廣東省新聞出版高級技工學校《智慧校園綜合學生管理系統》網絡安全等級保護測評服務采購項目(以下簡稱“采購人”)進行競爭性談判采購,接受合格的國內供應商提交密封報價。有關事項如下:
一、采購項目編號:粵新出2020001A
二、采購項目名稱:《智慧校園綜合學生管理系統》網絡安全等級保護測評服務采購項目
三、采購項目預算金額(元):¥52500.00元
四、項目內容及需求:(采購項目技術規格、參數及要求)
1. 采購項目的詳細內容及技術參數附后。
2. 報價人不允許僅對其中部分內容進行報價。
五、供應商資格
1.報價人必須符合《政府采購法》第二十二條規定;
2.本項目不接受聯合體報價。
3.獲取詢價文件方式:(供應商憑以下蓋單位公章的復印件獲取詢價文件)
3.1 經年檢合格的營業執照副本或事業單位法人證書復印件;
3.2法定代表人證明書或法定代表人授權委托書;
3.3法定代表人或供應商授權代表身份證復印件;
3.4獲取詢價文件地點:廣東省新聞出版高級技工學校總務部
六、報名時間及報價文件遞交截止時間、談判時間、地點:
1.報名時間及報價文件遞交截止時間:2020年5月15日10:00前。

2.談判時間:2020年5月15日10:00
3.報價文件遞交地點:廣州市天河區長福路176號。
4.報價文件的密封要求:供應商應提交密封報價文件(報價文件、營業執照復印件蓋章,裝在密封信封內,密封縫蓋章并在信封上注明項目名稱。)。
七、本次項目的所有相關公告會在廣東省新聞出版高級技工學校網站(www.qppingce.com)上公布,并視為有效送達,不再另行通知。有關此次招標事宜,也可按下列地址以書面或電話形式查詢:
八、采購人聯系人:曾老師、黃老師
聯系人電話:87058812、13650999193或 13501548668;傳真:020-87058812
九、聯系地址:廣州市長福路176號


            廣東省新聞出版高級技工學校
二0二0年五 月十一日

附件內容如下:

 

 

 

 

 

 

廣東省新聞出版高級技工學校

網絡安全等級保護測評服務采購項目

 

 

2020年4月



第一章 項目內容及要求

 

一、項目名稱:網絡安全等級保護測評服務采購項目

二、項目基本內容:

1、服務內容:《智慧校園學生綜合管理系統》網絡安全等級保護測評服務。(詳見后面的“用戶需求書”)

2、項目預算:人民幣 元整(¥ 52500.00元)

三、提供服務單位的資格要求:

1、投標人應具備《中華人民共和國政府采購法》第二十二條規定的條件;

2、投標人必須是在中華人民共和國境內注冊的法人或其他組織,能獨立承擔民事責任,具有從事本項目的經營范圍和能力;

3、投標人必須具備國家網絡安全等級保護工作協調小組頒發的“網絡安全等級保護測評機構推薦證書”,并在有效期內;

4、本服務項目不接受聯合體投標。

 

 


 

第二章  用戶需求書

一、項目概況

為了貫徹落實《中華人民共和國網絡安全法》,響應國家對網絡安全的要求,我單位于2020年啟動信息安全等級保護工作,對學校新建設的《智慧校園學生綜合管理系統》進行等級(二級)保護測評工作。

二、服務內容

被測評單位名稱

測評系統名稱

對應等級

測評服務預算

服務期限

廣東省新聞出版高級技工學校

智慧校園學生綜合管理系統

二級

¥52500.00

詳見后面描述

交付結果要求(包括但不限于)

1、協助本單位完成的定級備案材料;

2、系統問題清單建議;

3、滲透測試報告;

4、通過等級保護測評的報告。

備注:費用服務包括(包含但不限于):不少于1次現場等級保護初次測評服務、不少于1次現場等級保護驗收測試服務、協助系統定級備案服務及聘請至少3人專家組評審服務。

 

(1) 協助定級備案服務

根據《信息安全技術信息系統安全等級保護定級指南》等標準,由中標方負責本單位進行定級備案工作(采購人配合提交相關資料),確定已備案系統等級,優化系統測評點要求指標,修訂需調整系統的等級,優化系統測評點要求指標,提交等級定級報告、備案表和自檢表送公安部門備案,直至取得信息系統定級備案證明。

(2)信息安全等級保護差距安全評估服務

 針對本單位定級系統的物理安全、網絡安全、主機安全、應用安全、數據安全和備份恢復5個技術層面;安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理5個管理層面進行現場測評和差距分析,記錄相關的測評結果,輸出現場測評記錄結果。

依照《等級保護現場測評記錄》中所記錄的針對本單位定級系統的技術和管理測評結果,結合系統整體差距測評結果,按照公安部標準測評報告模板撰寫測評記錄,完成提交《系統問題清單列表》。

(3)信息安全等級保護測評服務

 在信息系統進行完成差距測評后,甲方整改實施完成,乙方對信息系統的安全技術和安全管理上各個層面的安全控制進行整體性驗證,針對本單位定級系統進行全面的信息安全等級保護測評。

等級保護測評包括,安全技術及安全管理測評兩個方面。根據現場訪談、配置核查的基礎上通過先進的安全測試工具進行安全漏洞、應用系統代碼漏洞的掃描及人工核查,在現場測評的結果和本單位定級系統測評在數據匯總分析的基礎上,分析系統存在的問題,給出系統等級測評結論,編制《等級保護測評報告》提交公安部門備案,協助用戶完成等級保護測評工作,進行評審,評審通過后完成備案,直至獲取備案證書。

三、服務要求

(1)本項目在實施過程投標人需提供能夠滿足《信息系統等級保護安全設計技術要求》(GB/T25070-2010)、《信息安全等級保護實施指南》(GB/T 25058-2010)、《信息系統安全等級保護測評準則》(GB/T 28448-2012)等規范中相關測評技術要求的專業安全服務工具,且服務工具由中標人免費提供,中標人應保證所使用的所有工具和軟件不具有所有權和知識產權糾紛,并保證工具和軟件可用性和可靠性。由此產生的一切責任由投標方負完全責任。

(2)測評工具軟件運行可能需要的硬件平臺(如計算機、打印機等)均由投標方自行準備,采購方有權按照相關的要求對設備進行必要的處理。投標方在測評期間未經采購方許可,不得將設備帶離采購方指定的場所,也不得使用任何未經采購方確認的存儲設備對測評數據進行復制。

(3)投標人須在投標文件中列出專業安全服務工具清單,并說明設備的最終歸屬權。

相關工具指標要求詳見下表:

安全評估系統(安全脆弱性掃描)技術參數在等級保護測評過程中,采用詢問、檢查、測試、工具掃描等多種手段組合的方式。工具掃描應至少包括使用安全評估系統(即安全脆弱性掃描)工具對重要服務器、網絡設備、部分客戶端(5%-10%)進行漏洞掃描。

安全漏洞掃描工具指標要求:

指標

規格要求

系統漏掃要求

▲1.漏洞掃描方法應不少于40000種。(提供截圖證明并加蓋廠商公章)

2.集成系統漏洞掃描、Web應用掃描、基線核查于一體化系統。

3.支持掃描IPv6環境中的設備、系統。

▲4.支持云平臺掃描,漏洞覆蓋OpenStack 、KVM、Vmware、Xen等主流的云計算平臺。(提供截圖證明并加蓋廠商公章)

▲5.支持對Apple軟件和應用進行掃描,包括MAC OS,Safari,itunes;網站開源6.架構類掃描:支持phpmyadmin、WordPress 等的掃描;支持python的多個模塊的漏洞掃描。(分別提供截圖證明并加蓋廠商公章)

7.支持多種協議口令猜測,包括Telnet、Pop3、SSH、Ftp、RDP、SQL Server、DB2、MySQL、Oracle等;允許外掛用戶提供的字典檔。

▲8.支持掃描任務預計所需剩余時間顯示。(提供截圖證明并加蓋廠商公章)

▲9.支持對主流數據庫的識別與掃描,包括:Oracle、Sybase、SQL Server、DB2、MySQL等,能夠掃描的數據庫漏洞掃描方法不小于2500種。(提供截圖證明加蓋廠商公章)

10.支持對意外中斷(網絡中斷、設備斷電)的掃描任務恢復后繼續進行掃描。

11.支持掃描任務優先級設置。

管理策略

1.支持至少17種以上默認掃描策略。

2.支持靈活的掃描策略自定義功能,提供策略編輯向導和詳細漏洞信息,支持以系統類型、漏洞類型、危險級別、CVE等不同視圖顯示漏洞,支持策略的導入、導出、修改以及合并。

▲3.支持云計算平臺掃描策略。(提供截圖證明并加蓋廠商公章)

資產管理

1.支持對部門和資產的添加、刪除、編輯等操作,以及對資產的屬性自定義功能。

2.支持以txt、csv、dat等格式進行資產列表的導入。

3.支持利用歷史掃描過程中所發現的在線主機信息,來添加資產。

▲4.支持每個資產歷史掃描的風險趨勢圖顯示,缺省顯示最后24次掃描結果的趨勢顯示。(提供截圖證明并加蓋廠商公章)

報表功能

1.報告中的漏洞應具備統一的CVSS國際標準評分,以準確衡量漏洞的危險級別,為漏洞修補工作的優先級提供指導。

▲2.支持給每個任務報表添加自定義安全結論。(提供截圖證明并加蓋廠商公章)

3.HTML離線報表能夠通過點擊主機IP鏈接,自動跳轉至該主機的詳細報告。

4.支持任務掃描完成后,自動將掃描結果上傳至ftp服務器。

產品維護

1.應保證至少每周一次的漏洞庫更新,并保證緊急的、重要的漏洞做到隨時更新。

2.支持自動給syslog服務器實時發送系統操作日志。

▲3.支持實時提醒當前的系統消息,包括報表下載消息、升級內容消息、日志下載消息等。(提供截圖證明并加蓋廠商公章)

4.支持控制臺功能,可以通過控制臺對系統進行操作和設置,例如重啟和關閉系統、修改系統和網絡配置、查看漏掃引擎狀態并提供網絡診斷工具。

掃描能力

▲1.支持檢測SQL注入漏洞、命令注入漏洞、CRLF注入漏洞、LDAP注入漏洞、XSS跨站腳本漏洞、路徑遍歷漏洞、信息泄漏漏洞、URL跳轉漏洞、文件包含漏洞、應2.用程序漏洞、文件上傳漏洞等。(提供截圖證明并加蓋廠商公章)

3.支持對掃描對象的掛馬和暗鏈進行檢測。

4.支持對掃描對象的敏感詞進行檢測。

▲5.支持漏洞驗證功能,在掃描結束后,能夠對結果中的重要漏洞進行現場驗證,展示漏洞利用過程和風險。(提供截圖證明并加蓋廠商公章)

6.支持靈活的掃描任務制定功能,可設定檢測開始時間、檢測入口地址、網站COOKIE、檢測周期、任務模式、User_Agent設置、發包限速設置、最大檢測頁面數、漏洞類型設置等。

7.支持TELNET、SSH、SMB、RDP、WinRM協議的安全基線配置檢查方式。

8.支持對主流網絡設備的安全配置核查,包括:cisco交換機、華為交換機、H3C交換機、力騰交換機 、銳捷交換機、cisco路由器、華為路由器、H3C路由器、juniper路由器。

9.支持對主流中間件的安全配置核查,包括:Apache、Bind、Domino、IIS、Jboss、Nginx、Resin、Tomcat、TongWeb、Weblogic、Websphere。

10.支持Wlan設備安全配置核查,包括:邦訊、H3C、中興、國人、思科、傲天、華為、大唐。

▲11.在建立核查任務時支持從“資產庫獲取、IP段添加、Excel導入”方式添加核查設備。(提供截圖證明并加蓋廠商公章)

▲12.提供任務的復制功能,在不影響原有任務的情況下,對復制的任務進行修改和裁剪。(提供截圖證明并加蓋廠商公章)

網站監控

1.支持Ping、HTTP、GET請求等網站安全監控功能。

2.支持用戶自定義分布式節點監控服務器的云監控模式。

3.支持當前網頁和快照的文本和圖片對比,不同的文本區域應使用不同顏色標出。

▲4.支持配置多個DNS服務器,對各DNS服務器的解析結果進行對比。(提供截圖證明并加蓋廠商公章)

核查方式

▲1.對于管理較好的不可達網絡或者物理隔離網絡,提供分布式采集器,可實現批量核查,批量上報,并根據實際情況實現在線及離線兩種方式。(提供截圖證明并加蓋廠商公章)

2.支持離線核查。

3.持代理檢查的方式,代理檢查結果自動上傳到檢查服務器,并支持代理設備中的中間件及數據庫核查。

▲4.支持對數據庫和中間件設備安裝路徑自動探測功能。(提供截圖證明并加蓋廠商公章)

5.對掃描失敗的設備和檢查項有非常準確的失敗信息反饋。

資產管理

▲1.對測試不通過的資產提供可參考的信息。(提供截圖證明并加蓋廠商公章)

2.可通過選中資產立即下發核查任務。

3.可通過選中資產查看該資產的核查歷史,并能夠選中兩個任務進行對比分析,展示兩次核查的對比信息,包括核查時間及核查結果。

賬號獲取與安全

▲支持密碼文件讀取方式來核查設備賬號信息:系統提供密碼文件模版下載功能,在建立核查任務時提供導入功能,系統讀取設備信息后保存在內存中,在任務執行完畢后銷毀,做到一次性使用。(提供截圖證明并加蓋廠商公章)

產品資質

1.產品具有中華人民共和國公安部頒發的《計算機信息系統安全專用產品銷售許可證》,要求為增強型。(提供證書復印件并加蓋廠商公章)

2.產品具有中國信息安全測評中心頒發的《信息技術產品安全測評證書》,級別EAL3+。(提供證書復印件并加蓋廠商公章)

▲3.產品品牌必須在最近三年連續在IDC該類產品排名中為前三。(提供IDC報告復印件并加蓋廠商公章)

 

四、管理要求

(一)服務質量目標要求

1、中標人應通過自身在等保測評工作中積累的經驗,結合自身的技術優勢,充分考慮到信息系統實際情況,提供一份具體細致的、操作性強的等級保護實施計劃,協助完成信息系統等級保護的相關工作。

2、中標人應依據《信息安全等級保護管理辦法》、《信息系統安全等級保護定級指南》、《信 息系統安全等級保護基本要求》、《信息系統安全等級保護測評準則》、《信息系統安全等級保護實 施指南》和《信息安全風險評估規范》等有關要求,按照嚴格程序對信息系統的安全防護能力進 行科學公正的綜合測評活動,完成對信息系統的等級保護落實情況與等級保護相關標準要求之間 的符合程度的測試判定。

3、中標人應整理測評數據,對測評結果進行綜合分析,形成測評報告。

4、中標人應通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現信息系 統安全等級。做到不同安全等級的信息系統應具有不同的安全保護能力,并使信息系統安全等級保護達到公安部門信息系統安全等級保護工作的各項要求。

(二)服務團隊要求

1.所有參與測評人員應具備信息系統等級保護測評工作經驗,精通等級保護測評技術,能分析測評過程中存在的風險。

 2.具有對信息系統所面臨的安全威脅、存在的安全隱患進行信息收集、識別、分析和提供防范措施的能力。

3.具有能根據用戶信息系統安全防護問題的分析,向用戶建議有效的安全保護策略及建立完善的安全管理制度的能力。

4.具有對發生的突發性安全事件進行分析和解決的能力。

5.應了解、掌握并能應用等級保護測評國家和行業標準。

6.需根據等級保護測評工作中發現的安全隱患,提供詳細的安全加固建議報告。

7.嚴格遵守信息安全保密制度,做好數據在存儲、傳輸過程中的保密措施,不得泄露項目的一切信息。

8.應具有信息安全等級保護測評師初級或以上證書。

(三)保密

 1.針對本次項目安全服務文檔的知識產權歸屬采購人所有,投標人原有產品既有知識產權不因本項目發生轉移,涉及到第三方提出侵權或知識產權的起訴及支付版稅等費用由投標人承擔所有責任及費用。

2.采購人為投標人提供的所有業務、技術資料,投標人有責任對第三方保密。如投標人未經采購人書面同意,擅自將涉及采購人商業和技術秘密的資料透漏給第三方,采購人將保留追究投標人法律責任的權利。

 

五、服務期限

等級保護測評服務期限:簽訂合同之日起 1個月內完成協助定級備案和差距評估等工作,并提交所有文檔(包括但不限于《問題清單及建議》);待采購方完成整改工作后,中標人在1個月內完成等級保護測評工作,并提交所有文檔(包括但不限于《等級保護測評報告》、取得由公安機關出具的等級保護測評確認文檔)。