一、项目基本情况 为更好的贯彻落实中央领导同志关于网络安全的重要指示精神，有效应对当前网络安全面临的严峻威胁与挑战，全力做好重要信息系统网络安全保卫工作，亟需对重要信息系统展开等保评测工作，通过该评测工作及时发现系统安全隐患并迅速进行整改，从而全面提升重要信息系统的网络安全防护水平，保障系统的安全、高效、稳定运行。 二、服务内容及要求 序号名称服务频次交付物 *等级保护测评 （二级）两年一次网络安全等级保护等级测评报告 （一）等保测评 供应商应贯彻落实《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》（国务院***号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔****〕**号）等要求，根据本单位网络安全等级保护需求，依据国家及行业等级保护标准，通过安全等级保护测评的方法，为“镇江高等专科学校校内信息系统”各安全层面与相应安全保护等级标准的差距，明确存在的安全问题及现有安全措施的有效性，并针对安全问题关联的资产、威胁、脆弱性，综合分析信息系统面临的安全风险，寻求风险降低或规避的方法、提出建设整改建议、编制建设整改方案、提供整改实施技术支持。并在整改实施完成后，通过开展等保测评工作，验证建设整改的效果及与标准的符合度，明确信息系统是否达到了相应安全保护等级的防护能力，同时为以后的安全决策、安全管理、安全运维、持续整改提供依据。 三、技术要求和规范 《中华人民共和国网络安全法》 《关于加强党政机关计算机信息系统安全和保密管理的若干规定》 《计算机信息系统安全保护等级划分准则》（** **********） 《关于信息安全等级保护工作的实施意见》(公通字[****]**号) 《信息安全等级保护管理办法》(公通字[****]**号) 《网络安全保护等级定级指南》（**/* **********） 《网络安全等级保护基本要求》（**/* **********） 《网络安全等级保护测评要求》（**/* **********） 《网络安全等级保护测评过程指南》（**/* **********） 以及本项目完成前国家、省对信息系统等级保护的最新规范和要求。 四、资料成果提交 本项目的资料成果包括但不限于：网络安全等级保护等级测评报告。 五、服务内容 *.初测评 依据《**/* **********信息安全技术 网络安全等级保护基本要求》对目标信息系统进行初测评，开展信息系统与对应标准的差距分析，出具《差距分析和整改建议书》。 *.安全整改咨询 在根据《差距分析和整改建议书》进行系统安全整改期间，测评机构以使得系统符合《**/* **********信息安全技术 网络安全等级保护基本要求》为目标，为采购人提供全程技术支撑。 *.复测评 采购人完成系统安全整改后，测评机构依据《**/* **********信息安全技术 网络安全等级保护基本要求》，对目标信息系统进行网络安全等级保护测评，并出具《测评报告》。 *.测评备案 测评机构在出具最终测评报告后，协助采购人完成测评报告的备案工作。 六、测评服务技术要求 （一）基础测评 （*）安全物理环境测评（物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护）； （*）安全通信网络测评（网络架构、通信传输、可信验证）； （*）安全区域边界测评（边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证）； （*）安全计算环境测评（身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护）； （*）安全管理中心测评（系统管理、审计管理、安全管理、集中管控）。 （*）安全管理制度测评（安全策略、管理制度、制定和发布、评审和修订）； （*）安全管理机构测评（岗位设置、人员配备、授权和审批、沟通和合作、审核和检查）； （*）安全管理人员测评（人员录用、人员离岗、安全意识教育和培训、外部人员访问管理）； （*）安全建设管理测评（定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统支付、等级测评、服务供应商选择）； （**）安全运维管理测评（环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理）。 （二）工具扫描 使用专业的安全分析工具（至少包含专业的主机网络安全分析、应用系统安全析工具）对待测系统进行安全分析。在与校方深入沟通的基础上，对系统进行渗透，对过程进行记录并最终形成工具扫描、渗透报告。具体包括使用漏洞扫描工具等对网络系统中的主要网络设备、数据库系统、主机操作系统进行扫描，检查相应设备存在的系统漏洞、弱口令、数据暴露等安全问题。测试所使用的工具应包含不限于以下几种类型的工作。 测试内容作用 漏洞扫描对主机、操作系统、数据库等设备进行扫描 渗透测试使用网站爬虫、端口扫描、木马工具、口令嗅探、******注入、信息泄漏等工具对网站进行模拟攻击 ***漏洞扫描***应用和网页漏洞扫描，包括***平台和中间件 协议分析进行网络协议分析，检查系统中各种应用流量的情况

承诺协助学校进行等保测评工作,并保障顺利通过等保测评获得测评报告。 技术支持与维护服务方式: 合同签订后，服务商派技术人员随时响应进行技术支持与维护。 快速上门:若发生系统安全性与稳定性的风险，服务商提供远程技术支持，并采取必要的风险控制措施，如无法解决，则在规定时间（半小时）内上门解决问题。 技术咨询: 服务商有义务根据甲方要求提供电话热线服务、进行各种电脑操作指导，提出关于设备更新、软硬件升级等合理化建议。