招标
恒丰银行安全测试工具采购项目(应用系统黑盒安全检测产品)POC测试供应商征集公告
金额
-
项目地址
山东省
发布时间
2020/05/27
公告摘要
公告正文
恒丰银行安全测试工具采购项目(应用系统黑盒安全检测产品)POC测试供应商征集公告
一、采 购 人:恒丰银行股份有限公司
地 址:山东省烟台市芝罘区通姜路东首
采购代理机构:山东信一项目管理有限公司
地 址:烟台市莱山区山海路117号内7号烟台咨询大厦12楼
联系方式: 0535-2111955
二、采购项目名称:恒丰银行安全测试工具采购项目(应用系统黑盒安全检测产品)POC测试供应商征集
采购项目编号: /
采购项目分包情况:
三、项目背景、测试范围及技术要求
为满足监管部门对于银行业金融机构业务应用系统安全管理要求,提高我行业务应用系统应对安全威胁的能力,提升软件安全开发、安全测试水平,拟引入一套安全测试软件平台工具,在不改变现有IT流程的前提下,帮助开发测试人员更加高效地完成各类业务应用系统上线前的安全检测,将应用安全威胁发现能力前置到开发测试环节。
本次计划采购的安全测试工具以黑盒自动化安全测试手段为主,主要满足以下业务需求:
支持各类业务应用系统(如WEB应用、APP应用等)在上线投产、版本迭代前的开发测试阶段开展安全漏洞和缺陷的检测扫描,及时发现安全问题并解决
安全检测过程不改变现有的软件开发测试工作流程,不显著增加软件开发测试工作量
针对各供应商提供的安全测试工具系统,我行主要针对以下功能指标进行测试评估:
支持WEB网站应用URL和IP地址自动化、自助化安全检测
支持对包含账号密码登录页面、带验证码的登录页面的WEB网站应用URL和IP地址进行自动化“一站式”检测,可对网站完整目录结构进行扫描、系统识别页面程序漏洞,检测过程无需安全专业人员介入。特别是针对包含登录验证码的场景,应能够保证验证码识别率达到80%以上,避免因验证码无法识别而导致安全检测失败、检测不完整等问题。
支持移动APP应用自动化、自助化安全检测
支持对基于安卓(Android)、苹果(IOS)平台开发运行的各类移动APP应用程序自动化、自助化“一站式”综合安全检测。
支持包含漏洞详细描述、漏洞定位、修复整改建议及安全代码示例等内容的安全检测评估报告
针对检测发现的安全漏洞和缺陷,提供URL级别或代码行级别定位,能够给出包含详细的漏洞描述、修复方案建议和安全代码示例等内容的安全检测报告,便于指导开发测试人员快速修复安全漏洞。
支持必要的客户化开发集成
支持与我行其他应用系统进行必要集成,包括开放标准的API接口服务,与身份认证系统、漏洞管理平台对接等,可满足在其他应用系统界面中直接发起安全检测任务、调用安全检测功能、收集漏洞信息、获取安全检测结果报告等业务场景需求。
支持以下各类安全漏洞检测及缺陷审查
OWASP TOP10列举的主流WEB应用漏洞,如WEB注入类漏洞、跨站脚本攻击(XSS)、跨站请求伪造(CRSF)、URL跳转、身份认证失效、访问控制失效、安全错误配置等。
业务逻辑安全漏洞,如水平越权、垂直越权、批量注册、验证码绕过、短信轰炸等。
敏感信息泄露类安全漏洞,如对配置文件、测试文件、备份文件、SVN、GIT、压缩包、临时文件、接口暴露可能导致的信息泄露威胁。
主流组件服务弱口令缺陷,如HTTP基础登录、SSH、VPN、LDAP、SMTP、POP3、Jenkins、Tomcat、Oracle等常见组件或服务中其潜在的弱口令风险。
第三方开源组件缺陷漏洞,如Tomcat、Redis、Weblogic、Jboss、Struts、Spring、Hadoop、Spark、Zookeeper等常见第三方开源开发框架、中间件、数据库等组件中已经公开的漏洞缺陷。
其他高风险漏洞,例如本地文件包含、任意文件下载、任意文件上传、任意文件删除、目录遍历、命令执行、上传WEBShell等容易被攻击者利用的安全漏洞。
支持特定类型漏洞单独检测或复查
可按照需求对特定类型漏洞、单个漏洞进行针对性检测或重复检测,适配突发漏洞或紧急排查等任务场景。
支持漏洞的闭环跟踪管理
动态跟踪所发现漏洞的修复情况,实现漏洞从发现、确认、修复、复查等关键生命周期的全流程闭环管理。
支持灵活的部署方式
支持本地化部署和互联网Saas服务两种部署模式。
较低的误报率
支持较高的漏洞缺陷检测正确率,消除误报造成的复查工作,漏洞检测误报率原则上不应超过2%。
四、议程安排:
1.报名参与时间:自2020年5月28日起至2020年6月10日止,上午8:30-11:30,下午14:00-17:30 (北京时间,法定公休日、法定节假日除外)
2.报名地点:山东信一项目管理有限公司(烟台市莱山区山海路117号内7号烟台咨询大厦12楼1204业务窗口)
3.报名电话:0535-2111956
联系人:徐慧
4.是否接受测试反馈时限:2020年6月10日17:30时(北京时间)前将邀请函加盖公章扫描后回传至山东信一项目管理有限公司邮箱(邮箱:sdxyzhaobiao@163.com),逾期未发送的供应商视为自动放弃(以收件时间为准)。所有报名供应商所投产品/系统必须参加招标人POC测试,未参加POC测试的供应商将不能参加本项目的后续投标环节。
5.测试地点:北京。
五、有关说明:
1.采购人不统一组织供应商对现场进行勘察。无论供应商对现场考察与否,都将被视为熟悉履行合同有关的一切情况,并承担一切与磋商有关的风险、责任和义务,勘察现场所发生的一切费用由供应商自行承担。
2. 单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项下的采购活动。
六、联系方式:
1.采 购 人:恒丰银行股份有限公司
联 系 人:丛君晓
电 话:0535-3393170
2.采购代理机构:山东信一项目管理有限公司
联 系 人:李强
联系方式:0535-2111955
发 布 人:山东信一项目管理有限公司
发布时间:2020年5月27日
一、采 购 人:恒丰银行股份有限公司
地 址:山东省烟台市芝罘区通姜路东首
采购代理机构:山东信一项目管理有限公司
地 址:烟台市莱山区山海路117号内7号烟台咨询大厦12楼
联系方式: 0535-2111955
二、采购项目名称:恒丰银行安全测试工具采购项目(应用系统黑盒安全检测产品)POC测试供应商征集
采购项目编号: /
采购项目分包情况:
| 标包 | 采购 内容 | 数量 | 供应商资格要求 |
| 1 | 恒丰银行安全测试工具采购项目(应用系统黑盒安全检测产品) | 1宗 | 1.供应商须依照《中华人民共和国公司法》在中华人民共和国境内注册并具有法人资格。 2.供应商须具有ISCCC/CCRC - 信息安全服务资质认证。 3.供应商须具有ISO 27001 - 信息安全管理体系认证。 4.供应商须具有ISO 9001 - 质量管理体系认证。 5.供应商须为产品原生产厂商,所提供的安全检测工具系统必须是本公司自主研发的产品。 6.本项目不允许联合体参与POC测试。 |
三、项目背景、测试范围及技术要求
为满足监管部门对于银行业金融机构业务应用系统安全管理要求,提高我行业务应用系统应对安全威胁的能力,提升软件安全开发、安全测试水平,拟引入一套安全测试软件平台工具,在不改变现有IT流程的前提下,帮助开发测试人员更加高效地完成各类业务应用系统上线前的安全检测,将应用安全威胁发现能力前置到开发测试环节。
本次计划采购的安全测试工具以黑盒自动化安全测试手段为主,主要满足以下业务需求:
支持各类业务应用系统(如WEB应用、APP应用等)在上线投产、版本迭代前的开发测试阶段开展安全漏洞和缺陷的检测扫描,及时发现安全问题并解决
安全检测过程不改变现有的软件开发测试工作流程,不显著增加软件开发测试工作量
针对各供应商提供的安全测试工具系统,我行主要针对以下功能指标进行测试评估:
支持WEB网站应用URL和IP地址自动化、自助化安全检测
支持对包含账号密码登录页面、带验证码的登录页面的WEB网站应用URL和IP地址进行自动化“一站式”检测,可对网站完整目录结构进行扫描、系统识别页面程序漏洞,检测过程无需安全专业人员介入。特别是针对包含登录验证码的场景,应能够保证验证码识别率达到80%以上,避免因验证码无法识别而导致安全检测失败、检测不完整等问题。
支持移动APP应用自动化、自助化安全检测
支持对基于安卓(Android)、苹果(IOS)平台开发运行的各类移动APP应用程序自动化、自助化“一站式”综合安全检测。
支持包含漏洞详细描述、漏洞定位、修复整改建议及安全代码示例等内容的安全检测评估报告
针对检测发现的安全漏洞和缺陷,提供URL级别或代码行级别定位,能够给出包含详细的漏洞描述、修复方案建议和安全代码示例等内容的安全检测报告,便于指导开发测试人员快速修复安全漏洞。
支持必要的客户化开发集成
支持与我行其他应用系统进行必要集成,包括开放标准的API接口服务,与身份认证系统、漏洞管理平台对接等,可满足在其他应用系统界面中直接发起安全检测任务、调用安全检测功能、收集漏洞信息、获取安全检测结果报告等业务场景需求。
支持以下各类安全漏洞检测及缺陷审查
OWASP TOP10列举的主流WEB应用漏洞,如WEB注入类漏洞、跨站脚本攻击(XSS)、跨站请求伪造(CRSF)、URL跳转、身份认证失效、访问控制失效、安全错误配置等。
业务逻辑安全漏洞,如水平越权、垂直越权、批量注册、验证码绕过、短信轰炸等。
敏感信息泄露类安全漏洞,如对配置文件、测试文件、备份文件、SVN、GIT、压缩包、临时文件、接口暴露可能导致的信息泄露威胁。
主流组件服务弱口令缺陷,如HTTP基础登录、SSH、VPN、LDAP、SMTP、POP3、Jenkins、Tomcat、Oracle等常见组件或服务中其潜在的弱口令风险。
第三方开源组件缺陷漏洞,如Tomcat、Redis、Weblogic、Jboss、Struts、Spring、Hadoop、Spark、Zookeeper等常见第三方开源开发框架、中间件、数据库等组件中已经公开的漏洞缺陷。
其他高风险漏洞,例如本地文件包含、任意文件下载、任意文件上传、任意文件删除、目录遍历、命令执行、上传WEBShell等容易被攻击者利用的安全漏洞。
支持特定类型漏洞单独检测或复查
可按照需求对特定类型漏洞、单个漏洞进行针对性检测或重复检测,适配突发漏洞或紧急排查等任务场景。
支持漏洞的闭环跟踪管理
动态跟踪所发现漏洞的修复情况,实现漏洞从发现、确认、修复、复查等关键生命周期的全流程闭环管理。
支持灵活的部署方式
支持本地化部署和互联网Saas服务两种部署模式。
较低的误报率
支持较高的漏洞缺陷检测正确率,消除误报造成的复查工作,漏洞检测误报率原则上不应超过2%。
四、议程安排:
1.报名参与时间:自2020年5月28日起至2020年6月10日止,上午8:30-11:30,下午14:00-17:30 (北京时间,法定公休日、法定节假日除外)
2.报名地点:山东信一项目管理有限公司(烟台市莱山区山海路117号内7号烟台咨询大厦12楼1204业务窗口)
3.报名电话:0535-2111956
联系人:徐慧
4.是否接受测试反馈时限:2020年6月10日17:30时(北京时间)前将邀请函加盖公章扫描后回传至山东信一项目管理有限公司邮箱(邮箱:sdxyzhaobiao@163.com),逾期未发送的供应商视为自动放弃(以收件时间为准)。所有报名供应商所投产品/系统必须参加招标人POC测试,未参加POC测试的供应商将不能参加本项目的后续投标环节。
5.测试地点:北京。
五、有关说明:
1.采购人不统一组织供应商对现场进行勘察。无论供应商对现场考察与否,都将被视为熟悉履行合同有关的一切情况,并承担一切与磋商有关的风险、责任和义务,勘察现场所发生的一切费用由供应商自行承担。
2. 单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项下的采购活动。
六、联系方式:
1.采 购 人:恒丰银行股份有限公司
联 系 人:丛君晓
电 话:0535-3393170
2.采购代理机构:山东信一项目管理有限公司
联 系 人:李强
联系方式:0535-2111955
发 布 人:山东信一项目管理有限公司
发布时间:2020年5月27日
解决方案
联系我们
返回顶部