厦门航空有限公司
“渗透测试服务”采购项目供应商招募公告
厦门航空传媒科技有限公司受厦门航空有限公司委托,拟对“渗透测试服务”项目进行采购,现邀请符合条件的供应商报名。采购项目要求如下:
一、采购项目编号:MFZB22110101
二、采购项目名称:“渗透测试服务”项目
三、采购人:厦门航空有限公司
四、代理机构:厦门航空传媒科技有限公司
五、需求概况
供应商根据厦航需求提供服务,按实际服务人天数计算费用,预估每年数量为400人天。厦航在其服务周期内考核服务质量,同时通过厦航自主渗透测试、第三方检测机构或监管部门协助确认漏洞是否充分挖掘,以结果为导向,确认服务质量。若服务质量出现偏差,将对供应商进行扣罚与追责,以确保供应商高质量的服务交付。
六、工作内容要求:
服务内容与要求:为厦航信息系统提供现场渗透测试与复测服务。根据检测结果及发现的问题,提供针对性修复意见并出具工作报告;协助对发现漏洞的厦航系统进行安全加固,并对漏洞的整改情况进行复测,提供复测报告;定期出具服务总结与分析,每年度提供服务报告,并经双方共同签字确认。
1、渗透测试周期
(1)专项渗透测试服务:重保前期、重大项目实施、其他特殊情况等提供现场服务。
(2)日常渗透测试服务:日常按厦航需求提供现场服务,处理系统上线全量测试、系统维护更新增量测试、厦航其他需求时的渗透测试。
2、渗透测试对象
渗透测试覆盖应用系统及承载服务器。应用系统包括Web应用、移动客户端(包括安卓和IOS两个平台)、小程序、接口程序、工业控制系统等。
七、服务人员要求
1、提供固定服务人员1人,备选服务人员2人的服务团队。提供人员清单及承诺函。
2、必须为原厂工程师。(提供至少3个月以上单位医保或社保缴交证明)。
3、必须有三年以上网络安全渗透测试相关工作经验。(提供可验证的书面材料予以证明)。
八、质量与安全把控要求
1、厦航制定渗透测试工作内容与计划,评估工作量,明确在规定时限内应完成的工作内容,供应商需同意厦航工作安排,按要求提供服务。每日服务结束后,供应商服务人员需提交当日工作总结,说明当日工作成果。当供应商完成本次工作任务,应提交本次工作总结,厦航将确认供应商完成情况。供应商需完成本次任务中所有工作,超出规定时限的服务时长不做费用结算。
2、如果厦航认为供应商派出的现场服务人员不能胜任工作,厦航有权要求供应商更换人员,供应商必须在下个驻场工作日内更换成符合厦航要求的人员。
3、供应商不能擅自变更或撤销现场服务人员。若有特殊情况,需提早5个工作日书面告知厦航,经厦航同意后方可调整。
4、供应商在服务过程中,应提前告知厦航可能存在的风险,并确保开展过程合法合规,涉及风险操作应提前获得厦航同意后再执行。应清除(或)如上传文件等渗透痕迹,应确保使用的渗透测试工具的安全。
5、供应商在渗透测试前应提交测试方案,包括测试手段与可能使用的测试工具,禁止可能直接影响系统稳定性的测试方法,如DDOS攻击形式。供应商在使用自动化攻击工具,如漏洞扫描软件、爬虫脚本、SQL注入脚本等工具时,需事先通知厦航,经确认后才可执行。
6、供应商必须在双方约定的测试时间范围内开展测试行为,测试过程中厦航安排人员对系统的安全运行情况进行监控,当厦航需暂停测试行为时,供应商测试人员应立即停止,并将可能产生的不良影响降至最低。
7、供应商应对测试强度进行把握与控制,如短信炸弹、重放攻击、SQL注入拖库等批量测试时,适当获取合适数量样本数据即可,切勿进行过多尝试(建议数量控制在20条以下)。
8、供应商服务人员必须是供应商的可控人员,确保渗透测试服务开始后,服务人员的行动在控制范围内。
9、供应商及其服务人员需与厦航签订相关保密及安全协议。
10、无论在本项目期限内还是终止后,供应商及其服务人员均负有保密义务。通过本项目知悉的所有保密信息只用于本项目的目的,不得用于其他任何目的。未经事先书面授权,不得以任何方式向第三方披露、转让、许可使用、交换、赠与或与任何其他第三方共同使用保密信息。
11、供应商的服务团队必须遵守国家的法律、法规,严格执行厦航的各项规章制度,服从厦航管理和调度,认真履行工作职责,努力完成厦航安排的工作任务。由于供应商人员责任而造成厦航损失的,供应商负责赔偿全部损失。
12、供应商保证将渗透测试发现的所有漏洞提交厦航,不私藏、隐瞒、泄露或透露给任何第三方,保证严格控制漏洞信息,采取所有必要方法进行保密,例如存储、处理、传递时采取有效的安全、保密措施;供应商保证不利用漏洞信息及服务时接触到的信息进行攻击或其他非法行为。如有违反上述要求,厦航有权随时单方面终止本合同并向供应商追究法律责任,由此造成的所有损失均由供应商全部承担,厦航未向供应商支付的费用不再支付,同时供应商应向厦航支付违约金,违约金金额为合同已产生金额的20%。
13、供应商保证为完成本合同所使用的一切软件、工具、知识、成果和资料以及由供应商提供的软件及服务是安全的且没有侵犯任何第三人的知识产权所有权或使用权。因供应商违反上述保证而引起第三方对厦航的任何交涉、要求、索赔或诉讼,供应商承诺和保证为厦航抗辩,采取一切措施使厦航不涉及到任何有关的纠纷当中,保护厦航利益不受损害,因上述原因导致的一切责任和费用均由供应商自行承担并应对厦航由此产生的损失(包括但不限于律师代理费、诉讼费、赔偿费、为处理纠纷所付出的合理支出及其它相关合理费用)进行赔偿。
九、违约事件及责任
1、违约事件:由于供应商过错,导致不符合合同约定条件的。
2、供应商提供的服务质量不符合合同要求的,或供应商派出的人员不能胜任工作且经补救仍不能满足厦航要求的,厦航有权解除本合同,不再支付未向供应商支付的费用,要求供应商赔偿厦航因此受到的任何实际损失并要求供应商支付合同已产生金额20%的违约金。
3、如供应商未经厦航书面同意,擅自更换或撤离服务人员的,厦航有权不再支付未向供应商支付的费用,并有权要求供应商支付合同已产生金额20%的违约金;或者厦航有权解除本合同,未向供应商支付的费用不再支付,并有权要求供应商支付合同已产生金额20%的违约金。厦航因此遭受的损失超过上述违约金数额的,供应商还应弥补厦航所受到的实际损失。
4、其他违约责任约定:厦航自主渗透测试发现或通过第三方检测机构发现或被监管部门公布厦航存在高危漏洞,但供应商在服务期间已对目标完成渗透且未发现漏洞情况,供应商需承担相应的责任,厦航有权根据暴露的问题数量向供应商进行扣款并终止合同。每个高危漏洞,扣款人民币2万元,如厦航因此遭受的实际损失超过上述扣款总金额的,供应商还应弥补厦航所受到的实际损失。
5、高危漏洞列表如下:
1 | 直接获取系统权限的漏洞。包括但不限于命令执行、代码执行、获取Webshell、SQL注入获取系统权限、缓冲区溢出。 |
2 | 导致业务拒绝服务的漏洞。包括但不限于利用漏洞或业务逻辑漏洞直接导致系统业务不可用。 |
3 | 严重的信息泄露漏洞。包括但不限于数据库的SQL注入漏洞,用户账户支付相关信息泄露漏洞,核心功能的源代码泄露(含算法,重要业务逻辑等)漏洞,用户隐私信息泄露漏洞,服务器敏感信息的日志文件下载等。 |
4 | 生产业务系统严重的逻辑设计缺陷。包括但不限于账户、支付方面的安全问题,如任意账号登录、任意账号密码修改、任意账号资金消费、支付交易方面的严重问题。 |
5 | 越权敏感操作漏洞。包括但不限于账号越权修改重要信息、进行订单普通操作、重要业务配置修改、绕过认证访问管理后台、后台登录弱口令、修改任意用户密码等较为重要的越权行为。 |
6 | URL跳转漏洞。 |
7 | 可直接导致对公宣传展示内容被篡改的其他漏洞。 |
8 | 大范围影响用户信息或资金方面的其他漏洞。 |
十、安全责任要求
需与厦航签订《信息安全保密协议书》《网络安全协议》。
十一、.其他要求:
未经授权,供应商不得以厦航名义开展任何活动。
十二、报名供应商资质要求
1.具有法人资格或者具有独立承担民事责任的能力;
2.未被工商行政管理机关在全国企业公示系统中列入严重违法失信企业名单;
3.未被最高人民法院在“信用中国”网站(
步骤二:邮件发送后立即登录厦门航空采购平台(网址 提供资料不全、不清晰、不符合要求、在厦门航空采购平台上未在规定时间内注册成功的或无法提供上述材料的有权不予审核。
2. 申请人必须保证上报材料的真实性,采购人或采购代理机构将保留核查(包括现场核查)的权力,对于弄虚作假的行为,采购人根据相关法律法规有权对申请报名的单位做如下处罚:
2.1取消其申请报名资格、取消其作为潜在供应商或报价资格;
2.2列入厦航《供应商黑名单》。
3.采购代理机构有权拒绝向资质不佳的供应商发出谈判邀请。
十六、项目联系方式
项目经办人:胡小姐
联系电话:0592-5739897
邮箱:huyan5@
十七、采购监督反馈联系方式
电话:0592-2175100 邮箱:cgjd@。
十八、本采购公告的解释权归厦门航空传媒科技有限公司。
特此公告。
附件1:厦门航空采购平台供应商注册公告
附件2:供应商注册授权书
附件3:供应商端操作手册
附件4:供应商基本情况
(附件下载地址:厦门航空有限公司官网>>采购公告)
厦门航空传媒科技有限公司
2022年11月1日
附件1:厦门航空采购平台供应商注册公告.docx
附件2:供应商注册授权书.doc
附件4:供应商基本情况(公告模板增加附件,按需).docx
附件3:供应商端操作手册.docx
更多
1
