吉林省公共资源交易中心
(吉林省政府采购中心)
采购合同
合同编号:SJL-JZ********00013GKXMHT1
签订地点:吉林省长春市人民大街9999号
签订日期:2019-11-25
采购任务通知书编号:项目采购X[********]-2098号
长春理工大学需求的校园网服务项目经吉林省公共资源交易中心(吉林省政府采购中心)以编号为JLSZC********8的磋商文件在国内公开磋商,磋商小组评定 北京神州绿盟科技有限公司为成交供应商。供需双方按照《中华人民共和国合同法》和有关法律法规,遵循平等、自愿、公平和诚实信用原则,同意按照下面的条款和条件订立本合同,共同信守。
1.合同标的:
| 序号 | 货物名称 | 品牌型号/服务内容 | 详细配置及主要技术参数(服务具体要求) | 数量 | 单价(元) | 小计金额(元) |
| 1 | 网络安全服务 | 网络安全服务 | 网站安全监测服务:1、提供Web漏洞监测与扫描能力:每个月可以对所监测的网站进行一次Web漏洞的扫描与检查.2、提供7*24小时远程事件值守服务,包含站点的DNS解析监测、3、提供50页面内的挂马、黑链、篡改、敏感内容监测。交付物:《远程漏洞扫描报告》《安全事件报告》安全评估服务:对重要信息系统进行安全漏洞扫描,对目标系统的主机操作系统、中间件、数据库、应用程序等漏洞进行安全评估。详细内容包括但不限于:1、版本漏洞,包括但不限于IOS存在的漏洞,涉及包括所有在线网络设备及安全设备。2、开放服务,包括但不限于路由器开放的Web管理界面、其他管理方式等。3、空弱口令,例如空/弱telnet口令、snmp口令等。4、域名系统:ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞,Microsoft Windows DNS拒绝服务攻击,……5、路由器:Cisco IOS Web配置接口安全认证可被绕过,Nortel交换机/路由器缺省口令漏洞,华为网络设备没有设置口令,……6、操作系统(包括Windows、AIX和Linux、HPUX、Solaris、VMware等)的系统补丁、漏洞、病毒等各类异常缺陷,……7、系统漏洞:System V系统Login远程缓冲区溢出漏洞,Microsoft Windows Locator服务远程缓冲区溢出漏洞,……8、应用程序(包括但不限于数据库Oracle、DB2、MS SQL,Web服务,如Apache、WebSphere、Tomcat、IIS等,其他SSH、FTP等)缺失补丁或版本漏洞检测,……9、数据库软件:Oracle tnslsnr没有设置口令,Microsoft SQL Server 2000 Resolution服务多个安全漏洞,……根据安全评估报告提供可操作的安全整改加固方案以及安全优化建议,消除系统内存在的风险。辅助工具:品牌:绿盟 工具型号:绿盟远程安全评估系统 RSASNX3-VM产品同时具备web扫描能力和系统漏洞扫描能力;标准1U设备, 1*RJ45串口,1*GE管理口,6个10M/100M/1000M自适应以太网电口扫描口,1个接口扩展槽位。服务成果:《长春理工大学系统安全漏洞扫描报告》。报告中,对此次扫描服务范围内的安全状况进行一个整体概述,对主机系统,网络设备,开放服务和漏洞情况进行一个统计。还包括弱口令,每个主机的安全扫描报告。以上内容通过表格,饼状图,柱状图直观地表现漏洞情况和安全情况。评估人员根据漏洞扫描的结果针对每个漏洞进行详细描述,描述内容至少包括了漏洞厂商、威胁目标、危险级别、危害描述、检测依据以及提供的详细解决方案等。除此之外,评估人员结合检测目标的具体应用提出深层次的安全建议,为长春理工大学管理人员的后期维护提供参考。交付物:《安全漏洞扫描报告》基线配置检查服务:对重要业务系统的主机、网络设备和安全设备进行安全配置检查,并对安全问题进行跟踪,发现主机、网络设备或安全设备配置层面存在的安全隐患。信息系统的网络设备、主机、数据库、中间件、应用软件的安全策略是安全配置检查的主要对象。安全策略的作用是为网络和应用系统提供必要的保护,其安全性也必然关系到网络和应用系统的安全性是否可用、可控和可信。通过安全配置检查可以发现这些设备和安全系统是否存在以下问题:1、是否最优的划分了VLAN和不同的网段,保证了每个用户的最小权限原则;2、内外网之间、重要的网段之间是否进行了必要的隔离措施;3、路由器、交换机等网络设备的配置是否最优,是否配置了安全参数;4、安全设备的接入方式是否正确,是否最大化的利用了其安全功能而又占系统资源最小,是否影响业务和系统的正常运行;5、主机服务器的安全配置策略是否严谨有效。6、是否配置最优,实现其最优功能和性能,保证网络系统的正常运行;7、为网络提供的保护措施是否正常和正确;8、是否定期升级或更新;绿盟公司安全工程师在实施安全配置检查服务过程中,严格按照安全服务的流程,现场工作结束后,完成安全配置检查报告,提交给长春理工大学。安全配置检查报告包括工作基本任务描述、工作相关人员、时间、地点、范围、内容等多方面内容,并对被检查信息安全配置进行客观的评价,对存在安全隐患或配置缺失的部分给出有针对性的安全修补建议及配合完成优化辅助工具:品牌:绿盟 工具型号:绿盟远程安全评估系统 RSASNX3-VM1、配置核查工具成熟,经过三年以上市场应用检验已提供证明材料。标准1U设备, 1*RJ45串口,1*GE管理口,6个10M/100M/1000M自适应以太网电口扫描口。2、支持虚拟化设备配置彻查,包括Hyper-V、VMWare ESXi、VMWare vCenter、XEN、XenServer配置核查。已提供功能截图。3、具备除通用检查规范外,还具备多个其他行业的检查基线规范,作为检查参考。已提供功能截图。交付物:《安全配置检查报告》渗透测试服务:提供成熟的渗透测试方案,保证渗透测试实施过程中不影响业务系统正常运行。提供完整地模拟黑客使用的漏洞发现技术和攻击手段,对目标网络、系统、主机、应用作深入全面的渗透测试,取得系统安全风险的真实证据。交付物:《渗透测试报告》安全保障服务:安全保障服务是指在2019年-2020年期间国家举办重大会议期间的安全保障服务,如往年举办的G20峰会、十九大会议等国家级别的重大会议举办期间安全服务专家配合我单位的工作人员来完成安全保障服务工作,会议前举办期间对重要业务系统进行安全检查类服务、保障期间专家人员驻场服务,处置安全事件服务,有效的保障系统安全稳定运行。交付成果:输出《系统漏洞扫描报告及加固方案》、《安全策略优化报告》等其他检查类服务报告。重大活动保障期间每天输出《安全职守日报》、《安全职守周报》、《故障处理报告》等其他有必要输出的安全防护类报告。应急响应服务:提供应急响应服务,在接到应急响应服务请求后,安全专家依据安全事件的分类和应急响应的目标,及时提供远程或现场应急响应,协助客户进行有效的应急处理,包括:对安全事件进行起因分析、取证追查、后门检查、漏洞分析、数据收集和数据分析;安全事件抑制、消除和恢复;恢复系统正常;安全事件总结与分析等。主要提供已发生安全事件的事中、事后的取证、分析及提供解决方案等工作。完成下列类型安全事件的应急响应支持:应用服务瘫痪问题网络阻塞、DDoS攻击问题服务器遭劫持问题系统异常宕机问题恶意入侵、黑客攻击问题病毒爆发问题内部安全事故……应急响应服务事件处理流程主要分为三个阶段,包括事件初期、应急响应实施及输出报告与汇报。交付物:《应急响应报告》日常安全运维服务:安全策略优化:1、防护策略设计;2、安全设备配置规范设计定期风险评估:1、定期漏洞扫描;2、定期主机配置核查; 安全监控:1、安全设备巡检;2、安全日志分析;3、安全事件处置提供驻场工程师1人驻场运维服务,主要工作内容:安全策略优化:防护策略设计;安全设备配置规范设计;定期风险评估:定期漏洞扫描;定期主机配置核查;安全监控:安全设备巡检;安全日志分析;安全事件处置,根据用户需求定期输出工作报告。安全保障辅助工具:WEB应用防护系统 品牌:绿盟 工具型号:绿盟WEB应用防护系统 WAFNX5-CH5650产品自主可控,标准机架式2U万兆级别专业硬件设备,含交流冗余电源模块,提供2*USB接口,2*GE管理口,1*RJ45串口,4*GE电口 (BYPASS) ,4千兆SFP插槽,2万兆SFPP插槽(含光纤接口模块)1个接口扩展槽位。硬盘1T。网络吞吐量:20G,最大并发连接数:180万,每秒最大事物处理数:18万。1.运维响应快速,针对策略误报或其他特殊业务出现得策略不匹配现象,支持对安全策略的一键式例外配置,已提供功能截图。2、支持敏感信息过滤,对用户的个人隐私信息(信用卡卡号、手机号、身份证号码)泄露进行检测、阻断或替换,已提供功能截图。入侵防护系统 品牌:绿盟 工具型号:绿盟网络入侵防护系统 NIPSNX5-CH5560标准机架式2U万兆级别专业硬件设备,提供2*USB接口,1*RJ45串口,2*GE管理口,2万兆SFPP插槽(含光纤接口模块),4个千兆SFP光口,2个扩展插槽。吞吐量:20G,最大并发连接数:800万,新建连接数:40万。1T SATA硬盘。1.系统具备攻击快照功能,详细记录触发告警的数据特征,以便做进一步的事件分析,已提供功能截图。2.系统提供策略模板,减少配置工作量,提高部署效率。3.系统提供灵活的流量管理功能,可以根据用户、应用、目的IP地址、时间及带宽等因素,实现基于应用、面向对象的流量保护策略,已提供功能截图。4.通过流量许可和优先级控制,阻断一切非授权用户流量,并结合最小带宽保证、最大带宽限制、会话限制和每IP设置等功能,有效保证关键应用全天候畅通无阻,已提供功能截图。大数据安全分析平台 品牌:绿盟 型号:大数据安全分析平台BSA收集学校各种安全数据,利用大数据技术结合威胁情报进行集中处理、关联分析,再利用可视化技术,将各种安全事件进行可视化呈现,为安全运营提供可靠的信息数据支撑。网站安全态势感知,可以及时监控到网站漏洞情况,发现网站挂马、网页篡改、域名劫持等黑客攻击行为,对网站平稳度、网站敏感内容等进行持续监控;网络入侵态势感知可以分析黑客入侵得 “杀伤链”(Kill Chain)和“攻击树”(Attack Tree)等相关环节进行实时事件展示。 | 1 | 525000 | 525000 |
备注:本合同中详细配置及主要技术参数(服务具体要求)以评标时供应商投标文件为准。
2.合同价格:525,000.00元,¥:伍拾贰万伍仟元整。
3.交货/服务时间、地点、方式
3.1交货/服务时间:合同订立后15天。所有货物安装调试完毕、验收合格并交付给需方的日期为交货时间。
3.2交货/服务地点:长春理工大学信息化中心
3.3交货/服务方式: 供方负责将货物安全完好运抵交货地点、安装调试并保证验收合格(供方负责按需方要求提供全部服务并保证验收合格)。
4.付款方式
4.1供方交货/提供服务时应提交下列文件:销售发票[发票抬头格式:需方单位名称],国家有关质检机构出具的检验报告或证书(如果合同约定有的话),进口产品的报关文件(如果合同约定有的话),制造厂商出具的质量检验证书、产品合格证等。
4.2财政付款:验收合格20日内一次性支付政府采购项目资金支付程序,按照国家有关财政资金支付管理的规定执行。
4.3自行付款:本合同中总价款中由采购人自行支付的部分,采购人承诺无。
5.履约保证金
5.1在签署本合同之前,供方应向需方提交合同总价5%的履约保证金(人民币,取整数位到百元)。履约保证金可以采用银行转账或者银行保函等其他非现金的方式提交。
5.2履约保证金的有效期到供方提交的货物经需方验收合格并交付给需方之日止,以银行转账方式返还,不计利息。
5.3履约保证金由需方在货物验收合格交付后10个工作日内返还。
6.质量保证金:(不收取)。
7.合同补充条款:无。
8.争议解决方式:供需双方达成仲裁协议,向长春市仲裁委员会申请仲裁(向合同签定地人民法院提起诉讼)。
9.合同构成:下列文件构成本合同不可分割的组成部分,与本合同具有同等法律效力:
9.1本合同书;
9.2中标通知书;
9.3磋商文件及澄清、修改、补遗文件;
9.4供方的响应文件及书面澄清、说明、补正文件;
9.5产品样本、样品(样机)、说明书、图纸等有关资料;
9.6吉林省省级政府采购验收报告单;
9.7合同的其它附件。
上述组成合同的文件如有不一致之处,以日期在后的为准。
10.合同份数:本合同一式三份,供需双方、公共资源交易中心各执一份。
11.合同生效:本合同在供需双方法定代表人或其授权代理人签字、加盖双方公章或者合同专用章并且需方收到供方提交的履约保证金后生效。
12.合同修改:除供需双方书面修改、补充协议外,本合同条件不得有任何变化或修改。
| 吉林省公共资源交易中心 (吉林省政府采购中心)
(加盖公章或合同专用章)
地址:长春市人民大街9999号
| 需方:长春理工大学
(加盖公章或合同专用章)
地址:
法定代表人 或授权代理人 签字: 签字日期: 邮政编码: | 供方:北京神州绿盟科技有限公司
(加盖公章或合同专用章)
地址:
法定代表人 或授权代理人 签字: 签字日期: 邮政编码: 电话: 传真: 联系人: 开户银行: 账户名称: 账号: 税号: |
