beat365手机版官方网站(以下简称采购人)拟对beat365手机版官方网站网络安全专项保障项目,以比选方式进行择优选定服务商,现邀请各合格的小微企业前来参加报价比选。
一、基本情况
1.项目名称:beat365手机版官方网站网络安全专项保障项目
2.采购人名称:beat365手机版官方网站
采购人地址:北京市海淀区清河西三旗
项目地点:北京市大兴区清源路甲一号
采购人联系方式:010-69241644-8081,13311572509
3. 项目基本情况:
为进一步落实《网络安全法》和信息安全等级保护制度,重点对重要网络设备、核心业务系统提供网络安全保障服务,服务期限为1年。做好学院网站群和业务系统日常巡检、监测、日志收集审计和风险评估工作。在重要活动期间通过驻场服务确保信息系统安全稳定运行,若遇重大安全事件,能够提供及时应急响应技术保障和事件回溯分析服务。编写提交网络安全运行情况报告,记录学院信息安全运行情况,对现有安全设备进行安全规则库升级订阅、提供安全态势感知安全运营服务、针对服务器终端杀毒、应对信息安全等保检查、恶意代码排查等,确保各项业务工作安全稳定的开展。
同时结合学院网络安全实际情况,协助修订并完善符合beat365手机版官方网站实际情况的安全管理制度,做好安全培训工作,在完善信息系统技防的同时,提升人员安全防范意识和技术水平,做到技防和人防结合,助力提升beat365手机版官方网站网络安全工作。
4.采购预算控制价:37.85万元
5.主要提供服务内容及相关要求:
(1)采购需求清单(注:服务频次为最低标准,不可低于该频率)
序号 |
类别 |
服务需求 |
数量 |
服务频率 |
1 |
安全运营服务-监控与防护 |
安全运营-在线检测评估及安全联动服务 |
1.支持对目标站点提供7×24小时网页敏感词检测。发现网页敏感词事件第一时间通过微信或邮箱通知用户,监测内容能够在报告中进行呈现; 2.对目标站点的关键页面进行实时篡改监测,分钟级篡改发现,第一时间通过微信或邮箱进行实时告警,并提供主动电话告警; 3.支持整站内容进行篡改监测,梳理并在首页展示站点结构图,显示网站各节点是否存在被篡改事件; 4.支持对目标站点提供7×24小时网页黑链监测能力。发现网页黑链事件第一时间通过微信或邮箱通知用户,监测内容能够在报告中进行呈现。 5.支持以微信或邮箱的方式对篡改、挂马、网站不可用等安全事件进行实时告警,支持微信端内容的及时推送; 6.支持提供可视化的篡改监测界面,首页可直观展示篡改监测过程和监测结果,如正在监测哪一个页面,历史监测页面的安全状况等,便于实时掌握业务风险情况; 7.网站篡改事件应支持查看“举证图片”, 管理人员可通过微信及web登录界面,直观查看被篡改内容,便于第一时间掌握被篡改的情况; 8.支持每月定期进行网站安全评估,并生成安全评估报告,报告应至少包含扫描站点信息、风险分布情况、漏洞的风险描述、影响范围、解决方案和具体的攻击举证进行详细的展示; 9.具备网端云协同联动功能,提供权威机构关于“网端云协同联动”产品功能检测报告。 10.支持对检测到的攻击行为按照IP地址的地理位置信息进行威胁信息动态展示,实时监测和展示最新的攻击威胁信息; |
1 |
每个二级域名/年(每个网站系统视为一项)、5个域名 |
2 |
安全运营-托管式安全防护 |
1.支持对目标站点提供7×24小时网页黑链监测能力。发现网页黑链事件第一时间通过微信或邮箱通知用户,监测内容能够在报告中进行呈现; 2.支持快速发起内容安全检测,发现网页中出现的敏感词、错别字、违禁图片内容;可以对所有的违禁页面进行展示,一键封堵、一键恢复违禁页面;支持自定义敏感词; 3.支持安全替身及永久在线,即当网站因为服务器故障、线路故障、电源等问题出现无法连接时,可自动替换为云防护节点中的缓存页面,所有访问均为缓存页面。支持一键开启、一键关闭; 4.当网站出现紧急安全事件时,可以通过展示平台界面完成一键关停,防止产生恶劣影响(提供截图证明并加盖投标单位公章) 5.支持一键关停和一键维护中,当业务被篡改时,自动替换为断网或维护中页面;一键断网:对选业务断网处理,外网用户将无法访问,;一键维护中:将对所选业务页面替换为维护中页面 6.通过信通院 IPv6支持度检测,达到运营及网络地址翻译(NAT)技术要求NAT64 7.支持对特定URL的IP请求频率进行自定义限速设置,防止CC攻击、秒杀防刷 8.支持以微信公众号的方式对篡改、网站不可用等安全事件进行实时告警,支持微信端内容的及时推送 9.支持对攻击者IP地址、归属地,攻击事件的描述及危害等级、影响的业务范围、攻击的时间范围等维度进行直观的展示 10.支持提供风险处置、攻击详情以及漏洞详情操作界面,实时查看风险状态,以便及时调整安全策略 |
1 |
每个二级域名/年(每个网站系统视为一项)、5个域名 |
3 |
安全运营服务-业务系统安全 |
系统风险评估 |
对所有应用系统进行安全风险评估服务:业务系统运营中,针对业务系统可能存在的安全问题提供风险评估服务。该服务一般包括全面的技术评估和管理评估,形成评估结论,为信息系统建设规划提供依据和建议。根据工作内容提交相应的风评报告、解决方案等,针对学院的风险评估要有针对性。对于发现的问题整改后要进行复查。 |
1 |
1月/次 |
4 |
新建系统上线检查 |
服务期内针对新建业务系统以及有重大变更和升级改造业务系统进行上线前和对外发布前的安全检测。针对检查出的漏洞需给出详细、完整的整改方案,业务系统整改完成后要进行复测 |
1月/次 |
5 |
安全巡检和建档 |
所有校区机房网络设备、安全设备以及校园网。针对学院核心机房和信息系统安全状况定期进行检查和建档,监测安全策略配置是否被变更、变更情况是否影响安全防护水平,针对发现的隐患在巡检提供相应的安全防护解决建议,并指导实施。 |
1月/次 |
6 |
基线核查 |
通过专用工具,集中对学院进行全部资产管理、对安全设备、网络设备进行安全配置核查。针对学院提供符合现状的安全基线标准,针对建立的安全基线定期进行网络安全的核查和安全基线的优化。 |
1月/次 |
7 |
漏洞扫描 |
对学院的主机、数据库、网站系统进行定期的扫描,检查当前IT环境中存在的安全漏洞,并提供整改建议。对学院的主机、数据库、网站系统进行定期的扫描,检查当前IT环境中存在的安全漏洞,并提供整改建议 |
1月/次 |
8 |
安全加固服务 |
针对风险评估发现的安全隐患和漏洞以及上级单位通报的安全漏洞等进行加固整改。安全加固:系统安全加固是指通过一定的技术手段,提高操作系统或网络设备安全性和抗攻击能力,经过加固的系统或设备,除了免除现有安全漏洞的威胁外,系统的抗攻击性也会有极大的增强,提供安全加固建议,以及安全加固方案。 |
1月/次 |
9 |
安全设备日志分析服务 |
机房、网络设备、应用系统的产生安全日志。针对所有安全设备和业务系统的日志进行定期检查,并根据检查结果进行总结报告。为安全加固提供依据。 |
1月/次 |
10 |
策略检查 |
机房、网络设备、应用系统。安全策略检查:针对IT环境中的服务器、网络设备、安全设备进行策略检查,并根据检查结果提供改进建议 |
1月/次 |
11 |
安全通告 |
为学院提供最新的安全动态、技术和定制的安全信息,包括实时安全漏洞通知、病毒、补丁升级、定期安全知识库更新等 |
不限次 |
12 |
安全运营报告 |
安全运营报告:定期总结阶段性安全运营情况发送给学院,形成安全自检的背书。安全运营报告:定期总结阶段性安全运营情况发送给采购人,形成安全自检的背书。 |
1月/次 |
13 |
流量数据分析 |
通过自带专用工具,采用自动化或半自动化的方式,对beat365手机版官方网站重要网络设备和核心业务系统,提供多维度统计分析。数据分析结果应包括但不限于:采购人的设施安全存在的问题,网络安全状况、安全事件、漏洞事件、异常流量、安全管理制度建设情况、安全状态评估、安全检查结论及整改建议等。 |
1月/次 |
14 |
渗透测试 |
学院信息应用系统渗透测试通过现场或远程方式对采购人的内部系统、外部网站进行各种安全渗透测试,找出测试目标存在的安全问题,提出可操作的问题修补建议。 |
1 |
1年1次 |
15 |
安全运营服务-应急响应服务及重保服务 |
应急安全监控 |
应急安全监控:当发生安全事件时候,对网络中的流量进行监控,实现网络可视化,发现异常流量和恶意流量 |
1 |
服务期内不限次 |
16 |
快速响应 |
快速响应:突发性安全事件发生时,第一时间进行响应,帮助学院及时解决 |
服务期内不限次 |
17 |
重点保障 |
针对学院重点保障时间点的信息安全服务,重点保障前进行网络安全检查、重点保障期间每天进行远程安全检查,根据学院要求进行安全策略调整。 |
学院指定各重点保障时间点 |
18 |
安全事件处理 |
安全事件处理:在紧急事件或安全事故发生时,通过安全事件处理消除安全事件威胁,避免和减少事件的损失,打击非法入侵者,健全和改善信息系统的安全措施 |
服务期内不限次 |
19 |
安全运营服务-安全培训及应急演练 |
应急演练 |
根据《应急预案》等制度,制定演练方案并组织应急演练。 |
1 |
1次/年 |
20 |
安全 培训 |
安全管理、安全技术、安全意识等。安全培训:针对信息中心老师技术、管理和政策培训;个人信息安全:针对学院普通师生,培训常规信息安全政策,平时生活信息安全保护手段等; |
1次/年 |
|
网络 宣传 |
每年9月网络安全周,协助组织网络安全宣传 |
1次/年 |
21 |
应用系统证书 |
证书申请安装 |
bjjt.edu.cn一级域名以及下属所有二级域名申请并安装HTTPS证书 |
1 |
1年 |
22 |
安全设备续保 |
对现有的安全设备进行规则库升级订阅 |
对学院的安全设备:防火墙2台、上网行为管理1台、WAF墙1台的URL库更新。 |
1 |
1年 |
23 |
安全态势感知安全运营服务 |
提供安全态势感知设备并进行相关数据分析 |
提供安全态势感知设备一套,包含态势感知设备平台1台、流量采集探针2台和服务期内类型识别库保持最新。根据对资产、信息安全运行状态、业务风险、终端安全等几个维度分析学院信息安全运行情况和高风险预警项,并结合联动处置功能和工程师手工风险处置。提高学院整体安全性。 |
1 |
1年 |
24 |
服务器杀毒 |
针对服务器终端杀毒系统 |
WINDOWS系统和linux系统共平台管理,并能够对中毒设备进行隔离,可与安全他是感知设备联动处置病毒 |
1 |
40个终端/1年 |
25 |
等保系统文档维护 |
应对信息安全等保检查 |
应对信息安全登记报告检查,并协助出具响应文档 |
1 |
1年 |
26 |
安全功能审核 |
安全功能检查 |
安全功能审核内容包括:数据输入输出控制、数据输入输出抗抵赖、数据输入输出完整性检查、数据输入输出可用性检查、数据输入输出保密性保证、操作的正确性验证、数据的恢复、审计生成、会话限制次数、会话终止、系统优先级控制、用户标识和鉴别、用户行为的标识和鉴别、系统连续性鉴别、系统指南文档、密码存取控制、密码管理等安全功能的完备性和有效性检查。 |
1 |
1年 |
27 |
恶意代码排查服务 |
恶意代码排查服务 |
恶意代码排查是对当前操作系统和应用的运行环境进行恶意代码安全检查的过程,该项服务是由具备高技能和高素质的安全服务人员来进行的。通过对当前系统和应用的运行环境,包括可疑文件、可疑服务、可疑进程、可疑端口、可疑的网络连接、网站WebShell后门等内容进行一系列的深入检查和分析,来综合评估当前系统的运行环境安全情况,最终提出切实可行的改进建议的一种安全服务形式。 |
1 |
1年 |
28 |
攻防演练 |
攻防演练 |
面向全学院进行攻防演练展示和信息安全知识宣讲。 |
1 |
1年 |
(2)项目服务范围
列入本次安全服务对象的业务系统和网站一部分系统运行在物理主机上(Windows server操作系统),一部分系统运行在虚拟化环境。投标人提供的安全服务要满足以上两种平台环境,开展监测、巡检、评估和加固工作。
主要应用系统表(包含但不限于)
序号 |
信息系统名称 |
操作系统 |
位置 |
主机或虚拟机数量(台) |
1 |
机房预知性维护平台 |
Linux |
信息中心核心机房 |
1 |
2 |
可视化综合管理平台 |
Linux |
信息中心核心机房 |
11 |
3 |
学院官方网站群 |
Linux |
信息中心核心机房 |
2 |
4 |
招聘系统 |
Linux |
信息中心核心机房 |
1 |
5 |
就业系统 |
Linux |
信息中心核心机房 |
1 |
6 |
自主招生系统 |
Linux |
阿里云 |
1 |
7 |
统一身份认证 |
Linux |
信息中心核心机房 |
2 |
8 |
一卡通应用系统 |
Linux/ Windows server 2008 |
信息中心核心机房 |
12 |
9 |
财务内控系统 |
Linux |
信息中心核心机房 |
2 |
10 |
资产管理系统 |
Windows server 2008 |
信息中心核心机房 |
1 |
11 |
人事管理系统 |
Linux |
信息中心核心机房 |
2 |
12 |
超星教学平台 |
Linux |
阿里云 |
2 |
13 |
钉钉办公平台 |
Linux |
阿里云 |
1 |
列入本次安全服务对象的网络和安全设备包括信息中心核心机房网络和安全设备包括:防火墙、WAF、IPS、上网行为审计、网络审计、交换机设备等。
网络及安全设备汇总表
序号 |
设备名称 |
品牌 |
位置 |
数量(台) |
1 |
负载均衡 |
深信服 |
核心机房 |
4 |
2 |
上网行为管理 |
深信服 |
核心机房 |
2 |
3 |
流控 |
深信服 |
核心机房 |
2 |
4 |
防火墙 |
深信服 |
核心机房 |
4 |
5 |
核心交换机 |
华为 |
核心机房 |
2 |
6 |
SSlVPN |
深信服 |
核心机房 |
1 |
7 |
WAF防火墙 |
深信服 |
核心机房 |
1 |
8 |
IDS内网 |
天融信 |
核心机房 |
1 |
9 |
IDS外网 |
天融信 |
核心机房 |
1 |
10 |
数据库审计 |
天融信 |
核心机房 |
1 |
11 |
虚拟化系统 |
浪潮 |
核心机房 |
1 |
12 |
超融合系统 |
深信服 |
核心机房 |
1 |
列入本次安全服务对象的服务器包括物理主机和虚拟主机两种:物理主机25台,虚拟主机不少于50台。
6.项目服务期:1年。
计划开始日期:2024年1月1日
计划完成日期:2024年12月31日
7.资金来源:财政资金,资金已落实
8.采购方式:比选
二、参与本项目报价比选服务单位及人员资格要求
1.服务商须在中华人民共和国境内注册,具备独立法人资格,能够独立承担民事责任,具有工商行政管理部门核发的有效营业执照。
2.服务商须遵守国家有关法律、法规、规章和中央及地方政府采购有关的规定,具有良好的商业信誉和健全的财务会计制度;
3.服务商须具有设备续保厂家授权书厂家的授权;
4.本项目不接受联合体。
三、报价资料内容及报送要求
1.报价资料内容(包括但不限于):(1)营业执照复印件及服务商法人代表及其被授权人的身份证复印件;(2)设备续保厂家授权书;(3)具有信息安全管理体系认证证书资质;(4)属于小微企业的承诺书;(5)项目实施组成人员清单及相应人员的专业从业证书复印件;(6)企业参与类似项目的合同复印件;(7)报价清单;(8)技术偏离表;(9)整体服务方案;(10)阳光工程承诺书,服务商可提供的其他承诺书;(11)服务商认为需要报送的其他材料。
上述材料复印件均须加盖单位公章。
2.报送方式
参加报价比选文件正本1份,副本1份,并标明“正本”“副本”字样;电子版1份,其中包含word版+盖章扫描后得PDF版本各一份,可单独密封包装也可与纸质版一起封装。
投标材料采用邮寄方式(邮寄封面上需注明“网络安全专项保障项目”,比选单位及其公章、日期)地址:北京市大兴区清源路甲1号beat365手机版官方网站,邮编102618,联系人吴介方,电话13311572509
3.资料文件报送截止时间:2023年12月5日下午16:00前。
四、比选评审标准
序号 |
评分因素 |
分值 |
评分说明 |
1 |
投标报价 (30分) |
30分 |
综合评分法中的价格分统一采用低价优先法计算,即满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分30分。其他投标人的价格分统一按照下列公式计算: 投标报价得分=(评标基准价/投标报价)×30 |
2 |
商务部分(17分) |
业绩 |
9分 |
类似项目业绩:服务商提供自2020年11月1日以来(以签订合同日期为准)具备类似项目业绩,一个得3分;本项最多得9分,未提供的不得分。须提供合同复印件(合同复印件中至少包括合同的甲乙双方名称,项目名称、合同金额、详细标的内容和双方签章及生效时间),否则不得分。 |
相关资质 |
8分 |
符合项目要求的营业执照、设备续保厂家授权书、具有信息安全管理体系认证证书资质、属于小微企业的承诺书,四项均具备得8分;缺少一项扣减2分。 |
3 |
技术部分 (53分) |
技术响应 |
8分 |
根据投标文件所提供服务对招标技术需求的整体技术响应情况评审综合打分: 完全响应:得8分 每出现一个负偏离扣1分,扣完为止。 |
服务保障 |
5分 |
为保障本次安全服务项目效果,为增强采购方网络安全防护能力,实现态势感知设备、防火墙设备和服务器安全终端联动处置功能,提供联动处置方案。方案合理内容完整、针对性强得5分;方案欠缺、针对性差得2分;无联动处置功能,得0分。 |
团队技术能力 |
10分 |
项目负责人需具备在本行业5年以上的从业经验,其中具备高级(含)以上技术职称或高级项目经理或硕士(含)以上学位等证书者得5分;具备中级(含)以上技术职称或本科(含)以上学位等证书者得2分;不满足,得0分。(提供证书复印件并加盖公章) 1.项目团队构成合理、人员配备充足、岗位分工明确、安排合理得5分; 2.项目团队构成较合理、人员配备较充足、岗位分工基本明确、安排较合理得3分; 3.项目团队构成基本合理、人员配备基本充足、岗位分工基本明确、安排基本合理得2分; 4.项目团队构成不合理、人员配备不充足、岗位分工不明确、一人多岗、安排不合理得1分; 5.未提供得0分。 |
整体服务方案 |
10分 |
1.服务方案条理清晰、内容具体全面、提供完整符合项目要求、针对性强的得10分; 2.服务方案较为合理、内容较为完整、针对性较强的得7分; 3.服务方案基本合理、有一定针对性得5分; 4.服务方案有欠缺得2分; 5.供整体服务方案得0分。 |
项目实施与组织管理 |
10分 |
1.实施计划时间安排合理、组织管理符合招标要求,切实可行得10分; 2.实施计划安排较为合理,较为满足要求得7分 3.实施计划安排基本合理,基本满足要求得4分; 4.实施组织计划潦草,方案缺乏项目特点,难以执行,得0分。 |
安全培训 |
10分 |
1.安全培训服务方案内容明确、全面、合理得10分; 2.安全培训服务方案内容较明确、较全面、合理得7分; 3.安全培训服务方案有缺陷、基本合理得 4分; 4.未提供明确的安全培训服务方案得0分。 |
五、本邀请函由beat365手机版官方网站信息中心负责解释。
beat365手机版官方网站
2023年12月1日