根据******集团)相关规定,特此公告,欢迎潜在供应商推荐产品,协助我院就漏洞扫描项目进行竞价采购。
一、招标组织类型:自行组织
二、采购方式:竞价采购
三、采购编号:YHYYCGX-LDSM-******-58
四、项目概况、数量及技术要求:
序号 | 科 室 | 项目名称 | 预算单价(元) | 预算总价(元) | 数量 | 备 注 |
1 | 信息科 | 漏洞扫描 | 30000 | 30000 | 1年 | 具体技术要求详见附件 |
五、供应商资格要求
5.1具有独立承担民事责任的能力;
5.2具有良好的商业信誉和健全的财务会计制度;
5.3具有履行合同所必需的专业技术能力;
5.4有依法缴纳税收和社会保障资金的良好记录;
5.5参加政府采购活动前三年内,在经营活动中没有重大违法记录;
5.6本项目不接受联合体投标,不接受分包及转包;
5.7法律、行政法规规定的其他条件。
六、供应商现场招标提交资料要求:
6.1法定代表人授权委托书(法定代表人签署不需提供此书);法定代表人及授权代表身份证正反面复印件;
6.2根据本项目附件中技术、功能等要求提供其偏离符合度。
6.3产品报价。
6.4有效的营业执照副本复印件(复印件加盖单位公章)及相关证件。
6.5用户名单,联系人及电话。
6.6响应文件装订成一册,建议采用胶装(粘贴方式装订),不采用活页夹等可随时拆换的方式装订。
6.7提供一式四份,正本一份,副本三份。
七、报名时间:2025年11月5日至2025年11月10日17:00止
八、******医院公告中的技术及商务要求,最低报价者为中标供应商。
九、现场招标时间及地点:另行通知。
十、供应商报名要求:发送“项目名称+经销商+授权代表姓名及手机+营业执照副本扫描件+法人授权委托书扫描件+被授权人身份证扫描件发送至******2@qq.com电子邮箱。
▲注:******医院规定地点,逾期送达或未密封将予以拒收(或作无效磋商响应文件处理)。******医院。
十一、联系方式:颜女士 0576-******
十二、质疑联系人:林科长 0576-******
十三、纪检监察室电话:0576-******
附件:技术要求
功能项 | 功能要求说明 |
系统要求 | 系统漏扫授权IP数≥100,WEB漏扫授权URL数≥20。 |
风险统计 | 支持全局风险统计功能,通过扇形图、条状图、标签、表格等形式直观展示资产风险分布、漏洞风险等级分布、紧急漏洞、风险资产清单等信息,并可查看详情。(需提供产品功能截图证明) |
支持全局风险统计时段自定义,展示近3个月、6个月、1年或自定义统计区间的风险分布和详情,时间跨度不限制。 | |
支持从“高危”、“中危”、“低危”、“安全”四个安全级别展示资产的风险分布情况。 | |
任务类型 | 支持全面扫描、资产发现、系统漏洞扫描、弱口令扫描、WEB漏洞扫描、基线配置核查六种任务类型,其中全面扫描支持系统漏洞扫描、WEB漏洞扫描、弱口令扫描同时执行。(需提供产品功能截图证明) |
资产发现 | 支持资产发现功能,可基于IP地址、IP网段、IP范围、URL等方式进行资产发现扫描,支持EXCEL格式批量导入。 |
资产发现支持存活探测、服务和端口探测、操作系统识别、数据库识别、中间件识别等功能,其中服务和端口探测支持常用端口、全局端口和自定义端口三种探测方式。 | |
资产发现支持任务立即执行、指定时间执行和周期执行三种执行方式,且指定时间可以精确到分钟,周期执行可精确到每日、每周、每月和自定义周期等。 | |
系统漏洞扫描 | 支持检测的漏洞数大于230000条,兼容CVE、CNNVD、CNVD、Bugtraq等主流标准。 |
支持操作系统、网络设备、数据库、中间件等漏洞扫描。 | |
支持多种系统漏洞检测技术,如:基于漏洞原理的原理扫描技术、基于banner信息的漏洞扫描技术等。 | |
WEB漏洞扫描 | 支持行业通用标准OWASP,支持通用WEB漏洞检测,如:SQL注入、XSS、目录遍历、本地/远程文件包含漏洞、安全配置错误、命令执行、敏感信息泄露等。 |
支持信息泄漏类漏洞检测,如:mail地址、敏感目录暴露、内部ip地址、会话令牌、源码、数据库备份文件、SVN文件、系统重要配置、日志文件向外网泄漏等。 | |
支持选择紧急漏洞进行单独评估,支持对新爆发的0day漏洞检测,如:Apache Solr Velocity模板 远程代码执行漏洞、phpstudy 后门发现漏洞、Jenkins Git client插件命令执行漏洞、致远 OA A8 无需认证 Getshell 漏洞、Jenkins Java反序列化远程代码执行漏洞、Weblogic反序列化专项漏洞检测、Apache Struts2远程代码执行系列漏洞、JBoss反序列化漏洞等。 | |
弱口令扫描 | 支持对多种服务协议的弱口令猜解,包括FTP、IMAP、Microsoft SQL、MySQL、PcAnywhere、POP3、SMB、Telnet、VNC、SSH、RDP、ORACLE、Rsync、SMTP、VMware等。 |
产品内置常用字典和精简字典两种弱口令扫描模板,常用字典包含常见的用户名及TOP150密码,精简密码适用于爆破速度快的密码猜解场景,支持自定义新增密码字典功能。 | |
基线配置核查 | 支持对Windows、Linux等操作系统按照等保二级、等保三级要求实施基线配置核查。 |
支持对Oracel、MySQL、DB2、SQL Server、MySQL等数据库按照等保二级、等保三级要求实施基线配置核查。 | |
合规自检平台 | 支持等保资产登记功能,包括但不限于物理机房、网络设备、安全设备、服务器或存储设备、终端、系统管理软件或平台、业务应用系统或平台、关键数据类型、大数据数据类别、安全相关人员、管理文档、安全文档等12类资产进行资产登记 |
支持域管理功能,系统默认数据域、内置终端接入域、运维管理域、其他业务域、核心业务域、核心交换域、对外服务域、外联域、互联网出口域等,可根据客户实际情况进行自定义管理。(需提供产品功能截图证明) | |
支持业务系统登记功能,保护等级支持第二级和第三级,可根据不同域类别添加资产到业务系统中。 | |
提供检测结果综述分析,按照等保2.0的检测项要求,统计客户业务系统存在的不符合、部分符合、符合、待确认、不适用检测项,直观了解自身业务系统合规情况。(需提供产品功能截图证明) | |
按等保2.0“一个中心、三重防护”的架构展示检测结果,每个检测结果呈现具体问题及整改建议,系统支持手动核查确认、整改后重新检测、以及手动导入全局分析和人工核查报告来对测评报告中的结果进行核查确认,其中手动核查确认支持单项核查确认和批量核查确认。(需提供产品功能截图证明) | |
报告管理 | 产品支持对系统漏洞、WEB漏洞、基线配置、弱口令进行扫描和分析,可同时输出包含系统漏洞扫描、WEB漏洞扫描、基线配置核查、弱口令扫描结果的报表。(需提供产品功能截图证明) |
厂商资质 | 为保障设备的安全性,所投产品厂商需获得CS-CMMI5云安全能力成熟度集成,提供有效证书复印件; |
为提升未知威胁防护能力,要求产品生产厂商具有中国信息安全测评中心、公安部信息安全产品检测中心、国家版权局、中国软件评测中心之中任意一家机构出具关于“未知威胁检测”的证书或测试报告,提供证书证明; |
十四、商务要求
1.服务期:1年。
2.售后服务:
2.1投标人必须根据本次招标文件所制定的目标和范围,提出相应的售后服务方案。
2.2 7x24小时电话支持,电话响应时间<10分钟,现场服务响应时间≤2小时。
3.付款方式:合同签订生效后3个月内支付合同全款。
4. 培训
4.1投标人******医院要求的培训服务;
4.2培训计划:须在项目履约期间针对整个系统的维护及操作进行培训,至少培训系统高级管理人员1名;从现场调试开始,对操作人员进行现场培训,直到操作人员能使系统正常运行为止;
4.3所有的培训费用必须计入投标总价;
4.4上述二种培训的培训方式、地点、人员及费用(包含在投标总价中)投标人应在投标文件中详细说明。
5.服务******医院指定地点。
6.交货
6.1.交付时间:合同签订生效之日起7天内(延期交货1天,保修延长15天)
6******医院指定地点
7.安装
7.1 安装过程中发生的费用由投标人负责。
7.2 投标人应在投标文件中提供其安装调试过程中买方需配合的内容。
7.3 随机资料相应资料。
8. 报价方式
8.1 所有投标价格为含税到用户人民币价(含货物应交纳的一切税费和伴随服务费)并进行分项报价;质保期后的维保费单独报价(不包括在投标价中),选购件单独分项报价(不包括在投标价中)。
******医院
2025年11月5日
