东方市应急管理局关于选聘东方临港产业园化工（集中）区重大安全风险防控项目网络安全服务单位的公告

点击登录查看

关于选聘东方临港产业园化工(集中)区重大安全风险防控

项目网络安全服务单位的公告

根据中共中央办公厅、国务院办公厅《关于全面加强危险化学品安全生产工作的意见》《应急管理部 财政部关于印发的通知》《应急管理部等政策规范要求》，基于东方临港产业园化工(集中)区安全监管需要，按照省、市安全生产监管工作部署要求，我单位开展东方临港产业园化工(集中)区重大安全风险防控项目建设工作，为确保项目建设质量，现启动东方临港产业园化工(集中)区重大安全风险防控项目网络安全服务采购工作。

一、采购内容:东方临港产业园化工(集中)区重大安全风险防控项目网络安全服务。

二、资金来源:财政资金。

三、采购控制价:

总价(含一切费用):150,000.00元人民币。

注:报价超过此控制价金额按无效报名处理。

四、服务内容:

针对东方临港产业园化工(集中)区重大安全风险防控平台开展一次渗透测试服务及代码审计，服务要求如下:

1.渗透测试服务

采用人工黑盒的方式对应用系统进行模拟攻击测试。主要测试方法包括:信息收集、端口扫描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人攻击、web 脚本渗透、B/S 或 C/S 应用程序测试等，主要测试内容包含:

1)WEB 安全: SQL 注入、跨站脚本攻击(XSS)、XML 外部实体(XXE)注入、跨站点伪造请求(CSRF)、服务器端请求伪造(SSRF)、任意文件上传、任意文件下载或读取、任意目录遍历、.SVN/.GIT 源代码泄露、信息泄露、CRLF 注入、命令执行注入、URL 重定向、JSON 劫持、第三方组件安全、本地/远程文件包含、任意代码执行、STRUTS2远程命令执行、SPRING 远程命令执行、反序列化命令执行等;

2)业务逻辑安全:用户名枚举、用户密码枚举、用户弱口令、会话标志固定攻击、平行越权访问、垂直越权访问、未授权访问、验证码缺陷等;

3)中间件安全: 中间件配置缺陷、中间件弱口令、WEBLOIGC 反序列化命令执行、JBOSS 反序列化命令执行、WEBSPHERE 反序列化命令执行、JENKINS反序列命令执行、JBOSS 远程代码执行、文件解析代码执行等;

4)服务器安全:域传送漏洞、REDIS 未授权访问、MANGODB 未授权访问、操作系统弱口令、数据库弱口令、本地权限提升、已存在的脚本木马、应用防护软硬件缺陷等。

2.代码审计

使用代码审计工具配合人工专家审计对应用系统进行白盒安全检测。通过对系统开发框架、应用程序、客户端程序、接口及第三方组件和应用配置这五个方面进行深入的安全分析，充分挖掘当前源代码中存在的安全缺陷以及规范性缺陷，并指导承建单位开发人员正确修复程序缺陷。

中标人需自采购人通知入场之日起60天内提交《代码审计报告》及《渗透测试服务报告》等成果内容。

五、资格要求:

1.报价人必须是在中华人民共和国境内(港澳台除外)依法注册，具有独立法人资格的企业，且营业执照(事业单位法人证书)处于有效期内;

2.报价人须具有网络安全相关资质;

3.参加政府采购活动前三年内，在经营活动中没有重大违法记录;

4.在“信用中国”网站(www.creditchina.gov.cn)、“中国政府采购网”(www.ccgp.gov.cn/)没有列入失信被执行人、重大税收违法案件当事人名单;

5.与采购人存在利害关系可能影响公正性的法人、其他组织或者个人，不得参加报价;

6.本次采购不接受联合体报价。

六、采购响应文件要求:

1.东方临港产业园化工(集中)区重大安全风险防控项目网络安全服务报价函(见附件);

2.“三证合一”营业执照复印件及资质证书复印件;

3.法定代表人证明书及法人身份证复印件;

4.法人授权委托书及受托人身份证复印件;

5.参加政府采购活动前三年内，在经营活动中没有重大违法记录声明函;

6.在“信用中国”网站(www.creditchina.gov.cn)、“中国政府采购网”(www.ccgp.gov.cn/)没有列入失信被执行人、重大税收违法案件当事人名单的截图;

7.相关服务能力证明材料。

备注:未提供附件模板部分格式自拟，所有材料均需加盖公章，装订成册(报价函单独密封)。

七、评比说明:

1.本项目采购采用密封报价、综合评标价法评分的原则确定中选单位。

2.请在****18:00时前将采购文件送至点击登录查看。

八、发布公告的平台:东方市人民政府网站。

九、联系信息:

联系人:园区应急服务中心

电话:**** ****

邮编:572600

邮寄地址:海南省东方市****点击登录查看

附件:1.报价函

2. 评分标准

点击登录查看

****