为了贯彻落实《中华人民共和国网络安全法》、《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神，响应国家的要求，我分局于2021年全面启动信息安全等级保护工作。本项目主要为我分局提供信息安全等级保护协助定级备案服务、信息安全等级保护差距安全评估服务、信息安全等级保护差距、信息安全等级保护验收测评服务及其他安全服务项目，我分局对惠州潼湖流域水环境在线监测系统二级等保测评项目（以下简称项目）进行公开询价，欢迎符合资格条件的供应商询价。
一、项目名称
      地表水水质自动在线监测平台系统二级等保测评项目。
二、项目预算金额（人民币）
      14.9万元。
三、服务方资格（资质）
      1.在中华人民共和国境内注册并合法运作的独立法人机构。
      2.具有良好的信誉和健全的财务制度，2018年至今在行政主管部门中无任何不良记录的企业。
      3.不接受联合体参加、不允许分包或转包。
      4.法律、法规规定的其他条件。
四、服务内容
      （1） 协助定级备案服务
根据《GB/T 22240-2008信息安全技术信息系统安全等级保护定级指南》等标准，协助本单位进行定级备案工作，确定已备案系统等级，优化系统测评点要求指标，修订需调整系统的等级，优化系统测评点要求指标，提交等级定级报告、备案表和自检表送公安部门备案，直至取得信息系统定级备案证明。
      （2）信息安全等级保护差距安全评估服务
针对本单位定级系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心5个技术层面；、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理5个管理层面进行现场测评和差距分析，记录相关的测评结果,输出现场测评记录结果。
依照《等级保护现场测评记录》中所记录的针对本单位定级系统的技术和管理测评结果，结合系统整体差距评估结果，按照公安部标准测评报告模板撰写测评记录，完成提交《系统问题清单列表》。
      （3）信息安全等级保护测评服务
在信息系统进行完成差距评估后，甲方整改实施完成，乙方对信息系统的安全技术和安全管理上各个层面的安全控制进行整体性验证，针对本单位定级系统进行全面的信息安全等级保护测评。
等级保护测评包括，安全技术及安全管理测评两个方面。根据现场访谈、配置核查的基础上 通过先进的安全测试工具进行安全漏洞、应用系统代码漏洞的扫描及人工核查,在现场测评的结 果和本单位定级系统测评在数据汇总分析的基础上，分析系统存在的问题，给出系统等级测评结 论，编制《等级保护测评报告》提交公安部门备案，协助用户完成等级保护测评工作，进行评审， 评审通过后完成备案，直至获取备案证书。
五、服务要求
5.1报告要求
      服务中产生的全部档案资料版权归招标方所有，中标人未经招标方允许的情况下，不得以任何形式向第三方提供安全技术文档的全部或部分内容，交付文件包括但不限于如下成果和报告：《问题清单》、《漏洞扫描》、《等级保护测评报告》报告，格式及内容应完全依据广东省网警公布的信息系统安全等级测评报告模板，内容包括：信息系统现状、信息系统安全测评的方法、信息系统运行环境测评、等级测评内容、剩余风险分析与评价、等级评测结论。
5.2测评工具要求
      在等级保护测评过程中，应采用询问、检查、测试、工具扫描等多种手段组合的方式。工具扫描应至少包括使用：安全评估系统(即安全脆弱性扫描)工具对重要服务器、网络设备、部分客户端（5%-10%）进行漏洞扫描。报价人须在投标文件中列出安全评估系统(即安全脆弱性扫描)工具，并说明设备的最终归属权，为规避可能带来的法律风险，若非原生产厂家，需要出具安全评估系统(即安全脆弱性扫描)工具所使用工具原生产厂家正版使用授权以及无偿技术服务支持承诺书。若引起任何知识产权或者相关法律纠纷，由中标供应商承担责任并补偿因此对采购人造成对损失。所提供用于安全评估系统(即安全脆弱性扫描)工具和安全配置核查工具应至少包含或高于以下工具指标要求。
安全评估系统(即安全脆弱性扫描)工具指标要求：

项目	指标
基本要求	产品要求必须为国内研发，具备自主知识产权，必须提供《计算机软件著作权登记证书》的复印件。
	产品必须获得公安部网络安全保卫局的《计算机信息系统安全专用产品销售许可证》（增强级），检验依据必须是GB/T 20278-2013 《信息安全技术 网络脆弱性扫描产品安全技术要求》，并提供证书和检验报告的复印件。
产品性能	★应支持系统漏洞扫描模块、WEB漏洞扫描模块、数据库漏洞扫描模块、基线配置核查模块、工控漏洞扫描模块、大数据漏洞扫描模块、Docker漏洞扫描模块、自动渗透测试模块、网络流量分析模块、源代码安全审计模块、网站安全监测模块、APP安全扫描模块、等保测评报告模块、WIFI安全监测模块（需提供以上相关功能模块截图并加盖制造商公章）
	支持多用户多任务并发扫描。单任务可扫描IP数不少于8192个IP地址，允许最大并发扫描≥100个IP地址，允许最大并发任务≥10个任务。总可扫描IP数无限制。单任务可扫描网站数不少于100个域名，允许最大并发扫描≥20个域名，允许最大并发任务≥5个任务。总可扫描网站数无限制。
空间资产管理模块	资产类别	包括：操作系统、网站、数据库、中间件、网络设备、安全设备、工控设备、虚拟化设备等。
	资产管理	支持将资产信息批量导入到资产树，可在资产树上直接指定资产开展扫描任务，也可以查看该资产相关详细信息。
	资产报告	支持将资产导出，生成资产报告，报告内容包括：资产组、资产名、IP地址、MAC地址、端口、主机名、操作系统、负责人、地区等信息。
	分组管理	支持资产信息设置，包括资产名、所属组、负责人、所在地等。
	工控管理	▲支持工控系统信息设置，包括设备类型（PLC、RTU、DCS、数据采集模块、继电保护装置、DTU等），厂商（abb、siemens、schneider_electric、ge、advantech等），设备型号，设备版本，物理地址等信息。（需提供以上相关功能模块截图并加盖制造商公章）
	网站管理	▲支持WEB网站信息设置，包括网站名、URL、负责人、所在地、操作系统、页面类型、数据库类型、WEB认证、客户端证书、COOKIE配置、URL提取规则等。（需提供以上相关功能模块截图并加盖制造商公章）。
	网络拓朴图	▲支持自动生成网络拓朴图，资产类型包括：机房、云、交换机、路由器、防火墙、负载均衡、服务器、客户机等。还可以进行添加、修改、删除，并查看各资产的详细信息。（需提供以上相关功能模块截图并加盖制造商公章）
一键智能扫描	★支持一键扫描，只需要输入IP、IP网段、URL，系统会自动调用选中的扫描引擎，使用默认的扫描模板、扫描参数对目标系统进行漏洞扫描，简单方便。（需提供以上相关功能模块截图并加盖制造商公章）
系统漏洞扫描模块	扫描对象	Windows系列：NT、2000、XP、2003、Win7、Win10、2008、2012、2016等。 Linux系列：Amazon Linux、CentOS、Debian、Fedora、Red Hat、SuSE、Ubuntu等。 Unix系列：AIX、FreeBSD、HP—UX、Solaris、Mac OS X等。 应用服务：WEB、FTP、DNS、DHCP、MAIL等。 WEB应用服务：IIS、Apache、Tomcat、Websphere、Weblogic、Nginx等。 应用软件：Microsoft Internet Explorer、Office、RealPlayer、Outlook、Adobe Flash等。 数据库：Oracle、Mysql、DB2、Informix、MSSQL、Sybase等。 网络设备：思科Cisco、华为HUAWEI、华三H3C等。 安全设备：juniper等。 虚拟化平台：Vmware EXSi、Citrix XenServer、Microsoft Hyper-V等。 云平台：VCenter、OpenStack、Eucalyptus等。 大数据：Hadoop、Spark、HBase、Hive等。 视频监控系统：海康（Hikvision）、大华（Dahua）、Axis（安迅士）、D-Link（友讯）等。 工业控制系统：西门子SIMATIC、施耐德Schneider、通用电气GE、艾默生Emerson、霍尼韦尔Falcon、研华等。
	扫描技术	支持智能服务识别、安全优化扫描、授权登录扫描、恶意代码检测、补丁联动等。
	扫描策略	支持35种以上的默认扫描策略，分别针对不同的扫描对象，如Windows、Linux、Unix、数据库、WEB应用服务、网络设备、虚拟化平台、云平台、大数据、视频监控系统、工控系统等。（需提供以上相关功能模块截图并加盖制造商公章）。
	系统漏洞知识库	★系统漏洞知识库的检测脚本大于120000条，所有的检测脚本都能够在产品中随机进行浏览和多维度检索。（需提供以上相关功能模块截图并加盖制造商公章）
		▲系统漏洞知识库兼容CVE、CNCVE、CNNVD、CNVD、CVSS、Bugtraq等主流标准，获得了国家信息安全漏洞库兼容性资质证书。（需提供以上相关功能模块截图并加盖制造商公章）
WEB漏洞扫描模块	扫描对象	支持的协议：支持HTTP、HTTPS协议。 支持的WEB服务器：IIS、Websphere、Weblogic、Apache、Tomcat、Nginx等。 支持的编程语言：Asp、Jsp、.Net、J2EE、Php等。 支持的数据库类型：Access、Mysql、ORACLE、DB2、PostgreSQL、Sybase、Informix、sqlite、MSSQL SERVER等。 支持的第三方组件：WordPress、eWebEditor、FCKeditor、Struts2等。
	扫描技术	支持OWASP TOP 10漏洞检测，支持SQL注入、XSS跨站脚本、命令执行、目录遍历、上传漏洞等检测。
		能够自动化解析json、base64数据并进行扫描。
		支持Web2.0扫描，支持flash解析，支持自定义不扫描的目标URL，支持自定义扫描深度。（需提供以上相关功能模块截图并加盖制造商公章）
		▲支持WEB漏洞扫描，还支持敏感关键字检测，支持网马和暗链检测，支持钓鱼网站检测。（需提供以上相关功能模块截图并加盖制造商公章）
		★支持WEB漏洞验证，能够对发现的WEB漏洞进行验证，记录下扫描漏洞发现的测试数据包，用于取证。并对注入漏洞，自动识别数据库类型，获取InstanceName（实例名称/数据库名称）和UserName（用户名称），使误报率大大降低。（需提供以上相关功能模块截图并加盖制造商公章）
网站安全监控模块	网站监控内容	▲支持WEB漏洞检测、网站可用性检测、网页篡改检测、敏感关键字检测、网马和暗链检测、钓鱼网站检测等。（需提供以上相关功能模块截图并加盖制造商公章）
	WEB漏洞检测	支持OWASP TOP 10漏洞检测，支持SQL注入、XSS跨站脚本、命令执行、目录遍历、上传漏洞等检测。
		▲支持输入Cookie信息，进行登录扫描。支持会话录制功能。（需提供以上相关功能模块截图并加盖制造商公章）
	网站可用性检测	支持检测网站是否可用，检测DNS解析时间，检测连接服务器时间，检测服务器响应时间，检测域名劫持等。
	网页篡改检测	支持白名单设置，图片MD5比较，页面标题比较，删除链接提醒，新链接提醒，页面相似度阀值设置等。
		支持定位到篡改的页面源码位置，高亮显示。（需提供以上相关功能模块截图并加盖制造商公章）
	敏感关键字检测	支持自定义敏感关键字，基于分词的语义分析。
		支持身份证信息、银行卡等个人敏感信息识别，支持图片文字识别。（需提供以上相关功能模块截图并加盖制造商公章）
数据库安全扫描模块	扫描对象	支持关系型数据库：Oracle、Mysql、Sqlserver、Sybase、DB2、Informix、Postgresql。
		支持国产数据库：人大金仓Kingbase、达梦dameng、南大通用GBase。
		支持nosql数据库：MongoDb、Redis、CouchDb、Memcache。
	扫描技术	支持非授权扫描，只需要配置目标数据库的IP地址、数据库类型和端口号。
		支持授权扫描，需要配置目标数据库的IP地址、数据库类型、端口号，以及高权限用户名和密码等认证信息。
		能够通过对数据库对象、二进制文件等进行对比，从而发现数据库中潜藏的木马。
	认证授权	▲支持选择相应的数据库类型，包括主流的数据库、国产数据库和nosql数据库，可以输入相应的端口号、用户名、密码等。并支持认证授权的测试验证功能，确保认证授权的正确性和可用性。（需提供以上相关功能模块截图并加盖制造商公章）
	数据库漏洞知识库	数据库漏洞知识库的扫描策略大于2000条，所有的检测脚本都能够在产品中随机进行浏览和多维度检索。（需提供以上相关功能模块截图并加盖制造商公章）
		数据库漏洞知识库兼容CVE、CNCVE、CNNVD、CNVD等主流标准，获得了国家信息安全漏洞库兼容性资质证书。（需提供以上相关功能模块截图并加盖制造商公章）
		数据库漏洞知识库根据漏洞类型分为：SQL注入漏洞、权限绕过漏洞、缓冲区溢出漏洞、访问控制漏洞、拒绝服务漏洞、不安全配置等。
		▲数据库配置基线方面的漏洞有：用户帐号、密码策略、日志配置、权限控制、版本补丁等。（需提供以上相关功能模块截图并加盖制造商公章）
安全基线核查模块	检查对象	操作系统：Windows、Linux（Centos、Debian、Fedora、Redhat、Suse、Ubuntu等）、Unix（Aix、HP—UX、Solaris等）、国产操作系统（中标麒麟、深度、红旗等）等。 中间件：IIS、Apache、Tomcat、Weblogic、Websphere、Nginx、Jboss、Resin等。 数据库：Oracle、Mysql、DB2、Informix、Mssql、Sybase等。 网络设备：H3C、思科、华为等。 安全设备：juniper、网神、山石等。 虚拟化平台：Vmware EXSi、XenServer等。 大数据：Hbase、Hive、Spark、Storm、Kafka等。
工控漏洞扫描（加强版）模块	扫描对象	支持专有的工控系统	包括：abb、siemens（西门子）、schneider_electric（施耐德）、ge（通用电气）、rockwellautomation（罗克韦尔）、honeywell（霍尼韦尔）、beckhoff（德国倍福）、beldenhirschmann（美国百通赫思曼）、moxa（摩莎）、omron（欧姆龙）、phoenixcontact-software（菲尼克斯）、koyo（日本光洋）、mitsubishi（三菱）、advantech（研华）等。
		模块漏洞库	漏洞知识库数量大于120000条，所有的漏洞信息都可以在系统中随机进行浏览和多维度检索。（需提供以上相关功能模块截图并加盖制造商公章）
		工控漏洞库	▲工控专有的漏洞知识库数量大于2000条，所有的漏洞信息都可以在系统中随机进行浏览和多维度检索。（需提供以上相关功能模块截图并加盖制造商公章）
工控漏洞扫描模块	支持检测SCADA、DCS、PLC等控制系统存在的安全风险。
	支持检测ModbusTCP、S7等协议存在的安全风险。
	支持远程对工业控制系统进行安全漏洞检测。包括西门子SIMATIC、施耐德Schneider、通用电气GE、艾默生Emerson、霍尼韦尔Falcon、研华等工控设备。
工控漏洞挖掘模块	采用智能Fuzzing技术，对工控设备进行未知漏洞挖掘和安全性测试。
	支持Modbus TCP/IP、Siemens S7、Profinet等工控协议。
	支持对已有测试用例的目标端口、并发次数、重复次数等关键参数进行自定义修改测试。
	支持不断扩展协议的模糊测试用例。
源代码安全审计模块	支持软件源代码安全测试，结合AST（抽象语法树）进行语义分析，能够检测出软件源代码中存在的各种安全漏洞。
	支持PHP、Java、Python、JSP、Go、C、C++、Ruby、Perl、SHELL、BAT、HTML、JavaScript等数十种开发语言和文件类型。
	支持检测软件源代码中存在的代码注入、SQL注入、跨站脚本、文件包含、信息泄漏、webshell、错误的配置、硬编码密码等数十种漏洞类型。
系统渗透测试模块	▲支持对十几类目标进行渗透测试，包括：操作系统、数据库、WEB应用、中间件和框架、网络设备、Wi-Fi网络、云计算平台、大数据平台、视频监控设备、工业控制设备、办公自动化设备、物联网设备等。（需提供以上相关功能模块截图并加盖制造商公章）
	涵盖了MySQL、PostgreSQL、Domino、用友、Tomcat、Weblogic、迈普、锐捷、深信服、天融信、Fortinet、D-Link、ZTE、NEC、Spark、Solr、ElasticSearch、CouchDB、MongoDB、海康威视、宇视、Cisco、AVTECH、TP-Link、Axis、佳能、东芝、富士、惠普、戴尔、西门子、施耐德、研华、中兴、东方电子等厂商设备。
	漏洞类别包括：远程命令执行、缓冲区溢出、拒绝服务攻击、SQL注入、跨站脚本、认证绕过、未授权访问、信息泄露、路径遍历等。
	漏洞利用库数量大于230条。
网络流量分析模块	流量分析	支持解析的应用层协议包括：HTTP、SSL、TLS、SMB、DCERPC、SMTP、FTP、SSH、DNS、NFS、NTP、DHCP、TFTP、KRB5、IKEv2、SIP、SNMP、RDP等。
		支持解析的工控协议包括：Modbus、ENIP/CIP、DNP3等。
		支持对流量分析结果进行显示与查询。包括：时间、客户端IP、客户端端口、服务端IP、服务端端口、传输层协议、应用层协议、报文、响应码等。
大数据漏洞扫描模块	支持对主流大数据组件进行漏洞扫描，包括了Hadoop、Spark、Hbase、Solr、ES等。
	▲支持对主流大数据组件进行安全配置合规性检查，包括了大数据采集组件（Kafka、Flume）、大数据存储组件（Hbase、Hive、HDFS、Impala）、大数据处理组件（Yarn&MR、Spark、Storm、Zookeeper）。（需提供以上相关功能模块截图并加盖制造商公章）
	大数据漏洞知识库所有的检测脚本都能够在产品中随机进行浏览和多维度检索。
	大数据漏洞知识库兼容CVE、CNCVE、CNNVD、CNVD、CVSS、Bugtraq等主流标准。
APP漏洞扫描模块	★支持检测APK中存在的组件安全、配置安全、数据安全和恶意行为等安全风险。（需提供以上相关功能模块截图并加盖制造商公章）
	▲支持检测的内容包括：允许程序读写系统设置、允许程序访问GPS位置、允许程序发送SMS短信、允许程序拨打电话、允许程序读取底层系统日志文件、加载本地库等。（需提供以上相关功能模块截图并加盖制造商公章）
	支持直接拖入APP文件，支持上传APP文件。
	支持获得APP相关信息：包括版本、sdk版本、证书、md5、sha1、sha256等。
Windows安全加固模块	▲支持对Windows操作系统的配置、网络、接入、日志、防护等方面进行自动和手动安全加固。（需提供以上相关功能模块截图并加盖制造商公章）
	支持配置管理方面的安全加固，内容包括：主机配置、用户策略、身份鉴别、补丁管理、软件管理等。
	支持网络管理方面的安全加固，内容包括：服务端口、防火墙等。
	▲支持下载“Windows加固工具”，可以在需要安全加固的Windows主机上本地运行。（需提供以上相关功能模块截图并加盖制造商公章）
	▲支持在Windows主机上配置并执行需要安全加固的内容，并把加固结果导出，或直接发送给漏洞管理平台。（需提供以上相关功能模块截图并加盖制造商公章）
	支持接入管理方面的安全加固，内容包括：外设管理、自动播放、远程登录、无线网卡等。
	支持其它方面的安全加固，内容包括：日志审计，恶意代码防范（数据保护、防病毒软件）等。
报表管理	支持将扫描结果以HTML、WORD、PDF、XML、XLSX等通用格式导出。
	扫描报告包含漏洞描述、漏洞详情、风险级别、加固建议等。
	支持扫描任务的合并功能，合并后的任务可统一出具报告，并保留合并前的任务及报告。
	支持扫描任务的对比分析功能，不仅可以灵活选择不同时间段的扫描任务进行对比分析，了解新增漏洞、减少漏洞的相关数据。还可以自动与上一次的扫描任务进行对比，自动获得新发现漏洞、已修复漏洞的相关数据。
	支持报告预览、报告导出、报告生成、报告查询与下载等。
产品部署	支持单机部署，支持分布式部署。 产品旁路接入网络，无需改变原有的网络架构。
厂商/产品资质	原厂商是公安部认可的信息安全等级保护检查工具箱研发单位； 本产品应提供《计算机软件著作权登记证书》； ▲本产品应具有国家信息安全漏洞库兼容性资质； ▲本产品研制单位应为国家信息安全漏洞库（CNNVD）技术支撑单位支持单位； ★本产品研制单位具有中国信息安全认证中心颁发的信息安全应急处理服务资质； ★本产品研制单位具有信息安全服务安全集成一级资质； 本产品研制单位具有信息安全服务资质证书-安全工程类（二级）； 本产品研制单位应具有ISO 27001信息安全管理体系认证证书； 本产品研制单位应具有ISO 9001质量管理体系认证证书； 本产品研制单位具备高新技术企业证书；

六、服务方提供资料
      项目实施方案，内容包含但不限于需求分析、技术路线、工作内容、预算报价、预期成果、单位资质等内容。
六、七、评分标准

评分因素及权重		分值	评分标准
报价 20%		20分	低价优先法计算，即满足采购要求且价格最低的报价为评分基准价，其价格分为满分。 其他报价单位的价格分统一按照下列公式计算：报价得分=（评标基准价/报价）*价格权值*100%
技术 55%	项目理解及需求分析	20分	根据报价单位对本项目的背景内容及工作目标等需求的分析情况进行评分： 优：对项目理解准确、分析到位，充分了解采购需求的，得10分； 良：对项目理解准确，分析合理，了解采购需求的，得6分； 一般：对项目理解一般，分析基本符合实际，基本了解采购需求的，得2分。
	测评工具的响应程度	20	带▲号的参数全部满足得20分， 有负偏离每项扣2分， 扣完为止； 未带▲号的一般条款参数全部满足得10分， 每有1-3项不响应或负偏离得3分， 4-6项不响应或负偏离得1分， 7项以上不响应或负偏离不得分。 注： 带▲技术参数要求提供相关功能截图并加盖厂商公章， 未提交的视为该项指标不满足。 未带▲号的一般条款技术参数要求提供相关证明材料的，未提交的视为该项指标不满足。
	服务方案	15分	1.项目资料收集方案合理详实、组织分工明确、目标清晰、详细周全；优 5 分，良 3 分，一般 1分，差或不提供不得分。 2..实施计划安排合理，目标清晰，满足项目需求；优 5 分，良 3 分，一般 1分，差或不提供不得分。 3.方案科学合理，可操作性强，保障机制完善，成果能够达到项目需求：优 5 分，良 3 分，一般 1分，差或不提供不得分。
商务 25%	拟派服务人员	12分	（1）投标人拟派项目经理具备中级及以上项目管理师证书或PMP证书，得4分； （2）项目成员具备项CISA证书及全日制本科学历，得4分。 （3）项目成员具有CISP证书及诠日志本科证书，每1个得2分，最多4分；
	单位资质	8分	1、具备质量管理体系ISO9001证书；2、具备信息安全管理体系认证证书ISO27001；3、具备CCRC信息安全服务资质认证证书--风险评估资质三级或以上；4、具备CCRC信息安全服务资质认证证书—应急处理资质三级或以上；5、具备中国电子工业标准化技术协会颁发的信息技术服务运行维护标准符合性证书四级或以上资质；6、具备CMMI3级及以上资质。以上资质需提供相关证书并加盖公章。 具备以上5-6个，得8分；具备以上3-4个，得5分；具备以上1-2个，得1-2分。
	响应程度	5分	根据采购项目需求对所有报价单位的响应程度进行比较和评价。优5分，良3分，一般1分，差或不提供不得分。

注：推荐中标候选服务方名单，按照综合得分由高到低的顺序排名推荐中标候选人名单。
八、材料提交截止时间
      请贵单位将应标材料加盖单位公章并密封完好后于2021年9月24日下午17时前提交。
九、联系方式
      采购人名称：惠州市生态环境局仲恺分局
      采购人地址：仲恺高新区惠环街道滨河东路15号展创大厦
      项目联系人：陈皓雯
      联系方式：0752-3232951
惠州市生态环境局仲恺分局
2021年9月18日