一、本次采购项目的名称、内容

序号	名称	供货地点	规格参数	备注
1	2023年上海动车段网络安全技术服务 2023-218-YW-ZZ-B-0	上海动车段	见附件	一次公告

二、潜在投标单位的基本条件：
1. 在中国境内依法注册，具有独立法人资格，并且具有合法、有效的企业法人营业执照、税务登记证书，具备一般纳税人资格，可开具增值税专用发票（6%）。
2. 投标人应向采购人提供全方位及时有效的技术支持和服务。
3. 投标人必须具有良好的社会信誉，最近两年内没有与骗取合同有关的犯罪或严重违法行为而引起的诉讼和仲裁，提供无犯罪记录证明；近两年不曾在合同中严重违约；投标人财产未被接管或冻结，企业未处于禁止或取消投标状态，同时具有履行合同的能力和良好的履约记录。
4. 投标人需具有ISO 22301业务连续性管理体系认证证书, 信息技术服务标准符合性证书（ITSS），信息安全风险评估（一级）资质证书，中国信息安全测评中心颁发的《国家信息安全漏洞库（CNNVD）支撑单位；中国网络安全审查技术与认证中心颁发的（信息安全应急处理）信息安全服务资质认证证书（CCRC）。
5.投标人为本项目配备的项目具有注册信息安全专业人员（CISP）证书，信息安全保障人员认证（CISAW）证书，网络安全等级测评师（中级）证书。
6. 投标人应具备承担本项目的资质条件、能力、和信誉。投标人须保证，在本次招标工作过程中以及合同履行期限内，招投标文件中要求其具备的相应资质条件、能力、证明文件及其他的资格或要求等需要始终保持有效性。
7. 投标人应熟悉铁路行业网络安全相关业务，须提供近三年（2019年～至今）不少于1个国铁集团下属站段或政府机构网络安全技术服务业绩，并提供对应的合同复印件及最终用户使用证明。
8. 投标人必须具有连续生产经营、良好售后服务的能力，投标人近两年财务状况良好，无产品质量和售后服务不良反映，须提供近两年财务报表，（如果是新成立公司可以提供近1年或半年财务报表）。
9. 本项目不接受联合体投标。
三、报名的时间、地点、方式：
1.报名时间：2023年8月26日—2023年8月31日每天上午8:30-11:30，下午13:00-16:00，国铁采购平台线上报名后再进行微信报名。
2.报名所需材料：最新营业执照副本（需加盖公章）、相关资质证书复印件（代理授权证书）、本人身份证复印件和联系电话及投标项目名称。
3.报名联系人及电话：姚逸民，13917074116（微信同号）。
4.报名地点：上海市嘉定区老翔黄路600号，上海动车段1号楼2楼209室-经营开发部。
5.获取招标文件时间：报名后发布招标文件。
6.投标文件准备时间：发布招标文件之日起5个工作日。
四、招标时间及招标地点：
1.开标时间：另行通知
2.递交投标文件及谈判地点：上海动车段
3.请投标单位法定代表人或其授权代表人出席会议时，带好身份证原件备查验。
五、上海动车段将不承担投标单位准备投标文件和递交投标文件以及参加本次采购活动所发生的任何成本或费用。
六、编制投标文件注意事项：有以下现象的视为废的投标文件，将取消投标资格：
1.未按照谈判文件要求编制的投标文件；
2.未按照要求装订的投标文件；
3.未加盖正式公章的投标文件；
4.须签字或盖章的页面而未签字或盖章的投标文件；
5.参加谈判的不同投标单位的法人或授权委托人有互相关联的投标文件；
6.不同的投标单位文件价格组成分析成规律性递增或递减的投标文件；
7.其他存在严重错误的投标文件。
七、有下列行为的将列入黑名单：
1.对报名参加谈判而到期未参加谈判会议的单位将禁止进入上海动车段业务外包项目市场一年；
2.对有串通或恶意报价扰乱市场行为的投标单位经核实后将禁止进入上海动车段业务外包项目市场一年；
3.对造成直接不良后果和不良影响的投标单位建立不良记录档案，将禁止进入上海动车段业务外包项目市场二年；
4.对造成严重影响的投标单位或已确定为中标单位而放弃承揽业务的单位将终身禁止进入上海动车段业务外包项目市场。
八、本次谈判采购采取经评审合理最低价承揽业务的方式。
九、主要技术、质量和服务要求：见附件

附件：



技术规格书/服务要求
网络安全技术服务，主要包含漏洞扫描、渗透测试、网络安全加固技术支持、重要时期保障、以及应急演练等服务。通过对服务器、终端设备、网络设备和操作系统、数据库、应用软件、中间件进行安全漏洞扫描，分析并修复高中危漏洞；通过自动化工具扫描和人工渗透测试相结合的方式，全面检测重要信息系统目前存在的安全隐患，对重要系统进行安全风险评估，加固整治；结合现有条件，制定网络安全策略、网络安全加固方案和应急处置措施。
一、安全检测
1. 渗透测试
由安全工程师模拟黑客的行为模式，使用相应专业工具，采用黑客的漏洞发现和利用技术，以及尽可能多的攻击方法，对目标应用系统的安全性进行深入分析。渗透测试对象包括互联网应用服务系统（WEB系统）以及其他信息系统。渗透测试完成后需要提交渗透测试报告，渗透测试报告应包括对每套系统安全问题的验证分析、影响分析和解决措施等内容。对WEB系统的渗透测试，需要在互联网网络的任一位置进行渗透测试；对内部系统的渗透测试，必须在内部办公网络进行渗透测试。针对系统的渗透测试服务，包含如下跨站脚本、口令爆破、目录遍历、SQL注入、网站劫持、钓鱼攻击等，并针对发现的漏洞进行安全验证。
2.漏洞扫描
利用不少于两种漏洞扫描工具对整个信息系统进行全面扫描
（1）对Windows系统漏洞进行扫描评估检查。
（2）对Linux系统漏洞进行扫描评估检查。
（3）对数据库系统漏洞进行扫描评估检查。
（4）对网络设备（交换机、路由器等）和安全设备（防火墙、入侵检测等）系统漏洞进行扫描评估检查。
漏洞扫描完成后应出具相关的安全检测结果报告，同时针对扫描出的中高危漏洞进行跟踪，提供修复建议并协助修复，确保闭环整改。
二、安全整改加固
1.安全加固
对漏洞扫描和渗透测试得到的结果对网络及系统架构、防护策略、网络设备、安全设备以及中间件等信息资产安全配置问题进行综合分析，评估威胁影响级别、威胁影响范围等维度，制定及优化安全加固方案，实施安全加固，检查安全加固结果，持续提供合理的安全加固措施。
定期巡查信息资产的配置，验证现有安全访问控制策略是否起到作用、是否合理高效进行检查和改进，及时发现和控制风险，对于不合规的配置项执行通告机制，评估影响并协助调整策略优化。
合同期内安全事件应急响应远程或现场技术支持。
2.重要时期保障
在杭州亚运会重要时期保障期间，为单位信息系统提供保障服务，提供两人18天24小时驻场保障，主要保障内容包括安全检查、实时监测、攻击预警、响应处置、等安全服务，提前发现信息系统可能存在的安全风险、薄弱环节，指导修复，尽量避免被因业务系统安全漏洞被通报。
在重点保障期间，值班人员须实时监测、记录信息资产的异常状态、告警信息并及时报告和处置；涉及到需要开发单位及第三方运维人员处理的故障，及时协调相关人员排除故障，并跟踪进度直至问题解决；如果发生信息系统故障和安全事件，值班人员要在5分钟内发现、报告，30分钟内进行故障和安全事件的跟踪处理。
3.应急演练
为了提升应急保障队伍应对突发网络安全事件的应急响应及处置能力，防止因网络安全事件造成重大损失和影响，确保相关系统安全、稳定、持续运行，配合甲方开展一次应急演练。主要演练科目为：网页篡改、敏感信息泄露等。
四、服务清单

序号	服务阶段	服务项	服务频次	服务范围	结算方式
	安全检测	漏洞扫描测试	6次/年	共14个网段，每个网段约250个ip	次
		安全渗透测试	1次/年	21个系统	次
3.	安全整改加固	系统层安全整改加固、应急演练及7*24小时应急响应	1次/年	21个系统	次