福州市社会保险技术服务保障中心关于福州市人社网络安全运维服务项目估价征询的公告

序号

服务

分类

服务内容

服务频率

1

安全检测服务

1、年度检测服务：每年提供对局本级及直属单位网络数据安全自查的技术协助服务。

1次/年

2

2、（略）：每季度到现场对局本级及直属单位信息系统开展扫描检测和渗透测试服务，发现系统本身存在的安全问题，提供安全加固建议，协助完成资（略），并对整（略）。根据网络安全工作实际需求，可临时（略）。

不少（略）

3

3、网（略）：对局本级及直属单位互联网应用开展7*24小时实时开展可用性监测、敏感内容监测、网站挂马监测、网站钓鱼监测、网站域名监测等，部署主机防护软件，在发现安全事件后第一时间通过短信或电话形式进行通知。

全年

4

4、（略）：针对局本级系统，在功能上线前对信息系统进行全方位安全检测，以确保更新后的系统符合安全要求。每年开展预计10次新应用（接口）上线前安全检测服务，及1次系统代码审计服务。

上线测试预计10次/年。代码审计1次/年。

5

应急

演练

1、攻防演练组织和保障服务：协助完成覆盖局本级及直属单位的实战网络攻防演练，提供技术人员（略），攻击方和防守方按照演习约定分别对演习目标开展真实的攻击和阻断防护，并为攻防演习过程提供统一网络**，用于演习成果提交、攻击过程行为审计、演习过程实时展示。演练结束后提供演练总结和预案优化的咨询服务。

1次/年

6

2、实战化应急演练服务：1）根据实际情况，并结合网络数据安全应急处置相关的政策要求，为局本级及直（略）案的咨询服务，预案包括不少于5个场景，必须包含移动（略）。2）提供技术力量协助不少于2个安全应急预案中场景的实战演练。

1次/年

7

安全

培训

1、邀请行业或监管专家为局本级及直属单位统一提供1次涉及政策、法律法规、系统、网络、数据等方面的网络数据安全培训。

1次/年

8

2、网（略）：为局本级及直属单位统一提（略）。

1次/年

9

3、安全通报服务：提供最新的安全动态、技术和安全信息，包括实时安全漏洞通知、定期安全通告和安全知识库更新等。

全年不少于6期

10

等保合规性支持

1、等级保护环境及制度支撑服务：针对市人社服务器专区，（略）安全加固和补齐安全短板工作，根据（略）审计、威胁监测等支撑设备。围绕一个中心三重防护协助完成**市人社网络安全与数据安全制度汇编的编制与更新工作，包括咨询服务和专家评审服务，直至满足等级保护三级合规性要求。

1次/年

11

2、安全设备维保服务：做好**市社会保险技术服务保障中心所管理安全设备的日常维护工作，包括有设备状态巡检、系统升级、规则、特征库和插件升级、设备故障处理、提供应急备件以及日常的策略调整等。

1次/月

12

应急

响应

建立应急响应团队，提供7×24小时应急响应和处置服务，根据实际情况提供已发生安全事件的事中、事后的取证、分析及提供解决方案等工作；并配合现场检查及后续整改工作。

全年按需

13

重要时期保障

在重保期间根据需要对局本级及直属单位开展重要时期安全保障服务，基于已有的网站安全监测服务，提高实时预警级别，发送安全形势日报。按需安排人员开展驻场保障工作，如若发现异常情况，提供技术咨询、排查及溯源、舆情监控等服务。

全年按需

14

迎检

支撑

在外部检查期间，协助局本级及直属单位开展迎检工作，包括但不限于协助梳理相关资料并根据文件要求进行自查，不足之处立即整改；并配合现场检查及后续整改工作。

全年按需

15

信息系统防护

1、移动应用加固服务：针对指定的1个移动应用提供安全加固服务，内容包括：为IOS和安卓版本APP（略）现安全风险（略）。

1次/年

16

2、WEB（略）：针对指定（略），通过多种机制的分析检测，利用防御技术能够有效的阻断攻击，保证Web应用合法流量的正常传输。同时，针对（略），如SQL注入攻击、网页篡改、网页挂马等，通过匹配的方式对可能出现的攻击执行相应的处理，有效降低安全风险。

全年

17

数据

安全

1、针对指定的2个信息系统，通过“工具+人工”的方式提供数据资产梳理、数据暗资产分析、数据库脆弱性分析、数据安全风险评估服务，形成数据资产清单，及时发现数据安全隐患；根据业务需要，协助开展个人信息风险评估工作，评估个人信息处理活动的合法性、正当性和必要性；开展供应链安全梳理分析，识别（略），评估可能存在的安全威胁和脆弱性。

1次/年

18

2、安全日志分析服务：根据**市社会保险技术服务保障中心每月需求，对系统与数据库日志情况进行审计分析，发现可能存在的安全隐患，并每月输出日志与数据库审计报告。

1次/月