网站安全服务加固服务技术服务项目

网站安全服务加固服务技术服务项目

询价公告信息
询价公告名称:网站安全服务加固服务技术服务项目创建时间:2019-03-25 08:32:32报价剩余时间2天8小时4分
采购公示开始时间:2019-03-25 08:35:08采购公示结束时间:2019-03-2717:00:00询价方式:公开询价
终止:
询价内容说明:项目编号:【网站安全服务加固服务技术服务】询价文件采购人:中国电信股份有限公司上海分公司【(盖章)】2019年3月25日 目录第一章询价公告1a)项目服务概况1b)项目需求描述2c)服务要求41.总体要求42.对供应商的要求43.★对供应商的人员安排要求5第二章供应商须知7供应商须知前附表71.总则82.询价文件83.应答文件84.应答95.唱价96.评审97.采购结果确定98.合同签订109.采购代理服务费1010.纪律和监督1011.需要补充的其他内容10第三章评审办法11评审办法前附表111.评审标准122.评审程序12 第一章询价公告【网站安全服务加固服务技术服务】项目,采购人为中国电信股份有限公司上海分公司。本项目资金已落实,具备采购条件,现进行公开询价,特邀请有意向的且具有提供标的物能力的潜在供应商(以下简称供应商)参加询价应答。1.项目概况与采购内容1.1项目概况[简要描述项目需求、实现的功能等]:详见策划要求1.2采购内容及分包划分情况[采购的产品服务内容、技术规格或标准、规模数量、交货期或服务期限、分包情况等]:详见策划要求,本次询价只有一个包件1.3本项目【设置最高限价,最高限价为49000元人民币,供应商报价高于最高限价的,其应答将被否决】。2.供应商资格要求2.1供应商基本资格要求[明确列明供应商应满足的所有资格条件]:电信合格供应商2.2供应商不得存在的情形2.2.1供应商不得存在下列情形之一(1)为采购人不具有独立法人资格的附属机构(单位);(2)被责令停业或破产状态的;(3)被暂停或取消投标、参选、应答资格的;(4)财产被重组、接管、查封、扣押或冻结的;(5)在最近三年内骗取中标、中选、成交的;(6)在最近三年内因严重违反合同约定被解除合同/协议,或取消供应商资格的; (7)[采购人对供应商有其他不得存在情形的,可增加规定。如:在与中国电信合作过程中出现过重大问题且尚未妥善解决的;相关产品在中国电信出现过重大质量或安全问题且未妥善解决的;](8)本项目不得分包、转包2.2.2单位负责人为同一人或者存在控股、管理关系的不同单位,不得同时参加同一分包或者未划分分包的同一项目询价应答。2.3【策划要求】1)支持业务:HTTP(80、8080端口)、HTTPS(443、8443端口)的安全防护,业务分析。 2)安全防护:支持恶意注册、暴力登录等业务风控防护、网页防篡改、盗链防护、管理后台保护、CC高级防护。 Web常见攻击防护■防御OWASP 常见威胁:针对GET、POST常见HTTP请求,给不同的网站业务提供高、中、低三种规则策略,进行SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等安全防护;■网站隐身:不对攻击者暴露站点地址、避免绕过Web应用防火墙直接攻击;■0day补丁定期及时更新:防护规则与淘宝同步,及时更新最新漏洞补丁、第一时间全球同步下发最新补丁,对网站进行安全防护;■友好观察模式:针对网站新上线的业务开启观察模式、对于匹配中防护规则的疑似攻击只告警不阻断、方便统计业务误报状况 缓解CC攻击■对单一源IP的访问频率进行控制、重定向跳转验证、人机识别等;■针对海量慢速请求攻击、识别异常响应码、IP访问、URL异常分布,对异常referer、User-agent的请求,可结合精确访问控制过滤;■充分利用阿里云大数据安全优势、建立威胁情报与可信访问分析模型、快速识别恶意流量 业务风控防护■(WAF高级版及更高版本)实时解决垃圾注册、刷库撞库、活动作弊、论坛灌水等严重业务风险■最佳用户体验、无需网站修改源码/调用API接口等繁琐操作即可实现快速上线防护精准访问控制■提供友好的配置控制台界面,支持IP、URL、Referer、User-Agent等HTTP常见字段的条件组合,打造强大的精准访问控制策略,可支持盗链防护、网站后台保护等防护场景;■与Web常见攻击防护、CC防护等安全模块打造多层综合保护机制、轻松依据需求,识别可信与恶意流量。(1)安全扫描主要包括如下几个方面:服务器主机系统安全漏洞检查(工具扫描);数据库系统安全漏洞检查(工具扫描);中间件安全漏洞检查(工具扫描);网络设备漏洞检查(工具扫描);安全设备漏洞检查(工具扫描);服务器主机系统弱口令检查(工具扫描);数据库系统弱口令检查(工具扫描);中间件弱口令检查(工具扫描);网络设备弱口令检查(工具扫描);安全设备弱口令检查(工具扫描);针对新上线的系统,提供加固建议及加固指导。(2)漏洞审计服务,根据之前安全扫描的情况,在进行加固和修复后,重新进行一次漏洞修复情况的验证,并得出检测结果。渗透测试渗透测试服务的目的在于充分挖掘和暴露系统的弱点,从而让管理人员了解其系统所面临的威胁。渗透测试工作往往作为风险评估的一个重要环节,为风险评估提供重要的原始参考数据。渗透测试服务内容:(1)信息收集技术系统和应用信息收集:通过对远程服务的所启动的服务进行扫描和手工提交等工作,根据其返回信息可以获取远程系统及应用的版本号等信息,对于存在弱点的应用还可以进一步挖掘更多的系统信息,例如:SMB、SNMP等。站点信息收集:站点信息主要包括三个部分:WEB服务信息,数据库信息和站点结构。(2)端口扫描端口扫描是通过连接到目标系统的TCP协议或UDP协议端口,来确定什么服务正在运行。(3)漏洞检测远程型漏洞检测往往是指在有防护设备(如IPS、防火墙等)情况下,进行远程针对操作系统漏洞和应用程序漏洞检测的一种方式。其检测的原理主要是利用TCP/IP、UDP以及ICMP协议的原理和特点,扫描引擎向远端目标发送特殊的数据包,记录返回的响应信息,然后与已知漏洞的特征库进行比较,如果能够匹配,则说明存在相应的开放端口或者漏洞。此外,还可以通过模拟黑客的攻击方法,对目标主机系统发送攻击性的数据包。本地型漏洞检测往往是指在网络内部(在没有防护设备保护的情况下),模拟内部人员攻击,对内部的网络设备、服务器操作系统、应用程序等进行远程漏洞检测,进而发现漏洞并实现远程攻击。(4)溢出攻击溢出攻击的测试过程中,测试人员将根据收集的信息以确认应用或系统的版本,从而判断在当前应用或系统上是否存在已知溢出漏洞和可利用的攻击程序,同时,测试人员会在攻击程序对系统的稳定运行不产生影响的前提下使用攻击程序发起溢出攻击。(5)口令猜解渗透测试过程中,根据系统的不同,至少可以进行以下服务或应用的口令测试:1.SMB/CIFS2.TELNET3.SSH4.FTP5.POP/SMTP/IMAP6.Terminal Service7.MySQL8.MSSQL9.Oracle10. HTTP11. HTTP Form(6)WEB漏洞挖掘技术跨站脚本(XSS,Cross Site Script),指服务端程序在接收用户提交信息时没有对信息进行必要的检查或编码而导致页面包含了可能对客户端造成伤害的脚本。跨站脚本直接对客户端浏览器产生影响,如:窃取敏感信息、下载恶意程序、钓鱼等,而由于跨站而形成的XSS Worm可能造成更大的威胁。注入漏洞中常见的为SQL注入(SQL Injection),SQL注入是指当服务端接受客户端信息时,未对客户端信息进行任何校验就将其送入数据库中进行查询操作,而恶意用户只需对客户端提交信息进行一定的构造,就可以导致数据执行一些危险操作。类似的,注入漏洞还存在其他方式,如:LDAP注入、XPath注入、系统命令注入等。目录遍历,Web站点对Web内容缺乏恰当的访问控制,允许HTTP遍历,形成Web应用服务器安全漏洞,使得攻击者能够访问受限制的目录,并在Web服务器的根目录以外执行命令。利用目录遍历攻击漏洞,攻击者能够超过服务器的根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或者采取更危险行为,攻击者能够执行造成系统崩溃的指令。文件上传,很多网站提供文件上传功能(包括图片上传),如果在服务器端没有对上传文件的类型、大小以及保存的路径及文件名进行严格限制,攻击者就很容易上传后门程序取得WebShell,从而控制服务器。参数错误,参数错误与注入漏洞相似,但一般参数错误漏洞是直接作用在WEB程序本身,而不像注入漏洞那样作用于后台支撑的应用。参数错误主要是指在程序接收客户端参数时(一般为GET和POST两种参数),对客户端提交参数未做过滤,而同时WEB脚本之间又不具备严格的访问控制,进而导致通过错误的参数直接浏览、修改甚至获得WEB Shell。信息泄露往往来自多个层面,而其中由于服务配置错误引起的信息泄露最为常见。其他,除以上几种常见WEB漏洞外,还有很多可能造成WEB应用被入侵的问题。(7)主机常规后门安全检查本次安全检查,是针对龙岩市数字城管系统安全评估服务中所涉及的服务器主机常规后门,采用专门工具检查结合手工检测、验证的方法,进行常规后门的安全检查。本次主机常规后门安全检查项目:A.传统Webshell检查B.“一句话木马”检查C.“图片木马”检查D.系统帐号检查(帐号提权)E.隐藏帐号F.粘滞键后门(针对windows系统服务器)G.可疑进程检测H.可疑端口检测I.系统文件检测J.Conficker病毒(针对windows系统服务器)3)带宽限制:源站在阿里云(入/出)阈值为50Mbps,云外服务器(入/出)阈值:10Mbps4)正常QPS流量:2,0005)黑白名单支持:支持IP/URL/UA/Referer条件组合的黑白名单(20条) 6)CC防护QPS:20,000技术服务的方式:?电话支持、远程支持、邮件支持、现场支持。?配合甲方进行系统安全检查、系统漏洞扫描等工作的各项技术支持。服务响应时间:?电话支持:7×24小时电话立即响应。现场支持:紧急情况下2小时到现场。]。3.询价文件获取3.1获取时间:2019年3月25日。3.2获取方式:外部门户网站。4.应答文件的递交4.1应答文件递交方式:电子附件(敲章)。4.2应答文件递交截止时间(即应答截止时间)和递交地点:2019年3月27日17点00分00秒。4.3唱价时间和地点:本此采购为公开询价,无唱价,采购结果直接公示。4.4出现以下情形时,不予接收应答文件:4.4.1逾期送达或者未送达指定地点的;4.4.2未按照本公告要求获得本项目询价文件的;4.4.3询价文件规定的其他情形。5.供应商注册5.1供应商须在购买询价文件后5日内,通过中国电信阳光采购网完成供应商注册。5.2注册网址:https://caigou.chinatelecom.com.cn/MSS-PORTAL/,注册过程可查询“经验分享”模块中的“外部门户供应商注册操作演示(视频)”。6.发布公告的媒介本询价公告同时且仅在()、中国电信阳光采购网(https://caigou.chinatelecom.com.cn/MSS-PORTAL/)上发布,其他媒介转载无效。7.联系方式采 购 人:中国电信股份有限公司上海分公司 采购代理机构:无地址:江苏路500号10楼邮编:联 系 人:申先生电话:189*****097电子邮件:电子邮件:开户银行:开户银行:账号:账号:采购人:中国电信股份有限公司上海分公司【(盖章)】2019年3月25日 第二章供应商须知供应商须知前附表本须知前附表是对供应商须知正文的具体补充和修改,如有矛盾,以本前附表为准。条款号条款名称编列内容1.1.2项目概况(1)采购人单位名称:中国电信股份有限公司上海分公司(2)采购人联系方式:189*****097(3)询价方式:■公开询价,□邀请询价(4)询价组织形式:■自行组织,□委托代理机构组织代理机构名称:无代理机构联系方式:无(5)资格审查:□资格预审,■资格后审2.1.1询价文件的组成?询价文件实质性要求的标识询价文件中标识【★】的条款,均为实质性条款,供应商必须满足询价文件要求,不满足询价文件要求的将被否决。3.1应答文件组成和编制要求[逐一列明应答文件的组成][明确应答文件的编制、盖章或者签字的具体要求][明确应答文件的式样、密封、标记的具体要求,如应答文件的形式纸质/电子文件/扫描件,正副本的要求等]【 】3.2应答有效期和报价具体要求(1)应答有效期为【 3 】天。从递交应答文件截止日起计算。应答有效期不满足询价文件要求的将被否决。(2)报价具体要求【明确数量、税率、有效年份】4.1.1应答文件递交方式、递交截止时间和递交地点(1)递交方式:【外部门户、电子扫描档】(2)递交截止时间:【 2019】年 【3】月【27】日【17】点【00】分(3)递交地点:【 电信外部门户网站】[递交纸质文件的须载明具体地点]4.1.3不予接收应答文件的其他情形【】5.1唱价时间和地点唱价时间:【】唱价地点:【】6.3成交候选供应商推荐原则【本条增加如下规定:无】【9】【采购代理服务费金额、交纳方式和时限】【本条增加如下规定: 无 】11需要补充的其他内容【无】 1.总则1.1项目概况1.1.1根据《中国电信集团采购管理办法》(以下简称《采购管理办法》)等有关规章制度规定,本询价项目已具备采购条件,现对本项目组织询价。采购范围、分包划分情况见第一章“询价公告”或者“询价邀请书”。1.1.2本项目采购人单位名称及联系方式、询价方式、询价组织形式、资格审查方式见供应商须知前附表。1.2应答费用不论结果如何,供应商自行承担所有准备和参与询价有关的费用。1.3保密参与询价活动的各方应当对询价文件和应答文件中的商业和技术等秘密保密,违者应当对由此造成的后果承担法律责任。2.询价文件2.1询价文件的组成2.1.1询价文件一般由以下部分组成:第一章询价公告/询价邀请书第二章供应商须知第三章评审办法第四章商务规范书第五章 技术标准和要求/技术规范书/工作任务书第六章应答文件格式采购人另有规定的,见供应商须知前附表。2.1.2询价文件对同一内容的表述应当一致。第一章“询价公告”或者“询价邀请书”与询价文件在同一内容的表述上有矛盾或者冲突时,以第一章“询价公告”或者“询价邀请书”为准;供应商须知前附表与供应商须知正文在同一内容的表述上有矛盾或者冲突时,以供应商须知前附表为准。2.1.3采购人在询价文件中以显著的方式标明实质性要求、条件以及不满足实质性要求和条件的应答将被否决的提示。显著标识方式和具体要求见供应商须知前附表。2.2询价文件的澄清和修改供应商对询价文件有疑问的,应以书面形式要求采购人对询价文件进行澄清。所有关于询价文件的澄清和修改均作为询价文件的补充部分。当询价文件、询价文件的澄清或者修改等在同一内容的表述上不一致时,以最后发出的书面文件为准。3.应答文件3.1应答文件的组成和编制要求应答文件的组成和编制要求见供应商须知前附表。应答文件正本和副本如有不一致之处,以正本为准;纸质版文件与电子版文件不一致时,以纸质版文件为准。3.2应答有效期和报价要求3.3.1应答有效期和报价要求的具体要求见供应商须知前附表。3.3.2采购人设有最高限价的,供应商的报价不得超过最高限价,否则其应答将被否决。最高限价或者其计算方法见第一章“询价公告”或者“询价邀请书”。采购人不接受供应商的任何低于成本报价的不正当竞争方式。4.应答4.1应答文件的递交4.1.1应答文件递交方式、递交截止时间、递交地点见供应商须知前附表。4.1.2采购人收到应答文件后,向供应商出具签收凭证。供应商所递交的应答文件原则上不予退还,除非询价文件另有规定。4.1.3出现以下情形时,不予接收应答文件:(1)逾期送达或者未送达指定地点的;(2)未按照第一章“询价公告”或者“询价邀请书”要求获得本项目询价文件的;(3)其他情形见供应商须知前附表。4.2应答文件的修改、撤回和撤销供应商可以在规定的应答截止时间前修改或者撤回已递交的应答文件。供应商修改的应答文件重新提交的,应按照询价文件的规定编制、密封、标记、递交。供应商在规定的应答截止时间后,不得在应答有效期内撤销其应答。5.唱价5.1唱价时间和地点采购人将按照供应商须知前附表规定的时间和地点唱价,并邀请所有的供应商或者其代表出席。供应商可自行决定是否参加唱价,参加唱价的供应商代表应当签名报到,以证明其出席唱价。5.2唱价程序唱价会议由采购人组织并主持,在应答文件递交截止时间前收到的所有应答文件都应进行唱价。唱价内容填写在“唱价记录表”中,由主持人、唱价人、记录人、供应商代表、监督人签字确认,存档备查。5.3异议供应商对唱价有异议的,应当在唱价现场提出,采购人应当当场做出答复,并制作记录。6.评审6.1询价小组评审由询价小组负责,任何单位和个人不得非法干预或者影响评审的过程和结果。询价小组成员名单在询价结果确定前应当保密。6.2评审原则询价小组应遵循公平、公正、科学和择优的原则,按照第三章“评审办法”规定的方法、评审因素、标准和程序对应答文件进行评审。6.3评审程序评审采用经评审的最低价法进行。询价小组应从商务、技术和服务均能满足询价文件实质性要求的供应商中,按照报价由低到高的顺序,提出成交候选供应商,具体推荐原则见供应商须知前附表。出现多家供应商报价最低且相同时,应组织报价最低的供应商只对价格重新报价,直至报价最低供应商仅为一家。询价小组应根据询价评审情况编制询价总结报告并由询价小组全体成员签字。7.采购结果确定7.1确定成交供应商7.1.1采购人应在询价小组推荐的成交候选供应商中确定成交供应商。在签订合同之前,成交供应商放弃成交或者不能履行合同的,采购人可以按照询价小组提出的成交候选人名单确定其他成交候选供应商为成交供应商,也可以重新询价。7.1.3采用公开询价方式的,采购人应在公告发布媒介公示成交供应商,公示期不少于3日。供应商或者其他利害关系人对询价结果有异议的,应当在成交供应商公示期间提出。7.2成交通知成交供应商确定后,采购人应当向成交供应商发出成交通知书,同时通知未成交供应商。成交通知书对采购人和成交供应商具有法律约束力。8.合同签订采购人和成交供应商应当根据询价文件和成交供应商的应答文件订立书面合同。采购人和成交供应商不得订立背离合同实质性内容的其他协议。成交供应商无正当理由拒签合同的,采购人取消其成交资格。9.采购代理服务费采购人委托采购代理机构的,成交供应商应当按照询价文件规定交纳采购代理服务费。采购代理服务费的金额、交纳方式和时限见供应商须知前附表。10.纪律和监督10.1对采购人的纪律要求采购人不得泄漏采购活动中应当保密的情况和资料,不得与供应商串通损害国家利益、社会公共利益或者他人合法权益。10.2对供应商的纪律要求供应商不得相互串通或者与采购人串通应答,不得向采购人或者询价小组成员行贿谋取成交,不得以他人名义应答或者以其他方式弄虚作假骗取成交;供应商不得以任何方式干扰、影响评审工作。10.3对询价小组成员的纪律要求询价小组成员不得收受他人的财物或者其他好处,不得向他人透漏对应答文件的评审和比较、成交候选供应商的推荐情况以及评审有关的其他情况。在评审活动中,询价小组成员应当客观、公正地履行职责,遵守职业道德,不得擅离职守,影响评审程序正常进行,不得使用第三章“评审办法”没有规定的评审因素和标准进行评审。10.4对与评审活动有关的工作人员的纪律要求与评审活动有关的工作人员不得收受他人的财物或者其他好处,不得向他人透漏对应答文件的评审和比较、成交候选供应商的推荐情况以及评审有关的其他情况。在评审活动中,与评审活动有关的工作人员不得擅离职守,影响评审程序正常进行。11.需要补充的其他内容需要补充的其他内容:见供应商须知前附表。 第三章评审办法评审办法前附表[下表列举部分常用的评审因素,具体项目应根据实际情况进行补充调整]条款号评审内容评审因素评审标准2.1初步评审标准形式评审供应商名称营业执照和资质证书……资格评审资格条件不得存在的情形……响应性评审实质性响应(可细分罗列)…………2.2详细评审标准评审内容量化因素量化标准价格【具体调整标准详见本前附表附1“报价评审调整系数表”】在价格评审过程中,如出现“报价评审调整系数表”中没有的对应调整关系,按照以下规则处理:1.价格评审以各投标人投标报价中的“价款”作为评审依据;2.不能开具增值税专用发票的供应商,按价税合计金额作为价格评审依据。……附1:报价评审调整系数表报价评审调整系数表应税货物、劳务或服务类型投标人A投标人B抵扣率价格评审调整系数抵扣率价格评审调整系数货物销售17%13%1/86.55%01/83.73%有形动产租赁17%13%1/86.55%01/83.73%信息技术服务6%13%1/96.82%01/93.66%物流服务交通运输服务11%13%1/91.90%101/88.90%物流辅助服务6%13%1/96.82%101/93.66%建筑安装服务11%13%1/91.90%10%1/88.90%调测维保服务6%13%1/96.82%01/93.66%1.评审标准评审标准见评审办法前附表。2.评审程序2.1初步评审2.1.1询价小组根据本章评审办法前附表规定的初步评审标准对应答文件进行评审。有一项不符合评审标准的,询价小组应当否决其应答。2.1.2供应商有以下情形之一的,询价小组应当否决其应答:(1)询价公告“供应商不得存在的情形”中规定的任何一种情形;(2)应答文件未按照询价文件要求盖章和签字;(3)报价低于成本或者高于询价文件设定的最高限价;(4)供应商有串通询价、弄虚作假、行贿等违法行为;(5)不符合询价文件中规定的实质性要求;(6)附有采购人不能接受的条件。2.1.3评审过程中,询价小组认为供应商应答报价可能低于其个别成本的,应当书面要求该供应商做出书面说明并提供相关证明材料。供应商不能合理说明或者不能提供相应证明材料的,由询价小组认定该供应商以低于成本报价竞争,询价小组应当否决其应答。2.1.4应答报价有算术错误的,询价小组按照以下原则对应答报价进行修正,修正的价格经供应商书面确认后具有约束力。供应商不接受修正价格的,询价小组应当否决其应答。(1)应答文件中的大写金额与小写金额不一致的,以大写金额为准;(2)总价金额与根据单价计算出的结果不一致的,以单价金额为准修正总价,但单价金额小数点有明显错误的除外。2.2详细评审询价小组按照本章评审办法前附表规定的详细评审标准进行价格折算,计算出评审价,并编制价格比较一览表。在评审过程中,询价小组应当以书面形式要求供应商对所递交的应答文件中不明确的内容进行书面澄清、说明或者对应答文件中的细微偏差进行补正。询价小组不接受供应商主动提出的澄清、说明或者补正。必要时可以要求供应商递交有关证明和证件的原件,以便核验。?一、应答函应 答函致:(采购人名称) (供应商名称)(以下称“我方”)已仔细研究了(项目名称)询价文件的全部内容,包括澄清或者修改文件以及有关附件,我方将严格按照询价文件要求递交符合要求的全部应答文件。我方承诺如下内容:1.我方的应答文件包含第二章“供应商须知”应答文件组成中规定的全部内容。2.我方承诺在询价文件规定的应答有效期内不修改、撤销应答文件。3.我方在参与询价过程中根据询价小组要求提供的符合相关规定的澄清文件,构成应答文件的组成部分。4.我方承诺不向第三方透露与询价相关的所有信息。5.如确定我方成交:(1)我方承诺在收到成交通知书后,在成交通知书规定的期限内与你方签订合同。(2)我方承诺按照询价文件的规定及合同约定履行相关责任和义务。我方在此声明,所递交的应答文件及有关资料内容完整、真实和准确【,且不存在询价公告“供应商不得存在的情形”中规定的任何一种情形】。如有弄虚作假,将承担相应的法律责任,并赔偿由此造成的一切损失。6.其他补充说明:【我方承诺按照采购人要求完成中国电信供应商注册。/无/具体的其他说明或要求】单位名称:(盖单位公章)法定代表人(负责人)或者其委托代理人:(签字)地址:电话:电子邮箱:日期:XX年XX月XX日?二、廉洁承诺书廉洁承诺书致: (采购人名称)我公司自愿参加(项目名称)询价,为保证询价活动公平、公正,依据国家法律法规和廉洁从业相关规定,现承诺如下:1.不以他人名义参与询价或者以其他方式弄虚作假,骗取成交;2.不与其他供应商相互串通报价或订立攻守同盟;3.不与采购人或采购代理机构串通询价;4.不向采购人、采购代理机构或询价小组成员行贿,包括提供现金(礼金)、礼券、礼品、购物卡、有价证券等财物,或娱乐、宴请、旅游等活动,或支付应由其个人承担的学费、餐费、医药费等各种费用等;5.不通过非正常渠道探听采购过程中应当保密的信息,包括(潜在)供应商的数量与名称、询价小组成员名单和联系方式、其他供应商的应答文件、询价情况及成交推荐意见等。6.不私下接触采购人、采购代理机构或询价小组成员,利用人际关系干扰询价活动;7.不在办公场所、唱价评审现场寻衅滋事、无理取闹或以其他手段非法干预、影响询价的过程和结果;8.不捏造事实、伪造材料,或以非法取得的材料进行恶意投诉与诬陷;不毫无根据地散播不实消息,诋毁他人名誉,主观臆断反映问题与诉求。9.不以低于成本报价;10.不以其他方式排挤其他供应商的公平竞争。如发生任何违反本承诺的行为,除按法律法规接受处罚外,采购人有权否决我方本次应答、宣布成交无效等。供应商名称:        (盖单位公章)法定代表人(负责人)或其委托代理人:      (签字)日期:XX年 XX月XX日?三、报价表报价表序号产品或服务名称型号和规格数量不含税单价是否开具增值税专用发票税率含税总价备注1供应商名称:        (盖单位公章)法定代表人(负责人)或其委托代理人:      (签字)日期:XX年 XX月XX日附件一:信息安全保证协议甲方:XXXX乙方:XXXXX为规范甲乙双方的经营行为,保证甲方在使用乙方提供的产品服务时能得到有效的安全服务保证。根据《国家网络安全法》、《中国电信业务平台应用软件安全技术规范》、《软件开发代码规范》、《中国电信网信业〔2018〕4号-关于弱口令的认定标准》、《软件管理办法》等有关规定,经双方协商同意,特订立本协议。一、甲乙双方共同责任(一)严格遵守国家相关法律法规制度以及有相关安全规范上的各项规定。(二)严格遵守商业道德和市场规则,共同营造公平公正的商务交易环境。(三)双方如发现任何一方在业务活动中有违规、违法行为的,应及时提醒对方,情节严重的,应向相关部门举报。(四)未经对方的书面同意,任何一方不得向任何新闻媒体、第三者评述合作方人员安全规范方面的情况。二、甲方及其人员的责任(一)甲方应指导乙方在安全方面的工作;帮助乙方知晓相关安全制度和条例。(二)甲方应及时告知乙方相关安全问题,明确安全风险和整改周期。(三)甲方应帮助乙方在业务侧用户进行安全方面的沟通,得到业务侧的用户的支持和理解。(四)甲方应尽力帮助乙方在发生高中危漏洞时,提供整改和修复建议。三、乙方及其人员的责任(一)乙方应积极配合甲方按照安全规范进行实施,如遇到客观情况无法实施或者整改的,应向甲方提供针对性的预防措施或者应急预案,并能在一年内提供具体的整改计划。(二)乙方应能在24小时内反馈甲方所要求的安全整改清单和自查内容清单、并能发现类似漏洞予以修复。(三)乙方应配合甲方完成平台的安全信息检查和等保要求。(四)发生“附录一:一类安全事件”后,乙方应在30分钟内做出响应和操作,快速修复漏洞或者启动应急预案。(五)发生“附录一:二类安全事件”后,乙方应在24小时内给出解决措施和整改方案,并在72小时内修复相关漏洞。(六)乙方有责任尽力避免“附录一:相关安全事件”,一旦发生“附录一”描述的安全事件,将按照“四、处理意见”进行整改。四、处理意见(一)甲乙双方如有违反以上条款的,按照管理权限给予处理,涉嫌犯罪的,移交司法机关追究刑事责任;(二)乙方如由于信息安全事件造成甲方与用户之间发生经济损失,应按照损失金额的多少做出等同金额的的赔偿;(三)乙方如由于信息安全事件造成被曝光,则乙方自动降为C类供应商,同时必需提供至少6个月第三方安全厂商的渗透扫描报告。(四)乙方如发生“附录一:一类安全事件”,乙方服务等级自动从A类供应商降为B类供应商,提供至少3个月的第三方安全厂商的渗透扫描报告;如在6个月内再次出现“附录一:一类安全事件”,则自动降为C类供应商,同时提供至少6个月的渗透性扫描报告。五、本协议作为合同的附件,与合同具有同等法律效力,经协议双方签署盖章后立即生效。甲乙双方及其人员在合同履行完毕后,发生或发现违反本协议规定的行为,仍按本协议规定处理。六、本协议一式贰份,双方各执壹份。附录一:安全事件类别清单?一类安全事件:1)弱密码:平台的管理功能页面存在用户设置弱密码。关于弱口令认定的说明:对于采用静态口令认证技术的系统或设备,帐户口令应满足以下要求:1、口令长度应至少8位;2、口令应包括数字、小写字母、大写字母、特殊符号4类中至少3类;3、口令应与用户名无相关性,口令中不得包含用户名的完整字符串、大小写变位或形似变换的字符串;4、应更换系统或设备的出厂默认口令;5、口令设置应避免键盘排序密码。不满足以上要求任意一项的口令相关问题,可定义为“弱口令”漏洞。2)个人敏感信息泄露:由于平台漏洞导致10条以上个人敏感信息泄漏。 表一、个人敏感信息举例表3)数据库泄漏:由于平台漏洞、人员管理疏忽等原因导致数据库被攻击、造成数据库结构、表单泄漏。4)平台设计存在逻辑漏洞造成公司或者用户的经济损失。5)平台发生挂马、页面(数据流)篡改、源码泄漏、注入漏洞、任意文件上传、用户密码越权更改、短信轰炸、反序列化。?二类安全事件:1)管理平台,数据库接口暴露在公网上未做保护。2)平台登录界面无验证码、尝试次数限制等防暴力破解设置。3)平台存在配置文件信息、代码备注泄漏信息,无用页面等。4)无必须情况在平台名称、LOGO和介绍等信息中出现电信、互联网部等信息。5)平台设计存在逻辑漏洞造成水平或者越权、XSS漏洞、CSRF漏洞、使用默认配置、失效的页面方面控制、使用存在安全风险的组建和框架、失效的身份证。其他漏洞造成的曝光的安全事件。附录二:A、B、C类供应商定义:A类供应商:优质供应商,能长期合作的优质合作伙伴。B类供应商:较优供应商,发生过一类安全事件,能及时采取补救措施,并能积极配合整改的,需提供3个月渗透性扫描。C类供应商:一般供应商,发生过多次一类安全事件,内控和管理水平一般。需提供6个月渗透性扫描。甲方(盖章):XXXX 乙方(盖章):xxxx签约代表(签字):_________      签约代表(签字):_________      _________年____月____日        _________年____月____日 附件二:廉洁协议甲方:xxx乙方:xx为规范甲乙双方的经营行为,维护公平竞争,保持廉洁自律的工作作风,防止各种不正当行为的发生,根据《国有企业领导人员廉洁从业若干规定》、《中国电信股份有限公司员工职业操守守则》和《中国电信股份有限公司上海分公司员工奖惩管理办法》等有关规定,经双方协商同意,特订立本协议。一、甲乙双方共同责任(一)严格遵守国家相关法律法规制度以及有关廉政建设的各项规定;(二)严格遵守商业道德和市场规则,共同营造公平公正的商务交易环境;(三)双方如发现任何一方在业务活动中有违规、违法行为的,应及时提醒对方,情节严重的,应向相关部门举报。(四)未经对方的书面同意,任何一方不得向任何新闻媒体、第三者评述合作方人员廉洁从业方面的情况。二、甲方及其人员的责任(一)不得索要或接受乙方及其相关单位和人员提供的回扣、礼金、有价证券、支付凭证、贵重物品等。(二)不得在乙方及其相关单位报销任何应由甲方或个人支付的费用。(三)不得违反规定在乙方及其相关单位投资入股,不得向乙方单位或人员借款、委托买卖股票、债券或其他委托理财等。(四)不得要求、暗示和接受乙方及其相关单位和个人为其购买或装修住房、婚丧嫁娶、配偶和子女的上学或工作安排以及出国(境)、旅游等提供方便。(五)不得参加乙方及其相关单位安排的可能影响公正执行公务的宴请及健身、娱乐等活动。不得为谋取私利与乙方人员在业务交往中进行私下商谈或者达成默契。(六)不得接受乙方及其相关单位购置或提供的通讯工具、家用电器、名人字画、交通工具和高档办公用品等物品。(七)不得利用职权通过乙方及其相关单位为其配偶、子女及他人谋取不正当利益。(八)不得违反规定在乙方或乙方相关单位兼职和领取兼职工资及报酬;不得利用甲方的商业秘密、业务渠道等谋取个人私利,或将其提供泄漏给乙方及其它企业和个人。(九)不得利用职权和工作之便向乙方提出上述各项规定禁止事项或要求之外的与工作业务无关的事项或要求。三、乙方及其人员的责任(一)不得为获取某些不正当利益向甲方及其人员提供回扣、礼金、有价证券、支付凭证、贵重物品等。(二)不得为甲方及其人员报销任何应由甲方或个人支付的费用。(三)不得为甲方人员投资入股、个人借款、买卖股票、债券或其他委托理财等提供方便。(四)不得为甲方人员购买或装修住房、婚丧嫁娶、配偶子女上学或工作安排以及出国(境)、旅游等提供方便。(五)不得为甲方人员安排可能影响公正执行公务的宴请及健身、娱乐等活动。(六)不得为甲方及其人员提供通讯工具、交通工具、家用电器、名人字画和高档办公用品等物品。(七)不得为甲方人员及其配偶、子女及其他亲属谋取不正当利益提供方便。不得为谋取私利擅自与甲方人员在业务交往中进行私下商谈或者达成默契。(八)不得违反规定安排甲方人员在乙方或乙方相关单位兼职和领取兼职工资及报酬;不得利用非法手段向甲方打探有关涉及甲方的商业秘密、业务渠道等。(九)甲方对涉嫌不廉洁的商业行为进行调查时,乙方有配合甲方提供证据、作证的义务。四、违约责任甲乙双方如有违反以上条款的,按照管理权限给予处理,涉嫌犯罪的,移交司法机关追究刑事责任;甲乙双方如有任何一方给对方造成经济损失的,应予以赔偿;并且甲方作为买方(卖方)有权保留对乙方在结算和服务(工程)质量持不信任态度及解除合同的权利。五、本廉洁协议作为合同的附件,与合同具有同等法律效力,经协议双方签署盖章后立即生效。甲乙双方及其人员在合同履行完毕后,发生或发现违反本协议规定的行为,仍按本协议规定处理。六、本协议一式两份,双方各执一份。附件三:用户信息安全保密承诺书、信息安全承诺书?用户信息安全保密承诺书鉴于甲方[XXXXXXX]和乙方[XXXXXXX]正在进行的[XXXX]合作产品,甲方已经或将要向乙方提供或披露(或乙方可能获悉)甲方的某些涉及用户的、具有秘密性、专有性或保密性信息(“保密信息”),且该保密信息属甲方合法所有或掌握,经双方协商,乙方承诺对甲方的保密信息的安全履行保密义务,承担相应责任。第一条保密信息定义保密信息包括但不限于以下内容:1.用户信息:是指用户向中国电信上海公司各单位提供的、或者乙方在产品合作过程中获悉的与用户相关的各种信息,以及用户在使用中国电信上海公司通信服务的过程中产生的各种通信记录和消费记录等非通信内容。具体包括:1.1.身份信息:个人身份信息包括个人姓名、个人有效证件类别和编号、居住地址和有效通信联系方式等;单位身份信息包括单位名称、单位有效证件类别和编号、法定代表人或负责人信息、办公或注册地址和有效通信联系方式等。1.2.合作信息:包括各类用户的入网协议、业务申请/变更/终止协议、与用户签订的各类商业合作合同等。1.3.通信信息:包括用户使用通信服务产生的通信记录、设置的业务账号和登录密码、在各类系统中留存的与通信行为相关的数据信息及用户的位置信息等。1.4.消费信息:包括用户使用通信服务的消费记录、缴费信息、欠费信息、账户余额变动信息等。2.上述保密信息可以以数据、文字及记载上述内容的文档、光盘、软件、图书等有形介质体现,也可通过口头等视听方式传递。第二条保密承诺1.乙方保证该保密信息仅用于与电信合作产品有关的用途,已梳理相关制度和流程,确保合作产品各环节不发生泄漏。乙方对甲方所提供的所有资料以及在本合作产品合同签订、履行过程中所接触到的甲方及其关联公司的商业秘密、用户信息、合作信息、身份信息、技术资料等资料和信息(统称“保密资料”)负有保密义务。未经甲方书面许可,乙方不得向任何第三方披露,不得将保密资料的部分或全部用于本合作产品合同约定事项以外的其他任何用途。除为执行合作产品目的外,乙方不得对保密信息进行复制。2.乙方有义务对保密资料采取不低于对其本身商业秘密所采取的保护手段予以保护。乙方保证仅为执行本合作产品的目的向乙方确有知悉必要的雇员、股东、董事、顾问和/或咨询人员披露保密信息,且对保密信息的披露及利用符合甲方的利益,同时须指示其雇员遵守本条规定的保密及不披露义务。3.乙方仅得为履行本合作产品及合同之目的对保密资料进行复制。乙方不得以任何方式(如软硬盘、图纸、彩样、照片、菲林、光盘等)留存保密资料。乙方应当在完成委托事项或本合作产品合同终止或解除时将保密资料原件全部返还甲方,并销毁所有复制件。乙方应当妥善保管保密资料,并对保密资料在乙方期间发生的被盗、泄露或其他有损保密资料保密性的事件承担全部责任,因此造成甲方损失的,乙方应负责赔偿。4.乙方保证上述人员知悉保密信息前,已向其进行保密的教育和培训,明确了保密信息的保密性及其应承担的义务,保证上述人员同意接受本承诺条款的约束,并对上述人员的保密行为进行有效的监督管理。5.乙方保证对保密信息予以妥善保管,并对保密信息在乙方期间发生的以下事项承担全部责任,因此造成甲方损失的,乙方应负责赔偿,包括:5.1保密信息被盗、泄露,或者其他方式的泄露及或毁损、灭失。5.2任何从乙方获得保密信息的雇员(包括但不限于现有雇员及从前雇员)、股东、董事、顾问和/或咨询人员等对保密信息未经授权的披露。6.本承诺书所述保密义务在主合同有效期内以及主合同终止或解除后3年内持续有效。在本承诺书签署前,甲方已经向乙方提供或披露的本承诺书范围内的保密信息也受本承诺书约束,此时本承诺书于该等保密信息提供或披露时发生效力。7.乙方如发现保密信息泄露,应采取有效措施防止泄密进一步扩大,并及时书面通知甲方,并向甲方提供掌握的所有相关情况。8.乙方未履行或未完全履行本承诺的条款均构成违约,甲方有权根据中华人民共和国法律和甲方公司相关文件条例追究乙方责任,并要求乙方赔偿由此而给甲方造成的一切损失;同时甲方保留终止产品合作协议的权利,且甲方无需因此承担任何赔偿责任。信息安全承诺书xxxxxxx:本公司/单位郑重承诺遵守本承诺书的有关条款,如有违反本承诺书的行为,本公司/单位承担由此带来的一切民事、行政和刑事责任。一、本公司/单位承诺遵守国家相关法律法规(《中华人民共和国网络安全法》、《中华人民共和国电信条例》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理办法》、《非经营性互联网信息服务备案管理办法》、《移动互联网应用程序信息服务管理规定》等)、社会主义制度、国家利益、公民合法权益、公共秩序、社会道德风尚和信息真实性等七条底线。二、本公司/单位承诺具备所从事业务的全部合法必要的资质条件。三、本公司/单位保证不利用电信网络危害国家安全、泄露国家秘密,不侵犯国家的、社会的、集体的利益和第三方的合法权益,不从事违法犯罪活动。四、本公司/单位承诺严格按照国家相关法律法规做好本公司/单位的信息安全管理工作,健全各项信息安全管理制度,落实各项安全保护技术措施。五、本公司/单位承诺接受政府监管部门的监督和检查,如实主动提供有关安全保护的信息、资料及数据文件,积极协助查处通过国际联网的计算机信息网络违法犯罪行为。六、若违反本承诺书有关条款和国家相关法律法规的,本公司/单位直接承担相应法律责任,造成财产损失的,由本公司/单位直接赔偿。同时,贵单位有权暂停或停止提供相应服务,直至解除双方业务协议。七、本承诺书自签署之日起生效并遵行。网络信息安全责任人信息(须附责任人证件复印件,所有项目均为必填项)姓名证件类型□身份证□护照 □军官证□台胞证□其他_______证件号码固定电话移动电话Email公司/单位名称(公章):日期:年月日附件四:域名和APP应用备案承诺书xxxxxxxxx:一、本公司/单位郑重承诺:(以下选项二选一,域名和APP应用清单可另附)□ 在本公司/单位承租使用的IP地址上,目前未绑定任何域名和APP应用。□ 在本公司/单位承租使用的IP地址上,特申请绑定以下域名和APP应用:?域名:序号IP地址绑定域名ICP备案号(示例:沪ICP备********号-1)?APP应用:序号IP地址APP名称APP下载URL链接二、如今后需要新增或变更绑定域名在承租使用的IP地址上,本公司/单位必严格遵守“先备案、后接入”的原则,保证已登录工业和信息化部备案管理系统(www.miitbeian.gov.cn)履行完毕网站备案手续,并依法履行备案信息动态更新手续。同时,保证在绑定域名前按以上格式向贵单位提供域名备案信息清单及所涉专项批准/备案文件的复印件。三、如今后需要新增或变更APP应用在承租使用的IP地址上,本公司/单位保证在APP应用上线前按以上格式向贵单位提供APP应用信息报备清单。四、若违反本承诺书有关条款和国家相关法律法规的,本公司/单位直接承担相应法律责任,造成财产损失的,由本公司/单位直接赔偿。同时,贵单位有权暂停或停止提供相应服务,直至解除双方业务协议。公司/单位名称(公章):日期:年月日

询价物资信息
物料名称物料规格型号 物资目录名称模型名称 计量单位名称采购数量备注
代维服务-技术服务-1

标签: 技术服务 加固 网站安全

0人觉得有用

招标
业主

-

关注我们可获得更多采购需求

关注
相关推荐
 
查看详情 免费咨询

最近搜索

热门搜索