本天成融资租赁有限公司网络安全服务采购已由项目审批机关批准,。本项目已具备招标条件,现进行公开招标。
2. 项目概况与招标范围
2.1 建设地点: 北京市
2.2 标段划分: 天成融资租赁有限公司网络安全服务采购标段包1
2.3 服务地点: 北京市
2.4 服 务 期:一年
2.5 招标范围:一、重保现场值守服务。
人员要求:高级工程师一名(7*12),60人天,至少具备2年及以上工作经验,提供感谢信等甲方提供的证明材料。
二、安全应急服务。
人员要求:高级工程师一名,8人天,至少具备3年及以上工作经验,提供感谢信等甲方提供的证明材料。
三、远程安全监控服务。
要求如下:(半年)
1.暴露面梳理:投标方应使用安全工具对招标方服务资产开展互联网暴露面探测,以梳理资产面向互联网的开放情况,快速发现违规暴露在互联网中的资产及存在的风险并进行处置,实现对暴露面资产可管可控,降低暴露面资产的风险。
2.投标方应具备互联网暴露面梳理的服务工具,该工具应当支持全资产和精确资产两种模式暴露资产收集模式,收集到的暴露面信息至少包括域名、域名标题、IP地址、开放端口、资产指纹、网站截图、移动端暴露面,并且能采集对应暴露资产的访问截图向招标方举证,及对应暴露资产存在的漏洞.(提供服务工具具备以上暴露面梳理能力的证明截图)
3.高危可利用漏洞防护:针对服务范围内资产扫描到的高危可利用漏洞,投标方应当为招标方做好每一个高危可利用漏洞的防护工作,包括但不限于为招标方提供漏洞修复方案和安全设备防护策略,以及帮助招标方配置防护规则,保证招标方不因此出现重大事件和损失;提供服务平台具备高危可利用漏洞防护规则的证明,并且支持对扫描到的高危可利用漏洞能够自动匹配漏洞防护规则;
4.7*24小时威胁鉴定:投标方应当具备云端检测和分析平台,通过采集招标方安全设备和工具的安全告警和安全日志,结合大数据分析、人工智能等技术手段,为招标方提供7*24小时持续不间断的安全威胁分析鉴定,同时在用户界面进行展示;
5.分析研判包括但不限于对脆弱性、异常流量、攻击日志、病毒日志等数据进行采集和实时分析研判,支持将同一资产的多个告警进行聚合分析发现各类安全事件并生成工单,并在告警详情中展示告警的基本信息,涉及的业务信息、攻击趋势、威胁详情、攻击原理、处置建议等内容,并支持根据客户情况提供备注;(提供云端服务平台告警审核功能界面截图,举证一个告警聚合分析的例子和一个告警详情展示具备上述能力)
6.个性化的检测规则定制:为了保证安全监测的准确率和服务质量,投标方应当支持为招标方自定义配置安全规则,以满足日益复杂的安全趋势所带来的安全监测需求;
7.受影响资产排查与加固:安全专家应当结合威胁情报主动排查是否对服务资产造成影响并通知用户,及时协助进行安全加固。
提供一个威胁情报的安全通报工单,工单内容包含威胁情报的基本信息和推送信息以及跟进记录,要求明确说明关联资产信息的排查情况;
8.投标方应当为招标方提供7*24小时的安全守护,昼夜与节假日投标方都能做到7*24小时在线服务,且在节假日期间应当每日为招标方提供《节假日值守总结》
9.服务承诺SLA(7*24小时远程安全监控服务)
为了降低招标方因网络安全事件造成的损失和影响,投标方应当按照以下服务指标和要求为招标方提供服务,并明确写入合同条款内:
要求投标方对标以下服务指标进行应答,并向招标方提供对应的未达标处罚措施:
(1)从安全日志产生到事件通告给招标方的时间方面,按照国家标准对安全事件的分类分级指南,重大安全事件通告时间小于30分钟,一般事件的通告时间少于1小时;
(2)在配备投标方的边界防护服务组件和终端防护服务组件的情况下,高级威胁的处置完成时间少于1小时,一般威胁的处置完成时间少于4小时;
(3)安全事件经过服务人员的确认后,通告给招标方的各类安全事件的准确率不低于99%(即误报不能超过1%);
(4)投标方应当承诺,服务范围内的所有安全事件的闭环处置比例达到100%。
(5)投标方应当满足重大事故应启动应急响应机制,工作时间15分钟之内云端专家进行响应,非工作时间30分钟之内云端专家进行响应,北京2小时上门处置。
(6)在具备投标方的边界防护组件的情况下,要求招标方可以对服务范围内发现的每一个高危可利用漏洞提供防护规则,并且承诺防护率达到99%。
四、外部攻击面管理服务。(包含年度持续服务:要求满足50个IP/子域名、5个根域名、50个关键字,包含1个站点的网站监测)
具体要求如下:
1.投标方支持基于给定一级域名/组织名称对互联网资产进行探测,主动获取互联网侧所能解析的子域名;
2.投标方能够根据招标方定义的关键字或关键字组合,对Telegram等黑客活跃的即时通讯软件进行监测,用于发现投标方相关的黑产舆情事件;
3.提供的服务平台应具备暴露面资产漏洞管理功能:
(1)漏洞详情展示:支持面向招标方检出漏洞详情的展示,主要从漏洞名称、漏洞级别、所属业务系统、漏洞相关URL/IP、漏洞位置、漏洞及风险描述、漏洞举证信息、漏洞修复建议等维度展示出当前招标方暴露面存在的漏洞信息,使得招标方能直观了解到当前泄露的漏洞细节情况。(提供漏洞详情展示功能截图)
(2)漏洞管理:支持面向招标方检出漏洞当前状态的展示,主要包含四种状态:处置中、已处置、已防护、接受风险,使得招标方能直观了解到当前暴露面漏洞的生命周期情况。(提供漏洞管理功能截图)
4.提供的服务平台应具备敏感数据泄露监测事件管理功能:
(1)暗网泄露事件:支持面向招标方检出暗网事件的展示,主要从暗网交易标题、暗网卖家ID、发帖事件、交易链接、交易内容等维度展示出当前招标方泄露的暗网事件信息,使得招标方能直观了解到当前泄露的暗网事件情况。(提供暗网情报监测功能截图)
(2)代码泄露事件:支持面向招标方检出代码泄露事件的展示,主要从代码项目名称、代码链接、命中关键字、关键字代码片段等维度精准定位到当前招标方泄露的代码信息,使得招标方能直观了解到当前泄露的代码事件情况。(提供代码泄露监测功能截图)
(3)文件泄露事件:支持面向招标方检出网盘/文库泄露事件的展示,主要从文件标题、发布时间、文件链接、文件内容等维度精准定位到当前招标方泄露的文件信息,使得招标方能直观了解到当前泄露的文件信息的情况。(提供文件泄露监测功能截图)
(4)黑产舆情事件:支持面向招标方检出黑产舆情事件的展示,主要从黑产论坛网站、涉及舆情群组、发布时间、黑产舆情内容等维度精准定位到当前涉及招标方黑产舆情相关信息,使得招标方能直观了解到当前存在的黑产舆情事件的情况。(提供黑产舆情监测功能截图)
(5)员工保护事件:支持面向招标方检出员工保护事件的展示,主要从失陷资产、失陷类型、失陷时间、具体失陷情况、丢失数据等维度精准定位到当前招标方资产失陷的信息。(提供员工保护监测功能截图)
(6)仿冒网站事件:支持面向招标方检出仿冒网站的事件展示,主要通过语义特征和机器视觉等维度精准定位到当前招标方在互联网上被仿冒的信息,使得招标方能直观了解到当前网站在互联网上被仿冒的情况。(提供仿冒网站监测功能截图)
(7)敏感文件泄露事件管理:支持面向招标方检出敏感文件泄露事件当前状态的展示,主要包含四种状态:未处置、处置中、挂起、已闭环、接受风险,使得招标方能直观了解到当前数字风险的生命周期情况。(提供敏感数据泄露事件监测功能截图)
5.提供的服务平台应具备互联网暴露面管理功能:
暴露面管理:支持面向招标方检出暴露面结果的展示,主要从IP关联域名、暴露面风险等级、暴露面风险数量、归属地、IP组织、开放端口、服务组件、指纹Banner、WEB标题、WEB状态码等信息,整体的展示包括根域名、子域名、IP、移动端等暴露面资产,并对特殊资产进行分类,如云资产、网络&安全设备资产等。(提供互联网暴露面管理功能截图)
6.提供的服务平台应具备对发现的暴露面、漏洞风险、敏感数据泄露事件、网站事件等问题的跟进功能。(提供跟进功能截图)
7.投标方需为招标方提供的服务展示平台应具备整体服务成果的展示,便于招标方及时查看服务进展,包括整体服务进展、本月/上月告警事件与跟进处置进展、暴露面概览、外部风险概览、数字风险概览、暴露面变化趋势、外部风险变化趋势、数字风险变化趋势。(提供展示界面截图)
8.投标方每周对招标方暴露面进行一次检测,并主动对招标方进行提醒;
9.投标方每两周周对招标方攻击面进行一次检测,并主动对招标方进行提醒。
五、安全外包驻场服务
具体要求如下:
1.公司网络维护,包括核心网络、楼层用户区网络、广域网络等,网络维护工作包括网络管理、配置维护、IP管理及网络调整等内容。
2.基础设备维护,对相关基础硬件设备(服务器、机房设施等)及系统进行维护,包括:日常巡检、故障诊断处理、设备配置调试等工作。
3.日常维护服务,协助招标方做好网络安全系统运行情况监控,设备维护、设备配置备份与变更、设备升级,网络安全系统中问题故障发现、故障处理解决、问题故障分析;负责公司日常内外网络运行保障,定期巡检,故障现场响应处理等相关网络安全技术支持;负责公司服务器、相关业务系统、安全设备的日常维护。
4.驻场时间:5*8小时/周现场值守,7*24小时/年电话值守。
5.能力要求
(1)熟悉交换机、路由器、防火墙原理及配置维护,熟悉SDN解决方案,了解云计算。
(2)熟悉主流安全厂商的Firewall/WAF/IPS/APT/蜜罐/态势感知/威胁情报等系统使用,有相关设备和产品运营维护经验。
(3)熟悉了解常规的安全漏洞原理,熟悉应用层安全、操作系统漏洞及第三方组件漏洞的利用手段及修复方法。
(4)熟练使用linux服务器,熟练操作系统常用命令。
(5)熟悉各类中间件产品(nginx、tomcat、zookeeper、nacos、apollo、rabbitmq、Kafka等),同时能对该类产品做参数的调优工作。
(6)熟悉mysql,Postgresql,redis,mongodb等相关数据库日常操作,并且有一定的SQL脚本编写能力。
3. 投标人资格要求
3.1 通用资格条件
投标人须为合格供应商,且未处于暂停参加采购活动的处罚期限内,满足供应商参与业务的权限。
3.2 专用资格条件
一、公司资质要求
1.投标方具备国家信息安全服务(安全运营类一级)资质。
2.投标方的安全运营服务平台应当通过国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部四部委联合组织的云计算服务安全评估,入选“通过云计算服务安全评估的云平台”名单。
二、项目经理要求
1.云端项目经理:至少具有3年以上工作经验,提供证明材料包括但不限于体现任职及工程师姓名的合同影印件或感谢信等甲方提供的证明材料或本公司的任命文件。
2.云端高级工程师资质要求:至少具备3年及以上工作经验,提提供证明材料包括但不限于体现任职及工程师姓名的合同影印件或感谢信等甲方提供的证明材料或本公司的任命文件。
3.重保服务高级工程师资质要求:至少具备2年及以上工作经验,提供证明材料包括但不限于体现任职及工程师姓名的合同影印件或感谢信等甲方提供的证明材料或本公司的任命文件。
4.应急服务高级工程师资质要求:至少具备3年及以上工作经验,提供证明材料包括但不限于体现任职及工程师姓名的合同影印件或感谢信等甲方提供的证明材料或本公司的任命文件。
5.本次招标是否接受联合体投标:不接受联合体投标。
4. 招标文件的获取
获取时间:从2024年08月05日15时00分起至2024年08月16日17时00分止。
2. 项目概况与招标范围
2.1 建设地点: 北京市
2.2 标段划分: 天成融资租赁有限公司网络安全服务采购标段包1
2.3 服务地点: 北京市
2.4 服 务 期:一年
2.5 招标范围:一、重保现场值守服务。
人员要求:高级工程师一名(7*12),60人天,至少具备2年及以上工作经验,提供感谢信等甲方提供的证明材料。
二、安全应急服务。
人员要求:高级工程师一名,8人天,至少具备3年及以上工作经验,提供感谢信等甲方提供的证明材料。
三、远程安全监控服务。
要求如下:(半年)
1.暴露面梳理:投标方应使用安全工具对招标方服务资产开展互联网暴露面探测,以梳理资产面向互联网的开放情况,快速发现违规暴露在互联网中的资产及存在的风险并进行处置,实现对暴露面资产可管可控,降低暴露面资产的风险。
2.投标方应具备互联网暴露面梳理的服务工具,该工具应当支持全资产和精确资产两种模式暴露资产收集模式,收集到的暴露面信息至少包括域名、域名标题、IP地址、开放端口、资产指纹、网站截图、移动端暴露面,并且能采集对应暴露资产的访问截图向招标方举证,及对应暴露资产存在的漏洞.(提供服务工具具备以上暴露面梳理能力的证明截图)
3.高危可利用漏洞防护:针对服务范围内资产扫描到的高危可利用漏洞,投标方应当为招标方做好每一个高危可利用漏洞的防护工作,包括但不限于为招标方提供漏洞修复方案和安全设备防护策略,以及帮助招标方配置防护规则,保证招标方不因此出现重大事件和损失;提供服务平台具备高危可利用漏洞防护规则的证明,并且支持对扫描到的高危可利用漏洞能够自动匹配漏洞防护规则;
4.7*24小时威胁鉴定:投标方应当具备云端检测和分析平台,通过采集招标方安全设备和工具的安全告警和安全日志,结合大数据分析、人工智能等技术手段,为招标方提供7*24小时持续不间断的安全威胁分析鉴定,同时在用户界面进行展示;
5.分析研判包括但不限于对脆弱性、异常流量、攻击日志、病毒日志等数据进行采集和实时分析研判,支持将同一资产的多个告警进行聚合分析发现各类安全事件并生成工单,并在告警详情中展示告警的基本信息,涉及的业务信息、攻击趋势、威胁详情、攻击原理、处置建议等内容,并支持根据客户情况提供备注;(提供云端服务平台告警审核功能界面截图,举证一个告警聚合分析的例子和一个告警详情展示具备上述能力)
6.个性化的检测规则定制:为了保证安全监测的准确率和服务质量,投标方应当支持为招标方自定义配置安全规则,以满足日益复杂的安全趋势所带来的安全监测需求;
7.受影响资产排查与加固:安全专家应当结合威胁情报主动排查是否对服务资产造成影响并通知用户,及时协助进行安全加固。
提供一个威胁情报的安全通报工单,工单内容包含威胁情报的基本信息和推送信息以及跟进记录,要求明确说明关联资产信息的排查情况;
8.投标方应当为招标方提供7*24小时的安全守护,昼夜与节假日投标方都能做到7*24小时在线服务,且在节假日期间应当每日为招标方提供《节假日值守总结》
9.服务承诺SLA(7*24小时远程安全监控服务)
为了降低招标方因网络安全事件造成的损失和影响,投标方应当按照以下服务指标和要求为招标方提供服务,并明确写入合同条款内:
要求投标方对标以下服务指标进行应答,并向招标方提供对应的未达标处罚措施:
(1)从安全日志产生到事件通告给招标方的时间方面,按照国家标准对安全事件的分类分级指南,重大安全事件通告时间小于30分钟,一般事件的通告时间少于1小时;
(2)在配备投标方的边界防护服务组件和终端防护服务组件的情况下,高级威胁的处置完成时间少于1小时,一般威胁的处置完成时间少于4小时;
(3)安全事件经过服务人员的确认后,通告给招标方的各类安全事件的准确率不低于99%(即误报不能超过1%);
(4)投标方应当承诺,服务范围内的所有安全事件的闭环处置比例达到100%。
(5)投标方应当满足重大事故应启动应急响应机制,工作时间15分钟之内云端专家进行响应,非工作时间30分钟之内云端专家进行响应,北京2小时上门处置。
(6)在具备投标方的边界防护组件的情况下,要求招标方可以对服务范围内发现的每一个高危可利用漏洞提供防护规则,并且承诺防护率达到99%。
四、外部攻击面管理服务。(包含年度持续服务:要求满足50个IP/子域名、5个根域名、50个关键字,包含1个站点的网站监测)
具体要求如下:
1.投标方支持基于给定一级域名/组织名称对互联网资产进行探测,主动获取互联网侧所能解析的子域名;
2.投标方能够根据招标方定义的关键字或关键字组合,对Telegram等黑客活跃的即时通讯软件进行监测,用于发现投标方相关的黑产舆情事件;
3.提供的服务平台应具备暴露面资产漏洞管理功能:
(1)漏洞详情展示:支持面向招标方检出漏洞详情的展示,主要从漏洞名称、漏洞级别、所属业务系统、漏洞相关URL/IP、漏洞位置、漏洞及风险描述、漏洞举证信息、漏洞修复建议等维度展示出当前招标方暴露面存在的漏洞信息,使得招标方能直观了解到当前泄露的漏洞细节情况。(提供漏洞详情展示功能截图)
(2)漏洞管理:支持面向招标方检出漏洞当前状态的展示,主要包含四种状态:处置中、已处置、已防护、接受风险,使得招标方能直观了解到当前暴露面漏洞的生命周期情况。(提供漏洞管理功能截图)
4.提供的服务平台应具备敏感数据泄露监测事件管理功能:
(1)暗网泄露事件:支持面向招标方检出暗网事件的展示,主要从暗网交易标题、暗网卖家ID、发帖事件、交易链接、交易内容等维度展示出当前招标方泄露的暗网事件信息,使得招标方能直观了解到当前泄露的暗网事件情况。(提供暗网情报监测功能截图)
(2)代码泄露事件:支持面向招标方检出代码泄露事件的展示,主要从代码项目名称、代码链接、命中关键字、关键字代码片段等维度精准定位到当前招标方泄露的代码信息,使得招标方能直观了解到当前泄露的代码事件情况。(提供代码泄露监测功能截图)
(3)文件泄露事件:支持面向招标方检出网盘/文库泄露事件的展示,主要从文件标题、发布时间、文件链接、文件内容等维度精准定位到当前招标方泄露的文件信息,使得招标方能直观了解到当前泄露的文件信息的情况。(提供文件泄露监测功能截图)
(4)黑产舆情事件:支持面向招标方检出黑产舆情事件的展示,主要从黑产论坛网站、涉及舆情群组、发布时间、黑产舆情内容等维度精准定位到当前涉及招标方黑产舆情相关信息,使得招标方能直观了解到当前存在的黑产舆情事件的情况。(提供黑产舆情监测功能截图)
(5)员工保护事件:支持面向招标方检出员工保护事件的展示,主要从失陷资产、失陷类型、失陷时间、具体失陷情况、丢失数据等维度精准定位到当前招标方资产失陷的信息。(提供员工保护监测功能截图)
(6)仿冒网站事件:支持面向招标方检出仿冒网站的事件展示,主要通过语义特征和机器视觉等维度精准定位到当前招标方在互联网上被仿冒的信息,使得招标方能直观了解到当前网站在互联网上被仿冒的情况。(提供仿冒网站监测功能截图)
(7)敏感文件泄露事件管理:支持面向招标方检出敏感文件泄露事件当前状态的展示,主要包含四种状态:未处置、处置中、挂起、已闭环、接受风险,使得招标方能直观了解到当前数字风险的生命周期情况。(提供敏感数据泄露事件监测功能截图)
5.提供的服务平台应具备互联网暴露面管理功能:
暴露面管理:支持面向招标方检出暴露面结果的展示,主要从IP关联域名、暴露面风险等级、暴露面风险数量、归属地、IP组织、开放端口、服务组件、指纹Banner、WEB标题、WEB状态码等信息,整体的展示包括根域名、子域名、IP、移动端等暴露面资产,并对特殊资产进行分类,如云资产、网络&安全设备资产等。(提供互联网暴露面管理功能截图)
6.提供的服务平台应具备对发现的暴露面、漏洞风险、敏感数据泄露事件、网站事件等问题的跟进功能。(提供跟进功能截图)
7.投标方需为招标方提供的服务展示平台应具备整体服务成果的展示,便于招标方及时查看服务进展,包括整体服务进展、本月/上月告警事件与跟进处置进展、暴露面概览、外部风险概览、数字风险概览、暴露面变化趋势、外部风险变化趋势、数字风险变化趋势。(提供展示界面截图)
8.投标方每周对招标方暴露面进行一次检测,并主动对招标方进行提醒;
9.投标方每两周周对招标方攻击面进行一次检测,并主动对招标方进行提醒。
五、安全外包驻场服务
具体要求如下:
1.公司网络维护,包括核心网络、楼层用户区网络、广域网络等,网络维护工作包括网络管理、配置维护、IP管理及网络调整等内容。
2.基础设备维护,对相关基础硬件设备(服务器、机房设施等)及系统进行维护,包括:日常巡检、故障诊断处理、设备配置调试等工作。
3.日常维护服务,协助招标方做好网络安全系统运行情况监控,设备维护、设备配置备份与变更、设备升级,网络安全系统中问题故障发现、故障处理解决、问题故障分析;负责公司日常内外网络运行保障,定期巡检,故障现场响应处理等相关网络安全技术支持;负责公司服务器、相关业务系统、安全设备的日常维护。
4.驻场时间:5*8小时/周现场值守,7*24小时/年电话值守。
5.能力要求
(1)熟悉交换机、路由器、防火墙原理及配置维护,熟悉SDN解决方案,了解云计算。
(2)熟悉主流安全厂商的Firewall/WAF/IPS/APT/蜜罐/态势感知/威胁情报等系统使用,有相关设备和产品运营维护经验。
(3)熟悉了解常规的安全漏洞原理,熟悉应用层安全、操作系统漏洞及第三方组件漏洞的利用手段及修复方法。
(4)熟练使用linux服务器,熟练操作系统常用命令。
(5)熟悉各类中间件产品(nginx、tomcat、zookeeper、nacos、apollo、rabbitmq、Kafka等),同时能对该类产品做参数的调优工作。
(6)熟悉mysql,Postgresql,redis,mongodb等相关数据库日常操作,并且有一定的SQL脚本编写能力。
3. 投标人资格要求
3.1 通用资格条件
投标人须为合格供应商,且未处于暂停参加采购活动的处罚期限内,满足供应商参与业务的权限。
3.2 专用资格条件
一、公司资质要求
1.投标方具备国家信息安全服务(安全运营类一级)资质。
2.投标方的安全运营服务平台应当通过国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部四部委联合组织的云计算服务安全评估,入选“通过云计算服务安全评估的云平台”名单。
二、项目经理要求
1.云端项目经理:至少具有3年以上工作经验,提供证明材料包括但不限于体现任职及工程师姓名的合同影印件或感谢信等甲方提供的证明材料或本公司的任命文件。
2.云端高级工程师资质要求:至少具备3年及以上工作经验,提提供证明材料包括但不限于体现任职及工程师姓名的合同影印件或感谢信等甲方提供的证明材料或本公司的任命文件。
3.重保服务高级工程师资质要求:至少具备2年及以上工作经验,提供证明材料包括但不限于体现任职及工程师姓名的合同影印件或感谢信等甲方提供的证明材料或本公司的任命文件。
4.应急服务高级工程师资质要求:至少具备3年及以上工作经验,提供证明材料包括但不限于体现任职及工程师姓名的合同影印件或感谢信等甲方提供的证明材料或本公司的任命文件。
5.本次招标是否接受联合体投标:不接受联合体投标。
4. 招标文件的获取
获取时间:从2024年08月05日15时00分起至2024年08月16日17时00分止。
购买招标文件的投标人,请联系办理供应商会员事宜,未在中国电力招标采购网(www.dlztb.com)上注册会员的单位应先点击注册。成为正式供应商后根据招标公告的相应说明在线完成招标文件的购买!为保证您能够顺利投标,具体要求及购买标书操作流程以公告详细内容为准!
详情请咨询
联系人:马友
手 机:18701298819 (微信同号)
咨询电话:010-51957412