1

安全风险评估服务

1．漏洞扫描服务：对学校相关网站服务器、系统服务器、网络设备、安全设备等进行软件漏洞扫描，发现系统可能存在的各类安全风险，提供漏洞列表及漏洞修复建议等，同时协助学校进行漏洞修复整改。交付物：《漏洞扫描报告》。服务频率：1年4次。

漏扫服务工具要求：

（1）★支持检测的漏洞数大于320000条，兼容CVE、CNCVE、CNNVD、CNVD等主流标准，投标文件中提供证明截图。

（2）★支持对扫描出的漏洞提供取证性质的验证并输出报告，直观展示漏洞利用过程和危害性。支持漏洞验证扫描任务，包括系统漏洞验证扫描、Web漏洞验证扫描。投标文件中提供功能截图。

（3）★支持风险告警和风险闭环处理，可在集中告警平台灵活配置告警内容、告警方式、告警资产范围等，支持邮件和页面告警，支持单个或批量修改风险状态，投标文件中提供功能截图。

2．渗透测试服务：模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试，目的是侵入系统，获取系统控制权并将入侵的过程和细节产生报告给用户。交付物：《渗透测试报告》。服务频率：1年2次。

3．攻防演练服务：通过模拟攻击，识别系统、应用程序或网络中的安全漏洞，演练结束后出具攻防演练报告，包括发现的漏洞、攻击路径以及改进建议。交付物：《攻防演练方案》《攻防演练报告》。服务频率：1年1次。

1套

2

安全保障服务

1.重要时期网络安全保障服务：重要时期提供网络安全保障服务，服务内容包括监控网络、信息系统运行状态，及时反馈和处理各类故障问题，对于信息安全事件有效预警、上报、反馈，对各项监控值守服务工作形成记录报告，确保网络在这些关键时期能够稳定运行。交付物：《重保服务报告》。服务频率：按需提供。

2.应急响应服务：针对学校信息系统因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏，造成系统不能正常运行以及对于已经发现的有可能造成上述现象的安全隐患，如非授权访问、信息泄密、系统性能严重下降、蠕虫或大面积爆发病毒等情况，当出现安全事件时，需通过人工辅以工具的方式及时进行应急响应工作，具体内容包括：

（1）技术支持人员在2小时内到达现场；

（2）对入侵事件进行分析，评估影响范围，溯源分析，查找原因；

（3）抑制入侵事件的进一步发展，将事故的损害降低到最小化；

（4）排除安全隐患，消除安全威胁，协助恢复系统正常运作；

（5）提交应急响应报告及安全加固建议；

（6）提供安全专家团队远程协助进行应急响应处置工作。

交付物：《应急响应报告》。服务频率：按需提供。

3.安全驻点现场服务：对学校已有安全设备定期进行全面的安全巡检和分析，发现安全隐患和风险，提供整改建议。开展安全设备防护告警监测工作，分析安全事件，清晰、准确判断存在的安全风险，优化安全设备策略及规则。

交付物：《驻场运维台账》。服务频率：1年20天（每季度5天）。

1套

3

安全运营监测服务（远程）

利用学校已有的安全运营平台，对学校网络和信息系统进行持续监测和预警，有效的保障学校网络、信息系统等的安全运行。交付物：提供月报、季度报及年报。服务频率：合同期内7*8小时。

1套

4

服务要求

1.项目经理需具备注册信息安全专业人员证书（CISP）；

2.服务团队人员具备路由交换互联网络专家认证证书（不低于华为HCIE或华三H3CIE同等级别）。

3.投标人须和采购人签订保密协议，中标人应和参加此次测评项目的所有项目团队成员签订保密协议，在合同签订时一并提供给采购人。投标人对招标文件中的内容及在应标及后续服务全过程中接触、收集、处理的网络和各系统信息等数据负有保密责任，不得泄露给任何第三方。

1套

合计（大写）：肆万伍仟元整 小写：45000元

服务期：签订合同后服务一年。

付款方式及保证金：签订合同后先行支付合同款的30%，剩余合同款服务期满，验收合格后一次性支付；不需要保证金。

对供应商的资质要求：

1.投标供应商不得被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单；

2.具备中华人民共和国境内注册的独立法人资格，具有合法有效的营业执照；

3.不接受联合体投标；

4.投标供应商具有信息安全管理体系认证证书、信息技术服务管理体系认证证书、质量管理体系认证证书；

5.投标供应商具有中国网络安全审查技术与认证中心（CCRC）颁发的信息安全管理体系认证-网络安全审计证书、信息安全管理体系认证-风险评估证书、信息安全管理体系认证-应急处理证书；

6.投标供应商具有ITSS 信息技术服务运行维护标准符合性证书。