福州市公共资源交易服务中心
电子系统漏洞扫描及渗透测试服务询价公告
根据有关规定,福州市公共资源交易服务中心就两个电子交易系统漏洞扫描及渗透测试服务进行公开询价,并根据最低价原则确定最终服务商,欢迎国内合格的供应商前来报价。
一、项目名称:福州市公共资源交易服务中心电子系统漏洞扫描及渗透测试服务
二、项目联系人: 沈先生 电话:0591-87889337
单先生 电话:0591-83306027
三、项目基本概况
福州市公共资源交易服务中心目前有福州市公共资源电子交易平台、福州市建设工程电子招投标平台两个电子系统。为保证系统安全,根据相关法规要求,对电子系统进行漏洞扫描和渗透测试。
四、服务要求
服务厂商应每年提供不少于三次的安全漏洞扫描服务和三次的渗透测试服务。在服务期间,发现问题及时与本单位沟通,并配合本单位解决相关问题;服务结束后,服务厂商应给出正式的书面报告,以作为服务的最终结果进行存档。
4.1、服务范围
提供包括网络设备、操作系统、数据库、常见应用服务器以及WEB应用等范围的扫描。
漏洞扫描的详细服务范围如下:
u (1)操作系统
Windows、发行版Linux、AIX、UNIX通用、Solaris、FreeBSD、HP-UX、BSD等主流操作系统。
u (2)数据库
Oracle、MySQL、MSSQL、Sybase、DB2、Informix等主流数据库。
u (3)常见应用服务
Apache、IIS、Tomcat、Weblogic等主流应用服务,常见FTP、EMAIL、DNS、TELENT、POP3、SNMP、SMTP、Proxy、RPC服务等。
u (4)Web应用程序
ASP、PHP、JSP、.NET、Perl、Python、Shell等语言编写的WEB应用程序。
u (5)网络设备
常见的路由器、交换机等设备。
4.2、服务内容
安全漏洞扫描应对信息系统内的网络设备、操作系统、应用软件、中间件和服务等进行安全漏洞识别,详细内容如下:
(1)网络层漏洞识别
u 版本漏洞,包括但不限于IOS存在的漏洞,涉及包括所有在线网络设备及安全设备。
u 开放服务,包括但不限于路由器开放的Web管理界面、其他管理方式等。
u 空弱口令,例如空/弱telnet口令、snmp口令等。
u 网络资源的访问控制:检测到无线访问点。
u 域名系统:ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞,Microsoft Windows DNS拒绝服务攻击。
u 路由器:Cisco IOS Web配置接口安全认证可被绕过,Nortel交换机/路由器缺省口令漏洞,华为网络设备没有设置口令。
(2)操作系统层漏洞识别
u操作系统(包括Windows、AIX和Linux、HPUX、Solaris、VMware等)的系统补丁、漏洞、病毒等各类异常缺陷。
u 空/弱口令系统帐户检测
u例如:身份认证:通过telnet进行口令猜测。
u 0访问控制:注册表 HKEY_LOCAL_MACHINE 普通用户可写,远程主机允许匿名FTP登录,ftp服务器存在匿名可写目录。
u 系统漏洞:System V系统Login远程缓冲区溢出漏洞,Microsoft Windows Locator服务远程缓冲区溢出漏洞。
u安全配置问题:部分SMB用户存在薄弱口令,试图使用rsh登录进入远程系统。
(3)应用层漏洞识别
u 应用程序(包括但不限于数据库Oracle、DB2、MS SQL,Web服务,如Apache、WebSphere、Tomcat、IIS等,其他SSH、FTP等)缺失补丁或版本漏洞检测。
u 空弱口令应用帐户检测。
u 数据库软件:Oracle tnslsnr没有设置口令,Microsoft SQL Server 2000 Resolution服务多个安全漏洞。
u Web服务器:Apache Mod_SSL/Apache-SSL远程缓冲区溢出漏洞,Microsoft IIS 5.0 .printer ISAPI远程缓冲区溢出,Sun ONE/iPlanet Web服务程序分块编码传输漏洞。
u电子邮件系统:Sendmail头处理远程溢出漏洞,Microsoft Windows 2000 SMTP服务认证错误漏洞。
u防火墙及应用网管系统:Axent Raptor防火墙拒绝服务漏洞。
u其它网络服务系统:Wingate POP3 USER命令远程溢出漏洞,Linux系统LPRng远程格式化串漏洞。
4.3、服务流程
安全漏洞扫描服务的流程应分为三个阶段:准备阶段、扫描过程和报告汇报。通过这三个阶段结合安全漏洞扫描内容和实际客户系统情况,完成安全漏洞扫描服务。
(1)准备阶段:前期技术交流包括相关安全扫描技术、扫描原理、扫描方式及扫描条件进行交流和说明;同时商谈安全漏洞扫描服务的范围,主要是哪些主机,网络设备,应用系统等;并结合实际业务情况需求,确定扫描范围,扫描实施的时间,设备接入点,IP地址的预留,配合人员及其他相关的整体漏扫方案。
(2)扫描过程:依据前期准备阶段的漏扫方案,进行漏洞扫描、漏洞分析和漏洞测试,扫描过程主要是进行范围内的漏洞信息数据收集,为下一步的报告撰写提供依据和数据来源。漏洞扫描,主要采用绿盟远程安全评估系统进行范围内的安全扫描。漏洞分析,主要是对扫描结果进行分析,安全工程师会结合扫描结果和实际客户系统状况,进行安全分析。漏洞验证,对部分需要人工确定和安全分析的漏洞,进行手工测试,以确定其准确性和风险性。
(3)报告与汇报:这个阶段主要对现场进行扫描后的数据进行安全分析,安全工程师对绿盟远程安全评估系统输出的报告,漏洞分析结果及漏洞测试具体情况进行综合梳理,分析,总结。最后给出符合客户信息系统实际情况的安全需求的安全建议。
渗透测试服务主要分为四个阶段,包括测试前期准备阶段、测试阶段实施、复测阶段实施以及成果汇报阶段:
(1)前期准备阶段:在实施渗透测试工作前,技术人员会和客户对渗透测试服务相关的技术细节进行详细沟通。由此确认渗透测试的方案,方案内容主要包括确认的渗透测试范围、最终对象、测试方式、测试要求的时间等内容。同时,客户签署渗透测试授权书。
(2)测试阶段实施:在测试实施过程中,绿盟科技测试人员首先使用自动化的安全扫描工具,完成初步的信息收集、服务判断、版本判断、补丁判断等工作。
然后由人工的方式对安全扫描的结果进行人工的确认和分析。并且根据收集的各类信息进行人工的进一步渗透测试深入。
结合自动化测试和人工测试两方的结果,测试人员需整理渗透测试服务的输出结果并编制渗透测试报告,最终提交客户和对报告内容进行沟通。
(3)复测阶段实施
在经过第一次渗透测试报告提交和沟通后,等待客户针对渗透测试发现的问题整改或加固。经整改或加固后,测试人员进行回归测试,即二次复测。复测结束后提交给客户复测报告和对复测结果进行沟通。
(4)成果汇报阶段
根据一次渗透测试和二次复测结果,整理渗透测试服务输出成果,形成报告。
五、其他需求
(一)设计服务要求
1、按照项目单位的需求,遵循国家、省、市信息系统安全漏洞扫描和渗透测试的相关规定,采用先进、科学、合理的适合本项目特点的项目管理技巧和测试手段,对项目的进行科学、规范的安全漏洞扫描或渗透测试。
2、安全漏洞扫描或渗透测试报告应遵循国家相关政策法规,按有关标准、规范进行编制。安全漏洞扫描或渗透测试报告是服务验收的重要依据。编制初步设计方案时,应认真进行调查和研究,取得可靠的基本资料。设计应安全可靠,技术先进,密切结合实际,节约投资,注重经济效益。初步设计报告应有分析、论证、明确的结论和意见,文字简明扼要,图表完整清晰。
4、协助采购人制定系统安全管理体系的相关内容。
5、服务时间:从合同合同签订之日起至全部完成服务内容且通过政府部门要求的系统安全绩效考核。服务时间为1年,超过服务时间中标人仍无法完成的全部服务内容的,采购人有权单方面解除合同。
(二)设计服务内容
1、对本次项目服务的系统相关现状进行充分调研。
2、针对项目现状以及存在问题进行项目的需求分析工作。
3、在完成现状调研、需求分析的基础上,提出安全漏洞扫描或渗透测试思路,并完成相关测试。
4、在测试结果的基础上,完成相应检测报告编制工作。
5、配合采购人完成政府部门要求的系统安全绩效考核工作。
(三)设计成果要求
1、中标人应在合同签订之日起至2022年6月31日前完成至少3次的安全漏洞扫描和3次渗透测试,并保证被测试的系统在此期间不会因被攻击而导致出现任何问题。
2、按政府部门制定的相关规范和技术要求交付完整的材料,并通过政府部门要求的系统安全绩效考核。项目工作成果应符合采购人的保密要求。
(四)项目管理要求
(1)中标人负责项目测试过程设计、项目调研、提供方法论、按进度提供符合质量要求的交付物,并对具体交付物负责。采购人负责提供必要的现状资料、工作文档,安排调研,对有关重大问题进行及时决策,组织对中标人提交的交付物进行评审和验收。
(2)本项目由中标人组建项目团队,在采购人配合下进行。中标人需委派项目技术负责人及项目经理,并根据项目具体要求派出相应人员专职参与项目,人数应至少不少于三人。
(3)中标人的项目团队必须遵守国家的政策、法律法规,严格执行采购人的各项规章制度,服从采购人的管理和调度,认真履行工作职责,完成采购人安排的工作任务。
(4)针对本次项目,中标人需自行提供必要的设备(电脑及相关软、硬件)和办公车辆。中标人在项目过程中产生的项目调研费用、设备损耗费用、文档打印费以及其它不可预见的费用均包含在本次投标报价内。
六、供应商资格要求:符合《中华人民共和国政府采购法》第二十二条规定条件,提供报价人营业执照。
七、截止时间前有效的报价供应商数量不少于3家,且比价期间符合所有比价条件的报价人不少于3家,否则本次采购作废标处理,除采购任务取消情形外,将重新组织采购。
八、最高限价: 7 万元人民币。
九、开标时间:2021年 8 月 27 日上午 10 点 30 分
十、开(投)标地点: 福州市行政服务中心三楼第三开标室
十一、支付方式数据表格
支付期次 | 支付比例(%) | 支付期次说明 |
1 | 100 | 服务结束后并收到符合我中心要求的合法有效等额的发票后,十五个工作日内付清。 |
福州市公共资源交易服务中心
2021 年 8 月 20 日