中交长江建设发展集团有限公司2025—2026年度网络安全运维服务补遗通知2

序号

类别

服务内容

频率

1

安全运营服务

提供可视化安全运营服务，需要可查看服务报告、网络安全健康度、资产情况、拓扑结构等。

全年

2

下属单位安全检查服务

开展企业现场网络信息安全和数据保护检查，检查内容包括但不限于企业网络信息安全防护能力、数据分类分级管理、数据安全性保护能力等，以及重点被查系统的安全漏洞情况，通过现场评测够较为清晰地了解企业当前所面临的安全风险和重要信息系统的安全现状。协助对下属国有企业开展制度专项检查工作，主要对《网络安全法》《个人信息保护法》《数据安全法》及网络安全工作责任制落实工作指标等工作制度检查。

1次/年

3

安全咨询服务

根据系统现状、业务安全需求、法律法规及相关标准要求，提供信息安全整体建设规划咨询、网络技术咨询、安全技术咨询、安全需求分析等服务。

1次/年

4

安全规划设计服务

对安全现状、存在的主要问题、机遇与挑战进行分析；提出未来信息安全工作的战略、方针和目标；梳理信息安全工作的主要任务和内容；形成相应的实施路线图；提出信息安全建设实施的重点工程；给出规划实施管理和保障相应措施的建议。

1次/年

5

管理体系咨询建设

全面梳理现有管理制度，参照国家及行业相关政策要求以及国内国际权**息安全管理体系标准，完善和修订信息安全管理体系制度。

1次/年

6

网络安全培训(意识+技术)

提供有针对性的网络安全培训，在职人员培训不少于 4 学时，专业人员不少于 8 学时，内容包括信息安全意识教育、安全技术、国家相关法律法规的培训。

1次/年

7

安全应急演练

通过提前制定应急演练预案，并协助单位开展预案演练，提高应对安全事件的处置能力，预防和减少安全事件造成的危害和损失。

1次/年

8

资产测绘与维护

对资产进行梳理并定期更新，包括但不限于网络拓扑、IP 规划使用情况、应用系统、应用端口、系统版本、中间件、安全策略、硬件设备等

2次/年

9

漏洞扫描

对主机进行常态化安全漏洞扫描，提供主机漏洞台账与报告，并根据漏洞风险等级、漏洞被利用可能性、漏洞加固或规避措施等内容，为客户单位进行漏洞处置决策提供参考依据。

4次/年

10

基线核查

针对业务系统的安全特性，制订针对性的《****网络配置规范》，从系统部署和集成的层面规避操作系统、网络设备、数据库系统等脆弱性的存在。

4次/年

11

风险评估服务

对关键业务系统进行风险评估，包含整改建议。对服务器操作系统漏洞、数据库漏洞、应用系统漏洞、网络设备漏洞等；扫描、分析上述系统的安全漏洞，及时发现安全隐患。

4次/年

12

渗透测试

对采购人指定的重要信息系统、网络信息系统进行抵抗入侵攻击能力测试。

4次/年

13

暴露面资产探测

对网络上的暴露面资产进行识别和分析，暴露面资产指的是组织在互联网上所暴露的各种信息和**，包括但不限于网站、服务器、数据库、API接口等。

2次/年

14

安全加固

针对漏洞扫描和安全评估过程中发现的各种安全隐患，通过打补丁、修补漏洞、安全配置增强、系统架构和安全策略调整等方式及时进行加固和安全优化。

4次/年

15

新系统上线测试

针对用户新开发的业务系统（1-3个内）或功能模块及支持其运行的操作系统和网络环境等基础架构，开展漏洞扫描和渗透测试工作，以评估新业务的安全缺陷和风险。

1次/年

16

安全监管服务

通过资产、威胁、脆弱性三个维度对客户单位网络安全状况进行7*24小时实时监测。

全年

17

安全巡检服务

对本单位安全设备运行状态进行巡检，巡检范围包含所有安全设备运行状态、策略、特征库/规则库、系统版本、授权状态进行维护和监测。根据业****设备厂商完**全系统升级、改造等工作。
巡检工作结束后，围绕本次的巡检工作，总结此次发现的问题，针对问题提出相应的处置方法与建议

1次/月

18

漏洞预警通告

对最**全威胁信息及安全事件及时通告;提供及时的、针对性的各类安全信息，帮助客户单位及时了解最**全动态，并协助采购人进行补丁更新，做好安全调整，完善安全保护措施；提供电子邮件通告方式和电话通告方式进行预警通告服务，并提供临时处理方案或解决方案。
2、对最新暴露出的具有重大影响的漏洞需要及时对客户单位进行自查，确认客户单位相关重要信息系统是否受影响，提供临时规避措施和解决方案。

1次/月

19

应急响应

当遭受网络病毒/木马、黑客入侵、DOS攻击以及发生其他网络安全事件时，派出安全专家团队进行现场排查处理安全事件，保障业务系统的连续性，阻止和减小安全事件带来的负面影响，专家团队必须第一时间通过电话进行远程指导，远程解决不了的一小时内到达现场进行处置

每年至少一次