一、安全咨询 安全咨询服务:根据驻马店市政务服务信息化建设和网络安全保护现状，参考国家和河南省相关法律法规、规章制度和技术规范，在当前安全信息安全策略与集成服务的基础上，对政务云网安全现状进行实地调研分析，修订和完善适用于本系统的安全管理体系，规划设计安全咨询方案、实施框架及细化方案，保证安全管理体系既能符合信息系统建设发展需要，同时又能够满足上级监管部门在信息安全管理工作方面的要求，不断完善本系统政务云网安全防护能力，保证核心业务系统安全稳定运行。 服务周期:1年 服务频率:7*24 二、风险管理 1、渗透测试：提供每季度1次的渗透测试服务，对驻马店政务云网关键业务系统进行渗透测试。通过利用渗透测试工具对特定业务系统的各类资源等进行非破坏性质的模拟黑客攻击，尝试入侵系统并获取系统信息，将入侵过程和技术细节产生进行报告，形成最终的渗透测试报告。安全渗透测试的主要内容至少包括：SQL 注入、XSS（跨站脚本）、CRLF 注入、目录遍历、文件包含、输入验证、认证、密码保护区域猜测、字典攻击、特定的错误页面检测、脆弱权限的目录、信息泄露、stuct2漏洞、Cookie欺骗、源代码泄露等。 服务周期:1年 服务频率:每季度1次 2、漏洞扫描：利用自动化漏洞发现工具加人工辅助认证对服务范围内的资产进行扫描，扫描对象包括且不仅限于驻马店市政务大数据中心政务服务云网业务系统资产，使用最新的漏洞库，在不影响应用系统正常运行的前提下，定期对指定的政务云网信息系统进行漏洞扫描，发现系统所存在的安全漏洞，并组织安全专家对发现的安全漏洞进行人工验证，根据检查和验证结果出具相应的扫描报告。 服务周期:1年 服务频率:每季度1次 三、运维应急 1、安全加固：根据等保测评整体评估测试结果、渗透测试检查结果、漏洞扫描结果，针对所发现的安全漏洞及安全风险，提出可操作性强、效果佳的整改建议，并协助客户完成安全整改。 服务周期:1年 服务频率:每季度1次 3、应急响应:发生安全事件时，启动应急响应，协助快速发现问题、解决问题，减小安全事件带来的影响。检测威胁来源、清除入侵痕迹、加固系统，防止发生二次风险。 服务周期:1年 服务频率:按需 四、资质要求 1、供应商认证要求： （1）具有质量管理体系认证（ISO9001），提供证书复印件，并加盖公章。 （2）具有中国网络安全审查技术与认证中心颁发的信息安全服务资质认证证书，提供证书复印件，并加盖公章。 2、供应商资质要求： 投标单位入选河南省网信系统网络安全工作支撑单位。（提供网站链接及截图，并加盖公章）。 3、供应商其他要求： 参与竞价供应商需勘察现场，并提出合理的服务方案，否则竞价无效。 4、人员资质要求 （1）项目经理具备中国网络安全审查技术与认证中心颁发的信息安全保障人员认证证书（风险管理专业级及以上），提供证书复印件，并加盖公章。 （2）组建安全服务实施团队，团队负责人具备工业和信息化部教育与考试中心颁发的高级网络信息安全工程师认证和CISP认证，本团队成员至少两人具备CISP认证。" 5、其它要求： 项目实施前须签署保密协议，并进行公安备案，拒绝签署或无法完成公安备案的一切后果由中标方承担。