四川省疾病预防控制中心关于2025年信息安全保障服务的比选公告
- 2025-06-20
项目名称: 四川省疾病预防控制中心关于2025年信息安全保障服务的比选公告
招标公司: 四川省疾病预防控制中心
采购标的物: 应急演练服务、信息安全保障服务、网络资产盘点服务
项目地区:四川 成都
各参选企业:
因工作需要,拟采购 2025 年信息安全保障服务,欢迎符合要求的企业积极参加评选,比选要求如下:
一、参选公司资质要求
(一)投标人须提供以下资质材料:
1. 企业营业执照 [ 副本 ] 复印件;
2. 法定代表人身份证明材料复印件;
3. 法人代表授权书原件及被授权人的身份证复印件(非法定代表人参选时提供 ; 需法定代表人及被授权人双方签字或签章 ) 。
(二)投标人须提供如下承诺函原件:
1. 具有独立承担民事责任的能力的合法供应商;
2. 具有良好的商业信誉和健全的财务会计制度;
3. 具有依法缴纳税收和社会保障资金的良好记录;
4. 近三年内在经营活动中没有重大违法记录;
5. 具备履行合同所必需的设备和专业技术能力的证明材料;
6. 具备法律、行政法规规定的其他条件。
7. 参加比选活动前三年内,供应商单位及其现任法定代表人、主要负责人不得具有行贿犯罪记录。
(上述资质材料均需加盖企业鲜章并胶装成册; 如有涉及签字盖章,需提供完整签字盖章页; 供应商未提供或提供不完整视为资格不能满足本项目要求)
二、项目预算
总预算: 120 000 (元);最高限价: 120 000 (元)。
采购清单
序号
标的名称
数量
计量
单位
预算单价(元)
预算总价(元)
是否进口
1
2025 年信息安全保障服务
1
项
12 0000
12 0000
否
三、技术要求
(一)网络资产 盘点 服务
* 1. 对我中心本地化系统资产盘点(包括本地网络约 50 台网络及安全设备, 20 台服务器和 500 台终端),通过专用工具,采集、识别网络的存活 IP 、开放的服务端口、运行的业务组件,形成清晰的 网络资产台账 。服务要求: 1 次 / 年;形成采购人审核通过的《 网络资产台账 》。
2. 本服务 支持主流协议识别(包括主流网络协议、数据库、工控、视频监控等),能够识别包括 pop3 、 echo 、 systat 、 qotd 、 ftp 、 dns 、 smb 等端口协议。
3. 本服务对资产指纹识别规则数目应≥ 300000 条,能够对包括视频监控、交换机、路由器、网络安全产品、服务器设备、企业应用软件、 Web 组件等资产进行识别。(提供功能截图证明并加盖供应商鲜章)
4. 本服务应支持通过特定关键字进行资产查询检索,包括:标题、 http 头内容、 html 内容、根域名、端口、协议、证书等。(提供功能截图证明并加盖供应商鲜章)
(二)网络资产风险识别服务
* 1. 对我中心网络资产存在的高危漏洞、高危端口、弱口令、木马后门、安装代理软件、部署远程运维工具等风险隐患进行识别,定位问题资产,提供整改建议。服务要求: 1 次 / 年;形成采购人审核通过的《网络资产风险识别服务报告》。
2. 该服务需 对风险资产进行 IP 资源被占用监测、重要 IP 资源离线监测、禁用端口监测、禁用服务监测、禁用软件监测、禁用硬件监测、端口开放监测。(提供功能截图证明并加盖供应商鲜章)
3. 该服务需支持 自动筛选出符合漏洞特征的风险资产,进行单一漏洞专项扫描;可指定资产范围进行漏洞专扫;可选定自定义资产范围及自定义漏洞进行漏洞专扫扫描。 (提供功能截图证明并加盖供应商鲜章)
4. 该服务需 支持通过 CVE 编号关联 PoC (漏洞验证程序) ,关联漏洞 , 支持对扫描出来的漏洞进行模拟利用功能 。 (提供功能截图证明并加盖供应商鲜章)
5. 该服务需 能够整合 HW 演习暴露的 0day 或 Nday 漏洞库及相关资源库,提升对 我 中心关键网络资产涉及到的相关漏洞识别及验证能力。(提供功能截图证明并加盖供应商鲜章)
(三)边界防护有效性验证服务
*1. 通过持续性模拟攻击验证,对 我中心 网络边界安全防护措施进行实战化检测评估,定位防御失效环节 , 为后续安全防护能力提升提供依据。 服务要求: 2 次 / 年;每次都形成采购人审核通过的《边界防护有效性验证服务报告》。
2. 该服务需支持至少 6 种自定义攻击验证,包括但不限于:构造 web 攻击包、上传 pcap 流量包、上传样本文件、配置执行的命令、上传可执行文件 + 配置执行令、配置邮件等形式。(提供功能截图证明并加盖供应商鲜章)
3. 该服务需支持对各类流量侧相关攻击的防护有效性检测 。 包括但不限于 : 反弹 shell 、 隧道代理、端口转发、 webshell 通信、系统后门、横向移动、 暴力破解、 远控木马通信 等。(提供功能截图证明并加盖供应商鲜章)
(四)恶意代码检测机制有效性验证服务
*1. 从实战攻防对抗角度开展持续性模拟攻击验证,对 我中心现有 恶意代码检测机制有效性进行评估验证,提供安全建议。 服务要求: 2 次 / 年;每次都形成采购人审核通过的《恶意代码检测机制效性验证服务报告》。
2. 该服务需支持验证恶意代码检测能力验证,包括 内存注入 、 恶意样本落盘 、 代码执行、远控木马执行 等。(提供功能截图证明并加盖供应商鲜章)
3. 该服务需支持在 Windows 、 Linux 环境下进行勒索软件模拟加密拦截验证 ,并支持在不运行真实勒索样本的前提下,对各类勒索软件的加密行为进行模拟。 (提供功能截图证明并加盖供应商鲜章)
4. 该服务需 支持对容器环境下的反弹 shell 、持久化、通过漏洞投递、内存注入、权限提升、恶意样本落盘、容器逃逸、防御规避、命令执行等行为进行验证。 (提供功能截图证明并加盖供应商鲜章)
(五) 应用主机未知威胁防护服务
*1. 供应商须在重要保障时期对我中心本地化系统关键主机(约 20 台)安装部署主机未知威胁安全防护软件,预警并阻断网页篡改、漏洞利用、数据窃取、潜伏控制等网络攻击事件,提升疾控系统抗“ 0-day 漏洞攻击”的实战化网络安防护能力。服务要求:我中心指定重要保障时期内(连续 3 个月)常态化部署。每月形成采购人审核通过的《应用主机未知威胁防护分析月报》。
2. 该服务需应支持操作系统内核加固技术,对操作系统核心资源,如注册表、网络连接、系统文件、进程等资源进行有效防护。(提供功能截图证明并加盖供应商鲜章)
3. 该服务需支持基于白名单机制的堡垒锁防护,防护内容包括但不限于读文件越权、写文件越权、外联访问越权等;拥有自学习能力,可以自动学习被防护主机对外提供服务的进程及子进程,以及这些进程活动的目录范围、操作对象及外联访问,可以自动帮助用户完成白名单的刻画及防护配置。(提供功能截图证明并加盖供应商鲜章)
4. 该服务需支持紧急情况下“一键”对服务器进行单 / 双向隔离控制。(提供功能截图证明并加盖供应商鲜章)
5. 该服务需对服务器上的特定文件进行监控和防护,包括危险文件创建防护、危险命令执行防护、敏感文件读取防护等功能。(提供功能截图证明并加盖供应商鲜章)
* (六)安全策略梳理优化服务
1. 依据行业最佳实践,结合我中心的网络安全的实际情况,对现有安全防护设备的策略配置进行检查。服务要求: 2 次 / 年;每次都形成采购人审核通过的《安全策略梳理优化服务报告》。
2. 根据边界防护有效性验证结果,安全检测对防御策略失效问题进行分析,指导、协助我中心对相关安全设备的防御策略进行调优。
3. 指导设备厂商、信息系统运维公司进行安全整改。
* (七) 专家咨询服务
为我中心提供网络和数据安全保护专家咨询服务,咨询内容包含但不限于网络和数据安全保护政策法规解读,网络和数据安全管理、技术、运营、保障体系的规划、评审。协助制定节假日、重点保障时期的保障方案。服务频率:按需提供;每次都形成采购人审核通过的《网络和数据安全保护专家咨询报告》。
* (八)应急演练服务
按照我中心现行应急管理办法 / 制度要求,组织专项应急演练,结合行业特性模拟单项突发网络安全事件,进行应急处置演练,评估安全防护能力有效性,增强安全人员意识,提升网络安全事件应急协调能力和处置能力。服务频率: 1 次 / 年;形成采购人审核通过的《应急演练记录》。
* 四、商务要求
(一)服务时间
服务期限: 自合同签订之日起一年。
(二)服务地点
四川省疾控中心。
(三)付款方式
收到中选供应商票据凭证资料后,按照财政性资金支付有关规定,分三次付款。第一次支付时间:服务满 4 个月后,经验收合格,支付总合同金额 33% ;第二次支付时间:服务满 8 个月后,经验收合格,支付总合同金额 33% ;第三次支付时间:服务满 12 个月后,经验收合格,支付总合同金额 34% 。
(四)项目成员要求
本项目中选后项目技术服务团队不得随意更换,若确实需要更换,则更换后的成员不得低于参选时在响应文件中提供的专家经验水平和团队人员的资质水平,且需要征得采购人同意。
注: * 号项为实质性要求,须在响应文件作出完全响应,未完全响应、不满足的视为参选无效。
五、评选标准:
综合评分法(附后)
六、材料报送要求
请各参选公司根据项目要求提供相关资料及报价(资质材料一份,响应材料一式三份,一正两副;需加盖鲜章,胶装并密封),于 202 5 年 6 月 26 日上午 9:00-10:00 交至省疾控行政楼 510 室 陈 老师处,过时将不再接受资料报送。
资料报送电话: (028)85587232
项目咨询电话: (028)87046206
四川省疾病预防控制中心
202 5 年 6 月20 日
评选标准:
序号
评分因素
分值
评分标准
说明
1
报价
10
满足比选文件要求且报价最低的供应商报价为基准价,其他供应商的价格分别统一按照下列公式计算:报价得分 =(基准价/报价)× 1 0。
得分四舍五入,保留小数点后两位。
2
技术
要求
40
完全符合比选文件中 “技术要求”条款(不包括带 * 条款,共计 16条)没有负偏离的得满分40分。 每有一条负偏离的扣 2 .5分 , 扣完为止。
3
服务
方案
20
供应商应针对本项目提供服务方案,包括但不限于: ⑴网络资产盘点服务方案;⑵网络资产风险识别服务方案;⑶边界防护有效性验证服务方案;⑷恶意代码检测机制有效性验证服务方案;⑸应用主机未知威胁防护服务方案;⑹安全策略梳理优化服务方案;⑺专家咨询服务方案;⑻应急演练服务方案;⑼项目整体组织进度计划方案;⑽项目整体服务质量保障措施。
完全满足项目需求的得 20分;每有一项缺项扣2分,每有一项内容存在错误或不足的扣1分,扣完为止。
内容存在错误或不足是指:内容与实际情况不符、内容与项目无关、内容表述错误、内容前后表述矛盾、内容凭空编造、逻辑漏洞、科学原理错误以及不可能实现的夸大情形、内容与项目不匹配、项目信息错误(包括时间、地点、名称等)、不符合本项目涉及的相关规范或标准要求等情形。
4
供应商资质
8
1.供应商具有质量管理体系认证证书(证书认证范围:信息技术服务或信息安全服务),得4分,未提供不得分。
2.供应商具有信息安全管理体系认证证书(证书认证范围:信息技术服务或信息安全服务),得4分,未提供不得分。
需提供相应有效期内证书复印件并加盖供应商公章,未提供的不得分。
5
技术服务团队
13
1.供应商拟派本项目的专家顾问(最高得分5分):
具有与采购单位同级或以上级别的重大活动网络安全保障专家支撑经验,得 5分。
(提供主办单位的证明材料)
2.供应商拟派本项目的 项目负责人( 最高得分 6分 ) :
① 具有全国计算机技术与软件专业技术资格 (水平)考试的信息系统项目管理师 , 提供证书复印件,得 4分;② 具有全国计算机技术与软件专业技术资格 (水平)考试的信息安全工程师 或中国信息安全测评中心注册信息安全专业人员( CISO或CISE)证书, 提供证书复印件,得 2分,否则不得分。
3. 拟投入本项目的 技术 团队(非 项目负责人 ) ( 最高得 2 分 ) :具有全国计算机技术与软件专业技术资格 (水平)考试的网络工程师 , 或 信息安全工程师 , 或 具有中国信息安全测评中心注册信息安全专业人员( CISO或CISE) , 提供证书复印件, 提供 任意 一 个 证书得 2 分 。
须 在响应文件中明确拟派本项目的 技术服务团队人员 名单 , 并提供 技术服务团队人员 与参选供应商的劳动关系证明,未提供不得分。
6
履约
能力
9
1.供应 商具有自 2022年1月1日(含)至比选截止日期 具有与采购单位同级或以上级别的重大活动网络安全保障支撑经验,每次得 3分,最多得 6分。
2.供应 商具有自 2022年1月1日(含)至比选截止日期提供本项目类似网络安全服务项目经验,每次得1.5分,该项最多得3分。
1.需提供的合同关键页以及其他相关证明材料复印件,并加盖供应商公章。
2.“重大活动网络安全保障任务支撑经验”不与“本项目类似网络安全服务项目经验”重复计分。
