大连市卫生健康委信息系统渗透测试及应急演练服务采购项目询价函

各有关单位:

大连市卫生健康委员会根据《中华人民共和国政府采购法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规要求,为加强对重要信息系统的安全防护,保障信息系统安全、稳定、持续运行,现对大连市卫生健康委信息系统渗透测试及应急演练服务采购项目进行询价采购,诚邀有关单位进行报价。

一、采购需求

1. 项目范围

服务名称

服务范围

承载网络

服务形式

渗透测试服务

大连市卫生健康委员会协同办公

系统等12个信息系统

卫生专网、电子政务外网

每个系统提供渗透测试服务2次,

出具《渗透测试服务报告》;

对有中高危漏洞的系统,

在系统运维商整改后,

出具《渗透测试复测报告》;

1年内完成,工时累计不超过20人日。

应急演练服务

针对某一个信息系统提供应急演练服务

应急演练服务1次,

出具《应急演练总结报告》。

2. 技术需求参数

(1)渗透测试服务技术参数

模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节。我委提供测试条件,服务商发现“漏洞”,对系统的任何弱点、技术缺陷或漏洞进行主动分析提出整改建议,最终形成《渗透测试服务报告》,从而让管理人员了解其系统所面临的威胁并及时整改。

服务内容

l 评估目标系统的基本特征信息是否可以被远程探测和获取(如系统名称/版本、应用指纹、应用入口、管理入口等)。

l 评估目标系统是否存在注入攻击漏洞(如SQL 注入、LDAP 注入、ORM 注入、XML 注入、SSI 注入、XPATH 注入、IMAP/SMTP 注入、代码注入等)。

l 评估攻击者是否可以执行计划外的命令、访问未被授权的数据、接管主机管理控制权等。

l 评估目标系统是否存在跨站脚本攻击(XSS)漏洞(如反射式跨站脚本、存储式跨站脚本、基于DOM 的跨站脚本检测、FLASH 跨站脚本测试等)。

l 评估攻击者是否可以在目标系统的客户端浏览器上执行脚本,从而劫持客户端用户会话、危害网站、或者将客户端用户转向至恶意网站等。

l 评估目标系统身份认证和密码的安全性(如用户枚举、默认或可猜解/遍历用户帐户、暴力破解、认证模式绕过、CAPTCHA安全性、双因素认证安全性、记住密码和密码重置弱点、注销和浏览器缓存弱点、认证信息是否暴露在url或cookie等)。评估目标系统的认证密码的安全强度是否足够。评估系统身份认证方式是否存在安全漏洞。

l 评估目标系统的授权机制是否存在漏洞。评估是否存在绕过授权模式、是否存在越权/非授权访问漏洞、是否存在非授权提权漏洞。

l 评估目标系统敏感信息是否存在不安全的加密存储(如密码加密存储等)。评估加密算法的安全强度是否足够。

l 评估目标系统的会话安全机制(如是否存在敏感信息泄露、会话篡改、会话劫持、会话重放等)。评估攻击者是否可以假冒受害客户端执行操作。评估攻击者是否可以破坏会话传输的完整性和机密性。

l 评估目标系统是否存在不安全的直接对象引用。评估目标系统是否每次都验证用户是否有权访问目标对象。评估攻击者是否可以操控这些引用去访问未授权数据。

l 评估目标系统的安全配置安全性。如应用程序、框架、应用程序服务器、web服务器、数据库服务器和平台的配置是否存在安全漏洞。(如未更改默认帐户/密码、未使用的网页、未安装补丁的漏洞、未被保护的文件和目录、未禁用或删除多余的端口/服务/网页/帐户/权限等。)评估攻击者利用错误的安全配置是否可以访问目标系统未授权的数据或功能。

l 评估目标系统是否限制URL访问权限。(如某敏感url网页可不经身份认证直接访问、管理后台页面可以未经授权直接访问等)

l 评估目标系统重定向或转发链接是否经过验证,评估是否可以重定向客户端受害用户到钓鱼软件或恶意网站,或者使用转发去访问未授权的页面。评估攻击者是否利用不安全的转发绕过访问控制。

l 评估目标系统是否存在缓冲区溢出漏洞。评估攻击者是否可以利用缓冲区溢出漏洞进行非授权访问、获取控制权、破坏可用性等威胁操作。

l 评估目标系统的页面是否已经或可以被攻击者篡改。评估目标是否已经或可以被挂暗链。评估目标系统是否已经或可以被挂马。评估攻击者是否可以获取目标系统的后台管理路径,甚至后台管理权限。评估攻击者是否可以非法上传文件。

l 评估从是否通过渗透获取目标系统,并通过渗透进一步扩散到内网。

 

(2)应急演练服务技术参数

由市卫健委指定待演练的信息系统,服务商需针对实际情况制定应急演练整体方案,服务内容包括制定演练计划、搭建演练环境、编写演练脚本、演练前培训、演练启动、安全事件模拟、过程记录、演练评估总结等,演练结束后出具《应急演练总结报告》。

服务阶段

服务内容

演练准备阶段

l 制定演练计划:计划包括演练目的,演练要求,演练范围,演练日程表。

l 制定演练方案:方案包括工作方案,保障方案,评估方案。

l 搭建演练环境:根据演练计划和方案确定演练环境,包括攻击场景,攻防方法展示,应急环境部署,进而形成演示环境。对演练过程中需要的技术工具进行准备和确认。

l 编写演练脚本:按照演练场景编写具体的工作操作指导手册,控制演练时间进程,对应急演练场景和响应程序进行详细说明。

l 应急演练培训:在正式演练开始前组织参演人员进行培训,确保参演人员熟练掌握演练规则,情景,明确分工。

l 应急演练预演:在前期培训的基础上,一次或多次排练,在此过程发现问题并完善,确保正式演练顺利开展。

演练实施阶段

l 演练启动:检查各环节到位后,按照演练方案启动演练,过程中可视情对演练过程进行视频记录,进程解说。

l 安全事件模拟:基于演练环境中的攻击场景,在可控范围内,向目标发起网络攻击。

l 演练执行:具体分为检测预警、事件研判、事件通告、事件处置、系统确认五个阶段。

l 演练记录:演练实施过程中,评估人员按照演练方案采用文字、脚本、照片和音像等手段开展评估素材采集。形成演练记录文件。

评估总结阶段

l 演练评估:分析演练记录及相关资料,对演练活动及组织过程做出客观评价,形成演练评估报告。视情可提供安全整改方案。

l 演练总结:根据演练记录,演练评估,演练方案等材料,对演练进行系统和全面的总结,形成演练总结报告。

二、采购预算

采购金额4.9万元。报价高于4.9万元为无效报价。

三、供应商资格要求

1.满足《中华人民共和国政府采购法》第二十二条规定;

2.截至提交报价文件日期前一天,经“信用中国”网站(www.creditchina.gov.cn)、“信用辽宁”网站(www.xyln.net)、“中国政府采购网”(www.ccgp.gov.cn)查询,被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的不得参加本采购项目;

3.本项目不允许联合体投标。

四、报价文件提交

报价文件包含:报价函、公司营业执照副本复印件、相关资质证明复印件、信用证明、法人委托授权书等(以上材料加盖公章),密封后加盖单位公章,于2021年10月22日16时前送达大连市中山区人民路75号2011室。

五、 开标日期

市卫健委于10月22日组成评标小组评标,符合供应商资格要求且报价最低的供应商为中标单位。评标结果将在各卫健委官网公示。

六、联系方式

联系人:任浩

联系电话:0411-39052220

 

                                                                                                                         大连市卫生健康委员会

                                                                                                                             2021年10月19日

大连市卫生健康委信息系统渗透测试及应急演练服务采购项目询价函.pdf


打印 关闭

上一篇:

下一篇: