白云机场官网机场通系统渗透测试服务项目公告(1777880953792786433)
· 2024-04-10
白云机场官网、机场通系统渗透测试
服务采购项目竞价公告
第一部分 竞价项目说明
广州白云国际机场股份有限公司(以下简称采购人) 现就白云机场官网、机场通系统渗透测试服务采购项目,邀请有相应资质的合作商(以下简称报价人)进行网上竞价。
1. 项目概况:
1.1 项目名称: 白云机场官网、机场通系统渗透测试服务采购项目 。
1.2 项目内容:( 1 )在服务期间内,按需按要求对业务系统开展 4 次渗透测试任务,发现可能存在的安全风险漏洞,提供详细的修复建议,协助完成安全漏洞的修复,提升业务系统抗风险能力;( 2 )渗透测试人员应在授权范围内进行全面细致的安全性测试,自行开展信息收集,利用渗透性测试、应用系统攻击、网络攻击等手段(不含拒绝服务类等恶意攻击方式),发现应用系统及各类互联网暴露资产(含 IP 、域名、端口、服务、操作系统、中间件、应用系统、 APP 、小程序及调用关系、第三方模块插件等)的安全漏洞,核实漏洞真实性,记录攻击过程,并报告漏洞情况;( 3 )每次服务完成后,需在三日内提交完整的渗透测试报告,详细说明渗透发现的漏洞切入点,渗透过程和修复方式等,并协助、指导甲方进行渗透发现漏洞的重现;待修复完成后,渗透测试人员对修复的成果进行检验复查,确保修复结果的有效性;( 4 )工作输出:《 XX 系统渗透测试报告》、《 XX 系统渗透测试复查报告》。
1.3 项目限价: 150000 元(含税价)。
2. 合格报价人条件:
( 1 )报价人必须为具备本项目履约能力的在中华人民共和国境内注册的独立的企业法人,同时持有工商行政管理部门核发的营业执照,并提供营业执照的复印件。
( 2 )报价人 2020 年至今具有信息系统渗透测试服务相关的业绩,须提供合同复印件。
( 3 ) 2020 年 1 月 1 日至今,报价人没有因腐败或欺诈行为而被政府或业主宣布取消投标资格;同时, 2020 年 1 月 1 日年至今报价人(包括其关联公司)与采购人无发生各种诉讼、仲裁和不良投诉(须就此项内容提供承诺函并加盖报价人公章)。
( 4 )报价人不存在被广州白云国际机场股份有限公司认定为发生不良行为合作商,且仍在处置期内的情形。
( 5 )报价人不得被列为严重失信主体名单,以信用中国网站( www.creditchina.gov.cn )查询为准,报价人需在采购公告发布后提供从信用中国网站截图严重失信主体名单页面并加盖公章(未提交截图或截图信息不清晰将作否决投标处理),同时下载信用信息(打印并加盖公章后附在报价文件中)。(截图格式见附录)。
( 6 )报价人不得被国家企业信用信息公示系统( http://www.gsxt.gov.cn/ )列入经营异常名录信息或列入严重违法失信企业名单(黑名单)信息,报价人需在采购公告发布后按要求从国家企业信用信息公示系统网站截图 列入经营异常名录信息和列入严重违法失信企业名单(黑名单)信息页面的截图并加盖公章。(未提交截图或截图信息不清晰将作无效报价标处理)(截图格式见附录)。
( 7 )报价人不得被列入中国执行信息公开网( http://zxgk.court.gov.cn/ )的全国法院失信被执行人名单。报价人需在采购公告发布后从中国执行信息公开网综合查询被执行人网站截图并加盖公章;(未提交截图或截图信息不清晰将作无效报价标处理)(截图格式见附录)。
( 8 )报价人法定代表人为同一人的两个及两个以上法人,母公司、全资子公司及其控股公司,都不得在该项目中同时报价。
( 9 )本项目不接受联合体报价。
( 10 )报价人需要具备关的信息安全服务资质认证,应拥有一支具备丰富经验和专业技能的渗透测试团队,开展渗透测试的人员均需具备渗透测试相关资质证书。
( 11 ) 具备国家信息安全风险评估或安全服务资质,或相关网络安全应急服务支撑单位资质。
( 12 ) 具备国家信息安全漏洞扫描 CNNVD 技术支持单位等级证书。
3. 报价文件的有效期:
报价文件应在报价截止日起 90 天内有效,成交人的报价有效期延至合同验收之日。
4. 报价人注册方式:
( 1 )报价人应在须在参与竞价项目前,前往广东省机场管理集团有限公司一体化数字交易系统( https://www.ebidding.com/gaa.html )进行注册,,操作步骤详见一体化系统门户供应商管理中帮助中心的平台注册指引(已注册的除外)。
( 2 )报价人成功注册一体化系统后,登录系统点击首页的可参与项目;在搜索框处输入项目编号或项目名称进行查找,在列表中选择需要参与的项目,点击立即参与;点击我的项目,在列表中选择相应的项目,点击申请材料递交,项目资格预审文件,资格预审通过后的合作商才能进入网上竞价环节。
( 3 )因报价人丢失网站登录用户名或密码而导致项目报名或网上竞价活动失败的,相关责任由报价人自行承担。
5. 项目竞价各环节时间安排:
5.1 公告发布及资格预审文件上传时间:
项目公告及资格预审报名时间为 2024 年 4 月 10 日 10:00 至 2024 年 4 月 17 日 10:00 (不少于 5 个工作日) (报名截止时间以系统服务器时间为准)。
报价人成功注册一体化系统后,登录系统点击首页的可参与项目;在搜索框处输入项目编号或项目名称进行查找,在列表中选择需要参与的项目,点击立即参与;点击我的项目,在列表中选择相应的项目,点击申请材料递交。申请材料用于报价人资格审查,申请材料应按采购文件第三部分附录文件格式编写。
5.2 资格预审结果查看:
报价人提交材料后在我的项目中能查看本项目申请材料审批状态,待审批时的状态为申请材料递交查看;如果申请材料被驳回,按钮将会变为申请材料递交(已驳回);如果申请材料审批通过,按钮则变为参与。申请材料递交时间截止前,报价人如需撤回修改,点击申请材料递交查看 - 撤回即可重新修改提交。申请材料递交时间截止后,报价人将无法对资格审查资料进行修改。报价人自行进入我的项目列表查看自己是否通过资格审查。
5.3 竞价时间:
项目竞价时间为 2024 年 4 月 18 日 09 : 00 至 2024 年 4 月 18 日 18 : 00 (截止时间以系统服务器时间为准)(不少于 1 个工作日)。
项目竞价开始后,通过资格审查的报价人登陆一体化系统,在我的项目中选择通过资格审查的竞价项目,即可进行报价,每次报价后即可看见自己的报价排名,报价人可在项目竞价时间截止前(以一体化系统服务器显示时间为准),根据项目提示的最低调价幅度(每次不低于 500 元)、报价次数(共 5 次)修改自己的报价,报价人报价不得超出限价。竞价系统根据报价价格由低到高的顺序排名,若 2 家或以上报价人的报价相同,则以一体化系统服务器时间先后进行排名,竞价时间截止后,以报价排名为第一名的报价人作为候选成交商。
6. 竞价答疑:
若报价人对本项目有任何异议的,应当在报名和提交资格审查文件截止时间 2 日前以书面形式提出,书面文件应加盖报价人单位公章后进行扫描,发送至采购方电子邮箱(邮箱地址: 200202113@gdairport.com ),异议提交截止时间以采购方邮箱显示收到时间为准,未按上述要求提供异议资料的,采购方将不予回复。如需修改竞价文件内容的,采购方将顺延项目报名截止时间。
7. 递交资格预审文件资格预审要求:
资格预审期间,报价人应按竞价公告第三部分网上竞价报名文件要求在系统中提交纸质版扫描版资格预审。若报价人提交的资格预审文件存在下列情况,将不能通过资格预审:
( 1 )不能完全符合项目合格报价人条件要求的;
( 2 )资格预审文件资料未按要求签字或加盖公章的;
( 3 )资格预审文件资料中透露了项目报价的;
( 4 )资格预审文件资料与实际情况不符, 文件造假的;
( 5 )其他不能通过资格预审原因。
8. 竞价规则:
( 1 )网发上竞价项目符合资格条件,且参与报价的报价人至少应达到三家以上,不足三家的,采购方将重新发布采购信息,组织第二次采购。
( 2 )如果第二次符合资格条件、且参与报价的报价人仍不足三家的,采购方可按相关程序确定成交供应商。
( 3 )没有符合资格条件供应商的项目,采购方将终止项目竞价。
( 4 )项目竞价开始后,通过资格审查的报价人登陆一体化系统,在我的项目中选择通过资格审查的竞价项目,即可进行报价,每次报价后即可看见自己的报价排名。
( 5 )报价人可在项目竞价时间截止前(以一体化系统服务器显示时间为准),根据项目提示的最低调价幅度、报价次数修改自己的报价,如采购方设置了限价金额的,报价人报价不得超出限价。
( 6 )竞价系统根据报价价格由低到高的顺序排名,若 2 家或以上报价人的报价相同,则以一体化系统服务器时间先后进行排名。
( 7 )竞价时间截止后,以报价排名为第一名的报价人作为候选成交商。
9. 成交合作商的确定:
网上竞价结束后,采购方按以下流程确定成交合作商:
( 1 )网上竞价结束后 3 个工作日内,竞价项目候选成交供应商应将资格审查文件及项目报价单(包括清单)纸质版(一式三份),由其法定代表人或者授权代表签字并盖章后,提交采购方审查。纸质版审查文件内容与申请材料递交时提交的资格审查内容应一致、纸质版项目报价单中的总金额及分项金额应与一体化系统网上竞价系统报价内容一致,否则采购方有权认定其资格审查文件或报价无效。
( 2 )若候选供应商的报价明显低于市场价,采购方有权要求候选供应商提供其报价理由和有关未低于企业成本价的证明材料,如果候选供应商拒绝提供或提供的材料不充分,采购方有权认定其报价无效,并终止交易。
( 3 )候选供应商按以上要求提交资料,并经采购方审查通过,可确定为项目成交供应商。
( 4 )成交供应商提交资料与事实不符的,采购方有权取消成交供应商资格。
( 5 )本项目为整体报价、整体供货项目,不做拆分。如报价人在成交后出现无法全部供货问题,采购人有权废除报价人的成交资格,对项目重新发布采购信息,并保留因报价人问题对采购人造成的经济损失进行追责的权利。
10. 竞价结果发布:
竞价结果确认后,采购方将在一体化系统门户发布竞价结果公告,公告时间不少于 2 个工作日。
11. 不诚信行为处置
对于报价人不符合竞价公告要求而参与竞价、恶意报低价、资料造假以及冒用他人身份参加我司网上竞价活动等不诚信行为,广州白云国际机场股份有限公司(采购人单位名称)视其情节轻重而将报价人记录到此采购平台合作商信息中,并保留将其列入黑名单的权利。
12. 投诉监督方式
( 1 )报价人可以对本次竞价活动中的任何违法及不公平内容向广州白云国际机场股份有限公司建设管理部纪检机构进行实名投诉。
联系电话: 020-36067950 、 020-36063493 (广州白云国际机场股份有限公司建设管理部)
( 2 )报价人应本着公平竞争、实事求是原则,按程序进行投诉,若存在下列情形之一的,采购人将视为无效投诉,并保留将其列入黑名单的权利:
【 1 】投诉主体不是项目参与合作商和其他利害关系人;
【 2 】投诉人未有真实署名,未同时提供投诉身份证复印件、联系方式;
【 3 】投诉人未提供必要的证明材料和明确的要求的;
【 4 】投诉人捏造事实、伪造材料或者以非法手段取得证明材料进行投诉的,证据来源的合法性存在明显疑问,投诉人(合作商)无法证明其取得方式合法的,视为以非法手段取得证明材料。
14. 联系方式
单位名称:广州白云国际机场股份有限公司
联系人:曾先生
联系电话: 020-36066142
地址:广州市白云机场东南工作区二号航站楼派出所 507
第二部分 采购人需求
白云机场官网、机场通系统渗透测试服务项目,针对白云机场官方网站系统和白云机场通系统开展渗透测试,为保障渗透测试过程安全可控,渗透测试人员需遵循保密性、标准性、规范性、可控性、整体性、最小影响等原则,针对服务对象开展渗透测试,根据渗透测试结果,给出针对性的整改建议,并协助、指导甲方进行渗透发现漏洞的重现;待修复完成后,渗透测试人员对修复的成果进行检验复查,确保修复结果的有效性,渗透测试项至少包括以下相关漏洞类型(详情请看附件需求书):
| 序号 | 漏洞类型 |
| 1 | 操作系统相关漏洞 |
| 2 | 数据库相关漏洞 |
| 3 | 整站系统相关漏洞 |
| 4 | 中间件相关漏洞 |
| 5 | 框架漏洞 |
| 6 | 信息泄漏类漏洞 |
| 7 | 认证类漏洞 |
| 8 | 业务逻辑类漏洞 |
| 9 | 业务功能类漏洞 |
| 10 | 防护功能类漏洞 |
| 11 | 授权类漏洞 |
| 12 | 综合利用类漏洞 |
项目内容:
( 1 )在服务期间内,按需按要求对业务系统开展 4 次渗透测试任务,发现可能存在的安全风险漏洞,提供详细的修复建议,协助完成安全漏洞的修复,提升业务系统抗风险能力;
( 2 )渗透测试人员应在授权范围内进行全面细致的安全性测试,自行开展信息收集,利用渗透性测试、应用系统攻击、网络攻击等手段(不含拒绝服务类等恶意攻击方式),发现应用系统及各类互联网暴露资产(含 IP 、域名、端口、服务、操作系统、中间件、应用系统、 APP 、小程序及调用关系、第三方模块插件等)的安全漏洞,核实漏洞真实性,记录攻击过程,并报告漏洞情况;
( 3 )每次服务完成后,需在三日内提交完整的渗透测试报告,详细说明渗透发现的漏洞切入点,渗透过程和修复方式等,并协助、指导甲方进行渗透发现漏洞的重现;待修复完成后,渗透测试人员对修复的成果进行检验复查,确保修复结果的有效性;
( 4 )工作输出:《 XX 系统渗透测试报告》、《 XX 系统渗透测试复查报告》。
第三部分 网上竞价报名文件要求
一、资格预审文件
1. 营业执照复印件并加盖报价人公章;
2. 报价人 2020 年至今具有信息系统渗透测试服务相关的业绩,须提供合同复印件;
3. 按附件格式要求填妥并签章的法定代表人证明书或法人授权委托书(非法人签署时需提供);
4. 按附件格式要求提交法人代表身份证或被授权人身份证(复印件即可);
5. 按附件格式要求提交报价人资格与诚信承诺函;
6. 按附件格式填妥并签章的网上竞价项目采购文件响应承诺书 ;
7. 按附件格式要求提交国家企业信用信息公式系统网站截图并加盖报价人公章;
8. 按附件格式要求提交信用中国网站截图并加盖报价人公章;
9. 按附件格式要求提交中国执行信息公开网网站截图并加盖报价人公章;
10. 按附件格式填妥并签章的廉洁承诺书。
二、项目报价表
项目报价表 (限价人民币 万元)
| 序号 | 系统名称 | 服务内容 | 数量 | 单价 | 备注 | |
|
|
|
|
|
|
| |
|
|
|
|
|
|
| |
| 总价 |
| |||||
注: 1 )提交资格审查报名资料时,不需要提供报价表,如提交资格审查报名阶段提供该表格将会导致报名资格被拒绝;
2 )确定为候选合作商后,报价人应提供报价表。
以上报价包括了设计与设计联络、货物及附件(含质保期内的备品备件)的制造、包装、运输、保险、税费(包括关税、增值税等上级政府及当地政府现行规定的应缴纳的各种税收和费用)以及现场组装、安装、调试、验收、技术服务(包括技术资料、图纸的提供)、技术培训、售后服务、保修期保障等的全部费用,除此以外,采购人无需为上述约定的项目和货物再支付任何费用。
______________________________________
(报价人全称、盖法人公章)
______________________________________
(报价人地址)
______________________________________
(授权代表姓名)
______________________________________
(签名)
______________________________________
(日期)
第四部分 附录文件格式
附录 1 :营业执照复印
附录 2
法定代表人证明书
合作单位名称:
单位性质:
地址:
成立时间: 年 月 日
经营期限:
姓名: 性别: 年龄: 职务:
系 (合作单位名称)的法定代表人。
特此证明。
合作单位名称: (盖公章)
法定代表人: (签字或盖章)
日期:
附录 3 :
法人授权委托书
(如报价文件签署人不是法定代表人需提供)
本人 (姓名)系 (供应商名称)的法定代表人,现委托 (姓名)为我司代理人。代理人根据授权,以我司名义签署、澄清、说明、补正、递交、撤回、修改项目编号为 的 (项目名称) 报价文件、签订合同和处理有关事宜,其法律后果由我司承担。
授权委托期限:自 年 月 日至 年 月 日止。
代理人无转委托权。特此委托。
合作单位名称: (公章)
法定代表人: (签字或盖章)
代理人: (签字)性别: 年龄:
代理人身份证号码: 职务 :
授权委托日期:
附:代理人的身份证正反面复印件并加盖供应商公章。
附录 4 :
报价人资格与诚信承诺函
致: 广州白云国际机场股份有限公司
在研究并完全理解了 广州白云国际机场股份有限公司白云机场官网、机场通系统渗透测试服务项目 竞价文件后,我司完全同意并接受项目竞价文件的所有内容,同时向贵司承诺我司完全符合竞价文件第一部分采购公告 第五项,合格报价人资格条件, 并完全响应 采 购方供应商不诚信行为的确定条件。 承诺如有造假行为,我司愿意无条件接受采购方的以下处理:
1. 取消本项目报价、成交资格,并在相关网站公示。
2. 由采购方没收合同履约保证金(如有)。
3. 严格按照《广东省机场管理集团有限公司采购合作对象管理办法》接受处罚,禁止参加广东省机场管理集团有限公司本部、各全资、控股公司及集团公司所属非法人实体单位的所有采购项目。
4. 自行承担被取消项目资格的所有后果和责任。
5. 其他行政处理决定。
报价人 名称: (盖公章)
法定代表人或授权代表签名:
日期:
附录 5
诚信承诺函
致: 广州白云国际机场股份有限公司
在研究并完全理解了广州白云国际机场股份有限公司 白云机场官网、机场通系统渗透测试服务项目 竞价公告后,我司 (合作商名称) 完全同意并接受项目竞价公告的所有内容,同时向贵司承诺:
1.2018 年 1 月 1 日至今,我司没有因腐败或欺诈行为而被政府或业主宣布取消投标资格;
2.2018 年 1 月 1 日年至今,我司 (包括独立法人及关联公司和自然人) 未与广东省机场管理集团有限公司其下属的全资、控股公司、非法人实体单位发生各种诉讼和仲裁, 不存在拒不履行法院或仲裁机构生效判决或裁定的情形;
3. 我司未被列入国家企业信用信息公示系统( http://www.gsxt.gov.cn/ )的经营异常名录或严重违法失信企业名单;
4. 我司未被列入信用中国( http://www.creditchina.gov.cn/ )的失信被执行人或企业经营异常名录;
5. 我司未被列入中国执行信息公开网( http://zxgk.court.gov.cn/ )的全国法院失信被执行人名单。
如有造假行为,我公司愿意无条件接受采购人的以下处理:
1. 取消本项目报价、成交资格,并在相关网站公示;
2.
3. 三年至六年内停止或禁止参加广州白云国际机场股份有限公司及其下属单位的所有非招标采购项目采购活动;
4. 对不良行为予以纪录,并进行公告;
5. 报广东省机场管理集团有限公司备案;
6. 其他行政处理决定。
合作商名称:(公章)
授权代表姓名、职务(印刷体):
法定代表人或授权代表签名:
日期:
附录 6
网上竞价项目采购文件响应承诺书
致: 广州白云国际机场股份有限公司(采购方单位)
我司保证提交的 公司 项目报价文件所有内容与贵司(单位)的采购文件要求条款完全响应, 在此,我方声明如下:
1. 同意并接受采购文件的各项要求,遵守采购文件中的各项规定,按采购文件的要求提供报价。
2. 报价有效期为报价截止日之日起 XX 天,成交人的报价有效期延至合同验收之日。
3. 我方已经详细地阅读了全部竞价采购文件及其附件,包括澄清及参考文件 ( 如果有的话 ) 。我方已完全清晰理解竞价文件的要求,不存在任何含糊不清和误解之处,同意放弃对这些文件所提出的质疑和质疑的权利。
4. ( 报价人名称 )
5. 我方已毫无保留地向贵方提供一切所需的证明材料。
6. 我方承诺在本次报价文件中提供的一切文件,无论是原件还是复印件均为真实和准确的,绝无任何虚假、伪造和夸大的成份,否则,愿承担相应的后果和法律责任。
7. 我方如果成交,将保证履行采购文件以及采购文件修改书(如果有的话)中的全部责任和义务,按质、按量、按期完成《合同书》中的全部任务。
8. 我司成交后,将保证严格按照竞价采购文件要求提供货物 / 服务,保证全部货物均能按时供应,如在成交后出现无法全部供应情况,我司愿无条件放弃成交资格。
9. 我方如果成交,我司严格保密本项目的成果文件内容,如因我司管理不善造成泄密情形的,我司接受采购人对我司的三年内不得参加广东省机场集团及其下属单位的非招标采购活动的处罚。
报价人名称:
地址:
传真:
电话:
电子邮件:
报价人 法定代表人(或法定代表人授权代表):
报价人 单位名称:
开户银行:
帐号:
日期:
附录 7 :
国家企业信用信息公式系统网站( www.gsxt.gov.cn )截图 格式 
注:报价人须按上述格式要求截图并加盖公章,截图清晰显示报价人单位名称及列入严重违法失信企业名单(黑名单)信息,
附录 8 :
信用中国网站( www.creditchina.gov.cn )截图格式
注:报价人须按上述格式要求截图并加盖公章,截图清晰显示报价人单位名称及列入黑名单信息。
附录 9 :
中国执行信息公开网网站截图
注:报价人须按上述格式要求截图并加盖公章,截图清晰显示报价人单位名称及查询结果。
附件十: 廉洁承诺书
货物、服务类
广州白云国际机场股份有限公司:
为了落实贵单位相关防范廉洁风险,推进落实贵公司廉洁控制的相关要求,促进合同依法依规履行,我方对在获得 项目合同所涉项目作廉洁承诺,具体如下:
一、我方承诺建立健全服务采购、材料采购、安全管理等制度;做好公司廉洁宣传,对本单位工作人员开展廉洁教育,并接受贵公司监督检查。
二、我方承诺将约束我方的工作人员、所使用的的分包队伍、协作队伍、材料供应商以及其工作人员,或者基于本项目所需要,所使用的直接或间接参与的人员,遵守本廉洁承诺书。
三、我方承诺落实本单位工作人员廉洁从业行为规范:
1. 不得向贵公司工作人员 ( 含工作人员的配偶、子女及亲属等 , 下同 ) 行贿,提供回扣、宴请、旅游、娱乐活动或带有赌博性质的活动等行为;
2. 不得为贵公司工作人员购置或者无偿提供通讯工具、交通工具、家电、办公用品等物品;
3. 不得为谋取私利与贵公司工作人员就项目工作进行私下商谈或达成默契,损害贵公司利益;
4. 不得向贵公司工作人员提供借款或者报销应由贵公司或者贵公司工作人员自行承担的费用;
5. 不得有其他任何有可能影响公正廉洁开展项目的活动。
四、我方承诺发现贵公司工作人员及其利益关系人有以下行为,应主动如实向贵公司纪检机构或上级纪检机构、司法机关举报情况:
1. 索贿或报销任何应个人支付的费用。
2. 要求、暗示或接受为其住房装修、婚丧嫁娶活动、配偶子女安排工作以及出国出境、旅游等提供方便。
3. 在本单位及其他关联单位兼职、挂靠或从事与合同有关的材料设备供应、项目分包、转包、劳务、有偿中介等经济活动,或有参与项目供货、服务。
4. 其他违法违纪行为。
五、我方如有违反上述承诺的行为,我方愿接受相应处罚,并在三年内不得承揽广东省机场管理集团有限公司及各下属单位所辖范围采购项目。
六、双方纪检机构应互相合作,建立联络方式加强沟通交流,对承诺事项开展联合检查。
承诺单位(盖单位公章):
法定代表人或其委托代理人(签名或盖章):
廉洁工作联系人(签名或盖章):
廉洁工作联系人电话:
年 月 日
第五部分 合同条款
单位名称: 广州白云国际机场股份有限公司
合同编号:
合同书
项目名称: 白云机场官网、机场通系统渗透测试
服务项目
合同编号:
委托单位: 广州白云国际机场股份有限公司
受托单位:
签订日期:
委托方(甲方): 广州白云国际机场股份有限公司
项目联系人: 曾嘉俊
通讯地址: 广州市白云机场东南工作区二号航站楼派出所 507
电话: 020-36066142
电子信箱: zengjiajun@gdairport.com
受托方(乙方):
项目联系人:
通讯地址:
电话:
电子信箱:
根据《中华人民共和国民法典》等相关法律法规,甲乙双方在平等协商,真实、充分地表达各自意愿的基础上,就白云机场官网、机场通系统渗透测试服务项目提供的服务内容,双方经过平等协商,达成如下协议,并由双方共同恪守 。
一、 服务内容
本项目服务对象为广州白云国际机场股份有限公司 白云机场官方网站系统和机场通系统 ,每次渗透测试服务包括但不限于以下对象:
| 序号 | 系统名称 | 备注 | url |
| 1 | 白云机场官网 | 前端 |
|
| 后台 |
| ||
| H5 |
| ||
| APP (含 IOS 端和安卓端) |
| ||
| 蜜罐系统 |
| ||
| 旅客托运行李综合查询系统 |
| ||
| 备份系统 |
| ||
| 2 | 白云机场机场通 | 前端 +5 个小机场 |
|
| 机场通 | 查航班办值机安检找服务小程序 |
| ||
| 机场通 | 会员积分权益精彩活动小程序 |
| ||
| APP (含 IOS 端和安卓端) |
| ||
| 监控保障系统 |
| ||
| 网易地图 |
| ||
| 机场地图小程序 |
| ||
| 客运系统(小程序 +PC 后台) |
|
(一)具体服务内容如下:
1、 在服务期间内,按需按要求按授权对业务系统开展 4 次渗透测试任务(原则上一个季度进行一次),发现可能存在的安全风险漏洞,提供详细的修复建议,协助完成安全漏洞的修复,提升业务系统抗风险能力;
2、 渗透测试人员应在授权范围内进行全面细致的安全性测试,自行开展信息收集,利用渗透性测试、应用系统攻击、网络攻击等手段(不含拒绝服务类等恶意攻击方式),发现应用系统及各类互联网暴露资产(含 IP 、域名、端口、服务、操作系统、中间件、应用系统、 APP 、小程序及调用关系、第三方模块插件等)的安全漏洞,核实漏洞真实性,记录攻击过程,并报告漏洞情况;
3、 每次服务完成后,需在三日内提交完整的渗透测试报告,详细说明渗透发现的漏洞切入点,渗透过程和修复方式等,并协助、指导甲方进行渗透发现漏洞的重现;待修复完成后,渗透测试人员对修复的成果进行检验复查,确保修复结果的有效性;
4、 工作输出:《 XX 系统渗透测试报告》、《 XX 系统渗透测试复查报告》;
(二)具体服务要求:
渗透测试人员模拟真正的入侵者对受测目标进行入侵攻击,渗透过程以人工渗透为主,辅助以攻击工具的使用,以保证整个渗透测试过程都在可以控制和调整的范围之内,同时确保对网络没有造成破坏性的损害,不会对相关的信息系统造成严重的影响。渗透测试可以在内网或外网进行测试,渗透测试人员的所有测试行为均收到甲方的授权后才能开展。
通过渗透测试、安全检查等方式,深入发现甲方业务系统存在的安全隐患。专项渗透测试的要点如下:
1. 高水平的渗透测试技术人员。需要提供高水平的渗透测试人员,对甲方的内外网业务系统进行深入的安全检查,才能保证消除各类应用漏洞,防止被其它安全监管机构发现问题。
2. 高频率的渗透测试。由于新漏洞的出现和攻击技术的不断提升,需要周期性的进行渗透测试工作,才能保证业务系统的持续安全。
3. 入网安全测试:通过漏洞扫描、配置核查、渗透测试等技术手段,查找新建系统的漏洞,并协助管理人员修补漏洞,达到安全运行标准。
4. 渗透测试的测试方法和内容包括但不限于 以下安全测试项 :
| 序号 | 漏洞名称 | 是否测试 | 漏洞风险等级 | 有无漏洞 |
| 1 | 操作系统相关漏洞 | 是 | 高 |
|
| 2 | 数据库相关漏洞 | 是 | 高 |
|
| 3 | 整站系统相关漏洞 | 是 | 高 |
|
| 4 | 中间件相关漏洞 | 是 | 高 |
|
| 5 | 框架漏洞 | 是 | 高 |
|
| 应用系统漏洞 | ||||
| 信息泄漏类漏洞 | ||||
| 6 | 敏感文件信息泄漏 | 是 | 高 |
|
| 7 | 报错页面敏感信息泄漏 | 是 | 低 / 高 |
|
| 8 | 物理路径泄漏 | 是 | 低 |
|
| 9 | 入侵痕迹遗留 | 是 | 高 |
|
| 10 | 目录遍历 | 是 | 中 / |
|
| 11 | 是 | 高 |
| |
| 12 | 任意文件下载 | 是 | 高 |
|
| 认证类漏洞 | ||||
| 13 | 认证信息明文传输 | 是 | 低 |
|
| 14 | 弱口令 / 空口令 | 是 | 高 |
|
| 15 | 用户名枚举 | 是 | 低 |
|
| 16 | 暴力破解 | 是 | 中 |
|
| 17 | 认证绕过 | 是 | 低 / 高 |
|
| 18 | 身份标识缺陷 | 是 | 高 |
|
| 19 | 多点认证缺陷 | 是 | 中 / 高 |
|
| 20 | 会话固定 | 是 | 中 |
|
| 业务逻辑类漏洞 | ||||
| 21 | 支付逻辑 | 是 | 高 |
|
| 22 | 业务逻辑跳跃 | 是 | 高 |
|
| 23 | 短信 / 邮件炸弹 | 是 | 高 |
|
| 业务功能类漏洞 | ||||
| 24 | 业务接口调用缺陷 | 是 | 中 / 高 |
|
| 25 | 密码修改 / 重置流程跨越 | 是 | 高 |
|
| 26 | IMAP/SMTP 注入 | 是 | 高 |
|
| 27 | 开启危险接口 | 是 | 中 / 高 |
|
| 28 | 未验证的 URL 跳转 | 是 | 高 |
|
| 29 | 服务器请求伪造 | 是 | 中 / 高 |
|
| 30 | 短信内容可控 | 是 | 中 / 高 |
|
| 31 | 邮件内容可控 | 是 | 中 / 高 |
|
| 32 | 请求重放攻击 | 是 | 高 |
|
| 33 | 批量提交 | 是 | 低 / 高 |
|
| 防护功能类漏洞 | ||||
| 34 | 账号弱锁定机制 | 是 | 低 |
|
| 35 | 短信验证码失效 | 是 | 中 |
|
| 36 | 短信验证码可爆破 | 是 | 中 |
|
| 37 | 会话重用 | 是 | 高 |
|
| 授权类漏洞 | ||||
| 38 | 未授权访问 | 是 | 高 |
|
| 39 | SSO 认证缺陷 | 是 | 高 |
|
| 40 | 越权 | 是 | 高 |
|
| 41 | Cookie 伪造 | 是 | 高 |
|
| 42 | 会话变量可控 | 是 | 中 |
|
| 43 | 跨站请求伪造 | 是 | 中 / 高 |
|
| 综合利用类漏洞 | ||||
| 44 | 跨站脚本攻击 | 是 | 中 / 高 |
|
| 45 | Host 头攻击 | 是 | 中 |
|
| 46 | SQL 注入 | 是 | 高 |
|
| 47 | XML 注入 | 是 | 高 |
|
| 48 | XXE | 是 | 高 |
|
| 49 | Xpath 注入 | 是 | 高 |
|
| 50 | SSI 注入 | 是 | 高 |
|
| 51 | 命令注入 | 是 | 高 |
|
| 52 | 文件上传 | 是 | 高 |
|
| 53 | 反序列化漏洞 | 是 | 高 |
|
二、 合同价格
| 序号 | 项目 | 合同价款 / 万 |
| 1 |
|
|
| 2 |
|
|
| 3 |
|
|
| 合计 |
| |
服务费总额为(大写):人民币 元整( ¥ 元),含税费,税率 % ,不含税金额为 元。包括人工、交通、差旅(广东地区)、食宿、税费。
(一) 甲方按下列程序付款:
双方约定,本合同项目共四次服务,项目费用分两期支付,每完成两次服务支付一次;按合同期内,每完成一次服务,出具《 XX 系统第 X 次渗透测试报告》、《 XX 系统第 X 次渗透测试复查报告》后进行考核评分,最终付款按每两次服务的考核评分的平均分而定;通过银行转帐方式进行支付:每完成两次服务后按合同总价的二分之一,并四舍五入取整到元进行支付,即人民币:¥ 元整(人民币大写: 元整)(含税,税率 6% );
付款时间:每完成两次服务后付一期的款,在乙方向甲方核实、确定考核后的金额(甲方根据两次考核的评分取平均值作为本期付款的考核评分,甲方再根据本合同第五条确定本次考核后金额)后,并按甲方收到乙方开具的增值税专用发票并验证无误后 20 个工作日内付款;乙方未开具发票的,甲方有权拒付款并不视为违约,乙方应按照约定继续履行义务;每期付款须乙方提前通知甲方。国家税率政策变动的,总价应相应调整,合同不含税金额保持不变(不含税金额为人民币¥ 元整),税额根据相关税收政策进行调整。(二)付款方式:采用银行转账(含电汇)形式。
(三)乙方的财务信息如下:
收款单位:
开户行:
帐号:
(四)甲方开票信息如下:
甲方开票信息:
公司名称:广州白云国际机场股份有限公司
税号: 914400007250669553
开户行账号: 101008516010003163
地址: 广州市白云国际机场南工作区自编一号
电话: 020-36066142
四、 项目验收
(一) 验收材料:《 XX 系统第 X 次渗透测试报告》、《 XX 系统第 X 次渗透测试复查报告》、《第 X 次渗透测试考核评分表》。
(二)验收方式:由甲方签收验收材料。
(三)验收时间:甲方应在收到乙方提交的报告后 10 日内完成验收并向乙方出具验收证明,如因甲方原因未在约定的期限内验收并出具验收证明的,视为验收合格。
五、 合同履行情况考核
1. 每完成一次服务,出具《 XX 系统第 X 次渗透测试报告》、《 XX 系统第 X 次渗透测试复查报告》后,甲方会对乙方服务情况进行评价打分,每两次服务的考核评分的平均分作为打分结果,打分结果将影响本期实付金额(比如第一期付款,取第一次和第二次服务考核评分的平均分作为本期的考核得分) :
本期实付金额 = 考核系数 * 本期应付金额,考核系数确定:得分≧ 90 ,考核系数 =1 ;得分 <90 ,考核系数 = 考核得分 /100 。
服务评价项目有:技术能力、服务质量、安全性、客户服务、创新性、团队协作、持续改进、安全检测项总分 8 个项目,总分 100 分,具体评分方法,按照合同附件;
2. 累计 2 次考核得分 <60 ,视为乙方考核不达标,甲方有权解除合同,且由此造成的损失由乙方负责。
六、 双方的权利和义务
(一)甲方的权利和义务
1. 确定本项目中各项服务的具体内容。
2. 甲方应在合同签订后三个工作日内,向乙方提供进行本项目技术服务活动范围内的相关文档、技术资料等。
3. 甲方须向乙方提供相关人员询问的便利,并提供专人配合:
联系人: 曾嘉俊 ,联系方式: 020-36066142
4. 在合同服务期限内,甲方可以各种形式就乙方提供的服务向乙方提出合理的建议,乙方应认真听取并及时纠正其服务中存在的问题。
5. 在乙方交付技术成果,并经甲方验收合格的前提下,甲方无法定或约定事由应按本合同约定的付款时间及付款方式付款。
6. 甲方应协调系统建设单位及时完成系统整改和加固工作,保障项目进度和质量。
(二)乙方的权利和义务
1. 乙方提供本合同约定的技术服务。
2. 乙方提交本项目所要求的各类文档文件。
3. 乙方应配备经具备本项目实施服务技能和资质的技术人员负责本项目的实施,并保证人员的稳定性、专业性。
4. 除甲方事先书面同意外,乙方不得部分或全部转让其应履行的合同项下的义务。
5. 乙方不得将甲方提供的纸质、电子文档及其他相关资料泄露给其他单位或个人。
6. 乙方需协助、指导甲方进行渗透发现漏洞的重现。
7. 在甲方完成整改工作后,乙方提供复测,直至漏洞完成整改为止。
8. 在渗透测试服务期间,如果出现国家政策变化,标准体系变化等重大变更时,乙方有权按照最新的政策和标准进行适当的变更。
七、 知识产权
(一)本项目实施中所产生的工作成果(包括但不限于发明、发现及相关技术资料、文档等)的知识产权归甲方所有,未经甲方书面同意,乙方不得擅自使用和转让。
(二)乙方保证所提供的技术服务无侵害任何第三方的知识产权或其他合法权益。如有第三方指控乙方提供给甲方的服务侵犯了该方的知识产权或其他权利,乙方应自费就上述指控为甲方辩护或进行妥善处理,并承担给甲方及第三方造成的一切损失(包括但不限于赔偿金、律师费等)。
八、 秘密保守
(一)合同双方在订立及履行合同过程中知悉的对方商业秘密等资料,无论合同是否成立,不得泄密或不正当使用。泄密或不正当使用对方商业秘密给对方造成损失的,泄密方应当承担赔偿责任。
(二)合同双方的保密义务不因本合同的解除或终止而免除。未经对方书面同意,任何一方不得以任何形式公开本合同。
(三)甲乙双方同意不向任何第三方披露在本合同执行过程中产生的项目相关信息,同意赔偿因自身违反保密责任给对方造成的实际经济损失。
九、 违约责任
(一)本合同任何一方无法定或约定事由提前解除合同的,应向对方支付违约金。违约金金额相当于合同总金额的 20% 。由于解除本合同给对方造成的经济损失的,违约方还应给予赔偿。
(二)甲方应按照本合同约定的期限足额向乙方支付款项,未按期足额支付款项的,每迟延一天, 甲方应按合同金额的 0.5 ‰向乙方支付迟延履行违约金。逾期超过 30 日的,乙方有权单方解除合同,甲方除了应向乙方支付已经完成部分成果对应的款项外, 还应向乙方支付合同总金额 20% 的违约金。
(三)乙方无法定或约定事由逾期交付工作成果的,每迟延一天, 应向甲方支付合同金额的 0.5 ‰违约金,逾期 30 天以上的,甲方有权解除本合同,乙方退还所收款项并支付合同总金额 20% 的违约金。
十、 争议的解决
如因本合同发生争议,双方应友好协商解决,协商不成的,任何一方均有权向广州市白云区人民法院提起诉讼。
十一、 不可抗力
任何一方由于不可抗力原因不能履行合同时,应在不可抗力事件发生后 2 日内向对方通报(如无法实施,则在具备条件后的 2 日内向对方通报),并在不可抗力事件结束后 7 个工作日内,向对方详细书面报告,并附上有关部门出具的关于不可抗力事件的证明材料。以减轻可能给对方造成的损失,在取得有关机构的不可抗力证明或双方谅解确认后,允许延期履行或修订合同,并根据情况可部分或全部免于承担违约责任。
十二、 税费
在中国境内、外发生的与本合同执行有关的一切税费均由乙方负担。
十三、 合同生效
(一)本合同经双方代表签字及单位盖章后生效。
(二)本合同在双方的权利、义务履行完毕后终止。
(三)本合同的修改应以双方盖章的书面文件为准。
(四)根据本合同约定,本合同一方需向另一方发出的全部通知和要求以及双方的文件往来等,必须采用书面形式。
(五)本合同任何一方通讯地址变更,应自变更之日起十日内,以书面形式通知对方;因未通知而引起的相关责任由地址变更方承担。
(六)本合同的合同正文,代表了合同双方的完整协议。除了合同中所明确陈述之外,任何其它陈述、理解都不包含在本合同内。任何一方都不对超出本合同中所明确规定的条件条款、定义、保证、理解或陈述承担责任。
(七)在执行本合同过程中,所有经双方盖章确认的文件(包括会议纪要、补充协议、往来信函等)即成为本合同的有效组成部分。
(八)本合同一式肆份,甲方执贰份,乙方执贰份,具有同等法律效力。
附件: 1. 白云机场官网、机场通系统渗透测试服务项目需求书
2. 信息安全协议
3. 广州白云国际机场廉洁协议
4. 渗透测试考核评分表
| 甲方(盖章): 广州白云国际机场股份有限公司 | 乙方(盖章): |
| 代表(签字):
| 代表(签字):
|
| 签订地点:广州市 | 签订地点:广州市 |
| 签订日期: 2024 年 月 日 | 签订日期: 2024 年 月 日 |
附件一:
白云机场官网、机场通系统渗透测试
服务项目需求书
一、项目概述
随着互联网的快速发展,网络安全问题日益突出,网络攻击与安全威胁的不断增多,对白云机场官网和机场通系统的安全性提出了更高的要求。为了确保白云机场官网及机场通系统的网络安全,防范潜在的网络威胁,机场通项目管理专班计划采购专业的渗透测试服务,通过模拟黑客攻击来发现系统中的漏洞和弱点,进而使我们的系统相对更加安全。
二、实施标准和原则
(一)实施标准
透测试服务需参考下列国内、国际与渗透测试有关的标准进行工作。
国内可参考的标准、指南或规范
u ISO/IEC 27001:2005信息技术-安全技术-信息系统规范与使用指南
u ISO/IEC 13335-1: 2004 信息技术-安全技术-信息技术安全管理指南
u ISO/IEC TR 15443-1: 2005 信息技术安全保障框架
u ISO/IEC PDTR 19791: 2004 信息技术 安全技术 运行系统安全评估
u GB/T 20984-2007信息安全技术 信息安全风险评估规范
u GB/T 19715.1-2005 信息技术-信息技术安全管理指南
u GB/T 19716-2005 信息技术-信息安全管理实用规则
u GB/T 18336-2001 信息技术-安全技术-信息技术安全性评估准则
u GB/T17859-1999 计算机信息系统安全保护等级划分准则
u GB/T 20984-2007信息安全技术 信息安全风险评估规范
u GB/T 20988-2007信息系统灾难恢复规范
u GB/Z 20986-2007信息安全事件分类分级指南
u ……
国际可参考的标准、指南或规范
u 信息系统审计标准(ISACA)G3 利用计算机辅助审计技术
u 信息系统审计标准(ISACA)G7 应有的职业谨慎
u 信息系统审计标准(ISACA)G9 不正当行为的审计考虑
u 信息系统审计标准(ISACA)G18 信息系统管理
u 信息系统审计标准(ISACA)G19 不正当及非法行为
u 信息系统审计标准(ISACA)G33 对网络使用的总体考虑
u CESG (CHECK) IT Health Check 方法
u OWASP OWASP_Testing_Guide_v3
u OWASP OWASP_Development_Guide_2005
u OWASP OWASP_Top_10_2010_Chinese_V1.0
u OSSTMM OSSTMM_Web_App_Alpha
u Web 应用安全委员会( WASC ) WASC Threat Classification v2
(二)渗透测试服务原则
乙方需在提供渗透测试服务中,遵循以下原则:
u 保密性原则
渗透测试的保密范围,包括实施过程的保密性和输出成果的保密性。对服务过程中获知的任何甲方系统信息均属秘密信息,不得泄露给第三方单位或个人,不得利用这些信息进行任何侵害甲方的行为;对服务的报告提交不得扩散给未经授权的第三方单位或个人。
u 标准性原则
乙方的渗透测试服务将在国家法律、法规允许的范围内进行,特别是遵照并履行《中华人民共和国人民警察法》第六条第十二款、《全国人大常委会关于维护互联网安全的决定》、《刑法》第二百八十五条、第二百八十六条等相关规定等。
遵守国内、国际与渗透测试有关的标准进行工作。同时在道德方面,也需严格遵守业界普遍认同的《计算机道德10个戒律》、《信息安全职业道德规范》、以及《网络道德的基本原则》。
u 规范性原则
渗透测试服务的实施必须由专业的安全服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告。
u 可控性原则
可控性原则就是渗透测试服务中对被测试系统造成的可能的各种影响要能够控制得住,既要全面测试,又不能影响生产,服务的工具、方法和过程要在双方认可的范围之内,服务的过程中,避免出现被测试系统运行不稳定,影响生产运行的情况。
u 整体性原则
整体性原则是系统思维方法的一条基本原则。整体原则认为,世界上任何一个有机整体系统,不但内部各组成要素之间是相互联系的,而且系统与外部环境之间也是有机联系的。在处理与解决问题时,应当从整体出发,从分析整体内部各组成部分的关系以及整体与外部环境之间的关系入手,去揭示与掌握其整体性质。在原则指导下的渗透测试服务,强调以综合为基础,在综合的控制与指导下,分析发现的安全问题,对分析结果进行恰当的综合。
u 最小影响原则
渗透测试服务工作应尽可能小的影响被测试系统和网络的正常运行,不能对现有系统、网络的运行和业务的正常运行产生显著影响。
三、项目内容
(一)渗透测试对象,每次渗透测试服务包括但不限于以下对象:
| 序号 | 系统名称 | 备注 |
| 1 | 白云机场官网 | 前端 |
| 后台 | ||
| H5 | ||
| APP (含 IOS 端和安卓端) | ||
| 蜜罐系统 | ||
| 旅客托运行李综合查询系统 | ||
| 备份系统 | ||
| 2 | 白云机场机场通 | 前端 +5 个小机场 |
| 机场通 | 查航班办值机安检找服务小程序 | ||
| 机场通 | 会员积分权益精彩活动小程序 | ||
| APP (含 IOS 端和安卓端) | ||
| 监控保障系统 | ||
| 网易地图 | ||
| 机场地图小程序 | ||
| 客运系统(小程序 +PC 后台) |
(二)服务内容
1. 在服务期间内,按需按要求对业务系统开展 4 次渗透测试任务(原则上一个季度进行一次),发现可能存在的安全风险漏洞,提供详细的修复建议,协助完成安全漏洞的修复,提升业务系统抗风险能力;
2 . 渗透测试人员应在授权范围内进行全面细致的安全性测试,自行开展信息收集,利用渗透性测试、应用系统攻击、网络攻击等手段(不含拒绝服务类等恶意攻击方式),发现应用系统及各类互联网暴露资产(含 IP 、域名、端口、服务、操作系统、中间件、应用系统、 APP 、小程序及调用关系、第三方模块插件等)的安全漏洞,核实漏洞真实性,记录攻击过程,并报告漏洞情况。
3 . 每次服务完成后,需在三日内提交完整的渗透测试报告,详细说明渗透发现的漏洞切入点,渗透过程和修复方式等,并协助、指导甲方进行渗透发现漏洞的重现;待修复完成后,渗透测试人员对修复的成果进行检验复查,确保修复结果的有效性。
4 . 工作输出:《 XX 系统渗透测试报告》、《 XX 系统渗透测试复查报告 》。
(三)服务要求
渗透测试人员模拟真正的入侵者对受测目标进行入侵攻击,渗透过程以人工渗透为主,辅助以攻击工具的使用,以保证整个渗透测试过程都在可以控制和调整的范围之内,同时确保对网络没有造成破坏性的损害,不会对相关的信息系统造成严重的影响。渗透测试可以在内网或外网进行测试。
通过渗透测试、安全检查等方式,深入发现甲方业务系统存在的安全隐患。专项渗透测试的要点如下:
1. 高水平的渗透测试技术人员。需要提供高水平的渗透测试人员,对甲方的内外网业务系统进行深入的安全检查,才能保证消除各类应用漏洞,防止被其它安全监管机构发现问题。
2. 高频率的渗透测试。由于新漏洞的出现和攻击技术的不断提升,需要周期性的进行渗透测试工作,才能保证业务系统的持续安全。
3. 入网安全测试:通过漏洞扫描、配置核查、渗透测试等技术手段,查找新建系统的漏洞,并协助管理人员修补漏洞,达到安全运行标准。
4. 渗透测试的测试方法和内容包括但不限于以下安全测试项:
| 序号 | 漏洞名称 | 是否测试 | 漏洞风险等级 | 有无漏洞 |
| 1 | 操作系统相关漏洞 | 是 | 高 |
|
| 2 | 数据库相关漏洞 | 是 | 高 |
|
| 3 | 整站系统相关漏洞 | 是 | 高 |
|
| 4 | 中间件相关漏洞 | 是 | 高 |
|
| 5 | 框架漏洞 | 是 | 高 |
|
| 应用系统漏洞 | ||||
| 信息泄漏类漏洞 | ||||
| 6 | 敏感文件信息泄漏 | 是 | 高 |
|
| 7 | 报错页面敏感信息泄漏 | 是 | 低 / 高 |
|
| 8 | 物理路径泄漏 | 是 | 低 |
|
| 9 | 入侵痕迹遗留 | 是 | 高 |
|
| 10 | 目录遍历 | 是 | 中 / 高 |
|
| 11 | 参数溢出 | 是 | 高 |
|
| 12 | 任意文件下载 | 是 | 高 |
|
| 认证类漏洞 | ||||
| 13 | 认证信息明文传输 | 是 | 低 |
|
| 14 | 弱口令 / 空口令 | 是 | 高 |
|
| 15 | 用户名枚举 | 是 | 低 |
|
| 16 | 暴力破解 | 是 | 中 |
|
| 17 | 认证绕过 | 是 | 低 / 高 |
|
| 18 | 身份标识缺陷 | 是 | 高 |
|
| 19 | 多点认证缺陷 | 是 | 中 / 高 |
|
| 20 | 会话固定 | 是 | 中 |
|
| 业务逻辑类漏洞 | ||||
| 21 | 支付逻辑 | 是 | 高 |
|
| 22 | 业务逻辑跳跃 | 是 | 高 |
|
| 23 | 短信 / 邮件炸弹 | 是 | 高 |
|
| 业务功能类漏洞 | ||||
| 24 | 业务接口调用缺陷 | 是 | 中 / 高 |
|
| 25 | 密码修改 / 重置流程跨越 | 是 | 高 |
|
| 26 | IMAP/SMTP 注入 | 是 | 高 |
|
| 27 | 开启危险接口 | 是 | 中 / 高 |
|
| 28 | 未验证的 URL 跳转 | 是 | 高 |
|
| 29 | 服务器请求伪造 | 是 | 中 / 高 |
|
| 30 | 短信内容可控 | 是 | 中 / 高 |
|
| 31 | 邮件内容可控 | 是 | 中 / 高 |
|
| 32 | 请求重放攻击 | 是 | 高 |
|
| 33 | 批量提交 | 是 | 低 / 高 |
|
| 防护功能类漏洞 | ||||
| 34 | 账号弱锁定机制 | 是 | 低 |
|
| 35 | 短信验证码失效 | 是 | 中 |
|
| 36 | 短信验证码可爆破 | 是 | 中 |
|
| 37 | 会话重用 | 是 | 高 |
|
| 授权类漏洞 | ||||
| 38 | 未授权访问 | 是 | 高 |
|
| 39 | SSO 认证缺陷 | 是 | 高 |
|
| 40 | 越权 | 是 | 高 |
|
| 41 | Cookie 伪造 | 是 | 高 |
|
| 42 | 会话变量可控 | 是 | 中 |
|
| 43 | 跨站请求伪造 | 是 | 中 / 高 |
|
| 综合利用类漏洞 | ||||
| 44 | 跨站脚本攻击 | 是 | 中 / 高 |
|
| 45 | Host 头攻击 | 是 | 中 |
|
| 46 | SQL 注入 | 是 | 高 |
|
| 47 | XML 注入 | 是 | 高 |
|
| 48 | XXE | 是 | 高 |
|
| 49 | Xpath 注入 | 是 | 高 |
|
| 50 | SSI 注入 | 是 | 高 |
|
| 51 | 命令注入 | 是 | 高 |
|
| 52 | 文件上传 | 是 | 高 |
|
| 53 | 反序列化漏洞 | 是 | 高 |
|
四、资格要求
1 、投标人须具有独立承担民事责任的能力和独立订立合同的法人资格,持有有效工商营业执照(须提供印有统一社会信用代码的营业执照并加盖公章)。
2 、投标人需要具备关的信息安全服务资质认证,应拥有一支具备丰富经验和专业技能的渗透测试团队,开展渗透测试的人员需具备渗透测试相关资质证书。
3 、投标人具有良好的资信和商业信誉,没有处于被责令停业或破产状态,且资产未被重组、接管和冻结(须提供书面承诺并加盖 公章 )。
4 、投标人在信用中国网站( www.creditchina.gov.cn )未被列入重大税收违法失信主体名单(查询方法:信用中国网站→信用服务→重大税收违法失信主体栏查询企业状况,应提供招标公告发布之日后的网站查询结果截图)。
5 、投标人在国家企业信用信息公示系统( www.gsxt.gov.cn )中未被列入严重违法失信名单(应提供招标公告发布之日后的网站查询结果截图)。
6 、法定代表人为同一个人的两个及两个以上法人、母公司、全资子公司及其控股公司,不得在本项目同时投标。
7 、本次采购不接受联合体响应形式。
五、服务响应
( 1 )服务期内提供 7*24 小时的电话、邮件及远程响应服务。
( 2 )项目交付物包含每个系统每次渗透测试的《 XX 系统第 X 次渗透测试报告》、《 XX 系统第 X 次渗透测试复查报告》、《第 X 次渗透测试考核评分表》,交付物需在签合同后,每次服务完成后提交。
六、保密要求
项目实施人员需与乙方公司签署安全保密协议,以防安全信息泄漏。
附件二
信息安全协议
甲乙双方就签订的《白云机场官网、机场通系统渗透测试服务项目合同》(以下简称合同),因该合同涉及甲方系统信息,根据《中华人民共和国反不正当竞争法》、《中华人民共和国合同法》、《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》等相关法律法规,乙方必须承担如下信息安全责任和义务。
一、未经甲方书面许可,乙方及乙方的工作人员不得将涉及甲方的任何信息(包括但不限于有关甲方或为甲方所掌握并负有保密义务的文件、软件、专有技术、个人信息、商业机密、业务数据、系统数据以及以有形或无形形式表现的研究、设计等其它信息)透露、出售或以其他方式提供给 合同 以外的第三方或乙方内部与本 协议 无关的任何人员。
二、乙方对所获悉的信息承担保密责任,不得非法收集、加工、传输他人个人信息、隐私、商业秘密、业务信息和系统数据等信息,不得为向甲方提供服务以外的目的使用所获悉的信息,并应采取合理的预防措施来防止信息泄露。
三、乙方必须选派道德品质好、责任心强的人员参与本项目,并将参与人员的个人资料送甲方审查,经审查合格后方可进行有关项目的维护。乙方必须与参与本项目的人员签订有关保密协议,以明确参与人员在合同履行期间及离职后的保密责任。
四、乙方人员在履行本合同期间,未经甲方工作人员允许,不得进入与本项目无关的其他场所,包含但不限于机房、档案室、会议室等。
五、未经甲方工作人员允许,乙方人员不得擅自接入甲方网络,不得擅自设置、安装程序,不得对本项目涉及的信息系统进行与其他网络建立物理连接的任何尝试。
六、乙方在履行合同期间提供的网络产品、工具、服务应当符合相关国家标准的强制性要求,若网络产品、工具、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,并及时告知甲方。
七、若乙方在履行合同期间提供的网络产品、工具、服务具有收集甲方商业机密、业务数据、系统数据、用户个人信息等功能的,乙方应当向甲方明示并取得同意,且不得收集与其提供的服务无关的信息,并应当依照法律、行政法规的规定以及与甲方的约定,处理其保存的信息。同时,乙方应当采取技术措施和其他必要措施,确保收集信息的安全,防止信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,并及时告知甲方。
八、甲方向乙方提供的任何资料、文件和信息,在本合同终止或期满时,乙方均不得继续使用,且应及时归还甲方,若保存于乙方存储设备的,乙方应在存储设备上永久删除或销毁相关存储设备。
九、乙方人员在履行合同过程中,必须严格遵守甲方的有关规章制度,服从管理。
因乙方原因 导致发生信息安全事件的 ,乙方应及时通知甲方,并承担最高与合同费用等额的违约金;如因乙方泄密给第三人或使用商业秘密造成甲方公司经济损失,乙方进行赔偿,其赔偿数不少于甲方公司的损失,并甲方有权追究有关人员及单位的法律责任。
本协议自主合同签订之日起生效,除非甲方自行公布本项目合同所涉及的保密信息外,乙方的保密责任不因本项目合同的终止而终止。
本协议有效期限: 永久
附件三
广州白云国际机场廉洁协议
为保障双方在业务来往中的合法权益,降低交易成本,提高工作效率,保障各自经济利益,保持廉洁自律,促进廉洁从业,防止各种违法及不正当行为的发生,预防商业贿赂和不正当竞争,甲、乙双方就合作过程中员工职业操守等事宜订立本协议。
1. 本协议适用范围
甲乙双方一致确认,本协议效力适用于甲方与乙方(含分支机构等关联机构)的所有业务合作往来的全过程,包括但不限于招投标、网上竞价、综合评审、竞争性谈判、单一来源采购、直接采购等物资、服务采购环节及合同签订、履行环节等。
2. 本协议期限
本协议期限与主合同保持一致。
3. 双方职责
3.1 甲、乙双方应当自觉遵守国家关于廉洁从业的各项规定。双方应对各自工作人员开展廉洁教育,增强相关人员廉洁自律的意识。双方人员的业务活动应坚持公开、公平、公正的原则,不得损害国家和企业利益。
3.2 合同一方及其工作人员应当保持与合同相对方及其工作人员的正常业务交往,不得向对方工作人员及其亲属有以下任何一项行为:
3.2.1 支付回扣等好处费;
3.2.2 支付礼金、有价证券或贵重物品,或报销任何应由个人支付的费用;
3.2.3 为对方工作人员购置或者提供通讯工具、交通工具、家电、高档办公用品等物品;
3.2.4 邀请对方工作人员参加可能对其公正执行职务有影响的宴请、旅游或其它娱乐活动;
3.2.5 为对方工作人员提供住房装修、婚丧嫁娶、家属的工作安排或出国(出境)等提供方便或财物支持;
3.2.6 与对方工作人员就双方合作内容涉及的权利义务变更等进行私下商谈或者达成默契;
3.2.7 其它可能对对方工作人员公正执行职务有影响的不当行为。
3.3 合同一方及其工作人员在履约过程中应当廉洁自律,不得向对方的客户索取和收受财物、有价证券或其他好处。
3.4 乙方如发现甲方工作人员违反协议,收受对方好处或有其它不当行为的,应向甲方指定纪检监察部门举报。接受举报一方不得以任何借口对举报方进行报复。
甲方指定纪检监察部门接受举报的电话或邮箱: 。
4. 违约责任
4.1 协议中任何一方因不履行本协议下约定内容导致的一切后果,应自行承担。
4.2 乙方存在违反廉洁协议约定情形的,甲方有权扣除乙方履约保证金 20% 作为廉洁违约金。符合合同继续履行条件的,乙方须在 7 个工作日内补足履约保证金。情节严重的,甲方有权单方面免责解除合同,并将乙方列入白云机场不予合作对象名单,保留追溯乙方非法获利、赔偿甲方损失的权利。
5. 其他事项
5.1 本廉洁协议作为甲方招标、采购文件的一部分,与主合同具有同等法律效力。
5.2 本廉洁协议一式五份,甲方执三份,乙方执二份。
甲方:(盖章) 乙方: (盖章)
法定代表人(代理人):(签字) 法定代表人(代理人):(签字)
联系电话: 联系电话:
年 月 日 年 月 日
附件四:绩效考核表
| 序号 | 评价维度 | 评价标准 | 分值范围 | 描述 | 得分 | 备注 |
| 1 | 技术能力 | 成功发现识别全部高、中、低危漏洞 | 0-30 | 评估对不同等级漏洞的发现与利用能力 |
|
|
| 2 | 服务质量 | 报告的准确性、及时性和详细程度 | 0-10 | 检查报告是否清晰、准确且按时提交 |
|
|
| 3 | 安全性 | 遵守安全操作规程,无数据泄露 | 0-10 | 确保测试过程中不影响生产环境,不泄露敏感信息 |
|
|
| 4 | 客户服务 | 响应速度和问题解决能力 | 0-10 | 基于反馈时间、沟通效率和问题处理能力进行评价 |
|
|
| 5 | 创新性 | 发现新的漏洞或提出新的解决方案 | 0-10 | 鼓励创新思维,寻找新的安全威胁和解决方案 |
|
|
| 6 | 团队协作 | 团队成员之间的沟通和协作能力 | 0-10 | 评价团队成员之间协作的流畅度和效率 |
|
|
| 7 | 持续改进 | 学习新技术、跟进行业动态和优化服务流程 | 0-10 | 鼓励持续学习和改进,以保持服务的最新状态 |
|
|
| 8 | 安全检测项总分 | 安全检测项中涉及的漏洞均有进行检测,形成报告 | 0-10 | 需求书中的安全检测项检测的实施情况 |
|
|
|
| 考核总分 |
|
| |||
文章推荐:
更多商机查看,下载保标APP
扫码关注小程序,获取商机更容易
