长沙市消防救援支队长沙市“智慧消防”一期建设项目--第三方评测服务公开招标公告
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
项目概况
长沙市“智慧消防”一期建设项目--第三方评测服务 招标项目的潜在投标人应在湖南中投项目管理有限公司(长沙市雨花区韶山中路489号万博汇名邸三期2008房)。获取招标文件,并于2022年09月22日 15点00分(北京时间)前递交投标文件。
一、项目基本情况
项目编号:HNZT-2022ZF011
项目名称:长沙市“智慧消防”一期建设项目--第三方评测服务
预算金额:164.2500000 万元(人民币)
最高限价(如有):164.2500000 万元(人民币)
采购需求:
一、项目名称:长沙市“智慧消防”一期建设项目--第三方评测服务
二、项目预算:164.25万元
三、项目概述
随着网络安全法的正式施行,等级保护制度成为中国网络安全保障的特色和基石。在《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》和《信息安全技术 网络安全等级保护安全设计技术要求》中都有相关的等级保护的要求。等级保护2.0分为定级备案、安全建设、等级测评、安全整改、监督检查的阶段。长沙消防救援支队“智慧消防”一期建设项目信息系统等级保护测评项目,参照相关安全安全标准对我单位目前运行的信息系统开展等级保护及商用密码应用安全测评,确保其高效、稳定、安全地运行。
四、投标人基本要求。
(一)★投标人需被纳入《商用密码应用安全性评估试点机构目录》,含可在本地区、本行业(领域)开展密评试点工作的机构名单。
(二)★投标人需提供近三年未收到监管单位警告/处罚/整改通告的承诺书(监管单位是指 “国家密码管理局 ”),格式自拟并加盖公章。
五、项目实施基本情况
(一)实施范围
1、长沙市消防救援支队单位详见下表:
2、工作范围包括上述系统的等保及密码测评定级、系统备案、整改方案、测评报告等工作。
六、项目实施内容
(一)协助定级备案
协助我单位完成上述信息系统在定级备案工作,协助定级报告、备案表、组织专家评审,并取得上述系统的备案证明。
(二)网络安全建设整改建议
根据国家对信息安全等级保护工作的相关法律和技术标准要求,结合本项目各系统保护等级开展实施与之相应的检查工作,具体检查内容应包括:对信息系统进行等级保护差距测评,测评内容包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理。结合各系统的安全防护现状与等级保护基本要求之间的差距,明确安全需求,出具符合相应网络安全等级保护要求的网络安全建设整改方案。
(三)网络安全等级测评工作
投标人须依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)和《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)等国家等级保护相关标准对待测系统进行等级保护测评工作,内容包括:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评;
安全管理测评:包括安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评;
工具测试:针对重要信息系统进行定期的漏洞扫描、渗透测试等安全服务工作;
整改建议:根据现场测评中发现的问题,分析与GB/T 22239-2019、ISO/IEC 27001、ISO/IEC 20000、ISO 22301等行业最佳实践之间的差距,按照网络安全等级保护标准要求提出安全整改建议;
编制测评报告:完成上述测评工作后,最后出具符合公安机关要求的各信息系统等级测评报告。
(四)商用密码应用安全性评估
依据《GM/T39876-2021 信息安全技术 信息系统密码应用基本要求》作为安全基线,对被测系统当前的安全防护能力进行客观的评价,主要针对长沙消防支队的 “智慧消防一期建设项目”,以期发现信息系统和密码应用要求的差距以及存在的安全隐患,针对被测系统所面临的威胁和脆弱性,结合被测系统资产的重要程度,对被测系统所面临的安全风险进行分析并提出相应的安全整改建议,为后续的安全整改工作提供参考依据。
评估内容包括:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个技术层面。以及安全管理制度、安全人员管理、安全建设运行管理和安全应急管理等四个管理层面进行评估。
整改建议:发现被测信息系统和密码应用要求的差距以及存在的安全隐患,结合被测系统资产的重要程度,对被测系统所面临的安全风险进行分析并提出相应的安全整改建议,为我单位后续的安全整改工作提供参考依据。
编制评估报告:完成上述评估工作后,最后出具符合湖南省国家密码局要求的《商用密码应用安全性评估报告》。
(五)软件测评
第三方测评机构依据经批准的信息化项目可研报告、初步设计方案、招投标文件等对信息系统进行功能性、非功能性、用户文档进行测评。依据政府投资信息化项目经批准的建设项目可研报告、初步设计方案、招投标文件,按照国家相关技术标准,对软件系统进行测评,验证被测系统是否满足建设目标、指标要求和使用要求,测评内容包括但不限于信息系统的功能性、非功能性、用户文档等,并出具测评报告。
(五)应急响应服务(含演练)
在发生安全事件时,快速定位问题根源,以保障长沙市消防业务的安全运行和生产。应急响应服务包括现场应急和远程应急两种方式,对长沙消防救援支队信息安全现场突发安全事件进行处置分析。应急响应服务主要分为六个阶段,分别为:准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段和总结阶段。
(六)风险评估服务
通过对业务影响最小的方式对业务系统进行远程漏扫和配置核查,分析信息资产面临的安全威胁及威胁发生的可能性,检查现有安全措施的有效性,从而识别出信息资产中存在的安全风险点,并根据用户所能接受的风险,对用户信息资产所面临的风险程度做出准确的评价,提供相关整改修复加固建议。
风险评估内容说明:
1)资产评估:长沙市消防救援支队的资产和信息系统调研,包括上文中涵盖的所有信息系统及其资产。
(2)本次信息系统风险评估包含了安全技术方面进行检测和安全管理方面的测评。通过从安全管理方面对长沙市消防救援支队的信息系统进行风险评估,发现被测单位在组织架构、人员管理、管理制度、系统建设以及系统运维等方面存在的缺失和不足并及时进行安全整改。
①网络设备和安全设备安全评估
网络设备和安全设备安全配置检查主要是以人工的方式验证其安全配置是否符合其安全策略要求,检查的内容至少包括:远程管理服务、认证方式、管理IP地址控制、console端口管理、Servicepassword密码、enable密码、帐户登录空闲时间、密码长度、更改SNMP的团体串、转存日志、日志保存要求、login banner信息、NTP服务使用、BGP认证、接入层网络设备端口控制、MAC绑定、网络端口等。
②操作系统安全评估
主要对操作系统的安全配置进行检查,检查内容至少包括:管理远程工具、访问控制、限制系统无用的默认账号登录、账号远程登录、口令策略、日志记录、日志存储、日志保存、日志系统配置文件保护、日志文件保护、服务优化、文件权限、控制用户登录会话、关键文件的安全保护等相关配置。
③数据库管理系统安全评估
主要对数据库管理系统的安全策略进行检查,检查内容应至少包括主机管理员帐号、数据库帐号、默认帐号、重要帐号设置、口令策略、帐号策略、public权限、日志审核、登录日志记录、数据库操作日志、日志审计策略、日志保存要求、日志文件保护、数据字典保护、监听程序加密、监听服务连接超时、服务监听端口等。
④中间件安全评估
对中间件的安全策略进行检测,检查内容应至少包括日志配置、脚本安全、目录权限设置、默认站点安全、Web服务扩展安全、出错页面安全、用户权限、文件安全、目录浏览、日志审计、示例文件、版本安全、身份鉴别、登录锁定、通信安全、并发数安全、运行模式、Server header安全、删除 sample程序等。
⑤应用系统安全评估
对应用系统的安全机制进行检查,检查内容应至少包括:校验码机制、口令策略、账号策略、认证失败处理、通讯加密机制、授权机制、会话管理、安全审计等。
⑥漏洞扫描
a.主机系统漏洞扫描
从被测系统内部或外部恰当选取测试点检查目标服务器存在的安全漏洞。
漏洞扫描策略如下:
通用扫描策略:包括端口扫描、弱口令扫描、后门类扫描等;
操作系统漏洞扫描:缓冲区溢出扫描、畸形数据包发送、蠕虫扫描等常见漏洞扫描;
数据库漏洞扫描:包括口令猜测、本地缓冲区溢出扫描、拒绝服务攻击扫描等。
b.应用系统漏洞扫描
从被测系统内部或外部恰当选取测试点,采用专业扫描工具检查目标系统应用层面存在的常见的安全漏洞,安全漏洞包括但不限于:SQL注入漏洞、XSS漏洞、文件上传漏洞、弱口令漏洞、中间件漏洞、目录浏览/遍历漏洞、越权访问、会话验证绕过、备份文件等。
(七)上线安全测评服务
对我单位火灾防控、智能指挥、人员管理等三大系统和内外两大门户进行上线前安全测试。内容主要包括系统安全配置检查、代码安全扫描及渗透测试服务。
1.配置检查内容:通过结合各行业安全规范和标准,通过众多安全服务实施经验的验证,依据合规性要求,进行对新上线业务系统所涉及的软硬件资产进行安全配置核查。2.代码扫描内容:通过静态、白盒软件源代码安全测试工具,从数据流、语义、结构、控制流、配置流等对新上线系统的源代码进行静态的扫描,并与安全漏洞规则集进行全面匹配查找安全漏洞,提供扫描的结果。源代码扫描报告包括详细的安全漏洞的信息,以及修复意见,并协助相关信息系统管理人员进行解决。3.渗透测试内容:对新上线系统进行模拟黑客的攻击方法对业务系统和网络进行非破坏性质的攻击性测试,获取系统控制权并将入侵的过程和细节产生报告给相关人员,并协助完成整改工作。
七、技术服务要求
(一)实施人员和服务工作要求
1、客观性和公正性原则:测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案开展。
2、保密原则:在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。
3、最小影响原则:测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明。
4、规范性原则:商用密码应用安全性评估的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
5、质量保障原则:在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项
6、系统安全原则:项目工作人员需遵守等保检测规定,采用符合标准的检测工具和检测方法实施检测,如因违规操作造成对检测系统的破坏,则应承担相应责任。
7、测评师规范原则:检测实施方工作人员必须通过国家商用密码应用安全性评估人员测评能力考核小组的测评人员能力考核,持证上岗,经项目委托方确认资格后方可实施检测。
(二)项目团队要求
投标人需根据测评业务系统的数量自行评估并配置不少于4人的测评实施团队,测评实施团队在合同约定期内派驻招标人指定地点办公;投标人在中标后需保证在实施阶段主要技术人员必须是全职。
(三)交付成果要求
投标人应严格按照项目建设内容要求提供服务,各阶段交付成果包括但不限于以下内容:
(四)服务响应要求
投标人需要具备及时响应能力,签订后根据我公司安排的日期时间进场测评,出具整改报告协助完成系统建设整改。同时如发生故障,在得到用户通知后,能及时响应并协助处理。
(五)保密责任要求
投标人在此项目中必须按相关规定签署保密协议,保证在整个项目的制作中,所有的数据、文档等均不得外泄,若在项目进行中,有数据泄露,甲方有权取消合同并追究相应的法律责任。
八、项目服务期限
本项目服务的时间为合同签订之日起90日,特殊情况以合同约定为准。
十、知识产权保护
1、成交投标人应当享有知识产权或经权利人合法授权,保证没有侵犯任何第三人的知识产权和商业秘密等权利。
2、采购人使用成交投标人提供的内容对第三人构成侵权的,应当由成交投标人承担全部法律责任,给采购人造成损害的,成交投标人应当承担赔偿责任。
3、成交投标人必须承诺对从采购活动中获得的采购人相关资料承担保密责任,未经采购人许可不得泄露给任何第三人。
十一、验收(具体验收要求以合同签订为准)
1、按照长数管发[2020]8号《长沙市政府投资信息化建设项目验收阶段实施细则(暂行)》进行验收。项目验收国家有强制性规定的,按国家规定执行,验收报告作为申请付款的凭证之一。(以验收时最新文件为依据)
2、验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为采购人原因造成的,由采购人承担检测费用;否则,由中标人承担。
3、项目验收不合格,由中标人返工直至合格,有关返工、再行验收,以及给采购人造成的损失等费用由中标人承担。连续两次项目验收不合格的,采购人可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由中标人承担。
十二、其它要求
1、付款方式及说明
1.1付款人:长沙市消防救援支队(自行支付)
1.2付款方式:合同签订后,支付总额的10%; 2023年支付总额的30%;2024年支付总额的30%;2025年支付总额的 30%。
2、履行期限及地点和方式
2.1履行期限:见采购需求第八项
2.2履行地点:长沙市消防救援支队指定地点
3、本项目为交钥匙工程,采用费用包干方式建设,供应商应根据项目要求和现场情况,详细列明项目所需的设备及材料购置,以及产品运输保险保管等二次转运费、项目安装调试、试运行测试及通过验收、培训、质保期免费保修维护费等所有人工、管理、财务等所有费用。如一旦中标,在项目实施中出现任何遗漏,均由中标人免费提供,采购人不再支付任何费用。
4、供应商在投标前,如需踏勘现场,请自行联系采购人,有关费用自理,踏勘期间发生的意外自负。
对于上述项目要求,投标人应在投标文件中进行回应,并作出承诺及说明。
合同履行期限:本项目服务的时间为合同签订之日起90日,特殊情况以合同约定为准。
本项目( 不接受 )联合体投标。
二、申请人的资格要求:
1.满足《中华人民共和国政府采购法》第二十二条规定;
2.落实政府采购政策需满足的资格要求:
按照《政府采购促进中小企业发展管理办法》(财库﹝2020﹞46 号)、《关于进一步加大政府采购支持中小企业力度的通知》(财库〔2022〕19号)的规定,本项目为专门面向中小微企业采购项目,各供应商应按政府采购促进中小企业发展相关规定及采购文件的响应文件组成中的“《中小企业声明函》”格式填写并在响应文件中提供《中小企业声明函》,否则视为无效响应。(本项目所属行业:信息传输、软件和信息技术服务业)
如供应商提供的《中小企业声明函》内容不实的,属于提供虚假材料谋取成交,依照《中华人民共和国政府采购法》等国家有关规定追究相应责任。
3.本项目的特定资格要求:无
三、获取招标文件
时间:2022年09月01日 至 2022年09月07日,每天上午9:00至12:00,下午14:30至17:30。(北京时间,法定节假日除外)
地点:湖南中投项目管理有限公司(长沙市雨花区韶山中路489号万博汇名邸三期2008房)。
方式:现场领购。投标人在购买招标文件时须出具营业执照副本复印件、法定代表人身份证明(法定代表人报名提供)或法定代表人授权委托书(授权委托人报名提供,应附法人代表和被授权人的身份证复印件)、个人身份证现场购买招标文件。
售价:¥400.0 元,本公告包含的招标文件售价总和
四、提交投标文件截止时间、开标时间和地点
提交投标文件截止时间:2022年09月22日 15点00分(北京时间)
开标时间:2022年09月22日 15点00分(北京时间)
地点:湖南中投项目管理有限公司(长沙市雨花区韶山中路489号万博汇名邸三期2008房)。
五、公告期限
自本公告发布之日起5个工作日。
六、其他补充事宜
无
七、对本次招标提出询问,请按以下方式联系。
1.采购人信息
名 称:长沙市消防救援支队
地址:长沙市开福区四方坪学堂园路156号
联系方式:登录即可免费查看 登录即可免费查看
2.采购代理机构信息
名 称:湖南中投项目管理有限公司
地 址:长沙市雨花区韶山中路489号万博汇名邸三期2008房
联系方式:登录即可免费查看登录即可免费查看、18627548861
3.项目联系方式
项目联系人:登录即可免费查看
电 话: 登录即可免费查看
长沙市“智慧消防”一期建设项目--第三方评测服务 招标项目的潜在投标人应在湖南中投项目管理有限公司(长沙市雨花区韶山中路489号万博汇名邸三期2008房)。获取招标文件,并于2022年09月22日 15点00分(北京时间)前递交投标文件。
一、项目基本情况
项目编号:HNZT-2022ZF011
项目名称:长沙市“智慧消防”一期建设项目--第三方评测服务
预算金额:164.2500000 万元(人民币)
最高限价(如有):164.2500000 万元(人民币)
采购需求:
一、项目名称:长沙市“智慧消防”一期建设项目--第三方评测服务
二、项目预算:164.25万元
三、项目概述
随着网络安全法的正式施行,等级保护制度成为中国网络安全保障的特色和基石。在《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》和《信息安全技术 网络安全等级保护安全设计技术要求》中都有相关的等级保护的要求。等级保护2.0分为定级备案、安全建设、等级测评、安全整改、监督检查的阶段。长沙消防救援支队“智慧消防”一期建设项目信息系统等级保护测评项目,参照相关安全安全标准对我单位目前运行的信息系统开展等级保护及商用密码应用安全测评,确保其高效、稳定、安全地运行。
四、投标人基本要求。
(一)★投标人需被纳入《商用密码应用安全性评估试点机构目录》,含可在本地区、本行业(领域)开展密评试点工作的机构名单。
(二)★投标人需提供近三年未收到监管单位警告/处罚/整改通告的承诺书(监管单位是指 “国家密码管理局 ”),格式自拟并加盖公章。
五、项目实施基本情况
(一)实施范围
1、长沙市消防救援支队单位详见下表:
| 服务类别 | 服务内容 | 数量 | |
| 信息系统等级保护测评 | 系统测评 (三级系统) | 系统等级保护测评(火灾防控、智能指挥、人员管理等三大系统为等保三级) | 3 |
| 信息系统等级保护测评 | 系统测评 (二级系统) | 系统等级保护测评(内外两大门户为等保二级) | 2 |
| 商用密码应用安全性评估 | 系统测评 (三级系统) | 系统密码应用安全性评估(火灾防控、智能指挥、人员管理等三大系统密码按三级测评) | 3 |
| 软件测评 | 依据经批准的信息化项目可研报告、初步设计方案、招投标文件等对信息系统进行功能性、非功能性、用户文档等测评。 | | |
| 风险评估服务 | 面向网络、主机、应用、数据库、中间件、安全管理方面开展评估设计、技术安全评估、管理安全评估、措施与建议分析等一系列工作。(火灾防控、智能指挥、人员管理等三大系统和内外两大门户共5套)。 | 5 | |
| 应急响应服务(含演练) | 在发生安全事件时及时控制安全事件对企业造成的恶劣影响,将经济损失降到最低。 减少因安全事件发生所产生的社会负面影响,保障网络生态安全。(火灾防控、智能指挥、人员管理等三大系统和内外两大门户共5套)。 | 5 | |
| 上线安全测评服务 | 系统上线前安全测试内容主要包括系统安全配置检查、代码安全扫描及渗透测试服务。(火灾防控、智能指挥、人员管理等三大系统和内外两大门户共5套,分别测试两次)。 | 10 | |
2、工作范围包括上述系统的等保及密码测评定级、系统备案、整改方案、测评报告等工作。
六、项目实施内容
(一)协助定级备案
协助我单位完成上述信息系统在定级备案工作,协助定级报告、备案表、组织专家评审,并取得上述系统的备案证明。
(二)网络安全建设整改建议
根据国家对信息安全等级保护工作的相关法律和技术标准要求,结合本项目各系统保护等级开展实施与之相应的检查工作,具体检查内容应包括:对信息系统进行等级保护差距测评,测评内容包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理。结合各系统的安全防护现状与等级保护基本要求之间的差距,明确安全需求,出具符合相应网络安全等级保护要求的网络安全建设整改方案。
(三)网络安全等级测评工作
投标人须依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)和《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)等国家等级保护相关标准对待测系统进行等级保护测评工作,内容包括:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评;
安全管理测评:包括安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评;
工具测试:针对重要信息系统进行定期的漏洞扫描、渗透测试等安全服务工作;
整改建议:根据现场测评中发现的问题,分析与GB/T 22239-2019、ISO/IEC 27001、ISO/IEC 20000、ISO 22301等行业最佳实践之间的差距,按照网络安全等级保护标准要求提出安全整改建议;
编制测评报告:完成上述测评工作后,最后出具符合公安机关要求的各信息系统等级测评报告。
(四)商用密码应用安全性评估
依据《GM/T39876-2021 信息安全技术 信息系统密码应用基本要求》作为安全基线,对被测系统当前的安全防护能力进行客观的评价,主要针对长沙消防支队的 “智慧消防一期建设项目”,以期发现信息系统和密码应用要求的差距以及存在的安全隐患,针对被测系统所面临的威胁和脆弱性,结合被测系统资产的重要程度,对被测系统所面临的安全风险进行分析并提出相应的安全整改建议,为后续的安全整改工作提供参考依据。
评估内容包括:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个技术层面。以及安全管理制度、安全人员管理、安全建设运行管理和安全应急管理等四个管理层面进行评估。
整改建议:发现被测信息系统和密码应用要求的差距以及存在的安全隐患,结合被测系统资产的重要程度,对被测系统所面临的安全风险进行分析并提出相应的安全整改建议,为我单位后续的安全整改工作提供参考依据。
编制评估报告:完成上述评估工作后,最后出具符合湖南省国家密码局要求的《商用密码应用安全性评估报告》。
(五)软件测评
第三方测评机构依据经批准的信息化项目可研报告、初步设计方案、招投标文件等对信息系统进行功能性、非功能性、用户文档进行测评。依据政府投资信息化项目经批准的建设项目可研报告、初步设计方案、招投标文件,按照国家相关技术标准,对软件系统进行测评,验证被测系统是否满足建设目标、指标要求和使用要求,测评内容包括但不限于信息系统的功能性、非功能性、用户文档等,并出具测评报告。
(五)应急响应服务(含演练)
在发生安全事件时,快速定位问题根源,以保障长沙市消防业务的安全运行和生产。应急响应服务包括现场应急和远程应急两种方式,对长沙消防救援支队信息安全现场突发安全事件进行处置分析。应急响应服务主要分为六个阶段,分别为:准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段和总结阶段。
(六)风险评估服务
通过对业务影响最小的方式对业务系统进行远程漏扫和配置核查,分析信息资产面临的安全威胁及威胁发生的可能性,检查现有安全措施的有效性,从而识别出信息资产中存在的安全风险点,并根据用户所能接受的风险,对用户信息资产所面临的风险程度做出准确的评价,提供相关整改修复加固建议。
风险评估内容说明:
1)资产评估:长沙市消防救援支队的资产和信息系统调研,包括上文中涵盖的所有信息系统及其资产。
(2)本次信息系统风险评估包含了安全技术方面进行检测和安全管理方面的测评。通过从安全管理方面对长沙市消防救援支队的信息系统进行风险评估,发现被测单位在组织架构、人员管理、管理制度、系统建设以及系统运维等方面存在的缺失和不足并及时进行安全整改。
①网络设备和安全设备安全评估
网络设备和安全设备安全配置检查主要是以人工的方式验证其安全配置是否符合其安全策略要求,检查的内容至少包括:远程管理服务、认证方式、管理IP地址控制、console端口管理、Servicepassword密码、enable密码、帐户登录空闲时间、密码长度、更改SNMP的团体串、转存日志、日志保存要求、login banner信息、NTP服务使用、BGP认证、接入层网络设备端口控制、MAC绑定、网络端口等。
②操作系统安全评估
主要对操作系统的安全配置进行检查,检查内容至少包括:管理远程工具、访问控制、限制系统无用的默认账号登录、账号远程登录、口令策略、日志记录、日志存储、日志保存、日志系统配置文件保护、日志文件保护、服务优化、文件权限、控制用户登录会话、关键文件的安全保护等相关配置。
③数据库管理系统安全评估
主要对数据库管理系统的安全策略进行检查,检查内容应至少包括主机管理员帐号、数据库帐号、默认帐号、重要帐号设置、口令策略、帐号策略、public权限、日志审核、登录日志记录、数据库操作日志、日志审计策略、日志保存要求、日志文件保护、数据字典保护、监听程序加密、监听服务连接超时、服务监听端口等。
④中间件安全评估
对中间件的安全策略进行检测,检查内容应至少包括日志配置、脚本安全、目录权限设置、默认站点安全、Web服务扩展安全、出错页面安全、用户权限、文件安全、目录浏览、日志审计、示例文件、版本安全、身份鉴别、登录锁定、通信安全、并发数安全、运行模式、Server header安全、删除 sample程序等。
⑤应用系统安全评估
对应用系统的安全机制进行检查,检查内容应至少包括:校验码机制、口令策略、账号策略、认证失败处理、通讯加密机制、授权机制、会话管理、安全审计等。
⑥漏洞扫描
a.主机系统漏洞扫描
从被测系统内部或外部恰当选取测试点检查目标服务器存在的安全漏洞。
漏洞扫描策略如下:
通用扫描策略:包括端口扫描、弱口令扫描、后门类扫描等;
操作系统漏洞扫描:缓冲区溢出扫描、畸形数据包发送、蠕虫扫描等常见漏洞扫描;
数据库漏洞扫描:包括口令猜测、本地缓冲区溢出扫描、拒绝服务攻击扫描等。
b.应用系统漏洞扫描
从被测系统内部或外部恰当选取测试点,采用专业扫描工具检查目标系统应用层面存在的常见的安全漏洞,安全漏洞包括但不限于:SQL注入漏洞、XSS漏洞、文件上传漏洞、弱口令漏洞、中间件漏洞、目录浏览/遍历漏洞、越权访问、会话验证绕过、备份文件等。
(七)上线安全测评服务
对我单位火灾防控、智能指挥、人员管理等三大系统和内外两大门户进行上线前安全测试。内容主要包括系统安全配置检查、代码安全扫描及渗透测试服务。
1.配置检查内容:通过结合各行业安全规范和标准,通过众多安全服务实施经验的验证,依据合规性要求,进行对新上线业务系统所涉及的软硬件资产进行安全配置核查。2.代码扫描内容:通过静态、白盒软件源代码安全测试工具,从数据流、语义、结构、控制流、配置流等对新上线系统的源代码进行静态的扫描,并与安全漏洞规则集进行全面匹配查找安全漏洞,提供扫描的结果。源代码扫描报告包括详细的安全漏洞的信息,以及修复意见,并协助相关信息系统管理人员进行解决。3.渗透测试内容:对新上线系统进行模拟黑客的攻击方法对业务系统和网络进行非破坏性质的攻击性测试,获取系统控制权并将入侵的过程和细节产生报告给相关人员,并协助完成整改工作。
七、技术服务要求
(一)实施人员和服务工作要求
1、客观性和公正性原则:测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案开展。
2、保密原则:在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。
3、最小影响原则:测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明。
4、规范性原则:商用密码应用安全性评估的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
5、质量保障原则:在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项
6、系统安全原则:项目工作人员需遵守等保检测规定,采用符合标准的检测工具和检测方法实施检测,如因违规操作造成对检测系统的破坏,则应承担相应责任。
7、测评师规范原则:检测实施方工作人员必须通过国家商用密码应用安全性评估人员测评能力考核小组的测评人员能力考核,持证上岗,经项目委托方确认资格后方可实施检测。
(二)项目团队要求
投标人需根据测评业务系统的数量自行评估并配置不少于4人的测评实施团队,测评实施团队在合同约定期内派驻招标人指定地点办公;投标人在中标后需保证在实施阶段主要技术人员必须是全职。
(三)交付成果要求
投标人应严格按照项目建设内容要求提供服务,各阶段交付成果包括但不限于以下内容:
| 项目阶段 | 项目成果 |
| 定级备案阶段 | 合同约定覆盖的各信息系统《定级报告》 合同约定覆盖的各信息系统定级报告的《专家评审意见表》 合同约定覆盖的各信息系统《备案表》 |
| 现状调研阶段 | 合同约定覆盖的各信息系统《网络安全等级保护测评调研表》 |
| 方案编制阶段 | 合同约定覆盖的各信息系统《测评方案》 |
| 现场测评阶段 | 现场测评文档:如启动会议PPT、测评结果记录、整改建议等 |
| 报告编制阶段 | 合同约定覆盖的各系统《网络安全等级保护测评报告》、《商用密码应用安全测评报告》、《系统软件测评报告》。 |
| 项目完成阶段 | 合同约定覆盖的各系统《等保备案证明》 |
(四)服务响应要求
投标人需要具备及时响应能力,签订后根据我公司安排的日期时间进场测评,出具整改报告协助完成系统建设整改。同时如发生故障,在得到用户通知后,能及时响应并协助处理。
(五)保密责任要求
投标人在此项目中必须按相关规定签署保密协议,保证在整个项目的制作中,所有的数据、文档等均不得外泄,若在项目进行中,有数据泄露,甲方有权取消合同并追究相应的法律责任。
八、项目服务期限
本项目服务的时间为合同签订之日起90日,特殊情况以合同约定为准。
十、知识产权保护
1、成交投标人应当享有知识产权或经权利人合法授权,保证没有侵犯任何第三人的知识产权和商业秘密等权利。
2、采购人使用成交投标人提供的内容对第三人构成侵权的,应当由成交投标人承担全部法律责任,给采购人造成损害的,成交投标人应当承担赔偿责任。
3、成交投标人必须承诺对从采购活动中获得的采购人相关资料承担保密责任,未经采购人许可不得泄露给任何第三人。
十一、验收(具体验收要求以合同签订为准)
1、按照长数管发[2020]8号《长沙市政府投资信息化建设项目验收阶段实施细则(暂行)》进行验收。项目验收国家有强制性规定的,按国家规定执行,验收报告作为申请付款的凭证之一。(以验收时最新文件为依据)
2、验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为采购人原因造成的,由采购人承担检测费用;否则,由中标人承担。
3、项目验收不合格,由中标人返工直至合格,有关返工、再行验收,以及给采购人造成的损失等费用由中标人承担。连续两次项目验收不合格的,采购人可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由中标人承担。
十二、其它要求
1、付款方式及说明
1.1付款人:长沙市消防救援支队(自行支付)
1.2付款方式:合同签订后,支付总额的10%; 2023年支付总额的30%;2024年支付总额的30%;2025年支付总额的 30%。
2、履行期限及地点和方式
2.1履行期限:见采购需求第八项
2.2履行地点:长沙市消防救援支队指定地点
3、本项目为交钥匙工程,采用费用包干方式建设,供应商应根据项目要求和现场情况,详细列明项目所需的设备及材料购置,以及产品运输保险保管等二次转运费、项目安装调试、试运行测试及通过验收、培训、质保期免费保修维护费等所有人工、管理、财务等所有费用。如一旦中标,在项目实施中出现任何遗漏,均由中标人免费提供,采购人不再支付任何费用。
4、供应商在投标前,如需踏勘现场,请自行联系采购人,有关费用自理,踏勘期间发生的意外自负。
对于上述项目要求,投标人应在投标文件中进行回应,并作出承诺及说明。
合同履行期限:本项目服务的时间为合同签订之日起90日,特殊情况以合同约定为准。
本项目( 不接受 )联合体投标。
二、申请人的资格要求:
1.满足《中华人民共和国政府采购法》第二十二条规定;
2.落实政府采购政策需满足的资格要求:
按照《政府采购促进中小企业发展管理办法》(财库﹝2020﹞46 号)、《关于进一步加大政府采购支持中小企业力度的通知》(财库〔2022〕19号)的规定,本项目为专门面向中小微企业采购项目,各供应商应按政府采购促进中小企业发展相关规定及采购文件的响应文件组成中的“《中小企业声明函》”格式填写并在响应文件中提供《中小企业声明函》,否则视为无效响应。(本项目所属行业:信息传输、软件和信息技术服务业)
如供应商提供的《中小企业声明函》内容不实的,属于提供虚假材料谋取成交,依照《中华人民共和国政府采购法》等国家有关规定追究相应责任。
3.本项目的特定资格要求:无
三、获取招标文件
时间:2022年09月01日 至 2022年09月07日,每天上午9:00至12:00,下午14:30至17:30。(北京时间,法定节假日除外)
地点:湖南中投项目管理有限公司(长沙市雨花区韶山中路489号万博汇名邸三期2008房)。
方式:现场领购。投标人在购买招标文件时须出具营业执照副本复印件、法定代表人身份证明(法定代表人报名提供)或法定代表人授权委托书(授权委托人报名提供,应附法人代表和被授权人的身份证复印件)、个人身份证现场购买招标文件。
售价:¥400.0 元,本公告包含的招标文件售价总和
四、提交投标文件截止时间、开标时间和地点
提交投标文件截止时间:2022年09月22日 15点00分(北京时间)
开标时间:2022年09月22日 15点00分(北京时间)
地点:湖南中投项目管理有限公司(长沙市雨花区韶山中路489号万博汇名邸三期2008房)。
五、公告期限
自本公告发布之日起5个工作日。
六、其他补充事宜
无
七、对本次招标提出询问,请按以下方式联系。
1.采购人信息
名 称:长沙市消防救援支队
地址:长沙市开福区四方坪学堂园路156号
联系方式:登录即可免费查看 登录即可免费查看
2.采购代理机构信息
名 称:湖南中投项目管理有限公司
地 址:长沙市雨花区韶山中路489号万博汇名邸三期2008房
联系方式:登录即可免费查看登录即可免费查看、18627548861
3.项目联系方式
项目联系人:登录即可免费查看
电 话: 登录即可免费查看
微信扫码关注
