全省稅務(wù)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)漏洞挖掘服務(wù)需求

全省稅務(wù)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)漏洞挖掘服務(wù)需求一、項(xiàng)目背景隨著稅收信息化的不斷發(fā)展，越來(lái)越多的涉稅業(yè)務(wù)辦理事項(xiàng)已通過(guò)互聯(lián)網(wǎng)方式為納稅人、繳費(fèi)人提供服務(wù)，為納稅人和繳費(fèi)人提供了多元、便捷的服務(wù)方式，進(jìn)一步提高了辦稅效率和納稅服務(wù)質(zhì)量。但與此同時(shí)開放的互聯(lián)網(wǎng)也為網(wǎng)絡(luò)黑客提供了可乘之機(jī)，通過(guò)隱蔽的系統(tǒng)漏洞大量盜取涉稅數(shù)據(jù)等重要敏感信息，具有極大的危害性。為提升稅務(wù)信息系統(tǒng)安全防護(hù)水平和漏洞挖掘能力，以及針對(duì)重大事件應(yīng)急響應(yīng)能力，現(xiàn)擬進(jìn)行全省稅務(wù)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)漏洞挖掘服務(wù)的工作，查找可能存在的隱匿系統(tǒng)漏洞和安全威脅，進(jìn)行安全整改加固和應(yīng)急響應(yīng)工作，以實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的早預(yù)警、早發(fā)現(xiàn)、早處置目標(biāo)。二、服務(wù)內(nèi)容針對(duì)全省稅務(wù)系統(tǒng)所有互聯(lián)網(wǎng)應(yīng)用系統(tǒng)（含微信公眾號(hào)、微信小程序、移動(dòng)APP、快應(yīng)用等）進(jìn)行為期一年共4次全方位、深度的安全漏洞挖掘服務(wù)，每次漏洞挖掘時(shí)間不少于15天，每次至少需發(fā)現(xiàn)15個(gè)中高危漏洞。1、漏洞挖掘平臺(tái)提供漏洞挖掘系統(tǒng)或平臺(tái)，需具備以下能力：1.1漏洞挖掘平臺(tái)應(yīng)全站支持SSL加密通信，并對(duì)平臺(tái)自身進(jìn)行過(guò)專業(yè)安全檢測(cè)。1.2漏洞挖掘平臺(tái)注冊(cè)白帽子不少于4萬(wàn)，平臺(tái)完成不少于2個(gè)漏洞挖掘項(xiàng)目案例。1.3漏洞挖掘平臺(tái)可以對(duì)http、https進(jìn)行全流量分析，全過(guò)程無(wú)死角；服務(wù)全程可視化，通過(guò)對(duì)流量數(shù)據(jù)的監(jiān)測(cè)分析及數(shù)據(jù)間的關(guān)聯(lián)關(guān)系判斷，識(shí)別當(dāng)前動(dòng)作所處攻擊環(huán)節(jié)，同時(shí)定位攻擊發(fā)起時(shí)間、攻擊利用位置、攻擊源等信息，能夠?qū)y(cè)試動(dòng)作進(jìn)行還原描繪，按照攻擊鏈理論將測(cè)試動(dòng)作映射到攻擊鏈模型上，形成完整攻擊鏈可視，使安全服務(wù)過(guò)程“實(shí)戰(zhàn)化”呈現(xiàn)。1.4漏洞挖掘平臺(tái)應(yīng)支持對(duì)測(cè)試參與人員的管理，對(duì)違規(guī)人員進(jìn)行踢出操作；配合行為審計(jì)能力，一旦發(fā)現(xiàn)測(cè)試過(guò)程中存在惡意、違規(guī)行為，能立即撤銷測(cè)試賬號(hào)權(quán)限，從而阻斷測(cè)試通道，防止產(chǎn)生后續(xù)損失。1.5漏洞挖掘平臺(tái)能夠根據(jù)采購(gòu)人要求設(shè)置加入限制條件，通過(guò)漏洞挖掘平臺(tái)人員信譽(yù)體系多維度指標(biāo)可以進(jìn)行參與漏洞挖掘人員篩選，可設(shè)置最低參與測(cè)試人員分值以確保參與漏洞挖掘白帽子的可信度從而保證項(xiàng)目質(zhì)量。2、漏洞挖掘服務(wù)通過(guò)對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行深度漏洞挖掘服務(wù)，查找可能存在的隱匿系統(tǒng)漏洞和安全威脅，并協(xié)助采購(gòu)人進(jìn)行安全整改加固和應(yīng)急處置工作，以實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的早預(yù)警、早發(fā)現(xiàn)、早處置目標(biāo)。2.1針對(duì)性的測(cè)試針對(duì)性測(cè)試需包含各種威脅（包括但不限于web應(yīng)用安全風(fēng)險(xiǎn)、業(yè)務(wù)安全風(fēng)險(xiǎn)、配置不當(dāng)、弱口令等）所帶來(lái)的風(fēng)險(xiǎn)，覆蓋OWASPTOP10漏洞類型及近幾年爆出的漏洞類型。應(yīng)對(duì)最新披露的0DAY漏洞、Nday漏洞，第一時(shí)間組織測(cè)試團(tuán)隊(duì)針對(duì)采購(gòu)人各互聯(lián)網(wǎng)信息系統(tǒng)、APP、PC客戶端等進(jìn)行驗(yàn)證，確保采購(gòu)人最低程度受0DAY漏洞、Nday漏洞影響。要針對(duì)發(fā)現(xiàn)各種威脅漏洞提出解決方案，確保幫助采購(gòu)人將風(fēng)險(xiǎn)降至最低。2.2Web應(yīng)用安全風(fēng)險(xiǎn)檢測(cè)在不同的位置（比如從內(nèi)網(wǎng)、從外網(wǎng)等位置）通過(guò)模擬惡意黑客的攻擊方法，利用各種手段對(duì)某個(gè)特定應(yīng)用系統(tǒng)進(jìn)行測(cè)試與分析。要根據(jù)采購(gòu)人要求發(fā)現(xiàn)和挖掘采購(gòu)人所有互聯(lián)網(wǎng)應(yīng)用系統(tǒng)中存在的漏洞和薄弱環(huán)節(jié)，幫助業(yè)務(wù)系統(tǒng)降低和消除這些應(yīng)用系統(tǒng)中的安全風(fēng)險(xiǎn)，提高信息系統(tǒng)安全保障能力，保障信息系統(tǒng)正常運(yùn)行。2.3業(yè)務(wù)安全風(fēng)險(xiǎn)檢測(cè)為了充分了解業(yè)務(wù)系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅，需要采取模擬黑客攻擊的方式通過(guò)人工手段進(jìn)行黑盒和白盒測(cè)試，發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)中存在的可能被利用的系統(tǒng)漏洞、web應(yīng)用漏洞、業(yè)務(wù)邏輯漏洞、攻擊途徑、后果危害等安全威脅。要通過(guò)人工滲透測(cè)試的方式開展業(yè)務(wù)安全評(píng)估，確保檢測(cè)準(zhǔn)確性。要對(duì)被評(píng)估系統(tǒng)進(jìn)行業(yè)務(wù)流程的分析，發(fā)現(xiàn)存在于業(yè)務(wù)數(shù)據(jù)交互過(guò)程中的安全隱患，并對(duì)后期進(jìn)行安全策略審核提供事實(shí)基礎(chǔ)，確保降低業(yè)務(wù)安全風(fēng)險(xiǎn)。2.4弱口令檢測(cè)系統(tǒng)弱口令檢查情況包括：操作系統(tǒng)、數(shù)據(jù)庫(kù)等弱口令狀況，測(cè)試范圍支持服務(wù)范圍內(nèi)的公網(wǎng)系統(tǒng)，包含web、app、pc客戶端、智能硬件在內(nèi)的產(chǎn)品或系統(tǒng)。包括但不限于主機(jī)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、云資源池和大數(shù)據(jù)平臺(tái)組件、業(yè)務(wù)系統(tǒng)、平臺(tái)等弱口令核查和撞庫(kù)。要對(duì)采購(gòu)人所有資產(chǎn)開展弱口令檢測(cè)，確保弱口令檢測(cè)全方位全覆蓋，最大程度降低弱口令對(duì)系統(tǒng)安全的影響。2.5人工審核與漏洞驗(yàn)證針對(duì)平臺(tái)測(cè)試人員挖掘出的漏洞，應(yīng)分配專職的漏洞審核人員，詳細(xì)設(shè)定各項(xiàng)漏洞定義與等級(jí)標(biāo)準(zhǔn)。要嚴(yán)格按照標(biāo)準(zhǔn)判定漏洞有效性、評(píng)審漏洞等級(jí)，保障結(jié)果公平公正。針對(duì)挖掘出的漏洞要及時(shí)提供漏洞修復(fù)建議，并協(xié)助采購(gòu)人完成漏洞修復(fù)，確保最大程度降低漏洞風(fēng)險(xiǎn)影響。3、復(fù)測(cè)服務(wù)提供復(fù)測(cè)方案，需圍繞服務(wù)開展計(jì)劃、服務(wù)人員安排、服務(wù)實(shí)施進(jìn)度、復(fù)測(cè)及時(shí)性承諾等方面進(jìn)行闡述。要對(duì)修復(fù)后的漏洞開展復(fù)測(cè)，驗(yàn)證漏洞是否修復(fù)完好。要在用戶申請(qǐng)后的7日內(nèi)反饋復(fù)測(cè)結(jié)果，復(fù)測(cè)次數(shù)不限。確保發(fā)現(xiàn)的所有漏洞都被修復(fù)，保障采購(gòu)人互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全運(yùn)行。4、漏洞預(yù)警服務(wù)需向采購(gòu)人提供漏洞預(yù)警服務(wù)方案，需從漏洞信息、影響范圍、應(yīng)急響應(yīng)等方面進(jìn)行闡述。在服務(wù)期內(nèi)，需預(yù)警相應(yīng)網(wǎng)站數(shù)量的漏洞安全服務(wù)，包括但不限于緊急重大類行業(yè)漏洞信息、安全事件、重大輿情信息、重要系統(tǒng)漏洞級(jí)補(bǔ)丁信息等。要以最直接方式向用戶告知漏洞對(duì)用戶應(yīng)用系統(tǒng)的危害、影響范圍及修補(bǔ)方案等信息，必要時(shí)提供現(xiàn)場(chǎng)應(yīng)急響應(yīng)支持服務(wù),確保采購(gòu)人能及時(shí)了解安全行業(yè)最新動(dòng)態(tài)，及時(shí)更新漏洞信息。三、項(xiàng)目要求1、團(tuán)隊(duì)人員要求1.1應(yīng)組建不少于15人的專業(yè)資深測(cè)試團(tuán)隊(duì)參加項(xiàng)目實(shí)施，其中1人為項(xiàng)目負(fù)責(zé)人。1.2參與眾測(cè)服務(wù)測(cè)試人員對(duì)參與安全眾測(cè)的白帽子均應(yīng)完成實(shí)名認(rèn)證，在提供服務(wù)時(shí)提供測(cè)試人員ID和姓名，確保人員來(lái)歷有據(jù)可循，保證測(cè)試過(guò)程安全可控。1.3擬派的項(xiàng)目負(fù)責(zé)人工作經(jīng)驗(yàn)不少于10年，具有系統(tǒng)架構(gòu)設(shè)計(jì)師、信息系統(tǒng)項(xiàng)目管理師和系統(tǒng)分析師中的任意2項(xiàng)證書。1.4擬派的漏洞挖掘服務(wù)團(tuán)隊(duì)成員至少5人具有系統(tǒng)架構(gòu)設(shè)計(jì)師、信息系統(tǒng)項(xiàng)目管理師、系統(tǒng)分析師和網(wǎng)絡(luò)工程師中任意1項(xiàng)證書。2、項(xiàng)目實(shí)施要求2.1對(duì)稅務(wù)系統(tǒng)其它未登記的應(yīng)用系統(tǒng)進(jìn)行發(fā)現(xiàn)，必須征得省局同意獲得授權(quán)后方可進(jìn)行測(cè)試。2.2應(yīng)按照采購(gòu)人指定的時(shí)間段和業(yè)務(wù)范圍開展安全漏洞挖掘，要保證測(cè)試的全面性、真實(shí)性、深入性，盡量發(fā)現(xiàn)應(yīng)用系統(tǒng)所存在的網(wǎng)絡(luò)安全問(wèn)題和面臨的網(wǎng)絡(luò)安全威脅。2.3組織開展的檢測(cè)服務(wù)過(guò)程應(yīng)由自身審計(jì)設(shè)備進(jìn)行全過(guò)程審計(jì)監(jiān)督，確保其規(guī)范性、合法性。2.4在服務(wù)期內(nèi)只能驗(yàn)證漏洞是否存在，不得影響系統(tǒng)運(yùn)行或獲取數(shù)據(jù)。2.5對(duì)服務(wù)期間發(fā)現(xiàn)的漏洞，及時(shí)提供漏洞報(bào)告并制定安全加固方案，協(xié)助用戶開展安全加固工作和回歸測(cè)試。2.6不得將服務(wù)期間發(fā)現(xiàn)的漏洞以任何形式公布在互聯(lián)網(wǎng)上。3、其他要求（1）服務(wù)對(duì)應(yīng)產(chǎn)出物均需經(jīng)采購(gòu)人評(píng)審?fù)ㄟ^(guò)視為服務(wù)交付完成；（2）服務(wù)對(duì)象、服務(wù)方式等不定因素均由采購(gòu)人進(jìn)行決定；（3）服務(wù)提供方所制定的方案以及具體實(shí)施的時(shí)間等內(nèi)容，均需及時(shí)與采購(gòu)人溝通，由采購(gòu)人確認(rèn)后方可實(shí)施，不得擅自開展。四、安全與保密要求1.及其項(xiàng)目派出駐場(chǎng)人員須與采購(gòu)人簽訂保密協(xié)議，駐場(chǎng)人員須遵循采購(gòu)人的各項(xiàng)安全制度，對(duì)漏洞挖掘中發(fā)現(xiàn)的各類系統(tǒng)漏洞等安全隱患應(yīng)做到絕對(duì)保密，不可向任何第三方泄露系統(tǒng)安全漏洞信息、漏洞挖掘腳本和攻擊手法等敏感信息。2.本項(xiàng)目所接觸的國(guó)家稅務(wù)總局各應(yīng)用系統(tǒng)的相關(guān)信息只允許本人在本項(xiàng)目中使用，保守采購(gòu)人工作秘密，保守納稅人商業(yè)秘密，不得以任何形式向他人泄露。若違反保密協(xié)議造成損失，相關(guān)責(zé)任由供應(yīng)商承擔(dān)。3.項(xiàng)目派出人員的工作成果歸采購(gòu)人所有，未征得采購(gòu)人書面同意不得將技術(shù)資料泄露給其他人員及單位。如違反上述協(xié)議內(nèi)容，采購(gòu)人將保留追究供應(yīng)商法律責(zé)任的權(quán)利。五、服務(wù)質(zhì)量要求1.服務(wù)按年進(jìn)行服務(wù)質(zhì)量考核，并根據(jù)服務(wù)交付物決定是否扣款，扣完為止。2.在服務(wù)年度，未及時(shí)提交漏洞分析報(bào)告，每個(gè)漏洞扣合同金額的2%；驗(yàn)收時(shí)，每次漏洞挖掘未發(fā)現(xiàn)15個(gè)以上導(dǎo)致業(yè)務(wù)危害的中高危等級(jí)漏洞，按每少一個(gè)扣合同金額的2%；監(jiān)測(cè)到安全事件發(fā)生，未在30分鐘內(nèi)作出響應(yīng)，提供應(yīng)急響應(yīng)服務(wù)的，派專業(yè)安全人員到現(xiàn)場(chǎng)的，每次扣合同金額的10%。六、其他要求服務(wù)期及地點(diǎn)服務(wù)期：一年（自合同簽訂之日起）。服務(wù)地點(diǎn)：采購(gòu)人指定的工作地點(diǎn)。售后服務(wù)響應(yīng)情況重大網(wǎng)絡(luò)安全事件要求：服務(wù)提供方監(jiān)測(cè)到采購(gòu)人發(fā)生重大網(wǎng)絡(luò)安全事件（重要網(wǎng)絡(luò)和信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失，?導(dǎo)致系統(tǒng)長(zhǎng)時(shí)間中斷或局部癱瘓，?業(yè)務(wù)處理能力受到極大影響?）時(shí)，須在第一時(shí)間通知采購(gòu)人，并立即提供應(yīng)急技術(shù)處置方案。一般網(wǎng)絡(luò)安全事件（重要網(wǎng)絡(luò)和信息系統(tǒng)遭受較小的系統(tǒng)損失，?導(dǎo)致系統(tǒng)短時(shí)間中斷，?業(yè)務(wù)處理能力受到較小影響?）及時(shí)處置，并在下一工作日時(shí)提交相關(guān)報(bào)告。3.應(yīng)急響應(yīng)高級(jí)支持服務(wù)要求：服務(wù)提供方接到采購(gòu)人應(yīng)急響應(yīng)高級(jí)支持服務(wù)請(qǐng)求后必須立即做出實(shí)質(zhì)性響應(yīng)，對(duì)于采購(gòu)人的應(yīng)急響應(yīng)高級(jí)支持服務(wù)請(qǐng)求，服務(wù)提供方必須在30分鐘內(nèi)快速響應(yīng)，1小時(shí)內(nèi)提出解決方案，如2小時(shí)內(nèi)未能恢復(fù)正常，必須在4小時(shí)內(nèi)組織專家團(tuán)隊(duì)以最短時(shí)間到達(dá)現(xiàn)場(chǎng)提供服務(wù)，協(xié)助解決問(wèn)題。項(xiàng)目驗(yàn)收驗(yàn)收要求1.在滿足以下條件后，可提出項(xiàng)目驗(yàn)收申請(qǐng)：（1）按要求完成4次漏洞挖掘服務(wù)；（2）針對(duì)發(fā)現(xiàn)的所有安全漏洞，提交漏洞分析報(bào)告，漏洞分析報(bào)告至少包含漏洞分析和加固建議；（3）每次漏洞挖掘至少發(fā)現(xiàn)15個(gè)導(dǎo)致業(yè)務(wù)危害的中高危等級(jí)漏洞（漏洞評(píng)級(jí)標(biāo)準(zhǔn)參考國(guó)際組織OWASP漏洞標(biāo)準(zhǔn)）；2.應(yīng)配合完成項(xiàng)目的驗(yàn)收工作，提交項(xiàng)目驗(yàn)收相關(guān)產(chǎn)出物，經(jīng)項(xiàng)目單位確認(rèn)后進(jìn)行項(xiàng)目驗(yàn)收。3.交付成果：（1）《漏洞分析報(bào)告》；（2）《漏洞列表》；（3）《漏洞挖掘總結(jié)報(bào)告》；4.交付成果要求提