广州市生态环境局黄埔分局关于生态环境保护指挥系统项目等保服务的询价公告
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
各供应商:
广州市生态环境局黄埔分局现对生态环境保护指挥系统项目等保服务进行询价,请符合资格条件的供应商根据我局采购需求、质量和服务要求,于2024年2月5日上午12:00前将报价函密封送达我局(广州市黄埔区汇星路81号人防楼C栋317室)。现将具体事宜公告如下:
一、项目名称
广州市生态环境局黄埔分局生态环境保护指挥系统项目等保服务
二、采购单位
广州市生态环境局黄埔分局
三、项目内容
广州市生态环境局黄埔分局根据单位现有信息系统安全实际情况,依据国家网络安全等级保护相关规范与标准的要求,对我单位重要信息系统进行网络安全等级保护测评。(具体服务内容详见项目采购需求文件)。
四、项目服务期限
服务期限为合同生效之日起三个月。采购人根据工作实际情况,可将服务期限顺延至所有服务工作完成为止。
五、最高限价
项目最高限价为人民币贰拾叁万元整(230,000.00元)。报价超过最高限价为无效报价。
六、供应商资质及要求
(一)供应商应具备《中华人民共和国政府采购法》第二十二条规定的条件;
(二)供应商在广东省政府采购网供应商名录中可查,具有从事本项目的经营范围和能力,投标人无失信记录;
(三)本项目不接受联合体申报。
(四)本项目专门面向中小企业采购。
七、报价时须提供的资料
(一)具体的项目等保服务方案文件、报价书、对应综合评分细则及分值所需的证明材料以及对应目录等;
(二)法定代表人证明书或法定代表人授权委托书和法定代表人或供应商授权代表身份证复印件;
(三)营业执照或事业单位法人证书、组织机构代码证复印件,有“三证合一”的营业执照,则不需要提供税务登记证和组织机构代码证;
(四)《中小企业声明函》
(五)供应商认为有必要提供与本项目需求相关的其他资料(包括但不限于供应商过往类似项目的业绩证明材料、项目相关的服务方案、拟参与本项目的团队名单等)。
以上资料需加盖供应商单位公章并拷贝电子版资料一份,一并以保密信封的形式递交,不透明信封除标注“项目名称”和“报价函”字样外,不得有其他任何标识性文字和图案。
八、评审原则
(一)采购文件中,如标有“★”的地方均为必须完全满足指标,投标人须进行实质性响应,投标人若有一项带“★”的条款未响应或不满足,将按无效投标处理。
(二)本次采购的评审原则:采用综合评分标准,评分最高者确定为服务单位,被确定为服务单位者另行签订合同,未被确定为服务单位者不另行通知。
九、其他注意事项
(一)供应商须确保提交的各项资料真实、准确、有效。
(二)本项目不举行集中答疑。
十、递交响应文件的时间、地点、方式
请将响应文件和相关附件于2024年2月5日(星期一)12:00前递交至黄埔区汇星路81号人防楼C栋317室;邮寄或者逾期送达的将视为无效,恕不接收。
十一、联系方式:
联系人:黄先生
联系电话:020-32363161
地址:黄埔区汇星路81号人防楼C栋317室
广州市生态环境局黄埔分局
2024年1月29日
附件:
广州市生态环境局黄埔分局生态环境保护指挥系统项目等保服务需求书
一、工作背景
为响应国家政策要求,提高单位信息化整体水平,持续应对新型的安全风险和威胁,广州市生态环境局黄埔分局(以下简称:我单位)参照《网络安全法》,根据单位现有信息系统安全实际情况,依据国家网络安全等级保护相关规范与标准的要求,对我单位重要信息系统进行网络安全等级保护测评。通过统一的网络安全等级保护管理规范和技术标准,对信息系统分等级实行安全保护,并对等级保护工作的实施进行监督、管理,使落实网络安全等级保护工作后的系统网络安全防御能力得到提升并且符合国家网络安全等级保护验收要求。
二、项目地点及服务期限
1、本项目服务期限为:自合同生效之日起三个月。(采购人根据工作实际情况,可将服务期限顺延至所有服务工作完成为止。)
2、项目实施地点:广州市生态环境局黄埔分局。
三、工作内容及工作需求
★1、本项目需测评的信息系统清单:
★2、具体服务事项
1)定级备案
按照《信息系统安全等级保护定级指南》以及《信息安全等级保护管理办法》等文件的要求,协助完成信息系统安全等级保护定级工作。
2)差距测评
依据国家等级保护2.0的相关标准,结合被测系统安全等级保护定级情况,制定信息系统安全等级保护测评方案,对信息系统涉及的机房、网络/安全设备、主机设备、应用系统、安全管理体系等进行等级保护差距测评,并提交不符合项表和整改建议。
3)漏洞检测
对被测信息系统涉及的服务器、应用系统进行漏洞检测,列出被测信息系统中存在的主要问题以及可能造成的后果,并提出整改建议。
4)渗透测试
根据扫描结果进行漏洞分析及说明,对信息系统开展渗透测试,进行弱口令测试及其他手工测试,并提交修复建议。
5)验收测评
我单位完成相关整改工作后,中标单位依据《信息系统安全等级保护基本要求》及相关标准和要求进行信息安全等级保护验收测评工作,并按照等保2.0的相关要求出具网络安全等级保护测评报告。
四、服务人员要求
测评人员实行项目经理负责制,全面负责测评服务合同履行、负责项目测评全过程工作。项目经理应具有网络安全等级测评师证书或信息安全等级测评师证书中级或以上;项目组成员不少于2人,测评工程师应具备数据隐私保护专家证书资格证书(即 ISACA CDPSE 证书)、具有网络安全等级测评师证书或信息安全等级测评师证书。
五、项目目标
以等级保护标准要求为依据,选择一家测评机构对我单位本次项目的信息系统进行网络安全等级保护测评。通过采用人工访谈、工具检测、登录系统检测、文档分析的方式,分析信息系统在等级保护方面与标准要求的差距,形成信息系统等级保护差距分析列表;并为确立安全策略、制定安全规划、开展安全建设提供整改建议;协助我单位完成本次项目网络安全等级保护验收测评工作,提交网络安全等级保护测评报告。
具体目标如下:
(1)依据《信息安全技术网络安全等级保护基本要求》以及《信息系统安全等级保护测评指南》的要求,对需定级的系统进行等级保护基本要求符合性的调查,采用人工访谈、工具检测、登录系统检测、文档分析的方式分析信息系统在等级保护方面与标准要求的差距,形成信息系统等级保护差距分析报告;
(2)依据信息系统安全保护等级所应达到的防护要求,结合信息系统等级保护差距分析结果,对在技术、管理层面不符合等级保护标准要求的环节,采取适当的纠正措施,以达到等级保护基本要求为目的,设计信息系统等级保护体系建设方案,为后续信息系统的信息安全等级保护安全建设提供依据;
(3)依据国家等级保护2.0的相关标准发现现有信息系统存在的信息安全问题,确保信息系统在技术防护和安全管理体系方面均达能到等级保护2.0的防护要求,能够防护系统免受来自外部小型组织的(如自发的三两人组成的黑客组织)、拥有少量资源(如个别人员能力、公开可获或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度一般、持续时间短、覆盖范围小等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在第一时间恢复部分功能。
六、评审部分
评分标准:
注:测评工具要求
1、本项目在实施过程中所使用到的专业安全服务工具由投标人提供,响应供应商必须保证所使用的所有工具和软件不具有所有权和知识产权纠纷,并保证工具和软件可用性和可靠性。由此产生的一切责任由响应供应商负完全责任。(此费用已包含在本项目报价中,采购人不在另付费用。)
2、为确保响应供应商开展信息系统安全测评的服务质量,响应供应商必须采用符合国家标准的漏洞扫描设备辅助完成测评工作,投标时提供设备原厂授权书并加盖公章,参数要求如下:
广州市生态环境局黄埔分局现对生态环境保护指挥系统项目等保服务进行询价,请符合资格条件的供应商根据我局采购需求、质量和服务要求,于2024年2月5日上午12:00前将报价函密封送达我局(广州市黄埔区汇星路81号人防楼C栋317室)。现将具体事宜公告如下:
一、项目名称
广州市生态环境局黄埔分局生态环境保护指挥系统项目等保服务
二、采购单位
广州市生态环境局黄埔分局
三、项目内容
广州市生态环境局黄埔分局根据单位现有信息系统安全实际情况,依据国家网络安全等级保护相关规范与标准的要求,对我单位重要信息系统进行网络安全等级保护测评。(具体服务内容详见项目采购需求文件)。
四、项目服务期限
服务期限为合同生效之日起三个月。采购人根据工作实际情况,可将服务期限顺延至所有服务工作完成为止。
五、最高限价
项目最高限价为人民币贰拾叁万元整(230,000.00元)。报价超过最高限价为无效报价。
六、供应商资质及要求
(一)供应商应具备《中华人民共和国政府采购法》第二十二条规定的条件;
(二)供应商在广东省政府采购网供应商名录中可查,具有从事本项目的经营范围和能力,投标人无失信记录;
(三)本项目不接受联合体申报。
(四)本项目专门面向中小企业采购。
七、报价时须提供的资料
(一)具体的项目等保服务方案文件、报价书、对应综合评分细则及分值所需的证明材料以及对应目录等;
(二)法定代表人证明书或法定代表人授权委托书和法定代表人或供应商授权代表身份证复印件;
(三)营业执照或事业单位法人证书、组织机构代码证复印件,有“三证合一”的营业执照,则不需要提供税务登记证和组织机构代码证;
(四)《中小企业声明函》
(五)供应商认为有必要提供与本项目需求相关的其他资料(包括但不限于供应商过往类似项目的业绩证明材料、项目相关的服务方案、拟参与本项目的团队名单等)。
以上资料需加盖供应商单位公章并拷贝电子版资料一份,一并以保密信封的形式递交,不透明信封除标注“项目名称”和“报价函”字样外,不得有其他任何标识性文字和图案。
八、评审原则
(一)采购文件中,如标有“★”的地方均为必须完全满足指标,投标人须进行实质性响应,投标人若有一项带“★”的条款未响应或不满足,将按无效投标处理。
(二)本次采购的评审原则:采用综合评分标准,评分最高者确定为服务单位,被确定为服务单位者另行签订合同,未被确定为服务单位者不另行通知。
九、其他注意事项
(一)供应商须确保提交的各项资料真实、准确、有效。
(二)本项目不举行集中答疑。
十、递交响应文件的时间、地点、方式
请将响应文件和相关附件于2024年2月5日(星期一)12:00前递交至黄埔区汇星路81号人防楼C栋317室;邮寄或者逾期送达的将视为无效,恕不接收。
十一、联系方式:
联系人:黄先生
联系电话:020-32363161
地址:黄埔区汇星路81号人防楼C栋317室
广州市生态环境局黄埔分局
2024年1月29日
附件:
广州市生态环境局黄埔分局生态环境保护指挥系统项目等保服务需求书
一、工作背景
为响应国家政策要求,提高单位信息化整体水平,持续应对新型的安全风险和威胁,广州市生态环境局黄埔分局(以下简称:我单位)参照《网络安全法》,根据单位现有信息系统安全实际情况,依据国家网络安全等级保护相关规范与标准的要求,对我单位重要信息系统进行网络安全等级保护测评。通过统一的网络安全等级保护管理规范和技术标准,对信息系统分等级实行安全保护,并对等级保护工作的实施进行监督、管理,使落实网络安全等级保护工作后的系统网络安全防御能力得到提升并且符合国家网络安全等级保护验收要求。
二、项目地点及服务期限
1、本项目服务期限为:自合同生效之日起三个月。(采购人根据工作实际情况,可将服务期限顺延至所有服务工作完成为止。)
2、项目实施地点:广州市生态环境局黄埔分局。
三、工作内容及工作需求
★1、本项目需测评的信息系统清单:
| 序号 | 名称 | 系统级别 | 备注 |
| 1 | 生态环境保护指挥系统 | 三级 | / |
★2、具体服务事项
1)定级备案
按照《信息系统安全等级保护定级指南》以及《信息安全等级保护管理办法》等文件的要求,协助完成信息系统安全等级保护定级工作。
2)差距测评
依据国家等级保护2.0的相关标准,结合被测系统安全等级保护定级情况,制定信息系统安全等级保护测评方案,对信息系统涉及的机房、网络/安全设备、主机设备、应用系统、安全管理体系等进行等级保护差距测评,并提交不符合项表和整改建议。
3)漏洞检测
对被测信息系统涉及的服务器、应用系统进行漏洞检测,列出被测信息系统中存在的主要问题以及可能造成的后果,并提出整改建议。
4)渗透测试
根据扫描结果进行漏洞分析及说明,对信息系统开展渗透测试,进行弱口令测试及其他手工测试,并提交修复建议。
5)验收测评
我单位完成相关整改工作后,中标单位依据《信息系统安全等级保护基本要求》及相关标准和要求进行信息安全等级保护验收测评工作,并按照等保2.0的相关要求出具网络安全等级保护测评报告。
四、服务人员要求
测评人员实行项目经理负责制,全面负责测评服务合同履行、负责项目测评全过程工作。项目经理应具有网络安全等级测评师证书或信息安全等级测评师证书中级或以上;项目组成员不少于2人,测评工程师应具备数据隐私保护专家证书资格证书(即 ISACA CDPSE 证书)、具有网络安全等级测评师证书或信息安全等级测评师证书。
五、项目目标
以等级保护标准要求为依据,选择一家测评机构对我单位本次项目的信息系统进行网络安全等级保护测评。通过采用人工访谈、工具检测、登录系统检测、文档分析的方式,分析信息系统在等级保护方面与标准要求的差距,形成信息系统等级保护差距分析列表;并为确立安全策略、制定安全规划、开展安全建设提供整改建议;协助我单位完成本次项目网络安全等级保护验收测评工作,提交网络安全等级保护测评报告。
具体目标如下:
(1)依据《信息安全技术网络安全等级保护基本要求》以及《信息系统安全等级保护测评指南》的要求,对需定级的系统进行等级保护基本要求符合性的调查,采用人工访谈、工具检测、登录系统检测、文档分析的方式分析信息系统在等级保护方面与标准要求的差距,形成信息系统等级保护差距分析报告;
(2)依据信息系统安全保护等级所应达到的防护要求,结合信息系统等级保护差距分析结果,对在技术、管理层面不符合等级保护标准要求的环节,采取适当的纠正措施,以达到等级保护基本要求为目的,设计信息系统等级保护体系建设方案,为后续信息系统的信息安全等级保护安全建设提供依据;
(3)依据国家等级保护2.0的相关标准发现现有信息系统存在的信息安全问题,确保信息系统在技术防护和安全管理体系方面均达能到等级保护2.0的防护要求,能够防护系统免受来自外部小型组织的(如自发的三两人组成的黑客组织)、拥有少量资源(如个别人员能力、公开可获或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度一般、持续时间短、覆盖范围小等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在第一时间恢复部分功能。
六、评审部分
评分标准:
| 评分项目 | 商务评审 | 技术评审 | 价格评审 | 合计 |
| 分值 | 44分 | 46分 | 10分 | 100分 |
| 一 | 技术评分(46分) | 评分细则 |
| 1 | 项目整体方案(10分) | 项目整体方案包括不限于公司简介、项目目标、项目组织与实施、等级保护测评流程、质量保证措施、培训方案。项目整体方案正确理解项目需求内容,充分考虑项目特点。方案重点明确,特点突出。方案满足项目实施要求,在项目实施期间能够保障项目的进度和质量进行评审: 1.整体方案结构完整、内容科学合理、方法措施先进可靠,正确理解项目需求和意义,并能明确项目需求及输出成果,得10分; 2.整体方案结构完整、内容相对合理、方法措施较可靠,理解项目需求和意义,认识项目需求及输出成果,得7分; 3.整体方案结构较完整、内容欠合理、方法措施可行性欠佳,项目需求和意义理解不足,项目需求及输出成果不明确,得4分; 4.整体方案结构不完整、内容不合理、方法措施可行性差,缺乏对项目需求和意义的理解,项目需求及输出成果认识存在偏差,得0分。 |
| 2 | 项目管理方案(8分) | 项目管理方案包括整体管理、范围管理、时间管理、质量管理、人员管理、风险管理等,对项目管理方案进行评审: 1.方案内容完整,满足或优于项目需求,得8分; 2.方案内容较完整,基本满足项目需求,得5分; 3.方案内容不完整,部分满足项目需求,得2分; 4.方案内容单薄不合理,不能满足项目需求,得0分。 |
| 3 | 等保测评方案(8分) | 等保测评方案包括等级保护测评流程、工作内容和方法、服务提供方式、项目成果等对项目等级保护测评要求的理解透彻,技术方案思路明确清晰、可操作性强,对等保测评方案进行评审: 1.方案内容完整,满足或优于项目需求,得8分; 2.方案内容较完整,基本满足项目需求,得5分; 3.方案内容不完整,部分满足项目需求,得2分; 4.方案内容单薄不合理,不能满足项目需求,得0分 |
| 4 | 技术工具(20分) | 对投标人所选用测评工具的技术参数响应表(根据下列注中“测评工具要求”)进行评审: 其中标注“▲”的重要技术参数(共10条)均须提供功能截图并加盖原厂公章,每满足一个“▲”号,得2分,完全满足得20分。 注:1、未按上述要求提供对应功能截图并加盖原厂公章的,则视为未响应,不得分。2、所用软件和工具应取得使用授权(非免费、开源或社区授权),如果工具是投标人自主研发的则提供工具的软件著作权登记证书;如果工具不是投标人自主研发的,则同时提供软件著作权登记证书及加盖原厂公章的授权函。 |
| 二 | 商务评分(44分) | 评分细则 |
| 1 | 投标人企业资质(20分) | (1)供应商具备CMA检验检测机构资质认定证书(提供证明文件,复印件加盖公章)有提供得3分;无提供得0分。 (2)供应商具备中国合格评定国家认可委员会检验机构认可证书(CNAS)(提供证明文件,复印件加盖公章)有提供得2分;无提供得0分。 (3)供应商具备《计算机信息系统安全服务等级证》二级或二级以上证书(提供证明文件,复印件加盖公章)有提供2分,无提供得0分。 (4)供应商具备ISO9001质量管理体系证书、ISO14001环境管理体系证书、ISO45001职业健康安全管理体系证书、ISO20000信息技术服务管理体系认证证书、ISO27001信息安全管理体系认证证书(提供证书和全国认证认可信息公共服务平台http://cx.cnca.cn/查询结果截图,复印件加盖公章);具备1个得2分;共10分。 (5)供应商具备网络空间安全服务机构标准化工作评价证书,有得3分;无得0分。 |
| 2 | 项目负责人要求(6分) | 项目负责人具备以下能力资质: 1.具有网络安全等级测评师证书或信息安全等级测评师证书中级或以上; 2.具有注册信息安全专业人员证书,注册信息安全工程师(即(CISP-CISE)证书) 3.具有注册信息安全专业人员证书,注册渗透测试工程师(即(CISP-PTE)证书) 4.具有项目管理专业人员资格认证证书(即PMP证书); 5.具有DSO数据安全官证书 6.具有广东省网络安全等级保护专家聘书。 以上具备一个得1分,满分6分。(需同时提供相应资质证书复印件及近三个月内任意一个月的社保证明,并加盖投标人公章。)。 |
| 3 | 项目成员情况(11分) | 技术队伍人员能力资质: 1.具有数据隐私保护专家证书资格证书(即 ISACA CDPSE 证书)得2分; 2.具有网络安全等级测评师证书或信息安全等级测评师证书和计算机技术与软件专业技术资格网络工程师中级或以上,同时具有不少于三个或以上人员得3分;其他得0分 3.具有重要信息系统安全等级保护培训证书(即CIIP-A证书),得分; 4.同时具备信息安全保障人员风险管理方向认证证书(即(CISAW)证书)和网络安全相关专业的助理工程师职称证书,拥有1个得1分,同时拥有2个以上得2分,无得0分。 5.同时具备信息安全保障人员应急服务方向认证证书(即(CISAW)证书)和网络安全等级测评师证书或信息安全等级测评师证书中级或以上,拥有1个得1分,同时拥有2个以上得2分,无得0分。 |
| 4 | 同类业绩经验(7分) | 提供三年内同类型项目案例,每提供1个得1分,最高得7分。 注:提供合同关键页(包括双方盖章、签约时间、采购内容)复印件。 |
| 三 | 价格分 | 评分细则 |
| 1 | 投标总价(10分) | 各供应商的报价得分按以下公式进行计算: 报价得分=(评标基准价/评标价)×10, 说明:评标基准价为满足采购文件要求的“最低的评标价”。高于报价上限的,该报价文件按无效报价文件处理;高于评标基准价而低于报价上限的,报价得分按以下公式进行计算:报价得分=(评标基准价/评标价)×10。 |
注:测评工具要求
1、本项目在实施过程中所使用到的专业安全服务工具由投标人提供,响应供应商必须保证所使用的所有工具和软件不具有所有权和知识产权纠纷,并保证工具和软件可用性和可靠性。由此产生的一切责任由响应供应商负完全责任。(此费用已包含在本项目报价中,采购人不在另付费用。)
2、为确保响应供应商开展信息系统安全测评的服务质量,响应供应商必须采用符合国家标准的漏洞扫描设备辅助完成测评工作,投标时提供设备原厂授权书并加盖公章,参数要求如下:
| 指标项 | 指标要求 | |||
| 资 质 | 设备原厂商为国家网络与信息安全信息通报中心技术支持单位; 设备原厂商具有中国信息安全认证中心颁发的信息安全应急处理服务资质(一级); 设备原厂商具有信息安全服务资质证书(安全工程类); ▲设备原厂商为国家信息安全漏洞库共享平台(CNVD)漏洞报送成员单位; ▲设备原厂商为中国国家信息安全漏洞库(CNNVD)一级技术支撑单位; 设备原厂商具有信息安全等级保护安全建设服务机构能力评估合格证书; 设备原厂商通过严格质量管理体系认证并获得证书; 设备原厂商通过严格环境管理体系认证并获得证书; 设备原厂商产品开发、生产、服务等管理体系符合信息安全管理体系要求。 | |||
| 定 级 备 案 检 查 | 任务管理 | 支持手动创建重要信息系统检查、行业主管部门检查、备案单位检查、网站检查、自定义检查任务。 | ||
| 支持检查任务并行检查及并行检查结果合并。 | ||||
| 支持任务的打开、另存为、修改、删除、关闭。 | ||||
| 支持与等级保护监察平台数据的上报和下发。 | ||||
| 检查任务 | 检查范围:支持行业主管部门、备案单位、重要信息系统、网站四类检查对象的检查范围。支持基本情况、定级备案检查范围。 | |||
| 检查内容:支持系统定级情况、岗位设置情况、安全审计情况检查内容。 | ||||
| 检查要点:支持检查对象检查内容具体检查指标项进行检查。 | ||||
| 检查结果录入类型: 单项判定:支持判定未检、不适用、0分、1分、2分、3分、4分、5分。 检查结果录入:支持录入检查结果记录。 | ||||
| 针对每个检查要点应提供相应的检查方法,检查结果判定依据相关检查知识,以便引导进行现场检查。 | ||||
| ▲支持对检查过程中具体检查对象(例如:主机、网络设备)进行调整功能,要求可以选择已有的检查对象或录入新的检查对象。 | ||||
| 支持将任务导出成检查模板,检查人员能够根据被检查单位情况,灵活分配各自的检查任务,支持导出检查表单提前让被检查单位人员对应进行自查,检查人员经现场检查核对无误之后,可以直接将检查表单数据导入到工具箱中。 | ||||
| 检查层面、检查内容、检查指标项支持保存为模板,模板可导入、导出。 | ||||
| 支持检查工具检查结果信息的展现功能。 | ||||
| 支持导出、导入检查项。 | ||||
| 支持手动填写测评概述,概述内容包括测评目的、测评依据、测评方法、测评结论、整体测评结果汇总。 | ||||
| 数据汇总 | ▲支持一键导入功能,将检查工具集、检测结果自动导入到工具箱。 | |||
| 支持手动导入工具检查结果到工具箱及关联任务检查对象。 | ||||
| 支持工具检查结果自动关联知识库。 | ||||
| 检查结果导出 | 应采用国家商用密码管理办公室指定认可的国产商用密码算法对检查数据进行加密后导出,以确保检查数据的保密性。 | |||
| 导出的检查结果应按照指定的接口规范导出。 | ||||
| 支持自动生成不同类型检查任务的检查报告,检查报告应包含不符合项的风险描述信息和安全评分。 | ||||
| 兼容性 | 支持与工具箱监察管理系统数据的上报和下发。 | |||
| 监察指标库升级维护 | 指标库要求 | 监察指标库包含:控制点和要求项。 | ||
| 指标库升级维护 | 提供监察知识库升级功能,可以对监察知识库进行手动更新。 | |||
| 应提供升级检测和提醒功能。 | ||||
| 监察知识库升级应有日志记录。 | ||||
| 监 察 知 识 库 升 级 维 护 | 知识库要求 | 知识库内容必须覆盖所有检查指标。 | ||
| 知识库内容应包含检查指标的检查方法、检查结果判定依据和不符合项的风险提示。 | ||||
| 知识库可以依据网络安全的标准和分析模型,对检查工具的检查结果进行自动分析,给出相应的检查结果记录。 | ||||
| ▲知识库可以针对不同类型的检查任务,对检查结果进行自动分析和安全评分,自动生成相应的检查结果记录。 | ||||
| 知识库内容应描述正确,并具有明确的引导作用。 | ||||
| ▲知识库升级维护 | 知识库内容必须覆盖所有检查指标。 | |||
| 知识库内容应包含检查指标的检查方法、检查结果判定依据和不符合项的风险提示。 | ||||
| 知识库可以依据网络安全的标准和分析模型,对检查工具的检查结果进行自动分析,给出相应的检查结果记录。 | ||||
| 工 具 管 理 | 升级管理 | 技术支持网站应提供检查工具升级提示功能,当检查工具有更新时,采购人可以进行检查工具的升级操作。 | ||
| 检查工具升级操作应在工具箱留有日志记录。 | ||||
| 结果管理 | 应提供结果分析,依据内置知识库自动对工具检查结果进行分析,自动判别相应检查指标的检查结果。 | |||
| 结果导入操作应留有日志记录。 | ||||
| 风险提示 | 所有检查工具启动时,默认都会进行风险提示,支持通过配置是否下次启用风险提示。 | |||
| 系 统 管 理 | 配置管理 | 配置管理应对工具箱监察管理系统参数进行配置: 支持系统最大登录次数设置; 支持锁定用户时间设置; 支持软件自动锁定功能; 支持口令强度策略设置。 | ||
| 用户管理 | 支持对采购人账户进行管理,支持管理员、操作员、审计员角色账户增加、口令修改; 支持对账户新增、修改、删除; 内置角色默认权限; ▲支持用户密码找回功能。 | |||
| 日志管理 | 可查看操作日期、操作用户、操作对象日志记录。 | |||
| 提供日志筛选功能。 | ||||
| 提供日志导出备份功能。 | ||||
| 系统升级 | 应提供升级功能,升级操作应简单。 | |||
| 技术支持网站应提供升级提示功能。 | ||||
| 设备厂商应定期发布离线升级包,支持手动导入升级。 | ||||
| 升级操作应留存日志记录。 | ||||
| 工具箱监察管理系统具有登录尝试失败锁定功能。 | ||||
| 访问控制 | 应依据安全策略严格控制用户文件,数据表重要信息资源的操作。 | |||
| 应确保不提供已注销用户的任何信息,包括鉴别信息。 | ||||
| 安全审计 | 指标库、知识库、监察工具升级操作。 | |||
| 用户登录和注销事件。 | ||||
| 数据导入、导出事件。 | ||||
| 通信安全 | 应采取措施确保导入和导出数据的完整性。 | |||
| U盘安全检查工具向工具箱提交的检查结果数据的完整性。 | ||||
| 数据安全 | 采用国家商用密码管理办公室指定认可的国产商用密码算法对以下数据进行加密。 | |||
| 等级保护工具箱配备U盘安全检查工具集 | ||||
| Windows主机安全配置检查工具 | ▲支持检查主机系统配置信息,包括:计算机名、用户名、操作系统、版本、内存大小、磁盘大小、系统路径、共享目录; 支持检查USB接入设备信息; 支持检查Internet Explorer、Chrome、Firefox等浏览器上网记录、Cookie记录; 支持检查主机硬件信息,包括:CPU信息、主板信息、内存信息、显卡信息、硬盘信息、网卡信息; 支持检查主机开机自启动项程序; 查看主机上已经启动的可能有风险的服务程序,包括:如Task Scheduler、Print Spooler、Remote Registry等服务; 支持检查账户安全策略信息,包含口令长度、复杂度、定期更换、登录失败、锁定次数等; 对系统账户进行检查,可智能识别系统影子账户(隐藏账户); 查看系统是否开启系统审核、系统登录事件、审核账户登录事件等安全审计策略; 运行环境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系统类型; 支持在线更新、离线升级。 | |||
| 主机病毒检查工具 | 支持对操作系统的关键机制,如系统服务、内存、注册表、启动进程;检测操作系统的安全模型,包括访问控制、特权和审计;反馈系统安全配置、文件访问,驱动、引导系统深度进行检查; 检查流氓软件、蠕虫病毒、其它恶意程序等; 支持快速扫描、全盘扫描、自定义目录扫描; 运行环境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系统类型; 支持在线更新、离线升级。 | |||
| 主机木马检查工具 | 支持检查系统中的木马程序、Rootkit、间谍程序等; 提取操作系统的关键机制,如系统服务、内存、注册表、启动进程;检测操作系统的安全模型,包括访问控制、特权和审计;反馈系统安全配置、文件访问,驱动、引导等系统深度信息; 支持快速扫描、全盘扫描、自定义目录扫描; 运行环境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系统类型; 支持在线更新、离线升级。 | |||
| 网站恶意代码检查工具 | 支持asp、asa、cer、jsp、jspx、php等文件格式检查; 支持自定义文件后缀格式; 支持异性、变异WEBSHELL后门代码检查; 支持关键恶意特征码定位; 支持快速扫描、全盘扫描、自定义路径扫描; 支持自定义扫描策略、可扩充恶意特征码; 支持自定义文件大小扫描; 运行环境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系统类型; 支持在线更新、离线升级。 | |||
| 等级保护工具箱配备在线检查工具集 | ||||
| Linux主机安全配置检查工具 | 支持检查主机系统配置信息,包括:计算机名、用户名、操作系统、版本、内存等; 支持检查系统安全补丁升级情况; 支持检查不必要的服务和端口(如TELNET、SSH、SNMP、HTTP等); 支持检查账户安全策略信息,包含口令长度、复杂度、定期更换、登录失败、锁定次数等; 支持SNMP、SSH服务、版本信息检查; 支持检查安全审计配置情况、包含事件类型; 支持检查屏幕保护恢复时间; 支持RedHat、Ubuntu、Debian、Fedora、Suse、Centos操作系统类型; 支持在线更新、离线升级。 | |||
| 网络及安全设备配置检查工具 | 支持对华三、思科、华为路由器、交换机通用系列网络设备安全分析检查; 支持对天融信、网神、启明星辰、网御星云、Juniper防火墙通用系列设置安全分析检查; 支持检查账户安全策略信息,包含口令长度、复杂度、定期更换、登录失败、锁定次数等; 支持检查安全审计策略,包含事件类型、SYSLOG服务器; 支持检查不必要的服务和端口(如TELNET、FTP、SNMP、HTTP、Sendmail); 支持SNMP、SSH服务、版本信息检查; 运行环境支持Windows XP、 Windows7、 Windows Server 2003、Windows Server 2008等操作系统类型; 支持在线更新、离线升级。 | |||
| 弱口令检查工具 | 应用服务支持类型:SSH、SMB、TELNET、FTP、RDP、SQL Server、Oracle、MySQL、POP3等协议应用程序弱口令检查; 支持自定义账户、口令字典; 支持自定义应用协议TCP端口; 内置常见弱口令字典(如口令为:123456、88888888、12345等); 支持本地、远程主机及多协议同时检查; 运行环境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系统类型; 支持在线更新、离线更新。 | |||
| 数据库安全检查工具 | 支持IPV6地址检查; 支持对数据库弱点、不安全配置、安全策略、补丁升级、弱口令安全检查; 支持主流Oracle、SQL Server、DB2、Informix、MySQL、Sybase数据库类型; 支持授权扫描,使用具有DBA权限的数据库用户,执行选定的安全策略实现对目标数据库检查; 非授权扫描,采购人在没有授权的情况下(即:不需要数据库用户名、密码),根据选定的安全策略对目标数据库进行的检测; 策略自定义,提供扫描策略可自定义模式,操作者可以灵活选择默认策略的同时也可以自定义添加策略; 支持在线更新、离线升级。 | |||
| 网站安全检查工具 | 支持WEB 2.0,支持各类JavaScript脚本解析; 支持WAP站点扫描; 支持FLASH解析; 支持基于HTTPS应用系统的扫描; 支持实时存储扫描项目文件、断点续扫; 支持ERP等复杂的Web应用系统扫描; 支持易通、织梦、、Discuz、Ecshop、易思、方欣、大汉、科讯、通达OA、PHPCMS、PHP168、PHPCMS2008、phpcms v9、SHOPEX、SiteServer CMS、TRS、 Nginx代码执行、Spring代码执行、亿邮邮件系统命令执行等国内、国外知名WEB应用程序漏洞扫描; 支持JSP、CGI、ASP、.NET等类型动态页面; 支持IP地址、域名地址、批量网站扫描; 支持无人值守模式下的全自动扫描; 支持HTTP 1.0和1.1标准的Web应用系统; 支持Oracle、SQL Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Access、Ingres等后台数据库类型; 支持对SQL注入、XSS跨站脚本、伪造跨站点请求、网页木马、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄漏、HI-JACK攻击、弱口令、Xpath注入、LDAP注入、框架注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookies注入、敏感文件、第三方软件、其他各类CGI等漏洞进行扫描; 支持在线更新、离线升级。 | |||
| 系统漏洞检查工具 | 支持对Microsoft Windows XP/2003/Vista/2008/7、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等操作系统进行漏洞扫描; 支持对Web、FTP、电子邮件等应用系统以及Office、Apache等常用软件进行漏洞扫描; 支持对网络设备进行漏洞扫描; 支持多种扫描策略,包括常规完全扫描、高强度完全扫描、高强度扫描、中强度扫描、低强度扫描、Windows主机扫描、类Unix主机扫描等扫描策略,方便采购人快速选择; 支持自动统计总体漏洞数量、统计不同操作系统类型的主机数量、统计所有开发端口、可用账户、列出每一个漏洞所存在的主机、详细描述与修补建议。漏洞详细描述包括:漏洞名称、详述、修补方案、CVE/Bugtraq/CNCVE/CNNVD编号、CVSS评分等; 支持在线、离线更新; 支持导出Word、PDF常见格式报表。 | |||
| 运行安全 | 不得改变检查对象当前配置; | |||
| 不影响检查对象正常运行; | ||||
| 不影响检查对象所属网络正常运行; | ||||
| 不在检查对象中遗留痕迹。 | ||||
| 数据安全 | 存储安全 | U盘检查工具应对所有检查数据采用国产加密算法进行加密,防止监察数据被非法读取。 | ||
| 痕迹安全 | U盘检查工具应对所有检查数据采取痕迹消除措施,以防止信息泄露。 | |||
| 安全性 | 支持等级保护检查过程的采购人信息的安全保护,所有数据以加密方式存储传输。 | |||
| U盘自身具有病毒、木马程序免疫功能,防止病毒、木马程序感染U盘内文件。 | ||||
| ▲报表中心 | 支持生成信息系统检查任务报告、行业主管部门检查任务报告、备案单位任务报告、网站安全检查任务报告、自建检查任务报告; 支持检查任务汇总、预览; 支持对信息系统检查任务检查结果进行得分汇总,并以饼形图的方式进行展示; 支持生成等保测评报告、工具检测类型报表,等保测评报告采用最新的测评报告2015模板; 支持WORD、HTML格式报表导出; 支持下载自查表。 | |||
| 辅助功能 | ▲工具箱监察管理系统和U盘安全检查工具应提供软件截图工具,便于实时保存系统关键界面信息。 | |||
微信扫码关注
