2022-2025年甘肃电信WEB应用人工渗透、安全基线配置核查和网络安全加固技术支撑服务框架招标公告

本招标项目为（2022-2025年甘肃电信WEB应用人工渗透、安全基线配置核查和网络安全加固技术支撑服务框架、招标编号：TXZB-GSDX2022-148），招标人为中国电信股份有限公司甘肃分公司，招标代理机构为甘肃省通信产业服务有限公司招标咨询分公司。项目资金由招标人自筹，资金已落实。项目已具备招标条件，现进行公开招标，有意向的潜在投标人（以下简称投标人）可前来投标。

1．招标范围

1.1招标范围：本项目提供甘肃电信 WEB 应用人工渗透、安全基线配置核查和网络安全加固技术支撑服务，对各业务系统 web 页面进行渗透测试、健康性检查，定期针对甘肃电信自营业务系统完 成网络安全基线配置检查，针对各单位各业务系统的防火墙进行安全配置策略核查，端口最小化检查，并针对安全服务中检测到的问题指导相关开发商、网络维护人员进行应用方面、网络配置的安全改造，保障各业务系统安全稳定运行，实现集团考核目标。

1.2采购内容：

1.2.1 WEB 应用人工渗透服务内容包括：从操作系统、数据库、web 发布系统、web 程序 等方面全面安全检查和渗透测试。Web 应用包含 URL，APK 包（安卓和苹果）、微信公众号、小程序应用。 渗透点（包括但不限于）：操作系统漏洞、数据库系统漏洞、Web 服务漏洞、中间件漏 洞、网络设备漏洞、Ftp 服务漏洞、远程控制漏洞、网络边界漏洞、信任机制漏洞、恶意代 码漏洞。每季度遍历甘肃电信所有资产，完成人工渗透服务。

1.2.2安全基线配置核查及加固服务内容包括：安全基线配置核查、基线配置安全加固、安全设备配置核查、基于业务的安全策略优化。

（1）主机安全检查：WINDOWS、LINUX、AIX、HP-UNIX、SOLARIS等。

（2）数据库安全检查：MSSQL、ORACLE、SYBASE等。

（3）中间件安全检查：IIS、APACHE、WEBLOGIC、JBOSS 等。

（4）网络/安全设备检查：防火墙、路由器、交换机等。

（5）安全基线加固，防护策略优化：针对各类资产的不合规项，与业务开发方沟通，形成加固方案。

1.2.3安全加固服务：提供各业务系统漏洞加固服务，深度了解各系统业务特征，提供切 实可行的漏洞加固方案，指导业务开发方完成漏洞加固，保障各业务系统安全运行。

（1）网络设备加固，服务内容包含但不限于以下内容： OS 升级、帐号和口令管理、认证和授权策略调整、网络与服务加固、访问控制策略增 强、通讯协议、路由协议加固、日志审核策略增强、加密管理加固、设备其他安全配置增强。

（2）主机操作系统加固内容，主机操作系统安全加固包含但不限于以下内容：系统漏洞补丁管理、帐号和口令管理、认证、授权策略调整、网络与服务、进程和启动加固、文件系统权限增强、访问控制管理、通讯协议加固、日志审核功能增强、防 DDOS攻击增强、剩余信息保护、其他安全配置增强。

1.2.4服保工单与众测工单处理工作：

（1）通过服保工单系统，针对所有维度梳理发现的新增资产、未纳入互联网暴露面管理的资产派发工单，派发工单：三无七边资产工单，漏洞工单，安全预警工单，ICP备案工单。

（2）众测工单提交与处理：在渗透过程中发现中高危风险漏洞通过众测平台进行提交：针对各众测团队所提交漏洞工单进行验证打分，对于存在格式错误、漏洞无法复现等工单予以否决。

1.2.5态势感知监控工作：现目前态势感知系统从5个方面可以进行大屏展示，综合态势，资产态势，脆弱性态势，攻击态势及行为态势，从5个方面有层次的进行大屏展示。针对态势感知系统通过威胁事件的监测和处理，对重要事件进行上报用户，且每天早上进行告警信息统计并上报用户；对研判认为误报的事件进行加白处理，持续优化白名单，已达到减少误报，增加威胁告警的准确性的目的。

1.2.6配备不少于4人的现场驻场服务团队。

1.3相关要求：

1.3.1驻场人员技能要求：

（1）本项目配备不少于4人的现场驻场服务团队。另配备项目经理1人，须具有有效的CISSP和CISP认证证书，项目经理需为兰州本地安服团队人员；

（2）项目成员熟悉主流网络设备（华为、华三等）、安全设备（漏扫、IPS、防火墙等）、操作系统、数据库等的配置管理及安全加固；

（3）项目成员熟悉渗透测试的相关知识，熟练掌握各种渗透测试工具，能够独立自主高效率完成日常网络安全维护中的网络安全信息防泄漏、漏洞评估、漏洞挖掘、渗透测试等工作；

（4）具有良好的服务意识、积极自主的学习能力，良好的沟通协调能力，有较强的责任感及个人安全意识。

1.3.2服务要求

（1）针对驻场人员更替，制定完善的职责划分、流程管理方案，以保障不影响本项技术支撑服务。承诺在合同期内不得随意更换人员，若需更换必须提前一月沟通甲方并提前两周派人到现场完成工作交接，驻场服务人员更换频率每年不得超过50%，否则我方有权终止合同并要求相应赔偿。

（2）省NOC将服务费用的20%作为服务考核款，由省NOC对乙方进行考核，按月度考核分值支付服务费。考核每月度进行一次，满分为100分，加分项和扣分项可以抵消，总分不得超过100分。全年各月度得分超过95分（包含95）为优秀，考核款全额支付；得分在80-95间，每低于95分1分，扣除当月服务费1%；得分低于80分为不合格，考核款全部扣除；2个月或2个月以上低于80分，甲方有权解除合同。

1.4本次项目框架预算金额298.08万元（含税）。

1.5本项目不划分标段。

1.6本项目设置最高限价，最高限价为2.07万元/人月，投标人投标报价超过最高限价，评标委员会否决其投标。

1.7本项目将按照不定期更新的《中国电信供应商不良行为管理规则》应用供应商不良行为处理结果，供应商不良行为处理结果的应用依据“涉及的主要评估产品品类”及相关规则确定。无涉及的评估产品品类的，针对具体产品品类的处理结果均不适用，仅适用针对供应商的处理结果。请务必登录中国电信阳光采购网外部门户（https://caigou.chinatelecom.com.cn/MSS-PORTAL/account/login.do）“公告信息”模块查阅《中国电信供应商不良行为管理规则》。

1.7.1根据《中国电信集团供应商不良行为管理暂行规定》，集团公司统一制定评估产品品类目录，须准确填写“涉及的主要评估产品品类”，以免影响供应商不良行为在采购实施环节的应用。招标内容/采购内容无对应的“涉及的主要评估产品品类”的，该信息项应该填写“无”。使用其他格式表述招标内容/采购内容的,应该注意不能遗漏“涉及的主要评估产品品类”信息的表述。

1.7.2根据《中国电信集团供应商不良行为管理暂行规定》，原则上安排不具备MSS系统相关支撑条件的单位暂缓按照该《暂行规定》施行不良行为管理，暂缓施行不良行为管理的单位，应自行删除供应商不良行为管理涉及的内容。中国电信31省公司（含省公司属专业公司、省公司直属单位，MSS组织架构不在对应省公司之下的情况除外）、云公司和集团总部职能部门以及采购和供应链管理中心已经具备实施不良行为管理的MSS系统支撑条件，应按《暂行规定》实施不良行为管理。中国电信系统集成有限责任公司（本部）、卫星通信有限公司、号百信息服务有限公司（本部）、天翼科技创业投资有限公司、天翼电信终端有限公司（本部）、中国电信集团财务有限公司、中国电信集团投资有限公司、天翼物联科技有限公司、天翼爱音乐文化科技有限公司共计9家单位定于2021年9月19日具备相关MSS系统支持条件，中国电信国际有限公司、中国电信研究院（含科技创新中心和中电领航公司）、信元公众信息发展有限责任公司、全渠道运营中心、中国电信股份有限公司培训事业部（中国电信学院，含天翼人才发展、天翼智慧管理咨询公司和上海信息园区运营部等单位）、天翼数字生活科技有限公司共计6家单位计划于2021年10月具备相关MSS系统支撑条件，上述15家单位在实际具备相关MSS系统支撑条件后，应按《暂行规定》实施不良行为管理。其他尚不具备MSS系统相关支撑条件的单位，除非上级公司特殊安排之外，原则上暂缓按照《暂行规定》施行不良行为管理，必要时可联系上级公司采购归口管理部门确认最新情况。

2．投标人资格要求

2.1本项目要求投标人具备以下基本资格要求：投标人应为中华人民共和国境内法律上和财务上独立的法人或依法登记注册的其他组织，合法运作并独立于招标人和招标代理机构，具有合法有效的营业执照。

2.2本项目要求投标人具备以下资质：投标人具备中国通信企业协会颁发的通信网络安全能力评定-风险评估类二级及以上资质。

2.3投标人须具备自/年以来/的相关业绩，应满足下列要求：/。

2.4本项目要求投标人具备以下人员要求：/。

2.5本项目要求投标人满足以下财务要求：

2.5.1投标人具有一般纳税人资格或承诺开具增值税专用发票（提供一般纳税人认定表/网络截图/承诺函）；

2.5.2投标人需提供（2020年或2021年）会计事务所或审计机构审计的资产负债表、现金流量表、利润表或相关专业机构提供的财务情况说明。

2.6本项目不接受联合体投标。联合体投标的，应满足下列要求：/。

2.7单位负责人为同一人或存在控股、管理关系的不同单位，不得参加同一标段投标或未划分标段的同一招标项目投标。

2.8其他要求：

2.8.1要求投标人提供安全保密承诺书，承诺服务期间严格遵守《国家网络安全法》、《中华人民共和国保守国家秘密法》等有关法律法规，明确乙方的安全保密义务，承诺服务期间不泄露甲方各项业务信息数据、承诺不从事任何危害甲方计算机信息网络安全、数据安全的活动，承诺书需加盖公章。

2.8.2中标后不允许转包（以承诺函为准）。

2.9投标人不得存在下列情形之一：

（1）为招标人不具有独立法人资格的附属机构（单位）；

（2） 被依法暂停或取消投标资格的；

（3） 被责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照；

（4） 进入清算程序，或被宣告破产，或其他丧失履约能力的情形；

（5） 在最近三年内（自2019年4月29日起）被相关行业主管部门或司法机关认定有骗取中标、严重违约、重大工程质量或者安全问题的；

（6） 在最近五年内（自2017年4月29日起）被判处单位行贿罪，且行贿行为与采购活动相关的（以“中国裁判文书网”的生效判决为准）；

（7） 在最近五年内（自2017年4月29日起）被判处合同诈骗罪的（以“中国裁判文书网”的生效判决为准）；

（8） 被最高人民法院认定为失信被执行人的(以“信用中国”网站（www.creditchina.gov.cn）或各级信用信息共享平台公布的失信被执行人名单为准)，已执行完毕或不再执行的除外；

（9） 其他按照《中国电信供应商不良行为管理规则》及处理结果，应对投标人及其投标产品品类在本项目中执行禁止采购处理措施的。同一标包或未划分标包的同一招标项目涉及多个产品评估品类的，投标人及其任一投标产品品类涉及相关禁止采购处理结果的，该标包或招标项目应适用相关的禁止采购处理措施。

3．资格审查方法

本项目将进行资格后审，资格审查标准和内容见招标文件第三章“评标办法”，凡未通过资格后审的投标人，其投标将被否决。

4．招标文件的获取

4.1 发售纸质招标文件（不涉及）

4.1.1 招标文件获取时间：/年/月/日至/年/月/日（法定公休日、法定节假日除外），每日上午/时/分至/时/分，下午/时/分至/时/分（北京时间，下同）。

4.1.2 招标文件获取地点：/。

4.1.3 招标文件获取方式：（投标人应委托经办人持单位介绍信和营业执照副本复印件、本人身份证），向招标人/招标代理机构了解有关信息并购买招标文件。

4.1.4 招标文件每套售价/元人民币，售后不退。

4.1.5 招标文件如需邮寄，需要以书面形式通知招标人/招标代理机构，招标人/招标代理机构在收到招标文件费用后/日内寄出。

4.2 发售电子版招标文件

4.2.1招标文件获取时间:2022年4月8日10时00分至2022年4月13日18时00分。

4.2.2 招标文件获取方式：凡有意参与投标的潜在投标人，请按以下步骤顺序进行操作，获取招标文件：登录“中国电信供应链系统（CTSC）（https://caigou.chinatelecom.com.cn/ctsc-portal/ctscPortal）”后在“工作台-在线投标”模块跳转至中国电信电子采购系统进行本项目招标文件的登记申领。未在系统注册的投标人须先进行注册，注册方法详见本公告“6投标人注册”。

4.2.3 招标文件费用：每套售价300元人民币，售后不退。支付要求：电汇请填写本项目招标编号，未按要求填写所造成的损失由投标人承担（户名：甘肃省通信产业服务有限公司招标咨询分公司；开户银行：交通银行兰州民主东路支行；账号：621*****301**********）。

5.投标文件的递交

5.1 纸质投标文件的递交：递交纸质投标文件截止时间（即投标截止时间，下同）为/年 /月/日/时/分，投标文件递交地点：/。

5.2电子投标文件的递交：中国电信供应链系统（CTSC）（https://caigou.chinatelecom.com.cn/ctsc-portal/ctscPortal）后在“工作台-在线投标”模块跳转至中国电信电子采购系统提交，投标人应在投标文件递交截止时间之前通过电子采购系统完成加密电子投标文件的上传。投标人未在电子采购系统进行招标文件申领登记或电子投标文件未按照要求加密的，将无法通过电子采购系统提交电子投标文件，投标截止时间为2022年4月29日9时00分。纸质投标文件递交时间同电子投标文件递交时间，递交地点：邮寄方式递交纸质投标文件至甘肃省兰州市城关区平凉路366号18楼，因受疫情情况影响，本项目密封的纸质投标文件在投标截止时间前采用邮寄的方式递交，招标人或招标代理机构收到投标文件的时间以实际收到邮件为准，投标人应在投标截止时间前两天积极主动联系招标代理机构项目负责人，确认投标文件是否送达，接收人：周羿成、雷鸣，联系电话：180*****550、189*****016。

（1）电子投标文件递交及解密异常时的处理方式：当电子投标文件上传异常时，投标人应及时联系平台技术支撑人员解决。若在投标文件递交截止时间之前仍未解决，投标人须在投标截止时间前将操作失败的系统桌面的全幅截图提交招标代理机构，该投标人的投标文件以纸质投标文件为准。如投标人按要求提供全幅截图但未递交纸质投标文件的，不加密电子投标文件同时失效并予以退回，其投标无效。

（2）电子投标文件成功上传但因平台原因导致解密异常时，招标人/招标代理机构导入投标人递交的不加密电子投标文件，不加密电子投标文件经平台校验通过的视为解密成功，该投标人的投标文件以不加密电子投标文件为准，纸质投标文件失效；校验失败或未递交不加密电子投标文件的，该投标人的投标文件以纸质投标文件为准，电子投标文件失效,未递交纸质投标文件的，其投标无效。

（3）因投标人自身原因导致电子投标文件递交失败的，不加密电子投标文件、纸质投标文件均同时失效并予以退回，其投标无效。投标人电子投标文件上传异常且未按要求提供全幅截图的，视为因投标人自身原因导致电子投标文件递交失败。

（4）电子投标文件上传成功但因投标人自身原因导致解密异常的，视为投标人撤销其投标文件。

5.3 本项目将于上述同一时间、地点进行开标，邀请投标人的法定代表人/负责人或者其委托代理人准时参加。

5.4出现以下情形之一时，招标人/招标代理机构不予接收：

5.4.1逾期送达或者未送达指定地点的；

5.4.2未按照招标文件要求密封的；

5.4.3未按照本公告要求获得本项目招标文件的。

6. 投标人注册

6.1 中国电信供应链系统（CTSC）注册。

6.1.1已在中国电信阳光采购网或中国电信电子采购系统注册过的潜在投标人可通过原账号密码登录中国电信供应链系统（CTSC）（https://caigou.chinatelecom.com.cn/ctsc-portal/ctscPortal）后在“工作台-在线投标”模块申领本项目招标文件。

6.1.2 未在中国电信阳光采购网或中国电信电子采购系统注册过的潜在投标人，请直接在中国电信供应链系统（CTSC）（https://caigou.chinatelecom.com.cn/ctsc-portal/ctscPortal）首页完成注册后，方可申领本项目招标文件。

6.2 CA证书办理

参与电子采购的潜在投标人须提前办理CA证书进行电子投标文件编制和投标，并确保CA证书在使用时有效。CA证书办理流程详见中国电信供应链系统（CTSC）“帮助与支持-CA办理”。

6.3技术支撑联系方式

电子采购系统技术支撑：服务热线**********，服务邮箱zb_support@chinatelecom.cn。

CA证书办理技术支撑：服务热线010-********/020-********/020-********，服务邮箱bfdzyzzy.gyl@chinaccs.cn。

7．发布公告的媒介

本招标公告同时且仅在中国电信供应链系统（CTSC）（https://caigou.chinatelecom.com.cn/ctsc-portal/ctscPortal）上发布，其他媒介转载无效。

8．异议接收及联系方式

8.1联系方式

招 标 人：中国电信股份有限公司 招标代理机构：甘肃省通信产业服务有限公司

甘肃分公司招标咨询分公司

地 址：兰州市城关区平凉路405号地址：兰州市城关区平凉路366号

邮 编：******邮 编：******

联 系 人：张克斌联 系 人：周羿成、雷鸣、杨勇

电 话：189*****023电 话：180*****550、189*****016

传 真：/传 真：/

电子邮件：/电子邮件：*********@qq.com

网 址：/网 址：/

开户银行：/开户银行：交通银行兰州民主东路支行

账 号：/账 号：621*****301**********

8.2异议接收方式

异议接收邮箱：*********@qq.com,或通过中国电信电子采购系统提出异议，路径：我的项目-进入本项目-其他阶段-项目异议。

招标代理机构：甘肃省通信产业服务有限公司

招标咨询分公司（盖单位公章）

2022年4月7日