2026年网络安全深度技术检测服务
二、项目概况根据****需求,为民航行业目标客户提供网络安全众测、网络安全实战能力评价、互联网资产攻击面检查等深度技术检测服务。
三、采购单位****
四、项目预算19万元
五、项目要求 (一)供应商资质条件1.具有独立承担民事责任的能力的合法服务商。
2.具有良好的商业信誉和健全的财务会计制度。
3.具有履行合同所必需的设备和专业技术能力。
4.具有依法缴纳税收和社会保障资金的良好记录。
5.参加政府采购活动前三年内,在经营活动中没有重大违法记录。
6.供应商须是中华人民**国境内正式注册并具有有效独立法人资格、有能力完成本项目的法人或其他组织。
7.供应商不得为“信用中国”网站(www.****.cn)中列入失信被执行人和重大税收违法案件当事人名单的服务商,****政府采购网(www.****.cn)政府采购严重违法失信行为记录名单中被****政府采购活动的服务商(处罚决定规定的时间和地域范围内)。(提供承诺函)
8.****政府采购活动的服务商、法定代表人/主要负责人在前3年内不得具有行贿犯罪记录。(提供承诺函)
9.本次采购不接受联合体参加。
(二)采购内容1. 服务项目清单
| 序号 |
项目 |
数量 |
计量单位 |
要求 |
| 1 |
安全众测服务 |
1 |
次 |
总漏洞数不少于50个,其中高危漏洞不少于25个 |
| 2 |
网络安全实战能力评价 |
1 |
次 |
不得少于148人天 |
| 3 |
互联网资产攻击面检查 |
1 |
次 |
不得少于25人天 |
2. 服务内容说明
(1) 安全众测服务
| 指标项 |
技术参数 |
| 服务内容 |
(1)报价人通过安全众测平台定向招募和筛选安全测试人员,对采购方指定的互联网信息系统进行渗透测试,找出其业务系统所面临的威胁,并发现弱点、了解设计和执行的缺陷,出具相应的测试与分析报告,并提出相应的整改建议措施; (2)报价人需拥有独立稳定运营的安全众测服务平台,提供项目所需的安全众测服务; (3)报价人具有丰富的众测服务实施经验,近一年以来,具备至少5个实施过程的众测项目案例; (4)报价人为国家或行业标准起草单位(标准名称须包含“安全众测”、“安全漏洞”关键字); (5)报价人提供服务的众测平台按照《网络产品漏洞管理规定》要求,需具备工信部通信网络安全防护定级备案,通过“通信网络安全防护定级备案”; (6)报价人众测平台应提供以下功能: Φ 管理员端后台登录支持二次认证,具备项目管理、漏洞管理、复测管理、申诉管理、评论管理、项目报告、项目数据统计等功能,需提供相关界面截图; Φ 平台具备独立的厂商端界面,支撑厂商账号独立审核和管理漏洞,厂商端功能支持按照时间段统计各等级漏洞数,TOP10漏洞类型,TOP10风险资产。支持以可视化图标展示漏洞趋势、响应时效;支持在线查看每期项目报告,项目报告包含提交漏洞数,确认漏洞数,参与人员数,漏洞等级,漏洞类型,漏洞列表等;支持在线查看众测项目流量审计,支持可视化展示请求次数,访问目标,测试时长,测试时序图等; Φ 平台具备独立白帽端界面,支持白帽实名认证,支持白帽参与项目需在线签署保密协议电子合同,支持白帽提交漏洞暂存草稿,支持在线查看VPN审计账号,等功能; Φ 支持审计凭证功能,审计凭证支持批量导出,审计凭证包含协议类型、日志时间、项目ID、项目名称、测试人员ID、登录终端IP和访问目标等; Φ 支持对测试人员行为进行可视化统计与呈现,包含测试人员VPN在线时长,授权测试范围,非授权测试范围,平均在线时长,最长连接时长,测试人员VPN连接率等。 |
| 服务范围 |
(7)采购方指定的互联网信息系统。 |
| 服务方式 |
(8)报价人通过安全众测平台,定向招募和筛选安全测试人员,对被测系统进行模拟攻击测试工作。 |
| 服务频次 |
(9)本项目服务在服务期内实施1次。众测漏洞数:总漏洞数不少于50个,其中高危漏洞不少于25个。 |
| 交付成果 |
(10)《信息系统安全众测漏洞报告》 |
(2) 网络安全实战能力评价
| 指标项 |
技术参数 |
| 服务内容 |
(1)为采购方提供内部实战攻防形式的网络安全实战能力评价工作,通过模拟真实攻击者的战术、技术和流程(TTPs),全面检验采购方指定的网络安全防护体系的有效性,发现网络安全深层次问题与各类隐患; (2)实战攻防正式开展前,开展攻防技战术专项研讨与重难点交底工作,针对本次演练范围、资产边界、攻防路径、技术手段、合规约束、实操禁忌等核心要点进行全维度专项对接沟通,拆解 ATT CK 企业级攻防技战术要点、高危攻击链路、防护薄弱环节、实操过程关键风险点与注意事项,形成标准化攻防实操执行口径与边界规范; (3)针对红蓝双方攻防实操重难点、业务系统特殊防护逻辑、核心资产防护底线、异常流量识别特征、攻击溯源研判要点等内容开展专项深度沟通,梳理实操过程技术难点、处置流程卡点、协同配合关键节点,统一攻防研判标准、风险判定口径与应急处置流程,夯实实战攻防实施基础; (4)网络安全实战能力评价工作实施期间需要制定实战攻防计划,攻防能力全面覆盖MITRE ATT CK框架中所推荐的企业级对抗措施,从防护、检测、响应、恢复四个维度进行能力量化评估; (5)网络安全实战能力评价方法应包含人员访谈、文档审核等管理手段,辅助安全工具扫描、自动化工具验证、人工渗透测试等技术手段; (6)实战攻防评价需采用红蓝对抗模式,红队模拟真实攻击者从外网突破到内网横向移动的完整攻击链,蓝队负责监测、分析和响应攻击行为,全程记录攻防过程数据; (7)评价内容需涵盖网络边界防护、身份认证与访问控制、数据安全防护、终端安全管理、安全运营响应能力等关键领域。 |
| 服务频次 |
(8)本项目服务在服务期内实施1次,服务周期不得少于148人天。 |
| 交付成果 |
(9)《网络安全实战能力评价报告》《实战攻防技战术重难点专项交底纪要》 |
(3) 互联网资产攻击面检查
| 指标项 |
技术参数 |
| 服务内容 |
(1)全面梳理采购方指定的全部互联网IT资产,建立完整的资产台账,资产范围包括但不限于域名/子域名、IP地址、开放端口/服务、Web站点、SSL证书、移动应用(APP/小程序/公众号)、云资产、网络设备、安全设备、服务器、操作系统、数据库、中间件等; (2)支持常规的互联网资产发现,通过主动扫描、DNS 解析、证书透明度查询、搜索引擎爬虫等多种技术手段,发现采购方所有暴露在互联网上的资产,确保资产发现的全面性和准确性; (3)支持通过Host碰撞能力检测是否存在host碰撞资产,包含验证方式、应用类型、凭证等信息,发现因配置不当导致的隐藏资产暴露风险; (4)支持针对三大运营商IP进行识别和扫描检测,精准定位不同运营商网络中的资产分布情况; (5)支持敏感信息侦查,包括代码托管平台(CSDN、Github、Gitee 等)、文库平台(百度文库、豆丁网等)、网盘平台(百度网盘、**云盘等)的敏感信息泄露检测,发现源代码、配置文件、账号密码、内部文档等敏感信息泄露问题; (6)支持移动端资产侦查,针对 APP、小程序、公众号进行资产发现和验活验证,同时支持对仿冒 APP、公众号、小程序进行测绘,通过资产名称、数据来源与归属单位比对,锁定疑似风险资产; (7)对所有发现的资产进行安全漏洞扫描验证,重点针对核心业务系统进行深度安全评估,漏洞扫描工具需支持 OWASP Top 10 漏洞检测、SQL 注入、XSS 跨站脚本、命令注入、文件包含等常见 Web 漏洞,以及主机漏洞、弱口令检测等。 |
| 服务频次 |
|
| 交付成果 |
(9)《互联网资产攻击面检查报告》 |
1、报价须包含当前采购项目的全部内容。
2、供应商应按照本文件内容的要求完成本项目的服务工作。供应商应在报价中充分考虑不同条件和复杂程度的变化以及可能带来的风险。
3、供应商可根据对项目的理解结合实际情况自行拟定报价表。
六、公告公示及报名时间自发布之日至2026年7月6日
七、报名方式
凡有意参加的供应商,请于2026年7月6日16:00**行报名,报名信息(单位名称、姓名、手机号)发送至邮箱j_chen@cauc.****.cn,对逾期报名的邮件,不予受理。
八、递交比选文件
1.比选文件递交时间:2026年7月9日14:00-16:30。对逾期送达的或者未送达指定地点的报价文件,不予受理。标书代写
2.递交比选文件地点:**市**区津北公路2898号****北院北25教学楼503房间。
3.比选文件要求
所有参加比选的供应商应编制比选文件,内容包括但不限于:
(1)资格证明及服务要求响应文件1份(密封并加盖公章);标书代写
(2)报价文件1份(密封并加盖公章)。
以上(1)和(2)分别密封在两个文件袋中,并加盖公章。
九、联系方式联系人:陈老师
联系电话:022-****2294