滲透測試係透過模擬有心人士之攻擊方式，對目標主機或網路服務進行安全強度的測試，以找出可能的資安漏洞，並提出改善建議，並於協助修正資安漏洞後提供複測，以確認已經完成修正。

廠商針對機關之伺服器
主機作業系統、應用軟體、 網路服務、連接網際網路 配有 IP) 之物聯網設備，如：門禁 系統 、網路印表機、網路攝影機 ( 、無線 AP/ 無線路由器或環控系統 監控溫度或濕度之機房環控系統的伺服器主機 等安全弱點與漏洞，進行滲透或穿透跳躍主機之入侵測試，設法取得未經授權之存取權限，並測試內部資訊是否有遭受不當揭露、竄改或竊取之可能性。滲透測試執行方式分為內網滲透測試及外網滲透測試。

1. 資料蒐集
對受測目標進行資料蒐集與資訊分析，將取得之相關資訊做為執行滲透測試決策。

2. 測試次數
訂購後半年內，提供機關2 次滲透測試服務 初測與複測 。

3. 分析報告
測試作業後1 個月內，根據測試結果，將所發現之弱點與過程詳細記錄 過程與結果應有佐證畫面 )，並對結果進行確認，降低誤判問題 (false positive 、 false negative) negative)，提出相關建議與測試報告，對於不適用之測試項目，應註明並說明不適用理由。

4. 風險管理
在滲透測試執行期前，應提出對受測目標進行備份建議，避免發生非預期資料損毀或遺失等情形。
在滲透測試執行期間，執行具侵入性質的檢測作業皆應與機關進行確認，並於雙方議定之適當時間且具備適當應變措施與風險評估後，才進行相關檢測作業。

5. 系統滲透測試項目

測試類型	測試類別	測試項目
作業系統	遠端服務	至少包含遠端服務套件弱點測試等項目
	本機服務	在已取得系統控制權限的條件下，可執行至少包含本機服務套件弱點測試等項目
網站服務	設定管理	至少包含應用程式設定測試、檔案類型處理測試、網站檔案爬行測試、後端管理介面測試及 HTTP 協定測試等項目
	使用者認證	至少包含機敏資料是否透過加密通道進行傳送及使用者帳號列舉測試等項目
	連線管理	至少包含Session 管理測試、 Cookie 屬性測試、 Session 資料更新測試、 Session 變數傳遞測 試及 CSRF 測試等項目
	使用者授權	至少包含目錄跨越測試、網站授權機制測試及權限控管機制測試等項目
	邏輯漏洞	至少包含網站功能測試、網站功能設計缺失測試及附件上傳測試等項目
	輸入驗證	至少包含XSS 漏洞測試、 SQL Injection 測試、 LDAP Injection 測試、 XML Injection測試、 SSI Injection 測試、 XPath Injection測試、 Code Injection 、 OS Commanding 測試及偽造 HTTP 協定測試等項目
	Web Service	至少包含WSDL 測試、 XML 架構測試、XML 內容測試及 XML 參數傳遞測試等項目
	Ajax	至少包含Ajax 弱點測試等項目，如輸入驗證缺失、權限控管及套件弱點等測試項目
網站服務	電子郵件服務	套件至少包含SMTP 、 POP3 及 IMAP 等常見對外郵件服務之弱點測試，如設定缺失、權限控管及套件弱點等測試項目
	網站服務套件	包含常見WEB 套件弱點測試，如設定缺失、權限控管及套件弱點等測試項目
	檔案傳檔服務	套件至少包含FTP 、 NETBIOS 及 NFS 等常見檔案傳輸服務之弱點測試，如設定缺失、權限控管及套件弱點等 測試項目
	遠端連線服務	套件至少包含SSH 、 TELNET 、 VNC 及 RDP等常見遠端連線服務之弱點測試，如設定缺失、權限控管及套件弱點等測試項目
	網路服務套件	至少包含DNS 、 PROXY 及 SNMP 等常見網路服務之弱點測試，如設定缺失、權限控管及套件弱點等測試項目
	其他	包含Firewall 、 IDS/IPS 、 Database 、LDAP 、 SMB 、 LPD 、 IPP 、 Jetdirect 及RTSP 等常見應用程式或網路套件之弱點掃描項目
密碼破解	密碼強度測試	至少包含WEB 、 FTP 、 SSH 、 TELNET 、S MTP 、 POP3 、 IMAP 、 SNMP 、NetBIOS 、 RDP 、 VNC 及 Database 等常見對外服務之密碼字典檔測試
無線服務	無線服務弱點測試	到場服務的條件下，包含無線服務套件弱點測試與 WiFi 密碼字典檔測試等項目

6.物聯網設備滲透測試項目
依檢測之物聯網設備類別，測試其開啟 之服務是否存在弱點，若有不適用之測試類別，應註明並說明不適用理由。

測試類型	測試類別	測試項目
系統	本機服務	針對物聯網設備與管理主機，執行服務套件弱點測試等項目
網站服務	設定管理	針對物聯網設備與管理主機，執行服務套件弱點測試等項目
	使用者認證	包含常見WEB 套件弱點測試，如設定缺失、權限控管及套件弱點等測試項目
	連線管理	包含Session管理測試、Cookie屬性測試、Session資料更新測試及Session變數傳遞測試等項目
	使用者授權	包含目錄跨越測試、網站授權機制測試及權限控管機制測試等項目
	邏輯漏洞	包含網站功能測試、網站功能設計缺失測試及附件上傳測試等項目
	輸入驗證	包含XSS漏洞測試、SQL Injection測試及Code Injection測試等項目
應用 程式	網站服務套件	包含常見WEB套件弱點測試，如設定缺失、權限控管及套件弱點等測試項目
	遠端連線服務套件	包含SSH、TELNET、VNC及RDP等常見遠端連線服務之弱點測試，如設定缺失、權限控管及套件弱點等測試項目
	其他	包含SMB、LPD、IPP、Jetdirect、SNMP及RTSP等常見應用程式或網路套件之弱點掃描項目
密碼破解	密碼強度測試	包含WEB、FTP、SSH、TELNET、RDP、VNC等常見對外服務之密碼字典檔測試
無線服務	無線服務弱點測試	針對無線網路基地台/無線路由器設備，執行包含無線服務套件弱點測試、無線通訊協定及WiFi密碼字典檔測試等項目

7.物聯網設備配套滲透測試參考

項次	物聯網設備類型	設備類型檢測範圍
1	網路印表機	網路印表機
2	網路攝影機	網路攝影機、網路影像錄影機(NVR)、影像管理主機等
3	門禁系統	指紋機、門禁卡機、門禁管理主機等
4	無線網路基地台/無線路由器	無線網路基地台、無線路由器、無線區域網路控制器、Thin AP等
5	環控系統	智慧溫度計、智慧溼度計、環控伺服器等
6	網路儲存裝置(NAS)	網路儲存裝置
7	其他物聯網設備	視物聯網類型而定

1130205-資通安全服務暨資訊服務
適用機關應於行政院公共工程委員會政府電子採購網（網址：http：//web.pcc.gov.tw）直接訂購（電子訂購）
投標廠商名稱：精誠軟體服務股份有限公司
廠商統編：53530703