徐州铜山农商银行“e行无忧”渗透测试招标文件
来源:发布时间:2019年03月08日
徐州铜山农村商业银行
“e行无忧”APP渗透测试项目
招 标 文 件
招 标 人:徐州铜山农村商业银行股份有限公司
2019年3月
第一章投标邀请函
徐州铜山农村商业银行股份有限公司“e行无忧”app渗透测试项目已经批准建设,项目资金自筹。现就徐州铜山农村商业银行“e行无忧”app渗透测试项目进行招标,欢迎你单位参加投标并提请注意下列附表中的相关事项:
序号 |
内 容 |
1 |
采购项目名称:徐州铜山农村商业银行“e行无忧”app渗透测试项目 采购人:徐州铜山农村商业银行 采购方式:公开招标 |
2 |
招标人:徐州铜山农村商业银行 地 址:徐州市铜山新区北京南路26号 |
3 |
采购项目概况、要求: (1)项目概况:详见项目要求和有关说明。 (2)服务实施期:30天并满足招标人验收要求。 (3)服务项目质量要求:满足招标人需求。 |
4 |
投标人条件: (1)在中华人民共和国境内注册、有能力独立完成招标项目要求的技术及服务,且具有良好的财务状况和商业信誉; (2)未被“信用中国”网站(www.creditchina.gov.cn)列入失信执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单; (3)注册资金不少于500万元人民币; (4)投标人需具备丰富的国内银行业科技风险咨询、IT治理、IT审计、信息安全咨询、渗透测试等方面的经验,熟悉商业银行重要业务系统和管理流程,并具有多个国内银行业信息渗透测试方面的项目案例; (5)投标人需具有中国信息安全认证中心相关的信息安全服务资质认证; |
5 |
招标文件获取方式:请于第【11】项中联系人处获取 |
6 |
投标有效期:开标之日起90天 |
7 |
投标文件接收截止时间:2019年3月26日17:00止,截止期后的投标文件恕不接受 投标地点:徐州市铜山新区北京南路26号 |
8 |
开标时间:2019年3月28日下午 开标地点:徐州市铜山新区北京南路26号 |
9 |
评标时间:2019年3月28日下午 评标地点:徐州市铜山新区北京南路26号 |
10 |
投标文件份数:正本1份,副本2份 |
11 |
有关本次招标活动程序方面的问题,可来人、来函或电话联系。 招标人:徐州铜山农村商业银行 联系人:__何刚_____ 联系电话:__15152188968__ 联系地址:徐州市铜山新区北京南路26号 |
第二章投标人须知
2.1投标文件的组成
投标文件应包括但不限于以下文件:
(1)投标函;
(2)投标报价表;
(3)企业法人营业执照副本复印件;
(4)税务登记证副本复印件;
(5)组织机构代码证复印件;
(6)投标人代表及法定代表人的有效身份证明;
(7)法定代表人授权书原件(投标代表是法定代表人无需);
(8)会计师事务所出具的无保留意见的近2个年度(2016-2017年)经审计的财务报告;
(9)无不良记录承诺书;
(10)技术应答方案;
(11)项目组人员简历表;
(12)须提供的其他资格审查文件,或供应商认为有必要在资格审查文件中提供的其他资料;
投标人必须提交以上文件或证明的复印件,所有复印件应是有效、清晰,注明“与原件一致”并加盖投标人公章,否则无效。
2.2招标项目内容和要求
1、投标方以书面的形式提供:除上述(一)投标文件的组成
的要素外,还需详细机构介绍、主要业务领域,项目组成员的名单和详细技术背景资料,包括:学历、项目经验,在本项目当中担任的职务,以及明确现场实施人员名单;为招标人提供渗透测试的内容与详细设计方案(包括项目交付物);项目实施时限;各项服务承诺,如售后服务体系、服务条款、培训方案及其他优惠条件等;
2、本项目的主要内容见技术规格及要求;
3、投标人需提供承担过金融行业信息科技安全服务相关合同证明复印件;
4、能在我行规定的时间内(30日)完成;
5、投标方提供详细的售后服务方案、投标人必须承诺从接到招标书之日起,对从招标活动中获得的招标人相关资料承担保密责任;
6、提供书面投标书三份(正本一份,副本二份)。
2.3其他要求
1. 投标报价
投标总价应是完成项目及后续服务的全部费用,其中包含渗透测试、指导安全技术与管理的整改、出具有关报告、后续服务、税费等全部费用。
2. 投标文件的递交
(1)投标人应仔细阅读招标文件的所有内容并作出实质性的响应,同时按招标文件规定的要求和格式,提交完整的投标文件。
(2)投标文件应在投标截止时间前送达,逾期送达或未送达指定地点以及未按招标文件要求密封的投标文件,招标人将拒收或不启封退给投标人。
(3)招标人不接受电话、传真及电子邮件投标。
3. 投标文件的修改和撤回
(1)投标截止时间后投标文件不得修改。
(2)投标截止时间前投标人可以撤标,但在投标截止时间后不允许撤标。
4. 分包投标
本次招标不可分包投标和中标。
5.联合投标
本次招标不接受联合体投标。
6. 招标终止
投标截止后,如投标人少于3个,招标人有权选择其他采购方式或终止本次招标。
第三章投标人技术要求
3.1技术要求
一、渗透测试范围
对“e行无忧”app的Android客户端、IOS客户端以及内部业务逻辑进行渗透测试,其中:
1.Android客户端包括但不限于如下测试项进行渗透测试:
应用是否可以被调试、备份
代码是否可被重打包
客户端SQL注入
敏感数据明文传输
是否使用 SSL Pinning
密码学实现问题
是否存在不安全的用户认证
静态分析应用程序的代码中是否包含了硬编码的服务端私有地址
2.IOS客户端包括但不限于如下测试项进行渗透测试:
是否存在不安全的 ATS 配置
未启用地址随机化
是否启用键盘记录保护
WebView跨域访问漏洞
3.内部业务逻辑包括但不限于如下测试项进行渗透测试:
任意用户注册
短信/邮件验证码
未授权访问
对交易数据校验不合理导致交易金额、数量修改
数据传递过程中参数过滤、加密
客户请求接口
二、渗透测试技术要求
依照行业相关技术标准及监管条例,对“e行无忧”app做安全性的渗透测试,APP渗透测试应包括如下过程:
l 客户端二进制文件预处理
l 逆向分析程序逻辑
l 漏洞挖掘等。
逆向分析程序逻辑是整个移动客户端测试中的关键步骤,发现漏洞构造POC都需要依赖于逆向工程。最后,将测试结果汇总后按系统和客户端类型提供初测报告了,漏洞修复后复测确认修复后提供复测报告。
整个渗透测试成功实施完毕后,客户“e行无忧”的安全性可以得到一个整体的提升,并达到如下要求:
1.风险规避要求
在项目实施过程中,可能会对被测系统造成影响,相应地会造成各种损失。这些影响包括信息泄漏、业务停顿或处理能力受损等。因此,必须充分考虑各种可能的影响及其危害并准备好相应的应对措施,尽可能减小对目标系统正常运行的干扰,从而减小损失。
2. 安全检测与评估依据标准要求
项目安全评估服务方案需参考国内外各个标准机构颁发的标准及监管机构颁发的指引等指南标准,参照国际国内通行准则,建立国际国内标准框架下的信息安全标准和规范。包括但不限于:
l 《电子银行业务管理办法》
l 《商业银行信息科技风险管理指引》
l 《网上银行系统信息安全通用规范》
l 《网络安全法》
3交付物要求
交付物包含但不限于以下内容:
《“e行无忧”APP渗透测试报告》及《“e行无忧”APP渗透测试复测报告》
3.2项目要求
1、客观性和公正性原则:
项目组人员在项目实施过程中应无偏见,在最小主观判断情形下,按照测试双方相互认可的方案,基于明确定义的测评方式和解释,实施渗透测试。
2、可重复性和可再现性原则:
依照同一要求,使用同一测试方式,对每个测试实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于,前者与不同测试者测试结果的一致性有关,后者与同一测试者测试结果的一致性有关。
3、连续性原则:
确保在高速变化的信息安全环境中,在有效的服务期间内,保证铜山农商行测试结论的准确性和及时性。
4、最小影响原则:
测试工作应该尽可能小地影响应用系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应提前与行方提前做出说明。
5、规范性原则:
整个渗透测试的实施必须严格项目管理,控制项目的进度和质量,依照规范的操作流程进行,对操作的过程和结果要有相应的记录,每块测试内容及测试结果都有相应的报告作为输出物。同时,每份报告需对行内技术与管理上进行综合评价,指导后续技术与管理层面的整改。
6、互动原则:
在整个项目过程中,强调行方的互动参与,每个阶段都能够及时根据行内要求和实际情况对测试的内容、方式做出相应调整,进而更好的进行切合实际的测试工作。在项目实施过程中,各类规范标准如渗透测试工具、测试结果文档编写规范等作为输出物提供给行方,指导和培养行内安全人员的技术能力。
7、保密原则:
在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,不允许采用众测的方式开展远程渗透测试,以及不得利用这些信息损害采购方利益。
徐州“e行无忧”渗透测试项目的服务范围为招标人指定的渗透测试目标,将于每次渗透测试前提供。
3.3服务期限
徐州铜山农村商业银行“e行无忧”渗透测试项目的服务周期为合同签订之日起至渗透测试次数使用完为止。
3.4响应时间
渗透测试工作:正常情况下,自招标人提交测试申请到出完整的测试报告,应不超过10个工作日,复测时间不超过3个工作日。
第四章 评标方法与评分标准
评标小组根椐招标文件的要求对投标文件进行审查、评估和比较,对投标人的报价、资质业绩、测试方案、对招标文件完全响应的承诺及售后服务等方面进行综合评定打分。
评标方法:评标小组根椐招标文件的要求对投标文件进行审查合格后,根椐报价(占60分)、投标人综合能力(占10分)、行业业绩(占10分)、测试方案(占10分)、服务承诺及售后服务措施(占10分)进行评定打分。
评分项目 |
分值 |
评审标准 |
||
1 |
价格 |
60 |
价格分的计算采用综合评分法(保留小数点后2位): |
|
2 |
投标人 综合能力 |
10 |
2 |
国家信息安全测评中心信息安全服务资质(一级及以上)。满足条件得2分,不满足不得分。 |
2 |
投标人为中国国家信息安全漏洞库(CNNVD)技术支撑单位(二级及以上),满足条件得2分,不满足不得分。 |
|||
2 |
投标人提供ISO9001认证证书、ISO27001认证证书,有一项得1分,最高得2分。 |
|||
4 |
现场实施人员需具备CISP、CISSP信息安全资质,每个人得1分,最高得4分。 注:项目组人员需提供显示该人员姓名的公司社保,不提供或提供不全,此项不得分。 |
|||
3 |
行业业绩 |
10 |
提供2016年至今国有银行、股份制商业银行安全服务项目案例合同复印件,每个得2分,最高得10分。 |
|
4 |
评估方案 |
10 |
根据对招标文件中项目需求的理解程度,制定实际可行的评估方案。 (1)项目服务方案中详细描述安全评估的实施步骤和工作流程,并将工作内容分解细化到可执行层面的每项工作,可提供详细的技术手段说明及成果。(2)项目服务方案中针对项目组织、实施计划、人员配备、项目管理控制、应急响应措施等方面有明确且详细的说明,阐述全面。优得8-10分,良得6-8,一般得0-6分; |
|
5 |
服务承诺及售后服务措施 |
10 |
提供完善的书面售后服务方案,全面阐述得8-10分;一般符合得6-8分,基本符合要求得基本分0-6分; |
|
第五章附件
5.1(投标文件格式)
(一)封面格式:
招标
投标文件
项目名称:
投标文件内容:
投标人: (盖公章)
法定代表人或其委托代理人: (签字或盖章)
日期: 年 月 日
5.2投标函(格式)
致:致徐州铜山农村商业银行:
我们收到你们 “e行无忧”项目渗透测试 招标文件,经仔细阅读和研究,我们决定参加此项目的投标。
一、我们愿意按照招标文件的一切要求(包括付款方式),提供本项目的报价,总报价见《开标一览表》。
二、我们愿意提供徐州铜山农村商业银行在招标文件中要求的文件、资料:
三、我们同意按招标文件中的规定,本投标文件投标的有效期限为中标通知书发出之日起90天。
四、我方同意按招标文件中的规定期限内完成全部工作。
五、如果我们的投标文件被接受,我们将履行招标文件中规定的每一项要求,按期、按质、按量,完成交货任务。
六、我们认为你们有权决定成交者。
七、我方愿意遵守《中华人民共和国政府招标法》,并按《中华人民共和国合同法》、财政部《政府招标货物和服务招标投标管理办法》和合同条款履行自己的全部责任。在合同履行过程中,双方如有争议,同意由徐州铜山农村商业银行协调解决,并按相关法规和有关文件规定处理。
八、我们认可并保证遵守招标文件的所有规定,放弃对招标文件提出质疑的权利。
九、如果我方被确定为中标投标人,我方如无不可抗力,又未履行招标文件、投标文件和合同条款的,一经查实,我方愿意赔偿由此而造成的一切损失,并同意接受按招标文件的相关要求对我方进行的处理。
十、如果我方被确定为中标人,且我方如无不可抗力,又未履行招标文件、投标文件和合同条款的,一经查实,我方愿意赔偿由此而造成的一切损失,并同意接受按招标文件的相关要求对我方进行的处理。
投标人(盖章):
法定代表人或法定代表人授权代表签字或盖章:
电话: 传真:
地址: 邮编:
开户名称:
开户银行:
开户账号:
5.3投标报价表(格式)
投标人名称(盖章) 项目编号:
徐州铜山农村商业银行 “e行无忧”渗透测试项目 |
人民币大写 人民币小写
|
[苏公网安备 32038202000145号]