兴业银行2024-2025年全网互联网系统渗透测试服务项目(安全厂商)供应商征集公告
· 2024-04-10
兴业银行 2024-2025年全网互联网系统渗透测试服务 项目(安全厂商) 供应商征集公告
根据我行 全网互联网系统渗透测试 工作需要,我行 拟 开展 2024-2025年全网互联网系统渗透测试服务 项目 ,现公开对 该 项目进行 供应商征集 ,有关事宜公告如下:
一、 采购需求及资格要求
1.1. 采购需求
为及时发现并修复本行潜在的网络和信息系统安全漏洞,全面提升本行信息系统自身安全水平,本期项目拟引入 3家安全专业机构的全网互联网系统渗透测试服务,服务内容包括为本 行 提供全网互联网系统的渗透测试和复测服务, 负责核实漏洞 的 真实性, 并按本行要求填写漏洞跟踪表、漏洞初测报告及复测报告;测试范围包括但不限于 Web应用、移动客户端(包括安卓和IOS平台)、小程序、公众号、接口程序等。项目合同期为2年(以合同签订日起算)。
(一)可用性、机密性、完整性要求
1.1.1. 投标人需对 渗透测试 期间本项目所有的流量数据、
VPN登录数据进行备份,并提交至我行。
1.1.2. 投标人应 拥有审计平台,并 对 渗透测试 过程进行全
过程审计监控,测试过程中出现由 渗透测试 导致的安全事件,应立即启动应急响应,及时暂停和阻断测试行为,并通过流量对行为进行回溯。测试完成后,提交正式审计报告 。报告内容不限于以下内容:
(1) 审计测试人员行为,包括撞库、拖库、批量操作、木马上传、扫描器扫描等危险行为;
(2) 漏洞与流量的对比分析,保证所有已发现漏洞均已提交;
(3) 漏洞与流量的对比分析,保证所有漏洞通过 VPN接入测试发现;
(4) 测试过程统计分析,包括测试时长、测试流量、测试目标范围等;
1.1.3. 在 渗透测试 过程中,测试人员完成漏洞验证后,不
应继续深入利用该漏洞,如因验证漏洞行为对业务、应用、系统造成影响或潜在影响的,需向我行说明具体情况以及受影响范围和程度 。
1.1.4. 投标人 应采取有效管理或技术手段确保测试 人员所
用安全检测工具 和测试 方法 的 安全 性 , 并 确保测试不得影响我行系统和网络的正常运行,禁止执行有可能导致目标网络、主机、设备瘫痪的大流量、大规模扫描 。
1.1.5. 如在 渗透测试 过程中,我行被测试系统发生异常,
投标人应采取措施立即停止有关测试,并配合我行人员分析现状、确定原因、恢复系统。同时采取必要的预防措施,调整测试策略,经我行同意后方可继续进行测试。
1.1.6. 验证漏洞需获取数据信息的,仅验证性获取数据结
构信息或最多 5 条数据,不应批量获取和留存相关数据信息。
1.1.7. 验证漏洞需获取应用、系统高级别权限的, 仅验证
性获取应用角色、系统环境属性,不应再获取应用数据、系统文件,不应执行任何增、删、改等操作 。
1.1.8. 验证漏洞需上传文件的,在获得验证性漏洞证明后,
不应在系统留存具有控制性目的的程序、代码、文件。
1.1.9. 不得利用平台漏洞,进行任何可能对我行互联网或
移动网络正常运转造成不利影响的行为 。
1.1.10. 投标人应采取适当措施,避免因使用不当的工具,
将病毒和木马引入我行网络或系统,禁止执行可导致本地、远程拒绝服务危害的技术验证用例 。
1.1.11. 禁止执行有可能产生经济财产损失的技术验证用
例 。
(二)服务要求
1.1.12. 本次项目要求投标人为我行提供 全网互联网系统的
渗透测试服务,根据我行提供的系统清单进行渗透测试,测试范围包括但不限于 Web应用、移动客户端(包括安卓和IOS平台)、小程序、公众号、接口程序等,我行提供具体渗透测试基准项,投标人应根据自身情况和擅长领域,对测试基准项进行扩展和完善,并在实施中应用。
1.1.13. 投标人应为我行全网互联网系统提供渗透测试和复
测服务(包括远程渗透测试、移动客户端安全检测等),负责核实漏洞的真实性,并按我行要求填写漏洞跟踪表、漏洞初测报告及复测报告;对于部分远程无法完成渗透的系统,需在现场仿真测试环境完成渗透。
1.1.14. 对于重要系统,投标人需采取人员交叉测试( 2人
或 3人)的渗透测试方式;对于特别关键的系统,投标人需采取更细粒度的全量测试方式进行全面渗透,并出具详细渗透测试报告。
1.1.15. 投标人仅能使用经我行授权的 VPN出口的IP进行漏
洞挖掘,使用非授权、报备 IP的渗透行为都会被视为攻击行为。
1.1.16. 投标人需确保所提交证明材料的真实性,包括但不
限于投标人服务资质、本次项目成员清单表、成员简历(各类专业证书、渗透测试经验年限等)、投标人在国内外赛事的获奖情况、投标人在平台上提交的漏洞情况及投标人的合作案例等。
1.1.17. 在开展渗透测试过程中,投标人需通过技术、管理
等手段控制项目风险,保障项目不发生风险事件。
1.1.18. 投标人应向我行提供所属平台或舆情监测渠道发现
的我行漏洞信息,协助我行获取安全漏洞详情,核实漏洞真实性,评估漏洞危害程度,必要时协助我行对受影响系统进行排查和验证。
1.1.19. 针对合同期内新出现的紧急安全漏洞,及时向我行
提供漏洞信息报告,其中应包括影响范围、严重性评估、排查方法和修复方案等内容,为我行提供漏洞排查和修复的技术支持服务。
1.1.20. 投标人按我行要求,在服务期内提供渗透测试服务
有关技术支持,包括现场服务、远程支持,协助我行解决各类相关技术问题。
1.1.21. 在漏洞提交或我行进行响应处置期间,不应再次通
过生产网络直接验证漏洞,或获取相关数据。
1.1.22. 投标人应对渗透测试结果整体情况进行阶段性总结
和分析,并出具项目分析报告。
1.1.23. 在我行内部开展的渗透测试,应确保部署于我行内
部的渗透测试工具的安全性,同时还应避免工具出现版权纠纷。
(三)人员资质要求
1.1.24. 投标人需确保本次项目成员数量至少为 10人规模,
并优先安排具有 3年以上渗透测试经验的人员参与本次项目。
1.1.25. 项目经理 需 具备 PMP、CISSP、CISP、CISAW、CISA
等证书中的一项或几项 。
1.1.26. 服务期间,如项目人员无法满足本行需求,本行可
随时提出更换项目人员,投标人应按照要求在三个工作日内调换。
1.2. 供应商资质要求
1.2.1. 企业实缴资本 在 100万元(含)及以上 ,财务稳健,
可稳定提供服务。
1.2.2. 企业具备 ISO27001认证、中国信息安全认证中心
(应急处理)、中国信息安全认证中心(风险评估)、信息安全服务资质证书(安全工程类)等证书中的一项或几项。
1.2.3. 企业具有参加 2019-2023年 国内网络安全赛事(强
网杯、网鼎杯、天府杯) 、国际网络安全赛事( Defcon、Pwn2Own)的经验。
1.2.4. 企业 具 有 银行业互联网 系统 渗透测试 服务 项目经
验, 20 19-2023年 与银行 (国有六大行、 12家全国性股份制银行) 合作 开展的 成功 案例 不少于 2个 。
二、 报名要求
2.1在兴业银行开立对公账户,若中标本项目,则通过兴业银行对公账户结算该项目相关费用。
2.2充分理解我行服务需求并能够根据需求提供相应的服务。
2.3应具有良好的商业 信誉 和健全的财务会计制度。
2.4未被 信用 中国 网列入重大税收违法案件当事人名单、未被中国执行信息公开网列入 失信 被执行人名单 、未被中国政府采购网列入政府采购严重违法失信行为信息记录名单、未被国家企业信用信息公示系统列入网站严重违法失信企业名单、在参加本次采购活动前3年内未出现重大违法违规行为,近三年在我行无不良行为记录,不在兴业银行供应商禁用/退出期内。
三、 征集时间
本次供应商征集自即日起至 202 4 年 4 月 1 5 日 23 : 59止。
四、报名方式
采购部门联系人: 向 先生,联系电话: 0591-863133 49 ,联系时间:工作日 8:30-12:00,14:30-18:00(其他时间请勿打扰)。 若有意向请将供应商资料于征集截止时间前提交至gysxyfwt@cib.com.cn邮箱。
报名注意事项:
1. 提交的供应商资料内容包括如下三项:
材料 1:《 2024-2025年全网互联网系统渗透测试服务项目(安全厂商)》供应商征集反馈材料-公司名称(全称)
材料 2:2024-2025年全网互联网系统渗透测试服务项目(安全厂商)信息收集表
材料 3:供应商准 入 信息导入模板
以上三项材料填报模板详见附件,提交材料无需加盖公司盖章。
2.提交资料所发送的邮件名称如下:《2024-2025年全网互联网系统渗透测试服务项目(安全厂商)》供应商征集反馈材料-公司名称(全称)。请仅发送一封邮 件,拆分发送多封邮件视为无效应答。
3.提交供应商资料大小不超过1 5 M。(提交的邮件附件总大小超过1 5 M自动拦截视为无效应答,附件请勿通过第三方邮箱转存附件)
五、注意事项
1.能够完全满足我行采购需求、有合作意向、无不良行为记录的供应商均可报名。
2.本次市场调研不代表采购邀请或意向,仅为调研市场情况发起。 经审查符合条件者,我行将会主动联系报名者 ;不符合条件者,将不会联系报名者, 材料予以保密。
3.本次市场调研不收取供应商的任何费用。
4.供应商须对报名信息和资料的真实性负责。如提供虚假材料,将取消报名资格并列入我行供应商黑名单。
5.对于上述事项存在疑问的,请及时与我行联系。
文章推荐:
更多商机查看,下载保标APP
扫码关注小程序,获取商机更容易
