福州市社会保险技术服务保障中心关于福州市人社网络安全运维服务项目估价征询的公告

序号

服务

分类

服务内容

服务频率

1

安全检测服务

1、年度检测服务：每年提供对局本级及直属单位网络数据安全自查的技术协助服务。

1次/年

2

2、平时检测服务：每季度到现场对局本级及直属单位信息系统开展扫描检测和渗透测试服务，发现系统（略），提供安全加固建议，协助完（略），并对整改（略）。根据网络安全工作实际需求，可临时增加上述检测服务。

不少于4次/年

3

3、网站安全（略）：对局本级及直属单位互联网应用开展7*24小时实时开展可用性监测、敏感内容监测、网站挂马监测、网站钓鱼监测、网站域名监测等，部署主机防护软件，在发现安全事件后第一时间通过短信或电话形式进行通知。

全年

4

4、上线测试服务：针对（略），在功能上线前对信息系统进行全方位安全检测，以确保更新后的系统符合安全要求。每年开展预计10次新应用（接口）上线前安全检测服务，及1次系统代码审计服务。

上线测试预计10次/年。代码审计1次/年。

5

应急

演练

1、攻防演练组织和保障服务：协助完成覆盖局本级及直属单位的实战网络攻防演练，提供技术人员参与攻击方和防守方工作，攻击方和防守方按照演习约定分别对演习目标开展真实的攻击和阻断防护，并为攻防演习（略），用于演习成果提交、攻击过程行为审计、演习过程实时展示。演练结束后提供演练总结和预案优化的咨询服务。

1次/年

6

2、实战化应急演练服务：1）根据实际情况，并结合网络数据安全应急处置相关的政策要求，为局本级及直属单位统一提供1次网络安全与数据安全应急预案的咨询服务，预案包括不（略），必须包含移动应用、数据安全场景。2）提供技术力量协助不少于2个安全应急预案中场景的实战演练。

1次/年

7

安全

培训

1、邀请行业或监管专家为局本级及直属单位统一提供（略）

1次/年

8

2、网络数据安全技术培训服务：为局本级及直属单位统一提供1次信息系统运维人员网络数据安全技术培训。

1次/年

9

3、安全通报服务：提供最新的安全动态、技术和安全信息，包括实时安全漏洞通知、定期安全通告和安全知识库更新等。

全年不少于6期

10

等保合规性支持

1、等级保护环境及制度支撑服务：针对市人社服务器专区，结合单位实际情况和等保差距评估结果协助开（略）等保合规所需要的防火墙、入侵防御、安全审计（略）据安全制度汇编的编制与更新工作，包括咨询服务和专家评审服务，直至满足等级保护三级合规性要求。

1次/年

11

2、安全设备维保服务：做好**市社会保险技术服务保（略）检、系统升级、规则、特征库和插件升级、设备故障处理、提供应急备件以及日常的策略调整等。

1次/月

12

应急

响应

建立应急响应团队，提供7×24小时应急响应和处置服务，根据实际情况提供已发生安全事件的事中、事后的取证、分析及提供解决方案等工作；并配合现场检查及后续整改工作。

全年按需

13

重要时期保障

在重保期间根据需要对局本级及直属单位开展重要时期安全保障服务，基于已有的网站安全监测服务，提高（略），发送安全形势日报。按需安排人员开（略），如若发现异常情况，提供技术咨询、排查及溯源、舆情监控等服务。

全年按需

14

迎检

支撑

在外部检查期间，协助局本级及直属单位开展迎检工作，包括但不（略），不足之处立即整改；并配合现场检查及后续整改工作。

全年按需

15

信息系统防护

1、移动应用加固服务：针对指定的1个移动应用提供安全加固服务，内容包括：为IOS和安卓版本APP应用各提供1次安全性检测及安全加固服务，发现安全风险后提供整改建议。

1次/年

16

2、WEB应用安全防护服务：针对指定的1个信息系统提供Web应用攻击防护能力，通过多种机（略），利用防御技术能够有效的阻断攻击，保证Web应用合法流量的正常传输。同时，针对当前的热点问题，如SQL注入攻击、网页篡改、网页挂马等，通过匹配的方式对可能出现的攻击执行相应的处理，有效降低安全风险。

全年

17

数据

安全

1、针对指（略），通过“工具+人工”的方式提供数据资产梳理、数据暗资产分析、数据库脆弱性分析、数据安全风险评估服务，形成数据资产清单，及时发现数据安全隐患；根据业务需要，协助开展个人信息风险评估工作，评估个人信息处理活动的合法性、正当性和必要性；开展供应链安全梳理分析，识别关键环节和节点，评估可能存在的安全威胁和脆弱性。

1次/年

18

2、安全日志分析服务：根据**市社会保险技术服务保障中心每月需求，对系统与数据库日志情况进行审计分析，发现可能存在的（略），并每月输出日志与数据库审计报告。

1次/月