1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 网络信息安全

XX局网络安全运维项目用户需求书.docx

XX局网络安全运维项目用户需求书.docx

    1. 1、本文档共13页,可阅读全部内容。
    2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    查看更多

    PAGE

    PAGE1

    XX局网络安全运维项目用户需求书

    本项目主要包括资产梳理、渗透测试、漏洞扫描、安全加固、应急响应、安全培训、驻场运维等内容,安全服务对象包括本地及政务云、政务外网等相关资产。

    1、资产梳理服务

    技术指标

    指标要求

    服务范围

    采购人指定系统

    服务频率及期限

    按需提供(不少于1次/年)

    服务内容

    通过使用自动化的平台或工具,以及结合人工审核确认的方式,探测政务云、政务外网资产,发现相关资产信息,包括关联的域名、服务类型等数据,更方便有效的进行管理,减少网络安全风险。

    交付物

    《政务信息系统资产清单》

    2、渗透测试服务

    技术指标

    指标要求

    服务范围

    采购人指定系统

    ★服务频率及期限

    按需(不少于2次/年)

    服务内容

    通过真实模拟黑客使用的工具、分析方法对采购人指定系统进行模拟攻击,并结合智能工具扫描结果,由高级工程师进行深入的手工测试和分析,识别工具弱点扫描无法发现的问题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及其他专项内容测试与分析,重点发现应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险。

    服务工具

    需提供WEB应用弱点扫描工具保障服务实施质量,要求如下:

    ★1、工具应符合公安部《信息安全技术Web应用安全扫描工具安全技术要求》标准要求,提供相关证明;

    2、工具通过中国信息安全认证中心获得IT产品信息安全认证证书,提供证书复印件;

    3、支持常见的WEB应用弱点检测,支持OWASPTOP10等主流安全漏洞;支持暴力猜解、Webshell、暗链扫描等;

    4、支持自动化漏洞验证和沙盒技术,对目标应用进行深入安全分析,取得系统安全威胁的直接证;

    ★5、支持在漏洞知识库中单独选择某漏洞直接下发扫描任务以验证是否存在该漏洞,提供功能截图证明;

    6、支持定制扫描:用户可根据;目标扫描网站的特点以及所在网络环境,对扫描过程进行定制,如爬行、检测、过滤、网络环境等;

    7、支持端口扫描和服务的协议及版本识别,支持自定义扫描端口范围;

    8、支持IP地址的形式下发扫描任务并自动发现存在的Web资产,提供功能截图证明。

    需提供数据库扫描工具保障服务实施质量,要求如下:

    1、工具应符合公安部《信息安全技术数据库扫描产品安全技术要求》标准要求;

    2、支持针对数据库每张表每个字段的内容进行敏感数据探测;敏感信息用户可以自定义添加,可以让用户了解自己的数据库系统有哪些敏感数据,存放的具体位置,便于在信息保护和审计中重点关注;

    3、按漏洞类型分类:(1)缓冲区溢出漏洞(2)访问控制漏洞(3)提权漏洞(4)PL-SQL注入漏洞(5)执行权限过大漏洞(6)访问权限绕过漏洞(7)弱口令(8)数据库内核入侵探测(9)安全信息查看(10)敏感数据探测;

    ★4、能够实时检测出黑客入侵数据库后对数据库系统对象的篡改,还能探测出黑客创建的一些隐藏对象,比如隐藏的具有DBA权限的用户,并支持提供详细的扫描报告,提供功能截图证明;

    5、提供扫描策略可自定义模式,操作者可以灵活选择默认策略的同时也可以自定义添加策略;

    6、工具原厂商具有中国信息安全测评中心颁发的国家信息安全测评信息安全服务资质证书-云计算安全类,提供有效证书复印件。

    交付物

    《渗透测试报告》

    3、漏洞扫描服务

    技术指标

    指标要求

    服务范围

    采购人指定系统

    ★服务频率及期限

    按需(不少于4次/年)

    服务工具

    1、产品具备国家信息安全漏洞库《CNNVD兼容性资质证书》,提供有效证书的复印件;

    2、支持用户自定义系统名称、版权信息和系统的Logo信息,而无需进行定制化,提供功能截图证明;

    3、漏洞知识库支持自定义编辑,可编辑漏洞描述、修复建议、漏洞等级等内容,在扫描结果和导出报告中应展示编辑后的内容;

    4、支持主机扫描、网站扫描、数据库扫描、基线配置、事件内容、弱口令扫描、存活主机探测、大数据漏洞扫描、物联网漏洞扫描、信创漏洞扫描十种任务类型;

    5、厂商漏洞特征库大于260000条;提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与CVE、CNNVD、Bugtraq、CNCVE、CNVD等国际、国内漏洞库标准兼容,提供功能截图证明;

    6、支持VPN代理扫描,可在产品界面添加代理网络配置,实现公有云、隔离网等特殊网络环境下的漏洞扫描,提供功能截图证明;

    ★7、具备弱口令扫描功能,支持弱口令扫描协议数量≥22种,包括FTP、SMB、RDP、SSH、TELNET、SMTP、IMAP、POP3、Oracle、MySQL、MSSQL、DB2、REDIS、MongoDB、Sybase、Rlogin、RTSP、SIP、Onvif、Weblogic、Tomcat、SNMP等协议进行弱口令扫描,允许用户自定义用户、密码字典,提供功能截图证明;

    8

    您可能关注的文档

    最近下载

    文档评论(0)

    攻城石 + 关注
    实名认证
    服务提供商

    业务以咨询、监理为核心。服务范围覆盖规划咨询、立项咨询、初步设计、项目管理、运维、后评价、监理等信息系统建设的全链条,可为用户提供信息工程领域的全方位专业服务。服务领域主要聚焦在人社、医保、医疗、民政、教育、公安等行业的软件开发、数据中心建设、信息安全、系统集成等方面。 咨询服务主要包括信息化项目总体规划方案的编制、立项申请书的编制、可行性研究报告的编制、项目经济评价报告的编制等。 监理服务包括规划阶段、设计阶段、实施阶段、验收阶段、和运维阶段全流程监理服务。

    咨询作者(4人已咨询) 已休息

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >