招标
佛山市中医院高明医院[2023年等保测评服务]采购项目公告
金额
20万元
项目地址
广东省
发布时间
2023/07/10
公告摘要
公告正文
各供应商:
我院2023年等保测评服务采购项目现进入招标阶段,欢迎符合资格条件的供应商前来报名参与。招标采购会具体时间另行通知。本项目不属于政府采购类。
一、采购项目概况:
1、项目名称:佛山市中医院高明医院2023年等保测评服务采购项目
2、项目编号:
3、项目预算金额:20万元
4、用户需求:详见附件1
二、报名供应商资格要求:
1、供应商必须具有独立法人资格,能独立承担民事责任和合同义务。
2、供应商必须具有有效的中华人民共和国企业法人营业执照,执照中必须具有本项目的经营范围。
3、具有良好的商业信誉和健全的财务会计制度。
4、供应商须具备履行合同的设备和专业技术能力。
5、供应商应遵纪守法、诚信经营,近三年内(自本项目发布之日起往前推三年)无违规违法行为或采购活动中无不良记录。
6、本项目不接受联合体参与。
三、网上公告时间及报名时提交的文件要求
1、报名时间:自挂网公示后第二天起5个工作日内。
2、报名时需提交的文件(A4纸,双面打印并按照以下顺序装订完整并每页加盖公章):
(1)报名资料封面(格式见附件2)。
(2)报名文件目录(格式见附件3)。
(3)企业法人营业执照(副本)复印件。营业执照经营范围如注明“具体经营项目请登录商事主体信息公示平台查询”的,须打印商事主体信息公示平台查询页。
(4)税务登记证书(国、地税)复印件。
(5)组织机构代码证复印件。
(6)如已办理营业执照、税务登记证、组织机构代码证三证合一的企业,请提交加载法人和统一社会信用代码的营业执照复印件。
(7)自行登录“国家企业信用信息公示系统” (http://www.gsxt.gov.cn/index.html), 点击右上角“发送报告”栏按提示把《企业信用信息公示报告》发送至供应商邮箱,然后供应商完整下载并打印。(备注:①不能截图,必须完整打印;②公示报告生成日期应在本邀请函发布日期之后)。
(8)参与人如为法人代表,须提交供应商法人代表证明书(格式见附件4)法人代表第二代居民身份证复印件(原件备核)。参与人如为授权代理人,须提交供应商法人代表证明书及法人代表第二代居民身份证复印件、法人授权书(格式见附件5)、授权代理人第二代居民身份证复印件(原件备核)证明。
(9)提供遵纪守法、诚信经营、近三年内(自论证公告发布之日起往前推三年)无违规违法行为或采购活动中无不良记录的承诺书(格式见附件6)。
(10)如有则提交2019年1月1日(以合同签订时间为准)至今的同类业绩(格式见附件7),作为评审依据。(注:①供应商最多提供5份合同复印件作为证明材料即可,其他业绩合同备查。②提供上述业绩的验收报告或用户满意度评价)。
备注:
1、供应商提交的材料必须真实可靠,如经核实为虚假材料的,将取消其报名资格并列入医院供应商诚信黑名单。
2、请供应商按照上述第三点第2条要求,提交纸质资料一式八份(正本一份,副本七份),所提交的文件资料必须在有效期内,复印件需清晰并加盖公章,否则将会被取消资格。
3、供应商不得串通围标,如发现有串通围标行为将取消其参与项目资格并列入医院供应商诚信黑名单。(串通定义见《政府采购法实施条例》第七十四条,中华人民共和国财政部令第87号--政府采购货物和服务招标投标管理办法第三十七条)
四、报名交资料时间
自挂网公示后第二天起5个工作日内。
五、联系方式
1、采购人:佛山市中医院高明医院
2、地 址:广东省佛山市高明区文华路387号
3、联系电话:(0757)88886009 传真:(0757)88886009
4、电子邮箱:gmzyyxxsb@126.com
5、联系人:莫先生
佛山市中医院高明医院
2023年7月10日
附件1:
[2023年等保测评服务]项目用户需求书
一、技术要求
佛山市中医院高明医院等保测评服务项目范围包括以下安全服务:等保测评服务、漏洞扫描服务、渗透测试服务和协助安全加固服务。
1.等保测评服务
(1) 协助定级备案服务
根据公安部等级保护相关备案要求,协助客户完成等级保护备案工作,直至获得网络系统安全等级保护备案证明。
(2)差距分析服务
针对本单位定级系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心5个技术层面; 安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理5个管理层面进行现场测评和差距分析,记录相关的测评结果,输出现场测评记录结果。依照《等级保护现场测评记录》中所记录的针对本单位定级系统的技术和管理测评结果,结合系统整体差距评估结果,按照公安部标准测评报告模板撰写测评记录,完成提交《系统问题清单列表》。
(3)整改咨询服务
通过差距分析服务发现相关安全问题,对等保安全问题出具详细的整改建议,在整改过程中提供专业的咨询服务。
(4)等级保护测评服务
在网络系统进行完成整改实施后,投标方对网络系统的安全技术和安全管理上各个层面的安全控制进行整体性验证,针对本单位定级系统进行全面的信息安全等级保护测评。
等级保护测评包括,安全技术及安全管理测评两个方面。根据现场访谈、配置核查的基础上,通过先进的安全测试工具进行安全漏洞、应用系统代码漏洞的扫描及人工核查,在现场测评的结果和本单位定级系统测评在数据汇总分析的基础上,分析系统存在的问题,给出系统等级测评结论,编制《等级保护测评报告》提交公安部门备案,最终协助用户完成等级保护测评备案评审工作。
2.漏洞扫描服务
进行数据库、操作系统和应用系统等进行安全漏洞扫描检查,发现安全漏洞,并出具整改方案。安全漏洞扫描检查的范围包括:操作系统、数据库、中间件、应用系统、网络设备、安全设备等。出具《扫描报告》。
3.渗透测试服务
模拟黑客对网站进行入侵尝试,帮助理解黑客的突破点,比黑客更早发现问题。尝试验证每一个漏洞的真实威胁,同时帮助业主真正理解漏洞的成因,做到自主可控可防,出具《渗透报告》。
4.协助加固服务
投标方应协助招标方根据差距分析过程中发现的安全问题进行加固整改,对Windows、Linux操作系统所发现的补丁漏洞及时修补,对中间件、数据库、操作系统、网络设备发现的配置问题实行有效的加固。
5.服务工具参数
投标方需使用三种以上不同的安全评估软件、脚本漏洞利用工具进行安全漏洞扫描服务。投标时提供设备原厂授权书并加盖公章,参数要求如下:(1)漏洞扫描工具参数要求1
(2)漏洞扫描工具参数要求2
(3)漏洞扫描工具参数要求3
二、商务要求
附件2:
佛山市中医院高明医院信息科采购项目
报名文件
项目名称:
项目编号:
供应商名称(加盖公章):
联系人姓名:
联系电话(手机): 座机:
E-mail:
日 期: 年 月 日
附件3
报名文件目录
附件4:
法定代表人资格证明书
佛山市中医院高明医院:
同志,现任我单位 职务,联系手机: ,为法定代表人,代表我单位参与贵单位以下项目的采购活动,特此证明。
项目名称:
项目编号:
法定代表人(亲笔签名或签章):
签发日期: 年 月 日 单位名称(加盖公章):
说明:
1.法定代表人为企业事业单位、国家机关、社会团体的主要行政负责人。
2.须提供第二代居民身份证双面复印件,并加盖供应商公章。
附件5:
法人授权书
佛山市中医院高明医院:
我单位特授权委任 (姓名)现职员工,作为我方代表,参与贵方的采购项目,对该代表人所提供、签署的一切文书均视为符合我方的合法利益和真实意愿,我方愿为其行为承担全部责任。
项目名称:
项目编号:
有效期限:自本单位盖章之日起生效。
供应商名称(加盖公章):
法定代表人(亲笔签名或签章):
授权代理人(亲笔签名): ,联系手机电话:
授权生效日期: 年 月 日
说明:1.本授权书内容不得擅自修改。
2.须提供第二代居民身份证双面复印件,并加盖投标人公章。
3.内容必须填写真实、清楚、涂改无效,不得转让、买卖。
附件6:
承诺书
我公司在参加本次采购项目活动中,作出如下承诺:
一、参加本次采购活动前三年内,在经营活动中没有重大违法记录。
二、未挂靠、借用资质进行投标等违法违规行为。
三、提供的相关文件均真实、有效。
若发现我方存在上述问题,愿参照政府采购相关规定接受处罚并列入医院供应商诚信黑名单。
供应商名称(加盖盖章):
日期:
附件7:
拟提供的业绩
供应商名称(加盖公章):
授权代理人签字:
日 期: 年 月 日
注:
1、同类业绩需附完整的合同复印件作为证明材料。
2、供应商未按上表和要求填报的,视为2018年1月1日起至今无用户。
附件8:
报价书
报价单位:(盖章)
年 月 日佛山市中医院高明医院[2023年等保测评服务]采购项目公告.docx
我院2023年等保测评服务采购项目现进入招标阶段,欢迎符合资格条件的供应商前来报名参与。招标采购会具体时间另行通知。本项目不属于政府采购类。
一、采购项目概况:
1、项目名称:佛山市中医院高明医院2023年等保测评服务采购项目
2、项目编号:
3、项目预算金额:20万元
4、用户需求:详见附件1
二、报名供应商资格要求:
1、供应商必须具有独立法人资格,能独立承担民事责任和合同义务。
2、供应商必须具有有效的中华人民共和国企业法人营业执照,执照中必须具有本项目的经营范围。
3、具有良好的商业信誉和健全的财务会计制度。
4、供应商须具备履行合同的设备和专业技术能力。
5、供应商应遵纪守法、诚信经营,近三年内(自本项目发布之日起往前推三年)无违规违法行为或采购活动中无不良记录。
6、本项目不接受联合体参与。
三、网上公告时间及报名时提交的文件要求
1、报名时间:自挂网公示后第二天起5个工作日内。
2、报名时需提交的文件(A4纸,双面打印并按照以下顺序装订完整并每页加盖公章):
(1)报名资料封面(格式见附件2)。
(2)报名文件目录(格式见附件3)。
(3)企业法人营业执照(副本)复印件。营业执照经营范围如注明“具体经营项目请登录商事主体信息公示平台查询”的,须打印商事主体信息公示平台查询页。
(4)税务登记证书(国、地税)复印件。
(5)组织机构代码证复印件。
(6)如已办理营业执照、税务登记证、组织机构代码证三证合一的企业,请提交加载法人和统一社会信用代码的营业执照复印件。
(7)自行登录“国家企业信用信息公示系统” (http://www.gsxt.gov.cn/index.html), 点击右上角“发送报告”栏按提示把《企业信用信息公示报告》发送至供应商邮箱,然后供应商完整下载并打印。(备注:①不能截图,必须完整打印;②公示报告生成日期应在本邀请函发布日期之后)。
(8)参与人如为法人代表,须提交供应商法人代表证明书(格式见附件4)法人代表第二代居民身份证复印件(原件备核)。参与人如为授权代理人,须提交供应商法人代表证明书及法人代表第二代居民身份证复印件、法人授权书(格式见附件5)、授权代理人第二代居民身份证复印件(原件备核)证明。
(9)提供遵纪守法、诚信经营、近三年内(自论证公告发布之日起往前推三年)无违规违法行为或采购活动中无不良记录的承诺书(格式见附件6)。
(10)如有则提交2019年1月1日(以合同签订时间为准)至今的同类业绩(格式见附件7),作为评审依据。(注:①供应商最多提供5份合同复印件作为证明材料即可,其他业绩合同备查。②提供上述业绩的验收报告或用户满意度评价)。
备注:
1、供应商提交的材料必须真实可靠,如经核实为虚假材料的,将取消其报名资格并列入医院供应商诚信黑名单。
2、请供应商按照上述第三点第2条要求,提交纸质资料一式八份(正本一份,副本七份),所提交的文件资料必须在有效期内,复印件需清晰并加盖公章,否则将会被取消资格。
3、供应商不得串通围标,如发现有串通围标行为将取消其参与项目资格并列入医院供应商诚信黑名单。(串通定义见《政府采购法实施条例》第七十四条,中华人民共和国财政部令第87号--政府采购货物和服务招标投标管理办法第三十七条)
四、报名交资料时间
自挂网公示后第二天起5个工作日内。
五、联系方式
1、采购人:佛山市中医院高明医院
2、地 址:广东省佛山市高明区文华路387号
3、联系电话:(0757)88886009 传真:(0757)88886009
4、电子邮箱:gmzyyxxsb@126.com
5、联系人:莫先生
佛山市中医院高明医院
2023年7月10日
附件1:
[2023年等保测评服务]项目用户需求书
一、技术要求
佛山市中医院高明医院等保测评服务项目范围包括以下安全服务:等保测评服务、漏洞扫描服务、渗透测试服务和协助安全加固服务。
序号 | 测评系统名称 | 定级情况 |
1 | 医院信息管理系统(HIS) | 二级 |
2 | 医学影像信息系统(PACS) | 二级 |
3 | 实验室信息系统(LIS) | 二级 |
4 | 健康体检信息化管理系统 | 二级 |
5 | 微信患者移动服务平台 | 二级 |
1.等保测评服务
(1) 协助定级备案服务
根据公安部等级保护相关备案要求,协助客户完成等级保护备案工作,直至获得网络系统安全等级保护备案证明。
(2)差距分析服务
针对本单位定级系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心5个技术层面; 安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理5个管理层面进行现场测评和差距分析,记录相关的测评结果,输出现场测评记录结果。依照《等级保护现场测评记录》中所记录的针对本单位定级系统的技术和管理测评结果,结合系统整体差距评估结果,按照公安部标准测评报告模板撰写测评记录,完成提交《系统问题清单列表》。
(3)整改咨询服务
通过差距分析服务发现相关安全问题,对等保安全问题出具详细的整改建议,在整改过程中提供专业的咨询服务。
(4)等级保护测评服务
在网络系统进行完成整改实施后,投标方对网络系统的安全技术和安全管理上各个层面的安全控制进行整体性验证,针对本单位定级系统进行全面的信息安全等级保护测评。
等级保护测评包括,安全技术及安全管理测评两个方面。根据现场访谈、配置核查的基础上,通过先进的安全测试工具进行安全漏洞、应用系统代码漏洞的扫描及人工核查,在现场测评的结果和本单位定级系统测评在数据汇总分析的基础上,分析系统存在的问题,给出系统等级测评结论,编制《等级保护测评报告》提交公安部门备案,最终协助用户完成等级保护测评备案评审工作。
2.漏洞扫描服务
进行数据库、操作系统和应用系统等进行安全漏洞扫描检查,发现安全漏洞,并出具整改方案。安全漏洞扫描检查的范围包括:操作系统、数据库、中间件、应用系统、网络设备、安全设备等。出具《扫描报告》。
3.渗透测试服务
模拟黑客对网站进行入侵尝试,帮助理解黑客的突破点,比黑客更早发现问题。尝试验证每一个漏洞的真实威胁,同时帮助业主真正理解漏洞的成因,做到自主可控可防,出具《渗透报告》。
4.协助加固服务
投标方应协助招标方根据差距分析过程中发现的安全问题进行加固整改,对Windows、Linux操作系统所发现的补丁漏洞及时修补,对中间件、数据库、操作系统、网络设备发现的配置问题实行有效的加固。
5.服务工具参数
投标方需使用三种以上不同的安全评估软件、脚本漏洞利用工具进行安全漏洞扫描服务。投标时提供设备原厂授权书并加盖公章,参数要求如下:(1)漏洞扫描工具参数要求1
指标项 | 规格要求 |
规格及性能 | 虚拟化版,支持在笔记本电脑部署,支持IPv4和IPv6环境的部署和扫描,允许最大并发扫描≥60个IP地址,允许最大并发任务≥10个任务,支持无限 IP授权扫描。开启所有规则漏洞扫描、弱口令探测和登录扫描后扫描速度不低于1000 ip/h。 |
漏洞管理和分析 | 1、支持检测的漏洞数大于150000条,兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准,并提供CVE Compatible证书。 2、产品应支持通过多种维度对漏洞进行检索,包括:CVE ID、BUGTRAQ ID、CNCVE ID、CNVD ID、CNNVD ID、MS 编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息。提供厂商盖章的截图证明 3、提供高级漏洞模板过滤器,支持将符合筛选条件的漏洞自动加入到自定义漏洞模板中,及后续插件升级包中的漏洞也可以自动加入到模板中。 |
扫描策略管理 | 1、内置不同的漏洞模板针对Unix、Windows操作系统、网络设备和防火墙等模板,同时支持用户自定义扫描范围和扫描策略;支持自动模板匹配技术。 支持扫描主流虚拟机管理系统的安全漏洞,如:VMWareESX/ESXi,要求能够扫描大于300条相关漏洞。 2、支持扩展紧急漏洞、大数据漏洞、云计算漏洞、物联网漏洞等专项检测,无须手动配置漏洞模板,直接从从快速入口选择专项检测。提供厂商盖章的截图证明 3、具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用SMB、TELNET、FTP、SSH、POP3、TOMCAT、SQL SERVER、MYSQL、ORACLE、SYBASE、DB2、SNMP等协议进行口令猜测,允许外挂用户提供的用户名字典、密码字典和用户名密码组合字典。 4、支持立即执行、定时执行、周期执行扫描任务,自定义的周期时间可精确至每*月第*个星期*的*点*分。 |
资产管理 | 提供通过资产树对资产进行分级管理,支持设备权重设置和可信设备登记,支持将资产信息批量导入到资产树,可在资产树上直接指定主机开展扫描任务。 |
可以通过多种维度搜索定位资产和查看资产风险,包括并不限于:节点或设备名称、资产IP范围、资产管理员、资产操作系统类型、资产风险等级、漏洞名称、开放的端口、资产banner信息等 | |
支持风险告警和风险闭环处理,可在集中告警平台灵活配置告警内容、告警方式、告警资产范围等,支持邮件和页面告警,支持单个或批量修改风险状态。 | |
联动 | 支持漏洞登录扫描功能,支持与堡垒机联动,可从堡垒机获取目标设备密码登录到系统,全程自动化,防止密码外泄。提供厂商盖章的配置截图 |
支持和微软WSUS补丁系统的联动,能够在发给主机管理员的邮件中附带自动配置WSUS的注册表文件,方便进行自动化的补丁修补。 | |
支持与防火墙联动,扫描器定期将漏洞推送至防火墙,通过防火墙可查看扫描器上报的内部资产漏洞的拦截情况。可以展示每个资产的漏洞数及已防护漏洞数,并且可以展示出高、中、低漏洞的数量,并且能够展示已防护漏洞风险数量;提供配置截图 | |
产品成熟度 | 产品应该是被广泛应用的成熟产品,在国内市场具有较高的市场份额,在IDC市场调查数据或数据引用中需要连续8年市场占有率排名在前3名之内。须提供市场占有率排名有效证明材料。 |
容器扫描 | ▲支持扩展容器镜像漏洞扫描、镜像基线检查功能,无需部署容器实例,即可对镜像仓库的镜像进行漏洞扫描、基线检查,提高容器安全的检测效率,降低运维工作量,提供以上功能配置截图并厂商盖章 |
漏洞验证 | 支持扩展漏洞验证功能,对于扫描结果中的安全风险,通过poc进行验证漏洞的危害性,提供以上功能配置截图并厂商盖章 |
风险展示和报表 | 支持通过仪表盘直观展示资产风险值、主机风险等级分布、资产风险趋势、资产风险分布趋势等内容,并可查看详情。 |
支持将按IP范围、起止时间、任务名称、任务状态、漏洞模板、用户等筛选扫描任务,并对筛选结果进行汇总,和生成在线及离线报表。 | |
产品资质 | 产品取得公安部颁发的《计算机信息系统安全专用产品销售许可证(增强级)》,提供产品有效证书的复印件。 |
中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书(EAL3+级)》 | |
产品取得《中国国家信息安全产品认证证书》或网络关键设备和网络安全专用产品安全认证/中国国家信息安全产品认证证书。 | |
请提供与漏洞扫描相关的公开专利,要求数量不少于4个,请提供厂商盖章证明 |
(2)漏洞扫描工具参数要求2
指标项 | 规格要求 | |
硬件规格与授权 | 包含系统漏扫授权,可扫描100个IP地址,具体IP地址不限,并发扫描≥20个IP。 包含Web应用检测模块授权,5个域名授权。 | |
系统漏扫功能 | 扫描能力 | 集成系统漏洞扫描、Web应用扫描、基线核查于一体,支持通过购买授权的方式扩展Web应用扫描和基线核查功能 |
▲要求所投产品的生产厂商具有中国信息安全测评中心、公安部信息安全产品检测中心、国家版权局、国家知识产权局、中国软件测评中心之中任意一家机构出具的关于“一种SQL注入漏洞检测方法及系统”的测试报告或证书,提供测试报告复印件或证书复印件并加盖生产厂商公章。 | ||
漏洞扫描方法应不少于59000种。 | ||
▲支持Windows域扫描技术,利用域管理员权限使扫描更深入、更准确(提供界面截图证明) | ||
支持扫描IPv6环境中的设备、系统。 | ||
支持云平台扫描,漏洞覆盖OpenStack 、KVM、Vmware、Xen等主流的云计算平台; | ||
支持对Apple软件和应用进行扫描,包括MAC OS,Safari,itunes等 | ||
网站开源架构类扫描:支持phpmyadmin、WordPress 等的扫描; | ||
支持python的多个模块的漏洞扫描,如audioop模块 、rgbimg模块的漏洞; 支持大华、海康等视频监控类设备扫描 | ||
支持可扫描IP地址的范围和总数量无限制。 ▲支持多种协议口令猜测,包括SMB、Snmp、Telnet、Pop3、SSH、Ftp、RDP、DB2、MySQL、Oracle、PostgreSQL、HighGo、MongoDB、UXDB、STDB、kingbase、RTSP、ActiveMQ、WebLogic、WebCAM等(提供界面截图证明) 支持设置口令猜测间隔0-300秒; 支持扫描任务预计所需剩余时间显示; ▲支持对主流数据库的识别与扫描,包括:Oracle、Sybase、SQL Server、DB2、MySQL等,能够扫描的数据库漏洞扫描方法不小于2300种(提供界面截图证明) 支持扫描任务优先级设置; 支持对意外中断(网络中断、设备断电)的扫描任务恢复后继续进行扫描; | ||
策略管理 | ▲支持35种以上默认扫描策略模板,如常规安全扫描,中高危漏洞扫描,高危漏洞扫描,web服务组件扫描,网络设备扫描,云平台漏洞扫描,虚拟化扫描,主机信息收集,攻击性扫描,SQL SERVER 数据库扫描,Apple类扫描,视频监控类扫描等等,同时针对市场应急响应的漏洞提供应急响应策略模板。(提供界面截图证明) | |
资产管理 | 支持对部门和资产的添加、删除、编辑等操作,以及对资产的属性自定义功能; | |
▲支持以txt、csv、dat、xls等格式进行资产列表的导入(提供界面截图证明) | ||
支持每个资产历史扫描的风险趋势图显示,缺省显示最后24次扫描结果的趋势显示; | ||
报表功能 | 支持输出单独的系统漏扫报表,报告中的漏洞应具备统一的CVSS国际标准评分,以准确衡量漏洞的危险级别,为漏洞修补工作的优先级提供指导。 | |
支持给每个任务报表添加自定义安全结论。 | ||
HTML离线报表能够通过点击主机ip链接,自动跳转至该主机的详细报告。 | ||
支持任务扫描完成后,自动将扫描结果上传至ftp服务器。 | ||
用户管理 | 支持登录验证码,并可以设置是否启用。 支持跨网段登录限制开关设置; | |
产品升级、维护 | 支持实时提醒当前的系统消息,包括报表下载消息、升级内容消息、日志下载消息等。 支持控制台功能,可以通过控制台对系统进行操作和设置,例如重启和关闭系统、修改系统和网络配置、查看漏扫引擎状态并提供网络诊断工具。 | |
Web漏扫功能要求 | 扫描能力 | 支持检测SQL注入漏洞、命令注入漏洞、CRLF注入漏洞、LDAP注入漏洞、XSS跨站脚本漏洞、路径遍历漏洞、信息泄漏漏洞、URL跳转漏洞、文件包含漏洞、应用程序漏洞、文件上传漏洞等。 |
支持漏洞验证功能,在扫描结束后,能够对结果中的重要漏洞进行现场验证,展示漏洞利用过程和风险 | ||
支持灵活的扫描任务制定功能,可设定检测开始时间、检测入口地址、网站COOKIE、检测周期、任务模式、User_Agent设置、发包限速设置、最大检测页面数、漏洞类型设置等。 | ||
网站安全监控 | ▲支持Ping、HTTP、GET请求等网站安全监控功能。(提供界面截图证明) | |
网站变更监控 | 支持当前网页和快照的文本和图片对比,不同的文本区域应使用不同颜色标出。 | |
网页的链接可以从扫描结果中导入。 | ||
域名DNS解析监控 | ▲支持配置多个DNS服务器,对各DNS服务器的解析结果进行对比。(提供界面截图证明) | |
对解析到的异常DNS地址进行邮件报警。 | ||
配置核查功能要求 | ▲对于管理较好的不可达网络或者物理隔离网络,提供分布式采集器,可实现批量核查,批量上报,并根据实际情况实现在线及离线两种方式。 在线:从安全基线配置检查服务器获取批量任务,点击执行后讲结果批量上报 离线:从安全基线配置检查服务器获取批量任务,将获得的任务的移动设备接入不可达网络中自动执行批量检查任务,任务完成后将离线采集移动设备接回安全基线检查服务器将任务结果导入安全基线检查服务器完成离线批量核查。 (提供界面截图证明) | |
▲离线核查支持: 提供所有设备按照策略及自定义策略的VBS离线脚本下载功能,在目标设备上执行完成后将结果导入基线系统。 网络设备支持:支持将离线命令在目标设备上运行后,通过提供执行命令集Session Log方式检查; (提供界面截图证明) | ||
对于不希望提供管理员账号和密码的个人主机系统,支持提供代理检查的方式,代理检查结果自动上传到检查服务器,并支持代理设备中的中间件及数据库核查。 | ||
▲支持对数据库和中间件设备安装路径自动探测功能。(提供界面截图证明) | ||
对扫描失败的设备和检查项有非常准确的失败信息反馈。 | ||
产品资质 | 产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》,要求为增强型,需提供有效资质证明复印件。 | |
产品具有中国信息安全测评中心颁发的《信息技术产品安全测评证书》,级别EAL3+,需提供有效资质证明复印件。 | ||
产品具有中国国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》,需提供有效资质证明复印件。 | ||
产品具有中国网络安全审查技术与认证中心颁发的《网络关键设备和网络安全专用产品安全认证》,需提供有效资质证明复印件。 |
(3)漏洞扫描工具参数要求3
指标项 | 规格要求 |
规格及性能 | 1、虚拟化版,支持在笔记本电脑部署,默认支持1个授权扫描端口。页面处理能力≥20万/天,最大并发扫描域名数≥4个,最大存储任务数≥1500个,授权扫描域名数量无限 2、系统稳定可靠,无需额外存储设备即可运行,系统采用B/S设计架构,并采用SSL加密通信方式,用户可以通过浏览器远程方便的对产品进行管理;支持IPv6网络环境部署 |
分布式部署 | 分布式部署,不需要额外采购第三方管理平台,直接通过角色指定即可实现多台设备的集中管理和报表汇总,分布式集群支持最大节点数≥32个,支持多任务/单任务URL级别的负载均衡扫描方式 |
支持类型 | 支持分布式拓扑图全景查看,上级节点支持查看下级节点设备系统状态(cpu,mem.disk、网口流量),支持下级节点批量从上级节点自动系统升级;提供以上功能截图厂商盖章证明 |
检测范围 | 1、漏洞知识库漏洞信息大于2400条,拥有详细的漏洞描述和对应的解决方案描述;漏洞知识库与CVE、CNCVE、CNNVD、CNVD、CVSS等主流标准兼容。 2、支持SQL注入检测、跨站脚本攻击检测、Cookie安全问题检测、伪造跨站点请求检测、网页挂马检测、隐藏字段检测; 3、支持网页挂马检测,如检测缘分asp木马、海阳顶端asp木马、php-backdoor.php木马、c99shell.php木马、r57shell.php木马、nstview木马等;提供厂商盖章截图证明 |
检测能力 | 支持易通、织梦、DEDECMS、Discuz、Ecshop、易思、大汉、PHPCMS、PHP168、PHPCMS2008、phpcms v9、SHOPEX、Nginx代码执行、Spring代码执行、大华网络摄像头弱口令等国内、国外知名WEB应用程序漏洞扫描 |
支持JSP、CGI、ASP、.NET等类型动态页面,支持HTTP 1.0和1.1标准的Web应用系统 | |
支持Web服务(如IIS、Tomcat、Apache等)漏洞的检查,支持Oracle、SQL Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Access等后台数据库类型的检测; | |
▲支持分布式扫描,通过第一个扫描器向第二个扫描器发送扫描信息及查询信息,获得第二个扫描器扫描任务的状态,根据第二个扫描器执行扫描任务的状态,确定向第二个扫描器重新发送扫描信息,或者发送查询信息,实现对网络扫描任务处理过程的监控和管理,请提供国家权威机构(如工业和信息化部、经济和信息化委员会或国家知识产权局)颁发的相关证明并厂商盖章。 | |
支持探测网站前是否有防护产品,如waf;提供厂商盖章截图证明 | |
支持对目标网站进行链接爬取,仅做爬取不做扫描,并可以输出对应的链接爬取结果 | |
支持任务暂停、继续扫描、停止、重新扫描、断点续扫、删除等操作; | |
▲支持完善的漏洞攻击检测库,应支持定期漏洞收集和挖掘升级能力,产品厂商支持获得漏洞情报的一线咨讯,同时自身研究中心最少获得6次微软MBB(漏洞绕过赏金计划),需提供相关证明材料并厂商盖章证明。 | |
报表 | 仪表盘功能,直观展示最近10天整体风险等级、最近10天扫描站点列表、最近30天危险站点TOP10等内容。提供厂商盖章截图证明 |
支持自定义报告,如logo、页眉、页脚、报表模板标题、模板名称描述等报表输出支持WORD、HTML、PDF、XML、EXCEL等格式。 | |
支持按照安全组织OWASP TOP 10-2010、OWASP TOP 10-2013、WASC分类输出报表,支持对多个站点进行横向对比分析并输出报表。支持对单个站点进行时间纵向分析,输出趋势增量统计报表 | |
漏洞验证 | 产品提供漏洞验证功能,能可视化展示漏洞验证全过程,如判断依据,执行详情和报文数据,以验证漏洞真实存在。需要提供截图文件。 |
联动 | ▲支持与WAF产品联动,生成报表可供WAF生成安全防护策略,通过漏洞检测和威胁防护的循环式管理,无缝保护站点安全。提供厂商盖章截图证明 |
支持与脆弱性管理平台联动,形成漏洞闭环管理的解决方案,并以工单方式实现对漏洞全生命周期管理,提供厂商盖章截图证明; | |
产品资质 | 产品具备《计算机信息系统安全专用产品销售许可证》WEB应用安全扫描(三级),提供厂商盖章证书复印件; |
产品获得《国家信息安全测评信息技术产品安全测评证书》级别EAL3+,提供厂商盖章证书复印件; |
二、商务要求
序号 | 商务条款 | 要求 |
1 | 服务要求 | 一、通用要求 响应人应认真按照标准、规范及采购人的要求实施项目,随时接受采购人的检查检验,并为检查检验提供便利条件。我院有权检查一切与质量有关的问题。 项目质量达不到本技术条件书规定,一经发现,要求响应人整改或返工,响应人应按要求执行,直到符合约定标准。返工后仍不能达到规定标准的,响应人承担违约责任。 二、人员要求 1.成交供应商应在项目现场实施周期内,为本项目成立工作小组,安排包括1名项目经理和3名技术人员,成交供应商须按照采购人要求提供现场服务。 2.项目经理应具备10年或以上网络安全项目管理经验,并将全程负责本项目的管理、技术质量管控。具体负责:项目进度控制、编写项目周报、编制技术方案及项目总结报告等技术文档、协调完成本项目服务工作。 3.工作小组人员应具有信息安全等级保护测评师证书,技术服务人员需具有信息安全服务工作经验,参加过网络安全服务项目并取得网络安全方面资质证书。 4.项目经理与技术服务人员必须为响应人在职的工作人员,并提供员工最近3个月内任意一个月的社保资料证明;若投标公司非广东地区,除提供员工最近3个月内任意一个月的社保资料证明外,仍需提供人员在本地的居住证(或暂住证)等证明材料。 三、服务工具要求 该服务工具产品(软、硬件及备件)需由投标方自行配备,不包含在本项目采购范围内。 为保障服务质量,投标方需使用三种以上不同的安全评估软件、脚本漏洞利用工具进行安全漏洞扫描服务。 |
2 | 付款方式 | 1、签订合同后,15个工作日内支付合同总额的30%预付款。 2、项目交货完毕,经验收合格后,采购人收到供应商发票后15个工作日内支付合同金额70%(不含政府财政部门封账及审查时间)。 3、成交供应商向我院申请付款的同时,应开具等额有效发票。 |
3 | 服务完成时间 | 测评工作完成时间为合同签订后3个月(如涉及到重大整改事项,由于整改工作时间需要则测评完成时间相应延迟)。漏洞扫描服务,渗透测试服务,安全加固服务在提出需求后2周内完成。 |
4 | 服务时效 | 本合同服务有效期为1年,其中包含相关系统等保测评工作一次,漏洞扫描服务一次,渗透测试服务一次,协助安全加固服务一次。 |
附件2:
佛山市中医院高明医院信息科采购项目
报名文件
项目名称:
项目编号:
供应商名称(加盖公章):
联系人姓名:
联系电话(手机): 座机:
E-mail:
日 期: 年 月 日
附件3
报名文件目录
序号 | 投标资料 | 页码 | 审核情况(√) | 备注 | |
1 | 三证合一的营业执照复印件 | | | | |
或 | 企业法人营业执照(副本)复印件 | | | | |
税务登记证书(国、地税)复印件 | | | | ||
组织机构代码证复印件 | | | | ||
2 | 商事主体信息公示平台查询页(营业执照经营范围如注明“具体经营项目请登录商事主体信息公示平台查询”) | | | | |
3 | 企业信用信息公示报告 | | | | |
4 | 法人代表证明书 | | | | |
5 | 法人代表第二代居民身份证复印件 | | | | |
6 | 法人授权书 | | | | |
7 | 授权代理人第二代居民身份证复印件 | | | | |
8 | 供应商应遵纪守法、诚信经营,近三年内(自论证公告发布之日起往前推三年)无违规违法行为或采购活动中无不良记录。(供应商书面承诺,格式见附件6)。 | | | | |
9 | 供应商应遵纪守法、诚信经营,近三年内(自论证公告发布之日起往前推三年)无违规违法行为或采购活动中无不良记录。(供应商书面承诺,格式见附件6)。 | | | | |
10 | 如有则提交2019年1月1日(以合同签订时间为准)至今的同类业绩(格式见附件7)及完整的合同复印件,作为评审依据。(①供应商最多提供5份合同复印件作为证明材料,其他合同备查。②提供上述业绩的验收报告或用户满意度评价)。 | | | |
附件4:
法定代表人资格证明书
佛山市中医院高明医院:
同志,现任我单位 职务,联系手机: ,为法定代表人,代表我单位参与贵单位以下项目的采购活动,特此证明。
项目名称:
项目编号:
法定代表人(亲笔签名或签章):
签发日期: 年 月 日 单位名称(加盖公章):
法定代表人身份证 复印件正面粘贴处 | | 法定代表人身份证 复印件反面粘贴处 |
说明:
1.法定代表人为企业事业单位、国家机关、社会团体的主要行政负责人。
2.须提供第二代居民身份证双面复印件,并加盖供应商公章。
附件5:
法人授权书
佛山市中医院高明医院:
我单位特授权委任 (姓名)现职员工,作为我方代表,参与贵方的采购项目,对该代表人所提供、签署的一切文书均视为符合我方的合法利益和真实意愿,我方愿为其行为承担全部责任。
项目名称:
项目编号:
有效期限:自本单位盖章之日起生效。
供应商名称(加盖公章):
法定代表人(亲笔签名或签章):
授权代理人(亲笔签名): ,联系手机电话:
授权生效日期: 年 月 日
授权代理人身份证 复印件正面粘贴处 | | 授权代理人身份证 复印件反面粘贴处 |
说明:1.本授权书内容不得擅自修改。
2.须提供第二代居民身份证双面复印件,并加盖投标人公章。
3.内容必须填写真实、清楚、涂改无效,不得转让、买卖。
附件6:
承诺书
我公司在参加本次采购项目活动中,作出如下承诺:
一、参加本次采购活动前三年内,在经营活动中没有重大违法记录。
二、未挂靠、借用资质进行投标等违法违规行为。
三、提供的相关文件均真实、有效。
若发现我方存在上述问题,愿参照政府采购相关规定接受处罚并列入医院供应商诚信黑名单。
供应商名称(加盖盖章):
日期:
附件7:
拟提供的业绩
序号 | 客户名称 | 项目名称及合同金额 (万元) | 合同签订时间 | 联系人及电话 | 备注 |
1 | | | | | |
2 | | | | | |
3 | | | | | |
4 | | | | | |
5 | | | | | |
6 | | | | | |
7 | | | | | |
8 | | | | | |
9 | | | | | |
10 | | | | | |
… | | | | | |
供应商名称(加盖公章):
授权代理人签字:
日 期: 年 月 日
注:
1、同类业绩需附完整的合同复印件作为证明材料。
2、供应商未按上表和要求填报的,视为2018年1月1日起至今无用户。
附件8:
报价书
序号 | 产品名称 | 品牌/型号/规格 | 数量 | 单价 (元/个/箱/台/米/套/批) | 小计(元) | |
1 | 医院信息管理系统(HIS) | | 1 | | | |
2 | 医学影像信息系统(PACS) | | 1 | | | |
3 | 实验室信息系统(LIS) | | 1 | | | |
4 | 健康体检信息化管理系统 | | 1 | | | |
5 | 微信患者移动服务平台 | | 1 | | | |
合计 | | |||||
大写:(人民币 元整) | ||||||
备注: 1、本项目预算金额:20万元。 2、必须满足并响应本采购项目《用户需求书》的全部内容。 3、请严格按照本报价书格式报价,更改序号、货物名称、单位、规格的报价书为无效报价。 4、本报价书纸质版和电子版(可编辑的Word文档)随论证(谈判)会当日自行携带入场提交。 5、人民币大写字:壹、贰、叁、肆、伍、陆、柒、捌、玖、拾、佰、仟、万、亿、元、角、分、零、整(正) |
报价单位:(盖章)
年 月 日佛山市中医院高明医院[2023年等保测评服务]采购项目公告.docx
返回顶部