C包济南市疾控软硬件扩容和安全服务.docVIP

C包 济南市疾控软硬件扩容与安全服务 一、建设目标和总体要求 二、项目内容 2.1、安全运维服务 2.1.1信息安全评估服务 评估依据 GB/T 20984-2007《信息安全技术 信息安全风险评估规范》 评估方法 依据GB/T 20984-2007《信息安全技术 信息安全风险评估规范》中的要求，通过问卷调查、工具检测、人工核查、风险计算及综合分析等评估手段对信息系统进行全面评估。 安全监测服务内容 现状调研 资产识别和评估：识别评估范围内各系统的资产，包括服务器、虚拟化、应用系统、网络设备、安全设备，并根据破坏后可能造成的影响为各系统评估安全等级； 网络架构调研：结合我单位提供的网络拓扑图，通过访谈以及拓扑发现工具，路由表分析结合网络线路梳理准确生成《网络拓扑图》； 业务流程调研：关键业务流程分析，调研关键业务涉及的系统和业务软件，业务逻辑结构，业务模块通信端口，数据调用过程，生成《业务调研报告》 安全评估 漏洞评估 要求服务提供商使用漏洞扫描器对网络设备、服务器、数据库、中间件进行漏洞扫描，根据扫描结果人工识别并验证漏洞，对漏洞的危害和利用方式科学评估，协助我单位修补高危和中危漏洞。对因业务应用特殊性无法修补的，通过关联分析的方法提供其他加固建议，并根据安全设备的日志核查目标系统是否存在安全设备记录的漏洞和被入侵、攻击事件。 安全渗透测试 服务提供商分别从内网、外网、网间3个层