全省税务互联网应用系统漏洞挖掘服务需求

全省税务互联网应用系统漏洞挖掘服务需求一、项目背景随着税收信息化的不断发展，越来越多的涉税业务办理事项已通过互联网方式为纳税人、缴费人提供服务，为纳税人和缴费人提供了多元、便捷的服务方式，进一步提高了办税效率和纳税服务质量。但与此同时开放的互联网也为网络黑客提供了可乘之机，通过隐蔽的系统漏洞大量盗取涉税数据等重要敏感信息，具有极大的危害性。为提升税务信息系统安全防护水平和漏洞挖掘能力，以及针对重大事件应急响应能力，现拟进行全省税务互联网应用系统漏洞挖掘服务的工作，查找可能存在的隐匿系统漏洞和安全威胁，进行安全整改加固和应急响应工作，以实现对互联网信息系统网络安全风险的早预警、早发现、早处置目标。二、服务内容针对全省税务系统所有互联网应用系统（含微信公众号、微信小程序、移动APP、快应用等）进行为期一年共4次全方位、深度的安全漏洞挖掘服务，每次漏洞挖掘时间不少于15天，每次至少需发现15个中高危漏洞。1、漏洞挖掘平台提供漏洞挖掘系统或平台，需具备以下能力：1.1漏洞挖掘平台应全站支持SSL加密通信，并对平台自身进行过专业安全检测。1.2漏洞挖掘平台注册白帽子不少于4万，平台完成不少于2个漏洞挖掘项目案例。1.3漏洞挖掘平台可以对http、https进行全流量分析，全过程无死角；服务全程可视化，通过对流量数据的监测分析及数据间的关联关系判断，识别当前动作所处攻击环节，同时定位攻击发起时间、攻击利用位置、攻击源等信息，能够对测试动作进行还原描绘，按照攻击链理论将测试动作映射到攻击链模型上，形成完整攻击链可视，使安全服务过程“实战化”呈现。1.4漏洞挖掘平台应支持对测试参与人员的管理，对违规人员进行踢出操作；配合行为审计能力，一旦发现测试过程中存在恶意、违规行为，能立即撤销测试账号权限，从而阻断测试通道，防止产生后续损失。1.5漏洞挖掘平台能够根据采购人要求设置加入限制条件，通过漏洞挖掘平台人员信誉体系多维度指标可以进行参与漏洞挖掘人员筛选，可设置最低参与测试人员分值以确保参与漏洞挖掘白帽子的可信度从而保证项目质量。2、漏洞挖掘服务通过对业务系统进行深度漏洞挖掘服务，查找可能存在的隐匿系统漏洞和安全威胁，并协助采购人进行安全整改加固和应急处置工作，以实现对互联网业务系统网络安全风险的早预警、早发现、早处置目标。2.1针对性的测试针对性测试需包含各种威胁（包括但不限于web应用安全风险、业务安全风险、配置不当、弱口令等）所带来的风险，覆盖OWASPTOP10漏洞类型及近几年爆出的漏洞类型。应对最新披露的0DAY漏洞、Nday漏洞，第一时间组织测试团队针对采购人各互联网信息系统、APP、PC客户端等进行验证，确保采购人最低程度受0DAY漏洞、Nday漏洞影响。要针对发现各种威胁漏洞提出解决方案，确保帮助采购人将风险降至最低。2.2Web应用安全风险检测在不同的位置（比如从内网、从外网等位置）通过模拟恶意黑客的攻击方法，利用各种手段对某个特定应用系统进行测试与分析。要根据采购人要求发现和挖掘采购人所有互联网应用系统中存在的漏洞和薄弱环节，帮助业务系统降低和消除这些应用系统中的安全风险，提高信息系统安全保障能力，保障信息系统正常运行。2.3业务安全风险检测为了充分了解业务系统面临的网络安全威胁，需要采取模拟黑客攻击的方式通过人工手段进行黑盒和白盒测试，发现业务系统中存在的可能被利用的系统漏洞、web应用漏洞、业务逻辑漏洞、攻击途径、后果危害等安全威胁。要通过人工渗透测试的方式开展业务安全评估，确保检测准确性。要对被评估系统进行业务流程的分析，发现存在于业务数据交互过程中的安全隐患，并对后期进行安全策略审核提供事实基础，确保降低业务安全风险。2.4弱口令检测系统弱口令检查情况包括：操作系统、数据库等弱口令状况，测试范围支持服务范围内的公网系统，包含web、app、pc客户端、智能硬件在内的产品或系统。包括但不限于主机、数据库、中间件、网络设备、安全设备、云资源池和大数据平台组件、业务系统、平台等弱口令核查和撞库。要对采购人所有资产开展弱口令检测，确保弱口令检测全方位全覆盖，最大程度降低弱口令对系统安全的影响。2.5人工审核与漏洞验证针对平台测试人员挖掘出的漏洞，应分配专职的漏洞审核人员，详细设定各项漏洞定义与等级标准。要严格按照标准判定漏洞有效性、评审漏洞等级，保障结果公平公正。针对挖掘出的漏洞要及时提供漏洞修复建议，并协助采购人完成漏洞修复，确保最大程度降低漏洞风险影响。3、复测服务提供复测方案，需围绕服务开展计划、服务人员安排、服务实施进度、复测及时性承诺等方面进行阐述。要对修复后的漏洞开展复测，验证漏洞是否修复完好。要在用户申请后的7日内反馈复测结果，复测次数不限。确保发现的所有漏洞都被修复，保障采购人互联网应用系统安全运行。4、漏洞预警服务需向采购人提供漏洞预警服务方案，需从漏洞信息、影响范围、应急响应等方面进行阐述。在服务期内，需预警相应网站数量的漏洞安全服务，包括但不限于紧急重大类行业漏洞信息、安全事件、重大舆情信息、重要系统漏洞级补丁信息等。要以最直接方式向用户告知漏洞对用户应用系统的危害、影响范围及修补方案等信息，必要时提供现场应急响应支持服务,确保采购人能及时了解安全行业最新动态，及时更新漏洞信息。三、项目要求1、团队人员要求1.1应组建不少于15人的专业资深测试团队参加项目实施，其中1人为项目负责人。1.2参与众测服务测试人员对参与安全众测的白帽子均应完成实名认证，在提供服务时提供测试人员ID和姓名，确保人员来历有据可循，保证测试过程安全可控。1.3拟派的项目负责人工作经验不少于10年，具有系统架构设计师、信息系统项目管理师和系统分析师中的任意2项证书。1.4拟派的漏洞挖掘服务团队成员至少5人具有系统架构设计师、信息系统项目管理师、系统分析师和网络工程师中任意1项证书。2、项目实施要求2.1对税务系统其它未登记的应用系统进行发现，必须征得省局同意获得授权后方可进行测试。2.2应按照采购人指定的时间段和业务范围开展安全漏洞挖掘，要保证测试的全面性、真实性、深入性，尽量发现应用系统所存在的网络安全问题和面临的网络安全威胁。2.3组织开展的检测服务过程应由自身审计设备进行全过程审计监督，确保其规范性、合法性。2.4在服务期内只能验证漏洞是否存在，不得影响系统运行或获取数据。2.5对服务期间发现的漏洞，及时提供漏洞报告并制定安全加固方案，协助用户开展安全加固工作和回归测试。2.6不得将服务期间发现的漏洞以任何形式公布在互联网上。3、其他要求（1）服务对应产出物均需经采购人评审通过视为服务交付完成；（2）服务对象、服务方式等不定因素均由采购人进行决定；（3）服务提供方所制定的方案以及具体实施的时间等内容，均需及时与采购人沟通，由采购人确认后方可实施，不得擅自开展。四、安全与保密要求1.及其项目派出驻场人员须与采购人签订保密协议，驻场人员须遵循采购人的各项安全制度，对漏洞挖掘中发现的各类系统漏洞等安全隐患应做到绝对保密，不可向任何第三方泄露系统安全漏洞信息、漏洞挖掘脚本和攻击手法等敏感信息。2.本项目所接触的国家税务总局各应用系统的相关信息只允许本人在本项目中使用，保守采购人工作秘密，保守纳税人商业秘密，不得以任何形式向他人泄露。若违反保密协议造成损失，相关责任由供应商承担。3.项目派出人员的工作成果归采购人所有，未征得采购人书面同意不得将技术资料泄露给其他人员及单位。如违反上述协议内容，采购人将保留追究供应商法律责任的权利。五、服务质量要求1.服务按年进行服务质量考核，并根据服务交付物决定是否扣款，扣完为止。2.在服务年度，未及时提交漏洞分析报告，每个漏洞扣合同金额的2%；验收时，每次漏洞挖掘未发现15个以上导致业务危害的中高危等级漏洞，按每少一个扣合同金额的2%；监测到安全事件发生，未在30分钟内作出响应，提供应急响应服务的，派专业安全人员到现场的，每次扣合同金额的10%。六、其他要求服务期及地点服务期：一年（自合同签订之日起）。服务地点：采购人指定的工作地点。售后服务响应情况重大网络安全事件要求：服务提供方监测到采购人发生重大网络安全事件（重要网络和信息系统遭受严重的系统损失，‌导致系统长时间中断或局部瘫痪，‌业务处理能力受到极大影响‌）时，须在第一时间通知采购人，并立即提供应急技术处置方案。一般网络安全事件（重要网络和信息系统遭受较小的系统损失，‌导致系统短时间中断，‌业务处理能力受到较小影响‌）及时处置，并在下一工作日时提交相关报告。3.应急响应高级支持服务要求：服务提供方接到采购人应急响应高级支持服务请求后必须立即做出实质性响应，对于采购人的应急响应高级支持服务请求，服务提供方必须在30分钟内快速响应，1小时内提出解决方案，如2小时内未能恢复正常，必须在4小时内组织专家团队以最短时间到达现场提供服务，协助解决问题。项目验收验收要求1.在满足以下条件后，可提出项目验收申请：（1）按要求完成4次漏洞挖掘服务；（2）针对发现的所有安全漏洞，提交漏洞分析报告，漏洞分析报告至少包含漏洞分析和加固建议；（3）每次漏洞挖掘至少发现15个导致业务危害的中高危等级漏洞（漏洞评级标准参考国际组织OWASP漏洞标准）；2.应配合完成项目的验收工作，提交项目验收相关产出物，经项目单位确认后进行项目验收。3.交付成果：（1）《漏洞分析报告》；（2）《漏洞列表》；（3）《漏洞挖掘总结报告》；4.交付成果要求提