关于公开选聘“自贸区福州片区行政审批综合服务信息平台升级扩展项目”网络安全等级保护测评单位供应商的公告

下载

2、等保测评服务
供应商对系统进行安全等级测评，并为被测系统出具《网络安全等级保护测评报告》。
2.1安全技术方面
安全物理环境：对物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面测评。
安全通信网络：对网络安全的网络架构划分，通信传输安全方面测试。
安全区域边界：对网络划分的区域边界进行边界防护、访问控制、入侵防范、恶意代码防范、安全审计等防护措施进行测试。
安全计算环境：对网络计算环境进行身份认证、访问控制、安全审计、入侵防范、恶意代码防范、数据备份恢复等方面的测试。
****中心：****中心内的系统管理、审计管理等方面进行安全测试。 2.2安全管理方面
安全管理制度：对信息系统的管理制度、制定和发布、评审和修订等方面。
安全管理机构：对岗位设置、人员配备、授权和审批、沟通和合 作、审核和检查等方面。
安全管理人员：对信息系统的人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等方面。
安全建设管理：对系统定级、安全方案设 计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案等级测评等方面。
安全系统运维管理：对环境管理、资产管理、介质管理、设备管理、****管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。
2.3服务交付成果

下载

二、报价供应商资格要求
（一）须在中华人民**国境内注册，具有独立法人资格,须提供合格有效的法人营业执照副本复印件，加盖报价公章，并注明与原件一致，原件备查。
（二）根据《****政府采购活动中查询及使用信用记录有关问题的通知》（财库〔2016〕125号）有关规定，****政府采购活动前3年内在经营活动中无不良信用记录的书面声明，并同时提供通过“信用中国”网站（www.****.cn）信用信息查询无不良信用记录的打印件（或截图）。
（三****政府采购活动前3年内在经营活动中没有重大违法记录的书面声明。
（四）供应商具有网络安全等级测评与检测评估机构服务认证证书（DJCP），须提供证书复印件。
（五）供应商为本项目投入2个高级测评师，团队其他人员为1名中级测评师担任质量监督员，1名中级测评师负责技术类测评；2名初级测评师分别负责信息安全制度及管理类测评要求工作，确保项目的顺利实施，提供证书复印件。
三、 测评服务工具要求
①检测工具要求：
1、系统应能提供4大独立扫描模块，包含系统扫描、Web扫描、口令猜解、仅存活探测的全面扫描能力，每个模块支持各自的配置项，可灵活修改每个模块的配置参数以满足不同场景下的扫描需求。
2、支持针对指定IP段，同时一键下发系统扫描、Web扫描、口令猜解任务，其中Web扫描能够自动发现该网段内的在线网站并开展扫描。（需要提供能够体现上述功能及配置选项的截图并支持演示）
3、支持自定义任务执行方式，支持立即扫描、定时扫描、周期性扫描等多种扫描方式，自定义周期扫描时间可精确到每天、每周或每月的某天、某时、某分。
4、支持检测的系统漏洞数不少于17万个，覆盖CVE、CVSS、CNVD、CNNVD、CNCVE、Bugtraq多种漏洞标准。
5、支持检测物联网设备，如主流厂商海康威视、宇视、华为、大华、Brickcom、TP-LINK、AXIS、三星、惠普、佳能等。（需要提供能够体现上述功能及配置选项的截图并支持演示）
6、支持国产操作系统、数据库的扫描，国产操作系统包含中标**、凝思、深度、中兴新支点，国产数据库包括神通、人大金仓、南**用、达梦。
7、支持Web登录扫描，支持Cookie认证、Form认证、Basic认证、NTLM认证、Session认证、Digest认证，并支持Web登陆验证，确保Web登录成功。（需要提供能够体现上述功能及配置选项的截图并支持演示）
8、支持资产统一管理，支持按照IP、URL、网页编码、操作系统、MAC地址、所属资产组、资产标签、资产评分对资产进行高级检索和分析；系统应支持对资产及资产检测结果进行导出，以便备份恢复。（需要提供能够体现上述功能及配置选项的截图并支持演示）
②安全服务工具箱要求：
1、投标人所采用的安全服务工具能够“1.发现网页木马(webshell)；2.同时支持对反动、赌博、色情等内容进行检查；3.检查的目标文件类型不限，可同时支持PHP、ASP/JSP/ASPX/JSPX等脚本类型；4.支持对各类威胁进行自动评分，并按照危险值从高到低进行排序；5.支持导出检测结果；6.支持对可疑文件进行批量复制或批量删除。”（需要提供能够体现上述功能及配置选项的截图并支持演示）
2、投标人所采用的安全服务工具能够“1.支持同时对1000个以上IP进行归属地查询，支持批量对输入的信息按照标准化格式自动调整，提取需要的关键信息，删除冗余信息；2.支持与云端的威胁情报库进行联动，支持同时对1000个以上IP进行威胁情报信息查询，自动识别挖矿木马、勒索软件、傀儡机、Cobaltstrike等类型的威胁。”（需要提供能够体现上述功能及配置选项的截图并支持演示）
3、投标人所采用的安全服务工具能够“1.支持按照基线模板对主机安全配置进行基线检查;2.基于基线模板配置加固策略，自动完成对不符合项的加固工作；3.加固策略包括身份标识与鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、安全实践经验（如禁止IPC空连接、关闭自动播放等）等；4.基线模板及模板中的各策略项参数值均支持自定义。”（需要提供能够体现上述功能及配置选项的截图并支持演示）
4、投标人所采用的安全服务工具能够“1.支持自动识别并标识隐藏账号；2.支持自动识别并标识仿冒操作系统自带进程的异常进程（如svch0st.exe、1sass.exe、winl0g0n.exe等）；3.支持自动识别并标识木马后门；4.支持自动识别异常网络连接，须标识网络连接中的IP归属地，****分局域网IP、国内IP、境外IP，帮助技术人员快速识别异常网络连接。”（需要提供能够体现上述功能及配置选项的截图并支持演示）
四、其他要求
（一）报价及支付要求
1.最高控制价：9.5万元。
2.报价应包括完成网络安全等级保护测评所需的全部费用，并加盖公章。
3.报价单位严禁关联企业，否则报价作废。
4.我单位将按照满足服务要求且报价最低的原则确定服务单位。
5.供应商应于合同签订后30日内完成相应工作内容。
6.项目通过测评并取得测评机构出具的测评合格报告等级证书后，由供应商开具发票，收到供应商开具的发票后15个工作日内，一次性支付合同全部服务费。
（二）注意事项
1.本公告公示10天，公示结束后根据供应商报名情况，采用比选的方式（由最低报价者中标），选定1家供应商。
2.材料递交方式：快递邮寄至**省**市**区文武砂街道湖文路201号********管理中心6楼623。
3.报价人应于25年6月23日16点前送到上述地址，逾期送达的或不符合规定的报价文件将被拒绝。

联系人：叶旖情
联系电话：155****2294
****