当前位置:
根据我院工作需要,点击登录查看(以下简称“采购人”)对下列采购项目进行院内公开采购,欢迎符合资格条件的经销商、厂商投标。
一、 采购项目内容:
| 采购项目 | 服务期限 | 最高限价(万元) |
| 互联网业务渗透测试服务 | 1年 | 25 |
二、项目编码:****
三、项目采购方式:院内公开采购(综合评分法)
四、付款方式:先服务后付款,服务期结束后提供付款申请函、付款发票、服务交付物申请付款。采购人根据服务期内渗透结果数量及相关部门通报情况进行考核扣减,无息支付考核后全款。
五、评分方法(评分细则):见附件一
六、项目要求:见附件二
七、投标人需提供的相关材料和标书要求:
1、投标人资格要求
(1)具备《中华人民共和国政府采购法》第二十二条资格条件;
(2)具备有独立承担民事责任能力的,在中华人民共和国境内注册的法人或其他组织;
(3)本项目不接受联合体投标;
(4)法定代表人或者负责人为同一人或者存在控股、管理关系的两个以上供应商,不得参加同一采购项目投标。
2、投标文件需要的相关材料
(1)投标函加盖单位公章
(2)投标价格一览表
(3)项目服务要求响应/偏离表(供应商未写入投标文件响应偏离表的技术、商务参数条款均视作无偏离,供应商自行承担一切责任)。
(4)投标人认为需提供的其他资料
(5)投标公司的资质证明材料
①投标公司的营业执照复印件加盖单位公章;
②法定代表人身份证明书或法人授权委托书、授权代表的身份证复印件加盖单位公章;
③投标公司为投标代表人缴纳半年以上的社保证明;
(6)报名时提供条款(5)中①-③条款审查材料(复印件);
(7)投标文件的编写:
投标文件要求一正二副,标书必须“A4规格纸张胶制(非打孔或夹装)装订成册,并编制总目录”,要求密封;投标报价单单独密封;否则视为符合性审查不合格,作无效投标处理。
八、投标公司须提供真实、合法的投标材料,并应如实响应采购需求参数,提供虚假投标材料或虚假响应参数谋取中标的投标公司将按照相关法律法规承担相应责任,并将纳入医院供应商诚信黑名单,3年内不得参与医院采购项目投标。
九、中标单位需入驻湖南省政府采购电子卖场。
十、其他事项:本项目采购需求未尽事宜,合同签订时双方约定。
十一、投标人对以上采购文件的内容有质疑的,应当在本采购公告报名截止时间前以书面形式向采购人提交,逾期将不予受理。在质疑期内应一次性提出采购程序环节的质疑,否则不予受理。
十二、报名时间:****至****17:30
开标时间:****15:10
开标地点:点击登录查看开标室(教学楼2楼)
联系电话:点击登录查看 ****
报名地点:点击登录查看招标与采购管理科(第三住院楼413室)
****
附件一、评分标准
| 评审 因素 | 计分 因素 | 分值 | 计分标准 |
| 价格部分30分 | 投标报价 | 30 | 满足采购文件要求,且投标报价中最低的投标报价为评标基准价,其价格分为满分,其他投标人的价格分统一按照下例公式计算: 投标报价得分=(评标基准价/投标报价)×30 评标委员会认为投标人的报价明显低于其他通过符合性审查投标人的报价,有可能影响产品质量或者不能诚信履约的,应当要求其在评标现场合理的时间内(30分钟内)提供书面说明,必要时提交相关证明材料;投标人不能证明其报价合理性的,评标委员会应当将其作为无效投标处理。 |
| 技术部分40分 | 技术响应 | 20 | 任何一项注“★”技术参数及商务条款出现负偏离或不响应的,视为无效投标;完全满足采购文件技术指标的计20分,一般技术条款每负偏离一项扣1分;如响应缺项,则视同负偏离处理。 |
| 项目实施 | 12 | 根据投标人投标文件中以下 6个方面对应的实施方案进行评价: | |
| 项目团队 | 8 | 本次项目团队组成应满足以下要求: (1)具有3年以上安全服务经验人员1名; (2)具有2个及以上信息安全服务项目经验人员1名; (3)参与至少2个同级或以上单位攻防演练活动人员1名; (4)具有信息安全工程师、注册信息安全专业人员(CISP)、注册数据安全治理专业人员(CISP-DSG)、CISP - PTE(注册信息安全专业人员 - 渗透测试工程师)、CISP - PTS(注册信息安全专业人员 - 渗透测试专家)、CISP - IRS(注册信息安全专业人员 - 应急响应专家)任一证书的。 以上要求每满足一项得 2分,最高 8 分。提供证书复印件和工作履历证明材料。相关人员在投标单位近三个月(2024年7月至今)的社保证明并加盖投标人公章。 | |
| 商务部分30分 | 服务能力 | 15 | 投标人具有ISO9001质量管理体系认证和ISO27001信息安全管理体系认证的每个计2分,最高计4分。(提供证书复印件并加盖公章,否则不计分) |
| 投标人具有中国网络安全审查技术与认证中心颁发信息安全服务资质认证的信息安全风险评估服务资质二级及以上证书,计5分。(提供证书复印件并加盖公章,否则不计分) | |||
| 投标人提供下列证书: 中国信息安全测评中心颁发的国家信息安全漏洞库CNNVD技术支撑单位等级证书、中国信息安全测评中心颁发的国家信息安全漏洞库CNNVD漏洞库信息共享合作单位证、工业和信息化部移动互联网APP(CAPPVD移动互联网APP)产品安全漏洞库技术支撑单位三星及以上证书 每提供一个计2分,最高计6分(提供证书复印件并加盖公章,否则不计分) | |||
| 业绩 | 9 | 投标人提供2021年以来安全渗透服务案例,每个计3分,最多计9分。(须提供加盖投标人公章的项目合同首、尾、关键页:未提供合同复印件的,不予计分) | |
| 漏洞发掘能力 | 6 | 提供2021年以来0DAY高危漏洞发掘证明材料,每提供一个计2分,最多计6分。(提供证明材料,证明材料中需体现漏洞编号和提交公司并加盖公章,否则不计分) |
.
附件二:项目要求
一、项目概况
为加强医疗卫生机构网络安全管理,进一步促进“互联网+医疗健康”发展,加强我院网络安全管理,防范网络安全事件发生,根据《网络安全法》《数据安全法》《个人信息保护法》《医疗卫生机构网络安全管理办法》等有关法律法规标准要求,落实网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施,特采购此次项目,通过互联网侧安全渗透测试,保障运营互联网系统的安全,避免存在安全风险。
二、技术要求
1、 服务概述
投标人通过对医院现有互联网业务资产进行安全测试,发现潜在的安全风险,将发现的漏洞提交到平台,医院登录到平台在线查看当前的测试实时进展,了解漏洞报告、修复建议等信息,最终输出网络安全服务报告,报告内包含:目标业务、漏洞详情、修复建议等内容,方便医院根据漏洞报告的内容对问题系统进行整改。
2、服务原则
(1)Web应用安全
Web应用安全是网络安全服务的核心组成部分,它涉及多个层面的深入测试,以确保Web应用的安全性:
输入验证测试:这一测试层面专注于验证Web应用是否对所有用户输入执行了严格的验证。这包括检查应用是否能够抵御注入攻击,如SQL注入和命令注入,这些攻击可能导致未授权的数据访问或系统控制。网络安全服务将通过自动化工具和手动测试相结合的方式,对所有可能的输入点进行彻底的检查,确保没有漏洞被忽视。
跨站脚本(XSS)测试:XSS测试旨在评估Web应用是否具备足够的防护措施来抵御跨站脚本攻击,这种攻击可能导致攻击者窃取用户会话或泄露敏感信息。网络安全服务将模拟各种XSS攻击场景,验证Web应用是否能够有效地防止这类攻击。
跨站请求伪造(CSRF)测试:通过CSRF测试,安全专家能够评估Web应用是否实施了适当的安全措施来防止用户在不知情的情况下执行非预期的操作,这种攻击通常利用用户的合法会话。网络安全服务将检查Web应用的会话令牌管理和验证机制,确保它们能够抵御CSRF攻击。
文件包含漏洞测试:此测试确保Web应用能够安全地处理文件包含请求,防止攻击者通过精心构造的请求访问或修改服务器上的文件,这可能导致敏感数据泄露或系统破坏。网络安全服务将对Web应用的文件处理逻辑进行深入分析,识别任何可能导致文件包含漏洞的路径和参数。
会话管理测试:会话管理是Web安全的关键组成部分。网络安全服务将评估Web应用的会话管理机制,包括会话ID的生成、存储和过期处理,以防止会话劫持和固定会话攻击。这包括检查会话cookie的安全性,如使用安全的HTTP标记、会话超时设置以及会话ID的随机性。
安全配置评估:安全配置是保障Web服务器和相关中间件安全的基础。网络安全服务将检查这些组件的安全配置,确保没有不必要的服务运行,并且所有的安全补丁都已及时应用。这涉及到对服务器的操作系统、Web服务器软件、数据库管理系统以及其他中间件的安全设置进行全面审查。
错误处理检查:错误处理机制的检查是为了确保Web应用在遇到错误时不会泄露敏感数据或提供攻击线索给潜在的攻击者,这对于防止信息泄露至关重要。网络安全服务将评估Web应用的错误页面和日志记录,确保它们不会暴露任何敏感信息,如系统路径、数据库结构或内部代码。
(2)移动应用安全
随着移动应用的普及,其安全性变得尤为重要。网络安全服务会涵盖移动应用多方面的安全技术项,包括:
逆向工程防御:评估移动应用是否采取了有效的逆向工程防御措施,以防止攻击者分析应用的内部工作原理。
本地数据存储安全:检查移动应用如何存储敏感数据,包括是否使用了加密和其他保护措施。
权限滥用测试:验证移动应用是否正确请求和管理设备权限,防止权限滥用导致的安全问题。
客户端和服务器端通信安全:评估移动应用与服务器之间的通信是否采用了安全的加密和认证机制。
第三方库和SDK安全:检查移动应用使用的第三方库和SDK是否存在已知的安全漏洞,并确保它们被安全地集成到应用中。
(3)小程序安全
小程序作为一种新兴的应用形式,其安全性也不容忽视。网络安全服务在小程序安全方面涵盖以下技术项,包括:
API接口安全:小程序通常依赖于后端API接口。网络安全服务将评估这些接口是否容易受到未经授权的访问和恶意操作,确保API的安全性。这包括对API的认证、授权和输入验证机制进行测试。
数据传输加密:数据传输是小程序与服务器通信的关键环节。网络安全服务将检查小程序在客户端和服务器之间传输数据时是否使用了强加密协议,如HTTPS,以保护数据的机密性和完整性。这还包括对小程序的证书管理和SSL/TLS配置进行审查。
代码混淆和加固:为了防止攻击者分析和篡改小程序的代码,网络安全服务将验证小程序的代码是否经过了混淆和加固处理,提高代码的安全性。这涉及到对小程序的代码保护措施进行评估,确保它们能够有效地抵御逆向工程和代码注入攻击。
业务逻辑漏洞:业务逻辑漏洞可能导致严重的安全问题。网络安全服务将测试小程序的业务逻辑是否健壮,防止攻击者利用逻辑漏洞进行欺诈或其他恶意行为。这包括对小程序的数据处理逻辑、用户输入验证和错误处理机制进行深入分析。
(4)第三方框架漏洞
第三方框架和库的使用在软件开发中非常普遍,它们的安全性对整个应用的安全至关重要。网络安全服务在第三方框架漏洞方面涵盖以下方面,包括:
漏洞扫描:网络安全服务将使用自动化工具扫描第三方框架和库,查找并修复已知的安全漏洞,确保应用的安全性。这包括对框架和库的版本进行审查,以及对已知漏洞数据库进行匹配。
依赖管理审计:依赖管理是保障第三方组件安全的关键。网络安全服务将评估项目的依赖管理策略,确保所有依赖项都是最新和最安全的版本,防止已知漏洞的利用。这涉及到对依赖项的更新策略和安全补丁应用进行审查。
配置安全检查:网络安全服务还将检查第三方框架的配置文件和设置,确保它们符合安全最佳实践,防止配置不当导致的安全问题。这包括对框架的安全配置选项进行评估,以及对配置文件的访问控制进行审查。
(5)常见服务弱口令
弱口令是导致安全事件的一个常见原因。网络安全服务会发现弱口令方面的问题,包括:
默认凭证检查:检查系统中所有服务的默认登录凭证,确保它们已被更改为强密码,防止攻击者利用默认凭证进行未授权访问。这包括对系统安装过程中设置的默认账户和密码进行审查。
密码策略强化:为了提高账户的安全性,检查所有用户账户实施强密码策略,包括最小长度、复杂性要求和定期更换,以减少弱密码带来的风险。这涉及到对账户密码的存储和验证机制进行评估,确保它们符合行业标准。
多因素认证:在关键服务上,网络安全服务将推荐实施多因素认证,增加未授权访问的难度,提高整体的安全性。这包括对多因素认证的实现方式和有效性进行评估,确保它们能够有效地防止未授权访问。
账户锁定机制:为了防止暴力破解攻击,检查是否设置账户在多次登录失败后自动锁定的机制,确保账户的安全。这涉及到对登录尝试的监控和账户锁定策略进行审查,确保它们能够有效地防止暴力破解攻击。
3、平台要求
(1)渗透范围:支持包括web、app、pc客户端硬件在内的产品或系统
(2)漏洞报告:提供专业详细的单个漏洞报告,并针对单个漏洞提供专业完善的修复建议;测试报告:在测试结束后提供一份专业整体的测试报告
(3)平台自身安全性保障:平台全站支持SSL加密通信,提供截图证明
(4)平台漏洞审核:有专业的漏洞审核人员进行漏洞有效性验证和级别的定义
4、服务内容
提供安全事件通报服务、应急演练服务、应急培训服务、互联网资产暴露面评估服务和医院互联网侧业务安全渗透测试服务。
5、服务要求
(1)渗透测试:对目标应用或业务系统存在常见的Web、APP、小程序安全和产品设计、接口安全、风险策略、第三方服务等相关风险进行安全测试。服务期内交付漏洞数不低于50个,其中高危漏洞不低于15(漏洞评级标准参考国际组织OWASP漏洞标准制定)
(2)针对常见Web应用安全漏洞检测包括常见的OWASP漏洞TOP10涉及的安全漏洞,包含SQL注入、XSS跨站漏洞、越权访问、权限绕过等
(3)针对业务逻辑漏洞检测:包括系统涉及业务逻辑漏洞,越权访问、任意账户权限、安全策略绕过、风控绕过等
(4)针对服务器系统检测:包含系统的端口、服务、口令、不安全配置等问题
(5)针对第三方接口及服务检测:包括系统涉及的第三方接口、应用服务未授权访问、数据泄露等
(6)APP编码安全风险:审计项目实施过程中,针对移动端APP编码过程中存在内存安全风险、组件安全风险、数据安全风险进行审计;APP业务逻辑安全风险:在项目实施过程中,我们会对移动端APP对用户登录,密码管理,支付安全,身份认证,超时设置,异常处理、业务功能等进行检测分析,发现业务处理过程中的潜在漏洞
(7)数据安全:包含检测客户端是否会保存明文敏感信息,是否对保存的敏感信息进行恰当加密,能否防止用户敏感信息的非授权访问;SharedPreferences配置文件;Logcat日志;客户端进程保护等测试项
(8)安全事件通报:通过聚合情报源实时拉取最新安全漏洞情报,通过相关即时通讯工具或其他通讯方式发送业内或非业内最新的安全动向及安全漏洞通告至院方
(9)应急演练:模拟应急事件进行演练,根据医院情况,制定安全演练模拟场景,根据应急演练场景协助医院开展一期安全应急演练工作。提供可供选择的安全事件场景,场景包含以下可选其中一个: DDOS 攻击、网页篡改、服务器非法入侵,挖矿病毒,应急演练完成后形成总结报告。
(10)应急培训:提供自主研发培训平台结合服务提供定制化的安全培训,培训完成后使用平台验证学习成果。对医院技术层应急响应培训,深入理解技术层面的安全威胁,掌握防护技术,提升对应急事件后的的应对能力。
(11)资产暴露面评估:对医院暴露在互联网中的资产进行安全评估。以合法合规的方式对暴露在互联网上的资产进行全面清点并根据实际业务情况给出合理性分析,排查范围包括医院暴露在互联网的邮箱信息、github敏感信息、网盘信息、文档、微信公众号、小程序、主子域名资产、供应链情况,确认资产威胁等级,清查发现漏洞。
6、服务交付物
提供网络安全服务相关报告,内容:《漏洞报告》、《漏洞清单》等。
(1)服务要求和考核
①投标人应提供在线平台系统与登录账号,供甲方实时了解当前的项目情况与进展、在线查看漏洞报告。
②投标人根据甲方提供的系统范围组织开展网络安全活动。按照甲方的计划要求,在限定的时间内完成相应范围的漏洞挖掘工作。
③投标人应避免测试影响线上业务的正常运行。系统出现异常时投标人应立即停止测试,并配合甲方分析现状、确定原因、恢复系统,同时采取必要的预防措施,调整测试策略,经甲方同意后方可继续进行测试。
★(2)考核方式:在合同签订项目正式实施一个月后生效实行考核:
①在不满足漏洞交付数量的情况下,如果院方的互联网业务系统被相关部门通报存在风险问题,一次扣除5000元。
②服务期到期后,未满足漏洞交付数量,根据提交所缺数量进行扣款高危扣除3000元、中危扣除2000元。
