信息系统整体升级改造安全等级保护测评服务邀请公告
公告类型: 邀请公告 省份: 湖南 发布时间: 2020-07-15 18:00
一、项目信息
项目名称:信息系统整体升级改造安全等级保护测评服务
项目编号:62020071598802962
报价起止时间:2020-07-15 17:34 -2020-07-20 18:00
采购单位:中共湖南省委党校湖南行政学院
供应商规模要求:-
供应商资质要求:
供应商基本要求:满足湖南省政府采购电子卖场管理办法的供应商
二、采购需求清单
商品名称 | 参数要求 | 购买数量 | 控制金额(元) | 建议品牌 |
信息系统整体升级改造安全等级保护测评服务 | 核心参数要求: (需全部满足) 商品类目: 信息传输服务; ★2.投标要求:投标人具备“网络安全等级保护测评机构推荐证书”资质。;★3.服务范围:对校(院)信息系统整体升级改造项目中,部署在校(院)内部教学数据中心的子系统和部署在省政务外网云平台的子系统(具体两个系统在系统建成后由采购方指定)进行等保测评,对拟部署在校(院)内部教学数据中心所有子系统和部署在省政务外网云平台所有子系统的建设提供网络安全咨询服务。按照国家信息安全等级保护政策和技术要求,从两个系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心几个层面实施等级保护安全检测、漏洞扫描,出具主管部门认可的《信息安全等级保护测评报告》。 包括: (1)等级保护差距分析。了解信息系统的现状,确定当前系统与相应保护等级要求之间的差距,确定不符合安全项。 (2)测评报告。找出目前信息系统与等级保护安全要求之间的差距,生成符合公安备案要求的《信息系统等级保护测评报告》。 测评系统清单: 1、内部教学数据中心子系统(采购指定),1套,二级 2、政务外网云平台子系统(采购指定),1套,二级;★4.服务内容 :详见4.1-4.4及附件;4.1 定级服务:协助采购方对被测信息系统进行定级(暂定第二级),协助采购方组织专家评审,对信息系统等级进行评审认定,出具专家评审意见和定级报告,确保信息系统等级合理。 ;4.2 备案服务:协助采购方对被测信息系统进行备案材料的编写,协助采购方到公安监管部门办理备案手续,确保信息系统安全保护等级备案完整。;4.3信息系统安全等级保护测评服务:依据网络安全等级保护基本要求、测评要求、测评过程指南等标准和公安部的安全等级保护工作要求,按照系统对应的级别(二级)逐一对信息系统进行等级测评,出具《信息系统安全等级保护测评报告》。测评内容应包括但不限于以下内容: (1)安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境(网络设备和安全设备安全、服务器和终端安全、应用安全和数据安全)、安全管理中心等方面的安全测评; (2)安全管理测评:安全管理机构与人员安全管理、安全管理制度、系统建设管理和系统运维管理等方面的安全测评; (3)系统整体测评:控制间测评、层面间测评、区域间测评、系统结构安全测评。 具体要求如下: 等级测评工作是本项目的重点,主要包括单元测评和整体测评,其中单元测评是对信息系统的检查内容包括:安全通用要求(安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心)和五个安全扩展要求(云计算、移动互联网、物联网、工业控制、大数据)等各个层面。通过进一步分析信息系统安全保护功能的整体相关性,对信息系统实施的综合安全测评。出具系统的《信息系统安全等级测评报告》。;4.3.1 单元测评:详见4.3.1.1-4.3.1.15及附件;4.3.1.1 安全物理环境:安全物理环境主要关注机房在物理位置选择、物理访问控制、供电等方面的安全保护能力。具体指标详见附件。;4.3.1.2 安全通信网络:安全通信网络主要关注信息系统网络架构、通信传输、可信验证等方面的安全保护能力。具体测评指标包括但不限于如下内容: 1、安全子类:网络架构;测评指标描述:测评分析网络架构与网段划分、隔离等情况的合理性和有效性。 2、安全子类:通信传输;测评指标描述:测试通信过程中的数据的完整性和保密性能力。 3、安全子类:可信验证;测评指标描述:测评基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等是否进行可信验证。;4.3.1.3 安全区域边界:安全区域边界关注信息系统各类安全区域边界在边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计等方面的安全保护能力,具体测评指标包括但不限于如下内容: 1、安全子类:边界防护;测评指标描述:测评网络边界的访问和数据流是否通过边界设备提供的受控接口进行通信,及私自外联和违规内联情况。 2、安全子类:访问控制;测评指标描述:测评网络设备、安全设备的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。 3、安全子类:安全审计;测评指标描述:测评网络设备、安全设备的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。 4、安全子类:入侵防范;测评指标描述:测评网络设备、安全设备在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。 5、安全子类:恶意代码和垃圾邮件防范;测评指标描述:测评网络设备、安全设备的恶意代码防范和垃圾邮件防范情况。 安全子类:可信验证;测评指标描述:测评基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等是否进行可信验证。;4.3.1.4 安全计算环境:安全计算环境关注网络架构中的网络设备、安全设备、重要信息系统、数据库、业务应用软件在身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、个人信息保护、剩余信息保护、数据恢复与备份等方面的安全保护能力,具体测评指标详见附件。;4.3.1.5 安全管理中心:安全管理中心主要关注重要信息系统的系统管理、审计管理、安全管理、集中管控等方面的安全保护能力,具体测评指标包括但不限于如下内容: 1、安全子类:系统管理;测评指标描述:测评系统管理员对系统的资源和运行进行配置、控制和管理情况。 2、安全子类:审计管理;测评指标描述:测评审计管理员对安全审计策略进行配置、控制和管理情况。;4.3.1.6 安全管理制度:安全管理制度主要关注信息系统的管理制度体系、制定与发布以及评审和修订等3方面,涉及安全主管、安全管理人员、管理制度文档、各类操作规程文件和操作记录等,具体测评指标包括但不限于如下内容: 1、安全子类:安全策略;测评指标描述:测评信息系统的网络安全工作的总体方针和安全策略。 2、安全子类:管理制度;测评指标描述:测评信息系统管理制度在内容覆盖上是否全面、完善。 3、安全子类:制定与发布;测评指标描述:测评信息系统管理制度的制定和发布过程是否遵循一定的流程。 4、安全子类:评审和修订;测评指标描述:测评信息系统管理制度定期评审和修订情况。;4.3.1.7 安全管理机构:安全管理机构主要关注信息系统的岗位设置、人员配备、授权和审批等5个方面,涉及安全主管、相关管理制度以及相关工作/会议记录等测评对象,具体测评指标包括但不限于如下内容: 1、安全子类:岗位设置;测评指标描述:测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。 2、安全子类:人员配备;测评指标描述:测评信息系统各个岗位人员配备情况。 3、安全子类:授权和审批;测评指标描述:测评信息系统对关键活动的授权和审批情况。 4、安全子类:沟通和合作;测评指标描述:测评信息系统内部部门间、与外部单位间的沟通与合作情况。 5、安全子类:审核和检查;测评指标描述:测评信息系统安全工作的审核和检查情况。;4.3.1.8 人员安全管理:人员安全管理实施过程关注信息系统的人员录用、人员离岗、人员考核等5个方面,涉及安全主管、人事管理人员、相关管理制度以及相关工作记录等对象,具体测评指标包括但不限于如下内容: 1、安全子类:人员录用;测评指标描述:测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 2、安全子类:人员离岗;测评指标描述:测评信息系统人员离岗时是否按照一定的手续办理。 3、安全子类:人员考核;测评指标描述:测评是否对人员进行日常的业务考核和工作审查。 4、安全子类:安全意识教育和培训;测评指标描述:测评是否对人员进行安全方面的教育和培训。 5、安全子类:外部人员访问管理;测评指标描述:测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。;4.3.1.9 系统建设管理:系统建设管理涉及信息系统的系统定级、安全方案设计和产品采购和使用等9个方面,涉及系统建设负责人、各类管理制度、操作规程文件和执行过程记录等测评对象,具体测评指标详见附件。;4.3.1.10 系统运维管理:系统运维管理主要关注信息系统的环境管理、资产管理和介质管理等12个方面,主要涉及安全主管、各类运维人员、各类管理制度、操作规程文件和执行过程记录等测评对象,具体测评指标详见附件。;4.3.1.11 云计算安全扩展要求:针对云计算的特点提出特殊安全要求。主要增加的内容包括“基础设施位置”、“镜像和快照保护”、“云服务商选择”、“供应链管理”和“云计算环境管理”等要求,具体测评指标详见附件。;4.3.1.12 移动互联安全扩展要求:针对移动互联的特点提出特殊安全要求,主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面要求,具体测评指标包括但不限于如下内容: 安全子类:移动终端管控;测评指标描述:①测评移动终端是否保证移动终端安装、注册并运行终端管理客户端软件;②测评移动终端移动终端是否接受了移动终端管理服务端的设备生命周期管理、设备远程控制,如:远程锁定、远程擦除等。③测评移动终端是否具有选择应用软件安装、运行的功能。④测评移动终端是否只允许指定证书签名的应用软件安装和运行;⑤测评移动终端是否具有软件白名单功能,是否能根据白名单控制应用软件安装、运行。;4.3.1.13 物联网安全扩展要求:针对物联网的特点提出特殊安全要求,主要增加的内容包括“感知节点设备物理防护”、“感知节点设备安全”、“网关节点设备安全”、“抗数据重放”、“数据融合处理” 和“感知节点管理”等方面要求,具体测评指标详见附件。;4.3.1.14工业控制系统安全扩展要求:针对工业控制系统的特点提出特殊安全要求,主要增加的内容包括“室外控制设备物理防护”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面要求,具体测评指标包括但不限于如下内容: 安全子类:控制设备安全;测评指标描述:①测评控制设备自身是否能实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求,如受条件限制控制设备无法实现上述要求,是否由其上位控制或管理设备实现同等功能或通过管理手段控制;②测评控制设备是否在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作;③测评控制设备是否关闭或拆除控制设备的软盘驱动、光盘驱动、USB 接口、串行口或多余网口等,确需保留的是否通过相关的技术措施实施严格的监控管理;④测评控制设备是否使用专用设备和专用软件对控制设备进行更新;⑤测评控制设备是否保证控制设备在上线前经过安全性检测,避免控制设备固件中存在恶意代码程序。;4.3.1.15 大数据平台安全扩展要求:针对工业控制系统的特点提出特殊安全要求,主要增加的内容包括“大数据平台”方面的要求,具体测评指标包括但不限于如下内容: 安全子类:大数据平台;测评指标描述:①测评信息系统大数据平台是否对数据采集终端、数据导入服务组件、数据导出终端、数据导出服务组件的使用实施身份鉴别;②测评信息系统大数据平台是否能对不同客户的大数据应用实施标识和鉴别;③测评信息系统大数据平台是否为大数据应用提供集中管控其计算和存储资源使用状况的能力;④测评信息系统大数据平台是否对其提供的辅助工具或服务组件,实施有效管理;⑤测评信息系统大数据平台是否屏蔽计算、内存、存储资源故障,保障业务正常运行;⑥测评信息系统大数据平台是否提供静态脱敏和去标识化的工具或服务组件技术;⑦测评信息系统对外提供服务的大数据平台,平台或第三方是否只有在大数据应用授权下才可以对大数据应用的数据资源进行访问、使用和管理;⑧测评信息系统大数据平台是否提供数据分类分级安全管理功能,供大数据应用针对不同类别级别的数据采取不同的安全保护措施。;4.3.2 整体测评:在单元测评的基础上,评价测评信息系统的整体安全保护能力有没有缺失,是否能够对抗相应等级的安全威胁。信息系统整体测评应从安全控制点间、层面间和区域间等方面进行安全分析和测评,并最后从系统结构安全方面进行综合分析,对系统结构进行安全测评。 1.安全控制点安全分析和测评 安全控制点间安全测评主要对同一区域同一层面内的两个或者两个以上不同安全控制点间的关联进行测评分析,其目的是确定这些关联对信息系统整体安全保护能力的影响。 2.层面间安全分析和测评 层面间安全测评主要对同一区域内的两个或者两个以上不同层面安全控制点间的关联进行测评分析,其目的是确定这些关联对信息系统整体安全保护能力的影响。 3.区域间安全分析和测评 区域间安全测评主要对两个或者两个以上不同物理或逻辑区域间安全控制点间的关联进行测评分析,其目的是确定这些关联对信息系统整体安全保护能力的影响。 通过对信息系统的单元测评、安全控制点之间的测评、层面分析和区域分析,从而评价信息系统面临的主要安全风险,并在报告中提出整改建议。;4.4 系统建设网络安全咨询服务:在信息系统整体升级改造项目建设期间,对拟部署在内部教学数据中心的各子系统和部署在省政务外网云平台的子系统,按照同步建设的要求,提供网络安全咨询服务,向采购方提出具体建议,指导建设方提高安全防护能力。; 次要参数要求: (采购人可根据实际情况酌情处理)1.服务需求:依照国家相关安全标准和规定,以及相关的网络与信息系统安全制度标准,为中共湖南省委党校(湖南行政学院)信息系统整体升级改造项目中,部署在校(院)内部教学数据中心的子系统和部署在省政务外网云平台的子系统提供网络安全等级保护(二级)测评服务和网络安全咨询服务。; |
1 项 | - | 无 |
买家留言:附件内容必须全部响应
三、收货信息
送货方式:送货上门
送货时间:工作日09:00至17:00
送货期限:竞价成交后7个工作日内
送货地址:湖南省 长沙市 岳麓区 西湖街道 岳麓区西湖街道白云路386号省委党校
送货备注:无
四、商务要求
商务项目 | 商务要求 |
服务期限 | 2020年11月30日前完成。 |
付款方式 | 经采购方确认服务满足要求,在完成测评服务后付款100%。 |