招标编号:HLJGCYC1607040020231339236
政府采购服务工程网上超市服务类采购合同(试行)
采购单位(甲方):黑河市人民政府办公室
采购计划号:黑河财购核字[2023]00373 号
供应商(乙方):哈尔滨安信咨询有限公司
招标编号:HLJGCYC1607040020231339236
签订地点:黑河市
签订时间:2023 年 07 月 06 日
甲方经服务工程网上超市 询价采购 方式,确定乙方为甲方 政府网站集约化平台云防护 项目供应商,根据《中华人民共和国政府采购法》、《中华人民共和国招标投标法》等法律、法规规定,按照 政府网站集约化平台云防护 项目(招标编号:HLJGCYC1607040020231339236)的采购文件及中标(成交)供应商投标(响应)文件等,经双方协商一致,签订本合同。
第一条 合同文件
本次政府采购活动的相关文件为本合同不可分割的组成部分,与本合同具有同等法律效力,这些文件包括但不限于:
1、采购文件、澄清和答疑文件等;
2、乙方投标(响应)文件等;
3、乙方书面承诺等;
4、中标(成交)通知书。第二条 服务项目及要求 *服务内容详见附件。
第三条 合同期限(任选其一)
本项目服务期限采用 1+1+1 方式,采购结果 3 年有效。合同一年一签,是否续签,由甲方视财政预算安排及对乙方提供服务的绩效考核等情况确定。本合同期限起止时间 2023-07-06 到 2026-07-05,共 1096 天。
第四条 合同金额及结算方式
1、资金性质: 财政性资金 99000 元 。(财政性资金:按财政国库集中支付规定程序办理;自筹资金: 400000.00
2、合同金额:本合同有效期内服务价款金额:¥499000 元(大写:肆拾玖万玖仟元整);
3、结算方式:
序号 | 项目阶段 | 具体内容及交付结果 | 付款金额 (元) | 付款期限(天) |
1 | 项目实施阶段(2023 年 12 月 25 日前) | 提供 1 年云防护服务,具体内容详见附件。 | 499000 | 7 |
4、甲方每次付款前,乙方应向甲方开具符合甲方要求的 普通发票 ,乙方未按合同约定开具发票导致甲方逾期付款的,甲方不承担违约责任。
第五条 双方权利义务和质量保证
(一)甲方权利义务
1、甲方有权按照采购文件及投标(响应)文件要求获取乙方所提供的专业化服务;
2、甲方保证服务期间,对乙方工作给予支持,提供采购需求必须的基础工作条件;
3、甲方应按合同约定向乙方按期支付服务费。
(二)乙方权利义务
1、乙方有权要求甲方提供为完成本次服务所需的相关材料和相关信息;
2、有权按照本合同约定收取服务费;
3、xxxxx职业道德,充分利用其专业知识和业务资源保证完成本合同及附件所列明的工作内容;
4、乙方必须在双方议定的时间、地点完成本次服务工作;
5、乙方为甲方提供服务期间,严格做好安全防护措施,并为提供服务的员工按法律规定办理工伤、意外保险,并承担相关费用。服务期间发生安全事故的,责任由乙方承担,由此造成甲方、乙方人员或者第三方损失的,乙方承担全部赔偿;
6、乙方保证所提供的服务或其任何一部分均不会侵犯任何第三方的专利权、商标权或著作权。一旦出现侵权、索赔或诉讼,乙方应承担全部责任。乙方保证提供的服务不存在危及人身及财产安全的隐患,不存在违反国家法律、法规及行业规范要求的有关安全条款,否则应承担全部法律责任;
7、乙方不得擅自转让其应履行的合同义务。
第六条 知识产权归属
本合同所约定的工作内容中,本项目正式成果的知识产权归 甲 方所有。
第七条 保密条款
甲方按照本合同约定提供给乙方的任何资料和信息,以及乙方在服务过程中知悉的甲方的商业和技术秘密信息,属甲方的保密信息和甲方拥有所有权的财产,乙方应对该资料和信息严格保密,除为履行本合同约定服务需要向行政机关作出的披露外,未经甲方书面同意,不得用于本合同约定服务以外的任何其他用途,亦不得以任何方式向任何第三方泄露或公开,并保证在本合同约定服务履行完毕后,将所有资料和信息归还甲方。本保密条款不因双方合同终止而无效,自本合同签订之日起,至相关信息已经被公开或事实上一方违反本条款不会给对方造成任何形式的损害时止,本保密条款对双方仍具有约束力。乙方如有失密或泄密行为,则视为乙方违约,甲方有权解除本合同;无论甲方是否解除合同,乙方均应当向甲方支付 0 元违约金,并赔偿给甲方造成的损失。
第八条 合同履约、验收
政府采购合同的履约适用于民法典的规定,合同签订双方应当严格按照民法典的相关规定履行各自权利和义务。
1、合同签订后,乙方提供服务应当符合采购文件及投标(响应)文件及本合同约定,如提供服务不符合采购文件及投标(响应)文件及本合同约定要求的,甲方有权提出异议并拒绝接受服务;
2、合同履约过程中,甲方对乙方提供服务有异议的,可以以口头或书面形式向乙方提出,乙方应在接到甲方通知之
日起 7 日内予以解决,否则视为乙方违约,参照本合同第十条承担违约责任;
第九条 履约保证金
无
第十条 合同的变更、终止与转让
1、乙方未按合同约定提供服务的,每逾期一日,向甲方赔偿违约服务款额 0 ‰违约金,违约金累计不得超过违约服务款额 0 %。乙方未按合同约定提供服务累计超过 1 天,甲方有权解除合同并要求乙方退还全部甲方已支付款项,同时,乙方向甲方支付 0 元违约金,并承担因此给甲方造成的经济损失;
2、甲方延期付服务款的,每逾期一日按照应付服务费用的 0 ‰向乙方支付违约金,但逾期付款违约金累计不得超过
应付服务费用的 0 %;
3、任意一方擅自解除合同或因一方非不可抗力原因导致合同根本不能履行,视为违约,违约方按本合同约定服务费用的 0 %收取违约金并赔偿给守约方经济损失。
第十一条 违约责任
1、“不可抗力”是指不能预见、不能避免并不能克服的客观情况,包括但不限于:天灾、水灾、地震或其他灾难,战争或暴乱,以及其他在受影响的一方合理控制范围以外且经该方合理努力后也不能防止或避免的类似事件;
2、由于不可抗力的原因,而不能履行合同或延迟履行合同的一方可视不可抗力的实际影响免除部分或全部违约责任。但受不可抗力影响的一方应立即通知对方,并在不可抗力发生后 7 日内出示相关的主管部门签发的证明文件,以便对方 审查、确认;
3、不可抗力事件终止或消除后,受不可抗力影响的一方,应立即通知对方, 不可抗力事件终止或消除后 7 日内出示
相关的主管部门签发的证明文件确认不可抗力事件的终止或消除;
4、由于不可抗力的原因,致使合同无法按期履行或不能履行的,所造成的损失由双方各自承担。受不可抗力影响的一方应当采取合理的措施防止损失的扩大,否则应就扩大的损失负赔偿责任。
第十二条 合同变更与解除
1、除《中华人民共和国政府采购法》第 50 条规定的情形及不可抗力因素导致合同目的不能实现外,本合同一经签订,未经双方协商,甲乙双方不得擅自变更、中止或终止;
2、因不可抗力或一方严重违约致使合同目的不能实现,相对方可以解除合同,但应以书面形式通知对方。
第十三条 合同争议解决
因履行本合同引起的或与本合同有关的争议,甲乙双方应首先通过友好协商解决,如果协商不能解决的,按下列方式解决:
向合同履行地人民法院起诉。
第十四条 合同文件组成
1、政府采购采购文件;2、乙方提供的投标(响应)文件;3、甲方提供工程清单;4、投标(响应)承诺书:5、评
标记录;6、中标(成交)通知书。
本甲乙双方电子签章后生效,自签订之日起 7 个工作日内,将合同(电子版)通过政府采购管理平台上传至本级政府采购监督管理部门备案(纸质版合同根据甲乙双方需要自行签订留存)。
甲方(章) 签订时间 : 2023 年 07 月 06 日 | 乙方(章) 签订时间 : 2023 年 07 月 06 日 |
签订地点: 黑河市 | 签订地点: 黑河市 |
单位地址: xxxxxxxxxx 0 x | 单位地址: xxxxxxxxxx 000 x 00 x 0 xx 0 x 00 x、02 号(住宅) |
法定(或授权)代表人: xxx | xx(或授权)代表人: xxx |
委托代理人: xxx | xx代理人: xxx |
电话: 00000000000 | 电话: 00000000000 |
开户银行: 黑河农村商业银行营业部 | 开户银行: 中国农业银行股份有限公司哈尔滨中山支行 |
账号: 679990122000172092 | 账号: 08059201040012126 |
账号名称: 黑河市人民政府办公室 | 账号名称: 哈尔滨安信咨询有限公司 |
邮政编码: 164300 | 邮政编码: 150000 |
合同附件
1、投标人承诺具体事项: 1、我公司承诺提供 7*24 小时应急响应服务; 2、我公司承诺提供现场技术支持及远程技术支持服务; 3、我 公司承诺提供信息安全相关的咨询服务。 |
2、售后服务具体事项: 1、服务期限:1 年; 2、针对一般性问题、整改验证,指派专人,提供即时技术指导和服务; 3、针对重大问题,指派专人,提供现场技术指导和服务。 4、现场响应时间:30 分种内进行响应,24 小时内达到客户现场; 5、提供 7×24 小时的人工客服及安全专家技术服务。 |
3、保修期责任: 提供系统软件免费维护,保障系统软件正常运行。属于软件存在的缺欠或不完善等问题,免费提供软件版本升 级和更新维护等支持。 |
4、其他具体事项: 一、云防护服务 1、原厂服务商全国范围内具备至少 20 个云扫描服务节点和 90 个云防护节点。 2、原厂服务商支持通过一体化平台提供云监测和云防护服务,以便在重保时期将监测站点快速接入云防护系统进行应急防 护。 3、原厂服务商系统基于云化 SaaS 架构,无需消耗虚拟机资源或本地物理资源,通过云端服务平台完成站点管理,为用户提供网站安全云扫描和防护服务。 4、原厂服务商支持通过统一界面展示安全问题数量最多的 TOP10 站点,统计维度包括紧急漏洞、高危漏洞、中危漏洞、低危漏洞、其他事件。 5、原厂服务商支持通过统一界面展示网站访问次数、拦截攻击次数、网站出入总流量、疑似攻击元 IP 数量,并以时间维度展示供给与访问趋势图。 6、原厂服务商支持对网站潜在的脆弱性风提供扫描服务,云端扫描引擎支持发现包括 SQL 注入漏洞、跨站脚本漏洞、命令执行漏洞、敏感信息泄露漏洞、文件包含漏洞、反序列化漏洞等漏洞类型。 7、原厂服务商支持通过服务平台基于时间、风险等级、域名维度对漏洞进行检索,展示结果包括监测站点、站点标题、URL 详情、漏洞名称、漏洞等级、专家审核时间、漏洞状态最近更新时间、取证 POC、修复状态,支持查看漏洞详情和 POC 数据,并对漏洞修复状态进行更改。 8、原厂服务商支持通过漏洞“加 V”技术对发现的漏洞进行真实性验证,提升运营服务团队审核效率,并在专家复核后第一时间向用户进行推送,在统一服务平台进行展示。 9、原厂服务商支持对主机资产的弱口令提供监测服务,展示存在弱口令的主机 IP、端口、服务名 称、用户名、密码等关键信息。 10、原厂服务商支持大规模漏洞扫描服务能力,云端扫描引擎支持横向扩容,单个扫描任务扫描网站数量可达一万个以上。 11、原厂服务商支持区域访问控制,限制国外用户或者国内以市为最低行政单位的区域进行访问控制。 12、原厂服务商支持通过服务平台以手工导入和批量导入的方式完成防护站点的添加申请,支持添加 HTTP 和HTTPS 类型的站点,并支持自主上传网站公钥或和私钥。 13、原厂服务商支持检查提交的报文是否符合 HTTP 协议框架,如异常的请求方法、特殊字符、重点字段的缺失、超长报文造成的溢出攻击以及对高危文件的访问等。 14、原厂服务商支持对 HTTP 协议合法性进行验证,提供 HTTP协议防护功能,支持对 HTTP 协议的URI、HOST、UA、Cookie、Referer、Content、Accept、Range、其他头部和参数在内的元素、参数进行检测与处理。且支持非法编码和解码的灵活控制与处理。 15、原厂服务商支持针对主流Web 服务器及插件的已知漏洞防护。Web 服务器应覆盖主流服务器: apache、tomcat、lightpd、NGINX、IIS 等。 16、原厂服务商支持对用户上传的文件后缀名和文件内容进行全方面检查,杜绝Webshell 的上传和访问。 17、原厂服务商支持流量监测的功能,基于用户的访问记录,实时检查被访问页面的安全状况,能够发现更深层次的暗链、Webshell 等安全事件。 18、原厂服务商支持提供攻击防护安全策略,支持对命令注入(包括 SQL 注入、SQL 盲注、代码注入等)、跨站脚本、SSI 指令、路径穿越、远程文件包含、WebShell 防护。 19、原厂服务商支持提供信息泄露防护安全策略,包括目录信息泄露、服务器信息泄露、数据库信息泄露、源代码泄露等。 20、原厂服务商支持一键关停功能,当网站出现紧急安全事件时,可通过浏览器一键完成关停,防止产生恶劣影响。 21、原厂服务商支持永久在线功能,当网站因为服务器故 障、线路故障、电源等问题出现无法连接时,可显示云防护节点中的缓存页面。当在敏感期或特殊时期时,用户网站主动关闭期间可显示缓存页面,增强网站安全性。 22、原厂服务商支持通过微信公众号查看网站整体防护态势,包含受攻击域名排行、攻击类型排行、攻击 IP 排行、攻击区域分布等状态信息。 23、原厂服务商支持通过微信公众号完成防护配置,包括一键关停、防护模式切换等功能。 24、原厂服务商支持访问和攻击日志查询与导出功能,可根据域名、URL、客户端 IP、返回码、访问区域、访问时间段进行查询,查询后的日志数据支持下载到本地。 25、原厂服务商支持访问与攻击原始日志离线下载功能,可按天进行下载。原始日志包含访问IP、访问时间、URL、返回码、访问域名等信息. 攻击日志至少保存 6 个月,满足《网络安全法》要求。 26、原厂服务商防护端应能适配主流的操作系统,包括但不限于:Windows XP SP3 / Windows Vista / Windows 7 / Windows 8、8.1 / Windows 10/Windows Server 2003 SP2 / Windows Server 2008、2008R2 / Windows Server 2012、2012R2 / Windows Server 2016 / Windows Server 2019/Centos5.0+、Redhat5.0+、Suse11+、Ubuntu 14+/中标麒麟/银河麒麟/信 UOS 27、原厂服务商支持对失陷后主机远控持久化行为进行检测(反弹 shell、远程控 制),可阻断远控 28、原厂服务商支持对内网的恶意攻击行为进行识别(漏洞利用、横向移动),可阻断恶意 |
探测行为 29、原厂服务商支持防端口扫描,锁定恶意的端口扫描,并记录告警。 30、原厂服务商支持内核级防火墙(业务间流量东西向隔离)功能,包括 IP、端口、协议、流向等细粒度权限控制。 31、原厂服务商提供专门的勒索风险评估功能。 32、原厂服务商支持篡改规则:支持基于目录、进程、IP、用户等进行设置篡改规则 33、原厂服务商支持目录保护:支持目录保护,可通过新增白名单实现对子目录的排除 二、安全检测 1、每年针对外网门户网站的漏洞扫描次数不低于 6 次; 2、每年针对内网所有主机、网络、数据库等设备及所有 WEB 应用系统的漏洞扫描次数不低于 4 次; 3、扫描后出具相应的漏洞扫描报告。 4、承包商应提供检测扫描所需的软硬件设备; 5、承包商应协助业主做好迎接上级网络安全监管部门检查的各项工作,开展事前自查准备、迎接检查,以及事后整改等,并确保相关检查结果符合上级监管部门的要求。评估结果分析,即对上述回收数据进行分析,提出网络系统的安全现状和存在的问题,并提供相应的结果分析报告文档。 6、承包商采用专业的漏洞扫描工具对服务范围内各种软硬件设备进行网络层、系统层、数据库、应用层面的全面扫描与分 析,扫描设备检测规则库及知识库应涵盖 CVE、CNCVE、CNVD、CNNVD 等标准。 三、安全处置 1、承包商根据安全检测服务结果,针对所发现的安全漏洞及安全风险,提出可操作性强、效果佳的整改建议,并协助用户完成整改。 2、针对紧急应急情况:业主系统维护人员、承包商安全服务人员共同测试应急处理方案验证效果 3、针对紧急应急情况承包商要提供安全服务人员 12 小时内到达现场进行服务 | |
甲方(章) 签订时间 : 2023 年 07 月 06 日 | 乙方(章) 签订时间 : 2023 年 07 月 06 日 |