兴业银行
(略)(略)渗透测试服务项目(安全厂商)供应商征集公告
(略)渗透测试工作需要,我行拟开展
(略)(略)渗透测试服务项目,现公开对该项目进行供应商征集,有关事宜公告如下:
一、采购需求及资格要求
1.1.采购需求
(略)(略)安全漏洞,
(略)自身安全水平,本期项目拟引入3
(略)渗透测试服务,
(略)的渗透测试和复测服务,负责核实漏洞的真实性,并按本行要求填写漏洞跟踪表、漏洞初测报告及复测报告;测试范围包括但不限于Web应用、移动客户端(包括安卓和IOS平台)、小程序、
(略)、接口程序等。项目合同期为2年(以合同签订日起算)。
(一)可用性、机密性、完整性要求
(略)投标人需对渗透测试期间本项目所有的流量数据、
VPN登录数据进行备份,并提交至我行。
(略)(略),并对渗透测试过程进行全
过程审计监控,测试过程中出现由渗透测试导致的安全事件,应立即启动应急响应,及时暂停和阻断测试行为,并通过流量对行为进行回溯。测试完成后,提交正式审计报告。报告内容不限于以下内容:
(1)审计测试人员行为,包括撞库、拖库、批量操作、木马上传、扫描器扫描等危险行为;
(2)漏洞与流量的对比分析,保证所有已发现漏洞均已提交;
(3)漏洞与流量的对比分析,保证所有漏洞通过VPN接入测试发现;
(4)测试过程统计分析,包括测试时长、测试流量、测试目标范围等;
(略)在渗透测试过程中,测试人员完成漏洞验证后,不
应继续深入利用该漏洞,如因验证漏洞行为对业务、应用、系统造成影响或潜在影响的,需向我行说明具体情况以及受影响范围和程度。
(略)投标人应采取有效管理或技术手段确保测试人员所
用安全检测工具和测试方法的安全性,
(略)络的正常运行,
(略)络、主机、设备瘫痪的大流量、大规模扫描。
(略)如在渗透测试过程中,
(略)发生异常,
投标人应采取措施立即停止有关测试,并配合我行人员分析现状、确定原因、
(略)。同时采取必要的预防措施,调整测试策略,经我行同意后方可继续进行测试。
(略)验证漏洞需获取:
(略)
构信息或最多5条数据,不应批量获取:
(略)
(略)验证漏洞需获取:
(略)
性获取:
(略)
(略)验证漏洞需上传文件的,在获得验证性漏洞证明后,
(略)留存具有控制性目的的程序、代码、文件。
(略)(略)漏洞,
(略)或
(略)络正常运转造成不利影响的行为。
(略)投标人应采取适当措施,避免因使用不当的工具,
(略),禁止执行可导致本地、远程拒绝服务危害的技术验证用例。
(略)禁止执行有可能产生经济财产损失的技术验证用
例。
(二)服务要求
(略)(略)的
渗透测试服务,
(略)清单进行渗透测试,测试范围包括但不限于Web应用、移动客户端(包括安卓和IOS平台)、小程序、
(略)、接口程序等,我行提供具体渗透测试基准项,投标人应根据自身情况和擅长领域,对测试基准项进行扩展和完善,并在实施中应用。
(略)(略)提供渗透测试和复
测服务(包括远程渗透测试、移动客户端安全检测等),负责核实漏洞的真实性,并按我行要求填写漏洞跟踪表、漏洞初测报告及复测报告;
(略),需在现场仿真测试环境完成渗透。
(略)(略),投标人需采取人员交叉测试(2人
或3人)的渗透测试方式:
(略)
(略)投标人仅能使用经我行授权的VPN出口的IP进行漏
洞挖掘,使用非授权、报备IP的渗透行为都会被视为攻击行为。
(略)投标人需确保所提交证明材料的真实性,包括但不
限于投标人服务资质、本次项目成员清单表、成员简历(各类专业证书、渗透测试经验年限等)、投标人在国内外赛事的获奖情况、
(略)上提交的漏洞情况及投标人的合作案例等。
(略)在开展渗透测试过程中,投标人需通过技术、管理
等手段控制项目风险,保障项目不发生风险事件。
(略)(略)或舆情监测渠道发现
的我行漏洞信息,协助我行获取:
(略)
(略)针对合同期内新出现的紧急安全漏洞,及时向我行
提供漏洞信息报告,其中应包括影响范围、严重性评估、排查方法和修复方案等内容,为我行提供漏洞排查和修复的技术支持服务。
(略)投标人按我行要求,在服务期内提供渗透测试服务
有关技术支持,包括现场服务、远程支持,协助我行解决各类相关技术问题。
(略)在漏洞提交或我行进行响应处置期间,不应再次通
(略)络直接验证漏洞,或获取:
(略)
(略)投标人应对渗透测试结果整体情况进行阶段性总结
和分析,并出具项目分析报告。
(略)在我行内部开展的渗透测试,应确保部署于我行内
部的渗透测试工具的安全性,同时还应避免工具出现版权纠纷。
(三)人员资质要求
(略)投标人需确保本次项目成员数量至少为10人规模,
并优先安排具有3年以上渗透测试经验的人员参与本次项目。
(略)项目经理:
(略)
等证书中的一项或几项。
(略)服务期间,如项目人员无法满足本行需求,本行可
随时提出更换项目人员,投标人应按照要求在三个工作日内调换。
1.2.供应商资质要求
(略)企业实缴资本在100万元(含)及以上,财务稳健,
可稳定提供服务。
(略)企业具备ISO27001认证、
(略)
(应急处理)、
(略)(风险评估)、信息安全服务资质证书(安全工程类)等证书中的一项或几项。
(略)企业具有参加
(略)(略)络安全赛事(强
(略)杯、网鼎杯、天府杯)、
(略)络安全赛事(Defcon、Pwn2Own)的经验。
(略)(略)渗透测试服务项目经
验,
(略)年与银行(国有六大行、12家全国性股份制银行)合作开展的成功案例不少于2个。
二、报名要求
2.1在兴业银行开立对公账户,若中标本项目,则通过兴业银行对公账户结算该项目相关费用。
2.2充分理解我行服务需求并能够根据需求提供相应的服务。
2.3应具有良好的商业信誉和健全的财务会计制度。
2.4未被“信用中国”网列入“重大税收违法案件当事人名单”、未被“
(略)”列入“失信被执行人名单”、未被“
(略)”列入“政府采购严重违法失信行为信息记录名单”、未被“
(略)”
(略)站“严重违法失信企业名单”、在参加本次采购活动前3年内未出现重大违法违规行为,近三年在我行无不良行为记录,不在兴业银行供应商禁用/退出期内。
三、征集时间
本次供应商征集自即日起至2024年4月15日23:59止。
四、报名方式:
(略)
采购部门联系人:
(略)
报名注意事项:
1.提交的供应商资料内容包括如下三项:
材料1:《
(略)(略)渗透测试服务项目(安全厂商)》供应商征集反馈材料-公司名称:
(略)
材料2:
(略)(略)渗透测试服务项目(安全厂商)信息收集表
材料3:供应商准入信息导入模板
以上三项材料填报模板详见附件,
(略)盖章。
2.提交资料所发送的邮件名称:
(略)
3.提交供应商资料大小不超过15M。(提交的邮件附件总大小超过15M自动拦截视为无效应答,附件请勿通过第三方邮箱:
(略)
五、注意事项
1.能够完全满足我行采购需求、有合作意向、无不良行为记录的供应商均可报名。
2.
(略)场调研不代表采购邀请或意向,仅为
(略)场情况发起。经审查符合条件者,我行将会主动联系报名者;不符合条件者,将不会联系报名者,材料予以保密。
3.
(略)场调研不收取供应商的任何费用。
4.供应商须对报名信息和资料的真实性负责。如提供虚假材料,将取消报名资格并列入我行供应商黑名单。
5.对于上述事项存在疑问的,请及时与我行联系。
关注微信公众号
免费查看免费推送
尊贵的用户您好。上文****为隐藏内容,
仅对《中国采购招标网》正式会员用户开放。
如您已是本网正式会员请登陆,
如非会员可咨询客服。
|
专属客服:孟娟 |
电话:17756024335 |
微信:17756024335 |