中车戚墅堰机车有限公司对外发布应用系统云安全防护服务项目

询比价招标公告

中车戚墅堰机车有限公司现对对外发布应用系统云安全防护服务项目组织招标，欢迎符合条件的投标人参加投标。
1.项目名称：对外发布应用系统云安全防护服务项目

2. 项目编号：********
3. 招标内容：对外发布应用系统云安全防护服务项目

资金来源：自筹

项目预算：4.8万（人民币）
4.投标人资格要求

4.1投标人必须是中华人民共和国境内注册并合法经营的法人或其他组织，经营范围涵盖本招标内容；

4.2投标人公司注册资金不得低于600万元；须具有与本次标的相类似的供货经验，提供2019年以来的相关合同业绩证明(不少于2份)；

4.3投标人须提供营业执照、组织机构代码证及税务登记证影印件（或三证合一营业执照影印件）；

4.4投标人须提供近3年内无严重违法失信公示信息截屏资料(企查查或天眼查）；

4.5投标人应有良好的财务状况、银行信用和商业信誉，没有处于财产被接管、破产或者其他关、停、并、转状态，需提供近两年（2022年和2023年）的财务报告；

4.6投标人须能开具各类产品对应税率的增值税专用发票；

4.7本项目不接受挂靠、分包、转包、联合体单位参与投标；

4.8本项目不接受不同单位为同一法人或者存在控股、管理关系的不同单位同时参加。

4.9本项目原则上需由原制造商参加投标；制造商实行区域经销商代理制的，经销商需提供法律关系的市级区域代理证明；禁止区域经销商再委托其他代理商参加投标；

5.招投标流程：

招投标流程：招标公告发布→投标报名→资质审核通过→标书购置费缴纳→招标文件发放→投标文件提交→开标。

6.投标报名

6.1 满足本公告第4条（投标人资格要求）有意向的潜在投标人可参与报名，报名前须将本公告第4条（投标人资格要求）中所要求的影印件(影印件加盖公章（红章））发送至邮箱010*****4452@crrcgc.cc，联系人：刘剑峰，

联系电话：0519-********，由本公司招标工作组对投标人资质进行投标资质审核，通过审核后方可完成报名。

6.2 自本公告在中车戚墅堰机车有限公司门户网站（www.crrcgc.cc/qsy）之日起3个工作日内，逾期不予受理。

7.投标保证金

7.1 投标保证金的金额：无；
7.2 递交投标保证金的时间：无；

7.3 未按照要求缴纳投标保证金的投标人将无获取竞标文件资格；

8.招标文件发放

8.1招标文件发放时间：自资质审核通过起，每天上午9:00至11:30，下午13:30至16:30，未完成报名及递交投标保证金的投标人将不被授予招标文件；

8.2 招标文件售价人民币0元整（只接受投标人电汇，注明招标编号，项目名称，项目标书费，并传真汇款凭证，招标文件售后不退，标书购置发票在开标时出具）；

标书购置费汇款账户信息：

单位名称：中车戚墅堰机车有限公司

税号：913*****663*******

开户银行：工行常州经济开发区支行

账号：110*****090********

单位地址：江苏省常州市延陵东路358号

电话：0519—********

8.3 未按规定获取的竞标文件不受法律保护，由此引起的一切后果，投标人自负。

9.投标文件的递交

9.1 递交投标文件时间：以招标文件为准；

9.2 递交投标文件地点：中车戚墅堰机车有限公司招标中心（地址：江苏省常州市延陵东路戚厂工房二区18号）；

9.3 开标时间：以招标文件为准，逾期递交或者未送达指定地点的投标文件不予接受。

10.交货期及付款方式：按合同履行。
特别提醒：请投标人在购买招标文件前务必先以邮件或电话的方式与联系人取得联系，以便及时沟通及获取详细信息。
联系人：刘剑峰
电 话：139*****711
E-mail：010*****4452@crrcgc.cc

本公告在中车戚墅堰机车有限公司门户网站（www.crrcgc.cc/qsy）发布。

中车戚墅堰机车有限公司

资产管理部

2024年9月25日

附技术要求

1. 概述

通过云安全防护系统的使用，云安全防护系统中车戚墅堰机车有限公司（以下简称公司）能够满足对外应用发布系统安全防护需求，引入云安全防护系统及相关安全服务，可以有效提升公司互联网发布应用系统的安全防护能力，保护公司网络入口安全。

2. 总体要求

通过云安全防护系统的安全服务，能够主动加强互联网网站和系统的实时动态防御，保障公司对外发布应用的安全，建立常态化监测防御、预警通知与应急保障，为公司对外系统承担安全防护、攻击溯源、安全加速和抗DDoS和抗CC攻击的作用，提升现有安全防护体系的能力：当应用遭受大规模DDoS、CC攻击时，能有效保障平台站群内所有应用的正常访问；同时针对互联网各类型攻击防护，攻击工具识别、WebShell防护、防御联动、Web防火墙功能、后台锁、防盗链、缓存黑白名单等能够有效防护；增加实时攻击预警和通知服务，使系统管理和维护人员能够实时获取平台站群内所有业务访问的安全状况；实现在线网站安全专家的7*24小时应急响应，以及发生网络安全事件时进行驻场服务。

3. 技术要求

3.1 本次采购的云安全防护服务须为公司对外应用发布系统提供不少于1个主域名（www.crrcqs.com）4个子域名的安全防护和服务。安全服务内容包括五部分：DDoS/CC攻击云安全防护服务；WEB攻击防火墙云防护；攻击溯源；预警通知服务；应急保障服务。

3.2 针对此次采购的云安全防护服务，需要提供原厂一年服务。

4. 采用的云防护平台参数要求

供应商在进行系统及安全服务报价时，应同时提供所需云平台及安全服务清单，并进行报价。该报价是采购的重要组成部分，可作为后续采购的依据，供应商应具有以该报价提供的安全服务能力。

为公司对外应用发布系统提供不少于1个主域名（www.crrcqs.com）4个子域名的安全防护和服务。安全服务内容包括五部分：DDoS/CC攻击云安全防护服务；WEB攻击防火墙云防护；攻击溯源；预警通知服务；应急保障服务。

4.1、DDoS/CC攻击云安全防护服务，具体功能要求及参数如下：

（1）要求网站正常访问带宽不低于2G，能够抵抗DDoS/CC攻击流量峰值不低于每秒50G，保证网站的可用性；

（2）要求能够防御每小时CC攻击不少于300IP，保证网站能正常使用；

（3）具备HTTPGETflood、HTTPPostflood、HTTP代理型攻击、慢速攻击、连接耗尽攻击、空连接攻击、SIPflood等的防护；

（4）支持对欺骗与非欺骗的TCP、UDP、ICMP及混合类型攻击的防护；

（5）支持对防护的网站进行管理，包括：防御配置、站点的增删、站点IP地址的修改等，提供相关的证书或截图证明；

（6）要求国内外云防护集群节点IP段≥28个、线路类型≥70个，且覆盖移动、电信、联通国内三大主流运营商；

（7）可隐藏被防护网站的真实IP，提供截图证明，故障处理速度小于20秒；

（8）可提供网站实时攻防展示功能，以动态地理信息图等方式展示包括攻击IP所在地、被攻击IP所在地、目标端口、攻击方法等信息，并提供文本信息；支持展示DDoS总攻击次数、攻击流量、CC攻击次数和CC攻击IP数；支持展示CC攻击实时动态，包含攻击时间，攻击IP，攻击IP所在地，被攻击URL；分别支持展示CC攻击和URL限速的历史报表展示，包含具体时间、受攻击域名、攻击者IP、攻击IP归属地、攻击次数以及处理结果；支持显示机器识别的拦截展示，显示开启CC防护和CC拦截的防御效果，提供截图证明；

（9）提供7*24小时的安全专家服务咨询、故障受理、现场应急响应处理等服务，并能及时反馈处理进展。

4.2、WEB攻击防火墙云防护，具体功能要求及参数如下：

（1）能有效防止SQL注入、命令注入、跨站脚本、代码执行、文件包含、远程命令、特殊攻击、恶意采集、WEB服务器漏洞防护、路径遍历、文件保护、防篡改、防盗链、缓冲区溢出、防扫描等Web攻击。为了获取大量的互联网漏洞数据，要求具备安全漏洞平台的计算机软件著作权证书，提供证书扫描件或影印件；

（2）能识别Web攻击者的IP所在地区，能够根据安全需求对某区域IP进行阻断。可以识别用户对网站的访问是否为攻击行为，若判断为攻击行为，支持阻断其所有通过云防护平台进行的访问；

（3）对使用WebShell进行攻击尝试和试图访问WebShell的IP地址支持屏蔽，并支持屏蔽时间的设置；

（4）能识别出各种Web扫描器的自动化扫描和攻击行为，并进行阻断，提供截图证明；

（5）支持对防护的网站进行管理，包括：防御配置、站点的增删、站点IP地址的修改等，要求具备国家知识产权局颁发的《网站管理系统及其方法》的证书，提供证书扫描件或影印件；

（6）为了满足业务需要，要求能够对网站除80、443以外的非标准端口提供防护，并可以自助配置，提供管理平台自助设置的截图证明；

（7）为了满足业务需要，要求能够支持的http协议防护端口不少于300个，https协议防护端口不少于100个，提供防护平台端口支持统计表的截图证明；

（8）能根据IP地址，建立黑名单库或白名单库，阻止或者允许特定IP进行访问，支持禁止非授权IP访问网站后台管理地址或重要页面，提供截图证明；

（9）支持提供网站安全报表，能够实时展示网站的总请求数、总流量、网站浏览人数、搜索引擎次数、缓存率和遭攻击次数，并能支持统计每小时网站的总请求数、总流量和网络浏览人数等，提供截图证明；

（10）支持查看网站WEB应用攻击统计，实时展示WEB应用攻击次数、WEB应用攻击IP数，支持展示高危攻击和低危攻击的比例。支持展示攻击地域分布，并展示地域对应攻击的攻击量和攻击量占比，提供截图证明；

（11）支持查看总攻击次数以及各攻击类型的攻击的次数。攻击类型包括：恶意扫描、xss跨站、文件注入、代码执行、文件包含、cc攻击、远程命令、SQL注入、webshell、恶意采集、特殊攻击，提供截图证明；

（12）网站防护系统中，支持对黑客扫描尝试或定点攻击进行实时展示，内容至少包括攻击时间、攻击网址、攻击IP、IP归属地、攻击类型、攻击次数和处理结果等，提供截图证明；

（13）支持微信或短信等实时告警，能够实时推送每天网站总请求数、总流量、网站浏览人数、遭受攻击次数等；

（14）能够提供实时攻击视图，视图支持中国地图显示和全球地图显示。实时攻击视图中，要求实时显示内容至少包括：TOP5攻击来源国家，TOP3攻击来源国内IP，TOP3攻击来源国外IP，攻击类型，实时攻击数据等，提供截图证明；

（15）支持检查网站内容，如敏感信息、反动言论和淫秽内容，提供反信息网络诈骗平台的《计算机软件著作权登记证书》证书扫描件或影印件；

（16）支持资源独享，不受其他用户影响，稳定性有保障；

（17）根据《网络安全法》需留存网站访问的日志，需提供日志下载功能，并区分原始日志，攻击日志和CC攻击日志下载，提供截图证明；

（18）提供7*24小时的安全专家服务咨询、故障受理、现场应急响应处理等服务，并能及时反馈处理进展。为了保证服务的稳定性和安全服务的统一性，要求DDoS和CC攻击云防护、网站安全加速、WEB攻击云防护为同一品牌。供应商在进场服务前向采购人提供云防护功能现场演示。若供应商无法在规定时间内进行演示或演示云防护的相关功能不能满足招标文件要求的，按照虚假响应处理，并依法上报监管部门处理。

4.3、攻击溯源

当公司对外发布应用系统受到攻击后，能提供攻击溯源报告，正确分析网络安全攻击事件，为后期应急处置提供指导意见。

4.4、预警通知服务

提供电话、短信或微信等攻击预警和通知服务，提供实时监测。遇到重大网络安全事件，要求在10分钟内电话通知到安全管理人员。

4.5、应急保障服务

在公司网络安全重大保障活动或网络安全应急演练期间，必须1小时到达现场，并提供良好的应急保障现场服务。

5. 技术支持及服务

8.1 供应商应提供优良的技术支持服务方式，保证提供给用户的软硬件能正常运行。对用户提出的邮件应在2小时内予以答复，若系统出现无法登陆或其它异常，应在1小时内到达现场。

8.2 质保期内，供应商应提供每年不少于4次的系统的巡检服务和策略优化服务。

8.3 当公司出现网络和安全架构调整时，供应商应提供及时的系统配置、架构和策略的调整服务。

6. 其他事项

供应商应按公司的保密管理程序，与公司签订保密协议，对服务过程中所涉及到的所有资料、图纸、报表、文档、数据保密。

以下无正文