招标
中山大学网络与信息中心网络安全等级保护测评和商用密码应用安全性评估服务采购项目
安全性评估服务商用密码应用安全性评估网络安全等级保护测评密码应用与管理校园卡系统医学数据互联共享平台云管理平台安全整改建议信息系统进行测试评估系统等级保护测评安全控制测评安全技术测评安全管理测评系统整体测评测评工具各类测评表单信息系统调研网络拓扑结构业务应用系统访问控制策略业务流程设备信息互联网发布节点的应用服务器数据库管理系统边界网络设备网络安全设备安全管理制度测评实施手册安全管理中心人员访谈配置检查文档审查集中管控系统数据安全保障系统管理员审计管理员安全管理员操作审计系统安全计算环境工具测试主机房操作系统各类应用系统管理数据业务数据区域边界安全层面测评网络和通信安全身份鉴别物理访问控制安全审计入侵防范恶意代码防范管理可信验证通信数据完整性数据保密性数据备份恢复剩余信息保护个人信息保护安全区域边界网络区域边界安全保障网络互联设备边界防护垃圾邮件防范通信网络安全层面测评网络架构通信传输安全物理环境环境安全保障物理基础设施物理环境安全层面测评物理位置选择防破坏防雷击防火墙防水防潮防静电温湿度控制电力供应电磁防护现场测评安全通信网络安全建设管理安全运维管理分析与报告编制环境管理资产管理介质管理设备维护管理漏洞和风险管理网络和系统安全管理配置管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理外包运维定级和备案安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付等级测评结论服务供应商选择安全管理人员方面测评安全意识教育和培训外部人员访问管理安全管理机构方面测评岗位设置人员配备沟通和合作审核和检查安全策略和管理制度方面测评制定和发布评审和修订测评报告编制单元测评测评结果汇总风险分析整改建议单项测评结果分析路由器核心交换机汇聚层交换机机房环境配套设施重要管理终端业务终端IDS/IPS防病毒网关渗透测试工具对外网站服务器渗透性测试网站漏洞检查网络检查数据库检查系统检查恶意代码检查终端安全检查数据库弱点检查实地查看系统端口扫描网络协议漏洞扫描Web应用漏洞扫描权限提升不同网段/Vlan之间的渗透SQL注入攻击文件上传目录遍历跨站脚本攻击第三方软件误配置脚本测试Cookie利用后门程序检查远程溢出口令猜测社会工程学攻击敏感信息获取网络嗅探DNS劫持攻击旁注攻击诱导攻击拒绝服务攻击信息发掘差距评估商业密码应用安全性评估密码保护办公场地灾备机房边界网络日志审计系统密码设备密码机备份设备密码技术的机密性服务电子门禁记录电子门禁系统视频记录视频监控访问控制信息完整性通信数据机密性集中管理通道安全信息传输通道网络中的安全设备或安全组件进行集中管理远程管理身份鉴别信息机密性系统资源访问控制信息的完整性敏感标记的完整性重要程序或文件完整性保护可信计算技术系统到应用的信任链日志记录完整性的保护访问控制信息和敏感标记完整性数据库表访问控制信息重要信息资源敏感标记数据传输数据存储重要数据在传输重要配置数据重要视频数据重要数据在存储重要应用程序的加载和卸载密钥管理生成分发导入导出密钥备份恢复密钥备份或恢复密码建设密码相关产品商用密码产品密钥管理人员密码操作人员密码的操作和管理安全需求分析密码系统设计方案密码产品清单维护策略密码服务应急应急预案信息系统安全信息系统系统进行测评端口扫描工具网络传输协议分析工具集检查点数据捕获代码走查测评输出跨网络隔离设备分段探测安全性评估报告安全服务顾问安全需求调研安全检查环境安全报告
金额
-
项目地址
广东省
发布时间
2022/10/15
公告摘要
公告正文
中山大学网络与信息中心网络安全等级保护测评和商用密码应用安全性评估服务采购项目
基本信息
| 项目编号 | 中大招(服)[2022]184号 | ||||||
| 项目名称 | 中山大学网络与信息中心网络安全等级保护测评和商用密码应用安全性评估服务采购项目 | ||||||
| 项目类型 | 服务采购 | 申购主题 | 中山大学网络与信息中心网络安全等级保护测评和商用密码应用安全性评估服务采购项目 | 采购单位 | 中山大学 | ||
| 项目预算 | *** | 采购开始时间 | 2022-10-15 20:58 | 采购结束时间 | 2022-10-21 09:00 | 是否送货 | 是 |
| 经办人 | 罗老师 | 经办人电话 | 84115080 | 送货地址 | 中山大学南校园第三教学楼 | ||
| 备注 | 本项目需要现场磋商,现场磋商时间在截标之后,将通过系统另行通知(中山大学南校园招标中心305报到),出席人员需要携带授权书和身份证。 | ||||||
报价方式
| 报价原则 | 报价方式 | 报价备注 | 附件 |
|---|---|---|---|
| 中山大学网络与信息中心网络安全等级保护测评和商用密码应用安全性评估服务采购项目 | 报总价 | 价格分统一采用低价优先法计算,各有效投标人的评标价中,取最低价为评标基准价,其价格分为满分。其他投标人的价格分统一按照下列公式计算: 价格评分=(评标基准价/评标价)×20分 | 项目需求书下载项目需求书下载 |
商务要求及技术要求,请登录后查看
更多咨询报价请点击:
http://www.wisdombidding.com/enquiryDetail/3CD54ED4-4341-042A-EB68-45FF6682AFB6
网络与信息技术中心用户需求书商用密码应用安全性评估服务项目2022年网络安全等级保护测评和中山大学
2、商用密码应用安全性评估随着我国信息化建设的不断深入,我们对信息系统的依赖越来越强,国家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全、经济命脉、社会秩序,信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度,特别是《中华人民共和国网络安全法》和《国家网络空间安全战略》的颁布,引起了社会各界的关注。《中华人民共和国网络安全法》第二十一条明确提出“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改….”。1、网络安全等级保护测评项目背景项目概述2022年9月
信息系统范围综上,等级保护第三级系统需要每年进行测评,并开展商用密码应用安全性评估,以进一步开展密码应用规划改造工作。结合我校实际情况,合并开展网络安全等级保护测评和商用密码应用安全性评估工作。教育部印发《2020年教育信息化和网络安全工作要点》,重点任务第15项--加强教育系统密码应用与管理,有序推动教育重要业务信息系统开展密码应用安全性评估。2020年6月,我校收到《关于印发<广东省省级政务信息化项目商用密码应用工作指引>的通知》(粤密码协调组[2020]2号文),根据《商用密码应用安全性评估管理办法(试行)》第三条规定,商用密码应用及安全性评估范围包括网络安全等级保护第三级及以上网络和信息系统。2019年10月26日,十三届全国人大常委会第十四次会议表决通过《中华人民共和国密码法》,并自2020年1月1日起施行。
服务总体工作网络安全等级保护测评项目方案设计根据《密码法》和广东省密码管理局相关要求,履行法律义务,规避合规风险,对我校等级保护第三级系统其密码应用的合规性、正确性和有效性进行评估。为中山大学3个三级信息系统提供等级保护测评服务,通过对3个三级系统的进行测试评估、分析差距、输出差距评估报告和安全整改建议,为建立基本的安全防护措施提供符合国家标准的安全建设依据,提高网络信息系统整体主动防御功能,确保信息系统能满足日后的快速发展需求;加强系统安全技术和管理技术的建设,确保中山大学的安全防护水平达到信息安全等级保护相应的等级要求,并成功通过广东省公安厅的备案。项目建设目标
为此,专业测评师需要通过规范的等级保护测试评估,对上述信息系统从安全技术和安全管理两个方面的各个层面的安全控制进行整体性验证。第四步:再次对信息系统进行测试评估、输出等级测评报告。第三步:根据差距评估报告与安全整改建议实施安全整改;第二步:对信息系统进行测试评估、分析差距、输出差距评估报告和安全整改建议;第一步:通过前期调研,协助我单位信息系统进行定级备案。按照等级保护相关标准通用要求以及云计算安全扩展标准要求开展系统等级保护测评工作,项目总体工作思路如下:
安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个层面上的安全控制测评;安全管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的安全控制测评。另除了通用要求外,还需增加云计算安全扩展要求,具体见下图:信息系统安全等级保护测评包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。为了保证中山大学的信息系统能够成功通过公安机关的备案与检查,差距评估采用与等级测评完全一致的测评标准。为了表述的方便,本方案不再区分差距评估和等级测评。后文中除非特别说明,均适用于差距评估和等级测评。测评内容测评技术要求
网络安全等级保护测评
安全控制测评系统整体测评
安全技术测评安全管理测评安全控制点间层面间
安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理系统安全保障评估
安全问题风险分析
云计算安全扩展要求
安全物理环境安全通信环境安全区域边界安全计算环境安全管理中心安全建设管理安全运维管理
图:等级测评基本工作流程工作启动信息收集和分析工具和表单准备测评准备活动测评对象确定测评指标确定测评内容确定测评方案编制工具测试方法确定测评指导书开发方案编制活动现场测评准备现场测评和结果记录结果确认和资料归还单项测评结果判定单元测评结果判定整体测评等级测评结论形成测评报告编制现场测评活动报告编制活动沟通与洽谈安全问题风险分析系统安全保障评估图:等级测评基本工作流程工作启动信息收集和分析工具和表单准备测评准备活动测评对象确定测评指标确定测评内容确定测评方案编制工具测试方法确定测评指导书开发方案编制活动现场测评准备现场测评和结果记录结果确认和资料归还单项测评结果判定单元测评结果判定整体测评等级测评结论形成测评报告编制现场测评活动报告编制活动沟通与洽谈安全问题风险分析系统安全保障评估等级保护测评实施过程包括以下四个阶段:测评流程综合测评总结将在安全控制测评和系统整体测评两个方面的内容基础上进行,由此而获得信息系统对应安全等级保护级别的符合性结论。系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关。在安全控制测评的基础上,重点考虑安全控制点间、层面间、区域间的相互关联关系,分析评估安全控制点间、层面间、区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性。
方案编制阶段工具和表单准备:根据被测系统的实际情况,准备测评工具和各类测评表单。信息系统调研:通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,明确被测系统的范围(特别是信息系统的边界),了解被测系统的详细构成,包括网络拓扑、业务应用、业务流程、设备信息(服务器、数据库、网络设备、安全设备、数据库等)、管理制度等。项目计划书编制:项目计划书包含项目概述、工作依据、技术思路、工作内容和项目组织等。测评项目组组建:明确项目经理、测评人员及职责分工。测评准备阶段
现场测评阶段测评实施手册开发:编制测评实施手册,详细描述现场测评的工具、方法和操作步骤等,具体指导测评人员如何进行测评活动。测评内容确定:确定现场测评的具体实施内容,即单元测评内容。测评工具接入点确定:确定需要进行工具测试的测评对象,选择测试路径,根据测试路径确定测试工具的接入点。测评指标确定:根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。测评对象确定:根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,确定出本次测评的测评对象。
安全管理中心:通过人员访谈、配置检查和文档审查的方式测评信息系统在网络中的集中管控安全保障情况,主要涉及对象为系统管理员、审计管理员、安全管理员、操作审计系统、集中管控系统等。在内容上,安全管理中心层面测评实施过程涉及4个测评单元,包括:系统管理、审计管理、安全管理、集中管控。安全计算环境:通过人员访谈、配置检查和工具测试的方式测评信息系统的主机、应用和数据安全保障情况,主要涉及对象为各类服务器的操作系统、数据库管理系统、各类应用系统和管理数据及业务数据等。在内容上,计算环境安全层面测评实施过程涉及11个测评单元,包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。安全区域边界:通过人员访谈、配置检查和工具测试的方式测评信息系统的网络区域边界安全保障情况。主要涉及对象为网络互联设备、网络安全设备。在内容上,区域边界安全层面测评实施过程涉及6个测评单元,包括:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。安全通信网络:通过访人员访谈、文档审查和实地察看的方式测评信息系统的通信网络安全保障情况。主要涉及对象为网络拓扑结构。在内容上,通信网络安全层面测评实施过程涉及3个测评单元,包括:网络架构、通信传输、可信验证。安全物理环境:通过人员访谈、文档审查和实地察看的方式测评信息系统的物理和环境安全保障情况。主要涉及对象为物理基础设施。在内容上,物理环境安全层面测评实施过程涉及10个测评单元,包括:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。现场测评实际上就是单项测评,分别从安全通用要求测评内容技术上的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个层面和安全通用要求测评内容管理上的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个层面展开测评。
分析与报告编制阶段安全运维管理:通过人员访谈、文档审查的方式测评信息系统的安全运维管理情况。在内容上,安全运维管理方面测评实施过程涉及14个测评单元,包括:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。安全建设管理:通过人员访谈、文档审查的方式测评信息系统的安全建设管理情况。在内容上,安全建设管理方面测评实施过程涉及10个测评单元,包括:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。安全管理人员:通过人员访谈、文档审查的方式测评信息系统的安全管理人员情况。在内容上,安全管理人员方面测评实施过程涉及4个测评单元,包括:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。安全管理机构:通过人员访谈、文档审查的方式测评信息系统的安全管理机构情况。在内容上,安全管理机构方面测评实施过程涉及5个测评单元,包括:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。安全管理制度:通过人员访谈、文档审查和实地察看的方式测评信息系统的安全策略和管理制度情况。在内容上,安全策略和管理制度方面测评实施过程涉及4个测评单元,包括:安全策略、管理制度、制定和发布、评审和修订。
测评报告编制:根据等级测评结论,编制测评报告,包括概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。等级测评结论形成:在测评结果汇总的基础上,找出系统保护现状与等级保护基本要求之间的差距,并形成等级测评结论。风险分析:据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。整体测评:针对单项测评结果的不符合项,采取逐条判定的方法,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果,并对系统结构进行整体安全测评。单元测评结果判定:将单项测评结果进行汇总,分别统计不同测评对象的单项测评结果,从而判定单元测评结果,并以表格的形式逐一列出。单项测评结果分析:针对测评指标中的单个测评项,结合具体测评对象,客观、准确地分析测评证据。
网络设备,包括路由器、核心交换机、汇聚层交换机等;机房环境、配套设施;整体网络拓扑结构;测评对象种类主要考虑以下几个方面:依照信息安全等级保护的要求、参考业界权威的安全风险评估标准与模型,同时结合测评机构方多年的安全风险评估经验与实践,从信息系统的核心资产出发,以威胁和弱点为导向,对比信息安全等级保护的具体要求,全方面对信息系统进行全面评估。测评对象种类
涉及到系统安全的所有管理制度和记录。安全管理员、网络管理员、系统管理员、业务管理员;重要管理终端、业务终端;业务应用系统;主机应用(包括操作系统和数据库);安全设备,包括防火墙、IDS/IPS、防病毒网关等;
渗透测试工具测试在等级保护测评过程中,采用以下测评方法:测评方法要求根据信息系统的测评强度要求,在执行具体的核查方法时,在广度上要做到从测评范围中抽取充分的测评对象种类和数量;在执行具体的检测方法,在深度上要做到对功能等各方面的测试。
文档审查人员访谈配置检查
外部渗透主要是检测被评估单位面对来自互联网恶意入侵者渗透的防御能力。主要范围为被评估单位对互联网发布节点的应用服务器、对外网站服务器及下属网站服务器、能被互联网访问的服务器及系统等,模拟黑客进行渗透性测试。渗透测试要求在等级保护测评过程中使用的第三方测评工具严格遵循可控性原则,即所有使用的测评工具将事先提交给我单位检查确认,确保在双方认可的范围之内,并且需承诺所使用软件均取得正版授权,免受第三方提出的侵犯其知识产权的起诉。第三方测评工具至少包括如下功能:网站漏洞检查、网络检查、数据库检查、系统检查、恶意代码检查、终端安全检查、配置检查、数据库弱点检查等。测评工具要求实地查看
完成对目标渗透的所有工作后,将输出《渗透测试报告》,业主方可根据远程检测报告中所提及的修复建议对安全漏洞进行修复。交付物渗透测试方法主要包括:系统端口扫描、网络协议漏洞扫描、Web应用漏洞扫描、权限提升、不同网段/Vlan之间的渗透、SQL注入攻击、文件上传、目录遍历、检测页面隐藏字段、跨站脚本攻击、第三方软件误配置、脚本测试、Cookie利用、后门程序检查、远程溢出、口令猜测、社会工程学攻击、敏感信息获取、网络嗅探、DNS劫持攻击、旁注攻击、诱导攻击、拒绝服务攻击等。渗透测试方法将通过模拟黑客可能使用的漏洞发现技术与攻击模式,对中山大学授权的三级信息系统,进行深入的探测与信息发掘,以发现系统中最脆弱的环节和可能被利用的入侵点,并明确当前系统中可能存在的严重问题,必要情况下可能获得目标系统最高权限并进行相关说明,同时避免导致目标系统的不正常行为及影响正常的应用,不使用社会工程等非技术性手段。渗透测试目标
按照《信息系统密码应用基本要求》(GM/T0054-2018)对我校3个等级保护第三级系统开展商用密码应用安全性评估,开展差距评估、改造规划工作,协助我校制定密码应用(改造)方案。商业密码应用安全性评估交付文档进度计划
根据调研获取的被测系统信息,分析整个被测系统及其涉及的业务应用系统,以及与此相关的商用密码应用情况,确定本次测评的测评对象。根据被测系统备案情况和重要性分析,确定本次测评的测评指标。测评过程中,确认现场测评的关键安全点,并充分考虑测评的可行性和风险,最低限度的避免对被测系统,尤其是在线运行业务系统的影响。确定现场测评的具体实施内容,完成测评方案的编制。(2)方案编制阶段根据被测系统规模,测评机构组建测评项目组,从人员方面做好准备。测评机构通过调研表调研、现场调研、查阅被测系统已有资料等方式,了解整个系统的构成和商用密码保护情况,为编写测评方案和开展现场测评工作奠定基础。测评项目组成员在进行现场测评之前,熟悉与被测系统相关的各种组件、调试测评工具、准备测评过程中需使用的各类表单等。(1)测评准备阶段密码应用安全性评估过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评双方之间的沟通与洽谈贯穿整个密码应用安全性评估过程。测评过程
测评对象在现场测评工作结束后,测评机构对现场测评获得的测评结果进行汇总分析,形成测评结论,并编制评估报告。测评人员在初步判定单元测评结果后,进而进行整体测评,经过整体测评后,有的单元测评结果可能会有所变化,需进一步修订单元测评结果,而后进行风险分析和评价,形成测评结论。(4)分析与报告编制阶段测评项目组根据测评方案以及现场测评准备的结果,安排测评人员在现场完成测评工作,汇总现场测评的测评记录。召开现场测评结束会,测评双方对测评过程中发现的问题进行现场确认;测评机构归还测评过程中借阅的所有文档资料,并由被测单位文档资料提供者签字确认。召开现场测评启动会,测评机构介绍测评工作目的及流程,进一步明确测评计划和方案中的内容,说明测评过程具体实施内容,测评时间安排,测评过程中可能存在的安全风险等。测评双方确认现场测评需要的各种资源,包括被测单位的配合人员和需要提供的测评条件等,确认被测系统应用及数据已备份。被测单位签署现场测评授权书。测评人员根据会议沟通结果,对测评结果记录表单和测评程序进行必要的更新。(3)现场测评阶段
整个系统的网络拓扑结构;办公场地;存储被测系统重要数据的介质的存放环境;主机房(包括其环境、设备和设施等)和灾备机房;测评对象种类上基本覆盖、数量进行抽样,重点抽查主要设备、设施、人员和文档等。结合被测系统的网络拓扑结构和业务情况,测评对象在抽样时主要考虑以下几个方面:(1)测评对象选择方法
管理终端和主要应用系统终端;承载业务处理系统主要业务或数据的服务器(包括其操作系统和数据库);对整个信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、路由器等;边界网络设备,包括路由器、交换机等;安全设备,包括防火墙、日志审计系统等;密码设备,包括服务器密码机、签名验签服务器等;
(2)测评对象选择结果抽样原则:在测评过程中,业务处理系统中配置相同的密码设备、安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备,每类至少抽查一台作为测评对象。涉及到信息系统密码应用安全性的所有管理制度和记录。信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人;业务备份系统;能够完成系统不同业务使命的业务应用系统;
存储设备服务器密码产品物理安全防护设施物理环境在项目实施中,对于被测系统,测评机构选择以下方面的对象作为测评对象:
关键数据关键业务应用数据库管理系统终端设备安全设备网络产品
开展商用密码应用安全性评估依据《信息系统密码应用基本要求》(GM/T0054-2018)选取测评指标,确定内容。以三级信息系统为例,选择测评基本指标,具体测评内容如下表所示:测评指标具体测评对象按以被测系统实际情况确定。人员安全管理文档