为服务我行2023年国家计算机网络与信息安全管理中心安全服务项目,现向全社会公开征服务代理商,请有意者并具备下列要求的供应商前来我行报名。
一、采购内容及要求
(一)采购内容
满足2023年7月1日至2024年6月30日的国家计算机网络与信息安全管理中心安全服务。包含不少于以下内容:安全漏洞通报服务、网络钓鱼监测处置服务、域名安全监测处置服务、网站安全监测服务、DDoS 监测溯源服务、仿冒APP监测处置服务、网络安全态势通报服务。
(二)技术要求
1.服务要求
供应商在项目服务中严格按照服务相关标准开展工作;
具体服务内容:
(1)安全漏洞通报服务
依托于国家信息安全漏洞共享平台(CNVD),收集、分析涉及用户单位的安全漏洞,一旦发现相关安全漏洞后,第一时间向用户单位邮件通报,并提供远程技术支持服务。
安全漏洞通报涉及产品类型包括网站、手机APP等。
漏洞通报内容包括漏洞事件名称、漏洞引发的威胁、评分评级、影响产品、信息来源、漏洞描述,影响范围、漏洞验证情况、通报时间等。
(2)网络钓鱼监测处置服务
为用户单位提供网络钓鱼事件的监测、通报、投诉受理和处置服务,以降低网络钓鱼事件造成的严重危害以及可能的经济损失。
网络钓鱼监测服务:针对用户单位业务系统特点,开展网络安全测试,发现通过仿冒页面、木马病毒、垃圾短信、垃圾邮件等方式传播和实施的网络钓鱼事件。
网络钓鱼处置服务:及时受理网络钓鱼事件投诉,7 x 8 小时提供关停服务。如用户同时购买了网络钓鱼监测服务,则用户投诉的网络钓鱼时间除了来源于用户自主监测发现的钓鱼网站外,还包括用户收到CNCERT通报的网络钓鱼事件后核实需关停的钓鱼网站。对于钓鱼网站域名在境内注册或者服务器IP位于境内的,90%以上在24小时内关停,;对于钓鱼网站域名在境外注册且服务器IP位于境外的,90%以上48小时内关停。
(3)域名安全监测处置服务
依托国家网络安全检测平台,在我国公共互联网上,对用户单位开展网络安全外围性检测,及时发现域名劫持、域名恶意指向等域名安全事件,并提供预警通报和处置服务,协助用户单位快速开展对域名安全事件的应急处置,尽可能降低用户域名及域名系统服务造成的影响。
域名安全事件监测服务:在全网范围内,开展针对用户单位提供的域名及域名系统发生的域名攻击等网络安全外围检测。具体检测内容包括但不限于:域名劫持事件、域名解析异常事件、域名恶意指向事件。
域名安全事件应急处置服务:CNCERT第一时间启动应急处置预案,组织对事件进行分析研判,提出应急处置方案,采取有关技术措施,协调应急体系力量(31省分中心、运营商、域名注册商等),协助单位快速有效完成对突发域名安全事件的应急处置,尽量减小网络攻击对用户单位所造成的风险损失。涉及域名劫持事件,CNCERT在接到用户单位回复请求后,立即启动域名劫持事件处置机制,在24小时内恢复境内权威服务器和运营商递归服务器的域名正常指向。包括:突发事件的研判、分析、快速确定处置措施和手段、域名解析恢复正常的协调处置、提交事件处理报告。
(4)网站安全监测服务
依托国家网络安全监测平台,在我国公共互联网上,开展针对用户单位拥有的网站(具体信息由用户单位提供)的网络安全外围性监测和预警通报,协助用户单位网站及时发现网站的安全事件和存在隐患。
在检测发现针对用户单位网站的一般安全事件后,CNCERT及时以邮件形式内向用户单位指定人员通报;监测发现较大级别以上的网络安全事件后,CNCERT第一时间通过电话或短信想用户单位指定人员通报,同时以邮件形式通报事件发生具体情况,并对用户单位处置这类安全事件提供一定的远程技术支持服务。具体监测内容: 网页篡改事件、网页挂马事件、网站后门事件。
(5)DDoS 监测溯源服务
接到用户单位关键网络节点安全事件应急处置请求后,第一时间启动应急处置预案,组织对事件进行分析研判,提出应急处置方案,采取有关技术措施,协调应急体系力量(31省分中心、运营商、域名注册商),协助用户单位快速有效完成对突发流量异常安全事件的应急处置,尽量减小网络攻击对用户单位所造成的风险损失。突发事件的研判、分析、网络真实攻击源的跟踪、定位、取证、快速确定处置措施和手段、真实攻击源(IP、域名)的协调处置、提交事件处理报告。
(6)仿冒APP监测处置服务
依托中心移动互联网安全监测与分析平台,对应用商店中存在的仿冒APP进行下架处置。仿冒APP监测依托CNCERT移动互联网安全监测与分析平台,针对恶意APP进行7×24小时监测,发现互联网上存在的仿冒APP。在监测发现仿冒的APP后,服务提供方第一时间向客户指定电子邮箱通报,客户在收到报告后核实确认收到的仿冒APP情况,并反馈是否处置该仿冒APP。
仿冒APP下架处置
接到客户提交的处置请求后,通过移动互联网安全合作体系,对应用商店中存在的仿冒APP进行下架处置,在处置后,1个工作日内向客户邮件反馈此次事件处置结果。
(7)网络安全态势通报服务
向用户单位提供国家网络安全态势信息通报,包括国家公共互联网网络安全态势信息通报、网络安全技术和资源信息。内容包括:公共互联网木马、僵尸网络活跃情况;网络安全态势情况;恶意程序传播情况;重大信息系统漏洞信息;典型网络安全事件。
2.服务人员要求
(1)所有服务人员学历要求为全日制本科以上,计算机相关专业,至少3年以上的正式员工,并符合以下人员资质要求。须提供服务团队所有人员的相关资质材料、参与过的中大型网络安全服务项目名称及项目主办方、接口人联系方式等。
(2)采购人有权根据项目工作进展情况合理调整安排人员使用。
(3)应保证参加本项目的项目成员满足采购人的要求,如果不满足,采购人有权要求更换项目成员。保证参加本项目实施人员的稳定,原则上团队负责人不得变动,人员流动比例不得超过15%,人员流动必须经采购人书面同意。
二、资质要求
1.中华人民共和国境内合法注册的独立法人,公司经营正常并存续3年(含)以上,具有良好的商业信誉和健全的财务会计制度,近三年财务状况良好,经营活动中没有重大违法记录;
2.有依法缴纳税收和社会保障资金的良好记录,近三年无重大违法违规行为;
3.近五年具有工农中建交总行级或全国股份制商业银行总行级或5000亿元资产规模及以上的城商行、农信社/农商银行总行级同类项目应用案例不少于3个;
4.同一法定代表人的两个及两个以上法人、母公司、全资子公司及其控股公司不得在同一次项目中参加报名;
5.本项目不接受联合体投标,不接受挂靠、借用资质投标,不允许转包或分包;
6.本项目接受具备服务资质和能力的服务商参与报名。
三、报名须知
申请人报名时,应提供以下材料:
1.公司信息及资质证明文件:“三证合一”营业执照、一般纳税人资格证明;
2.与本项目有关的技术资质文件等;
3.代表人的身份证明、公司法人委托授权书、公司开户行及账号信息,内容包括但不限于公司授权代表姓名、联系电话和邮箱等;
4.最近三年财务报表;
5.案例中标/成交通知书、合同或客户证明材料,并另以清单形式列明案例;
6.关于公司近三年无重大违法违规行为的书面承诺。
以上请根据资质要求和报名须知进行材料的准备,所提供的复印件均需加盖单位公章,由法定代表人或被授权人签字,留存我行。并以电子文档形式发送至:fanweiwei@shrcb.com、fuxh@shrcb.com;(邮件内容必须清楚写明:公司全称、被授权人姓名、联系方式、邮箱地址)。
同时递送纸质材料,材料必须双面打印并装订成册,否则概不受理报名,后果将由报名方自行承担。现场报名地址:上海农商银行集中采购中心(上海市黄浦区中山东二路70号D栋7楼)。对于异地供应商可接受快递方式寄送纸质报名材料。
报名截止时间:2023年4月12日15:00。
四、联系方式
联 系 人:樊魏伟、傅晓华
联系电话:021-60110714、61898992
电子邮件: fanweiwei@shrcb.com、fuxh@shrcb.com
地 址:上海农商银行集中采购中心(上海市黄浦区中山东二路70号D栋7楼)
邮 编:200002
上海农商银行集中采购中心
二〇二三年四月