南网互联网公司2025年主动攻击与实战攻防演练服务项目招标公告
(项目编号:CG3800022002041659)
1.招标条件
本招标项目南网互联网公司2025年主动攻击与实战攻防演练服务项目,招标人为南方电网互联网服务有限公司,项目资金已落实,该项目已具备招标条件,现对本项目进行公开招标。
2.项目概况和招标范围
2.1项目概述:标的1:内部安全检测
为保障核心业务的网络安全,构建覆盖常态风险检测、攻防技术推演、实战验证的全链条攻防体系,提升公司整体网络攻防技术水平,计划开展2025年内部安全检测服务采购。
标的2:网络安全专项攻击
通过网络安全专项攻击服务,引入专业的网络安全团队支撑公司开展内部攻防演练服务,充分发现当前安全设备防护策略缺陷和监测、告警、响应处置的薄弱环节以实施改进,促进整体安全防御水平提高。
2.2招标范围:南网互联网公司2025年主动攻击与实战攻防演练包含以下内容:
标的1:内部安全检测
为保障核心业务的网络安全,构建覆盖常态风险检测、攻防技术推演的全链条攻防体系,提升公司整体网络攻防技术水平,计划开展2025年内部安全检测服务采购,本次采购的工作内容为:
(1)代码与组件安全检测服务
提供系统代码安全风险检测、组件安全风险检测、API接口安全检测,审阅关键逻辑以识别潜在漏洞并给出改进建议,分析依赖关系,定期更新版本并提出加固举措,保障代码、组件、API接口安全。
(2)业务与信息泄露检测服务
提供业务逻辑安全风险分析、敏感信息泄露检测、互联网暴露面检测、配置安全检测,保障现有业务数据信息安全。
(3)应急响应处置能力检验
模拟不同业务系统失陷后的应急响应流程,旨在提升面对网络攻击、数据泄露等突发状况时的应急响应速度,确保能在第一时间阻断威胁蔓延。
标的2:网络安全专项攻击
为保障核心业务的网络安全,构建覆盖常态风险检测、攻防技术推演、实战验证的全链条攻防体系,提升公司整体网络攻防技术水平,计划开展2025年网络安全专项攻击服务采购,采购内容如下:
(1)内部攻击:
提供实战攻击,在不对业务系统造成破坏的前提下,对公司全域纵深网络进行全方位,无差别、无限制的渗透测试服务,采取信息收集与侦测、漏洞扫描与评估、网络入侵、后门植入与持久化、数据窃取与横向移动等技术,并以系统提权、控制业务、获取数据为目标,对应用系统网络侧、数据层、web应用层、主机层开展场景化的实战攻击,深入评估网络与信息系统安全防护短板,安全漏洞,提出布防改进建议,封堵攻击路径,修复安全漏洞,收缩网络与系统暴露面。制定回血要求,根据实际演练场景由防守方按规定编写回血报告,对回血报告的及时性、完整性进行审核,对回血过程中的出现的问题归类总结,提出优化措施。
(2)漏洞检测与挖掘:
采用工具检测结合手工测试等方式,对内部系统及经招标方确认的关联系统开展漏洞挖掘工作。
(3)自动化工具攻击专项:
使用网络安全自动化工具完成攻防任务,如渗透测试、数据提取,通过专项演练,理解网络安全自动化工具在攻击和防御中的实际应用,提升各业务系统对自动化攻击行为的识别能力与防御能力,同时实现工具实操与真实环境演练相结合,增强各业务系统应对能力。
(4)钓鱼演练专项:
基于社会工程学的原理,根据公司及第三方供应商相关用户网络环境、邮件使用习惯和特征,结合社会、行业及组织内的热点事件,精心构造具有欺骗性、迷惑性、含有钓鱼链接的钓鱼邮件,模仿组织内部门向员工群体、第三方供应商目标群体定向发送钓鱼邮件,进行钓鱼测试,检测及训练第三方供应商员工防范社会工程攻击。
(5)防勒索病毒专项:
通过模拟真实环境下的勒索病毒攻击与防御场景,提升公司各系统对勒索病毒的识别、防御、应急响应及恢复能力,强化公司网络安全防护体系。
(6)数据泄露防护专项:
模拟敏感数据的泄露路径,包括数据库导出、文件共享目录暴露、缓存信息抓取等。检验敏感数据是否以明文形式存储或传输。
(7)恶意代码检测专项:
模拟通过上传等途径植入后门或恶意代码,评估系统对恶意文件的检测能力。
(8)技能培训专项
邀请有经验的外部红军专家对公司红军队伍进行培训,提升风险识别、漏洞分析、入侵检测与防御能力;提高实战操作技能,能够独立或协作应对安全事件。
(9)沙盘推演
提供沙盘推演,针对核心资产和业务开展攻防沙盘推演,模拟多种攻击场景,检验临战能力与防御措施的有效性,全面评估系统安全状况。
2.3招标项目所在地区:广东广州
2.4资格审查方式:资格后审
2.5招标分类:框架(框架有效期为120天。(1)协议期间,若合同实际支付金额达到标的预估采购金额的上限比例(预测采购量的120%),应立即终止框架协议。(2)协议期届满时,供应商实际采购金额在标的预估采购金额上下限比例之间的,按期终止框架协议。供应商实际采购量未达到标的预估采购金额下限比例(预测采购量的80%)的,框架协议有效期限延长一年,在延长期内,该框架协议的实际采购量达到下限比例时立即终止框架协议。延长期满仍未达到下限比例,自动终止框架协议。)
2.6标的清单及分包情况:
序号 |
标的名称 |
标包名称 |
预计采购金额(万元) |
最高投标限价(万元) |
最大中标数量 |
工期/服务期 |
是否特殊包 |
备注 |
1 |
内部安全检测 |
内部安全检测 |
245.95 |
/ |
1 |
自框架合同签订之日起一年 |
否 |
标包金额仅作为预估规模参考,最终采购金额以框架结果有效期内实际发生的采购量为准 |
2 |
网络安全专项攻击 |
网络安全专项攻击 |
210.82 |
/ |
1 |
自框架合同签订之日起一年 |
否 |
标包金额仅作为预估规模参考,最终采购金额以框架结果有效期内实际发生的采购量为准 |
注:本项目不收取投标保证金。除不受限制的特殊包外,一个投标人在一个标的中最多只能中不超过最大中标包数的标包。预计采购金额为采购需求预测数据,仅作为招标预估规模供投标人参考,并不代表招标人对采购量的承诺,最终以实际框架结果有效期内具体委托量为准。部分标包,特别是预计量少的标包,可能出现部分单位协议期内无实际需求的情况,请在知悉并接受相关条件的情况下参与本项目的投标。报价表及报价要求:报价表详见招标文件。
3.投标人资格要求
3.1通用资格要求
通用资格要求 |
|
序号 |
内容 |
1 |
中华人民共和国境内注册的法人,提供合法有效的营业执照(或事业单位法人证书等);或中华人民共和国境内注册的非法人组织,提供主体资格合法存续的证明文件,分支机构应提供合法有效的授权,授权应加盖委托人公章且委托人法定代表人或负责人签字。 |
2 |
单位负责人为同一人或者存在控股、管理关系的不同单位,不得参加同一标包(标段)投标或者未划分标包(标段)的同一招标项目投标。 |
3 |
不接受联合体投标。 |
3.2专用资格要求
无。
4.**
本招标项目仅供正式会员查阅,您的权限不能浏览详细信息,请点击 登录 或 注册 ,联系工作人员办理会员入网事宜,成为正式会员后方可获取详细的招标公告、报名表格、项目附件及部分项目招标文件等。
联系人:张晟
手 机:13621182864
邮 箱:zhangsheng@zgdlyzc.com
