招标文件
采购需求
一、采购项目交付期
合同签订后,以各信息系统的实际开发进度为准,评估和整改、复测工作在系统竣工验收之后2个月内完成,信息安全风险评估周期一年,安全服务周期两年。合同期满后,经甲方考核合格,双方无异议,本项目安全服务可以进行续签。
二、采购项目交付地址
常州
三、付款方式与说明
1、合同签订生效后10个工作日内支付合同总价40%的预付款;
2、合同签订一年后10个工作日内支付合同总价40%的款额;
3、项目服务期满后10个工作日内支付合同价款的剩余款项。
一、项目目标
准确识别信息安全各种风险和威胁,规避或减少信息安全事件造成的不良影响和损失,有效防范和遏制重特大信息安全事件发生。
1、根据信息安全风险级别,运用科学方法和手段,系统地分析网络和信息系统所面临的威胁及其脆弱性,评估安全事件一旦发生可能造成的危害程度,提出针对性的信息安全解决方案和加固建议,为网络、软硬件系统的安全与稳定运行提供有力的保障。
2、通过专业的安全服务和管理,及时协助信息安全管理人员发现和处理服务范围内的信息安全事件,提供有针对性的安全咨询及安全规划方案,保障网络和信息安全。
二、项目内容
(一)信息安全风险评估
1、评估范围
本项目服务范围涵盖常州市住房和城乡建设局的基础硬件设备设施、网络环境和信息系统,对组织架构、策略体系、人员安全、物理安全、网络及安全设备、服务器及应用系统(含数据库、中间件)进行信息安全风险评估和安全服务。具体包括:109台服务器和存储设备,77台网络和安全设备(包括防火墙、VPN、路由器、交换机等),28个信息系统,2套虚拟化支撑平台,以及在评估周期内,由于国家政策或主管部门要求等外部因素造成需要临时增加的评估内容。
|
序号 |
分类 |
名称 |
数量 |
|
1 |
服务器及存储(109) |
HP DL380 Gen9 |
8 |
|
2 |
DELL R910 |
5 |
|
|
3 |
DELL R710 |
24 |
|
|
4 |
DELL PS6100E |
1 |
|
|
5 |
DELL PS6100XV |
1 |
|
|
6 |
EMC Avamar M2400 |
1 |
|
|
7 |
HP DL388 Gen9 |
2 |
|
|
8 |
DELL R220 |
1 |
|
|
9 |
服务器及存储(109) |
DELL R720 |
20 |
|
10 |
DELL R900 |
1 |
|
|
11 |
DELL 2950 |
2 |
|
|
12 |
DELL R610 |
5 |
|
|
13 |
DELL R710 |
2 |
|
|
14 |
IBM X3550 M2 |
1 |
|
|
15 |
IBM X3550 |
3 |
|
|
16 |
IBM X3650 M4 |
3 |
|
|
17 |
IBM X3650 |
1 |
|
|
18 |
DELL R820 |
4 |
|
|
19 |
DELL 710 |
1 |
|
|
20 |
DELL R620 |
1 |
|
|
21 |
万全 R520 |
3 |
|
|
22 |
DELL R730 |
9 |
|
|
23 |
DELL R740 |
1 |
|
|
24 |
HP DL380G9 |
1 |
|
|
25 |
NF5280M4 |
5 |
|
|
26 |
880G3 |
1 |
|
|
27 |
AS5300G2 |
1 |
|
|
28 |
E6010 |
1 |
|
|
29 |
网络及安全(77) |
交换机 |
47 |
|
30 |
防火墙 |
12 |
|
|
31 |
安全设备 |
4 |
|
|
32 |
路由器 |
2 |
|
|
33 |
IPS |
1 |
|
|
34 |
网闸 |
3 |
|
|
35 |
防毒墙 |
1 |
|
|
36 |
VPN |
2 |
|
|
37 |
UTM |
1 |
|
|
38 |
审计 |
1 |
|
|
39 |
堡垒机 |
1 |
|
|
40 |
WEB防护 |
1 |
|
|
41 |
安全隔离与信息交换系统 |
1 |
|
|
42 |
信息系统(28) |
常州市城乡建设局综合信息平台 |
1 |
|
43 |
常州市市政公用地理信息系统 |
1 |
|
|
44 |
基于GIS应用的城建档案管理系统 |
1 |
|
|
45 |
常州市建筑市场监管与诚信一体化平台 |
1 |
|
|
46 |
常州市城市运维平台 |
1 |
|
|
47 |
建筑工程师专业理论知识和技术水平测试系统 |
1 |
|
|
48 |
行政事业财务管理平台 |
1 |
|
|
49 |
常州市建设工程施工图数字化联合审查系统 |
1 |
|
|
50 |
信息系统(28) |
常州市城建服务中心综合业务平台 |
1 |
|
51 |
常州市房屋征收管理系统 |
1 |
|
|
52 |
常州市预拌混凝土质量动态监管信息系统 |
1 |
|
|
53 |
常州市建筑项目从业人员实名制考勤系统升级项目 |
1 |
|
|
54 |
房地产市场调控管理系统 |
1 |
|
|
55 |
数字房产综合业务系统 |
1 |
|
|
56 |
常州市新建商品房交易管理系统 |
1 |
|
|
57 |
常州市存量房交易网上管理系统 |
1 |
|
|
58 |
常州市住房保障综合管理系统 |
1 |
|
|
59 |
常州市物业管理平台 |
1 |
|
|
60 |
常州市非住宅租赁管理信息系统 |
1 |
|
|
61 |
常州市白蚁防治管理信息系统 |
1 |
|
|
62 |
常州市房改业务管理系统 |
1 |
|
|
63 |
存量房资金监管系统 |
1 |
|
|
64 |
新建商品房资金监管系统 |
1 |
|
|
65 |
常州市房产信息中心OA系统 |
1 |
|
|
66 |
常州市数字房产信息协查系统 |
1 |
|
|
67 |
房屋租赁登记备案——常州市 |
1 |
|
|
68 |
人防工程维护管理系统APP |
1 |
|
|
69 |
常州市人防质检网 |
1 |
|
|
70 |
基础平台(2) |
虚拟化支撑平台 |
2 |
2、评估内容
从物理安全、网络安全、主机安全、应用安全、数据安全、虚拟化支撑平台安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理十一个层次分别加以建设、加固。
2.1 物理安全
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防尘、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。
2.2 网络安全
网络安全主要关注的方面包括:网络结构、网络边界以及网络设备自身安全等,具体的评估点包括:访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。
2.3 主机安全
主机系统安全涉及的评估点包括:身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制。
2.4 应用安全
应用系统安全的评估点包括:身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制、代码安全。
2.5 数据安全
明确需要保护的数据,评估点包括:数据的保密性、完整性、备份和恢复措施的有效性。
2.6 虚拟化支撑平台安全
针对虚拟化支撑平台,提出安全防护对策咨询服务,协助常州市住房和城乡建设局对虚拟化支撑平台进行安全体系建设,制定安全方案,保证虚拟化支撑平台的安全运行。
2.7 安全管理制度
安全管理制度主要包括:管理制度、制定和发布、评审和修订。
2.8 安全管理机构
安全管理机构主要包括:岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查。
2.9 人员安全管理
对人员安全的管理,主要涉及两方面:对内部人员的安全管理和对外部人员的安全管理。具体包括:人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理。
2.10 系统建设管理
系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括:系统定级、安全方案设计、产品采购和使用、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择。
2.11 系统运维管理
系统运维管理方面需对环境管理、资产管理、介质管理、设备管理、监控管理、系统安全管理、网络安全管理、恶意代码防护管理、密码管理、变更管理、备份和恢复管理、安全事件处置、应急预案管理。
3、评估过程
3.1 资产边界分析
(1)分析待评估资产范围;
(2)划分内部资产子系统;
(3)对各子系统进行边界确认;
(4)确定最终资产子系统边界;
3.2 资产识别
(1)根据资产表格进行资产审计;
(2)分组对本地、非本地区域资产进行有效录入登记;
(3)每类资产明细需要审计资产详细配置与当前状态;
3.3 威胁识别
(1)从物理准入控制、机房温湿度控制、机房防尘、机房电源、接地、机房屏蔽、以及防雷、防火、防盗等多个方面进行物理威胁识别;
(2)从网络拓扑、地址分配、VLAN划分、路由协议、准入控制、访问控制等多个方面进行网络威胁识别;
(3)从系统来源、系统补丁、账号安全、密码安全、审计安全、服务安全、恶意代码防护等多方面进行系统威胁识别;
(4)从应用服务平台、数据库安全、中间件安全、代码安全、数据安全、账号安全、密码安全、审计安全等多个方面进行应用威胁识别;
(5)从组织架构、人员安全、管理规定、合规性、应用连续性要求等多个方面进行管理威胁识别。
3.4 脆弱性识别
(1)从物理准入控制、机房温湿度控制、机房防尘、机房电源、接地、机房屏蔽、以及防雷、防火、防盗等多个方面进行物理脆弱性识别;
(2)从系统来源、系统补丁、账号安全、密码安全、审计安全、服务安全、恶意代码防护、日常运维等多方面进行系统脆弱性识别;
(3)从网络拓扑、地址分配、VLAN划分、路由协议、准入控制、访问控制、日常运维等多个方面进行网络脆弱性识别;
(4)从应用服务平台、数据库安全、中间件安全、代码安全、账号安全、密码安全、审计安全、日常运维等多个方面进行应用脆弱性;
(5)从数据备份及恢复、应急响应、灾备与冗余等多方面进行数据脆弱性识别;
3.5 已有安全措施登记
(1)识别已有操作系统安全策略;
(2)识别已有应用系统安全策略;
(3)识别已有网络系统安全策略;
(4)识别已有安防系统安全策略;
(5)识别已有机房系统安全策略;
3.6 风险分析
(1)根据收集的用户数据进行分析,评估要素关系映射;
(2)根据评估要素关系进行风险值计算
(3)形成风险评估报告;
(4)针对风险评估报告的解决方案;
3.7 应用系统渗透性测试
在常州市住房和城乡建设局相关部门的授权下,对常州市住房和城乡建设局相关的应用系统进行渗透测试,并提供相关渗透测试报告。
应用系统渗透性测试,通过手工测试的方法去验证漏洞是否真实存在和该漏洞对系统构成的威胁有多大,来最终确定其风险等级,除此之外需要通过手工测试的方法,发现扫描器无法扫描的逻辑性更强的漏洞。更全面的找出对系统构成威胁的漏洞,将威胁降到最低。系统有重大升级和改造时,及时提供安全评估服务。
3.8 系统加固服务
依据评估结果,和常州市住房和城乡建设局共同制定系统加固实施方案,依据方案协助实施加固。
3.10 整体项目风险评估报告
进行全面的风险评估与过程跟踪,出具各阶段的项目风险评估报告与项目加固过程跟踪报告。问题整改后进行全面复测,形成整体项目最终的风险评估报告。
4、评估成果
须在项目实施的各个阶段及时提交测评成果,包括(但不限于)风险评估方案、风险评估程序、资产识别清单、重要资产清单、威胁列表、脆弱性列表、已有安全措施确认表、风险处理计划、风险评估记录等。风险评估项目实施各阶段提交的成果文档主要包括(但不限于)以下内容:
《常州市住房和城乡建设局信息系统信息安全风险评估报告》
《常州市住房和城乡建设局信息系统信息安全弱点评估报告》
《常州市住房和城乡建设局信息系统信息安全复测报告》
《常州市住房和城乡建设局信息安全整体解决方案》
(二)信息安全服务
1、应急响应服务
服务周期:合同签订之日起两年
服务内容(包括但不限于):
(1)提供对意外事故的处理;
(2)提供对非法入侵的处理和调查恢复;
(3)提供对网络攻击的应急防护;
(4)协助制定网络安全应急方案(包括防病毒、入侵检测、数据备份、防火墙以及核心交换机),并协助进行至少一次应急演练,并提交相关报告。
服务要求:
(1)为常州市住房和城乡建设局信息安全突发事件提供7×24小时技术支持;
(2)为常州市住房和城乡建设局的信息安全咨询提供5×24小时专人电话服务;
(3)对于突发的网络安全事故,中标方技术人员需在1小时内到达现场。。
2、安全检测服务
服务周期:合同签订之日起两年,每季度巡检并出具安全报告。
服务范围:
(1)对网络安全进行全面的评估检测,分析和检测网络拓扑及结构设计的安全性、网络边界连接的安全性等,制定网络拓扑优化、安全域规划与配置、IP规划、VLAN优化等策略,并根据实际情况配合调整与实施等;
(2)每季度重点抽查50台服务器的安全日志进行分析检测和安全配置检查,对被抽查服务器进行漏洞扫描,根据漏洞扫描、渗透测试结果对系统策略进行优化设计。
3、安全通报服务
服务周期:两年
服务内容:
(1)通过特定方式向常州市住房和城乡建设局提供安全通告列表,实时提供最新出现的安全漏洞和安全升级通告。对于影响力范围广、破坏大的计算机病毒提供具体的检测和修复办法。
(2)web网站监测预警服务。为常州市住房和城乡建设局相关web网站提供监测预警服务。对于紧急安全事件,需即时预警,以帮助管理人员对web网站安全事件做出实时响应。
三、实施原则
1、客观性和公正性原则
测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。
2、可重复性和可再现性原则
依照同样的要求,使用同样的测评方式,对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于,前者与不同测评者测评结果的一致性有关,后者与同一测评者测评结果的一致性有关。
3、连续性原则
确保在高速变化的信息安全环境中,在有效的服务期间内,保证招标方风险评估结论的准确性和及时性,对于招标方单位新增设的信息资产和服务,或新建立的信息化项目,进行局部系统的重新评估。从经济上,降低了招标方单位的成本,从信息安全性上,保证信息安全评估的动态稳定性。
4、扩展性原则
在风险评估过程结束后,倡导信息安全评估过程要保持扩展性,从扩展的属性上进一步加强评估结束后被评估用户单位的安全管理有效性和可用性。
5、保密原则
在风险评估过程中,需严格遵循保密原则,招标方与投标方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害用户利益。
6、互动原则
在整个风险评估过程中,强调用户的互动参与,每个阶段都能够及时根据用户的要求和实际情况对评估的内容、方式做出相关调整,进而更好的进行风险评估工作。
7、最小影响原则
风险评估工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明。
8、规范性原则
信息安全风险评估服务的实施必须由专业的评估服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
9、质量保障原则
在整个风险评估过程中,将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。
四、技术要求
按照《江苏省信息化条例》、《江苏省信息安全风险评估管理办法(试行)》、《信息安全技术 政府部门信息安全管理基本要求》(GBT 29245-2012)、《信息安全技术 信息安全风险评估规范》(GB20984-2007-T)、《信息安全技术 信息安全风险评估实施指南》(GB/T 31509-2015)、常州市住房和城乡建设局网络安全管理相关要求,对常州市住房和城乡建设局计算机相关硬件和信息系统进行安全评估,明确存在的问题和不足,主要包括:
1、差距分析
通过、调查问卷、人员访谈、文档查看、现场勘查、人工检查、记录分析、技术测试、渗透测试等方式进行安全技术和安全管理方面的评估,判断安全技术和安全管理的各个方面与等级保护相应等级基本要求之间的差距,给出差距分析结果,提出信息系统的安全保护需求。
2、风险评估l
对信息系统重要资产进行风险评估,分析并确定不能接受的安全风险,然后确定额外安全措施并判断对超出基本要求部分实施额外安全措施的必要性,提出信息系统的额外安全保护需求。
3、管理体系规划设计
针对信息系统的安全需求,规划设计管理体系,包括组织体系和制度体系。
4、技术体系规划设计
针对信息系统的安全需求和信息安全方针策略,规划设计技术体系,包括技术防护体系、技术管控体系和技术恢复体系。
5、实施运作
(1) 依据管理体系规划设计和技术体系规划设计的成果,设计分期分批的主要建设内容,并将建设内容组合成不同的项目,阐明项目之间的依赖或促进关系等。
(2)在时间和经费上对安全建设项目进行总体考虑,分到不同时期和阶段,设计建设顺序,进行投资估算,形成安全建设项目计划。
五、实施要求
1、合同生效后,立即参与服务范围内软、硬件项目的实施过程,开展信息安全风险评估、加固工作和信息安全服务;
2、项目服务内容、过程和成果必须符合国家信息安全法律、法规、规章、规范性文件、标准的相关规定和要求;
3、中标单位须提供工程师驻场实施风险评估,确保项目服务质量。
六、评估周期
合同签订后,以各信息系统的实际开发进度为准,评估和整改、复测工作在系统竣工验收之后2个月内完成,信息安全风险评估周期一年,安全服务周期两年。合同期满后,经甲方考核合格,双方无异议,本项目安全服务可以进行续签。
七、验收要求
1、本项目验收合格的条件必须至少满足以下各项要求:
(1)完成风险评估范围内所有内容的检测和评估工作;
(2)配合完成检测出问题的整改和加固工作;
(3)整改后,完成风险评估范围内及安全服务期限内所有内容的复测工作;
(4)各阶段提供的测评成果需符合国家信息安全的相关规定。
2、验收成果资料包括(但不限于)以下内容:
(1)初次风险评估报告和整改后复测的风险评估报告;
(2)问题整改方案和实施计划;
(3)过程跟踪的记录和成果。
收藏