询价公告

我部就以下项目进行国内询价采购，采购资金已全部落实，欢迎符合条件的供应商参加询价。

一、项目名称：某业务系统安全检测技术要求

二、项目编号：2023-JJHABA-F4017

三、项目概况：

（一）安全检测目的

通过安全检测，全面排查某业务系统在符合性、脆弱性、生存性等方面存在的问题或缺陷，审查验证业务系统文档资料的齐备准确性，严防业务系统“带病毒入网”“带漏洞运行”“带后门使用”等，筑牢业务系统安全稳定运行基础，为开展某业务系统防网络攻击问题研究提供支撑。

（二）安全检测对象及环境

1.安全检测对象

某业务系统。

（1）体系构成

业务系统采用四级配置，分别为I级、II级、III级、IV级，分别安装部署于相应各级常态化值班值勤场所。业务系统体系构成如图1所示。（见附件）

各级均由硬件、业务软件和相关运行支撑环境构成。

（2）硬件组成

硬件包括1台服务器、1台席位计算机、3台显示器。配置如表1所示。

表1 业务系统硬件配置一览表

服务器	席位计算机	显示器
1台联想SR650机架服务器	1台联想P720图形工作站	3台，其中服务器配套使用1台，席位计算机配套使用2台，构成双屏显示器。

（3）业务软件构成

业务软件包括服务器端和席位计算机端两部分，席位计算机软件代码行数共计约*****行。

（4）相关运行支撑环境构成

①服务器

服务器运行环境用于应用集群处理、数据存储服务器和后台计算服务，运行环境包括：

操作系统：银河麒麟操作系统V4.02

数据库：Oracle 11g

Web服务：Tomcat 8

②席位计算机

席位计算机运行环境由以下几部分组成：

操作系统：64位Windows 7 旗舰版

数据库：Oracle 10.2g

编程语言：Visual Studio 2010、C、C++、Java、Qt

办公软件：Office 2010

浏览器：IE 8、谷歌浏览器

信息安全软件：奇安信天擎、固体胶V2.0

2.安全检测环境

检测地点由业务系统承研单位指定，相关安全检测环境由承研单位、检测单位双方协商搭建。

（三）安全检测内容

1.符合性测试

（1）病毒查杀。利用防病毒工具，对业务系统进行病毒查杀，查看是否存在高危风险项。

（2）按照G JB 5612A-2021四级安全防护通用要求，对由业务系统负责实现的相关内容开展合规性测试。

2.脆弱性测试

（1）源代码检测

对业务软件进行源代码成分分析。

（2）源代码安全审计

对影响业务系统整体安全运行的部分重要软件配置项开展源代码进行审计，主要考虑安全功能缺陷、代码实现安全缺陷、资源使用安全缺陷、环境安全缺陷等。

（3）漏洞扫描

对业务系统进行漏洞扫描，查看是否存在中、高危等级安全漏洞。

（4）漏洞挖掘

对业务系统和通信协议漏洞进行漏洞挖掘，查看是否存在中、高危等级安全漏洞。

（5）渗透测试

借鉴洛马网络杀伤链模型、美网络杀伤链、高德纳公司攻击链模型、HP公司攻击生命周期等国际典型网络渗透测试研究成果，对业务系统进行安全检测。

3.生存性测试

（1）外网攻击测试

对系统进行外网渗透攻击测试，综合运用端口扫描、漏洞扫描、漏洞挖掘、渗透测试对系统预警、阻断、查杀、恢复能力进行考核。

（2）DDoS攻防测试

对系统进行TCP SYN Flood DDoS攻击测试，攻击方与防御同时开展攻击与防御动作。

4.其它

（1）策略匹配

按照I、II、III、IV等4级部署要求，对业务系统进行主机安全策略匹配和系统安全策略匹配。

（2）兼容测试

按照通用要求，对业务系统进行兼容测试。

（3）文档资料审查

对业务系统文档资料进行审查，查看是否满足相关要求。

（4）回归测试

形成问题清单，在业务系统承研单位整改后完成回归测试。

（四）主要技术指标要求

1.防病毒工具不少于3种，包括火绒、360、奇安信天擎等。

2.合规性测试种类不少于4类，包括网络安全、系统安全、数据安全、应用安全等4个方面。

3.渗透测试种类不少于7种，包括：注入攻击测试、XSS注入攻击测试、信息泄露测试、越权访问测试、文件上传测试、口令攻击测试，以及漏洞攻击测试等。

4.口令攻击测试种类不少于3种，包括弱口令测试、同口令测试、暴力破解攻击测试。

5.漏洞攻击测试种类不少于1种，包括网络重放攻击测试。

（五）成果形式及验收交付要求

1.成果形成

（1）《某业务系统安全检测大纲》1份。

（2）《某业务系统安全检测报告》1份。

2.验收交付要求

（1）时间要求。合同签订后10个工作日内完成《安全检测大纲》评审，30个工作日内完成整个安全检测工作。

（2）交付要求。成立验收专家组，通过专家评审验收。

项目预算： 人民币柒万元整（￥*****.00元）（含税） 。

四、报价供应商资格条件

（一）符合《中华人民共和国政府采购法》第二十二条资格条件：

1.具有独立承担民事责任的能力【报价方须提供营业执照（或事业单位法人证书，或社会团体法人登记证书，或执业许可证）复印件，如依法经国务院批准免予登记的社会组织的，应提供相应文件证明其依法免予登记】；

2.具有良好的商业信誉和健全的财务会计制度（报价方须提供2022年的年度第三方审计报告复印件或银行出具的近1个月的资信证明材料复印件）；

3.具有履行合同所必需的设备和专业技术能力（报价方需提供《报价方资格声明函》）；

4.有依法缴纳税收和社会保障资金的良好记录（报价方需提供2023年任意1个月的依法缴纳税收和社会保障资金的证明材料复印件，如依法不需要纳税或缴纳社会保障资金的，应提供相应文件证明）；

5.参加政府采购活动前3年内，在经营活动中没有重大违法记录；

6.法律、行政法规规定的其他条件。

（二）国有企业；事业单位；军队单位；成立1年以上（平台注册要求3年）的非外资独资企业或控股企业。

（三）单位负责人为同一人或存在直接控股或管理关系的不同供应商，不得同时参加同一包的采购活动。生产场经营地址或注册登记地址为同一地址的不同生产型企业，股东和管理人员（法定代表人、董事或监事）之间存在近亲属或相互占股等关联关系的不同非国有销售型企业，也不得同时参加同一包的采购活动。近亲属指夫妻、直系血亲、三代以内旁系血亲或近姻亲关系。

（四）未被中国政府采购网（www.ccgp.gov.cn）列入政府采购严重违法失信行为记录名单，未在军队采购网（www.plap.mil.cn）军队采购暂停名单处罚范围内或军队采购失信名单禁入处罚期和处罚范围内，以及未被“信用中国”（www.creditchina.gov.cn）列入严重失信主体名单或国家企业信用信息公示系统（www.gsxt.gov.cn）列入严重违法失信名单（处罚期内）。

（五）本项目不接受联合体报价。

（六）本项目特定资格：报价供应商需具有与该采购项目相符的经营资质（以营业执照经营范围为依据）。

（七）报价企业应当具备服务履约的能力，在履约环节不得转包和违法分包，一经发现存在转包和违法分包行为，转包和违法分包的相关企业均将受到相关处罚。

五、报名时间及方式

（一）报名时间：2023年11月21日至11月27日（北京时间、节假日除外）。

（二）报名方式：短信报名。（短信内容：公司名称+报名项目名称+项目编号+负责人姓名、联系方式、身份证号码）

（三）报名电话：王先生 159*****783

六、询价文件领取时间、地点、方式

（一）申领时间：2023年11月28日，上午9:00至11:00，下午14:30至16:00。

（二）申领地点： 北京市海淀区 。

（三）申领询价文件时需提供以下材料：

1.营业执照或事业单位法人证书复印件加盖公章(军队单位不需要提供)；

2.法定代表人资格证明书原件；

3.法定代表人授权书原件，授权代表身份证和授权代表在报价前近3个月内（不含报价当月）任意1个月由报价供应商缴纳社保证明材料的复印件，代缴社保证明材料不予认可；

4.非外资独资企业或控股企业的书面声明（事业单位、军队单位不需要提供）；

5.报价供应商主要股东或出资人信息；

6.未被列入本公告第四条第（四）项明确的违法失信名单的承诺书；

（四）申领方式

线下发送。报价供应商携带材料赴报名现场，经审查合格后领取询价文件。

（五）询价文件售价： / 元/份，售后不退。

七、报价开始和截止时间及地点、方式

（一）报价开始时间：2023年12月4日10时00分。

（二）报价截止时间：2023年12月4日11时00分。

（三）报价地点： 北京市海淀区 。

（四）报价方式：由报价供应商法定代表人或授权代表现场提交报价文件。

八、本采购项目相关信息在《军队采购网》（www.plap.mil.cn）。

九、采购机构联系方式

联 系 人： 王先生/葛先生 （提供2个联系人）

办公电话： 010-********

移动电话： 159*****783/138*****697

十、监督部门联系方式

项目监督人： 徐先生

办公电话： 010-********

移动电话： 173*****960

二〇二三年十一月二十一日

,北京市,海淀区