来源： 发布日期：2024-04-23

一、项目需求

（一）系统主要功能

安全有效性验证平台能有效验证我行安全设备和系统的安全策略是否正确有效，验证是否能够发挥他们的真正作用。

1.基本规则策略有效性验证

可以自动化闭环验证各类安全设备的安全检测规则和服务、告警日志外发、SOC告警接收的全链路有效性状态，确保防御检测规则措施和链路都在有效运转，对于失效点能在24小时内发现和处置。验证场景包括但不限于：NTA、HIDS、蜜罐、WAF、钓鱼邮件、防篡改、终端EDR等。

2.安全防护能力有效性验证

基于各类攻击工具、攻击方式和漏洞利用，自动化验证最新的攻击手段和攻击工具在我行的现有安全设备和检测能力下是否有效防御和检测。确保最新的攻击手段和攻击工具能够在48小时内更新到我行并进行自动化验证。以下为主要的安全验证场景：

2.1边界安全能力验证

支持对于边界应用防护的多种验证场景，包括但不限于：边界防护策略有效性验证、边界防护稳定性验证、边界拦截检测能力验证，帮助实时检查WAF等边界防护设备的策略状态、提升边界应用防护的能力。

2.2流量安全能力验证

支持对于流量安全的多种验证场景，包括但不限于：流量检测策略有效性验证、流量检测稳定性验证、流量检测能力验证，帮助实时检查流量检测的策略状态、提升流量安全检测能力。

2.3主机安全能力验证

支持对于主机安全的多种验证场景，包括但不限于：主机安全策略有效性验证、主机安全检测能力验证，帮助实时检查主机安全的策略状态、提升主机安全检测能力。

2.4终端安全防护验证

支持对于终端安全的多种验证场景，包括但不限于：终端安全策略有效性验证、终端安全检测能力验证，帮助实时检查终端安全的策略状态、提升终端安全检测能力。

（二）系统部署要求

1.平台功能架构

安全有效性验证平台是集安全措施展示、监控与验证于一体的可视化系统，系统应由三部分组成：

1.1安全规测状态验证模块

通过对企业进行攻击模拟验证，确定安全设备及规则检测链路是否正常工作，对重要安全防护措施进行过程验证。

1.2安全检测能力验证模块

自动化模拟攻击验证，在各个攻击平面覆盖全量的攻击手段，结合现有的红蓝对抗、渗透测试等验证安全防护是否真实生效。

1.3可视化展示平台模块

实时动态展示安全有效性验证结果，第一时间掌握安全有效性。展示内容包括防护措施分级、防护措施展示、验证监控结果、失效措施告警等。

2.安全有效性验证平台支持在主流服务器和主流操作系统上的部署。

（三）系统目标

1.验证我行安全设备和系统的有效性。

2.不影响我行系统的正常使用和访问。

3.满足公安部、金融监管总局、人民银行等监管单位的监管要求。

4.报告要求。系统部署上线后提供部署报告，维保期内按月提供运行报告。

（四）其他要求

1.系统部署周期在三个月以内。

2.原厂维保期为三年。

二、报名资格条件

（一）具有独立承担民事责任的能力；

（二）本项目不接受联合体响应；

（三）供应商不得存在的其他情形之一：

1.与采购人存在利害关系且可能影响采购活动公正性；

2.与本采购项目的其他响应方为同一个单位负责人；

3.与本采购项目的其他响应方存在控股、管理关系；

4.被依法暂停或者取消投标资格；

5.被责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照；

6.进入清算程序，或被宣告破产，或其他丧失履约能力的情形；

7.在最近三年内发生重大产品质量问题；

8.被工商行政管理机关在全国企业信用信息公示系统中列入经营异常、严重违法失信企业名单；

9.在“信用中国”网站（www.creditchina.gov.cn）中失信被执行人名单；

10.所属行业属于“两高一剩”行业；

11.法律法规规定的其他情形。

（四）软件系统（平台）须获得的公安部颁发的销售许可证（安全有效性验证相关）或者CCRC颁发的安全认证证书（安全有效性验证相关）。

（五）软件系统（平台）的产权人（开发商）仅能委托一个代理商参加本项目报名响应；产权人（开发商）和代理商不能同时参加同一软件系统（平台）项目的报名响应。产权人（开发商）和代理商同时参加本项目报名响应的，以及产权人（开发商）同时委托两个及以上代理商参加同一软件系统（平台）项目报名响应的，报名响应无效。

（六）具有履行合同所需的服务和专业技术能力。

三、提供资料清单

（一）具有独立承担民事责任的能力；企业应提供合法有效的营业执照；非企业的其他组织，应提供其对应的非企业登记证书或批文或相关证明。

（二）提供企业诚信声明及承诺（格式自拟）

1.参加本次采购活动，非联合体投标；

2.提供供应商不得存在的其他情形之一的承诺，内容应包括上述十一条；

3.对所提供资料的真实性承诺。

（三）公安部针对软件系统（平台）颁发的有效的销售许可证（安全有效性验证相关）或者CCRC颁发的有效的安全认证证书（安全有效性验证相关）。

（四）报名响应方为软件系统（平台）的产权人的，须提供提软件系统（平台）产权的证明资料；报名响应方为软件系统（平台）代理商的，除提供软件系统（平台）产权的证明资料外，还须提供产权人针对本系统（平台）的授权文件。

（五）提供1个2021年1月1日以后签订的，该软件系统（平台）的类似项目实施案例（提供合同复印件）。

注：“类似项目实施案例”指合同中涉及对安全设备的有效性进行验证的相关内容。

（六）项目需求偏离表

供应商保证：除项目需求偏离表列出的偏离外，供应商满足项目需求的全部要求（响应方仅对存在差异的内容进行填写；未填的视为无差异，视为响应方满足本项目全部要求）。

注：本项目不允许负偏差，供应商应当对项目需求作出满足性或更有利于采购人的响应。

（七）提供供应商基本信息：

1.供应商名称：

2.主体类型：【法人/非法人+组织/自然人（个人工商户）】

3.统一社会信用代码：

4.联系人：

5.联系人手机：

6.联系人邮箱：

7.通过哪种渠道或网站获知的公告信息：
□ 重庆农商行官网
□ 其他渠道或网站（请具体列明何种渠道或网站，如：中国招标与采购网/中国采招网/招采网/千里马/乙方宝......）

8.可自行添加其他基本情况介绍。

注：上述报名资料请各报名供应商按顺序编制，其中（一）至（六）项，属于必备项，是报名资料的必须组成部分，缺失其中之一的，则视为报名资料不合格。

四、资料递交要求

（一）按顺序将报名资料加盖公章后，制作成一个PDF格式电子文件（PDF电子文件需进行压缩，压缩文件大小应控制在50M范围内）。

（二）报名文件命名应由公司名称+项目名称组成（如：**公司**采购项目报名资料）；若文件命名未能体现公司名称和项目名称，或者文件命名公司名称和项目名称有误，导致报名资料无法识别，视为审核不通过。

（三）报名文件内容须完整且清晰可鉴，因文件内容不完整、不清晰，影响审核要素的，视为审核不通过。

（四）提供虚假资料，经查证属实的，采购人有权取消参与资格。

收件邮箱/收件地址：【houyp@cqrcb.com】

联系人： 【厚女士】 【田先生】

联系电话：【023-********】【023-********】

收取资料截止时间：【2024】年【4】月【28】日【17：30】分，逾期递交的资料或以其他方式报名的不予受理。对审查未通过的报名供应商，不再另行通知。

重庆农村商业银行股份有限公司

2024年4月23日