网络信息安全服务技术要求.pdf

网络信息安全服务技术要求

本次安全服务内容有资产梳理、漏洞评估、渗透测试、业务上线前检测、信

息安全制度梳理、配合监管检查、协助安全加固、网络安全培训、应急演练、应

急响应等。

1.资产梳理，要求提供1次/年的资产梳理服务，服务对象是学校信息中心IT

资产，服务内容要求：采用人+工具的组合方式，主动或被动探测学校信息中心（服

务器、应用系统、中间件、数据库、网络安全设备等）的资产信息，对资产进行

全面梳理，发现数据中心出现的未报备资产，提前发现可能存在的安全隐患。梳

理维度包括但不限于：名称、IP、端口、组件、服务等。服务输出结果是《资产

梳理报告》。

2.漏洞评估，要求提供12次/年的漏洞评估服务，服务对象是学校信息中心IT

资产，服务内容要求：采用业界认可的、专业的扫描工具，通过定制的扫描规则，

对业主制定的系统或主机进行一次全面的自动化安全扫描，人工验证扫描结果，

并输出安全扫描报告及修复建议。

详细如下：

（1）.针对扫描检测发现的漏洞，进行分析验证和评估，按照不同维度对漏洞

归类归档，如系统漏洞、应用漏洞、数据库漏洞等，并提出不响应的建议处置措

施；

（2）.按照不同漏洞维度提供不同的处置方式，如系统漏洞建议在数据备份前

提下协助业主单位打补丁处理，应用漏洞建议由我司协助软件供应商处置升级版

本、修改代码等处置。

（3）.在对漏洞归类处置后，再提供一次漏洞的校验服务，保证漏洞评估的闭

环处置。

服务工具要求：

（1）.本次服务工具支持对各种网络主机、操作系统、网络设备（如交换机、

路由器、防火墙等）、常用软件以及应用系统、数据库的识别和漏洞扫描。

（2）.本次服务工具要求支持用户自定义系统名称、版权信息和系统的Logo

信息，而无需进行定制化。

(3).为应当弱口令的危害，要求本次服务工具具备弱口令扫描功能，支持弱口

令扫描协议数量≥22种，包括FTP、SMB、RDP、SSH、TELNET、SMTP、IMAP、POP3、

Oracle、MySQL、MSSQL、DB2、REDIS、MongoDB、Sybase、Rlogin、RTSP、SIP、

Onvif、Weblogic、Tomcat、SNMP等协议进行弱口令扫描，允许用户自定义用户、

密码字典。

(4).应用系统扫描能力要求，扫描结果在产品界面中支持查看目标应用返回的

软件版本，可以方便与漏洞描述对比进行漏洞验证。服务输出结果是《漏洞评估

报告》。

3.渗透测试，要求提供2次/年的渗透测试服务，服务对象是学校信息中心重

要应用系统，服务内容要求：作为漏洞评估服务的重要补充，渗透测试服务更多

关注漏洞被利用后对全网造成的影响。真实的站在黑客视角采用无害攻击手段，

模拟黑客真实的攻击行为，深度检验网络安全防线效果，并结合智能工具扫描结

果，由高级工程师进行深入的手工测试和分析，识别工具弱点扫描无法发现的问

题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功

能绕过、异常错误等以及其他专项内容测试与分析，重点发现信息系统应用层业

务流程和逻辑上的安全漏洞和敏感信息泄露的风险，输出渗透测试报告，提出专

业修复建议，协助解决网络安全风险问题。服务技术要求：为了更好达到学校提

出关于渗透能力要求，本次服务提供方要求提供国家信息安全漏洞共享平台原创

漏洞证明。服务输出结果是《渗透测试报告》。

4.业务上线前检测，要求在服务期内按需提供业务上线前检测服务，服务对象

是学校信息中心即将上线业务或变更业务系统，服务内容要求：协助学校信息中

心对即将上线或变更的业务系统进行综合评估，提供合理加固建议，降低风险，

提升业务系统上线后的健壮性和可持续性。包括：首先，通过安全漏洞检测，业

务逻辑漏洞检测，异常文件检测，Webshell检测，安全基线核查等发现存在的安

全风险，并记录；其次，根据上述检测发现的安全风险，输出整改建议，如漏洞

修复、代码修复、安全策略加固、配置优化等。服务输出结果是《业务上线风险

评估报告》。

5.信息安全制度梳理，要求提供1次/年的信息安全制度梳理服务，服务对象是

学校信息中心，服务内容要求：依据《网络安全等级保护制度》相关要求，结合

《等保测评整改报告》的相关内容，协助学校健全网络安全组织架构和管理制度，

明确学校及各部门网络安全相关责任，建立网络安全责任制。服务输出结果是《信

息安全管理制度》修订版。

6.配合监管检查，要求服务期内按需提供配合