國家醫(yī)學考試中心網(wǎng)站和應用系統(tǒng)安全滲透測試服務需求

1、第1頁國家醫(yī)學考試中心網(wǎng)站及應用系統(tǒng)安全滲國家醫(yī)學考試中心網(wǎng)站及應用系統(tǒng)安全滲透測試服務需求透測試服務需求第一章第一章總則總則1.11.1項目描述項目描述1)本需求文件適用于國家醫(yī)學考試中心網(wǎng)站及應用系統(tǒng)安全滲透測試服務項目，本需求文件的最終解釋權(quán)歸國家醫(yī)學考試中心（以下簡稱需求方）。2）本規(guī)范書為競標方針對需求方所提供的安全滲透測試服務所制定的服務標準，其目的在于有效規(guī)范競標方所提供技術(shù)服務的內(nèi)容及質(zhì)量，并作為對需求方所提供技術(shù)服務進

2、行管理及考核的依據(jù)，從而確保需求方更為合理的選擇和使用相關(guān)服務。3)競標方應保證所提供的所有資料真實、完整、準確無誤，否則需求方將有權(quán)取消競標方的中標資格，由此產(chǎn)生的一切后果由競標方承擔。1.21.2服務內(nèi)容服務內(nèi)容對國家醫(yī)學考試中心網(wǎng)站及應用系統(tǒng)的域名地址，進行遠程滲透測試，發(fā)現(xiàn)互聯(lián)網(wǎng)上的風險點和脆弱點，并提出安全建議。1.31.3工程保證工程保證11.3.11.3.1組織保證組織保證1)需求方有對競標方所提供的實施人員進行面試的權(quán)力

3、；2)競標方項目工作組的人員應至少包括：項目負責人、項目實施人員、并附項目工作組核心人員簡歷。3）項目負責人應具有至少兩個及以上信息安全項目經(jīng)理的成功案例，并將負責本項目的管理、技術(shù)質(zhì)量管控。具體負責：項目進度控制、編寫項目周報、召開周例會、項目實施技術(shù)方案、與需求方的溝通協(xié)調(diào)等工作。4）滲透測試工程師應具備豐富的滲透測試經(jīng)驗，熟悉各類網(wǎng)絡安全攻擊方法，熟悉漏洞的發(fā)掘與利用技術(shù)，熟悉WEB漏洞的利用，滲透測試經(jīng)驗3年及以上。第3頁ISS

4、、極光等）；免費的檢測工具（NESSUS、Nmap等）進行收集。（3）測試實施部分：在規(guī)避防火墻、入侵檢測、防毒軟件等安全產(chǎn)品監(jiān)控的條件下進行：操作系統(tǒng)可檢測到的漏洞測試、應用系統(tǒng)檢測到的漏洞測試（如：Web應用），此階段如果成功的話，可能獲得普通權(quán)限。滲透測試人員可能用到的測試手段有：掃描分析、溢出測試、口令爆破、社會工程學、客戶端攻擊、中間人攻擊等，用于測試人員順利完成工程。在獲取到普通權(quán)限后，嘗試由普通權(quán)限提升為管理員權(quán)限，獲得對

5、系統(tǒng)的完全控制權(quán)。此過程將循環(huán)進行，直到測試完成。最后由滲透測試人員清除中間數(shù)據(jù)。2.42.4滲透測試報告滲透測試報告（1）測試結(jié)果確認要求：測試結(jié)果要真實、可展示、可重復利用；競標方應在針對特定目標滲透性測試完成后，提供該目標的滲透測試報告，指明每一臺主機、每一個應用存在的安全漏洞，并提供詳細的整改建議。確保國家醫(yī)學考試中心被測試系統(tǒng)和數(shù)據(jù)庫能夠抵御中高程度的網(wǎng)絡攻擊。確保國家醫(yī)學考試中心被測試系統(tǒng)和數(shù)據(jù)庫能夠抵御中高程度的網(wǎng)絡攻擊。

6、（2）報告至少應包括以下幾方面內(nèi)容：?滲透測試結(jié)論，包括但不限于以下內(nèi)容：獲取控制權(quán)限情況、授權(quán)范圍內(nèi)SQL注入情況、可獲得互聯(lián)網(wǎng)信息情況（客戶信息、系統(tǒng)信息等）以及發(fā)現(xiàn)漏洞可能會被不法利用情況；?滲透測試全過程描述攻擊前有關(guān)信息收集的描述：競標方嘗試的所有滲透方法，并分別列舉出能夠成功滲透進國家醫(yī)學考試中心網(wǎng)站及應用系統(tǒng)的攻擊方法；攻擊階段操作描述：存在的隱患或漏洞，以及利用該漏洞后產(chǎn)生后果；?部分證據(jù)描述應描述攻擊過程中信息系統(tǒng)存在