第三方安全测评服务评估方案（技术方案）.docx

第三方安全测评服务评估技术方案

（技术方案）

招标编号：

投标方案

投标人名称：****有限责任公司

地址：****号二楼

联系人：****

报告说明

声明：本文内容信息来源于公开渠道，对文中内容的准确性、完整性、及时性或可靠性不作任何保证。本文内容仅供参考与学习交流使用，不构成相关领域的建议和依据。

目录

1技术建议书 1

1.1服务方案 1

1.1.1项目概况 1

1.1.2建设目标 1

1.1.3服务方法 2

日常安全工作 2

.1渗透测试概述 2

.2渗透测试意义 3

.3渗透测试步骤 4

.4渗透测试流程 7

.5渗透测试报告 9

三同步工作 10

.1新业务上线安全检查目标 10

.2新业务上线安全检查范围 10

.3新业务上线安全检查内容 10

安全运维 11

.1执行运维作业计划 11

.2设备运行运维 11

.3安全预警服务 2

.4应急响应演练 25

系统运维 31

.1系统运维概述 32

.2系统运维流程 32

.3系统运维的内容 34

.4系统运维的类型 35

.5系统运维注意事项 36

重大节日安全保障 37

2/113

.1重大节日安全保障目标 37

.2重大节日安全保障范围 37

.3重大节日安全保障内容 38

安全加固服务 38

.1加固方法确定 38

.2安全加固流程 38

.3安全加固步骤 41

.4实施验证 41

.5加固验证 41

.6补丁管理 42

1.1.4服务流程 42

1.1.5项目时间安排 43

1.1.6实施人员简历 4

1.2分工界面 45

1.2.1项目组织 45

1.2.2项目组织 46

人员角色 46

项目办公环境 47

审计顾问访谈 47

资料文档 48

.1信息资产清单 48

.2安全策略文档 48

网络系统信息 49

现有安全文档 49

项目设备 49

1.3工具详细说明 50

1.3.1代码审计工具 50

代码审计的系统原理 50

3/113

系统功能特性和性能指标 51

.1软件功能分类 51

.2功能模块 51

.3功能列表 52

.4功能描述 52

.5软件和安装所在硬件设备对照表 52

软件的体系结构 54

关键技术 54

工具特点 55

.1操作系统独立 5

.2编译器独立、实施环境独立，搭建测试环境简单快速且统一 55

.3工具学习、培训和使用的成本少，最小化影响实施进度 5

.4低误报 55

.5安全漏洞覆盖面广且全面(低漏报) 56

.6安全查询规则清晰且完全公开实现 56

.7安全规则自定义简单高效 56

.8审计性能 57

.9安全规则自定义简单高效 57

.10业务逻辑和架构风险调查 57

.11攻击路径的可视化，并以3D形式展现 58

.12代码实践的加强 58

.13该产品目前支持主流语言 58

.14支持的主流框架() 58

.15服务独立，全面的团队审计支持 58

.16高度自动化审计任务 59

.17支持多任务 59

.18云服务实现 59

1.3.2渗透测试工具 59

4/113

渗透测试工具的系统原理 59

系统功能特性和性能指标 59

.1软件功能分类 59

.2功能模块 60

.3功能列表 62

.4功能描述 64

.5软件和安装所在硬件设备对照表 64