序号

服务项

服务内容

输出

（交付物）

服务次数

实施工具

1

流量安全监测服务

******幼儿园互联网与教育城域网出口流量数据（特殊情况除外），还原各类网络协议，进行******教育局实时监测网络流量，及时发现并应对各类网络威胁和攻击行为，提高网络安全性。

1. 流量监测与分析：对网络流量进行实时监测和分析，包括流量量、流量速率、流量来源等指标的监测和统计。

2. 威胁检测与预警：通过对流量数据的分析和比对，识别出可能存在的网络威胁和攻击行为，并及时发出预警。

3. 异常行为识别：通过对流量数据的行为分析，识别出异常的流量行为，如大规模扫描、DDoS攻击等。

4. 恶意软件检测：通过对流量数据进行深度包检测，识别出携带恶意软件的流量，并及时阻断或隔离。

5. 数据泄露监测：对网络流量中的敏感数据进行监测，识别出可能的数据泄露行为，并及时采取措施防止数据泄露。

6. 可视化展示与报告：将流量监测和分析结果以可视化方式展示，提供直观的报告和统计图表，帮助管理员了解网络流量状况。

7. 网络行为分析：通过对流量数据的行为分析，识别出用户的访问行为和习惯，为网络管理提供参考依据。

8. 安全事件响应：在发现异常流量或威胁时，及时采取相应的安全事件响应措施，如阻断源IP、隔离受感染主机等。

《流量安全检测报告》

1年

流量探针、NTI互联网资产核查、RSAS远程安全评估系统、Nmap扫描软件等不限于以上工具

2

网站及信息系统安全检测服务

******幼儿园网站及信息系统（单位无网站等特殊情况除外）进行7*24小时持续安全检测，发现网站篡改、网站挂马、访问异常及钓鱼网站等攻击行为，以及网站违规内容、暗链、黑链、“反动黑客”、未知资产等。

1、资产探测：进行主动探测积极发现未知资产。通过输入IP、Web、域名来实现资产探测，探测结果包括Web资产、主机资产、域名资产、端口资产。

2、弱点扫描：包含Web漏洞、主机漏洞、弱口令、安全事件和内容风险，用于发现网站篡改、网站挂马、钓鱼网站等攻击行为，以及网站违规内容、暗链、黑链、“反动黑客”等内容风险。

3、可靠性监测：监测网站的响应时间、可用性等性能指标，确保网站正常运行并提供良好的用户体验。

《XX网站安全检测报告》

1年

流量探针、NTI互联网资产核查、RSAS远程安全评估系统、Nmap扫描软件等不限于以上工具

3

安全监测分析服务

通过监管部门的态势感知平台******学校检测发现的安全事件开展7*24小时云端安全监测分析验证，及时发现掌握单位的网络攻击情况，并形成安全隐患分析报告，提供整改建议和指导。

1、提供一个不低于5人的技术团队，对流量监测平台、WEB监测平台的监测报告，采用人工分析的手段进一步进行分析判断，对报告的漏洞进行验证，对报告的安全事件进行核实，形成安全隐患分析报告，提供整改建议和指导。

2、整改完成后，技术团队负责对整改情况进行复核，确保安全隐患消除到位。

《安全隐患分析报告》

1年

NTI互联网资产核查、RSAS远程安全评估系统、Nmap扫描软件等不限于以上工具

4

渗透测试服务

服务范围：所有对公网开放端口服务的信息系统及WEB等。渗透测试内容包括但不限于：网站遍历、应用层系统漏洞攻击（如跨站脚本、SQL注入、文件上传等）、WEB服务器漏洞攻击、认证机制漏洞攻击、会话管理机制漏洞攻击、访问控制漏洞攻击、输入校验漏洞攻击、应用逻辑漏洞攻击。

在不影响甲方业务系统正常运行的情况下，完全模拟黑客可能使用的攻击技术和漏洞发现技术，对重要信息系统、互联网开放端口和数据接口等目标，针对B/S架构、C/S架构业务系统进行非破坏性质的攻击测试。

******教育局的书面同意和授权。

2、为防止在渗透测试过程中出现的异常的情况，所有被评估系统均应在被评估之前做完整的系统备份或者关闭正在进行的操作，以便在系统发生灾难后及时恢复。

3、在执行渗透测试服务过程中，务必密切关注对目标系统的影响。如发现可能导致服务中断或数据丢失的风险，需立即停止操作并与系统所有者沟通。

4******教育局运行维护人员或安全管理人员实施加固方案。

《渗透测试报告》、《安全优化实施方案及建议报告》

1年（每季度1次）

EZ自动化渗透平台、Burpsuite、Sqlmap等不限于以上工具

5

互联网资产发现与梳理服务

******幼儿园暴露在互联网上的所有域名或IP地址的资产、域名，采用基于网络扫描、搜索引擎、互联网基础数据引擎等方法进行主******教育局的IP段、域名、单位名称等多种条件进行全网探测，满足IPv4/IPv6双栈探测，具备全网资产探测资产的能力。

1、安全专家定期（每季度一次）对资产进行存活性探测，当发现未存活资产或资产发生变更时，安全专家对变更信息进行确认与更新，确保资产台账中资产信息的准确性和全面性。

2、自动化探测主机、网站资产，内网网络设备、包括探测主机操作系统、开放端口、应用服务、协议版本等，探测网站子域名、url、web框架、备案号等，形成资产清单，并实时更新。

《互联网资产梳理清单》

1年（每季度1次）

NTI互联网资产核查、RSAS远程安全评估系统、Nmap扫描软件等不限于以上工具

6

服务器安全管理服务

******教育局机房自有系统的服务器安装主机安全防护软件（特殊情况除外），实现对12个在册信息系统所对应服务器进行精细严格的安全防护、实时主机层面日志分析，确保服务器安全。

《安全事件报告》

1年

安全专家+安全防护软件

7

重保前互联网资产整改服务

******教育局各类互联网资产，结合漏洞情报数据开展风险资产分析，排查资产脆弱性暴露面，识别高风险资产，了解风险类型，对相关脆弱性进行通报、修复指导和处置结果跟踪。

《互联网资产整改报告》

1年（按需进行）

安全专家、安全评估系统、Nmap扫描软件等不限于以上工具

8

I类重点时期安全保障服务

在中考、高考、学考每年三次省市上级部门攻防演练等重点时期提前******教育局重点防守目标系统的互联网资产发现、系统及资产梳理、漏洞扫描、基线检查、风险评估、安全加固等重保前安全检查，形成******教育局网络安保人员调度，全方位全天候掌握相关单位的系统和网站安全状况，以及重保任务全生命周期管理，及时通报预警网络安全隐患，高效处置网络安全事件，并对监测过程所产生的数据及结果进行管理，协同多家技术支撑单位、安全厂商及网络安全专家保障整个过程的网络安全和数据安全，提升重要的安全保障能力。

《重保时期安全保障方案》、《安全事件报告》、《重保总结报告》

1年（按需进行）

安全专家、安全评估系统、Nmap扫描软件等不限于以上工具

9

Ⅱ类重点时期安全保障服务

在常态化安全检查的基础上，在全国两会、重大节假日等重保期间提供现场******教育局网络安保人员调度，全方位全天候掌握相关单位的系统和网站安全状况，以及重保任务全生命周期管理，及时通报预警网络安全隐患，高效处置网络安全事件，并对监测过程所产生的数据及结果进行管理，协同多家技术支撑单位、安全厂商及网络安全专家保障整个过程的网络安全和数据安全，提升重要的安全保障能力。

《重保时期安全保障方案》、《安全事件报告》、《重保总结报告》

1年（按需进行）

安全专家、安全评估系统、Nmap扫描软件等不限于以上工具

10

应急响应与处置服务

网络与信息安全突发事件发生后，保障小组根据突发事件等级，立即启动相应的应急预案，组织有关人员实施先期处置。同时马上安排人员在4小时内（根据事件紧急情况提供1-4小时应急现场响应）赶到事件现场，做好现场划定，实行有效的现场管控措施，快速组织开展应急救援，防止事态扩大，快速恢复系统运行等先期处置工作；按照信息报送规定上报安全事件信息和先期处置情况，并在24小时内完成事件的分析以及处置工作。

《应急响应服务报告》

1年（按需进行）

安全专家、安全评估系统、Nmap扫描软件等不限于以上工具

11

应急演练服务

采用人工编制应急预案、人工进行应急预案培训、人工开展应急测试和演练以及人工执行应急演练的方式进行安全应急体系******教育局运******教育局安全应急响应能力，保障业务系统安全稳定运行。

《网络安全事件应急预案》、《网络安全事件应急预案演练方案》

1年（4次）

安全专家

12

安全专项整治服务

******学校的网络设备、安全设备、服务器、终端等各类基础设施，以及操作系统、数据库、应用程序开展网络安全专项整治行动，每次不低于******学校参与。包括不限于弱口令专项行动、个人敏感数据防泄露专项行动、恶意软件专项行动等。

《安全专项整治服务报告》

1年（不少于2次）

安全专家、安全评估系统、Nmap扫描软件等不限于以上工具

13

现场安全检查服务

面向******学校开展网络安全现场检查工作，检查内容包括安全技术和安全管理等方面，检查方式包括但不限于人工检查、工具扫描和人工访谈等，要求检查前明确本次安全检查的具体内容和方案，检查后对被检查单位具体的检查结果进行汇总并形成本次检查工作的总结报告。

《XX单位现场安全检查报告》

1年

安全专家、安全评估系统、Nmap扫描软件等不限于以上工具

14

驻场安全服务

1、每季度对流量探针设备进行巡检，保障基础平台和各流量探针的可用性。

2、******教育局网络架构和部署区域边界梳理，对安全设备安全策略进行梳理优化，排查用户业务系统、数据库、网络设备等方面是否存在弱口令，对系统、设备、应用的脆弱性利用进行核查，并输出成报告，对存在问题的单位提供安全建议或指导。

3、******教育局的网络设备访问控制策略、安全设备防护策略开展安全策略审核，及时发现网络设备、安全设备防护策略配置不当、防护策略失效等安全策略配置弱点并提出整改建议。

4、******教育局应用系统进行重点匹配筛查，确认影响范围，并及时下发通告，对已经受影响资产启动应急响应机制。

5、针对资产安全管理、漏洞扫描、安全监测分析等发现的安全告警事件，经过专业安全技术人员验证，并确认存在的网络安全漏洞，开展安全事件通报。

6、对通报的安全事件进行处置跟踪，督促其及时完成整改，并对整改结果进行评审复测，确保整改措施有效落实。

《驻场服务报告》

1年

安全专家

15

安全教育培训服务

******学校的技术人员提供教育培训服务，含培训组织和培训讲师理论联系实操，充分综合利用讲课、实训、实验等手段，全面提升专业技能与综合问题的解决能力。培训内容包括但不限于：实战型攻防技能培训、安全运维技术培训、安全意识培训。每半年一次，全年2次。

《培训材料》、《安全培训服务报告》

1年

安全专家及监管主管部门专家

16

安全咨询服务

******教育局投资信息化项目开展安全建设和上云方案进行安全评审工作的技术指导。风险管理咨询、数据安全规划咨询服务，安全合规性咨询等咨询服务。

《网络与信息安全合规材料》

1年

安全专家

17

安全运维人员及工具平台

一、服务期内提供一名网络安全工程师驻场服务（具备安全类如CISP、网络类如HCIP、运维类ITSS二级证书至少一个）。

二、为简化运维，提高效率，采用一体化本地部署安全运维平台，因城域网出口在数据局机房，无法部署硬件设备，不接受平台+安全产品组合方式提供。授权数量为无限制，功能如下：

基本要求：

1、产品采用B/S设计架构，无须安装客户端，可通过浏览器远程对产品进行管理；

2、要求国产化自主研发产品，提供软件著作权证书

3、三个合同周期后，甲方获得所部署软件平台的永久使用权。

4、

功能要求：（每项功能需提供功能截图加盖原厂公章）

1.资产测绘和管理功能：暴露面监测、二级域名扫描、IP反查域名监测、网站资产相关度分析、管理界面能看到主机资产台账和网站资产台账；自动化探测主机、网站资产，包括探测主机操作系统、开放端口、应用服务、协议版本等，探测网站子域名、url、web框架、备案号等，形成资产清单，并实时更新

2.网站风险与威胁监测功能：对网站的“漏洞、篡改、黑链、敏感文件、敏感词、网马监测、可用性、域名劫持、网站主机环境安全监测”等9个维度开展实时监测，并通过邮件/微信告警等形式提供网站风险预警服务。

3.主机漏洞扫描和漏洞管理功能：对主机进行常态化安全漏洞扫描，提供主机漏洞台账与报告，并根据漏洞风险等级、漏洞被利用可能性、漏洞加固或规避措施等内容，为业主单位进行漏洞处置决策提供参考依据。

每次安全漏洞扫描完成后，提交完整的漏洞扫描分析报告，详细说明存在的安全风险，而且对系统以后整改的方向提供适当的解决方案；扫描报告包括综述、主机、漏洞、趋势等信息进行分类，综述中应对漏洞和风险分布进行定量统计分析并展示，主机中应提供漏洞分布、可入侵情况、风险值和风险等级信息。

4.通过流量镜像对海量流量进行采集，对于捕获的流量进行存储、分析，结合内置多重检测引擎，自动对威胁源进行风险评级，精准识别攻击源头，发现不同场景下的已知威胁和未知威胁。

5.互联网威胁诱捕扩展能力：在不改变网络架构前提下（包括：不做镜像流量、不做牵引流量等），通过旁路部署，在“DMZ区”、“服务器区”、“终端区”分别生成仿真业务系统，与待监测的目标“IP、web”等资产网络可达，通过虚拟出来的蜜罐主机，在每个网段部署虚拟蜜罐，达到监测内网病毒威胁安全事件，并提前做安全预警。

6.漏洞攻击屏蔽：精准检测恶意攻击源、扫描源，并可基于告警风险值、或者定向源进行屏蔽，使漏洞扫描器、恶意攻击源无法扫描到主机存在的漏洞，包括可利用漏洞、版本漏洞。 ?

******监测中心流量监测告警处，对单个ip进行手工阻断。也可自动关联流量告警，根据智能研判标签，就会自动触发旁路阻断，包括但不限于非法外联-拦截域名解析的IP（高风险）、外网恶意攻击（高风险）、利用成功（高风险）、暴力破解（高风险）、外网可疑访问（中风险）等标签，可灵活针对国内/国外ip进行灵活封禁，可灵活指定封禁时间间隔。

8.AI智能研判：联动本地DeepSeek AI模型，联动分析“流量、蜜罐、主机”三者告警结论，关联“资产+漏洞”信息，辅助输出综合研判结果：①.给攻击源IP定性并打上攻击者标签，如：非法外联、外网恶意攻击、内网恶意攻击、漏洞利用成功等。

②.输出攻击源资产画像，包括网络区域、主机名称、MAC地址等。

接入DeepSeek大模型的云端AI智能体，支持深度思考模式：支持对流量、蜜罐、主机等告警事件研判，输出研判过程与研判结论。

；告警传输前可自动过滤“身份证号”、“手机号”、“邮箱”信息，避免客户数据泄露；研判结果包括但不限于：分析payload中明显攻击特征，分析响应报文并判断是否攻击成功，关联威胁情报输出病毒外联事件关键点。

9.数据联动分析：资产信息与威胁信息支持联动查看，具体要求如下：主机台账关联漏洞信息，关联主机收集的进程、软件列表等信息；网站台账关联漏洞信息，关联敏感词、敏感文件、黑链等安全事件信息；主机风险台账关联主机台账负责人、部门等相关信息

；网站风险台账关联网站台账负责人、部门等相关信息；流量监测关联主机台账部门、资产组等相关信息；流量监测关联蜜罐诱捕事件,主机事件；蜜罐诱捕事件关联主机台账负责人等相关信息；主机事件关联主机资产台账负责人等相关信息；渗透测试台账关联网站台账部门等相关信息。

?

?

?

?