深圳会展中心计算机信息网络安全服务采购项目竞争性谈判邀请通知

深圳会展中心计算机信息网络安全服务项目

竞争性谈判邀请通知书

一、单位名称：深圳会展中心管理有限责任公司（以下简称“甲方”） 二、单位地址：深圳市福田区福华三路 深圳会展中心 三、项目名称：深圳会展中心计算机信息网络安全服务采购 四、项目介绍：

（一）项目概况

随着中国国际高新技术成果交易会（以下简称“高交会”）的影响日益广泛，会展中心展会数量和规模不断扩大，会展中心计算机网络规模和结构日趋复杂，对外服务不断丰富，计算机网络系统所承受的安全威胁也越来越大。安全、可靠的计算机网络系统在支撑和保障高交会及其它展会的成功举办方面将发挥越来越重要的作用。为确保高交会的顺利举办以及会展中心日常网络安全，需要聘请专业信息网络安全公司开展信息网络安全风险评估、信息安全监控，应急响应以及高交会期间驻场值守等专业信息网络安全服务工作。现甲方拟采用“竞争性谈判”的方式，选定该项目合作单位，项目具体要求及数量详见本通知书第六项。

（二）项目目的

1. 发现会展中心网络、主机、应用存在的安全漏洞并修复。

2. 重点保障高交会召开期间高交会及会展中心相关网站等信息系统安全，及时发现攻击行为，把风险消灭在萌芽状态，确保高交会的顺利召开。

3. 保障会展中心网及信息系统的日常安全，定期开展风险评估、安全巡检等日常信息安全服务工作。

4. 出现信息安全事件时，保证有充足的技术力量及时处理，同时能够及时

协调信息安全主管部门的支持。

（三）网络拓扑结构

1. 网络拓扑图

2. 设备及应用数量 序号 1 2 设备名称 SUN服务器 PC服务器 数量（台） 8 18 主要应用 Oracle数据库、Web网站、票证系统等 邮件、DNS、DHCP、Mysql、MSsql2008、

垃圾邮件过滤、行为审计、OA、BBS、Web网站、FTP、日志、Radius认证、会刊系统等

五、实施地点：深圳会展中心 六、 项目要求及数量

（一）商务需求 序号 需求名称 需求说明 1. 参加单位必须为中华人民共和国境内注册且合法运作的企业（企业营业执照经营期限处于有效期内，2012年通过工商年度检查，提供营业执照复印件并加盖公章），具有相关经营范围，在法律和财务上独立。 2. 参加单位注册资金必须为人民币500万元(含)以上。（营业执照上无注册资金的需提交注册资金证明） 3. 参加单位必须具有中国信息安全测评中心颁发的信息安全服务资质（安全工程类）或广东省公安厅颁发的信息安全服务类资质。 1 资质要求 4. 参加单位如非深圳注册单位，须在深圳市内设有常驻服务机构。（提供参加单位在深分支机构（或分公司）营业执照副本复印件加盖公章） 5. 参加单位必须有30人以上的技术服务人员（提供深圳社保证明）。 6. 参加单位的投标代表应为单位法人或经法人授权的该单位员工。（需提供法人证明书、法人授权书及员工证明文件，被授权人身份证复印件，如单位法人为本项目投标代表，则仅提供法人证明书） 7. 本项目不接受联合体投标。 8. 参加单位信息安全服务类项目合同金额100万元以上案例不少于1个（提供相关证明资料）。 2 服务期间 服务期为1年。 合同签订后15个工作日内支付合同金额的70%，合同期满后15个工作日3 付款方式 内支付合同金额的30%。 1. 本项目报价以人民币为结算币种，报价单须包含全年主要工作内容、工4 报价要求 作时间、人员数量及单价，包括项目过程中使用的专业软件、工具、人工、辅料等相关费用。 不可偏离 不可偏离 不可偏离 不可偏离 偏离选项

2. 本项目限价为人民币15万元，超过限价的投标无效。 3. 本次投标的费用由投标单位自理。 （二）技术需求 序号 服务内容 需求说明 每年进行2次信息安全风险评估，其中一次需在高交会召开前一周完信息安全1 风险评估 测试。 网络安全性测试按结构安全、网络访问控制、网络安全审计、边界完整性检查、网络入侵检测、恶意代码防范、网络设备防护、网络安全管理、网络相关人员安全管理等逐项检测，并结合对现场人员的抽查记录，进行统计分析，对各项评价内容给出评价。 2.1 结构安全测试是根据网络拓扑图，在现场检测网络安全路由器和防火墙的相应配置及网络冗余和备份情况，并对相应的各项评价内容给出评价。 2.2 网络访问控制测试是在现场环境下针对访问控制、流量控制和会话控网络安全2 检测 项评价内容给出评价。 2.3 网络安全审计测试是在现场环境下针对日志信息和审计工具等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。 2.4 边界完整性测试是在现场环境下针对内外网非法连接阻断和定位进行检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。 2.5 网络安全中的恶意代码防范测试是在现场环境下针对防护软件的部制等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各不可偏离 成，风险评估重点包括网络安全检测、主机安全检测、应用安全检测及渗透不可偏离 偏离选项

署、补丁与漏洞的更新等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。 2.6 网络设备防护测试是在现场环境下针对设备登录限制、权限限制等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。 2.7 网络安全管理测试是在现场环境下针对参数设置、漏洞扫描和传输加密等进行逐项检测，特别是针对移动办公应用系统的网络通讯安全性。结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。 2.8 网络相关人员安全管理测试是在现场环境下针对人员配备、责任划分、人员管理等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。 主机安全性测试按身份鉴别、访问控制、安全审计、系统保护、入侵防范、恶意代码防范、资源控制、主机安全管理等逐项检测，并结合对现场人员的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。 3.1 主机安全的身份鉴别测试是在现场环境下针对登录策略、管理员设置、口令安全性等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相主机安全3 检测 3.2 主机安全的访问控制测试是在现场环境下针对主机信任关系、访问控制范围等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。 3.3 主机安全的安全审计测试是在现场环境下针对日志信息、日志保护、日志权限等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应应表格的各项评价内容给出评价。 不可偏离

表格的各项评价内容给出评价。 3.4 系统保护测试是在现场环境下针对系统备份、主机加固、安全配置等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。 3.5 入侵防范测试是在现场环境下针对入侵防范记录、关闭服务、最小安装原则等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。 3.6 主机安全中的恶意代码防范测试是在现场环境下针对防范软件的部署，相关补丁更新、漏洞扫描等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。 3.7 主机安全的资源控制测试是在现场环境下针对连接控制、资源监控、预警等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。 3.8 主机安全管理测试是在现场环境下针对参数设置、漏洞扫描、系统补丁、操作日志等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价、检查是否有部署主机完整性检测程序。 3.9 主机相关人员安全管理测试是在现场环境下针对人员配备、责任划分、人员管理等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。 应用安全性测试按身份鉴别、Web页面安全、访问控制、安全审计、应用安全4 检测 编码安全、电子认证应用等逐项检测，并结合对现场人员的抽查记录，进行剩余信息保护、资源控制、应用容错、报文完整性、报文保密性、抗抵赖、不可偏离

统计分析，按规定对相应表格的各项评价内容给出评价。除此之外，还需对应用接口进行安全性检测。 4.1 应用安全的身份鉴别测试是在现场环境下针对登录策略、管理员设置、口令安全性等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。 4.2 Web页面安全测试是在现场环境下针对页面安全、网站安全状况等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。 4.3 应用安全的访问控制测试是在现场环境下针对关键数据存放、访问权限设置等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。 4.4 应用安全的安全审计测试是在现场环境下针对日志信息、日志保护、日志权限等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。 4.5 应用安全的剩余信息保护测试是在现场环境下针对过期信息、过期文档等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。 4.6 应用安全的资源控制测试是在现场环境下针对资源的分配和预警等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。 4.7 应用容错测试是在现场环境下针对数据有效性、相应容错机制等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内

容给出评价。 4.8 报文完整性测试是在现场环境下针对通信报文有效性、通信完整性说明等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。 4.9 报文保密性测试是在现场环境下针对报文或会话加密、通信异常处理等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。 4.10抗抵赖测试是在现场环境下针对原发和接受证据进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。 渗透测试的目的在于挖掘暴露在外的安全隐患，明确安全隐患的破坏范围。本项目中，渗透测试的工作重点是尽可能地模拟黑客使用的漏洞发现技5 渗透测试 术和攻击手段，对被测信息系统的网络、系统、主机、应用的安全性作深入的探测，发现信息系统最脆弱的环节。 6.1 网站安全监控 监控时间：从高交会召开前一天到闭幕（2014年11月15日-2014年11月21日）。 监控周期：7×24小时 信息安全6 监控 网站安全监控内容： 1) 每小时一次对网站状态检测，检查网站是否能正常运行。 2) 每小时一次对网站篡改检测，检查网站是否被篡改。 6.2 网络安全监控 监控方式:现场 不可偏离 不可偏离

监控时间：从高交会召开前一天到闭幕（2014年11月15日-2014年11月21日）。 监控周期：7×24小时 监控方式:现场 网络安全监控内容： 1) 网络连通性和网络传输质量监控。 2) 对网络协议分析，分析是否有ARP攻击、网络环路、蠕虫病毒、网络攻击等。 6.3 日志分析 日志分析时间：从高交会召开前一天到闭幕（2014年11月15日-2014年11月21日）。 周期：每天2次 工作方式:现场 日志分析工作内容： 1) 从Web日志中发现可疑的恶意攻击行为，并自动识别攻击者IP所在物理位置。 2) 检测流行的攻击类型，如SQL注入/XSS攻击/IIS写权限漏洞利用/Struts远程命令执行漏洞等多种攻击类型。 3) 分析攻击者的入侵过程。 7.1 在30分钟内对用户紧急安全响应请求进行确定故障类型并定义故障电话支持7 响应 7.2 远程支持响应 等级。 不可偏离

在确定故障等级情况后尽快从远程帮助用户或从远程修复系统解决故障。 7.3 现场支持响应 如远程不能确定安全故障类型或故障情况严重不能通过远程解决的严重故障情况下，安排至少两人以上的信息安全技术人员到达现场解决问题，到达现场时间为一小时内。 7.4 安全故障解决 故障诊断、故障修复、系统清理、系统防护。 7.5 证据收集，对由于安全故障造成的入侵记录、破坏情况、直接损失情况收集证据。 7.6 事后处理。 根据客户需求，收集入侵线索和来源，协助客户进行立案。 7.7 紧急响应服务结果报告 针对在紧急安全响应服务中所遇到的安全问题、安全事故处理过程、处理结果，48小时内汇总形成紧急响应服务结果报告并提交给会展中心。 每个月对会展中心的网站、主机及相关应用系统进行一次安全巡检，重定期安全8 巡检 全巡检，重点检测其日志及运行状态，包括CPU、内存、硬盘等常规技术参数。 9.1 编写项目总体安全服务方案，对各项工作的内容、方法、时间进行描项目实施9 要求 9.2 项目实施中对信息系统采用的任何技术检测（本地核查、网络扫描、述，其中工作时间要以周为单位进行量化。 不可偏离 点检测网站、主机及相关应用系统的安全性及运行状态；对主要设备进行安不可偏离

安全分析、设备调研）手段和方法，必须事先提交详细的实施（检测）方案，明确检测内容、方法、使用的规则（策略）、可能引发的后果、以及后果的处理等内容，经确认通过后方可进行实施。 9.3 对风评评估发现的问题，提供具有可操作性的整改方案，并协助完成加固和优化服务。 9.4 风险评估全过程产生的所有过程文档、原始数据、扫描报告、正式报告等必须进行电子和纸制双重归档，在项目结束后一并移交给会展中心。 9.5 担任会展中心计算机网络和主机系统的安全顾问，在网络和主机系统进行升级、扩建时，提供安全风险评估，并提供安全修补建议。 9.6 为会展中心提供不限次数的信息系统应急响应服务。 在项目实施的各个阶段（项目的计划准备、项目实施阶段、项目验收等）提交相应的文档交付物。文档交付物至少包括： 10.1 项目计划与准备阶段需要提交： ? 《项目实施计划》 ? 《资产信息调查表》 ? 《项目实施方案》 10 文档交付 10.2 项目实施阶段需要提交： ? 《风险评估报告》 ? 《安全监控报告》 ? 《应急响应报告》 ? 《每月安全巡检报告》 10.3 项目验收阶段 不可偏离

? 《服务总结报告》 ? 《项目终验验收报告》 参加单位根据需求说明制定技术保障方案，包括但不限于保证项目质量的措11 技术方案 施、技术力量的安排、重要展会及活动期间的保障及全年工作计划等。 不可偏离

七、谈判流程：

1、谈判小组推选组长主持谈判；

2、响应文件的完整性检验和参加单位基本情况的符合性审查； 3、商务及技术需求响应性评定；

4、参加单位按抽签顺序作项目的讲解和演示，限时10分钟； 5、参加单位现场回答谈判小组成员的提问，限时10分钟； 6、参加单位提供最后一次报价；

7、谈判小组成员采用有记名投票方式按综合评议指标评分； 8、综合评分的计算和排序；

9、本项目采购第一候选供应商、备选供应商的确定及“谈判报告”的出具。 八、评审办法：

首先对各参加单位进行符合性审查。对通过符合性审查的单位，采用100分制综合评分法进行评分。

（一） 符合性检查

评议项目 评议标准 参加单位提交的响应文件是否按要求编制目录、密封及标注，是否1个正本，1个副响应文件 本；参加单位必须提供由法人代表或其书面授权人签署并加盖参加单位公章的响应文件。

是否提供参加单位法人授权证书及被授权人身份证复印件；响应文件不是由法人代表法人授权书 签署时，必须提供法人代表授权代表人签署的响应文件和参与谈判的书面授权书或委托书。 参加单位是否提供企业营业执照副本、税务登记证复印件（加盖单位公章）；参加单资格证明文件 位的企业营业执照经营期限是否处于有效期内，2012年度是否通过工商年检；是否按照规定提交了相关的资格证明文件。 注册资金 控制金额 注册资金是否为人民币500万元（含）以上。（提供营业执照复印件加盖公章） 总金额是否超过15万元。 （二） 综合评议指标表

评议内容 企业资质

10

评议标准及权重 1.具有中国信息安全测评中心颁发的信息安全服务资质得5分； 2.具有广东省公安厅颁发的信息安全服务类资质得5分。

1.具有信息安全服务类100万元以上的案例1个得5分，2个及以上得10分；2.具有大型场馆、展会、运动会等安全信息服务经验得5分。 1.项目总体实施方案的可行性、安全性和完整性得0-10分；

技术方案

35

2.保证项目质量的技术力量及技术措施得0-10分；

3.重要展会、活动期间的服务组织、保障方案及人力资源安排得0-10分； 4.全年工作任务计划安排及服务承诺得0-5分。

以所有满足文件要求的参加单位报价的平均价为基准价。投标报价最接近基准

服务价格评议 40 价的投标人价格分最高。（价格分保留至小数点后两位）

价格分=（1-（投标报价-基准价）÷ 基准价）×价格权重

项目案例 15

算术错误将按以下方法更正（次序排先者优先）： 1、若分项报价与总价不一致，以总价为准；

2、若用文字表示的数值与用数字表示的数值不一致，以文字表示的数值为准。

如果参加单位不接受以上对其错误的更正，甲方将拒绝其参加谈判。 供应商在参加本项目谈判时，无需交纳谈判保证金，如有意参与本项目谈判，请在谈判开始前2天以书面形式通知深圳会展中心，甲方只接受书面申请的单位

参加谈判。

供应商在领取“邀请通知书”后至谈判开始前2天如对“邀请通知书”有疑问，请以书面形式（加盖单位公章）向深圳会展中心提出，深圳会展中心视情况给予电话或书面解答；供应商在上述时间未提出疑问的，深圳会展中心视为该供应商完全理解并接受了“邀请通知书”所有内容，并不再对“邀请通知书”提出任何质疑。

谈判截止期前的任何时候，无论出于何种原因，深圳会展中心可主动地或在解答参加单位提出的澄清问题时对“邀请通知书”进行修改，并有权对谈判日期进行调整。

“邀请通知书”的修改将以书面形式通知所有领取“邀请通知书”的单位，并对其具有约束力。被邀请的供应商在收到上述通知后，应立即向深圳会展中心回函确认。如无回函确认，产生的后果由被邀请的供应商自负。联系方式详见本通知书第十一项。

九、被邀请供应商参评时应递交的报价清单和响应文件

按第六项要求提供商务、技术条款响应/偏离表，报价清单和响应文件分开，分别装袋密封，并在密封袋上清晰标注；响应文件要求编制目录，装订成册，一式两份(一个正本，一个副本,亦应清晰标注)。

十、谈判日期及地点：2013年12月17日9:30开始，深圳会展中心310会议室，届时请各参加单位带齐报价清单和响应文件准时参与。

十一、联系人:郭继清 电话：82848826 传真：82848694 十二、本项目供应商谈判结果的知会方式, 以深圳会展中心的“供应商中选通知书”为准；未得到确认的, 敬请谅解。

深圳会展中心管理有限责任公司 二○一三年十二月四日

本文来源：https://www.bwwdw.com/article/c79r.html