网站安全监控及资产梳理服务
竞价结果(JJ23120709562881)
开始时间:2023-12-07 09:56:00 截止时间:2023-12-11 00:00:00
截止时间已过
成交单位:广州非凡信息安全技术有限公司
成交价:
97300.000元
说明:各有关当事人对竞价结果有异议的,可以在竞价结果公告发布之日起3天内通过规定途径提起异议,逾期将视为无异议,不予受理。
|
采购单位:华南师范大学
|
联系人:******
|
|
E-mail:******
|
联系电话:******
|
|
传真:******
|
联系手机:******
|
|
邮编:******
|
平台联系电话(异议):******
|
|
项目名称:
网站安全监控及资产梳理服务
|
竞价编号:JJ23120709562881
|
|
采购类型:服务类
|
开始时间:2023-12-07 09:56:00
|
|
项目预算(元):99,000.00
|
结束时间:2023-12-11 00:00:00
|
|
质保期及售后要求:质保期及售后要求:维保期一年,提供原厂安装和使用培训,包括:400远程支持服务、硬件售后维修服务、软件更新服务等,中标后,3个工作日内提供原厂售后服务承诺函
|
|
|
其他要求:为保障服务质量,中标后甲方有权要求供应商在3个工作日内提供服务所需的服务工具测试样机,并对投标应答功能进行逐项验证,如发现虚假应标,则废除中标资格。 价格包含运输、安装、调试、税金等费用 ; 服务内容中提供的服务工具乙方具备软件著作权,需出具厂商盖章的技术响应文件,具体技术要求详见附件。
|
响应情况
| 资格及商务响应情况 | |||||||
|---|---|---|---|---|---|---|---|
| 项目 | 竞价要求 | 响应情况 | |||||
| 资格条件 | ? 1、有效期内营业执照扫描件 ? 2、具有信息安全服务资质认证证书(信息安全风险评估服务资质三级或以上认证) ? 3、具备ISO9001质量管理体系认证 ? 报价人须上传以上资质证书扫描件并加盖公章。 | 完全满足 | |||||
| 付款方式 | 合同签署后10个工作日内一次性支付款项。 | 完全满足 | |||||
| 交付时间 | 签订合同后3天送货 | 签订合同后 3 天送货。 | |||||
| 交付地址 | 广州市天河区中山大道西55号华南师范大学 | ||||||
| 质保期及售后要求 | 质保期及售后要求:维保期一年,提供原厂安装和使用培训,包括:400远程支持服务、硬件售后维修服务、软件更新服务等,中标后,3个工作日内提供原厂售后服务承诺函 | 完全满足 | |||||
| 其他要求: | 为保障服务质量,中标后甲方有权要求供应商在3个工作日内提供服务所需的服务工具测试样机,并对投标应答功能进行逐项验证,如发现虚假应标,则废除中标资格。 价格包含运输、安装、调试、税金等费用 ; 服务内容中提供的服务工具乙方具备软件著作权,需出具厂商盖章的技术响应文件,具体技术要求详见附件。 | 完全满足 | |||||
| 报价情况 | |||||||
| 标的名称 | 品牌/型号 | 数量 | 响应情况 | 单价(元/%) | |||
| 网站安全监控及资产梳理服务 | 无 | 1.00 | 非凡资产安全运维服务平台 V2.0 | 97300.000元 | |||
| 总报价 | 97300.000 元 | ||||||
| 技术响应 | |||||||
| 标的名称 | 技术要求 | 响应情况 | |||||
| 网站安全监控及资产梳理服务 | 1、本项目拟通过网站内容监控、网站质量监控(校外)、双非治理、细致的资产梳理、蜜罐部署等网络安全运维服务提升学校整体安全水平。服务有效期1年。 2、本项目需提供的安全服务能力,服务中所必须的硬件设备由乙方提供并部署于学校校内: 1)通过云端+本地多重探测技术,探测暴露在互联网中未知的、不必要开放的、双非等风险资产,并自动验证互联网资产是否存在可利用漏洞、弱口令,提供暴露面收敛等相关整改建议,监测数据通过本地平台统一展现和管理。可按校方要求设定查询间隔时限,并实时提供数据,每周提供报告。 2)乙方提供服务设备对校方主机资产、网站资产进行梳理,识别资产脆弱性,关联安全责任人,建立有效安全资产管理,能以资产为视角进行有效的安全运维工作,并通过平台实时展示资产的安全风险指数。IP资产信息包括:“存活IP、设备厂商、操作系统、端口、应用、数据库、中间件、服务版本”等资产指纹特征;网站资产信息包括:“中间件信息、web框架信息、CMS&OA、程序语言”等指纹信息,支持爬取网站后台、ICP备案编号、网站标题、网站返回码等属性; 主机数及网站数不限制。可实时查询及导出所有资产信息。 3)乙方提供服务设备对主机进行常态化安全漏洞扫描,平台提供主机漏洞台账与报告导出,并根据漏洞风险等级、漏洞被利用可能性、漏洞加固或规避措施等内容,为漏洞处置决策提供参考依据。工具平台漏洞库漏洞信息大于210000+条,与CVE、CNNVD等主流标准兼容,提供详细的漏洞描述和对应的解决方案描述。支持通过多种维度对漏洞进行检索,包括:CVE ID、CNNVD ID、漏洞名称、漏洞风险等级等维度。集成多种POC对内网资产进行自动漏洞验证与渗透,发现可导致数据泄露、系统入侵 、越权等可入侵漏洞。平台支持漏洞跟踪管理,能够自动对漏洞状态进行处置,自动识别“新增、已修复、未修复”的漏洞,同时支持人工方式进行漏洞状态处置,支持漏洞备注。 4)乙方提供服务设备对服务范围内主机中包含redis、smb、rdp、telnet、ftp、ssh、pop3、smtp、mysql、imap、vnc、snmp、vmauthd、postgres、mssql、oracle、mongodb、onvif等多种服务协议进行弱口令检测,并提供弱口令处置方案。 5)乙方提供服务设备对网站的“漏洞、篡改、黑链、敏感文件、敏感词、网马监测、可用性、域名劫持、网站主机环境安全监测”等9个维度开展实时监测,并通过平台、邮件、微信告警等形式提供网站风险预警服务。高频率监测站点是否存在被黑客植入黑链、篡改的事件,系统需要保留植入黑链、篡改的快照页面,监测频率低至5分钟/次。可监测发布到网上的pdf、word、excel文件中是否包含“身份证号、邮箱、手机号码、用户名/密码”等敏感信息,可在系统上查看泄露的信息以及敏感文件下载链接。 所监控的网站数量及检测时间粒度不限制,校方可实时查看相关数据,提供日报输出。 6)乙方提供服务设备对网络设备、主机、操作系统、数据库、中间件、应用软件、新上线业务系统进行增量基线配置核查及是否满足最小化服务原则进行配置。 7)乙方提供服务设备,在不改变单位的网络架构前提下(包括:不做镜像流量、不做牵引流量等),通过旁路部署,在“DMZ区”、“服务器区”、“终端区”分别生成仿真业务系统,与待监测的目标“IP、web”等资产网络可达,通过虚拟出来的蜜罐主机,在每个网段部署虚拟蜜罐,达到监测内网病毒威胁安全事件效果,提供实时安全预警。 8) 乙方提供7x24服务响应,对甲方的个性化资产梳理需求提供服务,每月提供网络资产风险报告。 9) 乙方所提供设备部署于甲方内部网络,为避免多平台无法协同造成效率低下,所有服务功能需集中于一个服务平台上展示。平台具备密码复杂度、操作日志审计等合规性要求,所提供平台版权、产权归乙方所有,产品具备公安部销售许可证要求,无源码版权、使用许可等纠纷。 10)工具要求参见附件 | 我司完全支持:1、本项目拟通过网站内容监控、网站质量监控(校外)、双非治理、细致的资产梳理、蜜罐部署等网络安全运维服务提升学校整体安全水平。服务有效期1年。 2、本项目需提供的安全服务能力,服务中所必须的硬件设备由乙方提供并部署于学校校内: 1)通过云端+本地多重探测技术,探测暴露在互联网中未知的、不必要开放的、双非等风险资产,并自动验证互联网资产是否存在可利用漏洞、弱口令,提供暴露面收敛等相关整改建议,监测数据通过本地平台统一展现和管理。可按校方要求设定查询间隔时限,并实时提供数据,每周提供报告。 2)乙方提供服务设备对校方主机资产、网站资产进行梳理,识别资产脆弱性,关联安全责任人,建立有效安全资产管理,能以资产为视角进行有效的安全运维工作,并通过平台实时展示资产的安全风险指数。IP资产信息包括:“存活IP、设备厂商、操作系统、端口、应用、数据库、中间件、服务版本”等资产指纹特征;网站资产信息包括:“中间件信息、web框架信息、CMS&OA、程序语言”等指纹信息,支持爬取网站后台、ICP备案编号、网站标题、网站返回码等属性; 主机数及网站数不限制。可实时查询及导出所有资产信息。 3)乙方提供服务设备对主机进行常态化安全漏洞扫描,平台提供主机漏洞台账与报告导出,并根据漏洞风险等级、漏洞被利用可能性、漏洞加固或规避措施等内容,为漏洞处置决策提供参考依据。工具平台漏洞库漏洞信息大于210000+条,与CVE、CNNVD等主流标准兼容,提供详细的漏洞描述和对应的解决方案描述。支持通过多种维度对漏洞进行检索,包括:CVE ID、CNNVD ID、漏洞名称、漏洞风险等级等维度。集成多种POC对内网资产进行自动漏洞验证与渗透,发现可导致数据泄露、系统入侵 、越权等可入侵漏洞。平台支持漏洞跟踪管理,能够自动对漏洞状态进行处置,自动识别“新增、已修复、未修复”的漏洞,同时支持人工方式进行漏洞状态处置,支持漏洞备注。 4)乙方提供服务设备对服务范围内主机中包含redis、smb、rdp、telnet、ftp、ssh、pop3、smtp、mysql、imap、vnc、snmp、vmauthd、postgres、mssql、oracle、mongodb、onvif等多种服务协议进行弱口令检测,并提供弱口令处置方案。 5)乙方提供服务设备对网站的“漏洞、篡改、黑链、敏感文件、敏感词、网马监测、可用性、域名劫持、网站主机环境安全监测”等9个维度开展实时监测,并通过平台、邮件、微信告警等形式提供网站风险预警服务。高频率监测站点是否存在被黑客植入黑链、篡改的事件,系统需要保留植入黑链、篡改的快照页面,监测频率低至5分钟/次。可监测发布到网上的pdf、word、excel文件中是否包含“身份证号、邮箱、手机号码、用户名/密码”等敏感信息,可在系统上查看泄露的信息以及敏感文件下载链接。 所监控的网站数量及检测时间粒度不限制,校方可实时查看相关数据,提供日报输出。 6)乙方提供服务设备对网络设备、主机、操作系统、数据库、中间件、应用软件、新上线业务系统进行增量基线配置核查及是否满足最小化服务原则进行配置。 7)乙方提供服务设备,在不改变单位的网络架构前提下(包括:不做镜像流量、不做牵引流量等),通过旁路部署,在“DMZ区”、“服务器区”、“终端区”分别生成仿真业务系统,与待监测的目标“IP、web”等资产网络可达,通过虚拟出来的蜜罐主机,在每个网段部署虚拟蜜罐,达到监测内网病毒威胁安全事件效果,提供实时安全预警。 8) 乙方提供7x24服务响应,对甲方的个性化资产梳理需求提供服务,每月提供网络资产风险报告。 9) 乙方所提供设备部署于甲方内部网络,为避免多平台无法协同造成效率低下,所有服务功能需集中于一个服务平台上展示。平台具备密码复杂度、操作日志审计等合规性要求,所提供平台版权、产权归乙方所有,产品具备公安部销售许可证要求,无源码版权、使用许可等纠纷。 10)工具要求参见附件 | |||||
| 附件 |
|
||||||
项目名称:网站安全监控及资产梳理服务
>!–产品信息–>
| 序号 | 标的名称 | 品牌/型号 | 技术要求 | 是否限定品牌 | 数量 | 单位 | 应标品牌/型号 | 应标技术要求 | 详情 | ||
|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | 网站安全监控及资产梳理服务 | 无 | 1、本项目拟通过网站内容监控、网站质量监控(校外)、双非治理、细致的资产梳理、蜜罐部署等网络安全运维服务提升学校整体安全水平。服务有效期1年。 2、本项目需提供的安全服务能力,服务中所必须的硬件设备由乙方提供并部署于学校校内: 1)通过云端+本地多重探测技术,探测暴露在互联网中未知的、不必要开放的、双非等风险资产,并自动验证互联网资产是否存在可利用漏洞、弱口令,提供暴露面收敛等相关整改建议,监测数据通过本地平台统一展现和管理。可按校方要求设定查询间隔时限,并实时提供数据,每周提供报告。 2)乙方提供服务设备对校方主机资产、网站资产进行梳理,识别资产脆弱性,关联安全责任人,建立有效安全资产管理,能以资产为视角进行有效的安全运维工作,并通过平台实时展示资产的安全风险指数。IP资产信息包括:“存活IP、设备厂商、操作系统、端口、应用、数据库、中间件、服务版本”等资产指纹特征;网站资产信息包括:“中间件信息、web框架信息、CMS&OA、程序语言”等指纹信息,支持爬取网站后台、ICP备案编号、网站标题、网站返回码等属性; 主机数及网站数不限制。可实时查询及导出所有资产信息。 3)乙方提供服务设备对主机进行常态化安全漏洞扫描,平台提供主机漏洞台账与报告导出,并根据漏洞风险等级、漏洞被利用可能性、漏洞加固或规避措施等内容,为漏洞处置决策提供参考依据。工具平台漏洞库漏洞信息大于210000+条,与CVE、CNNVD等主流标准兼容,提供详细的漏洞描述和对应的解决方案描述。支持通过多种维度对漏洞进行检索,包括:CVE ID、CNNVD ID、漏洞名称、漏洞风险等级等维度。集成多种POC对内网资产进行自动漏洞验证与渗透,发现可导致数据泄露、系统入侵 、越权等可入侵漏洞。平台支持漏洞跟踪管理,能够自动对漏洞状态进行处置,自动识别“新增、已修复、未修复”的漏洞,同时支持人工方式进行漏洞状态处置,支持漏洞备注。 4)乙方提供服务设备对服务范围内主机中包含redis、smb、rdp、telnet、ftp、ssh、pop3、smtp、mysql、imap、vnc、snmp、vmauthd、postgres、mssql、oracle、mongodb、onvif等多种服务协议进行弱口令检测,并提供弱口令处置方案。 5)乙方提供服务设备对网站的“漏洞、篡改、黑链、敏感文件、敏感词、网马监测、可用性、域名劫持、网站主机环境安全监测”等9个维度开展实时监测,并通过平台、邮件、微信告警等形式提供网站风险预警服务。高频率监测站点是否存在被黑客植入黑链、篡改的事件,系统需要保留植入黑链、篡改的快照页面,监测频率低至5分钟/次。可监测发布到网上的pdf、word、excel文件中是否包含“身份证号、邮箱、手机号码、用户名/密码”等敏感信息,可在系统上查看泄露的信息以及敏感文件下载链接。 所监控的网站数量及检测时间粒度不限制,校方可实时查看相关数据,提供日报输出。 6)乙方提供服务设备对网络设备、主机、操作系统、数据库、中间件、应用软件、新上线业务系统进行增量基线配置核查及是否满足最小化服务原则进行配置。 7)乙方提供服务设备,在不改变单位的网络架构前提下(包括:不做镜像流量、不做牵引流量等),通过旁路部署,在“DMZ区”、“服务器区”、“终端区”分别生成仿真业务系统,与待监测的目标“IP、web”等资产网络可达,通过虚拟出来的蜜罐主机,在每个网段部署虚拟蜜罐,达到监测内网病毒威胁安全事件效果,提供实时安全预警。 8) 乙方提供7x24服务响应,对甲方的个性化资产梳理需求提供服务,每月提供网络资产风险报告。 9) 乙方所提供设备部署于甲方内部网络,为避免多平台无法协同造成效率低下,所有服务功能需集中于一个服务平台上展示。平台具备密码复杂度、操作日志审计等合规性要求,所提供平台版权、产权归乙方所有,产品具备公安部销售许可证要求,无源码版权、使用许可等纠纷。 10)工具要求参见附件 | 否 | 1.00 | 套 | 非凡资产安全运维服务平台 V2.0 | 无 | 无 | ||
| 规格配置:我司完全支持:1、本项目拟通过网站内容监控、网站质量监控(校外)、双非治理、细致的资产梳理、蜜罐部署等网络安全运维服务提升学校整体安全水平。服务有效期1年。 2、本项目需提供的安全服务能力,服务中所必须的硬件设备由乙方提供并部署于学校校内: 1)通过云端+本地多重探测技术,探测暴露在互联网中未知的、不必要开放的、双非等风险资产,并自动验证互联网资产是否存在可利用漏洞、弱口令,提供暴露面收敛等相关整改建议,监测数据通过本地平台统一展现和管理。可按校方要求设定查询间隔时限,并实时提供数据,每周提供报告。 2)乙方提供服务设备对校方主机资产、网站资产进行梳理,识别资产脆弱性,关联安全责任人,建立有效安全资产管理,能以资产为视角进行有效的安全运维工作,并通过平台实时展示资产的安全风险指数。IP资产信息包括:“存活IP、设备厂商、操作系统、端口、应用、数据库、中间件、服务版本”等资产指纹特征;网站资产信息包括:“中间件信息、web框架信息、CMS&OA、程序语言”等指纹信息,支持爬取网站后台、ICP备案编号、网站标题、网站返回码等属性; 主机数及网站数不限制。可实时查询及导出所有资产信息。 3)乙方提供服务设备对主机进行常态化安全漏洞扫描,平台提供主机漏洞台账与报告导出,并根据漏洞风险等级、漏洞被利用可能性、漏洞加固或规避措施等内容,为漏洞处置决策提供参考依据。工具平台漏洞库漏洞信息大于210000+条,与CVE、CNNVD等主流标准兼容,提供详细的漏洞描述和对应的解决方案描述。支持通过多种维度对漏洞进行检索,包括:CVE ID、CNNVD ID、漏洞名称、漏洞风险等级等维度。集成多种POC对内网资产进行自动漏洞验证与渗透,发现可导致数据泄露、系统入侵 、越权等可入侵漏洞。平台支持漏洞跟踪管理,能够自动对漏洞状态进行处置,自动识别“新增、已修复、未修复”的漏洞,同时支持人工方式进行漏洞状态处置,支持漏洞备注。 4)乙方提供服务设备对服务范围内主机中包含redis、smb、rdp、telnet、ftp、ssh、pop3、smtp、mysql、imap、vnc、snmp、vmauthd、postgres、mssql、oracle、mongodb、onvif等多种服务协议进行弱口令检测,并提供弱口令处置方案。 5)乙方提供服务设备对网站的“漏洞、篡改、黑链、敏感文件、敏感词、网马监测、可用性、域名劫持、网站主机环境安全监测”等9个维度开展实时监测,并通过平台、邮件、微信告警等形式提供网站风险预警服务。高频率监测站点是否存在被黑客植入黑链、篡改的事件,系统需要保留植入黑链、篡改的快照页面,监测频率低至5分钟/次。可监测发布到网上的pdf、word、excel文件中是否包含“身份证号、邮箱、手机号码、用户名/密码”等敏感信息,可在系统上查看泄露的信息以及敏感文件下载链接。 所监控的网站数量及检测时间粒度不限制,校方可实时查看相关数据,提供日报输出。 6)乙方提供服务设备对网络设备、主机、操作系统、数据库、中间件、应用软件、新上线业务系统进行增量基线配置核查及是否满足最小化服务原则进行配置。 7)乙方提供服务设备,在不改变单位的网络架构前提下(包括:不做镜像流量、不做牵引流量等),通过旁路部署,在“DMZ区”、“服务器区”、“终端区”分别生成仿真业务系统,与待监测的目标“IP、web”等资产网络可达,通过虚拟出来的蜜罐主机,在每个网段部署虚拟蜜罐,达到监测内网病毒威胁安全事件效果,提供实时安全预警。 8) 乙方提供7x24服务响应,对甲方的个性化资产梳理需求提供服务,每月提供网络资产风险报告。 9) 乙方所提供设备部署于甲方内部网络,为避免多平台无法协同造成效率低下,所有服务功能需集中于一个服务平台上展示。平台具备密码复杂度、操作日志审计等合规性要求,所提供平台版权、产权归乙方所有,产品具备公安部销售许可证要求,无源码版权、使用许可等纠纷。 10)工具要求参见附件 | |||||||||||
/*附件信息*/
/*附件信息end*/
| 序号 | 附件名称 | 上传时间 | 大小 | 操作 |
|---|---|---|---|---|
| 1 | 网站安全监控及资产梳理服务-技术参数.docx | 2023-12-07 10:28:23 | 无 | 登陆后可下载附件 |
