福建省交通信息通信与应急处置中心云安全服务项目

福建省政府采购合同

编制说明

1、签订合同应遵守《中华人民共和国政府采购法》、《中华人民共和国合同法》。

2、签订合同时，采购人与中标人应结合招标文件第五章规定填列相应内容。招标文件第五章已有规定的，双方均不得对规定进行变更或调整；招标文件第五章未作规定的，双方可通过友好协商进行约定。

甲方：福建省交通信息通信与应急处置中心

乙方：网神信息技术（北京）股份有限公司

根据招标编号为[3500]FJYS[GK]2019008的福建省交通信息通信与应急处置中心云安全服务项目项目（以下简称：“本项目”）的招标结果，乙方为中标人。现经甲乙双方友好协商，就以下事项达成一致并签订本合同：

1、下列合同文件是构成本合同不可分割的部分：

1.1合同条款；

1.2招标文件、乙方的投标文件；

1.3其他文件或材料：□无。□有，包括保密协议和廉政协议。

2、合同标的

3、合同总金额

***合同总金额为人民币大写：陆拾壹万伍仟元整（￥615000.00）。

4、合同标的交付时间、地点和条件

4.1交付时间：服务期限一年；

4.2交付地点：福建省福州市鼓楼区东水路18号交通综合大楼28层；

4.3交付条件：验收合格后。

5、合同标的应符合招标文件、乙方投标文件的规定或约定，具体如下：

1. 等级保护咨询服务 提供等保定级备案咨询（包括信息系统分析及协助定级）、等保差距咨询、等级保护整改方案咨询、等保测评协助咨询等。协助解读网络安全等级保护相关政策和标准，咨询内容包括提升网络安全防护能力，应对新威胁、新应用下的安全威胁，利用大数据分析、威胁情报共享、云防护的创新技术理念与技术落地，实现对网络安全的合规运营及安全处置，并达到国家网络安全等级保护的相关标准与要求。 2. 等级保护评估服务 提供一年至少一次的以下等保评估服务内容 1）整体综合分析：包含资产识别、威胁评估、脆弱性评估结果，形成可交付的整体综合风险评估报告。 2）业务调研：业务调研包含全面梳理信息系统承载的业务情况，以及由此带来的业务风险，对系统承载的关键业务和业务流程进行详细的调研。 3）信息资产调研：对厅内未迁移网络业务系统及已迁移至长乐云部分业务系统中的IT资产进行全面的梳理与分类。将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的安全评估。通过调研和资产调查表详细了解测试对象组成，比如主机、终端、服务器、网络设备等，以及厅内及已迁移至长乐云部分业务系统中的IT资产中所安装的系统软件、数据库、业务系统的作用。 4）网络脆弱性风险评估：网络脆弱性风险评估的内容包括网络结构脆弱性、网络设备脆弱性和安全设备脆弱性等项。通过评估寻找支撑业务的IT设施的脆弱性，脆弱性的发现包括人工访谈和调研、网络架构分析、应用安全合规分析等。结合漏洞扫描、安全基线配置核查进一步核查支撑业务流程的IT系统的脆弱性情况后，实现对脆弱点进行安全风险点评估工作。 5）安全配置核查服务：在首次漏洞扫描加固之后进行基线配置，提高门户网站及应用系统涉及到的资产自身的防御能力。对资产加固后，采用手工方法对应用系统范围内的主机系统、网络设备、安全设备等对象逐台进行检查分析，输出详细的配置核查报告，说明各类资源节点运行情况及调优建议。另外对安全设备的常规运行状态进行检查，分析日志数据及告警信息，梳理策略实施后的命中率。 6）已有安全措施功能验证：针对已有措施和结合等级保护要求，提供已有安全措施的功能、防护有效性验证。 3．等级保护运维服务 提供服务期内2位安全驻场人员提供驻场服务，负责厅内未迁移及已迁移至长乐云部分业务系统中的IT资产日常安全运维工作，并提供现场实时应急保障和日常安全巡检、漏洞扫描及复查、系统加固等服务，具体服务内容如下： 1）提供一年至少12次日常安全巡检：针对最新的安全风险（如：网络安全、应用安全、病毒、木马、arp攻击、漏洞等）和各类安全管理问题（如弱口令等）进行专项的检查，针对门户网站及应用系统进行完整的、全面的巡查，排除风险，对检查中发现的问题确认影响范围，并提供修复建议。辅助应对上级安全检查以及针对厅及厅直单位进行的安全检查，并就检查出的问题提出整改建议。 2）提供一年至少12次漏洞扫描及复查服务：通过周期性扫描及针对性扫描检查网站漏洞，另外在信息资产入网、重要时点、重大网络/系统变更后也需要执行针对性扫描。借助多种漏洞扫描工具对门户网站及应用系统涉及到的资产进行检查，根据检查结果出具相应的扫描报告，报告内容包含漏洞列表、漏洞详细描述、风险级别、漏洞加固建议及步骤等内容，结合应用系统实际运行情况对每条漏洞的危害性以及修复方法进行评估，修复建议含：代码级修复、系统组件升级、外围安全防护系统策略调整、可接受风险几个维度。确认漏洞修复后，对漏洞的修复情况进行复核。 3）提供一年至少6次应急演练：通过模拟真实黑客攻击场景，切合实际业务环境，进行网络安全应急演练，提供安全人员的应急处置能力，以及熟悉应急处置流程。 4）提供一年至少12次安全加固服务：包括操作系统包括WIN、LINUX操作系统加固及评估；weblogic，Tomcat，IIS等中间件加固及评估；Sql-server、Mysql、Oracle等数据库加固及评估；思科、华为、华三等三层路由交换设备网络设备评估加固；防火墙、IDS、IPS、WAF等安全设备评估加固。 4．安全重保服务 提供一年至少15天的，在重大活动和重要会议开展前期，通过对厅内未迁移及已迁移至长乐云部分业务系统中的IT系统的安全技术体系、安全管理、安全运维进行全面的安全检查；通过代码检测、APP检测、渗透测试等技术对重保应用系统进行细致的安全分析，发现存在的安全风险，出具整改建议，提升整体安全防护能力。 1）应急响应及处置：优化应急处置流程及应急处置机制，包含7*24小时应急响应，现场安全运维人员实时响应，应急支持专家1小时到现场。协助完成不限于以下工作：事件范围损失控制，取证，事件处理，外部攻击源追溯，内部脆弱性分析；并提供相关文档详实记录分析判断过程及结果，包括使软件记录应急响应顾问在其主机上的所有操作，便于审计和考核。 2）大型会议重保现场值守及保障服务：大型会议活动期间，24小时现场值守服务；一般会议期间，定期的安全巡检工作及7*24小时应急响应，应急支持专家1小时到现场；在安全事件处理完毕后，安全服务提供商应在1周内对事件的起因、处理过程、处理方法、处理结果等进行总结，提交完整的《安全事件分析及处理总结报告》。 5．黑盒测试 提供一年至少两次的基于各类最新高危漏洞的跟踪以及攻击方法采用模拟黑客攻击的方法对门户网站及应用系统进行检查，尽可能多的挖掘出潜在的入侵风险。 渗透测试服务：基于各类最新高危漏洞的跟踪以及攻击方法采用模拟黑客攻击的方法对门户网站及应用系统进行检查，尽可能多的挖掘出潜在的入侵风险。渗透测试报告内容包含漏洞发现过程关键步骤以及解读、漏洞危害程度以及造成的威胁、漏洞修复建议等几个部分。 6．安全通告与预警 提供一年的安全通告与预警服务，包括定期通告业内安全态势、重大舆情信息、重要系统漏洞及补丁信息等；对于紧急重大类漏洞信息，以最快时间通过邮件或电话告知漏洞危害、影响范围及应对方案等信息。 7．白盒测试 提供至少一次使用代码审计工具，配合人工专家审计对应用系统进行白盒安全检测。充分挖掘当前源代码中存在的安全缺陷以及规范性缺陷，从而让系统开发人员了解其开发的应用系统可能会面临的威胁，并指导开发人员正确修复程序缺陷。代码审计服务可以覆盖系统开发中常用C/C++/C#/JAVA/Python/PHP等主流编程语言代码审计，对基于相应语言开发的应用系统软件源代码的安全检测。从代码层面杜绝代码注入、跨站脚本、输入验证、资源管理等常见安全缺陷。在代码审计服务的开展流程上，在对指 定范围内的系统进行源代码审计时，代码审计通过对应用系统开发框架、应用程序、客户端程序、接口及第三方组件和应用配置这五个方面进行深入的安全分析，发现应用系统源代码存在的安全缺陷，并采用安全测试等技术手段进行漏洞验证。代码审计缺陷报告根据角色分为管理人员报告与开发人员报告。管理人员报告主要包括缺陷等级及缺陷类型等基本统计信息，开发人员报告除了包括缺陷等级及缺陷类型等基本统计信息外，还包括缺陷分类、缺陷描述、修复建议、风险点、缺陷跟踪信息等详细信息。 8．内网流量分析 在服务期内提供一年至少4次，通过专业流量威胁及态势感知分析设备的全流量采集并结合互联网威胁情报，提供内部失陷主机、病毒木马攻击、内部违规和内部风险等关键信息安全问题的周期性检测、发现、响应服务，并出具专业性分析报告。提供专业的内网全流量分析检测设备及人工服务全面的检测内网流量威胁分析。集合云端提供的威胁情报，可以对网络中的威胁事件进行发现和告警，同时基于机器学习的异常行为检测模型，提供行为模型检测、恶意域名检测、C&C通信检测、加密通信检测、心跳通信检测、畸形包检测、未知协议检测。有效针对内网可能潜伏的勒索病毒、web类型漏洞、系统组件漏洞、恶意流量、APT攻击、僵尸网络场景提供检测。检测结果报告包括：攻击时间、威胁类别、攻击类型、源/目的IP、源/目的端口、漏洞描述、威胁主机展示、对应威胁情报信息跟踪等。 9．安全态势感知平台 提供一年的安全态势感知服务，服务期内利用云端威胁情报，为交通运输厅信息安全管理人员提供来自外部的攻击态势，对攻击者进行精准的多维属性分析，形成外部攻击者画像；同时分析厅内及已迁移至长乐云部分业务系统中的IT系统资产结构，发现未知资产，结合互联网大数据安全情报、系统的实时漏洞监控及预警、整体站点业务的云端防护体系等安全服务，进一步加强交通运输厅整体信息系统的监控、防御、审计水平。 通报预警管理平台：为单位发布系统风险、漏洞等安全事件通报。支持对监控风险、漏洞、安全事件的预警。支持短信，邮件、微信等告警,帮助交通运输厅信息管理人员第一时间发现安全事件；涵盖安全事件告警及系统异常告警。 10．网站安全云监测 提供一年的网站安全云监测服务，服务期内对本厅内未迁移及已迁移至长乐云部分业务系统中的使用的网站安全云监测系统授权基础上提供WEB应用系统域名一年网站云监测平台的使用权扩容，售后服务方面提供一年的基础人工运维服务，包括：7X24小时的监测内容验证和安全事件通告下发；7X24小时电话售后服务。 提供扩容的网站安全云监测平台支持联动现有网站安全云监测服务获取检测数据。同时定制以下网站安全监测项目，包含：漏洞监测、网页篡改监测、网页挂马监测、内容变更监测、黑词监测、黑链监测、敏感词监测、网站可用性监测以及标准的报表管理和通报管理模块；提供联动功能截图及功能配置截图。 11.漏洞扫描服务 提供一年至少12次的漏洞扫描服务，支持并发扫描IP数50，每秒扫描链接数200，单页面扫描时间<20s。支持多路扫描，满足不同网段同时检测的需求。漏洞扫描服务工具能自动发现网络中的资产，无需手工录入网络资产。 漏洞扫描服务工具支持不同端口扫描，支持绑定 IP 地址扫描，支持自定义User-Agent扫描，支持自定义扫描速度，支持添加Cookie扫描。漏洞扫描服务工具支持扫描结果漏洞可验证性。漏洞扫描服务工具支持对孤岛页面的扫描。 12.网页防篡改服务 提供1年网页防篡改服务；支持所有主流的操作系统，包括：Windows、Linux；支持常用的Web系统，包括：IIS、Apache、SunONE、Weblogic、WebSphere、resin等；保护所有常用的数据库系统，包括：SQL Server、Oracle、MySQL、Access、MONGODB等。网页防篡改服务工具的客户端在卸载时，有验证才可以卸载，保证客户端自身安全性。 13.原有设备维保服务要求 对交通运输厅原有安全设备提供一年维保服务，设备维保服务支持保修期内提供免费上门，免费维修（含配件更换）服务，在保修期内定期回访、维护，有问题做到及时处理。 同时提供服务器防病毒软件一年期授权，含100个windows server服务器一年期杀毒授权（支持windows2003、windows2008、windows2012服务器操作系统），含一年AV病毒特征库升级。 在规定的服务周期内，如果发生安全事故、发生被官方通报事件等，采购人有权利不支付服务周期的安全服务费用，视情节严重程度，甲方可单方面中止合同。 在安全服务期外，免费提供一个月的实施准备服务，保证项目实施 。

6、验收

6.1验收应按照招标文件、乙方投标文件的规定或约定进行，具体如下：

无。。

6.2本项目是否邀请其他投标人参与验收：

不邀请。

7、合同款项的支付应按照招标文件的规定进行，具体如下：

8、履约保证金

无。

9、合同有效期

提供13个月的安全服务。

10、违约责任

无。。

11、知识产权

11.1乙方提供的采购标的应符合国家知识产权法律、法规的规定且非假冒伪劣品；乙方还应保证甲方不受到第三方关于侵犯知识产权及专利权、商标权或工业设计权等知识产权方面的指控，任何第三方如果提出此方面指控均与甲方无关，乙方应与第三方交涉，并承担可能发生的一切法律责任、费用和后果；若甲方因此而遭致损失，则乙方应赔偿该损失。

11.2若乙方提供的采购标的不符合国家知识产权法律、法规的规定或被有关主管机关认定为假冒伪劣品，则乙方中标资格将被取消；甲方还将按照有关法律、法规和规章的规定进行处理，具体如下：无。。

12、解决争议的方法

12.1甲、乙双方协商解决。

12.2若协商解决不成，则通过下列途径之一解决：

           提交仲裁委员会仲裁，具体如下：如协商解决不成，可向福州仲裁委员会提出仲裁。
         向人民法院提起诉讼，具体如下：。

13、不可抗力

1***因不可抗力造成违约的，遭受不可抗力一方应及时向对方通报不能履行或不能完全履行的理由，并在随后取得有关主管机关证明后的15日内向另一方提供不可抗力发生及持续期间的充分证据。基于以上行为，允许遭受不可抗力一方延期履行、部分履行或不履行合同，并根据情况可部分或全部免于承担违约责任。

13.2本合同中的不可抗力指不能预见、不能避免、不能克服的客观情况，包括但不限于：自然灾害如地震、台风、洪水、火灾及政府行为、法律规定或其适用的变化或其他任何无法预见、避免或控制的事件。

14、合同条款

根据实际情况填写。招标文件第五章已有规定的，双方均不得对规定进行变更或调整；招标文件第五章未作规定的，双方可通过友好协商进行约定。

15、其他约定

15.1合同文件与本合同具有同等法律效力。

15.2本合同未尽事宜，双方可另行补充。

15.3本合同自签订之日起生效。

15.4本合同纸质文件一式9份。合同电子文本通过政府采购网上公开信息系统自动备案。合同纸质文本需与备案电子文本一致，以备案电子文本为准，具有同等效力。

15.5其他：□无。□无 。

签订地点：福州