四川政府采购四川省成都市新津县卫生和计划生育局2017年安全等级保护建设服务政府采购项目竞争性磋商采购公告7160

　采购公告格式文本

　采购项目名称 新津县卫生和计划生育局 2017年安全等级保护建设服务政府采购项目 采购项目编号 以采购公告为准 采购方式 竞争性磋商 行政区划 新津县 公告类型 竞争性磋商采购公告 公告发布时间 2017 年 11 月 14 日 采购人 新津县卫生和计划生育局 更正公告 / 采购代理机构名称 四川凯亿工程管理咨询有限公司 项目包个数 1 各包描述

　包号 名称 采购预算 1 新津县卫生和计划生育局 2017 年安全等级保护建设服务政府采购项目

　32 万元

　详见附件。

　各包供应商资格条件 (一) 供应商应符合《中华人民共和国政府采购法》第二十二条的规定; 1. 具有独立承担民事责任的能力； 2. 具有良好的商业信誉和健全的财务会计制度； 3. 具有履行合同所必需的设备和专业技术能力； 4. 有依法缴纳税收和社会保障资金的良好记录； 5. 参加政府采购活动前三年内，在经营活动中没有重大违法记录； 6. 法律、行政法规规定的其他条件。

　(二) 供应商不得为“信用中国”网站(www.creditchina.gov.cn)、“成都信用”网站（www.cdcredit.gov.cn）中列入失信被执行人、重大税收违法案件当事人名单的供应商，不得为中国政府采购网(www.ccgp.gov.cn)四川政府采购网曝光台（www.sczfcg.com）政府采购严重违法失信行为记录名单中被财政部门禁止参加政府采购活动的供应商（处罚决定规定的时间和地域范围内）。

　(三) 供应商单位及其现任法定代表人、主要负责人不得具有行贿犯罪记录。

　(四) 本项目不接受联合体磋商。

　 磋商文件发售方式 现场发售。获取竞争性磋商文件时，供应商为法人或者其他组织的，只需提供单位介绍信、经办人身份证；供应商为自然人的，只需提供本人身份证；并将相应材料给采购代理机构留存。（注：身份证带原件查验，采购代理机构留存加盖单位公章的身份证复印件及单位介绍信原件；介绍信内容应清晰备注购买的项目名称、项目编号、购买单位联系方式（包括联系人姓名、手机号、传真号、电子邮箱），因以上信息购买人填写不完整或错误而造成的所有后果由购买人自行承担。）

　磋商保证金 金额：人民币 6000 元（大写：人民币陆仟元整）；

　交款方式：保证金应当以支票、汇票、本票或者金融机构、担保机构出具的保函等非现金形式提交。

　收款单位：四川凯亿工程管理咨询有限公司 开 户 行：中国工商银行股份有限公司成都棕北支行

　银行账号：4402 0221 0910 0101 388 交款及确认到账截止时间：2017 年 11 月 24 日下午 16:00。

　注：供应商必须按照上述交款方式进行办理，交款账户名称须与供应商名称一致。供应商未按照磋商文件要求提交投标保证金的，投标无效。

　交款及确认到账截止时间前须到代理机构进行确认。

　标书发售起止时间 2017 年 11 月 15 日至 2017 年 11 月 21 日（北京时间，10:00-17:00，法定节假日除外）

　标书售价 人民币 150 元/份（磋商文件售后不退, 磋商资格不能转让）。

　标书发售地点 成都市高新区天府大道北段 1700 号环球中心 E5 区 8 楼 808 号四川凯亿工程管理咨询有限公司。

　 递交响应文件截止时间和磋商时间 2017 年 11 月 28 日上午 11：00（北京时间）。

　递交响应文件地点 成都市高新区天府大道北段 1700 号环球中心 E5 区 8 楼 808 号四川凯亿工程管理咨询有限公司。

　 磋商地点 成都市高新区天府大道北段 1700 号环球中心 E5 区 8 楼 808 号四川凯亿工程管理咨询有限公司。

　现场考察或标前答疑会时间

　采购人地址和联系方式 采 购 人：新津县卫生和计划生育局，地

　址：新津县五津西路 52 号， 联 系 人：何老师 ，电

　话：028-82517372 。

　采购代理机构地址和联系方式 采购代理机构：四川凯亿工程管理咨询有限公司，地

　址：成都市高新区天府大道北段 1700 号环球中心 E5 区 8 楼 808 号 ，联 系 人：许女士 ，邮政编码：610041，电

　话：028-85179390 。

　采购项目联系人姓名和电话 联

　系

　人：许女士， 电

　话：028-85179390 。

　备注 本采购公告期限：从公告之日起 3 个工作日。新津县财政局，联系电话：028-82520054 ；备案表预算执行号：0001466 号；本项目采购预算：人民币 32万元；本项目最高限价：人民币 32 万元；报价不能超过本项目最高限价。采购项目的数量、简要技术要求或采购项目的性质，请详见附件。

　附件内容：

　 以正式发售 的 磋商 文件为准。

　一 、项目建设背景和总体要求

　为完善信息安全技术保障体系，落实安全责任。进一步提高信息安全保障能力，提升信息安全集中监管能力和水平，降低应用系统的运营风险，及时对网络安全事件进行有效应急响应。需对整体应用系统进行信息安全等级保护三级建设。

　在此次项目中，供应商须参照《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）等保三级要求，结合用户方现有业务系统情况进行建设，并协助用户完成信息安全等级保护三级测评。

　二 、 服务内容及要求

　（一）总体要求

　序号 项目描述 内容 备注 1 风险评估 根据《卫生行业信息安全等级保护工作的指导意见》，结合《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》对卫生局信息系统进行安全评估，输出《新津县卫计局信息系统风险评估报告》 、《新津县卫计局信息系统加固建议》。

　具体要求本章详细需求 2 渗透测试 使用各种综合应用工具及技术对采购人信息系统进行漏洞扫描和渗透测试，保障信息系统建设安全。输出《新津县卫计局渗透测试报告》。

　3 安全加固 根据《新津县卫计局信息系统风险评估报告》 、《新津县卫计局信息系统加固建议》结合《GB/T 22239-2008 信息系统安全等级保护基本要求》等保三级要求，根据采购人要求协助采购人完成技术方面的安全修复、系统加固等工作。

　4 管理体系建设 针对信息安全的管理制度体系进行建设，满足信息安全等级保护三级管理体系要求。

　5 日志收集与分析工具 提供日志收集与分析工具，对系统中日志进行收集与分析，解决安全设备、网络设备、系统、应用相互独立，信息孤岛问题。要求所投产品具备销售许可证与软件研发能力。

　（ 二 ）

　具体 要求

　（1）信息系统安全风险评估服务 信息系统安全风险评估服务准备阶段具体要求：

　 安全风险评估信息系统基本情况调研，获取系统所属软硬件资产情况，确定系统的范围，对象的选取和所需配合，并根据《信息安全风险评估规范》进行风险赋值，同步协助参与项目实施方案的研究、讨论和制定。

　1）对信息系统所涉及软硬件资产进行全面梳理，梳理系统软硬件关联关系。

　2）物理安全风险评估：对信息系统的物理环境进行评估。

　3）网络安全风险评估：对信息系统的承载网络进行评估，从网络整体结构、网络边界（包括外部和内部边界）及网络设备本身等方面对系统网络进行评估，包括网络全局和所涉及的重要网络设备。

　4）主机安全风险评估：对信息系统所涉及主机的操作系统、数据库系统、应用中间件系统进行评估，包括重要服务器、终端操作系统、数据库系统和应用中间件。

　5）应用安全风险评估：对现有信息系统的应用系统安全进行评估。

　6）数据安全与备份恢复评估：对信息系统的数据安全与数据备份恢复进行评估。

　7）安全管理评估：针对信息安全的管理制度体系及运作进行评估，包括对安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五大类。

　8）系统总体风险分析：根据获取的信息系统软硬件资产和分项评估中发现的风险情况，根据风险评估相关标准和规范进行总体分析。

　9）系统安全整改优化建议：与系统承建方、运维方沟通协调，根据信息系统现有风险隐患情况，结合系统未来的发展建设规划，提出切实可行的整改优化建议。

　10）网络架构合理性专项评估：对信息系统的承载网络架构（设备部署情况，策略配置情况）进行合理性分析。

　11）运维安全管理机制专项评估：对信息系统的安全管理制度体系情况、运维安全管理平台情况进行分析。

　12）信息安全运维体系建立咨询：从系统运维、安全运维的角度，梳理各类资产，并形成相应的变更制度。

　13）对安全风险评估实施过程中发现的安全风险隐患提出规范可行的安全措施和整改建议。输出《新津县卫计局信息系统风险评估报告》 、《新津县卫计局信息系统加固建议》。

　（2）信息系统渗透测试服务 渗透测试以黑客的角度，由系统外部对用户系统作深入的安全探测，针对信息系统存在的漏洞，先于攻击者自查发现并及时修补漏洞可有效减少来自网络的安全威胁。依托专业技术团队，采取安全工具扫描、人工分析等主动措施，从外部收集用户系统的相关信息，并探查出逻辑性更强、更深层次的漏洞，然后渗透到系统服务器取得信息，提交渗透测试报告，完整的记录整个测试过程与细节，证实系统有哪些系统有风险，并协助系统制定更为完善的安全防御措施。在进行授权对系统的修复完成之后提交渗透测试复查报告，对渗透及修复过程中的问题进行确认，在复查结束之后对系统进行回归测试。保护和提升信息系统安全性，有效避免和减少黑客攻击带来的安全威胁 。

　对采购人的信息系统进行一次全面的渗透测试，对发现的漏洞必须在 1 个工作日内提交漏洞详情，并协助系统管理员或开发单位整改，在整改后及时进行验证（重要信息系统由采购人确定）。

　1）项目信息收集，包括采购人信息系统基本情况调研；网络拓扑结构分析；端口扫描和目标系统提供的服务识别等。

　2）根据技术服务方案，在获取到采购人书面授权许可后，进行漏洞挖掘技术服务的实施，并且将实施范围、方法、时间、人员等具体的方案与采购人进行

　交流，并得到认同。在技术服务实施之前，做到让采购人对实施过程和风险的知晓，使随后的正式技术服务实施流程都在采购人的控制下。

　3）项目现场实施，漏洞挖掘专业技术人员使用各种综合应用工具及技术对重要信息系统进行漏洞扫描和渗透测试，挖掘出信息系统中存在的安全潜在漏洞。

　4）安全漏洞复查，渗透测试服务完成后，上报采购人渗透测试成果及整改措施。同时协助采购人对已发现的安全隐患进行修复，修复完成后对修复的成果再次进行复查，对修复的结果进行验证，确保修复结果的有效性。

　5）在项目服务期限内利用专用工具扫描与技术人员手工分析相结合的方式，及时发现采购人应用系统潜在的漏洞和隐患，并出具漏洞修复/整改建议书，协助采购人进行漏洞修复/整改，消除应用系统安全隐患。

　（3）信息系统整改加固阶段具体要求：

　1）同步参与项目实施方案的研究、讨论和制定； 2）根据《新津县卫计局信息系统风险评估报告》 、《新津县卫计局信息系统加固建议》结合《GB/T 22239-2008 信息系统安全等级保护基本要求》等保三级要求，提出规范可行的安全措施和整改建议，并协助开发单位或技术人员完成技术方面的安全修复、系统加固等工作； 3）配合采购人完成安全风险评估梳理汇总后的安全修复、整改及系统加固等工作，并协助采购人顺利完成应用系统安全等级保护定级、测评和备案工作，若因中标人原因造成等保测评不合格或备案不成功，采购人还将对中标人进行处罚。

　（4）管理体系建设 针对项目信息安全风险和采购人 安全体系建设已有成果，结合日常安全运维过程中存在的薄弱环节，在物理安全、网络安全、系统安全、数据安全、应用安全、终端安全、管理安全等不同层面，协助招标方建设完善的信息组织管理体系，从管理角度加强信息安全保障体系。满足《GB/T 22239-2008 信息系统安全等级保护基本要求》等保三级要求。

　（三）设施设备要求

　日志收集与分析工具

　1) 支持市面主流安全设备、网络设备、中间件、服务器、数据库、操作系统等不少于26 类 300 种日志对象的日志数据采集。

　2) 可查看每个资产设备本身产生的事件信息、关联告警信息，并且支持向下钻取，直接进入事件列表、关联告警列表。

　3) 可通过 SNMP Trap、Syslog、ODBC\JDBC、文件\文件夹、WMI、FTP、SFTP、NetBIOS、OPSEC 等多种方式完成日志收集功能。

　4) 采用基于具有自主知识产权的非关系型大数据存储架构，支持数据本地集中存储、网络存储以及大数据存储。

　5) 内置不少于 500 种报表模板（提供界面配置截图）。

　6) 提供可视化关联分析规则编辑视图，可根据实际业务编辑关联分析规则（提供界面配置截图）。

　7) 支持 BT 级数据交互式多条件查询,百亿级数据查询结果返回延时小于 10s。

　8) 支持基于时间轴展示数据分布，能够通过时间轴进行查询分。

　9) 支持自动生成日志源拓扑图，可视化的展示日志之间的行为相关关系。

　10) 具备动态网络事件关联与联动功能（提供国家权威机构出具的相关证明材料，材料中应包含“动态网络事件关联与联动”字样）。

　11) 具备基于对象的事件响应功能（提供国家权威机构相关证明材料，材料中应包含“基于对象的事件响应”字样）。

　12) 具备事件流转控制功能（提供国家权威机构相关证明材料，材料中应包含“事件流转控制”字样）。

　三 、 商 务要求

　1、付款方式：合同签订后，采购人根据项目实施情况在一年内向成交人支付 70%的合同款项，剩余 30%合同款项在验收合格后支付，具体支付细节双方在合同中协商约定。

　2、服务期限：合同签订后 15 天内到货、安装调试完毕并交付使用。

　3、验收要求：项目完成后通过安全等级保护三级测评视为验收合格。

　4、售后服务：

　1）为采购人提供日志收集与分析工具使用培训。

　2）提供原厂质保服务至少 1 年。