重庆市商务信息和数据中心2024年网络安全服务采购公告
全部类型重庆2024年09月19日
点击登录查看2024年网络安全服务采购公告
一、项目内容
招标项目名称 | 最高限价 (万元) | 成交供应商数量(名) | 服务内容 | 服务期限 |
点击登录查看2024年网络安全服务项目 | 35 | 1 | 参照服务要求及内容 | 服务期一年 |
二、服务内容及要求
(一)服务内容要求
序号 | 服务项 | 服务内容 | 服务频率 | 交付成果 |
1 | 网络安全资产普查服务 | 对采购人现有及服务期内新增的设备、业务系统、使用部门、责任人等相关信息整合在一个完整的资料库中,做到整个信息化环境中的资产情况做到心中有底,有账可查。 1)借助工具对采购人资产进行全面发现和深度识别。 2)探测应用系统(网站)资产,包括网站子域名、url、web框架、中间件、程序语言等,可自定义添加资产所有人、联系方式,形成应用资产台账,并实时更新; 3)探测主机,包括探测主机资产类型、操作系统、开放端口、应用系统、存活状态,可自定义添加资产所有人、联系方式,形成应用资产台账,并实时更新; 4)通过导入MAC地址ip等信息对资产进行探活; | 持续进行 | 《信息化系统资料库》 |
2 | 渗透测试服务 | 派遣专业团队对采购人的22信息系统进行抵抗入侵攻击能力测试。 1)前期交互阶段;与采购人进行沟通、确定渗透测试的时间、范围、深度、测试方式(黑盒 OR 白盒、现场OR 远程)等问题,并拿到采购人签署的渗透测试授权函; 2)情报搜集阶段;服务团队在拿到采购人授权后开始情报搜集工作,搜集阶段是对目标采购人的系统进行一系列踩点工作,包括:基础资产收集、互联网信息泄露搜集、指纹识别、业务系统功能收集、接口信息收集等; 3)威胁建模阶段;在搜集到充分的情报信息之后,服务工程师对获取的信息进行威胁建模(Threat Modeling)与攻击规划。从大量的信息情报中理清思路,确定出最可行的攻击通道; 4)漏洞分析阶段;漏洞分析阶段是对威胁建模阶段的初步实践,本阶段需要针对威胁建模阶段总结的测试方法进行一一验证,通过测试总结出可行的测试方法,排除不可行的测试方法。由于采购人对业务系统的防护能力不同,本阶段分析得出的漏洞利用方式会有一定的差异; 5)渗透攻击阶段;本阶段是对采购人的业务系统进行攻击性测试的阶段,漏洞分析阶段总结出的可行的漏洞利用方法,本阶段可以直接拿来利用,并以此为基础扩大渗透战果; 6)报告输出阶段;渗透测试工作全部完成后输出报告,报告中阐明采购人系统中存在的安全隐患以及专业的漏洞风险处置建议。 | 每季度1次 | 《渗透测试报告》 |
3 | 实时监测服务 | 对采购人互联网应用系统实时监测WEB应用的可用性与网络安全威胁,监测内容包括但不限于:漏洞检测、可用性检测、挂马检测、暗链检测、挖矿检测、隐私信息检测、敏感内容检测等。 1)可用性监测;通过扫描网站首页响应速度,判断网站是否掉线;通过DNS、Ping、HTTP请求等多种方式探测互联网应用连通速度; 2)漏洞检测;对常见的多种Web应用漏洞进行安全检测,如“SQL注入、跨站脚本、文件包含、CSRF、目录遍历”等网站脆弱性漏洞;支持获取详细的请求、响应、payload等信息 3)挂马检测;通过页面源代码分析,深入检查该页面所有自动加载资源,包括脚本、框架、CSS,识别页面是否使用脚本、使用页面跳转等,并对挂马在线取证存储; 4)暗链检测;利用静态分析技术对网页源代码进行分析,查找不可见的外部链接,并对这些链接进行云特征匹配,查找网页中的暗链; 4)挖矿检测;通过基于敏感域名扫描、敏感文件扫描及可JavaScript方法等扫描网页中挖矿劫持等恶意代码,并抓取在线源代码取证信息; 5)敏感信息检测;检测互联网应用页面是否存在银行卡号、手机号、身份证号、邮箱号等个人隐私信息。 6)敏感内容检测;通过中文分词的语义识别技术,对互联网应用页面中的内容进行敏感内容扫描 7)风险外链检测;检测互联网应用系统里存在的外链是否有违规内容、是否未备案、是否属于违规域名等信息。 | 7*24 | 《网站安全监测报告》 |
4 | 应急演练服务 | 服务期协助采购人开展一次网络安全应急演练服务: 1)确定演练主题:据每次进行的网络应急演练的主题内容,对演练的工作流程,演练场景、演练分类进行设计规划; 2)出具《网络安全应急演练方案》,编制应急演练脚本; 3)针对此次网络安全应急演练进行系统和全面的总结,主要涉及内容如演练过程中发现的问题与原因、经验和教训,改进有差工作的建议; 4)出具《网络安全应急演练报告》; 5)必要时修订网络安全事件应急预案。 | 1次 | 《应急演练方案》 《应急演练报告》 |
5 | 应急响应服务 | 服务期内为采购人提供 7*24 小时、不限次数的网络安全应急响应服务: 1)当采购人遭受网络病毒/木马、黑客入侵、DOS攻击以及发生其他网络安全事件时,派出安全专家团队进行现场排查处理安全事件,保障业务系统的连续性,阻止和减小安全事件带来的负面影响; 2)应急响应服务工作完成后,针对此次事件的问题现象、发生原因以及处理过程,预防措施与建议进行总结报告; 3)出具《网络安全应急响应服务报告》; | 应急事件发生时 | 《应急响应服务报告》 |
6 | 重大活动保障服务 | 在举行重大活动、处理重要事件、以及特殊保障期(如两会、法定节假日、敏感时期等)等时间节点,在活动前进行安全检查,活动期间实行7X24小时远程安全值守,保证按照上级要求做到及时处理;如有需要,提供重要节假日5*8小时现场值守服务; | 重大时刻时 | 《重大时刻工作方案》 《重大时刻工作报告》 |
7 | 日志审计评估服务 | 对采购人现有主机系统、业务系统等日志进行人工审计评估。 1) 主机业务系统登录情况审计; 2) 异常登录、暴力破解情况审计; 3) 病毒木马查杀、网站后门审计; 4) 数据库访问、异常请求审计; 5) 恶意端口扫描情况审计; 6) Web攻击、拒绝服务攻击情况审计。 | 每季度1次 | 《日志审计评估报告》 |
8 | 安全策略管理服务 | 服务期内针对采购人安全防护体系内相关安全设施进行安全巡检、策略调整优化、系统与规则库升级服务。 1)通过多外网云端扫描技术,探测采购人互联网地址上潜在的未知资产、不必要开放的资产,并自动验证互联网资产是否存在可利用漏洞、弱口令,提供暴露面收敛等相关整改建议; 2)对监测发现的暴露面,通过人工逐一核实,对已知资产开放端口是否所需进行审核,除已知资产外,重点关注未知资产,包括影子资产、隐匿资产、被遗忘的老化资产、本应下线的应用程序/镜像/微服务,以及恶意资产、钓鱼网站、供应链资产等,配合清理所有多余的暴露面。 3)对全网路由交换、防火墙、负载设备的策略、NAT、路由等数据进行采集和解析,找出隐藏、冗余、过期、空策略和可合并策略,缩减过大策略,清除各种冗余、失效的过期策略。 4)部署调整并持续优化安全资源池,及时升级最新信通规则库。 | 持续进行 | 《安全策略管理报告》 |
9 | 安全漏洞扫描服务 | 服务期内针对采购人信息系统及关联主机系统进行安全漏洞扫描服务。 1)通过工具对网络资产进行漏洞扫描,扫描结果应与CVE、CNNVD等主流标准兼容,提供详细的漏洞描述和对应的解决方案描述。支持通过多种维度对漏洞进行检索,包括:CVE ID、CNNVD ID、漏洞名称、漏洞风险等级等维度。 2)可入侵漏洞扫描,通过POC对内网资产进行自动漏洞验证与渗透,发现可导致数据泄露、系统入侵 、越权等可入侵漏洞,先于黑客发现此类漏洞,主动发现。提供由厂商盖章确认的产品界面截图证明。 3)弱口令扫描;对网内各类应用资产进行弱口令扫描,扫描的应用至少包括:SSH、SMB、RDP、Telnet、Ftp、pop3、VNC、SNMP、Vmauthd、Postgres、MsSQL、MySQL、Oracle等。 4)漏洞生命周期管理;漏洞跟踪管理,通过工具自动对漏洞状态进行处置,自动识别“新增、已修复、未修复”的漏洞,同时人工方式进行漏洞状态处置验证。 | 每季度1次 | 《安全漏洞扫描报告》 |
10 | 安全培训服务 | 提供有针对性的网络安全培训,内容包括网络安全意识教育、国家等级保护等相关标准的培训。 | 1次 | 培训资料 |
11 | 合规性协查服务 | 服务期内协同采购人在接受网络安全主管部门检查或上级部门开展网络安全检查期间的自查、差距分析、整改及陪同检查、相关工作配合服务。 | 持续进行 | --- |
12 | 安全预警服务 | 在服务期内,供应商通过各种渠道收集提供互联网最新、全面的网络安全问题通报,并给出相应的解决办法,梳理网络安全预警信息,及时告知采购人并协助采取防御措施,预防安全风险。 1)提供病毒预警,漏洞预警; 2)提供互联网最新、全面的网络安全问题通报,并给出相应的解决办法; 3)提供最新的网络安全动态和信息,包括实时安全漏洞通知、定期安全通告汇总、并根据的情况提供相应的安全信息通告等。 | 持续进行 | 《安全预警通告》 |
(二)项目团队要求
2.1为保障网络安全服务质量,供应商应为本项目组建实施团队,团队人员不少于6人;
2.2团队成员至少包括不少于3名信息安全专业人员,要求具备相关信息安全认证资格(CISP或CISAW或CISSP)(提供证书复印件、供应商为其缴纳社保的证明材料复印件并加盖供应商公章);
2.3团队成员至少包括2名专业网络管理人员,要求具备中级网络工程师(计算机技术与软件专业资格认证或CCNP或HCNP或H3CSE)及以上认证资格。(提供证书复印件、供应商为其缴纳社保的证明材料复印件并加盖供应商公章);
2.4团队成员至少包括2名操作系统相关认证(RHCE及其他同等以上); (提供证书复印件、供应商为其缴纳社保的证明材料复印件并加盖供应商公章);
2.5团队成员至少包括1名同时具备数据安全治理专业人员认证资格(CISP-DSG)与数据库相关认证(OCP及其他同等以上)人员。(提供证书复印件、供应商为其缴纳社保的证明材料复印件并加盖供应商公章);
2.6供应商应为本项目组建二线专家团队,当采购人提出需求时,二线专家团队,应能及时抵达现场支持。
(三)项目其他要求
3.1签署保密协议,安全服务工作相关的业务数据、商业信息、客户信息是项目不可分割的组成部分,须对相关信息进行保密。
3.2供应商为采购人提供应急响应服务。为保证及时响应采购人服务要求,供应商需在重庆有固定的办公场所(提供在重庆工商注册的营业执照或固定的办公场所证明材料复印件)。
三、供应商资格条件
(一)满足《中华人民共和国政府采购法》第二十二条规定;
(二)落实政府采购政策需满足的资格要求:本项目专门面向中小企业采购,供应商应为中小企业,供应商出具中小企业声明函或监狱企业证明文件或残疾人福利性单位声明函。监狱企业、残疾人福利性单位视同小型、微型企业。
(三)本项目的特定资格要求:无。
四、评审流程
(一)资格性审查
依据法律法规和询价文件的规定,对响应文件中的资格证明等进行审查,以确定供应商是否具备资格。资格性审查资料表如下:
序号 | 检查因素 | 检查内容 | |
(一) | 《中华人民共和国政府采购法》第二十二条规定 | 1.具有独立承担民事责任的能力 | 1.供应商法人营业执照(副本)或事业单位法人证书(副本)或个体工商户营业执照或有效的自然人身份证明或社会团体法人登记证书(提供复印件)。 2.供应商法定代表人身份证明和法定代表人授权代表委托书。 |
2.具有良好的商业信誉和健全的财务会计制度 | 供应商提供“基本资格条件承诺函”(格式自拟)。 | ||
3.具有履行合同所必需的设备和专业技术能力 | |||
4.有依法缴纳税收和社会保障金的良好记录 | |||
5.参加政府采购活动前三年内,在经营活动中没有重大违法记录 | |||
6.法律、行政法规规定的其他条件 | |||
7.本项目的特定资格要求 | 按“三、供应商资格条件”的要求提交(如果有)。 | ||
(二) | 落实政府采购政策需满足的资格要求 | 按“三、供应商资格条件(二)落实政府采购政策需满足的资格要求”的要求提交(如果有)。 |
(二)符合性审查
依据询价文件的规定,从响应文件的有效性、完整性和询价文件的响应程度进行审查,以确定是否对询价文件的实质性要求作出响应。符合性审查资料表如下:
序号 | 评审因素 | 评审标准 | |
1 | 有效性审查 | 响应文件签署或盖章 | 按询价文件“七、报名资料”要求签署或盖章。 |
法定代表人身份证明及授权委托书 | 法定代表人身份证明及授权委托书有效,签署或盖章齐全。 | ||
响应方案 | 每个包只能有一个响应方案。 | ||
报价唯一 | 只能有一个有效报价,不得提交选择性报价。 | ||
2 | 完整性审查 | 响应文件份数 | 响应文件正、副本数量(含电子文档)符合询价文件要求。 |
3 | 响应程度审查 | 实质性响应 | 服务响应偏离表和商务响应偏离表。 |
磋商有效期 | 响应文件及有关承诺文件有效期为提交响应文件截止时间起90天。 |
(三)评审标准
序号 | 评分因素 | 分值 | 评分标准 | 说明 | |
1 | 报价 (20%) | 20 | 有效的投标报价中的最低价为评标基准价,按照下列公式计算每个供应商的投标价格得分。 投标报价得分=(评标基准价/投标报价)×价格权重×100。 | ||
2 | 技术部分(45%) | 技术 要求 (30%) | 30 | A起评分: 有效供应商的起评分为30分。 | |
B扣分条款: 本招标文件“二、服务内容及要求”中有1条不满足的,从起评分中扣除3分;有3条及以上不满足招标文件要求的,技术要求得分为0分。 | |||||
安全服务方案(15%) | 15 | 供应商制定的安全服务方案,应包括各项服务的服务目的、服务内容、服务方式、服务成果等内容,根据服务方案针对性、科学性、可行性进行评审,优的得15分,一般的得8分,差的得3分,未提供得0分。 | |||
3 | 商务部分(35%) | 企业 实力 (12%) | 12 | 1.供应商同时具备有效的ISO9001质量管理体系认证证书、ISO20000信息技术服务管理体系认证证书、ISO27001信息安全管理体系认证证书的得5分;具备其中2项认证的得2分;具备其中1个证书的得1分;未提供不得分。 2.供应商同时具备有效的中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质认证、信息系统安全集成服务资质认证、信息系统安全运维服务资质认证证书的,得5分;具备其中2个证书的得2分;具备其中1个证书的得1分;未提供不得分。 3.供应商具备中国电子工业标准化技术协会信息技术服务分会颁发的ITSS信息技术服务标准符合性证书(业务领域:信息技术服务咨询设计)的得2分,不满足得0分。 | 提供证书复印件并加盖公章。 |
服务保障能力(14%) | 14 | 1.供应商拟委派项目经理同时具备项目管理认证(高级项目经理或PMP)、信息安全专业人员认证CISP、信息安全保障人员认证CISAW风险管理专业级、信息网络安全专业人员认证证书高级信息安全师(INSPC)认证的得5分;具备其中3项的得2分,具备2项的得1分,其他不得分。 2.供应商二线专家团队成员,具备CISP-PTE(注册渗透测试工程师),每提供一个得1分,最多得3分,未提供不得分; 3.供应商二线专家团队成员,具备CCSSP(国际注册云安全系统认证专家),每提供一个得2分,最多得4分,未提供不得分; 4. 供应商二线专家团队成员,具备CISA(信息系统审计师),每提供一个得2分,最多得2分,未提供不得分; | 提供证书复印件、项目所在地社保证明并加盖公章,社保缴纳单位名称须与供应商一致;二线团队人员不得重复使用项目实施团队人员。 | ||
售后服务(4%) | 4 | 1.供应商具有稳定售后服务团队且具有专业认证售后服务管理师的,每提供1名得1分,最多得3分。 2.供应商承诺售后响应时间小于30分钟且到场时间小于2小时的,得1分。 | 提供证书复印件、项目所在地社保证明并加盖公章,社保缴纳单位名称须与供应商一致。 | ||
业绩(5%) | 5 | 供应商近2年(2023-2024)承接过类似信息安全服务项目,每提供一个得1分,最多得5分,没有不得分。 | 提供合同关键页复印件并加盖公章。 |
对每个有效响应(通过资格性审查、符合性审查的供应商)的文件进行评价、打分,然后汇总每个供应商每项评分因素的得分,并根据综合评分情况按照评审得分由高到低顺序推荐1名以上成交候选供应商。若供应商的评审得分相同的,按照报价由低到高的顺序排列推荐。评审得分和报价相同的,按照服务指标优劣顺序排列推荐。以上都相同的,按商务条款的优劣顺序排列推荐。
五、报名时间
即日起截止****10时。
六、报名资料
报名资料须采用信封包装并密封(一式五份)。信封上注明项目名称、供应商名称等字样。信封的封口应加盖供应商公章或法人授权代表签字。报名资料包括如下内容:
一、经济部分
(一)报价函
(二)明细报价表
二、服务部分
(一)服务响应偏离表
(二)其他资料
三、商务部分
(一)商务响应偏离表
(二)其他优惠服务承诺
四、资格条件及其他
(一)法人营业执照(副本)或事业单位法人证书(副本)或个体工商户营业执照或有效的自然人身份证明或社会团体法人登记证书复印件
(二)法定代表人身份证明书
(三)法定代表人授权委托书
(四)基本资格条件承诺函
(五)特定资格条件证书或证明文件
五、其他资料
(一)中小企业声明函、监狱企业证明文件、残疾人福利性单位声明函
(二)其他与项目有关的资料
七、报名方式
本项目仅接受现场登记,请前往重庆市****
八、其他需要公告内容
(一)本项目不接受联合体投标。
(二)本文件所涉及时间一律为北京时间。
(三)违约责任。若供应商无故弃标、虚假应标或存在其他违反招投标诚信行为的,将列入我委采购黑名单,不予接受任何采购供应服务,同时视情将有关情况报送相关财政部门,由财政部门根据实际情况记入供应商诚信档案。
(四)联系人:毛老师,联系电话:****,联系地址:重庆市****
****