太平石化金融租赁有限责任公司
网络安全设备和安全服务项目供应商征集公告
关于太平石化金租机房保障项目已启动,现为该项目征集优秀供应商,征集时间自 2023 年 6 月 13 日 12:00 至 2023 年 6 月 20 日 12:00 ,欢迎参与。
一、采购人
太平石化金融租赁有限责任公司(此项目为采购人自行组织实施,未委托任何招标代理机构)
二、采购事项
1.渗透测试和漏扫服务
( 1 )渗透测试:
1.对我司重要系统开展渗透测试并出具渗透测试报告。
2.应根据我司需要出具相应的正式渗透测试报告,测试报告必须包含系统所有功能点。
3.渗透测试系统清单中的系统进行至少一次全面覆盖渗透测试检测(必须包含人工渗透)。
4.漏洞定级标准和收录的漏洞等级由我司制定。
5.须在我司指定的时间内(一般为一个月)完成渗透测试和提交漏洞,渗透测试结束后1个月内提交正式测试报告和测试总结报告。
6.我司实施漏洞修复后若有复测需要,应在5个工作日内完成复测并提供测试结果。
7.渗透测试风险控制要求 ★
渗透测试服务须采用可控制的、非破坏性质的渗透测试工具或技术,并在执行过程中把握好每一个步骤的信息输入/输出,控制好风险,确保对我司相关网络不造成破坏性的损害,保证渗透测试前后信息系统的可用性、可靠性。
8.测试质量要求 ★
每轮次渗透测试的漏洞数量要求:每轮次提交的有效漏洞数量不得低于本轮次测试系统数量的80%,每轮次提交有效的中高危及以上漏洞不得低于本轮次有效漏洞数量的73%,即有效漏洞数/系统测试总数>= 80%,中高危数量/有效漏洞数量>=73%,两项占比要求其中每低于一个百分点,将扣除本轮次总结算金额的1%,若扣除达到结算总金额的100%则不再进行扣除。本次测试不收录利用扫描工具原理性探测发现的漏洞(如cookie没有HttpOnly标志设置这类无实际影响的漏洞),有效漏洞须有验证漏洞截图和漏洞发现的详细步骤和漏洞利用的方式及漏洞造成的威胁。提交漏洞存在下列情况时,不作有效漏洞进行统计:
① 我司已提前通报的修复中漏洞(可提供已提前通报证据)。
② 无法证明为我司的漏洞(例如百度词条中XXX页面漏洞归属百度,友情链接系统漏洞等)
③ 经与我司双方确认定为误报漏洞(检测方法错误实际漏洞不存在、实际无危害可忽略等)
④ 无法复现漏洞(漏洞提交后确认,若有异议可申诉,最终以我司确认为准)
⑤ 重复提交漏洞(如全网站存在XSS漏洞,原则上只计1个有效漏洞,不能提交100个页面算作100个漏洞)
9.收录漏洞定级和标准
根据漏洞利用难易和造成的危害,收录的漏洞标准分为4档,具体评定标准以我司解释为准,简要描述如下:
l 严重漏洞:
① 控制内网多台机器
② 核心后台超级管理员权限获取且造成大范围企业核心数据泄露,可造成巨大影响
③ 重大 0day 漏洞,如操作系统或重要组件的未公开漏洞
④ 经综合评估认定的其他严重安全漏洞
l 高危漏洞:
① 直接获取操作系统权限(服务器权限、客户端权限),包括但不限于远程任意命令执行、 Getshell 、上传 Webshell 、缓冲区溢出、服务器解析漏洞等可获得服务器权限
② 敏感信息泄露:包括但不限于任意文件包含、大量源代码泄露、账户及支付交易等敏感信息批量泄露;可获得大量客户敏感数据,经评估影响用户个人隐私信息安全,或造成公司 / 用户损失
③ 系统的 SQL 注入(后台漏洞降级,打包提交酌情提升)
④ 敏感信息越权访问。包括但不限于绕过认证直接访问管理后台进行敏感操作、重要后台弱密码、获取大量内网敏感信息的 SSRF 等
⑤ 读取任意文件
⑥ 涉及金钱的交易、绕过支付逻辑(需最终利用成功,优惠券相关问题除外)
⑦ 严重的逻辑设计缺陷和流程缺陷。包括但不限于任意用户登录漏洞、批量修改任意账号密码漏洞、任意金额支付、任意账号支付、涉及企业核心业务的逻辑漏洞等,验证码爆破除外
⑧ 大范围影响用户的其他漏洞。包括但不仅限于重要页面可自动传播的存储型 XSS 、可获取管理员认证信息且成功利用的存储型 XSS 等
⑨ 经综合评估认定的其他高危安全漏洞
l 中危漏洞:
① 需要交互才能获取用户身份信息的漏洞:包括但不限于经评估可获得管理员权限的存储型 XSS
② 越权操作:包括但不限于普通用户权限批量越权访问、查看其他用户信息、绕过限制修改用户资料、执行用户操作等
③ 应用缺陷导致的远程拒绝服务漏洞,不包括 DDOS 或 CC 方式
④ 应用系统管理员弱口令:可以获得该应用系统的管理员权限
⑤ 直接通过客户端可获取操作系统管理员(或手机 root )的权限
⑥ 可远程窃取客户端数据等
⑦ 任意密码找回等系统敏感操作可被爆破成功造成的漏洞
⑧ 本地保存的敏感认证密钥 算法信息泄露 ( 需能做出有效利用 )
⑨ 四位验证码爆破重置密码或者登录账号 , 爆破控制普通的后台或者边缘系统的后台 ( 爆破成功 | 普通权限账户降级 )
⑩ 心脏滴血漏洞
11 XML 注入
12 任意文件上传(例如上传 html 导致可利用成功的存储 XSS ,或上传 webshell 酌情提升漏洞等级)
13 经综合评估认定的其他中危安全漏洞
l 低危漏洞:
① 客户端验证码绕过,验证码爆破(完善利用场景)
② 普通 CSRF 漏洞
③ 一般越权操作:包括但不限于普通用户权限越权修改、删除其他用户信息等
④ 一般逻辑设计缺陷:包括但不限于图形验证码绕过、非关键环节短信验证码绕过等
⑤ URL 跳转:包括但不限于未验证的重定向和转发
⑥ 客户端本地漏洞:包括但不限于本地拒绝服务漏洞、命令截断、应用程序目录下的 dll 劫持
⑦ 因业务需要可能导致的撞库、爆破、遍历接口(获得的数据不涉及敏感信息)
⑧ 参数或配置可能导致但无法证明的安全风险
⑨ 应用系统普通用户弱口令:可以获得相关业务系统的访问权限
⑩ 短信轰炸
11 反射型 XSS (包括 DOM XSS / Flash XSS ), self-xss/post 型反射 XSS
12 经综合评估认定的其他低危安全漏洞
(2)漏洞扫描
对我司全部服务器系统开展漏洞扫描并出具漏扫报告。
2.安全演习期间保障服务
( 1 )安全意识培训
面向公司全体员工提供 1 场安全意识培训,内容涉及安全防范、护网攻防、安全技术、安全管理、防诈骗等。
(2)钓鱼邮件演练
邮件钓鱼攻击模拟演练要求:
① 根据招标方要求,完成邮件钓鱼攻击模拟演练环境搭建工作;
② 设计常见钓鱼邮件主题 5 个;
③ 根据演练结果,提供邮件钓鱼攻击模拟演练总结报告;
④ 合同项目进行中产生的任何著作权、任何技术成果的专利申请权、任何技术秘密相关权利和任何商标注册申请权及相关利益均完全归属于招标方;投标方有权为开展工作而内部使用上述成果,但除经招标方书面同意的以外,投标方不得再以任何形式将以上资料透露给任何第三方;
⑤ 投标方保证:投标依据本合同向招标方提供的任何程序、文件、报告、说明、图表等不存在任何侵犯第三方知识产权的情形;如招标方因此遭受第三方的索赔或起诉,则投标承诺自费就上述索赔或起诉为招标方答辩,并承担招标方因此遭受的全部损失。
(3)安全演习期间值守及总结服务
包括:设备告警监控;告警处置分析;安全原厂人员现场7*24小时值守;值守期间应急响应;攻击溯源服务;总结报告,安全加强建议等相关服务。
3.全流量检测设备 1 台
技术参数 ●项必须满足项
| 序号 |
指标项 |
详细技术参数要求(●代表基础功能、★代表高级功能) |
| 1 |
物理参数 |
● 本次要求所投产品硬件设备≧ 1 台 2U 设备,其中每台 CPU ≧ 20 物理核,内存≧ 96GB ,系统盘≧ 240GB ,存储盘≧ 12TB ; 支持不低于 2* 多模万兆光口、 8* 千兆电口、 1*GE 管理口;双电源 ; 实际支持≧ 1Gbps 的网络流采集和处理 ——(提供功能截图并加盖原厂公章) |
| 2 |
网络配置 |
● 部署模式:支持旁路部署,接入实时流量进行检测、支持本地导入 PCAP 文件进行离线流量检测。 ——(提供功能截图并加盖原厂公章) ● 网卡网络配置:接口 IP 地址支持配置 IPv4 地址和 IPv6 地址、支持添加静态 IPv4 路由和 IPv6 路由、支持 DNS 首选、备选配置。 ——(提供功能截图并加盖原厂公章) |
| 3 |
漏洞利用攻击检测 |
● 支持通过漏洞利用攻击检测模型,对命令执行、 XML 实体注入、未授权访问、权限绕过、解析漏洞、非 Web 攻击、 SQL 、 XSS 、 CSRF 、 SSRF 、拒绝服务、后门、反序列化、代码执行、代码注入、文件上传、权限不当、信息泄漏、未授权访问、不安全的配置、 XXE 、 LDAP 注入、目录穿越、扫描器探测、权限绕过、文件修改、文件读取、文件删除、逻辑错误、 CRLF 注入、模版注入、缓冲区溢出、整数溢出、格式化字符串、等漏洞利用攻击行为进行深度检测,并输出安全事件; ——(提供功能截图并加盖原厂公章) ★ 支持基于语义分析的漏洞利用检测,对 sql 注入、 XSS 、命令注入行为进行语义分析检测,并输出安全事件; |
| 4 |
反弹 shell 检测 |
★ 支持通过反弹 shell 检测模型,对执行代理工具 shell 等黑客发起的攻击行为(加密|非加密)进行深度检测,并输出安全事件 |
| 5 |
加密流量检测 |
●支持加密隧道威胁检测、加密流量威胁检测等检测方式 ; ——(提供功能截图并加盖原厂公章) ★ 支持加密情况下反弹 shell 检测 |
| 6 |
异常扫描行为检测 |
● 支持有效识别 nmap 、 sqlmap 、 Gobuster 、 N-Stalker 、 W3af 、 Awvs 、 Netsparker 等类型扫描器发起的网络扫描行为,并输出安全事件; ——(提供功能截图并加盖原厂公章) ● 支持黑客扫描 webshell 后门检测,准确识别黑客扫描 webshell 后门行为,并输出安全事件;支持有效识别常见的端口扫描、目录扫描、主机存活扫描等扫描活动; ——(提供功能截图并加盖原厂公章) |
| 7 |
信息收集行为检测 |
● 支持针对 应用程序错误信息和 PHPINFO 或 Fastjson 版本信息探测和 Weblogic 黑名单探测等应用信息收集行为进行有效检测,并输出安全事件; ——(提供功能截图并加盖原厂公章) |
| 8 |
挖矿行为检测 |
● 支持通过挖矿分析模型,对主机与矿池通信连接行为、协议等进行深度检测,检测矿池包含但不限于: XMRig 工具、 Stratum 挖矿协议等,并输出安全事件。 ——(提供功能截图并加盖原厂公章) |
| 9 |
自动化攻击工具检测 |
★ 支持各类扫描、漏洞利用、远控、横向移动、 webshell 、权限维持工具检测; |
| 10 |
Webshell 攻击检测 |
● 支持通过 Webshell 攻击检测模型对常见 Webshell 工具发起的攻击行为进行深度检测,工具类型包含但不限于:蚁剑、冰蝎、哥斯拉等;支持 Webshell 攻击检测,并输出安全事件; ——(提供功能截图并加盖原厂公章) |
| 11 |
登录风险检测 |
● 支持通过登录检测模型,对登录过程中输入的弱口令进行深度检测,并输出安全事件;支持通过登录检测模型,对登录爆破行为进行深度检测,并输出安全事件; ——(提供功能截图并加盖原厂公章) ★ 支持对部分非明文传输密码的登录协议弱口令进行检测,如 mysql 、 pgsql ,并输出安全事件 |
| 12 |
内网横移检测 |
● 支持内网中各类漏洞攻击行为检测,如永恒之蓝,并输出安全事件; ——(提供功能截图并加盖原厂公章) ★ 支持内网权限维持手段的检测,并输出安全事件;支持内网环境中敏感行为、危险调用检测检测,如 Kerberos 票据加密方式降级、 LDAP 敏感操作等,并输出安全事件; ● 支持内网环境中账户爆破检测、如 kerberos 账户爆破、 SMB 账户爆破、 LDAP 账户爆破 ; ——(提供功能截图并加盖原厂公章) |
| 13 |
攻击链检测 |
● 支持通过攻击杀伤链模型从侦查、入侵、命令与控制、横向移动、达成目标等阶段对各类攻击进行层次划分,利用攻击特征、攻击结果、攻击时序等因素进行综合分析对事件进行标识; ——(提供功能截图并加盖原厂公章) |
| 14 |
攻击结果研判 |
★ 支持通用失败研判,对攻击事件进行分析,判断此次攻击结果是否为失败;支持命令执行成功研判,对攻击事件进行分析,判断此次攻击结果是否为失败;支持文件读取成功研判,对文件读取类攻击事件进行分析,判断此次攻击结果是否为成功; ★ 支持弱口令登录结果研判,对弱口令登录事件,判断弱口令是否有效;支持登录接口爆破结果检测,对登录爆破检测,判断是否爆破成功,并输出安全事件;支持 SQL 注入成功研判,对 SQL 注入类事件进行分析,判断此次攻击结果是否为成功; ★ 支持反连成功研判,对反弹 shell 、 ssrf 、 jndi 等攻击,提取反连 IP/ 域名,分析受害主机是否连接该 IP/ 域名,判断此次攻击结果是否为成功; |
| 15 |
文件还原 |
● 支持还原 HTTP 、 SMTP 、 IMAP 、 POP3 、 FTP 、 SMB 、 Kerberos 、 LDAP 等协议中的文件; ——(提供功能截图并加盖原厂公章) ● 具备从流量中还原文件并进行威胁检测的能力,文件类型包括 doc 、 docx 、 ppt 、 pptx 、 xls 、 xlsx 、 wps 、 rtf 、 pdf 、 exe 、 zip 、 7z 、 rar 、 gzip 、 tar 、 py 、 html 、 swf 、 jpeg 、 jpg 、 png 、 pcap 、 class 、 jar 、 apk 、 bz2 、 cab 、 flv 、 tiff 、 msi 、 gif 等格式
——(提供功能截图并加盖原厂公章) |
| 16 |
恶意文件检测 |
★ 支持内置不少于 5 个杀毒引擎或支持内置不少于 5 个静态检测引擎;支持对恶意文件进行检测,检测的恶意文件类型包括但不限于:病毒、木马、蠕虫、钓鱼程序、黑客工具、漏洞利用代码、恶意宏文档等。给出详细的恶意文件事件描述和解决方案,可查看恶意文件类型、文件 MD5 、文件路径、文件大小等详情信息进行分析 |
| 17 |
文件 webshell 检测 |
★ 支持 webshell 检测,如文件包含漏洞、任意文件写入、任意目录读取、任意文件包含。支持检测的文件类型包含且不限于 PHP 、 java 、 asp 、 aspx 、 jsp 、 jspx 、 class 、 war 等格式,可查看文件详情信息和下载样本文件进行分析 |
| 18 |
沙箱检测 |
● 支持多种沙箱运行模式、支持 windows 、 linux 类型沙箱,支持限制从流量中还原的可以进入沙箱的文件大小; ——(提供功能截图并加盖原厂公章) ★ 支持沙箱行为签名检测,根据主机或网络行为判断其是否为恶意文件; |
| 19 |
溯源取证 |
● 支持 DNS 、 HTTP 、登录事件等元数据的检索查看;支持安全事件全流 pcap 留存及下载,可在线解码数据包; ——(提供功能截图并加盖原厂公章) |
| 20 |
元数据检索 |
● 支持对流量数据进行多维度统计检索,包含 TCP 会话流量、协议流量、 IP 流量等 ——(提供功能截图并加盖原厂公章) |
| 21 |
离线升级 |
● 支持通过升级包文件离线导入对系统进行升级;支持系统和内置规则库的升级 ——(提供功能截图并加盖原厂公章) |
| 22 |
聚合模式 |
★ 支持从攻击者、受害者、威胁类型、威胁名称等多个视角对威胁事件进行事件自动聚合 ; 可以将条件保存为检索场景,实现快速筛选 |
| 23 |
告警全包解码 |
★ 可对告警相关数据包进行在线解码分析,支持 wireshark 过滤语法对数据包进行过滤查询 |
| 24 |
自定义检测规则 |
★ 支持双向流量检测规则配置,支持多种协议( HTTP 、 TCP 、 UDP 等)的逐流逐包检测,配置检测字段包括但不限于 method 、 host 、 user_agent 、 cookie 、 referer 、 header 、 body 等 |
| 25 |
告警筛选 |
★ 支持告警快速筛选和高级筛选两种模式;快速搜索部分可以以告警类型为标签进行筛选查询,告警类型超过 20 个;高级筛选功能字段筛选逻辑至少包括等于、不等于、包含、不包含、模糊匹配、精准匹配多种方式,逻辑关系至少包含 AND 和 OR ,可以根据多条件组合方式对告警进行精细匹配查询 |
| 26 |
自定义情报规则 |
● 支持手动配置 IOC 情报,支持批量导入上传离线情报; ——(提供功能截图并加盖原厂公章) |
| 27 |
资产管理 |
★ 支持手动添加和文件导入资产;支持字段包括:资产名称、资产 IP 、 MAC 地址、资产类型、负责人、地理位置、重点资产和备注;并支持在告警列表的攻击 IP 和受害 IP 能够关联出相关资产信息 |
| 28 |
重点资产 |
● 支持重点资产标识;支持告警列表中快速筛选重点资产所触发的告警事件 |
| 29 |
集中管理 |
● 支持进行集群部署,并可以通过统一管理平台进行管理,包括告警日志及统一检索、黑白名单、规则等 |
| 30 |
设备监控 / 控制 |
● 支持查看设备的运行状态信息( CPU 、内存、磁盘及流量状态等),支持设备运行状态阈值告警和界面设备启停控制 |
| 31 |
数据联动 |
● 支持与态势感知平台产品或其他安全设备进行数据联动,将告警检测数据统一同步到态势感知平台,为全网态势感知监测提供数据来源 |
| 32 |
告警通知 |
★ 支持钉钉、飞书等多种告警通知方式,支持从威胁等级、攻击结果等多个维度自定义通知发送内容 |
| 33 |
XFF 提取配置 |
★ 支持配置威胁告警中 XFF 字段的 IP 地址信息获取方式。支持有多个 XFF IP 值的情况下按是否为资产自定义 IP 提取位置 |
| 34 |
旁路阻断 |
● 支持基于入侵检测规则、威胁情报的阻断策略。支持配置阻断黑名单、白名单。 ——(提供功能截图并加盖原厂公章) ● 支持基于 IP 、域名的封禁策略。支持配置阻断对象、生效时长。支持配置封禁黑名单、白名单。 ——(提供功能截图并加盖原厂公章) |
三、供应商要求
报名供应商必须满足以下条件:
( 1 )供应商必须是具有独立承担民事责任能力的在中华人民共和国境内注册的法人或其他组织;
( 2 )近三年未被列入国家企业信用信息公示系统经营异常名录和严重违法失信企业名单;
( 3 )中国网络安全审查技术与认证中心颁发的《应急处理服务资质(一级)》;
( 4 )中国网络安全审查技术与认证中心颁发的《信息安全风险评估(一级)》;
( 5 )中国信息安全测评中心颁发的《国家漏洞库(CNNVD)技术支撑单位(一级)》;
( 6 )国家互联网应急中心(CNCERT)颁发的《CNCERT网络安全应急服务支撑单位》;
( 7 ) APT 安全监测产品(增强级)销售许可证;
( 8 )必须是自有安全厂商投标,不接受联合体投标;
( 9 )具备近 3 年金融行业信息安全保障服务案例 3 个;
( 10 )具备全流量检测设备技术参数功能。
四、供应商项目报名
(一)采购项目报名:我司采购项目同时采用 线上 报名方式完成。
线上报名方式: 登录 https://eps.cntaiping.com/ ,在“采购公告”中查看对应公告,并点击公告下方“我要报名”,按系统设置提交相关报名材料(可使用压缩包一并上传)。报名材料一旦提交,无法再次编辑,请确认报名材料无误后,完成提交。
(二)务必点对点应答并提供相关信息及说明材料 扫描件(加盖公章),否则视为无效报名 , 报名材料如下:
( 1 )供应商信息介绍:营业执照、法定代表人身份证、公司简介等扫描件;
( 2 )近三年未被列入国家企业信用信息公示系统经营异常名录和严重违法失信企业名单的证明文件扫描件(加盖公章);
示例:
( 3 )中国网络安全审查技术与认证中心颁发的《应急处理服务资质(一级)》;
( 4 )中国网络安全审查技术与认证中心颁发的《信息安全风险评估(一级)》;
( 5 )中国信息安全测评中心颁发的《国家漏洞库(CNNVD)技术支撑单位(一级)》;
( 6 )国家互联网应急中心(CNCERT)颁发的《CNCERT网络安全应急服务支撑单位》;
( 7 ) APT 类安全监测产品(增强级)销售许可证;
( 8 )具备近 3 年金融行业信息安全保障服务案例 3 个;
( 9 )针对全流量检测设备技术参数项要求,提供功能截图并加盖原厂公章。
注:以上报名材料扫描件或复印件的文字、印章应清晰可辨识,无法辨认的材料视作无效文件。
(三)温馨提示:该采购项目目前处于供应商公开征集阶段,征集结束后我司会组织相关人员对报名成功的供应商进行筛选,通过筛选的供应商会被邀请参与该采购项目后续采购活动中,请各位供应商知悉。
五、采购人信息
项目报名网址 1 (采购公告):
https://eps.cntaiping.com/
项目报名网址 2 (新闻中心 - 通知公告):
http://www.tpshleasing.com/
项目报名联系人:戴老师
电 话: 021-60252519 (如遇电话无人接听,请发邮件咨询)
邮箱: daixulei@tpshleasing.com
项目需求咨询人:朱老师
电 话: 021-60252500 (如遇电话无人接听,请发邮件咨询)
邮箱: zhumin@tpshleasing.com
特此公告
2023 年 6 月 13 日
附件下载: 供应商寻源征集-网络安全设备和安全服务项目.pdf
解决方案
联系我们
