網(wǎng)絡(luò)安全常態(tài)化攻防演習(xí)服務(wù)需求

網(wǎng)絡(luò)安全常態(tài)化攻防演習(xí)服務(wù)需求一、項(xiàng)目背景根據(jù)《網(wǎng)絡(luò)安全法》、《個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)規(guī)定，為持續(xù)消除網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患，提升網(wǎng)絡(luò)安全綜合防護(hù)能力，織密筑牢網(wǎng)絡(luò)安全防護(hù)體系，計(jì)劃開展覆蓋全年的網(wǎng)絡(luò)資產(chǎn)探測、漏洞檢測、滲透測試、網(wǎng)絡(luò)安全事件應(yīng)急處置、移動(dòng)應(yīng)用安全檢測、集中攻防演習(xí)、威脅情報(bào)等重點(diǎn)工作，以進(jìn)一步提升網(wǎng)絡(luò)安全保障能力。二、項(xiàng)目服務(wù)要求（一）服務(wù)清單序號服務(wù)項(xiàng)目范圍服務(wù)頻率1網(wǎng)絡(luò)資產(chǎn)探測對全市公網(wǎng)IP、全量重點(diǎn)保衛(wèi)單位互聯(lián)網(wǎng)資產(chǎn)，開展7×24小時(shí)不間斷的網(wǎng)絡(luò)資產(chǎn)探測，分析并采集網(wǎng)絡(luò)資產(chǎn)指紋信息。每周對所述范圍內(nèi)資產(chǎn)輪巡探測一次，并提供高質(zhì)量工作報(bào)告。全年提供一份高質(zhì)量總結(jié)報(bào)告。2漏洞檢測對已探測、采集的網(wǎng)絡(luò)資產(chǎn)開展漏洞掃描，檢測發(fā)現(xiàn)高危端口、高危網(wǎng)絡(luò)漏洞和應(yīng)用漏洞等信息，重點(diǎn)排查可導(dǎo)致網(wǎng)頁被篡改、數(shù)據(jù)泄露等高危漏洞。每周對所述范圍內(nèi)資產(chǎn)開展一次漏洞檢測，每周提供一期工作報(bào)告，每次檢測對象不少于10萬個(gè)IP。3滲透測試在重要時(shí)間節(jié)點(diǎn)、重大活動(dòng)安保期間，對重點(diǎn)保衛(wèi)基礎(chǔ)網(wǎng)絡(luò)、網(wǎng)絡(luò)系統(tǒng)開展遠(yuǎn)程或現(xiàn)場專項(xiàng)滲透測試。根據(jù)采購人要求組織。4網(wǎng)絡(luò)安全事件應(yīng)急處置對發(fā)生網(wǎng)絡(luò)安全事件的單位，組織技術(shù)力量前往現(xiàn)場開展技術(shù)調(diào)查、復(fù)盤溯源、證據(jù)固定等應(yīng)急處置工作。全年后臺(tái)配備專人3人，7*24小時(shí)響應(yīng)，每次應(yīng)急需提供高質(zhì)量工作報(bào)告，全年提供一份高質(zhì)量總結(jié)報(bào)告。5高危移動(dòng)應(yīng)用專項(xiàng)檢測1)對“具有輿論屬性或社會(huì)動(dòng)員能力”“算法推薦”“深偽”等重點(diǎn)移動(dòng)應(yīng)用開展全網(wǎng)技術(shù)摸查，及時(shí)發(fā)現(xiàn)本地“小眾通聯(lián)”和相關(guān)互聯(lián)網(wǎng)新應(yīng)用。2）對相關(guān)重點(diǎn)應(yīng)用開展“敏感信息處理拉動(dòng)測試”，技術(shù)核驗(yàn)各項(xiàng)安全技術(shù)保護(hù)措施落實(shí)情況。3）對未落實(shí)各項(xiàng)安全技術(shù)保護(hù)措施的違法違規(guī)高危應(yīng)用開展技術(shù)勘驗(yàn)、證據(jù)提取工作。每天常態(tài)化開展，每周提供一期工作報(bào)告，全年提供一份高質(zhì)量總結(jié)報(bào)告。6專項(xiàng)檢測任務(wù)協(xié)助開展破防類網(wǎng)絡(luò)黑工具、動(dòng)態(tài)IP等網(wǎng)絡(luò)黑灰產(chǎn)技術(shù)、應(yīng)用技術(shù)檢測工作。根據(jù)采購人要求組織專項(xiàng)工作，每月提供不少于4條線索。7集中攻防演習(xí)全年開展2次集中式網(wǎng)絡(luò)安全攻防演習(xí)，組建不少于10支攻擊隊(duì)伍，模擬黑客真實(shí)攻擊方式，對全市重點(diǎn)保衛(wèi)單位網(wǎng)絡(luò)系統(tǒng)開展攻防演習(xí)。每半年各開展1次攻防演習(xí)，每次形成一份總結(jié)報(bào)告。8威脅情報(bào)每周輸出全網(wǎng)動(dòng)態(tài)收集網(wǎng)絡(luò)安全威脅情報(bào)信息，并針對威脅情報(bào)提供可行有效的安全防范或整改建議，并輸出年度總結(jié)分析報(bào)告。每天常態(tài)化開展威脅情報(bào)收集工作，每周提供不少于2篇高質(zhì)量報(bào)告，全年提供一份高質(zhì)量總結(jié)報(bào)告。（二）技術(shù)需求1.網(wǎng)絡(luò)資產(chǎn)探測自動(dòng)探測、收集全市網(wǎng)絡(luò)空間資產(chǎn)信息，分析網(wǎng)絡(luò)空間中存活資產(chǎn)的相關(guān)指紋信息：服務(wù)內(nèi)容技術(shù)要求資產(chǎn)探測1）梳理資產(chǎn)大類主要包含：系統(tǒng)的基本情況、網(wǎng)絡(luò)拓?fù)淝闆r、安全防護(hù)情況、安全基線情況等。2）梳理信息系統(tǒng)的基本情況：如數(shù)量、類別、名稱、承載業(yè)務(wù)、服務(wù)范圍、用戶數(shù)量、部署方式等。3）使用自動(dòng)化的平臺(tái)或工具，探測全市等級保護(hù)相關(guān)單位資產(chǎn)，發(fā)現(xiàn)相關(guān)資產(chǎn)信息，包括關(guān)聯(lián)的域名、服務(wù)類型、資產(chǎn)指紋、協(xié)議類型、開放端口等數(shù)據(jù)。2.漏洞檢測1、針對全市重保單位采用機(jī)器掃描加人工驗(yàn)證等方式，對存在安全隱患的高危資產(chǎn)進(jìn)行漏洞檢測，檢測服務(wù)器、終端設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用服務(wù)中存在的安全問題及安全漏洞，驗(yàn)證時(shí)需使用兩種工具進(jìn)行交叉驗(yàn)證。2、常態(tài)化漏洞檢測范圍，包括但不限于：WEB應(yīng)用系統(tǒng)、移動(dòng)應(yīng)用（IOS、安卓）、公眾號、小程序、物聯(lián)網(wǎng)、工控系統(tǒng)、云平臺(tái)等，漏洞掃描結(jié)束后需提供漏洞評估報(bào)告和修復(fù)建議，并進(jìn)行相關(guān)綜合展示。3、漏洞掃描技術(shù)要求如下：服務(wù)內(nèi)容技術(shù)要求漏洞掃描1）使用自動(dòng)化的平臺(tái)或工具，檢測指定目標(biāo)單位相關(guān)服務(wù)器、終端設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用服務(wù)中存在的安全問題及安全漏洞，并結(jié)合人工驗(yàn)證保證漏洞的準(zhǔn)確性，漏洞修復(fù)后重新進(jìn)行掃描，驗(yàn)證修復(fù)效果。2）對數(shù)據(jù)庫進(jìn)行弱點(diǎn)檢測，支持對Oracle、Mysql、SQLServer、DB2、informix、達(dá)夢、人大金倉的授權(quán)數(shù)據(jù)庫漏洞掃描。3）對操作系統(tǒng)漏洞檢測，應(yīng)包括但不限于操作系統(tǒng)常見的：溢出、暴力破解、任意文件執(zhí)行、提權(quán)等漏洞掃描、以及空弱賬戶口令、遠(yuǎn)程控制協(xié)議、注冊表關(guān)鍵項(xiàng)的掃描。4）提供弱口令檢測，提供多種弱口令掃描協(xié)議，包括SMB、RDP、SSH、TELNET、FTP、SMTP、IMAP、POP3、MySQL、MSSQL、REDIS、RTSP等協(xié)議進(jìn)行弱口令掃描，允許用戶自定義用戶、密碼字典。3.滲透測試1、針對重要時(shí)間節(jié)點(diǎn)、重大活動(dòng)安保期間等專項(xiàng)檢查任務(wù)，對指定目標(biāo)單位的信息系統(tǒng)，模擬黑客的攻擊方法和手段，采用手工方式，進(jìn)行現(xiàn)場滲透測試。2、滲透測試業(yè)務(wù)范圍，包括但不限于WEB應(yīng)用系統(tǒng)、移動(dòng)應(yīng)用（IOS、安卓）、公眾號、小程序、物聯(lián)網(wǎng)、工控系統(tǒng)、云平臺(tái)、人工智能等。滲透測試必須有詳細(xì)的實(shí)施方案和實(shí)施計(jì)劃，用于指導(dǎo)和規(guī)范測試工作，滲透測試完成后必須提交測試報(bào)告，除了描述發(fā)現(xiàn)深層次的安全漏洞外，還需要詳細(xì)描述滲透過程，獲取滲透對象的重要數(shù)據(jù)等步驟，最終每個(gè)系統(tǒng)輸出《系統(tǒng)滲透測試報(bào)告》，復(fù)測后輸出《系統(tǒng)滲透測試報(bào)告（復(fù)測）》。3、滲透測試測試包括但不限于以下測試項(xiàng)：序號測試分類技術(shù)要求1WEB安全SQL注入跨站腳本攻擊（XSS）XML外部實(shí)體（XXE）注入跨站點(diǎn)偽造請求（CSRF）服務(wù)器端請求偽造（SSRF）任意文件上傳任意文件下載或讀取任意目錄遍歷.svn/.git源代碼泄露信息泄露CRLF注入命令執(zhí)行注入U(xiǎn)RL重定向Json劫持第三方組件安全本地/遠(yuǎn)程文件包含任意代碼執(zhí)行Struts2遠(yuǎn)程命令執(zhí)行Spring遠(yuǎn)程命令執(zhí)行反序列化命令執(zhí)行2業(yè)務(wù)邏輯安全用戶名枚舉用戶密碼枚舉用戶弱口令會(huì)話標(biāo)志固定攻擊平行越權(quán)訪問垂直越權(quán)訪問未授權(quán)訪問驗(yàn)證碼缺陷3中間件安全中間件配置缺陷中間件弱口令Webloigc反序列化命令執(zhí)行Jboss反序列化命令執(zhí)行Websphere反序列化命令執(zhí)行Jenkins反序列命令執(zhí)行JBoss遠(yuǎn)程代碼執(zhí)行文件解析代碼執(zhí)行4服務(wù)器安全域傳送漏洞Redis未授權(quán)訪問MangoDB未授權(quán)訪問操作系統(tǒng)弱口令數(shù)據(jù)庫弱口令本地權(quán)限提升已存在的腳本木馬應(yīng)用防護(hù)軟硬件缺陷4.網(wǎng)絡(luò)安全事件應(yīng)急處置1、針對篡改、數(shù)據(jù)泄露、入侵、勒索病毒等網(wǎng)絡(luò)安全案事件，開展現(xiàn)場應(yīng)急處置。2、應(yīng)急處置過程需建立完善的響應(yīng)機(jī)制、處置流程及方案。5.高危移動(dòng)應(yīng)用專項(xiàng)檢測1、針對重點(diǎn)移動(dòng)應(yīng)用開展常態(tài)化技術(shù)摸查，包括全網(wǎng)比對、分析核驗(yàn)，并定期摸查提供本地相關(guān)應(yīng)用清單。提供內(nèi)容包括：APP應(yīng)用名稱、APK包名、運(yùn)營主體信息等。2、參照國家相關(guān)法律法規(guī)和行業(yè)標(biāo)準(zhǔn)，針對重點(diǎn)移動(dòng)應(yīng)用各項(xiàng)安全技術(shù)保護(hù)措施落實(shí)情況開展遠(yuǎn)程技術(shù)檢測、核驗(yàn)，及時(shí)發(fā)現(xiàn)高危問題應(yīng)用，并進(jìn)行技術(shù)勘驗(yàn)、提取固定未落實(shí)安全措施的相關(guān)證據(jù)，出具相關(guān)檢測報(bào)告。6.專項(xiàng)檢測任務(wù)協(xié)助開展破防類網(wǎng)絡(luò)黑工具、動(dòng)態(tài)IP等網(wǎng)絡(luò)黑灰產(chǎn)技術(shù)、應(yīng)用技術(shù)檢測工作，包括技術(shù)分析、后臺(tái)摸排等，形成技術(shù)分析報(bào)告。7.集中攻防演習(xí)1、組建不少于10支攻擊隊(duì)伍（每支隊(duì)伍人數(shù)不少于3名），針對全市重點(diǎn)單位開展集中式實(shí)戰(zhàn)攻防演習(xí)。2、針對確認(rèn)的真實(shí)網(wǎng)絡(luò)目標(biāo)為攻防對象進(jìn)行的專項(xiàng)攻防對抗演練，重點(diǎn)關(guān)注目前網(wǎng)絡(luò)安全突出問題，通過模擬黑客的攻擊方法對系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性的攻擊性測試，目的是入侵目標(biāo)網(wǎng)絡(luò)，通過滲透測試找出目標(biāo)網(wǎng)絡(luò)存在的弱點(diǎn)并將結(jié)果呈現(xiàn)。3、組織紅隊(duì)成員模擬黑客從外部對企業(yè)互聯(lián)網(wǎng)資產(chǎn)進(jìn)行嗅探、踩點(diǎn)、入侵、并嘗試各種技術(shù)類手段進(jìn)行網(wǎng)絡(luò)的縱向或橫向入侵來發(fā)現(xiàn)目標(biāo)中的整體網(wǎng)絡(luò)的安全問題，參加攻擊隊(duì)伍數(shù)量、人數(shù)。4、攻防演練必須有詳細(xì)的實(shí)施報(bào)告，需根據(jù)每日攻防演練結(jié)果及處理情況進(jìn)行匯總分析，并編制攻防演練報(bào)告。5、專項(xiàng)攻防演習(xí)服務(wù)，包括防演練平臺(tái)支撐，演練平臺(tái)功能需包含：攻防演示、成果展示、全流量檢測、攻擊過程及操作可追溯，要求具備以下詳細(xì)功能：序號服務(wù)內(nèi)容技術(shù)要求1工作模式提供全中文WEB管理界面。2審計(jì)功能需證明平臺(tái)可完全支持保障演習(xí)過程中的安全可控，攻擊過程及操作可追溯和審計(jì)的要求。證明功能包括但不限于支持全流量檢測、所有攻擊流量留存、攻擊行為監(jiān)控或攻擊終端監(jiān)控等。3平臺(tái)角色平臺(tái)角色須包含平臺(tái)管理員或運(yùn)維管理員、攻擊方、防守方、裁判員等角色。4用戶列表具備管理平臺(tái)所有用戶的功能，支持針對用戶的搜索功能。5管理員賬號頁面1）可以展示累計(jì)舉辦演練場次、累計(jì)有效攻擊成果數(shù)、累計(jì)有效防御成果數(shù)。2）可以查看當(dāng)前進(jìn)行中的演練，包含演練名稱、演練時(shí)間、演練場地、演練倒計(jì)時(shí)和演練狀態(tài)。3）可以查看參演人數(shù)、攻擊方人數(shù)、防守方人數(shù)和裁判員人數(shù)。6通知公告管理支持針對平臺(tái)所有用戶、角色和團(tuán)隊(duì)發(fā)布通知公共的功能。7工作匯報(bào)管理支持匯報(bào)模板的設(shè)置功能，至少可在模板中設(shè)置包括成功總結(jié)、安全加固措施、改善意見和建議的內(nèi)容。8演練列表支持查看不同狀態(tài)的演練列表，并進(jìn)行開始和結(jié)束的操作功能。支持查看每個(gè)演練中的成果統(tǒng)計(jì)，包括攻擊方團(tuán)隊(duì)和防守單位團(tuán)隊(duì)的成果信息。9團(tuán)隊(duì)管理1）支持針對攻擊團(tuán)隊(duì)和防守團(tuán)隊(duì)的信息管理功能，包括新增、編輯、查看和搜索團(tuán)隊(duì)或人員信息。2）支持但不限于目標(biāo)系統(tǒng)等關(guān)鍵字搜索所屬防守團(tuán)隊(duì)。10攻擊成果列表支持針對攻擊成果的查看、審核和重新審核、導(dǎo)出或下載攻擊成果報(bào)告的功能。11攻擊日志管理支持針對所有攻擊團(tuán)隊(duì)及人員的攻擊日志的檢索和查詢。12目標(biāo)系統(tǒng)管理支持批量導(dǎo)入目標(biāo)系統(tǒng)。13防御成果列表支持導(dǎo)出或下載防御成果報(bào)告。14匯總展示支持統(tǒng)一展示攻防演練過程、攻擊成果、防御成果相關(guān)內(nèi)容以及統(tǒng)計(jì)