深圳会展中心计算机信息网络安全服务采购项目.docx
《深圳会展中心计算机信息网络安全服务采购项目.docx》由会员分享,可在线阅读,更多相关《深圳会展中心计算机信息网络安全服务采购项目.docx(28页珍藏版)》请在冰点文库上搜索。
深圳会展中心计算机信息网络安全服务采购项目
深圳会展中心计算机信息网络安全服务采购项目
竞争性谈判邀请通知书
一、单位名称:
深圳会展中心管理有限责任公司(以下简称“甲方”)
二、单位地址:
深圳市福田区福华三路深圳会展中心
三、项目名称:
深圳会展中心计算机信息网络安全服务采购项目
四、项目介绍:
(一)项目概况
随着中国国际高新技术成果交易会(以下简称“高交会”)的影响日益广泛,会展中心展会数量和规模不断扩大,会展中心计算机网络规模和结构日趋复杂,对外服务不断丰富,计算机网络系统所承受的安全威胁也越来越大。
安全、可靠的计算机网络系统在支撑和保障高交会及其它展会的成功举办方面将发挥越来越重要的作用。
为确保高交会的顺利举办以及会展中心日常网络安全,需要聘请专业信息网络安全公司开展信息网络安全风险评估、信息安全监控,应急响应以及高交会期间驻场值守等专业信息网络安全服务工作。
现甲方拟采用“竞争性谈判”的方式,选定该项目合作单位,项目具体要求及数量详见本通知书第六项。
(二)项目目的
1.发现会展中心网络、主机、应用存在的安全漏洞并修复。
2.重点保障高交会召开期间高交会及会展中心相关网站等信息系统安全,及时发现攻击行为,把风险消灭在萌芽状态,确保高交会的顺利召开。
3.保障会展中心网及信息系统的日常安全,定期开展风险评估、安全巡检等日常信息安全服务工作。
4.出现信息安全事件时,保证有充足的技术力量及时处理,同时能够及时协调信息安全主管部门的支持。
(三)网络拓扑结构
1.网络拓扑图
2.设备及应用数量
序号
设备名称
数量(台)
主要应用
1
SUN服务器
8
Oracle数据库、Web网站、票证系统等
2
PC服务器
26
Vmware、WebLogic、邮件、DNS、DHCP、Mysql、MSsql2008、垃圾邮件过滤、行为审计、OA、BBS、Web网站、FTP、日志、Radius认证、会刊系统等
五、实施地点:
深圳会展中心
六、项目内容及需求:
(一)商务需求
序号
需求说明
偏离选项
1
资质要求
1.参加单位必须为中华人民共和国境内注册且合法运作的企业,在法律和财务上独立。
企业营业执照经营期限处于有效期内。
(提供营业执照副本及税务登记证复印件,加盖参加单位公章)。
2.参加单位注册资金为人民币500万元(含)以上(如新版营业执照上无注册资金信息及经营范围信息的,须提供工商管理部门网上体现基本信息以及许可经营信息的网页查询截图,打印件加盖公章)。
3.参加单位必须具有中国信息安全测评中心颁发的信息安全服务资质(安全工程类)或广东省公安厅颁发的信息安全服务类资质。
4.参加单位信息安全服务类项目合同金额20万元以上案例不少于1个(提供相关案例合同关键页复印件,加盖参加单位公章)。
5.参加单位如非深圳注册单位,须在深圳市内设有常驻服务机构。
(提供参加单位在深分支机构(或分公司)营业执照副本复印件加盖公章)
6.参加单位必须有30人以上的技术服务人员(提供深圳社保证明)
7.参加本项目投标的代表,必须是单位的法定代表人或持有法定代表人亲自签署的法人授权委托证明书的该单位员工。
(提供法定代表人证明书、法人授权委托证明书,如单位法定代表人为本项目授权代表,则仅提供法定代表人证明书及身份证复印件)。
(身份证原件备查,各类证明书需加盖公章)
8.本项目不接受联合体投标。
不可偏离
2
服务时间
服务期为1年。
不可偏离
3
报价要求
1.本项目报价以人民币为结算币种,报价单须包含全年主要工作内容、工作时间、人员数量及单价,包括项目过程中使用的专业软件、工具、人工、辅料等相关费用。
2.提供分项及总价报价清单。
3.本次谈判的费用由参加单位自理。
不可偏离
4
控制金额
本项目的控制金额为人民币16万元,参加单位的报价不可高于控制金额,否则参加单位的响应文件视同无效。
不可偏离
5
付款方式
合同签订后30个工作日内支付合同金额的40%,合同执行6个月后30个工作日内支付合同金额的40%,合同期满后30个工作日内支付合同金额的20%。
不可偏离
(二)技术需求
序号
需求说明
偏离选项
1
信息安全风险评估
每年进行2次信息安全风险评估,其中一次需在高交会召开前一周完成,风险评估重点包括网络安全检测、主机安全检测、应用安全检测及渗透测试。
不可偏离
2
网络安全检测
网络安全性测试按结构安全、网络访问控制、网络安全审计、边界完整性检查、网络入侵检测、恶意代码防范、网络设备防护、网络安全管理、网络相关人员安全管理等逐项检测,并结合对现场人员的抽查记录,进行统计分析,对各项评价内容给出评价。
2.1结构安全测试是根据网络拓扑图,在现场检测网络安全路由器和防火墙的相应配置及网络冗余和备份情况,并对相应的各项评价内容给出评价。
2.2网络访问控制测试是在现场环境下针对访问控制、流量控制和会话控制等进行逐项检测,并结合现场的抽查记录进行统计分析,对相应表格的各项评价内容给出评价。
2.3网络安全审计测试是在现场环境下针对日志信息和审计工具等进行逐项检测,并结合现场的抽查记录,进行统计分析,对相应表格的各项评价内容给出评价。
2.4边界完整性测试是在现场环境下针对内外网非法连接阻断和定位进行检测,并结合现场的抽查记录,进行统计分析,对相应表格的各项评价内容给出评价。
2.5网络安全中的恶意代码防范测试是在现场环境下针对防护软件的部署、补丁与漏洞的更新等进行逐项检测,并结合现场的抽查记录,进行统计分析,对相应表格的各项评价内容给出评价。
2.6网络设备防护测试是在现场环境下针对设备登录限制、权限限制等进行逐项检测,并结合现场的抽查记录,进行统计分析,对相应表格的各项评价内容给出评价。
2.7网络安全管理测试是在现场环境下针对参数设置、漏洞扫描和传输加密等进行逐项检测,特别是针对移动办公应用系统的网络通讯安全性。
结合现场的抽查记录,进行统计分析,对相应表格的各项评价内容给出评价。
2.8网络相关人员安全管理测试是在现场环境下针对人员配备、责任划分、人员管理等进行逐项检测,并结合现场的抽查记录,进行统计分析,对相应表格的各项评价内容给出评价。
不可偏离
3
主机安全检测
主机安全性测试按身份鉴别、访问控制、安全审计、系统保护、入侵防范、恶意代码防范、资源控制、主机安全管理等逐项检测,并结合对现场人员的抽查记录,进行统计分析,对相应表格的各项评价内容给出评价。
3.1主机安全的身份鉴别测试是在现场环境下针对登录策略、管理员设置、口令安全性等进行逐项检测,并结合现场的抽查记录,进行统计分析,对相应表格的各项评价内容给出评价。
3.2主机安全的访问控制测试是在现场环境下针对主机信任关系、访问控制范围等进行逐项检测,并结合现场的抽查记录,进行统计分析,对相应表格的各项评价内容给出评价。
3.3主机安全的安全审计测试是在现场环境下针对日志信息、日志保护、日志权限等进行逐项检测,并结合现场的抽查记录,进行统计分析,对相应表格的各项评价内容给出评价。
3.4系统保护测试是在现场环境下针对系统备份、主机加固、安全配置等进行逐项检测,并结合现场的抽查记录,进行统计分析,对相应表格的各项评价内容给出评价。
3.5入侵防范测试是在现场环境下针对入侵防范记录、关闭服务、最小安装原则等进行逐项检测,并结合现场的抽查记录,进行统计分析,对相应表格的各项评价内容给出评价。
3.6主机安全中的恶意代码防范测试是在现场环境下针对防范软件的部署,相关补丁更新、漏洞扫描等进行逐项检测,并结合现场的抽查记录,进行统计分析,对相应表格的各项评价内容给出评价。
3.7主机安全的资源控制测试是在现场环境下针对连接控制、资源监控、预警等进行逐项检测,并结合现场的抽查记录,进行统计分析,对相应表格的各项评价内容给出评价。
3.8主机安全管理测试是在现场环境下针对参数设置、漏洞扫描、系统补丁、操作日志等进行逐项检测,并结合现场的抽查记录,进行统计分析,对相应表格的各项评价内容给出评价、检查是否有部署主机完整性检测程序。
3.9主机相关人员安全管理测试是在现场环境下针对人员配备、责任划分、人员管理等进行逐项检测,并结合现场的抽查记录进行统计分析,对相应表格的各项评价内容给出评价。
不可偏离
4
应用安全检测
应用安全性测试按身份鉴别、Web页面安全、访问控制、安全审计、剩余信息保护、资源控制、应用容错、报文完整性、报文保密性、抗抵赖、编码安全、电子认证应用等逐项检测,并结合对现场人员的抽查记录,进行统计分析,按规定对相应表格的各项评价内容给出评价。
除此之外,还需对应用接口进行安全性检测。
4.1应用安全的身份鉴别测试是在现场环境下针对登录策略、管理员设置、口令安全性等进行逐项检测,并结合现场的抽查记录进行统计分析,对相应表格的各项评价内容给出评价。
4.2Web页面安全测试是在现场环境下针对页面安全、网站安全状况等进行逐项检测,并结合现场的抽查记录进行统计分析,对相应表格的各项评价内容给出评价。
4.3应用安全的访问控制测试是在现场环境下针对关键数据存放、访问权限设置等进行逐项检测,并结合现场的抽查记录进行统计分析,对相应表格的各项评价内容给出评价。
4.4应用安全的安全审计测试是在现场环境下针对日志信息、日志保护、日志权限等进行逐项检测,并结合现场的抽查记录进行统计分析,对相应表格的各项评价内容给出评价。
4.5应用安全的剩余信息保护测试是在现场环境下针对过期信息、过期文档等进行逐项检测,并结合现场的抽查记录进行统计分析,对相应表格的各项评价内容给出评价。
4.6应用安全的资源控制测试是在现场环境下针对资源的分配和预警等进行逐项检测,并结合现场的抽查记录进行统计分析,对相应表格的各项评价内容给出评价。
4.7应用容错测试是在现场环境下针对数据有效性、相应容错机制等进行逐项检测,并结合现场的抽查记录进行统计分析,对相应表格的各项评价内容给出评价。
4.8报文完整性测试是在现场环境下针对通信报文有效性、通信完整性说明等进行逐项检测,并结合现场的抽查记录进行统计分析,对相应表格的各项评价内容给出评价。
4.9报文保密性测试是在现场环境下针对报文或会话加密、通信异常处理等进行逐项检测,并结合现场的抽查记录进行统计分析,对相应表格的各项评价内容给出评价。
4.10抗抵赖测试是在现场环境下针对原发和接受证据进行逐项检测,并结合现场的抽查记录进行统计分析,对相应表格的各项评价内容给出评价。
不可偏离
5
渗透测试
渗透测试的目的在于挖掘暴露在外的安全隐患,明确安全隐患的破坏范围。
本项目中,渗透测试的工作重点是尽可能地模拟黑客使用的漏洞发现技术和攻击手段,对被测信息系统的网络、系统、主机、应用的安全性作深入的探测,发现信息系统最脆弱的环节。
不可偏离
6
信息安全监控
6.1网站安全监控
监控时间:
从高交会召开前一天到闭幕(2015年11月15日-2015年11月21日)。
监控周期:
7×24小时
监控方式:
现场
网站安全监控内容:
1)每小时一次对网站状态检测,检查网站是否能正常运行。
2)每小时一次对网站篡改检测,检查网站是否被篡改。
6.2网络安全监控
监控时间:
从高交会召开前一天到闭幕(2015年11月15日-2015年11月21日)。
监控周期:
7×24小时
监控方式:
现场
网络安全监控内容:
1)网络连通性和网络传输质量监控。
2)对网络协议分析,分析是否有ARP攻击、网络环路、蠕虫病毒、网络攻击等。
6.3日志分析
日志分析时间:
从高交会召开前一天到闭幕(2015年11月15日-2015年11月21日)。
周期:
每天2次
工作方式:
现场
日志分析工作内容:
1)从Web日志中发现可疑的恶意攻击行为,并自动识别攻击者IP所在物理位置。
2)检测流行的攻击类型,如SQL注入/XSS攻击/IIS写权限漏洞利用/Struts远程命令执行漏洞等多种攻击类型。
3)分析攻击者的入侵过程。
不可偏离
7
电话支持响应
7.1在30分钟内对用户紧急安全响应请求进行确定故障类型并定义故障等级。
7.2远程支持响应
在确定故障等级情况后尽快从远程帮助用户或从远程修复系统解决故障。
7.3现场支持响应
如远程不能确定安全故障类型或故障情况严重不能通过远程解决的严重故障情况下,安排至少两人以上的信息安全技术人员到达现场解决问题,到达现场时间为一小时内。
7.4安全故障解决
故障诊断、故障修复、系统清理、系统防护。
7.5证据收集,对由于安全故障造成的入侵记录、破坏情况、直接损失情况收集证据。
7.6事后处理。
根据客户需求,收集入侵线索和来源,协助客户进行立案。
7.7紧急响应服务结果报告
针对在紧急安全响应服务中所遇到的安全问题、安全事故处理过程、处理结果,48小时内汇总形成紧急响应服务结果报告并提交给会展中心。
不可偏离
8
定期安全巡检
每个月对会展中心的网站、主机及相关应用系统进行一次安全巡检,重点检测网站、主机及相关应用系统的安全性及运行状态;对主要设备进行安全巡检,重点检测其日志及运行状态,包括CPU、内存、硬盘等常规技术参数。
不可偏离
9
项目实施要求
9.1编写项目总体安全服务方案,对各项工作的内容、方法、时间进行描述,其中工作时间要以周为单位进行量化。
9.2项目实施中对信息系统采用的任何技术检测(本地核查、网络扫描、安全分析、设备调研)手段和方法,必须事先提交详细的实施(检测)方案,明确检测内容、方法、使用的规则(策略)、可能引发的后果、以及后果的处理等内容,经确认通过后方可进行实施。
9.3对风评评估发现的问题,提供具有可操作性的整改方案,并协助完成加固和优化服务。
9.4风险评估全过程产生的所有过程文档、原始数据、扫描报告、正式报告等必须进行电子和纸制双重归档,在项目结束后一并移交给会展中心。
9.5担任会展中心计算机网络和主机系统的安全顾问,在网络和主机系统进行升级、扩建时,提供安全风险评估,并提供安全修补建议。
9.6为会展中心提供不限次数的信息系统应急响应服务。
不可偏离
10
文档交付
在项目实施的各个阶段(项目的计划准备、项目实施阶段、项目验收等)提交相应的文档交付物。
文档交付物至少包括:
10.1项目计划与准备阶段需要提交:
Ø《项目实施计划》
Ø《资产信息调查表》
Ø《项目实施方案》
10.2项目实施阶段需要提交:
Ø《风险评估报告》
Ø《安全监控报告》
Ø《应急响应报告》
Ø《每月安全巡检报告》
10.3项目验收阶段
Ø《服务总结报告》
Ø《项目终验验收报告》
不可偏离
11
技术方案
参加单位根据需求说明制定技术保障方案,包括但不限于保证项目质量的措施、技术力量的安排、重要展会及活动期间的保障及全年工作计划等。
不可偏离
七、谈判流程:
1、谈判小组推选组长主持谈判;
2、响应文件的完整性检验和参加单位基本情况的符合性审查;
3、商务及技术需求响应性评定;
4、参加单位按抽签顺序作项目的讲解和演示,限时10分钟;
5、参加单位现场回答谈判小组成员的提问,限时10分钟;
6、参加单位提供最后一次报价;
7、谈判小组成员采用有记名投票方式按综合评议指标评分;
8、综合评分的计算和排序;
9、本项目采购第一候选供应商、备选供应商的确定及“谈判报告”的出具。
八、评审办法:
首先对各参加单位进行符合性审查。
对通过符合性审查的单位,采用100分制综合评分法进行评分。
(一)符合性检查
评议项目
评议标准
响应文件
参加单位提交的响应文件是否按要求编制目录、密封及标注,是否1个正本,1个副本;参加单位必须提供由法人代表或其书面授权人签署并加盖参加单位公章的响应文件。
法人授权书
是否提供参加单位法定代表人证明书、法人授权委托证明书;如单位法定代表人为本项目授权代表,则仅提供法定代表人证明书及身份证复印件,各证明书须加盖公章,身份证原件备查。
资格证明文件
参加单位是否提供以下证明文件:
1.企业营业执照副本、税务登记证复印件(加盖单位公章);
2.企业营业执照经营期限是否处于有效期内;
3.具有中国信息安全测评中心颁发的信息安全服务资质(安全工程类)或广东省公安厅颁发的信息安全服务类资质;
4.信息安全服务类项目合同金额20万元以上案例不少于1个(提供相关案例合同关键页复印件,加盖参加单位公章);
5.如非深圳注册单位,须在深圳市内设有常驻服务机构(提供参加单位在深分支机构(或分公司)营业执照副本复印件加盖公章);
6.有30人以上的技术服务人员(提供深圳社保证明)。
注册资金
注册资金是否为人民币500万元(含)以上。
控制金额
是否超出本项目的控制金额16万元。
(二)综合评议指标表
评议内容
权重
评议标准
企业资质
10
1.具有中国信息安全测评中心颁发的信息安全服务资质得5分;
2.具有广东省公安厅颁发的信息安全服务类资质得5分。
项目案例
15
1.具有信息安全服务类20万元以上100万元以下的案例每1个得2分,100万元以上案例每1个得5分,最高得10分;
2.具有大型场馆、展会、运动会等安全信息服务经验得5分。
技术方案
35
1.项目总体实施方案的可行性、安全性和完整性得0-10分;
2.保证项目质量的技术力量及技术措施得0-10分;
3.重要展会、活动期间的服务组织、保障方案及人力资源安排得0-10分;
4.全年工作任务计划安排及服务承诺得0-5分。
价格评议
40
以所有满足招标文件要求投标人报价的平均价定为基准价,投标报价最接近基准价的投标人价格分最高。
(价格分保留至小数点后两位)
价格分=(1-︱投标报价-基准价︱÷ 基准价)×价格权重
算术错误将按以下方法更正(次序排先者优先):
1、若分项报价与总价不一致,以总价为准;
2、若用文字表示的数值与用数字表示的数值不一致,以文字表示的数值为准。
如果参加单位不接受以上对其错误的更正,甲方将拒绝其参加谈判。
供应商在参加本项目谈判时,无需交纳谈判保证金,如有意参与本项目谈判,请在谈判开始前1天以书面形式通知深圳会展中心,甲方只接受书面申请的单位参加谈判。
供应商在领取“邀请通知书”后至谈判开始前2天如对“邀请通知书”有疑问,请以书面形式(加盖单位公章)向深圳会展中心提出,深圳会展中心视情况给予电话或书面解答;供应商在上述时间未提出疑问的,深圳会展中心视为该供应商完全理解并接受了“邀请通知书”所有内容,并不再对“邀请通知书”提出任何质疑。
谈判截止期前的任何时候,无论出于何种原因,深圳会展中心可主动地或在解答参加单位提出的澄清问题时对“邀请通知书”进行修改,并有权对谈判日期进行调整。
“邀请通知书”的修改将以书面形式通知所有领取“邀请通知书”的单位,并对其具有约束力。
被邀请的供应商在收到上述通知后,应立即向深圳会展中心回函确认。
如无回函确认,产生的后果由被邀请的供应商自负。
联系方式详见本通知书第十一项。
九、被邀请供应商参评时应递交的报价清单和响应文件
按第六项要求提供商务、技术条款响应/偏离表,报价清单和响应文件分开,分别装袋密封,并在密封袋上清晰标注;响应文件要求编制目录,装订成册,一式两份(一个正本,一个副本,亦应清晰标注);谈判响应文件及相关资料应包含但不仅限于以下内容:
•企业营业执照副本复印件、税务登记证复印件(加盖参加单位公章);
•参加单位注册资金证明文件(可提供体现基本信息、注册资金信息、以及许可经营信息的工商管理部门网页查询截图,打印件加盖公章);
•提供法定代表人证明书、法人授权委托证明书,如单位法定代表人为本项目授权代表,则仅提供法定代表人证明书及身份证复印件,各证明书须加盖公章,身份证原件备查;
•参加单位为中国信息安全测评中心颁发的信息安全服务资质(安全工程类)或广东省公安厅颁发的信息安全服务类资质的证明文件;
•参加单位信息安全服务类项目合同金额20万元以上案例不少于1个(提供相关案例合同关键页复印件,加盖参加单位公章);
•参加单位如非深圳注册单位,须在深圳市内设有常驻服务机构(提供参加单位在深分支机构(或分公司)营业执照副本复印件加盖公章);
•参加单位有30人以上的技术服务人员(提供深圳社保证明);
•技术方案:
•商务、技术条款响应/偏离表;
•分项报价单和总报价单。
十、谈判日期及地点:
2015年4月2日9:
30开始,深圳会展中心301会议室,届时请各参加单位带齐报价清单和响应文件准时参与。
十一、联系人:
郭继清电话:
82848826传真:
82848694
十二、本项目供应商谈判结果的知会方式,以深圳会展中心的“供应商中选通知书”为准;未得到确认的,敬请谅解。
深圳会展中心管理有限责任公司
二○一五年三月二十三日
附件1:
商务条款响应/偏离表
商务条款响应/偏离表
参加单位名称:
序号
谈判文件商务要求
参加单位响应
需求名称
商务要求明细
偏离选项
响应内容
有/无
偏离
偏离说明
1
2
3
4
…
填报说明:
1.本表中的《谈判文件商务要求》来自于本通知书的第六项“项目要求及数量”中的“商务要求”,参加单位须逐条填写在本表中,并对《参加单位响应》下的三栏要求作出响应。
2.《响应内容》栏须参加单位填写对每条需求的具体响应内容,不得只填写“响应”、“优于”等字样。
对于需要提供相关证书的响应内容,应在该栏中填写相关证书名目,并在本表后附加相关证书复印件(加盖公章)。
凡在本栏出现遗漏、不填或完全复制《商务要求明细》内容,将会导致该投标不能通过符合性检查。
3.《有/无偏离》栏只需填“有”或“无”,填“有”的可以在其后《偏离说明》栏中作出说明。
参加单位代表签字:
单位盖章:
附件2:
技术条款响应/偏离表
技术条款响应/偏离表
参加单位名称:
序号
谈判文件技术要求
参加单位响应
需求名称
技术要求明细
偏离选项
响应内容
有/无
偏离
偏离说明
1
2
3
4
…
填报说明:
1.本表中的《谈判文件技术要求》来自于本通知书的第六项“项目要求及数量”中的“技术要求”,参加单位须逐条填写在本表中,并对《参加单位响应》下的三栏要求作出响应。
2.《响应内容》栏须参加单位填写对每条需求的具体响应内容,不得只填写“响应”、“优于”等字样。
对于需要提供相关证书的响应内容,应在该栏中填写相关证书名目,并在本表后附加相关证书复印件(加盖公章)。
凡在本栏出现遗漏、不填或完全复制《技术要求明细》内容,将会导致该投标不能通过符合性检查。
3.《有/无偏离》栏只需填“有”或“无”,填“有”的可以在其后《偏离说明》栏中作出说明。
参加单位代表签字:
单位盖章:
升级会员 