前海通综合服务平台安全服务招标公告
前海通综合服务平台安全服务招标公告
根据前海通公司系统建设计划,前海通公司计划采购前海通综合服务平台安全服务。
一、项目名称
前海通综合服务平台安全服务采购项目
二、项目服务范围
服务范围包括:前海通公司部署在腾讯云上的前海通综合服务平台,其中腾讯云服务器≤65台、云数据库2个、密码机3台,以及腾讯云VPC私有网络等服务产品。
三、采购服务内容及要求
1.服务内容包括但不限于如下:
序号 | 服务内容 | 服务要求 |
1 | 渗透测试服务 | 详见“渗透测试服务要求” |
2 | 移动APP测试服务 | 详见“移动APP测试服务要求” |
3 | 网站安全监测服务 | 详见“网站安全监测服务要求” |
4 | 应急响应服务 | 详见“应急响应服务要求” |
2.渗透测试服务要求
1)对前海通公司上线前的网站、应用系统进行漏洞扫描和渗透测试,并出具对应的测试报告。
2)服务频率:一次
3)服务要求包含但不限于如下:
渗透测试流程要求 | 准备阶段 | 经前海通公司审批授权,准备收集确定进行渗透测试的系统、IP、端口、数量以及可能出现的风险及规避方案。 |
渗透阶段 | 从系统层、网络层、应用层三个层次进行全面的信息采集,通过端口、补丁扫描,网络架构分析,应用版本信息等技术手段查找系统层漏洞、网络层漏洞、应用层漏洞。并根据查找的漏洞进行权限的提升,最大化的利用漏洞并保存相应的漏洞信息,便于后续的漏洞复现或追查,出具《渗透测试报告》。 | |
协助加固阶段 | 协助需求方针对渗透测试阶段发现的漏洞进行修补后提供安全复查服务,确定风险是否已经被修复,是否存在新增漏洞,并出具《渗透测试复查报告》。 | |
渗透测试内容 | 配置管理 | 包含但不限于HTTP方法测试、SSL\TLS测试、应用配置管理测试。 |
认证与会话 | 包含但不限于认证绕过测试、用户枚举测试、图形验证码测试、cookies测试、会话变量泄露测试、CSRF测试、越权访问、操作测试。 | |
数据验证测试 | 包含但不限于跨站脚本测试(XSS)、SQL注入测试、代码注入测试、URL跳转测试、文件上传漏洞测试。 | |
流程逻辑与控制 | 包含但不限于易数据篡改测试、短信功能测试。 | |
安全控制测试 | 包含但不限于本地嗅探测试、CA证书测试。 | |
渗透测试安全漏洞要求 | 恶意网络地址转移漏洞 | 通过使用可疑参数来强制用户转向另一网址。 |
命令行注入漏洞 | 入侵者利用使用前不被验证的参数进入操作系统从而可以在目标服务器上进行任意操作。 | |
跨站脚本漏洞 | 向web用户浏览页面插入不加审核的数据导致恶意代码在客户端主机执行。 | |
WEB内容强力浏览 | 通过对未经处理的源代码和文件、目录名称进行阅读和分析来获得敏感信息。 | |
HTTP响应头截断 | 模拟攻击者利用对用户提交的非法字符没有进行严格过滤的漏洞,在http头中输入数据,构造特殊字符形成截断进而获取用户的敏感信息甚至是包含用户名和密码的认证信息。 | |
受攻击面漏洞 | 一些可能被攻击者利用的敏感信息,这些信息会使攻击者了解到网站的结构或设置。 | |
各类型己知安全漏洞 | 未及时安装补丁或升级的服务器很容易被黑客利用其漏洞进行攻击。 | |
LDAP注入 | 恶意用户在LDAP查询中注射不被信任的数据,从而攻击活动目录(Active Directory)或者任何LDAP服务器。 | |
备份文件遗留隐患 | 在开发过程中,被放在web服务器上而且便于获取的一些旧的、备份的或临时文件容易泄漏敏感信息。 | |
调试选项遗留隐患 | 带入生产系统的原调试信息、不被使用的代码或一些后门机制给恶意黑客提供了极大的方便。 | |
隐私泄漏 | 未经处理的用户敏感信息泄漏给攻击者。 | |
SSL注入 | 客户端提交的参数未经严格校验就被作为服务器端嵌入代码,被执行攻击者可能利用这个条件让服务器执行他们的恶意程序。 | |
源代码泄漏 | 未经处理的网页原始码被利用获得机密信息。 | |
SQL注入 | 入侵者利用应用程序中,通过未经合法性判断的用户输入数据来构造动态SQL语句的漏洞,来改变原SQL语句的含义进而执行任意SQL命令。 | |
系统信息泄漏 | WEB服务器在运行中暴露出的错误信息会被攻击者利用来获得站点的行为、结构或配置。 | |
Cookie欺骗 | 通过篡改cookies内容达到欺骗服务程序的目的,由此获取其他用户的账号等敏感信息。 | |
隐藏字段欺骗 | 用浏览器保存页面源代码后修改隐藏字段内容,重新提交给服务器端,web服务器若不做进一步验证,就会被用新的伪造的信息处理交易。 | |
无效的认证措施 | 未经身份鉴别即被网站允许访问系统敏感信息的漏洞。 | |
薄弱的密码恢复验证 | 利用密码恢复系统要求用户提供的鉴别身份的信息易被猜到的情况,来获取、改变或恢复其他用户的密码。 | |
实施服务要求 | 1.渗透测试开始之前要求服务提供详细的工作内容。 | |
2.要求服务提供商在项目实施过程中,能够结合甲方的现状,以及业界先进的IT安全服务经验、方法和最佳实践,进行项目实施。 | ||
3.要求服务提供商能够全面、深入地了解项目范围内的关键业务,合理制定测试计划、测试方案,充分利用业界领先的测试工具完成渗透测试和报告工作,测试的结果能够促进业务安全的提升。 | ||
4.要求服务提供商在整个项目的管理能力方面,能够对项目的工作范围、时间进度、整体质量有全面有效的管理。 | ||
5.要求服务提供商对项目中发现问题能够提供加固与改进建议,并能够对改进结果进行跟踪。 | ||
6.所交付文档需要提供WORD、EXCEL或PPT等可修改版本。 | ||
3.移动APP测试服务要求
1)对APP(IOS、安卓及微信公众号)进行安全评测并出具权威安全评测报告,报告内容包含APP的风险、危害等级、修复方案及复查情况。
2)服务频率:一次
3)服务要求包含但不限于如下:
身份鉴别 | 应对用户进行身份鉴别,做到身份标识唯一性,用户口令具有复杂度要求。 |
应设置登陆失败处理策略,配置限制非法登陆次数等相关措施。 | |
是否正确对会话进行管理。 | |
访问控制 | 是否对相关敏感组件进行访问控制,并有相关控制策略。 |
是否对相关敏感数据进行访问控制,并有相关控制策略。 | |
系统安全审计 | APP应该对用户的敏感操作,登陆日志进行安全审计,并提示用户。 |
资源控制 | 是否可以反编译 |
是否可以篡改APP内容 | |
是否能被键盘记录 | |
屏幕是否可以被监控 | |
伪造假冒签名 | |
代码质量 | 输入验证 |
API误用 | |
硬编码 | |
日志控制 | |
时间和状态 | |
异常处理 | |
安全漏洞 | Webview组件远程代码执行漏洞 |
HTTPS关闭主机名验证 | |
URL攻击漏洞 | |
WebView忽略SSL证书错误 | |
APP存在隐式意图调用 | |
自定义SSL x509 TrustManager,信任任意证书漏洞 | |
Dex文件动态加载风险 | |
加密算法不安全使用 | |
本地SQL注入漏洞 | |
拒绝服务漏洞 | |
文件目录遍历漏洞 | |
备份标识配置风险 | |
其他安全漏洞 |
4.网站安全监测服务要求
1)服务商提供网站监控及预警服务,服务期限为一年,每周提供监测周报。针对前海通网站监控和预警,具体内容包括但不限于如下:
监测内容 | 具体描述 |
关键页面关键字监测 | 对目标站点的约定数量关键页面进行实时关键字监测,发现网页中存在敏感内容时第一时间及时通知。 |
关键页面篡改监测 | 对保护站点的约定数量关键页面进行实时篡改监测,发现异常情况及时通知,发现网页被恶意篡改第一时间告警。 |
网站访问平稳度监测 | 实时监测目标站点的访问速度、页面加载时间等网站性能参数,监测协议至少包括http、https,支持多点平稳度监测,支持多种报警事件通告。 |
域名劫持监测 | 监测网站域名对应的IP地址是否变化,监测DNS是否被劫持或域名是否过期,发现异常情况及时通知。 |
钓鱼网站监控 | 监测互联网是针对本站的钓鱼网站 监测本站自身防钓鱼能力并提供建议 |
挂马监测 | 对网站进行挂马检测,能够检测出常见木马, 监测是否植入shellcode或可疑的外部链接,发现异常情况及时通知。 |
5.应急响应服务要求
服务商提供应急响应服务,服务期限一年。提供7*24小时的电话咨询、远程连接支持等各类技术支持服务;当安全事件发生且前海通公司无法及时发现问题、解决问题时可通过应急服务(服务商提供7*24小时*365天的安全应急响应),协助前海通的安全人员及时发现及解决问题以及调查取证,服务商应急人员与前海通配合协作,共同完成对前海通信息安全事件的紧急事件的响应和处置。
四、供应商资格要求
本项目的潜在供应商应当具备以下资格条件:
1.投标人必须在中华人民共和国境内注册,注册资本人民币4000万元(含)以上,具有独立法人资格、独立承担民事责任和履行合同能力,具有良好的商业信誉和健全的财务会计制度,有依法缴纳税收和社会保障资金的良好记录,在近三年内的经营活动中没有重大违法记录;须提供经年检后的营业执照副本复印件,并加盖单位公章。
2.投标方企业运营年限不得低于5年。
3.投标方须在深圳本地需具有技术团队以及足够的技术实力。
4.投标方应具备相应的安全服务资质,获得ISCCC颁发的信息安全应急处理服务资质认证一级证书、信息安全风险评估服务资质认证一级证书、信息安全测评信息安全服务资质证书(安全工程类)二级证书,以上证书都须提供复印件,并加盖单位公章;具备CNCERT网络安全应急服务支撑单位(国家级)。
5.投标文件应由法定代表人或经法定代表人授权的授权人签署并盖公章。如由经法定代表人授权的授权人签署,须提供有效的授权书。
五、人员要求
1.要求项目经理必须具备10年以上信息安全项目管理经验,同时具备信息安全保障人员认证资质或其他相当的信息安全专家资质,提供相关项目证明材料,并加盖单位公章。
2.提供至少1名通过CISSP资质认证的人员参与项目实施,以保障实施人员具备专业的技术实力,提供证书复印件,并加盖单位公章。
3.提供至少1名同时具备CISP资质与高级项目经理资质的人员参与项目实施,提供证书复印件,并加盖单位公章。
4.技术团队包含但不限于WEB安全专家、系统安全专家、程序设计专家、业务安全专家、反编译系统调试专家并提供技术人员实施项目和相应证书;团队成员中必须有互联网公司SRC严重漏洞提交并得到确认的从业者,提供相关证明材料;证书复印件和证明材料须加盖单位公章。
5.要求提供项目组所有成员社保证明。
六、案例要求
1.提供金融行业安全服务案例不低于5个,提供合同证明复印件,并加盖单位公章。
2.需提供合同额不低于10万的网站安全监测服务案例5个。
七、保密义务
服务提供商在项目实施前应签署相应的保密协议和保密承诺书,承诺对过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据从事任商业交易和何侵害前海通公司系统网络的行为,否则前海通公司有权追究服务提供商的责任。
八、项目报价及要求
本项目根据“前海通综合服务平台安全服务项目采购公开询价表”(见附件一)的报价要求进行报价,同时填写“典型案例”(见附件二)和“技术情况调查表”(见附件三)用于评标使用, 报价金额应为含税报价。
九、评标标准
本次评标采用直接票决法,由公司评标小组根据供应商的报价、项目典型案例和技术情况调查表进行综合投票票选,票选最高者为中标人。
十、响应文件的内容及递交时间、方式
1.响应文件的递交时间:截止2016年12月9日(快递以送达时间截止)。
2.响应文件的类型:纸质文件(六份)
3.响应文件的内容:
“前海通综合服务平台安全服务公开询价表”、“典型案例”、“技术情况调查表”、公司营业执照复印件、相关案例合同关键页复印件、相关资质认证复印件。
4.响应文件的要求:
每份内容需分别加盖公司公章,响应文件应密封,加盖公司公章。
5.递交方式:
(1)直接送达:深圳市前海通有限公司,收件人: 李望福 ,电话:137*****964 。
(2)快递:深圳市前海深港合作区深港青年梦工场8号楼三楼 深圳市前海通有限公司,收件人:李望福,电话137*****964。
十一、联系人
联系人:李望福
移动电话:137*****964
通讯地址:深圳市前海合作区深港青年梦工场8号楼三楼
邮政编码:518052
附件一:《前海通综合服务平台安全服务公开询价表》
附件二:《典型案例》
附件三:《技术情况调查表》
深圳市前海通有限公司
二〇一六年十一月二十四日
| |
|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
