為加強(qiáng)湛江市人力資源和社會保障局在2024年攻防演習(xí)的網(wǎng)絡(luò)與信息安全保障工作，盡量消除安全風(fēng)險隱患，做好防守工作，確保能圓滿完成各項重點工作任務(wù)，我局決定面向社會采購2024年湛江市人社局重要時期網(wǎng)絡(luò)和數(shù)據(jù)安全保障服務(wù)?，F(xiàn)發(fā)布采購公告，歡迎有實力、有經(jīng)驗、有誠信的單位報名參加。

　　1 項目概述

　　1.1 項目背景

　　為貫徹落實習(xí)近平總書記關(guān)于網(wǎng)絡(luò)強(qiáng)國的重要思想，檢驗國家整體網(wǎng)絡(luò)安全綜合能力，公安部自2016年以來，每年會組織網(wǎng)絡(luò)攻防演習(xí)。為加強(qiáng)湛江市人力資源和社會保障局在2024年攻防演習(xí)的網(wǎng)絡(luò)與信息安全保障工作，盡量消除安全風(fēng)險隱患，做好防守工作，確保我局能圓滿完成各項重點工作任務(wù)，通過攻防演習(xí)期間提高我局自身信息安全體系的審計和防護(hù)能力。

　　按照“全域防御、縱深防御”的總體要求，加強(qiáng)整體防控，強(qiáng)化各業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全防御，提升網(wǎng)絡(luò)溯源和實戰(zhàn)化水平。我局有必要做好全方位技術(shù)防護(hù)工作，包括但不限于釣魚郵件、資產(chǎn)收集、漏洞排查、整改加固、駐場值守、總結(jié)上報等各項工作，確保我局在2024年各項重保工作中做好安全防護(hù)工作，做到內(nèi)網(wǎng)邊界不失守、業(yè)務(wù)系統(tǒng)不被控、敏感數(shù)據(jù)不泄露。

　　1.2 目標(biāo)

　　通過合理有序做好備戰(zhàn)階段、迎戰(zhàn)階段、臨戰(zhàn)階段、實戰(zhàn)階段和總結(jié)階段每個階段相關(guān)工作（涵蓋如資產(chǎn)梳理、漏洞掃描、滲透測試、安全基線/配置檢查、整體風(fēng)險評估、安全預(yù)警、安全加固等）；協(xié)助我局快速響應(yīng)處置，抑制攻擊事件，全面保障攻防演練（重保）工作順利完成。通過釣魚演練、安全培訓(xùn)、組織聯(lián)防聯(lián)控等服務(wù)切實提高我局員工的安全意識和系統(tǒng)的安全保障能力。

　　通過落實以上多個方面的安全工作，最終將達(dá)到以下項目總體目標(biāo)：

　　l 安全保障期間無重大信息安全責(zé)任事件（重大信息安全責(zé)任事件數(shù)為零），并且經(jīng)得起檢查和追責(zé)；

　　l 建立健全信息安全技術(shù)保障體系，在現(xiàn)有的技術(shù)體系上，通過策略優(yōu)化、脆弱性分析、補(bǔ)充升級改造等專業(yè)手段，快速實現(xiàn)重點保護(hù)、自動化檢測與聯(lián)動防御，提高信息安全技防能力，確保物理、主機(jī)、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)及各核心信息基礎(chǔ)設(shè)施正常運行；

　　l 提高我局信息化隊伍安全技術(shù)水平，提升我局整體信息安全意識。

　　我方組建網(wǎng)絡(luò)與信息安全專家分組，在運維期間進(jìn)行現(xiàn)場運維，形成7x24小時信息安全保障能力，保障我局網(wǎng)絡(luò)與信息系統(tǒng)安全可靠，提高信息安全應(yīng)急保障能力，確保重大信息安全責(zé)任事件數(shù)為零。

　　1.3 基本原則

　　本項目服務(wù)工作的核心是安全檢測與安全加固，在實施過程中將遵循以下基本原則：

　　ü 標(biāo)準(zhǔn)性原則

　　安全檢測工作屬于風(fēng)險評估中的工作內(nèi)容之一，因此開展安全檢測工作應(yīng)按照GB/T20984-2007中規(guī)定的評估流程進(jìn)行實施。

　　ü 可控性原則

　　n 服務(wù)可控性

　　服務(wù)提供方應(yīng)事先在工作溝通會議中向我局介紹評估和加固服務(wù)流程，明確需要得到我方協(xié)作的工作內(nèi)容，確保安全評估加固服務(wù)工作的順利進(jìn)行。

　　n 人員與信息可控性

　　所有參與項目的服務(wù)人員應(yīng)簽署保密協(xié)議，以保證項目信息的安全。應(yīng)對工作過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格管理，未經(jīng)授權(quán)不得泄露給其他任何單位和個人。

　　n 過程可控性

　　應(yīng)按照項目管理要求，成立項目實施團(tuán)隊，項目組長負(fù)責(zé)制，達(dá)到項目過程的可控。

　　n 工具可控性

　　安全評估和安全加固的服務(wù)人員所使用的工具應(yīng)該事先通告用戶，并在項目實施前獲得用戶的許可，包括產(chǎn)品本身、測試策略等。

　　ü 最小影響原則

　　對于在線業(yè)務(wù)系統(tǒng)的安全評估，應(yīng)采用最小影響原則，即首要保障業(yè)務(wù)系統(tǒng)的穩(wěn)定運行，對于需要進(jìn)行攻擊性測試的工作內(nèi)容，需與用戶溝通并進(jìn)行應(yīng)急備份，同時選擇避開業(yè)務(wù)的高峰時間進(jìn)行。

　　2 保障范圍

　　本項目保障范圍為全市人力資源和社會保障局的網(wǎng)絡(luò)和信息系統(tǒng)（包含各縣（市、區(qū)）人社和社保局），包括部署在本地機(jī)房主機(jī)設(shè)備、網(wǎng)絡(luò)及安全設(shè)備、業(yè)務(wù)系統(tǒng)等信息資產(chǎn)和部署在政務(wù)云平臺的信息系統(tǒng)，以及相關(guān)的管理體系要素，具體工作以各部門的演練方案的具體工作要求和具體實施中我局項目負(fù)責(zé)人確定。

　　3 架構(gòu)設(shè)計及思路

　　基于攻防演練行動開展的全流程，提升整體安全基線，同時結(jié)合實戰(zhàn)經(jīng)驗，補(bǔ)強(qiáng)常見丟分弱點。整個攻防演練時期分為五個階段，即備戰(zhàn)階段、迎戰(zhàn)階段、臨戰(zhàn)階段、實戰(zhàn)階段和總結(jié)階段，服務(wù)方案涵蓋從資產(chǎn)梳理、安全意識提升、脆弱性識別、安全加固、攻防演練等方面，最終幫助我局實現(xiàn)縱深網(wǎng)絡(luò)安全防御，建立持續(xù)有效的網(wǎng)絡(luò)安全運營機(jī)制。

　　4 備戰(zhàn)階段

　　4.1 組織團(tuán)隊保障

　　由我局安全負(fù)責(zé)人牽頭，成立安全重保行動安全保障小組，落實和完成各階段工作任務(wù)。

　　4.1.1 項目決策層—項目領(lǐng)導(dǎo)小組

　　項目領(lǐng)導(dǎo)小組由我局及中標(biāo)方高層聯(lián)合組成，主要負(fù)責(zé)整個項目的總體決策，并通過項目經(jīng)理對整個項目工程進(jìn)行管理。具體包括：在項目進(jìn)行關(guān)鍵階段與項目管理小組舉行會議，檢查項目的進(jìn)展，并對項目中的一些關(guān)鍵問題和爭議進(jìn)行決策。

　　4.1.2 項目管理層

　　項目管理層組織，由我局項目負(fù)責(zé)人和中標(biāo)方項目經(jīng)理、客戶經(jīng)理組成，負(fù)責(zé)對項目過程實行全面的管理，具體體現(xiàn)在對項目目標(biāo)有一個全局、統(tǒng)一的觀點，并組織會議制定計劃和報告項目的進(jìn)展，對不確定環(huán)境下對不確定問題組織集體討論決策。

　　4.1.2.1 項目經(jīng)理

　　項目經(jīng)理的任務(wù)是對項目過程實行全面的管理，制定實施計劃、組織過程會議、匯報項目進(jìn)展、完成資源統(tǒng)籌協(xié)調(diào)等。

　　項目經(jīng)理所應(yīng)承擔(dān)責(zé)任，主要有：

　　n 保證項目目標(biāo)在實施中前后一致，實現(xiàn)客戶立項目標(biāo)；

　　n 對各種項目資源進(jìn)行科學(xué)管理和充分有效的使用；

　　n 與客戶方進(jìn)行及時有效的溝通，及時匯報項目進(jìn)展?fàn)顩r，預(yù)測及避免可能產(chǎn)生的問題。

　　4.1.3 項目實施層

　　項目實施層組織，由我司項目實施工程師及客戶方配合工程師組成，在項目中具體進(jìn)行安全檢查、安全規(guī)劃、安全咨詢等工作，及客戶方相關(guān)配合工作。

　　4.1.3.1 安全檢查小組

　　主要負(fù)責(zé)主機(jī)、網(wǎng)絡(luò)、應(yīng)用安全等相關(guān)技術(shù)評估和審計的工作內(nèi)容，包括、安全檢測服務(wù)、日志分析服務(wù)等工作，以及相關(guān)工作成果文檔的編制和知識傳遞。

　　4.1.3.2 信息監(jiān)控與值守小組

　　重保期間7*24小時協(xié)助我局開展安全防護(hù)工作，提供重要系統(tǒng)安全值守及在線監(jiān)測服務(wù)。

　　4.1.3.3 應(yīng)急響應(yīng)小組

　　負(fù)責(zé)安全事件的應(yīng)急響應(yīng)與溯源分析工作，同時也屬于信息監(jiān)控與值守小組的成員。

　　4.1.3.4 安全培訓(xùn)小組

　　開展的信息安全培訓(xùn)，提高我局員工的安全意識普及和教育水平，進(jìn)一步加強(qiáng)我局信息安全防護(hù)水平，有利于信息安全工作的開展。

　　通過對人員進(jìn)行技術(shù)培訓(xùn)，使其具備對信息安全防范意識的理解、掌握信息安全基礎(chǔ)知識、了解信息安全的原則等。

　　4.2 建立通告機(jī)制

　　建立保障團(tuán)隊的溝通機(jī)制，對上，需要與組織攻防演練（重保）方溝通攻防演練（重保）行動保障工作進(jìn)展，必要時可及時申請組織演練方進(jìn)行指導(dǎo)工作（攻防演練行動開始后，公安部會公布）；對下，需了解各下級單位的工作進(jìn)展情況并提供一定的指導(dǎo)及技術(shù)支持，建議溝通方式如下：

　　l 建立網(wǎng)絡(luò)安全微信群，使用即時消息方式，信息可快速傳達(dá)到相關(guān)方。

　　l 建立相關(guān)方的電話通訊錄，包括網(wǎng)絡(luò)安全保障小組的全部成員，下級單位安全專責(zé)人員等。

　　建立通告機(jī)制，如下：

　　l 零報告制度，各下級單位每日報送安全防護(hù)情況，堅持零報告，沒有安全事件也要報平安。

　　l 安全事件報告: 監(jiān)控預(yù)警組值守人員發(fā)現(xiàn)異常情況，立即向技術(shù)分析組及應(yīng)急處置組報告，時間不能超過五分鐘，通過微信群及電話的方式及時告知安全事件信息，必須確認(rèn)信息接收方收到相關(guān)通告。

　　4.3 防守方案編制

　　攻防演習(xí)工作應(yīng)按計劃逐步有效的進(jìn)行，參演單位應(yīng)在演習(xí)前，根據(jù)本單位實際情況，完成攻防演習(xí)防守方案編寫，通過演習(xí)防守方案指導(dǎo)攻防演習(xí)防守工作的開展，確保演習(xí)防守工作的效果。

　　4.4 建立事件處置預(yù)案

　　根據(jù)安全保障范圍，依據(jù)安全事件的不同類別，如網(wǎng)站系統(tǒng)被掛馬、系統(tǒng)遭受漏洞攻擊等情況，建立應(yīng)急專項處置預(yù)案及操作手冊，在發(fā)生安全事件時，各保障小組及網(wǎng)絡(luò)安全值守組可以根據(jù)實際情況參考指導(dǎo)。

　　5 實戰(zhàn)階段方案

　　通過7*24小時在線的安全專家團(tuán)隊和在線安全監(jiān)測與預(yù)警通報平臺，即可對我局的互聯(lián)網(wǎng)業(yè)務(wù)進(jìn)行統(tǒng)一監(jiān)測，統(tǒng)一預(yù)警。云端專家7*24小時值守，一旦發(fā)現(xiàn)篡改、漏洞等常規(guī)安全事件，即可實時進(jìn)行處置。對于webshell、后門等高階事件，可以及時升級到技術(shù)分析組進(jìn)行研判，一旦確認(rèn)，將會實時轉(zhuǎn)交應(yīng)急響應(yīng)組進(jìn)行處置。

　　l 服務(wù)報告要求

　　為了更好保障監(jiān)測預(yù)警效果，需要安全保障團(tuán)隊輸出《每日值守報告》：

　　針對互聯(lián)網(wǎng)應(yīng)用實時監(jiān)控，每日通過微信便捷的方式推送日報，便于我局實時掌握站點的安全風(fēng)險，報告內(nèi)容應(yīng)包含以下內(nèi)容：篡改通報預(yù)警、掛馬通報預(yù)警、緊急漏洞通報預(yù)警、高危漏洞通報預(yù)警、斷網(wǎng)通報預(yù)警等。

　　l 服務(wù)響應(yīng)要求

　　整體監(jiān)測要求：提供7*24小時不間斷監(jiān)測服務(wù)；

　　可用性監(jiān)測服務(wù)：監(jiān)測頻率不低于三分鐘，連續(xù)三次訪問不可達(dá)即推送斷網(wǎng)通知；

　　篡改通報服務(wù)：首頁實現(xiàn)分鐘級篡改監(jiān)測和推送；

　　高危0day漏洞：在漏洞爆發(fā)的48h之內(nèi)完成全市網(wǎng)站的檢查并推送存在問題的單位。

　　遠(yuǎn)程技術(shù)響應(yīng)服務(wù)：提供7×24小時的遠(yuǎn)程技術(shù)支持服務(wù)，包括電話、郵件、臨時遠(yuǎn)程VPN訪問、微信等方式診斷；甲方可通過電話、電子郵件等方式向服務(wù)商咨詢安全問題。

　　提供7*24小時專員值守服務(wù)，針對發(fā)現(xiàn)的安全問題進(jìn)行實時的驗證和通報；提供值守專家團(tuán)隊名單及電話等，能夠在出現(xiàn)安全事件10分鐘內(nèi)進(jìn)行實質(zhì)性響應(yīng)。

　　協(xié)助甲方完善網(wǎng)絡(luò)安全和數(shù)據(jù)安全相關(guān)制度機(jī)制。

　　6 總結(jié)階段方案

　　6.1 保障總結(jié)

　　對整個安全保障工作進(jìn)行總結(jié)，包括安全保障效果和成果、工作存在的問題和改進(jìn)計劃、業(yè)務(wù)和系統(tǒng)遺留風(fēng)險及持續(xù)控制計劃等，為后期保障工作總結(jié)最佳實踐。

　　6.2 安全規(guī)劃建議

　　根據(jù)我局的信息化建設(shè)現(xiàn)狀，以及攻防演練行動中最佳實踐和國家的相關(guān)法律法規(guī)要求和行業(yè)發(fā)展態(tài)勢，幫助我局制定科學(xué)、有效的信息安全建設(shè)規(guī)劃，建立安全風(fēng)險評估體系、人機(jī)共智驅(qū)動的安全運營體系與快速響應(yīng)的應(yīng)急響應(yīng)體系，充分發(fā)揮安全產(chǎn)品、安全專家以及AI驅(qū)動的安全運營平臺的協(xié)同聯(lián)動效果，真正保障好組織的安全效果。

　7 服務(wù)質(zhì)量考核指標(biāo)

　　7.1 總分計算方式

　　總分=“違規(guī)事件”考核得分*20%+“人員質(zhì)量”考核*20%+“服務(wù)質(zhì)量”考核*60%+加分值

　　7.2 評估實施方式

　　項目設(shè)置合同總價的30%為考核款，服務(wù)末期甲方對乙方服務(wù)進(jìn)行考核評估，總分≥90，全額支付考核款；總分小于90大于70，按得分百分比線性支付考核款；總分不足70，不支付考核款。

　　7.3 考核評分細(xì)則

　8 項目預(yù)算

　　（PS:本次項目總預(yù)算不超過10萬元。其中湛盾、粵盾、粵網(wǎng)安按每次2.5萬元結(jié)算，最高不超過7.5萬元；另外其他重要時期和日常突發(fā)安全問題根據(jù)實際需要開展，最高不超過2.5萬元）。

　9 報名條件

　　1．滿足《中華人民共和國政府采購法》第二十二條規(guī)定；

　　2．響應(yīng)供應(yīng)商未被列入“信用中國”網(wǎng)站(www.creditchina.gov.cn)“記錄失信被執(zhí)行人或重大稅收違法案件當(dāng)事人名單或政府采購嚴(yán)重違法失信行為”記錄名單；不處于中國政府采購網(wǎng)(www.ccgp.gov.cn)“政府采購嚴(yán)重違法失信行為信息記錄”中的禁止參加政府采購活動期間。以采購代理機(jī)構(gòu)提交響應(yīng)文件截止當(dāng)天在“信用中國”網(wǎng)站（www.creditchina.gov.cn）及中國政府采購網(wǎng)(www.ccgp.gov.cn)查詢結(jié)果為準(zhǔn)，如相關(guān)失信記錄已失效，響應(yīng)供應(yīng)商需提供相關(guān)證明資料；

　　3.本項目只接受投標(biāo)人的公司（單位）投標(biāo)，不接受聯(lián)合體投標(biāo)。

　　10 報名時間及方式

　　1.報名時間：2024年5月20日起至2024年5月25日（9:00-12:00，14:00-17:00），逾期不再受理。

　　2.報名方式：郵寄（寄付）或現(xiàn)場送達(dá)。

　　3.郵寄地址：湛江市赤坎區(qū)灣南路10號湛江人社局辦公室。聯(lián)系人：王暢，電話：13058365573。

　　11 投標(biāo)人報名時應(yīng)提供以下資料

　　1.公司營業(yè)執(zhí)照或事業(yè)單位法定代表人證書（復(fù)印件加蓋公章）；

　　2.授權(quán)委托書；

　　3.報價單；

　　4.承諾書；

　　5.項目實施方案；

　　6.相關(guān)資格證明（佐證材料）。

　　以上材料需裝訂成本，一式五份，A4的信封封存，并加蓋單位公章和騎縫章，封面注明“2024年湛江市人社局重要時期網(wǎng)絡(luò)和數(shù)據(jù)安全保障服務(wù)”投標(biāo)文件，并寫明聯(lián)系人及聯(lián)系方式。

　　12 項目咨詢電話：13543543535（許先生）。

　　附件：承諾書（格式）

　　湛江市人力資源和社會保障局    

　　2024年5月20日         

附件1

　　承諾書

湛江市人力資源和社會保障局：

　　本文件簽署人特以本函在此聲明并同意：

　　1.在詳細(xì)研究了《關(guān)于采購2024年湛江市人社局重要時期網(wǎng)絡(luò)和數(shù)據(jù)安全保障服務(wù)的公告》后，我們完全理解并完全同意采購公告的所有要求及內(nèi)容，并完全相信采購人能公開、公平、公正地確定中選單位。

　　2.如果我單位中選，我們承諾在與貴單位簽訂委托合同后保證按照采購人的要求完成相關(guān)工作。

　　3.我單位自行承擔(dān)參加此次參選所發(fā)生的一切費用。

　　4.我單位將按采購公告的規(guī)定履行相關(guān)責(zé)任和義務(wù)，并對提交的材料中的所有陳述和聲明的真實性、準(zhǔn)確性、可靠性負(fù)責(zé)。若采購人發(fā)現(xiàn)我方提交的資料中有與事實不符的情況，有權(quán)拒絕我們的參選。若在中選后，采購人發(fā)現(xiàn)我單位所遞交的參選文件與事實不符，有欺詐中選嫌疑的，可立即終止協(xié)議，由此造成的損失由我單位承擔(dān)。

　　報價單位（蓋章）：

　　法定代表人或其授權(quán)委托人（簽字或蓋章）：

　　日期：    年  月  日