绵阳经济技术开发区社会治理和应急管理局“绵阳经开化工园区重大安全风险防控项目软件测评及网络安全等级保护测评(三级)服务”竞争性磋商
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
项目概况
“绵阳经开化工园区重大安全风险防控项目软件测评及网络安全等级保护测评(三级)服务 ” 采购项目的潜在供应商应在四川鹏开招标代理有限公司(绵阳市涪城区毅德商贸城B区26栋3楼)获取采购文件,并于2024年05月21日 14点00分(北京时间)前提交响应文件。
一、项目基本情况
项目编号:四川鹏开代竞磋(2024)23号
项目名称:“绵阳经开化工园区重大安全风险防控项目软件测评及网络安全等级保护测评(三级)服务 ”
采购方式:竞争性磋商
预算金额:26.800000 万元(人民币)
最高限价(如有):26.800000 万元(人民币)
采购需求:
一、项目概况
(一)绵阳经济技术开发区作为四川省级化工园区,园区涉及合成氨、氯化、氟化、烷基化、氧化等多种重点监管危险化工工艺,构成涉氯、涉氨、涉硝酸铵等重大危险源近十处,行业跨度广、固有风险高、监管压力大。为防范和化解园区危险化学品安全生产领域系统性风险,遏制危险化学品重特大事故,根据《“工业互联网+危化安全生产"试点建设方案》(应急厅(2021)27号)、《化工园区安全风险智能化管控平台建设指南(试行)》(应急厅(2022)5号)和《四川省化工园区认定管理办法(试行)》(川经信化工(2021)80号),实施建设绵阳经开化工园区重大安全风险防控项目,有利于强化安全风险管控能力,提升经开区本质安全水平、指挥协调能力、辅助决策能力、教援处置能力和监管执法能力,有效防范化解重大安全风险,保障人民群众生命财产安全和社会稳定:同时,也将显著促进入园企业合规、合法、安全生产,降低企业事故发生率,构建智慧管理、绿色安全、高质高效的现代化园区。
(二)系统框架化工园区智能化管控平台总体构架划分为边缘层、网络层、laaS层、DaaS层、PaaS层、SaaS层及展示层七个层次,以工业互联网标准为引领、工业互联网安全体系为保障,依托数据流、信息流、业务流,提供风险监测、安全监管、统计分析、应急处置等方面的支撑,提升化工园区安全风险管控能力。企业相关信息由企业安全风险智能化管控平台通过网络层与化工园区智能化管控平台对接。1.边缘层是在化工园区企业及公共管廊、公共区域加装或改造监测监控设备、遥测设备或智能化监控设备,通过协议转换、边缘计算等构建精准实时、高效的安全与应急数据采集与分析体系,接入、转换预处理、存储、分析数据,配置边缘网关等设备合理布置算力和模型,实时获知企业及园区公共设备设施的运行状况和环境动态变化,就近提供边缘智能服务,掌握安全态势。2.网络层是建立园区级覆盖范围广、连接设备多、带宽大的有线/无线基础网络,满足边缘层过程数据采集、传输和分析需求。3.laaS层通过计算、网络、存储等资源的虚拟化,实现信息基础设施的资源池化。提供所有计算需要的基础设施,包括处理CPU、内存、存储、网络和其它基本的计算硬件资源,根据PaaS层的运算需要部署和运行相应的软件,包括操作系统和应用程序等。4.DaaS层对各类数据信息进一步加工形成信息组合应用,通过汇聚、整合、清洗、关联和比对等数据处理手段,实现对数据资源全生命周期的规划设计、过程控制和质量监督,提高数据质量,提升数据价值。通过数据中台建设数据资源池,建立数据模型,对基础数据信息块以不同的方式进行组装,满足各类应用的需要。通过对数据聚合抽象,把数据转换成通用信息,对外提供数据服务。5.PaaS层利用laaS层和DaaS层的数据处理能力,对通过边缘层采集和网络层传输与汇聚的异常环境数据、安全管理数据、人员位置数据、实时通讯数据、标识数据、各系统产生的数据等统一调度和应用。结合园区运营各环节实际数据和运行流程,构建机理模型和数据驱动模型。通过构建AI能力引擎和机器学习模型,提供AI中台服务。SaaS层通过调用和封装PaaS层平台上的开发工具、行业机理模型、数据驱动模型等服务形成安全基础管理、重大危险源管理、双重预防机制管理、特殊作业管理、封闭化管理和敏捷应急等应用服务。6.展示层支持大屏、PC或移动端多终端应用。按照国家和省、市有关规定和市政府相关文件,《中华人民共和国网络安全法》、《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《密码模块安全技术要求》(GM/T 0028-2014)等标准,结合项目的特点,须为业主方提供“绵阳经开化工园区智能化管控平台提档升级项目、绵阳经济技术开发区遏制重特大事故1+3体系建设工程、绵阳经开化工园区重大安全风险防控项目”系统软件测评服务及绵阳经开化工园区重大安全风险防控项目等级保护测评服务并出具相应报告。
二、采购项目标的清单
三、软件测评服务要求
技术标准GB/T 25000.51-2016《系统与软件工程系统与软件质量要求和评价(SQuaRE) 第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》。
测试原则
客观性和公正性原则:虽然评估工作不能完全摆脱个人主张或判断,但评估人员应当没有偏见,在最小主观判断情形下,按照评估双方相互认可的评估方案,基于明确定义的评估方式和解释,实施评估活动。
可再现性原则:不论谁执行评估,依照同样的要求,使用同样的评估方式,对每个评估实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于,前者与不同评估者评估结果的一致性有关,后者与同一评估者评估结果的一致性有关。
结果完善性原则:评估所产生的结果应当证明是良好的判断和对评估项的正确理解。评估过程和结果应当服从正确的评估方法以确保其满足了评估项的要求。
软件测评内容包括但不限于以下内容
功能性测试
软件产品满足明确和隐含要求功能的能力。具体内容包括:完备性、正确性、恰当性、互操作性、安全保密性等。
易用性测试
软件产品被理解、学习、使用和吸引用户的能力。关注软件使用时是否感觉方便,能否通过简单的操作达到用户的目的,界面是否美观,排版是否合理等。具体内容包括:易理解性、易学性、易操作性、吸引性等。
效率性能测试
软件产品所提供性能的能力。关注在多用户、大并发量的情况下系统是否满足客户的实际需要,主要从吞吐量、点击率、平均事物响应时间、负载下的平均事物响应时间等来进行测试。具体内容包括:时间特性、资源利用率、容量等。
安全测试
查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力。
软件测评具体要求
实施要求
系统梳理
对本次测评涉及软件系统进行梳理,了解软件系统的主要业务应用、系统架构等情况。
现场测评
对本项目所涉及软件系统进行现场测试,出具缺陷报告,待开发单位整改后进行回归测试。
成果递交
整理测试结果,出具软件测试报告。
实施过程风险管理
测试实施过程中,被测系统可能面临业务中断、数据丢失等安全风险,投标方应就可能存在的风险进行充分识别并采取必要的规避或防范措施。
项目管理与实施保障
对项目进行科学严格的管理,通过系统计划、有序组织、科学指导和有效控制,促进项目全面顺利实施,供应商必须提供完整的项目管理方案,并符合以下要求:
供应商及其测试人员应当严格执行有关国家信息安全相关标准和有关规定,提供客观、公平、公正的服务;测试过程中其相关人员应注意测试记录和证据的接收、处理、存储和销毁,保护其在测试期间免遭改变/遗失,并保守秘密;
四、网络安全等级保护测评服务要求
测评内容包括技术和管理测评
技术安全性测评包括但不限于: 安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。
管理安全测评包括但不限于: 安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
测评对象及范围:一个三级系统。
依据标准及法律法规
《中华人民共和国网络安全法》;. GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》; GB/T28448-2019《信息安全技术网络安全等级保护测评要求》; GB/T28449-2018《信息安全技术网络安全等级保护测评过程指南》; GB/T36627-2018《信息安全技术网络安全等级保护测试评估技术指南》; 《信息安全等级保护管理办法》 公通字 [2007] 43 号; 《网络安全等级保护测评机构管理办法》 公信安 [2018] 765 号 5.2 测评要求。
安全要求
安全物理环境
安全通信网络
安全区域边界
安全计算环境
安全管理中心
安全管理制度
安全管理机构
安全管理人员
安全建设管理
安全运维管理
验证测试相关要求
按照等级保护测评要求,测评过程中应配备必要的工具、仪器/设备对信息系统进行验证测试,采用的测评工具的生产商应为正规厂商,具有一定的研发和服务能力,能够对产品进行持续更新并提供质量和安全保障。
验证测试内容包括但不限于以下内:
渗透测试
验证安全策略正确性;保证用户登录窗体身份验证的安全性;非授权用户不能浏览到未授权内容;不存在跨站点脚本攻击漏洞;脚本不存在 SQL、Cookie 注入漏洞;安全的处理异常,没有出错页面泄露系统信息;应用和系统漏洞及其他,并提出整改建议。验证内容包括(但不限于)以下几个方面:
性能测试
通过模拟手段对网络(包括丢包、时延、带宽等)、软件系统(包括负载、响应)、负载下硬件占用(包含CPU、内存)等进行全面的测评评估验证系统的可靠性、可用性,通过对测试结果的分析,给出相应的整改建议。
漏洞扫描
据相关标准、规范要求对重要信息系统的安全漏洞进行测评。分析总结系统中存在的主要安全漏洞,指出系统中可能被利用的安全漏洞、系统配置错误等缺陷以及相应的安全加固意见、建议。
测评工作步骤
等级保护测评工作流程,受委托测评机构实施的等级测评工作活动及流程与运营、使用单位的自查活动及流程会有所差异,初次等级测评和再次等级测评的工作活动及流程也不完全相同,而且针对不同等级信息系统实施的等级测评工作活动及流程也不相同。受委托测评机构对信息系统的初次等级测评可以分为四项活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。投标方应对等级保护测评各阶段具体工作内容进行描述。
准备活动阶段:对被测系统进行调研分析,明确测评对象、测评方法等工。 方案编制阶段:制定信息安全等级保护测评项目计划书、测评实施方案,并提交委托方确认。 现场测评阶段:按照等级保护相关标准规范要求从访谈、检查、测试几方面进行测试评估并出具《整改意见》,并在整改过程中提供技术咨询服务。 分析与报告编制:向委托方提交被测信息系统安全等级保护测评报告以及相应文档。
五、商务要求
合同履行期限:从合同签订之日起到本项目竣工验收结束时止
本项目( 不接受 )联合体投标。
二、申请人的资格要求:
1.满足《中华人民共和国政府采购法》第二十二条规定;
2.落实政府采购政策需满足的资格要求:
无
3.本项目的特定资格要求:供应商须是公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》;
三、获取采购文件
时间:2024年05月11日 至 2024年05月16日,每天上午9:00至12:00,下午14:00至17:00。(北京时间,法定节假日除外)
地点:四川鹏开招标代理有限公司(绵阳市涪城区毅德商贸城B区26栋3楼)
方式:磋商文件自2024年 5 月 11日至2024年 5月 16日09:00- 17:00北京时间,在四川鹏开招标代理有限公司(绵阳市涪城区毅德商贸城B区26栋3楼)获取。 本项目磋商文件有偿获取,磋商文件售价:人民币200元/份(磋商文件售后不退, 磋商资格不能转让)。 获取磋商文件方式,1、现场报名:经办人员当场提交以下资料:单位介绍信、经办人身份证复印件(均加盖公章)。2、网上报名:须将单位介绍信、经办人身份证复印件(均加盖公章)的扫描件发送至1262901674@qq.com邮箱。(报名费缴纳账号:四川鹏开招标代理有限公司07001700001515绵阳市商业银行绵州支行)注:资料上须注明项目名称、项目编号和被介绍人身份证信息、联系方式及邮箱,同时加盖单位鲜章;供应商提供的资料须真实、完整、有效,未按要求提供资料的代理机构不予受理,提供资料中出现虚假、错误信息等所带来的后果由供应商自行承担。
售价:¥200.0 元(人民币)
四、响应文件提交
截止时间:2024年05月21日 14点00分(北京时间)
地点:四川鹏开招标代理有限公司(绵阳市涪城区毅德商贸城B区26栋3楼)
五、开启
时间:2024年05月21日 14点00分(北京时间)
地点:四川鹏开招标代理有限公司(绵阳市涪城区毅德商贸城B区26栋3楼)
六、公告期限
自本公告发布之日起3个工作日。
七、其他补充事宜
八、凡对本次采购提出询问,请按以下方式联系。
1.采购人信息
名 称:绵阳经济技术开发区社会治理和应急管理局
地址:四川省绵阳市涪城区文武西路498号
联系方式:联 系 人:登录即可免费查看 联系电话:登录即可免费查看
2.采购代理机构信息
名 称:四川鹏开招标代理有限公司
地 址:绵阳市涪城区毅德商贸城B区26栋3楼
联系方式:联 系 人:登录即可免费查看 联系电话:登录即可免费查看
3.项目联系方式
项目联系人:登录即可免费查看
电 话: 登录即可免费查看
“绵阳经开化工园区重大安全风险防控项目软件测评及网络安全等级保护测评(三级)服务 ” 采购项目的潜在供应商应在四川鹏开招标代理有限公司(绵阳市涪城区毅德商贸城B区26栋3楼)获取采购文件,并于2024年05月21日 14点00分(北京时间)前提交响应文件。
一、项目基本情况
项目编号:四川鹏开代竞磋(2024)23号
项目名称:“绵阳经开化工园区重大安全风险防控项目软件测评及网络安全等级保护测评(三级)服务 ”
采购方式:竞争性磋商
预算金额:26.800000 万元(人民币)
最高限价(如有):26.800000 万元(人民币)
采购需求:
一、项目概况
(一)绵阳经济技术开发区作为四川省级化工园区,园区涉及合成氨、氯化、氟化、烷基化、氧化等多种重点监管危险化工工艺,构成涉氯、涉氨、涉硝酸铵等重大危险源近十处,行业跨度广、固有风险高、监管压力大。为防范和化解园区危险化学品安全生产领域系统性风险,遏制危险化学品重特大事故,根据《“工业互联网+危化安全生产"试点建设方案》(应急厅(2021)27号)、《化工园区安全风险智能化管控平台建设指南(试行)》(应急厅(2022)5号)和《四川省化工园区认定管理办法(试行)》(川经信化工(2021)80号),实施建设绵阳经开化工园区重大安全风险防控项目,有利于强化安全风险管控能力,提升经开区本质安全水平、指挥协调能力、辅助决策能力、教援处置能力和监管执法能力,有效防范化解重大安全风险,保障人民群众生命财产安全和社会稳定:同时,也将显著促进入园企业合规、合法、安全生产,降低企业事故发生率,构建智慧管理、绿色安全、高质高效的现代化园区。
(二)系统框架化工园区智能化管控平台总体构架划分为边缘层、网络层、laaS层、DaaS层、PaaS层、SaaS层及展示层七个层次,以工业互联网标准为引领、工业互联网安全体系为保障,依托数据流、信息流、业务流,提供风险监测、安全监管、统计分析、应急处置等方面的支撑,提升化工园区安全风险管控能力。企业相关信息由企业安全风险智能化管控平台通过网络层与化工园区智能化管控平台对接。1.边缘层是在化工园区企业及公共管廊、公共区域加装或改造监测监控设备、遥测设备或智能化监控设备,通过协议转换、边缘计算等构建精准实时、高效的安全与应急数据采集与分析体系,接入、转换预处理、存储、分析数据,配置边缘网关等设备合理布置算力和模型,实时获知企业及园区公共设备设施的运行状况和环境动态变化,就近提供边缘智能服务,掌握安全态势。2.网络层是建立园区级覆盖范围广、连接设备多、带宽大的有线/无线基础网络,满足边缘层过程数据采集、传输和分析需求。3.laaS层通过计算、网络、存储等资源的虚拟化,实现信息基础设施的资源池化。提供所有计算需要的基础设施,包括处理CPU、内存、存储、网络和其它基本的计算硬件资源,根据PaaS层的运算需要部署和运行相应的软件,包括操作系统和应用程序等。4.DaaS层对各类数据信息进一步加工形成信息组合应用,通过汇聚、整合、清洗、关联和比对等数据处理手段,实现对数据资源全生命周期的规划设计、过程控制和质量监督,提高数据质量,提升数据价值。通过数据中台建设数据资源池,建立数据模型,对基础数据信息块以不同的方式进行组装,满足各类应用的需要。通过对数据聚合抽象,把数据转换成通用信息,对外提供数据服务。5.PaaS层利用laaS层和DaaS层的数据处理能力,对通过边缘层采集和网络层传输与汇聚的异常环境数据、安全管理数据、人员位置数据、实时通讯数据、标识数据、各系统产生的数据等统一调度和应用。结合园区运营各环节实际数据和运行流程,构建机理模型和数据驱动模型。通过构建AI能力引擎和机器学习模型,提供AI中台服务。SaaS层通过调用和封装PaaS层平台上的开发工具、行业机理模型、数据驱动模型等服务形成安全基础管理、重大危险源管理、双重预防机制管理、特殊作业管理、封闭化管理和敏捷应急等应用服务。6.展示层支持大屏、PC或移动端多终端应用。按照国家和省、市有关规定和市政府相关文件,《中华人民共和国网络安全法》、《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《密码模块安全技术要求》(GM/T 0028-2014)等标准,结合项目的特点,须为业主方提供“绵阳经开化工园区智能化管控平台提档升级项目、绵阳经济技术开发区遏制重特大事故1+3体系建设工程、绵阳经开化工园区重大安全风险防控项目”系统软件测评服务及绵阳经开化工园区重大安全风险防控项目等级保护测评服务并出具相应报告。
二、采购项目标的清单
| 服务名称 | 服务项目 | 单位 | 数量 | 所属 行业 |
| 软件 测评 | 1、绵阳经开化工园区智能化管控平台提档升级项目 2、绵阳经济技术开发区遏制重特大事故1+3体系建设工程 3、绵阳经开化工园区重大安全风险防控项目 | 项 | 3 | 软件和信息技术服务业 |
| 网络安全等级保护测评 | 绵阳经开化工园区重大安全风险防控项目(三级) | 项 | 1 | 软件和信息技术服务业 |
三、软件测评服务要求
技术标准GB/T 25000.51-2016《系统与软件工程系统与软件质量要求和评价(SQuaRE) 第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》。
测试原则
客观性和公正性原则:虽然评估工作不能完全摆脱个人主张或判断,但评估人员应当没有偏见,在最小主观判断情形下,按照评估双方相互认可的评估方案,基于明确定义的评估方式和解释,实施评估活动。
可再现性原则:不论谁执行评估,依照同样的要求,使用同样的评估方式,对每个评估实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于,前者与不同评估者评估结果的一致性有关,后者与同一评估者评估结果的一致性有关。
结果完善性原则:评估所产生的结果应当证明是良好的判断和对评估项的正确理解。评估过程和结果应当服从正确的评估方法以确保其满足了评估项的要求。
软件测评内容包括但不限于以下内容
功能性测试
软件产品满足明确和隐含要求功能的能力。具体内容包括:完备性、正确性、恰当性、互操作性、安全保密性等。
易用性测试
软件产品被理解、学习、使用和吸引用户的能力。关注软件使用时是否感觉方便,能否通过简单的操作达到用户的目的,界面是否美观,排版是否合理等。具体内容包括:易理解性、易学性、易操作性、吸引性等。
效率性能测试
软件产品所提供性能的能力。关注在多用户、大并发量的情况下系统是否满足客户的实际需要,主要从吞吐量、点击率、平均事物响应时间、负载下的平均事物响应时间等来进行测试。具体内容包括:时间特性、资源利用率、容量等。
安全测试
查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力。
软件测评具体要求
实施要求
系统梳理
对本次测评涉及软件系统进行梳理,了解软件系统的主要业务应用、系统架构等情况。
现场测评
对本项目所涉及软件系统进行现场测试,出具缺陷报告,待开发单位整改后进行回归测试。
成果递交
整理测试结果,出具软件测试报告。
实施过程风险管理
测试实施过程中,被测系统可能面临业务中断、数据丢失等安全风险,投标方应就可能存在的风险进行充分识别并采取必要的规避或防范措施。
项目管理与实施保障
对项目进行科学严格的管理,通过系统计划、有序组织、科学指导和有效控制,促进项目全面顺利实施,供应商必须提供完整的项目管理方案,并符合以下要求:
供应商及其测试人员应当严格执行有关国家信息安全相关标准和有关规定,提供客观、公平、公正的服务;测试过程中其相关人员应注意测试记录和证据的接收、处理、存储和销毁,保护其在测试期间免遭改变/遗失,并保守秘密;
四、网络安全等级保护测评服务要求
测评内容包括技术和管理测评
技术安全性测评包括但不限于: 安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。
管理安全测评包括但不限于: 安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
测评对象及范围:一个三级系统。
依据标准及法律法规
《中华人民共和国网络安全法》;. GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》; GB/T28448-2019《信息安全技术网络安全等级保护测评要求》; GB/T28449-2018《信息安全技术网络安全等级保护测评过程指南》; GB/T36627-2018《信息安全技术网络安全等级保护测试评估技术指南》; 《信息安全等级保护管理办法》 公通字 [2007] 43 号; 《网络安全等级保护测评机构管理办法》 公信安 [2018] 765 号 5.2 测评要求。
安全要求
安全物理环境
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 物理位置选择 | 通过访谈、检查机房等信息系统物理场所在位置上是否具有防雷、防风和防雨等多方面的安全防范能力。 |
| 2 | 物理访问控制 | 通过访谈、检查主机房出入口、机房分区域情况等过程,测评信息系统在物理访问控制方面的安全防范能力。 |
| 3 | 防盗窃和防破坏 | 通过访谈、检查机房的主要设备、介质和防盗报警系统等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 |
| 4 | 防雷击 | 通过访谈、检查机房的设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 |
| 5 | 防火 | 通过访谈、检查机房的设计/验收文档,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。 |
| 6 | 防水和防潮 | 通过访谈、检查机房的除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。 |
| 7 | 防静电 | 通过访谈、检查机房是否采取必要措施防止静电的产生。 |
| 8 | 温湿度控制 | 通过访谈、检查机房温、湿度情况,是否采取必要措施对机房内的温湿度进行控制。 |
| 9 | 电力供应 | 通过访谈、检查机房供电线路、设备等过程,是否具备提供一定的电力供应的能力。 |
| 10 | 电磁防护 | 通过访谈、检查是否具备一定的电磁防护能力。 |
安全通信网络
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 网络架构 | 通过访谈、检查、测试网络拓扑情况、抽查核心交换机、接入交换机和接入路由器等网络互联设备,测试系统访问路径和网络宽带分配情况等过程,测评分析网络架构与网段划分、隔离等情况的合理性和有效性,以及通信线 路、关键设备硬件冗余,系统可用性保证情况。 |
| 2 | 通信传输 | 通过访谈、检查、测试通信传输过程的数据完整性和保密性保护情况。 |
| 3 | 可信验证 | 通过访谈、检查通信设备的系统引导、系统程序、重要配置参数和通信应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。 |
安全区域边界
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 边界防护 | 通过访谈、检查、测试边界完整性检查设备,测评分 析跨域边界的访问控制和数据流通过边界设备的控制措施,非法内联、外联、无线准入控制的监测、阻断等能力。 |
| 2 | 访问控制 | 通过访谈、检查、测试网络访问控制设备策略部署,测试系统对外暴露安全漏洞情况等过程,测评分析对进出网络的数据流量控制以及基于应用协议和应用内容的访问控制能力。 |
| 3 | 入侵防范 | 通过访谈、检查、测试网络边界处、关键网络节点检测、防止或限制从内部和外部发起网络攻击行为的防护能力,以及网络行为分析、监测、报警能力,特别是新型网络攻击行为的分析,对攻击行为的检测是否涉及攻击源、攻击类型、攻击目标、攻击事件、入侵报警等方面的防范能力。 |
| 4 | 恶意代码和防垃圾邮件 | 通过访谈、检查、测试关键网络节点处对恶意代码、垃圾邮件进行检测、防护和清除、恶意代码防护机制的升 级和更新维护等情况。 |
| 5 | 安全审计 | 通过访谈、检查网络边界、重要网络节点安全审计情况等,测评分析信息系统审计配置和审计记录保护,审计内容等情况。 |
| 6 | 可信验证 | 通过访谈、检查边界设备的系统引导、系统程序、重要配置参数和边界防护应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。 |
安全计算环境
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 身份鉴别 | 通过访谈、检查、测试对登录的用户进行身份标识和鉴别,是否具有不易被冒用的特点,口令应有复杂度要求并定期更换,以及远程管理安全、双因素鉴别等内容。 |
| 2 | 访问控制 | 通过访谈、检查、测试是否启用访问控制功能,依据安全策略控制用户对资源的访问;是否根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限等内容。 |
| 3 | 安全审计 | 通过访谈、检查安全审计范围及内容。 |
| 4 | 入侵防范 | 通过访谈、检查、测试是否能够检测到对重要节点进行入侵的行为,能够记录入侵的源 IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警,是否遵循最小化安全装原则、系统服务、默认共享和高危端口、终端接入限制、数据有效性检验、已知漏洞防护等内容。 |
| 5 | 恶意代码防范 | 通过访谈、检查、测试是否具有防恶意代码攻击的技术措施或主动免疫可信验证机制,能否及时识别入侵和病毒行为并将其有效阻断等内容。 |
| 6 | 可信验证 | 通过访谈安全员,检查计算设备的系统引导、系统程序、重要配置参数和应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。 |
| 7 | 数据完整性 | 通过访谈、检查、测试重要数据在传输和存储过程中的完整性保护情况,包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 |
| 8 | 数据保密性 | 通过访谈、检查、测试重要数据在传输和存储过程中的保密性保护情况,包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 |
| 9 | 数据备份恢复 | 通过访谈、检查、测试重要数据本地备份与恢复功能,异地实时备份功能,以及重要数据处理系统的热冗余和高可用性保证等。 |
| 10 | 剩余信息保护 | 通过访谈、检查、测试边界信息在存储空间被释放或重新分配前是否有效清除,存有敏感数据的存储空间被释放或重新分配前是否有效清除等。 |
| 11 | 个人信息保护 | 通过访谈、检查、测试是否仅采集和保存业务必须的用户个人信息,对用户个人信息的访问和使用等。 |
安全管理中心
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 系统管理 | 通过访谈、检查、测试对系统管理员身份鉴别、命令或操作管理、操作审计,以及是否通过系统管理对系统资源和运行进行配置、控制和管理等。 |
| 2 | 审计管理 | 通过访谈、检查、测试对审计管理员身份鉴别、命令或操作管理、操作审计,以及是否通过审计管理员对审计策略、审计记录进行分析、处理等。 |
| 3 | 安全管理 | 通过访谈、检查、测试对安全管理员身份鉴别、命令或操作管理、操作审计,以及是否通过安全管理员对安全策略、参数进行配置等。 |
| 4 | 集中管控 | 通过访谈、检查、测试是否具有特定的管理区域,对分布在网络中的安全设备或安全组件进行集中管控,对网络链路、安全设备、网络设备和服务的运行进行集中监测,对分散在各设备上的审计数据进行收集汇总和集中分析,并确保记录留存符合法律法规要求,对安全策略、恶意代码、升级补丁等安全相关事项进行集中管理,对网络中发生的各类安全事件进行识别、报警和分析等。 |
安全管理制度
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 安全策略 | 通过访谈、检查网络安全工作的总体方针我安全策略是否全面、完善。 |
| 2 | 管理制度 | 通过访谈、检查管理制度的制定和发布过程是否遵循一定的流程。 |
| 3 | 制度和发布 | 通过访谈、检查管理制度定期评审和修订情况。 |
| 4 | 评审和修订 | 通过访谈、检查管理制度在内容覆盖上是否全面、完善。 |
安全管理机构
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 岗位设置 | 通过访谈、检查安全主管部门设置情况以及各岗位设置和岗位职责情况。 |
| 2 | 人员配备 | 通过访谈、检查各个岗位人员配备情况。 |
| 3 | 授权和审批 | 通过访谈、检查对关键活动的授权和审批情况。 |
| 4 | 沟通和合作 | 通过访谈、检查内部部门间、与外部单位间的沟通与合作情况。 |
| 5 | 审核和检查 | 通过访谈、检查安全工作的审核和检查情况。 |
安全管理人员
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 人员录用 | 通过访谈、检查录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 |
| 2 | 人员离岗 | 通过访谈、检查人员离岗时是否按照一定的手续办理。 |
| 3 | 安全意识教育和培训 | 通过访谈、检查是否对人员进行安全方面的教育和培训。 |
| 4 | 外部人员访问管理 | 通过访谈、检查对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。 |
安全建设管理
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 定级和备案 | 通过访谈、检查是否按照一定要求确定系统的安全等级。 |
| 2 | 安全方案设计 | 通过访谈、检查整体的安全规划设计是否按照一定流程进行。 |
| 3 | 产品采购和使用 | 通过访谈、检查是否按照一定的要求进行系统的产品采购。 |
| 4 | 自行软件开发 | 通过访谈、检查自行开发的软件是否采取必要的措施保证开发过程的安全性。 |
| 5 | 外包软件开发 | 通过访谈、检查外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。 |
| 6 | 工程实施 | 通过访谈、检查建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。 |
| 7 | 测试验收 | 通过访谈、检查系统运行前是否对其进行测试验收工作。 |
| 8 | 系统交付 | 通过访谈、检查是否采取必要的措施对系统交付过程进行有效控制。 |
| 9 | 等级测评 | 通过访谈、检查等级测评、整改情况。 |
| 10 | 服务商选择 | 通过访谈、检查是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 |
安全运维管理
| 序号 | 工作单元名称 | 工作单元描述 |
| 1 | 环境管理 | 通过访谈、检查是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。 |
| 2 | 资产管理 | 通过访谈、检查是否采取必要的措施对系统的资产进行分类标识管理。 |
| 3 | 介质管理 | 通过访谈、检查是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 |
| 4 | 设备维护管理 | 通过访谈、检查是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 |
| 5 | 漏洞和风险管理 | 通过访谈、检查安全漏洞和隐患识别、处理情况,以及是否定期开展安全测评以及安全问题的应对措施。 |
| 6 | 网络和系统安全管理 | 通过访谈、检查是否采取必要的措施对系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。是否采取必要的措施对网络的安全配置、网络用户权限和审计日志等方面进行有效的管理,确保网络安全运行。 |
| 7 | 恶意代码防范管理 | 通过访谈、检查是否采取必要的措施对恶意代码进行 有效管理,确保系统具有恶意代码防范能力。 |
| 8 | 配置管理 | 通过访谈、检查基本配置信息管理情况 |
| 9 | 密码管理 | 通过访谈、检查是否能够确保信息系统中密码算法和 密钥的使用符合国家密码管理规定。 |
| 10 | 变更管理 | 通过访谈、检查是否采取必要的措施对系统发生的变 更进行有效管理。 |
| 11 | 备份与恢复管理 | 通过访谈、检查是否采取必要的措施对重要业务信息, 系统数据和系统软件进行备份,并确保必要时能够对这些 数据有效地恢复。 |
| 12 | 安全事件处置 | 通过访谈、检查是否采取必要的措施对安全事件进行 等级划分和对安全事件的报告、处理过程进行有效的管理。 |
| 13 | 应急预案管理 | 通过访谈、检查是否针对不同安全事件制定相应的应 急预案,是否对应急预案展开培训、演练和审查等。 |
| 14 | 外包运维管理 | 通过访谈、检查外包运维服务商选择是否符合国家要求,外包运维保密、服务内容管理等。 |
验证测试相关要求
按照等级保护测评要求,测评过程中应配备必要的工具、仪器/设备对信息系统进行验证测试,采用的测评工具的生产商应为正规厂商,具有一定的研发和服务能力,能够对产品进行持续更新并提供质量和安全保障。
验证测试内容包括但不限于以下内:
渗透测试
验证安全策略正确性;保证用户登录窗体身份验证的安全性;非授权用户不能浏览到未授权内容;不存在跨站点脚本攻击漏洞;脚本不存在 SQL、Cookie 注入漏洞;安全的处理异常,没有出错页面泄露系统信息;应用和系统漏洞及其他,并提出整改建议。验证内容包括(但不限于)以下几个方面:
| 注入 | 失效的身份认证 |
| 敏感信息泄露 | XML 外部实体(XXE) |
| 失效的访问控制 | 安全配置错误 |
| 跨站脚本(XSS) | 不安全的反序列化 |
| 使用含有已知漏洞的组件 | 不足的日志记录和监控 |
性能测试
通过模拟手段对网络(包括丢包、时延、带宽等)、软件系统(包括负载、响应)、负载下硬件占用(包含CPU、内存)等进行全面的测评评估验证系统的可靠性、可用性,通过对测试结果的分析,给出相应的整改建议。
漏洞扫描
据相关标准、规范要求对重要信息系统的安全漏洞进行测评。分析总结系统中存在的主要安全漏洞,指出系统中可能被利用的安全漏洞、系统配置错误等缺陷以及相应的安全加固意见、建议。
测评工作步骤
等级保护测评工作流程,受委托测评机构实施的等级测评工作活动及流程与运营、使用单位的自查活动及流程会有所差异,初次等级测评和再次等级测评的工作活动及流程也不完全相同,而且针对不同等级信息系统实施的等级测评工作活动及流程也不相同。受委托测评机构对信息系统的初次等级测评可以分为四项活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。投标方应对等级保护测评各阶段具体工作内容进行描述。
准备活动阶段:对被测系统进行调研分析,明确测评对象、测评方法等工。 方案编制阶段:制定信息安全等级保护测评项目计划书、测评实施方案,并提交委托方确认。 现场测评阶段:按照等级保护相关标准规范要求从访谈、检查、测试几方面进行测试评估并出具《整改意见》,并在整改过程中提供技术咨询服务。 分析与报告编制:向委托方提交被测信息系统安全等级保护测评报告以及相应文档。
五、商务要求
| 序号 | 内容 | 招标/采购要求 |
| 1 | 服务期限/交货时间/工期要求 | 从合同签订之日起到本项目竣工验收结束时止,并在规定的项目质量保修期限内,负责检查项目质量状况,组织鉴定质量问题责任,督促责任单位。 |
| 2 | 服务地点 | 绵阳经济技术开发区社会治理和应急管理局。 |
| 3 | 履约、验收要求与标准 | 成交人与采购人应严格按照相关法律法规的要求和相关技术要求,按照按照《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库〔2016〕205号)以及《绵阳市财政局关于进一步做好政府采购项目履约验收工作的通知》(绵财采〔2021〕15号)文件的要求进行验收。 |
| 4 | 款项支付方式、进度 | 本项目分2次支付价款: 1.合同签订后20日内支付40%的价款; 2.项目终验合格后20日内支付剩余价款。 |
| 5 | 质保及售后服务要求/后续服务要求 | 无 |
| 6 | 其他 | 无 |
合同履行期限:从合同签订之日起到本项目竣工验收结束时止
本项目( 不接受 )联合体投标。
二、申请人的资格要求:
1.满足《中华人民共和国政府采购法》第二十二条规定;
2.落实政府采购政策需满足的资格要求:
无
3.本项目的特定资格要求:供应商须是公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》;
三、获取采购文件
时间:2024年05月11日 至 2024年05月16日,每天上午9:00至12:00,下午14:00至17:00。(北京时间,法定节假日除外)
地点:四川鹏开招标代理有限公司(绵阳市涪城区毅德商贸城B区26栋3楼)
方式:磋商文件自2024年 5 月 11日至2024年 5月 16日09:00- 17:00北京时间,在四川鹏开招标代理有限公司(绵阳市涪城区毅德商贸城B区26栋3楼)获取。 本项目磋商文件有偿获取,磋商文件售价:人民币200元/份(磋商文件售后不退, 磋商资格不能转让)。 获取磋商文件方式,1、现场报名:经办人员当场提交以下资料:单位介绍信、经办人身份证复印件(均加盖公章)。2、网上报名:须将单位介绍信、经办人身份证复印件(均加盖公章)的扫描件发送至1262901674@qq.com邮箱。(报名费缴纳账号:四川鹏开招标代理有限公司07001700001515绵阳市商业银行绵州支行)注:资料上须注明项目名称、项目编号和被介绍人身份证信息、联系方式及邮箱,同时加盖单位鲜章;供应商提供的资料须真实、完整、有效,未按要求提供资料的代理机构不予受理,提供资料中出现虚假、错误信息等所带来的后果由供应商自行承担。
售价:¥200.0 元(人民币)
四、响应文件提交
截止时间:2024年05月21日 14点00分(北京时间)
地点:四川鹏开招标代理有限公司(绵阳市涪城区毅德商贸城B区26栋3楼)
五、开启
时间:2024年05月21日 14点00分(北京时间)
地点:四川鹏开招标代理有限公司(绵阳市涪城区毅德商贸城B区26栋3楼)
六、公告期限
自本公告发布之日起3个工作日。
七、其他补充事宜
八、凡对本次采购提出询问,请按以下方式联系。
1.采购人信息
名 称:绵阳经济技术开发区社会治理和应急管理局
地址:四川省绵阳市涪城区文武西路498号
联系方式:联 系 人:登录即可免费查看 联系电话:登录即可免费查看
2.采购代理机构信息
名 称:四川鹏开招标代理有限公司
地 址:绵阳市涪城区毅德商贸城B区26栋3楼
联系方式:联 系 人:登录即可免费查看 联系电话:登录即可免费查看
3.项目联系方式
项目联系人:登录即可免费查看
电 话: 登录即可免费查看
微信扫码关注
