我市电子政务网络和政务云安全风险，全面护航全市数字化改革基座

为防范和化解我市电子政务网络和政务云的安全风险，深入检测和搜索网络安全隐患，进一步检验信息系统和政务网络的安全防护状况和水平在政务云上，加强数据存储安全和公共数据标准使用，防止数据泄露，弥补体制机制短板，提高应急响应能力和水平，确保政务网络安全稳定运行和政务云，加强政务网络安全体系规划建设，全面为城市数字化改革基础保驾护航。座位。本项目现公开招标，诚邀符合条件的安保公司投标。

一、项目基本信息

项目名称：第三方安全测试服务项目

项目业主：湖州大数据服务中心

项目预算：8万元

服务时间：2021年6月-10月

预期目标：打破传统被动防御理念，配合上级安全管理部门主动出击，定期进行漏洞扫描、渗透测试等技术手段，感知、发现、应对潜在和现有通过从第三方安全制造商处购买服务的事件。威胁，在危害发生前，主动完成系统加固整改，避免实际损失，是对现有大数据智能安全分析平台泛在感知和拟态分析的补充。

二、用户需求

(一）服务原则

1.安全服务应严格遵守保密原则，对服务的过程数据和结果数据严格保密，不得擅自向任何单位和个人泄露，不得使用这些数据侵犯了购买者的网络。 ，否则购买者有权追究安全服务商的责任。

2.服务计划的设计和实施应按照国内或国际相关标准进行；

3.服务中使用的工具、方法和流程要在双方约定的范围内，服务进度要跟上进度安排，保证服务的可控性由需求方工作；

4.服务的范围和内容要全面、全面，包括安全的方方面面，以免日后因疏漏造成安全风险。并且服务中的流程和文件都严格规范，便于项目的跟踪和控制

5. 服务工作应尽量减少对系统和网络正常运行的影响，对现有网络的运行和服务的正常提供（包括重大系统性能下降、网络拥塞、服务中断，如果这些情况无法避免，应在服务计划中详细描述）；

6. 安全服务提供者应根据购买者的服务原则和安全服务需求提出安全服务计划，其中提供的服务/工具应完全符合购买者规定的标准，并达到或超过采购商的要求。招标文件未载明的相关服务要求，采购人应当提出建议并说明理由。采购方有权在签订合同前根据需要对安保服务计划进行修改和补充，修改补充后的最终安保服务计划将附在合同中。

(二）服务内容

安全服务提供者应在合同签订之日起的合同期内，向湖州市大数据发展管理局提供的所有政务网段、互联网网段、应用业务系统、网站系统、在线服务系统提供信息安全服务.

１、漏洞扫描支持和保障服务的技术要求

(1）漏洞扫描服务

要求安全服务商在合同签订后的合同期内提供漏洞扫描服务，服务频率为3次。

(2）实施风控

在进行漏洞扫描服务之前，安全服务商需要进行小规模的模拟测试，验证漏洞扫描的有效性和安全可靠性。

在漏洞扫描过程中，招标人相关人员需全程跟进，确认待检查系统，安全服务商会及时提出可能存在的风险，之后再进行漏洞扫描确认。

(3）漏洞扫描服务框架

漏洞扫描服务主要包括：

弱密码扫描，至少包括以下应用的弱密码：FTP、SNMP、Telnet、SSH、SYBASE、Oracle、MySQL、MSSQL等；

系统漏洞：Windows、AIX、HP-UX等操作系统漏洞、系统后门；

网络设备漏洞：Cisco、华为、H3C、PIX防火墙等网络设备漏洞；

数据库和应用服务漏洞：MS SQL Server、MySQL、Oracle、Apache、IIS、Tomcat、WebLogic等漏洞；

系统是否开放了telnet、ssh、远程桌面、pcanywhere等常用维护端口（23、22、3389、5631、5632等）但是对访问原IP没有严格限制；

Web应用漏洞：Web服务器是否有测试页面，后台登录是否有限制，网页是否存在SQL注入、跨站等漏洞；

本项目中安全服务商使用的漏洞规则库应保持最新，每个漏洞都有一个CVE代码，并提供详细的漏洞描述和加固建议措施。使用的服务工具应满足：

1.产品必须是安全服务商自研产品，支持超过16万个漏洞检测，兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准，提供CVE兼容证书。

2. 产品支持对系统漏洞扫描、Web漏洞、配置合规性的检查和综合分析，可以输出包括漏洞扫描和配置验证结果的报告。请提供功能截图。

3.同时支持使用SMB、SSH、RDP、Telnet等协议对Windows、Linux等系统进行远程扫描和登录扫描。

4. 产品应支持多维度的漏洞检索，包括：CVE ID、BUGTRAQ ID、CNCVE ID、CNVD ID、CNVD ID、MS号、风险等级、漏洞名称、是否使用危险插件-ins ，漏洞发布日期等。

5. 提供高级漏洞模板过滤器，支持自动将满足过滤条件的漏洞添加到自定义漏洞模板中，后续插件升级包中的漏洞也可以自动添加到模板中。

6. 内置Unix、Windows操作系统、网络设备、防火墙等不同的漏洞模板，同时支持自定义扫描范围和扫描策略；支持自动模板匹配技术，请提供功能截图。

7. 支持红旗、麒麟、麒麟OS等国产操作系统、应用和软件的安全漏洞扫描，并提供详细的漏洞列表。

8. 支持大数据组件框架漏洞扫描，涵盖Ambari、Cassandra、Elasticsearch、Flume、Hadoop、Hbase、Hdfs、Hive、Impala、Kafka、Mongodb、Oozie、Redis、Spark、Storm、Yarn、 Zookeeper，需要能够扫描200多个相关漏洞，请提供功能截图。

9. 支持扫描主流云主机管理系统的安全漏洞，如：VMWareESX/ESXi、KVM、Xen，需要5000多个相关漏洞扫描能力，并提供功能截图和列表支持的漏洞。

10. 支持扫描物联网设备漏洞，涵盖常见品牌相机、打印机、路由器、摄像头，支持扫描海康威视、宇视、大华、雅安、Pelgo、打印机需要支持扫描HP ,三星,路由器需要支持扫描TP-LINK,D-LINK,NETGEAR。

11. 支持扫描容器镜像漏洞，支持扫描公网镜像和私有镜像。

12. 通过在目标资产上部署终端代理代理，支持实时准确获取资产信息，进一步完成漏洞分析和扫描。请提供功能截图。

13. 产品要求在中国开发，具有自主知识产权，并经过15年以上的应用测试信息安全服务项目，制造商应承诺产品的高度稳定性和可靠性。

14.产品应该是成熟的产品，应用广泛，在国内市场占有率高，近三年市场占有率排名不低于前3。需提供知名第三方机构（如IDC）出具的市场份额排名有效证明材料。

２、渗透测试支持和安全服务的技术要求

对于用户提供的系统，通过人工黑盒测试的方法，发现网络和业务系统中的网络和系统安全缺陷，并提供渗透测试报告和改进建议。

(1）渗透测试服务

要求安全服务商在合同签订后的合同期内提供渗透测试服务，服务频率共3次。

(２）支持与保障服务技术要求

1.服务期内，根据安全专家已经掌握的安全漏洞信息，模拟黑客的真实攻击手段，对系统和网络进行无损攻击测试。

2.厂商服务人员提供的渗透测试报告必须包含漏洞从发现到最终利用的全过程记录。系统经过研究所加固后，需要进行二次测试，确认漏洞是否合理。修复。

3. Web 服务器配置缺陷包括：默认证书、默认内容、目录列表、WebDAV 方法、充当代理服务器的 Web 服务器、虚拟主机配置缺陷、保护 Web 服务器配置等等。

4. 易受攻击的服务器软件包括：应用程序框架缺陷、内存管理缺陷、编码和规范化缺陷、查找 Web 服务器缺陷等等。

(3）响应方式

需派原厂人员进驻现场。通过渗透测试，发现业务系统中的安全漏洞，并向客户提供修复建议，包括配置、认证、会话、授权、数据验证等测试内容，以及安全建议。并撰写测试报告。

(三）输出结果要求

每次漏洞扫描完成后，安全服务商需向招标人提交不同业务系统的“漏扫扫描报告”、“漏扫扫描加固建议”，并为各服务器建立开放端口。各业务系统及其他服务内容；

其中，漏洞扫描报告应包括整体扫描任务和单个主机的扫描任务。安全服务商必须提供漏洞扫描服务和安全配置验证服务的对比报告，可以直观地展示系统资产在多个服务任务中的风险变化。比较报告应支持 HTML、WORD、PDF 和 EXCLE (XML) 等格式。

为保证服务质量，投标人不得擅自扩展所使用的服务或工具的技术性能，投标人必须在中标后7日内对所提供的工具进行功能和性能测试。如有虚假投标，视为无效投标，采购人有权拒绝签订合同；因工程延误造成的一切损失由中标人承担。

三、企业资质比较

投标供应商资质要求：1、应符合《中华人民共和国政府采购法》第二十二条的规定，未被“信用中国”()和中国列为失信政府采购网（）。执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信记录名单。征信信息以投标截止时间在中国征信网（ ）和中国政府采购网（ ）上的公告为准。

四、选拔文件的编印、装订要求

1、比较文件准备

(1）报价信（格式为自制，需详细说明）

(2）营业执照（复印件加盖公章）

(3）资格证书（加盖公章复印件）

(4）项目实施计划等

(5）评选单位认为可以提供的其他材料

/strip/ignore-error/1|imageslim'/>

2、比较文件保密要求

选拔文件需加盖公章。

五、评标计算方法

本项目的总评价为 100 分。其中，价格部分（投标报价）为10分，业务部分、技术部分及其他部分（价格部分除外）为90分。

5.1个价格部分：10分

5.1.1个买入价：10分

有效投标价格最低的投标价格为评标基准价，其价格分为满分。其他投标人的投标点数按以下公式计算：

中标得分=（评标基准价/中标价）×10

如果投标价格超出采购预算，价格部分将获得零分，不被推荐为投标的候选供应商。

5.2 个商业、技术和其他部分：90 分

序列号

查看内容

评分标准

积分

1

本服务所提供工具的技术参数及要求

投标人提供的工具技术参数和要求符合招标文件要求，28分，实质性正偏差每项加1分，最高2分；每项技术参数和要求负偏差，扣2分，扣分直至结束（重大偏差由评委会判定）。

30 分

2

项目安全服务计划

根据招标方案的整体情况，详细阐述各项安保服务的服务范围、服务内容、服务方式或方式及服务流程；如果整体安保服务方案完整，满足项目需要，则给予8-10分，比较合理。 4-8分，一般1-4分，不提供0分。

10 分

3

项目实施计划

项目实施方案可行，能够遵循项目实施原则，根据项目建设的实际需要合理安排项目建设进度和周期计划，包含的应急预案可以保证相应的系统故障问题不会出现获得8-10分；如果实施计划、项目建设进度和周期计划基本可行，应急计划更详细，打4-8分；项目实施计划、项目建设进度和周期计划比较粗略，可行性较差，应急预案缺乏或不合理。 0 -4 分。

10 分

4

技术团队计划

投标企业投资于项目实施的技术力量和人力资源安排。主要技术人员专业配置齐全，分工齐全，能分工明确，协调项目实施，确保项目持续有效运行。得 5 分。完成，如果分工不明确，每个职位扣1分，直到扣完为止。

5 分

5

响应时间

提供 1 名现场工作人员 4 分；

如提供现场人员，收到需方通知（电话、电传等）后3小时内的现场维修响应时间加1分，不包括紧急呼叫时间）。

4 分

6

员工培训

设置专业培训，包括岗前培训和在职培训。培训计划完整，针对性强。培训内容包括（使用、日常维护、管理）等培训。详细的年度培训计划和计划将获得5分。方案不全面或缺乏可行性扣1分，直至扣完为止。

5 分

7

公司业绩

投标企业2017年1月1日至今的软件开发业绩，每提交1分，最高3分。

注：提供合同及证明文件真实性，无分数不可用，原件供参考

3 分

8

企业认证

1、投标企业提供的有效质量管理体系认证2分；

2、投标企业提供的有效环境管理体系认证2分；

3、投标企业提供的有效软件企业证书加2分。

注意：供应商需提供加盖公章的证书复印件。若无乐谱，原作备查。

6 分

9

企业资质

1、申请人或原厂商提供国家信息安全评估和信息安全服务资质证书-风险评估类别（2级）及以上加2分；

2、申请人或原厂家提供国家信息安全评估和信息安全服务资质证书-安全工程（三级）及以上加2分；

3、申请企业或申请人需提供国​​家信息安全评估信息安全服务资质证书-安全开发类（二级）及以上； 2分

4、申请企业或申请者需提供CCRC信息安全服务资质证书-风险评估（1级）2分

5、申请企业或原厂商需提供CCRC信息安全服务资质证书-应急处理（1级）2分

6、申请企业或原厂商提供CNCERT网络安全应急服务支持单位（国家级），加分2分。注：供应商需提供加盖公章的证书复印件。 .

12 分

10

企业综合能力

申请人或原始厂商应在信息安全领域具有丰富的经验和先进的技术，必须具备系统漏洞发现、验证和提供应急服务的技术能力，独立挖掘和披露CVE漏洞5分以上, 2分, 10分以上, 3分, 20分以上, 4分, 30分以上, 5分, 可在CVE官网用厂商信息进行验证。

5 分

六、选择原则

我局将组织专家对符合公示资格条件的入选单位进行审核，以综合评分标准中的最高分确定入选单位。在中国湖州门户网站公示期满且无异议后信息安全服务项目，与采购单位签订正式合同文本。

七、比较文件提交和审核

1、提交时间：2021年6月4日凌晨12:00前向市大数据局（数据服务中心）提交。

2、投稿地点：浙江省湖州市金爱山路66号4号楼406室

3、评审时间：2021年6月4日下午2点，我单位将组织评审专家进行统一评审。