一、项目编号：SCJZ-2023-001（招标文件编号：SCJZ-2023-001）
二、项目名称：四川省烟草公司南充市公司2023年网络安全监测及重保值守服务采购项目
三、中标（成交）信息
供应商名称：四川中德森系统集成有限公司
供应商地址：成都市武侯区郭家桥南街
中标（成交）金额：33.0000000（万元）
四、主要标的信息

序号	供应商名称	服务名称	服务范围	服务要求	服务时间	服务标准
1	四川中德森系统集成有限公司	四川省烟草公司南充市公司2023年网络安全监测及重保值守服务采购项目	服务分类 服务项 服务内容 服务频次 网络监测服务 本地网络安全设备安全策略管理及优化 持续对各边界隔离防火墙进行安全策略优化 每天 通过工具和手工方式对市州公司服务器区域边界、互联网边界、烟草行业网上下级单位边界、第三方外联边界现有的网络设备、安全设备、主机层面的访问控制策略进行审核评估。 每天 本地网络安全设备资产及拓扑信息收集 明确IP地址对对应的业务系统、主机运维、应用运维单位及责任人。梳理出市州公司互联网及行业内网的网络分区、服务器分区及边界防护形状。 每年 本地互联网资产发现 互联网资产发现是通过搜索引擎及网络爬虫等多种技术相结合，通过对关键字、域名及IP的综合查询及关联分析，从而为市州公司梳理出互联网资产全景图的服务。通过工具和手工方式对市州公司数据中心互联网出口地址进行资产发现，以IP地址和端口为单位，明确每一个暴露在互联网的服务端口的用途及责任人。 每年 本地网络安全设备监控 主要针对市州公司安全软硬件设备的攻击事件日志，进行实时监控。通过技术人员的安全经验，第一时间发现网络内的攻击事件，并对简单事件进行处理；如遇复杂事件，则发起调用应急响应服务等二线资源。 每天 本地网络安全设备系统升级 主要针对市州公司的安全软硬件设备的补丁库、特征库、病毒库、版本进行手动升级，确保安全设备、系统的有效性。并建立系统升级流程，规范系统升级工作。同时可以针对需求，对办公计算机操作系统补丁通过软件系统进行定期升级 每月 本地网络安全设备事件响应 包括安全软硬件设备物理故障、策略故障的处理；客户端病毒故障的处理；故障知识库的建立更新。确保市州公司日常办公及业务系统的持续运行能力，并建立故障处理流程，规范故障处理工作。 每月 本地安全漏洞扫描 通过工具和手工方式对市州公司互联网资产、内网资产开展安全漏洞扫描，全面发现网络设备、操作系统、数据库、中间件等基础软件层面的远程代码执行、账号权限提升、暴力破解、弱口令等容易被黑客利用的安全漏洞。 每季度（3个月） 本地安全漏洞加固 针对安全评估发现的操作系统、数据库、中间件及应用系统安全漏洞，提出针对性的安全整改建议，指导运维厂家开展安全整改工作，并对漏洞整改的结果进行复测验证，确保漏洞整改工作的有效性。 每天 本地自建应用系统渗透测试 拟黑客攻击的手法对市州公司内外网自建应用系统开展渗透测试，全面发现WEB中间件、应用中间件以及应用系统的安全漏洞，包括但不限于：SQL注入、命令注入、XSS、CSRF、文件上传、文件包含、越权访问、暴力破解、目录遍历、敏感信息泄露、以及针对Web中间件的远程命令执行等漏洞。 每6个月 本地配置备份 为了保证安全产品出现故障时能够及时恢复，需要定期对安全设备的配置和策略进行备份，备份内容存放在专用的服务器，并对备份操作记录备案。 每日 重保保障服务 重保期间安全运维 重要会议（两会等）前期网络安全风险排查、系统加固、重保值守等 每年 国庆等重大活动前期网络安全风险排查、系统加固、重保值守等 每年 模拟攻防演练保障服务 模拟攻防演练前本地安全策略管理及优化 持续对市州公司边界隔离防火墙进行安全策略优化，通过工具及人工的方式进行检测、分析、优化。针对市州公司的安全软硬件设备的策略配置进行指定、定期完善。确保安全软硬件设备的有效性以及策略的针对性。对冗余的策略和废弃的策略进行梳理，在和业务系统相关人员进行确认后进行删除，提高安全产品运行效率 每年 模拟攻防演练过程中本地安全设备监控 主要针对市州 公司网络安全设备进行实时监控。通过技术人员的安全经验，第一时间发现网络内的攻击事件，并对简单事件进行处理；如遇复杂事件，则发起调用应急响应服务等二线资源。 每年 模拟攻防演练前及值守过程中安全漏洞加固 针对模拟攻防演练前安全评估发现的操作系统、数据库、中间件及应用系统安全漏洞，提出针对性的安全整改建议，指导运维厂家开展安全整改工作，并对漏洞整改的结果进行复测验证，确保漏洞整改工作的有效性。 每年 模拟攻防演练期间现场值守工作 持续对网络安全设备、系统、终端、服务器、业务系统等网络环境进行实时监控和分析，及时发现异常流量和异常行为进行研判和处置。 每年 应急演练 开展每年一次应急演练，增强应急处置能力，不断完善和修正网络安全应急预案，确保各项网络安全应急预案能用、可用、好用。 每年一次 巡检服务 区县公司现场网络安全巡检服务 对区县公司的网络安全状况进行定期巡检 每季度 区县培训服务 对区县公司进行网络安全意识培训、网络安全技能培训 实时 其他服务内容 市州公司信息中心安排的其他配合和协调工作 实时	（一）服务期限、地点、验收方法和验收标准 1.服务期限：1年； 2.服务地点：采购人指定地点； 3.验收方法：按照磋商文件、供应商的响应文件进行验收； 4.验收标准：符合国家相关标准并通过相关部门组织的验收。 （二）付款方式 1.本合同总价已包括网络服务、安全系统、系统升级、安装调试、检测、 配件、 知识产权、人员工资、保险等所有与此项目相关的各项含税费用。 2.本合同签署后，每季度运维服务期满后，甲方对乙方运维进行评价，评价合格后甲方向乙方支付设备运维费用总额的25% 3、甲方支付每一笔款项前，乙方都应开具相应款额的信息安全运维维保类增值税专票。 4、若甲方服务范围发送变化，可在本季度告知甲方，相关费用不再下一季度执行。 （三）服务能力要求 1、技术人员、团队运维服务能力要求 在保障网络安全设备正常使用的情况下，通过对网络安全设备及系统各项主要数据和信息的统计分析，有能力提供专业的数据分析服务，协助南充烟草公司网络安全工作持续稳步提高。 2、驻场运维服务技术工具（软、硬件系统）要求 为保证驻场运维服务的质量和效率，第三方网络安全运维团队应能提供辅助软、硬件工具，不限于：漏洞扫描系统、专业渗透测试工具、防火墙策略梳理工具、运维人员管理系统、专业的威胁情报信息等内容。以上工具和软件，需使用有安全保障的正规产品和系统，非国产化系统需经市州烟草公司审批后方可使用。南充烟草公司对第三方运维团队使用的各种软硬件系统版权等纠纷不承担任何相关连带责任。 3、运维服务管理要求 运维服务人员必须服从采购人的管理人员的任务安排和工作要求，遵守采购人现场办公管理、出入管理、疫情防控等规章制度。严格执行采购人对网络安全运维工作的要求和标准，确保不出现重大网络安全事件或事故，在出现恶意网络攻击、高危病毒爆发等严重网络安全威胁事件时能够及时发现并进行预警，网络安全事件发生后能够及时排查处置，将损失和影响降到最低，能够为采购人提供网络安全工作管理辅助信息和建议，不断提高网络安全运维服务质量，针对以上管理要求，供应商须提供相应内容承诺函。	1年	符合国家相关标准并通过相关部门组织的验收

五、评审专家（单一来源采购人员）名单：
刘勇、刘雄豪、付登俊
六、代理服务收费标准及金额：
本项目代理费收费标准：本项目磋商文件
本项目代理费总金额：0.4000000 万元（人民币）
七、公告期限
自本公告发布之日起1个工作日。
八、其它补充事宜
无
九、凡对本次公告内容提出询问，请按以下方式联系。
1.采购人信息
名 称：四川省烟草公司南充市公司　　　　　
地址：四川省南充市顺庆区丝绸路286号　　　　　　　　
联系方式：何先生 0817-2589317　　　　　　
2.采购代理机构信息
名 称：四川上层建筑工程管理咨询有限公司　　　　　　　　　　　　
地　址：四川省成都市成华区东华一路47号1栋13层1304号　　　　　　　　　　　　
联系方式：满老师 028-84321712　　　　　　　　　　　　
3.项目联系方式
项目联系人：满老师
电　话：　　028-84321712