泰康保险集团2022年HW专项安全服务项目供应商征集

招标

金额

项目地址

发布时间

2022/09/28

公告摘要

项目编号-

预算金额-

招标公司泰康保险集团股份有限公司

招标联系人李智恒

标书截止时间-

投标截止时间2022/10/07

公告正文

泰康保险集团2022年HW专项安全服务项目供应商征集

根据业务发展需要，我公司目前正在进行“2022年HW专项安全服务项目”供应商征集工作，满足项目需求的供应商请点击下方“点击报名”。同时也欢迎广泛转发本通知。本项目业务联系人：李智恒，18518091124。

请报名供应商提交以下材料证明材料至，zhangsq27@taikanglife.com

ISO27001信息安全管理体系认证证书
质量管理体系ISO9001证书
信息技术服务管理体系ISO20000认证
风险评估服务资质认证（一级）
应急处理服务资质认证（一级）

具体的征集信息请下载附件查看：

具体的征集信息请下载附件，欢迎大家踊跃报名！

泰康保险集团2022年HW专项安全服务项目技术需求书.docx 泰康保险集团2022年HW专项安全服务项目技术需求书.docx

报名截止时间：2022-10-07 12:00

扫描二维码可通过公众号报名

2、服务与技术支持1、服务技术需求一、项目需求泰康保险集团2022年HW专项安全服务项目技术需求书

需求项	子项	需求描述
一、准备阶段需求	1、HW安全测试服务	通过安全漏洞扫描、安全配置检查、安全渗透测试和代码安全审计等方式对系统安全状况进行检查，发现和消除系统安全隐患。测试之后编制报告，提供安全建议等。测试目标系统：各类Web应用系统、微信公众号、小程序、手机APP（IOS、Android等）、IOT设备等。测试范围包含但不限于：信息泄露/明文传输（密码明文传输、用户信息泄露、服务器信息泄露、其它信息泄露等）；2、注入（SQL注入、XML注入、命令注入、其它注入等）；XSS（存储型跨站脚本编制、反射型跨站脚本编制、DOM型跨站脚本编制等）；逻辑漏洞（支付漏洞、逻辑绕过、密码重置、任意注册、任意登录、短信轰炸、请求重放等）；权限控制缺失（水平越权、垂直越权、未授权访问、目录遍历、跨域劫持等）；认证缺陷（验证码功能缺陷、暴力破解、多点认证缺陷、会话固定等）；防护功能缺失（会话重用、会话失效时间过长、Cookie安全属性缺失等）；文件操作（文件上传、文件下载、文件包含等）；其它（中间件/框架漏洞、SSRF、CSRF、URL重定向、Token在url中传输、未统一定义的错误页面、jQuery版本过低、不安全的HTTP方法等）。重要APP系统的脱壳检测和逆向检测等，以及可获取代码中的配置等人员技能要求：1、现场测试人员需具有3年及以上渗透测试相关工作经验，具有红蓝对抗、渗透测试项目经历的优先；2、现场测试人员工作能力若达不到甲方要求，甲方有权要求乙方进行人员调换。付费方式：按人天据实结算
一、准备阶段需求	2、业务系统专项安全评估及加固指导	提供网络安全及业务系统安全评估方案、安全加固方案及建议等服务。人员要求：需具有3年以上相关工作经验；熟练掌握OWASP Top10；熟悉常规的基线检查方法和安全加固方法；现场人员工作能力若达不到甲方要求，甲方有权要求乙方进行人员调换。结算方式：按人天据实结算
二、演练阶段需求	3、红蓝对抗演练服务	为泰康提供模拟攻防演练服务。包括不限于提供攻防演练方案准备、演练流程梳理、演练技术支持、演练发现漏洞修复方案、演练中痕迹清理等服务。整个演练过程有完整的审计方案（如完整演练流量监控、演练桌面录屏、完整视频录像等等）人员要求：需具有3年以上攻防演练经验；精通网络攻防实战，在Defcon、Pwn2 Owe、GeekPwn等国际网络安全大赛或强网杯、网鼎杯等国内重要赛事中取得过优秀成绩；现场人员工作能力若达不到甲方要求，甲方有权要求乙方进行人员调换。结算方式：按人天据实结算
二、演练阶段需求	4、信息系统安全咨询评估和安全意识宣导（技术培训）	1）为泰康提供病毒木马分析防御思路、钓鱼邮件附件样本分析及防御思路、网络安全架构分析及攻防思路、网络攻防技术等方面问题咨询、整改方案建议。2）根据甲方要求为员工和信息管理人员提供包括信息安全技术培训，全面增强员工安全意识、技能水平。人员要求：应具备以上至少一种服务的能力；现场人员工作能力若达不到甲方要求，甲方有权要求乙方进行人员调换。结算方式：按人天据实结算
三、重保及总结阶段需求	5、信息系统分析研判、应急、溯源分析6、安全监控	1、负责安全设备的监控、安全事件分析和应急处置，并对安全事件进行溯源取证分析。2、提供针对攻击事件的反制措施，针对攻击进行溯源反制，形成完整的攻击链报告。人员要求：需具有3年以上安全监控分析相关工作经验，具备安全设备日志分析能力（如IPS/IDS、waf、APT、全流量、蜜罐等设备）；熟悉安全事件应急处置流程；具备安全事件的溯源反制能力；具有为大型金融机构国家攻防演练防守经验；现场人员工作能力若达不到甲方要求，甲方有权要求乙方进行人员调换。结算方式：按人天据实结算

需求项	需求描述
1、日常技术支持	厂商根据用户需求提供高级别的服务承诺，提供7天×24小时电话热线技术服务、邮件技术支持及远程技术协助服务，建立大客户档案，工程师在线提供技术问题咨询和故障诊断服务。
2、现场技术支持	对于远程无法解决的技术问题，提供现场技术支持。一般问题专业技术支持工程师应在4小时内到达用户现场，重大问题专业技术支持工程师应在2小时内到达用户现场。乙方应在1天内出具技术分析报告，提出解决方案。
3、人员安排响应	甲方提出人员需求后，乙方需在2天内提供满足服务技术需求的候选人员，并在通过筛选后2天内入场。

中级安全专家：中高级安全专家资质要求二、服务需求清单3、安全服务项目其他要求

类别	需求描述
（一）团队配置及技术实力	1、公司安全技术服务人员规模：请提供相关统计证明文件，统计人员范围不包含行政、后勤、开发、测试等。
（一）团队配置及技术实力	2、安全团队核心人源（请提供简历和证书、论文、比赛成绩、表扬信等相关能力证明）：（1）3年大型金融机构信息安全服务经验；（2）2次以上国家级攻防演练活动防守相关项目经理经验；具有丰富的实战经验，可独立完成渗透测试工作，对防守有整体思路和见解；熟练掌握常见的外网打点攻防技术，对相关漏洞的原理有深入的理解；熟悉常见的内网攻击思路和方法，域环境渗透等；加分项：（1）作为团队成员，取得过国际网络安全大赛（Defcon 、Pwn2Own和GeekPwn等）或网鼎杯、强网杯奖项；（2）商用系统或软件的CVE高危漏洞自主挖掘证明；（3）在重要期刊/会议等（如中国计算机学会推荐 B类及以上期刊/会议）发表过网络安全相关领域论文。（4）核心人员经甲方认可后能够承诺参与到后续的服务中。注：项目负责人如需替换，替补人员应不低于应答文件中项目负责人的经验和能力，且需经甲方进行相关考核后方可替换。
（一）团队配置及技术实力	3、团队成员要求（请提供参与此项目实施的2名主要技术骨干安全服务人员的简历、证书、表扬信及相关能力证明）：（1）有两次及以上国家攻防演练或重保经验；（2）具备溯源反制的的能力；（3）应急响应工作经验（4）至少会1门语言；（5）熟悉Web攻防，对网络流量日志分析有一定经验。加分项：作为团队主要成员，参与大型网络安全攻防竞赛并且取得优秀成绩；（2）核心人员经甲方认可后能够承诺参与到后续的服务中。注：2名主要技术骨干安全服务人员如需替换，替补人员应不低于应答文件中技术骨干安全服务人员的经验和能力，且需经甲方进行相关考核后方可替换。4、服务商整体安全技术能力展现：国际获奖荣誉：提供参与自2016年1月1日以来在顶级国际网络安全赛事（Defcon、Pwn2Own和GeekPwn等）比赛中获奖情况。国内获奖荣誉：提供参与自2019年1月1日以来在国内网络安全赛事（强网杯、网鼎杯等）比赛中获奖情况。举办赛事能力：提供2018-2021期间，企业3年期间独立举办知名安全攻防大赛并邀请到国内外知名战队参加。等等。
（二）项目技术方案	1、提供一套比较成体系的国家攻防演练安全检测服务，信息系统安全咨询评估和安全意识宣导，模拟攻防演练服务，信息系统安全加固，信息系统安全监控、应急、溯源分析方案
（二）项目技术方案	2、提供风险控制等措施、人员安排响应承诺等
（三）成功案例	1、提供2019年至今金融行业大型客户国家攻防演练相关安全服务案例证明材料（依据项目金额、规模、成果等），并提供含国家攻防演练、主防、主协防、攻防演练等字样的服务内容证明及对应服务金额（正式应答文件需包含合同关键页扫描件，并提供原件备查）
（四）攻防能力	1、提供2017年至今，国家级攻防演练等网络攻防演习中作为攻击方相关成绩。如网络攻防演习中获得过“最佳攻击团队”奖或防守方表扬信、荣誉证书等
（四）攻防能力	2、提供2017年至今，投标人参与国际、国内（国家级）网络攻防赛事的主要成绩（需提过相关证明）。
（四）攻防能力	3、提供作为防守方参与服务的企业并列出主要成绩。
（五）投标人的基本情况	1、泰康集团2021年安全服务采购维护项目中选厂商不可作为本项目的候选厂商。
（五）投标人的基本情况	2、投标人应具有以下资质或认证：（1）投标供应商注册资金（2）ISO27001信息安全管理体系认证证书（3）ISO9001质量管理体系认证证书（4）ISO20000信息技术服务管理体系认证证书（5）CCRC信息安全服务资质认证风险评估服务资质认证（一级或二级）或通信网络安全服务能力评定证书（风险评估一级、二级或三级）（6）CCRC信息安全服务资质认证应急处理服务资质认证（一级或二级）或通信网络安全服务能力评定证书（应急响应一级、二级或三级）（7）通信网络安全服务能力评定证书（安全培训一级、二级或三级）加分项：（8）CNCERT网络安全-网络安全应急服务支持单位称号（9）CNNVD技术支撑单位（一级或二级）（10）其他与安全服务相关的资质证明
（五）投标人的基本情况	3、合作关系评价：如有合作关系，根据过往合作情况评价对本项目评价进行奖励或惩罚；无合作关系在本项目中不做评价奖惩。
（六）交流、POC情况	在前期进行技术能力交流，厂商要能体现整体技术需求解决方案内容。针对可进行POC测试展现的能力，厂商表现出来的响应速度，技术处理能力，提交文档质量等，POC测试须经过业务部门认可。

No	采购内容	服务内容概要	人天数	备注
1	人力资源包	HW安全测试服务	100	中级（含）及以上安全人员，20天*5人
2	人力资源包	业务系统专项安全评估及加固指导	300	中级（含）及以上安全人员，30天*10人
3	人力资源包	红蓝对抗演练服务	70	高级攻防专家6人，分析研判1人（6+1）人*10天
4	人力资源包	技术培训	10	中级（含）及以上安全人员，10人天
5	人力资源包	信息系统分析研判、应急、溯源分析	210	高级分析研判、溯源、应急（白天4+夜间3）201.5
6	人力资源包	安全监控	210	中级（含）及以上安全人员安全监控（白天4+夜间3）201.5

2、具有深入的渗透测试、安全咨询、APP攻防关工作经验1、具有CISSP（国际注册信息系统安全师）、CISP（中国注册信息安全专家）、CISA（国际信息系统审计师）或其他甲方认可的证书。高级安全专家：3、有大型信息安全服务包括安全攻防、渗透测试、风险评估等项目设计、实施经验；2、具有丰富渗透测试相关工作经验1、具有CISSP（国际注册信息系统安全师）、CISP（中国注册信息安全专家）、CISA（国际信息系统审计师）或其他甲方认可的证书。

专业服务交付方式：实施服务在硬件设备、软件到达甲方场地后乙方指派专业技术实施人员对设备进行实施安装调制；维保售后服务在项目验收后正式启动，乙方应指定专业售后技术人员抵达甲方指定场所提供专业的售后维保服务。软件产品交付方式：乙方应以光盘的形式交付甲方所购有关软件，同时由原厂商协助开通相关账号权限和安装部署工作。硬件设备交付方式：乙方负责将有关硬件设备运送至甲方指定的地点。乙方应按照甲方提供的收货单位、详细地址、联系人、联系方式、交货日期等信息，向甲方提供有关硬件设备。如甲方未提供详细收货信息，乙方应提前联系甲方确定详细收货信息。由乙方确定运输方式并承担全部运输费用，若有关硬件设备在运输过程中发生任何产品损坏、延迟由乙方负责。三、交付方式4、具有CVE、CNVD等漏洞平台的原创漏洞证书或其他甲方认可的能力证明材料。3、有大型信息安全服务包括安全攻防、渗透测试、风险评估等项目设计、实施经验；

1.服务验收标准六、付款周期服务交付方式：乙方指派专业技术实施人员抵达甲方指定场所提供现场服务。五、交付方式需求为了形成安全服务商之间的良性竞争机制以提高安全服务质量，本次采购计划购买两家安全服务商作为中标厂商，评标综合评分第一、第二厂商入围。合同工作量拟定分配比例为两个中标厂商为6/4，单价根据厂商报价的人天或人年单价计算。甲方有权根据乙方的服务态度、支持程度、服务质量调整工作量分配比例。厂商合同工作量分配

七、服务保障安全服务每个阶段完成后，甲乙双方阶段初对上个阶段乙方的工作进行考核验收，形成完整详细的安全服务工作报告，验收合格后，甲方在收到付款通知、正式增值税专用发票后，如无异议，在3个月内或付款日（如有约定付款日）前支付费用；如有异议，应提前在【20】个工作日内向乙方提出。异议解决后，乙方应重新向甲方出具付款通知、正式发票，甲方收到后依上述程序支付费用。本合同项下的服务费用，结算工时取乙方外包人员的签到签退时长（或打卡时长），经由甲方确认后，按照合同约定的人天单价计算服务费用，按阶段支付。2.费用支付方式验收以双方确认的工作量进行实际验收。本合同包含攻防演练的准备阶段、演练阶段、重保及总结阶段，每一阶段服务结束后，甲方对乙方该阶段的实际工作进行审核验收，乙方应根据甲方的要求积极配合完成验收工作。

九、罚则项目主要工作进度如下：八、项目工期乙方驻场人员若因个人原因申请离场，至少需提前7天向甲方申请，乙方需安排新候选驻场人员并经甲方面试通过后入场，两人需并行工作至少3个工作日后，原驻场人员方可办理离场。乙方应确保提供原厂支持、产品销售资质和其他提供服务所必须的条件在合同有效期内有效。

序号	任务名称	开始时间	完成时间	备注
1	项目呈批与招采（提交技术指标、招标、评标、商务合同）	2022年9月	2022年12月
2	项目实施	2023年4月	2023年9月

因乙方产品缺陷或者服务不及时等原因导致泰康对应的业务系统出现故障（事件），甲方有权视事件故障影响，每次从合同项目款中扣减合同总金额的3%-10%作为处罚金（按次扣减）。情节特别严重的（如甲方多次重申要求配合甲方处理故障但仍拒不配合的，业务数据丢失/泄露量巨大，引起监管机构调查或关注、造成严重负面舆情、影响公司形象等），甲方可增加处罚扣减额度，扣减上限为合同项目全款。乙方应全力协助甲方处理直至问题解决。故障（事件）影响认定参考泰康保险集团股份有限公司《IT系统故障管理制度》执行。定级及处罚标准如下：

事件级别	分级标准	处罚标准
一级	1. 3 个或3 个以上对接业务系统同时出现服务调用中断；2. 单个对接业务系统发生服务调用中断 120 分钟以上；3. 影响全集团50%以上（含）用户正常工作；4. 生产业务数据丢失且无法恢复；5. 重复发生且无法定位根因，不能提供有效解决方案；6. 未按合同约定SLA（服务水平协议）进行巡检，巡检次数未达到约定数量的25%；7、重要节日和重要业务节点保障，全年现场保障时间未达到约定数量的25%。8、经乙方测试过的系统未发现问题，但上线后被监管部门通报存在高危、中危安全漏洞。	扣减合同总金额的10%/次
二级	1. 2 个对接业务系统同时出现服务调用中断；2. 单个对接业务系统发生服务调用中断 60分钟以上；3. 影响全集团30%以上（含）用户正常工作；4. 未按合同约定SLA（服务水平协议）进行巡检，巡检次数未达到约定数量的50%；5. 重要节日和重要业务节点保障，全年现场保障时间未达到约定数量的50%。6、经乙方测试过的系统未发现问题，但上线后被监管部门通报存在低危安全漏洞，或被甲方从其他途径发现存在高危安全漏洞。	扣减合同总金额的7%/次
三级	1. 单个对接业务系统发生服务调用中断30分钟以上；2. 影响全集团10%以上（含）用户正常工作；3. 由于乙方人员违规操作导致系统故障；4. 未按合同约定SLA（服务水平协议）进行巡检，巡检次数未达到约定数量的100%；5. 重要节日和重要业务节点保障，全年现场保障时间未达到约定数量的100%；6. 3次以上（含）未按照合同约定SLA（服务水平协议）进行故障响应处理。7、经乙方测试过的系统未发现问题，但上线后被甲方从其他途径发现存在中危安全漏洞。	扣减合同总金额的5%/次
四级	1.系统操作使用不便，但无业务停顿或性能下降；2.生产系统失去冗余，但无生产业务停顿或性能下降；3.所有可能导致生产业务系统性能下降的硬件或应用故障。4、经乙方测试过的系统未发现问题，但上线后被甲方从其他途径发现存在低危安全漏洞。	不扣减，但乙方应全力协助甲方处理直至问题解决，若拒不配合甲方有权将事件升级。