一、项目名称:网络安全服务
二、项目编号:F2021054
三、采购人:苏州大学采购与招投标管理中心
地址:江苏省苏州市东环路50号凌云楼0904室
邮编:215021 传真:0512-67165076
联系人:罗老师 电话:0512-67504198,67504359
电子邮箱:lrb998@suda.edu.cn
技术联系人:宋老师 电话:13338652489
电子邮箱:songf@suda.edu.cn
四、采购服务要求
网络安全服务
名称 | 服务内容 | 工作要求 |
1、资产测绘梳理 | (1)针对全校网站及业务系统进行信息化梳理工作。 (2)统计梳理内容包括但不限于:业务类型、服务器IP、域名、系统版本、中间件版本、数据库版本、开发语言等。 (3)自动识别开放端口,协议。 (4)形成信息资产台账。 | 1、检测范围:苏州大学所有网站及业务系统;全部内网服务器网段。2、服务频率:至少每季度一次。 3、交付物:《信息资产清单》。 |
2、信息资产实时安全监测服务 | (1)提供两套以上专业的网站安全监控平台对苏州大学基于B/S架构的业务系统进行7*24小时监控,包括但不限于网站、软件系统、APP等。监测到攻击或安全隐患等异常情况,及时分析研判,并提供告警服务,对网站存在的脆弱性进行扫描监测,包括但不限于SQL注入漏洞、跨站脚本漏洞、开放服务漏洞、敏感信息泄露、暗链外链、弱口令、个人隐私采集违规、第三方应用安全漏洞、服务有效性监控等,每月提供网站安全监测统计报表及本月校内网络安全情况,形成整体安全监测情况报告。 (2)对校方内部服务器、网络设备、数据库等进行7*24小时安全监测及漏洞扫描,防范包括但不限于主机操作系统漏洞、数据库漏洞、逻辑缺陷、后门、系统弱口令、信息泄露等,对发现的安全漏洞及时提交整改报告并协助整改。 (3)针对漏洞扫描中发现的安全漏洞和配置缺陷,根据整改建议对存在的问题协助校方整改完成后,立即进行漏洞复测,以确保漏洞已经修复。服务周期内提供7*24小时服务,发现的安全漏洞在24小时内解决并完成复测。 | 1、检测范围:苏州大学大学各类网站及业务系统,数量不少于500个。 2、需在苏州大学网络内部署用于实时安全监测的产品,确保校方可在平台上实时查看被监测资产情况。 3、交付物:《网络安全月报》《漏洞报告》。 |
3、风险评估服务 | (1)服务人员应使用商用成熟型漏洞扫描工具苏州大学重点网站及业务系统(500个)等进行安全风险评估,对重点网站及应用系统的检查与扫描,通过工具及人工的方式对苏州大学全校网络与信息系统进行漏洞扫描、风险评估,发现存在的安全风险,提供人工完成的风险评估报告及加固解决方案,协助苏州大学消除安全风险,风险评估报告需同时参考本校已有漏扫设备的扫描结果,进行交叉比对与分析。漏洞复测:针对提交的漏洞报告整改情况进行跟踪,复测校方整改情况,确保漏洞被封堵。 (2)每月按照学校要求的时间节点提供安全风险评估报告,包括但不限于各个网段的安全威胁情况、各个部门及学院的安全威胁情况、每月复测修复情况、历史各月的风险评估对比情况等,提交学校网络安全领导小组。 | 1、检测范围:苏州大学重点网站及业务系统(500个)。 2、服务频率:至少每月一次。 3、交付物:《漏洞报告》 |
4、安全加固类服务 | (1)针对安全检测评估类服务所披露的安全风险,提供专业的安全加固建议,并全程参与加固的实施过程,确保加固工作可以平稳有效的进行。 (2)对学校发现的所有漏洞提交的漏洞报告,协助相关单位进行整改,并形成漏洞追踪表,定期复测对整改情况进行跟踪,复测学校整改情况,确保漏洞被封堵。 (3)使用安全基线,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。 | 1、针对存在问题的网站及信息系统,提供整改建议与分析报告,并提供问题咨询与技术支持。 2、根据学校要求完成或协助完成整改工作。 |
5、安全培训 | (1)通过专业的培训团队,为学校在职人员、信息化人员提供信息安全意识、信息安全技能、信息安全管理等多方面的安全培训服务。 (2)培训内容包括:安全意识培训、网络安全基础产品培训、运维安全培训、攻防技术培训等。 | 1、培训次数:2次 2、交付物:《培训相关PPT》、视频等 |
6、安全设备运维和安全事件处置 | (1)对学校安全设备进行托管运维,设备巡检、安全监控、安全配置优化、安全培训、安全加固和风险评估等,对校方包括但不限于防火墙、WAF、APT、堡垒机、智能DNS、日志审计管理系统等网络及安全设备、系统进行日常运维,定期针对设备进行升级操作,并对设备日志进行分析研判,将高威胁风险统计并形成报告提交给校方。 (2)服务周期内根据学校情况及时更新。 | 1、服务频率:至少每周一次。 2、交付物:《网络安全设备巡检报告》 |
7、新系统上线检查 | (1)对校方现有重点或新上线网络信息业务系统通过进行模拟攻击的形式进行渗透测试,主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误以及其他专项内容等。 (2)服务周期内需对不少于20个网络信息业务系统进行渗透测试,渗透结束后要求生成相关报告并提供修复建议。报告内容需包含原因分析、安全威胁修复建议以及校方要求的其他内容等。对可能存在的安全漏洞情况协助校方进行修复,修复完成后进行复测,确保漏洞被封堵。 | 1、服务频率:服务不少于20次。 2、检查项不少于40类。 3、交付物:《渗透测试报告及修复建议》 |
8、应急响应 | (1)提供7*24小时安全应急响应服务,建立完善的应急响应流程。如发生紧急网络安全事件,启动应急响应预案,立即采取临时断网、关闭事件所涉及网络信息业务等技术手段处理相关安全事件。 (2)派遣安全专家前往现场进行应急响应工作,并在十分钟内响应,一小时内到达现场开展工作,两小时内提出解决方案,查找攻击来源,定位攻击者所利用的漏洞,查杀服务器操作系统中发现的病毒或木马,将事件影响降低到最低。处理完毕后出具处置报告。 | 1、提供7*24小时安全应急响应服务。 2、服务频率: 一年4次及以上应急响应服务工作。 3、交付物:《应急响应流程》《安全事件应急响应处置报告》。 |
9、重保服务 | (1)针对教育部、省教育网信办、公-安部门等上级管理部门组织的网络安全攻防演习、专项网络安全检查,以及重要时期及校方重大活动等时期,根据校方现有网络信息业务、内部服务器、网络设备、数据库的安全现状,结合业界主流的网络攻击手法,分析系统可能遭受的攻击行为及其影响范围、严重程度,提前制定对应的重要时期安全保障应急预案。并以临时调整驻场服务时间、派遣高级安全服务人员进行现场或远程技术支持等方式为校方提供专项网络及信息安全保障服务。 (2)如网络信息业务、内部服务器、网络设备、数据库遭受攻击时,安全服务人员应根据应急响应预案,根据流程进行快速响应,对入侵事件进行检测、抑制、处理,查找入侵来源并恢复系统正常运行。处理完毕后出具处置报告。 (3)提供互联网资产发现&敏感信息泄露情报服务。 | 1、提供重大时期保障服务,如校方要求可安排人员驻校服务。 2、服务频率:根据上级部门及学校要求进行调整。 3、交付物:《重要时期安全保障应急预案》。 |
10、其他 | 协助校方完成其它安全服务工作。 |
|
11.服务期限:1年。
12.报价要求
若采购需求未发生实质性变动(由磋商小组进行认定),本项目将不再组织二次报价,即以供应商响应文件中的报价为最终报价。
五、评分标准:
本次磋商采用综合评分法,总分为100分,具体内容如下:
序号 | 评分指标 | 分值 | 评分细则 |
1 | 报价得分 | 20 | 1、满足采购文件要求且评审价格最低的为评审基准价,其报价得分为满分20分。 2、报价得分=(评审基准价/评审价)×20,小数点保留2位。 |
2 | 技术方案 | 30 | 1、整体服务方案(12分)。根据采购人实际情况及行业特点,规划设计学校系统的资产测绘梳理、信息资产实时安全监测服务、风险评估服务、安全加固类服务、安全培训、安全设备运维和安全事件处置、新上线系统漏洞扫描及处置、重要时期保障及应急响应服务的各阶段技术方案。 方案内容齐全、结构完整,具有很好的科学性和合理性,可操作性强的得9-12分;方案基本齐全、结构基本完整,科学性、合理性和可操作性有欠缺的得4-8分;方案内容有缺失、结构不够完整,缺乏科学性和合理性,可操作性较差的得1-3分;未提供得0分。 2、项目实施方案(10分)。根据采购人实际情况,规划设计项目实施方案(包括进度安排合理性、组织架构、人员安排、工具配备、项目管理、风险防范等)。 方案内容齐全、结构完整,具有很好的科学性和合理性,可操作性强的得8-10分;方案基本齐全、结构基本完整,科学性、合理性和可操作性有欠缺的得4-7分;方案内容有缺失、结构不够完整,缺乏科学性和合理性,可操作性较差的得1-3分;未提供得0分。 3、网络安全应急响应与演练服务方案(8分)。根据采购人实际情况,规划设计网络安全应急响应与演练服务方案,投标人应配备充足的技术人员,当发生网络安全事件时能保证1小时内到达现场开展应急响应,应急响应与安全演练,方案须合理可行,包括服务架构、人员组成、应急流程、威胁处置、安全加固等内容。 方案内容齐全、结构完整,具有很好的科学性和合理性,可操作性强的得6-8分;方案基本齐全、结构基本完整,科学性、合理性和可操作性有欠缺的得3-5分;方案内容有缺失、结构不够完整,缺乏科学性和合理性,可操作性较差的得1-2分;未提供得0分。 |
3 | 供应商资质 | 15 | 1、供应商需具有有效期内的网络安全审查技术与认证中心颁发的信息安全服务资质认证证书(信息系统安全集成三级及以上),提供者得3分,未提供不得分;(提供证书清晰复印件并加盖公章) 2、供应商需具有有效期内的网络安全审查技术与认证中心颁发的信息安全服务资质认证证书(信息系统安全运维三级及以上),提供者得3分,不提供得0分;(提供证书清晰复印件并加盖公章) 3、供应商需具有有效期内的网络安全审查技术与认证中心颁发的信息安全服务资质认证证书(信息安全应急处理三级及以上),提供者得3分,不提供得0分;(提供证书清晰复印件并加盖公章) 4、供应商需具有有效期内的ISO20000信息技术服务管理体系认证证书,提供者得2分,不提供得0分;(提供证书清晰复印件并加盖公章) 5、供应商需具有有效期内的ISO27001信息安全管理体系认证证书得2分,不提供得0分;(提供证书清晰复印件并加盖公章) 6、供应商需具有有效期内的ITSS信息技术服务运行维护标准贰级及以上资质,提供者得2分,不提供得0分;(提供证书清晰复印件并加盖公章) |
4 | 综合服务能力 | 6 | 1、供应商在重要保障时期可提供教育网专用Web应用安全实时防护云服务,支持教育网内抗DDOS攻击能力,须提供案例合约证明材料复印件、云防护接入实例截图并加盖投标人公章,提供得2分,未提供不得分。 2、供应商用于本项目的网络安全监测预警平台原厂商需要有2019年以来面向行业主管单位提供行业安全监测的项目案例,须提供案例合约证明材料复印件并加盖投标人公章,提供得2分,未提供不得分。 3、供应商用于本项目网站安全监测服务的平台的原厂商具有安全监测及安全通报经验,具备安全预警能力,须提供案例合约证明材料复印件并加盖投标人公章,提供得2分,未提供不得分。 |
4 | 案例和评价情况 | 10 | 1、2019年以来,每提供一份同类型安全服务案例得1分,最高得10分,没有不得分(提供合同复印件并加盖公章)。 |
6 | 人员配置要求 | 12 | 1、项目经理资质:供应商负责本项目的项目经理需具有网络安全审查技术与认证中心的网络安全应急响应工程师证书及有效期内的CISP资格证书,在投标人单位工作3年以上。(需提供相关证书复印件并加盖公章,以及近3年社保缴纳证明,提供得3分,未提供不得分) 2、项目组成员资质:供应商拟派本项目的项目组成员持有有效期内的CISP(CISO或CISE)资格证书,不少于3人,每人得2分,最高得6分(需提供相关证书复印件并加盖公章,以及近1年社保缴纳证明,未提供不得分); 3、供应商拟派本项目的项目组成员持有有效期内的CISP-PTS证书不得少于1人,每人得3分(需提供相关证书复印件并加盖公章,以及近1年社保缴纳证明)。 |
7 | 本地化服务 | 2 | 供应商在江苏设有分公司或子公司或办事处或常驻售后服务机构的,提供证明材料的得2分,未提供不得分。 |
8 | 增值服务 | 5 | 根据供应商在报价文件中明确的在本公告要求范围以外,评标委员会认可的优惠措施综合评定。 |
六、供应商的报价应包括为完成本项目所发生的一切费用。
七、供应商资质要求
(一)在注册,具有独立法人资格;
(二)本项目不接受联合体报价。
(三)具有履行合同所必须的全部专业技术能力和必需的设备。
(四)具有良好的商业信誉,近五年内在经营活动中无违法违纪违规情况。
八、磋商响应文件的组成
(一)磋商响应文件一般由下列材料组成(部分表格样式见附件),所有材料须加盖供应商公章,并按序装订成册:
1. 目录(磋商响应资料与页码对照表)。
2. 磋商响应函(原件)、响应基本情况一览表(原件)。
3、报价一览表、价格明细表。
4. 详细配置清单(原件)。
5. 技术规格偏离表(原件)。
6. 公司简介(包括公司业绩、公司荣誉、公司资质、财务状况等,原件)。
7. 资格证明材料
(1)营业执照、税务登记证以及组织机构代码证(复印件)。
(2)法定代表人授权书(原件)。
(3)法定代表人身份证明材料(如身份证、护照等)(复印件)。
(4)法人授权代表身份证明材料(如身份证、护照等)及单位社保证明(复印件)。
(5)供应商最新的年度审计报告或财务报告(复印件)。
(6)近三年来与本次磋商服务类似的用户名单及联系方式(以教学、科研用户为主,原件)。
8. 响应单位实力证明材料。
9. 服务方案及服务承诺(主要包括针对本项目的服务、培训方案及其他优惠措施等)(原件)。
10. 服务业绩材料。
11. 供应商认为应该提供的其他材料。
(二)特别说明
1. “磋商响应文件”应装订并密封,并加盖投标单位公章;
2. 正本一份,副本三份,如副本与正本有出入,以正本为准;
3. 相关材料及填写规范按照《苏州大学招标采购仪器设备投标人须知》第三条“投标文件”中的具体要求执行。
九、货物交货期、交货地点、付款方式、安装、调试、验收以及售后服务等相关商务要求,参照《苏州大学招标采购仪器设备投标人须知》第21条中的要求执行。
十、磋商文件价格:人民币500元(相关缴纳事宜详见附件2),售后不退。
十一、供应商在报名前,须认真阅读《苏州大学招标采购仪器设备投标人须知》和本磋商公告,完全了解并接受其所有条款及要求,并在2022年9月15日12:00前将报名函(格式见附件3)发送邮件至采购人处(lrb998@suda.edu.cn)。
十二、递交磋商响应文件相关事宜:
(一)邮寄(建议优先采用)
1. 寄达时间:2022年9月22日9:30前;
2. 收件人信息:
收件人:招标中心罗荣飚(可请门卫代收)
联系方式:13656209516
收件地址:江苏省苏州市东环路50号苏大东校区(招标中心)
(二)现场递交
1. 现场递交时间:2022年9月22日9:00~9:30
2. 现场递交地点:江苏省苏州市东环路50号苏州大学东校区东大门
十三、递交磋商文件截止时间:2022年9月22日9:30。
十四、磋商时间:2022年9月22日9:30。
竞争性磋商公告附件.rar