首页福州市公共资源交易服务中心
电子系统漏洞扫描及渗透测试服务询价公告
根据《中华人民共和国招标投标法》《中华人民共和国政府采购法》及福州市政府采购有关规定,我中心拟对所属电子交易系统(福州市公共资源电子交易平台、福州市建设工程电子招投标系统)漏洞扫描及渗透测试服务项目以询价比价方式进行采购,具体要求如下:
一、采购标的
序号 | 产品名称 | 要求 | 数量 | 总品目预算(元) |
1 | 福州市公共资源交易服务中心电子系统漏洞扫描及渗透测试服务 | 1.对福州市公共资源电子交易平台、福州市建设工程电子招投标系统进行漏洞扫描及渗透测试服务进行公开询价,并分别出具相应报告。 2.服务内容见招标内容要求。 3.按招标内容要求交付完整的材料,项目工作成果应符合采购人的保密要求。 4.服务时间:合同签订之日起一年内。 | 服务期内应提供在2024年度进行≥3次安全漏洞扫描服务和的渗透测试服务(原则上2024年第2、3、4季度各一次,采购人有特别要求的除外),2025年度进行1次全漏洞扫描服务和渗透测试服务(原则上2025年第1季度完成,采购人有特别要求的除外)。 | 100000 |
二、招标内容及要求
1.招标内容要求
本项目招标内容要求全部条款内容均为“以“★”标示的内容”,即均为不允许负偏离的实质性要求。
序号 | 服务项目 | 服务内容 | 交付成果 | 服务频次 | 备注 |
1 | 漏洞扫描 | (1)针对内部主机如:服务器、操作系统、网络设备与数据库扫描; (2)针对业务系统开展现场或远程扫描。 | 漏洞扫描报告 | 4次(2024年第2、3、4季度各一次,2025年第1季度一次) | |
2 | 渗透测试 | 利用目标应用系统的安全弱点模拟真正的黑客入侵攻击方法,以人工渗透为主,以漏洞扫描工具为辅。 | 渗透测试报告 | 4次(2024年第2、3、4季度各一次,2025年第1季度一次) | |
3 | 协助安全加固 | 安全加固(包含软件应用基线、数据库基线、中间件基线、操作系统基线等), 安全加固服务采用“人工+工具”加固方式,即通过安全基线检查和安全策略修复,并结合第三方安全加固工具实现对操作系统的全面安全增强, 1)安全加固工具支持内核级的强制访问控制功能,支持基于敏感标记(安全等级)控制文件读写权限(提供对应工具功能截图)2)安全加固工具支持白名单功能,只有属于白名单的进程可以运行,可以有效禁止病毒或木马的执行。(提供对应工具功能截图)3)安全加固工具支持基于MD5的识别技术的文件完整性检查功能,可对文件进行资源完整性监控。(提供对应工具功能截图)4)安全加固工具支持基线检查功能,能对常见的系统脆弱性进行一键扫描和加固修复。(提供对应工具功能截图)5)安全加固工具支持服务器的非法外联管控,避免服务器私自连接外部网络。(提供对应工具功能截图)6)安全加固工具支持外接USB设备的管控,可对接入的第三方USB设备进行控制,防止物理层面的非法接入行为。(提供对应工具功能截图)7)安全加固工具具有中国网络安全审查技术与认证中心颁发的IT产品信息安全认证证书,满足“ISCCC-TR-001-2017《操作系统安全加固产品安全技术要求》(增强级)”相关产品标准及技术要求。(提供对应工具证书复印件证明) | 安全咨询相关内容 | 4次/年 | |
4 | 制度建设辅导 | 协助采购人完善现有安全管理制度,按照等级保护管理部分的标准,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理5个方面协助采购人补充及完善等级保护要求的管理体系建设中涉及到的制度文档,以及相关记录的完善。 | 安全管理制度汇编 | 1次/年 | |
5 | 入侵痕迹排查 | 对中心部署在本地及云平台上的服务器操作系统和应用的运行环境进行入侵痕迹的安全检查,包括可疑的文件、服务、进程、端口、网络连接、网站WebShell后门等,综合评估当前系统运行环境安全情况,生产入侵痕迹检测报告,并提出安全修复建议; | 《入侵清查报告》 | 2次/年 | |
6 | 安全防护设备租赁及演练 支撑 | 在网络安全监管部门举办的攻防演练期间租赁包括下一代防火墙(≥3台,要求具备入侵防御、网络防病毒功能)、高级持续性威胁检测设备(APT)(≥1台,要求具备APT攻击预测技术和攻击防御技术)、Web应用防火墙(≥1台,要求具备网页防篡改功能)、态势感知平台(≥1台,具备展示对应安全事件的建议处置方式)及其他的安全厂商认为应增加的设备部署于中心互联网边界,确保基础网络运行安全,在本地和云平台互联网区服务器上部署主机安全防护系统(具有针对服务器入侵检测和防护功能,并配有服务端可实现集中管理与监测,非普通杀毒软件,软件授权一年)。 | 相关设备 | 每年按需提供(设备租赁时间≥60天) | |
7 | 重要时期安全保障 | 在具有重大政治影响的活动前夕派遣专业安全服务人员提供资产清查、网络及数据安全检查和加固服务,活动期间根据中心需要安排人员提供远程支持,确保各网络及信息系统的安全稳定运行。攻防演练期间安排≥2名安全技术人员远程5*8小时防守,借助云平台及本地现有和租赁的安全设备及部署的防护软件获取相关数据日志进行分析,根据分析结果进行威胁处置,并提供针对我单位系统的威胁攻击和处置数据的截图或日志(本地和云平台)等,确保单位网络及信息系统不被攻击成功,顺利完成防守任务,并协助中心编写演练相关材料报告。 | 重保相关报告 | 每年按需提供(现场值守时间≥30天) | |
8 | 应急响应服务及疑难网络故障排查 | 在遇到突发事件后,立即开展故障排查,采取紧急措施并恢复业务;调查安全事件发生的原因,避免同类安全事件再次发生;在需要司法机关介入时,提供法律认可的数字证据等,根据中心需要协助开展网络安全应急演练,并对演练过程进行技术指导和支持,在遇到重大疑难网络故障时,安排技术人员协助排查故障原因; | 应急响应报告 | 全年,按需提供 | |
9 | 在线监测服务 | 对中心涉及的web站点提供可用性监控、网页挂马监控、网页敏感信息监控等: (1)网站可用性监控服务 全年7*24小时对网站首页进行轮询探测,网站访问不到则通过邮件或短信等方式进行告警,确保网站的可用性实时掌控; (2)域名劫持监控服务 全年7*24小时对网站首页进行域名劫持探测,一旦发现域名被劫持则通过邮件或短信等方式进行告警。 (3)网页挂马监控服务 全年7*24小时采用远程监控方式对网站页面进行网页挂马分析,一旦识别到网页挂马行为,则进行邮件或短信进行告警。 (4)网站暗链监控服务 全年7*24小时采用远程监控方式对网站页面进行暗链分析,一旦识别到网页存在暗链行为,则进行邮件或短信进行告警。 (5)敏感内容监控服务 全年7*24小时对关键网页的敏感内容进行监控,识别网站存在政治、低俗等敏感内容情况,并进行邮件或短信进行告警。 (6)网站监控警服务 针对网站监控平台发现的问题,监控平台自动通过微信或者短信发送告警信息到系统管理员等相关人员。 (7)网站安全监控报告 安全服务提供商定期汇总安全监控情况,并提交详细的监控报告。 | 安全监测月报(报告每月1份) | 全年 | |
10 | 数据资产梳理服务 | 针对数据库资产以及数据库账户、权限情况进行梳理清查,通过对数据资产的摸底,形成数据资产清单,全局掌握数据资产情况。 | 《数据资产清单》、《数据库账户权限清单》 | 1次/年 | |
11 | 数据安全评估服务 | 针对福州市公共资源电子交易平台、福州市建设工程电子招投标系统以访谈形式提供数据安全评估服务,基于数据资产发现与梳理,识别敏感资产的状况,从数据安全管理、数据生命周期开展评估工作,并根据评估结果提出改善建议。 | 《数据安全评估报告》 | 1次/年 | |
12 | 数据安全管理体系服务 | 协助健全数据安全管理体系,为制定数据安全相关管理制度、规范、流程、策略提供咨询服务。 | 《数据安全组织制度》、《数据安全管理制度》 | 1次/年 | |
13 | 攻防演练防守保障 | 通过网络安全攻防演练,进一步检验网络安全防护能力、监测发现能力、应急处置能力,发现可能在网络安全防护、监测和处置措施中存在的短板,积累有效应对网络安全攻击和威胁的经验,促进网络安全积极防御、协同处置的体系建设,促进网络安全队伍建设,在实战中有效提升网络安全保障能力。针对演练活动提供演练统筹服务、演练前期风险自查服务、演练前期整改加固服务、汇报总结服务等。 | 《检测报告》 《总结报告》 | 1次/年 |
备注:本次服务中的重要时期网络安全保障服务、攻防演练防守保障,若因中心工作实际需要导致服务项目减少,需按合同约定外增加漏洞扫描服务和渗透测试服务一次。
2.服务实施要求
供应商应在满足进度要求的前提下,确保实施过程中不会因工作失误而影响系统正常运行。
3.服务验收条件
供应商应在服务结束后提交加盖中选人公章的纸质版及电子版的服务报告,作为验收材料。中选人提交的安全服务报告应由福州市公共资源交易服务中心书面同意方可视为验收合格,验收合格后双方签署《项目验收单》。
三、供应商资格要求
1.符合《中华人民共和国政府采购法》第二十二条规定条件;
2.落实政府采购政策需满足的资格要求:
(1)本合同包专门面向中小微企业采购,非中小微企业的投标将被视为无效投标。①根据《政府采购促进中小企业发展管理办法》(财库〔2020〕46号),投标人应为符合该办法规定的小微企业,应当按要求提供符合规定的《中小企业声明函》,无须提供其他证明材料。②根据《关于政府采购支持监狱企业发展有关问题的通知》(财库〔2014〕68号)文件规定,符合规定的监狱和戒毒企业(以下简称监狱企业)参加政府采购活动视同小型、微型企业,应当提供由省级以上监狱管理局、戒毒管理局(含新疆生产建设兵团)出具的属于监狱企业的证明文件。③根据《关于促进残疾人就业政府采购政策的通知》(财库〔2017〕141号)文件规定,符合规定的残疾人福利性单位参加政府采购活动视同小型、微型企业,应当提供通知规定的《残疾人福利性单位声明函》并对声明的真实性负责。④本项目为服务类,采购标的对应的中小企业划分标准所属行业详见采购标的一览表。(如属于专门面向中小企业采购的项目,供应商应为中小微企业、监狱企业、残疾人福利性单位)
3.本项目的特定资格要求:
(1)资格承诺函(若有):根据《福州市财政局关于进一步推进政府采购领域优化营商环境工作的通知》(榕财采〔2021〕52号),2022年1月1日起,预算金额在500万元以内的政府采购项目推行供应商资格证明材料承诺制。供应商在投标(响应)时,可自行选择是否按该通知规定提供资格承诺函,若按规定提供资格承诺函的,无需再提交财务状况、缴纳税收和社保资金缴纳等证明材料。注:采购人有权在签订合同前要求中标人提供相关证明材料以核实中标人承诺事项的真实性。投标人应当遵循诚实守信的原则,不得作出虚假承诺,承诺不实的,属于提供虚假材料谋取中标、成交,依法追究相关的法律责任。
4.境内具有独立法人资格且具备合格有效的营业执照,具有独立承担民事责任和履行合同能力,在近三年内的经营活动中没有重大违法记录(须提供公告发布之日后通过“信用中国”网站(www.creditchina.gov.cn)及中国政府采购网(www.ccgp.gov.cn)查询其上述信用记录的信用信息查询结果网页打印件或者截图(均注明网址))。
5.供应商代表法人授权书原件(须提供法定代表人及供应商代表身份证正反面复印件),法人代表亲自参加的,可不提供授权书,只需提供法定代表人身份证即可。
四、报价须知
1.本合同包:不接受联合体报价
2.参加询价的公司应遵循政府采购的法律法规和通行规则;
3.报价材料包括:(1)报名承诺函;(2)询价报价表;(3)营业执照、税务登记证、机构代码证或“三证合一”后的证件复印件;(以上材料均须加盖公章)
4.报价包含本项目产生的所有费用。
五、报价材料提交截止时间
2024年4月11日16时,逾期不予接受。
六、报价材料提交地点
福州市公共资源交易服务中心(福建省福州市仓山区南江滨西大道199福州市规划馆负一楼),只接受当面提交。
七、支付方式
支付期次 | 支付期次说明 |
1 | 项目服务结束并验收合格,我中心收到服务单位本项目全额含税发票,达到付款条件起15个工作日内,支付合同总金额的100.00% |
八、联系方式
询价人:福州市公共资源交易服务中心
联系人: 赵先生
联系电话:87580196
附件:
2024年福州市公共资源交易服务中心电子系统漏洞扫描及渗透测试服务(附件).docx
