中标
武汉市仪表电子学校2022年网络安全测评服务成交结果公告
网络安全测评服务信息技术服务网络安全等级保护测评办公信息化系统信息系统安全等级保护测评服务信息系统安全整改建设安全整改建设方案编制安全管理测评测试工具报告编写工具信息系统等级保护测评等级测评信息安全服务信息安全等级保护测评隐患风险点排查漏洞确认网络安全渗透评估漏洞有效性验证安全巡检服务软件运行检查CPU负载情况检查网络流量检查扫描工具漏洞扫描远程漏洞探测脆弱性分析安全扫描服务应急响应服务安全漏洞通知病毒补丁升级安全通告汇总安全知识库更新安全信息通告服务安全风险检查安全配置检查IP地址配置网关配置路由配置安全规则配置地址转换规则配置端口映射规则配置网管SNMP配置管理账号权限配置是否合理操作日志检查入侵检测运行日志检查配置是否进行过备份信息安全测评相关文档和数据进行安全保密管理技术检测接入的检测设备进行控制网络安全教育防护技能信息安全风险评估安全培训服务监护安全测评优化扫描关键业务系统风险控制数据库主机数据备份与恢复分类扫描
金额
49.4万元
项目地址
湖北省
发布时间
2022/06/15
公告摘要
公告正文
武汉市仪表电子学校2022年网络安全测评服务成交结果公告
武汉市仪表电子学校2022年网络安全测评服务成交结果公告
发布时间2022-06-15
项目编号: | YJ2022061410095 | 项目名称: | 2022年网络安全测评服务 |
采购品目: | 信息技术服务 | 预算金额(元): | 520,000.00 |
采购单位: | 武汉市仪表电子学校 | 采购单位地址: | 武汉市江夏区东湖新技术开发区流芳园路一号 |
采购单位联系人: | 谢瑜 | 采购单位联系电话: | 18627742124 |
采购需求说明: | 根据相关文件及标准要求,对武汉市仪表电子学校需要进行测评的信息系统实施网络安全等级保护定级、备案、测评、协助整改等工作,出具符合格式要求的等级测评报告。 具体要求见附件。 | 采购需求附件: |
|
供应商名称: | 湖北星野科技发展有限公司 | 供应商地址: | 武汉市武昌区中南路中建广场B座7h |
供应商联系人: | 袁琦 | 供应商联系电话: | 13476016204 |
成交报价(元): | 494,000.00 |
3、本项目不接受联合体形式参与报价。2、投标人须具有公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》(提供证书复印件加盖公章)。1、投标人应具备《政府采购法》第二十二条规定的相关条件;一、资格要求招标需求网络安全等级保护测评项目
根据相关文件及标准要求,对武汉市仪表电子学校需要进行测评的信息系统实施网络安全等级保护定级、备案、测评、协助整改等工作,出具符合格式要求的等级测评报告。三、项目需求2、项目工期:合同签订后60个工作日内完成等级测评工作。1、项目名称:武汉市仪表电子学校网络安全等级保护测评项目二、项目概况
名称 | 级别 | 数量 |
学校官网 | 三级 | 1 |
学校官微 | 三级 | 1 |
数据中心系统 | 三级 | 1 |
办公信息化系统 | 三级 | 1 |
测评内容应包括但不限于以下内容:依据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》、《GB/T28448-2019信息安全技术网络安全等级保护测评要求》、《GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求》、《GB/T28449-2018信息安全技术网络安全等级保护测评过程指南》等标准的要求,对武汉市仪表电子学校需要进行测评的信息系统进行等级测评,出具符合国家网络安全等级保护格式要求的等级测评报告。测评范围为项目目标所涉及的机房基础设施、网络环境、主机层面、应用层、数据库层及相关安全辅助设备与管理制度。服务目标为项目目标最终通过公安部门及相关部门的等级保护检查要求。1.2信息系统安全等级保护测评服务协助武汉市仪表电子学校需要进行测评的信息系统进行定级、备案材料的编写,协助采购方到公安监管等部门办理备案手续,确保信息系统安全保护等级定级准确、备案完整。1.1定级备案服务1、工作内容
采购方完成信息系统安全整改后,供应商对整改后的信息系统进行复测,出具正式的测评报告,协助采购方到公安部门办理备案手续。1.4二次测评安全整改建设方案应严格依据《信息安全等级保护管理办法》、《GB/T22239-2019信息安全技术网络安全等级保护基本要求》、《GB/T25058-2010信息安全技术信息系统安全等级保护实施指南》、《GB/T20269-2006信息安全技术信息系统安全管理要求》、《GB/T20271-2006信息安全技术信息系统通用安全技术要求》、《GB/T20282-2006_信息安全技术信息系统安全工程管理要求》、《GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求》等标准规范要求制定《武汉市仪表电子学校信息系统安全整改建设方案》,并在后续提供安全整改咨询服务,协助客户完善信息系统的安全防护措施,使系统达到等级保护相应级别的相关要求。1.3安全整改建设方案编制(2)安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评;(1)安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评;
标准性原则:测评方案的设计与实施应依据国家信息系统安全等级保护的相关标准进行。保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标方的行为。在项目实施过程中必须满足以下原则:1.6测评实施原则1.5标准和规范
序号 | 名称 | 标号或文号 |
1 | 《信息安全技术 网络安全等级保护基本要求》 | GB/T 22239-2019 |
2 | 《信息安全技术 网络安全等级保护测评要求》 | GB/T 28448-2019 |
3 | 《信息安全技术 网络安全等级保护安全设计技术要求》 | GB/T 25070-2019 |
4 | 《信息安全技术 网络安全等级保护测试评估技术指南》 | GB/T 36627-2018 |
5 | 《信息安全技术 网络安全等级保护定级指南》 | GB/T 22240-2020 |
6 | 《信息安全技术 网络安全等级保护定级指南》 | GA/T 1389—2017 |
7 | 《信息安全技术 信息系统安全运维管理指南》 | GB/T 36626-2018 |
8 | 《信息安全技术 网络安全等级保护测评过程指南》 | GB/T 28449-2018 |
9 | 《信息安全技术 信息系统安全等级保护实施指南》 | GB/T 25058-2010 |
10 | 《信息安全技术云计算服务安全指南》 | GB/T 31167-2014 |
11 | 《信息安全技术云计算服务安全能力要求》 | GB/T31168-2014 |
12 | 《信息安全技术 信息安全风险评估规范》 | GB/T 20984-2007 |
13 | 《中国人民共和国计算机信息系统安全保护条例》 | 国务院令147号 |
14 | 《国家信息化领导小组关于加强信息安全保障工作的意见》 | 中办发[2003]27号 |
15 | 《关于信息安全等级保护工作的实施意见》 | 公通字[2004]66号 |
16 | 《信息安全等级保护管理办法》 | 公通字[2007]43号 |
17 | 《关于开展全国重要信息系统安全等级保护定级工作的通知》 | (公通字[2007]861号 |
(1)投标人应详细描述本次信息系统安全等级保护测评的整体实施方案,包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交等。1.7整体要求整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。可控性原则:项目安排工作进度要跟上进度表的安排,保证工作的可控性。规范性原则:投标方的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
本项目涉及工程实施和验收测试所需的工具,由投标方负责提供。用于测评的工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全测评工具、网站等应用系统安全测评工具等。在使用前,应对工具进行测评,如果需要则对工具进行软件或代码升级。1.8专用工具要求(5)信息系统安全等级保护测评需要的运行环境(如场地、网络环境等)由招标人提供,投标人应详细描述需要的运行环境的具体要求。(4)本次信息系统安全等级保护测评实施过程中所使用到的各种工具软件(包括测试工具和报告编写工具)应符合国家相关要求,经招标人确认后由投标人提供并在信息系统等级保护测评中使用。(3)供应商必须具备丰富的等级测评项目经验,参与项目的测评人员不少于3人。投标供应商项目人员必须提供本项目的高级测评师的或NSATP-A注册网络安全渗透评估专业人员证书;供应商必须持有中国信息安全测评中心颁发的信息安全服务资质证书(安全工程类一级)或质量管理体系认证证书(ISO9001)或软件企业证书。(2)投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置有测评资质的专业人员进行本次信息安全等级保护测评工作。
(2)等级保护测评中2)签订安全保密协议。1)对等级保护测评人员要进行安全保密教育,制定安全保密措施;(1)等级保护测评前为做好全过程的安全保密工作,在等级保护测评前、中、后三个阶段都要做好安全保密工作。1.9安全管理要求
6)对进场人员遵守被测单位的相关管理规定。5)工作过程中对人员要实施封闭式集中管理;4)对测评设备、介质进行严格的保密管理;3)对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等威胁情况要控制知情范围;2)等级保护测评工具应经过严格测试和检验,确保不对被测评系统造成损失,工作结束后不驻留任何程序;1)对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与数据、人员与管理等方面的信息进行严格的安全保密管理;
针对三峡电能能源管理(湖北)有限公司的业务系统进行隐患风险点排查,协助漏洞确认、评估,以及漏洞有效性验证,依据网络等级保护标准(等保2.0)进行安全巡检,出具《应用安全检测报告》。2、安全服务要求3)在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。2)现场工作结束后,按被测单位的要求及时还原系统,确保系统中不遗留任何代码或可执行程序;1)认真清退各种文档、资料和数据并予以销毁,确保工作过程中敏感数据不被泄漏;(3)等级保护测评后
1、软件运行检查:检查系统软件运行情况是否正常,包括是否正常运行,能否正常管理,CPU负载情况检查、内存使用率检查、网络流量检查。巡检内容安排:2.2安全巡检服务对被测系统提供支持常见的WEB应用弱点检测,支持OWASPTOP10等主流安全漏洞,如:SQL注入、Cookie注入、Base64注入、XSS跨站脚本、框架注入、链接注入、隐藏字段、CSRF跨站伪造请求、命令注入、命令执行、代码注入、遍历目录、弱口令、表单绕过、文件包含、管理后台、敏感信息泄漏、第三方组件、其他各类CGI漏洞等各种类型。使用扫描工具开展漏洞扫描,进行远程漏洞探测、系统漏洞扫描和脆弱性分析,发现可能存在的高危风险漏洞和各种中低危漏洞,包括低版本漏洞、弱口令、危险服务、可被非法利用漏洞等等。根据漏洞扫描结果进行现场漏洞确认、安全风险分析,并定期提供相关报告和建议。2.1安全扫描服务
要求供应商提供7x24小时应急响应服务,针对突发安全应急事件,如:发生网络入侵事件、大规模病毒爆发、遭受拒绝服务攻击等,在收到应急响应服务请求,提供30分钟内远程响应,以远程的方式协助查明安全事件原因,确定安全事件的威胁和破坏的严重程度。2.4应急响应服务凭借乙方的漏洞信息收集系统,及时的将最新最严重的网络安全问题以最快的速度通报给甲方,并且提供相应的解决办法。包括实时安全漏洞通知、病毒、补丁升级、定期安全通告汇总和安全知识库更新等。2.3安全信息通告服务3、安全风险检查:对系统进行简单的安全风险检查、安全策略是否有漏洞(人工分析),入侵检测系统报警设置是否合理(人工分析)。2、安全配置检查:检查系统配置是否正确,包括IP地址配置、网关配置、路由配置、安全规则配置、地址转换规则配置、端口映射规则配置、网管SNMP配置、管理账号权限配置是否合理、操作日志检查、及入侵检测运行日志检查、配置是否进行过备份。
测试人员需具备测评师证书或NSATP-A注册网络安全渗透评估专业人员证书;项目实施人员需签订专项保密协议。指定项目经理为专人负责信息安全测评过程中的安全保密管理工作,对测评活动、测评人员以及相关文档和数据进行安全保密管理,对重点设备的技术检测进行监督,对接入的检测设备进行控制。项目开展工作涉及到单位重要信息系统和数据,在测评过程中必须加强安全保密管理与风险控制。3、测评风险规避要求协助甲方开展网络安全教育和培训活动,介绍信息安全基础知识和防护技能,信息安全风险评估和信息安全等级保护的有关国家政策和技术发展趋势。2.5安全培训服务
3)人员与数据管理对测评直接影响系统工作时,尽可能避开敏感时期。2)操作时间控制在实施过程中必须遵守的相关操作章程,以防止敏感信息泄漏和确保及时处理意外事件。1)操作的申请和监护安全测评工作中可能出现的安全风险点,按照检测对象周密制定测评方法,根据被测评对象的不同采取相应的风险控制手段。不限于以下方法:
6)优化扫描策略对影响较大的重要关键业务系统在无法搭建模拟环境情况下,原则上不采用测评工具,采用访谈、测评和简单测试的方式进行。5)关键业务系统风险控制根据测评范围界定的系统情况,在实施前制定应急预案。4)制定应急预案必须高度重视信息保密工作,加强资料管理,确保人员可靠、稳定和可控。测评与被测评单位之间应签署长期保密协议,测评人员与被测评单位之间也要有相应的约束和控制措施,按国家有关要求做好保密工作。
四、其它要求厂商需要提供各应用系统的名称、版本、协议、开发语言、进程名和相应的端口号等信息,在测评之前,由三方共同分析测评对业务可能造成的风险,分析可能存在的问题。在测评过程中尽量规避这些风险。8)厂商协作对业务系统和数据库主机,应对其上数据进行备份,防止测评过程中对设备与主机的损伤影响业务系统的正常运行。7)数据备份与恢复分类扫描:对不同的主机和设备类型执行不同的扫描会话,从而减少不必要的脆弱项目测试。针对扫描对象细化扫描策略:对不同类型的主机或设备,需要根据其上不同的应用和服务情况,有针对性地定制扫描策略选项。
4、供应商需提供等级保护测评案例合同复印件备查;3、供应商的技术方案中应有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;2、供应商使用的技术装备、设施应当符合《信息安全等级保护管理办法》中对信息安全产品的要求;1、如成交供应商发生兼并、重组,由新组建的公司按投标文件承担相应售后服务;
联系我们
上海总部:上海市浦东新区纳贤路800号科海大楼2层
无锡分公司:无锡市中国传感网国际创新园F11栋2楼
邮 箱:bd@datauseful.com
给力助理小程序
给力讯息APP
给力商讯公众号
返回顶部