【招标公告】兴业银行2024-2025年全网互联网系统渗透测试服务项目（安全厂商）供应商征集公告

兴业银行2024-2025年全网互联网系统渗透测试服务项目（安全厂商）供应商征集公告根据我行全网互联网系统渗透测试工作需要，我行拟开展2024-2025年全网互联网系统渗透测试服务项目，现公开对该项目进行供应商征集，有关事宜公告如下：一、采购需求及资格要求1.1.<采购需求为及时发现并修复本行潜在的网络和信息系统安全漏洞，全面提升本行信息系统自身安全水平，本期项目拟引入3家安全专业机构的全网互联网系统渗透测试服务，服务内容包括为本行提供全网互联网系统的渗透测试和复测服务，负责核实漏洞的真实性，并按本行要求填写漏洞跟踪表、漏洞初测报告及复测报告；测试范围包括但不限于Web应用、移动客户端（包括安卓和IOS平台）、小程序、公众号、接口程序等。项目合同期为2年（以合同签订日起算）。（一）可用性、机密性、完整性要求1.1.1.<投标人需对渗透测试期间本项目所有的流量数据、VPN登录数据进行备份，并提交至我行。1.1.2.<投标人应拥有审计平台，并对渗透测试过程进行全过程审计监控，测试过程中出现由渗透测试导致的安全事件，应立即启动应急响应，及时暂停和阻断测试行为，并通过流量对行为进行回溯。测试完成后，提交正式审计报告。报告内容不限于以下内容：(1)<审计测试人员行为，包括撞库、拖库、批量操作、木马上传、扫描器扫描等危险行为；(2)<漏洞与流量的对比分析，保证所有已发现漏洞均已提交；(3)<漏洞与流量的对比分析，保证所有漏洞通过VPN接入测试发现；(4)<测试过程统计分析，包括测试时长、测试流量、测试目标范围等；1.1.3.<在渗透测试过程中，测试人员完成漏洞验证后，不应继续深入利用该漏洞，如因验证漏洞行为对业务、应用、系统造成影响或潜在影响的，需向我行说明具体情况以及受影响范围和程度。1.1.4.<投标人应采取有效管理或技术手段确保测试人员所用安全检测工具和测试方法的安全性，并确保测试不得影响我行系统和网络的正常运行，禁止执行有可能导致目标网络、主机、设备瘫痪的大流量、大规模扫描。1.1.5.<如在渗透测试过程中，我行被测试系统发生异常，投标人应采取措施立即停止有关测试，并配合我行人员分析现状、确定原因、恢复系统。同时采取必要的预防措施，调整测试策略，经我行同意后方可继续进行测试。1.1.6.<验证漏洞需获取数据信息的，仅验证性获取数据结构信息或最多5条数据，不应批量获取和留存相关数据信息。1.1.7.<验证漏洞需获取应用、系统高级别权限的，仅验证性获取应用角色、系统环境属性，不应再获取应用数据、系统文件，不应执行任何增、删、改等操作。1.1.8.<验证漏洞需上传文件的，在获得验证性漏洞证明后，不应在系统留存具有控制性目的的程序、代码、文件。1.1.9.<不得利用平台漏洞，进行任何可能对我行互联网或移动网络正常运转造成不利影响的行为。1.1.10.<投标人应采取适当措施，避免因使用不当的工具，将病毒和木马引入我行网络或系统，禁止执行可导致本地、远程拒绝服务危害的技术验证用例。1.1.11.<禁止执行有可能产生经济财产损失的技术验证用例。（二）服务要求1.1.12.<本次项目要求投标人为我行提供全网互联网系统的渗透测试服务，根据我行提供的系统清单进行渗透测试，测试范围包括但不限于Web应用、移动客户端（包括安卓和IOS平台）、小程序、公众号、接口程序等，我行提供具体渗透测试基准项，投标人应根据自身情况和擅长领域，对测试基准项进行扩展和完善，并在实施中应用。1.1.13.<投标人应为我行全网互联网系统提供渗透测试和复测服务（包括远程渗透测试、移动客户端安全检测等），负责核实漏洞的真实性，并按我行要求填写漏洞跟踪表、漏洞初测报告及复测报告；对于部分远程无法完成渗透的系统，需在现场仿真测试环境完成渗透。1.1.14.<对于重要系统，投标人需采取人员交叉测试（2人或3人）的渗透测试方式；对于特别关键的系统，投标人需采取更细粒度的全量测试方式进行全面渗透，并出具详细渗透测试报告。1.1.15.<投标人仅能使用经我行授权的VPN出口的IP进行漏洞挖掘，使用非授权、报备IP的渗透行为都会被视为攻击行为。1.1.16.<投标人需确保所提交证明材料的真实性，包括但不限于投标人服务资质、本次项目成员清单表、成员简历（各类专业证书、渗透测试经验年限等）、投标人在国内外赛事的获奖情况、投标人在平台上提交的漏洞情况及投标人的合作案例等。1.1.17.<在开展渗透测试过程中，投标人需通过技术、管理等手段控制项目风险，保障项目不发生风险事件。1.1.18.<投标人应向我行提供所属平台或舆情监测渠道发现的我行漏洞信息，协助我行获取安全漏洞详情，核实漏洞真实性，评估漏洞危害程度，必要时协助我行对受影响系统进行排查和验证。1.1.19.<针对合同期内新出现的紧急安全漏洞，及时向我行提供漏洞信息报告，其中应包括影响范围、严重性评估、排查方法和修复方案等内容，为我行提供漏洞排查和修复的技术支持服务。1.1.20.<投标人按我行要求，在服务期内提供渗透测试服务有关技术支持，包括现场服务、远程支持，协助我行解决各类相关技术问题。1.1.21.<在漏洞提交或我行进行响应处置期间，不应再次通过生产网络直接验证漏洞，或获取相关数据。1.1.22.<投标人应对渗透测试结果整体情况进行阶段性总结和分析，并出具项目分析报告。1.1.23.<在我行内部开展的渗透测试，应确保部署于我行内部的渗透测试工具的安全性，同时还应避免工具出现版权纠纷。（三）人员资质要求1.1.24.<投标人需确保本次项目成员数量至少为10人规模，并优先安排具有3年以上渗透测试经验的人员参与本次项目。1.1.25.<项目经理需具备PMP、CISSP、CISP、CISAW、CISA等证书中的一项或几项。1.1.26.<服务期间，如项目人员无法满足本行需求，本行可随时提出更换项目人员，投标人应按照要求在三个工作日内调换。1.2.<供应商资质要求1.2.1.<企业实缴资本在100万元（含）及以上，财务稳健，可稳定提供服务。1.2.2.<企业具备ISO27001认证、中国信息安全认证中心（应急处理）、中国信息安全认证中心（风险评估）、信息安全服务资质证书（安全工程类）等证书中的一项或几项。1.2.3.<企业具有参加2019-2023年国内网络安全赛事（强网杯、网鼎杯、天府杯）、国际网络安全赛事（Defcon、Pwn2Own）的经验。1.2.4.<企业具有银行业互联网系统渗透测试服务项目经验，2019-2023年与银行（国有六大行、12家全国性股份制银行）合作开展的成功案例不少于2个。二、报名要求2.1在兴业银行开立对公账户，若中标本项目，则通过兴业银行对公账户结算该项目相关费用。2.2充分理解我行服务需求并能够根据需求提供相应的服务。2.3应具有良好的商业信誉和健全的财务会计制度。2.4未被“信用中国”网列入“重大税收违法案件当事人名单”、未被“中国执行信息公开网”列入“失信被执行人名单”、未被“中国政府采购网”列入“政府采购严重违法失信行为信息记录名单”、未被“国家企业信用信息公示系统”列入网站“严重违法失信企业名单”、在参加本次采购活动前3年内未出现重大违法违规行为，近三年在我行无不良行为记录，不在兴业银行供应商禁用/退出期内。三、征集时间<<<<本次供应商征集自即日起至2024年4月15日23:59止。四、报名方式采购部门联系人：向先生，联系电话：***，联系时间：工作日8：30-12：00，14：30-18：00(其他时间请勿打扰)。 若有意向请将供应商资料于征集截止时间前提交至gysxyfwt@cib.com.cn邮箱。报名注意事项：1. 提交的供应商资料内容包括如下三项： 材料1：《2024-2025年全网互联网系统渗透测试服务项目(安全厂商)》供应商征集反馈材料-公司名称（全称）材料2：2024-2025年全网互联网系统渗透测试服务项目(安全厂商)信息收集表材料3：供应商准入信息导入模板以上三项材料填报模板详见附件，提交材料无需加盖公司盖章。2.提交资料所发送的邮件名称如下：《2024-2025年全网互联网系统渗透测试服务项目(安全厂商)》供应商征集反馈材料-公司名称（全称）。请仅发送一封邮件，拆分发送多封邮件视为无效应答。3.提交供应商资料大小不超过15M。（提交的邮件附件总大小超过15M自动拦截视为无效应答，附件请勿通过第三方邮箱转存附件）五、注意事项<<<<1.能够完全满足我行采购需求、有合作意向、无不良行为记录的供应商均可报名。2.本次市场调研不代表采购邀请或意向，仅为调研市场情况发起。经审查符合条件者，我行将会主动联系报名者；不符合条件者，将不会联系报名者，材料予以保密。<<<<3.本次市场调研不收取供应商的任何费用。<<<<4.供应商须对报名信息和资料的真实性负责。如提供虚假材料，将取消报名资格并列入我行供应商黑名单。5.对于上述事项存在疑问的，请及时与我行联系。