國(guó)家醫(yī)學(xué)考試中心網(wǎng)站和應(yīng)用系統(tǒng)安全滲透測(cè)試服務(wù)需求

1、第1頁(yè)國(guó)家醫(yī)學(xué)考試中心網(wǎng)站及應(yīng)用系統(tǒng)安全滲國(guó)家醫(yī)學(xué)考試中心網(wǎng)站及應(yīng)用系統(tǒng)安全滲透測(cè)試服務(wù)需求透測(cè)試服務(wù)需求第一章第一章總則總則1.11.1項(xiàng)目描述項(xiàng)目描述1)本需求文件適用于國(guó)家醫(yī)學(xué)考試中心網(wǎng)站及應(yīng)用系統(tǒng)安全滲透測(cè)試服務(wù)項(xiàng)目，本需求文件的最終解釋權(quán)歸國(guó)家醫(yī)學(xué)考試中心（以下簡(jiǎn)稱需求方）。2）本規(guī)范書(shū)為競(jìng)標(biāo)方針對(duì)需求方所提供的安全滲透測(cè)試服務(wù)所制定的服務(wù)標(biāo)準(zhǔn)，其目的在于有效規(guī)范競(jìng)標(biāo)方所提供技術(shù)服務(wù)的內(nèi)容及質(zhì)量，并作為對(duì)需求方所提供技術(shù)服務(wù)進(jìn)

2、行管理及考核的依據(jù)，從而確保需求方更為合理的選擇和使用相關(guān)服務(wù)。3)競(jìng)標(biāo)方應(yīng)保證所提供的所有資料真實(shí)、完整、準(zhǔn)確無(wú)誤，否則需求方將有權(quán)取消競(jìng)標(biāo)方的中標(biāo)資格，由此產(chǎn)生的一切后果由競(jìng)標(biāo)方承擔(dān)。1.21.2服務(wù)內(nèi)容服務(wù)內(nèi)容對(duì)國(guó)家醫(yī)學(xué)考試中心網(wǎng)站及應(yīng)用系統(tǒng)的域名地址，進(jìn)行遠(yuǎn)程滲透測(cè)試，發(fā)現(xiàn)互聯(lián)網(wǎng)上的風(fēng)險(xiǎn)點(diǎn)和脆弱點(diǎn)，并提出安全建議。1.31.3工程保證工程保證11.3.11.3.1組織保證組織保證1)需求方有對(duì)競(jìng)標(biāo)方所提供的實(shí)施人員進(jìn)行面試的權(quán)力

3、；2)競(jìng)標(biāo)方項(xiàng)目工作組的人員應(yīng)至少包括：項(xiàng)目負(fù)責(zé)人、項(xiàng)目實(shí)施人員、并附項(xiàng)目工作組核心人員簡(jiǎn)歷。3）項(xiàng)目負(fù)責(zé)人應(yīng)具有至少兩個(gè)及以上信息安全項(xiàng)目經(jīng)理的成功案例，并將負(fù)責(zé)本項(xiàng)目的管理、技術(shù)質(zhì)量管控。具體負(fù)責(zé)：項(xiàng)目進(jìn)度控制、編寫(xiě)項(xiàng)目周報(bào)、召開(kāi)周例會(huì)、項(xiàng)目實(shí)施技術(shù)方案、與需求方的溝通協(xié)調(diào)等工作。4）滲透測(cè)試工程師應(yīng)具備豐富的滲透測(cè)試經(jīng)驗(yàn)，熟悉各類網(wǎng)絡(luò)安全攻擊方法，熟悉漏洞的發(fā)掘與利用技術(shù)，熟悉WEB漏洞的利用，滲透測(cè)試經(jīng)驗(yàn)3年及以上。第3頁(yè)ISS

4、、極光等）；免費(fèi)的檢測(cè)工具（NESSUS、Nmap等）進(jìn)行收集。（3）測(cè)試實(shí)施部分：在規(guī)避防火墻、入侵檢測(cè)、防毒軟件等安全產(chǎn)品監(jiān)控的條件下進(jìn)行：操作系統(tǒng)可檢測(cè)到的漏洞測(cè)試、應(yīng)用系統(tǒng)檢測(cè)到的漏洞測(cè)試（如：Web應(yīng)用），此階段如果成功的話，可能獲得普通權(quán)限。滲透測(cè)試人員可能用到的測(cè)試手段有：掃描分析、溢出測(cè)試、口令爆破、社會(huì)工程學(xué)、客戶端攻擊、中間人攻擊等，用于測(cè)試人員順利完成工程。在獲取到普通權(quán)限后，嘗試由普通權(quán)限提升為管理員權(quán)限，獲得對(duì)

5、系統(tǒng)的完全控制權(quán)。此過(guò)程將循環(huán)進(jìn)行，直到測(cè)試完成。最后由滲透測(cè)試人員清除中間數(shù)據(jù)。2.42.4滲透測(cè)試報(bào)告滲透測(cè)試報(bào)告（1）測(cè)試結(jié)果確認(rèn)要求：測(cè)試結(jié)果要真實(shí)、可展示、可重復(fù)利用；競(jìng)標(biāo)方應(yīng)在針對(duì)特定目標(biāo)滲透性測(cè)試完成后，提供該目標(biāo)的滲透測(cè)試報(bào)告，指明每一臺(tái)主機(jī)、每一個(gè)應(yīng)用存在的安全漏洞，并提供詳細(xì)的整改建議。確保國(guó)家醫(yī)學(xué)考試中心被測(cè)試系統(tǒng)和數(shù)據(jù)庫(kù)能夠抵御中高程度的網(wǎng)絡(luò)攻擊。確保國(guó)家醫(yī)學(xué)考試中心被測(cè)試系統(tǒng)和數(shù)據(jù)庫(kù)能夠抵御中高程度的網(wǎng)絡(luò)攻擊。

6、（2）報(bào)告至少應(yīng)包括以下幾方面內(nèi)容：?滲透測(cè)試結(jié)論，包括但不限于以下內(nèi)容：獲取控制權(quán)限情況、授權(quán)范圍內(nèi)SQL注入情況、可獲得互聯(lián)網(wǎng)信息情況（客戶信息、系統(tǒng)信息等）以及發(fā)現(xiàn)漏洞可能會(huì)被不法利用情況；?滲透測(cè)試全過(guò)程描述攻擊前有關(guān)信息收集的描述：競(jìng)標(biāo)方嘗試的所有滲透方法，并分別列舉出能夠成功滲透進(jìn)國(guó)家醫(yī)學(xué)考試中心網(wǎng)站及應(yīng)用系統(tǒng)的攻擊方法；攻擊階段操作描述：存在的隱患或漏洞，以及利用該漏洞后產(chǎn)生后果；?部分證據(jù)描述應(yīng)描述攻擊過(guò)程中信息系統(tǒng)存在