系统上线前的安全检查服务
1)按需提供对部分重要系统进行上线前的安全检测(不少于20个),包括系统漏洞扫描和应用漏洞扫描、漏洞人工验证、漏洞整改建议、整改后的复测等,提供安全检查报告。
2)为保证网络安全检查过程的安全可控,上线前的安全检查设备(例如web扫描、主机扫描、弱密码扫描)或软件需为具备软件著作权或销售许可证的商业产品,不得使用开源工具,提供相应证明材料和工具使用授权书,并承诺一旦成交,如果服务过程中提供的工具无法达到预期效果,需按照采购人的要求进行更换。
3)每个系统的上线前安全检查,至少包含2次复检。
交付物:《安全检测报告》。
渗透测试服务
1)使用专业的渗透测试设备,采用人工和工具结合的方式模拟黑客攻击手段,通过信息收集、漏洞挖掘及分析等,对部分重要系统进行渗透测试(不少于10次,不超过15次)。
2)为保证渗透测试过程的安全可控,使用的渗透测试设备需为具备软件著作权证书或销售许可证的商业产品,不得使用开源工具,如果服务过程中提供的工具无法达到预期效果,需按照用户要求更换工具。
3)每个系统的渗透测试,包含至少1次复测。
交付物:《渗透测试报告》。