一、项目基本情况 项目编号：SCPA(2023)203号 项目名称#****局****局计算机等保测评服务 采购方式：竞争性磋商 预算金额：10.******** 万元（人民币） 最高限价（如有）：10.******** 万元（人民币） 采购需求：一、项目需求按照《中华****网络安全法》和《信息安全等级保护管理办法》等相关****网络安全等级保护测评服务供应商，对我单位相关信息系统安全等级状况开展等级测评工作，并出具等级保护测评报告。（1）测评内容包括技术和管理测评：1．技术安全性测评包括但不限于：安全物理环境****网络、安全区域边界、安全计算环境、安全管理中心。2．管理安全测评包括但不限于：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。（2）测评对象及范围本次等级保护测评系统包括：序号系统名称安全保****局卡口系统****局****网站第二级（3）依据标准①《中华****网络安全法》②GB/T ********《信息安全技术 网络安全等级保护基本要求》③GB/T********《信息安全技术 网络安全等级保护测评要求》④GB/T********《信息安全技术 网络安全等级保护测评过程指南》⑤GB/T********《信息安全技术 网络安全等级保护测试评估技术指南》⑥《信息安全等级保护管理办法》公通字 43号（4）项目具体要求对信息系统安全等级保护状况进行测试评估，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。对安全控制测评的描述，使用工作单元方式组织。工作单元分为安全技术和安全管理两大类。安全技术测评包括：安全物理环境****网络、安全区域边界、安全计算环境、安全管理中心五个方面；安全管理测评包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面。系统整体测评涉及到信息系统的****局部结构，也关系到信息系统的具体安全功能实现和安全控制配置，与特定信息系统的实际情况紧密相关，内容复杂且充满系统个性。因此，全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系统的具体情况，结合本标准要求，确定系统整体测评的具体内容，在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。投标方根据国家对信息安全等级保护工作的相关法律和技术标准要求，结合本项目的系统保护等级开展实施与之相应的检查、访谈、测试工作。二、测评要求（1）安全物理环境序号工作单元名称工作单元描述1物理位置选择通过访谈、检查机房等信息系统物理场所在位置上是否具有防雷、防风和防雨等多方面的安全防范能力。2物理访问控制通过访谈、检查主机房出入口、机房分区域情况等过程，测评信息系统在物理访问控制方面的安全防范能力。3防盗窃和防破坏通过访谈、检查机房的主要设备、介质和防盗报警系统等过程，测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。4防雷击通过访谈、检查机房的设计/验收文档，测评信息系统是否采取相应的措施预防雷击。5防火通过访谈、检查机房的设计/验收文档，检查机房防火设备等过程，测评信息系统是否采取必要的措施防止火灾的发生。6防水和防潮通过访谈、检查机房的除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿。7防静电通过访谈、检查机房是否采取必要措施防止静电的产生。8温湿度控制通过访谈、检查机房温、湿度情况，是否采取必要措施对机房内的温湿度进行控制。9电力供应通过访谈、检查机###路、设备等过程，是否具备提供一定的电力供应的能力。10电磁防护通过访谈、检查是否具备一定的电磁防护能力。 （2****网络序号工作单元名称工作****网络架构通过访谈、****网络拓扑情况、抽查核心交换机、接入交换##****网络互联设备，测试#****网络宽带分配情况等过程****网****网段划分、隔离等情况的合理性和有效性，以###路、关键设备硬件冗余，系统可用性保证情况。2通信传输通过访谈、检查、测试通信传输过程的数据完整性和保密性保护情况。3可信验证通过访谈、检查通信设备的系统引导、系统程序、重要配置参数和通信应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。 （3）安全区域边界序号工作单元名称工作单元描述1边界防护通过访谈、检查、测试边界完整性检查设备，测评分析跨域边界的访问控制和数据流通过边界设备的控制措施，非法内联、外联、无线准入控制的监测、阻断等能力。2访问控制通过访谈、****网络访问控制设备策略部署，测试系统对外暴露安全漏洞情况等过程，测评****网络的数据流量控制以及基于应用协议和应用内容的访问控制能力。3入侵防范通过访谈、****网络边****网络节点检测、防止或限制从内部****网络攻击行为的防护****网络行为分析、监测、报警能力，****网络攻击行为的分析，对攻击行为的检测是否涉及攻击源、攻击类型、攻击目标、攻击事件、入侵报警等方面的防范能力。4恶意代码和防垃圾邮件通过访谈、检查****网络节点处对恶意代码、垃圾邮件进行检测、防护和清除、恶意代码防护机制的升级和更新维护等情况。5安全审计通过****网络****网络节点安全审计情况等，测评分析信息系统审计配置和审计记录保护，审计内容等情况。6可信验证通过访谈、检查边界设备的系统引导、系统程序、重要配置参数和边界防护应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。 （4）安全计算环境序号工作单元名称工作单元描述1身份鉴别通过访谈、检查、测试对登录的用户进行身份标识和鉴别，是否具有不易被冒用的特点，口令应有复杂度要求并定期更换，以及远程管理安全、双因素鉴别等内容。2访问控制通过访谈、检查、测试是否启用访问控制功能，依据安全策略控制用户对资源的访问；是否根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限等内容。3安全审计通过访谈、检查安全审计范围及内容。4入侵防范通过访谈、检查、测试是否能够检测到对重要节点进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的，并在发生严重入侵事件时提供报警，是否遵循最小化安全装原则、系统服务、默认共享和高危端口、终端接入限制、数据有效性检验、已知漏洞防护等内容。5恶意代码防范通过访谈、检查、测试是否具有防恶意代码攻击的技术措施或主动免疫可信验证机制，能否及时识别入侵和病毒行为并将其有效阻断等内容。6可信验证通过访谈、通过访谈安全员，检查计算设备的系统引导、系统程序、重要配置参数和应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。7数据完整性通过访谈、检查、测试重要数据在传输和存储过程中的完整性保护情况，包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。8数据保密性通过访谈、检查、测试重要数据在传输和存储过程中的保密性保护情况，包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。9数据备份恢复通过访谈、检查、测试重要数据本地备份与恢复功能，异地实时备份功能，以及重要数据处理系统的热冗余和高可用性保证等。10剩余信息保护通过访谈、检查、测试边界信息在存储空间被释放或重新分配前是否有效清除，存有敏感数据的存储空间被释放或重新分配前是否有效清除等。11个人信息保护通过访谈、检查、测试是否仅采集和保存业务必须的用户个人信息，对用户个人信息的访问和使用等。 （5）安全管理中心序号工作单元名称工作单元描述1系统管理通过访谈、检查、测试对系统管理员身份鉴别、命令或操作管理、操作审计，以及是否通过系统管理对系统资源和运行进行配置、控制和管理等。2审计管理通过访谈、检查、测试对审计管理员身份鉴别、命令或操作管理、操作审计，以及是否通过审计管理员对审计策略、审计记录进行分析、处理等。3安全管理通过访谈、检查、测试对安全管理员身份鉴别、命令或操作管理、操作审计，以及是否通过安全管理员对安全策略、参数进行配置等。4集中管控通过访谈、检查、测试是否具有特定的管理区域****网络中的安全设备或安全组件进行集中管控，###路、****网络设备和服务的运行进行集中监测，对分散在各设备上的审计数据进行收集汇总和集中分析，并确保记录留存符合法律法规要求，对安全策略、恶意代码、升级补丁等安全相关事项进行集****网络中发生的各类安全事件进行识别、报警和分析等。 （6）安全管理制度序号工作单元名称工作单元描述1安全策略通过****网络安全工作的总体方针及安全策略是否全面、完善。2管理制度通过访谈、检查管理制度的制定和发布过程是否遵循一定的流程。3制度和发布通过访谈、检查管理制度定期评审和修订情况。4评审和修订通过访谈、检查管理制度在内容覆盖上是否全面、完善。 （7）安全管理机构序号工作单元名称工作单元描述1岗位设置通过访谈、检查安全主管部门设置情况以及各岗位设置和岗位职责情况。2人员配备通过访谈、检查各个岗位人员配备情况。3授权和审批通过访谈、检查对关键活动的授权和审批情况。4沟通和合作通过访谈、检查内部部门间、与外部单位间的沟通与合作情况。5审核和检查通过访谈、检查安全工作的审核和检查情况。 （8）安全管理人员序号工作单元名称工作单元描述1人员录用通过访谈、检查录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。2人员离岗通过访谈、检查人员离岗时是否按照一定的手续办理。3安全意识教育和培训通过访谈、检查是否对人员进行安全方面的教育和培训。4外部人员访问管理通过访谈、检查对第三方人员访问（物理、逻辑）系统是否采取必要控制措施。 （9）安全建设管理序号工作单元名称工作单元描述1定级和备案通过访谈、检查是否按照一定要求确定系统的安全等级。2安全方案设计通过访谈、检查整体的安全规划设计是否按照一定流程进行。3产品采购和使用通过访谈、检查是否按照一定的要求进行系统的产品采购。4自行软件开发通过访谈、检查自行开发的软件是否采取必要的措施保证开发过程的安全性。5外包软件开发通过访谈、检查外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。6工程实施通过访谈、检查建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。7测试验收通过访谈、检查系统运行前是否对其进行测试验收工作。8系统交付通过访谈、检查是否采取必要的措施对系统交付过程进行有效控制。9等级测评通过访谈、检查等级测评、整改情况。10服务商选择通过访谈、检查是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 （10）安全运维管理序号工作单元名称工作单元描述1环境管理通过访谈、检查是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。2资产管理通过访谈、检查是否采取必要的措施对系统的资产进行分类标识管理。3介质管理通过访谈、检查是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。4设备维护管理通过访谈、检查是否采取必要的措施确保设备在使用、维护和销毁等过程安全。5漏洞和风险管理通过访谈、检查安全漏洞和隐患识别、处理情况，以及是否定期开展安全测评以及安全问题的应****网络和系统安全管理通过访谈、检查是否采取必要的措施对系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。是否采取必****网络的****网络用户权限和审计日志等方面进行有效的****网络安全运行。7恶意代码防范管理通过访谈、检查是否采取必要的措施对恶意代码进行有效管理，确保系统具有恶意代码防范能力。8配置管理通过访谈、检查基本配置信息管理情况9密码管理通过访谈、检查是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。10变更管理通过访谈、检查是否采取必要的措施对系统发生的变更进行有效管理。11备份与恢复管理通过访谈、检查是否采取必要的措施对重要业务信息，系统数据和系统软件进行备份，并确保必要时能够对这些数据有效地恢复。12安全事件处置通过访谈、检查是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。13应急预案管理通过访谈、检查是否针对不同安全事件制定相应的应急预案，是否对应急预案展开培训、演练和审查等。14外包运维管理通过访谈、检查外包运维服务商选择是否符合国家要求，外包运维保密、服务内容管理等。 （11）安全扩展要求按照所测评系统的具体情况选用云计算安全扩展要求、移动互联安全扩展****网安全扩展要求、工业控制系统安全扩展要求。（12）验证测试相关要求按照等级保护测评要求，测评过程中应配备必要的工具、仪器/设备对信息系统进行验证测试，采用的测评工具的生产商应为正规厂商，具有一定的研发和服务能力，能够对产品进行持续更新并提供质量和安全保障。验证测试内容包括但不限于以下内：1.渗透测试验证安全策略正确性；保证用户登录窗体身份验证的安全性；非授权用户不能浏览到未授权内容；不存在跨站点脚本攻击漏洞；脚本不存在SQL、Cookie注入漏洞；安全的处理异常，没有出错页面泄露系统信息；应用和系统漏洞及其他，并提出整改建议。验证内容包括（但不限于）以下几个方面：注入失效的身份认证敏感信息泄露XML外部实体（XXE）失效的访问控制安全配置错误跨站脚本（XSS）不安全的反序列化使用含有已知漏洞的组件不足的日志记录和监控2．漏洞扫描据相关标准、规范要求对重要信息系统的安全漏洞进行测评。分析总结系统中存在的主要安全漏洞，指出系统中可能被利用的安全漏洞、系统配置错误等缺陷以及相应的安全加固意见、建议。

本招标项目仅供正式会员查阅，您的权限不能浏览详细信息,请点击注册/登录，联系工作人员办理入网升级。
联系人：刘欣
电话：010-68809590
手机：13522553206（欢迎拨打手机/微信同号）
邮箱：kefu@bidnews.cn