代碼復(fù)核和安全服務(wù)要求

代碼復(fù)核和安全服務(wù)要求（一）代碼審計(jì)服務(wù)技術(shù)指標(biāo)指標(biāo)要求服務(wù)范圍代碼審計(jì)服務(wù)包含80個(gè)應(yīng)用系統(tǒng)數(shù)量。服務(wù)內(nèi)容收集當(dāng)前系統(tǒng)的源代碼，在了解業(yè)務(wù)流和各模塊功能和結(jié)構(gòu)的情況下，以O(shè)WASPTOP10為檢查依據(jù)，檢查系統(tǒng)代碼在程序編寫上的安全性和脆弱性以及結(jié)構(gòu)性安全。源代碼安全性審計(jì)主要內(nèi)容應(yīng)包括：分析源代碼是否能追溯到需求；分析源代碼是否符合支持工具和編程語言分析；分析源代碼是否滿足模塊化、可驗(yàn)證、易安全修改的要求；分析軟件編碼中所使用技術(shù)的安全性和方法的合理性。輸出物《代碼審計(jì)報(bào)告》代碼審計(jì)工具要求：提供專業(yè)的代碼審計(jì)工具基本功能語言支持支持C、C++、Java、JavaScript、JSP、PHP、Android、Python、Shell、GO、SQL編程語言；C/C++代碼檢測速度可達(dá)到50萬行代碼/小時(shí)。Java，JSP項(xiàng)目分析速度：Java，JSP代碼檢測速度不低于100萬行代碼/小時(shí)。代碼分析方式支持命令行方式本地調(diào)用分析；代碼分析類型1、支持對有源碼以及編譯結(jié)果的素材進(jìn)行掃描與分析；2、支持對無源碼（如無源碼的Apk或Jar包）的素材進(jìn)行掃描與分析。代碼掃描速度C/C++代碼檢測速度不低于50萬行代碼/小時(shí)。Java，JSP代碼檢測速度不低于100萬行代碼/小時(shí)。代碼掃描模式支持掃描速率調(diào)節(jié)，不少于5個(gè)檔位，可以根據(jù)不同場景提供不同掃描速率選項(xiàng)。報(bào)告內(nèi)容及數(shù)據(jù)報(bào)告應(yīng)能夠提供對項(xiàng)目缺陷的數(shù)量統(tǒng)計(jì)以及單個(gè)缺陷的狀態(tài)更新對比，支持以EXCEL、HTML、PDF、JSON方式導(dǎo)出報(bào)告內(nèi)容。代碼度量能夠從可靠性、可維護(hù)性、覆蓋率、重復(fù)度、大小、復(fù)雜度、問題、安全等方面量化源代碼的詳細(xì)質(zhì)量情況，評估源代碼的質(zhì)量情況。流程集成IDE支持支持云分析，不占用開發(fā)機(jī)資源；插件支持：支持Eclipse/IDEA插件。對選擇的模塊或當(dāng)前編輯源代碼進(jìn)行快速遠(yuǎn)程分析。支持遠(yuǎn)程升級插件版本。CI集成支持GitLab、Jenkins、SVN、Github集成。支持JenkinsCI平臺(tái)。支持遠(yuǎn)程觸發(fā)分析，異步觸發(fā)分析和串行質(zhì)量門檻分析。無需安裝額外插件，支持多服務(wù)器遠(yuǎn)程升級安裝包和更新授權(quán)。能接入Gitlab代碼評審流程，針對代碼修改進(jìn)行快速分析，分析結(jié)果反饋到Gitlab代碼片段中。Bug管理系統(tǒng)集成支持SonarQube集成。支持Sonarqube報(bào)告平臺(tái)，支持作為sonar的插件進(jìn)行運(yùn)行；無需部署新的后臺(tái)服務(wù)或硬件；支持多服務(wù)器遠(yuǎn)程升級安裝包和更新授權(quán)。標(biāo)準(zhǔn)覆蓋國際國內(nèi)標(biāo)準(zhǔn)支持《OWASPTop10代碼安全標(biāo)準(zhǔn)》《CWECheckersForC/C++》《CWECheckersForJava》《國家源代碼漏洞測試標(biāo)準(zhǔn)GB/T34943-2017》《國家源代碼漏洞測試標(biāo)準(zhǔn)GB/T34944-2017》《電子行業(yè)標(biāo)準(zhǔn)SJ/T11682-2017（C/C++）》《電子行業(yè)標(biāo)準(zhǔn)SJ/T11682-2017（Java）》《SEICERTJavacodingstandard》《SEICERTC++codingstandard》《MISRAC++2008》投標(biāo)人或服務(wù)原廠商對代碼審計(jì)有著深入的研究，曾參與相關(guān)檢測標(biāo)準(zhǔn)的制定：1、GBT34944-2017《Java語言源代碼漏洞測試規(guī)范》。2、SJT11683-2017《Java語言源代碼缺陷控制與測試指南》。CWE標(biāo)準(zhǔn)覆蓋C/C++/Java缺陷檢測器覆蓋150余條CWE規(guī)則?？傄?guī)則數(shù)量：C/C++高于500條，Java高于600條。MISRA覆蓋C++檢查器覆蓋160余條MISRA規(guī)則。分析能力代碼質(zhì)量檢測覆蓋內(nèi)存和資源誤用、錯(cuò)誤和異常處理等9類2922條檢查器代碼安全檢查覆蓋輸入驗(yàn)證與表示、隱私數(shù)據(jù)泄漏等3類300條檢查器虛函數(shù)檢測能力能夠支持C/C++虛函數(shù)的檢測分析能力跨函數(shù)全文本分析能力能夠支持跨函數(shù)的全文本檢測分析能力（二）重要時(shí)期安全保障服務(wù)技術(shù)指標(biāo)指標(biāo)要求服務(wù)內(nèi)容重要時(shí)期提供人員現(xiàn)場保障服務(wù)，服務(wù)期間保障工程師利用人工結(jié)合工具等方式對單位信息系統(tǒng)、網(wǎng)站、服務(wù)器等資產(chǎn)進(jìn)行實(shí)時(shí)監(jiān)測，及時(shí)處理發(fā)現(xiàn)的系統(tǒng)安全事件。同時(shí)利用安全監(jiān)測平臺(tái)對安全威脅及事件進(jìn)行取證溯源，并對內(nèi)部安全設(shè)備策略進(jìn)行配置優(yōu)化，幫助用戶建立完善的網(wǎng)絡(luò)安全保障機(jī)制。針對重要系統(tǒng)，值守工程師模擬黑客的攻擊思路進(jìn)行滲透測試，發(fā)現(xiàn)信息系統(tǒng)存在的安全威脅。除完成以上內(nèi)容外，還需滿足客戶提出的其他臨時(shí)安全需求，并最終提交各項(xiàng)報(bào)告。服務(wù)工具需對本市提供對業(yè)務(wù)云增值安全服務(wù)的統(tǒng)一管理和分析服務(wù)，對云內(nèi)虛擬安全設(shè)備如防火墻、系統(tǒng)掃描、堡壘機(jī)等的全方位管理。提供拓?fù)?、設(shè)備配置、故障告警、性能、安全、報(bào)表等網(wǎng)絡(luò)安全管理服務(wù)，提供對云平臺(tái)上安全資源集中、統(tǒng)一、全面的監(jiān)控與管理服務(wù)。輸出物《重保日報(bào)》、《重?？偨Y(jié)報(bào)告》等。（三）漏洞掃描服務(wù)技術(shù)指標(biāo)指標(biāo)要求期限及頻率提供不少于12次漏洞掃描服務(wù)。服務(wù)內(nèi)容采用業(yè)界認(rèn)可的、專業(yè)的掃描工具，通過定制的掃描規(guī)則，形成安全掃描策略文檔，對用戶指定主機(jī)進(jìn)行一次全面的自動(dòng)化安全掃描，人工驗(yàn)證掃描結(jié)果，并輸出安全掃描報(bào)告及修復(fù)建議。輸出物《主機(jī)漏洞掃描報(bào)告》工具要求須提供專業(yè)合規(guī)的漏洞掃描工具。數(shù)據(jù)庫掃描工具1、支持針對數(shù)據(jù)庫每張表每個(gè)字段的內(nèi)容進(jìn)行敏感數(shù)據(jù)探測，用戶可以自定義添加敏感信息，可以讓用戶了解自己的數(shù)據(jù)庫系統(tǒng)有哪些敏感數(shù)據(jù)，存放的具體位置，便于在信息保護(hù)和審計(jì)中重點(diǎn)關(guān)注；2、支持針對Oracle、SQLServer、MySQL、Informix、DB2、Sybase、PostgreSQL、達(dá)夢、人大金倉進(jìn)行數(shù)據(jù)庫授權(quán)掃描；3、提供自動(dòng)搜索功能，可以自動(dòng)搜索出某一網(wǎng)段或指定IP范圍內(nèi)（端口號可默認(rèn)或指定范圍）的活動(dòng)數(shù)據(jù)庫，輕松獲得數(shù)據(jù)庫的基本信息（包括IP、數(shù)據(jù)庫類型、服務(wù)名、端口號、數(shù)據(jù)庫版本、操作系統(tǒng)類型、主機(jī)名等）；可按時(shí)間點(diǎn)、按日、按周定制掃描計(jì)劃，到時(shí)間自動(dòng)進(jìn)行掃描；4、使用具有DBA權(quán)限的數(shù)據(jù)庫用戶，執(zhí)行選定的安全策略實(shí)現(xiàn)對目標(biāo)數(shù)據(jù)庫的檢測；5、用戶在沒有授權(quán)的情況下（即：不需要數(shù)據(jù)庫的用戶名和密碼），依據(jù)數(shù)據(jù)庫版本號并根據(jù)選定的安全策略對目標(biāo)數(shù)據(jù)庫進(jìn)行的檢測；WEB應(yīng)用弱點(diǎn)掃描工具1、支持常見的WEB應(yīng)用弱點(diǎn)檢測，支持OWASPTOP10等主流安全漏洞，如：SQL注入、Cookie注入、Base64注入、XSS跨站腳本、框架注入、鏈接注入、隱藏字段、CSRF跨站偽造請求、命令注入、命令執(zhí)行、代碼注入、遍歷目錄、弱口令、表單繞過、文件包含、管理后臺(tái)、敏感信息泄漏、第三方組件、其他各類CGI漏洞等各種類型；2、支持在漏洞知識庫中單獨(dú)選擇某漏洞直接下發(fā)掃描任務(wù)以驗(yàn)證是否存在該漏洞；3、支持定制掃描：用戶可根據(jù)；目標(biāo)掃描網(wǎng)站的特點(diǎn)以及所在網(wǎng)