当前位置:
关于选聘东方临港产业园化工(集中)区重大安全风险防控
项目网络安全服务单位的公告
根据中共中央办公厅、国务院办公厅《关于全面加强危险化学品安全生产工作的意见》《应急管理部 财政部关于印发的通知》《应急管理部等政策规范要求》,基于东方临港产业园化工(集中)区安全监管需要,按照省、市安全生产监管工作部署要求,我单位开展东方临港产业园化工(集中)区重大安全风险防控项目建设工作,为确保项目建设质量,现启动东方临港产业园化工(集中)区重大安全风险防控项目网络安全服务采购工作。
一、采购内容:东方临港产业园化工(集中)区重大安全风险防控项目网络安全服务。
二、资金来源:财政资金。
三、采购控制价:
总价(含一切费用):150,000.00元人民币。
注:报价超过此控制价金额按无效报名处理。
四、服务内容:
针对东方临港产业园化工(集中)区重大安全风险防控平台开展一次渗透测试服务及代码审计,服务要求如下:
1.渗透测试服务
采用人工黑盒的方式对应用系统进行模拟攻击测试。主要测试方法包括:信息收集、端口扫描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人攻击、web 脚本渗透、B/S 或 C/S 应用程序测试等,主要测试内容包含:
1)WEB 安全: SQL 注入、跨站脚本攻击(XSS)、XML 外部实体(XXE)注入、跨站点伪造请求(CSRF)、服务器端请求伪造(SSRF)、任意文件上传、任意文件下载或读取、任意目录遍历、.SVN/.GIT 源代码泄露、信息泄露、CRLF 注入、命令执行注入、URL 重定向、JSON 劫持、第三方组件安全、本地/远程文件包含、任意代码执行、STRUTS2远程命令执行、SPRING 远程命令执行、反序列化命令执行等;
2)业务逻辑安全:用户名枚举、用户密码枚举、用户弱口令、会话标志固定攻击、平行越权访问、垂直越权访问、未授权访问、验证码缺陷等;
3)中间件安全: 中间件配置缺陷、中间件弱口令、WEBLOIGC 反序列化命令执行、JBOSS 反序列化命令执行、WEBSPHERE 反序列化命令执行、JENKINS反序列命令执行、JBOSS 远程代码执行、文件解析代码执行等;
4)服务器安全:域传送漏洞、REDIS 未授权访问、MANGODB 未授权访问、操作系统弱口令、数据库弱口令、本地权限提升、已存在的脚本木马、应用防护软硬件缺陷等。
2.代码审计
使用代码审计工具配合人工专家审计对应用系统进行白盒安全检测。通过对系统开发框架、应用程序、客户端程序、接口及第三方组件和应用配置这五个方面进行深入的安全分析,充分挖掘当前源代码中存在的安全缺陷以及规范性缺陷,并指导承建单位开发人员正确修复程序缺陷。
中标人需自采购人通知入场之日起60天内提交《代码审计报告》及《渗透测试服务报告》等成果内容。
五、资格要求:
1.报价人必须是在中华人民共和国境内(港澳台除外)依法注册,具有独立法人资格的企业,且营业执照(事业单位法人证书)处于有效期内;
2.报价人须具有网络安全相关资质;
3.参加政府采购活动前三年内,在经营活动中没有重大违法记录;
4.在“信用中国”网站(www.creditchina.gov.cn)、“中国政府采购网”(www.ccgp.gov.cn/)没有列入失信被执行人、重大税收违法案件当事人名单;
5.与采购人存在利害关系可能影响公正性的法人、其他组织或者个人,不得参加报价;
6.本次采购不接受联合体报价。
六、采购响应文件要求:
1.东方临港产业园化工(集中)区重大安全风险防控项目网络安全服务报价函(见附件);
2.“三证合一”营业执照复印件及资质证书复印件;
3.法定代表人证明书及法人身份证复印件;
4.法人授权委托书及受托人身份证复印件;
5.参加政府采购活动前三年内,在经营活动中没有重大违法记录声明函;
6.在“信用中国”网站(www.creditchina.gov.cn)、“中国政府采购网”(www.ccgp.gov.cn/)没有列入失信被执行人、重大税收违法案件当事人名单的截图;
7.相关服务能力证明材料。
备注:未提供附件模板部分格式自拟,所有材料均需加盖公章,装订成册(报价函单独密封)。
七、评比说明:
1.本项目采购采用密封报价、综合评标价法评分的原则确定中选单位。
2.请在****18:00时前将采购文件送至点击登录查看。
八、发布公告的平台:东方市人民政府网站。
九、联系信息:
联系人:园区应急服务中心
电话:**** ****
邮编:572600
邮寄地址:海南省东方市****点击登录查看
附件:1.报价函
2. 评分标准
****
| 点击登录查看关于选聘东方临港产业园化工(集中)区重大安全风险防控项目网络安全服务单位的公告.doc |
