关于门户网站系统漏洞扫描、渗透测试服务 比选的通知

为发现我单位网站系统内部存在的安全隐患和不足，通过安全整改，提高网站系统安全防护能力，现对该系统进行漏洞扫描、渗透测试进行服务比选采购，兹邀请符合本次采购要求的供应商前来参加比选洽谈。

一、询价内容

（一）系统名称

重庆市药物种植研究所官网系统：

https://www.cqsywyjs.com/

系统等级：二级。

（二）服务内容及要求

1. 门户网站渗透测试。

（1）渗透测试服务内容。

通过安全扫描，真实模拟黑客使用的工具、攻击方法来对用户指定业务系统进行非破坏性质的安全测试，对门户网站进行渗透测试，找出系统中存在的漏洞进行验证，提供渗透结果及截图，进行深层次漏洞挖掘并提供解决建议，并对网站和系统的安全现状、安全保护程度进行评估，为顺利完成本次项目，应具有完善的项目和质量管理体系，按照计划推动项目工作，并确保项目过程规范以及项目过程文档完整，渗透过程中，使用专业的安全分析工具（至少包含专业的主机网络安全分析、应用系统安全分析工具）对待测系统进行安全分析。

（2）服务要求

在保证我所网站系统正常运行前提下，模拟黑客攻击行为通过远程或本地方式对网站系统进行非破坏性的入侵测试，查找针对应用程序的各种漏洞，使我所掌握网站系统当前的安全状况，发现在系统复杂结构中的最脆弱链路并针对安全隐患提出解决办法，切实保证网站系统安全。

（3）供应商应在得到采购人授权后方可开始实施渗透工作。

（4）服务频率：初次测试后将结果反馈我所，经所运维服务商整改后复测。

（5）服务交付物：《渗透测试报告》

2. 服务器漏洞扫描

（1）服务器漏洞扫描服务内容。

使用系统漏洞工具对用户指定系统服务器进行漏洞扫描，测试服务器的漏洞的暴露程度。对网站的相关服务器及安全设备进行动态安全巡检，对主机操作系统、网络设备、数据库进行全面扫描检测，漏洞库需符合国际CVE标准；

检查范围包括系统相关的主机系统、应用前端。检查内容包括：系统账号、系统的账号权限划分、密码强度、访问限制、访问控制协议加密、系统漏洞扫描、恶意程序检测（病毒、木马等）、操作日志、端口开放情况、组件及服务安全状态检测。应用安全巡查包括不限于：网站木马检测、应用权限检测。

（2）服务要求

漏洞扫描参数应包含但不限于：版本漏洞、开放端口、开放服务、空/弱口令账户、安全配置等；

在项目服务周期内，协助在重大信息安全检查工作或重大网络安全安保工作中，提供远程或现场相关的技术支撑服务。包括不限于：漏洞解读，加固协助等。

（3）服务频率：初次测试后将结果反馈我所，经所运维服务商整改后复测。

（4）服务交付物：《漏洞扫描服务报告》

三、报价方式、方式及提交内容

（一）报价文件递交时间、方式

报价文件截止时间：2021年4月30日18:00前。递交方式：报价文件盖章后扫描发送至指定邮箱。

（二）供应商资质要求

1．具有独立承担民事责任的能力；

2．服务提供方必须是法人或授权代表人；

3．服务提供方具有国家公安部或网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》。

四、联系方式

（一）联系人：李老师

（二）联系方式：023-71480059；15215177177；邮箱：674855282@qq.com。

（三）地址：重庆市南川区三泉镇佛山东路34号

五、报价文件格式

见附件。

重庆市药物种植研究所网站漏洞扫描及渗透测试比选文件.pdf

（附件）重庆市药物种植研究所网站漏洞扫描及渗透测试比选报价函.docx

重庆市药物种植研究所

2021年4月28日