本招标项目为中国电信股份有限公司河北分公司2023-2024年网络安全保障服务项目，（招标编号：BJCG-HDZB-20230622），招标人为中国电信股份有限公司河北分公司，招标代理机构为北京诚公管理咨询有限公司。项目资金由招标人自筹，资金已落实。项目已具备招标条件，现进行公开招标，特邀请有意向的且具有提供标的物能力的潜在投标人（以下简称投标人）参加投标。

1. 项目概况与招标内容

1.1 项目概况

本项目采购内容为中国电信股份有限公司河北分公司2023-2024年网络安全保障服务项目所需的相关服务，主要包括：对河北电信所有在互联网上暴露的网站与系统进行安全评估、内网的安全防护与风险评估及DICT项目（含自主研发项目）的网络安全保障等服务。服务期限：自合同签订之日起至2024年12月31日。本项目拟中标1名投标人。本项目预估采购金额：630万元（不含税）。项目服务地点：石家庄市。

1.2 本次招标涉及的主要评估产品品类：其他咨询服务

本项目将按照不定期更新的《中国电信供应商不良行为管理规则》应用供应商不良行为处理结果，供应商不良行为处理结果的应用依据涉及的主要评估产品品类 及相关规则确定。无涉及的评估产品品类的，针对具体产品品类的处理结果均不适用，仅适用针对供应商的处理结果。请务必登录中国电信阳光采购网（https://caigou.chinatelecom.com.cn/ctsc-portal/ctscPortal）后在通知-系统公告模块查阅《中国电信供应商不良行为管理规则》。

1.3本项目不划分标包。

1.4 本项目设置最高投标限价，不含税总价最高投标限价为630万元人民币，投标人投标报价高于最高投标限价的，其投标将被否决。

2. 投标人资格要求

2.1投标人基本资格要求

2.1.1 投标人应为中华人民共和国境内法律上和财务上独立的法人或依法登记注册的其他组织，合法运作并独立于招标人和招标代理机构。法人下属不具备法人资格的分支机构参与投标的，应提供所属法人针对本项目或覆盖本项目的经营事项的有效授权。

2.1.2 投标人的法定代表人或负责人为同一人或者存在控股、管理关系的不同投标人，不得参加同一标包投标或者未划分标包的同一招标项目投标。

2.1.3投标人自2020年1月1日至本项目招标公告发布之日（不含当日）（以单项合同/框架下订单的签订日期为准）至少具备1项含税金额不低于600万元的网络安全服务类项目实施经验。

2.1.4投标人须同时具备中国通信企业协会颁发的通信网络安全服务能力评定证书（风险评估一级或以上、应急响应一级或以上、安全培训一级或以上，三者缺一不可）。

2.1.5 投标人须为本项目配备至少20人的服务团队，其中包括2名项目经理（须具备5年及以上网络安全行业工作经验，且同时具备CISSP资质证书），10名现场技术服务人员（均须具备CISP或CISSP资质证书）及8名远端服务人员（其中：至少4人专职负责web应用安全、4人专职负责系统安全）。

2.1.6 投标人须承诺为本项目开具增值税专用发票，若为依法免税的投标人须为本项目开具符合国家要求的免税发票。

2.1.7 本次招标不接受联合体投标。

2.2 投标人不得存在下列情形之一

（1）为招标人不具有独立法人资格的附属机构（单位）；

（2）被依法暂停或取消投标资格的；

（3）被责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照；

（4）进入清算程序，或被宣告破产，或其他丧失履约能力的情形；

（5）在最近三年内（自2020年6月28日起）被相关行业主管部门或司法机关认定有骗取中标、严重违约、重大工程质量或者安全问题的；

（6）在最近五年内（自2018年6月28日起）被判处单位行贿罪，且行贿行为与采购活动相关的（以中国裁判文书网的生效判决为准）；

（7）在最近五年内（自2018年6月28日起）被判处合同诈骗罪的（以中国裁判文书网的生效判决为准）；

（8）被最高人民法院认定为失信被执行人的(以信用中国网站（www.creditchina.gov.cn）或各级信用信息共享平台公布的失信被执行人名单为准)，已执行完毕或不再执行的除外；

（9）为本招标项目提供过设计、编制技术规范和其他文件的咨询服务；

（10）为本工程项目的相关监理人，或者与本工程项目的相关监理人存在隶属关系或者其他利害关系；

（11）为本招标项目的代建人；

（12）为本招标项目的招标代理机构；

（13）与本招标项目的监理人或代建人或招标代理机构同为一个法定代表人；

（14）与本招标项目的监理人或代建人或招标代理机构存在控股或参股关系；

（15）被工商行政管理机关在国家企业信用信息公示系统中列入严重违法失信企业名单的；

（16）其他按照《中国电信供应商不良行为管理规则》及处理结果，应对投标人及其投标产品品类在本项目中执行禁止采购处理措施的。同一标包或未划分标包的同一招标项目涉及多个产品评估品类的，投标人及其任一投标产品品类涉及相关禁止采购处理结果的，该标包或招标项目应适用相关的禁止采购处理措施；

（17）被纳入中国通信企业协会发布的电信和互联网行业网络安全风险警示企业名单，相关惩戒措施为供应商部分产品（或全部产品）在一定时期内不能参加竞争性采购，且本项目的采购内容（划分标包或标段的以标包、标段内容为准）涉及惩戒产品，本项目投标（应答）截止时间在惩戒期限内的。

（18） 法律法规、招标文件限定的其他情形。

2.3 法律法规规定的其他要求。

3. 资格审查方法

本项目将进行资格后审，资格审查标准和内容见招标文件第三章评标办法，凡未通过资格后审的投标人，其投标将被否决。

4. 招标文件的获取

4.1 招标文件获取时间:2023年6月6日09时00分至2023年6月12日17时00分（北京时间，下同）。

4.2 招标文件获取方式：凡有意参与投标的潜在投标人，请按以下步骤顺序进行操作，获取招标文件：

4.2.1登录中国电信阳光采购网（https://caigou.chinatelecom.com.cn/ctsc-portal/ctscPortal）后，通过招投标-采购文件领取模块或通过电子采购入口跳转中国电信电子采购系统，进入本项目进行招标文件登记申领。未在系统注册的投标人须先进行注册，注册方法详见本公告6投标人注册。

4.3招标文件费用：每套售价300元人民币，售后不退。支付要求：投标人可选择通过中国电信电子采购系统在线支付，也可通过线下方式支付文件款，汇款账号详见本公告8，同时须在电子采购系统上传费用支付凭证（汇款备注须注明XX项目）。

5. 投标文件的递交

4.

5.

5.1投标文件递交截止时间（即投标截止时间）为：2023年6月28日09时00分。

5.2电子投标文件的递交：登录中国电信阳光采购网（https://caigou.chinatelecom.com.cn/ctsc-portal/ctscPortal）后，通过招投标-我的项目模块或通过电子采购入口跳转中国电信电子采购系统，选择本项目进行投标文件递交，投标人应在投标文件递交截止时间之前通过电子采购系统完成加密电子投标文件的上传。投标人未在电子采购系统进行招标文件申领登记或电子投标文件未按照要求加密的，将无法通过电子采购系统提交电子投标文件。

5.3本项目将于投标文件递交截止同一时间通过中国电信电子采购系统开标，招标人/招标代理机构邀请投标人的法定代表人/负责人或者其委托代理人准时参加。

6. 投标人注册

6.1 中国电信阳光采购网注册

未注册过的潜在投标人，须通过中国电信阳光采购网（https://caigou.chinatelecom.com.cn/ctsc-portal/ctscPortal）首页立即注册模块完成注册后，方可申领本项目招标文件。

6.2CA证书办理

参与电子采购的潜在投标人须提前办理CA证书进行电子投标文件编制和投标，并确保CA证书在使用时有效。CA证书办理流程详见中国电信阳光采购网首页操作指引-CA办理。

6.3技术支撑联系方式

电子采购系统技术支撑：服务热线4008227188，服务邮箱zb_support@chinatelecom.cn。

CA证书办理技术支撑：服务热线010-82205275/020-83821931/020-83829625，服务邮箱bfdzyzzy.gyl@chinaccs.cn。

7. 发布公告的媒介

本招标公告仅在中国电信阳光采购网（https://caigou.chinatelecom.com.cn/ctsc-portal/ctscPortal）上发布，其他媒介转载无效。

8. 联系及异议接收方式

8.1联系方式

招标人：中国电信股份有限公司河北分公司

地址：石家庄市

邮编：050000

联系人：剧先生

电话：0311-85211645

招标代理机构：北京诚公管理咨询有限公司

地址：北京市北京经济技术开发区景园北街2号

邮编：100179

联系人：底有为 曹海涛 杨会霞 张庆玉

电话： 1334321793817801001517

电子邮件：diyouwei.zgtj@chinaccs.cn

户名：北京诚公管理咨询有限公司

开户银行：中国建设银行北京广安门支行

账号：11001042200056069452-0009

8.2异议接收方式

登录中国电信阳光采购网（https://caigou.chinatelecom.com.cn/ctsc-portal/ctscPortal）后，通过招投标-采购异议-提出异议模块提出。

招标代理机构：北京诚公管理咨询有限公司

2023年6月5日

招标公告附件：实质性条款汇总

★支持对注入（包括SQL注入、XPATH注入及命令行注入）、SSI指令、路径穿越、WebShell防护等。提供截图证明。

★支持基于客户端指纹、POST请求、敏感路径、UA异常等多个维度的被动识别检测。提供截图证明。

★攻击诱捕能力中，微蜜罐类型至少包括tcp、ssh、telnet、http、rdp、mysql、postgres、samba等。提供截图证明。

★具备IP信誉能力，至少包含以下攻击类型： DDOS攻击、安全漏洞、Web攻击、Botnet客户端等，提供截图证明。

★支持对河北电信内网IP进行属性自定义，使地理视图、业务视图、组织架构视图均符合河北电信业务现状。支持向现网其他三方平台同步资产数据，包括资产IP、业务系统、安全域等属性。提供数量不少于10套可满足安全分析能力要求的分析系统（实际数量以招标人要求为准），进行安全域覆盖，实现独立完整的数据处理和安全分析。支持通过分布式部署，实现集中管理与安全分析整体呈现

★支持数据接入，数据源输入方式包括但不限于FTP、SFTP、UDP、文件系统、KAFKA；数据采集时支持配置：允许接入日志的防火墙白名单、数据源的日志采集限流阈值、来源设备IP以及日志编码等。提供截图证明。

★支持漏洞库管理能力，漏洞数应不少于20万，支持添加自定义漏洞模板分组，支持新建自定义模板。提供截图证明。

★实网演习期间，投标人需向招标人提供一套攻防演习保障服务，所提供的服务内容至少包含攻防演练前高价值漏洞、情报推送、处置专家支持和创新方案部署。此外还需包含情报通告、情报验证、分析研判、应急响应、产品支持、溯源反制以及防守方成果报告指导等服务。

★工具可以导出软件组件清单，包括但不限于SWID、SPDX、CyCloneDX等格式清单。提供截图证明。

★支持缺陷白名单功能，可以根据具体规则和扫描语言，配置白名单。白名单生效范围可针对具指定项目和所有项目。提供截图证明。

★工具中指纹及POC数量不低于4000条，并且支持新增指纹、导出加密指纹、导出gxb加密指纹等操作。提供截图证明。

★投标人需提供一套基于威胁情报的互联网核查服务，用于本项目使用。针对工具的专业度要求与2.3.1.8基于威胁情报的互联网资产核查SAAS化服务能力内容一致。

★投标人需提供两类不同类型的不限制扫描数量的商业漏洞扫描工具交由招标人使用，覆盖漏洞扫描、WEB扫描、资产探测、容器扫描、基线核查与代码审计能力，专用于本项目使用。针对工具的专业度要求与2.3.3.4.1自研安全评估工具能力要求内容一致。

★投标人需提供不限制数量、类型的基线核查工具交由招标人使用，专用于本项目使用。工具可离线检查目标单元，可覆盖等级保护二级、三级要求。

★投标人需提供一套测试工具交由招标人使用，专用于本项目使用。针对工具的能力要求与2.3.3.4.2基于实战的测试工具能力要求内容一致。

★攻防演练期间，投标人需向招标人提供一套攻防演习保障服务，所提供的服务内容至少包含攻防演练前高价值漏洞、情报推送、处置专家支持和创新方案部署。此外还需包含情报通告、情报验证、分析研判、应急响应、产品支持、溯源反制以及防守方成果报告指导等服务。

★网络安全能力成熟度评估服务

服务内容

投标人应依照国家法律法规、国家标准、行业标准、监管要求等设计而出，特别参照网络安全法、关键信息基础保护条例、数据安全法、个人信息保护法、等级保护等主旨指导思想对招标人进行网络安全能力成熟度评估服务。

所提供的网络安全能力成熟度模型应从安全治理、安全管理、安全技术、安全运营、安全验证五个方面出发，在每个方面设计出需要达到能力，包括安全战略、安全组织、安全人员、资产管理、威胁管理、网络架构、主机安全、应用安全、安全评估、攻防对抗在内的40个安全能力域，通过对每个安全能力域实施评估和规划，提升企业信息安全能力建设，掌握安全现状及未来建设方向。

输出成果

《现状调研报告》

《能力成熟度评估及差距分析报告》

《建设路线图》

《跟踪优化报告》

★电信网络安全评测及风险评估服务

服务内容

为进一步贯彻落实《工业和信息化部办公厅关于印发<2023年基础电信企业省级公司网络与信息安全工作考核要点与评分标准>的通知》，根据每年通信网络安全防护和检查工作的相关要求，河北电信需保护所辖业务系统不被不法分子攻击和入侵，因此需由第三方安全机构对我公司各系统开展安全评估、检测，提供整改方案和现场技术支持，通过技术手段及时发现系统安全问题并落实相关整改工作，提升系统安全性。

投标人需针对河北电信重点18+个业务系统进行电信网络安全评测及风险评估服务。并针对存在问题输出差距分析报告，协助配合进行相关整改，确保测评后的系统可满足2023年两部委考核。

服务设备量概述：主要包含针对该18+个重要业务系统的安全漏洞扫描，安全渗透测试，安全配置检查，安全加固支持，紧急响应，安全保障服务以及针对各类系统中存在安全风险的数据库（如mysql，oracle，greenplum,redis等），中间件（如apache，tomcat，nginx等）的加固、升级等维护服务，以及提供故障处理现场技术支持服务。

输出成果

《XX系统安全评测报告》

《XX系统安全整改建议》

《XX系统安全总结报告》

★云原生安全无害化评估服务

服务内容

电信行业近些年来云化建设取得了诸多的阶段性成果，但云化建设的同时带来了许多云原生相关的安全问题，基于云原生安全领域的攻防实践，本次服务将针对云原生环境进行安全评估，并给出安全建议；针对云防护平台能力进行安全评估，并给出安全建议。

投标人需以整个云原生环境为维度进行任务评估，主要在基础设施安全领域、云原生基础架构安全域、云原生应用安全域、云原生研发运营安全域及云原生安全运维域维度，依据云原生ATT&CK 矩阵，真实、持续、无害化的验证云原生环境安全及云防护平台的防护能力，及时发现云原生环境相关的安全问题（漏洞+错误配置）并根据建议进行优化。

输出成果

《云原生安全能力评估报告》

《云原生建设规划路线图》

《云原生跟踪优化报告》

★驻场服务内容主要包括安全设备监控、安全巡检、安全日志分析、应急处置等内容。

（1）安全设备监控：对安全设备运行进行监控和维护；

（2）安全巡检：对安全设备进行健康状态检查，包括系统引擎、CPU占用率、内存占用率、接口状态、证书授权状态等内容；

（3）安全日志分析：对安全设备产生的高、中风险告警事件进行分析，包括事件类型分布、事件发展趋势、事件频率、源地址、目的地址等内容；

（4）应急处置：对突发安全事件进行应急响应，阻止安全事件影响扩大，查找安全事件产生原因。

（5）风险评估：对承建的DICT项目业务系统和自研网站及系统提供风险评估服务，并指导系统建设方及维护方实施加固、整改等工作。

★为提升河北电信技术人员安全专业能力，投标人须向中国电信股份有限公司河北分公司提供2个CISP培训考试名额。

★本项目服务期限自合同签订之日起至2024年12月31日。