招标
长沙市岳麓区数据资源中心:岳麓区电子政务外网平台及重要信息系统网络安全等级保护测评和商用密码应用安全评估(2022年)项目采购需求公开
金额
-
项目地址
湖南省
发布时间
2022/07/14
公告摘要
公告正文
一、功能及要求:
为深入贯彻落实习近平总书记等中央领导关于网络安全工作的重要指示精神,遵循《中华人民共和国网络安全法》(主席令第五十三号)、《中华人民共和国密码法》(主席令第三十五号)、《长沙市政府投资信息化建设项目管理办法》长政办发〔2021〕20号等相关要求,我中心拟开展2022年度岳麓区电子政务外网平台及相关重要信息系统网络安全等级保护测评工作和商用密码应用安全评估工作。
二、相关标准:
1、政策法规依据
(1)《中华人民共和国网络安全法》(中华人民共和国主席令第五十三号);
(2)《中华人民共和国密码法》(中华人民共和国主席令第三十五号);
(3)《湖南省电子政务外网安全管理暂行办法》(湘政办发〔2020〕33号);
(4)《长沙市政府投资信息化建设项目管理办法的通知》长政办发〔2021〕20号;
(5)《长沙市财政评审中心政府投资建设信息化项目评审指南(试行)》的通知(长财评综〔2021〕19号)。
2、技术标准依据
(1)《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019);
(2)《信息安全技术网络安全等级保护定级指南》(GB/T 22240-2020);
(3)《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018);
(4)《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019);
(5)《信息安全技术网络安全等级保护安全设计技术要求》(GB/T25070-2019);
(6)《信息安全技术网络安全等级保护测试评估技术指南》(GB/T36627-2018);
(7)《信息安全技术 信息系统密码应用基本要求》GB/T39876-2021。
三、技术规格:
测评内容
本次测评内容共涉及五个测评系统,分别是岳麓区电子政务外网平台、“智慧岳麓”大数据平台、岳麓区超融合虚拟化平台、岳麓区党政办公一体化平台共计四个三级系统开展网络安全等级保护测评工作和商用密码应用安全评估工作。同时,对岳麓区门户网站集群(二级)进行网络安全等级保护测评工作。
四、交付时间和地点:
实施时间:合同签订后90天
实施地点:采购人指定地点
五、服务标准:
1、整体要求
(1)投标人应详细描述本次项目整体测评实施方案,包括但不限于项目需求、等级保护测评方案、商用密码应用安全评估方案、测评过程中需使用测评设备、工具清单、时间计划安排、阶段性文档提交等。
(2)投标人应详细描述测评团队的组成、资质及各自职责的划分。投标人应配置有测评资质的专业人员进行本次信息安全等级保护测评工作。
(3)本次测评需要的运行环境(如场地、网络环境等)由采购人提供,投标人应详细描述需要的运行环境的具体要求。
2、网络安全等级保护测评服务要求
本次测评应依照相关标准规范对各业务系统从技术内容、安全管理制度、风险评估的角度出发,进行等级保护测评,测评内容需包含但不限于:
(1)安全技术测评
安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面。
(2)安全管理测评
安全管理评估包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面。
(3)云计算安全扩展测评
包括:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面。
(4)漏洞扫描
漏洞扫描是发现安全漏洞的快捷方式,本地测试过程中将会从主机系统层面和应用层面进行漏洞扫描,全面发现系统发现的安全漏洞,针对扫描工具发现的安全漏洞进行人工测试确认,以消除工具扫描误报和漏洞影响。
(5)渗透测试内容
包括但不限于SQL 注入、跨站脚本、文件上传、弱口令、目录浏览、未授权访问、信息未加密、认证会话管理等。
(6)交付成果要求
投标人应严格按照项目建设内容要求提供服务,各阶段交付成果包括但不限于以下内容:
A:测评实施方案 ;
B:整改报告(含差距分析);
C:配合采购人从公安部门取得应用系统的等级保护备案证明;
D:出具符合主管单位要求的测评报告。
3、商用密码应用安全评估要求
(1)本次测评应依照相关标准规范对各业务系统从系统技术、密钥管理和安全管理等方面进行评估,评估范围主要包括:物理机房、服务器操作系统、数据库系统、交换机、路由器、防火墙、密码算法、密码技术、密码产品、密码服务、应用、安全管理相关文档等,主要测评内容包含但不限于下表所示:
(2)成果交付要求
A:测评实施方案
B:整改报告(含差距分析报告)
C: 最终出具符合相关密码标准和主管单位要求的测评报告
4、保密要求
成交供应商及成交供应商安排的人员须和采购人签订保密协议,以厘清成交供应商保密职责与义务。保密条款包括但不限于以下:
(1)成交供应商对于保密资料仅可为本项目服务使用,不得挪作它用;
(2)双方共同遵守《保密法》及其他有关法律法规,承担保守国家秘密和对中标人有关人员进行保密教育、管理义务,采取有效措施确保本项目保密信息的安全;
(3)成交供应商为保密义务人,应采取必要且足以实现本协议保密目的的保密措施,无条件承担下列保守信息资料秘密义务:
(4)不向任何未参与本合同人员提供知悉的保密信息和与采购方技术合作的情况;
(5)不擅自以任何方式复制采购方保密文件资料;
(6)成交供应商工作人员必须自觉遵守采购方的各项保密规章制度,应做到不该看的不看、不该问的不要问、不该动的不要动,自觉承担保密任务;
(7)成交供应商对其因身份、职务、职业或技术关系而知悉的采购方国家秘密信息资料应严格保守秘密,保证不被披露或使用,包括意外或过失。如发现秘密信息资料被泄露或者存在泄露的危险,应当采取有效措施制止,并及时向采购方报告。
(8)未经采购人允许,不得私自保留任何与本项目有关的技术文档;
(9)不得擅自以任何方式将技术合作成果申请专利、保密专利或提供给第三方。
(10)未经采购方书面授权,乙方不得将采购方任何信息公开发布(通过电台、网络、报纸等媒体),或作为单位资讯进行宣传。
5、培训要求
成交供应商应对采购人相关管理维护人员进行相关网络安全等级保护知识和商用密码应用知识的培训,加深对信息安全的认识,加强识别信息安全风险的能力和信息安全风险防范技能。
六、验收标准:
(1)本项目按照一般程序进行验收。
(2)按照长财采购[2016]6号《关于进一步规范政府采购项目履约验收工作管理的通知》进行验收。项目验收国家有强制性规定的,按国家规定执行,验收费用由中标人承担,验收报告作为申请付款的凭证之一。
(3)验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为中标人原因造成的,由中标人承担检测费用;否则,由采购人承担。
(4)项目验收不合格,由成交供应商返工直至合格,有关返工、再行验收,以及给采购人造成的损失等费用由中标人承担。连续两次项目验收不合格的,采购人可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由成交供应商承担。
七、其他要求:
1. 结算方式:
(1)付款人:长沙市岳麓区数据资源中心(通过国库集中支付)
(2)付款方式:完成系统测评,成交供应商出具相应系统的交付成果资料并经终验合格完毕后的15个工作日内,采购人向成交供应商支付合同额100%,在甲方付款前,成交供应商提供等额的增值税普通发票。
2. 其他
本项目采用费用包干方式建设,如一旦中标,在项目实施中出现任何遗漏,均由中标人提供,采购人不再支付任何费用。
对于上述项目要求,投标人应在投标文件中进行回应,作出承诺及说明。
采购需求仅供参考,相关内容以采购文件为准。
为深入贯彻落实习近平总书记等中央领导关于网络安全工作的重要指示精神,遵循《中华人民共和国网络安全法》(主席令第五十三号)、《中华人民共和国密码法》(主席令第三十五号)、《长沙市政府投资信息化建设项目管理办法》长政办发〔2021〕20号等相关要求,我中心拟开展2022年度岳麓区电子政务外网平台及相关重要信息系统网络安全等级保护测评工作和商用密码应用安全评估工作。
二、相关标准:
1、政策法规依据
(1)《中华人民共和国网络安全法》(中华人民共和国主席令第五十三号);
(2)《中华人民共和国密码法》(中华人民共和国主席令第三十五号);
(3)《湖南省电子政务外网安全管理暂行办法》(湘政办发〔2020〕33号);
(4)《长沙市政府投资信息化建设项目管理办法的通知》长政办发〔2021〕20号;
(5)《长沙市财政评审中心政府投资建设信息化项目评审指南(试行)》的通知(长财评综〔2021〕19号)。
2、技术标准依据
(1)《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019);
(2)《信息安全技术网络安全等级保护定级指南》(GB/T 22240-2020);
(3)《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018);
(4)《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019);
(5)《信息安全技术网络安全等级保护安全设计技术要求》(GB/T25070-2019);
(6)《信息安全技术网络安全等级保护测试评估技术指南》(GB/T36627-2018);
(7)《信息安全技术 信息系统密码应用基本要求》GB/T39876-2021。
三、技术规格:
测评内容
本次测评内容共涉及五个测评系统,分别是岳麓区电子政务外网平台、“智慧岳麓”大数据平台、岳麓区超融合虚拟化平台、岳麓区党政办公一体化平台共计四个三级系统开展网络安全等级保护测评工作和商用密码应用安全评估工作。同时,对岳麓区门户网站集群(二级)进行网络安全等级保护测评工作。
| 序号 | 系统名称 | 系统等级 |
| 1 | 岳麓区电子政务外网平台 | 第三级 |
| 2 | “智慧岳麓”大数据平台 | 第三级 |
| 3 | 岳麓区超融合虚拟化平台 | 第三级 |
| 4 | 岳麓区党政办公一体化平台 | 第三级 |
| 5 | 岳麓区门户网站集群 | 第二级 |
四、交付时间和地点:
实施时间:合同签订后90天
实施地点:采购人指定地点
五、服务标准:
1、整体要求
(1)投标人应详细描述本次项目整体测评实施方案,包括但不限于项目需求、等级保护测评方案、商用密码应用安全评估方案、测评过程中需使用测评设备、工具清单、时间计划安排、阶段性文档提交等。
(2)投标人应详细描述测评团队的组成、资质及各自职责的划分。投标人应配置有测评资质的专业人员进行本次信息安全等级保护测评工作。
(3)本次测评需要的运行环境(如场地、网络环境等)由采购人提供,投标人应详细描述需要的运行环境的具体要求。
2、网络安全等级保护测评服务要求
本次测评应依照相关标准规范对各业务系统从技术内容、安全管理制度、风险评估的角度出发,进行等级保护测评,测评内容需包含但不限于:
(1)安全技术测评
安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面。
(2)安全管理测评
安全管理评估包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面。
(3)云计算安全扩展测评
包括:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面。
(4)漏洞扫描
漏洞扫描是发现安全漏洞的快捷方式,本地测试过程中将会从主机系统层面和应用层面进行漏洞扫描,全面发现系统发现的安全漏洞,针对扫描工具发现的安全漏洞进行人工测试确认,以消除工具扫描误报和漏洞影响。
(5)渗透测试内容
包括但不限于SQL 注入、跨站脚本、文件上传、弱口令、目录浏览、未授权访问、信息未加密、认证会话管理等。
(6)交付成果要求
投标人应严格按照项目建设内容要求提供服务,各阶段交付成果包括但不限于以下内容:
A:测评实施方案 ;
B:整改报告(含差距分析);
C:配合采购人从公安部门取得应用系统的等级保护备案证明;
D:出具符合主管单位要求的测评报告。
3、商用密码应用安全评估要求
(1)本次测评应依照相关标准规范对各业务系统从系统技术、密钥管理和安全管理等方面进行评估,评估范围主要包括:物理机房、服务器操作系统、数据库系统、交换机、路由器、防火墙、密码算法、密码技术、密码产品、密码服务、应用、安全管理相关文档等,主要测评内容包含但不限于下表所示:
| 序号 | 评估内容 | | 评估对象 |
| 1 | 总体要求测评 | 密码算法测评 | 密码算法 |
| 密码技术测评 | 密码技术 | ||
| 密码产品测评 | 密码产品 | ||
| 密码服务测评 | 密码服务 | ||
| 2 | 物理和环境安全测评 | 身份鉴别 | 物理机房 |
| 电子门禁记录数据完整性 | 物理机房 | ||
| 视频记录数据完整性 | 物理机房 | ||
| 硬件密码模块实现 | 物理机房 | ||
| 3 | 网络和通信安全测评 | 身份鉴别 | 交换机、路由器、防火墙等 |
| 访问控制信息完整性 | 交换机、路由器、防火墙等 | ||
| 通信数据完整性 | 交换机、路由器、防火墙等 | ||
| 通信数据机密性 | 交换机、路由器、防火墙等 | ||
| 集中管理通道安全 | 交换机、路由器、防火墙等 | ||
| 密码模块安全 | 交换机、路由器、防火墙等 | ||
| 4 | 设备和计算安全测评 | 身份鉴别 | 操作系统、数据库 |
| 远程管理身份鉴别信息机密性 | 操作系统、数据库 | ||
| 访问控制信息完整性 | 操作系统、数据库 | ||
| 敏感标记完整性 | 操作系统、数据库 | ||
| 重要程序或文件完整性 | 操作系统、数据库 | ||
| 4 | 设备和计算安全测评 | 日志记录完整性 | 操作系统、数据库 |
| 硬件密码模块实现 | 操作系统、数据库 | ||
| 5 | 应用和数据安全测评 | 身份鉴别 | 应用 |
| 访问控制 | 应用 | ||
| 数据传输机密性 | 应用 | ||
| 数据存储机密性 | 应用 | ||
| 数据传输完整性 | 应用 | ||
| 数据存储完整性 | 应用 | ||
| 日志记录完整性 | 应用 | ||
| 重要应用程序加载和卸载 | 应用 | ||
| 抗抵赖 | 应用 | ||
| 硬件密码模块实现 | 应用 | ||
| 6 | 安全管理测评 | 制度 | 安全管理相关文档 |
| 人员 | 安全管理相关文档 | ||
| 实施 | 安全管理相关文档 | ||
| 运行 | 安全管理相关文档 | ||
| 7 | 密钥管理测评 | 密钥生成 | 全局 |
| 密钥存储 | 全局 | ||
| 密钥分发 | 全局 | ||
| 密钥导入与导出 | 全局 | ||
| | 密钥使用 | 全局 | |
| 密钥备份与恢复 | 全局 | ||
| 密钥归档 | 全局 | ||
| 密钥销毁 | 全局 |
(2)成果交付要求
A:测评实施方案
B:整改报告(含差距分析报告)
C: 最终出具符合相关密码标准和主管单位要求的测评报告
4、保密要求
成交供应商及成交供应商安排的人员须和采购人签订保密协议,以厘清成交供应商保密职责与义务。保密条款包括但不限于以下:
(1)成交供应商对于保密资料仅可为本项目服务使用,不得挪作它用;
(2)双方共同遵守《保密法》及其他有关法律法规,承担保守国家秘密和对中标人有关人员进行保密教育、管理义务,采取有效措施确保本项目保密信息的安全;
(3)成交供应商为保密义务人,应采取必要且足以实现本协议保密目的的保密措施,无条件承担下列保守信息资料秘密义务:
(4)不向任何未参与本合同人员提供知悉的保密信息和与采购方技术合作的情况;
(5)不擅自以任何方式复制采购方保密文件资料;
(6)成交供应商工作人员必须自觉遵守采购方的各项保密规章制度,应做到不该看的不看、不该问的不要问、不该动的不要动,自觉承担保密任务;
(7)成交供应商对其因身份、职务、职业或技术关系而知悉的采购方国家秘密信息资料应严格保守秘密,保证不被披露或使用,包括意外或过失。如发现秘密信息资料被泄露或者存在泄露的危险,应当采取有效措施制止,并及时向采购方报告。
(8)未经采购人允许,不得私自保留任何与本项目有关的技术文档;
(9)不得擅自以任何方式将技术合作成果申请专利、保密专利或提供给第三方。
(10)未经采购方书面授权,乙方不得将采购方任何信息公开发布(通过电台、网络、报纸等媒体),或作为单位资讯进行宣传。
5、培训要求
成交供应商应对采购人相关管理维护人员进行相关网络安全等级保护知识和商用密码应用知识的培训,加深对信息安全的认识,加强识别信息安全风险的能力和信息安全风险防范技能。
六、验收标准:
(1)本项目按照一般程序进行验收。
(2)按照长财采购[2016]6号《关于进一步规范政府采购项目履约验收工作管理的通知》进行验收。项目验收国家有强制性规定的,按国家规定执行,验收费用由中标人承担,验收报告作为申请付款的凭证之一。
(3)验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为中标人原因造成的,由中标人承担检测费用;否则,由采购人承担。
(4)项目验收不合格,由成交供应商返工直至合格,有关返工、再行验收,以及给采购人造成的损失等费用由中标人承担。连续两次项目验收不合格的,采购人可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由成交供应商承担。
七、其他要求:
1. 结算方式:
(1)付款人:长沙市岳麓区数据资源中心(通过国库集中支付)
(2)付款方式:完成系统测评,成交供应商出具相应系统的交付成果资料并经终验合格完毕后的15个工作日内,采购人向成交供应商支付合同额100%,在甲方付款前,成交供应商提供等额的增值税普通发票。
2. 其他
本项目采用费用包干方式建设,如一旦中标,在项目实施中出现任何遗漏,均由中标人提供,采购人不再支付任何费用。
对于上述项目要求,投标人应在投标文件中进行回应,作出承诺及说明。
采购需求仅供参考,相关内容以采购文件为准。
解决方案
联系我们
返回顶部