省国际贸易单一窗口信息系统安全管理服务项目市场需求调查公告

根据工作需要，现对省国际贸易单一窗口信息系统安全管理服务项目进行市场需求调查，欢迎合格报价人前来市场报价（仅作为采购预算的报价）。

一、项目名称

省国际贸易单一窗口信息系统安全管理服务项目。

二、服务内容及要求

详见附件1。

三、报价人资格要求

符合《中华人民共和国政府采购法》第二十二条规定条件，具体如下：

（一）具有独立承担民事责任的能力;

（二）具有良好的商业信誉和健全的财务会计制度;

（三）具有履行合同所必需的设备和专业技术能力;

（四）有依法缴纳税收和社会保障资金的良好记录;

（五）参加政府采购活动前三年内，在经营活动中没有重大违法记录;

（六）法律、行政法规规定的其他条件。

四、报价文件要求

（一）报价企业（单位）应在递交截止时间提交以下资料至福建省商务厅：

1.填写完整的市场价格调查报价单；

2.有效的营业执照复印件；

3.可提供的其他资质证明及相关认证证书。

上述材料如为复印件均需加盖单位公章。

（二）市场价格调查报价应符合正常市场行情和标准，不得恶意报价。

（三）本次市场价格调查非采购邀约，市场价格调查报价仅供后续实施采购参考，凡参与报价的供应商均列入后续实施采购确定供应商的考虑范畴。

（四）报价文件自行密封提交（封口处需加盖公章）。逾期送达或密封不符合要求或未送达指定地点的报价文件，我厅不予受理。

五、报价文件递交

截止时间：2024年7月19日18:00前（如用邮寄方式，以快递送达时间为准）

递交地点：福州市鼓楼区铜盘路118号省商务厅通关处206室（收件人：李先生；联系电话：0591-87271053）

 附件：1.服务内容及要求

      2.市场需求调查报价单　               

                                                                                   福建省商务厅   

                                                                                  2024年7月 15 日       

附件1：

省国际贸易单一窗口信息系统安全管理

服务项目

一、服务内容

（一）应用系统安全服务

1.应用安全渗透测试服务，通过人工灰盒的测试方式，对省单一窗口应用系统进行专业级别的测试，针对Windows、Linux等操作系统进行渗透测试，发现操作系统弱口令、本地溢出漏洞、敏感信息泄露等漏洞；针对Web常见的Apache软件、IIS服务组件、Tomcat中间件等进行测试，发现由于版本较低或配置不当等造成的安全漏洞；针对Web常见的应用，重点测试由于安全设计不足和开发不规范等造成的SQL注入、木马上传、任意文件下载、业务逻辑等漏洞。通过应用安全渗透测试服务发现省单一窗口应用系统中存在的安全缺陷，输出渗透测试报告和应用系统安全策略整改方案，并对整改后问题进行复测，确保安全问题已得到处置。每季度输出1份应用安全渗透测试报告，服务期内共输出４份。

2.漏洞管理服务，使用专业漏洞扫描工具，检测网络设备，Windows、Linux操作系统，MySQL、Oracle等数据库和应用服务中存在的安全漏洞。每月输出1份漏洞扫描报告和修复建议，服务期内共输出12份。

3.新系统上线测试，根据《信息安全技术 信息安全风险评估方法》(GB/T 20984—2022)，对新系统的资产、安全威胁、安全脆弱性及安全控制措施状况进行分析和评估。服务期内根据实际工作安排输出相应信息安全风险水平综合评价报告。

（二）网站安全态势感知服务

对省单一窗口应用系统提供7×24小时网站安全态势感知服务，服务内容主要包括：提供远程事件值守服务，对网站的HTTP/HTTPS可用性、DNS解析、挂马、黑链、篡改、敏感等内容进行监测，发现对外开放网站安全态势和风险隐患，及时提供技术支持、监测记录及相关信息。配备7×24小时值班人员与值班手机，对安全态势感知平台发现的网页挂马事件、页面变更事件、网页敏感内容事件、网站平稳度事件、网站域名解析事件、网页黑链事件等问题，第一时间进行人工验证和短信、电话告警，提供真实可靠的威胁情况分析和解决方案，并及时协助处置。每月输出1份信息安全服务报告，服务期内输出12份。

（三）云主机安全服务

1.云主机安全检查服务，针对省单一窗口应用系统所在的云主机服务器，通过安全产品排查和人工核实的方式，对系统中云主机、网络设备、操作系统、中间件、数据库和应用服务器的配置进行入侵痕迹排查和安全配置评估等安全检查，并根据配置核查结果提供云主机系统加固建议、云主机中间件优化建议、数据库系统加固建议、云主机入侵清查服务。每季度输出1份云主机系统配置核查报告，服务期内共输出4份。

2.云主机入侵风险感知服务，对省单一窗口云主机提供7×24小时云主机入侵风险感知服务，通过部署安全监控设备对木马、系统操作风险、入侵风险等云主机安全态势进行监控。配备7×24小时值班人员与值班手机，对安全态势感知平台发现的异常操作、木马文件、恶意外连等问题第一时间进行人工验证及短信告警。每月输出1份月度信息安全服务报告，服务期内输出12份。

（四）数据库安全审计服务

提供数据库安全审计服务，服务内容主要包括：通过对访问数据库行为进行记录与多角度分析，以及对异常行为进行告警通知、审计记录和事后追踪分析，准确展示、汇报数据库访问情况、安全风险和执行效率，方便管理和掌控数据库运行情况，提高数据库安全监管能力，规范数据库使用行为，保障数据资产安全。每月输出1份月度信息安全服务报告，服务期内输出12份。

（五）安全保障服务

1.重要时期安全保障，在重要会议或重大活动等重要敏感时期，从网络层面、服务器层面、数据层面构建全方面的安全保障服务，保障网络基础设施、重点网站和业务系统安全，确保业务系统安全平稳运行。服务期内每次重保均输出1份重保报告。

2.安全通告服务，包括提供高危漏洞通告、行业安全事件周报，定期提供最新安全漏洞、威胁（0day、系统漏洞、网络攻击）的解决办法、安全问题描述和相应的处理意见，以及相关安全信息。服务期内输出1份安全通告报告。

3.安全检查专题服务，通过专业技术手段，以工具和人工相结合的方式，对特定对象进行针对性地检查评估工作，并且配合做好相关安全检查工作。

4.产品软件升级服务，检测中间件等应用版本及版本历史漏洞，排查风险情况并提出相应版本的升级请求，协助完成版本升级等工作。

5.开展1次专项应急演练，包括提供应急演练规划、和应急演练总结报告。

6.开展1次安全培训活动，包括提供培训方案和培训材料。

7.提供5×8小时的安全人员驻点服务，协助开展安全运维工作，保障省单一窗口安全运行。

（六）系统安全加固服务

1.更新系统补丁，根据安全报告和建议及时安装或更新操作系统、平台、第三方软件以及应用程序的安全补丁，以修复已知漏洞和安全问题。

2.访问权限控制，配置和管理适当的访问控制策略，定期审计，限制系统访问权限；配置用户角色和访问权限，根据权限变更需求及时调整用户权限，定期审计用户的权限归集；按策略定期更改用户密码，包含操作系统密码、数据库密码、密钥等。

3.端口安全管理，定期梳理系统内外网端口，并审计系统端口，根据系统变更及时申请维护端口，回收闲置端口。每季度输出1份系统端口映射清单，服务期内共输出4份。

二、其他

1.服务时限：1年。

2.省国际贸易单一窗口信息系统安全管理服务项目报价金额不得超过100万元，超出为无效报价。

附件2：

省国际贸易单一窗口信息系统安全管理服务项目

市场价格调查报价单

备注：请按要求完整填报报价单信息，注明企业（单位）全称，由法人或授权人签字并加盖公章，否则视为无效。