我校采取询价方式确定“会议技术支撑配套服务”项目的供应商,现面向社会公开进行询价采购,欢迎符合资格要求的商家参加。
一、采购预算
预算:人民币45000元整。
二、采购内容及要求
1、询价内容: 会议技术支撑配套服务。
2、系统主要服务参数要求详见附件。
三、供应商资格及要求
1、满足《中华人民共和国政府采购法》第二十二条规定,即:
(1)具有独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必需的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)参加政府采购活动前三年内,在经营活动中没有重大违法记录;
(6)法律、行政法规规定的其他条件。
(7)现场实地勘查
(8)满足附件1采购清单和附件2采购需求要求
2、单位负责人为同一人或者存在直接控股、管理关系的不同投标人,不得参加本项目同一合同项下的政府采购活动。
3、未被列入失信被执行人、重大税收违法案件当事人名单,未被列入政府采购严重违法失信行为记录名单。
四、投标文件要求及提交时间
1、投标人须提交以下资料:
(1)工商营业执照(复印件);
(2)税务登记证(复印件);
(3)单位资质证书(复印件);
(4)法定代表人身份证(复印件)、授权委托书及被委托人身份证(复印件);
(5)拟投入人员名单;
(6)报价表。
2、按照采购内容进行报价,报价包含完成采购内容及要求所需的所有费用(包括但不限于检测费、税费、运费等),报价文件需包括对本项目采购要求各项条款的响应及能提供的优惠条款,报价文件加盖单位公章。
3、请在投标文件封面列明投标单位、投标项目名称、联系人、联系电话。
联系人:邹老师 联系电话:027—87526248
提交投标文件的截止时间:2025年4月3日14:00时
附件1:采购清单
序号 |
项目 |
描述 |
单位 |
数量 |
1 |
专业安全服务渗透测试 |
通过人工黑盒的测试方式,模拟黑客的攻击手段,检测湖北终身教育平台和站群平台的网络安全状况,发现平台是否存在SQL注入、文件上传、弱口令、代码执行等可被利用的安全漏洞,评估平台抵御常见网络攻击的能力,为提升平台安全性提供依据,在评估完成后针对渗透测试中发现的安全漏洞,提出具体的改进建议,提供渗透测试报告和改进建议。 |
重要系统 |
2 |
2 |
安全保障网络安保服务 |
在重要活动的特殊时期,安排1名经验丰富的网络安全专家进行安全值守,监控平台的安全状况。通过对平台的网络流量、系统日志、用户活动等进行监测,及时发现异常流量、可疑登录行为、恶意攻击等安全威胁。对网络安全设备产生的扫描探测、SQL注入、跨站脚本攻击、木马后门上传等各类网络安全告警事件进行溯源分析和风险验证,提供解决方案,协助完成安全事件处置和安全整改。 |
人/天 |
5 |
3 |
交换机 |
1.48个10/100/1000M自适应电口,4个10G/1G SFP+光口 2.交换容量432Gbps/4.32Tbps,包转发率166Mpps; 3.支持静态路由、RIP、ISIS、OSPF等动态路由协议; 4.支持802.1X、MAC认证,可设置端口不同认证模式;
5.品牌要求国产一线品牌,包括但不限于华为、H3C;
6.支持 IP、MAC、端口、VLAN 多种组合绑定方式;
7.支持telemetry技术,实时采集设备数据; |
台 |
2 |
附件2:采购需求
一、专业安全服务渗透测试
通过人工黑盒的测试方式,模拟黑客的攻击手段,检测湖北终身教育平台和站群平台的网络安全状况,发现平台是否存在SQL注入、文件上传、弱口令、代码执行等可被利用的安全漏洞,评估平台抵御常见网络攻击的能力,为提升平台安全性提供依据,在评估完成后针对渗透测试中发现的安全漏洞,提出具体的改进建议,提供渗透测试报告和改进建议。
为保障服务质量本项目需采用安全行业原厂商服务,服务人员和工具需满足以下要求:
1.项目经理具备项目管理专业人士认证(PMP)、云计算安全知识认证(CCSK)、网络与信息安全管理员,网络安全应急响应工程师(CSERE)以上的一项或多项。
2.技术负责人具备信息系统安全认证专业人员(CISSP)和注册信息安全专业人员(CISP)。
3.原厂服务商须具有国家互联网应急中心CNCERT网络安全应急服务支撑单位证书(甲级)、湖北省网信办网络安全应急技术支撑单位证书和武汉市网络安全应急技术支撑单位证书
4.本项目原厂供应商在服务过程中所使用的安全服务工具需要为自主研发产品,且原厂服务商参与编写《GA/T 1139-2014 信息安全技术 数据库扫描产品安全技术要求》。(须提供证明文件并加盖公章)
5.根据应答人所提供系统漏洞扫描产品必须为原厂工具(需提供原厂售后服务承诺函/授权书),需满足如下条件:
5.1系统漏洞特征库大于260000条;提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与CVE、CNNVD、Bugtraq、CNCVE、CNVD等国际、国内漏洞库标准兼容。(须提供产品界面截图并加盖公章)
5.2支持云平台扫描,漏洞覆盖OpenStack、KVM、Vmware、Xen等主流的云计算平台。(须提供产品界面截图并加盖公章。)
5.3扫描结果在产品界面中支持查看目标应用返回的软件版本,可以方便与漏洞描述对比进行漏洞验证。(须提供产品界面截图并加盖公章。)
5.4具备弱口令扫描功能,支持弱口令扫描协议数量≥22种,包括FTP、SMB、RDP、SSH、TELNET、SMTP、IMAP、POP3、Oracle、MySQL、MSSQL、DB2、REDIS、MongoDB、Sybase、Rlogin、RTSP、SIP、Onvif、Weblogic、Tomcat、SNMP等协议进行弱口令扫描,允许用户自定义用户、密码字典。
5.5为保证能够提供准确可靠的自动化渗透能力,要求提供漏洞扫描方法和自动化渗透的专利证明不少于8种。(须提供产品界面截图、授权专利证明并加盖公章。)
5.6漏洞探测功能支持使用POC对资产进行批量漏洞探测。指纹/POC探测扫描模式支持只识别指纹、识别指纹再进行POC探测、不需要指纹前置直接POC探测三种类型。
(须提供产品界面截图并加盖公章。)
6.应急响应分析产品工具(需提供原厂售后服务承诺函/授权书。)具备的能力满足以下条件:
6.1支持设置线索,发现关键可疑行为,包括IP线索、关键词线索、文件名线索、时间线索的设置;(须提供产品界面截图并加盖公章。)
6.2支持按照策略进行自动分析,包括非授权时间登录、口令爆破、恶意启动项、DDOS、可疑账号、木马回连、webshell攻击、SQL注入、java反序列化攻击等主机安全事件、网站安全事件、病毒感染事件等高危、中危、低危、信息等级的安全事件进行分析,形成可疑行为事件;(须提供产品界面截图并加盖公章。)
6.3支持根据所提供的线索自动发现关键可疑行为并进行标记;(须提供产品界面截图并加盖公章。)
6.4事件分析系统配套的数据采集工具支持Ubuntu、opensuse、Debian、centos的二进制文件下载。(须提供产品界面截图并加盖公章。)
二、安全保障网络安保服务
在重要活动的特殊时期,安排1名经验丰富的网络安全专家进行安全值守,监控平台的安全状况。通过对平台的网络流量、系统日志、用户活动等进行监测,及时发现异常流量、可疑登录行为、恶意攻击等安全威胁。对网络安全设备产生的扫描探测、SQL注入、跨站脚本攻击、木马后门上传等各类网络安全告警事件进行溯源分析和风险验证,提供解决方案,协助完成安全事件处置和安全整改。
本项目支撑团队人员中有4名及以上人员同时具备CISP证书和CSERE(网络安全应急响应工程师)证书。
三、接入交换机
交换容量≥300Gbps,提供官网截图和链接证明。
包转发率≥102Mpps,提供官网截图和链接证明。
固化10/100/1000M自适应以太网端口≥48个, 1G/10G SFP+接口≥4个
支持IPv4和IPv6的静态路由、RIP/RIPng、OSPFv2/OSPFv3等三层路由协议,提供官网截图和链接证明。
要求所投设备支持1对1、基于流、基于VLAN的镜像;支持CPU保护功能,能限制非法报文对CPU的攻击,保护交换机在各种环境下稳定工作。
支持专门基础网络保护机制,能够限制用户向网络中发送数据包的速率,对有攻击行为的用户进行隔离,保证设备和整网的安全稳定运行,提供官网截图和链接证明。
提供工信部设备进网许可证。
湖北开放大学数字化发展中心
2025年3月28日
