沈阳局集团公司信息技术所2024年集团公司网络安全防护服务业务外包竞争性谈判采购公告
(项目编号:ZTSYJCGS2024-0377)
1.采购条件
本采购项目沈阳局集团公司信息技术所2024年集团公司网络安全防护服务业务外包采购人为中国铁路沈阳局集团有限公司信息技术所,采购项目资金来自运营维修,已落实,具备采购条件,现对本项目采购进行公开竞争性谈判。
2.采购范围及相关要求
采购业务外包的名称、类别、工作量、交工验收地点、包件划分等详见本公告附件1。
1.执行的技术标准:
GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》
GB/T 31509-2015 《信息安全技术 网络安全风险评估实施指南》
GB/T 33132-2016 《信息安全技术 信息安全风险处理实施指南》
2.铁路专用配件执行的相关文件、规定:无
3.产品认证或检验检测报告:无
4.其他需具体明确的技术要求:详见技术规格书
5.维保条款:提供网络安全事件7×24小时应急响应服务。在重大活动和节日(如两会、二十大及一中全会、国家或地方或国铁集团攻防演习、进博会、博鳌亚洲论坛、春运等)期间,根据招标人需求,提供不少于4名驻场人员进行7*24小时的现场驻场。
6.售后服务及要求:服务商在合同履约期内收到招标方相关服务请求后,需在48小时内响应并提供相关的技术服务。
技 术 规 格 书
- 技术服务内容及要求
1.提供信息系统网络安全风险评估服务和移动APP安全检测服务。
网络安全风险评估服务:依据招标人要求,按照安全风险评估国家标准GB/T20984或行业安全监管要求,对相关信息系统提供网络安全风险评估服务,从物理安全、主机安全、应用安全、数据安全等方面通过安全基线检查、人工渗透测试和漏洞扫描工具扫描等方式,发现安全漏洞和风险,提供网络安全风险评估报告,提出解决措施,协助开展整改。
移动APP安全检测服务:依据招标人要求对APP应用进行安全检测,包括信息收集、认证分析、授权及会话管理分析、不安全的数据存储分析、传输层通信分析、动态调试分析、逆向打包分析、内存分析、形成APP安全检测报告,并提出相关整改建议。
网络安全风险评估信息系统数量不多于75个,移动APP安全检测的APP数量不多于20个。
2.提供网络安全事件应急响应和网络安全保障服务。
提供网络安全事件7×24小时应急响应服务。根据招标人要求,通过远程或现场形式对网络安全事件进行分析和处置。主要工作内容包括:网络安全事件相关信息的收集、事件分析、报告提交、问题解决建议等。
重大活动和节日期间网络安全保障服务:在重大活动和节日(如两会、二十大及一中全会、国家或地方或国铁集团攻防演习、春运、建国75周年、进博会等)期间,根据招标人需求,提供不少于4名驻场人员进行7*24小时的现场驻场。完成信息系统环境监测、日志监控、应急处置、攻击分析、溯源取证、策略优化、安全巡查、网站监测等技术服务。根据防护需要在服务期内提供必要的安全系统或设备(设备配置须满足集团公司现行信息系统安全稳定运行的需要),包括但不限于WAF应用网关1台、抗拒绝服务系统3台、Tap交换机3台、上网行为管理系统1台,提供威胁情报和自动监测封堵工具。
WAF应用网关配置要求:国内自主研发标准机架式WAF硬件设备,不少于1个10/100/1000M 管理接口、不少于1个10/100/1000M HA口、不少于4个10/100/1000M业务口、不少于2个万兆业务光口;不少于1T设备存储配备硬盘容量;配置冗余交流电源模块;网络层吞吐率不少于5Gbps;应用层吞吐率不少于2Gbps;最大HTTP并发连接数不小于280万;每秒新建HTTP连接数不少于2.2万;支持HTTP、HTTPS环境下的Web恶意扫描防护的检测与防御能力,支持SSL证书导入,能对HTTPS加密传输数据解密分析防护,同时支持国际算法、国密算法,配合用户完成业务部署,支持获取Web安全事件的原始攻击信息。
抗拒绝服务系统配置要求:国内自主研发标准机架式硬件设备,双电源,不少于1个10/100/1000M 管理接口、不少于8个10/100/1000M业务口、不少于4个SFP千兆业务光口,配置冗余交流电源模块;设备抗攻击能力不少于4Gbps;设备最大并发连接数不少于500万;设备最大每秒新建连接数不少于40万。支持SYN Flood、SYN-ACK Flood、ACK Flood、FIN/RST Flood、IP Fragment Flood、Stream flood、ICMP Flood、UDP Flood等恶意流量攻击,支持DNS、HTTP、HTTPS等应用层CC攻击。支持SSL证书导入,实现对HTTPS协议数据包解密识别,实现 HTTPS流量进行防护。
Tap交换机配置要求:国内自主研发标准机架式硬件设备,双电源,双风扇,不少于8个10G光口,不少于16个千兆光口,处理能力单向不小于96Gbps,双向192Gbps;支持基于端口输入、输出双向的流量复制;支持基于M:N端口的汇聚和复制功能。
上网行为管理系统配置要求:国产多核架构设计,网络接口要求电口不小于12个,千兆光口不少于12个,万兆光口不少于2个,设备吞吐量不小于30Gbps;设备最大每秒新建连接数不少于30万;设备最大并发连接数不少于500万;不少于2T设备存储配备硬盘容量;配置冗余交流电源模块; 设备支持路由模式、透明(网桥)模式、混合模式,支持HTTP、HTTPS、P2P、迅雷、邮件、即时通讯等行为审计及管理功能。
自动监测封堵工具要求:能够采集主流安全产品(IPS\IDS\WAF等)的日志,支持基于源地址、目的地址、攻击类型等选项自定义安全策略,支持日志二次补全,包括运维部门、应用名称、联系方式等,实现与防火墙或其他安全防护设备联动,自动封禁攻击地址,支持手动批量封禁IP地址。对来源于云加速服务商的攻击,能与云加速API接口对接实现真实攻击地址自动封堵、查询、删除等功能。提供攻击态势综合展示功能,能直观展示攻击态势、封禁情况等。
威胁情报要求:提供本地部署的情报平台或云服务,能够同步情报信息,提供IP信誉、IP地址归属地、所属运营商、地理位置、威胁等级、安全漏洞、恶意域名、失陷主机等查询展示信息;提供restful规范API接口,完成三方既有平台对接,实现高位行为IP的风险评估、溯源,对高危地址的自动处置等;API接口至少包括恶意域名、失陷主机、IP信誉等,内容至少包括运营商、位置信息、威胁类型、IP可信度、所属攻击团体、病毒家族、使用场景、结果判断等。
提供网络安全风险提醒服务,定期通过电话、邮件、微信等方式提供最新的安全漏洞、国内信息安全事件等相关信息,说明漏洞危害程度、影响范围、验证方法;提供弱口令检测服务,采用专业技术工具对取得授权的暴露在互联网的应用系统进行弱口令检测;提供互联网资产梳理服务。
按照招标人要求提供网络安全培训服务,包括网络安全意识培训和安全技术培训。服务年度内网络安全意识培训和安全技术培训至少各提供1次。
3.提供CTF夺旗赛相关技术支持服务。
协助招标人完成一次网络安全夺旗竞赛(CTF)活动,在赛事期间负责提供竞赛系统、学习靶场、现场培训、竞赛试题等,题目包含但不限于逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别,竞赛系统应具有题目对错判断,参赛选手填入答案后能够自动判断答案的正确性,同时答题页面需要展现题目信息、分值、已提交的答案、题目连接等。
4. 其他条款
提供服务时须提供不少于4人的“《注册信息安全专业人员证书(CISP)》或《信息安全保障人员证书(CISAW)》”证书复印件及网络安全防护服务商为相关人员缴纳社会保险的证明复印件。
- 交付成果
投标人依据技术服务进度提供下列相关报告,作为服务成果交付的证明。
《**系统风险评估报告》
《**期间安全值守服务报告》
《网络安全风险提醒报告》
《近源攻击筛查报告》
- 项目实施要求
1.各类方案的设计与实施应依据铁路行业相关的法规、标准以及在信息安全和项目管理领域相关的国家标准或国际标准进行,确保信息安全保障服务过程的规范、合理,并为安全保障成果提供质量保证。
2.投标人须针对本项目签订网络安全协议,同时参与服务的每个成员须就本项目签订网络安全承诺书,保证项目过程中和项目结束后未经招标人授权不向第三方泄漏关于项目的任何信息。
3.投标人在项目执行过程中应提供规范的工作过程文档,对项目进行跟踪和控制。信息安全保障项目的实施由专业的项目管理人员和安全服务人员依照规范的操作流程进行,在项目启动之前制定计划和必要的工作申请,并提前告知对系统可能的影响,并提出风险规避措施并做出必要的应急准备,在项目开展过程中对操作的过程和结果要提供规范的记录,并形成完整的项目实施过程报告。
4.应根据需求及时准备充足的人员投入到项目中,确保按时、保质完成项目内容。
3.供应商资格要求
3.1 本次采购供应商须具备的资格要求:
A01:
1.投标人性质要求:在中华人民共和国境内依法注册,具有独立法人资格的服务商。
2.注册资金要求:无要求。
3.体系认证或资质认证要求:须提供“中国网络安全审查技术与认证中心(原中国信息安全认证中心)颁发的《信息安全服务资质认证证书》(信息安全风险评估服务一级)、《信息安全服务资质认证证书》(信息安全应急处理服务一级)和国家计算机网络应急技术处理协调中心颁发的《网络安全应急服务支撑单位证书》(甲级或乙级)”证书复印件。须提供有效期内的ISO27001信息安全管理体系认证证书复印件。
4.供货业绩要求:无要求。
5.经营记录要求:
(1)未被工商行政管理机关列为严重违法失信企业。(网址:“www.gsxt.gov.cn”)
(2)未被人民法院列为失信被执行人。(网址:“www.creditchina.gov.cn”)
(3)在近三年内,企业或法定代表人不存在被司法机关认定的行贿犯罪行为。(网址:“wenshu.court.gov.cn”)
(4)在近三年内,企业或法定代表人不存在被纪检监察组织认定的违规向铁路企业人员送礼金、礼品和各种有价证券、支付凭证等行为;未被行政主管部门责令停业,或被暂停、取消报价资格;拟供外包业务未被行政主管部门责令暂时停产或停止使用。
(5)未被国铁集团或集团公司暂停接受参与采购活动,或暂停采购、使用相应物资(设备)。
(6)未与中国铁路沈阳局集团有限公司及其附属企业、分支机构等存在诉讼案件。
以上内容(1)—(3)投标人提供截图,(4)—(6)投标人须提供承诺函响应。
3.2 本次采购不接受联合体投标。
4.采购文件的获取
4.1凡有意参加报价者,请先在国铁采购平台https://cg.95306.cn/进行企业用户注册,并缴纳国铁采购平台年度会员服务费或单次项目使用费。
文件工本费按项目收取为200元人民币(与所投包件数量无关),同一项目编号文件工本费每个项目仅需缴纳一次,因项目流标、废标等情况重新组织开标谈判时无需再次缴纳。
在文件获取前将文件工本费汇至本公告7.2项中的汇款账户,同时须在汇款单据上注明项目编号,不接受个人汇款,缴纳后不予退。
支付完成后应到国铁采购平台电子招标采购系统(https://bid.95306.cn/)提交文件工本费缴纳凭证(在公告>采购公告>查看详情/文件购买按要求录入缴费凭证),由财务人员核验通过后即可登录国铁采购平台电子招标采购系统(在参与的项目中>招标文件)下载采购文件及其他谈判资料。
4.2本项目接受网上文件获取的时间为2024年4月29日8:00时起至2024年5月7日8:00时(北京时间)止。如遇项目流标等情况,请按文件获取截止后收到的短信提示,重新参与。未在上述指定时间内完成支付者,将无法获取采购文件,同时不具备参与本项目谈判资格。
注册及操作过程如有问题,请联系国铁采购平台客服,联系电话:010-95306转8号键,客服服务时间:周一~周日(8时-18时)
4.3谈判保证金金额
A01:16000元,汇款账户信息见本章第7.2款,汇缴保证金时请在备注项填写项目编号及所投包号。
4.4购买采购文件后,除采购人答疑、补遗时间截止日以前以书面形式确认放弃投标外,比照《中国国家铁路集团有限公司物资供应商信用评价管理办法》(铁总物资〔2018〕171号) 要求,将在物资年度供应商信用评价中扣分1分/次。
5.报价文件的递交
5.1报价文件递交的截止时间(报价截止时间即公布首次报价时间,下同)为2024年05月09日9时00分,地点为中国铁路沈阳局集团有限公司物资采购所一层101开标大厅。地址:辽宁省沈阳市铁西区昆明湖街44号。
5.2逾期送达的、未送达指定地点的或者不按照采购文件要求密封的报价文件,采购人将予以拒收。
6.发布公告的媒介
本次竞争性谈判采购公告在“国铁采购平台(https://cg.95306.cn/)”等媒介上发布。
7.联系方式
7.1采购人相关信息
采 购 人:信息技术所
项目立项人:赵钰鑫
立项人电话:15998847273
技术咨询人:华刚
技术咨询人电话:15243102030
7.2代理机构相关信息
采购代理机构:中国铁路沈阳局集团有限公司物资采购所
地址:辽宁省沈阳市铁西区昆明湖街44号
联系人:张经理
电话:024-62080849 15142688843(项目经理电话接听时间为工作日9时-11时,13时-16时,如上述时间无人接听请以短信或邮件形式留言。)
电子邮件:50948770@qq.com
开户单位:中国铁路沈阳局集团有限公司物资采购所
开户银行:中国工商银行沈阳铁路支行
账号:3301002209249050332
财务科长:024-62080700
文件工本费财务联系人:024-62080841
投标(谈判、履约)保证金财务联系人:024-62080847
开具工本费、服务费发票联系人:024-62080841
备注:文件工本费发票自行扫码开具,请认真填报开票信息,核实准确后“申请开票”。服务费发票为电子发票,由财务科开具后通过投标人报名邮箱发送至各投标人,如有问题请联系财务科。
2024年04月28日
附件1: 采购业务外包明细表
采购业务外包明细表
序号 |
包件号 |
业务外包项目名称 |
业务类别 |
计量单位 |
工作量 |
不含税投标最高限价(单价/元) |
开具发票税率不低于(%) |
备注 |
1 |
A01 |
集团公司网络安全防护服务 |
详见技术规格书 |
项 |
1 |
800000 |
6 |
|
交付期及交付地点:时间:在2024年5月31日至2025年5月30日期间提供技术规格书中要求的技术服务。地点:中国铁路沈阳局集团有限公司管内(辽宁省、吉林省、河北省、黑龙江省、内蒙古自治区)。
交货条件及状态:中标单位负责安装、调试及人员培训等项目,在合同有效期内提供技术规格书中要求的技术服务。