一、項目內容
招標項目名稱 | 最高限價 (萬元) | 成交供應商數量(名) | 服務內容 | 服務期限 |
重慶市商務信息和數據中心2022年網絡安全服務項目 | 28.86 | 1 | 參照服務要求及內容 | 合同簽訂之日起至2023年2月28日 |
二、服務內容及要求
(一)服務內容要求
序號 | 服務內容 | 服務要求描述 |
1 | 網絡安全資產普查服務 | 1將采購人現有及服務期內新增的設備、業務系統、使用部門、責任人等相關信息整合在一個完整的資料庫中,做到整個信息化環境中的資產情況做到心中有底,有帳可查。 2、資料庫應包含但不限于操作系統、IP地址、數據庫、數據庫IP、中間件、開發語言、應用組件、主管部門、系統數據、備份方式等要素。 3、提交“信息化系統資料庫”。 |
2 | 滲透測試服務 | 1、派遣專業團隊對采購人指定的11個信息系統進行抵抗入侵攻擊能力測試; 服務內容: (1)web應用業務系統安全檢測:對被測目標業務系統業務功能進行安全檢測,對象包括OWASP Top10在內的常規漏洞,如SQL注入、代碼注入、XSS、CSRF、SSRF、XXE、越權、邏輯漏洞、文件包含、文件上傳、任意文件讀取、驗證碼安全等。 (2)Web應用業務系統支撐服務檢測:對支持Web應用業務穩定運行的服務進行安全檢測,對象包括常見系統服務、常見容器組件、業務框架、業務相關支撐系統。 (3)互聯網暴露面安全檢測:模擬真實的黑客攻擊,通過互聯網(外網)對被測系統進行安全檢測,檢測范圍包含應用層安全、系統安全、運維安全等 (4)內部網絡網安全檢測:以外部獲取內網主機權限,或直接接入企業內網的方式,對內網進行橫向深度安全檢測,發現內網中的安全問題,如業務系統未授權訪問、系統弱口令、核心敏感信息泄露等。 服務方式: (1)信息采集分析,通過包括主機網絡掃描、操作系統類型識別、應用判別、賬號掃描、配置判別等,收集業務系統所在業務場景中的關聯資產信息;在信息搜集和整理環節,優先考慮受測網站或程序的基本參數,以便盡可能減少其在測試過程中受到的壓力,保證目標業務系統穩定運行; (2)針對目標業務邏輯、網絡環境、系統架構,通過信息收集和數據分析,通過對漏洞的路徑式利用的評估,根據目標系統(包含網絡、主機、數據庫、中間件、應用系統等)所存在的脆弱點,對目標所獲取的權限級別來確定進一步進行脆弱點資產的探測或進一步收集目標系統信息,提升權限,最終獲取系統最高權限; (3)滲透測試過程中,安全測試人員針對整個安全測試過程進行詳細記錄,呈現整個安全測試的完整攻擊路徑;測試完成后,安全測試人員清理測試過程中的操作痕跡,恢復目標系統至原始狀態; (4)輸出滲透測試報告,報告將客觀記錄漏洞的挖掘與利用過程,將整個滲透測試過程中的脆弱點串聯形成攻擊路徑,方便漏洞復現;同時提供清晰可落地的修復建議,幫助快速修復隱患,總結抵御攻擊的最佳實踐評定安全漏洞級別并提出可行的修復建議,幫助客戶解決影響業務系統安全的關鍵威脅; (5)滲透測試報告陳述,由安全測試人員向客戶復盤測試過程并講解報告內容,涵蓋漏洞成因、危害程度、修復建議,以及為防止同類問題再次發生而應采取的流程規范等。 2、由專業安全工程師模擬黑客使用的漏洞發現技術和攻擊手段,對目標網絡、系統、主機應用的安全性深入的探測,以發現整個系統中最脆弱環節。發現系統在編碼、設備配置等方面存在的安全隱患,分析各項安全漏洞遭黑客利用的難易程度及可能帶來的負面影響,相應的安全整改方法,并根據檢測結果提供詳盡的測試報告,總結系統漏洞并提出整改建議。 3、測試過程中,使用專業的安全分析工具(至少包含專業的主機網絡安全分析、應用系統安全析工具)對待測系統進行安全分析。滲透測試工作完成之后,將本次滲透測試工作過程中所發現的信息系統的安全問題及處理方法進行總結; 4、服務對象為甲方指定11個信息系統; 5、出具《滲透測試報告》。 |
3 | 實時監測服務 | 自中標之日起至二十大閉幕前對采購人11個信息系統實時監測網絡安全威脅,內容包括: 1、對系統(IPV4、IPV6)的安全狀態進行全方位監測,包括網站漏洞(各類Web應用漏洞、網站敏感信息泄露); 2、對系統安全事件(網頁掛馬、暗鏈、關鍵詞、挖礦、敏感圖片、變更)監測; 3、對系統可用性(網站訪問速度、網站應用狀態)及網站信息(ICP備案、Alexa排名、IP、網站使用的三方組件及應用)監測; 4、基于單個或多個系統的歷史歷次檢測結果繪制各類趨勢圖、柱狀圖、餅圖。 5、系統漏洞監測包含信息泄露、配置風險、代碼執行、目錄穿越、目錄瀏覽、文件包含、命令執行、注入漏洞、跨站腳本攻擊、木馬后門、Web應用程序漏洞、文件上傳、跨站請求偽造等各項Web漏洞以及相關敏感信息泄露等 6、對監控系統進行如監控標簽的自定義、修改網站標題、自動向網站管理人員發送告警郵件/短信等;支持系統綜合檢測情況報告生成,報告格式支持常見的Word/PDF/CSV格式等; 7、出具《網站監測報告》。 |
4 | 保密檢查服務 | 對采購人指定的250臺計算機進行全面的保密安全檢查,內容包括: 1、是否使用非涉密網絡(含非涉密工作內網)、互聯網門戶網站、互聯網郵箱、即時通訊工具及公共云服務平臺等存儲、處理、傳輸國家涉密信息。 2、是否使用非涉密計算機及移動存儲介質存儲、處理國家秘密信息。 3、是否使用非涉密辦公自動化設備存儲、處理國家秘密信息。 4、是否使用手機、智能手表、錄音筆等電子設備存儲、處理國家秘密信息。 5、是否落實信息公開發布保密審查機制。 出具《保密檢查報告》。 |
5 | 安全培訓服務 | 1、提供有針對性的網絡安全培訓,內容包括網絡安全意識教育、國家等級保護等相關標準的培訓; 2、為了培訓更具精準性,具體培訓內容及時間由采購人決定; 3、培訓頻度為1次。 |
6 | 應急演練服務 | 協助采購人開展一次應急演練服務,內容包括: 1、定制演練方案。根據國家相關網絡安全應急預案及標準規范,結合客戶既定的網絡安全應急預案及規章制度,契合客戶的業務場景,依據應急演練主題為客戶量身定制符合客戶業務場景的網絡安全應急演練方案,對演練的分類、流程設計,演練場景設計、演練人員安排、解說腳本設計等進行設計規劃;出具《網絡安全應急演練方案》 2、執行應急演練。通過執行既定主題的應急演練,模擬客戶業務場景中可能真實發生的網絡安全事件,體現客戶內部在應對網絡安全突發事件時內部應急處置過程,檢驗應急響應過程中整個應急處置團隊的協同處置能力,提升客戶網絡安全應急意識和應對突發事件的能力;出具《網絡安全應急演練報告》 3、優化應急預案。通過應急演練,檢驗既定的網絡安全應急預案中所暴露的問題,進而驗證應急預案在應對真實網絡安全突發事件的有效性、適用性、可靠性以及人員的協同性,檢驗應急工作機制是完善,進一步對應急預案進行優化。 4、報告輸出,根據應急演練結果,對相應的演練過程記錄、演練情況評估、應急預案、演練現場總結情況等進行系統和全面的總結,并形成《應急演練總結報告》。 5、必要時修訂網絡安全事件應急預案。 |
7 | 應急響應服務 | 服務期內為采購人提供7X24小時、不限次數的應急響應服務,內容包括: 1、當采購人遭受網絡病毒/木馬、黑客入侵、DOS攻擊以及發生其他網絡安全事件時,供應商服務團隊進行現場排查處理安全事件,保障業務系統的連續性,阻止和減小安全事件帶來的負面影響,供應商服務團隊第一時間通過電話進行遠程指導,兩小時內到達現場; 2、網絡流量及日志審計:網絡安全突發事件發生時,根據目標系統的網絡流量、系統日志、應用日志、終端日志等進行流量與日志進行檢測;全面審計系統與應用中的日志,識別異常行為; 3、依據流量與日志全面檢測分析結果,針對網絡安全事件類型進行定性,研判安全事件類型(如網絡攻擊﹝惡意掃描、漏洞攻擊、暴力破解、拒絕服務等﹞、Web應用攻擊﹝網頁篡改、網頁掛馬、網頁暗鏈等﹞、惡意代碼﹝惡意病毒、僵尸網絡程序、挖礦程序、勒索軟件等﹞、業務安全﹝數據泄露、權限泄露等﹞; 4、綜合分析目標業務系統中的各類事件痕跡,包括日志審計結果與漏洞存在情況等,找到攻擊者的入侵途徑;收集攻擊者攻擊時留下的攻擊痕跡,固化好攻擊入侵的數字證據; 5、針對目標系統進行全面排查和清理系統中的病毒、木馬、蠕蟲、后門等惡意程序,以及Web應用系統中的WebShell、篡改頁面、暗鏈、掛馬等惡意頁面;協同快速恢復因受到攻擊而無法正常動作的系統,最大程度地降低事件對型業務產生的不良影響; 6、針對攻擊分析中發現的安全問題提供修復建議,配合用戶需求完成整改和加固,降低業務安全風險。 7、應急響應報告輸出,應急響應報告報告將完整記錄網絡安全突發事件應急處置過程與具體應對操作,包括問題表現、產生原因、應急處置流程與手段、應急處置結果等,幫助評估事件影響,并對事件中暴露出的安全隱患提供針對性的修復建議,提高客戶的事件應對能力。 8、應急響應服務工作完成后,針對此次事件的問題現象、發生原因以及處理過程,預防措施與建議進行總結報告; 9、出具《網絡安全應急響應服務報告》。 |
8 | 重大活動保障服務 | 服務期內為采購人提供不限次數重大活動保障服務: 1、在舉行重大活動、處理重要事件、以及特殊保障期(如兩會、法定節日、敏感時期等)等時間節點,在活動前進行安全檢查,活動期間實行7X24小時遠程安全值守,保證按照上級要求做到及時處理; 2、重大時刻之前,會根據采購人信息系統的重要程度及工作規劃,出具《重大時刻工作方案》,重點規劃重大時刻的工作內容,巡檢計劃、應急處置、人員安排; 3、重大時刻結束后,對此次重大時刻工作內容進行總結,并出具《重大時刻工作報告》。 |
(二)項目團隊要求
2.1為保障網絡安全服務質量,供應商應為本項目組建實施團隊,團隊人員不少于6人;
2.2團隊成員至少包括不少于3名信息安全專業人員,要求具備相關信息安全認證資格(CISP或CISAW或CISSP)(提供證書復印件、投標人為其繳納社保的證明材料復印件并加蓋投標人公章);
2.3團隊成員至少包括2名專業網絡管理人員,要求具備中級網絡工程師(計算機技術與軟件專業資格認證或CCNP或HCNP或H3CSE)及以上認證資格。(提供證書復印件、供應商為其繳納社保的證明材料復印件并加蓋供應商公章);
2.4團隊成員至少包括2名操作系統相關認證(RHCE及其他同等以上);(提供證書復印件、供應商為其繳納社保的證明材料復印件并加蓋供應商公章);
2.5團隊成員至少包括1名數據庫相關認證(OCP及其他同等以上)。(提供證書復印件、供應商為其繳納社保的證明材料復印件并加蓋供應商公章);
2. 6供應商應為本項目組建二線專家團隊,當采購人提出需求時,二線專家團隊,應能及時抵達現場支持。
3、項目服務其他要求
3.1簽署保密協議,安全服務工作相關的業務數據、商業信息、客戶信息是項目不可分割的組成部分,須對相關信息進行保密。
3.2供應商為采購人提供應急響應服務。為保證及時響應采購人服務要求,供應商需在重慶有固定的辦公場所(提供在重慶工商注冊的營業執照或固定的辦公場所證明材料復印件)。
三、供應商資格條件
(一)滿足《中華人民共和國政府采購法》第二十二條規定;
(二)落實政府采購政策需滿足的資格要求:本項目專門面向中小企業采購,投標人應為中小企業,投標人出具中小企業聲明函或監獄企業證明文件或殘疾人福利性單位聲明函。監獄企業、殘疾人福利性單位視同小型、微型企業。
(三)本項目的特定資格要求:無。
四、評審流程
(一)資格性審查
依據法律法規和詢價文件的規定,對響應文件中的資格證明、等進行審查,以確定供應商是否具備資格。資格性審查資料表如下:
序號 | 檢查因素 | 檢查內容 | |
(一) | 《中華人民共和國政府采購法》第二十二條規定 | 1.具有獨立承擔民事責任的能力 | 1.供應商法人營業執照(副本)或事業單位法人證書(副本)或個體工商戶營業執照或有效的自然人身份證明或社會團體法人登記證書(提供復印件)。 2.供應商法定代表人身份證明和法定代表人授權代表委托書。 |
2.具有良好的商業信譽和健全的財務會計制度 | 供應商提供“基本資格條件承諾函”(格式自擬) | ||
3.具有履行合同所必需的設備和專業技術能力 | |||
4.有依法繳納稅收和社會保障金的良好記錄 | |||
5.參加政府采購活動前三年內,在經營活動中沒有重大違法記錄 | |||
6.法律、行政法規規定的其他條件 | |||
7.本項目的特定資格要求 | 按“三、供應商資格條件”的要求提交(如果有)。 | ||
(二) | 落實政府采購政策需滿足的資格要求 | 按“三、供應商資格條件(二)落實政府采購政策需滿足的資格要求”的要求提交(如果有)。 |
(二)符合性審查。
依據詢價文件的規定,從響應文件的有效性、完整性和詢價文件的響應程度進行審查,以確定是否對詢價文件的實質性要求作出響應。符合性審查資料表如下:
序號 | 評審因素 | 評審標準 | |
1 | 有效性審查 | 響應文件簽署或蓋章 | 按詢價文件“七、報名資料”要求簽署或蓋章。 |
法定代表人身份證明及授權委托書 | 法定代表人身份證明及授權委托書有效,簽署或蓋章齊全。 | ||
響應方案 | 每個包只能有一個響應方案。 | ||
報價唯一 | 只能有一個有效報價,不得提交選擇性報價。 | ||
2 | 完整性審查 | 響應文件份數 | 響應文件正、副本數量(含電子文檔)符合詢價文件要求。 |
3 | 響應程度審查 | 實質性響應 | 服務響應偏離表和商務響應偏離表。 |
磋商有效期 | 響應文件及有關承諾文件有效期為提交響應文件截止時間起90天。 |
(三)評審標準。
對每個有效響應(通過資格性審查、符合性審查的供應商)的文件進行評價、打分,然后匯總每個供應商每項評分因素的得分,并根據綜合評分情況按照評審得分由高到低順序推薦1名以上成交候選供應商。若供應商的評審得分相同的,按照報價由低到高的順序排列推薦。評審得分和報價相同的,按照服務指標優劣順序排列推薦。以上都相同的,按商務條款的優劣順序排列推薦。
序號 | 評分因素及權值 | 分值 | 評分標準 | 說明 | |
1 | 報價 (20%) | 20 | 有效的投標報價中的最低價為評標基準價,按照下列公式計算每個投標人的投標價格得分。 投標報價得分=(評標基準價/投標報價)×價格權重×100。 | 對小型和微型企業產品的價格給予6%-10%的扣除,用扣除后的價格參與評審。 | |
2 | 技術部分(45%) | 技術要求(30%) | 30 | A起評分: 有效供應商的起評分為30分。 | |
B扣分條款: 本招標文件“二、服務內容及要求”中有1條不滿足的,從起評分中扣除3分;有3條及以上不滿足招標文件要求的,技術要求得分為0分。 | |||||
安全服務方案(15%) | 15 | 投標人制定的安全服務方案,應包括各項服務的服務目的、服務內容、服務方式、服務成果等內容,根據服務方案針對性、科學性、可行性進行評審,優的得15分,一般的得8分,差的得3分,未提供得0分。 | |||
3 | 商務部分(35%) | 企業實力(12%) | 12 | 1. 投標人同時具備有效的ISO9001質量管理體系認證證書、ISO20000信息技術服務管理體系認證證書、ISO27001信息安全管理體系認證證書的得5分;具備其中2項認證的得3分;具備其中1個證書的得1分;未提供不得分。 2. 投標人同時具備有效的中國網絡安全審查技術與認證中心頒發的信息安全風險評估服務資質認證、信息系統安全集成服務資質認證、信息系統安全運維服務資質認證證書的,得5分;具備其中2個證書的得3分;具備其中1個證書的得1分;未提供不得分。 3.投標人具備中國電子工業標準化技術協會信息技術服務分會頒發的ITSS信息技術服務標準符合性證書(業務領域:信息技術服務咨詢設計)的得2分,不滿足得0分。 | 提供證書復印件并加蓋公章。 |
服務保障能力(11%) | 11 | 1.投標人擬委派項目經理同時具備項目管理認證(高級項目經理或PMP)、信息安全專業人員認證CISP、信息安全保障人員認證CISAW風險管理專業級、信息網絡安全專業人員認證證書高級信息安全師認證的得5分;具備其中3項的得3分,具備2項的得1分,其他不得分。 2.投標人二線專家團隊成員,具備CISP-PTE(注冊滲透測試工程師),每提供一個得2分,最多得4分,未提供不得分; 3.投標人二線專家團隊成員,具備CCSSP(國際注冊云安全系統認證專家),每提供一個得1分,最多得2分,未提供不得分; | 提供證書復印件、項目所在地社保證明并加蓋公章,社保繳納單位名稱須與投標人一致;二線團隊人員不得重復使用項目實施團隊人員。 | ||
售后服務(7%) | 7 | 1.投標人具備有效的售后服務認證證書,售后范圍與本項目相關,售后服務能力達到5星級的3分,沒有得0分。 2.投標人具有穩定售后服務團隊且具有專業認證售后服務管理師的,每提供1名得1分,最多得3分。 3.供應商承諾響應時間小于30分鐘且到場時間小于2小時的,得1分。 | 提供證書復印件、項目所在地社保證明并加蓋公章,社保繳納單位名稱須與投標人一致。 | ||
業績(5%) | 5 | 投標人近2年(2021-2022)承接過類似信息安全服務項目,每提供一個得1分,最多得5分,沒有不得分。 | 提供合同復印件并加蓋公章。 |
五、報名時間
報名時間為2022年9月1日9:00—2022年9月5日16:00。
六、報名資料
報名資料須采用信封包裝并密封(一式五份)。信封上注明項目名稱、供應商名稱等字樣。信封的封口應加蓋供應商公章或法人授權代表簽字。報名資料包括如下內容:
一、經濟部分
(一)報價函
(二)明細報價表
二、服務部分
(一)服務響應偏離表
(二)其他資料
三、商務部分
(一)商務響應偏離表
(二)其它優惠服務承諾
四、資格條件及其他
(一)法人營業執照(副本)或事業單位法人證書(副本)或個體工商戶營業執照或有效的自然人身份證明或社會團體法人登記證書復印件
(二)法定代表人身份證明書
(三)法定代表人授權委托書
(四)基本資格條件承諾函
(五)特定資格條件證書或證明文件
五、其他資料
(一)中小企業聲明函、監獄企業證明文件、殘疾人福利性單位聲明函
(二)其他與項目有關的資料
七、報名方式
本項目僅接受現場登記,請前往重慶市南岸區南濱路162號2幢2102號房間。
八、其他需要公告內容
(一)本項目不接受聯合體投標。
(二)本文件所涉及時間一律為北京時間。
(三)違約責任。若投標人無故棄標或存在其他違反招投標誠信行為的,將列入我委采購黑名單,不予接受任何采購供應服務,同時視情將有關情況報送相關財政部門,由財政部門根據實際情況記入供應商誠信檔案。
(四)聯系人:王老師,聯系電話:13340247216,聯系地址:重慶市南岸區南濱路162號2幢21樓2102號房間。
重慶市商務信息和數據中心
2022年9月1日