返回
a3包、测试评估认证服务

a3包、测试评估认证服务

ID:6294010

大小:47.50 KB

页数:7页

时间:2018-01-09

a3包、测试评估认证服务_第1页
a3包、测试评估认证服务_第2页
a3包、测试评估认证服务_第3页
a3包、测试评估认证服务_第4页
a3包、测试评估认证服务_第5页
资源描述:

《a3包、测试评估认证服务》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、A3包、测试评估认证服务一、供应商资格要求1、符合《中华人民共和国政府采购法》第二十二条的规定。2、供应商的资质要求:无二、技术要求1.项目背景为全面贯彻党中央、国务院关于网络安全的重要部署,落实《网络安全法》及国家信息安全主管部门有关要求,迎接党的十九大胜利召开,进一步提高网络安全风险应对能力和网络安全防护水平,亟需引入专业的信息安全服务团队,协助开展网络安全工作,深入排查信息系统存在的安全隐患。本次安全服务招标旨在定期对省卫生和计划生育信息中心管理的网络应用系统与网站定期进行安全检测与渗透测试,提供详细的安全分析报告,制定可行的改进方案,对发

2、现的系统漏洞及时进行处理。对业务系统提供风险感知服务,建立监测预警和信息通报制度,并提供相应的应急工作方案。2.项目目标针对本次安全服务,提出以下几点需求:ü针对重要业务系统和网站进行渗透测试。ü针对互联网系统和专网系统进行监测。ü发生安全事件时,需提供应急响应服务。对重点业务系统和网站进行漏洞挖掘,并协助整改,清除安全隐患;同时对互联网系统和专网系统进行监测,实时掌握网站的运行状况,一旦出现紧急情况,启动应急响应。3.解决方案通过三个阶段的工作,实现安全需求,即发现问题阶段、解决问题阶段、安全运营保障阶段。3.1发现问题阶段3.1.1漏洞扫描及

3、验证n服务内容:对省卫生和计划生育信息中心所管理的系统进行漏洞扫描,发现存在的漏洞。并进行人工分析和验证,提供真实可靠的扫描报告。n服务频次:每年至少2次n风险规避为减少可能对业务系统产生的影响,把影响降至最低,扫描前与省卫生和计划生育信息中心进行协商,约定好扫描时间、地点,做好相应的准备。3.1.2渗透测试n服务内容:渗透测试是测试人员使用专业的评估工具,模拟黑客攻击对目标系统进行的非破坏性测试,验证网络防御体系是否行之有效。为此,中标方工程师将对省卫生和计划生育信息中心指定的重要业务系统及网站进行渗透测试,找出站点存在的安全隐患。在测试中将全

4、面挖掘系统存在的高、中、低危漏洞,并重点找出能够执行系统命令、上传webshell、泄露数据库信息、业务逻辑等的高危漏洞。渗透测试既要全面发现漏洞,又不能对系统造成破坏,并做到以下几点:ü技术人员将在取得授权的情况下,在规定的时间和地点进行测试,测试过程中对信息系统所做的所有操作,均是可控的。ü技术人员挖掘被测系统存在的漏洞,并尝试对这些漏洞进行利用和提权,以说明漏洞的危害性。ü为避免测试工程师受测试方法、测试思路、测试习惯等因素影响,安排不同的渗透测试工程师对每个系统进行两轮测试。ü测试过程中,除覆盖OWASP常见漏洞外,测试工程师还将针对医疗

5、卫生行业常见漏洞进行重点测试。渗透测试完成后,测试工程师提交渗透测试报告,报告中涵盖测试过程中发现的所有高、中、低危漏洞,并针对每一个漏洞提供漏洞验证截图和整改建议。n服务频率:每年不少于2次n风险规避:渗透测试前应与省卫生和计划生育信息中心沟通测试时间、地点,并书面说明需中心所做的各项准备工作。3.2解决问题阶段n服务内容:针对扫描和渗透测试发现的问题给出可落地的整改建议,并协助进行整改,清除安全隐患。n服务频率:不少于2次n风险规避:对于涉及安装补丁、升级软件版本等操作,应先在测试机上进行,测试通过后再进行相关操作。并对可能发生的问题进行提示

6、和制订防控预案。3.3安全运营保障为实现业务系统的安全稳定运行,能够在出现问题后第一时间感知,提供以下安全保障机制:3.3.1态势感知服务n服务内容:(1)互联网系统采用网络安全态势感知通报预警平台,对省卫生和计划生育信息中心所管理的互联网系统进行实时监测,监测内容包括网站平稳度、DNS解析、篡改、敏感关键字等。一旦网站系统出现无法访问、DNS解析异常、网站被篡改等问题,平台会立即通过邮件和短信进行告警,及时发现问题,及时处置问题。(2)专网系统针对专网系统的态势感知,将安全监测平台部署在专网内部,通过建立周期性任务,定期对专网内的系统进行漏洞扫

7、描、挂马监测、页面篡改监测等。对于在专网发现的问题,由中标方指导采购方升级;如采购方无能力解决,由中标方负责解决。n服务频率:全年3.3.2应急响应服务n服务内容:当省卫生和计划生育信息中心的业务系统发生安全事件时,工程师将在第一时间进行响应。对于能够通过网络远程处理的,可以协调全国各区域的工程师进行处置。对于需要现场处理的,济南本地工程师赴现场处置。应急响应工作将按照标准的应急处置流程,在保护好现场的前提下,分析攻击途径和执行的篡改操作,最终协助系统恢复,提交应急响应报告。n服务频率:按需3.3.3漏洞预警服务在爆出重大漏洞时,在第一时间内对漏

8、洞详情、整改方式进行通报。并提供整改咨询服务,指导省卫生和计划生育中心进行整改,避免业务系统受新漏洞攻击。1.风险管理1.项目组成员须按

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。