招标
2021年互联网众测服务供应商征集公告及项目采购信息公示
金额
-
项目地址
上海市
发布时间
2021/10/18
公告摘要
公告正文
上海华建工程建设咨询有限公司受上海银行股份有限公司(以下简称采购人)委托,对“2021年互联网众测服务”项目进行供应商征集,诚邀合格的供应商参与,并对项目相关信息进行公示。
一、项目概况及内容
测试对象为采购人面向互联网的所有应用系统,包括但不局限于Web应用、移动App、H5应用等。
二、采购方式
竞争性磋商。
三、合格供应商资质要求
(一)具有中华人民共和国境内独立法人资格的企业,持有工商行政管理部门或市场监督管理部门登记的《营业执照》,且《营业执照》经营(许可)范围与本项目相符。企业注册资本不低于300万元人民币(或等值)。
(二)具有良好的商业信誉和健全的财务会计制度,财务状况良好,具有履行合同的能力,合法合规经营,未因诚信问题而受到法律制裁;具有良好的商业信用和行业信誉;2018年1月1日至今没有因违法违规行为被相关部门予以处罚或者通报的记录。
(三)2018年至今具有至少3家总资产大于1.5万亿元人民币的银行业金融机构众测成功案例。
(四)具有有效期内的ISO27001信息安全管理体系认证证书。
(五)本项目不接受联合体。
(六)本项目不允许转包、分包。
四、服务要求(包含但不限于)
(一)服务方式为远程服务。供应商应具有自有的互联网众测平台,通过该众测平台能限定测试人员数量和权限,在不影响系统可用性、连续性下,对采购人授权系统进行众测。平台全站支持SSL加密通信,平台自身有专业安全检测。
(二)众测平台可以对http、https进行全流量分析,全过程无死角,众测过程中的攻击过程大屏可视化展示。
(三)供应商根据采购人要求提交众测报告,报告内容包括漏洞描述、漏洞等级、风险说明、详细的测试步骤和修复建议等。
(四)供应商对经众测发现,并修复提交后的漏洞进行复测并提交复测报告。
(五)供应商不得向外公开与采购人相关的测试数据和信息。
(六)漏洞等级分为高、中、低三级,漏洞等级的评定最终以采购人为准,漏洞级别参考标准如下:
1、高危漏洞是指造成严重影响的漏洞,包括但不限于:
(1)直接获取服务器权限的漏洞,如任意命令/代码执行、上传Webshell等;
(2)直接导致严重的敏感信息、用户身份信息泄漏或敏感文件获取、密钥信息等;
(3)直接导致严重影响的逻辑漏洞,如越权、认证绕过、非授权访问、盗号、篡改交易、帐号密码任意更改等;
(4)严重的代码安全类漏洞,如SQL注入,SSRF、文件包含等。
2、中危漏洞是指造成一般影响的漏洞,包括但不限于:
(1)需交互才能获取用户身份信息的漏洞,包括但不限于存储型XSS漏洞;
(2)普通的信息泄露漏洞,如较多代码泄露;
(3)普通越权或逻辑漏洞,如查询他人部分信息、请求重放等;
(4)不产生严重影响的任意文操作漏洞,如文件读、写、删除、下载等;
(5)造成局部功能异常;
(6)造成应用系统资源浪费;
(7)代码安全类漏洞,如跨站脚本等。
3、低危漏洞是指造成较小影响的漏洞,包括但不限于:
(1)轻微信息泄露;
(2)配置存在隐患但没产生实质影响;
(3)本地拒绝服务漏洞;
(4)有安全隐患但难以利用的漏洞。
五、报名时需提交的资料
(一)中华人民共和国境内合法注册的法人或其他组织,企业法人营业执照(副本)、税务登记证、组织机构代码证或“三证合一”营业执照及的有效原件及复印件(复印件加盖公章)。
(二)近三年(2018年、2019年、2020年)经审计的财务报表或财务状况说明(复印件加盖公章)。
(三)近三年(2018年1月至今)企业、企业法人和被授权人的行贿犯罪档案查询记录证明(中国裁判文书网查询页面截图并加盖公章)。
(四)2018年至今具有至少3家总资产大于1.5万亿元人民币的银行业金融机构众测成功案例并提供含签章页面的合同或客户证明材料等(复印件加盖公章)。
(五)提供有效期内的ISO27001信息安全管理体系认证证书。
(六)法人身份证(复印件并加盖公章)、被授权人授权书有效原件(加盖公章)、被授权人身份证有效原件及复印件(复印件并加盖公章)和被授权人姓名、手机、邮箱(复印件并加盖公章)。
(七)其他资质条件中要求的所有相关承诺函及供应商认为需要提供的资料。
注:以上资料复印件必须加盖公章(A4装订成册,提供二份;电子扫描件以邮件形式发送至招标代理机构邮箱),原件审阅后退回。如有缺漏,采购人将拒绝接受。采购人仅对供应商递交的资料进行审查,符合要求的合格供应商将有机会参与本项目的采购(符合要求:供应商须提供产品交采购人进行测试(如有),且通过测试)。
六、资料递交时间、地点
凡有意参加本项目的供应商委派授权代表按要求持供应商征集资料,至招标代理机构递交。
(一)递交材料时间:2021年10月19日-2021年10月25日上午9:00-11:30,下午13:30-15:30时(北京时间,节假日除外)。
(二)递交材料地点:电子邮件报名(471035019@qq.com)
七、有关单位或个人如对本项目采购信息有异议的,可以自本公示发出之日起五个工作日内,以书面或邮件形式向上海银行总行采购中心或相关部门提出。
八、联系方式
采
购 单 位:上海银行总行采购中心
地
址:上海市浦东新区银城中路168号
联
系 人:叶先生
联
系 邮 箱:yerf@bosc.cn
监
督 邮 箱:caigouzhongxin@bosc.cn
采购代理机构:上海华建工程建设咨询有限公司
地 址:上海市静安区石门二路258号9楼
联
系 人:杨展青
电
话:15800803292
联
系 邮 箱: 471035019@qq.com
上海银行总行采购中心
二〇二一年十月十八日
一、项目概况及内容
测试对象为采购人面向互联网的所有应用系统,包括但不局限于Web应用、移动App、H5应用等。
二、采购方式
竞争性磋商。
三、合格供应商资质要求
(一)具有中华人民共和国境内独立法人资格的企业,持有工商行政管理部门或市场监督管理部门登记的《营业执照》,且《营业执照》经营(许可)范围与本项目相符。企业注册资本不低于300万元人民币(或等值)。
(二)具有良好的商业信誉和健全的财务会计制度,财务状况良好,具有履行合同的能力,合法合规经营,未因诚信问题而受到法律制裁;具有良好的商业信用和行业信誉;2018年1月1日至今没有因违法违规行为被相关部门予以处罚或者通报的记录。
(三)2018年至今具有至少3家总资产大于1.5万亿元人民币的银行业金融机构众测成功案例。
(四)具有有效期内的ISO27001信息安全管理体系认证证书。
(五)本项目不接受联合体。
(六)本项目不允许转包、分包。
四、服务要求(包含但不限于)
(一)服务方式为远程服务。供应商应具有自有的互联网众测平台,通过该众测平台能限定测试人员数量和权限,在不影响系统可用性、连续性下,对采购人授权系统进行众测。平台全站支持SSL加密通信,平台自身有专业安全检测。
(二)众测平台可以对http、https进行全流量分析,全过程无死角,众测过程中的攻击过程大屏可视化展示。
(三)供应商根据采购人要求提交众测报告,报告内容包括漏洞描述、漏洞等级、风险说明、详细的测试步骤和修复建议等。
(四)供应商对经众测发现,并修复提交后的漏洞进行复测并提交复测报告。
(五)供应商不得向外公开与采购人相关的测试数据和信息。
(六)漏洞等级分为高、中、低三级,漏洞等级的评定最终以采购人为准,漏洞级别参考标准如下:
1、高危漏洞是指造成严重影响的漏洞,包括但不限于:
(1)直接获取服务器权限的漏洞,如任意命令/代码执行、上传Webshell等;
(2)直接导致严重的敏感信息、用户身份信息泄漏或敏感文件获取、密钥信息等;
(3)直接导致严重影响的逻辑漏洞,如越权、认证绕过、非授权访问、盗号、篡改交易、帐号密码任意更改等;
(4)严重的代码安全类漏洞,如SQL注入,SSRF、文件包含等。
2、中危漏洞是指造成一般影响的漏洞,包括但不限于:
(1)需交互才能获取用户身份信息的漏洞,包括但不限于存储型XSS漏洞;
(2)普通的信息泄露漏洞,如较多代码泄露;
(3)普通越权或逻辑漏洞,如查询他人部分信息、请求重放等;
(4)不产生严重影响的任意文操作漏洞,如文件读、写、删除、下载等;
(5)造成局部功能异常;
(6)造成应用系统资源浪费;
(7)代码安全类漏洞,如跨站脚本等。
3、低危漏洞是指造成较小影响的漏洞,包括但不限于:
(1)轻微信息泄露;
(2)配置存在隐患但没产生实质影响;
(3)本地拒绝服务漏洞;
(4)有安全隐患但难以利用的漏洞。
五、报名时需提交的资料
(一)中华人民共和国境内合法注册的法人或其他组织,企业法人营业执照(副本)、税务登记证、组织机构代码证或“三证合一”营业执照及的有效原件及复印件(复印件加盖公章)。
(二)近三年(2018年、2019年、2020年)经审计的财务报表或财务状况说明(复印件加盖公章)。
(三)近三年(2018年1月至今)企业、企业法人和被授权人的行贿犯罪档案查询记录证明(中国裁判文书网查询页面截图并加盖公章)。
(四)2018年至今具有至少3家总资产大于1.5万亿元人民币的银行业金融机构众测成功案例并提供含签章页面的合同或客户证明材料等(复印件加盖公章)。
(五)提供有效期内的ISO27001信息安全管理体系认证证书。
(六)法人身份证(复印件并加盖公章)、被授权人授权书有效原件(加盖公章)、被授权人身份证有效原件及复印件(复印件并加盖公章)和被授权人姓名、手机、邮箱(复印件并加盖公章)。
(七)其他资质条件中要求的所有相关承诺函及供应商认为需要提供的资料。
注:以上资料复印件必须加盖公章(A4装订成册,提供二份;电子扫描件以邮件形式发送至招标代理机构邮箱),原件审阅后退回。如有缺漏,采购人将拒绝接受。采购人仅对供应商递交的资料进行审查,符合要求的合格供应商将有机会参与本项目的采购(符合要求:供应商须提供产品交采购人进行测试(如有),且通过测试)。
六、资料递交时间、地点
凡有意参加本项目的供应商委派授权代表按要求持供应商征集资料,至招标代理机构递交。
(一)递交材料时间:2021年10月19日-2021年10月25日上午9:00-11:30,下午13:30-15:30时(北京时间,节假日除外)。
(二)递交材料地点:电子邮件报名(471035019@qq.com)
七、有关单位或个人如对本项目采购信息有异议的,可以自本公示发出之日起五个工作日内,以书面或邮件形式向上海银行总行采购中心或相关部门提出。
八、联系方式
采
购 单 位:上海银行总行采购中心
地
址:上海市浦东新区银城中路168号
联
系 人:叶先生
联
系 邮 箱:yerf@bosc.cn
监
督 邮 箱:caigouzhongxin@bosc.cn
采购代理机构:上海华建工程建设咨询有限公司
地 址:上海市静安区石门二路258号9楼
联
系 人:杨展青
电
话:15800803292
联
系 邮 箱: 471035019@qq.com
上海银行总行采购中心
二〇二一年十月十八日
解决方案
联系我们
返回顶部