網(wǎng)絡(luò)安全常態(tài)化攻防演習(xí)服務(wù)需求

網(wǎng)絡(luò)安全常態(tài)化攻防演習(xí)服務(wù)需求一、項目背景根據(jù)《網(wǎng)絡(luò)安全法》、《個人信息保護法》、《數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律法規(guī)規(guī)定，為持續(xù)消除網(wǎng)絡(luò)安全風險隱患，提升網(wǎng)絡(luò)安全綜合防護能力，織密筑牢網(wǎng)絡(luò)安全防護體系，計劃開展覆蓋全年的網(wǎng)絡(luò)資產(chǎn)探測、漏洞檢測、滲透測試、網(wǎng)絡(luò)安全事件應(yīng)急處置、移動應(yīng)用安全檢測、集中攻防演習(xí)、威脅情報等重點工作，以進一步提升網(wǎng)絡(luò)安全保障能力。二、項目服務(wù)要求（一）服務(wù)清單序號服務(wù)項目范圍服務(wù)頻率1網(wǎng)絡(luò)資產(chǎn)探測對全市公網(wǎng)IP、全量重點保衛(wèi)單位互聯(lián)網(wǎng)資產(chǎn)，開展7×24小時不間斷的網(wǎng)絡(luò)資產(chǎn)探測，分析并采集網(wǎng)絡(luò)資產(chǎn)指紋信息。每周對所述范圍內(nèi)資產(chǎn)輪巡探測一次，并提供高質(zhì)量工作報告。全年提供一份高質(zhì)量總結(jié)報告。2漏洞檢測對已探測、采集的網(wǎng)絡(luò)資產(chǎn)開展漏洞掃描，檢測發(fā)現(xiàn)高危端口、高危網(wǎng)絡(luò)漏洞和應(yīng)用漏洞等信息，重點排查可導(dǎo)致網(wǎng)頁被篡改、數(shù)據(jù)泄露等高危漏洞。每周對所述范圍內(nèi)資產(chǎn)開展一次漏洞檢測，每周提供一期工作報告，每次檢測對象不少于10萬個IP。3滲透測試在重要時間節(jié)點、重大活動安保期間，對重點保衛(wèi)基礎(chǔ)網(wǎng)絡(luò)、網(wǎng)絡(luò)系統(tǒng)開展遠程或現(xiàn)場專項滲透測試。根據(jù)采購人要求組織。4網(wǎng)絡(luò)安全事件應(yīng)急處置對發(fā)生網(wǎng)絡(luò)安全事件的單位，組織技術(shù)力量前往現(xiàn)場開展技術(shù)調(diào)查、復(fù)盤溯源、證據(jù)固定等應(yīng)急處置工作。全年后臺配備專人3人，7*24小時響應(yīng)，每次應(yīng)急需提供高質(zhì)量工作報告，全年提供一份高質(zhì)量總結(jié)報告。5高危移動應(yīng)用專項檢測1)對“具有輿論屬性或社會動員能力”“算法推薦”“深偽”等重點移動應(yīng)用開展全網(wǎng)技術(shù)摸查，及時發(fā)現(xiàn)本地“小眾通聯(lián)”和相關(guān)互聯(lián)網(wǎng)新應(yīng)用。2）對相關(guān)重點應(yīng)用開展“敏感信息處理拉動測試”，技術(shù)核驗各項安全技術(shù)保護措施落實情況。3）對未落實各項安全技術(shù)保護措施的違法違規(guī)高危應(yīng)用開展技術(shù)勘驗、證據(jù)提取工作。每天常態(tài)化開展，每周提供一期工作報告，全年提供一份高質(zhì)量總結(jié)報告。6專項檢測任務(wù)協(xié)助開展破防類網(wǎng)絡(luò)黑工具、動態(tài)IP等網(wǎng)絡(luò)黑灰產(chǎn)技術(shù)、應(yīng)用技術(shù)檢測工作。根據(jù)采購人要求組織專項工作，每月提供不少于4條線索。7集中攻防演習(xí)全年開展2次集中式網(wǎng)絡(luò)安全攻防演習(xí)，組建不少于10支攻擊隊伍，模擬黑客真實攻擊方式，對全市重點保衛(wèi)單位網(wǎng)絡(luò)系統(tǒng)開展攻防演習(xí)。每半年各開展1次攻防演習(xí)，每次形成一份總結(jié)報告。8威脅情報每周輸出全網(wǎng)動態(tài)收集網(wǎng)絡(luò)安全威脅情報信息，并針對威脅情報提供可行有效的安全防范或整改建議，并輸出年度總結(jié)分析報告。每天常態(tài)化開展威脅情報收集工作，每周提供不少于2篇高質(zhì)量報告，全年提供一份高質(zhì)量總結(jié)報告。（二）技術(shù)需求1.網(wǎng)絡(luò)資產(chǎn)探測自動探測、收集全市網(wǎng)絡(luò)空間資產(chǎn)信息，分析網(wǎng)絡(luò)空間中存活資產(chǎn)的相關(guān)指紋信息：服務(wù)內(nèi)容技術(shù)要求資產(chǎn)探測1）梳理資產(chǎn)大類主要包含：系統(tǒng)的基本情況、網(wǎng)絡(luò)拓撲情況、安全防護情況、安全基線情況等。2）梳理信息系統(tǒng)的基本情況：如數(shù)量、類別、名稱、承載業(yè)務(wù)、服務(wù)范圍、用戶數(shù)量、部署方式等。3）使用自動化的平臺或工具，探測全市等級保護相關(guān)單位資產(chǎn)，發(fā)現(xiàn)相關(guān)資產(chǎn)信息，包括關(guān)聯(lián)的域名、服務(wù)類型、資產(chǎn)指紋、協(xié)議類型、開放端口等數(shù)據(jù)。2.漏洞檢測1、針對全市重保單位采用機器掃描加人工驗證等方式，對存在安全隱患的高危資產(chǎn)進行漏洞檢測，檢測服務(wù)器、終端設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用服務(wù)中存在的安全問題及安全漏洞，驗證時需使用兩種工具進行交叉驗證。2、常態(tài)化漏洞檢測范圍，包括但不限于：WEB應(yīng)用系統(tǒng)、移動應(yīng)用（IOS、安卓）、公眾號、小程序、物聯(lián)網(wǎng)、工控系統(tǒng)、云平臺等，漏洞掃描結(jié)束后需提供漏洞評估報告和修復(fù)建議，并進行相關(guān)綜合展示。3、漏洞掃描技術(shù)要求如下：服務(wù)內(nèi)容技術(shù)要求漏洞掃描1）使用自動化的平臺或工具，檢測指定目標單位相關(guān)服務(wù)器、終端設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用服務(wù)中存在的安全問題及安全漏洞，并結(jié)合人工驗證保證漏洞的準確性，漏洞修復(fù)后重新進行掃描，驗證修復(fù)效果。2）對數(shù)據(jù)庫進行弱點檢測，支持對Oracle、Mysql、SQLServer、DB2、informix、達夢、人大金倉的授權(quán)數(shù)據(jù)庫漏洞掃描。3）對操作系統(tǒng)漏洞檢測，應(yīng)包括但不限于操作系統(tǒng)常見的：溢出、暴力破解、任意文件執(zhí)行、提權(quán)等漏洞掃描、以及空弱賬戶口令、遠程控制協(xié)議、注冊表關(guān)鍵項的掃描。4）提供弱口令檢測，提供多種弱口令掃描協(xié)議，包括SMB、RDP、SSH、TELNET、FTP、SMTP、IMAP、POP3、MySQL、MSSQL、REDIS、RTSP等協(xié)議進行弱口令掃描，允許用戶自定義用戶、密碼字典。3.滲透測試1、針對重要時間節(jié)點、重大活動安保期間等專項檢查任務(wù)，對指定目標單位的信息系統(tǒng)，模擬黑客的攻擊方法和手段，采用手工方式，進行現(xiàn)場滲透測試。2、滲透測試業(yè)務(wù)范圍，包括但不限于WEB應(yīng)用系統(tǒng)、移動應(yīng)用（IOS、安卓）、公眾號、小程序、物聯(lián)網(wǎng)、工控系統(tǒng)、云平臺、人工智能等。滲透測試必須有詳細的實施方案和實施計劃，用于指導(dǎo)和規(guī)范測試工作，滲透測試完成后必須提交測試報告，除了描述發(fā)現(xiàn)深層次的安全漏洞外，還需要詳細描述滲透過程，獲取滲透對象的重要數(shù)據(jù)等步驟，最終每個系統(tǒng)輸出《系統(tǒng)滲透測試報告》，復(fù)測后輸出《系統(tǒng)滲透測試報告（復(fù)測）》。3、滲透測試測試包括但不限于以下測試項：序號測試分類技術(shù)要求1WEB安全SQL注入跨站腳本攻擊（XSS）XML外部實體（XXE）注入跨站點偽造請求（CSRF）服務(wù)器端請求偽造（SSRF）任意文件上傳任意文件下載或讀取任意目錄遍歷.svn/.git源代碼泄露信息泄露CRLF注入命令執(zhí)行注入URL重定向Json劫持第三方組件安全本地/遠程文件包含任意代碼執(zhí)行Struts2遠程命令執(zhí)行Spring遠程命令執(zhí)行反序列化命令執(zhí)行2業(yè)務(wù)邏輯安全用戶名枚舉用戶密碼枚舉用戶弱口令會話標志固定攻擊平行越權(quán)訪問垂直越權(quán)訪問未授權(quán)訪問驗證碼缺陷3中間件安全中間件配置缺陷中間件弱口令Webloigc反序列化命令執(zhí)行Jboss反序列化命令執(zhí)行Websphere反序列化命令執(zhí)行Jenkins反序列命令執(zhí)行JBoss遠程代碼執(zhí)行文件解析代碼執(zhí)行4服務(wù)器安全域傳送漏洞Redis未授權(quán)訪問MangoDB未授權(quán)訪問操作系統(tǒng)弱口令數(shù)據(jù)庫弱口令本地權(quán)限提升已存在的腳本木馬應(yīng)用防護軟硬件缺陷4.網(wǎng)絡(luò)安全事件應(yīng)急處置1、針對篡改、數(shù)據(jù)泄露、入侵、勒索病毒等網(wǎng)絡(luò)安全案事件，開展現(xiàn)場應(yīng)急處置。2、應(yīng)急處置過程需建立完善的響應(yīng)機制、處置流程及方案。5.高危移動應(yīng)用專項檢測1、針對重點移動應(yīng)用開展常態(tài)化技術(shù)摸查，包括全網(wǎng)比對、分析核驗，并定期摸查提供本地相關(guān)應(yīng)用清單。提供內(nèi)容包括：APP應(yīng)用名稱、APK包名、運營主體信息等。2、參照國家相關(guān)法律法規(guī)和行業(yè)標準，針對重點移動應(yīng)用各項安全技術(shù)保護措施落實情況開展遠程技術(shù)檢測、核驗，及時發(fā)現(xiàn)高危問題應(yīng)用，并進行技術(shù)勘驗、提取固定未落實安全措施的相關(guān)證據(jù)，出具相關(guān)檢測報告。6.專項檢測任務(wù)協(xié)助開展破防類網(wǎng)絡(luò)黑工具、動態(tài)IP等網(wǎng)絡(luò)黑灰產(chǎn)技術(shù)、應(yīng)用技術(shù)檢測工作，包括技術(shù)分析、后臺摸排等，形成技術(shù)分析報告。7.集中攻防演習(xí)1、組建不少于10支攻擊隊伍（每支隊伍人數(shù)不少于3名），針對全市重點單位開展集中式實戰(zhàn)攻防演習(xí)。2、針對確認的真實網(wǎng)絡(luò)目標為攻防對象進行的專項攻防對抗演練，重點關(guān)注目前網(wǎng)絡(luò)安全突出問題，通過模擬黑客的攻擊方法對系統(tǒng)和網(wǎng)絡(luò)進行非破壞性的攻擊性測試，目的是入侵目標網(wǎng)絡(luò)，通過滲透測試找出目標網(wǎng)絡(luò)存在的弱點并將結(jié)果呈現(xiàn)。3、組織紅隊成員模擬黑客從外部對企業(yè)互聯(lián)網(wǎng)資產(chǎn)進行嗅探、踩點、入侵、并嘗試各種技術(shù)類手段進行網(wǎng)絡(luò)的縱向或橫向入侵來發(fā)現(xiàn)目標中的整體網(wǎng)絡(luò)的安全問題，參加攻擊隊伍數(shù)量、人數(shù)。4、攻防演練必須有詳細的實施報告，需根據(jù)每日攻防演練結(jié)果及處理情況進行匯總分析，并編制攻防演練報告。5、專項攻防演習(xí)服務(wù)，包括防演練平臺支撐，演練平臺功能需包含：攻防演示、成果展示、全流量檢測、攻擊過程及操作可追溯，要求具備以下詳細功能：序號服務(wù)內(nèi)容技術(shù)要求1工作模式提供全中文WEB管理界面。2審計功能需證明平臺可完全支持保障演習(xí)過程中的安全可控，攻擊過程及操作可追溯和審計的要求。證明功能包括但不限于支持全流量檢測、所有攻擊流量留存、攻擊行為監(jiān)控或攻擊終端監(jiān)控等。3平臺角色平臺角色須包含平臺管理員或運維管理員、攻擊方、防守方、裁判員等角色。4用戶列表具備管理平臺所有用戶的功能，支持針對用戶的搜索功能。5管理員賬號頁面1）可以展示累計舉辦演練場次、累計有效攻擊成果數(shù)、累計有效防御成果數(shù)。2）可以查看當前進行中的演練，包含演練名稱、演練時間、演練場地、演練倒計時和演練狀態(tài)。3）可以查看參演人數(shù)、攻擊方人數(shù)、防守方人數(shù)和裁判員人數(shù)。6通知公告管理支持針對平臺所有用戶、角色和團隊發(fā)布通知公共的功能。7工作匯報管理支持匯報模板的設(shè)置功能，至少可在模板中設(shè)置包括成功總結(jié)、安全加固措施、改善意見和建議的內(nèi)容。8演練列表支持查看不同狀態(tài)的演練列表，并進行開始和結(jié)束的操作功能。支持查看每個演練中的成果統(tǒng)計，包括攻擊方團隊和防守單位團隊的成果信息。9團隊管理1）支持針對攻擊團隊和防守團隊的信息管理功能，包括新增、編輯、查看和搜索團隊或人員信息。2）支持但不限于目標系統(tǒng)等關(guān)鍵字搜索所屬防守團隊。10攻擊成果列表支持針對攻擊成果的查看、審核和重新審核、導(dǎo)出或下載攻擊成果報告的功能。11攻擊日志管理支持針對所有攻擊團隊及人員的攻擊日志的檢索和查詢。12目標系統(tǒng)管理支持批量導(dǎo)入目標系統(tǒng)。13防御成果列表支持導(dǎo)出或下載防御成果報告。14匯總展示支持統(tǒng)一展示攻防演練過程、攻擊成果、防御成果相關(guān)內(nèi)容以及統(tǒng)計