农商银行2020年度互联网应用系统渗透测试招标公告
农商银行2020年度互联网应用系统渗透测试招标公告
广州农商银行计划进行2020年度互联网应用系统渗透测试项目采购。现就该项目的采购向社会公开征集有意向的供应商。
一、项目名称
2020年度互联网应用系统渗透测试项目
二、项目背景
为提高我行信息系统安全性,同时满足监管部门的相关要求,我行计划在近期开展互联网应用系统渗透测试项目。
三、采购内容(以招标文件最终描述为准)
供应商根据采购方要求和行业标准,对采购方的互联网应用系统进行渗透测试,并协助采购方对发现问题进行整改。计划测试系统范围见下表:
序号 | 系统名称 | 系统类型 |
1 | 个人网上银行 | Web网站类应用系统 |
2 | 珠江直销银行-合作商户端 | |
3 | 珠江直销银行-微信小程序端 | |
4 | 珠江直销银行-H5页面端 | |
5 | 微信银行(借记卡) | |
6 | 微信银行(贷记卡) | |
7 | 支付宝钱包接入系统 | |
8 | 线上融资 | |
9 | 太阳集市 | |
10 | 电子商城平台2.0-B2C商城端 | |
11 | 电子商城平台2.0-B2C商户端 | |
12 | 电子商城平台2.0-B2B商户端 | |
13 | 电子商城平台2.0-B2B商城端 | |
14 | 支付平台 | |
15 | 珠江收银-H5页面端 | |
16 | 综合收单管理系统 | |
17 | 新客服贴心管家 | |
18 | 企业网上银行 | |
19 | 电子对账(网上对账) | |
20 | 赢家e站-网页端 | |
21 | 赢家生意圈-网页端 | |
22 | 对外信息服务平台 | |
23 | 门户网站 | |
24 | 门户网站(英文站点) | |
25 | 门户网站(wap站点) | |
26 | 村镇银行门户网站 | |
27 | 太阳公益基金网站 | |
28 | 珠江金融同业平台 | |
29 | 资产托管网银系统 | |
30 | 信用卡微信小程序 | |
31 | 集中采购系统 | |
32 | 智慧党建系统 | |
33 | 移动学习-网页端 | |
34 | 招聘系统 | |
1 | 个人移动银行-ios端 | App类应用系统 |
2 | 个人移动银行-安卓端 | |
3 | 企业移动银行-ios端 | |
4 | 企业移动银行-安卓端 | |
5 | 珠江直销银行-ios端 | |
6 | 珠江直销银行-安卓端 | |
7 | 珠江收银-ios端 | |
8 | 珠江收银-安卓端 | |
9 | 赢家e站-ios端 | |
10 | 赢家e站-安卓端 | |
11 | 移动OA-ios端 | |
12 | 移动OA-安卓端 | |
13 | 移动学习-ios端 | |
14 | 移动学习-安卓端 | |
15 | 业务智慧信贷-ios端 | |
16 | 业务智慧信贷-安卓端 | |
17 | 移动营销平台-ios端 | |
18 | 移动工作站-安卓端 | |
1 | 珠江村镇银行公众号 | 信息发布类微信公众号 |
2 | 广州农商银行微生活公众号 | |
3 | 辉县珠江村镇银行微信公众号 | |
4 | 信阳珠江村镇银行微信公众号 | |
5 | 安阳珠江村镇银行微信公众号 | |
6 | 莱芜珠江村镇银行微信公众号 | |
7 | 烟台福山珠江村镇银行微信公众号 | |
8 | 青岛城阳珠江村镇银行微信公众号 | |
9 | 海阳珠江村镇银行微信公众号 | |
10 | 莱州珠江村镇银行微信公众号 | |
11 | 北京门头沟珠江村镇银行微信公众号 | |
12 | 大连珠江村镇银行微信公众号 | |
13 | 新津珠江村镇银行微信公众号 | |
14 | 盱眙珠江村镇银行微信公众号 | |
15 | 广汉珠江村镇银行微信公众号 | |
16 | 苏州吴中珠江村镇银行微信公众号 | |
17 | 江苏启东珠江村镇银行微信公众号 | |
18 | 彭山珠江村镇银行微信公众号 | |
19 | 吉州珠江村镇银行微信公众号 | |
20 | 常宁珠江村镇银行微信公众号 | |
21 | 兴宁珠江村镇银行微信公众号 | |
22 | 深圳坪山珠江村镇银行微信公众号 | |
23 | 三水珠江村镇银行微信公众号 | |
24 | 东莞黄江珠江村镇银行微信公众号 | |
25 | 鹤山珠江村镇银行微信公众号 | |
26 | 中山东凤珠江村镇银行微信公众号 | |
27 | 郑州珠江村镇银行微信公众号 | |
28 | 株洲珠江农商银行微信公众号 | |
注: 1.上述系统的渗透测试均在生产环境实施,生产环境不具备检测条件的,另行在采购方提供的其它环境实施; 2.针对信息发布类微信公众号,供应商应对公众号内的第三方链接进行记录,并对第三方链接进行安全检测。 | ||
采购方互联网应用系统分为Web网站类、App系统类与信息发布类微信公众号,供应商应严格根据测试项清单(见下表),结合采购方要求与系统实际情况,制定有针对性的测试方案,并在安全可控的条件下对系统进行渗透测试。
序号 | 测试类型 | 测试用例 |
1 | 操作系统层安全测试 | Web服务器多余端口开放 |
操作系统漏洞扫描 | ||
未授权访问测试 | ||
口令猜测 | ||
跳板攻击测试 | ||
IIS写文件漏洞 | ||
IIS解析漏洞 | ||
Apache解析漏洞 | ||
SSL/TLS RC4 信息泄露漏洞 | ||
DNS域传送漏洞 | ||
2 | 应用层安全测试 | 系统结构分析及测试信息收集 |
应用/服务运维配置缺陷检测 | ||
业务逻辑缺陷 | ||
程序逻辑缺陷 | ||
登陆验证测试 | ||
会话管理测试 | ||
SQL注入漏洞挖掘 | ||
数据传输安全测试 | ||
第三方/开源工具、软件、中间件、开发包的公开漏洞 | ||
敏感信息保护 | ||
Struts2 远程命令执行 | ||
Jboss远程代码执行 | ||
HTTP.sys远程代码执行漏洞 | ||
Java反序列化 | ||
SQL注入 | ||
XML注入 | ||
CRLF注入 | ||
XFF注入 | ||
XPATH 注入 | ||
命令注入 | ||
3 | WEB 应用测试项 | WEB应用漏洞扫描 |
多余端口安全检测 | ||
目录遍历、隐藏目录、隐藏文件、备份文件 | ||
上下文安全检测 | ||
跨站脚本漏洞 | ||
HTTP响应分割 | ||
跨站点请求伪造 | ||
重定向攻击等脚本攻击 | ||
跨域访问漏洞 | ||
URL重定向 | ||
HTTP Host头攻击 | ||
任意文件下载等敏感信息泄露 | ||
SSRF攻击 | ||
4 | 客户端应用测试项 | 完整性校验 |
动态调试 | ||
反编译防范 | ||
篡改防范 | ||
安装包中敏感信息加密 | ||
第三方SDK安全 | ||
关键组件访问保护 | ||
界面切换后敏感信息保护 | ||
界面劫持 | ||
截屏防范 | ||
重放测试 | ||
交易信息篡改 | ||
敏感数据本地明文存储 | ||
加密算法安全性 | ||
敏感数据外部存储 | ||
本地数据完整性 | ||
Content Provider安全性 | ||
本地SQL注入 | ||
账号登录限制 | ||
断网重连机制 | ||
服务器地址仿冒 | ||
预留信息验证 |
四、项目要求(以招标文件最终描述为准)
(一)项目实施要求
1.供应商应为本项目投入充足的人力资源,并做好项目统筹安排,自合同签署之日起,四十五个工作日内完成计划测试范围内的全量互联网应用系统渗透测试。
2.供应商应当针对各个被测试的互联网应用系统提供独立的测试报告,报告内容必须包括测试方法、测试结论以及测试过程记录,且必须涵盖上述测试项中所罗列的要点。
3.针对渗透测试中发现的问题,供应商应提出切实可行的加固建议,在加固过程中给予采购方必要的指导,并提供复测验证服务,直至采购方将发现问题整改完毕。
4.复测漏洞数目在30个以内且复测工作可通过互联网渠道实施的,供应商应在采购方提出复测需求之日起,两个工作日内完成复测,并提交复测结果。复测漏洞数量在30个以内且复测工作须在采购方现场实施的,供应商应在采购方提出复测需求之日起,三个工作日内完成复测,并提交复测结果。复测漏洞数量在30个或以上的,按照1个工作日/10个漏洞递增复测完成时限。
5.渗透测试过程所使用的工具、方法和过程要在双方认可的范围之内,要使用规范成熟的测试方法,符合行业安全风险评估标准。
6.渗透测试工作应尽可能小地影响系统和网络的正常运行,不能对系统的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断,如无法避免出现这些情况应在投标书上详细描述)。
7.供应商应对渗透测试工作中的所产生的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人。采购方有权要求供应商在渗透测试结束之后销毁所有有关的数据和文档。
8.供应商应提供项目相关的具有合法使用权的工具软件和信息资源数据,并且保证所使用的所有工具和软件不具有所有权和知识产权纠纷,并保证工具和软件可用性和可靠性。
(二)项目质量要求
1.供应商应强化项目质量管理,避免出现遗漏漏洞。自提交正式测试结果一年内,如发现供应商的渗透测试服务存在遗漏漏洞,采购方有权对服务费用进行扣罚。
2.供应商须承诺保证交付物报告的权威性。自本测试项目验收合格起一年内,如报告中所涉及的内容受到采购方或采购方监管部门质疑,供应商方必须免费协助采购方进行回复、澄清。情况严重时,采购方有权要求供应商免费对系统进行重新测试。
五、商务要求
(一)结算与付款方式
1.本项目根据实际系统测评数量进行结算,实际服务费用=(Web网站的实际测评项数量*Web网站检测的含税单价+ App系统的实际测评项数量*App系统检测的含税单价+信息发布类微信公众号的实际测评数量*信息发布类微信公众号检测的含税单价)。
2.本项目分两期付款,第一期付款在项目服务验收后执行,付款金额=(实际服务费用*80%),其中,扣留实际服务费用的20%作为服务质量保证金。第二期付款在服务验收满一年后执行,付款金额视服务质量情况而定,具体付款规则见“罚则与质保金”一节。
3.采购方收到供应商开具的增值税专用发票之日起15个工作日内,采购方向供应商支付结算应付金额。
(二)罚则与质保金
1.供应商未按采购方要求开具增值税专用发票或开具的增值税专用发票不合格,采购方有权拒绝付款或要求退回已支付款项。
2.供应商未按照项目时效性要求开展工作或提交工作成果,采购方有权从实际服务费用扣罚供应商1000元/天。
3.自提交正式测试结果(包括以邮件形式提交的渗透测试报告)一年内,如发现供应商的渗透测试服务存在遗漏漏洞,采购方有权根据遗漏漏洞的危险程度,以“项”为单位,按下表扣减服务质量保证金,直至将服务质量保证金扣完为止。采购方在项目验收满一年后向供应商支付扣减后剩余的服务质量保证金。
序号 | 扣罚项目 | 扣罚金额 |
1 | 遗漏高危漏洞 | 5000元/项 |
2 | 遗漏中危漏洞 | 2500元/项 |
3 | 遗漏低危漏洞 | 1500元/项 |
注:本表中遗漏漏洞是指在系统渗透测试报告正式提交前已公布或存在,但在供应商提交的渗透测试服务中并未发现的漏洞。 | ||
六、意向供应商资格条件
(一)具备独立法人资格;
(二)自2017年1月1日至今,有不少于2个银行互联网应用系统渗透测试案例,案例要求来自至少2家不同银行;
(三)供应商总部在广州,或在广州设有分支机构。
七、意向供应商报名需提交资料
(一)投标报名意向书(格式自拟,提供公司联系人、电话、电子邮箱、地址等);
(二)营业执照副本复印件、国税/地税登记证复印件、组织机构代码证复印件(如是三证合一加载统一社会信用代码的营业执照,可无需提供税务登记证及组织机构代码证);
(三)提供2017年1月1日以来银行业互联网应用系统渗透测试服务案例的合同关键页,必须包含服务时间、服务对象、服务内容等信息;
(四)提供在广州设有办事处的房产证、租赁合同等办公场所证;
(五)供应商认为有必要补充的其他资料。
注:
1.材料需装订成册;
2.征集报名提供加盖公章的原件、复印件或扫描件均可。供应商须对报名信息和资料的真实性负责。如提供虚假资料,将被列入我行供应商黑名单;
3.电子邮件报名的,附件不可以超过20M,且勿通过超大附件或云附件、网盘等形式发送。
七、意向供应商提交材料的方式及时间
(一)电子邮件:panchaoning@grcbank.com邮件名称:项目名称+供应商名称;
(二)邮寄:广州市珠江新城华夏路1号信合大厦南翼7楼招标采购中心,邮编:510623;
(三)公告期:2020年3月10日-2020年3月16日;
(四)报名截止时间:2020年3月16日下午17:30 。
注:供应商可选择电子邮件、邮寄两种方式中的一种进行报名。
八、联系方式
联系人:潘先生
联系电话:***-********
声明:
1.各报名供应商递交报名资料即表示对材料的真实性负责,并由此承担法律风险和赔偿责任。
2.符合本公告报名条件的供应商,按时提交合格报名资料后,并不必然获得正式采购邀请。
3.采购人保留要求报名供应商补充提交资料的权利。
4.采购人有权对本次供应商征集审核结果不做任何说明。
广州农村商业银行
2020年3月10日
|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
