太平石化金融租賃有限責(zé)任公司

網(wǎng)絡(luò)安全設(shè)備和安全服務(wù)項(xiàng)目供應(yīng)商征集公告

關(guān)于太平石化金租網(wǎng)絡(luò)安全設(shè)備和安全服務(wù)項(xiàng)目已啟動，現(xiàn)為該項(xiàng)目征集優(yōu)秀供應(yīng)商，征集時(shí)間自****年*月 **日**:**至****年*月*日**:**，歡迎參與。

*、采購人

太平石化金融租賃有限責(zé)任公司（此項(xiàng)目為采購人自行組織實(shí)施，未委托任何招標(biāo)代理機(jī)構(gòu)）

*、采購事項(xiàng)?

*.滲透測試和漏掃服務(wù)

（*）滲透測試：

*．對我司重要系統(tǒng)開展?jié)B透測試并出具滲透測試報(bào)告。

*．應(yīng)根據(jù)我司需要出具相應(yīng)的正式滲透測試報(bào)告，測試報(bào)告必須包含系統(tǒng)所有功能點(diǎn)。

*．滲透測試系統(tǒng)清單中的系統(tǒng)進(jìn)行至少*次全面覆蓋滲透測試檢測（必須包含人工滲透）。

*．漏洞定級標(biāo)準(zhǔn)和收錄的漏洞等級由我司制定。

*．須在我司指定的時(shí)間內(nèi)（*般為*個(gè)月）完成滲透測試和提交漏洞，滲透測試結(jié)束后*個(gè)月內(nèi)提交正式測試報(bào)告和測試總結(jié)報(bào)告。

*．我司實(shí)施漏洞修復(fù)后若有復(fù)測需要，應(yīng)在*個(gè)工作日內(nèi)完成復(fù)測并提供測試結(jié)果。

*．滲透測試風(fēng)險(xiǎn)控制要求 ★

滲透測試服務(wù)須采用可控制的、非破壞性質(zhì)的滲透測試工具或技術(shù)，并在執(zhí)行過程中把握好每*個(gè)步驟的信息輸入/輸出，控制好風(fēng)險(xiǎn)，確保對我司相關(guān)網(wǎng)絡(luò)不造成破壞性的損害，保證滲透測試前后信息系統(tǒng)的可用性、可靠性。

*．測試質(zhì)量要求 ★

每輪次滲透測試的漏洞數(shù)量要求：每輪次提交的有效漏洞數(shù)量不得低于本輪次測試系統(tǒng)數(shù)量的**%，每輪次提交有效的中高危及以上漏洞不得低于本輪次有效漏洞數(shù)量的**%，即有效漏洞數(shù)/系統(tǒng)測試總數(shù)&**;= **%,中高危數(shù)量/有效漏洞數(shù)量&**;=**%，兩項(xiàng)占比要求其中每低于*個(gè)百分點(diǎn)，將扣除本輪次總結(jié)算金額的*%，若扣除達(dá)到結(jié)算總金額的***%則不再進(jìn)行扣除。本次測試不收錄利用掃描工具原理性探測發(fā)現(xiàn)的漏洞（如******沒有********標(biāo)志設(shè)置這類無實(shí)際影響的漏洞），有效漏洞須有驗(yàn)證漏洞截圖和漏洞發(fā)現(xiàn)的詳細(xì)步驟和漏洞利用的方式及漏洞造成的威脅。提交漏洞存在下列情況時(shí)，不作有效漏洞進(jìn)行統(tǒng)計(jì)：

①?我司已提前通報(bào)的修復(fù)中漏洞（可提供已提前通報(bào)證據(jù)）。

②?無法證明為我司的漏洞（例如百度詞條中***頁面漏洞歸屬百度，友情鏈接系統(tǒng)漏洞等）

③?經(jīng)與我司雙方確認(rèn)定為誤報(bào)漏洞（檢測方法錯(cuò)誤實(shí)際漏洞不存在、實(shí)際無危害可忽略等）

④?無法復(fù)現(xiàn)漏洞（漏洞提交后確認(rèn)，若有異議可申訴，最終以我司確認(rèn)為準(zhǔn)）

⑤?重復(fù)提交漏洞（如全網(wǎng)站存在***漏洞，原則上只計(jì)*個(gè)有效漏洞，不能提交***個(gè)頁面算作***個(gè)漏洞）

*．收錄漏洞定級和標(biāo)準(zhǔn)

根據(jù)漏洞利用難易和造成的危害，收錄的漏洞標(biāo)準(zhǔn)分為*檔，具體評定標(biāo)準(zhǔn)以我司解釋為準(zhǔn)，簡要描述如下：

*?? 嚴(yán)重漏洞：?

①?控制內(nèi)網(wǎng)多臺機(jī)器

②?核心后臺超級管理員權(quán)限獲取且造成大范圍企業(yè)核心數(shù)據(jù)泄露，可造成巨大影響

③?重大 **** 漏洞，如操作系統(tǒng)或重要組件的未公開漏洞

④?經(jīng)綜合評估認(rèn)定的其他嚴(yán)重安全漏洞

*?? 高危漏洞：

①?直接獲取操作系統(tǒng)權(quán)限（服務(wù)器權(quán)限、客戶端權(quán)限），包括但不限于遠(yuǎn)程任意命令執(zhí)行、********、上傳 ********、緩沖區(qū)溢出、服務(wù)器解析漏洞等可獲得服務(wù)器權(quán)限

②?敏感信息泄露：包括但不限于任意文件包含、大量源代碼泄露、賬戶及支付交易等敏感信息批量泄露；可獲得大量客戶敏感數(shù)據(jù)，經(jīng)評估影響用戶個(gè)人隱私信息安全，或造成公司/用戶損失

③?系統(tǒng)的 *** 注入（后臺漏洞降級，打包提交酌情提升）

④?敏感信息越權(quán)訪問。包括但不限于繞過認(rèn)證直接訪問管理后臺進(jìn)行敏感操作、重要后臺弱密碼、獲取大量內(nèi)網(wǎng)敏感信息的 ****等

⑤?讀取任意文件

⑥?涉及金錢的交易、繞過支付邏輯（需最終利用成功，優(yōu)惠券相關(guān)問題除外）

⑦?嚴(yán)重的邏輯設(shè)計(jì)缺陷和流程缺陷。包括但不限于任意用戶登錄漏洞、批量修改任意賬號密碼漏洞、任意金額支付、任意賬號支付、涉及企業(yè)核心業(yè)務(wù)的邏輯漏洞等，驗(yàn)證碼爆破除外

⑧?大范圍影響用戶的其他漏洞。包括但不僅限于重要頁面可自動傳播的存儲型 ***、可獲取管理員認(rèn)證信息且成功利用的存儲型 *** 等

⑨?經(jīng)綜合評估認(rèn)定的其他高危安全漏洞

*?? 中危漏洞：

①?需要交互才能獲取用戶身份信息的漏洞：包括但不限于經(jīng)評估可獲得管理員權(quán)限的存儲型 ***

②?越權(quán)操作：包括但不限于普通用戶權(quán)限批量越權(quán)訪問、查看其他用戶信息、繞過限制修改用戶資料、執(zhí)行用戶操作等

③?應(yīng)用缺陷導(dǎo)致的遠(yuǎn)程拒絕服務(wù)漏洞，不包括 **** 或 ** 方式

④?應(yīng)用系統(tǒng)管理員弱口令：可以獲得該應(yīng)用系統(tǒng)的管理員權(quán)限

⑤?直接通過客戶端可獲取操作系統(tǒng)管理員（或手機(jī) ****）的權(quán)限

⑥?可遠(yuǎn)程竊取客戶端數(shù)據(jù)等

⑦?任意密碼找回等系統(tǒng)敏感操作可被爆破成功造成的漏洞

⑧?本地保存的敏感認(rèn)證密鑰算法信息泄露(需能做出有效利用)

⑨?*位驗(yàn)證碼爆破重置密碼或者登錄賬號,爆破控制普通的后臺或者邊緣系統(tǒng)的后臺(爆破成功|普通權(quán)限賬戶降級)

⑩?心臟滴血漏洞

**?*** 注入

**?任意文件上傳（例如上傳 **** 導(dǎo)致可利用成功的存儲 ***，或上傳******** 酌情提升漏洞等級）

**?經(jīng)綜合評估認(rèn)定的其他中危安全漏洞

*?? 低危漏洞：

①?客戶端驗(yàn)證碼繞過，驗(yàn)證碼爆破（完善利用場景）

②?普通 **** 漏洞

③?*般越權(quán)操作：包括但不限于普通用戶權(quán)限越權(quán)修改、刪除其他用戶信息等

④?*般邏輯設(shè)計(jì)缺陷：包括但不限于圖形驗(yàn)證碼繞過、非關(guān)鍵環(huán)節(jié)短信驗(yàn)證碼繞過等

⑤?*** 跳轉(zhuǎn)：包括但不限于未驗(yàn)證的重定向和轉(zhuǎn)發(fā)

⑥?客戶端本地漏洞：包括但不限于本地拒絕服務(wù)漏洞、命令截?cái)唷?yīng)用程序目錄下的 *** 劫持

⑦?因業(yè)務(wù)需要可能導(dǎo)致的撞庫、爆破、遍歷接口（獲得的數(shù)據(jù)不涉及敏感信息）

⑧?參數(shù)或配置可能導(dǎo)致但無法證明的安全風(fēng)險(xiǎn)

⑨?應(yīng)用系統(tǒng)普通用戶弱口令：可以獲得相關(guān)業(yè)務(wù)系統(tǒng)的訪問權(quán)限

⑩?短信轟炸

**?反射型 ***（包括 *** *** / ***** ***），****-***/**** 型反射 ***

**?經(jīng)綜合評估認(rèn)定的其他低危安全漏洞

（*）漏洞掃描

對我司全部服務(wù)器系統(tǒng)開展漏洞掃描并出具漏掃報(bào)告。

*.安全演習(xí)期間保障服務(wù)

（*）安全意識培訓(xùn)

面向公司全體員工提供*場安全意識培訓(xùn)，內(nèi)容涉及安全防范、護(hù)網(wǎng)攻防、安全技術(shù)、安全管理、防詐騙等。

（*）釣魚郵件演練

郵件釣魚攻擊模擬演練要求：

①?根據(jù)招標(biāo)方要求，完成郵件釣魚攻擊模擬演練環(huán)境搭建工作；

②?設(shè)計(jì)常見釣魚郵件主題*個(gè)；

③?根據(jù)演練結(jié)果，提供郵件釣魚攻擊模擬演練總結(jié)報(bào)告；

④?合同項(xiàng)目進(jìn)行中產(chǎn)生的任何著作權(quán)、任何技術(shù)成果的專利申請權(quán)、任何技術(shù)秘密相關(guān)權(quán)利和任何商標(biāo)注冊申請權(quán)及相關(guān)利益均完全歸屬于招標(biāo)方；投標(biāo)方有權(quán)為開展工作而內(nèi)部使用上述成果，但除經(jīng)招標(biāo)方書面同意的以外，投標(biāo)方不得再以任何形式將以上資料透露給任何第*方；

⑤?投標(biāo)方保證：投標(biāo)依據(jù)本合同向招標(biāo)方提供的任何程序、文件、報(bào)告、說明、圖表等不存在任何侵犯第*方知識產(chǎn)權(quán)的情形；如招標(biāo)方因此遭受第*方的索賠或起訴，則投標(biāo)承諾自費(fèi)就上述索賠或起訴為招標(biāo)方答辯，并承擔(dān)招標(biāo)方因此遭受的全部損失。

（*）安全演習(xí)期間值守及總結(jié)服務(wù)

包括：設(shè)備告警監(jiān)控；告警處置分析；安全原廠人員*人采用輪班方式現(xiàn)場****小時(shí)值守；值守期間應(yīng)急響應(yīng)；攻擊溯源服務(wù)；總結(jié)報(bào)告，安全加強(qiáng)建議等相關(guān)服務(wù)。

*.全流量檢測設(shè)備*臺

技術(shù)參數(shù)●項(xiàng)必須滿足項(xiàng)

*、供應(yīng)商要求

報(bào)名供應(yīng)商必須滿足以下條件：

（*）供應(yīng)商必須是具有獨(dú)立承擔(dān)民事責(zé)任能力的在中華人民共和國境內(nèi)注冊的法人或其他組織；

（*）近*年未被列入國家企業(yè)信用信息公示系統(tǒng)經(jīng)營異常名錄和嚴(yán)重違法失信企業(yè)名單；

（*）中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)的《應(yīng)急處理服務(wù)資質(zhì)（*級）》；

（*）中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)的《信息安全風(fēng)險(xiǎn)評估（*級）》；

（*）中國信息安全測評中心頒發(fā)的《國家漏洞庫（*****）技術(shù)支撐單位（*級）》；

（*）國家互聯(lián)網(wǎng)應(yīng)急中心（******）頒發(fā)的《******網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位》；

（*）***安全監(jiān)測產(chǎn)品（增強(qiáng)級）銷售許可證；

（*）具備近*年金融行業(yè)信息安全保障服務(wù)案例*個(gè)；

（*）具備全流量檢測設(shè)備技術(shù)參數(shù)功能。

*、供應(yīng)商項(xiàng)目報(bào)名

（*）采購項(xiàng)目報(bào)名：我司采購項(xiàng)目同時(shí)采用線上報(bào)名方式完成。

線上報(bào)名方式：登錄*****://***.*********.***/，在“采購公告”中查看對應(yīng)公告，并點(diǎn)擊公告下方“我要報(bào)名”，按系統(tǒng)設(shè)置提交相關(guān)報(bào)名材料（可使用壓縮包*并上傳）。報(bào)名材料*旦提交，無法再次編輯，請確認(rèn)報(bào)名材料無誤后，完成提交。

（*）務(wù)必點(diǎn)對點(diǎn)應(yīng)答并提供相關(guān)信息及說明材料掃描件（加蓋公章），否則視為無效報(bào)名，報(bào)名材料如下：

（*）供應(yīng)商信息介紹：營業(yè)執(zhí)照、法定代表人身份證、公司簡介等掃描件；

（*）近*年未被列入國家企業(yè)信用信息公示系統(tǒng)經(jīng)營異常名錄和嚴(yán)重違法失信企業(yè)名單的證明文件掃描件（加蓋公章）；

示例：

（*）中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)的《應(yīng)急處理服務(wù)資質(zhì)（*級）》；

（*）中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)的《信息安全風(fēng)險(xiǎn)評估（*級）》；

（*）中國信息安全測評中心頒發(fā)的《國家漏洞庫（*****）技術(shù)支撐單位（*級）》；

（*）國家互聯(lián)網(wǎng)應(yīng)急中心（******）頒發(fā)的《******網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位》；

（*）***類安全監(jiān)測產(chǎn)品（增強(qiáng)級）銷售許可證；

（*）具備近*年金融行業(yè)信息安全保障服務(wù)案例*個(gè)；

（*）針對全流量檢測設(shè)備技術(shù)參數(shù)項(xiàng)要求，提供功能截圖并加蓋原廠公章。

注：以上報(bào)名材料掃描件或復(fù)印件的文字、印章應(yīng)清晰可辨識，無法辨認(rèn)的材料視作無效文件。

（*）溫馨提示：該采購項(xiàng)目目前處于供應(yīng)商公開征集階段，征集結(jié)束后我司會組織相關(guān)人員對報(bào)名成功的供應(yīng)商進(jìn)行篩選，通過篩選的供應(yīng)商會被邀請參與該采購項(xiàng)目后續(xù)采購活動中，請各位供應(yīng)商知悉。

*、采購人信息

項(xiàng)目報(bào)名網(wǎng)址*（采購公告）：

項(xiàng)目報(bào)名網(wǎng)址*（新聞中心-通知公告）：

項(xiàng)目報(bào)名聯(lián)系人：戴老師

電 話：***-********（如遇電話無人接聽，請發(fā)郵件咨詢）?

郵箱： ********@***********.***

項(xiàng)目需求咨詢?nèi)耍簞⒗蠋?/p>

電 話：***-********（如遇電話無人接聽，請發(fā)郵件咨詢）

郵箱：**********@***********.***

特此公告?????????????????????????????????????????????

****年*月**日

我要報(bào)名