项目编号:设备科采购20190834
根据安庆市及岳西县网络安全等级保护领导小组的相关文件精神,我院决定对本院网络安全等级保护进行评测,现就有关等级保护评测服务价格进行公开询价,具体事项说明如下:
第一章 服务需求及技术要求
一、项目概况
为深入贯彻落实习近平总书记关于网络安全工作的重要指示精神和《网络安全法》,进一步推动落实公安部科技信息化局《关于开展2018年度全国公安信息网络安全检查工作的通知》(公科信传发〔2018〕338号)文件中关于公安网络安全等级保护要求。根据公安部、国信办联合印发《信息系统安全等级保护管理办法》(公通字【2007】43号)、《关于信息系统安全等级保护工作的实施意见》(公通字【2004】66号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安【2007】861号)等相关文件要求,我单位全方位落实开展信息系统等级保护测评工作。明确信息安全保障重点,落实信息安全责任。通过项目实施,查找漏洞,整改隐患,为全面提高信息系统稳定运行提供安全保障。
二、信息系统等级保护测评服务需求
本次等级保护测评项目为菲律宾环球360官网信息系统。要求于中标签订合同后2个月内,交付信息系统测评报告。投标人必须入围全国等级保护测评机构推荐目录(可在http://www.djbh.net网址查询,投标时需提供网络截图或等级保护推荐证书)。
2.1等保测评服务
2.1.1方案设计
等级保护测评内容具体要求依据国家等级保护相关标准《GB/T 22239 信息安全等级保护基本要求》,以《GB/T 22240 信息安全等级保护定级指南》为基础,对各信息系统进行等级保护测评,内容包括:
(1)安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。
(2)安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
(3)漏洞扫描:针对网络设备,服务器,应用等进行漏洞扫描出具漏洞扫描报告.
(4)形成差距分析报告:依据测评结果和《信息系统安全等级保护基本要求》(GB /T 22239-2008),要求从信息系统是否具备标准所要求的安全保护设施、安全设施的策略是否达到标准的要求、安全策略是否达到保护的效果三个方面开展差距测评工作。全面的从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理中的所有指标逐项对信息系统中相关的资产进行检查。对各信息系统进行安全现状分析,形成相应的差距分析报告。
(5)依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》,协助招标方制订和完善各项信息安全管理制度,规范信息安全日常管理工作,提高信息安全基础管理水平。
(6)完成上述测评工作和实施整改后,最后出具符合公安机关要求的(年度)信息系统安全保护等级测评报告。
2.1.2 测评实施原则
(1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究投标人的责任。
(2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
(3)规范性原则:投标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
(4)可控性原则:测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
(5)整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
(6)最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
2.2安全服务
2.2.1 系统梳理
网络拓扑调查:通过对系统网络拓扑结构的调查,确定各个网络安全域,分析网络拓扑结构安全。资产信息调查:通过对资产信息的调查,确定系统中重要资产,比如服务器、核心交换机、防火墙、IDS等。服务信息调查:通过对服务信息的调查,确定系统服务对象。系统边界调查:通过对系统边界的调查,确定各子系统边界情况。
2.2.2 协助定级备案
撰写定级报告:通过对业务类型的分析,确定各系统的重要性。撰写系统定级报告,包括系统描述、业务信息安全保护等级的确定、系统服务安全保护等级的确定、整个系统安全保护等级的确定等。协助填写备案表:协助业主完成系统安全等级保护备案表的填写。协助评审审批:协助业主组织召开系统定级结果评审会,协助业主完成整个定级审批过程。
2.2.3 安全保障体系方案编制
(1)确定安全域安全要求:参照国家相关等级保护安全要求,设计不同安全域的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。2)安全域设计:根据系统定级情况,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。3)、根据安全域框架,设计系统各个层次的安全保障体系框架以及具体方案。包括:各层次的安全保障体系框架形成系统整体的安全保障体系框架;物理安全、网络安全、服务器安全等安全技术设计,安全管理制度规划与设计。通过如上内容的规划,系统可以形成整体的等级化的安全保障体系,同时根据安全术建设和安全管理建设,保障系统整体的安全。
2.2.4网络架构分析
进行网络架构分析的目的是查找需要对网络结构实施优化的事项,具体内容如下:
(1)网络现状识别:涉及应用系统和用户分布,安全域划分,区域边界之间所采取的访问控制措施,网络带宽需求及现状,对数据流向的安全控制,设备链路冗余设计,对网络带宽的管控措施,远程访问通信链路的加密,各区域内所采取的入侵检测,安全审计措施,网络出口所采取的入侵防范、病毒过滤、垃圾邮件过滤措施、终端用户接入认证等内容。
(2)网络安全分析:从网络的整体架构进行考虑,紧密结合业务应用现状,识别重要信息系统部署和用户所在网络区域的分布情况,分析网络设计布局的合理性,是否存在单点隐患,确认链路带宽是否满足业务要求,检查产品设备老化问题,确认设备性能是否满足要求,分析网络区域边界是否定义清晰,安全域划分是否合理,服务器、终端接入是否安全,各类安全设备的部署是否到位等。
2.2.5设备配置检查
检查系统相关服务器、交换机与安全设备的配置策略,具体内容如下:1)服务器手工检查:检查服务器操作系统、数据库和中间件的开放服务及端口、账户设置、文件权限设置、审计、共享资源、补丁更新和病毒防护等情况;2)网络设备手工检查:检测交换机或路由器的Vlan划分、路由表配置、访问控制列表ACL、IP和MAC地址绑定情况、设备登录认证方式、口令设置等配置项。
2.2.6漏洞扫描检测
借助专业化漏洞检测工具,对检测范围内的交换机、路由器和服务器实施扫描,发现配置上存在的弱点,作为对手工检查工作所获取数据的补充,同时也是制定安全加固方案的重要依据。
2.2.7 渗透测试
模拟黑客可能使用的攻击技术和漏洞发现技术.对目标系统的安全作深入的探测,发现系统最脆弱的环节(可能会被黑客利用造成网络和系统瘫痪)。所有的渗透测试行为将在客户的书面明确授权和监督下进行。通过系统漏洞扫描利用、端口扫描、服务扫描利用、密码攻击、权限攻击、中间人攻击、SQL注入攻击、XSS跨站脚本攻击、应用层框架漏洞、远程缓冲区溢出攻击和病毒木马攻击等,对目标网络和系统进行测试。测试完成后,形成渗透测试报告并提供加固建议,待加固后复查测试。使得网络系统能够提升安全质量,在一定程度上抵御黑客的攻击。
2.2.8差距分析
以等级保护差距分析结果为依据,依照安全保障体系设计所提及的建设内容,按照等级保护标准要求,制定等级保护管理体系框架,明确管理方针、策略,以及相应的规定、操作规程、业务流程和记录表单;从结合信息系统实际业务流程的原则出发,指导系统运维方按照等级保护对应等级的管理标准,编写管理制度文件,并进行反复沟通和修订,确保所制定的文件的适用性,且满足系统三级保护等级的安全管理要求。
2.2.9完善制度
制定和完善与信息系统的安全保护等级三级的配套管理制度,制度相关内容如下:
(1)安全管理机构:加强和完善安全机构的建设,设立指导和管理信息安全工作的信息安全领导小组,设立安全主管、安全管理各个方面的负责人,明确定义各个工作岗位的职责。建立各种安全管理活动的审批程序,明确对内对外的沟通协作方式,建立对各项安全管理活动的监督审核机制。
(2)安全管理制度:在差距分析的基础上,建立信息安全工作总体方针、安全策略,以方针策略为依据建立配套的安全管理制度及流程规范,由专门的组织机构负责管理制度的制订、发布和贯彻落实。定期对制度进行评审和修订,确保管理制度的适用性。
(3)人员安全管理:主要涉及两方面,对内部人员的安全管理和对外部人员的安全管理。具体包括人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理等方面。
(4)系统建设管理:为了建设符合安全等级保护要求的信息系统、系统建设管理主要关注的是信息系统生命周期中的前三个阶段(即设计、采购、实施)中各项安全管理活动,实现信息系统的安全管理贯穿系统的整个生命周期。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等方面。
(5)系统运维管理:系统运行涉及到很多管理方面,要保证系统始终处于相应安全保护等级的安全状态中。要监控系统发生的重大变化,以便修改对应的安全措施。系统运维管理主要包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。
2.2.10安全加固与优化
根据前期脆弱性评估,结合信息系统的业务需求,对信息系统相关设备进行安全策略加强、调优等,加强网络、系统和设备抵御攻击和威胁的能力,整体提高网络安全防护水平,满足等级保护三级要求。
测评服务标准和规范:
《信息安全等级保护管理办法》(公通字[2007]43号)
《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2008
《信息安全技术信息系统安全等级保护定级指南》GB/T 22240-2008
《信息安全技术信息系统安全等级保护实施指南》GB/T 25058-2010
《信息安全技术信息安全风险评估规范》GB/T 20984-2007
《信息安全技术信息系统安全等级保护测评要求》GB/T 28448-2012
《信息安全技术信息系统安全等级保护测评过程指南》GB/T 28449-2012
《互联网安全保护技术措施规定》(公安部令第82号)
《计算机信息网络国际联网安全保护管理办法》(公安部第33号令)
《公安机关信息安全等级保护检查工作规范》(公信安[2008]736号)
三、安全咨询及技术培训
(1)中标人需按照采购人要求,提供渗透测试、风险评估、等级保护等技术咨询,及时向采购人提供最新的安全动态、技术更新和定制的安全信息,包括但不限于实时安全漏洞通知、定期安全通告汇总、临时安全解决方案和安全知识库更新等。
(2)对采购人新建系统需提供全生命周期的信息安全咨询服务,包括但不限于:软件安全需求、编码规范、测评准则等安全要求。
(3)中标人应在力所能及的范围内提供采购人所需的安全资料,原则上为不涉及商业秘密、不违背自主知识产权、可以公开的资料。
(4)中标人需按照采购人要求,提供采购人认可的讲师进行两次安全培训,培训内容由采购人自选,培训中所需的教材、实验平台、测试工具、讲师食宿费等由中标人提供。
序号 | 评分因素 | 分值 | 具体内容及评分标准 | 得分 |
1 | 投标单位技术实力
(40分) | 10 | 投标人入围全国等级保护测评机构推荐目录(http://www.djbh.net网址可查询,提供投标人在目录内可搜索到的网页截图或等级保护推荐证书)且需持有国家网络安全等级保护工作协调小组办公室颁发的等级测评推荐证书得10分; (投标时提供证明材料复印件或扫描件加盖投标人公章) |
|
5 | 投标人具有中国信息安全认证中心颁发的信息安全风险评估证书得5分 |
|
5 | 投标人具有中国信息安全认证中心颁发的信息安全应急服务证书得5分 |
|
5 | 投标人具备信息安全管理体系认证证书ISO27001的得5分 |
|
5 | 投标人具有中国信息安全认证中心颁发的ISO/IEC20000服务管理体系认证证书得5分 |
|
5 | 1、培训服务方案的理念最先进、措施最可行、安排进度最合理的得5分;
2、培训服务方案的理念较先进、措施较可行、安排进度较合理的得4分;
3、培训服务方案的理念先进性、措施可行性、安排进度基本合理性的得3分。
无相关内容不得分。 |
|
5 | 1、整改咨询服务方案的最合理、可行得5分;
2、整改咨询服务方案的较合理、可行得4分;
3、整改咨询服务方案的基本合理、可行得3分。
无相关内容不得分。 |
|
2 | 投标文件的针对性?合理性?可行性
(25分) | 10 | 投标人应提供等级保护测评方案,方案包含(但不限于)测评目标、内容、方法等内容,方案要求描述清晰、科学规范、可行。 评标小组根据评测方案与信息系统实际情况的贴合程度最能满足本项目需要的得 10 分; 评标小组根据评测方案与信息系统实际情况的贴合程度较能满足本项目需要的得 9 分; 评标小组根据评测方案与信息系统实际情况的贴合程度基本满足本项目需要的得 8 分; 无相关内容不得分。 |
|
10 | 投标人应具有满足项目实施要求的测试仪器设备,涵盖主机系统安全、应用系统安全、数据库系统安全、网络系统安全和软件产品安全测试等方面,以及自动化的漏洞发现与验证平台。 根据投标人提供的仪器设备配备齐全、软件最健全且满足系统安全要求,得 10 分; 根据投标人提供的仪器设备配备较齐全、软件较健全且满足系统安全要求,得 9 分; 根据投标人提供的仪器设备配备、软件一般且基本满足系统安全要求,得 8 分; 无相关内容不得分。 |
|
5 | 结合工作流程拟定项目进度安排,应考虑到项目实施过程中不确定因素。方案中应明确进度管理、质量管理、风险管理的具体做法;优5分,良4分,其他3分。 |
|
3 | 项目实施人员
(15分) | 10 | 项目经理资质要求:项目实施人员中项目经理应同时具备信息安全等级保护高级测评师证书(测评类)和CISP证书(安全类)。同时具备两证的得10分,具备一个的得7分,其他情况不得分(提供证书复印件加盖公章)。 |
|
5 | 项目成员资质要求:项目组成员具有3名以上信息安全等级保护测评师证书的得5分(投标人需提供以上人员测评师证复印件、2019年3月、4月、5月任意月份单位社保缴纳证明、中国网络安全等级保护网人员信息截图,均加盖投标人公章)。 |
|
4 | 业绩(10 分) | 10 | 自2016年1月1日以来,投标人承担全国范围内信息系统安全等级三级(含三级)以上等级保护案例的一个得2分,最高10分。注:业绩需提供合同复印件并加盖公章。 |
|
6 | 报价(10 分) | 10 | 投标人报价得分=(评标基准价/投标报价)×10%×100; 评标基准价为满足招标文件要求且投标价格最低的投标报价; 投标人报价为投标函中投标总价。 (商务报价分计算至小数点后第二位、小数点后第三位四舍五入) |
|
* 本次等级保护评测服务的控制价为:肆万元整
* 请将报价函及相关文件资料(及联系方式)密封后于2019年9月3日下午17:00前递交我院设备科 (地址:安徽省菲律宾环球360官网行政楼七楼设备管理科,联系电话0556-2171620)
菲律宾环球360官网
2019年8月27日
官方微信公众号
