2023年度一体化安全运营服务采购项目（第二次）招标文件

2023年度一体化安全运营服务采购项目（第二

次）

公开招标采购文件

目录

第一章公开招标采购公告

第二章招标需求

第三章投标人须知

第四章评标办法及评分标准

第五章政府采购合同主要条款

第六章投标文件格式

第一章公开招标采购公告

根据《中华人民共和国政府采购法》等有关规定，东南建设管理有限公司就

德清县2023年度一体化安全运营服务采购项目（第二次）进行公开招标，欢迎

国内合格的供应商前来投标。

招标项目编号:DNDQ-2023-G05

采购组织类型:分散委托采购

三.招标项目概况：

简要规格描述或标

项目名称数量预算金额

项基本概况介绍

德清县2023年度一体化安全运营服务采购

1项350万元详见采购文件

项目（第二次）

四.投标供应商资格要求：

A.符合《中华人民共和国政府采购法》第二十二条的要求、财库[2016]125

号《关于在政府采购活动中查询及使用信用记录有关问题的通知》、浙财采监

[2013]24号《关于规范政府采购供应商资格设定及资格审查的通知》第六条;

B.拟投标人须为中华人民共和国境内注册，具有良好的财务状况和商业信

誉，具有相应服务能力的供应商；（总公司所设立的区域性分支机构（分公司），

以及个体工商户、个人独资企业、合伙企业，必须获得总公司（总机构）授权或

能够提供房产权证或其他有效财产证明材料）；

C.本项目不允许转包或者分包；

D.本项目不接受联合体投标。

五.项目报名方式，采购文件公告期限，采购文件依法获取方式及时间：

1.本项目报名方式只接受浙江省政府采购网（政采云平台）网上报名，不

接受供应商现场报名，供应商须在浙江省政府采购网（政采云平台）注册成为

浙江省政府采购供应商方可进行网上报名；供应商政采云获取采购文件审核通

过即为报名成功。

1

2.本项目采购文件公告期限：公告发布之日起至开标截止时间前（采购文

件公告期限届满后允许潜在投标人网上报名并依法获取采购文件，供应商未按

规定时间要求提出质疑的，则视同认可采购文件，但法律法规及规范性文件有

明确规定的除外）

3.拟投标人可在浙江政府采购网（）或德清县公共资

源交易中心网站（http:〃ggzy.deqing.gov.cn/cms/）免费浏览或下载采购文件。

但公告附件的采购文件仅供阅览使用，供应商网上报名成功为依法获取采购文件

的方式。

六.投标截止时间：2023-6-2109:30

七.投标地址：“电子加密投标文件”上传至政采云平台（网址：

https://www.zcygov.cn）进行在线投标。

八.开标时间：2023-6-2109:30

九.开标地址：十.投标保证金：本项目不需要缴纳投标保证金。

十一.其他事项：

1.供应商认为采购文件使自己的权益受到损害的，可以自依法获取采购文

件之日（采购文件公告期限届满后获得采购文件的，以采购文件公告期限届满之

日为准）或者采购文件公告期限届满之日（招标公告为公告发布后的第6个工作

日）起7个工作日内，以书面形式向采购人和采购代理公司提出质疑。质疑供应

商对采购人、采购代理公司的答复不满意或者采购人、采购代理公司未在规定的

时间内作出答复的，可以在答复期满后十五个工作日内向政府采购监督管理部门

投诉。质疑函范本、投诉书范本请到浙江政府采购网下载专区下载。

2.投标人报名成功并依法获取采购文件后决定不参加该项目投标，应在投

标截止时间3天前（提前72小时）以书面形式（信函、传真加盖投标单位公章）

通知本采购代理机构，如在规定期内未收到投标人书面函件，则视为投标人同意

参加投标。

3.投标截止时资格审查应提供以下资料：【供应商是否具有投标资格在开

标结束后进行审查确认。同时，资格审查时若须要供应商提供相应资格证明材

料原件（有效公证件可替代相应原件进行备查）进行备查却无法提供的，则供

应商的投标文件将可能被作无效投标处理。】

A.投标单位的有效工商营业执照或法人证书复印件加盖公章；

2

B.投标人提供投标企业承诺函（格式见采购文件附件）；

C.法定代表人授权书原件、被授权人身份证复印件一份；

D.投标单位的其他投标资格证明文件复印件加盖公章（如果投标人为银行、

保险、石油石化、电力、电信等特殊行业总公司所设立的区域性分支机构，以

及个体工商户、个人独资企业、合伙企业的，则须提供此项；其中财产证明材

料可以是房产权证、车辆行驶证或其他固定资产等有效财产证明材料复印件加

盖公章）。

4.本项目不集中组织现场考察，需要供应商自行联系采购人进行现场考察

和调研。

十二.投标说明

1、本项目实行电子投标，应按照本项目招标文件和政采云平台的要求编制、

加密并递交投标文件。供应商在使用系统进行投标的过程中遇到涉及平台使用

的任何问题，可致电政采云平台技术支持热线咨询，联系方式：95763o

2、竞标人应在开标前完成CA数字证书办理。（操作路径：登录工作台-【系

统管理】-【CA管理】-【CA证书申领】，可咨询政采云平台技术支持热线或采

小蜜）。完成CA数字证书办理预计一至两周，建议各竞标人抓紧时间办理。

3、标人通过政采云平台电子投标工具制作投标文件，电子投标工具请供应

商自行前往浙江省政府采购网下载并安装，（下载网址：）。

4、投标人应当在投标截止时间前完成电子投标文件的传输递交，投标截止

时间前可以补充、修改或者撤回电子投标文件。补充或者修改电子投标文件的,

应当先行撤回原文件，补充、修改后重新传输递交。投标截止时间前未完成传

输的，视为撤回投标文件。

投标人在投标截止时间前将备份电子投标文件按要求密封送交到德清县公

共资源交易中心201开标室（德清县武康街道永安街169号二楼），逾期送达

或未按要求密封将被拒收。如投标人未在投标截止时间前完成电子投标文件的

传输递交，其备份电子投标文件无效。备份电子响应文件也可提前寄至代理机

构，地址：。备份文件在开启标书信息前可直接通过邮件发送至。备份电子文

件无法直接查看，需通过系统解密。备份电子投标文件采用邮寄方式送达的，

其中可能存在的破损、遗失等一切风险由投标人自行承担。

3

十三.联系方式

十四.本次采购项目相关信息发布媒体：

1.浙江省政府采购网：https://zfcg.czt.zj.gov.cn/

2.德清县公共资源交易网：http://ggzy.deqing.gov.cn/cms/

十五.本采购文件的解释权归招标采购单位所有。

东南建设管理有限公司

2023年5月30日

第二章招标需求

（加▲号项需实质性响应）

一、说明

1.本采购文件所提出的服务技术标准是基本的技术标准和使用功能，并未

规定所有的技术要求和适用标准，供应商应提供一套满足所列标准要求的高质量

的相应服务。本技术要求使用的标准如与供应商所执行标准发生矛盾时，按较高

标准执行。

2.本招标服务应按国际标准、国标、部标或专业标准提供，非标准服务按

采购人提供的要求提供，服务标准按照国家有关规定及合同约定进行验收。

3.本项目采购标的对应的中小企业划分标准所属行业为软件和信息技术服

务业。

4.依据《政府采购促进中小企业发展管理办法》（财库[2020]46号）规

定享受扶持政策获得政府采购合同的，小微企业不得将合同分包给大中型企业，

中型企业不得将合同分包给大型企业。

二、招标项目内容

一、项目概况

2021年6月浙江省下发的《浙江省公共数据开放与安全管理暂行办法》，

要求加强公共数据安全体系建设，提升数据安全主动防御能力、监测预警能力、

应急处置能力、协同治理能力，切实防范公共数据篡改、泄漏、滥用。

根据湖州市大数据局下发的"湖州市域安全一体化总体工作方案"，要求市

4

区县参照方案要求，完善政务外网的安全管理体系、安全技术体系、安全运营体

系。

结合省里和市里要求，我县需要建设安全运营分中心,与市级安全运营中心

形成联动防御。为保证县安全运营分中心，除了自有服务能力外，还需要按年采

购专业服务。

德清县一体化安全运营服务已经招标一期（2022年1月1B-2022年12月

31S）,本次项目采购服务是2023年7月1日到2024年12月31日。

二、服务清单

序号服务名称服务内容服务期

1安全大脑服务安全大脑服务6个月

6个月

日常安全运营服务及运维团

24人日常安全运营服务

队专家服务

终端安全检测与响应服务及6个月

31个平台+5000个终端软件

终端安全防病毒服务

对50个重点信息系统进行6个月

渗透测试进行一次渗透测

试，发现网络和业务系统中

4渗透测试服务

网络和系统存在的安全缺

陷，提供渗透测试报告和改

进建议；

6个月

5代码审计服务平台服务、人工审计服务

个月

网络与数据安全重保服务：6

6重要时期支撑保障服务亚运会、攻防演练期间等重

要时期厂商值守保障服务

7基线核查服务基线核查服务6个月

个月

8密钥管理服务密钥管理服务6

9数据安全评估服务数据安全评估服务6个月

10攻防演练组织和运维服务举办一次全县攻防演练6个月

11集成服务6个月

三、服务内容

1.安全大脑服务

5

德清县电子政务网络中包含有大量的网络设备、服务器、业务系统等，同时

随着安全体系的逐步完善，还会增加大量的安全设备。这些数量庞大的网络设备、

安全设备在日常运行中会产生大量的安全信息、告警信息，同时又彼此独立，成

为一个个的安全孤岛，传统分散的管理方式效率低下而且无法抓取重点信息

为实现对德清县大数据发展管理局现有网络安全资源的统一管理，提高安全

事故发现的时效性和处理的效率，需提供安全大脑管理平台服务，对区域内政务

网络资产情况风险情况、事件情况、告警情况进行整体态势分析，并依赖其开展

通报预警、应急处置等相关技术支撑和运营工作，平台服务期6个月。

安全大脑管理平台服务具体功能需求如下：

技术指标具体要求

支持内置180余种的数据源类型开箱即用，默认可接入各类硬件设

备和应用系统，包含但不限于主机、防火墙、IPS/IDS、WAF、网

数据采集

络设备、安全设备、数据库、应用系统、中间件、存储；设备、虚

种类

拟化设备、机房设备等多种设备和系统的日志接入方式；云平台支

持AWS数据通过S3直接采集。

支持业内通用标准数据获取方式，获取方式不少于15种，包括

数据采集Syslog、SFTP、文件、Kafka、HDFS、主机终端(win/linux)Agent、

月式DB2、MysqLOracle,SqlserverPostgreLSNMP、Netflow、

WMLES、AWS等。

系统需要预置1000条以上范式化解析规则，支持解析规则的导入

数据解析导出。所有解析操作支持可视化的配置界面；数据解析规则支持规

则嵌套和逻辑组合方式，能够对一组事件进行多层规则解析处理，

6

添加、删除、重命名、合并、拆分与裁剪现有字段，对范式化后字

段再解析处理。支持多种数据解析，包含精准匹配、包含再解析、

正则匹配后从数据头、尾进行二次解析等处理。

通过图形化操作对解析标准化后的数据进行信息的丰富化，提供更

数据丰富

为全面的安全日志，补齐的信息包括：二元组、五元组、资产信息、

化

地理位置信息等。

支持不少于700条规则的安全检测分析场景的开箱即用场景包括：

关联场景

扫描探测类、主机异常类、异常通信类、运维监控告警类、中间人

和方式

攻击类、Web攻击类、账号异常类、拒绝服务类、邮件攻击类等。

支持时序关联、非时序关联、互斥关联、反向关联等关联分析算法，

其中时序关联支持分析支持至少M次A事件之后发生了B事件且

事件B的发生是因为事件A导致（事件A不限数量）场景；非时序

关联分析

关联支持分析A事件和B事件均发生但无时间先后、多件事（事件

规则

数量大于等于2）同时发生（无前后顺序）等场景；互斥关联支持

分析A事件之后一定不发生B事件、B事件发生之前一定没发生A

事件等场景；反向关联支持分析指定时限内特定事件未发生场景。

支持聚合分析算子，选择分钟、小时、天为单位的时间窗口的历史

数据（＞30天）并通过滤条件从中筛选目标数据和指定目标字段，

检索分析

支持选择数量、去重统计、求和、平均值、最大/最小值的聚合计算，

来完成对历史数据的分析。

动态安全动态信息组的管理，支持包括新建、删除、编辑、导入、导出动态

信息信息，数据类型包含IP、数字、字符串，支持将命中规则事件的中

7

任意字段自动添加、删除到动态信息组。

动态信息组支持定义数据过期时间，包含不过期、根据数据创建时

间计算和根据数据更新时间计算，指定数据保留所需的秒、分钟、

小时、天和周等时间段。

威胁情报支持Domain、IP、URL等类型的威胁情报IOC关联检测；可根

关联据情报IOC属性(威胁分值、可信度等)生成相关不同等级的告警。

支持自动化威胁猎捕模型，可在线编写脚本语言算法模型模拟分析

人员溯源取证的过程，基于告警事件为入口触发条件的威胁场景自

攻击聚合动溯源分析，向前、向后自动抽取若干分钟、小时和天为单位的数

据，结合时间、过滤条件关联，多层逻辑嵌套、自动聚合分析包括

日志、流量、告警等内容，聚合跨阶段展示整个威胁事件。

内置不低于15种聚合事件威胁场景，如Tomcat遭受暴力破解攻击

后被上传webshell,并发起了445端口扫描、FTP账号被暴力破解

成功后数据遭到窃取、内网主机遭受远程漏洞攻击后连接矿池、UAC

聚合检测提权并驻留并发现Powershell系列攻击等。

库系统模块内置信息统计聚合模型，通过聚合主机访问行为、命令执

行安全告警、服务器短时间内频繁执行信息收集命令告警、运行代

理工具告警等多源数据进行自动化提取和校验检测出主机遭受ssh

暴力破解后主机层面出现异常命令操作行为，爆破成功并驻留。

APT专项行为检测(AAD),针对流行APT攻击总结行为或环境特

APT检测征规则，分析实时数据流，检测相关APT攻击；APT专项病毒检测

(NEXTAV)，基于长期的历史研究积累，针对APT使用的病毒、恶

8

意样本进行专门查杀，能有效检出已知类型的APT恶意样本。

APT恶意样本回扫支持对历史样本特征和样本进行APT检测回扫，

发现潜伏APT踪迹。

支持把安全事件相关的网络攻击关系和终端进程演变过程融合为一

张攻击链路图，通过静态观察和动态回放来分析网络行为、终端行

为的攻击过程，为失陷过程分析提供形象化分析手段。根据不同对

安全事件

象（如资产、IP、域名）进行图中元素区分，同时支持点击后关联

监测和分

展示对应上下文。

析

支持安全事件将所有相关告警的处置建议进行统一汇总和展示，对

每个告警有对应的分析内容和处置建议，提供兼容ATT&CK并且新

增扩展的缓解建议和检测建议。

支持知识图谱技战术热力图，支持通过颜色深浅来代表该技术的攻

技占姊分击强度；支持点击攻击技术，查看详情，包括不限于子技术、技术

析描述，相关安全事件等；支持MitreATT&CK之外扩展出具备中国

特有的技战术总结。

支持自定义仪表盘配置，根据需要添加不同的监控组件，自定义选

择过滤条件和过滤条件组的监控组件添加、修改和删除。支持同时

组合多种展示图形，包含柱状图、饼图、面积图、趋势图、表格、

仪表盘统计、同比、环比、百分比、复合计算统计、上传图片、外部图片、

外部网页等，可配置排序方法、TOP数量、数据时间跨度。仪表盘

的图形位置和大小支持自由拖拽，所见即所得。

支持从仪表盘下钻至具体事件、告警、资产等并且可直接配置下钻

9

选项，支持励炼专到自定义的其它仪表盘，实现仪表的嵌套来满足分

析需要。支持仪表直接调用SOAR预案来快速处置，支持仪表的内

容通过点击快速变为过滤条件。

大屏自定态势感知大屏元素支持自定义，选择经过仪表盘定义的图例替换原

义有大屏元素

支持大屏轮播，支持自定义参与轮播的大屏，轮播间隔时间、轮播

大屏轮播

大屏顺序。

通过该态势掌握当前攻击的整体阶段和状态，宏观审视全貌；将具

体的安全事件以3D到2D的形式展示出攻击源和攻击目标，通过

地理位置直观掌握宏观攻击概况。通过攻击源国家的排名了解攻击

威胁攻击

者，对攻击致命、严重、警告和提醒事件一周的变化趋势掌握全局

态势

危险数量，通过受害IP、攻击阶段和最近24小时攻击趋势了解攻

击的严重程度和攻击面，最严重事件的排名指引关注危害最高的威

胁。

从资产和脆弱性的视角了解暴露面，量化评估系统、区域和资产的

风险系数；资产风险态势包含资产风险评分、危险等级和环比变化

率，网元数量（包含主机、域名、应用、网站和服务）、不同类型

资产安全的威胁走势，如漏洞利用、恶意程序、扫描探测等类型；以不同等

态势级与资产相关待处理安全事件分布和安全事件列表；根据低、中、

高和严重不同等级的一周漏洞变化趋势和脆弱性严重程度分布；基

于实际网络拓扑图分布进行告警和漏扫结果的态势进行展示，下钻

后可展示网络拓扑中不同位置对应资产评分、事件数量和未处理漏

10

洞数量，并可根据客户真实环境对网络拓扑图提供定制。

通过该态势掌握各类安全事件的检测和产生分类，直观了解事件产

生、响应到处置的过程；安全事件态势根据提醒、告警、严重、致

命等4个等级各级事件总量、攻击成功和未成功的数量，展示待处

置事件的总数、比例和环比变化，同时对高危待处置事件TOP进行

安全事件排名，展示事件名称、等级、事件和责任人信息；对安全事件运营

态势过程进行管理，展示一周事件变化趋势以及根据不同分类（如探测

扫描、主机异常、异常通信等）统计新增、在处理和完结的事件数

量，用来快速审视运营情况；

对攻击源和攻击次数进行展示，通过最新攻击时间及时了解最新盾

况。

通过该态势掌握各类安全事件的检测和产生分类，直观了解威胁情

况。包含从原始日志到安全告警、安全事件多个层级描述安全建设

实现的效果，体现整体安全事件的收敛和运营工作量；以阶梯递进

的图形化方式展现日志数量、告警数量到安全事件数量一步步减少

安全成果的聚合演变，了解通过运营达到的效果。安全事件级包含总体事件

态势条数和高危事件数量，并根据不同事件类型（如Web攻击、主机

异常、恶意程序）通过条形比例的方式进行展示，同时列出高危安

全事件的TOP10排名及其处置状态，便于直观监测。对于网络整体

的告警量、日志量通过环形图的方式展示不同数据源的比例，以及

排名前五的数据源，从宏观上了解网络内安全设备的贡献率。

威胁情报支持展现威胁情报总量、更新情况，当前系统中威胁情报的分类、

11

态势数量。以及当前系统威胁情报告警情况，高频命中的情报IOC,攻

击团伙\家族等

支持监控系统全集群的运行状况包括不限于CPU使用率、内存使用

运行监控率、磁盘使用率，支持运行状态异常的节点给出告警提示；支持监

态势控接入各数据源的数据上报情况，支持实时展示整体日志采集速率、

告警生成速率，以及整体安全信息的入库速率。

支持查看合并告警详情：包括不限于合并告警基础信息、攻击者详

合并告警情、受害者详情、原始告警；支持查看未处置的同类告警，便于批

详情量处置；支持查看已处置的同类告警历史经验，可以参考或者进行

重新研判，支持展示历史处置记录，已提供分析、处置参考。

支持从所有产生的告警中，提炼出外网攻击者的IP列表和Domain

列表，从而方便快速针对具体攻击者做分析研判；支持通过攻击者

攻击者分

IP\域名、受害主机卬、告警处置状态、对攻击者进行检索；支持查

析

看高频攻击者top5、告警事件趋势等统计信息；支持通过威胁等级、

最近攻击事件进行攻击者排序。

所有产生的告警中，提炼出遭受到攻击的内网资产信息，从而方便

快速排查具体内网资产的风险情况；支持通过资产名称、资产IP、

风险资产

资产标签、是否存在漏洞、是否失陷等条件对风险资产进行检索；

分析

支持通过失陷状态、风险等级、最近受攻击事件等维度进行风险资

产排序。

多维场景针对高危、高频出现的攻击场景，支持针对性的场景化分析、展示；

分析支持根据不同安全场景，预制不同的检索字段，统计字段，列表字

12

段；支持不同场景下的不同的合并告警二次聚合，以提高分析处置

效率；支持在场景化分析界面调用处置预案进行快速处置；支持安

全场景包括不限于：Websheik通用web攻击、漏洞利用、弱口

令、爆破攻击、邮件威胁、隐蔽隧道、威胁情报、勒索病毒、挖矿

木马。

支持对配置信息根据内容选择后进行导出、导入，对于在线更新的

数据备份模型可以选择保留用户修改的数据，同时对于更新后不满意可选择

过往的版本进行一键倒回，方便运维管理。

支持跨节点和全局检索，上级节点可以查询所有节点数据，根据选

全局数据择全部、1个或多个节点的事件、日志、告警、脆弱性、资产等信

检索息进行审计溯源分析；下级节点只能查询本级自有数据。支持全局

字段检索和可视化BI分析。

支持用户管理功能，包括用户（组）管理和角色管理，可对用户（组）

进行新增、修改、删除等操作；支持用户功能分权和数据分权管理，

用户管理功能分权可以将平台的每个功能进行独立指定不可见、只读和读写

权限；数据分权能与组织机构进行映射，通过类SQL结构化检索语

言定义日志、告警的字段、字段组合进行数据分权范围。

支持针对域名、IP（加端口）、URL的查询

判定恶意类型包括APT攻击、勒索软件、挖矿软件、网银木马、窃

威胁情报密木马、黑客工具、后门软件、僵尸网络、常规木马、矿池数据、

其它远控。同时还包括混合功能远控，命令控制通道，数据泄露，

下载恶意软件等远控类型。

13

提供超过2000个恶意家族的详细上下文，内容包括别名，攻击影

响，传播方式，特点描述，威胁类型，影响平台，参考链接与家族

描述

提供超过200个攻击团伙的详细上下文，内容包括别名，攻击动机，

影响区域，影响行业，背景国家，活跃时间，参考链接和团伙描述

在连接情报云情况下，情报数据可实现每小时更新。对于隔离网环

境，支持离线导入情报数据升级包方式进行更新。

性能要求日志处理能力不低于10万EPS

2.终端安全检测与响应服务及终端安全防病毒服务

完善政务外网内冬单位的终端安全防护机制，在县区大数据发展管理局网络

边界进行相应安全防护，配置访问控制策略，抵御网络内部攻击，终端授权管控

不低于5000个授权。可进行主机入侵防御、安全事件溯源、主机微隔离、安全

态势分析、安全基线检查、资产管理等终端安全管理与防护

为满足5000个终端安全管理服务需求，投标人需提供1个终端安全管理

平台及5000个终端安全管理授权，授权期限6个月，终端安全管理平台和终

端安全管理软件功能需求如下：

技术项技术指标要求

终端资源占要求对终端系统CPU占用低于2%,内存占用低于200M,终端软件

用不大于1M

▲要求支持多种操作系统，包括但不限于RHEL/CentOS632/64

终端支持的位、RHEL/CentOS732/64位、Ubuntu、Debian、Suse、SunOS5.10>

操作系统Windows7及以上、WindowsServer2003及以上、中标麒麟、银

河麒麟、KaliGNU/Linux2020.1x64server.MacOS、UOS等操

作系统。

系统信息采要求支持采集系统基本信息采集，以及硬件信息、操作系统信息、

集补丁信息

14

系统日志监要求支持系统日志类信息的采集、进程创建事件监控、目录、文件

控审核监控、注册项表读写、U盘插拔读写监控

具备漏洞发现引擎，无需要远程扫描，即可发现终端资产存在漏洞；

终端漏洞发

支持展示漏洞TOP与漏洞分布情况，进行漏洞评估，展示漏洞情况

现

和列表，并能以漏洞视角查询命中的终端

★漏洞库兼容CVE、CNVD、CNNVD,漏洞数量大于22万（提供功能

漏洞库数量

截图证明）

支持按终端接入情况入库资产并展示终端系统基本信息，包含内核

版本，CPU,类型，内存，厂商，系统版本，网卡等

支持呈现终端的当前CPU情况，磁盘占用，内存占用情况，网络访

终端管理问10

支持按安全事件，合规情况、响应处置等安全特性项进行统计展示

支持查看当前应用软件安装情况，网络访问，系统服务，进程，合

规检查及应用策略

集中统计分析和展示识别到的攻击事件；支持安全事件的查询分析

能力，支持提供快捷的全文检索条件，也支持通过时间范围、IP

地址、事件类型、来源设备、威胁等级等条件进行查询，并对查

询结果提供按时间分段的统计图，查询结果以列表形式进行展示；

事件识别分

支持在页面内展示事件详细信息，事件详情包括但不限于：事件摘

析

要、事件关键属性，攻击过程，涉及的攻击者、受害者详情，还包

括关联的日志信息、情报信息，并展示攻击者使用的ATT&CK中定

义的战术及技术，以及基于攻击流程展示各项攻击技术之间的关联

路径。

支持提供取证分析能力，支持取证日志快速检索分析能力；用户可

取证分析能

查看终端所采集的所有原始日志、指纹信息等，可按日志类型、IP

力

等过滤条件进行筛选

合规结果查★要求提供终端用户侧的自检方式以及合规结果查询。提供产品功

询能截图。

分析规则自

用户可自定按日志内容进行配置攻击识别检测规则

定义能力

全面封锁隔离能力，包括主机隔离、网络链路封禁、文件隔离、进

程查杀等

提供统一的访问控制策略设置，可配置访问控制，实现主机侧南北

隔离处置向、东西向细粒度的按需访问控制

支持对网络访问的入出站配置，控制访问，可按五元组进行配置

支持对主机进行隔离，仅保留与服务端的通信，便于解除隔离

提供一键响应操作，支持对终端风险的快速隔离，和访问的阻断控

一键响应

制

环境持续监持续监控环境变化，动态评估终端环境可信，及时阻断超过风险阈

控值终端的访问

★支持通过自定义检测模板对主机进行一键任务下发，应对Oday

快速任务漏洞等快速应急响应场景；提供多种内置用例包括但不限于指定文

件查询、远程代码漏洞检测、webshell恶意扫描样本工具等。

15

支持终端资产列表管理，支持资产基本信息、状态、资源监控、资

终端资产

产应用软件、服务、网络访问、进程快照信息展示及管理

支持整体终端安全态势分析及可视化展示，包括攻击链统计、网络

安全态势和访问统计、威胁事件类型统计、攻击诱捕统计、弱点统计、事件列

可视化表、事件趋势统计等，支持系统整体评分，接入容量占比和月事件

总数等

符合国家要求，能够收集、存储，并保留至少6个月的终端日志，

日志管理

包括系统、服务、应用、用户访问等内容。

集中查看终端主机地址、名称、责任人、系统类型、版本、系统资

终端集中管

源、网络使用，能够集中管理主机上终端软件启用、更新、卸载，

理

能够手工锁定、隔离远程主机。

更新终端软

集中升级终端软件，一键更新，终端主机无感知

件

★支持通过自定义检测模板对主机进行一键任务下发，应对Oday

powershe11

漏洞等快速应急响应场景；提供多种内置用例包括但不限于指定文

检测

件查询、远程代码漏洞检测、webshell恶意扫描样本工具等。

★支持通过syslog北向接口向其他平台提供数据外发和查询能

力，发送通道包括UDP、FTP/SFTP、KAFKA等，支持对外发数据进

数据外发行格式化转换（统一编码、映射转换等）以及数据组装方式设置（包

括但不限于Json、自定义模版、syslog等），并支持按需限制外

发速率（提供功能截图证明）

支持检查是否存在违规端口使用情况，并能呈现全网终端统计情况

支持检查是否存在账户弱口令，并能呈现全网终端统计情况

支持检查是否存在违规网络连接情况，并能呈现全网终端统计情况

支持检查是否存在有配置的违规软件，支持可配置违规软件，并能

合规基线

呈现全网终端统计情况

支持检查是否安装有主机防病毒软件，并能呈现全网终端统计情况

支持检查重要的安全补丁开启更新及更新情况，并能呈现全网终端

统计情况

为保证不同角色人员对平台的友好使用，平台应支持通过角色分离

实现三权分立，且至少应包含三类内置角色：系统管理员：负责除

日志审计管理外的所有功能；用户：由系统管理员生成，管理其相

应业务；审计管理员：负责审计系统管理员和用户的工作

支持用户管理能力，支持系统管理员在界面查看已创建用户，除顶

级域系统管理员，只能查看当前所在域用户账户，可对用户账户进

行启停、编辑操作，可创建新用户账户。账户属性应至少包含：用

系统管理户名、密码、邮箱、电话、所属权限域、角色、所属用户组、登录

ip列表、用户首页。其中除了用户名，其他属性支持创建后可编

辑

支持登录使用验证码，支持账号登录密码尝试次数过多时锁定账

号，支持账号超时自动登出，支持上述功能界面配置

平台应支持配置密码安全性策略，包含密码最小长度、密码复杂度

（包含不同字符类型数目）、密码不与历密码重复、密码有效期天

数、密码有效期提醒时间。支持界面配置弱密码字典，并开启弱密

16

码检测。

支持账号操作审计能力，所有账号界面操作记录审计日志，审计员

角色账号可查看审计日志，可根据时间范围、登陆ip、登陆用户、

操作内容搜索过滤审计日志，支持导出备份审计日志，审计日志不

可删除，最长保留至少一年

支持客户端可以静默安装，静默推送方式，推送全网

客户端部署支持客户端可自定义或随机名方式安装为服务，以隐藏自身

支持客户端自动升级，灰度发布式升级方式，可配置灰度发布地址，

3.代码审计服务

代码审计平台服务

为满足德清县大数据发展管理局在各应用系统上云前进行安全检测要求，投

标人须部署代码审计平台服务，同时提供技术指导德清县大数据发展管理局安全

运营中心人员对应用系统源代码进行审计服务，服务期限6个月。

代码审计外部专家支撑年服务

对德清县大数据局重要的业务系统，在本地团队用本地代码审计平台做初审

前提下，需要第三方专业技术人员检测和审计，通过人工和工具相结合的方式,

对应用系统的源代码结果进行分析查看，并提供相应的修复建议。

平台服务期6个月，至少提供5个应用系统的服务。

代码审计平台服务需求如下：

指标项具体指标要求

采购源代码缺陷分析与代码保障系统，支持企业级源代码缺陷分析、

源代码缺陷审计、源代码缺陷修复跟踪功能。在不改变企业现有开发

测试流程的前提下，该系统与软件版本管理、持续集成、Bug跟踪等系

功能概

统进行集成，将源代码安全检测融入企业开发测试流程中，实现软件

述

源代码安全目标的统一管理、自动化检测、差距分析、Bug修复追踪等

功能，帮助企业以最小代价建立代码安全保障体系并落地实施，构筑

信息系统的“内建安全”。

源代码支持C、C++、Java、PHP、Go、Python等主流编程语言开发的软件源

静态安代码的缺陷检测

17

全检查支持SQL注入、跨站脚本、敏感信息泄露、硬编码密码、逻辑表达式、

功能API误用、异常处理等常见安全缺陷问题的检测。

★支持对源代码缺陷分析模板的灵活配置，具体到每一个缺陷类型，内

置模板不少于18个。提供功能截图证明。

支持缺陷白名单功能，对缺陷可以根据具体规则和扫描语言，配置白

名单。白名单生效范围可针对具体项目和所有项目。

支持文件白名单功能，可以对多个文件或文件夹进行过滤，不统计该

文件和文件夹下检测的问题结果，提高系统检测精准性

支持对检测失败和已有的任务重新发起检测，无需重新上传代码。

能够对源代码安全扫描结果进行汇总，并按照问题的严重性和可能性

源代码

进行威胁级别的划分，如高、中、低等多个级别

缺陷审

能针对每一个源代码检测任务能够展现相关信息，如任务名称、任务

计功能

类型、代码总行数、平均缺陷密度等信息。

★可通过识别出的开源组件与漏洞库进行匹配，发现项目中引用的、

存在已知漏洞的开源组件，并提供漏洞清单。提供产品功能截图证明

源代码关联开源组件与项目，可快速搜索引用了某一开源组件的项目。包括

软件组已经发布的项目和正在开发的项目。

成分析内置常见的CVE漏洞和全部的CNNVD漏洞，CVE漏洞库和CNNVD漏洞库

支持本地升级。

提供组件清单功能，展示组件来源，组件版本、组件生态，组件许可

证，并提供组件对应的漏洞分布信息。

支持用户和组的层级管理，可以自由的通过组的创建来组合项目和用

项目管户的权限。能够实现层次化组织结构的管理。

理功能项目支持多任务化的管理，能够在同一个项目中创建多个不同类型的

检查任务，能够做到不同任务到同一个项目的归档。

能够以任务或者整体维度来进行检测结果数据的统计，并以饼状图或

统计分

柱状图的形式展示，例如：组成分析的组件风险基本统计，静态代码

析功能

审计的缺陷风险级别统计等。

源代码

缺陷分检测报告应能够包括问题等级及问题类型等基本统计信息，还应包括

析报告问题分类、问题描述、修复建议、风险点、问题跟踪信息等详细信息。

功能

系统为B/S架构，支持多招标方同时使用浏览器访问、支持L8个检

测任务并发执行，支持后台并发进程的界面配置，支持管理员对并发

进行调整。提供产品功能截图证明

支持支持管理员、普通用户、日志审计员等权限角色划分。每个角色

只能看到自己权限下的项目，管理员能看到所有项目。

系统管能够实时查看系统运行状态，包括CPU、内存、硬盘等信息。

理功能★默认提供规则集对代码进行审计，默认提供全部、代码规范和安全

缺陷三个档位的规则集，也支持用户自定义规则集。提供产品功能截

图证明

提供自定义检测规则功能，自主添加检测规则用于源代码缺陷检测。

★支持使用ping、telnet、curl工具对其他服务器发起探测请求，排

查网络问题。提供产品界面截图，

18

系统支持本地直接发起检测任务，也可以从SVN、GIT、等代码仓库获

第三方

取代码发起检测任务。

工具集

支持提供对外接口，支持外部系统同步招标方、发起检测任务、获取

成能力

任务结果和缺陷详情以及离线报告生成、查询、下载等功能。

4.渗透测试服务

根据《政务云安全管理规范》相关要求，对应用系统进行安全防护，对德清

县大数据局50业务系统(IRS上政务信息系统或企业)进行一次渗透测试，并

提供修复建议和服务报告。通过真实模拟黑客使用的工具、分析方法来对业务系

统进行模拟攻击，结合智能工具扫描结果和人工确认，进行深入的手工测试和分

析，从而充分识别业务系统风险并要求进行整改。

本服务的服务期限为6个月。

服务内容

1、渗透测试服务

对用户提供的系统，通过白盒、黑盒或灰盒方式进行测试，发现网络和业务

系统中网络和系统存在的安全缺陷，提供渗透测试报告和改进建议。

2、支撑、保障服务技术要求

1).在服务期依据安全专家已经掌握的安全漏洞信息，模拟黑客的真实攻击

方法对系统和网络进行非破坏版的攻击性测试。

2).服务人员提供的渗透测试报告，必须包含漏洞从发现到最终利用的整个

过程记录，通过对系统进行加固完之后，需要进行二次测试已确认漏洞是否合理

修复。

Web服务器配置缺陷包含：默认证书、默认内容、目录列表、WebDAV方

法、Web服务器作为代理服务器、虚拟主机配置缺陷、保障Web服务器配置

的安全等等。

19

3).易受攻击的服务器软件包含：应用程序框架缺陷、内存管理漏洞、编

码与规范化漏洞、查找Web服务器漏洞等等。

5.日常安全运营服务及运维团队专家服务

(1)日常安全运营服务

本服务的服务期限为6个月

1.确保安全运营中心的有效运转：负责人是中心的管理者和决策者，需要制定

合理的管理制度和工作流程，确保平台正常、稳定地运营。

2.安全规章制定：负责人负责制定中心的安全规章，明确中心安全目标、安全

策略和安全措施，并负责保护政务网和政务云的数据安全和网络安全。

3.资源调配和协调：负责人需要对中心资源进行全面的调配和协调，包括网络

设备、服务器、安全大脑平台和人力资源等，保证中心运作的正常性和优化性。

4.安全事故应急处置：在遭受到攻击或其他安全事件时，负责人需要及时组织

应急处理，采取相应的安全措施，尽可能减少安全损失和风险。

(2)本地运维团队专家年服务

本服务的服务期限为6个月

①安全专家运维服务

提供安全专家驻场，负责政务网的核心安全设备和网络设备主要硬件设备的

运维服务，根据等保要求做好日常运维工作，提供网络与信息安全保障与技术支

撑，包含安全加固、安全日志分析、漏洞扫描、网络安全检测、应急响应等服务,

并定期提供安全运维报告。

②风险评估服务

20

风险评估的工作内容就是根据国际和国内风险管理的思想，遵循国际和国内

风险评估的方法论，由专业评估人员通过专业工具和分析手段，从技术和管理两

个方面查找信息系统存在的漏洞，从资产评估、脆弱性评估、安全措施有效性评

估以及综合评估，最终通过全面的分析，识别出当前系统所存在的风险，并在评

估分析完成后提出针对性的风险控制规划措施。

③安全服务日常操作

对安全大脑服务、终端安装服务所配备的工具做日常操作，再此基础上形成

德清政务网的安全月报。

6、攻防演练服务

在服务期内举行一次攻防演练，具体要求如下：

1根据采购人提出的演练需求开展演练调研，设定演练流程，制定演练技术

方案。要科学设置演练方式、演练科目。演练科目应符合相关要求。

2根据采购人审核确定的演练方案，组织协调相关单位、资源开展攻防演练

筹备工作。设计开发相应的演练平台，搭建演练环境、支撑演练平台运维工作，

提供演练保障方案，制定攻防选手及裁判使用手册、汇总完善演练规则和演练结

果的上报。

3.供应商须负责演练相关物料的设计及制作，包括不限于印制演练观摩手

册、落实相关视频记录、选手证书制作及颁发等。

4.正式演练结束后,供应商应根据演练实际情况整理演练期间相关会议记录

和材料，编制演练情况报告于正式演练结束后30日内报送采购人留存。

7、重要时期支撑保障服务

本服务的服务期限为6个月

21

在亚运会、两会、攻防演练等重要时期提供厂商专家安全值守服务及特殊时

期安全保障服务。亚运会期间提供不少于4名安全专家驻场服务，每次不少

于30人日；攻防期间提供不少于2名安全专家驻场服务，每次不少于14

人日。总人日不超过90人日。

技术人员需提供7*24小时安全值守，提供安全应急响应的技术支持，提出

安全建议，判断事件类型，处理安全事件，降低安全风险和影响，并每日提

交日报。

重要时期安全保障服务提供现场服务，根据具体的服务内容，现场服务一般

包括下列内容：

(1)安全漏洞扫描

(2)主机安全检查

(3)安全值守服务

(4)安全日志分析

(5)应急响应服务

非现场服务一般包括下列内容：

(1)信息安全通告

(2)信息安全咨询

(3)对外服务检查

(4)WEB站点渗透测试

(5)网站安全监测服务

22

8、基线核蛰服务

本服务的服务期限为6个月

基于信息安全风险的角度，对政务云和政务网的重要服务器、操作系统、网

络设备每季度至少进行一次配置核查，检测网络设备的安全策略弱点和部分

主机的安全配置错误等安全隐患，提出整改建议，指导运维人员优化配置策

略，从而达到相应的安全防护要求。包含但不限于以下内容：

(1)使用专业工具，根据需求，在专业工具中配置适用于甲方的检查模板,

对主机、数据库、中间件、核心网络设备全量资产进行基线配置核查；

(2)出具配置核查报告；

(3