华东疗养院“互联网+影像”系统信息安全渗透测试招标选择供应商公告

正文内容

(公告变更) *****根据业务和信息安全需要，需对我院“互联网+影像”系统进行信息安全渗透测试，欢迎符合条件的经销单位积极参与。因有人员质疑中标标准,经过院内商议，由原先的最低价中标法变更为综合评分法。供应商投标截止日期为****年*月**日**:**，投标书请密封并加盖企业公章在投标截止日期前后于送达（或寄送）*****信息科，逾期投标文件无效。咨询电话：****-********，********，院纪委监督电话：****-******** / ********。 一、招标内容： *.采购服务内容 本次拟通过公开招标方式确定供应商，对我院“互联网+影像”系统进行信息安全渗透测试。渗透测试范围：“互联网+影像”应用系统、虚拟机平台管理系统、提供互联网服务的IP及端口、相关系统的计算环境等。 *.服务要求 根据检测结果，根据问题点、问题成因、问题路径、问题截图、潜在攻击方式、漏洞类型、漏洞名称、安全风险等级等进行展现。在问题截图中，通过测试截图的方式对测试产生的漏洞点进行完整体现。 项目验收交付时，需提供详细的测评报告，并对我院全体职工提供信息安全意识培训服务一次。 对于检测到的漏洞，漏洞类型、漏洞名称、安全风险等级需按照以下标准进行详细分类： 漏洞类型 漏洞名称 安全风险等级 注入类 SQL注入 高 命令注入 高 远程代码执行 高 跨站类 存储型XSS 高 反射型XSS 中 DOM型XSS 中 CSRF跨站 中 SSRF服务器端请求伪造 中 信息泄漏类 敏感信息泄露 高 敏感信息未模糊化 高 不安全的密码存储 中 后台管理界面外网暴露 中 js文件敏感信息泄露 高 密码不应返回前端 中 内部IP地址泄露 中 WEB.XML配置文件泄露 高 WEB框架和版本信息泄露 中 目录遍历 高 服务器路径泄露 中 任意文件上传/下载漏洞 任意文件上传 高 任意文件下载/读取 高 任意文件删除 高 本地文件包含 高 远程文件包含 高 不安全的数据传输 启用不安全的HTTP方法 中 敏感信息明文传输 高 敏感数据GET传输 中 脆弱的加密方式 中 逻辑权限 垂直越权访问 高 水平越权访问 高 未授权访问 高 不安全的直接对象引用 高 用户密码重置漏洞 高 支付漏洞 高 未验证的URL跳转 中 安全功能设计不健全 短信轰炸 高 短信验证码重复利用 高 短信验证码未绑定 高 图形验证码返回到前端 中 短信验证码返回到前端 高 短信验证码可爆破 高 登录认证可被绕过 高 短信内容可控 中 邮件验证码安全 中 验证码可识别 中 验证码长度可控 中 无图形验证码功能 中 验证码机制过于简单 中 前端可控的验证码生成机制 中 图形验证码机制可以被绕过 中 短信验证码机制可以被绕过 高 验证码可重复利用 中 更改密码时不需要输入原密码 中 任意密码更改 中 弱口令 高 不安全的配置 反序列化漏洞 高 Robots文件配置 中 登录信息直接写入cookie 中 cookie属性安全 中 cookie可猜测 中 *.服务期限：*个月内完成渗透测试工作并出具测试报告，具体渗透测试时间由*****拟定。 *.预算金额：*.*万元(超出预算投标无效)。 *.付款方式：进行全面测试，出具完整的测试报告后，由*****出具验收报告，由***财政进行统一支付，支付时间以财政统一时间为准。 二、投标人必须具备的条件： *.投标人必须是独立承担民事责任的法人。 *.投标人必须遵纪守法、合法经营、依法纳税、财务状况良好。 *.投标人必须具有完善的售后服务和技术保障，重服务守信用（提供证明材料）。 *.投标人必须无重大合同纠纷、重大诉讼及其他任何不良记录，具有良好的履约能力和诚信记录。 三、投标要求： *.投标文件需提供营业执照、组织机构代码证、税务登记证等材料（均为复印件并加盖企业公章），公司法人身份证复印件（正反面），法人授权书（法人亲自投标无需提供），投标代表人身份证复印件（法人亲自投标无需提供）。 *.投标文件中必须提供详细的渗透测试服务方案，无渗透测试方案视作无效投标。 *.投标人提供书面投标文件*份（正副各一），投标文件须密封并加盖单位公章。 四、确定中标单位标准 本次评标采用综合评分法，得分最高者中标 *、投标文件响应程度（**分） （*）投标方案是否能满足招标文件的要求（*分）； （*）是否提供详细合理的测试服务方案、对招标方的实际现状是否全面、准确的了解（**分）； 评分标准：较好得**-**分；一般得*-**分；较差得*-*分。 *、项目实施能力、综合能力、开展类似项目经验（**分） （*）有成熟的项目管理流程指导项目实施过程，分析测试过程中的难点，提供应对突发情况的方案和能对测试结果提出整改建议。（**分） （*）具有****年以来类似（含信息安全咨询、风险评估）的成功案例，提供相关合同复印件（提供一份得*分，最多不超过**分）。 （*）具有信息安全相关产品和测试工具的软件著作权证书，提供相关复印件（提供一项得*分，最多不超过**分）。 *、售后服务（**分） 提供信息安全培训、咨询等服务承诺，需提供详细的培训、咨询方案和承诺书，并加盖公章。 评分标准：较好得**-**分；一般得*分-**分；较差得*分-*分。 *、报价部分（**分） 以报价最低者为基准价，计算公式：最终得分=**分*(投标价/基准价)。 附件*：投标报价一览表 供应商名称：___________________________ 单位：元（人民币） 项目名称 投标总价 交货期 *****“互联网+影像”系统信息安全渗透测试 *个月 报价总价（大写） 供应商授权代表签字： 供应商（公章）： 日期：年月日