网站安全即服务投标标书模板

2016年互联网网站信息安全专项整治项目投标文件技术分册XXXXXX2016年10月目录1项目需求理解...........................................................................................................................32总体思路.................................................................................................................................112.1安全理念.....................................................................................................................112.2框架结构.....................................................................................................................112.3依托技术手段.............................................................................................................122.3.1SECaaS云平台...................................................................................................122.3.2安全云应急响应中心.........................................................................................173方案建议书.............................................................................................................................183.1项目概述.....................................................................................................................183.1.1项目服务背景.....................................................................................................183.1.2项目服务范围和内容.........................................................................................183.2项目实施方案.............................................................................................................193.2.1网站安全建设管控研究与技术支持服务.............................................................193.2.2网站安全督查技术支持.........................................................................................213.2.3网站安全巡查技术支持.........................................................................................283.2.4网站安全监测.........................................................................................................293.2.5培训服务.............................................................................................................333.3项目实施计划.............................................................................................................333.3.1项目服务期限.........................................................................................................333.3.2项目关键路径和里程碑.........................................................................................333.4项目管理和人员保障.................................................................................................343.4.1人员管理和分工.....................................................................................................343.4.2项目人员简介.........................................................................................................353.5项目实施管理与控制.................................................................................................353.5.1质量管理.................................................................................................................353.5.2内部评价与改进.....................................................................................................373.5.3变更控制.................................................................................................................381项目需求理解通过对招标文件和技术规范书的深入分析，本技术应答文件分别对项目目标、范围及其他相关要求进行逐条应答如下：一、项目目标要求开展互联网网站信息安全专项整治工作，旨在为了提高互联网网站的安全性，主要实现目标有：研究互联网网站信息安全建设管控规范，形成《互联网网站安全建设与管控要求》，使得互联网网站安全督查有据可依；提供技术支持，协助开展互联网网站日常信息安全管控工作；通过互联网网站安全检测，协助完成对公司各单位互联网网站的安全检查工作，监督、检查各单位互联网网站安全防护与整改情况；通过互联网网站扫描，协助完成对公司各单位互联网网站的安全巡查工作，监督、检查各单位互联网网站排查情况。实时监测互联网网站，及时发现异常情况，快速响应，控制异常行为可能造成的不良影响，确保设备、系统安全稳定运行。理解和应答：对上述要求完全理解并满足，我公司将配置专业的安全咨询专家和安全服务工程师，建立专职的项目管理和协调团队，分别对管控规范编制、技术支撑服务、安全检测服务、安全巡检服务、监测和应急响应服务建立相应的规范流程，为用户单位提供专业、快速和高效的服务。二、主要工作内容和范围1.互联网网站安全建设管控研究与技术支持服务开展互联网网站安全建设管控规范研究，形成《互联网网站安全建设与管控要求》，明确互联网网站需求分析、设计、开发、实施、运维、退运等全生命周期的信息安全管控要求，为互联网网站安全管控工作提供科学依据。包括但不限于：1、需求分析阶段信息安全管控要求；2、概要设计阶段信息安全管控要求；3、详细设计阶段信息安全管控要求；4、开发阶段信息安全管控要求；5、实施阶段信息安全管控要求；6、运维阶段信息安全管控要求；7、退运阶段信息安全管控要求。提供技术支持，协助开展互联网网站日常信息安全管控工作。包括如下：信息安全方案评审协助。协助对互联网网站安全方案进行评估，帮助公司了解安全方案在实施后系统安全是否能够实现最大预期值。互联网网站安全管控工作技术支持。根据公司的实际需求，参考国内外安全标准，为公司提供日常安全技术支持，协助进行互联网网站信息安全事件处理、信息安全督查、信息安全检查等工作。理解和应答：对上述要求完全理解并满足，我公司将配置专业的安全咨询专家和安全服务工程师，对用户单位现有的网站系统管理模式、技术保障现状和运维管理制度进行梳理，参照国内外主流的标准、规范和指南要求，编制《互联网网站安全建设与管控要求》。同时，根据技术规范书的要求，配置网站安全攻防领域的资深专家，提供及时的方案评审协助和应急响应服务；依赖我公司专职的安全服务团队和标准化的服务支撑响应流程，为用户单位提供全方位的日常安全技术支持。2.互联网网站安全督查技术支持定期对公司互联网进行安全检测，完成互联网网站安全督查工作，监督、检查互联网网站安全防护与整改情况，督促互联网网站安全自查与整改。要求安全检测不少于12次，覆盖单位内所有互联网网站系统，综合利用漏洞扫描工具、配置核查工具、人工渗透测试等方式，对互联网网站及相关信息基础设施进行非破坏性质的模拟入侵者攻击的测试，检查各单位互联网网站安全防护情况，形成检测报告。理解和应答：对上述要求完全理解并满足，通过我公司专有的“网站安全即服务”平台，可以实现远程的自动化漏洞扫描、脆弱性分析和安全检测服务，提供周期性检测、按需检测、条件触发检测等多种不同方式的服务，并在云端安全专家确认问题后向用户推送检测报告；此外，结合专业的渗透测试工程师人工检测分析，可以对网站系统的安全性进行全方位的检测，出具专业的渗透测试报告，帮助用户提升网站安全防护能力。3.3.1.3互联网网站安全巡查技术支持对公司互联网网站进行全面排查，完成全网互联网网站安全巡查，监督、检查各单位互联网网站排查情况，督促各单位自查与关停“无人管、无人防、无人知”的“三无”网站。理解和应答：对上述要求完全理解并满足，通过专项的线下排查工作，配合用户单位完成网站自查和对“三无”网站的关停，同事，结合我公司专有的在线“网站安全即服务”平台，可以实现自动化的网站资产发现、可用性监测、安全防护能力评估等服务，可大幅降低线下排查的工作压力。4.互联网网站安全监测对公司范围内的对外服务信息系统进行监测，及时准确发现异常情况，并控制异常行为可能造成的不良影响，确保设备、系统安全稳定运