东方市应急管理局关于选聘东方临港产业园化工（集中）区重大安全风险防控项目网络安全服务单位的公告

****

关于选聘**临港产业园化工(集中)区重**全风险防控

项目网络安全服务单位的公告

****办公厅、****办公厅《关于全面加强危险化学品安全生产工作的意见》《应急管理部 财政部关于印发的通知》《应急管理部等政策规范要求》，基于**临港产业园化工(集中)区安全监管需要，按照省、****工作部署要求，我单位开展**临港产业园化工(集中)区重**全风险防控项目建设工作，为确保项目建设质量，现启动**临港产业园化工(集中)区重**全风险防控项目网络安全服务采购工作。

一、采购内容:**临港产业园化工(集中)区重**全风险防控项目网络安全服务。

二、资金来源:财政资金。

三、采购控制价:

总价(含一切费用):150,000.00元人民币。

注:报价超过此控制价金额按无效报名处理。

四、服务内容:

针对**临港产业园化工(集中)区重**全风险防控平台开展一次渗透测试服务及代码审计，服务要求如下:

1.渗透测试服务

采用人工黑盒的方式对应用系统进行模拟攻击测试。主要测试方法包括:信息收集、端口扫描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人攻击、web 脚本渗透、B/S 或 C/S 应用程序测试等，主要测试内容包含:

1)WEB 安全: SQL 注入、跨站脚本攻击(XSS)、XML 外部实体(XXE)注入、跨站点伪造请求(CSRF)、服务器端请求伪造(SSRF)、任意文件上传、任意文件下载或读取、任意目录遍历、.SVN/.GIT 源代码泄露、信息泄露、CRLF 注入、命令执行注入、URL 重定向、JSON 劫持、第三方组件安全、本地/远程文件包含、任意代码执行、STRUTS2远程命令执行、SPRING 远程命令执行、反序列化命令执行等;标书代写

2)业务逻辑安全:用户名枚举、用户密码枚举、用户弱口令、会话标志固定攻击、平行越权访问、垂直越权访问、未授权访问、验证码缺陷等;

3)中间件安全: 中间件配置缺陷、中间件弱口令、WEBLOIGC 反序列化命令执行、JBOSS 反序列化命令执行、WEBSPHERE 反序列化命令执行、JENKINS反序列命令执行、JBOSS 远程代码执行、文件解析代码执行等;

4)服务器安全:域传送漏洞、REDIS 未授权访问、MANGODB 未授权访问、操作系统弱口令、数据库弱口令、本地权限提升、已存在的脚本木马、应用防护软硬件缺陷等。

2.代码审计

使用代码审计工具配合人工专家审计对应用系统进行白盒安全检测。通过对系统开发框架、应用程序、客户端程序、接口及第三方组件和应用配置这五个方面进行深入的安全分析，充分挖掘当前源代码中存在的安全缺陷以及规范性缺陷，并指导承建单位开发人员正确修复程序缺陷。

中标人需自采购人通知入场之日起60天内提交《代码审计报告》及《渗透测试服务报告》等成果内容。

五、资格要求:

1.报价人必须是在中华人民**国境内(港澳台除外)依法注册，具有独立法人资格的企业，****事业单位法人证书)处于有效期内;

2.报价人须具有网络安全相关资质;

3.参加政府采购活动前三年内，在经营活动中没有重大违法记录;

4.在“信用中国”网站(www.****.cn)、“中国政府采购网”(www.****.cn/)没有列入失信被执行人、重大税收违法案件当事人名单;

5.与采购人存在利害关系可能影响公正性的法人、其他组织或者个人，不得参加报价;

6.本次采购不接受联合体报价。

六、采购响应文件要求:标书代写

1.**临港产业园化工(集中)区重**全风险防控项目网络安全服务报价函(见附件);

2.“三证合一”营业执照复印件及资质证书复印件;

3.法定代表人证明书及法人身份证复印件;

4.法人授权委托书及受托人身份证复印件;

5.参加政府采购活动前三年内，在经营活动中没有重大违法记录声明函;

6.在“信用中国”网站(www.****.cn)、“中国政府采购网”(www.****.cn/)没有列入失信被执行人、重大税收违法案件当事人名单的截图;

7.相关服务能力证明材料。

备注:未提供附件模板部分格式自拟，所有材料均需加盖公章，装订成册(报价函单独密封)。

七、评比说明:

1.本项目采购采用密封报价、综合评标价法评分的原则确定中选单位。

2.请在2024年12月20日18:00时前将采购文件送至****。

八、发布公告的平台:****政府网站。

九、联系信息:

联系人:****中心

电话:0898-****0209 187****6120

邮编:572600

邮寄地址:**省**市八所镇罗带村路口(感恩南路)****

附件:1.报价函

2. 评分标准

****

2024年12月16日