網(wǎng)絡(luò)安全認(rèn)證場景建設(shè)項目需求_第1頁
網(wǎng)絡(luò)安全認(rèn)證場景建設(shè)項目需求_第2頁
網(wǎng)絡(luò)安全認(rèn)證場景建設(shè)項目需求_第3頁
網(wǎng)絡(luò)安全認(rèn)證場景建設(shè)項目需求_第4頁
網(wǎng)絡(luò)安全認(rèn)證場景建設(shè)項目需求_第5頁
免費預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

網(wǎng)絡(luò)安全認(rèn)證場景建設(shè)項目需求(一)需求清單包號序號名稱數(shù)量單位備注11逆向分析認(rèn)證場景1套2二進(jìn)制漏洞挖掘與利用認(rèn)證場景1套3Web安全認(rèn)證場景1套(二)詳細(xì)技術(shù)指標(biāo)序號需求內(nèi)容技術(shù)指標(biāo)要求1逆向分析認(rèn)證場景提供的認(rèn)證場景應(yīng)具備六個認(rèn)證方向,包括逆向分析基礎(chǔ)、低級語言分析、文件格式分析、靜態(tài)分析對抗、動態(tài)調(diào)試對抗和脫殼分析。逆向分析基礎(chǔ)方向應(yīng)涵蓋函數(shù)掛鉤、虛函數(shù)調(diào)用、異常處理等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。低級語言分析方向應(yīng)涵蓋Intel匯編語言分析、ARM匯編語言分析、MIPS匯編語言分析、Smali語言分析和MSIL語言分析等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。文件格式分析方向應(yīng)涵蓋PE文件格式分析和ELF文件格式分析等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。靜態(tài)分析對抗方向應(yīng)涵蓋花指令混淆、LLVM混淆、字符串加密、API動態(tài)調(diào)用等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。動態(tài)調(diào)試對抗方向應(yīng)涵蓋BeingDebugged檢測反調(diào)試、NtGlobalFlag檢測反調(diào)試、HeapMagic檢測反調(diào)試、ProcessDebugPort檢測反調(diào)試、DebugObject檢測反調(diào)試、0xCC斷點檢測反調(diào)試等反調(diào)試技術(shù),每個知識點應(yīng)至少包含一個認(rèn)證場景。脫殼分析方向應(yīng)涵蓋UPX脫殼、UPX變種脫殼、ASPack脫殼、ASProtect脫殼等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。應(yīng)至少提供53個逆向分析認(rèn)證場景,每個場景除環(huán)境外,還應(yīng)包括場景描述、標(biāo)準(zhǔn)答案和解題手冊。2二進(jìn)制漏洞挖掘與利用認(rèn)證場景提供的認(rèn)證場景應(yīng)具備三個認(rèn)證方向,包括基礎(chǔ)知識、漏洞利用、緩解機(jī)制繞過。基礎(chǔ)知識方向應(yīng)涵蓋函數(shù)調(diào)用過程、堆管理器原理、Shellcode編寫等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。漏洞利用方向應(yīng)涵蓋棧緩沖區(qū)溢出利用、堆緩沖區(qū)溢出利用、釋放后重引用利用、雙重釋放利用、整數(shù)溢出利用、內(nèi)存未初始化利用、條件競爭利用、類型混淆利用、格式化字符串利用、空指針引用利用等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。緩解機(jī)制繞過方向應(yīng)涵蓋DEP繞過、ASLR繞過、GS(StackCookie)繞過、SafeSEH繞過、SEHOP繞過、CFG繞過、SMEP繞過等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。應(yīng)至少提供30個二進(jìn)制漏洞挖掘與利用認(rèn)證場景,每個場景除環(huán)境外,還應(yīng)包括場景描述、標(biāo)準(zhǔn)答案和解題手冊。3Web安全認(rèn)證場景提供的認(rèn)證場景應(yīng)具備十三個認(rèn)證方向,包括跨站腳本攻擊(XSS)、跨站請求偽造(CSRF)、服務(wù)端信息泄露、SQL注入、文件包含、文件上傳、身份認(rèn)證和訪問控制、反序列化、CMS/WEB框架安全、數(shù)據(jù)庫安全、WEBSHELL、Web中間件安全、其他Web安全問題??缯灸_本攻擊(XSS)方向應(yīng)涵蓋反射型XSS、存儲型XSS、DOM型XSS等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景??缯菊埱髠卧?CSRF)方向應(yīng)涵蓋GET型CSRF、POST型CSRF等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。服務(wù)端信息泄露方向應(yīng)涵蓋目錄遍歷、文件泄露、源碼泄露、Git信息泄露、SVN信息泄露等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。SQL注入方向應(yīng)涵蓋布爾盲注、時間盲注、報錯注入、聯(lián)合查詢注入、寬字節(jié)注入、二次注入等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。文件包含方向應(yīng)涵蓋本地文件包含、遠(yuǎn)程文件包含等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。文件上傳方向應(yīng)涵蓋截斷上傳、雙重后綴欺騙上傳、雙重后綴欺騙上傳、解析漏洞上傳等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。身份認(rèn)證和訪問控制方向應(yīng)涵蓋弱口令爆破、驗證繞過、未授權(quán)訪問等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。反序列化方向應(yīng)涵蓋JAVA反序列化、PHP反序列化、Python反序列化等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。CMS/WEB框架安全方向應(yīng)涵蓋Struts2漏洞利用、SpringMVC漏洞利用、Django漏洞利用、WordPress漏洞利用、Joomla漏洞利用、DeDeCMS漏洞利用等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。數(shù)據(jù)庫安全方向應(yīng)涵蓋MySQL數(shù)據(jù)庫安全、SQLServer數(shù)據(jù)庫安全、MongoDB數(shù)據(jù)庫安全、PostgreSQL數(shù)據(jù)庫安全、Redis數(shù)據(jù)庫安全、ElasticSearch數(shù)據(jù)庫安全等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。WEBSHELL方向應(yīng)涵蓋一句話木馬、ASPWebShell、JSPWebShell、PHPWebShell、圖片WebShell、WebShell混淆隱藏、WebShell查殺等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。Web中間件安全方向應(yīng)涵蓋Web容器中間件、消息中間件、網(wǎng)關(guān)中間件等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。其他Web安全問題方向應(yīng)涵蓋命令注入、邏輯漏洞利用、XML注入、Cookie注入、Xpath注入、CRLF注入等知識點,每個知識點應(yīng)至少包含一個認(rèn)證場景。應(yīng)至少提供157個Web安全認(rèn)證場景,每個場景除環(huán)境外,還應(yīng)包括場景描述、標(biāo)準(zhǔn)答案和解題手冊。(三)培訓(xùn)要求必須提供但不限于以下培訓(xùn)要求:2.1實地現(xiàn)場培訓(xùn):在設(shè)備安裝、調(diào)試完后,中標(biāo)供應(yīng)商須派出熟悉本項目的技術(shù)人員對用戶的相關(guān)技術(shù)人員進(jìn)行現(xiàn)場培訓(xùn)。培訓(xùn)內(nèi)容包括設(shè)備的參數(shù)的設(shè)置、操作、維護(hù)保養(yǎng)、應(yīng)急處理、簡單故障排除、終端技術(shù)等,以確保采購人能夠?qū)ω浳镉凶銐虻牧私夂褪煜?,能夠獨立進(jìn)行日常的維護(hù)、保養(yǎng)和管理。2.2中標(biāo)供應(yīng)商必須為所有被培訓(xùn)人員提供培訓(xùn)用文字資料和講義等相關(guān)用品。所有的資料必須是中文書寫。2.3中標(biāo)供應(yīng)商應(yīng)將所有培訓(xùn)費用(含培訓(xùn)教材、差旅、食宿費用等)納入設(shè)備報價。2.4必須根據(jù)采購的設(shè)備及采用的相關(guān)技術(shù),提供全面的培訓(xùn)計劃和課程內(nèi)容安排。2.5列出具體計劃并安排實施高水平的培訓(xùn)。2.6培訓(xùn)應(yīng)包括所有設(shè)備的安裝和維護(hù)、常見故障現(xiàn)象及診斷、常見問題及解決辦法、操作系統(tǒng)使用等。(四)驗收標(biāo)準(zhǔn)3.1采購人組織設(shè)備使用單位及相關(guān)部門嚴(yán)格依據(jù)項目合同標(biāo)的及清單逐一清點核查,實施項目試運行前的初驗收,并確認(rèn)項目初驗收報告。3.2貨物為原制造商制造的全新產(chǎn)品,無污染,無侵權(quán)行為、表面無劃損、無任何缺陷隱患,在中國境內(nèi)可依常規(guī)安全合法使用。3.3交付驗收標(biāo)準(zhǔn)投標(biāo)人提供的貨物應(yīng)按必須符合最新的中華人民共和國國家安全環(huán)保標(biāo)準(zhǔn)、國家有關(guān)產(chǎn)品質(zhì)量認(rèn)證標(biāo)準(zhǔn)。若在供貨過程中所采用的某項標(biāo)準(zhǔn)或規(guī)范在本采購文件中沒有規(guī)定,則投標(biāo)人應(yīng)詳細(xì)說明其所采用的標(biāo)準(zhǔn)和規(guī)范,并提供該標(biāo)準(zhǔn)或規(guī)范的完整中文文件給采購人,只有投標(biāo)人采用的標(biāo)準(zhǔn)和規(guī)范是國家、國際公認(rèn)的、慣

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論