招标文件
采购需求
(仅供参考,具体以招标文件为准)
前注:
1.本采购需求中提出的服务方案仅为参考,如无明确限制,投标人可以进行优化,提供满足采购人实际需要的更优(或者性能实质上不低于的)服务方案,且此方案须经评标委员会评审认可。
2.根据《关于规范政府采购进口产品有关工作的通知》及政府采购管理部门的相关规定,下列采购需求中标注进口产品的货物均已履行相关论证手续,经核准采购进口产品,但不限制满足招标文件要求的国内产品参与竞争。未标注进口产品的货物均为拒绝采购进口产品。
3.下列采购需求中:如属于《节能产品政府采购品目清单》中政府强制采购的节能产品,则投标人所投产品须具有市场监管总局公布的《参与实施政府采购节能产品认证机构目录》中的认证机构出具的、处于有效期内的节能产品认证证书。
4.中标人必须确保整体通过采购人及有关主管部门验收;如投标人因未及时现场考察而导致的报价缺项漏项或中标后无法完工,投标人自行承担一切后果。
|
序号 |
条款名称 |
内容、说明与要求 |
|
1 |
付款方式 |
按年度支付,中标人出具符合公安部要求的信息网络安全等级保护测评报告(年度)后,支付最终审计价的1/3,3年服务期内支付完毕。 |
|
2 |
服务地点 |
安徽省合肥市,采购人指定地点。 |
|
3 |
服务期限 |
自合同签订之日起至项目运维期满之日止(3年),根据项目建设进度及采购人要求,按年度开展网络安全等级保护测评工作,每个阶段的检测工作在15个自然日内完成并出具相应的测评报告。 |
|
5 |
本项目采购标的所属行业 |
互联网安全服务 |
二.项目概述
1.项目概况
合肥市智能交通三期建设目的在于加快推进合肥市智能交通系统建设,构建城市智慧交通发展新格局,建成智慧交通应用创新示范,为交通强国建设提供有力支撑。在智能交通一期、二期项目基础上进一步完善智能交通外场设备设施建设;对现有网络架构进行升级改造,改造网络连接方式,扩容网络链路带宽,推动交通基础设施的联网提升,优化网络服务质量和运营效率;建立健全系统安全保障体系,加强安全监测及预警,实现全天候全方位感知和有效防护;基于云计算、大数据、AI赋能等底层技术支撑,深挖智能交通业务应用场景,升级建设交通超脑2.0平台,新建情指勤督一体化平台,提升交管核心业务系统应用。
2.项目主要建设内容
基于现有网络基础架构进行升级改造,扩容网络带宽,拓展网络覆盖,建设支持横向按需扩容的数据中心网络。将交警支队及其下属大队网络交换机进行更新升级,结合本期新增需求,共更换交换机12台,新增交换机734台。
按照《信息安全技术网络安全等级保护基本要求》(GBT22239-2019)第三级安全要求进行视频专网安全防护体系的建设,建设与公安信息网、互联网、电子政务外网和无线设备接入的边界防护,以及与雪亮视频专网、与各大队间的互联防护等内容,保障系统的安全运行。
智能交通三期主体项目应用平台、采集前端等建设支持相关设备的升级改造,满足建设期与运维期内相关规范标准要求。
智能交通三期建设项目新建信号控制6处,改造升级信控点位112处;改造交通视频监控276路,改造高点监控9路;新建电子警察17处和反向卡口44处,改造电子警察51处;新建卡口20处;新建违停抓拍145处;实现马鞍山路高架、金寨路高架和合作化路高架三条高架及方兴大道等快速路的智能化管控;新建可变车道智能管控23处。
2.4交通大数据资源中心
基于云计算、大数据与AI技术,构建本期业务应用支撑体系:在视频专网搭建云平台及大数据基础平台用以承载交通超脑2.0的业务应用;在公安网搭建云平台及大数据基础平台用以承载情指勤督一体化平台应用;在互联网申请政务云资源用以承载交通超脑2.0互联网侧应用;搭建交通数据应用平台提供数据治理、信息共享、资产管理等数据支撑服务;搭建AI能力平台,提供丰富的AI交通专项模型。
(1)视图云存储
建设包含视频专网视频存储、图片存储和公安网图片存储:
1)视频存储需求
视频专网:建设满足10000路6M码流录像视频存储30天,20路高空监控10M码流录像视频存储30天的存储空间需求;存储空间需求为21.9PB。
2)图片存储需求
本次建设视频及图片存储需求如下:
视频专网:建设满足日电警抓拍违法图片40万张存储30天,日卡口过车图片4000万张存储90天的存储空间需求,存储空间需求为3PB。
公安网:用于情指勤督一体化平台的图片存储,存储空间需求为35.6T。
(2)云计算平台
本次在视频专网搭建由24台云计算服务器、6台云管理服务器、2台云计算存储、4台光纤交换机组成的视频专网云计算平台,在公安网通过新增10台云计算服务器、3台云管理服务器、2台光纤交换机,复用市公安局云计算存储、云管理服务器资源组成公安网云计算平台;同时申请8台应用服务器、14T云存储、250M互联网接入服务的政务云资源用以承载交通超脑2.0互联网侧应用;基于开放的OpenStack云架构,提供弹性主机、弹性伸缩、负载均衡、存储服务、网络服务及裸金属纳管服务,实现云资源的统一运营运维。
(3)大数据基础平台
本次在视频专网搭建由45台大数据组件服务器组成的视频专网大数据基础平台,在公安网通过新增21台大数据组件服务器,复用市公安局分布式文件系统服务器、管理服务器资源组成公安网大数据基础平台;基于Hadoop开源架构,提供HDFS、Redis、Kafka、ElasticSearch、Spark、Spark Streaming等大数据组件服务。
(4)交通数据应用平台
通过打造交通数据资源池汇聚交警、交通、公安、互联网数据,搭建数据治理平台提供数据规整、数据建模、数据质量、脚本管理、调度管理服务;基于共享数据中心设计数据原始库、成品库、主题库、专题库、历史库、问题库;搭建数据资产管理平台提供数据资产盘点、数据标准管理、数据资源管理、元数据管理、主数据管理功能;基于交通信息共享交换平台对用户提供数据共享交换能力;围绕数据安全平台实现数据安全管理;打造数据交互分析平台,基于可视化UI页面编排设计一套完整的WEB数据展现系统。
(5)AI能力平台
本次新增17台算法服务器,延用并扩容交通超脑示范应用项目中14台服务器组成AI能力平台;在视频专网提供AI原子能力、视频图像智能分析模型、交通信号智能优化模型、交通路况分析模型、交通拥堵分析模型、交通出行模式分析模型、交通事件影响分析模型、恶劣天气交通影响分析模型算法;在公安网中部署交通事故分析模型、交通违法分析模型、重点车辆分析模型、警情智能调度模型、勤务日志分析模型、勤务考核计算模型、警力部署优化模型算法。
2.5业务应用平台
根据合肥市智能交通三期总体要求,结合部门应用实际,建设交通超脑2.0平台、情指勤督一体化平台,完成公安核心业务升级改造。其中情指勤督一体化平台为交通指挥调度和路面勤务管理提供辅助决策;公安核心业务升级改造围绕公安交通集成指挥平台、公安交通管理综合应用平台、公安网虚拟化集群、电子档案系统、交通证据音视频系统、公安交通管理信息安全监管系统六大模块进行升级改造。对机动车查验监管系统进行升级、建设车驾管业务智慧受理综合管理系统和机动车安全技术检验监管智能审核系统。
包含交警支队的机房改造和高架桥分控中心网络机房的建设。交警支队机房改造的主要包括对空调、不间断电源系统的改造;分控中心网络机房建设包括基础设施、供配电、不间断电源和空气调节等系统的建设。
为实现路面交通运营所有信息的高分可视和路面交通管理各环节及指挥调度工作全流程可视化,对支队交通指挥中心进行高分可视化改造,更换大屏幕显示单元1套,并同步配置相关的软硬件设备包括多屏处理器1套、大屏控制软件1套。
对租赁的机房内动力环境系统、配电系统等提出需求,测算需要1个数据中心和3个存储点,拟租用机柜数量共81个。
主体项目建设内容详见本包附件:智能交通三期建设项目采购需求。
3.本次网络安全等级保护测评服务需求
根据项目建设进度及相关要求,对本项目分布在视频专网安全域的信息系统提供3年网络安全等级保护测评服务,主要工作内容为:进行定级咨询、安全等级测评、找出安全风险并提出整改建议;测评驻场前结合采购人的网络和系统环境编写系统等级测评方案,测评结束后出具测评整改建议书和符合公安机关要求的(年度)网络安全保护等级测评报告;提供安全等级保护技术咨询和培训。
三.服务需求
1.服务范围(以项目建设实际内容为准)
测评应覆盖合肥市智能交通三期建设项目中的第三级要求分布在视频专网安全域的信息系统,共计1个三级系统,并出具符合公安部要求的第三级网络安全等级保护的测评报告。系统评测边界拓扑图如下图所示:
2.服务内容
2.1定级备案咨询、指导
针对采购人信息系统需要进行等级保护建设的要求,协助采购人完成信息系统在合肥市网络安全等级保护管理部门定级备案工作,撰写定级报告、专家评审意见表和备案表等内容,并提供培训、咨询和指导,协助采购人取得相应系统的备案证明。
2.2通用安全测评要求
测评范围主要包括安全技术测评、安全管理测评。
安全技术测评主要涉及该项目的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心层面。
安全管理测评主要涉及该项目的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理层面。
云计算安全测评扩展测评主要涉及安全物理环境、安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全建设管理、安全运维管理。
移动互联安全测评扩展要求主要涉及安全物理环境、安全区域边界、安全计算环境、安全建设管理、安全运维管理。
(1)安全技术测评
1)安全物理环境
本项目主要针对信息系统所处的机房进行检测,包括对“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”、“电磁防护”等环境安全方面所采取的措施进行现场测评,得出与其相对应的各测评项的测评结果。
本项目主机房为租赁机房,具体检测包括以下内容:
物理位置选择
a)机房场地应选择在具有防震、防风和防雨等能力的建筑内;
b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
物理访问控制
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。
防盗窃和防破坏
a)应将设备或者主要部件进行固定,并设置明显的不易除去的标识;
b)应将通信线缆铺设在隐蔽安全处;
c)应设置机房防盗报警或设置有专人值守的视频监控系统。
防雷击
a)应将各类机柜、设施和设备等通过接地系统安全接地;
b)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。
防火
a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;
b)机房与相关的工作房间和辅助房应采用具有耐火等级的建筑材料;
c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。
防水和防潮
a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
防静电
a)应采用防静电地板或地面并采用必要的接地防静电措施;
b)应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。
温湿度控制
应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。
电力供应
a)应在机房供电线路伤配置稳压器和过电压防护设备;
b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;
c)应设置冗余或并行的电力电缆线路为计算机系统供电。
电磁防护
a)电源线与通信线缆应隔离铺设,避免互相干扰;
b)应对关键设备实施电池屏蔽。
2)安全通信网络
本项目针对信息系统所处网络环境,主要需要从“网络架构”、“通信传输”等方面进行测评,得出与其相对应的各测评项的测评结果。
网络架构
本项要求包括:
a) 应保证网络设备的业务处理能力满足业务高峰期需要;
b) 应保证网络各个部分的带宽满足业务高峰期需要;
c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;
e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。
通信传输
本项要求包括:
a) 应采用校验技术或密码技术保证通信过程中数据的完整性;
b) 应采用密码技术保证通信过程中数据的保密性。
3)安全区域边界
本项目针对信息系统所处网络边界和关键网络节点,主要从“边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”等方面进行测评,得出与其相对应的各测评项的测评结果。
边界防护
本项要求包括:
a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
b)应能够对非授权设备私自联到内部网络的行为进行检查或限制;
c)应能够对内部用户非授权联到外部网络的行为进行检查或限制;
d)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。
访问控制
本项要求包括:
a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
c)应对源地址、目的地址、源端口、目的端口和协议等腰行检查,以允许/拒绝数据包进出。
d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;
e)应对进出网络的数据流实现基于应用议和应用内容的访问接制。
入侵防范
本项要求包括:
a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
b)应在关键网络节点处检测防止或限制从内部发起的网络攻击行为;
c)应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;
d)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标政击时间,在发生严重入侵事件时应提供报警。
恶意代码和垃圾邮件防范
本项要求包括:
a)应在关键网络节点处对恶意码进行检测和清除,并维护恶意代码防护机制的升级和更新;
b)应在关键网络节点处对垃圾邮件进行检测和质护,并维护垃圾邮件防护机制的升级和更新。
安全审计
本项要求包括:
a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
4)安全计算环境
针对信息系统所部署服务器,从 “身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“数据完整性”、“数据保密性”、“数据备份恢复”等方面进行测评,得出与其相对应的各测评项的测评结果。
身份鉴别
本项要求包括:
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
访问控制
本项要求包括:
a) 应对登录的用户分配账户和权限;
b) 应重命名或删除默认账户,修改默认账户的默认口令;
c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;
d) 应授予管理用户所需的最小权限,实现管理用户的权限分离;
e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
g) 应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
安全审计
本项要求包括:
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
d) 应对审计进程进行保护,防止未经授权的中断。
入侵防范
本项要求包括:
a) 应遵循最小安装的原则,仅安装需要的组件和应用程序;
b) 应关闭不需要的系统服务、默认共享和高危端口;
c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
恶意代码防范
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
数据完整性
本项要求包括:
a) 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
b) 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
数据保密性
本项要求包括:
a) 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
b) 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限千鉴别数据、重要业务数据和重要个人信息等。
数据备份恢复
本项要求包括:
a) 应提供重要数据的本地数据备份与恢复功能;
b) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
c) 应提供重要数据处理系统的热冗余,保证系统的高可用性。
5)安全管理中心
本项目针对信息系统,主要从“系统管理”、“审计管理”、“安全管理”、“集中管控”等方面进行测评,得出与其相对应的各测评项的测评结果。
系统管理
本项要求包括:
a) 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
审计管理
本项要求包括:
a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
b) 应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
安全管理
本项要求包括:
a) 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;
b) 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
集中管控
本项要求包括:
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
f) 应能对网络中发生的各类安全事件进行识别、报警和分析。
(2)安全管理测评
1)安全管理制度
针对信息系统在日常管理方面制定的相关制度,从“安全策略”、“管理制度”、“制定和发布”、“评审和修订”等方面进行测评,得出与其相对应的各测评项的测评结果。
2)安全管理机构
针对信息系统在日常管理方面所制定的相关管理机构,从“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”、“审核和检查”等方面进行测评,得出与其相对应的各测评项的测评结果。
3)安全管理人员
针对信息系统在日常管理方面所涉及的相关人员,从“人员录用”、“人员离岗”、“安全意识教育和培训”、“外部人员访问管理”等方面进行测评,得出与其相对应的各测评项的测评结果。
4)安全建设管理
针对信息系统在建设方面所制定的相关制度及实施过程,从“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”、“服务供应商管理” 等方面进行测评,得出与其相对应的各测评项的测评结果。
5)安全运维管理
针对信息系统在运维方面所制定的相关制度及运维过程,从 “资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、“应急预案管理”等方面进行测评,得出与其相对应的各测评项的测评结果。
2.3云计算安全测评扩展要求
(1)安全物理环境
主要从“基础设施位置”方面进行测评,得出与其相对应的各测评项的测评结果。
(2)安全通信测评
主要从“网络架构”方面进行测评,得出与其相对应的各测评项的测评结果。
(3)安全区域边界
主要从“访问控制”、“入侵防范”、“安全审计”等方面进行测评,得出与其相对应的各测评项的测评结果。
(4)安全计算环境
主要从“身份鉴别”、“访问控制”、 “入侵防范”、“数据完整性”、“数据保密性”、“数据备份恢复”等方面进行测评,得出与其相对应的各测评项的测评结果。
(5)安全管理中心
主要从“集中管控”方面进行测评,得出与其相对应的各测评项的测评结果。
(6)安全建设管理
主要从“云服务商选择” 方面进行测评,得出与其相对应的各测评项的测评结果。
(7)安全运维管理
主要从“云计算环境管理”方面进行测评,得出与其相对应的各测评项的测评结果。
2.4移动互联安全测评扩展要求
(1)安全物理环境
主要从“无线接入点的位置”方面进行测评,得出与其相对应的各测评项的测评结果。
(2)安全区域边界
主要从“访问控制”、“入侵防范”方面进行测评,得出与其相对应的各测评项的测评结果。
(3)安全计算环境
主要从“移动终端管控”、“移动应用管控”方面进行测评,得出与其相对应的各测评项的测评结果。
(4)安全建设管理
主要从“移动应用软件采购”、“移动应用软件开发”方面进行测评,得出与其相对应的各测评项的测评结果。
(5)安全运维管理
主要从“配置管理”方面进行测评,得出与其相对应的各测评项的测评结果。
2.5整体安全测评
针对单项测评结果的不符合项及部分符合项,采取逐条判定的方法,从安全控制点间、层面间出发考虑,给出整体测评的具体结果。
(1)针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他测评项能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足或“削弱”该测评项所实现的保护能力,以及该测评项的测评结果是否会影响与其有关联关系的其他测评项的测评结果。
(2)针对测评对象“部分符合”及“不符合”要求的单个测评项,分析与该测评项相关的其他层面的测评对象能否和它发生关联关系,发生什么样的关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足或“削弱”该测评项所实现的保护能力,以及该测评项的测评结果是否会影响与其有关联关系的其他测评项的测评结果。
2.6提出安全整改建议、整改咨询服务
依据测评结果和依据《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》(等保2.0标准)为基础,结合ISO/IEC 27001、ISO/IEC 20000、ISO 22301、ITIL和ITSS等行业最佳实践,从信息系统是否具备标准所要求的安全保护设施、安全设施的策略是否达到标准的要求、安全策略是否达到保护的效果三个方面开展差距测评工作。全面的从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理中的所有指标逐项对信息系统中相关的资产进行检查。对各信息系统进行网络安全等级保护现状分析,形成相应的安全问题列表和差距分析报告。按照信息安全等级保护标准要求提出安全整改报告。并协助用户完成信息系统整改计划,整改建议科学、合理,并承诺及时跟进协助整改。
2.7确定安全域安全要求,配合开展安全保障体系方案设计
参照国家相关等级保护安全要求,设计不同安全域的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。根据安全域框架,设计系统各个层次的安全保障体系框架以及具体方案。包括:各层次的安全保障体系框架形成系统整体的安全保障体系框架;物理安全、网络安全、服务器安全等安全技术设计,安全管理制度规划与设计。通过如上内容的规划,系统可以形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障系统整体的安全。
2.8协助编制和完善安全管理制度
依据《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》(等保2.0标准)为基础,协助采购人制订和完善各项信息安全管理制度,规范信息安全日常管理工作,提高信息安全基础管理水平;建立适用于采购人业务系统的安全管理体系,规范信息系统的安全维护管理,促进安全维护和管理工作体系化、规范化,提高信息和网络服务质量,提高网络维护队伍的整体安全素质和水平,制定安全方针、系列安全制度和操作规范,并提交信息安全管理体系汇编,规范信息安全日常管理工作,提高信息安全基础管理水平。
2.9协助完善符合相应等级的信息系统的安全整改技术方案
完成上述测评和实施整改工作后,最后出具符合公安机关要求的(年度)网络安全保护等级测评报告。
2.10提供安全运维服务
中标人需提供包括但不限于以下内容的安全运维服务:
(1)基础设施日常运维服务:
1)提供驻点服务,服务期内每个月安排测评师驻点一次,每次集中驻点一周(5天)。驻点服务期间遵守采购人行政班工作时长和管理考核要求,辅助采购人完成各项安全检查工作,按照采购人要求配合完成以下工作:
a)通过技术手段,实时负责接入注册管理系统的运维工作,发现非法接入进行实时处理和阻断,满足上级主管部门考核要求。监管“一机两用”监控系统、安全助手服务系统正常运行率、PKI目录系统复制率,满足上级主管部门考核要求。辅助采购人做好“一机两用”(WEB版)安装率、杀毒软件平均安装率、设备准入、“一机两用”注册率等安全管理工作,满足上级主管部门考核要求。
b)专注于采购人的网络安全,及时发现安全事件,如黑客攻击、新病毒入侵,发现第一时间着手处理并及时汇报采购人,处理结束编制好安全事件分析汇报交付采购人。
c)月度更新升级软件产品版本和病毒库。分析防病毒数据,提取日志、分析报表,有针对性的编制病毒情况汇报和处理分析报告,交采购人实时存档,作采购人内部病毒知识库更新。终端行为审计系统运营情况实时关注及分析,针对异常情况,判断违规。如有违规事件,实时汇报分析,以及相关单位数据采集配合。
d)自带办公电脑等常用物品,协助客户单位基础设施的日常运维工作,提供终端运维服务方案,至少包括资产梳理、计算机软硬件维护、网络系统维护和服务器维护等内容,
e)日常运维过程应在《日常运维服务日报》、《日常运维记录》中记录。
2)提供各项安全整改服务,包括网络架构分析调整、设备部署、安全策略配置。
a)进行网络架构分析:查找需要对网络结构实施优化的事项,(1)网络现状识别:涉及应用系统和用户分布,安全域划分,区域边界之间所采取的访问控制措施,网络带宽需求及现状,对数据流向的安全控制,设备链路冗余设计,对网络带宽的管控措施,远程访问通信链路的加密,各区域内所采取的入侵检测,安全审计措施,网络出口所采取的入侵防范、病毒过滤、垃圾邮件过滤措施、终端用户接入认证等内容。(2)网络安全分析:从网络的整体架构进行考虑,紧密结合业务应用现状,识别重要信息系统部署和用户所在网络区域的分布情况,分析网络设计布局的合理性,是否存在单点隐患,确认链路带宽是否满足业务要求,检查产品设备老化问题,确认设备性能是否满足要求,分析网络区域边界是否定义清晰,安全域划分是否合理,服务器、终端接入是否安全,各类安全设备的部署是否到位等。
b)设备配置检查:检查系统相关服务器、交换机与安全设备的配置策略,具体内容如下:(1)服务器手工检查:检查服务器操作系统、数据库和中间件的开放服务及端口、账户设置、文件权限设置、审计、共享资源、补丁更新和病毒防护等情况;(2)网络设备手工检查:检测交换机或路由器的Vlan划分、路由表配置、访问控制列表ACL、IP和MAC地址绑定情况、设备登录认证方式、口令设置等配置项;
c)安全加固与优化:根据前期脆弱性评估,结合信息系统的业务需求,对信息系统相关设备进行安全策略加强、调优等,加强网络、系统和设备抵御攻击和威胁的能力,整体提高网络安全防护水平,满足等级保护要求。
(2)信息安全巡检服务:
1)扫描服务。按照采购人要求,对采购人指定的信息系统每月通过安全扫描工具,分析并指出网络安全漏洞及被测系统的薄弱环节,编制详细的检测报告;每季度对客户单位系统信息安全状态进行检查,对服务器、网络设备、信息系统进行漏洞扫描,提交扫描文件。
2)渗透服务。对采购人指定的信息系统进行一次全面渗透测试,发现漏洞,验证漏洞,挖掘未知的漏洞。渗透测试须通过真实的用户访问环境进入系统,对网络到系统访问、数据调取、存储等一系列的操作进行测试,主要用于检测外部威胁源和路径,提交结果文件和整改报告。
a)互联网渗透测试:互联网计算机为起点,以互联网应用系统为攻击目标,要求对应用软件能渗透获得系统数据,甚至获得系统权限,并在获得互联网系统控制权限后,向内网进行渗透,测试互联网与内网边界隔离措施有效性。
b)公安内网渗透测试:使用渗透测试的方式查找公安内网可能存在的渗透点,发现公安内网防护体系的薄弱环节,找出公安内网可能发生的恶意攻击事件和违规行为。
(3)安全事件处置与应急响应服务:针对业主方信息系统提供最新安全漏洞跟踪与处置服务,提供各种安全问题的应急响应技术服务。
1)根据网络与信息安全突发事件的起因、机理,将网络与信息安全突发事件进行分类。同时参照网络与信息安全突发事件的分类原则,按照网络与信息安全威胁产生原因,将网络与信息安全预警信息分类。通过上述分类,响应单位应按照网络与信息安全对可能造成的危害、紧急程度和发展势态,将安全事件进行分级并制定安全事件分级管理制度。
2)配合业主编制网络安全应急预案:根据采购人业务特点编制应急演练方案,方案应包括丰富、全面的应急演练场景,如包含防病毒,网络、渗透攻击等演练场景,配合业主开展应急演练方案编制,搭建演练环境,并提供必要的演练设备,演练开始前为具体参与人员提供演练培训。协助业主组织实施应急演练工作,选择演练对象,从网络到系统环境等方面的故障进行模拟演练,确保在网络中断、系统毁瘫、机房出现重大事故等情况下尽快恢复应用的正常运行,做好演练过程记录和演练的总结工作。
3)承诺提供日常应急响应,在客户应急需求发起后,技术支撑人员必须在1小时内到达客户单位指定现场对安全事件进行处理。应派遣有经验的项目团队进行安全事件处置与应急响应服务工作,以保证各方面安全工作有序开展。
2.11形成等级测评结论及测评报告提交
完成上述等保测评工作和整改后,由中标人出具符合公安机关要求的《等级保护测评报告》并报市公安局网安支队备案。
2.12测评服务交付物
|
时间段 |
提交文档 |
|
签订合同后 |
《测评服务技术方案》 《测评服务工作计划表》 |
|
差距测评阶段 |
《等级保护差距分析报告》(年度) 《整改建议书》(年度) 符合等级保护要求的各项信息安全管理制度 |
|
等保测评验收 |
符合公安机关要求的《等级保护测评报告》(年度) |
3.测评依据
信息系统安全等级保护测评依据包含但不局限于以下内容:
(1)公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号);
(2)公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字 [2007]43 号);
(3)《信息安全技术计算机信息系统安全保护等级划分准则》GB/T 17859-1999;
(4)《信息安全技术网络安全等级保护定级指南》GA/T 1389-2017
(5)《信息安全技术网络安全等级保护基本要求》GB/T 22239-2019;
(6)《信息安全技术网络安全等级保护测评要求》GB/T 28448-2019;
(7)《信息安全技术网络安全等级保护测评过程指南》GB/T 28449-2018;
(8)《信息安全技术信息安全风险评估模型》GB/T 20984-2007;
(9)《计算机信息系统安全保护等级划分准则》(GB 17859-1999);
(10)《信息安全技术信息系统通用安全技术要求》(GB/T 20271-2006);
(11)《信息安全技术网络基础安全技术要求》(GB/T 20270-2006);
(12)《信息安全技术操作系统安全技术要求》(GB/T 20272-2006);
(13)《信息安全技术数据库管理系统安全技术要求》(GB/T 20273-2006);
(14)《信息安全技术服务器技术要求》(GB/T 21028-2007);
(15)《信息安全技术终端计算机系统安全等级技术要求》(GA/T 671-2006);
(16)《信息安全技术信息系统安全管理要求》(GB/T20269-2006);
(17)《信息安全技术信息系统安全工程管理要求》(GB/T 20282-2006);
(18)《信息技术安全技术信息技术安全性评估准则》(GB/T 18336-2001);
(19)《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)
(20)《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)
(21)《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
(22)合肥市智能交通三期有关批复、可行性报告、招投标文件、设计文件和合同等。
(21)《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
(22)合肥市智能交通三期建设项目有关批复、可行性报告、招投标文件、设计文件和合同等。
4.服务要求
4.1工作质量要求
1)中标人应在对采购人系统详细了解的基础上,编制针对性的等级保护测评整体实施方案,包括项目概述、等保测评范围和内容、项目实施流程、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
2)中标人应详细描述测评人员的组成、资质及各自职责的划分,配置有经验的测评人员进行本次等级保护测评工作。
3)本次等级保护测评实施过程中所使用到的各种工具软件由中标人推荐,经采购人确认后由中标人提供并在测评中使用。服务前向采购人详细描述所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。
4)对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面,需要符合信息安全等级保护主管部门要求,包括但不仅仅包括网络隐患检测工具、数据库漏洞检测工具等。
5)中标人服务前向采购人详细描述需要的运行环境的具体要求。
6)信息系统具备出具基本合格的条件后两周内出具等级测评报告。
7)如果出具虚假报告测评报告,出现影响被评测网络正常运行或因评测不到位未发现网络中存在相关漏洞隐患,导致被测评网络发生重大网络安全事件的,测评实施期间导致被测评网络发生宕机等严重网络安全事件的等违反相关办法规定和法律法规的情况,业主有权追究相关责任。
4.2技术服务响应
中标人提供良好的本地化服务,确保项目的顺利实施。
中标人需具备及时响应能力,合同签订后根据采购人安排的日期时间进场测评,出具整改报告协助完成系统建设整改及完成整体项目。同时如发生故障,在得到用户通知后,1小时内响应,4小时以内到现场处理,24小时内修复的售后响应能力。
4.3实施要求
1)中标人应保证在采购人条件成熟时立即开展实施,并在主体项目初验之前完成第一年的网络安全等级测评服务,按年度提供符合公安部要求的网络安全等级测评报告。
2)中标人在项目实施过程中应服从采购人的统一领导和协调,且采购人有权裁决中标人的责任范围,且中标人必须执行,并在限定的时间内解决问题。如果中标人不能按时完成测评内容,则采购人有权中止项目、索赔或拒付款项。
3)中标人需根据自己的工程实施经验结合采购人的实际需求,进一步细化和完善工作任务书,作为工程实施的指导性文件。
4)中标人应根据采购人的服务需求、进度要求、实际情况制定详细的测评实施计划,对测评范围、测评内容、测评依据、项目进度、质量控制等内容进行详细的说明,以确保测评工作按时保质的完成。
5)中标人应负责配合采购人制定相关验收标准,并完成工程实施等验收工作。
6)在整改过程中,如需现场服务,中标人技术人员应赶到现场协助处理。
7)根据项目建设进度及采购人要求开展等保测评工作(可分阶段开展测评工作),每次测评未合格,中标人须按要求提出整改意见并进行二次复测,因不合格而造成的复测费用由项目承建商承担。
8)系统等保测评服务根据采购人要求的时限内完成,并出具相应的等级测评报告, 如工期因中标人原因造成延误,则按照每延期一日扣罚全系统测评费用的1%。
4.4保密要求
1)中标人必须和采购人签订保密协议和非侵害性协议,中标人必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议,在合同签订时一并提供给采购人。
2)中标人具体测评工作和等级保护测评报告的编写,必须在采购人指定的地点进行。对于测评中的重要资料和结果,在测评期间和测评结束后,中标人不得带离该地点。
4)中标人要对参与的项目全部内容进行保密,如果发生泄密情况和影响项目验收等问题,采购人有权追究中标人相关责任,并不予支付相关费用。
4.5其他要求
为本项目服务的等级保护测评服务机构应按安徽省及合肥市行业主管部门的规定办理相关手续(如备案等)。
四.投标报价
本包报投标总价,采用总价包干方式,投标人的投标报价须包括完成本包服务内容所涉及的全部费用。中标后采购人不因任何原因支付额外费用。
收藏