福建省移民发展中心2025-2026年度网络与信息安全服务采购市场比选通知

各报价供应商：

　　根据工作需要，我单位计划采购2025-2026年度网络与信息安全服务，服务方案具体见附件。现请各供应商对此项目进行报价：

　　一、报价供应商资格要求：

　　（1）具有独立法人资格；

　　（2）具有中国网络安全审查技术与认证中心（CCRC）颁发的信息系统安全集成服务资质证书（需提供证书复印件并加盖公章）。

　　二、报价文件要求：（1）按项目要求提供报价文件；（2）附营业执照复印件；（3）附法人代表授权委托书原件、法人代表身份证复印件、委托代理人身份证复印件；（4）附相关资质证明；（5）对附件中服务内容的承诺；（6）为确保服务质量，供应商应对照附件1服务方案第六点的相关要求，提供满足服务所需的安全服务工具，并附功能截图；(7)上述资料均需要加盖报价供应商单位公章，且装订成一册后加盖骑缝章。将上述资料用信封密封，在信封封口处加盖公章。不满足上述要求的报价文件视为无效报价文件。

　　三、报价截止日期及方式：报价文件于2025年12月8日17:30时前送至福州市鼓屏路192号山海大厦南厅9楼。联系人：林先生，联系电话：0591-87403360。

　　四、本项目一年服务报价最高限价为50000元，我单位将按照有效报价由低到高的顺序推选中标候选人。

　　附件：

　　1.福建省水利水电工程移民发展中心2025-2026年度网络与信息安全服务方案

　　2.网络与信息安全服务报价单

　　福建省水利水电工程移民发展中心

　　2025年12月2日

　　附件1

　　福建省水利水电工程移民发展中心

　　2025-2026年度网络与信息安全服务方案

　　一、安全服务目标

　　为加强我单位的网络与信息安全保障，提升网络安全防护能力，根据网络安全等级保护等有关要求，确保本地以及云上信息系统安全稳定运行。

　　二、安全服务期限

　　安全服务期限为一年（合同签订之日起计）。

　　三、安全服务范围

　　（一）福建省水利水电工程建设征地移民安置管理信息系统（以下简称安置系统）：二级系统，部署于省政务云平台互联网区域，1台windows虚拟机。

　　（二）福建省水库移民后期扶持管理信息系统（以下简称后扶系统）：二级系统，部署于省政务云平台互联网区域， 1台windows虚拟机，1台Linux虚拟机。单位机房同步部署，1台windows服务器，1台Linux服务器。

　　（三）其他服务器：外网文件服务器2台，放置于单位机房。

　　（四）网络安全设备：外网、内网防火墙各1台，放置于单位机房。

　　四、安全服务内容

　　（一）本地机房安全运维服务

　　针对本地机房的安全运维服务内容包括：安全措施有效性巡检服务、监督检查配合服务、应急响应服务。1年提供安全措施有效性巡检服务，服务完成后输出巡检报告（报告内容包括资产变化、网络拓扑图、设备巡检结果等）。1年按需提供不超过2次的监督检查配合服务，服务完成后输出安全检查相关材料。全年按需提供应急响应服务，服务完成后输出《应急响应报告》。

　　1.安全措施有效性巡检服务

　　根据业务环境变化情况，1年1次评估安全设备防护的有效性，对已采取的安全措施的有效性进行确认，对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对于不适当的安全措施进行优化配置，并定期分析设备安全策略，及时发现安全隐患。

　　（1）网络边界管控有效性及策略核查服务

　　随着业务的不断变化与挑战，定期对网络边界、外联线路安全策略等安全专题进行分析，发现其可能存在的安全隐患。

　　（2）硬件措施有效性及策略核查服务

　　针对防火墙、入侵检测等安全设备提供以下服务：

　　①安全策略检查：根据业务需求，检查访问控制策略，查找配置不合理的策略。

　　②运行状态巡检：检查设备运行状态，是否存在瓶颈或运行异常。

　　③自身安全性检查：从设备账号管理、远程管理、权限管理等方面开展设备自身安全性检查。

　　④日志巡检：定期检查相关安全设备日志进行分析，查看是否存在安全隐患。

　　2.监督检查配合服务

　　（1）上级部门安全检查配合服务

　　针对上级网络安全主管部门下发的安全检查通知，配合用户进行开展迎检材料准备、内部自查、后期整改等相关工作，完成整改之后，记录已完成整改的内容，并提供下一步调整、优化思路。一年不超过2次。

　　（2）特殊时期安全检查配合服务

　　在特殊时期，包括在重大会议前夕、国内重大节日、重大历史事件纪念日或者其他敏感时期，提供远程守护服务，检查重要业务系统是否被篡改，监控中心网络和互联网统一出口流量情况，提供全面的评估、应急响应等服务。一年不超过2次。

　　3.应急响应服务

　　提供全年的远程及现场的安全应急响应服务以及安全检查技术支持服务，当安全事件发生后，向用户提供发现问题、解决问题的快速、有效地响应，为用户快速恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响，提高用户网络故障排查效率。服务完成后输出《应急响应报告》，本服务按需提供。

　　（二）云上系统安全运维服务

　　针对用户部署在政务云上系统的安全运维服务内容包括：漏洞扫描服务、渗透测试服务、配置核查服务、云主机入侵清查服务、安全加固优化服务。1年提供2次漏洞扫描服务、渗透测试服务、配置核查服务、云主机入侵清查服务、安全加固优化服务，服务完成后输出《云上系统安全运维服务报告》（报告内容包括漏洞扫描结果、渗透测试结果、配置核查结果、服务器入侵清查结果、安全加固建议等）。

　　1.漏洞扫描服务

　　提供1年2次的漏洞扫描服务，根据已有的安全漏洞知识库，检测网络协议、网络服务、网络设备等各种信息资产可能存在的安全隐患和漏洞，通过对安全漏洞检测和分析，对识别出的能被入侵者用来非法进入网络或者非法获取信息资产的漏洞，提醒安全管理员，及时完善安全策略，降低安全风险。服务内容包括：

　　（1）应用漏洞扫描

　　使用应用漏洞扫描工具对应用系统web页面进行安全扫描，能够发现SQL、XSS、第三方插件漏洞、目录遍历、csrf等漏洞，扫描完成后由技术人员对漏洞进行确认测试，最后提出整改建议，协助单位整改。

　　（2）主机漏洞扫描

　　使用漏洞扫描工具对应用系统主机进行安全扫描，来测试和识别当前的安全漏洞和存在的安全脆弱性，从而全面了解和掌控其应用系统的安全状况。

　　（3）人工验证分析服务

　　针对已发现的安全问题进行人工验证，以判断漏洞是否真实存在，并对其风险等级进行评估，针对漏洞提出专业的修复建议，协助客户解决当前网站存在的安全问题。

　　2.渗透测试服务

　　安排安全攻防技术人员1年2次针对目标系统开展黑客模拟攻击渗透测试服务，全面检测被测系统安全性。

　　针对应用系统提供专家级人工的渗透测试服务，全面检测Web应用程序的安全性，深度挖掘程序中存在的各种漏洞和所面临的威胁，漏洞测试覆盖OWASP十大漏洞，如命令执行漏洞、SQL注入漏洞、XSS跨站脚本攻击漏洞、XXE漏洞、恶意代码上传漏洞、Cookie注入漏洞及其它各种敏感信息的检查等。主要渗透测试的内容如下：

　　（1）信息收集

　　通过搜索引擎侦测、专业化工具检测结合人工分析对业务系统所开放的端口、SERVER、中间件、操作系统等类型指纹收集分析、端口扫描和目标系统提供的服务识别等，确定信息资产互联网暴露面。

　　（2）配置管理测试

　　开展业务系统配置管理方面安全测试，主要内容包括敏感目录遍历、敏感接口测试、Robots方式的敏感接口查找、 Web服务器的控制台、文件备份测试、 HTTP方法测试、历史高危漏洞测试例如心脏滴血漏洞，MS17010漏洞等方面测试。

　　（3）认证测试

　　开展业务系统认证方面安全测试，主要内容包括登录验证码、认证错误提示、锁定策略、认证绕过、找回密码、修改密码、安全的数据传输、强口令策略、手机验证码、撞库、接口滥用等方面测试。

　　（4）会话管理测试

　　开展业务系统会话管理方面安全测试，主要内容包括会话变量泄露、 Cookie属性测试、 Cookie存储方式测试、用户注销登录的方式、注销时会话信息测试、会话超时时间测试、会话固定测试等方面测试。

　　（5）授权测试

　　开展业务系统授权方面安全测试，主要内容包括绕过授权模式测试、横向越权测试、纵向越权测试、管理后台对外开放测试、后台页面未授权访问测试、中间件未授权访问测试等方面测试。

　　（6）文件上传下载测试

　　开展业务系统文件上传下载方面安全测试，主要内容包括 HTTP PUT/MOVE上传文件测试、页面上传测试、文件下载测试等方面测试。

　　（7）信息泄露测试

　　开展业务系统信息泄露方面安全测试，主要内容包括连接数据库的帐号密码加密测试、客户端源代码敏感信息测试、客户端源代码注释测试、不安全的存储、注册手机号批量获取、 Json敏感信息测试等方面测试。

　　（8）数据验证测试

　　开展业务系统数据验证方面安全测试，主要内容包括跨站脚本类测试、SQL注入类测试、命令执行测试等方面测试。

　　（9）框架安全测试

　　开展业务系统框架安全方面安全测试，主要内容包括业务系统所用框架及其中间件相关类型专项漏洞测试。

　　（10）业务逻辑测试

　　针对业务逻辑方面开展安全测试工作，如对用户行为顺序处理不当、业务处理流程逻辑不当等问题。

　　3.配置核查服务

　　对核心服务器开展1年2次的合规性配置检查，采用基线核查工具和专家手工方法对实施范围内的主机系统、应用系统、数据库系统等对象逐个进行检查分析，输出详细的基线核查情况，详细说明各类资源节点运行情况及调优建议。

　　4.云主机入侵清查服务

　　服务器是应用系统的依托，如果应用系统存在漏洞，黑客最终能够进一步获取服务器操作系统以及数据库系统的操作权限，因此，进一步对服务器的入侵痕迹进行深入检查，是应用系统安全运维不可忽视的一部分。提供1年2次的服务器入侵清查服务，服务内容包含：

　　（1）网页木马查杀

　　针对用户互联网类应用系统源代码进行Webshell查杀，深入检查包括上传图片、文本、脚本以及其他可疑的后门程序。

　　（2）入侵痕迹检查

　　以应用系统所使用的Web容器、服务器操作系统为对象，进行运行环境的检测，对账号状态、可疑账号等、账号口令、可疑进程检测、系统服务、内外网网络连接状态、除了系统启动服务外的启动服务、任务计划、共享资源、应用程序等进行检查，保证应用系统所属基础运行环境的安全。

　　5.安全加固优化服务

　　根据安全检测分析结果，提供专业的系统安全加固建议意见，1年2次派遣专业工程师到现场根据安全加固指导书,实施边界防护安全策略优化辅导、服务器病毒检查与清理，提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议。加固完成后，派遣专业工程师到现场针对加固前后的系统脆弱性进行复查，复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。

　　五、安全服务项目清单

　　六、有关要求

　　（一）中标方应按期提交加盖中标方公章的纸质版及电子版的服务报告作为有关定期评估的佐证材料。

　　（二）在提供安全服务过程中，中标方应确保不会因工作失误而影响网络与信息系统的正常运行。

　　（三）投标人所采用的安全服务工具能够：1.发现网页木马(webshell)，支持对反动、赌博、色情等内容进行检查；2.检查的目标文件类型不限，可同时支持PHP、ASP/JSP/ASPX/JSPX等脚本类型；3.支持对各类威胁进行自动评分，并按照危险值从高到低进行排序；4.支持导出检测结果。提供功能截图。

　　（四）投标人所采用的安全服务工具能够：1.支持按照基线模板对主机安全配置进行基线检查；2.基于基线模板配置加固策略，自动完成对不符合项的加固工作；3.加固策略包括身份标识与鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、安全实践经验（如禁止IPC空连接、关闭自动播放等）等；4.基线模板及模板中的各策略项参数值均支持自定义。提供功能截图。

　　（五）投标人所采用的服务工具能够监控黑客入侵过程中修改系统账号、创建敏感文件、植入Rootkit后门等行为，投标人提供‘通过模拟黑客利用系统漏洞，向被监控的应用系统主机添加隐藏账号（例如：hack$），主机安全监控系统能够及时生成相关的告警，并能够查看告警信息和对应的黑客添加的系统账号名称’过程的功能截图。

　　（六）投标人所采用的安全服务工具能够：1.支持同时对1000个以上IP进行归属地查询，批量对输入的信息按照标准化格式自动调整，提取需要的关键信息，删除冗余信息；2.支持与云端的威胁情报库进行联动，支持同时对1000个以上IP进行威胁情报信息查询，自动识别挖矿木马、勒索软件、傀儡机、Cobaltstrike等类型的威胁。提供功能截图。

　　七、付款要求

　　（一）项目费分两次支付，每次支付50%合同款。

　　（二）中心每半年组织一次服务评估，评估质量为良好及以上，支付中标方对应的合同款。评估质量为较差，则不支付对应的合同款。

　　附件2

　　网络与信息安全服务报价

　　报价单位：      （全称并加盖公章）

　　联系人:

　　联系电话：

　　日期: