a3包测试评价认证服务.docVIP

A3包、测试评估认证服务 一、供应商资格要求 1、符合《中华人民共和国政府采购法》第二十二条的规定。 2、供应商的资质要求：无 二、技术要求 项目背景 为全面贯彻党中央、国务院关于网络安全的重要部署，落实《网络安全法》及国家信息安全主管部门有关要求，迎接党的十九大胜利召开，进一步提高网络安全风险应对能力和网络安全防护水平，亟需引入专业的信息安全服务团队，协助开展网络安全工作 本次安全服务招标旨在定期对省卫生和计划生育信息中心管理的网络应用系统与网站定期进行安全检测与渗透测试，提供详细的安全分析报告，制定可行的改进方案，对发现的系统漏洞及时进行处理。对业务系统提供风险感知服务，建立监测预警和信息通报制度，并提供相应的应急工作方案。 项目目标 针对本次安全服务，提出以下几点： 业务系统和网站进行渗透测试。 和专网系统进行。 事件时，需响应。 重点业务系统和网站进行挖掘，并协助整改清除安全隐患；同时对系统和专网系统进行，掌握网站的运行状况一旦出现紧急情况，启动应急响应。解决方案 通过三个阶段的工作，安全需求即发现问题阶段、解决问题阶段、运营保障。3.1 发现问题阶段 3.1.1验证内容：对省卫系统进行扫描，发现存在的漏洞。进行人工和验证提供真实可靠的扫描报告。频次：每年规避 可能对系统产生影响降至最低，与约定好扫描时间、地点3.1.2 渗透测试 内容：测试测试人员使用专业的评估工具，模拟攻击对目标系统进行的破坏性测试，验证网络防御体系是否行之有效。程师对卫指定的业务系统及网站进行渗透测试，找出站点存在的安全隐患。在测试中将系统存在的高、中、低危漏洞，并重点找出能够执行系统命令、上传webshell、泄露数据库信息等高危漏洞。全面发现漏洞，又不能对系统造成破坏，做到以下几点：将在授权的情况下，在规定的时间地点进行测试，测试过程中对信息系统所的所有操作，均是可控的。 挖掘被测存在的漏洞，并尝试对这些漏洞进行利用和提权以说明漏洞的危害性。 避免测试工程师受测试方法、测试思路、习惯等因素影响，安排不同的渗透测试工程师每个系统两轮测试。 过程中，覆盖OWASP常见漏洞，测试工程师还将针对医疗常见漏洞进行重点测试。 测试完成后，测试工程师提交渗透测试报告，报告中涵盖测试过程中发现的所有高、中、低危漏洞，并针对每一个漏洞提供漏洞验证截图和建议频率：每年 风险规避：测试前省卫沟通测试时间、地点 3.2 解决问题阶段 内容：扫描和渗透测试的问题给出可落地的整改建议，并协助进行整改清除安全隐患。 频率： 风险规避：补丁、升级软件等操作，在测试机，测试通过后进行操作 3.3 安全保障 为实现系统的安全稳定运行，在出现问题后第一时间感知，提供以下安全保障机制3.3.1 态势感知服务 内容：系统采用安全态势感知预警平台对省卫的系统进行监测，监测内容包括网站平稳度、DNS解析、篡改、敏感关键字等。一旦网站系统出现无法访问、DNS解析异常、网站被篡改等问题，平台会立即通过邮件和短信进行告警及时问题及时问题。系统 专网系统的态势感知，安全监测平台部署在专网内部，建立周期性，定期对内的系统进行扫描、挂马、页面篡改监测等。 。 频率3.3.2 应急响应服务 内容：当卫的系统发生安全事件时，工程师在第一时间进行响应对于能够通过网络远程处理的，协调全国各区域的工程师进行处置对于需要现场处理的，本地工程师赴现场处置。 响应按照标准的应急流程，保护好现场的分析攻击途径和的篡改，最终协助系统恢复，应急响应报告。 ：按需3.3.3 漏洞预警服务 在爆出重大漏洞时，在第一时间内对漏洞详情、整改方式进行通报。并提供整改咨询服务，指导省卫进行整改，避免系新漏洞攻击。 风险管理 项目组成员须按照用户安全管理规定对其信息安全做好保护工作，并按照用户安全管理规定实施项目，必要时公司和项目实施人员均可与用户签订保密协议。 项目经理负责项目的安全管理工作。对于项目中接触到的用户秘密信息和项目过程中生成的文档，严格参照管理。在项目实施过程中，对用户的秘密信息和项目文档加密保存和传输，绝不扩散在项目结束后，将秘密信息和项目文档返还用户或者予以删除，并经过用户检查和确认。严格禁止项目组成员私自留存项目文档。 在项目实施过程中，要以确保用户信息系统的安全运行为第一原则，不得以任何擅自行为危害用户信息系统的安全运行。 项目质量管理 建立完善的质量保证体系，在项目组内专门配备质量管理人员，项目保密管理 由于工作开展过程涉及用户相关的工作流程、管理模式、试验数据、规程、程序等信息，通过保密制度、保密协议等方式实现对相关信息的保密。 注：以上加“_________”部分为★条款内容，如不满足，按无效报价处理。 三、投标保证金 1、投标保证金数额：人民币叁仟圆整(￥3000.00)。 2、投标保证金交纳采用下列