**機(jī)場(chǎng)官網(wǎng)、機(jī)場(chǎng)通系統(tǒng)滲透測(cè)試
服務(wù)采購(gòu)項(xiàng)目競(jìng)價(jià)公告
第一部分 競(jìng)價(jià)項(xiàng)目說(shuō)明
****(以下簡(jiǎn)稱“采購(gòu)人”)現(xiàn)就**機(jī)場(chǎng)官網(wǎng)、機(jī)場(chǎng)通系統(tǒng)滲透測(cè)試服務(wù)采購(gòu)項(xiàng)目,邀請(qǐng)有相應(yīng)資質(zhì)的**商(以下簡(jiǎn)稱“報(bào)價(jià)人”)進(jìn)行網(wǎng)上競(jìng)價(jià)。
1.項(xiàng)目概況:
1.1項(xiàng)目名稱:**機(jī)場(chǎng)官網(wǎng)、機(jī)場(chǎng)通系統(tǒng)滲透測(cè)試服務(wù)采購(gòu)項(xiàng)目。
1.2項(xiàng)目?jī)?nèi)容:(1)在服務(wù)期間內(nèi),按需按要求對(duì)業(yè)務(wù)系統(tǒng)開展4次滲透測(cè)試任務(wù),發(fā)現(xiàn)可能存在的安全風(fēng)險(xiǎn)漏洞,提供詳細(xì)的修復(fù)建議,協(xié)助完**全漏洞的修復(fù),提升業(yè)務(wù)系統(tǒng)抗風(fēng)險(xiǎn)能力;(2)滲透測(cè)試人員應(yīng)在授權(quán)范圍內(nèi)進(jìn)行全面細(xì)致的安全性測(cè)試,自行開展信息收集,利用滲透性測(cè)試、應(yīng)用系統(tǒng)攻擊、網(wǎng)絡(luò)攻擊等手段(不含拒絕服務(wù)類等惡意攻擊方式),發(fā)現(xiàn)應(yīng)用系統(tǒng)及各類互聯(lián)網(wǎng)暴露資產(chǎn)(含IP、域名、端口、服務(wù)、操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)、APP、小程序及調(diào)用關(guān)系、第三方模塊插件等)的安全漏洞,核實(shí)漏洞真實(shí)性,記錄攻擊過(guò)程,并報(bào)告漏洞情況;(3)每次服務(wù)完成后,需在三日內(nèi)提交完整的滲透測(cè)試報(bào)告,詳細(xì)說(shuō)明滲透發(fā)現(xiàn)的漏洞切入點(diǎn),滲透過(guò)程和修復(fù)方式等,并協(xié)助、指導(dǎo)甲方進(jìn)行滲透發(fā)現(xiàn)漏洞的重現(xiàn);待修復(fù)完成后,滲透測(cè)試人員對(duì)修復(fù)的成果進(jìn)行檢驗(yàn)復(fù)查,確保修復(fù)結(jié)果的有效性;(4)工作輸出:《XX系統(tǒng)滲透測(cè)試報(bào)告》、《XX系統(tǒng)滲透測(cè)試復(fù)查報(bào)告》。
1.3項(xiàng)目限價(jià):150000元(含稅價(jià))。
2.合格報(bào)價(jià)人條件:
(1)報(bào)價(jià)人必須為具備本項(xiàng)目履約能力的在中華人民**國(guó)境內(nèi)注冊(cè)的獨(dú)立的企業(yè)法人,****管理部門核發(fā)的營(yíng)業(yè)執(zhí)照,并提供營(yíng)業(yè)執(zhí)照的復(fù)印件。
(2)報(bào)價(jià)人2020年至今具有“信息系統(tǒng)滲透測(cè)試服務(wù)”相關(guān)的業(yè)績(jī),須提供合同復(fù)印件。
(3)2020年1月1日至今,報(bào)價(jià)人沒(méi)有因腐****政府或業(yè)主宣布取消投標(biāo)資格;同時(shí),2020年1月1日年至今報(bào)****公司)與采購(gòu)人無(wú)發(fā)生各種訴訟、仲裁和不良投訴(須就此項(xiàng)內(nèi)容提供承諾函并加蓋報(bào)價(jià)人公章)。
(4)報(bào)價(jià)人不存在被****認(rèn)定為發(fā)生不良行為**商,且仍在處置期內(nèi)的情形。
(5)報(bào)價(jià)人不得被列為“嚴(yán)重失信主體名單”,以“信用中國(guó)”網(wǎng)站(www.****.cn)查詢?yōu)闇?zhǔn),報(bào)價(jià)人需在采購(gòu)公告發(fā)布后提供從“信用中國(guó)”網(wǎng)站截圖“嚴(yán)重失信主體名單”頁(yè)面并加蓋公章(未提交截圖或截圖信息不清晰將作否決投標(biāo)處理),同時(shí)下載信用信息(打印并加蓋公章后附在報(bào)價(jià)文件中)。(截圖格式見(jiàn)附錄)。
(6)報(bào)價(jià)人不得被國(guó)家企業(yè)信用信息公示系統(tǒng)(http://www.****.cn/)列入經(jīng)營(yíng)異常名錄信息或列入嚴(yán)重違法失信企業(yè)名單(黑名單)信息,報(bào)價(jià)人需在采購(gòu)公告發(fā)布后按要求從“國(guó)家企業(yè)信用信息公示系統(tǒng)”網(wǎng)站截圖 “列入經(jīng)營(yíng)異常名錄信息”和“列入嚴(yán)重違法失信企業(yè)名單(黑名單)信息”頁(yè)面的截圖并加蓋公章”。(未提交截圖或截圖信息不清晰將作無(wú)效報(bào)價(jià)標(biāo)處理)(截圖格式見(jiàn)附錄)。
(7)報(bào)價(jià)人不得被列入中國(guó)執(zhí)行信息公開網(wǎng)(http://zxgk.****.cn/****法院失信被執(zhí)行人名單。報(bào)價(jià)人需在采購(gòu)公告發(fā)布后從中國(guó)執(zhí)行信息公開網(wǎng)“綜合查詢被執(zhí)行人”網(wǎng)站截圖并加蓋公章;(未提交截圖或截圖信息不清晰將作無(wú)效報(bào)價(jià)標(biāo)處理)(截圖格式見(jiàn)附錄)。
(8)報(bào)價(jià)人法定代表人為同一人的兩個(gè)及兩個(gè)以上法人,母公司、****公司****公司,都不得在該項(xiàng)目中同時(shí)報(bào)價(jià)。
(9)本項(xiàng)目不接受聯(lián)合體報(bào)價(jià)。
(10)報(bào)價(jià)人需要具備關(guān)的信息安全服務(wù)資質(zhì)認(rèn)證,應(yīng)擁有一支具備豐富經(jīng)驗(yàn)和專業(yè)技能的滲透測(cè)試團(tuán)隊(duì),開展?jié)B透測(cè)試的人員均需具備滲透測(cè)試相關(guān)資質(zhì)證書。
(11) 具備國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估或安全服務(wù)資質(zhì),或相關(guān)網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位資質(zhì)。
(12) 具備國(guó)家信息安全漏洞掃描 CNNVD 技術(shù)支持單位等級(jí)證書。
3.報(bào)價(jià)文件的有效期:
報(bào)價(jià)文件應(yīng)在報(bào)價(jià)截止日起90天內(nèi)有效,成交人的報(bào)價(jià)有效期延至合同驗(yàn)收之日。
4.報(bào)價(jià)人注冊(cè)方式:
(1)報(bào)價(jià)人應(yīng)在須在參與競(jìng)價(jià)項(xiàng)目前,前****集團(tuán)有限公司一體化數(shù)字交易系統(tǒng)(https://www.****.com/gaa.html)進(jìn)行注冊(cè),,操作步驟詳見(jiàn)一體化系統(tǒng)門戶“供應(yīng)商管理”中“幫助中心”的平臺(tái)注冊(cè)指引(已注冊(cè)的除外)。
(2)報(bào)價(jià)人成功注冊(cè)一體化系統(tǒng)后,登錄系統(tǒng)點(diǎn)擊首頁(yè)的“可參與項(xiàng)目”;在“搜索框”處輸入項(xiàng)目編號(hào)或項(xiàng)目名稱進(jìn)行查找,在列表中選擇需要參與的項(xiàng)目,點(diǎn)擊“立即參與”;點(diǎn)擊“我的項(xiàng)目”,在列表中選擇相應(yīng)的項(xiàng)目,點(diǎn)擊“申請(qǐng)材料遞交”,項(xiàng)目資格預(yù)審文件,資格預(yù)審?fù)ㄟ^(guò)后的**商才能進(jìn)入網(wǎng)上競(jìng)價(jià)環(huán)節(jié)。
(3)因報(bào)價(jià)人丟失網(wǎng)站登錄用戶名或密碼而導(dǎo)致項(xiàng)目報(bào)名或網(wǎng)上競(jìng)價(jià)活動(dòng)失敗的,相關(guān)責(zé)任由報(bào)價(jià)人自行承擔(dān)。
5.項(xiàng)目競(jìng)價(jià)各環(huán)節(jié)時(shí)間安排:
5.1公告發(fā)布及資格預(yù)審文件上傳時(shí)間:
項(xiàng)目公告及資格預(yù)審報(bào)名時(shí)間為2024年4月10日10:00至2024年4月17日10:00(不少于5個(gè)工作日)(報(bào)名截止時(shí)間以系統(tǒng)服務(wù)器時(shí)間為準(zhǔn))。
報(bào)價(jià)人成功注冊(cè)一體化系統(tǒng)后,登錄系統(tǒng)點(diǎn)擊首頁(yè)的“可參與項(xiàng)目”;在“搜索框”處輸入項(xiàng)目編號(hào)或項(xiàng)目名稱進(jìn)行查找,在列表中選擇需要參與的項(xiàng)目,點(diǎn)擊“立即參與”;點(diǎn)擊“我的項(xiàng)目”,在列表中選擇相應(yīng)的項(xiàng)目,點(diǎn)擊“申請(qǐng)材料遞交”。申請(qǐng)材料用于報(bào)價(jià)人資格審查,申請(qǐng)材料應(yīng)按采購(gòu)文件第三部分附錄文件格式編寫。
5.2資格預(yù)審結(jié)果查看:
報(bào)價(jià)人提交材料后在“我的項(xiàng)目”中能查看本項(xiàng)目申請(qǐng)材料審批狀態(tài),待審批時(shí)的狀態(tài)為“申請(qǐng)材料遞交查看”;如果申請(qǐng)材料被駁回,按鈕將會(huì)變?yōu)椤吧暾?qǐng)材料遞交(已駁回)”;如果申請(qǐng)材料審批通過(guò),按鈕則變?yōu)椤皡⑴c”。申請(qǐng)材料遞交時(shí)間截止前,報(bào)價(jià)人如需撤回修改,點(diǎn)擊“申請(qǐng)材料遞交查看”-“撤回”即可重新修改提交。申請(qǐng)材料遞交時(shí)間截止后,報(bào)價(jià)人將無(wú)法對(duì)資格審查資料進(jìn)行修改。報(bào)價(jià)人自行進(jìn)入“我的項(xiàng)目”列表查看自己是否通過(guò)資格審查。
5.3競(jìng)價(jià)時(shí)間:
項(xiàng)目競(jìng)價(jià)時(shí)間為2024年4月18日09:00至2024年4月18日18:00(截止時(shí)間以系統(tǒng)服務(wù)器時(shí)間為準(zhǔn))(不少于1個(gè)工作日)。
項(xiàng)目競(jìng)價(jià)開始后,通過(guò)資格審查的報(bào)價(jià)人登陸一體化系統(tǒng),在“我的項(xiàng)目”中選擇通過(guò)資格審查的競(jìng)價(jià)項(xiàng)目,即可進(jìn)行報(bào)價(jià),每次報(bào)價(jià)后即可看見(jiàn)自己的報(bào)價(jià)排名,報(bào)價(jià)人可在項(xiàng)目競(jìng)價(jià)時(shí)間截止前(以一體化系統(tǒng)服務(wù)器顯示時(shí)間為準(zhǔn)),根據(jù)項(xiàng)目提示的最低調(diào)價(jià)幅度(每次不低于500元)、報(bào)價(jià)次數(shù)(共5次)修改自己的報(bào)價(jià),報(bào)價(jià)人報(bào)價(jià)不得超出限價(jià)。競(jìng)價(jià)系統(tǒng)根據(jù)報(bào)價(jià)價(jià)格由低到高的順序排名,若2家或以上報(bào)價(jià)人的報(bào)價(jià)相同,則以一體化系統(tǒng)服務(wù)器時(shí)間先后進(jìn)行排名,競(jìng)價(jià)時(shí)間截止后,以報(bào)價(jià)排名為第一名的報(bào)價(jià)人作為候選成交商。
6.競(jìng)價(jià)答疑:
若報(bào)價(jià)人對(duì)本項(xiàng)目有任何異議的,應(yīng)當(dāng)在報(bào)名和提交資格審查文件截止時(shí)間2日前以書面形式提出,書面文件應(yīng)加蓋報(bào)價(jià)人單位公章后進(jìn)行掃描,發(fā)送至采購(gòu)方電子郵箱(郵箱地址:****@gdairport.com),異議提交截止時(shí)間以采購(gòu)方郵箱顯示收到時(shí)間為準(zhǔn),未按上述要求提供異議資料的,采購(gòu)方將不予回復(fù)。如需修改競(jìng)價(jià)文件內(nèi)容的,采購(gòu)方將順延項(xiàng)目報(bào)名截止時(shí)間。
7.遞交資格預(yù)審文件資格預(yù)審要求:
資格預(yù)審期間,報(bào)價(jià)人應(yīng)按競(jìng)價(jià)公告第三部分網(wǎng)上競(jìng)價(jià)報(bào)名文件要求在系統(tǒng)中提交紙質(zhì)版掃描版資格預(yù)審。若報(bào)價(jià)人提交的資格預(yù)審文件存在下列情況,將不能通過(guò)資格預(yù)審:
(1)不能完全符合項(xiàng)目合格報(bào)價(jià)人條件要求的;
(2)資格預(yù)審文件資料未按要求簽字或加蓋公章的;
(3)資格預(yù)審文件資料中透露了項(xiàng)目報(bào)價(jià)的;
(4)資格預(yù)審文件資料與實(shí)際情況不符,文件造假的;
(5)其他不能通過(guò)資格預(yù)審原因。
8.競(jìng)價(jià)規(guī)則:
(1)網(wǎng)發(fā)上競(jìng)價(jià)項(xiàng)目符合資格條件,且參與報(bào)價(jià)的報(bào)價(jià)人至少應(yīng)達(dá)到三家以上,不足三家的,采購(gòu)方將重新發(fā)布采購(gòu)信息,組織第二次采購(gòu)。
(2)如果第二次符合資格條件、且參與報(bào)價(jià)的報(bào)價(jià)人仍不足三家的,采購(gòu)方可按相關(guān)程序確定成交供應(yīng)商。
(3)沒(méi)有符合資格條件供應(yīng)商的項(xiàng)目,采購(gòu)方將終止項(xiàng)目競(jìng)價(jià)。
(4)項(xiàng)目競(jìng)價(jià)開始后,通過(guò)資格審查的報(bào)價(jià)人登陸一體化系統(tǒng),在“我的項(xiàng)目”中選擇通過(guò)資格審查的競(jìng)價(jià)項(xiàng)目,即可進(jìn)行報(bào)價(jià),每次報(bào)價(jià)后即可看見(jiàn)自己的報(bào)價(jià)排名。
(5)報(bào)價(jià)人可在項(xiàng)目競(jìng)價(jià)時(shí)間截止前(以一體化系統(tǒng)服務(wù)器顯示時(shí)間為準(zhǔn)),根據(jù)項(xiàng)目提示的最低調(diào)價(jià)幅度、報(bào)價(jià)次數(shù)修改自己的報(bào)價(jià),如采購(gòu)方設(shè)置了限價(jià)金額的,報(bào)價(jià)人報(bào)價(jià)不得超出限價(jià)。
(6)競(jìng)價(jià)系統(tǒng)根據(jù)報(bào)價(jià)價(jià)格由低到高的順序排名,若2家或以上報(bào)價(jià)人的報(bào)價(jià)相同,則以一體化系統(tǒng)服務(wù)器時(shí)間先后進(jìn)行排名。
(7)競(jìng)價(jià)時(shí)間截止后,以報(bào)價(jià)排名為第一名的報(bào)價(jià)人作為候選成交商。
9.成交**商的確定:
網(wǎng)上競(jìng)價(jià)結(jié)束后,采購(gòu)方按以下流程確定成交**商:
(1)網(wǎng)上競(jìng)價(jià)結(jié)束后3個(gè)工作日內(nèi),競(jìng)價(jià)項(xiàng)目候選成交供應(yīng)商應(yīng)將資格審查文件及項(xiàng)目報(bào)價(jià)單(包括清單)紙質(zhì)版(一式三份),由其法定代表人或者授權(quán)代表簽字并蓋章后,提交采購(gòu)方審查。紙質(zhì)版審查文件內(nèi)容與申請(qǐng)材料遞交時(shí)提交的資格審查內(nèi)容應(yīng)一致、紙質(zhì)版項(xiàng)目報(bào)價(jià)單中的總金額及分項(xiàng)金額應(yīng)與一體化系統(tǒng)網(wǎng)上競(jìng)價(jià)系統(tǒng)報(bào)價(jià)內(nèi)容一致,否則采購(gòu)方有權(quán)認(rèn)定其資格審查文件或報(bào)價(jià)無(wú)效。
(2)若候選供應(yīng)商的報(bào)價(jià)明顯低于市場(chǎng)價(jià),采購(gòu)方有權(quán)要求候選供應(yīng)商提供其報(bào)價(jià)理由和有關(guān)未低于企業(yè)成本價(jià)的證明材料,如果候選供應(yīng)商拒絕提供或提供的材料不充分,采購(gòu)方有權(quán)認(rèn)定其報(bào)價(jià)無(wú)效,并終止交易。
(3)候選供應(yīng)商按以上要求提交資料,并經(jīng)采購(gòu)方審查通過(guò),可確定為項(xiàng)目成交供應(yīng)商。
(4)成交供應(yīng)商提交資料與事實(shí)不符的,采購(gòu)方有權(quán)取消成交供應(yīng)商資格。
(5)本項(xiàng)目為整體報(bào)價(jià)、整體供貨項(xiàng)目,不做拆分。如報(bào)價(jià)人在成交后出現(xiàn)無(wú)法全部供貨問(wèn)題,采購(gòu)人有權(quán)廢除報(bào)價(jià)人的成交資格,對(duì)項(xiàng)目重新發(fā)布采購(gòu)信息,并保留因報(bào)價(jià)人問(wèn)題對(duì)采購(gòu)人造成的經(jīng)濟(jì)損失進(jìn)行追責(zé)的權(quán)利。
10.競(jìng)價(jià)結(jié)果發(fā)布:
競(jìng)價(jià)結(jié)果確認(rèn)后,采購(gòu)方將在一體化系統(tǒng)門戶發(fā)布競(jìng)價(jià)結(jié)果公告,公告時(shí)間不少于2個(gè)工作日。
11.不誠(chéng)信行為處置
對(duì)于報(bào)價(jià)人不符合競(jìng)價(jià)公告要求而參與競(jìng)價(jià)、惡意報(bào)低價(jià)、資料造假以及冒用他人身份參加我司網(wǎng)上競(jìng)價(jià)活動(dòng)等不誠(chéng)信行為,****(采購(gòu)人單位名稱)視其情節(jié)輕重而將報(bào)價(jià)人記錄到此采購(gòu)平臺(tái)**商信息中,并保留將其列入黑名單的權(quán)利。
12.投訴監(jiān)督方式
(1)報(bào)價(jià)人可以對(duì)本次競(jìng)價(jià)活動(dòng)中的任何違法及不公平內(nèi)容向****建設(shè)管理部紀(jì)檢機(jī)構(gòu)進(jìn)行實(shí)名投訴。
聯(lián)系電話:020-****7950、020-****3493(****建設(shè)管理部)
(2)報(bào)價(jià)人應(yīng)本著公平競(jìng)爭(zhēng)、實(shí)事求是原則,按程序進(jìn)行投訴,若存在下列情形之一的,采購(gòu)人將視為無(wú)效投訴,并保留將其列入黑名單的權(quán)利:
【1】投訴主體不是項(xiàng)目參與**商和其他利害關(guān)系人;
【2】投訴人未有真實(shí)署名,未同時(shí)提供投訴身份證復(fù)印件、聯(lián)系方式;
【3】投訴人未提供必要的證明材料和明確的要求的;
【4】投訴人捏造事實(shí)、偽造材料或者以非法手段取得證明材料進(jìn)行投訴的,證據(jù)來(lái)源的合法性存在明顯疑問(wèn),投訴人(**商)無(wú)法證明其取得方式合法的,視為以非法手段取得證明材料。
14.聯(lián)系方式
單位名稱:****
聯(lián)系人:曾先生
聯(lián)系電話:020-****6142
地址:**市**機(jī)場(chǎng)東南****派出所507
第二部分 采購(gòu)人需求
**機(jī)場(chǎng)官網(wǎng)、機(jī)場(chǎng)通系統(tǒng)滲透測(cè)試服務(wù)項(xiàng)目,針對(duì)**機(jī)場(chǎng)官方網(wǎng)站系統(tǒng)和**機(jī)場(chǎng)通系統(tǒng)開展?jié)B透測(cè)試,為保障滲透測(cè)試過(guò)程安全可控,滲透測(cè)試人員需遵循保密性、標(biāo)準(zhǔn)性、規(guī)范性、可控性、整體性、最小影響等原則,針對(duì)服務(wù)對(duì)象開展?jié)B透測(cè)試,根據(jù)滲透測(cè)試結(jié)果,給出針對(duì)性的整改建議,并協(xié)助、指導(dǎo)甲方進(jìn)行滲透發(fā)現(xiàn)漏洞的重現(xiàn);待修復(fù)完成后,滲透測(cè)試人員對(duì)修復(fù)的成果進(jìn)行檢驗(yàn)復(fù)查,確保修復(fù)結(jié)果的有效性,滲透測(cè)試項(xiàng)至少包括以下相關(guān)漏洞類型(詳情請(qǐng)看附件需求書):
序號(hào) | 漏洞類型 |
1 | 操作系統(tǒng)相關(guān)漏洞 |
2 | 數(shù)據(jù)庫(kù)相關(guān)漏洞 |
3 | 整站系統(tǒng)相關(guān)漏洞 |
4 | 中間件相關(guān)漏洞 |
5 | 框架漏洞 |
6 | 信息泄漏類漏洞 |
7 | 認(rèn)證類漏洞 |
8 | 業(yè)務(wù)邏輯類漏洞 |
9 | 業(yè)務(wù)功能類漏洞 |
10 | 防護(hù)功能類漏洞 |
11 | 授權(quán)類漏洞 |
12 | 綜合利用類漏洞 |
項(xiàng)目?jī)?nèi)容:
(1)在服務(wù)期間內(nèi),按需按要求對(duì)業(yè)務(wù)系統(tǒng)開展4次滲透測(cè)試任務(wù),發(fā)現(xiàn)可能存在的安全風(fēng)險(xiǎn)漏洞,提供詳細(xì)的修復(fù)建議,協(xié)助完**全漏洞的修復(fù),提升業(yè)務(wù)系統(tǒng)抗風(fēng)險(xiǎn)能力;
(2)滲透測(cè)試人員應(yīng)在授權(quán)范圍內(nèi)進(jìn)行全面細(xì)致的安全性測(cè)試,自行開展信息收集,利用滲透性測(cè)試、應(yīng)用系統(tǒng)攻擊、網(wǎng)絡(luò)攻擊等手段(不含拒絕服務(wù)類等惡意攻擊方式),發(fā)現(xiàn)應(yīng)用系統(tǒng)及各類互聯(lián)網(wǎng)暴露資產(chǎn)(含IP、域名、端口、服務(wù)、操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)、APP、小程序及調(diào)用關(guān)系、第三方模塊插件等)的安全漏洞,核實(shí)漏洞真實(shí)性,記錄攻擊過(guò)程,并報(bào)告漏洞情況;
(3)每次服務(wù)完成后,需在三日內(nèi)提交完整的滲透測(cè)試報(bào)告,詳細(xì)說(shuō)明滲透發(fā)現(xiàn)的漏洞切入點(diǎn),滲透過(guò)程和修復(fù)方式等,并協(xié)助、指導(dǎo)甲方進(jìn)行滲透發(fā)現(xiàn)漏洞的重現(xiàn);待修復(fù)完成后,滲透測(cè)試人員對(duì)修復(fù)的成果進(jìn)行檢驗(yàn)復(fù)查,確保修復(fù)結(jié)果的有效性;
(4)工作輸出:《XX系統(tǒng)滲透測(cè)試報(bào)告》、《XX系統(tǒng)滲透測(cè)試復(fù)查報(bào)告》。
第三部分 網(wǎng)上競(jìng)價(jià)報(bào)名文件要求
一、資格預(yù)審文件
1.營(yíng)業(yè)執(zhí)照復(fù)印件并加蓋報(bào)價(jià)人公章;
2. 報(bào)價(jià)人2020年至今具有“信息系統(tǒng)滲透測(cè)試服務(wù)”相關(guān)的業(yè)績(jī),須提供合同復(fù)印件;
3.按附件格式要求填妥并簽章的法定代表人證明書或法人授權(quán)委托書(非法人簽署時(shí)需提供);
4.按附件格式要求提交法人代表身份證或被授權(quán)人身份證(復(fù)印件即可);
5.按附件格式要求提交“報(bào)價(jià)人資格與誠(chéng)信承諾函”;
6.按附件格式填妥并簽章的“網(wǎng)上競(jìng)價(jià)項(xiàng)目采購(gòu)文件響應(yīng)承諾書”;
7.按附件格式要求提交“國(guó)家企業(yè)信用信息公式系統(tǒng)網(wǎng)站”截圖并加蓋報(bào)價(jià)人公章;
8.按附件格式要求提交“信用中國(guó)網(wǎng)站”截圖并加蓋報(bào)價(jià)人公章;
9.按附件格式要求提交“中國(guó)執(zhí)行信息公開網(wǎng)”網(wǎng)站截圖并加蓋報(bào)價(jià)人公章;
10.按附件格式填妥并簽章的“廉潔承諾書”。
二、項(xiàng)目報(bào)價(jià)表
項(xiàng)目報(bào)價(jià)表(限價(jià)人民幣 萬(wàn)元)
序號(hào) | 系統(tǒng)名稱 | 服務(wù)內(nèi)容 | 數(shù)量 | 單價(jià) | 備注 |
| | | | | |
| | | | | |
總價(jià) | |
| | | | | | |
注:1)提交資格審查報(bào)名資料時(shí),不需要提供報(bào)價(jià)表,如提交資格審查報(bào)名階段提供該表格將會(huì)導(dǎo)致報(bào)名資格被拒絕;
2)確定為候選**商后,報(bào)價(jià)人應(yīng)提供報(bào)價(jià)表。
以上報(bào)價(jià)包括了設(shè)計(jì)與設(shè)計(jì)聯(lián)絡(luò)、貨物及附件(含質(zhì)保期內(nèi)的備品備件)的制造、包裝、運(yùn)輸、保險(xiǎn)、稅費(fèi)(包括關(guān)稅、****政府****政府現(xiàn)行規(guī)定的應(yīng)繳納的各種稅收和費(fèi)用)以及現(xiàn)場(chǎng)組裝、安裝、調(diào)試、驗(yàn)收、技術(shù)服務(wù)(包括技術(shù)資料、圖紙的提供)、技術(shù)培訓(xùn)、售后服務(wù)、保修期保障等的全部費(fèi)用,除此以外,采購(gòu)人無(wú)需為上述約定的項(xiàng)目和貨物再支付任何費(fèi)用。
______________________________________
(報(bào)價(jià)人全稱、蓋法人公章)
______________________________________
(報(bào)價(jià)人地址)
______________________________________
(授權(quán)代表姓名)
______________________________________
(簽名)
______________________________________
(日期)
第四部分 附錄文件格式
附錄1:營(yíng)業(yè)執(zhí)照復(fù)印
附錄2
法定代表人證明書
**單位名稱:
單位性質(zhì):
地址:
成立時(shí)間: 年 月 日
經(jīng)營(yíng)期限:
姓名: 性別: 年齡: 職務(wù):
系 (**單位名稱)的法定代表人。
特此證明。
**單位名稱: (蓋公章)
法定代表人: (簽字或蓋章)
日期:
附錄3:
法人授權(quán)委托書
(如報(bào)價(jià)文件簽署人不是法定代表人需提供)
本人 (姓名)系 (供應(yīng)商名稱)的法定代表人,現(xiàn)委托 (姓名)為我司代理人。代理人根據(jù)授權(quán),以我司名義簽署、澄清、說(shuō)明、補(bǔ)正、遞交、撤回、修改項(xiàng)目編號(hào)為 的 (項(xiàng)目名稱) 報(bào)價(jià)文件、簽訂合同和處理有關(guān)事宜,其法律后果由我司承擔(dān)。
授權(quán)委托期限:自 年 月 日至 年 月 日止。
代理人無(wú)轉(zhuǎn)委托權(quán)。特此委托。
**單位名稱: (公章)
法定代表人: (簽字或蓋章)
代理人: (簽字)性別: 年齡:
代理人身份證號(hào)碼: 職務(wù):
授權(quán)委托日期:
附:代理人的身份證正反面復(fù)印件并加蓋供應(yīng)商公章。
附錄4:
報(bào)價(jià)人資格與誠(chéng)信承諾函
致:****
在研究并完全理解了******機(jī)場(chǎng)官網(wǎng)、機(jī)場(chǎng)通系統(tǒng)滲透測(cè)試服務(wù)項(xiàng)目競(jìng)價(jià)文件后,我司完全同意并接受項(xiàng)目競(jìng)價(jià)文件的所有內(nèi)容,同時(shí)向貴司承諾我司完全符合競(jìng)價(jià)文件第一部分采購(gòu)公告第五項(xiàng),合格報(bào)價(jià)人資格條件,并完全響應(yīng)采購(gòu)方“供應(yīng)商不誠(chéng)信行為”的確定條件。承諾如有造假行為,我司愿意無(wú)條件接受采購(gòu)方的以下處理:
1.取消本項(xiàng)目報(bào)價(jià)、成交資格,并在相關(guān)網(wǎng)站公示。
2.由采購(gòu)方?jīng)]收合同履約保證金(如有)。
3.嚴(yán)格按照《****集團(tuán)有限公司采購(gòu)**對(duì)象管理辦法》接受處罰,禁止參****集團(tuán)有限公司本部、各全資、****公司所屬非法人實(shí)體單位的所有采購(gòu)項(xiàng)目。
4.自行承擔(dān)被取消項(xiàng)目資格的所有后果和責(zé)任。
5.其他行政處理決定。
報(bào)價(jià)人名稱: (蓋公章)
法定代表人或授權(quán)代表簽名:
日期:
附錄5
誠(chéng)信承諾函
致:****
在研究并完全理解了******機(jī)場(chǎng)官網(wǎng)、機(jī)場(chǎng)通系統(tǒng)滲透測(cè)試服務(wù)項(xiàng)目競(jìng)價(jià)公告后,我司(**商名稱) 完全同意并接受項(xiàng)目競(jìng)價(jià)公告的所有內(nèi)容,同時(shí)向貴司承諾:
1.2018年1月1日至今,我司沒(méi)有因腐****政府或業(yè)主宣布取消投標(biāo)資格;
2.2018年1月1日年至今,我司(包****公司和自然人)未****集團(tuán)有限公司其下屬的全資、控股公司、非法人實(shí)體單位發(fā)生各種訴訟和仲裁,****法院或仲裁機(jī)構(gòu)生效判決或裁定的情形;
3.我司未被列入國(guó)家企業(yè)信用信息公示系統(tǒng)(http://www.****.cn/)的經(jīng)營(yíng)異常名錄或嚴(yán)重違法失信企業(yè)名單;
4.我司未被列入信用中國(guó)(http://www.****.cn/)的失信被執(zhí)行人或企業(yè)經(jīng)營(yíng)異常名錄;
5.我司未被列入中國(guó)執(zhí)行信息公開網(wǎng)(http://zxgk.****.cn/****法院失信被執(zhí)行人名單。
如有造假行為,我公司愿意無(wú)條件接受采購(gòu)人的以下處理:
1.取消本項(xiàng)目報(bào)價(jià)、成交資格,并在相關(guān)網(wǎng)站公示;
2.由采購(gòu)人沒(méi)收合同履約保證金;
3.三年至六年內(nèi)停止或禁止參加****及其下屬單位的所有非招標(biāo)采購(gòu)項(xiàng)目采購(gòu)活動(dòng);
4.對(duì)不良行為予以紀(jì)錄,并進(jìn)行公告;
5.****集團(tuán)有限公司備案;
6.其他行政處理決定。
**商名稱:(公章)
授權(quán)代表姓名、職務(wù)(印刷體):
法定代表人或授權(quán)代表簽名:
日期:
附錄6
網(wǎng)上競(jìng)價(jià)項(xiàng)目采購(gòu)文件響應(yīng)承諾書
致:****(采購(gòu)方單位)
我司保證提交的 公司 項(xiàng)目報(bào)價(jià)文件所有內(nèi)容與貴司(單位)的采購(gòu)文件要求條款完全響應(yīng),在此,我方聲明如下:
1.同意并接受采購(gòu)文件的各項(xiàng)要求,遵守采購(gòu)文件中的各項(xiàng)規(guī)定,按采購(gòu)文件的要求提供報(bào)價(jià)。
2.報(bào)價(jià)有效期為報(bào)價(jià)截止日之日起XX天,成交人的報(bào)價(jià)有效期延至合同驗(yàn)收之日。
3.我方已經(jīng)詳細(xì)地閱讀了全部競(jìng)價(jià)采購(gòu)文件及其附件,包括澄清及參考文件(如果有的話)。我方已完全清晰理解競(jìng)價(jià)文件的要求,不存在任何含糊不清和誤解之處,同意放棄對(duì)這些文件所提出的質(zhì)疑和質(zhì)疑的權(quán)利。
4. (報(bào)價(jià)人名稱) 作為報(bào)價(jià)人正式授權(quán) (授權(quán)代表全名, 職務(wù)) 代表我方全權(quán)處理有關(guān)本報(bào)價(jià)的一切事宜。
5.我方已毫無(wú)保留地向貴方提供一切所需的證明材料。
6.我方承諾在本次報(bào)價(jià)文件中提供的一切文件,無(wú)論是原件還是復(fù)印件均為真實(shí)和準(zhǔn)確的,絕無(wú)任何虛假、偽造和夸大的成份,否則,愿承擔(dān)相應(yīng)的后果和法律責(zé)任。
7.我方如果成交,將保證履行采購(gòu)文件以及采購(gòu)文件修改書(如果有的話)中的全部責(zé)任和義務(wù),按質(zhì)、按量、按期完成《合同書》中的全部任務(wù)。
8.我司成交后,將保證嚴(yán)格按照競(jìng)價(jià)采購(gòu)文件要求提供貨物/服務(wù),保證全部貨物均能按時(shí)供應(yīng),如在成交后出現(xiàn)無(wú)法全部供應(yīng)情況,我司愿無(wú)條件放棄成交資格。
9. 我方如果成交,我司嚴(yán)格保密本項(xiàng)目的成果文件內(nèi)容,如因我司管理不善造成泄密情形的,我司接受采購(gòu)人對(duì)我司的“三年內(nèi)不****集團(tuán)及其下屬單位的非招標(biāo)采購(gòu)活動(dòng)”的處罰。
報(bào)價(jià)人名稱:
地址:
傳真:
電話:
電子郵件:
報(bào)價(jià)人法定代表人(或法定代表人授權(quán)代表):
報(bào)價(jià)人單位名稱:
開戶銀行:
帳號(hào):
日期:
附錄7:
國(guó)家企業(yè)信用信息公式系統(tǒng)網(wǎng)站(www.****.cn)截圖格式
注:報(bào)價(jià)人須按上述格式要求截圖并加蓋公章,截圖清晰顯示報(bào)價(jià)人單位名稱及列入嚴(yán)重違法失信企業(yè)名單(黑名單)信息,
附錄8:
“信用中國(guó)”網(wǎng)站(www.****.cn)截圖格式
注:報(bào)價(jià)人須按上述格式要求截圖并加蓋公章,截圖清晰顯示報(bào)價(jià)人單位名稱及列入黑名單信息。
附錄9:
“中國(guó)執(zhí)行信息公開網(wǎng)”網(wǎng)站截圖
注:報(bào)價(jià)人須按上述格式要求截圖并加蓋公章,截圖清晰顯示報(bào)價(jià)人單位名稱及查詢結(jié)果。
附件十:廉潔承諾書
貨物、服務(wù)類
****:
為了落實(shí)貴單位相關(guān)防范廉潔風(fēng)險(xiǎn),****公司“廉潔控制”的相關(guān)要求,促進(jìn)合同依法依規(guī)履行,我方對(duì)在獲得 項(xiàng)目合同所涉項(xiàng)目作廉潔承諾,具體如下:
一、我方承諾建立健全服務(wù)采購(gòu)、材料采購(gòu)、安全管理等制度;做好公司廉潔宣傳,對(duì)本單位工作人員開展廉潔教育,****公司監(jiān)督檢查。
二、我方承諾將約束我方的工作人員、所使用的的分包隊(duì)伍、協(xié)作隊(duì)伍、材料供應(yīng)商以及其工作人員,或者基于本項(xiàng)目所需要,所使用的直接或間接參與的人員,遵守本廉潔承諾書。
三、我方承諾落實(shí)本單位工作人員廉潔從業(yè)行為規(guī)范:
1.****公司工作人員(含工作人員的配偶、子女及親屬等,下同)行賄,提供回扣、宴請(qǐng)、旅游、娛樂(lè)活動(dòng)或帶有賭博性質(zhì)的活動(dòng)等行為;
2.****公司工作人員購(gòu)置或者無(wú)償提供通訊工具、交通工具、家電、辦公用品等物品;
3.不****公司工作人員就項(xiàng)目工作進(jìn)行私下商談或達(dá)成默契,****公司利益;
4.****公司工作人員提供借****公司****公司工作人員自行承擔(dān)的費(fèi)用;
5.不得有其他任何有可能影響公正廉潔開展項(xiàng)目的活動(dòng)。
四、****公司工作人員及其利益關(guān)系人有以下行為,****公司紀(jì)檢機(jī)構(gòu)或上級(jí)紀(jì)檢機(jī)構(gòu)、司法機(jī)關(guān)舉報(bào)情況:
1.索賄或報(bào)銷任何應(yīng)個(gè)人支付的費(fèi)用。
2.要求、暗示或接受為其住房裝修、婚喪嫁娶活動(dòng)、配偶子女安排工作以及出國(guó)出境、旅游等提供方便。
3.在本單位及其他關(guān)聯(lián)單位兼職、掛靠或從事與合同有關(guān)的材料設(shè)備供應(yīng)、項(xiàng)目分包、轉(zhuǎn)包、勞務(wù)、有償中介等經(jīng)濟(jì)活動(dòng),或有參與項(xiàng)目供貨、服務(wù)。
4.其他違法違紀(jì)行為。
五、我方如有違反上述承諾的行為,我方愿接受相應(yīng)處罰,并在三年內(nèi)不得承****集團(tuán)有限公司及各下屬單位所轄范圍采購(gòu)項(xiàng)目。
六、雙方紀(jì)檢機(jī)構(gòu)應(yīng)互相**,建立聯(lián)絡(luò)方式加強(qiáng)溝通交流,對(duì)承諾事項(xiàng)開展聯(lián)合檢查。
承諾單位(蓋單位公章):
法定代表人或其委托代理人(簽名或蓋章):
廉潔工作聯(lián)系人(簽名或蓋章):
廉潔工作聯(lián)系人電話:
年 月 日
第五部分 合同條款
單位名稱:****
合同編號(hào):
合同書
項(xiàng)目名稱: **機(jī)場(chǎng)官網(wǎng)、機(jī)場(chǎng)通系統(tǒng)滲透測(cè)試
服務(wù)項(xiàng)目
合同編號(hào):
委托單位: ****
受托單位:
簽訂日期:
委托方(甲方): ****
項(xiàng)目聯(lián)系人: 曾嘉俊
通訊地址: **市**機(jī)場(chǎng)東南****派出所507
電話: 020-****6142
電子信箱: ****@gdairport.com
受托方(乙方):
項(xiàng)目聯(lián)系人:
通訊地址:
電話:
電子信箱:
根據(jù)《中華人民**國(guó)民法典》等相關(guān)法律法規(guī),甲乙雙方在平等協(xié)商,真實(shí)、充分地表達(dá)各自意愿的基礎(chǔ)上,就“**機(jī)場(chǎng)官網(wǎng)、機(jī)場(chǎng)通系統(tǒng)滲透測(cè)試服務(wù)項(xiàng)目”提供的服務(wù)內(nèi)容,雙方經(jīng)過(guò)平等協(xié)商,達(dá)成如下協(xié)議,并由雙方共同恪守。
一、服務(wù)內(nèi)容
本項(xiàng)目服務(wù)對(duì)象為**** **機(jī)場(chǎng)官方網(wǎng)站系統(tǒng)和機(jī)場(chǎng)通系統(tǒng) ,每次滲透測(cè)試服務(wù)包括但不限于以下對(duì)象:
序號(hào) | 系統(tǒng)名稱 | 備注 | url |
1 | **機(jī)場(chǎng)官網(wǎng) | 前端 | |
后臺(tái) | |
H5 | |
APP(含IOS端和安卓端) | |
蜜罐系統(tǒng) | |
旅客托運(yùn)行李綜合查詢系統(tǒng) | |
備份系統(tǒng) | |
2 | **機(jī)場(chǎng)機(jī)場(chǎng)通 | 前端+5個(gè)小機(jī)場(chǎng) | |
機(jī)場(chǎng)通|查航班辦值機(jī)安檢找服務(wù)小程序 | |
機(jī)場(chǎng)通|會(huì)員積分權(quán)益精彩活動(dòng)小程序 | |
APP(含IOS端和安卓端) | |
監(jiān)控保障系統(tǒng) | |
網(wǎng)易地圖 | |
機(jī)場(chǎng)地圖小程序 | |
客運(yùn)系統(tǒng)(小程序+PC后臺(tái)) | |
(一)具體服務(wù)內(nèi)容如下:
1、在服務(wù)期間內(nèi),按需按要求按授權(quán)對(duì)業(yè)務(wù)系統(tǒng)開展4次滲透測(cè)試任務(wù)(原則上一個(gè)季度進(jìn)行一次),發(fā)現(xiàn)可能存在的安全風(fēng)險(xiǎn)漏洞,提供詳細(xì)的修復(fù)建議,協(xié)助完**全漏洞的修復(fù),提升業(yè)務(wù)系統(tǒng)抗風(fēng)險(xiǎn)能力;
2、滲透測(cè)試人員應(yīng)在授權(quán)范圍內(nèi)進(jìn)行全面細(xì)致的安全性測(cè)試,自行開展信息收集,利用滲透性測(cè)試、應(yīng)用系統(tǒng)攻擊、網(wǎng)絡(luò)攻擊等手段(不含拒絕服務(wù)類等惡意攻擊方式),發(fā)現(xiàn)應(yīng)用系統(tǒng)及各類互聯(lián)網(wǎng)暴露資產(chǎn)(含IP、域名、端口、服務(wù)、操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)、APP、小程序及調(diào)用關(guān)系、第三方模塊插件等)的安全漏洞,核實(shí)漏洞真實(shí)性,記錄攻擊過(guò)程,并報(bào)告漏洞情況;
3、每次服務(wù)完成后,需在三日內(nèi)提交完整的滲透測(cè)試報(bào)告,詳細(xì)說(shuō)明滲透發(fā)現(xiàn)的漏洞切入點(diǎn),滲透過(guò)程和修復(fù)方式等,并協(xié)助、指導(dǎo)甲方進(jìn)行滲透發(fā)現(xiàn)漏洞的重現(xiàn);待修復(fù)完成后,滲透測(cè)試人員對(duì)修復(fù)的成果進(jìn)行檢驗(yàn)復(fù)查,確保修復(fù)結(jié)果的有效性;
4、工作輸出:《XX系統(tǒng)滲透測(cè)試報(bào)告》、《XX系統(tǒng)滲透測(cè)試復(fù)查報(bào)告》;
(二)具體服務(wù)要求:
滲透測(cè)試人員模擬真正的入侵者對(duì)受測(cè)目標(biāo)進(jìn)行入侵攻擊,滲透過(guò)程以人工滲透為主,輔助以攻擊工具的使用,以保證整個(gè)滲透測(cè)試過(guò)程都在可以控制和調(diào)整的范圍之內(nèi),同時(shí)確保對(duì)網(wǎng)絡(luò)沒(méi)有造成破壞性的損害,不會(huì)對(duì)相關(guān)的信息系統(tǒng)造成嚴(yán)重的影響。滲透測(cè)試可以在內(nèi)網(wǎng)或外網(wǎng)進(jìn)行測(cè)試,滲透測(cè)試人員的所有測(cè)試行為均收到甲方的授權(quán)后才能開展。
通過(guò)滲透測(cè)試、安全檢查等方式,深入發(fā)現(xiàn)甲方業(yè)務(wù)系統(tǒng)存在的安全隱患。專項(xiàng)滲透測(cè)試的要點(diǎn)如下:
1. 高水平的滲透測(cè)試技術(shù)人員。需要提供高水平的滲透測(cè)試人員,對(duì)甲方的內(nèi)外網(wǎng)業(yè)務(wù)系統(tǒng)進(jìn)行深入的安全檢查,才能保證消除各類應(yīng)用漏洞,防止被其它安全監(jiān)管機(jī)構(gòu)發(fā)現(xiàn)問(wèn)題。
2. 高頻率的滲透測(cè)試。由于新漏洞的出現(xiàn)和攻擊技術(shù)的不斷提升,需要周期性的進(jìn)行滲透測(cè)試工作,才能保證業(yè)務(wù)系統(tǒng)的持續(xù)安全。
3. 入網(wǎng)安全測(cè)試:通過(guò)漏洞掃描、配置核查、滲透測(cè)試等技術(shù)手段,查找**系統(tǒng)的漏洞,并協(xié)助管理人員修補(bǔ)漏洞,達(dá)到安全運(yùn)行標(biāo)準(zhǔn)。
4. 滲透測(cè)試的測(cè)試方法和內(nèi)容包括但不限于以下安全測(cè)試項(xiàng):
序號(hào) | 漏洞名稱 | 是否測(cè)試 | 漏洞風(fēng)險(xiǎn)等級(jí) | 有無(wú)漏洞 |
1 | 操作系統(tǒng)相關(guān)漏洞 | 是 | 高 | |
2 | 數(shù)據(jù)庫(kù)相關(guān)漏洞 | 是 | 高 | |
3 | 整站系統(tǒng)相關(guān)漏洞 | 是 | 高 | |
4 | 中間件相關(guān)漏洞 | 是 | 高 | |
5 | 框架漏洞 | 是 | 高 | |
應(yīng)用系統(tǒng)漏洞 |
信息泄漏類漏洞 |
6 | 敏感文件信息泄漏 | 是 | 高 | |
7 | 報(bào)錯(cuò)頁(yè)面敏感信息泄漏 | 是 | 低/高 | |
8 | 物理路徑泄漏 | 是 | 低 | |
9 | 入侵痕跡遺留 | 是 | 高 | |
10 | 目錄遍歷 | 是 | 中/高 | |
11 | 參數(shù)溢出 | 是 | 高 | |
12 | 任意文件下載 | 是 | 高 | |
認(rèn)證類漏洞 |
13 | 認(rèn)證信息明文傳輸 | 是 | 低 | |
14 | 弱口令/空口令 | 是 | 高 | |
15 | 用戶名枚舉 | 是 | 低 | |
16 | 暴力破解 | 是 | 中 | |
17 | 認(rèn)證繞過(guò) | 是 | 低/高 | |
18 | 身份標(biāo)識(shí)缺陷 | 是 | 高 | |
19 | 多點(diǎn)認(rèn)證缺陷 | 是 | 中/高 | |
20 | 會(huì)話固定 | 是 | 中 | |
業(yè)務(wù)邏輯類漏洞 |
21 | 支付邏輯 | 是 | 高 | |
22 | 業(yè)務(wù)邏輯跳躍 | 是 | 高 | |
23 | 短信/郵件炸彈 | 是 | 高 | |
業(yè)務(wù)功能類漏洞 |
24 | 業(yè)務(wù)接口調(diào)用缺陷 | 是 | 中/高 | |
25 | 密碼修改/重置流程跨越 | 是 | 高 | |
26 | IMAP/SMTP注入 | 是 | 高 | |
27 | 開啟危險(xiǎn)接口 | 是 | 中/高 | |
28 | 未驗(yàn)證的URL跳轉(zhuǎn) | 是 | 高 | |
29 | 服務(wù)器請(qǐng)求偽造 | 是 | 中/高 | |
30 | 短信內(nèi)容可控 | 是 | 中/高 | |
31 | 郵件內(nèi)容可控 | 是 | 中/高 | |
32 | 請(qǐng)求重放攻擊 | 是 | 高 | |
33 | 批量提交 | 是 | 低/高 | |
防護(hù)功能類漏洞 |
34 | 賬號(hào)弱鎖定機(jī)制 | 是 | 低 | |
35 | 短信驗(yàn)證碼失效 | 是 | 中 | |
36 | 短信驗(yàn)證碼可爆破 | 是 | 中 | |
37 | 會(huì)話重用 | 是 | 高 | |
授權(quán)類漏洞 |
38 | 未授權(quán)訪問(wèn) | 是 | 高 | |
39 | SSO認(rèn)證缺陷 | 是 | 高 | |
40 | 越權(quán) | 是 | 高 | |
41 | Cookie偽造 | 是 | 高 | |
42 | 會(huì)話變量可控 | 是 | 中 | |
43 | 跨站請(qǐng)求偽造 | 是 | 中/高 | |
綜合利用類漏洞 |
44 | 跨站腳本攻擊 | 是 | 中/高 | |
45 | Host頭攻擊 | 是 | 中 | |
46 | SQL注入 | 是 | 高 | |
47 | XML注入 | 是 | 高 | |
48 | XXE | 是 | 高 | |
49 | Xpath注入 | 是 | 高 | |
50 | SSI注入 | 是 | 高 | |
51 | 命令注入 | 是 | 高 | |
52 | 文件上傳 | 是 | 高 | |
53 | 反序列化漏洞 | 是 | 高 | |
二、合同價(jià)格
序號(hào) | 項(xiàng)目 | 合同價(jià)款/萬(wàn) |
1 | | |
2 | | |
3 | | |
合計(jì) | |
服務(wù)費(fèi)總額為(大寫):人民幣 元整(¥ 元),含稅費(fèi),稅率 %,不含稅金額為 元。包括人工、交通、差旅(**地區(qū))、食宿、稅費(fèi)。
三、付款方式
(一)甲方按下列程序付款:
雙方約定,本合同項(xiàng)目共四次服務(wù),項(xiàng)目費(fèi)用分兩期支付,每完成兩次服務(wù)支付一次;按合同期內(nèi),每完成一次服務(wù),出具《XX系統(tǒng)第X次滲透測(cè)試報(bào)告》、《XX系統(tǒng)第X次滲透測(cè)試復(fù)查報(bào)告》后進(jìn)行考核評(píng)分,最終付款按每?jī)纱畏?wù)的考核評(píng)分的平均分而定;通過(guò)銀行轉(zhuǎn)帳方式進(jìn)行支付:每完成兩次服務(wù)后按合同總價(jià)的二分之一,并四舍五入取整到元進(jìn)行支付,即人民幣:¥ 元整(人民幣大寫: 元整)(含稅,稅率6%);
付款時(shí)間:每完成兩次服務(wù)后付一期的款,在乙方向甲方核實(shí)、確定考核后的金額(甲方根據(jù)兩次考核的評(píng)分取平均值作為本期付款的考核評(píng)分,甲方再根據(jù)本合同第五條確定本次考核后金額)后,并按甲方收到乙方開具的增值稅專用發(fā)票并驗(yàn)證無(wú)誤后20個(gè)工作日內(nèi)付款;乙方未開具發(fā)票的,甲方有權(quán)拒付款并不視為違約,乙方應(yīng)按照約定繼續(xù)履行義務(wù);每期付款須乙方提前通知甲方。國(guó)家稅率政策變動(dòng)的,總價(jià)應(yīng)相應(yīng)調(diào)整,合同不含稅金額保持不變(不含稅金額為人民幣¥ 元整),稅額根據(jù)相關(guān)稅收政策進(jìn)行調(diào)整。(二)付款方式:采用銀行轉(zhuǎn)賬(含電匯)形式。
(三)乙方的財(cái)務(wù)信息如下:
收款單位:
開戶行:
帳號(hào):
(四)甲方開票信息如下:
甲方開票信息:
公司名稱:****
稅號(hào):914********0669553
開戶行賬號(hào):101********0003163
地址:**市**國(guó)際機(jī)場(chǎng)南工作區(qū)自編一號(hào)
電話:020-****6142
四、項(xiàng)目驗(yàn)收
(一)驗(yàn)收材料:《XX系統(tǒng)第X次滲透測(cè)試報(bào)告》、《XX系統(tǒng)第X次滲透測(cè)試復(fù)查報(bào)告》、《第X次滲透測(cè)試考核評(píng)分表》。
(二)驗(yàn)收方式:由甲方簽收驗(yàn)收材料。
(三)驗(yàn)收時(shí)間:甲方應(yīng)在收到乙方提交的報(bào)告后10日內(nèi)完成驗(yàn)收并向乙方出具驗(yàn)收證明,如因甲方原因未在約定的期限內(nèi)驗(yàn)收并出具驗(yàn)收證明的,視為驗(yàn)收合格。
五、合同履行情況考核
1. 每完成一次服務(wù),出具《XX系統(tǒng)第X次滲透測(cè)試報(bào)告》、《XX系統(tǒng)第X次滲透測(cè)試復(fù)查報(bào)告》后,甲方會(huì)對(duì)乙方服務(wù)情況進(jìn)行評(píng)價(jià)打分,每?jī)纱畏?wù)的考核評(píng)分的平均分作為打分結(jié)果,打分結(jié)果將影響本期實(shí)付金額(**第一期付款,取第一次和第二次服務(wù)考核評(píng)分的平均分作為本期的考核得分):
本期實(shí)付金額=考核系數(shù)*本期應(yīng)付金額,考核系數(shù)確定:得分≧90,考核系數(shù)=1;得分<90,考核系數(shù)=考核得分/100。
服務(wù)評(píng)價(jià)項(xiàng)目有:技術(shù)能力、服務(wù)質(zhì)量、安全性、客戶服務(wù)、創(chuàng)新性、團(tuán)隊(duì)協(xié)作、持續(xù)改進(jìn)、安全檢測(cè)項(xiàng)總分8個(gè)項(xiàng)目,總分100分,具體評(píng)分方法,按照合同附件;
2.累計(jì)2次考核得分<60,視為乙方考核不達(dá)標(biāo),甲方有權(quán)解除合同,且由此造成的損失由乙方負(fù)責(zé)。
六、雙方的權(quán)利和義務(wù)
(一)甲方的權(quán)利和義務(wù)
1.確定本項(xiàng)目中各項(xiàng)服務(wù)的具體內(nèi)容。
2.甲方應(yīng)在合同簽訂后三個(gè)工作日內(nèi),向乙方提供進(jìn)行本項(xiàng)目技術(shù)服務(wù)活動(dòng)范圍內(nèi)的相關(guān)文檔、技術(shù)資料等。
3.甲方須向乙方提供相關(guān)人員詢問(wèn)的便利,并提供專人配合:
聯(lián)系人:曾嘉俊 ,聯(lián)系方式:020-****6142
4.在合同服務(wù)期限內(nèi),甲方可以各種形式就乙方提供的服務(wù)向乙方提出合理的建議,乙方應(yīng)認(rèn)真聽取并及時(shí)糾正其服務(wù)中存在的問(wèn)題。
5.在乙方交付技術(shù)成果,并經(jīng)甲方驗(yàn)收合格的前提下,甲方無(wú)法定或約定事由應(yīng)按本合同約定的付款時(shí)間及付款方式付款。
6.甲方應(yīng)協(xié)調(diào)系統(tǒng)建設(shè)單位及時(shí)完成系統(tǒng)整改和加固工作,保障項(xiàng)目進(jìn)度和質(zhì)量。
(二)乙方的權(quán)利和義務(wù)
1.乙方提供本合同約定的技術(shù)服務(wù)。
2.乙方提交本項(xiàng)目所要求的各類文檔文件。
3.乙方應(yīng)配備經(jīng)具備本項(xiàng)目實(shí)施服務(wù)技能和資質(zhì)的技術(shù)人員負(fù)責(zé)本項(xiàng)目的實(shí)施,并保證人員的穩(wěn)定性、專業(yè)性。
4.除甲方事先書面同意外,乙方不得部分或全部轉(zhuǎn)讓其應(yīng)履行的合同項(xiàng)下的義務(wù)。
5.乙方不得將甲方提供的紙質(zhì)、電子文檔及其他相關(guān)資料泄露給其他單位或個(gè)人。
6.乙方需協(xié)助、指導(dǎo)甲方進(jìn)行滲透發(fā)現(xiàn)漏洞的重現(xiàn)。
7.在甲方完成整改工作后,乙方提供復(fù)測(cè),直至漏洞完成整改為止。
8.在滲透測(cè)試服務(wù)期間,如果出現(xiàn)國(guó)家政策變化,標(biāo)準(zhǔn)體系變化等重大變更時(shí),乙方有權(quán)按照最新的政策和標(biāo)準(zhǔn)進(jìn)行適當(dāng)?shù)淖兏?/p>
七、知識(shí)產(chǎn)權(quán)
(一)本項(xiàng)目實(shí)施中所產(chǎn)生的工作成果(包括但不限于發(fā)明、發(fā)現(xiàn)及相關(guān)技術(shù)資料、文檔等)的知識(shí)產(chǎn)權(quán)歸甲方所有,未經(jīng)甲方書面同意,乙方不得擅自使用和轉(zhuǎn)讓。
(二)乙方保證所提供的技術(shù)服務(wù)無(wú)侵害任何第三方的知識(shí)產(chǎn)權(quán)或其他合法權(quán)益。如有第三方指控乙方提供給甲方的服務(wù)侵犯了該方的知識(shí)產(chǎn)權(quán)或其他權(quán)利,乙方應(yīng)自費(fèi)就上述指控為甲方辯護(hù)或進(jìn)行妥善處理,并承擔(dān)給甲方及第三方造成的一切損失(包括但不限于賠償金、律師費(fèi)等)。
八、秘密保守
(一)合同雙方在訂立及履行合同過(guò)程中知悉的對(duì)方商業(yè)秘密等資料,無(wú)論合同是否成立,不得泄密或不正當(dāng)使用。泄密或不正當(dāng)使用對(duì)方商業(yè)秘密給對(duì)方造成損失的,泄密方應(yīng)當(dāng)承擔(dān)賠償責(zé)任。
(二)合同雙方的保密義務(wù)不因本合同的解除或終止而免除。未經(jīng)對(duì)方書面同意,任何一方不得以任何形式公開本合同。
(三)甲乙雙方同意不向任何第三方披露在本合同執(zhí)行過(guò)程中產(chǎn)生的項(xiàng)目相關(guān)信息,同意賠償因自身違反保密責(zé)任給對(duì)方造成的實(shí)際經(jīng)濟(jì)損失。
九、違約責(zé)任
(一)本合同任何一方無(wú)法定或約定事由提前解除合同的,應(yīng)向?qū)Ψ街Ц哆`約金。違約金金額相當(dāng)于合同總金額的 20% 。由于解除本合同給對(duì)方造成的經(jīng)濟(jì)損失的,違約方還應(yīng)給予賠償。
(二)甲方應(yīng)按照本合同約定的期限足額向乙方支付款項(xiàng),未按期足額支付款項(xiàng)的,每遲延一天,甲方應(yīng)按合同金額的0.5‰向乙方支付遲延履行違約金。逾期超過(guò) 30日的,乙方有權(quán)單方解除合同,甲方除了應(yīng)向乙方支付已經(jīng)完成部分成果對(duì)應(yīng)的款項(xiàng)外,還應(yīng)向乙方支付合同總金額20%的違約金。
(三)乙方無(wú)法定或約定事由逾期交付工作成果的,每遲延一天,應(yīng)向甲方支付合同金額的0.5‰違約金,逾期30天以上的,甲方有權(quán)解除本合同,乙方退還所收款項(xiàng)并支付合同總金額20%的違約金。
十、爭(zhēng)議的解決
如因本合同發(fā)生爭(zhēng)議,雙方應(yīng)**協(xié)商解決,協(xié)商不成的,任何一方均有****人民法院提起訴訟。
十一、不可抗力
任何一方由于不可抗力原因不能履行合同時(shí),應(yīng)在不可抗力事件發(fā)生后2日內(nèi)向?qū)Ψ酵▓?bào)(如無(wú)法實(shí)施,則在具備條件后的2日內(nèi)向?qū)Ψ酵▓?bào)),并在不可抗力事件結(jié)束后7個(gè)工作日內(nèi),向?qū)Ψ皆敿?xì)書面報(bào)告,并附上有關(guān)部門出具的關(guān)于不可抗力事件的證明材料。以減輕可能給對(duì)方造成的損失,在取得有關(guān)機(jī)構(gòu)的不可抗力證明或雙方諒解確認(rèn)后,允許延期履行或修訂合同,并根據(jù)情況可部分或全部免于承擔(dān)違約責(zé)任。
十二、稅費(fèi)
在中國(guó)境內(nèi)、外發(fā)生的與本合同執(zhí)行有關(guān)的一切稅費(fèi)均由乙方負(fù)擔(dān)。
十三、合同生效
(一)本合同經(jīng)雙方代表簽字及單位蓋章后生效。
(二)本合同在雙方的權(quán)利、義務(wù)履行完畢后終止。
(三)本合同的修改應(yīng)以雙方蓋章的書面文件為準(zhǔn)。
(四)根據(jù)本合同約定,本合同一方需向另一方發(fā)出的全部通知和要求以及雙方的文件往來(lái)等,必須采用書面形式。
(五)本合同任何一方通訊地址變更,應(yīng)自變更之日起十日內(nèi),以書面形式通知對(duì)方;因未通知而引起的相關(guān)責(zé)任由地址變更方承擔(dān)。
(六)本合同的合同正文,代表了合同雙方的完整協(xié)議。除了合同中所明確陳述之外,任何其它陳述、理解都不包含在本合同內(nèi)。任何一方都不對(duì)超出本合同中所明確規(guī)定的條件條款、定義、保證、理解或陳述承擔(dān)責(zé)任。
(七)在執(zhí)行本合同過(guò)程中,所有經(jīng)雙方蓋章確認(rèn)的文件(包括會(huì)議紀(jì)要、補(bǔ)充協(xié)議、往來(lái)信函等)即成為本合同的有效組成部分。
(八)本合同一式肆份,甲方執(zhí)貳份,乙方執(zhí)貳份,具有同等法律效力。
附件:1.**機(jī)場(chǎng)官網(wǎng)、機(jī)場(chǎng)通系統(tǒng)滲透測(cè)試服務(wù)項(xiàng)目需求書
2.信息安全協(xié)議
3. ****國(guó)際機(jī)場(chǎng)廉潔協(xié)議
4. 滲透測(cè)試考核評(píng)分表
甲方(蓋章):**** | 乙方(蓋章): |
代表(簽字): | 代表(簽字): |
簽訂地點(diǎn):**市 | 簽訂地點(diǎn):**市 |
簽訂日期: 2024 年 月 日 | 簽訂日期: 2024 年 月 日 |
附件一:
**機(jī)場(chǎng)官網(wǎng)、機(jī)場(chǎng)通系統(tǒng)滲透測(cè)試
服務(wù)項(xiàng)目需求書
一、項(xiàng)目概述
隨著互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)安全問(wèn)題日益突出,網(wǎng)絡(luò)攻擊與安全威脅的不斷增多,對(duì)**機(jī)場(chǎng)官網(wǎng)和機(jī)場(chǎng)通系統(tǒng)的安全性提出了更高的要求。為了確保**機(jī)場(chǎng)官網(wǎng)及機(jī)場(chǎng)通系統(tǒng)的網(wǎng)絡(luò)安全,防范潛在的網(wǎng)絡(luò)威脅,機(jī)場(chǎng)通項(xiàng)目管理專班計(jì)劃采購(gòu)專業(yè)的滲透測(cè)試服務(wù),通過(guò)模擬黑客攻擊來(lái)發(fā)現(xiàn)系統(tǒng)中的漏洞和弱點(diǎn),進(jìn)而使我們的系統(tǒng)相對(duì)更加安全。
二、實(shí)施標(biāo)準(zhǔn)和原則
(一)實(shí)施標(biāo)準(zhǔn)
透測(cè)試服務(wù)需參考下列國(guó)內(nèi)、國(guó)際與滲透測(cè)試有關(guān)的標(biāo)準(zhǔn)進(jìn)行工作。
國(guó)內(nèi)可參考的標(biāo)準(zhǔn)、指南或規(guī)范
u ISO/IEC 27001:2005信息技術(shù)-安全技術(shù)-信息系統(tǒng)規(guī)范與使用指南
u ISO/IEC 13335-1: 2004 信息技術(shù)-安全技術(shù)-信息技術(shù)安全管理指南
u ISO/IEC TR 15443-1: 2005 信息技術(shù)安全保障框架
u ISO/IEC PDTR 19791: 2004 信息技術(shù) 安全技術(shù) 運(yùn)行系統(tǒng)安全評(píng)估
u GB/T 20984-2007信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范
u GB/T 19715.1-2005 信息技術(shù)-信息技術(shù)安全管理指南
u GB/T 19716-2005 信息技術(shù)-信息安全管理實(shí)用規(guī)則
u GB/T 18336-2001 信息技術(shù)-安全技術(shù)-信息技術(shù)安全性評(píng)估準(zhǔn)則
u GB/T17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則
u GB/T 20984-2007信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范
u GB/T 20988-2007信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范
u GB/Z 20986-2007信息安全事件分類分級(jí)指南
u ……
國(guó)際可參考的標(biāo)準(zhǔn)、指南或規(guī)范
u 信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)(ISACA)G3 利用計(jì)算機(jī)輔助審計(jì)技術(shù)
u 信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)(ISACA)G7 應(yīng)有的職業(yè)謹(jǐn)慎
u 信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)(ISACA)G9 不正當(dāng)行為的審計(jì)考慮
u 信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)(ISACA)G18 信息系統(tǒng)管理
u 信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)(ISACA)G19 不正當(dāng)及非法行為
u 信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)(ISACA)G33 對(duì)網(wǎng)絡(luò)使用的總體考慮
u CESG (CHECK) IT Health Check方法
u OWASP OWASP_Testing_Guide_v3
u OWASP OWASP_Development_Guide_2005
u OWASP OWASP_Top_10_2010_Chinese_V1.0
u OSSTMM OSSTMM_Web_App_Alpha
u Web****委員會(huì)(WASC)WASC Threat Classification v2
(二)滲透測(cè)試服務(wù)原則
乙方需在提供滲透測(cè)試服務(wù)中,遵循以下原則:
u 保密性原則
滲透測(cè)試的保密范圍,包括實(shí)施過(guò)程的保密性和輸出成果的保密性。對(duì)服務(wù)過(guò)程中獲知的任何甲方系統(tǒng)信息均屬秘密信息,不得泄露給第三方單位或個(gè)人,不得利用這些信息進(jìn)行任何侵害甲方的行為;對(duì)服務(wù)的報(bào)告提交不得擴(kuò)散給未經(jīng)授權(quán)的第三方單位或個(gè)人。
u 標(biāo)準(zhǔn)性原則
乙方的滲透測(cè)試服務(wù)將在國(guó)家法律、法規(guī)允許的范圍內(nèi)進(jìn)行,特別是遵照并履行《中華人民**國(guó)人民警察法》第六條第十二款、《**人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》、《刑法》第二百八十五條、第二百八十六條等相關(guān)規(guī)定等。
遵守國(guó)內(nèi)、國(guó)際與滲透測(cè)試有關(guān)的標(biāo)準(zhǔn)進(jìn)行工作。同時(shí)在道德方面,也需嚴(yán)格遵守業(yè)界普遍認(rèn)同的《計(jì)算機(jī)道德10個(gè)戒律》、《信息安全職業(yè)道德規(guī)范》、以及《網(wǎng)絡(luò)道德的基本原則》。
u 規(guī)范性原則
滲透測(cè)試服務(wù)的實(shí)施必須由專業(yè)的安全服務(wù)人員依照規(guī)范的操作流程進(jìn)行,對(duì)操作過(guò)程和結(jié)果要有相應(yīng)的記錄,提供完整的服務(wù)報(bào)告。
u 可控性原則
可控性原則就是滲透測(cè)試服務(wù)中對(duì)被測(cè)試系統(tǒng)造成的可能的各種影響要能夠控制得住,既要全面測(cè)試,又不能影響生產(chǎn),服務(wù)的工具、方法和過(guò)程要在雙方認(rèn)可的范圍之內(nèi),服務(wù)的過(guò)程中,避免出現(xiàn)被測(cè)試系統(tǒng)運(yùn)行不穩(wěn)定,影響生產(chǎn)運(yùn)行的情況。
u 整體性原則
整體性原則是系統(tǒng)思維方法的一條基本原則。整體原則認(rèn)為,世界上任何一個(gè)有機(jī)整體系統(tǒng),不但內(nèi)部各組成要素之間是相互聯(lián)系的,而且系統(tǒng)與外部環(huán)境之間也是有機(jī)聯(lián)系的。在處理與解決問(wèn)題時(shí),應(yīng)當(dāng)從整體出發(fā),從分析整體內(nèi)部各組成部分的關(guān)系以及整體與外部環(huán)境之間的關(guān)系入手,去揭示與掌握其整體性質(zhì)。在原則指導(dǎo)下的滲透測(cè)試服務(wù),強(qiáng)調(diào)以綜合為基礎(chǔ),在綜合的控制與指導(dǎo)下,分析發(fā)現(xiàn)的安全問(wèn)題,對(duì)分析結(jié)果進(jìn)行恰當(dāng)?shù)木C合。
u 最小影響原則
滲透測(cè)試服務(wù)工作應(yīng)盡可能小的影響被測(cè)試系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行,不能對(duì)現(xiàn)有系統(tǒng)、網(wǎng)絡(luò)的運(yùn)行和業(yè)務(wù)的正常運(yùn)行產(chǎn)生顯著影響。
三、項(xiàng)目?jī)?nèi)容
(一)滲透測(cè)試對(duì)象,每次滲透測(cè)試服務(wù)包括但不限于以下對(duì)象:
序號(hào) | 系統(tǒng)名稱 | 備注 |
1 | **機(jī)場(chǎng)官網(wǎng) | 前端 |
后臺(tái) |
H5 |
APP(含IOS端和安卓端) |
蜜罐系統(tǒng) |
旅客托運(yùn)行李綜合查詢系統(tǒng) |
備份系統(tǒng) |
2 | **機(jī)場(chǎng)機(jī)場(chǎng)通 | 前端+5個(gè)小機(jī)場(chǎng) |
機(jī)場(chǎng)通|查航班辦值機(jī)安檢找服務(wù)小程序 |
機(jī)場(chǎng)通|會(huì)員積分權(quán)益精彩活動(dòng)小程序 |
APP(含IOS端和安卓端) |
監(jiān)控保障系統(tǒng) |
網(wǎng)易地圖 |
機(jī)場(chǎng)地圖小程序 |
客運(yùn)系統(tǒng)(小程序+PC后臺(tái)) |
(二)服務(wù)內(nèi)容
1. 在服務(wù)期間內(nèi),按需按要求對(duì)業(yè)務(wù)系統(tǒng)開展4次滲透測(cè)試任務(wù)(原則上一個(gè)季度進(jìn)行一次),發(fā)現(xiàn)可能存在的安全風(fēng)險(xiǎn)漏洞,提供詳細(xì)的修復(fù)建議,協(xié)助完**全漏洞的修復(fù),提升業(yè)務(wù)系統(tǒng)抗風(fēng)險(xiǎn)能力;
2.滲透測(cè)試人員應(yīng)在授權(quán)范圍內(nèi)進(jìn)行全面細(xì)致的安全性測(cè)試,自行開展信息收集,利用滲透性測(cè)試、應(yīng)用系統(tǒng)攻擊、網(wǎng)絡(luò)攻擊等手段(不含拒絕服務(wù)類等惡意攻擊方式),發(fā)現(xiàn)應(yīng)用系統(tǒng)及各類互聯(lián)網(wǎng)暴露資產(chǎn)(含IP、域名、端口、服務(wù)、操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)、APP、小程序及調(diào)用關(guān)系、第三方模塊插件等)的安全漏洞,核實(shí)漏洞真實(shí)性,記錄攻擊過(guò)程,并報(bào)告漏洞情況。
3.每次服務(wù)完成后,需在三日內(nèi)提交完整的滲透測(cè)試報(bào)告,詳細(xì)說(shuō)明滲透發(fā)現(xiàn)的漏洞切入點(diǎn),滲透過(guò)程和修復(fù)方式等,并協(xié)助、指導(dǎo)甲方進(jìn)行滲透發(fā)現(xiàn)漏洞的重現(xiàn);待修復(fù)完成后,滲透測(cè)試人員對(duì)修復(fù)的成果進(jìn)行檢驗(yàn)復(fù)查,確保修復(fù)結(jié)果的有效性。
4.工作輸出:《XX系統(tǒng)滲透測(cè)試報(bào)告》、《XX系統(tǒng)滲透測(cè)試復(fù)查報(bào)告》。
(三)服務(wù)要求
滲透測(cè)試人員模擬真正的入侵者對(duì)受測(cè)目標(biāo)進(jìn)行入侵攻擊,滲透過(guò)程以人工滲透為主,輔助以攻擊工具的使用,以保證整個(gè)滲透測(cè)試過(guò)程都在可以控制和調(diào)整的范圍之內(nèi),同時(shí)確保對(duì)網(wǎng)絡(luò)沒(méi)有造成破壞性的損害,不會(huì)對(duì)相關(guān)的信息系統(tǒng)造成嚴(yán)重的影響。滲透測(cè)試可以在內(nèi)網(wǎng)或外網(wǎng)進(jìn)行測(cè)試。
通過(guò)滲透測(cè)試、安全檢查等方式,深入發(fā)現(xiàn)甲方業(yè)務(wù)系統(tǒng)存在的安全隱患。專項(xiàng)滲透測(cè)試的要點(diǎn)如下:
1. 高水平的滲透測(cè)試技術(shù)人員。需要提供高水平的滲透測(cè)試人員,對(duì)甲方的內(nèi)外網(wǎng)業(yè)務(wù)系統(tǒng)進(jìn)行深入的安全檢查,才能保證消除各類應(yīng)用漏洞,防止被其它安全監(jiān)管機(jī)構(gòu)發(fā)現(xiàn)問(wèn)題。
2. 高頻率的滲透測(cè)試。由于新漏洞的出現(xiàn)和攻擊技術(shù)的不斷提升,需要周期性的進(jìn)行滲透測(cè)試工作,才能保證業(yè)務(wù)系統(tǒng)的持續(xù)安全。
3. 入網(wǎng)安全測(cè)試:通過(guò)漏洞掃描、配置核查、滲透測(cè)試等技術(shù)手段,查找**系統(tǒng)的漏洞,并協(xié)助管理人員修補(bǔ)漏洞,達(dá)到安全運(yùn)行標(biāo)準(zhǔn)。
4. 滲透測(cè)試的測(cè)試方法和內(nèi)容包括但不限于以下安全測(cè)試項(xiàng):
序號(hào) | 漏洞名稱 | 是否測(cè)試 | 漏洞風(fēng)險(xiǎn)等級(jí) | 有無(wú)漏洞 |
1 | 操作系統(tǒng)相關(guān)漏洞 | 是 | 高 | |
2 | 數(shù)據(jù)庫(kù)相關(guān)漏洞 | 是 | 高 | |
3 | 整站系統(tǒng)相關(guān)漏洞 | 是 | 高 | |
4 | 中間件相關(guān)漏洞 | 是 | 高 | |
5 | 框架漏洞 | 是 | 高 | |
應(yīng)用系統(tǒng)漏洞 |
信息泄漏類漏洞 |
6 | 敏感文件信息泄漏 | 是 | 高 | |
7 | 報(bào)錯(cuò)頁(yè)面敏感信息泄漏 | 是 | 低/高 | |
8 | 物理路徑泄漏 | 是 | 低 | |
9 | 入侵痕跡遺留 | 是 | 高 | |
10 | 目錄遍歷 | 是 | 中/高 | |
11 | 參數(shù)溢出 | 是 | 高 | |
12 | 任意文件下載 | 是 | 高 | |
認(rèn)證類漏洞 |
13 | 認(rèn)證信息明文傳輸 | 是 | 低 | |
14 | 弱口令/空口令 | 是 | 高 | |
15 | 用戶名枚舉 | 是 | 低 | |
16 | 暴力破解 | 是 | 中 | |
17 | 認(rèn)證繞過(guò) | 是 | 低/高 | |
18 | 身份標(biāo)識(shí)缺陷 | 是 | 高 | |
19 | 多點(diǎn)認(rèn)證缺陷 | 是 | 中/高 | |
20 | 會(huì)話固定 | 是 | 中 | |
業(yè)務(wù)邏輯類漏洞 |
21 | 支付邏輯 | 是 | 高 | |
22 | 業(yè)務(wù)邏輯跳躍 | 是 | 高 | |
23 | 短信/郵件炸彈 | 是 | 高 | |
業(yè)務(wù)功能類漏洞 |
24 | 業(yè)務(wù)接口調(diào)用缺陷 | 是 | 中/高 | |
25 | 密碼修改/重置流程跨越 | 是 | 高 | |
26 | IMAP/SMTP注入 | 是 | 高 | |
27 | 開啟危險(xiǎn)接口 | 是 | 中/高 | |
28 | 未驗(yàn)證的URL跳轉(zhuǎn) | 是 | 高 | |
29 | 服務(wù)器請(qǐng)求偽造 | 是 | 中/高 | |
30 | 短信內(nèi)容可控 | 是 | 中/高 | |
31 | 郵件內(nèi)容可控 | 是 | 中/高 | |
32 | 請(qǐng)求重放攻擊 | 是 | 高 | |
33 | 批量提交 | 是 | 低/高 | |
防護(hù)功能類漏洞 |
34 | 賬號(hào)弱鎖定機(jī)制 | 是 | 低 | |
35 | 短信驗(yàn)證碼失效 | 是 | 中 | |
36 | 短信驗(yàn)證碼可爆破 | 是 | 中 | |
37 | 會(huì)話重用 | 是 | 高 | |
授權(quán)類漏洞 |
38 | 未授權(quán)訪問(wèn) | 是 | 高 | |
39 | SSO認(rèn)證缺陷 | 是 | 高 | |
40 | 越權(quán) | 是 | 高 | |
41 | Cookie偽造 | 是 | 高 | |
42 | 會(huì)話變量可控 | 是 | 中 | |
43 | 跨站請(qǐng)求偽造 | 是 | 中/高 | |
綜合利用類漏洞 |
44 | 跨站腳本攻擊 | 是 | 中/高 | |
45 | Host頭攻擊 | 是 | 中 | |
46 | SQL注入 | 是 | 高 | |
47 | XML注入 | 是 | 高 | |
48 | XXE | 是 | 高 | |
49 | Xpath注入 | 是 | 高 | |
50 | SSI注入 | 是 | 高 | |
51 | 命令注入 | 是 | 高 | |
52 | 文件上傳 | 是 | 高 | |
53 | 反序列化漏洞 | 是 | 高 | |
四、資格要求
1、投標(biāo)人須具有獨(dú)立承擔(dān)民事責(zé)任的能力和獨(dú)立訂立合同的法人資格,持有有效工商營(yíng)業(yè)執(zhí)照(須提供印有統(tǒng)一社會(huì)信用代碼的營(yíng)業(yè)執(zhí)照并加蓋公章)。
2、投標(biāo)人需要具備關(guān)的信息安全服務(wù)資質(zhì)認(rèn)證,應(yīng)擁有一支具備豐富經(jīng)驗(yàn)和專業(yè)技能的滲透測(cè)試團(tuán)隊(duì),開展?jié)B透測(cè)試的人員需具備滲透測(cè)試相關(guān)資質(zhì)證書。
3、投標(biāo)人具有良好的資信和商業(yè)信譽(yù),沒(méi)有處于被責(zé)令停業(yè)或破產(chǎn)狀態(tài),且資產(chǎn)未被重組、接管和凍結(jié)(須提供書面承諾并加蓋公章)。
4、投標(biāo)人在“信用中國(guó)”網(wǎng)站(www.****.cn)未被列入“重大稅收違法失信主體”名單(查詢方法:“信用中國(guó)”網(wǎng)站→“信用服務(wù)”→“重大稅收違法失信主體”欄查詢企業(yè)狀況,應(yīng)提供招標(biāo)公告發(fā)布之日后的網(wǎng)站查詢結(jié)果截圖)。
5、投標(biāo)人在“國(guó)家企業(yè)信用信息公示系統(tǒng)”(www.****.cn)中未被列入“嚴(yán)重違法失信名單”(應(yīng)提供招標(biāo)公告發(fā)布之日后的網(wǎng)站查詢結(jié)果截圖)。
6、法定代表人為同一個(gè)人的兩個(gè)及兩個(gè)以上法人、母公司、****公司****公司,不得在本項(xiàng)目同時(shí)投標(biāo)。
7、本次采購(gòu)不接受聯(lián)合體響應(yīng)形式。
五、服務(wù)響應(yīng)
(1)服務(wù)期內(nèi)提供7*24小時(shí)的電話、郵件及遠(yuǎn)程響應(yīng)服務(wù)。
(2)項(xiàng)目交付物包含每個(gè)系統(tǒng)每次滲透測(cè)試的《XX系統(tǒng)第X次滲透測(cè)試報(bào)告》、《XX系統(tǒng)第X次滲透測(cè)試復(fù)查報(bào)告》、《第X次滲透測(cè)試考核評(píng)分表》,交付物需在簽合同后,每次服務(wù)完成后提交。
六、保密要求
項(xiàng)目****公司簽署安全保密協(xié)議,以防安全信息泄漏。
為保障雙方在業(yè)務(wù)來(lái)往中的合法權(quán)益,降低交易成本,提高工作效率,保障各自經(jīng)濟(jì)利益,保持廉潔自律,促進(jìn)廉潔從業(yè),防止各種違法及不正當(dāng)行為的發(fā)生,預(yù)防商業(yè)賄賂和不正當(dāng)競(jìng)爭(zhēng),甲、乙雙方就**過(guò)程中員工職業(yè)操守等事宜訂立本協(xié)議。
甲乙雙方一致確認(rèn),本協(xié)議效力適用于甲方與乙方(含分支機(jī)構(gòu)等關(guān)聯(lián)機(jī)構(gòu))的所有業(yè)務(wù)**往來(lái)的全過(guò)程,包括但不限于招投標(biāo)、網(wǎng)上競(jìng)價(jià)、綜合評(píng)審、競(jìng)爭(zhēng)性談判、單一來(lái)源采購(gòu)、直接采購(gòu)等物資、服務(wù)采購(gòu)環(huán)節(jié)及合同簽訂、履行環(huán)節(jié)等。
3.1 甲、乙雙方應(yīng)當(dāng)自覺(jué)遵守國(guó)家關(guān)于廉潔從業(yè)的各項(xiàng)規(guī)定。雙方應(yīng)對(duì)各自工作人員開展廉潔教育,增強(qiáng)相關(guān)人員廉潔自律的意識(shí)。雙方人員的業(yè)務(wù)活動(dòng)應(yīng)堅(jiān)持公開、公平、公正的原則,不得損害國(guó)家和企業(yè)利益。
3.2 合同一方及其工作人員應(yīng)當(dāng)保持與合同相對(duì)方及其工作人員的正常業(yè)務(wù)交往,不得向?qū)Ψ焦ぷ魅藛T及其親屬有以下任何一項(xiàng)行為:
3.2.4 邀請(qǐng)對(duì)方工作人員參加可能對(duì)其公正執(zhí)行職務(wù)有影響的宴請(qǐng)、旅游或其它娛樂(lè)活動(dòng);
3.3 合同一方及其工作人員在履約過(guò)程中應(yīng)當(dāng)廉潔自律,不得向?qū)Ψ降目蛻羲魅『褪帐茇?cái)物、有價(jià)證券或其他好處。
3.4 乙方如發(fā)現(xiàn)甲方工作人員違反協(xié)議,收受對(duì)方好處或有其它不當(dāng)行為的,應(yīng)向甲方指定紀(jì)檢監(jiān)察部門舉報(bào)。接受舉報(bào)一方不得以任何借口對(duì)舉報(bào)方進(jìn)行報(bào)復(fù)。
4.2 乙方存在違反廉潔協(xié)議約定情形的,甲方有權(quán)扣除乙方履約保證金20%作為廉潔違約金。符合合同繼續(xù)履行條件的,乙方須在7個(gè)工作日內(nèi)補(bǔ)足履約保證金。情節(jié)嚴(yán)重的,甲方有權(quán)單方面免責(zé)解除合同,并將乙方列入**機(jī)場(chǎng)“不予**對(duì)象名單”,保留追溯乙方非法獲利、賠償甲方損失的權(quán)利。