安全服务招标要求.docx

XXX项目安全服务招标要求 PAGE 1 安全服务招标要求 项目背景 西南大学作为教育部直属高校，其网络安全的建设水平将影响全校师生的教学工作和生活，为了保障重要时期校园网络安全，需采购网络安全渗透测试服务，加强校内安全隐患的排查，保障学校网络安全。 服务内容 本次采购的系统渗透测试及安全加固服务内容及其相关要求具体如下。 序号 服务项目 服务描述 服务方式 服务说明 1 渗透测试服务 服务内容：针对目标信息系统，渗透测试人员通过互联网和内网进行远程测试。 服务内容要求：在学校授权和监督下，模拟黑客攻击方法，对我单位指定的网站和其他业务系统进行非破坏性质的攻击测试，查找存在的漏洞并给出详细的修复建议，业务系统漏洞修复完成后，需对漏洞进行复测。 现场 2 服务汇报 对服务情况进行汇总分析，进行汇报讲解 现场 服务范围 西南大学信息办指定的重要业务系统渗透测试。 服务描述 渗透测试服务 服务描述 渗透测试服务，是在信息化建设办公室授权和监督下，模拟黑客攻击手法，对学校重要信息系统进行非破坏性质的攻击测试，查找存在的漏洞并给出详细的修复建议，业务系统漏洞修复完成后，对漏洞进行复测。 渗透测试服务，除信息收集阶段的工具扫描外，其他都采用行人工渗透方式进行，人工渗透在渗透测试总体工作中占比应超过80%。渗透项目包括但不限于以下项，并且对发现的漏洞进行验证和利用。 测试维度 测试项 测试内容 应用层 用户账户 用户账户配置安全漏洞 弱口令漏洞 通用漏洞 常见漏洞 SQL注入漏洞 XSS跨站脚本攻击漏洞 远程文件下载漏洞 CSRF跨站请求伪造漏洞 敏感信息泄漏漏洞 不安全的对象引用漏洞 未经授权访问漏洞 文件上传漏洞 远程代码执行漏洞 不安全的传输漏洞 不安全的配置漏洞 代码注入漏洞 文件包含漏洞 远程劫持漏洞 拒绝服务漏洞 重放攻击漏洞 缓冲区溢出漏洞 应用数据合法性校验是否完备 应用代码逻辑安全缺陷 应用安全功能设计机制是否健全 特定漏洞 是否引用第三方不安全组件 提权 尝试从低权限上升到高权限 系统层 GNU Bash代码执行漏洞 OpenSSL心脏滴血漏洞 漏洞扫描 权限提升 远程猜解 远程溢出 数据库 暴力破解 注入攻击 未授权访问 权限提升 设备层 网络、安全硬件设备漏洞 中间件 Struts2代码执行漏洞 Java反序列化漏洞 中间件漏洞 输出成果 渗透测试服务的主要输出成果如下： 《系统渗透测试报告》（包括漏洞修复建议） 《系统渗透测试复测报告》（漏洞修复后） 服务要求 服务期限 本项目现场服务期限为15天，自合同签订之日起开始计算。 质量要求 （1）投标人须提供与本次服务类似的系统渗透测试报告脱敏样例作为本项目的实施交付质量参考；自动化工具的扫描报告，仅视为过程文件。 （2）采购人有权在合同期内不定期对投标人的服务人员进行考查，若发现与投标不符，采购人有权取消服务合同，并追究投标人责任。如在安全服务实施过程中，采购人认为投标人服务人员能力有限，可要求投标人更换服务人员，投标人需按采购人要求执行。 （3）投标人须指定固定的安全服务人员为采购人服务，如有人员变动应先征得采购人同意，方可进行调换。 （4）投标人须保证提供安全服务人员的手机7*24小时开机，以确保日常安全咨询服务的有效性。 （5）投标人须承诺接受各项服务的交付成果经采购方评审验收。 验收要求 本项目由采购方负责组织验收，投标人应负责在项目验收时将全部有关技术方案、渗透测试报告等文档汇集成册交付给采购方。 交接要求 （1）项目完成后，应将项目相关的所有报告、材料、过程文件全部交接给采购人，不得有所保留。 （2）交接的所有资料都必须为简体中文，且清楚明了。 投标人要求 服务商具有完善的渗透测试的相关工具 服务过程中需自行提供商业的检测设备，这些设备在服务期间，对现网内各类资产进行自动发现，可检测在线资产的IP、MAC、操作系统、设备类型、设备厂商、设备型号、软件版本等，并支持基于 A /B/C 段的检测目标的任务创建，提供工具功能截图及第三方产品测试报告证明，加盖厂商鲜章。 服务商漏洞检测工具具有国家漏洞库CNNVD兼容性认证，提供官网截图证明； 服务商漏洞检测工具具有国际CVE兼容性认证，提供证明材料。 服务商的服务工具能针对现网的非法外联主机进行有效检测和定位，可检测出目标设备连接智能手机热点、通过智能手机 USB 共享网络等违规双网卡共享外联行为，提供提供工具功能截图及第三方产品测试报告证明，并加盖厂商鲜章。