更新推送和病毒库更新推送;(4)安全性:为保障软件产品的安全正常合规使用,激活客户端需支持反编译功能.
支持软件资源管理平台本地部署;平台页面可以自定义排版;自定义软件的展示位置和排序;用户可以自助下载正版软件和激活;每个正版软件可以独立设置权限,没有分配到权限的用户不显示;(5)用户可以通过激活客户端申请新的激活次数(后台管理员审批通过后生效);(6)管理员可以对用户激活次数进行控制;文档:使用帮助文档(包括常见问题);提供U盘、光盘启动安装盘的制作帮助文档及安装程序;WSUS补丁升级、病毒库更新:微软软件补丁与升级;系统防病毒更新库;(7)能给用户提供备份电脑中目前已安装的最新驱动程序的功能.
在重装电脑系统前,可将电脑中的驱动程序备份到指定的位置,可以将Windows安装程序搜索驱动的路径指向备份的驱动程序所在路径,即可快速完成各种硬件设备的驱动安装工作;统计数据:提供平台访问量统计;平台所有软件的下载量统计;正版软件激活量统计;正版软件装机量统计;下载时段统计(年、月、日、时等多维度统计);在线客户服务功能:客户服务支撑对接:(获得电话邮件服务支持);(8)服务要求:售后服务期限:1年;包括定期巡检、平台升级、数据导入、更新服务、技术支持,培训技术管理人员正确使用管理平台;技术支持网站:对本单位使用用户提供专业技术交流和技术支持网站;使用培训:使用技巧培训,管理平台使用培训;培训3名以上网络管理人员,对系统进行操作培训;技术支持:提供在线技术支持服务及服务电话和服务邮箱;(9)售后服务:提供省内客户服务支持;所有服务均按照等同于或优于磋商文件中的规格型号提供,如不符合合同要求,采购人有权提出更改;售后响应电话:电话热线和网络咨询服务(7*8小时/周);(10)软件在质保时间内出现新版本应免费升级.
其他要求:供货时提供针对此项目的原厂商软件授权使用批量许可(Volumelicense).
6网络安全服务1项需为采购人提供网络安全体系建设解决方案、信息安全风险评估服务、网站云安全防护服务、网站安全威胁监测、网站可用性监测、安全管理制度落地、应急响应、重大活动期间网络安全支持等服务.
服务期限:自合同签订之日起一年1.
1网络安全体系建设解决方案投标供应商应针对采购方网络架构、安全现状等进行分析,依据国家相关法律规章,提供网络安全体系建设整体解决方案,给出详细的产品和服务解决方案.
1.
2安全风险评估服务投标供应商应采用专业的WEB应用安全检查工具,全面对网站进行扫描,主动发现Web应用系统中隐藏的漏洞,根据漏扫结果输出详尽的漏洞描述和修补方案.
1)服务频次:每月1次2)服务要求:针对采购人提供100个以内网站站点漏扫服务,针对采购人web网站存在的安全风险并提出整改建议.
安全漏洞扫描需包含但不限于以下内容SQL注入、XSS跨站脚本、伪造跨站点请求(CSRF)、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄漏、HI-JACK攻击、弱口令、Xpath注入、LDAP注入、框架注入、链接注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookie注入、敏感文件、第三方软件、其他各类CGI漏洞支持国际目前主流WEB应用类型.
3)服务成果:成交供应商每月输出《网站漏扫扫描报告》并根据漏洞情况提供整改建议.
1.
3网站云安全防护服务要求投标供应商采用流量引导方式对网站进行安全防护,不得采用更改网站DNS解析记录方式,全面对网站进行防护,主动防御Web受到的攻击.
1)服务频次:7*24小时2)服务要求针对采购人提供100个以内网站站点的7*24小时网站云安全防护服务、可用性检测、安全威胁检测,网站问题修复及应急响应工作.
安全防护内容需包含但不限于以下内容网站安全防御:识别和阻断SQL注入攻击,Cookie注入攻击,命令注入攻击;支持爬虫防护、扫描防护;支持文件上传、下载过滤;支持LDAP、XPATH、struct2/xworks检测和防护;识别阻断跨站脚本(XSS)注入式攻击;识别和阻断应用层拒绝服务攻击,非法上传阻断,包括WebShell攻击防护,对网页请求/响应内容中的非法关键字进行检测、过滤;识别和阻断应用层拒绝服务攻击;识别和阻断敏感信息泄露、恶意代码攻击、错误配置攻击、隐藏字段攻击、会话劫持攻击、参数篡改攻击、缓冲区溢出攻击;控制网络扫描行为,提供多种威胁处理方式:返回错误码、重定向、监控、默认动作等;支持Cookie加密,支持Cookie篡改劫持,支持Cookie加固;DDOS攻击:支持对IP、TCP、UDP、ICMP、HTTP、RAW-IP等协议的DDoS攻击防护;支持对IP参数特征防护,包含IP畸形、LAND、禁止分片、重复分片、pingdeath、碎片、TCP/UDP头部分片、分片无法重组等流量特征检查机制;支持对TCP参数特征防护,包含TCP畸形、链路无数据传输、未知FIN报文、快速重复ACK、WINNUKE、序号异常、SYN代理、协议状态异常、客户端关闭接收窗口等流量特征检查机制等.
支持对UDP参数特征库防护,包含UDP畸形、UDP无载荷等流量特征检查机制;支持对ICMP参数特征防护,包含ICMP畸形、SMURF、ICMP快速重复攻击等流量特征检查机制;支持对HTTP参数特征库防护,包含HTTP畸形、HTTP请求未被响应、HTTP客户端重定向能力检查等流量特征检查机制;3)服务成果:成交供应商每个月输出《网站防护报告》.
1.
4网站安全威胁监测服务投标供应商对采购方的web流量采用流量镜像监测的手段,服务期内7*24小时监测采购方web网站情况,并及时发现各类深度的安全隐患问题和安全威胁事件.
1)服务频次:7*24小时2)服务要求:网站安全威胁监测需包含但不限于以下内容全流量审计:全面记录网络流量中2-7层协议的访问行为,方便进行审计分析和取证.
深度威胁分析:发现各种层面的威胁,包含蠕虫、DoS攻击、ARP攻击、系统漏洞利用、web攻击、TCP端口扫描等安全事件的深度威胁监控分析.
自定义规则分析:对全流量通过内置的自定义规则深度适配,精准检测可疑的非法入侵行为.
暗链接监测:网页暗链接监测采用源码比对,标签标识技术,监测引擎对网站源码与变更比对,发现潜在危险链接及非法挂载链接.
3)服务成果:成交供应商发现web网站出现安全威胁时,需及时通知采购方,提供整改建议,必要时协助采购方进行网站封锁.
1.
5网站可用性监测成交供应商需从域名可用性、网站服务可用性等多个方面对采购商的web网站在服务期内进行7*24小时监测,监测地点需在省内且不得少于3个监测点,监测线路不得低于三个运营商,监测频率10分钟/次.
可用性监测需包含但不限于以下内容:网站服务可用性监测:监测网站服务是否中断或报错;监测网站延时是否过大;监测是否存在线路异常;域名解析可用性监测:成交供应商需监测权威服务器的可用性、以及权威服务器解析IP地址是否与监测的历史基准一致来判断域名是存否发生安全问题,检测到故障时会在第一时间向采购人提出整改建议.
其他可提供的可用性监测.
成交供应商发现web网站出现无法打开或延时过大的情况,需及时通知采购方;每月需输出《网站可用性监测报告》.
1.
6IT资产健康性检查成交供应商应采用专业的安全配置核查工具定期对采购方IT资产进行健康性检查,实现对操作系统、网络设备、数据库、中间件、虚拟化平台等设备或系统的风险评估,并提供专业的安全配置建议与合规性检查报告.
1)服务频次:两次/年(每学期一次)2)服务要求:健康性检查服务包括不限于以下内容:需对网络设备、安全设备、业务系统操作系统根据等级保护基本要求及安全配置最佳实践进行资产安全配置核查,对比当前资产安全配置与等级保护要求项的差距,并出具《业务系统安全配置核查报告》.
需对安全设备当前策略进行梳理评估,按照现网环境结合业务系统需求对策略合理优化;对设备日志、流量、系统状态等安全信息进行分析,保证设备良性运行;1.
7基线加固服务成交供应商需结合漏洞扫描、威胁监测、健康性检查等其他服务项的输出结果及整改建议,协助采购方进行后续安全漏洞的加固整改工作,制定加固方案及加固实施过程中风险规避应急计划.
1.
8网站问题修复成交供应商需对通过主动扫描、流量分光等安全监测手段发现的安全隐患问题,以及上级主管部门下发的安全问题,协助采购方进行修复工作,并实时跟踪,直至问题处理完成,形成闭环.
并根据安全问题修复情况,配合编写修复报告.
1.
9安全管理制度落地为采购人全年提供不限次数的安全管理制度落地服务.
服务以国家信息安全等级保护体系为指导,设计、制定、完善和补充采购人的安全管理制度和体系要求,并协助采购方制度落地.
1.
10应急响应工作成交供应商需配合采购方编制web应急响应管理规程,制定应急响应处理预案.
成交供应商需在采购方有重大事件期间实行7*24小时人员值班确保web安全正常运行.
成交供应商需协助采购方进行事件发生后的系统修复工作,并提供安全管理改进方案.
成交供应商需根据应急响应处理的情况,对安全事件进行分析,并编写安全事件应急响应报告.
备注:1、带""的条款为本项目的实质性要求条款,供应商所提供服务必须满足该要求,若其中一条不满足将作为无效投标处理.
2、为有助于供应商选择投标产品,除部分外技术参数说明及要求中提供了推荐品牌(或型号)、参考品牌(或型号)等,但这些品牌(或型号)仅供参考,并无限制性.
供应商可以选择性能不低于推荐(或参考)的品牌(或型号)的其他产品或服务,但投标时应当提供有关技术证明资料,未提供的可能导致投标无效.
3、本技术要求所提供的技术指标是最低限度的要求,供应商应保证提供符合本技术要求和相关标准的优质服务.
对国家有关安全、环保等强制性标准,必须满足其要求.
除本技术要求特殊规定外,磋商文件中列出的标准和规程,如果已更新,供应商所提供的服务应按国家规定的标准和规程的最新版本.
美国云服务器 2核4G限量 24元/月 香港云服务器 2核4G限量 24元/月 妮妮云
妮妮云的来历妮妮云是 789 陈总 张总 三方共同投资建立的网站 本着“良心 便宜 稳定”的初衷 为小白用户避免被坑妮妮云的市场定位妮妮云主要代理市场稳定速度的云服务器产品,避免新手购买云服务器的时候众多商家不知道如何选择,妮妮云就帮你选择好了产品,无需承担购买风险,不用担心出现被跑路 被诈骗的情况。妮妮云的售后保证妮妮云退款 通过于合作商的友好协商,云服务器提供2天内全额退款到网站余额,超过2天...
腾讯云轻量应用服务器关于多个实例套餐带宽
腾讯云轻量应用服务器又要免费升级配置了,之前已经免费升级过一次了(腾讯云轻量应用服务器套餐配置升级 轻量老用户专享免费升配!),这次在上次的基础上再次升级。也许这就是良心云吧,名不虚传。腾讯云怎么样?腾讯云好不好。腾讯云轻量应用服务器 Lighthouse 是一种易于使用和管理、适合承载轻量级业务负载的云服务器,能帮助个人和企业在云端快速构建网站、博客、电商、论坛等各类应用以及开发测试环境,并提供...
Vultr VPS韩国首尔机房速度和综合性能参数测试
Vultr 商家有新增韩国首尔机房,这个是继日本、新加坡之后的第三个亚洲机房。不过可以大概率知道肯定不是直连中国机房的,因为早期的日本机房有过直连后来取消的。今天准备体验看看VULTR VPS主机商的韩国首尔机房的云服务器的速度和性能。1、全球节点PING速度测试这里先通过PING测试工具看看全球几十个节点的PING速度。看到好像移动速度还不错。2、路由去程测试测试看看VULTR韩国首尔机房的节点...
网站源码为你推荐
-
哈利波特罗恩升级当爸哈利波特中的赫敏为什么要喜欢罗恩,不喜欢哈利急救知识纳入考试急救证容易拿到么?rawtools照片上面的RAW是什么意思,为什么不能到PS中去编辑百花百游百花净斑方效果怎么样?www.vtigu.com如图所示的RT三角形ABC中,角B=90°(初三二次根式)30 如图所示的RT三角形ABC中,角B=90°,点p从点B开始沿BA边以1厘米每秒的速度向A移动;同时,点Q也从点B开始沿BC边以2厘米每秒的速度向点C移动。问:几秒后三角形PBQ的面积为35平方厘米?PQ的距离是多少5566.com请问如何创建网页(就是www.5566.com.cn这种格式的)www.175qq.com请帮我设计个网名dpscycle魔兽世界国服,求几个暗影MS的输出宏ww.43994399小游戏立即打开玩www.niuniu.com哪里有免费牛牛游戏可以玩啊