中标
[省本级]江西师范大学采购网络安全服务项目结果公示
网络安全服务安全运维服务安全检测服务应急响应服务风险评估服务渗透测试服务系统漏扫APP检测安全巡检服务网站安全监测重保服务资产发现服务应急演练服务其他服务整体设计规范编制项目管理监理业务系统开发单位完成整改后进行复测业务系统安全检测事件分析与定位配合入侵取证调查业务系统运行安全防护策略调整安全产品应用系统安全事件处理应急处置工具箱资产评估威胁评估脆弱性评估风险综合分析一次漏洞扫描漏洞扫描评估工具安全漏洞检测和分析APP渗透服务人工测试安全测试CISP安全服务网络安全设备硬件检查系统检查性能检查运行情况检查互联网业务系统监控服务重大活动保障服务原厂安全服务必要设备进行现场值守问题咨询故障诊断问题处理配合设备更换配合信息系统定级安全评估Web渗透测试安全审计改进建议与措施修复漏洞业务运行风险监管检查信息安全保障网络安全事件安全稳定运行安全风险预警安全形势与事件最新漏洞信息通报安全解决建议紧急信息安全事件应急处置水平系统安全漏洞安全风险通告服务安全咨询等级保护咨询安全等级保护定级咨询等级保护差距分析安全体系规划信息安全建设信息安全体系模型安全协助安全检查安全主流产品网络设备安装配置故障排查服务工程师及应急响应技术支持网络安全监测工具监测类工具维护保养操作技能工作原理日常维护故障检修安全事项维修技术服务材料备品备件故障排除服务
金额
38.5万元
项目地址
江西省
发布时间
2022/07/23
公告摘要
项目编号jxzc2022-j267
预算金额40万元
招标公司江西师范大学
招标联系人钟老师
招标代理机构江西政昌招标咨询有限公司
代理联系人石雅玲0791-88268890
中标公司江西奥通信息产业有限38.5万元
中标联系人-
中标公司江西奥通信息产业有限公司
中标联系人郭海晓0791-86318403
公告正文
[省本级]江西师范大学采购网络安全服务项目结果公示
江西师范大学采购网络安全服务项目结果公示
一、项目编号:
JXZC2022-J267
二、项目名称:
江西师范大学采购网络安全服务项目
三、中标(成交)信息:
供应商名称:江西奥通信息产业有限公司
供应商联系人:郭海晓
供应商联系电话:0791-86318403
供应商地址:江西省南昌市八一大道357号财富广场A座21层
中标(成交)金额(元)(%):385000.00
四、主要标的信息:
| 名称 | 服务范围 | 服务要求 | 服务时间 | 服务标准 |
| 江西师范大学_公用支出 | 详见“采购文件” | 详见“采购文件” | 一年 | 详见“采购文件” |
五、评审专家名单:
张冬平,胡铭元,胡文跃
六、代理服务收费标准及金额:
5775.00 元
七、公告期限:
自本公告发布之日起1个工作日。
八、其他补充事宜:
无
九、凡对本次公告内容提出询问,请按以下方式联系:
1.采购人信息
名称:江西师范大学
地址:江西省南昌市紫阳大道99号
联系方式:0791-88120215
2.采购代理机构信息
名称:江西政昌招标咨询有限公司
地址:江西省南昌市高新区紫阳大道2999号紫阳明珠办公楼B2栋1410室
联系方式:0791-88268890
3.项目联系方式
项目联系人:钟老师
电话:0791-88120215
本项目代理费用金额为5775.0元
标段编号:JXZC2022-J267
评委姓名:张冬平,胡铭元,胡文跃
附件下载:
中标通知书.pdf 中标通知书.pdf
附件下载:
江西师范大学采购网络安全服务项目定稿.pdf 江西师范大学采购网络安全服务项目定稿.pdf
中标通知书.pdf 中标通知书.pdf
附件下载:
江西师范大学采购网络安全服务项目定稿.pdf 江西师范大学采购网络安全服务项目定稿.pdf
成交通知书
江西奥通信息产业有限公司:
江西政昌招标咨询有限公司受江西师范大学的委托,对江西师范大学采购网络安全服务项
目采购项目(采购编号:JXZC2022-J267)进行竞争性谈判采购。经评标委员会评定,采购方确
定,中标结果如下:
| 货物名称 | 单位 | 数量 | 采购目录 | 参数规格 | 中标单位 | 中标金额(元)/折扣率(%) |
| 江西师范大学_公用支出 | 年姿 | 安全运维服务 | 江西奥通信息产业有限 | 385000.0000 |
项目编号
赣购
2022F000623863
主当理
请在收到本通知与采购单位签订政府采电拒不签订政府
采购合同,将根据府采规定追究法律责任。Y和
招标单位机构(盖章):
招标代理机构(
江西政昌招标咨询有江西师范大学公司。
日期:2022年07月21日日期:2022年07月21日
政府采购
电子化竞争性谈判文件
项目名称:江西师范大学采购网络安全服务项目
项目编号:JXZC2022-J267
江西政昌招标咨询有限公司
中国南昌
1
目录
第一章谈判邀请
第二章谈判须知
一、说明
二、谈判文件
三、谈判响应文件的编制
四、谈判响应文件的递交
五、谈判
六、授予合同
七、采购代理服务费
八、意外情况的情形和处理
九、附则
第三章江西师范大学
第四章附件(谈判响应文件格式)
1.谈判响应书
2、开标一览表
3、分项报价表
4.技术规格响应/偏离表
5.商务条款响应/偏离表
6.供应商情况一览表
7.中小企业声明函
8、统计上大中小微型企业划分标准
9.残疾人福利性单位声明函
10.资格证明文件
11、最终报价表
12、技术文件
第五章采购需求表及技术要求
第一章谈判邀请
| 江西政昌招标咨询有限公司受江西师范大学委托,依据江西省政府采购工作领导小组办 |
| 公室下达的赣购2022F000623863号采购计划,就其采购的网络安全服务项目进行竞争性谈判, |
| 欢迎合格的供应商参加。 |
1、采购编号:JXZC2022-J267
2、项目名称及数量:
| 项目编号 | 项目名称 | 数量单位 | 采购总预算 |
| 赣购2022F000623863号 | 网络安全服务 | 1项 | 40万 |
详细清单
| 序号 | 设备名称 | 数量单位 |
| 1 | 业务系统上线安全检测服务 | 2个 |
| 2 | 应急响应 | 1年 |
| 3 | 风险评估服务 | 1次 |
| 4 | 渗透测试服务 | 1年(20个系统) |
| 5 | 系统漏扫 | 4次 |
| 6 | APP检测 | 1次 |
| 7 | 安全巡检 | 2次 |
| 8 | 网站安全监测 | 1年 |
| 9 | 重保服务 | 1年 |
| 10 | 资产发现服务 | 4次 |
| 11 | 应急演练服务 | 1年/次 |
| 12 | 其他服务 | 1年 |
注:1、以上未注明进口产品的,均为国产产品,并且不允许提供进口产品参加谈判。
3、供应商的资格要求:
(1)具有独立承担民事责任的能力,具有独立企业法人资格(营业执照、税务登记证、
组织机构代码证或新版三证合一执照);
(2)有依法缴纳税收和社会保障资金的良好记录(谈判前六个月(2022年2月-2022年
7月)任意一月缴纳税款的凭证或证明、谈判前六个月(2022年2月-2022年7月)任意一月缴
纳社会保障资金的凭证或证明);
(3)参加政府采购活动前三年内,在经营活动中没有重大违法记录声明函;
(4)具有良好的商业信誉(资信状况的书面声明函)和健全的财务会计制度(提供上一
年度经审计的财务报告或银行出具的资信证明或财政部门认可的政府采购专业担保机构出具
的竞谈担保函);
(5)具有履行合同所必须的设备和专业技术能力(良好的技术支持和完善的服务的书面
声明函);
(6)供应商被“信用中国”网站列入失信被执行人和重大税收违法案件当事人名单的、被
“中国政府采购网”网站列入政府采购严重违法失信行为记录名单(处罚期限尚未届满的),
不得参与本项目的政府采购活动。(提供信用中国、中国政府采购网网上查询截图)
4、投标单位的其他要求:
(1)本项目不接受联合体投标。
(2)必须是在江西省公共资源交易网(网址:http://ggzy.jiangxi.gov.cn/jxzbw/下同)
注册并办理CA数字证书和电子签章的投标人;
5、落实的政府采购政策
本项目采购落实小微企业、监狱企业、节能、环保产品等政府采购政策,具体规定详见
谈判文件第二章谈判须知。
6、谈判保证金:
谈判供应商在谈判响应文件递交截止时间之前必须向采购代理机构提交5000元人民币
的谈判保证金。谈判保证金缴纳方式及银行账户信息详见谈判文件第二章谈判须知。
7、采购代理服务费:本项目向成交供应商收取采购代理服务费,收费标准详见谈判文件
第二章谈判须知。
8、有意向的供应商可从从2022年07月11日9:30时起至2022年07月13日16:30时(北
京时间、节假日除外)在江西省公共资源交易网上(网址:http://jxsggzy.cn/web/)下载谈判文
件,未在规定时间内下载谈判文件电子版的投标人其投标将被拒绝(投标人下载谈判文件电
子版遇到问题可拨打客服电话400-998-0000)。
9、竞争性谈判时间为:2022年07月20日14:00时(北京时间)。届时请投标人的法人
或经正式授权的代表携带身份证原件和CA证书出席开标大会。
10、CA证书递交地点和竞争性谈判地点:江西省南昌市东湖区省府西二路1号发改委综
合楼6楼614号(13号竞谈/谈判室)。
11、其他补充事宜:
11.1投标人必须在竞争性谈判时间截止前将电子投标文件上传至江西省公共资源交
易网,逾期投标无效。
11.2本项目采用电子化谈判模式,加盖电子签章的电子版响应文件必须在谈判截止时
间前上传到江西省公共资源交易网,CA数字证书必须在谈判截止时间前送达指定的谈判地点;
11.3本项目采用电子化谈判模式,谈判现场不提供网络环境,请供应商自行搭建网络
环境进入系统操作,并提前在笔记本电脑下载安装驱动。因谈判过程中二次报价需要使用电
子签章,各供应商需自行携带笔记本电脑和CA主锁到谈判现场报价,二次报价时间为20分
钟,20分钟内未完成二次报价的,视为退出谈判。
采购单位联系人:钟老师,采购单位联系电话:0791-88120215
采购单位联系地址:江西省南昌市紫阳大道99号
采购代理机构名称:江西政昌招标咨询有限公司
详细地址:江西省南昌市高新区紫阳大道2999号紫阳明珠办公楼B2栋1410室
邮编:330098
联系人:石雅玲蒋亚娟联系电话:0791-88268890
传真:0791-88268890,电子函件:jiangxizhengchang@163.com
账户名称:江西政昌招标咨询有限公司
开户行:中国银行股份有限公司南昌市瑶湖支行
账号:199237211226
第二章谈判须知
供应商须知前附表
| 序号 | 内容 |
| 1 | 投标保证金:伍仟元整(人民币5000元整)到帐时间:截止竞争性谈判时间止(以到帐时间为准)本项目保证金应当采用支票、汇票、本票、网上银行支付或者金融机构、担保机构出具的保函等非现金形式交纳。提交谈判保证金的截止时间与竞争性谈判时间截止时间一致。保证金交纳要求:1.采用银行电汇、转账、网上银行形式:保证金交至以下账户,并在开标签到时,保证金格式表(单独打印一份)与CA锁同时递交。(保证金格式表详见谈判文件格式):开户名:江西政昌招标咨询有限公司开户行:江西省农村信用社联合社账号:1018493000000181672.采用保函形式:2.1采用银行出具保函的,须为供应商基本账户出具的“见索即付”保函(响应文件中提供开户许可证复印件)或南昌市辖区内商业银行出具的不可撤销、见索即付及无固定期限的独立银行保函;2.2采用专业担保机构出具保函的,该担保机构须为南昌市辖区内信用等级AA级及以上的融资担保机构(响应文件中提供担保机构营业执照复印件、专业评级机构信用等级认定证书复印件)出具的“见索即付”保函;2.3响应文件中提供保函复印件,保函有效期须不少于谈判有效期。2.4保函原件在竞争性谈判时间止前递交,逾时不予接受,视为未提供。2.5所有递交的保函原件在采购结束后由采购代理机构留存,不予退回。3.采用其他非现金形式:响应文件中提供符合国家规定的相应凭证佐证。注:供应商须按上述要求交纳谈判保证金,否则视为无效响应。 |
| 2 | 谈判有效期:自谈判之日起不少于90天 |
| 3 | 供应商在递交CA锁时须提供一份响应文件电子版(电子版与CA锁上传版本须为同一版本;U盘即可,U盘不退),否则被视为无效投标。 |
| 4 | 成交标准:在符合采购需求、质量和服务相等的前提下,以提出最低报价的供应商作为成 |
| 交供应商。注:(1)对小型和微型企业产品的价格给予10%的扣除,用扣除后的价格参与评审。(2)监狱企业视同小型、微型企业,享受评审中价格扣除等政府促进中小企业发展的政府采购政策。(3)残疾人福利性单位视同小型、微型企业,享受评审中价格扣除等政府促进中小企业发展的政府采购政策;福利性单位属于小型、微型企业的,不重复享受政策。(4)对符合政府采购优先采购政策的节能产品(属于政府强制采购节能产品范围的除外)、环境标志产品给予优先采购(节能、环境标志产品由供应商所在清单页的复印件或截图)。 | |
| 5 | 采购代理服务费:采购代理服务费由成交供应商交纳,成交金额100万元人民币(含)以内部分,按1.5%的费率收取;成交金额100万元至500万元人民币(含)以内部分,按1.1%的费率收取.代理报酬的支付方式:可采用现金缴纳或转账两种方式,由成交供应商支付;代理报酬的支付时间:竞争性谈判活动结束时,发放成交通知书前。代理报酬支付账号:账户名称:江西政昌招标咨询有限公司开户行:中国银行股份有限公司南昌市瑶湖支行账号:199237211226 |
一、说明
1.适用范围
1.1本谈判文件仅适用于本“谈判邀请”中所述货物和相关服务的采购。
2.定义
2.1“采购人”详见“谈判邀请”。
2.2“采购代理机构”:江西政昌招标咨询有限公司
2.3“供应商”是指向采购人提供“谈判邀请”中采购内容的法人、其它组织或者自然人。
3.合格供应商
3.1供应商的资格条件:详见“谈判邀请”
3.2对供应商的限制
3.2.1单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一
合同项下的政府采购活动;否则,相关投标均被视为无效投标。
3.2.2为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,
不得再参加该采购项目的其他采购活动;否则,相关投标均被视为无效投标。
3.3联合体竞争性谈判
3.3.1本项目不接受联合体竞争性谈判。
3.4供应商的家数计算
3.4.1提供相同品牌产品的不同供应商参加同一合项目的,以其中通过资格审查、符合性审
查且最终报价最低的参加评审;
3.4.2非单一产品采购项目,采购单位应当根据采购项目技术构成、产品价格比重等合理
确定核心产品,并在谈判文件中载明。多家供应商提供的核心产品品牌相同的,按前款
规定处理。
4.谈判费用
4.1不论谈判的结果如何,供应商应自行承担所有与准备和参加谈判有关的全部费用。采购
代理机构和采购人在任何情况下均无义务和责任承担这些费用。
5.供应商代表
5.1指全权代表供应商参加谈判活动并签署谈判响应文件的人。如果供应商代表不是法人代
表,须持有《法人代表授权书》(格式详见“第四章附件”)。
二、谈判文件
6.谈判文件的构成
6.1要求提供的货物和相关服务、谈判过程和合同条款在谈判文件中均有说明。谈判文件共
六章,各章的内容如下:
第一章谈判邀请
第二章谈判须知
第三章合同格式
第四章附件(谈判响应文件格式)
第五章采购需求表及技术规格
6.2除非有特殊要求,谈判文件不单独提供谈判货物使用地的自然环境、气候条件、公用设
施等情况,供应商被视为熟悉上述与履行合同有关的一切情况。
7.谈判文件的澄清和修改
7.1在提交响应文件截止日前,采购人及采购代理机构可主动地对已发出的竞谈文件进行
必要的澄清或修改,该澄清或修改的内容为竞谈文件的组成部分,澄清或修改将在江西省财
政厅指定的政府采购信息发布媒体上发布更正公告。
7.2任何对竞谈文件内容有疑问的供应商,均应在提交响应文件的截止时间二日前以书面
形式提交《问询函》至本采购代理机构,其他方式无效。采购代理机构将及时给予答复。供
应商在规定的时间内未对竞谈文件提出澄清要求,采购代理机构将视为同意。
7.3采购人或者采购代理机构可以对已发出的谈判文件(采购标的和资格条件除外)进行
必要的澄清或者修改,修改后的澄清(答疑)文件上传江西省公共资源交易网经采购人确认,
并在江西省公共资源交易网上发布变更公告,澄清或修改以网上公告的形式通知所有已下载
谈判文件的投标人,除此之外不做另行通知,如未及时领取澄清(答疑)文件,产生的后果
由投标人自己承担。
7.4为使供应商在编写竞谈响应文件时有充分时间把补充通知的内容考虑进去,采购代理
机构可以酌情延长竞谈截止日期。
7.5如需变更谈判时间的,应当在提交响应文件截止时间二日前将变更时间,以网上公告
的形式通知所有已下载谈判文件的收受人,并在江西省财政厅指定的政府采购信息发布媒体
上发布变更公告。供应商应尽快以书面形式确认回复采购代理机构。
三、谈判响应文件的编制
8.提示
8.1竞争性谈判文件中未注明进口产品的,均为国产产品,并且不允许提供进口产品参加谈
判。提供进口产品参加谈判,谈判响应文件被视为无效.
8.2供应商应认真阅读谈判文件的全部内容,按照谈判文件的要求提供谈判响应文件和资料。
8.3供应商提交的谈判响应文件以及供应商与采购代理机构所有来往的书面文件均须使用中
文。谈判响应文件中如附有外文资料,必须逐一对应翻译成中文。
8.4翻译的中文资料与外文资料如果出现差异和矛盾时,以中文为准。
9.谈判响应文件计量单位
9.1谈判响应文件中所使用的计量单位,除谈判文件中有特殊要求外,应采用国家法定计量
单位。
10.谈判响应文件的构成
10.1谈判响应文件应由下列部分构成:
(1)谈判响应书
(2)报价表
(3)报价明细表
(4)技术规格响应/偏离表
(5)商务条款响应/偏离表
(6)供应商情况一览表
(7)中小企业声明
(8)企业所在地的县级以上中小企业主管部门出具的中、小、微企业认定有效证明或
省级以上监狱管理局、戒毒管理局(含新疆生产建设兵团)出具的属于监狱企业证明文件
(不符合小型、微型企业条件或不属于监狱企业的不需提供)
(9)残疾人福利性单位声明函(不符合残疾人福利性单位条件的不需提供)
(10)资格证明文件
(11)技术文件
(12)谈判保证金
11.政府采购政策支持
11.1中、小、微企业或监狱企业参加投标
11.1.1中小企业(含中型、小型、微型企业,下同)应当同时符合以下条件:
(1)符合中小企业划分标准;
(2)提供本企业制造的货物、承担的工程或者服务,或者提供其他中小企业制造的货物。
本项所称货物不包括使用大型企业注册商标的货物。
11.1.2小型、微型企业提供中型企业制造的货物的,视同为中型企业
11.1.3中、小、微企业参加政府采购项目投标时,必须提供《中小企业声明函》(格式详见
“第五章附件格式7、8”)。
11.1.4中、小、微企业参加政府采购项目投标时,提供其他中小企业制造货物的,必须同时
提供货物制造企业的《中小企业声明函》(格式详见“第五章附件格式7、8”)。
11.1.5对小型和微型企业产品的价格给予10%的扣除,用扣除后的价格参与评审。
11.1.6监狱企业参加政府采购项目投标时,必须提供省级以上监狱管理局、戒毒管理局(含
新疆生产建设兵团)出具的属于监狱企业证明文件。
11.1.7监狱企业视同小型、微型企业,享受评审中价格扣除等政府促进中小企业发展的政府
采购政策。
11.2节能、环保产品
11.2.1节能产品是指列入《节能产品政府采购清单》的产品;
11.2.2环保产品是指列入《环境标志产品政府采购清单》的产品;
11.2.3《节能产品政府采购清单》、《环境标志产品政府采购清单》以《中国政府采购网》
10-13谈判保证金交纳凭证
(复印件)
11、江西师范大学采购网络安全服务项目磋商最终报价表(格式)
投标单位名称:,采购编号:JXZC2022-J267
承诺:
完全满足谈判文件的技术及商务要求!
| 壹 | 贰 | 叁 | 肆 | 伍 | 陆 | 柒 | 捌 | 玖 | 拾 | 佰 | 仟 | 万 |
最终报价(大、小写):人民币,(¥:,元)
供应商授权代表签字:,日期:
12、技术文件
内容包括:
1、货物的技术规格与功能的详细说明
2、谈判文件要求提供的技术资料
3、货物属节能、环保产品的,提供其在最新一期节能、环保政府采购清单所在
页的复印件或截图;
3、供应商认为需要说明的其他内容(供应商视需要自行编写)
第五章采购需求表及技术要求
一、技术参数及要求:
1、项目概况
为贯彻落实习近平总书记关于建设网络强国的系列重要指示精神和批示要求,全力做好
国家重大活动网络安全和进一步提升我国关键信息基础设施整体安全防护水平,强化重要行
业部门与公安机关的协同联动机制,构建多部门共同参与、共同提高、攻防相长的网络安全
综合防御体系,每年各种的省市级网络攻防已经成为常态,信息化安全应该收到极其重要的
关注。为了保障江西师大信息化系统的安全运行,提出如下要求:
一是及时发现并整改江西师大门户网站、应用系统、整体网络存在的深层次问题和隐患;
二是针对攻防、应急演习发现的突出问题,组织在更大范围内进行整改,排查化解网络
安全领域重大风险,确保网络安全保卫工作万无一失。
2、项目内容说明
1)业务系统上线安全检测服务
针对我校新上线的业务系统提供安全检测服务,对检测发现的问题提出整改方案,业
务系统开发单位完成整改后进行复测。达到上线要求后提供业务系统安全检测合格报告。
输出但不限于:《业务系统安全检测报告》《业务系统整改方案》《业务系统复测报告》
等。
2)应急响应服务:
在服务期内,客户网络或业务系统遭遇恶意攻击、入侵或病毒感染时,提供应急服务,
以达到保护信息系统的目的,包括事件分析与定位、配合入侵取证调查、配合恢复业务系统
运行、业务恢复后的安全防护策略调整与确认。
(1)应急响应事件分类
对信息安全事件的应急响应方面有着丰富的经验,针对主要的三大类安全事件有网络
攻击事件,信息破坏事件,设备设施故障事件进行快速响应,最大程度上减少因为信息安全
事件而带来的直接或间接的经济损失,缩小事件影响范围。
(2)应急响应流程
针对以上分类事件进行应急响应,具体到常见安全事件主要为病毒爆发、入侵和DDOS
攻击、页面篡改、设备故障等问题。
(3)事件响应
事件应急小组接到校方有关事件的汇报后,首先通过电话协助相关人员对问题进行分
析,根据问题分析的情况准备相应工具并立即赶赴现场。
(4)调查分析
事件应急小组到达现场对安全产品和应用系统的日志进行分析,定位事件的类型,事
件产生并保存相应的数据。
(5)制定方案
根据调查分析的结果,评估事件影响的主机与系统。根据事件的影响选择安全措施,
制定响应方案。
(6)安全措施
对重大安全事件实现7×24小时响应制,应急响应实施人员应快速响应并在2小时内
到达现场,4小时内提交解决方案,协助进行安全事件处理,及时采取行动限制事件扩散和
影响的范围,限制潜在的损失与破坏。应急响应人员需携带专业的具备销售许可证的应急处
置工具箱,用于第一时间解决安全风险事件,如应急响应实施人员不能在时限内解决问题,
则应调动后台安全专家协助解决,直到安全事件排除。事件处理结束后,协助采购方检查所
有受影响的系统,追查事件来源,在准确判断安全事件原因的基础上,提出基于安全事件整
体安全解决方案,协助后续处置。
输出但不限于:《安全事件通告》《安全事件监控记录表》《应急事件记录》《安全监
控报告》《防火墙策略优化分析报告》《安全检查结果问题汇总表》《安全加固报告》
3)风险评估服务:
(1)资产评估
资产是构成整个系统的各种元素的组合,它直接的表现了这个系统的业务或任务的重
要性,这种重要性进而转化为资产应具有的保护价值。此阶段输出成果为《资产赋值列表》
(2)威胁评估
威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素,威
胁是一个客观存在的事物,无论对于多么安全的信息系统,它都存在。此阶段输出成果为《威
胁赋值列表》
(3)脆弱性评估
脆弱性是指资产或资产组中能被威胁所利用的弱点,它包括物理环境、组织机构、业
务流程、人员、管理、硬件、软件及通讯设施等各个方面,这些都可能被各种安全威胁利用
来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。此阶段输出成果为《脆弱
性赋值列表》。
(4)风险综合分析
在这个过程中,采用最新的方法表述威胁源采用何种威胁方法,利用了系统的何种脆
弱性,对哪一类资产,产生了什么样的影响,并描述采取何种对策来防范威胁,减少脆弱性。
输出但不限于:《资产赋值表》《脆弱性赋值表》《威胁赋值表》《风险计算表》《风
险评估综合报告》《风险处置计划》
4)渗透测试服务
在用户的授权下,不少于20个业务系统开展渗透测试。渗透测试内容,应至少包括数
据库系统、中间件、应用系统,以及身份认证等安全机制,具体要求包括但不限于以下内容:
根据网络脆弱性检测中发现的脆弱点,模拟黑客进行非破坏性质的攻击性测试,对系统中的
终端、服务器进行现场滲透性验证、SQL注入、XSS(跨站脚本)、CRLF注入、代码执行、
目录遍历、文件包含、输入验证、认证、逻辑错误、密码保护区域猜测、字典攻击、特定的
错误页面检测、脆弱权限的目录和危险的HTTP方法(如:PUT、DELETE)等。
渗透测试结果具备可信度,服务商应派遣专业安全攻防实验室成员前往客户现场进行
渗透测试服务,不可采用专家远程支持,本地人员配合方式实施。
输出但不限于:《渗透测试报告》、《渗透测试复测报告》、《渗透测试最终评估报告》
5)系统漏扫
对江西师范大学服务器(含虚拟服务器)、网络设备、安全设备开展一次漏洞扫描服
务。利用漏洞扫描评估工具对网络中的服务器及重要的网络设备,包括服务器、交换机、防
火墙等设备进行安全漏洞检测和分析,对识别出的能被入侵者用来非法进入网络或者非法获
取信息资产的漏洞,提醒安全管理员,及时完善安全策略,降低安全风险。每季度开展一次
全面测试。
输出但不限于:《安全漏洞扫描报告》、《安全漏洞验证报告》
6)APP渗透服务
结合人工测试和多种智能分析工具检测的方式,对我校APP(江西师大)进行安全测
试,主要测试内容包括:Web应用常规漏洞、逻辑漏洞、客户端存储敏感信息泄露、客户端
IPC安全分析和通信加密安全性分析等。
输出但不限于:《APP渗透测试报告(安卓)》《APP渗透测试报告(IOS)》《APP渗
透测试复测报告》
7)安全巡检服务:
为保障学校网络与信息系统的稳定、安全、高效运行,根据校园网络与信息系统现状
安排不少于2人的CISP安全服务工程师(或同等国家承认的安全资质),对机房的网络与
信息系统进行每半年开展一次巡检工作,掌握网络运行状况及周围环境的变化,发现设施缺
陷和危及安全的隐患,及时协助用户制定巡检内容,采取有效措施,保证设备的安全和系统
稳定。巡检内容主要包括网络安全设备的硬件检查、系统检查、性能检查、运行情况检查等
输出但不限于:《安全巡检报告》
8)网站安全监测
对互联网业务系统(域名数量至少100个,页面数量不限制)进行365*24小时监控,
如发现域名解析异常及时报警并通知客户。监控范围包括:A记录、MX记录、NS记录、CNAME
记录等。以及黑链、网页可用性、网页篡改、敏感字查询、挂码等监控服务,对网站进行定
期漏扫。定期提交相关的服务报告。
输出但不限于:《网站安全监测月报》《网站安全监测半年报》《网站安全监测年报》
9)重大活动保障服务:
在教育厅通知的重要保障时期及公安部门组织的护网演习等重大活动或敏感时期,提供
丰富经验的原厂安全服务工程师及必要设备进行现场值守,提供7×8或7×24小时服务,
提供现场和第一时间的问题咨询、故障诊断、问题处理配合、设备更换配合,保障网络的整
体稳定性和安全性。
依据《中华人民共和国网络安全法》、《风险评估指引》等要求,邀请专业的第三方安
全服务机构对江西师大信息系统进行全面的安全评估,安全评估手段和方法根据应用系统的
特性选择,包括但不限于:风险评估、Web渗透测试、源代码安全审计并根据安全评估结
果,提出改进建议与措施,并协助江西师大修复漏洞,降低业务运行风险;
在重要时期,如监管检查、国家重大会议或经济活动期间为江西师大提供信息安全保障
服务,防范重大网络安全事件的发生,保证江西师大重要信息系统的安全稳定运行;
提供及时、准确的安全风险预警,包括最新安全形势与事件、最新漏洞信息通报,并提
供专业的安全解决建议;
为江西师大提供紧急信息安全事件的应急响应服务,提升江西师大的应急处置水平以及
提供事中和事后的所必需的协助,降低安全事件可能带来的风险和影响;紧急信息安全事件
包括但不限于:病毒和蠕虫事件、黑客入侵事件、互联网0day漏洞、第三方平台发现的江
西师大系统安全漏洞和监管检查等;
在重保期间,若我校被上级部门通报前,值守人员未发现网络安全事件,每次扣除本
项费用的5%,扣完为止。
10)资产发现服务:
以工具和人工分析相结合的方式,对我校资产每季度开展一次资产发现服务,及时发现
暴露在互联网上的信息资产,并进行安全扫描,协助用户梳理资产,并出具相关报告。通过
多种手段对发现的资产进行全面梳理,梳理的信息包含但不限于支撑业务系统运转的操作系
统,数据库,中间件,应用系统的版本、类型、IP地址,应用开放的协议和端口等。
输出但不限于:《互联网资产清单》
11)应急演练:
应急演练:根据《江西师范大学网络安全事件应急预案》有关要求,协助用户制定符
合院校实际的信息安全演练计划、演练程序和演练脚本,并配合学校开展一次应急演练。
输出但不限于:《应急演练方案》《应急演练脚本》《应急演练记录》(包含现场照片
视频等)《应急演练报告》等。
12)其他服务
安全风险通告服务:
随着信息安全事件持续不断的发展,攻击手段不断更新,为持续保障江西师大信息系
统的安全,服务商应每月整理并向江西师大安全管理人员通告本月内危害程度较为严重的攻
击事件和安全漏洞,以供安全管理人员及时修补应对。
安全咨询服务:
(1)等级保护咨询:用户信息安全等级保护工作建议和规划、梳理用户信息系统定级
情况、对未定级信息系统提供定级咨询服务、对已定级信息系统开展等级保护差距分析、提
出信息系统安全等级保护的改进建议。
(2)安全体系规划:在安全现状和需求的基础上,明确信息安全建设目标,基于的信
息安全现状、需求分析结果,参考国内外信息安全体系模型,在明确用户信息安全建设目标
的前提下,建立符合用户的信息安全保障体系框架。
(3)安全协助:针对学校被监管单位检查情况,按照检查要求协助学校完成相关的安
全检查,并提交报告。
3.2安全服务人员要求
(1)安全服务工程师需要熟练掌握网络、安全主流产品的功能和技术原理,能够对用户
网络结构进行架构分析;有安全管理方面的知识和建设经验;
(2)安全服务工程师需熟悉Unix/Linux和Windows操作系统的常规操作和安全防护,拥
有安全运维方面的知识和经验,并会使用相关工具;熟悉网络设备、安全设备的安装配置,
能够运用多种方法进行故障排查;能够掌握各类数据库的安装配置和维护;
(3)资质要求:提供服务的工程师需取得相关的CISP(或同等国家承认的安全资质)证
书。(响应文件中需要提供相关证书复印件)
3.3安全服务原厂商资质要求
本项目要求安全服务原厂商提供服务工程师及应急响应技术支持。并提供2019年至今
安全服务支撑案例3个作为评审依据。
3.4网络安全监测工具
网络安全服务供应商应针对本次采购内容提供除采购人现有安全设备外的其他必要的
监测类工具,服务工具的安全性应做到安全可控,不得采用非正常渠道获得的相关服务工具。
服务工具流量检测至少支持协议:icmp、udp、tcp、dns、http、ftp、smtp、pop3、TLS、
SSH、NFS、NTP、DHCP、TFTP等,特别对基于HTTPS的DNS流量可以做到有效识别。
评审依据:提供国家认可的第三方机构颁发的“基于DOH协议的流量标识方法、装置、
设备及存储介质”的相关证明材料加盖安全服务原厂商公章佐证。
注:以上所有技术条款均为重要条款,供应商必须完全响应,否则作无效标处理。
二、商务条款
1、服务时间、地点及验收要求
1.1、服务期限:合同签订后一年
1.2、服务地点:采购人指定地点。
1.3、验收:
1.3.1成交供应商应严格按采购人指定地点、时间、标准完成服务内容,并保证所有
的服务达到采购人的要求标准
1.3.2检验标准:国标;
1.3.3严格遵守采购人的所有规定、制度,不给采购人造成经济和其它损失;成交供
应商承担因维护保养方面的服务质量导致的法律、经济责任。
1.3.4项目的执行能够达到采购人所要求的预期目的
2、付款方式
2.1合同签订前,成交供应商应以银行转账方式向采购人支付合同总价款的5%作为履
约保证金,服务期满结束后退还。
2.2项目验收合格后供应商应向采购人出具合同价款总额的增值税专用发票,采购人在
收到发票后30个工作日内付全款。
2.3、中标人在合同履行过程中如出现未按招标要求进行履约,采购人将依据不同情况
给予处罚并要求其承担相应的法律责任;处罚款项根据合同约定从履约保证金中予以直接扣
除,履约保证金不足以赔偿,采购人有权从未结货款中扣除,并保留进一步索赔的权利。情
节严重采购人有权单方面终止采购合同并没收全部履约保证金。
3、售后服务及质量保证要求
3.1自项目验收合格之日起,成交供应商提供一年的质保期(若技术条款中提到不一致
的,以技术条款中为准)。
3.2在初始运行阶段,根据采购单位要求,成交供应商负责对采购单位指定的人员在采
购单位处进行免费培训。内容包括合同服务的操作技能、工作原理、日常维护、故障检修和
安全事项等。
3.3质保期内,成交供应商所提供的维修及技术服务不收取任何费用(含运输、关税、
材料、人工、差旅等费用及成交供应商在质保期内免费为合同服务更换备品备件)。因合同
服务质量原因导致修理或更换部分的质保期从完工验收合格之日起算。
3.5如成交供应商不提供或未在限定期限内提供的本条规定的故障排除服务,采购单位
有权委托第三方或自行解决,费用从履约保证金中中直接扣除。
3.6无论合同服务保期是否届满,如合同服务出现故障时,成交供应商接到通知后2小
时做出响应,24小时(最多不超过48小时)内免费给予技术支持或到达现场维修排除故障。
注:以上所有商务条款均为重要条款,供应商必须完全响应,否则作无效标处理。
联系我们
上海总部:上海市浦东新区中科路1750号1幢张江科学之门模力社区606-607室
无锡分公司:无锡市新吴区江溪路77号北航投资(无锡)科创中心303室
邮 箱:bd@datauseful.com
给力助理小程序
给力讯息APP
给力商讯公众号
服务协议
版权所有©上海优司服信息科技有限公司 沪ICP备2022009382号 沪ICP备2022009382号-1
返回顶部