招标
华坪县人民医院网络安全等级测评服务项目竞争性磋商公告
金额
20.88万元
项目地址
-
发布时间
2023/10/30
公告摘要
项目编号当盛采招2023-10-04号
预算金额20.88万元
招标公司华坪县人民医院
招标联系人和瑞琪
招标代理机构云南当盛项目管理咨询有限公司
代理联系人余工15108889769
标书截止时间2023/11/03
投标截止时间2023/11/09
公告正文
华坪县人民医院网络安全等级测评服务项目竞争性磋商公告
(招标编号:当盛采招2023-10-04号)
项目所在地区:云南省,丽江市,华坪县
一、招标条件
本华坪县人民医院网络安全等级测评服务项目已由项目审批/核准/备案机关批准,项目
资金来源为其他资金20.88万元,招标人为华坪县人民医院。本项目已具备招标条件,现招
标方式为其它方式。
二、项目概况和招标范围
规模:三级等保年度评测项目(对医院HIS系统、LIS系统、微信支付系统进行三级等
保年度测评,含两台防火墙升级)
范围:本招标项目划分为1个标段,本次招标为其中的:
(001)华坪县人民医院网络安全等级测评服务项目;
三、投标人资格要求
(001华坪县人民医院网络安全等级测评服务项目)的投标人资格能力要求:1、满足
《中华人民共和国政府采购法》第二十二条规定;
1.1具有独立承担民事责任能力;需提供法人或者其他组织的营业执照等证明文件,自然人
的提供身份证明。
1.2根据《关于在政府采购活动中查询及使用信用记录有关问题的通知》(财库(2016〕125
号)的要求,采购人、采购代理机构将通过“信用中国”网站(www.creditchina.gov.cn)“中
国政府采购网”网站(www.ccgp.gov.cn)等渠道查询供应商在采购公告发布之日前的信用
记录,重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单(被禁止在一定
期限内参加政府采购活动但期限届满的除外,以磋商当天工作人员对上述信用信息进行查询
核对的结果为准,磋商申请人无需提供查询截图);
1.2.1供应商参与本次政府采购活动前三年内,在经营活动中没有重大违法记录,提供参加
本次政府采购活动前三年内在经营活动中没有重大违法记录的书面声明;
1.3财务要求:未处于财产被接管、冻结和破产状态,2020-2022年(任意一年)公司财务
报表或经审计机构审计的审计报告(成立不满三年的提交成立以来的财务报表);
1.4供应商须提供缴税所属时间在2022年1月至本项目投标文件提交截止时间前任意1个
月的银行电子缴税(费)凭证或税务局出具纳税情况的相关证明,依法免税的,应提供依法
免税的相关证明文件(加盖公章的清晰复印件);若投标单位成立时间不足1年,则应当出
具依法纳税的承诺书。
1.5供应商须提供缴费所属时间在2022年1月至本项目投标文件提交截止时间前任意1个
月的银行电子缴费凭证或社保管理部门出具的有效的社会保障资金缴款证明,依法免缴的,
应提供依法免缴的相关证明文件(加盖公章的清晰复印件)若投标单位成立时间不足1年,
则应当出具依法缴纳社会保障资金的承诺书。
1.6本项目的特定要求:测评单位具备公安部第三研究所颁发的《网络安全等级测评与检测
评估机构服务认证证书》(原件或复印件加盖公章)。
2.具有投资参股关系的关联企业,或具有直接管理和被管理关系的母子公司,或同一母公司
的子公司,或法定代表人为同一人的两个及两个以上法人(组织)不得同时对同一项目提出
报价(资格预审)申请;
3.扶持中小企业政策:
评审时小型和微型企业报价享受10%的价格折扣。监狱企业和残疾人福利性单位视同小型、
微型企业。
4.资格审查方式
本项目对磋商申请人的资格审查采用资格后审方式,主要资格审查标准和内容详见竞争性磋
商文件中的资格审查条件。;
本项目不允许联合体投标。
四、招标文件的获取
获取时间:从2023年10月30日08时30分到2023年11月03日18时00分
获取方式:现场获取
五、投标文件的递交
递交截止时间:2023年11月09日09 时00分
递交方式云南当盛项目管理咨询有限公司(华坪县狮山路文体中心对面小蜜蜜芒果干
三楼)纸质文件递交
六、开标时间及地点
开标时间:2023年11月09日09时00分
开标地点云南当盛项目管理咨询有限公司(华坪县狮山路文体中心对面小蜜蜜芒果干
三楼)
七、其他
一、项目基本情况
1.项目编号:当盛采招2023-10-04号
2.项目名称:华坪县人民医院网络安全等级测评服务项目
3.服务地点:华坪县人民医院(采购方指定地点)
4.采购方式:竞争性磋商
5.预算金额:20.88万元
6.采购需求:三级等保年度评测项目(对医院HIS系统、LIS系统、微信支付系统进行三级
等保年度测评,含两台防火墙升级)
7.服务要求按照等级保护2.0《信息安全技术网络安全等级保护基本要求》要求从安全物
理环境、安全网络通信、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安
全管理机构、安全运维管理等10个方面进行测评。
7.1详细测评内容
(1)安全物理环境:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、
防水和防潮、防静电、温湿度控制、电力供应、电磁防护;
(2)安全网络通信:网络结构、通信传输、可信验证;
(3)安全区域边界:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审
计、可信验证;
(4)安全计算环境:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验
证、数据完整性、数据保密性、数据备份和恢复、剩余信息保护、个人信息保护;
(5)安全管理中心:系统管理、审计管理、安全管理、集中管控;
(6)安全管理制度:管理制度、制定和发布、评审和修订;
(7)安全管理机构:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查;
(8)安全管理人员:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理;
(9)安全建设管理:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包
软件开发、工程实施、测试验收、系统交付、等级测评、安全服务商选择;
(10)安全运维管理:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、
网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管
理、安全事件处置、应急预案管理、外包运维管理。
7.2测评方法
本项目测评方法主要参照等级保护的国家标准《信息安全技术网络安全等级保护测评要求》
开展信息安全等级保护测评工作,测评工作主要采用访谈、检查和测试三种方式。为避免人
为因素干扰测评结果,要求尽可能多的采用工具测试方法。
7.3整体测评
服务方在单元测评的基础上,通过进一步分析信息系统的整体安全性,对信息系统实施的综
合安全测评。整体测评要求包括安全控制点间测评、层面间测评、区域间测评和系统结构
测评4个层面。
7.4等级保护测评报告编制
服务方在完成现场检查工作后,经过后期的综合分析与风险判断,确定等级保护测评结论,
使用公安部要求的标准格式编写等级保护测评报告。
7.5定级备案相关工作
需协助华坪县人民医院按照公安机关相关要求,填写表格,协助报送材料,协助取得等级备
案证书系统的备案证书。
7.6网络安全管理制度编写
提供管理制度模板,结合华坪县人民医院当前的管理制度情况,协助华坪县人民医院编写满
足网络安全等级保护2.0要求的管理制度。(满足网络安全等级保护测评要求中的安全管理
制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理)
7.7测评工具要求
本项目实施所需测评工具需具备以下功能:
(1)仪表盘:查看资产、策略统计信息
(2)资产管理:管理资产信息,根据IP段搜索资产并添加到资产管理中
(3)策略管理:管理系统基础策略信息、管理系统高级策略信息、管理基线库信息
(4)扫描管理:管理基础扫描信息、管理高级扫描信息
(6)报表管理:用于下载各种报表
(7)系统设置:用户管理、角色管理、机构管理、区域管理、菜单管理
注:以上功能需提供测评工具功能截图(加盖原厂公章)。
提供原厂家针对本项目的售后服务承诺书(加盖原厂公章)。
7.8安全风险评估
针对华坪县人民医院当前的网络安全情况,在取得华坪县人民医院授权后,进行一次全面风
险评估服务风险评估采用工具扫描和人工评估结合的方案,基于漏洞扫描系统、安全基线检
查工具对基线配置和弱口令等进行安全检查,能够快速有效的发现网络中的安全脆弱性和风
险工具扫描因为其固定的模板,特定的运行环境,以及它的缺乏智能性等诸多因素,因而
有着很大的局限性,而人工评估与工具扫描相结合,可以完成许多工具所无法深入的系统和
应用安全评估,检查对象包括系统的运行状态、配置检查、安全策略检查,同时结合等级保
护的要求进行差距分析,最终输出《安全风险评估报告》
7.9渗透测试
在取得华坪县人民医院授权后,对华坪县人民医院网络应用提供完整地黑客攻击模拟,对目
标系统实行全面的渗透测试,验证在当前的安全防护措施下网络、系统抵抗黑客攻击的能力,
在可控制范围内找出全部的安全隐患,具体内容如下:
(1)专业工具自动化漏洞扫描
使用漏洞扫描工具对目标系统进行全面漏洞探测。
(2)安全漏洞人工发掘与探测
在工具探测的基础上,通过专业攻防人员对目标系统可能存在的漏洞进行进一步的发掘与探
测。
(3)安全漏洞人工利用及入侵
汇总前两个步骤所发现的全部安全漏洞,并对漏洞进行渗透攻击,评估漏洞被黑客利用后造
成的真实危害。
(4)提供渗透测试报告和整改建议。
7.10系统资产测绘
在服务期间通过专业服务工具对华坪县人民医院提供系统资产测绘服务,通过主动扫描的方
式对网络资产进行全面探测,详细梳理已知资产,并发现未纳入安全管理的未知网络资产。
提供存活探测、指纹探测、CVE匹配、PoC探测、拓扑探测扫描五大探测功能模块,包括:
(1)支持域名地址扫描支持 IPV4、IPV6协议栈地址扫描,支持自定义扫描策略模板,包
括端口范围自定义、选择端口组范围,支持自定义探测速率,支持四种方式添加扫描任务,
包括填写目标地址、选择目标地址组、文件上传、检索系统数据直接漏洞验证,(提供使用
工具功能的截图证明材料);
支持选择任务按立即执行、定时执行、支持周期扫描方式支持时间以天、小时、分钟为单
位,支持显示扫描数量,查看扫描进度,显示扫描次数,支持主机存活探测和端口探测,支
持对任务的编辑、重启、暂停、停止、继续检测和删除操作,支持自定义节点探测的网段及
端口,支持自定义例外节点探测IP及IP段,并存储;支持自定义例外IP填写或选择,支
持基于任务对比两轮资产结果,包括资产总数,端口数量,操作系统,设备类型等信息(提
供使用工具功能的截图证明材料);
(2)资产识别:支持识别资产属性不少于30种,支持漏洞数量不少于17万,支持指纹信
息类型不少于15万,类型不少于30类,支持识别IP、端口、服务、协议、地理位置(国
家、区域)、包含能源电力行业特有(设备名称、设备类型、设备型号、品牌名称、厂商名
称、设备原产地、操作系统等设备指纹),支持识别版本、编程语言、数据库、Web容器、
证书信息、server、运营商、运营商组织、ASN、响应头信息、HTML等网站指纹; (提供使
用工具功能的截图证明材料);
(3)漏洞深度检测:支持自定义选择探测目标;支持自定义PoC和内置PoC库检测,支持
不少于3000个PoC检测规则,支持基于搜索条件,一键验证PoC漏洞验证功能,支持通过
可视化地图对目标区域进行框选,实现目标区域数据更新,目标区域的漏洞验证等功能。对
扫描出来的漏洞进行模拟利用(提供使用工具功能的截图证明材料)。
(4)资产关联信息画像:支持关联分析,以ip为目标,通过选择开启证书获取功能、c段
探测功能、whois查询功能、r/fDNS查询功能来探测目标ip的归属详情。
(5)数据检索支持高级语句快速查询,包括但不限于通过目标IP、IP类型、端口、协议、
设备类型、操作系统、服务、中间件、地理位置、起止时间、任务名称、关键词等进行检索;
支持ICON检索功能,可将已有的图标导入进行图标检索,增加检索方式的多样化;支持数
据下载,其中支持JSON、XML、CSV和XLS格式选择、导出范围选择;(提供使用工具功能
的截图证明材料)。
(6)资产管理可对资产端口添加标签,支持批量资产添加标签,支持批量资产删除标签,
同时可对用户自定义的标签进行管理;详情信息中支持基本数据包括更新时间、国家地区、
经纬度、运营商、操作系统、设备信息、端口服务等展示;支持资产统计展示,如;操作系
统、服务、运营商等,按照资产数量统计排序展示详细信息中支持对漏洞详情的展示(提
供使用工具功能的截图证明材料)。输出《系统资产测绘报告》。
7.11软件升级服务要求
(1)提供深信服AF-1000-C600 2 台防火墙1年安全特征库、应用识别库和URL分类库的定
期更新服务,保持防火墙具备监测并防御最新威胁的能力,提供1年产品质保,1年软件升
级;
(2)产品升级后支持路由模式、透明模式、虚拟网线模式、旁路镜像模式等多种部署方式。
(3)产品升级后支持虚拟防火墙功能,支持虚拟防火墙的创建和删除,具备独立的接口、
会话管理、应用控制策略、NAT等资源。
(4)产品升级后支持路由类型、协议类型、网络对象、国家地区等条件进行自动选路的策
略路由,支持不少于3种的调度算法,至少包括带宽比例、加权流量、线路优先等。
(5)产品升级后支持对压缩病毒文件进行检测和拦截,压缩层数支持15层及以上。
(6)产品升级后支持对不少于9100种应用的识别和控制,应用类型包括游戏、购物、图书
百科、工作招聘、P2P下载、聊天工具、旅游出行、股票软件等类型应用进行检测与控制。
(7)产品升级后支持勒索病毒检测与防御功能,需提供产品功能截图证明,并提供公安部
计算机信息系统安全产品质量监督检验中心、中国信息安全测评中心、中华人民共和国国家
版权局、公安部信息安全产品检测中心之中任意一家检测机构出具关于“勒索病毒”的证书
或检测报告证明功能有效性。(提供包含首页、功能页、尾页的第三方报告扫描件并加盖
厂商公章)
(8)产品升级后支持僵尸主机检测功能,产品内置僵尸网络特征库超过128万种,可识别
主机的异常外联行为。
(9)产品升级后支持基于应用、服务、时间、域名、IPv6对象等维度的访问控制。
(10)产品升级后支持Cookie攻击防护功能,并通过日志记录Cookie被篡改。所投产品必
须提供具备CMA认证的第三方权威机构关于“Cookie攻击防护”功能项的产品检测报告。(提
供包含首页、功能页、尾页的第三方报告扫描件)
(11)产品升级后支持策略生命周期管理功能,支持对安全策略修改的时间、原因、变更类
型进行统一管理,便于策略的运维与管理。(提供相关功能截图)
(12)产品升级后支持X-Forworded-For
字段检测,并对非法源IP进行日志记录和联动封
锁。(提供相关功能截图并加盖厂商公章)
(13)产品升级后支持基于地区维度设置流控策略,实现多区域流量批量快速管控功能。
(提供包含首页、功能页、尾页的第三方报告扫描件)
8.服务期限:合同签订后30个工作日内完成现场等级测评工作,出具测评报告。管理制度
编写及其他安全服务报告。
9.合同履行期限:3年(合同一年一签,合同期满一年后,第二年、第三年对其服务质量、
服务内容等进行考核,服务满意无异议,由管理科室考核合格后继续签订合同)。
10.本项目(否)接受联合体。
二、磋商文件的获取
时间:2023年10月30日至2023年11月03日,上午8:30-12:00时,下午14:30-18:00
时(北京时间,节假日除外);
地点华坪县中心镇狮山路河东村2组小蜜蜜芒果干三楼(云南当盛项目管理咨询有限公司)
方式:持以下证件现场获取竞争性磋商文件
1.营业执照原件或复印件(复印件加盖企业鲜章);
售价:竞争性磋商文件售价400元/份,磋商文件售后不退。
报价人对上述资料有异议的,应当在公告报名时间截止前及时致电咨询,未按上述要求提交
资料查验的,将不予受理报名登记。
2.报价人对上述资料有异议的,应当在公告报名时间截止前及时致电咨询,咨询电
15108889769 余工。
三、响应文件的递交
截止时间:2023年11月09日上午09点00分(北京时间)
地点:云南当盛项目管理咨询有限公司(华坪县狮山路文体中心对面小蜜蜜芒果干三楼)
四、开启
时间: 2023 年11月09日上午09点00分(北京时间)
地点:云南当盛项目管理咨询有限公司(华坪县狮山路文体中心对面小蜜蜜芒果干三楼)。
五、磋商保证金的缴纳
根据《云南省发展和改革委员会等部门关于鼓励减免政府投资项目投标保证金的通知》(云
发改交易管理<2023>397号)规定,政府投资项目进行招标投标活动时减免投标保证金,降
幅不得低于现收取数额的50%;
1.磋商保证金形式:转账支票或电汇(含网上银行汇款)。
2.磋商保证金截止时间:2023年11月08日18:00时前。
3.磋商保证金金额:人民币贰仟元整(¥2000.00元)
4.电汇汇入以下账户:
开户行名:云南当盛项目管理咨询有限公司
开户银行:华坪县农村信用合作联社西郊分社
银行账号:6100031383287012
(注磋商保证金必须从报价单位的基本账户一次性进入云南当盛项目管理咨询有限公司账
户,不得以现金进账方式交存。磋商保证金缴存后磋商申请人执磋商保证金缴存回执单到云
南当盛项目管理咨询有限公司更换磋商保证金收据)
六、公告期限
自本公告发布之日起5个工作日。
七、其他补充事宜
1.递交符合竞争性磋商文件各项要求的竞争性磋商申请文件。
2.参加竞争性磋商申请人须持本人有效身份证按时参加竞争性磋商会议(迟到视为自动放弃
参与本项目的竞争性磋商权利)。
3.2023年11月09日上午09时00分(北京时间)以后送达的竞争性磋商申请文件将被拒
绝。
4.参加竞争性磋商申请文件应严格按照竞争性磋商文件要求在规定的时间内交存磋商保证
金,否则视为放弃本项目磋商的权利。
5.本项目竞争性磋商公告在中国招标投标公共服务平台(www.cebpubservice.com)网站上
发布。我公司对其他网站或媒体转载的公告及公告内容不承担任何责任。
八、监督部门
本招标项目的监督部门为华坪县人民医院党总支委员会办公室。
九、联系方式
招标人:华坪县人民医院
地 址:华坪县中心镇
联系人:和瑞琪
电 话:13988831305
电子邮件:932496514@qq.com
招标代理机构:云南当盛项目管理咨询有限公司
地 址: 华坪县中心镇狮山路河东村2组云南当盛项目管理咨询有限公司(三楼)
联系人: 余工
电 话: 15108889769
电子邮件: 836452739@qq.com
么麒麟磕名)
招标人或其招标代理机构主要负责人(项目负责人):
招标人或其招标代理机构: (盖章)
解决方案
联系我们
返回顶部