在线服务
×
中国石油集团海洋工程有限公司信息及网络安全技术服务项目

2024-08-12

浏览次数:122

一、招标条件

本招标项目中国石油集团海洋工程有限公司信息及网络安全技术服务项目,招标人为中国石油集团海洋工程有限公司,招标项目资金来自企业自筹,出资比例为100%。该项目已具备招标条件,拟进行公开招标,现在邀请符合资格要求的潜在投标人参加此次投标。

二、项目概况与招标范围

2.1项目概况:按照集团公司数信部工作计划安排,每年都要开展HW演习行动,且随着集团公司对信息安全工作要求的不断提高,按照最新下发的《2024年度集团公司网络安全工作考核要求》,海洋工程公司作为HW演习行动的防守单位信息安全形势非常严峻,压力很大。鉴于公司因规模小、信息化专业人员少、信息安全支持力量薄弱的情况,需寻求国内大型专业信息安全技术服务公司,与公司现有信息化管理人员组成信息安全防护团队,对公司信息安全开展全面支撑工作。

持续加强海洋工程公司网络安全保障、提升网络安全防护能力,确保信息系统的安全性。通过外部网络安全专项服务采购,加强和保障海洋工程公司办公网络和信息系统的安全防护能力,发现安全问题,减少关联的业务损失或不良影响。同时确保在信息技术系统开发、运行、维护和管理过程中的信息安全风险最小化、系统安全稳定运行常态化、信息安全系统安全防护能力最大化等要求。

2.2招标范围:集团公司实网攻防演练行动和HW演习行动期间信息安全技术人员驻场服务,国家重要节假日、大型纪念或庆祝活动、重要会议期间技术支持保障服务,公司信息及网络安全应急演练技术服务,信息安全技术培训服务,公司自建信息化应用系统网络安全等级保护测评服务。

其中标段(标包)划分、各标段估算金额及招标控制价: 本项目共分为1个标段,费用控制在120万元(不含税)以内。

2.3服务地点:中国石油集团海洋工程有限公司总部(北京市朝阳区太阳宫南街23号丰和大厦),塘沽片区所属单位(天津市滨海新区津塘公路40号),青岛片区所属单位(山东省青岛市黄岛区连江路1号)。

2.4服务期限:三年。

三、投标人资格要求

3.1本次招标不接受联合体投标,不允许分包。

3.2 资格要求

投标人应在中华人民共和国境内注册,具有独立法人资格的服务商。

3.3 业绩要求

投标人近3年(2021年1月1日至本次投标截止时间)应具有2项与网络安全相关的技术服务项目业绩。投标人须出具相关业绩证明材料(包括合同首页、合同金额页、项目服务内容页、交易双方盖章页等,以合同签订时间为准)。

3.4 财务要求

投标人须提供近三年(2021、2022、2023)经会计师事务所或审计机构审计的财务报告(资产负债表、现金流量表、利润表及相关会计报表),财务状况良好,无资不抵债情况,企业没有处于被接管、破产或关、停、并、转状态。

3.5 信誉要求

服务公司应具有良好的商业信誉,未被列入“经营异常名录”和“严重违法企业名单”,由评委现场登录网址(http://www.gsxt.gov.cn/index.html)查询并记录。近三年经营活动中投标人单位、法定代表人无行贿犯罪档案记录,提供无行贿犯罪承诺函。

3.6项目负责人

要求具备1名项目经理和至少1名技术工程师,并提供开标日期前6个月的社保证明。

3.7技术要求或技术方案

1、项目需求概述

按照集团公司数信部工作计划安排,每年都要开展实网攻防演练行动和HW演习行动,且随着集团公司对信息安全工作要求的不断提高,按照最新下发的《2024年度集团公司网络安全工作考核要求》,海洋工程公司作为HW演习行动的防守单位信息安全形势非常严峻,压力很大。鉴于公司因规模小、信息化专业人员少、信息安全支持力量薄弱的情况,需寻求国内大型专业信息安全技术服务公司,与公司现有信息化管理人员组成信息安全防护团队,对公司信息安全开展全面支撑工作。

2、技术服务清单

集团公司实网攻防演练行动和HW演习行动期间2名信息安全技术人员驻场服务,国家重要节假日、大型纪念或庆祝活动、重要会议期间远程技术支持保障服务,公司信息及网络安全应急演练技术服务,信息安全技术培训服务,公司自建信息化应用系统网络安全等级保护测评服务。

序号

服务项目

服务阶段

任务分类

工作内容

1

集团公司实网攻防演练行动和HW演习行动期间信息安全技术人员驻场服务(2人)

梳理检查

资产梳理

1.梳理公司网络链路资产:公司总部及所属单位石油内网、互联网连接情况,尤其是自建互联网出口;暴露在互联网上的网站、系统、测试平台、IP地址等;梳理反代设备映射地址信息。明确链路连接路径,落实责任人,形成详细清单。
2.使用工具+人工方式探测互联网及石油内网资产,包括地址段、vlan划分、端口、服务等信息,发现遗漏资产并登记明细。
3.探测并扫描互联网上暴露的无管理、未使用、无防护的网站、系统、平台,确定不适用的进行关停,无法关停的进行漏洞扫描和渗透测试,并对系统管理后台进行限定访问来源设置。
4.梳理公司移动APP、小程序、公众号、第三方托管SAAS化服务系统等,形成详细清单。

2

敏感信息排查

1.在互联网上通过专业工具搜集与公司相关的敏感信息,如技术方案、网络拓扑图、系统源代码、VPN/邮箱账号口令等。要对网盘、文库、Github类的代码托管网站等开源情报系统进行细致排查清理。
2.加强代码安全管理,软件源代码、开发文档、程序配置文件中含有明文数据库账号口令、邮箱账号口令及其他平台数据交互方式等敏感信息,形成详细清单,严格管理,责任到人。
3.通过技术扫描手段,排查在服务器及个人终端上明文存放重要信息(网络拓朴、设计文档等,特别是账号口令信息)。

3

账号及弱口令排查

1.全面检查和清理重点系统及设备账号(操作系统、网络设备、业务系统等)。全面核实所有账号使用状态,检查实际使用人和账号信息是否保持一致。对于检查中发现的异常情况及时处置,清除所有无人使用、无人管理的僵尸账号,及时更新账号信息,关停人号不一致的账号。
2.通过技术扫描手段,对内外网服务弱口令进行探测及扫描,网络设备、主机设备、数据库、中间件、应用系统等资产进行口令规范(禁止弱口令/规律密码/相同密码),同时制定制定适合海洋工程公司的社工系统的密码字典库。

4

漏洞风险排查

1.通过漏洞扫描设备,对内外网部署的服务器和网络设备进行漏洞扫描,并对扫描结果进行人工分析,重点涉及历年HW中常利用的重点系统指纹及nday信息进行排查。
2.应用系统渗透测试及历史漏洞整改情况检查;应用系统服务器目录下是否存在备份文件,存在及时删除;系统服务器、中间件、数据库高危漏洞补丁情况检查。

5

钓鱼社工排查

1.开展覆盖全体员工的社会工程学攻击手段及防范教育,内容包括电子邮件钓鱼、短信钓鱼、电话钓鱼、人员接触方面的社会工程学攻击防范意识教育,讲述电子邮件及短信钓鱼的攻击原理、流程,指出恶意附件、恶意仿冒链接、伪造身份、套取敏感信息、不明身份人员非法操作设备等需要提高警惕的具体场景情形,识别恶意信息、保护敏感信息等相应的应对处置方法。
2.排查在线云盘(如阿里云盘、百度云盘等)、社交软件(包括微信、QQ等)等方式进行公司敏感信息的共享、存储行为。

6

防御强化

风险问题加固

针对梳理检查阶段及集团公司内部排查发现的各类安全问题进行闭环处置加固,削减安全风险。

7

暴露面收敛

根据资产清单,结合公司日常生产经营计划安排,合理规划公司自建信息化应用系统开放时间,适时关闭服务或网站。

8

监测防护能力强化

1.梳理现有威胁监测和阻断防护设备和能力清单,补齐补全安全设备,核实当前防护范围,尤其是对内网资产防护的覆盖范围,建立网络安全资产防护设备和防护能力台账。
2.在公司总部及所属单位局域网边界出口处部署威胁监测和阻断防护设备,做到网络系统级威胁监测和处置全覆盖,形成第一道防线。
3.安全防护设备防护策略检查,确认状态正常,策略库为最新状态,日志信息保留180天。
4.确认所有网络入口流量都在监控范围内,通过攻击验证设备策略均在有效状态;确认出口防火墙可封禁状态,提前建立好封禁策略组,方便HW期间直接添加IP黑名单。
5.派驻工程师针对网内现有安全设备告警及策略进行梳理确认,清理老旧告警,业务告警加白,降低HW期间监测难度。

9

核心网络设备加固

公司核心网络设备、数据服务器管理后台或者访问进行白名单访问控制。

10

重点系统专项评估

对公司已完成等保测评的两个自建信息化应用系统,进行专项安全评估及监控能力加强,增补安全设备,限定访问网络权限等。

11

实战演习

威胁情报预警

1.及时推送自有及第三方漏洞情报、威胁情报(含IP、域名、特征值等信息)通过内部协同防守队伍进行下发,及时排查突发问题风险。
2.针对0day/Nday漏洞进行预警,包括漏洞名称、影响范围、危害和安全整改加固措施等。
3.针对各单位已经遭受成功入侵的安全事件进行预警,预警内容包括受害IP、攻击时间、攻击类型、可能的攻击路径、下一步处置建议等。

12

安全监测值守

1.进行全流量监测和大数据关联分析,及时发现异常行为,如:外连远控、横向非法访问等。
2.实时监测分析安全设备告警日志,主要监测分析异常流量、恶意文件、木马远控、弱口令、漏洞利用攻击等。

13

安全分析研判

针对网络攻击告警事件和异常网络访问进行深入分析,研判攻击造成危害和影响。

14

应急响应处置

1.针对入侵成功的行为采取应急处置措施,包括阻断攻击源、阻断远控服务器、隔离下线受害主机等。
2.针对入侵成功行为进行全面回溯分析,查找攻击路径、漏洞利用,并进行业务系统恢复操作。
3.详细记录安全事件处置全过程,记录内容至少应包括:安全事件详细信息、应急处置全流程信息。

15

攻击溯源反制

1.针对发现疑似突破网络和系统入侵的攻击事件进行溯源取证分析、攻击者画像等。
2.通过在真实业务网络中部署各种高仿真蜜罐、蜜饵,形成沉浸式诱捕蜜网,混淆攻击视听,增加攻击代价。
3.利用获取的有特征的攻击行为,进行攻击者画像,并充分利用一切允许的条件进行攻击反制。

16

防守成果上报

编制防守技战法总结、心得体会等,提交集团公司HW演练指挥部;针对网络攻击者利用的木马后门文件,提取样本特征,尽可能的全文件保留;人工编制报告(根据演练指挥部要求,详细描述时间、来源、路径、特征样本、影响范围等信息)。

17

攻防复盘

攻击复盘总结

针对攻击事件进行综合分析,确认攻击路径及防护盲点,后续开展补充补全。

18

防守复盘总结

针对防守工作综合分析,包括组织架构、人员分工、应急处置流程是否合理、网络安全监测和防护是否存在薄弱环节等。

19

风险持续整改

针对集团公司演练指挥部通报下发的网络安全风险进行分析总结、协助整改加固和风险复测,最终编制演练总结报告。

20

防守报告编制

编制整体防守总结报告,主要包括防守经验、主要措施、心得体会等。

21

国家重要节假日、大型纪念或庆祝活动、重要会议期间技术支持保障服务

/

安全专家远程支持

结合部署在公司核心网络的信息安全防护设备,按照集团公司工作计划安排,对国家重要节假日、大型纪念或庆祝活动、重要会议期间进行信息安全保障工作,信息安全专家远程解决出现的各类问题,当出现重大安全事件现场团队无法解决时可提供现场服务。

22

公司信息及网络安全应急演练技术服务

/

应急演练

开展公司信息安全突发事件的应急演练工作,包括但不限于勒索病毒数据加密攻击、木马病毒远程攻击、DDOS网络拒绝服务攻击、DNS诱骗攻击等,提高应急处置能力,确保快速有效的处置可能发生的网络安全突发事件。编制演练方案、形成演练过程文档、复盘总结文档等。

23

信息安全技术培训服务

/

信息安全培训

对公司总部各部门、所属各单位关键用户开展信息安全技术培训,提升公司全员信息安全意识,分别在公司总部、塘沽片区、青岛片区开展。

24

信息安全宣传周

按照集团公司数信部工作要求,公司范围内开展信息安全宣传周活动,编制信息安全防护意识考试试题,公司全员开展答题活动。

25

公司自建信息化应用系统网络安全等级保护测评服务

/

等保二级测评

针对公司自建信息化应用系统开展网络安全等级保护二级测评工作,以系统为单位,取得公安部备案证书,完成系统测评报告。

 
 

3、配套设备清单

海洋工程公司网络架构分为公司总部丰和大厦区域和所属单位塘沽片区区域,两个区域网络架构属于平行关系,同时通过运营商的数据专线接入中国石油北京区域中心实现石油内网与互联网应用。故基于以上网络架构,为了对海洋工程公司局域网达到最大程度信息安全防护,需在两个区域网络边界部署相应的信息安全防护设备,清单如下:

序号

设备类型

设备名称

数量

规格参数

1

检测类设备

漏洞扫描系统

2

并发主机数、并发任务数并发主机数:80
并发任务数:10个;标准机架式1u设备;芯片+操作系统:兆芯C4600+中标麒麟;CPU=4核4线程;内存:16G;硬盘容量:2T;电源配置:单电源; 网络接口:千兆电口管理口*2,千兆电口*4,千兆光口*4。

2

运维安全类设备

堡垒机

2

授权资产数500个;并发字符连接最大数500个;并发图形连接最大数100个;2U工控机,CPU:4核4线程,内存:8GB,硬盘:2T*2(raid1),1+1热插拔冗余电源(额定功率300W),网络接口:千兆电管理口*2,千兆业务电口*4,千兆业务光口*4,USB口:USB2.0*2,串口:RJ45口*1。

3

展示平台

态势感知平台

2

2U标准机架式设备, CPU=24核(12核*2) 2.10GHz ,内存=256GB ,硬盘容量=64T(8T*8),电源规格=1+1冗余电源 800W,标配4个GE接口,2个万兆光口,1个RJ45管理网口。

4

等保合规设备

日志审计系统

2

授权资产数40个;每秒事务处理数1500个(条);标准1U硬件,芯片+操作系统:龙芯3A4000+统信UOS,内存:16G(8G*2),硬盘:4T, 电源:双电源, 网口:千兆电口*6(包含管理口*1,HA口*1,业务口*4);千兆光口*4。

5

检测类设备

APT预警平台

2

整机吞吐量5Gbps;2U标准机架式设备,电源:1+1冗余电源 内存:64G 硬盘容量:硬盘容量:2T*2,带RAID1,可用磁盘空间不小于2T ; 接口数量:标配10个; 接口类型:千兆RJ45网口*2、千兆RJ45网口*4、千兆业务SFP光口*4。

6

检测类设备

入侵检测系统

2

整机吞吐量5Gbps;2U 标配网口:千兆电口*4,万兆光口*2 硬盘容量:6T SATA*2 内存:64G USB口:USB2.0口*2 电源:1+1热插拔冗余电源。

7

边界安全设备

上网行为管理

2

推荐带宽1Gbps;整机吞吐15Gbps;最大并发数500万;最大新建数15万/秒;标准2U机架式;CPU:4核;内存:4GB;硬盘:2TB HDD;电源:双电源;网络接口:千兆电口=12个,管理电口=1个,千兆光口=12个,万兆光口=2个,不带光模块。

8

边界安全设备

防火墙

2

整机吞吐10Gbps;最大并发数400万;最大新建数20万/秒;1、软硬一体产品。2、2U机架式,CPU:飞腾 腾锐 D2000,内存:16GB,硬盘:2TB HDD,电源规格:1+1冗余电源(额定功率550W),风扇数:2个。网络接口:千兆电口=8个,管理电口=1个,HA电口=1个,千兆光口=8个,不带光模块,接口扩展槽:2个。操作系统:统信 UOS V20。

 
3.8 不存在禁止投标的其他情形。

四、招标文件的获取

4.1 本项目编码为:GWDC-WB-2024-ZBZX-FR-00141,项目名称为:中国石油集团海洋工程有限公司信息及网络安全技术服务项目。

4.2 本次招标采取线上发售招标文件的方式。招标文件每套售价200元,售后不退。凡有意参加投标的潜在投标人,请于北京时间 2024年08月12日10:00至2024年08月17日23:59:

(1)登录中国石油招标投标网顶端信息栏中“招投标平台”信息栏,进入中国石油电子招投标交易平台中注册账户(已注册的,无需重复注册),并在线报名投标。

外网网址:http://bid.energyahead.cnpc/#/

内网网址:http://bidmanage.cnpcbidding.cnpc/#

凡招标文件要求在中国石油招标投标网上递交投标文件的,投标人注册后,还须到昆仑银行股份有限公司或到中国石油物资公司办理电子招标平台U-Key(只能二选一, 后者的U-Key办理网点切换为远程办理模式,具体要求详见中国石油招标投标网主页左下方“通知公告”栏中的通知,或者登录系统选择UK办理)。已有U-key的,无需重复办理。

不要求在中国石油招标投标网上递交投标文件的,不用办理U-key。

详见:附件1《关于招标平台U-KEY办理和信息注册维护的通知》。

(2)在线购买招标文件。

购买招标文件采用网上支付的模式,系统只支持个人网银支付。若通过个人账户购买,将被认为购买人已经获得了公司的授权,等同于公司购买。购买后发票会开据此投标人公司名称发票,获取发票请将公司名称发送至邮箱:zbzxfp@163.com, 联系电话:010-59286270,获取时间(每月25号之后按具体情况顺延一个月)为开标日期的下一个月20号以后。

潜在投标人在购买招标文件时,应确认投标人名称、通信地址、联系人、联系方式及发票信息等基本信息准确无误,招投标信息发布和联络以此为准。招标过程中因联络方式有误导致的一切后果由投标人自行承担。

详见:附件2《购买和下载招标文件操作步骤》。

提醒:付款前请先安装昆仑银行插件。付款状态改变为“已付款”后,可在系统中下载招标文件。若付款后,刷新状态后显示未支付,请点击获取订单状态按钮并等待一段时间后(1-4个小时)重复点击获取订单状态按钮并刷新。若多次刷新后状态依然未改变,请您再次购买,直至状态更改为已付款,请您在开标后将重复付款说明和银行流水及参加项目的截图发至liujun.gwdc@cnpc.com.cn,以便重复支付款项的退回。其款项招标中心会在收到邮件后3-5个工作日退回至您的系统。

请投标人务必确认支付状态为已支付,并能够下载招标文件。售卖期结束后状态为未支付的,视为未购买对应的标段/包,招标中心将不再受理。

(3)支付成功后,潜在投标人直接从网上下载招标文件电子版。招标机构不再提供任何纸质招标文件。支付成功,即视为招标文件已经售出,文件一经售出概不退款。发票将会在开标日期(每月25号之后按具体情况顺延一个月)之后的下个月20号左右开具,届时将投标人名称发送至邮箱zbzxfp@163.com 联系电话010-59286270 我公司会在发票开具后进行电子发票的回复。

(4)因工作人员业务繁忙,可能无法及时接听您的电话,如您有问题,请发送邮件至相关人员邮箱,我们会在事后对您邮件及时进行回复。

(5)招标文件购买操作失败或其他系统问题,请与平台运营单位联系。

咨询电话:4008800114(接通后,请根据语音提示选择“电子招标平台”)

(6)投标保证金的退回流程,请见投标保证金、代理服务费和发票流程概述。

五、投标文件的递交

5.1投标文件递交截止时间:2024年08月22日10时00分(北京时间),通过“中国石油招标投标网”提报电子版投标文件,纸质版投标文件不予接受。投标人需在投标文件递交截止时间之前完成投标文件的编制、签名、加密、上传及验签操作,并保证文件的完整性。(考虑投标人众多,避免受网速影响,以及网站技术支持的时间,建议投标截至时间前24小时完成网上电子版的提交。)

在电子招标投标交易平台开标大厅进行电子解密期间,若因投标人原因造成投标文件解密失败的,视为投标人撤销其投标文件;非招标机构原因造成的无法挽救的解密失败,视为投标人撤销其投标文件;部分投标文件未解密的,其他投标文件的开标可以继续进行。

投标人可在中国石油电子招投标交易平台中在线观看开标情况。

5.2投标截止时间前未被系统成功传送的电子版投标文件将不被系统接受,视为主动撤回投标文件。

5.3电子投标文件的提交须使用已灌章的U-key。未办理U-key的投标人,需到中油物采或昆仑银行办理U-key。详见公告中附件1:关于招标平台U-KEY办理和信息注册维护的通知。

5.4投标申请人在提交投标文件时,应提交2万元人民币的投标保证金。投标人应从基本帐户通过企业网银或电汇形式向昆仑银行支付投标保证金,并按照招标文件要求,在开标时间前将相应额度的资金提交(分配)至对应标段(包),支付成功后该标段的保证金购买状态将由未付款变为已付款。具体办理流程参见投标保证金、代理服务费和发票流程概述。投标保证金账户信息如下:

户名:昆仑银行电子招投标保证金

账号:26902100171850000010

开户行:昆仑银行股份有限公司大庆分行

开户行行号:313265010019

昆仑银行客服电话:95379

大庆昆仑银行客服电话:0459-5615833、0459-5615388

投标保证金联系人:同招标机构联系人。

提醒:如您是第一次向昆仑银行递交投标保证金,请您至少提前5天打款,并核实是否打款成功并成功递交保证金,以免因信息不同步等原因导致保证金无法递交,如出现以上问题,请及时致电4008800114(接通后,请根据语音提示选择“电子招标平台”)进行解决。

六、开标

1. 开标时间(网上开标): 2024年08月22日10时00分(北京时间)。

2. 开标地点(网上开标):中国石油招标投标网(www.cnpcbidding.com)。

七、异议的提出与受理

本次招标异议由招标机构受理,其提出必须符合招标文件要求,否则无效。

八、其他

1. 本次招标采取网上开标方式,所有投标人可通过中国石油电子招标投标交易平台准时在线参加开标(电子招标投标办法第二十九条)。

2. 潜在投标人对招标文件有疑问请联系招标代理机构。

3. 中石油招标投标网运营机构联系电话:4008800114(接通后,请根据语音提示选择“电子招标平台”) 。

4. 本招标公告委托中国招标投标公共服务平台(www.cebpubservice.com)和中国石油招标投标网(www.cnpcbidding.com)发布。潜在投标人若在其他发布媒体上看到本招标公告,其有义务自行核实公告信息。

 

招标代理机构:中国石油集团长城钻探工程有限公司招标中心

地    址:北京市朝阳区安立路101号名人大厦12层长城钻探招标中心

邮    编:100101

联 系 人:

刘军(招标文件答疑/未中标投标人的保证金退回) 固定电话:022-58800103   liujun.gwdc@cnpc.com.cn

前台(发票获取) 固定电话: 010-59286270  zbzxfp@163.com

 

招 标 人:中国石油集团海洋工程有限公司

联 系 人:张楠,联系电话:010-63593246

王丽军,联系电话:010-63593410。