武陟县人民医院“网络安全考核保障与安全托管技术服务”购买邀请招标投标人须知

****

“网络安全考核保障与安全托管技术服务”

购买邀请招标投标人须知

一、项目名称：****网络安全考核保障与安全托管技术服务。

二、依据《中华人民**国网络安全法》《中华人民**国数据安全法》《中华人民**国保守国家秘密法》等网络安全相关法律法规要求，以及网络安全监管部门的不定期的网络安全检查考核，为充分履行网络安全保护的义务和责任，通过专业安全服务和工具，实现涵盖事前、事中、事后的网络安全闭环运营，并在运行过程中，对存在问题的各个环节的不断优化，不断提升和增强网络安全考核及保障能力，现就采购网络安全考核保障与安全托管技术服务内容和要求如下：

1. 渗透测试服务

在招标方授权许可的情况下，定期或者不定期进行网络渗透测试服务，由渗透测试技术工程师模拟黑客的攻击方法或者工具，对信息系统的现状进行安全评估。渗透测试过程包括对系统的弱点、技术缺陷进行分析和利用，在保证整个渗透测试过程都在可以控制和调整的范围之内，将入侵的过程和发现的漏洞及风险详情形成详细的报告反馈给招标方，并提出解决方案，因其它问题不能及时升级解决的，也需提供方案把风险降到最低，以及配合后续验证成果工作。

输出结果：《渗透测试报告》

2. 互联网暴露面检测

投标人提供对招标人互联网暴露面检测服务，探测招标方在互联网侧潜在的未知资产，不必要开放的资产、网站后台等，并自动验证互联网资产是否存在可利用漏洞、弱口令，提供暴露面收敛等相关整改方案。检测内容包括：

（1）互联网资产详情：互联网主机IP及资产类型、互联网网站URL等。

（2）风险暴露面排查：风险端口、后台页面、弱口令、可入侵漏洞等。

3. 网站安全监测服务

投标人对招标方网站提供7×24小时的网站安全监测服务，发现网站漏洞、网页篡改等安全问题，确保网站安全稳定运行。

服务期内投标人免费提供专业的网站安全监测工具并放置在招标方机房指定位置专用（提供承诺函并加盖投标人公章）。

提供以下服务能力：

（1）Web漏洞监测：具备多种Web应用漏洞的安全检测能力，如“SQL注入、跨站脚本、文件包含、CSRF、目录遍历”等网站脆弱性漏洞。

（2）网站应用监测：监测网站的可用性、域名劫持等事件。

（3）黑链/篡改事件监测：****监测站点是否存在被黑客植入黑链、篡改的事件，系统需要保留植入黑链、篡改的快照页面，监测频率不高于5分钟/次。

（4）敏感词全站监测：可自定义不同的敏感词库，并对网站进行全站页面爬取，发现敏感词字眼，包括文字文档等敏感信息监测。

交付成果：利用网站安全监测工具，实现对招标方网站风险的掌控：

（1）能展示网站风险的数量统计、分布及变化趋势，并可进行网站风险的详细查询。

（2）根据需求交付《网站安全监测报告》。

4. 互联网数据泄露监测服务

从“攻击者视角”监控招标方互联网暴露的资产和风险，使得这些可能会被攻击者发现的资产风险系数降低。

提供互联网数据泄露监测服务，涵盖招标方在互联网上的相关信息，包括单位信息、邮箱信息、APP应用程序、微信小程序、微信公众号、敏感代码信息、敏感文档信息等，以帮助及时发现并应对潜在的数据泄露风险，提供服务工具界面截图证明并加盖原厂商公章。

5. 资产梳理服务

服务期内投标人提供资产梳理服务，协助招标方做好信息化资产的各项管理，提供专业的资产管理工具并放置在招标方机房指定位置专用（提供承诺函并加盖投标人公章）。

提供以下服务能力：

（1）主机资产识别：支持自动扫描IP资产信息，包括：“存活IP、设备厂商、操作系统、端口、应用、数据库、中间件、服务版本”等资产特征。

（2）网站资产识别：支持自动识别网站资产信息，包括：“中间件信息、web框架信息、CMS OA、程序语言”等指纹信息，支持爬取网站后台、ICP备案编号、网站标题、网站返回码等属性。

（3）二级域名扫描：提供二级域名扫描功能，输入一级域名进行一键扫描，通过搜索互联网数据，自动获取到该域名的二级域名、网站标题、解析IP地址。提供服务工具界面截图证明并加盖原厂商公章。

（4）IP反查域名监测：输入IP或者网段，通过搜索互联网数据，自动获取到IP对应的域名、url链接、网站标题、返回状态码。提供服务工具界面截图证明并加盖原厂商公章。

（5）网站资产相关度分析：通过爬取单位已知的网站页面，分析网页中是否包含招标方相关的网站链接，从而发现未知网站；可配置“网段、域名”等命中规则，自动判断是否属于单位的网址。提供服务工具界面截图证明并加盖原厂商公章。

（6）MAC地址自动识别：不需要联动第三方设备、不需要在主机中安装任何代理、无需主机开放任意端口，就可支持对跨网段的IP或多个网段进行MAC地址探测识别，支持识别MAC地址的设备类型包含:“Windows、Linux、国产操作系统、交换机路由器、安全设备、打印机、物联网设备、医疗设备等”，提供服务工具界面截图证明并加盖原厂商公章。

交付成果：利用资产梳理工具，实现招标方信息化资产的系统、自动化管理：

（1）下线资产监测:可及时发现未存活IP、未存活端口的主机和网站资产，可查看未存活IP列表、未存活端口列表，可对未存活的资产进行移除操作。

（2）新增资产趋势：可按最近一周、最近一个月、最近一个季度可查新增的主机IP资产、网站资产，掌握资产新增趋势。

（3）资产台账：通过资产梳理工具实时生成招标方资产台账。

6. 主机脆弱性扫描服务

服务期内投标人提供主机脆弱性扫描服务，对招标方网络、服务器及应用系统进行漏洞发现、漏洞追踪，以建立漏洞管理长效机制，提供专业的漏洞扫描工具并放置在招标方机房指定位置专用（提供承诺函并加盖投标人公章）。

提供以下服务能力：

（1）完善的漏洞库：漏洞库漏洞信息不少于220000条，集成4000+POC对内网资产进行自动漏洞验证与渗透，提供详细的漏洞描述和对应的解决方案描述。通过POC验证过的漏洞，扫描结果需包含漏洞利用证明，包括但不限于攻击Payload、目标响应结果、漏洞利用点、关键参数等内容，提供服务工具界面截图证明并加盖原厂商公章。

（2）弱口令扫描研判工具：支持针对指定的目标IP与应用，通过在web界面上手工输入“用户名、密码”，系统将返回口令登录后的校验结果，确认弱口令是否真实存在。提供服务工具界面截图证明并加盖原厂商公章。

（3）支持漏洞跟踪管理，能够自动对漏洞状态进行处置，自动识别“新增、已修复、未修复”的漏洞，同时支持人工方式进行漏洞状态处置，以及编写漏洞备注。提供服务工具界面截图证明并加盖原厂商公章。

交付成果：利用漏洞扫描工具，实现对招标方信息化资产漏洞的实时掌控：

（1）可实现资产漏洞数量统计、变化及趋势，并可进行漏洞的查询。

（2）根据需求自动导出《漏洞扫描报告》。

7. 配置核查服务

服务期内投标人提供操作系统、中间件、数据库等的配置核查服务，提供配置核查工具并放置在招标方机房指定位置专用（提供承诺函并加盖投标人公章）。

（1）配置核查能力：支持20种以上常见设备和应用的配置检查，包括操作系统、应用中间件、数据库。

（2）配置核查支持类型：操作系统支持Windows 2003 / 2008 / 2012 / 2016 / 2019 / 7 / 8 / 10 / 11；支持linux（Centos、Redhat、suse等）；应用服务，支持Linux、Windows下的Apache、Weblogic、TOMCAT、Websphere、Nginx，以及windows 2003/2008/2012/下IIS 6/7/8；数据库，支持Linux、Windows下Oracle8i/9i/10/11g、Mysql。

交付成果：提供《配置核查报告》，含加固建议。

8. 协助安全加固

在发现安全漏洞风险时，提供安全加固协助，指导招标方及时修复资产存在的风险隐患，提高资产的网络防御能力，消除、规避或降低信息系统安全风险，保障招标方信息系统的安全性和稳定性，有效防范各类网络攻击和安全威胁。

9. 漏洞防护服务

针对部分主机系统或软件已经停止维护、漏洞整改慢导致积累大量漏洞债务、新型高危漏洞需要一段时间才能修复等情况，投标人提供主机漏洞防护服务，协助招标方7×24小时防护多种主机漏洞，使漏洞扫描器、恶意攻击源无法扫描到主机漏洞，包括可利用漏洞、版本漏洞等。

服务期内投标人免费提供专业的主机漏洞防护工具并放置在招标方机房指定位置专用（提供承诺函并加盖投标人公章）。

提供以下服务能力：

精准检测恶意攻击源、扫描源，并可基于告警风险值、或者定向源进行屏蔽，使漏洞扫描器、恶意攻击源无法扫描到主机存在的漏洞。提供服务工具界面截图证明并加盖原厂商公章。

交付成果：可呈现攻击源IP、屏蔽原因、屏蔽过期时间、屏蔽状态等。

10. 全网威胁诱捕服务

投标人应协助招标方建立常态化的主动防御机制，转换攻守态势，并通过安全自查、攻击诱捕，反被动为主动。服务期内投标人提供威胁监测诱捕服务，提供专业的威胁监测诱捕工具并放置在招标方机房指定位置专用（提供承诺函并加盖投标人公章）。

提供以下服务能力：

（1）蜜罐/蜜网类功能：支持智能克隆仿真功能，可以通过自学习的模式对真实业务系统进行遍历访问，形成机器记忆，与真实业务系统一样可进行前后端的数据交互，包括但不限于以下动态交互类型：“搜索查询、登陆验证、账号注册”等，高迷惑性地吸引攻击者攻击蜜罐，要求拟态仿真蜜罐系统为纯静态系统，无需额外提供蜜罐定制服务。提供服务工具界面截图证明并加盖原厂商公章。

（2）引流防御：可将访问真实业务系统的流量引流到仿真蜜罐，使攻击无法命中真实业务系统，真正有效消耗攻击**，并直接保护真实资产。

交付成果：利用威胁监测诱捕工具，实现对招标方信息化威胁的主动防御：

（1）可直观呈现攻击链每个阶段的安全事件。

（2）根据需求提供《威胁监测诱捕报告》。

11. 主机威胁监测服务

主机安全是安全保障的最后防线，需要重点防范，投标人提供7×24主机安全监测服务，重点检测成功入侵主机行为。服务期内投标人免费提供专业的主机威胁监测工具并部署在招标方指定机房指定位置（提供承诺函并加盖投标人公章）。

提供以下服务能力：

（1）主动威胁监测：主动监测主机侧的Webshell、暴力破解、异常登录成功、反弹shell、挖矿检测等，发现可疑的主机入侵事件。提供服务工具界面截图证明并加盖原厂商公章。

（2）精细化识别：可识别精细化识别主机的硬件信息（包括cpu、线程、内存、磁盘等使用率信息），网卡信息，运行进程、自启动服务、安装软件等。

（3）Web日志分析：通过监控Web日志文件以及对应Web端口号，自动跟踪相同目录下的Web日志，发现各类Web入侵攻击，包括但不限于目录穿越、SQL注入、XSS跨站脚本攻击 、web路径遍历漏洞攻击，高亮显示攻击特征。提供服务工具界面截图证明并加盖原厂商公章。

（4）文件篡改检测：可检测网站文件的篡改行为，包括：“创建、写入、修改权限、重命名、删除”等篡改行为。提供服务工具界面截图证明并加盖原厂商公章。

交付成果：《主机威胁监测报告》。

12. 应急响应服务

参照国家信息安全事件响应处理相关标准，当招标方出现发生安全事件后，按照预防、情报信息收集、遏制、根除、恢复流程，提供专业的7*24小时的紧急响应处理服务，帮助招标方快速响应和处理信息安全事件。

交付成果：《应急响应报告》

13. 安全巡检服务

投标人提供定期的对招标方安全设备进行安全检查，确保设备安全稳定运行。

（1）检查现有安全设备的各项运行指标是否正常，查看各项设备硬件运行状态是否正常。

（2）检查各项安全设备的软件版本（如操作系统补丁、防病毒系统病毒库等）是否需要升级，并在得到网络安全管理人员同意的情况下协助对各项内容进行升级。

（3）查看安全设备的日志，分析目前的安全风险情况。

交付成果：《安全巡检报告》、《安全策略优化报告》。

14. 安全策略调优

根据安全设备的策略情况，在招标方网络/信息系统发生变化时或按照优化实施安排，投标人应提供安全策略变更和调优服务。

（1）安全设备新上线时，投标人应配合招标方做好安全监督，确保厂商工程师的安全策略配置安全、有效。

（2）投标人应对安全设备的策略参数进行梳理分析，针对已经过时、失效或不再适用当前网络及安全现状的设备安全策略进行优化管理，形成设备安全策略优化方案，在保证当前网络运行状态和防护状态的前提下，协助对设备策略进行调整，使其达到最佳状态。

（3）安全设备的安全策略应始终随着业务和风险的变化同步调整和优化，保障招标方信息系统始终处于有效的安全防护范围。

15. 流量监测服务

投标人需对招标方网络提供流量检测服务，及时发现网络流量异常、攻击等安全问题，确保招标方网络流量安全稳定运行。服务期内投标人免费提供专业的流量检测工具并部署在招标方机房指定位置（提供承诺函并加盖投标人公章）。

提供以下服务能力：

（1）通过流量镜像对海量流量进行采集，不少于80000威胁特征库，对于捕获的流量进行存储、分析，内置多重检测引擎，包含入侵检测、Web检测、威胁情报等，结合攻击源、风险等级、地理位置、攻击目标、命中规则数、告警次数等因素综合分析，精准识别攻击源头，发现不同场景下的已知威胁和未知威胁。

（2）旁路阻断：不需要设备串联、不需要配置策略路由，****中心对单个ip进行手工阻断。也可自动关联流量告警，根据智能研判标签，就会自动触发旁路阻断，包括但不限于非法外联-拦截域名解析的IP（高风险）、外网恶意攻击（高风险）、利用成功（高风险）、暴力破解（高风险）、外网可疑访问（中风险）等标签，可灵活针对国内/国外IP进行灵活封禁，可灵活指定封禁时间间隔。提供服务工具界面截图证明并加盖原厂商公章。

交付成果：《流量监测报告》。

16. 重保支撑服务

在国家、省市或行业等组织举办的重要活动期间，投标人为招标方提供的重要时期安全保障服务，以确保重大活动期间招标方重要业务系统安全稳定的运行。

交付成果：《重保支撑服务报告》。

17. 安全培训服务

利用已有的网络安全培训体系为招标方建设网络安全人员培训机制，投标人应根据招标方人员现状设计出适应单位人员能力提升的课程体系，进行周期性的安全意识、安全技术、开发安全、安全管理等内容进行选择性培训，加强整体的安全水平。

交付成果：《网络安全培训材料》。

18. 应急演练服务

投标人需提供应急演练服务，提供专业的应急演练工具并放置在单位机房指定位置专用（提供承诺函并加盖投标人公章）。

提供以下服务能力：

（1）演练协同配合：能够自动化编排参与演练的角色和任务。

（2）演练操作展示：演练过程中，组织者能够实时查看演练阶段，当前阶段的操作过程。

（3）演练操作监控：演练过程中，组织者能够实时对当前阶段参与者所操作的设备进行实时监控。

（4）演练总结评价：能够对每个场景的演练结果的评价得分以及过程的记录。

（5）演练回放：能够对演练过程进行视频回放。提供服务工具界面截图证明并加盖原厂商公章。

（6）演练流程：针对每个演练场景，包含演练启动，事件模拟、监测预警、事件研判、事件上报、事件处置、系统确认，演练总结。提供服务工具界面截图证明并加盖原厂商公章。

通过设置相关场景，模拟安全攻击事件的发生，以检验招标方在发生网络安全事件时，应急响应速度的及时性、处置流程的有效性和应急响应团队对网络安全事件处理的熟练程度，以便优化招标方各部门人员对处理应急事件的流程，增进招标方人员之间的协调与配合，促进招标方应急能力的提升。

交付成果：《应急演练报告》。

19. 检查协助服务

随着国家对网络安全的越发重视，法律的逐步完善，网信、**、行业监管部门承担安全监管职责，会不定期对重点单位进行安全检查。

投标人在**、网信等监管和主管部门网络安全检查期间，提供安全检查协助服务，配合招标方积极应对监管单位的网络安全检查工作，并针对检查出的问题进行处置。

20. 风险评估服务

投标人需依据GB/T 20984-2022《信息安全技术 信息安全风险评估方法》、GB/T 31509-2015《信息安全技术 信息安全风险评估实施指南》等标准，以科学的方法和手段，系统地分析招标方网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。

交付成果：《风险评估报告》。

★以上所有参数为基础要求，投标方可多于招标方的需求参数，不能少于基础要求参数（必要项）。投标结束后，中标方需在签订合同前提供服务工具进行能力测试，根据我院提供的网络环境，测试效果应符合服务要求，如不满足，中标方将被视为虚假投标，由中标方承担相应后果。

三、投标人要求：

1、具有独立承担民事责任的能力。（提供有效营业执照复印件，并加盖投标人公章）

2、投标人具有良好的商业信誉和健全的财务会计制度。（提供****事务所或审计机构审计的财务报告，若投标人为新成立企业，提供自注册年度后的财务报告复印件，并加盖投标人公章）。

3、投标人有依法缴纳税收和社会保障资金的良好记录。（提供2025年6月（含6月份）至今任意3个月的依法缴纳税收证明和连续3个月的缴纳社保证明的材料复印件，并加盖投标人公章。投标人成立不满三个月的，则提供自成立日以来的纳税和社保证明材料）

4、****政府采购活动前三年内，在经营活动中没有重大违法记录。（提供投标人书面声明；投标人自行承诺并承担后果，声明函不实的，按《****政府采购法》有关提供虚假材料的有关规定给予处罚。）

5、投标人提供信用中国网 “失信被执行人”和“重大税收违法案件当事人名单”，“中国政府采购”网站的“政府采购严重违法失信行为名单”查询结果页面截图加盖投标人公章；若有不良记录报名无效，执行财库[2016]125号文。【查询渠道：“信用中国”网站（www.****.cn）、中国政府采购网（www.****.cn）】（查询日期应为公告发布之后的）

6、授权人或法人须提供本项目报名截止之日近半年以来本人连续6个月以上（含6个月）的缴纳社保证明（需由社保部门出具证明）。

7、投标人****测评中心或中国网络安全审查****数据中心颁发的风险评估证书。（提供证书复印件、官网查询截图并加盖投标人公章）

8、投标人****测评中心或中国网络安全审查****数据中心颁发的安全运营类（或安全运维）证书。（提供证书复印件、官网查询截图并加盖投标人公章）

9、投标人服务人员须具备网络安全专业能力，至少1人具有“注册信息安全专业人员”（CISP）证书、1人具有“注册信息安全专业人员渗透测试工程师”（CISP-PTE）证书，且人员不能复用。（提供相关人员近六个月社保缴纳证明、资质证书电子扫描件及官网查询截图，并加盖投标人公章）

10、投标人自行提供内外网网络安全服务工具分别用于内外网环境，内外网服务工具须满足国家有关规定，具备“网络关键设备和网络安全专用产品安全认证证书”或“网络安全专用产品安全检测证书”。（提供证书复印件、官网查询截图并加盖原厂商公章）

11、投标人提供医疗行业内的安全运营服务合同。（提供至少2个近一年的医疗行业内安全运营服务合同，并加盖投标人公章）

12、本项目不允许转包。

13、本项目不允许联合体投标。

四、服务要求：

服务期限：一年。

五、评标地点：****门急诊医技综合楼四楼小会议室1。

六、资质文件接收截止时间：2026年1月 13日 17时30分。标书代写

七、开标时间：2026 年1 月14 日9 时00分标书代写

八、招标控制价：253000元（大写：贰拾伍万叁仟元整），投标人报价高于控制价的将作废标处理。

九、评标小组组成：评标小组由****相关工作人员组成。

十、评标办法：首先对所有投标人进行资格审查；符合招标要求的****小组递交第一轮报价和第二轮报价，第二轮报价结束后，评标小组对投标人进行议价，议价结果为签订合同价，报价需加盖公章或委托代理人签字按手印，报价必须按照投标人须知中第二项服务要求进行报价，直至验收后的所有费用，遇市场**策变动，价格不予调整。

十一、中标人确定：****小组议价结果确定中标人。

十二、付款方式：验收后付至合同价的90%，服务期结束支付合同价剩余的10%。

十三、坚持公开、公平、公正、诚实信用原则，坚持按同一标准对待所有投标人。

十四、成交的投标人提供全额发票，税率执行普通税率（税费包含在报价内）。

十五、投标人准备和参加投标活动发生的费用自理。

十六、本次邀请招标未尽事宜，最终解释权为****。

十七、招标人：****

联系人：荆所宝

联系方式：156****6660

资质文件接收邮箱：****@163.com

附件： 一、授权委托书

二、****网络安全考核保障与安全托管技术服务

议标报价表（第一轮）

三、****网络安全考核保障与安全托管技术服务

议标报价表（第二轮）

附件

附件

附件