- 1、本文档共8页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
天行健,君子以自强不息。地势坤,君子以厚德载物。——《周易》
网络信息安全服务技术要求
天行健,君子以自强不息。地势坤,君子以厚德载物。——《周易》
本次安全服务内容有资产梳理、漏洞评估、渗透测试、业务上线前检测、信
息安全制度梳理、配合监管检查、协助安全加固、网络安全培训、应急演练、应
急响应等。
1.资产梳理,要求提供1次/年的资产梳理服务,服务对象是学校信息中心IT
资产,服务内容要求:采用人+工具的组合方式,主动或被动探测学校信息中心(服
务器、应用系统、中间件、数据库、网络安全设备等)的资产信息,对资产进行
全面梳理,发现数据中心出现的未报备资产,提前发现可能存在的安全隐患。梳
理维度包括但不限于:名称、IP、端口、组件、服务等。服务输出结果是《资产
梳理报告》。
2.漏洞评估,要求提供12次/年的漏洞评估服务,服务对象是学校信息中心IT
资产,服务内容要求:采用业界认可的、专业的扫描工具,通过定制的扫描规则,
对业主制定的系统或主机进行一次全面的自动化安全扫描,人工验证扫描结果,
并输出安全扫描报告及修复建议。
详细如下:
(1).针对扫描检测发现的漏洞,进行分析验证和评估,按照不同维度对漏洞
归类归档,如系统漏洞、应用漏洞、数据库漏洞等,并提出不响应的建议处置措
施;
(2).按照不同漏洞维度提供不同的处置方式,如系统漏洞建议在数据备份前
提下协助业主单位打补丁处理,应用漏洞建议由我司协助软件供应商处置升级版
本、修改代码等处置。
(3).在对漏洞归类处置后,再提供一次漏洞的校验服务,保证漏洞评估的闭
环处置。
天行健,君子以自强不息。地势坤,君子以厚德载物。——《周易》
服务工具要求:
(1).本次服务工具支持对各种网络主机、操作系统、网络设备(如交换机、
路由器、防火墙等)、常用软件以及应用系统、数据库的识别和漏洞扫描。
(2).本次服务工具要求支持用户自定义系统名称、版权信息和系统的Logo
信息,而无需进行定制化。
(3).为应当弱口令的危害,要求本次服务工具具备弱口令扫描功能,支持弱口
令扫描协议数量≥22种,包括FTP、SMB、RDP、SSH、TELNET、SMTP、IMAP、POP3、
Oracle、MySQL、MSSQL、DB2、REDIS、MongoDB、Sybase、Rlogin、RTSP、SIP、
Onvif、Weblogic、Tomcat、SNMP等协议进行弱口令扫描,允许用户自定义用户、
密码字典。
(4).应用系统扫描能力要求,扫描结果在产品界面中支持查看目标应用返回的
软件版本,可以方便与漏洞描述对比进行漏洞验证。服务输出结果是《漏洞评估
报告》。
3.渗透测试,要求提供2次/年的渗透测试服务,服务对象是学校信息中心重
要应用系统,服务内容要求:作为漏洞评估服务的重要补充,渗透测试服务更多
关注漏洞被利用后对全网造成的影响。真实的站在黑客视角采用无害攻击手段,
模拟黑客真实的攻击行为,深度检验网络安全防线效果,并结合智能工具扫描结
果,由高级工程师进行深入的手工测试和分析,识别工具弱点扫描无法发现的问
题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功
能绕过、异常错误等以及其他专项内容测试与分析,重点发现信息系统应用层业
务流程和逻辑上的安全漏洞和敏感信息泄露的风险,输出渗透测试报告,提出专
业修复建议,协助解决网络安全风险问题。服务技术要求:为了更好达到学校提
天行健,君子以自强不息。地势坤,君子以厚德载物。——《周易》
出关于渗透能力要求,本次服务提供方要求提供国家信息安全漏洞共享平台原创
漏洞证明。服务输出结果是《渗透测试报告》。
4.业务上线前检测,要求在服务期内按需提供业务上线前检测服务,服务对象
是学校信息中心即将上线业务或变更业务系统,服务内容要求:协助学校信息中
心对即将上线或变更的业务系统进行综合评估,提供合理加固建议,降低风险,
提升业务系统上线后的健壮性和可持续性。包括:首先,通过安全漏洞检测,业
文档评论(0)