项目编号:[230001]zzgj[CS]20220199
黑 龙 江 省 政 府 采 购
竞争性磋商文件
项目名称:网络安全服务项目采购
项目编号:[230001]zzgj[CS]20220199
中资国际工程咨询集团有限责任公司
2022年10月
第一章 竞争性磋商邀请
中资国际工程咨询集团有限责任公司受哈尔滨理工大学委托,依据《政府采购法》及相关法规,对网络安全服务项目采购采购及服务进行国内竞争性磋商,现欢迎国内合格供应商前来参加。
一、项目名称: 网络安全服务项目采购
二、项目编号: [230001]zzgj[CS]20220199三、磋商内容
包号 | 货物、服务和工程名称 | 数量 | 采购需求 | 预算金额(元) |
1 | 网络安全服务项目 | 1 | 详见采购文件 | 500,000.00 |
四、交货期限、地点:
1.交货期:
合同包1(网络安全服务项目): 合同签订后7个工作日内开始服务,期限一年
2.交货地点:
合同包1(网络安全服务项目): 哈尔滨理工大学五、参加竞争性磋商的供应商要求:
(一)必须具备《政府采购法》第二十二条规定的条件。
(二)参加本项目磋商的供应商,须在黑龙江省内政府采购网注册登记并经审核合格。
(三)本项目的特定资质要求:
合同包1(网络安全服务项目):无
六、参与资格和竞争性磋商文件获取方式、时间及地点:
1.磋商文件获取方式:采购文件公告期为5个工作日,供应商须在公告期内凭用户名和密码,登录黑龙江省政府采购网,选择“交易执行 → 应标 → 项目投标”,在“未参与项目”列表中选择需要参与的项目,确认参与后即可获取磋商文件。获取磋商文件的供应商,方具有投标和质疑资格。逾期报名,不再受理。
2.获取磋商文件的时间:详见磋商公告。
3.获取磋商文件的地点:详见磋商公告。七、磋商文件售价:
本次磋商文件的售价为 无 元人民币。八、询问提起与受理:
供应商对政府采购活动有疑问或有异议的,可通过以下方式进行询问:
(一)对采购文件的询问
采购文件处项目经办人 详见磋商公告 电话:详见磋商公告
(二)对评审过程和结果的询问
递交响应文件的投标人应在评审现场以书面形式向代理机构提出。九、质疑提起与受理:
(一)对磋商文件的质疑:已注册供应商通过政府采购网登录系统,成功下载磋商文件后,方有资格对磋商文件提出质疑。采购文件质疑联系人: 尚女士
采购文件质疑联系电话: 000000000000
(二)对磋商过程和结果的质疑
1.提出质疑的供应商应当是参与所质疑项目采购活动的供应商;质疑供应商应当在法定期内一次性提交质疑材料;对采购过程提出质疑的,为各采购程序环节结束之日起7个工作日提出;对成交结果提出质疑的,为成交结果公告期限届满之日起7个工作日提出;
2.质疑供应商应当以书面形式向本代理机构提交《质疑函》。磋商过程和结果质疑:详见成交公告
十、提交竞争性磋商首次响应文件截止时间及磋商时间、地点:递交响应文件截止时间:详见磋商公告
递交响应文件地点:详见磋商公告响应文件开启时间:详见磋商公告响应文件开启地点:详见磋商公告
备注:所有电子响应文件应在递交响应文件截止时间前递交至黑龙江省政府采购云平台,逾期递交的响应文件,为无效投标文件,平台将拒收。
十一、发布公告的媒介
中国政府采购网(xxx.xxxx.xxx.xx),黑龙江政府采购网(xxxxx://xxxxx.xxx.xxx.xx)十二、联系信息
1.采购人信息
采购单位:哈尔滨理工大学采购单位联系人: 高老师
地址: xxxxxxxxxx00x联系方式: 86390306
2.采购代理机构信息(如有)
名称:中资国际工程咨询集团有限责任公司地址: 哈尔滨市南岗区汉水路76-6
联系方式: 0451-81888888转893
3.项目联系方式
项目联系人: 王女士
联系方式: 0451-81888888转893
中资国际工程咨询集团有限责任公司
2022年10月
一.项目概况
第二章 采购人需求
该项目为我校网络安全提供资产梳理、漏洞扫描、安全加固、安全监控、安全驻场等服务,同时完成我校部分应用系统的等保测 评工作。
合同包1(网络安全服务项目)
1.主要商务要求
标的提供的时间 | 合同签订后7个工作日内开始服务,期限一年 |
标的提供的地点 | 哈尔滨理工大学 |
投标有效期 | 从提交投标(响应)文件的截止之日起90日历天 |
付款方式 | 1期:支付比例100%,验收合格后完成付款。 |
验收要求 | 1期: 满足招标参数要求,按期提供所有技术报告,按期完成所有服务。 |
履约保证金 | 不收取 |
其他 |
2.技术标准与要求
序 号 | 核心产品 (“△”) | 品目名称 | 标的名称 | 单 位 | 数量 | 分项预算单价 (元) | 分项预算总价 (元) | 所属行业 | 招标技术 要求 |
1 | 安全运维 服务 | 网络安全 服务 | 项 | 1.0000 | 500,000.00 | 500,000.00 | 软件和信息技术 服务业 | 详见附表 一 |
附表一:网络安全服务 是否进口:否
参数性质 | 序号 | 具体技术(参数)要求 |
1. 安全托管服务 1.1 ★服务方式要求 服务方提供云端7*24小时安全运营。 1.2 ★服务期限要求 服务期限:1年。 1.3 ★服务标准要求 云端三级安全运营团队对各类威胁主动监测并通过微信、钉钉等方式通知哈尔滨理工大学,服务人员可直接在管理平台监测安全事件等内容,协助哈尔滨理工大学完成事件处置。 交付物如下: 交付物:《事件分析与处置报告》,报告频率:按需触发,不限次数; 交付物:《精准威胁情报预警》,报告频率:按需触发,不限次数; 交付物:《哈尔滨理工大学安全托管服务运营报告》报告频率:每月一次; 交付物:《季度汇报PPT》,报告频率:每季度一次; 交付物:《年度汇报PPT》,报告频率:每年一次。 1.4 服务内容要求 |
1.4.1 提供7*24安全威胁检测,由三级安全运营团队通过大数据分析、体系化关联规则、威胁狩猎、威胁情报等技术协助威胁分析和处置,实现威胁闭环管理。 1.4.2 服务过程中结合本地安全工具支持对挖矿活动、流氓软件、可疑文件、勒索软件、僵木蠕、Webs hell等18000种以上恶意程序实时检测。 1.4.3 支持web漏洞扫描结果+V功能,加V表示该漏洞可靠性达到90%以上,可帮助用户快速的确认和处理漏洞。(提供相关证明材料) 1.4.4 服务过程中结合本地安全工具支持Webs hell请求、XSS攻击、SQL注入、远程代码执行、命令注入、远程文件包含、本地文件包含、文件上传、路径遍历、信息泄露、越权访问、XXE注入、网页篡改、SSRF攻击等14类web攻击实时检测。 1.4.5 针对主动或被动发现的安全事件提供响应和处置服务,对僵木蠕、Webs hell、病毒、勒索病毒、挖矿病毒等各类安全事件快速处置,消除或减轻影响。 1.4.6 针对服务过程中出现的安全事件、业务调整提供设策略调优服务,确保当前的安全策略能够最大化的发挥安全效果。 1.4.7 通过信誉库、安全事件库、网络资产库、威胁情报库、国内外开源/商用情报、威胁情报联盟共享等方式持续获取并更新威胁情报数据,及时为客户提供互联网上受影响的资产范围和清单。 1.4.8 对最新漏洞的原理、触发点、攻击事件IOC等进行深入分析,提供最优且影响最小化的安全加固建议,包括长期安全建设建议和临时缓解措施等可实施的方案。 1.4.9 支持通过可视化安全运营服务平台,查看当前安全状态,查看服务动态。 1.4.10 安全运营服务平台支持按照IPDRO的服务模式展示各阶段服务进展情况。(提供相关证明材料)。 1.4.11 为保障服务效果,以服务的形式提供终端检测响应工具,提供终端侧的安全防护加固和分析。 1.4.12 终端检测响应工具能够对内网的恶意攻击行为进行识别(漏洞利用、横向移动),可阻断恶意探测行为,并获得的赛可达实验室SKD ZS认证。 (提供相关证明材料) 1.4.13 为保障服务效果,以服务的形式提供APT攻击预警平台工具,提供流量侧的安全检测与分析。 1.4.14 支持沙箱逃逸检测,当恶意文件进行逃逸尝试,在沙箱报告中进行体现。(提供相关证明材料)。 1.4.15 支持检测WEB攻击、恶意文件攻击、远程控制、WEB后门访问、行为分析、DGA域名请求、SMB远程溢出攻击、弱口令、拒绝服务攻击、隧道通信、暴力破解、挖矿、恶意工具利用、扫描行为、漏洞利用、邮件社工攻击、ARP欺骗、密码明文形式传输等行为。 1.4.16 支持30个以上的深度检测模块,对流量进行二次分析,提高攻击检测的准确性。(提供相关证明材料)。 1.5 服务工具要求 1.5.1 服务期间以服务的形式提供一套支持软件化部署的资产发现与管理工具,可通过域名、IP段、手工导入等多种途径对资产进行探测和管理,形成可维护的资产信息表。(提供相关证明材料)。 1.5.2 工具应提供API数据接口,支持与其他平台进行对接,实现本平台和其他平台的数据实时同步对接。(提供相关证明材料)。 1.5.3 服务期间以服务的形式提供一套支持漏洞扫描与管理工具,提供全面的漏洞扫描和跟踪清单。(提供相关证明材料)。 1.5.4 具备弱口令扫描功能,提供多种弱口令扫描协议,包括SMB、RDP、SSH、TELNET、FTP、SMTP、IMAP、POP3、MySQL、MSSQL、REDI S等协议进行弱口令扫描,允许用户自定义用户、密码字典。 1.5.5 支持对web系统漏洞进行扫描检测,包括SQL注入漏洞、跨站脚本漏洞、开放服务漏洞、网站第三方应用漏洞、隐藏字段、表单绕过、框架注入 、0day漏洞等。 |
2. 互联网资产梳理服务 2.1 ★服务方式要求 服务方安全服务实施人员须提供现场服务。 2.2 ★服务期限要求 服务期限:4次/每年。 2.3 ★服务标准要求 服务方对授权资产域名在互联网资产上开放的和内部未对外开放的,包括但不限于:子域名、IP段、高危漏洞指纹信息、高危POC探测等资产等敏感信息进行搜集和梳理,并将互联网资产信息整理后发送至哈尔滨理工大学。 交付物如下: 交付物:《哈尔滨理工大学资产台账》,报告频率:每季度一次; 交付物:《哈尔滨理工大学互联网资产报告》,报告频率:每季度一次; 交付物:《哈尔滨理工大学漏洞扫描与处置建议报告》,报告频率:每季度一次。 2.4 服务内容要求 2.4.1 支持通过域名、关键字、邮箱名称等信息在互联网上对用户资产进行全方位探测,并输出《互联网暴露面》报告。 2.4.2 提供精准资产类型及指纹识别,能够识别的资产类型包括但不限于CMS网站应用、数据库服务应用、服务中间件、开源框架、网络及安全设备、物联网设备等,识别指纹种类不低于6000种。(提供相关证明材料)。 2.4.3 支持通过web、主机、域名、端口等多个类别和视角展示资产。支持以系统名称、IP、单位、联系人、首次发现时间、操作系统及版本、资产状态码、标签等信息实现资产的特征识别和过滤。支持按URL、联系人、资产名称等多种搜索组合进行资产的检索。支持web、主机、域名、端口视角下 资产批量导出功能。 2.4.4 支持资产探测任务速率、端口范围和周期配置,包括自定义监控周期及检测时间(支持按照单次/日/周/月/)规则配置;端口范围支持通过常用场景模板快速选择端口范围,模板包括企业应用、数据库、物联网等场景,支持自定义端口及全端口扫描。 2.5 服务工具要求 服务期间以服务的形式提供一套支持软件化部署的资产发现与管理工具,可通过域名、IP段、手工导入等多种途径对资产进行探测和管理,形成可维护的资产信息表。(提供相关证明材料)。 3. 安全基线检查服务 3.1 ★服务方式要求 服务方安全服务实施人员须提供现场服务。 3.2 ★服务期限要求 服务期限:4次/每年。 3.3 ★服务标准要求 服务方在完成基线检查服务服务后,须出具《XXX基线检查服务报告》,须包括简要描述设备存在的安全配置缺陷及危害,对评估范围内相关设备进行手 |
工检查。 基线检查服务报告须包括工作基本任务描述、工作相关人员、时间、地点、范围、内容等多方面内容,并对被检查信息安全配置进行客观的评价,对存在安全隐患或配置缺失的部分给出有针对性的安全修补建议。 3.4 服务内容要求 服务方须根据哈尔滨理工大学工作需求,采用人工现场设备检查的方式对客户指定系统和设备等进行全面的安全基线检查服务,发现配置的不合规项,并结合行业实际需求提出系统整改建议,输出报告。 服务网供应商基线检查服务内容包括但不限于以下内容: 检查对象和类型: 主机:WINDOWS、LINUX、AIX、HP-UNIX、SOLARIS等。 数据库:MSSQL、ORACLE、SYBASE等。 中间件:IIS、APACHE、WEBLOGIC、JBOSS等。 网络/安全设备:防火墙、路由器、交换机等。 主机安全检查: 业务系统涉及到的操作系统,如Windows 、Linux、Aix、Unix等进行安全漏洞及安全配置缺陷的检查与评估。检测内容包括(但不限于):身份鉴别方式、帐号安全设置、远程管理方式、多余帐号和空口令检查、默认共享检查、文件系统安、网络服务安全、系统访问控制、日志及监控审计、拒绝服务保护、补丁管理、病毒及恶意代码防护、系统备份与恢复、硬件冗余情况、硬盘分区格式等安全情况。 数据库安全检查: 业务系统涉及到的数据库,如MySql、Oracle、DB2、sql等数据库系统进行安全漏洞及安全配置缺陷的检查与评估。检测内容包括(但不限于):身份认证方式、帐号安全设置、管理权限和角色设置、多余帐号和缺省口令检查、数据库目录和文件系统安全、监听器管理设置、日志及监控审计、数据库版本和补丁管理、数据库备份策略、硬件冗余情况等安全情况。 网络设备配置检查: 对客户信息系统涉及到的网络设备,如防火墙、入侵检测(入侵保护)系统、路由器、交换机等进行安全漏洞及安全配置缺陷的检查与评估。检测内容包括(但不限于):帐号安全设置、管理权限和角色设置、多余帐号和缺省口令检查、备份和升级情况、访问控制、路由协议、日志审核、网络攻击防护及端口开放、远程访问等安全情况。 中间件安全检查: 对业务系统涉及到的中间件,系统包括:weblogic、apache、IIS、WAS等进行安全漏洞及安全配置缺陷的评估。检测内容包括(但不限于):系统和中间件的可用性、系统和中间件的完整性、系统中间件和应用的性能、通过与系统使用中关键人员的访谈来评估系统整体要求、对系统结构及运营架构进行高层面的评测、定位系统的运作流程中潜在的风险区域、产生基于中间件的最佳应用准则的建议报告等。 3.5 服务工具要求 3.5.1 安全基线远程评估工具 服务方须应采用业界成熟的商业化基线核查版远程安全评估工具,借鉴FDCC体系的CCE公共安全配置标准,并结合国内等级保护制度和行业配置安全标准,能够检查信息系统中的主机操作系统、数据库、网络设备等,并且符合行业现有的配置规范要求,实现基线检查服务工作的智能化、自动化。 |
3.5.2 信息安全等保检查工具箱 服务方须应采用业界成熟的商业化信息安全等级保护检查工具箱,通过信息安全等级保护检查工具箱,实现将等级保护工作流程化,等级保护基本要求与网络、主机、应用、数据库的检查及漏洞自动化关联匹配分析,实现基线检查服务工作的规范化、系统化、专业化,简化客户基线检查服务工作复杂的流程。 3.6 服务流程要求 服务方须派遣多名具有多年安全服务经验的安全服务实施人员,采用现场的方式,对客户指定的目标系统和设备进行安全配置检查工作,基线检查服务方式包括但不限于以下内容: 服务方须通过“自动化工具配合人工分析”方式来完成。 第一步:收集被检查系统相关的登录信息,并将登录凭证录入到自动化检查工具中; 第二步:自动化检查工具进行被检查系统登录; 第三步:自动化检查工具使用内置的检查规则,对被监测系统进行配置检查; 第四步:自动化检查工作将检查收集到结果进行格式化保存,并与预定义的判断依据进行对比分析; 第五步:将自动化工具对比分析结果进行统计分析; 第六步:形成基线检查服务报告。 服务方须通过“采用离线脚本基线检查服务”方式来完成。 第一步:收集被检查系统相关的登录信息,并登录该系统; 第二步:人工将离线检查脚本上传至被检查系统; 第三步:运行离线检查脚本,完成配置信息的检查工作; 第四步:下载配置检查完成后的原始数据报告; 第五步:将原始数据报告基线检查工具对检查结果进行统计分析; 第六步:形成基线检查服务报告。 4. 漏洞扫描服务 4.1 ★服务方式要求 服务方安全服务实施人员须提供现场服务。 4.2 ★服务期限要求 服务期限:4次/每年。 4.3 ★服务标准要求 服务方在完成漏洞扫描服务后,须出具《XXX 漏洞扫描报告》,报告须简要描述信息系统存在的安全漏洞及危害。扫描对象、扫描工具、扫描时间、漏洞分析(漏洞类型、漏洞所在页面、漏洞原理、漏洞利用、漏洞危害等)、加固修复建议、解决方案等。 4.4 服务内容要求 |
漏洞扫描是脆弱性识别的重要手段,服务方须针对哈尔滨理工大学的操作系统、中间件、应用系统、数据库等进行漏洞扫描,及时发现存在的严重漏洞 ,帮助客户及时了解技术措施是否有效执行,并通过及时修补完善,避免对重要信息系统造成严重影响。 4.5 服务工具要求 4.5.1 漏洞扫描工具 服务方须应采用业界成熟的商业化应用漏洞扫描工具,帮助客户充分了解应用系统存在的安全隐患,建立安全可靠的应用服务,改善并提升应用系统抗各类应用攻击的能力(如:注入攻击、跨站脚本、文件包含、钓鱼攻击、信息泄漏、恶意编码、表单绕过等),协助客户满足等级保护、PCI、内控审计等规范要求。 4.5.2 数据库漏洞扫描工具 服务方须应采用业界成熟的商业化数据库漏洞扫描工具,帮助客户充分了解数据库存在的安全隐患,通过定期数据库系统安全自我检测与评估,提升客户各类数据库的抗风险能力,服务方须为客户完成数据库建设成效评估,协助数据库安全事件的分析调查与追踪。 4.5.3 远程安全评估工具 服务方须应采用业界成熟的商业化远程安全评估工具,通过远程安全评估工具能够全面、深层次、快速的对客户IT资产所存在和潜在的安全风险进行评估 ,通过安全服务实施人员及设备所存在的安全风险一对一的修复建议指导客户对信息系统进行及时的正确性加固,使哈尔滨理工大学的信息系统抗攻击能力能够有效提升。减少、避免遭受被攻击的机率,从而提升信息系统整体安全性。 4.6 服务流程要求 服务方须应采用业界成熟的商业化漏洞扫描工具对漏洞扫描服务范围内应用系统等进行网络层、系统层、数据库、应用层面的全面扫描与分析,扫描设备检测规则库及知识库须涵盖CVE、CNCVE、CNVD、CNNVD等标准。 服务方漏洞扫描服务完成后,须人工验证所发现的操作系统漏洞、数据库漏洞、弱口令、信息泄露及配置不当等脆弱性问题。提出准确有效的扫描报告 ,并针对漏洞扫描中出现的问题,提供解决方案,协助客户进行解决。 5. 渗透测试服务 5.1 ★服务方式要求 服务方安全服务实施人员须提供现场服务。 5.2 ★服务期限要求 服务期限:30个系统。 5.3 ★服务标准要求 服务方在渗透测试服务实施工作完成后七个工作日内,安全服务实施人员须出具一份渗透测试报告,根据测试结果,渗透将针对每种威胁进行详细描述 ,描述内容须包括测试范围、过程、使用的技术手段以及获得的成果。 除此之外,安全服务实施人员还须结合测试目标的具体威胁内容编写解决方案和相关的安全建议,为客户管理员的维护和修补工作提供参考,包含复测 。 服务方在渗透测试服务完成后需输出如下报告:《XXX系统渗透测试报告》。 5.4 服务内容要求 渗透测试服务是由服务方安全服务实施人员模拟黑客的行为模式,采用黑客的漏洞发现和利用技术,以及尽可能多的攻击方法,对哈尔滨理工大学的信 |
息系统的安全性进行深入分析。 服务方安全服务实施人员须通过智能工具扫描与人工测试、分析的手段,以模拟黑客入侵的方式对服务目标系统进行模拟入侵测试,识别服务目标存在的安全风险。 渗透测试服务内容须包括:信息收集类、配置管理类(HTTP方法测试、应用中间件测试、信息泄露、异常错误等)、认证类(客户枚举、密码猜解、密码重置、密码策略测试等)、会话类(cookie测试、session会话测试等)、授权类(越权访问、路径遍历、任意文件下载、逻辑缺陷测试等)、数据验证类(SQL注入、跨站脚本、代码注入、URL跳转、文件上传测试等、输入输出校验绕过、数据篡改)、系统应用漏洞(溢出、0day漏洞等)。 5.5 服务工具要求 服务方须应采用业界成熟的商业化软件或软硬件一体化的WEB应用弱点扫描器、数据库漏洞扫描系统、自动化渗透测试工具、半自动化渗透测试等工具进行安全检査,保证对目标系统无重大影响以及扫描结果的准确性和可信度。 5.5.1 信息收集工具 信息收集工具包括但不限于以下类型: 工具名称和官方地址: httprecon xxxx://xxx.xxxxxxxx.xx/xxxxxxxx/xxxxxxxxx Wapiti xxxx://xxxxxxxxxxx.xxx/xxxxxxxx/xxxxxx/ NC xxxx://xxxxxxxxx.xxx/xxxxx/xx000xx.xxx oscanner xxxx://xxx.xxxxx.xxx/xx/xxxxxxxx/ 5.5.2 溢出及口令破解工具 溢出及口令破解工具包括但不限于以下类型: 工具名称和官方地址: Metasploit xxxx://xxx.xxxxxxxxxx.xxx/ Hydra xxxx://xxxxxxxxx.xxx.xxx/xxx-xxxxx/ SNETCracker 针对常见服务的弱口令进行检查的工具。 5.5.3 Web漏洞挖掘工具 信息收集工具包括但不限于以下类型: 工具名称和官方地址: Fiddler xxxx://xxx.xxxxxxx0.xxx/xxxxxxx0/ Burp Suite xxxxx://xxxxxxxxxxx.xxx/xxxx/ SSQLInject 针对SQL注入的检查工具 |
Struts 2漏洞检查工具 针对Struts 2相关的代码执行漏洞的检查工具 Java反序列化漏洞检查工具 针对Java反序列化漏洞的检查工具 5.6 服务流程要求 5.6.1 内部测试和外部测试 服务方在内部测试流程前须经过客户授权后进行,安全服务实施人员须到达客户工作现场,根据客户的期望测试的目标直接接入到客户的办公网络甚至业务网络中。免去安全服务实施人员从外部绕过防火墙、入侵保护等安全设备的工作。一般用于检测内部威胁源和路径。 服务方在外部测试流程前须经过客户授权后进行,安全服务实施人员无需到达客户现场,须直接从互联网访问客户的某个接入到互联网的系统并进行测试。这种测试是应用于那些关注门户站点的客户,主要用于检测外部威胁源和路径。 5.6.2 黑盒测试和白盒测试 服务方在黑盒测试流程前须经过客户授权后进行,黑盒测试须安全服务实施人员对除目标系统的IP或域名以外的信息一无所知的情况下对系统发起的测试工作,这种方式模拟黑客行为,了解外部恶意客户可能对系统带来的威胁。 服务方在白盒测试流程前须经过客户授权后进行,白盒测试则是指安全服务实施人员通过客户授权获取了部分信息的情况下进行的测试,如:目标系统的帐号、配置甚至源代码。这种情况客户模拟并检测内部的恶意客户可能为系统带来的威胁。 6. 安全加固服务 6.1 ★服务方式要求 服务方安全服务实施人员须提供现场服务。 6.2 ★服务期限要求 服务期限:4次/年。 6.3 ★服务标准要求 服务方须遵循GB/T 22239-2019《信息安全技术-网络安全等级保护基本要求》中要求相关等级的技术标准,对哈尔滨理工大学相关信息系统进行安全加固服务。 每次安全加固服务完成后,服务方须提交完整的网络安全状况评估报告,采用图表等各种直观的形式说明目前系统存在的安全漏洞数量、类型、严重程度、分布范围等,以及各种漏洞的详细说明和操作性很强的解决方案(包括各种补丁和工具的下载地址,操作步骤等)。 针对对外服务的信息系统,须提交应用层安全扫描报告; 服务方须提交本次评估结果和上次评估结果的对比分析和安全状况变化趋势报告。 最终成果文档应包括但不限于: 《XXX信息系统加固报告》 《XXX信息系统残余风险说明》 6.4 服务内容要求 服务方须针对哈尔滨理工大学信息系统所有网络设备、安全设备、服务器、中间件、数据库等定期进行漏洞扫描并进行安全加固服务。 通过安全加固服务及时发现哈尔滨理工大学信息系统和网络及安全设备存在的各种安全隐患和漏洞,通过修补漏洞、增强安全配置、调整系统架构和安 |
全策略等方式及时进行安全加固和优化,持续提高哈尔滨理工大学相关业务系统的安全性和抗攻击能力,将整个系统的安全状况维持在较高的水平,减少安全事件发生的可能性。 6.5 服务工具要求 服务方须应采用业界成熟的商业化软件或软硬件一体化的漏洞扫描工具及配置核査工具进行安全检査,检查时使用的工具的种类包括但不限于:Window s主机安全配置检查工具、主机病毒检查工具、主机木马检查工具、网站恶意代码检查工具、Linux主机安全配置检查工具、网络及安全设备配置检查工具、弱口令检查工具、数据库安全检查工具、网站安全检查工具、系统漏洞检查工具、邮件漏洞检测工具等。 6.6 服务流程要求 服务方提供安全加固服务工作须采取文档清分、人员访谈、信息采集、论证确认、现场加固和验证审核等服务流程进行。 文档清分 对信息系统检查评估等报告的结果进行梳理,确认加固的具体内容,指导现场加固工作。 人员访谈 与信息系统管理人员和系统使用人员进行访谈,了解信息系统的工作流程,了解和获取信息系统被测安全技术要素的安全技术功能、策略和机制的设置及其实际运行情况或被测安全管理要素的安全管理策略、措施的设置和执行情况。 信息采集 对信息系统基础信息进行收集,包括信息系统的物理环境、网络环境、应用环境、操作系统、云平台、中间件、数据库和终端等信息。 论证确认 对加固的方法、加固的内容和加固的操作进行论证确认,以现场讨论和测试的方式进行。 现场加固 采用既定的流程和方法对信息系统进行安全配置修改和补丁更新操作,做好信息系统的数据备份、应急处置和回退工作。 验证审核 以既定的方案验证加固项是否生效,是否对信息系统的正常运行产生影响。 对于分析能够直接进行修复的漏洞编制漏洞修复方案及修复表单。 安全服务项目经理、安全服务实施人员和客户运维人员等共同参与,对安全漏洞修复的可行性进行论证。考虑如下因素: 修补成本投入是否可以接受。 漏洞修补自身带来的风险是否可控。 对信息系统业务影响是否能够接受。 是否具备测试环境和条件。 如果论证可以实施,则搭建测试环境进行稳定性测试(稳定运行至少一周)。测试通过则分步实施,并做好系统备份、应急措施等,尽可能降低影响。 例如,对于采用高可用技术的设备,可以先将一台设备进行离线试验。在试验成功的基础上,再进行推广。 对于未进行修复的漏洞(包括无法直接实施修复的漏洞、可行性论证未通过的漏洞、稳定性测试未通过的漏洞等),向客户提出安全建议:如:修改源 |
代码、修改防火墙策略、增加边界防护等。同时考虑漏洞被利用后可能发生的安全事件,由应急服务人员对应急响应进行完善。 7. 应急响应服务 7.1 ★服务方式 服务方安全服务实施人员须提供现场服务。 7.2 ★服务期限 服务期限:及时服务。 7.3 ★服务标准 服务方在应急响应工作完成后一个工作日内,安全服务实施人员须为客户提供一份应急响应报告。 在报告中,安全服务实施人员将会所收集的信息对整个安全事件的来龙去脉进行详尽的分析,并最终给出分析结果。 除此之外,安全服务实施人员还将根据分析结果提出解决方案和相关的安全建议,为事件的后期处理提供参考。输出如下报告: 《XXX 应急响应服务处理报告》 7.4 服务内容简介 服务方须针对哈尔滨理工大学分析各种流行的安全问题和事件,提供的安全事件应急响应服务须面向客户提供已发生安全事件的事中、事后的取证、分析及提供解决方案等工作。 并具派遣具有一定的追踪侦查能力、沟通能力、心理学知识,并且遣掌握必要法律知识的安全服务实施人员参与,应急响应是安全运维服务体系的一个重要组成部分,服务方须完成包括但不限于下列类型安全事件的应急响应服务支持: 事件类别和详细描述 网络攻击事件: 安全扫描攻击:黑客利用扫描器对目标进行漏洞探测,并在发现漏洞后进一步利用漏洞进行攻击。 暴力破解攻击:对目标系统账号密码进行暴力破解,获取后台管理员权限。 系统漏洞攻击:利用操作系统、应用系统中存在漏洞进行攻击。 WEB漏洞攻击:通过SQL注入漏洞、上传漏洞、XSS漏洞、授权绕过等各种WEB漏洞进行攻击。 拒绝服务攻击:通过大流量DDOS或者CC攻击目标,使目标服务器无法提供正常服务。 其他网络攻击行为。 恶意程序事件: 恶意程序主要类型及危害:病毒、蠕虫:造成系统缓慢,数据损坏、运行异常。 远控木马:主机被黑客远程控制。 僵尸网络程序(肉鸡行为):主机对外发动DDOS攻击、对外发起扫描攻击行为。 挖矿程序:造成系统资源大量消耗。 |
WEB恶意代码:网站恶意代码常见类型及危害。 Webs hell后门:黑客通过Webs hell控制主机。 网页挂马:页面被植入待病毒内容,影响访问者安全。 网页暗链:网站被植入博彩、色情、游戏等广告内容。 信息破坏代码: 系统配置遭篡改:系统中出现异常的服务、进程、启动项、账号等。 数据库内容篡改:业务数据遭到恶意篡改,引起业务异常和损失。 网站内容篡改事件:网站页面内容被黑客恶意篡改。 信息数据泄露事件:服务器数据、会员账号遭到窃取并泄露。 其他安全事件: 账号被异常登录:系统账号在异地登录,可能出现账号密码泄露。 异常网络连接:服务器发起对外的异常访问,连接到木马主控端、矿池、病毒服务器等行为。 7.5 服务工具 服务方提供的安全事件应急响应服务的服务根据包括但不限于以下内容: 7.5.1 Windows 检查工具 分类 命令& 工具& 文件 相关说明 Windows 检查工具 用户检查 LP_Check 用于检测克隆帐号的工具 进程及启动项 process explorer 进程检查和管理工具 autoruns 启动项检查工具 Process monitor 进程监视工具 wsyscheck 进程、服务、模块综合检查工具 winmsd 系统自带“系统信息” 服务模块及驱动 listdlls 模块检查工具 日志与文件 streams 文件流数据检查工具 sigverif 文件签名验证工具 Regmon 注册表监视工具 Filemon 文件监视工具 eventvwr 系统自带“事件查看器“ logParser 日志分析工具 |
1 | 网络连接 Tcpview 进程与网络连接查看工具 netstat -ano 系统自带 Sniffer分析 Wires hark sniffer(需安装WinPcap) sniffer pro windump 恶意代码分析工具 Icesword Windows Rootkit检测工具 Rootkit Unhooker Sysprot Rootkit Unhooker 恶意插件检查 rscleaner 恶意软件清除助手 ArSwp3 Windows 清除助手 7.5.2 Linux检查工具 分类 命令& 工具& 文件 相关说明 Linux检查工具 Sniffer分析 tcpdump Sniffer snoop (Solaris) wireshark 恶意代码分析工具 Chkrootkit rootkit检查工具 Rootkit hunter ClamAV/ClamTK 木马、病毒、恶意软件检测工具 网站恶意代码检测工具 木马病毒检测工具 7.5.3 Web日志分析 工具名称 官方地址 LogParser xxxx://xxx.xxxxxxxxx.xxx XLogan xxxx://xxx.xxxxx.xxx/xxxxxx/ AWs tats xxxx://xxxxxxx.xxxxxxxxxxx.xxx/ 7.5.4 Web检查工具 分类 命令& 工具& 文件 相关说明 Web检查工具 WebShell检查工具 Webs hell检查工具 自主研发查杀后门、木马的工具 |
挂马检测系统 扫描和清除页面挂马、后门的综合工具 网站木马辅助查找器 网站木马查找和挂马批量清除工具 Safe3 Webs hell扫描器 基于特征码的Webs hell查杀工具 恶意脚本扫描器 支持常规格式,war,cer,cdx等格式的木马检测工具 7.5.5 网络安全事件应急处置工具箱 服务方须应采用业界成熟的商业化网络安全事件应急处置工具箱,通过深入分析与研究客户常见安全漏洞以及流行的攻击技术基础上,结合安全事件应急处置服务项目经验,全程指导客户应急处置步骤,同时提供丰富多样的取证手段与详尽的专家知识库,以满足不同场景下对应急处置工具以及相关知识的需求,实现网络安全事件的取证溯源、快速恢复,为用户提供快、准、狠的应急处置体验。 7.5.6 网站恶意代码检测工具 服务方须应采用业界成熟的商业化网页后门检查工具,通过智能扫描技术能有效扫描asp、php、jsp、aspx等多种网页后门(WebShell)。能够在用户网站服务器本地,通过对目标网站本地文件进行页面内容分析、匹配,动态沙箱执行,为客户的网站提供本地网页后门检查、实时告警,并为客户提供全局视图的风险度量报告,最终帮助客户构建完善的网站安全体系。 7.6 服务流程 服务方提供的安全事件应急响应服务流程须主要包括但不限于事件处理流程和事件升级流程两部分。 7.6.1 事件优先级定义 服务方须结合自身经验,制定出一套合理的安全事件分级结构对应表,并且针对于不同级别的事件拟定切实可行的快速处理方式和临时解决办法。 安全等级划分标准详见如下: 紧急事件:客户提供业务的系统由于安全原因崩溃、系统性能严重下降,己无法提供正常服务。本地区出口路由由于网络安全原因非正常中断,严重影响用户使用。公众服务由于安全原因停止服务或者造成恶劣影响的。 严重事件:用户内部的业务支持系统由于安全事件出现问题,导致不能运转正常不稳定。部分服务由于安全原因中断,影响用户正常使用。 一般事件:由于安全原因导致系统出现故障,但不影响用户正常使用,客户提出安全技术咨询、索取安全技术资料、技术支援等。 7.6.2 事件处理流程 服务方提供安全事件应急响应服务事件处理流程须分为三个阶段,包括事件初期、应急响应实施及输出报告与汇报: n 事件初期 在实施安全事件应急响应服务工作前,安全服务实施人员收到客户申请应急响应支持,由安全服务项目经理协调内部技术支持人员和客户技术人员第一时间取得联系,了解事件发生情况。安全服务实施人员判断事件类型,是否需要启用安全事件应急响应服务。 n 应急响应实施 在安全服务实施人员判断事件类型可能为安全事件,启用应急响应后,安全服务实施人员通过现场或非现场等方式进行信息收集工作,详细了解掌握事件发生的始终、现状、可能的影响,对事件进行详细分析,提供事件处理建议,并协助客户解决事件。 n 输出报告与汇报 待事件处理结束后,安全服务实施人员整理事件分析、事件处理的过程记录和相关资料,撰写应急响应服务记录报告,提交给客户。对于大型、复杂的 |
应急响应过程还需进行整体的事件处理汇报工作。 7.6.3 事件收集流程 服务方须在收到事件告警后,15分钟内进行故障事件的鉴别,如果是安全事件,则立即启动应急响应服务流程,如果不是安全事件,立即回复相关人员 ,并建议寻求其他方面的支持,详细事件升级流程须包括紧急事件、严重事件、一般事件及各级别人员响应时间,包括如下: 紧急事件:项目经理≤0.5小时、技术负责人≤1小时、服务总监≤4小时、技术总监≤12小时、总经理≤24小时。 严重事件:客户经理≤1小时、技术负责人≤4小时、服务总监≤12小时、技术总监≤24小时、总经理≤48小时。 一般事件:客户经理≤4小时、咨询支持≤12小时、技术总监≤24小时、服务总监≤48小时、技术总监≤72小时。 8. 网站系统安全监测服务 8.1 ★服务方式要求 服务方安全服务实施人员须提供现场服务。 8.2 ★服务期限要求 服务期限:200网站7*24*365。 8.3 ★服务标准要求 服务方网站安全监测服务完成后,须提供《网站安全监测报告》(周报、月报、季报等)。 8.4 服务内容要求 服务方须在不影响哈尔滨理工大学对外服务系统正常运行的情况下,为客户Web应用系统提供7*24网站安全监测与预警服务,监测其对外服务网站的安全性,防范由于网页挂马、网站篡改等问题而造成客户的数据泄漏、不可用等安全风险。 安全监测服务须针对Web应用系统构建网站安全监测与预警平台,实时收集Web应用系统的各类安全事件信息,并由安全服务实施人员通过平台自动化的关联工具,建立不同安全状态的关联分析,记录和分析内、外客户访问应用发生的各种操作行为,发现非法的异常访问行为,从而更早的采取预防性措施。 网站安全监测与预警平台须采用分布式技术,并配备7*24小时专业安全服务执勤人员小组,负责为目标Web应用系统提供7*24小时的网页木马监测、网页篡改监测、网站可用性监测、网页关键字监测、Web漏洞监测、钓鱼监测服务等服务内容,服务方须第一时间对目标Web应用系统的异常状态进行分析及告警。 8.5 服务工具要求 服务方网站安全监测服务须网站安全监测平台进行服务。网站安全监测平台须采用软硬件一体化监测平台,采用远程监测技术对Web应用系统提供7x24小时实时安全监测服务,通过对网站的不间断监测服务从而提升哈尔滨理工大学网站的安全防护能力和网站服务质量,同时安全监测平台须提供事件跟踪功能建立长效的安全保障机制。 服务工具要求: 8.5.1全国范围内具备至少20个云防护和CDN加速节点。(提供相关证明材料) 8.5.2要求安全防御平台为一体化平台,应同时具备网站漏洞监测、安全事件监测、可用性监测、攻击防御状态、防护报表等功能,要求所有的功能集成在同一产品上实现。(提供相关证明材料) 8.5.3能为每个网站用户单独创建用户账号,用于查看网站和系统的安全状况。监管用户可关注、查看所有下属机构的网站和系统整体情况; |
8.5.4无需在网站前端安装任何安全设备、软件,通过DNS别名指向到云端进行安全防护; 8.5.5能支持提供不低于2Tbps的DDOS流量清洗能力。(提供相关证明材料) 8.5.6支持DDOS防护算法调整,如可选择至少三种SYN Flood攻击防护机制,可自定义设置流量、连接数等触发防护阀值; 8.5.7连接型DDoS攻击防护,过滤TCP慢速连接攻击、连接耗尽攻击、tcp新建连接限制等攻击和loic、hoic、slowloris、Pyloris、xoic等慢速攻击; 8.5.8系统应具有常用应用层协议(如HTTP、FTP、GAME、DNS等)防护插件; 8.5.9特征过滤,4层ip+port过滤和7层payload部分内容过滤; 8.5.10支持检查提交的报文是否符合HTTP协议框架,如异常的请求方法、特殊字符、重点字段的缺失、超长报文造成的溢出攻击以及对高危文件的访问等; 8.5.11支持识别恶意请求含:跨站脚本(XSS)、注入式攻击(包括SQL注入、命令注入 、Cookie 注入等)、跨站请求伪造等应用攻击行为; 8.5.12支持识别服务端响应内容导致的缺陷:敏感信息泄露、已有的网页后门、错误配置、目录浏览等缺陷; 8.5.13支持基于访问行为特征进行分析,能识别盗链、爬虫攻击的能力; 8.5.14支持对用户上传的文件后缀名和文件内容进行全方面检查,杜绝Webs hell的上传和访问; 8.5.15支持对WEB服务器容器、应用中间件、CMS系统等第三方组件漏洞进行有效防护; 8.5.16支持区域访问控制,限制国外用户或者国内以省市为单位的区域进行访问控制; 8.5.17支持协同防护,平台能够整体联动,对攻击IP进行全面封锁。 8.5.18支持一键虚拟补丁功能,网站出现0day漏洞时能快速完成修复。(提供相关证明材料) 8.5.19支持永久在线功能,当网站因为服务器故障、线路故障、电源等问题出现无法连接时,可显示云防护节点中的缓存页面。当在敏感期或特殊时期时,用户网站主动关闭期间可显示缓存页面,增强网站安全性。(提供相关证明材料) 8.5.20支持一键关停功能,当网站出现紧急安全事件时,可在一分钟内通过手机APP和浏览器一键完成关停,防止产生恶劣影响。(提供相关证明材料 ) 8.5.21提供事前漏洞扫描服务,对网站存在的脆弱性进行探查,包括SQL注入漏洞、跨站脚本漏洞、开放服务漏洞、网站第三方应用漏洞0day漏洞等。 (提供相关证明材料) 8.5.22提供漏洞自动跟踪服务,服务的依托的产品可以自动对检测到的漏洞进行跟踪,督促问题网站进行整改。 8.5.23提供事后安全事件监测服务,监测内容如下: 对网站被植入暗链进行监测,包括对广告、游戏、博彩、色情、医疗、推广等类型的暗链进行监测,已检测到的暗链URL不少于150万个。(提供相关证明材料) 对网站黑页进行监测; 对网站篡改变更进行监测; 对网页敏感内容进行监测,如“博彩”、“色情”等; 对网站坏链、无效链接、错链进行监测; |
8.5.24对反共黑客事件进行7*24小时的专人值守监测;敏感关键字策略数不少于2万个。(提供相关证明材料)。 8.5.25提供攻击日志记录与查询功能,攻击日志至少保存6个月,满足《网络安全法要求》,可根据域名、URL、攻击方法、返回码、威胁等级、攻击IP 、攻击区域和攻击类型进行查询,查询后的攻击日志数据可导出Excel文件。(提供相关证明材料) 8.5.26提供访问与攻击原始日志离线下载功能,可按天进行下载,原始日志包含访问IP、访问时间、URL、返回码、UA、访问域名等信息。 8.5.27可查看网站访问报告,包含访问流量、访问区域统计、访问源IP统计、访问页面排行、访问终端、死链、静态资源等统计报告; 8.5.28可查看服务质量监测报告,包含全国各省监测节点可用性分析、线路故障、CDN命中分析、首页加载时长分析、网站更新频率分析等; 8.5.29支持日报、月报 ,并支持html、pdf格式导出; 8.5.30支持单个网站生成报表,也支持网站群生成一个汇总报表; 8.5.31可视化页面需要可以投放到大屏幕,分辨率不低于1400*900; 8.5.32整体网站群攻击态势可视化分析,包括访问与攻击流量趋势、CC攻击趋势、受攻击网站趋势、攻击IP排行、网站访问排行等、攻击区域热点展示与挖掘; 8.5.33单个网站可视化分析,包括访问流量、访问区域热点展示、访问与攻击源实时分析、访问源IP排行、攻击趋势、攻击区域分布、攻击类型、攻击时段、攻击源IP排行等数据展示与挖掘; 8.6服务报告要求: 8.6.1监测月报:互联网应用系统总体安全状况、本月与上前几月的差异分析统计、互联网应用系统漏洞情况统计及详细描述、网页木马情况统计及详细描述、网页篡改情况统计及详细描述、网页关键字情况统计及详细描述、互联网应用系统可用性情况统计及详细描述。 8.6.2监测季报:互联网应用系统总体安全状况、差异分析统计、互联网应用系统漏洞情况统计及详细描述、网页木马情况统计及详细描述、网页篡改情况统计及详细描述、网页关键字情况统计及详细描述、互联网应用系统可用性情况统计及详细描述。 8.6.3监测年报:互联网应用系统信息安全年度运行状况分析,重大安全事件或隐患分析,互联网应用系统信息安全指数排名、重大安全事件处理情况。 8.7 服务流程要求 哈尔滨理工大学只需要将域名清单提供给服务方,无需客户进行任何操作,服务方须安排具有专业安全服务经验的安全服务实施人员,通过网站安全监测平台对客户实现远程监控,实时了解最新的网站安全态势,遇突发事件即时告知哈尔滨理工大学相关人员。 服务方须具备7*24监测值班团队,一旦监测到安全事件发生,将通过邮件、短信和电话等方式进行预警,及时通知、协助客户及相关人员进行事件应急处理。 8.7.1 脆弱性检测类服务流程 n 远程网站漏洞扫描 基于网站安全监测与预警平台,服务方安全服务实施人员须定期为客户进行网站结构分析、漏洞分析,用户无需采购任何Web应用扫描产品,即可获知网站的漏洞情况,以及修补建议。 n 远程网站安全通告服务 基于网站安全监测与预警平台,服务方安全服务实施人员须通过整合自有渠道,例如乌云漏洞平台等信息,第一时间获得用户可能已暴露出的漏洞,并在监管机构进行相应通报批评前,通知并督促用户完成相应漏洞的修补工作。 8.7.2 完整性检测类服务流程 |
n 远程网页木马监测 基于网站安全监测与预警平台,服务方安全服务实施人员须实时监测服务站点的页面情况,可高效、准确识别网站页面隐藏的恶意代码,避免由于网站被挂马所带来的不良影响。 n 远程网页敏感内容监测 基于网站安全监测与预警平台,服务方安全服务实施人员须实时监测服务站点是否出现一些敏感关键字,如果发现敏感内容,须在第一时间通知用户。 n 远程网页篡改监测 基于网站安全监测与预警平台,服务方安全服务实施人员须实时监测服务站点页面状况,发生页面被篡改情况,第一时间通知用户,避免页面篡改所造成的声誉和法律风险。 8.7.3 可用性检测类服务流程 n 远程网站平稳度监测 基于网站安全监测与预警平台,服务方安全服务实施人员须对服务站点进行远程访问平稳度的动态监视,跟踪动态变化情况,并根据严重程度及时发出报警信号。 n 远程网页测速服务 基于网站安全监测与预警平台,服务方安全服务实施人员须通过多个监测点对相关网页进行测速活动,对于响应延迟较大的页面及时发出详细告警信息 。 n 远程网站域名监测服务 基于网站安全监测与预警平台,服务方安全服务实施人员须对服务站点的域名解析服务进行持续监测活动,当ISP或者权威域名服务器出现解析异常时,第一时间发出详细告警信息。 8.7.4 认证性检测类服务流程 n 远程钓鱼网站监测服务 基于网站安全监测与预警平台,服务方安全服务实施人员须通过搜索引擎以及相似域名变形的方式发现仿冒客户站点的网站,一经发现及时通知客户并协助客户进行相应的阻断工作。 9. 安全培训服务 9.1 ★服务方式要求 服务方式:安全培训服务采取线上和线下两种方式。 针对固定课程内容可根据客户的要求进行线上和线下的方式,线上方式通过远程访问在线学习系统的方式,登录固定的账号即可进行相应的课程学习,线下方式由服务方或客户提供培训场地进行集中培训。 9.2 ★服务期限要求 服务期限:4次/年 9.3 ★服务标准要求 安全培训服务前,服务方提交培训课件以及开通在线学习账号。 |
9.4 服务内容要求 服务方应定期对哈尔滨理工大学相关人员定期开展信息安全培训,提高人员信息安全意识、技能,应对信息安全风险能力、信息系统安全运维水平,降低信息系统安全风险的重要工作,满足《网络安全法》的合规性要求。 安全培训课程面向安全从业人员的证书认证培训和面向行业的技能竞赛类培训如下: 安全意识、安全管理、社会工程学、渗透测试、Web安全、安全运维、逆向工程、代码审计、恶意代码分析、漏洞挖掘与利用、无线安全、移动安全、工控安全、云计算安全、物联网安全、车联网安全、区块链安全、应急响应、溯源取证、数据加固与恢复等内容,涵盖基础、提高、拓展三个级别。 CTF实战培训、AWD攻防培训、红队攻防培训等。 安全培训服务前,服务方将提交培训课件以及开通在线学习账号。 9.5 服务内容要求 为提高用户单位人员信息安全意识、技能,应对信息安全风险能力、信息系统安全运维水平,降低信息系统安全风险的重要工作,服务方须对用户定期开展信息安全培训服务。 安全培训服务是培养用户网络信息安全人才队伍与建设,提升用户全体信息化技术队伍的网络安全意识、日常运维技能、信息系统遭受攻击时的故障恢复和应急处置能力,保障信息系统的安全、稳定运行。 9.6 服务工具要求 服务方须借助于用户现有的攻防实验平台,通过攻防实验平台承担网络安全相关的实操实验、技能培训、攻防演练、攻防大赛,网络攻防领域项目开发以及竞赛比武等任务,提供一个系统、全面、完善的网络安全实验与实战的真实环境,有助于全面提升用户相关人员的安全防护能力和安全意识,提高在网络安全领域的实际操作能力;提高用户先关人员在实际环境中发现问题与解决问题的能力。 10. 人员驻场安全服务 10.1 ★服务方式要求 服务方安全服务实施人员须提供现场服务。 10.2 ★服务期限要求 服务期限:200天/年。 10.3 ★服务标准要求 提供《人员驻场服务周报》、《人员驻场服务月报》。 10.4 服务内容要求 通过以下服务内容全面了解网络存在的安全风险和隐患,提供安全建议,降低/规避客户网络安全风险。持续改进和优化整体网络安全技术防护策略,提升整体网络安全防护能力。通过事前检查、事中监测分析和事后响应处置,做到早发现、早处置,避免发生重大网络安全事件。 10.4.1 网络安全运行状态监测分析 网络安全运行状态监测分析主要是针对安全设备的性能、功能、硬件状态定 期巡检,设立正常运行区间值、异常运行区间值、告警阈值,确保驻场人员能够及时发现异常并进行响应处置。 10.4.2 安全设备运行状态巡检 |
协助用户开展安全设备(如:防火墙、入侵防御系统、WEB 应用防火墙、VPN/SSL VPN、保垒机、网站监测系统、网页防篡改)的性能指标、功能指标和 硬件状态等进行定期巡检,记录指标值。 产品性能指标 包括 CPU、内存、磁盘、会话连接数、入站和出站流量等指标。 产品功能指标:包括管理界面状态、日志记录等。 产品硬件状态:包括物理接口状态、面板指示灯等。 10.4.3 指标异常行为监测分析 针对监测指标产生的异常告警进行确认、分析,查找异常原因,提供解决方 案,协解客户完成安全整改和修复。 10.4.4 网络安全告警分析和预警 网络安全告警分析和预警主要是采用人工分析和机器辅助的方法,针对设备 产生的网络安全告警事件进行分析、验证和处置。同时,利用人工对网络流量数 据和日志进行主动的和反复的检索,从而检测出逃避现有的安全防御措施的高级持续性威胁,即 APT(Advanced Persistent Threat)攻击。 10.4.5 网络安全防护策略梳理检查 定期检查网络安全设备策略配置是否严格按照“最小原则”仅对目标用户 开放指定的服务和端口,验证安全防护策略是否生效。 10.4.6 协助开展日常安全监督检查 协助开展网络安全主管部门安全检查,协助开展等级保护定级、备案、建设整改、测评和监督检查等。 10.4.7 网络安全技术防护策略持续改进 网络安全技术防护策略持续改进主要针对日常安全监测和安全风险检查的 结果进行综合分析研判,识别网络安全风险和脆弱性,从整体网络安全技术防护 策略的角度提出准确、有效的改进措施,协助开展策略配置调优,并定期开展策略配置备份、系统软件、特征库升级等操作。 10.4.8 安全设备策略配置备份 定期对防火墙、入侵防御系统、WEB 应用防火墙、VPN/SSL VPN、保垒机、网站监测系统、网页防篡改等安全设备的系统配置和策略配置进行完整备份,在 设备发生故障后提供配置快速导入等恢复措施。 10.4.9 安全设备软件及特征库更新升级 定期对防火墙、入侵防御系统、WEB 应用防火墙、VPN/SSL VPN、保垒机、 网站监测系统、网页防篡改、漏洞扫描等安全设备的系统版本、特征库、病毒库、 威胁情报库和漏洞库等进行更新升级。 10.4.10 网络安全防护策略配置调优 定期针对日常安全监测和安全风险检查的结果进行综合分析研判,识别网络 安全风险、脆弱性和不合规配置项,从整体网络安全技术防护策略的角度提出准 确、有效的改进措施,协助开展策略配置调优,以持续提升安全运行和防护能力。 10.5 服务流程要求 实施流程包括项目准备阶段、项目启动阶段、项目执行阶段、项目验收等阶段: 11. 重要时期安全保障服务 11.1 ★服务方式要求 |
服务方安全服务实施人员须提供现场服务。 11.2 ★服务期限要求 服务期限:30天/人/年。 11.3 ★服务标准要求 服务方在完成重要时期安全保障服务后须向用户提供包括但不限于以下主要交付物作为服务标准, 11.3.1 重要活动开始前: 对外服务检查:《对外服务检查确认单》 WEB站点渗透测试:《WEB站点渗透测试报告》、《WEB站点渗透测试复查报告》 安全漏洞扫描:《安全漏洞扫描报告》、《安全漏洞整改复查报告》 主机安全检查:《主机安全检查报告》、《主机安全检查复查报告》 11.3.2 重要活动开始中: 网站安全监测:《网站安全监测周报》 安全运维值守:《安全运维值守日报》、《安全事件处理报告》 安全日志分析:《安全日志分析报告》 安全应急响应:《应急响应报告》 11.3.3 重要活动开始后: 成果汇报:《安全保障服务报告》 11.4 服务内容要求 服务方须针对哈尔滨理工大学在重大会议、节假日等特殊时期内,服务方派遣安全攻防经验丰富的安全服务实施人员,进驻客户现场提供重要时期安全保障服务,对目标系统进行现场安全值守和保障,对业务系统的安全状况进行实时监控和日志分析。 在现场安全保障期间,当目标遭受黑客入侵攻击时,现场值守人员须立即对入侵事件进行分析、检测、抑制、处理,查找入侵来源并恢复系统正常运行 ,完成后给出应急响应报告,报告中将还原入侵过程,同时给出对应的解决建议。 服务方须针对哈尔滨理工大学重要IT系统资产、包括主机、网络、应用等系统运行维护场景,针对互联网IT服务业务、IT资产为服务对象。 服务方在重要时期安全保障服务项目实施过程中,服务方安全服务值守人员须针对用户信息安全建设需求,提供相关安全值守服务,值守工作内容包含但不限于以下内容: 信息安全通告、信息安全咨询、对外服务检查、Web站点渗透测试、安全漏洞扫描、主机安全检查、网站安全监测服务、安全值守服务、安全日志分析 、应急响应等服务内容。 11.5 服务工具要求 11.5.1 远程安全评估工具 |
服务方须应采用业界成熟的商业化远程安全评估工具,通过远程安全评估工具能够全面、深层次、快速的对客户IT资产所存在和潜在的安全风险进行评估 ,通过安全服务实施人员及设备所存在的安全风险一对一的修复建议指导客户对信息系统进行及时的正确性加固,使哈尔滨理工大学的信息系统抗攻击能力能够有效提升。减少、避免遭受被攻击的机率,从而提升信息系统整体安全性。 11.5.2 安全基线远程评估系统 服务方须应采用业界成熟的商业化基线核查版远程安全评估工具,借鉴FDCC体系的CCE公共安全配置标准,并结合国内等级保护制度和行业配置安全标准,能够检查信息系统中的主机操作系统、数据库、网络设备等,并且符合行业现有的配置规范要求,实现基线检查服务工作的智能化、自动化。 11.5.3 信息安全等保检查工具箱 服务方须应采用业界成熟的商业化信息安全等级保护检查工具箱,通过信息安全等级保护检查工具箱,实现将等级保护工作流程化,等级保护基本要求与网络、主机、应用、数据库的检查及漏洞自动化关联匹配分析,实现基线检查服务工作的规范化、系统化、专业化,简化客户基线检查服务工作复杂的流程。 11.6 服务流程要求 服务方在重要时期安全保障服务流程中,须提供现场服务和非现场服务两种服务流程。 根据具体的服务内容,现场服务流程须包括下列内容: n 安全漏洞扫描 n 主机安全检查 n 安全值守服务 n 安全日志分析 n 应急响应服务 非现场服务流程须包括下列内容: n 信息安全通告 n 信息安全咨询 n 对外服务检查 n WEB站点透测试 n 网站安全监测服务 12. 学校安全制度体系建设 12.1 ★服务方式要求 服务方安全服务实施人员须提供现场服务。 12.2 ★服务期限要求 服务期限:1套。 12.3 ★服务标准要求 |
服务方须根据哈尔滨理工大学目前安全制度体系建设的现状、差距和风险分析结果,依照GB/T 22239《信息安全技术 网络安全等级保护》标准相关要求,建立满足学校安全需求的统一信息安全框架,充分满足安全管理体系的有效性、充分性和适宜性。制度文件体系建设包括制度文件体系设计和文件 编写。建立制度文件体系的框架,确保制度文件体系在结构上、层次上、覆盖面上满足信息安全管理工作的需要。并根据制度文件框架和编写计划,建 设制度文件体系。制度文件所涉及的体系及流程能落地并正常流转。 交付输出:《网络安全等级保护 安全管理制度》。 12.4 服务内容要求 服务方须参照GB/T 22239《信息安全技术 网络安全等级保护》标准对哈尔滨理工大学提供学校安全制度体系建设,组织信息安全管理体系差距分析及评估,帮助用户充分了解自身的业务状况、职责划分,从而在业务、职责上更加明确体系建设的范围和重点。帮助用户了解自身的信息安全管理工作现 状,分析当前信息安全管控措施的水平,在整体上把握信息安全需求,从而为今后设计出符合自身特点、满足需求、促进发展的信息安全管理体系打下 坚实基础。通过与信息安全管理体系标准条款的比对,找出客户现有水平与权威标 准的差距与不足,为以后的信息安全管理工作提供明确的指导方向。 通过分析现状与标准比对得出的差异,一方面,肯定并继续保持客户目前已经达到甚至超过标准要求的部分,另一方面,分析用户目前存在的不足,并挖掘深层次原因,提出切实可行的整改意见。调动用户全体员工的积极性,使更多的人参与到信息安全管理体系建设的工作中来,集思广益充分发挥集体的力量,将体系建设以及之后的落实工作更加有效的贯彻执行到信息安全的各个方面。 12.5 服务流程要求 在学校安全制度体系建设服务的过程中,服务方须充分遵循GB/T 22239《信息安全技术 网络安全等级保护》及ISO/IEC 27001信息技术-安全技术-信息安全管理体系-要求,采用PDCA模式建立信息安全管理体系,并加以实施、保持和改进其有效性,学校安全制度体系建设的须包括建立、实施、运作 、监视、评审、保持和改进的策划活动。 12.5.1信息安全管理体系的策划与准备。 策划与准备阶段主要是做好建立学校安全制度体系建设的各种前期工作。内容包括教育培训、拟定计划、信息安全管理现状调查与风险评估,及信息安全管理体系设计。 12.5.2学校安全制度体系建设文件的编制。 为实现风险控制、评价和改进信息安全 管理体系、实现持续改进提供不可或缺的依据。 12.5.3信息安全管理体系运行。 学校安全制度体系建设文件编制完成以后,按照文件的控制要求进行审核与批准并发布实施。在体系运行试运行期间,及时发现体系策划本身存在的问题,找出问题根源,采取纠正措施,纠正各种不符合,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。 12.5.4学校安全制度体系审核与评审。 为验证所有安全程序的正确实施,以及检查信息系统是否符合安全实施标准,将进行系统的、独立的检查和评价。把审核与评审作为一种自我改进的机制,保持信息安全管理体系持续有效性,并不断的改进与完善。 13. 等保测评服务 13.1 ★服务方式要求 服务方安全服务实施人员须提供现场服务。 13.2 ★服务期限要求 服务期限:5个二级信息系统。 |
13.3 ★服务标准要求 服务方等级保护测评服务工作完成后,出具《网络安全等级保护 XXX系统等级测评报告》报告中须包含单项测评结果、单元测评结果、层面间分析、区域间分析等内容,并结合哈尔滨理工大学信息系统的实际情况,指出信息系统中存在的安全薄弱环节,提出安全整改建议。 13.4 服务内容要求 工作任务主要包括安全现状调研、安全风险评估、透测试服务、安全整改方案、等级保护测评5个方面。 安全现状调研的调研内容包括但不限于业务战略及管理制度、主要的业务功能和要求、网络结构与网络环境、系统边界、主要的硬件和软件、数据和信息、支持和使用系统的人员等。 安全风险评估的内容包含安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员 、安全建设管理、安全运维管理。 透测试服务的测试方法及内容包括但不限于端口扫描,漏洞扫描,拓扑发现,口令破解,本地或远程溢出以及脚本测试等。 等级保护测评服务依据《中华人民共和国网络安全法》、《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019) 、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》要求,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理方面分别进行,最终出具等级测评报告,以指导后续对平台系统的等级保护差距整改工作。 依据最新的学校系统建设方案,重新编制学校系统安全等级保护定级报告和备案表。 系统梳理包括网络拓扑调查、资产信息调查、服务信息调查、系统边界调查。 定级对象分析包括业务类型分析和管理机构分析。 定级要素分析包括业务信息分析、系统服务分析、综合分析、确定等级。 撰写的定级报告应包括系统描述、业务信息安全保护等级的确定、系统服务安全保护等级的确定、整个系统安全保护等级的确定等内容。 协助定级备案,包括协助填写备案表和协助评审审批。 系统调研、风险评估、透测试阶段,应向学校提交学校相应系统差距分析报告、学校系统透测试报告。 安全整改阶段,应向学校提交学校相应系统安全测评整改方案、学校系统安全测评问题报告。 等保测评阶段,应向学校提交相应系统等级保护测评报告。 13.5 服务工具要求 信息安全等保检查工具箱 服务方须应采用业界成熟的商业化信息安全等级保护检查工具箱,针对哈尔滨理工大学信息系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理制度等层面检查进行安全检查,检查内容须支持自定义筛选导出填写后导入,实现对信息系统“定级、备案、测评、整改、安全自查和监督检查”全过程的监督和管理,实现将等级保护工作流程化,并将等级保护基本要求与网络、主机、应用、数据库的检查及漏洞自动化关联匹配分析 ,实现基线检查服务工作的规范化、系统化、专业化,简化客户等级保护测评服务复杂的工作流程。避免不可预计的等级保护合规风险。 13.6 服务人员要求 项目实施团队实行项目经理负责制,项目经理对项目负全责。 项目参与人员应严格遵守保密规定。在项目开始前,与学校签订保密协议,严格遵守法律法规,对我校系统风险信息、项目实施内容及成果信息进行严格保密,未经我校同意,严禁将上述内容与任何第三方透露或用于其他商业用途,并承担由此产生的对我校的一切损失。 |
项目实施过程中,应采取有效手段确保项目最终达到质量目标。严格按照测评人员执业守则,按照国家相关法规、规范、标准及制定的测评方案、项目计划书、实施细则进行测评,在保证质量、安全的前提下,确保在项目规定的期限内按期完成。 服务商将对由于自身工作失误给学校造成的损失承担责任。 13.7 服务流程要求 13.7.1 服务方在确保信息系统正常运行的前提下,根据国家等级保护相关标准对各系统进行等级保护测评服务,测评工作须由安全服务实施人员根据G B/T 28449-2018《信息安全技术 信息系统安全等级保护测评过程指南》进行前期信息系统的调研,并编写针对信息系统等级保护合规性的实施方案,检测完成后,根据检测结果编写信息安全等级保护合规性检测报告。 13.7.2 在等级保护测评服务流程中,服务方须采用访谈及专家分析等方式进行,主要评估内容包括但不限于以下内容: 测评准备活动:工作启动、信息收集和分析、工具和表单准备。 方案编制活动:测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发、测评方案编制。 沟通与洽谈:现场测评活动、现场测评准备、现场测评和结果记录、结果确认和资料归还。 报告编制活动:单项测评结果判定、单元测评结果判定、整体测评、系统安全保障评估、安全问题风险分析、等级测评结论形成、测评报告编制。 | ||
说明 | 打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标无效。 |
第三章 投标人须知
一.前附表
序号 | 条款名称 | 内容及要求 |
1 | 计划编号 | 黑财购核字[2022]12197号 |
2 | 项目编号 | [230001]zzgj[CS]20220199 |
3 | 项目名称 | 网络安全服务项目采购 |
4 | 包组情况 | 共1包 |
5 | 是否专门面向中小企业 采购 | 采购包1:非专门面向中小企业 |
6 | 采购资金预算金额 | 500,000.00 |
7 | 采购方式 | 竞争性磋商 |
8 | 开标方式 | 不见面开标 |
9 | 评标方式 | 现场网上评标 |
10 | 评标办法 | 合同包1(网络安全服务项目):综合评分法 |
11 | 报价形式 | 合同包1(网络安全服务项目):总价 |
12 | 现场踏勘 | 否 |
13 | 保证金缴纳截止时间 (同递交投标文件截止时间) | 详见采购公告 |
14 | 电子响应文件递交 | 电子响应文件在响应截止时间前递交至黑龙江省项目采购电子交易系统 |
15 | 响应有效期 | 从提交投标(响应)文件的截止之日起90日历天 |
16 | 投标文件要求 | (1)加密的电子响应文件 1 份(需在投标截止时间前上传至“黑龙江省项目采购电子交易系统”)。 (2)若现场无法使用系统进行电子开评标的,投标供应商须开标现场递交非加密电子版响应文件U盘(或光盘)0份。 (3)纸质响应文件正本 0 份,纸质响应文件副本 0 份。 |
17 | 中标候选人推荐家数 | 合同包1(网络安全服务项目): 3 |
18 | 中标供应商确定 | 采购人授权磋商小组按照评审原则直接确定中标(成交)人。 |
19 | 备选方案 | 不允许 |
20 | 联合体投标 | 包1: 不接受 |
21 | 代理服务费收取方式 | 向中标/成交供应商收取 |
22 | 投标保证金 | x项目允许投标供应商按照相关法律法规自主选择以支票、汇票、本票或者金融机构、担保机构出具的保函等非现金形式缴纳保证金。 网络安全服务项目:保证金人民币:0.00元整。开户单位: 无 开户银行: 无银行账号: 无 特别提示: 1、响应供应商应认真核对账户信息,将响应保证金足额汇入以上账户,并自行承担因汇错投标保证金而产生的一切后果。响应保证金到账(保函提交)的截止时间与响应截止时间一致,逾期不交者,响应文件将作无效处理。 2、响应供应商在转账或电汇的凭证上应按照以下格式注明,以便核对:“(项目编号:***、包组:***)的响应保证金”。 |
23 | 电子招投标 | 各投标人应当在投标截止时间前上传加密的电子投标文件至“黑龙江省政府采购网”未在投标截止时间前上传电子投标文件的,视为自动放弃投标。投标人因系统或网络问题无法上传电子投标文件时,请在工作时间及时拨打联系电话0000000000按5转1号键。 不见面开标(远程开标) : 1.项目采用不见面开标(网上开标),如在开标过程中出现意外情况导致无法继续进行电子开标时,将会由开标负责人视情况来决定是否允许投标人导入非加密电子投标文件继续开标。本项目采用电子评标(网上评标),只对通过开标环节验证的电子投标文件进行评审。 2.电子投标文件是指通过投标客户端编制,在电子投标文件中,涉及“加盖公章”的内容应使用单位电子公章完成。加密后,成功上传至黑龙江省政府采购网的最终版指定格式电子投标文件。 3.使用投标客户端,经过编制、签章,在生成加密投标文件时,会同时生成非加密投标文件,投标人请自行留存。 4.投标人的法定代表人或其授权代表应当按照本招标公告载明的时间和模式等要求参加开标,在开标时间前30分钟,应当提前登录开标系统进行签到,填写联系人姓名与联系号码。 5.开标时,投标人应当使用 CA 证书在开始解密后30分钟内完成投标文件在线解密,若出现系统异常情况,工作人员可适当延长解密时长。(请各投标人在参加开标以前自行对使用电脑的网络环境、驱动安装、客户端安装以及CA证书的有效性等进行检测,保证可以正常使用。具体环境要求详见操作手册) 6.开标时出现下列情况的,将视为逾期送达或者未按照招标文件要求密封的投标文件,采购人、采购代理机构应当视为投标无效处理。 (1) 投标人未按招标文件要求参加远程开标会的; (2) 投标人未在规定时间内完成电子投标文件在线解密; (3) 经检查数字证书无效的投标文件; (4) 投标人自身原因造成电子投标文件未能解密的。 7.供应商必须保证在规定时间内完成已投项目的电子响应文件解密, 并在规定时间内进行签章确认,未在规定时间内签章的,视同接受开标结果。 |
24 | 电子响应文件签字、盖章要求 | 应按照第六章“响应文件格式与要求”,使用CA进行签字、盖章。 说明:xxx到授权委托人签字的可将文件签字页先进行签字、扫描后导入加密电子响应文件或签字处使用电脑打字输入。 |
25 | 其他 | |
26 | 项目兼投兼中规则 | 兼投兼中:- |
二.说明
1.委托
授权代表如果不是法定代表人/单位负责人,须持有《法定代表人/单位负责人授权书》(统一格式)。
2.费用
无论磋商过程中的作法和结果如何,参加磋商的供应商须自行承担所有与参加磋商有关的全部费用。
三.响应文件
1.响应文件计量单位
响应文件中所使用的计量单位,除有特殊要求外,应采用国家法定计量单位,报价最小单位为人民币元。
2.响应文件的组成
响应文件应按照磋商文件第六章“响应文件格式”进行编写(可以增加附页),作为响应文件的组成部分。
(二)资格证明及其他文件包括:
★1、供应商具有独立承担民事责任的能力
注:①供应商若为企业法人:提供“统一社会信用代码营业执照”;未换证的提供“营业执照、税务登记证、组织机构代码证或三证合一的营业执照”;➁若为事业法人:提供“统一社会信用代码法人登记证书”;未换证的提交“事业法人登记证书、组织机构代码证”;③若为其他组织:提供“对应主管部门颁发的准许执业证明文件或营业执照”;④若为个体工商户:提交“统一社会信用代码的营业执照”或“营业执照、税务登记证”;⑤若为自然人:提供“身份证明材料”。以上均提供复印件。
★2、法定代表人/单位负责人签字并加盖公章的法定代表人/单位负责人授权书。
注:供应商为法人单位时提供“法定代表人授权书”,供应商为其他组织时提供“单位负责人授权书”,供应商为自然人时提供“自然人身份证明材料”。
★3、法定代表人/单位负责人身份证正反两面复印件及投标代表身份证明身份证正反两面复印件。供应商为大学生创办的小微企业还应提供法定代表人的学生证或毕业证或国外学历学位认证书复印件。
(三)报价书附件的编制及编目
1、报价书附件由供应商自行编制,规格幅面应与正文一致,附于正文之后,与正文页码统一编目编码装订。
2、报价书附件必须包含以下内容:
(1)产品主要技术参数明细表及报价表;
(2)技术服务和售后服务的内容及措施。
3、报价书附件可以包含以下内容:
(1)产品详细说明书。包括:产品主要技术数据和性能的详细描述或提供产品样本;
(2)产品制造、验收标准;
(3)详细的交货清单;
(4)特殊工具及备件清单;
(5)供应商推荐的供选择的配套货物表;
(6)提供报价所有辅助性材料或资料。
3.报价
(一)所有价格均以人民币报价,所报价格为送达用户指定地点安装、调试、培训完毕价格.
(二)磋商报价分两次,即初始报价,供应商递交的响应文件中的报价及磋商结束后的最后报价,且将做为最终的成交价格。
(三)具备初始报价,方有资格做第二次报价。
(四)最低报价不能作为成交的唯一保证。
(五)如供应商未按规定要求和时间递交最后报价,该供应商提交的响应文件中的初始报价将作为其最后报价。
(六)供应商应注意本文件的技术规格中指出的工艺、材料和设备型号仅起说明作用,并没有任何限制性。供应商在报价中可以选用替代标准或型号,但这些替代要实质上满足或超过本文件的要求。
4.响应文件的签署及规定
(一)组成响应文件的各项资料均应遵守本条规定。
(二)响应文件应按规范格式编制,按要求签字、加盖公章。
(三)响应文件装订成册、编制页码且页码连续。
(四)响应文件的正本必须用不退色的墨水填写或打印,注明“正本”字样,副本可以用复印件。正本 0 份,副本 0 份
(五)响应文件不得涂改和增删,如有修改错漏处,必须由磋商代表签字并加盖公章。
(六)响应文件因字迹潦草或表达不清所引起的后果由供应商自行负责。
(七)法定代表人/单位负责人授权书应由法定代表人/单位负责人签字并加盖公章。
5.响应文件存在下列任意一条的,则响应文件无效:
(一)任意一条不满足磋商文件★号条款要求的;
(二)单项产品五条及以上不满足非★号条款要求的;
(三)供应商所提报的技术参数没有如实填写,没有与“竞争性磋商文件技术要求”一一对应,只简单填写“响应或完全响应”的以及未逐条填写应答的;
(四)供应商提报的技术参数中没有明确品牌、型号、规格、配置等;
(五)单项商品报价超单项预算的;
(六)响应产品中如要求安装软件,应提供正版软件,否则响应无效;台式计算机、便携式计算机必须预装正版操作系统,该系统须有唯一的正版序列号与之对应,一个正版序列号只能对应一台计算机,否则响应无效;
(七)政府采购执行节能产品政府强制采购和优先采购政策。如采购人所采购产品为政府强制采购的节能产品,供应商所投产品的品牌及型号必须为清单中有效期内产品并提供证明文件,否则其响应将作为无效响应被拒绝;
注:本项目评审条款中有特殊情形的,以评审条款中的规定为准。
6.供应商出现下列情况之一的,响应文件无效:
(一)非★条款有重大偏离经磋商小组专家认定无法满足竞争性磋商文件需求的;
(二)未按竞争性磋商文件规定要求签字、盖章的;
(三)响应文件中提供虚假材料的;(提供虚假材料进行报价、应答的,还将移交财政部门依法处理);
(四)提交的技术参数与所提供的技术证明文件不一致的;
(五)所报项目在实际运行中,其使用成本过高、使用条件苛刻的需经磋商小组确定后不能被采购人接受的;
(六)法定代表人/单位负责人授权书无法定代表人/单位负责人签字或没有加盖公章的;
(七)参加政府采购活动前三年内,在经营活动中有重大违法记录的;
(八)供应商对采购人、代理机构、磋商小组及其工作人员施加影响,有碍公平、公正的;
(九)单位负责人为同一人或者存在直接控股、管理关系的不同供应商参与本项目同一合同项下的投标的,其相关投标将被认定为投标无效;
(十)属于串通投标,或者依法被视为串通投标的;
(十一)磋商小组认为,排在前面的入围候选供应商的报价明显不合理或者低于成本,有可能影响服务质量和不能诚信履约的,应当要求该供应商作出书面说明并提供相关证明材料,否则,磋商小组可以取消该供应商的成交候选资格,按顺序由排在后面的成交候选供应商递补;
(十二)按有关法律、法规、规章规定属于响应无效的;
(十三)磋商小组在磋商过程中,应以供应商提供的响应文件为磋商依据,不得接受响应文件以外的任何形式的文件资料。
7.供应商禁止行为
(一)供应商在提交响应文件截止时间后撤回响应文件;
(二)成交人在磋商结果产生后放弃成交;
(二)成交人在规定的时限内不签订政府采购合同。
8.竞争性磋商文件质疑提起与受理
供应商在参加黑龙江省政府采购代理机构组织的政府采购活动中,认为采购文件使自己的权益受到损害的,可依法提出质疑;
(一)潜在供应商已依法获取采购文件,且满足参加采购活动基本条件的,可以对该文件提出质疑;对采购文件提出质疑的,应当在首次获取采购文件之日起7个工作日内提出;
(二)提出质疑的供应商应当在规定的时限内,以书面形式一次性地向代理机构递交质疑函和必要的证明材料。
(三)有下列情形之一的,政府采购代理机构不予受理:
1、按照“谁主张、谁举证”的原则,应由质疑供应商提供质疑事项的相关证据、依据和其他有关材料,未能提供的;
2、未按照补正期限进行补正或者补正后仍不符合规定的;
3、未在质疑有效期限内提出的;
4、同一质疑供应商一次性提出质疑后又提出新质疑的;
(四)有下列情形之一的,质疑不成立:
1、质疑事项缺乏事实依据的;
2、质疑供应商捏造事实或者提供虚假材料的;
3、质疑供应商以非法手段取得证明材料的。
(五)对虚假和恶意质疑的处理。
代理机构将对虚假和恶意质疑的供应商进行网上公示,推送省级信用平台;报省政府采购监督管理部门依法处理,记入政府采购不良记录;限制参与政府采购活动;
有下列情形之一的,属于虚假和恶意质疑:
1、主观臆造、无事实依据进行质疑的;
2、捏造事实或提供虚假材料进行质疑的;
3、恶意攻击、歪曲事实进行质疑的;
4、以非法手段取得证明材料的。
第四章 磋商及评审方法
一.磋商评审要求
1、评审方法
综合评分法,响应文件满足磋商文件全部实质性要求,且按照评审因素的量化指标评审得分最高的供应商为成交候选人的评审方法。(最低报价不是成交的唯一依据。)
2、评审原则
2.1 评审活动遵循公平、公正、科学和择优的原则,以磋商文件和响应文件为评审的基本依据,并按照磋商文件规定的评审方法和评审标准进行评审。
2.2 具体评审事项由磋商小组负责,并按磋商文件的规定办法进行评审。
3、磋商小组
3.1 磋商小组由采购人代表和评审专家共3人以上单数组成,其中评审专家人数不得少于磋商小组成员总数的2/3。
3.2 磋商小组成员有下列情形之一的,应当回避:
(1)参加采购活动前三年内,与供应商存在劳动关系,或者担任过供应商的董事、监事,或者是供应商的控股股东或实际控制人;
(2)与供应商的法定代表人或者负责人有夫妻、直系血亲、三代以内旁系血亲或者近姻亲关系;
(3)与供应商有其他可能影响政府采购活动公平、公正进行的关系。
3.3 磋商小组负责具体评审事务,并独立履行下列职责:
(1)审查、评价响应文件是否符合磋商文件的商务、技术等实质性要求;
(2)要求供应商对响应文件有关事项作出澄清或者说明,与供应商进行分别磋商;
(3)对响应文件进行比较和评价;
(4)确定成交候选人名单,以及根据采购人委托直接确定成交供应商;
(5)向采购人、采购代理机构或者有关部门报告评审中发现的违法行为;
(6)法律法规规定的其他职责。
4、澄清
磋商小组在对响应文件的有效性、完整性和响应程度进行审查时,可以要求供应商对响应文件中含义不明确、同类问题表述不一致或者有明显文字和计算错误的内容等作出必要的澄清、说明或者更正。供应商的澄清、说明或者更正不得超出响应文件的范围或者改变响应文件的实质性内容。供应商的澄清、说明或者更正应当采用书面形式,并加盖公章,或者由法定代表人或其授权的代表签字。供应商的澄清、说明或者更正不得超出响应文件的范围或者改变响应文件的实质性内容。
4.1 磋商小组不接受供应商主动提出的澄清、说明或更正。
4.2 磋商小组对供应商提交的澄清、说明或更正有疑问的,可以要求供应商进一步澄清、说明或更正。
5、有下列情形之一的,视为供应商串通投标:
(1)不同供应商的响应文件由同一单位或者个人编制;(不同供应商响应文件上传的项目内部识别码一致);
(2)不同供应商委托同一单位或者个人办理投标事宜;
(3)不同供应商的响应文件载明的项目管理成员或者联系人员为同一人;
(4)不同供应商的响应文件异常一致或者投标报价呈规律性差异;
(5)不同供应商的响应文件相互混装;
(6)不同供应商的投标保证金为从同一单位或个人的账户转出;
说明:在项目评审时被认定为串通投标的供应商不得参加该合同项下的采购活动
6、有下列情形之一的,属于恶意串通投标:
(1)供应商直接或者间接从采购人或者采购代理机构处获得其他供应商的相关情况并修改其投标文件或者响应文件;
(2)供应商按照采购人或者采购代理机构的授意撤换、修改投标文件或者响应文件;
(3)供应商之间协商报价、技术方案等投标文件或者响应文件的实质性内容;
(4)属于同一集团、协会、商会等组织成员的供应商按照该组织要求协同参加政府采购活动;
(5)供应商之间事先约定由某一特定供应商成交、成交;
(6)供应商之间商定部分供应商放弃参加政府采购活动或者放弃成交、成交;
(7)供应商与采购人或者采购代理机构之间、供应商相互之间,为谋求特定供应商成交、成交或者排斥其他供应商的其他串通行为。
7、投标无效的情形
详见资格性审查、符合性审查和磋商文件其他投标无效条款。
8、废标(终止)的情形
出现下列情形之一的,采购人或者采购代理机构应当终止竞争性磋商采购活动,发布项目终止公告并说明原因,重新开展采购活动。
(1)因情况变化,不再符合规定的竞争性磋商采购方式适用情形的;
(2)出现影响采购公正的违法、违规行为的;
(3)在采购过程中符合磋商要求的供应商或者报价未超过采购预算的供应商不足3家的,但经财政部门批准的情形除
外;
(4)法律、法规以及磋商文件规定其他情形。
9、定标
磋商小组按照磋商文件确定的评审方法、步骤、标准,对响应文件进行评审。评审结束后,对供应商的评审名次进行排序,确定成交供应商或者推荐成交候选人。
二.政府采购政策落实
1.节能、环保要求
采购的产品属于品目清单范围的,将依据国家确定的认证机构出具的、处于有效期之内的节能产品、环境标志产品认证证书,对获得证书的产品实施政府优先采购或强制采购,具体按照本采购文件相关要求执行。
2.对小型、微型企业、监狱企业或残疾人福利性单位给予价格扣除
依照《政府采购促进中小企业发展管理办法》、《关于政府采购支持监狱企业发展有关问题的通知》和《财政部 民政部中国残疾人联合会关于促进残疾人就业政府采购政策的通知》的规定,凡符合要求的小型、微型企业、监狱企业或残疾人福利性单位,按照以下比例给予相应的价格扣除:(监狱企业、残疾人福利性单位视同为小、微企业)。
合同包1(网络安全服务项目)
序号 | 情形 | 适用对象 | 价格扣除比 例 | 计算公式 |
1 | 小型、微型企业,监狱企 业,残疾人福利性单 位 | 非联合体 | 20% | 服务由小微企业承接,即提供服务的人员为小微企业依照 《中华人民共和国劳动合同法》订立劳动合同的从业人员时,给予价格扣除C1,即:评标价=投标报价×(1-C1);监狱企业与残疾人福利性单位视同小型、微型企业,享受同等价格扣除,当企业属性重复时,不重复价格扣除。 |
注:(1)上述评标价仅用于计算价格评分,成交金额以实际投标价为准。 (2)组成联合体的大中型企业和其他自然人、 法人或者其他组织,与小型、微型企业之间不得存在投资关系。 |
价格扣除相关要求:
(1)所称小型和微型企业应当同时符合以下条件:
①符合中小企业划分标准;
➁提供本企业制造的货物、承担的工程或者服务,或者提供其他中小企业制造的货物。本项所称货物不包括使用大型企业注册商标的货物;
中小企业划分标准,是指国务院有关部门根据企业从业人员、营业收入、资产总额等指标制定的中小企业划型标准。小型、微型企业提供中型企业制造的货物的,视同为中型企业。
符合中小企业划分标准的个体工商户,在政府采购活动中视同中小企业。
(2)在政府采购活动中,供应商提供的货物、工程或者服务符合下列情形的,享受《政府采购促进中小企业发展管理办法》规定的中小企业扶持政策:
①在货物采购项目中,货物由中小企业制造,即货物由中小企业生产且使用该中小企业商号或者注册商标;
➁在工程采购项目中,工程由中小企业承建,即工程施工单位为中小企业;
③在服务采购项目中,服务由中小企业承接,即提供服务的人员为中小企业依照《中华人民共和国劳动民法典》订立劳动合同的从业人员。
在货物采购项目中,供应商提供的货物既有中小企业制造货物,也有大型企业制造货物的,不享受《政府采购促进中小企业发展管理办法》规定的中小企业扶持政策。
以联合体形式参加政府采购活动,联合体各方均为中小企业的,联合体视同中小企业。其中,联合体各方均为小微企业的,联合体视同小微企业。
(3)供应商属于小微企业的应填写《中小企业声明函》;监狱企业须供应商提供由监狱管理局、戒毒管理局(含新疆生产建设兵团)出具的属于监狱企业的证明文件;残疾人福利性单位应填写《残疾人福利性单位声明函》,否则不认定价格扣除。
说明:供应商应当认真填写声明函,若有虚假将追究其责任。供应商可通过“国家企业信用信息公示系
统”(xxxx://xxx.xxxx.xxx.xx/xxxxx.xxxx),点击“小微企业名录”(xxxx://xxxx.xxxx.xxx.xx/)对供应商和核心设备制造商进行搜索、查询,自行核实是否属于小微企业。
(4)提供供应商的《中小企业声明函》、《残疾人福利性单位声明函》(格式后附,不可修改),未提供、未盖章或填写内容与相关材料不符的不予价格扣除。
(5)报价供应商为大学生创办的小微企业的,对其法定代表人身份及企业性质进行核查,请报价供应商提供(A)、
(B)、(C)的登录名和密码:
(A)法定代表人为在校大学生的,学生证复印件与《企业法人营业执照》上的法人代表名称应一致。查询路径:中国高等教育学生信息网(学信网)http://xxx.xxxx.xxx.xx/。
(B)法定代表人为大学毕业生的,毕业证复印件与《企业法人营业执照》上的法人代表名称应一致。查询路径:中国高等教育学生信息网(学信网)http://xxx.xxxx.xxx.xx/。
(C)法定代表人为留学回国人员的,国外学历学位认证书复印件与《企业法人营业执照》上的法人代表名称应一致。查询路径:教育部留学服务中心-国(境)外学历学位认证系统http://xxxxxxxx.xxxxx.xxx.xx/Xxxxx.xxxx。
(D)企业法定代表人必须为在校大学生、毕业五年内大学生(含留学回国),同时大学生必须为控股股东。控股情况查询:全国企业信用信息公示系统http://xxxx.xxxx.xxx.xx/。
(E)各项查询结果需打印并由磋商小组签字。
三.评审程序
1.资格性审查和符合性审查
资格性审查。磋商小组依据法律法规和竞争性磋商文件规定,对响应文件中的资格证明等进行审查,以确定供应商是否具备入围资格。如供应商不具备入围资格,应书面告知未入围的供应原因并要求其签字确认收到告知书。(详见后附表一资格性审查表)
符合性审查。依据磋商文件的规定,从响应文件的有效性、完整性和对磋商文件的响应程度进行审查,以确定是否对磋商文件的实质性要求作出响应。(详见后附表二符合性审查表)
资格性审查和符合性审查中凡有其中任意一项未通过的,评审结果为未通过,未通过资格性审查、符合性审查的投标单位按无效投标处理。
2.磋商
(1)磋商小组所有成员应当集中与单一供应商分别进行磋商,并给予所有参加磋商的供应商平等的磋商机会。
(2)在磋商过程中,磋商小组可以根据磋商文件和磋商情况实质性变动采购需求中的技术、服务要求以及合同草案条款,但不得变动磋商文件中的其他内容。实质性变动的内容,须经采购人代表确认。
对磋商文件作出的实质性变动是磋商文件的有效组成部分,磋商小组应当及时、同时通知所有参加磋商的供应商
供应商应当按照磋商文件的变动情况和磋商小组的要求进行最终报价或重新提交响应文件,并由其法定代表人或授权代表签字或者加盖公章。由授权代表签字的,应当附法定代表人授权书。供应商为自然人的,应当由本人签字并附身份证明。
3.最后报价
磋商结束后,磋商小组应当要求所有实质性响应的供应商在规定时间内提交最后报价。最后报价是供应商响应文件的有效组成部分。
已提交响应文件的供应商,在提交最后报价之前,可以根据磋商情况退出磋商。
4.政府采购政策功能落实
对于小型、微型企业、监狱企业或残疾人福利性单位给予价格扣除。
5.综合评分(详见后附表三详细表)
由磋商小组采用综合评分法对提交最后报价的供应商的响应文件和最后报价进行综合评分(得分四舍五入保留两位小数)。
6.汇总、排序
评审结果按评审后总得分由高到低顺序排列。评审得分相同的,按照最后报价由低到高的顺序推荐。评审得分且最后报价相同的,按照技术指标优劣顺序推荐,以上均相同的由采购人确定。
四.确定成交供应商
(一)磋商小组依据磋商方法和原则确定成交供应商,并将成交结果通知所有参加磋商的未成交供应商。
(二)如供应商对成交结果有异议,请当场以书面形式提出,由磋商小组以书面形式进行回复,其他任何形式的回复无效。
(三)成交公告和成交通知书
代理机构负责发布成交公告,同时向成交供应商发出《成交通知书》,《成交通知书》是《合同》的一个组成部分。
(四)排名第一的成交候选人不与采购人签订合同的,采购人可直接上报黑龙江省财政部门。
五.合同的签订
(一)成交供应商应按《成交通知书》规定的时间、地点与采购人签订政府采购合同。
(二)竞争性磋商文件、成交供应商的响应文件、磋商过程中的有关澄清和承诺文件均是政府采购合同的必要组成部分,与合同具有同等法律效力。
(三)采购人不得向成交供应商提出任何不合理的要求,作为签订合同的条件,不得与成交供应商订立违背合同实质性内容的协议。
(四)合同由采购人通过黑龙江省政府采购网上传黑龙江省财政部门备案。
(五)采购人负责合同的审核、签订、履约及验收工作,黑龙江省财政部门负责对合同签订、合同履约及验收进行监督检查。
六.履约金
合同包1(网络安全服务项目): 本合同包不收取
七.付款及验收
合同包1(网络安全服务项目)
付款方式 | 1期: 100%, 验收合格后完成付款。 |
验收要求 | 1期: 满足招标参数要求,按期提供所有技术报告,按期完成所有服务。 |
表一资格性审查表:
合同包1(网络安全服务项目)
具有独立承担民事责任的能 力 | 在中华人民共和国境内注册的法人或其他组织或自然人,投标时提交有效的营业执照(或事业 法人登记证或身份证等相关证明)副本复印件。 |
有依法缴纳税收和社会保障 资金的良好记录 | 按照招标文件给的格式提供承诺函 |
具有良好的商业信誉和健全 的财务会计制度 | 按照招标文件给的格式提供承诺函 |
履行合同所必须的设备和专 业技术能力 | 按照招标文件给的格式提供承诺函 |
参加采购活动前3年内,在 经营活动中没有重大违法记录 | 按照招标文件给的格式提供承诺函 |
信用记录 | 按照招标文件给的格式提供承诺函 |
供应商必须符合法律、行政 法规规定的其他条件 | 按照招标文件给的格式提供承诺函 |
表二符合性审查表:
合同包1(网络安全服务项目)
投标报价 | 投标报价(包括分项报价,投标总报价)只能有一个有效报价且不超过采购预算或最高限价, 投标报价不得缺项、漏项。 |
投标文件规范性、符合性 | 投标文件的签署、盖章、涂改、删除、插字、公章使用等符合招标文件要求;投标文件文件的 格式、文字、目录等符合招标文件要求或对投标无实质性影响。 |
主要商务条款 | 按照招标文件给的格式提供承诺函 |
联合体投标 | 按照招标文件给的格式提供承诺函 |
技术部分实质性内容 | 1.明确所投标的的产品品牌、规格型号或服务内容或工程量; 2.投标文件应当对招标文件提 出的要求和条件作出明确响应并满足招标文件全部实质性要求。 |
其他要求 | 按照招标文件给的格式提供承诺函 |
表三详细评审表:网络安全服务项目
评审标准
评审因素
分值构成 | 技术部分74.0分商务部分16.0分 报价得分10.0分 | |
技术部分 | 技术指标响应情况 (10.0分) | 1、带★号标识的技术指标参数必须满足,有一项不满足按否决其投标处理 。 2、以下参数,低于或不满足招标文件规定的技术参数要求的一项扣0.5分,最多扣10分,扣完为止。详见以下参数: 1.4.3 支持web漏洞扫描结果+V功能,加V表示该漏洞可靠性达到90%以上,可帮助用户快速的确认和处理漏洞。(提供相关证明材料) 1.4.10 安全运营服务平台支持按照IP DRO的服务模式展示各阶段服务进展情况。(提供相关证明材料)。 1.4. 12 终端检测响应工具能够对内网的恶意攻击行为进行识别(漏洞利用、横向移动),可阻断恶意探测行为,并获得的赛可达实验室SKD ZS认证。(提供相关证明材料) 1.4.14 支持沙箱逃逸检测,当恶意文件进行逃逸尝试 ,在沙箱报告中进行体现。(提供相关证明材料)。 1.4.16 支持30个以 上的深度检测模块,对流量进行二次分析,提高攻击检测的准确性。(提 供相关证明材料)。 1.5.1 服务期间以服务的形式提供一套支持软件化部署的资产发现与管理工具,可通过域名、IP段、手工导入等多种途径对资产进行探测和管理,形成可维护的资产信息表。(提供相关证明材料)。 1.5 .2 工具应提供API数据接口,支持与其他平台进行对接,实现本平台和其他 平台的数据实时同步对接。(提供相关证明材料)。 1.5.3 服务期间以服务的形式提供一套支持漏洞扫描与管理工具,提供全面的漏洞扫描和跟踪 清单。(提供相关证明材料)。 2.4.2 提供精准资产类型及指纹识别,能够识别的资产类型包括但不限于CMS网站应用、数据库服务应用、服务中间件、开源框架、网络及安全设备、物联网设备等,识别指纹种类不低于6 000种。(提供相关证明材料)。 2.5 服务工具要求:服务期间以服务的形式提供一套支持软件化部署的资产发现与管理工具,可通过域名、IP段、手工导入等多种途径对资产进行探测和管理,形成可维护的资产信息表。 (提供相关证明材料)。 8.5.1全国范围内具备至少20个云防护和CDN加速节点。(提供相关证明材料) 8.5.2要求安全防御平台为一体化平台,应同时具备网站漏洞监测、安全事件监测、可用性监测、攻击防御状态、防护报表等功能,要求所有的功能集成在同一产品上实现。(提供相关证明材料) 8.5.5能支持提供不低于2Tbps的DDOS流量清洗能力。(提供相关证明材料) 8.5.18支持一键虚拟补丁功能,网站出现0day漏洞时能快速完成修复。(提供相关证明材料) 8.5.19支持永久在线功能,当网站因为服务器故障、线路故障、电源等问题出现无法连接时,可显示云防护节点中的缓存页面。当在敏感期或特殊时期时,用户网站主动关闭期间可显示缓存页面,增强网站安全性。(提供相关证明材料) 8.5.20支持一键关停功能 ,当网站出现紧急安全事件时,可在一分钟内通过手机APP和浏览器一键完成关停,防止产生恶劣影响。(提供相关证明材料) 8.5.21提供事前漏洞扫描服务,对网站存在的脆弱性进行探查,包括SQL注入漏洞、跨站脚本 漏洞、开放服务漏洞、网站第三方应用漏洞0day漏洞等。(提供相关证明材料) 8.5.23提供事后安全事件监测服务,监测内容如下: 对网站被植入暗链进行监测,包括对广告、游戏、博彩、色情、医疗、推广等类型的暗 |
链进行监测,已检测到的暗链URL不少于150万个。(提供相关证明材料)对网站黑页进行监测; 对网站篡改变更进行监测; 对网页敏感内容进行监测,如“博彩”、“色情”等; 对网站坏链、无效链接、错链进行监测; 8.5. 24对反共黑客事件进行7*24小时的专人值守监测;敏感关键字策略数不少于2万个。(提供相关证明材料)。 8.5.25提供攻击日志记录与查询功能 ,攻击日志至少保存6个月,满足《网络安全法要求》,可根据域名、URL 、攻击方法、返回码、威胁等级、攻击IP、攻击区域和攻击类型进行查询,查询后的攻击日志数据可导出Excel文件。(提供相关证明材料) | ||
技术方案 (39.0分) | 技术方案须符合GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》及本项目特点,根据用户信息系统整体的实际情况、契合度方面进 行综合评价,最高得39分,技术方案包括但不限于: 1、《安全托管服务技术方案》; 2、《互联网资产梳理服务技术方案》; 3、《安全基线检查服务技术方案》; 4、《漏洞扫描服务技术方案》; 5、《透测试服务技术方案》; 6、《安全加固服务技术方案》; 7、《应急响应服务技术方案 》; 8、《网站监测技术方案》; 9、《安全培训服务技术方案》; 10、 《人员驻场安全服务技术方案》; 11、《重要时期网络安全保障服务技术方案》; 12、《学校安全制度体系建设技术方案》; 13、《等保测评(二级)技术方案》。 其中每提供一项技术方案得3分,每缺少一项技术方案扣3分,扣完为止,不提供技术方案不得分。 | |
服务人员能力 (25.0分) | 一、参与本次项目的安全服务经理须同时具备以下五种认证中的任意四种 认证,所有人员提供有效证书复印件、身份证复印件及近3个月社保缴纳明细(人员社保缴纳单位须与投标人名称一致),每提供一人得5分,最高得 15分,要求投标文件中出具证书人员与用户现场实施人员为同一人,并提供承诺函,不提供不得分。 1、由中国信息安全测评中心颁发的《注册信息安全专业人员(CISP)》认证证书; 2、由中国网络安全审查技术与认证中心(CCRC)颁发的《信息安全保障人员认证证书(风险管理专业级)》 ; 3、由中国网络安全审查技术与认证中心(CCRC)颁发的《信息安全保障人员认证证书(应急服务专业级)》或《网络安全应急响应工程师证书 》; 4、由公安部第一研究所颁发的《信息安全等级保护安全建设专业技术人员证书》; 5、由工业和信息化部颁发的《高级网络信息安全工程师》或 《高级网络工程师》认证证书。 二、参与本次项目的安全服务人员须具备由公安部第一研究所颁发的《信息安全等级保护安全建设专业技术人员证书》,提供有效证书复印件、身份证复印件及近3个月社保缴纳明细(人员社保缴纳单位须与投标人名称一致),每提供一人得2分,最多得10分,要求投标文件中出具证书人员与用户现场实施人员为同一人,并提供承诺函 ,不提供不得分。 | |
商务部分 | 企业服务能力 (10.0分) ) | 1、投标人提供《信息安全服务资质认证证书》信息安全风险评估服务资质须符合三级及以上服务资质要求,提供证书复印件得2.5分,不提供不得分 。 2、投标人提供《信息安全服务资质认证证书》信息安全应急处理服务资质须符合三级及以上服务资质要求,提供证书复印件得2.5分,不提供不得分。 3、投标人提供ISO20000《信息技术服务管理体系认证证书》资质证明文件复印件得2.5分,不提供不得分。 4、投标人提供ISO27001《信息 安全管理体系认证证书》资质证明文件复印件得2.5分,不提供不得分。 |
项目业绩 (6.0分) | 提供近3年相似项目成功案例,每提供一个得3分,最多得6分,提供合同扫 描件或中标通知书扫描件,不提供不得分。 | |
投标报价 | 投标报价得分 (10.0分) | 投标报价得分=(评标基准价/投标报价)×价格分值【注:满足招标文件要求且投标价格最低的投标报价为评标基准价。】最低报价不是中标的唯一依据。因落实政府采购政策进行价格调整的,以调整后的价格计算评标 基准价和投标报价。 |
第五章 主要合同条款及合同格式
合同编号:
《黑龙江省政府采购合同》(试行)文本
一般货物类
采购单位 (甲 方) 采购计划号
供 应 商 (乙 方) 招 标 编 号
签 定 地 点 签 订 时 间
根据《中华人民共和国政府采购法》、《中华人民共和国民法典》等法律、法规规定,按照招投标文件规定条款和中标投标人承诺,甲乙双方签订本合同。
第一条 合同标的
1、供货一览表
序号 | 产品名称 | 商标品牌 | 规格型号 | 生产厂家 | 数量及单位 | 单价(元) | 金额(元) |
1 | |||||||
2 | |||||||
3 | |||||||
4 | |||||||
5 | |||||||
人民币合计金额(大写) (小写) |
2、合同合计金额包括货物价款,备件、专用工具、安装、调试、检验、技术培训及技术资料和包装、运输等全部费用。如招投标文件对其另有规定的,从其规定。
第二条 质量保证
1、乙方所提供的货物型号、技术规格、技术参数等质量必须与招投标文件和承诺相一致。乙方提供的节能和环保产品必须是列入政府采购清单的产品。
2、乙方所提供的货物必须是全新、未使用的原装产品,且在正常安装、使用和保养条件下,其使用寿命期内各项指标均达到质量要求。
第三条 权利保证
乙方应保证所提供货物在使用时不会侵犯任何第三方的专利权、商标权、工业设计权或其他权利。第四条 包装和运输
1、乙方提供的货物均应按招投标文件要求的包装材料、包装标准、包装方式进行包装,每一包装单元内应附详细的装箱单和质量合格证。
2、货物的运输方式: 。
3、乙方负责货物运输,货物运输合理损耗及计算方法: 。第五条 交付和验收
1、交货时间: 地点: 。
2、乙方提供不符合招投标文件和本合同规定的货物,甲方有权拒绝接受。
3、乙方应将所提供货物的装箱清单、用户手册、原厂保修卡、随机资料、工具和备品、备件等交付给甲方,如有缺失应及时补齐,否则视为逾期交货。
4、甲方应当在到货(安装、调试完)后7个工作日内进行验收,逾期不验收的,乙方可视同验收合格。验收合格后由甲乙双方签署货物验收单并加盖采购单位公章,甲乙双方各执一份。
5、政府代理机构组织的验收项目,其验收时间以该项目验收方案确定的验收时间为准,验收结果以该项目验收报告结论为准。在验收过程中发现乙方有违约问题,可暂缓资金结算,待违约问题解决后,方可办理资金结算事宜。
6、甲方对验收有异议的,在验收后5个工作日内以书面形式向乙方提出,乙方应自收到甲方书面异议后 日内及时予以解决。
第六条 安装和培训
1、甲方应提供必要安装条件(如场地、电源、水源等)。
2、乙方负责甲方有关人员的培训。培训时间、地点: 。第七条 售后服务
1、乙方应按照国家有关法律法规和“三包”规定以及招投标文件和本合同所附的《服务承诺》,为甲方提供售后服务。
2、货物保修起止时间: 。
3、乙方提供的服务承诺和售后服务及保修期责任等其它具体约定事项。(见合同附件)第八条 付款方式和期限
1、资金性质: 。
2、付款方式:财政性资金按财政国库集中支付规定程序办理;自筹资金: 。付款期限为甲方对货物验收合格后7个工作日内付款。
第九条 履约、质量保证金
1、乙方在签订本合同之日,按本合同合计金额 5%比例提交履约保证金。节能、环保产品提交履约保证金按本合同合计金额 2.5%比例提交,待货物验收合格无异议后5个工作日内无息返还。
2、乙方应在货物验收合格无异议后5个工作日内按本合同合计金额 比例向甲方提交质量保障金,质量保证期过后5个工作日内无息返还。
第十条 合同的变更、终止与转让
1、除《中华人民共和国政府采购法》第50条规定的情形外,本合同一经签订,甲乙双方不得擅自变更、中止或终止。
2、乙方不得擅自转让(无进口资格的投标人委托进口货物除外)其应履行的合同义务。第十一条 违约责任
1、乙方所提供的货物规格、技术标准、材料等质量不合格的,应及时更换,更换不及时的按逾期交货处罚;因质量问题甲方不同意接收的或特殊情况甲方同意接收的,乙方应向甲方支付违约货款额 5%违约金并赔偿甲方经济损失。
2、乙方提供的货物如侵犯了第三方合法权益而引发的任何纠纷或诉讼,均由乙方负责交涉并承担全部责任。
3、因包装、运输引起的货物损坏,按质量不合格处罚。
4、甲方无故延期接收货物、乙方逾期交货的,每天向对方偿付违约货款额3‰违约金,但违约金累计不得超过违约货款额5%,超过 天对方有权解除合同,违约方承担因此给对方造成经济损失;甲方延期付货款的,每天向乙方偿付延期货款额3‰滞纳金,但滞纳金累计不得超过延期货款额5%。
5、乙方未按本合同和投标文件中规定的服务承诺提供售后服务的,乙方应按本合同合计金额 5%向甲方支付违约金。
6、乙方提供的货物在质量保证期内,因设计、工艺或材料的缺陷和其它质量原因造成的问题,由乙方负责,费用从质量保证金中扣除,不足另补。
7、其它违约行为按违约货款额5%收取违约金并赔偿经济损失。第十二条 合同争议解决
1、因货物质量问题发生争议的,应邀请国家认可的质量检测机构对货物质量进行鉴定。货物符合标准的,鉴定费由甲方承担;货物不符合标准的,鉴定费由乙方承担。
2、因履行本合同引起的或与本合同有关的争议,甲乙双方应首先通过友好协商解决,如果协商不能解决,可向仲裁委员会申请仲裁或向人民法院提起诉讼。
3、诉讼期间,本合同继续履行。第十三条 签订本合同依据
1、政府采购招标文件;
2、乙方提供的投标文件;
3、投标承诺书;
4、中标或成交通知书。
第十四条 x合同一式四份,政府采购办、政府代理机构各一份,甲乙双方各一份(可根据需要另增加)。
本合同甲乙双方签字公章后生效,自签订之日起七个工作日内,采购人应当将合同副本报同级政府采购监督管理部门备
案。
甲方(章) 年 月 日 | 乙方(章) 年 月 日 |
单位地址: | 单位地址: |
法定代表人: | 法定代表人: |
委托代理人: | 委托代理人: |
电话: | 电话: |
电子邮箱: | 电子邮箱: |
开户银行: | 开户银行: |
账号: | 账号: |
邮政编码: | 邮政编码: |
采购办审核(章) 经办人: 年 月 日 |
合同附件
一般货物类
1、投标人承诺具体事项: |
2、售后服务具体事项: |
3、保修期责任: |
4、其他具体事项: |
甲方(章) 年 月 日 | 乙方(章) 年 月 日 |
注:售后服务事项填不下时可另加附页
黑龙江省政府采购合同使用说明
(一般货物类)
《政府采购合同》是对招投标文件中货物和服务要约事项的细化和补充,所签订的合同不得对招标文件和中标投标人投标文件作实质性修改;招标过程中有关项目标的性状的重要澄清和承诺事项必须在合同相应条款中予以明确表达。采购人和中标投标人不得提出任何不合理的要求作为签订合同的条件;不得私下订立背离招标文件实质性内容的协议。
一、本合同适用范围
家用电器、电子产品、教学仪器设备、医疗仪器设备、广播电视仪器设备、体育器材、音响乐器、药品、服装、印刷设备和印刷品等政府采购项目(协议供货除外)适用于本合同。
二、填写说明
(一)合同标题:地市县使用时可在“黑龙江省”后再加所在地名称或将“黑龙江省”删除加所在地名称。
(二)本合同划线部分所需填写内容,除以下条款特殊要求外,按招投标文件要求填写,如招投标文件没有明确,按甲乙双方商定意见填写。
(三)第一条合同标的:按表中各项目要求填写,内容填写不下时可另加附页。
(四)第四条包装和运输:货物运输方式包括;汽车、火车、轮船等。
(五)货物交付和验收:时间按合同签订(或生效)后多少日(或工作日)或直接填X年X月X日前交货。
(六)第八条付款方式和期限:资金性质按财政性资金(预算内资金、预算外资金)和自筹资金填写。三、有关要求
(一)各单位现使用的专业合同可作为本合同附件,但专业合同各条款必须符合招投标文件和本合同各条款要求,如发生矛盾以本合同为准。
(二)协议供货合同应使用原文本。
(三)甲乙双方对本合同各条款均不能改动,只能在划线位置填写,如有改动视同无效合同。
(四)本合同统一用A4纸打印。
(五)本合同为试行文本,采购人和中标投标人在使用过程中如发现不当之处,请及时提出建议,以便修正。本合同各条款由黑龙江省政府采购办公室负责解释。
电话:0451—53679987 0451—82833586
第六章 响应文件格式与要求
《响应文件格式》是参加竞争性磋商供应商的部分响应文件格式,请参照这些格式编制响应文件。
一、响应文件封面格式
政 府 采 购响 应 文 件
项目名称:网络安全服务项目采购
项目编号:[230001]zzgj[CS]20220199
供应商全称:(公章)授权代表:
电话:
磋商日期:
二、首轮报价表
注:采用电子招投标的项目无需编制该表格,投标供应商应在投标客户端【报价部分】进行填写,投标客户端软件将自动根据供应商填写信息在线生成开标一览表(首轮报价表、报价一览表)或分项报价表,若在投标文件中出现非系统生成的开标一览表(首轮报价表、报价一览表)或分项报价表,且与投标客户端生成的开标一览表(首轮报价表、 报价一览表)或分项报价表信息内容不一致,以投标客户端生成的内容为准。
三、分项报价表
注:采用电子招投标的项目无需编制该表格,投标供应商应在投标客户端【报价部分】进行填写,投标客户端软件将自动根据供应商填写信息在线生成开标一览表(首轮报价表、报价一览表)或分项报价表,若在投标文件中出现非系统生成的开标一览表(首轮报价表、报价一览表)或分项报价表,且与投标客户端生成的开标一览表(首轮报价表、 报价一览表)或分项报价表信息内容不一致,以投标客户端生成的内容为准。
四、技术偏离及详细配置明细表
项目名称:网络安全服务项目采购
项目编号:[230001]zzgj[CS]20220199
(第 包)
序号 | 服务名称 | 磋商文件的服务需求 | 响应文件响应情况 | 偏离情况 |
供应商全称:
日期: 年 月 日
五、技术服务和售后服务的内容及措施
供应商全称:
六、法定代表人/单位负责人授权书
:
(报价单位全称)法定代表人/单位负责人 授权 (授权代表姓名)为响
应供应商代表,参加贵处组织的 项目(项目编号)竞争性磋商,全权处理本活动中的一切事宜。
法定代表人/单位负责人签字:供应商全称(公章):
日 期:
附:
授权代表姓名: 授权代表:(签字)职 务 :
详细通讯地址:邮 政 编 码 :传 真 :
电 话 :
七、法定代表人/单位负责人和授权代表身份证明
(法定代表人/单位负责人身份证正反面复印件)
(授权代表身份证正反面复印件)
供应商全称:
八、小微企业声明函
注:响应供应商及响应产品是小微企业的提供,否则无需提供
中小企业声明函(货物)
本公司(联合体)xxxx,根据《政府采购促进中小企业发展管理办法》(财库﹝2020﹞46 号)的规定,本公司
(联合体)参加(单位名称)的(项目名称)采购活动,提供的货物全部由符合政策要求的中小企业制造。相关企业(含联合体中的中小企业、签订分包意向协议的中小企业)的具体情况如下:
1.(标的名称),属于(采购文件中明确的所属行业)行业;制造商为(企业名称),从业人员 人,营业收入为 x元,资产总额为 x元,属于(中型企业、小型企业、微型企业);
2.(标的名称),属于(采购文件中明确的所属行业)行业;制造商为(企业名称),从业人员 人,营业收入为 x元,资产总额为 x元,属于(中型企业、小型企业、微型企业);
……
以上企业,不属于大企业的分支机构,不存在控股股东为大企业的情形,也不存在与大企业的负责人为同一人的情形。本企业对上述声明内容的真实性负责。如有虚假,将依法承担相应责任。
企业名称(xx):
日期: 年 月 日
从业人员、营业收入、资产总额填报上一年度数据,无上一年度数据的新成立企业可不填报
中小企业声明函(工程、服务)
本公司(联合体)xxxx,根据《政府采购促进中小企业发展管理办法》(财库﹝2020﹞46 号)的规定,本公司
(联合体)参加(单位名称)的(项目名称)采购活动,工程的施工单位全部为符合政策要求的中小企业(或者:服务全部由符合政策要求的中小企业承接)。相关企业(含联合体中的中小企业、签订分包意向协议的中小企业)的具体情况如下:
1.(标的名称),属于(采购文件中明确的所属行业);承建(承接)企业为(企业名称),从业人员 人,营业收入为 x元,资产总额为 x元,属于(中型企业、小型企业、微型企业);
2.(标的名称),属于(采购文件中明确的所属行业);承建(承接)企业为(企业名称),从业人员 人,营业收入为 x元,资产总额为 x元,属于(中型企业、小型企业、微型企业);
……
以上企业,不属于大企业的分支机构,不存在控股股东为大企业的情形,也不存在与大企业的负责人为同一人的情形。本企业对上述声明内容的真实性负责。如有虚假,将依法承担相应责任。
企业名称(xx):
日期: 年 月 日
从业人员、营业收入、资产总额填报上一年度数据,无上一年度数据的新成立企业可不填报
九、残疾人福利性单位声明函
x单位郑重声明,根据《财政部 民政部 中国残疾人联合会关于促进残疾人就业政府采购政策的通知》(财库
〔2017〕141号)的规定,本单位为符合条件的残疾人福利性单位,且本单位参加 单位的 目采购活动提供本单位制造的货物(由本单位承担工程/提供服务),或者提供其他残疾人福利性单位制造的货物(不包括使用非残疾人福利性单位注册商标的货物)。
本单位对上述声明的真实性负责。如有虚假,将依法承担相应责任。
残疾人福利性单位(盖章): 日期: 年 月 日
十、投标人关联单位的说明
说明:投标人应当如实披露与本单位存在下列关联关系的单位名称:
(1)与投标人单位负责人为同一人的其他单位;
(2)与投标人存在直接控股、管理关系的其他单位。
一、有依法缴纳税收和社会保障资金的良好记录承诺
(采购方):
(供应商) xxxx我公司参加 (项目名称)
投标活动并依法满足以下要求:
1.具有依法缴纳税收和社会保障资金的良好记录;
以上内容若有不实,我公司承担由此而产生的一切后果。
供应商: (盖章)
二、具有良好的商业信誉和健全的财务会计制度承诺
(采购方):
(供应商) xxxx我公司参加 (项目名称)
投标活动并依法满足以下要求:
1.具有良好的商业信誉和健全的财务会计制度;
以上内容若有不实,我公司承担由此而产生的一切后果。
供应商: (盖章)
三、履行合同所必须的设备和专业技术能力承诺
(采购方):
(供应商) xxxx我公司参加 (项目名称)
投标活动并依法满足以下要求:
1.履行合同所必须的设备和专业技术能力;
以上内容若有不实,我公司承担由此而产生的一切后果。
供应商: (盖章)
四、参加采购活动前 3 年内,在经营活动中没有重大违法记录承诺
(采购方):
(供应商) xxxx我公司参加 (项目名称)
投标活动并依法满足以下要求:
1.参加采购活动前 3 年内,在经营活动中没有重大违法记录;以上内容若有不实,我公司承担由此而产生的一切后果。
供应商: (盖章)
五、信用记录(二选一)
无失信行为供应商格式 1:
(采购方):
(供应商) xxxx我公司参加 (项目名称)
投标活动并依法满足以下要求:
未被列入“信用中国”网站(xxx.xxxxxxxxxxx.xxx.xx)“记录失信被执行人或重大税收违法案件当事人名单或政府采购严重违法失信行为”记录名单;不处于中国政府采购网(xxx.xxxx.xxx.xx)“政府采购严重违法失信行为信息记录”中的禁止参加政府采购活动期间。
以上内容若有不实,我公司承担由此而产生的一切后果。
供应商: (盖章)
五、信用记录(二选一)
有失信行为供应商(失信行为已失效)格式 2:
如存在失信行为的供应商并失信行为已失效但是网站并未更新等其他情况外须提供失信行为失效的证明资料。
六、供应商必须符合法律、行政法规规定的其他条件承诺
(采购方):
(供应商) xxxx我公司参加 (项目名称)
投标活动并依法满足以下要求:
单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得同时参加本采购项目(包组)投标。 为本项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,不得再参与本项目投标。 依据以上内容提供承诺函,格式自拟。
以上内容若有不实,我公司承担由此而产生的一切后果。
供应商: (盖章)
七、非联合体投标承诺
(采购方):
(供应商) xxxx我公司参加 (项目名称)
投标活动并依法满足以下要求:本公司非联合体投标。
以上内容若有不实,我公司承担由此而产生的一切后果。
供应商: (盖章)
八、其他要求
(采购方):
(供应商) xxxx我公司参加 (项目名称)
投标活动并依法满足以下要求:
不存在招标文件要求的其他无效投标情形;
不存在围标、串标和法律法规规定的其它无效投标条款。以上内容若有不实,我公司承担由此而产生的一切后果。
供应商: (盖章)
九、主要商务条款
(采购方):
(供应商) xxxx我公司参加 (项目名称)
投标活动并依法满足以下要求:
我公司响应商务条款的要求,无负偏离。若经评审委员会评审,响应文件中有不符合商务条款要求,我单位接受约定的偏离处理,且接受评审委员会做出不利于我单位的评审决定。
供应商: (盖章)