安全运维服务招标要求一采购内容列表

安全运维服务招标要求

（-）采购内容列表

内容基本描述数量单位

针对院内主要应用系统开展专业的网络安全运

维服务，服务内容应包括：漏洞扫描、渗透测

试、入侵防护、安全加固、应急演练、红队评

估、专项安全检查、网站安全监测、风险评估、

网络安全资产分析•、安全咨询、等保差距分析•、管理制

1年

运维服务度辅助建设、策略复宣和定制安全意识培训服

务并提供安全巡检（每季度至少一次），采用

专业安全评估工具及安全工程师人工检测相结

合的方式，对业务系统进行深度的安全评估和

保障服务，以提升单位的安全保障水平；

（-）技术和服务要求

1-1网络安全运维服务

要求：为保证网络安全运维服务的专业性，本次要求安全服务商须具备国家信息安全测评信

息安全服务资质（安全工程类三级或以上）。

1）漏洞扫描服务

（1）安全服务商对服务范围内的IT资产提供不少于4次/年的漏洞检测服务，包括但

不限于服务器、网络设备、网络安全设备、操作系统、数据库、应用系统的脆弱性进行安全

评估，并提交《漏洞检测报告》；

（2）漏洞检测服务内容包括但不限于端口扫描、系统扫描、漏洞扫描，尽可能早地发

现安全漏洞并进行修补，以最大可能的消除安全隐患;

（3）安全服务商提供的漏洞检测服务时，须拥有合法的漏洞管理工具使用权，具备自

主研发的漏洞扫描工具并有著作权，须提供自主著作权证明。且该工具能够支持手动爬行功

能，解决业务逻辑复杂的URL无法获取的问题，增加扫描范围的全面性。

（4）安全服务商提供漏洞检测服务时，须拥有合法的漏洞管理工具使用权，且该工具能够

支持在扫描过程中人工指定包括MSSQLServer、Oracle.MySQL.DB2、Informix、Sybase、

达梦等常见数据库登录协议的登陆口令，登陆到相应的数据库系统中对特定应用进行深入扫

描。

2）渗透测试服务

安全服务商对服务范围内的信息系统提供不少于2次/年的渗透测试服务，并提交《安

全渗透测试报告》，包括但不限于以下服务内容：

（1）评估目标系统的基本特征信息（如系统名称、版本、管理入口、网络指纹等）是

否可以被远程探测和获取；

（2）评估目标系统是否存在注入攻击漏洞（如SQL注入、命令注入、LDAP注入、JSON

注入、Cookie注入、SSI注入、XML注入、XPalh注入等）；

（3）评估攻击者是否可以非法读取、篡改、添加、删除未授权数据；

（4）评估目标系统是否存在跨站脚本攻击（XSS）漏洞（如存储式跨站攻击、反射型跨

站脚本攻击、基于DOM的XSS攻击、FLASH跨站脚本等），评估攻击者是否可以窃取用户会

话、窃取敏感信息、重写WEB页面、重定向到恶意网站等；

（5）评估目标系统的相关安全认证及会话管理是否存在漏洞，评估攻击者是否可以窃取

到密码、密钥、会话授权、用户身份等；

（6）评估M标系统是否存在对不安全对象的直接引用，评估攻击者是否可以利用引用对

象访问未授权的数据；

（7）评估目标系统是否存在安全配置错误威胁（如应用程序、系统框架、应用程序服务、

页面服务、数据库服务、运行平台等配置是否安全合理）；

(8)评估目标系统加密存储方面是否存在不安全因素(如应用程序是否利用适当的加密

或者散列手段来妥善保护信用卡、身份验证信息等)，评估攻击者是否可以窃取或者非法修

改这些受保护的敏感数据；

(9)评估目标系统是否限制访问者的URL,评估攻击者是否可以通过伪造URL的方式随

意访问隐藏页面：

(10)评估目标系统是否存在缓冲区溢出漏洞，评估攻击者是否可以利用缓冲区溢出漏

洞进行非法授权访问、获取权限、破坏可用性(如导致程序运行失败、系统关机、重新启动

等)等威胁操作：

(11)评估目标系统是否存在业务逻辑层面缺陷；

(12)评估目标系统是对未经验证的访问请求重新指向或转发至其它页面是否有正确的

验证机制，评估攻击者是否可以将访问请求指向到钓鱼类或者其它恶意网站等未经授权的页

面。

3)应急演练服务

(1)应急预案：安全服务商结合医院信息系统实际情况建立统一的网络安全应急预案

框架，框架应包括但不限于：事件分级方法、各级事件启动应急预案的条件、应急处理流程、

系统恢复流程、事后医疗和培训等内容。安全服务商须具备相应的应急服务资质。

(2)应急演练：安全服务商提供不少于1次/年的网络安全应急演练服务，并提交演

练报告，通过开展应急演练，检验应急预案、应急演练L划的合理性和有效性，针对演练过

程中存在的问题及时改进，并提交《应急预案》和《应急演练报告》。

4)红队评估服务

通过专业的原厂渗透工程师组成红队，针对院内目标系统、人员、软件、硬件和设备同

时执行的多混合、基r-对抗性的模拟攻击，以此来深度发现院内系统、技术、人员和基础架

构中的存在的隐患。用尽可能接近真实环境攻击的方法来模拟黑客APT攻击，从而发现有可

能被黑客利用的安全漏洞，以此对我院目标网络安全状况进行评估。

由于需要专业的渗透工程师参弓，服务人员应须同各渗透的资格能力，须只备权威认证

系统安全现状评估。

(3)通过现场评估、脆弱性评估以及渗透测试等技术手段进行信息系统安全风险评估分析，

编制风险评估报告。

进行网络入侵检测，在入侵预警口志中能够明确定位入侵事件类别等。

进行渗透测试，采用工具扫描+手工验证的方式，模拟黑客攻击的方法进行非破坏性质的攻

击性测试。渗透测试的内容包括但不限于以下几个方面：

a.伪造跨站请求

b.跨站脚本

c.注入攻击测试：SQL注入、指令注入

d.恶意文件执行：文件包含、上传漏洞

e.直接对象不安全：参数分析、越权访问

f.信息泄漏或错误处理不当：应用错误消息、目录遍历

g.加密存储不安全：HTML中的敏感数据、敏感信息存储、鉴别信息加密传输

h.认证和会话管理不完善：会话令牌的质量、鉴别旁路、缺省帐号、口令重置、鉴别失败锁

定功能、空口令

i.通信不安全

j.URL强力浏览

k.应用层DOS

1.工具扫描测试

提交成果：《安全评估方案》、《信息系统安全等级保护风险分析报告》

7)资产分析

对参与安全等级保护的系统进行资产信息调查、网络结构调查、安全系统调查等，形

成最终的资产报告。

(1)资产调查：调查和统计服务范围内的信息资产，其中必须包括但不限于物理环境、网

络设备、主机、应用软件、业务系统、数据、人员、标准流程等，明确其现有状况、配置情

况和管理情况，并对所有信息资产按照一定标准进行资产赋值，绘制各业务系统的数据流图。

正式开展调查时调查内容须经过单位审核后方可实施。

(2)网络调查：包括对所有网络的拓扑结构进行调查，并按统一标准绘制成图。

（3）安全系统调查：包括但不限于明确现有安全设备包括防火墙、防病毒系统、入侵检测

系统等）的部署情况和使用情况，编制安全区域图。

提交成果：《信息系统资产调查表》

8）安全建设咨询

在单位信息系统臼行定级的基础卜.参照国家和地方对信息系统安全等级保护定级的

有关要求，对信息系统开展摸底调查工作，掌握信息系统的基本情况，了解信息系统（包括

信息网络）的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内

控制度等信息，撰写信息系统定级报告，明确信息系统的边界和安全保护等级，说明定级的

方法和理由。并收集整理定级系统参与具备测评资质的测评机构安全等级测评所需的资料和

文档。

9）等保差距分析

在安全评估和信息系统定级的基础上，根据《信息系统安全保护等级基本要求》将定

级信息系统安全等级保护的各项基本要求与信息安全现状进行比较分析，从管理和技术两个

层面找出存在的问题并进行分析。

对于需要增加投资，部署新的信息安全产品和技术的整改措施，双方根据整改方案另行协商

和实施。

（1）进行安全差距分析，从物理安全、网络安全、主机安全、应用安全、数据安全以及安

全管理深入识别现状与指标库之间的差距情况。

（2）进行网络安全域分析，将运维管理、开发测试、办公网络以及生产区域进行逻辑划分

和访问控制策略。

（3）进行安全管理制度分析，从信息安全方针、管理体系、安全管理机构的设立、人员管

理、重要区域访问控制、信息系统建设管理、产品采购、系统运维管理、恶意代码、备份恢

复策略、应急响应等深入识别安全管理制度与指标库的差距情况。

（4）安全建设规划：根据上述风险评估结果，结合信息系统安全等级保护要求，等保规划

方案和整改方案。

a）确立保护对象b）保护计算环境c）保护区域边界d）保护通信网络e）建设安全管理体系。

提交成果：《信息系统安全等级保护差距分析报告》

10）管理制度辅助建设

安全管理制度建设，主要包括但不限于信息安全工作职责，信息安全监督、检杳机制；辅助

用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度。管理制度包括但

不限于：《信息系统安全策略管理》、《安全制度制订流程规定》、《操作系统维护规程》、《数

据库系统维护规程》、《机安全管理员岗位职责》、《信息系统安全培训管理》、《安全管理日常

维护细则》、《安全审计管理制度》、《第三方人员管理制度》、《防病毒紧急响应流程》、《机房

监控与管理流程》、《机房运行管理规范》、《服务器运维管理规范》、《软件开发环境使用管理

要求》、《系统交付管理规范》、《资产安全管理规范》、《安全事件报告和处置管理规范》、《信

息系统安全应急处理体系乂《人员安全管理规范》、《信息系统安全运维管理规范》……等。

11）策略复查

（1）派遣专业工程师到现场针对加固前后的系统脆弱性进行复查，复查手段包括但不限于

协议分析・、漏洞扫描