安徽省政府采购中心询价采购函(项目编号:AH-F********)-省经信委机关信息系统安全服务外包项目
安徽省政府采购中心询价采购函项目编号:AH-F********
本中心接受委托,以询价采购方式购买一批货物,现将有关事项说明如下:
一、注意事项:
1、被询价的供应商(必须在安徽省电子化政府采购系统办理网上注册并在本中心有中标成交记录)可就以下采购清单中的货物及相关要求,在2013年02月26日15时前,向本中心做出一次性书面报价(单价、总价)。
2、成交原则:在符合采购需求、质量和服务相等的前提下,以提出最低报价的供应商作为成交供应商。供应商报价和承诺一经认可,即为成交的合同价。
3、供应商如对本询价函报价,即不可撤回。否则,该供应商在今后一年内不得参与本中心的所有采购活动。
4、付款方式:验收合格后 10 日内一次性付款。
5、本中心货物招标文件标准文本中的“合同条款”和供应商的报价函将作为合同的组成部分。
二、货物需求:
本项目共一个包,详细技术要求见附件。
备注:
1、货物需求表内如有参考品牌,仅作为说明没有限制性,被询价供应商可以在报价函中选用替代标准,但这些替代标准要优于或相当于技术规格中要求的标准。
2、本次询价只允许有一个方案,一个报价,多方案、多报价的将不被接受。
三、履约保证金:
合同金额超过10万元的,需提交合同金额百分之五履约保证金。
四、编制报价函要求:
1、报价供应商应就以上货物的技术支持与服务做出书面承诺;
2、报价供应商报价函要经法定代表人或其授权代表签字、加盖公章,请附营业执照副本复印件;如为授权代表签字,请附法定代表人授权书。
3、请将报价函及相关文件资料一式三份(一个正本、二个副本)密封后递交本中心。
4、报价函必须以包为单位,单独制作、单独封装。
五、项目联系方式:
项目联系人:王恒文 传真:****-********
联系电话:****-******** 邮编:230061
详细地址:合肥市阜南西路238号安徽省财政厅综合服务楼5楼502室
银行户名:安徽省政府采购中心
开户行:徽商银行合肥科技支行
账号:****************
安徽省政府采购中心
2013年2月21日
询价采购供应商报价函项目编号:AH-F********
安徽省政府采购中心:
关于本次询价采购项目,我公司已认真阅读了贵中心发布的询价采购函,决定参加报价。
一、报价表:
序号 货物名称 询价技术要求 报价技术配置 响应情况 价格 数量
1
2
二、交货期
合同签订后 日内交货安装调试完毕,交付采购单位验收。
三、技术支持与服务承诺:
四、备注:
1、我公司报价函一式三份,一个正本,二个副本;
2、我公司理解最后的成交价不一定是最低报价;
3、我公司了解贵中心货物招标文件标准文本中的“合同条款”。
五、有关资质证明材料:
六、联系方式
联系人: 电话: 手机号码:
地址:
供应商名称(盖章)
供应商注册编号:AHO-*****
年 月 日
一、需求一览表序号名称内容次数备注1信息安全管理、运维体系建设咨询服务安全管理体系建设:对现有安全管理体系进行梳理,进行补缺、补差。从机构设置、人员配置、制度管理等方面进行,梳理完后帮助制定相应的管理制度。如:《信息安全组织和人员管理制度》、《第三方人员安全管理制度》、《网络设备安全管理制度》等。帮助完善现有运维体系,运维检查、应急响应检查、信息安全事件监测、处理,建立常态化安全风险评估机制。第一次完成后,每年修订1次,共3年2风险评估对现有信息系统的物理环境、网络环境、主机系统环境、应用系统环境进行资产识别,威胁评估、脆弱性评估、风险分析。分别出具资产清单、威胁评估报告、脆弱性评估报告、安全评估报告。每年4次,3年共12次3漏洞扫描、渗透测试、修补和加固服务按照相关信息安全规定,制定对现有的应用系统、网络环境和安全设备检查方案,对现有网络、主机、安全设备和物理环境等方面进行一次全面检查,并对检查中发现的问题进行整改,形成检查报告和整改方案交由用户方。漏洞安全检查使用安全扫描、手工检查、渗透测试等方式。帮助用户对存在的漏洞进行安全加固服务。每年4次,3年共12次4信息安全技术检查安全策略检查;安全产品配置管理;安全产品日常维护;远程维护日常检查管理。每年4次,3年共12次5攻击防护和应急演练对有攻击事件时提供全方位的安全防卫措施;配合信息安全应急计划制定和演练。根据需要6信息安全教育培训信息安全意识培训:信息安全事件与安全威胁,日常安全和必备安全习惯;信息安全技术培训:安全基础知识,常见操作系统安全,系统安全检查和加固,数据库安全培训,网络设备安全培训,攻击防护安全培训;信息安全产品培训:防火墙安全培训,入侵防护系统等产品培训;信息安全管理培训:安全管理培训。一年1次,3年共3次7增援服务敏感时期派人、派设备进行现场服务一年1次,3年3次二、具体技术要求1、漏洞扫描服务及安全配置检查使用专门的漏洞扫描设备和安全配置检查设备,对现有网络的服务器,数据库,网络设备,安全设备等进行系统和应用层面的漏洞扫描,要求使用专业漏洞扫描设备,测试扫描设备为国内市场占有率前三的专业扫描设备(提供扫描设备的品牌型号),安全配置检查设备能够通过远程配置检查扫描和本地脚本安全配置检查结合的方式,支持路由器,交换机,windows,linux,防火墙等设备漏洞和安全配置,能够对检测出的漏洞中部分远程可利用漏洞,通过利用系统自带的利用工具,进行进一步的漏洞验证。为保证扫描安全服务的全面准确,有效,扫描及配置检查设备应该能够扫描主流虚拟机管理系统的安全漏洞,漏洞知识库漏洞信息大于3000条,提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与国际CVE标准兼容,并提供CVE Compatible证书。支持OVAL标准,进行精确漏洞扫描和新公布漏洞的快速扩展。漏洞扫描时可以在扫描过程中人工指定包括SNMP、SMB、SSH等常见协议的登陆口令,登陆到相应的系统中对特定应用进行深入扫描。本服务扫描及配置检查为机房网络设备,服务器,安全设备等,本服务每季度进行一次,完成后提供完整的报告和漏洞修补方案。2、渗透测试服务对我单位的全部网站应用,网络系统及服务器设备进行渗透测试。在服务期间,投标方对我单位系统每年进行4次的渗透测试服务,服务完成后提交详细的渗透测试报告,包含漏洞的和风险的修补方法。投标方安全专家执行的渗透测试能够验证当前的安全防护措施,找出风险点,提出整改方案,帮助安全加固。在服务期内,若临时遇有重大事件,投标方有责任和义务临时增加渗透测试服务。为保证良好地渗透测试效果,投标方在合肥有直属分支机构,原厂技术工程师10名,提供技术工程师本地社保证明,为保证良好渗透测试效果,投标方应具备2012年度在金融或运营商等高端客户的渗透测试服务案例,提供合同复印件加盖投标人公章。3、风险评估使用多种技术和方法,包括漏洞扫描,手工检查,渗透测试,安全审计,安全策略评估等对我单位授权指定的系统和服务器进行风险评估,找出现网设备存在的安全风险和安全问题,统计安全漏洞和脆弱账号,评估现网安全水平,识别出风险,威胁和脆弱性,并提出相应的安全问题解决方案(包括技术和管理),完善各类系统安全技术规范和策略,能够达到指导安全维护、建设工作的目的;风险评估服务每年4次。4、安全加固服务针对漏洞扫描和安全评估过程中发现的各种安全隐患,通过打补丁、修补漏洞、安全配置增强、系统架构和安全策略调整等方式及时进行加固和安全优化,提高系统的安全性和抗攻击能力,以期将整个系统的安全状况维持在较高的水平,减少安全事件发生的可能性。每次安全加固前,必须提交完整的安全加固方案和申请报告,针对不同操作系统和信息设备提供详细的操作步骤和时间、人员安排和加固过程中的风险应对措施等。要求投标商对我单位系统进行调研,建立信息资产库,明确每台服务器或设备加固操作过程中,投标商与招标方的责任,每次加固完成后需提交安全加固报告,并维护配置信息。每年4次。5、日常应急响应重大敏感时期应急响应安全事件是指信息系统中的计算机或网络设备系统的硬件、软件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏造成系统不能正常运行,或已经发现的有可能造成上述现象的安全隐患,如非授权访问、信息泄密、系统性能严重下降、蠕虫或大面积爆发病毒等,当出现安全事件时,投标方必须及时进行响应,具体要求如下:接到我方通知后,投标方安全专家必须在1.5小时内到场。处理事故并提交书面安全事件调查分析报告:包括事故原因、过程描述、入侵来源、证据报告、解决方案、安全建议、处理结果等;如投标商不能在规定的时间内解决问题,应及时协助我方寻求相关厂商的技术服务或外部资源进行解决。 日常应急为日常各种紧急安全事件,日常应急为发生紧急安全事件时,根据事件触发,重大敏感时期包括两会,国庆节等经信委认为需要进行安全保障的敏感时期。6、安全培训服务 安全管理工作离不开全体用户的参与和专业的安全技术人员的执行,为加强我方计算机用户和维护人员的安全意识和技能,投标方需提供安全技能培训服务,培训内容可包括但不限于以下内容:?常见攻击方式介绍与案例分析?Linux/Winddows系统安全配置和管理?常用安全工具?网络设备安全建议?国内外信息安全管理标准和体系介绍?IDS、IPS、安全审计、DDOS等流行安全技术和产品介绍?安全事件应急处理与分析?安全管理?主要安全产品的配置策略7、安全管理制度参照《信息安全技术 基于互联网电子政务信息安全实施指南》,等级保护以及ISO27001的要求等安全管理制度管理要,安全厂商协助我单位在管理制度上进一步完善,通过完善管理制度,形成一级文件总体方针,总体策略,二级文件人员要求,安全要求,三级文件操作流程,四级文件操作手册,表单等四级完善的管理体系,形成对人员,财物,设备,日常操作运维的规范化管理。形成日常安全管理制度,和日常安全运维制度。满足电子政务信息安全实施指南和等级保护等要求,并符合经信委日常信息工作实际。需要建立一套安全管理制度和一套运维管理制度,制度建立完成后,协助每年进行一次制度修订工作。8.安全咨询与规划设计要求要求投标人提供专业信息安全服务团队,采用管理和技术手段,评估我单位网络系统信息系统安全现状,为我单位网络系统构建动态、完整、高效的信息安全保障体系提供安全规划及实施方案,提高整体安全保障能力,为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。安全规划主要要求如下:规划应该具有良好的前瞻性和指导性,必须采取动态、科学的设计模型及原则,能够为我单位网络系统三年内的信息安全建设指明方向。规划应当在对我单位网络系统目前信息安全情况进行充分调研的前提下,指出目前我单位网络系统信息安全面临的主要问题,以及解决这些问题的思路和方法。搭建适合安徽省经信委网络系统实际情况的信息安全体系架构,形成有层次、有内容、有方法的安全组织体系、安全过程体系和安全技术体系,为今后信息安全建设提供充分的理论依据。安全咨询和规划方法:在我单位网络系统的安全咨询与规划设计中,投标方在咨询中应至少包含以下工作,并在投标方案中详细论述下列方法的实现方式:业务调研,顾问访谈,网络分析,安全扫描,人工检查,渗透测试,管理审计。在我单位网络系统的安全咨询与规划设计中,投标方在项目交付中至少包含以下工作成果,并在投标方案中详细论述下列文档的主要内容和文档大纲:安全现状报告,安全风险分析表,安全规划方案。三、范围说明1、设备:服务器数量23台,主要是Linux、Windows 2003系统为主。3个数据库,包括2个oracel,1个MySQL。5个Weblogic中间件,5台安全设备。网络设备50台。互联网出口2个,分别接入到中国电信和中国联通。2、应用系统序号应用系统名称简介1省经信委办公平台省经信委系统内部协同办公平台2省经信委政府网站(政府信息公开)省经信委门户网站3安徽省国防科学技术工业办公室国防工办政府网站4重点企业生产运行监测分析系统重点企业数据上报、统计分析5电煤调度信息系统电煤数据上报、统计6紧急救援物资调度系统紧急救援物上报、统计7安徽省优质产品展示平台优质产品展示8重点物资运输信息系统重点物资运输数据报送9安徽省工业项目投资导向计划申报系统工业项目申报10安徽省重点用能企业能源利用状况监控系统重点用能企业用能上报、统计11安徽省尾矿安全监控及信息管理系统尾矿数据实时上报12安徽省经信委财政专项资金项目申报系统财政专项资金项目申报13工程领域项目信息和信用信息公开共享专栏14安徽省重点调度中小企业运行信息直报系统中小企业数据上报、统计15安徽省技术创新信息网科技创新信息16安徽省信息化协会等多个协会5-7个四、投标人资质要求:投标人可以提供网络安全出现威胁时的应急服务,应具有国家级网络安全应急服务支撑单位的资格、信息安全认证中心颁发的ISCCC服务资质证(一级应急处理服务资质),一级风险评估服务资质证书。为保证工程质量,信息安全服务资质证书(安全工程类二级),为保证产品质量与信息安全,投标人应通过ISO9001和ISO2700认证。投标人需出具以上资质文件复印件加盖投标人公章。投标人在合肥设有办事处,办事处技术人员不少于10名,技术人员具有CCIE,CISP,RHCE等资质证书,提供对应技术人员工作证明(本地社保证明)和资质证书复印件,以上文件均需加盖投标人公章。近两年,投标人在省内政府、运营商、金融等行业具有安全服务2个成功案例,单个项目金额大于20万。五、投标人要求:投标人应编制投标方案,包括但不限以下内容:1、漏洞扫描服务及安全配置检查2、渗透测试服务3、风险评估4、安全加固服务5、日常应急响应重大敏感时期应急响应6、安全培训服务7、安全管理制度8、安全咨询与规划设计要求。
