一、项目基本情况 为更好的贯彻落实中央领导同志关于网络安全的重要指示精神，有效应对当前网络安全面临的严峻威胁与挑战，全力做好重要信息系统网络安全保卫工作，亟需对重要信息系统展开等保评测工作，通过该评测工作及时发现系统安全隐患并迅速进行整改，从而全面提升重要信息系统的网络安全防护水平，保障系统的安全、高效、稳定运行。 二、服务内容及要求 序号名称数量等级交付物 *江苏科技大学信息系统*二级网络安全等级保护等级测评报告 （一）等保测评 供应商应贯彻落实《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》（国务院***号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔****〕**号）等要求，根据本单位网络安全等级保护需求，依据国家及行业等级保护标准，通过安全等级保护测评的方法，为被测单位各安全层面与相应安全保护等级标准的差距，明确存在的安全问题及现有安全措施的有效性，并针对安全问题关联的资产、威胁、脆弱性，综合分析信息系统面临的安全风险，寻求风险降低或规避的方法、提出建设整改建议、编制建设整改方案、提供整改实施技术支持。并在整改实施完成后，通过开展等保测评工作，验证建设整改的效果及与标准的符合度，明确信息系统是否达到了相应安全保护等级的防护能力，同时为以后的安全决策、安全管理、安全运维、持续整改提供依据。 三、技术要求和规范 《中华人民共和国网络安全法》 《关于加强党政机关计算机信息系统安全和保密管理的若干规定》 《计算机信息系统安全保护等级划分准则》（** **********） 《关于信息安全等级保护工作的实施意见》(公通字[****]**号) 《信息安全等级保护管理办法》(公通字[****]**号) 《网络安全保护等级定级指南》（**/* **********） 《网络安全等级保护基本要求》（**/* **********） 《网络安全等级保护测评要求》（**/* **********） 《网络安全等级保护测评过程指南》（**/* **********） 以及本项目完成前国家、省对信息系统等级保护的最新规范和要求。 四、资料成果提交 本项目的资料成果包括但不限于：网络安全等级保护等级测评报告。 五、服务内容 *.初测评 依据《**/* **********信息安全技术 网络安全等级保护基本要求》对目标信息系统进行初测评，开展信息系统与对应标准的差距分析，出具《差距分析和整改建议书》。 *.安全整改咨询 在根据《差距分析和整改建议书》进行系统安全整改期间，测评机构以使得系统符合《**/* **********信息安全技术 网络安全等级保护基本要求》为目标，为采购人提供全程技术支撑。 *.复测评 采购人完成系统安全整改后，测评机构依据《**/* **********信息安全技术 网络安全等级保护基本要求》，对目标信息系统进行网络安全等级保护测评，并出具《测评报告》。 *.测评备案 测评机构在出具最终测评报告后，协助采购人完成测评报告的备案工作。 六、测评服务技术要求 （一）基础测评 （*）安全物理环境测评（物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护）； （*）安全通信网络测评（网络架构、通信传输、可信验证）； （*）安全区域边界测评（边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证）； （*）安全计算环境测评（身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护）； （*）安全管理中心测评（系统管理、审计管理、安全管理、集中管控）。 （*）安全管理制度测评（安全策略、管理制度、制定和发布、评审和修订）； （*）安全管理机构测评（岗位设置、人员配备、授权和审批、沟通和合作、审核和检查）； （*）安全管理人员测评（人员录用、人员离岗、安全意识教育和培训、外部人员访问管理）； （*）安全建设管理测评（定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统支付、等级测评、服务供应商选择）； （**）安全运维管理测评（环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理）。 （二）工具扫描 使用专业的安全分析工具（至少包含专业的主机网络安全分析、应用系统安全析工具）对待测系统进行安全分析。在与校方深入沟通的基础上，对系统进行渗透，对过程进行记录并最终形成工具扫描、渗透报告。具体包括使用漏洞扫描工具等对网络系统中的主要网络设备、数据库系统、主机操作系统进行扫描，检查相应设备存在的系统漏洞、弱口令、数据暴露等安全问题。测试所使用的工具应包含不限于以下几种类型的工作。 测试内容作用 漏洞扫描对主机、操作系统、数据库等设备进行扫描 渗透测试使用网站爬虫、端口扫描、木马工具、口令嗅探、******注入、信息泄漏等工具对网站进行模拟攻击 ***漏洞扫描***应用和网页漏洞扫描，包括***平台和中间件 协议分析进行网络协议分析，检查系统中各种应用流量的情况 （三）信息安全等级保护整改建议和指导服务 根据医院信息系统等级保护测评情况，对系统发现的网络安全问题，向被测单位提供整改、加固建议，协助、指导采购单位做好整改工作。测评机构根据系统往年的测评问题情况，向被测单位提出系统针对性的整改、加固建议，切实帮助被测单位对系统安全问题进行治理，直到达到国家等保要求为止。 （四）应急技术支撑与攻防演练服务 按需提供应急响应服务，发生安全事件后，第一时间进行应急响应处置和溯源分析，并制作应急响应台账。 出现突发事件，在接到甲方通知后， *小时内赶到客户指定的现场。 (*)当被测系统遭受网络病毒、木马、黑客入侵、****等攻击以及发生其他网络安全事件时，投标人于*小时内派出安全专家团队进行现场排查处理安全事件，保障业务系统的连续性，阻止和减小安全事件带来的负面影响，并依照相关要求， 协助网络安全事件应急处置机制建设工作，落实网络安全应急处置通报工作。 (*)应急相应服务工作完成后，针对此次事件的问题现象、发生原因以及处理过程，预防措施与建议进行总结报告。 (*)如发生安全事件，按上述步骤处置后，出具《网络安全应急响应服务报告》。 通过挖掘被测单位暴露在互联网、电子政务外网上资产的漏洞，通过攻防演练实战化检验中心重要信息系统安全性，发现并处置安全漏洞隐患。 （五）数据安全风险评估 对业务系统开展全面的数据安全风险评估工作，发现存在的数据安全问题和风险隐患，并指导软件公司整改到位。 （六）重要时期安全值守 在网络安全主管部门开展的攻防活动期间或春节、国庆、劳动节等重要时期提供重保值守服务。 （七）安全培训服务 测评机构对被测系统主管单位的系统管理人员开展网络安全意识现场培训，提供网络安全等级保护工作的专项培训服务，以及安全技术、管理、政策、动态、事件等相关安全培训服务。培训对象为应用系统的主管部门人员、应用系统开发维护人员。所涉及费用包含在项目报价中，由测评机构承担。

承诺协助学校进行等保测评工作,并保障顺利通过等保测评获得测评报告。 技术支持与维护服务方式: 合同签订后，服务商派技术人员随时响应进行技术支持与维护。 快速上门:若发生系统安全性与稳定性的风险，服务商提供远程技术支持，并采取必要的风险控制措施，如无法解决，则在规定时间（半小时）内上门解决问题。 技术咨询: 服务商有义务根据甲方要求提供电话热线服务、进行各种电脑操作指导，提出关于设备更新、软硬件升级等合理化建议。