常见信息安全服务内容描述参考
服务名称内容简介单位
通过源代码检测工具进行自动化扫
描并获取到自动化检测结果；对自数
量
备注
代动化检测结果进行人工分析，对误
码审源代码安全审计
服务
报问题进行标注和过滤，整理源代
码安全审计报告。

将报告交付给用
次/年
不
限
按采购人实
际
需求
计户的研发人员，并给予相应的问题
修复建议和进行问题修复跟踪。

通
过重新检测验证问题修复情况。

实时短信和电话通知网站安全监测
的异常情况。

1.网站可用性状态监控，如：网站
访问速度异常、宕机或被非法破坏
网
站
安全监测▲网站安全监测云
服务
而不能提供访问服务等。

2.监测网站页面是否被篡改和被恢
复，是否发生安全事件（网页篡改、
网页挂马、网页暗链、网页敏感关
键字等检测），准确定位网页木马所
在的位置。

3.监测网站是否存在当前流行的
Web struts2应用漏
洞，如：框架漏
洞、注入、跨网站脚本攻击、
SQL
缓存溢出等，定位应用漏洞所
Web
在的位置。

实时
不
限
包括但不限
于
本次等保测
评
的信息系统
主流操作系统、数
据库、web服务安每月提供汇总安全通告。

次/年
安全问题通告
全通网络安全
问题通告
每月提供汇总安全通告。

次/年
不
限
邮件/电话形式
通告。

告
▲重大安全漏洞、
病毒木马预警对于影响范围大、破坏性高的安全
漏洞和病毒木马进行实时安全预警
通告。

次/年
根据实际需求，
应急响应7x24小时电话安
全咨询
▲7x24小时安全
事件紧急响应
全天候，主要提供安全技术类的建
议或者普通安全事件的远程沟通处
理。

全天候，严重安全事件2小时到达
现场，普通安全事件必要时到场。

次/年
次/年
不
限
不
限
通过电话或
邮
件等方式解
决
用户遇到的
安
全问题。

远程无法解决
的安全事件，包
每次提供相应的响应报告，找出根括协助做好安
源并提供可行解决方案。

全专项检查工
作，协助用户跟
进安全项目建
设等。

应包含演练计划编制、演练场景设计、
急演▲协助采购人开展
应急演练
演练场景测试、演练脚本编制、演
练培训、演练实施、应急预案、演
次/ 年 1
练练评估、提出完善建议等。

安全意识和防范培训有针对性地对考点和单位员工常见
的缺乏安全意识导致的安全事件和
如何防范进行培训。

1
具体培训课程
安
全培训信息技术工作人
员安全技能培训
包括主流操作系统安全方面，用户
安全、登录安全、文件安全；网络
实体安全；访问控制、防火墙、入
侵检测技术；数据泄露；信息加密
技术；恶意代码防范；数据库安全；
次/ 年
2
根据实际情
况
商议。

提供培训课
件
及培训记录
材
程序员安全代码编写等方面。

料
培训课件制作
根据用户要求制作 3 个安全培训课
件及相关试题。

3
漏洞扫描
每季度对全网进行一次漏洞扫描检
查，提供扫描报告和分析报告。

次/ 年 4
每季度利用各种主流攻击技术对客
渗透测试户授权指定的应用系统和网络设备
次/ 年 4
做模拟攻击测试。

每季度对客户现网中部署的安全设
安全设备配置检
查和日志分析
备进行有效的安全配置和日志分
析，找出设备存在的安全威胁，并
形成日志分析报告。

次/ 季 4
安全巡检核心服务器配置
检查和日志分析
每季度对用户核心服务器群的安全
配置和日志进行分析备份，指出用
户核心服务器群所存在的风险和问
题所在。

每季度对新拟上线的系统（含重大
次/ 季 4
▲新系统上线
安全检测
修改的系统）进行漏洞扫描及安全
配置检查，找出不合规的配置项，
形成报告并提供整改方案，通过安
全检测后系统方可上线使用。

次/ 年 4
每季度对现有的网络架构进行分
网络架构分析析，对存在的故障隐患点、不合理
次/ 年 4
节点等进行建议整改。

重大节假日和活动前安全巡检在重大节假日和活动前对全网进行
全面的安全检测。

次/ 年
不
限
根据实际情
况
协商。

根据每季度的系统安全巡检评估结评果，提供整改方案，指导用户对存
估加信息安全风险评
估和安全加固
在安全威胁的服务器、网络设备、
数据库、Web应用等进行安全加固，
次/ 年 4
固包括系统漏洞、配置、木马等威胁
加固。

制度制订协助制订完善用
户信息安全相关
的制度
按照等保标准和国家、省、市有关
电子政务信息安全制度，协助招标
单位制订符合本单位实际使用情况
的信息系统安全管理制度。

次/ 年 1
根据实际情
况
协商。