服务内容

服务说明

代码审核

服务

范围

包括但不限于使用***、***.***（**/*#）、***（****、

***等主流语言开发的*/*应用系统、使用*++、****、*#、**等主流语言开发的*/*应用系统，以及使用***语言编写的文件、***语言和数据库存储过程等

检查

内容

发现如下违背程序编写标准的问题：源代码设计问题、错误

处理不当、直接对象引用、资源滥用及***滥用等

重点关注如下要素：跨站脚本漏洞、跨站请求伪装漏洞、

***注入漏洞、命令执行漏洞、日志伪造漏洞、参数篡改、

密码明文存储、配置文件缺陷、路径操作错误、资源管理、

不安全的****调用、系统信息泄露及调试程序残留等

服务

方式

进行人工结合自动化代码审核工具等检测，其中代码审核工

具要求采用厂商自主研发的专用源代码审核工具，非免费开

源产品，非通用漏洞扫描类产品，需提供产品软件著作权证

书

服务

报告

对源代码中的每个安全弱点进行详细描述，描述内容至少包

括安全弱点所在的代码页名、代码行数、问题代码片段以及

弱点可能导致的安全问题等，并提出解决方案

渗透测试

服务

范围

操作系统包括：
*******、发行版*****、***、*******、*******等主流系

统

应用系统包括：
******、*****、*****、******、***、********等主流数

据库，******、***、******、********等主流***服务器，***、***等主流应用服务器

***程序包括：
***、***、***、.***、****、******、*****、****等语言编写的***程序

网络设备包括：
常见厂商的路由器、交换机等设备

测试

内容

渗透测试的工作内容包括但不限于：信息收集类、配置管理

类（****方法测试、信息泄露等）、认证类（用户枚举、密

码猜解、密码重置测试等）、会话类（******测试、会话

固定测试等）、授权类（***越权、路径遍历、业务逻辑、

文件下载测试等）、数据验证类（***注入、跨站脚本、代

码注入、***跳转、文件上传测试等）、系统应用漏洞等

服务

方式

渗透测试服务方式包括内部渗透测试及外部渗透测试。内部

测试是测试人员到达现场，直接接入到办公网络或业务网络

中；外部测试是直接从互联网访问并对系统进行测试。

工具

要求

渗透测试工具要求服务商具有自主研发的专用渗透测试类工

具，非免费开源产品，非通用漏洞扫描类产品，需提供产品

软件著作权证书

服务

报告

实施渗透测试后出具《**系统渗透测试报告》，针对每种

威胁进行详细描述，描述内容至少包括测试范围、过程、使

用的技术手段以及获得的成果。并针对性提出解决方案和相

关的安全建议，为管理员的维护和修补工作提供参考

服务内容

服务说明

服务范围

包括但不限于以下类型安全事件的应急响应支持：
应用服务瘫痪问题；
网络阻塞、****攻击问题；
服务器遭劫持问题；
系统异常宕机问题；
恶意入侵、黑客攻击问题；
病毒爆发问题；
内部安全事故等

服务方式

根据事件实际情况提供远程或现场应急服务
现场服务：指接到紧急服务请求，支持人员在最短时间内赶赴现

场，协助分析事件可能的原因，解决各类安全事件
远程服务：指通过电话、远程协助、远程临时接入等非现场的活

动，协助分析事件可能的原因，解决各类安全事件

应急内容

对可疑的恶意入侵、恶意资源消耗、病毒爆发、内部安全事故等

事件进行分析，查找事发原因，通过专业工具对入侵事件进行追

踪、取证，分析安全日志，获取入侵者的信息和证据。帮助我方

进行系统安全恢复、应用服务安全恢复、数据安全恢复、网络性

能安全恢复、网络病毒清除等工作

服务报告

应急响应工作完成后*个工作日内提供《**应急响应服务处理报

告》；
报告需对整个安全事件的来龙去脉进行详尽的分析，并最终给出

分析结果；
并根据分析结果提出解决方案和相关的安全建议，为事件的后期

处理提供参考