XXX项目安全服务招标要求
PAGE 1
安全服务招标要求
项目背景
西南大学作为教育部直属高校,其网络安全的建设水平将影响全校师生的教学工作和生活,为了保障重要时期校园网络安全,需采购网络安全渗透测试服务,加强校内安全隐患的排查,保障学校网络安全。
服务内容
本次采购的系统渗透测试及安全加固服务内容及其相关要求具体如下。
序号
服务项目
服务描述
服务方式
服务说明
1
渗透测试服务
服务内容:针对目标信息系统,渗透测试人员通过互联网和内网进行远程测试。
服务内容要求:在学校授权和监督下,模拟黑客攻击方法,对我单位指定的网站和其他业务系统进行非破坏性质的攻击测试,查找存在的漏洞并给出详细的修复建议,业务系统漏洞修复完成后,需对漏洞进行复测。
现场
2
服务汇报
对服务情况进行汇总分析,进行汇报讲解
现场
服务范围
西南大学信息办指定的重要业务系统渗透测试。
服务描述
渗透测试服务
服务描述
渗透测试服务,是在信息化建设办公室授权和监督下,模拟黑客攻击手法,对学校重要信息系统进行非破坏性质的攻击测试,查找存在的漏洞并给出详细的修复建议,业务系统漏洞修复完成后,对漏洞进行复测。
渗透测试服务,除信息收集阶段的工具扫描外,其他都采用行人工渗透方式进行,人工渗透在渗透测试总体工作中占比应超过80%。渗透项目包括但不限于以下项,并且对发现的漏洞进行验证和利用。
测试维度
测试项
测试内容
应用层
用户账户
用户账户配置安全漏洞
弱口令漏洞
通用漏洞
常见漏洞
SQL注入漏洞
XSS跨站脚本攻击漏洞
远程文件下载漏洞
CSRF跨站请求伪造漏洞
敏感信息泄漏漏洞
不安全的对象引用漏洞
未经授权访问漏洞
文件上传漏洞
远程代码执行漏洞
不安全的传输漏洞
不安全的配置漏洞
代码注入漏洞
文件包含漏洞
远程劫持漏洞
拒绝服务漏洞
重放攻击漏洞
缓冲区溢出漏洞
应用数据合法性校验是否完备
应用代码逻辑安全缺陷
应用安全功能设计机制是否健全
特定漏洞
是否引用第三方不安全组件
提权
尝试从低权限上升到高权限
系统层
GNU Bash代码执行漏洞
OpenSSL心脏滴血漏洞
漏洞扫描
权限提升
远程猜解
远程溢出
数据库
暴力破解
注入攻击
未授权访问
权限提升
设备层
网络、安全硬件设备漏洞
中间件
Struts2代码执行漏洞
Java反序列化漏洞
中间件漏洞
输出成果
渗透测试服务的主要输出成果如下:
《系统渗透测试报告》(包括漏洞修复建议)
《系统渗透测试复测报告》(漏洞修复后)
服务要求
服务期限
本项目现场服务期限为15天,自合同签订之日起开始计算。
质量要求
(1)投标人须提供与本次服务类似的系统渗透测试报告脱敏样例作为本项目的实施交付质量参考;自动化工具的扫描报告,仅视为过程文件。
(2)采购人有权在合同期内不定期对投标人的服务人员进行考查,若发现与投标不符,采购人有权取消服务合同,并追究投标人责任。如在安全服务实施过程中,采购人认为投标人服务人员能力有限,可要求投标人更换服务人员,投标人需按采购人要求执行。
(3)投标人须指定固定的安全服务人员为采购人服务,如有人员变动应先征得采购人同意,方可进行调换。
(4)投标人须保证提供安全服务人员的手机7*24小时开机,以确保日常安全咨询服务的有效性。
(5)投标人须承诺接受各项服务的交付成果经采购方评审验收。
验收要求
本项目由采购方负责组织验收,投标人应负责在项目验收时将全部有关技术方案、渗透测试报告等文档汇集成册交付给采购方。
交接要求
(1)项目完成后,应将项目相关的所有报告、材料、过程文件全部交接给采购人,不得有所保留。
(2)交接的所有资料都必须为简体中文,且清楚明了。
投标人要求
服务商具有完善的渗透测试的相关工具
服务过程中需自行提供商业的检测设备,这些设备在服务期间,对现网内各类资产进行自动发现,可检测在线资产的IP、MAC、操作系统、设备类型、设备厂商、设备型号、软件版本等,并支持基于 A /B/C 段的检测目标的任务创建,提供工具功能截图及第三方产品测试报告证明,加盖厂商鲜章。
服务商漏洞检测工具具有国家漏洞库CNNVD兼容性认证,提供官网截图证明;
服务商漏洞检测工具具有国际CVE兼容性认证,提供证明材料。
服务商的服务工具能针对现网的非法外联主机进行有效检测和定位,可检测出目标设备连接智能手机热点、通过智能手机 USB 共享网络等违规双网卡共享外联行为,提供提供工具功能截图及第三方产品测试报告证明,并加盖厂商鲜章。
您可能关注的文档
最近下载
- SYT 5069-2017 石油天然气工业 钻井和采油设备 管柱类落物打捞工具.docx VIP
- WF-007A多功能自动氩弧填丝机使用说明书7.pdf VIP
- SYT 5496-2017 石油天然气工业 钻井和采油设备 震击器及加速器.pdf VIP
- 2025年烟花爆竹经营企业(包括批发和零售企业)安全检查表.pdf VIP
- 2025至2030药用真菌行业调研及市场前景预测评估报告.docx VIP
- SYT 5382-2009 钻井液固相含量测定仪.docx VIP
- 《消毒供应质量控制指标(2024年版)》.docx VIP
- 股市主力操盘盘 口摩斯密码(原创内容,侵权必究).pptx
- 2012下半年深圳市机关公开招考公务员职位表.doc VIP
- 国际期刊科技论文写作与发表.PDF VIP
原创力文档

文档评论(0)