1. 服务内容

    按照学校指定时间开展12个自然日的现场安全服务保障，所有安全服务工作统一纳入全周期驻场安全服务范畴，整合前期筹备、资产隐患排查、漏洞渗透检测、实时监测值守、应急响应处置、总结复盘优化等全部工作内容。采用本地驻场+远程云端7×24小时专家支撑服务模式，现场一线值守1人天为16小时，时间：8:00-24:00,同时二线提供24小时专家支撑服务。

    1.1制定安全加固实施方案

    编制《学校数字化业务连续性安全加固实施方案》，明确组织职责、工作规划、任务分工、安全技术要求，为后续加固、检测、整改、值守工作提供依据。

    1.2 完善应急预案

    应对有组织网络攻击、重大安全突发事件，修订完善应急专项处置预案、应急处置流程及操作手册。结合校园信息系统常见安全威胁，按网页篡改、拒绝服务攻击、DNS劫持、病毒木马入侵、高危漏洞攻击等事件类别制定专项处置预案及操作手册，安全服务团队协助学校完成预案编制、修订与优化。  

    1.3 互联网资产发现及暴露面排查

    全面梳理校园IT资产，摸清资产底数、归属部门、业务属性、责任人信息，重点排查互联网侧暴露域名、开放端口、对外服务接口等信息，对集权系统（堡垒机、集中管理平台）实施双因子认证强制策略与访问源IP白名单限制，收敛互联网暴露面。在学校授权范围内，通过数据挖掘、实地调研划定资产范围；基于IP/域名采用WEB扫描、操作系统探测、端口探测、服务探测、WEB爬虫等技术，主动识别校园主机/服务器、安全设备、网络设备、工控设备、WEB应用、中间件、数据库、邮件系统、DNS系统等全量资产；生成完整资产及应用清单，标注设备类型、域名、IP、开放端口，精准识别中间件、应用系统、技术架构的型号、版本、服务属性等信息。

    交付成果：《互联网暴露面与资产测绘报告》，按学校信息资产管理平台标准模板完成全量资产信息导入入库。

    1.4 漏洞扫描

    针对校园核心资产开展全面漏洞扫描，排查安全隐患与高危漏洞。主机漏洞扫描：检测Windows、MAC、Linux等操作系统及配套应用软件常规漏洞、典型漏洞及新型高危漏洞；数据库漏洞扫描：针对Oracle、MySQL、Postgres、MongoDB、SQLServer等数据库，检测配置缺陷、已知漏洞、数据完整性风险并开展安全评估；Web漏洞扫描：检测校园各类WEB应用OWASPTop10高危漏洞，包含注入漏洞、XSS跨站脚本、CSRF跨站请求伪造、网页挂马、暗链、敏感信息泄露、安全配置错误等。针对Log4j、Spring Cloud等通用第三方组件漏洞，开展全量资产供应链专项扫描，确保无高危漏洞遗留。

    交付成果：《高危漏洞修复验证报告》

    1.5 渗透测试

    针对统一身份认证（CAS）、校园信息门户等核心系统进行渗透测试。目前学校在用互联网系统约100个。

    交付成果：《渗透测试报告》

    1.6 协助加固整改

    针对隐患排查、漏洞扫描、渗透测试发现的各类安全风险，协调资源开展专项加固整改：

 （1）高危安全漏洞补丁修补；

 （2）全面排查运维人员、外包服务商账户权限，清理僵尸账号与弱口令。系统、设备、账号口令安全配置加固；

 （3）网络边界、安全设备防护策略优化；对WAF、防火墙等安全设备策略进行最小化收敛配置，启用防暴力破解与CC攻击防护规则集。

 （4）完善安全管理制度、防护机制与应急流程。

    对存在中高风险、暂无法立即整改的系统设备，采取补偿性防护措施；确需持续运行的高风险系统，强化全程安全监控与防护策略，保障整体安全。

    1.7 安全监测与告警捕获

    依托全流量分析设备、Web应用防火墙(WAF)、API监测、数据库审计等安全设备，7×24小时实时监测网络流量、系统日志、安全告警；重点关注APT高级威胁、勒索病毒、钓鱼邮件、AI衍生攻击等新型安全威胁场景。重点监测无文件攻击、慢速暴力破解、加密隧道传输等隐蔽威胁以及API接口滥用与越权访问行为，防止数据窃取。

    云端安全监测全天候远程配合驻场人员开展安全防护；对校园门户、统一身份认证、重点业务系统实时监测可用性、网页篡改、挂马暗链、高危漏洞、违规不良信息等风险，第一时间推送风险预警，防范内网横向渗透攻击。

    每日编制值守日志及工作简报，记录监测概况、攻击事件、处置结果、溯源进展；建立专项沟通群组，实现岗位联动、实时通报攻击态势与处置进度。

    交付成果：《每日安全值守与威胁情报简报》

    1.8 快速应急响应与攻击阻断

    建立“监测-研判-阻断-加固”的分钟级闭环流程。接收安全告警后，快速甄别真实攻击与误报，评估威胁等级；综合研判攻击方式、入侵路径、影响范围、数据泄露及系统被控等危害；初步溯源攻击源IP、服务器地址、钓鱼发件地址等信息，划分响应处置优先级。

    确认真实高危攻击后，立即拉黑攻击IP、新增防火墙/WAF拦截规则、隔离感染主机、关闭高危端口；协同运维清理Webshell、临时下线受影响系统，配合开发修复代码漏洞；对弱口令、高危功能模块实施临时加固与权限管控。对因业务连续性无法立即修复的漏洞，实施动态虚拟补丁或微隔离策略，实现风险最小化管控。

    1.9 深度溯源分析与证据固定

    开展全链条深度溯源，固定安全事件证据；二线专家团队对一线捕获的攻击事件进行深度研判，还原攻击路径。 完整留存攻击Payload、恶意样本、流量PCAP包及日志截图，形成司法认可的证据链，为报告编制及整改提供依据。

    交付成果：《重大安全事件溯源分析报告》

    1.10成果总结、复盘与闭环整改

    从组织管理、技术防护、制度流程、运行处置四大维度，全面梳理全周期驻场加固工作成效、问题短板；形成专项汇报材料，向学校相关领导及职能部门汇报整体成果、整改成效及优化建议。

    对服务全过程发现的安全隐患、漏洞风险建立整改台账，制定闭环整改计划；即时整改问题落地验证，暂无法整改的制定中长期优化计划，纳入校园常态化网络安全运营持续改进。 更新学校网络安全应急预案与处置手册，将实战经验转化为校内运维团队的日常操作规程，提升整体网络安全韧性。将演练期间验证有效的临时策略（如IP白名单、强口令策略）固化为常态化安全基线。

    交付成果：《实战防守总结与复盘报告》《常态化安全运营优化建议书》

2.服务要求

  （1）服务启动

    合同生效且接到采购人通知之日起，成交人须立即启动项目，包括但不限于编制详细工作计划，派驻人员进场，完成环境熟悉与权限开通等前期准备，确保接通知后的3个工作日内全面投入安服保障工作。    

 （2）服务周期

    自合同签订生效之日起至项目约定的安全服务期满之日止。

  （3）组织实施要求

    成交人应安排专职项目经理负责本次项目的实施；成交人应保证项目团队成员的稳定，以保证服务的质量和连贯性。

 （4）服务验收

    成交人须按照合同约定的服务内容、质量标准完成全部安全服务工作，并通过采购人组织的验收。验收标准包括但不限于：安全巡检报告完整性、漏洞整改闭环率、应急响应时效达标率、驻场人员考勤及工作记录等。

3.保密要求

    成交人须对本项目实施中所获得任何资料和信息严格保密，并与采购人签订保密协议书。成交人及其工作人员对本项目的资料应尽到管理人的保密义务，保密条款包括但不限于以下：

 （1）严格遵守国家及地方有关保密规定，严格保守项目涉及的工作机密、技术秘密、商业秘密。

 （2）严格限制接触保密信息的范围，约束接触项目保密信息的员工遵守保密义务并签订保密协议。

 （3）在对外技术交流中，不得泄露和发表涉及项目中的保密信息。

 （4）未经采购人或承建单位书面同意，不得擅自对外(包括成交人的上下级单位)复制、传播、转让采购人或承建单位提供的资料、数据。

 （5）项目完结后，成交人必须严格按照档案管理有关规定对项目材料建宗归档，不得私自作项目任何资料、数据保留和备份，更不得将资料、数据泄漏给第三方。

 （6）成交人及其工作人员违反保密条款造成项目资料、数据泄露，成交人须负全部责任、承担由此造成的所有损失，采购人可依据有关规定追究成交人的责任。