一、项目信息项目名称:库尔勒银行股份有限公司关于网上银行及手机银行系统渗透性测试服务 1项的在线询价采购项目项目编号:32020121594673316 项目联系人:邓俊 项目联系电话:0996-2156688 采购计划文号:99990207 采购计划金额（元）:50000 项目所在行政区划编码:652899 项目所在行政区划名称:巴音郭楞蒙古自治州本级 二、采购单位信息采购单位名称:库尔勒银行股份有限公司 采购单位地址:KEL 采购单位联系人和联系方式:/ 采购单位社会统一信用代码或组织机构代码:91652800761104437K 采购单位预算编码:710019 三、采购项目内容 序号采购内容品牌规格型号数量技术参数或配置要求1网上银行及手机银行系统渗透性测试服务1评估目标：库尔勒银行网上银行系统及手机银行APP。 1、安全脆弱性检查与漏洞扫描服务 服务内容：使用专业安全漏洞扫描工具对评估目标范围内对象进行漏洞扫描，对信息系统的薄弱点进行识别与评价，提交脆弱性分析报告。脆弱性检测范围包括发现对象存在的web应用漏洞、主机操作系统漏洞、数据库漏洞、逻辑缺陷、弱口令、信息泄露等脆弱性问题。通过实施漏洞扫描和手工检查，发现在网络、系统、应用等层面存在的安全漏洞和风险。 服务要求：制定人工核查单，并依据执行漏洞扫描服务系统数量、漏洞扫描难度等参数，由安全服务工程师结合客户漏扫需求调研、远程安全评估系统综合评估所得，对出具的漏洞扫描结果的高危项，开展人工漏洞验证服务（服务涵盖Web漏洞、主机、操作系统等高危漏洞。通过人工核查二次验证，最大限度去除漏洞误报情况。检查内容包括但不限于账户口令检查、端口服务检查、文件系统检查、安全日志检查、后门与日志检查、暗链检查、杀伤链检查等。对检测出来的重大问题通知整改并进行复测。 服务交付：《安全脆弱性检查与漏洞扫描报告》 2、渗透测试（安全威胁性检测）服务 服务内容：（1）安全脆弱性测试：针对业务系统进行，由专业安全工程师以攻击者视角研判，技术维度分为白盒测试、黑盒测试。基于测试目的，可分为外围测试及内部测试。通过攻击者视角渗透测试，可有效识别业务系统内部风险脆弱性（最大限度挖掘业务系统自身内部漏洞）以及通过外围测试最大限度发现业务系统对外暴露的风险（针对外围可利用互联网出口、互联网跳板、安全设备弱口令凭证等，基于渗透测试流程进行），进而实现针对WEB服务器、网络安全设备、应用系统、操作系统、中间件等采用渗透测试的方式，从攻击者的角度对目标系统的应用层、操作系统层的安全性作深入的非破坏性的渗透测试工作，发现系统最脆弱环节。 （2）应用渗透测试：通过真实模拟黑客使用的工具、分析方法来对应用进行模拟攻击，由高级工程师进行深入的手工测试和分析，识别工具弱点扫描无法发现的问题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及其他专项内容测试与分析，渗透结束后生成报告并提供加固建议，对检测出的重大问题通知整改并进行复测。 服务要求：服务团队通过远程方式进行服务，面向业务开展渗透测试和分析工作。渗透测试工作内容至少包括：信息收集类，配置管理类（HTTP 方法测试、应用管理界面测试、信息泄露等），认证类（用户枚举、密码猜解、密码重置测试等），会话类（cookie 测试、会话固定测试等），授权类（URL 越权、路径遍历、业务逻辑、文件下载测试、数据验证类（SQL 注入、跨站脚本、代码注入、URL 跳转、文件上传测试等）。 　　　服务交付：《渗透测试报告》 服务要求: 1、供应商资质要求:　　　　1、网络安全应急服务支撑单位资质，2、信息安全服务资质认证证书（信息系统风险评估）证书，3、国家信息安全漏洞库（CNNVD）技术支撑单位。。2、报价要求:本报价包含测试及漏洞扫描服务费及增值税发票专用税费等完成本项目的所有费用。。3、需求说明:对网银系统、手机银行分别进行安全脆弱性检查与漏洞扫描服务和渗透测试（安全威胁性检测）服务，并出具相关报告。。 报价时间:2020年12月15日 17:58 - 2020年12月18日 18:00 附件信息：