招标
长沙市现代教育技术中心:市教育网络安全等保测评服务采购需求公开
金额
89万元
项目地址
湖南省
发布时间
2022/04/01
公告摘要
公告正文
一、功能及要求:
1、市教育局信息系统网络等保测评服务,共19个系统,其中二级等保17个,三级等保2个。
2、项目预算:890000元。
3、技术要求
要求中标人协助市教育局开展信息安全工作,以科学发展观为指导,落实国家信息化发展战略,以安全保发展,在发展中求安全;协助长沙市教育局建全制度,明确责任,整合资源,同步建设与网络、业务、用户发展相适应的信息安全管理体系;协助长沙市教育局全面完成各项信息安全工作任务。
二、相关标准:
执行国家、省、市相关标准。
三、技术规格:
服务具体内容
1、信息安全等级保护测评:
根据提供的重要信息系统的详细资料,采用信息安全等级保护评估方法对市教育局的被测系统进行安全等级测评。测评项目包含被测系统的物理安全、网络安全、主机安全、应用安全和数据安全(备份与恢复)等五个技术层面,以及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个管理层面。
2、等级测评范围
3、等级测评内容
3.1物理安全评估:根据要求对机房内物理环境及设施进行评估,根据评估结果对需调整的控制点和需采购的安全设备提出合理化建议。
3.2网络安全评估:网络安全测评将通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象机房的网络设备、网络安全设备以及网络拓扑结构等三大类对象
3.3主机系统安全:主机系统安全测评将通过访谈、检查和测试的方式评测信息系统的主机和服务器(操作系统、数据库管理系统)安全保障情况。
3.4应用系统安全:应用安全测评将通过访谈、检查和测试的方式评测信息系统的应用安全保障情况。
3.5数据安全及备份恢复:数据安全及备份恢复测评将通过访谈和检查的方式评测信息系统的数据安全保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全
3.6安全管理制度:安全管理制度测评将通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。
3.7等级测评的其它相关内容。
4、等级测评交付物
通过测评结果的分析,判断安全管理和安全技术的各个方面与测评指标的符合程度,被测信息系统的安全保护程度与国家等级保护要求之间的差距,客观反映现有安全状况、当前存在的不足和可能的风险,提出整改措施建议。
等级测评服务交付物:
4.1.分别提供17个被测评系统的《信息系统等级测评报告》。
4.2.安全防护咨询服务交付物:《系统安全建议报告》
4.3.安全培训服务交付物:培训方案、培训课件、签到表、现场照片等
4.4.应急响应服务交付物:《应急响应服务报告》(若无应急响应发生则无需提供)、应急响应服务工具一台
5、安全防护咨询
依托专业的安全专家团队,从安全政策、标准规范、安全对策等方面对长沙市教育局涉及安全计算环境、安全区域边界、安全通信网络、安全管理、安全运营、攻防对抗等方面的需求进行解答,提出具备先进性、可实现、可落地的综合防护解决方案。
6、应急响应
6.1对市教育局信息系统提供现场技术支持。如发生信息安全事件,应急响应组在第一时间赶往安全事件发生地点,在现场以最快的速度定位和解决问题,事后进行全面的问题分析,防止事件的重复和扩散,出具详细的应急响应服务报告。并针对安全事件形成的破坏做出灾难恢复,在必要的情况下,协助市教育局进行入侵追踪和犯罪取证。
6.2应急响应服务工具:在安全服务期间部署一台安全管控系统作为服务工具,以供应急使用,服务期满后该工具所有权归采购方。工具需满足如下要求:
6.3应急响应交付物:如产生应急响应服务则提供《应急响应报告》,服务期为合同签订后一年。
7、信息安全培训
7.1.信息安全培训内容:根据市教育局的实际情况和需求,开展至少2次信息安全培训,培训内容主要包括但不限于信息安全等级保护、网络安全法和基础安全加固培训内容。要求讲师应熟练掌握各类安全技术和理论知识。
7.2.信息安全培训交付物:提供培训方案、培训课件、签到表、现场照片等相关材料。
四、交付时间和地点:
1、实施时间:自协议签订起3个月内完成。
3、实施地点:采购人指定地点。
五、服务标准:
为确保服务质量,应建立服务质量保障机制,至少从以下方面对服务人员进行监督和考核:
1、实时的项目执行监控
需定期提供业务汇报及采集数据,检查服务执行情况,对于项目执行过程中出现的偏差进行预警,并采取改正措施。
2、定期的电话巡检
项目负责人需通过电话访问方式主动询问采购人对安全服务的意见,及时改进安全过程中的问题。
3、现场服务质量巡检
应及不定时的进行现场服务质量巡检,检查工程师的行为规范,及各项规章制度、工作规程的执行情况,保障工程师的服务质量。
4、售后服务
4.1系统维护。要求提交以下内容。
(1)定期维护计划。
(2)对采购人不定期维护要求的响应措施。
(3)对用户修改设计要求的响应措施。
4.2技术支持
(1)提供7×24小时的技术咨询服务。
(2)敏感时期、重大节假日提供技术人员值守服务。
4.3故障响应
(1)提供7×24小时的故障服务受理;如有关设备出现故障,在接到通知后30分钟内予以响应,2小时内派技术人员到达现场,4小时内排除故障。
(2)对重大故障提供7×24小时的现场支援,一般故障提供5×8小时的现场支援。
(3)备件服务:遇到重大故障,提供系统所需更换的任何备件。
5、中标人须在中标后在服务当地派驻服务人员。
六、验收标准:
1、根据《关于进一步规范政府采购项目履约验收工作管理的通知》(长财采购〔2016〕6号)文件,该项目采用简易程序验收。
2、等级测评服务交付物:
2.1分别提供19个被测评系统的《信息系统等级测评报告》。
2.2安全防护咨询服务交付物:《系统安全建议报告》
2.3安全培训服务交付物:培训方案、培训课件、签到表、现场照片等
2.4应急响应服务交付物:《应急响应服务报告》(若无应急响应发生则无需提供)、应急响应服务工具一台。
七、其他要求:
1、结算方式
1.1 付款人:长沙市现代教育技术中心(国库集中支付)
1.2 付款方式:项目实施验收合格后付合同金额的90%,从出具政府采购合同验收报告单之日起正常使用一年后(无质量问题、售后服务纠纷,以及其他经济法律纠纷等)再无息支付合同金额的10%。
2、本项目采用费用包干方式,供应商应根据项目要求,详细列明项目所需的费用,以及人工、管理、财务等所有费用,如一旦成交,在项目实施中出现任何遗漏,均由成交人免费提供,采购人不再支付任何费用。
3、投标人在投标前,如需踏勘现场,有关费用自理,踏勘期间发生的意外自负。
采购需求仅供参考,相关内容以采购文件为准。
1、市教育局信息系统网络等保测评服务,共19个系统,其中二级等保17个,三级等保2个。
2、项目预算:890000元。
3、技术要求
要求中标人协助市教育局开展信息安全工作,以科学发展观为指导,落实国家信息化发展战略,以安全保发展,在发展中求安全;协助长沙市教育局建全制度,明确责任,整合资源,同步建设与网络、业务、用户发展相适应的信息安全管理体系;协助长沙市教育局全面完成各项信息安全工作任务。
二、相关标准:
执行国家、省、市相关标准。
三、技术规格:
服务具体内容
1、信息安全等级保护测评:
根据提供的重要信息系统的详细资料,采用信息安全等级保护评估方法对市教育局的被测系统进行安全等级测评。测评项目包含被测系统的物理安全、网络安全、主机安全、应用安全和数据安全(备份与恢复)等五个技术层面,以及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个管理层面。
2、等级测评范围
| 序号 | 系统名称 | 等保级别 |
| 1 | 教育局直属学校网站集群系统 | (三级) |
| 2 | 长沙市中小学人人通云平台 | (三级) |
| 3 | 市教育局市直学校编外合同制教职工信息与基础建设管理系统 | (二级) |
| 4 | 长沙市基础教育管理平台 | (二级) |
| 5 | 长沙市义务教育招生入学报名系统 | (二级) |
| 6 | 单点登录数据交换共享云平台 | (二级) |
| 7 | 长沙市教育装备管理公共服务平台 | (二级) |
| 8 | 市综合实践管理平台 | (二级) |
| 9 | 长沙市初中综合素质评价系统 | (二级) |
| 10 | 市标准化学校评估系统 | (二级) |
| 11 | 市督导问卷管理系统 | (二级) |
| 12 | 互联网+监督平台 | (二级) |
| 13 | 市县域义务教育优质均衡发展监测分析系统 | (二级) |
| 14 | 市民办教育监管平台 | (二级) |
| 15 | 长沙市基础教育网络联校平台 | (二级) |
| 16 | 长沙市县级人民政府履行教育职责评价网评系统 | (二级) |
| 17 | 长沙市学生体质健康信息管理平台 | (二级) |
| 18 | 长沙市教育阳光服务中心系统 | (二级) |
| 19 | 长沙市研学实践活动管理系统 | (二级) |
3、等级测评内容
3.1物理安全评估:根据要求对机房内物理环境及设施进行评估,根据评估结果对需调整的控制点和需采购的安全设备提出合理化建议。
3.2网络安全评估:网络安全测评将通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象机房的网络设备、网络安全设备以及网络拓扑结构等三大类对象
3.3主机系统安全:主机系统安全测评将通过访谈、检查和测试的方式评测信息系统的主机和服务器(操作系统、数据库管理系统)安全保障情况。
3.4应用系统安全:应用安全测评将通过访谈、检查和测试的方式评测信息系统的应用安全保障情况。
3.5数据安全及备份恢复:数据安全及备份恢复测评将通过访谈和检查的方式评测信息系统的数据安全保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全
3.6安全管理制度:安全管理制度测评将通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。
3.7等级测评的其它相关内容。
4、等级测评交付物
通过测评结果的分析,判断安全管理和安全技术的各个方面与测评指标的符合程度,被测信息系统的安全保护程度与国家等级保护要求之间的差距,客观反映现有安全状况、当前存在的不足和可能的风险,提出整改措施建议。
等级测评服务交付物:
4.1.分别提供17个被测评系统的《信息系统等级测评报告》。
4.2.安全防护咨询服务交付物:《系统安全建议报告》
4.3.安全培训服务交付物:培训方案、培训课件、签到表、现场照片等
4.4.应急响应服务交付物:《应急响应服务报告》(若无应急响应发生则无需提供)、应急响应服务工具一台
5、安全防护咨询
依托专业的安全专家团队,从安全政策、标准规范、安全对策等方面对长沙市教育局涉及安全计算环境、安全区域边界、安全通信网络、安全管理、安全运营、攻防对抗等方面的需求进行解答,提出具备先进性、可实现、可落地的综合防护解决方案。
6、应急响应
6.1对市教育局信息系统提供现场技术支持。如发生信息安全事件,应急响应组在第一时间赶往安全事件发生地点,在现场以最快的速度定位和解决问题,事后进行全面的问题分析,防止事件的重复和扩散,出具详细的应急响应服务报告。并针对安全事件形成的破坏做出灾难恢复,在必要的情况下,协助市教育局进行入侵追踪和犯罪取证。
6.2应急响应服务工具:在安全服务期间部署一台安全管控系统作为服务工具,以供应急使用,服务期满后该工具所有权归采购方。工具需满足如下要求:
| 安全管控系统 | 1、符合公安部“安全管理平台类”产品的检测规范;其中,管理中心内嵌数据库,用户无需另外安装数据库管理系统;管理客户端基于浏览器,无需安装其他客户端软件,拥有《计算机信息系统安全专用产品销售许可证》,此次提供不少于50个节点授权许可; 2、产品为软件B/S架构,采用HTTPS方式远程安全管理,无需安装管理客户端,旁路代理模式,不影响正常业务流量; 3、支持多种内置的资产模型与关系约束类型。资产模型覆盖以下属性字段:资产名称,资产编号,IP/URL,资产权属,资产类型,操作系统,用途,品牌,型号,维保,硬件配置等。关系约束类型覆盖放置、虚拟化、运行在、使用、包含、组成、连接等关系; 4、支持资产全生命周期管理功能,详细记录资产上线到报废过程中所有的管理、变更、配置等信息。 5、支持资产的硬件配置变动监测功能,并列表呈现所有的变动记录。 6、支持无代理采集,基于ssh,snmp,syslog,jdbc,jmx,smi-s,ipmi,wmi等协议,对资产的动态数据进行采集,包括:性能数据、运行日志、告警等。采集任务的执行周期可配置。 7、支持对物理服务器、VMware虚拟机、网络设备、安全设备、JVM、存储设备/系统、操作系统、关系数据库系统、Web/消息中间件的性能状态进行监控,可支持以下监控项:电压、风扇转速、电源状态、硬盘状态、机箱温度、CPU利用率、内存利用率、存储器信息、网口信息、总流速、收包率、接收流速、接收利用率、接收丢包率、接收错误率、发包率、发送流速、发送利用率、发送丢包率、发送错误率、堆内存、活动线程、HTTP线程、守护线程、峰值线程、启动线程、分区使用情况、进程信息、虚拟内存利用率、磁盘IO速率等。 8、支持流程建模功能,支持拖拽式编排,支持多种控制逻辑,包括条件、跳转、并发、汇合,支持多人会签。 9、支持流程超时控制,用户可对处理节点设置处理时限,超过处理时限,自动通知催办。 10、支持对IT物理环境及其中所有设备的运行状况统一、规范的管理,及时清楚的掌握监管IT系统运行状况和设备运行状态,做到对IT系统状况的统计和分析,及时发现潜在问题对业务系统的影响,起到主动维护工作、主动响应处理作用,在信息化建设同时达到工具层面的保障和管理手段的作用,从而进行统一的监控和管理。(需提供截图证明) 11、支持双因子登录认证,支持账号口令、动态口令等组合身份验证。支持多次认证失败自动锁定账号功能,及超时重新登录功能。 12、SSH协议支持使用XShell、PuTTY、SecureCRT等客户端工具进行字符运维,支持通过PublicKey方式登入系统; 13、支持根据资产、运维账号、运维操作类型、时间、IP地址进行运维安全策略配置,触发策略后支持自动阻断该运维操作或断开运维会话;对于正在进行的运维操作会话,支持实时监控,支持手工切断实时会话; 14、支持根据运维安全策略,在运维操作过程中发出安全告警,支持告警分级,可在系统中查看,可通过SYSLOG协议外发至外部告警审计系统; 15、能避免网络组建后的设备存在跨区域运维,跨区域运维的资产无法实现跨网监控和审计,无法获取到运维的监控告警数据、审计数据,且网域组件之间无法进行数据安全传输认证,存在数据泄露、操作风险隐患。(需提供截图证明) 16、支持普通密码、双因子认证模式,账户有效期、IP范围、时间范围、会话登陆超时等可配置; 17、支持国产化操作系统及架构,包括飞腾、龙芯、兆芯架构处理器,银河麒麟、中标麒麟、深度操作系统。 18、支持所有安全设备的安全日志汇总,并能够通过时间、类型、严重等级、动作、区 域、ip、用户、特征/漏洞ID、域名/URL、设备名称等多维度展现。 19、支持syslog、FTP、SFTP、消息、文件等多种方式接入日志; 20、能满足网络设备、安全设备、业务系统、数据库、中间件、站点等IT资源缺少实时监控和性能指标的统计和排查,能满足管理员通过历史数据对网络状况、设备运行状况和业务运行状况进行差异分析,及时发现和解决潜在问题,规避风险,优化网络。(需提供截图证明); 21、支持事件的多维度统计分析,并导出分析结果文件; 22、平台的所有软件组件,均支持分布式部署,支持负载均衡,与高可用。 23、支持对业务系统自定义检查类别和检查项,进行一次或多次检查,给出检查项分数及高危项以此判断系统是否符合等保要求。 24、支持安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理共五个方面,业务流程清晰可控,边界明确,符合企业战略目标。 25、支持系统的风险管理,支持资产的机密性,完整性,可用性赋值,并可根据资产的CIA属性计算出资产价值,能够根据资产的价值,当前的资产面临的威胁,以及脆弱性数据,计算目标资产的安全风险,能够以图形化的形式展现当前资产的风险级别,以及资产的风险排名,支持风险超过阈值告警。 26、支持与同品牌的运维安全管理系统、数据库安全审计系统实施联动部署,全面实现数据库业务访问、后台维护操作、网络运行日志及应用系统日志的综合审计; 27、对于等保合规、密码测评在本地需做自测评估,找出存在的高风险项,并给予针对性的整改和优化说明,便于信息系统安全建设满足国家对于等保2.0体系的建设标准和要求,实现可持续性合规。 |
6.3应急响应交付物:如产生应急响应服务则提供《应急响应报告》,服务期为合同签订后一年。
7、信息安全培训
7.1.信息安全培训内容:根据市教育局的实际情况和需求,开展至少2次信息安全培训,培训内容主要包括但不限于信息安全等级保护、网络安全法和基础安全加固培训内容。要求讲师应熟练掌握各类安全技术和理论知识。
7.2.信息安全培训交付物:提供培训方案、培训课件、签到表、现场照片等相关材料。
四、交付时间和地点:
1、实施时间:自协议签订起3个月内完成。
3、实施地点:采购人指定地点。
五、服务标准:
为确保服务质量,应建立服务质量保障机制,至少从以下方面对服务人员进行监督和考核:
1、实时的项目执行监控
需定期提供业务汇报及采集数据,检查服务执行情况,对于项目执行过程中出现的偏差进行预警,并采取改正措施。
2、定期的电话巡检
项目负责人需通过电话访问方式主动询问采购人对安全服务的意见,及时改进安全过程中的问题。
3、现场服务质量巡检
应及不定时的进行现场服务质量巡检,检查工程师的行为规范,及各项规章制度、工作规程的执行情况,保障工程师的服务质量。
4、售后服务
4.1系统维护。要求提交以下内容。
(1)定期维护计划。
(2)对采购人不定期维护要求的响应措施。
(3)对用户修改设计要求的响应措施。
4.2技术支持
(1)提供7×24小时的技术咨询服务。
(2)敏感时期、重大节假日提供技术人员值守服务。
4.3故障响应
(1)提供7×24小时的故障服务受理;如有关设备出现故障,在接到通知后30分钟内予以响应,2小时内派技术人员到达现场,4小时内排除故障。
(2)对重大故障提供7×24小时的现场支援,一般故障提供5×8小时的现场支援。
(3)备件服务:遇到重大故障,提供系统所需更换的任何备件。
5、中标人须在中标后在服务当地派驻服务人员。
六、验收标准:
1、根据《关于进一步规范政府采购项目履约验收工作管理的通知》(长财采购〔2016〕6号)文件,该项目采用简易程序验收。
2、等级测评服务交付物:
2.1分别提供19个被测评系统的《信息系统等级测评报告》。
2.2安全防护咨询服务交付物:《系统安全建议报告》
2.3安全培训服务交付物:培训方案、培训课件、签到表、现场照片等
2.4应急响应服务交付物:《应急响应服务报告》(若无应急响应发生则无需提供)、应急响应服务工具一台。
七、其他要求:
1、结算方式
1.1 付款人:长沙市现代教育技术中心(国库集中支付)
1.2 付款方式:项目实施验收合格后付合同金额的90%,从出具政府采购合同验收报告单之日起正常使用一年后(无质量问题、售后服务纠纷,以及其他经济法律纠纷等)再无息支付合同金额的10%。
2、本项目采用费用包干方式,供应商应根据项目要求,详细列明项目所需的费用,以及人工、管理、财务等所有费用,如一旦成交,在项目实施中出现任何遗漏,均由成交人免费提供,采购人不再支付任何费用。
3、投标人在投标前,如需踏勘现场,有关费用自理,踏勘期间发生的意外自负。
采购需求仅供参考,相关内容以采购文件为准。
解决方案
联系我们
返回顶部