中国地质调查局自然资源综合调查指挥中心网络安全运行维护服务项目询价公告

一、基本概况 

1.项目名称：网络安全和运行维护服务采购项目。

2.采购人：中国地质调查局自然资源综合调查指挥中心。

3.采购人地址：北京市西城区红莲南路55号。

4.预算经费：20万元。

二、供应商响应须知

1.供应商须提供营业执照复印件，并加盖单位公章。

2.供应商报价应包括为完成本项目所发生的一切费用和税费。

三、采购需求

1．项目背景

中国地质调查局自然资源综合调查指挥中心(以下简称“指挥中心”)按照国家网络安全法、数据安全法、密码法、网络安全等级保护制度等国家相关法律法规和政策要求以及技术标准，指挥中心深入开展网络安全各项工作，已初步建设网络安全保障体系，为指挥中心信息化发展提供重要安全保障。目前指挥中心有非密基础网络系统、地质云指挥中心共享服务子系统、全国自然资源要素综合观测系统、协同办公系统四大集团化部署的信息系统，共安装部署55台/套安全设备设施（安全设备采购于16个等不同设备厂家）。今年，将在此基础上，完善安全运维防护体系建设。

2．项目目标

根据《网络安全法》《数据安全法》《密码法》等国家相关法律法规，指挥中心 2023-2024 年度网络安全运维服务项目，以安全合规为基本要求，以安全技术防护手段为支撑，全面掌握指挥中心网络安全态势，通过对信息系统开展优化安全配置等运维服务工作，进一步完善指挥中心网络安全运维防护体系，释放安全设备效能、策略配置优化，综合提升安全预警、评估分析、安全管控和应急处置能力。实现网络安全从被动到主动、从静态到动态、从粗放到精准防护、从单点到整体防控的转变，确保指挥中心和各专业中心各类上线运行的业务系统和数据的安全稳定运行。

3．服务内容

3.1日常安全运维类安全服务

日常安全运维类安全服务以保障指挥中心安全合规分析、配置策略优化及提升综合防控体系为目标。通过开展安全分析、风险排查、策略完善、备份恢复等工作，实现指挥中心资产运行状态周期感知、网络设备和信息系统效能全面提升，推动指挥中心综合防控体系持续优化。

1、安全分析：通过有资质的安全服务工程师（每月开展至少二次）查看网络设备、安全设备、信息系统服务器等软硬件设备运行日志，分析设备运行状况，形成运维记录巡检报告表，并对发生的故障及时响应处置，保障设备及系统安全稳定运行。

2、风险排查：每半年对指挥中心的网络安全设备和信息系统等进行合规、有效性 检测与验证，提出应对措施，解决风险问题。

3、策略完善：每季度对指挥中心安全设备的访问控制策略进行梳理、归并、分析，对各类人员访问权限制定访问规则，并合理设置安全标记，建立有限身份鉴别机制，实现合理分配访问资源权限。

4、备份恢复：按照指挥中心的实际需求定期或临时开展对网络、系统及安全设备配置信息及重要信息进行备份，并定期对备份的文件验证和恢复，保障当故障发生时，可快速恢复正常运行状态。

3.2预判预警类安全服务

预判预警类服务工作以对指挥中心资产安全隐患排查并进行事前防御为目标。通过开展漏洞扫描、基线配置核查、渗透测试、风险评估、安全加固工作，实现对指挥中心资产安全隐患的全面排查及安全加固工作，及时处理隐患，降低安全风险，保障指挥中心各业务系统处于良好的安全计算环境中。

1、漏洞扫描：每季度通过安全扫描等手段对指挥中心信息系统资产、数据资产及网络资产进行全面的安全检测，识别资产脆弱性及安全漏洞，消除安全隐患风险。

2、基线配置核查：每半年依据设备的部署环境、承载业务等因素，通过调研访谈、工具扫描结合人工验证的方式，对指挥中心信息系统资产、数据资产、网络资产从系 统补丁、账号、口令、授权、日志审计、网络和服务、IP 通信等方面进行基线配置核查，检查是否满足基本安全配置要求，并协助完成安全整改，进而减少攻击面，提高漏洞容忍度，提升系统安全防御强度。

3、渗透测试：每半年通过模拟黑客攻击的方式，对指挥中心信息系统资产、数据资产及网络资产的脆弱性、技术缺陷及安全漏洞进行主动分析，评估现有防护体系抗攻击能力，全面了解和掌握网络及资产所面临的安全威胁和存在的风险。

4、风险评估：每半年从技术与管理两个维度，对指挥中心现有信息系统资产、数据资产及网络资产进行全面的安全风险评估，出具风险评估报告，掌握资产面临的威胁，精准安全建设整改范围；同时根据年度项目工作进展，对新建信息系统在上线试运行前分别进行一次漏洞扫描和渗透测试，并出具风险评估报告。

5、安全加固：每季度根据漏洞扫描、基线配置核查及渗透测试的结果，结合指挥中心业务实际，通过升级补丁、强化账号安全、修改安全配置、优化访问控制策略、增加安全机制等方法，对指挥中心信息系统资产、数据资产及网络资产存在的脆弱性 与安全漏洞进行安全整改加固，提升指挥中心网络及系统整体的健壮性、安全性与可靠性。

3.3应急处置类安全服务

应急处置类安全服务以提升指挥中心及各专业中心相关人员在应对突发事件时的应急处置和响应能力为目标。通过开展应急演练、应急响应、重保服务、攻防演练等工作，建立应急组织、规范应急流程、强化处置技能，保障重要活动期间指挥中心信息系统的安全、稳定运行。

1、应急演练：按照指挥中心实际需求开展两级中心联动应急演练，使信息技术等有关人员熟悉应急响应流程，提升两级中心对安全事件处置与响应能力，验证应急预案的正确性和适用性，根据工作实际，实时修编应急预案方案。

2、应急响应：按照指挥中心实际需求在发生紧急安全事件的情况下，对安全事件进行快速处理，防止安全事件的影响进一步扩大。同时，通过对安全事件的深入分析，快速定位安全事件的源头，并依据系统遭受破坏的程度，进行相应的紧急修复措施和 攻击取证，提升指挥中心快速应对安全事件的能力及溯源取证能力、保证网络与信息 系统的正常运行。

3、重保服务：按照指挥中心实际需求在重要活动期间，根据工作需要，提供具备资质的高水平安全工程师重保服务，协助指挥中心进行网络和信息安全管理，负责网络与安全设备安全配置策略维护、病毒查杀、安全监测、设备运行状态检查、故障处置等事项，提供信息系统资产、数据资产及网络资产的安全监测情况汇报，使各相关方能够实时掌握安全状况，随时应对和处置特殊时期发生的各类安全事件，对设备进行有效的常规性安全维护，保障网络和信息系统处于“健康”、安全的状态，每次重保完成后，出具重保服务报告。

4、攻防演练：协助指挥中心及各专业分中心在现网环境下组织开展网络安全攻防演练，以检验其网络安全保障手段的有效性，提升整体安全保障能力。通过网络安全攻防演练“以练促建”，发现网络安全检测、防护、处置、监测和审计手段的缺陷，有效检验信息系统的防护能力和对网络攻击的实时监测、应急处置、速报预警能力。

4．实施要求

4.1服务周期

本项目服务周期为自合同签订之日起12个月。

4.2服务范围

本次服务范围以指挥中心的非密基础网络系统、地质云指挥中心共享服务子系统、全国自然资源要素综合观测系统、协同办公系统为主要系统，对其安全管理中心、通信网络、区域边界和计算环境等涉及的所有软硬件设备等。

4.3资格要求

本项目供应商需提供以下资格要求（供应商应满足三个以上资质获取报价资格；资质全部满足的供应商优先选择）：

4.4 服务人员

本项目需要供应商按照采购人要求，除项目经理外,在重要活动期间，供应商应按照采购人要求提供至少 2 名的现场应急值守人员；本项目后台技术专家应至少 3 名。相关服务人员无法满足工作需要时，采购人有权利要求供应商补充提供技术支持人员,且能 1小时内到达采购人指定现场。

项目经理要求具有 3 年以上项目管理经验；后台技术专家要求具有 3 年以上工作经验、具有类似项目经验并承担主要技术负责工作。

项目组人员一经采购人认可后，在整个项目实施过程中未经采购人同意不得更换，如有特殊情况，应及时通知采购人，并附上拟更换人员的简历、学历证明、资格证明，经采购人审核同意后方可更换。

4.5交付成果

本次所涉及服务内容交付成果包括但不限于：

《中国地质调查局自然资源综合调查指挥中心安全分析报告》

《中国地质调查局自然资源综合调查指挥中心风险排查报告》

《中国地质调查局自然资源综合调查指挥中心策略完善报告》

《中国地质调查局自然资源综合调查指挥中心备份恢复报告》

《中国地质调查局自然资源综合调查指挥中心漏洞扫描报告》

《中国地质调查局自然资源综合调查指挥中心基线配置核查报告》

《中国地质调查局自然资源综合调查指挥中心渗透测试报告》

《中国地质调查局自然资源综合调查指挥中心风险评估报告》

《中国地质调查局自然资源综合调查指挥中心安全加固报告》

《中国地质调查局自然资源综合调查指挥中心应急演练预案》

《中国地质调查局自然资源综合调查指挥中心应急演练方案》

《中国地质调查局自然资源综合调查指挥中心应急演练报告》

《中国地质调查局自然资源综合调查指挥中心应急响应报告》

《中国地质调查局自然资源综合调查指挥中心重保服务报告》

《中国地质调查局自然资源综合调查指挥中心攻防演练报告》

4.6服务频次

4.7其他指标要求

5．验收要求

供应商实施的技术方案需符合相关的技术指标和要求，保证项目验收后系统稳定、使用安全、项目的各项任务内容能满足要求。供应商终验通过后，须向采购人交付项目的全部资料。

6．其他要求

供应商及其参与本项目人员应遵守《国家保密法》等相关法律的规定，保守在项目实施过程中知悉的国家秘密、商业秘密、敏感信息和个人隐私等，防范监测风险。要求参与本项目安全监测的人员均为中国公民，无犯罪记录，在签订单位安全保密协议基础上，运维人员还需签订个人安全保密承诺。（供应商须针对以上内容提供书面承诺并加盖公章）

供应商在投标文件中需提供详细设计方案，包括但不限于：

（1）需求分析解决方案

功能、应用场景、目标：供应商应针对本项目实际情况结合过往经验分析并指出项目实施过程中潜在的困难点、风险点，并能够给出妥善的解决方案。

（2）日常安全运维类安全服务方案

功能、应用场景、目标：供应商应针对本项目提供完整详实的、有针对性的日常安全运维类安全服务方案，保障项目顺利实施。

（3）预判预警类安全服务方案

功能、应用场景、目标：供应商应针对本项目提供完整详实的、有针对性的预判预警类安全服务方案，保障项目顺利实施。

（4）应急处置类安全服务方案

功能、应用场景、目标：供应商应针对本项目提供完整详实的、有针对性的应急处置类安全服务方案，保障项目顺利实施。

（5）验收服务方案

功能、应用场景、目标：供应商应针对本项目提供有针对性的验收方案，协助采购人顺利完成相关验收工作。

（6）项目管理方案

为保障项目顺利实施，制定详细的项目交付管理方案。

四、供应商报价方式

供应商应将加盖单位公章的报价函及营业执照复印件等相关资料密封并加盖公章后现场投递。

五、采购人联系方式

1.供应商报价截止时间：2023年9月13日17时。

2.报价材料投递地址：北京市西城区红莲南路55号。

3.采购人联系方式：高通，电话：13581991065。

附件：附件1

           附件2

           附件3

                                                                                                                                                                                                                                               中国地质调查局自然资源综合调查指挥中心

                                                                                                                                                                                                                                          2023年9月8日