一、服务目标

为进一步提高网络安全防范意识、落实网络安全主体责任、发现重要信息系统网络安全风险、增强网络安全事件应急处置能力，确保全市网络安全平稳可控，在全市范围内开展网络安全年度检查。

二、服务范围和数量

沈阳市各区（县、市）、市直各部门（单位）、市属企业（高校）以及所属单位的办公网络和重要信息系统共计**个。

三、参照标准

（一）《中华人民共和国网络安全法》

（二）《中华人民共和国数据安全法》

（三）《中华人民共和国个人信息保护法》

（四）《关键信息基础设施安全保护条例》

（五）《网络数据安全管理条例》

（六）《个人信息安全规范》**/* **********

（七）《信息安全技术 关键信息基础设施安全保护要求 》**/* **********

（八）《信息安全技术 信息安全风险评估规范》**/* *****

（九）《信息安全技术 信息安全风险评估实施指南》**/* *****

（十）《网络数据安全风险评估实施指引》*****

四、服务内容及要求

（一）设备安全配置检查

设备安全配置核查：通过现场及配置核查工具等检查等手段，检查网络安全防护总体情况，查看设备策略进而发现信息安全设备相关配置是否完善。

*.操作系统配置核查。至少包含*******、***、*****、****、*******、******等主流操作系统的配置核查，如系统补丁、账号和口令管理、认证和授权策略、网络与服务、进程和启动、文件系统权限、通信协议、日志审核等安全配置。

*.网络及安全设备配置核查。至少包含主流网络及安全设备的配置核查，如**安全、账号和口令管理、认证和授权策略、网络与服务、访问控制策略、通信协议、日志审核、加密管理等安全配置。

*.数据库配置核查。至少包含******、***、*****等主流数据库的配置核查，如漏洞补丁管理、账号和口令管理、认证和授权策略、访问控制、通信协议、日志和审核等安全配置。

*.中间件配置核查。至少包含******、*********、******、***等中间件的配置核查，如补丁管理、账号和口令管理、认证和授权策略、日志和审核等安全配置。

（二）安全漏洞检测

通过专业漏洞扫描工具对信息系统及相关资产进行漏洞扫描，检测相关操作系统、网络、安全设备、数据库、中间件等资产是否存在安全漏洞，并提供漏洞修复方案，协助相关运维单位进行漏洞修复，对修复后的漏洞进行复查等闭环处置，确保漏洞风险得到有效控制；

*.操作系统漏洞。至少包含*******、***、*****、****、*******、******等主流操作系统漏洞的发现识别，如版本漏洞、弱口令、协议缺陷、缓冲区溢出、远程命令执行等漏洞。

*.网络及设安全备漏洞。至少包含华为、思科、华三、天融信、绿盟、奇安信等主流网络、安全设备的漏洞识别，如版本漏洞、弱口令、开放服务漏洞、管理界面缺陷、拒绝服务攻击漏洞等。

*.数据库漏洞。至少包含******、***、*****等主流数据库的安全漏洞识别，如版本漏洞、弱口令、访问权限漏洞、拒绝服务攻击漏洞、配置缺陷漏洞等。

*.中间件漏洞。至少包含******、*********、******、***等中间件的漏洞识别，如缓冲区溢出漏洞、命令执行漏洞、服务认证漏洞、管理界面漏洞、权限提升漏洞等。

（三）***渗透测试

由渗透测试人员对信息系统进行渗透测试，发现信息系统中存在的安全漏洞。为确保渗透测试全面性，测试须涵盖如下内容：

*.信息泄露风险。主要测试目标系统是否存在信息泄露类漏洞，包括但不限于网站目录，敏感文件，备份文件，个人信息等；

*.信息猜解风险。主要测试目标系统中认证账号相关的内容，如弱口令，空口令等；

*.网络传输风险。主要测试系统在认证过程中所涉及的重要信息，如用户名密码信息、交易信息、个人信息、会话信息在传输过程中是否存在泄露风险；

*.认证功能缺陷。主要测试目标系统认证功能是否存在缺陷，是否存在如认证绕过、认证校验不严格、会话固定等风险；

*.业务逻辑缺陷。主要测试目标系统业务逻辑是否存在缺陷，是否存在如业务流程跳跃、越权查询、越权修改等缺陷；

*.防护功能失效。主要测试目标系统自带安全防护功能是否存在缺陷，如账号锁定机制是否完善、验证码能否被绕过、验证码是否可爆破、短信炸弹等；

*.权限设置缺陷。主要测试目标系统是否存在越权访问问题、跨域访问问题、跨请求访问、会话遍历等问题；

*.数据验证缺陷。主要测试目标系统在数据验证环节是否存在缺陷，如***注入漏洞、跨站脚本攻击漏洞、命令注入漏洞、任意文件上传漏洞、反序列化漏洞等。

（四）流量分析

检查期间通过流量分析设备对被检查单位进行流量分析，检查网络中的***、挖矿、勒索、恶意外联、木马病毒、等行为。

*.***风险检测。通过监测工具发现潜在的***攻击行为，包括加密的攻击流量、隐蔽隧道、恶意文件等。

*.挖矿行为检测。检测网络中存在的挖矿通信协议、矿池通信行为等风险。

*.勒索风险检测。检测********勒索及变种家族活动，发现勒索病毒的下载行为，以及各类恶意勒索软件传输和通信风险。

*.敏感数据泄露风险检测。发现网络中敏感数据（如姓名、身份证号、密码登）的相关数据泄露风险。

（五）网络安全管理

针对网络安全管理责任落实情况、网络安全管理制度建立情况、设施安全运行情况、网络安全事件应急响应情况、网络安全评估落实情况进行检查。

*.组织管理。制定相关文件，明确直接责任人和网络安全管理部门。网络安全管理制度、岗位网络安全责任制度。

*.人员管理。计算机使用和管理人员签订网络安全与保密协议情况、管理人员与工作人员熟知信息系统情况、人员离岗离职网络安全管理规定落实情况、外部人员访问机房等重要区域管理情况、查处网络安全责任事故情况。

*.等级保护。信息系统安全保护等级情况。处置网信、公安及其他部门通报的漏洞隐患情况。

*.资产管理。纳入信息中心统一运维情况、建立信息资产管理制度情况、建立信息资产台账情况、设备维修维护和报废管理制度落实情况。

*.网络安全经费保障、采购管理情况。

*.应急管理。网络安全事件应急预案编制及演练情况、应急预案宣贯培训情况、应急支撑队伍情况、重要数据和业务系统备份情况、网络安全应急物资保障情况。

*.培训教育。网络安全教育开展情况、专业技能培训开展情况、网络安全检查考核制度落实情况。

*.供应链管理。供应链安全管理制度落实情况、网络安全责任划分情况、外包开发的系统、软件上线前安全测评情况。

（六）总结复测

每个系统检查包括设备安全配置核查、安全漏洞检测、***渗透测试、流量分析，每个系统均形成检查报告，并根据被检查单位整改情况组织复测。

采用的服务工具，须确保工具自主可控。

★（七）人员要求

结合项目需求成立项目组，成员不得少于*人。

五、商务要求

★*、合同履行期限：****年**月**日前完成

★*、履约地点：沈阳市行政区域内采购人指定地点

★*、付款方式：合同签订生效后，支付合同价款**%；提交成果文件，项目验收合格后，支付合同价款**%。

★*、验收标准：执行相关规定。

验收程序：由采购人进行验收。

验收报告：由采购人出具。

组织验收主体：本项目的履约验收工作由采购人依法组织实施。

★*、安全及保密需求：成交供应商需与采购人签订保密协议，必须同意并遵守采购人的安全保密规章，服务人员在提供服务期间保证对可能直接或间接的接触到的所有机密材料、文件及工作程序予以严格保密，不得擅自直接或间接使用或向任何第三方泄漏保密信息。违约责任：如果成交供应商无法完成服务内容或无法提交成果文件，将视为恶意终止合同，采购人有权单方解除合同。给采购人造成损失的，成交供应商承担相应的履约赔偿责任。

★*、违约责任：如果成交供应商无法完成服务内容或无法提交成果文件，将视为恶意终止合同，采购人有权单方解除合同。给采购人造成损失的，成交供应商承担相应的履约赔偿责任。

*、投标人应结合本项目服务内容，制定服务方案，包括但不限于设备安全配置核查服务方案、安全漏洞检测服务方案、*** 渗透测试服务方案、流量分析服务方案、网络安全管理服务方案等几方面。