采购人：中国银行股份有限公司山西省分行
项目名称：山西分行2021年度特色业务软件安全评测项目
项目编号：BOC-2021FW-007
一、采购项目内容及标准
我行拟对山西分行特色业务软件2021年度安全评测项目进行采购。具体采购内容如下：
（一）采购内容：

1 漏洞扫描

工作要求：
1) 对目标系统进行扫描，判断其存活性，与资产表核实遗漏设备，更新IP资产清单。
2) 对系统进行全端口扫描，对于可疑端口进行人工验证。
3) 编写漏洞扫描报告。

2 配置核查

要求：对业务系统资产进行梳理，收集资产系统类型、授权认证、访问跳转等信息，对资产按照业务系统进行组织录入到安全配置检查工具中。
1) 采用指定的安全配置基线检查工具，对重要业务应用系统的操作系统、数据库的安全配置进行检查，并输出基线检查报告。

3 渗透测试

概述：对WEB应用进行信息搜集、漏洞探测、安全防护突破、获取权限、提权、获取数据等测试，验证当前安全防护的健壮性及已有漏洞被成功利用的可能性。
工作要求：
1) 渗透测试应覆盖目前黑客圈常用的漏洞测试及渗透手法，包括但不限于SQL注入、XSS、CSRF等。
2) 渗透测试报告应较反应渗透测试所利用的目标系统的脆弱点、渗透过程中的步骤，并对渗透发现的问题给出有合理的整改建议。

4 代码审计

概述：源代码审计（Code Review）是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷，从而让开发人员了解其开发的应用系统可能会面临的威胁，并指导开发人员正确修复程序缺陷。
要求：根据测试的结果编写直观的代码审计服务报告。生成各部分的检测文档，整合并提交一份详细的《XXXX源代码审核报告》。
5、供应商数量：1家
二、邀请对象的资格要求
1、在中华人民共和国境内成立2年以上，依法注册成立，具有相关经营范围；
2、服务供应商可为服务原厂或原厂授权的代理商；
3、代理商应具有原厂授权函，须具有原厂CNCERT、CCRC等信息安全服务资质认证一级等证书；
三、报名供应商须持以下报名资料
1、企业法人营业执照复印件，复印件加盖公章；
2、法人授权委托书；
3、授权代表身份证原件及复印件，复印件加盖公章；
四、报名时间
2021年10月12日至2021年10月18日(每天上午8：30-11：30，下午14:30-16：30，节假日除外)。
五、报名地点
山西省太原市平阳路186号中国银行股份有限公司山西省分行（5F）信息科技部
报名联系人：李灏 0351-8266570
技术需求联系人：郑天 0351-8266399
招标公告发布媒介
中国采购与招标网


二〇二一年十月十二日



'