广州市交通运输局2021年网络安全咨询服务询价通知书

　　一、采购事项：广州市交通运输局2021年网络安全咨询服务

　　二、采购单位：广州市交通运输局

　　三、采购编号：GZJTWLZXXJ-2020-1202

　　四、报价截止时间及报价文件递交地点：

　　1、询价通知书公告及报价截止时间：询价通知书于广州交通信息网公告，公告时间为即日起，至2020年12月2日下午15:00止，逾期送达或邮寄送达的投标文件恕不接收。

　　2、报价文件递交地点：广州市天河南二路1号广州交通信息指挥中心大楼18楼1802会议室。

　　3、报价文件启封时间：2020年12月2日下午15:00，请各报价单位的法定代表人到场参与报价，并提供法定代表人证明书。法定代表人不能到场的，可委托代理人到场参加报价，并需提供法定代表人证明书、法定代表人授权委托书及被授权代理人的身份证。

　　4、项目联系人：喻先生、严先生，（020）38180031、（020）38180426。

　　五、项目投资来源及规模：

　　项目资金全部由财政专项经费解决，总投资不超过10万元。

　　六、采购需求：

　　1、网络安全咨询服务总体工作。

　　通过询价方式确定网络安全咨询服务单位后，签订网络安全咨询服务合同，并开展网络安全咨询服务。网络安全咨询服务单位检查了解用户安全需求、网络结构和控制措施、查找技术文档中的技术缺陷、制定现场检查实施方案、准备相应的检查表单和测试工具、调研现有的安全防护措施及其落实情况。通过现场人员访谈、文档审查、实地察看、配置核查、工具测试、脆弱性扫描、日志分析，以及渗透测试等检查工作，对检查结果记录进行整理、汇总，将汇总结果对检查标准的各项要求进行综合判断，最终形成综合分析结果。根据综合分析结果，对被检查单位的信息系统安全状况进行整体评价，最终形成检查报告。

　　2、网络安全咨询服务范围。

　　为广州市交通运输局提供网络安全咨询服务支撑，每月例行检查、结合上级检查及重大活动情况开展广州市交通运输局机关重要网站及系统网络安全扫描及相关检查，配合开展年度局属单位网络安全全覆盖检查工作。

　　3、网络安全咨询服务内容和要求。

　　包括但不限于以下工作内容和工作要求：

　　（1）开展网站及系统网络安全扫描及渗透测试，检查网站系统安全情况；

　　（2）检查是否具有最新网络拓扑图；

　　（3）检查网络边界或其他区域访问控制措施情况；

　　（4）检查是否采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

　　（5）检查是否对重要数据备份及相关数据加密措施落实情况；

　　（6）对广州市交通运输局扫描检查时发现的安全漏洞及时进行整改修复，并出具相关报告；

　　（7）在完成每个局属单位网络安全情况检查后2个工作日内，将检查工作相关情况整理形成报告提交至局科技信息处。

　　（8）在受检单位在完成整改后，对其进行复查，并出具检查结果报告。

　　（9）出具报告，经广州市交通运输局书面认可内容和格式。

　　4、检查实施方式。

　　人员访谈：由专业安全团队到现场，通过访谈的方式向安全主管、安全管理员、系统管理员等了解被检查单位在安全管理体系制定、制度落实、安全防护策略制定等方面的措施。

　　文档查阅：对安全管理制度执行记录、日常运维记录、应急预案制定及执行情况等进行文档核查。

　　网络安全技术检查：由专业安全团队，通过安全检测工具、木马病毒检测工具、数据包分析工具等开展工具测试，结合人工渗透测试等发现目标应用系统、服务器、存在的重要威胁。其中：

　　配置核查，由专业安全团队对被检单位的网络、安全设备、操作系统、数据库、中间件、应用系统等抽取并核查其安全策略配置。进行人员访谈，工具检查，确认各项配置措施、安全策略是否符合各项设备的安全要求。

　　脆弱性扫描，由专业的安全服务团队对信息资产进行基于网络、系统层面安全扫描，其特点是能对被评估目标进行覆盖面广泛的安全漏洞检查，并反映主机系统、数据库、中间件、网络设备、应用系统所存在的网络安全问题和面临的网络安全威胁，通过脆弱性扫描评估目标设备的安全状态并提供漏洞修复建议。脆弱性扫描内容包括但不限于以下方面：服务器可能存在的弱口令、RPC服务漏洞、RDP、SSH管理协议漏洞，后门程序、DNS域名解析服务组件漏洞、邮件服务组件漏洞、文件服务组件漏洞、网络设备与防火墙远程管理漏洞等。

　　渗透测试，渗透测试人员在取得授权后对被检单位重要系统进行黑客模拟攻击，其中渗透测试包括但不限于以下方面：系统弱口令、SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、目录遍历漏洞、越权访问漏洞、命令执行漏洞、木马、暗链等。通过渗透和攻击行为发现系统存在的安全漏洞及隐患，评估网站的安全状态并提供漏洞修复建议。

　　网络安全结构检查，通过技术检查以及人员访谈，对被检单位基础网络结构、无线Wifi、区域划分、安全控制策略、入侵及病毒防护、设备管理及日志保存、分析情况等进行检查。评估被检单位网络结构安全情况并提供加固建议。

　　网络安全检查工作成果：《安全检查方案》、《安全检查报告》。

　　七、报价要求：

　　报价供应商根据自身情况在报价函填写报价，报价不得高于最高限价￥100，000.00（人民币拾万元整）。

　　八、报价供应商的资格要求

　　1、报价供应商应具有独立的法人资格，并提供经年检的法人营业执照（副本）复印件。

　　2、如报价供应商代表不是法定代表人的，报价供应商必须提供法定代表人对报价供应商代表的授权书原件，及报价供应商代表的身份证复印件。

　　3、需要具备中国信息安全测评中心颁发的信息安全服务资质证书（风险评估二级或以上）或中国网络安全审查技术与认证中心信息安全服务资质证书二级或以上（信息安全风险评估）。

　　4、本项目不接受联合体投标。

　　八、报价文件的组成：

　　1、承诺函；2、报价函；3、报价单位法人营业执照；4、法定代表人（负责人）证明书/授权委托证明书；5、报价单位信息安全服务资质认可证书；6、询价项目报价响应表。报价文件格式见附件，报价文件正本一份、副本一份。

　　九、成交供应商的评定规则：

　　本项目采用询价方式，以供应商的唯一最低报价来确定项目的服务商。服务商应按照“守法、公平、公正、独立”的原则，依照有关法律法规和标准规范，保证项目按期、高质量地完成。

　　1、当达到报价截止时间，少于3家符合资格要求的供应商参与询价报价，将作询价终止处理。

　　2、当达到报价截止时间，不少于3家符合资格要求的供应商参与询价报价：

　　报价依次不超过两轮进行，每一轮由供应商现场同时独立报价，各家供应商之间不得研商，第二轮报价不得高于第一轮报价，按以下规则评定出本项目成交供应商或终止询价。

　　1）若同一轮报价中，只有一家供应商报价为有效报价，则确定该报价供应商为本项目成交供应商，项目成交金额按成交供应商报价执行，报价终止。

　　2）若同一轮报价中有不少于2家供应商均符合报价规则，且各有效报价供应商的报价不完全一致，则采购单位确定以唯一报价最低者作为本项目成交供应商，项目成交金额按成交供应商报价执行，报价终止。

　　3）第一轮报价不能确定唯一报价最低者的，最低报价供应商进行第二轮报价。

　　4）若第二轮报价后，有效报价供应商的报价均一致，或者最低报价供应商多于1家的，将作询价终止处理。

　　3、报价供应商关于评定规则有异议的，应于报价开始前一次性提出，报价开始后将不再接受质询。

　　4、合同范本可参考附件7，合同金额为有效最低报价，合同金额以万为单位，截取小数点后两位。

　　附件：1-6 .报价文件（模板）.doc

　　     7.网络安全咨询服务合同（范本）.doc

　　广州市交通运输局

　　2020年11月27日