招标编号:CRRCXX2017004
招标类别:企业自主招标
所属地区:北京
招标名称:中国中车总部信息安全服务项目
1.招标内容
中国中车是以轨道交通装备为核心的大型国有企业,根据国家有关规定和技术标准规范,为完善信息安全防控技术措施和手段,建立健全信息安全管理技术体系,加强信息安全保障能力。现在中国中车致力于由设备采购为主的安全保障方式转为以服务总包为主的安全保障服务,此项目为交钥匙服务工程。为切实保障信息系统的安全稳定运行,现采用公开招标方式进行“中国中车总部信息安全服务项目”合作服务单位的招标工作。中国中车总部数据中心分为五棵松数据中心与方庄数据中心,包含但不限于应用系统61个,20个外网,内网41个,主机137个,安全设备包括(方庄数据中心安全设备数量:WAF 3台、IPS 1台、防火墙 8台、漏扫1台、防毒墙2台。五棵松数据中心:防火墙 3台、IPS 2台、漏扫1台、防毒墙 2台、网闸 2台、WAF 1台)。
该项目将包括但不限于总部网络与信息系统的渗透测试、集团总部网络与信息系统风险评估、集团总部信息安全检测、集团总部信息安全防护体系建设咨询服务、集团总部信息安全预警服务、集团总部信息安全应急响应服务、集团总部信息安全培训服务。具体内容包括但不限于以下内容:
(1)风险评估服务
包含资产梳理、系统脆弱性扫描、安全配置检查服务、风险评估、安全加固、弱口令检测服务内容。
(2)渗透测试服务
模拟黑客通过互联网对集团总部信息系统展开“初测+复测”两次渗透测试,掌握外部入侵的途径,及时发现各方面安全漏洞,评估数据外泄风险,逐家提出详细整改意见,并对隐患整改工作提供技术指导。
(3)WEB系统漏扫扫描服务
对中车总部WEB应用系统进行周期性web漏洞扫描检测,及时发现各方面安全漏洞,评估数据外泄风险,提出详细整改意见,并对隐患整改工作提供技术指导,
(4)WEB系统安全监测预警服务
基于中车总部互联网业务(不少于50个)预警系统、数据分析平台,对服务范围内的网站和业务系统进行木马、盗链、内容篡改、无法访问、攻击尝试等内容的实时监测,并具有及时发现并进行紧急处理能力,对高危漏洞进行人工验证,针对告警信息按照事件响应等级进行响应并通报。
(5)抗DDoS防护服务
对外网出口进行抗DDoS防护解决方案服务,防护内容:支持对欺骗与非欺骗的TCP 、UDP、ICMP及混合类型攻击的防护,具备HTTP GET flood(CC攻击)、HTTP Post flood、HTTP代理型攻击、慢速攻击、连接耗尽攻击、空连接攻击、SIP flood的防护。策略设置:支持URL-ACL、黑名单、白名单等机制的防护策略设置;抗D防护:提供最少30G的DDOS攻击防护清洗能力,并提供不少于600G的扩展防护能力;CC防护:防护针对网站的CC攻击,提供5万QPS流量的CC防护能力;网站安全状况统计分析:可隐藏被防护网站的真实IP。DNS攻击防护:提供最少80G的DNS攻击清洗服务,并具有提供抵御不低于100G的DNS攻击清洗服务的能力。
(6)全流量威胁分析设备服务
利用威胁数据情报,通过安全服务的方式,使用采集到的安全大数据并采用专业攻防思路构建分析模型,提供内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的周期性的检测、发现和响应服务。
( 7 )安全设备外包服务
处于安全形势需要为已过保或老旧网络安全产品提供产品备机服务,招标方以租用服务形式进行设备更新安全产品设备,包含老旧设备更新租用服务及新安全功能缺乏设备上线租用服务。(投标方梳理甲方相关设备后认为招标方缺乏相应防护手段的,为确保招标方网络、应用系统、数据安全的新上线设备均包含在此服务中)
(8)新系统上线前安全评估
新系统上线前安全评估服务的对象是应用系统,包括物理环境、网络设备、操作系统、应用软件、代码审计服务等。并提交风险评估报告及安全加固建议书,指导总部安全运维团队进行加固和整改,并对整改结果展开复测,
(9)集团总部信息安全防护体系建设咨询服务
辅助总部从管理、技术、运维三个方面完善信息安全体系的建设。管理方面,辅助公司开展信息安全制度文件修订、信息安全工作流程梳理、安全管控策略优化等工作;技术方面,提供信息安全技防体系整体架构与建设路线专业咨询、技防系统建设立项与设计方案评估、安全项目实施监理等服务;运维方面,辅助总部完善安全运维体系建设,包括运维流程咨询、应急策略制定等。
(10)应急响应服务、敏感时期重点保障值守服务
服务商须提供整个服务年内的7×24应急响应服务,应急响应工程师须在2小时内到达现场,并迅速解决问题,通过技术手段保留取证信息等,在特殊敏感时期,根据招标人需要,须指派富有经验的安全工程师前往招标人指定地点进行8*5不间断值守。进行如安全设备监控、安全巡检、安全日志分析、应急处置等与运维相关的工作
(11)集团总部信息安全人员培训服务
从技术与管理层进行培训,每年提供1次技术培训包括:安全攻防技术、安全产品知识、系统安全技术培训;每年提供1次管理培训包括:信息安全管理意识、信息安全管理实施、标准与流程专题讲解。
(12)信息安全管理平台服务
在中车总部建立一套信息安全管理平台需要具备但不限于主机安全状态监控、威胁发现、日志管理、日志检索、展示与分析、报表、实时关联分析性能功能的安全信息管理平台,并提供后续功能开发服务。
2.招标人资格要求
1.在中华人民共和国境内(不含港、澳、台地区),依法注册且注册资本金≥2000万元人民币,具有独立法人资格,并具有独立承担民事责任的能力。公司成立时间不少于3年。在北京有常设机构,有系统实施人员配备。
2.具有良好的商业信誉和健全的财务会计制度。参加本次招标前三年内,在经营活动中没有重大失误和违法记录。
3.符合法律、法规规定的其他条件。
3.报名事项
1) 凡有意参加投标的合格投标人,请于即日起至2017年9月22日,每天9:00-11:00时,下午13:30-17:00时(北京时间,节假日除外),可拨打电话010-51862032报名并获取招标文件。
4.发布公告的媒介
本次招标公告在中国中车股份有限公司网站www.crrcgc.cc上发布。
5.联系方式
招标人:中国中车股份有限公司
地址:北京市海淀区西四环中路16号院5号楼
联系人: 唐亮
电话:010-51862032 手机:15110188962