新闻中心
您当前位置: 首页 -> 新闻中心 -> 通知公告 -> 正文 通知公告

四川交通职业技术学院2024年网络与信息安全技术服务系部自主采购公告

点击数: 发布时间:2024-03-11

四川交通职业技术学院

2024年网络信息安全技术服务采购项目

(最低价成交类)

一、系部自主采购邀请

我院 信息中心  系(部)/)拟对 2024年学院网络信息安全技术服务采购 项目进行系部自主采购兹邀请符合本次自主采购要求的供应商参加报名

(一)项目简介:

为保障学院网络与信息安全,现拟采漏洞扫描及处理、网络攻防演练、网站云监测、重要日期网络安全保障服务等网络与信息安全技术服务1套。

(二)供应商参加本次采购活动应具备下列条件:

1、具有独立承担民事责任的能力;

  2、具有良好的商业信誉和健全的财务会计制度;

  3、具有履行合同所必需的设备和专业技术能力;

  4、有依法缴纳税收和社会保障资金的良好记录;

  5、参加采购活动前三年内,在经营活动中没有重大违法记录;

  6、法律、行政法规规定的其他条件。

(三)供应商响应文件递交截止时间及评审开启时间:

2024 3 1410:00(北京时间)

响应文件必须在截止时间前两小时内送达。逾期或提前送达的恕不接收。本次系部自主采购不接受邮寄的响应文件,响应须密封并在封口处盖骑缝鲜章。响应文件等相关材料不符要求者恕不接受。

响应文件递交截止后立即当场开标,供应商报价情况将向所有供应商当场公布

(四)本项目采购的邀请、文件、更正(澄清)及结果(暨中选通知书)等将在学院官网发布,供应商自行查阅并后果自负。

(五)联系方式

人: 四川交通职业技术学院信息中心

供应商响应文件递交地址及评审地点

成都市温江区柳台大道东段208号厚学楼101

人: 魏康

联系电话: 82680089


20243

二、供应商须知

序号

应知事项

说明和要求

1

项目预算

预算-大写:玖万玖仟元整,小写:99000元。

2

评审方法

收到邀请的符合资格条件的供应商不低于三家,经评审完全满足所有资格、技术服务要求、货物规格型号(技术参数)、商务及售后服务要求的供应商不低于一家时,报价最低者为成交供应商

3

付款方式

合同签订后支付合同金额90%款项,合同执行完毕支付剩余尾款。

4

履约保证金

5

响应文件数量

正本一套,副本四套

6

中选结果公告(暨中选通知书)

学院官网

7

投诉方式

部门:学院采购办

地点:明德楼702财务处办公室

电话:82680819

联系人:李老师


三、响应文件格式

供应商可参考政府采购有关要求并结合本项目需要拟定响应文件,至少应包含但不限于报价部分(报价单样式附后,含分项报价明细表)、服务部分、商务部分及其他部分(含所有与采购文件相关材料),否则将视为无效响应,材料清单:

1、供应商根据采购文件“四、供应商资格、资质性及其他类似效力要求”和“五、产品的资格、资质性及其他类似效力要求”规定所作出的承诺函原件。

2、企业法人:

提交“统一社会信用代码的营业执照”未换证的提交“营业执照、组织机构代码证、税务登记证、”(均为复印件)

事业法人:

提交:“统一社会信用代码的事业单位法人证书”未换证的提交“事业单位法人证书或组织机构代码证”(均为复印件)

其他组织:

提交“统一社会信用代码的社会团体法人登记证书”或“统一社会信用代码的民办非企业单位登记证书”或“统一社会信用代码的基金会法人登记证书”,未换证的提交:“社会团体法人登记证书”或“民办非企业单位登记证书”或“基金会法人登记证书”和“组织机构代码证”(均为复印件)

个体工商户:

提交“统一社会信用代码的营业执照”或“营业执照、税务登记证”(均为复印件)

3、供应商为法定代表人需提供本人身份证复印件。

4、供应商非法定代表人,需提供法定代表人授权书原件及被授权人身份证复印件。

5、供应商按规定应该提供的其他文件。

本项目在评审时进行资格审查。供应商应在响应文件中附上所有的资格证明文件,提供复印件的需加盖供应商印章鲜章,并在必要时提供原件备查。

四、供应商资格、资质性及其他类似效力要求

(一)具有独立承担民事责任的能力;

  (二)具有良好的商业信誉和健全的财务会计制度;

  (三)具有履行合同所必需的设备和专业技术能力;

  (四)有依法缴纳税收和社会保障资金的良好记录;

  (五)参加政府采购活动前三年内,在经营活动中没有重大违法记录;

  (六)法律、行政法规规定的其他条件。

五、项目清单及要求

(一)项目名称、技术规格和配置要求、数量:

服务内容

服务描述

服务范围

服务频率

漏洞扫描及处置

针对服务器、网络设备及各类应用开展漏洞扫描,发现基础架构层存在的安全漏洞、弱口令等,并提供解决建议,形成漏洞扫描报告;对漏洞扫描对结果进行分析,对必要修复的漏洞制定切实可行的方案并协助运维人员进行加固;对于无法通过补丁修复的漏洞,制定其他可行的缓释措施以降低漏洞带来的影响。

所有业务系统

4次

网络攻防演习

通过专业安全攻防人员组成红队,针对目标系统、人员、软件、硬件和设备同时执行的多混合、基于对抗性的模拟攻击,以此来发现系统、技术、人员和基础架构中的存在的隐患。用尽可能接近真实环境攻击的方法来模拟,黑客APT攻击,从而发现有可能被黑客利用的安全漏洞,以此对网络安全能力进行检测,揭示整体安全防护水平,红队评估包含以下内容:
1、主动收集信息:"主动收集信息是通过直接访问或扫描方式进行信息收集,会产生访问日志记录。收集内容包括但不限于:
1)子域名(爆破、dns解析记录)(2)外网存活ip及开放端口(3)web应用敏感信息(cms指纹、开发语言等)(4)旁站信息及c段信息(5)服务器及中间件信息(6)WAF等安全设备信息"
2、被动收集信息:通过第三方服务(比如搜索引擎、技术论坛、博客等)进行信息搜集,不会产生日志记录,但收集信息有限。搜集内容包括但不限于:
1)企业单位信息(单位基本信息、关联子公司信息)(2)网站备案信息及whois信息(3)邮件系统信息(4)互联网侧开放应用系统信息(5)供应链及内部员工敏感信息(仅限于搜集已在互联网公开信息,无法通过攻击手段获取)(6)未知的外部泄露信息(比如应用系统使用手册、框架介绍、内部组织架构等敏感文件)
3、对学院不低于4个应用程序渗透测试:由手工测试和360的专业漏洞扫描器、Gatling漏洞扫描平台相结合来扫描和验证漏洞、配置错误及业务逻辑缺陷。渗透目标包括但不限于:
1)B/S架构、C/S架构应用(2)APP服务端(3)小程序(微信、支付宝等)(4)公众号(H5、API等)
4、对学院有线网和无线网进行网络渗透测试:尝试利用外部黑客攻击的方式,从外部对企业互联网资产进行嗅探、踩点、入侵、并尝试各种技术类手段进行网络的纵向/横向入侵来发现组织中的整体网络的安全漏洞。渗透目标包括但不限于:
1)服务器操作系统漏洞利用(2)web中间件、数据库漏洞利用(3)宿主机第三方服务软件漏洞利用(4)网络设备漏洞利用(5)安全设备漏洞利用
5、内网漫游:在完成纵向渗透获取组织内网的命令执行权限后,红队会尝试开始内网全网中的横向移动,以获取约定的信息获取目标,主要攻击行为包括但不限于:
1)网络拓扑探测(2)内网弱口令探测(3)内网敏感资料收集(如源代码、密码信息等)(4)内网钓鱼攻击(5)中间人攻击(如ARP、DNS劫持等)(6)内网应用渗透(7)域环境攻击(8)后渗透权限维持

互联网及内网

1次

网站云监测

提供合同期内互联网能访问的业务系统和站群系统7*24全时段的安全态势监测,提供包括漏洞扫描、违规内容监测、网页挂马监测、内容变更监测、黑链监测、网站可用性监测;FGHK监测、未知资产发现服务,7X24小时的安全事件监测验证和安全事件通告下发,每月输出一次《网站安全监测报告》。

学院业务网系统及站群

实时

安全事件应急处置

在学院发生信息破坏事件(篡改、泄露等)、大规模病毒事件、Web网站漏洞事件等相关的信息安全事件时,为学院提供应急响应专家协助处置突发安全事件,保障业务的正常运营、减少因安全事件为学院带来的经济损失和负面影响的服务。
服务为现场服务,提供事件研判(针对事件类型、危害程度、利用门槛、传播特征、影响范围做出研判)、抑制(针对已发生事件,专杀工具对事件进行处置)、根除恢复(通过对有关事件或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。把所有攻破的系统或网络设备还原到它们正常的任务状态,使业务能够正常进行,恢复工作应避免出现误操作导致数据的丢失)以及总结(整理与事件相关的各种信息,进行总结)等服务。

提供全年安全应急响应服务

合同期内

重要时期保障服务

为确保学院在重保期间(以上级单位文件为准)业务系统持续、稳定的运行,减少互联网侧的暴露和攻击面,提升网络内部的安全基线,提供专业的安全团队与学院信息安全人员协同防护,全面提升学院的安全应对能力,降低安全事件的发生概率。提供不少于20天的7*24小时的重要时期安全保障服务,包括但不限于学院全网的安全监测服务,针对实时监测发现的网络安全事件、攻击事件进行处置、溯源,并输出监测与处置日报。

重要时期及护网行动期间

合同期内

安全人员培训

针对学院在网络安全建设和日常安全运行中存在的问题,由学院提出培训需求,有专业网络安全技术人员准备网络安全培训课程资料,进行现场培训、实战操作等。主要包括针对安全团队技术能力培训,次数不少24次(在线培训12次,线下现场培训12次),每次不低于2学时,培养安全团队的安全事件处理能力、攻防演练中红蓝对抗、安全事件溯源、漏洞扫描及修复、日志分析、常用安全设备及软件的操作与配置等。

提供安全事件评估及应急操作手册,手册集成不低于18个不同类型的典型案例,可通过手册完成案例事件的全过程处置,为学院网络安全技术人员提供支撑。

安全团队

24次培训

(二)商务要求或售后要求:

1、服务期限为合同签订之日起一年

2、成交供应商须于本项目结果公告发布之日起5日内上门与采购人联系商签合同事宜并于5日内签定采购合同,否则采购人将依次递补或重新采购。

*特别说明:

上述所有服务规范、规格型号、技术参数及商务和售后要求均为实质性需求,供应商必须完全满足,否则视为无效响应。







   

四川交通职业技术学院信息中心

我单位完全接受你系 项目的所有技术和服务要求,现对该项目报价为人民币:¥ 元,大写: 圆整。

此报价含完成本项目的所有费用,项目相关的一切人身、财产安全责任及其潜在的所有风险和损失均完全由我单位承担。

附:响应文件(含资格资质[营业执照]、技术及商务要求[采购内容及服务要求]的响应、分项报价明细表)


单位(鲜章):

法人代表(授权代表)手写签名: