采购公告中用户需求书具体技术(参数)要求1.服务内容不完整,现进行补充说明,补充如下:
一、合同包1(广东省智慧自然资源—土地整治与生态修复监测监管((略)-(略)年)项目数据处理运营服务)
1.服务内容
主要包括山水林田湖草生态保护修复工程项目、全域土地综合整治项目、覆盖全省的矿山生态修复项目和临时用地土地复垦项目等生态保护修复项目数据治理、生态保护修复规划成果数据治理、补充耕地潜力库数据治理和生态保护补偿管理数据运营等内容,为我省生态保护修复业务开展和管理提供数据基础。
1.1.国土空间生态修复本底数据库治理
搜集农田、森林、水源、河湖湿地和矿山等自然资源多种生态要素的相关图层数据,对收集到的各类数据进行质检入库,为生态问题识别、项目选址、修复措施确定提供基础数据支撑。
1.2.生态修复规划成果数据治理
收集广东省重要生态系统保护和修复重大工程规划成果、广东省省级国土空间生态保护修复规划成果数据,广东省市级国土空间生态保护修复规划成果数据、广东省县级国土空间生态保护修复规划成果数据,对收集到的各类生态修复规划数据进行质检入库,完成广东省重要生态系统保护和修复重大工程规划信息和广东省、市、县国土空间生态修复规划成果的入库。
1.3.生态保护修复项目数据治理
生态保护修复项目数据治理具体包括国土空间生态修复储备项目和实施项目数据现状调研、数据资料收集、数据整理标准制定、数据整理、数据质检入库等。其中,国土空间生态修复项目数据包括但不限于以下内容:(略)
1.4.生态保护补偿管理数据运营
生态保护补偿管理数据运营服务的范围包括两方面:(略)
1.5.补充耕地潜力库数据治理
实现地方定期上报潜力库数据的质检入库。并对现有系统补充耕地潜力库数据进行现状分析、核实修正,形成新的补充耕地潜力库,并进行数据统计。
1.6.垦造水田数据治理
针对全国耕地占补平衡动态监管系统基于补充耕地项目从立项、实施、验收到核定的补充耕地全过程监管机制开展的升级改造,完成对广东省土地整治监测监管系统中已有垦造水田项目的数据处理,以便顺利推送至全国耕地占补平衡动态监管系统。
二、合同包2(广东省智慧自然资源—土地整治与生态修复监测监管((略)-(略)年)项目网络安全运营服务)
1.服务内容
1.1.信息系统安全评估(安全扫描)服务
依据要求对广东省土地整治监测监管系统(升级改造后拟更名为“广东省土地整治与生态修复监测监管系统”,下同)提供定期安全扫描服务。制定扫描安全方案,针对系统的安全性、使用功能、系统项目的可管理性等方面制定检查要求,合理安排检查计划。
(一)服务具体内容如下:
t- 系统扫描。通过安全检查,提前发现系统的故障异常、告警、潜在问题、安全隐患等,并及时作出安全反馈,保障系统运行状况良好,防止故障发生,降低业务故障风险与负面影响,确保系统项目能够7×(略)小时正常运行。
t- 程序扫描。包括但不限于定期对系统项目的同步程序、数据备份进行现场例行巡检。同时安排专业人员提供安全扫描日志等信息,及时发现问题及时处理。
t- 数据库、安全系统。针对数据库内容安全和管理日志等部分进行深度检查,保证安全系统的正常运作和管理,确保系统的正常使用。
t- 其他系统相关程序。根据全局应用系统、主机提供每年年中一次的漏洞扫描和复核,重点发现网站应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险,输出漏洞扫描报告和复核报告。
(二)服务频率:
根据全局应用系统、主机提供每季度1次的漏洞扫描和复核,重点发现网站应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险。
(三)服务要求:
在开展安全评估服务前,中标人应建立各信息系统资产档案和资产安全管理体系,对安全评估及渗透测试发现的安全问题进行跟踪管理,形成动态可管理的资产安全档案。
中标人需提供工具并综合利用主机扫描、应用扫描、配置核查等手段,对采购人重要信息系统进行安全评估,及时发现存在的安全问题,发现与等保2.0要求的差距,给出问题清单及整改建议。
1.2.信息系统安全评估(渗透测试)服务
根据广东省土地整治监测监管系统中全局应用系统评估和渗透测试服务项目需求,重点发现网站应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险,输出渗透测试报告。
t- 重点关注每年系统运行中可能存在的问题,重点渗透系统框架层面。
t- 针对系统操作层面和使用管理权限等相关安全技术要求做出安全评估的检测。以及针对后续系统工作中存在升级迭代的要求做出评估评价。
每年针对重点信息系统进行2次渗透测试和复核。
中标人需提供相关工具并针对采购人信息系统,在获得采购人和系统开发方授权的情况下,模拟黑客可能使用的漏洞发现技术和攻击技术,对目标系统进行渗透测试,渗透测试包括但不限于:(略)
1.3.安全培训服务
针对不同的信息化业务人员、管理人员以及运维人员,提供每年2次的信息安全培训服务,定制培训专题,培训目标和考核要求,输出培训课件、培训效果反馈表等培训成果。
t- 针对信息化专业人员,培训系统项目相关技术,提高技术能力,保障系统项目升级迭代中的同步操作能力。
t- 管理人员培训系统管理能力与使用能力,确保系统项目在日常管理与规划中的定位。保障系统的功能定位与使用性能。
t- 运维人员应当在培训当中提升日常保证保障系统的技术能力,确保系统升级、维护、修复等各项运维工作顺利开展。
安全培训内容包括但不限于:(略)
1.4.应急响应服务
日常提供7*(略)小时的电话支持安全服务,重保时期7*(略)驻场(包括但不限于国家法定节假日、全国“两会”、全球性政治、经济论坛等敏感时期),采购人(包括运维人员、用户等)根据初步判断认为和安全事件相关,通过电话咨询信息安全服务人员,服务人员会根据采购人信息提供电话支持服务或驻场服务,在采购人和信息安全服务人员同时确认需要信息安全专家或安全服务队伍现场支持后,根据安全事件级别进行应急响应,输出应急响应服务报告。
当采购人发生网络安全事件时,中标人应立即提供应急响应服务,协助采购人快速完成网络安全应急处置工作。主要包括:(略)
1.5.安全通报服务
提供三年服务期的信息安全通报服务,及时采集信息安全资讯,通过邮件、通讯工具第一时间通报信息安全管理人员,并跟进处置反馈。
1.6.应急演练服务
结合全局信息系统自身业务、应用、管理等相关实际情况的基础上,制定并完善应急预案和演练方案,包括演练脚本和技术方案,根据演练方案,搭建演练模拟环境,组织人员应急演练。实施多个特定场景,分析安全演练方案的有效性、完整性、可操作性,并开展实施联合应急演练。应急演练服务主要内容包括:(略)
t- 依据信息系统安全管理规定条例,针对广东省智慧自然资源—土地整治与生态修复监测监管((略)-(略)年)项目中安全扫描、渗透测试结果中出现的问题进行针对性演练。
t- 对系统项目中技术人员、管理人员、运维人员等相关项目人员进行预案演练。
t- 根据系统项目后期中存在的安全隐患,信息系统安全性能需要有针对性性能测试演练,确保项目的安全性。
每半年1次。
1.7.安全审计服务
利用上网行为管理系统提供的网络侧访问记录、管理及网络流量统计分析的强大功能,按照定期和不定期两种方式分别对工作人员上网行为进行安全审计,整合网域环境,详细记录内部网络用户的所有网络行为内容与网络流量使用情况,有针对性做好上网行为管控,重点进行安全计划,确保工作期间,工作人员网络行为合规。
服务频率为每周1次。
1.8.安全咨询服务
安全咨询服务建立在对系统特点分析和信息安全标准之上的。通过技术咨询和管理咨询过程,用户能够把握信息安全建设重点,建立起有效的信息安全管理体系。具体内容包括:(略)
服务频率为每年2次。
1.9.安全加固服务
根据信息系统安全评估、风险评估报告的信息安全建议和风险分析结果,开展应用加固和修复,提升全局信息安全保障能力。
t- 主机设备安全策略配置;
t- 主机及中间件系统安全补丁更新;
t- 网络架构的调整内容;
t- 安全设备的策略调整;
t- 数据库安全策略配置;
t- 加固后再次进行漏洞扫描及安全检查,确认安全整改加固效果。
每年2次。
1.(略).服务成果要求
中标人应保证项目文档的完整性,在项目实施各阶段按时完成相关技术文档的编写(重要文档应经采购人审核确认),在项目完成时协助采购人完成项目归档相关工作。
除实际的服务工作,项目还需提交以下文档成果,包括但不限于:
t- 漏洞扫描报告(按实际输出提交);
t- 漏洞扫描复核报告(按实际输出提交);
t- 系统渗透测试报告(按实际输出提交);
t- 系统渗透测试复核报告(按实际输出提交);
t- 安全培训教材(PPT)(按实际输出提交);
t- 安全培训报告(记录)(按实际输出提交);
t- 安全事件处置报告(按实际输出提交);
t- 信息安全咨询采集(按实际输出提交);
t- 信息安全资讯通报(按实际输出提交);
t- 信息安全处置反馈跟进记录(按实际输出提交);
t- 应急演练方案(按实际输出提交);
t- 应急演练报告(按实际输出提交);
t- 上网行为审计周报(按实际输出提交);
t- 系统安全加固报告(按实际输出提交);
t- 技术工作总结
t- 其他相关文档资料