广东省新闻出版高级技工学校《智慧校园综合学生管理系统》网络安全等级保护测评服务采购项目(以下简称“采购人”)进行竞争性谈判采购,接受合格的国内供应商提交密封报价。有关事项如下:
一、采购项目编号:粤新出2020001A
二、采购项目名称:《智慧校园综合学生管理系统》网络安全等级保护测评服务采购项目
三、采购项目预算金额(元):¥52500.00元
四、项目内容及需求:(采购项目技术规格、参数及要求)
1. 采购项目的详细内容及技术参数附后。
2. 报价人不允许仅对其中部分内容进行报价。
五、供应商资格
1.报价人必须符合《政府采购法》第二十二条规定;
2.本项目不接受联合体报价。
3.获取询价文件方式:(供应商凭以下盖单位公章的复印件获取询价文件)
3.1 经年检合格的营业执照副本或事业单位法人证书复印件;
3.2法定代表人证明书或法定代表人授权委托书;
3.3法定代表人或供应商授权代表身份证复印件;
3.4获取询价文件地点:广东省新闻出版高级技工学校总务部
六、报名时间及报价文件递交截止时间、谈判时间、地点:
1.报名时间及报价文件递交截止时间:2020年5月15日10:00前。

2.谈判时间:2020年5月15日10:00
3.报价文件递交地点:广州市天河区长福路176号。
4.报价文件的密封要求:供应商应提交密封报价文件(报价文件、营业执照复印件盖章,装在密封信封内,密封缝盖章并在信封上注明项目名称。)。
七、本次项目的所有相关公告会在广东省新闻出版高级技工学校网站(www.gdps.net)上公布,并视为有效送达,不再另行通知。有关此次招标事宜,也可按下列地址以书面或电话形式查询:
八、采购人联系人:曾老师、黄老师
联系人电话:87058812、13650999193或 13501548668;传真:020-87058812
九、联系地址:广州市长福路176号


            广东省新闻出版高级技工学校
二0二0年五 月十一日

附件内容如下:

 

 

 

 

 

 

广东省新闻出版高级技工学校

网络安全等级保护测评服务采购项目

 

 

2020年4月



第一章 项目内容及要求

 

一、项目名称:网络安全等级保护测评服务采购项目

二、项目基本内容:

1、服务内容:《智慧校园学生综合管理系统》网络安全等级保护测评服务。(详见后面的“用户需求书”)

2、项目预算:人民币 元整(¥ 52500.00元)

三、提供服务单位的资格要求:

1、投标人应具备《中华人民共和国政府采购法》第二十二条规定的条件;

2、投标人必须是在中华人民共和国境内注册的法人或其他组织,能独立承担民事责任,具有从事本项目的经营范围和能力;

3、投标人必须具备国家网络安全等级保护工作协调小组颁发的“网络安全等级保护测评机构推荐证书”,并在有效期内;

4、本服务项目不接受联合体投标。

 

 


 

第二章  用户需求书

一、项目概况

为了贯彻落实《中华人民共和国网络安全法》,响应国家对网络安全的要求,我单位于2020年启动信息安全等级保护工作,对学校新建设的《智慧校园学生综合管理系统》进行等级(二级)保护测评工作。

二、服务内容

被测评单位名称

测评系统名称

对应等级

测评服务预算

服务期限

广东省新闻出版高级技工学校

智慧校园学生综合管理系统

二级

¥52500.00

详见后面描述

交付结果要求(包括但不限于)

1、协助本单位完成的定级备案材料;

2、系统问题清单建议;

3、渗透测试报告;

4、通过等级保护测评的报告。

备注:费用服务包括(包含但不限于):不少于1次现场等级保护初次测评服务、不少于1次现场等级保护验收测试服务、协助系统定级备案服务及聘请至少3人专家组评审服务。

 

(1) 协助定级备案服务

根据《信息安全技术信息系统安全等级保护定级指南》等标准,由中标方负责本单位进行定级备案工作(采购人配合提交相关资料),确定已备案系统等级,优化系统测评点要求指标,修订需调整系统的等级,优化系统测评点要求指标,提交等级定级报告、备案表和自检表送公安部门备案,直至取得信息系统定级备案证明。

(2)信息安全等级保护差距安全评估服务

 针对本单位定级系统的物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复5个技术层面;安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理5个管理层面进行现场测评和差距分析,记录相关的测评结果,输出现场测评记录结果。

依照《等级保护现场测评记录》中所记录的针对本单位定级系统的技术和管理测评结果,结合系统整体差距测评结果,按照公安部标准测评报告模板撰写测评记录,完成提交《系统问题清单列表》。

(3)信息安全等级保护测评服务

 在信息系统进行完成差距测评后,甲方整改实施完成,乙方对信息系统的安全技术和安全管理上各个层面的安全控制进行整体性验证,针对本单位定级系统进行全面的信息安全等级保护测评。

等级保护测评包括,安全技术及安全管理测评两个方面。根据现场访谈、配置核查的基础上通过先进的安全测试工具进行安全漏洞、应用系统代码漏洞的扫描及人工核查,在现场测评的结果和本单位定级系统测评在数据汇总分析的基础上,分析系统存在的问题,给出系统等级测评结论,编制《等级保护测评报告》提交公安部门备案,协助用户完成等级保护测评工作,进行评审,评审通过后完成备案,直至获取备案证书。

三、服务要求

(1)本项目在实施过程投标人需提供能够满足《信息系统等级保护安全设计技术要求》(GB/T25070-2010)、《信息安全等级保护实施指南》(GB/T 25058-2010)、《信息系统安全等级保护测评准则》(GB/T 28448-2012)等规范中相关测评技术要求的专业安全服务工具,且服务工具由中标人免费提供,中标人应保证所使用的所有工具和软件不具有所有权和知识产权纠纷,并保证工具和软件可用性和可靠性。由此产生的一切责任由投标方负完全责任。

(2)测评工具软件运行可能需要的硬件平台(如计算机、打印机等)均由投标方自行准备,采购方有权按照相关的要求对设备进行必要的处理。投标方在测评期间未经采购方许可,不得将设备带离采购方指定的场所,也不得使用任何未经采购方确认的存储设备对测评数据进行复制。

(3)投标人须在投标文件中列出专业安全服务工具清单,并说明设备的最终归属权。

相关工具指标要求详见下表:

安全评估系统(安全脆弱性扫描)技术参数在等级保护测评过程中,采用询问、检查、测试、工具扫描等多种手段组合的方式。工具扫描应至少包括使用安全评估系统(即安全脆弱性扫描)工具对重要服务器、网络设备、部分客户端(5%-10%)进行漏洞扫描。

安全漏洞扫描工具指标要求:

指标

规格要求

系统漏扫要求

▲1.漏洞扫描方法应不少于40000种。(提供截图证明并加盖厂商公章)

2.集成系统漏洞扫描、Web应用扫描、基线核查于一体化系统。

3.支持扫描IPv6环境中的设备、系统。

▲4.支持云平台扫描,漏洞覆盖OpenStack 、KVM、Vmware、Xen等主流的云计算平台。(提供截图证明并加盖厂商公章)

▲5.支持对Apple软件和应用进行扫描,包括MAC OS,Safari,itunes;网站开源6.架构类扫描:支持phpmyadmin、WordPress 等的扫描;支持python的多个模块的漏洞扫描。(分别提供截图证明并加盖厂商公章)

7.支持多种协议口令猜测,包括Telnet、Pop3、SSH、Ftp、RDP、SQL Server、DB2、MySQL、Oracle等;允许外挂用户提供的字典档。

▲8.支持扫描任务预计所需剩余时间显示。(提供截图证明并加盖厂商公章)

▲9.支持对主流数据库的识别与扫描,包括:Oracle、Sybase、SQL Server、DB2、MySQL等,能够扫描的数据库漏洞扫描方法不小于2500种。(提供截图证明加盖厂商公章)

10.支持对意外中断(网络中断、设备断电)的扫描任务恢复后继续进行扫描。

11.支持扫描任务优先级设置。

管理策略

1.支持至少17种以上默认扫描策略。

2.支持灵活的扫描策略自定义功能,提供策略编辑向导和详细漏洞信息,支持以系统类型、漏洞类型、危险级别、CVE等不同视图显示漏洞,支持策略的导入、导出、修改以及合并。

▲3.支持云计算平台扫描策略。(提供截图证明并加盖厂商公章)

资产管理

1.支持对部门和资产的添加、删除、编辑等操作,以及对资产的属性自定义功能。

2.支持以txt、csv、dat等格式进行资产列表的导入。

3.支持利用历史扫描过程中所发现的在线主机信息,来添加资产。

▲4.支持每个资产历史扫描的风险趋势图显示,缺省显示最后24次扫描结果的趋势显示。(提供截图证明并加盖厂商公章)

报表功能

1.报告中的漏洞应具备统一的CVSS国际标准评分,以准确衡量漏洞的危险级别,为漏洞修补工作的优先级提供指导。

▲2.支持给每个任务报表添加自定义安全结论。(提供截图证明并加盖厂商公章)

3.HTML离线报表能够通过点击主机IP链接,自动跳转至该主机的详细报告。

4.支持任务扫描完成后,自动将扫描结果上传至ftp服务器。

产品维护

1.应保证至少每周一次的漏洞库更新,并保证紧急的、重要的漏洞做到随时更新。

2.支持自动给syslog服务器实时发送系统操作日志。

▲3.支持实时提醒当前的系统消息,包括报表下载消息、升级内容消息、日志下载消息等。(提供截图证明并加盖厂商公章)

4.支持控制台功能,可以通过控制台对系统进行操作和设置,例如重启和关闭系统、修改系统和网络配置、查看漏扫引擎状态并提供网络诊断工具。

扫描能力

▲1.支持检测SQL注入漏洞、命令注入漏洞、CRLF注入漏洞、LDAP注入漏洞、XSS跨站脚本漏洞、路径遍历漏洞、信息泄漏漏洞、URL跳转漏洞、文件包含漏洞、应2.用程序漏洞、文件上传漏洞等。(提供截图证明并加盖厂商公章)

3.支持对扫描对象的挂马和暗链进行检测。

4.支持对扫描对象的敏感词进行检测。

▲5.支持漏洞验证功能,在扫描结束后,能够对结果中的重要漏洞进行现场验证,展示漏洞利用过程和风险。(提供截图证明并加盖厂商公章)

6.支持灵活的扫描任务制定功能,可设定检测开始时间、检测入口地址、网站COOKIE、检测周期、任务模式、User_Agent设置、发包限速设置、最大检测页面数、漏洞类型设置等。

7.支持TELNET、SSH、SMB、RDP、WinRM协议的安全基线配置检查方式。

8.支持对主流网络设备的安全配置核查,包括:cisco交换机、华为交换机、H3C交换机、力腾交换机 、锐捷交换机、cisco路由器、华为路由器、H3C路由器、juniper路由器。

9.支持对主流中间件的安全配置核查,包括:Apache、Bind、Domino、IIS、Jboss、Nginx、Resin、Tomcat、TongWeb、Weblogic、Websphere。

10.支持Wlan设备安全配置核查,包括:邦讯、H3C、中兴、国人、思科、傲天、华为、大唐。

▲11.在建立核查任务时支持从“资产库获取、IP段添加、Excel导入”方式添加核查设备。(提供截图证明并加盖厂商公章)

▲12.提供任务的复制功能,在不影响原有任务的情况下,对复制的任务进行修改和裁剪。(提供截图证明并加盖厂商公章)

网站监控

1.支持Ping、HTTP、GET请求等网站安全监控功能。

2.支持用户自定义分布式节点监控服务器的云监控模式。

3.支持当前网页和快照的文本和图片对比,不同的文本区域应使用不同颜色标出。

▲4.支持配置多个DNS服务器,对各DNS服务器的解析结果进行对比。(提供截图证明并加盖厂商公章)

核查方式

▲1.对于管理较好的不可达网络或者物理隔离网络,提供分布式采集器,可实现批量核查,批量上报,并根据实际情况实现在线及离线两种方式。(提供截图证明并加盖厂商公章)

2.支持离线核查。

3.持代理检查的方式,代理检查结果自动上传到检查服务器,并支持代理设备中的中间件及数据库核查。

▲4.支持对数据库和中间件设备安装路径自动探测功能。(提供截图证明并加盖厂商公章)

5.对扫描失败的设备和检查项有非常准确的失败信息反馈。

资产管理

▲1.对测试不通过的资产提供可参考的信息。(提供截图证明并加盖厂商公章)

2.可通过选中资产立即下发核查任务。

3.可通过选中资产查看该资产的核查历史,并能够选中两个任务进行对比分析,展示两次核查的对比信息,包括核查时间及核查结果。

账号获取与安全

▲支持密码文件读取方式来核查设备账号信息:系统提供密码文件模版下载功能,在建立核查任务时提供导入功能,系统读取设备信息后保存在内存中,在任务执行完毕后销毁,做到一次性使用。(提供截图证明并加盖厂商公章)

产品资质

1.产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》,要求为增强型。(提供证书复印件并加盖厂商公章)

2.产品具有中国信息安全测评中心颁发的《信息技术产品安全测评证书》,级别EAL3+。(提供证书复印件并加盖厂商公章)

▲3.产品品牌必须在最近三年连续在IDC该类产品排名中为前三。(提供IDC报告复印件并加盖厂商公章)

 

四、管理要求

(一)服务质量目标要求

1、中标人应通过自身在等保测评工作中积累的经验,结合自身的技术优势,充分考虑到信息系统实际情况,提供一份具体细致的、操作性强的等级保护实施计划,协助完成信息系统等级保护的相关工作。

2、中标人应依据《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信 息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》、《信息系统安全等级保护实 施指南》和《信息安全风险评估规范》等有关要求,按照严格程序对信息系统的安全防护能力进 行科学公正的综合测评活动,完成对信息系统的等级保护落实情况与等级保护相关标准要求之间 的符合程度的测试判定。

3、中标人应整理测评数据,对测评结果进行综合分析,形成测评报告。

4、中标人应通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现信息系 统安全等级。做到不同安全等级的信息系统应具有不同的安全保护能力,并使信息系统安全等级保护达到公安部门信息系统安全等级保护工作的各项要求。

(二)服务团队要求

1.所有参与测评人员应具备信息系统等级保护测评工作经验,精通等级保护测评技术,能分析测评过程中存在的风险。

 2.具有对信息系统所面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力。

3.具有能根据用户信息系统安全防护问题的分析,向用户建议有效的安全保护策略及建立完善的安全管理制度的能力。

4.具有对发生的突发性安全事件进行分析和解决的能力。

5.应了解、掌握并能应用等级保护测评国家和行业标准。

6.需根据等级保护测评工作中发现的安全隐患,提供详细的安全加固建议报告。

7.严格遵守信息安全保密制度,做好数据在存储、传输过程中的保密措施,不得泄露项目的一切信息。

8.应具有信息安全等级保护测评师初级或以上证书。

(三)保密

 1.针对本次项目安全服务文档的知识产权归属采购人所有,投标人原有产品既有知识产权不因本项目发生转移,涉及到第三方提出侵权或知识产权的起诉及支付版税等费用由投标人承担所有责任及费用。

2.采购人为投标人提供的所有业务、技术资料,投标人有责任对第三方保密。如投标人未经采购人书面同意,擅自将涉及采购人商业和技术秘密的资料透漏给第三方,采购人将保留追究投标人法律责任的权利。

 

五、服务期限

等级保护测评服务期限:签订合同之日起 1个月内完成协助定级备案和差距评估等工作,并提交所有文档(包括但不限于《问题清单及建议》);待采购方完成整改工作后,中标人在1个月内完成等级保护测评工作,并提交所有文档(包括但不限于《等级保护测评报告》、取得由公安机关出具的等级保护测评确认文档)。