采购清单及相关技术、商务要求

第一节 服务内容及要求

一、服务内容：

当涂县自然资源和规划局不动产登记及国土资源“一张图”信息系统网络安全等级保护测评。

二、服务范围：

序号	货物服务名称	技术要求	数量	单位
1	信息安全等级保护测评	针对现有业务系统进行整体的安全服务，包括如下内容： 1.漏洞扫描服务：系统和网络进行安全扫描，从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁； 2.风险评估服务：通过模拟黑客可能使用的攻击方式和漏洞挖掘行为，对信息系统安全进行深入的评估，发现目前网络和业务系统的脆弱性、可能造成的影响； 3.安全加固服务：根据漏洞检测、风险评估、基线核查等安全评估的结果，结合不同的网络设备、安全产品、操作系统和应用系统的安全特性，对加固对象进行修补加固； 4.安全巡检服务：中标供应商在项目质保期间根据需要每年须为采购人提供不少于1次的安全应急服务； 5.新业务上线检测服务：运维期间针对采购人新上线的业务系统进行合规性检查，使其满足等级保护的防护要求； 6.安全培训服务：为了提高采购人的安全防护意识，中标供应商在验收前须为采购人提供不少于2次的安全培训服务； 7.制度完善服务：中标供应商需结合实际情况，为采购人提供满足等级保护测评要求的相关安全管理制度； 注：安全服务以通过等级保护测评为验收依据。	1	年

三、服务要求

1.项目简介

1.1项目背景

当涂县自然资源和规划局现有不动产统一登记信息平台和国土资源管理“一张图”及综合监管平台等相关信息系统，依据国家信息系统定级要求，经过专家评审，不动产统一登记信息平台系统定为等级保护三级信息系统、国土资源管理“一张图”及综合监管平台系统定为等级保护二级信息系统。随着系统逐年升级以及业务模块的不断增加，系统情况显得更加复杂，随之也带来了更大的安全风险和隐患。鉴于此，上述信息系统将依据国家信息安全等级保护政策法规、相关标准，从业务系统的重要程度和应用特点入手，由具有等级保护测评资质的第三方测评机构全面、准确的确定信息系统的基本安全需求和特殊安全需求，从而准确定位系统面临的安全风险，为信息系统“量身定制”设计出适用的安全建设整改咨询方案，以保证系统满足相应等级的安全要求。

1.2项目概述

为深入贯彻落实习近平总书记关于网络安全工作的重要指示精神和《网络安全法》规定，根据网信办、公安部、上级主管部门关于网络安全的指示要求，我单位将委托第三方有测评资质的测评机构，对单位的重要信息系统按照等级保护基本要求开展网络安全等级保护测评，出具相应的测评报告。

1.3.项目目标

以当涂县自然资源和规划局信息系统的管理及现有应用系统的业务要求为基础，按照国家规定的相应等级安全保护测评要求以及自然资源和规划局的社会影响和行业特点，采用先进的信息技术，开展包括信息系统安全差距测评、信息系统安全整改方案、信息系统等级保护测评等三个阶段工作，目标达到国家要求的信息系统安全保护等级标准中的三级，具体包括以下几个方面：

（1）完成当涂县自然资源和规划局2个信息系统安全评估服务，根据安全检查结果取得差距分析报告和安全整改方案。

（2）待当涂县自然资源和规划局完成整改后，根据安全整改结果，完成等级保护测评并提交符合国家信息安全等级保护主管部门要求的等级保护测评报告；

2.项目实施

2.1实施依据

本次项目实施，主要遵循以下国家标准：

《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019

《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019

《信息安全技术 网络安全等级保护测评过程指南》GB/T 28449-2018

2.2实施原则

（1）保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为，否则招标人有权追究投标人的责任。

（2）标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。

（3）规范性原则：投标人的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

（4）可控性原则：测评服务的进度要跟上进度表的安排，保证招标人对于测评工作的可控性。

（5）整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

（6）最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。

2.3实施范围

本次项目主要对以下系统，按照已定级标准，开展网络安全等级保护测评：

序号	定级系统名称	系统级别
1	当涂县不动产统一登记信息平台系统	三级
2	当涂县国土资源管理“一张图”及综合监管平台系统	二级

2.4实施内容

漏洞扫描：供应商需针对网络设备，服务器，应用等进行漏洞扫描出具漏洞扫描报告。

渗透测试：模拟黑客可能使用的攻击技术和漏洞发现技术，对信息系统进行验证性渗透测试。

等级测评：对已定级备案的系统进行十个安全层面的网络安全等级保护测评（安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理）。

测评包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

安全控制测评使用测评单元方式组织，分为安全技术测评和安全管理测评两大类。安全技术测评包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个层面上的安全控制测评；安全管理测评包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的安全控制测评。具体见下图2.1：

图2.1 网络安全等级保护测评框架

3.过程控制

网络安全等级保护测评分为测评准备、方案编制、现场测评、分析与报告编制四个阶段，各阶段主要工作如下：

3.1测评准备阶段

主要包括以下工作内容：

测评项目组组建：明确项目经理、测评人员及职责分工。

项目计划书编制：项目计划书包含项目概述、工作依据、技术思路、工作内容和项目组织等。

信息系统调研：通过查阅被测系统已有资料或使用调查表格的方式，了解整个系统的构成和保护情况，明确被测系统的范围（特别是信息系统的边界），了解被测系统的详细构成，包括网络拓扑、业务应用、业务流程、设备信息（服务器、数据库、网络设备、安全设备、数据库等）、管理制度等。

工具和表单准备：根据被测系统的实际情况，准备测评工具和各类测评表单。

输出文档：《项目计划书》、《系统调研表》、《工具清单》、各类表单。

3.2方案编制阶段

主要包括以下工作内容：

测评对象确定：根据已经了解到的被测系统信息，分析整个被测系统及其涉及的业务应用系统，确定出本次测评的测评对象。

测评指标确定：根据已经了解到的被测系统定级结果，确定出本次测评的测评指标。

测评工具接入点确定：确定需要进行工具测试的测评对象，选择测试路径，根据测试路径确定测试工具的接入点。

测评内容确定：确定现场测评的具体实施内容，即单元测评内容。

测评实施手册开发：编制测评实施手册，详细描述现场测评的工具、方法和操作步骤等，具体指导测评人员如何进行测评活动。

输出文档：《测评方案》、《测评指导书》。

3.3现场测评阶段

现场测评主要指单项测评，分别从技术上的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心和管理上的安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理分别进行。

安全物理环境：通过人员访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为物理基础设施。在内容上，安全物理环境层面测评实施过程涉及10个测评单元，包括：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。

安全通信网络：通过人员访谈、配置检查和工具测试的方式测评信息系统的网络通信安全保障情况。主要涉及对象为网络整体架构、网络拓扑结构、通信传输方式等。在内容上，安全通信网络层面测评实施过程涉及3个测评单元，包括：网络架构、通信传输、可信验证。

安全区域边界：通过人员访谈、配置检查和工具测试的方式测评信息系统的网络边界安全保障情况。主要涉及对象为网络边界互连设备、网络边界安全设备以及安全控制策略等。在内容上，安全区域边界层面测评实施过程涉及6个测评单元，包括：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。

安全计算环境：通过人员访谈、配置检查和工具测试的方式测评信息系统的网络边界安全保障情况。主要涉及对象为网络设备、安全设备、主机、数据库以及应用系统等。在内容上，安全计算环境层面测评实施过程涉及11个测评单元，包括：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等。

安全管理中心：通过人员访谈、配置检查的方式测评信息系统的集中安全管理保障情况。主要涉及对象为系统各类安全审计系统、综合网管系统、网络拓扑以及集中安全管理功能系统等。在内容上，安全管理中心层面测评实施过程涉及4个测评单元，包括：系统管理、审计管理、安全管理、集中管控等。

安全管理制度：通过人员访谈、文档审查和实地察看的方式测评信息系统的安全管理制度情况。在内容上，安全管理制度方面测评实施过程涉及4个测评单元，包括：安全策略、管理制度、制定和发布、评审和修订。

安全管理机构：通过人员访谈、文档审查的方式测评信息系统的安全管理机构情况。在内容上，安全管理机构方面测评实施过程涉及5个测评单元，包括：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

安全管理人员：通过人员访谈、文档审查的方式测评信息系统的人员安全管理情况。在内容上，安全管理人员方面测评实施过程涉及4个测评单元，包括：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

安全建设管理：通过人员访谈、文档审查的方式测评信息系统的系统建设管理情况。在内容上，安全建设管理方面测评实施过程涉及10个测评单元，包括：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。

安全运维管理：通过人员访谈、文档审查的方式测评信息系统的系统运维管理情况。在内容上，安全运维管理方面测评实施过程涉及14个测评单元，包括：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

输出文档：现场测评结果记录。

3.4分析与报告编制阶段

主要包括以下工作内容：

单项测评结果分析：针对测评指标中的单个测评项，结合具体测评对象，客观、准确地分析测评证据。

单元测评结果判定：将单项测评结果进行汇总，分别统计不同测评对象的单项测评结果，从而判定单元测评结果，并以表格的形式逐一列出。

整体测评：针对单项测评结果的不符合项，采取逐条判定的方法，从安全控制间、层面间和区域间出发考虑，给出整体测评的具体结果，并对系统结构进行整体安全测评。

风险分析：据等级保护的相关规范和标准，采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。

等级测评结论形成：在测评结果汇总的基础上，找出系统保护现状与等级保护基本要求之间的差距，并形成等级测评结论。

测评报告编制：根据等级测评结论，编制测评报告，包括概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。

输出文档：《等级测评报告》。

3.5交付成果

本项目输出的主要工作产品中，交付给采购单位的主要有：

4.项目管理

为确保本项目顺利开展，要求测评机构结合本项目实际，组建适宜项目组，负责项目的具体推动落实。

4.1质量要求

测评机构应具有运行良好的质量管理体系，同时为本项目配备质量经理，加强项目测评过程中的质量管理控制，确保项目按照相关标准实施。

配备的质量经理应具有丰富管理经验，具备相应职称及管理能力。

4.2进度要求

本项目为合同签订生效之日起90日内（因不可抗力或招标方整改原因经双方确认工期顺延）完成测评工作，提交测评报告并通过验收。

4.3风险控制

测评机构应具有良好的保密机制，确保测评过程获悉的相关资料不被泄露。此外，为确保测评过程的风险可控，测评机构应针对测评过程可能出现的风险，编制风险规避措施，将可能的损失降到最低。

4.4测评工具

本次测评过程中使用的测评工具，应至少包括系统漏洞检查工具、网站安全检查工具、主机病毒检查工具、主机木马检查工具等工具。优先选择经公安部门认可推荐的测评工具。

工具接入系统前，需经被测单位认可同意后，方可接入系统。

5.售后服务

本次测评自验收通过之日起，提供为期一年的本地化增值售后服务，服务内容如下：

（1）管理制度完善

根据测评结果，分别从安全管理机构、安全管理制度、安全管理人员、安全建设管理以及安全运维管理五个方面进行梳理，协助招标方制定适宜的管理制度体系文件。

（2）安全技术整改

针对测评过程中发现的安全问题，提出针对性的安全整改建议，协助招标单位制定安全整改方案，协助完成安全技术整改。

（3）安全技术培训

供应商需要为采购方提供不少于2次的信息安全技术培训，确保管理人员和技术人员掌握关于信息系统等级保护相关规范、信息安全策略、信息保密制度，信息安全管理制度和相关流程等。增强采购方技术人员网络安全意识以及网络安全防范技能。

（4）安全技术咨询

提供信息安全技术咨询服务，包括但不局限于网络安全等级保护咨询、信息安全防护策略配置、安全管理制度建设、安全应急预案建设、安全加固等。

（5）安全应急服务

如发生网络安全事件，为招标方及时提供安全应急支撑服务，包括应急处理、安全事件分析、制定安全防范措施、事后安全培训等。

（6）安全上门服务

等级保护测评结束后，售后服务期内，每季度上门一次提供安全服务，主要包括协助进行安全扫描、安全日志分析、安全检测等安全诊断服务，同时协助招标方做好日常安全运维工作。

6.项目验收

完成网络安全等级保护测评工作，出具符合公安机关要求的网络安全等级保护测评报告，并将该测项目所产生的信息数据进行补充、整理、归档，交予采购方后组织验收。

6.1验收方法

组织开展项目验收会议，回顾整体测评工作。采购方组织网安等相关部门或单位的技术专家对测评机构提交的项目成果进行评审，依据评审结果进行整体性验收。

6.2验收指标

提交的测评报告符合相应技术规范的要求，测评结果双方无歧异。

7.其他要求

（1）本项目为交钥匙工程，一次性报价，报价时应充分考虑人员费用、培训费及项目实施中的其他价格因素，投标报价包括采购、运输、人工、安装、调试、售后服务、评审和税费等所有费用，漏报视为自动让利。

（2）投标人中标后，服务不能满足招标文件要求的，采购人有权取消中标人资格或合同，不予退还履约保证金，并按有关规定进行处理。

（3）招标人将保留对预中标单位的资质、资格证明文件、投标文件的真实性进行标后核查的权力，如发现有弄虚作假行为，一律按规定上报有关监督部门做废标处理。

（4）中标人必须为采购方承担保密义务，中标后签订合同前签订保密协议。

第二节 商务要求

1、服务响应时间：日常维护过程中，该项目组成员不少于5人，其中确定负责人1人，项目技术服务工程师不少于2人，对整个工程提供7*24小时的安全响应工作，以便能随时提供服务，解决采购人运维问题。

2、培训：中标人应对采购人免费提供现场培训，现场培训能够根据采购人需要，合理安排，以满足系统正常使用、运行、维护和技术支持的需要，培训费用包含在本次总报价中。

3、建设期：自合同签订之日起90日内测评完毕。

4、跟踪服务期：中标人须提供1年的跟踪服务，自验收合格之日起计算。

5、建设地点：当涂县自然资源和规划局。

6、验收：

6.1应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告；

6.2在测试验收前应根据设计方案或合同要求等制订测试验收方案，在测试验收过程中

应详细记录测试验收结果，并形成测试验收报告；

6.3应对系统测试验收的控制方法和人员行为准则进行书面规定；

6.4应指定或授权专门的部门负责系统测试验收的管理，并按照管理规定的要求完成系

统测试验收工作；

6.5应组织相关部门和相关人员对系统测试验收报告进行审定，并签字确认；

6.6采购人对货物进行全面的验收，验收中发现不符合相应等级保护标准要求的，投标人应及时进行整改，最终验收合格后，采购人向中标人签发最终验收证明。

7、付款方式：测评结束后，乙方提交测评报告并完成在公安主管部门的备案，经甲方验收合格之日起10个工作日内支付合同总价的90%；从验收合格之日起满12个月无质量及售后服务问题，10个工作日内甲方支付合同总价的10%。