北京博奥智源科技有限公司分析关于系统开发渗透测试

服务类	技术类型	内容及要求
渗透测试	服务要求	投标方应保证采购方信息系统正常运行前提下，模拟黑客攻击行为通过远程或本地方式对信息系统进行非破坏性的入侵测试，查找针对应用程序的各种漏洞，帮助招标方理解应用系统当前的安全状况，发现在系统复杂结构中的最脆弱链路并针对安全隐患提出解决办法，切实保证信息系统安全。 投标方应在得到客户授权后方可开始实施渗透工作。
	服务方案	投标方应根据采购方安全需求及重要业务系统结构，设计针对性的渗透测试方案，并提交至采购方进行评审。 投标方应在响应文件技术部分详细说明渗透测试的实施流程、渗透测试方法、实施过程中用到的工具、实施过程中可供考量的具体工作指标及各阶段输出成果。 投标方提供的渗透测试方案必须包括但不限于： 渗透方法和流程 渗透测试风险评估和控制方案 渗透测试须采用国内外商业检测工具或自有检测工具 提供渗透测试所面临的主要风险及相应的风险规避措施
	服务内容	采购方授权后，投标方应通过模拟黑客攻击行为通过本地或远程方式对目标对象进行非破坏性的入侵测试 渗透测试应至少包括但不限于以下范围的漏洞： WEB应用系统渗透 主机操作系统渗透 数据库系统渗透 渗透测试内容包括但不限于： 身份验证类 会话管理类 访问控制类 输入处理类 信息泄露类 第三方应用类 投标方渗透测试人员应针对使用不同技术手段发现不同纬度的漏洞，并进行验证，形成记录和报告 投标方应编写渗透测试报告并提交给采购方，报告应该阐明采购方业务系统中存在的安全隐患以及专业的漏洞风险处置建议
期限及频率	服务期内渗透测试开展1次
服务范围	智慧教育相关应用平台
服务交物	《业务系统渗透测试报告》