福建省林业局信息安全等级保护测评及网络安全服务采购项目

福建省政府采购合同

编制说明

1、签订合同应遵守《中华人民共和国政府采购法》、《中华人民共和国合同法》。

2、签订合同时，采购人与中标人应结合招标文件第五章规定填列相应内容。招标文件第五章已有规定的，双方均不得对规定进行变更或调整；招标文件第五章未作规定的，双方可通过友好协商进行约定。

甲方：福建省林业信息中心

乙方：厦门小盟科技有限公司

根据招标编号为[3500]FJYS[CS]*******查看详情的福建省林业局信息安全等级保护测评及网络安全服务采购项目项目（以下简称：“本项目”）的招标结果，乙方为中标人。现经甲乙双方友好协商，就以下事项达成一致并签订本合同：

1、下列合同文件是构成本合同不可分割的部分：

1.1合同条款；

1.2招标文件、乙方的投标文件；

1.3其他文件或材料：□无。□无。

2、合同标的

解锁编辑

3、合同总金额

3.1合同总金额为人民币大写：叁拾肆万伍仟陆佰元整（￥345600.0000）。

4、合同标的交付时间、地点和条件

4.1交付时间：合同签订后 ( 120) 天内交货；

4.2交付地点：福建省福州市鼓楼区冶山路10号福建省林业局；

4.3交付条件：符合国家相关规定及招标文件要求，并经采购人验收完毕。。

5、合同标的应符合招标文件、乙方投标文件的规定或约定，具体如下：

（一）网络安全运维及等保咨询服务1.网络安全运维服务 （1）网站漏洞扫描服务为福建省林业局的7个直属单位网站（武夷山国家公园、福建省林业调查规划院、福建省林业科学研究院、福建省林业勘察设计院、福建三明林业学校、福建生态工程职业技术学校、福建省林业科技试验中心）开展2次/年安全漏洞扫描服务，出具《安全漏洞扫描服务报告》。①网站漏洞探测：漏洞扫描及渗透测试服务，并出具书面及电子版《网站漏洞检测报告》。检查网站是否存在安全漏洞，并标明漏洞类型和存在的网页链接。对发现的WEB应用程序漏洞，提出专家级漏洞修复建议。检查方式包括工具扫描和进行远程渗透检查，主要检查内容包括：A.远程溢出攻击测试B.Web脚本及应用测试（SQL注入、XSS等）C.本地权限提升测试D.网络嗅探监听E.其它②系统开放端口检查对各网站系统的服务器的TCP协议或UDP协议端口进行扫描，通过实施端口扫描掌握目标主机开放了哪些服务，根据端口扫描结果，结合业务特点，进行端口服务验证，提出关闭相关非必要服务的建议。③弱密码检查弱密码检查是指使用安全扫描产品/工具对授权的信息系统进行弱口令扫描，并提供可操作的安全建议或临时解决办法。弱密码扫描主要包括如下几个方面：服务器主机系统弱口令检查；数据库系统弱口令检查；中间件弱口令检查；网络设备弱口令检查；安全设备弱口令检查；④安全修复复查在全面检查完成后，根据检查结果提供检查报告，并在检查报告中提出加固建议。加固完成后，将再次进行相关安全问题复查，直到全部问题得到修复。（2）应急处置及演练服务为福建省林业局7个直属单位网站和10个等保测评的应用系统提供网络安全事件应急处置服务（例如但不限于：信息系统被黑客入侵、拒绝服务攻击、大规模的病毒爆发、主机或信息系统发生异常等），控制事态的发展；保护或恢复客户主机、应用系统的正常运行；分析并修补安全漏洞，提取攻击证据，跟踪并追查攻击源，保障系统的安全稳定运行。同时，在服务期内，根据省林业局网络安全情况制定网络安全应急演练方案并配合开展一次网络安全应急演练。（3）重要时期保障服务重要时期主要指全国两会、国庆、数字中国峰会等重大会议或其他重大政治、经济活动期间，加强对福建省林业局7个直属单位网站和10个等保测评系统进行信息系统的监测和防护，配合上级安全检查工作，防范重大网络安全事件的发生，保证福建省林业局各信息系统的安全稳定运行。2.等保咨询服务协助和保障省林业局10个二级信息系统通过信息系统安全等级保护测评。提供定级备案、风险评估、差距分析、安全管理体系整改、安全技术整改等服务，并针对安全保护等保测评要求提供预测评、测评材料收集、测评现场支撑服务。信息系统具体信息如下：序号信息系统名称系统定级网络类型1福建省林业局综合办公系统二级政务信息网2福建省森林资源管理系统二级政务信息网3福建省林业网上行政审批系统（在建）二级政务信息网、互联网4福建省林业信息共享服务平台（在建）二级政务信息网5福建省林业行政执法子系统二级互联网6福建省古树名木管理信息系统二级互联网7福建省林木种质资源普查信息系统二级互联网8福建省自然保护区视频监控系统二级互联网9福建省林业局绩效考核信息系统及后勤保障小程序（在建）二级政务信息网、互联网10福建省营造林信息管理系统（在建）二级政务信息网说明：以上信息系统均运行在福建省电子政务云平台。 信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。具体内容如下：（1）资产分析对要进行安全等级保护测评的系统进行资产信息调查、网络结构调查、安全系统调查等，形成最终的资产报告。①资产调查：调查和统计服务范围内的信息资产，其中必须包括但不限于物理环境、网络设备、主机、应用软件、业务系统、数据、人员、标准流程等，明确其现有状况、配置情况和管理情况，并对所有信息资产按照一定标准进行资产赋值，绘制各业务系统的数据流图。正式开展调查时调查内容须经过单位审核后方可实施。②网络调查：包括对所有网络的拓扑结构进行调查，并按统一标准绘制成图。③安全系统调查：包括但不限于明确现有安全设备(包括防火墙、防病毒系统、入侵检测系统等)的部署情况和使用情况，编制安全区域图。提交成果：《信息系统资产调查表》。（2）信息系统定级评估参照国家和我省对信息系统安全等级保护定级的有关要求，对信息系统开展摸底调查工作，掌握信息系统的基本情况，了解信息系统（包括信息网络）的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息，撰写信息系统定级报告，明确信息系统的边界和安全保护等级，说明定级的方法和理由。编制定级报告，组织专家进行定级评审。提交成果：《信息系统安全等级保护定级报告》。（3）保护等级备案根据《信息安全等级保护管理办法》，填报《信息系统安全等级保护备案表》，到公安机关完成备案工作。提交成果：《信息系统安全等级保护备案表》、《信息系统安全等级保护备案证明》。（4）风险评估①根据《信息系统安全等级保护定级报告》和信息系统安全等级保护要求，采用的技术手段、人工方法和使用的工具，明确评估的具体内容，制订《安全评估方案》，《安全评估现场计划》，《安全评估作业指导书》，方案和作业指导书中必须明确采用的技术手段、人工方法和使用的工具，明确评估的具体内容。方案和作业指导书须经过学校批准后方可实施。②根据信息系统安全等级保护基本要求，开展物理环境、网络安全、服务器安全、应用系统安全现状评估。③通过现场评估、脆弱性评估以及渗透测试等技术手段进行信息系统安全风险评估分析，编制风险评估报告。进行网络入侵检测，在入侵预警日志中能够明确定位入侵事件类别等。对信息系统进行安全风险评估，评估系统的漏洞与脆弱性，采用的服务工具应提供网站风险列表和漏洞信息等功能。进行渗透测试，采用工具扫描+手工验证的方式，模拟黑客攻击的方法进行非破坏性质的攻击性测试。渗透测试的内容包括但不限于以下几个方面：a.伪造跨站请求b.跨站脚本c.注入攻击测试：SQL注入、指令注入d.恶意文件执行：文件包含、上传漏洞e.直接对象不安全：参数分析、越权访问f.信息泄漏或错误处理不当：应用错误消息、目录遍历g.加密存储不安全：HTML中的敏感数据、敏感信息存储、鉴别信息加密传输h.认证和会话管理不完善：会话令牌的质量、鉴别旁路、缺省帐号、口令重置、鉴别失败锁定功能、空口令i.通信不安全j.URL强力浏览k.应用层DOSl.工具扫描测试为避免由于知识产权引起的法律纠纷，检测过程所采用服务工具如漏洞扫描工具或远程安全评估系统、安全配置核查工具和web漏洞扫描工具应是服务厂商自主开发，并提供著作权证书作为证明材料。提交成果：《安全评估方案》、《信息系统漏洞扫描报告》、《信息系统配置检查报告》、《信息系统渗透报告》、《信息系统安全等级保护风险分析报告》。（5）差距分析在安全评估和信息系统定级的基础上，根据《信息系统安全保护等级基本要求》将定级信息系统安全等级保护的各项基本要求与信息安全现状进行比较分析，从管理和技术两个层面找出存在的问题，进行分析提出整改方案，组织进行整改。①进行安全差距分析，从物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理深入识别现状与指标库之间的差距情况。②进行网络安全域分析，将运维管理、开发测试、办公网络以及生产区域进行逻辑划分和访问控制策略。③进行安全管理制度分析，从信息安全方针、管理体系、安全管理机构的设立、人员管理、重要区域访问控制、信息系统建设管理、产品采购、系统运维管理、恶意代码、备份恢复策略、应急响应等深入识别安全管理制度与指标库的差距情况。④安全建设规划：根据上述风险评估结果，结合信息系统安全等级保护要求规划安全整改方案。a)确立保护对象b)保护计算环境c)保护区域边界d)保护通信网络e)建设安全管理体系。提交成果：《信息安全规划方案》、《信息安全加固方案》、《信息系统安全等级保护差距分析报告》。（6）安全整改与加固等级保护安全加固服务包括福建省林业局10个信息系统相关的网络设备安全防护加固，服务器主机安全加固，数据库系统安全加固，中间件系统安全加固，应用服务安全加固工作。安全加固服务能够有效的加强等级保护的网络安全设备防护、主机安全的大部分控制点以及应用安全漏洞修复方面起到重要作用。提交成果：《信息系统安全整改和加固情况报告》。(7)管理制度辅助建设安全管理制度建设，主要包括但不限于信息安全工作职责，信息安全监督、检查机制；辅助用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度。管理制度包括但不限于：《信息系统安全策略管理》、《安全制度制订流程规定》、《操作系统维护规程》、《数据库系统维护规程》、《机房安全管理员岗位职责》、《信息系统安全培训管理》、《安全管理日常维护细则》、《安全审计管理制度》、《第三方人员管理制度》、《防病毒紧急响应流程》、《机房监控与管理流程》、《机房运行管理规范》、《服务器运维管理规范》、《软件开发环境使用管理要求》、《系统交付管理规范》、《资产安全管理规范》、《安全事件报告和处置管理规范》、《信息系统安全应急处理体系》、《人员安全管理规范》、《信息系统安全运维管理规范》等。(8)复查和预测评各信息系统整改完毕后，进行一次完整的等级保护差距复查服务，按照等级保护基本要求和等级保护测评准则实施自我预测评工作，并根据测评结果弥补缺漏，为申请测评做准备。①派遣专业工程师针对加固前后的系统脆弱性进行复查，复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。②复查范围包括：1）技术层面：物理安全、网络安全、主机安全、应用安全、数据安全；2）管理层面：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。③复查结束后，形成加固前后对比复查报告。(9)等保测评辅助在服务期内，协助用户完成各信息系统等级保护测评申请，填写《信息系统等级保护测评申请书》。协助测评方完成各信息系统数据采集、安全整改等测评相关工作，直至各信息系统通过等级测评，提交《信息系统等级保护测评申请书》。（二）信息系统等保测评服务委托国家网络安全等级保护工作协调小组办公室推荐的网络安全等级保护测评机构对福建省林业局10个二级信息系统进行安全等级测评，要求通过测评并取得《信息系统安全等级测评报告》。（含测评机构收取的测评费用）。

6、验收

6.1验收应按照招标文件、乙方投标文件的规定或约定进行，具体如下：

按磋商文件要求完成服务交付，经双方确认后在验收单上签字盖章确认。

6.2本项目是否邀请其他投标人参与验收：

不邀请。

7、合同款项的支付应按照招标文件的规定进行，具体如下：

解锁编辑

中国采 招网.（bidcenter.com.cn）

8、履约保证金

无。

9、合同有效期

合同有效期自合同签署之日起一年，如果一年内未完成磋商文件约定的所有信息系统等保测评服务，则延期至磋商文件约定的所有信息系统等保测评服务完成。。

10、违约责任

（1）因乙方原因造成采购合同无法按时签订，视为乙方违约，乙方违约对甲方造成的损失的，需另行支付相应的赔偿。（2）在签定采购合同之后，乙方要求解除合同的，视为乙方违约，甲方有权没收其履约保证金，如履约保证金不能弥补乙方违约对甲方造成的损失的，乙方还需另行支付相应的赔偿。（3）乙方所提供的服务不符合磋商文件或合同要求的，甲方有权拒绝其服务；同时，乙方应向甲方偿付合同总金额30%的违约金，且涉及到的部分合同条款终止履行。（4）乙方不能交付服务的，乙方应向甲方偿付合同总金额30%的违约金，且涉及到的部分合同条款终止履行。（5）因甲方原因造成采购合同无法按时签订，视为甲方违约，甲方违约对乙方造成的损失的，需另行支付相应的赔偿。（6）甲方应按本合同约定的时间付款，除非本合同另行约定，甲方逾期付款必须每日按所涉金额的万分之五的标准向乙方支付违约金。（7）因甲方原因造成服务延迟的，项目服务交付顺延，甲方无需偿付违约金和赔偿金。因特殊原因造成无法交付服务的，由双方协商调整服务内容和款项支付方式。（8）在明确违约责任后，违约方应在接到书面通知书起7天内支付违约金、赔偿金等。。

11、知识产权

11.1乙方提供的采购标的应符合国家知识产权法律、法规的规定且非假冒伪劣品；乙方还应保证甲方不受到第三方关于侵犯知识产权及专利权、商标权或工业设计权等知识产权方面的指控，任何第三方如果提出此方面指控均与甲方无关，乙方应与第三方交涉，并承担可能发生的一切法律责任、费用和后果；若甲方因此而遭致损失，则乙方应赔偿该损失。

11.2若乙方提供的采购标的不符合国家知识产权法律、法规的规定或被有关主管机关认定为假冒伪劣品，则乙方中标资格将被取消；甲方还将按照有关法律、法规和规章的规定进行处理，具体如下：若有违约，按本合同约定追究其违约责任。。

12、解决争议的方法

12.1甲、乙双方协商解决。

12.2若协商解决不成，则通过下列途径之一解决：

提交仲裁委员会仲裁，具体如下：。
向人民法院提起诉讼，具体如下：向甲方所在地的人民法院提起诉讼。。

13、不可抗力

13.1因不可抗力造成违约的，遭受不可抗力一方应及时向对方通报不能履行或不能完全履行的理由，并在随后取得有关主管机关证明后的15日内向另一方提供不可抗力发生及持续期间的充分证据。基于以上行为，允许遭受不可抗力一方延期履行、部分履行或不履行合同，并根据情况可部分或全部免于承担违约责任。

13.2本合同中的不可抗力指不能预见、不能避免、不能克服的客观情况，包括但不限于：自然灾害如地震、台风、洪水、火灾及政府行为、法律规定或其适用的变化或其他任何无法预见、避免或控制的事件。

14、合同条款

以磋商文件第五章内容为准.

15、其他约定

15.1合同文件与本合同具有同等法律效力。

15.2本合同未尽事宜，双方可另行补充。

15.3本合同自签订之日起生效。

15.4本合同纸质文件一式5份。合同电子文本通过政府采购网上公开信息系统自动备案。合同纸质文本需与备案电子文本一致，以备案电子文本为准，具有同等效力。

15.5其他：□无。□无。

签订地点：福建省