江苏科技大学 - 竞价公告 (CF102892023000240)
发布时间：2023-04-26 15:23:50 截止时间：2023-04-29 16:33:07
基本信息：
申购主题：网络系统检测及等保测评服务
报价要求：国产含税
发票类型：增值税专用发票
付款方式：货到验收合格后付款
送货时间：合同签订后7天内送达
安装要求：免费上门安装（含材料费）
预算：****** (元)

收货地址：江苏省/镇江市/丹徒区/****
备注说明：
申购明细：
序号
1
采购内容
网络系统检测及等保测评服务
数量
1
预算单价
品牌
　
型号
　
规格参数
一、信息系统安全等级保护测评服务内容
1.针对江苏科技大学3个二级信息系统开展安全等级保护安全技术措施测评。根据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术 网络安全等级保护安全安全设计技术要求》（GB/T 25070-2019）、《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）等技术标准规范，并结合行业特点和本单位自身安全需求；对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心进行测评，并形成江苏科技大学网络安全技术问题汇总及整改建议。
2．针对江苏科技大学3个二级信息系统开展安全等级保护安全管理测评。根据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术 网络安全等级保护安全安全设计技术要求》（GB/T 25070-2019）、《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）等技术标准规范，并结合行业特点和本单位自身安全需求；对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理进行测评，并形成江苏科技大学网络安全管理问题汇总及整改建议。
3．编制网络安全等级保护测评报告。根据本单位最终整改情况，出具《信息系统安全等级测评报告》。
4．待测评系统进行等级测评的具体内容包括：
（1）安全物理环境
测评内容主要包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。
（2）安全通信网络
测评内容主要包括：网络架构、通信传输、可信验证等。
（3）安全区域边界
测评内容主要包括：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。
（4）安全计算环境
测评内容主要包括：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等。
（5）安全管理中心
测评内容主要包括：系统管理、审计管理、安全管理、集中管理等。
（6）安全管理制度
测评内容主要包括：安全策略、管理制度、制定和发布、评审和修订等。
（7）安全管理机构
测评内容主要包括：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等。
（8）安全管理人员
测评内容主要包括：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等。
（9）安全建设管理
测评内容主要包括：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等。
（10）安全运维管理
测评内容主要包括：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等
5.确保定级测评工作的安全、规范，确保被测系统的安全。所使用的工具、方法和过程要在双方认可的情况下使用。等级保护测评工具应经过严格测试和检验，确保不对被测评系统造成损失，工作结束后不驻留任何程序并销毁不需要的文档和资料；在对学校的信息系统进行测评中发现的漏洞及安全问题等情况严格执行相关保密制度；对测评设备、介质进行严格的保密管理；工作过程中对评测人员实施封闭式集中管理；评测项目组进场人员必须遵守江苏科技大学的相关管理规定。
6.在工作过程中对涉及的各类数据严格保密，在测评工作结束后，不可将工作中的数据用于任何有损校方利益的用途，双方签署保密协议。
7.测评工作虽然不能完全摆脱个人主张或判断，但测评人员应当在没有偏见和最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方法和过程，实施测评活动。
二、协助开展等级保护安全整改工作
1.协助开展等级保护安全整改工作。现场测评结束后按照学校要求对发现的安全问题进行分类汇总并提出整改建议，针对可立即整改的问题应及时与江苏科技大学相关人员沟通，协助江苏科技大学完成相关的整改工作，对无法及时整改的内容提出书面的整改建议，并帮助江苏科技大学相关人员进行逐步整改。
三、协助完善网络安全管理制度建设
根据国家等级保护制度（等保2.0）及《中华人民共和国网络安全法》等有关法律、法规要求，协助江苏科技大学逐步完善网络安全管理制度建设。协助建设内容主要涵盖安全管理制度建设层面、安全管理机构制度建设层面、安全管理人员制度建设层面、安全建设管理制度建设层面、安全运维管理制度建设层面。
四、源代码安全审计服务
1、依据CVE(Common Vulnerabilities & Exposures)公共漏洞字典表、OWASP十大Web漏洞（Open Web Application Security Project），以及设备、软件厂商公布的漏洞库，结合专业源代码扫描工具对各种程序语言编写的源代码进行安全审计。
2、依据源代码安全测评结果，对源代码安全漏洞进行人工审计，并依据安全漏洞问题给出相应修改建议，协助系统开发人员对源代码进行修改。
三、新系统上线检测服务
新系统上线检测服务主要是针对学校新上线的系统进行安全检测，检查支撑信息化业务的主机操作系统、数据库、中间件的基线配置情况，确保到达相应的安全防护要求，检查项包括但不限于账号和口令管理、认证、授权策略、网络与服务、进程和启动、文件系统权限、访问控制等配置情况。确保系统没有安全隐患才允许上线正式运行。
四、网络安全检查迎检服务
迎接监管机构或上级单位的网络安全检查或开展安全自查工作时，提供技术支持服务，具体工作包括：协助编制检查技术方案，配合开展安全检查及安全自查，汇总并分析安全检查结果，完成后续整改等工作。
五、协助优化策略
协助检查和改进防火墙策略，发现策略过宽、策略缺失、策略冗余、策略失效未废止等问题，并提出对应的防火墙策略优化建议。根据客户现场安全设备威胁告警做研判分析，协助客户调整安全设备的检测策略，消除已有的误报告警，提升安全设备威胁告警的准确率。
六、协助完善安全管理制度
1、参照参照国家等级保护标准GB/T22239、GB/T22240及行业相关标准要求，对采购人网络安全管理现状进行评估，发现安全管理方面的薄弱环节；2、针对发现的问题，为采购人提供安全管理制度具体优化建议，协助采购人落地并逐步完善日常安全管理制度。最终达成有序提升信息安全风险管控能力，保障信息系统安全运营的目标。
质保及售后服务
承诺协助学校进行等保测评工作,并保障顺利通过等保测评获得测评报告。
技术支持与维护服务方式: 合同签订后，服务商派技术人员随时响应进行技术支持与维护。快速上门:若发生系统安全性与稳定性的风险，服务商提供远程技术支持，并采取必要的风险控制措施，如无法解决，则在规定时间（半小时）内上门解决问题。技术咨询: 服务商有义务根据甲方要求提供电话热线服务、进行各种电脑操作指导，提出关于设备更新、软硬件升级等合理化建议。
附件
江苏科技大学网络系统检测及等保测评服务 V2.1.docx