关于【社会福利服务管理平台-公民收养信息管理系统升级改造服务项目(第三方测评)】中选结果的公告
微信分享
关注项目
标讯收藏
项目名称 | 省份 | ||
业主单位 |
认领
立即查看
|
业主类型 | |
总投资 | 建设年限 | ||
建设地点 | |||
审批机关 | 审批事项 | ||
审批代码 | 批准文号 | ||
审批时间 | 审批结果 | ||
建设内容 |
我单位于2023年11月29日 00时00分,在北京市中介服务网上交易平台为[北京市民政局]公开选取中介服务机构,现将中选结果相关事项公告如下:
项目编号 | ZJ2023BJ1005288 |
---|---|
项目名称 | 社会福利服务管理平台-公民收养信息管理系统升级改造服务项目 (第三方测评) |
中介服务事项 | 其他 |
投资审批项目 | |
项目规模 | |
项目所在辖区(北京市区) | 朝阳区 |
项目业主 | 北京市民政局 |
业主单位联系人 | |
业主单位联系电话 | 登录即可免费查看 |
服务内容(项目内容) | 测评内容 1.2.1安全测评 安全测评是由专业的第三方安全测评机构开展本项目安全测评工作。具体从技术上的安全通信网络、安全区域边界和安全计算环境等方面进行。 (1)测评内容 针对社会福利服务管理平台-公民收养信息管理系统升级改造服务项目所开发的应用软件的安全通信网络、安全区域边界和安全计算环境等方面进行安全测评,并出具安全测评报告。 1)安全通信网络 ● 网络架构 测试网络设备的业务处理能力是否满足业务高峰期需求;测评网络各个部分的带宽是否满足业务高峰期需求;测试是否划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;是否避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间是否采取可靠的技术隔离手段;提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。 ● 通信传输 核查是否在数据传输过程中使用校验技术或密码技术来保证其完整性,验证密码技术设备或组件能否保证通信过程中数据的完整性;测试是否在通信过程中采取保密措施,具体采用哪些技术措施,在通信过程中是否对数据进行加密。 ● 可信验证 是否基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证;测试是否在应用程序的关键执行环节进行动态可信验证;测试当检测到通信设备的可信性受到破坏后是否进行报警;测试验证结果是否以审计记录的形式送至安全管理中心。 2)安全区域边界 ● 边界防护 测试跨越边界的访问和数据流是否通过边界设备提供的受控接口进行通信;测试是否能够对非授权设备私自联到内部网络的行为进行检查或限制;测试是否采用技术措施防止内部用户存在非法外联行为;测试无线网络的部署方式,是否单独组网后再连接到有线网络,是否通过受控的边界防护设备接入到内部有线网络。 ● 访问控制 测试在网络边界或区域之间是否部署访问控制设备并启用访问控制策略,设备的最后一条访问控制策略是否为禁止所有网络通信;测试是否不存在多余或无效的访问控制策略,不同的访问控制策略之间的逻辑关系及前后排列顺序是否合理;设备的访问控制策略中是否设定了源地址、目的地址、源端口、目的端口和协议等相关配置参数,验证访问控制策略中设定的相关配置参数是否有效;测试是否采用会话认证等机制为进出数据流提供明确的允许/拒绝访问的能力,是否为进出数据流提供明确的允许/拒绝访问的能力;测试是否部署访问控制设备并启用访问控制策略,验证设备访问控制策略是否能够对进出网络的数据流实现基于应用协议和应用内容的访问控制。 ● 入侵防范 测试在关键网络节点处是否具有检测、防止或限制从外部发起的网络攻击行为;测试在关键网络节点处是否具有检测、防止或限制从内部发起的网络攻击行为。 ● 剩余信息保护 测试用户鉴别信息所在的存储空间释放或再分配的情况;测试系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配的情况;测试是否采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;测试当检测到攻击行为时,是否记录攻击源 IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。 ● 恶意代码和垃圾邮件防范 测试在关键网络节点处是否对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;测试在关键网络节点处是否对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。 ● 安全审计 测试是否部署了综合安全审计系统或类似功能的系统平台,安全审计范围是否覆盖到每个用户,是否对重要的用户行为和重要安全事件进行了审计;审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;是否采取了技术措施对审计记录进行保护,是否采取技术措施对审计记录进行定期备份,并核查其备份策略;测试是否对远程访问用户及互联网访问用户行为单独进行审计分析。 ● 可信验证 测试是否基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证;是否在应用程序的关键执行环节进行动态可信验证;测试验证当检测到边界设备的可信性受到破坏后是否进行报警;测试验证结果是否以审计记录的形式送至安全管理中心。 3)安全计算环境 ● 身份鉴别 测试用户登录时身份标识和鉴别的情况;测试登录失败处理功能;测试服务器远程管理的能力;采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 ● 访问控制 测试登录的用户分配账户和权限;测试默认账户情况;测试多余、过期账户情况;测试管理用户权限情况;测试访问控制功能和安全策略水平;测试访问控制粒度情况;测试对重要主体和客体设置安全标记情况,并控制主体对有安全标记信息资源的访问。 ● 安全审计 测试安全审计功能是否开启及其覆盖范围;测试审计记录是否涵盖审计相关信息;测试审计记录保护及备份情况;测试验证通过非审计管理员的其他账户来中断审计进程,验证审计进程是否受到保护。 ● 入侵防范 测试最小安装原则;测试是否关闭不需要的系统服务、默认共享和高危端口;测试配置文件或参数是否对终端接入范围进行限制;测试数据有效性检验功能;测试漏洞扫描及修复情况;测试入侵检测及报警功能。 ● 恶意代码防范 测试是否安装了防恶意代码软件或相应功能的软件,是否定期进行升级和更新防恶意代码库;测试是否采用主动免疫可信验证技术及时识别入侵和病毒行为;当识别入侵和病毒行为时是否将其有效阻断。 ● 可信验证 测试是否基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证;测试是否在应用程序的关键执行环节进行动态可信验证;测试验证当检测到计算设备的可信性受到破坏后是否进行报警;测试验证结果是否以审计记录的形式送至安全管理中心。 ● 数据完整性 测试数据传输过程中是否采取了检验技术或密码技术;测试数据传输中被篡改是否能进行检测并及时修复;测试数据存储过程中是否采取了检验技术或密码技术;测试是否采用技术措施保证了数据存储过程中的完整性;测试数据存储中被篡改是否能进行检测并及时修复。 ● 数据保密性 测试是否采用密码技术保证数据传输过程中的保密性;测试是否采用密码技术保证数据存储过程中的保密性。 ● 数据备份恢复 测试重要数据的本地数据备份与恢复功能;测试异地实时备份功能;测试重要数据处理系统部署方式。 ● 剩余信息保护 测试用户的鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除;测试敏感数据所在的存储空间被释放或重新分配给其他用户前是否得到完全清除。 ● 个人信息保护 测试个人信息采集及保存范围;测试有关用户个人信息保护的管理制度和流程;测试针对用户个人信息访问与使用的技术措施。 (2)测评策略 参照国家标准,采用安全配置核查、渗透测试等方法,提供本项目安全测评服务。本项目安全测评服务需完成以下成果: 一、《信息系统安全测评报告》 二、《信息系统安全测评整改建议》(每个被测网络系统一份) 每一个被测网络或信息系统形成安全整改建议书和安全测评报告,其中安全整改建议书应包括安全问题清单及整改建议。安全测评报告的内容应包括测评依据、测评过程、测评内容、测评结果及测评结论。报告名称以正式合同为准。 1.2.2软件测评 由专业的第三方软件测评机构开展本项目软件测评工作。软件测评工作从功能、性能、可靠性等方面对社会福利服务管理平台-公民收养信息管理系统升级改造服务项目各模块进行全面评估,提交系统存在的缺陷,提出系统的改进建议,通过软件开发商对于提交缺陷的修改,使系统达到一个稳定可靠的质量状态,并为系统评审验收提供客观依据。 (1)测评内容 1)软件功能测试:功能测试主要从系统的业务逻辑、功能逻辑、输入输出验证等三个方面对系统的功能进行分析和设计,通过测试发现系统中存在的缺陷;通过对缺陷的分析改进系统的整体质量。验证系统的各个功能和模块是否满足业务需求并正确实现,异常输入系统是否能够正确处理,客观全面的检查系统各项功能。主要从是规范性、准确性、适合性、互操作性、依从性等方面验证系统的功能。 2)软件性能测试:根据系统的性能需求,对社会福利服务管理平台-公民收养信息管理系统升级改造服务项目进行负载、压力及疲劳强度测试,获取系统运行时服务器端的各项性能指标数据,采集测试结果,评价系统性能,分析系统可能存在的性能瓶颈,确定系统是否满足验收要求。考查核心业务系统关键业务在正常工作量、预期的峰值工作量下的效率情况,主要考虑系统容量特性、时间特性及资源利用状况等性能指标是否符合用户需求,并据此对系统的性能做出全面的评价。 3)软件可靠性测试:可靠性测试针对系统可靠性要求,确保系统持续运行中数据不丢失,保证系统在运行过程中稳定、可靠,保障系统故障恢复能力、系统出现故障或违反其制定接口的情况下,维持规定的性能级别的能力和在系统失效发生的情况下,系统重建规定的性能级别并恢复受直接影响的数据的能力。 (2)评测策略 本次测试总体策略为:通过对正确的业务逻辑,以及符合规范的输入测试系统功能与需求描述是否相匹配,进行功能验收测试; 通过对系统功能的边界,异常输入,等方式对进行系统功能可靠性的验收测试。 最终,提交缺陷报告到缺陷管理工具中,并指定提交人,填写缺陷提交时间,以提交确认后的功能测试记录即认为测试执行过程结束。 |
资金来源 | 财政性资金 |
服务金额(万元) | 2.49 |
交易方式 | 比选 |
服务时限 | 项目通过初步验收之日起启动第三方测评工作, 30天内完成测评工作并出具软件评测报告和安全测评报告。 |
中选时间 | 2023年12月05日 |
中选金额(万元) | 2.4 |
情况说明 | |
中选中介机构 | 华信正平(北京)评测技术有限公司 |
中选机构机构地址 | |
中选结果公告公示期 | 1工作日 |
监督电话 |