关于等保测评及网络安全运维服务采购项目的内部竞争性磋商公告

项目编号

产品名称

数量

单位

****

等保测评及网络安全运维服务

1

项

技术参数或服务要求

序号

产品名称

技术参数或服务要求

数量

单位

1

等保测评

等保三级系统测评服务，输出整改报告、测评报告、**备案证书。

3

套

2

渗透测试服务

一、服务概述

在获得授权的情况下对指定的业务系统进行深层次的漏洞挖掘和利用，模拟黑客展开渗透测试攻击，获取到该业务系统的服务器权限以及最具价值的信息和资产。

二、服务内容

1.前期交互阶段

与用户进行沟通、确定渗透测试的时间、范围、深度、测试方式（黑盒 OR 白盒、现场OR 远程）等问题，并拿到用户签署的渗透测试授权函；

2.情报搜集阶段

服务团队在拿到用户授权后开始情报搜集工作，搜集阶段是对目标用户的系统进行一系列踩点工作，包括：基础资产收集、互联网信息泄露搜集、指纹识别、业务系统功能收集、接口信息收集等；

3.威胁建模阶段

在搜集到充分的情报信息之后，服务工程师对获取的信息进行威胁建模与攻击规划；从大量的信息情报中理清思路，确定出最可行的攻击通道；

4.漏洞分析阶段

针对威胁建模阶段总结的测试方法进行一一验证，通过测试总结出可行的测试方法，排除不可行的测试方法；

5.渗透攻击阶段

对用户的业务系统进行攻击性测试；

6.报告输出阶段

渗透测试工作全部完成后输出报告，报告中阐明客户系统中存在的安全隐患以及专业的漏洞风险处置建议；

7.汇报阶段

★向用户汇报本次渗透测试的成果，并现场对用户提出的疑问进行现场答疑；

8.漏洞复测阶段

当用户业务系统的漏洞修补完成后可申请一次免费的漏洞复测服务，用于验证业务系统的漏洞修补情况，并向用户提交复测报告。

三、服务交付物

《渗透测试报告》、《渗透测试复测报告》

1

套

3

风险评估

一、服务概述
通过运用丰富的技术经验和专用工具对组织信息资产面临的威胁、存在的脆弱性、现有防护措施及综**用而带来风险的发生可能性进行评估，最终提供完整的风险评估报告及修复建议。
二、服务内容
1.资产识别
★使用专用工具对包括：业务系统、服务器、安全设备、网络设备等进行自动化扫描发现、识别、评估，可覆盖所有的资产，根据业务对资产的实际依赖程度区分重要资产，脆弱性识别、威胁识别、风险分析等后期工作将针对重要资产进行识别；
2.脆弱性评估
漏洞扫描：使用专用工具的漏洞扫描功能，快速从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全漏洞，并给出关于安全隐患的详细信息；
基线配置核查：使用专用工具的基线配置核查功能识别信息系统的安全配置情况；
3.威胁评估
★分析用户信息系统存在的威胁种类，确定威胁分类的标准；综合威胁来源、种类和其他因素后得出威胁列表；针对每项需要保护的信息资产，尽可能全面的发现资产所面临的威胁；
4.防护能力评估
★识别已有的安全控制措施，分析安全措施的有效性，确定威胁利用弱点的实际可能性，指出当前安全措施的不足；
5.风险分析
综合考虑资产本身的价值、威胁发生几率、脆弱性的破坏力、现有防护能力等因素分析资产可能存在的安全风险，结合风险对业务战略的影响程度区别明确风险处置计划；
6.风险评估报告
根据资产识别、脆弱性评估、威胁评估、防护能力评估的输出结果进行风险分析之后，输出风险评估报告，风险评估报告中为用户提供符合业务需求的安全整改建议；
7.风险整改验证
在用户根据风险评估报告完成对应风险项整改后，可以免费申请一次整改项结果验证。
三、服务交付物
《风险评估报告》

4

套

4

漏洞扫描

一、服务概述

使用漏洞扫描工具对业务系统进行扫描，通过扫描工具准确识别出注入缺陷、跨站脚本攻击、非法链接跳转、信息泄露、异常处理等安全漏洞，全面检测并发现业务应用安全隐患。

二、服务内容

1.准备阶段

对目标用户的服务范围内资产进行搜集，获取域名、IP、网络拓扑等相关信息，作为后续的扫描资产范围；

签署漏洞扫描委托授权函，获得用户的授权，约定漏洞扫描的时间和漏洞扫描工具；确认漏洞扫描设备接入点；与用户协商进行相关目标资产文件与数据的备份；

2.扫描实施阶段

★实施扫描阶段开始现场检查网络连通性情况，根据情况分配合理 IP，确保扫描工具能探测到扫描范围内的所有主机，且无防火墙等安全设备进行阻拦，之后开展漏洞扫描；扫描过程中，如果目标系统出现无响应、中断等情况，扫描人员会立即中止漏洞扫描，并配合客户进行问题排查，在确认问题以及完成系统修复之后，根据分析结果调整扫描方式，经客户再次授权同意的前提下才会继续进行其余的扫描；

三、服务交付物

《漏洞扫描报告》

4

次

5

应急演练服务

一、服务概述

据相关国家标准或国际标准，提供对应的应急演练场景专项应急预案模板，以指导应急响应团队应对与处置安全事件；

制定应急演练方案及脚本并协助开展应急演练，模拟安全事件发生及处置的全过程，提高应对安全事件的处置能力，预防和减少安全事件造成的危害和损失。

二、服务内容

★应急演练服务主要通过模拟各种突发事件场景进行，根据突发网络安全事件的性质，应急演练场景可分为：有害程序事件演练、网络攻击事件演练、信息破坏事件演练、设备设施故障演练；

有害程序事件：内网传播型病毒应急演练、勒索病毒应急演练、挖矿病毒应急演练等；

网络攻击事件：漏洞攻击应急演练、后门攻击应急演练等；

信息破坏事件：网站篡改应急演练、网页挂马应急演练等；

设备设施故障事件：网络设备故障应急演练、服务器故障应急演练等；

三、服务交付物

《应急演练方案》、《应急演练总结报告》、《专项应急预案模板》

2

次

6

基线核查

一、服务概述

对重要服务器、操作系统、网络设备、安全设备、中间件、数据库等基于信息安全风险的角度进行配置核查，检测网络设备的安全策略弱点和部分主机的安全配置错误等安全隐患。提出整改建议，指导运维人员优化配置策略，从而达到相应的安全防护要求。

二、服务内容

1.主机操作系统检查内容

主机操作系统安全配置检查包含但不限于以下内容：帐号和口令管理、异常启动项、认证合授权策略、访问控制、通信协议、日志审核策略、文件系统权限、帐号和口令管理、防 ddos攻击、剩余信息保护、其它安全配置；

2.数据库检查内容

★数据库安全配置检查包含但不限于以下内容：帐号和口令管理认证、认证和授权策略、访问控制、通讯协议、日志审核功能、其他安全配置；

3.中间件检查内容

★中间件及常见网络服务安全配置检查包含但不限于以下内容：帐号和口令管理认证、授权策略、通讯协议、日志审核功能、其他安全配置；

4.网络设备及安全设备检查内容

网络及安全设备安全配置检查包含但不限于以下内容：OS 安全、异常启动项、帐号和口令管理、认证和授权策略、网络与服务、访问控制策略、通讯协议、路由协议、日志审核策略、加密管理、设备其他安全配置。

三、服务交付物

《基线核查安全评估报告》

1

次

7

安全设备巡检服务

一、服务概述

提供安全巡检服务，每月一次例行安全设备巡检，巡检内容为分为硬件状态检查、安全性检查和稳定性检查，

二、服务内容

1、硬件状态检查包含：设备电源指示灯，网口指示灯，设备ALARM灯，CPU，内存等使用情况；

2、安全性检查包含：配置备份，规则库更新，软件升级，预警补丁更新情况；

★3、稳定性检查包含：设备流量负载情况分析，系统运行日志分析，及时发现潜在风险。

三、服务交付物

《安全设备巡检报告》

1

年

8

应急响应服务

一、服务概述
提供安全事件应急响应服务，一旦客户发生网络安全事件，一般事件半小时内远程响应技术指导，重要事件2小时内现场响应处置，防止网络瘫痪、系统中断等对客户业务带来影响。
二、服务内容
★1、应针对突发的安全事件，及时进行评估风险，按需协助客户对高危对象进行紧急安全策略加固；
★2、应针对突发的安全事件，对病毒或恶意代码进行安全扫描与紧急查杀，并采取其他措施消除安全风险；
3、在安全事件报告和响应处理过程中，应按流程进行汇报，分析和鉴定。
三、服务交付物
《应急响应报告》

1

年

9

重大节日网络安全保障服务

一、服务概述
提供重要时期安全值守保障服务，安排指定的安全专家在重要保障时期提供每日的日志分析和研判服务，确保重要时期客户业务的安全稳定运行。
二、服务内容
1、在重大会议、节假日等特殊时期内，指派安全攻防经验丰富的安全专家，对客户目标系统进行远程安全值守和保障，对业务系统的安全状况进行安全监控和日志分析。
★2、在重大节日期间，当目标遭受黑客入侵攻击时，值守人员应立即对入侵事件进行分析、检测、抑制、处理，查找入侵来源并恢复系统正常运行，完成后给出应急响应报告，报告中将还原入侵过程，同时给出对应的解决建议。
三、服务交付物
《重大节日保障方案》
《重大节日值守日报》
《重大节日值守总结报告》

1

年

10

安全策略优化服务

一、服务概述
提供对网络和安全设备的安全策略优化服务，对客户当前部署的网络和安全设备进行等保合规性配置检查，并根据等保合规要求调整优化安全配置。
二、服务内容
1、帐号和口令管理：对网络设备的管理员进行分级管理，权限更高的管理员的帐号和口令的管理要求必须保证是最严格等级，同时对其他管理员的帐号和口令的复杂度进行优化；
★2、认证和授权策略调整：对网络设备的登录帐号进行加固，使其满足一定强度的认证要求，并对不同级别的授权策略进行优化；
★3、网络与服务加固：网络安全设备的服务配置方面，必须遵循最小化服务原则，关闭网络安全设备不必要的所有服务，修复网络服务或网络协议自身存在的安全漏洞以降低网络的安全风险；
4、访问控制策略增强：针对网络安全设备管理设置访问安全限制策略，只允许特定主机访问网络设备；
5、日志审核策略增强：根据安全级别要求，开启网络设备必需的监控日志记录，并支持一定周期的日志本地存储或外置存储；
6、安全设备价值实现：未使用安全设备上线使用，安全设备功能和策略优化启用等。
三、服务交付物
《安全策略优化报告》

1

年

11

网络安全培训

一、服务概述
网络安全培训旨在提升企业内部员工安全认知，让员工认识到信息安全意识不足对组织可能造成的危害，传导应正确恪守的行为方式；通过全员安全意识的理论培训和案例分析，让信息安全“人防“保障有效支撑业务高效稳定运行。
二、服务内容
1、针对全体员工进行一次网络安全培训服务，提升员工网络安全意识、规范安全用网；
2、针对信息科进行一次网络安全运维培训，提升信息科技术人员网络安全运维能力。
三、服务交付物
《全院网络安全意识培训》
《安全岗位技能培训》

1

项

商务要求

1、本项目服务期限为12个月：合同签订后按时间节点完成招标范围内项目。

2、合同签订之日起一个月内付款50%，测评完成后付款50%。