1、桐庐县中医院漏洞检测项目(第二次)竞争性谈判文件(编号:TLZFCG2017-JZ-013)采购单位 : 桐庐县中医院 法定代表人或其委托代理人: 刘柏洪 采购机构 : 桐庐县招投标服务中心 备案单位 : 2017年 11月 9日桐庐县中医院漏洞检测项目(第二次)竞争性谈判文件第 2 页 共 34 页目 录第一章 采购公告第二章 招标需求第三章 投标人须知前附表一、 总 则二、 招标文件三、 投标文件的编制四、 开标五、 评标六、 定标七、 合同授予第四章 评标办法及评分标准第五章 政府采购合同第六章 投标文件格式桐庐县中医院漏洞检测项目(第二次)竞争性谈判文件第 3 页 共 34 页第一章
2、采购公告根据中华人民共和国政府采购法规定,经桐庐县政府采购管理办公室批准,现就桐庐县中医院漏洞检测项目(第二次)进行采购,欢迎符合资格条件并提供本国货物和服务的供应商前来投标:1、项目编号:TLZFCG2017-JZ-013 2、公告期限:5 个工作日3、采购组织类型:政府集中采购四、采购方式:竞争性谈判五、采购内容及数量:采购内容 数量 配置内容 上限价桐庐县中医院漏洞检测 一套 具体要求详见采购清单 12万元注:本项目为一个标项,具体内容及规格技术参数要求详见招标需求六、合格投标人的资格要求在中华人民共和国内注册,具有独立法人资格,符合政府采购法第二十二条的规定和浙财采监【2013】24
3、号关于规范政府采购供应商资格设定及资格审查的通知第六条规定,且未被“信用中国” () 、中国政府采购网()列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的生产企业或经销商。七、采购文件的获取:投标人可到浙江政府采购网(http:/)或桐庐县公共资源招投标网(http:/ 1617 1820 5300 0524开户银行:中国建设银行股份有限公司桐庐支行江南分理处桐庐县中医院漏洞检测项目(第二次)竞争性谈判文件第 4 页 共 34 页1.投标保证金的金额:人民币壹仟贰佰元(1200 元) 。2.投标保证金的缴存方式:(1)银行转账:柜面转账(电汇) 、网银支付。注:
4、银行转账形式缴存的投标保证金应当从其基本账户转出。(2)投标人已经缴纳年度投标保证金的,凭缴费期内的投标保证金年卡作为已经递交投标保证金的依据,无需重新缴纳投标保证金。3.投标保证金的缴存时间:投标人必须在招标文件规定的投标截止日期前一天 22:00(北京时间)前足额交纳所投项目的投标保证金到达桐庐县招投标服务中心投标保证金专户,并确保在投标截止时间前将投标保证金交纳信息和投标项目(标段)关联成功,否则视为未交纳或未足额交纳。投标保证金收到时间以实际到账时间为准。4.对缴入和退付的投标保证金,桐庐县招投标服务中心不开具和收取投标人的收款收据(开标时由县招投标服务中心统一出具投标人交纳投标保证金
5、的证明) ,退付情况将在桐庐县公共资源招投标网上定期公布,请各投标单位自行查询。九、投标截止时间和地点:投标人应于 2017年 12月 5日 10时 00分前将投标文件及合格投标人资格证明文件原件送交到桐庐县招投标服务中心政府采购窗口,逾期送达作无效标处理。十、开标时间及地点:本次招标将于 2017年 12月 5日 10时 00分在桐庐县招投标服务中心开标,投标代表出席开标会议。十一、其他事项:1.投标供应商必须于投标截止日前在桐庐县公共资源招投标网()上完成供应商注册工作,并将保证金关联本项目。2.投标人如不派代表或不准时参加开标大会的,事后不得对采购相关人员、开标过程和开标结果提出异议。十
6、二、业务咨询:县招投标服务中心 联系人:王赛栎 联系电话:0571-64217671 传真:0571-64217662 邮 箱:保证金交退咨询电话:0571-64217661桐庐县中医院 联系人:柴先生 联系电话:0571-58500812桐庐县中医院漏洞检测项目(第二次)竞争性谈判文件第 5 页 共 34 页第二章 采购需求一、项目概况目前桐庐县中医院信息化的安全建设进入正轨,近年来,客户端、第三方软件、WEB应用安全漏洞危害日益增大,大多数员工的安全意识也不断提高,但是各类安全问题却层出不穷,为防范利用漏洞而实施的一系列入侵,需对医院进行全面的漏洞检测,从而提前进行漏洞修复,来保障业务系统
7、的正常运行。实施地点: 桐庐县中医院二、项目建设内容和实施计划项目建设内容包括设备安装调试,检测策略的部署。三、设备系统功能要求:1.配置要求:指标项 指标技术要求具备国内自主知识产权的机架式硬件设备,全内置封闭式结构,基于嵌入式安全操作系统(非 Windows 系统平台) ,稳定可靠,无需 USB盘、光盘等存储设备即可运行。基本要求 1U,含交流单电源,1*RJ45 串口,1*GE 管理口,4 个 10M/100M/1000M自适应以太网电口扫描口,4 个千兆 SFP插槽(不含 SFP模块) ,标准配置提供1路授权扫描端口。提供通过资产树对资产进行分级管理,支持设备权重设置和可信设备登记,支
8、持将资产信息批量导入到资产树,可在资产树上直接指定主机开展扫描任务.请提供功能截图。可以通过多种维度搜索定位资产和查看资产风险,包括并不限于:节点或设备名称、资产 IP范围、资产管理员、资产操作系统类型、资产风险等级、漏洞名称、开放的端口、资产 banner信息等,请提供功能截图。支持风险告警和风险闭环处理,可在集中告警平台灵活配置告警内容、告警方式、告警资产范围等,支持邮件和页面告警,支持单个或批量修改风险状态,请提供功能截图。具有支持通过 Excel文件将地址导入到地址簿的功能。资产和风险管理支持风险告警和风险闭环处理,可在集中告警平台灵活配置告警内容、告警方式、告警资产范围等,支持邮件和
9、页面告警,支持单个或批量修改风险状态,请提供功能截图。漏洞知识库从操作系统、服务、应用程序和漏洞严重程度多个视角进行分类,并可给出具体的分类信息。提供漏洞知识库中包含的主流操作系统、数据库、网络设备的列表信息。漏洞知识库与国际 CVE标准兼容,并提供 CVE Compatible证书。漏洞扫描漏洞知识库漏洞信息大于 17000条(若投标厂商漏洞信息不足,可向其它厂商购买,但包括在投标总价中) ,并具有详细的漏洞描述和对应的解决桐庐县中医院漏洞检测项目(第二次)竞争性谈判文件第 6 页 共 34 页方案描述,投标品牌原厂官网有明确链接可供查询,投标时提供官网截图证明。产品支持对系统漏洞扫描、we
10、b 漏洞、配置合规进行检查和综合分析,可输出同时包含漏洞扫描和配置核查结果的报表。能够扫描常见的应用软件漏洞(或支持对扫描对象的脆弱性进行全面检查),如 IE浏览器、MSN、Mozilla Firefox、Yahoo Messenger、MS Office、多媒体播放器、VMware 虚拟机和各种 P2P下载软件的安全漏洞。提供专门针对 DNS服务的安全漏洞的检测,包括 DNS投毒等漏洞检测能力。提供功能截图。 (若投标产品无此项功能,可购买第三方解决方案,包括在投标总价中) 。提供高级漏洞模板过滤器,支持将符合筛选条件的漏洞自动加入到自定义漏洞模板中,及后续插件升级包中的漏洞也可以自动加入到
11、模板中。支持扫描国产操作系统、应用及软件的安全漏洞,如红旗、麒麟、起点操作系统,提供详细漏洞列表。支持对多个扫描任务并发执行,支持多任务自动调度。支持定期扫描与周期扫描(周期扫描可细化到隔天、隔周、隔月) 。 支持扫描时间段控制,扫描任务只在扫描时间段内执行,未完成任务在下一扫描时间段继续进行.发现安全事件能及时以邮件方式告知网管员。能够扫描常见的网络客户端软件(如:网络防病毒Symantec、TrendMicro、McAfee)的安全漏洞。能够扫描主流虚拟机管理系统(如:VMWare ESX/ESXi 等)的安全漏洞。支持对漏洞信息的检索功能,可以从其中快速检索到指定类别或者名称的漏洞信息。
12、支持与微软 WSUS系统联动,对发现的漏洞进行快速有效管理。支持对漏洞修复的有效性进行验证,以保证漏洞的成功修复。漏洞知识库和漏洞检测规则支持手动升级和自动升级,支持本地升级和在线升级,在线升级支持代理方式升级。 至少每两周进行一次定期升级,重大安全漏洞紧急响应时间,请给出公开的定期发布升级包列表详细说明。支持对多个扫描任务并发执行,支持多任务自动调度;单个任务允许扫描的最大扫描范围不小于一个 B类网段。支持 Windows、Linux 系统登录扫描,支持 OVAL标准,进行精确漏洞扫描和新公布漏洞的快速扩展。可指定包括 SNMP、SMB、SSH 等常见协议的登陆口令,登陆到相应系统中对特定应
13、用进行深入扫描。 (提供截图证明)内置不同的漏洞模板针对 Unix、Windows 操作系统、网络设备和防火墙等模板,同时支持用户自定义扫描范围和扫描策略;支持自动模板匹配技术,请提供功能截图; 用户可定义扫描范围、扫描使用的参数集、扫描并发主机数等具体扫描选项。支持断点续扫,可对已完成的扫描任务中没有被覆盖到的目标重新下发扫描任务,请提供功能截图。可定义扫描端口范围、端口扫描方式,支持多种口令猜测方式,包括利用桐庐县中医院漏洞检测项目(第二次)竞争性谈判文件第 7 页 共 34 页Telnet、SSH、Pop3、 Ftp、 Windows SMB、SQL Server、MySQL、Oracl
14、e、Sybase、SNMP 等协议进行口令猜测,允许外挂用户提供的字典档。提供界面截图原厂盖章证明。允许管理员配置扫描通知,在扫描任务运行开始时向被扫描的资产发送扫描通知。可支持院方现有网络设备安全配置检测功能,提供针对主流网络设备的安全配置检测和分析。须提供系统配置界面截图。检测是否具备管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到管理员权限账号后执行相应操作。检测对于使用 IP协议进行远程维护的设备,设备应配置使用 SSH等加密协议。检测是否静态口令必须使用不可逆加密算法加密,以密文形式存放。支持与堡垒机联动,可从堡垒机获取目标设备密码进行配置核查
15、,全程自动化,防止密码外泄。基线检查功能如使用 enable secret配置 Enable密码,不使用 enable password配置Enable密码,可通过配置第三方产品共同实现,但必需配置并包括在投标总价中。提供 Web应用扫描能力,提供多种 Web应用漏洞的安全检测,如 SQL注入、跨站脚本、网站挂马、网页木马、CGI 漏洞等。可在界面中列出被检测网站的目录结构,点击相应的结构可以直接呈现当前页面的扫描结果。引擎支持 Javascript解析,能从 Javascript代码中分析出 url,对代码中分析出来的 Url进行安全测试。产品支持自定义 Cookie进行模拟用户登录,对 U
16、RL深入测试。支持 Url中登录测试,登录能够基于 basic、NTLM、Cookie 等认证方式,对 Web应用系统安全扫描。Web应用扫描支持登录预录制功能,能够根据网站用户操作,录制用户的 Url访问行为,并根据录制的 URL进行扫描,使产品能够扫描和分析一些常规页面爬取程序检测不到的 url,进行更加完整的安全测试。 IPv6支持产品可扩展支持配置 IPv6地址、在 IPv6网络中部署 ,支持使用 IPv6协议族中的邻居发现协议进行设备和网络拓扑的发现,能扫描支持 IPv6协议栈的设备存在的系统漏洞和协议漏洞,能扫描支持 IPv4/IPv6双栈协议的设备存在的系统漏洞和协议漏洞。能够对
17、扫描结果数据进行在线分析,能够根据端口、漏洞、BANNER 信息、IP地址等关键字对主机信息进行查询并能将查询结果保存。能够在线对多个已完成的扫描任务进行合并分析。提供趋势分析能力,能够对多次结果进行分析并给出网络和主机的漏洞分布和风险的趋势。漏洞分析漏洞分析报告应提供在线浏览报告和离线打印报告;离线报表提供针对不同角色的默认模板,允许用户定制报告的内容、报告的格式等。桐庐县中医院漏洞检测项目(第二次)竞争性谈判文件第 8 页 共 34 页离线报告可以输出到 HTML、WORD、EXCEL、PDF 等文件,报告可以直接下载或通过邮件直接发送给相应的管理人员。同时报表输出支持按任务或按照 IP范
18、围,每个输出任务中可进行 IP的筛选,直接定位到用户最关心的主机报表。在线报表中对综述、主机、漏洞、趋势等信息进行分类显示,综述中应对漏洞和风险分布进行定量统计分析并展示。 主机中应提供漏洞分布、风险值和风险等级信息,并能对主机信息根据不同字段进行排序和过滤显示,方便用户查看,漏洞中应提供漏洞详细信息和该漏洞影响的主机列表。安装、配置和管理维护较为简便;系统无须人工干预能够自动、周期运行,系统升级、扫描、结果分析和结果邮件自动发送等能够自动执行。支持多用户分级权限管理;支持多管理员使用扫描器,对每个使用者能够设定其允许登陆的范围和允许扫描的范围。提供审计功能,能够对登录日志、操作日志和异常报告
19、进行记录和查询。提供备份恢复机制,能够对扫描结果、日志、扫描模板、参数集等配置文件进行导出和导入操作。能够对系统创建还原点,方便对系统进行备份和还原。管理功能支持分布式部署,上级管理设备能够统一管理和控制下级设备,下级设备能够自动将扫描结果上传到上级管理设备。厂商须是微软 MAPP(Microsoft Active Protections Program)项目合作伙伴,可以在微软每月发布安全更新之前获得漏洞信息,并有 48小时内发布产品版本响应微软紧急安全公告能力。请提供微软证明厂商应具备十年以上漏洞研究经验和独立漏洞发掘能力,自主发现的 CVE漏洞数量不少于 60个,须在厂商网站公开且 CV
20、E网站可查证,且获得漏洞厂商在安全公告致谢不少于 40次,请提供证明。所投产品获得中国信息安全测评中心信息技术产品安全测评证书(EAL3级) ,并提供有效证书的复印件。产品要求为国内开发,具备自主知识产权,并经过十年以上应用检验,厂商应承诺产品的高度稳定性和可靠性。产品和厂商支持获得国家信息安全测评认证中心颁发的信息安全服务二级资质证书,并提供有效证书的复印件。重要说明 中标后签订合同时需要提供原厂授权及三年质保证明;四、资信及商务要求售后服务具体实施响应要求一完成本次设备的安装调试工作,负责与原有设备、业务系统等的漏洞检测,并提供后续漏洞修复维护服务,不另收服务费。二在设备整个使用期内,卖方
21、应确保设备的正常使用,在接到用户维修要求后应立即作出回应,当系统的软硬件设备出现故障时,投标人应承诺在 30分钟内响应并提出解决方案,2 小时之内到现场桐庐县中医院漏洞检测项目(第二次)竞争性谈判文件第 9 页 共 34 页对故障进行处理,若短期无法修复的,应及时提供相应备用设备并负责安装调试,为此,投标人应提供相应承诺书。三具有较强的项目管理、系统集成、技术服务和组织实施能力,具有医院项目建设和实施的经验,并有良好的工作业绩和履约记录;四质保期:提供原厂三年免费质保,含软件免费维护升级。五投标人应根据本项目的需要在投标文件中提供详细的技术解决方案,投标人应采用唯一的最佳方案进行投标,本次招标
22、不接受可选择的方案;培训 投标方应提供相应的培训计划,详细说明培训的方式、地点、人数、时间等实质性内容。备品备件及耗材等要求 提供明确的备件方案交货时间及地点中标人在中标公告公示期满后七天内签订合同,签订合同后三十个工作日内完成供货安装。交货地点:用户指定地址。五、交货期及付款(1)投标人应组建一个项目小组负责本项目的具体实施,中标后,未经采购单位同意,项目小组人员不许调整。(2)未经采购人同意,成交人不得私自将本项目转交给第三方,否则将作违约处理,采购人有权撤销合同拒付货款,且成交人还要承担给采购人造成的损失。(3)履约保证金:合同签订前,中标方向采购人支付合同金额的 5%,验收合格后转为质
23、保金,质保金一年后无质量及售后服务问题无息退回。(4)付款方式:项目全部交付并验收合格后 15个工作日内支付全款的 100%。桐庐县中医院漏洞检测项目(第二次)竞争性谈判文件第 10 页 共 34 页第三章 投标人须知前附表序号 内容、要求1 项目名称:桐庐县中医院漏洞检测项目(第二次)2 采购数量及单位:详见招标需求3投标报价及费用:1.本项目投标应以人民币报价;2.不论投标结果如何,投标人均应自行承担所有与投标有关的全部费用。4 投标保证金:按照采购公告要求交纳。5 成交人须负责完成所成交项目的运输、安装等事项,所需费用由成交人承担。6答疑与澄清:投标人如认为竞争性谈判文件表述不清晰、存在
24、歧视性、排他性或者其他违法内容的,应当于 2017年 11月 1日 16时 00分时前,以书面形式要求招标采购单位作出书面解释、澄清或者向招标采购单位提出书面质疑,逾期不再受理;如有投标人提出质疑的,采购机构视情况将以答复;答疑内容是竞争性谈判文件的组成部分,在竞争性谈判文件要求提交投标文件截止时间 1个工作日前,在浙江政府采购网和桐庐县公共资源招投标网上发布更正公告,请投标人自行到网上查看和下载,投标人因漏看带来的后果由投标人自行承担。7 投标文件组成:正本各1份;副本各3份。8投标截止时间及地点:投标人应于 2017年 12月 5日 10时 00分前将投标文件及合格投标人资格证明文件原件送交到桐庐县招投标服务中心政府采购窗口,逾期送达作无效标处理。9开标时间及地点:本次招标将于 2017年 12月 5日 10时 00分在桐庐县招投标服务中心开标,请投标人派代表出席开标会议。10 评标办法及标准:按照采购文件第四章评标办法及评分标准。11 本项目设定上限价,上限价为人民币12万元。12结果公示:评标报告经采购人确认后,将招标结果在发布招标公告的网站上进行7个工作日的成交公示(浙江政府采购网(http:/)、桐庐
