《第四部分技术要求.docx》由会员分享,可在线阅读,更多相关《第四部分技术要求.docx(3页珍藏版)》请在优知文库上搜索。
1、第四部分:技术要求一、技术条款(一)项目背景沙洲职业工学院建立了十余个信息系统,有互联网和内网访问的系统,但系统升级更新不足,系统存在来自互联网攻击以及内网攻击的风险,有可能给平台造成敏感数据泄露的重大损失。安全检测服务作为信息安全领域的基本安全模块,在信息安全体系中具有不可替代的作用。因此,沙洲职业工学院通过引入专业的信息安全服务团队,针对目前存在的系统弱点、网络脆弱性、安全漏洞、配置隐患深入开展全面的信息安全建设,通过专项安全服务,将风险消除或者降至可接受范围。(二)总体服务设计供应商需根据项目需求提供服务参考标准说明、服务内容说明、服务范围说明和服务周期说明。1 .服务需求供应商需根据风
2、险评估服务、系统漏洞扫描服务、系统渗透测试服务和系统上线前检测服务提供相应的服务简介以及输出报告内容。2 .服务范围需求2.1 应用系统范围:序号应用系统名称1在线办事服务大厅2沙洲职业工学院网站群(子站)3校园微服务4教务管理系统5财务查询系统6国子固定资产管理系统2.2服务器资产范围序号服务器名称型号配置备注1nginxl虚拟机服务大厅2ampl_zhxy_szit虚拟机服务大厅3Webplus-web虚拟机网站群2.3服务检测次数要求:序号服务名称服务周期频率备注1风险评估服务1年1次2漏洞扫描服务1年2次/年3渗透测试服务1年2次/年4系统上线前检测服务1年4个根据学校业务需求()安全
3、检测服务需求1 .风险评估服务供应商需根据系统内外安全状况,以及当前整体的运行态势进行风险评估设计,并且提供风险评估依据、风险评估原则、风险评估流程、风险评估方法以及评估范围。最终评估完成后需提供服务交付物内容说明。2 .系统漏洞扫描服务需利用各种安全工具,对沙洲职业工学院的Web应用及相关服务器设备进行非破坏性的模拟入侵攻击扫描,由此确定存在的安全危险,及时提醒安全管理员和开发人员加固整改,完善安全策略,降低安全风险。主要服务内容需包含服务流程、服务范围以及服务方法,并且说明服务频率以及服务交付物。3 .系统渗透测试服务需由渗透测试专家模拟黑客对Web应用及相关服务器设备,进行非破坏性的模拟
4、入侵攻击,对所有与该系统运行相关的软件资产进行各种漏洞攻击测试,将入侵的实质性证明和细节总结编写成测试报告,由此确定存在的安全危险,及时提醒安全管理员、开发人员加固整改,完善安全策略,降低安全风险。主要服务内容需包含服务流程、服务范围以及服务方法,并且说明服务频率以及服务交付物。4 .系统上线前检测服务需对沙洲职业工学院新建的网站及业务进行上线前检测,需包含主要服务内容说明、服务流程和说明以及服务交付物。二、商务条款1 .服务期限及服务地点:(1)服务期限:合同签订生效之日起一年;(2)服务地点:沙洲职业工学院。2 .支付方式:合同签订后30日内支付项目总费用的50%,合同履行结束后,次性付清剩余50%费用(履约保证金于合同履行结束后退回)。4 .投标货币:应采用人民币报价。