序号

采购项目

服务期限

限价

1

信息系统安全服务项目

一年

25万元

一、安全评估服务

1.1

漏洞扫描

服务团队提供专业漏洞扫描工具，对Web应用和主机系统进行自动化扫描，发现应用系统、操作系统、数据库、中间件、网络设备、安全设备等存在的高危、中危、低危漏洞情况，并提供漏洞详情解读和漏洞修复建议。协助采购人对所发现的风险进行汇总分析，并持续跟踪漏洞修复情况，输出漏洞跟踪表，根据解决建议及时修补安全漏洞。针对系统责任部门无技术力量修复漏洞的情况，安全技术团队须安排技术人员协助漏洞修复工作。

4次（每季度一次）

1.2

基线检查

服务团队通过人工检查、脚本程序或基线扫描工具对系统进行全面检查，检查内容包括但不限于：帐号安全设置、管理权限和角色设置、多余帐号和缺省口令检查、备份和升级情况、访问控制、路由协议、日志审核、网络攻击防护及端口开放、远程访问等安全项目，发现不合理、复用、未最小化原则等安全策略，帮助采购人及时发现安全隐患，提出安全解决方案，提升系统安全

4次（每季度一次）

1.3

渗透测试

在用户的授权和监督下，以模拟黑客攻击的方式，对用户网站系统的安全漏洞、安全隐患进行全面检测，最终目标是查找网站的安全漏洞、评估网站的安全状态、提供漏洞修复建议，并协助客户进行复测验证修复情况。

2次（半年一次）

1.4

安全加固

根据权威部门机构下发的安全漏洞整改和警示信息、网络安全等级保护测评报告等专业安全评估结果，制定相应的系统加固方案，针对不同目标系统，通过打补丁、修改安全配置、增加安全机制等方法，合理进行安全性加强，对常见操作系统、数据库、中间件、网络设备、安全设备等安全配置加固、协助漏洞修复工作，以提升设备和系统的安全性。

4次（每季度一次）

1.5

回归测试服务

根据提交的安全评估报告，由客户完成安全整改后，针对报告中发现的问题进行二次测试，验证安全加固有效性。

4次（每季度一次）

1.6

风险评估

安全风险评估将根据GB/T 20984—2007进行对客户网络环境内的资产进行识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析等，通过对各阶段进行相应的安全赋值，由风险分析得出资产的安全风险级别。

每年一次

1.7

互联网暴露面梳理

1.安全技术团队通过多种梳理手段和方式的融合，探测公司互联网地址上潜在的未知资产、不必要开放的资产，包括：老旧Web资产、僵尸系统、边缘系统、无主系统、敏感开放端口、互联系统（第三方互联、其他互联）、远程管理等信息，对监测发现的暴露面，通过人工逐一核实，并验证互联网资产是否存在可利用漏洞、弱口令，提供暴露面收敛等相关整改建议，协助指导收敛工作，定期稽查保障闭环管理。

2.重点关注未知资产，包括影子资产、隐匿资产、被遗忘的老化资产、本应下线的应用程序/镜像/微服务，以及恶意资产、钓鱼网站、供应链资产等，配合清理所有多余的暴露面，从根源上有效挖掘公司暴露在互联网上的安全隐患点。

2次（半年一次）

1.8

网络安全体系建设咨询

通过电话、邮件、现场会议等方式，为用户提供网络安全体系建设咨询，包括针对技术防护措施、安全管理制度、安全建设规划等方面，提出相关建议，帮助用户构建一套全面且可落地执行的网络安全体系。

按需

1.9

等保建设咨询服务

依据网络安全等级保护国家标准以及相关行业标准要求，开展安全技术体系和安全管理体系差距分析，确定建设整改需求。协助完成安全漏洞修复、安全基线策略加固、安全防护产品部署及安全管理体系建设等工作。

2次（半年一次）

1.10

应急演练

组织开展实战化应急演练，演练组织形式为实战演练，演练场景包括但不限于网页被篡改攻击、网站遭受DDOS攻击、内网ARP攻击以及协助灾备恢复等相关工作，发现整体风险发现、预警通报、上传下达及检验联动响应等综合能力。

1次/年

1.11

应急响应

对于突发的安全事件，例如网络入侵、拒绝服务攻击、大规模病毒暴发、主机或网络异常事件等紧急安全问题，安全技术团队第一到达现场提供技术支持，对受影响系统进行全面威胁排查，针对现网系统安全日志进行分析，控制事态发展，保护或恢复主机、网络服务的正常工作，协助修复漏洞以防同类安全事件再次发生，尽快使业务系统恢复正常运行，减少因此次安全事件造成的经济损失。

按需