基本信息
| 地区 |
上海 上海市 |
采购单位 |
上海出版印刷高等专科学校招投标办公室 |
| 招标代理机构 |
|
项目名称 |
校内比价BJ25045-上海出版印刷高等专科学校2026年度信息资产治理服务项目 |
| 采购联系人 |
*** |
采购电话 |
*** |
校内比价 BJ25045-上海出版印刷高等专科学校 2026 年度信息资产治理服务项目
根据《中华人民共和国政府采购法》、《上海出版印刷高等专科学校小 额零星采购项目比价管理办法》及相关法律、法规之规定,上海出版印刷高 等专科学校招投标办公室现发布《校内比价 BJ25045-上海出版印刷高等专科 学校 2026 年度信息资产治理服务项目》招标公告,特邀请合格的供应商前 来投标。
一、项目概况
1、项目名称:校内比价 BJ25045-上海出版印刷高等专科学校 2026 年 度信息资产治理服务项目
2、项目基本概况介绍及需求:
(1)服务期限:2026 年 1 月 1 日-2026 年 12 月 31 日
(2)服务地点:上海出版印刷高等专科学校浦星公路 5100 号
| 序号 | 名称 | 服务内容 | 数量 |
| 1 | 资产管理服 务 | 部署一套资产管理系统方案: 1.资产探测与清单更新:自动探测学校主机(系统、端口、服务)和网站资产(子域名、URL、框架、备 案号、小程序等),生成资产清单并定时更新。2.暴露面收敛建议:分析资产暴露情况,指导关闭 不必要的互联网端口和后台页面,减少攻击风险。3.提供工具硬件更换维修,系统升级,问题故障服 务。 | 1 年 |
| 2 | 漏洞扫描服 务 | 部署一套其他漏洞扫描工具(已有安恒产品):1.对主机、网络设备、操作系统、数据库、中间件 等进行常态化的漏洞与弱口令扫描,提供漏洞、弱 口令扫描结果与整改建议。 2.提供工具硬件更换维修,系统升级,问题故障服 务。 | 1 年 |
| 3 | 态势感知监 | 部署一套态势感知监测系统方案: | 1 年 |
| 测服务 | 1.旁路部署流量检测探针(含 8W+IDS 规则),监测 互联网出口与服务器区域边界流量。 2.基于威胁计分算法精准识别恶意 IP。 3.智能 AI 研判分析:自动威胁告警进行降噪研判分 析,自动研判出各种威胁类型:非法外联、外网攻 击、内网横向、暴力破解、利用成功等。 4.提供工具硬件更换维修,系统升级,问题故障服 务。 | |
| 4 | 蜜罐威胁诱 捕服务 | 部署一套蜜罐威胁诱捕系统方案: 1.旁路部署流量检测探针(含 8W+IDS 规则),监测 互联网出口与服务器区域边界流量。 2.基于威胁计分算法精准识别恶意 IP。 3.智能 AI 研判分析:自动威胁告警进行降噪研判分 析,自动研判出各种威胁类型:非法外联、外网攻 击、内网横向、暴力破解、利用成功等。 4.提供工具硬件更换维修,系统升级,问题故障服 务。 | 1 年 |
| 5 | 渗透测试 | 根据校方要求每年提供 4 个系统的渗透测试。 | 1 年 |
| 6 | 其他安全服 务 | 1.需提供六人次现场安全配置维护巡检。2.护网期间提供远程值守监测。 3.提供 5x8 日常安全响应服务。 4.每月提供月度总结报告。 | 1 年 |
项目主要内容:
(1)售后保障:
在服务期签订项目保密协议,安排专职人员负责项目内容协调,提供专 线电话用于 7*24 小时技术支持。
提供重大网络安全事件应急响应,出现重大网络安全事件时,技术人员 响应时间小于 30 分钟,2 小时内有能够处理故障的技术人员到达现场,协助 招标方应对重大安全突发问题。处理完成后提交应急问题处理报告,便于招 标人归档并形成知识库。
服务期内,上门服务所产生的费用由投标人承担
(2)付款方式:
合同签订后,支付中标金额 70%的合同款,项目完成并且验收合格后,
支付中标金额 30%的合同款。
(3)验收标准:
3.1 服务合同中的服务内容、服务质量符合招标方要求。
3.2 服务合同中的各项服务工作制定工作计划,按时、按量开展,确保实 施过程中不会因工作失误而影响用户系统正常运行。
3.3 服务完成后提交的服务过程技术文档,资料齐全,文档质量及数量符 合要求。
根据招标需求提交指定文档,包括但不限于《安全运维巡检报告》《漏 扫报告》《渗透测试报告》《信息资产治理总结报告》等。交付的文档要遵 循相关行业文档编写的规范要求,格式上要做到规范统一、条理清晰,便于 查阅和存档,内容编排要符合逻辑,文字表述准确,确保文档质量能满足后 续使用、审核以及参考等需求。
3、信息资产治理服务要求
3.1 资产管理服务
3.1.1 资产梳理服务
对上海出版印刷高等专科学校的资产进行梳理,建立上海出版印刷高等 专科学校有效安全资产管理,能以资产为安全管理单位进行有效的安全运维 工作,并通过一体化安服平台实时展示资产的安全风险指数。
(1)网站资产梳理服务
对单位网站进行自动化梳理服务,能主动探测互联网上暴露的资产,形 成明确的资产清单,发现未知资产。
(2)主机产梳理服务
对单位主机资产进行自动化梳理服务,包括操作系统版本、端口开放情 况、协议情况、服务版本、应用程序版本等,实现对服务器的自动化运维管 理。
(3)外部资产信息探测
周期探测企事业单位的微信小程序、微信公众号、APP 应用程序等移动 互联网资产,形成外部信息资产清单。
3.1.2 外部信息收集
收集和处理来自国家漏洞库、社区漏洞情报、开源情报、论坛媒体、域 名注册、代码仓库、敏感信息泄露、暗网资源等多类安全情报源,同时联动 外网云端 SaaS 扫描系统,以攻击者视角探测用户互联网边界资产,包括各 类未知资产,不必要开放的资产、端口、服务,验证互联网资产是否存在可 利用漏洞、弱口令,包括但不限于:
互联网资产详情:从基本信息到应用组件、应用指纹、开放端口等 风险暴露面排查:远程访问端口、VPN 入口、后台入口、弱口令、可入 侵漏洞等
3.2 脆弱性管理服务
3.2.1 漏洞扫描服务
对主机、网络设备、操作系统、数据库、中间件等进行常态化的漏洞与 弱口令扫描,提供漏洞、弱口令扫描结果与整改建议。
对服务范围内包含 redis、smb、rdp、telnet、ftp、ssh、pop3、smtp、mysql、imap、vnc、snmp、vmauthd、postgres、mssql、oracle、mongodb、onvif 等多种服务协议进行弱口令检测,并提供弱口令处置方案。
3.2.2 漏洞优先修复建议
将周期发现的主机漏洞、弱口令、网站风险汇总成漏洞风险台账,持续 跟踪漏洞风险,统计漏洞修复情况。
基于攻防视角评估资产漏洞风险,识别可实际产生风险的漏洞,提供漏 洞修复的优先级建议,可大幅减少漏洞整改工作量,同时提供加固指导建议。
3.3 态势感知监测服务
旁路部署流量检测探针(含 8W+IDS 规则),监测互联网出口与服务器 区域边界流量,对于捕获的流量进行存储、分析,结合内置多重检测引擎,自动对威胁源进行风险评级,精准识别攻击源头,发现不同场景下的已知威 胁和未知威胁。
(1)智能 AI 研判分析:自动威胁告警进行降噪研判分析,自动研判出 各种威胁类型:非法外联、外网攻击、内网横向、暴力破解、利用成功等。内置本地 DeepSeek AI 小参数模型,联动分析“流量、蜜罐、主机”三者告 警结论,关联“资产+漏洞”信息,辅助输出综合研判结果。
(2)威胁情报:关联全球威胁情报,精准检测网络中的病毒域名请求、恶意 IP 流量威胁。事件分析结果需包含病毒反连请求的域名和对应解析的恶 意 IP。
3.4 蜜罐威胁诱捕服务
旁路部署外网仿真蜜罐(保证无可利用漏洞),捕获针对用户的外网威 胁,形成精准的威胁情报 IP 表;此外,可帮助用户仿真业务系统,以假乱真,消耗攻击者时间。
通过部署仿真业务蜜罐,可吸引真实攻击者(人)来攻击,捕获黑客攻
击行为、溯源攻击者身份信息、社交账号等信息。
提供智能克隆仿真工具,可以通过自学习的模式对真实业务系统进行遍 历访问,形成机器记忆,与真实业务系统一样可进行前后端的数据交互,包 括但不限于以下动态交互类型:“搜索查询、登陆验证、账号注册”等,高 迷惑性地吸引攻击者攻击蜜罐,要求拟态仿真蜜罐系统为纯静态无漏洞的系 统,无需额外提供蜜罐定制服务。
4、信息资产治理技术需求
| 序 号 | 指标 | 规格参数 |
| 1 | ▲产品参数 | 机架式设备,至少配置 2 个光口,4 个千兆电口,64G 内存,2T 硬盘存储 空间,冗余电源。 1、漏洞扫描授权:无限制; 2、蜜罐威胁诱捕 IP 授权数:无限制; 3、流量检测吞吐量:网络层不少于 2Gbps;须提供承诺函。 |
| 2 | 资 产 管 理 服 务 | 暴露面监 测 | ▲ 暴 露 面 监测 | 通过单位全称、关键字、出口 IP 等信息,收集单位/企业 工商注册信息、app 程序、微信小程序、微信公众号、邮 箱信息泄露、敏感代码泄露、敏感文档泄露等外部/互联网 攻击面信息。以上提供提供产品界面截图证明。 |
| 4 |
| 5 | 资产深度 管理 | 二 级 域 名 扫描 | 支持二级域名扫描功能,输入一级域名进行一键扫描,通 过搜索互联网数据,自动获取到该域名的二级域名、网站 标题、解析 IP 地址。以上提供提供产品界面截图证明。 |
| 6 |
| 7 | ▲ 资 产 台 账 | 1、支持自动识别 url 资产信息,包括:“中间件信息、web 框架信息、CMS&OA、程序语言”等指纹信息,支持爬取网 站后台、ICP 备案编号、网站标题、网站返回码等属性,形成网站资产台账。 2、支持通过导入现有资产信息,或在线编辑方式,录入网 站资产的管理信息,比如网站所属部门、负责人、联系方 式、资产价值、物理位置等。 3、支持对状态码、IP、资产组、部门、责任人、URL、子 域名、易危组件、中间件、ICP 备案号、公安备案号、归 属地等进行精准搜索或模糊搜索 4、支持对已知 url 资产进行深度扫描,进一步发现登录后 台和 API 接口,并识别是否暴露外网。 5、可自定义展示列,可排序、选择是否显示。 以上提供提供产品界面截图证明。 |
| | | Ip 反 查 域 名 | 输入 IP 或者网段,通过搜索互联网数据,自动获取到 IP 对应的域名、url 链接、网站标题、返回状态码。以上提 供提供产品界面截图证明。 |
| 8 | 脆 弱 性 管 理 服 务 | 漏洞扫描 与漏洞管 理 | 完 善 的 漏 洞库 | 漏洞库漏洞信息大于 340000 条,集成大于 4700 条 POC 对 内网资产进行自动漏洞验证与渗透,提供详细的漏洞描述 和对应的解决方案描述,扫描结果需包含漏洞利用证明,包括但不限于攻击 Payload、目标响应结果、漏洞利用点、关键参数等内容。以上提供提供产品界面截图证明。 |
| 9 |
| 10 | 漏 洞 优 先 级评估 | 基于威胁可能性(内/外网区域)、资产价值、漏洞可利用 性、漏洞风险等级进行计算修复优先级(并非传统的高、中、低的漏洞分类):分级至少包括但不限于优先修复级、次要修复级、按需修复级等,并给出对应的分数匹配区间 标准。以上提供提供产品界面截图证明。 |
| 11 | 态 势 感 知 监 测 | 流量监测 | � 流 量 监 测 | 支持流量镜像技术实现对海量流量的采集与分析,依托不 低于 8 万条威胁特征及 IDS 规则库,结合入侵检测、Web 攻击检测、威胁情报等多引擎,综合分析攻击源、风险等 级、目标等维度,精准识别各类已知与未知威胁。以上提 供提供产品界面截图证明。 |
| 12 | � 旁 路 阻 断 | 不需要设备串联、不需要配置策略路由,就能通过监测中 心流量监测告警处,对单个 ip 进行手工阻断。也可自动关 联流量告警,根据智能研判标签,就会自动触发旁路阻断,可灵活针对国内/国外 ip 进行灵活封禁,可灵活指定封禁 时间间隔。以上提供提供产品界面截图证明。 |
| 13 | 蜜 罐 威 胁 诱 捕 服 务 | 本地化蜜 罐诱捕服 务 | 默 认 虚 拟 仿真节点 | 支持至少 10 种可自定义 logo 和公司名称的仿真虚拟诱捕 节点,仿真虚拟诱捕节点类型包括但不限于:“堡垒机、VPN、OA 办公系统、论坛”等。以上提供提供产品界面截 图证明。 |
| 14 | ▲ 完 全 虚 拟 仿 真 节 点 | 支持实现完全仿真真实业务系统,生成完全仿真虚拟诱捕 节点。以上提供提供产品界面截图证明。 |
| 15 | 攻击溯源 | ▲ 攻 击 者 社 交 信 息 溯源 | 支持记录攻击者的“黑客社交画像”信息,包括社交账号、昵称、头像等信息,比如溯源百度等不同类型的社交账号。以上提供提供产品界面截图证明。 |
| 16 |
| 17 | AI 智 能 研 判 | DeepSeek 模 型 AI 智能研判 | ▲ 本 地 AI 模型研判 | 本地搭载 DeepSeek AI 小参数模型,联动分析“流量、蜜 罐、主机”三者告警结论,关联“资产+漏洞”信息,辅助 输出综合研判结果:1.给攻击源 IP 定性并打上攻击者标 签,如:非法外联、外网恶意攻击、内网恶意攻击、漏洞 利用成功等。 2.输出攻击源资产画像,包括网络区域、主机名称、MAC 地址等。 以上提供提供产品界面截图证明。 |
| 18 | 风 险 统 计 | 监测中心 | ▲ 监 测 中 心 | 通过监测中心可统一展现蜜罐告警事件、主机威胁事件、流量检测告警,事件及告警结果自动刷新。支持蜜罐、主 机威胁与流量告警的关联分析,提升告警可信度。支持根 据攻击行为自动研判,对攻击 IP 进行自动分类并打上对应 的攻击者标签。以上提供提供产品界面截图证明。 |
| 19 |
| 20 | 告警 | ▲ 多 样 化 告警方式 | 支持通过邮件、企业微信、钉钉、飞书实时预警,以上提 供提供产品界面截图证明。 |
5、综合评审
最终报价结束后,采用综合评分法进行评审。
| 评分类型 | 评分因素 | 分值 | 评分细则 |
| 客观分 | 报价得分 | 30 | 以进入详细评审的各响应人的评审价的最低价为评审基 准价,其价格分为满分 30 分。其他响应人的价格分统一 按照下列公式计算:价格得分=(评审基准价/评审价)×30%×100 |
| 客观分 | 企业综合 实力 | 6 | 以下证书,供应商每具备一种得 3 分,满分 6 分:1.具备 CCRC 安全服务资质证书或同类证书 2.具备 ISO9001 质量管理体系认证证书 注:应提供有效期内的证书或证明复印件,否则不予计 分。 |
| 客观分 | 业绩 | 8 | 每提供 1 个响应方近三年内类似项目业绩合同复印件得 2 分。(合同须体现签约主体、项目名称、日期、签章等 要素)不提供不得分,最高得 8 分。注:业绩应提供合 同关键页(封面、签字盖章页及合同服务内容页)复印 件并加盖公章,未提供材料或提供材料不完整者不计为 有效业绩。 |
| 客观分 | 项目人员 | 6 | 供应商应为本项目配备不少于 4 人(含 1 名项目经理,3 名本项目专职工作人员)的服务团队。 (1)项目经理具备 PMP 证书或同类证书,得 2 分;(2)项目专职人员具备 CISP 证书或同类证书,得 2 分。注:应提供相关人员社保证明或其他合法用工证明,应提 供相关人员有效证书扫描件证明材料。 |
| 主观分 | 服务方案 | 35 | 根据“服务内容”要求形成网络信息安全运维服务针对 性方案,包括方案的实施步骤、工作流程、投诉处理,以及工作内容分解细化到可执行层面的完整度,并对其 提供的技术手段说明及成果进行综合打分。 1.服务方案完善有针对性 26-35 分; 2.服务方案具体可行,缺乏针对性 16-25 分;3.服务方案缺乏科学、可行性 6-15 分; 4.无描述不得分。 |
| 客观分 | 技术指标 | 15 | 根据“技术需求”内容,选用服务产品符合项目技术需 求,其中标注“▲”号的为关键技术参数,共计 10 项; |
| | | 1.每有 1 项“▲”技术参数无偏离,得 1.5 分,满分 15 分。 注:参数有提供产品彩页或界面截图等证明要求的,如 不提供视为负偏离。 |
磋商小组对合格供应商的以上内容进行综合评审打分,并根据综合得分 由高至低排序,推荐得分最高者为成交候选人,综合得分排名第二和第三名 的均为后备成交候选人。
采购金额:本项目采购限价为
***.00 元人民币(大写:人民币捌万元 整),超过采购限价的报价不予接受。
二、合格的投标人必须具备以下条件:
1、投标人须为中华人民共和国境内登记注册的、具有独立法人资格,营 业执照、资质证书等各种证件合法有效,并在有效期。
2、符合《中华人民共和国政府采购法》第二十二条规定的:
(1)具有独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必需的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)参加政府采购活动前三年内,在经营活动中没有重大违法记录;(6)法律、行政法规规定的其他条件。
三、校内比价项目响应文件的提交
凡 愿 参 加 竞 价 的 合 格 供 应 商 可 登 陆 “ 招 投 标 平 台(http://111.229.193.33:8080/)”进行注册报名,根据项目需求将企业法 人营业执照、报价单(含具体明细)、项目廉政承诺书及项目要求的其他相 关资料扫描件(均需加盖公章)对应评分类型逐一上传。
四、响应文件提交截止时间:
响应文件提交截止时间:2025 年 12 月 19 日 16:00,超过响应时间则 无法报名。
五、发布公告的媒介:
本次招标公告同时在 “上海出版印刷高等专科学校”和“招投标平台”网站发布。
六、联系方式:
联系人:
*** 电 话:
***
