贵州省农村信用社联合社拟对信息安全攻防演练服务征集供应商，诚请符合条件的供应商报名参与，相关要求如下：

一、项目概况

（一）项目名称：信息安全攻防演练服务

（二）资金来源：企业自筹

（三）项目地址：贵州省贵阳市观山湖区长岭北路51号

（四）采购内容：信息安全攻防演练通过授权专业机构作为进攻方，参考“护网行动”网络安全实战演习规则及流程，坚持“发现而不发生风险”的原则，采取“不限途径、不限手段”的模拟真实攻击方式，以获取靶标系统控制权限和敏感数据为目标，深入挖掘系统漏洞和攻击路径等风险，协助强化我社网络安全防护能力及保障队伍应急响应能力。

二、资格要求

（一）基本要求

1.具有国内工商行政管理部门颁发的《营业执照》、《中华人民共和国组织机构代码证》、《税务登记证》（可“三证合一”），并符合相关法律法规要求条件。

2.遵守国家相关法律、法规和规章，且在以往经营及投标活动中无违法、违规、违纪、违约行为，没有发生过重大质量、安全事故等记录（提供相关证明材料或《承诺函》）。

1. 需具备中国信息安全测评中心风险评估二级资质或中国网络安全审查技术与认证中心信息安全风险评估服务一级资质。

（二）相关要求

1.本项目不接受代理商及联合体投标。

2.报名厂商应具有良好的商业信誉，未处于被责令停业、投标资格被取消或者财产被接管、冻结和破产状态；企业没有因骗取中标或者严重违约等问题，被有关部门暂停投标资格并在暂停期内的。

3.与我社存在利害关系可能影响后续招标公正性的法人、其他组织或个人，不得参加报名；报名厂商为同一法人的，其母公司、全资子公司及其控股公司等关联公司不得在本项目中同时报名。

三、项目要求

（一）服务内容

信息安全攻防演练：通过授权专业机构作为进攻方，参考“护网行动”网络安全实战演习规则及流程，坚持“发现而不发生风险”的原则，采取“不限途径、不限手段”的模拟真实攻击方式，以获取靶标系统控制权限和敏感数据为目标，深入挖掘系统漏洞和攻击路径等风险，协助强化我社网络安全防护能力及保障队伍应急响应能力。

（二）服务范围

本项目服务范围为我社互联网应用系统、观山湖数据中心内网指定靶标。

（三）服务方式

本项目拟采用现场服务方式。

（三）服务周期

本项目服务周期共4周，每周40个小时，第1周用于项目调研及相关准备工作，第2、3周用于项目实施，第4周进行复盘总结。

（四）服务团队

本项目服务团队人员应不低于6人，均须具备关键信息基础设施的安全实战演练经历，关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域。

（五）服务要求

1.报名厂商应在我社授权范围内进行全面细致的安全性测试，自行开展信息收集，利用渗透性测试、应用系统攻击、网络攻击、社工等手段（不含拒绝服务类等恶意攻击方式），发现互联网应用系统及各类互联网暴露资产（含IP、域名、端口、服务、操作系统、中间件、应用系统及调用关系、第三方模块插件等）的安全漏洞，核实漏洞真实性，记录攻击过程，并及时向我社报告漏洞情况，产出《攻防演练攻击过程及漏洞验证报告》。

2.报名厂商应在我社授权情况下，基于发现的漏洞进行横向、纵向扩展和内网渗透（非恶意攻击）等活动，挖掘漏洞，获取数据和权限，并及时向我社报告攻击进展情况。

3.报名厂商在攻防演练过程中，应接受我社监督，根据我社需求或指定的场地开展攻击活动，指导我社安全人员对漏洞进行验证，并指导我社安全人员如何进行攻击检测、分析研判及应急处置，提升我社安全人员实战攻防对抗能力。

4.报名厂商在攻防演练后，应配合并协助我社对演练中遗留的后门、日志等进行清理，对漏洞问题进行修复，编制演练报告，产出《演练总结报告》。

5.报名厂商应根据我社要求严格控制攻防演练的时间范围，并在攻击过程中根据我社需求及时暂停和阻断行为。

6.报名厂商参测人员所用安全检测工具、方法应确保安全，服务商应确保测试不得影响我社授权攻击演练的系统和网络的正常运行，禁止执行有可能导致目标网络、主机、设备瘫痪的大流量、大规模扫描或拒绝服务攻击。

7.报名厂商应禁止执行有可能导致整体业务逻辑扰动、有可能产生客户经济财产损失的技术验证用例。

8.报名厂商应禁止在未获得我社授权情况下，开展缓冲区溢出类漏洞验证，或使用对数据库造成破坏的SQL注入语句（如DROP,DELETE,UPDATE,CREATE,INSERT等）进行测试。

9.可实现非授权访问或用户权限越权，在完成非授权逻辑、越权逻辑验证时，不应再批量获取和留存用户信息和信息系统文件信息。

10.可执行数据库查询条件，在获得数据库实例、库表名称等信息证明时，不应再批量查询涉及个人信息、业务信息的详细数据。

11.可获得系统主机、设备高权限，在获得当前用户系统环境信息证明时，不应再获取其他用户数据和业务数据信息。

12.可获得信息系统后台功能操作权限，在获得当前用户角色属性证明时，不应再利用系统功能实施编辑、增删、篡改等操作。

13.可获得系统主机、设备、数据库高权限，在获得当前系统环境信息证明时，不应再执行文件、程序、数据的编辑、增删、篡改等操作。

14.可在信息系统上传可解析、可执行文件，在获得解析和执行权限逻辑证明时，不应驻留带有控制性目的程序、代码。

15.如在安全测试过程中，被测试系统发生异常，服务商应立即停止测试，并配合我社人员分析现状、确定原因、恢复系统。同时采取必要的预防措施，调整测试策略，经我社同意后方可继续进行测试。

（六）其他要求

1.中标人须与我社签署安全保密协议，在未经我社许可前，服务商及其服务人员均不得向第三方透露与我社有关的信息系统、数据资料、管理制度、人员安排等相关信息，也不得利用本项目服务期间获取的我社各类信息进行相关宣传、交流活动。

2.服务过程中产生的一切数据、文档、软件程序源代码所有权归我社所有。

3.提供两次攻防技能培训。

四、报名要求

（一）提供企业法人营业执照副本（原件扫描件加盖公章）。

（二）提供加盖公章的报名申请书扫描件（详见附件）。

（三）中国信息安全测评中心风险评估二级资质证书或中国网络安全审查技术与认证中心信息安全风险评估服务一级资质证书。（原件扫描件加盖公章）。

五、报名时间

报名截止日期为2023年7月25日，符合条件的企业均可报名，报名厂商须提供符合“资格要求”、“报名要求”的相关资料扫描件（原件扫描件加盖公章）发送到贵州农信集采办邮箱（邮箱号：gznxjcb@vip.163.com）。对于资格审核通过的企业，我社将根据实际情况安排并通知开展后续商务环节。

六、联系方式

采购人：贵州省农村信用社联合社

地址：贵州省贵阳市观山湖区长岭北路51号（贵州农信2614室）

联系人：集采办；联系电话：0851－82592708/82592376

供应商材料提交邮箱： gznxjcb@vip.163.com

本次供应商征集公告网址： www.gznxbank.com

附件：1.贵州省农村信用社联合社信息安全攻防演练服务采购项目供应商征集报名表

2.信息安全攻防演练项目报价表

省联社集中采购管理委员会办公室

2023年7月21日

附件：

1、 附件1：贵州省农村信用社联合社信息安全攻防演练服务采购项目供应商征集报名表.docx

2、 附件2：信息安全攻防演练服务项目报价表.xlsx