GB/T32914—XXXX

信息安全技術網絡安全服務能力要求

1范圍

本文件對網絡安全服務機構提供網絡安全服務應具備的能力提出具體要求。

本文件適用于指導網絡安全服務機構開展網絡安全服務能力建設，以及評價網絡安全服務機構的能

力水平，也可為政務部門、關鍵信息基礎設施運營者選用網絡安全服務機構時提供參考。

注：本文件所述網絡安全服務不含涉及國家秘密的網絡安全服務。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20984—2022信息安全技術信息安全風險評估方法

GB/T22080—2016信息技術安全技術信息安全管理體系要求

GB/T25069—2022信息安全技術術語

GB/T36626—2018信息安全技術信息系統安全運維管理指南

GB/T36957—2018信息安全技術災難恢復服務要求

GB/T36959—2018信息安全技術網絡安全等級保護測評機構能力要求和評估規范

GB/TAAAA—XXXX信息安全技術網絡安全服務成本度量指南

GB/TBBBB—XXXX信息安全技術網絡安全從業人員能力基本要求

3術語和定義

GB/T25069—2022界定的以及下列術語和定義適用于本文件。

3.1

網絡安全服務cybersecurityservice

根據服務協議，基于服務人員、工具、管理體系等技術資源，向網絡安全服務需求方（3.3）提供

服務的過程。

注1：常見的網絡安全服務包括檢測評估、安全運維、安全咨詢、災難恢復等。

注2：網絡安全服務通常以供需雙方的服務項目形式進行。

3.2

網絡安全服務機構cybersecurityserviceprovider

通過專業的網絡安全人員提供網絡安全服務（3.1）的組織。

注：包括企事業單位、非法人組織等，簡稱服務機構。

3.3

網絡安全服務需求方cybersecurityserviceacquirer

1

獲取外部所提供的網絡安全服務（3.1），以滿足網絡安全需求，實現自身業務目標的組織或個人。

注：簡稱服務需求方。

3.4

服務協議servicecontract

服務開始前供需雙方共同簽署的約定，并在服務過程中共同遵守。

注：服務協議形式上可以是服務合同及其附屬的工作說明書。

3.5

服務級別servicelevel

在服務協議中對服務交付成果明確約定、可測量和文檔化的一系列服務指標。

3.6

服務要素servicefactors

規劃和實施服務所需的服務人員、服務流程、服務環境、服務方法、服務工具、服務保障等關鍵要

素，以及其他服務所需的資源。

3.7

服務方案serviceplans

基于服務目標，對服務各階段中所需執行的過程、任務、活動以及相關服務要素、服務級別進行詳

細描述的文檔。

3.8

服務變更servicechange

任何可能對服務產生影響的新增、修改或解除的活動。

注：服務變更可能涉及服務范圍、服務目標、服務依據、服務內容、服務級別、服務價格、服務要素（3.6）等。

4總則

網絡安全服務機構開展網絡安全服務，應滿足第5章通用要求，以及第6章中與其服務類型相對應的

專項要求。面向對網絡安全服務有更高要求的服務需求方，如政務部門、關鍵信息基礎設施運營者等，

網絡安全服務機構開展網絡安全服務時，還應滿足第7章的增強要求。

5通用要求

5.1基本條件

網絡安全服務機構應具備以下條件：

a)在中華人民共和國境內注冊；

b)法定代表人、董事、合伙人以及高層管理人員無犯罪記錄；

注1：以公司為例，高層管理人員通常是指經理、副經理、財務總監、技術總監、安全總監等。

c)未被列入失信被執行人、重大稅收違法案件當事人名單和政府采購嚴重違法失信行為記錄名單

等嚴重失信名單，以及其他可能影響網絡安全服務的負面清單；

GB/T32914—XXXX

d)獨立經營核算，具有依法繳納稅收和社會保障資金的良好記錄。

5.2組織管理

5.2.1信息安全管理

網絡安全服務機構的信息安全管理應滿足GB/T22080-2016中第4章至第10章、附錄A的要求。

5.2.2服務人員管理

網絡安全服務機構對服務人員的管理應滿足以下要求：

a)設置與網絡安全服務規模相適應的專業技術部門或團隊，建立并維護服務人員清單；

b)網絡安全服務項目負責人具備2年以上相應網絡安全服務項目經驗；

c)建立服務人員檔案，包括服務人員的資格證明、培訓/考核記錄、技術方向和能力水平、從業

經歷、實際參與項目及分工等信息，檔案至少保存至服務人員離職后5年，有關法律法規、行

業管理另有規定的除外；

d)根據服務人員工作崗位，按照GB/TBBBB—XXXX中第5章及第6章的知識和技能要求，制定

崗前培訓計劃，開展崗前培訓，并經考核評定合格后上崗；

注1：例如，服務人員取得網絡安全等級測評師證書后，持證開展網絡安全等級測評工作。

注2：崗位涉及使用安全服務工具的，培訓及考核內容中需包含網絡安全服務工具實操部分，網絡安全服務使用的

常見工具類型見附錄A。

e)與服務人員簽訂保密協議，并定期進行保密教育。

5.2.3資源配置

網絡安全服務機構應對資金、人員、工具等資源進行調配，根據服務需求方需要以書面承諾等方式

向服務需求方說明資源配置、保障情況。

5.3項目管理

5.3.1服務價格

網絡安全服務機構應按照GB/TAAAA—XXXX對每項網絡安全服務成本進行度量后，確定服務價格。

5.3.2服務方案

網絡安全服務機構編制網絡安全服務方案應滿足以下要求：

a)在服務項目實施前編制網絡安全服務方案，并得到服務需求方的認可；

b)在服務方案中明確網絡安全服務范圍、服務目標、服務依據、服務內容及服務級別（或服務成

果）；

c)應明確服務人員（包括項目負責人、項目實施人員的職責等）、服務流程（包括計劃或進度等）、

服務環境、服務方法、服務工具、服務保障（包括資源保障、質量管理、保密管理、風險控制

等）等服務要素。

注1：涉及項目實施人員及職責的，具體到個人身份，并提供聯系方式。

注2：涉及服務流程中計劃或進度的，至少具體到月份。

注3：服務方法通常包括：人員訪談、資料查看、配置檢查、漏洞掃描、滲透測試、源碼分析、日志分析、系統監

測等。

5.3.3服務實施

網絡安全服務機構在服務過程中應滿足以下要求。

3

a)根據服務方案組織項目實施，定期通過通知、例會、報告（如周、月報）等多種形式與服務需

求方溝通反饋。

b)建立服務變更管理流程，變更前與服務需求方就具體事項主動溝通，經服務需求方同意后，確

保服務變更以受控的方式得到評估、批準和實施；服務變更后對服務目標、服務質量和效率、

服務需求方信息系統和業務造成影響的，應進行針對性的改進、補救或恢復。

c)建立項目溝通與應急處置機制，確定雙方的接口人，及時處理服務實施過程中產生的投訴、爭

議、突發事件等，并形成處置結論或解決方案。

d)在服務過程中發現網絡安全事件，及時向服務需求方報告，并記錄事件相關內容；如網絡安全

服務涉及安全事件處置，協助其根據《國家網絡安全事件應急預案》及相關規定處置，并對事

件處置情況進行完整記錄，在服務需求方本地服務器等存儲媒介妥善留存，記錄內容包括但不

限于：事件原因、事件經過、事件影響、處置結果等。

注1：網絡安全事件包括有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害

性事件和其他事件等。

注2：記錄內容的具體格式見GB/T36643—2018中6.3。

e)在服務過程中發現產品（含硬件、軟件）的網絡安全漏洞時，及時向服務需求方報告。涉及通

用產品、其上游產品或者組件的，應根據《網絡產品安全漏洞管理規定》和相關國家標準要求

進行報告和協助處置。

注3：通用產品是指已公開銷售或開放授權，且被廣泛應用的產品。

注4：網絡安全漏洞管理過程見GB/T30276—2020。

f)對服務過程中的關鍵活動和原始數據進行記錄，主要包括：

1）接收數據、資料的記錄；

2）進行補丁更新、系統加固的記錄；

3）與關鍵人員溝通訪談的記錄；

4）引入的供應商產品（包括標識、版本）、服務人員（名單）；

5）與漏洞、安全事件有關的原始數據等。

g)網絡安全服務不得轉包，服務協議中涉及分包的，原則上分包比例不超過40%；分包部分通過

服務協議將網絡安全服務的原則、目標、要求和責任有效傳遞到涉及的供應商，并對其履約情

況進行監督。

5.3.4風險控制

網絡安全服務機構在服務過程中應采取以下措施對風險進行控制：

a)根據服務范圍、服務內容，以及服務人員、服務流程、服務環境、服務資源等服務要素，識別

服務實施過程中可能產生的風險，制定應對措施并確認其有效性；

b)使用服務工具，有可能對服務需求方系統或平臺的功能、性能，數據的保密性、完整性、可用

性等造成影響的，需向服務需求方進行風險提示，在采取風險規避措施并得到服務需求方同意

后方可使用；

c)采取必要的監督、審計措施，確保服務人員對系統或數據的操作不超出服務協議及服務需求方

授權的范圍。

5.3.5成果交付

網絡安全服務機構交付服務成果應滿足以下要求：

a)按服務協議中所規定的關鍵節點，提交服務交付成果，如服務方案、服務過程文檔和記錄、服

務報告（包括階段報告、總結報告、驗收報告等），并得到服務需求方的確認；

GB/T32914—XXXX

b)保證所有服務交付成果的真實性、準確性和完整性，能清晰闡明其中的依據、組成、結論、措

施、數據來源及支撐材料等內容；

c)完成服務交付后，根據與服務需求方的約定，主動將持有的相關數據、資料、賬號、部署的工

具等進行清理、交還或卸載，并向服務需求方提供由項目負責人簽字的承諾或確認函；

注：承諾或確認函中可包含清理、卸載等操作的具體過程證據。

d)建立、維護服務檔案（包括服務交付成果和服務記錄），且檔案至少保存5年，有關法律法規、

行業管理另有規定的除外。

5.4供應鏈管理

網絡安全服務機構的供應鏈管理應滿足以下要求。

a)建立統一的采購和供應鏈管理制度，對供應商的基本資格、供應過程、供應變更等進行審核、

監督、管理；

b)建立供應商篩選機制，不應選擇存在以下情況的組織作為網絡安全服務的供應商：

1）被列入失信被執行人、重大稅收違法案件當事人名單和政府采購嚴重違法失信行為記錄名

單等嚴重失信名單，以及其他可能影響網絡安全服務的負面清單；

2）未處理的網絡安全服務相關行政處罰；

3）3年內因重大網絡安全服務問題被有關部門通報；

注1：重大網絡安全服務問題包括但不限于以下情形：供應存在惡意代碼的產品或假冒產品；在服務過程中因

服務機構原因造成服務需求方系統大面積癱瘓，喪失業務處理能力，重要數據、資料被竊取、泄露；未

使用可信或可控的分發、交付和倉儲手段導致產品被篡改。

4）未解決的知識產權方面糾紛；

5）不滿足服務需求方的篩選條件的；如，服務需求方要求限制從特定供應商或國家、地區采

購產品或服務。

注2：不滿足網絡安全服務需求方篩選條件的，僅影響其在特定網絡安全服務項目中被使用，不影響其進入網

絡安全服務機構的合格供應商清單。

c)對長期使用的產品、服務建立合格供應商清單，同類的產品或服務宜有多個合格供應商。

d)在服務過程中需要引入供應商人員的，應按照5.2.2對相關人員進行篩選、考核、管理。

e)建立、維護供應過程檔案，記錄所有供應商5年內提供產品的名稱、標識、版本、產地、生產

商，服務的名稱、涉及的人員名單及其簡歷等信息。

5.5技術能力

網絡安全服務機構應具有與所開展網絡安全服務相適應的技術能力，并滿足以下要求。

a)對已開展的網絡安全服務形成技術指導書（包括技術規范、操作指引、用例集等），編制技術

指導書應重點關注以下內容：

1）網絡安全服務相關法律法規、國家標準、行業標準等中的規范性要求、最佳實踐等內容；

2）國內外權威機構發布的安全態勢報告、漏洞公告、突發安全事件報告等中的最新安全威脅

分析方法、脆弱性識別方法、安全加固指引等內容；

3）國內外網絡安全技術等的發展動向中關于安全控制、技術解決方案等最新內容。

b)涉及網絡安全事件處理服務的，根據《國家網絡安全事件應急預案》及相關國家標準要求，建

立網絡安全事件應急處置所需的技術能力，如編制相關工作程序、開展相關技能培訓、定期進

行預案演練等。

c)建立網絡安全服務管理系統，網絡安全服務的基本情況和5.3.3d）-f）涉及的數據可錄入系統

并進行自動化管理，且系統可支持通過接口方式共享相關記錄。

d)開展網絡安全服務過程中，涉及使用密碼的，應滿足國家密碼管理有關規定和相關標準要求。

5

注：密碼應用過程見GM/Y5001-2020。

5.6服務工具

網絡安全服務機構應具備與所開展網絡安全服務相關的服務工具（包括設備、平臺、軟件、模板、

知識庫等，常見工具類型見附錄A），并滿足以下要求：

a)應選用未被有關部門通報存在問題的產品作為服務工具，已經使用的工具被通報存在問題的，

應立即停止使用直至問題被修復；

注：經證明產品的版本不屬于通報問題的版本且問題不存在的除外。

b)服務工具為《網絡關鍵設備和網絡安全專用產品目錄》中的，應獲得安全認證或者安全檢測符

合要求；

c)應確保工具的合法版權且授權在有效期內，運行狀態良好，并持續更新、升級；

d)應明確服務過程中工具的使用方法，對工具使用人員進行培訓，避免因不當操作對業務造成影

響或損害；

e)應定期檢驗工具的安全性，包括對工具進行殺毒、對工具產生的網絡流量進行分析等，避免工

具存在有害功能，以及隱蔽的鏈接、協議或端口；

f)應關注工具及其組件的安全漏洞公告和相關信息，在發現漏洞被披露時，應第一時間評估漏洞

的影響，采取更新補丁、下線工具等措施，保證不影響服務涉及的系統或平臺。

5.7遠程服務

網絡安全服務機構需要遠程提供服務的（例如遠程操作服務工具、登錄服務需求方系統等），應滿

足以下要求：

a)服務人員、工具處于可信的物理、網絡環境；

b)對遠程登錄操作人員進行實名登記，分配僅能自用的實名賬號；

c)對遠程登錄操作人員進行身份鑒別，為賬號設置復雜度高（如長度不少于12位，包含大寫字母、

小寫字母、數字、特殊字符等三種以上的字符類型）的口令并定期更換；

d)限制遠程登錄操作的網絡地址、終端、時間周期；

e)遠程登錄操作時，采用密碼技術建立安全的信息傳輸通道，保證通信過程中數據的保密性、完

整性；

f)留存5年內遠程登錄操作的日志，定期對日志進行審計，審計過程中發現存在網絡安全事件的

按照5.3.3d）要求處置。

5.8法律保障

網絡安全服務機構應為網絡安全服務建立法律保障機制，并滿足以下要求。

a)應由專業法務人員審核網絡安全服務協議。

b)應在服務協議中明確以下內容：

1）服務機構與服務需求方雙方的責任邊界；

2）網絡安全服務的范圍、內容、目標、節點、級別、交付成果、驗收等條款，并采用服務目

錄的方式確定服務內容和服務形式；

3）網絡安全服務的保密承諾、數據保護、項目成果知識產權歸屬等條款；

注：數據保護條款具體見5.9a）。

4）體現因受管轄國家及需遵循的法律法規、政策變化影響而造成服務中斷、停止服務或退出

市場等的相關條款及相應責任。

c)網絡安全服務實施過程中，宜按行業管理或服務需求方的要求，通過安全監理、安全審計等方

式來監督和確認服務協議的執行情況。

GB/T32914—XXXX

5.9數據保護

網絡安全服務機構應對服務過程中獲取的數據（包括原始數據、加工分析產生的數據等）進行安全

保護，并滿足以下要求：

a)在服務實施前，應與服務需求方明確約定數據保護的相關條款，包括服務過程中涉及的個人信

息（如身份信息等）、業務數據、系統數據、安全數據、文本資料等的保護要求，以及數據的

使用目的和周期、最小處理范圍、最小特權訪問、事后處置等保護措施；

注1：約定數據保護的條款的方式包括在服務協議中專門體現或簽署單獨的數據保護協議。

注2：現場提供網絡安全服務的，明確項目相關資料是否能被外帶的要求。

注3：涉及紙質資料的，明確是否可被電子化。

b)處理網絡安全服務過程中獲取的各類數據，應遵守法律、法規要求，履行數據安全保護義務，

承擔社會責任，不應危害國家安全、公共利益，不得損害個人、組織的合法權益；

c)不應將網絡安全服務過程中獲取的數據變更目的使用，不應向第三方提供或進行公開，服務協

議中明確授權或經服務需求方同意的除外；

d)應采取必要的安全措施，如加密、完整性校驗、備份等，保證所獲取數據的真實性、準確性，

未經服務需求方同意，不應更改、刪除、銷毀原始數據；

e)因服務所需向境外提供、傳輸網絡安全服務過程中獲取的各類數據，應在事前向服務需求方單

獨告知出境目的、數據種類、數量、周期、接收方等情況，取得服務需求方書面同意。同時，

還應遵守數據出境管理相關法律法規的要求；

f)因處理外國司法或執法機構的要求提供數據時，應遵守國家有關法律法規要求，上報有關主管

機關批準后方可提供；

g)在服務實施完成之后，應按服務需求方和服務協議的要求，進行數據的脫敏、移交、清理、銷

毀等處置；服務需求方對處理情況提出核驗或審計的，應予以充分配合。

5.10服務可持續性

網絡安全服務機構應采取措施保障服務的可持續性，并滿足以下要求：

a)應針對自身服務中斷、服務機構更換等制定應急處置方案采取必要措施防止造成服務需求方業

務中斷、安全防護水平下降或其他影響；

b)服務期限到期前，如需繼續向服務需求方提供服務的，應提前與服務需求方溝通協商，避免因

服務中斷、資源保障不到位等對服務需求方產生影響；

c)涉及服務機構更換的，應根據服務需求方要求向指定的其他網絡安全服務機構移交相關的資

料、賬號、證件、令牌等，直至網絡安全服務工作平穩過渡后才可退出服務；

d)若確有無法提供持續服務的情況，應提前3個月向服務需求方說明相關情況，并提出服務需求

方認可的替代、交接方案。

6不同種類網絡安全服務的專項要求

6.1檢測評估服務

檢測評估服務應滿足以下要求：

a)服務機構應具備基本的檢測評估相關服務工具研發能力或二次開發能力；

注：例如，利用腳本語言編寫測試代碼等可認為是基本研發能力的體現。

b)服務內容涉及網絡安全等級保護測評的，服務機構應能滿足GB/T36959—2018中第4章的相關

能力要求；

7

c)服務內容涉及風險評估的，服務機構應能按照GB/T20984—2022對風險進行識別、定性或定量

分析、評價；

d)開展漏洞掃描、滲透測試等可能對服務需求方系統、平臺、數據等造成影響的，就可能產生的

風險、應對措施向服務需求方單獨告知，經其同意后采取影響最小的方式實施；

e)服務需求方要求使用測試環境進行檢測評估時，分析測試環境與真實環境（如生產環境）的區

別，向服務需求方說明檢測評估結果的適用范圍；

f)針對檢測評估所發現的安全問題、風險等提出安全整改建議，并在服務需求方完成整改后驗證

整改效果，服務需求方無相關需求的除外；

g)留存5年內對服務交付成果內部評審、批準，以及服務需求方簽收或確認的記錄。

6.2安全運維服務

安全運維服務應滿足以下要求：

a)需要安全運維服務人員長期駐場（半年以上）服務的，服務機構應向服務需求方提供其背景審

查、人事關系等材料供服務需求方審核，服務需求方確認后服務人員才可進場工作；

b)通過績效管理等措施維持安全運維服務團隊的穩定性，駐場服務人員每年或單個項目服務期間

更換比例原則上不超過20%；

注1：如更換比例超過20%，向服務需求方說明更換服務人員的原因，以及采取何種保障措施確保服務質量不會下

降。

c)按照GB/T36626-2018中第7章界定服務人員及其工作職責，并按照GB/T36626-2018中第8章的

規程開展安全運維服務；

d)應對運維工作記錄進行匯總，定期向服務需求方提供安全運維工作簡報，簡報的形式和提交時

間應在服務協議或方案中明確，包括日報、周報、月報、季報、年報等形式；

e)通過可量化的方法衡量安全運維的服務水平和用戶滿意度；

注2：例如，通過安全運維服務平臺的反饋信息進行統計以體現運維事件響應、事件關閉的效率來量化服務水平。

f)服務交付成果中應包含服務周期內的安全運維總結報告，總結報告內容包括安全運維工作的基

本情況、處置的安全事件、采取的改進措施、服務水平評價數據等。

6.3安全咨詢服務

安全咨詢服務應滿足以下要求：

a)明確安全咨詢過程中服務需求方需要提供的具體資料和數據，并說明理由；

b)將安全咨詢過程中使用的資料、數據形成清單，并將被訪談人員、訪談經過，資料、數據的提

供人、提供時間等進行記錄，保證資料、數據獲取、使用情況可追溯。

6.4災難恢復服務

網絡安全服務機構應按照GB/T36957—2018相關要求開展災難恢復服務。

7增強要求

網絡安全服務機構應滿足以下增強要求。

a)根據服務協議中的服務內容建立相對獨立的服務團隊，配備專用的工具、服務管理平臺，指定

一名高層管理人員作為網絡安全服務負責人。

b)確保實施網絡安全服務的人員是持有相關技術資格證明的正式員工，并對其進行過背景審查

（如無犯罪證明記錄等），調查結果應長期留存并可供服務需求方查看，根據有關部門要求服

務人員已備案的除外。

GB/T32914—XXXX

c)在服務過程中需要引入供應商產品或服務的，應優先選擇合格供應商清單中供應渠道可靠，受

政治、貿易、外交等因素導致供應中斷可能性小的產品或服務。

d)確保市場采購的服務工具取得安全認證，或按照相關標準通過安全檢測。

注1：如選用具有自主知識產權、可被重構的工具等。

e)關鍵服務工具為非市場采購的服務工具（包括但不限于定制開發工具、自研工具、可免費下載

使用或試用的工具）的，應通過第三方機構的安全檢測。

注2：關鍵服務工具通常是指24h內不使用就會對服務需求方的系統、數據的保密性、完整性、可用性等產生影響。

f)建立關鍵服務工具清單，并為關鍵服務工具進行備份，包括但不限于：

1）服務工具的儲備充足，可隨時啟用備份的工具；

2）同類用途的主備服務工具來自不同供應商；

注3：定制開發工具、自研工具和市場采購的服務工具可認為來自不同的供應商。

3）定制開發工具、自研工具的核心研發人員存在主備方案。

g)在獲知安全事件信息或威脅信息后，對供應鏈中相關產品、組件、服務進行風險分析，提出更

新、中止、替換等針對性的應急措施，并更新合格供應商清單。

h)提供服務過程中，對使用的服務工具產生的網絡流量進行監測或審計，保證所有網絡流量均為

提供服務所必需的流量；涉及出境流量的，應按照5.9e）的要求處置。

i)具備對網絡攻擊行為進行主動發現、分析、提出防護建議，并按照5.3.3d）的要求進行記錄和

留存的能力。

注4：發現方式主要包括日志分析、異常文件分析、異常進程分析、異常流量分析、威脅源分析等。

j)具備對不同廠商安全設備產生的日志進行整合分析，以及對5.3.3f）中記錄的、服務需求方所

掌握的、以及從其他渠道獲知的網絡安全事件信息進行匯總、研判的能力。

k)與國家、行業等建立的網絡安全信息共享機制進行聯動，將共享機制中相關機構提供的、或從

國家備案的漏洞庫等渠道獲取的漏洞信息、威脅信息等向服務需求方進行共享。

l)在服務協議中明確服務機構持續服務的義務。例如，在服務期內不得單方面停止對服務需求方

的服務。

m)對服務過程中獲取的數據，應與其他數據分離存儲，并按照重要數據相關法律法規和標準的要

求予以保護。

n)除僅用于服務所需目的外，不應對服務過程中獲取的數據進行二次加工、分析。

9

附錄A

（資料性）

網絡安全服務使用的常見工具類型

A.1檢測評估服務可配備的工具類型

漏洞挖掘工具：針對系統或單個產品進行安全性檢測分析，通過自動化構造的測試用例，檢測分析

系統的源碼、目的代碼、運行內存和通訊狀態等，發現系統或產品的未知安全漏洞，并能給出初步分析，

從而幫助提高系統或產品的安全性的工具。

配置核查工具：基于安全配置要求實現對資產（如服務器、網絡設備、安全產品、操作系統、數據

庫、應用系統等）的安全配置檢測和合規性分析，生成安全配置建議和合規性報告，目的是發現并指導

消除資產中因安全配置不當導致的安全隱患的工具。

軟件成分分析工具：通過分析軟件包含的一些信息和特征來實現對該軟件的識別、管理、追蹤的工

具，具備使用基于人工智能（AI）的分析引擎發現所有的三方組件漏洞，精確、詳細地反饋漏洞信息，

以及問題組件的引用位置的能力。

交互式應用安全檢測系統：交互式應用程序安全測試，通過代理、虛擬專用網絡（VPN）或者在服

務端部署Agent程序，收集、監控Web應用程序運行時函數執行、數據傳輸，并與掃描器端進行實時交

互，高效、準確的識別安全缺陷及漏洞，同時可準確確定漏洞所在的代碼文件、行數、函數及參數。

流量分析工具：針對網絡或者被測試系統的交互流量能夠攔截、重放、修改的分析工具。

風險評估與管理工具：此類工具實現了對風險評估全過程的實施和管理，包括:被評估信息系統基

本信息獲取、資產信息獲取、脆弱性識別與管理、威脅識別、風險計算、評估過程與評估結果管理等功

能。評估的方式可以通過問卷的方式，也可以通過結構化的推理過程，建立模型、輸入相關信息，得出

評估結論。通常這類工具在對風險進行評估后都會有針對性地提出風險控制措施。

安全審計工具：用于記錄網絡行為，分析系統或網絡安全現狀;它的審計記錄可以作為風險評估中

的安全現狀數據，并可用于判斷被評估對象威脅信息的來源。

拓撲發現工具：通過接入點接入被評估網絡，完成被評估網絡中的資產發現功能，并提供網絡資產

的相關信息，包括操作系統版本、型號等。拓撲發現工具主要是自動完成網絡硬件設備的識別、發現功

能。

資產信息收集系統：通過提供調查表形式，完成被評估信息系統數據、管理、人員等資產信息的收

集功能，了解到組織的主要業務、重要資產、威脅、管理上的缺陷、采用的控制措施和安全策略的執行

情況。此類系統主要采取電子調查表形式，需要被評估系統管理人員參與填寫，并自動完成資產信息獲

取。

A.2安全運維服務可配備的工具類型

安全運維服務包括但不限于安全巡檢、安全加固、應急保障，可配備的工具類型有：