中国建设银行金融科技部关于2024年省分行网络安全技术服务采购项目供应商征集公告

正文内容

根据业务发展需要，我行现公开征集供应商，有关事宜公告如下： 一、征集时间 本次供应商征集自即日起至****年*月*日**:**止。 二、供应商资格要求 *、投标人应是在中华人民**国依法注册，具有独立承担民事责任的能力；经营范围执照范围应包含信息安全、网络安全（或互联网相关服务）、计算机软硬件等内容； *、投标人应具有良好的商业信誉和健全的财务会计制度。提供近三年的审计报告及财务报表； *、投标人应具有信息安全运维服务或信息安全服务，且同时具备信息安全应急处理服务、国家信息安全漏洞库（CNNVD）技术支撑、信息安全风险评估等履行合同所必需的资质和专业技术能力； *、投标人具有****年*月*日以来（合同金额不低于**万人民币）网络安全技术服务相关**服务案例。 *、投标人须承诺，在本项目招标过程中不存在下列情形。如存在下列情形之一，招标人有权取消其投标或中标资格。情形包括但不限于： a) 法定代表人（负责人）在生产经营活动中受到刑事处罚； b) 重大并购或重组，影响正常生产经营； c) 其他重大风险事项，影响正常采购**。 *、本项目不接受转包或分包，不接受联合体投标。 *、投标人当前未被“信用中国”网站列入重大税收违法失信主体；未被“中国执行信息公开网”列入失信被执行人名单；未被“中国政府采购网”列入政府采购严重违法失信行为记录名单；未被“国家企业信用信息公示系统”网站列入严重违法失信名单。 三、服务内容 （一）特殊时段网络安全防护及系统保障 *、准备阶段。调研项目基本情况，充分了解**行内部的建设情况、系统和资产等信息。利用基线核查、漏洞扫描、渗透测试、日志分析等手段进行安全风险排查。依据调研结果，制定满足需要的技术体系方案和技术检查方案。 *.*现状调研及安全风险排查：调研**分行网络信息系统现状，了解**分行内部的系统建设情况和资产信息。利用漏洞扫描、日志分析等手段进行安全风险排查。 ①对于需进行安全风险排查的资产，需经我行书面同意。 ②我行有权利在排查过程中随时中止排查操作。 ③排查完成后需对所有发现的问题提出加固建议并协助我行进行加固。 ④对于所有发现的安全漏洞需要保密，不可外泄。 *.*防御体系完善：为**分行制定满足护网需要的技术体系方案和技术检查方案。 *.*互联网资产发现和品牌保护：a、进行互联网资产发现，通过互联网发现存在的建行未知资产，包括但不限于：未知服务、未知应用、暴露的高危服务、技术资料。主动探测**分行在互联网上暴露的资产，形成明确的资产清单;b、进行互联网资产品牌保护，定期提供当前泄露到社交平台、网盘文库、代码托管平台、下载站渠道的建行敏感数据的排查服务，并提供汇总报告。 ①发现我分行互联网资产，形成资产清单，包括但不限于：资产对外IP、提供服务的端口、对外提供的服务、服务所用的中间件等信息。 ②发现其他兄弟分行互联网资产，形成资产清单，包括但不限于：资产对外IP、提供服务的端口、对外提供的服务、服务所用的中间件等信息。 ③对于所有发现的互联网资产需要保密，不可外泄。 ④要排查的互联网渠道除了覆盖常规渠**，还需要覆盖我行提供的具体网站列表。 ⑤排查内容要覆盖我行提供的个性化关键字。 ⑥根据需要单独提供报告。 *.*日常安全咨询和安全培训：根据我行实际需要，作为安全专家支持我行系统安全建设。对我行全员的意识教育培训和针对我行金融科技部的安全技术培训。 *、实施阶段。在我行应对总行、**部、人民银行等组织的网络攻防演练阶段，在重要时期网络安全保障阶段，及其它专项任务阶段，提供安全专家现场服务，现场监控网络安全情况及应急处置。 *.*现场监控及应急处置： 在建行及**部重要演练阶段，在重要时期网络安全保障阶段，提供安全专家现场服务，负责互联网攻击及内网攻击的监测分析，服务内容包括：a、入侵痕迹检测，对监控及策略范围内的设备进行排查，发现是否存在入侵痕迹;b、应急处置，在发生信息破坏事件（篡改、泄露、窃取、丢失等）、大规模病毒事件、网站漏洞事件等信息安全事件时，提供应急响应专家协助处置。 ①根据我行要求进行入侵检测策略的调整，实时监控入侵检测日志，发现可疑记录并及时上报。 ②驻场工程师需具备安全判断分析能力，发生特殊事件时，能及时响应，并根据告警信息和日志进行分析，判断是否属于外来攻击，并提出处置措施及加固措施。 *.*渗透检查：对分行所有互联网资产进行一次渗透检查，发现常见的安全漏洞。完成对分行所有互联网应用资产的渗透扫描和安全性测试，发现系统存在的安全问题，提出整改建议，对整改结果进行确认。 *.*每年至少开展一次互联网数据泄露排查，提供排查结果并出具排查报告。 *.*每年至少开展一次“众测”工作。协助查找发现全国建行互联网系统漏洞，上报总行；查找自己分行互联网系统漏洞，及时组织漏洞修复和整改工作，提高我行网络安全防护能力。 *.*协助整改：提供整改建议，并配合**分行完**全整改。 *.*其它：护网阶段提供答疑、协助分析、处置建议等服务。 *、总结阶段。网络攻防演练、重保、其它专项任务结束后，及时总结，必要时提供实施网络安全方面的整改服务。 总结与报告：待到演练成果下发之后对护网进行复盘和后续能力建设规划。 ①按照演练要求，乙方结合建行防护体系，分析实战演练的得失，提出增强防护建议并落实，建立和完善护网保障方案。 ②编制网络安全监测和应急保障工作指导手册。 ③总结有效应对攻击手段，编写护网保障方案及护网保障期间相关工作指导手册。 （二）终端安全技术支持服务（现场驻场） 为提升我行信息系统网络安全健壮性，保障我行终端安全，保证信创工作正常开展，确保终端管控系统正常运转，及时发现信息安全风险隐患，弥补信息安全漏洞，协助进行常态化网络安全防护工作。工作内容主要包括： *.配合“国芯”产品安全客户端等网络安全防护软件测试和推广。 *.协助安全客户端、水印等软件的主程序和病毒库升级。 *.提供全行员工终端安全软件的故障受理及技术支持。 *.提供终端安全策略管控、终端BIOS设置支持。 *.协助注册U盘及U盘白名单控制和管理。 *.协助移动办公软件安装推广、故障处理，移动令牌发放及用户权限分配。 *.配合终端准入管控。 *.协助终端病毒查杀、非法外联情况跟踪、敏感信息拦截分析等日常事务。 *.终端相关指标收集及通报；终端风险情况分析及总结。 **.协助进行其它信息安全类系统的日常运维，安全风险情况数据收集、分析及整理等。 四、服务质量要求 （一）人员配置及要求： 乙方为甲方提供服务的工程师需遵守我行相关管理方法，配合我行工作安排； 乙方为甲方提供服务的工程师，需大专及以上学历，具有计算机中级工程师（及以上）职称，并有三年以上原厂工作经验（需提供供应商工作证明及社保缴交信息等相关证明材料）。特殊时段网络安全防护及系统保障人员需具备渗透攻击、安全防护等能力，参加过国内外CTF比赛，能协助我行排查风险及指导网络攻防；终端安全技术支持服务人员需要具备扎实的网络安全及信息系统运维技能，有丰富的运维经验，熟练掌握主机、网络、文档处理、报表分析等知识。 乙方为甲方提供“特殊时段网络安全防护及系统保障”服务的工程师，若具有安全相关专业资质水平认证，如CISP类、CISSP类等证书；或通过全国计算机技术与软件专业技术资格考试中的高级资格考试；或加入**部千人计划的网络信息安全类人员名单；或在CNVD/CVE等权威组织提交过自主挖掘漏洞，或在国家级攻防大赛中取得优异成绩并能提供证明材料。可不受学历和工作年限要求限制。 乙方应提前向甲方提供工程师名单列表，一旦经甲方审核确定后，每次必须从该名单列表中派遣人员。无特殊情况，该名单列表不得变动。 乙方还应安排一名负责人员，主要工作职责为： ①统一领导乙方技术支持服务团队，并负责与甲方的总体协调工作； ②负责紧急情况下人员、工具等**的协调； ③负责乙方服务质量的管理和监督。 （二）时间要求 *. 特殊时段网络安全防护及系统保障 总行实战演练期间、银行业监管机构实战演练期间、**部或省**厅攻防演练期间、重保期间、及其它专项任务期间；根据实际演练和护网、重保、根据实际需求的其它专项任务等时间进行安排。（不少于***人天）。 *. 终端安全技术支持服务 常年正常工作时间，与建行员工作息时间一致，服从建行统一工作安排，常驻建行办公场所。（*人年） （三）培训要求 提供检测工具使用培训；提供安全意识培训和安全技术、网络攻防培训。 （四）保密要求 *、服务商及所有服务人员应根据我行要求在项目实施前签订保密承诺书。 *、按我行要求，提供信息技术外包管理规定中的相关资料。 （五）其他 根据实际工作需要，适当调整网络安全技术服务方案。 五、材料上传要求 基本资料请按平台注册要求上传，注册后需继续在平台补充如下资料： *.具有独立法人资格，能独立承担民事责任，提供合法有效的营业执照； *.提供近*年（****年-****年度）经第三方审计机构出具的财务审计报告和财务审计报表（现金流量表、资产负债表、利润表（损益表））；新成立企业不满三年的须提供成立至今经第三方审计机构出具的财务审计报告和财务审计报表； *.同类采购成功案例（合同扫描件在公司“案例信息”栏新增）； *.从事行业所必须有的认定资质（如建筑业企业资质证书、行业行政许可证书等，扫描件在公司“资质信息”栏新增）； 上述材料均需清晰扫描件并加盖公章。 六、报名步骤 *.供应商须首先在建行采购平台（ibuy.ccb.com）注册，注册时请务必对最新企业财报、案例、资质信息、纳税人类型、国别、企业性质、组织类型等信息进行维护。 重点提示：如系统中的企业信息未更新，可能影响投标资格，请知悉。 *.审核通过后，您将会收到系统通知，请点击本公告下方“征集报名”进行报名，根据系统提示上传报名材料，所有材料仅需提供电子版，无论报名是否通过，材料恕不退还。 *.已注册供应商可直接点击下方“征集报名”按钮登录进行报名，同时做好企业信息维护：包括企业财报、案例、资质信息、纳税人类型、国别、企业性质、组织类型等信息维护。 龙集采系统操作问题可查看网站“供应商指南”，或拨打客服电话**********进行咨询。 七、注意事项 *.本次供应商征集活动为建行企业采购，非政府采购或招标。 *.本次公开征集不收取供应商任何费用，能够完全满足我行采购需求、有采购**意向、无不良行为记录的供应商均可报名。 *.所有材料仅需提供电子扫描件，无论报名是否通过，材料恕不退还。供应商须对报名信息和资料的真实性负责。如提供虚假材料，将取消报名资格并列入我行供应商黑名单。 *.我行接收供应商的报名文件或吸收供应商进入信息库并不表示接受报名供应商参加相关项目采购，我行择优选取审查合格的供应商参加相关项目采购，征集结果无需向未入围的供应商做出任何书面原因解释。 *.对于上述事项存在疑问的，请及时与我行联系。 八、联系方式 龙集采技术支持电话********** 采购部门联系人：王经理 联系电话：***-******** 电子邮件：wangzhongjun.*********** 需求部门联系人：牛经理 联系电话：***-******** 电子邮件：niuwenyu.*********** 中国建设银行**省分行 ****年*月*日