招标
西南联合产权交易所有限责任公司官网网络安全监测服务项目(第三次)询价公告
金额
-
项目地址
四川省
发布时间
2023/10/16
公告摘要
公告正文
西南联合产权交易所有限责任公司官网网络安全监测服务项目(第三次)询价公告
一、项目名称:西南联合产权交易所有限责任公司官网网络安全监测服务项目
二、采 购 人:西南联合产权交易所有限责任公司
三、采购项目内容:
服务机构主要为公司网站提供日常网络安全监测服务,包括:
(一)网站安全监测服务:对以下网站进行7×24小时不间断的安全监测,发现问题在2小时内通告客户,监测内容包括可用性监测、内容监测、挂马监测、暗链死链监测、域名防篡改监测、网站关键敏感信息监测等。
(二)漏洞扫描服务:
信息安全漏洞扫描是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然,主要分为主机系统安全扫描和应用安全扫描两个方面。通过系统安全漏洞扫描,可以检测到服务器系统的安全脆弱性,发现信息系统存在的安全漏洞,以便及时进行系统升级、补丁修复等;通过应用安全漏洞扫描,可以检测到Web应用存在的安全漏洞,以便及时进行网站代码修复,提高网站安全性。
通过对系统扫描和应用扫描的结果进行详细分析整理,最终提供《信息安全漏洞扫描报告》。报告中将针对系统和应用两个方面对漏洞信息进行统计展示,对信息系统存在的漏洞按照对系统产生威胁的严重程度,分高、中、低分别进行统计,并给出相关漏洞的修复建议。
供应商提供的安全服务工具支持系统漏洞扫描,WEB漏洞扫描,网络漏洞监控,网站可用性监控,网站篡改监控,数据库安全扫描,安全基线核查,工控漏洞扫描加强版,工控漏洞扫描,源代码安全审计,系统渗透测试,网络流量分析模块,大数据漏洞扫描,Docker漏洞扫描,离线弱口令扫描,木马病毒扫描,工控漏洞挖掘,视频监控安全检测,APP漏洞扫描,WiFi安全检测,Windows安全加固。
(三)远程人工渗透测试服务:
首要目标是检验网络与系统的防篡改、防挂马能力。渗透测试方通过良性攻击方法验证被测试系统防篡改能力,发现系统设计漏洞;通过爬虫检测手段检测被测试系统是否被植入木马及是否存在可被挂马的安全漏洞。其次是对网络与系统的数据保密、防窃取进行检测能力,渗透方通过对数据库提交各种类型的查询、读写操作命令,验证网站数据库的保密性以及防窃取能力。最后是检验整体安全体系防入侵能力,渗透方通过综合运用各种渗透工具和技术方法,验证被测试网络系统的综合防互联网入侵能力。
1.信息收集操作:通过相关接入环境收集渗透性测试所需信息(包括设备存活情况、网络拓扑情况以及网站系统的漏洞情况等),准备相关测试工具。
2.渗透性测试:通过接入点对互联网节点进行设备和系统的脆弱性测试验证。
3.取证:对脆弱性测试验证的结果进行取证,根据渗透深度情况,不断收集相关
4.环境信息及漏洞情况,并进行综合分析。取证的形式一般采取的方式:截图、内部数据的获取。
5.系统权限提升:根据环境条件进行相关的权限提升,直到最高权限。
6.循环:在渗透测试过程中,就是不断地进行系统信息收集操作、渗透测试、本地信息收集和权限提升这一系列操作过程。
7.渗透痕迹清除:根据渗透过程中使用的一些工具情况进行必要的清除过程。
(四)安全工具服务:
1.供应商提供的安全服务工具支持支持对Windows操作系统的配置、网络、接入、日志、防护等方面进行自动和手动安全加固。支持下载“Windows加固工具”,可以在需要安全加固的Windows主机上本地运行。
2.供应商提供的安全服务工具支持一键扫描,只需要输入IP地址、IP地址网段、URL,系统会自动调用选中的扫描引擎,使用默认的扫描模板、扫描参数对目标系统进行漏洞扫描。
3.供应商提供的安全服务工具支持WEB漏洞验证,能够对发现的WEB漏洞进行验证,记录下扫描漏洞时的测试数据包,用于取证。对于SQL注入漏洞,可以查看注入点、数据库类型、数据库名称,并进行浏览器验证。对于跨站脚本漏洞,可以进行浏览器验证,会有弹窗提示。支持WEB漏洞检测、网站可用性检测、网页篡改检测、敏感关键字检测、网马和暗链检测、钓鱼网站检测等。
4.供应商提供的安全服务工具支持对十类及以上目标进行渗透测试,且包括:操作系统、数据库、WEB应用、中间件和框架、网络设备、Wi-Fi网络、云计算平台、大数据平台、视频监控设备、工业控制设备、办公自动化设备、物联网设备。
5.供应商提供的安全服务工具支持检测软件源代码中存在的代码注入、SQL注入、跨站脚本、文件包含、信息泄漏、webshell、硬编码密码等十种及以上漏洞类型。
6.供应商提供的安全服务工具支持对带密码保护的压缩包附件进行扫描分析;支持自定义预设的解压密码集合;支持提取邮件正文及标题中可能的解压密码;支持提取图片中的解压密码。
7.供应商提供的安全服务工具可扫描来自指定高级用户的电子邮件,阻止欺诈及钓鱼邮件,防止攻击者冒充利用高层主管的身份诱骗目标汇钱到攻击者的帐户等诈骗行为。
8.供应商提供的安全服务工具可通过以下方式对邮件附件检测:杀毒引擎及病毒库监测已知病毒;沙箱技术动态分析未知威胁的可疑附件;支持第三方及自定义YARA规则侦测恶意附件。
四、供应商资格要求
(一)一般资格要求
1.须在中华人民共和国境内注册,具备独立承担民事责任的能力(若为分公司,需提供总公司相应授权说明)
2.具有依法缴纳税收和社会保障资金的良好记录;
3.具有履行合同所必须的设备和专业技术能力;
4.须具有良好的商业信誉,近一年内或成立至今在日常经营活动中未出现违法、违规经营行为、未处于有关行政处罚期间,未被列为失信被执行人;
5.近一年内或成立至今财务状况无亏损或净资产大于0;
6.近一年内或成立至今在日常经营活动中,未因重大执业质量等问题受到各级国资监管部门通报;
7.单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项下的采购活动;
8.近一年内或成立至今在日常经营活动中供应商单位及其现任法定代表人、主要负责人不得具有行贿犯罪记录。
9.近两年内或成立至今具备一项正在实施或已完成的类似业绩;(此处“成立至今”系针对于成立不满两年的公司)
10.没有被有关部门明文规定市场禁入;
11.法律、行政法规规定的其他条件;
12.本次采购不允许联合体参与响应。
(二)技术能力资格要求
1.供应商2021年(含)以来,具有类似项目履约经验;提供合同关键页或协议关键页复印件,并加盖供应商公章。
2.供应商具有质量管理体系认证证书;具有信息安全管理体系认证;提供经中国认证认可监督管理委员会确定的认证机构出具的证书复印件或中国认证认可监督管理委员会官网的查询结果截图或打印件并加盖供应商公章。
3.供应商具有中国网络安全审查技术与认证中心(简称CCRC)颁发的信息安全服务资质:一级信息系统安全运维服务资质、一级信息安全应急处理服务资质、一级信息安全风险评估服务资质。提供证书复印件并加盖供应商公章。
4.供应商具有国家计算机网络应急技术处理协调中心(简称CNCERT)颁发的国家级网络安全应急服务支撑单位证书。提供证书复印件并加盖供应商公章。
凡不符合以上资格要求的供应商,均不得参加本次询价,否则该响应无效。
五、确定成交单位方式
本次询价选择评审价最低的单位为成交供应商。
六、询价文件获取方式:
询价文件自2023年10月16日至2023年10月19日17:00(北京时间)在西南联合产权交易所电子招采平台网站https://www.swuee.com/#/purchase/index,按照网上操作流程(资料下载-供应商操作手册)获取。本项目询价文件费用:0元/份。
七、响应文件递交截止时间及地点:
向采购人递交书面询价响应文件,递交的截止时间(询价截止时间,下同)为2023年10月19日17时00分,地点为 成都市高新区天府二街151号环球领地金融中心B座四川发展大厦7楼。
逾期送达的或者未按上述要求送达的询价响应文件,采购人不予受理。
六、联系方式
询 价 人: 西南联合产权交易所有限责任公司
地 址: 成都市高新区天府二街151号环球领地金融中心B座四川发展大厦7楼
联 系 人: 李先生
电 话: 13541011892
2023年9月12日
我要报名
| 项目名称 | 西南联合产权交易所有限责任公司官网网络安全监测服务项目(第三次) | 项目编号 | SWUEECG202304558 |
|---|---|---|---|
| 标段名称 | —— | ||
| 采购方式 | 询价采购 | 招采类型 | 服务类 |
| 招标文件获取开始时间 | 2023-10-16 12:00:00 | 招标文件获取截止时间 | 2023-10-19 17:00:00 |
| 报名截止时间 | 2023-10-19 17:00:00 | 开标时间 | |
一、项目名称:西南联合产权交易所有限责任公司官网网络安全监测服务项目
二、采 购 人:西南联合产权交易所有限责任公司
三、采购项目内容:
服务机构主要为公司网站提供日常网络安全监测服务,包括:
(一)网站安全监测服务:对以下网站进行7×24小时不间断的安全监测,发现问题在2小时内通告客户,监测内容包括可用性监测、内容监测、挂马监测、暗链死链监测、域名防篡改监测、网站关键敏感信息监测等。
(二)漏洞扫描服务:
信息安全漏洞扫描是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然,主要分为主机系统安全扫描和应用安全扫描两个方面。通过系统安全漏洞扫描,可以检测到服务器系统的安全脆弱性,发现信息系统存在的安全漏洞,以便及时进行系统升级、补丁修复等;通过应用安全漏洞扫描,可以检测到Web应用存在的安全漏洞,以便及时进行网站代码修复,提高网站安全性。
通过对系统扫描和应用扫描的结果进行详细分析整理,最终提供《信息安全漏洞扫描报告》。报告中将针对系统和应用两个方面对漏洞信息进行统计展示,对信息系统存在的漏洞按照对系统产生威胁的严重程度,分高、中、低分别进行统计,并给出相关漏洞的修复建议。
供应商提供的安全服务工具支持系统漏洞扫描,WEB漏洞扫描,网络漏洞监控,网站可用性监控,网站篡改监控,数据库安全扫描,安全基线核查,工控漏洞扫描加强版,工控漏洞扫描,源代码安全审计,系统渗透测试,网络流量分析模块,大数据漏洞扫描,Docker漏洞扫描,离线弱口令扫描,木马病毒扫描,工控漏洞挖掘,视频监控安全检测,APP漏洞扫描,WiFi安全检测,Windows安全加固。
(三)远程人工渗透测试服务:
首要目标是检验网络与系统的防篡改、防挂马能力。渗透测试方通过良性攻击方法验证被测试系统防篡改能力,发现系统设计漏洞;通过爬虫检测手段检测被测试系统是否被植入木马及是否存在可被挂马的安全漏洞。其次是对网络与系统的数据保密、防窃取进行检测能力,渗透方通过对数据库提交各种类型的查询、读写操作命令,验证网站数据库的保密性以及防窃取能力。最后是检验整体安全体系防入侵能力,渗透方通过综合运用各种渗透工具和技术方法,验证被测试网络系统的综合防互联网入侵能力。
1.信息收集操作:通过相关接入环境收集渗透性测试所需信息(包括设备存活情况、网络拓扑情况以及网站系统的漏洞情况等),准备相关测试工具。
2.渗透性测试:通过接入点对互联网节点进行设备和系统的脆弱性测试验证。
3.取证:对脆弱性测试验证的结果进行取证,根据渗透深度情况,不断收集相关
4.环境信息及漏洞情况,并进行综合分析。取证的形式一般采取的方式:截图、内部数据的获取。
5.系统权限提升:根据环境条件进行相关的权限提升,直到最高权限。
6.循环:在渗透测试过程中,就是不断地进行系统信息收集操作、渗透测试、本地信息收集和权限提升这一系列操作过程。
7.渗透痕迹清除:根据渗透过程中使用的一些工具情况进行必要的清除过程。
(四)安全工具服务:
1.供应商提供的安全服务工具支持支持对Windows操作系统的配置、网络、接入、日志、防护等方面进行自动和手动安全加固。支持下载“Windows加固工具”,可以在需要安全加固的Windows主机上本地运行。
2.供应商提供的安全服务工具支持一键扫描,只需要输入IP地址、IP地址网段、URL,系统会自动调用选中的扫描引擎,使用默认的扫描模板、扫描参数对目标系统进行漏洞扫描。
3.供应商提供的安全服务工具支持WEB漏洞验证,能够对发现的WEB漏洞进行验证,记录下扫描漏洞时的测试数据包,用于取证。对于SQL注入漏洞,可以查看注入点、数据库类型、数据库名称,并进行浏览器验证。对于跨站脚本漏洞,可以进行浏览器验证,会有弹窗提示。支持WEB漏洞检测、网站可用性检测、网页篡改检测、敏感关键字检测、网马和暗链检测、钓鱼网站检测等。
4.供应商提供的安全服务工具支持对十类及以上目标进行渗透测试,且包括:操作系统、数据库、WEB应用、中间件和框架、网络设备、Wi-Fi网络、云计算平台、大数据平台、视频监控设备、工业控制设备、办公自动化设备、物联网设备。
5.供应商提供的安全服务工具支持检测软件源代码中存在的代码注入、SQL注入、跨站脚本、文件包含、信息泄漏、webshell、硬编码密码等十种及以上漏洞类型。
6.供应商提供的安全服务工具支持对带密码保护的压缩包附件进行扫描分析;支持自定义预设的解压密码集合;支持提取邮件正文及标题中可能的解压密码;支持提取图片中的解压密码。
7.供应商提供的安全服务工具可扫描来自指定高级用户的电子邮件,阻止欺诈及钓鱼邮件,防止攻击者冒充利用高层主管的身份诱骗目标汇钱到攻击者的帐户等诈骗行为。
8.供应商提供的安全服务工具可通过以下方式对邮件附件检测:杀毒引擎及病毒库监测已知病毒;沙箱技术动态分析未知威胁的可疑附件;支持第三方及自定义YARA规则侦测恶意附件。
四、供应商资格要求
(一)一般资格要求
1.须在中华人民共和国境内注册,具备独立承担民事责任的能力(若为分公司,需提供总公司相应授权说明)
2.具有依法缴纳税收和社会保障资金的良好记录;
3.具有履行合同所必须的设备和专业技术能力;
4.须具有良好的商业信誉,近一年内或成立至今在日常经营活动中未出现违法、违规经营行为、未处于有关行政处罚期间,未被列为失信被执行人;
5.近一年内或成立至今财务状况无亏损或净资产大于0;
6.近一年内或成立至今在日常经营活动中,未因重大执业质量等问题受到各级国资监管部门通报;
7.单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项下的采购活动;
8.近一年内或成立至今在日常经营活动中供应商单位及其现任法定代表人、主要负责人不得具有行贿犯罪记录。
9.近两年内或成立至今具备一项正在实施或已完成的类似业绩;(此处“成立至今”系针对于成立不满两年的公司)
10.没有被有关部门明文规定市场禁入;
11.法律、行政法规规定的其他条件;
12.本次采购不允许联合体参与响应。
(二)技术能力资格要求
1.供应商2021年(含)以来,具有类似项目履约经验;提供合同关键页或协议关键页复印件,并加盖供应商公章。
2.供应商具有质量管理体系认证证书;具有信息安全管理体系认证;提供经中国认证认可监督管理委员会确定的认证机构出具的证书复印件或中国认证认可监督管理委员会官网的查询结果截图或打印件并加盖供应商公章。
3.供应商具有中国网络安全审查技术与认证中心(简称CCRC)颁发的信息安全服务资质:一级信息系统安全运维服务资质、一级信息安全应急处理服务资质、一级信息安全风险评估服务资质。提供证书复印件并加盖供应商公章。
4.供应商具有国家计算机网络应急技术处理协调中心(简称CNCERT)颁发的国家级网络安全应急服务支撑单位证书。提供证书复印件并加盖供应商公章。
凡不符合以上资格要求的供应商,均不得参加本次询价,否则该响应无效。
五、确定成交单位方式
本次询价选择评审价最低的单位为成交供应商。
六、询价文件获取方式:
询价文件自2023年10月16日至2023年10月19日17:00(北京时间)在西南联合产权交易所电子招采平台网站https://www.swuee.com/#/purchase/index,按照网上操作流程(资料下载-供应商操作手册)获取。本项目询价文件费用:0元/份。
七、响应文件递交截止时间及地点:
向采购人递交书面询价响应文件,递交的截止时间(询价截止时间,下同)为2023年10月19日17时00分,地点为 成都市高新区天府二街151号环球领地金融中心B座四川发展大厦7楼。
逾期送达的或者未按上述要求送达的询价响应文件,采购人不予受理。
六、联系方式
询 价 人: 西南联合产权交易所有限责任公司
地 址: 成都市高新区天府二街151号环球领地金融中心B座四川发展大厦7楼
联 系 人: 李先生
电 话: 13541011892
2023年9月12日
我要报名
解决方案
联系我们
返回顶部