招标
中国自然资源航空物探遥感中心信息系统等保测评及安全运维项目(2023)竞争性优选公告
金额
-
项目地址
北京市
发布时间
2023/06/08
公告摘要
公告正文
中国自然资源航空物探遥感中心(以下简称“我中心”)计划对“中国自然资源航空物探遥感中心信息系统等保测评及安全运维项目(2023)”承担单位实施竞争性优选,成立优选评审委员会,通过现场打分的方式,公平、公正、公开的优选出项目承担单位,并在我中心官网发布竞争性优选公告和优选结果,现邀请国内相关单位参加,公告如下:
1.项目概况
中国自然资源航空物探遥感中心创建于1957年,是中国地质调查局直属正局级公益一类事业单位,主要承担国家基础性、公益性、战略性自然资源航空物探遥感调查和相关基础理论研究、相关技术方法和装备仪器软件研发应用与推广,承担应用地质调查、国土空间生态保护修复、国土空间用途管制、自然资源督察与执法等工作,支撑服务生态文明建设和自然资源管理中心工作,并向社会提供公益性服务。
为了更好地促进我中心信息系统的安全保障工作,切实提高信息系统的安全防护能力,落实国家网络安全相关法律法规和网络安全等级保护管理各项要求,特采购“中国自然资源航空物探遥感中心信息系统等保测评及安全运维项目(2023)”运维服务项目。
2.项目内容
本项目需采购脆弱性检测、安全加固建议、应急响应、日常安全巡检、等保二级测评服务、等保三级测评服务、渗透测试服务、Web漏洞扫描、安全设备维保服务等安全服务。
3.技术服务要求
3.1脆弱性检测
1.服务内容
供应商须针对信息系统服务器操作系统,采用工具扫描和手工检查相结合的方式对配置缺陷、漏洞等进行检查,以发现在主机、应用等层面存在的安全隐患,通过专业化的技术分析,帮助中心了解自身信息系统的脆弱性。
供应商需对信息系统相关的操作系统配置情况,进行核查。配置核查需覆盖Windows操作系统安全配置、Linux系列操作系统安全配置等内容。
2.服务要求
(1)为提高效率,供应商须使用自动化工具完成安全策略配置的核查,须提供安全配置核查系统自主知识产权证明(如软著);
(2)为了确保脆弱性检测结果的准确性、全面性和完整性,供应商须对软件开发、软件安全有深刻的理解和实践能力,具备成熟的软件开发能力并具备软件安全开发相关资质, 提供CMMI证书和中国网络安全审查技术与认证中心颁发的软件安全开发服务资质证明;
(3)为了能够形成常态化的核查机制,通过专业的运维使得采购人设备能够持续良好运转,要求供应商具备优秀的风险评估能力,提供中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质证明;
(4)为保证本项目服务质量,供应商须至少分别派遣2名熟悉各类网络设备、安全设备的配置,了解设备功能实现原理的服务人员和2名具备丰富的网络知识、安全知识的服务人员参与项目,并要求人员提供计算机技术与软件专业技术资格(水平)考试网络工程师资质证书和中国信息安全测评中心颁发的注册信息安全专业人员(CISP-PTE)证书。
3.服务范围
不超过90个资产。
4.服务频次
服务期间提供1次。
5.服务成果
包括但不限于:
《XXX系统脆弱性检测报告》
3.2安全加固建议
1.服务内容
供应商须根据脆弱性检测工作结果,针对操作系统、数据库、中间件、网络设备及安全设备提供安全加固建议。协助完成网络设备系统升级及安全加固。
2.服务要求
(1)为了保证安全加固建议的全面性、针对性和可操作性,供应商须对安全运维有深刻的理解和实践能力,并提供中国网络安全审查技术与认证中心颁发的信息系统安全运维服务资质证明;
(2)为保证安全加固效果,供应商应当提供至少1名了解软件工程、网络安全知识的服务人员和2名熟悉等级保护安全建设的服务人员参与该服务,其中1名人员须同时具备软件设计师资质及CISP(CISE方向)资质,提供信息安全等级保护安全建设专业技术人员证书。
3.服务范围
不超过90个资产。
4.服务频次
服务期间提供1次。
5.服务成果
包括但不限于:
《XXX系统安全加固建议》
3.3应急响应
1.服务内容
供应商须在信息系统发生安全事件时及时响应,执行应急响应流程,通过专家级技术支持和快速响应,及时抑制和消除用户信息系统安全事件,减少损失和负面影响,提高用户信息系统业务连续性。
供应商须在用户方接收到属地公安部门和上级单位发来的网络安全风险通知,配合开展处置。
2.服务要求
(1)为确保应急响应时效性和准确性,供应商须具备网络安全事件分析、处置能力,提供中国网络安全审查技术与认证中心颁发的信息安全应急处理服务资质证明;
(2)为了保证应急响应的事件排查效果,供应商应对事件发生原因进行充分分析,避免再次发生类似安全事件,要求供应商具备优秀的网络安全审计能力,提供中国网络安全审查技术与认证中心颁发的信息系统网络安全审计服务资质证明;
(3)为保证本项目服务质量,须至少派遣2名具备丰富的应急处置经验的服务人员参与项目,要求人员具备中国网络安全审查技术与认证中心颁发的信息安全保障人员认证证书(CISAW应急服务专业级)证书。
3.服务范围
中国自然资源航空物探遥感中心。
4.服务频次
服务期间不限次数。
5.服务成果
包括但不限于:
《应急响应报告》
3.4日常安全巡检
1.服务内容
供应商须安排工程师每周针对中心内网和外网的网络安全设备,如APT高级持续性威胁检测系统、防火墙、Web应用防火墙、运维审计系统、日志审计系统、漏洞扫描系统、入侵检测系统、入侵防御系统进行巡检,巡检内容包括:特征库更新情况、漏洞库更新情况、设备运行情况等。每周提供1次周报。
2.服务要求
(1)为了确保安全巡检过程中对采购人计算机信息系统进行监督检查,供应商须具备客观评价所开展的系统的安全性、可靠性和经济性的能力。故要求供应商提供中国网络安全审查技术与认证中心颁发的信息系统网络安全审计服务资质证明。
(2)为保证本项目服务质量,须至少分别派遣1名熟悉各类网络设备、安全设备的配置,了解设备功能实现原理的服务人员和2名具备丰富的网络知识、安全知识的服务人员参与项目,并要求人员提供计算机技术与软件专业技术资格(水平)考试信息安全工程师资质证书和信息安全保障人员认证证书(安全运维专业级)证书。
3.服务范围
针对中心内网和外网的网络安全设备,如APT高级持续性威胁检测系统、防火墙、Web应用防火墙、运维审计系统、日志审计系统、漏洞扫描系统、入侵检测系统、入侵防御系统进行巡检。
4.服务频次
服务期间每周提供1次。
5.服务成果
包括但不限于:
《安全巡检报告》
3.5等保二级测评服务
1.服务内容
(1)供应商须根据国家信息安全相关政策和要求,邀请有资质的第三方机构进行等级保护测评,全面评估信息系统现有安全防护水平和相应等级安全要求之间的差距,检测和评估信息系统在安全技术、安全管理等方面是否符合已确定的安全等级的要求;对于尚未符合要求的信息系统,分析和评估其潜在威胁、薄弱环节以及现有安全防护措施,综合考虑信息系统的重要性和面临的安全威胁等因素,提出相应的整改建议,并在系统整改后进行复测确认,以确保信息系统的安全保护措施符合相应安全等级的基本安全要求。从而更好地保障各信息系统的正常运行。测评内容包括技术安全测评、管理安全测评和综合测评,并出具测评报告。
(2)供应商须针对信息系统等级保护测评提供咨询服务,协助通过等级保护测评,咨询服务内容包括系统现状调研,根据调研结果编制测评申请书,在测评现场提供技术支持,根据测评结果协助整改并提供复测咨询等。协助完成定级备案变更相关工作。
2.服务要求
为保证辅助测评服务质量,须至少派遣1名具备丰富的网络知识、安全知识的服务人员提供本服务,并要求项目人员提供中国信息安全测评中心颁发的注册信息安全专业人员(CISP)证书、云计算安全知识认证(CCSK)证书证明。
3.服务范围
针对2个二级信息系统。
4.服务频次
服务期间分别提供1次等保二级测评服务。
5.服务成果
包括但不限于:
《网络安全等级保护测评报告》(以测评机构出具为准)。
3.6等保三级测评服务
1.服务内容
(1)供应商须根据国家信息安全相关政策和要求,邀请有资质的第三方机构进行等级保护测评,全面评估信息系统现有安全防护水平和相应等级安全要求之间的差距,检测和评估信息系统在安全技术、安全管理等方面是否符合已确定的安全等级的要求;对于尚未符合要求的信息系统,分析和评估其潜在威胁、薄弱环节以及现有安全防护措施,综合考虑信息系统的重要性和面临的安全威胁等因素,提出相应的整改建议,并在系统整改后进行复测确认,以确保信息系统的安全保护措施符合相应安全等级的基本安全要求。从而更好地保障各信息系统的正常运行。测评内容包括技术安全测评、管理安全测评和综合测评,并出具测评报告。
(2)供应商须针对信息系统等级保护测评提供咨询服务,协助通过等级保护测评,咨询服务内容包括系统现状调研,根据调研结果编制测评申请书,在测评现场提供技术支持,根据测评结果协助整改并提供复测咨询等。
2.服务要求
为保证辅助测评服务质量,须至少派遣1名具备丰富的网络知识、安全知识和云安全知识的服务人员提供本服务,并要求项目人员提供人力资源和社会保障局颁发的网络工程师、信息安全工程师、系统规划与管理师证书,中国信息安全测评中心颁发的注册信息安全专业人员(CISP)证书、云计算安全知识认证(CCSK)证书证明。
3.服务范围
针对“地质云”分节点1个三级信息系统和内网1个三级信息系统。
4.服务频次
服务期间分别提供1次等保三级测评服务。
5.服务成果
包括但不限于:
《网络安全等级保护测评报告》(以测评机构出具为准)。
3.7渗透测试服务
1.服务内容
供应商须通过模拟黑客攻击的方式,在不影响业务正常开展的前提下,验证信息系统抵御黑客攻击的能力,从而发现信息系统的安全隐患和脆弱点。
#为了确保渗透测试服务能够最大程度挖掘出互联网系统安全漏洞,要求供应商公司内部有着完善的软件开发流程,具备丰富的软件开发经验,对软件安全开发有深刻的理解和实践能力,具备成熟的软件开发设计及管理能力,提供CMMI证书和中国网络安全审查技术与认证中心颁发的软件安全开发服务资质证明。
2.服务要求
渗透测试的服务方式为:
访谈:渗透测试开展前,应当通过相应的信息收集方法进一步了解系统架构、功能模块构成、数据交互处理等技术细节问题;
工具扫描:供应商应当采用专业的扫描工具,工具需集成WEB应用漏洞、OA产品漏洞、网络设备漏洞、邮箱产品漏洞、服务器应用漏洞等多种漏洞利用工具,提供功能截图证明,通过分析,发现应用系统中可能存在的漏洞,主要包括(但不限于)服务器版本检查、CGI测试、跨站脚本测试、SQL注入漏洞测试、目录遍历等多类网络安全测试。
手工检测确认:结合工具扫描结果,供应商应当结合团队安全工作经验,编制测试方案,使用专业的渗透测试工具,通过构造特殊输入语句、编写检测脚本或程序代码、必要时搭建测试环境的方式,对系统可能存在的安全隐患进行验证。
为保证本项目服务质量,须至少派遣4名具备丰富攻防技术能力的服务人员参与项目,并要求项目人员提供中国信息安全测评中心颁发的注册渗透测试专家(CISP-PTS)证书证明和中国信息安全测评中心颁发的注册渗透测试工程师(CISP-PTE)证书证明。
3.服务范围
针对互联网网站的一个系统
4.服务频次
服务期间提供1次。
5.服务成果
包括但不限于:
《XXX系统渗透测试报告》
3.8 Web漏洞扫描
1.服务内容
供应商须使用专业设备,在用户授权后,检测Web应用漏洞风险,对 Web 漏洞、弱口令、应用层脆弱点、内容安全风险、挂马篡改等威胁进行扫描,为Web服务安全保驾护航。
2.服务要求
(1)为了能够形成常态化的核查机制,通过专业的运维使得采购人设备能够持续良好运转,要求供应商具备优秀的运维及运营能力,提供中国网络安全审查技术与认证中心颁发的信息系统安全运维服务资质证明和国家信息安全测评信息安全服务资质证书(安全运营类)。
(2)为了确保漏洞扫描结果的准确性、全面性和完整性,供应商须对漏洞扫描产品自身工作原理、流程有深入了解,在提供该项服务过程中应同时使用自研工具和第三方品牌多元化的服务工具开展服务,使用的自研工具须提供自主知识产权证明(如软著),使用的第三方服务工具须提供采购证明(如合同)。
(3)为保证本项目服务质量,须派遣2名具备一定的系统审计分析能力的服务人员参与项目,并要求项目人员提供中国信息安全测评中心颁发的注册信息系统审计师(CISP-A)证书证明。
3.服务范围
针对互联网网站的一个系统。
4.服务频次
服务期间提供1次。
5.服务成果
包括但不限于:
《Web漏洞扫描报告》
3.9安全设备维保服务
1.服务内容
供应商须为用户提供指定安全设备硬件维保、软件授权、特征库升级等相关服务工作。
2.服务范围
安全设备维保清单如下:
3.服务频次
硬件维保期限1年
4.服务成果
包括但不限于:
《安全设备维保服务报告》
4.项目团队要求
为顺利实施本项目,供应商须为本项目组建稳定的、专业的项目团队,供应商应根据项目任务组建专业团队,项目团队成员必须稳定。人员的变更需要提交人员变更申请并加盖公章,经我中心的同意,方可变更。
该项目团队具体要求如下:
网络安全服务团队须由项目经理,脆弱性检测、安全加固建议、应急响应、日常安全巡检、等保二级测评服务、等保三级测评服务、渗透测试服务、Web漏洞扫描、安全设备维保服务人员组成,为保证服务效果和效率各项服务人员不得复用。
供应商应根据中心的工作要求提供现场服务,并按时、按需、按质完成项目任务。项目团队需分工合理、层次清晰,且分工要与实施项目任务匹配。团队内各人员要求如下:
(1)项目经理
具有5年以上的网络安全咨询和服务经验,近三年(2020年1月1日至今)承担过网络安全服务类项目,并在项目中担任负责人,需提供合同首页、金额页、签署页和相关页复印件加盖供应商公章;需提供2个及以上网络安全服务项目案例。
#具有国家承认的硕士研究生学历,具有副高或以上职称,同时具有信息系统项目管理师证书或注册信息安全专业人员(CISP)、云计算安全知识认证(CCSK)、IT服务管理认证(ITIL)等证书,须提供支撑证明材料。须为供应商单位的正式员工,故提供近1年内任意一次社保缴纳证明,加盖供应商公章。
(2)项目团队成员
项目团队成员须为供应商单位的正式员工,提供近1年内任意一次社保缴纳证明加盖供应商公章。本项目各服务项的成员不得与其他服务项重复。
5.项目实施周期需求
本项目服务周期为1年。
6.保密要求
供应商及团队成员须严格遵守中心的保密要求,签订保密协议。对于中心提供的资料,以及本项目实施过程中所涉及的所有文档、数据和相关信息保密,未经许可,不得以任何形式向第三方传播。不得将在本项目中获取的权限等信息用于其他用途。如因供应商单方面原因造成泄密,中心将保留追究其法律责任的权利。
7.工作地点要求
北京市海淀区学院路31号中国自然资源航空物探遥感中心楼内。
8.建设经费
参选优胜方完成本次工作总计费用不超过:捌拾肆万元整(¥840000.00元),费用由中国自然资源航空物探遥感中心承担。
9.时间安排
(1)优选响应文件递交时间:公告发出日起5工作日内(截止日15:00前送达,否则视为未按时递交不予受理);
(2)优选评审时间:待定
10.验收标准和方式
中国自然资源航空物探遥感中心组织相关技术人员进行验收工作。
11.对参加优选单位的资质要求
投标人必须符合《中华人民共和国政府采购法》第二十二条之规定:
(1)具有独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必需的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)参加政府采购活动前三年内,在经营活动中没有重大违法记录;
(6)法律、行政法规规定的其他条件;
存在下列情形之一的任何机构,不得参与本项目投标:
(1)为本次采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的单位,及其关联的附属机构;
(2)列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的。
参加优选单位必须提供合法有效的下列文件,缺少项者视为不符合资格要求:
(1)法人代表授权书原件;
(2)参选单位营业执照副本并盖公章;
(3)税务登记证(三证合一的提供一份即可);
(4)供应商具备以下资质:ISO-27001 信息安全管理体系证书和中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质。
12.优选须知
(1)必须严格按照优选公告要求编写竞争性优选文件(包括服务报价单、相关资质证书、近3年来类似业绩、技术服务方案等),一式5份,1正4副,要求内容齐全,字迹清楚,加盖承担单位公章和法人代表印章;
(2)合同将授予符合优选公告要求、能圆满履行合同、买方最为有利的投标人;最低投标报价不是被授予合同的唯一条件;
(3)参加优选单位所提供文件须于指定时间递交到中国自然资源航空物探遥感中心综合楼B314室(联系人:张先生,电话:010-62060080,地址:北京市海淀区学院路31号,邮编:100086),逾期未送达指定地点者,我方将不予受理;
(4)优选结果将通过电话方式通知优选参与者并在我中心官网上公示。
以上解释权归中国自然资源航空物探遥感中心。
中国自然资源航空物探遥感中心
2023年06月08日
1.项目概况
中国自然资源航空物探遥感中心创建于1957年,是中国地质调查局直属正局级公益一类事业单位,主要承担国家基础性、公益性、战略性自然资源航空物探遥感调查和相关基础理论研究、相关技术方法和装备仪器软件研发应用与推广,承担应用地质调查、国土空间生态保护修复、国土空间用途管制、自然资源督察与执法等工作,支撑服务生态文明建设和自然资源管理中心工作,并向社会提供公益性服务。
为了更好地促进我中心信息系统的安全保障工作,切实提高信息系统的安全防护能力,落实国家网络安全相关法律法规和网络安全等级保护管理各项要求,特采购“中国自然资源航空物探遥感中心信息系统等保测评及安全运维项目(2023)”运维服务项目。
2.项目内容
本项目需采购脆弱性检测、安全加固建议、应急响应、日常安全巡检、等保二级测评服务、等保三级测评服务、渗透测试服务、Web漏洞扫描、安全设备维保服务等安全服务。
3.技术服务要求
3.1脆弱性检测
1.服务内容
供应商须针对信息系统服务器操作系统,采用工具扫描和手工检查相结合的方式对配置缺陷、漏洞等进行检查,以发现在主机、应用等层面存在的安全隐患,通过专业化的技术分析,帮助中心了解自身信息系统的脆弱性。
供应商需对信息系统相关的操作系统配置情况,进行核查。配置核查需覆盖Windows操作系统安全配置、Linux系列操作系统安全配置等内容。
2.服务要求
(1)为提高效率,供应商须使用自动化工具完成安全策略配置的核查,须提供安全配置核查系统自主知识产权证明(如软著);
(2)为了确保脆弱性检测结果的准确性、全面性和完整性,供应商须对软件开发、软件安全有深刻的理解和实践能力,具备成熟的软件开发能力并具备软件安全开发相关资质, 提供CMMI证书和中国网络安全审查技术与认证中心颁发的软件安全开发服务资质证明;
(3)为了能够形成常态化的核查机制,通过专业的运维使得采购人设备能够持续良好运转,要求供应商具备优秀的风险评估能力,提供中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质证明;
(4)为保证本项目服务质量,供应商须至少分别派遣2名熟悉各类网络设备、安全设备的配置,了解设备功能实现原理的服务人员和2名具备丰富的网络知识、安全知识的服务人员参与项目,并要求人员提供计算机技术与软件专业技术资格(水平)考试网络工程师资质证书和中国信息安全测评中心颁发的注册信息安全专业人员(CISP-PTE)证书。
3.服务范围
不超过90个资产。
4.服务频次
服务期间提供1次。
5.服务成果
包括但不限于:
《XXX系统脆弱性检测报告》
3.2安全加固建议
1.服务内容
供应商须根据脆弱性检测工作结果,针对操作系统、数据库、中间件、网络设备及安全设备提供安全加固建议。协助完成网络设备系统升级及安全加固。
2.服务要求
(1)为了保证安全加固建议的全面性、针对性和可操作性,供应商须对安全运维有深刻的理解和实践能力,并提供中国网络安全审查技术与认证中心颁发的信息系统安全运维服务资质证明;
(2)为保证安全加固效果,供应商应当提供至少1名了解软件工程、网络安全知识的服务人员和2名熟悉等级保护安全建设的服务人员参与该服务,其中1名人员须同时具备软件设计师资质及CISP(CISE方向)资质,提供信息安全等级保护安全建设专业技术人员证书。
3.服务范围
不超过90个资产。
4.服务频次
服务期间提供1次。
5.服务成果
包括但不限于:
《XXX系统安全加固建议》
3.3应急响应
1.服务内容
供应商须在信息系统发生安全事件时及时响应,执行应急响应流程,通过专家级技术支持和快速响应,及时抑制和消除用户信息系统安全事件,减少损失和负面影响,提高用户信息系统业务连续性。
供应商须在用户方接收到属地公安部门和上级单位发来的网络安全风险通知,配合开展处置。
2.服务要求
(1)为确保应急响应时效性和准确性,供应商须具备网络安全事件分析、处置能力,提供中国网络安全审查技术与认证中心颁发的信息安全应急处理服务资质证明;
(2)为了保证应急响应的事件排查效果,供应商应对事件发生原因进行充分分析,避免再次发生类似安全事件,要求供应商具备优秀的网络安全审计能力,提供中国网络安全审查技术与认证中心颁发的信息系统网络安全审计服务资质证明;
(3)为保证本项目服务质量,须至少派遣2名具备丰富的应急处置经验的服务人员参与项目,要求人员具备中国网络安全审查技术与认证中心颁发的信息安全保障人员认证证书(CISAW应急服务专业级)证书。
3.服务范围
中国自然资源航空物探遥感中心。
4.服务频次
服务期间不限次数。
5.服务成果
包括但不限于:
《应急响应报告》
3.4日常安全巡检
1.服务内容
供应商须安排工程师每周针对中心内网和外网的网络安全设备,如APT高级持续性威胁检测系统、防火墙、Web应用防火墙、运维审计系统、日志审计系统、漏洞扫描系统、入侵检测系统、入侵防御系统进行巡检,巡检内容包括:特征库更新情况、漏洞库更新情况、设备运行情况等。每周提供1次周报。
2.服务要求
(1)为了确保安全巡检过程中对采购人计算机信息系统进行监督检查,供应商须具备客观评价所开展的系统的安全性、可靠性和经济性的能力。故要求供应商提供中国网络安全审查技术与认证中心颁发的信息系统网络安全审计服务资质证明。
(2)为保证本项目服务质量,须至少分别派遣1名熟悉各类网络设备、安全设备的配置,了解设备功能实现原理的服务人员和2名具备丰富的网络知识、安全知识的服务人员参与项目,并要求人员提供计算机技术与软件专业技术资格(水平)考试信息安全工程师资质证书和信息安全保障人员认证证书(安全运维专业级)证书。
3.服务范围
针对中心内网和外网的网络安全设备,如APT高级持续性威胁检测系统、防火墙、Web应用防火墙、运维审计系统、日志审计系统、漏洞扫描系统、入侵检测系统、入侵防御系统进行巡检。
4.服务频次
服务期间每周提供1次。
5.服务成果
包括但不限于:
《安全巡检报告》
3.5等保二级测评服务
1.服务内容
(1)供应商须根据国家信息安全相关政策和要求,邀请有资质的第三方机构进行等级保护测评,全面评估信息系统现有安全防护水平和相应等级安全要求之间的差距,检测和评估信息系统在安全技术、安全管理等方面是否符合已确定的安全等级的要求;对于尚未符合要求的信息系统,分析和评估其潜在威胁、薄弱环节以及现有安全防护措施,综合考虑信息系统的重要性和面临的安全威胁等因素,提出相应的整改建议,并在系统整改后进行复测确认,以确保信息系统的安全保护措施符合相应安全等级的基本安全要求。从而更好地保障各信息系统的正常运行。测评内容包括技术安全测评、管理安全测评和综合测评,并出具测评报告。
(2)供应商须针对信息系统等级保护测评提供咨询服务,协助通过等级保护测评,咨询服务内容包括系统现状调研,根据调研结果编制测评申请书,在测评现场提供技术支持,根据测评结果协助整改并提供复测咨询等。协助完成定级备案变更相关工作。
2.服务要求
为保证辅助测评服务质量,须至少派遣1名具备丰富的网络知识、安全知识的服务人员提供本服务,并要求项目人员提供中国信息安全测评中心颁发的注册信息安全专业人员(CISP)证书、云计算安全知识认证(CCSK)证书证明。
3.服务范围
针对2个二级信息系统。
4.服务频次
服务期间分别提供1次等保二级测评服务。
5.服务成果
包括但不限于:
《网络安全等级保护测评报告》(以测评机构出具为准)。
3.6等保三级测评服务
1.服务内容
(1)供应商须根据国家信息安全相关政策和要求,邀请有资质的第三方机构进行等级保护测评,全面评估信息系统现有安全防护水平和相应等级安全要求之间的差距,检测和评估信息系统在安全技术、安全管理等方面是否符合已确定的安全等级的要求;对于尚未符合要求的信息系统,分析和评估其潜在威胁、薄弱环节以及现有安全防护措施,综合考虑信息系统的重要性和面临的安全威胁等因素,提出相应的整改建议,并在系统整改后进行复测确认,以确保信息系统的安全保护措施符合相应安全等级的基本安全要求。从而更好地保障各信息系统的正常运行。测评内容包括技术安全测评、管理安全测评和综合测评,并出具测评报告。
(2)供应商须针对信息系统等级保护测评提供咨询服务,协助通过等级保护测评,咨询服务内容包括系统现状调研,根据调研结果编制测评申请书,在测评现场提供技术支持,根据测评结果协助整改并提供复测咨询等。
2.服务要求
为保证辅助测评服务质量,须至少派遣1名具备丰富的网络知识、安全知识和云安全知识的服务人员提供本服务,并要求项目人员提供人力资源和社会保障局颁发的网络工程师、信息安全工程师、系统规划与管理师证书,中国信息安全测评中心颁发的注册信息安全专业人员(CISP)证书、云计算安全知识认证(CCSK)证书证明。
3.服务范围
针对“地质云”分节点1个三级信息系统和内网1个三级信息系统。
4.服务频次
服务期间分别提供1次等保三级测评服务。
5.服务成果
包括但不限于:
《网络安全等级保护测评报告》(以测评机构出具为准)。
3.7渗透测试服务
1.服务内容
供应商须通过模拟黑客攻击的方式,在不影响业务正常开展的前提下,验证信息系统抵御黑客攻击的能力,从而发现信息系统的安全隐患和脆弱点。
#为了确保渗透测试服务能够最大程度挖掘出互联网系统安全漏洞,要求供应商公司内部有着完善的软件开发流程,具备丰富的软件开发经验,对软件安全开发有深刻的理解和实践能力,具备成熟的软件开发设计及管理能力,提供CMMI证书和中国网络安全审查技术与认证中心颁发的软件安全开发服务资质证明。
2.服务要求
渗透测试的服务方式为:
访谈:渗透测试开展前,应当通过相应的信息收集方法进一步了解系统架构、功能模块构成、数据交互处理等技术细节问题;
工具扫描:供应商应当采用专业的扫描工具,工具需集成WEB应用漏洞、OA产品漏洞、网络设备漏洞、邮箱产品漏洞、服务器应用漏洞等多种漏洞利用工具,提供功能截图证明,通过分析,发现应用系统中可能存在的漏洞,主要包括(但不限于)服务器版本检查、CGI测试、跨站脚本测试、SQL注入漏洞测试、目录遍历等多类网络安全测试。
手工检测确认:结合工具扫描结果,供应商应当结合团队安全工作经验,编制测试方案,使用专业的渗透测试工具,通过构造特殊输入语句、编写检测脚本或程序代码、必要时搭建测试环境的方式,对系统可能存在的安全隐患进行验证。
为保证本项目服务质量,须至少派遣4名具备丰富攻防技术能力的服务人员参与项目,并要求项目人员提供中国信息安全测评中心颁发的注册渗透测试专家(CISP-PTS)证书证明和中国信息安全测评中心颁发的注册渗透测试工程师(CISP-PTE)证书证明。
3.服务范围
针对互联网网站的一个系统
4.服务频次
服务期间提供1次。
5.服务成果
包括但不限于:
《XXX系统渗透测试报告》
3.8 Web漏洞扫描
1.服务内容
供应商须使用专业设备,在用户授权后,检测Web应用漏洞风险,对 Web 漏洞、弱口令、应用层脆弱点、内容安全风险、挂马篡改等威胁进行扫描,为Web服务安全保驾护航。
2.服务要求
(1)为了能够形成常态化的核查机制,通过专业的运维使得采购人设备能够持续良好运转,要求供应商具备优秀的运维及运营能力,提供中国网络安全审查技术与认证中心颁发的信息系统安全运维服务资质证明和国家信息安全测评信息安全服务资质证书(安全运营类)。
(2)为了确保漏洞扫描结果的准确性、全面性和完整性,供应商须对漏洞扫描产品自身工作原理、流程有深入了解,在提供该项服务过程中应同时使用自研工具和第三方品牌多元化的服务工具开展服务,使用的自研工具须提供自主知识产权证明(如软著),使用的第三方服务工具须提供采购证明(如合同)。
(3)为保证本项目服务质量,须派遣2名具备一定的系统审计分析能力的服务人员参与项目,并要求项目人员提供中国信息安全测评中心颁发的注册信息系统审计师(CISP-A)证书证明。
3.服务范围
针对互联网网站的一个系统。
4.服务频次
服务期间提供1次。
5.服务成果
包括但不限于:
《Web漏洞扫描报告》
3.9安全设备维保服务
1.服务内容
供应商须为用户提供指定安全设备硬件维保、软件授权、特征库升级等相关服务工作。
2.服务范围
安全设备维保清单如下:
| 序号 | 设备类型 | 设备品牌 | 设备SN码 | 服务内容 |
| 1 | EDR | 深信服 | 3271116025 | 软件授权(共800个智防、400个智控、400个智响应、200个Windows、100个linux) |
| 2 | 二级区防火墙 | 深信服 | 5082005521 | 漏洞攻击特征识别库、软件版本升级和硬件质保 |
| 3 | 内网边界防火墙 | 深信服 | 5082005524 | 软件版本升级和硬件质保 |
| 4 | 互联网防火墙 | 天融信 | Q1905070194 | 应用识别特征库、企业版病毒库、软件版本升级和硬件质保 |
| 5 | 网闸 | 天融信 | TR821661608261 | 硬件质保 |
| 6 | 安管区防火墙 | 天融信 | Q1603414698 | 硬件质保 |
| 7 | 漏扫 | 天融信 | Q1606438933 | 漏洞库升级和硬件质保 |
| 8 | web防火墙 | 绿盟 | 19-20-J-0021 | 特征库升级、软件版本升级和硬件质保 |
| 9 | IPS | 启明星辰 | 113211905179997 | 入侵模块特征库升级、软件版本升级和硬件质保 |
3.服务频次
硬件维保期限1年
4.服务成果
包括但不限于:
《安全设备维保服务报告》
4.项目团队要求
为顺利实施本项目,供应商须为本项目组建稳定的、专业的项目团队,供应商应根据项目任务组建专业团队,项目团队成员必须稳定。人员的变更需要提交人员变更申请并加盖公章,经我中心的同意,方可变更。
该项目团队具体要求如下:
网络安全服务团队须由项目经理,脆弱性检测、安全加固建议、应急响应、日常安全巡检、等保二级测评服务、等保三级测评服务、渗透测试服务、Web漏洞扫描、安全设备维保服务人员组成,为保证服务效果和效率各项服务人员不得复用。
供应商应根据中心的工作要求提供现场服务,并按时、按需、按质完成项目任务。项目团队需分工合理、层次清晰,且分工要与实施项目任务匹配。团队内各人员要求如下:
(1)项目经理
具有5年以上的网络安全咨询和服务经验,近三年(2020年1月1日至今)承担过网络安全服务类项目,并在项目中担任负责人,需提供合同首页、金额页、签署页和相关页复印件加盖供应商公章;需提供2个及以上网络安全服务项目案例。
#具有国家承认的硕士研究生学历,具有副高或以上职称,同时具有信息系统项目管理师证书或注册信息安全专业人员(CISP)、云计算安全知识认证(CCSK)、IT服务管理认证(ITIL)等证书,须提供支撑证明材料。须为供应商单位的正式员工,故提供近1年内任意一次社保缴纳证明,加盖供应商公章。
(2)项目团队成员
项目团队成员须为供应商单位的正式员工,提供近1年内任意一次社保缴纳证明加盖供应商公章。本项目各服务项的成员不得与其他服务项重复。
5.项目实施周期需求
本项目服务周期为1年。
6.保密要求
供应商及团队成员须严格遵守中心的保密要求,签订保密协议。对于中心提供的资料,以及本项目实施过程中所涉及的所有文档、数据和相关信息保密,未经许可,不得以任何形式向第三方传播。不得将在本项目中获取的权限等信息用于其他用途。如因供应商单方面原因造成泄密,中心将保留追究其法律责任的权利。
7.工作地点要求
北京市海淀区学院路31号中国自然资源航空物探遥感中心楼内。
8.建设经费
参选优胜方完成本次工作总计费用不超过:捌拾肆万元整(¥840000.00元),费用由中国自然资源航空物探遥感中心承担。
9.时间安排
(1)优选响应文件递交时间:公告发出日起5工作日内(截止日15:00前送达,否则视为未按时递交不予受理);
(2)优选评审时间:待定
10.验收标准和方式
中国自然资源航空物探遥感中心组织相关技术人员进行验收工作。
11.对参加优选单位的资质要求
投标人必须符合《中华人民共和国政府采购法》第二十二条之规定:
(1)具有独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必需的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)参加政府采购活动前三年内,在经营活动中没有重大违法记录;
(6)法律、行政法规规定的其他条件;
存在下列情形之一的任何机构,不得参与本项目投标:
(1)为本次采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的单位,及其关联的附属机构;
(2)列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的。
参加优选单位必须提供合法有效的下列文件,缺少项者视为不符合资格要求:
(1)法人代表授权书原件;
(2)参选单位营业执照副本并盖公章;
(3)税务登记证(三证合一的提供一份即可);
(4)供应商具备以下资质:ISO-27001 信息安全管理体系证书和中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质。
12.优选须知
(1)必须严格按照优选公告要求编写竞争性优选文件(包括服务报价单、相关资质证书、近3年来类似业绩、技术服务方案等),一式5份,1正4副,要求内容齐全,字迹清楚,加盖承担单位公章和法人代表印章;
(2)合同将授予符合优选公告要求、能圆满履行合同、买方最为有利的投标人;最低投标报价不是被授予合同的唯一条件;
(3)参加优选单位所提供文件须于指定时间递交到中国自然资源航空物探遥感中心综合楼B314室(联系人:张先生,电话:010-62060080,地址:北京市海淀区学院路31号,邮编:100086),逾期未送达指定地点者,我方将不予受理;
(4)优选结果将通过电话方式通知优选参与者并在我中心官网上公示。
以上解释权归中国自然资源航空物探遥感中心。
中国自然资源航空物探遥感中心
2023年06月08日
解决方案
联系我们
返回顶部