服务目标1.2服务范围1.3服务内容及技术要求【模板】

附：广州友谊集团网站云安全防护服务要求

第一章 服务概况

1.1 服务目标

为认真贯彻《党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》（公信安[2015]2562号）、广东省《关于加强重点网站安全防护工作的通知》（粤等保办[2015]76号）、关于加强全国“两会”期间网络安全保护工作的通知（粤等保办[2017]6号）文件的精神要求，在充分考虑网络安全现状和基于最新信全理论的基础上，通过应用云安全防护技术手段，提升网站系统自身的安全防范能力，避免出现危害国家安全、破坏社会公共秩序的政治言论或标识内容的信息安全事件的发生。

1.2 服务范围

序号 1 2 3 4 5 6 名称 广州友谊集团官方网站 广州友谊集团网上商城 广州友谊集团业务中间件 线上报表系统 手机oa系统 专柜收款系统 域名 ****** mall.cgzfs.com Wxapi.cgzfs.com ****** appoa.cgzfs.com yms.cgzfs.com 1.3 服务内容及技术要求

为我单位对互联网提供服务的六个网站系统，提供为期一年的云安全防护服务。网站系统接入服务单位提供的云安全防护服务平台时，无需对网站的网络拓扑做任何改变，只需将网站系统域名指向云安全防护服务平台即可。 具体安全服务内容包括：

（一）云安全防护：拦截及阻断针对被防护网站发起的自动化工具扫描、上传访问webshell、文件注入、文件包含、恶意扫描、代码执行、CC攻击、SQL注入、XSS跨站、特殊攻击、远程命令、恶意采集等攻击。

（二）云访问控制：包括网站后台访问地址的管理、网站图片及压缩文件防盗链、拦截黑白名单设置等。

（三）云安全防护服务技术要求：

指标 指标项 防护带宽 云防护资源 ▲防护节点 智能域名解析 ▲应用防火墙 云安全防护 ▲智能攻击防御 ▲Webshell防护 ▲后台锁 ▲防盗链 指标要求 云安全防护服务平台能抵抗大流量的攻击，总带宽不低于500G。 分布在全国范围的自有防护节点集群超过30个IP地址C段。提供产品界面IP地址C段说明截图并加盖公章 能够提供智能DNS域名解析，通过DNS转向进行攻击防护。 能够防护SQL注入、命令注入、跨站脚本、跨站请求伪造、信息探测等攻击。提供用户界面配置截图并加盖公章 能够精准识多种自动化扫描和攻击软件，并阻断其所有请求，减少90%以上的恶意攻击。提供用户界面配置截图并加盖公章 能够防止黑客上传、访问WebShell。提供用户界面配置截图并加盖公章 能够禁止非授权IP访问网站后台管理地址或重要页面。提供用户界面配置截图并加盖公章 能够保护网站图片、压缩包等资源文件不被其它站点盗用。提供用户界面配置截图并加盖公章 能够设置不进行防护的IP地址（IP白名单）、不允许访问的▲拦截黑白名单 IP地址（IP黑名单）和不经过防护的URL地址（URL白名单）。提供用户界面配置截图并加盖公章 提供网站访问情况信息展示，包括请求数、总流量、遭受攻击云防护报表及展示 次数等，并能按时间段统计的网站访问量。 网站安全报表 查看网站安全状况，包括各种攻击发生次数，攻击IP、来源（国家）等；可显示对网站的安全评级，如安全、危险等等，可显示历史攻击次数等。 云访问控制 可显示攻击者的攻击情况，包括时间、攻击URL，攻击者IP及归属地，攻击类型等。 ▲实时防御动态展示 能够提供实时攻击动态视图，在视图中实时显示：攻击来源，攻击来XX市，攻击来源IP，攻击类型等。提供产品展示截图并加盖公章

第二章 服务工作要求

2.1 服务总体原则

1) 公平原则：服务商应遵循“面向应用、保证质量、客观公正、诚信守诺”的原则开展安全服务工作。

2) 标准性原则：服务商应依据相关国家标准、行业标准开展服务工作。本服务要求所使用的标准和规范如与实施方所执行的标准不一致时，按较高标准执行。

3) 优质服务原则：招标文件提出的服务要求为最低限度的要求，服务商应保证提供符合本服务要求和有关标准的优质服务。

4) 保密原则：对服务过程中接触到的各种信息，不得泄漏给任何单位和个人，未经允许不得利用这些信息从事与服务无关的活动。

2.2 服务要求

1、提供云安全防护服务平台的日常维护、功能优化与升级。

2、提供7*24小时现场技术支持及现场应急响应服务（如：技术咨询、故障诊断与排查、策略优化、应用兼容测试、遇重大安全事故组织专家会诊、现场

响应等），建立专属QQ、微信技术交流群。

3、根据需要，提供重大活动（事件）期间的应急现场服务。

4、云安全防护的网站系统出现服务异常、应用故障、服务中断等问题情况，需10分钟内响应，1小时内到达用户现场排查问题。

2.4 服务成果

人工制作月度云安全防护服务分析报告，及年度云安全防护服务分析报告。

2.5 服务周期

2024年12月01日-2024年11月30日。

第三章 项目组织及人员要求

1. 为了保证项目服务工作的顺利开展，项目服务实施团队由采购人、中标方

共同组成，整个项目团队应该积极合作、互相支持，达成双赢。中标方必须配置完整的项目团队成员。

2. 中标方必须安排信息安全从业经验丰富的工程师负责本项目服务的交付工

作。 3. 其他约定

（1） 因不可抗力因素导致服务人员发生变更的，中标方必须在2个工作日

内书面通知采购人，替代人员必须具有与原人员相当或更高的资质和能力。

（2） 出现下列情况之一的，中标方必须在3个工作日内书面通知采购人：

? ?

服务人员辞职或解聘。

其他原因已不适合在本项目做服务工作的。

（3） 采购人有权书面要求中标方撤换任何不称职的服务人员，更换人员必

须具有与项目工作需求相当或更高的资质和能力。