厦门航空有限公司

“代码审计平台维保”项目供应商/品牌招募公告(二次)


厦门航空有限公司拟对“代码审计平台维保”项目进行采购,现邀请符合条件的供应商报名。采购项目要求如下:


一、采购项目名称:代码审计平台维保功能建设


二、产品描述:

标的物资

服务期限

技术服务要求

代码审计平台维保

2年

详见三、技术服务要求

三、技术服务要求

1 工作内容要求

维保服务期内,服务内容包含以下要求:

1.1、维保服务期内提供7*24维保与咨询服务:

供应商免费向厦航提供远程(电话或E-mail)或现场技术支持和问题解答,并对其提出的有关产品的使用问题进行解答。

维保服务包括系统部署、更新、排故、调试等工作,直至系统服务满足厦航要求。

维保服务响应时限为30分钟以内,并在接到厦航通知后二个小时内,依据厦航要求进行远程或现场协助处理故障问题,须在24小时内解决故障或恢复正常使用。如果确认是影响系统核心功能运行的系统缺陷(系统核心功能例如代码上传、代码审计任务执行、出具并导出审计报告等),需在5个工作日内完成整改,其他缺陷在20个工作日内完成整改。

在线咨询服务:服务内容包括审计扫描规则的制定与修改、系统使用、审计技术、缺陷修复方案等持续咨询服务。其中代码审计咨询服务,供应商免费指导厦航技术人员在审计过程中具体的缺陷修复与规避、威胁严重性与误报分析、快速审计等实战经验与技巧。

1.2、代码审计系统须支持检测由 Visual studio、 Eclipse、 My Eclipse、 Xcode、 Android Studio、IDEA等IDE工具最新版本创建的代码工程,如因IDE发布新版本而出现检测不兼容的情况,应在厦航提出升级更新需求后的40个工作日内免费提供代码审计系统更新升级服务。

1.3供应商提供Visual studio插件便于提交项目代码扫码,提供jenkins插件便于集成代码扫描工具与版本管理、持续集成工具整合。

1.4、代码审计系统须支持下列操作系统与浏览器的最新版本以便用户正常使用:操作系统WIN7/8/10及以上、mac0S10.12及以上,浏览器Safari10及以上、Chrome50及以上,如出现用户使用不兼容的情况,应在厦航提出升级更新需求后的20个工作日内免费提供代码审计系统更新升级服务。

1.5、供应商须免费提供更新升级与支持服务(无论大小版本更新),定期更新代码审计规则并主动推送给厦航(更新频率不少于3个自然月一次),并且在维保有效期内随时可进行产品升级,升级后的系统应符合厦航的各项功能要求,审计规则应兼容厦航安全编码规范基线。系统应用和引擎的大版本更新需及时通知厦航,提供更新日志和试用地址,由厦航评估是否需要升级。如果厦航确认需要升级,供应商应提供完整的升级安装部署服务。

1.6、供应商每年提供2天的远程培训,培训内容包含安全开发技术等。

2 实施过程要求

2.1、供应商必须严格遵守厦航的工作规范要求,日常维护调试过程中应与其他单位作好协调配合工作,并服从厦航的监督管理。

2.2、满足厦航提出的需求内容,提供相应的原厂授权及原厂书面授权许可文件,产品功能、维保服务、培训与合同约定的其他条款无出入。

2.3、供应商须负责项目实施、系统调试等工作内容直至满足厦航要求。

2.4、供应商须提供完整的系统维护与升级实施方案、进度计划、实施记录。在厦航实施期间,须遵守公安、民航监督管理局以及厦航的相关要求。

2.5、★具备本地及全国的服务能力;提供远程技术支持服务,对远程无法解决的问题提供必要的现场技术支持,直至问题解决。在维保期内,提供代码审计平台系统及规则库的免费升级;

3 安全责任要求

3.1、供应商提供的产品及服务必须符合《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》、《中华人民共和国个人信息保护法》、《信息安全技术网络安全等级保护基本要求》等相关网络安全法律法规要求,并应符合厦航的各类网络安全规范要求,否则由此引起的全部安全责任及法律责任由供应商完全承担。

3.2、未经厦航同意,供应商不得以厦航名义在互联网上发布系统、测试样例等,发布内容不得与厦航有任何关联或以任何方式引人误以为与厦航有任何关联,不得在任何场所交流厦航相关案例。具体包括(但不限于):

(1)部署在互联网的页面不得携带厦航logo,不得出现厦航公司名称、公司简称、承运人代码等文字或其他标识信息。

(2)测试数据不得与厦航真实生产数据相关,不得出现厦航公司名称、公司简称、承运人代码等信息。

(3)不得使用厦航域名。

3.3、供应商承诺不非法控制和操作厦航系统和设备,或利用厦航对产品的依赖性谋取不正当利益或者迫使厦航更新换代。

3.4、供应商应对派遣人员进行从业调查,并承诺无犯罪记录,提供公安部门出具的无犯罪记录证明。

3.5、供应商提供的软件系统,需满足以下要求:

(1)系统需能够抵御各类常见网络攻击,包括但不限于口令暴力破解攻击、非授权访问攻击、业务逻辑攻击、跨站脚本攻击、注入攻击、文件上传绕过攻击、命令执行攻击、跨站请求伪造攻击等。针对移动客户端软件,还需能抵御反编译攻击。

(2)系统需妥善处理敏感信息(如个人密码、个人敏感数据、数据库用户密码等),按照厦航数据分级分类保护要求,在传输和存储过程中使用符合一定强度要求的安全加密算法进行加密,避免信息泄漏。在系统前端界面,需对证件号、银行账号、手机号、联系地址等个人敏感数据进行部分或全部隐藏显示。

(3)系统需具备安全日志连续存储时间不少于6个月的功能,对用户登录登出、重要业务操作、敏感数据查询等用户行为以及系统运行日志(如报错信息、告警信息等)记录完备的日志信息,且日志信息中不得包含明文的敏感信息如密码、信用卡信息等。需根据厦航要求提供日志同步接口,用于将日志归档到厦航日志管理平台。

(4)系统禁止使用含有已知漏洞的组件。

(5)若系统存在超级管理员账号,需告知厦航并提供默认密码修改功能。

(6)供应商需明确目标产品关联的外部系统或接口。不得以维护、安全等名义预留帐号或接口,连接或授权第三方连接目标产品(含数据库、中间件),特殊情况需经厦航同意。

(7)行业软件需遵循行业的安全标准(例如:支付卡行业需遵循支付卡行业数据安全标准PCI-DSS)。

3.6、供应商应对可能发生的、影响系统运行及系统安全的事件进行分级分类,并制定相应应急预案。

3.7、主动对所提供的产品及服务存在的安全漏洞进行及时免费升级,承担相关安全责任及法律责任。若出现高危漏洞列表中定义的高危漏洞,应24小时内免费完成漏洞修复。


四、报名供应商资质要求

1、具有法人资格或者具有独立承担民事责任能力的企业;

2、遵守国家法律、行政法规,具有良好的信誉、较好的盈利能力;

3、供应商需为厦航代码审计平台系统原厂或得到原厂针对此系统维保服务授权;

4、工程师数量:技术工程师团队5人以上;(需提供人员清单)

5、有依法缴纳税收和社会保障资金的良好记录;

6、是增值税一般纳税人,能提供正规的增值税专用发票;

7、参加本次采购活动前三年内,在经营活动中没有违法违规记录;

8、不接受被列入厦航《供应商黑名单》及有违法违规记录的供应商报名;


五、报名方式

1、凡有意愿的供应商,请于本公告规定的报名时间内,登录厦门航空采购平台(网址https://bidding.xiamenair.com)进行注册报名,具体要求详见附件厦门航空供应商注册公告。

2、意愿参加本项目的供应商在平台注册后,同时发送邮件进行报名确认。邮件发送chenyingkai@xiamenair.com,抄送cgyw@xiamenair.com。邮件主题规范为:供应商名称|项目名称|项目编号,须明确注明拟参与的采购项目名称。  

3、报名截止时间:2022年1月15日16:00(北京时间)止,逾期的将不予受理。


六、供应商审核

1、提供资料不全、不清晰、不符合要求或无法提供上述材料的不予审核。

2、申请人必须保证上报材料的真实性,厦航将保留核查(包括现场核查)的权力,对于弄虚作假的行为,厦航根据相关法律法规有权对申请报名的单位做如下处罚:

2.1、取消其申请报名资格、取消其作为潜在供应商或报价资格;

2.2、列入厦航《供应商黑名单》。

3、厦航有权拒绝向资质不佳的供应商发出谈判邀请。


七、项目联系方式

联系人:陈先生

联系电话:0592-2175102

传真:0592-2175111


八、采购监督反馈联系方式:

      电话:0592-2175100 邮箱:cgjd@xiamenair.com。


九、本采购公告的解释权归厦门航空有限公司。


特此公告。

附件1:厦门航空供应商注册公告

附件2:供应商注册授权书



厦门航空有限公司

2022年1月12日