剑鱼标讯 > 招标项目 > 2024年差旅账户平台系统安全服务招标公告

2024年差旅账户平台系统安全服务招标公告

基本信息

省份	天津	城市	天津市
招标代理机构		项目名称	2024年差旅账户平台系统安全服务
采购单位	安途金信商业保理有限公司立即查看	采购联系人	登录即可免费查看
采购电话	登录即可免费查看
拟定单一来源采购供应商

基本信息
项目名称		省份
业主单位		业主类型
总投资		建设年限
建设地点
审批机关		审批事项
审批代码		批准文号
审批时间		审批结果
建设内容

采购人

安途金信商业保理有限公司

项目名称

2024年差旅账户平台系统安全服务

供货地点

中国航信高科技产业园

供货内容

系统安全服务

供应商资质要求

1.信息安全管理体系认证证书IS027001

2.质量管理体系认证证书 IS09001

3.信息技术服务管理体系认证证书 IS020000

4.国家信总安全测评信息安全服务资质证书（安全开发类二级）。

5.CNCERT 网络安全应急服务支撑单位（国家级）。

6.CCRC 信息安全服务资质认证证书（风险评估类一级）。

7.微软MAPP计划成员，提供查询链接及官网载图.

8.最务工具具备较强的漏洞研究挖掘利用能力，自主发现的CVE漏洞数量不少于300个，并提供相关证明。

9.具备CREST 漏洞评估资质认证，提供查询链接及官网截图。

10.服务商需提供近三年网络安全服务相关类似项目案例（要求合同额50万以上，至少应提供合同首页、金额页、清单页、签字盖章页）。

11.服务工具应该是被广泛应用的成熟产品，在国内近三年市场占有率排名在不应低于前3名。须提供知名第三方机构（如IDC）出具的市场占有宰排名有效证明材料。

12.CNCERT网络安全应急服务支撑单位证书-APT 监测分析。

采购需求说明

具体安全服务内容如下：

一、安全评估服务

服务内容		服务说明
代码审核	服务范围	包括但不限于使用 ASP 、 ASP.NET （ VB/C# ）、 JSP （ JAV A 、 PHP 等主流语言开发的 B/S 应用系统、使用 C++ 、 JAVA 、 C# 、 VB 等主流语言开发的 C/S 应用系统，以及使用 XML 语言编写的文件、 SQL 语言和数据库存储过程等
	检查内容	发现如下违背程序编写标准的问题：源代码设计问题、错误处理不当、直接对象引用、资源滥用及 API 滥用等
	检查内容	重点关注如下要素：跨站脚本漏洞、跨站请求伪装漏洞、 SQL 注入漏洞、命令执行漏洞、日志伪造漏洞、参数篡改、密码明文存储、配置文件缺陷、路径操作错误、资源管理、不安全的 Ajax 调用、系统信息泄露及调试程序残留等
	服务方式	进行人工结合自动化代码审核工具等检测，其中代码审核工具要求采用厂商自主研发的专用源代码审核工具，非免费开源产品，非通用漏洞扫描类产品，需提供产品软件著作权证书
	服务报告	对源代码中的每个安全弱点进行详细描述，描述内容至少包括安全弱点所在的代码页名、代码行数、问题代码片段以及弱点可能导致的安全问题等，并提出解决方案
渗透测试	服务范围	操作系统包括： Windows 、发行版 Linux 、 AIX 、 Solaris 、 FreeBSD 等主流系统
		应用系统包括： Oracle 、 MySQL 、 MSSQL 、 Sybase 、 DB2 、 Informix 等主流数据库， Apache 、 IIS 、 Tomcat 、 Weblogic 等主流 WEB 服务器， FTP 、 DNS 等主流应用服务器
		WEB 程序包括： ASP 、 PHP 、 JSP 、 .NET 、 Perl 、 Python 、 Shell 、 JAVA 等语言编写的 WEB 程序
		网络设备包括：常见厂商的路由器、交换机等设备
	测试内容	渗透测试的工作内容包括但不限于：信息收集类、配置管理类（ HTTP 方法测试、信息泄露等）、认证类（用户枚举、密码猜解、密码重置测试等）、会话类（ cookie 测试、会话固定测试等）、授权类（ URL 越权、路径遍历、业务逻辑、文件下载测试等）、数据验证类（ SQL 注入、跨站脚本、代码注入、 URL 跳转、文件上传测试等）、系统应用漏洞等
	服务方式	渗透测试服务方式包括内部渗透测试及外部渗透测试。内部测试是测试人员到达现场，直接接入到办公网络或业务网络中；外部测试是直接从互联网访问并对系统进行测试。
	工具要求	渗透测试工具要求服务商具有自主研发的专用渗透测试类工具，非免费开源产品，非通用漏洞扫描类产品，需提供产品软件著作权证书
	服务报告	实施渗透测试后出具《 XX 系统渗透测试报告》，针对每种威胁进行详细描述，描述内容至少包括测试范围、过程、使用的技术手段以及获得的成果。并针对性提出解决方案和相关的安全建议，为管理员的维护和修补工作提供参考

二、应急响应技术支持

服务内容	服务说明
服务范围	包括但不限于以下类型安全事件的应急响应支持：应用服务瘫痪问题；网络阻塞、 DDoS 攻击问题；服务器遭劫持问题；系统异常宕机问题；恶意入侵、黑客攻击问题；病毒爆发问题；内部安全事故等
服务方式	根据事件实际情况提供远程或现场应急服务现场服务：指接到紧急服务请求，支持人员在最短时间内赶赴现场，协助分析事件可能的原因，解决各类安全事件远程服务：指通过电话、远程协助、远程临时接入等非现场的活动，协助分析事件可能的原因，解决各类安全事件
应急内容	对可疑的恶意入侵、恶意资源消耗、病毒爆发、内部安全事故等事件进行分析，查找事发原因，通过专业工具对入侵事件进行追踪、取证，分析安全日志，获取入侵者的信息和证据。帮助我方进行系统安全恢复、应用服务安全恢复、数据安全恢复、网络性能安全恢复、网络病毒清除等工作
服务报告	应急响应工作完成后一个工作日内提供《 XX 应急响应服务处理报告》；报告需对整个安全事件的来龙去脉进行详尽的分析，并最终给出分析结果；并根据分析结果提出解决方案和相关的安全建议，为事件的后期处理提供参考

供应商报名方式

1. 参与本次采购活动的供应商请于 2024年7月3日17：00前将报名邮件发送至 zhangbh @ acca. com.cn

2. 报名邮件内容请写明：报名项目名称、供应商全称、联系人、电话、邮箱。

3. 没有报名的供应商不得递交响应文件。

响应文件要求

1.正本1份，副本1份

2. 供应商资质认证

3. 依据采购文件的规定提供密封报价单，须为含税价格。

（如参数要求有偏离需备注说明，报价单每页需加盖公章）

4. 响应文件应在密封处加盖公章，标注正本和副本，封皮应注明：项目名称、供应商名称、联系人及联系方式。

响应文件接收时间和地址

接收时间： 2024 年 7 月 3 日 1 7 : 00 之前

接收地点：北京市顺义区后沙峪镇中国航信高科技产业园

接收方式：邮寄闪送均可，逾期送达响应文件恕不接收。（不接收到付）

评审办法

综合评分法

发票种类及内容

增值税专用发票

付款条件

1、甲乙双方合同签署后，甲方收到乙方的增值税专用发票后，15 个工作日内支付项目首付款,金额为合同总额的 30%;

2、项目实施阶段并通过甲方确认，验收合格，甲方收到乙方的增值税专用发票后，15 个工作日内支付款项，金额为服务费总额的 50%。

3、项目结束后，乙方配合甲方完成所有后续工作，甲方收到乙方增值税专用发票后，15 个工作日内支付款项，金额为服务费总额的 20%。

本次采购活动联系人

安途金信商业保理有限公司

地址：北京市顺义区后沙峪镇中国航信高科技产业园

联系人：张百海电话： 15001093490 邮箱： zhangbh@acca.com.cn

点击查看原文