1.1

风险评估

服务内容：对中心业务系统、综合服务平台两个等保三级系统进行风险评估，评估内容包括物理安全评估、网络安全评估、主机安全评估、应用系统评估、数据安全评估、病毒木马检查、漏洞扫描等。通过每年全面的风险评估，持续对中心的安全建设、安全规划指引方向与提供依据，每次评估后，出具相应的风险评估报告和改进措施报告。

中心业务系统包括归集、提取、信贷、财务、稽核、绩效、领导决策、行政执法、电子档案、资金结算平台、监管平台、与各相关部门（人民银行、市政府、商业银行、担保公司、住建局、不动产中心、法院等）接口等部分。

综合服务平台包括网上业务大厅、微信、在线客服系统、人脸识别系统、支付宝查询接口、自助终端等渠道。

每年开展两次

三年

1.2

代码审计

服务内容：针对信息系统新增功能模块进行代码审计，采用专业审核工具和技术服务人员手工检查相结合，对信息系统新增功能模块 的源代码进行综合检查，以发现应用系统的安全漏洞，并对修复之后的漏洞以渗透测试方式进行安全确认，并形成《代码审计分析报告》。

每年不少于一次

三年

1.3

渗透测试服务

服务内容：在不影响中心业务正常运行的情况下，完全模拟黑客可能使用的攻击技术和漏洞发现技术，对中心业务系统、综合服务平台、政务云上系统和蓝信APP等互联网开放端口和接口安全状况开展深入的探测，以发现和挖掘系统中存在的漏洞。渗透测试工作以人工渗透为主，辅助以攻击工具的使用。每年对各子系统进行一次全面的测试，并根据甲方需求按时按需开展。服务后，提供具有针对性的情况评估和改进措施报告。

主要的渗透测试方法包括：信息收集、端口扫描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人攻击、web脚本渗透、B/S或C/S应用程序测试、社会工程等。针对所有渗透测试系统输出渗透测试报告描述其发现的问题并提供相应的解决方案。

每年开展二次

三年

1.4

脆弱性检测

服务内容：针对中心业务系统、综合服务平台重要资产（服务器、数据库、网络设备、安全设备等），服务提供商需利用自主研发的且具备自主知识产权的脆弱性检测工具进行脆弱性检测服务，每次服务后，提供具有针对性的情况评估和改进措施报告。

每年开展两次

三年

1.5

安全加固服务

服务内容：具体包括对中心业务系统、综合服务平台加固服务、服务器操作系统加固服务、数据库及中间件安全加固及数据库脱敏协助服务、虚拟化平台安全检查与加固服务、LED巡检加固服务、社工攻击模拟服务。每次服务后，提供具有针对性的安全评估和改进措施报告。

服务项：

1、中心业务系统、综合服务平台加固服务（包括但不限于以下内容：①系统配置整改；②系统补丁修复；③与各外联单位（包括人民银行、市政府、各商业银行、担保公司、住建局、不动产中心、法院等）对接的接口安全加固。

2、服务器操作系统加固服务（包括但不限于以下内容：①系统配置整改；②官方补丁修复；③系统账户口令、协议安全、认证权限、日志审计）。

3、数据库及中间件安全加固及数据库脱敏协助服务（包括但不限于以下内容：①用户远程登录限制；②登录失败的账号锁定策略；③数据库用户账号检查；④开启资源限制；⑤数据库账户口令加密存储；⑥数据库密码安全校验；⑦设置信任IP集；⑧超时的空闲远程连接自动断开）。

4、虚拟化平台安全检查与加固服务（包括但不限于以下内容：借助中心现有的虚拟化安全软件和其他各种平台或技术手段，对虚拟化平台东西、南北向流量进行有效防护，协助中心对虚拟化平台安全进行加固，提出可行的解决方案）。

5、LED巡检加固服务（包括但不限于以下内容：中心机关、铁路分中心和各管理部的各类LED屏模拟攻击，主要检测被无线攻击可能性）。

6、社工攻击模拟服务（主要针对中心机关、铁路分中心、各管理部网点柜台、自助终端、机房进行社工模拟攻击）。

每年至少开展一次

三年

1.6

数据库安全审计服务

服务内容：利用数据库审计系统，对中心核心数据库增、删、改、查操作进行安全审计，全面理解业务运作逻辑，掌握应用程序正常业务数据操作规律，识别异常数据操作动作，发现和挖掘非法操作数据库行为，保障数据安全。

全年365天

三年

1.7

网站监测预警服务

服务内容：对中心官方网站、网上业务大厅进行安全监测服务。监测网站存在的篡改、SQL 注入、XSS 跨站脚本攻击、非法访问、网站漏洞、网站挂马、网站钓鱼、网站可用性、网站敏感信息泄露等各种安全问题。

监测方式：服务提供商需利用自主研发的且具备自主知识产权的网站安全监测工具或监测平台，全年24小时不间断对网站及网站服务器监控，对发生安全攻击事件、安全漏洞时及时进行通告，有效解决因网站安全问题而造成的 损失，并对发生安全攻击事件时提供监控报告。

网站安全监控主要功能点如下：Web 应用业务防钓鱼监控、网页木马检测、页面篡改监测、网页敏感信息监测、恶意链接检测、网站可用性监测、域名监测（DNS）等。

全年365天7*24小时

三年

1.8

安全应急响应服务

服务内容：在中心发生确切的安全事件时，应急响应实施人员及时采取行动限制事件扩散和影响的范围，为中心提供一般安全事件应急响应服务，提供远程技术支持（电话、邮件、微信等即时通讯方式），提供紧急安全事件应急响应服务，提供3小时内达到中心现场。在限制潜在的损失与破坏服务基础上，实施人员协助客户检查所有受影响的系统，在准确判断安全事件原因的基础上，提出基于安全事件整体安全解决方案，排除系统安全风险并协助追查事件来源、提出解决方案、协助后续处置。

服务项：

1、远程技术支持（远程故障排查、远程协助日志分析、远程协助故障排除、远程协助系统恢复）

2、现场技术支持（现场安全事件排查、现场协助日志分析、现场协助故障排除、现场协助系统恢复）

根据甲方需求按需开展，每次服务后，提供具有针对性的应急响应报告和安全整改建议书。

三年

1.9

安全应急演练服务

服务内容：以实战化、可视化、专业级为原则，以不对实际目标系统进行破坏攻击为底线，以获取目标系统。通过开展应急演练，不断提高中心应急工作的水平和效率，发现预案的不足，进一步完善应急预案。常见安全应急演练场景有如下：DDoS攻击、蠕虫木马攻击、网页防篡改等。整个应急演练过程需提供应急演练场景模板、应急演练签到文件、应急演练脚本文件、应急演练记录文件、应急演练总结报告。

每年开展一次

三年

1.10

特殊时期安全保障服务

服务内容：在重大活动或迎检等特殊时期（包括国家、省、市范围内攻防演练、应急演练、安全检查、节假日、重大会议等）期间提供安全保障服务，以“事前准备、事中保障（值守、监控、应急、处置）、事后总结（复盘、提升）”的思路来保障中心的信息网络安全。

服务项：安全巡检、安全保障、夜间及节假日值守。

根据甲方需求按需开展

三年

1.11

安全培训服务

服务内容：定期举行网络安全培训，提供定制化的信息安全意识和安全实操培训服务。具体包括五部分内容：安全意识培训、安全管理与理念培训、网络及安全设备安全运维培训、操作系统及数据库安全运维培训、应用系统安全开发与运维培训。

1、安全意识培训、安全管理与理念培训面向中心机关及其下属11个管理部的相关业务人员开展，需抽派经验丰富的安服人员进行现场讲授。以现实中发生的真实案例为出发点，为中心提供生动、真实的安全意识培训，以提高中心员工在生活及工作信息安全防范意识。

2、网络及安全设备安全运维培训、操作系统及数据库安全运维培训、应用系统安全开发与运维培训主要面向科技信息处全体员工开展。

每年两次

三年

1.12

安全通告服务

服务内容：对于重大安全事件（高危系统漏洞、高危蠕虫病毒、恶劣入侵与攻击等）在 10分钟内通过邮件、电话、微信、短信等方式进行通告，同时提供事件类型、影响范围、如何解决（对于还没有彻底解决方法时，需提供临时解决方案）、如何预防等全方位详细情况通告。

全年365天

三年

1.13

安全体系建设

服务内容：结合国家、省、市信息安全法律法规，等级保护三级2.0标准和商用密码测评标准，根据中心信息安全建设需求，优化和完善现有的信息安全管理制度，并协助中心建设和完善信息安全组织管理体系。

制度内容包括但不限于：

1、单位机房安全管理制度

2、单位网络安全管理制度

3、单位系统运行维护管理制度

4、单位数据安全管理制度

5、单位固定资产管理制度

6、单位设备管理制度

7、单位便携式计算机及移动存储介质管理制度

8、单位用户登记管理制度

9、单位口令、密码管理制度

10、单位安全责任制度

11、单位信息审查、登记、保存、清除、备份制度

12、单位操作权限管理制度

13、单位安全教育培训制度

14、单位信息系统安全应急处置预案

15、单位信息安全组织机构

16、单位数据备份与恢复制度

17、单位密码应用安全管理制度

18、单位密码应用人员岗位管理制度

19、单位密码应用建设运行管理制度

20、单位密码应用应急处置方案

服务频次：安全体系建设根据甲方需求按需开展。

根据甲方需求按需开展

三年

1.14

培训及考试

CISP、CISP-DSG、CISD、CISSP、CDSP、CZTP、CCSK

根据甲方需求每年任选2个名额

三年

1

综合能力

1、掌握网络安全运维常见技术架构以及演进趋势；

2、具备安全隐患的排查分析能力；

3、具备良好的技术文档编写能力；

4、具备良好的沟通表达及团队合作能力。

2

专业知识

1、需熟练掌握安全运维相关技术指南及标准规范；

2、掌握常见操作系统及网络设备的操作命令；

3、熟悉常见安全漏洞的利用原理；

4、熟悉安全运维的安全监控、安全研判、风险处置、应急响应等的流程及方法。

3

技术技能

1、掌握常见的网络安全产品，如防火墙、WAF、VPN、IDS/IPS、堡垒机、病毒防护、日志审计等的运维操作；

2、掌握TCP/IP网络协议、OSI七层参考模型的原理和应用；

3、掌握常见应用程序和操作系统安全漏洞，如SQL注入、XSS、CSRF、LFI、RFI、溢出漏洞、提取漏洞等的检测与防护原理，并修复；

4、熟练操作Linux、Windows操作系统；

5、熟悉Oracle、MySQL等数据库语言的使用；

6、熟悉静态路由、策略路由、BGP、VLAN、NAT、ACL、SNMP等协议底层工作原理；

7、熟悉常用网络监控。

4

工程实践

1、具备较强的网络安全监测、事件研判、风险处置、应急响应、溯源分析、漏洞复核等能力。

2、具备较强的网络安全保障支撑能力，具有相应网络安全重大保障研判、溯源、应急等经验。

3、具备安全策略优化服务、安全事件告警监控服务、安全审计日志分析服务、配置及备份更新服务、安全事件实施通报服务、Web失陷检测服务、全流量风险分析服务的能力。

服务质量考核分数

服务质量付款系数

90分以上（含90分）

0.9

80-89分

0.85

60-79

0.8

59分以下（含59分）

0.7

服务评价等级

服务评价付款系数

满意（80分以上（含80分））

0.1

一般（60-79分）

0.05

不满意（59分以下（含59分））

0

考核时间

第一次

第二次

考核结果

服务质量

85分

75分

服务评价

满意

一般

付款系数

服务质量

0.85

0.8

服务评价

0.1

0.05

信息安全项目服务质量考核评分标准

考核评分内容

权重

实际得分

电话及远程应急支持响应情况

20

现场应急支持响应情况

20

故障处理恢复时间

20

工作计划完成情况

20

日常巡检情况

20

发生重大安全事故（1个扣10分）

驻场人员替换每人次扣10分

项目经理替换每人次扣10分

考核总分

意见和建议：

年月日

信息安全项目服务评价标准

项目名称

长沙住房公积金管理中心安全服务项目

供应商名称

供应商联系人

联系电话

项目服务周期

年 月 日— 年 月 日

考核评分内容

权重

实际得分

驻场人员考勤

30

服务质量

30

客户满意度

40

项目服务评价

□满意□一般□不满意

采购单位（公章）

年月日