安全服务 样本条款

安全服务. 否 10000（人 次/8 小时） 3,000,000.0000 3000000 60000 2

安全服务. 犬防服务项目 项

安全服务. 1. 派遣一名专业安全服务工程师，提供安全服务。服务为期2年2.人员能力要求： (1) 熟悉渗透测试、应急响应、漏洞验证等工作的步骤、方法、流程，熟练堂握各种渗透测试工具； (2) 熟悉CWAS P常规漏洞，能提供系统防护和加固修复意见； (3) 熟悉Web应用，掌握常见的Web漏洞入侵与防范方法或技巧(SQL注入、XSS跨站脚本、CSRF跨站伪 造请求、文件上传、文件包含、命令执行等); (4) 具备数据分析、数据挖掘和威胁情报收集能力；

安全服务. 实验室应参照《信息安全技术 云计算安全参考架构》（GB T 35279-2017）、《基于云计算的电子政务公共平台安全规范 第 3 部分：服务安全》（GB T 34080.3-2021）、《信息安全技术 政务信息共享 数据安全技术要求》（ GBT 39477-2020）及《基于云计算的电子政务公共平台管理规范第 3 部分：运行保障管理》（GB T 34077.3-2021）等要求建设。具备保障主机安全、数据安全、用户访问安全和系统运维安全等的完整方案。

安全服务. 季度安全检查服务 主机安全配置检 查 使用工具对windows、Linux、Unix 服务器系统进行安全配置扫 描，检查配置合规情况。

安全服务. 否 2（年） 3760000 租赁和商务服 务业 3760000 3760000 75200 4

安全服务. B1104 印刷和出版服务 B1105 餐饮服务 B1106 租赁服务

安全服务. 网络边界防护：提供网络边界防火墙服务，支撑 ACL 和安全策略，支撑地址转换（NAT 和 PAT）,具有虚拟防火墙功能；

安全服务. 按照投标人应标文件内容，从合同签订之日起开始安全服务相关内容实施，采购人每半年按比例支付安全服务项目款项金额（每期支付比例为安全服务项目款项总额除以MSS运营服务年限再除以2）。 采购人使用产品过程中，如出现一般故障，设备原厂商需在1小时内响应。如出现紧急故障无法判断直接原因时，且无法通过远程诊断排除故障的，原厂商或具备原厂商售后服务能力的工程师需在4小时内到达现场，协助采购人进行现场检查和故障排除，24小时内解决相关故障问题。若24小时内不能解决故障的，应提供同等配置、性能的备机，以确保采购人网络或系统正常运行。 投标人需在采购人遇到突发网络、信息或数据安全事件后采取专业的安全措施和行动，并对已经发生的安全事件进行监控、分析、协调、处理、保护资产等安全属性的工作，保障采购人的网络、信息或数据安全，尽可能的减少安全事件所带来的经济损失以及恶劣的社会负面影响。应急响应的服务内容包括但不限于：网站服务不可用事件、网页信息篡改事件、服务器/终端后门发现事件、病毒爆发事件、其它各类安全问题。 在本项目实施期间，如发现投标人没有按照应标文件提供安全设备及实施安全服务内容，采购人有权终止合同，履约保证金不予退还，并保留进一步追究相关法律责任权利。

安全服务. 1.1.2.4.4.1 资产梳理与风险评估 安全运营的前提是资产梳理，需要从攻击者视角有序开展城市大脑所辖信息资产（包括、操作系统、应用、网络及安全措施等）暴露面的边界测绘，开展“大体检”，摸清单位网络资产底数。 通过自动化的资产测绘机制，明确资产底数，在资产层面对城市大脑的安全运营工作进行细颗粒度的发现，及时发现网络中未知的资产，并将其纳入管理体系中。将资产精准定位到部门、定位到人，实现资产管理成体系化，辅助安全责任进行有效落实。节省大量资源和人力的投入，提高管理水平和效率。快速掌握自己单位在互联网的暴露面，提前知悉风险进一步对风险点进行安全加固。 通过标准化的服务流程、专业化的服务团队和先进的安全运营平台，以攻击者视角全面覆盖资产和暴露面，摸清资产家底，以资产为入口，从网络、主机、应用、终端、数据、物理、管理等七个方面进行全面的风险评估，结合安全运营支撑平台已有的知识库、案例库和业务场景提出安全解决方案，通过技术手段和管理手段指导开展有序安全加固，并持续跟踪风险的整改情况，实现安全风险的闭环管理，构建抵御网络攻击的多重防线。 根据安全自查要求，安服人员通过安全基线工具+人工检查方式，协助用户定期开展信息安全检查与自查，主要包括网络安全检查和数据安全两方面检查，检查主要涉及管理制度和技术保障方面的自查，特别针对“三高一弱”（高危漏洞、高危端口、违规外联及弱口令）及数据安全方面需重点检查，根据安全检查与自查结果，以便运维人员实施针对性的安全加固。