兴业银行2024-2025年全网互联网系统渗透测试服务项目（安全厂商）供应商征集公告

兴业银行（略）（略）渗透测试服务项目（安全厂商）供应商征集公告
（略）渗透测试工作需要，我行拟开展（略）（略）渗透测试服务项目，现公开对该项目进行供应商征集，有关事宜公告如下：
一、采购需求及资格要求
1.1.采购需求
（略）（略）安全漏洞，（略）自身安全水平，本期项目拟引入3（略）渗透测试服务，（略）的渗透测试和复测服务，负责核实漏洞的真实性，并按本行要求填写漏洞跟踪表、漏洞初测报告及复测报告；测试范围包括但不限于Web应用、移动客户端（包括安卓和IOS平台）、小程序、（略）、接口程序等。项目合同期为2年（以合同签订日起算）。
（一）可用性、机密性、完整性要求
（略）投标人需对渗透测试期间本项目所有的流量数据、
VPN登录数据进行备份，并提交至我行。
（略）（略），并对渗透测试过程进行全
过程审计监控，测试过程中出现由渗透测试导致的安全事件，应立即启动应急响应，及时暂停和阻断测试行为，并通过流量对行为进行回溯。测试完成后，提交正式审计报告。报告内容不限于以下内容：
(1)审计测试人员行为，包括撞库、拖库、批量操作、木马上传、扫描器扫描等危险行为；
(2)漏洞与流量的对比分析，保证所有已发现漏洞均已提交；
(3)漏洞与流量的对比分析，保证所有漏洞通过VPN接入测试发现；
(4)测试过程统计分析，包括测试时长、测试流量、测试目标范围等；
（略）在渗透测试过程中，测试人员完成漏洞验证后，不
应继续深入利用该漏洞，如因验证漏洞行为对业务、应用、系统造成影响或潜在影响的，需向我行说明具体情况以及受影响范围和程度。
（略）投标人应采取有效管理或技术手段确保测试人员所
用安全检测工具和测试方法的安全性，（略）络的正常运行，（略）络、主机、设备瘫痪的大流量、大规模扫描。
（略）如在渗透测试过程中，（略）发生异常，
投标人应采取措施立即停止有关测试，并配合我行人员分析现状、确定原因、（略）。同时采取必要的预防措施，调整测试策略，经我行同意后方可继续进行测试。
（略）验证漏洞需获取：（略）
构信息或最多5条数据，不应批量获取：（略）
（略）验证漏洞需获取：（略）
性获取：（略）
（略）验证漏洞需上传文件的，在获得验证性漏洞证明后，
（略）留存具有控制性目的的程序、代码、文件。
（略）（略）漏洞，（略）或
（略）络正常运转造成不利影响的行为。
（略）投标人应采取适当措施，避免因使用不当的工具，
（略），禁止执行可导致本地、远程拒绝服务危害的技术验证用例。
（略）禁止执行有可能产生经济财产损失的技术验证用
例。
（二）服务要求
（略）（略）的
渗透测试服务，（略）清单进行渗透测试，测试范围包括但不限于Web应用、移动客户端（包括安卓和IOS平台）、小程序、（略）、接口程序等，我行提供具体渗透测试基准项，投标人应根据自身情况和擅长领域，对测试基准项进行扩展和完善，并在实施中应用。
（略）（略）提供渗透测试和复
测服务（包括远程渗透测试、移动客户端安全检测等），负责核实漏洞的真实性，并按我行要求填写漏洞跟踪表、漏洞初测报告及复测报告；（略），需在现场仿真测试环境完成渗透。
（略）（略），投标人需采取人员交叉测试（2人
或3人）的渗透测试方式：（略）
（略）投标人仅能使用经我行授权的VPN出口的IP进行漏
洞挖掘，使用非授权、报备IP的渗透行为都会被视为攻击行为。
（略）投标人需确保所提交证明材料的真实性，包括但不
限于投标人服务资质、本次项目成员清单表、成员简历（各类专业证书、渗透测试经验年限等）、投标人在国内外赛事的获奖情况、（略）上提交的漏洞情况及投标人的合作案例等。
（略）在开展渗透测试过程中，投标人需通过技术、管理
等手段控制项目风险，保障项目不发生风险事件。
（略）（略）或舆情监测渠道发现
的我行漏洞信息，协助我行获取：（略）
（略）针对合同期内新出现的紧急安全漏洞，及时向我行
提供漏洞信息报告，其中应包括影响范围、严重性评估、排查方法和修复方案等内容，为我行提供漏洞排查和修复的技术支持服务。
（略）投标人按我行要求，在服务期内提供渗透测试服务
有关技术支持，包括现场服务、远程支持，协助我行解决各类相关技术问题。
（略）在漏洞提交或我行进行响应处置期间，不应再次通
（略）络直接验证漏洞，或获取：（略）
（略）投标人应对渗透测试结果整体情况进行阶段性总结
和分析，并出具项目分析报告。
（略）在我行内部开展的渗透测试，应确保部署于我行内
部的渗透测试工具的安全性，同时还应避免工具出现版权纠纷。
（三）人员资质要求
（略）投标人需确保本次项目成员数量至少为10人规模，
并优先安排具有3年以上渗透测试经验的人员参与本次项目。
（略）项目经理：（略）
等证书中的一项或几项。
（略）服务期间，如项目人员无法满足本行需求，本行可
随时提出更换项目人员，投标人应按照要求在三个工作日内调换。
1.2.供应商资质要求
（略）企业实缴资本在100万元（含）及以上，财务稳健，
可稳定提供服务。
（略）企业具备ISO27001认证、（略）
（应急处理）、（略）（风险评估）、信息安全服务资质证书（安全工程类）等证书中的一项或几项。
（略）企业具有参加（略）（略）络安全赛事（强
（略）杯、网鼎杯、天府杯）、（略）络安全赛事（Defcon、Pwn2Own）的经验。
（略）（略）渗透测试服务项目经
验，（略）年与银行（国有六大行、12家全国性股份制银行）合作开展的成功案例不少于2个。
二、报名要求
2.1在兴业银行开立对公账户，若中标本项目，则通过兴业银行对公账户结算该项目相关费用。
2.2充分理解我行服务需求并能够根据需求提供相应的服务。
2.3应具有良好的商业信誉和健全的财务会计制度。
2.4未被“信用中国”网列入“重大税收违法案件当事人名单”、未被“（略）”列入“失信被执行人名单”、未被“（略）”列入“政府采购严重违法失信行为信息记录名单”、未被“（略）”（略）站“严重违法失信企业名单”、在参加本次采购活动前3年内未出现重大违法违规行为，近三年在我行无不良行为记录，不在兴业银行供应商禁用/退出期内。
三、征集时间
本次供应商征集自即日起至2024年4月15日23:59止。
四、报名方式：（略）
采购部门联系人：（略）
报名注意事项：
1.提交的供应商资料内容包括如下三项：
材料1：《（略）（略）渗透测试服务项目(安全厂商)》供应商征集反馈材料-公司名称：（略）
材料2：（略）（略）渗透测试服务项目(安全厂商)信息收集表
材料3：供应商准入信息导入模板
以上三项材料填报模板详见附件，（略）盖章。
2.提交资料所发送的邮件名称：（略）
3.提交供应商资料大小不超过15M。（提交的邮件附件总大小超过15M自动拦截视为无效应答，附件请勿通过第三方邮箱：（略）
五、注意事项
1.能够完全满足我行采购需求、有合作意向、无不良行为记录的供应商均可报名。
2.（略）场调研不代表采购邀请或意向，仅为（略）场情况发起。经审查符合条件者，我行将会主动联系报名者；不符合条件者，将不会联系报名者，材料予以保密。
3.（略）场调研不收取供应商的任何费用。
4.供应商须对报名信息和资料的真实性负责。如提供虚假材料，将取消报名资格并列入我行供应商黑名单。
5.对于上述事项存在疑问的，请及时与我行联系。