97国产精品视频|欧美国产偷国产精品三区|在线欧美成人网站网址|亚洲在线色情日本无码视频网|高潮喷水在线日韩精品操|真真操逼视频国产免费啪啪片|超大波少妇欧美亚洲精品日韩一区|久久视频精品91午夜视频|亚洲无码成人动漫精品一区二区|中文字幕久久成人

采購需求說明：1投標人在投標文件《采購需求響應、偏離說明表》中應對以下條款進行響應描述或偏離說明。2招標文件中“★”標注的技術、服務及商務要求，應滿足或優(yōu)于，如有不滿足的其投標按照無效投標處理。一、項目概況（一）項目名稱2025年度武漢住房公積金管理中心安全檢測與評估。（二）服務范圍三陽路機房和后湖數(shù)據(jù)中心機房內(nèi)的信息資產(chǎn)。（三）服務周期合同履行期限：1年，服務期限自2025年12月26日至2026年12月25日。自合同簽訂生效日起一年服務期。本項目招一續(xù)二，本次招標為首年招標，合同一年一簽訂。本次采購金額為合同最高限價，具體費用根據(jù)實際專線使用情況據(jù)實結(jié)算，不超過合同金額。采購人對投標人在合同期內(nèi)進行綜合考核，依據(jù)采購人制定的考核標準經(jīng)考核合格的，可與投標人在次年續(xù)簽采購合同，最多可以續(xù)簽二次，投標人不得擅自提高合同價格或降低服務質(zhì)量。若投標人不愿與采購人續(xù)簽合同的，須在合同到期前3個月前書面提出。二、服務內(nèi)容（一）安全咨詢服務1安全管理咨詢根據(jù)采購人的信息系統(tǒng)現(xiàn)狀協(xié)助制定基于現(xiàn)有環(huán)境的安全體系框架，協(xié)助建立和完善網(wǎng)絡信息安全體系及安全應急響應機制。并根據(jù)框架制定技術與管理的各項安全策略，界定安全責任，同時依照擬定的策略，制定針對性防護體系。2日常安全咨詢?nèi)粘０踩稍兎罩饕槍υ谌粘０踩\維過程中出現(xiàn)的安全問題或?qū)ｍ椀陌踩仗峁I(yè)的安全咨詢服務，保障采購人各業(yè)務系統(tǒng)能夠平穩(wěn)、安全的運行。3數(shù)據(jù)安全咨詢基于目前數(shù)據(jù)安全體系建設的現(xiàn)狀、存在的問題進行原因分析，具體包括數(shù)據(jù)安全技術需求分析、數(shù)據(jù)安全管理需求分析、運營需求和管理層訴求、國家法律法規(guī)要求、行業(yè)標準和其他合規(guī)性要求，制定數(shù)據(jù)安全防護體系。（二）安全技術服務安全技術服務范圍為采購人當前在用和服務期內(nèi)新增系統(tǒng)。根據(jù)系統(tǒng)重要程度設定安全技術服務頻次，核心業(yè)務系統(tǒng)的滲透測試、基線核查、后門檢查服務每季度一次，其他與核心業(yè)務系統(tǒng)相關的系統(tǒng)每六個月一次，其余系統(tǒng)每年一次（投標人提供安全技術服務自帶的檢測工具所需特征庫，由其保障同步更新）。1信息資產(chǎn)輸出服務通過專業(yè)工具對采購人信息網(wǎng)絡的內(nèi)外網(wǎng)信息資產(chǎn)和開放服務進行檢查和梳理，并輸出信息資產(chǎn)清單。2終端安全保障服務提供采購人內(nèi)、外網(wǎng)接入終端安全保障服務，當接入終端出現(xiàn)感染病毒、惡意進程、惡意攻擊、惡意行為等安全事件時確定終端安全事件的威脅和破壞的嚴重程度，及時進行處置。3漏洞掃描服務每月采用采購人提供的漏洞掃描工具對服務范圍內(nèi)的業(yè)務系統(tǒng)主機、應用、數(shù)據(jù)庫進行專業(yè)的漏洞掃描，并人工驗證所發(fā)現(xiàn)的web應用漏洞、主機操作系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、邏輯缺陷、弱口令、信息泄露及配置不當?shù)却嗳跣詥栴}并提供書面整改意見。其中數(shù)據(jù)庫弱點掃描器須為專業(yè)的數(shù)據(jù)庫漏洞掃描系統(tǒng)，具備公安部頒發(fā)的產(chǎn)品銷售許可證數(shù)據(jù)庫掃描(增強級)。4滲透測試服務對采購人服務期限內(nèi)在用系統(tǒng)（包含但不限于核心系統(tǒng)、工單系統(tǒng)、線上服務平臺等）和網(wǎng)絡進行非破壞性質(zhì)的攻擊性滲透測試服務。5上線評估服務系統(tǒng)上線前安全評估內(nèi)容主要包括：投標人使用自備工具，進行系統(tǒng)安全配置檢查、源代碼安全審查及滲透測試服務，并出具上線評估報告。（1）配置檢查內(nèi)容通過結(jié)合各行業(yè)安全規(guī)范和標準，通過眾多安全服務實施經(jīng)驗的驗證，依據(jù)合規(guī)性要求，進行對新上線業(yè)務系統(tǒng)所涉及的軟硬件資產(chǎn)進行安全配置核查。（2）源代碼安全審查投標人使用自備工具對程序源代碼進行檢查和分析，檢查程序源代碼是否存在安全隱患，或者有編碼不規(guī)范的地方，發(fā)現(xiàn)這些源代碼缺陷引發(fā)的安全漏洞，并提供代碼修訂措施和建議。（3）滲透測試服務對新上線系統(tǒng)及模塊進行模擬黑客的攻擊方法對業(yè)務系統(tǒng)和網(wǎng)絡進行非破壞性質(zhì)的攻擊性測試，獲取系統(tǒng)控制權(quán)并將入侵的過程和細節(jié)產(chǎn)生報告給相關人員，并協(xié)助完成整改工作。6后門檢查服務技術服務人員協(xié)助采購人業(yè)務系統(tǒng)開發(fā)人員在系統(tǒng)運行過程中進行后門檢查工作，并制訂相應的檢查方案，對系統(tǒng)運行環(huán)境及代碼進行后門檢查，在檢查完成后，提供有針對性的整改建議。深度網(wǎng)頁后門掃描，具體掃描內(nèi)容如下：（1）支持各類WEB編程語言的應用的深度網(wǎng)頁后門漏洞掃描；（2）能有效掃描asp、php、jsp、aspx等多種WebShell；（3）根據(jù)文件類型自動選擇內(nèi)置掃描策略進行掃描；（4）掃描參數(shù)包括文件類型、優(yōu)先級、掃描策略等；（5）能及時更新規(guī)則庫，有效檢測各類bypass的后門策略。7基線核查服務對系統(tǒng)的主機系統(tǒng)安全、數(shù)據(jù)庫安全、中間件安全等進行系統(tǒng)的策略配置核查，內(nèi)容包括系統(tǒng)信息、硬件信息、系統(tǒng)賬號信息、異常服務、安全策略、帳戶信息、審計策略、系統(tǒng)補丁、進程掃描、軟件安裝、活動端口、用戶權(quán)限、安全選項、組策略、運行保護、瀏覽器上網(wǎng)記錄、USB使用記錄及工具特性等配置項進行安全檢查。8安全通告服務根據(jù)目前的信息安全形勢，投標人收集和整理最新安全漏洞、安全事件、安全資訊等信息，定期為采購人提供安全預警通告，遇緊急高危漏洞或重大信息安全事件即時通告，并協(xié)助提供應急處置方案。通告內(nèi)容包含但不限于以下內(nèi)容：（1）系統(tǒng)漏洞信息：定期將各操作系統(tǒng)、應用系統(tǒng)、網(wǎng)絡設備等最新安全漏洞編制成冊，包括漏洞威脅、影響平臺及修補方法等；（2）病毒信息：將一段時期內(nèi)，最具威脅性的病毒信息編制成冊，包括病毒危害、感染原理及防護措施等；（3）安全預警：一旦出現(xiàn)將可能造成大規(guī)模網(wǎng)絡攻擊事件的安全漏洞或病毒木馬，及時通知相關人員進行安全預警，積極進行補丁修復和安全防護工作；（4）信息安全事件：定期將相關信息安全事件編制成冊，避免信息系統(tǒng)遭遇同樣安全攻擊，造成嚴重損失；（5）最新攻擊方式信息以及防御措施；（6）信息安全監(jiān)管要求：即時通告國家及監(jiān)管部門對行業(yè)的最新要求。9數(shù)據(jù)安全風險評估服務通過檢測評估、安全認證等方式發(fā)現(xiàn)數(shù)據(jù)安全存在的風險和對數(shù)據(jù)主體權(quán)益影響，評估數(shù)據(jù)處理的必要性和合規(guī)性，并制定防范措施，提出應對建議和改進方向，為采購人數(shù)據(jù)安全管理提供依據(jù)。10API接口掃描服務對各類API接口進行深度探測與安全分析，精準檢測包括未授權(quán)訪問、SQL注入、命令注入、越權(quán)操作、文件上傳漏洞、敏感數(shù)據(jù)泄露以及配置缺陷在內(nèi)的多種高風險安全問題，并提供詳細的漏洞報告與修復建議，幫助采購人全面發(fā)現(xiàn)和收斂API資產(chǎn)的安全風險。11安全加固服務投標人根據(jù)漏洞掃描、滲透測試、基線核查、后門檢查及日常監(jiān)控異常分析等安全服務工作的結(jié)果對網(wǎng)絡安全設備進行加固。幫助采購人解決安全問題，降低安全風險，提高服務目標系統(tǒng)安全程度。安全加固主要包含以下兩個方面：（1）對服務器系統(tǒng)進行安全加固和優(yōu)化，具體包括服務器的系統(tǒng)補丁安裝和安全設備升級（包括防火墻、防病毒系統(tǒng)等）；（2）對數(shù)據(jù)庫系統(tǒng)進行輔助安全加固和優(yōu)化。12安全培訓服務視采購人需要于服務期內(nèi)提供安全技術培訓和安全意識宣傳，包含有安全意識培訓、安全測試培訓、安全技能培訓、高級安全管理培訓。13安全巡檢服務每日進行線上安全巡檢，主要內(nèi)容包括：態(tài)勢感知的告警分析溯源，數(shù)據(jù)庫審計系統(tǒng)告警分析溯源，以及系統(tǒng)日志收集情況查看，edr服務器日志監(jiān)控及告警監(jiān)控，外網(wǎng)的出口防火墻和AD查看；每月提供一次線下安全巡檢服務，服務時間不少于一個工作日，主要內(nèi)容包括：對采購人網(wǎng)絡環(huán)境中的安全設備（防火墻、IPS、日志系統(tǒng)等）、重點業(yè)務系統(tǒng)安全狀態(tài)、數(shù)據(jù)庫審計、中心運維日志審計、工作日志進行抽樣查看，分析當前網(wǎng)絡已經(jīng)出現(xiàn)入侵事件或可能出現(xiàn)的安全潛在威脅。14重大保障服務在重要活動期間，派出安全攻防經(jīng)驗豐富的安全專家2名，進駐現(xiàn)場進行現(xiàn)場安全值守和保障，對業(yè)務系統(tǒng)的安全狀況進行實時監(jiān)控和日志分析?，F(xiàn)場值守服務包括（但不限于）事前網(wǎng)絡安全檢查評估、事中網(wǎng)絡安全現(xiàn)場處置、事后跟蹤保障與評估反饋等。15應急響應服務