网络安全巡检服务(JJ2019000309)废标公告
发送至邮箱
网络安全巡检服务(JJ2019000309)废标公告
成交金额:无(无)
选标理由:取消采购计划,暂缓采购
| 项目名称 | 网络安全巡检服务 | 项目编号 | JJ 点击查看>> |
|---|---|---|---|
| 公告开始日期 | 点击查看>> | 公告截止日期 | 点击查看>> |
| 采购单位 | (略) | 付款方式 | 无 |
| 联系人 | 中标后在我参与的项目中查看 | 联系电话 | 中标后在我参与的项目中查看 |
| 签约时间要求 | 成交后7天 | 到货时间要求 | 无 |
| 预 算 | 点击查看>> .0 | ||
| 收货地址 | 无 | ||
| 供应商资质要求 | 符合《政府采购法》第 * 十 * 条规定的供应商基本条件 | ||
| 采购商品 | 采购数量 | 计量单位 | 所属分类 |
|---|---|---|---|
| 网络安全巡检服务 | 1 | 项 | 信息系统运维保障 |
| 品牌 | 无 |
|---|---|
| 型号 | 无 |
| 品牌2 | 无 |
| 型号 | 无 |
| 品牌3 | 无 |
| 型号 | 无 |
| 预算 | 点击查看>> .0 |
| 技术参数及配置要求 | 1. (略) 的本次服务对象(安全设备、路由交换)进行巡检。发现是否存在安全隐患和可疑事件,运行是否正常。巡检内容包括但不限 (略) 状态、策略、配置、日志分析等。提供安全巡检报告及日志分析报表。服务时间为 * 年,1.2定期安全检查服务每 (略) 站检查WEB程序是否存在安全漏洞,并标明漏洞类 (略) 页链接,提供《网站漏洞检查报告》。当最终交付的检 (略) 站存在WEB应用程序漏洞,安全专家还会在报告中提出专家级漏洞修复建议。可 (略) 站WEB程序的安全健壮性, (略) 漏洞方面的弱点,根据检测 (略) (略) 理。服务时间为 * 年。检查方式包括工 (略) 远程渗透检查,主要检查内容包括: (1)远程溢出攻击测试 (2)口令破解 (3)Web脚本及应用测试(SQL注入、XSS等) (4)本地权限提升测试 (5)网络嗅探监听(6)其它1. (略) 应用安全检测服务针对对外关键业务系统提供 * (略) 深度应用安全检测服务,针对 * 般信息系统提供 * 年 * 次的深度应用安全检测服务。应用安全检测服务应能深入到应用程序(包括但不限于数据库Oracle、DB2、MS SQL,Web服务,如Apache、WebSphere、Tomcat、IIS等,其他SSH、FTP等)缺失补 * 或版本漏洞检测;数据库软件如Oracle tnslsnr没有设置口令,Microsoft SQL Server * Resolution服务多个安全漏洞;Web服务器如Apache Mod_SSL/Apache-SSL远程缓冲区溢出漏洞,Microsoft IIS 5.0 .printer ISAPI远程缓冲区溢出,Sun ONE/iPlanet Web服务程序分块编码传输漏洞;电子邮件系统如Send (略) 理远程溢出漏洞,Microsoft Windows * SMTP服务认证错误漏洞。 (略) 采用服务工具如漏洞扫描工具或远程安全评估系 (略) 商自主开发,需提供计算机软件著作权登记证书和CVE兼容性认证证书并加盖公章。1.4专业渗透测试服务采购人指定的应用系统,投标人提供不少于2次/年的专业渗透测试服务,包括但不限于以下服务内容:(1)评估目标系统的基本特征信息(如系统名称、版本、管理入口、网络指纹等)是否可以被远程探测和获取;(2)评估目标系统是否存在注入攻击漏洞(如SQL注入、命令注入、LDAP注入、JSON注入、Cookie注入、SSI注入、XML注入、XPath注入等),评估攻击者是否可以非法读取、篡改、添加、删除未授权数据;(3)评估目标系统 (略) 脚本攻击(XSS)漏洞( (略) 攻击、 (略) 脚本攻击、基于DOM的XSS攻击、F (略) 脚本等),评估攻击者是否可以窃取用户会话、窃取敏感信息、重写Web页面、重 (略) 站等;(4)评估目标系统的相关安全认证及会话管理是否存在漏洞,评估攻击者是否可以窃取到密码、密钥、会话授权、用户身份等;(5)评估目标系统是否存在对不安全对象的直接引用,评估攻击者是否可以利用引用对象访问未授权的数据; (6)评估目标系统是否存在安全配置错误威胁(如应用程序、系统框架、应用程序服务、页面服务、数据库服务、运行平台等配置是否安全合理);(7)评估目标系统加密存储方面是否存在不安全因素(如应用程序是否利用适当的加密或者散列手段来妥善保护信用卡、身份验证信息等),评估攻击者是否可以窃取或者非法修改这些受保护的敏感数据;(8)评估目标系统是否限制访问者的URL,评估攻击者是否可以通过伪造URL的方式随意访问隐藏页面;(9)评估目标系统是否存在缓冲区溢出漏洞,评估攻击者是否可以利用缓冲区 (略) 非法授权访问、获取权限、破坏可用性(如 (略) 失败、系统关机、重新启动等)等威胁操作;( * )评估目标系统是否存在业务逻辑层面缺陷;( * )评估目标系统是对未经验证的访问请求重新指向或转发至其它页面是否有正确的验证机制,评估攻击者是否可以将访问请求指向到钓鱼类或 (略) 站等未经授权的页面。1. (略) 入侵清查服务每季度 * 次 (略) (略) 或 (略) 入侵清查,检查是否 (略) 为。服务周期 * 年检查目标主机、网站的系统后门、WEBSHELL、异常帐号、日志量等。对于出现的后门和WEBSHELL等问题给出清除建议和补救措施。需提供工具配置截图1.6 (略) 新上线系统提供全面的安全检查服务,包括对操作系统、中间件、数据库及应用代码的安全检查,并提供加固方案,并协助对新业务系统等保备案,按上级相关文件要求达到等 (略) 级的要求,确认系统安全上线。服务时间 * 年1.7安全通告服务应提供国内外信息安全事件及技术趋势跟踪通告服务。通告内容包括:信息安全事件通告、紧急高危安全漏洞通知、定期安全事件预警通告、临时安全解决方案等。服务商应实时跟踪国内外主要的漏洞信息发布平台追踪最新的漏洞信息,定期每月 * 次向采购方系统管理员通告并提交通告报告,通告内容包括信息安全事件通告、紧急高危安全漏洞通知、定期安全事件预警通告、临时安全解决方案等。为方便获取漏洞信息,服务商能够提供手机APP的安全通告服务,服务内容包括:安全资讯、Web漏洞、软件漏洞、恶意代码、PoC工具等。需提供APP界面截图证明1.8安全事件响应服务建立安全应急小组,在出现安全事件时提供技术支撑。 (略) 络中发生黑客入侵、网页篡改、病毒传 (略) 络安全事件时,提供远 (略) 支撑,现场支撑要求1小 (略) ,实施最有效的紧急救援,进行事件还原和入侵追踪,并提出恢复补救方案。1.9专题保障服务提供重大会议活动及节假日保障,主要为如全国两会、国庆、元旦期间等重大节假日及会议活动提供的特殊保障服务或配合上级安全检查工作。 |
| 售后服务 | 质量保证期:验收合格之日起算 * 年; |
成交金额:无(无)
选标理由:取消采购计划,暂缓采购
| 项目名称 | 网络安全巡检服务 | 项目编号 | JJ 点击查看>> |
|---|---|---|---|
| 公告开始日期 | 点击查看>> | 公告截止日期 | 点击查看>> |
| 采购单位 | (略) | 付款方式 | 无 |
| 联系人 | 中标后在我参与的项目中查看 | 联系电话 | 中标后在我参与的项目中查看 |
| 签约时间要求 | 成交后7天 | 到货时间要求 | 无 |
| 预 算 | 点击查看>> .0 | ||
| 收货地址 | 无 | ||
| 供应商资质要求 | 符合《政府采购法》第 * 十 * 条规定的供应商基本条件 | ||
| 采购商品 | 采购数量 | 计量单位 | 所属分类 |
|---|---|---|---|
| 网络安全巡检服务 | 1 | 项 | 信息系统运维保障 |
| 品牌 | 无 |
|---|---|
| 型号 | 无 |
| 品牌2 | 无 |
| 型号 | 无 |
| 品牌3 | 无 |
| 型号 | 无 |
| 预算 | 点击查看>> .0 |
| 技术参数及配置要求 | 1. (略) 的本次服务对象(安全设备、路由交换)进行巡检。发现是否存在安全隐患和可疑事件,运行是否正常。巡检内容包括但不限 (略) 状态、策略、配置、日志分析等。提供安全巡检报告及日志分析报表。服务时间为 * 年,1.2定期安全检查服务每 (略) 站检查WEB程序是否存在安全漏洞,并标明漏洞类 (略) 页链接,提供《网站漏洞检查报告》。当最终交付的检 (略) 站存在WEB应用程序漏洞,安全专家还会在报告中提出专家级漏洞修复建议。可 (略) 站WEB程序的安全健壮性, (略) 漏洞方面的弱点,根据检测 (略) (略) 理。服务时间为 * 年。检查方式包括工 (略) 远程渗透检查,主要检查内容包括: (1)远程溢出攻击测试 (2)口令破解 (3)Web脚本及应用测试(SQL注入、XSS等) (4)本地权限提升测试 (5)网络嗅探监听(6)其它1. (略) 应用安全检测服务针对对外关键业务系统提供 * (略) 深度应用安全检测服务,针对 * 般信息系统提供 * 年 * 次的深度应用安全检测服务。应用安全检测服务应能深入到应用程序(包括但不限于数据库Oracle、DB2、MS SQL,Web服务,如Apache、WebSphere、Tomcat、IIS等,其他SSH、FTP等)缺失补 * 或版本漏洞检测;数据库软件如Oracle tnslsnr没有设置口令,Microsoft SQL Server * Resolution服务多个安全漏洞;Web服务器如Apache Mod_SSL/Apache-SSL远程缓冲区溢出漏洞,Microsoft IIS 5.0 .printer ISAPI远程缓冲区溢出,Sun ONE/iPlanet Web服务程序分块编码传输漏洞;电子邮件系统如Send (略) 理远程溢出漏洞,Microsoft Windows * SMTP服务认证错误漏洞。 (略) 采用服务工具如漏洞扫描工具或远程安全评估系 (略) 商自主开发,需提供计算机软件著作权登记证书和CVE兼容性认证证书并加盖公章。1.4专业渗透测试服务采购人指定的应用系统,投标人提供不少于2次/年的专业渗透测试服务,包括但不限于以下服务内容:(1)评估目标系统的基本特征信息(如系统名称、版本、管理入口、网络指纹等)是否可以被远程探测和获取;(2)评估目标系统是否存在注入攻击漏洞(如SQL注入、命令注入、LDAP注入、JSON注入、Cookie注入、SSI注入、XML注入、XPath注入等),评估攻击者是否可以非法读取、篡改、添加、删除未授权数据;(3)评估目标系统 (略) 脚本攻击(XSS)漏洞( (略) 攻击、 (略) 脚本攻击、基于DOM的XSS攻击、F (略) 脚本等),评估攻击者是否可以窃取用户会话、窃取敏感信息、重写Web页面、重 (略) 站等;(4)评估目标系统的相关安全认证及会话管理是否存在漏洞,评估攻击者是否可以窃取到密码、密钥、会话授权、用户身份等;(5)评估目标系统是否存在对不安全对象的直接引用,评估攻击者是否可以利用引用对象访问未授权的数据; (6)评估目标系统是否存在安全配置错误威胁(如应用程序、系统框架、应用程序服务、页面服务、数据库服务、运行平台等配置是否安全合理);(7)评估目标系统加密存储方面是否存在不安全因素(如应用程序是否利用适当的加密或者散列手段来妥善保护信用卡、身份验证信息等),评估攻击者是否可以窃取或者非法修改这些受保护的敏感数据;(8)评估目标系统是否限制访问者的URL,评估攻击者是否可以通过伪造URL的方式随意访问隐藏页面;(9)评估目标系统是否存在缓冲区溢出漏洞,评估攻击者是否可以利用缓冲区 (略) 非法授权访问、获取权限、破坏可用性(如 (略) 失败、系统关机、重新启动等)等威胁操作;( * )评估目标系统是否存在业务逻辑层面缺陷;( * )评估目标系统是对未经验证的访问请求重新指向或转发至其它页面是否有正确的验证机制,评估攻击者是否可以将访问请求指向到钓鱼类或 (略) 站等未经授权的页面。1. (略) 入侵清查服务每季度 * 次 (略) (略) 或 (略) 入侵清查,检查是否 (略) 为。服务周期 * 年检查目标主机、网站的系统后门、WEBSHELL、异常帐号、日志量等。对于出现的后门和WEBSHELL等问题给出清除建议和补救措施。需提供工具配置截图1.6 (略) 新上线系统提供全面的安全检查服务,包括对操作系统、中间件、数据库及应用代码的安全检查,并提供加固方案,并协助对新业务系统等保备案,按上级相关文件要求达到等 (略) 级的要求,确认系统安全上线。服务时间 * 年1.7安全通告服务应提供国内外信息安全事件及技术趋势跟踪通告服务。通告内容包括:信息安全事件通告、紧急高危安全漏洞通知、定期安全事件预警通告、临时安全解决方案等。服务商应实时跟踪国内外主要的漏洞信息发布平台追踪最新的漏洞信息,定期每月 * 次向采购方系统管理员通告并提交通告报告,通告内容包括信息安全事件通告、紧急高危安全漏洞通知、定期安全事件预警通告、临时安全解决方案等。为方便获取漏洞信息,服务商能够提供手机APP的安全通告服务,服务内容包括:安全资讯、Web漏洞、软件漏洞、恶意代码、PoC工具等。需提供APP界面截图证明1.8安全事件响应服务建立安全应急小组,在出现安全事件时提供技术支撑。 (略) 络中发生黑客入侵、网页篡改、病毒传 (略) 络安全事件时,提供远 (略) 支撑,现场支撑要求1小 (略) ,实施最有效的紧急救援,进行事件还原和入侵追踪,并提出恢复补救方案。1.9专题保障服务提供重大会议活动及节假日保障,主要为如全国两会、国庆、元旦期间等重大节假日及会议活动提供的特殊保障服务或配合上级安全检查工作。 |
| 售后服务 | 质量保证期:验收合格之日起算 * 年; |
招投标大数据
最近搜索
无
热门搜索
无
