(略)

因工作需要, (略) (略) 络及安全设备的 (略) 公开采购。为了做好采购工作,现将有关事项通知如下:

* 、资质要求

服务提供方必须是在境内注册的独立法人组织。本项目不接受联合体参与报价。

* 、服务范围及清单

(略) 署在 (略) 海关 (略) 办 (略) 络设备、安全设备、服务器、 (略) 暴露资产， (略) 络设备、 * 台安全设备、 * 台服务器， (略) 暴露资产及1套监控平台系统。

服务设备清单

(略) 暴露资产清单

* 、服务内容及要求

（ * ） (略) 暴露资产自查

每 (略) (略) (略) 检查，梳理暴露资产列表，根据扫描结果提供安全整改建议报告， (略) 完成安全整改， (略) 暴露资产信息表及信息安全风险评估和整改方案。

（ * ） (略) 资产发现服务

每 (略) 资产通过数据挖掘和调研的方式， (略) 资产范围，基于I (略) (略) 资产扫描发现，通过对发 (略) 确认，将遗漏的资产纳入保护范围， (略) 资产发现信息表。

（ * ）漏洞扫描

每月采用多种漏洞扫描工具，最高权限情 (略) (略) 漏洞扫描， (略) 漏洞整改，并提供应用系统安全漏洞扫描报告。

（ * ）配置核查

每季度依据等保2.0标准，对防火墙ACL、路由器、交换机、主机、中间件及数据库等 (略) 检查，发现不合规配置项，协助我方整改，并提供安全配置核查报告。

（ * ）弱口令检查

每月对WEB、FTP、TelNET、SNMP及SSH等相关可 (略) 弱口令检查，检查方式包括暴力猜解、ARP欺骗、监听及Shadow文件枚举等方式，并提供系统弱口令报告。

（ * ）木马后门自查

每季度根据 (略) 为特性，结合业务实际环境，采用工具对保障范围内的业务 (略) 检查，并提供木马后门自查报告。

（ * ）应急响应

提供7× * 小时技术支持服务，接到安全事件 * 分钟内提供电话支持响应，了解故障症状，并电话指导修复安全漏洞；若电话技术支持无法解决时，技术支持人员应在 * 分 (略) 提供服务。应 (略) 理完成后提 (略) 置报告。为确保响应速度和响应质量，服务商需指定应急响应工程师2名，1名工程师需同时具备信息安全保障人员认证证书（CISAW）及注册信息安全专业人员（CISP），1名需具备信息安全保障人员认证证书（CISAW）或注册信息安全专业人员（CISP），须提供人员证书复印件及报价单位近半 (略) 保的证明。服务商需更换指定工程师的，应提前 (略) 的同意，并提供符合上述资质要求的其他工程师代表。

（ * ）重要时期保障

在重 (略) 行动等重要时期，提供技术人员7 (略) 值守，7x * 电话支持，每天定时对本安全 (略) 有IT资产含应用系统、网络安全设备以 (略) 安全巡检，检查防病毒软件扫描和查杀记录，收 (略) 全监控设备的日志报表，分析是否有异常情况。若发现异常情况，在 * (略) (略) 反馈，并采取 (略) 处理，最大限度降低安全事件对我方影响。重保时期结束后提供重要时期保障总结报告。为确保响应速度和响应质量， (略) 指定重要时期保障工程师2名，1名工程师需同时具备信息安全保障人员认证证书（CISAW）及注册信息安全专业人员（CISP），1名需具备信息安全保障人员认证证书（CISAW）或注册信息安全专业人员（CISP），须提供人员证书复印件及报价单位近半 (略) 保的证明。

（ * ）网络攻击溯源服务

服务商需 (略) 络攻击溯源服务，快 (略) (略) (略) (略) 为，进行溯源和响应。在攻击者面前摆下各种诱饵，提供各种形式的诱捕节点，迷惑对手，增加攻击者识别真实资产的难度，延迟或阻断攻击者的活动，实时分析黑 (略) (略) 发生的攻击事件，及时响应；记录攻击者对蜜 (略) 为，从而了解攻击者手法，对流经蜜罐 (略) 捕获和保存，便后续取证分析；延阻攻击的同时产生告警，并通过上送，输出到其它安全系统形成联动。为保证该服务的可靠性，其服务工具需满足以下要求：

网络攻击溯源服务工具支持将诱捕节点，实体蜜罐，管 (略) 署在不同的服务器上，须提供截图证明；支持通过页面配置可以动态变更 (略) 暴露的端口及服务，须提供截图证明；支持通过管理端web界面在 * 个诱捕主机上创建多个具有独立ip地址诱捕节点，并且为每个节点配置不同的开放端口和对应的蜜罐服务，须提供功能截图； (略) 有流经蜜罐的流量包，提供下载功能需要同时支持以天为单位， (略) 有蜜罐的总的流量包，以及以某个攻击源对某个蜜罐访问为维度的流量包，两种都要能看到和下载，须提供截图证明。为保证服 (略) 络攻击溯源服务工具安全可靠，该工具须具有中华人民 (略) 监制的计算机信息系统安全专用产品销售许可证，且产品类型为“主机型入侵检测产品”，产品名称须至少包含关键词“入侵监测、威胁、入侵感知”之 * (略) 络安全审查 (略) 颁发的IT产品信息安全认证证书和IPv6 Ready Logo 认证，须提供相关证书复印件。

(略) 络攻击溯源服务的质量和应急响应能力，该服务工具制造商具有中国信 (略) 颁发的信息安全服务资质（安全工程类） * 级资质和CCRC信息安全服务资质认证证书（信 (略) 理 * 级）证书。服务商须提供该 (略) 制造商出具的使用授权函原件，同时在合同签订 (略) 逐 * 验证该服务工具的以上功能。

（十）渗透测试

服务商需提供每季度 * 次的渗透测试。通过使用人工和工具相结合的方式模拟恶意黑客的攻击，对 (略) 安全评估。主要的过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从 * 个攻击者可能存在 (略) ，并且从这个位置有条件主动利用安全漏洞。主要的渗透测试包括白盒测试、黑盒测试、灰盒测试。完成渗透测试服务后，输出对应系统的渗透测试报告，并协助 (略) 进行漏洞整改以及复测。为确保渗透测试漏洞挖掘结果的可靠性，此渗透测试须与现有上级单位已提供的渗透测试服务不 * 致。

（十 * ）安全管理体系建设服务

服务商需提 (略) 规划，包含规划、设计及审核安全管理方案、制度及规范； (略) 的制度实施提供安全管理方案建议， (略) 制定及实施安全管理制度、流程、规范，并持续优化完善安全管理方案。

* 、商务要求

服务商应针对本项目服务范围及要求，提供规划设计方案、项目计划及实施进度；必须建立成熟的 (略) ，项目经理须具备5 (略) 业工作经验， (略) 中至少1名工程师同时具备信息安全保障人员认证证书（CISAW）及注册信息安全专业人员（CISP），1名具备信息安全保障人员认证证书（CISAW）或注册信息安全专业人员（CISP），须提供人员证书复印 (略) 会保险缴费证明。服务商若持有信息系统安全集成服务等级资质，ISO * 质量管理体系认证资质、ISO * 0 IT服务管理体系认证资质或ISO * 1信息安全管理体系认证资质等，可在报价时 * 并提供相关资质证书复印件。

* 、报价及付款说明

（ * ）服务商的维保服务期限为 * 年,服务期从合同签订之日起计。服务总价包括服务费用、 (略) 发生的 * 切费用,需可提供増值税专用发票。控制价为 * 万元整,报价金额超出控制价的为无效报价。

（ * ）报价单位必须将报价直接填入盖有“中国电 (略) (略) ”印章的《 (略) (略) 网络及安全设备维保服务报价表》内,并按报价单要求签名加盖公章,否则为无效报价。

（ * ）本项目报价材料包含营业执照等资质证明、单位负责人授权书、报价表、维保服务响应方案、服务 (略) 保证明等，有序装订成册，并编列资料清单目录。

（ * ）采购付款方式:双方合同签订后,采购单位预付项目全款 * %金额:项目实施满8个月后,支付项目全款 * %金额；项目余款 * %作为质保金,合同期满验收合格后7个工作日内付清。每次付款5日前,服务提供方需向采购单位递交相对应付款金额的增值税专用发票。服务期间，若因服务商提供的服务未满足本项目采购要求 (略) (略) 资产若存在未被发现的漏洞被海关总署或 (略) 市通报，或其它严重服务不到位情况， * 次扣除项目全款5%。

* 、报名办法

因疫情原因，请有意向 (略) 采购经办人蔡先生联系报名，（电话: 点击查看>> ，报名时间:9月 * 日- * 日上午8: * - * ： * ，下午 * ： * - * ： * ），需持电子版单位介绍信，通过电子邮件渠道获取电子版报价表（报 (略) 彩色打印）。

* 、报价方法

（ * ）报价人应准备报价文件正本、副本,正本和副本均应使用不能擦去的墨料或墨水打印、书写或复印并装订成册,由法定代表人或其授权代表 (略) 签字和盖章， (略) 印章，通过邮政快 (略) 。

地址: (略) 市 (略) 区象兴 * 路 * 号象屿保税区海关大楼 * 室 邮编: 点击查看>>

收件人:蔡先生,电话: 点击查看>>

答疑时间为报价截止时间前 * 日。

（ * ）全套报价文件不得随意涂改,除非是为改正报价人造成的必须修改 (略) 的。有改动时, (略) 应加盖校正章或法人公章。不符合上述要求的为无效报价。

（ * ）报价人提交报价材料的截止日期为 * 日 * : * ,若因快递等原因逾期送达均为无效报价。

* 、评审小组

评审 (略) 综合、财务、技术人员组成，同时指派相关人员对公开采购程序 (略) 监督。

* 、评审方法

评审以公开、公正、合理、规范为原则。在同等条件下,有效报价材料中总报价最低的为成交供应商，并在2天内通知成交供应商。

十、签订合同

成交供应商必须在接到《成交通知书》3 (略) 签订书面合同,否则取消其成交资格。

* 日

打印本页 关闭

(略)

因工作需要, (略) (略) 络及安全设备的 (略) 公开采购。为了做好采购工作,现将有关事项通知如下:

* 、资质要求

服务提供方必须是在境内注册的独立法人组织。本项目不接受联合体参与报价。

* 、服务范围及清单

(略) 署在 (略) 海关 (略) 办 (略) 络设备、安全设备、服务器、 (略) 暴露资产， (略) 络设备、 * 台安全设备、 * 台服务器， (略) 暴露资产及1套监控平台系统。

服务设备清单

(略) 暴露资产清单

* 、服务内容及要求

（ * ） (略) 暴露资产自查

每 (略) (略) (略) 检查，梳理暴露资产列表，根据扫描结果提供安全整改建议报告， (略) 完成安全整改， (略) 暴露资产信息表及信息安全风险评估和整改方案。

（ * ） (略) 资产发现服务

每 (略) 资产通过数据挖掘和调研的方式， (略) 资产范围，基于I (略) (略) 资产扫描发现，通过对发 (略) 确认，将遗漏的资产纳入保护范围， (略) 资产发现信息表。

（ * ）漏洞扫描

每月采用多种漏洞扫描工具，最高权限情 (略) (略) 漏洞扫描， (略) 漏洞整改，并提供应用系统安全漏洞扫描报告。

（ * ）配置核查

每季度依据等保2.0标准，对防火墙ACL、路由器、交换机、主机、中间件及数据库等 (略) 检查，发现不合规配置项，协助我方整改，并提供安全配置核查报告。

（ * ）弱口令检查

每月对WEB、FTP、TelNET、SNMP及SSH等相关可 (略) 弱口令检查，检查方式包括暴力猜解、ARP欺骗、监听及Shadow文件枚举等方式，并提供系统弱口令报告。

（ * ）木马后门自查

每季度根据 (略) 为特性，结合业务实际环境，采用工具对保障范围内的业务 (略) 检查，并提供木马后门自查报告。

（ * ）应急响应

提供7× * 小时技术支持服务，接到安全事件 * 分钟内提供电话支持响应，了解故障症状，并电话指导修复安全漏洞；若电话技术支持无法解决时，技术支持人员应在 * 分 (略) 提供服务。应 (略) 理完成后提 (略) 置报告。为确保响应速度和响应质量，服务商需指定应急响应工程师2名，1名工程师需同时具备信息安全保障人员认证证书（CISAW）及注册信息安全专业人员（CISP），1名需具备信息安全保障人员认证证书（CISAW）或注册信息安全专业人员（CISP），须提供人员证书复印件及报价单位近半 (略) 保的证明。服务商需更换指定工程师的，应提前 (略) 的同意，并提供符合上述资质要求的其他工程师代表。

（ * ）重要时期保障

在重 (略) 行动等重要时期，提供技术人员7 (略) 值守，7x * 电话支持，每天定时对本安全 (略) 有IT资产含应用系统、网络安全设备以 (略) 安全巡检，检查防病毒软件扫描和查杀记录，收 (略) 全监控设备的日志报表，分析是否有异常情况。若发现异常情况，在 * (略) (略) 反馈，并采取 (略) 处理，最大限度降低安全事件对我方影响。重保时期结束后提供重要时期保障总结报告。为确保响应速度和响应质量， (略) 指定重要时期保障工程师2名，1名工程师需同时具备信息安全保障人员认证证书（CISAW）及注册信息安全专业人员（CISP），1名需具备信息安全保障人员认证证书（CISAW）或注册信息安全专业人员（CISP），须提供人员证书复印件及报价单位近半 (略) 保的证明。

（ * ）网络攻击溯源服务

服务商需 (略) 络攻击溯源服务，快 (略) (略) (略) (略) 为，进行溯源和响应。在攻击者面前摆下各种诱饵，提供各种形式的诱捕节点，迷惑对手，增加攻击者识别真实资产的难度，延迟或阻断攻击者的活动，实时分析黑 (略) (略) 发生的攻击事件，及时响应；记录攻击者对蜜 (略) 为，从而了解攻击者手法，对流经蜜罐 (略) 捕获和保存，便后续取证分析；延阻攻击的同时产生告警，并通过上送，输出到其它安全系统形成联动。为保证该服务的可靠性，其服务工具需满足以下要求：

网络攻击溯源服务工具支持将诱捕节点，实体蜜罐，管 (略) 署在不同的服务器上，须提供截图证明；支持通过页面配置可以动态变更 (略) 暴露的端口及服务，须提供截图证明；支持通过管理端web界面在 * 个诱捕主机上创建多个具有独立ip地址诱捕节点，并且为每个节点配置不同的开放端口和对应的蜜罐服务，须提供功能截图； (略) 有流经蜜罐的流量包，提供下载功能需要同时支持以天为单位， (略) 有蜜罐的总的流量包，以及以某个攻击源对某个蜜罐访问为维度的流量包，两种都要能看到和下载，须提供截图证明。为保证服 (略) 络攻击溯源服务工具安全可靠，该工具须具有中华人民 (略) 监制的计算机信息系统安全专用产品销售许可证，且产品类型为“主机型入侵检测产品”，产品名称须至少包含关键词“入侵监测、威胁、入侵感知”之 * (略) 络安全审查 (略) 颁发的IT产品信息安全认证证书和IPv6 Ready Logo 认证，须提供相关证书复印件。

(略) 络攻击溯源服务的质量和应急响应能力，该服务工具制造商具有中国信 (略) 颁发的信息安全服务资质（安全工程类） * 级资质和CCRC信息安全服务资质认证证书（信 (略) 理 * 级）证书。服务商须提供该 (略) 制造商出具的使用授权函原件，同时在合同签订 (略) 逐 * 验证该服务工具的以上功能。

（十）渗透测试

服务商需提供每季度 * 次的渗透测试。通过使用人工和工具相结合的方式模拟恶意黑客的攻击，对 (略) 安全评估。主要的过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从 * 个攻击者可能存在 (略) ，并且从这个位置有条件主动利用安全漏洞。主要的渗透测试包括白盒测试、黑盒测试、灰盒测试。完成渗透测试服务后，输出对应系统的渗透测试报告，并协助 (略) 进行漏洞整改以及复测。为确保渗透测试漏洞挖掘结果的可靠性，此渗透测试须与现有上级单位已提供的渗透测试服务不 * 致。

（十 * ）安全管理体系建设服务

服务商需提 (略) 规划，包含规划、设计及审核安全管理方案、制度及规范； (略) 的制度实施提供安全管理方案建议， (略) 制定及实施安全管理制度、流程、规范，并持续优化完善安全管理方案。

* 、商务要求

服务商应针对本项目服务范围及要求，提供规划设计方案、项目计划及实施进度；必须建立成熟的 (略) ，项目经理须具备5 (略) 业工作经验， (略) 中至少1名工程师同时具备信息安全保障人员认证证书（CISAW）及注册信息安全专业人员（CISP），1名具备信息安全保障人员认证证书（CISAW）或注册信息安全专业人员（CISP），须提供人员证书复印 (略) 会保险缴费证明。服务商若持有信息系统安全集成服务等级资质，ISO * 质量管理体系认证资质、ISO * 0 IT服务管理体系认证资质或ISO * 1信息安全管理体系认证资质等，可在报价时 * 并提供相关资质证书复印件。

* 、报价及付款说明

（ * ）服务商的维保服务期限为 * 年,服务期从合同签订之日起计。服务总价包括服务费用、 (略) 发生的 * 切费用,需可提供増值税专用发票。控制价为 * 万元整,报价金额超出控制价的为无效报价。

（ * ）报价单位必须将报价直接填入盖有“中国电 (略) (略) ”印章的《 (略) (略) 网络及安全设备维保服务报价表》内,并按报价单要求签名加盖公章,否则为无效报价。

（ * ）本项目报价材料包含营业执照等资质证明、单位负责人授权书、报价表、维保服务响应方案、服务 (略) 保证明等，有序装订成册，并编列资料清单目录。

（ * ）采购付款方式:双方合同签订后,采购单位预付项目全款 * %金额:项目实施满8个月后,支付项目全款 * %金额；项目余款 * %作为质保金,合同期满验收合格后7个工作日内付清。每次付款5日前,服务提供方需向采购单位递交相对应付款金额的增值税专用发票。服务期间，若因服务商提供的服务未满足本项目采购要求 (略) (略) 资产若存在未被发现的漏洞被海关总署或 (略) 市通报，或其它严重服务不到位情况， * 次扣除项目全款5%。

* 、报名办法

因疫情原因，请有意向 (略) 采购经办人蔡先生联系报名，（电话: 点击查看>> ，报名时间:9月 * 日- * 日上午8: * - * ： * ，下午 * ： * - * ： * ），需持电子版单位介绍信，通过电子邮件渠道获取电子版报价表（报 (略) 彩色打印）。

* 、报价方法

（ * ）报价人应准备报价文件正本、副本,正本和副本均应使用不能擦去的墨料或墨水打印、书写或复印并装订成册,由法定代表人或其授权代表 (略) 签字和盖章， (略) 印章，通过邮政快 (略) 。

地址: (略) 市 (略) 区象兴 * 路 * 号象屿保税区海关大楼 * 室 邮编: 点击查看>>

收件人:蔡先生,电话: 点击查看>>

答疑时间为报价截止时间前 * 日。

（ * ）全套报价文件不得随意涂改,除非是为改正报价人造成的必须修改 (略) 的。有改动时, (略) 应加盖校正章或法人公章。不符合上述要求的为无效报价。

（ * ）报价人提交报价材料的截止日期为 * 日 * : * ,若因快递等原因逾期送达均为无效报价。

* 、评审小组

评审 (略) 综合、财务、技术人员组成，同时指派相关人员对公开采购程序 (略) 监督。

* 、评审方法

评审以公开、公正、合理、规范为原则。在同等条件下,有效报价材料中总报价最低的为成交供应商，并在2天内通知成交供应商。

十、签订合同

成交供应商必须在接到《成交通知书》3 (略) 签订书面合同,否则取消其成交资格。

* 日

打印本页 关闭