福建省纤维检验中心网络安全运维服务公开询比价采购公告
发送至邮箱
福建省纤维检验中心网络安全运维服务公开询比价采购公告
福建省纤维检验 (略) 络安全运维服务项目进行公开询比价采购公告,欢迎国内合格的投标人前来投标。
1、招标编号:FFIC*
2、项目名称:福建省纤维 (略) 络安全运维服务项目(委托期限为合同签订生效之日起一年)
3、最高限价:*元/每年(含税)。
4、招标内容及技术要求(以“★”标示的内容为不允许负偏离的实质性要求):
4.1▲服务范围
| 序号 | 名称 | 涉及主机数量 | 系统类型 | 部署位置 |
| 1 | 福建省纤维检 (略) | 1 | 虚拟机 | 本地机房服务器区 |
| 2 | 办公OA | 2 | 实体机 | 本地机房服务器区 |
| 3 | (略) | 1 | 虚拟机 | 本地机房服务器区 |
| 4 | 业务系统 | 1 | 虚拟机 | 本地机房服务器区 |
4.2▲服务概述
| 序号 | 服务大类 | 服务类别 | 服务内容 | 服务频率 | 交付成果 |
| 1 | 主机系统安全检测服务 | 主机系统安全检测服务 | (1)主机系统漏洞扫描服务 | 4次/年 | 《主机系统安全检测报告》 《风险跟踪表》 |
| (2)主机系统安全配置核查服务 | |||||
| (3)主机系统后门检查服务 | |||||
| (4)主机系统安全加固辅导服务 | |||||
| (5)中间件安全评估与配置加固建议服务 | |||||
| (6)数据库安全评估与配置加固建议服务 | |||||
| (7)主机系统安全风险跟踪服务 | |||||
| 2 | 应用安全检测服务 | (略) 站安全检测服务 | (1)可用性监测服务 | 全年 | 《 (略) 站安全监测报告》 |
| (2)合规性监测服务 | |||||
| (3)安全性检测服务 | 4次/年 | ||||
| 应用安全检测服务 | (1)应用安全漏洞扫描服务 | 4次/年 | 《应用安全检测报告》 | ||
| (2)应用安全漏洞验证服务 | |||||
| (3)应用安全漏洞加固辅导服务 | |||||
| 应用系统上线测试服务 | (1)开放服务安全性评估服务 | 《应用上线测试报告》 合计不超过3次 | 《应用系统上线测试报告》 | ||
| (2)应用软件安全评估服务 | |||||
| (3)应用安全加固建议及辅导服务 | |||||
| 安全渗透测试服务 | (1)网站安全渗透测试服务 | 2次/年 | 《安全渗透测试报告》 | ||
| (2)应用安全渗透测试服务 | |||||
| (3)安全加固建议及辅导服务 | |||||
| 应用安全漏洞跟踪服务 | (1)应用安全漏洞跟踪服务 | 4次/年 | 《漏洞跟踪表》 | ||
| 3 | 综合安全保障服务 | 安全应急演练服务 | (1)应用应急预案设计服务 | 1次/年 | 《安全应急预案》、《安全应急演练报告》 |
| (2)应用应急演练服务 | |||||
| 安全应急响应服务 | (1)安全应急响应服务 | 全年 | 发生安全事件应急响应后提交《安全应急响应报告》 | ||
| (2)安全应急处置服务 | |||||
| (3)远程安全咨询服务 | |||||
| 安全检查专题服务 | (1)安全检查专题服务 | 全年 | 安全检查相关材料 | ||
| 安全通告服务 | (1)安全通告服务 | 全年 | 《安全通告》全年不少于6期 |
4.3安全运维服务
定期每季度1次指派专业的安全服务工程师到客户现场,针对主机系统进行漏洞扫描、端口扫描、弱口令扫描等,覆盖系统的补*、服务的开放性及安全研究机构发现的系统问题等,发现系统本身存在的安全问题。
定期每季度1次指派专业的安全服务工程师到客户现场,参照等级保护2.0合规性标准,对主机系统进行配置核查,发现主机系统配置存在不合理和不安全的情况,提升客户对主机系统配置的安全意识。结合发现的问题进行及时调整,加强主机系统安全。
定期每季度1次指派专业的安全服务工程师到客户现场,针对主机系统后门进行检查,检查内容包括:
1)主机系统后门检查
主机系统被入侵潜伏后,通常存在隐藏比较深的系统后门(Rootkit),重点发现绕过杀毒软件的系统后门。
2)主机系统入侵痕迹检查
针对主机账号、启动项、进程、网络连接等进行检查。
3)主机系统日志分析服务
根据系统层日志、安全日志、应用层日志以及其他特征发现主机系统的入侵痕迹,避免黑客使用隐藏账户等躲避检查的安全隐患。
定期每季度1次指派专业的安全服务工程师到客户现场,通过分析主机系统漏洞扫描、安全配置核查、后门检查的结果,明确主机系统当前存在的安全问题,对在检测中发现的主机系统安全问题提供安全加固建议及辅导,协助系统管理员完成主机系统后门清理、漏洞加固和配置加固,提高系统的整体安全性,最大限度消除服务器高风险漏洞,使其符合等级保护的基本要求。
定期每季度1次指派专业的安全服务工程师到客户现场,针对中间件进行安全合规评估,并提供配置加固建议。
结合工具检测和人工安全审查方式来挖掘Apache/IIS/Tomcat/Weblogic/WebSphere等Web应用服务器(中间件)的脆弱性和安全性问题,主要评估账号、日志、配置等不正确的问题带来的安全威胁,帮助用户及早发现中间件存在的风险,避免造成敏感信息泄漏的后果。
针对Apache/IIS/Tomcat/Weblogic/WebSphere等Web应用服务器(中间件)提供加固建议,包括配置加固与优化建议,最大程度降低中间件本身的漏洞风险、纠正中间件使用中构成安全威胁的错误策略、加强中间件账号、日志、配置等带有安全风险的配置,从整体上提升中间件的安全性。
定期每季度1次指派专业的安全服务工程师到客户现场,针对数据库进行安全合规评估,并提供配置加固建议。
结合工具检测和人工安全审查方式来挖掘数据库系统的脆弱性和安全性问题,主要评估数据库系统安全漏洞、安全配置不正确带来的安全威胁以及由于数据库系统账号、权限等配置不严谨而产生的安全风险。帮助用户及早发现数据库系统存在的风险,避免造成敏感信息泄漏的后果。
提供数据库安全加固建议,包括最大程度降低数据库系统(SQL Server,Oracle等)本身的漏洞风险、纠正数据库系统使用中构成安全威胁的错误策略、加强数据库系统账号、密钥、权限等带有安全风险的配置,从整体上提升数据库系统的安全性。
针对主机系统安全检查服务里的主机漏洞扫描服务、主机系统安全配置核查服务、主机系统后门检查服务、中间件安全评估和数据库安全评估等服务里发现的高风险威胁进行人工跟踪,并提供风险跟踪表。
通过主机安全检测与加固辅导服务,全面深入地发现主机服务器可能存在的安全风险,及时协助修复主机系统层安全中发现的安全漏洞与隐患,最大限度地防止黑客入侵。保证信息系统有效的防护、稳定、安全的运行。
交付成果:《主机系统安全检测报告》《风险跟踪表》。
针对福建省纤维检 (略) 提供全年可用性监测服务,可用性监测主要涉及以下指标:网站可用性、网站访问的速度情况、网站响应时间,从而 (略) 网站是否能达到最优、最安全的服务质量。通过的可用性检测服务, (略) 线路远程实时 (略) 站站 (略) 络协议下的响应速度、首页加载时 (略) 站性能状况的内容, (略) 站无法访问,第一时间通知用户。
1) (略) 页变更监测服务
针对福建省纤维检 (略) 提供 (略) 页变更监测服务, (略) 页变更监测服务在远程对比的基本原理上,增加了两大核心技术,来解决业界恶意变更监控普遍误报率较高的问题。 (略) 页前后模糊匹配技术通过预设值敏感度,作为前后匹配误差的判断标准;二是内容匹配算法, (略) 页的变化,而是识别内容,并进行非法库的匹配。例如, (略) 页修改中出现了“共产党”,其它部分又出现不和谐词语,系统会计算出一个差值,来进行匹配判断是否为恶意变更行为。这样一方面提升扫描效率,一方面极大降低误报率。 (略) 站网页异常变更,第一时间通知用户。
2)网页敏感信息监测服务
针对福建省纤维检 (略) (略) 页敏感信息监测服务,对网站存在的敏感信息进行检测,并且可以检测多种类型的敏感信息,同时,还能够支持自定义导入敏感信息,在自身的敏感词库的基础上,不断丰富敏感词汇。监测工具同时利用百度、谷歌等搜索引擎的强大搜索能力,通过搜索引擎接口提交搜索参数,使页面敏感词检测覆盖面更深更广,从而实现远程实时监测目标站点页面状况,一旦发现页面出现敏感关键词,第一时间通知用户并提供安全参考建议,方便用户及时删除敏感内容,避免事件影响扩散,给自身带来声誉和法律风险。
3)网页恶意链接监控服务
针对福建省纤维检 (略) 提供全年恶意链接检测服务, (略) 站暗链、桥页等恶意 (略) 页新增链接等。通过监测工具内置的暗链特征库, (略) 页信息抓取到本地,进行特征暗链特征匹配,通过排除信任域名库、IP地址域名、常见隐藏手段等的干扰,并结合暗链关键词库的匹配技术,将目前挂暗链主要目的的搜索引擎关键词,准确匹配出来,从而在有效检测暗链的同时,将误报降到最低限度。一旦发现 (略) 页恶意链接,第一时间通知用户。
1)网站漏洞扫描检测服务
针对福建省纤维检 (略) (略) 站漏洞扫描检测服务,提供OWASP定义的Web威胁相关的漏洞扫描检测,通 (略) 站漏洞扫描检测,同时有效识别Web2.0以及Flash, (略) 站漏洞扫描的全面性。
网站漏洞扫描服务提供广度和深度两种扫描方式,广度优先策 (略) 页内容目录层次深浅来爬行页面,处于较浅目录层次的页面首先被爬行。当同一层次中的页面爬行完毕后,爬虫再深入下一层继续爬行,能有效控制页面的爬行深度,避免遇到一个无穷深层分支时无法结束爬行的问题。
2)网站钓鱼检测服务
针对福建省纤维检 (略) (略) 站钓鱼检测服务,服务工具通过借助搜索引擎的搜索 (略) 页的模糊匹配技术, (略) 页关键词,判断搜索关键 (略) 站中,是否出现与本域名不匹配,且相 (略) 站, (略) 站是 (略) 站,一旦发现将第一时间通知用户。
3)网页木马检测服务
针对福建省纤维检 (略) (略) 页木马检测服务,检测工具采用业内领先的一体化挂马检测技术,高效、准 (略) 站页面中的恶意代码, (略) 站管理员能够第一 (略) 站的安全状态, (略) 页木马,避免给用户带来安全威胁, (略) 站信誉。检测工具采用基于沙箱检测和静态特征库匹配相结合的木马检测 (略) 马检测引擎,提高引擎检测准确性,降低误报率。
4)弱口令检查服务
针对福建省纤维检 (略) 提供全年弱口令检查服务,检测工具基于调 (略) 站进行远程自动扫描, (略) 站主机诸如:SSH、FTP、ORACLE等服务的弱口令信息,包括:用户名、密码。检测工具通过内置的用户名字典和密码字典以及组合字典,可以进行标准模式破解以及组合模式破解两种扫描方式进行弱口令扫描,扫描一方面同弱口令字典中的弱口令进行匹配,另一方面使用获取到的口令进行模拟登*验证,从而实现弱口令检查功能,从而有效提高弱口令检测效率。
(略) 等检测服务工具对单 (略) 网站提供远程安全监测,用户无需安装任何软 (略) 络架构,由于无需购买和部署设备,因此用户可以在几个小时内将监测服务投入运行,并可以在第一时间获得 (略) 站安全问题,并获得专业的技术指导协助。
交付成果:《 (略) 网站安全监测报告》。
定期每季度1次指派专业的安全服务工程师到客户现场,为目标应用提供全方位的安全漏洞及安全隐患检查,从攻击者视角审查目标应用系统的脆弱性状况,包括应用漏洞、应用配置。
定期每季度1次指派专业的安全服务工程师到客户现场,对已经发现的安全问题进行人工验证,以判断应用当前的漏洞是否真实有利用,剔除误报干扰。并提供专业的安全加固措施指导建议,帮助客户解决当前应用存在的安全问题。
定期每季度1次指派专业的安全服务工程师到客户现场,提供专业的应用安全漏洞加固措施指导建议,协助应用开发商及时采取可行的应用安全加固措施进行安全加固。首次安全加固后,将进行漏洞复查和对比,以形成加固前后对比。协助客户解决当前应用存在的安全问题。
通过应用安全检测服务,全面深入地挖掘可能存在的被黑 (略) 站应用层安全漏洞和数据库的安全隐患,同时实现对单位作为业主或其负责运维的信息系统在发现漏洞时的有序管理,实现安全事件可追踪、可追溯,保障漏洞得到及时、有效的修复,确保各信息系统的安全运行。
交付成果:《应用安全检测报告》。
通过端口扫描工具检查新系统是否开放了不必要的端口及服务。避免黑客利用不安全的端口及服务进 (略) 络攻击。
对预上线应用提供软件安全评估服务,查找软件系统安全脆弱性,为软件安全性提供评价。全面检测应用程序的安全性,深度挖掘程序中存在的各种漏洞和所面临的威胁,漏洞测试覆盖OWASP十大漏洞及上线安全测试标准,如目录遍历漏洞、关键会话重放攻击、任意用户注册、越权访问漏洞、明文传输、SQL注入漏洞、XSS漏洞、上传漏洞、后台泄露漏洞、敏感信息泄露、命令执行等多方面开展软件安全测试。
针对软件安全评估及安全配置评估结果,提供应用安全加固建议,并与开发人员和系统建设人员及时沟通,从开发、集成角度提供加固建议,协助开发集成人员修复软件安全风险。
通过Web应用上线测试安全服务来最大程度地发现业务应用系统存在的薄弱环节和安全风险,并通过安全加固修复已知脆弱性,使风险降低到可接受的程度,保证应用系统的可用性、安全性。
交付成果:《应用系统上线测试报告》。
安排渗透测试团队采用人工黑盒的方式对用户的应用系统进行模拟攻击测试。主要测试方法包括:信息收集、端口扫描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人攻击、Web脚本渗透、B/S或C/S应用程序测试等,渗透结果进行人工分析,并对漏洞提交源代码加固建议报告。
针对应用系统进行专家级人工的渗透测试服务,全面检测Web应用程序的安全性,深度挖掘程序中存在的各种漏洞和所面临的威胁,漏洞测试覆盖OWASP十大漏洞,如XSS跨站脚本攻击漏洞、SQL注入漏洞、恶意代码上传漏洞、Cookie注入漏洞及其它各种敏感信息的检查等。
根据渗透测试结果,提供详细的应用安全加固建议, (略) 完成应用加固,并提供复查以确保漏洞得到修复。
(1)深度挖掘应用系统中的安全漏洞,并判断漏洞可能造成的最大限度的损失;
(2)以最权威的客户数据,让客户感受应用系统安全漏洞将带来的影响和损失,以便做好安全损失与保护的评估。
交付成果:《安全渗透测试报告》。
针对应用安全检查服务 (略) 网站安全检测、应用安全检查、上线测试、渗透测试等服务里发现的高风险漏洞进行人工跟踪,并提供漏洞跟踪函。
交付成果:《漏洞跟踪表》。
针对当前单 (略) 络实际情况, (略) 络安全应急处置相关的政策要求,针对单位的安全应急预案进行完善,预案中包括5个场景。
制定应急预案管理的责任部门,建立统一的应急预案框架,框架应包括事件分级方法、各级事件启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;在应急预案框架制定不同事件的应急预案,应急预案要指名适用的系统、设备等,要结合系统实际状况。比如 (略) (略) 页篡改、针对业务系统的入侵等。 (略) 络应急保障队*,并定期开展应急演练,做好应急演练相关文档记录。
(略) 络与信息系统安全,预 (略) 站及应用系统突发安全事件的发生,减轻和消除突发事件造成的危害和影响,组织技术力量共同完成安全应急预案中1个场景的演练,演练完成后提交《应急演练报告》及相关应急演练记录,确保能够应对各类安全事件的发生。
通过开展安全应急演练,提高单位对安全突发事件的组织指挥能力和应急处置能力。
交付成果:《安全应急预案》、《安全应急演练报告》。
(略) 络和信息系统遇到黑 (略) 页篡改等恶性事件,迅速对事件做出相应的判断,确认事件给信息系统带来的影响和损害程度,区分一般事件和应急响应事件等,如果确认事件为应急响应事件且远程支持无法解决时,安排工程师到达现场处置,实施最有效的紧急救援及恢复补救方案。
根据突发事件信息,初步判定突发事件的程度。能够自行解决,要及时加以解决;如果不能自行解决故障,由单位领导现场指挥,协调各部门力量,按照分工负责的原则,组织相关技术人员立即启动应急预案,进入应急预案的处置程序,及时控制安全事件的蔓延,采取有效的措施以防止事件进一步扩大,尽可能地减少负面影响。
(略) 络和信息系统故障或出现安全事件时能立即通过电话咨询或远程维护等方式提供7×24小时远程安全咨询服务支持。
通过应急响应为遇到黑 (略) 页篡改等恶性事件,实施最有效的紧急救援及恢复补救工作。
交付成果:发生安全事件应急响应后提交《安全应急响应报告》。
在上级监管部门对单位进行安全检查期间,协助单位按照上级监管部门要求,进行专门的全面安全检查协助服务和保障协助,包括协助单位梳理出单位现有的信息安全管理制度相关材料等。
通过安全检查专题服务,保障了在上级监管部门安全检查期间能够进行高效的协助工作。
交付成果:安全检查相关材料。
提供最新的安全动态、技术和安全信息,包括实时安全漏洞通知、定期安全通告汇总和安全知识库更新等。通告内容包括但不限于以下内容:
国内外最新重大漏洞、病毒安全通告;
国家安全政策及法律法规;
同行业安全威胁事件通告;
国内外重大安全事件,新技术发展动态通告;
重大安全漏洞爆发时需结合资产情况,提出相应修复建议。
可以根据通告信息,轻松掌握最新的安全漏洞状态并能够安排及时修补IT资产漏洞,提高单位安全脆弱性管理能力。
交付成果:《安全通告》全年不少于6期。
5、结算方式:
签定合同七个工作日内付50%合同款,服务期满半年后的10个工作日内付25%合同款,服务期满一年后的10个工作日付清剩余尾款。
6、供应商资质及投标文件要求:
(1)投标人需提交以下合法有效的资质证明材料(均需加盖公章)。
a、投标人营业执照副本复印件。
b、投标人法人授权书(如投标人是法人则不需要)。
c、投标人具备履行合同所必需设备和专业技术能力专项证明材料。
(2)投标文件装订要求:
a、投标文件需胶装成本,正本一份,副本五份,提交投标的文件必须密封并加盖骑缝公章,内容包含:a、投标人资质证明文件;b、报价表;c、承诺书;d、招标公告要求投标人响应的有效材料。
b、投标文件未进行密封、标记的按无效投标处理;如报价高出招标人设定最高限价则为无效标;投标人少于三家的,招标人重新组织招标。
7、本项目不接受联合体投标。
8、评标方式:采用综合评分法,投标文件满足招标文件全部实质性要求,且按照评审因素的量化指标评审得分(即评标总得分)最高的投标人为中标候选人。各项评审因素的设置如下:
8.1 价格分(10分)
a.价格分采用低价优先法计算,即满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。其他投标人的价格分统一按照下列公式计算:投标报价得分=(投标报价/评标基准价)×价格分。因落实政府采购政策需进行价格扣除的,以扣除后的价格计算评标基准价和投标报价。
8.2 技术评分项(73分)
| 评标项目 | 评标分值 | 评标方法描述 |
| 1、服务响应情况 | 57 | 根据各投标人所投服务对4、招标内容及技术要求作出明确的逐项响应承诺,并在《技术和服务要求响应表》中列明是否偏离,并对其真实性负责,完全满足招标文件要求的得57分;技术参数中标注“▲”号的参数,每负偏离一项扣1.5分(共38项);扣完为止,正偏离不加分。 注:招标文件中技术指标若有要求投标人提供相应佐证材料的,投标人未提供相应佐证材料或者投标人的响应承诺与其佐证材料不一致的,评标委员会将以不利于投标人的内容为准进行评审(负偏离)。 |
| 2、服务工具 | 2 | 2.1鉴于服务报告内容敏感性,服务报告提交需基于安全文档管理工具进行,对服务报告的提交、查看进行权限控制,防止泄密,提供功能截图。服务工具应为国产,提供功能截图证明的得2分,其它情况不得分,满分2分。 |
| 2 | 2.2投标人在本项目的安全服务中所采用的服务工具能够对数据资产进行脆弱性分析,可发现业务系统中的失踪资产、僵尸资产、复用资产、未知资产、不明资产、新增资产、暴露资产、销毁资产和忽略资产,并提供截图。服务工具应为国产,提供功能截图证明的得2分,其它情况不得分,满分2分。 | |
| 2 | 2.3投标人在本项目的安全服务中所采用的服务工具采用基于的APT攻击预测技术,提供详细的技术实现方法说明,且该技术实现方法获得省级及以上政府 (略) 站发表, (略) 站证 (略) 址,提供该技术的省级及以上政府权威机构认证的相关证明材料(原件备查)得2分。否则不得分 | |
| 2 | 2.4投标人在本项目的安全服务中所采用的服务工具 (略) 络安全工作任务管理,展示任务的总体趋势、任务来源分布、任务完成情况的相关报表数据、展示任务责任部门的列表用于展示各部门的发布任务数、指派率、转任务率、任务及时率的情况,并提供功能截图。服务工具应为国产,提供功能截图证明的得2分,其它情况不得分,满分2分。 | |
| 2 | 2.5投标人在本项目的安全服务中所采用的工具支 (略) 络安全监控技术,提供详细的技术实现方法说明,且该技术实现方法获得省级及以上政府 (略) 站发表, (略) 站证 (略) 址,提供该技术的省级及以上政府权威机构认证的相关证明材料(原件备查)得2分,否则不得分。 | |
| 2 | 2.6投标人在本项目的安全服务中所采用的工具采用APT防御技术,提供详细的技术实现方法说明,且该技术实现方法获得省级及以上政府 (略) 站发表, (略) 站证 (略) 址,提供该技术的省级及以上政府权威机构认证的相关证明材料(原件备查)得2分,否则不得分。 | |
| 2 | 2.7投标人在本项目的安全服务中所采用的服务工具需具备工作台功能,支持展示受攻击事件详情,包括时间、源IP、目的IP、协议、威胁类型等,同时支持协议解析功能,能够针对协议类型、文件类型进行文件还原。提供功能截图。服务工具应为国产,提供功能截图证明的得2分,其它情况不得分,满分2分。 | |
| 2 | 2.8投标人在本项目的安全服务中所采用的工具采用防泄密 (略) 络安全装置,提供详细的技术实现方法说明,且该技术实现方法获得省级及以上政府 (略) 站发表, (略) 站证 (略) 址,提供该技术的省级及以上政府权威机构认证的相关证明材料(原件备查)得2分,否则不得分。 |
8.3商务评分项(17分)
| 评标项目 | 评标分值 | 评标方法描述 |
| F3.1 | 3 | 投标人在本项目的安全服务中投入的项目经理须具备较强的项目管理能力与信息安全集成能力,即具有IT服务项目经理(ITSS)认证,同时具有CCSK云计算安全知识认证书并获得国家信息安全测评中心认证的注册信息安全专业人员(CISP)证书,并获得国家信息安全技术水平证书。提供相关证书复印件和近6个月的社保部门出具的社会保险缴纳证明材料,材料齐全的得3分,其它情况不得分,满分3分。 |
| F3.2 | 3 | 投标人在本项目的安全服务中所投入的安全服务团队具有至少3名工程师具备安全服务实施能力,国家信息安全测评中心认证的注册信息安全专业人员(CISP)证书。提供相关证书复印件和近6个月的社保部门出具的社会保险缴纳证明材料,材料齐全的得3分,其它情况不得分,满分3分。 |
| F3.3 | 3 | 投标人在本项目的安全服务中所投入的安全服务团队具有至少3名工程师具备风险评估实施能力,具备CISAW风险评估证书。提供相关证书复印件和近6个月的社保部门出具的社会保险缴纳证明材料,材料齐全的得3分,其它情况不得分,满分3分。 |
| F3.4 | 3 | 投标人承诺在本项目期间不得随意更换项目负责人员,如需更换需征得采购人同意,且需保证项目的正常进行,不影响提供的技术服务及其质量。(承诺函格式自拟,有承诺的得3分,未承诺的不得分;若投标人承诺后,在服务期内发现投标人未能按承诺中执行,按中标人提供虚假材料谋取中标、成交的,采购人有权追究其相应的法律责任且对采购人造成的损失做出赔偿) |
| F3.5 | 3 | 投标人需对提供的服务响应时间进行承诺,服务响应时间≤2小时的得3分,(承诺函格式自拟,有承诺的得3分,未承诺的不得分;若投标人承诺后,在服务期内发现投标人未能按承诺中执行,按中标人提供虚假材料谋取中标、成交的,采购人有权追究其相应的法律责任且对采购人造成的损失做出赔偿)。 |
| F3.6 | 2 | 投标人从2017年1月1日起至本项目投标截止时间止(业绩认定时间以合同签订时间为准)具有国内同类安全服务实施业绩,每提供一份得1分,总分2分。注:需提供中标或成交公告、中标或成交通知书、采购合同文本复印件,未能提供上述证明材料者不得分。 |
8.4 中标候选人排列规则顺序如下:
a.按照评标总得分由高到低顺序排列,得分最高者为中标人。
b.评标总得分相同的,由评审组随机抽取产生唯一中标人。
9、投标报名时间:开始2024年6月6日14:00;截止2024年6月13日14:00, (略) 上报名,填报“投标人报名表”(见附件1),加盖公章后发至邮箱:*@*fib.cn。
10、投标截止时间:2024年6月14日12:00,供应商应在此之前将密封的投标文件送达(邮寄)招标单位。联系人姓名:黄志耀 联系电话:0591-*,邮寄地址: (略) 仓 (略) 17号纤维检验中心办公室。
附件1 福建省纤维检验中心投标报名表(扫描件)
| 投标项目名称 | |
| 报名投标单位名称及盖章 | |
| 报名投标单位联系人及联系电话 | |
| 报名时间 |
福建省纤维检验 (略) 络安全运维服务项目进行公开询比价采购公告,欢迎国内合格的投标人前来投标。
1、招标编号:FFIC*
2、项目名称:福建省纤维 (略) 络安全运维服务项目(委托期限为合同签订生效之日起一年)
3、最高限价:*元/每年(含税)。
4、招标内容及技术要求(以“★”标示的内容为不允许负偏离的实质性要求):
4.1▲服务范围
| 序号 | 名称 | 涉及主机数量 | 系统类型 | 部署位置 |
| 1 | 福建省纤维检 (略) | 1 | 虚拟机 | 本地机房服务器区 |
| 2 | 办公OA | 2 | 实体机 | 本地机房服务器区 |
| 3 | (略) | 1 | 虚拟机 | 本地机房服务器区 |
| 4 | 业务系统 | 1 | 虚拟机 | 本地机房服务器区 |
4.2▲服务概述
| 序号 | 服务大类 | 服务类别 | 服务内容 | 服务频率 | 交付成果 |
| 1 | 主机系统安全检测服务 | 主机系统安全检测服务 | (1)主机系统漏洞扫描服务 | 4次/年 | 《主机系统安全检测报告》 《风险跟踪表》 |
| (2)主机系统安全配置核查服务 | |||||
| (3)主机系统后门检查服务 | |||||
| (4)主机系统安全加固辅导服务 | |||||
| (5)中间件安全评估与配置加固建议服务 | |||||
| (6)数据库安全评估与配置加固建议服务 | |||||
| (7)主机系统安全风险跟踪服务 | |||||
| 2 | 应用安全检测服务 | (略) 站安全检测服务 | (1)可用性监测服务 | 全年 | 《 (略) 站安全监测报告》 |
| (2)合规性监测服务 | |||||
| (3)安全性检测服务 | 4次/年 | ||||
| 应用安全检测服务 | (1)应用安全漏洞扫描服务 | 4次/年 | 《应用安全检测报告》 | ||
| (2)应用安全漏洞验证服务 | |||||
| (3)应用安全漏洞加固辅导服务 | |||||
| 应用系统上线测试服务 | (1)开放服务安全性评估服务 | 《应用上线测试报告》 合计不超过3次 | 《应用系统上线测试报告》 | ||
| (2)应用软件安全评估服务 | |||||
| (3)应用安全加固建议及辅导服务 | |||||
| 安全渗透测试服务 | (1)网站安全渗透测试服务 | 2次/年 | 《安全渗透测试报告》 | ||
| (2)应用安全渗透测试服务 | |||||
| (3)安全加固建议及辅导服务 | |||||
| 应用安全漏洞跟踪服务 | (1)应用安全漏洞跟踪服务 | 4次/年 | 《漏洞跟踪表》 | ||
| 3 | 综合安全保障服务 | 安全应急演练服务 | (1)应用应急预案设计服务 | 1次/年 | 《安全应急预案》、《安全应急演练报告》 |
| (2)应用应急演练服务 | |||||
| 安全应急响应服务 | (1)安全应急响应服务 | 全年 | 发生安全事件应急响应后提交《安全应急响应报告》 | ||
| (2)安全应急处置服务 | |||||
| (3)远程安全咨询服务 | |||||
| 安全检查专题服务 | (1)安全检查专题服务 | 全年 | 安全检查相关材料 | ||
| 安全通告服务 | (1)安全通告服务 | 全年 | 《安全通告》全年不少于6期 |
4.3安全运维服务
定期每季度1次指派专业的安全服务工程师到客户现场,针对主机系统进行漏洞扫描、端口扫描、弱口令扫描等,覆盖系统的补*、服务的开放性及安全研究机构发现的系统问题等,发现系统本身存在的安全问题。
定期每季度1次指派专业的安全服务工程师到客户现场,参照等级保护2.0合规性标准,对主机系统进行配置核查,发现主机系统配置存在不合理和不安全的情况,提升客户对主机系统配置的安全意识。结合发现的问题进行及时调整,加强主机系统安全。
定期每季度1次指派专业的安全服务工程师到客户现场,针对主机系统后门进行检查,检查内容包括:
1)主机系统后门检查
主机系统被入侵潜伏后,通常存在隐藏比较深的系统后门(Rootkit),重点发现绕过杀毒软件的系统后门。
2)主机系统入侵痕迹检查
针对主机账号、启动项、进程、网络连接等进行检查。
3)主机系统日志分析服务
根据系统层日志、安全日志、应用层日志以及其他特征发现主机系统的入侵痕迹,避免黑客使用隐藏账户等躲避检查的安全隐患。
定期每季度1次指派专业的安全服务工程师到客户现场,通过分析主机系统漏洞扫描、安全配置核查、后门检查的结果,明确主机系统当前存在的安全问题,对在检测中发现的主机系统安全问题提供安全加固建议及辅导,协助系统管理员完成主机系统后门清理、漏洞加固和配置加固,提高系统的整体安全性,最大限度消除服务器高风险漏洞,使其符合等级保护的基本要求。
定期每季度1次指派专业的安全服务工程师到客户现场,针对中间件进行安全合规评估,并提供配置加固建议。
结合工具检测和人工安全审查方式来挖掘Apache/IIS/Tomcat/Weblogic/WebSphere等Web应用服务器(中间件)的脆弱性和安全性问题,主要评估账号、日志、配置等不正确的问题带来的安全威胁,帮助用户及早发现中间件存在的风险,避免造成敏感信息泄漏的后果。
针对Apache/IIS/Tomcat/Weblogic/WebSphere等Web应用服务器(中间件)提供加固建议,包括配置加固与优化建议,最大程度降低中间件本身的漏洞风险、纠正中间件使用中构成安全威胁的错误策略、加强中间件账号、日志、配置等带有安全风险的配置,从整体上提升中间件的安全性。
定期每季度1次指派专业的安全服务工程师到客户现场,针对数据库进行安全合规评估,并提供配置加固建议。
结合工具检测和人工安全审查方式来挖掘数据库系统的脆弱性和安全性问题,主要评估数据库系统安全漏洞、安全配置不正确带来的安全威胁以及由于数据库系统账号、权限等配置不严谨而产生的安全风险。帮助用户及早发现数据库系统存在的风险,避免造成敏感信息泄漏的后果。
提供数据库安全加固建议,包括最大程度降低数据库系统(SQL Server,Oracle等)本身的漏洞风险、纠正数据库系统使用中构成安全威胁的错误策略、加强数据库系统账号、密钥、权限等带有安全风险的配置,从整体上提升数据库系统的安全性。
针对主机系统安全检查服务里的主机漏洞扫描服务、主机系统安全配置核查服务、主机系统后门检查服务、中间件安全评估和数据库安全评估等服务里发现的高风险威胁进行人工跟踪,并提供风险跟踪表。
通过主机安全检测与加固辅导服务,全面深入地发现主机服务器可能存在的安全风险,及时协助修复主机系统层安全中发现的安全漏洞与隐患,最大限度地防止黑客入侵。保证信息系统有效的防护、稳定、安全的运行。
交付成果:《主机系统安全检测报告》《风险跟踪表》。
针对福建省纤维检 (略) 提供全年可用性监测服务,可用性监测主要涉及以下指标:网站可用性、网站访问的速度情况、网站响应时间,从而 (略) 网站是否能达到最优、最安全的服务质量。通过的可用性检测服务, (略) 线路远程实时 (略) 站站 (略) 络协议下的响应速度、首页加载时 (略) 站性能状况的内容, (略) 站无法访问,第一时间通知用户。
1) (略) 页变更监测服务
针对福建省纤维检 (略) 提供 (略) 页变更监测服务, (略) 页变更监测服务在远程对比的基本原理上,增加了两大核心技术,来解决业界恶意变更监控普遍误报率较高的问题。 (略) 页前后模糊匹配技术通过预设值敏感度,作为前后匹配误差的判断标准;二是内容匹配算法, (略) 页的变化,而是识别内容,并进行非法库的匹配。例如, (略) 页修改中出现了“共产党”,其它部分又出现不和谐词语,系统会计算出一个差值,来进行匹配判断是否为恶意变更行为。这样一方面提升扫描效率,一方面极大降低误报率。 (略) 站网页异常变更,第一时间通知用户。
2)网页敏感信息监测服务
针对福建省纤维检 (略) (略) 页敏感信息监测服务,对网站存在的敏感信息进行检测,并且可以检测多种类型的敏感信息,同时,还能够支持自定义导入敏感信息,在自身的敏感词库的基础上,不断丰富敏感词汇。监测工具同时利用百度、谷歌等搜索引擎的强大搜索能力,通过搜索引擎接口提交搜索参数,使页面敏感词检测覆盖面更深更广,从而实现远程实时监测目标站点页面状况,一旦发现页面出现敏感关键词,第一时间通知用户并提供安全参考建议,方便用户及时删除敏感内容,避免事件影响扩散,给自身带来声誉和法律风险。
3)网页恶意链接监控服务
针对福建省纤维检 (略) 提供全年恶意链接检测服务, (略) 站暗链、桥页等恶意 (略) 页新增链接等。通过监测工具内置的暗链特征库, (略) 页信息抓取到本地,进行特征暗链特征匹配,通过排除信任域名库、IP地址域名、常见隐藏手段等的干扰,并结合暗链关键词库的匹配技术,将目前挂暗链主要目的的搜索引擎关键词,准确匹配出来,从而在有效检测暗链的同时,将误报降到最低限度。一旦发现 (略) 页恶意链接,第一时间通知用户。
1)网站漏洞扫描检测服务
针对福建省纤维检 (略) (略) 站漏洞扫描检测服务,提供OWASP定义的Web威胁相关的漏洞扫描检测,通 (略) 站漏洞扫描检测,同时有效识别Web2.0以及Flash, (略) 站漏洞扫描的全面性。
网站漏洞扫描服务提供广度和深度两种扫描方式,广度优先策 (略) 页内容目录层次深浅来爬行页面,处于较浅目录层次的页面首先被爬行。当同一层次中的页面爬行完毕后,爬虫再深入下一层继续爬行,能有效控制页面的爬行深度,避免遇到一个无穷深层分支时无法结束爬行的问题。
2)网站钓鱼检测服务
针对福建省纤维检 (略) (略) 站钓鱼检测服务,服务工具通过借助搜索引擎的搜索 (略) 页的模糊匹配技术, (略) 页关键词,判断搜索关键 (略) 站中,是否出现与本域名不匹配,且相 (略) 站, (略) 站是 (略) 站,一旦发现将第一时间通知用户。
3)网页木马检测服务
针对福建省纤维检 (略) (略) 页木马检测服务,检测工具采用业内领先的一体化挂马检测技术,高效、准 (略) 站页面中的恶意代码, (略) 站管理员能够第一 (略) 站的安全状态, (略) 页木马,避免给用户带来安全威胁, (略) 站信誉。检测工具采用基于沙箱检测和静态特征库匹配相结合的木马检测 (略) 马检测引擎,提高引擎检测准确性,降低误报率。
4)弱口令检查服务
针对福建省纤维检 (略) 提供全年弱口令检查服务,检测工具基于调 (略) 站进行远程自动扫描, (略) 站主机诸如:SSH、FTP、ORACLE等服务的弱口令信息,包括:用户名、密码。检测工具通过内置的用户名字典和密码字典以及组合字典,可以进行标准模式破解以及组合模式破解两种扫描方式进行弱口令扫描,扫描一方面同弱口令字典中的弱口令进行匹配,另一方面使用获取到的口令进行模拟登*验证,从而实现弱口令检查功能,从而有效提高弱口令检测效率。
(略) 等检测服务工具对单 (略) 网站提供远程安全监测,用户无需安装任何软 (略) 络架构,由于无需购买和部署设备,因此用户可以在几个小时内将监测服务投入运行,并可以在第一时间获得 (略) 站安全问题,并获得专业的技术指导协助。
交付成果:《 (略) 网站安全监测报告》。
定期每季度1次指派专业的安全服务工程师到客户现场,为目标应用提供全方位的安全漏洞及安全隐患检查,从攻击者视角审查目标应用系统的脆弱性状况,包括应用漏洞、应用配置。
定期每季度1次指派专业的安全服务工程师到客户现场,对已经发现的安全问题进行人工验证,以判断应用当前的漏洞是否真实有利用,剔除误报干扰。并提供专业的安全加固措施指导建议,帮助客户解决当前应用存在的安全问题。
定期每季度1次指派专业的安全服务工程师到客户现场,提供专业的应用安全漏洞加固措施指导建议,协助应用开发商及时采取可行的应用安全加固措施进行安全加固。首次安全加固后,将进行漏洞复查和对比,以形成加固前后对比。协助客户解决当前应用存在的安全问题。
通过应用安全检测服务,全面深入地挖掘可能存在的被黑 (略) 站应用层安全漏洞和数据库的安全隐患,同时实现对单位作为业主或其负责运维的信息系统在发现漏洞时的有序管理,实现安全事件可追踪、可追溯,保障漏洞得到及时、有效的修复,确保各信息系统的安全运行。
交付成果:《应用安全检测报告》。
通过端口扫描工具检查新系统是否开放了不必要的端口及服务。避免黑客利用不安全的端口及服务进 (略) 络攻击。
对预上线应用提供软件安全评估服务,查找软件系统安全脆弱性,为软件安全性提供评价。全面检测应用程序的安全性,深度挖掘程序中存在的各种漏洞和所面临的威胁,漏洞测试覆盖OWASP十大漏洞及上线安全测试标准,如目录遍历漏洞、关键会话重放攻击、任意用户注册、越权访问漏洞、明文传输、SQL注入漏洞、XSS漏洞、上传漏洞、后台泄露漏洞、敏感信息泄露、命令执行等多方面开展软件安全测试。
针对软件安全评估及安全配置评估结果,提供应用安全加固建议,并与开发人员和系统建设人员及时沟通,从开发、集成角度提供加固建议,协助开发集成人员修复软件安全风险。
通过Web应用上线测试安全服务来最大程度地发现业务应用系统存在的薄弱环节和安全风险,并通过安全加固修复已知脆弱性,使风险降低到可接受的程度,保证应用系统的可用性、安全性。
交付成果:《应用系统上线测试报告》。
安排渗透测试团队采用人工黑盒的方式对用户的应用系统进行模拟攻击测试。主要测试方法包括:信息收集、端口扫描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人攻击、Web脚本渗透、B/S或C/S应用程序测试等,渗透结果进行人工分析,并对漏洞提交源代码加固建议报告。
针对应用系统进行专家级人工的渗透测试服务,全面检测Web应用程序的安全性,深度挖掘程序中存在的各种漏洞和所面临的威胁,漏洞测试覆盖OWASP十大漏洞,如XSS跨站脚本攻击漏洞、SQL注入漏洞、恶意代码上传漏洞、Cookie注入漏洞及其它各种敏感信息的检查等。
根据渗透测试结果,提供详细的应用安全加固建议, (略) 完成应用加固,并提供复查以确保漏洞得到修复。
(1)深度挖掘应用系统中的安全漏洞,并判断漏洞可能造成的最大限度的损失;
(2)以最权威的客户数据,让客户感受应用系统安全漏洞将带来的影响和损失,以便做好安全损失与保护的评估。
交付成果:《安全渗透测试报告》。
针对应用安全检查服务 (略) 网站安全检测、应用安全检查、上线测试、渗透测试等服务里发现的高风险漏洞进行人工跟踪,并提供漏洞跟踪函。
交付成果:《漏洞跟踪表》。
针对当前单 (略) 络实际情况, (略) 络安全应急处置相关的政策要求,针对单位的安全应急预案进行完善,预案中包括5个场景。
制定应急预案管理的责任部门,建立统一的应急预案框架,框架应包括事件分级方法、各级事件启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;在应急预案框架制定不同事件的应急预案,应急预案要指名适用的系统、设备等,要结合系统实际状况。比如 (略) (略) 页篡改、针对业务系统的入侵等。 (略) 络应急保障队*,并定期开展应急演练,做好应急演练相关文档记录。
(略) 络与信息系统安全,预 (略) 站及应用系统突发安全事件的发生,减轻和消除突发事件造成的危害和影响,组织技术力量共同完成安全应急预案中1个场景的演练,演练完成后提交《应急演练报告》及相关应急演练记录,确保能够应对各类安全事件的发生。
通过开展安全应急演练,提高单位对安全突发事件的组织指挥能力和应急处置能力。
交付成果:《安全应急预案》、《安全应急演练报告》。
(略) 络和信息系统遇到黑 (略) 页篡改等恶性事件,迅速对事件做出相应的判断,确认事件给信息系统带来的影响和损害程度,区分一般事件和应急响应事件等,如果确认事件为应急响应事件且远程支持无法解决时,安排工程师到达现场处置,实施最有效的紧急救援及恢复补救方案。
根据突发事件信息,初步判定突发事件的程度。能够自行解决,要及时加以解决;如果不能自行解决故障,由单位领导现场指挥,协调各部门力量,按照分工负责的原则,组织相关技术人员立即启动应急预案,进入应急预案的处置程序,及时控制安全事件的蔓延,采取有效的措施以防止事件进一步扩大,尽可能地减少负面影响。
(略) 络和信息系统故障或出现安全事件时能立即通过电话咨询或远程维护等方式提供7×24小时远程安全咨询服务支持。
通过应急响应为遇到黑 (略) 页篡改等恶性事件,实施最有效的紧急救援及恢复补救工作。
交付成果:发生安全事件应急响应后提交《安全应急响应报告》。
在上级监管部门对单位进行安全检查期间,协助单位按照上级监管部门要求,进行专门的全面安全检查协助服务和保障协助,包括协助单位梳理出单位现有的信息安全管理制度相关材料等。
通过安全检查专题服务,保障了在上级监管部门安全检查期间能够进行高效的协助工作。
交付成果:安全检查相关材料。
提供最新的安全动态、技术和安全信息,包括实时安全漏洞通知、定期安全通告汇总和安全知识库更新等。通告内容包括但不限于以下内容:
国内外最新重大漏洞、病毒安全通告;
国家安全政策及法律法规;
同行业安全威胁事件通告;
国内外重大安全事件,新技术发展动态通告;
重大安全漏洞爆发时需结合资产情况,提出相应修复建议。
可以根据通告信息,轻松掌握最新的安全漏洞状态并能够安排及时修补IT资产漏洞,提高单位安全脆弱性管理能力。
交付成果:《安全通告》全年不少于6期。
5、结算方式:
签定合同七个工作日内付50%合同款,服务期满半年后的10个工作日内付25%合同款,服务期满一年后的10个工作日付清剩余尾款。
6、供应商资质及投标文件要求:
(1)投标人需提交以下合法有效的资质证明材料(均需加盖公章)。
a、投标人营业执照副本复印件。
b、投标人法人授权书(如投标人是法人则不需要)。
c、投标人具备履行合同所必需设备和专业技术能力专项证明材料。
(2)投标文件装订要求:
a、投标文件需胶装成本,正本一份,副本五份,提交投标的文件必须密封并加盖骑缝公章,内容包含:a、投标人资质证明文件;b、报价表;c、承诺书;d、招标公告要求投标人响应的有效材料。
b、投标文件未进行密封、标记的按无效投标处理;如报价高出招标人设定最高限价则为无效标;投标人少于三家的,招标人重新组织招标。
7、本项目不接受联合体投标。
8、评标方式:采用综合评分法,投标文件满足招标文件全部实质性要求,且按照评审因素的量化指标评审得分(即评标总得分)最高的投标人为中标候选人。各项评审因素的设置如下:
8.1 价格分(10分)
a.价格分采用低价优先法计算,即满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。其他投标人的价格分统一按照下列公式计算:投标报价得分=(投标报价/评标基准价)×价格分。因落实政府采购政策需进行价格扣除的,以扣除后的价格计算评标基准价和投标报价。
8.2 技术评分项(73分)
| 评标项目 | 评标分值 | 评标方法描述 |
| 1、服务响应情况 | 57 | 根据各投标人所投服务对4、招标内容及技术要求作出明确的逐项响应承诺,并在《技术和服务要求响应表》中列明是否偏离,并对其真实性负责,完全满足招标文件要求的得57分;技术参数中标注“▲”号的参数,每负偏离一项扣1.5分(共38项);扣完为止,正偏离不加分。 注:招标文件中技术指标若有要求投标人提供相应佐证材料的,投标人未提供相应佐证材料或者投标人的响应承诺与其佐证材料不一致的,评标委员会将以不利于投标人的内容为准进行评审(负偏离)。 |
| 2、服务工具 | 2 | 2.1鉴于服务报告内容敏感性,服务报告提交需基于安全文档管理工具进行,对服务报告的提交、查看进行权限控制,防止泄密,提供功能截图。服务工具应为国产,提供功能截图证明的得2分,其它情况不得分,满分2分。 |
| 2 | 2.2投标人在本项目的安全服务中所采用的服务工具能够对数据资产进行脆弱性分析,可发现业务系统中的失踪资产、僵尸资产、复用资产、未知资产、不明资产、新增资产、暴露资产、销毁资产和忽略资产,并提供截图。服务工具应为国产,提供功能截图证明的得2分,其它情况不得分,满分2分。 | |
| 2 | 2.3投标人在本项目的安全服务中所采用的服务工具采用基于的APT攻击预测技术,提供详细的技术实现方法说明,且该技术实现方法获得省级及以上政府 (略) 站发表, (略) 站证 (略) 址,提供该技术的省级及以上政府权威机构认证的相关证明材料(原件备查)得2分。否则不得分 | |
| 2 | 2.4投标人在本项目的安全服务中所采用的服务工具 (略) 络安全工作任务管理,展示任务的总体趋势、任务来源分布、任务完成情况的相关报表数据、展示任务责任部门的列表用于展示各部门的发布任务数、指派率、转任务率、任务及时率的情况,并提供功能截图。服务工具应为国产,提供功能截图证明的得2分,其它情况不得分,满分2分。 | |
| 2 | 2.5投标人在本项目的安全服务中所采用的工具支 (略) 络安全监控技术,提供详细的技术实现方法说明,且该技术实现方法获得省级及以上政府 (略) 站发表, (略) 站证 (略) 址,提供该技术的省级及以上政府权威机构认证的相关证明材料(原件备查)得2分,否则不得分。 | |
| 2 | 2.6投标人在本项目的安全服务中所采用的工具采用APT防御技术,提供详细的技术实现方法说明,且该技术实现方法获得省级及以上政府 (略) 站发表, (略) 站证 (略) 址,提供该技术的省级及以上政府权威机构认证的相关证明材料(原件备查)得2分,否则不得分。 | |
| 2 | 2.7投标人在本项目的安全服务中所采用的服务工具需具备工作台功能,支持展示受攻击事件详情,包括时间、源IP、目的IP、协议、威胁类型等,同时支持协议解析功能,能够针对协议类型、文件类型进行文件还原。提供功能截图。服务工具应为国产,提供功能截图证明的得2分,其它情况不得分,满分2分。 | |
| 2 | 2.8投标人在本项目的安全服务中所采用的工具采用防泄密 (略) 络安全装置,提供详细的技术实现方法说明,且该技术实现方法获得省级及以上政府 (略) 站发表, (略) 站证 (略) 址,提供该技术的省级及以上政府权威机构认证的相关证明材料(原件备查)得2分,否则不得分。 |
8.3商务评分项(17分)
| 评标项目 | 评标分值 | 评标方法描述 |
| F3.1 | 3 | 投标人在本项目的安全服务中投入的项目经理须具备较强的项目管理能力与信息安全集成能力,即具有IT服务项目经理(ITSS)认证,同时具有CCSK云计算安全知识认证书并获得国家信息安全测评中心认证的注册信息安全专业人员(CISP)证书,并获得国家信息安全技术水平证书。提供相关证书复印件和近6个月的社保部门出具的社会保险缴纳证明材料,材料齐全的得3分,其它情况不得分,满分3分。 |
| F3.2 | 3 | 投标人在本项目的安全服务中所投入的安全服务团队具有至少3名工程师具备安全服务实施能力,国家信息安全测评中心认证的注册信息安全专业人员(CISP)证书。提供相关证书复印件和近6个月的社保部门出具的社会保险缴纳证明材料,材料齐全的得3分,其它情况不得分,满分3分。 |
| F3.3 | 3 | 投标人在本项目的安全服务中所投入的安全服务团队具有至少3名工程师具备风险评估实施能力,具备CISAW风险评估证书。提供相关证书复印件和近6个月的社保部门出具的社会保险缴纳证明材料,材料齐全的得3分,其它情况不得分,满分3分。 |
| F3.4 | 3 | 投标人承诺在本项目期间不得随意更换项目负责人员,如需更换需征得采购人同意,且需保证项目的正常进行,不影响提供的技术服务及其质量。(承诺函格式自拟,有承诺的得3分,未承诺的不得分;若投标人承诺后,在服务期内发现投标人未能按承诺中执行,按中标人提供虚假材料谋取中标、成交的,采购人有权追究其相应的法律责任且对采购人造成的损失做出赔偿) |
| F3.5 | 3 | 投标人需对提供的服务响应时间进行承诺,服务响应时间≤2小时的得3分,(承诺函格式自拟,有承诺的得3分,未承诺的不得分;若投标人承诺后,在服务期内发现投标人未能按承诺中执行,按中标人提供虚假材料谋取中标、成交的,采购人有权追究其相应的法律责任且对采购人造成的损失做出赔偿)。 |
| F3.6 | 2 | 投标人从2017年1月1日起至本项目投标截止时间止(业绩认定时间以合同签订时间为准)具有国内同类安全服务实施业绩,每提供一份得1分,总分2分。注:需提供中标或成交公告、中标或成交通知书、采购合同文本复印件,未能提供上述证明材料者不得分。 |
8.4 中标候选人排列规则顺序如下:
a.按照评标总得分由高到低顺序排列,得分最高者为中标人。
b.评标总得分相同的,由评审组随机抽取产生唯一中标人。
9、投标报名时间:开始2024年6月6日14:00;截止2024年6月13日14:00, (略) 上报名,填报“投标人报名表”(见附件1),加盖公章后发至邮箱:*@*fib.cn。
10、投标截止时间:2024年6月14日12:00,供应商应在此之前将密封的投标文件送达(邮寄)招标单位。联系人姓名:黄志耀 联系电话:0591-*,邮寄地址: (略) 仓 (略) 17号纤维检验中心办公室。
附件1 福建省纤维检验中心投标报名表(扫描件)
| 投标项目名称 | |
| 报名投标单位名称及盖章 | |
| 报名投标单位联系人及联系电话 | |
| 报名时间 |
福建
福建
福建
福建
福建
福建
招投标大数据
最近搜索
无
热门搜索
无
