项目具体需求 样本条款

项目具体需求. 本项目主要包括渗透测试、代码审计、病毒木马检测、AWD 技能培训四大服务内容，具体服务需求如下： 1. 互联网应用渗透测试 在服务周期内，对指定的 10 个及以上的互联网应用系统进行渗透测试服务。渗透测试工作开展前，服务提供商需根据采购人实际情况制定渗透测试方案，由采购人签署测试允许授权后，对采购人指定系统进行非破坏性的渗透测试。具体要求如下： 由具备渗透测试专业认证资质的技术人员，通过模拟黑客攻击的方式，对指定的业务系统进行一次渗透测试，针对渗透测试发现的问题出具并交付《XX 系统渗透测试报告》。对渗透测试结果提出修复意见，协助采购人和系统开发单位进行整改，在实施完针对性的优化加固服务之后，还需要针对主要业务再做一次渗透测试，主要目的为验证加固和优化服务的有效性，出具并交付《XX 系统加固后复查验证报告》。 渗透测试需要由专业的安全人员依据标准对目标系统进行测试，渗透测试的内容包括但不仅限于以下内容： 分类 测试内容 说明 配置管理 应用管理界面 检查是否对外开放了应用管理界面 HTTP 方法 检查是否开放了不安全的HTTP 方法 测试、备份文件 检查是否存在测试、备份文件 认证测试 认证绕过 检查是否可以绕过认证模式 分类 测试内容 说明 注销测试 检查注销后，session 是否销毁 授权测试 越权访问 检查是否存在水平越权和垂直越权 业务逻辑 检查业务逻辑是否存在漏洞 数据验证 SQL 注入 检查是否存在 SQL 注入漏洞 跨站脚本 检查是否存在XSS 漏洞 URL 跳转 检查是否存在URL 跳转漏洞 其他注入 检查是否存在XPATH 注入、XML 注入等漏洞 会话测试 Cookie 安全 检查 cookie 的属性 其他 其他 检查是否存在框架等其他漏洞 针对经过渗透测试的互联网应用提供 7×24 小时安全监测服务，主要监测以下内容： （1） 安全事件监测：深度探测应用系统页面，并主动发现敏感词与恶意站内外链接，以及应用系统劫持等安全威胁实时监测，发现敏感关键词，配合人工验证威胁并向用户推送告警信息。

项目具体需求. 1、 本采购需求中提出的服务方案仅为参考，如无明确限制，投标供应商可以进行优化，提供满足采购人实际需要的更优（或者性能实质上不低于的）服务方案或者设备配置，且此方案或配置须经评标委员会评审认可； 2、 设备技术参数在能够满足采购人使用的情况下允许偏离，但供应商应在投标文件中提出偏离说明，供评标委员会评审，否则可能会被视为不完全响应； 3、 投标供应商需自行勘察项目现场，了解项目需求，如投标供应商因未及时勘察现场而导致的报价缺项漏项废标、或中标后无法实施完成，投标供应商自行承担一切后果； 4、 如对本采购文件有任何疑问或澄清要求，请联系项目采购人，否则视同理解和接受，开标后不再受理采购文件的质疑。

项目具体需求