2024年网络安全改善的企划

2024年网络安全改善的企划采购项目2024年网络安全改善的企划包件资格预审公告
1.采购条件
（略），采购项目资金来自企业自筹,出资比例为100%。该项目已具备采购条件，现对该项目的相关服务采购进行公开询比采购，特邀请有兴趣的潜在供应商（以下简称申请人）提出资格预审申请。
2.项目概况
2.1标段名称：（略）
2.2项目概述：甲方委托乙方提供一汽丰田2024年网络安全整体改善项目技术服务。
服务内容及要求：
No.
项目
工作说明
1
APP隐私数据合规评估
包括隐私政策评估、权限申请评估、数据传输安全评估、个人信息处理评估、第三方SDK评估、APP合规性检测、合规审查与报告
2
数据安全
数据安全治理产品导入
产品基本功能：（1）数据自动发现与采集，（略）络端点、服务器、云存储和数据库中的数据，识别包含敏感信息的数据和文件。掌握敏感数据的分布、数量和使用情况。（2）数据分类分级，能够提供行业数据安全标准，制定内置识别模板，同时支持自定义数据分类、识别规则与数据分级，（略）别用户自助实施分类分级。（3）可视化报告，提供详细的分类报告和仪表板，展示数据的分布、敏感度级别、潜在风险点等，可生成合规报告，以证明数据保护措施的有效性。（4）根据分级分类的结果，自动给出匹配控制策略，并记录策略的实施情况。（5）支持在华为云、阿里云和腾讯云私有化部署参考信息数据库实例：100个，表：2,000个，字段：30,000个含产品永久授权及3年原厂支持和升级服务
3
数据分级分类咨询和实施
（1）数据审计与梳理：人工审核现有数据存储，识别数据源、数据类型、存储位置以及数据之间的关系。分析数据内容，理解其业务价值、法律合规要求及潜在风险。（2）制定分级分类标准：根据法律法规要求、行业标准和企业内部政策，制定数据分级（如公开、内部、敏感、机密）和分类（如个人数据、财务数据、知识产权等）的标准。设定每级每类数据的访问控制、保护措施和保留期限等规则。（3）数据标签与标记：人工对数据进行逐条或批量审查，依据分类分级标准手动添加标签或元数据，如敏感度标签、业务分类标签等。使用工具辅助，如文档批注、数据库字段标记等，提高人工分类的效率和准确性。（4）质量检查与校验：进行数据分类的复核，确保分类的准确性，并根据新数据或政策变化进行调整。通过人工复查或比对样本，验证自动化分类工具的准确性和完整性。（5）培训与指导：对数据创建者和使用者进行数据保护意识培训，讲解数据分级分类的重要性及操作指南。指导员工如何正确处理不同级别的数据，包括存储、传输、分享和销毁过程中的注意事项。（6）合规咨询与支持：提供数据保护法律、行业规范的咨询服务，帮助组织理解并遵守相关数据管理规定。协助处理数据主体请求，如数据访问、更正、删除等。（7）维护与优化：建立数据分类分级的维护机制，跟踪数据变化，定期评估分类的适当性，并进行必要的调整。优化分类流程，引入新的工具或技术以提升人工服务的效率和质量。参考信息数据库实例：100个，表：2,000个，字段：30,000个8
4
数据加密产品导入
本项目包括产品购买和实施，需为软件产品解决方案，主要包括以下要求：（1）能对数据库存量数据使用加密算法SM4或AES256等进行数据加密（2）SQL方面，能针对加密列支持条件查询语句，无条件查询语句，精确匹配查询（”=“、”<>,!=“、”isnull“）且加密前后查询结果一致。能针对加密列支持插入（insert）、更新（update）和数据删除（delete）语句（3）能支持设置不同的用户/角色/权限等内容，实现低权限用户仅能查询密文，高权限人员查询明文的功能（4）能支持对接主流的堡垒机，（略）代理出来的数据库IP及端口（5）能支持对密钥进行基本的查看及配置管理功能（6）（略）CPU、内存、硬盘占用等常见的运维指标情况（7）（略）能支持基本的运维调试命令执行，例如进程显示命令等（8）能支持密钥备份、密钥恢复、（略）自身策略、配置等的数据备份和恢复（9）具备节点集群备份和扩展能力，主节点正常退出、宕机和离线的情况下，（略）正常可用（10）能支持对加密后的数据库密文解密恢复（11）（略）对数据库加密后，能正常支持业务前端使用业务，具备插入、查询、删除和更新新增业务数据功能（12）加密方案能适配公有云（华为云、阿里云和腾讯云）上的数据库数据，对其数据进行字段级加密规格要求：60个数据库实例含产品永久授权及3年原厂支持和升级服务
5
数据动态脱敏产品导入
本项目包括产品购买和实施，需为软件产品解决方案，主要包括以下要求：数据动态脱敏产品需对敏感信息通过脱敏算法对进行数据的变形，（略）实时使用、对外实时共享等动态环境下敏感隐私数据的可靠保护，具备敏感数据识别、应用实时脱敏、脱敏权限管控、黑白名单脱敏、脱敏效果预览和审计、脱敏算法和任务管理等能力。规格要求：60个数据库实例，脱敏峰值处理能力：60万单元格/秒；40M/秒；18000SQL/秒含产品永久授权及3年原厂支持和升级服务
6
API安全
本项目包括产品购买和实施，需为软件产品解决方案，主要包括以下要求：（1）API安全检测对业务接口调用的流量进行分析，（略）API，检测API存在的未授权、弱认证等脆弱性问题，监测API访问行为，及时发现针对API的恶意攻击行为发出告警。产品需提供API资产发现、API攻击检测、基于API的敏感数据传输以及API的风险检测等功能，支持1Gbps混合流量接入，兼容Vmware、KVM（略），适用于华为、阿里和腾讯云云环境。（略）API接口（2）API（略）（1个）接收来自API（略）检测日志，实现API资产管理、威胁检测与分析、敏感数据泄露风险分析、异常行为访问分析以及风险API分析，向API（略）和API（略）下发检测策略和管控策略。产品需具备包括API威胁分析、API漏洞分析、API资产管理等功能。默认授权10个数据源（探针）的采集能力。含产品永久授权及3年原厂支持和升级服务
7
（略）
本项目包括产品购买和实施，需为软件产品解决方案，主要包括以下要求：（略）生命周期管理流程，（略）的发现和纳管、自动改密、验证和巡检、访问权限控制、锁定和释放等功能。产品功能模块包括：（1）特权访问控制台，包括产品核心功能和密码保险箱，（略）生命周期管理、账号威胁分析、角色权限管理、访问控制、策略管理、审计、（略）等；（2）策略执行器，能与现有堡垒机联动，支持策略执行，（略）发现，账号改密、账号验证。授权2,500个被管资源数。含产品永久授权及3年原厂支持和升级服务
8
（略）资产和敏感信息发现服务
全年不间断的实施以下扫描和发现（1）未知资产探测：（略）上未知的、未受管理的资产，包括但不限于域名、IP地址：（略）
9
攻防演练和应急演练
1.人工服务（1）攻防演练设计与实施：提供全面的攻防演练方案设计，包括但不限于渗透测试、红蓝对抗演练、社交工程测试等，（略）和基础设施。（2）应急响应演练：设计并执行涵盖各类突发事件（如数据泄露、系统瘫痪、勒索软件攻击等）的应急响应演练，确保预案的实用性和有效性。（3）培训与教育：（略）络安全意识培训，以及面向技术团队的应急处理技能培训。2..在人工攻防演练基础上，能够提供BAS服务，包括以下功能;:（1）网络攻击模拟：BAS（略）络的攻击，（略）后的横向移动（2）恶意软件攻击模拟：能够模拟对端点的恶意软件攻击（3）数据泄露过程模拟：模拟数据泄露的过程（4）持续监控与评估：持续进行攻击模拟，及时地检测和评估组织对于新出现的威胁的防御能力。（5）安全设备策略验证：验证WAF、IPS、EDR等安全设备的有效性，确保安全策略得有效性（6）（略）径可视化：（略）径，帮助安全团队更好地理解攻击过程和潜在的安全漏洞（7）自动化与周期性测试：支持周期性自动化测试，（略）的集成，提供完整有效的修复建议。（8）持续更新：对于新威胁、新攻击手段的持续更新，确保BAS系统能够应对最新的安全挑战。
10
（略）
（略）的产品购买和实施（1）漏洞管理与扫描：创建、监控扫描任务；按等级、来源筛选漏洞；支持工单流转。（2）渗透与应急响应：管理渗透测试与应急任务，含文件上传交付；提供操作指引。（3）重保管理：项目化管理重保工作，模板引导；图形化展示进度与自定义工作流。（4）工作流与任务：自定义工作流，支持第三方集成；任务统计与可视化。（5）资产发现：多样化资产发现任务管理；详尽资产信息记录。（6）数据聚合与分析：（略）能够跨不同的安全层和数据源（如终端、网络、云环境、电子邮件、威胁情报等）收集数据，并对数据进行关联分析。（7）威胁检测：能够实时监测和识别已知及未知的威胁，包括恶意软件、勒索软件、高级持续性威胁（APT）等。（8）自动响应与编排：一旦检测到威胁，可以自动触发一系列响应措施。同时，支持响应策略的自定义和编排。（9）调查与取证：（略）和上下文信息，（略）径，理解攻击的全貌。（10）可视化与报告：配备有直观的仪表板，展示安全状况、威胁概况、响应行动效果等关键指标。接入和管控资源数量：2,500个含产品永久授权及3年原厂支持和升级服务
11
（略）等级保护测评
（1）系统定级，（略）（约50个）实施评估和定级。（2）根据定级情况，提出2级和3级系统合并方案。（3）协助实施2级和3级系统公安备案，并对之前的备案进行变更。（4）6个3级系统等级保护测评，包括初测和复测。（5）差距分析和整改建议（6）协助提交测评报告
12
（略）和重保服务
服务内容包括（1）安全资产评估、漏洞扫描、策略核查、加固支撑；（2）7*24持续安全监控服务，针对入侵及告警事件监控分析，开展风险处置；应急响应支撑服务，在出现入侵事件后提供应急止损，帮助快速恢复业务；（3）全面完整的暴露面管理服务，7*24监控FTMS对外暴露资产及脆弱性数据，并提供专家预警及应急响应服务。通过但不限于以上服务，确保FTMS在2024（略）行动中0失分。

3.申请人资格要求
3.1本次资格预审要求申请人须具有与本采购项目相应的服务能力，并具备如下所列的资质、财务、业绩、人员等条件：
（略）资质要求：1）申请人应是依法从事经营，有能力完成采购项目的法人或其他组织，2022年1月1日前成立，注册资金不少于1000万元人民币。
申请人无需直接提供资质证书扫描件，评审时按照以下标准评审资格预审申请人资质：
申请人的基本信息以文件开启当日信用中国（https://（略）.cn/）（略）（https://（略）.cn/index.html）查询结果为准，登记状态应为正常或存续（在营、开业、在册）状态；
按照以上渠道无法验证申请人资质的，（略）站和验证方法。
2）承诺确保一汽丰田在2024（略）行动中“0”失分，如产生扣分情况，接受合同金额扣减的处罚；
（略）人员要求：总人数大于50人，评审标准详见第三章资格审查办法，其中固定员工人数20人及以上，（略）社保（（略））且必须在职6个月以上，需提供资格预审申请文件递交截止日前三个月内出具的上述人员的（至少包含2023年9月至解密当日任意6个月的社保证明）的社保缴费证明（（略）（（略）.cn/）查询并打印社保参保证明，（略）对接的，（略）查询并打印社保参保证明，参保证明同样应当包含验真渠道和验真方法），外籍、港澳台人员（需提供外籍、港澳台人员身份证明）可以用有效期内的劳动合同代替社保证明。
需提供有关财务、人员规模、业绩经验等证明材料，具体要求及评分规则详见资格预审文件。
3.2本次资格预审不接受联合体资格预审申请。
3.（略）资格预审申请。
3.4申请人不得存在下列情形之一：
1）与采购人：（略）
2）与本采购项目的其他申请人为同一个单位：（略）
3）与本采购项目的其他申请人存在控股、管理关系；
4）为本采购项目提供过设计、编制技术规范和其他文件的咨询服务；
5）为本采购项目的采购代理机构：（略）
6）被依法暂停或者取消投标资格；
7）被责令停产停业，暂扣或者吊销许可证，暂扣或者吊销执照；
8）进入清算程序，或被宣告破产，或其他丧失履约能力的情形；
9）（略）（（略）.cn/）中列入严重违法失信企业名单；
10）被最高人民法院在“信用中国”网站（（略）.cn）或各省级“信用中国”网站中列入失信被执行人名单；
11）（略）“黑名单”中及一汽丰田“禁止限定类供应商清单”的潜在资格预审申请人不允许参加投标，已参加的申请人，其资格预审申请文件将被否决；
12）法律法规规定的其他情形。
4.资格预审方法
本次资格预审采用有限数量制，至少入围3家，不超过4家，按百分制计算，得分须在70分以上（含70分）合格，合格数量≥4时，按照评分顺序选定4家。
5.资格预审文件的获取：（略）
5.1请申请人于2024年06月14日10:00至2024年06月19日17:00(北京时间，下同），（略）（https://（略），（略））下载电子资格预审文件。
5.（略）服务费为300元。
5.3企业数字认证证书及法定代表人个人数字认证证书（以下分别简称“企业CA”和“法定代表人CA”）一次性办理费用500元，一年内有效。
6.资格预审申请文件的递交
6.1资格预审申请文件及响应文件递交的截止时间为2024年06月21日09:00。温馨提醒，（略）络速度影响，成功上传可能会需要一定时间，（略）络拥堵，建议提前一日上资格预审申请文件及响应文件，已递交的文件处于加密状态，不会泄露申请信息。
注：本次采取双开双评的模式，即资格预审申请文件及响应文件同时递交，分开解密，只有通过资格预审的供应商可以解密响应文件，如通过预审不足3家则项目流标，不再进行响应文件解密，资格预审文件解密时间为递交截止时间，（略）后续发布通知为准。
6.2逾期送达的资格预审申请文件，（略）将予以拒收。
7.发布公告的媒介
本次资格预审公告同时在以下媒介上发布：
l（略）（https://（略））
l（略）（（略））
8.联系方式：（略）
8.1申请单位：（略）
https://（略）?xinXiGuanLiType=37
（略）时遇到的各类问题，应当首先通过上述链接进入“（略）-用户指南”界面，查看相应操作文件或视频
8.（略）客服
电话：（略），工作时间周一至周五8:00至20:00
（略）时遇到的各类操作问题，如平台注册、资格预审文件购买、资格预审申请文件编制、递交等
8.3CA办理（由第三方受理业务）
（略）6工作时间：周一至周五8:30至11:30，13:00至17:00，负责受理您办理CA及密码重置解锁业务
（略）工作时间：周一至周五8:30至11:30，13:00至17:00，负责受理您CA发票开具及其进度查询业务
8.4财务专员
（略）3工作时间：周一至周五8:30至11:30，13:00至17:00
负责答复您关于采购文件费、平台服务费、采购代理服务费的发票开具问题。
8.5采购人：（略）
采购人：（略）
地址：（略）
联系人：（略）
8.6采购代理机构：（略）
采购代理机构：（略）
地址：（略）
采购项目负责人：邵明月、葛鹏飞
座机：（略）3、（略）4
手机：（略）、（略）
邮箱：（略）
8.7项目投诉电话：（略），工作时间周一至周五8:00至20:00。投诉要求详见第二章申请人须知前附表第10.7款
8.8纪委举报受理渠道
（略）
电子邮箱：（略）
（略）
电子邮箱：（略）


9.（略）上注册
（略）（略）上免费注册，注册时需提交相关资料，平台工作人员审核通过后完成注册，完成注册后方可办理企业CA和法定代表人CA（办理并邮寄大约需要3-5日），若申请人未及时注册并办理CA，由此引起的后果由申请人自行承担。
10.采购代理机构：（略）
（略）发布的资格预审公告、资格预审文件及其澄清、修改、资格审查结果通知书等资格预审过程信息，一经发布，视为已送达各申请人,无论申请人下载与否，均视同申请人已知晓相关内容。
11.申请人异地解密资格预审申请文件须知
11.1申请人电脑须安装“一汽招投标编制工具系列驱动”、IE浏览器最新版，正版office办公软件和AdobeFlashPlayer插件；
11.2解密资格预审申请文件时，申请人必须使用CA（略）（略）络畅通，使用加密资格预审申请文件的CA进行资格预审申请文件环节的解密操作；
11.3若在规定的解密资格预审申请文件时间内，由于申请人的原因没有解密成功，视为撤销资格预审申请文件，申请人须自行承担后果。