Contract
淮北市政府网站集约化云平台代码审计服务采购项目
竞争性磋商文件
招标人:淮北市人民政府办公室 2020 年 12 月
为贯彻落实《国务院办公厅关于印发国家政务信息化项 目建设管理办法的通知》(国办发【2019】57 号)、《国家密 码管理局关于请进一步加强国家政务信息系统密码应用与 安全性评估工作的函》要求 ,强化淮北市政府网站群平台 代码安全应用,淮北市人民政府办公室决定采用政府购买服 务的方式,委托第三方机构对网站群代码进行安全审计。该 项目采取竞争性磋商的方式,欢迎符合条件的机构报名参加。
一、项目名称及内容
1、项目:淮北市政府网站集约化云平台代码审计服务
采购
2、采购单位:淮北市人民政府办公室
3、资金来源:财政资金
4、项目预算:8 万元
5、标段(包别)划分:一个标段
6、项目内容:详见采购需求
二、报名供应商资格要求
1、符合《中华人民共和国政府采购法》第二十二条规
定;
2、本项目不接受联合体投标;
3、供应商存在以下不良信用记录情形之一的,不得推
荐为中标候选供应商,不得确定为中标供应商:
(1)供应商被人民法院列入失信被执行人的;
(2)供应商或其法定代表人或拟派项目经理(项目负责人)被人民检察院列入行贿犯罪档案的;
(3)供应商被市场监督管理部门列入企业经营异常名录的;
(4)供应商被税务部门列入重大税收违法案件当事人名单的;
(5)供应商被政府采购监管部门列入政府采购严重违法失信行为记录名单的。
三、报名及磋商文件发售时间
1. 磋商报名时间:2020 年 12 月 22 日 9:00 至 2020 年
12 月 24 日 15:00 时整。
2. 地点:淮北市公共资源交易网
3. 方式:自行下载
项目咨询电话:0561—0000000
4. 售价:免费
四、提交响应文件截止时间、方式、开标时间及地点
1. 提交响应文件截止时间:2020 年 12 月 24 日 15:00时整(以收到件或专人送达件时间点为准)。逾期提交的招标响应文件,将不予接受。
2. 方式:邮递或专人送达
3. 开标时间及地点:2020 年 12 月 24 日 15:00 时整。地点:淮北市相山区人民路 208 号市行政中心 5 楼 518 室。
五、联系方式:
采购人名称:淮北市人民政府办公室
联系人:xxx xxx 联系电话:0561—0000000
序号 | 内 容 |
1 | 项目名称:淮北市政府网站集约化云平台代码审计服务采购项目 |
2 | 采购人: 淮北市人民政府办公室 联系人: xxx xxx 联系电话: 0561—0000000 |
3 | 采购预算: 8 万元 不允许偏离的实质性要求和条件: 详见采购需求 |
4 | 报价文件递交至:淮北市相山区人民路 208 号市行政中心 5 楼 512 办公室。 报价文件递交截止时间:2020 年 12 月 24 日 15:00 时整,过时递交的拒收。 |
5 | 报价文件的份数:正本 1 份;副本 2 份,集中或分开密封包装均可。报价文件密封袋“封口处”应密封,并加盖供应商公章。 |
6 | 供应商凭以下资料递交报价文件: ①法人授权委托书原件; |
7 | 投标保证金: / 元人民币(现金),本项目不需要。 |
8 | 履约保证金: / 元人民币,本项目不需要。 |
1. 项目名称:淮北市政府网站集约化云平台代码审计服务采购项目
2. 项目投资:本项目投资约 8 万元。
3. 招标范围:详见本招标文件服务需求。
4. 投标人资质等级要求
4.1 符合《中华人民共和国政府采购法》第二十二条规
定;
4.2 本项目不接受联合体投标;
4.3 供应商存在以下不良信用记录情形之一的,不得推
荐为中标候选供应商,不得确定为中标供应商:
(1)供应商被人民法院列入失信被执行人的;
(2)供应商或其法定代表人或拟派项目经理(项目负责人)被人民检察院列入行贿犯罪档案的;
(3)供应商被市场监督管理部门列入企业经营异常名录的;
(4)供应商被税务部门列入重大税收违法案件当事人名单的;
(5)供应商被政府采购监管部门列入政府采购严重违
法失信行为记录名单的。
5. 资金来源:财政资金。
6. 标段划分:一个标段。
7. 招标方式:竞争性磋商。
8. 评标办法:综合评分法 。在满足投标要求情况下,评标小组根据投标人资质、技术方案及报价综合评定,不保证最低价中标。
二、招标文件
9. 招标文件的编制依据:根据《中华人民共和国招标投标法》、《政府采购招标投标办法》等相关法律法规和规章及部、省、市级规范性文件的规定,编制本项目招标文件。
10. 招标文件的组成
10.1 招标文件包括内容:(1)竞争性磋商公告。(2)供应商须知前附表。(3)投标须知。(4)服务需求。(5)评审办法。(6)报价文件格式。
10.2 除 10.1 内容外,招标答疑亦为招标文件的组成部分,对招标人和投标人起约束作用。
10.3 投标人同时应认真审阅招标文件中所有的事项、格式、条款和规范要求等,若投标人的报价文件没有按招标文件要求提交全部资料,或报价文件没有对招标文件做出实质性响应,其风险由投标人自行承担,并根据有关条款规定,该投标有可能被拒绝。
11. 招标文件的澄清、修改、补充、解释
11. 1 招标文件发出后,招标人可对招标文件进行必要的澄清、修改和补充,具有约束作用。
11.2 本招标文件由招标人(或其委托的代理机构)负责解释。
12. 踏勘现场。投标人自行对进行踏勘,以便投标人获取有关编制报价文件和签署合同所涉及现场的资料。投标人承担踏勘现场所发生的自身费用。
13. 报价文件的组成
13.1 报价文件包括以下内容:
13.1.1 法定代表人身份证明和本人有效身份证(或委托代理人授权委托书和委托代理人有效身份证)(格式见第五章);
13.1.2 报价函格式(格式见第五章);
13.1.3 供应商诚信承诺书(格式见第五章);
13.1.4 投标人基本情况表(格式见第五章);
13.1.5 资格证明材料(格式见第五章);
13.1.6 针对本项目服务方案;
13.1.7 企业营业执照(或三证合一的有效证件)(复印件加盖公章);
14.1 本次报价文件中只允许有一个方案,一个报价,多方案、多报价的将不被接受。
14.3 本项目最高限价为 8 万元整(¥:80000.00),高于(不含等于)最高限价的投标报价为无效标。
14.4 投标报价书格式中所有要求签字、盖章的地方,必须由规定的单位和人员签字、盖章。
15.1 报价文件:书面文件一式 3 份,正本 1 份,副本 2 份。
15.2 报价文件的正本和副本均需打印或使用不褪色的蓝、黑墨水笔书写,字迹应清晰易于辩认,并应在报价文件封面的右上角清楚地注明“正本”或“副本”。正本和副本如有不一致之处,以正本为准。
15.3 报价文件中的授权书、诚信承诺书、投标人基本情况表、报价函及报价表及资格证明材料应当在格式文本要求的相应位置签字和盖章,否则,报价文件作无效标处理。
16.1.1 报价文件应当密封装订,按磋商件规定的顺序装订在一起。
16.2 报价文件的密封:投标人应当将报价文件正本、副本密封在报价文件袋内。
16.3.1 在报价文件密封袋上应写明投标人名称、项目名称、项目编号等相关信息。
16.3.2 所有报价文件的密封袋应加盖投标人印章;否则,该报价文件将被拒绝。
17. 报价文件的提交:报价文件提交的收件人、截止时间及地点。
地 点:淮北市相山区人民路 208 号市行政中心 5 楼 512办公室
18.1 开标的时间和地点:招标人按本须知第 17 条提 交报价文件的截止时间和地点开标,并邀请所有投标人参加。
18.2 对参加开标的投标人的要求:投标人的法定代表人(或委托代理人)应当参加开标会议,投标人在开标时必须携带身份证明原件签到。只有通过资格审查的投标人才能进入下一步的开标程序。
③由投标人或其推选的代表检查报价文件的密封情况,也可以由招标人检查并公证;
④经确认无误后,由有关工作人员当众拆封,宣读投标人名称、投标报价等主要内容。
19. 无效报价文件。报价文件出现下列情形之一的,报价文件无效,招标人不予受理。
20.1 评标办法。在满足投标要求情况下,由招标人代表组成的评标小组根据投标人资质、技术方案及报价综合评定,不保证最低价中标。
①无单位盖章并无法定代表人或法定代表人授权的代理人签字或盖章的;
④因投标人原因改变或遗漏主要指标或技术要求的; 投标总报价高于(不含等于)招标人发布的投标总报价最高限价的;
x招标采购的服务合同将授予按本须知第 21 条规定所确定的中标人。
23.1 招标人与中标人将于项目公示结束并确定中标单位起 15 日内,按照招标文件和中标人的报价文件订立书面合同。招标人和中标人不得再行订立背离合同实质性内容的其他协议。
23.3 中标人如不按本投标须知第 22 条的规定与招标人订立合同,则招标人将废除授标,投标担保金不予退还,给招标人造成的损失超过投标担保数额的,还应当对超过部分予以赔偿,同时依法承担相应法律责任。
23.4 中标人应当按照合同约定履行义务,完成中标项目,不得将中标项目转让(转包)给他人。
第三章 服务需求
x项目主要对淮北市政府网站集约化云平台源代码进行安全审计,以发现网站深层安全漏洞,并指导相关开发人员修复各项问题,从而提高网站安全性。
在进行代码审计过程中需遵循下列原则。
1. 标准性原则:安全服务方案的设计与实施应依据国内或国际的相关标准进行;
2. 可控性原则:安全服务的方法和过程要在双方认可的范围之内,安全服务的进度要跟上进度表的安排,保证客户对于加固工作的可控性;
3. 整体性原则:安全服务的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;
4. 最小影响原则:安全服务工作应尽可能小的影响系统和应用的正常运行,不会对正在的运行和业务的正常提供产生显著影响;
5. 保密性原则:保密性原则是安全服务中的重要原则,它是鼓励客户实施现场安全服务的心理基础,同时也是对客户隐私权的最大尊重。对服务过程中获知的任何客户系统信
息均属秘密信息,不得泄露给第三方单位或个人,不得利用这些信息进行任何侵害客户的行为;对服务的报告提交不得扩散给未经授权的第三方单位或个人;
6. 规范性原则:必须由专业的安全服务人员依照规范的操作流程进行实施,对操作过程和现场值守要有相应的记录,提供完整的服务报告。
服务方应提前制定详细的服务方案,明确本次服务所遵循的标准、服务计划安排、使用的工具以及执行方式。
在执行代码审计过程中至少对 OWASP 相关标准标识的各类风险进行审计,并针对审计出的各项问题给出专业解决措施建议。审计项包括但不限于以下内容:
审计项 | 漏洞名称 | 审计点 |
安全机制 | 不完善的安全机制 | 是否设计实现了应用的整体防护机制,如过滤器、拦截器等安全措施 |
应用是否配置了自定义的异常页面 | ||
输入输出 | SQL 注入 | 是否存在语句拼接 |
参数是否用户可控 | ||
跨站脚本攻击 | 输出是否进行了编码 | |
是否使用了前端 JS 框架 | ||
Xpath 注入 | 是否存在 XPath 语句拼接 | |
参数是否用户可控 | ||
XML 注入 | 服务器端是否限制数据条目 | |
参数是否用户可控 | ||
XML 外部实体注入 | XML 解析是否禁止外部实体 |
参数是否用户可控 | ||
命令注入 | 拼接的参数是否用户可控 | |
CRLF 注入 | 拼接的参数是否用户可控 | |
文件包含 | 包含的文件路径是否用户可控 | |
反序列化漏洞 | 是否直接或间接地实施“java.io.Serializable”接口,通过readObject 方法解析来自于用户可控的序列化 对象数据 | |
访问控制 | 水平越权 | 是否进行鉴权操作 |
垂直越权 | 是否存在角色管理 | |
文件和资源管理 | 服务器端请求伪造 | 是否限制了请求范围 |
是否限制了请求协议 | ||
参数是否用户可控 | ||
不安全的重定向和任意页面跳转 | 是否具有客户端控制的重定向或转发 | |
是否定义了重定向的信任域名或主机列表 | ||
是否对客户端的重定向或转发请求进行检查 | ||
任意文件上传 | 是否检查了上传文件的文件类型 | |
是否限制了文件上传路径 | ||
是否对文件进行了重命名 | ||
路径遍历 | 是否判断了文件下载的权限 | |
是否判断了文件下载路径 | ||
参数是否用户可控 | ||
错误与异常处 理不当 | 错误与异常信息泄露 | 是否存在异常信息抛出 |
是否配置了全局异常页面 | ||
会话管理 | Session 安全 | 登录后是否更新了 sessionid |
是否按开发规范在用户注销时,清除 session | ||
是否存在 sessionid 泄露 | ||
Cookie 安全 | 是否设置了 Cookie 的有效时间 | |
是否设置了 Cookie 的 httponly、secure 等属性 | ||
是否在 Cookie 中保存了敏感信息 | ||
数据安全 | 用户敏感信息传输与存储 | 是否对用户敏感信息使用了加密方式存储 |
是否对密码进行了 hash 处理 | ||
输出时是否进行了脱敏 | ||
加密算法安全 | 是否使用了弱加密算法 | |
密钥是否泄露或简单易猜测 | ||
是否使用了不安全的伪随机数方法 | ||
代码安全质量 | 对象比较、异常处理、资源释放等未按照标 准操作 | 是否存在没有关闭的句柄或对象 |
环境依赖 | 不安全的第三方组件 引入 | 是否引用了存在漏洞的组件 |
业务安全 | 登录暴力破解 | 是否使用了验证码机制 |
是否设置了帐号锁定策略 | ||
验证码防护绕过 | 验证码是否一次有效性 | |
验证码是否在服务器端校验 | ||
验证码是否足够复杂,是否可使用工具自动化识 别。 | ||
短信(邮件)炸弹 | 是否限制了发送次数和发送间隔 | |
数据合法合理性校验不严格 | 重要数据是否进行了合法性校验 | |
是否判断了参数范围、参数值的合理性。 | ||
业务流程跳跃 | 是否通过前端控制业务流程 |
服务方需在中标后 30 日内完成项目全部工作,并在甲方约定的时间范围内完成阶段性工作目标。代码审计完成后服务方应制定详细代码审计报告并针对各项问题提出专业解决方案,协助完成整改。此外,为保障顺利完成各项问题整改,招标人有权要求服务方实施人员对代码审计结果进行现场培训或解读,以帮助相关人员完成问题整改。
服务交付物包括但不限于《代码审计服务实施方案》、
《代码审计安全评估报告》、《代码审计漏洞解读 PPT》。
评标分两阶段进行:初步评审和详细评审。
以下涉及初步评审及详细评审的资料须提供复印件并
加盖投标人单位公章放入报价文件(招标人提供的资料须清晰、明确、可辨认,否则评标委员会可作出不利于招标人的决定)。
一、初步评审
初步评审(含资格审查)是指评标委员会审查每一报价文件是否对招标文件提出的所有实质性要求和条件作出响应,有无显著的差异或保留。评标委员会将仅对在实质上响应招标文件要求的合格投标(有效)文件进行评估和比较。并根据以下标准对各投标人进行初步评审,有一项不符合评审标准的,作无效标处理,不进入详细评审。
初步评审表:
序 号 | 评审 项 | 评审因素 | 评审标准 |
1 | 形式评审 | 投标人名称 | 与营业执照一致。 |
法定代表人身份证明及授权委托书 | 法定代表人身份证明或授权委托书签字或盖章。 | ||
报价文件份数 | 符合招标文件要求。 | ||
2 | 资格评审 | 营业执照 | 提供有效营业执照。 |
信用要求 | 到投标截止时间,投标人不得存在以下三种情形之一 ①投标人被人民法院列入失信被执行人的; ②投标人被税务部门列入重大税收违法案件当事人名单的; ③投标人被政府采购监管部门列入政府采 购严重违法失信行为记录名单的。 |
其他要求 | 招标文件其他实质性规定。 | ||
3 | 响应性评 审 | 服务质量要求 | 应符合招标文件的要求,完全响应招标文件招标技术、服务需求。 |
二、详细评审
综合评分法
经初步评审合格的报价文件,评标委员会应当根据招标文件确定的评标办法,对其作进一步评审、比较,在最大限度地满足招标文件实质性要求前提下,按照招标文件中规定的各项因素进行详细评审,根据招标人最终得分(商务技术部分得分+招标报价部分得分)由高到低向招标人推荐不超过两名有排序的中标候选人。
评审项目 | 分值 | 评审内容及标准 | 备注 |
1、技术服务方案设计(20 分) | |||
评委会根据投标供应商针对安全服务需求提出详细的服务流程 | |||
说明。主要包括网站代码审计内容进行综合评审,技术方案中 | |||
对各项服务的内容、服务流程等进行详细介绍、有详细的工作 | |||
方法和思路的说明。 | |||
方案优秀得 14-20 分,良好得 8-12 分,一般得 2-6 分,不 | |||
技术分 (85 分) | 技术服务水平(75 分) | 提供不得分。 2、服务工具的先进性与应用广泛性(20 分) (1)所投服务厂商具有自主研发的威胁情报工具,且情报系统 | |
兼容国家信息安全漏洞库标准,同时具备得 10 分,部分满足得 | |||
4 分,不满足不得分,须提供相关的证明材料及兼容性认证证书; | |||
(2)所投服务厂商具有自主研发的安全评估服务工具,工具需 | |||
同时具备源代码审计和漏洞评估能力,需提供产品相关功能截 | |||
图及产品需具有网络关键设备和网络安全专用产品安全认证证 | |||
书和 IPv6 ReadyLogo 认证证书;同时具备得 10 分;部分满足 |
得 4 分;不满足不得分。 | |||
注:提供相关证书扫描件或影印件 | |||
3、投标服务商实力(35 分) | |||
(1)所投服务厂商获得由中国网络安全审查技术与认证中心 | |||
(原中国信息安全认证中心)颁发的信息系统安全运维一级服 | |||
务资质的,得 7 分;二级的,得 4 分;三级的,得 1 分。 | |||
(2)所投服务厂商获得中国信息安全测评中心颁发的服务资质 | |||
-安全工程类三级的,得 7 分;二级的,得 4 分;一级的,得 1 | |||
分。 | |||
( 3 ) 所投服务厂商具有微软 MAPP ( Microsoft Active | |||
Protections Program)项目合作伙伴的,提供官网链接及截图, | |||
满足得 7 分;不满足不得分。 | |||
(4)所投服务厂商是中国云安全联盟 CSA 理事单位的,得 7 | |||
分;会员单位的,得 4 分;其他的,不得分。 | |||
(5)所投服务厂商获得中国信息安全测评中心颁发的国家信息 | |||
安全测评信息安全服务资质证书-安全开发类二级的,得 7 分, | |||
一级的,得 4 分。 | |||
注:投标文件中提供证书扫描件或影印件 | |||
1、投标供应商资质(5 分) | |||
投标供应商同时具有经中国国家认证认可监督管理委员会认证 | |||
机构颁发的有效的 ISO9001 质量管理体系认证证书、ISO14001 | |||
环境管理体系认证证书、OHSAS18001 职业健康安全管理体系认 | |||
证证书的得 5 分,缺一项不得分。 | |||
注:投标文件中提供有效期内的证书扫描件或影印件 | |||
履约能力 (10 分) | 2、投标服务厂商人员资质(5 分) 为保证代码审计服务质量,要求组建专业项目组,且项目经理必须由具有专业代码审计工作经验者担任,资历要求: | ||
(1)本科及以上学位证书; | |||
(2)CIW 中国网络安全认证讲师; | |||
(3)信息系统高级项目管理师; | |||
(4)ISCCC 信息安全保障人员认证证书; | |||
同时具备以上证书的,得 5 分;满足三项的,得 3 分;其余的, | |||
不得分。 | |||
小型和微 | 价格标经评审满足本文件要求且在预算范围内的投标人的总报 | ||
型企业提 | 价中,最低价格为评标基准价格,得满分;其他投标人的价格 | ||
供本企业 | 分统一按照下列公式计算: | ||
商务分 (15 分) | 制造的货 物价格给予 6 % 的 | 磋商报价得分=(评标基准价/最后磋商报价)× 价格分分值 (取小数点后两位)。 | |
扣除,用 | |||
扣除后的 | |||
价格参与 |
评审。 |
采购人:
供应商: (盖单位章)
法定代表人: (签字或盖章)
供应商名称: 单位性质: 地址:
成立时间: 年 月 日经营期限:
姓名: 性别: 年龄: 职务:系 (供应商名称)的法定代表人。
特此证明。
附:法定代表人身份证复印件。(正反面)
供应商: (盖单位章)
年 月 日
授权委托书
本人 (姓名)系 (供应商名称)的法定代表人,现委托 (姓名)为我方代理人。代理人根据授权, 以我方名义签署、澄清、递交、撤回、修改
(项目名称)响应文件、签订合同和处理有关事宜,其法律后果由我方承担。
本授权书自出具之日起生效。代理人无转委托权。
附法定代表人和授权委托人身份证正反面。
供应商: (盖单位章)法定代表人: (签字或盖章)
身份证号码: 委托代理人: (签字或盖章)身份证号码:
年 月 日
二、报价函格式
致: (采购人)
1、按竞争性磋商文件规定提供交付的货物(包括安装调试售后服务等工作)投标报价人民币大写 (¥ )。
2、我方完全响应招标文件的招标技术、服务需求。
3、我方根据磋商文件的规定,严格履行合同的责任和义务,并保证于磋商文件要求的日期内完成货物调试,并交付买方验收、使用。
4、我方同意向贵方提供贵方可能另外要求的与其投标有关的任何证据或资料。
5、我方完全理解贵方不一定接受最低报价的投标。
供 应 商: (公章)
日 期:
投标人名称:(盖章)
项目名称 | 编号 | ||
投标报价 | 人民币小写(元): 人民币大写(元): | ||
服务期 | 填写“响应”或“不响应” | ||
备注 | |||
备注:1、表中最终投标报价即为优惠后报价,并作为评审及定标依据。任何有选择或有条件的最终投标报价或者表中某一包填写多个报价,均为无效报价。
2、所投包号较多时可自行扩展表格。
我单位参加本次政府采购活动,xxxx如下:
1.本次响应提供的所有资料都是真实有效、准确完整。如发现提供虚假资料或与事实不符,同意取消响应和中标候选人资格。
2.本次响应绝无资质挂靠、串标、围标情形。否则,同意取消成交供应商资格。
3.本次招标如我方为成交供应商,除不可抗力外,决不因任何其它原因放弃中标候选人资格。
4、我方中标后,严格按照竞争性磋商和我单位响应文件的约定签订合同。
5、如监管机构或其他利害关系人认为法定代表人的签字不是同一人所签或对签字有疑议时,投诉人应在被告知后的五个工作日内让其法定代表人到监管机构指定的地点进行字迹辨认和鉴定,否则视为投诉人弄虚作假。
6、我单位承诺不存在以下不良信用记录情形:
(1)供应商被人民法院列入失信被执行人的;
(2)供应商被工商行政管理部门列入企业经营异常名录的;
(3)供应商被税务部门列入重大税收违法案件当事人名单的;
(4)供应商被政府采购监管部门列入政府采购严重违法失信行为记录名单的。
出现违反上述承诺情形之一的,我方愿意公开披露我单位违反承诺的不良行为信息,愿意接受处罚并承担所有经济损失和法律责任。
供应商: (盖单位章)
法定代表人或其委托代理人: (签字或盖章)
年 月 日
四、投标人基本情况表
投标人名称 | ||||||
注册地址 | 邮政编码 | |||||
联系方式 | 联系 人 | 电 话 | ||||
传 真 | 电子邮件 | |||||
法定代表人 | 姓名 | 职称 | 电话 | |||
成立时间 | 员工总人数: | |||||
营业执照号 | ||||||
注册资金 | ||||||
基本账户开户银 行 | ||||||
基本账户账号 | ||||||
经营范围 | ||||||
备注 | ||||||
(磋商文件规定资格审查材料及服务需求中须提供的证明、证件材料的复印件)
六、服务方案