招标
福州城投新基建集团有限公司2024年网络安全保障服务项目询价函
金额
-
项目地址
福建省
发布时间
2024/08/09
公告摘要
公告正文
福州城投新基建集团有限公司2024年网络安全保障服务项目询价函(招标编号:/)
项目所在地区:福建省,福州市
一、招标条件
本福州城投新基建集团有限公司2024年网络安全保障服务项目询价函已由项目 审批/核准/备案机关批准,项目资金来源为其他资金/,招标人为福州城投新基 建集团有限公司。本项目已具备招标条件,现招标方式为其它方式。
二、项目概况和招标范围
规模:/
范围:本招标项目划分为1个标段,本次招标为其中的:
(001)福州城投新基建集团有限公司2024年网络安全保障服务项目询价函; 三、投标人资格要求
(001福州城投新基建集团有限公司2024年网络安全保障服务项目询价函)的投标 人资格能力要求:报价人应提供合格有效的法人营业执照,具备独立法人资格 并有能力提供采购货物及服务的企业。;
本项目不允许联合体投标。
四、招标文件的获取
获取时间:从2024年08月09日 00时00分到2024年08月14日 17时59分 获取方式:详见下文
五、投标文件的递交
递交截止时间:2024年08月14日 18时00分
递交方式:详见下文纸质文件递交
六、开标时间及地点
开标时间:2024年08月14日 18时00分
开标地点:详见下文
七、其他
详见下文
八、监督部门
本招标项目的监督部门为/。
九、联系方式
招 标 人:福州城投新基建集团有限公司
地 址:福建省福州市台江区榕发商务中心2号楼8楼 联 系 人:张工
电 话:13799446374
电子邮件:/
招标代理机构:福州城投供应链集团有限公司
地 址: 福州市台江区鳌峰街道鸡笼洲路2号榕发商务中心2号楼4层 联 系 人: 李工
电 话: 0591-83618812
电子邮件: /
招标人或其招标代理机构主要负责人(项目负责人): (签名)
龙
V%
招标人或其招标代理机构: (盖章)
福州城投新基建集团有限公司
2024年网络安全保障服务项目询价函
尊敬的供应商:
我司拟开展2024年网络安全保障服务项目询价工作,贵公司 提交的本次报价函仅作为我司采购的参考价格,不视为贵公 司要约或要约邀请,也不视作贵公司承诺报价。恳请贵公司 能支持采购工作并欢迎贵公司参加后续的采购活动。
一、询价内容:
1.1项目名称:福州城投新基建集团有限公司2024年网 络安全保障服务项目
1.2服务范围:福州城投新基建集团本部及权属企业 1.3服务期限:一年
1.4服务模块与内容:
(一)管理制度梳理服务
(二)常态化安全运营服务
(三)重要时期安全保障服务
(四)培训服务
(五)上网认证系统
二、报价人的资格要求
报价人应提供合格有效的法人营业执照,具备独立法人 资格并有能力提供采购货物及服务的企业。
三、报价要求
(一)按照项目采购内容进行报价,向采购人做出一次性 书面参考报价;
(三)报价函提交方式:贵公司请于2024年8月14日下午18:00前提交;
1.请将加盖公章的企业基本情况表、授权委托书( 若有)、营业执照、报价函(格式详见附件1、2)以书面材 料密封完好,现场递交或邮寄至福州城投新基建集团有限公 司(地址:福建省福州市台江区榕发商务中心2号楼8楼,接 收人张工,联系电话13799446374)
2.密封要求:报价单位应在封套的封面上标明项目名称 及报价单位,并在封套的封口处贴上密封条并加盖报价单位 公章。(若未按照要求密封,报价文件无效)
四、询价信息公开在中国招标投标公共服务平台(http ://www.cebpubservice.com/)、福州城投优采在线(https ://fuzhouctyc.com/)、 上发布。
附件1:企业基本情况表(加盖单位公章)附件2:报价函
采购人:福州城投新基建集团有限公司 2024年8月9日
附件1:企业基本情况表
报价单位: (盖单位公章)
法定代表人或授权委托人: (签字或盖章)
日期: 年 月 日
注:1.填写表格如行数不够,可另行增加行数或附页。
2.应附上企业营业执照复印件并加盖单位公章。
3.若由授权委托人签字,需提供授权委托书,格式自拟。
附件2
报 价 函
福州城投新基建集团有限公司:
我司已收到本项目的询价函,经研究并满足贵公司提出 的服务要求后,我司提交的报价如下:
1.以上报价仅作为我司本项目的参考报价,不作为要约或要约
邀请,也不视为承诺。
2.以上报价包含人工费、管理费、利润及税费等一切费用。
报价公司:(加盖公章)
联系人及联系方式:
日期:2024年 月 日
| 序号 | 服务项目 | 工作内容 | 交付成果 | 次数 |
| 1 | 管理制度梳 理 | 服务内容: 1.参考公司相关制度和规定,梳理网络安全组织职责、岗位职责、岗位要求等。2.第三方人员管理制度,包 括第三方访问管理、第三方 安全要求等。 3.信息系统设备安全管理制 度,包括设备安全管理、软 硬件维护管理、设备使用管 理。 | 网络安全相关 管理制度、操 作规程 | 2次/年 |
| 4.台账检查类服务,包括信 息化台账管理、应用安全检 测、安全渗透测试、安全应 急演练、安全措施有效性验 证、安全培训、等保系统安 全性工作检查服务等。 5.信息系统安全管理制度,包括系统安全策略、安全配 置、账号安全、日志管理、日常操作流程等。 |
| 序号 | 服务项目 | 工作内容 | 交付成果 | 次数 |
| 1 | 安全评估 | 1.服务内容: 1.1保障业务正常运行的情况 下,根据相关要求,结合采 购方业务情况,细化漏洞优 先级,提出切实可行的安全 加固意见,对业务系统进行 安全评估,协助系统集成商、应用厂家等进行安全加固。降低现网系统的安全风险,提高现网系统的安全水平,提高我司业务系统的安全 防护能力。 1.2对新入网系统以及IT网元 进行资产识别和估价,漏洞 扫描和配置合规性检查,网 络架构分析,运维安全合规 性检查,安全策略评估等。确保设备入网时满足安全要 求:确保满足网络与系统总 体安全要求、安全加固及补 丁安全要求、账号口令及日 志审计要求、终端安全要求、应用软件安全要求等。 | 安全评估报告 | 4次/年 |
| 2 | 暴露面扫描 | 1.服务内容: 1.1提供的公网暴露面扫描工 具功能: 1.2支持发现资产现状 1.3支持发现客户未知的资产 情况:未出现在客户已知范 围内的客户相关域名和IP资 产 | 漏洞扫描报告 | 12次/年 |
| 1.4支持发现攻防演练相关资 产:攻防演练时攻击对可能 会利用的系统(防火墙、VPN 等) 1.5支持发现开源代码 | ||||
| 3 | 渗透测试 | 1.服务内容: 1.1按各使用部门要求对暴露 面资产等对外服务系统进行 无损型渗透测试,发现系统 可能存在的弱点,最大限度 的降低这些公众服务系统被 黑客入侵的可能性;对内网 重要信息化系统、互联网出 入口进行无损型渗透测试,最大限度的降低这些系统被 入侵的可能性。 ★承诺在服务期间,提供渗 透测试工具、威胁情报数据 库、网络空间搜索引擎工具、共享网盘搜索工具等相关 资源和工具,并完成相关工 具的上线部署、实施工作。 1.3渗透服务内容包括: Web安全与渗透测试 病毒与木马查杀 网络渗透与防御 安全加固 1.4现场渗透测试人员在接到 采购方的渗透测试申请后,确定渗透测试的资产范围与 施工时间后,根据具体情况 调整渗透测试的各种规则和 手段,尽量减小对采购方网 络和系统的影响。渗透结束 后,生成对应业务系统的渗 透测试报告。向我单位提交 文档并进行讨论确定,完成 渗透任务。 1.5为了体现服务公司的渗透 测试实力,要求提供渗透测 试工具包,工具包内包含的 所有工具能够针对测试对象 进行脆弱性检查,具备获取4 个及以上的漏洞发现能力。 | 系统渗透测试 报告 | 4次/年 |
| 1.6需提供WEB扫描自动化工 具,通过web扫描自动化工具,与人工手动测试相结合,提升对漏洞的发现。 1.7提供的WEB自动化扫描工 具功能: 可根据需求配置扫描策略,可选择深度扫描、智能扫描 和快速扫描。 支持动态和静态结合的交互 式检测。 报表中可提供漏洞的详细场 景信息,如判断标准,判断 详情,请求头,响应头,响 应内容。 | ||||
| 4 | 技术支持 | 1.服务内容: 1.1提供日常安全咨询与技术 支持服务。 1.2熟悉采购方情况,提供切 实可行的支撑、响应方案。1.3参照信息安全等级保护规 范要求进行安全基线检查,通过专业的配置核查工具结 合人工分析的方式,根据普 通安全规范要求,对操作系 统及服务器主机(Windows、Linux、Unix、AIX等)、数 据库(oracle、DB2、Mysql、Sybase等)、中间件(Web Sphere、Tomcat、Apache、I IS等)、网络设备、安全设 备进行安全配置核查,及时 发现不合规配置,提出修改 方案或者建议,并提供相应 的配置核查评估报告。 1.4依据国家标准及日常信息 系统安全常见漏洞用主机加 固工具对操作系统及主机系 统进行安全加固。 ★时限要求:在接到采购方 启用应急响应服务通知后,安全专家应能在1个小时内到 达采购方现场,如遇现场安 全专家无法解决的安全事件 | / | 按需提供 服务(不 少于2次/ 年) |
| ,远程资深安全专家团队人 员应在4小时内到达现场。 | ||||
| 5 | 安全加固支 持 | 1.服务内容: ★承诺在日常服务期间,遇 到我单位某业务系统暂时无 法整改,需要进行安全加固 时,需免费承诺提供2套入侵 防护、2套WEB应用防火墙、5 0套防篡改软件和1套云安全 集中管理平台,并完成上线 部署、实施工作。承诺提供 的入侵防护,网络吞吐量不 少于20G。承诺提供WEB应用 防火墙,应用层吞吐量≥6Gb ps。承诺提供的网页防篡改,需支持window、linux、或 国产化操作系统。承诺提供 的云安全集中管理平台,支 持基于X86服务器即可完成平 台部署,采用旁路部署模式。可以通过策略路由实现防 护流量牵引,也可以通过对 接SDN控制器、核心交换机、路由器实现自动牵引,非网 络设备硬件一虚多的方式。 | 服务期间提供2 套入侵防护、2 套WEB应用防火 墙、50套防篡 改软件和1套云 安全集中管理 平台 | 提供全年 的安全加 固服务 |
| 6 | 安全运维及 应急响应 | 1.服务内容: 1.1提供安全运维支撑及应急 响应方案,结合现网情况提 供应急响应、应急处置、安 全咨询服务等,必须包含对 下列安全运维方案的详细说 明:1、安全风险态势整体监 控和分析服务; 2、网站检测与快速响应服务; 3、DDOS攻击监控运营服务;4、攻击溯源分析; 5、DNS劫持监测与分析。 1.2提供安全事件应急响应服 务,提供安全事故报告文件,提供安全弱点和可疑事件 报告,提供7*24*365小时安 全事件应急响应服务。当出 现安全事件时,及时进行响 | 安全事故报告(若有) | 按需提供 服务(不 少于2次/ 年) |
| 应。如遇紧急安全事件,福 州市区1个小时到达现场给予 技术支撑。 | ||||
| 7 | 应急演练 | 1.服务内容: 1.1提供安全事件的完整模拟,通过进行真实的攻防行为,已达到提升系统管理员安 全技能的目的。 1.2需根据实际业务情况,提 供网页防篡改、域名劫持和 网络安全病毒传播安全事件 的应急预案报告、应急演练 方案和应急演练总结报告。1.3拟定安全预案模拟各类安 全攻击和演练场景,针对性 的进行安全演练操作,包括 恶意代码应急演练、DDOS攻 击应急演练、网络故障应急 演练、操作系统故障应急演 练、重要业务故障应急演练 等,协助组织相应人员演练。 | 应急预案报告、应急演练方 案和应急演练 总结报告 | 4次/年 |
| 序号 | 服务项目 | 工作内容 | 交付成果 | 次数 |
| 1 | 安全通告服 务 | 服务内容: 1.向采购方提供国内外安全 资讯,提供最新安全动态信 息,帮助采购方安全管理员 在最快的时间内了解重要的 安全信息。 2.在重保期间,提供威胁情 报数据,关闭不需要的服务 端口,减少暴露面,并做好 互联网攻击IP、可疑IP的封 堵。在攻防实战对抗防护期 间,安全监控小组将对公开 来源的安全情报进行实时监 控,其中包括安全威胁情报 监控、安全漏洞情报监控及 外部披露情报监控。安全监 控小组通过监控公开威胁情 报平台获取最新安全威胁情 报;通过监控漏洞情报平台 | 安全预警报告 | 重保时期 提供服务 |
| 获取最新漏洞情报;通过监 控相关论坛网站获取外部披 露情报;通过对安全情报内 容进行过滤,筛选出符合保 障资产信息的情报,并完成 安全情报处置。 ★提供安全预警报告,向采 购方指定人员提交安全预警 通告信息,如遇紧急预警在 预警发布的实时提供。安全 预警报告需按采购方各单位 实际系统软件使用情况定制。 | ||||
| 2 | 安全监测服 务 | 1.服务内容: 提供专业的网站安全监测服 务,包括如何使用威胁情报 系统+人工的方式,实时监测 和周期度量网站的风险隐患,一旦发现网站存在风险状 况,值守保障团队第一时间 通知相关处置人员。 (1)主机资产监控 在实战对抗防护期间,为及 时发现资产对外暴露安全风 险,安全监控小组将定时对 外网资产进行监测,统计当 天外网活跃主机数目,开放 端口个数及端口服务类型,并通过人工分析确认是否存 在异常端口对外开放。 (2)网站安全监控 在实战对抗防护期间,对网 站提供完整性检测、可用性 检测。完整性监测能够甄别 出防护站点页面是否发生了 恶意篡改,是否被恶意挂马,是否被嵌入敏感内容等信 息;可用性检测能够帮助防 守方了解站点此时的通断状 | 安全监测报告 | 重保时期 提供服务 |
| 况,延迟状况。 资产发现 0day爆发快速排查 网站黑词、黑链 网站篡改监测 网站挂马监测 敏感词监测 钓鱼网站监测 ★承诺重保网站内容监控服 务7*24小时,并可以提供日、周级别的安全报告,工作 频率可由采购方自选。 | ||||
| 3 | 日志分析服 务 | 服务内容: 协助对各类系统(IDS、WAF、WEB服务器等)产生的日志 进行数据分析,及时发现攻 击事件和可疑行为,提供日 志分析报告。 1.事件分析法 通过确定事件类型,IP地址 检索,风险级别过滤,时间 搜索过滤等方式,进而确定 攻击IP地址和时间段,最终 完成攻击结果分析。 2.流量包样本分析法 通过获取流量报文,检查触 发攻击的关键字段,分析攻 击类型,触发规则,再判断 是否误报,最终完成攻击结 果分析。 | 日志分析报告 | 重保时期 提供服务 |
| 4 | 协助防守服 务 | ★承诺在特殊保障服务期间,提供所需的2套全流量设备、1套安全态势感知平台和1 套威胁情报平台,并完成上 线部署、实施工作。承诺提 供的全流量设备,性能不少 于吞吐量10G。承诺提供的安 全态势感知平台,支持集约 化部署,平台具备软件化部 署能力,软件形态支持部署 在物理机/虚拟机/云环境/XC 环境。承诺提供的威胁情报 平台,具备软件化部署能力,支持双机热备和集群分布 | 2套全流量设备、1套安全态势 感知平台和1套 威胁情报平台 | 重保时期 提供服务 |
| 式部署。 | ||||
| 5 | 协助溯源反 制服务 | 监控现网的安全态势平台发 现可以攻击行为,进行人工 分析和判断、并通过攻击溯 源平台发现攻击源,确认攻 击行为存在后,监测组将初 步分析结果反馈事件研判组 综合分析研判后报工作组决 策,通知应急处置组启动Web 漏洞利用攻击事件应急预案,同时事件研判组队IP及现 有告警进行攻击者、攻击手 法溯源。 1、应急处置组及时响应并处 置,若遇到应用部署在内网 侧,则需溯源攻击路径并执 行应急预案,具体处置步骤 如下: 在防火强封禁IP; 排查安全设备监测日志、应 用系统日志等查找漏洞风险 点; 针对域名启用、添加安全防 护策略; 应用系统管理员排查后门文 件; 通知开发团队根据厂商建议 进行应用整改加固。 2、应急处置组将处置结果上 报工作组,同其他工作组上 报处置过程至上报组,由上 报组编写完成后,交由工作 组、小组审阅,无问题后完 成上报。 | 溯源反制报告 | 重保时期 提供服务 |
| 序号 | 服务项目 | 工作内容 | 交付成果 | 次数 |
| 1 | 安全意识及 安全技术培 训 | 服务内容: 1.为企事业单位工作人员提 供安全意识培训,培训内容 包含但不限于:网络安全形式、国家政策法规、办公安全 和个人信息安全等方面。 | 开展培训、培 训报告 | 4次/年 |
| 2.为企事业单位网络安全技 术人员提网络安全技术培训,培训内容包含但不限于:我 国网络安全形式、国家行业 法律规范要求、网络安全攻 防技术、网络安全加固技术、网络安全应急处置技术等。 | ||||
| 2 | 安全渗透测 试 能力培训 | 服务内容: 1.要求服务公司为我单位相 关技术人员提供专业化的安 全培训,包括但不限于安全 评估、渗透测试,内容包含:高危运维端口发现、弱口 令扫描、系统漏洞扫描、渗 透测试等,通告培训使得我 单位技术人员可以诊断等保 系统可能存在的安全风险,及时对系统安全问题进行指 导整改和复查。 | 开展培训、培 训报告 | 2次/年 |
| 3 | 攻防技能培 训 | 提供攻防实战能力包括: 1.提供全面展示实训状况(实训方案、实训课程、实训 人员、实验/离线人数、学生 的实时操作、学生课程完成 度等信息,并支持通过不同 图标展示学生的离线,在线,完成等状态,以便教员实 时掌握学员实训进度)。 2.实训培训支持实训预览功 能(实训名称、实训目的、创建教师、成绩组成标准、实训描述、实验列表、实验 试卷、实训人员等)。 3.竞技培训支持提供可疑作 弊告警(队伍名称、异常活 动、涉嫌违规内容、级别等 内容,并支持对可疑行为进 行扣分、封禁团队或选手等 操作)。 | 开展培训、培 训报告 | 2次/年 |
| 序号 | 项目 | 内容 | 交付成果 | 次数 |
| 1 | 用户认证管 | 认证系统支持高可用性部署 | 用户认证系统 | 提供全年 |
| 理部署要求 | 和云化部署。 | 服务支持 | ||
| 提供高性能用户认证平台:认证平台需具有开放性,具 有良好的兼容性,能与主流 品牌(锐捷、华为,Juniper, 中兴,H3C,Cisco)无线AC或B RAS对接,提供无感知认证模 块:可以实现基于MAC和802. 1x 的用户无感知认证功能。 | ||||
| 提供高性能Poral平台:提供 配合无线AC或多业务路由器 弹出用户定制的认证页面,提供方便的用户自助服务平 台,实现用户自助,实现多 种AC的外置Portal对接,和C OA策略下发。 | ||||
| 提供无感知认证模块:可以 实现基于MAC和802.1x 的用户无感知认证功能。 | ||||
| 提供用户及策略平台:实现 用户/用户组管理、策略单管 理、查询统计、系统管理、权限管理等各种功能。 | ||||
| 认证系统必须能够部署在国 产操作系统中,数据库平台 使用Mariadb或国产数据库;使用模块化设计,应用模块 可以分离部署。认证模块必 须采用Redis高性能数据库架 构设计。 | ||||
| 提供统一用户管理系统及数 字化对接模块:实现和统一 认证中心、统一用户数据库、邮件系统的对接,实现客 户统一认证、管理及策略权 限分发的功能。 | ||||
| 2 | 认证系统性 能要求 | 支持的认证方式:PPPoE认证,Web portal认证,DHCP+Portal认 证、802.1x认证,IPoE认证,L2TP认证,MAC认证、VLAN 认证、令牌认证、智能卡认 证。 | / | 提供全年 服务支持 |
| 智能认证网关采用高性能认 |
| 证平台专用硬件,含用户实 名制认证、带宽管理、在线 监控等功能;至少提供4个10 00M光口和4个1000M电口,双 电源冗余模块,支持热插拔。 | ||||
| 认证系统同时在线用户数:需具备用户同时在线用户数 不少于1000用户。 | ||||
| 认证系统每秒新增Radius鉴 权数大于2000。 | ||||
| 3 | IPv4及IPv6 认证功能要 求 | 提供认证系统,能与客户现 有核心设备进行IPv4及IPv6 用户上网认证实现用户的认 证、管理、策略下发和监控 功能;同时能够兼容主流核 心交换机、BRAS及路由器。 | IPv4及IPv6 认证系统 | 提供全年 服务支持 |
| IPv6 支持:具备IPv6 用户认证、管理、策略下发 等功能。 | ||||
| 提供IPv6无感知认证功能:实现基于二元素(终端类型、mac地址、)无感知认证体 系,实现终端类型、MAC地址 和用户信息绑定。 | ||||
| 系统能够支持无线有线统一 帐号的一体化认证及跨地域 漫游认证。 | ||||
| 具备多种形式的本地账户的 自注册服务,提供客户需求 的方式;并支持批量新增、删除、修改本地账户。 | ||||
| 具备消息策略功能,实现用 户策略(流量、时长)使用 达到阀值后为用户发送短信 或微信通知。 | ||||
| 能够实现冗余布置,提高系 统稳定性。 | ||||
| 系统支持定时的本地和远程 的全自动数据备份,并可以 通过Web管理界面进行数据恢 复。 |
| 4 | 多样化的访 客功能要求 | 预置普通访客、团体访客、长期访客、会议室访客、新 生访客等常用访客角色,方 便管理者快速配置。 | 访客认证系统 | 提供全年 服务支持 |
| 支持访客申请、审批、授权、分发、审计、下线、冷却、销户的全生命周期管理。 | ||||
| 灵活的实名审核模式:访客 扫二维码获取短信验证码、员工扫访客二维码,团体访 客扫描会议二维码、后台预 约审核等。 | ||||
| 多样化账号审核通知方式: 短信、email、微信推送、We b方式通知。 | ||||
| 访客认证支持方式方式:二 维码、短信、钉钉等。 | ||||
| 访客账号类型需支持以下内 容: 1.访客验证码(邮件、短信、APP下发) 2.批量发送验证码(邮件、短信、APP下发) | ||||
| 支持可配置细致的访客审核 权限,提供给不同访客场景 独立的访客审核管理权限,角色权限包括:访客申请审 核页面、审批访客类型、是 否允许审核、最大审核期限、最大审核人数、批量导入 权限、访客组控制策略配置、指定访客组。 | ||||
| 支持多维度可视化分析,包 括:访客在线实时监控、各 访客类别/访客组用量分布、资费、上线次数、人数统计、访客充值统计、访客无感 知统计、访客外部认证统计。 |
| 一、企业基本情况 | |
| 企业名称: | 法人代表: |
| 地址: | 邮编: |
| 联系人: | 手机: |
| 注册资本: 万元 | 主营产品: |
| 企业简介: | |
| 序号 | 服务项目 | 金额(元,含 税) | 备注 |
| 1 | 管理制度梳理服务 | ||
| 2 | 常态化安全运营服务 | ||
| 3 | 重要时期安全保障服务 | ||
| 4 | 培训服务 | ||
| 5 | 上网认证系统 | ||
| 6 | 合计 |
解决方案
联系我们
返回顶部