整理珠海市技师学院网络安全等级保护测评采购项目需求.docx
- 文档编号:18263878
- 上传时间:2023-08-14
- 格式:DOCX
- 页数:37
- 大小:466.41KB
整理珠海市技师学院网络安全等级保护测评采购项目需求.docx
《整理珠海市技师学院网络安全等级保护测评采购项目需求.docx》由会员分享,可在线阅读,更多相关《整理珠海市技师学院网络安全等级保护测评采购项目需求.docx(37页珍藏版)》请在冰点文库上搜索。
整理珠海市技师学院网络安全等级保护测评采购项目需求
(完整)珠海市技师学院网络安全等级保护测评采购项目需求
编辑整理:
尊敬的读者朋友们:
这里是精品文档编辑中心,本文档内容是由我和我的同事精心编辑整理后发布的,发布之前我们对文中内容进行仔细校对,但是难免会有疏漏的地方,但是任然希望((完整)珠海市技师学院网络安全等级保护测评采购项目需求)的内容能够给您的工作和学习带来便利。
同时也真诚的希望收到您的建议和反馈,这将是我们进步的源泉,前进的动力。
本文可编辑可修改,如果觉得对您有帮助请收藏以便随时查阅,最后祝您生活愉快业绩进步,以下为(完整)珠海市技师学院网络安全等级保护测评采购项目需求的全部内容。
珠海市技师学院网络安全等级保护测评采购项目需求
一、项目背景
珠海市技师学院(珠海市高级技工学校)为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神,依据《网络安全等级保护基本要求》,落实安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等技术安全保障措施;落实安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理的管理工作。
保护珠海市技师学院的重要网络系统的安全,特开展对珠海市技师学院系统的网络安全测评工作。
通过测评充分了解珠海市技师学院系统的网络安全现状、安全风险和需求,为珠海市技师学院的网络安全建设工作打下坚实基础.
二、项目目的
依据等级保护政策、标准、指南等文件要求,对保护对象进行备案和定级,对不同的保护对象从物理环境防护、通信网络防护、区域边计算环境防护等各方面进行不同级别的的安全防护设计。
同时统一的安全管理中心保障了安全管理措施和防护的有效协同及一体化管理,保障了安全技术措施有效运行和落地。
以等级保护安全框架为依据和参考,在满足国家法律法规和标准体系的前提下通过“一中心、三防护"的安全设计,形成网络安全综合技术防护体系。
保障学校核心信息系统安全防护标准达到《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)二级要求.
三、信息系统
本次测评的实施对象为:
序号
系统名称
系统级别
备案证明编号
1
学校官方网站
按照《信息安全技术网络安全等级保护基本要求》GB/T22239-2019二级标准进行测评
440400-99136—0001
2
学校统一门户系统
按照《信息安全技术网络安全等级保护基本要求》GB/T22239-2019二级标准进行测评
440400-99136—0002
3
学校中心机房骨干网络系统
按照《信息安全技术网络安全等级保护基本要求》GB/T22239—2019二级标准进行测评
440400-99136—0003
四、信息系统等级保护测评服务采购项目预算:
阶段
服务内容描述
定级与备案
前期资料收集、系统及应用调研
协助校方开展系统定级与备案工作
差距评估
根据信息系统安全等级保护基本要求,结合客户系统情况,进行差距评估分析
开展机房实地勘察与人员访谈
开展web扫描,评估应用系统存在的安全漏洞
开展主机漏洞扫描,评估主机、应用、中间件等方面的漏洞
开展主机配置核查,评估系统配置层面风险
整改阶段
编制问题清单与整改建议供校方整改
验收测评
编制系统验收测评报告
测评机构验收
预算金额(元)
共计三个系统:
人民币壹拾伍万元整(¥150000。
00)
五、投标人的资格要求re
1、投标人应具备《中华人民共和国政府采购法》第二十二条规定的条件;
2、投标人必须是在中华人民共和国境内注册的具有法人资格的机构,具有从事本项目测评的经营范围和能力,提供相关证明;
3、投标人代表若不是法定代表人的,必须在投标文件中提供法定代表人授权书原件;
4、本项目不接受联合体投标;
5、为了保证服务质量,投标人需在广东或在广东范围内有办事处,需具备第三方等保测评机构针对本项目出具的授权函。
六、项目建设依据
在等级保护测评整改建设项目的设计和建设过程中,必须遵循和贯彻信息技术的国际、国内标准,制定一系列满足信息网络和应用系统正常运行的管理规程。
投标人必须依据如下标准实施测评服务:
(1)《关于信息安全等级保护工作的实施意见》(公通字[2004]
(2)《信息安全等级保护管理办法》(公通字[2007]43号);
(3)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)
(4)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号).
(5)《中华人民共和国网络安全法》
(6)《教育部办公厅关于开展信息系统安全等级保护工作的通知》教办厅函[2009]80号
(7)《教育部办公厅关于开展信息系统安全等级保护工作的通知》教办厅函[2009]80号
(8)《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》教技[2015]2号
(9)《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号)
(10)《计算机信息系统安全等级保护划分准则》GB17859-1999;
(11)《数据中心设计规范》GB50174-2017
(12)《信息安全技术网络安全等级保护安全管理中心技术要求》GB/T36958—2018
(13)《信息安全技术网络安全等级保护测评过程指南》GB/T28449—2018
(14)《信息安全技术网络安全等级保护基本要求》GB/T22239-2019;
七、项目建设原则
网络安全等级保护建设按照《信息安全技术网络安全等级保技术要求》及相关标准和规定进行方案设计,因此本方案设计遵循:
(1)紧密结合实际原则
现状及需求分析过程需要紧密结合医院各信息系统的实际情况,防止与实际情况脱节。
(2)参考并符合政策法规原则
在现状及需求分析阶段充分参考国内信息安全建设法律法规以及国际标准和最佳实践,保证需求分析结论的符合性,以满足后期的总体设计内容的合规性;
(3)统一规划、分步实施原则
等级保护建设过程按照项目管理思想和项目的实际需要,实行统一规划、分步实施;
(4)分层防护、综合防范的原则
任何安全措施都不是绝对安全的,都可能被攻破。
为预防攻破一层或一类保护的攻击行为而破坏整个系统,需要合理规划和综合采用多种有效措施,进行多层和多重保护;
(5)需求、风险、代价平衡的原则
对任何类型网络,绝对安全难以达到,也不一定是必须的,需正确处理需求、风险与代价的关系,分等级保护、适度防护,做到安全性与可用性相容,做到技术上可实现,经济上可执行;
(6)动态发展和可扩展原则
随着网络攻防技术的不断发展,安全需求也会不断变化,再加上环境、条件、时间的限制,要求安全防护一步到位,一劳永逸地解决网络安全问题是不现实的。
因此,在考虑网络安全等级保护建设时,应首先在现有技术条件下满足当前的安全需要,并在此基础上有良好的可扩展性,以满足今后新的应用和网络安全技术的所产生的安全需求。
八、等级保护测评流程
网络安全等级保护是国家网络安全保障的一项基本制度,是国家委托公安部通过制定统一的网络安全等级保护管理规范和技术标准,组织公民、法人和其他组织对网络系统分等级实行安全保护,并对等级保护工作的实施进行监督、管理.网络安全等级保护测评是指按照国家网络安全等级保护标准规范,对网络系统安全等级保护状况进行测试评估。
8。
1、等级保护工作流程:
8.2、等级保护标准依据:
《信息安全等级保护管理办法》
《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008)
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2019)
《信息系统安全等级保护测评要求》
《信息系统安全等级保护实施指南》
《信息系统安全等级保护测评过程指南》
《计算机信息系统安全保护等级划分准则》(GB17859—1999)
《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)
《信息安全技术网络基础安全技术要求》(GB/T20270-2006)
《信息安全技术操作系统安全技术要求》(GB/T20272-2006)
《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)
《信息安全技术服务器技术要求》(GB/T21028—2007)
《信息安全技术终端计算机系统安全等级技术要求》(GA/T671—2006)
《信息安全技术网络安全等级保护安全管理中心技术要求》GB/T36958-2018
九、等级保护测评工作内容
网络安全等级保护测评包括两方面内容:
安全控制测评,主要测评网络安全等级保护要求的基本安全控制在信息系统中的实施配置情况。
系统整体测评,主要测评分析信息系统的整体安全性。
其中,安全控制测评是信息系统整体安全测评的基础。
对安全控制测评使用测评单元方式组织.
测评单元分为安全技术测评和安全管理测评两大类,具体见下图:
十、等级保护测评
工具测试:
利用漏洞扫描等技术工具,从网络的不同接入点对网络内的主机、服务器、数据库、网络设备、安全设备等进行脆弱性检查和分析
配置检查:
通过登陆系统控制台的方式,人工核查和分析主机、服务器、数据库、网络设备、安全设备、应用系统的安全配置情况
人员访谈:
通过交流、讨论的方式,对技术和管理方面进行脆弱性检查和分析
文档审查:
通过文档审核与分析,检查制度、策略、操作规程、制度执行情况记录的完整性和内部一致性
实地查看:
通过现场查看人员行为、技术设施和物理环境状况,检查人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况
10。
1、等级保护测评对象:
10.2、等级保护测评流程:
十一、等级保护测评内容
根据《GB/T22239—2019信息安全技术信息系统安全等级保护基本要求》等标准,及各个信息系统的安全保护等级,通过人员访谈、工具检测、实地察看、配置检查、文档审查等方法从物理安全、网络安全、主机安全、应用安全、数据安全及备份与恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面,判断信息系统现有的安全保护水平与国家信息安全等级保护管理规范和技术标准之间的差距,提出各信息系统的基本安全保护需求、合理的安全加固建议、等级保护差距分析报告和等级保护验收测评报告。
(一)等级保护测评主要工作包括:
(1)确定各系统范围和分析对象
在明确不同等级信息系统的范围和边界的情况下,通过调查或查阅资料的方式,了解信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。
确定了每个等级信息系统的分析对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。
(2)形成评价指标和评估方案
根据各个信息系统的安全保护等级,对应《信息系统安全等级保护基本要求》中选择相应等级的指标,形成评价指标。
(3)现状与评价指标对比
通过各种方式进行安全技术和安全管理方面的评估,判断安全技术和安全管理的各个方面与评价指标的符合程度,给出判断结论。
整理和分析不符合的评价指标,确定信息系统安全保护的基本需求.
(4)特殊安全需求
通过对各信息系统重要服务器和网络设备等重要资产特殊保护要求的分析,确定超出相应等级保护基本要求的部分或具有特殊安全保护要求的部分,协助业主方采用相应的方法,确定可能的安全风险,提出信息系统的特殊安全保护需求。
(二)等级保护测评内容
(1)协助定级备案
根据《GB/T22240—2008信息安全技术信息系统安全等级保护定级指南》等标准,及各个信息系统保护等级需求,对珠海市技师学院单位未定级的信息系统进行定级备案。
编写信息系统定级备案表和信息系统定级报告,并协助向公安机关提交定级备案材料,取得信息系统定级备案证明。
(2)网络安全等级保护定级备案流程:
(3)差距评估
根据《GB/T22239—2019信息安全技术信息系统安全等级保护基本要求》等标准,及信息系统的安全保护等级,通过人员访谈、文档审查、实地察看、配置检查、工具检测等方法从物理安全、网络安全、主机安全、应用安全、数据安全及备份与恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面,判断信息系统现有的安全保护水平与国家信息安全等级保护管理规范和技术标准之间的差距,形成信息系统安全等级保护差距分析报告。
网络安全等级保护主要测评指标数量:
(4)整改建议
经过网络安全等级保护差距评估,在全面地分析和了解目前我院在信息安全建设方面现状基础上,协助我院信息安全管理人员,特别是我院的领导层,更为全面的理解目前业务所面临的风险尤其是高风险,为规划和实施风险应对措施打下基础。
根据信息安全的现状和需求,为我院信息安全建设提供改进建议,协助我院信息安全管理人员进行信息系统安全加固整改建设工作,选择合适的风险处理措施予以实施,将风险控制在可接受的水平上,以提升我院整体信息安全管理和技术水平。
最终达到符合国家规定的信息系统安全等级保护对应安全等级的管理和技术要求.
(5)验收测评
根据《GB/T22239-2019信息安全技术信息系统安全等级保护基本要求》等标准组织开展珠海市技师学院网络安全等级保护验收测评,衡量珠海市技师学院网络安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。
依据各个信息系统的安全保护等级,通过人员访谈、文档审查、配置检查、工具检测等方法从物理安全、网络安全、主机安全、应用安全、数据安全及备份与恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面,判断信息系统现有的安全保护水平与国家信息安全等级保护管理规范和技术标准要求项之间的符合情况。
对网络安全进行整体、全面、公正的评估,对不符合项进行风险分析和风险应对,按照《信息系统安全等级测评报告模版》编写信息系统安全等级保护验收测评报告。
(6)协助验收报告备案
在完成验收测评工作,按照《信息系统安全等级测评报告》编写网络安全等级保护验收测评报告之后,将经珠海市技师学院、乙方双方确认无误的网络安全等级保护验收测评报告打印成册,装订盖章一式三份。
由乙方将装订盖章好的网络安全等级保护验收测评报告提交公安机关,最终完成珠海市技师学院网络安全等级保护验收测评报告向公安机关备案工作程序。
(7)交付物
★A.等级保护测评报告:
项目名称
珠海市技师学院信息系统安全等级保护验收测评报告(每一系统一份)
简要描述
分析测评结果,判断信息系统是否达到了对应安全等级保护级别的要求
达成目标
列出每项测评指标和分析过程、分析结果,获得符合性分析结论
主要内容
技术测评指标检测和分析、管理测评指标检查和分析
实现方式
汇总分析、报告编写
工作结果
等级保护测评报告
参加人员
乙方项目组
★B.安全整改建议报告:
项目名称
珠海市技师学院信息系统安全等级保护整改方案(每一系统一份)
简要描述
根据等级保护测评结果,结合业务与应用实际情况,提出安全整改建议
达成目标
列出未达标项,结合实际提出安全整改建议
主要内容
技术安全整改建议、管理安全整改建议
实现方式
汇总分析、报告编写
工作结果
安全整改建议
参加人员
乙方项目组
★c.定级备案专家确认报告(每一系统一份)
十二、测评工具要求
在等级保护测评过程中,应采用询问、检查、测试、工具扫描等多种手段组合的方式。
工具扫描至少包括使用:
等级保护基线核查工具对服务器操作系统、数据库、中间件、网络设备及网络安全设备等的安全基线配置进行核查;安全评估系统(即安全脆弱性扫描)工具对重要服务器、网络设备、部分客户端(5%-10%)进行漏洞扫描。
投标单位提供项目实施所需扫描工具,若非原生产厂家,需要出具测评所使用工具原生产厂家正版使用以及无偿技术服务支持承诺书。
若引起任何知识产权或者相关法律纠纷,由中标供应商承担责任并补偿因此对采购人造成对损失。
所提供用于扫描的工具应至少包含或高于以下工具指标要求。
(1)安全评估系统(安全脆弱性扫描)工具主要指标要求:
技术指标
指标要求
产品要求
采用安全的Linux操作系统
产品规格
2U标准式机架设备、不少于2个千兆电口、不小于1TB硬盘、双电源;
产品性能
最大并发扫描任务数15,可扫描总数量不少于XXX个无限制范围IP地址
扫描对象
Web漏洞扫描、数据库漏洞扫描、主机软件漏洞扫描、基线配置核查
部署方式
支持旁路部署,无需改变原有的网络架构
分布式部署
功能要求
产品要求界面友好,并有详尽的技术支持文档,所有图形界面要求中文.
系统为B/S架构,并采用SSL加密通信方式,用户可以通过浏览器远程方便对产品访问操作,支持多用户同时登陆操作.
提供分布式部署,上级管理设备能够方便查看下级设备状态。
提供三权分立的账户体系,支持上下级部门管理,非上下级的不同部门任务、资产隔离.
提供审计功能,能够对登陆日志、操作日常进行记录和查询,并可以将日志导入导出操作。
▲提供日志自动审计功能,根据指定的审计标准自动、定时审计;并将审计结果发送到指定邮箱当中。
提供产品功能截图并加盖原厂公章
▲厂商漏洞策略库大于35000条;提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与国际CVE、国内CNNVD漏洞库标准兼容。
提供产品功能截图并加盖原厂公章
系统内置不同的策略模板如针对Linux、Windows操作系统等模板,同时允许用户定制扫描策略;用户可定义扫描范围、定义扫描端口、扫描使用的参数集等具体扫描选项。
支持Windows系列操作系统,支持Linux主流操作系统(Centos、Redhat、Debian、Fedora、Ubuntu、Suse等),支持Unix主流操作系统(AIX、HPUX、Solaris等);
支持对Web、FTP、电子邮件等应用系统、Apache等web中间件服务器以及Office等常用软件进行漏洞扫描;
可以自定义扫描端口范围、端口扫描策略
▲提供采用SMB、SSH、SNMP、TELNET等协议对Windows、Linux系统进行登录授权扫描.提供产品功能截图并加盖原厂公章
▲具备弱口令扫描功能,提供多种弱口令扫描协议,包括SMB、RDP、SSH、TELNET、FTP、SMTP、IMAP、POP3、MySQL、MSSQL、REDIS、RTSP等协议进行弱口令扫描,允许用户自定义用户、密码字典。
提供产品功能截图并加盖原厂公章
支持发现非默认端口启动的服务,支持服务的协议识别、版本
▲可根据端口识别出的软件版本提供可能存在的相关漏洞列表,提供产品功能截图并加盖原厂公章
支持HTML、WORD、PDF、XLS报告格式
配置核查模块
产品提供系统安全配置核查功能,能够对主流操作系统、中间件的安全配置项目进行检查。
Web扫描模块
产品提供Web应用漏洞扫描功能,支持对Discuz、大汉CMS、PHPCMS、DEDECMS、ECSHOP、WordPress、eWebEditor、FCKeditor、Struts2等国内外常见第三方组件扫描
能够检测GET、POST、User-Agent、Cookie等多种方式提交的HTTP请求参数,并进行相应检测.
能够通过Cookie的方式支持对带验证码的应用系统进行扫描;
存在误报漏洞可通过产品在扫描结果处一键反馈给厂商协助修改;
▲支持识别国内外主流Web应用防火墙品牌,提供产品功能截图并加盖原厂公章
▲支持识别被扫描目标对象的网站响应状态,能根据不同的响应状态直观呈现不同颜色标识,提供产品功能截图并加盖原厂公章
管理人员可根据系统给出的漏洞参数、HTTP请求/响应数据,快速验证,一键验证漏洞
数据库模块
▲支持Oracle、Mysql、SQLServer、DB2、informix、达梦、人大金仓的授权数据库漏洞扫描,提供产品功能截图并加盖原厂公章
★产品资质(需提供相关证明材料并加盖原厂公章)
产品具备公安部颁发的《计算机信息系统安全专用产品销售许可证》(增强级)。
产品具备国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》。
产品具备中国信息安全测评中心颁发的《国家信息安全漏洞库兼容性资质证书》.
产品具备IPv6ReadyLogo认证证书
产品具备网络关键设备和安全专用产品安全认证中国国家信息安全产品认证证书
为保证能够提供准确可靠的Web应用漏洞扫描和恶意代码发现,要求提供网站漏洞扫描方法的专利证明不少于4种,要求提供专利截图。
为保证能够提供准确可靠的数据库漏洞发现,要求提供数据库漏洞扫描方法的专利证明不少于4种。
★厂商资质(需提供相关证明材料并加盖原厂公章)
产品厂家应为《信息安全技术Web应用安全扫描产品安全技术要求》标准起草单位之一,提供相关证明材料
产品厂家应为《信息安全技术数据库扫描产品安全技术要求》标准起草单位之一,提供相关证明材料
厂商获得中国信息安全测评中心颁发的《国家信息安全测评信息安全服务资质证书》(安全工程类三级)
厂商获得中规(北京)认证有限公司颁发的《知识产权管理体系认证证书》(知识产权管理体系符合标准:
GB/T29490-2013)
厂商获得ISO9001质量管理体系认证证书,证书体系覆盖人数不少于600人,覆盖人数需提供认监委官方网站cx。
查询结果
厂商获得CMMI5认证证书
等级保护基线核查工具指标要求:
指标项
指标要求
资
质
▲原厂商具有中国信息安全认证中心颁发的信息安全风险评估服务资质(一级)
▲原厂商具有中国信息安全认证中心颁发的信息安全应急处理服务资质(一级);
▲原厂商具有中国信息安全测评中心颁发的信息安全服务资质(安全开发类一级)
▲原厂商具有中国信息安全测评中心颁发的信息安全服务资质(安全工程类三级)
▲原厂商为中国国家信息安全漏洞库(CNNVD)一级技术支撑单位;
原厂商具有信息安全等级保护安全建设服务机构能力评估合格证书;
原厂商应具有CMMI5及以上等级资质证书;
▲产品具有国家信息安全漏洞库兼容性资质证书
安全团队实力
厂商应提交相关材料证明近年来所发现的应用程序、CMS、中间件、数据库系统等原创安全漏洞,以及漏洞产品原厂商官方的漏洞确认证明。
任务管理
▲支持手动创建重要信息系统检查、行业主管部门检查、备案单位检查、网站检查、自定义检查任务
支持等保1.0和等保2。
0检查指标,提供产品功能截图并加盖原厂公章
支持检查任务并行检查及并行检查结果合并
支持任务的打开、另存为、修改、删除、关闭
支持与等保监察平台数据的上报和下发
检查任务
检查范围:
支持行业主管部门、备案单位、重要信息系统、网站四类检查对象的检查范围。
支持基本情况、定级备案等检查范围。
检查内容:
支持系统定级情况、岗位设置情况、安全审计情况等检查内容。
检查要点:
支持检查对象检查内容具体检查指标项进行检查。
检查结果录入类型:
单项判定:
支持判定未检、不适用、0分、1分、2分、3分、4分、5分
检查结果录入:
支持录入检查结果记录
针对每个检查要点应提供相应的检查方法,检查结果判定依据等相关检查知识,以便引导进行现场检查。
▲支持对检查过程中具体检查对象(例如:
主机、网络设备等)进行调整功能,要求可以选择已有的检查对象或录入新的检查对象,提供产品功能截图并加盖原厂
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 整理 珠海市 技师 学院 网络安全 等级 保护 测评 采购 项目 需求