技术服务要求bridgetho.docVIP

技术（服务）要求 （一）项目目标 在不影响系统正常运行和安全可控的前提下，对市交委授权渗透的主要信息系统，在上半年和下半年分别进行一次深入的渗透测试，尽可能多的发现系统存在的问题，并提出整改方案协助完成整改，进一步保障市交委信息系统的安全运行。 （二）项目依据及参考的标准 1、国家信息化领导小组《关于加强信息安全保障工作的意见》（中办发[2003]27号） 2、《政府信息安全检查办法》（国办发[2009]28号） 3、《深圳市人民政府信息系统安全检查办法》（深府办[2009]138号） 4、国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》（国信办[2006]5号） 5、深圳市关于开展信息安全风险评估工作的实施意见（深科信[2006]268号） 6、《2017年深圳市党政机关信息安全联合检查工作方案》 7、《深圳市信息安全风险评估实施指南》 8、《信息安全技术--信息安全风险评估规范》（GB/T20984-2007） 9、《信息安全技术 信息系统安全保护等级保护定级指南》（GB/T 22240-2008） 10、《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008） 11、《信息安全服务评估准则》中国国家信息安全测评认证中心 12、《信息技术安全技术信息技术安全性评估准则》（GB/T18336-2001） （三）项目技术要求 （1）工作内容 本项目研究工作至少应包含以下主要内容： 1、渗透测试服务 要求服务商模拟黑客的攻击方法对市交委重要信息系统进行非破坏性质的攻击性测试，找出安全漏洞及风险，获取系统控制权并将入侵的过程和细节产生报告，由此证实系统所存在的安全威胁和风险，并为市交委提供安全策略和整改建议。 信息系统渗透测试服务的内容至少包括以下内容： 数据库安全 通过专用的数据库漏洞检测系统，自动发现数据库漏洞，并通过人工方式加于验证。数据库漏洞扫描系统应具备如下功能： 项 目 描 述 扫描检查对象 Oracle、MS SQLserver、Mysql、Infomix、DB2、Sybase、PostgreSQL、达梦、人大金仓（提供截图证明） 至少提供2个以上数据库检测 检测功能 检测方式 远程访问 定时扫描 可按时、按日、按周、按月定制扫描计划，到时间自动进行扫描，支持后台运行（软件界面退出也能定时扫描） 敏感数据探测 支持针对数据库每张表每个字段的内容进行敏感数据探测。敏感信息用户可以自定义添加，可以让用户了解自己的数据库系统有哪些敏感数据，存放的具体位置，便于在信息保护和审计中重点关注。（提供截图证明） 端口扫描 提供自动搜索功能，可以自动搜索出某一网段或指定IP范围内（端口号可默认或指定范围）的活动数据库，轻松获得数据库的基本信息（包括IP、数据库类型、服务名、端口号、数据库版本、操作系统类型、主机名等） 可按时、按日、按周定制扫描计划，到时间自动进行扫描 检测方式 授权扫描 使用具有DBA权限的数据库用户，执行选定的安全策略实现对目标数据库的检测 非授权扫描 用户在没有授权的情况下（即：不需要数据库的用户名和密码），依据数据库版本号并根据选定的安全策略对目标数据库进行的检测 内核篡改检测 能够实时检测出黑客入侵数据库后对数据库系统对象的篡改，还能探测出黑客创建的一些隐藏对象，比如隐藏的具有DBA权限的用户，并提供详细的扫描报告。（提供截图证明） 策略管理 策略分类 按漏洞类型分为十类：1、缓冲区溢出漏洞；2、访问控制漏洞；3、提权漏洞；4、PL-SQL注入漏洞；5、执行权限过大漏洞；6、访问权限绕过漏洞；7、其他；8、弱口令；9、数据库内核入侵探测；10、安全信息查看、11、敏感数据探测 按风险级别分为三类：1、紧急；2、高危；3、中危；4、低危；5、信息 策略自定义 提供扫描策略可自定义模式，操作者可以灵活选择默认策略的同时也可以自定义添加策略。（提供截图证明） 遵循标准 支持CVE标准； 支 CNNVD标准； 报告分析 漏洞分析 提供直观的风险危害等级图表和风险类型统计图表、漏洞的描述、漏洞的风险级别、加固建议 输出格式 PDF、WORD、XLS等 自定义报表 报告内容可以自定义(如：报表的标题、描述、页眉、页脚、等相关信息) 报表样式 支持目录 管理功能 用户管理 提供管理员、操作员、审计员三种不同的角色，分配给不同使用需要的用户，合理管理系统的使用权限，防止系统的滥用和误用 日志管理 只有审计员可登录，对系统的操作日志进行检索、导出等 进度查看 支持查看扫描进度 安全设置 屏幕锁定 在扫描过程中，用户离开停止操作十分钟，程序将自动锁定屏幕（锁屏时间可配置） 用户锁定 在登录过程中，当用户连续输错密码3次，程序自动退出锁定用户（锁定时间可配置） 网络层安全 针对系统所在网