2024年恩施高中网络安全等级保护测评及安全服务项目询价公告

正文内容

项目概况 ****年****网络安全等级保护测评及安全服务项目的潜在供应商应在****校园网上获取采购文件，并于****年*月*日上午*：**整（**时间） 以前提交响应文件。 项目基本情况 项目名称：****年****网络安全等级保护测评及安全服务项目 基本情况：根据上级相关部门网络安全管理要求及相关标准和规范，为加强重要信息系统安全防护工作，排除网络安全隐患，结合我校网络安全现状，需对我校校园网络进行全面的渗透测试和漏洞扫描，并对智慧校园重新进行等级保护测评。 采购方式：询价 预算金额：柒万捌仟元整（小写：￥*****.**元） 最高限价：柒万捌仟元整（小写：￥*****.**元） （以上费用为包干价，包含所交税费。两项服务需分别单独报价，且报价不超过其单项预算，总价得不超过总预算，凡是报价超过此限价的报价无效。）                                  采购需求 等级保护测评暨网络安全服务清单及预算详细表 服务项目 系统 定级级别 预算 备注 等级保护测评 智慧校园 二级 ***** 等保*.*标准 网络安全服务 全校所有信息系统、网络及安全设备 / ***** 提供一年网络安全综合保障服务，对测评系统及核心机房网络实施*次网络安全漏洞扫描及渗透测试。 应急响应 全部服务器、网络和安全设备 / 义务支持 对学校网络安全事件进行处置和恢复 总预算 *****.**元 (一) 等级保护测评 参照《GBT*****-**** 网络安全等级保护基本要求》和《GB/T*****-**** 网络安全等级保护测评要求》等标准规范要求，开展信息系统等级保护测评及整改指导工作。测评及整改范围为项目目标所涉及的基础网络环境、主机层面、应用层、数据库层及相关安全辅助设备与管理制度，需要具备等级测评师或网络与信息安全管理员能力人员提供整改咨询指导，服务目标为最终通过**部门及相关部门的等级保护检查要求。 须完成服务项目清单中所有系统及其要求的定级级别等级保护测评备案，须取得上级网络安全部门的备案证书，以及上级相关文件本文件中要求的工作。 (二) 网络安全服务 服务项目清单中网络安全服务：提供一年网络安全综合保障服务，对测评系统实施网络安全漏洞扫描及渗透测试，一年 * 次，每隔半年进行一次： 应用信息系统漏洞检测：服务期内开展 * 次漏洞检测。对测评系统进行安全扫描服务，通过对信息系统及其部署的服务器进行漏洞扫描，发现应用系统的安全漏洞，漏洞扫描服务主要是根据已有的安全漏洞知识库，模拟黑客的攻击方法，检测网络协议、网络服务、网络设备等各种信息资产所存在的安全隐患和漏洞。扫描的方式可以采用工具进行网络扫描。利用漏洞扫描工具扫描网络中的核心服务器及重要的网络设备，包括服务器、交换机等，以对网络设备进行安全漏洞检测和分析，对识别出的能被入侵者用来非法进入网络或者非法获取信息资产的漏洞，提醒安全管理员，及时完善安全策略，降低安全风险。（提供漏洞扫描报告） 渗透性测试：服务期内开展 * 次渗透测试。主要是模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试，目的是侵入系统，获取系统控制权并将入侵的过程和 细节产生报告给用户，由此证实用户系统所存在的安全威胁和风险，并能及时提醒安全管理员完善安全策略。通过模拟黑客对目标系统进行远程安全检测，对系统的任何弱点、 技术缺陷或漏洞进行主动分析，并且以有利于攻击为目的而对漏洞加以利用，以发现并验证其存在的安全隐患，评估系统抗攻击能力，全面了解和掌握应用系统所面临的安全威胁和存在的风险。（提供渗透测试报告） 每次渗透测试及漏洞检测分两个阶段。第一个阶段根据渗透测试和漏洞检测情况出具漏洞扫描报告和渗透测试报告；第二阶段为整改及复测，由信息系统或者设备承建公 司根据报告进行整改，在整改期间，安全测评公司根据实际情况提供技术协助和指导，以期更好更快有效完成整改，整改完毕后，再次进行渗透测试和漏洞检测复测，并出具漏洞扫描报告和渗透测试报告。 (三) 应急响应 当学校出现网络安全事件时，公司需立即提供应急响应技术服务，快速处置网络安全事件。次数不受限制。 标准和规范 一、标准和规范 《GBT *****—**** 信息安全技术 操作系统安全技术要求》 《GBT *****—**** 信息安全技术 数据库管理系统安全技术要求》 《GB/T *****—**** 信息安全技术 网络安全等级保护定级指南》 《GBT *****—**** 信息安全技术 网络安全等级保护基本要求》 《GB/T *****—**** 信息安全技术 网络安全等级保护设计技术要求》 《GB/T *****—**** 信息安全技术 网络安全等级保护测评要求》 《信息安全等级保护管理办法》（公通字[****]** 号文件） 《信息安全等级保护备案实施细则》（公信安[****]**** 号） 二、实施原则 本项目实施方案设计与具体实施必须满足以下原则： *. 保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标方的行为。 *. 标准性原则：测评方案的设计与实施应依据国家信息系统安全等级保护的相关标准进行。 *. 规范性原则：工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。 *. 可控性原则：项目安排工作进度要跟上进度表的安排，保证工作的可控性。 *. 最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。 *. 整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。 三、整体要求 *. 供应商应详细描述本次信息系统安全等级保护测评的整体实施方案，包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交 等。 *. 供应商提供本项目的测评人员的组成、资质及各自职责的划分（参与现场项目经理具备中级及以上测评资质或信息安全管理体系 ISO***** 主任审核员资质）。参与本 项目测评人员不少于 * 人，应配置有等级测评资质或网络与信息安全管理员等专业人员进行本次信息安全等级保护测评工作，测评人员需要具备丰富的等级保护测评经验。 *. 供应商具备**部第三研究所认证发放的《网络安全等级测评与检测评估机构服务认证证书》、具有中国网络安全审查技术与认证中心出具的专业信息安全服务资质）。 *. 本次信息系统安全等级保护测评实施过程中所使用到的各种工具软件由成交人推荐，经采购人确认后由成交人提供并在信息系统等级保护测评中使用。 *. 信息系统安全等级保护测评需要的运行环境（如场地、网络环境等）由采购人提供，供应商应详细描述需要的运行环境的具体要求。 *. 供应商必须具备项目所在省售后服务能力，出现安全事件能第一时间达到用户现场，要求售后服务团队成员不少于 ** 人（需要提供近半年项目所在省的社保证明）。 *. 专用工具要求 本项目涉及工程实施和验收测试所需的工具，由供应商负责提供。用于测评的工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全测评工具、网站等应用系统安全测评工具等。在使用前，应对工具进行测评，如果需要则对工具进行软件或代码升级。 *. 安全管理要求 为做好全过程的安全保密工作，在等级保护测评前、中、后三个阶段都要做好安全保密工作。 *. 等级保护测评前 (*)对等级保护测评人员要进行安全保密教育，制**全保密措施。 (*)签订安全保密协议。 **. 等级保护测评中 (*)对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与数据、人员与管理等方面的信息进行严格的安全保密管理。 (*)等级保护测评工具应经过严格测试和检验，确保不对被测评系统造成损失，工作结束后不驻留任何程序。 (*)对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等威胁情况要控制知情范围。 (*)对测评设备、介质进行严格的保密管理。 (*)工作过程中对人员要实施封闭式集中管理. (*)对进场人员遵守被测单位的相关管理规定。 **. 等级保护测评后 (*)认真清退各种文档、资料和数据并予以销毁，确保工作过程中敏感数据不被泄漏。 (*)现场工作结束后，按被测单位的要求及时还原系统，确保系统中不遗留任何代码或可执行程序。 (*)在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。 **. 文档要求 文档或报告的编写应完整清晰、用词规范、简明扼要，指出的问题应明确合理、符合逻辑、且有证据，出具的结论应公正客观、实事求是，提出的建议应符合国家标准规范、富有建设性和可操作性。 **. 售后服务 供应商应承诺能按要求实现本技术规范规定的所有条款及功能要求，配合完成相关政府部门的信息安全等级保护相关（登记、整改等）工作要求。 本项目不接受联合体投标，不接受未报名的供应商参与报价，不允许分包转包。 申请人的资格要求 *、满足《中华人民**国政府采购法》第二十二条规定，即： （*）具有独立承担民事责任的能力； （*）具有良好的商业信誉和健全的财务会计制度； （*）具有履行合同所必需的设备和专业技术能力； （*）有依法缴纳税收和社会保障资金的良好记录； （*）参加政府采购活动前三年内，在经营活动中没有重大违法记录； （*）法律、行政法规规定的其他条件。 *、单位负责人为同一人或者存在直接控股、管理关系的不同投标人，不得参加本项目同一合同项下的政府采购活动； *、必须具有**部第三研究所认证发放的《网络安全等级测评与检测评估机构服务认证证书》。 *、应未被列入失信被执行人、重大税收违法案件当事人名单，未被列入政府采购严重违法失信行为记录名单； 服务目标技术要求及商务要求 一、 服务目标 按照《中华人民**国网络安全法》要求“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行网络安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。”以及《信息安全等级保护管理办法》的要求选择测评机构开展等级保护测评工作。 为做好网络安全保障工作，按照“全面排查风险、及时发现预警、快速有效处置、确保万无一失”的工作目标，确保关键敏感时期不发生网络安全事件，保障重要信息系统平稳运行，拟对重要系统开展等级保护测评和网络安全保障服务工作。 (一) 项目整体目标 *. 满足网络安全法相关要求，落实信息系统等级保护制度要求； *. 提高单位的信息系统安全防护水平，进一步保障业务安全运行，满足等级保护*.* 新标准要求； *. 对校园网络及核心机房服务器、网络和安全设备进行渗透测试和漏洞扫描，全面排查可能存在漏洞及安全威胁。 *. 在项目实施中建设单位的安全管理队伍，提高人员素质。 (二) 安全技术目标 按照等保要求加强网络、主机、数据安全防护；对单位重要应用进行应用安全防护； (三) 安全管理目标 *. 完善单位安全管理制度和体系；形成完整、统一的安全运维管理平台； *. 对网络中服务器、网络及安全设备存在的漏洞进行定期扫描和渗透测试，并进行修复，每年定期进行漏扫和渗透测试服务，并在出现网络安全问题或者安全漏洞时候提供应急支持。 二、 测评内容要求 根据国家等级保护相关标准，信息系统安全等级保护测评应包括以下内容： 安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评； 安全管理测评：包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。 *.服务内容要求 协助开展系统和重要信息系统的自查自评估工作，对存在的风险隐患和安全问题及时提供有针对性的安全整改建议，保障整改措施的落实，指导完成重要信息系统的定级、备案等相关工作； 依据《信息系统安全等级保护基本要求》，从安全技术和管理两个方面共十个层面对信息系统进行等级测评，出具等级测评报告。 针对信息系统等保测评实施过程中发现的安全隐患和薄弱环节，提供安全建设整改和安全加固方面的咨询。 提供国家和行业有关信息安全等级保护政策和标准方面的知识培训和安全管理咨询，增强信息安全意识。 项目 服务内容 工作描述 等级测评 项目准备及现场调研 协助对信息系统物理环境、网络、终端、数据、安全管理等进行调研。 信息系统定级、备案 疏理信息系统定级工作，完成信息系统定级报告及定级材料的准备； 整理、补充信息系统备案所有相关的文档，指导用户方完成相应信息系统等级保护备案工作。 信息系统差距分析 对定级的信息系统，依照《信息系统安全等级保护基本要求》进行逐个对照，由具备等级测评师、网络与信息安全管理员或同等技术能力资质的服务人员对信息系统安全情况与等级保护基本要求的差距进行评估，完成信息系统等级保护差距分析报告。 等级保护安全整改 协助落实相关的等级保护建设整改工作，等级保护整改实施具体内容包括安全管理制度修订、安全技术整改、形**全配置基线、辅助进行安全增强配置和调试指导工作等工作内容，提升信息系统的安全防护能力，确保信息系统满足国家等级保护相应等级要求。 等级保护测评 参照《GBT*****-**** 网络安全等级保护基本要求》和《GB/T*****-**** 网络安全等级保护测评要求》等标准规范要求，对信息系统开展信息系统等级保护测评工作。 成果 服务目标为通过**部门的等级保护检查，输出《信息系统等级保护测评报告》 协助用户取得**机关备案证明（已备案信息系统不需要再次出具备案证明）。 *.* 安全物理环境 物理安全测评是对信息系统的机房和办公场所的物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面的安全状况。 *.* 安全通信网络 网络安全测评是对信息系统的网络系统安全防护情况进行测评，包括网络结构安全、网络访问控制、网络安全审计、网络边界完整性测评、网络入侵防范、网络恶意代码防范、网络设备防护等方面的安全状况。 *.* 安全区域边界 安全区域边界是对信息系统的边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等方面的安全状况。 *.* 安全计算环境 安全计算环境是对信息系统的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面的安全状况。 *.* 安全管理中心 安全管理中心是对信息系统的系统管理、审计管理、安全管理、集中管控进行测评。 *.* 安全管理制度 安全管理制度测评是对信息系统的安全策略、管理制度、制定和发布、评审和修订等情况进行测评。 *.* 安全管理机构 安全管理机构测评是对信息系统的岗位设置、人员配备、授权与审批、沟通和**、审核和检查等情况进行测评。 *.* 安全管理人员 人员安全管理测评是对信息系统相关内部人员的人员录用、人员离岗安全意识教育和培训、外部人员访问管理等情况进行测评。 *.* 安全建设管理 系统建设管理测评是对信息系统建设过程中的、测试验收、系统交付、等级测评服务供应商管理等情况进行测评。 *.** 安全运维管理 系统运维管理测评是对信息系统运行维护过程中的环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等情况进行测评。 三、 安全服务内容要求 *. 漏洞扫描服务 对本次信息系统的安全性进行漏洞测试，采用漏洞扫描工具对客户方的主机（应用）系统进行扫描，进一步发现深层次的问题，主要对服务器、数据库及中间件进行安全扫描，识别系统存在的安全漏洞。 服务完成后提供以下的输出物：《漏洞扫描报告》 服务频率：一年两次 *. 渗透测试 对本次应用系统的安全弱点模拟真正的黑客入侵攻击方法，以人工渗透为主，以漏洞扫描工具为辅，在保证整个渗透测试过程都在可以控制和调整的范围之内尽可能的获取目标信息系统的管理权限以及敏感信息。 服务完成后提供以下文档：《渗透测试报告》 服务频率：一年两次 *. 应急响应服务 当发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，第一时间响应并进行处理，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为客户挽回或减少经济损失。 服务内容分为远程技术支持和现场应急响应。远程技术支持，包括电话支持和远程支持等；现场应急响应则要求在一定时间内到达客户现场，对于客户网络信息系统的重大网络安全事件，提供应急响应服务，派遣安全工程师赶往客户现场排查故障原因，恢复客户信息系统的运行。 服务完成后提交以下文档：《安全应急响应事件报告》 四、 测评风险规避要求 项目开展工作涉及到单位重要信息系统和数据，在测评过程中必须加强安全保密管理与风险控制。 指定项目经理为专人负责信息安全测评过程中的安全保密管理工作，对测评活动、测评人员以及相关文档和数据进行安全保密管理，对重点设备的技术检测进行监督，对接入的检测设备进行控制。项目经需理具备中级及以上测评资质或 ISO***** 主任审核员资质，具备丰富的等级保护测评经验。 安全测评工作中可能出现的安全风险点，按照检测对象周密制定测评方法，根据被测评对象的不同采取相应的风险控制手段。不限于以下方法： *.操作的申请和监护 在实施过程中必须遵守的相关操作章程，以防止敏感信息泄漏和确保及时处理意外事件。 *．操作时间控制 对测评直接影响系统工作时，尽可能避开敏感时期。 *.人员与数据管理 必须高度重视信息保密工作，加强资料管理，确保人员可靠、稳定和可控。测评与被测评单位之间应签署长期保密协议，测评人员与被测评单位之间也要有相应的约束和控制措施，按国家有关要求做好保密工作。 *.制定应急预案 根据测评范围界定的系统情况，在实施前制定应急预案。 *．关键业务系统风险控制 对影响较大的重要关键业务系统在无法搭建模拟环境情况下，原则上不采用测评工具，采用访谈、测评和简单测试的方式进行。 *．优化扫描策略 分类扫描:对不同的主机和设备类型执行不同的扫描会话，从而减少不必要的脆弱项目测试。 针对扫描对象细化扫描策略：对不同类型的主机或设备，需要根据其上不同的应用和服务情况，有针对性地定制扫描策略选项。 *．数据备份与恢复 对业务系统和数据库主机，应对其上数据进行备份，防止测评过程中对设备与主机的损伤影响业务系统的正常运行。 *．厂商协作 厂商需要提供各应用系统的名称、版本、协议、开发语言、进程名和相应的端口号等信息，在测评之前，由三方共同分析测评对业务可能造成的风险，分析可能存在的问题。在测评过程中尽量规避这些风险。  报价及支付要求 (一) 报价要求 服务项目清单中，应急响应为义务支持，不单独报价，所需费用包含在网络安全服务中。等级保护测评和网络安全服务两个服务项目需分开单独报价且分别不超过其独自预算。 (二) 支付要求 *. 等级保护测评完成所有工作后并取得定级备案证书和要求的其他文件后，全额支付等级保护测评相关费用； *. 网络安全服务完成第一次服务，支付 **%；完成第二次服务且合同有效期一年满后，支付剩余的 **%。 获取采购文件 时间：****年*月*日至****年*月*日 地点：****校园网：http://www.esgz.com/ 方式：通过****校园网下载 供应商报名、提交投标文件要求和截止时间、开标时间及地点 *、凡有意参加竞标者，于****年*月*日至****年*月*日下载《报名登记表》。供应商将填写的《报名登记表》于****年*月*日至****年*月*日（法定节假日除外）：上午*:**—**:**、下午**：**—**:**）交至****办公楼 *** 室确认，未经确认的报名为无效报名。 *、递交响应文件方式 （*）报价文件必须密封完好，装订成册，并在密封处加盖公章。 （*）供应商报价文件应当包括：①统一社会信用代码证复印件*份（加盖公章）；②该项目的报价表*份（加盖公章）；③应未被列入失信被执行人、重大税收违法案件当事人名单，未被列入政府采购严重违法失信行为记录名单的网页查询打印件（加盖公章）；④提供**部第三研究所认证发放的《网络安全等级测评与检测评估机构服务认证证书》复印件（加盖公章）；⑤提供中国网络安全审查技术与认证中心出具的专业信息安全服务资质复印件（加盖公章）；⑥提供本项目的测评人员的组成、资质及各自职责的划分文件（加盖公章）；⑦提供参与现场项目经理的中级及以上测评资质或信息安全管理体系 ISO***** 主任审核员资质的复印件（加盖公章）。⑧提供参与本项目测评不少于 * 人的等级测评资质或网络与信息安全管理员等相关资质复印件（加盖公章）；⑨提供出现安全事件能第一时间达到用户现场的承诺书（加盖公章），以及不少于 ** 人的售后服务团队成员近半年项目所在省的社保证明；⑩提供“指定项目经理为专人负责信息安全测评过程中的安全保密管理工作，对测评活动、测评人员以及相关文档和数据进行安全保密管理，对重点设备的技术检测进行监督，对接入的检测设备进行控制”的服务承诺书（加盖公章）。 *、 密封报价文件递交截止时间：****年*月*日上午*：**整（**时间）以前，逾时或不符合规定的报价文件恕不接受。 *、开标时间及地点：****年*月*日上午**:**，****新行政楼***办公室。 公告期限 自公告发布之日起*个工作日。 凡对本次采购提出询问，请按以下方式联系： *、采购人联系方式： 联系人：杨老师 联系电话：****-******* *、项目联系方式： 联系人：向老师 联系电话：****-*******。