福建盛鑫招标代理有限公司受福州市审计局的委托，就“福州市审计局网络信息安全服务采购项目”项目（项目编号：FJSXWS2019055）组织采购，评标工作已经结束，成交结果如下：

一、项目信息

项目编号：FJSXWS2019055

项目名称：福州市审计局网络信息安全服务采购项目

项目联系人：小潘

联系方式：87600110

二、采购单位信息

采购单位名称：福州市审计局

采购单位地址：福州市审计局

采购单位联系方式：郑俊伟 8332 5446

三、采购代理机构信息

采购代理机构全称：福建盛鑫招标代理有限公司

采购代理机构地址：福建盛鑫招标代理有限公司

采购代理机构联系方式：小潘87600110

四、成交信息

招标文件编号：FJSXWS2019055

本项目招标公告日期：2019年09月10日

成交日期：2019年09月12日

总成交金额：6.12 万元（人民币）

成交供应商名称、地址及成交金额：

本项目代理费总金额：0.0918 万元（人民币）

本项目代理费收费标准：

国家计委关于印发《招标代理服务收费管理暂时办法》的通知（计价格[2002]1980号）。

谈判小组、询价小组、磋商小组成员名单及单一来源采购人员名单：

福建盛鑫招标代理有限公司

五、项目用途、简要技术要求及合同履行日期：

1.竞价编号：FJSXWS2019055

2.项目名称：福州市审计局网络信息安全服务采购项目

3.竞价公告发布时间：2019年9月10日

4.采购单位：福州市审计局

5.招标代理机构名称：福建盛鑫招标代理有限公司

地点：福州市鼓楼区鼓东街道湖东路79号外运大厦七层

联系人：潘华明

电话：0591-87600110

6.采购人确认日期：2019年9月16日

7.竞价情况：见下表              

单位：元

附件：

福州市审计局关于网络信息安全的服务需求

• 技术参数及要求：

（一）项目目标

为保障福州市审计局信息系统安全，全面发现信息系统中存在的安全隐患，并定期进行安全培训与应急演练，全面提高信息系统安全性及相关技术人员安全意识与技术水平。

（二）项目服务期限

服务期限为自合同签订之日起一年。

（三）安全服务对象与范围

福州市审计局业务系统安全服务范围如下：

（四）安全服务概述

（五）安全服务内容

1.安全检测服务

1. 云应用安全漏洞扫描服务

为目标系统提供全方位的安全漏洞及安全隐患检查，从攻击者视角审查目标系统的脆弱性状况，包括网络漏洞、应用漏洞。

通过使用自动化安全漏洞挖掘工具和在线检测平台，以基于现场检测的方式，来测试和识别应用当前的安全漏洞和存在的安全脆弱性，从而帮忙客户全面了解和掌控其应用系统的安全状况。

2. 云应用安全漏洞验证服务

对已经发现的安全问题进行人工验证，以判断应用当前的漏洞是否真实有利用，剔除误报干扰。

3. 云主机系统漏洞扫描服务

针对云主机系统进行漏洞扫描、端口扫描、弱口令扫描等，覆盖系统的补丁、服务的开放性及安全研究机构发现的系统问题等，发现系统本身的各种问题。

4. 云主机系统配置核查服务

针对云主机系统进行配置核查，覆盖系统管理方面和安全加强方面的问题，用于识别由于系统管理员本身的管理不善而带来的安全性问题。

5. 云主机中间件安全评估服务

针对Apache/IIS/Tomcat/Weblogic等Web应用服务器（中间件），从协议安全、交易完整性、数据完整性等方面进行识别和评估，评估脆弱性和风险。

6. 数据库系统安全评估服务

结合工具检测和人工安全审查方式来挖掘数据库系统的脆弱性和安全性问题，主要评估系统安全漏洞、安全配置不正确带来的安全威胁以及由于系统账号、权限等配置不严谨而产生的安全风险。帮助用户及早发现数据库系统存在的风险，避免造成敏感信息泄漏的后果。

2.安全加固服务

1. 云应用安全漏洞加固建议

针对云应用安全漏洞检测结果，提供专业的安全加固措施指导建议，帮助客户解决当前应用系统存在的安全问题。

2. 云主机系统补丁加固服务

a）部署Windows及Linux补丁更新服务器，系统可以通过云服务器的统一更新地址，手动或自动确认下载包括安全补丁在内的更新程序。

b）部署FTP或文件共享，把高危和紧急的安全补丁另外存放，便于系统快速修复安全漏洞。

3. 云主机系统配置加固服务

通过对云主机进行检查和扫描，掌控服务器当前存在的安全问题。

通过对系统层漏洞检测结果的分析，对在检测中发现的系统安全问题进行安全加固，提高系统的整体安全性能。

对云主机进行清理、加固和配置，确保服务器无高风险漏洞且符合等级保护的基本要求。

4. 云主机中间件配置加固建议

针对Apache/IIS/Tomcat/Weblogic等Web应用服务器（中间件），从协议安全、交易完整性、数据完整性等方面进行识别，并提供配置加固与优化建议。

5. 数据库安全配置加固建议

提供数据库安全加固建议，包括最大程度降低数据库系统（SQL Server，Oracle等）本身的漏洞风险、纠正数据库系统使用中构成安全威胁的错误策略、加强数据库系统账号、密钥、权限等带有安全风险的配置，从整体上提升数据库系统的安全性。

3.安全培训服务

1. 安全意识培训服务：

提供现场培训服务，培训内容包含但不限于以下方面：安全标准、政策法规解读，信息安全意识、信息安全发展方向，周期性安全服务报告解读，可定制培训内容。

2. 安全技术培训服务：

提供现场培训服务，培训内容包含但不限于以下方面：应用系统安全防护、等保安全建设、网络安全技术攻防、无线网络安全防护等，可定制培训内容。

4.应急预案预应急演练服务

 为保障市审计局应用系统的安全，预防和遏制应用系统突发事件的发生，减轻和消除突发事件造成的危害和影响，结合市审计局日常工作情况，制定安全应急处置预案并举行安全应急演练。

5.安全咨询与应急响应服务

1. 远程安全咨询服务

故障时能立即以电话咨询或远程维护方式与承担服务单位联系，服务提供商应立即给予技术协助，提供7×24小时服务支持。

2. 现场应急响应服务

当单位网络和信息系统遇到黑客攻击或网页篡改等恶性事件，并且远程支持无法解决时，将在2小时内到达现场，实施最有效的紧急救援及恢复补救方案。

• 技术服务能力要求

1. 投标人或所投安全服务商提供的Web代码安全检查工具（系统）能够对web源代码进行扫描，检查代码中的网页木马，网页挂马以及网页暗链。须提供服务工具功能截图证明。
2. 投标人或所投安全服务商提供的服务工具能够实现云主机配置变更监控服务：实现主机安全配置核查和变更状态监控，关键服务器的安全配置一旦发生变化，能实时监测配置变更情况进行告警。须提供服务工具功能截图证明。
3. 投标人或所投安全服务商所采用的云主机安全监控系统能够监控网页木马（webshell），提供截图；投标人或所投安全服务商的演示者通过模拟黑客利用漏洞入侵应用系统，进行植入网页木马（webshell）等入侵行为，云主机安全监控系统应能够在60秒内发现网页木马并生成相关的告警，并能够查看告警信息和对应的敏感文件内容。投标人或所投安全服务商提供功能截图并通过U盘提供操作过程的屏幕录像（录像时长不少于3分钟）。
4. 投标人或所投安全服务商所采用的云主机安全监控系统对主机进行安全监控，能够监控黑客入侵过程中修改系统账号、创建敏感文件、植入后门等行为，投标人或所投安全服务商提供包括账号口令、权限控制、敏感文件、可疑后门等黑客入侵痕迹监测功能截图。投标人或所投安全服务商的演示者通过模拟黑客利用系统漏洞，向被监控的应用系统主机添加隐藏账号，云主机安全监控系统应能在60秒内生成相关的告警，并能够查看告警信息和对应的黑客添加的系统账号名称。投标人或所投安全服务商提供功能截图并通过U盘提供操作过程的屏幕录像（录像时长不少于3分钟）。
5. 投标人或所投安全服务商所采用的主机安全监控系统服务工具能够提供检查和管理功能，对常见的系统共享配置、帐号等默认策略进行检测和管理等功能截图。投标人或所投安全服务商的演示者通过模拟黑客利用系统漏洞，向被监控的应用系统主机更改主机系统安全审计策略(例如：审核帐号管理)，主机安全监控系统应能在60秒内生成相关的告警，并能够查看告警信息和对应的策略。提供功能截图并通过光盘/U盘提供虚拟机环境下的录屏演示（录像时长不少于3分钟）。
6. 投标人或所投安全服务商所采用的等级保护综合管理系统服务工具能提供云平台安全资产等保合规状态管理服务，对等级保护定级范围内的安全设备和核心资产进行等保安全合规状态管理。需提供安全资产（如安全设备等）的管理界面截图，并在管理界面上直接反应资产的安全等级状态、等保安全指标差距情况、测评状态等安全指标功能截图。
7. 投标人或所投安全服务商应具备足够的信息安全服务技术实力，需获得中国信息安全测评中心颁发的信息安全服务安全工程类一级及以上资质证书，获得福建省网络与信息安全信息通报中心技术支撑单位聘书。
8. 为保障服务质量，投标人或所投安全服务商投入项目的安全服务人员需至少两名具备国家信息安全测评中心认证的注册信息安全专业人员（CISP）证书，需提供相关证书复印件。

   福建盛鑫招标代理有限公司

2019-09-16

六、成交标的名称、规格型号、数量、单价、服务要求：

网络信息安全服务

七、其它补充事宜