网络安全服务采购技术要求书.docx

《网络安全服务采购技术要求书.docx》由会员分享，可在线阅读，更多相关《网络安全服务采购技术要求书.docx（10页珍藏版）》请在课桌文档上搜索。

1、网络安全服务采购技术要求书一、项目概况及总体要求为推进国家网络安全法、网络安全等级保护制度2.0等相关法律法规的落地实施，推动甲方公司关于网络安全保障工作相关要求的贯彻执行，拟通过网路安全服务项目，理清全网信息资产，全面摸排网络安全风险，优化网络安全管理体系，提升网络安全保障水平。二、项目内容和范围1 .项目内容本项目主要包括甲方公司信息资产发现与梳理、信息系统渗透测试、安全管理制度体系优化。依据国家法律法规及相关网络安全政策标准，结合业界最佳安全实践,对甲方公司的内外网信息资产进行梳理，结合摸排的信息资产情况，绘制符合当前现状的网络拓扑图，针对重要信息系统开展渗透测试，深入挖掘和整改应用层面

2、安全风险，完善和优化甲方公司的网络安全管理制度，为网络安全工作的开展和落实提供指导?口支撑，达到逐步提高网络安全保障能力水平的目标。2 .工作量清单序号服务内容单位数量备注1资产发现资产识别项1对甲方公司内部网络资产进行主动扫描和分析，发现内部网络资产，形成资产列表和资产画像，并梳理网络环境绘制相应拓扑结构图。资产范围包括服务器、网络设备、安全设备等各类资产，覆盖资产数量不低于100o台。资产发现资产分析项4资产调整及威胁发现：安全分析工程师到客户现场进行分析，在客户允许的管理终端上通过Web方式连接天眼设备，完成部分分析工作，其他分析工作需通过工具标本方式、以及人工分析方式在客户现场完成，如

3、在现场发现高危告警事件,在授权的情况下可进行验证，编制报告并提交客户。2渗透测试项2人工非破坏性安全测试。通过远程或现场方式，对用户的信息系统进行模拟攻击或入侵，利用测试人员的专业知识来识别用户信息系统的未知漏洞。渗透测试过程涉及对目标系统进行主动分析，以发现可能由于系统配置不当而导致的潜在漏洞，包括已知和未知的软件缺陷以及流程和技术措施中的操作弱点。测试目标包括但不限于互联网网站、APP.内网办公系统、业务系统等各类系统，系统数量不彳氐于20个。渗透测试系统层测试项2系统层安全渗透测试包含的内容有：口令猜解、溢出测试、系统漏洞、漏洞扫描、安全基线分析等。渗透测试中间件测试项2WEB中间件渗透

4、测试包含的内容有：缓冲区溢出、路径和参数安全、测试和帮助页面、峭和口令等。渗透测试应用层测试项2应用渗透测试包含的内容有：信息收集、身份验证、授权和加密、输入和数据验证、配置管理、敏感数据、会话管理等内容。3制度预案编制项2针对可能发生的网络安全突发事件，为保证迅速、有序、有效的开展应急救援行动，降低事故损失而预先指定的包括网络信息系统运行、维持、恢复在内的策略和规程。预案覆盖网站篡改、信息泄露、钓鱼邮件、恶意程序等网络安全事件场景，预案数量不低于4个。(一)信息资产发现与梳理信息资产发现与梳理应分别从资产及应用发现、资产画像绘制、网络拓扑绘制等几个方面开展，故该部分需求也从这几个阶段逐层展开

5、，详细阐述每个阶段的具体建设需求。(1)资产及应用发现通过数据挖掘和调研的方式确定甲方公司资产范围,之后基于IP或域名，采用WEB扫描技术、操作系统探测技术、端口的探测技术、服务探测技术、WEB爬虫技术等各类探测技术，对客户信息系统内的主机/服务器、安全设备、网络设备、工控设备、WEB应用、中间件、数据库、邮件系统和DNS系统等进行主动发现，并生成资产及应用列表，列表中不仅包括设备类型、域名、IP、端口，更可深入识别运行在资产上的中间件、应用、技术架构的详细情况(类型、版本、服务名称等)。(2)资产画像绘制在资产及应用发现的基础上,实施人员应对每个业务梳理分析，依据信息系统实际情况、业务特点、

6、资产重要度等信息，结合信息安全的最佳实践进行归纳，最终针对性地形成甲方公司专属的资产画像，构建起甲方公司专属的信息安全资产画像。(3)网络拓扑图绘制基于内外网信息资产发现及梳理的结果，通过对甲方公司网络结构、安全防护措施部署情况、安全域划分情况等方面进行充分的调研，绘制贴合甲方公司实际物理部署的网络拓扑图，实现对网络的全方位掌握。(二)信息系统渗透测试信息系统渗透测试应包括但不限于以下五个阶段：测试前准备阶段、信息收集阶段、测试实施阶段、复测阶段、成功汇报阶段。(1)测试准备阶段在实施渗透测试工作前，负责项目实施的技术人员应与甲方公司对渗透测试服务相关的技术细节进行详细沟通。由此确认渗透测试的

7、方案，方案内容主要包括确认的渗透测试范围、最终又搀、测试方式、测试要求的时间等内容，甲方公司签署渗透测试授权书。在测试实施之前，需让甲方公司对安全测试过程和风险的知晓，使随后的正式测试流程都在甲方公司的控制下。(2)信息收集阶段通过安全测试工具进行信息收集，内容包括：操作系统类型收集；网络拓扑结构分析；端口扫描和目标系统提供的服务识别等。(3)测试实施阶段在测试实施过程中,测试人员首先使用自动化的安全扫描工具,完成初步的信息收集、服务判断、版本判断、补丁判断等工作。然后由人工的方式对安全扫描的结果进行人工的确认和分析，并且根据收集的各类信息进行深入渗透测试,测试人员在获取到普通权限后，尝试由普

8、通权限提升为管理员权限，获得对系统的完全控制权，此过程将循环进行，直到测试完成。测试人员需整理渗透测试服务的输出结果并编制渗透测试报告，最终提交甲方公司和对报告内容进行沟通。(4)复测阶段在经过初次渗透测试报告提交和沟通后，等待甲方公司针对渗透测试发现的问题整改或加固。经整改或加固后，测试人员进行回归测试，即二次复测。复测结束后提交给甲方公司复测报告和对复测结果进行沟通。(5)成果汇报阶段根据初次渗透测试和二次复测结果,整理渗透测试服务输出成果,进行最后汇总汇报。(三)网络安全管理制度优化基于甲方公司的网络安全管理现状，从安全策略管理、组织人员管理、安全建设管理、安全运维管理等方面构建安全管理

9、体系,完善安全管理制度、安全管理组织及安全管理流程，具体从以下几个方面展开：明确安全管理制度策略,形成安全工作总体方针、安全策略、管理制度、操作规程； 明确安全管理组织人员及各方职责明确安全建设管理那t建设过程中的方案设计、产品采购使用、软件开发、工程实施、系统交付、等级测评等进行安全管理； 明确安全运营管理，对资产设备、漏洞和风险、网络和系统安全、恶意代码防范、配置管理、密码管理、变更管理、备份与恢复、安全事件处置等进行管理。3.项目成果交付为甲方公司依据国家/国际的信息安全法律法规、政策标准及行业技术发展动态，引入信息资产发现与才瓶里、信息系统渗透测试、安全管理制度体系修订，通过由点到面、

10、全面提升的思路,从资产安全、应用安全、安全管理等方面,帮助优化甲方公司网络安全管理能力、加强内部安全管控、提升整体安全防护能力，为公司运营保驾护航。结合甲方公司网络安全现状，对标集团公司的相关要求，开展信息资产梳理、信息系统渗透测试、网络安全管理制度优化，提供的交付物和工作件应包括但不限于下述文档：(一)信息资产发现与梳理(1)甲方公司内网资产发现报告(2)甲方公司外网资产发现报告(3)甲方公司信息资产清单(4)甲方公司网络拓扑图(二)信息系统渗透测试(1)甲方公司渗透测试授权书(2)甲方公司XXX系统渗透测试报告(3)甲方公司XXX系统复测报告(三)网络安全管理制度优化(1)甲方公司网络安全

11、管理制度合集4 .技术能力要求（一）甲方公司信息资产发现与梳理要求但不限于通过自动化工具、人工调研等方式对甲方公司的内外网信息资产进行充分识,发现未知资产,绘制网络拓扑图,理清各资产间网络连接及关联关系。识别内容包括： 子域名发现：包括但不限于字典琼剧爆破发现、DNS数据发现、搜索引擎数据挖掘发现等； IP段扫描：包括但不限于C段扫描、资产关联计算等； 全网搜索包括但不限于统一端口扫描与识别、Web类应用指纹识Slk服务banner识别等； 同一端口扫描与Web识别。在内外网资产发现的基础上，对信息资产进行进一步梳理和核对，识别未知资产，并结合甲方公司物理网络连接情况，绘制贴合实际的网络拓扑图

12、。（二）甲方公司信息系统渗透测试针对甲方公司的重要网站及Web类系统模拟黑客攻击，发现应用层面可能存在的SQL注入、XSS（跨站脚本）、CRLF注入、目录遍历、文件包含、输入验证、认证、逻辑错误、GoogleHacking.密码保护区域猜测、字典攻击、特定的错误页面检测、脆弱权限的目录、危险的HTTP方法（如：PUT、DELETE）、信息泄露、StrUCtS2漏洞、Cookie欺骗、源代码泄露、恶意网络地址转移、http响应头截断、备份文件遗留隐患等各类型已知安全漏洞和安全隐患。（三）甲方公司网络安全管理制度优化基于甲方公司的网络安全管理现状，从安全策略管理、组织人员管理、安全建设管理、安全运

13、维管理等方面，充分考虑甲方公司的网络安全现状和能力水平，对现有的网络安全管理制度进行梳理和调整，在结合当前信息化方向和流程的前提下，对网络安全管理制度进行优化和补充，形成一套适用于甲方公司的、覆盖整个网络安全工作的管理制度体系文件，指导开展网络安全管理工作。5 .交货地点中海油天津产业园区C座数据中心6 .时间期限交货/服务期限：合同签订后6个月内完成相关工作。三、执行标准/规范甲方须具有乙方所提服务产品的所有权。四、保密要求1.乙方应严格遵守招标方的人员、场地、施工等安全操作规程。乙方技术人员不允许私自拆卸设备组件，设备出现故障时应及时向招标方报告，不允许私自处理和维修。2、乙方人员携带的U

14、盘、移动硬盘、笔记本电脑进行服务器操作需要经过招标方人员安全检测，对有病毒以及不安全的设备禁止进行操作。3、严禁乙方以个人介质光盘、U盘、移动硬盘等存储设备拷贝招标方的任何文件资料并带出，对必须要进行分析的设备日志，由招标方进行统计审核后提供。五、服务要求及验收标准在中华人民共和国依照中华人民共和国公司法注册，具有独立法人资格的企业。企业需要持续经营良好，具有良好的社会信誉及公信力。服务过程中具备自动渗透测试检查工具，可提供加盖公章的证明材料，包括以下功能：1、可实现自动化渗透测试，贯穿整个渗透过程的操作，包括信息收集、指纹管理、漏洞发现、漏洞利用、后渗透攻击等模块；2、可以根据可编程平台提供

15、的接口编写自己的攻击插件，实现自定义的攻击需求；3、可利用http协议、DNS协议等远程获取外带数据;可通过内置的方法反弹交互shell到平台，执行Vim、交互执行操作等功能。 服务过程中具备代码审计工具，按甲方公司要求可对指定系统进行代码审计，可提供加盖公章的证明材料，包括以下功能：1、支持C/C+、Objective-C.C#、Java、PHP、JSPxASPXxJavaScript.SQL等主流编程语言开发的软件源代码的缺陷检测；2、能够识别软件中使用了哪些开源组件，提供每一个已识别组件的详细信息，包括版本、位置等。能够识别使用的开源组件存在哪些已知漏洞提供每一个漏洞的详细信息，包括CV

16、SS评分、CNNVD未耐、CVE侬、漏洞描述等；3、支持构建工具集成，如Maven,Gradle自动获取被测源代码的第三方依赖进行构建。 服务过程中具备威胁情报系统，能够综合网络大数据、安全攻防研究能力，及时获得全网威胁情报，以指导、协助安全服务的开展，保障安全服务的有效性、及时性，可提供加盖公章的证明材料。 按要求对甲方公司日志审计系统进行代码审计，并在投标时需提供源代码目录以及部分源代码文件名称。项目团队人员要求：1.项目经理需拥有三年以上网络安全服务项目的经验。2、交付验收资料必须达到验收标准，且适合甲方需求、用户需求，满足最终用户网络安全建设需要。六、其他要求1、技术联系人：刘建清，2、采办联系人：周杰,3、付款方式：银行电汇；4、付款周期要求：买方收到发票和完工验收确认报告后,45天内付款。5、付款进度要求：甲方收到乙方提交的工作成果后，通知乙方共同对工作成果进行验收，合格后双方验收代表签署工程完工验收报告表，乙方要求甲方支付服务费前必须提交经签署的工程完工验收报告表。甲方在收到乙方开具满足要求的全额增值税专用发票后，按付款周期要求支付合同的100%。6、增值税率：6%;