SFY2020022信息安全服务项目院内采购公告
SFY2020022信息安全服务项目院内采购公告
为提高我院信息系统安全防护水平,就“信息安全服务”进行院内公开采购,欢迎符合资格条件的厂商参加。
一、采购服务项目内容:
| 序号 | 服务项目 | 服务简述 | 数量 | 备注 | 预算 |
|---|---|---|---|---|---|
| 1 | 新系统上线测评 | 在新系统上线前,对其进行全面的安全评估,包括系统调研、渗透测试、漏洞检测,评估新系统的安全状况,查找不符合安全要求的配置项以及安全风险点 | 2个 | 9.9万 | |
| 2 | 网络安全梳理 | 针对现有的状况进行网络规划梳理,从系统资产、网络情况、安全域、安全保障体系等方面为用户设计网络安全架构,进行重新规划和整改 | 1次 | ||
| 3 | 应急响应 | 当安全威胁事件发生后迅速采取相应措施和行动,最快速度恢复系统的保密性、完整性和可用性,阻止和降低安全威胁事件带来的严重影响。 | 2次/年 | 提供不限次数对服务系统的应急响应服务 |
服务技术要求
(一) 新系统上线测评
1、系统上线流程规范要求:根据《中华人民共和国网络安全法》要求,在“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用”原则,结合《GB/T 30998-2014 信息技术 软件安全保障规范》具体安全需求,要求在软件系统开发全生命周期进行安全保障。在软件系统开发初期的需求分析和设计阶段,根据用户提出对软件的功能性需求,在保证软件功能正常实现的前提下提出安全性需求。在系统需求设计阶段,将安全理念糅合至软件系统设计中,满足系统设计之初的安全性要求。在软件系统进入开发阶段,通过和开发项目组成员的沟通和交流,提出开发过程中的安全性要求,灌输软件安全开发规范性意识,规避因为软件开发未遵循规范而可能导致的相关安全漏洞。在软件系统进入测试运行阶段,针对业务流程,底层平台,软件代码等各项安全指标进行全方位的安全评估,查找可能存在的安全隐患。在软件系统进入交付、验收和维护阶段,在系统部署在正式运行平台的基础上进行上线终测,针对可能试运行修复完成之后是否会引发新的漏洞进行测试,同时模拟黑客攻击,对系统进行黑盒测试,测试完成之后出具安全评估报告,作为验收阶段的重要补充。
2、系统上线评估指标要求,包括但不仅限于以下指标。
| 指标项 | 子项目 | 描述 |
| 信息收集 | 账号测试 | 测试运行帐号权限,运行Web服务器的操作系统帐号权限越高,那么系统遭到攻击产生的危害就越大。 |
| 端口测试 | 本测试目的在于发现服务器上未使用及存在风险的服务端口。 | |
| HTTP方法测试 | 测试是否开放了一些不必要的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY)。 | |
| 版本信息验证 | 测试WEB服务器版本,防止黑客利用banner攻击。 | |
| 文件、目录测试 | 敏感接口遍历 | 测试网站敏感目录信息。 |
| Robots.txt | 为了防止搜索引擎的爬虫访问敏感的目录接口,服务器上可能会编辑一个robots.txt文件,内容为需要保护的文件或目录名称。直接访问robots.txt文件能够获取一些可能的敏感接口 | |
| Web控制台 | 检查是否部署了Web服务器的控制台,控制台是否存在默认帐号、口令,是否存在弱口令。 | |
| 目录列表测试 | 所以在测试找出所有的目录列表漏洞。 | |
| 文件归档测试 | 在网站管理员的维护过程中,很多情况下会对程序或者页面进行备份,测试系统存在的备份文件。 | |
| 认证测试 | 验证码测试 | 测试是否有验证码机制,以及验证码机制是否完善。 |
| 认证错误提示 | 测试用于确认目标服务器在处理登陆操作时会提示出具体的信息。 | |
| 锁定策略测试 | 测试用于发现目标系统是否缺少锁定策略。 | |
| 认证绕过测试 | 发现目标认证系统是否存在绕过的可能。 | |
| 找回密码测试 | 测试密码找回功能是否存在缺陷。 | |
| 修改密码测试 | 测试密码修改功能是否存在缺陷。 | |
| 口令强度测试 | 测试为检查目标系统是否存在强口令策略。 | |
| 权限管理测试 | 横向测试 | 基于用户身份处理的横向越权操作测试,发现页面中存在的横向越权操作。 |
| 纵向测试 | 基于用户身份处理的纵向越权操作测试,发现页面中存在的纵向越权操作。 | |
| 上传下载测试 | 上传测试 | 本测试主要测试上传功能的安全性,很多系统提供文件上传功能(包括图片上传),如果在服务器端没有对上传文件的类型、大小以及保存的路径及文件名进行严格限制,攻击者就很容易上传后门程序取得WebShell,从而控制服务器。 |
| 下载测试 | 本测试主要测试下载功能的安全性,很多网站提供文件下载功能,如果网站对下载文件的权限控制不严,攻击者很容易利用目录跨越、越权下载到本不该下载的文件(比如其他用户的私有、敏感文件)。 | |
| 信息泄露测试 | 连接数据库账号加密测试 | 测试连接数据库的帐号密码是否加密。 |
| 异常处理测试 | 测试系统返回的错误信息是否泄露系统信息。 | |
| Web服务器状态信息测试 | 测试Web服务器状态信息,Web服务器默认会提供服务器状态信息查询功能,该功能容易泄漏系统信息,从而被攻击者利用。 | |
| 输入数据测试 | SQL注入测试 | 测试SQL注入漏洞,由于SQL注入有可能造成信息泄漏,在严重情况下(根据使用的数据库而定)甚至可能造成数据修改、删除,从而导致业务中断。 |
| 跨站脚本攻击测试 | 测试跨站脚本是否存在,由于跨站脚本会导致会话被劫持、敏感信息泄漏、账户被盗,严重时甚至造成数据修改、删除,从而导致业务中断。 | |
| 命令执行测试 | 测试某些页面可能接受类似于文件名的参数用于下载或者显示内容 | |
| 逻辑测试 | 业务逻辑 | 在了解系统业务的情况下,模拟业务场景,测试是否存在逻辑安全问题。 |
| Web Service | 服务接口测试 | 通过工具自动检查Web Service接口是否存在未授权,参数非法传入等安全问题。 |
| 数据库 | 数据库漏洞 | 测试数据库是否存在安全漏洞。 |
| 口令测试 | 测试口令强度。 | |
| 服务器 | 配置合规性测试 | 对配置进行合规性安全分析。 |
| 主机漏洞测试 | 测试操作系统是否存在安全漏洞。 |
3、系统上线评估其他要求
安全评估工作采用人工评估加安全评估工具相互结合方式,所使用的安全评估工具必须为国内厂商生产制造。
扫描工具必须自动生成简体中文版的安全评估报告;
扫描工具支持对Web1.3.0系统、flash网站的扫描,支持强大的域名反查库,扫描IP时,可以将该IP下的域名自动加入到扫描列表中。
支持扫描速率自动调节功能,可以对于部分防护设备进行绕过型测试。
支持对于做了CDN处理的网站进行真实IP的主机扫描。
支持对于主机扫描策略的高级配置,可以自定义SMB、SSH、FTP、Oracle,MySQL、SQL Server等类型的登录账号,可以对远程主机进行更深层次的登录型扫描其本地的漏洞(如:注册表漏洞,浏览器漏洞等)。
支持弱密码扫描,扫描的类型包括:FTP、TELNET、SMB、SSH、MYSQL、MSSQL、ORACLE、远程协助、VNC,并且提供弱密码字典的自定义。
支持对无线网络环境的安全检测,支持展示无线设备节点分布情况,支持无线风险统计及展示。
安全评估报告内容必须包括三种工具发现的主要漏洞的手工验证结果,Web风险统计、最多安全性问题文件统计排行、以及风险的处置方法,并出具网站安全形势综合评估报告及各被检网站的独立测评报告,在总报告里要有对网站整体情况历年检查的分析。
本次安全评估中所采用的方式为远程和现场相结合的评估方式,服务商必须在远程模式下完成全部的深度渗透测试工作。结合系统上线评估指标要求进行现场安全测评。
(二)网络安全梳理
针对现有的状况进行网络规划梳理,从系统资产、网络情况、安全域、安全保障体系等方面为用户设计网络安全架构,进行重新规划和整改。梳理包括但不仅限于以下内容。
信息安全日常管理情况
信息安全防护情况
信息安全教育培训情况
信息安全应急管理情况
信息技术外包服务机构情况(包括参与技术检测的外部专业机构)
等保定级备案执行情况
正版软件使用情况
虚拟服务器使用情况
9.结合以上梳理项目,按照以下检查流程进行:
根据卫生及医疗单位配合人员对检查下发的自查表内容的上报进行审核。
查看单位系统的各类文档,主要为各项管理制度,等级保护、应急预案、风险评估等。
机房物理环境检查。
网络、应用、核心数据的备份容灾情况检查。
(三)应急响应:当安全威胁事件发生后迅速采取相应措施和行动,最快速度恢复系统的保密性、完整性和可用性,阻止和降低安全威胁事件带来的严重影响。
三、投标供应商资格要求:
1、投标供应商须具拥有独立法人资格,具有有效的营业执照、税务登记证和组织机构代码证(或三证合一);
2、为保障安全服务项目的质量,要求服务商具备CNCERT(国家互联网应急中心)颁发的网络安全应急服务支撑单位证书、服务商具备中国信息安全认证中心认证的信息安全风险评估服务资质(提供证书原件复印件)
3、为了保障本地服务的及时性和服务效率,非本地注册企业须在本地有分支机构或驻点办事处(提供工商注册证明或长期租房合同扫描件作为佐证材料);
4、为确保投标人的专业性,要求投标人具备安全服务相关案例(安全测评、安全运维、安全评估、应急响应等,合同不允许涵盖安全产品销售)(提供合同复印件证明)
5、投标单位需提供信用信息查询记录,并加盖公章(查询地址“信用中国”www.creditchina.gov.cn)
四、其他:
1.投标文件要求一正七副(开标时提供);
2.公示时间:2020年3月25日至2020年4月3日止
3.报名地点:南昌大学第四附属医院物资供应科
4.开标时间:另行通知
5.联系电话:****-********
标签: 信息安全服务
0人觉得有用|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
