招标需求书
一、项目基本信息
项目名称:广东省特种设备检测研究院江门检测院2022年信息系统渗透测试服务及内网渗透服务
最高限价:4.8万元
二、项目概况
广东省特种设备检测研究院江门检测院(以下称采购人) 2022 年信息系统渗透测试服务项目,采取模拟类似黑客可能使用的攻击技术和漏洞发现等技术手段,全面排查采购人的信息系统;发现信息系统中存在的不确定性风险并出具渗透测试分析报告,对发现的问题提供完善的安全解决方案并协助安全整改。在采购人整改完成后,开展针对渗透发现的问题进行二次验证测试,出具渗透测试复测报告;协助采购人提升抵御非法攻击的能力,保障信息系统的安全稳定运行。
三、服务范围
针对采购人的信息系统进行渗透测试,包括2个网站渗透测试、内网渗透测试等。信息系统具体信息以渗透测试授权书为准。
四、服务明细
序号 | 项目名称 | 说明 | 人天 |
1 | 信息收集 | 扫描爬虫、搜索引擎、Dns及域名信息、github 导致的信息泄露、邮件服务器暴力破解与弱口令、域名安全导致的安全问题、企业高层人员敏感信息泄露、普通用户敏感信 | 3 |
2 | 网络安全 | 漏洞扫描、拒绝服务漏洞、暴力破解、版本较低、补丁未及时修复、配置不当 | 2 |
3 | 系统安全 | ssh、mysq|、svn、 redis 等服务弱口令与暴力破解,系统服务补丁不全导致的安全问题,运维配置不当,未授权访问与敏感信息泄露,服务器端口扫描 | 2 |
4 | 应用安全 | SQL注入漏洞、命令执行、xss跨站脚本漏洞、设计缺陷、配置缺陷、未授权访问、逻辑问题、文件任意上传、csrf 漏洞、拒绝服务漏洞、任意文件读取、文件包含、后台暴露、后台弱口令、接口暴力破解、越权漏洞 | 2 |
5 | 数据库安全 | Sql注入、命令执行、版本较低、补丁未及时修复、配置不当 | 2 |
6 | 数据安全 | 资产泄露、信息泄露、未经授权访问、越权访问 | 2 |
7 | 中间件安全 | 对中间件的具体渗透包括tomcat、apache、 nginx、weblogic、webspere 等 | 2 |
8 | 安全威胁及影响测试 | 手工猜解验证各安全威胁及影响,登陆认证、认证授权、接口调用中的应用安全、访问控制 | 2 |
9 | 编制渗透测试报告 | 编制并输出渗透测试报告,报告内容包括但不限于漏洞信息、渗透过程、安全性评估、修复建议、安全解决方案等 | 1 |
10 | 安全加固协助 | 结合渗透测试报告,对存在的安全问题,协助整改和加固,并出具加固建议书 | 4 |
11 | 编制渗透测试复测报告 | 在采购人整改渗透测试发现的问题后,进行针对性 验证测试,编制并输出渗透测试复测报告 | 1 |
五、服务期限
本项目需在2022年8月30日前输出渗透报告。
六、资质要求
1、具有安全集成,风险评估两个方向或以上的信息安全资质认证,具备质量管理体系认证。
2、具备同类型项目经验,并提供相关证明文件。
七、投入设施要求
综合项目属性,由成交供应商自行提供设施、设备、工具投入,满足项目需求。
八、验收要求
项目结束后采购人组成验收小组按国家有关规定、规范进行验收,必要时邀请相关的专
业人员或机构参与验收,主要对成交供应商的服务、渗透测试报告、渗透测试复测报告进行
评审,满足要求的认定为验收通过。
九、商务要求
1、工作要求。供应商应认真挑选有政府、事业单位、大型国企系统渗透经验的技术人
员从事本次渗透测试;若被发现违反保密要求将相关数据外泄的,立即终止服务合同并依法
追究供应商及渗透人员有关责任。
2、保密要求。服务期间及服务期结束后,相关渗透测试公司必须对服务过程中接触的
系统中所有的信息和数据、服务过程中产生的信息和数据进行严格保密。不得以任何方式向
第三方传递或泄漏任何相关信息或数据。
3、供应商需为广东省内注册企业,并入驻广东省网上中介服务超市的企业,具备信息系统工程监理服务类型。
4、供应商必须符合及完全响应服务明细的11点要求。
十、付款方式
1、本项目合同签署生效后5日内,采购人在收到成交供应商提供的合同总价30%的正
式“增值税专用”发票后,在30个日历日内,向乙方支付合同总价的30%作为本项目预付款。
2、合同生效后,成交供应商完成第一次渗透测试且验收合格后,采购人收到成交供应商开具的合同总价70%的合法正规的“增值税专用”发票后,在30个日历日内,由采购人.
向成交供应商支付合同总价的70%。
3、付款形式:采用支票、银行汇付(含电汇)等形式。
十一、其他重要条款
1、本项目投标报价采用包干制,应包括成本、法定税费和相应的利润,应涵盖本项目
招标范围和招标文件所列的各项内容中所述的全部。由供应商根据招标需求自行测算投标报
价;一经中标,投标报价即作为成交供应商与采购人签订的合同金额。
2、供应商应充分了解项目的位置、情况、道路及任何其它足以影响投标报价的情况,任何因忽视或误解项目情况而导致的索赔或服务期限延长申请将不获批准。
3、各供应商在投标报价时,应充分考虑投标报价的风险。
十二、供应商确定
采购人组织评审小组,根据各个供应商的报价方案,从报价价格、产品性能(服务)、售后服务能力、同类业绩、相关资质与证书等方面综合评审确定成交供应商。
十三、递交响应文件截止时间、开标时间和地点:
递交响应文件时间:2022年08月15日17:30时截止。满足要求的机构至少1家就视为本次招标有效。
递交响应文件地点:江门市蓬江区建设三路48号质监大楼6楼办公室;
评选时间:2022年08月16日10:00时。
开标地点:江门市蓬江区建设三路48号质监大楼6楼会议室
联系人:梁小姐
联系电话:0750-3286661
十四、凡对本次评选提出询问,请按以下方式联系
联系人:钟先生
电话:0750-3286636
电子邮箱:zhongweifeng@gdsei.org.cn
地址:江门市蓬江区建设三路48号质监大楼6楼整机检验室
附件:评分标准.xlsx