攻防演練及滲透測試要求

攻防演練及滲透測試要求項目目的通過本項目對我單位安全現(xiàn)狀進行梳理，發(fā)現(xiàn)系統(tǒng)潛在安全隱患并對高危風險進行管控和修復，保障我單位互聯(lián)網(wǎng)應用安全穩(wěn)定運行。同時完成四川省衛(wèi)健委和成都市衛(wèi)健委陸續(xù)發(fā)文《關于在全省開展?jié)B透測試和攻防演練的通知》中的要求。項目技術要求服務清單序號服務類服務概述滲透測試服務依據(jù)相關規(guī)范，在招標方允許的情況下，對目標范圍內的系統(tǒng)資產、威脅、脆弱性等各方面進行評估，對主要資產的風險進行定性或定量的脆弱性風險分析，描述不同資產的風險高低狀況，給出詳細的滲透測試報告、整改方案及技術支撐。攻防演練服務依據(jù)相關規(guī)范，在保證用戶信息系統(tǒng)正常運行前提下，模擬黑客攻擊行為通過遠程或本地方式對信息系統(tǒng)進行非破壞性的入侵測試，查找針對應用程序的各種漏洞。滲透測試服務及攻防演練服務技術要求服務類技術類型內容及要求滲透測試資產識別依據(jù)相關國家標準或國際標準，對招標方的資產進行全面梳理和識別，識別內容包含但不限于資產類型、IP地址、責任人、用途、操作系統(tǒng)、數(shù)據(jù)庫等。資產類別應按照相關規(guī)范分類，包含但不限于以下幾大類：業(yè)務應用—業(yè)務系統(tǒng)，如OA系統(tǒng)、門戶網(wǎng)站等；網(wǎng)絡結構—網(wǎng)絡拓撲結構圖；數(shù)據(jù)文檔—設計方案、操作手冊、業(yè)務數(shù)據(jù)等；軟硬件資產—操作系統(tǒng)、中間件、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備、存儲設備等；依據(jù)相關規(guī)范，投標方應根據(jù)資產識別結果，科學、合理的對資產進行重要性賦值，明確資產價值。投標人提供的安全服務廠商應針對資產識別情況及問題及時匯報。脆弱性識別依據(jù)相關國家標準或國際標準，根據(jù)資產識別結果，采用不同手段對資產進行全面的脆弱性識別，及時發(fā)現(xiàn)、處置脆弱性，避免或降低脆弱性被利用的幾率。脆弱性分類應至少包括但不限于以下兩類：技術性弱點—系統(tǒng)、程序、設備存在的漏洞或缺陷，如網(wǎng)絡結構設計問題和代碼漏洞；操作性弱點—軟件和系統(tǒng)配置、操作中存在的缺陷，包括人員在日常工作中的不良習慣，審計和備份的缺乏；技術性弱點識別應按照以下要求實施：技術性弱點識別流程：投標人提供的安全服務廠商應對技術性弱點識別的目標對象進行全面梳理和識別，識別內容包含但不限于資產類型、IP地址、責任人、用途、操作系統(tǒng)、數(shù)據(jù)庫等。投標人提供的安全服務廠商應提交技術性弱點識別工具的情況（包括但不限于：設備廠商、設備型號、漏洞庫、銷售許可證等）、技術性弱點識別工作方案（包括但不限于：目標對象、掃描時間、風險規(guī)避措施等）及技術性弱點識別申請，招標方授權后，方可進行。投標人提供的安全服務廠商應對技術性弱點識別結果進行人工驗證，保證技術性弱點識別結果的真實性。投標人提供的安全服務廠商應提交針對性的解決方案，保證漏洞修復可落地。技術性弱點識別工具支持對象應包含但不限于：網(wǎng)絡設備：路由器、交換機、防火墻等；操作系統(tǒng)：windows、linux、UNIX等；數(shù)據(jù)庫：Oracle、MSSQL、Mysql等；中間件：Apache、Tomcat、weblogic等。技術性弱點識別參數(shù)應包含但不限于：版本漏洞、開放端口、開放服務、空/弱口令賬戶、安全配置等。投標人提供的安全服務廠商提供的技術性弱點識別工具應具備對高可利用漏洞的管理（投標人提供的安全服務商需提供確認函證明能夠滿足響應此項要求并加蓋原廠商公章）。投標人提供的安全服務廠商提供的技術性弱點識別工具應具備對掃描出或已修復的漏洞，具備一鍵復測功能（投標人提供的安全服務商需提供確認函證明能夠滿足響應此項要求并加蓋原廠商公章）。投標方提供的技術性弱點識別工具能夠實現(xiàn)漏洞掃描實現(xiàn)資源控制功能，支持掃描模式的切換，以控制掃描時對業(yè)務系統(tǒng)CPU資源的占用率（投標人提供的安全服務商需提供確認函證明能夠滿足響應此項要求并加蓋原廠商公章）。操作性弱點識別應按照以下要求實施：操作性弱點識別流程：投標人提供的安全服務廠商應對操作性弱點識別的資產進行全面梳理和識別，識別內容包含但不限于資產類型、IP地址、責任人、用途、操作系統(tǒng)、數(shù)據(jù)庫等。投標人提供的安全服務廠商應提交基線核查的標準，會同招標方各接口人進行溝通確認。依據(jù)相關標準或規(guī)范，投標人提供的安全服務廠商應結合招標方制定的基線核查標準、上級單位的基線核查標準、行業(yè)基線核查標準及行業(yè)最佳實踐等，目標對象進行操作性弱點識別，目標對象包括但不限于：網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫及中間件等。投標人提供的安全服務廠商應組織相關人員對結果進行確認后，分析提交科學、合理的整改建議。操作性弱點識別應包含但不限于以下內容：網(wǎng)絡設備：OS安全、帳號和口令管理、認證和授權策略、網(wǎng)絡與服務、訪問控制策略、通訊協(xié)議、路由協(xié)議、日志審核策略、加密管理、設備其他安全配置等；操作系統(tǒng)：系統(tǒng)漏洞補丁管理、帳號和口令管理、認證、授權策略、網(wǎng)絡與服務、進程和啟動、文件系統(tǒng)權限、訪問控制、通訊協(xié)議、日志審核功能、剩余信息保護、其他安全配置等；數(shù)據(jù)庫：漏洞補丁管理、帳號和口令管理、認證、授權策略、訪問控制、通訊協(xié)議、日志審核功能、其他安全配置等；中間件：漏洞補丁管理、帳號和口令管理、認證、授權策略、通訊協(xié)議、日志審核功能、其他安全配置等。投標方提供的操作性弱點識別工具能實現(xiàn)對官方發(fā)布的高危漏洞進行自動檢測識別功能，如：支持windows系統(tǒng)永恒之藍漏洞（MS17-010）的檢測（投標人提供的安全服務商需提供確認函證明能夠滿足響應此項要求并加蓋原廠商公章）。投標人提供的安全服務廠商應將發(fā)現(xiàn)的脆弱性及時向招標方反饋，并在后續(xù)提出可落地的整改建議或方案。威脅識別依據(jù)相關國家標準或國際標準，對存在脆弱性的資產進行威脅的全面識別，及時發(fā)現(xiàn)潛在威脅的原因，避免或降低威脅發(fā)生的幾率。威脅來源應至少包括但不限于以下四類：人員威脅——包括故意破壞和無意失誤；系統(tǒng)威脅——系統(tǒng)、網(wǎng)絡或服務的故障；環(huán)境威脅——電源故障、污染、液體泄漏、火災等；自然威脅——洪水、地震、臺風、滑坡、雷電等。通過技術手段識別服務器中可能存在被植入的后門程序、潛伏未觸發(fā)的病毒木馬等安全威脅。投標人提供的安全服務廠商應對威脅利用率極高的風險提出整改建議，配合招標方及時處置。能夠實現(xiàn)對招標方本次服務范圍內的重要資產進行威脅定位搜索，針對潛在或潛伏的病毒進行快速響應，同時能快速確認全網(wǎng)其他設備是否感染（投標人提供的安全服務商需提供確認函證明能夠滿足響應此項要求并加蓋原廠商公章）。投標人提供的安全服務廠商應能實現(xiàn)對已失陷的主機進行詳細分析，包含攻擊階段分布、風險等級趨勢、安全事件舉證、遭受的外部攻擊、存在的漏洞風險、行為畫像、開放端口等信息。攻擊階段包含存在漏洞、遭受攻擊、C&C通信、黑產牟利、內網(wǎng)探針、內網(wǎng)擴散、盜?。ㄍ稑巳颂峁┑陌踩丈绦杼峁┐_認函證明能夠滿足響應此項要求并加蓋原廠商公章）。已有控制措施評估依據(jù)相關國家標準或國際標準，對招標方已部署的安全設備、已制定管理體系及其他控制措施進行識別。根據(jù)識別結果的現(xiàn)狀，提出建設性意見，避免重復采購相關設備或服務。風險分析投標人提供的安全服務廠商應組織專家團隊，對存在和潛在的風險進行全面分析，保證風險分析的科學性、合理性及風險處置的可操作性。投標人提供的安全服務廠商應在風險分析完成后，組織召開相關會議，將風險評估實施過程全生命周期發(fā)現(xiàn)的情況或問題統(tǒng)一反饋，并提出可落地的建議或方案。攻防演練服務流程攻防演練應按照以下要求實施：投標人提供的安全服務廠商應確定目標對象后提供攻防演練服務方案和服務申請，內容必須包括但不限于：攻防演練方法和流程；攻防演練工具；攻防演練面臨的風險和規(guī)避措施；攻防演練時間和地點；攻防演練人員。招標方授權后，投標人提供的安全服務廠商應通過模擬黑客攻擊行為通過本地或遠程方式對目標對象進行非破壞性的入侵測試。3）攻防演練應至少包括以下方面的工作內容：WEB應用系統(tǒng)滲透；主機操作系統(tǒng)滲透；數(shù)據(jù)庫系統(tǒng)滲透。投標人提供的安全服務廠商應將發(fā)現(xiàn)的脆弱性及時向招標方反饋，并在后續(xù)提出可落地的整改建議或方案。服務交付物《滲透測試報告》、《攻防演練報告》投標人提供的安全服務廠商資質要求資質要求★1、投標人提供的安全服務廠商具備國家信息安全測評服務資質證書—安全工程類一級★2、投標人提供的安全服務廠商具備信息安全管理體系認證證書（ISO/IEC27001）★3、投標人提供的安全服務廠商需是國家信息安全漏洞庫CNNVD技術支撐單位★4、投標人提供的安全服務廠商在川有常駐技術團隊以上資質要求為必須滿足項，不滿足廢除其參與磋商談判資格。投標人提供的安全服務廠商具備CS-CMMI5認證投標人提供的安全服務廠商軟件研發(fā)實力需通過CMMIL5認證投標人提供的安全服務廠商應是國家互聯(lián)網(wǎng)應急響應中心網(wǎng)絡安全應急服務國家級支撐單位投標人提供的安全服務廠商需是中國反網(wǎng)絡病毒聯(lián)盟ANVA成員單位；投標人提供的安全