97国产精品视频|欧美国产偷国产精品三区|在线欧美成人网站网址|亚洲在线色情日本无码视频网|高潮喷水在线日韩精品操|真真操逼视频国产免费啪啪片|超大波少妇欧美亚洲精品日韩一区|久久视频精品91午夜视频|亚洲无码成人动漫精品一区二区|中文字幕久久成人

保山市人力資源市場(chǎng)等保測(cè)評(píng)系列服務(wù)項(xiàng)目要求及評(píng)分標(biāo)準(zhǔn)一、供應(yīng)商資質(zhì)要求（申請(qǐng)人資格要求）供應(yīng)商應(yīng)具有公安部第三研究所頒發(fā)的《網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書(shū)》（復(fù)印件或掃描件加蓋公章）。二、服務(wù)方式及技術(shù)需求（一）技術(shù)需求1服務(wù)內(nèi)容服務(wù)項(xiàng)描述數(shù)量網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)1對(duì)單位的“保山市滬滇人力資源服務(wù)”系統(tǒng)開(kāi)展等級(jí)測(cè)評(píng)工作，測(cè)評(píng)對(duì)象包含檔案服務(wù)、零工市場(chǎng)、求職招聘、招聘會(huì)等模塊。測(cè)評(píng)技術(shù)層面覆蓋安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心等5個(gè)層面，測(cè)評(píng)管理制度層面覆蓋安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理等層面。指出系統(tǒng)與對(duì)應(yīng)等保標(biāo)準(zhǔn)差距，提供整改建議，待單位完成系統(tǒng)差距整改之后，開(kāi)展復(fù)測(cè)工作，出具等保測(cè)評(píng)報(bào)告、滲透性測(cè)試報(bào)告，并到屬地網(wǎng)安部門完成備案工作。2對(duì)單位的“保山市滬滇人力資源服務(wù)”系統(tǒng)開(kāi)展代碼審計(jì)服務(wù)，出具代碼審計(jì)報(bào)告。1次重大時(shí)期安全保障服務(wù)保障單位在敏感時(shí)期的網(wǎng)絡(luò)安全運(yùn)行，通過(guò)專業(yè)的安全團(tuán)隊(duì)制定安全保障計(jì)劃，做到前期安全檢查、問(wèn)題排查、中期值守、后期總結(jié)分析，以保障單位重保期間重要系統(tǒng)敏感時(shí)期的業(yè)務(wù)穩(wěn)定及數(shù)據(jù)安全，避免遭受監(jiān)管單位通報(bào)、扣分等問(wèn)題出現(xiàn)。2次（二）服務(wù)依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《信息安全等級(jí)保護(hù)管理辦法》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》GB-T30279-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級(jí)指南GB-Z20986-2007信息安全技術(shù)信息安全事件分類分級(jí)指南GB-T38645-2020信息安全技術(shù)網(wǎng)絡(luò)安全事件應(yīng)急演練指南GB-T22080-2016信息安全技術(shù)信息安全管理體系要求。（三）服務(wù)方式本次保山市人力資源市場(chǎng)等級(jí)測(cè)評(píng)實(shí)施嚴(yán)格遵循《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》，將綜合采用訪談、檢查和測(cè)試三類測(cè)評(píng)方式。1訪談訪談是指測(cè)評(píng)人員通過(guò)與被測(cè)系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、詢問(wèn)等活動(dòng)，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效的一類方法。本次等級(jí)測(cè)評(píng)采取訪談方式涉及對(duì)象為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理等方面內(nèi)容。其中物安全物理環(huán)境、安全管理重點(diǎn)采取訪談方式。在訪談的廣度上，訪談覆蓋不同類型的系統(tǒng)管理人員，包括系統(tǒng)負(fù)責(zé)人、機(jī)房管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、開(kāi)發(fā)人員、應(yīng)用業(yè)務(wù)人員、文檔管理員等；在訪談的深度上，訪談包含通用和高級(jí)的問(wèn)題以及一些有難度和探索性的問(wèn)題。2檢查檢查是指測(cè)評(píng)人員通過(guò)對(duì)評(píng)估對(duì)象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效的一類方法。本次測(cè)評(píng)采取檢查方式主要涉及對(duì)象為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理等方面的內(nèi)容。檢查又可細(xì)分為配置檢查、文檔審查及實(shí)地查看三種方式。A配置檢查利用上機(jī)驗(yàn)證的方式檢查服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)的配置是否正確，測(cè)評(píng)其實(shí)施的正確性、有效性及完整性。B文檔審查檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄等文檔（包括安全方針文件、安全管理制度、安全管理的執(zhí)行過(guò)程文檔、系統(tǒng)設(shè)計(jì)方案、網(wǎng)絡(luò)設(shè)備的技術(shù)資料、系統(tǒng)和產(chǎn)品的實(shí)際配置說(shuō)明、系統(tǒng)的各種運(yùn)行記錄文檔、機(jī)房建設(shè)相關(guān)資料、機(jī)房出入記錄等過(guò)程記錄文檔）的完整性，以及這些文件之間的內(nèi)部一致性。C實(shí)地查看通過(guò)實(shí)地的觀察網(wǎng)絡(luò)安全技術(shù)設(shè)施部署情況、關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)連接情況、機(jī)房物理環(huán)境、辦公環(huán)境等方面的安全情況，評(píng)估相關(guān)安全措施是否達(dá)到了相應(yīng)等級(jí)的安全要求。3測(cè)試測(cè)試是指評(píng)估人員使用預(yù)定的方法/工具使評(píng)估對(duì)象產(chǎn)生特定的行為，通過(guò)查看、分析這些行為的結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效的一類方法。測(cè)試又可細(xì)分為漏洞掃描及案例驗(yàn)證測(cè)試。A漏洞掃描通過(guò)漏洞掃描工具對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)及WEB應(yīng)用系統(tǒng)等進(jìn)行脆弱性探測(cè)，定位目標(biāo)系統(tǒng)存在的安全漏洞。B案例驗(yàn)證測(cè)試通過(guò)人工的方式對(duì)安全策略、應(yīng)用系統(tǒng)安全功能、安全漏洞等進(jìn)行驗(yàn)證性測(cè)試。（三）服務(wù)工具等級(jí)測(cè)評(píng)現(xiàn)場(chǎng)實(shí)施需要功能專業(yè)、來(lái)源可靠的檢測(cè)工具作為重要的技術(shù)支撐，通過(guò)漏洞掃描服務(wù)工具，結(jié)合人工分析實(shí)現(xiàn)的方式對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)、終端進(jìn)行資產(chǎn)測(cè)繪分析及漏洞掃描。單臺(tái)漏洞掃描服務(wù)工具需具備以下功能（需分別提供截圖證明）：1任務(wù)掃描：支持自定義添加規(guī)則，支持資產(chǎn)掃描、資產(chǎn)及漏洞掃描兩種任務(wù)類型；支持Treck協(xié)議棧指紋檢測(cè)、域名解析掃描；任務(wù)支持暫停、刪除；支持查看本任務(wù)的資產(chǎn)數(shù)據(jù)、漏洞數(shù)據(jù)；支持針對(duì)本任務(wù)設(shè)置掃描參數(shù)，如掃描速率、協(xié)議并發(fā)數(shù)等。2可指定資產(chǎn)范圍進(jìn)行漏洞專掃：可選定自定義資產(chǎn)范圍及自定義漏洞POC進(jìn)行漏洞專掃掃描;針對(duì)已掃描出來(lái)的資產(chǎn)，羅列出每個(gè)POC可能影響和可掃描的單位資產(chǎn)。支持對(duì)存在APT組織使用過(guò)的漏洞進(jìn)行識(shí)別并標(biāo)記。3風(fēng)險(xiǎn)識(shí)別：系統(tǒng)通過(guò)規(guī)則識(shí)別對(duì)資產(chǎn)存在可疑風(fēng)險(xiǎn)（木馬后門、集成工具、遠(yuǎn)程運(yùn)維）的風(fēng)險(xiǎn)詳情進(jìn)行識(shí)別統(tǒng)計(jì)，并展示在報(bào)告中。4協(xié)議識(shí)別數(shù)：支持300種以上的主流協(xié)議識(shí)別，包括但不限于如下協(xié)議：ancp(6068)、bitcoin(8333)、ceph(1311|1302|1314)、dgraph_grpc(5080|7080|9080)、hikvision(8000)、git(9418)。5端口識(shí)別數(shù)：識(shí)別資產(chǎn)目標(biāo)開(kāi)放的端口不少于700種，包括:23