國家醫(yī)學(xué)考試中心網(wǎng)站和應(yīng)用系統(tǒng)安全滲透測試服務(wù)需求_第1頁
已閱讀1頁,還剩3頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、第1頁國家醫(yī)學(xué)考試中心網(wǎng)站及應(yīng)用系統(tǒng)安全滲國家醫(yī)學(xué)考試中心網(wǎng)站及應(yīng)用系統(tǒng)安全滲透測試服務(wù)需求透測試服務(wù)需求第一章第一章總則總則1.11.1項(xiàng)目描述項(xiàng)目描述1)本需求文件適用于國家醫(yī)學(xué)考試中心網(wǎng)站及應(yīng)用系統(tǒng)安全滲透測試服務(wù)項(xiàng)目,本需求文件的最終解釋權(quán)歸國家醫(yī)學(xué)考試中心(以下簡稱需求方)。2)本規(guī)范書為競標(biāo)方針對需求方所提供的安全滲透測試服務(wù)所制定的服務(wù)標(biāo)準(zhǔn),其目的在于有效規(guī)范競標(biāo)方所提供技術(shù)服務(wù)的內(nèi)容及質(zhì)量,并作為對需求方所提供技術(shù)服務(wù)進(jìn)

2、行管理及考核的依據(jù),從而確保需求方更為合理的選擇和使用相關(guān)服務(wù)。3)競標(biāo)方應(yīng)保證所提供的所有資料真實(shí)、完整、準(zhǔn)確無誤,否則需求方將有權(quán)取消競標(biāo)方的中標(biāo)資格,由此產(chǎn)生的一切后果由競標(biāo)方承擔(dān)。1.21.2服務(wù)內(nèi)容服務(wù)內(nèi)容對國家醫(yī)學(xué)考試中心網(wǎng)站及應(yīng)用系統(tǒng)的域名地址,進(jìn)行遠(yuǎn)程滲透測試,發(fā)現(xiàn)互聯(lián)網(wǎng)上的風(fēng)險(xiǎn)點(diǎn)和脆弱點(diǎn),并提出安全建議。1.31.3工程保證工程保證11.3.11.3.1組織保證組織保證1)需求方有對競標(biāo)方所提供的實(shí)施人員進(jìn)行面試的權(quán)力

3、;2)競標(biāo)方項(xiàng)目工作組的人員應(yīng)至少包括:項(xiàng)目負(fù)責(zé)人、項(xiàng)目實(shí)施人員、并附項(xiàng)目工作組核心人員簡歷。3)項(xiàng)目負(fù)責(zé)人應(yīng)具有至少兩個(gè)及以上信息安全項(xiàng)目經(jīng)理的成功案例,并將負(fù)責(zé)本項(xiàng)目的管理、技術(shù)質(zhì)量管控。具體負(fù)責(zé):項(xiàng)目進(jìn)度控制、編寫項(xiàng)目周報(bào)、召開周例會、項(xiàng)目實(shí)施技術(shù)方案、與需求方的溝通協(xié)調(diào)等工作。4)滲透測試工程師應(yīng)具備豐富的滲透測試經(jīng)驗(yàn),熟悉各類網(wǎng)絡(luò)安全攻擊方法,熟悉漏洞的發(fā)掘與利用技術(shù),熟悉WEB漏洞的利用,滲透測試經(jīng)驗(yàn)3年及以上。第3頁ISS

4、、極光等);免費(fèi)的檢測工具(NESSUS、Nmap等)進(jìn)行收集。(3)測試實(shí)施部分:在規(guī)避防火墻、入侵檢測、防毒軟件等安全產(chǎn)品監(jiān)控的條件下進(jìn)行:操作系統(tǒng)可檢測到的漏洞測試、應(yīng)用系統(tǒng)檢測到的漏洞測試(如:Web應(yīng)用),此階段如果成功的話,可能獲得普通權(quán)限。滲透測試人員可能用到的測試手段有:掃描分析、溢出測試、口令爆破、社會工程學(xué)、客戶端攻擊、中間人攻擊等,用于測試人員順利完成工程。在獲取到普通權(quán)限后,嘗試由普通權(quán)限提升為管理員權(quán)限,獲得對

5、系統(tǒng)的完全控制權(quán)。此過程將循環(huán)進(jìn)行,直到測試完成。最后由滲透測試人員清除中間數(shù)據(jù)。2.42.4滲透測試報(bào)告滲透測試報(bào)告(1)測試結(jié)果確認(rèn)要求:測試結(jié)果要真實(shí)、可展示、可重復(fù)利用;競標(biāo)方應(yīng)在針對特定目標(biāo)滲透性測試完成后,提供該目標(biāo)的滲透測試報(bào)告,指明每一臺主機(jī)、每一個(gè)應(yīng)用存在的安全漏洞,并提供詳細(xì)的整改建議。確保國家醫(yī)學(xué)考試中心被測試系統(tǒng)和數(shù)據(jù)庫能夠抵御中高程度的網(wǎng)絡(luò)攻擊。確保國家醫(yī)學(xué)考試中心被測試系統(tǒng)和數(shù)據(jù)庫能夠抵御中高程度的網(wǎng)絡(luò)攻擊。

6、(2)報(bào)告至少應(yīng)包括以下幾方面內(nèi)容:?滲透測試結(jié)論,包括但不限于以下內(nèi)容:獲取控制權(quán)限情況、授權(quán)范圍內(nèi)SQL注入情況、可獲得互聯(lián)網(wǎng)信息情況(客戶信息、系統(tǒng)信息等)以及發(fā)現(xiàn)漏洞可能會被不法利用情況;?滲透測試全過程描述攻擊前有關(guān)信息收集的描述:競標(biāo)方嘗試的所有滲透方法,并分別列舉出能夠成功滲透進(jìn)國家醫(yī)學(xué)考試中心網(wǎng)站及應(yīng)用系統(tǒng)的攻擊方法;攻擊階段操作描述:存在的隱患或漏洞,以及利用該漏洞后產(chǎn)生后果;?部分證據(jù)描述應(yīng)描述攻擊過程中信息系統(tǒng)存在

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論