攻防演練及滲透測(cè)試要求

攻防演練及滲透測(cè)試要求項(xiàng)目目的通過本項(xiàng)目對(duì)我單位安全現(xiàn)狀進(jìn)行梳理，發(fā)現(xiàn)系統(tǒng)潛在安全隱患并對(duì)高危風(fēng)險(xiǎn)進(jìn)行管控和修復(fù)，保障我單位互聯(lián)網(wǎng)應(yīng)用安全穩(wěn)定運(yùn)行。同時(shí)完成四川省衛(wèi)健委和成都市衛(wèi)健委陸續(xù)發(fā)文《關(guān)于在全省開展?jié)B透測(cè)試和攻防演練的通知》中的要求。項(xiàng)目技術(shù)要求服務(wù)清單序號(hào)服務(wù)類服務(wù)概述滲透測(cè)試服務(wù)依據(jù)相關(guān)規(guī)范，在招標(biāo)方允許的情況下，對(duì)目標(biāo)范圍內(nèi)的系統(tǒng)資產(chǎn)、威脅、脆弱性等各方面進(jìn)行評(píng)估，對(duì)主要資產(chǎn)的風(fēng)險(xiǎn)進(jìn)行定性或定量的脆弱性風(fēng)險(xiǎn)分析，描述不同資產(chǎn)的風(fēng)險(xiǎn)高低狀況，給出詳細(xì)的滲透測(cè)試報(bào)告、整改方案及技術(shù)支撐。攻防演練服務(wù)依據(jù)相關(guān)規(guī)范，在保證用戶信息系統(tǒng)正常運(yùn)行前提下，模擬黑客攻擊行為通過遠(yuǎn)程或本地方式對(duì)信息系統(tǒng)進(jìn)行非破壞性的入侵測(cè)試，查找針對(duì)應(yīng)用程序的各種漏洞。滲透測(cè)試服務(wù)及攻防演練服務(wù)技術(shù)要求服務(wù)類技術(shù)類型內(nèi)容及要求滲透測(cè)試資產(chǎn)識(shí)別依據(jù)相關(guān)國(guó)家標(biāo)準(zhǔn)或國(guó)際標(biāo)準(zhǔn)，對(duì)招標(biāo)方的資產(chǎn)進(jìn)行全面梳理和識(shí)別，識(shí)別內(nèi)容包含但不限于資產(chǎn)類型、IP地址、責(zé)任人、用途、操作系統(tǒng)、數(shù)據(jù)庫(kù)等。資產(chǎn)類別應(yīng)按照相關(guān)規(guī)范分類，包含但不限于以下幾大類：業(yè)務(wù)應(yīng)用—業(yè)務(wù)系統(tǒng)，如OA系統(tǒng)、門戶網(wǎng)站等；網(wǎng)絡(luò)結(jié)構(gòu)—網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；數(shù)據(jù)文檔—設(shè)計(jì)方案、操作手冊(cè)、業(yè)務(wù)數(shù)據(jù)等；軟硬件資產(chǎn)—操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲(chǔ)設(shè)備等；依據(jù)相關(guān)規(guī)范，投標(biāo)方應(yīng)根據(jù)資產(chǎn)識(shí)別結(jié)果，科學(xué)、合理的對(duì)資產(chǎn)進(jìn)行重要性賦值，明確資產(chǎn)價(jià)值。投標(biāo)人提供的安全服務(wù)廠商應(yīng)針對(duì)資產(chǎn)識(shí)別情況及問題及時(shí)匯報(bào)。脆弱性識(shí)別依據(jù)相關(guān)國(guó)家標(biāo)準(zhǔn)或國(guó)際標(biāo)準(zhǔn)，根據(jù)資產(chǎn)識(shí)別結(jié)果，采用不同手段對(duì)資產(chǎn)進(jìn)行全面的脆弱性識(shí)別，及時(shí)發(fā)現(xiàn)、處置脆弱性，避免或降低脆弱性被利用的幾率。脆弱性分類應(yīng)至少包括但不限于以下兩類：技術(shù)性弱點(diǎn)—系統(tǒng)、程序、設(shè)備存在的漏洞或缺陷，如網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)問題和代碼漏洞；操作性弱點(diǎn)—軟件和系統(tǒng)配置、操作中存在的缺陷，包括人員在日常工作中的不良習(xí)慣，審計(jì)和備份的缺乏；技術(shù)性弱點(diǎn)識(shí)別應(yīng)按照以下要求實(shí)施：技術(shù)性弱點(diǎn)識(shí)別流程：投標(biāo)人提供的安全服務(wù)廠商應(yīng)對(duì)技術(shù)性弱點(diǎn)識(shí)別的目標(biāo)對(duì)象進(jìn)行全面梳理和識(shí)別，識(shí)別內(nèi)容包含但不限于資產(chǎn)類型、IP地址、責(zé)任人、用途、操作系統(tǒng)、數(shù)據(jù)庫(kù)等。投標(biāo)人提供的安全服務(wù)廠商應(yīng)提交技術(shù)性弱點(diǎn)識(shí)別工具的情況（包括但不限于：設(shè)備廠商、設(shè)備型號(hào)、漏洞庫(kù)、銷售許可證等）、技術(shù)性弱點(diǎn)識(shí)別工作方案（包括但不限于：目標(biāo)對(duì)象、掃描時(shí)間、風(fēng)險(xiǎn)規(guī)避措施等）及技術(shù)性弱點(diǎn)識(shí)別申請(qǐng)，招標(biāo)方授權(quán)后，方可進(jìn)行。投標(biāo)人提供的安全服務(wù)廠商應(yīng)對(duì)技術(shù)性弱點(diǎn)識(shí)別結(jié)果進(jìn)行人工驗(yàn)證，保證技術(shù)性弱點(diǎn)識(shí)別結(jié)果的真實(shí)性。投標(biāo)人提供的安全服務(wù)廠商應(yīng)提交針對(duì)性的解決方案，保證漏洞修復(fù)可落地。技術(shù)性弱點(diǎn)識(shí)別工具支持對(duì)象應(yīng)包含但不限于：網(wǎng)絡(luò)設(shè)備：路由器、交換機(jī)、防火墻等；操作系統(tǒng)：windows、linux、UNIX等；數(shù)據(jù)庫(kù)：Oracle、MSSQL、Mysql等；中間件：Apache、Tomcat、weblogic等。技術(shù)性弱點(diǎn)識(shí)別參數(shù)應(yīng)包含但不限于：版本漏洞、開放端口、開放服務(wù)、空/弱口令賬戶、安全配置等。投標(biāo)人提供的安全服務(wù)廠商提供的技術(shù)性弱點(diǎn)識(shí)別工具應(yīng)具備對(duì)高可利用漏洞的管理（投標(biāo)人提供的安全服務(wù)商需提供確認(rèn)函證明能夠滿足響應(yīng)此項(xiàng)要求并加蓋原廠商公章）。投標(biāo)人提供的安全服務(wù)廠商提供的技術(shù)性弱點(diǎn)識(shí)別工具應(yīng)具備對(duì)掃描出或已修復(fù)的漏洞，具備一鍵復(fù)測(cè)功能（投標(biāo)人提供的安全服務(wù)商需提供確認(rèn)函證明能夠滿足響應(yīng)此項(xiàng)要求并加蓋原廠商公章）。投標(biāo)方提供的技術(shù)性弱點(diǎn)識(shí)別工具能夠?qū)崿F(xiàn)漏洞掃描實(shí)現(xiàn)資源控制功能，支持掃描模式的切換，以控制掃描時(shí)對(duì)業(yè)務(wù)系統(tǒng)CPU資源的占用率（投標(biāo)人提供的安全服務(wù)商需提供確認(rèn)函證明能夠滿足響應(yīng)此項(xiàng)要求并加蓋原廠商公章）。操作性弱點(diǎn)識(shí)別應(yīng)按照以下要求實(shí)施：操作性弱點(diǎn)識(shí)別流程：投標(biāo)人提供的安全服務(wù)廠商應(yīng)對(duì)操作性弱點(diǎn)識(shí)別的資產(chǎn)進(jìn)行全面梳理和識(shí)別，識(shí)別內(nèi)容包含但不限于資產(chǎn)類型、IP地址、責(zé)任人、用途、操作系統(tǒng)、數(shù)據(jù)庫(kù)等。投標(biāo)人提供的安全服務(wù)廠商應(yīng)提交基線核查的標(biāo)準(zhǔn)，會(huì)同招標(biāo)方各接口人進(jìn)行溝通確認(rèn)。依據(jù)相關(guān)標(biāo)準(zhǔn)或規(guī)范，投標(biāo)人提供的安全服務(wù)廠商應(yīng)結(jié)合招標(biāo)方制定的基線核查標(biāo)準(zhǔn)、上級(jí)單位的基線核查標(biāo)準(zhǔn)、行業(yè)基線核查標(biāo)準(zhǔn)及行業(yè)最佳實(shí)踐等，目標(biāo)對(duì)象進(jìn)行操作性弱點(diǎn)識(shí)別，目標(biāo)對(duì)象包括但不限于：網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)及中間件等。投標(biāo)人提供的安全服務(wù)廠商應(yīng)組織相關(guān)人員對(duì)結(jié)果進(jìn)行確認(rèn)后，分析提交科學(xué)、合理的整改建議。操作性弱點(diǎn)識(shí)別應(yīng)包含但不限于以下內(nèi)容：網(wǎng)絡(luò)設(shè)備：OS安全、帳號(hào)和口令管理、認(rèn)證和授權(quán)策略、網(wǎng)絡(luò)與服務(wù)、訪問控制策略、通訊協(xié)議、路由協(xié)議、日志審核策略、加密管理、設(shè)備其他安全配置等；操作系統(tǒng)：系統(tǒng)漏洞補(bǔ)丁管理、帳號(hào)和口令管理、認(rèn)證、授權(quán)策略、網(wǎng)絡(luò)與服務(wù)、進(jìn)程和啟動(dòng)、文件系統(tǒng)權(quán)限、訪問控制、通訊協(xié)議、日志審核功能、剩余信息保護(hù)、其他安全配置等；數(shù)據(jù)庫(kù)：漏洞補(bǔ)丁管理、帳號(hào)和口令管理、認(rèn)證、授權(quán)策略、訪問控制、通訊協(xié)議、日志審核功能、其他安全配置等；中間件：漏洞補(bǔ)丁管理、帳號(hào)和口令管理、認(rèn)證、授權(quán)策略、通訊協(xié)議、日志審核功能、其他安全配置等。投標(biāo)方提供的操作性弱點(diǎn)識(shí)別工具能實(shí)現(xiàn)對(duì)官方發(fā)布的高危漏洞進(jìn)行自動(dòng)檢測(cè)識(shí)別功能，如：支持windows系統(tǒng)永恒之藍(lán)漏洞（MS17-010）的檢測(cè)（投標(biāo)人提供的安全服務(wù)商需提供確認(rèn)函證明能夠滿足響應(yīng)此項(xiàng)要求并加蓋原廠商公章）。投標(biāo)人提供的安全服務(wù)廠商應(yīng)將發(fā)現(xiàn)的脆弱性及時(shí)向招標(biāo)方反饋，并在后續(xù)提出可落地的整改建議或方案。威脅識(shí)別依據(jù)相關(guān)國(guó)家標(biāo)準(zhǔn)或國(guó)際標(biāo)準(zhǔn)，對(duì)存在脆弱性的資產(chǎn)進(jìn)行威脅的全面識(shí)別，及時(shí)發(fā)現(xiàn)潛在威脅的原因，避免或降低威脅發(fā)生的幾率。威脅來源應(yīng)至少包括但不限于以下四類：人員威脅——包括故意破壞和無意失誤；系統(tǒng)威脅——系統(tǒng)、網(wǎng)絡(luò)或服務(wù)的故障；環(huán)境威脅——電源故障、污染、液體泄漏、火災(zāi)等；自然威脅——洪水、地震、臺(tái)風(fēng)、滑坡、雷電等。通過技術(shù)手段識(shí)別服務(wù)器中可能存在被植入的后門程序、潛伏未觸發(fā)的病毒木馬等安全威脅。投標(biāo)人提供的安全服務(wù)廠商應(yīng)對(duì)威脅利用率極高的風(fēng)險(xiǎn)提出整改建議，配合招標(biāo)方及時(shí)處置。能夠?qū)崿F(xiàn)對(duì)招標(biāo)方本次服務(wù)范圍內(nèi)的重要資產(chǎn)進(jìn)行威脅定位搜索，針對(duì)潛在或潛伏的病毒進(jìn)行快速響應(yīng)，同時(shí)能快速確認(rèn)全網(wǎng)其他設(shè)備是否感染（投標(biāo)人提供的安全服務(wù)商需提供確認(rèn)函證明能夠滿足響應(yīng)此項(xiàng)要求并加蓋原廠商公章）。投標(biāo)人提供的安全服務(wù)廠商應(yīng)能實(shí)現(xiàn)對(duì)已失陷的主機(jī)進(jìn)行詳細(xì)分析，包含攻擊階段分布、風(fēng)險(xiǎn)等級(jí)趨勢(shì)、安全事件舉證、遭受的外部攻擊、存在的漏洞風(fēng)險(xiǎn)、行為畫像、開放端口等信息。攻擊階段包含存在漏洞、遭受攻擊、C&C通信、黑產(chǎn)牟利、內(nèi)網(wǎng)探針、內(nèi)網(wǎng)擴(kuò)散、盜?。ㄍ稑?biāo)人提供的安全服務(wù)商需提供確認(rèn)函證明能夠滿足響應(yīng)此項(xiàng)要求并加蓋原廠商公章）。已有控制措施評(píng)估依據(jù)相關(guān)國(guó)家標(biāo)準(zhǔn)或國(guó)際標(biāo)準(zhǔn)，對(duì)招標(biāo)方已部署的安全設(shè)備、已制定管理體系及其他控制措施進(jìn)行識(shí)別。根據(jù)識(shí)別結(jié)果的現(xiàn)狀，提出建設(shè)性意見，避免重復(fù)采購(gòu)相關(guān)設(shè)備或服務(wù)。風(fēng)險(xiǎn)分析投標(biāo)人提供的安全服務(wù)廠商應(yīng)組織專家團(tuán)隊(duì)，對(duì)存在和潛在的風(fēng)險(xiǎn)進(jìn)行全面分析，保證風(fēng)險(xiǎn)分析的科學(xué)性、合理性及風(fēng)險(xiǎn)處置的可操作性。投標(biāo)人提供的安全服務(wù)廠商應(yīng)在風(fēng)險(xiǎn)分析完成后，組織召開相關(guān)會(huì)議，將風(fēng)險(xiǎn)評(píng)估實(shí)施過程全生命周期發(fā)現(xiàn)的情況或問題統(tǒng)一反饋，并提出可落地的建議或方案。攻防演練服務(wù)流程攻防演練應(yīng)按照以下要求實(shí)施：投標(biāo)人提供的安全服務(wù)廠商應(yīng)確定目標(biāo)對(duì)象后提供攻防演練服務(wù)方案和服務(wù)申請(qǐng)，內(nèi)容必須包括但不限于：攻防演練方法和流程；攻防演練工具；攻防演練面臨的風(fēng)險(xiǎn)和規(guī)避措施；攻防演練時(shí)間和地點(diǎn)；攻防演練人員。招標(biāo)方授權(quán)后，投標(biāo)人提供的安全服務(wù)廠商應(yīng)通過模擬黑客攻擊行為通過本地或遠(yuǎn)程方式對(duì)目標(biāo)對(duì)象進(jìn)行非破壞性的入侵測(cè)試。3）攻防演練應(yīng)至少包括以下方面的工作內(nèi)容：WEB應(yīng)用系統(tǒng)滲透；主機(jī)操作系統(tǒng)滲透；數(shù)據(jù)庫(kù)系統(tǒng)滲透。投標(biāo)人提供的安全服務(wù)廠商應(yīng)將發(fā)現(xiàn)的脆弱性及時(shí)向招標(biāo)方反饋，并在后續(xù)提出可落地的整改建議或方案。服務(wù)交付物《滲透測(cè)試報(bào)告》、《攻防演練報(bào)告》投標(biāo)人提供的安全服務(wù)廠商資質(zhì)要求資質(zhì)要求★1、投標(biāo)人提供的安全服務(wù)廠商具備國(guó)家信息安全測(cè)評(píng)服務(wù)資質(zhì)證書—安全工程類一級(jí)★2、投標(biāo)人提供的安全服務(wù)廠商具備信息安全管理體系認(rèn)證證書（ISO/IEC27001）★3、投標(biāo)人提供的安全服務(wù)廠商需是國(guó)家信息安全漏洞庫(kù)CNNVD技術(shù)支撐單位★4、投標(biāo)人提供的安全服務(wù)廠商在川有常駐技術(shù)團(tuán)隊(duì)以上資質(zhì)要求為必須滿足項(xiàng)，不滿足廢除其參與磋商談判資格。投標(biāo)人提供的安全服務(wù)廠商具備CS-CMMI5認(rèn)證投標(biāo)人提供的安全服務(wù)廠商軟件研發(fā)實(shí)力需通過CMMIL5認(rèn)證投標(biāo)人提供的安全服務(wù)廠商應(yīng)是國(guó)家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心網(wǎng)絡(luò)安全應(yīng)急服務(wù)國(guó)家級(jí)支撐單位投標(biāo)人提供的安全服務(wù)廠商需是中國(guó)反網(wǎng)絡(luò)病毒聯(lián)盟ANVA成員單位；投標(biāo)人提供的安全