首页福州市公共资源交易服务中心
电子系统漏洞扫描及渗透测试服务采购公告
根据《中华人民共和国招标投标法》《中华人民共和国政府采购法》及福州市政府采购有关规定,我中心拟对2个电子交易系统(即福州市公共资源电子交易平台系统、福州市工程建设电子招投标平台系统)的漏洞扫描及渗透测试服务项目以询价比价方式进行采购,具体要求如下:
一、询价内容
序号 | 产品 名称 | 要求 | 数量 | 总品目 预算(元) |
1 | 福州市公共资源交易服务中心电子系统漏洞扫描及渗透测试服务 | 1. 对福州市公共资源电子交易平台系统、福州市工程建设电子招投标平台系统2个电子系统进行漏洞扫描及渗透测试服务进行公开询价,并分别出具相应报告。 2.服务内容见附表。 3.按政府部门制定的相关规范和技术要求交付完整的材料,并通过政府部门要求的系统安全绩效考核。项目工作成果应符合采购人的保密要求。 4.服务时间:合同签订之日起一年内。 | 服务期内应提供在2023年度进行至少3次安全漏洞扫描服务和3次的渗透测试服务(原则上2023年第2.3.4季度各一次,采购人有特别要求的除外),2024年度进行1次全漏洞扫描服务和1次的渗透测试服务(原则上2024年第1季度完成,采购人有特别要求的除外)。 | 75000 |
附表:
序号 | 服务项目 | 服务内容 |
1 | 漏洞扫描 | (1)对两个信息系统在2023年进行至少3次漏洞扫描,2024年度进行1次漏洞扫描。(2)针对内部主机如:服务器、操作系统、网络设备与数据库扫描;(3)针对业务系统开展现场或远程扫描。 |
2 | 渗透测试 | (1)对两个信息系统在2023年进行至少3次渗透测试,2024年度进行1次渗透测试。(2)利用目标应用系统的安全弱点模拟真正的黑客入侵攻击方法,以人工渗透为主,以漏洞扫描工具为辅。 |
3 | 协助安全加固 | 协助安全加固(包含软件应用基线、数据库基线、中间件基线、操作系统基线等) |
4 | 制度建设辅导 | 协助客户对安全管理制度建设,按照等级保护管理部分的标准,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理5个方面帮助客户补充及完善等级保护要求的管理体系建设中涉及到的制度文档,以及相关记录的完善 |
5 | 入侵痕迹排查 | (1)对中心部署在本地及云平台上的服务器操作系统和应用的运行环境进行入侵痕迹的安全检查,包括可疑的文件、服务、进程、端口、网络连接、网站WebShell后门等,综合评估当前系统运行环境安全情况,生产入侵痕迹检测报告,并提出安全修复建议;(2)每半年一次。 |
6 | 安全防护设备租赁及演练支撑 | (1)在网络安全监管部门举办的攻防演练期间按需提供以下设备:下一代防火墙(要求具备入侵防御、网络防病毒功能)、高级持续性威胁检测设备(APT)(要求具备APT攻击预测技术和攻击防御技术)、Web应用防火墙(要求具备网页防篡改功能)、态势感知平台(具备展示对应安全事件的建议处置方式)及其他的安全厂商认为应增加的设备部署于中心互联网边界,确保基础网络运行安全,在本地和云平台互联网区服务器上部署主机安全防护系统(具有针对服务器入侵检测和防护功能,并配有服务端可实现集中管理与监测,非普通杀毒软件,软件授权一年);(2)每年按需提供(设备租赁时间不低于60天)。 |
7 | 重要时期安全保障 | (1)在具有重大政治影响的活动前夕派遣专业安全服务人员现场提供资产清查、网络及数据安全检查和加固服务,活动期间根据中心需要安排人员提供现场或远程支持,确保各网络及信息系统的安全稳定运行。攻防演练期间安排至少两名安全技术人员现场5*8小时驻点防守,借助云平台及本地现有和租赁的安全设备及部署的防护软件获取相关数据日志进行分析,根据分析结果进行威胁处置,并提供针对我委系统的威胁攻击和处置数据的截图或日志(本地和云平台)等,确保中心网络及信息系统不被攻击成功,顺利完成防守任务,并协助中心编写演练相关材料报告;(2)每年按需提供(现场值守时间不低于60天)。 |
8 | 应急响应服务及疑难网络故障排查 | (1)在遇到突发事件后,立即开展故障排查,采取紧急措施并恢复业务;调查安全事件发生的原因,避免同类安全事件再次发生;在需要司法机关介入时,提供法律认可的数字证据等,根据中心需要协助开展网络安全应急演练,并对演练过程进行技术指导和支持,在遇到重大疑难网络故障时,安排技术人员协助排查故障原因;(2)服务频率:7*24小时。 |
9 | 在线监测服务 | (1)对中心涉及的web站点提供可用性监控、网页篡改监控、网页挂马监控、网页敏感信息监控、钓鱼网站监测,基于多运营商线路提供7*24小时实时监测,在出现风险告警后,由安全监测专家团队提供远程验证服务后,第一时间通知中心,提供专业处理建议,每月为中心出具安全监测月报;(2)服务频率:7*24小时。 |
10 | 验收材料 | 供应商应在服务结束后提交加盖中标方公章的纸质版及电子版的服务报告,作为验收材料。中标方提交的安全服务报告应由福州市公共资源交易中心书面同意方可视为验收合格,验收合格后双方签署《项目验收单》。 |
11 | 实施过程安全性 | 供应商应在满足工程进度要求的前提下,确保实施过程中不会因工作失误而影响系统正常运行。 |
12 | 服务工具 | (1)供应商所采用的安全服务工具能够发现网页木马;进行植入网页木马(webshell)等入侵行为,主机安全监控系统应能够在1分钟内发现网页木马并生成相关的告警,并能够查看告警信息和对应的敏感文件内容。(2)检查的目标文件类型不限,可同时支持PHP、ASP/JSP/ASPX/JSPX等脚本类型;(3)对各类威胁进行评分,并按照危险值从高到低进行排序;(4)支持导出检测结果。 供应商应提供相应截图附后。 |
备注:本次服务中的重要时期网络安全保障服务(含攻防演练设备租赁及技术支撑)现场值守计划总时长≥60天,若实际重保时长不足30天,按照除合同约定外增加漏洞扫描服务和渗透测试服务一次。
本合同包:不接受联合体报价
二、供应商资格要求
1.符合《中华人民共和国政府采购法》第二十二条规定条件;
2.落实政府采购政策需满足的资格要求:
(1)本合同包专门面向中小微企业采购,非中小微企业的投标将被视为无效投标。①根据《政府采购促进中小企业发展管理办法》(财库〔2020〕46号),投标人应为符合该办法规定的小微企业,应当按要求提供符合规定的《中小企业声明函》,无须提供其他证明材料。②根据《关于政府采购支持监狱企业发展有关问题的通知》(财库〔2014〕68号)文件规定,符合规定的监狱和戒毒企业(以下简称监狱企业)参加政府采购活动视同小型、微型企业,应当提供由省级以上监狱管理局、戒毒管理局(含新疆生产建设兵团)出具的属于监狱企业的证明文件。③根据《关于促进残疾人就业政府采购政策的通知》(财库〔2017〕141号)文件规定,符合规定的残疾人福利性单位参加政府采购活动视同小型、微型企业,应当提供通知规定的《残疾人福利性单位声明函》并对声明的真实性负责。④本项目为服务类,采购标的对应的中小企业划分标准所属行业详见采购标的一览表。(如属于专门面向中小企业采购的项目,供应商应为中小微企业、监狱企业、残疾人福利性单位)
3.本项目的特定资格要求:
(1)资格承诺函(若有):根据《福州市财政局关于进一步推进政府采购领域优化营商环境工作的通知》(榕财采〔2021〕52号),2022年1月1日起,预算金额在500万元以内的政府采购项目推行供应商资格证明材料承诺制。供应商在投标(响应)时,可自行选择是否按该通知规定提供资格承诺函,若按规定提供资格承诺函的,无需再提交财务状况、缴纳税收和社保资金缴纳等证明材料。注:采购人有权在签订合同前要求中标人提供相关证明材料以核实中标人承诺事项的真实性。投标人应当遵循诚实守信的原则,不得作出虚假承诺,承诺不实的,属于提供虚假材料谋取中标、成交,依法追究相关的法律责任。
4.境内具有独立法人资格且具备合格有效的营业执照,具有独立承担民事责任和履行合同能力,在近三年内的经营活动中没有重大违法记录(须提供公告发布之日后通过“信用中国”网站(www.creditchina.gov.cn)及中国政府采购网(www.ccgp.gov.cn)查询其上述信用记录的信用信息查询结果网页打印件或者截图(均注明网址))
5.供应商代表法人授权书原件(须提供法定代表人及供应商代表身份证正反面复印件),法人代表亲自参加的,可不提供授权书,只需提供法定代表人身份证即可。
三、报价须知
1.参加询价的公司应遵循政府采购的法律法规和通行规则;
2.报价材料包括:(1)报名承诺函;(2)询价报价表;(3)营业执照、税务登记证、机构代码证或“三证合一”后的证件复印件;(以上材料均须加盖公章)
3.报价包含本项目产生的所有费用;
四、报价材料提交截止时间
2023年5月30日16时,逾期不予接受。
五、报价材料提交地点
福州市公共资源交易服务中心(福建省福州市仓山区南江滨西大道199福州市规划馆负一楼),只接受当面提交。
六、支付方式数据表格
支付期次 | 支付比例(%) | 支付期次说明 |
1 | 100 | 服务结束并验收之后,我中心收到符合要求的合法有效等额的发票后十五个工作日内付清。 |
七、联系方式
询价人:福州市公共资源交易服务中心
联系人: 沈先生
联系电话:87580196
福州市公共资源交易服务中心
2023年5月26日
