各參選企業(yè)：

因工作需要，擬采購****年信息安全保障服務，歡迎符合要求的企業(yè)積極參加評選，比選要求如下：

一、參選公司資質要求

(一)投標人須提供以下資質材料：

*.企業(yè)營業(yè)執(zhí)照[副本]復印件；

*.法定代表人身份證明材料復印件；

*.法人代表授權書原件及被授權人的身份證復印件(非法定代表人參選時提供；需法定代表人及被授權人雙方簽字或簽章)。

(二)投標人須提供如下承諾函原件：

*.具有獨立承擔民事責任的能力的合法供應商；

*.具有良好的商業(yè)信譽和健全的財務會計制度；

*.具有依法繳納稅收和社會保障資金的良好記錄；

*.近三年內在經營活動中沒有重大違法記錄；

*.具備履行合同所必需的設備和專業(yè)技術能力的證明材料；

*.具備法律、行政法規(guī)規(guī)定的其他條件。

*.參加比選活動前三年內，供應商單位及其現(xiàn)任法定代表人、主要負責人不得具有行賄犯罪記錄。

(上述資質材料均需加蓋企業(yè)鮮章并膠裝成冊；如有涉及簽字蓋章，需提供完整簽字蓋章頁；供應商未提供或提供不完整視為資格不能滿足本項目要求)

二、項目預算

總預算：******(元)；最高限價：******(元)。

采購清單

三、技術要求

(一)網絡資產盤點服務

**.對我中心本地化系統(tǒng)資產盤點(包括本地網絡約**臺網絡及安全設備，**臺服務器和***臺終端)，通過專用工具，采集、識別網絡的存活**、開放的服務端口、運行的業(yè)務組件，形成清晰的網絡資產臺賬。服務要求：*次/年；形成采購人審核通過的《網絡資產臺賬》。

*.本服務支持主流協(xié)議識別(包括主流網絡協(xié)議、數(shù)據(jù)庫、工控、視頻監(jiān)控等)，能夠識別包括****、****、******、****、***、***、***等端口協(xié)議。

*.本服務對資產指紋識別規(guī)則數(shù)目應≥******條，能夠對包括視頻監(jiān)控、交換機、路由器、網絡安全產品、服務器設備、企業(yè)應用軟件、***組件等資產進行識別。(提供功能截圖證明并加蓋供應商鮮章)

*.本服務應支持通過特定關鍵字進行資產查詢檢索，包括：標題、****頭內容、****內容、根域名、端口、協(xié)議、證書等。(提供功能截圖證明并加蓋供應商鮮章)

(二)網絡資產風險識別服務

**.對我中心網絡資產存在的高危漏洞、高危端口、弱口令、木馬后門、安裝代理軟件、部署遠程運維工具等風險隱患進行識別，定位問題資產，提供整改建議。服務要求：*次/年；形成采購人審核通過的《網絡資產風險識別服務報告》。

*.該服務需對風險資產進行**資源被占用監(jiān)測、重要**資源離線監(jiān)測、禁用端口監(jiān)測、禁用服務監(jiān)測、禁用軟件監(jiān)測、禁用硬件監(jiān)測、端口開放監(jiān)測。(提供功能截圖證明并加蓋供應商鮮章)

*.該服務需支持自動篩選出符合漏洞特征的風險資產，進行單一漏洞專項掃描；可指定資產范圍進行漏洞專掃；可選定自定義資產范圍及自定義漏洞進行漏洞專掃掃描。(提供功能截圖證明并加蓋供應商鮮章)

*.該服務需支持通過***編號關聯(lián)***(漏洞驗證程序)，關聯(lián)漏洞，支持對掃描出來的漏洞進行模擬利用功能。(提供功能截圖證明并加蓋供應商鮮章)

*.該服務需能夠整合**演習暴露的****或****漏洞庫及相關資源庫，提升對我中心關鍵網絡資產涉及到的相關漏洞識別及驗證能力。(提供功能截圖證明并加蓋供應商鮮章)

(三)邊界防護有效性驗證服務

**.通過持續(xù)性模擬攻擊驗證，對我中心網絡邊界安全防護措施進行實戰(zhàn)化檢測評估，定位防御失效環(huán)節(jié)，為后續(xù)安全防護能力提升提供依據(jù)。服務要求：*次/年；每次都形成采購人審核通過的《邊界防護有效性驗證服務報告》。

*.該服務需支持至少*種自定義攻擊驗證，包括但不限于：構造***攻擊包、上傳****流量包、上傳樣本文件、配置執(zhí)行的命令、上傳可執(zhí)行文件+配置執(zhí)行令、配置郵件等形式。(提供功能截圖證明并加蓋供應商鮮章)

*.該服務需支持對各類流量側相關攻擊的防護有效性檢測。包括但不限于：反彈*****、隧道代理、端口轉發(fā)、********通信、系統(tǒng)后門、橫向移動、暴力破解、遠控木馬通信等。(提供功能截圖證明并加蓋供應商鮮章)

(四)惡意代碼檢測機制有效性驗證服務

**.從實戰(zhàn)攻防對抗角度開展持續(xù)性模擬攻擊驗證，對我中心現(xiàn)有惡意代碼檢測機制有效性進行評估驗證，提供安全建議。服務要求：*次/年；每次都形成采購人審核通過的《惡意代碼檢測機制效性驗證服務報告》。

*.該服務需支持驗證惡意代碼檢測能力驗證，包括內存注入、惡意樣本落盤、代碼執(zhí)行、遠控木馬執(zhí)行等。(提供功能截圖證明并加蓋供應商鮮章)

*.該服務需支持在*******、*****環(huán)境下進行勒索軟件模擬加密攔截驗證，并支持在不運行真實勒索樣本的前提下，對各類勒索軟件的加密行為進行模擬。(提供功能截圖證明并加蓋供應商鮮章)

*.該服務需支持對容器環(huán)境下的反彈*****、持久化、通過漏洞投遞、內存注入、權限提升、惡意樣本落盤、容器逃逸、防御規(guī)避、命令執(zhí)行等行為進行驗證。(提供功能截圖證明并加蓋供應商鮮章)

(五)應用主機未知威脅防護服務

**.供應商須在重要保障時期對我中心本地化系統(tǒng)關鍵主機(約**臺)安裝部署主機未知威脅安全防護軟件，預警并阻斷網頁篡改、漏洞利用、數(shù)據(jù)竊取、潛伏控制等網絡攻擊事件，提升疾控系統(tǒng)抗“*-***漏洞攻擊”的實戰(zhàn)化網絡安防護能力。服務要求：我中心指定重要保障時期內(連續(xù)*個月)常態(tài)化部署。每月形成采購人審核通過的《應用主機未知威脅防護分析月報》。

*.該服務需應支持操作系統(tǒng)內核加固技術，對操作系統(tǒng)核心資源，如注冊表、網絡連接、系統(tǒng)文件、進程等資源進行有效防護。(提供功能截圖證明并加蓋供應商鮮章)

*.該服務需支持基于白名單機制的堡壘鎖防護，防護內容包括但不限于讀文件越權、寫文件越權、外聯(lián)訪問越權等；擁有自學習能力，可以自動學習被防護主機對外提供服務的進程及子進程，以及這些進程活動的目錄范圍、操作對象及外聯(lián)訪問，可以自動幫助用戶完成白名單的刻畫及防護配置。(提供功能截圖證明并加蓋供應商鮮章)

*.該服務需支持緊急情況下“一鍵”對服務器進行單/雙向隔離控制。(提供功能截圖證明并加蓋供應商鮮章)

*.該服務需對服務器上的特定文件進行監(jiān)控和防護，包括危險文件創(chuàng)建防護、危險命令執(zhí)行防護、敏感文件讀取防護等功能。(提供功能截圖證明并加蓋供應商鮮章)

*(六)安全策略梳理優(yōu)化服務

*.依據(jù)行業(yè)最佳實踐，結合我中心的網絡安全的實際情況，對現(xiàn)有安全防護設備的策略配置進行檢查。服務要求：*次/年；每次都形成采購人審核通過的《安全策略梳理優(yōu)化服務報告》。

*.根據(jù)邊界防護有效性驗證結果，安全檢測對防御策略失效問題進行分析，指導、協(xié)助我中心對相關安全設備的防御策略進行調優(yōu)。

*.指導設備廠商、信息系統(tǒng)運維公司進行安全整改。

*(七)專家咨詢服務

為我中心提供網絡和數(shù)據(jù)安全保護專家咨詢服務，咨詢內容包含但不限于網絡和數(shù)據(jù)安全保護政策法規(guī)解讀，網絡和數(shù)據(jù)安全管理、技術、運營、保障體系的規(guī)劃、評審。協(xié)助制定節(jié)假日、重點保障時期的保障方案。服務頻率：按需提供；每次都形成采購人審核通過的《網絡和數(shù)據(jù)安全保護專家咨詢報告》。

*(八)應急演練服務

按照我中心現(xiàn)行應急管理辦法/制度要求，組織專項應急演練，結合行業(yè)特性模擬單項突發(fā)網絡安全事件，進行應急處置演練，評估安全防護能力有效性，增強安全人員意識，提升網絡安全事件應急協(xié)調能力和處置能力。服務頻率：*次/年；形成采購人審核通過的《應急演練記錄》。

*四、商務要求

(一)服務時間

服務期限：自合同簽訂之日起一年。

(二)服務地點

四川省疾控中心。

(三)付款方式

收到中選供應商票據(jù)憑證資料后，按照財政性資金支付有關規(guī)定，分三次付款。第一次支付時間：服務滿*個月后，經驗收合格，支付總合同金額**%；第二次支付時間：服務滿*個月后，經驗收合格，支付總合同金額**%；第三次支付時間：服務滿**個月后，經驗收合格，支付總合同金額**%。

(四)項目成員要求

本項目中選后項目技術服務團隊不得隨意更換，若確實需要更換，則更換后的成員不得低于參選時在響應文件中提供的專家經驗水平和團隊人員的資質水平，且需要征得采購人同意。

注：*號項為實質性要求，須在響應文件作出完全響應，未完全響應、不滿足的視為參選無效。

五、評選標準：

綜合評分法(附后)

六、材料報送要求

請各參選公司根據(jù)項目要求提供相關資料及報價(資質材料一份，響應材料一式三份，一正兩副；需加蓋鮮章，膠裝并密封)，于****年*月**日上午*:**-**:**交至省疾控行政樓***室陳老師處，過時將不再接受資料報送。

資料報送電話：(***)********

項目咨詢電話：(***)********

四川省疾病預防控制中心

****年*月**日

評選標準：