一、项目概况1. 项目名称:四川省妇幼卫生信息平台安全运维2. 项目编号:2025-XXHB-DS-003(磋)3. 项目限价总金额:21万采购标的汇总表序号标的名称品目分类编码计量单位数量是否进口1四川省妇幼卫生信息平台安全运维C********-安全运维服务项1否 二、技术要求技术要求和商务要求技术要求(功能和质量要求)本章中标注“★”号的条款为本项目的实质性要求,供应商应全部满足,否则其投标文件作无效处理。“▲”符号的条款为本项目的重要参数条款,未标识符号的条款为一般参数条款。(一)WAF1. 支持镜像检测模式及镜像阻断模式。▲2. 防暴力破解,可支持频率阈值,动态令牌以及频率阈值+动态令牌等三种方式实现暴力破解防护。(投标时提供功能截图加盖投标单位公章)3. 网站自学习建模,通过学习URL、host****网站结构树形图,并支持对URL的访问量和响应健康度进行图形化统计。(投标时提供功能截图加盖投标单位公章)▲4. 通过BGP方式对流量进行牵引,并在清洗攻击后回注,回注过程支持设置SNAT策略。(投标时提供功能截图加盖投标单位公章)5. 虚拟补丁功能,导入appscan等第三方扫描器的扫描结果生成WAF的规****网站漏洞直接防护。▲6. 利用威胁情报规则进行防护,并基于威胁情报的日志查询。(投标时提供配置界面及日志截图加盖投标单位公****网站安全防护服务★1. 实时带宽峰值≥10M,支持一级域名个数≥1个,支持2级域名个数≥10个。★2. 通过DNS别名将四川省妇幼卫生信息平台的域名指向到云端进行安全防护。3. 分权分域,分级管理****网站用户单独创建用户账号****网站和系统的安全状况,监管用户可关注、查看所有****网站和系统整体情况。4. 检查提交的报文是否符合HTTP协议框架,如异常的请求方法、特殊字符、重点字段的缺失、超长报文造成的溢出攻击以及对高危文件的访问等;▲5. 区域访问控制,限制国外用户或者###市为最低行政单位的区域进行访问控制。(投标时提供功能截图并加盖投标单位公章)6. 一键关****网站出现紧急安全事件时,可在一分钟内通过手机APP、浏览器、微信公众号一键完成关停,防止产生恶劣影响。(投标时提供功能截图并加盖投标单位公章)▲7. 访问日志记录与查询功能,可根据域名、URL、客户端IP、返回码、访问区域、访问时间段进行查询,查询后的日志数据可导出Excel文件。(投标时提供功能截图并加盖投标单位公章)(三)主机安全服务★1. 配置管理中心1套,服务器授权≥40个。★2. 支持Windows server 2003、Windows server 2008、Windows server 2012、Windows server 2016、Win xp 、Win 7、Win 8、Win 10、Centos ******** +、Redhat ******** + 、Suse11 +、Ubuntu 14+等操作系统。▲3. 具备专门的针对已知和未知勒索病毒的防御引擎,并提供功能开关项,对于已知勒索病毒确保进程无法启动,对于未知勒索病毒确保无法加密。(投标时提供功能截图证明材料并加盖投标人鲜章)4. 支持系统漏洞扫描和修复功能,支持扫描的漏洞类型包括但不限于操作系统漏洞(Windows、Linux等)、数据库漏洞(Mysql等)、Web容器漏洞(Tomcat、Apache、Ngnix等)、其他组件漏洞。5. 具备高级威胁防护策略下发功能,下发策略包括单机扩展、隧****网探测、远控持久化等。6. 违规外联支持黑、白名单双模式,白名单模式可配置是否允许****网站和地址;黑名单模式可自定义恶意IP,支持黑名单告警和阻断。(投标时提供功能截图证明材料并加盖投标人鲜章)(四)云日志审计系统★1. 配置可审计日志源授权数量≥50个。2. 以Syslog、SNMP Trap、HTTP、ODBC/JDBC、WMI、FTP、SFTP协议方****网络安全设备、交###路由设备、操作系统、应用系统等进行日志收集,并对收集到的日志进行标准化、归一化解析,解析规则可以根据客户要求定制扩展。▲3. 服****网络拓扑并与资产进行绑定,并在拓扑视图中显示资产相关信息。4. 内置非法访问、可疑入侵、病毒爆发、设备异常、弱点针对等6大类50子类的安全分析场景。▲5. 支持通过资产、安全知识库、弱点库等维度分析事件是否存在威胁,并形成关联事件。6. 服务工具通过上传解决方案包的方式进行功能扩展,无需要代码开发。(投标时提供功能截图证明材料并加盖投标单位鲜章)★7. 日志保存周期≥6个月。(五)云防火墙★1. 吞吐量≥500Gbps,适配入侵防御模块,防病毒模块。2. ****网络层控制、入侵防御、恶意代码防护等防护能力。3. 实现IPv4/v6双栈协议的源地址转换、目的地址转换。4. 基于多元组的访问控制,并提供智能策略分析功能,支持策略命中分析、隐藏策略分析、冗余策略分析、冲突策略分析、可合并策略分析、过期策略发现、空策略发现、策略宽松度分析,并在web页面显示分析结果。▲5. ****网服务器进行端口扫描,确定目标服务器是否存在潜在威胁。6. 可实现与主机安全及管理系统协同工作,实现终端在访问****网段时需安装主机安全及管理系统,否则拒绝访问并重定向主机安全及管理系统的安装页面。7. 基于攻击不同阶段来匹配并展示攻击者发起攻击的具体状态,资产遭受到攻击的具体状态。可展示具体攻击链,并可对威胁进行取证。(投标时提供功能截图证明材料并加盖投标人鲜章)★8. 日志保存周期≥6个月。(六)云堡垒机★1. 配置可管理设备数量≥50个,字符类并发会话≥50个。2. 基于不同的用户设置不同的双因子认证模式。▲3. 自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系并可自动完成授权。4. 服务工具内置VPN模块,可实现运维入口安全接入。5. IE/Chrome代填应用发布HTTP/HTTPS协议的web设备,且可以直接代填账号和密码。★6. 日志保存周期≥6个月。(七)云数据库审计★1. 配置可审计数据库实例数量≥5个,峰值SQL处理能力≥8000TPS。2. 对Oracle、SQL Server、DB2、Informix、Sybase、MySQL、MariaDB等主流数据库进行审计。3. 支持行为模型的配置,配置的维度包括客户端工具名、数据库用户名、客户端IP、数据库名及操作类型等。4. 基于数据库访问日期、时间、源/目的IP、来源、数据库名、数据库表名、字段值、数据库登录账号、SQL关键词、数据库返回码、SQL响应时间、数据库操作类型、影响行数等条件的审计查询。▲5. 审计信息能够记录执行时长、影响行数、执行结果等。▲6. 通过内置SQL注入、账号安全、数据泄露和违规操作等规则进行风险告警。★7. 日志保存周期≥6个月。(八)数据保密服务1. 对存储在服务器、数据库、存储库中的结构化数据和非结构化数据进行检查、审计,根据现有安全策略确立数据分级分类管理以及风险评估,检测预警和应急处置等数据安全管理各项基本制度。2. 建立异地数据备份制度,并且每月进行一次数据全量备份,异地存放。★3. 安全保密审查,对相关运维人员的安全保密工作进行检查,签订数据保密协议。(九)异地备份服务要求★1. 数据传输专线不****网****网传输,必须****网的点对点数据专线,带宽≥10M。▲2. 数据容量1T,可自定义备份策略,可增量备份,全量备份,可自动恢复。(投标时提供软件截图证明并加盖投标人鲜章)▲3. 备份数据存放地点需通****网络测评。(投标时提供备案证书复印件并加盖投标人鲜章)▲4. 至少保留最近3次备份数据。(十)漏洞扫描服务★1. 漏洞扫描子域名或IP数量:≥10个;提供≥4次在线漏洞扫描服务。2. ****网站资产提供云端漏洞扫描服务****网站或主机漏洞风险,防止攻击者通过漏洞植入后门、窃取核心数据、破坏服务器等,持续地发现****网边界上的常见安全风险。3. 厂商漏洞策略库≥********条;提供详细的漏洞描述和对应的解决方案描述,漏洞知识库与国际CVE、国内CNNVD漏洞库标准兼容。4. 具备弱口令扫描功能,提供多种弱口令扫描协议,包括SMB、RDP、SSH、TELNET、FTP、SMTP、IMAP、POP3、MySQL、MSSQL、REDIS、RTSP等协议进行弱口令扫描,允许用户自定义用户、密码字典。5. 对误报的漏洞进行修正,避免将误报结果导出。6. 对信****网络设备、操作系统、应用软件、中间件和服务等进行安全漏洞扫描。(十一)风险评估服务1. 梳理客户现有资产清单。从机房侧物理资产设备,资产内容包括:业务系统、数据库、服****网络设备、安全设备等。2. ****网搜索****网资产清单进行梳理。重点利用单位域名、单位名称等关键****网的资产信息。3. 对数据中心的物理****网络、服务器等环境区域进行调研,基于调研结果做综合安全分析。4. 针对信息系统安全管理制度、组织、流程、信息系统情况等进行综合调研。5. 对信****网络设备、操作系统、数据库、中间件和服务等进行安全配置核查。6. ****网站漏洞及漏洞利用风险进行全面测试。目的在于充分挖掘和暴露系统的弱点。7. 通过阅读开发文档和源代码,利用专业能力并结合分析工具对应用程序进行深入分析,高效发现安全漏洞和不安全编程问题;交付代码审计报告。8. 提升安全治理水平。基于配置核查、漏洞扫描、渗透测试等报告,全****网络信息系统风险情况,出具整体建设建议。(十二)安全运维要求1. 人员管理(1)遵守采购人信息系统管理规定、机房管理规定、应急管理规定、第三方和外包人员管理规定,接受采购人不定期组织的安全培训和考核。(2)原则上应派遣熟悉系统业务功能、熟悉采购人应用环境的工程师进行运维服务,在运维不顺畅的情况下,采购人有权要求投标人更换工程师。(3)所有运维人员应具备无犯罪记录证明,并由中标人不定期开展背景调查。2. 过程管理★(1)建立完善的用户反馈机制,并集中管理和体系化分析所有用户反馈的各类问题或意见,每季度向采购人进行一次书面报告。报告内容包括但不限于系统日常维护记录、技术问题解答记录、远程技术支持服务记录以及高频问题解决措施或优化方案等。(提供承诺函并加盖公章)★(2)及时编制针对性较强的操作手册,包括反馈频次超过3次的问题、近期更新的模块、新上线的业务等,在必要时编制培训材料并进行培训。(提供承诺函并加盖公章)(3)常态化开展安全巡检,每月不少于一次,并在重大节假日前配合院方做好安全防护、安全巡检等工作以及节假日保障,并向采购人提供巡检报告,报告内容应最少包含巡检范围、巡检项目、巡检汇总结果、中高风险问题。★(4)每月月初5个工作日内提交中标人签字盖章后的上月运维报告,报告内容应最少包含项目概况(基本信息、运维范围/项目清单)、运维回顾(所有待完成事项、本运维周期工作目标)、本运维周期运维情况(例行巡检、日常任务(缺陷/需求/保障)、安全防护)、协同推进(意见反馈、需要院方处理的事项、同类型业务最新动态)、下一个运维周期工作目标。★(5)日常用户咨询与技术支撑,对使用过程中出现的技术问题、业务问题进行解答和技术支持,包括现场服务、7*24小时线上或者电话服务,并在必要时提供培训。3. 合规运维★(1)在运维过程中,原则上使用采购人提供的VPN+堡垒机的方式进行运维,不得违规接入任何具有存储功能的电子设备,不得****网络进行探测与破坏,不得携带病毒文件到采购人的各类信息设备。★(2)严格控制并采取必要措施对采购人在用系统中所有运行日志、业务数据、系统源代码及其他专有信息、内部管理和其他商业秘密及资料、其他敏感信息等进行保密,不得在未经采购人审批同意下篡改日志、拷贝数据、对外传播等,并定期对系统日志、操作日志进行审计与分析。(提供承诺函并加盖公章)★(3)无条件将系统中所有的管理员账号、数据库口令账号、系统部署图、系统吞度量、统计数据等以安全的方式告知采购人,并在密码发生变更时第一时间同步给采购人。(提供承诺函并加盖公章)4. 信息安全▲(1)遵守相关法律法规,包括但不限于《中华****网络安全法》《关键信息基础设施安全保护条例》《中华人民共和国个人信息保护法》****网应用程序信息服务管理规定》《生成式人工智能服务管理暂行办法》****网络保****网络数据安全管理条例》《个人信息保护合规审计管理办法》《中华人民共和国保守国家秘密法》《中华人民共和国****网络安全等级保护条例》《医****网络安全管理办法》《医疗质量安全核心制度要****网络身份认证公共服务管****网络暴力信息治理规****网信息服务管理办****网用户账号信息管理规定》《人脸识别技术应用安全管理办法》《中华人民共和国数据安全法》。★(2)支撑采购人开展攻防演练、等保测评、供应链检测、安全运维,并在72小时内完成中高风险的缺陷处理,包括但不限于安全漏洞修复、系统补丁更新。(提供承诺函并加盖公章) 商务要求本章中标注“★”号的条款为本项目的实质性要求,供应商应全部满足,否则其投标文件作无效处理。★四、商务要求********合同履行期限(服务期限):①建设期限:签订合同起30日内中标人完成运维准备工作,并通过采购人验收。②服务年限:一年,运维准备工作验收合格之日起开始计算。********服务地点:采购人指定地点。********付款方法和条件:合同签订后,中标人完成运维准备工作且验收合格后,中标人提交付款申请及发票后60日内,采购人支付合同总金额的100%。********履约保证金:成交金额的10%,合同签订前收取。合同履行期限结束后,由供应商提出书面申请,采购人60日内无息退还。在合同履行期限内,供应商存在任何违约行为,履约保证金不予退还。********报价要求:本次报价包含完成本项目的所有费用,包含项目调研、咨询服务、方案制定、开发测试、部署实施、数据迁移及对接、培训、税费等费用,采购人不再额外支付任何费用。********验收标准********验收组织方式:自行验收。********是否邀请本项目的其他供应商: 否********是否邀请专家: 否********是否邀请服务对象: 否********是否邀请第三方检测机构: 否********履约验收程序:一次性验收********履约验收时间:中标人提出验收申请之日起 30 日内组织验收 ********履约验收标准:中标人与采购人将严格按照《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库〔2016〕205号)的要求进行验收。********其他:以招标文件技术参数及要求和相关行业标准为准。********服务要求在合同履行期限(服务期限)内,中标单位接到采购人通知后需三十分钟内响应,2小时内排除故障。如需进行现场处理服务,应在4小时内到达四川省妇幼保健院。********其他要求********服务期间,如果因中标人原因造成招标人违反国家卫生行政管理部门及上级相关行政部门的规定被上级部门约谈、通报及处罚等情况发生,招标人有权对中标单位进行以下处理:1.要求中标单位承担招标人实际损失;2.同时,每发生一次,要求中标单位承担中标金额的5%的违约金;情节严重的,每次中标单位需承担中标金额的10%的违约金。中标单位承担损失金额及违约金都将从合同款中扣除,扣除后不足部分由中标单位补足。********中标人应开展备份数据恢复试验,每半年至少开展1次,以确保备份数据的安全可用可靠。其他需求 无 附件2:评审办法 评分实施细则(根据项目实际情况进行增减)序号评分因素分值评分标准说明1价格10分满足招标文件要求且投标价格最低的有效投标报价为评标基准价,其投标人的报价分为10分。其他投标人的报价分按以下公式计算:报价得分=(评标基准价/投标报价)×分值。客观分2投标人综合实力10分自2022年1月1日至今(以合同签订时间为准),投标人每提供1个类似项目业绩得********分,最多得10分。提供合同(协议)复印件并加盖投标人公章。客观分3技术服务及商务要求38分完全符合招标文件“技术服务及商务要求”没有负偏离得38分。带“★”的条款为实质性参数条款,每有一条不满足将按无效响应处理;带“▲”的条款为重要条款(共16条),带“▲”的条款负偏离的,每有一条扣********分;未标识符号的为一般条款(共42条),每有一条负偏离的扣********分,扣完为止。 注:1.针对参数条款的响应,如果采购文件“技术、服务要求”中参数条款对支撑材料有要求,应按要求提供,否则对应参数条款将不得分。2.带“▲”的条款以带序号“(1)”的为一条。3.一般参数以条款最后一个序号层级进行计数(例如:“(一)”“1”“(1)”则“(1)”为计数条款。客观分4履约能力4分投标人提供有IT 产品信息安全认证证书的得4分,提供有效期内的证书复印件加盖投标单位公章。客观分5人员要求10分投标人提供的人员中,每有一人具有高级信息系统项目管理师证书的得********分,最多得5分,投标人提供的人员中,每有一人具有注册信息安全专业人员(CISP或者CISE)证书的得********分,最多得5分,本项目最多得10分。提供证书复印件加盖投标单位公章。注:一人具有多个证书不重复计分。客观分6项目管理与实施方案28分投标人提供的实施方案包含:①项目管理方案;②服务保障方案;③培训方案;④服务响应时间保障方案;⑤紧急情况应急预案;⑥安全防护配合方案;⑦安全巡检实施方案;以上7项共28分,每有一项内容缺失或与本项目无关(无关指描述中存在使用其他项目或其他采购人或与本项目无关的内容)扣4分,28分扣完为止。以上7项,每一项中每有1处存在内容缺陷扣2分,每项关于内容缺陷最多扣4分,该项扣完为止。【内容缺陷是指:内容描述有歧义、有错别字、涉及的规范及标准错误、存在不适用项目实际情况的情形、不可能实现的夸大情形】主观分 附件3: 资格证明文件装订顺序1.封面(注明包号、****公司名称、联系人、联系****公司印章)。2.目录。3.有效的营业执照(副本)复印件。4.授权参加本次采购活动的供应商代表证明。(供应商代表为“授权代表”时,提供授权委托**复印件;供应商代表为“法定代表人(单位负责人)”时,提供法定代表人(单位负责人)身份证明(格式见附件5-6))。5.具有良好的商业信誉和健全的财务会计制度,提供承诺函。(格式自拟)6.具有履行合同所必须的设备和专业技术能力,提供承诺函。(格式自拟)7.具有依法缴纳税收和社会保障资金的良好记录,提供承诺函。(格式自拟)8.参加本次采购活动前三年内,在经营活动中没有重大违法记录;没有因安全事故、质量事故、违规等被政府有关部门记录,提供承诺函。(格式自拟)9.供应商负责人为同一人或者存在控股、管理关系的不同单位,均视为同一参会供应商,不得重复参加采购,提供承诺函。(格式自拟)附件4:采购响应文件装订顺序1.封面(注明包号、****公司名称、联系人、联系****公司印章)。2.目录。3.报价一览表(格式见附件5-1)。4.技术、商务要求偏离表(格式见附件5-3)。5.售后服务承诺。6.反商业贿赂承诺书(格式见附件6)。7.禁止围标、串标情况承诺函(格式见附件7)。8.供应商遵守招标采购纪律承诺书(格式见附件8)。9.行业相关规范或标准(如有)。10.供应商认为需要提供的其它资料。11.封底。注:请务必按以上顺序装订资料,如有非中文资料,请同时提供中文翻译件。 附件5:主要表格格式附件5-1:四川省妇幼卫生信息平台安全运维采购项目报价一览表序号标的名称计量单位数量最高限价(元)报价(元)1四川省妇幼卫生信息平台安全运维项********报价合计人民币: 元(大写: ) 注:1.报价应是最终用户验收合格后的总价,包括设备运输、保险、代理、安装调试、培训、税费、系统集成费用和采购文件规定的其它费用。2.“报价表”为多页的,每页均需由法定代表人或授权代表签字并盖供应商印章。3.单价报价超过单价最高限价的为无效报价,供应商响应文件将作无效响应处理。供应商名称:(盖章)法定代表人或授权代表(签字):日期:附件5-2:四川省妇幼卫生信息平台安全运维采购项目最后报价表序号标的名称计量单位数量最高限价(元)报价(元)1四川省妇幼卫生信息平台安全运维项********报价合计人民币: 元(大写: )注:1.报价应是最终用户验收合格后的总价,包括设备运输、保险、代理、安装调试、培训、税费、系统集成费用和采购文件规定的其它费用。2.“报价表”为多页的,每页均需由法定代表人或授权代表签字并盖供应商印章。3.单价报价超过单价最高限价的为无效报价,供应商响应文件将作无效响应处理。4.两轮(若有)以上报价的,供应商在未提高响应文件中承诺的产品及其服务质量的情况下,其最后报价不得高于对该项目之前的报价。5.“最后报价表”需单独密封。供应商名称:(盖章)法定代表人或授权代表(签字):日期:附件5-3:技术、商务要求偏离表序号采购文件要求供应商响应偏离及其影响注:1.供应商根据附件1“采购需求”中的“技术要求”、“商务要求”,对应进行填写。未单独填写的条款,视为默认响应。2.若无偏离,可在偏离情况中填“/”;若有偏离,需在偏离情况中进行说明;3.若“技术要求”、“商务要求”要求提供证明材料,需按要求提供证明材料。 供应商名称:XXXX(盖单位公章)法定代表人或授权代表签字:日期:附件5-4:用户情况表序号用户名称项目名称合同时间联系人及联系方式备注 法定代表人或授权代表签字:日期:附件5-5:授权委托**时,提供此委托** (姓名)系 (供应商名称)的法定代表人(单位负责人),现委托 (姓名)为我方代理人。代理人在本次采购中所签署的一切文件和处理的一切有****公司(单位)均予承认,所产生的法律****公司(单位)承担。委托**至响应文件有效期届满之日止。代理人无转委托**位公章)法定代表人(单位负责人)(签字或加盖个人名章):XXXX。授权代表(代理人)签字:XXXX。日 期:XXXX。法定代表人(单位负责人)有效期内的居民身份证正反面授权代表(代理人)有效期内的居民身份证正反面注:1.提供有效期内的身份证明材料,例如居民身份证或户口本或军官证或护照等;2.若提供居民身份证,须为正、反面复印件。★说明:上述证明文件附有法定代表人、被授权代表身份证复印件(双方签字并加盖公章)时才能生效。附件5-6:法定代表人(单位负责人)身份证明(若供应商代表为“法定代表人(单位负责人)”时,提供此证明) 四川省妇幼保健院: (姓名)系 (供应商名称)的法定代表人(单位负责人)(职务 )。特此证明。 供应商名称:XXXX(盖单位公章)法定代表人(单位负责人)(签字或加盖个人名章):XXXX。日 期:XXXX。 法定代表人(单位负责人)有效期内的居民身份证正反面 注:1.提供有效期内的身份证明材料,例如居民身份证或户口本或军官证或护照等;2.若提供居民身份证,须为正、反面复印件。附件5-7:承诺函承诺函四川省妇幼保健院:本供应商 (供应商全称) 参加 (项目编号 )的磋商活动,现郑重承诺:一、具备本项目规定的条件:(一)具有独立承担民事责任的能力; (二)具有良好的商业信誉和健全的财务会计制度; (三)具有履行合同所必需的设备和专业技术能力; (四)有依法缴纳税收和社会保障资金的良好记录; (五)参加采购活动前三年内,在经营活动中没有重大违法记录;(六)法律、行政法规规定的其他条件;二、完全接受和满足本项目磋商文件中规定的实质性要求,如对磋商文件有异议,已经在磋商截止时间届满前依法进行维权救济,不存在对磋商文件有异议的同时又参加磋商以求侥幸成交或者为实现其他非法目的的行为。承诺成交后签订合同前按采购人要求提交技术参数相关佐证材料。
本招标项目仅供 正式会员查阅,您的权限不能浏览详细信息,请点击注册/登录,请联系工作人员办理入网升级。
联系人:陈思颖
电话:010-82656698
手机:15801679990 (欢迎拨打手机/微信同号)
邮箱:csy@zbytb.com
