沈阳局集团公司信息技术所关于集团公司网络安全防护服务公开竞争性谈判采购公告

（项目编号：ZTSYJCGS2021-0227）

受中国铁路沈阳局集团有限公司委托，中国铁路沈阳局集团有限公司物资采购所作为招标代理机构，现就沈阳局集团公司信息技术所关于集团公司网络安全防护服务进行公开竞争性谈判。本项目采购资金已落实，具备采购条件。

本次采购的业务外包项目名称、类别、工作量、交工验收地点详见本公告附件1。技术性能指标：

1.执行的技术标准：无

2.铁路专用设备执行的相关文件、规定：无

3.相关检验检测报告：无

4.维保条款： 见技术规格书

5.售后服务及要求：见技术规格书

6.其他需具体明确的技术要求：见技术规格书

技 术 规 格 书

1．提供信息系统网络安全风险评估服务和移动APP安全检测服务。

网络安全风险评估服务：依据招标人要求，按照安全风险评估国家标准GB/T20984或行业安全监管要求，对相关信息系统提供网络安全风险评估服务，从物理安全、主机安全、应用安全、数据安全等方面通过安全基线检查、人工渗透测试和漏洞扫描工具扫描等方式，发现安全漏洞和风险，提供网络安全风险评估报告，提出解决措施，协助开展整改。漏洞扫描工具要求：国内自主研发不同品牌漏洞扫描工具2套。支持基于网络的脆弱性分析、评估与管理，漏洞库与CVE、CNCVE、CNNVD和BUGTRAQ等国际、国内标准兼容；覆盖主流的系统漏洞、网络设备、WEB漏洞、应用漏洞、数据库漏洞、中间件漏洞、配置隐患、弱口令、VMware虚拟化平台等；漏洞库漏洞数量不少于12000个；支持多任务、多线程并发扫描,每两周进行一次漏洞库更新，紧急、重大的漏洞须即时更新。

移动APP安全检测服务：依据招标人要求对APP应用进行安全检测，包括信息收集、认证分析、授权及会话管理分析、不安全的数据存储分析、传输层通信分析、动态调试分析、逆向打包分析、内存分析、形成APP安全检测报告，并提出相关整改建议。

网络安全风险评估信息系统数量不多于75个，移动APP安全检测的APP数量不多于20个。

2．提供网络安全事件应急响应和网络安全保障服务。

提供网络安全事件7×24小时应急响应服务。根据招标人要求，通过远程或现场形式对网络安全事件进行分析和处置。主要工作内容包括：网络安全事件相关信息的收集、事件分析、报告提交、问题解决建议等。

重大活动和节日期间网络安全保障服务：在重大活动和节日期间，根据招标人需求，提供不少于4名驻场人员进行7*24小时的现场驻场。完成信息系统环境监测、日志监控、应急处置、攻击分析、溯源取证、策略优化、安全巡查、网站监测等技术服务。根据防护需要在服务期内提供必要的安全系统或设备（设备配置须满足集团公司现行信息系统安全稳定运行的需要），包括但不限于WAF应用网关3台、防火墙3台，提供自动监测封堵工具。防火墙配置要求：国内自主研发的第二代防火墙产品，标准机架式设备，具备不少于6个千兆电口；不少于4个千兆光口；不少于2个万兆光口；配置冗余交流电源模块；设备最大吞吐量不少于18Gbps；设备最大并发连接数不少于380万；设备最大每秒新建连接数不少于60万。WAF应用网关配置要求：国内自主研发标准机架式WAF硬件设备，不少于1个10/100/1000M 管理接口、不少于1个10/100/1000M HA口、不少于4个10/100/1000M业务口、不少于2个万兆业务光口；不少于1T设备存储配备硬盘容量；配置冗余交流电源模块；网络层吞吐率不少于5Gbps；应用层吞吐率不少于2Gbps；最大HTTP并发连接数不小于280万；每秒新建HTTP连接数不少于2.2万；支持HTTP、HTTPS环境下的Web恶意扫描防护的检测与防御能力，支持SSL证书导入，能对HTTPS加密传输数据解密分析防护，同时支持国际算法、国密算法，配合用户完成业务部署，支持获取Web安全事件的原始攻击信息。自动监测封堵工具要求：能够采集主流安全产品(IPS\IDS\WAF等)的日志，根据自定义安全策略实现与防火墙或其他安全防护设备联动，自动封禁攻击地址，支持手动批量封禁IP地址。对来源于云加速服务商的攻击，能与云加速API接口对接实现真实攻击地址自动封堵、查询、删除等功能。

提供漏洞提醒服务，定期通过邮件方式提供最新出现的安全漏洞、国内信息安全事件等相关信息，并说明各种漏洞危害程度、影响范围、验证方法，年度服务期内根据漏洞发布的实际数量提供服务；提供弱口令检测服务，采用专业技术工具对取得授权的暴露在互联网的应用系统进行弱口令检测；提供互联网资产梳理服务。

按照招标人要求提供网络安全培训服务，包括网络安全意识培训和安全技术培训。服务年度内网络安全意识培训和安全技术培训至少各提供1次。

3．提供CTF夺旗赛相关技术支持服务。

协助招标人完成一次网络安全夺旗竞赛（CTF）活动，在赛事期间负责提供竞赛系统、学习靶场、现场培训、竞赛试题等，题目包含但不限于逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别，竞赛系统应具有题目对错判断，参赛选手填入答案后能够自动判断答案的正确性，同时答题页面需要展现题目信息、分值、已提交的答案、题目连接等。

投标人依据技术服务进度提供下列相关报告，作为服务成果交付的证明。

《**业务系统风险评估研报告》

《**业务系统资产调研报告》

《**业务系统安全漏洞扫描报告》

《**期间安全值守服务报告》

1.各类方案的设计与实施应依据铁路行业相关的法规、标准以及在信息安全和项目管理领域相关的国家标准或国际标准进行，确保信息安全保障服务过程的规范、合理，并为安全保障成果提供了质量保证。

2.投标人须针对本项目签订网络安全协议，同时参与服务的每个成员须就本项目签订网络安全承诺书，保证项目过程中和项目结束后未经招标人授权不向第三方泄漏关于项目的任何信息。

3.投表人在项目执行过程中应提供规范的工作过程文档，对项目进行跟踪和控制。信息安全保障项目的实施由专业的项目管理人员和安全服务人员依照规范的操作流程进行，在项目启动之前制定计划和必要的工作申请，并提前告知对系统可能的影响，并提出风险规避措施并做出必要的应急准备，在项目开展过程中对操作的过程和结果要提供规范的记录，并形成完整的项目实施过程报告。

4.应根据需求及时准备充足的人员投入到项目中，确保按时、保质完成项目内容。

因投标人过失引起招标人信息系统故障的, 按照故障对招标人造成的损失确定违约金额，违约金先从履约保证金中扣除，履约金保证金不足时，从合同金额中扣除；如直接导致招标人信息系统瘫痪或引发较大社会影响，构成铁路安监部门定责的铁路一般D类及以上事故的，招标方将对投标方按违约终止合同。

3.1本采购项目要求供应商须具备的资格要求为：

A01:

1．在中华人民共和国境内注册的具有独立承担民事责任能力的网络安全防护服务商。

2．注册资金不少于500万元。

3．近三年内，在经营活动中没有重大违法记录。

4．须提供“中国网络安全审查技术与认证中心(原中国信息安全认证中心)颁发的《信息安全服务资质认证证书》(信息安全风险评估一级)、《信息安全服务资质认证证书》(信息安全应急处理一级)和国家计算机网络应急技术处理协调中心颁发的《网络安全应急服务支撑单位证书》（省级及以上）”证书复印件。

5．网络安全防护服务商具备《注册信息安全专业人员证书（CISP）》或《信息安全保障人员证书（CISAW）》资质的人员不少于4人，提供证书复印件及网络安全防护服务商为其缴纳社会保险的证明复印件。

3.2本次采购不接受联合体。

4.1凡有意参加投标者，请先在国铁采购平台https://cg.95306.cn/进行企业用户注册。

文件工本费按项目收取为200元人民币（与所投包件数量无关），同一招标编号文件工本费每个项目仅需缴纳一次，因项目流标、废标等情况重新组织开标时无需再次缴纳）。

在报名前将文件工本费汇至本公告7.5项中的汇款账户，同时须在汇款单据上注明招标编号，不接受个人汇款，缴纳后不予退。

支付完成后应到国铁采购平台电子招标采购系统（https://bid.95306.cn/）提交标书费缴纳凭证（在公告>采购公告>查看详情/文件购买按要求录入缴费凭证），由财务人员核验通过后即可登录国铁采购平台电子招标采购系统（在参与的项目中>招标文件）下载谈判文件及其他谈判资料。

4.2本项目接受网上报名的时间为2021年4月21日8:00时起至2021年4月25日16:00时（北京时间）止。如遇项目流标等情况，请按报名截止后收到的短信提示，重新报名。未在上述指定时间内完成支付者，将无法获取谈判文件，同时不具备参与本项目谈判资格。

报名注册及操作过程如有问题，请联系国铁采购平台客服，联系电话：010-95306转8号键，客服服务时间：周一~周日（8时-18时）

下载谈判文件后请将公司名称、联系人、电话、邮箱、报名项目编号、包件号以短信形式发送至项目经理手机。否则造成后续无法开标报价问题，后果自负。项目后续网上报价信息见谈判文件内第一章公告附件2.

4.3文件工本费及中标服务费需要开具增值税发票的，应在报名时注明单位名称、纳税人识别号、地址、电话、开户行及开户账号等开票信息。

4.4谈判保证金金额

A01：11300元，汇款账户信息见本章第7.5款，汇缴保证金时请在备注项填写项目编号及所投包号。

4.5购买招标文件后,除招标人答疑、补遗时间截止日以前以书面形式确认放弃投标外,根据,《中国国家铁路集团有限公司物资供应商信用评价管理办法》(铁总物资〔2018〕171号) 要求,将在物资年度供应商信用评价中扣分1分/次。

5.1报价文件递交的时间为：2021年04月29日08：00时至08：30时，递交报价文件的截止时间（报价截止时间，下同）为2021年04月29日08：30时，地点为中国铁路沈阳局集团有限公司物资采购所（“沈铁物资”三号楼）一层101开标室。地址：沈阳市皇姑区阿里山路69-12甲。

因疫情原因，报价文件采用邮寄方式送达，于开标前一个工作邮递到中国铁路沈阳局集团有限公司物资采购所。

5.2逾期送达、未送达指定地点、未按谈判文件要求提交谈判保证金或未按照谈判文件要求密封的报价文件，采购人不予受理。

本项目定于2021年04月29日08:30时（北京时间）公布首次报价，地点同报价文件递交地点。请供应商代表按时出席仪式。

7.1采购人：中国铁路沈阳局集团有限公司

详细地址：辽宁省沈阳市和平区太原北街4号

7.2招标代理机构：中国铁路沈阳局集团有限公司物资采购所

详细地址：辽宁省沈阳市皇姑区阿里山路69-12甲

7.3立项单位：信息技术所

技术咨询人：赵钰鑫

联系电话：159*****273

7.4项目经理：付经理

电 话：***-******** 170*****999

邮 箱：********@qq.com

项目经理电话接听时间为工作日9时-11时，13时-16时，如上述时间无人接听请以短信或邮件形式留言。

7.5谈判文件工本费、谈判保证金提交汇款信息、交易服务费支付

开户单位：中国铁路沈阳局集团有限公司物资采购所

开户银行：中国工商银行沈阳铁路支行

账 号：****************332

7.6谈判文件售卖发票索取、交易服务费发票索取

开票单位：中国铁路沈阳局集团有限公司物资采购所

发票联系人：财务科

联系电话：***-********、***-********、***-********、***-********

注：发票（工本费和服务费）分增值税普通发票和专用发票两种，金额1万元以上且为一般纳税人时，可开具增值税专用发票，其余一律开具增值税普通发票。

2021年4月21日