江西省税务局机关政府采购项目登记表
江西省税务局机关政府采购项目登记表
采购需求部门:信息中心
项目名称 | 国家税务总局江西省税务局互联网业务安全服务采购项目 | 交货(完工)时间 | 合同签订后一年内 | |||
数 量 | 1年 | 预算金额(元) | 30万 | |||
联 系 人 | 詹晓军 | 联系电话 | ||||
设备清单及主要技术指标 | ||||||
1、应用系统一年2次税务信息系统漏洞挖掘服务,项目服务范围为我局面向社会公众服务的所有互联网信息系统; 2、一年2次针对网络与信息安全事件应急响应支持服务; 3、服务期一年。 | ||||||
资金来源 | 预算内资金 | 建议完成时间 | ||||
付款方式 | 分两次付款:合同签订生效后分两次支付费用,第一次在完成合同签订后的1个月内支付合同总价的70%,第二次在全部服务完成且验收合格后的1个月内支付合同总价的30%。验收不合格,不支付服务费用。 | |||||
履约金比率 | 无 | |||||
采购方式 | ||||||
项目编号 | ||||||
部门负责人签字 (加盖部门章) | 年 月 日 | |||||
采购部门 负责人签字 | ||||||
备 注 (其他特殊需求) | ||||||
国家税务总局江西省税务局互联网业务安全服务采购 项目采购需求
采购需求前附表
序号 | 类别 | 内容 |
1 | 项目立项 | 项目立项时间:2022年2月23日 |
项目立项证明文件:√有 £无 | ||
2 | 项目预算安排 | 总预算金额(万元):30 |
当年预算安排金额(万元):30 | ||
项目资金来源:信息化运维经费 | ||
3 | 项目采购内容 | 货物名称及数量: 核心产品: |
服务内容:互联网业务安全服务 | ||
工程内容:涉税互联网业务系统的安全众测加固以及应急响应服务。 | ||
4 | 项目实施时间 | 一年(从合同签订日期开始) |
5 | 项目实施地点 | 江西省税务局 |
6 | 项目实施范围 | 江西省税务局面向社会公众服务的互联网信息系统 |
7 | 项目相关单位 | 需求部门:信息中心 |
验收部门:信息中心、征管和科技发展处 | ||
8 | 采购意向公开 | £本项目已于2022年4 月13日公开采购意向 |
£本项目经立项审批不公开采购意向 | ||
9 | 支持中小企业 | £本项目(第包)专门面向中小企业采购 |
£本项目预留预算金额的%专门面向中小企业采购 | ||
£本项目不适宜由中小企业提供,且已履行报批手续。 |
项目联系人:詹晓军 联系人办公电话和手机:********、136*****568一、项目概述
1.项目背景
近年来,随着黑客攻击技术的不断发展,各种新的漏洞不断被发现,互联网税务应用系统安全正面临越来越大的挑战。为提升江西省税务局税务信息系统安全防护水平和漏洞挖掘能力,以及针对重大事件应急响应能力。江西省税务局现拟进行税务信息系统安全防护以及网络与信息安全事件应急响应服务的工作。
★2.项目内容
主要内容包括应用系统一年2次税务信息系统漏洞挖掘服务,项目服务范围为采购人面向社会公众服务的主要互联网信息系统不多于20个;一年2次针对网络与信息安全事件应急响应支持服务;服务期一年。
二、投标/响应要求
供应商资质要求:
1.符合《政府采购法》第二十二条规定的供应商条件。
2.其他特定资格条件:
主体信用记录符合政府采购活动要求
供应商参加政府采购活动前三年内未被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人、重大税收违法案件当事人、政府采购严重违法失信行为记录名单和“中国政府采购”网站(www.ccgp.gov.cn)政府采购严重违法失信行为记录名单(以开标时的当场查询结果为准)。
3.本项目不接受联合体投标。
三、项目需求
近年来,随着黑客攻击技术的不断发展,各种新的漏洞不断被发现,互联网税务应用系统安全正面临越来越大的挑战。为提升江西省税务局税务信息系统安全防护水平和漏洞挖掘能力,以及针对重大事件应急响应能力。江西省税务局现拟进行税务信息系统安全防护以及网络与信息安全事件应急响应服务的工作。江西省税务局主要采购内容包括应用系统一年2次税务信息系统漏洞挖掘服务,项目服务范围为采购人面向社会公众服务的主要互联网信息系统不多于20个;一年2次针对网络与信息安全事件应急响应支持服务;服务期一年。
四、项目实施要求
1.测试方法和漏洞至少包括端口扫描、SQL注入、XXE注入、跨站脚本、口令获取、远程命令执行、社会工程、逻辑缺陷、越权漏洞、XSS漏洞、CSRF漏洞、SSRF漏洞、任意文件操作、Web脚本及应用测试、中间件漏洞等。
2.服务期内,针对涉及采购人的紧急重大类行业漏洞信息、安全事件、重大舆情信息、重要系统漏洞级补丁信息等,供应商应以最直接方式向客户告知漏洞对采购人应用系统的危害、影响范围及修补方案等信息等,必要时提供现场应急响应支持服务。
3.供应商在服务期内只能验证漏洞是否存在,不得影响系统运行或获取数据。
4.供应商对服务期间发现的漏洞,及时提供漏洞报告并制定安全加固方案,协助采购人开展安全加固工作和回归测试。
5.供应商应按采购人要求,就紧急、疑难问题提供远程电话或社交工具技术支持。
6.在发现安全风险后,1个自然日内互联网渗透测试平台技术专家需提供相应的线上漏洞报告和解决建议。
7.对于用户修复后的漏洞,由供应商提供严格的回检服务,并且在用户申请后的3日内反馈回检结果,确认漏洞是否修复;如若用户修复不成功则会告知用户继续修复,回检次数不做限制。
8.供应商组织的安全检测,测试内容包括但不限于网络、系统、应用、业务流程等层面,同时应根据各层面特征有针对性的制定测试方案和测试策略,内容包括但不限于测试手法、测试工具、风险规避措施等。
9.在服务实施方检测出漏洞后,其安全专家需审核漏洞是否真正存在,如若存则第一时间进行邮件和短信告警江西省税务局对接人。
★10.为保证被评估目标的覆盖面、真实性、深入性,深度发现应用系统所存在的网络安全问题和面临的网络安全威胁,每次测试参与测试人员不少于10人,时间不少于5天。测试验收时需保证至少发现6个以上导致业务严重危害的高危等级漏洞。
五、项目验收要求
4.1项目验收总体要求
甲方技术部门严格按照采购合同开展履约验收。验收时,按照采购合同的约定对每一项技术、服务、安全标准的履约情况进行确认。验收结束后出具验收书,列明各项标准的验收情况、可以支付款项建议及项目总体评价,由验收双方共同签署。履约验收的各项资料存档备查。
招标人在收到中标人提交的合格验收申请后15日内组成验收小组完成各服务年度的验收工作。验收小组由项目单位、中标人及项目单位指定(必要时)的第三方共同组成。
中标人应在项目验收时提供相关设备及工具,用户方不再额外支付任何费用。
招标人在收到中标人提交的合格验收申请后15日内组成验收小组完成各服务年度的验收工作。验收小组由项目单位、中标人及项目单位指定(必要时)的第三方共同组成。
4.2项目验收基本要求
1.按招标文件及合同要求对服务内容进行验收。
2.按招标文件技术部分要求及合同对服务的要求进行必要的检查。
3.在招标文件及合同规定的地点和环境下,履行本项目采购的服务内容。
4.提供的服务达不到招标文件和合同要求时,由中标人负责解决。
5.中标人应在验收时提供相关调试设备及辅助材料。
项目验收目的
为保障江西省税务局众测服务项目的最终工作成果,项目服务过程按照招投标文件的相关标准进行,确保服务实施后完成项目要求的工作内容,各项服务能按时完成,所以必须进行项目验收工作。
4.3项目验收内容
序号 采购名称 数量/年限 说明
1 众测服务 2次/1年 应用系统一年2次税务信息系统漏洞挖掘服务,项目服务范围为采购人面向社会公众服务的所有互联网业务系统12个
2 应急响应支持服务 2次/1年 一年2次针对网络与信息安全事件应急响应支持服务;服务期一年
4.4项目验收流程
1、验收申请
中标人向江西省税务局主管部门提出正式的合格验收申请以及验收测评申请,江西省税务局主管部门收到验收申请后,审核验收前提条件,如满足则同意发起验收流程:评估后未满足验收申请条件,提出整改要求,标后再此发起验收流程。
江西省税务局主管部门同意发起验收流程后,应组织成立包含中标人和江西省税务局在内的相关人员组成验收测评小组,负责验收测评相关工作。
2、验收测评
江西省税务局主管部门同意发起验收流程后,验收测评小组应该编写出取得内部共识的验收测评方案,在正式实施测评前把验收测评方案提交至江西省税务局主管部门。江西省税务局主管部门对测评方案进行评审并提供意见建议。
(1)测评小组根据评审过后的验收测评方案实施测评。
(2)测评小组完成测评后,提交完整的验收测评报告至江西省税务局主管部门。
(3)若测评不通过,则按照整改要求进行系统整改后重新提请二次测评。
(4)若测评通过并得到江西省税务局主管部门的书面确认后,后续可组织召开验收会议。
3、验收评审
验收测评通过后,江西省税务局主管部门组织成立验收小组,验收小组确定举行验收评审的日期,参会人员是验收小组成员。
验收评审的内容流程包括:
(1)江西省税务局项目代表作项目情况报告;
(2)中标人项目代表作项目实施情况、系统运行情况、测评情况以及竣工报告;
(3)中标人负责展示和介绍系统运行现状(大屏展示)并进行讲解答疑;
(4)验收小组成员进行现场资料评审复核,配合讲解和答疑;
(5)验收小组对项目进行总体评价,给出验收意见和结论并签字确认;
(6)验收会议结论是未通过,则针对遗留问题整改并召开二次验收会议;
(7)若验收会议成功通过,下一步可进行验收交接;
4、验收交接
验收评审通过后,将项目的验收文档资料、项目过程资料完整移交给江西省税务局。
5、验收通过证明
江西省税务局主管部门对验收会议和验收交接的结果进行审核确认,给出最终的验收结论,出具正式的验收通过证明(签字盖章),项目正式结项。
六、项目技术支持服务要求
5.1漏洞挖掘服务要求
1.测试方法和漏洞至少包括端口扫描、SQL注入、XXE注入、跨站脚本、口令获取、远程命令执行、社会工程、逻辑缺陷、越权漏洞、XSS漏洞、CSRF漏洞、SSRF漏洞、任意文件操作、Web脚本及应用测试、中间件漏洞等。
2.服务期内,针对涉及采购人的紧急重大类行业漏洞信息、安全事件、重大舆情信息、重要系统漏洞级补丁信息等,供应商应以最直接方式向客户告知漏洞对采购人应用系统的危害、影响范围及修补方案等信息等,必要时提供现场应急响应支持服务。
3.供应商在服务期内只能验证漏洞是否存在,不得影响系统运行或获取数据。
4.供应商对服务期间发现的漏洞,及时提供漏洞报告并制定安全加固方案,协助采购人开展安全加固工作和回归测试。
5.供应商应按采购人要求,就紧急、疑难问题提供远程电话或社交工具技术支持。
6.在发现安全风险后,1个自然日内互联网渗透测试平台技术专家需提供相应的线上漏洞报告和解决建议。
7.对于用户修复后的漏洞,由供应商提供严格的回检服务,并且在用户申请后的3日内反馈回检结果,确认漏洞是否修复;如若用户修复不成功则会告知用户继续修复,回检次数不做限制。
8.供应商组织的安全检测,测试内容包括但不限于网络、系统、应用、业务流程等层面,同时应根据各层面特征有针对性的制定测试方案和测试策略,内容包括但不限于测试手法、测试工具、风险规避措施等。
9.在服务实施方检测出漏洞后,其安全专家需审核漏洞是否真正存在,如若存则第一时间进行邮件和短信告警江西省税务局对接人。
★10.为保证被评估目标的覆盖面、真实性、深入性,深度发现应用系统所存在的网络安全问题和面临的网络安全威胁,每次测试参与测试人员不少于10人,时间不少于5天。测试验收时需保证至少发现6个以上导致业务严重危害的高危等级漏洞。
5.2漏洞定级标准
漏洞评级标准是参考国际组织OWASP漏洞标准制定,具体要求如下:
1.高危等级漏洞定义
1)直接获取权限的漏洞(服务器权限、移动app客户端权限)。包括但不限于远程任意命令执行、可利用远程缓冲区溢出、可利用的 ActiveX 堆栈溢出、可利用浏览器 use after free 漏洞、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞、可任意命令执行、可上传webshell、可任意代码执行
2)直接导致严重的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞、重要业务的重点页面的存储型XSS漏洞
3)直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞
4)移动客户端app产品的自身开发功能的漏洞(不含Android系统漏洞)以远程方式获取移动客户端权限执行任意命令和代码,漏洞场景包括但不仅限于远程端口连接、浏览网页和关联文件打开等远程利用方式。
5)越权访问。包括但不限于绕过认证访问管理后台、后台登录弱口令、修改任意用户密码
6)高风险的信息泄漏漏洞。包括但不限于源代码压缩包泄漏
7)客户软件本地任意代码执行。包括但不限于本地可利用的堆栈溢出、UAF、double free、format string、本地提权、文件关联的 DLL 劫持(不包括加载不存在的 DLL 文件及加载正常 DLL 未校验合法性)以及客户端产品的远程 DoS 漏洞、其它逻辑问题导致的本地代码执行漏洞
8)直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、可利用的ActiveX堆栈溢出、浏览器 use after free 漏洞、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞
9)属于移动app客户端产品的自身开发功能的漏洞(不含Android系统漏洞),第三方应用可以跨应用调用移动客户端产品的功能完成一些高危操作,包括但不仅限于文件读写,短信读写,客户端自身数据读写等。
2.中危等级漏洞定义
1)需交互才能获取用户身份信息的漏洞。包括但不限于反射型XSS(包括反射型 DOM-XSS)、JSON Hijacking、重要敏感操作的CSRF、普通业务的存储型 XSS。
2)远程应用拒绝服务漏洞、产品本地应用拒绝服务漏洞、敏感信息泄露、内核拒绝服务漏洞、可获取敏感信息或者执行敏感操作的客户端产品的XSS漏洞。
3)导致移动app客户端敏感信息泄露的漏洞(不含Android系统漏洞),漏洞场景包括但不仅限于调试信息,逻辑漏洞,功能访问等导致的信息泄露。敏感信息包括但不仅限于用户名、密码、密钥、手机串号等移动客户端产品自身重要数据和隐私信息。
4)越权访问,包括但不限于绕过限制修改用户资料、执行用户操作,参与不在有效时间范围内的活动业务,及参与自身条件受限的活动业务。
5) 重要信息的泄露,包含但不限于加密密钥串泄露,其他业务系统账户信息的泄露。
6)直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、可利用的ActiveX堆栈溢出、浏览器 use after free 漏洞、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞。
3.低危等级漏洞定义
1)PC 客户端及移动客户端本地拒绝服务漏洞。包括但不限于组件权限导致的本地拒绝服务漏洞。
2)越权访问。包括但不限于绕过登陆验证访问敏感功能。
3)难以利用但又可能存在安全隐患的问题。包括但不限于可能引起传播和利用的Self-XSS以及非重要敏感操作的 CSRF。
4)导致移动app客户端拒绝服务的漏洞(不含Android系统漏洞),利用该漏洞可以直接结束移动客户端进程。漏洞利用场景包括但不仅限于跨应用调用、远程浏览网页等本地或远程利用方法。
5.3众测服务平台技术参数:
众测平台 | 平台成熟度 | ▲众测平台应在国内主流、知名,社区活跃,注册白帽子不少于4万。(提供证明材料) |
可视化展示 | ▲平台可以对http、https进行全流量分析,全过程无死角,众测过程中的攻击过程大屏可视化展示。(提供证明材料) | |
▲服务全程可实现可视化,通过对流量数据的监测分析及数据间的关联关系判断,识别当前动作所处攻击环节,同时定位攻击发起时间、攻击利用位置、攻击源等信息,能够对测试动作进行还原描绘,按照攻击链理论将测试动作映射到攻击链模型上,形成完整攻击链可视,使安全服务过程“实战化”呈现(提供证明材料) | ||
测试范围 | 测试范围支持包括web、app、pc客户端、智能硬件在内的产品或系统 | |
测试周期保障 | 测试的周期不少于5天 | |
测试过程安全性保障 | 测试人员全部通过具有动态验证口令的VPN安全接入统一输出固定IP,全程记录安全测试人员操作行为并可提供全程监控日志 | |
测试过程追溯能力 | 测试完毕后可对测试进行追溯及还原 | |
漏洞报告 | 提供专业详细的单个漏洞报告,并针对单个漏洞提供专业完善的修复建议 | |
漏洞修复支持 | 能够提供远程的漏洞修复支持 | |
漏洞回检服务 | 提供完善的单个漏洞回检机制,不限制回检次数,确保协助客户将漏洞彻底修复。 | |
测试报告 | 在测试结束后提供一份专业整体的测试报告 | |
安全预警能力 | 具备通过邮件、短信或APP推送组织单位相关的漏洞信息以及行业高危漏洞预警的能力 | |
漏洞优先通知能力 | 测试结束后,能够后续提供自身漏洞响应平台的漏洞优先通知服务 | |
平台自身安全性保障 | ▲平台全站支持SSL加密通信,并对平台自身进行过专业安全检测(提供证明材料) | |
平台漏洞审核 | ▲平台有专业的漏洞审核人员进行漏洞有效性验证和级别的定义(提供证明材料) | |
注册登录模块 | 支持用户通过邮箱或手机号找回密码 | |
管理中心 | 支持微信绑定,具备人员技术考核及实名认证系 | |
项目广场 | 支持用户所属项目的状态及每个项目的漏洞产出情况 | |
漏洞管理 | 支持漏洞检索、漏洞导出等操作 | |
账户设置 | 支持设置平台消息通知的接收方式,包括邮件、短信和微信三种通知(提供证明材料) | |
项目管理 | 支持项目参与人员的管理,对违规人员进行踢出操 | |
配合行为审计能力,一旦发现测试过程中存在恶意、违规行为,能立即撤销测试账号权限,从而阻断测试通道防止产生后续损 | ||
能对测试动作进行实时全流量进行捕获,形成审计日志,平台所记录日志将遵循永久记录,永久可溯,永久保密的原则,供比选人及监管单位进行审计使用 | ||
能够根据客户要求设置项目加入限制,通过平台内置信誉等级等指标进一步筛选,明确区分项目风险等 | ||
审批管理 | 支持对入驻的企业用户的企业资料进行审核操作,支持对入驻的白帽用的技能资料进行审批操作 | |
财务管理 | 支持审核白帽用户的提现,包括对提现记录的检索筛选等操作,支持管理白帽用户提现的支付情况 | |
用户管理 | 支持查看已入驻到平台的白帽和企业用户信息,支持查看历史处置的白帽违规记录,支持对白帽用户进行违规、封号、注销等操作 | |
权限管理 | 支持对管理后台人员的分权,对不同的角色赋予不同的访问权限,对角色可以访问的资源进行细致的权限划分,通过将用户赋予不同的角色来赋予不同的功能。 | |
扩展管理 | 数据接口支持后期自定义扩展,能够在这个基础上进行二次开发,满足平台的后期业务扩展要求,比如数据格式、类型、规则扩充,业务调整、处理性能等要求。 | |
平台资质 | ▲平台厂商为CNNVD国家信息安全漏洞共享平台漏洞成员单位(提供证书复印件加盖公章) | |
测试能力提升 | 平台与云悉合作,给测试人员添加了域名指纹识别功能,让测试人员在原有的基础上更加了解被测试网站的信息情况,极大程度上增加了测试的效率,更易发现网站漏洞信息,更好的实现了项目的交付。 |
5.3.1网络与信息安全事件应急响应服务主要以门户网站和网上办税系统为主,在监测到事件发生或用户方开展应急演练时,应用户要求,30分钟内作出响应,派专业安全人员到现场,进行安全事件原因排查及追溯,并出具有关分析报告。服务频度:2次/年。
5.3.2服务商需要利用先进的分析检测工具和威胁模型,配置高级安全分析人员,最大化的做到攻陷检测和高危攻击检测,保证结果的精准性和广度。并拥有专业的商业安全评估硬件和软件,自主开发高度定制化的安全测试及审计工具。
七、税收信息化项目开发和应用管理工作要求
本项目为非“税收信息化项目开发和应用管理工作”。
八、其他要求
★1、项目保密要求
按照税务总局要求,在提供技术前,供应商必须签订《单位网络安全承诺书》,技术人员必须签订《个人网络安全承诺书》,承诺书主要包括网络安全管理规定和相关保密要求,保密时限最低10年,法律法规有规定的从其规定,供应商未经方技术部门和业务部门许可,不得私自对外开放系统接口及系统数据,因个人原因导致招标方安全问题和数据泄密需承担法律责任。
中标人在任何时候对其持有的事务或其事务运转操作方法等机密信息实行严格保密;除非有书面授权或出于相关方进行活动的必要,不得在任何时间向任何人透露任何保密信息;除非有书面指示或出于履行其义务的合理要求,不得把任何保密信息交给任何人;不对保密信息进行拷贝、抄写、复制、复印、拍照或摄录。
2、知识转移要求
本项目不包含知识转移。
3、知识产权要求
服务商应保证采购人在提供服务过程中的任何部分不受任何关于侵犯所有权和工业产权、著作权(版权)等知识产权的指控。如果任何第三方提出侵权指控,服务商承担一切与之有关的责任。
4、项目归档要求
本次项目实施过程文档包括但不限于:有关产品知识、操作手册、设备运行维护经验、服务报告、技术文档、安装配置方案、安装配置实施文档、随机文档、手册等保证系统正常运行的必要技术资料。要求服务商应首要建立档案管理制度,确保文档资料完整齐全,所有电子档案均应与纸质档案内容相同,符合档案管理相关要求。
5、争议解决办法
本项目签订合同后,各方应通过友好协商,解决在执行合同过程中所发生的或与合同有关的争议。如协商不能解决,可以提起仲裁或诉讼。诉讼应向甲方所在地人民法院提起诉讼。
九、商务要求
付款方式:合同签订生效后分两次支付费用,第一次在完成合同签订后的1个月内支付合同总价的70%,第二次在全部服务完成且验收合格后的1个月内支付合同总价的30%。验收不合格,不支付服务费用(剩余30%部分)。
标签: 机关政府
0人觉得有用|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
