序号

标包名称

产品名称

规格型号

数量

交货地点

交货期

*

九江电信*********年政务云新增安全服务采购项目采购方案

等保

***风险检测

*

九江

****年*月**日

序号

技术指标

具体要求

*

***风险监测系统

*、硬件配置：***：**核**线程；内存：*****；硬盘：***** ***、******* ***；网口：**千兆电口, **万兆光口；其他配件：冗余电源+导轨

*、系统性能：流量处理峰值*****，****事件处理峰值*******；

*、系统功能：

（*）流量解析引擎：支持流量镜像、*****采集流量方式，可还原完整的****事件的请求和返回内容。

（*）***资产梳理引擎：支持***采样、***识别、***清单产出、***画像呈现、***定义功能。

（*）弱点发现引擎：支持识别***未鉴权、***参数可遍历等**大类**小类弱点类型。

（*）风险检测引擎：支持感知数据泄露类、账号安全类、***攻击类数据风险。

*、配套运营服务：提供*年**次数据安全专家运营服务，服务内容包含：

（*）应用资产梳理

（*）***资产梳理

（*）***识别状态优化

（*）***敏感数据识别

（*）数据识别策略优化

（*）***扫描流量过滤

（*）***风险告警分析

（*）风险告警规则优化

（*）***弱点验证

（**）***弱点评估

（**）***弱点整改建议

（**）***弱点复核

（**）数据同步运营

服务交付物包含：

（*）《九江市大数据中心数据安全运营服务报告》

（*）《九江市大数据中心应用资产清单》

（*）《九江市大数据中心数据接口资产清单》

（*）《九江市大数据中心数据接口弱点清单》

（*）《九江市大数据中心数据接口弱点报告》

（*）《九江市大数据中心数据接口风险清单》

序号

技术指标

具体要求

*

***安全网关

零信任控制中心

性能参数：最大并发用户数（个）≥****，最大并发用户数（个）≥****。

硬件参数：规格：**，内存大小≥***，硬盘容量≥**** ***，电源：冗余电源，接口≥*千兆电口+*千兆光口***+*万兆光口***+；≥****套* 零信任接入授权（授权买断）;提供不少于*年维保服务;

功能要求：要求采用国家密码管理局颁布的***、***、***、***密码算法及其协议，支持多种身份认证方式、细粒度访问权限控制等主要功能，另外可选配扩展支持***功能，保证远程系统接入的用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全，符合国家商用密码标准。

零信任代理网关

***性能参数：最大理论加密流量（****）≥***，最大理论建议并发用户数（个）≥****。

硬件参数：规格：**，内存大小≥***，硬盘容量≥**** ***，电源：冗余电源，接口≥*千兆电口+*千兆光口***+*万兆光口***+；提供不少于*年维保服务;

功能要求：要求采用国家密码管理局颁布的***、***、***、***密码算法及其协议，支持多种身份认证方式、细粒度访问权限控制等主要功能，另外可选配扩展支持***功能，保证远程系统接入的用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全，符合国家商用密码标准。

序号

技术指标

具体要求

*

渗透测试

九江市政务云渗透测试服务技术规范

一、服务概述

*.* 测试范围

（一）现有市本级云上所有业务项目渗透测试及整改闭环，按照“分类分级、稳步推进”原则，结合系统复杂度及业务重要性划分测试优先级，完成全量测试及闭环处置；

（二）安全加固与配置优化服务

针对渗透测试及巡检中发现的漏洞，提供全流程安全加固技术支撑：包括操作系统（*******、*****、麒麟银河等）、数据库（*****、******等）、中间件（******、*****等）等配置优化，指导客户安装安全补丁、开启防火墙规则等；每季度开展*次加固效果验证；

交付成果清单：

《月度渗透进度报告》《季度渗透分析及防护建议报告》等；若本次服务目标未完成，按服务未完成进度扣减对应费用。

*.* 测试原则与边界

采用黑盒为主、灰盒为辅的测试模式，模拟真实外部攻击者行为，严格限定在授权范围内操作，禁止对非目标资产、网络基础设施或第三方系统发起探测，禁止使用可能引发业务中断的拒绝服务（***/****）类测试手段，所有测试行为须可追溯、可审计、可回滚。

二、服务执行标准

*.* 测试频次与周期

在服务期内，服务方每年须完成不少于*轮全量渗透测试，覆盖全部目标系统。两轮测试根据甲方要求应合理分布于上半年与下半年，其中至少*轮须安排在重大活动保障（重保）期间。每轮测试前须提交《渗透测试实施方案》，明确测试对象、时间窗口、方法边界及风险控制措施，经甲方书面授权后方可实施。

三、人员配置与资质要求

*.* 驻场人员配置

服务方须指派不少于*名工程师全程驻场服务，工作地点为甲方指定办公区域，两人每周合计现场工作时间不少于**小时（人均不少于**小时），纳入甲方统一考勤管理，确保通讯畅通，应急响应*小时内到场。

*.* 职责分工

*.*.* 技术渗透与应急响应工程师（主测岗）

负责渗透测试方案设计、漏洞深度挖掘、攻击路径复现及高危风险研判；主导编写渗透测试报告，提供技术性修复建议与验证方法；在重保期间承担*×**小时应急值守，主导安全事件分析与处置；具备扎实的攻防实战能力，熟悉云环境、***应用、***及常见中间件漏洞利用技术。

*.*.* 租户对接与安全支持工程师（协调岗）

作为服务方与各业务系统租户单位的接口人，负责日常沟通、问题解答与需求响应；协助租户理解漏洞成因、整改要求及验证标准，必要时提供远程或现场配置指导；参与基础性安全运维工作，如协助开展资产台账核对、开放端口核查、弱口令筛查、日志异常初步分析等；配合组织安全培训、漏洞复盘会及安全开发规范宣贯，提升租户单位安全意识与能力。

*.* 团队整体资质要求

整个渗透测试专项团队（含驻场及后台支撑成员）必须满足以下国家认可的资质条件：

至少*名成员持有********（注册信息安全专业人员*渗透测试工程师）证书；

至少*名成员持有****原创漏洞证明（事件型或通用型均可）；

至少*名成员持有******或*****（应急服务方向）认证；

至少*名成员持有软考中级（或以上）证书。

上述资质可由同一人兼有多项，亦可由不同成员分别持有，但须在项目启动前向甲方提交完整证明材料并接受核验。渗透人员应取得国家注册渗透测试工程师（********）及以上资质证书，同时应取得信息安全工程师或网络工程师等中级及以上资质证书。

*.* 合规与背景要求

所有参与人员须为中华人民共和国公民，无违法犯罪记录，须签署《保密承诺书》《网络安全责任书》及《背景调查授权书》，不得同时服务于存在利益冲突的其他单位，确保服务独立性与数据安全性。

四、工作内容与交付要求

*.* 渗透测试报告要求

*.*.* 报告内容规范

每份正式报告须包含以下核心内容：

测试授权范围、时间窗口及方法说明、目标系统资产清单与测试对象明细、漏洞详情（含漏洞类型、***/路径、请求/响应报文、截图证据、复现步骤）、基于**** *.*标准的风险评分及等级划分（高/中/低）、对应《**/* ********** 信息安全技术 网络安全等级保护基本要求》的控制项映射（如"安全计算环境*入侵防范"）、可落地的修复建议、临时缓解措施及验证方法、整改优先级建议（按业务影响与修复难度综合评估）。

*.*.* 交付时效与格式

每个项目的渗透测试结束后*个工作日内提交报告初稿，*个工作日内提交正式版，正式报告须为*** + ****双格式，加盖服务方单位公章，主测工程师手写签名，报告命名规则：[系统名称]渗透测试报告**[版本号][********]。

按照甲方对渗透测试数量和进度的要求，服务方须有序推进工作：每季度完成**至**个业务系统的渗透测试，全年累计目标约为**个（该总数为预估值，可根据实际资产变化、系统上线节奏或甲方统筹安排等情况在合理范围内适当调整）。

为确保时序进度可控，年度任务按季度分解为：第一季度末累计完成不少于**个，第二季度末累计不少于**个，第三季度末累计不少于**个，第四季度末力争完成约**个。在此基础上进一步细化至月度节奏，建议各季度内均衡推进，即*–*月每月完成*–*个，*–*月每月完成*个左右，*–*月每月完成*个左右，**–**月根据前期执行情况和剩余任务量动态调整月度计划。如在任一阶段发现实际进度滞后于上述时序要求，服务方应立即追加人力资源投入，采取包括但不限于增派驻场工程师、延长工作时间或优化测试流程等措施，全力保障整体进度不脱期。

*.*.* 保密与使用限制

报告内容属于甲方敏感信息，严禁用于非授权用途；未经甲方书面许可，不得对外披露、引用或用于其他项目。

*.* 日常工作与协同支持

*.*.* 租户答疑与技术指导

协调岗工程师须主动对接各租户单位，及时解答关于漏洞修复、安全配置、开发规范等问题，对高危漏洞提供不少于*次的技术支持（含远程或现场），直至完成有效整改，定期整理常见问题***，降低重复咨询成本。

*.*.* 漏洞闭环管理

配合甲方漏洞管理平台，实现漏洞从发现、分发、修复到验证的全流程跟踪，对超期未修复的高危漏洞，出具《风险升级预警函》，并抄送安全主管单位。

*.*.* 安全培训与技术支持

每季度为客户技术团队开展*次专项安全培训，内容包括渗透测试基础、常见漏洞防护、应急响应流程、安全配置规范等，培训形式采用理论讲解+实操演示结合.提供日常安全技术咨询服务，针对客户团队提出的安全问题（如工具使用、漏洞修复、政策合规等），**小时内给予响应，复杂问题**小时内提供完整解决方案。

*.*.* 日志分析与安全态势感知

协助客户分析指定设备日志（如操作日志、安全设备日志），排查异常行为；每季度结合日志数据、漏洞数据、事件数据，输出《季度安全态势分析报告》，全面呈现客户安全状况及优化方向。

五、重大活动安全保障（重保）专项支持

*.* 重保前准备

在重保启动前**日内，完成全量系统高危漏洞复查与验证；协助制定《重保安全防护策略》《应急响应预案》及《值守排班表》。

*.* 重保期间值守

驻场人员须参与甲方值守排班，并保障*×**小时应急响应通道畅通，对异常登录、数据外泄、********等事件实时研判，支持开展红蓝对抗桌面推演或轻量级实战演练。

*.* 重保后总结

重保结束后*个工作日内，提交《重保安全事件分析与改进建议报告》，内容包括攻击尝试统计、防御短板识别及后续加固优先级。

六、工具与环境合规要求

所有测试工具须为国产化软件或经国家备案授权的商业工具（如授权版**** *****、******等），禁止使用未授权****平台或境外资产测绘服务（如******、******.**、****国际版等），测试流量须通过政务内网或甲方指定出口，严禁将任何测试数据、日志或漏洞信息上传至公网或境外服务器，所有测试过程日志、原始报文、截图等须完整留存，保存期限不少于*年，以备审计或监管检查。

七、附则

本规范作为服务方提供九江市政务云渗透测试服务的强制性履约标准，具有法律与合同约束力。服务方须确保人员能力、流程合规性、交付质量与响应时效全面满足上述要求，切实支撑九江市政务云构建"主动防御、精准预警、快速响应、闭环治理"的现代化安全运营体系。