響應技術資料表

響應技術資料表請根據(jù)所響應的實際情況，逐條對應本項目附件1“采購需求一覽表”中的內(nèi)容及要求詳細填寫相應的具體內(nèi)容?！捌x說明”一欄選擇“正偏離”、“負偏離”或“無偏離”進行填寫。分項（有分項時填寫）序號采購文件需求響應文件承諾偏離說明服務采購內(nèi)容及要求服務名所提供服務的內(nèi)名稱稱容南中寧心工L一、主要用途：全面分析南寧中心血站目前信息系統(tǒng)的安全現(xiàn)狀，深入挖掘各種存在的信息安全隱患，對系統(tǒng)的現(xiàn)狀進行分析，與行業(yè)內(nèi)所需要的安全目標之間的差距，并以此促進未來的信息安全規(guī)劃，構建動態(tài)、完整、高效的南寧中心血站信息安全保障體系，逐步形成持續(xù)完善、自我優(yōu)化的安全運維體系和管理體系，提高南寧中心血站信息系統(tǒng)的整體安全能力。二、服務內(nèi)容：南寧中正偏血站1、作為模擬攻擊方，最大限度模擬真心血站離2022實黑客的攻擊手法，在不采用破壞性2022年請?zhí)钊胭F單位響(負1年信攻擊行為的前提下，對選定目標系統(tǒng)信息系偏離息系-T/t-進行不限制攻擊路徑、不限制攻擊手統(tǒng)攻防應的內(nèi)容。或無統(tǒng)攻法的實戰(zhàn)化攻擊測試，以系統(tǒng)提權、演練服偏防演控制業(yè)務、獲取數(shù)據(jù)為目標，最大程務離）練服度暴露單位的網(wǎng)絡攻擊路徑和安全風務險、發(fā)現(xiàn)單位拿權防護和威脅發(fā)現(xiàn)短板，深入評估單位的網(wǎng)絡安全防護能力。2、對南寧中心血站選定的1個靶標系統(tǒng)作為目標對象，按照約定的時間進行非破壞性的實戰(zhàn)化攻擊測試，在確保不采取破壞性測試方法的前提下，模擬真實黑客的攻擊思路和方法，以最終控制標靶系統(tǒng)、獲取標靶系統(tǒng)數(shù)據(jù)為目的，從互聯(lián)網(wǎng)側(cè)遠程對南寧市中心血站包括但不限于標靶系統(tǒng)發(fā)起攻擊，以檢查發(fā)現(xiàn)可能的入侵路徑，有效檢測南寧中心血站網(wǎng)絡安全防御體系的有效性，發(fā)現(xiàn)存在的網(wǎng)絡安全問題和弱點，具體內(nèi)容如下：(1)互聯(lián)網(wǎng)定向信息收集：充分結合自動化工具和專家檢測，采取主動探測、被動搜集等方式方法充分收集南寧市中心血站互聯(lián)網(wǎng)側(cè)的敏感資產(chǎn)信息，為具體的攻擊測試提供信息支撐；(2)互聯(lián)網(wǎng)側(cè)攻擊：按照真實攻擊者的攻擊思路和方式方法，對南寧市中心血站互聯(lián)網(wǎng)測的資產(chǎn)開展攻擊測試，以突破互聯(lián)網(wǎng)邊界、建立滲透進入內(nèi)網(wǎng)的據(jù)點為目標；(3)內(nèi)網(wǎng)側(cè)攻擊：當互聯(lián)網(wǎng)側(cè)存在可被利用的漏洞并成功建立攻擊據(jù)點后，攻擊隊人員將采用內(nèi)網(wǎng)滲透方法進一步對南寧市中心血站的內(nèi)容執(zhí)行滲透攻擊，攻擊標靶系統(tǒng)、控制更多的系統(tǒng)、獲取更多的數(shù)據(jù)；(4)評估解讀：評估工作完成后，要求為南寧市中心血站提供針對整體攻擊過程的報告解讀支持，以協(xié)助南寧市中心血站分析安全弱點、為安全整改工作提供建議?！?5)網(wǎng)絡安全意識培訓服務：在服務期內(nèi)，面向采購人單位全員開展專業(yè)的網(wǎng)絡安全意識培訓，提高個人隱私保護、常規(guī)攻擊防護、信息安全管理等能力，增強個人網(wǎng)絡安全防護意識，降低網(wǎng)絡攻擊風險，累計培訓次數(shù)不少于1次?！锶⒎找螅?、服務次數(shù)：作為模擬攻擊方在服務期內(nèi)提供1次攻擊測試；其中之一。2、服務時長：提供為期5天的模擬攻擊方的評估攻擊測試，如已獲取標靶系統(tǒng)控制權可提前結束；3、服務范圍：南寧市中心血站1個標靶系統(tǒng)；4、評估報告輸出：模擬攻擊方評估工作完成后，5個工作日內(nèi)提交評估報告。5、服務人員數(shù)量要求：為保證服務質(zhì)量，服務提供商自帶自動化滲透測試工具。要求項目實施團隊人員包含項目經(jīng)理、技術經(jīng)理、攻擊隊成員且攻擊隊成員人數(shù)不小于3人。實施攻擊的天數(shù)不少于5天，已獲取靶標系統(tǒng)控制權限除外。6、企業(yè)資質(zhì)要求：（1）具有CCRC信息安全服務資質(zhì)-安全集成服務資質(zhì)；（2）具有CCRC信息安全服務資質(zhì)-風險評估服務資質(zhì)；以上資質(zhì)證書須在有效期內(nèi)，提供各項資質(zhì)證書的復印件并加蓋公早。7、企業(yè)攻防實力要求：（1）提供近2年（2020年-2021年）內(nèi)獲得國家級或省級（自治區(qū)級）網(wǎng)絡安全技術大賽一等獎證書；（2）具有國家級或省級（自治區(qū)）網(wǎng)絡安全應急服務支撐單位證書；（3）具有CNVD原創(chuàng)漏洞證明。以上要求需提供相關獲獎證明材料并加蓋公章。8、服務人員能力要求：（1）項目經(jīng)理要求：具有9年以上網(wǎng)絡安全工作經(jīng)驗，且常駐廣西區(qū)域；且具有高級信息系統(tǒng)項目管理師、高級工程師職稱證書、系統(tǒng)架構設計師資質(zhì)、PMP或PMEC（2）技術經(jīng)理能力要求：具有6年以上網(wǎng)絡安全工作經(jīng)驗,且常駐廣西區(qū)域；同時具備網(wǎng)絡工程師、CISP資質(zhì)，需提供相關證明截圖;（3）攻擊隊成員能力要求：具有3年以上網(wǎng)絡安全工作經(jīng)驗,同時攻擊隊隊長須具備CISP-PTS認證證書，需提供相關證明截圖。以上人員均需提供員工近三個月社保證明并加蓋公章。9、自動化滲透測試工具要求：為保證服務質(zhì)量，成交供應商自帶自動化滲透測試工具。（1）實現(xiàn)自動化滲透測試，貫穿整個滲透過程的操作，包括信息收集、插件管理、指紋管理、漏洞發(fā)現(xiàn)、漏洞利用、后滲透攻擊等模塊；（2）提供一鍵進行漏洞高級功能利用，如執(zhí)行命令等。四、其他要求：1、提供自2018年以來在國家信息安全漏洞共享平臺（CNVD漏洞庫：）發(fā)布的任意年度漏洞成員單位工作貢獻排名前十名，需提供網(wǎng)站排名截圖并加蓋公章。2、提供自2019年起在廣西區(qū)公安廳組織開展的網(wǎng)絡實戰(zhàn)攻防演習中獲獎證明材料。3、提供在公安部HW中獲得“最佳攻擊團隊”或“優(yōu)秀攻擊團隊”或“安全管理優(yōu)秀團隊”獎項，需提供相關獲獎證明材料并加蓋公章?！?、要求在廣西本地設立分公司或辦事處，須提供房屋產(chǎn)權或租賃證明復印件等相關證明文件?！?、提供與本次采購內(nèi)容類似項目成功案例相關證明（至少1個）。分項（有