1.3.1

招标范围

信息安全风险评估、信息安全加固、工控安全评估、重保驻场服务、 (略) 络安全运维服务、应急响应、溯源取证、信息安全咨询服务、小型攻防演练、 (略) 系统众测、 (略) 资产测绘、 (略) 敏感信息泄露监测、供应链安全检测、代码审计、移动APP安全测试

序号

服务项

服务内容

1

信息安全风险评估

基于信息系统现状，参照《GB/T *-2022 信息安全技术 信息安全风险评估方法》，从资产、威胁、脆弱性和安全措施等方面进行评估，全面分析系统面临的信息安全风险。

1、在资产识别中，基于业务的范围和边界，分析对业务资产、系统资产、系统组件和单元资产进行识别与分析赋值。业务成为风险评估的最高管控对象。

2、在威胁识别中，从威胁的来源、主体、动机等角度出发，根据威胁的行为能力和频率，结合威胁的不同时机进行识别和分析。

3、在已有安全措施分析中，将安全措施进行保护性和预防性的分类，结合威胁对已有安全措施的有效性进行分析。

4、在脆弱性识别中，从管理和技术两个角度出发，对脆弱性被威胁利用的难易程度以及脆弱性被利用后对资产造成的损失进行分析。

5、在风险分析与评价中，依据风险计算模型对单个资产的风险进行风险值的计算与等级划分，并按照一定的规则，从资产的风险现状推断出业务的风险情况。

2

信息安全加固

针对风险评估、渗透测试、漏洞扫描发现的安全风险，对主机系统、网络设备、安全设备、数据库系统、应用系统提供可落地的安全加固方案，并协助进行全面加固，加固完成后进行全面复测，确保安全加固有效性，信息安全加固内容包含但不限于以下5个内容：

1.主机系统安全加固和优化；

2.网络设备安全加固和优化；

3.安全设备安全加固和优化；

4.数据库系统安全加固和优化；

5.应用系统安全加固和优化。

3

工控安全评估

服务提供方应以工控相关的国家标准及行业安全规范为依据，针对我方工业控制系统进行安全检查和风险评估，及时发现安全隐患，并提供针对性的整改建议，服务内容包括但不限于：

1.端口扫描：通过端口的扫描，识别工控区域开放的端口，判断开启的服务有哪些；

2.漏洞检测：通过漏洞扫描，发现扫描范围内设备漏洞具体信息，并根据系统存在的漏洞，提供漏洞修复建议；

3.评估管理：协助我方构建适应我企业的工控安全评估管理方法，使得我方能够清晰的了解整个工业安全评估流程。

4

重保驻场服务

为确保在重保期间业务系统持续、稳定的运行，需提供重保期间7*24现场值守服务。通过对信息安全运行状态检测，对*方安全设备及安全监测系统的策略调优、每天对安全设备日志信息和安全监测系统告警信息进行深入分析，及时发现安全威胁，并进行验证、处置及报告，每日提供《信息安全日报》和单次重保活动信息安全总结（电子版），工作内容包含但不限于以下：

1.网络设备运行状态进行每日的巡检

主要针对以下内容进行每日巡检：

?防火墙、WAF、 (略) 络安全设施日常运行状态检查，对检出的安全风险问题人工核查。（检查设备是否正常登*和运行； (略) 络接口流量、电源、CPU内存、磁盘是否运行正常；是否存在不正常的告警日志等）

? (略) 中毒主机、木马外联、恶意文件、高危操作日志等告警事件发现及时进行上报。

?通过对每日的巡检及安全设备日志分析， (略) 络攻击、发现潜在风险、及时进行策略调整和优化等。

2.应急响应工作

发生安全事件，协助运行维护中心分析事件可能的原因。

3.协助排查处理安全问题

现场根据运行维护中心需要，协助运行维护中心排查和解决问题。

5

(略) 络安全运维服务

网络安全运行与维护是确保信息系统正常运行的必要环节，服务方应协助完成日常操作管理和控制、变更管理和控制、安全状态监控、安全事件处理和应急预案、安全评估和持续改进、监督检查等工作。工作时间为国家法定工作日，每日8小时，服务内容包括但不限于：

1.安全监控服务

2.安全巡检服务

服务工程师通过对现场运营环境或设备的运行状态进行检查，查看工作是否正常，如果不正常将根据故障处理流程进行故障分析、处理，或启动应急流程等，并形成日常工作记录。安全巡检的内容包括：

?机房环境巡检

?网络设备状态巡检

?安全设备状态巡检

?应用系统状态巡检

6

应急响应

当我方的关键业务或运营系统遇到突发的安全问题，无法及时对该事件进行处理或解决时，服务方应在收到我方应急响应服务告警信息后，派遣安全专家赶到现场，协助我方系统管理人员查明安全事件原因，确定安全事件的威胁和破坏的严重程度，并根据对事件的分析及原因提供相应的解决方案。安全事件包括但不限于：

1.数据库内部误操作；

2.防火墙攻击安全事件；

3.入侵系统攻击安全事件；

4.拒绝服务攻击安全事件；

5.网站页面篡改安全事件；

6.病毒与木马攻击安全事件；

7.勒索病毒攻击安全事件；

7

溯源取证

对我方 (略) 络安全事件，服务方应结合应急响应的溯源分析结果，将溯源结果固定为具有法律效力的“证据”。同时作为应急响应工作的最后一环，服务方应从事件研判、分析溯源、证据固定、事件处置等环节为我方提供完整的安全事件响应机制。服务内容包括但不限于：

1.安全事件快速定位

服务方利用应急响应服务经验，协助我方 (略) 络安全事件，帮助我方快速恢复系统，降低安全事件带来的损失。

2.分析事件发生的原因

协助我方踪到事件的源头，找出安全事件的原因，从根本上防止此类安全事件再次发生。

3.协助客户留存证据

将溯源的过程及结果形成“证据”，为我方报案提供依据。

8

信息安全咨询服务

服务方在提供信息安全咨询服务时，应以我方现状分析和整体评估内容为依据，制定针对性的技术规划方案，协助推进落地，提升公司整体信息安全能力。咨询服务范围包括但不限于：

1.安全测试/渗透测试技术咨询

包含常见工具使用、测试方法论、测试流程、测试管理、漏洞生命周期管理等咨询服务。

2.安全开发、安全编码咨询

包含开发安全意识、安全编码、安全设计以及安全运维等咨询服务。

3.SDL体系构建咨询

企业SDL构建和实施咨询，包含安全意识、风险建模、源代码审计、源代码控制系统、测试覆盖率、bug追踪、安全测试构建与持续集成以及应用程序漏洞生命周期管理解决方案等内容。

4.最新漏洞详情及修复咨询

最新漏洞详情、利用原理、利用代码工具以及修复方法等咨询。

5.常见安全漏洞原理及修复方案咨询

包含常见的漏洞原理、技术影响评估、业务影响评估、以及修复方案咨询。

6.应急响应咨询

包含应急体系构建、应急响应处理流程、 (略) 的构建与运营、应急演练等咨询服务。

7、安全体系设计

如安全管理体系、技防体系、安全专项体系设计，如数据安全、供应链安全

9

小型攻防演练

服务方提供的攻防演练服务应以安全管理为核心，在有针对性防御的情况下，对我方固定资产进行模拟实战演练，寻找我方资产的实际风险，同事提升我方安全人员应急响 (略) 络安全防御技能。服务内容包括：

1.组织专业队*对我方提供的模拟/真实环境进行漏洞的挖掘及利用；

2.安全专家负责项目演台上发布依 (略) 提 (略) 地址范围组织 (略) 众测活动。按照中国电建的计划要求， (略) 发布众测任务，组织多名白帽子形成专题工作小组，在限定时间内完成相应范围的漏洞挖掘工作。每次任务的具体测试范围以实际下达的目标地址清单为准。
2、目标工作范围预计包括所有 (略) (略) 络资产及信息系统，包括 (略) 络、系统、应用、业务流程等层面，涉及测试内容包括但不限于：工具信息收集、应用系统（含客户端）渗透、 (略) 络组件渗透、主机操作系统渗透、数据库渗透、网络设备渗透等。
3、中标商在服务期内，需组织 (略) 安全众测活动，每次挖掘的漏洞数以具体任务商议为准，最终漏洞风险的确认以招标人确认为准。具体时间进度和交付结果要求随中国电建的各项工作安排灵活调整，以实际为准。

7、4、平台支持多租户及分级管理，可灵活开设分级管理员账号，便于电建个 (略) 有关功能。

5、中标商须对众测人员测试行为及结果进行完整的记录审计，并保留至少1年可供招标人回调查阅，确保众测人员规范操作。

B类方式 (略) 并提供 (略) 众测服务：
1、供应商为中国电 (略) ，实现白帽人员接入、漏洞提交审核、白帽互动及争议沟通、测试项目建设及审核、漏洞全生命周期管理、安全测试行为录屏与审计等功能， (略) 功能前后台分离，有效保障自身安全性。
2、供应商 (略) 运营方案， (略) 的日常运营工作，并通过一系 (略) 白帽黏性， (略) 竞争力，协助集团建立可信高效的白帽安全众测生态体系，持续为中国电建发现各类威胁漏洞。
3、供应商依 (略) 提 (略) 地址范围组织协助 (略) 众测活动。按照中国电建的计划要求， (略) 上发布众测任务，组织多名白帽子形成专题工作小组，在限定时间内完成相应范围的漏洞挖掘工作。每次任务的具体测试范围以实际下达的目标地址清单为准。
4、目标工作范围预计包括所有 (略) (略) 络资产及信息系统，包括 (略) 络、系统、应用、业务流程等层面，涉及测试内容包括但不限于：工具信息收集、应用系统（含客户端）渗透、 (略) 络组件渗透、主机操作系统渗透、数据库渗透、网络设备渗透等。
5、中标商在服务期内，需协助组织 (略) 安全众测活动，每次挖掘的漏洞数以具体任务商议为准。具体时间进度和交付结果要求随中国电建的各项工作安排灵活调整，以实际为准。

6、平台支持多租户及分级管理，可灵活开设分级管理员账号，便于电建个 (略) 有关功能。

11

(略) 资产测 (略) 敏感信息泄露监测

(略) (略) (略) 络空间资源测绘。以攻击者视角持续探测资产风险，时刻洞察资产动态，掌握安全防护薄弱点，提供补偿性解决方案，帮助快速收敛攻击面。
1、 (略) 络扫描、搜索引擎、 (略) 基础数据引擎主 (略) (略) 上暴露的资产，可以形成明确的资产清单。帮助用户发现自己的未知资产，提前暴露出安全隐患。
2、使用域名爬虫技术，有 (略) 相关对外开放的域名，形成域名资产数据，利用各漏扫节点能进行全球扫描，能识别绝大多数主流软硬件产品，准确对资产进行归类，形成数据价值。

供应商应提 (略) 敏感信息泄露监测包括：
1、联网敏感信息排查及处置。通过搜索引擎，查询暴 (略) 中的敏感信息，查询相 (略) 资产，接口清单，开放的端口及服务等；利用技术手段， (略) 盘、 (略) 、 (略) 站、 (略) 等存在的可用于针对行方发起攻击的敏感信息，推动敏感信息删除；协助阻止相关敏感信息的扩散。
3、能 (略) ，收录与用户相关的代码,识别泄露风险。
4、能 (略) 盘、 (略) 。5、能 (略) 相关 (略) 、对外 (略) 站进行7*24小时敏感词监测，发现具体敏感信息，含敏感信息的 URL 列表及详情，可自定义敏感词词库，短信、邮件、微信等多维度告警通知。
6、供应商能提供相关服务及时帮助用户发 (略) 流传的敏感文件，能够发现中国电建相关失陷的敏感资产。

12

供应链安全检测

供应链安全检测服务包括但不限于：
1、 (略) 开展关于供应链安全的检测服务。

2、提供供应链合规专项检查、代码黑/灰盒安全检测、开源组件检测、软件安全性深度测试、渗透测试、上线前安全检测、敏感信息泄露情报及蓝队（攻击队）评估等一系列服务，协助中国电建提高合规检查、安全开发、安全测试及安全运营的一体化检测能力。
3、协助中国电建制定供应链顶层设计，完善供应链安全管理的总体方针和安全策略，建立供应链安全管理制度和程序。
4、其他突发的供应链安全事件检测验证服务

13

代码审计

服务方从安全角度出发，参照GB/T *-2020 《信息安全技术 代码安全审计规范》等标准，通过人工和自动化工具结合的方式对我方提供应用系统的源代码进行全面的分析与测试，充分挖掘代码中存在的缺陷与隐患，服务内容包括：

1.业务系统上线前、代码发生重大变更时的代码安全审计

2.提供安全编码咨询、开源组件风险治理的相关建议。

3.支持Java、Python、.net、php、jsp等编程语言。

4.提供专业的代码审计报告，提供修复建议和修复后的复查验证。

14

移动APP安全测试

服务方参照国内外主流技术标准与规范，对我方提供的移动应用APP客户端、服务端开展分析和测试，最大限度发现我方移动应用中存在的技术和业务层面的安全问题，并指导开发人员进行安全问题修复，保障移动应用安全、稳定、可靠、持续运行，服务内容包括：

1.通过反编译、动态分析等方式对移动应用系统安卓、IOS客户端、服务端进行安全评估。

2.提供专业的安全测评报告，提供修复建议和修复后的复查验证。

3.提供移动APP安全开发的咨询建议。

序号

服务名称

内容

单位

单价（元）

数量

总价（元）

备注

1

(略) 络安全运维服务（高级）

1年

1

(略) 安专业工作经验

2

小型攻防演练

1次

1

每次一周（7个日历日）

3

大型系统代码审计
（系统代码行数大于*条）

每系统

1

以等保备案为颗粒度划分每系统

4

中型系统代码审计

（系统代码行数大于*条，小于*条）

每系统

1

以等保备案为颗粒度划分每系统

5

小型系统代码审计

（系统代码行数小于*条）

每系统

1

以等保备案为颗粒度划分每系统

6

移动APP安卓客户端安全测试

每系统

1

7

移动APP IOS客户端安全测试

每系统

1

8

移动APP服务端安全测试

每系统

1

1.3.1

招标范围

信息安全风险评估、信息安全加固、工控安全评估、重保驻场服务、 (略) 络安全运维服务、应急响应、溯源取证、信息安全咨询服务、小型攻防演练、 (略) 系统众测、 (略) 资产测绘、 (略) 敏感信息泄露监测、供应链安全检测、代码审计、移动APP安全测试

序号

服务项

服务内容

1

信息安全风险评估

基于信息系统现状，参照《GB/T *-2022 信息安全技术 信息安全风险评估方法》，从资产、威胁、脆弱性和安全措施等方面进行评估，全面分析系统面临的信息安全风险。

1、在资产识别中，基于业务的范围和边界，分析对业务资产、系统资产、系统组件和单元资产进行识别与分析赋值。业务成为风险评估的最高管控对象。

2、在威胁识别中，从威胁的来源、主体、动机等角度出发，根据威胁的行为能力和频率，结合威胁的不同时机进行识别和分析。

3、在已有安全措施分析中，将安全措施进行保护性和预防性的分类，结合威胁对已有安全措施的有效性进行分析。

4、在脆弱性识别中，从管理和技术两个角度出发，对脆弱性被威胁利用的难易程度以及脆弱性被利用后对资产造成的损失进行分析。

5、在风险分析与评价中，依据风险计算模型对单个资产的风险进行风险值的计算与等级划分，并按照一定的规则，从资产的风险现状推断出业务的风险情况。

2

信息安全加固

针对风险评估、渗透测试、漏洞扫描发现的安全风险，对主机系统、网络设备、安全设备、数据库系统、应用系统提供可落地的安全加固方案，并协助进行全面加固，加固完成后进行全面复测，确保安全加固有效性，信息安全加固内容包含但不限于以下5个内容：

1.主机系统安全加固和优化；

2.网络设备安全加固和优化；

3.安全设备安全加固和优化；

4.数据库系统安全加固和优化；

5.应用系统安全加固和优化。

3

工控安全评估

服务提供方应以工控相关的国家标准及行业安全规范为依据，针对我方工业控制系统进行安全检查和风险评估，及时发现安全隐患，并提供针对性的整改建议，服务内容包括但不限于：

1.端口扫描：通过端口的扫描，识别工控区域开放的端口，判断开启的服务有哪些；

2.漏洞检测：通过漏洞扫描，发现扫描范围内设备漏洞具体信息，并根据系统存在的漏洞，提供漏洞修复建议；

3.评估管理：协助我方构建适应我企业的工控安全评估管理方法，使得我方能够清晰的了解整个工业安全评估流程。

4

重保驻场服务

为确保在重保期间业务系统持续、稳定的运行，需提供重保期间7*24现场值守服务。通过对信息安全运行状态检测，对*方安全设备及安全监测系统的策略调优、每天对安全设备日志信息和安全监测系统告警信息进行深入分析，及时发现安全威胁，并进行验证、处置及报告，每日提供《信息安全日报》和单次重保活动信息安全总结（电子版），工作内容包含但不限于以下：

1.网络设备运行状态进行每日的巡检

主要针对以下内容进行每日巡检：

?防火墙、WAF、 (略) 络安全设施日常运行状态检查，对检出的安全风险问题人工核查。（检查设备是否正常登*和运行； (略) 络接口流量、电源、CPU内存、磁盘是否运行正常；是否存在不正常的告警日志等）

? (略) 中毒主机、木马外联、恶意文件、高危操作日志等告警事件发现及时进行上报。

?通过对每日的巡检及安全设备日志分析， (略) 络攻击、发现潜在风险、及时进行策略调整和优化等。

2.应急响应工作

发生安全事件，协助运行维护中心分析事件可能的原因。

3.协助排查处理安全问题

现场根据运行维护中心需要，协助运行维护中心排查和解决问题。

5

(略) 络安全运维服务

网络安全运行与维护是确保信息系统正常运行的必要环节，服务方应协助完成日常操作管理和控制、变更管理和控制、安全状态监控、安全事件处理和应急预案、安全评估和持续改进、监督检查等工作。工作时间为国家法定工作日，每日8小时，服务内容包括但不限于：

1.安全监控服务

2.安全巡检服务

服务工程师通过对现场运营环境或设备的运行状态进行检查，查看工作是否正常，如果不正常将根据故障处理流程进行故障分析、处理，或启动应急流程等，并形成日常工作记录。安全巡检的内容包括：

?机房环境巡检

?网络设备状态巡检

?安全设备状态巡检

?应用系统状态巡检

6

应急响应

当我方的关键业务或运营系统遇到突发的安全问题，无法及时对该事件进行处理或解决时，服务方应在收到我方应急响应服务告警信息后，派遣安全专家赶到现场，协助我方系统管理人员查明安全事件原因，确定安全事件的威胁和破坏的严重程度，并根据对事件的分析及原因提供相应的解决方案。安全事件包括但不限于：

1.数据库内部误操作；

2.防火墙攻击安全事件；

3.入侵系统攻击安全事件；

4.拒绝服务攻击安全事件；

5.网站页面篡改安全事件；

6.病毒与木马攻击安全事件；

7.勒索病毒攻击安全事件；

7

溯源取证

对我方 (略) 络安全事件，服务方应结合应急响应的溯源分析结果，将溯源结果固定为具有法律效力的“证据”。同时作为应急响应工作的最后一环，服务方应从事件研判、分析溯源、证据固定、事件处置等环节为我方提供完整的安全事件响应机制。服务内容包括但不限于：

1.安全事件快速定位

服务方利用应急响应服务经验，协助我方 (略) 络安全事件，帮助我方快速恢复系统，降低安全事件带来的损失。

2.分析事件发生的原因

协助我方踪到事件的源头，找出安全事件的原因，从根本上防止此类安全事件再次发生。

3.协助客户留存证据

将溯源的过程及结果形成“证据”，为我方报案提供依据。

8

信息安全咨询服务

服务方在提供信息安全咨询服务时，应以我方现状分析和整体评估内容为依据，制定针对性的技术规划方案，协助推进落地，提升公司整体信息安全能力。咨询服务范围包括但不限于：

1.安全测试/渗透测试技术咨询

包含常见工具使用、测试方法论、测试流程、测试管理、漏洞生命周期管理等咨询服务。

2.安全开发、安全编码咨询

包含开发安全意识、安全编码、安全设计以及安全运维等咨询服务。

3.SDL体系构建咨询

企业SDL构建和实施咨询，包含安全意识、风险建模、源代码审计、源代码控制系统、测试覆盖率、bug追踪、安全测试构建与持续集成以及应用程序漏洞生命周期管理解决方案等内容。

4.最新漏洞详情及修复咨询

最新漏洞详情、利用原理、利用代码工具以及修复方法等咨询。

5.常见安全漏洞原理及修复方案咨询

包含常见的漏洞原理、技术影响评估、业务影响评估、以及修复方案咨询。

6.应急响应咨询

包含应急体系构建、应急响应处理流程、 (略) 的构建与运营、应急演练等咨询服务。

7、安全体系设计

如安全管理体系、技防体系、安全专项体系设计，如数据安全、供应链安全

9

小型攻防演练

服务方提供的攻防演练服务应以安全管理为核心，在有针对性防御的情况下，对我方固定资产进行模拟实战演练，寻找我方资产的实际风险，同事提升我方安全人员应急响 (略) 络安全防御技能。服务内容包括：

1.组织专业队*对我方提供的模拟/真实环境进行漏洞的挖掘及利用；

2.安全专家负责项目演台上发布依 (略) 提 (略) 地址范围组织 (略) 众测活动。按照中国电建的计划要求， (略) 发布众测任务，组织多名白帽子形成专题工作小组，在限定时间内完成相应范围的漏洞挖掘工作。每次任务的具体测试范围以实际下达的目标地址清单为准。
2、目标工作范围预计包括所有 (略) (略) 络资产及信息系统，包括 (略) 络、系统、应用、业务流程等层面，涉及测试内容包括但不限于：工具信息收集、应用系统（含客户端）渗透、 (略) 络组件渗透、主机操作系统渗透、数据库渗透、网络设备渗透等。
3、中标商在服务期内，需组织 (略) 安全众测活动，每次挖掘的漏洞数以具体任务商议为准，最终漏洞风险的确认以招标人确认为准。具体时间进度和交付结果要求随中国电建的各项工作安排灵活调整，以实际为准。

7、4、平台支持多租户及分级管理，可灵活开设分级管理员账号，便于电建个 (略) 有关功能。

5、中标商须对众测人员测试行为及结果进行完整的记录审计，并保留至少1年可供招标人回调查阅，确保众测人员规范操作。

B类方式 (略) 并提供 (略) 众测服务：
1、供应商为中国电 (略) ，实现白帽人员接入、漏洞提交审核、白帽互动及争议沟通、测试项目建设及审核、漏洞全生命周期管理、安全测试行为录屏与审计等功能， (略) 功能前后台分离，有效保障自身安全性。
2、供应商 (略) 运营方案， (略) 的日常运营工作，并通过一系 (略) 白帽黏性， (略) 竞争力，协助集团建立可信高效的白帽安全众测生态体系，持续为中国电建发现各类威胁漏洞。
3、供应商依 (略) 提 (略) 地址范围组织协助 (略) 众测活动。按照中国电建的计划要求， (略) 上发布众测任务，组织多名白帽子形成专题工作小组，在限定时间内完成相应范围的漏洞挖掘工作。每次任务的具体测试范围以实际下达的目标地址清单为准。
4、目标工作范围预计包括所有 (略) (略) 络资产及信息系统，包括 (略) 络、系统、应用、业务流程等层面，涉及测试内容包括但不限于：工具信息收集、应用系统（含客户端）渗透、 (略) 络组件渗透、主机操作系统渗透、数据库渗透、网络设备渗透等。
5、中标商在服务期内，需协助组织 (略) 安全众测活动，每次挖掘的漏洞数以具体任务商议为准。具体时间进度和交付结果要求随中国电建的各项工作安排灵活调整，以实际为准。

6、平台支持多租户及分级管理，可灵活开设分级管理员账号，便于电建个 (略) 有关功能。

11

(略) 资产测 (略) 敏感信息泄露监测

(略) (略) (略) 络空间资源测绘。以攻击者视角持续探测资产风险，时刻洞察资产动态，掌握安全防护薄弱点，提供补偿性解决方案，帮助快速收敛攻击面。
1、 (略) 络扫描、搜索引擎、 (略) 基础数据引擎主 (略) (略) 上暴露的资产，可以形成明确的资产清单。帮助用户发现自己的未知资产，提前暴露出安全隐患。
2、使用域名爬虫技术，有 (略) 相关对外开放的域名，形成域名资产数据，利用各漏扫节点能进行全球扫描，能识别绝大多数主流软硬件产品，准确对资产进行归类，形成数据价值。

供应商应提 (略) 敏感信息泄露监测包括：
1、联网敏感信息排查及处置。通过搜索引擎，查询暴 (略) 中的敏感信息，查询相 (略) 资产，接口清单，开放的端口及服务等；利用技术手段， (略) 盘、 (略) 、 (略) 站、 (略) 等存在的可用于针对行方发起攻击的敏感信息，推动敏感信息删除；协助阻止相关敏感信息的扩散。
3、能 (略) ，收录与用户相关的代码,识别泄露风险。
4、能 (略) 盘、 (略) 。5、能 (略) 相关 (略) 、对外 (略) 站进行7*24小时敏感词监测，发现具体敏感信息，含敏感信息的 URL 列表及详情，可自定义敏感词词库，短信、邮件、微信等多维度告警通知。
6、供应商能提供相关服务及时帮助用户发 (略) 流传的敏感文件，能够发现中国电建相关失陷的敏感资产。

12

供应链安全检测

供应链安全检测服务包括但不限于：
1、 (略) 开展关于供应链安全的检测服务。

2、提供供应链合规专项检查、代码黑/灰盒安全检测、开源组件检测、软件安全性深度测试、渗透测试、上线前安全检测、敏感信息泄露情报及蓝队（攻击队）评估等一系列服务，协助中国电建提高合规检查、安全开发、安全测试及安全运营的一体化检测能力。
3、协助中国电建制定供应链顶层设计，完善供应链安全管理的总体方针和安全策略，建立供应链安全管理制度和程序。
4、其他突发的供应链安全事件检测验证服务

13

代码审计

服务方从安全角度出发，参照GB/T *-2020 《信息安全技术 代码安全审计规范》等标准，通过人工和自动化工具结合的方式对我方提供应用系统的源代码进行全面的分析与测试，充分挖掘代码中存在的缺陷与隐患，服务内容包括：

1.业务系统上线前、代码发生重大变更时的代码安全审计

2.提供安全编码咨询、开源组件风险治理的相关建议。

3.支持Java、Python、.net、php、jsp等编程语言。

4.提供专业的代码审计报告，提供修复建议和修复后的复查验证。

14

移动APP安全测试

服务方参照国内外主流技术标准与规范，对我方提供的移动应用APP客户端、服务端开展分析和测试，最大限度发现我方移动应用中存在的技术和业务层面的安全问题，并指导开发人员进行安全问题修复，保障移动应用安全、稳定、可靠、持续运行，服务内容包括：

1.通过反编译、动态分析等方式对移动应用系统安卓、IOS客户端、服务端进行安全评估。

2.提供专业的安全测评报告，提供修复建议和修复后的复查验证。

3.提供移动APP安全开发的咨询建议。

序号

服务名称

内容

单位

单价（元）

数量

总价（元）

备注

1

(略) 络安全运维服务（高级）

1年

1

(略) 安专业工作经验

2

小型攻防演练

1次

1

每次一周（7个日历日）

3

大型系统代码审计
（系统代码行数大于*条）

每系统

1

以等保备案为颗粒度划分每系统

4

中型系统代码审计

（系统代码行数大于*条，小于*条）

每系统

1

以等保备案为颗粒度划分每系统

5

小型系统代码审计

（系统代码行数小于*条）

每系统

1

以等保备案为颗粒度划分每系统

6

移动APP安卓客户端安全测试

每系统

1

7

移动APP IOS客户端安全测试

每系统

1

8

移动APP服务端安全测试

每系统

1