北京农商银行2026-2027年攻防演练和2026-2028年众测平台租赁服务采购项目供应商征集公告
一、项目名称:2026-2027年攻防演练和2026-2028年众测平台租赁服务采购项目
二、采购内容简介
为满足我行安全发展需要,拟启动2026-2027年攻防演练和2026-2028年众测平台租赁服务采购项目,该项目包含两个子项目,详情如下:
(一)2026-2027年攻防演练平台租赁服务采购项目
1.我行拟于2026-2027年开展两次网络安全攻防演练,拟租赁攻防演练平台Saas服务,并采购相关支持和裁判服务。具体要求如下:
(1)租赁攻防演练平台主要功能需求详见附件1。
(2)产品要求
(a)支持多样化报表输出,例如成果报告、攻击日志、隐患汇总报告、防御成果报告,包含提交人、提交时间、攻击单位、防守单位、目标系统名称、目标系统IP、域名、URL、攻击出口IP、攻击方式、风险等级、隐患描述、漏洞截图、里程碑等内容。
(b)实现系统的自动评分,由裁判统一确认通过。
(c)可以做到“全程监控、全程记录、全程审计”,为实战攻防演习全过程提供安全与技术的支撑。
(3)服务需求
本项目包括两次信息安全攻防演练平台租赁服务。每次攻防演练计划实施“12+3”计划,12个工作日进行实战演练,3个工作日进行结果复盘,每次演练的服务周期为15个工作日,租赁期限总计为30个工作日,同时需设备原厂商提供30个工作日(每次攻防演练15个工作日)的平台支持和裁判服务,服务内容包括整体规划、设备部署、网络环境搭建、监控环境搭建、性能测试、演习保障、裁判服务、演习结果复盘等。
(a)整体规划
明确演习需求、演习技术实施方案制定、演习流程规划、演习规则制定、人员组织安排等工作。
(b)设备部署
负责攻防演练平台的部署、配置、验证、数据导入等环节工作。
(c)网络环境搭建
负责攻防演练相关的网络搭建与配置。
(d)监控环境搭建
负责攻防演练选手监控环境的搭建。
(e)性能测试
集成测试、压力测试、场景测试。
(f)演练保障
负责演练活动的全程保障,针对参演选手提出的问题进行答疑,对演练过程中出现的参演选手账户、平台、环境等相关问题进行及时处理,对演练结果进行有效的评判,保障演习有效进行。
(g)裁判服务
演练过程中提供3名裁判加入裁判组,以第三方的角度对攻防双方提交的报告进行公平公正的研判。
(h)演练结果复盘
演练结束后对整个演练进行结果的汇总,全程的回顾,问题的总结。
2.服务方式
本项目拟采用现场服务的方式完成。
3.服务周期
本项目服务周期为1年半。
4.服务人员数量及资质
演练过程中提供3名裁判加入裁判组,以第三方的角度对攻防双方提交的报告进行公平公正的研判。
5.服务交付文档
(a)乙方应提交基于攻防演练平台的演练流程、实施方案、项目总结报告、项目过程文档、人员出勤情况、培训教材等,具体的交付物包括:
1.《攻防演练组织流程》:包含演练规则和成果判定标准;
2.《攻防演练保障措施》;
3.《XX事件故障响应处理报告》(按需);
4.《攻防演练平台使用培训材料》;
5.项目过程文档:日报等;
6.《项目总结报告》;
7.演练视频。
(b)项目验收要求:本项目根据攻防演练平台使用情况、现场保障情况和交付物提供情况进行验收,每次攻防演练结束后,乙方向甲方交付以上全部输出物,并经甲方认可后,方可完成验收。
(c)付款方式
攻防演练平台部署验收合格,平台支持和裁判服务完成,保障我行的攻防演练顺利实施,每次攻防演练结束后并交付相关产出物和工作量确认单,支付攻防演练平台租赁服务部分金额的50%。如存在扣款项,按照合同约定进行扣款。
(二)2026-2028年众测平台租赁服务采购项目
本项目拟租赁众测平台,用于我行众测项目发布、漏洞的提交、审核和统计,统一管理测试人员,并对测试过程进行流量监测和事后回溯审计。
1.具体需求如下:
(1)测试管理服务
(a)支持发布众测项目。
(b)支持不同渗透测试人员和项目发布方的用户和角色管理功能。
(c)支持对测试过程中的流量进行监测。
(d)支持对每个测试人员的测试流量进行回溯审计。
(2)漏洞管理服务
(a)提供漏洞管理的功能
包括测试单位名称、漏洞序号、漏洞名称、漏洞级别(超危、高危、中危、低危)、漏洞类型、漏洞位置、漏洞危害、漏洞证明截图或者视频(单独附件)、修复建议、提交时间等。
(b)支持审核漏洞及调整漏洞级别,并留存审核调整的记录。
(c)支持多维度(比如从提交服务商、提交时间段、漏洞类型、漏洞级别等)对漏洞进行查询统计。
(3)服务要求
(a)对所有我行漏洞数据严格保密,不得用于其他任何用途,合同终止后需销毁我行相关的历史数据等信息;
(b)配合我行相关的监管审查、内外部审计等工作,出具相关报告;
(c)服务期内不得违法收集我行及其他机构敏感信息,不得散布关于我行的任何敏感信息;
(d)服务期内对我行漏洞数据做好持久化,不能丢失和泄露漏洞数据;服务期结束后需在我行要求时间内彻底删除我行所有漏洞数据。
2.服务方式
服务采用本地部署方式进行部署。
3.服务周期
服务期限为2年。
4.服务人员数量及资质
需设有24小时服务热线,并对我行所反映的问题于2小时内响应;对需现场支持的事项,达到现场时间应小于4小时。
5.服务交付文档
(a)乙方在甲方的指定区域完成渗透测试众测平台产品的部署且产品能正常使用满两年。
(b)乙方在安全众测过程中提供了安全管控与安全审计报告,向甲方提交《众测平台流量审计报告》。
(c)项目验收要求:乙方在甲方的指定区域完成渗透测试众测平台产品的部署且产品能正常使用满两年。乙方在安全众测过程中按甲方要求提供安全管控与安全审计报告,向甲方提交《众测平台流量审计报告》。
(d)付款方式
分 3 笔支付,具体如下:
第 1 笔款项:满足 合同签订,服务商向我行提供正式发票,且众测平台在我行部署成功后,乙方向甲方交付 渗透测试众测平台软件 且经甲方验收合格,乙方向甲方提交正式增值税专用发票后30日内,甲方向乙方支付合同中众测平台租赁服务部分金额 5 %的合同款项。
第 2 笔款项:满足 自合同签订之日起一年后,乙方向甲方交付众测平台流量审计报告且经甲方验收合格,乙方向甲方提交正式增值税专用发票后30日内,甲方向乙方支付合同中众测平台租赁服务部分金额 45 %的合同款项。
第 3 笔款项:满足 自合同签订之日起两年后,乙方向甲方交付众测平台流量审计报告且经甲方验收合格,乙方向甲方提交正式增值税专用发票后30日内,甲方向乙方支付合同中众测平台租赁服务部分金额 50 %的合同款项。
三、意向供应商资质要求及提交材料要求
(一)供应商资质要求
1、基本要求:
(1)具有独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必需的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)参加采购活动前三年内,在经营活动中没有重大违法违规记录;
(6)存在关联关系的不同单位,不得同时参与本项目;
(7)本项目不接受联合体参与,不接受分包、转包;
(8)本项目不接受代理商参与投标。
2.针对本项目供应商应具备的具体要求:
(1)资质要求:同时具有以下资质:
t具有信息安全管理体系认证证书。
tCCRC颁发的信息安全服务资质认证,证书名称: CCRC-信息安全服务资质认证证书-网络安全审计证书 。
(2)提供的产品或服务须具有近5年(自2020年起至今)的项目案例。
t 同业同类案例
3.其他
要求提供攻防演练平台和众测平台案例,仅提供其中之一的案例视为不符合案例标准。
(二)提交材料内容
1.供应商情况表需提供盖章扫描件及Word可编辑版。
2.具有良好的商业信誉和健全的财务会计制度书面声明并加盖公章,此项材料要求为PDF格式文件。
3.具有依法缴纳税收和社会保障资金的良好记录书面声明并加盖公章,此项材料要求为PDF格式文件。
4.在“国家企业信用信息公示系统”、“信用中国”系统提供查询结果(截屏盖章),包括不限于经营异常、行政处罚、变更记录、重大税收违法失信情况等。
5.近三年内在经营活动中没有重大违法记录书面声明并加盖公章,此项材料要求为PDF格式文件。
6.提交加盖单位公章的载有统一社会信用代码的营业执照,材料需为PDF格式文件。
7.提交无关联关系公司参与本项目承诺函并加盖公章。
(三)提交材料要求
1.邮件主题:项目名称+公司名称;邮件主题、正文、附件中不能含敏感字。
2.邮件正文中要写明公司的联系人姓名、手机号、邮箱。
3.须以传统方式黏贴附件,不能发云附件;发送的附件(压缩文件、文档等)不得设置密码或编辑权限;单个邮件大小控制在50MB以内(如果超限,可分几个邮件发)。
4.报名资料未按要求提供或提供不全的情况,采购人将拒绝其报名。
5.采购人视收到的上述材料不涉及商业秘密。
6.采购人可能根据项目情况取消采购,供应商应予接受。
7.前来报名的供应商应保证所提供材料的真实合法性,并由此承担法律风险和赔偿责任。采购人保留对相关材料进一步核实的权利,如发现提供虚假材料的供应商,采购人将取消其本次及以后的报名资格。
8.存在关联的公司在同一项目中只能参选1家公司。
四、征集期
自2025年11月28日起至2025年12月04日16时止。
请在规定时间内参与报名,截至报名日期后我行将不再接受任何形式的申请材料。
联系人及电话:宋老师 010-58727335
邮箱地址(专用):jhcw_gyszj@bjrcb.com
北京农村商业银行股份有限公司
2025年11月28日