3、网络边界安全:网络设备的 ACL、防火墙、隔离网闸、物理隔离、VLAN(二层ACL);
附件:
第 31 届世界大学生夏季运动会xx赛区电子科技大学清水河校区体育馆网络安全服务项目需求
第一部分 供应商参加本次政府采购活动,应当具备的资格条件
(一)具备《中华人民共和国政府采购法》第二十二条
1.具有独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度;
3.具有履行合同所必需的设备和专业技术能力;
4.具有依法缴纳税收和社会保障资金的良好记录;
5.参加本次政府采购活动前三年内,在经营活动中没有重大违法记录;
6.法律、行政法规规定的其他条件。
(二)本项目的特定资格要求:
1.未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单;
2.不属于其他国家相关法律法规规定的禁止参加投标的供应商;
3.本项目不接受联合体参与。
(三)落实政府采购政策需满足的资格要求:本项目非专门面向中小企业。
第二部分 项目技术、服务、政府采购合同内容条款及其他商务要求
2.1.采购项目概况
根据《中华人民共和国网络安全法》、《网络安全等级保护 2.0》、
《第 31 届世界大学生夏季运动会网络安全技术指南》、《第 31 届世界大学生夏季运动会网络安全总体方案(修订版)》文件要求,为保障成都大运会场馆相关信息系统稳定可靠运行,实现赛前、赛时、赛后全方位的网络安全保障,为成都大运会成功举办保驾护航,需开展xx西区赛事场馆(电子科大)网络安全保障工作。
2.2.项目服务内容要求
2.2.1. ★开展赛前网络安全检查评估
根据《网络安全法》、《网络安全等级保护基本要求》、《第 31 届
世界大学生夏季运动会网络安全工作指南》(附件另册)、《第 31 届世界大学生夏季运动会网络安全总体方案(修订版)》(附件另册)文件要求场馆需对自建网络信息系统开展网络安全检查评估工作。
一是持续加强系统安全防护,对场馆自建网络与信息系统(如:场馆监控系统、信息发布类系统)开展资产梳理、网络架构评估、管理制度编制、风险评估、渗透测试、漏洞扫描,针对发现的问题严格落实整改工作。
二是加强网络安全运维,细化防火墙安全策略、关闭不必要的应用、服务和端口,落实网络安全区域边界访问控制措施,消除潜在的风险隐患。
包含以下服务内容:
2.2.1.1. 资产梳理服务
服务期内,针对场馆网络与信息资产开展 1 次资产梳理服务,梳理范围包括资产信息探测、资产指纹探测、关联资产,评估资产可能存在的安全风险,清除影子资产、无主资产,收敛暴露面,减少资产风险带来的安全隐患。
输出:资产梳理报告。
2.2.1.2. 网络架构评估服务
服务期内,根据《中华人民共和国网络安全法》、《网络安全等级保护 2.0》文件要求对场馆设备网和监控网开展 1 次网络安全架构评估服务。网络架构分析是通过对用户评估范围内信息系统的网络拓扑及网络层面细节架构的评估,主要从以下几个方面进行分析:
1、网络建设的规范性:网络安全规划、设备命名规范性、网络架构安全性;
2、网络的可靠性:网络设备和链路冗余、设备选型及可扩展性;
3、网络边界安全:网络设备的 ACL、防火墙、隔离网闸、物理隔离、VLAN(二层ACL);
4、网络协议分析:路由、交换、组播 、IGMP、CGMP、IPv4、IPv6协议;
5、网络流量分析:带宽流量分析、异常流量分析、QOS 配置分析、抗拒绝服务能力;
6、网络通信安全:通信监控、通信加密、VPN 分析;
7、设备自身安全:SNMP、口令、设备版本、系统漏洞、服务、端口;
8、网络安全管理:网管系统、客户端远程登陆协议、日志审计、设备身份验证。对场馆涉及的网络设备、安全设备、主机、存储、业
务系统进行安全策略规划和梳理。输出:网络架构评估报告。
2.2.1.3. 网络安全管理制度咨询服务
服务期内,根据《中华人民共和国网络安全法》、《网络安全等级保护 2.0》、《第 31 届世界大学生夏季运动会网络安全总体方案(修订版)》等文件要求对场馆开展 1 次网络安全管理制度咨询服务,对场馆现有网络安全管理制度进行梳理评估;设计符合自身安全管理需求的安全管理体系,协助场馆完善并完成自有的安全组织结构建立,帮助场馆建立起必要的人员安全管理及信息系统安全管理相适应的安全管理制度、流程等安全管理的框架体系,指导信息系统在建设实施过程中安全管理工作建设的具体开展方向及方法。
输出:应急预案、信息安全组织管理办法、备份与恢复管理制度、资产管理制度。
2.2.1.4. 网络安全风险评估服务
风险评估是对资产、威胁和脆弱点进行详细的识别和估价,评估结果被用于评估风险和安全控制的识别和选择。通过识别资产的风险并将风险降低到可接受水平,来证明管理者所采用的安全控制是适当的。通过专业的安全评估服务,识别对所需保护的信息资产,确定信息安全要求、了解安全现状、选择控制措施,形成风险处理计划,建立满足符合国家、行业的信息安全建设要求的信息安全保障体系,从而保障相关重要系统和资源的安全,有效地减少信息系统由于安全问题引起的不可估量的损失。
服务期内,根据业务的技术架构和业务架构,提供 1 次全面的网络安全风险评估服务,评估的范围包括但不限于场馆自建信息系统物
理安全、业务流程安全、安全管理、服务器、数据库、中间件、网络设备、安全设备方面。
输出:网络安全风险评估报告。
2.2.1.5. 渗透测试服务
模拟黑客攻击手法和攻击路径,针对场馆自建信息系统进行准确、全面的安全渗透测试,全面识别测试目标系统网络安全漏洞,并针对 发现的安全漏洞,提供专业整改建议,指导相关方进行安全整改,整 改完毕后,进行安全回归测试,确保漏洞处置形成有效闭环。
服务期内,按需提供渗透测试服务,服务频率和次数不做限制。测试层面包括但不限于:
1) WEB 应用测试
如ASP、CGI、JSP、PHP 等组成的WWW 应用进行渗透测试。
2) 主机操作系统
对 WINDOWS、SOLARIS、AIX、LINUX、SCO、SGI 等操作系统本身进行渗透测试。
3) 数据库系统
对 MS-SQL、ORACLE、MYSQL、INFORMIX、SYBASE、DB2 等数据库
系统进行渗透测试。
4) 网络设备
对各种交换机、路由器等网络设备进行渗透测试。
5) 中间件
针对关键业务中采用的各种中间件系统进行渗透测试。输出:渗透测试服务报告。
2.2.1.6. 漏洞扫描服务
服务期内,采用漏洞扫描工具对场馆网络与自建信息系统相关 WEB 应用、服务器、数据库、网络设备、安全设备信息资产开展 4 次全面扫描与分析,扫描设备检测规则库及知识库应涵盖CVE、CNCVE、 CNVD、CNNVD 标准。扫描完成后并人工验证所发现的操作系统漏洞、数据库漏洞、弱口令、信息泄露及配置不当等脆弱性问题。提出准确有效的扫描报告,并针对漏洞扫描中出现的问题,提供解决方案,协助场馆进行解决。
输出:漏洞扫描服务报告。
2.2.1.7. 网络安全运维服务
网络安全运维主要通过提供“哨兵式”的网络安全看、护服务,协助场馆及时发现并有效控制网络安全风险和威胁,做到早发现、早处置,避免发生重大网络安全事件。
服务期内提供 16 次日常安全运维咨询和安全检查服务,为场馆网络安全技术防护策略持续改进提供有效性安全建议。服务内容包括网络安全运行状态监测分析、网络安全告警分析和预警、网络安全技术防护策略持续改进。
输出:安全运维服务报告。
2.2.2. ★赛前建立安全防御体系
针对前期安全检查评估方面存在的问题与《第 31 届世界大学生夏季运动会网络安全技术指南》的相关要求,场馆需对自建网络信息系统进行防御体系建设与合规能力测试工作。
一是按照等保相关要求建设场馆自建网络与信息系统网络安全防御体系,加强自建网络与信息系统安全防护与监测能力。
二是建立适用于场馆侧的网络安全事件应急预案,当安全事件
发生时,依照应急预案对突发安全事件及时进行处置。
三是组织网络安全意识培训,提升场馆信息化工作人员的网络安全防护意识。
2.2.2.1. 安全加固服务
为了有效保障场馆网络与自建信息系统的安全运行,在对操作系统、数据库、中间件、网络设备、安全设备进行安全检测后,协助场馆侧针对主机、应用系统、中间件、数据库等被加固对象的漏洞进行修复,并配置合适的安全策略以达到加固的安全基线标准要求。
同时按照等保相关要求与《第 31 届世界大学生夏季运动会网络
安全技术指南》、《第 31 届世界大学生夏季运动会网络安全总体方案
(修订版)》文件要求,场馆需具备自建网络与信息系统的安全防护与监测能力,为落实相关文件要求,提供为期 3 个月的安全设备租赁服务。
涉及的安全设备包括:下一代防火墙、APT 高级持续性威胁检测、日志审计、堡垒机、物联网准入网关、物联网安全监测、EDR,以此提升自建网络与信息系统的安全防护与监测能力。
输出:网络安全加固方案、加固记录、安全设备实施报告。
2.2.2.2. 应急演练服务
根据成都大运会执委会办公室、xx赛区委员会办公室、成都市委网信办、成都市公安局等相关主管部门、监管部门关于网络安全事件应急演练要求,编制场馆自建网络与信息系统网络安全事件应急预案,按照网络安全事件分类分级要求,结合可能面临的网络安全风险输出网络安全事件应急演练方案,并召集相关方开展 1 次网络安全事件应急演练。
输出:网络安全事件应急预案、网络安全事件应急演练方案、网络安全事件应急演练总结报告。
2.2.2.3. 网络安全培训服务
服务期内组织 1 次网络安全培训,加强人员安全意识,使其了解所面临的安全威胁和网络安全的重要性,从而提高场馆整体网络安全保障能力和防护水平。
输出:安全培训PPT、培训记录。
2.2.2.4. 合规能力测试服务
提供合规能力测试服务,需要对电子科大清水河校区自建信息系统进行第三方合规能力测试评定,参照等级保护第三级要求对 2 个自
建信息系统进行合规能力测试,参照等级保护第二级要求对 1 个自建信息系统进行合规能力测试,并提供报告。
输出:合规能力测试相关报告。
2.2.3. ★赛中开展重要时期网络安全保障服务
根据《第 31 届世界大学生夏季运动会网络安全技术指南》、《第
31 届世界大学生夏季运动会网络安全总体方案(修订版)》文件要求,需加强对大运会信息系统的安全监控,定期对网络安全设备进行巡检和维护,及时更新网络安全防护策略,做好威胁情报和最新的网络安全漏洞收集和分析工作。
2.2.3.1. 网络安全保障前期规划服务
在大运会攻防演练、测试赛与正式比赛期间制定详尽的安全值守保障方案与计划,组建网络安全赛事保障团队。
输出物:网络安全值守保障方案。
2.2.3.2. 网络安全值守保障服务
在大运会攻防演练、测试赛与正式比赛期间提供 24 小时现场安全保障和安全值守,针对场馆自建网络与信息系统相关网络安全设备发现的大量日志记录,提炼出安全预警、安全漏洞和攻击态势等信息,防微杜渐。完成每日保障支持、安全监控、外部攻击源追溯、内部脆弱性分析、网络安全问题处置等应急处置任务。
涉及到的值守保障安排如下:
1、参与执委会组织的 1 次攻防演练,共 7 天。
2、测试赛期间,共 6 天。
3、赛前提前 7 天入场,赛事期间共计 10 天,共 17 天。
每天提供 4 个网络安全服务人员根据场馆要求开展 24 小时网络安全值守保障。
输出:网络安全值守日报、网络安全值守总结报告。
2.2.3.3. 应急响应服务
服务期内组建网络安全应急响应团队,按需提供网络安全应急响 应服务,通过远程或现场的方式应对场馆突发的安全事件和安全问题。网络安全应急响应服务人员通过事件分析、原因查找、事件处置、证 据保留、及事件溯源等方式,快速解决场馆信息安全事件及问题,恢 复业务及系统的安全运行,并确保所有事件应急处置过程得到有效控 制和记录。
输出:应急处置报告。
2.2.3.4. 威胁情报服务
服务期内,出现大运会相关高危漏洞或突发重要网络安全事件时,提供相应的紧急安全事件通告,内容将包含测试方法、影响范围、修 复建议等内容,协助场馆进行漏洞风险自查,并提供专家支持服务,
指导相关方进行安全整改。
输出:威胁情报分析报告。
2.2.4. ★赛后开展总结汇报和数据清理服务
根据《第 31 届世界大学生夏季运动会网络安全总体方案(修订版)》文件要求,比赛结束后协助场馆做好项目总结、验收审计等工作,验收审计完成后对成都大运会信息系统、网络安全设备及时进行下线、数据擦除和离场。
2.2.5. 服务工具技术要求
序号 | 服务工具名称 | 服务工具数量 | 服务工具部署位置 |
1 | 下一代防火墙 1 | 1 台 | 设备网 |
2 | 下一代防火墙 2 | 1 台 | 大屏网 |
3 | APT 高级持续性威胁检测 | 设备网 | |
4 | 日志审计设备 | 2 台 | 设备网、办公内网 |
5 | 堡垒机 | 2 台 | 设备网、办公内网 |
6 | 物联网准入网关 | 1 台 | 设备网 |
7 | 物联网安全监测 | 1 台 | 设备网 |
8 | EDR | 1 套 | 设备网 |
2.2.5.1. 安全加固服务中涉及的租赁设备配置要求该项目安全加固服务工具清单如下:
2.2.5.1.1. 下一代防火墙 1
1、★配置千兆电口≥16 个,xxx口≥4 个,xxx口≥4 个,
内存≥16 GB,硬盘≥2 TB,吞吐量≥8 Gbps,最大并发连接数≥400万,每秒新建连接数≥10 万;
2、系统定义不少于 20 万条资产指纹库,可识别的主机资产类型包括通用主机、移动电话、防火墙、网络摄像机、温湿度变送器、呼叫中心、云安全;
3、系统预定义不少于 11000 条主流攻击规则,包括对应IPS 规则的级别、防护对象、操作系统、CVE 编号;
4、威胁情报检测的安全攻击类型包括:支持检测C&C、恶意文 件/恶意文件通信、溢出攻击、钓鱼、扫描、爬虫、垃圾信息、暴力破解、失陷主机/傀儡机、不受欢迎软件、可疑类情报、木马、病毒、蠕虫、勒索软件、后门、密码窃取、DDoS 工具、键盘记录、Rootkit木马、间谍软件、僵尸网络、漏洞利用类回连、挖矿软件、矿池地址、恶意文件存放下载、黑客工具、监控工具;
5、支持“业务优先”的智能模式和“安全优先”的普通模式;
6、黑名单容量规格支持最大 100 万条;
7、支持对控制策略、上网认证策略、带宽策略、策略路由、源 NAT 策略的策略分析;
2.2.5.1.2. 下一代防火墙 2
1、★配置千兆电口≥8 个,xxx口≥4 个,内存≥8 GB,硬盘
≥64G mSATA。,吞吐量≥2 Gbps,最大并发连接数≥100 万,每秒新建连接数≥3.5 万;
2、系统定义不少于 20 万条资产指纹库,可识别的主机资产类型包括但不限于通用主机、移动电话、防火墙、网络摄像机、温湿度变
送器、呼叫中心、云安全;
3、系统预定义不少于 11000 条主流攻击规则,包括但不限于对应IPS 规则的级别、防护对象、操作系统、CVE 编号;
4、威胁情报检测的安全攻击类型包括但不限于:支持检测 C&C、恶意文件/恶意文件通信、溢出攻击、钓鱼、扫描、爬虫、垃圾信息、暴力破解、失陷主机/傀儡机、不受欢迎软件、可疑类情报、木马、病毒、蠕虫、勒索软件、后门、密码窃取、DDoS 工具、键盘记录、 Rootkit 木马、间谍软件、僵尸网络、漏洞利用类回连、挖矿软件、矿池地址、恶意文件存放下载、黑客工具、监控工具;
5、支持“业务优先”的智能模式和“安全优先”的普通模式;
6、黑名单容量规格支持最大 100 万条;
7、支持对控制策略、上网认证策略、带宽策略、策略路由、源 NAT 策略的策略分析;
2.2.5.1.3. APT 高级持续性威胁检测
1、★配置千兆电口≥6 个,吞吐量≥1Gbps,内存≥16G,硬盘容量≥2T;
2、支持自动对系统告警事件降噪收敛处理;
3、支持风险查询一键切换运营模式和专业模式,满足不同场景的研判需求;
4、支持沙箱逃逸检测;
5、具备不少于 30 种深度检测模块;
6、支持基于文件系统过滤驱动实现沙箱快速恢复;
7、具备故障排查平台对系统进行深度配置和排错;(提供功能截
图并加盖供应商公章)
8、支持动态URL 分析功能,能够检测针对浏览器的 0Day 攻击、远程下载恶意文件检测;
9、支持对流量中的数据包、会话连接、重传包、网络报文状态进行检测;
10、支持与本项目中EDR 联动;(提供功能截图并加盖供应商公章)
2.2.5.1.4. 日志审计设备
1、★配置千兆电口≥6 个,内存≥8G,硬盘≥2T,支持审计的日志源≥25 个;
2、支持通过Syslog、SNMP Trap、HTTP、ODBC/JDBC、WMI、FTP、 SFTP 方式进行日志收集;
3、支持对主流的网络安全设备、交换设备、路由设备、操作系统、应用系统的日志采集,并对收集到的日志进行标准化、归一化解析;
4、支持对设备异常、漏洞利用、横向渗透、权限提升、命令执行、可疑行为进行安全分析;
5、▲支持通过三维关联分析方式,分析事件是否存在威胁,并形成关联事件;
6、▲支持主机性能监控,监控指标包括但不限于 CPU、内存、磁盘、流量;
7、支持对Agent 进行统一管控,包括卸载、升级、启动及停止操作,支持将日志收集策略统一分发。(提供功能截图证明材料并加盖供应商公章)
8、具备安全评估模型,可基于设备故障、认证登录、攻击威胁、可用性、系统脆弱性纬度进行总体安全评估;(提供功能截图证明材料并加盖供应商公章)
9、▲支持编辑网络拓扑并与资产进行绑定,且拓扑视图中可显示资产相关信息;
2.2.5.1.5. 堡垒机
1、★配置千兆电口≥6 个,内存≥8G,硬盘≥2T,授权资产数
≥100 个;
2、支持用户多角色划分功能,如系统管理员、部门管理员、运维员、审计管理员、密码管理员
3、支持对各类角色需要进行细粒度的权限管理;
4、支持标准化对接单点登录认证,包括:CAS、JWT、SAML2、OAuth2; 5、产品自带运维工具,可不依赖 xshell/Securecrt/mstsc 工具
进行运维操作;
6、支持使用本地的mstsc/Xshell/SecureCRT/Putty/winscp/Xf tp 客户端工具登录堡垒机访问图形、字符或SFTP、FTP 设备;
7、支持IE/Chrome 代填应用发布HTTP/HTTPS 协议的web 设备,且可以直接代填账号和密码;
8、支持运维应用发布中心资产的数据隔离,每个用户在应用发布服务器中各自生成同名账户空间,相互隔离,避免造成数据泄露;
9、支持自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系并自动完成授权;
10、支持对重要命令进行审核:运维人员执行命令后,需等到管理员审批通过后才可执行成功;
11、支持系统升级后,再回退至升级前的版本;
2.2.5.1.6. 物联网准入网关
1、★配置千兆电口≥6 个,应用层吞吐≥400M,内存≥4G,硬盘≥32G SSD+1TB SAS;
2、支持计算机、移动终端、网络设备、安全设备、办公设备、摄像头、网络录像机、网络电话和会议、视频管理平台、大屏矩阵控制器、物联网设备、存储设备等至少 650 种不同的资产接入;
3、支持对 1400 协议的识别与管控功能,可识别注册、注销、保活、订阅、通知、图像资源、文件资源、人脸资源、机动车资源、视频片段常用接口并可进行阻断;
4、可根据终端脆弱性程度实现自动准入控制,其中终端脆弱性包括:仿冒终端、私接终端、带宽超限、终端默认/弱口令、开放违规端口、非法外连、异常网络行为、使用异常协议、安全漏洞;
5、支持根据网络应用流量特征、流量方向、IP 地址(网段)、时间段为条件来设置对特定网络应用流量的自动准入规则;
6、通知制定防病毒策略,对网络内的FTP、邮件、HTTP 下载、上传中的文件进行病毒查杀、执行防护操作、记录日志;
7、支持将大华、海康、宇视、科达非标协议转换成国标 GB/T28181-2016 协议接入国标平台,实现全网共享需求;(提供功能截图证明材料并加盖供应商公章)
8、通过与场所端建立VPN 的方式,将场所端的视频等设备资源通过加密VPN 隧道接入到平台端,可实现在平台端直接对场所端设备资源进行直接访问,同时场所端设备也可访问到平台端设备资源。
9、支持将onvif 协议转换成国标GB/T 28181-2016 协议接入国
标平台,实现全网共享需求;
2.2.5.1.7. 物联网安全监测
1、★配置千兆电口≥2 个,可管理资产数量≥3000 个,内存≥
64G,硬盘≥480G SSD+8TB SAS;
2、可进行自定义监测频率设置,并对全网设备进行安全检测;
3、▲支持对网络摄像机的IP、品牌、操作系统资产属性进行监测;
4、▲支持对 PC 设备的设备类型、系统类型、服务类型、端口信息进行监测;
5、对可能对视频设备、视频数据造成影响的高危信令进行安全监测、分析与告警。
6、支持监测范围内终端的两网互通(同时连接内网和互联网)的行为,并可在两网互通监测平台子模块中定位其终端地址(内网 IP 和互联网IP);
7、支持网中网分析,可监测视频网中存在的包括NAT 设备的私有局域网情况;
8、支持监测网络中频繁或大规模的访问其它主机设备、服务端口的行为,提供发起扫描的设备地址、被扫描最多主机、被扫描最多端口详细信息;支持监测通过专网对全网设备特定端口或特定设备全端口扫描的行为;
2.2.5.1.8. EDR
1、★配置管理中心≥1 套,服务器软件授权≥6 台和PC 软件授权≥50 台;
2、支持可视化态势大屏展示,包括不仅限于终端安全管控大屏
和安全概况大屏;
3、支持网络分域访问;
4、支持对CPU、内存达到配置阈值时告警,客户端自动进行熔断;
5、支持多引擎设置,包括默认引擎、深度扫描引擎;
6、支持以系统账号为粒度的异常登录防护;
7、提供内核级的数据防护能力;
8、支持针对未知勒索病毒的精准识别与全网联动防御;
9、支持联动威胁情报对威胁进行离线鉴定,威胁类型包括不仅限于APT、木马、病毒、蠕虫、后门、勒索、挖矿、僵尸网络、漏洞利用-;
10、支持专门针对未知勒索病毒的行为检测防御引擎,基于文件读写、进程、命令、网络、注册表修改行为对于未知勒索病毒进行发现和阻断;
2.2.5.2. 安全检查与保障服务涉及的工具要求
在针对场馆自建网络与信息系统开展安全检查与保障的过程中,为确保安全检查与保障的服务质量,提高检查与保障过程中的安全性、可靠性以及专业性,供应商需提供专业的服务工具以支撑检查与保障 服务内容的交付,相关服务工具清单及要求如下:
2.2.5.2.1. 服务工具清单
序号 | 工具名称 | 工具用途 |
1 | 信息安全等级保护工具箱 | 网络安全风险评估服务 |
2 | 数据库漏洞扫描工具 | 漏洞扫描服务 |
3 | 自动化渗透测试工具 | 渗透测试服务 |
4 | 应急响应工具箱 | 应急响应服务 |
2.2.5.2.2. 服务工具要求
1、为保障风险评估服务实施过程中的专业性,供应商须使用公安部认可的等级保护检查工具箱。(提供证明材料并加盖供应商公章)
2、▲为保障风险评估服务实施过程中的安全性与可靠性,供应商使用的等级保护检查工具箱须具备中国信息安全测评中心颁发的
《国家信息安全漏洞库兼容性资质证书》(提供证书复印件并加盖供应商公章)
3、▲为保障漏洞扫描服务实施过程中的安全性与可靠性,供应商使用的漏洞扫描工具须具备检测数据库内核入侵行为和探测出黑客创建的一些隐藏对象能力。(提供国家法定的第三方机构出具的证明材料复印件并加盖供应商公章)
4、▲为保障渗透测试服务实施过程中的安全性和稳定性,供应商使用的渗透测试工具须具备保障系统稳定性和兼容性测试的能力。
(提供第三方机构出具的证明材料复印件并加盖供应商公章)
5、▲为保障应急响应服务实施过程中的专业性,供应商使用的应急处置工具须具备多维度网络安全事件分级能力。(提供第三方机构出具的证明材料复印件并加盖供应商公章)
6、为保障应急响应服务实施过程中的安全性和可靠性,供应商使用的应急处置工具须实现安全事件的快速分析、取证、处置。(提供第三方机构出具的证明材料复印件并加盖供应商公章)
2.3.★商务要求
2.3.1. 服务期限
本项目服务期限为合同签订之日起至 2023 年 8 月 31 日,具体时间以合同签订时约定为准。
2.3.2. 服务地点
成都xx区,电子科技大学清水河校区体育馆,采购人指定地点。
2.3.3. 付款方式
合同签订生效后,采购人自收到成交供应商开具的合法有效且符合采购人财务要求的发票后 10 个工作日内支付合同总金额 40%的预付款;项目完成验收后且在收到成交供应商开具的合法有效且符合采购人财务要求的发票后 10 个工作日内,采购人向成交供应商支付剩余合同款项。
2.3.4. 违约责任
一、采购人违约责任
(一)因采购人原因逾期支付合同款的,除应及时付合同款外,应向成交供应商支付欠款总额万分之一/天的违约金;
(二)采购人支付的违约金不足以弥补成交供应商损失的,还应按成交供应商损失尚未弥补的部分,支付赔偿金给成交供应商。
二、成交供应商违约责任
(一)成交供应商不能按时完成服务内容而违约的,除应及时完成服务内容外,应向采购人支付合同金额百分之一/天的违约金;未能按时完工超过 10 天,采购人有权立即终止本项目,成交供应商则应按合 同总价的百分之十的合同总价向采购人支付赔偿金,并须全额退还采购人已经付给成交供应商的合同款。
(二)成交供应商支付的违约金不足以弥补采购人损失的,还应按采购人损失尚未弥补的部分,支付赔偿金给采购人。
2.3.5. 验收标准、时间和方法
三、履约验收程序:一次性验收。
五、验收标准:严格按照《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库〔2016〕205 号)、《政府采购需求管理办法》(财库〔2021〕22 号)的要求进行验收。
2.3.6. 报价要求
最后报价含人工费、社保、办公费、合理利润、软硬件使用费、税金、招标代理服务费等因本采购项目履行的全部费用。
2.4.人员要求
一、供应商负责组建服务团队,服务团队需配备项目经理 1 名、
技术负责人 1 名、其他人员不少于 10 人。项目经理为固定联络人员,自备通讯工具(手机)24 小时畅通,需负责团队整体工作安排、与采购人衔接等内容。
二、拟投入的团队成员须具有履行相关项目的经验或具备履行本项目的能力。
2.5.其他要求
供应商根据采购需求制定本项目的服务实施方案,方案包含:资产梳理服务;网络架构评估服务;网络安全管理制度咨询服务;网络安全风险评估服务;渗透测试服务;漏洞扫描服务;网络安全运维服务;安全加固服务;应急演练服务;网络安全培训服务;合规能力测试服务;网络安全保障前期规划服务;网络安全值守保障服务;应急响
应服务;威胁情报服务;赛后开展总结汇报和数据清理服务。
注:打★号的内容为采购项目实质性要求。
第三部分 综合评分明细表
序 | 值 | 评分标准 | 备 注 | |
1 | 报价 (共同评审因素) | 10 分 | 价格分统一采用低价优先法计算,即满足磋商文件要求且最后报价最低的供应商的价格为磋商基准价,其价格分为满分。其他供应商的价格分统一按照下列公式计算: 磋商报价得分=(磋商基准价/最后磋商报价)×10 注:对小型企业、微型企业(监狱企业、残疾人福利单位视同 小微企业)的最后报价给予 10%的价格扣除,用扣除后的价格参与评审。 | |
2 | 服务实施方案 (技术类评审因素) | 16 | 12.网络安全保障前期规划服务;13.网络安全值守保障服务;14.应急响应服务;15.威胁情报服务;16.赛后开展总结汇报和数据清理服务。以上内容每提供 1 项的 1 分,最多得 16分;在此基础上,每有 1 处内容存在缺陷的扣 0.5 分,该项分值扣完为止。 注:缺陷是指项目名称、服务期限描述错误;实际方案存在相互矛盾,照搬其他项目方案而存在与本项目执行无关的内容;只有简单复制粘贴需求内容而无描述;语言文字错误;表述内 容存在歧义;不满足采购需求中非实质性要求的情形。 | |
3 | 综合实 力(共 | 4 分 | 供应商具有基于互联网运营的漏洞响应平台,具有漏洞收集能力的得 4 分。 |
同评审因素) | 注:1.提供平台互联网访问地址截图;2.提供类似漏洞收集的计算机软件著作权登记证书,若为授权使用的还应提供授权使 用的材料(如合同或协议或授权书)并加盖供应商公章。 | |||
4 | 服务团队(共同评审因素) | 25 分 | 供应商拟投入本项目的项目经理(1 名): 具有网络规划设计师证书或信息安全工程师证书或信息系统管理工程师证书或注册信息安全专业人员(大数据安全分析师 CISP-BDSA)证书或信息安全保障人员认证证书 CISAW(风险管理)的,以上证书每具有 1 项得 3 分,最多得 9 分。 注:提供证书复印件与劳动关系证明材料并加盖供应商公章。 | |
供应商拟投入本项目的项目技术负责人(1 名): 具有网络工程师证书或信息安全工程师证书或注册信息安全专业人员(CISP)证书或信息安全保障人员认证证书 CISAW(安全运维)的,以上证书每具有 1 项得 2 分,最多得 6 分。 注:提供证书与劳动关系证明材料并加盖供应商公章。 | ||||
供应商拟投入本项目的服务团队其他人员(不含项目经理与技术负责人): 1.具有类似本项目的网络信息安全类保障服务工作经验的,每有 1 人得 0.5 分,最多得 4 分。(注:提供举办单位出具的工作经验证明材料并加盖供应商公章。) 2.每有 1 人具有网络信息安全类相关专业副高级及以上职称 的得 3 分;每有 1 人具有网络信息安全类相关专业中级职称或 网络工程师证书的得 2 分;每有 1 人具有注册信息安全专业人员(注册信息安全工程师 CISE)证书或信息安全保障人员认证证书 CISAW(安全运维)的得 0.75 分;最多得 6 分。(注: ①同 1 人不重复计分;②提供证书复印件并加盖供应商公章。) | ||||
5 | 服务工 | 30 | 供应商针对本项目提供的服务工具完全符合第二部分中 |
具技术要求 (共同评审因素) | 分 | 2.2.5.1.1 至 2.2.5.1.8(共 71 项)、2.2.5.2.2(共 6 项), 没有负偏离得 30 分。其中“★”号的条款为本次采购项目的 实质性要求(共 8 项),供应商应全部满足,带“▲”的重要参 数(共 9 项),完全满足得 18 分,每有 1 项负偏离扣 2 分,18 分扣完为止;非“★”、“▲”的普通参数(共 60 项),完全满 足得 12 分,每有 1 项负偏离的扣 0.2 分,12 分扣完为止。注:1.以阿拉伯数字 1、2、3 为单独 1 项; 2.磋商文件中▲号项内容为关键条款,明确要求提供证明材料的应当提供要求对应的证明材料,未明确要求的提供国家认可的检验/检测机构出具的第三方检验/检测报告(至少包括报告首页、对应功能测试页和报告尾页)并加盖供应商公章,报告文字内容应能体现、佐证其满足磋商文件对应技术功能要求,否则视为不满足。 3.非“★”、“▲”为一般性条款,明确要求提供证明材料的应 当提供要求对应的证明材料,未明确要求的供应商在服务偏离表中应答或响应即视为满足。 | ||
6 | 业绩 (共同评审因素) | 15 | 供应商自 2018 年 1 月 1 日(含)至今具有类似本项目业绩的, 提供 1 个得 3 分,本项最多 15 分; 说明:1.类似项目是指网络安全服务类项目;2.业绩证明材料应包含合同复印件(至少包含合同首页、实施内容页、双方盖章页、时间页);3.同一个项目不重复计分;4.业绩要求时间 以合同签订日期为准。 |
注:
一、评分的取值按四舍五入法,保留小数点后两位;
二、评分标准中要求提供复印件的证明材料须清晰可辨。