一�、項(xiàng)目名稱:網(wǎng)絡(luò)安全服務(wù)項(xiàng)目
二、項(xiàng)目編號(hào):NFWZX-2025017
三����、項(xiàng)目簡(jiǎn)介
因工作需要��,需對(duì)外采購(gòu)網(wǎng)絡(luò)安全服務(wù)���,現(xiàn)通過公開詢價(jià)的采購(gòu)方式邀請(qǐng)潛在供應(yīng)商報(bào)價(jià)。
本項(xiàng)目最高限價(jià)27.45萬元�����。
四�、采購(gòu)方式:公開詢價(jià)采購(gòu)
五��、供應(yīng)商資格條件
1���、滿足《中華人民共和國(guó)政府采購(gòu)法》第二十二條規(guī)定�。
(1)具有獨(dú)立承擔(dān)民事責(zé)任的能力;
(2)具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度;
(3)具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力;
(4)有依法繳納稅收和社會(huì)保障資金的良好記錄;
(5)參加政府采購(gòu)活動(dòng)前三年內(nèi)��,在經(jīng)營(yíng)活動(dòng)中沒有重大違法記錄;
(6)法律��、行政法規(guī)規(guī)定的其他條件���。
2��、能出具增值稅專用發(fā)票�����。
3�����、不接受聯(lián)合報(bào)價(jià)����、分包和轉(zhuǎn)包��。
******銀行認(rèn)定的失信名單�����,未有相關(guān)犯罪記錄���。
六���、采購(gòu)需求
1、項(xiàng)目要求:
1.1應(yīng)用安全檢測(cè)服務(wù)
1.1.1服務(wù)范圍
不少于150個(gè)應(yīng)用版本,上限不超過170個(gè)�����。
1.1.2服務(wù)內(nèi)容
對(duì)應(yīng)用的版本更新或者新建應(yīng)用通過工具加人工的形式進(jìn)行上線前的安全檢測(cè)工作��,發(fā)現(xiàn)應(yīng)用可能存在的安全漏洞(包括但不限于SQL注入�����、跨站腳本�����、弱口令����、溢出漏洞、文件上傳漏洞��、敏感配置泄露�����、越權(quán)訪問漏洞��、驗(yàn)證碼爆破漏洞、任意網(wǎng)頁(yè)跳轉(zhuǎn)漏洞等)�����,定位漏洞并給出修復(fù)建議��,協(xié)助進(jìn)行漏洞修復(fù)和安全加固�,做好漏洞修復(fù)驗(yàn)證測(cè)試直至提測(cè)版本上線。
1.1.3服務(wù)時(shí)限
首次提測(cè)及回歸測(cè)試均要求在任務(wù)下達(dá)24小時(shí)內(nèi)完成�。
1.1.4服務(wù)成果
《安全檢測(cè)報(bào)告》,交付時(shí)間:每次提測(cè)版本完成后����。
1.2滲透測(cè)試服務(wù)
1.2.1服務(wù)范圍
對(duì)2個(gè)獨(dú)立網(wǎng)站系統(tǒng)分別進(jìn)行單次深度滲透測(cè)試服務(wù)。
1.2.2服務(wù)內(nèi)容
經(jīng)授權(quán)�����,模擬黑客的入侵思路和技術(shù)手段��,利用目標(biāo)系統(tǒng)的安全弱點(diǎn)進(jìn)行攻擊�。以人工滲透為主���,輔助使用各種工具進(jìn)行非破壞性的模擬攻擊���,發(fā)現(xiàn)系統(tǒng)可能存在的安全漏洞(詳見滲透測(cè)試指標(biāo))��。具體要求包括:取得采購(gòu)人書面授權(quán)后��,在特定時(shí)間及范圍內(nèi)開展?jié)B透測(cè)試工作����;在滲透過程中不得使用損害系統(tǒng)正常運(yùn)行的方法和工具����,不得修改目標(biāo)機(jī)器的數(shù)據(jù);在實(shí)施過程中要有詳細(xì)的攻擊測(cè)試記錄�����;在約定時(shí)間內(nèi)完成滲透測(cè)試后���,配合對(duì)安全問題進(jìn)行安全加固和修復(fù)��,并進(jìn)行驗(yàn)證測(cè)試�。
滲透測(cè)試指標(biāo)如下:
序號(hào) | 一級(jí)指標(biāo) | 二級(jí)指標(biāo) |
1 | 安全事件 | 網(wǎng)站掛馬 |
2 | 網(wǎng)站暗鏈 |
3 | 網(wǎng)頁(yè)篡改 |
4 | 網(wǎng)站后門 |
5 | 域名劫持 |
6 | 網(wǎng)站重定向 |
7 | 其他安全事件 |
8 | SQL注入 | 報(bào)錯(cuò)注入 |
9 | 盲注 |
10 | 基于時(shí)間的延時(shí)注入 |
11 | http包注入(頭部��、host�����、cookie) |
12 | 遠(yuǎn)程代碼執(zhí)行 | Struts2遠(yuǎn)程代碼執(zhí)行 |
13 | Java反序列化遠(yuǎn)程代碼執(zhí)行 |
14 | Weblogic遠(yuǎn)程代碼執(zhí)行 |
15 | Jboss遠(yuǎn)程代碼執(zhí)行 |
16 | 其他遠(yuǎn)程代碼執(zhí)行 |
17 | 跨站腳本 | 反射型跨站腳本 |
18 | 存儲(chǔ)型跨站腳本 |
19 | DOM型跨站腳本 |
20 | 弱口令 | 應(yīng)用系統(tǒng)弱口令 |
21 | 中間件弱口令 |
22 | 主機(jī)弱口令 |
23 | 網(wǎng)絡(luò)設(shè)備弱口令 |
24 | 安全設(shè)備弱口令 |
25 | 密碼設(shè)備弱口令 |
26 | 溢出漏洞 | 緩沖區(qū)溢出 |
27 | 文件上傳 | 任意文件上傳 |
28 | 文件上傳繞過 |
29 | 文件解析錯(cuò)誤 |
30 | 文件包含 | 遠(yuǎn)程文件包含 |
31 | 本地文件包含 |
32 | 越權(quán)訪問 | 橫向越權(quán)訪問 |
33 | 縱向越權(quán)訪問 |
34 | 邏輯缺陷 | 未授權(quán)訪問 |
35 | 登錄�、找回口令設(shè)計(jì)缺陷 |
36 | 會(huì)話超時(shí)限制 |
37 | 身份認(rèn)證機(jī)制強(qiáng)健性 |
38 | 其他邏輯缺陷類 |
39 | 不安全的URL訪問 | 任意網(wǎng)頁(yè)跳轉(zhuǎn) |
40 | 可執(zhí)行命令的URL |
41 | 信息泄露 | 主機(jī)信息泄漏 |
42 | 應(yīng)用程序信息泄漏 |
43 | 中間件信息泄漏 |
44 | 源代碼泄漏 |
45 | 備份文件泄漏 |
46 | 配置文件泄漏 |
47 | 網(wǎng)站管理員信息泄漏 |
48 | 數(shù)據(jù)庫(kù)信息泄露 |
49 | 信息未加密 | 敏感信息加密 |
50 | 重要數(shù)據(jù)存儲(chǔ)加密 |
51 | 目錄瀏覽 | 目錄遍歷漏洞 |
52 | 任意文件讀取漏洞 |
1.2.3服務(wù)頻次
服務(wù)期內(nèi)對(duì)2個(gè)獨(dú)立網(wǎng)站系統(tǒng)分別進(jìn)行單次深度滲透測(cè)試服務(wù)。
1.2.4服務(wù)成果
《滲透測(cè)試服務(wù)報(bào)告》��,根據(jù)測(cè)試的過程和結(jié)果編寫滲透測(cè)試服務(wù)報(bào)告。內(nèi)容包括:具體的操作步驟描述�、響應(yīng)分析以及最后的安全修復(fù)建議。滲透測(cè)試完成后�����,供應(yīng)商需協(xié)助采購(gòu)人對(duì)已發(fā)現(xiàn)的安全隱患進(jìn)行修復(fù)�����。修復(fù)完成后����,對(duì)修復(fù)的成果再次進(jìn)行測(cè)試復(fù)查,對(duì)修復(fù)的結(jié)果進(jìn)行檢驗(yàn)�����,確保修復(fù)結(jié)果的有效性��。
2.服務(wù)要求
2.1服務(wù)期限
合同期限1年�����,合同期間內(nèi)未完成的服務(wù)可順延�。服務(wù)結(jié)束后若雙方一致同意,可按合同內(nèi)容續(xù)簽1年�。
2.2服務(wù)準(zhǔn)備
因安全策略對(duì)互聯(lián)網(wǎng)限制較多,為更深入發(fā)現(xiàn)安全問題���,需要服務(wù)廠商提供固定的IP用于放寬安全策略�,為避免對(duì)此IP放寬安全策略帶來安全風(fēng)險(xiǎn)���,此IP不能為公共使用的IP地址���,須僅為服務(wù)廠商安全和安全測(cè)試專用IP地址。
因項(xiàng)目需要�����,安全測(cè)試所需要的工具全部由供應(yīng)商自行提供���,并保證符合相關(guān)法律法規(guī)要求����,如因工具產(chǎn)生法律糾紛一切由供應(yīng)商負(fù)責(zé)。采購(gòu)人不提供安全測(cè)試所需工具也不為此另外付費(fèi)���。
2.3服務(wù)形式
本項(xiàng)目除明確現(xiàn)場(chǎng)服務(wù)的��,其他不限定服務(wù)形式����,不管以何種方式���,供應(yīng)商都需按質(zhì)按量按時(shí)提供服務(wù)���。為完成采購(gòu)人布置的任務(wù),供應(yīng)商應(yīng)視情況安排項(xiàng)目成員加班���。明確現(xiàn)場(chǎng)服務(wù)的���,不限時(shí)間段,供應(yīng)商應(yīng)根據(jù)采購(gòu)人要求隨時(shí)響應(yīng)�����。
2.4服務(wù)人員
2.4.1組織和人員管理要求
為使項(xiàng)目按質(zhì)�����、按量�、按時(shí)及有序?qū)嵤?yīng)商對(duì)本項(xiàng)目必須具備完善和穩(wěn)定的管理組織機(jī)構(gòu)���。供應(yīng)商需按照設(shè)定相應(yīng)的崗位��,配合采購(gòu)人組建項(xiàng)目團(tuán)隊(duì)���。服務(wù)期間項(xiàng)目經(jīng)理和主要實(shí)施人員不得隨意變更,確需變更須向采購(gòu)人提出申請(qǐng)����,并提供候選人供采購(gòu)人篩選,以確定變更人選���,以保持工作連續(xù)性�。
供應(yīng)商應(yīng)保證供應(yīng)商人員提供技術(shù)服務(wù)時(shí)遵守采購(gòu)人及采購(gòu)人上級(jí)管理部門的各項(xiàng)制度�����。如果供應(yīng)商人員違反采購(gòu)人人員管理的規(guī)定或工作失誤,采購(gòu)人將按合同追究供應(yīng)商違約責(zé)任�。如供應(yīng)商人員考核不過關(guān),采購(gòu)人要求更換供應(yīng)商人員�,供應(yīng)商應(yīng)予以配合,提供同等條件的員工供采購(gòu)人篩選�。
供應(yīng)商人員應(yīng)遵守采購(gòu)人及采購(gòu)人上級(jí)管理部門的信息安全管理和網(wǎng)絡(luò)管理等規(guī)定。供應(yīng)商在服務(wù)采購(gòu)人過程中����,所涉及與產(chǎn)生的知識(shí)產(chǎn)權(quán)(包括并不限于代碼、技術(shù)與非技術(shù)的文檔���、業(yè)務(wù)數(shù)據(jù)和各項(xiàng)虛擬資產(chǎn)等)�����,所有權(quán)全部在采購(gòu)人�����,供應(yīng)商人員無權(quán)帶走或處置����。
一般情況下,服務(wù)人員的工作由項(xiàng)目經(jīng)理安排和管理����,項(xiàng)目經(jīng)理對(duì)采購(gòu)人指定的管理人員負(fù)責(zé),同時(shí)用戶指定的管理人員可以安排和監(jiān)督所有供應(yīng)商人員的工作����,如有必要采購(gòu)人有權(quán)提出調(diào)整服務(wù)人員的職責(zé)分工��,安排其工作��。
2.4.2崗位要求
供應(yīng)商需提供不低于以下標(biāo)準(zhǔn)和要求的項(xiàng)目管理和技術(shù)人員�。
本項(xiàng)目所需配備團(tuán)隊(duì)人員不少于6人。其中項(xiàng)目經(jīng)理1人�����,服務(wù)人員不少于5人����。
★項(xiàng)目經(jīng)理及服務(wù)人員均需要具備一年以上目前就職單位的工作經(jīng)驗(yàn),須提供自報(bào)價(jià)之日前一年以上的社保證明及有效勞動(dòng)合同��。
供應(yīng)商需明確具體崗位人員�����,不能隨意更換,接受用戶方指派的網(wǎng)絡(luò)信息安全相關(guān)工作任務(wù)�。項(xiàng)目經(jīng)理需參加采購(gòu)人組織的重要的網(wǎng)絡(luò)信息安全工作會(huì)議。
序號(hào) | 崗位 | 工作內(nèi)容 | 服務(wù)人員要求 | 人數(shù) |
1 | 項(xiàng)目經(jīng)理 | (1)負(fù)責(zé)技術(shù)團(tuán)隊(duì)的管理工作�����,負(fù)責(zé)總體的統(tǒng)籌協(xié)調(diào)�����、重大問題處理��、投訴管理��、爭(zhēng)議管理等工作��。 (2)5×8遠(yuǎn)程服務(wù)��,7×24應(yīng)急響應(yīng)服務(wù)�。 (3)參加項(xiàng)目工作會(huì)議。 | (1)具有本科及以上學(xué)歷�����,計(jì)算機(jī)、軟件工程�、網(wǎng)絡(luò)、信息安全��、密碼學(xué)等相關(guān)專業(yè)����; (2)8年(含)以上信息安全服務(wù)工作經(jīng)驗(yàn); (3)具有注冊(cè)信息系統(tǒng)安全專家(CISSP)或注冊(cè)信息系統(tǒng)安全專家(CISP)證書認(rèn)證�����; (4)具有PMP項(xiàng)目管理師資質(zhì)��,或具備信息系統(tǒng)項(xiàng)目管理師(高級(jí))資質(zhì)����。 ? | 1人 |
2 | 服務(wù)人員 | 項(xiàng)目具體實(shí)施���。5×8遠(yuǎn)程服務(wù)���,7×24應(yīng)急響應(yīng)服務(wù)。 | (1)本科或以上學(xué)歷����,計(jì)算機(jī)���、軟件工程、網(wǎng)絡(luò)����、信息安全、密碼學(xué)等相關(guān)專業(yè)�; (2)至少2年(含)以上信息安全服務(wù)工作經(jīng)驗(yàn); (3)至少3人具有CISP或CISSP證書��; (4)具有計(jì)算機(jī)類����、網(wǎng)絡(luò)空間安全類中級(jí)及以上工程師證書 | 不少于5人 |
2.5項(xiàng)目文檔要求
供應(yīng)商必須按要求提交服務(wù)工作文檔,服務(wù)工作文檔將作為合同驗(yàn)收的交付材料�����。最終產(chǎn)出的文檔將根據(jù)實(shí)際情況進(jìn)行調(diào)整:
2.5.1項(xiàng)目階段性文檔
項(xiàng)目實(shí)施方案�、中期總結(jié)報(bào)告、項(xiàng)目總結(jié)報(bào)告(含項(xiàng)目建議)��。
2.5.2安全測(cè)試報(bào)告
安全測(cè)試報(bào)告至少包括問題描述�、風(fēng)險(xiǎn)級(jí)別�、加固建議��、回歸驗(yàn)證等�。在驗(yàn)收時(shí)提供蓋章的紙質(zhì)材料。
七��、合同主要條款
1��、簽約主體:南方新聞網(wǎng)
2����、合同主要條款或擬簽合同樣本(詳見附件二)。
八���、采購(gòu)評(píng)審方法
本項(xiàng)目采用經(jīng)評(píng)審的最低價(jià)法,即在滿足采購(gòu)文件實(shí)質(zhì)性要求的條件下��,推薦最低價(jià)格供應(yīng)商成交���。
九��、響應(yīng)文件編制
響應(yīng)文件編制應(yīng)包括不限于如下列舉材料���,相關(guān)編制需按照后附模板附件內(nèi)要求提供(詳見附件一)����,響應(yīng)文件必須生成文檔目錄���。
1�、營(yíng)業(yè)執(zhí)照副本或事業(yè)法人證(復(fù)印件)���。
2�、項(xiàng)目授權(quán)代表證明資料�。
3、報(bào)價(jià)承諾書
4����、公司簡(jiǎn)介(簡(jiǎn)要介紹公司基本情況、規(guī)模實(shí)力�、獲獎(jiǎng)情況等)。
5����、本項(xiàng)目特定資格要求證明文件。
6����、同類型項(xiàng)目服務(wù)案例(提供合同關(guān)鍵頁(yè)等證明文件)��。
7��、服務(wù)方案和服務(wù)承諾(簡(jiǎn)述)�����。
8�����、報(bào)價(jià)函���。
9、其他自行補(bǔ)充資料��。
十���、響應(yīng)文件遞交
1、報(bào)價(jià)要求:請(qǐng)按要求填寫報(bào)價(jià)�����,并附相關(guān)資質(zhì)資料�,加蓋公章���,裝訂成冊(cè)。
2��、密封要求:報(bào)價(jià)文件須進(jìn)行密封��,封口處貼封條并加蓋騎縫章����,外封面?zhèn)渥㈨?xiàng)目名稱和聯(lián)系方式。
3�����、遞交方式:直接送達(dá)或快遞郵寄(以送達(dá)簽收時(shí)間為準(zhǔn))���。
4�、文件數(shù)量:正本壹份���。
5�����、截止時(shí)間:2025年7月17日17時(shí)00分前�����。
十一����、采購(gòu)人和聯(lián)系方式
1、采購(gòu)人:南方新聞網(wǎng)
2�、聯(lián)系人及電話:宋先生,聯(lián)系電話:******�����;項(xiàng)目聯(lián)系人�,張先生,******�����。
3�、聯(lián)系地點(diǎn):廣州市越秀區(qū)廣州大道中289號(hào)新聞中心3樓。
?
南方新聞網(wǎng) ?
2025年7月11日
附:報(bào)價(jià)文件���、合同條款及評(píng)分標(biāo)準(zhǔn)等
?
