四川廣安愛(ài)眾股份有限公司

****年愛(ài)眾股份總部網(wǎng)絡(luò)安全檢測(cè)及評(píng)估服務(wù)項(xiàng)目

競(jìng)爭(zhēng)性磋商采購(gòu)公告

根據(jù)《中華人民共和國(guó)招標(biāo)投標(biāo)法》和國(guó)家相關(guān)法律、法規(guī)和我公司采購(gòu)有關(guān)規(guī)定，四川廣安愛(ài)眾股份有限公司網(wǎng)絡(luò)安全檢測(cè)及評(píng)估服務(wù)項(xiàng)目已具備采購(gòu)條件，現(xiàn)對(duì)該項(xiàng)目進(jìn)行競(jìng)爭(zhēng)性磋商公告。

1、項(xiàng)目概況與采購(gòu)范圍

1.1項(xiàng)目名稱(chēng)：****年愛(ài)眾股份總部網(wǎng)絡(luò)安全檢測(cè)及評(píng)估服務(wù)。

1.2采購(gòu)編號(hào)：ZB**********。

1.3采購(gòu)限價(jià)：**萬(wàn)元。

1.4擬成交供應(yīng)商：1家。

1.5服務(wù)工期：自簽訂合同之日起一年內(nèi)。

1.6采購(gòu)內(nèi)容簡(jiǎn)要：

為滿足國(guó)家法律法規(guī)要求和企業(yè)網(wǎng)絡(luò)安全需求，全面監(jiān)測(cè)、分析公司的網(wǎng)絡(luò)安全情況，檢測(cè)、評(píng)估可能存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，有效預(yù)防和應(yīng)對(duì)各類(lèi)網(wǎng)絡(luò)威脅，提高網(wǎng)絡(luò)安全性和管理效能，擬進(jìn)行對(duì)公司****年網(wǎng)絡(luò)安全檢測(cè)及評(píng)估服務(wù)的采購(gòu)。

具體產(chǎn)品及參數(shù)要求詳見(jiàn)附件《采購(gòu)項(xiàng)目要求》。

1.7質(zhì)量標(biāo)準(zhǔn)：

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》

《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》

《國(guó)家網(wǎng)絡(luò)安全空間戰(zhàn)略》

《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》

《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[****]**號(hào)）

《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》（國(guó)發(fā)[****]**號(hào)）

《“十四五”國(guó)家信息化規(guī)劃》

《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T ****9-****）

《網(wǎng)絡(luò)安全等級(jí)安全設(shè)計(jì)技術(shù)要求》（GB/T ****0-****）

《信息安全管理體系要求》（ISO/IEC ****1:****）

《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T ****4-****）

《信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范》（GB/T ****3-****）

2、資格要求

本次采購(gòu)要求應(yīng)答人須為中華人民共和國(guó)境內(nèi)依法注冊(cè)的法人或其他組織，在人員、設(shè)備、資金等方面具有保障如期交貨等承擔(dān)采購(gòu)項(xiàng)目的能力。

2.1通用資格條件

（1）應(yīng)答人應(yīng)取得國(guó)家法律、法規(guī)、部門(mén)規(guī)章及規(guī)范標(biāo)準(zhǔn)規(guī)定的有效許可證。

（2）應(yīng)答人應(yīng)有良好的財(cái)務(wù)狀況和商業(yè)信用。不得被工商行政管理機(jī)關(guān)在全國(guó)企業(yè)信用信息公示系統(tǒng)中列入“行政處罰名單”或者“嚴(yán)重違法失信企業(yè)名單”。

（3）應(yīng)答人不得在人民法院生效的判決書(shū)中被認(rèn)定在采購(gòu)人采購(gòu)活動(dòng)中存在行賄行為。

（4）應(yīng)答人不存在被責(zé)令停業(yè)停產(chǎn)、暫扣或者吊銷(xiāo)許可證、暫扣或吊銷(xiāo)執(zhí)照；不存在進(jìn)入清算程序，或者被宣告破產(chǎn)，或者其他喪失履約能力的情形。

（5）法定代表人或單位負(fù)責(zé)人為同一人或者存在控股、管理關(guān)系的不同應(yīng)答人，不得參加本次應(yīng)答。

2.2專(zhuān)用資格條件

（1）提供合法有效的營(yíng)業(yè)執(zhí)照，經(jīng)營(yíng)范圍應(yīng)涉及測(cè)評(píng)類(lèi)相關(guān)業(yè)務(wù)。

（2）應(yīng)答人近三年（****年1月1日至投標(biāo)截止日）有包含安全監(jiān)測(cè)、評(píng)估、技術(shù)服務(wù)等相關(guān)業(yè)務(wù)新建、升級(jí)或?qū)嵤╉?xiàng)目的相關(guān)業(yè)績(jī)合同至少一個(gè)，且單項(xiàng)合同金額應(yīng)不低于**萬(wàn)元。所有業(yè)績(jī)須提供有效合同證明材料（有效證明頁(yè)含合同首頁(yè)、能反映類(lèi)似項(xiàng)目范圍、合同金額、簽字蓋章頁(yè)等），提供不全的業(yè)績(jī)做該項(xiàng)業(yè)績(jī)無(wú)效處理。

（3）近三年來(lái)無(wú)行政處罰、未被列入嚴(yán)重違法失信企業(yè)名單（提供國(guó)家企業(yè)信用信息公示系統(tǒng)網(wǎng)站自動(dòng)生成的企業(yè)信用查詢(xún)結(jié)果）。

2.3本次采購(gòu)項(xiàng)目資格審查采用資格預(yù)審方式（說(shuō)明：應(yīng)答環(huán)節(jié)無(wú)須再次提供資格預(yù)審資料）！資格預(yù)審不合格的應(yīng)答人將不會(huì)獲得采購(gòu)文件。資格審查必要合格條件標(biāo)準(zhǔn)如下：

序號(hào)	項(xiàng)目?jī)?nèi)容	合格條件
1	IP地址	不同報(bào)名單位提交報(bào)名資料IP地址不能一致。
2	三證合一營(yíng)業(yè)執(zhí)照	有效期內(nèi)，營(yíng)業(yè)范圍涉及計(jì)算機(jī)技術(shù)服務(wù)或安全咨詢(xún)或評(píng)測(cè)類(lèi)相關(guān)業(yè)務(wù)。相關(guān)業(yè)務(wù)。
3	業(yè)績(jī)證明	應(yīng)答人近三年（****年1月1日至投標(biāo)截止日）有包含安全監(jiān)測(cè)、評(píng)估、技術(shù)服務(wù)等相關(guān)業(yè)務(wù)新建、升級(jí)或?qū)嵤╉?xiàng)目的相關(guān)業(yè)績(jī)合同至少一個(gè)，且單項(xiàng)合同金額應(yīng)不低于**萬(wàn)元。所有業(yè)績(jī)須提供有效合同證明材料（有效證明頁(yè)含合同首頁(yè)、能反映類(lèi)似項(xiàng)目范圍、合同金額、簽字蓋章頁(yè)等），提供不全的業(yè)績(jī)做該項(xiàng)業(yè)績(jī)無(wú)效處理。
4	企業(yè)信用證明	近三年來(lái)無(wú)行政處罰、未被列入嚴(yán)重違法失信企業(yè)名單（提供國(guó)家企業(yè)信用信息公示系統(tǒng)網(wǎng)站自動(dòng)生成的企業(yè)信用查詢(xún)結(jié)果）。
說(shuō)明：必要合格條件標(biāo)準(zhǔn)中所列各分項(xiàng)必須全部滿足，有任何一項(xiàng)不滿足，則視為資質(zhì)審查不合格。

3、報(bào)名及采購(gòu)文件的獲取

3.1 凡有意參加競(jìng)爭(zhēng)性磋商者，請(qǐng)于公告發(fā)布之日起至****年1月**日9:**（北京時(shí)間，下同）之前使用谷歌瀏覽器，登錄四川廣安愛(ài)眾股份有限公司電子招投標(biāo)平臺(tái)（地址：https://yc.yonyoucloud.com/gaaz，以下簡(jiǎn)稱(chēng)為“平臺(tái)”）進(jìn)行報(bào)名。

3.2 新用戶需按照平臺(tái)首頁(yè)【供應(yīng)商操作手冊(cè)】，依次進(jìn)行【供應(yīng)商注冊(cè)】→【立即登錄】→【供應(yīng)商申請(qǐng)】（企業(yè)認(rèn)證可跳過(guò)，本項(xiàng)目注冊(cè)、申請(qǐng)及報(bào)名環(huán)節(jié)不收取任何平臺(tái)服務(wù)費(fèi)用?。?，待申請(qǐng)通過(guò)后在平臺(tái)首頁(yè)對(duì)應(yīng)采購(gòu)項(xiàng)目下點(diǎn)擊“我要報(bào)名”按鈕進(jìn)行報(bào)名。應(yīng)答人在完成申請(qǐng)資料填寫(xiě)后，請(qǐng)務(wù)必點(diǎn)擊“提交”按鈕進(jìn)行提交！

供應(yīng)商申請(qǐng)審核需要一定的時(shí)間，請(qǐng)應(yīng)答人高度重視。如因自身原因造成報(bào)名失敗的，責(zé)任由應(yīng)答人自行承擔(dān)。應(yīng)答人應(yīng)妥善保管平臺(tái)賬號(hào)和密碼，因上述賬號(hào)、密碼保管不當(dāng)造成的損失，由應(yīng)答人自行承擔(dān)。

3.3 提交報(bào)名后，采購(gòu)人會(huì)對(duì)所有應(yīng)答人的報(bào)名資料進(jìn)行查驗(yàn)，此查驗(yàn)不代表資格審查的最終通過(guò)或者合格。逾期報(bào)名或未通過(guò)報(bào)名資料查驗(yàn)的應(yīng)答人將不會(huì)獲得采購(gòu)文件。如應(yīng)答人報(bào)名IP地址一致，均視為報(bào)名查驗(yàn)不通過(guò)。

3.4 本次采購(gòu)實(shí)行網(wǎng)上免費(fèi)獲取電子版采購(gòu)文件，由采購(gòu)人于****年1月**日9:**前在平臺(tái)進(jìn)行統(tǒng)一發(fā)布，請(qǐng)通過(guò)報(bào)名查驗(yàn)的應(yīng)答人自行登陸平臺(tái)獲取并下載采購(gòu)文件。

4、應(yīng)答文件的遞交

4.1 本次采購(gòu)僅接受電子應(yīng)答文件，不接受現(xiàn)場(chǎng)遞交或郵寄的紙質(zhì)應(yīng)答文件。請(qǐng)應(yīng)答人將所有應(yīng)答文件制作成帶有簽章的電子版文件，上傳至平臺(tái)。

4.2應(yīng)答文件遞交（提交）的截止時(shí)間為：****年1月**日9:**時(shí)。逾期上傳或未成功上傳的應(yīng)答文件，采購(gòu)人將不予受理（截止時(shí)間一到，投標(biāo)接口將自動(dòng)關(guān)閉，為避免因網(wǎng)絡(luò)等問(wèn)題影響應(yīng)答文件上傳的及時(shí)性，請(qǐng)各應(yīng)答人提前做好資料準(zhǔn)備及網(wǎng)絡(luò)調(diào)試事宜）

其他注意事項(xiàng)：（1）單個(gè)文件大小不得大于**0M，超過(guò)須進(jìn)行拆分文件或壓縮分包處理；（2）應(yīng)答文件命名請(qǐng)參照此格式：“商務(wù)文件+單位簡(jiǎn)稱(chēng)”、“技術(shù)文件+單位簡(jiǎn)稱(chēng)”、“價(jià)格文件+單位簡(jiǎn)稱(chēng)”，其他系統(tǒng)自動(dòng)生成的文件名字符應(yīng)刪除。

5、發(fā)布公告的媒介

本次采購(gòu)公告同時(shí)在全國(guó)公共資源交易平臺(tái)（四川省.廣安市）（https://gasggzy.cn/）、四川廣安愛(ài)眾股份有限公司官網(wǎng)（http://www.sc-aaa.com/）、廣安愛(ài)眾電子招投標(biāo)平臺(tái)（https://yc.yonyoucloud.com/gaaz）上發(fā)布。

6、聯(lián)系方式

聯(lián)系人：邱先生

地 址：廣安市廣安區(qū)鳳凰大道**7號(hào)

聯(lián)系電話：****-******5

附件：四川廣安愛(ài)眾股份有限公司****年愛(ài)眾股份總部網(wǎng)絡(luò)安全檢測(cè)及評(píng)估服務(wù)項(xiàng)目采購(gòu)項(xiàng)目需求

四川廣安愛(ài)眾股份有限公司

****年1月7日

四川廣安愛(ài)眾股份有限公司

****年愛(ài)眾股份總部網(wǎng)絡(luò)安全檢測(cè)及評(píng)估服務(wù)項(xiàng)目

采購(gòu)項(xiàng)目需求

一、項(xiàng)目目的

本次擬采購(gòu)內(nèi)容是為了進(jìn)一步增強(qiáng)四川廣安愛(ài)眾股份有限公司網(wǎng)絡(luò)安全防護(hù)能力，確保系統(tǒng)安全穩(wěn)定運(yùn)行，防止因系統(tǒng)安全事件引發(fā)安全事故。依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T ****9-****）《信息安全等級(jí)保護(hù)管理辦法》（公通字[****]**號(hào)）和《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等標(biāo)準(zhǔn)規(guī)范，四川廣安愛(ài)眾股份有限公司現(xiàn)擬招采網(wǎng)絡(luò)安全檢測(cè)及評(píng)估服務(wù)項(xiàng)目。

二、服務(wù)內(nèi)容

應(yīng)答方按照國(guó)家有關(guān)法律法規(guī)和技術(shù)規(guī)范，制定****年度網(wǎng)絡(luò)安全檢測(cè)及評(píng)估服務(wù)項(xiàng)目方案，方案如下：

序號(hào)	名稱(chēng)	功能描述	單位	數(shù)量
1	安全檢測(cè)與分析服務(wù)	為**個(gè)核心業(yè)務(wù)資產(chǎn)提供全年的7***小時(shí)安全托管運(yùn)營(yíng)服務(wù)；含1年資產(chǎn)管理服務(wù)，基于設(shè)備發(fā)現(xiàn)的資產(chǎn)與資產(chǎn)臺(tái)賬，為資產(chǎn)重要性進(jìn)行分級(jí)打標(biāo)；含1年7***小時(shí)的服務(wù)范圍內(nèi)資產(chǎn)威脅檢測(cè)與分析服務(wù)。含1年的服務(wù)范圍內(nèi)資產(chǎn)事件處置與應(yīng)急響應(yīng)服務(wù)。含1年4次的服務(wù)組件調(diào)優(yōu)服務(wù)。含1年的情報(bào)訂閱服務(wù)。含1年2次的復(fù)盤(pán)匯報(bào)服務(wù)。含按規(guī)定頻率提供的各服務(wù)項(xiàng)報(bào)告。	套	1
2	互聯(lián)網(wǎng)暴露面資產(chǎn)測(cè)繪	5個(gè)ip資產(chǎn)，每季度1次的資產(chǎn)測(cè)繪服務(wù)，提供測(cè)繪報(bào)告	套	1
3	安全漏洞掃描	1年**次的互聯(lián)網(wǎng)開(kāi)放系統(tǒng)漏洞掃描管理服務(wù)，對(duì)互聯(lián)網(wǎng)資產(chǎn)驗(yàn)證與修復(fù)跟蹤	套	1
4	高級(jí)威脅檢測(cè)與分析	產(chǎn)品類(lèi)別：XDR擴(kuò)展檢測(cè)響應(yīng)產(chǎn)品威脅檢測(cè)、攻擊溯源、場(chǎng)景感知、威脅響應(yīng)和威脅狩獵等，包含以下引擎: 1、智能化威脅檢測(cè)引擎 2、多維度攻擊溯源引擎 3、場(chǎng)景化威脅感知引擎 4、集成化聯(lián)動(dòng)響應(yīng)引擎 5、啟發(fā)式威脅狩獵引擎 自帶AiGent授權(quán),對(duì)有終端未知威脅檢測(cè)需求的用戶,可直接使用。	套	1
5	門(mén)戶網(wǎng)站安全服務(wù)	提供 ** 個(gè)域名（域名為同一備案主體）一年的網(wǎng)站安全云防護(hù)服務(wù)（不足**按**個(gè)計(jì)算），防護(hù)帶寬**M;包含以下服務(wù)： 1.Web攻擊防護(hù);包含：SQL注入、跨站攻擊、偽造請(qǐng)求攻擊、后門(mén)植入、上傳漏洞攻擊、路徑遍歷等Web漏洞攻擊防護(hù)。 2.DDoS攻擊共享型防護(hù);不超過(guò)**Gbps的防護(hù);包含：SYN Flood、ACK Flood、UDP Flood、ICMP Flood等攻擊類(lèi)型的防護(hù)。 3.網(wǎng)站緩存：支持網(wǎng)站內(nèi)容緩存功能，通過(guò)主動(dòng)學(xué)習(xí)防護(hù)站點(diǎn)靜態(tài)內(nèi)容，確保網(wǎng)頁(yè)永久在線。 4.IPV6防護(hù)：防護(hù)IPv6環(huán)境下的Web應(yīng)用攻擊(如SOL注入、跨站腳本)等威脅。 5.精細(xì)化訪問(wèn)控制策略:支持基于URL、Referer、Method、User-Agent、URL參數(shù)、Body和Header匹配防護(hù)動(dòng)作。 6.參數(shù)檢測(cè)配置:支持基于URL、Referer、Method、User-Agent和URL參數(shù)匹配請(qǐng)求內(nèi)容，在指定檢測(cè)時(shí)間內(nèi)根據(jù)IP或Session設(shè)置訪問(wèn)閾值，并設(shè)置觸發(fā)檢測(cè)規(guī)則后的防護(hù)動(dòng)作，包括但不限于告警、限時(shí)封鎖和挑戰(zhàn)。 7.防護(hù)周期內(nèi)的防護(hù)引擎、防護(hù)規(guī)則免費(fèi)升級(jí)服務(wù)、7x**小時(shí)電話支持服務(wù)、產(chǎn)品遠(yuǎn)程技術(shù)支持：包含防護(hù)接入、防護(hù)過(guò)程中產(chǎn)品問(wèn)題支持。	套	1
6	滲透測(cè)試	通過(guò)真實(shí)模擬黑客使用的工具、分析方法來(lái)對(duì)網(wǎng)站進(jìn)行模擬攻擊，并結(jié)合智能工具掃描結(jié)果，由高級(jí)工程師進(jìn)行深入的手工測(cè)試和分析，識(shí)別工具弱點(diǎn)掃描無(wú)法發(fā)現(xiàn)的問(wèn)題。主要分析內(nèi)容包括邏輯缺陷、上傳繞過(guò)、輸入輸出校驗(yàn)繞過(guò)、數(shù)據(jù)篡改、功能繞過(guò)、異常錯(cuò)誤等以及其他專(zhuān)項(xiàng)內(nèi)容測(cè)試與分析；每?jī)蓚€(gè)月對(duì)1個(gè)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試（全年合計(jì)6次）。	套	1

三、服務(wù)要求

1、服務(wù)要求

1.1標(biāo)準(zhǔn)依據(jù)

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》

《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T ****9－****）

《信息安全管理體系要求》（ISO/IEC ****1:****）

《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T ****4-****）

《信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范》（GB/T ****3-****）

本次網(wǎng)絡(luò)安全檢測(cè)及評(píng)估服務(wù)項(xiàng)目的實(shí)施流程、技術(shù)方法必須嚴(yán)格執(zhí)行國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)范。

1.2 服務(wù)技術(shù)與方法

供應(yīng)商以人工測(cè)試、工具測(cè)試等方式開(kāi)展服務(wù)工作，所有獲取評(píng)估證據(jù)的過(guò)程盡可能不影響信息系統(tǒng)的正常運(yùn)行，對(duì)于可能產(chǎn)生的負(fù)面影響（如有）供應(yīng)商需要在相應(yīng)文件中做具體描述。

2、實(shí)施要求

1）為了保證本次評(píng)估項(xiàng)目的實(shí)施質(zhì)量和工期，本項(xiàng)目采用項(xiàng)目經(jīng)理負(fù)責(zé)制、供應(yīng)商安排具備一定信息安全技術(shù)能力、項(xiàng)目管理能力的人員擔(dān)任項(xiàng)目經(jīng)理。除項(xiàng)目經(jīng)理、技術(shù)負(fù)責(zé)人外，項(xiàng)目組至少由1名滲透測(cè)試工程師和安全運(yùn)營(yíng)團(tuán)隊(duì)組成。

2）供應(yīng)商制定合理的時(shí)間計(jì)劃安排。

3）在漏洞掃描、滲透測(cè)試實(shí)施期間供應(yīng)商需保證系統(tǒng)的安全運(yùn)行。

4）供應(yīng)商應(yīng)具備完善的項(xiàng)目管理手段，在項(xiàng)目實(shí)施過(guò)程中項(xiàng)目經(jīng)理應(yīng)全程負(fù)責(zé)項(xiàng)目實(shí)施過(guò)程的把控。

3、安全管理要求

為規(guī)范乙方行為，合理提供權(quán)限，確保乙方在為甲方提供服務(wù)過(guò)程中所有可能接觸到的甲方信息資源的安全性。具體管理過(guò)程如下：

(1)簽訂安全協(xié)議

乙方在與甲方簽訂服務(wù)合同時(shí)，須同時(shí)簽訂網(wǎng)絡(luò)安全協(xié)議與保密協(xié)議，甲方涉密信息不允許在互聯(lián)網(wǎng)上傳播。乙方技術(shù)人員須簽訂安全承諾書(shū)，自覺(jué)遵守甲方網(wǎng)絡(luò)安全管理相關(guān)規(guī)定。

(2)賬號(hào)權(quán)限管理

甲方根據(jù)乙方工作需要，為乙方技術(shù)人員建立相應(yīng)賬號(hào)。該賬號(hào)只限技術(shù)人員本人使用，不得轉(zhuǎn)借他人。乙方技術(shù)人員離崗時(shí)，乙方項(xiàng)目經(jīng)理須通知甲方，及時(shí)注銷(xiāo)賬號(hào)。

甲方根據(jù)乙方技術(shù)人員工作內(nèi)容，按最小化授權(quán)原則為運(yùn)維人員授予必要的運(yùn)維權(quán)限。

(3)運(yùn)維資料管理

乙方須妥善保管甲方敏感資料（如網(wǎng)絡(luò)拓?fù)鋱D、IP地址分配表、關(guān)鍵網(wǎng)絡(luò)設(shè)備配置文件、運(yùn)維賬號(hào)等），不得將資料以明文形式存放于服務(wù)器上，也不得將運(yùn)維資料發(fā)布到互聯(lián)網(wǎng)上。

4、項(xiàng)目交付物

本次項(xiàng)目的最終交付物為《滲透測(cè)試報(bào)告》、《漏洞檢測(cè)報(bào)告》、《資產(chǎn)監(jiān)測(cè)報(bào)告》、《安全事件應(yīng)急響應(yīng)報(bào)告》、《重保日?qǐng)?bào)》等。