江苏邳州农村商业银行互联网安全加固招标公告
来源:发布时间:2020年05月14日
因业务发展需要,江苏邳州农村商业银行股份有限公司需要对互联网加固产品进行招标。
- 招标内容:
序号 | 产品名称 | 功能配置 | 数量 |
1 | 长亭谛听威胁感知系统(蜜罐) | 1、谛听(蜜罐)管理平台软件版1套 蜜罐类型、数量限制:无; 功能模块限制:无; 最大支持探针数:20个。 2、谛听(蜜罐)探针节点8个蜜罐探针节点,具备流量转发、攻击检测、服务发布等功能。 3、具体功能详见招标参数; | 1 |
2 | 长亭洞鉴安全评估系统 | 1、 洞鉴安全评估系统功能模块包含主机资产信息采集、Web资产信息采集、扫描引擎、漏洞库,无资产授权限制。 2、 具体功能详见招标参数; | 1 |
二、招标文件发出时间与地点:2020年5月14日由江苏邳州农村商业银行股份有限公司门户网站发出。
三、招标要求:本次招标为提供满足附表要求的安全加固产品。
四、开标时间:另行通知。开标当天将评标结果通知各投标单位,但招标机构保留可根据实际情况否定全部投标文件的权利,我行可选择第二中标人,依次类推。
五、投标文件截止日期:2020年06月03日17:00。逾期收到或不符合规定的投标文件恕不接受。
六、投标地址:江苏省邳州市运河镇建设中路16号
七、评标办法:由我行招标委员会成员组成的评标小组,按照最低价评标法进行现场议标。如中标单位不履行投标的承诺,我行可选择第二中标人,依次类推。
请投标单位携带2万元投标保证金(现金)在现场交予评标小组。
八、联系方式:
联 系人:沈二伟
联系电话:0516-86991580
传真电话:0516-86991580
邮政编码:221300
技术咨询:张鹏
手机号码:18705223321
九、如贵公司有投标意向,请于投标文件截止日期前将投标文件正本1份、副本3份,并双层密封加盖公章后,邮寄到上述地址。由于本次招标内容的特殊性,需要投标方在招标会议现场进行述标。如不参与现场述标,视为自动放弃。
招标说明
以下为投标我行互联网安全加固产品采购服务要求,具体评标内容由我行自行制定,如贵公司已决定投标,则说明贵公司已经同意我行的所有要求。
一、项目需求及要求
1、本项目为我行互联网加固产品的采购。
2、合同签订后15个工作日内供货并开始项目实施。
3、报价必须包含所有软硬件的安装、运输、人工、调试、培训及3年免费售后及维保服务等所有费用。
4、必须及时响应我行互联网加固相关需求,并根据我行需求提供互联网加固的相关技术的培训。
5、本次招标控制价为不高于65万元人民币。
二、投标文件的编写要求及构成
投标人应仔细阅读招标文件的所有内容,按照招标文件的要求编写投标文件,并保证所提供的全部资料的真实性、完整性及有效性。否则,投标文件有可能被拒绝,并将承担相应的法律责任。投标人编写的投标文件应至少包括下列内容(投标人必须按下列要求装订成册)。
1、企业法人营业执照、企业法人代表授权书、企业法人身份证复印件或授权代表身份证复印件;
2、代理商提供原厂针对项目产品的授权函及质保承诺函(如不能提供做废标处理);
3、项目实施人员及公司相关资质、资格证明文件;
4、投标总价格及分项明细报价表;
5、设备供货、安装的时间说明和计划;
6、售后服务计划;
7、其他投标人认为必要提供的文件资料。
三、投标报价
报价为产品安装地点的开票报价,包含所有税费、运费、安装费等,具体安装地点由我行指定。投标人应在设备报价表上标明单价和总价。如总价和单价不符,以单价累计为准,小写和大写不符的,以大写为准。投价。
四、投标的语言及计量单位
投标人提交的投标文件(包括资格证明文件)以及投标人与招标机构就有关投标的所有来往函电均应使用中文,投标人可以报送其他语言打印的资料,但须翻译成中文,在有差异和矛盾时以中文译本为准。除技术性能中另有规定外,投标文件所使用的计量单位,一律使用法定计量单位。
五、定标的依据和方法
评标小组将根据投标人价格、售后服务措施、投标人的业绩信誉和履约能力、投标人的技术实力、投标人提供的其他优惠条件等指标,并根据评标现场实际需要,采用最低价评标法评选出中标人。定标原则为实质上充分响应招标文件要求、能提供最佳服务、报价合理。
六、纪律及其他事项
评标小组独立运行,并将公正、平等地对待所有投标人。在评标过程中,小组成员不得与投标人私下交换意见。投标人在评定过程中,所进行的力图影响评定结果的活动,可能导致其被取消成交资格。评标小组成员不得向未中标的投标人解释未中标原因,不退换投标文件。
为保证投标人认真对待本次投标,投标人在投标会议召开前须携带2万元投标保证金于现场交予招标小组,如未中标,现场退回给投标人。
七、发生下列情况之一,将视作投标人违约,没收投标保证金,并取消今后参与招标方所有项目的投标机会
1、现场通过资格审核后拒绝参加投标的;
2、无正当理由中途退出投标的;
3、不响应招标文件实质要求的;
4、恶意提高或压低总报价、单项报价的;
5、组织串标、围标的;
6、中标后不按规定时间及要求提供货物的;
7、中标后在规定时间内拒签合同的。
八、付款方式
中标后在合同中约定。
江苏邳州农村商业银行股份有限公司
2020年5月14日
附:产品技术要求
- 长亭谛听威胁感知系统
编号 | 指标项 | 配置要求 | |
蜜罐仿真 | 系统服务伪装 | 支持运行真实ssh、telnet、Samba、Remote Desktop服务的蜜罐,受到攻击后可以查询完整的连接建立与断开记录、用户密码登录记录、用户密钥登录记录、命令执行记录、文件遗留记录等 | |
数据库伪装 | 支持运行真实MySQL、MongoDB、Redis、PostgreSQL、Memcached服务的蜜罐,收到攻击后可以查询连接建立与断开记录和完整的数据库操作记录 | ||
Web伪装 | 支持运行真实Wordpress、Joomla、Jboss、Wiki、Webmin、Weblogic服务的蜜罐,收到攻击后可以查询到所有的访问请求记录、Web攻击记录和用户密码登录记录 | ||
系统缺陷类 | 支持运行存在真实漏洞服务的蜜罐,包括Shellshock、Struts2、Eternalblue等,并可以通过POC验证 | ||
自定义蜜罐模版 | 自定义蜜罐模版的用户名密码、数据库内容和标题等内容 | ||
Web 类业务学习式蜜罐 | 支持运行学习真实 Web 类业务服务的蜜罐。蜜罐受到攻击后,可以查询完整的连接建立与断开记录和 Web 攻击记录 | ||
TCP 业务学习式蜜罐 | 支持运行学习真实的基于 TCP 协议的业务服务的蜜罐。蜜罐受到攻击后,可以查询完整的连接建立与断开记录 | ||
攻击感知 | 蜜网管理 | 支持自定义添加多个蜜网,并且可以在蜜网内添加多个蜜罐服务,同一蜜网内的蜜罐可以互相连通 | |
自定义网络监听 | 探针可以自定义监听1-65535的任意端口 | ||
TCP、UDP 探测感知 | 探针可以同时感知到使用 TCP 协议和 UDP 协议的探测 | ||
文件变动记录 | 系统服务蜜罐本身会监控蜜罐系统内部的文件变动,任何发生变动的文件会上传管理中心 | ||
命令执行记录 | 系统服务蜜罐会记录蜜罐系统内Bash执行的系统命令及其参数 | ||
Web攻击记录 | 攻击者对Web服务蜜罐发起的攻击请求,蜜罐会智能识别其payload攻击类型和威胁等级 | ||
攻击者溯源 | 支持攻击者溯源,能够记录攻击者身份信息,至少包括主机、浏览器、社交账号、真实外网IP位置、真实内网IP、代理IP | ||
端口探测记录 | 探针感知探测后,可以查询完整的端口探测过程和探测中发送的数据,能够识别出扫描器的种类 | ||
Ping 扫描感知与记录 | 探针能感知到 Ping 扫描,被 Ping 后能够记录下 Ping 扫描源 | ||
ARP 欺骗攻击感知与记录 | 探针能够感知到 ARP 欺骗攻击,被 ARP 欺骗攻击后能够记录下攻击日志,至少包含被伪装的 IP、 IP 伪装前的 MAC 地址和伪装后 MAC 地址 | ||
原厂服务 | 原厂服务 | 提供原厂授权函和三年产品支持服务承诺函、服务级别为7x24x4 | |
CNNVD兼容 | 产品需具备国家信息安全漏洞库颁发的《中国国家信息安全漏洞库兼容性资质证书》 | ||
- 长亭洞鉴安全评估系统
编号 | 项目 | 具体要求 | |
1 | 扫描能力 | 主动扫描 |
|
2 | 扫描插件 |
| |
3 | 任务调度 | 扫描策略 |
|
4 | 扫描参数 |
| |
5 | 资产管理 |
| |
6 | 漏洞管理 |
| |
7 | 报告管理 |
| |
8 | 系统管理 |
| |
9 | 原厂服务 | 提供原厂授权函和三年产品支持服务承诺函、服务级别为7x24x4 | |
