招标
中国银行广东省分行2022年互联网系统安全服务项目招标公告
金额
185万元
项目地址
广东省
发布时间
2022/06/17
公告摘要
项目编号zb-10-04a-2022-d-e10941
预算金额185万元
招标公司中国银行股份有限公司广东省分行
招标联系人梁慧姗
招标代理机构公诚管理咨询有限公司
代理联系人易巍13622838725
标书截止时间2022/06/24
投标截止时间2022/07/08
公告正文
中国银行广东省分行2022年互联网系统安全服务项目招标公告
(招标编号:ZB-10-04A-2022-D-E10941)
项目所在地区:广东省,广州市
一、招标条件
本中国银行广东省分行2022年互联网系统安全服务项目已由项目审批/核准/备
案机关批准,项目资金来源为自筹资金185万元,招标人为中国银行股份有限公
司广东省分行。本项目已具备招标条件,现招标方式为公开招标。
二、项目概况和招标范围
规模:中国银行广东省分行2022年互联网系统安全服务项目
范围:本招标项目划分为1个标段,本次招标为其中的:
(001)中国银行广东省分行2022年互联网系统安全服务项目;
三、投标人资格要求
(001中国银行广东省分行2022年互联网系统安全服务项目)的投标人资格能力要
求:一、投标人资质要求:
具备中国网络安全审查技术与认证中心颁发CCRC信息安全服务资质证书(信息
安全风险评估类)。
二、投标人基本要求:
1、具有独立承担民事责任的能力。
2、遵守法律法规,具有良好的商业信誉和健全的财务会计制度。
3、在参加我行采购活动前3年内,经营活动中没有重大违法违规记录或涉及环
境保护、劳动用工等方面的违法违规行为,以及没有被我行认定为损害我行权
益的行为。
4、提供的货物、工程或服务符合国家、行业标准及我行要求。
5、具有为我行提供货物、工程或服务所必需的设备和专业技术能力。
6、截至本项目公告发布之日,未被禁止参与我行采购活动(已解除处罚的除外
)。
7、不接受联合体参加。
8、未经采购方同意不得将本项目以任何方式进行转包或分包。
9、供应商应主动披露与其存在关联关系的其他供应商。对于存在关联关系的不
同供应商,不得同时参加同一子包采购或者未划分子包的同一项目采购。关联
关系企业包含以下情况之一:
(1)与本单位的单位负责人(含法定代表人)为同一人的其他单位;
(2)与本单位存在直接控股、管理关系的其他单位,含母公司与全资子公司或
由其控股的子公司(但国家控股的企业之间不仅因为同受国家控股而具有关联
关系)。
;
本项目不允许联合体投标。
四、招标文件的获取
获取时间:从2022年06月18日09时00分到2022年06月24日17时30分
获取方式:注册并登录诚E招电子采购交易平台(https://www.chengezhao
.com)进行项目登记、获取招标文件。
五、投标文件的递交
递交截止时间:2022年07月08日09时30分
递交方式:广州市天河北路423号远晖商厦8楼2号会议室纸质文件递交
六、开标时间及地点
开标时间:2022年07月08日09时30分
开标地点:广州市天河北路423号远晖商厦8楼2号会议室
七、其他
公诚管理咨询有限公司受中国银行股份有限公司广东省分行委托,就中国银行
广东省分行2022年互联网系统安全服务项目进行国内公开招标,有关事项如下
:
1.招标条件
本招标项目为中国银行广东省分行2022年互联网系统安全服务项目,招标人为
中国银行股份有限公司广东省分行,招标代理机构为公诚管理咨询有限公司。
项目资金由招标人自筹,项目已具备招标条件,现进行公开招标,有意向的潜
在投标人(以下简称投标人)可前来投标。
2.项目概况与招标范围
2.1项目名称:中国银行广东省分行2022年互联网系统安全服务项目
2.2招标编号:ZB-10-04A-2022-D-E10941
2.3招标方式:公开招标
2.4最高限价:人民币185万元
2.5
招标范围:拟选取1家中标供应商,由其提供2022年互联网系统安全服务,具体
要求详见第五章《用户需求书》。
2.6服务期:合同签订之日起1年。
注:1)投标人应对本项目整体报价,不接受仅对部分内容投标报价;2)详细
技术要求请参阅招标文件第五章“用户需求书”的相关内容。
3.投标人资格要求
3.1投标人资质要求:
具备中国网络安全审查技术与认证中心颁发CCRC信息安全服务资质证书(信息
安全风险评估类)。
3.2投标人基本要求:
1、具有独立承担民事责任的能力。
2、遵守法律法规,具有良好的商业信誉和健全的财务会计制度。
3、在参加我行采购活动前3年内,经营活动中没有重大违法违规记录或涉及环
境保护、劳动用工等方面的违法违规行为,以及没有被我行认定为损害我行权
益的行为。
4、提供的货物、工程或服务符合国家、行业标准及我行要求。
5、具有为我行提供货物、工程或服务所必需的设备和专业技术能力。
6、截至本项目公告发布之日,未被禁止参与我行采购活动(已解除处罚的除外
)。
7、不接受联合体参加。
8、未经采购方同意不得将本项目以任何方式进行转包或分包。
9、供应商应主动披露与其存在关联关系的其他供应商。对于存在关联关系的不
同供应商,不得同时参加同一子包采购或者未划分子包的同一项目采购。关联
关系企业包含以下情况之一:
(1)与本单位的单位负责人(含法定代表人)为同一人的其他单位;
(2)与本单位存在直接控股、管理关系的其他单位,含母公司与全资子公司或
由其控股的子公司(但国家控股的企业之间不仅因为同受国家控股而具有关联
关系)。
4.招标文件的获取
4.1
招标文件售卖时间为2022年6月18日至2022年6月24日,每日上午8:30时至12:
00时,下午14:00时至17:30时(北京时间,下同)。
4.2招标文件获取方式:
4.2.1注册并登录诚E招电子采购交易平台(https://www.chengezhao.com)进
行项目登记、获取招标文件。
(1)“注册”方式详见【诚E招电子采购交易平台-帮助中心-操作指南-
注册指引】,注册成功后请登录,登陆后可在【常用文件】处下载《投标人&供
应商操作手册》;
(2)“项目登记”方式详见《投标人&供应商操作手册》-“投标人报名”)
4.2.2招标文件费用:每套售价200元人民币,售后不退。(“购买文件、支付
及下载文件”方式详见《投标人&供应商操作手册》-
“购买文件”。)可选择下列任一种方式支付招标文件费用:
(1)网上支付:选择“网上支付”方式后,点击“提交”,使用微信或支付宝
支付文件费用;
(2)电汇:以转账方式支付文件费用,并在支付阶段,将“转账凭证”上传至
“附件”处(转账凭证应备注说明“招标代理编号后6位及项目简称”);
4.2.3在诚E招电子采购交易平台完成登记、可下载文件即登记成功。
4.3
如无按上述要求获取招标文件的供应商,招标人/招标代理机构将不接收该供应
商所递交的投标文件且对此不承担任何责任。
4.4本项目中,如报名的供应商不足3家,则发布延长采购公告。如延长公告后
报名的供应商仍不足3家,则本轮次招标失败。
5.投标文件的递交
5.1
投标文件递交的截止时间(投标截止时间,下同)为2022年7月8日9时30分。
5.2
投标文件递交地点:公诚管理咨询有限公司(广州市天河北路423号远晖商厦8楼
2号会议室)。
5.3
逾期送达的或者未送达指定地点的投标文件,招标人/招标代理机构将不接收。
5.4
投标文件可在投标截止当天现场递交,也可选择采用邮寄方式递交,在投标文
件递交截止时间前邮寄送达招标公告指定采购联系人(梁慧姗,电话:13622838
725,地址:广州市天河区天河北路423号远晖大厦8楼813室)。因寄件不能按时
送达或破损的责任由供应商自行承担。
6.资格审查及正式投标人的确定方式
6.1本项目采用资格后审方式,资格审查于开标后进行;
6.2
审查方法:本次资格审查采用合格制,凡符合资格要求的投标人均通过资格审
查。
7.发布公告的媒介
本次招标公告同时在中国招标投标公共服务平台(http://www.cebpubservice.
com)、诚E招电子采购交易平台(网址:https://www.chengezhao.com)上发
布,其他媒体转载无效。本公告在各媒体发布的文本如有不同之处,以在中国
招标投标公共服务平台发布的文本为准。
8.联系方式
招标代理机构:公诚管理咨询有限公司
地址:广州市天河北路423号远晖商厦8楼
项目负责人:易巍、简敏成、梁慧姗
项目联系人:梁慧姗(13622838725)
电子邮件:gczx_zbywb@163.com
开户银行:中信银行广州花园支行
账号:3110910037672210941
招标代理机构:公诚管理咨询有限公司
2022年6月17日
八、监督部门
本招标项目的监督部门为/。
九、联系方式
招标人:中国银行股份有限公司广东省分行
地址:广州市越秀区东风西路197—199号
联系人:周经理
电话:/
电子邮件:/
招标代理机构:公诚管理咨询有限公司
地址:广州市天河区天河北路423号远晖大厦8楼
联系人:梁小姐
电话:13622838725
电子邮件:gczx_zbywb@163.com
招标人或其招标代理机构主要负责人(项目负责人):(签名)
招标人或其招标代理机构:(盖章)
用户需求书
1采购项目投标人资格要求
1.本项目不接受联合体参与投标;
2.★投标人需提供原厂针对本项目工具开具的原厂授权函:
3.★投标人需提供所投工具的销售许可证。
以上带“★”号条款为必须响应条款。
2采购项目技术要求
2.1项目概述
随着中国银行广东省分行业务的发展、信息化建设的推进、IT系统与业务的
逐步融合,我行IT信息系统规模也不断扩大、环境复杂度不断增加。为避免信息
系统的集中管理以及业务扩展带来安全风险,进一步落实国家及监管部门对于
信息系统建设的要求,不断完善我行的信息安全保障体系,建设我行网络安全空
间,降低信息系统所面临的风险,加强我行信息化安全保障体系建设,提升我行
互联网系统的安全防护能力,确保我行各大信息系统安全稳定的运行。因此需要
借助第三方专业的信息安全服务人员协助我行管理人员进行安全营运及重大节
假日保障工作。
2.2项目采购内容
2.3项目详细需求
2.3.1互联网资产测绘服务要求
2.3.1.1服务内容
1、常态化开展互联网资产测绘
在互联网上搜索具有我行标识的信息资产和客户信息,包含互联网资产识
别及风险暴露面排查、影子资产排查、敏感信息泄露排查、微信公众号和小程序
排查四项工作内容,每个月1次,共开展12次。具体包含:
(1)互联网资产识别及风险暴露面排查。对互联网资产的操作系统、端口与
服务、Web应用、资产组件、登录页面、端口服务等情况进行自动识别、风险暴露
面排查,形成资产台账,并定期更新和审核。具体包括:①操作系统识别,对互联
网应用进行操作系统识别。②端口与服务发现,对目标进行65535全端口扫描,
并整理出服务的端口、应用类型、版本等。③Web应用识别,对Web应用系统进
行深度识别,包括其使用的开发语言、开发框架、Web服务器类型、页面Tittle、首
页页面数据。④资产组件识别,对http系统所使用web组件识别。⑤登录页面自
动识别,通过搜索引擎、页面数据自动识别主域名下的所有登录页面。⑥识别判
断端口的开放与关闭情况,整理出清单。
(2)影子资产排查。根据关键词标识出互联网上归属广东中行的互联网“影子
资产”,持续监测及发现外部机构在互联网渠道上挂广东中行信息的情况。具体
包括:①提供平台化的模糊资产发现功能,根据广东中行提供的业务相关关键词
,搜索互联网上存活IP,标识出归属广东中行的互联网“影子资产”。②持续监测
及发现外部机构(广东中行合作公司、其它不相关机构等)在互联网渠道(包括但
不限于网页、公众号、小程序等)上挂广东中行信息(包括但不限于可被识别成广
东中行的相关文字、图片Logo等)的情况,及时通报甲方。
(3)敏感信息泄露排查。对互联网侧的信息泄漏进行排查,包括:项目文档泄
漏、代码泄漏、人员信息泄漏、敏感信息泄漏、社工库泄漏查询等,具体包括以下
内容:①在流行的开源社区(如Github、码云等)搜索相关信息,涵盖但不仅限于
项目配置文档、API接口密钥、敏感文档、项目源代码、设计文档、通讯录、账号密
码等信息。②对互联网网盘(如百度网盘、腾讯微云)的共享文档进行搜索,搜索
范围涵盖但不仅限于表格、文档、pdf、图片等文件。③对国内主流的各大文库站
点进行检索,发现跟广东中行相关的敏感信息和文件。包括但不限于:豆丁、道客
巴巴、百度文库、简书等互联网文库。④对暗网交易情报监控,识别主流的暗网
交易平台中与中国银行广东省分行相关的交易情报和贩卖信息,并及时预警。
(4)微信公众号和小程序排查。根据关键词进行全面发现识别,识别其类型、
状态、认证主体等信息,解析识别其功能菜单资产及变化情况(如所属微信号,A
ppID,服务状态)。
以上服务内容均需提供资产变化梳理。即针对每一次排查的结果进行差异
化分析,对比资产上下线情况,以及资产端口、服务开启状态的变化,及时了解
资产变动。
2.3.1.2服务频率
每个月1次,共开展12次。
2.3.2渗透测试服务要求
2.3.2.1服务内容
对广东中行的所有互联网应用系统(约20个互联网系统,共200个URL)和智
能柜台无线网络进行渗透测试服务,由高级安服工程师采用人工渗透测试的方
式对这些应用系统进行渗透测试,通过测试查找风险点,并给出风险整改建议,
帮助我行处理可能存在的风险隐患。
2.3.2.2服务频率
每半年1次,共开展2次。
2.3.3开展“二十大”重要敏感时段的现场技术支持
2.3.3.1服务内容
在“二十大”重要保障时段期间(10天),提供1名具有攻防经验的专业人员每
天12小时的现场值守技术支持服务,协助实时处置各种网络攻击行为,并进行朔
源取证。通过以下工作保障我行信息系统安全:
1、内外网资产梳理:一是互联网资产梳理,包括但不限于开放域名、IP、端
口、协议、应用、边缘资产、敏感信息等;二是内网资产梳理,协助梳理全量内网
资产,完善资产台账。提交《资产台账》。
2、网络安全风险评估:针对我行网络安全现状进行风险评估,包括网络架构
安全评估、脆弱性分析、安全基线检查、漏洞扫描等手段进行安全风险的评估,
提供整改建议并协助整改。提交《安全风险评估报告》。
3、安全策略优化:实现对整体网络安全技术架构,以及重要区域网络安全保
障措施的分析,评估安全防护体系的完善性与不足,通过优化安全策略完善安全
基础架构。提交《网络安全架构分析报告》;防火墙安全策略梳理,人工进行安全
域访问控制策略、网络攻击规则策略的梳理和优化,提交防火墙安全策略优化建
议。提交《防火墙安全策略分析报告》。
4、网络安全应急管理:一是协助我行优化网络安全防护工作指引和网络安
全管理机制,包括网络安全指挥机制,协同工作机制、应急预案完善、优化应急
流程、开展演练等;二是服务期内针对我行的安全事件进行应急响应,包括事件
分析、处置和跟踪,形成安全事件闭环管理。提交《网络安全应急管理机制》、《安
全事件应急预案》、《安全事件应急处置分析报告》。
5、部署防护设备:服务期间部署包括但不限于态势感知平台、主机安全、API
接口数据安全监测系统等系统或设备,提升监测分析、防护及分析取证水平。
6、监测值守:提供1名具有攻防经验安全专家负责我行“二十大”重要保障时
段期间(10天),进行每天12小时的现场值守技术支持服务,协助实时处置各种网
络攻击行为,并进行朔源取证。针对网络安全设备进行日志分析,日常监测,安
全事件分析和处置。每天提交安全监测分析日报,包括攻击统计、安全事件处理
情况、封堵情况等;保障结束后对整个安全保障工作进行工作总结。提交《重要时
期安全保障方案》、《安全监测分析日报》、《安全保障工作总结报告》等。
2.4服务工具要求
1、投标人交付服务过程中,使用的互联网资产排查工具应为自研产品,或投标人
应出具第三方原厂商针对本次投标使用的工具的正式授权类原件;
2、投标人使用的互联网资产排查工具应具备CNNVD国家信息安全漏洞库兼容
性资质证书,且原厂商为CNNVD技术支撑单位(需出相关证明);
3、投标人使用的互联网资产排查工具原厂商需入选工信部网络安全技术应用试
点示范项目(需提供证明截图);
4、投标人使用的互联网资产排查工具原厂商应具有独立自主知识产权的国产化
资产测绘引擎,日常访问流量足够提供技术情报分析。
5、支持互联网未知资产发现功能,可通过录入的IP、域名、网站标题关键字等
信息,自动匹配公网资产库,发现企业未知的互联网资产;
6、资产关联维度至少包括以下几类:同证书推荐、同ICP备案信息推荐、同C
段根域推荐、同IP根域推荐等;
7、平台底层的引擎至少拥有1100种网络协议(包括:包括http、https、ftp、sn
mp、ssh、RDP等)网络协议,识别85%以上开放端口。
2.5项目成员要求
▲投标人的项目实施团队至少由3名工程师组成,项目经理需具有CISP及CI
SSP证书,成员需具备CISP信息安全资质或其他安全相关资质(须提供证书复印
件及近6个月的社保证明复印件)。
(招标编号:ZB-10-04A-2022-D-E10941)
项目所在地区:广东省,广州市
一、招标条件
本中国银行广东省分行2022年互联网系统安全服务项目已由项目审批/核准/备
案机关批准,项目资金来源为自筹资金185万元,招标人为中国银行股份有限公
司广东省分行。本项目已具备招标条件,现招标方式为公开招标。
二、项目概况和招标范围
规模:中国银行广东省分行2022年互联网系统安全服务项目
范围:本招标项目划分为1个标段,本次招标为其中的:
(001)中国银行广东省分行2022年互联网系统安全服务项目;
三、投标人资格要求
(001中国银行广东省分行2022年互联网系统安全服务项目)的投标人资格能力要
求:一、投标人资质要求:
具备中国网络安全审查技术与认证中心颁发CCRC信息安全服务资质证书(信息
安全风险评估类)。
二、投标人基本要求:
1、具有独立承担民事责任的能力。
2、遵守法律法规,具有良好的商业信誉和健全的财务会计制度。
3、在参加我行采购活动前3年内,经营活动中没有重大违法违规记录或涉及环
境保护、劳动用工等方面的违法违规行为,以及没有被我行认定为损害我行权
益的行为。
4、提供的货物、工程或服务符合国家、行业标准及我行要求。
5、具有为我行提供货物、工程或服务所必需的设备和专业技术能力。
6、截至本项目公告发布之日,未被禁止参与我行采购活动(已解除处罚的除外
)。
7、不接受联合体参加。
8、未经采购方同意不得将本项目以任何方式进行转包或分包。
9、供应商应主动披露与其存在关联关系的其他供应商。对于存在关联关系的不
同供应商,不得同时参加同一子包采购或者未划分子包的同一项目采购。关联
关系企业包含以下情况之一:
(1)与本单位的单位负责人(含法定代表人)为同一人的其他单位;
(2)与本单位存在直接控股、管理关系的其他单位,含母公司与全资子公司或
由其控股的子公司(但国家控股的企业之间不仅因为同受国家控股而具有关联
关系)。
;
本项目不允许联合体投标。
四、招标文件的获取
获取时间:从2022年06月18日09时00分到2022年06月24日17时30分
获取方式:注册并登录诚E招电子采购交易平台(https://www.chengezhao
.com)进行项目登记、获取招标文件。
五、投标文件的递交
递交截止时间:2022年07月08日09时30分
递交方式:广州市天河北路423号远晖商厦8楼2号会议室纸质文件递交
六、开标时间及地点
开标时间:2022年07月08日09时30分
开标地点:广州市天河北路423号远晖商厦8楼2号会议室
七、其他
公诚管理咨询有限公司受中国银行股份有限公司广东省分行委托,就中国银行
广东省分行2022年互联网系统安全服务项目进行国内公开招标,有关事项如下
:
1.招标条件
本招标项目为中国银行广东省分行2022年互联网系统安全服务项目,招标人为
中国银行股份有限公司广东省分行,招标代理机构为公诚管理咨询有限公司。
项目资金由招标人自筹,项目已具备招标条件,现进行公开招标,有意向的潜
在投标人(以下简称投标人)可前来投标。
2.项目概况与招标范围
2.1项目名称:中国银行广东省分行2022年互联网系统安全服务项目
2.2招标编号:ZB-10-04A-2022-D-E10941
2.3招标方式:公开招标
2.4最高限价:人民币185万元
2.5
招标范围:拟选取1家中标供应商,由其提供2022年互联网系统安全服务,具体
要求详见第五章《用户需求书》。
2.6服务期:合同签订之日起1年。
注:1)投标人应对本项目整体报价,不接受仅对部分内容投标报价;2)详细
技术要求请参阅招标文件第五章“用户需求书”的相关内容。
3.投标人资格要求
3.1投标人资质要求:
具备中国网络安全审查技术与认证中心颁发CCRC信息安全服务资质证书(信息
安全风险评估类)。
3.2投标人基本要求:
1、具有独立承担民事责任的能力。
2、遵守法律法规,具有良好的商业信誉和健全的财务会计制度。
3、在参加我行采购活动前3年内,经营活动中没有重大违法违规记录或涉及环
境保护、劳动用工等方面的违法违规行为,以及没有被我行认定为损害我行权
益的行为。
4、提供的货物、工程或服务符合国家、行业标准及我行要求。
5、具有为我行提供货物、工程或服务所必需的设备和专业技术能力。
6、截至本项目公告发布之日,未被禁止参与我行采购活动(已解除处罚的除外
)。
7、不接受联合体参加。
8、未经采购方同意不得将本项目以任何方式进行转包或分包。
9、供应商应主动披露与其存在关联关系的其他供应商。对于存在关联关系的不
同供应商,不得同时参加同一子包采购或者未划分子包的同一项目采购。关联
关系企业包含以下情况之一:
(1)与本单位的单位负责人(含法定代表人)为同一人的其他单位;
(2)与本单位存在直接控股、管理关系的其他单位,含母公司与全资子公司或
由其控股的子公司(但国家控股的企业之间不仅因为同受国家控股而具有关联
关系)。
4.招标文件的获取
4.1
招标文件售卖时间为2022年6月18日至2022年6月24日,每日上午8:30时至12:
00时,下午14:00时至17:30时(北京时间,下同)。
4.2招标文件获取方式:
4.2.1注册并登录诚E招电子采购交易平台(https://www.chengezhao.com)进
行项目登记、获取招标文件。
(1)“注册”方式详见【诚E招电子采购交易平台-帮助中心-操作指南-
注册指引】,注册成功后请登录,登陆后可在【常用文件】处下载《投标人&供
应商操作手册》;
(2)“项目登记”方式详见《投标人&供应商操作手册》-“投标人报名”)
4.2.2招标文件费用:每套售价200元人民币,售后不退。(“购买文件、支付
及下载文件”方式详见《投标人&供应商操作手册》-
“购买文件”。)可选择下列任一种方式支付招标文件费用:
(1)网上支付:选择“网上支付”方式后,点击“提交”,使用微信或支付宝
支付文件费用;
(2)电汇:以转账方式支付文件费用,并在支付阶段,将“转账凭证”上传至
“附件”处(转账凭证应备注说明“招标代理编号后6位及项目简称”);
4.2.3在诚E招电子采购交易平台完成登记、可下载文件即登记成功。
4.3
如无按上述要求获取招标文件的供应商,招标人/招标代理机构将不接收该供应
商所递交的投标文件且对此不承担任何责任。
4.4本项目中,如报名的供应商不足3家,则发布延长采购公告。如延长公告后
报名的供应商仍不足3家,则本轮次招标失败。
5.投标文件的递交
5.1
投标文件递交的截止时间(投标截止时间,下同)为2022年7月8日9时30分。
5.2
投标文件递交地点:公诚管理咨询有限公司(广州市天河北路423号远晖商厦8楼
2号会议室)。
5.3
逾期送达的或者未送达指定地点的投标文件,招标人/招标代理机构将不接收。
5.4
投标文件可在投标截止当天现场递交,也可选择采用邮寄方式递交,在投标文
件递交截止时间前邮寄送达招标公告指定采购联系人(梁慧姗,电话:13622838
725,地址:广州市天河区天河北路423号远晖大厦8楼813室)。因寄件不能按时
送达或破损的责任由供应商自行承担。
6.资格审查及正式投标人的确定方式
6.1本项目采用资格后审方式,资格审查于开标后进行;
6.2
审查方法:本次资格审查采用合格制,凡符合资格要求的投标人均通过资格审
查。
7.发布公告的媒介
本次招标公告同时在中国招标投标公共服务平台(http://www.cebpubservice.
com)、诚E招电子采购交易平台(网址:https://www.chengezhao.com)上发
布,其他媒体转载无效。本公告在各媒体发布的文本如有不同之处,以在中国
招标投标公共服务平台发布的文本为准。
8.联系方式
招标代理机构:公诚管理咨询有限公司
地址:广州市天河北路423号远晖商厦8楼
项目负责人:易巍、简敏成、梁慧姗
项目联系人:梁慧姗(13622838725)
电子邮件:gczx_zbywb@163.com
开户银行:中信银行广州花园支行
账号:3110910037672210941
招标代理机构:公诚管理咨询有限公司
2022年6月17日
八、监督部门
本招标项目的监督部门为/。
九、联系方式
招标人:中国银行股份有限公司广东省分行
地址:广州市越秀区东风西路197—199号
联系人:周经理
电话:/
电子邮件:/
招标代理机构:公诚管理咨询有限公司
地址:广州市天河区天河北路423号远晖大厦8楼
联系人:梁小姐
电话:13622838725
电子邮件:gczx_zbywb@163.com
招标人或其招标代理机构主要负责人(项目负责人):(签名)
招标人或其招标代理机构:(盖章)
用户需求书
1采购项目投标人资格要求
1.本项目不接受联合体参与投标;
2.★投标人需提供原厂针对本项目工具开具的原厂授权函:
3.★投标人需提供所投工具的销售许可证。
以上带“★”号条款为必须响应条款。
2采购项目技术要求
2.1项目概述
随着中国银行广东省分行业务的发展、信息化建设的推进、IT系统与业务的
逐步融合,我行IT信息系统规模也不断扩大、环境复杂度不断增加。为避免信息
系统的集中管理以及业务扩展带来安全风险,进一步落实国家及监管部门对于
信息系统建设的要求,不断完善我行的信息安全保障体系,建设我行网络安全空
间,降低信息系统所面临的风险,加强我行信息化安全保障体系建设,提升我行
互联网系统的安全防护能力,确保我行各大信息系统安全稳定的运行。因此需要
借助第三方专业的信息安全服务人员协助我行管理人员进行安全营运及重大节
假日保障工作。
2.2项目采购内容
| 序 号 | 交付 项 | 名称 | 服务范围 | 数量 |
| 1 | 互联 网资 产测 | 互联网 资产识 别及风 | 对互联网资产进行自动识别、风险暴露面排查、端 口服务登记,形成资产台账,并定期更新和审核; 1、操作系统识别,对互联网应用进行操作系统识别 | 12次( 每月1 次) |
| 绘 | 险暴露 面排查 | 。 2、端口与服务发现,对目标进行65535全端口扫描, 并整理出服务的端口、应用类型、版本等。 3、Web应用识别,对Web应用系统进行深度识别,包 括其使用的开发语言、开发框架、Web服务器类型、 页面Tittle、首页页面数据。 4、资产组件识别,对http系统所使用web组件识别。 5、登录页面自动识别,通过搜索引擎、页面数据自 动识别主域名下的所有登录页面。 6、识别判断端口的开放与关闭情况,整理出清单。 | ||
| 2 | 影子资 产排查 | 1、提供平台化的模糊资产发现功能,根据广东中行 提供的业务相关关键词,搜索互联网上存活IP,标 识出归属广东中行的互联网“影子资产”。 2、持续监测及发现外部机构(广东中行合作公司、 其它不相关机构等)在互联网渠道(包括但不限于网 页、公众号、小程序等)上挂我行信息(包括但不限 于可被识别成我行的相关文字、图片Logo等)的情 况,及时通报我行。 | ||
| 3 | 敏感信 息泄露 排查 | 对互联网侧的信息泄漏进行排查,包括:项目文档 泄漏、代码泄漏、人员信息泄漏、敏感信息泄漏、社 工库泄漏查询等,具体包括以下内容: 1、在流行的开源社区(如Github、码云等)搜索相关 信息,涵盖但不仅限于项目配置文档、API接口密钥 、敏感文档、项目源代码、设计文档、通讯录、账号 密码等信息。 2、对互联网网盘(如百度网盘、腾讯微云)的共享文 档进行搜索,搜索范围涵盖但不仅限于表格、文档、 pdf、图片等文件。 |
| 3、对国内主流的各大文库站点进行检索,发现跟广 东中行相关的敏感信息和文件。包括但不限于:豆 丁、道客巴巴、百度文库、简书等互联网文库 4、对暗网交易情报监控,识别主流的暗网交易平台 中与广东中行相关的交易情报和贩卖信息,并及时 预警。 | ||||
| 4 | 微信公 众号和 小程序 排查 | 根据关键词对微信公众号、服务号、小程序进行全 面发现识别,识别其类型、状态、认证主体等信息, 并解析识别其功能菜单URL资产及资产变化情况(如 所属微信号,AppID,服务状态)。 | ||
| 5 | 渗透 测试 | 渗透测 试 | 针对提供的URL和智能柜台清单,提供高级安服工 程师进行渗透测试,查找风险点,并给出风险整改 建议,及时处理可能存在的风险隐患。 | 2次( 每半 年1次 ) |
| 6 | 现场 支持 | “二十 大”值 守 | 在“二十大”重保期间,提供1名具有攻防经验网络安 全高级工程师值守服务(12h/天,共10天)。提供必 要防护监测工具,包括但不限于安全态势感知系统 、主机安全、API接口数据安全监测系统,协助我行 实时处理发现的异常问题,进行调查取证。 | 10天 |
2.3项目详细需求
2.3.1互联网资产测绘服务要求
2.3.1.1服务内容
1、常态化开展互联网资产测绘
在互联网上搜索具有我行标识的信息资产和客户信息,包含互联网资产识
别及风险暴露面排查、影子资产排查、敏感信息泄露排查、微信公众号和小程序
排查四项工作内容,每个月1次,共开展12次。具体包含:
(1)互联网资产识别及风险暴露面排查。对互联网资产的操作系统、端口与
服务、Web应用、资产组件、登录页面、端口服务等情况进行自动识别、风险暴露
面排查,形成资产台账,并定期更新和审核。具体包括:①操作系统识别,对互联
网应用进行操作系统识别。②端口与服务发现,对目标进行65535全端口扫描,
并整理出服务的端口、应用类型、版本等。③Web应用识别,对Web应用系统进
行深度识别,包括其使用的开发语言、开发框架、Web服务器类型、页面Tittle、首
页页面数据。④资产组件识别,对http系统所使用web组件识别。⑤登录页面自
动识别,通过搜索引擎、页面数据自动识别主域名下的所有登录页面。⑥识别判
断端口的开放与关闭情况,整理出清单。
(2)影子资产排查。根据关键词标识出互联网上归属广东中行的互联网“影子
资产”,持续监测及发现外部机构在互联网渠道上挂广东中行信息的情况。具体
包括:①提供平台化的模糊资产发现功能,根据广东中行提供的业务相关关键词
,搜索互联网上存活IP,标识出归属广东中行的互联网“影子资产”。②持续监测
及发现外部机构(广东中行合作公司、其它不相关机构等)在互联网渠道(包括但
不限于网页、公众号、小程序等)上挂广东中行信息(包括但不限于可被识别成广
东中行的相关文字、图片Logo等)的情况,及时通报甲方。
(3)敏感信息泄露排查。对互联网侧的信息泄漏进行排查,包括:项目文档泄
漏、代码泄漏、人员信息泄漏、敏感信息泄漏、社工库泄漏查询等,具体包括以下
内容:①在流行的开源社区(如Github、码云等)搜索相关信息,涵盖但不仅限于
项目配置文档、API接口密钥、敏感文档、项目源代码、设计文档、通讯录、账号密
码等信息。②对互联网网盘(如百度网盘、腾讯微云)的共享文档进行搜索,搜索
范围涵盖但不仅限于表格、文档、pdf、图片等文件。③对国内主流的各大文库站
点进行检索,发现跟广东中行相关的敏感信息和文件。包括但不限于:豆丁、道客
巴巴、百度文库、简书等互联网文库。④对暗网交易情报监控,识别主流的暗网
交易平台中与中国银行广东省分行相关的交易情报和贩卖信息,并及时预警。
(4)微信公众号和小程序排查。根据关键词进行全面发现识别,识别其类型、
状态、认证主体等信息,解析识别其功能菜单资产及变化情况(如所属微信号,A
ppID,服务状态)。
以上服务内容均需提供资产变化梳理。即针对每一次排查的结果进行差异
化分析,对比资产上下线情况,以及资产端口、服务开启状态的变化,及时了解
资产变动。
2.3.1.2服务频率
每个月1次,共开展12次。
2.3.2渗透测试服务要求
2.3.2.1服务内容
对广东中行的所有互联网应用系统(约20个互联网系统,共200个URL)和智
能柜台无线网络进行渗透测试服务,由高级安服工程师采用人工渗透测试的方
式对这些应用系统进行渗透测试,通过测试查找风险点,并给出风险整改建议,
帮助我行处理可能存在的风险隐患。
2.3.2.2服务频率
每半年1次,共开展2次。
2.3.3开展“二十大”重要敏感时段的现场技术支持
2.3.3.1服务内容
在“二十大”重要保障时段期间(10天),提供1名具有攻防经验的专业人员每
天12小时的现场值守技术支持服务,协助实时处置各种网络攻击行为,并进行朔
源取证。通过以下工作保障我行信息系统安全:
1、内外网资产梳理:一是互联网资产梳理,包括但不限于开放域名、IP、端
口、协议、应用、边缘资产、敏感信息等;二是内网资产梳理,协助梳理全量内网
资产,完善资产台账。提交《资产台账》。
2、网络安全风险评估:针对我行网络安全现状进行风险评估,包括网络架构
安全评估、脆弱性分析、安全基线检查、漏洞扫描等手段进行安全风险的评估,
提供整改建议并协助整改。提交《安全风险评估报告》。
3、安全策略优化:实现对整体网络安全技术架构,以及重要区域网络安全保
障措施的分析,评估安全防护体系的完善性与不足,通过优化安全策略完善安全
基础架构。提交《网络安全架构分析报告》;防火墙安全策略梳理,人工进行安全
域访问控制策略、网络攻击规则策略的梳理和优化,提交防火墙安全策略优化建
议。提交《防火墙安全策略分析报告》。
4、网络安全应急管理:一是协助我行优化网络安全防护工作指引和网络安
全管理机制,包括网络安全指挥机制,协同工作机制、应急预案完善、优化应急
流程、开展演练等;二是服务期内针对我行的安全事件进行应急响应,包括事件
分析、处置和跟踪,形成安全事件闭环管理。提交《网络安全应急管理机制》、《安
全事件应急预案》、《安全事件应急处置分析报告》。
5、部署防护设备:服务期间部署包括但不限于态势感知平台、主机安全、API
接口数据安全监测系统等系统或设备,提升监测分析、防护及分析取证水平。
6、监测值守:提供1名具有攻防经验安全专家负责我行“二十大”重要保障时
段期间(10天),进行每天12小时的现场值守技术支持服务,协助实时处置各种网
络攻击行为,并进行朔源取证。针对网络安全设备进行日志分析,日常监测,安
全事件分析和处置。每天提交安全监测分析日报,包括攻击统计、安全事件处理
情况、封堵情况等;保障结束后对整个安全保障工作进行工作总结。提交《重要时
期安全保障方案》、《安全监测分析日报》、《安全保障工作总结报告》等。
2.4服务工具要求
1、投标人交付服务过程中,使用的互联网资产排查工具应为自研产品,或投标人
应出具第三方原厂商针对本次投标使用的工具的正式授权类原件;
2、投标人使用的互联网资产排查工具应具备CNNVD国家信息安全漏洞库兼容
性资质证书,且原厂商为CNNVD技术支撑单位(需出相关证明);
3、投标人使用的互联网资产排查工具原厂商需入选工信部网络安全技术应用试
点示范项目(需提供证明截图);
4、投标人使用的互联网资产排查工具原厂商应具有独立自主知识产权的国产化
资产测绘引擎,日常访问流量足够提供技术情报分析。
5、支持互联网未知资产发现功能,可通过录入的IP、域名、网站标题关键字等
信息,自动匹配公网资产库,发现企业未知的互联网资产;
6、资产关联维度至少包括以下几类:同证书推荐、同ICP备案信息推荐、同C
段根域推荐、同IP根域推荐等;
7、平台底层的引擎至少拥有1100种网络协议(包括:包括http、https、ftp、sn
mp、ssh、RDP等)网络协议,识别85%以上开放端口。
2.5项目成员要求
▲投标人的项目实施团队至少由3名工程师组成,项目经理需具有CISP及CI
SSP证书,成员需具备CISP信息安全资质或其他安全相关资质(须提供证书复印
件及近6个月的社保证明复印件)。
解决方案
联系我们
返回顶部