北京农商银行2026-2027年主机安全运营核查服务及钓鱼邮件演练服务采购项目供应商征集公告

一、项目名称：2026-2027年主机安全运营核查服务及钓鱼邮件演练服务采购项目

二、采购内容简介

为满足我行安全发展需要，拟启动2026-2027年主机安全运营核查服务及钓鱼邮件演练服务采购项目，该项目包含两个子项目，详情如下：

（一）2026-2027年主机安全运营核查服务采购

1.项目需求

（1）服务内容

要求服务商基于我行的主机防护产品提供主机安全运营核查服务，我行主机防护产品包括青藤主机自适应安全软件和青藤猎鹰威胁狩猎平台软件，要求提供原厂服务，内容具体如下：

①资产运营服务：服务期内每周提供1次深度巡检，梳理主机资产，统计agent覆盖率、在线率。按月输出资产运营报告，报告内容需要包含资产问题改善建议。

②漏洞管理运营服务：服务期内每周提供1次深度检查工作。按月输出漏洞运营报告，报告内容包括：漏洞概述、漏洞环境、漏洞原理、漏洞利用、流量特征、漏洞排查、漏洞缓解、漏洞修复建议等内容。

③入侵响应运行服务：服务期内每周提供1次入侵响应运行服务，统计暴力破解事件的数量及趋势、统计异常登录事件的数量及趋势、统计反弹shell事件的数量及趋势、统计本地提权事件的数量及趋势、统计后门检测事件的数量及趋势、统计webshell事件的数量及趋势、统计可疑操作事件的数量及趋势、统计Web命令执行的数量及趋势、统计内存后门的数量及趋势、统计病毒事件的数量及趋势、统计蜜罐事件的数量及趋势。按月输出入侵运营报告，报告内容包括：入侵深度分析，入侵处置等内容。

④威胁狩猎建模：服务期内每周提供1次威胁狩猎建模服务。为我行定制内置研判溯源模型，结合实际环境，实现对事件溯源取证。按月输出威胁狩猎建模报告，报告内容包括：月度总结、研判溯源、高级威胁分析、威胁建模专项表。

⑤重保运营：服务期内提供84人天的重点保障期服务，提供对我行主机防护产品的现场7*24小时值守保障服务。重点保障期包括但不限于：国家重大政治活动、网络安全攻防演练、年终决算、重大节日等。每完成1次重保服务，输出1份重保总结报告，报告内容包括：服务情况、发现攻击情况、对我行的安全工作建议等。

（2）服务方式

本项目拟采用现场服务的方式完成。

（3）服务周期

本项目服务周期为2年。

（4）服务人员数量及资质

本项目至少配备2名主机安全运营核查服务人员，并具有2年以上安全服务工作经验，要求提供原厂服务。

（5）服务交付文档

服务①-④在服务期内按月提交服务报告，为资产运营报告、漏洞运营报告、入侵运营报告、威胁狩猎建模报告。

服务⑤按照重保事项提交重保总结报告。

2.项目验收要求：乙方根据服务范围和进度将各阶段的提交成果（或过程性材料）提交甲方审查、检验或测试。若甲方指出存在的问题和修改意见，乙方应根据甲方意见并经双方充分讨论达成一致，对相应的提交成果（或过程性材料）进行修改，直到得到甲方的同意。

3.付款方式

按照合同签订后每半年根据输出物交付情况，按比例支付合同金额。

（二）2026-2027年钓鱼邮件演练服务采购项目

1.项目需求

（1）钓鱼邮件定制：根据北京农商银行组织架构、系统架构等实际工作特点，并结合最新钓鱼邮件风险事件动态，定制化钓鱼邮件的发件邮箱域名、发件人、邮件正文内容、邮件附件，以及其他邮件参数。邮件应包含钓鱼邮件的识别点、诱导收件人点击访问的恶意链接、二维码、可执行程序或压缩包（要求能触发或绕过我行防病毒系统，不允许进行横向传播、破坏我行计算机软硬件）等；

（2）钓鱼网站搭建：根据定制化的钓鱼邮件主题内容，搭建相对应的钓鱼网站，诱导收件人访问，并可记录访问人姓名、手机号码、员工邮箱等信息；

（3）开展钓鱼邮件演练活动：根据北京农商银行提供的钓鱼邮件收件人邮箱，至少开展钓鱼邮件演练活动2次，2次演练活动根据实际情况定制不同的钓鱼邮件内容、钓鱼网站，并在规定时间内开启/关闭钓鱼网站。钓鱼邮件演练人数支持10000人以上。

2.售后服务

（1）对钓鱼邮件演练中获取北京农商银行员工信息、系统防护体系等材料，严格保密，活动结束后及时销毁，不得留存。服务期内不得违法收集我行及其他机构敏感信息，不得散布关于我行的任何敏感信息；

（2）需设有24小时服务热线，并对我行所反映的问题于2小时内响应；对需现场支持的事项，达到现场时间应小于4小时；

（3）钓鱼邮件演练服务报告：钓鱼邮件演练活动结束后，即时出具钓鱼邮件演练服务报告，包括钓鱼邮件活动期间的整体情况总结、分析被钓鱼用户的行为、定制化提供整改建议等内容；

（4）信息安全意识提升培训：根据钓鱼邮件演练活动情况，定制化开展信息安全意识提升培训。

2.服务方式

本项目拟采用远程服务的方式完成。

3.服务周期

本项目服务周期为2年。

4.项目实施人员要求：

要求项目实施人员具有2年以上安全服务工作经验。

5.项目验收要求：乙方根据服务范围和进度将各阶段的提交成果（或过程性材料）提交甲方审查、检验或测试。若甲方指出存在的问题和修改意见，乙方应根据甲方意见并经双方充分讨论达成一致，对相应的提交成果（或过程性材料）进行修改，直到得到甲方的同意。

6.付款方式

服务商提供项目实施各阶段文档和成果交付物，按照合同签订后每年根据输出物交付情况支付合同金额的50%，如存在扣款项，按照合同约定进行扣款。

三、意向供应商资质要求及提交材料要求

（一）供应商资质要求

1、基本要求：

（1）具有独立承担民事责任的能力；

（2）具有良好的商业信誉和健全的财务会计制度；

（3）具有履行合同所必需的设备和专业技术能力；

（4）有依法缴纳税收和社会保障资金的良好记录；

（5）参加采购活动前三年内，在经营活动中没有重大违法违规记录；

（6）存在关联关系的不同单位，不得同时参与本项目；

（7）本项目不接受联合体参与，不接受分包、转包。

2.针对本项目供应商应具备的具体要求：

（1）资质要求：具有以下资质其中之一：

t具有信息安全管理体系认证证书。

（2）提供的产品或服务须具有近5年（自2021年起至今）的项目案例。

       t 同业同类案例

（3）其他

（二）提交材料内容 

1.供应商情况表需提供盖章扫描件及Word可编辑版。

2.具有良好的商业信誉和健全的财务会计制度书面声明并加盖公章，此项材料要求为PDF格式文件。

3.具有依法缴纳税收和社会保障资金的良好记录书面声明并加盖公章，此项材料要求为PDF格式文件。

4.在“国家企业信用信息公示系统”、“信用中国”系统提供查询结果(截屏盖章），包括不限于经营异常、行政处罚、变更记录、重大税收违法失信情况等。  

5.近三年内在经营活动中没有重大违法记录书面声明并加盖公章，此项材料要求为PDF格式文件。

6.提交加盖单位公章的载有统一社会信用代码的营业执照，材料需为PDF格式文件。

7.提交无关联关系公司参与本项目承诺函并加盖公章。

8.若为代理商报名，需提交原厂授权证明并加盖公章。

（三）提交材料要求
　　1.邮件主题：项目名称+公司名称；邮件主题、正文、附件中不能含敏感字。
　　2.邮件正文中要写明公司的联系人姓名、手机号、邮箱。
　　3.须以传统方式黏贴附件，不能发云附件；发送的附件（压缩文件、文档等）不得设置密码或编辑权限；单个邮件大小控制在50MB以内（如果超限，可分几个邮件发）。
　　4.报名资料未按要求提供或提供不全的情况，采购人将拒绝其报名。

5.采购人视收到的上述材料不涉及商业秘密。

6.采购人可能根据项目情况取消采购，供应商应予接受。

7.前来报名的供应商应保证所提供材料的真实合法性，并由此承担法律风险和赔偿责任。采购人保留对相关材料进一步核实的权利，如发现提供虚假材料的供应商，采购人将取消其本次及以后的报名资格。

8.存在关联的公司在同一项目中只能参选1家公司。

四、征集期

自2025年11月19日起至2025年11月25日16时止。

请在规定时间内参与报名，截至报名日期后我行将不再接受任何形式的申请材料。
    联系人及电话：宋老师  010-58727335

邮箱地址（专用）：jhcw_gyszj@bjrcb.com

                         北京农村商业银行股份有限公司

2025年11月19日