广东冠豪高新技术股份有限公司
信息安全运维服务项目
招标书
招标单位:广东冠豪高新技术股份有限公司
招标编号:GH-2020-2-26
编 写:
审 核
批 准:
编制日期:2020年2月5 日
广东冠豪高新技术股份有限公司
信息安全运维服务项目招标文件
为了应对信息安全风险,增强系统的安全防护能力,有效抵御内部和外部威胁,使广东冠豪高新技术股份有限公司(包括下属子公司浙江冠豪新材料有限公司、湛江冠豪纸业有限公司)主要信息系统在现有运行环境下风险可控,为企业提供安全、稳定的业务服务。我司现对本项目公开招标,现将有关事项公告如下:
一、招标内容:
广东冠豪高新技术股份有限公司信息安全运维服务项目。
招标内容详见附件一《用户需求书》。
二、投标资格:
投标方须具备以下资格条件:
1、须具备信息安全风险评估服务(一级)资质认证。
2、具备安全服务一级资质和应急响应一级资质。
三、投标方式:
1、投标文件的组成
1.1 投标书包括(但不限于):
(1)投标书(见附件二格式)
(2)投标价格表(见附件三格式)
(3)偏离表(见附件四格式)
(4)投标书附件(须有完整的服务方案、付款方式等内容)
1.2 资格证明文件包括(但不限于):
(1)最新年检的营业执照及上述投标资质要求相关证书(复印件加盖公章)
(2)法人代表授权书(见附件五格式)
(3)投标方情况表
(4)同类业绩介绍
(5)质量体系认证书
(6)投标方最近一期资产负债表
1.3 投标文件必须由法人代表或委托人签署(页签),投标文件中投标书一式4份,其中正本1份,副本3份。资格证明文件1式1份。如果正本与副本不符,以正本为准。
1.4 投标报价
(1)所有报价均以人民币报价(含税价),注明税率。
(2)投标方要按投标的内容填写单价、总价及其他事项,并由法人代表或授权代表签署。
(3)报价应包含招标标的及服务要求中的所有费用、履行合同所需的交通、食宿费用。
(4)最低报价不能作为中标的保证。
1.5 投标书密封袋内装投标书正副本共一式4份,封口处应有投标全权代表的签字及投标单位公章,封皮上写明招标项目名称,并注明“开标时起封”字样;资格证明文件袋内装资格证明文件1份,封皮上写明招标项目名称及投标方名称,并注明“资格证明文件”字样。
1.6 当投标方的资质文件出现以下情形时,招标方有权作废标处理:
(1)未能按照要求提供资质证明文件
(2)资格证明文件未与投标文件分开装订。
(3)资格证明文件未盖投标单位的公章(必须是法人公章)
(4)投标单位借用其他单位的资质,不能说明合法原因的。
2、投标地点:广东冠豪高新技术股份有限公司采购部(地址:湛江市东海大道313号)。
3、投标截止时间:2020年3月20日下午3时。
3.1 投标单位必须将投标文件密封后(封面须注明投标项目名称、投标方名称、联系方式并加盖公章),在截止时间前送达(寄达)投标地点。
3.2 在投标截止时间以后送达的投标文件,招标方有权拒绝接收。
4、投标保证金及支付
4.1、投标保证金
4.1.1 投标方应提供1万元人民币的投标保证金。
4.1.2 投标保证金应在开标前1天汇入招标方账户。
4.1.3 中标方的保证金在与招标方签定合同后,留作履约保证金,落标方的保证金在招标方与中标方签定合同后10日内无息退还。
4.2、招标方账户
开户名:广东冠豪高新技术股份有限公司
开户行:工商银行湛江开发区支行
账 号:2015020809022105161
三、开标及评标
1、开标日期:2020年3月20日下午3时,地点:湛江市东海大道313号。
1.1 招标方按招标文件规定的时间、地点主持公开开标。
1.2 开标时查验投标文件密封情况,确认无误后拆封唱标。
1.3 招标方在开标仪式上,将公布投标方的名称、投标价格及其投标的修改、投标的撤回及其有关声明等,招标方将做唱标记录。
2、初审
2.1 初审内容为投标文件是否符合招标文件的要求、内容是否完整、价格构成有无计算错误、文件签署是否齐全。
2.2 与招标文件有重大偏离的投标文件将被拒绝。重大偏离系指明显不能满足招标文件的要求。这些偏离不允许在开标后修正。但招标方将允许修改投标中不构成重大偏离的微小的,非正规的,不一致或不规则的地方。
2.3 招标方对投标文件的判定,只依据投标内容本身,不依靠开标后的任何外来证明。
3、评标
3.1 招标方根据招标特点组建评标委员会,对具备实质性响应的投标文件进行评估和比较。
3.2 评标方法:综合评标法
3.3评标原则
评标严格按照招标文件的要求和条件进行。比较报价,同时考虑以下因素:
(1)过程质量控制。
(2)技术服务。
(3)经营信誉、业绩。
4、中标通知
4.1 在投标有效期内,招标方以书面形式公布所选定的中标方,通知也可以电子邮件、传真的形式,需要时可以书面确认。
4.2 中标方应按中标通知中的时间、地点与招标方签定中标经济合同,否则按开标后撤回投标处理。
4.3 招标文件、中标方的投标文件及评标过程中有关澄清文件均可作为合同附件。
四、声明:
1、投标有效期:自开标日起30天内,投标书应保持有效。有效期短于这个规定期限的投标将被拒绝。
2、开标后投标人不得撤回投标。不遵守招标方投标制度规定的投标人,投标作废。
3、招标方有接受或拒绝所有投标的权力。
4、最低报价不作为中标保证,招标方对落标方的落标原因不作解释。
五、联系方式
1、联系人:陈忠,联系电话:0759-2370166
2、联系地址:湛江市东海大道313号广东冠豪高新技术股份有限公司
3、技术联络人:刘红昌,联系电话:13822585955
4、招标方账户
开户名:广东冠豪高新技术股份有限公司
开户行:工商银行湛江开发区支行
账 号:2015020809022105161
广东冠豪高新技术股份有限公司
二〇二〇年二月五日
附件一:
一、项目概况
本次安全服务项目必须能够准确而全面评估出用户目前计算机信息系统的安全现状,全面反映计算机信息系统的各种风险隐患,科学分析当前现状和国家及行业安全目标之间的差距,从而为用户有关信息系统安全的决策提供依据,保障将来上线的应用系统安全可靠地运行,保障信息系统的机密性、完整性和可靠性。根据用户安全需求,具体以安全服务的方式,发现存在的安全问题,提出相关解决方案和建议,为优化各系统的安全管理和维护工作做好基础准备。
二、服务范围和周期
本次信息安全服务范围涉及广东冠豪高新技术股份有限公司和浙江冠豪新材料有限公司、湛江冠豪纸业有限公司(以下合称“冠豪公司”)的以下基础信息系统设施:信息系统服务器、网络交换设备、网络安全设备、信息系统软件平台、重要应用信息系统。
服务周期: 服务周期为 壹 年。
三、服务内容及报价
服务名称 | 内容简介 | 单位 | 数量 | 服务形式 | 价格 | |
安全通告 | unix系统安全问题通告 | 每月提供汇总,随时安全通告 | 次/月 | >=1 | 邮件/电话形式通告 |
|
windows系统安全问题通告 | 每月提供汇总,随时安全通告 | 次/月 | >=1 | |||
网络安全问题通告 | 每月提供汇总,随时安全通告 | 次/月 | >=1 | |||
重大安全漏洞预警 | 对于影响范围大、破坏性高的安全漏洞进行实时安全预警通告 | 次/月 | >=1 | |||
7x24小时电话安全咨询 | 主要提供安全技术类的建议或者普通安全事件的远程沟通处理, 包括协助做好安全专项检查工作,协助用户跟进安全项目建设等。 | 次/年 | 不限 | 根据客户需求,现场或通过电话或邮件解决用户遇到的安全问题 |
| |
7x24小时安全事件紧急响应服务 | 紧急响应服务随时提供包括远程紧急响应服务和现场紧急响应服务。每次提供相应的响应报告,找出根源并提供可行解决方案 | 次/年 | 不限 | 远程 |
| |
次/年 | 2 | 现场 | ||||
定期漏洞扫描服务 | 定期对全网进行一次安全扫描检查,提供扫描报告和分析 | 次/季度 | 1 | 远程 |
| |
安全巡检 | 安全设备安全检查 | 定期对安全设备进行分析和审计,包括对防火墙、IPS、防病毒系统、日志分析系统等的运行状态、运行事件、关键配置文件进行收集、分析,并提交相应的安全建议。 | 次/季度 | 1 | 现场 |
|
本地系统安全检查 | 定期对操作系统、应用系统等进行安全配置、漏洞木马等安全检测,找出现网中存在的安全隐患 | 次/季度 | 1 | |||
本地网络设备安全检查 | 定期检查网络设备安全配置、漏洞等安全检测,提供整改方案 | 次/季度 | 1 | |||
安全加固 | 服务器安全加固 | 根据系统安全评估结果,对存在安全威胁的服务器、网络设备、安全设备、数据库、操作系统等进行安全加固,包括系统漏洞、配置、恶意代码排查等威胁加固 | 次/季度 | 1 | 现场 |
|
安全运维 | 安全设备日志分析 | 定期对现有网络中部署的安全设备进行有效的日志分析,找出系统存在的安全威胁,并形成日志分析报告。 | 次/季度 | 1 | 现场 |
|
核心服务器日志分析 | 定期对用户核心服务器群的日志进行分析和备份,指出用户核心服务器群所存在的风险后问题所在。 | 次/季度 | 1 | 现场 | ||
网络设备日志分析 | 定期对现有的网络架构进行分析,对存在的故障隐患点、不合理节点等进行建议整改 | 次/季度 | 1 | 现场 | ||
网络架构分析 | 定期对现有的网络架构进行分析,对存在的故障隐患点、不合理节点等进行建议整改 | 次/季度 | 1 | 现场 | ||
渗透测试 | 对服务范围内的系统进行渗透测试 | 次/年 | 1 | 现场 | ||
安全培训 | 对招标人的信息管理员开展安全运维培训 | 次/年度 | 1 | 现场 |
| |
对招标人的电脑使用人员开展安全培训 | 次/年度 | 1 | 现场 |
| ||
安全应急演练 | 对招标人的信息管理员 | 次/年度 | 1 | 现场 |
| |
合计: 元(包含开票税率 %) |
说明:
1)投标人的报价内容是根据招标人提供的用户需求书进行的完整报价,服务内容可根据投标人实际情况增加。
2)以上报价为综合报价,为完成整个项目全部工作的全包价(包括所有应缴税款),当中包含招标文件要求的全部服务、全额含税发票、雇员费用、项目改造费用、培训费用、合同实施过程中的应预见和不可预见费用等所有费用,及人员保险和提供完成这些工作所需的设备、材料、工器具以及其他相关服务的全部责任和义务。投标人应充分考虑招标文件规定的所有风险、责任等发生的费用。
3)如果投标人使用了涉及第三方知识产权或专利时,投标人应遵循合法途径让业主获得该产品的合法使用权,确保业主使用该第三方知识产权或专利时不产生侵权行为,其使用受到法律保护。
四、项目需求
(一)、项目基本要求
为更好地保障冠豪公司各业务系统的正常运行,全面提升冠豪公司信息系统的安全保护水平,进行“信息安全运维服务”工作,从而完善安全管理机制;通过安全服务的引入,进一步建立健全安全管理策略,实现安全风险的可知、可控和可管理;通过建立信息安全风险评估机制,实现信息安全风险的动态跟踪分析,为冠豪公司信息安全整体规划提供科学的决策依据,进一步加强冠豪公司整体安全防护能力,全面提升冠豪公司信息系统整体安全防范能力,极大提高冠豪公司系统网络与信息安全管理水平;通过深入挖掘网络与信息系统存在的脆弱点,并以信息系统为关键要素,对现有的信息安全管理制度和技术措施的有效性进行评估,不断增强系统的网络和信息系统抵御风险安全风险能力,促进冠豪公司安全管理水平的提高,增强信息安全风险管理意识,培养信息安全专业人才,为冠豪公司各项业务提供安全可靠的信息支撑平台。
(二)、信息化现状
1、应用系统:NC-ERP系统(V6.5)(已完成二级等保测评),MES系统(已完成二级等保测评),金蝶K3系统(V10.3),门户网站(已完成二级等保测评)。
2、数据库:SQL server2005数据库,SQL server2008数据库,SQL server2008 R2数据库,oracle 11g系统数据库。
3、外部数据交换:门户网站。
4、操作系统:应用系统和数据库涉及到的主机操作系统。
5、安全系统包括:防火墙、入侵防御系统、网页防篡改、防病毒、入侵检测系统、日志审计系统、无线控制器、上网行为管理,终端防病毒软件等。
6、网络设备:核心交换机2台,接入交换机3台。
7、服务器:16台。
8、配电系统:供电系统、UPS、应急供电系统。
9、机房环境系统:机房空调、机房送回风空调循环系统、机房防火系统、机房防雷系统、防静电系统等。
(三)、全面安全风险评估服务需求
1、信息安全运维服务的范围应全面,涉及到网络信息系统的各个方面,包括物理环境、网络结构、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技术的应用状况以及管理体系是否完善等等;同时对管理风险、综合安全风险以及应用系统安全性进行评估。
2、对网络架构、网络安全设备评估范围包括:业务办公内网、业务外网、办公外网、外部单位联网等;分析网络拓扑结构是否清晰划分网络边界;评估网络的安全区域划分以及访问控制措施。
3、对资产自身存在的脆弱性进行收集和整理。
l 物理环境包括:UPS、变电设备、空调等;
l 网络设备:检查交换机安全漏洞和补丁的升级情况,各VLAN间的访问控制策略,口令设置和管理,口令文件的安全存储形式,配置文件的备份等;核心路由器1台,检查操作系统是否存在安全漏洞,配置方面,检测端口开放、管理员口令设置与管理、口令文件安全存储形式、访问控制表,是否能对配置文件进行备份和导出,关键位置路由器是否有冗余配置;
l 安全设备包括:防火墙、入侵防御系统、网页防篡改、防病毒、入侵检测系统、日志审计系统、无线控制器、上网行为管理等,查看安全设备的部署情况,查看安全设备的配置策略,查看安全的日志记录,通过漏洞扫描系统对安全进行扫描,通过渗透性测试检安全配置的有效性;
l 重要服务器包括:服务器16台,登录安全检测,用户及口令安全检测,共享资源安全检测,系统服务安全检测,系统安全补丁检测,日志记录审计检测,木马检测;
l 核心业务系统包括:对公司门户网站进行渗透性测试;对NC-ERP、MES及金蝶K3等核心业务系统进行渗透性测试;对网络边界进行渗透性测试;对内网进行渗透性测试。
4、结合安全防控要求对信息安全制度提供合理化建议和协助修订,包括:对终端计算机访问互联网的相关制度;对终端计算机接入内网的相关制度;使用移动存储介质的制度;系统的业务应用人员、系统的开发、维护、管理人员、系统开发、维护人员相关安全管理制度等。
5、对用户单位网络信息系统进行全面评估后应在10日内出具评估报告和安全加固方案,另外如用户单位有紧急需求时可随时安排制定安全加固方案。安全加固方案应覆盖用户单位IT系统中所有服务器和网络设备,以及不同类别的操作系统、数据库和应用系统。安全加固方案不能影响用户单位各项业务的正常进行,如果加固过程需要暂时中断业务,须设计具体的解决方案。同时,随着信息技术的发展,当新的漏洞出现时(以设备或系统官方公告为准),服务单位有责任和义务告知用户,并配合用户判定是否进行相应的加固工作。
6、评估需采用专业工具扫描(漏洞扫描、数据库扫描采用产品必须为商业化产品)、人工评估、渗透测试三种相结合的方式,对各种操作系统进行评估,包括:帐户与口令安全、网络服务安全、内核参数安全、文件系统安全、日志安全等;从应用系统相关硬件、软件和数据等方面来审核应用所处环境下存在哪些威胁,根据应用系统所存在的威胁,来确定需要达到哪些系统安全目标才能保证应用系统能够抵挡预期的安全威胁。其他评估内容应至少包括以下几方面:
l 信息探测类 | l 网络设备与防火墙 |
l RPC服务 | l Web服务 |
l CGI问题 | l 文件服务 |
l 域名服务 | l Mail服务 |
l Windows远程访问 | l 数据库问题 |
l SQL 注入 | l 跨站脚本攻击 |
l 后门程序 | l 其他服务 |
l 网络拒绝服务(DOS) | l 其他问题 |
五、验收标准(重点内容,将作为项目实施效果的评价依据)
项目计划制定,评估方案制定,技术安全评估的物理安全和管理安全评估结果记录,技术安全和管理安全评估的访谈记录或录音,工具选择接入点记录表格,技术安全评估的网络、主机、应用评估结果记录,工具测试完成后的电子输出记录,备份的测试结果文件,评估的网络、主机、应用评估结果分析报告,提供包括但不限于《安全加固报告书》、《基线核查报告》、《安全漏洞扫描报告》、《IP地址段安全漏洞扫描报告》、《应急响应报告报告》、《渗透测试报告》、《渗透测试复测报告》、《威胁分析和处置报告》、《威胁预警报告》、《最新威胁情报预警》、《威胁处置报告》、《威胁管理报告》及培训记录等。所有输出内容需经双方共同确认并签字。
六、工期要求
中标人须在服务期内按照服务项目、服务频次保质保量开展服务。同时,需在10日内提供相关输出物。
七、付款方式
1、预付款:签订合同后,招标人向中标人支付合同价的20%预付款;
2、以三个月为一期,一期服务结束并进行阶段性验收后,招标人向中标人支付至合同价的40%;
3、二期服务结束并进行阶段性验收后,招标人向中标人支付至合同价的60%;
4、三期服务结束并进行阶段性验收后,招标人向中标人支付至合同价的80%;
5、本项目全部服务完成后,招标人向中标人支付至合同价的100%。
附件二:
投 标 书
致:___________________________________
为响应贵方____________(招标编号)招标项目,签字代表__________ (姓名、职务)经正式授权并代表投标人____________________ (投标方名称)提交投标文件,包括《报价表》与投标保证金转账凭证,投标保证金金额为人民币(大写)____ ____元。
据此函,签字代表宣布同意如下:
1、投标人将按招标文件的规定履行合同责任和义务;
2、投标人已详细审查全部招标文件,完全理解并同意放弃所有不明及误解权利;
3、投标人同意没收投标保证金的条款;
4、投标人同意提供与投标有关的一切数据或资料,完全理解招标方不一定要接受最低价格的投标或收到的任何投标;
5、与本投标有关的一切正式往来请寄:
地址:_______________________ 邮编:______________
电话:_______________________ 传真:_____________
电子邮件:
投标人代表姓名、职务:____________________________
投标人名称(公章):______________________________
投标人代表签字:_________________
日期:______ 年___ 月___ 日
附件三:
报价 表
报价内容 | 广东冠豪高新技术股份有限公司信息安全运维服务项目 |
总报价 | 拾 万 仟 佰 拾 元整;¥ |
付款方式 |
|
承诺 | 1、报价为含税价。 2、报价包含投标及履行所发生的所有费用。 |
说明 | 1、在报价的大小写不一致时,以大写为准; 2、无单位公章作为无效报价。 |
投标人(公章): 代表人(签字):
日期: 年 月 日
附件四:
商务规范偏离表
序号 | 标书要求 内容条款 | 招标文件商务规范、要求 | 投标文件对应规范 | 备 注 |
|
|
|
|
|
|
|
|
|
|
技术规范偏离表
序号 | 标书要求 内容条款 | 招标文件技术规范、要求 | 投标文件对应规范 | 备 注 |
|
|
|
|
|
|
|
|
|
|
附件五:
投标人法定代表授权书
XXXX有限公司:
(投标人名称)是符合中华人民共和国法律的企业法人,法定住所地 ,法定代表人(姓名和职务) 。
现就贵公司XXXX信息系统建设项目,由 (法定代表人姓名) 授权 (被授权人姓名和职务)代表我公司全权办理上述项目的投标、谈判、签约等具体工作,并签署全部相关文件、协议及合同。
我公司对被授权人的签名及在授权范围内的行为负全部责任。
在撤销授权的书面通知到达贵公司前,本授权书一直有效。被授权人在授权书有效期内签署的所有文件不因授权的撤消而失效。
投标人(公章):
授权人签名: 被授权人签名:
日期: 日期: