珠海市技師學(xué)院網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)采購(gòu)項(xiàng)目需求

1、珠海市技師學(xué)院網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)采購(gòu)項(xiàng)目需求一、項(xiàng)目背景珠海市技師學(xué)院（珠海市高級(jí)技工學(xué)校）為了貫徹落實(shí)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見、關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見和信息安全等級(jí)保護(hù)管理辦法的精神，依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求，落實(shí)安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心等技術(shù)安全保障措施;落實(shí)安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理的管理工作。保護(hù)珠海市技師學(xué)院的重要網(wǎng)絡(luò)系統(tǒng)的安全，特開展對(duì)珠海市技師學(xué)院系統(tǒng)的網(wǎng)絡(luò)安全測(cè)評(píng)工作。通過(guò)測(cè)評(píng)充分了解珠海市技師學(xué)院系統(tǒng)的網(wǎng)絡(luò)安全現(xiàn)狀、安全風(fēng)險(xiǎn)和需求，為珠海市技師學(xué)院的

2、網(wǎng)絡(luò)安全建設(shè)工作打下堅(jiān)實(shí)基礎(chǔ)。二、項(xiàng)目目的依據(jù)等級(jí)保護(hù)政策、標(biāo)準(zhǔn)、指南等文件要求，對(duì)保護(hù)對(duì)象進(jìn)行備案和定級(jí)，對(duì)不同的保護(hù)對(duì)象從物理環(huán)境防護(hù)、通信網(wǎng)絡(luò)防護(hù)、區(qū)域邊 計(jì)算環(huán)境防護(hù)等各方面進(jìn)行不同級(jí)別的的安全防護(hù)設(shè)計(jì)。同時(shí)統(tǒng)一的安全管理中心保障了安全管理措施和防護(hù)的有效協(xié)同及一體化管理，保障了安全技術(shù)措施有效運(yùn)行和落地。以等級(jí)保護(hù)安全框架為依據(jù)和參考，在滿足國(guó)家法律法規(guī)和標(biāo)準(zhǔn)體系的前提下通過(guò)“一中心、三防護(hù)”的安全設(shè)計(jì)，形成網(wǎng)絡(luò)安全綜合技術(shù)防護(hù)體系。保障學(xué)校核心信息系統(tǒng)安全防護(hù)標(biāo)準(zhǔn)達(dá)到信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T 22239-2019)二級(jí)要求。三、信息系統(tǒng)本次測(cè)評(píng)的實(shí)施對(duì)象為：序

3、號(hào)系統(tǒng)名稱系統(tǒng)級(jí)別備案證明編號(hào)1學(xué)校官方網(wǎng)站按照信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T 22239-2019二級(jí)標(biāo)準(zhǔn)進(jìn)行測(cè)評(píng)440400-99136-00012學(xué)校統(tǒng)一門戶系統(tǒng)按照信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T 22239-2019二級(jí)標(biāo)準(zhǔn)進(jìn)行測(cè)評(píng)440400-99136-00023學(xué)校中心機(jī)房骨干網(wǎng)絡(luò)系統(tǒng)按照信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T 22239-2019二級(jí)標(biāo)準(zhǔn)進(jìn)行測(cè)評(píng)440400-99136-0003信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)服務(wù)采購(gòu)項(xiàng)目預(yù)算：階段服務(wù)內(nèi)容描述定級(jí)與備案前期資料收集、系統(tǒng)及應(yīng)用調(diào)研協(xié)助校方開展系統(tǒng)定級(jí)與備案工作差距評(píng)估根據(jù)信息系統(tǒng)安全等級(jí)保

4、護(hù)基本要求，結(jié)合客戶系統(tǒng)情況，進(jìn)行差距評(píng)估分析開展機(jī)房實(shí)地勘察與人員訪談開展web掃描，評(píng)估應(yīng)用系統(tǒng)存在的安全漏洞開展主機(jī)漏洞掃描，評(píng)估主機(jī)、應(yīng)用、中間件等方面的漏洞開展主機(jī)配置核查，評(píng)估系統(tǒng)配置層面風(fēng)險(xiǎn)整改階段編制問(wèn)題清單與整改建議供校方整改驗(yàn)收測(cè)評(píng)編制系統(tǒng)驗(yàn)收測(cè)評(píng)報(bào)告測(cè)評(píng)機(jī)構(gòu)驗(yàn)收預(yù)算金額（元）共計(jì)三個(gè)系統(tǒng)：人民幣壹拾伍萬(wàn)元整（￥150000.00）投標(biāo)人的資格要求re投標(biāo)人應(yīng)具備中華人民共和國(guó)政府采購(gòu)法第二十二條規(guī)定的條件；投標(biāo)人必須是在中華人民共和國(guó)境內(nèi)注冊(cè)的具有法人資格的機(jī)構(gòu)，具有從事本項(xiàng)目測(cè)評(píng)的經(jīng)營(yíng)范圍和能力，提供相關(guān)證明；3、投標(biāo)人代表若不是法定代表人的，必須在投標(biāo)文件中提供法定代

5、表人授權(quán)書原件；4、本項(xiàng)目不接受聯(lián)合體投標(biāo)；5、為了保證服務(wù)質(zhì)量，投標(biāo)人需在廣東或在廣東范圍內(nèi)有辦事處， 需具備第三方等保測(cè)評(píng)機(jī)構(gòu)針對(duì)本項(xiàng)目出具的授權(quán)函。六、項(xiàng)目建設(shè)依據(jù)在等級(jí)保護(hù)測(cè)評(píng)整改建設(shè)項(xiàng)目的設(shè)計(jì)和建設(shè)過(guò)程中，必須遵循和貫徹信息技術(shù)的國(guó)際、國(guó)內(nèi)標(biāo)準(zhǔn)，制定一系列滿足信息網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)行的管理規(guī)程。投標(biāo)人必須依據(jù)如下標(biāo)準(zhǔn)實(shí)施測(cè)評(píng)服務(wù)：(1)關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見（公通字2004(2)信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào)）；(3)關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（公信安2007861號(hào)）(4)關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見（公信

6、安2009 1429號(hào)).(5)中華人民共和國(guó)網(wǎng)絡(luò)安全法(6)教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級(jí)保護(hù)工作的通知教辦廳函2009 80號(hào)(7)教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級(jí)保護(hù)工作的通知教辦廳函2009 80號(hào)(8)教育部公安部關(guān)于全面推進(jìn)教育行業(yè)信息安全等級(jí)保護(hù)工作的通知教技20152號(hào)(9)關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級(jí)保護(hù)工作的通知（公通字201070號(hào))(10)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則GB 17859-1999；(11)數(shù)據(jù)中心設(shè)計(jì)規(guī)范GB 50174-2017(12)信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求GB/T 36958-2018(13)信息安全技術(shù)

7、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南GB/T 28449-2018(14)信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T 22239-2019；七、項(xiàng)目建設(shè)原則網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)按照信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保技術(shù)要求及相關(guān)標(biāo)準(zhǔn)和規(guī)定進(jìn)行方案設(shè)計(jì)，因此本方案設(shè)計(jì)遵循：(1)緊密結(jié)合實(shí)際原則現(xiàn)狀及需求分析過(guò)程需要緊密結(jié)合醫(yī)院各信息系統(tǒng)的實(shí)際情況，防止與實(shí)際情況脫節(jié)。(2)參考并符合政策法規(guī)原則在現(xiàn)狀及需求分析階段充分參考國(guó)內(nèi)信息安全建設(shè)法律法規(guī)以及國(guó)際標(biāo)準(zhǔn)和最佳實(shí)踐，保證需求分析結(jié)論的符合性，以滿足后期的總體設(shè)計(jì)內(nèi)容的合規(guī)性；(3)統(tǒng)一規(guī)劃、分步實(shí)施原則等級(jí)保護(hù)建設(shè)過(guò)程按照項(xiàng)目管理思想和項(xiàng)目的實(shí)際需要，實(shí)

8、行統(tǒng)一規(guī)劃、分步實(shí)施；(4)分層防護(hù)、綜合防范的原則任何安全措施都不是絕對(duì)安全的，都可能被攻破。為預(yù)防攻破一層或一類保護(hù)的攻擊行為而破壞整個(gè)系統(tǒng)，需要合理規(guī)劃和綜合采用多種有效措施，進(jìn)行多層和多重保護(hù)；(5)需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對(duì)任何類型網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必須的，需正確處理 需求、風(fēng)險(xiǎn)與代價(jià)的關(guān)系，分等級(jí)保護(hù)、適度防護(hù)，做到安全性與可用性相容，做到技術(shù)上可實(shí)現(xiàn)，經(jīng)濟(jì)上可執(zhí)行；(6)動(dòng)態(tài)發(fā)展和可擴(kuò)展原則隨著網(wǎng)絡(luò)攻防技術(shù)的不斷發(fā)展，安全需求也會(huì)不斷變化，再加上環(huán)境、條件、時(shí)間的限制，要求安全防護(hù)一步到位，一勞永逸地解決網(wǎng)絡(luò)安全問(wèn)題是不現(xiàn)實(shí)的。因此，在考慮網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)時(shí)

9、，應(yīng)首先在現(xiàn)有技術(shù)條件下滿足當(dāng)前的安全需要，并在此基礎(chǔ)上有良好的可擴(kuò)展性，以滿足今后新的應(yīng)用和網(wǎng)絡(luò)安全技術(shù)的所產(chǎn)生的安全需求。八、等級(jí)保護(hù)測(cè)評(píng)流程網(wǎng)絡(luò)安全等級(jí)保護(hù)是國(guó)家網(wǎng)絡(luò)安全保障的一項(xiàng)基本制度，是國(guó)家委托公安部通過(guò)制定統(tǒng)一的網(wǎng)絡(luò)安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)網(wǎng)絡(luò)系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，并對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)是指按照國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范，對(duì)網(wǎng)絡(luò)系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行測(cè)試評(píng)估。8.1、等級(jí)保護(hù)工作流程： 8.2、等級(jí)保護(hù)標(biāo)準(zhǔn)依據(jù)：信息安全等級(jí)保護(hù)管理辦法信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南（GB/T 22240-200

10、8）信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T 22239-2019）信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求（GB/T20271-2006）信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T20270-2006）信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求（GB/T20272-2006）信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求（GB/T20273-2006）信息安全技術(shù) 服務(wù)器技術(shù)要求（GB/T21028-2007）信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技

11、術(shù)要求（GA/T671-2006）信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求GB/T 36958-2018九、等級(jí)保護(hù)測(cè)評(píng)工作內(nèi)容網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)包括兩方面內(nèi)容：安全控制測(cè)評(píng)，主要測(cè)評(píng)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況。系統(tǒng)整體測(cè)評(píng)，主要測(cè)評(píng)分析信息系統(tǒng)的整體安全性。其中，安全控制測(cè)評(píng)是信息系統(tǒng)整體安全測(cè)評(píng)的基礎(chǔ)。對(duì)安全控制測(cè)評(píng)使用測(cè)評(píng)單元方式組織。測(cè)評(píng)單元分為安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)兩大類，具體見下圖：信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)安全控制測(cè)評(píng)系統(tǒng)整體測(cè)評(píng)安全技術(shù)測(cè)評(píng)安全管理測(cè)評(píng)物理安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全網(wǎng)絡(luò)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管

12、理系統(tǒng)運(yùn)維管理安全控制間層面間區(qū)域間整體結(jié)構(gòu)安全不同信息系統(tǒng)間整體安全性整體架構(gòu)/局部架構(gòu)十、等級(jí)保護(hù)測(cè)評(píng)工具測(cè)試：利用漏洞掃描等技術(shù)工具，從網(wǎng)絡(luò)的不同接入點(diǎn)對(duì)網(wǎng)絡(luò)內(nèi)的主機(jī)、服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行脆弱性檢查和分析配置檢查：通過(guò)登陸系統(tǒng)控制臺(tái)的方式，人工核查和分析主機(jī)、服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)的安全配置情況人員訪談：通過(guò)交流、討論的方式，對(duì)技術(shù)和管理方面進(jìn)行脆弱性檢查和分析文檔審查：通過(guò)文檔審核與分析，檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄的完整性和內(nèi)部一致性實(shí)地查看：通過(guò)現(xiàn)場(chǎng)查看人員行為、技術(shù)設(shè)施和物理環(huán)境狀況，檢查人員的安全意識(shí)、業(yè)務(wù)操作、管理程序和

13、系統(tǒng)物理環(huán)境等方面的安全情況10.1、等級(jí)保護(hù)測(cè)評(píng)對(duì)象：10.2、等級(jí)保護(hù)測(cè)評(píng)流程：十一、等級(jí)保護(hù)測(cè)評(píng)內(nèi)容根據(jù)GB/T 22239-2019信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求等標(biāo)準(zhǔn)，及各個(gè)信息系統(tǒng)的安全保護(hù)等級(jí)，通過(guò)人員訪談、工具檢測(cè)、實(shí)地察看、配置檢查、文檔審查等方法從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份與恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面，判斷信息系統(tǒng)現(xiàn)有的安全保護(hù)水平與國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)之間的差距，提出各信息系統(tǒng)的基本安全保護(hù)需求、合理的安全加固建議、等級(jí)保護(hù)差距分析報(bào)告和等級(jí)保護(hù)驗(yàn)收測(cè)評(píng)報(bào)告。（一

14、）等級(jí)保護(hù)測(cè)評(píng)主要工作包括：（1）確定各系統(tǒng)范圍和分析對(duì)象在明確不同等級(jí)信息系統(tǒng)的范圍和邊界的情況下，通過(guò)調(diào)查或查閱資料的方式，了解信息系統(tǒng)的構(gòu)成，包括網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)應(yīng)用、業(yè)務(wù)流程、設(shè)備信息、安全措施狀況等。確定了每個(gè)等級(jí)信息系統(tǒng)的分析對(duì)象，包括整體對(duì)象，如機(jī)房、辦公環(huán)境、網(wǎng)絡(luò)等，也包括具體對(duì)象，如邊界設(shè)備、網(wǎng)關(guān)設(shè)備、服務(wù)器設(shè)備、工作站、應(yīng)用系統(tǒng)等。（2）形成評(píng)價(jià)指標(biāo)和評(píng)估方案根據(jù)各個(gè)信息系統(tǒng)的安全保護(hù)等級(jí)，對(duì)應(yīng)信息系統(tǒng)安全等級(jí)保護(hù)基本要求中選擇相應(yīng)等級(jí)的指標(biāo)，形成評(píng)價(jià)指標(biāo)。（3）現(xiàn)狀與評(píng)價(jià)指標(biāo)對(duì)比通過(guò)各種方式進(jìn)行安全技術(shù)和安全管理方面的評(píng)估，判斷安全技術(shù)和安全管理的各個(gè)方面與評(píng)價(jià)指標(biāo)的符合程

15、度，給出判斷結(jié)論。整理和分析不符合的評(píng)價(jià)指標(biāo)，確定信息系統(tǒng)安全保護(hù)的基本需求。（4）特殊安全需求通過(guò)對(duì)各信息系統(tǒng)重要服務(wù)器和網(wǎng)絡(luò)設(shè)備等重要資產(chǎn)特殊保護(hù)要求的分析，確定超出相應(yīng)等級(jí)保護(hù)基本要求的部分或具有特殊安全保護(hù)要求的部分，協(xié)助業(yè)主方采用相應(yīng)的方法，確定可能的安全風(fēng)險(xiǎn)，提出信息系統(tǒng)的特殊安全保護(hù)需求。（二）等級(jí)保護(hù)測(cè)評(píng)內(nèi)容（1）協(xié)助定級(jí)備案根據(jù)GB/T 22240-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南等標(biāo)準(zhǔn)，及各個(gè)信息系統(tǒng)保護(hù)等級(jí)需求，對(duì)珠海市技師學(xué)院?jiǎn)挝晃炊?jí)的信息系統(tǒng)進(jìn)行定級(jí)備案。編寫信息系統(tǒng)定級(jí)備案表和信息系統(tǒng)定級(jí)報(bào)告，并協(xié)助向公安機(jī)關(guān)提交定級(jí)備案材料，取得信息系統(tǒng)定級(jí)備案

16、證明。（2）網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案流程：3.1、綜合評(píng)定對(duì)客體的侵害程度2.1、確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體3.2、綜合評(píng)定對(duì)客體的侵害程度2.2、確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體3.2、系統(tǒng)服務(wù)安全等級(jí)3.1、業(yè)務(wù)信息安全等級(jí)3.3、定級(jí)對(duì)象的安全保護(hù)等級(jí)1、確定定級(jí)對(duì)象4、向公安部門提交定級(jí)報(bào)告材料5、公安審批通過(guò)取得定級(jí)備案證明（3）差距評(píng)估根據(jù)GB/T 22239-2019信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求等標(biāo)準(zhǔn)，及信息系統(tǒng)的安全保護(hù)等級(jí)，通過(guò)人員訪談、文檔審查、實(shí)地察看、配置檢查、工具檢測(cè)等方法從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份與恢復(fù)、安

17、全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面，判斷信息系統(tǒng)現(xiàn)有的安全保護(hù)水平與國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)之間的差距，形成信息系統(tǒng)安全等級(jí)保護(hù)差距分析報(bào)告。網(wǎng)絡(luò)安全等級(jí)保護(hù)主要測(cè)評(píng)指標(biāo)數(shù)量：（4）整改建議經(jīng)過(guò)網(wǎng)絡(luò)安全等級(jí)保護(hù)差距評(píng)估，在全面地分析和了解目前我院在信息安全建設(shè)方面現(xiàn)狀基礎(chǔ)上，協(xié)助我院信息安全管理人員，特別是我院的領(lǐng)導(dǎo)層，更為全面的理解目前業(yè)務(wù)所面臨的風(fēng)險(xiǎn)尤其是高風(fēng)險(xiǎn)，為規(guī)劃和實(shí)施風(fēng)險(xiǎn)應(yīng)對(duì)措施打下基礎(chǔ)。根據(jù)信息安全的現(xiàn)狀和需求，為我院信息安全建設(shè)提供改進(jìn)建議，協(xié)助我院信息安全管理人員進(jìn)行信息系統(tǒng)安全加固整改建設(shè)工作，選擇合適的風(fēng)險(xiǎn)處理措施予以實(shí)

18、施，將風(fēng)險(xiǎn)控制在可接受的水平上，以提升我院整體信息安全管理和技術(shù)水平。最終達(dá)到符合國(guó)家規(guī)定的信息系統(tǒng)安全等級(jí)保護(hù)對(duì)應(yīng)安全等級(jí)的管理和技術(shù)要求。（5）驗(yàn)收測(cè)評(píng)根據(jù)GB/T 222392019信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求等標(biāo)準(zhǔn)組織開展珠海市技師學(xué)院網(wǎng)絡(luò)安全等級(jí)保護(hù)驗(yàn)收測(cè)評(píng)，衡量珠海市技師學(xué)院網(wǎng)絡(luò)安全保護(hù)管理措施和技術(shù)措施是否符合等級(jí)保護(hù)基本要求，是否具備了相應(yīng)的安全保護(hù)能力。依據(jù)各個(gè)信息系統(tǒng)的安全保護(hù)等級(jí)，通過(guò)人員訪談、文檔審查、配置檢查、工具檢測(cè)等方法從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份與恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等

19、方面，判斷信息系統(tǒng)現(xiàn)有的安全保護(hù)水平與國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求項(xiàng)之間的符合情況。對(duì)網(wǎng)絡(luò)安全進(jìn)行整體、全面、公正的評(píng)估，對(duì)不符合項(xiàng)進(jìn)行風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)應(yīng)對(duì)，按照信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版編寫信息系統(tǒng)安全等級(jí)保護(hù)驗(yàn)收測(cè)評(píng)報(bào)告。（6）協(xié)助驗(yàn)收?qǐng)?bào)告?zhèn)浒冈谕瓿沈?yàn)收測(cè)評(píng)工作，按照信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告編寫網(wǎng)絡(luò)安全等級(jí)保護(hù)驗(yàn)收測(cè)評(píng)報(bào)告之后，將經(jīng)珠海市技師學(xué)院、乙方雙方確認(rèn)無(wú)誤的網(wǎng)絡(luò)安全等級(jí)保護(hù)驗(yàn)收測(cè)評(píng)報(bào)告打印成冊(cè),裝訂蓋章一式三份。由乙方將裝訂蓋章好的網(wǎng)絡(luò)安全等級(jí)保護(hù)驗(yàn)收測(cè)評(píng)報(bào)告提交公安機(jī)關(guān)，最終完成珠海市技師學(xué)院網(wǎng)絡(luò)安全等級(jí)保護(hù)驗(yàn)收測(cè)評(píng)報(bào)告向公安機(jī)關(guān)備案工作程序。（7）交付物 A.等級(jí)

20、保護(hù)測(cè)評(píng)報(bào)告：項(xiàng)目名稱珠海市技師學(xué)院信息系統(tǒng)安全等級(jí)保護(hù)驗(yàn)收測(cè)評(píng)報(bào)告（每一系統(tǒng)一份）簡(jiǎn)要描述分析測(cè)評(píng)結(jié)果，判斷信息系統(tǒng)是否達(dá)到了對(duì)應(yīng)安全等級(jí)保護(hù)級(jí)別的要求達(dá)成目標(biāo)列出每項(xiàng)測(cè)評(píng)指標(biāo)和分析過(guò)程、分析結(jié)果，獲得符合性分析結(jié)論主要內(nèi)容技術(shù)測(cè)評(píng)指標(biāo)檢測(cè)和分析、管理測(cè)評(píng)指標(biāo)檢查和分析實(shí)現(xiàn)方式匯總分析、報(bào)告編寫工作結(jié)果等級(jí)保護(hù)測(cè)評(píng)報(bào)告參加人員乙方項(xiàng)目組 B.安全整改建議報(bào)告：項(xiàng)目名稱珠海市技師學(xué)院信息系統(tǒng)安全等級(jí)保護(hù)整改方案（每一系統(tǒng)一份）簡(jiǎn)要描述根據(jù)等級(jí)保護(hù)測(cè)評(píng)結(jié)果，結(jié)合業(yè)務(wù)與應(yīng)用實(shí)際情況，提出安全整改建議達(dá)成目標(biāo)列出未達(dá)標(biāo)項(xiàng)，結(jié)合實(shí)際提出安全整改建議主要內(nèi)容技術(shù)安全整改建議、管理安全整改建議實(shí)現(xiàn)方式匯總

21、分析、報(bào)告編寫工作結(jié)果安全整改建議參加人員乙方項(xiàng)目組 c.定級(jí)備案專家確認(rèn)報(bào)告（每一系統(tǒng)一份）十二、測(cè)評(píng)工具要求在等級(jí)保護(hù)測(cè)評(píng)過(guò)程中，應(yīng)采用詢問(wèn)、檢查、測(cè)試、工具掃描等多種手段組合的方式。工具掃描至少包括使用：等級(jí)保護(hù)基線核查工具對(duì)服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全設(shè)備等的安全基線配置進(jìn)行核查；安全評(píng)估系統(tǒng)(即安全脆弱性掃描)工具對(duì)重要服務(wù)器、網(wǎng)絡(luò)設(shè)備、部分客戶端（5%-10%）進(jìn)行漏洞掃描。投標(biāo)單位提供項(xiàng)目實(shí)施所需掃描工具，若非原生產(chǎn)廠家，需要出具測(cè)評(píng)所使用工具原生產(chǎn)廠家正版使用以及無(wú)償技術(shù)服務(wù)支持承諾書。若引起任何知識(shí)產(chǎn)權(quán)或者相關(guān)法律糾紛，由中標(biāo)供應(yīng)商承擔(dān)責(zé)任并補(bǔ)償因此對(duì)采

22、購(gòu)人造成對(duì)損失。所提供用于掃描的工具應(yīng)至少包含或高于以下工具指標(biāo)要求。安全評(píng)估系統(tǒng)(安全脆弱性掃描)工具主要指標(biāo)要求：技術(shù)指標(biāo)指標(biāo)要求產(chǎn)品要求采用安全的Linux操作系統(tǒng) 產(chǎn)品規(guī)格2U標(biāo)準(zhǔn)式機(jī)架設(shè)備、不少于2個(gè)千兆電口、不小于1TB硬盤、雙電源；產(chǎn)品性能最大并發(fā)掃描任務(wù)數(shù)15，可掃描總數(shù)量不少于XXX個(gè)無(wú)限制范圍IP地址掃描對(duì)象Web漏洞掃描、數(shù)據(jù)庫(kù)漏洞掃描、主機(jī)軟件漏洞掃描、基線配置核查部署方式支持旁路部署，無(wú)需改變?cè)械木W(wǎng)絡(luò)架構(gòu)分布式部署功能要求產(chǎn)品要求界面友好，并有詳盡的技術(shù)支持文檔，所有圖形界面要求中文。系統(tǒng)為B/S架構(gòu)，并采用SSL加密通信方式，用戶可以通過(guò)瀏覽器遠(yuǎn)程方便對(duì)產(chǎn)品訪問(wèn)操

23、作，支持多用戶同時(shí)登陸操作。提供分布式部署，上級(jí)管理設(shè)備能夠方便查看下級(jí)設(shè)備狀態(tài)。提供三權(quán)分立的賬戶體系，支持上下級(jí)部門管理，非上下級(jí)的不同部門任務(wù)、資產(chǎn)隔離。提供審計(jì)功能，能夠?qū)Φ顷懭罩?、操作日常進(jìn)行記錄和查詢，并可以將日志導(dǎo)入導(dǎo)出操作。提供日志自動(dòng)審計(jì)功能，根據(jù)指定的審計(jì)標(biāo)準(zhǔn)自動(dòng)、定時(shí)審計(jì)；并將審計(jì)結(jié)果發(fā)送到指定郵箱當(dāng)中。提供產(chǎn)品功能截圖并加蓋原廠公章廠商漏洞策略庫(kù)大于35000條；提供詳細(xì)的漏洞描述和對(duì)應(yīng)的解決方案描述；漏洞知識(shí)庫(kù)與國(guó)際CVE、國(guó)內(nèi)CNNVD漏洞庫(kù)標(biāo)準(zhǔn)兼容。提供產(chǎn)品功能截圖并加蓋原廠公章系統(tǒng)內(nèi)置不同的策略模板如針對(duì)Linux、Windows操作系統(tǒng)等模板，同時(shí)允許用戶定制

24、掃描策略；用戶可定義掃描范圍、定義掃描端口、掃描使用的參數(shù)集等具體掃描選項(xiàng)。支持Windows系列操作系統(tǒng)，支持Linux主流操作系統(tǒng)（Centos、Redhat、Debian、Fedora、Ubuntu、Suse等），支持Unix主流操作系統(tǒng)（AIX、HPUX、Solaris等）；支持對(duì)Web、FTP、電子郵件等應(yīng)用系統(tǒng)、Apache等web中間件服務(wù)器以及Office等常用軟件進(jìn)行漏洞掃描；可以自定義掃描端口范圍、端口掃描策略提供采用SMB、SSH、SNMP、TELNET等協(xié)議對(duì)Windows、Linux系統(tǒng)進(jìn)行登錄授權(quán)掃描。 提供產(chǎn)品功能截圖并加蓋原廠公章具備弱口令掃描功能，提供多種弱口

25、令掃描協(xié)議，包括SMB、RDP、SSH、TELNET、FTP、SMTP、IMAP、POP3、MySQL、MSSQL、REDIS、RTSP等協(xié)議進(jìn)行弱口令掃描，允許用戶自定義用戶、密碼字典。提供產(chǎn)品功能截圖并加蓋原廠公章支持發(fā)現(xiàn)非默認(rèn)端口啟動(dòng)的服務(wù)，支持服務(wù)的協(xié)議識(shí)別、版本可根據(jù)端口識(shí)別出的軟件版本提供可能存在的相關(guān)漏洞列表，提供產(chǎn)品功能截圖并加蓋原廠公章支持HTML、WORD、PDF、XLS報(bào)告格式配置核查模塊產(chǎn)品提供系統(tǒng)安全配置核查功能，能夠?qū)χ髁鞑僮飨到y(tǒng)、中間件的安全配置項(xiàng)目進(jìn)行檢查。Web掃描模塊產(chǎn)品提供Web應(yīng)用漏洞掃描功能，支持對(duì)Discuz、大漢CMS、PHPCMS、DEDECMS

26、、ECSHOP、WordPress、eWebEditor、FCKeditor、Struts2等國(guó)內(nèi)外常見第三方組件掃描能夠檢測(cè)GET、POST、User-Agent、Cookie等多種方式提交的HTTP請(qǐng)求參數(shù)，并進(jìn)行相應(yīng)檢測(cè)。能夠通過(guò)Cookie的方式支持對(duì)帶驗(yàn)證碼的應(yīng)用系統(tǒng)進(jìn)行掃描；存在誤報(bào)漏洞可通過(guò)產(chǎn)品在掃描結(jié)果處一鍵反饋給廠商協(xié)助修改；支持識(shí)別國(guó)內(nèi)外主流Web應(yīng)用防火墻品牌，提供產(chǎn)品功能截圖并加蓋原廠公章支持識(shí)別被掃描目標(biāo)對(duì)象的網(wǎng)站響應(yīng)狀態(tài)，能根據(jù)不同的響應(yīng)狀態(tài)直觀呈現(xiàn)不同顏色標(biāo)識(shí)，提供產(chǎn)品功能截圖并加蓋原廠公章管理人員可根據(jù)系統(tǒng)給出的漏洞參數(shù)、HTTP請(qǐng)求/響應(yīng)數(shù)據(jù)，快速驗(yàn)證，一鍵驗(yàn)

27、證漏洞數(shù)據(jù)庫(kù)模塊支持Oracle、Mysql、SQLServer、DB2、informix、達(dá)夢(mèng)、人大金倉(cāng)的授權(quán)數(shù)據(jù)庫(kù)漏洞掃描，提供產(chǎn)品功能截圖并加蓋原廠公章產(chǎn)品資質(zhì)（需提供相關(guān)證明材料并加蓋原廠公章）產(chǎn)品具備公安部頒發(fā)的計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證（增強(qiáng)級(jí)）。產(chǎn)品具備國(guó)家保密局涉密信息系統(tǒng)安全保密測(cè)評(píng)中心頒發(fā)的涉密信息系統(tǒng)產(chǎn)品檢測(cè)證書。產(chǎn)品具備中國(guó)信息安全測(cè)評(píng)中心頒發(fā)的國(guó)家信息安全漏洞庫(kù) 兼容性資質(zhì)證書。產(chǎn)品具備IPv6 Ready Logo認(rèn)證證書產(chǎn)品具備網(wǎng)絡(luò)關(guān)鍵設(shè)備和安全專用產(chǎn)品安全認(rèn)證 中國(guó)國(guó)家信息安全產(chǎn)品認(rèn)證證書為保證能夠提供準(zhǔn)確可靠的Web應(yīng)用漏洞掃描和惡意代碼發(fā)現(xiàn)，要求提

28、供網(wǎng)站漏洞掃描方法的專利證明不少于4種，要求提供專利截圖。為保證能夠提供準(zhǔn)確可靠的數(shù)據(jù)庫(kù)漏洞發(fā)現(xiàn)，要求提供數(shù)據(jù)庫(kù)漏洞掃描方法的專利證明不少于4種。廠商資質(zhì)（需提供相關(guān)證明材料并加蓋原廠公章）產(chǎn)品廠家應(yīng)為信息安全技術(shù) Web應(yīng)用安全掃描產(chǎn)品安全技術(shù)要求標(biāo)準(zhǔn)起草單位之一，提供相關(guān)證明材料產(chǎn)品廠家應(yīng)為信息安全技術(shù) 數(shù)據(jù)庫(kù)掃描產(chǎn)品安全技術(shù)要求標(biāo)準(zhǔn)起草單位之一，提供相關(guān)證明材料廠商獲得中國(guó)信息安全測(cè)評(píng)中心頒發(fā)的國(guó)家信息安全測(cè)評(píng)信息安全服務(wù)資質(zhì)證書（安全工程類三級(jí)）廠商獲得中規(guī)（北京）認(rèn)證有限公司頒發(fā)的知識(shí)產(chǎn)權(quán)管理體系認(rèn)證證書（知識(shí)產(chǎn)權(quán)管理體系符合標(biāo)準(zhǔn)：GB/T 29490-2013）廠商獲得ISO900

29、1質(zhì)量管理體系認(rèn)證證書，證書體系覆蓋人數(shù)不少于600人，覆蓋人數(shù)需提供認(rèn)監(jiān)委官方網(wǎng)站查詢結(jié)果廠商獲得CMMI5認(rèn)證證書等級(jí)保護(hù)基線核查工具指標(biāo)要求：指標(biāo)項(xiàng)指標(biāo)要求資質(zhì)原廠商具有中國(guó)信息安全認(rèn)證中心頒發(fā)的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)（一級(jí)）原廠商具有中國(guó)信息安全認(rèn)證中心頒發(fā)的信息安全應(yīng)急處理服務(wù)資質(zhì)（一級(jí)）；原廠商具有中國(guó)信息安全測(cè)評(píng)中心頒發(fā)的信息安全服務(wù)資質(zhì)（安全開發(fā)類一級(jí)）原廠商具有中國(guó)信息安全測(cè)評(píng)中心頒發(fā)的信息安全服務(wù)資質(zhì)（安全工程類三級(jí)）原廠商為中國(guó)國(guó)家信息安全漏洞庫(kù)（CNNVD）一級(jí)技術(shù)支撐單位；原廠商具有信息安全等級(jí)保護(hù)安全建設(shè)服務(wù)機(jī)構(gòu)能力評(píng)估合格證書；原廠商應(yīng)具有CMMI5及以上等級(jí)資

30、質(zhì)證書；產(chǎn)品具有國(guó)家信息安全漏洞庫(kù)兼容性資質(zhì)證書安全團(tuán)隊(duì)實(shí)力廠商應(yīng)提交相關(guān)材料證明近年來(lái)所發(fā)現(xiàn)的應(yīng)用程序、CMS、中間件、數(shù)據(jù)庫(kù)系統(tǒng)等原創(chuàng)安全漏洞，以及漏洞產(chǎn)品原廠商官方的漏洞確認(rèn)證明。任務(wù)管理支持手動(dòng)創(chuàng)建重要信息系統(tǒng)檢查、行業(yè)主管部門檢查、備案單位檢查、網(wǎng)站檢查、自定義檢查任務(wù)支持等保1.0和等保2.0檢查指標(biāo)，提供產(chǎn)品功能截圖并加蓋原廠公章支持檢查任務(wù)并行檢查及并行檢查結(jié)果合并支持任務(wù)的打開、另存為、修改、刪除、關(guān)閉支持與等保監(jiān)察平臺(tái)數(shù)據(jù)的上報(bào)和下發(fā)檢查任務(wù)檢查范圍：支持行業(yè)主管部門、備案單位、重要信息系統(tǒng)、網(wǎng)站四類檢查對(duì)象的檢查范圍。支持基本情況、定級(jí)備案等檢查范圍。檢查內(nèi)容：支持系統(tǒng)定

31、級(jí)情況、崗位設(shè)置情況、安全審計(jì)情況等檢查內(nèi)容。檢查要點(diǎn)：支持檢查對(duì)象檢查內(nèi)容具體檢查指標(biāo)項(xiàng)進(jìn)行檢查。檢查結(jié)果錄入類型：?jiǎn)雾?xiàng)判定：支持判定未檢、不適用、0分、1分、2分、3分、4分、5分檢查結(jié)果錄入：支持錄入檢查結(jié)果記錄針對(duì)每個(gè)檢查要點(diǎn)應(yīng)提供相應(yīng)的檢查方法，檢查結(jié)果判定依據(jù)等相關(guān)檢查知識(shí)，以便引導(dǎo)進(jìn)行現(xiàn)場(chǎng)檢查。支持對(duì)檢查過(guò)程中具體檢查對(duì)象（例如：主機(jī)、網(wǎng)絡(luò)設(shè)備等）進(jìn)行調(diào)整功能，要求可以選擇已有的檢查對(duì)象或錄入新的檢查對(duì)象，提供產(chǎn)品功能截圖并加蓋原廠公章支持將任務(wù)導(dǎo)出成檢查模板，檢查人員能夠根據(jù)被檢查單位情況，靈活分配各自的檢查任務(wù)，支持導(dǎo)出檢查表單提前讓被檢查單位人員對(duì)應(yīng)進(jìn)行自查，檢查人員經(jīng)現(xiàn)場(chǎng)

32、檢查核對(duì)無(wú)誤之后，可以直接將檢查檢查表單數(shù)據(jù)直接導(dǎo)入到工具箱中。檢查層面、檢查內(nèi)容、檢查指標(biāo)項(xiàng)支持保存為模板，模板可導(dǎo)入、導(dǎo)出支持檢查工具檢查結(jié)果信息的展現(xiàn)功能支持導(dǎo)出、導(dǎo)入檢查項(xiàng)支持手動(dòng)手動(dòng)填寫測(cè)評(píng)概述，概述內(nèi)容包括測(cè)評(píng)目的、測(cè)評(píng)依據(jù)、測(cè)評(píng)方法、測(cè)評(píng)結(jié)論、整體測(cè)評(píng)結(jié)果匯總等，數(shù)據(jù)匯總支持一鍵導(dǎo)入功能，將檢查工具集檢測(cè)結(jié)果自動(dòng)導(dǎo)入到工具箱，提供產(chǎn)品功能截圖并加蓋原廠公章支持手動(dòng)導(dǎo)入工具檢查結(jié)果到工具箱及關(guān)聯(lián)任務(wù)檢查對(duì)象支持工具檢查結(jié)果自動(dòng)關(guān)聯(lián)知識(shí)庫(kù)檢查結(jié)果導(dǎo)出應(yīng)采用國(guó)家商密辦指定認(rèn)可的國(guó)產(chǎn)商用密碼算法對(duì)檢查數(shù)據(jù)進(jìn)行加密后導(dǎo)出，以確保檢查數(shù)據(jù)的保密性導(dǎo)出的檢查結(jié)果應(yīng)按照指定的接口規(guī)范導(dǎo)出支持自動(dòng)

33、生成不同類型檢查任務(wù)的檢查報(bào)告，檢查報(bào)告應(yīng)包含不符合項(xiàng)的風(fēng)險(xiǎn)描述信息和安全評(píng)分兼容性支持與工具箱監(jiān)察管理系統(tǒng)數(shù)據(jù)的上報(bào)和下發(fā)監(jiān)察指標(biāo)庫(kù)升級(jí)維護(hù)指標(biāo)庫(kù)要求監(jiān)察指標(biāo)庫(kù)包含：控制點(diǎn)和要求項(xiàng)指標(biāo)庫(kù)升級(jí)維護(hù)提供監(jiān)察知識(shí)庫(kù)升級(jí)功能，可以對(duì)監(jiān)察知識(shí)庫(kù)進(jìn)行手動(dòng)更新應(yīng)提供升級(jí)檢測(cè)和提醒功能監(jiān)察知識(shí)庫(kù)升級(jí)應(yīng)有日志記錄監(jiān)察知識(shí)庫(kù)升級(jí)維護(hù)知識(shí)庫(kù)要求知識(shí)庫(kù)內(nèi)容必須覆蓋所有檢查指標(biāo)知識(shí)庫(kù)內(nèi)容應(yīng)包含檢查指標(biāo)的檢查方法、檢查結(jié)果判定依據(jù)和不符合項(xiàng)的風(fēng)險(xiǎn)提示知識(shí)庫(kù)可以依據(jù)網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)和分析模型，對(duì)檢查工具的檢查結(jié)果進(jìn)行自動(dòng)分析，給出相應(yīng)的檢查結(jié)果記錄知識(shí)庫(kù)可以針對(duì)不同類型的檢查任務(wù)，對(duì)檢查結(jié)果進(jìn)行自動(dòng)分析和安全評(píng)分，比自動(dòng)生

34、成相應(yīng)的檢查結(jié)果記錄，提供產(chǎn)品功能截圖并加蓋原廠公章知識(shí)庫(kù)內(nèi)容應(yīng)描述正確，并具有明確的引導(dǎo)作用知識(shí)庫(kù)升級(jí)維護(hù)知識(shí)庫(kù)內(nèi)容必須覆蓋所有檢查指標(biāo)知識(shí)庫(kù)內(nèi)容應(yīng)包含檢查指標(biāo)的檢查方法、檢查結(jié)果判定依據(jù)和不符合項(xiàng)的風(fēng)險(xiǎn)提示知識(shí)庫(kù)可以依據(jù)網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)和分析模型，對(duì)檢查工具的檢查結(jié)果進(jìn)行自動(dòng)分析，給出相應(yīng)的檢查結(jié)果記錄工具管理升級(jí)管理技術(shù)支持網(wǎng)站應(yīng)提供檢查工具升級(jí)提示功能，當(dāng)檢查工具有更新時(shí)，用戶可以進(jìn)行檢查工具的升級(jí)操作檢查工具升級(jí)操作應(yīng)在工具箱留有日志記錄結(jié)果管理應(yīng)提供結(jié)果分析，依據(jù)內(nèi)置知識(shí)庫(kù)自動(dòng)對(duì)工具檢查結(jié)果進(jìn)行分析，自動(dòng)判別相應(yīng)檢查指標(biāo)的檢查結(jié)果結(jié)果導(dǎo)入操作應(yīng)留有日志記錄應(yīng)提供結(jié)果分析，依據(jù)內(nèi)置知識(shí)

35、庫(kù)自動(dòng)對(duì)工具檢查結(jié)果進(jìn)行分析，自動(dòng)判別相應(yīng)檢查指標(biāo)的檢查結(jié)果風(fēng)險(xiǎn)提示所有檢查工具啟動(dòng)時(shí)，默認(rèn)都會(huì)進(jìn)行風(fēng)險(xiǎn)提示，支持通過(guò)配置是否下次啟用風(fēng)險(xiǎn)提示系統(tǒng)管理配置管理配置管理應(yīng)提供對(duì)工具箱監(jiān)察管理系統(tǒng)參數(shù)進(jìn)行配置:支持系統(tǒng)最大登錄次數(shù)設(shè)置支持鎖定用戶時(shí)間設(shè)置；支持軟件自動(dòng)鎖定功能支持口令強(qiáng)度策略設(shè)置用戶管理支持對(duì)用戶賬戶進(jìn)行管理，支持管理員、操作員、審計(jì)員角色賬戶增加、口令修改支持對(duì)賬戶新增、修改、刪除內(nèi)置角色默認(rèn)權(quán)限日志管理可查看操作日期、操作用戶、操作對(duì)象等日志記錄提供日志篩選功能提供日志導(dǎo)出備份功能系統(tǒng)升級(jí)應(yīng)提供升級(jí)功能，升級(jí)操作應(yīng)簡(jiǎn)單技術(shù)支持網(wǎng)站應(yīng)提供升級(jí)提示功能廠商應(yīng)定期發(fā)布離線升級(jí)包，支持

36、手動(dòng)導(dǎo)入升級(jí)升級(jí)操作應(yīng)留存日志記錄工具箱監(jiān)察管理系統(tǒng)具有登錄嘗試失敗鎖定功能訪問(wèn)控制應(yīng)依據(jù)安全策略嚴(yán)格控制用戶文件，數(shù)據(jù)表等重要信息資源的操作應(yīng)確保不提供已注銷用戶的任何信息，包括鑒別信息等安全審計(jì)指標(biāo)庫(kù)、知識(shí)庫(kù)、監(jiān)察工具等升級(jí)操作用戶登錄和注銷等事件數(shù)據(jù)導(dǎo)入、導(dǎo)出等事件通信安全應(yīng)采取措施確保導(dǎo)入和導(dǎo)出數(shù)據(jù)的完整性U盤安全檢查工具向工具箱提交的檢查結(jié)果數(shù)據(jù)數(shù)據(jù)安全采用國(guó)家商密辦指定認(rèn)可的國(guó)產(chǎn)商用密碼算法對(duì)以下數(shù)據(jù)進(jìn)行加密。二、U盤安全檢查工具集Windows主機(jī)安全配置檢查工具支持檢查主機(jī)系統(tǒng)配置信息，包括：計(jì)算機(jī)名、用戶名、操作系統(tǒng)、版本、內(nèi)存大小、磁盤大小、系統(tǒng)路徑、共享目錄，提供產(chǎn)品功能

37、截圖并加蓋原廠公章支持檢查USB接入設(shè)備信息支持檢查Internet Explorer、Chrome、Firefox等瀏覽器上網(wǎng)記錄、Cookie記錄支持檢查主機(jī)硬件信息，包括：CPU信息、主板信息、內(nèi)存信息、顯卡信息、硬盤信息、網(wǎng)卡信息。支持檢查主機(jī)開機(jī)自啟動(dòng)項(xiàng)程序查看主機(jī)上已經(jīng)啟動(dòng)的可能有風(fēng)險(xiǎn)的服務(wù)程序，包括：如Task Scheduler、Print Spooler、Remote Registry 等服務(wù)，提供產(chǎn)品功能截圖并加蓋原廠公章支持檢查賬戶安全策略信息，包含口令長(zhǎng)度、復(fù)雜度、定期更換、登錄失敗、鎖定次數(shù)等對(duì)系統(tǒng)賬戶進(jìn)行檢查，可智能識(shí)別系統(tǒng)影子賬戶（隱藏賬戶），提供產(chǎn)品功能截圖并加

38、蓋原廠公章查看系統(tǒng)是否開啟系統(tǒng)審核系統(tǒng)登錄事件、審核賬戶登錄事件等安全審計(jì)策略，提供產(chǎn)品功能截圖并加蓋原廠公章運(yùn)行環(huán)境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系統(tǒng)類型支持在線更新、離線升級(jí)主機(jī)病毒檢查工具支持對(duì)操作系統(tǒng)的關(guān)鍵機(jī)制，如系統(tǒng)服務(wù)、內(nèi)存、注冊(cè)表、啟動(dòng)進(jìn)程；檢測(cè)操作系統(tǒng)的安全模型，包括訪問(wèn)控制、特權(quán)和審計(jì)；反饋系統(tǒng)安全配置、文件訪問(wèn)，驅(qū)動(dòng)、引導(dǎo)等系統(tǒng)深度進(jìn)行檢查，提供產(chǎn)品功能截圖并加蓋原廠公章檢查流氓軟件、蠕蟲病毒、其它惡意程序等。支持快速掃描、全盤掃描、自定義目錄掃描運(yùn)行環(huán)境支持Windows X

39、P、Windows7、Windows Server 2003、Windows Server 2008等操作系統(tǒng)類型支持在線更新、離線升級(jí)主機(jī)木馬檢查工具支持檢查系統(tǒng)中的木馬程序、Rootkit、間諜程序等提取操作系統(tǒng)的關(guān)鍵機(jī)制，如系統(tǒng)服務(wù)、內(nèi)存、注冊(cè)表、啟動(dòng)進(jìn)程；檢測(cè)操作系統(tǒng)的安全模型，包括訪問(wèn)控制、特權(quán)和審計(jì)；反饋系統(tǒng)安全配置、文件訪問(wèn)，驅(qū)動(dòng)、引導(dǎo)等系統(tǒng)深度信息，提供產(chǎn)品功能截圖并加蓋原廠公章支持快速掃描、全盤掃描、自定義目錄掃描運(yùn)行環(huán)境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系統(tǒng)類型支持在線更新、離線升

40、級(jí)網(wǎng)站惡意代碼檢查工具支持asp、asa、cer、jsp、jspx、php 等文件格式檢查支持自定義文件后綴格式支持異性、變異WEBSHELL后門代碼檢查支持關(guān)鍵惡意特征碼定位支持快速掃描、全盤掃描、自定義路徑掃描支持自定義掃描策略、可擴(kuò)充惡意特征碼支持自定義文件大小掃描運(yùn)行環(huán)境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系統(tǒng)類型支持對(duì)機(jī)密文檔內(nèi)的黑客工具攻擊后留下的系統(tǒng)后面進(jìn)行檢測(cè)，提供產(chǎn)品功能截圖并加蓋原廠公章支持在線更新、離線升級(jí)三、在線檢查工具集Linux主機(jī)安全配置檢查工具支持檢查主機(jī)系統(tǒng)配置信息，包

41、括：計(jì)算機(jī)名、用戶名、操作系統(tǒng)、版本、內(nèi)存等支持檢查系統(tǒng)安全補(bǔ)丁升級(jí)情況支持檢查不必要的服務(wù)和端口（如TELNET、SSH、SNMP、HTTP等）支持檢查賬戶安全策略信息，包含口令長(zhǎng)度、復(fù)雜度、定期更換、登錄失敗、鎖定次數(shù)等SNMP、SSH服務(wù)、版本信息支持檢查安全審計(jì)配置情況、包含事件類型支持檢查屏幕保護(hù)恢復(fù)時(shí)間支持RedHat、Ubuntu、Debian、Fedora、Suse、Centos中標(biāo)麒麟、紅旗操作系統(tǒng)類型支持在線更新、離線升級(jí)網(wǎng)絡(luò)及安全設(shè)備配置檢查工具支持對(duì)華三、思科、華為、中興、銳捷路由器、交換機(jī)通用系列網(wǎng)絡(luò)設(shè)備安全分析檢查支持對(duì)天融信、網(wǎng)神、啟明星辰、網(wǎng)御星云、Junipe

42、r、三石網(wǎng)科、深信服防火墻通用系列設(shè)置安全分析檢查支持檢查賬戶安全策略信息，包含口令長(zhǎng)度、復(fù)雜度、定期更換、登錄失敗、鎖定次數(shù)等支持檢查安全審計(jì)策略，包含事件類型、SYSLOG服務(wù)器支持檢查不必要的服務(wù)和端口（如TELNET、FTP、SNMP、HTTP、Sendmail）支持SNMP、SSH服務(wù)、版本信息檢查運(yùn)行環(huán)境支持Windows XP、 Windows7、 Windows Server 2003、Windows Server 2008等操作系統(tǒng)類型支持在線更新、離線升級(jí)弱口令檢查工具應(yīng)用服務(wù)支持類型：SSH、SMB、TELNET、FTP、RDP、SQL Server、Oracle、MyS

43、QL、POP3、HTTP、VNC、Sybase等協(xié)議應(yīng)用程序弱口令檢查支持自定義賬戶、口令字典支持自定義應(yīng)用協(xié)議TCP端口內(nèi)置常見弱口令字典（如口令為：123456、88888888、12345等）支持本地、遠(yuǎn)程主機(jī)及多協(xié)議同時(shí)檢查運(yùn)行環(huán)境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系統(tǒng)類型支持在線更新、離線更新數(shù)據(jù)庫(kù)安全檢查工具支持IPV6地址檢查支持對(duì)數(shù)據(jù)庫(kù)弱點(diǎn)、不安全配置、安全策略、補(bǔ)丁升級(jí)、弱口令安全檢查支持主流Oracle、SQL Server、DB2、Informix、MySQL、Sybase數(shù)據(jù)庫(kù)

44、類型，支持達(dá)夢(mèng)、金倉(cāng)國(guó)產(chǎn)數(shù)據(jù)庫(kù)支持授權(quán)掃描，使用具有DBA權(quán)限的數(shù)據(jù)庫(kù)用戶，執(zhí)行選定的安全策略實(shí)現(xiàn)對(duì)目標(biāo)數(shù)據(jù)庫(kù)檢查非授權(quán)掃描,用戶在沒(méi)有授權(quán)的情況下（即：不需要數(shù)據(jù)庫(kù)用戶名、密碼），根據(jù)選定的安全策略對(duì)目標(biāo)數(shù)據(jù)庫(kù)進(jìn)行的檢測(cè)策略自定義,提供掃描策略可自定義模式，操作者可以靈活選擇默認(rèn)策略的同時(shí)也可以自定義添加策略支持自動(dòng)搜索功能，可以自動(dòng)搜索出某一網(wǎng)段或指定IP范圍內(nèi)（端口號(hào)可默認(rèn)或指定范圍）的活動(dòng)數(shù)據(jù)庫(kù)，獲得數(shù)據(jù)庫(kù)的基本信息（包括IP、數(shù)據(jù)庫(kù)類型、服務(wù)名、端口號(hào)、數(shù)據(jù)庫(kù)版本、操作系統(tǒng)類型、主機(jī)名等），提供產(chǎn)品功能截圖并加蓋原廠公章支持按時(shí)、按日、按周定制掃描計(jì)劃，到時(shí)間自動(dòng)進(jìn)行掃描，提供產(chǎn)品功

45、能截圖并加蓋原廠公章支持?jǐn)?shù)據(jù)庫(kù)檢查任務(wù)以文件形式導(dǎo)出備份，提供產(chǎn)品功能截圖并加蓋原廠公章支持以文件形式導(dǎo)入檢查任務(wù)，提供產(chǎn)品功能截圖并加蓋原廠公章支持自定義報(bào)表：報(bào)告內(nèi)容可以自定義(如：報(bào)表的標(biāo)題、描述、頁(yè)眉、頁(yè)腳、等相關(guān)信息滿 足不同場(chǎng)景報(bào)表輸出需要，提供產(chǎn)品功能截圖并加蓋原廠公章支持針對(duì)數(shù)據(jù)庫(kù)每張表每個(gè)字段的內(nèi)容進(jìn)行敏感數(shù)據(jù)探測(cè)，提供產(chǎn)品功能截圖并加蓋原廠公章支持在線更新、離線升級(jí)網(wǎng)站安全檢查工具支持WEB 2.0，支持各類JavaScript腳本解析支持WAP站點(diǎn)掃描支持FLASH解析支持基于HTTPS應(yīng)用系統(tǒng)的掃描支持實(shí)時(shí)存儲(chǔ)掃描項(xiàng)目文件、斷點(diǎn)續(xù)掃支持ERP等復(fù)雜的Web應(yīng)用系統(tǒng)掃描支

46、持易通、織夢(mèng)、DEDECMS、Discuz、Ecshop、易思、方欣、大漢、科訊、通達(dá)OA、PHPCMS、PHP168、PHPCMS2008、phpcms v9、SHOPEX、SiteServercms、TRS、 Nginx代碼執(zhí)行、Spring代碼執(zhí)行、億郵郵件系統(tǒng)命令執(zhí)行等國(guó)內(nèi)、國(guó)外知名WEB應(yīng)用程序漏洞掃描支持JSP、CGI、ASP、.NET等類型動(dòng)態(tài)頁(yè)面支持IP地址、域名地址、批量網(wǎng)站掃描支持無(wú)人值守模式下的全自動(dòng)掃描支持HTTP 1.0和1.1標(biāo)準(zhǔn)的Web應(yīng)用系統(tǒng)支持Oracle、SQL Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Acce

47、ss、 Ingres等后臺(tái)數(shù)據(jù)庫(kù)類型支持對(duì)SQL注入、XSS跨站腳本、偽造跨站點(diǎn)請(qǐng)求、網(wǎng)頁(yè)木馬、隱藏字段、表單繞過(guò)、AJAX注入、弱配置、敏感信息泄漏、HIJACK攻擊、弱口令、Xpath注入、LDAP注入、框架注入、操作系統(tǒng)命令注入、Flash源代碼泄漏、Flash跨域攻擊、Cookies注入、敏感文件、第三方軟件、其他各類CGI等漏洞進(jìn)行掃描支持主動(dòng)掃描、被動(dòng)掃描兩種模式的深度掃描；支持多域名批量掃描，提供產(chǎn)品功能截圖并加蓋原廠公章支持定制掃描：用戶可根據(jù)目標(biāo)掃描網(wǎng)站的特點(diǎn)以及所在網(wǎng)絡(luò)環(huán)境，對(duì)掃描過(guò)程進(jìn)行定制，如爬行、檢測(cè)、過(guò)濾、網(wǎng)絡(luò)環(huán)境等，提供產(chǎn)品功能截圖并加蓋原廠公章支持多種網(wǎng)站認(rèn)證方

48、式：支持包括Basic、Digest、NTLM在內(nèi)的認(rèn)證方式，支持HTTP和SOCKS代理，并支持各種代理的認(rèn)證方式，提供產(chǎn)品功能截圖并加蓋原廠公章對(duì)目標(biāo)網(wǎng)站進(jìn)行完整深度掃描，獲取網(wǎng)站文件列表，在掃描過(guò)程中區(qū)分目錄、文件等大小寫設(shè)定；提供“當(dāng)前域、整個(gè)域、當(dāng)前頁(yè)、子路徑、全部頁(yè)”五種不同的選擇；可設(shè)定強(qiáng)制檢測(cè)的URL地址支持帶驗(yàn)證碼的應(yīng)用系統(tǒng)，并可進(jìn)行登錄錄制功能，錄制功能包括IE錄制、webkit錄制、插件錄制支持掃描模板的設(shè)定，不同網(wǎng)站進(jìn)行同類安全檢測(cè)可直接選擇已配置完成的掃描模板支持掃描原始數(shù)據(jù)、測(cè)試數(shù)據(jù)的查看與瀏覽器回放顯示，提供產(chǎn)品功能截圖并加蓋原廠公章支持對(duì)掃描用時(shí)、掃描頁(yè)面數(shù)、發(fā)包數(shù)、頁(yè)面請(qǐng)求時(shí)間等掃描過(guò)程數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，提供產(chǎn)品功能截圖并加蓋原廠公章支持按時(shí)、按日、按周定制掃描計(jì)劃，到時(shí)間自動(dòng)進(jìn)行掃描 支持在線更新、離線升級(jí)系統(tǒng)漏洞檢查工具支持對(duì)Microsoft Windows XP/2003/Vista/2008/7、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等操作系統(tǒng)進(jìn)行漏洞掃描支持對(duì)Web、FTP、電子郵件等應(yīng)用系統(tǒng)以及Office、Apache等常用軟件進(jìn)行漏洞掃描支持對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描支持多種掃描策略，包括常