一、项目基本情况
1.网络安全年度风险评估:依据国家标准《信息安全风险评估规范》等标准,为学校提供信息系统安全风险评估服务,通过风险评估识别安全风险,并确定风险控制的优先等级,协助学校将风险控制在可以接受的范围之内。 2.网络安全年度风险评估:资产识别,对学校业务资产、系统资产、系统组件和单元资产进行识别和分析赋值。 3.网络安全年度风险评估:资产脆弱性识别,对具体资产的脆弱性严重程度赋值,并从管理和技术两方面进行分析。 4.网络安全年度风险评估:依据风险计算模型对资产的风险进行风险值计算和等级划分,并按照信息安全技术标准,从信息资产整体出发,对学校的风险情况进行评估。 5.网络安全年度风险评估:投标人须提供网络安全年度风险评估工作方案,内容至少包括服务目标、服务流程、服务实施、服务工具、服务计划、输出物等,加盖公章。 6.网络安全年度风险评估:项目完成后形成网络安全风险年度评估报告,装订成册交付学校存档。 7.网络安全渗透测试服务:为学校提供3个信息系统的渗透测试服务,从信息系统外部发现信息系统对外所呈现出的安全脆弱性并验证这些安全脆弱性的真实存在性。 8.网络安全渗透测试服务:对学校指定网络、系统、主机、网站及应用系统的安全性,按照渗透测试规范和学校要求进行深入探测。要求使用人工渗透测试技术,最大限度挖掘SQL注入、开源组件漏洞、代码注入、越权、逻辑错误、存储型跨站脚本、中间件弱口令、使用扫描工具无法排查或挖掘的安全漏洞等。 9.网络安全渗透测试服务:从学校校园网外部和内部对目标网络、系统、主机、网站及应用系统,在应用和业务两种场景下,分别进行渗透测试。从技术、管理、业务逻辑的角度发现漏洞,充分挖掘数据泄露的途径。 10.网络安全渗透测试服务:测试内容包含但不限于:垃圾注册、短信轰炸、账户盗用、用户认证缺失、功能越权、平行越权、接口滥用等。 11.网络安全渗透测试服务:完成渗透测试之后,给出全面的渗透测试报告,给出存在的安全风险并提供对应的修复建议,并协助学校进行风险修复。 12.网络安全渗透测试服务:提供复测服务,核查整改情况,针对漏洞整改情况进行跟踪,使用人工渗透测试技术复测校方整改情况,形成复测报告,确保漏洞被封堵,供应商须提供上述服务承诺函并加盖公章。 13.网络安全渗透测试服务:供应商须按招标要求提供详细的渗透测试服务工作方案,内容至少包括服务目标、服务方式、服务流程、
