常見信息安全服務(wù)內(nèi)容描述參考

/常見信息安全服務(wù)內(nèi)容描述參考服務(wù)名稱內(nèi)容簡介單位數(shù)量備注代碼審計(jì)源代碼安全審計(jì)服務(wù)通過源代碼檢測工具進(jìn)行自動(dòng)化掃描并獲取到自動(dòng)化檢測結(jié)果；對自動(dòng)化檢測結(jié)果進(jìn)行人工分析，對誤報(bào)問題進(jìn)行標(biāo)注和過濾，整理源代碼安全審計(jì)報(bào)告。將報(bào)告交付給用戶的研發(fā)人員，并給予相應(yīng)的問題修復(fù)建議和進(jìn)行問題修復(fù)跟蹤。通過重新檢測驗(yàn)證問題修復(fù)情況。次/年不限按采購人實(shí)際需求網(wǎng)站安全監(jiān)測▲網(wǎng)站安全監(jiān)測云服務(wù)實(shí)時(shí)短信和電話通知網(wǎng)站安全監(jiān)測的異常情況。1.網(wǎng)站可用性狀態(tài)監(jiān)控，如：網(wǎng)站訪問速度異常、宕機(jī)或被非法破壞而不能提供訪問服務(wù)等。2.監(jiān)測網(wǎng)站頁面是否被篡改和被恢復(fù)，是否發(fā)生安全事件（網(wǎng)頁篡改、網(wǎng)頁掛馬、網(wǎng)頁暗鏈、網(wǎng)頁敏感關(guān)鍵字等檢測），準(zhǔn)確定位網(wǎng)頁木馬所在的位置。3.監(jiān)測網(wǎng)站是否存在當(dāng)前流行的Web應(yīng)用漏洞，如：struts2框架漏洞、SQL注入、跨網(wǎng)站腳本攻擊、緩存溢出等，定位Web應(yīng)用漏洞所在的位置。實(shí)時(shí)不限包括但不限于本次等保測評的信息系統(tǒng)安全通告主流操作系統(tǒng)、數(shù)據(jù)庫、web服務(wù)安全問題通告每月提供匯總安全通告。次/年不限郵件/電話形式通告。網(wǎng)絡(luò)安全問題通告每月提供匯總安全通告。次/年▲重大安全漏洞、病毒木馬預(yù)警對于影響范圍大、破壞性高的安全漏洞和病毒木馬進(jìn)行實(shí)時(shí)安全預(yù)警通告。次/年應(yīng)急響應(yīng)7x24小時(shí)電話安全咨詢?nèi)旌?，主要提供安全技術(shù)類的建議或者普通安全事件的遠(yuǎn)程溝通處理。次/年不限根據(jù)實(shí)際需求，通過電話或郵件等方式解決用戶遇到的安全問題?！?x24小時(shí)安全事件緊急響應(yīng)全天候，嚴(yán)重安全事件2小時(shí)到達(dá)現(xiàn)場，普通安全事件必要時(shí)到場。每次提供相應(yīng)的響應(yīng)報(bào)告，找出根源并提供可行解決方案。次/年不限遠(yuǎn)程無法解決的安全事件，包括協(xié)助做好安全專項(xiàng)檢查工作，協(xié)助用戶跟進(jìn)安全項(xiàng)目建設(shè)等。應(yīng)急演練▲協(xié)助采購人開展應(yīng)急演練包含演練計(jì)劃編制、演練場景設(shè)計(jì)、演練場景測試、演練腳本編制、演練培訓(xùn)、演練實(shí)施、應(yīng)急預(yù)案、演練評估、提出完善建議等。次/年1安全培訓(xùn)安全意識和防范培訓(xùn)有針對性地對考點(diǎn)和單位員工常見的缺乏安全意識導(dǎo)致的安全事件和如何防范進(jìn)行培訓(xùn)。次/年1具體培訓(xùn)課程根據(jù)實(shí)際情況商議。提供培訓(xùn)課件與培訓(xùn)記錄材料信息技術(shù)工作人員安全技能培訓(xùn)包括主流操作系統(tǒng)安全方面，用戶安全、登錄安全、文件安全；網(wǎng)絡(luò)實(shí)體安全；訪問控制、防火墻、入侵檢測技術(shù)；數(shù)據(jù)泄露；信息加密技術(shù)；惡意代碼防范；數(shù)據(jù)庫安全；程序員安全代碼編寫等方面。2培訓(xùn)課件制作根據(jù)用戶要求制作3個(gè)安全培訓(xùn)課件與相關(guān)試題。3安全巡檢漏洞掃描每季度對全網(wǎng)進(jìn)行一次漏洞掃描檢查，提供掃描報(bào)告和分析報(bào)告。次/年4滲透測試每季度利用各種主流攻擊技術(shù)對客戶授權(quán)指定的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)設(shè)備做模擬攻擊測試。次/年4安全設(shè)備配置檢查和日志分析每季度對客戶現(xiàn)網(wǎng)中部署的安全設(shè)備進(jìn)行有效的安全配置和日志分析，找出設(shè)備存在的安全威脅，并形成日志分析報(bào)告。次/季4核心服務(wù)器配置檢查和日志分析每季度對用戶核心服務(wù)器群的安全配置和日志進(jìn)行分析備份，指出用戶核心服務(wù)器群所存在的風(fēng)險(xiǎn)和問題所在。次/季4▲新系統(tǒng)上線安全檢測每季度對新擬上線的系統(tǒng)（含重大修改的系統(tǒng)）進(jìn)行漏洞掃描與安全配置檢查，找出不合規(guī)的配置項(xiàng)，形成報(bào)告并提供整改方案，通過安全檢測后系統(tǒng)方可上線使用。次/年4網(wǎng)絡(luò)架構(gòu)分析每季度對現(xiàn)有的網(wǎng)絡(luò)架構(gòu)進(jìn)行分析，對存在的故障隱患點(diǎn)、不合理節(jié)點(diǎn)等進(jìn)行建議整改。次/年4重大節(jié)假日和活動(dòng)前安全巡檢在重大節(jié)假日和活動(dòng)前對全網(wǎng)進(jìn)行全面的安全檢測。次/年不限根據(jù)實(shí)際情況協(xié)商。評估加固信息安全風(fēng)險(xiǎn)評估和安全加固根據(jù)每季度的系統(tǒng)安全巡檢評估結(jié)果，提供整改方案，指導(dǎo)用戶對存在安全威脅的服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、Web應(yīng)用等進(jìn)行安全加固，包括系統(tǒng)漏洞、配置、木馬等威脅加固。次/年4制度制訂協(xié)助制訂完善