泉州市住房和城乡建设局关于信息系统网络安全漏洞扫描与渗透测试服务类采购询价公告

　　按有关文件要求，泉州市住房和城乡建设局采用询价招标的采购方式组织本次信息系统网络安全漏洞扫描与渗透测试服务类采购，现邀请合格的服务商参与报价。 

　　一、采购内容 

　　（一）采购服务名称 

　　泉州市住建局信息系统网络安全漏洞扫描与渗透攻击检测服务类采购。 

　　（二）采购服务内容 

　　对“存量房系统、预售资金监管系统、住房租赁管理系统、商品房认筹销售监管系统、商品房网签合同备案申请系统、商品房资金监管系统”等业务信息系统进行网络安全漏洞扫描及渗透测试。 

　　1.网络安全漏洞扫描主要包括如下几个方面： 

　　（1）操作系统层漏洞识别 

　　操作系统（包括Windows、AIX和Linux、HPUX、Solaris、VMware等）的系统补丁、漏洞、病毒等各类异常缺陷。  

　　空/弱口令系统帐户检测，例如：身份认证：通过telnet进行口令猜测。 

　　访问控制：注册表 HKEY_LOCAL_MACHINE 普通用户可写，远程主机允许匿名FTP登录，ftp服务器存在匿名可写目录。 

　　系统漏洞：System V系统Login远程缓冲区溢出漏洞，Microsoft Windows Locator服务远程缓冲区溢出漏洞。 

　　安全配置问题：部分SMB用户存在薄弱口令，试图使用rsh登录进入远程系统。 

　　（2）应用层漏洞识别 

　　应用程序（包括但不限于数据库Oracle、DB2、MS SQL，Web服务，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等）缺失补丁或版本漏洞检测。 

　　空弱口令应用帐户检测。 

　　数据库软件：Oracle tnslsnr没有设置口令，Microsoft SQL Server 2000 Resolution服务多个安全漏洞。 

　　Web服务器：Apache Mod_SSL/Apache-SSL远程缓冲区溢出漏洞，Microsoft IIS 5.0 .printer ISAPI远程缓冲区溢出，Sun ONE/iPlanet Web服务程序分块编码传输漏洞。 

　　2.渗透测试服务内容 

　　（1）评估目标系统的基本特征信息（如系统名称、版本、管理入口、网络指纹等）是否可以被远程探测和获取； 

　　（2）评估目标系统是否存在注入攻击漏洞（如SQL注入、命令注入、LDAP注入、JSON注入、Cookie注入、SSI注入、XML注入、XPath注入等），评估攻击者是否可以非法读取、篡改、添加、删除未授权数据； 

　　（3）评估目标系统是否存在跨站脚本攻击（XSS）漏洞（如存储式跨站攻击、反射型跨站脚本攻击、基于DOM的XSS攻击、Flash跨站脚本等），评估攻击者是否可以窃取用户会话、窃取敏感信息、重写Web页面、重定向到恶意网站等； 

　　（4）评估目标系统的相关安全认证及会话管理是否存在漏洞，评估攻击者是否可以窃取到密码、密钥、会话授权、用户身份等； 

　　（5）评估目标系统是否存在对不安全对象的直接引用，评估攻击者是否可以利用引用对象访问未授权的数据；  

　　（6）评估目标系统是否存在安全配置错误威胁（如应用程序、系统框架、应用程序服务、页面服务、数据库服务、运行平台等配置是否安全合理）； 

　　（7）评估目标系统加密存储方面是否存在不安全因素（如应用程序是否利用适当的加密或者散列手段来妥善保护信用卡、身份验证信息等），评估攻击者是否可以窃取或者非法修改这些受保护的敏感数据； 

　　（8）评估目标系统是否限制访问者的URL，评估攻击者是否可以通过伪造URL的方式随意访问隐藏页面； 

　　（9）评估目标系统是否存在缓冲区溢出漏洞，评估攻击者是否可以利用缓冲区溢出漏洞进行非法授权访问、获取权限、破坏可用性（如导致程序运行失败、系统关机、重新启动等）等威胁操作； 

　　（10）评估目标系统是否存在业务逻辑层面缺陷； 

　　（11）评估目标系统是对未经验证的访问请求重新指向或转发至其它页面是否有正确的验证机制，评估攻击者是否可以将访问请求指向到钓鱼类或者其它恶意网站等未经授权的页面。 

　　二、报价要求 

　　（一）符合《中华人民共和国政府采购法》第二十二条、《中华人民共和国政府采购法实施条例》第十九条第二款规定条件。 

　　（二）报价人应是境内具有独立法人资格，并持有工商行政部门颁发的有效营业执照。 

　　（三）具有良好的商业信誉，在近三年内的经营活动中没有重大违法记录，未被列入“信用中国”网站的“失信被执行人”和“重大税收违法案件当事人名单”。 

　　（四）服务过程中投标人采用的安全服务工具支持威胁情报分析，工具支持一定的阻断功能，支持旁路阻断：≥99%，提供第三方检测机构（需通过CMA或CNAS认证）出具的检测报告。威胁情报分析工具可根据现有资产信息，开展威胁情报分析工作，可接入多家威胁情报数据包括公安部门、互联网公司、安全公司威胁情报，提供证明材料，并提供威胁情报分析报告模板。 　　  

　　（五）法定代表人为同一个人的两个或两个以上法人，只能一家参加报价。 

　　（六）服务报价应小于人民币4万元整。 

　　（七）中标公司（单位)应签订保密协议及承诺书。 

　　三、报价须知 

　　（一）响应文件包括：1.法定代表人授权书（原件）、企业法人营业执照（副本）复印件，复印件需加盖报价人公章，并注明复印件与原件一致；2.团队成员名单；3. 测试时间安排；4.服务总价及明细。 

　　（二）本次询价以最低价确定成交服务商。 

　　（三）签订合同、服务成果交付时间。 

　　签订合同：在通知成交后，2个工作日内签订合同。 

　　服务成果交付时间：合同签订后5个工作日内完成我局上述信息系统漏扫及渗透测试工作，将结果报告交付市住建局。 

　　（四）无论报价过程中的做法和结果如何，报价人自行承担所有参与报价的全部有关费用。 

　　四、输出成果 

　　针对网络安全进行威胁性、脆弱性分析，根据检测结果对存在的主要安全威胁、安全漏洞和隐患进行说明，对检测分析中发现的具体安全问题进行描述，提出安全整改建议，并指导问题单位进行整改。 

　　五、标书送达时间、地点 

　　时间：2021年6月18日起至2021年6月22日(3个工作日)； 

　　地点：泉州市丰泽区东海行政中心交通科研楼A栋702室； 

　　2021年6月22日18:00前，报价人应将密封的响应文件送达，逾期送达的或不符合规定的响应文件将被拒绝。 

　　六、开标时间、地点 

　　时间：2021年6月23日10:00 

　　地点：泉州市丰泽区东海行政中心交通科研楼A栋707室。 

　　联系人：黄先生 

　　联系电话：13506925001  

　　泉州市住房和城乡建设局

2021年6月18日