龙岩市数字城管系统安全服务及第三方测试服务询价公告
来源:  日期:2018-12-06 【字号:

 

根据有关规定,龙岩市城市管理监控指挥中心就龙岩市数字城管系统安全服务及第三方测试服务进行公开询价,欢迎国内合格的供应商前来投标。

一、项目名称: 龙岩市数字城管系统安全服务及第三方测试服务

二、工作要求

(一)安全等级服务的服务内容及成果

1.安全服务技术内容

本次对龙岩市数字城管系统安全服务,主要评估内容包括安全扫描和漏洞审计、渗透测试、安全预警、安全加固、安全运维、应急响应等;评估的范围为龙岩市数字城管系统。

 安全扫描和漏洞审计

1)安全扫描主要包括如下几个方面:

服务器主机系统安全漏洞检查(工具扫描);

数据库系统安全漏洞检查(工具扫描);

中间件安全漏洞检查(工具扫描);

网络设备漏洞检查(工具扫描);

安全设备漏洞检查(工具扫描);

服务器主机系统弱口令检查(工具扫描);

数据库系统弱口令检查(工具扫描);

中间件弱口令检查(工具扫描);

网络设备弱口令检查(工具扫描);

安全设备弱口令检查(工具扫描);

针对新上线的系统,提供加固建议及加固指导。

2)漏洞审计服务,根据之前安全扫描的情况,在进行加固和修复后,重新进行一次漏洞修复情况的验证,并得出检测结果。

渗透测试

渗透测试服务的目的在于充分挖掘和暴露系统的弱点,从而让管理人员了解其系统所面临的威胁。渗透测试工作往往作为风险评估的一个重要环节,为风险评估提供重要的原始参考数据。

渗透测试服务内容:

1)信息收集技术

系统和应用信息收集:通过对远程服务的所启动的服务进行扫描和手工提交等工作,根据其返回信息可以获取远程系统及应用的版本号等信息,对于存在弱点的应用还可以进一步挖掘更多的系统信息,例如:SMBSNMP等。

站点信息收集:站点信息主要包括三个部分:WEB服务信息,数据库信息和站点结构。

2)端口扫描

端口扫描是通过连接到目标系统的TCP协议或UDP协议端口,来确定什么服务正在运行。

3)漏洞检测

远程型漏洞检测往往是指在有防护设备(如IPS、防火墙等)情况下,进行远程针对操作系统漏洞和应用程序漏洞检测的一种方式。其检测的原理主要是利用TCP/IPUDP以及ICMP协议的原理和特点,扫描引擎向远端目标发送特殊的数据包,记录返回的响应信息,然后与已知漏洞的特征库进行比较,如果能够匹配,则说明存在相应的开放端口或者漏洞。此外,还可以通过模拟黑客的攻击方法,对目标主机系统发送攻击性的数据包。

本地型漏洞检测往往是指在网络内部(在没有防护设备保护的情况下),模拟内部人员攻击,对内部的网络设备、服务器操作系统、应用程序等进行远程漏洞检测,进而发现漏洞并实现远程攻击。

4)溢出攻击

溢出攻击的测试过程中,测试人员将根据收集的信息以确认应用或系统的版本,从而判断在当前应用或系统上是否存在已知溢出漏洞和可利用的攻击程序,同时,测试人员会在攻击程序对系统的稳定运行不产生影响的前提下使用攻击程序发起溢出攻击。

5)口令猜解

渗透测试过程中,根据系统的不同,至少可以进行以下服务或应用的口令测试:

1.  SMB/CIFS

2.  TELNET

3.  SSH

4.  FTP

5.  POP/SMTP/IMAP

6.  Terminal Service

7.  MySQL

8.  MSSQL

9.  Oracle

10.   HTTP

11.   HTTP Form

6WEB漏洞挖掘技术

跨站脚本XSSCross Site Script),指服务端程序在接收用户提交信息时没有对信息进行必要的检查或编码而导致页面包含了可能对客户端造成伤害的脚本。跨站脚本直接对客户端浏览器产生影响,如:窃取敏感信息、下载恶意程序、钓鱼等,而由于跨站而形成的XSS Worm可能造成更大的威胁。

注入漏洞中常见的为SQL注入(SQL Injection),SQL注入是指当服务端接受客户端信息时,未对客户端信息进行任何校验就将其送入数据库中进行查询操作,而恶意用户只需对客户端提交信息进行一定的构造,就可以导致数据执行一些危险操作。类似的,注入漏洞还存在其他方式,如:LDAP注入、XPath注入、系统命令注入等。

目录遍历,Web站点对Web内容缺乏恰当的访问控制,允许HTTP遍历,形成Web应用服务器安全漏洞,使得攻击者能够访问受限制的目录,并在Web服务器的根目录以外执行命令。利用目录遍历攻击漏洞,攻击者能够超过服务器的根目录,从而访问到文件系统的其他部分,访问受限制文件或资源,或者采取更危险行为,攻击者能够执行造成系统崩溃的指令。

文件上传,很多网站提供文件上传功能(包括图片上传),如果在服务器端没有对上传文件的类型、大小以及保存的路径及文件名进行严格限制,攻击者就很容易上传后门程序取得WebShell,从而控制服务器。

参数错误,参数错误与注入漏洞相似,但一般参数错误漏洞是直接作用在WEB程序本身,而不像注入漏洞那样作用于后台支撑的应用。参数错误主要是指在程序接收客户端参数时(一般为GETPOST两种参数),对客户端提交参数未做过滤,而同时WEB脚本之间又不具备严格的访问控制,进而导致通过错误的参数直接浏览、修改甚至获得WEB Shell

信息泄露往往来自多个层面,而其中由于服务配置错误引起的信息泄露最为常见。

其他,除以上几种常见WEB漏洞外,还有很多可能造成WEB应用被入侵的问题。

7)主机常规后门安全检查

本次安全检查,是针对龙岩市数字城管系统安全评估服务中所涉及的服务器主机常规后门,采用专门工具检查结合手工检测、验证的方法,进行常规后门的安全检查。

本次主机常规后门安全检查项目:

1).传统Webshell检查

2).“一句话木马”检查

3).“图片木马”检查

4).系统帐号检查(帐号提权)

5).隐藏帐号

6).粘滞键后门(针对windows系统服务器)

7).可疑进程检测

8).可疑端口检测

9).系统文件检测

10).Conficker病毒(针对windows系统服务器)

安全预警

提供周期为1年的安全预警信息服务。当发现紧急安全预警信息时,应立即为提供紧急预警服务。

1)提供最新发现的各种操作系统、数据库、网络设备、应用软件的安全漏洞信息和病毒信息,以满足安全预警服务的基本需要。此项服务由服务组进行追踪,最终根据预警基本通过邮件方式或电话等方式提供给甲方指定接口人。

2)基础研究部承诺为甲方提供包括漏洞的名称、级别、受影响的软件、检测方法、应急措施和根除措施等内容的安全预警信息。

3)提供的安全预警信息将以电子邮件的方式发送到甲方指定的邮箱中。一旦基础研究部预警小组确认安全漏洞,这个发送过程将由安全预警平台的邮件系统自动发送。

4)对于安全研究小组认定的严重、紧急的安全预警信息,将以电话、短信、传真的方式通知甲方的预警工作接口人。并确保严重漏洞得到甲方预警接口人的接受确认。

5)向甲方提供的安全预警信息将先于对外公布至少1天时间。对有些未发现有效的最终解决方案的安全漏洞,将为甲方提供临时解决方案,并至少推迟1周时间后再向外公布此安全漏洞。

6)针对为甲方提供的安全预警信息的相关内容,由的安全专家向甲方提供7*24小时的专人电话支持服务。承诺响应时间(从发起电话请求到问题解决)将小于1小时。

安全加固

结合各种操作系统的安全特性,提供详细的系统加固和优化方案,并对加固范围内的对象进行修补加固。

安全运维

安全运维服务主要包括对生产环境和灾备环境内的防火墙、入侵防护系统、防病毒系统、桌面管理等系统的安全设备进行定期(每月)巡检工作,发现是否存在安全隐患和可疑事件,运行是否正常,巡检完毕后提供设备巡检报告。巡检内容包括但不限于设备的运行状态、策略、配置、日志分析等。遇到互联网突发攻击时间和蠕虫病毒爆发时,还需协助甲方调整安全设备以应对威胁。

应急响应

安全紧急响应服务内容如下:

1)故障情况通知及确定

对用户的紧急安全事件提供安全响应热线电话/手机和客户专用的Email联系方式。

将在接到用户紧急安全响应请求后的10分钟内,通过电话、专用Email或远程监测等多种方式,确定故障类型,定义故障等级。

2)远程支持响应

对于能够通过电话或网络方式远程支持解决的重要故障,我方承诺在故障等级情况确定后尽快从远程帮助用户或由我方从远程修复系统,解决故障,使故障造成的损失减小到最小。

3)现场支持响应

在接到用户紧急安全响应请求后的30分钟内,在远程不能确定安全故障类型或故障情况严重不能通过远程解决的严重故障情况下,我方承诺安排工程技术人员到达现场解决问题,到达现场时间以交通工具到达时间为限。

4)安全故障解决

安全故障解决遵循以下流程:

故障诊断,对故障情况作诊断,记录,分析;

故障修复,尽可能减少用户安全故障造成的损失,并修复系统;

系统清理,对安全故障发生的系统作系统完整性审计、系统安全检查、清理;

系统防护,对安全故障发生过的系统增加、加强安全保护措施;

证据收集,对由于安全故障造成的入侵记录、破坏情况、直接损失情况收集证据;

承诺在故障解决后的4小时内,安排专人从远程或本地跟踪客户系统运营情况,确保故障根本上得到解决。

5)紧急响应服务结果报告

针对在紧急安全响应服务的所遇到的安全问题、安全事故处理过程、处理结果,12小时汇总形成紧急响应服务结果报告,提交给用户。

2.安全服务其他要求

1)为了更好的展示资产风险情况,服务提供商提供的安全扫描工具须具有资产仪表盘直观展示资产的风险值、主机风险等级分布、资产风险趋势、资产风险分布等内容(提供相应截图证明)。为了保证扫描工具漏洞知识库丰富性,要求承诺该工具的制造商获得微软MBB项目奖励次数6次及以上,提供证明材料。

2)为保障安全服务的质量,服务提供商须在信息安全领域有丰富的经验与先进的技术,能对系统漏洞进行发现、验证、以及提供应急服务,要求服务提供商提供自主发现的安全漏洞列表,并提供不少于30CVE官网提交的漏洞清单证明材料。

(二)第三方测试的服务内容及成果

1.测试服务基本准则

具体应做到:

1)执行有关项目建设的法律、法规、规范、标准和制度,履行测试合同规定的义务和职责。

2)不收受任何礼金。

3)不泄露所测试项目各方认为需要保密的事项。

4)遵守国家的法律和政府的有关条例、规定和办法等。

5)坚持公正的立场,独立、公正地处理有关项目测试过程中的争议。

6)坚持科学的态度和实事求是的原则。

2.测试服务任务

1)成交供应 商通过对”数字城管”软件系统改造升级项目的功能性、性能、可靠性、易用性、兼容性、可扩充性和用户文档等质量特性进行详细测试,全面验证”数字城管”软件系统改造升级项目建设质量的正确性和需求的符合性,并给出测试结论,说明项目是否达到预期目标要求。

2)在收到测试所需的技术资料和具备测试环境后的三十个工作日内完成测试,并提交符合项目验收要求的测试报告。

3.项目质量要求

1)测试报告内容及数据应准确、完整、客观、公正;

2)测试服务质量应符合评测规范中的相关要求,且技术评测结果及报告必须提交最终用户确认。

4.测试服务输出

在测试过程中需要提供如下技术文档:

1)测试方案

2)测试报告

3)测试问题清单及整改建议

5.测试人员配备要求

为保证本项目测试质量,投标人须承诺至少配备2名专职测试工程师负责本期项目实施(实施的测试工程师应于采购方通知测试时间起2个工作日内到达指定现场直至项目测试结束,现场人员实行签到制)。

6.测试服务内容基本要求

1)测试计划

为了保证项目的顺利实施,从功能度、性能、可靠性、易用性、兼容性、可扩充性和用户文档等方面度量系统质量,项目测试初始,要依据有关的招标文件、投标文件、合同和设计单位制定的技术规范书,对项目需要投入的测试人员、测试时间以及测试的内容进行安排.

2)测试方案提交

根据实际系统及相关文档要求,分析测试需求点,按照测试标准,设 计测试方案,测试策略。测试方案需经过评审后,按照方案执行测试。

3)测试用例提交

 根据项目的需求文档,编写测试用例。测试用例经过评审后,需根据评审要求修改。以最终确定的测试用例来执行测试。

4)测试问题提交

在项目测试过程中,如发现项目相关缺陷,应与采购方以及施工方进行沟通,并且在测试期间,每日向采购方提交当天的测试情况汇总表以及项目进度总结日报。

5)回归测试

开发方在修改完成所有缺陷后,提交版本,测试人员应于_5个工作日内将所有缺陷复测,复测通过后完成回归测试并提交缺陷报告。开发方修改缺陷所需的时间,不计入中标方的合同履行期限内。

6)测试进度控制

在测试过程中,如发现项目测试工作因不确定因素(如施工方未及时整改项目缺陷,测试环境有问题等)未能按测试计划进行时,应及时向采购方书面反馈,并采取必要措施加快测试进度,以保证项目的测试进度。

7)测试风险控制

在项目测试过程中,有可能会出现一些不可避免的风险,在测试之前,应该提前将风险告知采购方,以便将风险降到最低。

8)出具盖有CMA第三方测试报告

(三)工期要求

1.应在合同签订后一年内提供安全服务;

2.第三方测试应在合同签订后的三十个工作日内完成;

投标人应合理编制项目计划,组织项目实施,确保项目在规定的期限内完成

(四)其它要求

1.本项目不允许服务提供方以任何名义和理由进行转包或分包,如有发现,业主方有权单方中止合同,且服务提供方必须赔偿由此给业主带来的一切损失。

2.本项目需求中所发生的一切费用均包含在报价总价中。

3.业主方在授予合同时有权对本项目的服务进行部分调整。

4.咨询设计单位不得以任何形式向与本项目无关的其他单位或人员提供询价文件及所附的有关资料,如违反,必须赔偿招标公司和甲方的所有损失,且招标公司和甲方保留追究法律责任的权力。

5.服务提供方应保证业主方不受到第三方关于侵犯版权和专利权的指控,任何第三方如果提出指控,服务提供方应与第三方交涉,承担可能发生的一切法律责任、费用和后果,并赔偿业主方的损失。

6.本项目成果及其相关知识产权权利归业主方所有。

7.本项目不接受联合体投标。

8. 服务提供方自行承担其参加投标所涉及的一切费用。

三、资质要求

1.服务提供商具备中国信息安全测评中心颁发的信息安全服务安全工程类三级资质证书,提供有效证书的复印件。

2.服务提供商具备中国信息安全认证中心颁发的信息安全应急处理服务一级资质证书,提供有效证书的复印件。

3.服务提供商应具备中国信息安全认证中心颁发的信息安全风险评估服务一级资质证书,提供有效证书的复印件。

4.服务提供商须是微软MAPPCSA云安全联盟成员,提供证明材料。

在定标后,业主方将对服务提供方上述各项要求的证书、资质等材料进行核查,服务提供方应无条件配合采购方的核查工作,不得托词拒绝核查或隐瞒真实情况。若在成交后签订合同时,发现服务提供方提供虚假材料谋取中标等违法违规行为,业主方将取消其成交供应商资格,并追究其相应法律责任。

四、最高限价: 150000(大写:拾伍万)元人民币

五、报名提交的资料: 报价单、企业法人营业执照副本复印件(三证合一)、响应文件(必须全部响应)、资质证书复印件(必须满足资质要求),以上所有证明材料均需加盖服务单位公章,一式一份(正本)密封,送达至报名地址。

六、成交原则:符合采购需求、质量和服务相等且报价最低的原则。

七、报名截止时间:2018121017:30

八、报名地址及联系方式:龙岩市新罗区西安南路403号交警大队10楼,联系人:江先生,电话:0597-2258597