项目概述

为持续提升国家网络安************持续多年组织对互联网和关键信息基础设施等开展网络安全攻防演习（以下简称攻防演习），成员单位主要由国家信息安全专控队*、军队、科研机构、测******等机构组成。

卡奥斯拟参加****年的攻防演习活动，如未正式收到相关通******项目顺延或终止。

(*)本用户需求书仅供投标人了解卡奥斯的需求，评估项目工作量和编写投标文件所用。

(*)本用户需求书所包含的信息所有权属于卡奥斯。本文件及所包含的信息为卡奥斯的保密资料，未经卡奥斯许可，投标人不得以任何形式向任何第*方透露，并采取所有合理的步骤和措施，保证其接触本文件的人员不对外披露或散布本文件内容。

(*)本用户需求书的内容将根据具体实施情况及阶段的变化而变化，不代表最终业务需求。

本项目是通过引进第*方网络安全防护专业服务，通过梳理卡奥斯信息系统网络安全防护管理现状，完善卡奥斯信息系统安全防守体系，增强卡奥斯网络安全技术防护能力，建立网络安全保障长效机制，******门组织的网络攻防演习打下坚实基础并力争获取较好的成绩。

通过互联网IT资产梳理、 网络安全防护体系评估、漏洞扫描服务、渗透测试服务、安全产品有效性验证等安全******风险隐患排查并协助完成整改闭环，完善网络安全监测与防护能力，完善网络安全应急预案，切实提高招标人的安全防护能力与业务系统安全。组建网络安全服务团**********小时值守保障，开展风险监测和安全******置、溯源分析、防守报告编写等工作。

投标人提供网络安全现状评估及完善后的*次评估，协助制定实战阶段工作方案并辅助实施，实******现场重保和编制相关报告，总结分析及提出下*步改进方案。

主要内容包括互联网IT资产梳理与安全评估******置能力建设、重要时期现场值守保障、按需到场安全服务*项内容。

互联网IT资产梳理与安全评估

互联网IT资产梳理，对招标人所有对外IT资产（域名、IP、A******立体的排查梳理******全面检测，与招标人******比对，确保资产清单的完整性。对互联网暴露的敏感信息（如文档信息、gitlab、githu******发现、清理或勒令******删除等工作，协助招******整改。

漏洞信息收集与整改，对暴******安全漏洞扫描，提供资产漏洞台账与报告，并根据漏洞风险等级、漏洞被利用可能性、漏洞加固或规避措施等内******漏洞修复及安全加固。

资产梳理、漏洞信息收集系统范围包括但不限于生产系统、开发测试系统、办公系统和互联网系统等可能被攻击者利用的信息系统。

网络安全架构和能力评估及优化

网络安全防护体系评估，通过对招标人网络整体架构、网络策略、******署、网******评估，从而评估可能存在的攻击路线，针对网络层******网络策略的完善，封堵可能存在的高风险攻击路径，降低网络渗透风险。

在重保时间段内（重保时间不少于**天，如监管机构通知时长有变化，则以两者最长时间为准）******署、使用、咨询、指导和培训服务，并提前完成******署实施、业务切换、配置调优等工作，完成网络安全能力的补充建设，切实提高招标人******置能力。

特殊要求：在卡奥斯互联网边界需提供百*量级具备自动封禁能力的安全情报网关，并应与招标人现有的防火墙（山石）、WAF（长亭）、IPS（山******联动。

安全情报环境性能及功能满足如下要求：

重保值守服务

在重保时间段内提供不少于*名高级安全人员和不限人数的初级安全人员组成的团队（初级安全人员不额外收费），提供****小时搜集情报、现场值守、攻击溯源、应急响应和编写报告，协助招标方完成防守任务，重保时间不少于**天，如监管机构通知时长有变化，则以两者最长时间为准，服务内容具体包括但不限于以下：

*、攻击者联防情报服务，结合招标方大数据分析及威胁态势感知平台，精准提供黑IP和攻************置人员根据攻击分析************为，确保目标系统安全。

*、威胁情报共享，各个安全演练******商之间及时共享新的安全漏洞及攻击方式，并及时采取措施。

*、事件监测预警，通过网络、安全、应用等设备开展安全监测工作，及时发现异常情况并同步各安全层面分析人******分析、核实是否存在安全风险。

*******置，对******为，或未成功但确信度******封禁，阻断恶意攻击。通过WAF、防火墙、主机************为。

*、事件进*步溯源分析、研判，******人工分析、验证************置建议。

*、工作日报周报，每天、******总结和讨论。

*、防守报告编写，攻防演练过程中，作为防守方需要实时提交有效的防守报告，用于评判防守和应急响应的能力，提交有效的防******加分。投标人安排专人高级工程师负责防守报告的编写，收集汇总******置与溯源分析结果，按照防守报告格式要求编写，提交不少于**分防守报告，有效报告不少于*份。

除现场值守团队外，投标人还应具备远程专家团队按需提供远程支持，团队成员包括但不限于网络、安全、应用交付等方面专家，团队人数不少于*人，远******更复杂、更深入的安全威胁和事件研判，并且对攻击******分析，发现安全防御体系和策略的实******紧急整改。

按需到场安全服务

重保期结束后至****年底，针对上级单位组织的扫雷******动，投标人提供中级安全人员按需到场与安全专家远程技术支持服务（具体服务人天数量不做限制），服务团队对攻击成功且造成影响的事件以及关联的日志、流******深度分析，还原攻击路径、攻击手法、攻击过程，并查找其他受影响设备，帮助招标人深刻理解攻击事件以便采取合适的应对及合适的修复措施，提供详细路径分析报告。

投标人必须根据服务内容要求列出详细的安全服务内容和交付成果清单、所提供的安全环境相关的品牌型号、服务团队人员组成******项目需求。

服务要求

投标人所提供的安全服务应满足以下要求：

安全服务涉及的工具、方法和过程应在双方认可的范围之内，要使用规范成熟******业安全风险评估标准，另外服务的进度要按照项目进度表的安排，并按时提交约定的交付成果；

安全服务测试工作应尽可能最小地影响系************和正常的业务产生过大的影响（包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况应在评估工作开展前详细描述）；

对安全服务过程中所产生的数据要严格保密，未经授权不得泄露给任何单位和个人。招标人有权要求在评估结束之后销毁所有和评估有关的数据和文档；

项目使用的工具软件和信息资源数据应具有合法使用权，保证不会产生使用权、所有权和知识产权的纠纷，保证工具软件可用性和可靠性；

详细描述安全服务过程中******环境的具体要求，在使用这些工具软件的时候，必须严格遵守招标人关于这些环境的******可能需要的硬件平台(如笔记本电脑、PC、工作站******准备，招标人将按照******必要的检查，不得使用任何未经确认的存储******复制。

交付成果和报告要求

服务完成后，投标人应及时撰写相关的阶段性报告及总结报告，在评估结论中，说明招标人各系统安全存在的主要问题与隐患，并提出整改建议方案报告。整改加固经确认和评估完成后，投标人需在两周内向招标人提交由法定代表人或其授权委托人签字认可的评估报告。

服务提供商应在项目关键节点提供阶段性成果物，包括但不限于以下内容：

*）项目实施的总体框架、程序、主要方法及主要评估人员介绍；不同风险权重的确定标准，风险等级的计算方法，以及风险等级的定义。

*）项目成员名单。

*）互联网IT资产梳理与安全评估阶段提供《信息资产清单》、《渗透性测试报告》，内容需覆盖重点网络区域安全性、重点应用系统安全性、人员安全意识状况等方面。

*）网络安全架构和能力评估及优化阶段提供《网络安全完善防御方案》，应涵盖包括建立、完善、调整相关系统策略，确保配置策略准确、严谨，充分发挥设备的最大功能。按本需求定义书******分要求提******署实施，实施结果也作为成果物。

*）重保值守服务阶段，实战演练开始前，提供《攻防演习工作方案》。按需输出可上报的《实时攻击监测分析报告》、《防守报告》等其他材料，通报防御情况，并及时调整防御策略。

*）重保结束后提供《项目总结报告》，内容应包括对项目从评估完善******总结分析，明确项目中发现的问题和防护成效；提供《网络安全技术体系改进建设方案》，提出进*步加强招标方信息系统安全防护水平的思路和实施建议。

*）项目底线要求：不允许被通报，若有排名、排名要靠前；

*）其他需要说明的问题。

项目人员资质要求

投标人应为本项目配备专职项目经理，项目经理须具有*年以上的中大型系统集成项目管理或实施经验，具有良好的沟通协调能力，项目经理应具备*个如CCIE、HCIE、H*CIE、CISP、PMP、信息安全项目管理等专业资格，项目经理需要在项目各关键时间节点和招标方认为需******支持。

投标人项目重保值守远程专家团队中应至少*名具备数通或安全方向CCIE或HCIE或H*CIE认证，安全专家应具有*年以上的安全服务项目经验，可独立开展渗透性测试与漏洞挖掘，作为主力攻击/防守成员曾经参加过国内外高水平******重大安全专项实战演练。

投标人项目重保值守高级安全人员须具有*年以上的市级及以上实战演练项目经验，熟悉渗透测试步骤、漏洞挖掘方法、流程和管理办法，熟悉多种安全工具的工作原理，有深入的漏洞挖掘和分析能力，熟练掌握主流虚拟化、容器、K*S相关技术。

投标人项目按需到场中级安全人员具有至少*年以上的安全领域工作经验；熟悉渗透测试步骤、流程和管理办法，熟悉多种安全工具的使用，具备基本的漏洞分析能力，熟悉主流虚拟化相关技术。

投标人项目重保值守初级安全人员须具有*年以上的IT系统集成项******商网络及安全产品，熟练操作防火墙、WAF、IPS、态势感知等，熟悉多种安全工具的使用，有基本的漏洞分析能力。

投标人提供服务人员应事先将简历发至招标人，招标人认可后，方可作为正式服务人员。如有特殊情况，投标人需要对******更换，取得招标人的同意后方可更换，招标人有权提出更换服务工程师要求。

******资质要求

（*）具有良好的商业信誉和健全的财务会计制度；

******合同所必需的设备和专业技术能力；

（*）有依法缴纳税收和社会保障资金的良好记录；

（*）采购公告发******贿犯罪及重大违法记录；

（*）通过信用中国网站（******）查询，******人、重大税收违法案件当事人、政府******为记录等名单；

（*）供应商注册资金要在*****以上，具有能承担民事责任能力的法人或其分支机构，分支机构参与投标的须取得******出具给分支机构的授权书或相关业务授权证明文件，******资质、业绩、人员等参与投标。

（*）供应商应具备国家级机构或国际权威机构核发的有效期内资质认证：

******颁发的《信息安全服务资质证书（风险评估）》资质，

******颁发的国家信息安全漏洞库（CNNVD）技术支撑单位等资质。

（*）供应商在最近*年内至少要有*次或以上涉及红蓝对抗攻防演练、网络安全驻场与应急响应、渗透测试等相关内容的信息安全服务类项目经验，需提供证明材料(合同复印件)。

联系人信息