附件：（重）广西水利电力职业技术学院网络信息系统安全综合服务项目清单.docx

广西水利电力职业技术学院网络信息系统安全综合服务项目需求序号服务名称服务描述安全体系优化服务 1.1 资产梳理：通过对采购人现有的包括但不限于核心业务系统、网络设备、安全设备、网络架构、主机产品、虚拟化资产所涉及系统、IP 地址规划表等进行分析与梳理,明确资产情况、网络数据流情况、现有的组织结构等情况。 1.2 安全巡检：对采购方网络安全设备（包含但不限于:防火墙、AC、数据库审计、IDS、IPS、WAF、防病毒、VPN、堡垒机、态势感知）的运行状况、日志进行检查分析，将发现的潜在的安全威胁及时告知采购人并进行处理。 1.3 安全咨询：提供安全管理体系优化服务，协助采购人贯彻落实网络安全法规定的等级保护防护义务，建立并完善安全管理制度体系，包括但不限于安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面。 1.4 安全事件预警及处置指导服务。持续跟踪网络安全形势，针对社会上或上级指导单位的漏洞预警、安全情报，向采购方提供预警和防范建议，并协助处置。 1 2 3 4 交付物服务期限（年）服务频率 (次) 工时（人日）《信息资产表》 1 1 4 《网络安全设备巡检结果》 1 1 5 协助采购方完成网络安全管理体系优化工作 1 / 5 《XX 预警通知》 1 / 10 序号服务名称 5 6 安全评估服务 7 8 服务描述交付物服务期限（年）服务频率 (次) 工时（人日） 1.5 应急演练：对采购方指定的业务系统假设的安全事件场景演练，检验应对安全事件时的应急响应能力，总结需要完善的防护环节，通过演练来增强业务系统的安全防护能力。 2.1 渗透测试服务：根据采购方需求，提供整网渗透测试或网络安全攻防演练服务。在保证采购人信息系统正常运行前提下,模拟黑客攻击行为通过远程和本地方式对网络资产、信息系统进行非破坏性的入侵测试，查找各种漏洞，帮助采购人理解网络及信息资产当前的安全状况，发现在系统复杂结构中的最脆弱链路并针对安全隐患提出解决办法，切实保证网络安全。 2.2 漏洞扫描服务：对采购方应用系统进行基础扫描，对客户的应用系统进行基础扫描，通过漏洞扫描发现应用系统存在的安全隐患,帮助客户第一时间掌握自身应用系统存在的安全隐患。并根据漏洞扫描结果出具漏洞扫描报告及处置建议。 2.3 等保差距分析：根据网络安全等级保护相关要求对采购方指定的业务系统进行系统评估，了解现阶段业务系统与等级保护要求的具体差距,为后期安全整改提供有力的依据和指导。《XX 系统 XX 事件应急演练方案》《XX 系统 XX 事件应急演练报告》 1 1 5 《渗透测试（演练）报告》 1 3 15 《漏洞扫描报告及处置建议》 1 4 8 《XX 等级保护 X 级差距分析报告》 1 1 15 序号 9 服务名称服务描述交付物服务期限（年）服务频率 (次) 工时（人日）重要时期网络安全保障服务 3.1 根据采购人要求，提供重要时期安全保障服务。必要时现场值守，有效监测各安全设备、业务系统的安全状态，及时发现可能存在的安全风险和问题,快速响应处置出现的安全事件，保障重要时期业务系统的稳定、安全运行。提供网络安全攻防演练防守服务,若采购人参加上级网络安全主管部门组织的演练中,则需组织相关专业人员进行防守对抗服务，保证在护网行动中考核结果合格。根据攻防演练中暴露的问题,形成整改报告并指导整改。《重要网络安全保障报告》《网络安全演练报告》《网络安全事件溯源报告》《值守人员签到表及工作记录》 1 1 15 服务商及服务人员要求，为确保现场紧急突发故障得到有效及时的响应，相关服务人员及团队应当具有优秀的网络安全应急响应能力: （1）服务商应按照本项目需求，制定针对性技术服务工作方案，并提供实施人员名单和三个月内社保证明。（2）为本次服务的服务人员，均应当具有一年以上相关行业的服务能力，持有有效期内的下列证书之一（必须提供）： a.中国网络安全审查技术与认证中心颁发的网络安全应急响应技术工程师（CSERE)证书 b.国家互联网应急中心 CNCERT 颁发的网络与信息安全应急人员（CCSC/CCSRP）技术方向证书（3）安全渗透团队成员应当具有较强渗透测试能力，服务本项目成员中至少 1 名成员获得有效期内的中国信息安全测评中心颁发的国家级渗透测试专业认证工程师(CISP-PTE）认证证书；（必须提供）（4）服务团队应当具备省市级网络安全保卫工作经验，同时在近两年参加的市厅级以上网络安全演练中取得前 10 名的优异成绩。（需证明材料为本次服务商或联合服务商获得的，提供相关证明复印件并加盖供应商公章，原件备查）（必须提供）报价公司（公司名称）：联系人：联系电话：