襄阳市第一人民医院拟对如下项目进行采购，欢迎符合条件且诚意合作的供应商报名参与。

一、项目概述

项目编码：XYYYTP-*******

项目名称：网络安全服务项目

项目预算总额：根据本项目内容，按市场报价。

项目概述：全年线上线下网络安全服务。

二、项目商务资质要求

（一）供应商资质要求：

1.公司注册资金不少于 200 万元（必有项）

2.公司注册时间不少于 2 年（必有项）

3.只允许注册法人名下一家公司报名（必有项）

4.公司经营范围需包含本项目（必有项）

①法人授权书

②公司营业执照

③近三年须未被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人、重大税收违法案件当事人名单、企业经营异常名录和“中国政府采购”网站（www.ccgp.gov.cn）政府采购严重违法失信行为记录名单（以投标截止当日查询结果为准），并提供证明材料。

④投标人具有ITSS信息技术运行维护证书、高新技术企业资质、网络安全工程师证书。

⑤3年内有医院网络安全服务的项目案例，要求投标方提供项目合同有效部分复印件。

5.被委托人与委托人签订的劳动合同或劳务合同和由劳动保障部门提供的社保证明或查询社保网站对单位为个人缴纳社保金进行截图。（必有项）

6.本项目不接受联合体投标（必有项）

（以上材料加盖公章）

• 投标文件要求：

必须提供装订成册一式五套的投标文件（含一正四副），包含的内容依次为：

1.标书目录（注意标明页码）（必有项）

2.投标函、廉洁承诺书（必有项）

3.报价表（响应院方采购文件配置需求一览表表）（必有项）

4.法定代表人身份证（含法人身份证正反面复印件）（必有项）

5.授权委托书（格式详见附件1）（必有项）

6.被委托人与委托人签订的劳动合同或劳务合同和由劳动保障部门提供的社保证明或查询社保网站对单位为个人缴纳社保金进行截图。（必有项）

7.提供现场资质审查的原件资料（与“项目商务资质要求” 中

第4条一一对应；是复印件的需加盖有关联公司的公章）（必有项）

8.项目方案（可选项）

9.公司财务状况（可选项）

10.提供尽可能多的与本项目内容一致或接近的项目案例，要求投标方提供项目合同有效部分复印件（必有项）

（三）注意事项：

1.请注明服务项目价格（必有项）

2. 宣传彩页等等（可选项）

3.与项目有关的承诺、报价单等书面承诺必须有公司受托人签字。

（必有项）

4.各供应商代表报价以人民币报价为准，合同价格以院内谈判最

终价格为准。（必有项）

5.付款方式按照襄阳市第一人民医院有关规定执行。

• 采购项目技术要求

服务期为自签订合同之日起一年

3.2.1线上服务

3.2.2线下服务

3.3.1安全运营服务

基于人机共智模式，对不同安全设备的安全日志、流量进行关联分析，通过安全专家主动识别网络和主机中的安全威胁，主动响应，协助客户闭环处置安全事件。

威胁分析和预警：建立威胁模型，实时监测网络安全状态，并自动生成工单。云端专家针对每一类威胁，进行深度分析验证分析判断是否存在其他可疑主机将深度关联分析的结果通过邮件、微信等方式告知用户。

流行威胁通告与排查：结合威胁情报，云端专家排查是否对用户资产造成威胁，通知用户。

主动响应服务:病毒类：提供病毒处置工具，协助用户查杀病毒；攻击类：提供处置建议漏洞利用类：验证是否利用成功，提供工具协助处置；失陷类：协助用户处置，并提供溯源服务。

3.3.2漏洞扫描服务

采用专业安全扫描工具与人工检查相结合的方式，对应用系统进行安全扫描，发现漏洞，提供扫描报告，并根据扫描报告给出漏洞整改或修复建议。

专业安全扫描工具：支持对Windows系统漏洞进行扫描评估检查；支持对Linux、Unix系统漏洞进行扫描评估检查；支持对网络设备和防火墙等系统漏洞进行扫描评估检查；支持对数据库、中间件系统的漏洞进行扫描评估检查；支持对邮件、操作系统等本地系统安全进行扫描评估检查；支持对各种系统的远程服务进行扫描评估检查；支持对各种系统服务项进行扫描评估检查；支持对Oracle、MySQL、SQLserver等数据库的SQL注入攻击漏洞进行扫描评估检查；支持对XSS跨站脚本攻击漏洞进行扫描评估检查；支持对Apache、Tomcat、IIS等系统漏洞进行扫描评估检查；支持对网络爬虫、扫描器的信息泄露、目录遍历等攻击方式进行扫描评估检查；支持对CSRF、Shell上传文件等漏洞进行扫描评估；支持五种以上Web扫描深度策略，高危漏洞、中危漏洞、低危漏洞、SQL注入漏洞、跨站脚本攻击漏洞等。

3.3.3应急响应

服务内容

对于应用系统中出现的影响业务正常运行的任何异常事件进行现场服务支持并且保证数据安全。如：重大业务调整、网络中断、故障排查、策略修改等需要的故障修复或协助服务；破坏应用系统的完整性、系统资源拒绝服务、通过渗透或者入侵的方式来对系统进行非法访问，系统资源的滥用以及任何可能对系统造成损害的行为等，都属于应急响应服务的内容。

投标人需要提供的应急响应包括三个级别的应急响应支持：紧急事件应急响应：1小时内到达现场并且4小时内解决故障；一般事件应急响应：4小时内到达响应现场并且24小时内解决故障。同时还需提供对以下的事件进行响应：

a．通过失陷主机功能分析其失陷确定性为“已失陷”的事件；

b．通过失陷主机功能分析其失陷确定性为“高可疑”的事件。

事件响应的内容包括：

a．对事件的失陷确定性进行判断

b．对确定失陷的主机进行清理，清除感染的恶意程序或被植入的网页木马。

c．对病毒的感染方式或者业务被入侵的途径进行分析

d．对事件的预防给出加固建议

成果交付：交付物包括以下文档：《应急响应服务报告》

服务频次

不限次/年，且如有必要随叫随到。

服务交付物

《应急响应报告》

3.3.4系统漏洞加固

对于通过各种措施发现的安全漏洞、安全弱点、安全风险，需要通过多方面的安全加固措施进行修补，确保每个系统的安全性。

安全加固服务主要包括以下类型：

（1）操作系统补丁服务

供应商在发现系统的BUG或在服务器中发现针对主机业务系统对应的BUG或安全补丁，及时通知甲方并提交此BUG风险评估以及安全补丁对业务的影响分析报告，由双方确认是否进行升级和安装补丁

①分析BUG和安全补丁对业务系统的影响并提交分析报告。

②在相关业务测试机或备机上进行测试补丁安装，并测试业务是否正常交易。

③在测试通过后对生产系统进行备份

④在生产系统上安装补丁

⑤在生产系统上测试业务

（2）数据库漏洞补丁服务

供应商需要定期进行数据库安全补丁检查，防患于未然，使用数据库漏洞扫描工具，对生产域中数据库的安全现状进行全面检测。安全漏洞项包括：弱口令、缺省口令、弱安全策略、权限宽泛、敏感数据发现、权限提升漏洞、补丁升级等，评估是否存在安全漏洞并提供修复建议。

①对当前系统中重要数据库进行全面的安全漏洞检测，有效暴露当前数据库系统的安全问题。

②提出漏洞修复的建议，进行整体安全加固，提升数据库系统整体的安全性。

③对数据库中重要敏感信息的安全保护，从存储层、数据库访问控制层、应用安全层面实现全方位防止敏感信息泄密。

④分析内部不安全配置，防止越权访问：通过只读账户，实现由内到外的检测；提供现有数据的漏洞透视图和数据库配置安全评估；避免内外部的非授权访问。

漏洞扫描发现的高风险：

通过每季度漏洞扫描发现的各类高风险漏洞，需要进行安全加固，以消除高风险安全漏洞。

安全设备加固服务：

协助用户调整安全设备的安全策略，如增加服务器、减少服务器而需要改变安全设备的通行端口等内容。

3.3.5 重要时期安全保障

运维工程师和技术服务商组织的专家队伍须保障节假日和国家重大会议期间的网络和信息安全，提供实时值守监控服务，做好防攻击、防篡改、防病毒、防瘫痪、防劫持、防泄密等工作，做到第一时间响应并处置各类网络信息安全突发事件，保障期间需每日提供《信息安全保障值守报告》。

• 采购项目综合要求

********2">（1）标准性原则

信息安全服务方案的设计与实施严格依据国内及国际的相关标准进行。

********5">（2）保密原则

对信息安全服务的过程和结果严格保密，未经授权不得泄露给任何单位和个人。

********6">（3）规范性原则

在信息安全服务工作中的过程和文档，须具有很好的规范性，可以便于项目的跟踪和控制。

********1">（4）可控性原则

信息安全服务所使用的工具、方法和过程在认可的范围之内，服务进度遵守进度表的安排，保证服务工作的可控性。

********8">（5）整体性原则

信息安全服务的范围和内容整体全面，包含安全涉及的各个层面，避免由于遗漏造成未来的安全隐患。

********5">（6）高效性原则

信息安全服务遵循高效性原则，响应迅速，问题故障解决快速。

投标人针对本项目服务内容成立专门的安全运维专家团队以提供

后备技术保障力量。

出现重大信息安全事件时，投标人工程师需不多于4小时内到达现场并且2小时内解决故障；针对一般事件应急响应：投标人工程师需不多于8小时内到达响应现场并且24小时内解决故障。

3.技术服务风险评估

我院若在招标完成后但未签订合同前的这段时间内出现关于网络安全方面的突发应急事故需要支持，拟成交商需无条件全力支持。

若我院在一年服务期内的重保时间段（仅包含供应商在现场维护期间且我院按照供应商提供的可行性安全防护方案进行配合时）发生重大网络安全事故且未能及时处理而造成恶劣影响，我院有权在无任何责任的情况下直接与供应商解除合同，同时供应商需按合同要求赔偿金钱等各种损失。

• 项目评分标准

评委根据本项目承办科室所提出的各项要求，对投标人进行综合评判，并客观公正地进行推荐排序。

六、********9">谈判程序和方法

（一）本次采购为价格谈判采购。供应商应派其授权代表持有效身份证件按采购文件规定的时间递交谈判响应文件，并准备参加谈判。

（二）供应商应当在谈判文件“供应商报名须知”要求的截止时间前，将响应文件密封送达谈判会议现场。在截止时间后送达的响应文件为无效文件，谈判小组应当拒收。

（三）供应商在提交响应文件截止时间前，可以对所提交的响应文件进行补充、修改或者撤回。补充、修改的内容作为响应文件的组成部分。补充、修改的内容与响应文件不一致的，以补充、修改的内容为准。

（四）谈判小组在对响应文件的有效性、完整性和响应程度进行审查时，可以要求供应商对响应文件中含义不明确、同类问题表述不一致或者有明显文字和计算错误的内容等作出必要的澄清、说明或者更正。供应商的澄清、说明或者更正不得超出响应文件的范围或者改变响应文件的实质性内容。

（五） 谈判小组所有成员应当集中与单一供应商分别进行谈判，并给予所有参加的供应商平等的谈判机会。

七、谈判********1">资格评审

谈判小组将依据磋商文件要求，对所有供应商提交的谈判文件进行资格评审；对未实质性响应文件要求的，谈判小组应现场告知供应商，取消其参加评标资格。

八、********4">抽签及参与谈判

（一）实质性响应谈判文件资格要求的供应商按所抽取的谈判顺序，依次与谈判小组分别进行谈判。

（二）谈判小组将就谈判文件中的技术、服务要求、合同草案条款等与供应商一一洽谈。

（三）谈判小组可以根据谈判文件和谈判情况实质性变动采购需求中的技术、服务要求以及合同草案条款。

（四）对谈判文件作出实质性变动是谈判或谈判文件的有效组成部分，应当以书面形式同时通知所有参加谈判的供应商。

（五）谈判结束后，谈判小组将要求不少于三家参加谈判的供应商在规定时间内提交最后报价，提交最后报价的供应商不少于3家。最后报价是供应商谈判响应文件的有效组成部分。

（六）响应供应商的报价均超过了采购预算，谈判活动终止。

（七）价格谈判共有叁轮报价。叁轮报价后，评委对供应商承诺的事项进行综合评议，若出现不能明确推荐第一名或第二名的供应商时，组织与之相对应的供应商进行第四轮报价。

九、********4">确定成交候选人

经谈判，在确定最终采购需求和提交最后报价的供应商后，推荐完全响应谈判文件所提出的要求、且价格最低的供应商,为第一成交候选人。

十、合同条款

根据《中华人民共和国合同法》，采购人和中标人（成交供应商）之间的权力和义务，应当按照平等、自愿的原则，依据文件要求和响应文件承诺，签订合同。

十一、供应商报名须知

（一）报名起止时间：2021年6月18日-2021年6月24日下午5时30分截止。

（二）报名地点：

襄阳市第一人民医院采购管理办公室。

（三）报名联系电话：采购管理办公室 ****-*******

（四）报名资料清单：（现场报名，复印件均需加盖公司原章）

1.法人证明或法人授权委托书（请严格按照附件1格式出具法人和受托人的身份证复印件）

2.营业执照

3.按照本采购文件“项目商务资质要求”提供相关证明材料。

4.公司承诺书（对本公司提供报名资料复印件真实性的承诺）。

（五）注意事项：

1.请报名的供应商在接到会议通知后，按要求准备好标书五份（一正四副）、项目受托人身份证原件等各类资料证件。

2.请供应商准时到达会场，迟到者，视为自动放弃，不再另行通知。

3.若采购会议前更换受托人，新受托人需携带新的法人授权委托书和相关资料到现场。

附件1：

法定代表人授权委托书

致：

我（姓名）系（单位名称） 的法定代表人，现授权委托本单位（姓名）为该项目代理人，代表我单位参加贵院组织的（项目名称） （项目编号为：）采购，授权事项:

。

委托期限： 。受托人在办理上述事宜过程中以其自己名义签署的所有文件我公司均予以承认。受托人无权转让委托权。

受托人在本单位的任职部门及职务：

受托人身份证号：

受委托人的联系方式（手机）：

附：1、单位法定代表人身份证复印件（复印正、反两面）

2、受托人身份证复印件（复印正、反两面）

委托单位（供应商）： （公章）

法定代表人（签字或个人印章）：

受委托人（签字）：

授权日期：年月日