信息系统安全服务项目竞争性比选公告-国电投电子商务平台

信息系统安全服务项目竞争性比选公告

2025-06-10

一、比选内容

序号	采购项目	服务期限	限价
1	信息系统安全服务项目	一年	25万元

服务参数如下：

一、安全评估服务
1.1	漏洞扫描	服务团队提供专业漏洞扫描工具，对Web应用和主机系统进行自动化扫描，发现应用系统、操作系统、数据库、中间件、网络设备、安全设备等存在的高危、中危、低危漏洞情况，并提供漏洞详情解读和漏洞修复建议。协助采购人对所发现的风险进行汇总分析，并持续跟踪漏洞修复情况，输出漏洞跟踪表，根据解决建议及时修补安全漏洞。针对系统责任部门无技术力量修复漏洞的情况，安全技术团队须安排技术人员协助漏洞修复工作。	4次（每季度一次）
1.2	基线检查	服务团队通过人工检查、脚本程序或基线扫描工具对系统进行全面检查，检查内容包括但不限于：帐号安全设置、管理权限和角色设置、多余帐号和缺省口令检查、备份和升级情况、访问控制、路由协议、日志审核、网络攻击防护及端口开放、远程访问等安全项目，发现不合理、复用、未最小化原则等安全策略，帮助采购人及时发现安全隐患，提出安全解决方案，提升系统安全	4次（每季度一次）
1.3	渗透测试	在用户的授权和监督下，以模拟黑客攻击的方式，对用户网站系统的安全漏洞、安全隐患进行全面检测，最终目标是查找网站的安全漏洞、评估网站的安全状态、提供漏洞修复建议，并协助客户进行复测验证修复情况。	2次（半年一次）
1.4	安全加固	根据权威部门机构下发的安全漏洞整改和警示信息、网络安全等级保护测评报告等专业安全评估结果，制定相应的系统加固方案，针对不同目标系统，通过打补丁、修改安全配置、增加安全机制等方法，合理进行安全性加强，对常见操作系统、数据库、中间件、网络设备、安全设备等安全配置加固、协助漏洞修复工作，以提升设备和系统的安全性。	4次（每季度一次）
1.5	回归测试服务	根据提交的安全评估报告，由客户完成安全整改后，针对报告中发现的问题进行二次测试，验证安全加固有效性。	4次（每季度一次）
1.6	风险评估	安全风险评估将根据GB/T 20984—2007进行对客户网络环境内的资产进行识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析等，通过对各阶段进行相应的安全赋值，由风险分析得出资产的安全风险级别。	每年一次
1.7	互联网暴露面梳理	1.安全技术团队通过多种梳理手段和方式的融合，探测公司互联网地址上潜在的未知资产、不必要开放的资产，包括：老旧Web资产、僵尸系统、边缘系统、无主系统、敏感开放端口、互联系统（第三方互联、其他互联）、远程管理等信息，对监测发现的暴露面，通过人工逐一核实，并验证互联网资产是否存在可利用漏洞、弱口令，提供暴露面收敛等相关整改建议，协助指导收敛工作，定期稽查保障闭环管理。 2.重点关注未知资产，包括影子资产、隐匿资产、被遗忘的老化资产、本应下线的应用程序/镜像/微服务，以及恶意资产、钓鱼网站、供应链资产等，配合清理所有多余的暴露面，从根源上有效挖掘公司暴露在互联网上的安全隐患点。	2次（半年一次）
1.8	网络安全体系建设咨询	通过电话、邮件、现场会议等方式，为用户提供网络安全体系建设咨询，包括针对技术防护措施、安全管理制度、安全建设规划等方面，提出相关建议，帮助用户构建一套全面且可落地执行的网络安全体系。	按需
1.9	等保建设咨询服务	依据网络安全等级保护国家标准以及相关行业标准要求，开展安全技术体系和安全管理体系差距分析，确定建设整改需求。协助完成安全漏洞修复、安全基线策略加固、安全防护产品部署及安全管理体系建设等工作。	2次（半年一次）
1.10	应急演练	组织开展实战化应急演练，演练组织形式为实战演练，演练场景包括但不限于网页被篡改攻击、网站遭受DDOS攻击、内网ARP攻击以及协助灾备恢复等相关工作，发现整体风险发现、预警通报、上传下达及检验联动响应等综合能力。	1次/年
1.11	应急响应	对于突发的安全事件，例如网络入侵、拒绝服务攻击、大规模病毒暴发、主机或网络异常事件等紧急安全问题，安全技术团队第一时间到达现场提供技术支持，对受影响系统进行全面威胁排查，针对现网系统安全日志进行分析，控制事态发展，保护或恢复主机、网络服务的正常工作，协助修复漏洞以防同类安全事件再次发生，尽快使业务系统恢复正常运行，减少因此次安全事件造成的经济损失。	按需

二、比选条件和规定

（一）比选申请人具有独立承担民事责任的能力。【提供有效的营业执照、组织机构代码证、税务登记证（若单位已办理了三证合一或一证一码，则只需提供有效的三证合一或一证一码证书副本复印件，无需提供相关的三证。若没有办理，则需提供以上三项资料副本复印件）】

（二）比选申请人具有中国网络安全审查技术与认证中心颁发的CCRC信息安全服务资质认证证书（信息安全风险评估）一级【若代理商参与投标，则提供的证明材料可为对应授权网络安全服务厂商证明材料。】

（三）比选申请人具有中国网络安全审查技术与认证中心颁发的CCRC信息安全服务资质认证证书（信息安全应急处理）一级【若代理商参与投标，则提供的证明材料可为对应授权网络安全服务厂商证明材料。】

（四）比选申请人单位或其法定代表人被人民法院判定犯行贿罪的，不得参与比选，否则做否决投标处理；未被人民法院判定犯行贿罪的，比选申请人应提供比选人单位或其法定代表人未被人民法院判定犯行贿罪的真实性承诺并加盖比选申请人单位公章（自行承诺，格式自拟）。

（五）被有关行政部门暂停投标资格，不得参与此次竞争性比选，否则做否决比选人中标处理；未被暂停投标资格的，比选申请人应提供未处于暂停投标资格行政处罚的真实性承诺并加盖比选商单位公章（自行承诺，格式自拟）。

【注：比选申请人应将承诺放置资格审查资料中，格式自拟，在合同签订前，招标人有权要求中标候选人提供相关证明材料。经查实，如声明与实际不符，将被取消中标资格。】

三、比选文件的获取

1.凡有意参加比选申请者，请于2025年6月10日起下载比选文件等开标前的有关资料宜。

2.比选文件发售期：2025年6月10日-2025年6月13日17:30

比选文件每套售价500元。

本招标项目仅供正式会员查看，您的权限不能浏览详细信息，请点击注册/登录，联系工作人员办理入网升级。

联系人：陈经理
手机：13718064756（微信同号）
电话：010-83551561
邮箱：kefu@gdtzb.com
QQ：1571675411