招标信息

二、采购内容简介

1.建设背景

本次采购 2名 基础软硬件漏洞分析和安全加固专家 1年的驻场服务 。

2.服务需求

2.1基础软硬件 漏洞分析 服务

（ 1）漏扫支持服务

乙方负责细化甲方制定的漏扫方案，在漏扫设备中调优相关扫描的配置项。 在扫描期间，乙方做好现场值守。

（ 2）漏扫结果分析服务

乙方需收集已扫描系统的结果报告，并进行整合、加工处理，包括以下工作。

① 结果收集：对已完成扫描的系统报告，乙方需在规定的时间内完成报告的收集工作，并检核漏扫实际的执行结果，对于因漏扫设备、网络等原因导致漏洞扫描未能成功开展的，需做好统计记录，并及时报送给甲方。甲方待问题解决后，再次发起漏扫服务。

② 统计加工：乙方需按照甲方规定的维度，进行单系统及跨系统的多维度统计。结合我行主机和系统资产信息，整理出对于系统级别需要整改的漏洞清单。统计维度包括但不局限于：按照扫描出系统漏洞数目进行统计、按照各漏洞在多系统出现频次统计、按照存在命令执行、反序列化高危漏洞统计等。

③ 漏洞分析：乙方需按照甲方要求，对漏扫结果中的漏洞归类分析。分析的维度包括但不局限于漏洞本地 /远程利用、是否需要权限、造成结果为命令执行/拒绝服务/缓冲区溢出、poc是否公开、受影响主机部署位置互联/外联/内网区域。必要时乙方人员需寻求服务商专家团队支持，使漏洞的分析工作系统化、科学化。

④出具整改意见：乙方完成漏洞分析后，需经甲方确认后形成正式的整改意见。整改意见应遵从科学、实际、可落地的原则。对于描出的中高危漏洞，需在扫描器原始漏洞评级的基础上，结合Poc/Exp是否公开、出现漏洞资产的部署位置等要素信息，形成科学的漏洞评级。对于商用软件原厂和开源社区不再提供支持的软件，乙方需客观的提供安全加固建议。

⑤出具服务报告： 进行安全扫描方案实施漏洞分析后，出具漏洞分析报告，报告名称《系统安全漏洞扫描分析报告》。报告中会对此次扫描服务范围内的安全状况进行一个整体概述，对主机系统，网络设备，开放服务和漏洞情况进行一个统计。从每个主机的角度出具安全扫描分析报告。以上内容会通过表格，饼状图，柱状图直观地表现漏洞情况和安全情况。服务人员将会根据漏洞分析的结果针对每个漏洞进行详细描述，描述内容至少包括了漏洞厂商、威胁目标、危险级别、危害描述、检测依据以及乙方提供的详细解决方案等。

2.2基础软硬件安全加固服务

（ 1）出具加固方案： 依据安全检查和漏洞扫描结果和安全建议，结合信息系统的实际运行情况，写出具有实际可操作性、可行的安全加固方案。逐个加固项都会有加固对象和影响范围和回退方案。回退方案是业务正常运行的必要步骤，必要时会在实验环境的条件下，进行加固实验，把握最小影响原则、规范性原则、整体性原则。

（ 2 ） 出具安全加固报告：安全加固方案实施后，会出具一份安全加固报告。报告中会对此次安全加固服务的范围进行一个整体概述，并详细记录每一个加固项及加固结果。对于未能实施加固的项进行详细说明，并提出安全补救措施和安全专家建议。报告 包含以下内容：

① 对加固过程的完整记录 ；

② 对加固系统安全审计结果 ；

③有关系统安全管理方面的建议或解决方案。

（ 3）安全加固服务的涉及的范围：

①网络设备加固范围；

②主机操作系统加固范围；

③数据库加固范围；

④中间件及常见的网络服务加固范围。

2.3市场发布的漏洞跟踪和排查服务

负责对于市场上发布最新的漏洞情况进行跟踪，并进行漏洞的排查工作。

2.4服务商需完成甲方指定的其他漏洞相关的工作

3.服务方式

本项目采用驻场服务方式完成。

4.服务周期

自合同签订之日起 1年。

5.服务人员

本项目拟采购的项目实施人员要求提供原厂服务。

6.服务交付文档

《系统安全漏洞扫描分析报告》和《系统安全加固报告》

7. 项目验收要求

漏洞扫描、漏洞通告、监管发布、外部情报等渠道获取漏洞信息后进行漏洞扫描和安全加固。每次服务实施完成后，需要提交服务报告文档。

8. 付款方式

合同期内，服务费分两次支付，每半年支付一次。我行对服务水平进行评价，评价结果为满意的支付合同总价的 50% 。

三 、意向供应商资质要求及提交材料要求

（ 一 ） 供应商资质要求

1. 具有独立承担民事责任的能力 。

2. 有依法缴纳税收和社会保障资金的良好记录 。

3. 最近三年内，在经营活动中没有重大违法记录 。

4. 投标公司 或代理的原厂商 具有 国家信息安全测评信息安全服务资质证书 -风险评估类、国家信息安全测评信息安全服务资质证书-数据安全类 和 CCRC信息安全服务资质认证证书 ，并且为中国国家信息安全漏洞（ CNNVD）的技术支持单位。 （提供资质扫描件） 。

5.如代理商参与，需提供原厂商对本项目的授权。

（ 二 ） 提交材料内容

1. 供应商情况 表需提供盖章扫描件及 Word可编辑版。

2. 在 “国家企业信用信息公示系统”、“信用中国”系统提供查询结果( 截屏盖章 ），包括不限于经营异常、行政处罚、变更记录、重大税收违法失信情况等。

3.提交加盖单位公章的载有统一社会信用代码的营业执照，材料需为PDF格式文件。

4.提交加盖单位公章的能证明满足供应商资质要求的文件。

（三） 提交材料 要求
1.邮件主题： 项目名称 +公司名称；邮件主题、正文、附件中不能含敏感字。
2.邮件正文中要写明公司的联系人姓名、手机号、邮箱。
3.须以传统方式黏贴附件，不能发云附件；发送的附件（压缩文件、文档等）不得设置密码或编辑权限；单个邮件大小控制在 50 MB以内（如果超限，可分几个邮件发）。
4. 报名资料未按要求提供或提供不全的情况，采购人将拒绝其报名 。

5 . 采购人视收到的上述材料不涉及商业秘密 。

6.采购人可能根据项目情况取消采购，供应商应予接受。

7.不接受联合体参与报名，不得以任何形式转包或分包。

8.前来报名的供应商应保证所提供材料的真实合法性，并由此承担法律风险和赔偿责任。采购人保留对相关材料进一步核实的权利，如发现提供虚假材料的供应商，采购人将取消其本次及以后的报名资格。

四、征集期

自 2025年3月31日起 至 2025年4月7日16时止。

联系人：陈经理
电话：010-83551561
手机：13717815020 (欢迎拨打手机/微信同号)
邮箱：kefu@gdtzb.com
QQ：1571675411