北京农商银行基础软硬件漏洞分析及安全加固专家驻场服务采购和勒索病毒演练服务采购项目供应商征集公告
一、项目名称:基础软硬件漏洞分析及安全加固专家驻场服务采购和勒索病毒演练服务采购项目
二、采购内容简介
(一)基础软硬件漏洞分析及安全加固专家驻场服务采购
1.建设背景
采购2名基础软硬件漏洞分析和安全加固专家1年的驻场服务。
2.服务需求
2.1基础软硬件漏洞分析服务
(1)漏扫支持服务
乙方负责细化甲方制定的漏扫方案,在漏扫设备中调优相关扫描的配置项。在扫描期间,乙方做好现场值守。
(2)漏扫结果分析服务
乙方需收集已扫描系统的结果报告,并进行整合、加工处理,包括以下工作。
①结果收集:对已完成扫描的系统报告,乙方需在规定的时间内完成报告的收集工作,并检核漏扫实际的执行结果,对于因漏扫设备、网络等原因导致漏洞扫描未能成功开展的,需做好统计记录,并及时报送给甲方。甲方待问题解决后,再次发起漏扫服务。
②统计加工:乙方需按照甲方规定的维度,进行单系统及跨系统的多维度统计。结合我行主机和系统资产信息,整理出对于系统级别需要整改的漏洞清单。统计维度包括但不局限于:按照扫描出系统漏洞数目进行统计、按照各漏洞在多系统出现频次统计、按照存在命令执行、反序列化高危漏洞统计等。
③漏洞分析:乙方需按照甲方要求,对漏扫结果中的漏洞归类分析。分析的维度包括但不局限于漏洞本地/远程利用、是否需要权限、造成结果为命令执行/拒绝服务/缓冲区溢出、poc是否公开、受影响主机部署位置互联/外联/内网区域。必要时乙方人员需寻求服务商专家团队支持,使漏洞的分析工作系统化、科学化。
④出具整改意见:乙方完成漏洞分析后,需经甲方确认后形成正式的整改意见。整改意见应遵从科学、实际、可落地的原则。对于描出的中高危漏洞,需在扫描器原始漏洞评级的基础上,结合Poc/Exp是否公开、出现漏洞资产的部署位置等要素信息,形成科学的漏洞评级。对于商用软件原厂和开源社区不再提供支持的软件,乙方需客观的提供安全加固建议。
⑤出具服务报告:
进行安全扫描方案实施漏洞分析后,出具漏洞分析报告,报告名称《系统安全漏洞扫描分析报告》。报告中,会对此次扫描服务范围内的安全状况进行一个整体概述,对主机系统,网络设备,开放服务和漏洞情况进行一个统计。从每个主机的角度出具安全扫描分析报告。以上内容会通过表格,饼状图,柱状图直观地表现漏洞情况和安全情况。服务人员将会根据漏洞分析的结果针对每个漏洞进行详细描述,描述内容至少包括了漏洞厂商、威胁目标、危险级别、危害描述、检测依据以及乙方提供的详细解决方案等。
2.2基础软硬件安全加固服务
(1)出具加固方案:依据安全检查和漏洞扫描结果和安全建议,结合信息系统的实际运行情况,写出具有实际可操作性、可行的安全加固方案。逐个加固项都会有加固对象和影响范围和回退方案。回退方案是业务正常运行的必要步骤,必要时会在实验环境的条件下,进行加固实验,把握最小影响原则、规范性原则、整体性原则。
(2)出具安全加固报告:安全加固方案实施后,会出具一份安全加固报告。报告中,会对此次安全加固服务的范围进行一个整体概述,并详细记录每一个加固项及加固结果。对于未能实施加固的项进行详细说明,并提出安全补救措施和安全专家建议。报告包含以下内容:
①对加固过程的完整记录
②对加固系统安全审计结果
③有关系统安全管理方面的建议或解决方案
(3)安全加固服务的涉及的范围:
①网络设备加固范围
②主机操作系统加固范围
③数据库加固范围
④中间件及常见的网络服务加固范围
2.3市场发布的漏洞跟踪和排查服务
负责对于市场上发布最新的漏洞情况进行跟踪,并进行漏洞的排查工作。
2.4服务商需完成甲方指定的其他漏洞相关的工作。
3.服务方式
采用驻场服务方式完成。
4.服务周期
自合同签订之日起1年。
5.服务人员
项目实施人员要求提供原厂服务。
6.服务交付文档
《系统安全漏洞扫描分析报告》和《系统安全加固报告》。
7.项目验收要求
漏洞扫描、漏洞通告、监管发布、外部情报等渠道获取漏洞信息后进行漏洞扫描和安全加固。每次服务实施完成后,需要提交服务报告文档。
8.付款方式
合同期内,服务费分两次支付,每半年支付一次。我行对服务水平进行评价,评价结果为满意的支付合同总价的50%。
(二)2025年勒索病毒安全事件演练服务采购
1.建设背景
采购20人天的现场服务。
2.服务需求
2.1.技术需求:
(1)要求从互联网侧进行渗透,发现安全漏洞并对该漏洞是否可以利用进行文件上传进行验证,或以社会工程学的方式植入勒索病毒程序。
(2)要求制作有勒索病毒特征的恶意文件,用户电脑感染勒索病毒后会被加密,导致重要资料无法使用,对文件进行加密后能够解密。
2.2.演练阶段要求:
模拟演练服务主要分为三个阶段,包括演练准备阶段、演练实施阶段和演练收尾阶段。在准备阶段提供演练计划咨询、演练方案设计撰写与修订、演练前培训等工作。在演练实施和收尾阶段提供全程化的指导与咨询。具体内容如下:
(1)演练准备阶段:
①制定演练计划。包括确定演练目的、分析演练需求、确定演练范围、安排演练准备与实施的日程计划。
②设计演练方案。包括确定演练目标、设计演练情景与实施步骤、编写演练方案文件、演练方案评审。
③演练动员与培训。在演练开始前要进行演练动员和培训,确保所有演练参与人员掌握演练规则、演练情景和各自在演练中的任务。
(2)演练实施:在演练指挥与行动、演练解说、演练记录、演练宣传报道等环节提供指导、咨询,并进行实施效果评估。
(3)演练收尾:演练评估与总结,存在问题的组织进行整改。提供项目实施各阶段文档和成果交付物。根据演练过程存在的问题,对应急预案进行修订。
2.3.售后服务
(1)对勒索病毒演练中获取北京农商银行员工信息、系统防护体系等材料,严格保密,活动结束后及时销毁,不得留存。服务期内不得违法收集我行及其他机构敏感信息,不得散布关于我行的任何敏感信息。
(2)需设有24小时服务热线,并对我行所反映的问题于2小时内响应;对需现场支持的事项,达到现场时间应小于4小时。
(3)勒索病毒演练服务报告:勒索病毒演练活动结束后,即时出具勒索病毒演练服务报告,包括勒索病毒活动期间的整体情况总结、分析被勒索用户的行为、定制化提供整改建议等内容。
3.服务方式
采用驻场服务方式完成。
4.服务周期
自合同签订之日起现场服务满20人天。
5.服务人员
3年以上安全防护工作经验,具有信息安全相关的资质证书。安全资质证书符合如下之一:CISP、CISP-PTE、CISP-IRE。
6.服务交付文档
勒索病毒演练服务报告。
7.项目验收要求
乙方根据服务范围和进度将各阶段的提交成果(或过程性材料)提交甲方审查、检验或测试。若甲方指出存在的问题和修改意见,乙方应根据甲方意见并经双方充分讨论达成一致,对相应的提交成果(或过程性材料)进行修改,直到得到甲方的同意。
8.付款方式
服务商提供项目实施各阶段文档和成果交付物,我行验收通过后一次性支付合同总价的100%。如存在扣款项,按照合同约定进行扣款。
三、意向供应商资质要求及提交材料要求
(一)供应商资质要求
1.具有独立承担民事责任的能力。
2.具有良好的商业信誉和健全的财务会计制度。
3.具有履行合同所必需的设备和专业技术能力。
4.有依法缴纳税收和社会保障资金的良好记录。
5.最近三年内,在经营活动中没有重大违法记录。
6.投标公司或代理的原厂商具有国家信息安全测评信息安全服务资质证书-风险评估类、国家信息安全测评信息安全服务资质证书-数据安全类和CCRC信息安全服务资质认证证书,并且为中国国家信息安全漏洞(CNNVD)的技术支持单位。(提供资质扫描件)。
7.如代理商参与,需提供原厂商对本项目的授权。
(二)提交材料内容
1.供应商情况表需提供盖章扫描件及Word可编辑版。
2.在“国家企业信用信息公示系统”、“信用中国”系统提供查询结果(截屏盖章),包括不限于经营异常、行政处罚、变更记录、重大税收违法失信情况等。
3.提交加盖单位公章的载有统一社会信用代码的营业执照,材料需为PDF格式文件。
4.提交加盖单位公章的能证明满足供应商资质要求的文件。
(三)提交材料要求
1.邮件主题:项目名称+公司名称;邮件主题、正文、附件中不能含敏感字。
2.邮件正文中要写明公司的联系人姓名、手机号、邮箱。
3.须以传统方式黏贴附件,不能发云附件;发送的附件(压缩文件、文档等)不得设置密码或编辑权限;单个邮件大小控制在50MB以内(如果超限,可分几个邮件发)。
4.报名资料未按要求提供或提供不全的情况,采购人将拒绝其报名。
5.采购人视收到的上述材料不涉及商业秘密。
6.采购人可能根据项目情况取消采购,供应商应予接受。
7.不接受联合体参与报名,不得以任何形式转包或分包。
8.前来报名的供应商应保证所提供材料的真实合法性,并由此承担法律风险和赔偿责任。采购人保留对相关材料进一步核实的权利,如发现提供虚假材料的供应商,采购人将取消其本次及以后的报名资格。
四、征集期
自2025年7月22日起至2025年7月28日16时止。
请在规定时间内参与报名,截至报名日期后我行将不再接受任何形式的申请材料。
联系人及电话:龙老师 010-58727326
邮箱地址(专用):jhcw_gyszj@bjrcb.com
北京农村商业银行股份有限公司
2025年7月22日