辽宁招标网

* 、服务内容

* 、网站信息安全等级保护测评，是根据《中华 (略) 络安全法》规定及市委市政府、 (略) (略) 网络信息安全工作要求， (略) 的安全等级评审工作。

* 、安全风险评估工 (略) (略) 络安全检查工作要求， (略) 系统本身的 (略) 的测评工作。

* 、渗透测试是为 (略) (略) ，在重要节点前通过技术 (略) (略) 络安全情况、运行环境 (略) 的安全测试，每年 * 次。

* 、项目实施需遵循的标准

在等级保护服务过程中，必须依照以下标准：

GA-T *** 《信息安全技术 网络安全等级保护定级指南》

GB-T *** 9 《信息安全技术 网络安全等级保护基本要求》

GB-T *** 0 《信息安全技术 信息系统安全等级保护实施指南》

GB-T *** 9 《信息安全技术 网络安全等级保护安全设计技术要求》

GB-T *** 9 《信息安全技术 网络安全等级保护测评要求》

GB-T *** 8 《信息安全技术 网络安全等级保护测评过程指南》

GB-T *** 8 《信息安全技术 网络安全等级保护测试评估技术指南》

风险评估过程中依照以下标准：

GB/T *** 7《信息安全技术信息安全风险评估规范》

GB/T *** 5《信息安全技术信息安全风险评估实施指南》

GB/T *** 7《信息技术软件生存周期过程风险管理》

GB/Z *** 9《信息安全技术信息安全风险管理指南》

GB/T *** 5《信息技术安全技术信息安全风险管理》

DB * /T *** 《信息安全风险评估实施规范》

YD/T *** 《网络与信息安全风险评估服务能力评估方法》

(略) 方的相关文件要求，所用的标准均为最新版本。如果这些标准内容矛盾时，我单位将按最高标 (略) 或按双方商 (略) 。

* 、等级保护测评

在等级保护评估过程中，应采用询问、检查、测试、工具扫描等多种手段组合的方式。

测评方法指测评人员在测评 (略) 使用的方法，主要包括访谈、检查和测试 * 种测评方法。

访谈是指测评人员通过引导信息系统 (略) 有目的的（有针对性的）交流以帮助测评人员理解、分析或取得证据的过程。典型的访谈人员包括：信息安全主管、信息系统安全管理员、系统管理员、网络管理员、资产管理员等。访谈工具：调查问卷、管理核查表。

检查是指测评人员通过对测评对象（如管理制度、操作记录、安全配置等）进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程。检查对象包括主机、网络设备、应用系统、文档、安全机制、机房（介质）等。主要工具：技术核查表（Checklist）。

测试（可含功能、性能或渗透测试）是测评人员使用预定的方法/工具使测评对象 (略) 为，通过查看和分析结果以帮助测评人员获取证据的过程。测试包括功能/性能测试、渗透测试等。测试对象包括机制和设备等。测试 * 般需要借助特定工具，比如：扫描检测工具、网络协议分析仪、攻击工具、渗透工具等。

测试；漏洞扫描、渗透测试、压力测试、口令破解；

检查：网络架构分析、物理环境、网络设备、主机系统、应用系统、业务流程核查；

访谈：安全策略、管理架构、管理制度、 (略) 情况。

* 、安全风险评估

通过科学的运用信息安全风险评估方法，常态化的开展关键业务系统的安全性评估，从风险管理角度，运用科学的方法和手段，系统地分 (略) 面临的威胁及其存在的脆弱性，评估安全事件 * 旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。可以有效的防范和降低关键业务信息系统的信息安全风险，将风险控制在可接受的水平，从而最大限度地提升关键业务信息系统的安全保障能力。

内容：

主要内容包括：资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容，并在风险评估之后根据 (略) 安全加固。下图是风险评估实施的流程：

* 、渗透测试

渗透测试主要依据已经发现的安全漏洞，模拟黑客的攻击方 (略) (略) 非破坏性质的攻击性测试，本次将作为评估 (略) (略) 、运行 (略) 全面的渗透测试，从而从深层次发现 (略) 市 (略) (略) 站系统存在的安全问题。

渗透测试的方法

黑客的攻击入侵需 (略) 络的安全弱点，渗透测试也是同样的道理。它模拟真正的黑客入侵攻击方法，以人工渗透为主，辅助以攻击工具的使用，这样保证了整个渗透测试过程都在可以控制和调整的范围之内。

渗透测试流程图：