加 载 中 . . .
广告
评估和渗透测试服务项目
供应商征集公告
广州农商银行计划进行2022-2023年信息系统安全评估和渗透测试服务项目,现就该项目的采购向社会公开征集有意向的供应商。
一、项目名称
2022-2023年信息系统安全评估和渗透测试服务项目。
二、项目背景
为及时堵塞安全漏洞,保障系统安全运行,我行计划采购2022年-2023年信息系统安全评估和渗透测试服务,于2022年和2023年期间每年分别开展一轮信息系统专项渗透测试和信息系统安全评估工作。。
三、采购内容(具体以招标文件为准)
本次采购包括两个子包,分别为子包一“信息系统专项渗透测试服务”和子包二“信息系统安全评估服务(含源代码安全审计)”,服务有效期2年。
供应商根据《电子银行安全评估指引》(银监发〔2006〕9号)、《银行互联网渗透测试指南》(JR/T 0232-2021)《金融网络安全Web应用服务安全测试通用规范》(JR/T0213-2021)等监管要求、行业标准与我行需求,提供信息系统安全评估和专项渗透测试服务。评估测试内容列表如下,具体实施数量以我行实际需求为准:
测试类型 |
测试用例 |
操作系统层安全测试 |
Web服务器多余端口开放 |
操作系统漏洞扫描 |
|
未授权访问测试 |
|
口令猜测 |
|
跳板攻击测试 |
|
IIS写文件漏洞 |
|
IIS解析漏洞 |
|
Apache解析漏洞 |
|
SSL/TLS RC4 信息泄露漏洞 |
|
DNS域传送漏洞 |
|
应用层安全测试 |
系统结构分析及测试信息收集 |
应用/服务运维配置缺陷检测 |
|
业务逻辑缺陷 |
|
程序逻辑缺陷 |
|
登陆验证测试 |
|
会话管理测试 |
|
SQL注入漏洞挖掘 |
|
数据传输安全测试 |
|
第三方/开源工具、软件、中间件、开发包的公开漏洞 |
|
敏感信息保护 |
|
Struts2 远程命令执行 |
|
Jboss远程代码执行 |
|
HTTP.sys远程代码执行漏洞 |
|
Java反序列化 |
|
SQL注入 |
|
XML注入 |
|
CRLF注入 |
|
XFF注入 |
|
XPATH 注入 |
|
命令注入 |
|
其他按采购方要求开展的应用层安全测试项 |
|
Web应用测试 |
Web应用漏洞扫描 |
多余端口安全检测 |
|
目录遍历、隐藏目录、隐藏文件、备份文件 |
|
上下文安全检测 |
|
跨站脚本漏洞 |
|
HTTP响应分割 |
|
跨站点请求伪造 |
|
重定向攻击等脚本攻击 |
|
跨域访问漏洞 |
|
URL重定向 |
|
HTTP Host头攻击 |
|
任意文件下载等敏感信息泄露 |
|
SSRF攻击 |
|
客户端应用测试 |
完整性校验 |
动态调试 |
|
反编译防范 |
|
篡改防范 |
|
安装包中敏感信息加密 |
|
第三方SDK安全 |
|
关键组件访问保护 |
|
界面切换后敏感信息保护 |
|
界面劫持 |
|
截屏防范 |
|
重放测试 |
|
交易信息篡改 |
|
敏感数据本地明文存储 |
|
加密算法安全性 |
|
敏感数据外部存储 |
|
本地数据完整性 |
|
Content Provider安全性 |
|
本地SQL注入 |
|
账号登录限制 |
|
断网重连机制 |
|
服务器地址仿冒 |
|
预留信息验证 |
四、意向供应商资格条件
(一)子包一供应商资质要求
1.供应商依法注册成立并具有独立承担民事责任的能力,且注册资金1000万元(含)以上。
2.具备增值税一般纳税人资格。
3.需在广州本地有服务机构,包括但不限于总公司、子公司、分公司或办事处。
4.2020年1月1日(以合同生效时间为准)后,供应商具有2个(含)以上与银行机构直接签订的信息系统渗透测试服务项目案例,且至少有1个案例测试范围包含该银行机构的网上银行或手机银行系统。
5.单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得同时参加本采购项目。
(二)子包二供应商资质要求
1.供应商依法注册成立并具有独立承担民事责任的能力,且注册资金1000万元(含)以上。
2.具备增值税一般纳税人资格。
3.需在广州本地有服务机构,包括但不限于总公司、子公司、分公司或办事处。
4.2020年1月1日(以合同生效时间为准)后,供应商具有2个(含)以上与银行机构直接签订的信息系统安全评估服务项目案例,且至少有1个案例测试范围包含该银行机构的网上银行或手机银行系统。
5.2020年1月1日(以合同生效时间为准)后,供应商具有1个(含)以上与银行机构直接签订的源代码安全审计服务项目案例
6.单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得同时参加本采购项目。
(三)供应商意愿要求
1.服从我行项目管理、人员管理、财务管理的相关规定。
2.同意积极配合我行法审意见签订合同。
3.同意与我行签订项目管理相关的协议,包括但不限于保密协议、服务承诺书、工作计划任务书。
4.同意按照我行规定对项目和供应商进行考核、评价、奖励和扣罚。
5.同意接受我行内部、我行聘请的外部机构、我行的上级管理部门进行监督、检查。
五、意向供应商报名需提供资料
(一)供应商报名意向书,内容包括但不限于项目名称、供应商名称、供应商联系人、获取本公告信息的网站、联系电话及邮箱等(格式自拟)。
(二)营业执照复印件(营业执照需包含注册资金、注册时间,若无,请另提供相关证明材料)。
(三)在广州本地有服务机构证明材料,提供营业执照、房屋产权证明或以公司名义签订的房屋租赁合同。
(四)参与子包一供应商需提供2020年1月1日(以合同生效时间为准)后,供应商具有2个(含)以上与银行机构直接签订的信息系统渗透测试服务项目案例证明材料,提供合同材料包括首页(项目名称),关键页(能够明确体现所投服务基本信息)、末页(招标方中标方名称、盖章以及签署日期等)。
(五)参与子包二供应商需提供2020年1月1日(以合同生效时间为准)后,供应商具有2个(含)以上与银行机构直接签订的信息系统安全评估服务项目案例证明材料,提供合同材料包括首页(项目名称),关键页(能够明确体现所投服务基本信息)、末页(招标方中标方名称、盖章以及签署日期等)。
(六)参与子包二供应商需提供2020年1月1日(以合同生效时间为准)后,供应商具有1个(含)以上与银行机构直接签订的源代码安全审计服务项目案例证明材料,提供合同材料包括首页(项目名称),关键页(能够明确体现所投服务基本信息)、末页(招标方中标方名称、盖章以及签署日期等)。
(七)提供承诺满足本征集公告第四大点第(三)点供应商意愿要求的承诺函。
六、其他要求
(一)我行集中采购管理系统已上线运行,请报名供应商按照本征集公告要求提交报名材料后,登陆我行官网上的集中采购管理系统(www.grcbank.com->关于我行->采购平台)进行注册、提交我行审核,并及时关注我行审核意见,我行将在3个工作日内进行审核。
(二)对无法在项目征集时间结束后3个工作日内完成注册和提交申请的供应商,我行有权不进行邀请,并不作任何说明。
(三)在系统使用过程中如有疑问或如遇问题,请及时与我行联系,相关联系人如下:
序号 |
事项 |
联系人 |
联系电话 |
联系邮箱 |
联系时间 |
1 |
找回账户或密码、入库申请审核及其他日常事项 |
林先生 |
020-22118111 |
工作日8:30-12:00、14:00-17:30 |
|
陈小姐 |
020-28019580 |
chenlu@grcbank.com |
|||
2 |
系统技术问题(例如供应商注册时无法上传附件) |
刘先生 |
020-22195359 |
liuhuan2@grcbank.com |
七、意向供应商提交材料方式及时间
(一)邮寄:广州市珠江新城华夏路1号信合大厦南翼19楼集中采购中心,邮编:510623。
(二)电子邮件:yangshuang@grcbank.com,邮件名称:项目名称+供应商名称+获取本公告信息的网站。
(三)公告期:2022年6月20日-2022年6月27日。
(四)报名截止时间:2022年6月27日下午17:30。
注:
1.供应商可选择上述2种方式中的一种进行报名。
2.材料需装订成册。
3.征集报名提供加盖公章的原件、复印件或扫描件均可。供应商须对报名信息和资料的真实性负责。如提供虚假资料,将被列入我行供应商黑名单。
4.电子邮件报名的,附件不可以超过20M,且勿通过超大附件或云附件、网盘等形式发送。
八、联系方式
联系人:杨先生
联系电话:020-22389256
声明:
1.各报名供应商递交报名资料即表示对材料的真实性负责,并由此承担法律风险和赔偿责任。
2.符合本公告报名条件的供应商,按时提交合格报名资料后,并不必然获得正式采购邀请。
3.采购人保留要求报名供应商补充提交资料的权利。
4.采购人有权对本次供应商征集审核结果不做任何说明。
广州农村商业银行股份有限公司
2022年6月20日
为你推荐 相关的其他招标项目信息