招标频道 [切换分站]
招标网服务号 微信公众平台
招标网APP 中招APP下载
招标网 > 招标采购 > 其他公告 > 邹平市妇幼保健院2021年网络安全整改项目合同公示(208728802)

邹平市妇幼保健院2021年网络安全整改项目合同公示(208728802)

2022-05-19 山东省
收藏
打印
全屏
用手机查看

扫描到手机,信息随时看

用微信扫一扫功能即可

将此内容分享给朋友

  • 以下内容,仅对会员开放。如需查看详细内容,请先【注册】成为会员。
  • 已注册会员请【登录】后查看。
  • 更多详情,请查看【会员服务列表】
  • 如果您需要解决登录及其他问题,请您拨打客服热线:400-633-1888
  • 【正式会员“登录”后可浏览】
  • 2022年05月19日
  • 【正式会员“登录”后可浏览】
  • 【正式会员“登录”后可浏览】
正文内容

·公告摘要:

***********招标公司受业主*******委托,于2022年05月19日在招标网发布邹平市妇幼保健院2021年网络安全整改项目合同公示(208728802)。各有关单位请于前与公告中联系人联系,及时参与投标等相关工作,以免错失商业机会。

*** 部分为隐藏内容,查看详细信息请

·部分信息内容如下:

邹平市妇幼保健院2021年网络安全整改项目合同公示(208728802)
***妇幼保健院***妇幼保健院****年网络安全整改项目采购合同公示 一、合同编号:********************_*** 二、合同名称:***妇幼保健院****年网络安全整改项目 三、采购项目编码:SDGP****************** 四、采购项目名称:***妇幼保健院****年网络安全整改项目 五、合同主体 采购人:***妇幼保健院 地址:***黛溪四路**号 联系方式:****-******* 供应商(乙方):**诚择信息技术有限公司 地址:中国(**)自由贸易试验区**片区天辰路****号联合 联系方式:*********** 六、合同主要信息 主要标的名称规格型号(或服务要求)主要标的数量主要标的单价合同金额(万元) 其他服务宗*.***.****.** 履约期限、地点等简要信息:服务期限:一年 采购方式:竞争性磋商 七、合同签订日期:****-**-** 八、合同公告日期:****-**-** 九、其他补充事宜:暂 ***政府采购合同 项目名称:***妇幼保健院****年网络安全整改项目 项目编号、包号:BZZPGP-****-****A** 合同编号:******************** 甲 方:***妇幼保健院 乙 方:**诚择信息技术有限公司 甲方所需服务在国内以竞争性磋商方式进行采购,经磋商小组评审,确定乙方为成交供应商。甲、乙双方根据《中华人民**国政府采购法》、《中华人民**国合同法》等相关法律以及本项目磋商文件的规定,经平等协商达成合同如下: 一、合同文件 本合同所附下列文件是构成本合同不可分割的部分: (一)本项目磋商文件 (二)成交供应商响应文件 (三)本合同格式及有关合同条款 (四)成交供应商在评审过程中做出的最后报价及有关澄清、说明或者补正文件 (五)成交通知书 (六)本合同附件 二、合同的范围和条件 本合同的范围和条件应与上述合同文件的规定相一致。 三、服务名称、标准、数量 附件 四、合同金额 根据上述合同文件要求,合同金额为人民币******.** 元,大写:伍拾伍万柒仟捌佰元整 。(分项价格详见合同服务清单)。 乙方开户单位:**诚择信息技术有限公司 开 户 银 行:齐鲁银行***大路支行 帐 号:******************* 五、付款途径 自筹性资金******.** 元 甲方应按合同约定的付款期限,通过《***政府采购管理系统》及时向财政部门报送资金支付申请,财政部门对支付申请审核误后,将货款直接支付至乙方账户。 六、付款方式 付款方式:签订合同后**个工作日内付合同额的**%,一年服务期满且经采购人验收合格后付至合同额的**%,二年后付至合同额的**%,剩余**%三年后息付清。 除不可抗力和乙方原因造成法按期付款的,如甲方延期付款,每逾期*日,按应付金额*‰支付违约金。 七、服务期限、地点 *、服务期限:一年 除不可抗力和甲方原因造成法按期交付的,如乙方延期交付,每延迟*日,按应交付总额*‰支付违约金。 *、服务地点:***妇幼保健院 八、合同生效 本合同经甲乙双方签字盖章生效。 九、合同保存 本合同一式八份,甲方三份,乙方二份,采购代理机构一份,甲方同级财政部门二份。 甲 方: 乙 方: 单位名称(公章):***妇幼保健院 单位名称(公章):**诚择信息技术有限公司 住 址:***山南醴泉七路中段***号住 址:中国(**)自由贸易试验区**片区天辰路****号联合财富广场*号楼****室 法定代表人或授权代理人:(签字) 法定代表人或授权代理人:(签字) 电 话: 电 话:*********** 签订日期:****年*月**日签订日期:****年*月**日 附件: 服务名称、标准、数量清单 序号 服务名称 服务范围 服务要求 服务时间 服务标准 数量 单价 小计 取费标准 (如有) 备注 * 入侵防御 系统安恒DAS-IPS*** 针对于网络边界区域的安全防护服务 标准专用硬件平台,硬盘≥*** G,采用多核网络专用架构,使用**位MIPS多核处理器,非X**多核架构或ASIC架构,千兆电口≥**个,设备最大吞吐量≥*Gbps,最大并发连接数≥***万,每秒**连接数≥*万,IPSec VPN隧道数≥****,SSL VPN接入数≥***; 服务时间*年、质保期三年 *.内置不少于****条IPS规则库,包含安全漏洞、CGI攻击、缓存溢出、木马后门、网络数据库攻击、蠕虫病毒、间谍软件、欺骗劫持等安全类型,并支持在线升级和手动升级; *.支持自定义IPS特征,至少支持IP、UDP、TCP、ICMP、HTTP、FTP、POP*、SMTP等协议自定义入侵攻击特征;可拓展协议字段,设置数据包中的匹配内容,支持选择包含、等于、不等于、大于、正则匹配等匹配方式,可选择多种匹配条件,支持设置“与”和“或”的匹配顺序; *.至少支持telnet、ftp、imap、pop*、smtp、rlogin、http、oracle、mysql、postgres等常见协议的防暴力破解功能,针对每种协议可自定义检测时长、阈值和阻断时长; *.至少支持telnet、ssh、ftp、imap、pop*、smtp、mysql、postgresql、mssql、rlogim、vnc等常见协议的弱密码检测功能,支持弱口令、空密码、用户名和密码相同等检测方式,弱口令字典可自定义设置; *.支持非法外联学习和防护特性,可有效保障服务器安全,可定义外联白名单地址和端口,也可通过流量自学习获得服务器合法的外联行为,学习时长可选择*小时、**小时、一天、一周等; *.支持IPS高阶告警功能,可以配置多种告警条件,达到告警规则可通过邮件或者SYSLOG告警,不同告警规则可以发送给不同的用户; *.支持对最多**级的压缩文件进行解压查杀; *.拥有自有数据来源威胁情报,每日可获得不低于*亿次的互联网访问样本; **.具有情报数据置信度算法,提供高置信度活跃威胁情报数据不低于***万; **.提供在设备端上的全网威胁情报的搜索查询,包括IP、域名、文件(MD*/SHA*等)情报的查询; **.支持展示全球热门和新型的威胁事件,支持数据下钻查看该威胁事件的时间、威胁级别、描述、类型、应用措施和指示器等信息。支持针对威胁事件提供安全防护的配置向导,通过引导方式帮助用户完**全加固,规避威胁风险; *台 *****.** *****.** * 数据库审计系统美创DAS-G**** 针对于内网数据库安全防护审计服务 *U机架式设备:单电源、*个电口、*×扩展槽位、**G内存、***G SSD、*T存储空间。数据库流量***Mbps,峰值SQL吞吐*****条语句/秒,在线SQL存储**亿条支持旁路镜像部署、探针部署模式 服务时间一年、质保期三年 支持单机、多机部署,多机模式下审计平台多台分级部署,实现对多台数据库审计设备的统一配置管理、审计事件统一查询等功能。 旁路部署模式对数据库性能和原有网络架构影响。 旁路部署通过SPAN、TAP等镜像流量的审计,支持跨网段、跨VLAN等环境的审计,支持多端口流量审计。 探针部署环境至少支持:Redhat/CentOS/Ubuntu/OpenSUSE/SUSE/HP-UX/AIX/Windows等操作系统环境。 支持对探针运行状态实时监控,包括探针当前运行状态、运行时长、CPU占用率、内存占用量、业务流量等运行指标信息。 至少支持Oracle、SQL Server、MySQL、DB*、达梦、Hive、Informix、Sybase、PostgreSQL、MariaDB、KingBase、GBase、Hbase、优炫(UXDB)、SAP_HANA、Cache、神通、greenplum、GaussDB(高斯)、Tibero、MongoDB、OceanBase、Oscar等数据库类型。内置多种审计规则,包括高危DDL操作事件、高危DML操作事件、授权管理事件、账号管理事件、登录失败事件、陌生IP或账号登录事件、SQL注入攻击事件、漏洞攻击事件等多种审计规则。 内置风险引擎策略,包括SQL注入特征库、漏洞特征库,审计系统对触发特征库的流量进行精准识别并告警。 支持自定义SQL注入特征库和漏洞特征库,提供新增、删除、修改、启用、停用单个特征策略的入口,从适用的数据库类型(可选择具体数据库类别、通用类型)、风险等级、启用状态、payload类型、payload内容等维度确定特征策略;系统可从自定义规则、系统规则两个维度区分规则来源。支持登录事件及访问事件的同类事件审阅,实现在审阅当前事件时,将同类型的事件一起作审阅操作;支持登录事件及访问事件的自动审阅,实现审阅当前事件时,系统自动审阅日后产生的同类型事件支持cache数据库M语言协议的解析和M语言双向审计;支持Cache数据库M语言双向审计,即同时支持M语言访问审计和M语言的返回结果审计;支持对Oralce、MySQL等数据库本地审计,包括客户端SSH隧道代理访问数据库的操作,本地命令行访问数据库的操作等本地审计场景。 *台 *****.** *****.** * 堡垒机美创OM-G**** 针对于网络运维审计服务 *U机架式设备:单电源、*个电口、*G内存、***G存储空间。最大支持***字符、***图形并发;**个资产授权许可。包含**统一管理、访问过程的权限控制、**访问过程行为审计、常用访问协议审计、**访问单点登录等。 服务时间一年、质保期三年 *.系统安全:系统采用最小化安装,关闭了非必要的功能,并对服务端口进行安全加固。所有敏感内容加密保存。不需要还原的信息使用非对称加密。所有对称加密使用AES-CBC算法并使用随机IV值。 系统支持IP自动禁止功能,对连续登陆账号密码错误的来源IP自动屏蔽。支持用户自动锁定功能,用户指定时间连续输入密码错误,自动锁定用户。支持管理员踢掉指定的登录用户会话。支持用户唯一登录。支持一次一密,防止重放攻击。支持以组策略方式管理系统默认行为。设备仅开放***端口即可实现完整运维和审计功能。支持配置页面超时时间,超过此段时间则当前用户将自动退出登录。 *.用户管理:支持以至少三级组织架构方式管理用户。支持用户的定期自动改密功能。支持用户的密码找回功能,通过提示问题和安全邮箱找回密码。支持分级管理模式,分级管理可以给指定的部门设置部门管理员,管理员可以管理部门中用户的添加、编辑、删除和设备、帐号的添加、编辑、删除,以及帐号访问授权。 *.认证管理:登录系统的认证支持本地认证和对接第三方统一认证。 支持双因素认证。支持以部门为单位指定不同认证策略。 *. 运维和SSO:SSO登录功能,系统提供用户访问真实**时的自动登录,从而简便运维操作。支持完全代填、帐号名称代填、不代填三种方式。运维指定负载:集群环境下支持将指定设备使用指定集群节点运维;支持需要二次登录的帐号SSO 如cisco的enable登录SSO. "支持协议:Windows RDP、VNC、Telnet、SSH、FTP、SFTP HTTP、HTTPS 支持SSH的私钥登录。支持SSH*和SSH*协议的SSO。支持RDP网络级身份验证和FIPS兼容算法加密";"应用发布:发布chrome、IE**、firfox 浏览器应用。兼容JAVA和Flash开发的标签登录页面代填和标签识别方式代填方式。"应用发布:Radmin等客户端应用。需本地安装任何CRT或PUTTY等运维工具。内置所有运维所需工具。 需安装服务器端或客户端程序,需安装浏览器插件。 *.账号访问控制:授权可以从设备、设备组和用户、用户组、进行“一对一”,“一对多”,“多对多”进行灵活授权,支持树状结构展现可以根据用户查询帐号访问权限。 *.访问控制功能:系统提供访问控制功能,支持对系统的用户登录进行可配置的策略设置,根据策略因子:用户或用户组、日期、每月、每周、时间、源地址、目标地址、目标端口、目标账号、动作(接受、拒绝)来定制访问策略对用户或用户组行为进行控制。控制RDP和内置客户端类帐号中的**映射,包括磁盘、剪切板、声音、打印机等 *.安全审计功能:对在线的操作行为进行实时监控,对已离线的操作行为以帐号使用会话为单位形成审计记录。录像播放必须通过https页面。记录会话完整录像,录像播放支持拖拽和倍速播放。录像播放屏幕自适应。录像播放使用内置播放器,需安装插件或客户端。 对于字符类协议操作记录命令和命令执行时间。记录帐号登录的起止时间、来源和目的IP、帐号信息、用户信息、日志大小等内容。提供查询界面。可组合时间、IP、用户名、设备等条件进行查询。支持审计员通过审计平台实时监控活动的运维会话。支持切断正在运维会话。 *台 *****.** *****.** * 集中管控 平台联**思易集中管理控制平台 LSMSP-CCP-BO**U 对全网设备流量日志审计服务 该系统为一套统一的、完整的软件产品,采用B/S架构。其中,管理中心内嵌数据库,用户需另外安装数据库管理系统;管理客户端基于浏览器,需安装其他客户端软件,此次提供**个节点授权许可 服务时间一年、质保期三年 集中管理: (*)提供CMDB功能,基于面向对象的思路,实现资产建模,建模内容包括属性建模,与关系约束建模。(*)CMDB提供多种内置的资产模型与关系约束类型。资产模型覆盖以下属性字段:资产名称,资产编号,IP/URL,资产权属,资产类型,操作系统,用途,品牌,型号,维保,硬件配置等。关系约束类型覆盖放置、虚拟化、运行在、使用、包含、组成、连接等关系。 (*)针对内置的资产模型,CMDB预置了各模型间的关系约束。 (*)提供资产全生命周期管理功能,详细记录资产上线到报废过程中所有的管理、变更、配置等信息。 (*)提供资产分组功能,用户可建立自定义分组,设定分组包含的资产,并按照分组对资产进行导航。 (*)提供拖拽式拓扑绘制的功能,支持对绘制的节点进行分组,支持分组展开与折叠。 (*)提供IP基准功能,建立基准表,绑定IP与MAC的映射关系,发现未授权的设备接入。 *、集中监控: (*)提供资产的硬件配置变动监测功能,并列表呈现所有的变动记录。(*)支持代理采集,基于ssh,snmp,syslog,jdbc,jmx,smi-s,ipmi,wmi等协议,对资产的动态数据进行采集,包括:性能数据、运行日志、告警等。采集任务的执行周期可配置。 (*)实现对物理服务器的工况信息进行监控,可支持以下监控项:电压、风扇转速、电源状态、硬盘状态、机箱温度等。 (*)实现对vmware虚拟机的监控,可支持以下指标的监控:CPU利用率、内存利用率、存储器信息、网口信息等。 **.实现对网络设备的监控,可支持以下监控项:总流速、收包率、接收流速、接收利用率、接收丢包率、接收错误率、发包率、发送流速、发送利用率、发送丢包率、发送错误率、CPU利用率、路由信息等。 (*)实现对安全设备的监控,涵盖防火墙、堡垒机、IDS、IPS、WAF等,可支持以下监控项:总流速、收包率、接收流速、接收利用率、接收丢包率、接收错误率、发包率、发送流速、发送利用率、发送丢包率、发送错误率、CPU、内存利用率等。 (*)实现对JVM堆内存、活动线程、HTTP线程、守护线程、峰值线程、启动线程的监控。 (*)实现对存储设备/系统的监控,涵盖IPFCSAN、分布式NAS等存储服务器,可支持阵列、RAID组和LUN级别的监控,可支持以下监控项:总速率(字节、次数)、读速率(字节、次数)、写速率(字节、次数)、存储利用率、读写占比率等。 (*)实现对操作系统,如Windows、Linux、Unix等系统的性能、容量、进程、连接、接口等进行监控: Windows服务器包括:WindowsServe********等版本 Linux服务器包括:银河**、中标**,CentOS、Redhat等 对Windows与Linux系统,可支持以下监控项:系统运行时长、CPU利用率、内存利用率、分区使用情况、进程信息、虚拟内存利用率、磁盘IO速率等。 (*)实现对关系数据库系统的监控,与自定义SQL查询等功能,涵盖MySQL、Oracle、MSSQL、DB*、Sybase、达梦等数据库,针对不同的数据库可支持相对应的监控指标项。 (**)实现对Web/消息中间件的监控,涵盖Nginx、Tomcat、金蝶Apusic等,针对不同的中间件可支持相对应的监控指标项。 (**)提供阈值告警功能,当指标项超出指定的阈值时,进行告警,当指标项回复到阈值范围内时,可自动解除告警状态。支持对连续出现的重复告警进行合并。 *、运维管理: (*)提供流程建模功能,支持拖拽式编排,支持多种控制逻辑,包括条件、跳转、并发、汇合,支持多人会签。 (*)支持流程超时控制,用户可对处理节点设置处理时限,超过处理时限,自动通知催办。 (*)提供可视化的流程跟踪界面,图形化呈现执行步骤,用户可直观查看流程的进展情况,以及各节点的处理记录与处理结果。 (*)提供审计汇聚功能,支持其它外部系统审计数据汇聚和审计,审计汇聚接口采用syslog协议和sftp/ftp协议,方便对接。支持审计数据自动定时备份,以及备份恢复功能,防止审计信息丢失。 (*)提供在线操作入口,所有的操作必须通过在线操作入口进行,从而对操作资产的行为进行管控与审计。由在线操作入口对所有的操作进行授权,只有获得授权,才能执行操作。(*)在线操作入口提供安全策略控制,限制对资产执行敏感命令。同时操作全程受到监控,平台会记录命令序列,并提供命令回放功能。 (*)巡检管理,平台支持对资产、点位、线路配置巡检指标,进行周期性或者一次性巡检任务。 (*)提供双因子登录认证,支持账号口令、短消息、动态口令等组合身份验证。支持多次认证失败自动锁定账号功能,及超时重新登录功能。 (*)权限设置支持三权分立,系统管理员、审计管理员、安全管理员权限独立,避免一个用户权限最大没有制约给系统造成危害。 (**)支持平台用户行为审计,记录登录用户在平台做的所有操作,包括:账号、时间、操作、操作结果等。 *台 ******.** ******.** * 安全服务 测评服务 对以电子病历为核心的应用系统提供网络安全等级保护*.*三级测评,按照标准要求出具相对应的《网络安全等级保护测评报告》 服务时间一年 本次服务项目范围涉及到组织方开展等级保护工作的全过程,信息系统已经定级备案,包括系统差距分析测评、建设整改、等级测评及风险评估等过程。 (*)差距分析测评 按照信息系统等级保护基本要求及测评流程,进行信息系统安全现状分析,明确信息系统目前采取的安全保护措施与信息安全等级保护相关国家标准和行业标准之间的差距,排查信息系统安全隐患和薄弱环节,查找信息系统安全建设整改需要解决的问题,确**全需求,编制《差距分析报告》,并提交内容、格式完全符合**部门正式测评报告要求的、未签字盖章的预测评报告。 (*)安全建设整改:协助组织方进行安全建设整改工作。确保安全建设整改工作安全、科学、有效的进行,并达到国家相关标准的技术要求,切实、高效的提升信息系统安全防护水平。 (*)等级测评:对前述系统进行信息安全等级保护测评工作,找出安全现状与标准要求之间的差距,并遵循适度安全的原则,协助制**全整改建设方案,指导整改工作,最终完成等级保护测评报告。 安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全及备份恢复等五个方面的安全测评; 安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。 (*)风险评估: 进行信息系统的安全风险评估并出具风险评估报告。 *.交付物 该项目提交的文档至少包括如下文件: *)《信息系统定级报告》 *)《信息系统等级保护整改建议书》 *)《网络安全等级保护测评报告》 *宗 ******.** ******.** 服务期限一年 应急响应 建立管理机制,完善管理文档(建立资产档案和管理制度。全天候应急技术支持服务 建立管理机制,完善管理文档(建立资产档案和管理制度,对人员、设备、文件等进行管控),跟踪落实,形成运维记录、培训记录、安全事件记录,应急演练记录,应急预案等各类制度。服务期内根据用户提出的求助需求,协助其进行安全事件处置。 全天候应急技术支持服务,安排专业技术人员在发生信息安全事件时及时进行应急响应,及时到达现场响应安全事件,以最快速度恢复网络、系统的可用性,阻止和减小安全事件所带来的负面影响,并对以下范围安全事件进行威胁清除、溯源分析并协助加固业务系统安全。 服务文档: 《安全事件响应报告》 风险评估 对被测方信息化建设所涉及的环境、硬件、人员等各类资产,从物理安全、网络安全、主机安全、数据安全、安全管理、系统建设安全管理、系统运维安全管理等多个层面的脆弱性出发,从风险管理的角度,系统的分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度;资产识别、脆弱性评估、风险分析、 资产识别 开展单位访谈和问卷调研,确**全风险评估范围及具体系统。主要对象是确定评估系统数量及相关服务器、安全设备、网络设备等数量,对已统计的资产进行核对,确保资产情况真实有效。 资产估值考虑资产对于组织业务战略的重要性。 脆弱性评估 针对用户提供的资产进行脆弱性的评估工作,主要包括: *) 使用Web应用安全扫描,可以通过漏洞扫描工具,扫描Web应用层检测常规的安全漏洞。 *) 对于系统层的扫描,可以使用漏洞扫描工具对业务系统的网络设备、主机、操作系统、数据库、中间件、应用软件进行全量漏洞扫描。 *) 基于用户提供权限或者管理人员的配合,对设备、数据库、中间件等安全配置进行脚本核查,并对结果导入基线检查工具最终输出详细的安全报告。 评估威胁关键在于确认引发威胁的人或事物,即所谓的威胁源。 风险分析 根据威胁发生的可能性、脆弱性被利用后的破坏力以及资产的价值,并结合现有防护能力效力,关联分析风险一旦发生对组织的影响,计算风险值,并根据组织的风险接受能力区分可接受风险及不可接受风险,不可接受风险需给出合理建议。 服务文档: 《风险评估报告》 漏扫服务 通过漏洞扫描工具扫描获取漏洞,漏洞全生命周期管理:提交、评估、修复以及总结等,形成漏洞处理闭环 安全漏洞扫描服务,针对系统、设备、应用的脆弱性进行自动化检测,帮助企业或者组织来侦测、扫描和改善其信息系统面临的风险隐患;侦测某个特定设备的系统配置、系统结构和属性;执行安全评估和漏洞检测。 漏洞扫描的详细服务范围如下: 操作系统 Windows、发行版Linux、AIX、UNIX通用、Solaris、FreeBSD、HP-UX、BSD等主流操作系统。 数据库 Oracle、MySQL、MSSQL、Sybase、DB*、Informix等主流数据库。 常见应用服务 Apache、IIS、Tomcat、Weblogic等主流应用服务,常见FTP、EMAIL、DNS、TELENT、POP*、SNMP、SMTP、Proxy、RPC服务等。 Web应用程序 ASP、PHP、JSP、.NET、Perl、Python、Shell等语言编写的WEB应用程序。 网络设备 常见的路由器、交换机等设备。 服务内容 安全漏洞扫描会对信息系统内的网络设备、操作系统、应用软件、中间件和服务等进行安全漏洞识别,详细内容如下: 网络层漏洞识别 版本漏洞,包括但不限于IOS存在的漏洞,涉及包括所有在线网络设备及安全设备。 开放服务,包括但不限于路由器开放的Web管理界面、其他管理方式等。 空弱口令,例如空/弱telnet口令、snmp口令等。 网络**的访问控制:检测到线访问点。 域名系统:ISC BIND SIG**记录效过期时间拒绝服务攻击漏洞,Microsoft Windows DNS拒绝服务攻击。 路由器:Cisco IOS Web配置接口安全认证可被绕过,Nortel交换机/路由器缺省口令漏洞,华为网络设备没有设置口令。 操作系统层漏洞识别 操作系统(包括Windows、AIX和Linux、HPUX、Solaris、VMware等)的系统补丁、漏洞、病毒等各类异常缺陷。 空/弱口令系统帐户检测。 访问控制:注册表 HKEY_LOCAL_MACHINE 普通用户可写,远程主机允许匿名FTP登录,ftp服务器存在匿名可写目录。 系统漏洞:System V系统Login远程缓冲区溢出漏洞,Microsoft Windows Locator服务远程缓冲区溢出漏洞。 安全配置问题:部分SMB用户存在薄弱口令,试图使用rsh登录进入远程系统。 应用层漏洞识别 应用程序(包括但不限于数据库Oracle、DB*、MS SQL,Web服务,如Apache、WebSphere、Tomcat、IIS等,其他SSH、FTP等)缺失补丁或版本漏洞检测。 空弱口令应用帐户检测。 数据库软件:Oracle tnslsnr没有设置口令,Microsoft SQL Server **** Resolution服务多个安全漏洞。 Web服务器:Apache Mod_SSL/Apache-SSL远程缓冲区溢出漏洞,Microsoft IIS *.* .printer ISAPI远程缓冲区溢出,Sun ONE/iPlanet Web服务程序分块编码传输漏洞。 电子邮件系统:Sendmail头处理远程溢出漏洞,Microsoft Windows **** SMTP服务认证错误漏洞。 防火墙及应用网管系统:Axent Raptor防火墙拒绝服务漏洞。 其它网络服务系统:Wingate POP* USER命令远程溢出漏洞,Linux系统LPRng远程格式化串漏洞。 针对存在的漏洞提供修复建议,能够提供精准、易懂、可落地的漏洞修复方案。 服务文档: 《漏洞扫描报告》 月度安全巡检 提供每月*次的月度巡检服务。通过人工巡检与工具巡检结合的方式对当前的安全状态进行整体检测,包括:物理、网络、主机、应用、数据等对应的安全风险。并结合近期的外部威胁对发现的弱点进行分析,对发现的风险给出处置措施 通过人工巡检与工具巡检结合的方式对当前的安全状态进行整体检测,包括:物理、网络、主机、应用、数据等对应的安全风险。并结合近期的外部威胁对发现的弱点进行分析,对发现的风险给出处置措施。 配合解决用户提出的网络安全需求。提供机房维保设备的集成与调试服务。提供预防性维护,通过巡检与沟通,提前发现相关设备问题,协助用户解决。保证核心业务稳定。定期向用户了解设备运行状况和使用情况,记录相关问题。以便能及时响应相关服务需求解决有关问题,并及时给与甲方提供建议。定期记录配置备份,减少网络故障发生的风险,以便在设备故障发生时及时恢复。 对机房内的设备资产,包括网络安全设备、服务器等进行统一的排查梳理,梳理内容包括但不限于整体网络架构拓扑图; 服务文档: 《巡检报告》 安全意识培训 提供每半年*次的安全意识培训服务 针对组织的全员开展全员的安全意识培训工作,通过现场专家培训结合宣传物品等方式提升全员的安全意识水平,培训内容包括:安全趋势现状、办**全、移动安全、数据安全、邮件安全、物理安全等主题,并结合相应互动内容加深对于培训内容的理解,并对培训效果进行评估验证。 安全态势感知服务 提供安全状况监测(监控)预警服务 利用工具对攻击行为实时监测,结合态势感知,进行提前预警,实时掌握安全态势。通过全方位安全通告和预警,及时修补信息系统安全漏洞,避免信息系统风险发生带来的损失与影响;通过对新系统上线前的安全评估与安全整改,保障新系统业务逻辑安全、通讯安全和敏感信息安全。每月形成对应的安全状况监测预警报告,并对所监测到的安全问题进行跟踪统计。 报价 (大写)伍拾伍万柒仟捌佰元整 (小写)******.**

为你推荐 相关的其他招标项目信息

投标提示

为保证您能够顺利投标,请在投标或购买招标文件前向招标代理机构或招标人咨询投标详细要求,有关招标的具体要求及情况以招标代理机构或招标人的解释为准。

加载中...

广告

加载中...

广告