我公司作为贵州省高速公路路网运行及客服保障服务项目市场运营主体单位，根据业务需求，现需开展网络安全技术保障及咨询服务工作，欢迎具备相关服务能力的单位参与报价。报价具体要求如下：

一、报价资质要求

具有独立承担民事责任的能力：

提供有效的企业法人营业执照（工商营业执照副本、组织机构代码证副本和税务登记证副本，或多证合一的营业执照）。

二、服务要求

1.服务内容：提供全方位的、专业化的网络安全保障和咨询服务，包括但不限于网络安全检查、风险评估、态势感知管理、风险漏洞整改修复等技术保障；制定和完善网络安全管理制度和预案；监督与指导系统开发及运维单位按规范执行网络安全保障相关工作；及时按规范处置网络安全事件；为全省各级高速公路联网收费系统和 ETC 发行系统的网络安全建设、管理等提供技术咨询与培训服务等。确保省中心高速公路联网收费系统全面落实以上法律法规、管理制度和相关技术规范的工作要求，达到网络安全等级保护第三级及以上标准规范，相关管理机制合理有效，保障系统网络安全可控， 切实推进和提升全省高速公路联网收费系统的网络安全防护水平。（详细内容见附件）

2.服务期：一年

3.项目地点：贵州省

三、报送资料清单及其他要求

参与询价单位需首先确认是否符合上述“资质要求”后再参与报价。参与单位需提交以下资料清单：

（一）营业执照等证明文件扫描件，须经年检有效；

（二）报价函（格式自拟，报价包含人工费、税费等所有费用）。

上述材料均须加盖单位公章。

四、报价材料接收形式

请于2024年5月6日09:00前将上述材料的PDF扫描件报送至下列邮箱：[email protected]，邮件标题格式：单位名称+项目名称。

五、此次报价仅作为开展限价编制的重要参考依据。

联 系 人：周先生  联系电话：18798011492  

联系地址：贵州省贵阳市观山湖区贵阳西收费站旁新大楼4楼

香港料大全

                           2024年4月28日

附件：服务范围及内容

服务范围及内容

根据《中华人民共和国网络安全法》、《交通运输部网络安全管理办法》、《收费公路联网收费系统网络安全管理暂行办法》、《收费公路联网收费系统网络安全信息通报工作规范（试行）》、《联网收费系统省域系统并网接入网络安全基本技术要求》、《贵州省交通运输厅网络安全管理办法（试行）》、《贵州省交通运输厅厅属单位网络安全工作考核评价规则（试行）》和《贵州省高速公路联网收费系统网络安全管理办法》等法律法规、管理制度、技术规范要求，以及网络安全等级保护 2.0 标准规范等文件要求，为了贯彻落实好贵州省高速公路联网收费系统网络安全管理和技术保障各方面工作，为甲方提供全方位的、专业化的网络安全保障和咨询服务，包括但不限于网络安全检查、风险评估、态势感知管理、风险漏洞整改修复等技术保障；制定和完善网络安全管理制度和预案；监督与指导系统开发及运维单位按规范执行网络安全保障相关工作；及时按规范处置网络安全事件；为全省各级高速公路联网收费系统和 ETC 发行系统的网络安全建设、管理等提供技术咨询与培训服务等。确保省中心高速公路联网收费系统全面落实以上法律法规、管理制度和相关技术规范的工作要求，达到网络安全等级保护第三级及以上标准规范，相关管理机制合理有效，保障系统网络安全可控， 切实推进和提升全省高速公路联网收费系统的网络安全防护水平，具体服务内容如下：

一、技术保障与检查

按网络安全管理规范和甲方的网络安全管理要求，对省中心联网收费系统实施全面的网络安全技术保障工作，确保省中心联网收费系统网络安全保障水平达到等级保护三级及以上标准规范，保障系统安全稳定运行。全面监测防火墙、安全网关、安全防御、入侵检测、日志审计等网络安全设施设备和态势感知平台的运行情况，定期做好安全巡检工作，规范存档巡检记录。按规范开展至少 4 次网络安全全面检查工作， 对省中心联网收费系统的所有网络安全实施设备和相关管理平台系统进行检查，全面扫描系统中存在的风险漏洞，及时发现网络安全问题和风险，并出具检查报告。技术保障和检查内容包括但不限于以下内容：

（一）日志分析。按照网络安全管理规范对省中心联网收费系统日志审计系统、应用系统和其他安全设备的日志进行收集、分析和管理， 并定期出具日志审计分析及整改报告，每个季度不少于一次。

（二）漏洞扫描。定期对省中心联网收费系统进行自动化且全面的漏洞扫描，并出具漏洞扫描分析及整改报告（不能直接提交扫描系统导出的原始报告），及时发现系统网络安全风险，每个季度不少于一次。

（三）渗透测试。按照网络安全管理相关规范定期对省中心联网收费系统进行渗透测试，及时发现系统中存在的漏洞并进行验证，提供渗透结果及截图，进行深层次漏洞挖掘并提供解决建议，并对系统的安全现状、安全保护程度进行评估，出具分析及整改报告。不少于两次。

（四）安全审查。定期对省中心联网收费系统安全防御设备、日志审计系统、防火墙等安全设备运行及配置情况等进行网络安全审查，及时发现安全风险，确保安全配置符合规范，每个季度不少于一次。

（五）策略优化。对重要的网络安全设备进行策略核查，根据省中心联网收费系统运行环境和业务管理的要求，按照网络安全规范对策略进行优化调整。

二、风险评估

按照网络安全相关管理规范和甲方网络安全管理需求，对省中心联网收费系统进行至少一次全面的网络安全风险评估，并出具详细规范的风险评估报告，不允许直接提交安全风险扫描工具输出的报告，需对报告进行分析提炼，对产生的漏洞、隐患和风险提供直观的阐述。评估范围为所有业务系统及相关的信息资产，主要内容须包括。

（一）漏洞扫描：对 IT 基础设施（包括但不限于网络和安全设备、操作系统、数据库、中间件等）和应用系统等进行扫描，不允许直接提交漏洞扫描输出的报告， 需对漏洞扫描报告进行分析提炼和验证，输出高、中和低危漏洞信息。

（二）操作系统核查：核查操作系统补丁安装、进程、端口、服务、用户、策略、权限、审计、内核、恶意程序等内容，对用户当前采取的风险控制措施和管理手段的效果进行评估，在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等六个方面进行评估。

（三）数据库核查：主要是对数据库管理系统的权限、口令、数据备份与恢复等方面进行核查。

（四）网络及安全设备核查：网络及安全设备核查主要是针对网络及安全设备的访问控制策略进行检查，确定是否开放了网站服务以外的多余服务。

（五）病毒木马检查：通过多种方式对机器内异常进程、端口进行分析，判断是否是木马或病毒，研究相关行为，并进行查杀。

（六）渗透测试：模拟黑客的各种攻击手段，对评估过程中发现的漏洞安全隐患进行攻击测试，评估其危害程度，同时利用渗透性技术检测，发现未知应用系统漏洞和安全隐患。主要有：弱口令、本地权限提升、远程溢出、数据库查询等。

三、态势感知管理

按相关规范做好省中心高速公路联网收费系统态势感知平台建设和运行管理工作，确保态势感知平台建设和运行满足相关规范，态势感知平台监测所有网络安全设备运行情况，及时发现系统网络安全风险漏洞， 对及时组织进行整改修复。按上级主管部门要求，做好部、厅态势感知系统接入和运行管理工作，及时响应并处置上级态势感知系统发出的通报、事件处置要求等。

四、安全整改及加固

针对上述安全检查、风险评估、日志分析、漏洞扫描、渗透测试、安全审查、态势感知等存在的问题、风险和隐患，以及等级保护测评提出的风险和整改建议，以及其他检查检测方式中发现的安全隐患、风险和漏洞等各类网络安全问题进行规范管理，建立风险漏洞台账，制定切实有效的整改方案，及时进行整改和加固。针对系统本身的安全风险， 须督促和指导第三方开发运维单位或产品厂商进行安全整改和加固，并对整改加固完成情况进行检查核实。安全整改及加固包括但不限于以下内容：

（一）操作系统安全加固

1. 基本安全配置检测和优化；
2. 密码系统安全检测和增强；
3. 系统后门检测；
4. 提供访问控制策略和安全工具；
5. 增强远程维护的安全性；
6. 文件系统完整性审计；
7. 增强的系统日志分析；
8. 系统升级与补丁安装；

• 网络设备安全加固

1.严格的防控控制措施；

2. 安全审计；
3. 合理的 vlan 划分；
4. 不必要的 IOS 服务或潜在的安全问题；
5. 路由安全；
6. 抵抗拒绝服务的网络攻击和流量控制；
7. 广播限制。

（三）网络安全设备安全加固

1. 防火墙的部署位置、区域划分；
2. IDS、漏洞扫描系统、VPN 网关配置；
3. 安全设备的安全防护措施配置加固；
4. 安全设备日志管理策略加固；
5. 安全设备本身安全配置加固。

（四）数据库安全加固

1. 基本安全配置检测和优化；
2. 密码系统安全检测和增强；
3. 增强远程维护的安全性；
4. 文件系统完整性审计；
5. 增强的系统日志分析；
6. 系统升级与补丁安装。

（五）病毒木马清除

除对风险评估报告中的安全隐患进行加固外，对国家和省级有关部门通报的安全漏洞要及时进行全网加固处理，不限次数。加固完成后出具纸质加固报告。

五、系统开发及运行管理

按甲方要求对省中心联网收费系统的开发、集成及运行维护工作实施网络安全管理，督促和指导省中心联网收费系统各开发、集成、运维单位和设备厂商按照行业网络安全规范和甲方的网络安全管理要求开展系统开发集成及运行维护工作，确保省中心联网收费系统集成上线及运行维护各环节工作达到行业网络安全管理规范，具体工作包括但不限于以下内容：

（一）全面梳理省中心联网收费系统开发和运行的各参与方，明确各参与方的网络安全工作职责，制定切实有效的网络安全工作规程和细则，督促和指导各参与方严格按照网络安全规范开展系统开发集成和运行维护相关工作，落实好网络安全建设三同步要求，并定期对系统运行维护工作开展安全检查。

（二）及时发现各系统开发集成和运维厂商在系统开发集成和运行维护工作中存在的网络安全风险隐患和问题，并纳入风险漏洞台账进行管理，及时督促相关责任单位进行安全整改。

（三）督促各系统开发集成和运维厂商按照及时更新省中心联网收费系统网络拓扑、IT 资产、信息系统资产、数据资产等系统资产信息， 并统一进行规范管理。

（四）按照相关规范，结合实际工作情况，编制运维单位和运维人员的网络安全保密协议或责任书，并协助组织省中心高速公路联网收费系统所有运维单位和运维人员（包括中标方及相关保障人员）签订网络安全保密协议或责任书，明确运维单位和运维人员的网络安全责任，同时须按相关规范协助对运维人员进行必要的背景审查。

（五）按部、厅等上级主管单位及甲方要求重点督促和指导省中心联网收费系统网络安全态势感知平台按规范完成建设工作，促进各级联网收费系统和ETC 发行系统接入平台，并做好平台的运行监测和管理工作。

六、建立健全管理机制

（一）根据国家、部、省、厅的网络安全管理要求和规范，按照甲方要求， 制定和完善全省联网收费系统网络安全管理制度或办法、应急预案、信息通报机制、保障工作方案、管理工作要求和规范等，建立健全全省联网收费系统网络安全管理机制。

（二）根据国家、部、省、厅的网络安全管理要求和规范，按照甲方实际工作情况和要求， 制定、完善和细化省中心联网收费系统网络安全管理制度或办法、应急预案、保障工作方案、第三方运维单位及人员管理制度等，形成合理有效的网络安全保障工作机制，切实提升网络安全管理水平。

七、重要时期专项保障

（一）按照相关管理单位工作要求和甲方需求做好节假日、春运、重要会议、重要活动和其他重要时期（以上级部门文件要求为准）省中心联网收费系统网络安全专项保障服务工作，期间按要求安排专人到甲方单位落实好现场值班值守工作。

（二）按甲方要求做好上级主管部门和行业主管部门关于系统升级、攻防演练等网络安全专项保障工作。

八、全网监督与检查

（一）协助对全省各高速公路经营单位和ETC 发行单位的网络安全工作实施监督与检查管理，梳理明确各单位网络安全管理机构、责任人、联络人，形成及时有效的工作通报机制，督促各单位及时开展网络安全相关工作。

（二）定期或按甲方需求对全省区域/路段中心、收费站、收费车道、ETC 门架等各级联网收费系统和ETC 发行客服系统实施抽查监测， 评估各级联网收费系统的网络安全运行状况，并及时进行通报，督促整改。

（三）按照甲方要求对全省区域/路段中心、收费站、收费车道、ETC 门架等各级联网收费系统和ETC 发行客服系统开展网络安全专项检查工作（出差人员相关费用自行承担）， 检查内容包括但不限于系统运行管理机制、系统漏洞扫描、病毒扫描、通信保障、网络边界防护、渗透测试等，渗透测试的结果将以报告（《白客渗透测试报告》） 的形式提交，根据检查情况出具网络安全检查情况通报，督促经营单位提升网络安全管理和防御水平，如无特殊情况（疫情原因等），现场专项检查不少于两次。

（四）加强对ETC 发行客服系统的网络安全监督管理，至少开展一次现场专项检查，并出具检查通报。

（五）如有重大网络安全问题、漏洞或隐患出现，对特定系统及时采取有针对性的漏洞扫描、病毒扫描、渗透测试等检查和分析工作，及时核查问题原因、控制事态发展。

九、应急管理和响应

（一）根据上级主管部门下发的网络安全应急管理办法和要求，结合联网收费系统运行管理的实际情况，完善省中心联网收费系统网络安全事件应急预案，组建网络安全应急处置保障队伍，并按照应急处置预案，组织开展网络安全应急演练，以提高各部门开展应急工作的水平和效率。应急演练须做好规范详细的演练记录和总结报告等并存档保存， 根据演练情况，进一步修订和完善应急预案。

（二）如发生网络安全突发事件（含病毒感染、黑客攻击、网页篡改等）或其他紧急情况时，工作时间须在 30 分钟发现并启用应急处置，非工作日须确保项目负责人或专职运维人员 24 小时开机，在接到甲方应急响应服务要求 2 小时内赶到现场并启动应急处置，应急处置方案须规范有效，在 12 小时内将突发事件控制并将损失降至最低，同时技术手段核查事件发生原因和来源，事后出具事件过程详细描述并提交相应的防范报告。

（三）协助甲方对全省各级联网收费系统和ETC 发行系统出现的网络安全事件进行有效处置，利用技术手段核查事件发生原因和来源， 并对事件情况进行通报。

（四）如发生网络安全事件造成了较大影响或损失，负责查明法律法规认可的原因和责任方，如不能查出责任方，所有损失由中标单位（保障单位）承担。

十、培训与咨询

结合全省联网收费系统运行及管理现状，组织行业内网络安全专家开展至少两次网络安全培训工作（省中心一次，全省联网收费经营单位一次）。培训主题包括但不限于：网络安全意识、政策、网络知识、信息化技术、大数据、网络安全设备、应急处置、密码应用、网络安全管理运维、以及网络安全等级保护法律法规和工作内容等，具体培训内容和方式由甲方决定，由中标人提供师资、教学设备、攻防平台、教学课件和考核细则。培训老师、教材、场地等相关费用成交供应商承担。

十一、信息通报

针对本合同服务工作内容，以及全省各级联网收费系统（含ETC 发行系统）运行单位的工作开展情况，结合全网联网收费系统存在的问题和当前重要的网络安全资讯等，出具网络安全工作月报、半年报和年报， 及时进行通报。

十二、其他工作和要求

（一）派驻至少一名经验丰富的专职网络安全管理、咨询工程师（须具备网络或安全方面中级及以上资格证）到甲方单位实施现场运维服务和技术保障服务，与甲方工作人员执行同样考勤制度。

（二）全面梳理收集省中心联网收费系统网络安全设备和系统平台（含态势感知平台、入侵检测系统、IPT、IPS、WAF 等）的详细信息台账、安全配置文档资料、设备系统使用文档及操作手册等，并按规范交甲方存档保存。

（三）制定年度网络安全工作方案，明确目标，细化工作任务，有序推进各项工作的开展和落实。

（四）做好上级主管部门和行业主管部门的网络安全检查和专项保障等相关工作。

（五）协助甲方处置省中心联网收费系统发生的其他不可预见性问题和故障。

（六）做好省中心联网收费系统安全生产三年行动计划的网络安全各方面工作。