名称：成都市住房和城乡建设信息档案中心网络安全服务项目

服务范围：通过采购网络安全风险评估、渗透测试、安全加固、运维审计、安全应急响应、安全培训及通告、安全巡检服务、网络安全体系建设、网络安全检查与技术咨询等服务活动，支撑采购人年度网络安全业务工作有效落实。

服务要求：1、根据采购人信息安全业务建设实际需求，拟采购网络安全风险评估、渗透测试、安全加固、运维审计、安全应急响应、安全培训及通告、安全巡检服务、安全体系建设、安全检查与技术咨询。各服务项目具体要求如下：

1.1网络安全风险评估服务要求：协助采购人对信息资产现状、信息安全体系现状进行分析，利用综合方法对面临网络安全风险进行评估，并针对风险情况及时制定科学合理的整改方案，具体要求：

1.2对信息资产边界进行划分，对重要信息资产进行识别登记，明确资产子系统及边界范围、资产底数等情况；

1.3对信息安全工作现状进行调研分析，梳理明确信息安全综合防护手段，以及管理运行策略情况；

1.4通过现场巡查、漏洞扫描、渗透测试、访谈、分析等多种方法对信息资产面临的威胁和脆弱性进行识别，分析评估信息资产面临的各类风险情况；

1.5根据风险评估结果，制定减少信息安全风险的整改措施及建议；

1.6该服务频次为要求2次，签订合同后40个工作日内完成首次安全分析评估工作，第三个季度末期完成第二次安全评估；

1.7要求资产识别无遗漏，现状分析及威胁识别全面，脆弱性分析合理，评估分析报告科学，整改方案经济可行，评估过程中需提前计划报批，落实后及时提交必要的报告。

2、渗透测试服务要求，为确保采购人各项业务系统能够及时发现漏洞及潜在威胁。应组织专业测试人员，依照常规渗透测试方法，参考信息技术安全要求,并结合OWASP标准，模拟黑客入侵攻击，以人工分析为主，相关攻击工具为辅，从而发现信息系统中的安全隐患、存在的漏洞以及被渗透入侵可能。人工分析是指在人工判断、分析网络系统存在的安全问题、检查暴露给授权和非授权用户的系统页面文件内容和信息的基础上，找到存在的安全问题和可能的攻击路径。具体要求：

2.1渗透测试原则：以“不破坏信息系统”和“不影响信息系统正常运作”为基本原则进行实施。结合信息系统实际情况，避开系统高峰使用时间段。

2.2渗透测试范围：渗透测试范围为采购人负责管理的所有信息系统。

2.3渗透测试计划及流程：根据实际要求对指定信息系统的情况收集和了解；对信息系统进行渗透测试；渗透测试报告编写；安全加固后复查。

2.4漏洞范围：参考OWASP

3、安全加固要求，对采购人机房物理环境、网络、系统、设备进行信息安全隐患排查及加固，及时发现潜在风险，并协助排除威胁，具体要求如下：

3.1及时对机房物理环境安全进行巡检，及时发现排除各类物理环境安全隐患，专项巡检周期要求每月一次；

3.2定期对服务器、数据库、网络设备等进行基线配置检查，并对发现问题及时加固，服务频次要求每季度一次；

3.3定期对服务器、数据库、网络设备、应用系统、中间件等进行漏洞扫描，及时加固修复漏洞，服务频次要求每月一次；

3.4定期对信息系统、服务器、数据库、网络设备等进行渗透测试，及时提出加固措施建议，并协助进行整改，服务频次要求每季度一次；

3.5要求物理环境巡检无死角，基线检查、漏洞扫描无设备、无内容遗漏，渗透测试工具方法有效；

3.6要求所有排查及加固活动计划要周详科学，不能影响正常业务，实施前需报采购人同意，明确风险，提前做好相关准备，活动结束后及时提供报告。

4、运维审计要求，为确保采购人各类设备、信息系统运行维护活动管理更加规范，可审计，防范各类运维安全事件发生，要求供应商提供运维审计服务，具体要求：

4.1供应商应结合采购人实际，编制运维管理及审计实施方案，运维管理内容包含运维授权管理、访问控制管理，安全审计应对主要运维操作活动进行审计；

4.2供应商应根据方案协助开展必要的日常运维管理及审计，并按月分析总结，及时发现运维安全隐患；

4.3供应商支持管理及审计的设备包含操作系统、数据库、网络等设备500余套；

5、安全应急响应服务要求，供应商应针对各类网络安全事件制定应急影响预案，并协助采购单位开展应急演练服务，提供应急支援服务，具体要求：
5.1结合重大潜在安全风险，协助编制采购人安全应急响应预案；

5.2根据应急响应预案指导采购人做好必要的应急准备，同时组织开展必要的应急演练，检验处置流程，指导相关人员掌握基本技能；

5.3提供专项保障服务（护网行动保障、重大活动保障）；365*7*24小时的应急影响服务，根据安全事件等级及时开展多种方式的应急支援、应急处置、防攻击、防篡改等网络安全防御服务；根据上级部门安排，配合开展攻防演练；

5.4要求在应急演练及应急处置安全事件后及时撰写相关的总结分析报告，必要时应对应急预案进行修订；

6、安全培训及通告服务要求，为提高采购人网络安全管理及防护水平，以及及时掌握与采购人相关的各类网络安全消息，供应商应提供安全技术培训及通告服务：

6.1安全培训：面向采购人非技术类人员，需提供信息安全意识培训，强化人员安全意识，理解安全问题的重要性，掌握工作中的基本安全知识、安全技能及国家相关法律法规。面向采购人信息安全技术类人员，需提供信息安全技术培训，帮助员工掌握信息安全技术在网络、信息系统中应用的理论，了解常见的网络攻击技术原理，掌握常见的攻击防护方法。

针对面向中心全体人员，至少组织开展1次安全意识及安全基本知识培训；针对面向中心技术人员，至少提供2人次注册信息系统安全师（CISSP）安全技术培训；指导网络安全维护人员开展安全工作，使其掌握基本安全技能，以及处置一般应急事件能力；

6.2通告服务：提供国内外信息安全事件及技术趋势跟踪通告服务。通告内容包括：信息安全事件通告、紧急高危安全漏洞通知、病毒预警、漏洞预警、定期安全事件预警通告、并提供临时安全解决方案。

7、安全巡检服务：为保障采购人各信息系统安全稳定的运行，根据中心安全工作要求，需提供定期的安全巡检服务，包括漏洞识别、配置策略核查、日志分析，发现其潜在的风险点，并出具《安全巡检服务报告》及建议。

8、网络安全体系建设服务要求，为持续推动采购人安全体系化建设，供应商应协助采购人开展安全体系建设制定，具体要求：

8.1充分调研采购人安全保障要求，明确采购人网络安全体系建设总体需求及改进方向；

8.2结合实际，对采购人网络安全体系化建设周期进行论证，分阶段明确建设目标及任务；

8.3必要时，应根据采购人要求，对拟重点开展的网络安全子项目建设初步实施方案进行论证；

9、网络安全检查与咨询服务，为保障采购人安全各项安全工作顺利落实与进行，根据中心安全检查工作要求，须协助开展安全检查工作，并针对安全方面提供技术咨询服务，具体要求：

9.1每年至少协助开展一次中心范围内的安全检查工作；

9.2根据中心需求，针对安全方面问题提供技术咨询服务，包括各科室安全建设与安全。

服务时间：一年。