当前位置:网络安全服务项目 公开询价采购公告
发布时间:2025-07-11发布机构:阅读:122
一、项目名称:网络安全服务项目
二、项目编号:NFWZX-2025017
三、项目简介
因工作需要,需对外采购网络安全服务,现通过公开询价的采购方式邀请潜在供应商报价。
本项目最高限价27.45万元。
四、采购方式:公开询价采购
五、供应商资格条件
1、满足《中华人民共和国政府采购法》第二十二条规定。
(1)具有独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必需的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)参加政府采购活动前三年内,在经营活动中没有重大违法记录;
(6)法律、行政法规规定的其他条件。
2、能出具增值税专用发票。
3、不接受联合报价、分包和转包。
4、具有良好的商业信誉,未被列入法院、市场监管部门、税务部门、银行认定的失信名单,未有相关犯罪记录。
六、采购需求
1、项目要求:
1.1应用安全检测服务
1.1.1服务范围
不少于150个应用版本,上限不超过170个。
1.1.2服务内容
对应用的版本更新或者新建应用通过工具加人工的形式进行上线前的安全检测工作,发现应用可能存在的安全漏洞(包括但不限于SQL注入、跨站脚本、弱口令、溢出漏洞、文件上传漏洞、敏感配置泄露、越权访问漏洞、验证码爆破漏洞、任意网页跳转漏洞等),定位漏洞并给出修复建议,协助进行漏洞修复和安全加固,做好漏洞修复验证测试直至提测版本上线。
1.1.3服务时限
首次提测及回归测试均要求在任务下达24小时内完成。
1.1.4服务成果
《安全检测报告》,交付时间:每次提测版本完成后。
1.2渗透测试服务
1.2.1服务范围
对2个独立网站系统分别进行单次深度渗透测试服务。
1.2.2服务内容
经授权,模拟黑客的入侵思路和技术手段,利用目标系统的安全弱点进行攻击。以人工渗透为主,辅助使用各种工具进行非破坏性的模拟攻击,发现系统可能存在的安全漏洞(详见渗透测试指标)。具体要求包括:取得采购人书面授权后,在特定时间及范围内开展渗透测试工作;在渗透过程中不得使用损害系统正常运行的方法和工具,不得修改目标机器的数据;在实施过程中要有详细的攻击测试记录;在约定时间内完成渗透测试后,配合对安全问题进行安全加固和修复,并进行验证测试。
渗透测试指标如下:
|
序号 |
一级指标 |
二级指标 |
|
1 |
安全事件 |
网站挂马 |
|
2 |
网站暗链 |
|
|
3 |
网页篡改 |
|
|
4 |
网站后门 |
|
|
5 |
域名劫持 |
|
|
6 |
网站重定向 |
|
|
7 |
其他安全事件 |
|
|
8 |
SQL注入 |
报错注入 |
|
9 |
盲注 |
|
|
10 |
基于时间的延时注入 |
|
|
11 |
http包注入(头部、host、cookie) |
|
|
12 |
远程代码执行 |
Struts2远程代码执行 |
|
13 |
Java反序列化远程代码执行 |
|
|
14 |
Weblogic远程代码执行 |
|
|
15 |
Jboss远程代码执行 |
|
|
16 |
其他远程代码执行 |
|
|
17 |
跨站脚本 |
反射型跨站脚本 |
|
18 |
存储型跨站脚本 |
|
|
19 |
DOM型跨站脚本 |
|
|
20 |
弱口令 |
应用系统弱口令 |
|
21 |
中间件弱口令 |
|
|
22 |
主机弱口令 |
|
|
23 |
网络设备弱口令 |
|
|
24 |
安全设备弱口令 |
|
|
25 |
密码设备弱口令 |
|
|
26 |
溢出漏洞 |
缓冲区溢出 |
|
27 |
文件上传 |
任意文件上传 |
|
28 |
文件上传绕过 |
|
|
29 |
文件解析错误 |
|
|
30 |
文件包含 |
远程文件包含 |
|
31 |
本地文件包含 |
|
|
32 |
越权访问 |
横向越权访问 |
|
33 |
纵向越权访问 |
|
|
34 |
逻辑缺陷 |
未授权访问 |
|
35 |
登录、找回口令设计缺陷 |
|
|
36 |
会话超时限制 |
|
|
37 |
身份认证机制强健性 |
|
|
38 |
其他逻辑缺陷类 |
|
|
39 |
不安全的URL访问 |
任意网页跳转 |
|
40 |
可执行命令的URL |
|
|
41 |
信息泄露 |
主机信息泄漏 |
|
42 |
应用程序信息泄漏 |
|
|
43 |
中间件信息泄漏 |
|
|
44 |
源代码泄漏 |
|
|
45 |
备份文件泄漏 |
|
|
46 |
配置文件泄漏 |
|
|
47 |
网站管理员信息泄漏 |
|
|
48 |
数据库信息泄露 |
|
|
49 |
信息未加密 |
敏感信息加密 |
|
50 |
重要数据存储加密 |
|
|
51 |
目录浏览 |
目录遍历漏洞 |
|
52 |
任意文件读取漏洞 |
1.2.3服务频次
服务期内对2个独立网站系统分别进行单次深度渗透测试服务。
1.2.4服务成果
《渗透测试服务报告》,根据测试的过程和结果编写渗透测试服务报告。内容包括:具体的操作步骤描述、响应分析以及最后的安全修复建议。渗透测试完成后,供应商需协助采购人对已发现的安全隐患进行修复。修复完成后,对修复的成果再次进行测试复查,对修复的结果进行检验,确保修复结果的有效性。
2.服务要求
2.1服务期限
合同期限1年,合同期间内未完成的服务可顺延。服务结束后若双方一致同意,可按合同内容续签1年。
2.2服务准备
因安全策略对互联网限制较多,为更深入发现安全问题,需要服务厂商提供固定的IP用于放宽安全策略,为避免对此IP放宽安全策略带来安全风险,此IP不能为公共使用的IP地址,须仅为服务厂商安全和安全测试专用IP地址。
因项目需要,安全测试所需要的工具全部由供应商自行提供,并保证符合相关法律法规要求,如因工具产生法律纠纷一切由供应商负责。采购人不提供安全测试所需工具也不为此另外付费。
2.3服务形式
本项目除明确现场服务的,其他不限定服务形式,不管以何种方式,供应商都需按质按量按时提供服务。为完成采购人布置的任务,供应商应视情况安排项目成员加班。明确现场服务的,不限时间段,供应商应根据采购人要求随时响应。
2.4服务人员
2.4.1组织和人员管理要求
为使项目按质、按量、按时及有序实施,供应商对本项目必须具备完善和稳定的管理组织机构。供应商需按照设定相应的岗位,配合采购人组建项目团队。服务期间项目经理和主要实施人员不得随意变更,确需变更须向采购人提出申请,并提供候选人供采购人筛选,以确定变更人选,以保持工作连续性。
供应商应保证供应商人员提供技术服务时遵守采购人及采购人上级管理部门的各项制度。如果供应商人员违反采购人人员管理的规定或工作失误,采购人将按合同追究供应商违约责任。如供应商人员考核不过关,采购人要求更换供应商人员,供应商应予以配合,提供同等条件的员工供采购人筛选。
供应商人员应遵守采购人及采购人上级管理部门的信息安全管理和网络管理等规定。供应商在服务采购人过程中,所涉及与产生的知识产权(包括并不限于代码、技术与非技术的文档、业务数据和各项虚拟资产等),所有权全部在采购人,供应商人员无权带走或处置。
一般情况下,服务人员的工作由项目经理安排和管理,项目经理对采购人指定的管理人员负责,同时用户指定的管理人员可以安排和监督所有供应商人员的工作,如有必要采购人有权提出调整服务人员的职责分工,安排其工作。
2.4.2岗位要求
供应商需提供不低于以下标准和要求的项目管理和技术人员。
本项目所需配备团队人员不少于6人。其中项目经理1人,服务人员不少于5人。
★项目经理及服务人员均需要具备一年以上目前就职单位的工作经验,须提供自报价之日前一年以上的社保证明及有效劳动合同。
供应商需明确具体岗位人员,不能随意更换,接受用户方指派的网络信息安全相关工作任务。项目经理需参加采购人组织的重要的网络信息安全工作会议。
|
序号 |
岗位 |
工作内容 |
服务人员要求 |
人数 |
|
1 |
项目经理 |
(1)负责技术团队的管理工作,负责总体的统筹协调、重大问题处理、投诉管理、争议管理等工作。 (2)5×8远程服务,7×24应急响应服务。 (3)参加项目工作会议。 |
(1)具有本科及以上学历,计算机、软件工程、网络、信息安全、密码学等相关专业; (2)8年(含)以上信息安全服务工作经验; (3)具有注册信息系统安全专家(CISSP)或注册信息系统安全专家(CISP)证书认证; (4)具有PMP项目管理师资质,或具备信息系统项目管理师(高级)资质。
|
1人 |
|
2 |
服务人员 |
项目具体实施。5×8远程服务,7×24应急响应服务。 |
(1)本科或以上学历,计算机、软件工程、网络、信息安全、密码学等相关专业; (2)至少2年(含)以上信息安全服务工作经验; (3)至少3人具有CISP或CISSP证书; (4)具有计算机类、网络空间安全类中级及以上工程师证书 |
不少于5人 |
2.5项目文档要求
供应商必须按要求提交服务工作文档,服务工作文档将作为合同验收的交付材料。最终产出的文档将根据实际情况进行调整:
2.5.1项目阶段性文档
项目实施方案、中期总结报告、项目总结报告(含项目建议)。
2.5.2安全测试报告
安全测试报告至少包括问题描述、风险级别、加固建议、回归验证等。在验收时提供盖章的纸质材料。
七、合同主要条款
1、签约主体:南方新闻网
2、合同主要条款或拟签合同样本(详见附件二)。
八、采购评审方法
本项目采用经评审的最低价法,即在满足采购文件实质性要求的条件下,推荐最低价格供应商成交。
九、响应文件编制
响应文件编制应包括不限于如下列举材料,相关编制需按照后附模板附件内要求提供(详见附件一),响应文件必须生成文档目录。
1、营业执照副本或事业法人证(复印件)。
2、项目授权代表证明资料。
3、报价承诺书
4、公司简介(简要介绍公司基本情况、规模实力、获奖情况等)。
5、本项目特定资格要求证明文件。
6、同类型项目服务案例(提供合同关键页等证明文件)。
7、服务方案和服务承诺(简述)。
8、报价函。
9、其他自行补充资料。
十、响应文件递交
1、报价要求:请按要求填写报价,并附相关资质资料,加盖公章,装订成册。
2、密封要求:报价文件须进行密封,封口处贴封条并加盖骑缝章,外封面备注项目名称和联系方式。
3、递交方式:直接送达或快递邮寄(以送达签收时间为准)。
4、文件数量:正本壹份。
5、截止时间:2025年7月17日17时00分前。
十一、采购人和联系方式
1、采购人:南方新闻网
2、联系人及电话:宋先生,联系电话:13560461498;项目联系人,张先生,13763319831。
3、联系地点:广州市越秀区广州大道中289号新闻中心3楼。
南方新闻网
2025年7月11日
粤ICP备11002111号-1