国家医学考试中心网站和应用系统安全渗透测试服务需求.docVIP

国家医学考试中心网站及应用系统安全渗透测试服务需求 第一章 总则 项目描述 1) 本需求文件适用于国家医学考试中心网站及应用系统安全渗透测试服务项目，本需求文件的最终解释权归国家医学考试中心（以下简称需求方）。 2）本规范书为竞标方针对需求方所提供的安全渗透测试服务所制定的服务标准，其目的在于有效规范竞标方所提供技术服务的内容及质量，并作为对需求方所提供技术服务进行管理及考核的依据，从而确保需求方更为合理的选择和使用相关服务。 3) 竞标方应保证所提供的所有资料真实、完整、准确无误，否则需求方将有权取消竞标方的中标资格，由此产生的一切后果由竞标方承担。 服务内容 对国家医学考试中心网站及应用系统的域名地址，进行远程渗透测试，发现互联网上的风险点和脆弱点，并提出安全建议。 工程保证 1.3.1组织保证 1) 需求方有对竞标方所提供的实施人员进行面试的权力； 2) 竞标方项目工作组的人员应至少包括：项目负责人、项目实施人员、并附项目工作组核心人员简历。 3）项目负责人应具有至少两个及以上信息安全项目经理的成功案例，并将负责本项目的管理、技术质量管控。具体负责：项目进度控制、编写项目周报、召开周例会、项目实施技术方案、与需求方的沟通协调等工作。 4）渗透测试工程师应具备丰富的渗透测试经验，熟悉各类网络安全攻击方法，熟悉漏洞的发掘与利用技术，熟悉WEB漏洞的利用，渗透测试经验3年及以上。 1.3.2质量保证 竞标方应保证根据国家医学考试中心的实际业务需求，对外网网站及应用系统进行渗透测试，发现网站及应用系统安全技术防范方面存在的安全漏洞。 1.3.3进度保证 本次采购的服务时间为十个工作日，从签约之日起，原则上要求渗透测试在此周期内实施完成。本文件中所规定的时间一律指需求方当地时间，工作时间一律指需求方工作时间。 第二章 技术指标要求 该项目完成时，需要提交渗透测试报告。具体要求如下。 2.1 渗透测试要求 渗透测试（Penetration Testing）作为网络安全服务体系中的一种新技术，是在实际网络环境下，由高素质的测试人员发起的，经过客户授权的高级安全检测行为。渗透测试过程借鉴了黑客攻击的手法和技巧，在可控的范围内为证明网络防御能够按照预订计划正常运行而提供的一种检测方法，它可以高度精确的反映客户系统面临的风险。在渗透测试的过程中，通过充分暴露和发掘潜在的漏洞，能直观的让管理人员知道自己维护的系统中仍然存在的安全缺陷。 远程渗透测试 在外部网络（ADSL、拨号访问、ISP光纤端、互联网）发起的，模拟对内部网络不知情的黑客攻击行为。实际情况是在通往外部网络不安全的道路上，布满了防火墙、入侵检测等安全设备，外部渗透就需要考虑对这些设备的规避。因此外部渗透更能发掘企业网络抗击外部（黑客）入侵的短板缺陷。 渗透测试方法 （1）方案制定部分：获取到客户的书面授权许可后，才进行渗透测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流，并得到客户的认同。 在测试实施之前，做到让客户对渗透测试过程和风险的知晓，使随后的正式测试流程都在客户的控制下。 （2）信息收集部分：包括操作系统类型指纹收集；网络拓扑结构分析；端口扫描和目标系统提供的服务识别等。可以采用一些商业安全评估系统（如：ISS、极光等）；免费的检测工具（NESSUS、Nmap等）进行收集。 （3）测试实施部分：在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行：操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试（如：Web应用），此阶段如果成功的话，可能获得普通权限。 渗透测试人员可能用到的测试手段有：扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等，用于测试人员顺利完成工程。在获取到普通权限后，尝试由普通权限提升为管理员权限，获得对系统的完全控制权。此过程将循环进行，直到测试完成。最后由渗透测试人员清除中间数据。 渗透测试报告 （1）测试结果确认要求： 测试结果要真实、可展示、可重复利用； 竞标方应在针对特定目标渗透性测试完成后，提供该目标的渗透测试报告，指明每一台主机、每一个应用存在的安全漏洞，并提供详细的整改建议。确保国家医学考试中心被测试系统和数据库能够抵御中高程度的网络攻击。 （2）报告至少应包括以下几方面内容： 渗透测试结论，包括但不限于以下内容：获取控制权限情况、授权范围内SQL注入情况、可获得互联网信息情况（客户信息、系统信息等）以及发现漏洞可能会被不法利用情况； 渗透测试全过程描述 攻击前有关信息收集的描述：竞标方尝试的所有渗透方法，并分别列举出能够成功渗透进国家医学考试中心网站及应用系统的攻击方法；攻击阶段操作描述：存在的隐患或漏洞，以及利用该漏洞后产生后果； 部分证据描述 应描述攻击过程