网络安全监测服务合同范本

杭州市公安局网络安全监测服务项目合同书项 目 名 称：杭州市公安局网络安全监测服务项目甲方（委托方）： 杭州市公安局 乙方（服务方）： 杭州安恒信息技术股份有限公司 签订地点：浙江省杭州 市 1定义经公开招标，杭州市公安局（以下简称甲方）与杭州安恒信息技术股份有限公司（以下简称乙方）就杭州市公安局网络安全监测服务项目达成一致，签订本合同，双方共同信守。2. 实施地点：杭州市婺江路169号杭州市公安局。3. 付款方式：本次项目合同总价为人民币伍拾捌万伍仟元整（￥585,000元），采用分期付款方式：合同签订后3个工作日内，乙方向甲方交纳5%的履约保证金后,甲方支付合同总价的40%，服务至2019年9月中旬，乙方服务无问题，甲方支付至50万元。合同履行完毕，凭甲乙双方签字盖章的验收报告，待2020年财政预算资金到位后，甲方结算合同总价。4、服务内容序号服务名称服务内容服务对象备注1杭州市网络安全问题、事件发现与处理服务配套网络安全监测平台，利用专业自动化的网站安全监测工具和分布式计算网络，搜集杭州市2500个网站的基础指纹数据，信息系统基础数据，并且同步到杭州市关键信息基础设施安全防护管理平台进行日常通报预警工作，快速实现批量网站、网络主机的安全扫描监测及分析任务，及时快速发现与定位网络安全漏洞问题的存在与网络安全事件的发生，并形成报告，对于杭州市级单位需提供具体风险的安全验证服务；报告内容包括详细隐患内容描述、修复方案，及提供安全加固技术建议；并利用平台协助提供通报、事件处置等服务；并提供724小时技术支持；对于重大网络安全事件及突发案（事）件应达到5分钟响应，1小时到现场，并提供包括事件调查，侦查追踪等全过程服务。甲方指定的2500个网站为主及其它辖区内网站，每周一次。2重点网站安全威胁预警专项服务通过对国内外最新网络安全威胁情报的实时监控，能第一时间获取最新安全威胁，确认最新安全威胁尤其是0day，所利用的安全漏洞及影响的系统类型以及恶意攻击对象，根据信息系统基础数据服务中所建立的信息系统资产数据库与指纹库进行精确比对，对最新网络安全威胁可能对杭州市2000个网重点网站可能造成的影响进行预判，形成最新网络安全态势，根据其影响范围、危害确定警报等级，提供相应威胁分析，为网络安全保障工作的动态调整提供决策支持。每年提供12次以上杭州地区专题报告，期间提供724小时响应。相关报告通过关键信息基础设施安全防护管理平台通报给相关单位，并且保存到平台中。每年至少提供4次相应的网络安全培训服务。每年提供12次以上专项服务并提供报告3网络安全检查技术支撑提供网络安全检查技术支撑，提供技术员到现场支撑，不少于50人次。4网络安全资讯通报推送服务网络安全资讯通报推送服务，是建设信息系统安全监测预警的重要部分。该服务需实现将最新的安全资讯，为用户每月提供，内容涵盖本月总体安全状况、最新病毒、漏洞以及影响较大的安全事件。一年12期APP实时自动推送5重大安保支撑服务遇到重大网络安保活动期间，能够提供不少与50人次安全人员提供现场网络安保活动支持与应急响应；并且结合关键信息基础设施安全防护管理平台指挥调度保障重大活动安保，另外活动期间可根据甲方要求提供一定数量的网站云端安全防护。重大安保期间4.1、服务要求4.1.1总体技术服务要求1、运行环境专业自动化的网站安全监测工具能够运行在主流的Windows及Linux操作系统平台上，如Windows 7、Windows 10、Windows Server2008等及其各版本（包括32位和64位版本）。2、支持的应用类型支持主流WEB开发语言，主流操作系统，主流软硬件设备及物连网设备，支持ASP、JSP、PHP、HTML等技术开发的WEB系统，支持扫描的WEB系统可以为运行在各类WEB服务器上的系统，例如IIS、WebLogic、WebSphere、Apache、Tomcat等。3、功能要求能够发现各种WEB系统的页面，针对各种主要的WEB漏洞进行扫描及发现是否存在漏洞并能进行验证；针对发现的漏洞提出改进建议及各类安全报告。4、性能要求扫描器须能够较快地完成WEB系统的漏洞扫描，并且在扫描的过程中不影响正常的用户访问，对WEB服务器资源占用较小，不对WEB服务器性能产生明显影响。单个网站的扫描时间不超过10分钟。5、安全性要求要求数据高强度加密存储、https协议传输，保证数据和系统的安全性。4.1.2漏洞发现能力要求1、SQL注入漏洞检测检测网页中存在的可以操控并能伪造数据的隐藏字段；检测系统是否有隐藏字段能被伪造操控。2、Cookie注入漏洞检测检测网页中存在的基于Cookie方式提交的至少包括字符、数字、搜索等的注入漏洞，同时应支持各种注入语句的变形及其编码形式。扫描器应能绕过基本的SQL注入过滤检测机制。3、跨站攻击漏洞检测检测网页中存在的基于GET、POST方式的跨站攻击漏洞，并能检测其各种变种形式及编码形式。扫描器应能扫描反射型XSS漏洞、保存型XSS漏洞、mhtml协议XSS等攻击漏洞。4、跨站点请求伪造检测描器支持对CSRF漏洞的检测，WEB系统需要预置多个验证用户身份的动态页面，页面需要用户浏览器提交cookie和使用session来验证用户身份，没有令牌验证环节，也不需要用户再输入身份信息来进行验证。5、目录遍历漏洞检测能够检测常见的由于WEB Server的管理配置不当而存在的网页目录遍历漏洞。包括：检测未经防御的目录遍历漏洞、检测防御不规范的目录遍历漏洞。6、网站信息漏洞检测检测系统错误消息造成的网站信息泄露；检测由于服务器配置问题引起的系统文件或者配置文件暴露在互联网上而造成的网站信息泄露。7、管理后台泄露检测检测各种常见的WEB Server的管理后台是否对外开放，如TOMCAT、WebLogic等。8、认证方式不健壮漏洞检测检测一些常见的认证方式不健壮漏洞，包括但不限于各种登录绕过、常见的帐号、弱口令等。9、隐藏字段操控漏洞检测检测网页中存在的可以操控并能伪造数据的隐藏字段，检测系统是否有隐藏字段能被伪造操控。4.1.3安全扫描报告要求1、主要内容扫描到的漏洞数据包含以下内容：1） URL；2） 漏洞名称；3） 漏洞描述；4） 严重性级别；5） 漏洞类型；6） 完整的改进建议，如代码修订方法、外置安全设备等。7） 自动同步到杭州市关键信息基础设施平台2、横向比较基于各个网站系统分别提供Excel报表和Word、PDF格式的安全报告；对当次扫描列表中所有网站的报告合成汇总报告、并进行横向比较等。3、纵向比较根据针对同一网站的多次扫描的报告合成汇总报告、并进行纵向比较。 4、 交付结果1） 每周提交网站安全扫描报告；2） 每周提交重点流量检测报告；3） 每年提供12次以上专项服务并提供报告4）重大网络安全事件（风险）期间，提供攻击手段、技术水准、行为模式、组织背景和活动情报等，进行同样具备针对性的专题调查、分析报告，协助甲方组织的通报预警及安全防御等措施。5） 项目服务期间内相关技术咨询。6） 重大网络安全事件及突发案（事）件现场勘验调查报告。7） 以上相关报告全部同步到杭州市关键信息基础设施安全防护管理平台，并且协助开展统一的通报预警及处置工作。4.1.4电话技术支持服务项目经理：冯旭杭，联系电话乙方在服务期内提供（7*24）服务，对重要情况在1小时内响应，3小时以内提供甲方所需信息。项目要求乙方紧密结合甲方实际业务需求进行订制开发。项目服务过程中，在甲方须有1名7X24小时驻场工程师1名，对甲方需求要在1个小时内做出响应。应急响应服务期内（重大活动安保期间），需按照甲方的要求，提供10名以上7X24小时驻场工程师，并在半小时内做出响应。4.1.5培训服务要求乙方向甲方提供专门的课程培训，包括理论教授，问题讨论和上机操作，以便甲方能够迅速掌握相应的培训内容。提供详细的培训计划，包括课程的内容、资料讲义、授课方式、课程目标。所有培训所涉及的所有费用由乙方出资，不得另行向甲方收取。4.1.6服务承诺乙方承诺，本项目执行期间，会对项目质量进行跟踪服务，本着技术精益求精的精神，为甲方提供一流的技术和一流的服务。1. 所有进场服务人员须服从甲方指定机构的领导和管理，包括制定工作制度、监督工作制度的执行质量、分配和调整工作资源等。2. 提供7天24小时技术服务与支持电话。下班或节假日时间若有工作计划，服从甲方安排，如有休假安排，提供资质相当的人员及时补充。3. 按照安全服务工作开展要求和实际情况，制定安全服务考核办法，对安全服务质量进行考核，按季度或半年度进行通报。4. 明确乙方的安全服务相关责任，对不良服务质量、未按照甲方要求完成相关安全服务以及因乙方原因导致甲方被相关部门通报进而导致甲方名誉受损等情况，甲方有权对乙方进行处罚。5. 提供系统工程试运行间服务质量保证及一年的售后服务保证；6. 在项目执行期间，乙方会向甲方提供每周七天、每天二十四小时的技术支持响应服务，服务类型包括远程技术支持、现场服务、定期巡检等，服务时间从合同签订之日起到系统终验结束；7. 在项目执行期间，对于项目范围内发生的安全事件，一般事件响应期间为8小时以内，紧急事件的响应时间为2小时以内；在项目执行期间，乙方接到故障报告后，在1小时内提供解决方法，若未能排除故障，乙方保证在4小时内派出资深工程师。5. 履行本合同的过程中，确因在现有水平和条件下难以克服的技术困难，导致部分或全部失败所造成的损失，风险责任由乙方全部承担。6. 乙方承诺按照采购文件要求和投标文件承诺提供各项服务。7. 在本合同履行过程中发生争议，双方应当协商解决。双方不愿协商、调解解决或者协商、调解不成的，双方商定，向甲方所在地人民法院提起诉讼。8. 乙方完成的服务内容须通过甲方的验收，否则甲方有权终止合同，没收全部履约保证金并索回全部支付的服务费用，赔偿延误的损失。合同期内，乙方未按承诺提供服务的，每发生1起扣除履约保证金2000元。累计发生3起以上，甲方有权没收全部履约保证金，并就由此造成的损失向乙方提出索赔。乙方应在接到扣除履约保证金通知后一周内补足扣除差额，保证项目服务期间履约保证金的完整，且违约金不受履约保证金金额的约束（给甲方造成经济损失的，另行承担赔偿责任，乙方根据甲方通知，将赔偿款交付甲方指定账户）。9. 乙方因其技术能力、过错或疏忽所造成的甲方损失的，甲方有权没收履约保证金，由乙方承担赔偿责任，赔偿额不受本合同总金额的约束。10.乙方应在合同签订后3个工作日内向甲方缴纳合同总价5%的履约保证金。网络安全监测服务期满，网络运行正常，支持良好，无质量和服务问题，原额归还履约保证金。11. 网络安全监测服务期限：2019年1月1日至2019年12月31日。合同期满并通过验收，绩效评价好，甲方对乙方服务满意的，在年度预算保障的基础上，报经甲方主管部门及财政机关批准，可按原合同内容进行续签，且续签最多不超过2次。如不续签合同履行完毕，甲方可要求乙方提供1-2个月服务的，费用按2020年合同规定结算。12乙方对在项目服务期间所获得的甲方的情报和资料有保密义务，泄漏秘密应承担的责任。不论本合同是否变更、解除、终止，本条款均有效。13. 本合同任何一方给另一方的通知，都应以书面或电传/传真/电报的形式发送，而另一方应以书面形式确认并发送到对方明确的地址。14. 适用法律：本合同应按照中华人民共和国的法律进行解释。15. 不可抗力：如果双方中任何一方由于战争、严重火灾、水灾、台风和地震以及其它经双方同意属于不可抗力的事故，致使合同履行受阻时，履行合同的期限应予延长，延长的期限应相当于事故所影响的时间。16. 受事故影响的一方应在不可抗力的事故发生后尽快以书面形式通知另一方，并在事故发生后14天内，将有关部门出具的证明文件送给另一方。如果不可抗力的持续影响超过10周，被影响的一方应通知另一方解决问题。如果另一方未能及时作出回应或在收到前者通知后1个月内双方未能达成一致意见，被应影响的一方有权取消部分或全部的合同。17. 转让和分包：未经甲方事先书面同意，乙方不得部分转让或全部转让其应履行的合同义务。18. 采购文件（编号：ZJWS2019-HZGAJ01）、投标文件及评标过程中形成的文字资料、询标纪要均作为本合同的组成部分，具有同等效力。19. 本合同经甲乙双方法定代表人或其委托人签字盖章，由乙方向甲方缴纳合同总额 5% 履约保证金，并在财政指定媒体上公示无异议后生效。20.本合同一式七份，甲方执五份、乙方执二份。21. 适用法律：本合同应按照中华人民共和国的法律进行解释。甲方（盖章）：杭州市公安局 乙方（盖章）：杭州安恒信息技术股份有限公司 法定代表人或受委托人（签字）： 法定代表人或受委托人（签字）： 联系人：林旭 联系人：吴小珍地址：婺江路169号 地址：杭州市滨江区联慧街188号电话和传真电话传真户银行： 开户银行：工商银行杭州钱江支行帐号： 帐号：1202 0214 1990 0395 822 签 约 地： 签约日期： 年 月 日附1：合同总价清单序号名称数量单价（元）总价（元）备注1杭州市网络安全问题、事件发现与处理服务1年235000235000甲方指定的2500个网站为主及其它辖区内网站，每周一次。2重点网站安全威胁预警专项服务1年4000040000每年提供12次以上专项服务并提供报告3网络安全检查技术支撑1年125000125000提供网络安全检查技术支撑，提供技术员到现场支撑，不少于50人次。4网络安全资讯通报推送服务1年50005000APP实时自动推送5重大安保支撑服务1年180000180000重大安保期间合同总价（小写）￥585000.00元合同总价（大写）人民币伍拾捌万伍仟元整附2：服务小组成员信息序号类别姓名性别年龄学历专业职称本项目中的职责响应时间到达现场时间1.总协调人冯旭杭男37硕士项目管理高级项目经理项目