治理项目

保标招标 > 治理项目 > 招标信息 > 2024年网络安全改善的企划

2024年网络安全改善的企划

· 2024-06-23

2024 年网络安全改善的企划 采购项目 2024 年网络安全改善的企划 包件 资格预审公告

1. 采购条件

本采购项目采购人为 一汽丰田汽车销售有限公司 ,采购项目资金来自 企业自筹 ,出资比例为 100% 。该项目已具备采购条件,现对该项目的相关服务采购进行公开询比采购,特邀请有兴趣的潜在供应商(以下简称申请人)提出资格预审申请。

2. 项目概况

2.1 标段名称: 2024 年网络安全改善的企划

2.2 项目概述: 甲方委托乙方提供 一汽丰田2024年网络安全整体改善项目 技术服务。

服务内容及要求:

No.

项目

工作说明



1

APP 隐私数据合规评估

包括隐私政策评估、权限申请评估、数据传输安全评估、个人信息处理评估、第三方SDK评估、APP合规性检测、合规审查与报告


2

数据安全

数据安全治理产品导入

产品基本功能:
(1)数据自动发现与采集,通过自动扫描网络端点、服务器、云存储和数据库中的数据,识别包含敏感信息的数据和文件。
掌握敏感数据的分布、数量和使用情况。
(2)数据分类分级,能够提供行业数据安全标准,制定内置识别模板,同时支持自定义数据分类、识别规则与数据分级,
支持按照系统别用户自助实施分类分级。
(3)可视化报告,提供详细的分类报告和仪表板,展示数据的分布、敏感度级别、潜在风险点等,可生成合规报告,
以证明数据保护措施的有效性。
(4)根据分级分类的结果,自动给出匹配控制策略,并记录策略的实施情况。
(5)支持在华为云、阿里云和腾讯云私有化部署
参考信息 数据库实例:100个,表:2,000个,字段:30,000个
含产品永久授权及3年原厂支持和升级服务


3

数据分级分类咨询和实施

(1)数据审计与梳理: 人工审核现有数据存储,识别数据源、数据类型、存储位置以及数据之间的关系。
分析数据内容,理解其业务价值、法律合规要求及潜在风险。
(2)制定分级分类标准: 根据法律法规要求、行业标准和企业内部政策,制定数据分级(如公开、内部、敏感、机密)和
分类(如个人数据、财务数据、知识产权等)的标准。
设定每级每类数据的访问控制、保护措施和保留期限等规则。
(3)数据标签与标记: 人工对数据进行逐条或批量审查,依据分类分级标准手动添加标签或元数据,如敏感度标签、
业务分类标签等。使用工具辅助,如文档批注、数据库字段标记等,提高人工分类的效率和准确性。
(4)质量检查与校验: 进行数据分类的复核,确保分类的准确性,并根据新数据或政策变化进行调整。
通过人工复查或比对样本,验证自动化分类工具的准确性和完整性。
(5)培训与指导: 对数据创建者和使用者进行数据保护意识培训,讲解数据分级分类的重要性及操作指南。
指导员工如何正确处理不同级别的数据,包括存储、传输、分享和销毁过程中的注意事项。
(6)合规咨询与支持: 提供数据保护法律、行业规范的咨询服务,帮助组织理解并遵守相关数据管理规定。
协助处理数据主体请求,如数据访问、更正、删除等。
(7)维护与优化: 建立数据分类分级的维护机制,跟踪数据变化,定期评估分类的适当性,并进行必要的调整。
优化分类流程,引入新的工具或技术以提升人工服务的效率和质量。
参考信息 数据库实例:100个,表:2,000个,字段:30,000个8


4

数据加密产品导入

本项目包括产品购买和实施,需为软件产品解决方案,主要包括以下要求:
(1)能对数据库存量数据使用加密算法SM4或AES256等进行数据加密
(2)SQL方面,能针对加密列支持条件查询语句,无条件查询语句,精确匹配查询(=、<>, !=、is )且
加密前后查询结果一致。能针对加密列支持插入(insert)、更新(update)和数据删除(delete)语句
(3)能支持设置不同的用户/角色/权限等内容,实现低权限用户仅能查询密文,高权限人员查询明文的功能
(4)能支持对接主流的堡垒机,能通过堡垒机成功访问加密系统代理出来的数据库IP及端口
(5)能支持对密钥进行基本的查看及配置管理功能
(6)加密系统能支持查看系统CPU、内存、硬盘占用等常见的运维指标情况
(7)加密系统能支持基本的运维调试命令执行,例如进程显示命令等
(8)能支持密钥备份、密钥恢复、能支持加密系统自身策略、配置等的数据备份和恢复
(9)具备节点集群备份和扩展能力,主节点正常退出、宕机和离线的情况下,加密系统正常可用
(10)能支持对加密后的数据库密文解密恢复
(11)加密系统对数据库加密后,能正常支持业务前端使用业务,具备插入、查询、删除和更新新增业务数据功能
(12)加密方案能适配公有云(华为云、阿里云和腾讯云)上的数据库数据,对其数据进行字段级加密
规格要求:60个数据库实例
含产品永久授权及3年原厂支持和升级服务


5

数据动态脱敏产品导入

本项目包括产品购买和实施,需为软件产品解决方案,主要包括以下要求:
数据动态脱敏产品需对敏感信息通过脱敏算法对进行数据的变形,实现应用系统实时使用、对外实时共享等动态环境下敏感隐私数据的可靠保护,具备敏感数据识别、应用实时脱敏、脱敏权限管控、黑白名单脱敏、脱敏效果预览和审计、脱敏算法和任务管理等能力。
规格要求:60个数据库实例,脱敏峰值处理能力:60万单元格/秒;40M/秒;18000SQL/秒
含产品永久授权及3年原厂支持和升级服务


6

API 安全

本项目包括产品购买和实施,需为软件产品解决方案,主要包括以下要求:
(1)API安全检测
对业务接口调用的流量进行分析,识别业务系统API,检测API存在的未授权、弱认证等脆弱性问题 ,监测API访问行为,
及时发现针对API的恶意攻击行为发出告警。
产品需提供API资产发现、API攻击检测、基于API的敏感数据传输以及API的风险检测等功能,支持1Gbps混合流量接入,
兼容Vmware、KVM等虚拟化技术平台,适用于华为、阿里和腾讯云云环境。
检测范围需要覆盖华为云上所有业务系统API接口
(2)API安全分析平台(1个)
接收来自API检测系统检测日志,实现API资产管理、威胁检测与分析、敏感数据泄露风险分析、异常行为访问分析以及风险API分析,向API检测系统和API防护系统下发检测策略和管控策略。
产品需具备包括API威胁分析、API漏洞分析、API资产管理等功能。 默认授权10个数据源(探针)的采集能力。
含产品永久授权及3年原厂支持和升级服务


7

特权账号

本项目包括产品购买和实施,需为软件产品解决方案,主要包括以下要求:
产品基于特权账号生命周期管理流程,提供特权账号的发现和纳管、自动改密、验证和巡检、访问权限控制、锁定和释放等功能。产品功能模块包括:
(1)特权访问控制台,包括产品核心功能和密码保险箱,核心功能包括账号生命周期管理、账号威胁分析、角色权限管理、访问控制、策略管理、审计、工单系统等;
(2)策略执行器,能与现有堡垒机联动,支持策略执行,包括账号发现,账号改密、账号验证。授权2,500个被管资源数。
含产品永久授权及3年原厂支持和升级服务


8

导入互联网资产和敏感信息发现服务

全年不间断的实施以下扫描和发现
(1)未知资产探测:能够自动发现组织在互联网上未知的、未受管理的资产,包括但不限于域名、IP地址、子域、开放端口、服务和应用程序。
(2)敏感信息发现:通过高级搜索技术和模式识别(含暗网交易信息识别),查找和分类公开泄露的敏感信息,如个人身份信息(PII)、财务数据、知识产权、源代码等。
针对以上扫描结果,每月提交报告,并协助问题调查和对应。


9

攻防演练和应急演练

1. 人工服务
(1)攻防演练设计与实施:提供全面的攻防演练方案设计,包括但不限于渗透测试、红蓝对抗演练、社交工程测试等,
覆盖所有关键业务系统和基础设施。
(2)应急响应演练:设计并执行涵盖各类突发事件(如数据泄露、系统瘫痪、勒索软件攻击等)的应急响应演练,确保预案的实用性和有效性。
(3)培训与教育:针对不同层级员工开展定制化的网络安全意识培训,以及面向技术团队的应急处理技能培训。
2..在人工攻防演练基础上,能够提供BAS服务,包括以下功能;:
(1)网络攻击模拟:BAS能够自动模拟对企业复杂网络的攻击,包括外部突破尝试和内网后的横向移动
(2)恶意软件攻击模拟:能够模拟对端点的恶意软件攻击
(3)数据泄露过程模拟:模拟数据泄露的过程
(4)持续监控与评估:持续进行攻击模拟,及时地检测和评估组织对于新出现的威胁的防御能力。
(5)安全设备策略验证:验证WAF、IPS、EDR等安全设备的有效性,确保安全策略得有效性
(6)攻击路径可视化:提供图形化展示攻击路径,帮助安全团队更好地理解攻击过程和潜在的安全漏洞
(7)自动化与周期性测试:支持周期性自动化测试,以及与网络安全运营平台的集成,提供完整有效的修复建议。
(8)持续更新:对于新威胁、新攻击手段的持续更新,确保BAS系统能够应对最新的安全挑战。


10

网络安全运营管理平台

包括网络安全运营管理平台的产品购买和实施
(1)漏洞管理与扫描:创建、监控扫描任务;按等级、来源筛选漏洞;支持工单流转。
(2)渗透与应急响应:管理渗透测试与应急任务,含文件上传交付;提供操作指引。
(3)重保管理:项目化管理重保工作,模板引导;图形化展示进度与自定义工作流。
(4)工作流与任务:自定义工作流,支持第三方集成;任务统计与可视化。
(5)资产发现:多样化资产发现任务管理;详尽资产信息记录。
(6)数据聚合与分析:安全运营平台能够跨不同的安全层和数据源(如终端、网络、云环境、电子邮件、威胁情报等)收集数据,并对数据进行关联分析。
(7)威胁检测:能够实时监测和识别已知及未知的威胁,包括恶意软件、勒索软件、高级持续性威胁(APT)等。
(8)自动响应与编排:一旦检测到威胁,可以自动触发一系列响应措施。同时,支持响应策略的自定义和编排。
(9)调查与取证:提供详细的事件链路和上下文信息,帮助安全分析师快速追溯攻击路径,理解攻击的全貌。
(10)可视化与报告:配备有直观的仪表板,展示安全状况、威胁概况、响应行动效果等关键指标。
接入和管控资源数量:2,500个
含产品永久授权及3年原厂支持和升级服务


11

年度系统等级保护测评

(1)系统定级,对所有系统(约50个)实施评估和定级。
(2)根据定级情况,提出2级和3级系统合并方案。
(3)协助实施2级和3级系统公安备案,并对之前的备案进行变更。
(4)6个3级系统等级保护测评,包括初测和复测。
(5)差距分析和整改建议
(6)协助提交测评报告


12

护网和重保服务

服务内容包括
(1)安全资产评估、漏洞扫描、策略核查、加固支撑;
(2)7*24 持续安全监控服务,针对入侵及告警事件监控分析,开展风险处置;应急响应支撑服务,在出现入侵事件后提供应急止损,帮助快速恢复业务;
(3)全面完整的暴露面管理服务,7*24监控FTMS对外暴露资产及脆弱性数据,并提供专家预警及应急响应服务。
通过但不限于以上服务,确保FTMS在2024年国家护网行动中0失分。


3. 申请人资格要求

3.1 本次资格预审要求申请人须具有与本采购项目相应的服务能力,并具备如下所列的资质、财务、业绩、人员等条件:

3.1.1 资质要求:1) 申请人应是依法从事经营,有能力完成采购项目的法人或其他组织,2022年1月1日前成立,注册资金不少于1000万元人民币。

申请人无需直接提供资质证书扫描件,评审时按照以下标准评审资格预审申请人资质:

申请人的基本信息以文件开启当日信用中国(https://www.creditchina.gov.cn/)或国家企业信用信息公示系统(https://www.gsxt.gov.cn/index.html)查询结果为准,登记状态应为正常或存续(在营、开业、在册)状态;

按照以上渠道无法验证申请人资质的,申请人应在申请文件中提供验证资质的网站和验证方法。

2 )承诺确保一汽丰田在2024年国家护网行动中 0失分,如产生扣分情况,接受合同金额扣减的处罚;

3.1.2 人员要求: 总人数大于50人,评审标准详见第三章资格审查办法,其中 固定员工人数 20 人及以上,必须为本公司社保(即缴费单位为申请人或申请人分公司)且必须在职 6 个月以上,需提供资格预审申请文件递交截止日前三个月内出具的上述人员的(至少包含 2023 9 月至解密当日任意 6 个月的社保证明)的社保缴费证明(申请人应登陆国家社会保险公共服务平台( http://si.12333.gov.cn/ )查询并打印社保参保证明,申请人所在地社保平台未能与国家社会保险公共服务平台对接的,申请人应登陆所在地人社部门社会保险公共服务平台查询并打印社保参保证明,参保证明同样应当包含验真渠道和验真方法),外籍、港澳台人员(需提供外籍、港澳台人员身份证明) 可以用有效期内的劳动合同代替社保证明。

需提供有关财务、人员规模、业绩经验等证明材料,具体要求及评分规则详见资格预审文件。

3.2 本次资格预审 不接受 联合体资格预审申请。

3.3 本次资格预审 不接受 分公司资格预审申请。

3.4 申请人不得存在下列情形之一:

1 )与采购人存在利害关系且可能影响招标公正性;

2 )与本采购项目的其他申请人为同一个单位负责人;

3 )与本采购项目的其他申请人存在控股、管理关系;

4 )为本采购项目提供过设计、编制技术规范和其他文件的咨询服务;

5 )为本采购项目的采购代理机构或代建人或监理人;与采购代理机构或代建人或监理人同为一个法定代表人;与采购代理机构或代建人或监理人存在控股或参股关系;

6 )被依法暂停或者取消投标资格;

7 )被责令停产停业,暂扣或者吊销许可证,暂扣或者吊销执照;

8 )进入清算程序,或被宣告破产,或其他丧失履约能力的情形;

9 )被工商行政管理机关在国家企业信用信息公示系统(http://www.gsxt.gov.cn/)中列入严重违法失信企业名单;

10 )被最高人民法院在信用中国网站(www.creditchina.gov.cn)或各省级信用中国网站中列入失信被执行人名单;

11 )被列入到一汽集团公司黑名单中及一汽丰田禁止限定类供应商清单的潜在资格预审申请人不允许参加投标,已参加的申请人,其资格预审申请文件将被否决;

12 )法律法规规定的其他情形。

4. 资格预审方法

本次资格预审采用有限数量制,至少入围3家,不超过4家,按百分制计算,得分须在70分以上(含70分)合格,合格数量≥4时,按照评分顺序选定4家。

5. 资格预审文件的获取

5.1 请申请人于 2024年06月14日10:00 2024年06月19日17:00 (北京时间,下同),登录 中国一汽电子招标采购交易平台 https://etp.faw.cn/ ,以下简称一汽电子交易平台)下载电子资格预审文件。

5.2 本采购项目平台服务费为 300 元。

5.3 企业数字认证证书及法定代表人个人数字认证证书(以下分别简称企业CA和法定代表人CA)一次性办理费用 500 元,一年内有效。

6. 资格预审申请文件的递交

6.1 资格预审申请文件及响应文件递交的截止时间为 2024年06月21日09:00 。温馨提醒,资格预审申请文件上传受文件大小和网络速度影响,成功上传可能会需要一定时间,为避免近截止时间网络拥堵,建议提前一日上资格预审申请文件及响应文件,已递交的文件处于加密状态,不会泄露申请信息。

注:本次采取双开双评的模式,即资格预审申请文件及响应文件同时递交,分开解密,只有通过资格预审的供应商可以解密响应文件,如通过预审不足3家则项目流标,不再进行响应文件解密,资格预审文件解密时间为递交截止时间,响应文件解密时间以平台后续发布通知为准。

6.2 逾期送达的资格预审申请文件,一汽电子交易平台将予以拒收。

7. 发布公告的媒介

本次资格预审公告同时在以下媒介上发布:

l 中国一汽电子招标采购交易平台 https://etp.faw.cn/

l 中国招标投标公共服务平台 http://www.cebpubservice.com/

8. 联系方式

8.1 申请单位操作指南

https://etp.faw.cn/xxgl/toXinXiList?xinXiGuanLiType=37

申请人在使用一汽电子交易平台时遇到的各类问题,应当首先通过上述链接进入帮助中心-用户指南界面,查看相应操作文件或视频

8.2 电子交易平台客服

电话: 400-691-7888 ,工作时间周一至周五 8:00 20:00

负责答复您在使用一汽电子交易平台时遇到的各类操作问题,如平台注册、资格预审文件购买、资格预审申请文件编制、递交等

8.3 CA 办理(由第三方受理业务)

0431-80745296 工作时间:周一至周五8:30至11:30,13:00至17:00,负责受理您办理CA及密码重置解锁业务

4008809888 工作时间:周一至周五8:30至11:30,13:00至17:00,负责受理您CA发票开具及其进度查询业务

8.4 财务专员

0431-81868663 工作时间:周一至周五8:30至11:30,13:00至17:00

负责答复您关于采购文件费、平台服务费、采购代理服务费的发票开具问题。

8.5 采购人

采购人名称: 一汽丰田汽车销售有限公司

地址: 北京市朝阳区东三环中路1号环球金融中心西塔3F/4F

联系人: 孙小迪

8.6 采购代理机构

采购代理机构名称:长春一汽国际招标有限公司

地址:长春市汽开区东风大街3462号

采购项目负责人: 邵明月 葛鹏飞

座机: 0431-81868613 0431-81868674

手机: 17678393601 17790040722

邮箱: shaomingyue@faw.com.cn gepengfei@faw.com.cn

8.7 项目投诉电话:400-691-7888,工作时间周一至周五8:00至20:00。投诉要求详见第二章申请人须知前附表第10.7款

8.8 纪委举报受理渠道

一汽丰田汽车有限公司

电子邮箱: tftm_jw@tftm.com.cn

一汽丰田汽车销售有限公司

电子邮箱: FTMS_jc@ftmc.cn

9. 申请人网上注册

凡首次在一汽电子交易平台参加电子资格预审或采购活动的资格预审申请人必须登录平台进行网上免费注册,注册时需提交相关资料,平台工作人员审核通过后完成注册,完成注册后方可办理企业CA和法定代表人CA(办理并邮寄大约需要3-5日),若申请人未及时注册并办理CA,由此引起的后果由申请人自行承担。

10. 采购代理机构信息的发布

采购代理机构通过一汽电子交易平台发布的资格预审公告、资格预审文件及其澄清、修改、资格审查结果通知书等资格预审过程信息,一经发布,视为已送达各申请人, 无论申请人下载与否,均视同申请人已知晓相关内容。

11. 申请人异地解密资格预审申请文件须知

11.1 申请人电脑须安装一汽招投标编制工具系列驱动、IE浏览器最新版,正版office办公软件和Adobe Flash Player插件;

11.2 解密资格预审申请文件时,申请人必须使用CA登录一汽电子交易平台并且要保持网络畅通,使用加密资格预审申请文件的CA进行资格预审申请文件环节的解密操作;

11.3 若在规定的解密资格预审申请文件时间内,由于申请人的原因没有解密成功,视为撤销资格预审申请文件,申请人须自行承担后果。


标段编号 标段名称 招标项目类型 资格预审文件获取开始时间 资格预审文件获取截止时间 资格申请文件递交截止时间 操作
0736-XB20240603/01 2024年网络安全改善的企划 服务 2024-06-14 10:00 2024-06-19 17:00 2024-06-21 09:00 【 我要投标 】

文章推荐:

2024年网络安全改善的企划

中国铁路郑州局集团有限公司长治铁路物流中心新乡铁路平 原信通贸易公司专用线(接轨东元庆)散堆装类装卸业务外包 招标公告

景泰县漫水滩乡2024年基础设施配套建设项目招标公告

中铁十五局集团第四工程有限公司洛阳同乐寨安置房项目经理部中铁十五局集团第四工程有限公司洛阳同乐寨安置房项目经理部树脂瓦询价公告

更多商机查看,下载保标APP

扫码关注小程序,获取商机更容易