北京农商银行2025年国产化漏扫设备采购项目供应商征集公告
- 2025-03-24
项目名称: 北京农商银行2025年国产化漏扫设备采购项目供应商征集公告
招标公司: 北京农村商业银行股份有限公司
项目地区:北京 北京
北京农商银行 2025年国产化漏扫设备采购项目供应商征集公告
一、 项目 名称: 2025年国产化漏扫设备采购项目
二、采购内容简介
1.建设背景
本次采购国产化漏洞扫描设备 3 台, 具体采购 需求如下 。
2.技术和功能需求
2.1基本要求
( 1) 产品需使用信创的硬件平台和操作系统,采用 B/S设计架构,并采用SSL加密通信方式。
( 2)支持同现有漏扫管理平台对接,漏扫设备可以通过漏扫管理平台实现统一管理。
( 3)支持同现有漏洞管理平台下发联动。
2.2硬件及产品性能
( 1) 要求 1个RJ45串口,管理口≥1个GE,4个万兆光口(含光模块),扩展插槽≥5个,含交流冗余电源,内存≥32G,硬盘4TB+256GB。
( 2)要求最大并发扫描≥50个IP地址,最大并发任务≥10个任务。
( 3)要求开启全插件漏洞扫描扫描速度不低于600ip/h。
( 4)支持多路扫描功能,可以同时对多个隔离业务子网进行扫描。
( 5)支持IPv4和IPv6环境的部署和扫描。
2.3漏洞管理和分析功能
( 1)支持检测的漏洞数大于270000条,兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准,并提供CVE Compatible证书。
( 2)产品支持对系统漏洞扫描、配置合规进行检查和综合分析,可输出同时包含漏洞扫描和配置核查结果的报表。
( 3)支持远程扫描和采用SMB、SSH、Telnet等协议对Windows、Linux等系统进行登录扫描。
( 4)产品应支持通过多种维度对漏洞进行检索,包括:CVE ID、BUGTRAQ ID、CNCVE ID、CNVD ID、CNNVD ID、MS 编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息。
( 5)支持提供高级漏洞模板过滤器,支持将符合筛选条件的漏洞自动加入到自定义漏洞模板中,及后续插件升级包中的漏洞也可以自动加入到模板中。
( 6)产品支持内置不同的漏洞模板针对Unix、Windows操作系统、网络设备和防火墙等模板,同时支持用户自定义扫描范围和扫描策略;支持自动模板匹配技术。
(7)支持扫描国产操作系统、应用及软件的安全漏洞,如中标麒麟、银河麒麟、深度等,提供详细漏洞列表。
(8)支持专门针对DNS服务的安全漏洞检测,包括DNS投毒等漏洞检测能力;支持“幽灵木马”检测。
( 9)支持专门针对已有攻击利用代码的漏洞检测,检测用户资产是否存在可利用的漏洞。
( 10)支持Oracle、MySQL、MS SQL、DB2、Sybase数据库漏洞检查。
( 11)产品具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用SMB、RDP、TELNET、FTP、SSH、POP3、Tomcat、SQL SERVER、MySQL、Oracle、Sybase、DB2、MONGODB、SNMP等协议进行口令猜测,允许外挂用户提供的用户名字典、密码字典和用户名密码组合字典。
( 12)支持立即执行、定时执行、周期执行扫描任务,自定义的周期时间可精确至每*月第*个星期*的*点*分。
( 13)支持断点续扫,可对已完成的扫描任务中没有被覆盖到的目标重新下发扫描任务。
( 14)支持扫描时间段控制,只在指定时间段内执行任务,未完成任务在下一时间段自动继续执行。
( 15)支持复用已有任务配置用于新的扫描任务。
( 16)支持认证信息管理,可将系统登录信息、配置检查模板进行统一管理和配置,提供登录信息导入功能,无须每次下任务时进行配置。
( 17)产品提供通过资产树对资产进行分级管理,支持设备权重设置和可信设备登记,支持将资产信息批量导入到资产树,可在资产树上直接指定主机开展扫描任务。
( 18)产品可以通过多种维度搜索定位资产和查看资产风险,包括并不限于:节点或设备名称、资产IP范围、资产管理员、资产操作系统类型、资产风险等级、漏洞名称、开放的端口、资产banner信息等。
( 19)支持风险告警和风险闭环处理,可在集中告警平台灵活配置告警内容、告警方式、告警资产范围等,支持邮件和页面告警,支持单个或批量修改风险状态。
( 20)支持自定义风险值计算标准配置,可对主机风险等级评定标准和网络风险等级评定标准进行自定义。
2.4风险展示和报表功能
( 1)支持通过仪表盘直观展示资产风险值、主机风险等级分布、资产风险趋势、资产风险分布趋势等内容,并可查看详情。
( 2)支持高级数据分析,可对同一IP的两次扫描结果进行风险对比分析,并可在线查看同一IP的多次历史扫描结果。
( 3)支持将按IP范围、起止时间、任务名称、任务状态、漏洞模板、用户等筛选扫描任务,并对筛选结果进行汇总,和生成在线及离线报表。
( 4)支持实现显示扫描结果,包括扫描进度、主机存活数、预计扫描时间、漏洞风险信息等。
( 5)支持扫描任务完成后自动生成报表和发送到指定邮箱或上传到FTP服务器。
( 6)提供多种报表类型,包括综述报表和主机报表。
( 7)报表能提供针对不同角色的默认模板,离线报告支持HTML、WPS、EXCEL、PDF等格式,报告可以直接下载或自动通过邮件直接发送给相应管理人员。
( 8)提供灵活的报表自定义,可定制报表标题、封面logo、报表页眉和页脚、报表各章节显示内容。
2.5多权限用户管理功能
( 1)支持不同用户角色权限管理,区分系统管理员、普通用户、审计管理员等角色,不同管理员拥有不同的管理权限。
( 2)支持多用户分级权限管理,可为每个用户角色分配账号、任务级的权限分配、允许登录的IP范围和允许扫描的IP范围等。
( 3)提供审计功能,能够对登录日志、操作日志和异常报告进行记录和查询。
3.服务需求
需免费 提供 3年原厂服务,具体服务内容包括:
3.1 设备安装、调试及上线
根据我行的要求 制订 该设备上线的技术方案,确保技术方案科学合理,满足我行需求。
须制订详细的实施方案及计划,进行设备的安装、调试、上线等工作,确保设备顺利投产。
3.2 系统变更
为我行制定系统变更实施方案,对于重大系统变更,派工程师到现场进行实施。
3.3 故障处理与备件更换 、 设备巡检
在 7×24时间范围内,若发生与设备和软件相关的故障,应 我行 要求,应派工程师在 2小时内赶到现场,协助我行进行故障排查。
在 7×24时间范围内,若设备发生硬件故障,须在接到申告的4小时内将完好备件运抵现场,应 我行 要求,派工程师到现场进行更换。
对于关键设备,须放置相应备件在我行现场,以确保备件更换的及时性。
在 3年服务期内,须每季度对相关设备和软件进行1次巡检,检查设备和软件运行状态,分析设备和软件日志,针对设备和软件存在的问题提出解决建议,并应 我行 要求,对设备和软件存在的问题进行处理。应在现场巡检后的 5个工作日内提交设备和软件巡检报告。
3.4 软件升级
在 3年服务期内,应及时提供采购设备和软件的升级软件版本或软件补丁,根据 我行 要求,评估升级软件版本或打补丁的风险,制订实施方案,并进行实施,及时消除软件运行中潜在的隐患。
3.5 技术支持及关键时间保障
应 我行 要求,在关键时间点(如银行年终决算、重要应急演练等),应派工程师到现场技术保障。
应为我行提供 7×24小时技术支持电话,协助我行解决系统日常运行中的问题。
3.6 技术交流与培训
在免费服务期内,至少每月安排 1次技术交流,对我行上月所发生的故障或问题进行汇总分析,提出改进建议;安排其他技术方面的交流或培训。
3.7 其他服务
除正常的技术支持电话以外,须另设立客户投诉渠道,受理我行对服务的投诉。应保证从受理我行投诉到向我行初次回复处理意见的时间不超过 2小时。对投诉的处理以投诉问题得到解决和我行满意为结束,时间不得超过半个月。
三 、意向供应商资质要求及提交材料要求
( 一 ) 供应商资质要求
1.具有独立承担民事责任的能力。
2.具有良好的商业信誉和健全的财务会计制度。
3.具有履行合同所必需的设备和专业技术能力。
4.有依法缴纳税收和社会保障资金的良好记录。
5.最近三年内,在经营活动中没有重大违法记录。
6.投标公司具有ISO27001信息安全管理体系认证证书和ISO20000信息技术服务管理体系认证证书(提供资质扫描件)。
7.如代理商参与,需提供原厂商对本项目的授权。
8.法律、行政法规规定的其他条件。
( 二 ) 提交材料内容
1. 供应商情况 表需提供盖章扫描件及 Word可编辑版。
2. 在 “国家企业信用信息公示系统”、“信用中国”系统提供查询结果( 截屏盖章 ),包括不限于经营异常、行政处罚、变更记录、重大税收违法失信情况等。
3.提交加盖单位公章的载有统一社会信用代码的营业执照,材料需为PDF格式文件。
4.提交加盖单位公章的能证明满足供应商资质要求的文件。
(三) 提交材料 要求
1.邮件主题: 项目名称 +公司名称;邮件主题、正文、附件中不能含敏感字。
2.邮件正文中要写明公司的联系人姓名、手机号、邮箱。
3.须以传统方式黏贴附件,不能发云附件;发送的附件(压缩文件、文档等)不得设置密码或编辑权限;单个邮件大小控制在 50 MB以内(如果超限,可分几个邮件发)。
4. 报名资料未按要求提供或提供不全的情况,采购人将拒绝其报名 。
5 . 采购人视收到的上述材料不涉及商业秘密 。
6.采购人可能根据项目情况取消采购,供应商应予接受。
7.不接受联合体参与报名,不得以任何形式转包或分包。
8.前来报名的供应商应保证所提供材料的真实合法性,并由此承担法律风险和赔偿责任。采购人保留对相关材料进一步核实的权利,如发现提供虚假材料的供应商,采购人将取消其本次及以后的报名资格。
四、征集期
自 2025年3月24日起 至 2025年3月28日16时止。
请在规定时间内参与报名,截至报名日期后我行将不再接受任何形式的申请材料。
联系人及电话:龙老师, 查看完整信息。
邮箱地址(专用): jhcw_gyszj@bjrcb.com
北京农村商业银行股份有限公司
2025 年 3 月 24 日
