招标
网络安全年度检查竞争性磋商公告
金额
98万元
项目地址
-
发布时间
2023/04/17
公告摘要
项目编号jh23-210100-02525
预算金额98万元
招标公司-
招标联系人-
标书截止时间-
投标截止时间2023/04/28
公告正文
| 组织机构 | 核查被检单位网络安全管理机构架设情况 |
| 管理人员 | 核查被检单位网络安全管理人员基本情况 |
(二)安全管理措施核查
| 组织管理 | ①制定相关文件,明确直接责任人和网络安全管理部门 ②定期分析网络安全形势,存有相关记录 ③网络安全管理制度 ④岗位网络安全责任制度 | |
| 日常管理 | 人员管理 | ①与计算机使用和管理人员签订网络安全与保密协议情况 ②管理人员与工作人员熟知信息系统情况 ③人员离岗离职网络安全管理规定落实情况 ④外部人员访问机房等重要区域管理情况 ⑤查处网络安全责任事故情况 |
| 安全防护 | ①网络安全检查开展情况 ②信息系统安全保护等级情况 ③处置网信、公安及其他部门通报的漏洞隐患情况 | |
| 日常管理 | 信息资产管理 | ①纳入信息中心统一运维情况 ②建立信息资产管理制度情况 ③建立信息资产台账情况 ④设备维修维护和报废管理制度落实情况 |
| 经费保障情况 | ||
| 采购管理情况 | ||
| 应急管理 | ①网络安全事件应急预案编制及演练情况 ②应急预案宣贯培训情况 ③应急支撑队伍情况 ④重要数据和业务系统备份情况 ⑤网络安全应急物资保障情况 | |
| 教育培训 | ①网络安全教育开展情况 ②专业技能培训开展情况 ③网络安全检查考核制度落实情况 | |
| 外包服务管理 | ①外包服务安全管理制度落实情况 ②网络安全责任划分情况 ③外包开发的系统、软件上线前安全测评情况 | |
(三)安全技术措施核查
1.信息系统防护
包括系统用途、托管模式、机房物理地址、域名及公网IP、系统定级等基本情况,物理环境、网络边界及关键设备、应用系统、终端计算机、系统数据等安全防护情况核查。
2.其他方面防护
包括存储介质防护、漏洞修复、无线网络安全防护、电子邮件系统安全防护等情况核查。
(四)技术监测评估核查
包括对本单位主机、网络安全防护设备、信息系统进行漏洞检测情况,端口、应用、服务设置情况,人工渗透测试、木马检测、等级保护测评、网络安全风险评估等情况。
(五)安全漏洞检测内容
| 序号 | 测试项目 |
| 一 | Web漏洞测试 |
| 1 | SSL加密检测 |
| 2 | 会话授权 |
| 3 | Session认证检测 |
| 4 | Session Token检测 |
| 5 | Non-Random Session Token检测 |
| 6 | Insufficient Authorization |
| 7 | 失效链接检测 |
| 8 | Insufficient Session 检测 |
| 9 | Session Fixation检测 |
| 10 | Failure Session ID检测 |
| 11 | 未授权管理会话检测 |
| 12 | Session 弱点检测 |
| 13 | URL-Session Token 安全性检测 |
| 14 | 会话cookie设置HttpOnly属性检测 |
| 15 | 随机会话cookie检测 |
| 16 | 会话cookie设置安全属性检测 |
| 17 | SSL Connection加密检测 |
| 18 | SSL 对象引用检测 |
| 19 | 弱SSL加密算法检测 |
| 20 | Client-side Attacks检测 |
| 21 | Content Spoofing检测 |
| 22 | Cross-Site Scripting检测 |
| 23 | Reflected Cross-Site Scripting检测 |
| 24 | Persistent Cross-Site Scripting检测 |
| 25 | DOM-Based Cross-Site Scripting检测 |
| 26 | Cross-Frame Scripting检测 |
| 27 | HTML Injection检测 |
| 28 | Cross-Site Request Forgery检测 |
| 29 | Flash-Related Attacks检测 |
| 30 | Cross-Site Flashing检测 |
| 31 | Cross-Site Scripting Through Flash检测 |
| 32 | Phishing/URL Redirection Through Flash检测 |
| 33 | Open Cross-Domain Policy检测 |
| 34 | Command Execution检测 |
| 35 | Format String Attack |
| 36 | LDAP 注入 |
| 37 | 操作系统命令注入 |
| 38 | SQL注入 |
| 39 | Blind SQL注入 |
| 40 | SSI注入 |
| 41 | Xpath注入 |
| 42 | HTTP头注入/快速响应 |
| 43 | 恶意文件上传 |
| 44 | 目录索引检测 |
| 45 | 内容泄漏检测 |
| 46 | 代码备注的敏感信息检测 |
| 47 | 错误信息检测 |
| 48 | 备份文件检测 |
| 49 | 源代码泄漏 |
| 50 | 路径泄露 |
| 51 | 启用不安全的HTTP请求方法检测 |
| 52 | WebDAV启用检测 |
| 53 | 支持搜索测试和调试文件(test.php) |
| 54 | FrontPage扩展启用检测 |
| 二 | 数据库漏洞测试 |
| 55 | 安全设置 |
| 56 | 角色 |
| 57 | 权限 |
| 58 | 弱口令 |
| 59 | 审计设置 |
| 60 | 文件权限 |
| 61 | 需定制参数的安全设置 |
| 62 | 需定制参数的审计设置 |
| 63 | 用户行为 |
| 64 | 安全设置 |
| 65 | 口令攻击 |
| 66 | 用户行为 |
| 67 | SQL注入 |
| 68 | 缓冲区溢出 |
| 69 | 系统 |
| 70 | 安全设置 |
| 71 | 备份 |
| 72 | 角色 |
| 73 | 权限 |
| 74 | 审计设置 |
| 75 | 文件权限 |
| 76 | 用户权限提升 |
| 三 | 主机操作系统漏洞扫描 |
| 77 | windows netbios类漏洞测试 |
| 78 | web类漏洞测试 |
| 79 | CGI类漏洞测试 |
| 80 | 信息搜集类漏洞测试 |
| 81 | 强力攻击类漏洞测试 |
| 82 | 守护进程类漏洞测试 |
| 83 | mail类漏洞测试 |
| 84 | FTP类漏洞测试 |
| 85 | DNS类漏洞测试 |
| 86 | snmp类漏洞测试 |
| 87 | proxy类漏洞测试 |
| 88 | 协议欺骗类漏洞测试 |
| 89 | RPC类漏洞测试 |
| 90 | NFS类漏洞测试 |
| 91 | NIS类漏洞测试 |
| 92 | 后门类漏洞测试 |
| 93 | 蠕虫病毒类漏洞测试 |
| 94 | Samba服务类漏洞测试 |
| 95 | 缓冲区溢出类漏洞测试 |
| 96 | 主机账号安全性漏洞测试 |
| 97 | 端口服务漏洞测试 |
| 98 | 远程代码执行类漏洞测试 |
| 99 | 拒绝服务类漏洞测试 |
| 100 | 内存损坏类漏洞测试 |
| 101 | 有限内存覆盖类漏洞测试 |
| 102 | 安全限制绕过漏洞测试 |
(六)Web渗透测试内容
| 序号 | 测试大项 | 子项 | 描述 |
| 1 | 注入 | SQL注入漏洞 | SQL注入攻击包括通过输入数据从客户端插入或“注入”SQL查询到应用程序。一个成功的SQL注入攻击可以从数据库中获取敏感数据、修改数据库数据(插入/更新/删除)、执行数据库管理操作(如关闭数据库管理系统)、恢复存在于数据库文件系统中的指定文件内容,在某些情况下能对操作系统发布命令。SQL注入攻击是一种注入攻击。它将SQL命令注入到数据层输入,从而影响执行预定义的SQL命令。 |
| 2 | 失效的身份认证和会话管理 | 用户认证数据明文传输 | 用户名、密码等敏感信息未经加密进行了传递,恶意攻击者可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息。 |
| 3 | 用户枚举 | 通常情况下,当用户名在系统中存在时,由于错误配置或设计本身的原因导致应用程序泄露相关信息。例如,有时,当我们提交错误证书时,我们收到一条说明用户名存在或密码错误的信息。如果攻击者得到这种信息就可以利用他获得一系列系统用户名。这种信息还可以用来攻击web应用程序。例如,使用暴力破解或默认用户名/密码攻击。 | |
| 4 | 弱口令漏洞 | 当系统中存在弱口令漏洞时,可能导致恶意攻击者访问机密资料/数据、管理面板,或者进行进一步攻击。 | |
| 5 | 登录功能验证码漏洞 | 当验证码失效或有时效性时,攻击者可能对系统进行暴力破解等攻击。 | |
| 6 | 用户认证数据易被暴力破解 | 登录页面没有验证码及账户锁定等人机识别验证措施,从而导致登录页面容易受到暴力猜解攻击。 | |
| 7 | 认证模式绕过 | 系统认证模式存在漏洞,可通过特殊手法绕过用户验证措施,从而造成恶意攻击者的非授权访问。 | |
| 8 | 密码字段允许自动填充 | 应用程序为了为用户提供方便常常在本地浏览器(在用户端机器上)缓存密码,并在随后的所有入口都已经预先输入了密码。可能会使未授权用户(具有授权客户机的本地访问权)能够自动填写用户名和密码字段,并因此登录站点。 | |
| 9 | 不安全的cookies | 当cookies中包含了一些明文的敏感信息(如用户名、密码等)时,攻击者盗取用户cookies后造成更严重的危害。 | |
| 10 | 跨站脚本(XSS) | 反射型跨站脚本漏洞 | 反射型跨站脚本攻击是最常见的跨站脚本攻击类型,当Web 应用程序存在易受到这种攻击的漏洞时,它会将未经验证的数据通过请求发送给客户端。常见的攻击手法包括一个攻击者创建并测试恶意URI 的设计步骤、确信受害者在浏览器中加载了该URI 的社交工程步骤、和使用受害人的凭据最终执行恶意代码。 |
| 11 | 存储型跨站脚本漏洞 | 储存型跨站脚本( XSS )是一种最危险的跨站脚本。如果Web 应用程序从恶意用户处收集了输入数据并将这些数据存储在数据库中以供以后使用,就会发生储存式跨站点脚本。存储的输入数据没有经过正确过滤,因此恶意数据将显示为网站的一部分并在web 应用程序授权下在用户浏览器中运行。储存型跨站脚本( XSS )是一种最危险的跨站脚本。如果Web 应用程序从恶意用户处收集了输入数据并将这些数据存储在数据库中以供以后使用,就会发生储存式跨站点脚本。存储的输入数据没有经过正确过滤,因此恶意数据将显示为网站的一部分并在web 应用程序授权下在用户浏览器中运行。 | |
| 12 | 越权访问漏洞 | 越权访问漏洞 | 越权一般应用于对其他用户数据的修改访问,通常web程序会提取用户提交的参数或者HTTP Headers中的特定数据,加入数据库查询,从而进行用户数据的更新,如果存在越权漏洞,攻击者可能对他人数据进行查看或修改。 |
| 13 | 后台地址泄露 | 后台地址泄露 | 管理后台的地址设计过去简单,容易被猜测到,导致攻击者可以访问管理后台从而进行更深入的攻击。 |
| 14 | 安全配置错误 | 不安全的http请求方法 | 除标准的GET和POST方法外,HTTP请求还使用其他各种方法。许多这类方法主要用于完成不常见与特殊的任务。如果低权限用户可以访问这些方法,他们就能够以此向应用程序实施有效攻击。 |
| 15 | 存在风险的无关服务和端口 | 除去应用本身的端口如80、443等,系统若开放了其他无关服务与端口,则该信息可能被黑客利用。 | |
| 16 | Web容器漏洞 | 当运行在操作系统上的应用程序、中间件(例如IIS、Apache)出现安全漏洞时,可能对web、数据库造成严重危害。 | |
| 17 | 命令执行漏洞 | 命令执行漏洞 | 由于开发人员编写源码,没有针对代码中可执行的特殊函数入口做过滤,导致客户端可以提交恶意构造语句提交,并交由服务器端执行。命令注入攻击中WEB服务器没有过滤类似system(),eval(),exec()等函数是该漏洞攻击成功的最主要原因。 |
| 18 | 跨站请求伪造(CSRF) | 跨站请求伪造(CSRF) | 一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的HTTP请求,包括该用户的会话cookie和其他认证信息,发送到一个存在漏洞的web应用程序。这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求,而这些请求会被应用程序认为是用户的合法请求。 |
| 19 | 任意文件下载 | 任意文件下载 | 代码在处理包含文件的时候没有严格控制,导致用户可以构造 \ 含远程代码在服务器上执行,若服务器文件权限设置不严,可导致下载到任意文件。 |
| 20 | 未验证的重定向和转发 | 未验证的重定向和转发 | Web应用程序经常将用户重定向和转发到其他网页和网站,并且利用不可信的数据去判定目的页面。如果没有得到适当验证,攻击者可以重定向受害用户到钓鱼软件或恶意网站,或者使用转发去访问未授权的页面。 |
| 21 | 设计缺陷/逻辑错误 | 设计缺陷/逻辑错误 | 逻辑错误漏洞是指由于程序逻辑不严或逻辑太复杂,导致一些逻辑分支不能够正常处理或处理错误。 |
| 22 | 服务器端请求伪造(SSRF) | 服务器端请求伪造(SSRF) | SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统),SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。 |
| 23 | 敏感信息泄露 | 敏感信息泄露 | 许多Web应用程序没有正确保护敏感数据,如信用卡,税务ID和身份验证凭据。攻击者可能会窃取或篡改这些弱保护的数据以进行信用卡诈骗、身份窃取,或其他犯罪。敏感数据值需额外的保护,比如在存放或在传输过程中的加密,以及在与浏览器交换时进行特殊的预防措施。 |
| 24 | 目录遍历漏洞 | 目录遍历漏洞 | 目录遍历指的是应用程序对文件路径没有检查导致服务器上的敏感文件/代码泄漏。 |
| 25 | 文件上传漏洞 | 文件上传漏洞 | Web应用程序的上传功能模块未对上传文件的类型合法性进行过滤校验,或者过滤校验不足导致绕过。从而使恶意攻击者可以利用文件上传漏洞上传木马后门文件 |
四、商务要求
1、合同履行期限:2023年11月30日前完成。
2、履约地点:沈阳市行政区域内采购人指定地点。
3、付款方式:合同签订生效后,支付合同价款30%;提交成果文件,项目验收合格后,支付合同价款70%。
4、验收标准:执行相关规定。
验收程序:由采购人进行验收。
验收报告:由采购人出具。
组织验收主体:本项目的履约验收工作由采购人依法组织实施。
5、人员要求:结合项目需求成立项目组,成员不得少于6人。
6、安全及保密需求:成交供应商需与采购人签订保密协议,必须同意并遵守采购人的安全保密规章,服务人员在提供服务期间保证对可能直接或间接的接触到的所有机密材料、文件及工作程序予以严格保密,不得擅自直接或间接使用或向任何第三方泄漏保密信息。违约责任:如果成交供应商无法完成服务内容或无法提交成果文件,将视为恶意终止合同,采购人有权单方解除合同。给采购人造成损失的,成交供应商承担相应的履约赔偿责任。
7、违约责任:如果成交供应商无法完成服务内容或无法提交成果文件,将视为恶意终止合同,采购人有权单方解除合同。给采购人造成损失的,成交供应商承担相应的履约赔偿责任。
8、投标有效期:90日历天。
合同履行期限:2023年11月30日前完成。
需落实的政府采购政策内容:落实中小微企业(含监狱企业)、残疾人就业、节能产品、环境标志产品、辽宁省创新产品和服务等政府采购政策。
本项目(是/否)接受联合体投标:否
二、供应商的资格要求
1.满足《中华人民共和国政府采购法》第二十二条规定。
2.落实政府采购政策需满足的资格要求:无(本项目符合《政府采购促进中小企业发展管理办法》第六条第三款内容,故不具备专门面向中小企业采购的条件);
3.本项目的特定资格要求:无
三、政府采购供应商入库须知
参加辽宁省政府采购活动的供应商未进入辽宁省政府采购供应商库的,请详阅辽宁政府采购网 “首页—政策法规”中公布的“政府采购供应商入库”的相关规定,及时办理入库登记手续。填写单位名称、统一社会信用代码和联系人等简要信息,由系统自动开通账号后,即可参与政府采购活动。具体规定详见《关于进一步优化辽宁省政府采购供应商入库程序的通知》(辽财采函〔2020〕198号)。
四、获取采购文件
时间:2023年04月17日 15时30分至2023年04月24日 00时00分(北京时间,法定节假日除外)
地点:线上获取
方式:线上
售价:免费
五、响应文件提交
截止时间:2023年04月28日 09时30分(北京时间)
地点:辽宁政府采购网
六、开启
时间:2023年04月28日 09时30分(北京时间)
地点:辽宁政府采购网
七、公告期限
自本公告发布之日起3个工作日。
八、质疑与投诉
供应商认为自己的权益受到损害的,可以在知道或者应知其权益受到损害之日起七个工作日内,向采购代理机构或采购人提出质疑。
1、接收质疑函方式:线上或书面纸质质疑函
2、质疑函内容、格式:应符合《政府采购质疑和投诉办法》相关规定和财政部制定的《政府采购质疑函范本》格式,详见辽宁政府采购网。
质疑供应商对采购人、采购代理机构的答复不满意,或者采购人、采购代理机构未在规定时间内作出答复的,可以在答复期满后15个工作日内向本级财政部门提起投诉。
九、其他补充事宜
1、开评标过程中对响应文件解密及二次报价环节,需供应商自备笔记本电脑解密及二次报价。
十、对本次招标提出询问,请按以下方式联系
1.采购人信息
名 称: 中共沈阳市委网络安全和信息化委员会办公室
地 址: 沈阳市浑南区沈中大街206号
联系方式: 杨增 024-22898001
2.采购代理机构信息
名 称: 辽宁汇诚工程管理咨询有限公司
地 址: 沈阳市铁西区云峰南街20-1号
联系方式: 024-25158333转8130、8131
邮箱地址: huicheng_zb@163.com
开户行: 中信银行沈阳沈新路支行
账户名称: 辽宁汇诚工程管理咨询有限公司
账号: 8112 9010 1250 0706 511
3.项目联系方式
项目联系人: 郑巍、张彬、窦鑫
电 话: 024-25158333转8130、8131
解决方案
联系我们
返回顶部