2024年网络安全改善的企划

内容
 
发送至邮箱

2024年网络安全改善的企划

2024年网络安全改善的企划(一次变更)

2024年网络安全改善的企划采购项目2024年网络安全改善的企划包件资格预审公告

1. 采购条件

本采购项目采购人为一汽 (略) ,采购项目资金来自企业自筹,出资比例为100%。该项目已具备采购条件,现对该项目的相关服务采购进行公开询比采购,特邀请有兴趣的潜在供应商(以下简称申请人)提出资格预审申请。

2. 项目概况

2.1标段名称:2024年网络安全改善的企划

2.2项目概述:*方委托*方提供 一汽丰田2 (略) 络安全整体改善项目 技术服务。

服务内容及要求:

No.

项目

工作说明



1

APP隐私数据合规评估

包括隐私政策评估、权限申请评估、数据传输安全评估、个人信息处理评估、第三方SDK评估、APP合规性检测、合规审查与报告


2

数据安全

数据安全治理产品导入

产品基本功能:
(1)数据自动发现与采集,通过 (略) 络端点、服务器、云存储和数据库中的数据,识别包含敏感信息的数据和文件。
掌握敏感数据的分布、数量和使用情况。
(2)数据分类分级,能够提供行业数据安全标准,制定内置识别模板,同时支持自定义数据分类、识别规则与数据分级,
支持按照系统别用户自助实施分类分级。
(3)可视化报告,提供详细的分类报告和仪表板,展示数据的分布、敏感度级别、潜在风险点等,可生成合规报告,
以证明数据保护措施的有效性。
(4)根据分级分类的结果,自动给出匹配控制策略,并记录策略的实施情况。
(5)支持在华为云、阿里云和腾讯云私有化部署
参考信息 数据库实例:100个,表:2,000个,字段:30,000个
含产品永久授权及3年原厂支持和升级服务


3

数据分级分类咨询和实施

(1)数据审计与梳理: 人工审核现有数据存储,识别数据源、数据类型、存储位置以及数据之间的关系。
分析数据内容,理解其业务价值、法律合规要求及潜在风险。
(2)制定分级分类标准: 根据法律法规要求、行业标准和企业内部政策,制定数据分级(如公开、内部、敏感、机密)和
分类(如个人数据、财务数据、知识产权等)的标准。
设定每级每类数据的访问控制、保护措施和保留期限等规则。
(3)数据标签与标记: 人工对数据进行逐条或批量审查,依据分类分级标准手动添加标签或元数据,如敏感度标签、
业务分类标签等。使用工具辅助,如文档批注、数据库字段标记等,提高人工分类的效率和准确性。
(4)质量检查与校验: 进行数据分类的复核,确保分类的准确性,并根据新数据或政策变化进行调整。
通过人工复查或比对样本,验证自动化分类工具的准确性和完整性。
(5)培训与指导: 对数据创建者和使用者进行数据保护意识培训,讲解数据分级分类的重要性及操作指南。
指导员工如何正确处理不同级别的数据,包括存储、传输、分享和销毁过程中的注意事项。
(6)合规咨询与支持: 提供数据保护法律、行业规范的咨询服务,帮助组织理解并遵守相关数据管理规定。
协助处理数据主体请求,如数据访问、更正、删除等。
(7)维护与优化: 建立数据分类分级的维护机制,跟踪数据变化,定期评估分类的适当性,并进行必要的调整。
优化分类流程,引入新的工具或技术以提升人工服务的效率和质量。
参考信息 数据库实例:100个,表:2,000个,字段:30,000个8


4

数据加密产品导入

本项目包括产品购买和实施,需为软件产品解决方案,主要包括以下要求:
(1)能对数据库存量数据使用加密算法SM4或AES256等进行数据加密
(2)SQL方面,能针对加密列支持条件查询语句,无条件查询语句,精确匹配查询(”=“、”<>, !=“、”is null“)且
加密前后查询结果一致。能针对加密列支持插入(insert)、更新(update)和数据删除(delete)语句
(3)能支持设置不同的用户/角色/权限等内容,实现低权限用户仅能查询密文,高权限人员查询明文的功能
(4)能支持对接主流的堡垒机,能通过堡垒机成功访问加密系统代理出来的数据库IP及端口
(5)能支持对密钥进行基本的查看及配置管理功能
(6)加密系统能支持查看系统CPU、内存、硬盘占用等常见的运维指标情况
(7)加密系统能支持基本的运维调试命令执行,例如进程显示命令等
(8)能支持密钥备份、密钥恢复、能支持加密系统自身策略、配置等的数据备份和恢复
(9)具备节点集群备份和扩展能力,主节点正常退出、宕机和离线的情况下,加密系统正常可用
(10)能支持对加密后的数据库密文解密恢复
(11)加密系统对数据库加密后,能正常支持业务前端使用业务,具备插入、查询、删除和更新新增业务数据功能
(12)加密方案能适配公有云(华为云、阿里云和腾讯云)上的数据库数据,对其数据进行字段级加密
规格要求:60个数据库实例
含产品永久授权及3年原厂支持和升级服务


5

数据动态脱敏产品导入

本项目包括产品购买和实施,需为软件产品解决方案,主要包括以下要求:
数据动态脱敏产品需对敏感信息通过脱敏算法对进行数据的变形,实现应用系统实时使用、对外实时共享等动态环境下敏感隐私数据的可靠保护,具备敏感数据识别、应用实时脱敏、脱敏权限管控、黑白名单脱敏、脱敏效果预览和审计、脱敏算法和任务管理等能力。
规格要求:60个数据库实例,脱敏峰值处理能力:*单元格/秒;40M/秒;*SQL/秒
含产品永久授权及3年原厂支持和升级服务


6

API安全

本项目包括产品购买和实施,需为软件产品解决方案,主要包括以下要求:
(1)API安全检测
对业务接口调用的流量进行分析,识别业务系统API,检测API存在的未授权、弱认证等脆弱性问题 ,监测API访问行为,
及时发现针对API的恶意攻击行为发出告警。
产品需提供API资产发现、API攻击检测、基于API的敏感数据传输以及API的风险检测等功能,支持1Gbps混合流量接入,
兼容Vmware、K (略) ,适用于华为、阿里和腾讯云云环境。
检测范围需要覆盖华为云上所有业务系统API接口
(2) (略) (1个)
接收来自API检测系统检测日志,实现API资产管理、威胁检测与分析、敏感数据泄露风险分析、异常行为访问分析以及风险API分析,向API检测系统和API防护系统下发检测策略和管控策略。
产品需具备包括API威胁分析、API漏洞分析、API资产管理等功能。 默认授权10个数据源(探针)的采集能力。
含产品永久授权及3年原厂支持和升级服务


7

特权账号

本项目包括产品购买和实施,需为软件产品解决方案,主要包括以下要求:
产品基于特权账号生命周期管理流程,提供特权账号的发现和纳管、自动改密、验证和巡检、访问权限控制、锁定和释放等功能。产品功能模块包括:
(1)特权访问控制台,包括产品核心功能和密码保险箱,核心功能包括账号生命周期管理、账号威胁分析、角色权限管理、访问控制、策略管理、审计、工单系统等;
(2)策略执行器,能与现有堡垒机联动,支持策略执行,包括账号发现,账号改密、账号验证。授权2,500个被管资源数。
含产品永久授权及3年原厂支持和升级服务


8

(略) 资产和敏感信息发现服务

全年不间断的实施以下扫描和发现
(1)未知资产探测:能够自动发现组 (略) 上未知的、未受管理的资产,包括但不限于域名、IP地址、子域、开放端口、服务和应用程序。
(2)敏感信息发现:通过高级搜索技术和模式识别( (略) 交易信息识别),查找和分类公开泄露的敏感信息,如个人身份信息(PII)、财务数据、知识产权、源代码等。
针对以上扫描结果,每月提交报告,并协助问题调查和对应。


9

攻防演练和应急演练

1.人工服务
(1)攻防演练设计与实施:提供全面的攻防演练方案设计,包括但不限于渗透测试、红蓝对抗演练、社交工程测试等,
覆盖所有关键业务系统和基础设施。
(2)应急响应演练:设计并执行涵盖各类突发事件(如数据泄露、系统瘫痪、勒索软件攻击等)的应急响应演练,确保预案的实用性和有效性。
(3)培训与教育:针对不同层级员工开展 (略) 络安全意识培训,以及面向技术团队的应急处理技能培训。
2..在人工攻防演练基础上,能够提供BAS服务,包括以下功能;:
(1)网络攻击模拟:BAS能够自动模拟对 (略) 络的攻击,包括外部突破 (略) 后的横向移动
(2)恶意软件攻击模拟:能够模拟对端点的恶意软件攻击
(3)数据泄露过程模拟:模拟数据泄露的过程
(4)持续监控与评估:持续进行攻击模拟,及时地检测和评估组织对于新出现的威胁的防御能力。
(5)安全设备策略验证:验证WAF、IPS、EDR等安全设备的有效性,确保安全策略得有效性
(6) (略) 径可视化:提供图形化 (略) 径,帮助安全团队更好地理解攻击过程和潜在的安全漏洞
(7)自动化与周期性测试:支持周期性自动化测试, (略) (略) 的集成,提供完整有效的修复建议。
(8)持续更新:对于新威胁、新攻击手段的持续更新,确保BAS系统能够应对最新的安全挑战。


10

(略)

(略) (略) 的产品购买和实施
(1)漏洞管理与扫描:创建、监控扫描任务;按等级、来源筛选漏洞;支持工单流转。
(2)渗透与应急响应:管理渗透测试与应急任务,含文件上传交付;提供操作指引。
(3)重保管理:项目化管理重保工作,模板引导;图形化展示进度与自定义工作流。
(4)工作流与任务:自定义工作流,支持第三方集成;任务统计与可视化。
(5)资产发现:多样化资产发现任务管理;详尽资产信息记录。
(6)数据聚合与分析: (略) 能够跨不同的安全层和数据源(如终端、网络、云环境、电子邮件、威胁情报等)收集数据,并对数据进行关联分析。
(7)威胁检测:能够实时监测和识别已知及未知的威胁,包括恶意软件、勒索软件、高级持续性威胁(APT)等。
(8)自动响应与编排:一旦检测到威胁,可以自动触发一系列响应措施。同时,支持响应策略的自定义和编排。
(9)调查与取证:提供详细 (略) 和上下文信息,帮助安全分析师快速 (略) 径,理解攻击的全貌。
(10)可视化与报告:配备有直观的仪表板,展示安全状况、威胁概况、响应行动效果等关键指标。
接入和管控资源数量:2,500个
含产品永久授权及3年原厂支持和升级服务


11

年度系统等级保护测评

(1)系统定级,对所有系统(约50个)实施评估和定级。
(2)根据定级情况,提出2级和3级系统合并方案。
(3)协助实施2级和3级系统公安备案,并对之前的备案进行变更。
(4)6个3级系统等级保护测评,包括初测和复测。
(5)差距分析和整改建议
(6)协助提交测评报告


12

护网和重保服务

服务内容包括
(1)安全资产评估、漏洞扫描、策略核查、加固支撑;
(2)7*24 持续安全监控服务,针对入侵及告警事件监控分析,开展风险处置;应急响应支撑服务,在出现入侵事件后提供应急止损,帮助快速恢复业务;
(3)全面完整的暴露面管理服务,7*24监控FTMS对外暴露资产及脆弱性数据,并提供专家预警及应急响应服务。
通过但不限于以上服务,确保FTMS在2024 (略) 行动中0失分。


3. 申请人资格要求

3.1本次资格预审要求申请人须具有与本采购项目相应的服务能力,并具备如下所列的资质、财务、业绩、人员等条件:

3.1.1资质要求:1)申请人应是依法从事经营,有能力完成采购项目的法人或其他组织,2022年1月1日前成立,注册资金不少于*元人民币。

申请人无需直接提供资质证书扫描件,评审时按照以下标准评审资格预审申请人资质:

申请人的基本信息以文件开启当日信用中国(http://**)或国家企业信用信息公示系统(http://**)查询结果为准,登记状态应为正常或存续(在营、开业、在册)状态;

按照以上渠道无法验证申请人资质的,申请人应在申请文件中提供验 (略) 站和验证方法。

2)承诺确保一汽丰田在2024 (略) 行动中 “0”失分,如产生扣分情况,接受合同金额扣减的处罚;

3.1.2人员要求:总人数大于50人,评审标准详见第三章资格审查办法,其中固定员工人数20人及以上, (略) 社保(即缴费单位为 (略) )且必须在职6个月以上,需提供资格预审申请文件递交截止日前三个月内出具的上述人员的(至少包含2023年9月至解密当日任意6个月的社保证明)的社保缴费证明(申请人应登*国家 (略) (http://**)查询并打印社保参保证明, (略) 未能与国家 (略) 对接的,申请人应登*所在地人社部门 (略) 查询并打印社保参保证明,参保证明同样应当包含验真渠道和验真方法),外籍、港澳台人员(需提供外籍、港澳台人员身份证明) 可以用有效期内的劳动合同代替社保证明。

需提供有关财务、人员规模、业绩经验等证明材料,具体要求及评分规则详见资格预审文件。

3.2本次资格预审不接受联合体资格预审申请。

3.3本次 (略) 资格预审申请。

3.4申请人不得存在下列情形之一:

1)与采购人存在利害关系且可能影响招标公正性;

2)与本采购项目的其他申请人为同一个单位负责人;

3)与本采购项目的其他申请人存在控股、管理关系;

4)为本采购项目提供过设计、编制技术规范和其他文件的咨询服务;

5)为本采购项目的采购代理机构或代建人或监理人;与采购代理机构或代建人或监理人同为一个法定代表人;与采购代理机构或代建人或监理人存在控股或参股关系;

6)被依法暂停或者取消投标资格;

7)被责令停产停业,暂扣或者吊销许可证,暂扣或者吊销执照;

8)进入清算程序,或被宣告破产,或其他丧失履约能力的情形;

9)被工商行政管理机关在国家企业信用信息公示系统(http://**)中列入严重违法失信企业名单;

10)被 (略) 在“信用中国”网站(http://**.cn)或各省级“信用中国”网站中列入失信被执行人名单;

11) (略) “黑名单”中及一汽丰田“禁止限定类供应商清单”的潜在资格预审申请人不允许参加投标,已参加的申请人,其资格预审申请文件将被否决;

12)法律法规规定的其他情形。

4. 资格预审方法

本次资格预审采用有限数量制,至少入围3家,不超过4家,按百分制计算,得分须在70分以上(含70分)合格,合格数量≥4时,按照评分顺序选定4家。

5. 资格预审文件的获取

5.1请申请人于2024年06月14日10:00至2024年06月19日17:00(北京时间,下同),登录中国一汽 (略) (http://**,以下 (略) )下载电子资格预审文件。

5. (略) 服务费为300元。

5.3 企业数字认证证书及法定代表人个人数字认证证书(以下分别简称“企业CA”和“法定代表人CA”)一次性办理费用500元,一年内有效。

6. 资格预审申请文件的递交

6.1资格预审申请文件及响应文件递交的截止时间为2024年06月21日09:00。温馨提醒,资格预审申请文件上传受文 (略) 络速度影响,成功上传可能会需要一定时间,为避免近 (略) 络拥堵,建议提前一日上资格预审申请文件及响应文件,已递交的文件处于加密状态,不会泄露申请信息。

注:本次采取双开双评的模式,即资格预审申请文件及响应文件同时递交,分开解密,只有通过资格预审的供应商可以解密响应文件,如通过预审不足3家则项目流标,不再进行响应文件解密,资格预审文件解密时间为递交截止时间,响 (略) 后续发布通知为准。

6.2逾期送达的资格预审申请文件, (略) 将予以拒收。

7. 发布公告的媒介

本次资格预审公告同时在以下媒介上发布:

l 中国一汽 (略) (http://**

l 中国 (略) (http://**

8. 联系方式

8.1 申请单位操作指南

http://**

申请人在 (略) 时遇到的各类问题,应当首先通过上述链接进入“帮助中心-用户指南”界面,查看相应操作文件或视频

8. (略) 客服

电话:400-691-7888,工作时间周一至周五8:00至20:00

负责答复您在 (略) 时遇到的各类操作问题,如平台注册、资格预审文件购买、资格预审申请文件编制、递交等

8.3 CA办理(由第三方受理业务)

0431-*工作时间:周一至周五8:30至11:30,13:00至17:00,负责受理您办理CA及密码重置解锁业务

*工作时间:周一至周五8:30至11:30,13:00至17:00,负责受理您CA发票开具及其进度查询业务

8.4 财务专员

0431-*工作时间:周一至周五8:30至11:30,13:00至17:00

负责答复您关于采购文件费、平台服务费、采购代理服务费的发票开具问题。

8.5 采购人

采购人名称:一汽 (略)

地址: (略) 朝阳区 (略) 1号环球金融中心西塔3F/4F

联系人:孙小迪

8.6 采购代理机构

采购代理机构名称:长春 (略)

地址: (略) 汽开区东风大街3462号

采购项目负责人:邵明月、葛鹏飞

座机:0431-*、0431-*

手机:*、*

邮箱:*@*ttp://**、*@*ttp://**

8.7 项目投诉电话:400-691-7888,工作时间周一至周五8:00至20:00。投诉要求详见第二章申请人须知前附表第10.7款

8.8 纪委举报受理渠道

(略)

电子邮箱:*@*ttp://**

一汽 (略)

电子邮箱:*@*tmc.cn

9. (略) 上注册

凡首 (略) 参加电子资格预审或采购活动的资格预 (略) (略) 上免费注册,注册时需提交相关资料,平台工作人员审核通过后完成注册,完成注册后方可办理企业CA和法定代表人CA(办理并邮寄大约需要3-5日),若申请人未及时注册并办理CA,由此引起的后果由申请人自行承担。

10. 采购代理机构信息的发布

采购代理机构 (略) 发布的资格预审公告、资格预审文件及其澄清、修改、资格审查结果通知书等资格预审过程信息,一经发布,视为已送达各申请人, 无论申请人下载与否,均视同申请人已知晓相关内容。

11. 申请人异地解密资格预审申请文件须知

11.1申请人电脑须安装“一汽招投标编制工具系列驱动”、IE浏览器最新版,正版office办公软件和Adobe Flash Player插件;

11.2解密资格预审申请文件时,申请人必须使用CA (略) 并 (略) 络畅通,使用加密资格预审申请文件的CA进行资格预审申请文件环节的解密操作;

11.3若在规定的解密资格预审申请文件时间内,由于申请人的原因没有解密成功,视为撤销资格预审申请文件,申请人须自行承担后果。


标段编号 标段名称 招标项目类型 资格预审文件获取开始时间 资格预审文件获取截止时间 资格申请文件递交截止时间 操作
0736-XB*/01 2024年网络安全改善的企划 服务 2024-06-14 10:00 2024-06-19 17:00 2024-06-21 09:00 我要投标
, (略) , (略) ,长春,0431-,0736-
2024年网络安全改善的企划(一次变更)

2024年网络安全改善的企划采购项目2024年网络安全改善的企划包件资格预审公告

1. 采购条件

本采购项目采购人为一汽 (略) ,采购项目资金来自企业自筹,出资比例为100%。该项目已具备采购条件,现对该项目的相关服务采购进行公开询比采购,特邀请有兴趣的潜在供应商(以下简称申请人)提出资格预审申请。

2. 项目概况

2.1标段名称:2024年网络安全改善的企划

2.2项目概述:*方委托*方提供 一汽丰田2 (略) 络安全整体改善项目 技术服务。

服务内容及要求:

No.

项目

工作说明



1

APP隐私数据合规评估

包括隐私政策评估、权限申请评估、数据传输安全评估、个人信息处理评估、第三方SDK评估、APP合规性检测、合规审查与报告


2

数据安全

数据安全治理产品导入

产品基本功能:
(1)数据自动发现与采集,通过 (略) 络端点、服务器、云存储和数据库中的数据,识别包含敏感信息的数据和文件。
掌握敏感数据的分布、数量和使用情况。
(2)数据分类分级,能够提供行业数据安全标准,制定内置识别模板,同时支持自定义数据分类、识别规则与数据分级,
支持按照系统别用户自助实施分类分级。
(3)可视化报告,提供详细的分类报告和仪表板,展示数据的分布、敏感度级别、潜在风险点等,可生成合规报告,
以证明数据保护措施的有效性。
(4)根据分级分类的结果,自动给出匹配控制策略,并记录策略的实施情况。
(5)支持在华为云、阿里云和腾讯云私有化部署
参考信息 数据库实例:100个,表:2,000个,字段:30,000个
含产品永久授权及3年原厂支持和升级服务


3

数据分级分类咨询和实施

(1)数据审计与梳理: 人工审核现有数据存储,识别数据源、数据类型、存储位置以及数据之间的关系。
分析数据内容,理解其业务价值、法律合规要求及潜在风险。
(2)制定分级分类标准: 根据法律法规要求、行业标准和企业内部政策,制定数据分级(如公开、内部、敏感、机密)和
分类(如个人数据、财务数据、知识产权等)的标准。
设定每级每类数据的访问控制、保护措施和保留期限等规则。
(3)数据标签与标记: 人工对数据进行逐条或批量审查,依据分类分级标准手动添加标签或元数据,如敏感度标签、
业务分类标签等。使用工具辅助,如文档批注、数据库字段标记等,提高人工分类的效率和准确性。
(4)质量检查与校验: 进行数据分类的复核,确保分类的准确性,并根据新数据或政策变化进行调整。
通过人工复查或比对样本,验证自动化分类工具的准确性和完整性。
(5)培训与指导: 对数据创建者和使用者进行数据保护意识培训,讲解数据分级分类的重要性及操作指南。
指导员工如何正确处理不同级别的数据,包括存储、传输、分享和销毁过程中的注意事项。
(6)合规咨询与支持: 提供数据保护法律、行业规范的咨询服务,帮助组织理解并遵守相关数据管理规定。
协助处理数据主体请求,如数据访问、更正、删除等。
(7)维护与优化: 建立数据分类分级的维护机制,跟踪数据变化,定期评估分类的适当性,并进行必要的调整。
优化分类流程,引入新的工具或技术以提升人工服务的效率和质量。
参考信息 数据库实例:100个,表:2,000个,字段:30,000个8


4

数据加密产品导入

本项目包括产品购买和实施,需为软件产品解决方案,主要包括以下要求:
(1)能对数据库存量数据使用加密算法SM4或AES256等进行数据加密
(2)SQL方面,能针对加密列支持条件查询语句,无条件查询语句,精确匹配查询(”=“、”<>, !=“、”is null“)且
加密前后查询结果一致。能针对加密列支持插入(insert)、更新(update)和数据删除(delete)语句
(3)能支持设置不同的用户/角色/权限等内容,实现低权限用户仅能查询密文,高权限人员查询明文的功能
(4)能支持对接主流的堡垒机,能通过堡垒机成功访问加密系统代理出来的数据库IP及端口
(5)能支持对密钥进行基本的查看及配置管理功能
(6)加密系统能支持查看系统CPU、内存、硬盘占用等常见的运维指标情况
(7)加密系统能支持基本的运维调试命令执行,例如进程显示命令等
(8)能支持密钥备份、密钥恢复、能支持加密系统自身策略、配置等的数据备份和恢复
(9)具备节点集群备份和扩展能力,主节点正常退出、宕机和离线的情况下,加密系统正常可用
(10)能支持对加密后的数据库密文解密恢复
(11)加密系统对数据库加密后,能正常支持业务前端使用业务,具备插入、查询、删除和更新新增业务数据功能
(12)加密方案能适配公有云(华为云、阿里云和腾讯云)上的数据库数据,对其数据进行字段级加密
规格要求:60个数据库实例
含产品永久授权及3年原厂支持和升级服务


5

数据动态脱敏产品导入

本项目包括产品购买和实施,需为软件产品解决方案,主要包括以下要求:
数据动态脱敏产品需对敏感信息通过脱敏算法对进行数据的变形,实现应用系统实时使用、对外实时共享等动态环境下敏感隐私数据的可靠保护,具备敏感数据识别、应用实时脱敏、脱敏权限管控、黑白名单脱敏、脱敏效果预览和审计、脱敏算法和任务管理等能力。
规格要求:60个数据库实例,脱敏峰值处理能力:*单元格/秒;40M/秒;*SQL/秒
含产品永久授权及3年原厂支持和升级服务


6

API安全

本项目包括产品购买和实施,需为软件产品解决方案,主要包括以下要求:
(1)API安全检测
对业务接口调用的流量进行分析,识别业务系统API,检测API存在的未授权、弱认证等脆弱性问题 ,监测API访问行为,
及时发现针对API的恶意攻击行为发出告警。
产品需提供API资产发现、API攻击检测、基于API的敏感数据传输以及API的风险检测等功能,支持1Gbps混合流量接入,
兼容Vmware、K (略) ,适用于华为、阿里和腾讯云云环境。
检测范围需要覆盖华为云上所有业务系统API接口
(2) (略) (1个)
接收来自API检测系统检测日志,实现API资产管理、威胁检测与分析、敏感数据泄露风险分析、异常行为访问分析以及风险API分析,向API检测系统和API防护系统下发检测策略和管控策略。
产品需具备包括API威胁分析、API漏洞分析、API资产管理等功能。 默认授权10个数据源(探针)的采集能力。
含产品永久授权及3年原厂支持和升级服务


7

特权账号

本项目包括产品购买和实施,需为软件产品解决方案,主要包括以下要求:
产品基于特权账号生命周期管理流程,提供特权账号的发现和纳管、自动改密、验证和巡检、访问权限控制、锁定和释放等功能。产品功能模块包括:
(1)特权访问控制台,包括产品核心功能和密码保险箱,核心功能包括账号生命周期管理、账号威胁分析、角色权限管理、访问控制、策略管理、审计、工单系统等;
(2)策略执行器,能与现有堡垒机联动,支持策略执行,包括账号发现,账号改密、账号验证。授权2,500个被管资源数。
含产品永久授权及3年原厂支持和升级服务


8

(略) 资产和敏感信息发现服务

全年不间断的实施以下扫描和发现
(1)未知资产探测:能够自动发现组 (略) 上未知的、未受管理的资产,包括但不限于域名、IP地址、子域、开放端口、服务和应用程序。
(2)敏感信息发现:通过高级搜索技术和模式识别( (略) 交易信息识别),查找和分类公开泄露的敏感信息,如个人身份信息(PII)、财务数据、知识产权、源代码等。
针对以上扫描结果,每月提交报告,并协助问题调查和对应。


9

攻防演练和应急演练

1.人工服务
(1)攻防演练设计与实施:提供全面的攻防演练方案设计,包括但不限于渗透测试、红蓝对抗演练、社交工程测试等,
覆盖所有关键业务系统和基础设施。
(2)应急响应演练:设计并执行涵盖各类突发事件(如数据泄露、系统瘫痪、勒索软件攻击等)的应急响应演练,确保预案的实用性和有效性。
(3)培训与教育:针对不同层级员工开展 (略) 络安全意识培训,以及面向技术团队的应急处理技能培训。
2..在人工攻防演练基础上,能够提供BAS服务,包括以下功能;:
(1)网络攻击模拟:BAS能够自动模拟对 (略) 络的攻击,包括外部突破 (略) 后的横向移动
(2)恶意软件攻击模拟:能够模拟对端点的恶意软件攻击
(3)数据泄露过程模拟:模拟数据泄露的过程
(4)持续监控与评估:持续进行攻击模拟,及时地检测和评估组织对于新出现的威胁的防御能力。
(5)安全设备策略验证:验证WAF、IPS、EDR等安全设备的有效性,确保安全策略得有效性
(6) (略) 径可视化:提供图形化 (略) 径,帮助安全团队更好地理解攻击过程和潜在的安全漏洞
(7)自动化与周期性测试:支持周期性自动化测试, (略) (略) 的集成,提供完整有效的修复建议。
(8)持续更新:对于新威胁、新攻击手段的持续更新,确保BAS系统能够应对最新的安全挑战。


10

(略)

(略) (略) 的产品购买和实施
(1)漏洞管理与扫描:创建、监控扫描任务;按等级、来源筛选漏洞;支持工单流转。
(2)渗透与应急响应:管理渗透测试与应急任务,含文件上传交付;提供操作指引。
(3)重保管理:项目化管理重保工作,模板引导;图形化展示进度与自定义工作流。
(4)工作流与任务:自定义工作流,支持第三方集成;任务统计与可视化。
(5)资产发现:多样化资产发现任务管理;详尽资产信息记录。
(6)数据聚合与分析: (略) 能够跨不同的安全层和数据源(如终端、网络、云环境、电子邮件、威胁情报等)收集数据,并对数据进行关联分析。
(7)威胁检测:能够实时监测和识别已知及未知的威胁,包括恶意软件、勒索软件、高级持续性威胁(APT)等。
(8)自动响应与编排:一旦检测到威胁,可以自动触发一系列响应措施。同时,支持响应策略的自定义和编排。
(9)调查与取证:提供详细 (略) 和上下文信息,帮助安全分析师快速 (略) 径,理解攻击的全貌。
(10)可视化与报告:配备有直观的仪表板,展示安全状况、威胁概况、响应行动效果等关键指标。
接入和管控资源数量:2,500个
含产品永久授权及3年原厂支持和升级服务


11

年度系统等级保护测评

(1)系统定级,对所有系统(约50个)实施评估和定级。
(2)根据定级情况,提出2级和3级系统合并方案。
(3)协助实施2级和3级系统公安备案,并对之前的备案进行变更。
(4)6个3级系统等级保护测评,包括初测和复测。
(5)差距分析和整改建议
(6)协助提交测评报告


12

护网和重保服务

服务内容包括
(1)安全资产评估、漏洞扫描、策略核查、加固支撑;
(2)7*24 持续安全监控服务,针对入侵及告警事件监控分析,开展风险处置;应急响应支撑服务,在出现入侵事件后提供应急止损,帮助快速恢复业务;
(3)全面完整的暴露面管理服务,7*24监控FTMS对外暴露资产及脆弱性数据,并提供专家预警及应急响应服务。
通过但不限于以上服务,确保FTMS在2024 (略) 行动中0失分。


3. 申请人资格要求

3.1本次资格预审要求申请人须具有与本采购项目相应的服务能力,并具备如下所列的资质、财务、业绩、人员等条件:

3.1.1资质要求:1)申请人应是依法从事经营,有能力完成采购项目的法人或其他组织,2022年1月1日前成立,注册资金不少于*元人民币。

申请人无需直接提供资质证书扫描件,评审时按照以下标准评审资格预审申请人资质:

申请人的基本信息以文件开启当日信用中国(http://**)或国家企业信用信息公示系统(http://**)查询结果为准,登记状态应为正常或存续(在营、开业、在册)状态;

按照以上渠道无法验证申请人资质的,申请人应在申请文件中提供验 (略) 站和验证方法。

2)承诺确保一汽丰田在2024 (略) 行动中 “0”失分,如产生扣分情况,接受合同金额扣减的处罚;

3.1.2人员要求:总人数大于50人,评审标准详见第三章资格审查办法,其中固定员工人数20人及以上, (略) 社保(即缴费单位为 (略) )且必须在职6个月以上,需提供资格预审申请文件递交截止日前三个月内出具的上述人员的(至少包含2023年9月至解密当日任意6个月的社保证明)的社保缴费证明(申请人应登*国家 (略) (http://**)查询并打印社保参保证明, (略) 未能与国家 (略) 对接的,申请人应登*所在地人社部门 (略) 查询并打印社保参保证明,参保证明同样应当包含验真渠道和验真方法),外籍、港澳台人员(需提供外籍、港澳台人员身份证明) 可以用有效期内的劳动合同代替社保证明。

需提供有关财务、人员规模、业绩经验等证明材料,具体要求及评分规则详见资格预审文件。

3.2本次资格预审不接受联合体资格预审申请。

3.3本次 (略) 资格预审申请。

3.4申请人不得存在下列情形之一:

1)与采购人存在利害关系且可能影响招标公正性;

2)与本采购项目的其他申请人为同一个单位负责人;

3)与本采购项目的其他申请人存在控股、管理关系;

4)为本采购项目提供过设计、编制技术规范和其他文件的咨询服务;

5)为本采购项目的采购代理机构或代建人或监理人;与采购代理机构或代建人或监理人同为一个法定代表人;与采购代理机构或代建人或监理人存在控股或参股关系;

6)被依法暂停或者取消投标资格;

7)被责令停产停业,暂扣或者吊销许可证,暂扣或者吊销执照;

8)进入清算程序,或被宣告破产,或其他丧失履约能力的情形;

9)被工商行政管理机关在国家企业信用信息公示系统(http://**)中列入严重违法失信企业名单;

10)被 (略) 在“信用中国”网站(http://**.cn)或各省级“信用中国”网站中列入失信被执行人名单;

11) (略) “黑名单”中及一汽丰田“禁止限定类供应商清单”的潜在资格预审申请人不允许参加投标,已参加的申请人,其资格预审申请文件将被否决;

12)法律法规规定的其他情形。

4. 资格预审方法

本次资格预审采用有限数量制,至少入围3家,不超过4家,按百分制计算,得分须在70分以上(含70分)合格,合格数量≥4时,按照评分顺序选定4家。

5. 资格预审文件的获取

5.1请申请人于2024年06月14日10:00至2024年06月19日17:00(北京时间,下同),登录中国一汽 (略) (http://**,以下 (略) )下载电子资格预审文件。

5. (略) 服务费为300元。

5.3 企业数字认证证书及法定代表人个人数字认证证书(以下分别简称“企业CA”和“法定代表人CA”)一次性办理费用500元,一年内有效。

6. 资格预审申请文件的递交

6.1资格预审申请文件及响应文件递交的截止时间为2024年06月21日09:00。温馨提醒,资格预审申请文件上传受文 (略) 络速度影响,成功上传可能会需要一定时间,为避免近 (略) 络拥堵,建议提前一日上资格预审申请文件及响应文件,已递交的文件处于加密状态,不会泄露申请信息。

注:本次采取双开双评的模式,即资格预审申请文件及响应文件同时递交,分开解密,只有通过资格预审的供应商可以解密响应文件,如通过预审不足3家则项目流标,不再进行响应文件解密,资格预审文件解密时间为递交截止时间,响 (略) 后续发布通知为准。

6.2逾期送达的资格预审申请文件, (略) 将予以拒收。

7. 发布公告的媒介

本次资格预审公告同时在以下媒介上发布:

l 中国一汽 (略) (http://**

l 中国 (略) (http://**

8. 联系方式

8.1 申请单位操作指南

http://**

申请人在 (略) 时遇到的各类问题,应当首先通过上述链接进入“帮助中心-用户指南”界面,查看相应操作文件或视频

8. (略) 客服

电话:400-691-7888,工作时间周一至周五8:00至20:00

负责答复您在 (略) 时遇到的各类操作问题,如平台注册、资格预审文件购买、资格预审申请文件编制、递交等

8.3 CA办理(由第三方受理业务)

0431-*工作时间:周一至周五8:30至11:30,13:00至17:00,负责受理您办理CA及密码重置解锁业务

*工作时间:周一至周五8:30至11:30,13:00至17:00,负责受理您CA发票开具及其进度查询业务

8.4 财务专员

0431-*工作时间:周一至周五8:30至11:30,13:00至17:00

负责答复您关于采购文件费、平台服务费、采购代理服务费的发票开具问题。

8.5 采购人

采购人名称:一汽 (略)

地址: (略) 朝阳区 (略) 1号环球金融中心西塔3F/4F

联系人:孙小迪

8.6 采购代理机构

采购代理机构名称:长春 (略)

地址: (略) 汽开区东风大街3462号

采购项目负责人:邵明月、葛鹏飞

座机:0431-*、0431-*

手机:*、*

邮箱:*@*ttp://**、*@*ttp://**

8.7 项目投诉电话:400-691-7888,工作时间周一至周五8:00至20:00。投诉要求详见第二章申请人须知前附表第10.7款

8.8 纪委举报受理渠道

(略)

电子邮箱:*@*ttp://**

一汽 (略)

电子邮箱:*@*tmc.cn

9. (略) 上注册

凡首 (略) 参加电子资格预审或采购活动的资格预 (略) (略) 上免费注册,注册时需提交相关资料,平台工作人员审核通过后完成注册,完成注册后方可办理企业CA和法定代表人CA(办理并邮寄大约需要3-5日),若申请人未及时注册并办理CA,由此引起的后果由申请人自行承担。

10. 采购代理机构信息的发布

采购代理机构 (略) 发布的资格预审公告、资格预审文件及其澄清、修改、资格审查结果通知书等资格预审过程信息,一经发布,视为已送达各申请人, 无论申请人下载与否,均视同申请人已知晓相关内容。

11. 申请人异地解密资格预审申请文件须知

11.1申请人电脑须安装“一汽招投标编制工具系列驱动”、IE浏览器最新版,正版office办公软件和Adobe Flash Player插件;

11.2解密资格预审申请文件时,申请人必须使用CA (略) 并 (略) 络畅通,使用加密资格预审申请文件的CA进行资格预审申请文件环节的解密操作;

11.3若在规定的解密资格预审申请文件时间内,由于申请人的原因没有解密成功,视为撤销资格预审申请文件,申请人须自行承担后果。


标段编号 标段名称 招标项目类型 资格预审文件获取开始时间 资格预审文件获取截止时间 资格申请文件递交截止时间 操作
0736-XB*/01 2024年网络安全改善的企划 服务 2024-06-14 10:00 2024-06-19 17:00 2024-06-21 09:00 我要投标
, (略) , (略) ,长春,0431-,0736-
    
查看详情》

招标
代理

长春一汽国际招标有限公司

关注我们可获得更多采购需求

已关注
相关推荐
 

招投标大数据

查看详情

收藏

首页

最近搜索

热门搜索