招标文件
采购需求
一、项目概况:
包组1:
(一)项目一览表
|
采购内容 |
数量 |
服务期 |
最高限价 |
|
国土空间规划配置与协同服务(2022-2024年)项目-验收测评服务 |
1项 |
自双方签订合同之日至广东省智慧自然资源-国土空间规划配置与协同服务工程(2022-2024年度)项目通过项目验收为止。 |
人民币49.66万元 |
(二)项目背景
为加强信息化项目的管理,规范项目验收流程,及时发现建设项目中存在的质量问题,提高建设项目质量,规范项目验收流程,从而达到加强信息化项目管理的目的。提高资金投资效益和项目建设质量,引入第三方验收测评,对投资信息化项目提供专业的验收测评服务。
针对“广东省智慧自然资源-国土空间规划配置与协同服务工程(2022-2024年度)项目”(以下简称“主项目”)的软件开发、业务运营和数据运营服务等建设内容提供第三方验收评测服务,评估项目的完成情况,客观公正评测是否满足主项目的立项文件、建设合同以及需求规格说明书等的要求,验证该项目的建设内容是否达到项目立项时所设立的建设目标,形成项目的验收测评报告,作为该项目验收的依据。
(三)本期测评需求
3.1.项目测评任务
根据国土空间规划配置与协同服务(2022-2024年)项目的建设内容,编写测试方案,对项目测试内容进行阐述,并提出项目对应的测试通过准则。
数据治理测评:主要对数据治理成果进行测评,从建设内容完整性、数据质量、数据格式规范性等方面进行测评。
应用系统测评:主要参照质量模型,从系统的功能及数据测评、可靠性、易用性、信息安全性等多方面进行测评。
完成项目的验收测试工作后,根据测试情况,出具验收测评报告。
3.2.基本原则
坚持科学、公正、严谨、客观的基本原则,从第三方角度,对国土空间规划配置与协同服务(2022-2024年)项目的实施情况进行验收评测。
保密原则:对在测评服务过程中所涉及的有关本项目的技术方案以及财务等方面的资料严格保密;对测评服务过程中接触到的各种信息,不得泄漏给任何单位和个人,未经允许不得利用这些信息从事与服务无关的活动。
公平原则:实施方应遵循“面向应用、保证质量、客观公正、诚信守诺”的原则开展软件测评工作。
标准性原则:实施方应依据相关国家标准、行业标准开展测评工作。本测评要求所使用的标准和规范如与实施方所执行的标准不一致时,按较高标准执行。
3.3.测试依据
测评参考相关标准与文件主要包括如下内容:
(1)国家标准:
GB/T 25000.51-2016《系统与软件工程系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》
(2)项目需求及相关文档:
《项目招响应文件或立项方案》;
《建设项目合同书》;
《需求规格说明书》;
《概要设计说明书》;
《数据库设计说明书》;
《详细设计说明书》;
《用户操作手册》;
《系统维护手册》;
《系统安装手册》;
《工程变更单》等
在进行测试时依据的相关标准、规范次序如下:
优先依据软件开发合同及系统需求说明书中约定的验收依据、规范;
其次依据相关国家、国际标准;
再次依据相关行业标准/地方标准/内部和管理规范。
当各测试依据之间存在不一致之处时,以优先级高的为准。
3.4.测评范围要求
测试内容应包含国土空间规划配置与协同服务(2022-2024年)项目的主要建设内容。测试范围要求如下表所示:
|
检测范围 |
备注 |
||
|
业务运营测评 |
建设内容检查 |
主要进行项目建设内容测试,核查项目内容完成情况、检查项目管理是否规范、检查项目管理档案是否完整。 |
无 |
|
数据质量检查 |
包括但不限于数据完整性、一致性、准确性检查,内部数据库整合检查、数据格式规范性检查、信息资源目录注册完整性检查、共享信息资源提供检查、共享信息资源应用检查。 |
||
|
应用系统测评 |
功能及数据测试 |
主要参照软件质量模型,从软件的功能及数据方面进行测评,系统的程序和数据应满足符合功能需求,系统功能应以正确的方式执行。 |
|
|
可靠性测试 |
系统在出现故障或者违反指定接口的情况下,仍能维持规定的性能级别;系统具有避免由软件中故障而导致失效的能力。 |
|
|
|
易用性测试 |
系统的操作命令界面为标准图形交互界面,风格统一,层次简洁,操作命令的命名无二义性。 |
|
|
|
性能效率测试 |
从时间特性、资源利用性、容量三个方面验证被测系统是否满足规定的性能要求。 |
|
|
|
信息安全性 |
系统的用户权限、保密性、完整性保护等安全功能得以实现。 |
|
|
3.5.检测具体要求
为加强信息化项目的管理,规范项目验收流程,提高资金投资效益和项目建设质量,对投资信息化项目提供专业的验收测评服务。验证采购项目中的建设内容是否达到采购项目的建设目标,形成项目的验收测评报告,作为该项目验收的依据。
成交人须在签订合同后配合项目实施进度要求完成验收测评工作,应根据国家对信息化项目建设、验收的相关标准和行业相关标准,在项目测试之前,根据测试需求提交项目的测评方案并获得采购人确认,并根据测评方案中规定的指标和评判标准对项目建设内容实施测评,最后提交详细的项目测评记录及项目测评报告。
项目分阶段验收测评要求如下:
项目第一阶段测评:
(1)开展包括“2022省级国土空间规划“一张图”实施监督信息系统(国土空间分析评价子系统、国土空间规划审查管理子系统、规划多端图形应用子系统、国土空间规划知识服务子系统、国土空间规划监测评估预警子系统、国土空间规划实施海域海岛管控子系统 、规划协同应用子系统)、2022广东省土地调查规划院业务综合管理平台系统(规划数据挖掘与指标管理子系统)”等第一阶段软件系统的测试工作;
(2)开展包括“广东省土地调查规划院业务综合管理平台数据处理运营服务数据成果(调查、规划、海洋、资产清查、园区评价、耕地保护、遥感影像、地名地址等)、总体规划数据成果、试验区详细规划数据成果、POI数据、主要路网数据、广东省地市以及区县间的人口流向数据”等第一阶段系统运营与数据治理成果的测试核查工作;
(3)编制项目第一阶段测试方案,出具项目第一阶段的验收测试报告。
项目第二阶段测评:
(1)开展包括“2023省级国土空间规划“一张图”实施监督信息系统(国土空间分析评价子系统、国土空间规划审查管理子系统、规划多端图形应用子系统、国土空间规划知识服务子系统、国土空间规划监测评估预警子系统、国土空间规划实施海域海岛管控子系统 、互联网+空间规划服务子系统、规划数据挖掘与指标管理子系统、规划协同应用子系统、规划专题分析研究子系统)、2023广东省土地调查规划院业务综合管理平台系统(规划数据挖掘与指标管理子系统)”等第二阶段软件系统的测试工作;
(2)开展包括“广东省土地调查规划院业务综合管理平台数据处理运营服务数据成果(调查、规划、海洋、资产清查、园区评价、耕地保护、遥感影像、地名地址等)规划实施过程数据、开发区数据、国土空间规划三维数据、试验区详细规划数据、村庄规划数据、城市要素数据、专项规划数据、广东省各街镇的常驻人口数据、基于国产数据库的规划一张图数据转换与汇聚”等第二阶段系统运营与数据治理成果的测试核查工作;
(3)编制项目第二阶段测试方案,出具项目第二阶段的验收测试报告。
项目第三阶段测评:
(1)开展包括“2024省级国土空间规划“一张图”实施监督信息系统(国土空间规划审查管理子系统、国土空间规划知识服务子系统、国土空间规划监测评估预警子系统、国土空间规划实施海域海岛管控子系统 、规划协同应用子系统、规划专题分析研究子系统)、2024广东省土地调查规划院业务综合管理平台系统(规划数据挖掘与指标管理子系统)” 等第三阶段软件系统的测试工作;
(2)开展包括“广东省土地调查规划院业务综合管理平台数据处理运营服务数据成果(调查、规划、海洋、资产清查、园区评价、耕地保护、遥感影像、地名地址等)详细规划数据、村庄规划数据、专项规划数据、广东省各街镇的人口画像数据、特定范围人口统计数据”等第三阶段系统运营与数据治理成果的测试核查工作;
(3)编制项目第三阶段测试方案,出具项目第三阶段的验收测试报告。
成交人在验收过程中作为独立的第三方机构,应对其实施测评的信息化项目进行客观、专业地测试,并提供权威的测评结论。
3.6.项目测评内容
针对《广东省智慧自然资源——国土空间规划配置与协同服务工程(2022-2024年度)项目》的验收要求提供验收测评服务(含软件开发功能点评估、交付使用、业务运营成果等)。描述验收测评服务的目标、依据、测评对象、测评的方法和使用的工具、测评内容和指标、软件开发功能点评估、测评结论等,确保项目达到预期设计的目的。
其中业务运营测评主要从数据及功能完备性、数据及功能准确性、数据及功能一致性等方面对建设内容进行检测,具体内容如下:
1.数据治理第一阶段:广东省土地调查规划院业务综合管理平台数据处理运营服务数据成果(调查、规划、海洋、资产清查、园区评价、耕地保护、遥感影像、地名地址等)、总体规划数据成果、试验区详细规划数据成果、POI数据、主要路网数据、广东省地市以及区县间的人口流向数据;
2.数据治理第二阶段:广东省土地调查规划院业务综合管理平台数据处理运营服务数据成果(调查、规划、海洋、资产清查、园区评价、耕地保护、遥感影像、地名地址等)规划实施过程数据、开发区数据、国土空间规划三维数据、试验区详细规划数据、村庄规划数据、城市要素数据、专项规划数据、广东省各街镇的常驻人口数据、于国产数据库的规划一张图数据转换与汇聚;
3.数据治理第三阶段:广东省土地调查规划院业务综合管理平台数据处理运营服务数据成果(调查、规划、海洋、资产清查、园区评价、耕地保护、遥感影像、地名地址等)详细规划数据、村庄规划数据、专项规划数据、广东省各街镇的人口画像数据、特定范围人口统计数据。
本项目以广东省智慧自然资源——国土空间规划配置与协同服务工程(2022-2024年度)项目的磋商文件、立项文件、建设合同以及需求规格说明书的建设要求开展验收测评服务。
3.7.测试方案要求
供应商应在全面掌握国土空间规划配置与协同服务(2022-2024年)项目需求的基础上,在投标方案中提出的测试方案,满足以下要求:
(1)项目测评内容基本分为:计算机信息系统测评和系统业务运营测评,测试方案应根据“广东省智慧自然资源——国土空间规划配置与协同服务工程(2022-2024年度)项目”的建设内容,提出相应的测试策略和方法;
(2)测试方案应针对测试范围内各种测试类型提出所采用的工具和所采取的技术步骤,并符合各类测试的具体要求。
3.8.信息安全性测试工具要求
(1)本项目在实施过程中所使用到的测评工具必须包含漏洞扫描系统。
(2)★必须保证所使用的所有工具和软件不会产生所有权和知识产权纠纷;并保证工具和软件的可用性和可靠性。由此产生的一切责任由成交人负完全责任。(响应文件中须提供承诺函,格式自拟)。
(3)★本项目使用的所有测评工具和软件无需本项目采购方购买,均由成交人自行提供。(响应文件中须提供承诺函,格式自拟)。
(4)★工具必须具备中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》(须承诺中标后签合同前取得厂家加盖公章的许可证复印件,格式自拟)。
(5)技术参数与要求:
|
工具名称 |
工具要求 |
|
漏洞扫描系统 |
需具备以下功能: ▲a、支持对SQL注入、XSS攻击、文件包含类等漏洞在扫描结果中有验证性,给予管理员漏洞存在性、可利用性以及漏洞利用方式的提醒。(提供功能截图); ▲b、支持设备内置VPN拨号扫描;(提供功能截图); ▲c、支持HTTP代理,提供HTTP代理服务器的功能,可用来获取通过用户名和密码登录时的coo.kie,从而进行登录扫描。(提供功能截图)。 |
3.9.服务时限要求
(1)自双方签订合同之日至“广东省智慧自然资源—国土空间规划配置与协同服务工程(2022-2024年度)项目”通过验收;
(2)项目每一阶段测评启动时,自采购人通知进场之日起7个工作日内,提供项目测试方案;
(3)项目每一阶段测试方案确认后30个工作日内,完成测试工作(不包含系统整改时间);
(4)成交人完成项目每一阶段测评工作,采购人确认报告无误后5个工作日内,提交项目正式测评报告。
3.10.项目工作地点要求
具体项目工作地点由采购人指定。
3.11.人员要求
供应商应指派固定的团队为本项目提供专业服务,服务团队成员不得少于7人。要求如下:
(1)项目经理:1人
全面负责本项目管理工作、负责项目计划制定、协调安排项目团队具体实施工作、负责对接采购人、系统开发商、密码设备厂商等关联主体以及配合采购人要求的其它项目相关工作。
(2)项目成员:不得少于6人
负责项目具体实施工作。
(3)如须调整服务团队成员,须书面向采购人提出申请,说明申请理由,经采购人书面同意方可调整团队人员,调入人员的资历和从业经验不低于调出人员,否则视为违约行为,采购人有权终止服务合同。
3.12.质量保障要求
测评单位应建立完善的检测机构管理体系,测评过程中,应通过各类评审和质量监督措施,保证测评过程、测评工作成果的质量。在完善的测试过程管理基础上,测评单位应配套提供完善的支撑过程,包括但不限于:
(1)保密管理:测评单位依据相关要求,建立完善的保密管理制度,确保采购人知识产权、专利权、技术秘密和商业秘密不受损害。
(2)配置管理:测评单位应配备配置管理员,使用配置管理软件完成测试各项接收件和中间过程产品、测试记录以及各类交互文件等文件配置项,使测评过程中涉及的各配置项处于受控状态。
(3)缺陷管理:应将测评过程的主要成果、缺陷的提交、确认、跟踪、整改和监督纳入管控,以支持各方协同、高效、规范地推进项目,并为合理评估项目质量提供基础数据。
3.13.售后服务要求
在服务期内,项目经理应根据项目需要到指定现场处理问题或交流情况(在接到采购人通知之时起,2小时内到位),由此产生的一切费用均由成交人承担。
3.14.服务成果与验收
(1)验收主体:采购人、成交人、监理。
(2)验收条件:至少满足下列条件,方可开展验收。
① 完成项目规定的全部内容后。
② 成果内容须符合规定的编制原则、编制规范等要点的规定。
③ 成果报告需做到材料完整、内容齐全,每阶段需提供测试方案、测试报告。
④ 广东省智慧自然资源——国土空间规划配置与协同服务工程(2022-2024年度)项目通过专家验收。
(3)成交人提交项目成果的形式:纸质文件、电子文件或者采购人要求的其他形式。
(4)验收时间:满足全部验收条件后5个工作日内开展本项目验收。
(5)验收程序:成交人应当在符合验收条件后,按照采购人要求的成果形式、数量和时间向采购人交付项目成果,并保证所有成果通过采购人验收。
3.15.知识产权产权归属
与本项目相关的成果、资料的知识产权归采购人所有。
3.16.保密
本项目实施期间所有相关的成果、资料,未经采购人同意,均不得复制、不得泄露、不得擅自修改、传送或向第三人转让或用于本合同外的项目;否则均以违法违约处理。成交人负有对成果资料保密的责任。
3.17.付款方式
3.17.1.合同预算金额及付款方式:
本项目预算金额为:人民币肆拾玖万陆仟陆佰元整(¥496,600.00),其中2022年合同预算金额壹拾伍万伍仟贰佰元整(¥155,200.00),2023年合同预算金额壹拾捌万叁仟壹佰元整(¥183,100.00),2024年合同预算金额壹拾伍万捌仟叁佰元整(¥158,300.00),分6期支付。实际支付金额以省财政厅下达的资金为准,每年实际金额以中标金额按比例折算。
第一阶段首款:合同签订并出具项目第一阶段测评方案,经采购人确认后,成交人开具与拟支付金额等额的合法发票。采购人收到发票的5个工作日内启动进度款支付流程,向成交人支付第一期款项,为2022年度合同金额60%。
第一阶段尾款:2023年第一季度,主项目第一阶段验收前,完成主项目第一阶段验收测评并出具测评报告。项目第一阶段通过专家验收后,成交人开具与拟支付金额等额的合法发票。采购人收到发票的5个工作日内启动进度款支付流程,向成交人支付第二期款项,为2022年度合同金额40%。
第二阶段首款:2023年4月,出具主项目第二阶段测评方案,经采购人确认后,成交人开具与拟支付金额等额的合法发票。采购人收到发票的5个工作日内启动进度款支付流程,向成交人支付第三期款项,为2023年度合同金额60%。
第二阶段尾款:2023年12月,主项目第二阶段验收前,完成主项目第二阶段验收测评并出具测评报告。项目第二阶段通过专家验收后,成交人开具与拟支付金额等额的合法发票。采购人收到发票的5个工作日内启动进度款支付流程,向成交人支付第四期款项,为2023年度合同金额40%。
第三阶段首款:2024年4月,出具主项目第三阶段测评方案,经采购人确认后,成交人开具与拟支付金额等额的合法发票。采购人收到发票的5个工作日内启动进度款支付流程,向成交人支付第五期款项,为2024年度合同金额60%。
第三阶段尾款:2024年12月,主项目第三阶段验收前,完成主项目第三阶段验收测评并出具测评报告。项目第三阶段通过专家验收后,成交人开具与拟支付金额等额的合法发票。采购人收到发票的5个工作日内启动进度款支付流程,向成交人支付第六期款项,为2024年度合同金额40%。
3.17.2因采购人使用的是财政资金,采购人在上述约定的付款时间为向政府采购支付部门提出办理财政支付申请手续的时间(不含政府财政支付部门审核的时间),在规定时间内提出支付申请手续后即视为采购人已经按期支付。
包组2:
(一)项目标的
|
采购内容 |
数量 |
服务期 |
最高限价 |
|
国土空间规划配置与协同服务(2022-2024年)项目-商用密码应用安全性评估服务 |
1项 |
自双方签订合同之日至广东省智慧自然资源-国土空间规划配置与协同服务工程(2022-2024年度)项目通过项目验收为止。 |
人民币38万元 |
(二)服务目标
在2022-2024年,根据广东省智慧自然资源——国土空间规划配置与协同服务工程(2022-2024年度)项目(以下简称“主项目”)进度开展3次商用密码应用安全性评估工作,并输出商用密码应用安全性评估报告,配合协助采购人完成广东省密码管理局的审核备案工作。
(三)服务内容
3.1.评估服务内容
商用密码应用安全性评估机构依据GB/T39786-2021《信息系统密码应用基本要求》、GM/T0115-2021《信息系统密码应用测评要求》、GM/T0116- 2021《信息系统密码应用测评过程指南》、《商用密码应用安全性评估测评作业指导书(试行)》、《政务信息系统密码应 用与安全性评估工作指南》和信息系统自身的安全需求分析,根据广东省智慧自然资源——国土空间规划配置与系统同服务工程(2022-2024年度)项目(以下简称“主项目”)进度,对广东省国土空间规划“一张图”实施监督信息系统(国土空间分析评价子系统、国土空间规划审查管理子系统、规划多端图形应用子系统、国土空间规划知识服务子系统、国土空间规划监测评估预警子系统、国土空间规划实施海域海岛管控子系统 、规划协同应用子系统)、广东省土地调查规划院业务综合管理平台系统(规划数据挖掘与指标管理子系统)、三维能力优化9个部分开展商用密码应用安全性评估,在2022-2024年开展3次商用密码应用安全性评估工作,并输出《商用密码应用安全性评估报告》,配合协助采购人完成广东省密码管理局的审核备案工作。
3.2.评估原则要求
信息系统的密码应用,应遵循以下基本原则:
合规性:信息系统中使用的密码应符合我国关法律法规要求,密码算法、技术和产品应遵循密码国家标准、行业标准的相关要求,使用的密码产品与密码模块应通过国家密码管理部门核准,使用的密码服务应通过国家密码管理部门许可。
正确性:信息系统具有复杂性和多样性的特点,网络攻击手段也同样层出不穷。面对不同信息系统应该使用何种密码算法、技术和产品,保护哪些敏感数据,以及如何进行保护,都需要采用正确的密码算法、技术和产品来设计,正确地进行密码设备设施部署,正确地运行使用密码保障系统。
有效性:信息系统的规划、建设和运行是一个系统工程,在信息系统整个生命周期的各环节中,存在诸如业务需求变更、配置管理调整等各种动态变化,信息系统密码应用因此也不是“一劳永逸、一成不变”的,必须紧跟信息系统变化,定期或不定期进行评估,确保密码应用始终有效。
3.3.评估方法要求
3.3.1.人员访谈
与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,一般应基本覆盖所有的密码应用相关人员类型,在数量上可以抽样。
3.3.2.配置检查
利用上机验证的方式检查密码设备、数据库、安全设备、应用系统等配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等),评估其实施的正确性和有效性,检查配置的完整性,从而测试系统是否达到可用性和可靠性的要求。
3.3.3.文档审查
检查制度、策略、操作规程、制度执行情况记录等文档(包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、密码设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档)的完整性,以及这些文件之间的内部一致性。
3.3.4.实地查看
通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,评估其是否达到了相应等级的密码应用安全要求。
3.3.5.工具检测
通过使用安全检测工具及手段,检测被测对象的安全性脆弱性,验证检测结果的有效性,从而评估系统是否达到密码安全有效的要求。
3.4.评估服务要求
3.4.1.测评依据
3.4.1.1.GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》
3.4.1.2.GM/T 0115《信息系统密码应用测评要求》
3.4.1.3.GM/T 0116《信息系统密码应用测评过程指南》
3.4.1.4.《信息系统密码应用高风险判定指引》
3.4.1.5.《商用密码应用安全性评估量化评估规则》
3.4.1.6.《商用密码应用安全性评估测评作业指导书(试行)》
3.4.1.7.《商用密码应用安全性评估FAQ》
3.4.2.测评要求
3.4.2.1.密码算法要求
信息系统中使用的密码算法应对符合法律、法规和密码相关国家标准、行业标准的有关要求。
3.4.2.2.密码技术要求
信息系统中使用的密码技术应遵循密码相关国家标准和行业标准。
3.4.2.3.密码产品要求
信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。
3.4.2.4.密码服务要求
信息系统中使用的密码服务应通过国家密码管理部门许可。
3.4.2.5.密码功能要求
3.4.2.5.1.机密性
使用密码加密功能实现机密性,信息系统中保护的对象为:
传输重要数据、敏感信息数据或整个报文;存储的重要数据和敏感信息数据;身份鉴别信息;秘钥数据。
3.4.2.5.2.完整性
使用消息鉴别码(MAC)或数字签名实现完整性,信息系统中保护的对象为:
3.4.2.5.2.1.传输重要数据、敏感信息数据或整个报文;
3.4.2.5.2.2.存储的重要数据和敏感信息数据;
3.4.2.5.2.3.身份鉴别信息;
3.4.2.5.2.4.秘钥数据;
3.4.2.5.2.5.日志记录;
3.4.2.5.2.6.访问控制信息;
3.4.2.5.2.7.重要信息资源敏感标记;
3.4.2.5.2.8.重要程序;
3.4.2.5.2.9.采用可信计算技术建立从系统到应用的信任链。
3.4.2.5.3.真实性
3.4.2.5.3.1.使用对称加密、动态口令、数字签名等实现真实性,信息系统中应用场景为:
3.4.2.5.3.2.进入重要物理区域人要的身份鉴别;
3.4.2.5.3.3.通信双方的身份鉴别;
3.4.2.5.3.4.网络设备接入时的身份鉴别;
3.4.2.5.3.5.采用可信计算技术的平台身份鉴别;
3.4.2.5.3.6.登录操作系统和数据库系统的用户身份鉴别;
3.4.2.5.3.7.应用系统的用户身份鉴别。
3.4.2.5.4.不可否认性
使用数字签名等密码技术实现实体行为的不可否认性,针对在信息系统中所有需要无法否认的行为,包括发送、接收、审批、创建、删除、添加、配置等操作。
3.4.3.测评指标
按照商用密码应用安全性分类分级评估的要求,依据《信息系统密码应用基本要求》(GB/T 39786-2021)要求及信息系统等级保护定级情况,基本测评指标如下表所示:
表:测评指标定义
|
指标类 |
测评指标 |
测评内容 |
|
总体要求 |
合规性 |
密码算法 |
|
合规性 |
密码技术 |
|
|
合规性 |
密码产品 |
|
|
合规性 |
密码服务 |
|
|
物理和环境安全 |
真实性 |
身份鉴别 |
|
完整性 |
电子门禁记录数据完整性 |
|
|
完整性 |
视频记录数据完整性 |
|
|
网络和通信安全 |
机密性和真实性 |
身份鉴别 |
|
完整性 |
访问控制信息完整性 |
|
|
完整性 |
通信数据完整性 |
|
|
机密性 |
通信数据机密性 |
|
|
集中管理 |
集中管理通道安全 |
|
|
设备和计算安全 |
真实性 |
身份鉴别 |
|
完整性 |
访问控制信息完整性 |
|
|
完整性 |
敏感标记的完整性 |
|
|
完整性 |
日志记录完整性 |
|
|
机密性 |
远程管理身份鉴别信息机密性 |
|
|
可信计算、完整性 |
重要程序或文件完整性 |
|
|
应用和数据安全 |
真实性 |
身份鉴别 |
|
完整性 |
访问控制 |
|
|
机密性 |
数据传输安全 |
|
|
机密性 |
数据存储安全 |
|
|
完整性 |
日志记录完整性 |
|
|
完整性 |
重要应用程序的加载和卸载 |
|
|
密钥管理 |
密码模块内部 |
生成 |
|
加密存储 |
存储 |
|
|
身份鉴别、数据完整性、数据机密性 |
分发 |
|
|
正确性、防窃取或篡改 |
导入与导出 |
|
|
正确使用、防泄露和替换 |
使用 |
|
|
明确备份策略、可审计 |
备份与恢复 |
|
|
安全性和正确性、仅用于历史信息、可审计、安全备份 |
归档 |
|
|
紧急情况可销毁 |
销毁 |
|
|
安全管理 |
制定密码安全管理制度 |
制度 |
|
定期修订安全管理制度 |
||
|
明确管理制度发布流程 |
||
|
制度执行过程记录留存 |
||
|
了解并遵守密码相关法律法规 |
人员 |
|
|
正确使用密码相关产品 |
||
|
建立岗位责任及人员培训制度 |
||
|
建立关键岗位人员保密制度和调离制度 |
||
|
设置密码管理和技术岗位并定期考核 |
||
|
规划 |
实施 |
|
|
建设 |
||
|
运行 |
||
|
应急预案 |
应急 |
|
|
事件处置 |
||
|
向有关主管部门上报处置情况 |
||
3.4.4.信息系统密码应用安全要求模型
按照分类分级的研究思想,从信息系统密码应用安全的技术要求、密钥管理、安全管理的三个维度出发,围绕信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面提出了面向等级保护第一至第四级的信息系统密码应用安全要求模型,如下图所示:
信息系统密码应用安全要求模型
不同等级的信息系统,其受保护的重要性不同,因此安全保护能力和要求也不同。信息系统密码应用安全要求针GB17859-1999《计算机信息安全保护等级划分准则》划分的一、二、三、四级信息系统在不同级别的条款上采用了要求力度逐级增强的描述,在控制点和要求项上也是逐项增强。
3.4.5.密码应用总体要求
信息系统密码应用安全的总体要求主要包括四个方面:
3.4.5.1.密码算法要求:信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。该要求目的是为了规范密码算法的使用。信息系统应使用国家密码管理部门认可的标准算法,比如SM2、SM3、SM4密码算法,这既是密码安全的基础保证,也为信息系统互联互通提供了便利。
3.4.5.2.密码技术要求:信息系统中使用的密码技术应遵循密码相关国家标准和行业标准。该要求目的是为了规范密码技术的使用。密码技术是指实现加密保护和安全认证等功能的技术,除了密码算法,还包括密码体制、密钥管理 和密码协议等,如SM2密钥交换协议。目前我国已建立了较为完备的密码标准体系,全面规范了各类密码系统中及不同应用场景下密码技术使用方法,信息系统应当遵循这些标准来实现所需的安全功能。
3.4.5.3.密码产品要求:信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。该要求目的是为了规范密码产品和密码模块的使用。信息系统中所用的密码产品与密码模块应都是通过国家密码管理部门核准的、合规的产品与模块。这里的密码产品和密码模块是狭义的概念,事实上彼此有所交叠,广义上都属于“密码模块”。例如智能密码钥匙从接口上应当符合GM/T0016[12]、GM/T0017的定义,功能上应当符合GM/T0027的要求,但作为密码模块看,其自身安全性应达到GM/T 0028[15]规定的模块的某个安全级别。
3.4.5.4.密码服务要求:信息系统中使用的密码服务应通过国家密码管理部门许可。该要求目的是为了规范密码服务的使用。信息系统应使用密码管理部门许可的密码服务。现阶段最为成熟典型的密码服务是电子认证服务。根据《电子签名法》的有关规定,信息系统中如使用了第三方电子认证服务机构提供的电子认证服务,服务机构必须提供国家密码管理部门颁发的《电子认证服务使用密码许可证》。
3.4.6.测评步骤
整个测评过程分为四个步骤,如下图所示:
测评步骤
3.4.6.1.测评准备活动
被测单位首先根据系统部署及密码应用情况填写系统情况说明表并完善相关信息,收集的信息包括采用何种类型密码算法,部署何种密码设备等。测评方经了解被测系统在用户身份鉴别、数据传输和密钥管理等方面所使用的密码技术,查阅相应技术方案评估结论并结合实际系统密码技术应用情况,确认其密码应用方案是否基本正确、完备及合理。
3.4.6.2.方案编制活动
测评方根据收集到的相关信息编制测评方案,测评方案需确定测评对象、测评指标、测试检查点和测评内容。此处测评对象范围可包括机房、网络设备、安全设备、服务器、数据库管理系统、业务应用软件、安全管理文档以及相关人员等。测评方案经被测单位签字确认后方可实施。测评方根据测评方案及系统情况准备现场测评工具和相应表单。
3.4.6.3.现场测评活动
在正式现场测评活动开始之前,先召开测评现场首次会,进一步明确测试内容和时间安排,研判测评过程中可能存在的安全风险。会后被测单位需签署现场测评授权书。
在现场测评过程中,主要采用访谈、检查和测试相结合的方式,具体包括:查看系统所使用密码设备及其对应的国家密码管理部门审批的型号证书;通过抓包工具分析传输的网络数据和设备数据加密情况;在被测单位技术人员配合下检查服务器、操作系统、数据库系统、网络和安全设备、应用系统及物理机房的密码应用情况;通过访谈确认其密钥管理和安全管理制度均得到有效实施等。如需要借助工具进行测评时,在工具接入前应确认被测系统已备份过系统和数据,并签订相应的风险确认书。
现场测评结束后召开末次会,测评双方对测评结果进行现场确认,并在测评记录上签字。
3.4.6.4.分析及报告编制活动
在现场测评工作结束后,测评方对现场测评获得的测评结果进行汇总分析,形成密码应用安全性测评结论及测评报告。测评结论需在单元测评结果基础上形成,并应整体考虑系统中存在的与密码应用相关联的功能增强、补充或削弱作用,进而通过风险分析对发现的问题进行风险等级综合评价,最终形成测评结论并提出整改意见。
(四)服务期
自双方签订合同之日至广东省智慧自然资源-国土空间规划配置与协同服务工程(2022-2024年度)项目通过项目验收为止。
(五)项目工作地点要求
广东省土地调查规划院。
(六)人员要求
供应商应指派固定的团队为本项目提供专业服务,服务团队成员不得少于7人。要求如下:
6.1.项目经理:1人
全面负责本项目管理工作、负责项目计划制定、协调安排项目团队具体实施工作、负责对接采购人、系统开发商、密码设备厂商等关联主体以及配合采购人要求的其它项目相关工作。
6.2.项目成员:不得少于6人
负责项目具体实施工作。
6.3.如须调整服务团队成员,须书面向采购人提出申请,说明申请理由,经采购人书面同意方可调整团队人员,调入人员的资历和从业经验不低于调出人员,否则视为违约行为,采购人有权终止服务合同。
(七)质量保障要求
为使项目按质、按量、按时及有序实施,供应商应建立完善、稳定的项目团队、内部组织管理方式及管理机构、协调机制、技术基础,具有完备的项目组织管理方案、项目质量管理方案等管理制度,支撑保障要求及其他相关要求,确保项目的顺利实施。
(八)售后服务要求
8.1.售后服务期:项目合同签订之日起提供3年(36个月)的售后服务。
8.2.跟进密评要求,为项目系统密码应用改造提供咨询及指导。
8.3.响应时间:供应商需在2小时内响应,4小时内提供技术支持,一般情况需在24小时内反馈采购人的问题,特殊情况需与采购人说明情况。
(九)进度要求
在合同签订之日起至2023年第一季度完成第一次商用密码安全评估工作;2023年12月前完成第二次商用密码安全评估工作,2024年12月前完成第三次商用密码安全评估工作,成交人完成项目成果交付。
(十)服务成果及验收
10.1.验收主体:采购人、成交人、监理。
10.2.验收条件:至少满足下列条件,方可开展验收。
10.2.1.完成项目规定的全部内容后。
10.2.2.成果内容须符合规定的编制原则、编制规范等要点的规定。
10.2.3.成果报告需做到材料完整、内容齐全,每阶段需提供评估方案、评估报告。
10.2.4.评估报告需通过广东省密码管理局审核备案。
10.2.5.广东省智慧自然资源——国土空间规划配置与协同服务工程(2022-2024年度)项目通过专家验收。
10.3.成交人提交项目成果的形式:纸质文件、电子文件或者采购人要求的其他形式。
10.4.验收时间:满足全部验收条件后5个工作日内开展本项目验收。
10.5.验收程序:成交人应当在符合验收条件后,按照采购人要求的成果形式、数量和时间向采购人交付项目成果,并保证所有成果通过采购人验收。
(十一)培训要求
供应商需围绕商用密码技术应用方面开展一场专业培训,少于2学时,不少于10人次。并制定项目培训方案,内容不限于:培训内容、教材、时间、地点、人次等。
(十二)保密要求
12.1.供应商须签订保密协议,对其因身份、职务、职业或技术关系而知悉的采购人工作秘密和党政机关保密信息应严格保守,保证不被披露或使用,包括意外或过失。
12.2.供应商不得以竞争为目的、或出于私利、或为第三人谋利而擅自保存、披露、使用采购人工作秘密和党政机关保密信息;不得直接或间接地向无关人员泄露采购人的工作秘密和党政机关保密信息;不得向不承担保密义务的任何第三人披露采购人的工作秘密和党政机关保密信息。供应商在从事政府项目时,不得擅自记录、复制、拍摄、摘抄、收藏在工作中涉及的保密信息,严禁将涉及政府项目的任何资料、数据透露或以其他方式提供给项目以外的其他方或供应商内部与该项目无关的任何人员。
12.3.供应商对于工作期间知悉采购人的工作秘密和党政机关保密信息(包括业务信息在内)或工作过程中接触到的政府机关文件(包括内部发文、各类通知及会议记录等)的内容,同样承担保密责任,严禁将政府机关内部会议、谈话内容泄露给无关人员;不得翻阅与工作无关的文件和资料。
12.4.严禁泄露在工作中接触到的政府机关科技研究、发明、装备器材及其技术资料和政府工作信息。
(十三)付款方式
1.合同金额及付款方式:
本项目预算金额为:人民币叁拾捌万元整(¥38,0000.00),其中2022年合同预算金额壹拾壹万元整(¥110,000.00),2023年合同预算金额壹拾陆万元整(¥160,000.00),2024年合同预算金额壹拾壹万元整(¥110,000.00),分6期支付。实际支付金额以省财政厅下达的资金为准,每年实际金额以中标金额按比例折算。
第一阶段首款:合同签订并出具项目第一阶段规划一张图系统评估方案,经采购人确认后,成交人开具与拟支付金额等额的合法发票。采购人收到发票的5个工作日内启动进度款支付流程,向成交人支付第一期款项,为2022年度合同金额60%。
第一阶段尾款:2023年第一季度,项目第一阶段验收前,完成项目第一阶段规划一张图系统密评工作并出具评估报告。项目第一阶段通过专家验收后,成交人开具与拟支付金额等额的合法发票。采购人收到发票的5个工作日内启动进度款支付流程,向成交人支付第二期款项,为2022年度合同金额40%。
第二阶段首款:2023年4月,出具项目第二阶段规划一张图系统评估方案,经采购人确认后,成交人开具与拟支付金额等额的合法发票。采购人收到发票的5个工作日内启动进度款支付流程,向成交人支付第三期款项,为2023年度合同金额60%。
第二阶段尾款:22023年12月,项目第二阶段验收前,完成项目第二阶段规划一张图系统评估工作并出具评估报告。项目第二阶段通过专家验收后,成交人开具与拟支付金额等额的合法发票。采购人收到发票的5个工作日内启动进度款支付流程,向成交人支付第四期款项,为2023年度合同金额40%。
第三阶段首款:2024年4月,出具项目第三阶段规划一张图系统评估方案,经采购人确认后,成交人开具与拟支付金额等额的合法发票。采购人收到发票的5个工作日内启动进度款支付流程,向成交人支付第五期款项,为2024年度合同金额60%。
第三阶段尾款:2024年12月,项目第三阶段验收前,完成项目第三阶段规划一张图系统评估工作并出具评估报告。项目第三阶段通过专家验收后,成交人开具与拟支付金额等额的合法发票。采购人收到发票的5个工作日内启动进度款支付流程,向成交人支付第六期款项,为2024年度合同金额40%。
2、因采购人使用的是财政资金,采购人在上述约定的付款时间为向政府采购支付部门提出办理财政支付申请手续的时间(不含政府财政支付部门审核的时间),在规定时间内提出支付申请手续后即视为采购人已经按期支付。
包组3:
(一)项目一览表
|
项目名称 |
采购内容 |
数量 |
服务期 |
最高限价 |
|
国土空间规划配置与协同服务(2022-2024年)项目-网络安全等级保护测评服务 |
1、广东省国土空间规划“一张图”实施监督信息系统三级信息安全等级保护测评(3次) 2、广东省土地调查规划院业务综合管理平台二级信息安全等级保护测评(1次) |
1项 |
自双方签订合同之日起3年内 |
人民币28万元 |
(二)项目目标
根据《广东省智慧自然资源-国土空间规划配置与协同服务(2022-2024年)项目》和《中华人民共和国网络安全法》的要求,对广东省国土空间规划“一张图”实施监督信息系统和广东省土地调查规划院业务综合管理平台开展网络安全等级保护测评服务,确保系统满足对应等级的安全防护要求。
(三)测评要求
3.1.概述
3.1.1.测评依据
3.1.1.1.基线标准
3.1.1.1.1.《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019);
3.1.1.1.2.《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019);
3.1.1.1.3.《信息安全技术 网络安全等级保护测试评估技术指南》(GB∕T 36627-2018)
3.1.1.2.辅助标准
3.1.1.2.1.《信息系统安全等级保护实施指南》(GB/T 25058-2019);
3.1.1.2.2.《计算机信息系统安全保护等级划分准则》(GB 17859-1999);
3.1.1.2.3.《信息系统等级保护等级定级指南》(GB/T 22240-2020);
3.1.1.2.4.《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007);
3.1.1.2.5.《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018);
3.1.1.2.6.《信息安全技术 信息安全风险评估模型》(GB/T 20984-2007)。
3.1.1.3.相关遵从
3.1.1.3.1.《中华人民共和国网络安全法》;
3.1.1.3.2.《信息安全等级保护管理办法》(公通字[2007]43号);
3.1.1.3.3.《广东省公安厅关于计算机信息系统安全保护的实施办法》(粤公通字[2008]228号);
3.1.1.3.4.被测信息系统《等级保护定级报告》;
3.1.1.3.5.等级测评任务书/测评合同等。
3.1.2.测评目标
本项目将按照《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)完成网络系统等级保护测评工作,出具《网络安全等级测评报告》。
通过本项目的实施,完成年度初次网络安全等级保护测评任务,并且建立持续评估、基线保护、体系化保障网络系统与IT基础设施安全的有效机制,满足网络系统高效安全稳定运行的需求,保障IT战略目标的实现。落实国家监管单位的信息安全等级保护建设要求和法规遵从,按照相关法规、标准和行业最佳实践持续运维调整,全面提高信息安全防护能力,重点保障信息网络和重要信息系统安全,创建安全稳定网络环境。
3.1.3.测评原则
3.1.3.1.客观性和公正性原则
测评工作虽然不能完全摆脱个人主张或判断,但测评人员应当在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。
3.1.3.2.经济性和可重用性原则
基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果,都应基于这些结果还能适用于目前的系统,能反映目前系统的安全状态。
3.1.3.3.可重复性和可再现性原则
无论谁执行测评,依照同样的要求,使用同样的方法,对每个测评实施过程的重复执行都应该得到同样的测评结果。可再现性体现在不同测评者执行相同测评的结果的一致性。可重复性体现在同一测评者重复执行相同测评的结果的一致性。
3.1.3.4.符合性和整体性原则
测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。整体性体现在等级测评的范围和内容应当系统、全面,覆盖信息系统安全所涉及的各个层面,并考虑各个层面的相互关系。
3.1.3.5.最小影响和保密性原则
测评工作应尽可能小地影响网络和系统的正常运行,不能对系统的业务产生显著影响。保密性体现在对测评过程中所接触到的被测系统运营、使用单位的所有敏感信息,测评人员应遵循相关的保密承诺,不利用它们进行任何侵害被测系统运营、使用单位安全利益的行为。
3.1.4.测评进度计划表
|
序号 |
拟定时间安排 |
计划完成的工作内容 |
交付物 |
|
第一阶段 |
2022年12月前 |
合同签订并出具2022年测评方案 |
《系统测评方案》 |
|
2023 年06月前 |
完成2022年度项目等保测评,出具广东省国土空间规划“一张图”实施监督信息系统等级保护测评报告并通过省公安厅备案 |
《等级保护测评报告》 |
|
|
第二阶段 |
2023年07月前 |
出具2023年测评方案 |
《系统测评方案》 |
|
2024年06月前 |
完成2023年度项目等保测评,出具广东省国土空间规划“一张图”实施监督信息系统等级保护测评报告、广东省土地调查规划院业务综合管理平台等级保护测评报告并通过省公安厅备案 |
《等级保护测评报告》 |
|
|
第三阶段 |
2024年07月前 |
出具2024年测评方案 |
《系统测评方案》 |
|
2025年06月前 |
完成本年度项目等保测评,出具广东省国土空间规划“一张图”实施监督信息系统等级保护测评报告并通过省公安厅备案 |
《等级保护测评报告》 |
3.2.等级测评范围
测评主要针对广东省土地调查规划院(以下简称“规划院”)需要测评系统所涉及的网络设备、安全设备、物理环境、应用系统、操作系统、数据库、中间件、安全管理制度、操作管理流程等进行合规性检查,具体如下:
(1)通过漏洞扫描、渗透验证等方式,全面查找信息系统存在的安全隐患。
(2)检查所涉及的网络设备、主机服务器、数据库、中间件、应用软件等设备安全基线配置是否达到国家标准要求;
(3)审核信息系统业务管理流程、操作规程、管理制度是否存在管理缺陷。
3.3.项目服务内容
3.3.1.协助定级备案
根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门,应当在安全保护等级确定后,到当地公安机关网监部门办理备案手续。根据规划院的实际情况,因此需要完成安全保护等级备案工作。
3.3.1.1.信息系统定级原则
信息系统作为保护对象,《管理办法》中将信息系统分为五级,分别为:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
3.3.1.2.信息系统业务安全性分析
通过对信息系统所承载业务及业务流程的分析,分析信息系统内信息资产和信息系统所提供服务的重要性,协助用户判断信息系统中业务信息和所提供的服务机密性、完整性或可用性等安全属性遭到破坏后,对国家安全利益、经济建设、公共利益或单位利益所造成的影响程度。为子系统划分和信息系统定级打下扎实基础。
3.3.1.3.系统划分
对于承载多项业务的用户信息系统,测评机构在深入分析各项业务性质、特点及信息系统的实际情况基础上,对信息系统按业务子系统进行合理划分。
3.3.1.4.系统辅助定级
依据《信息系统安全保护等级定级指南》所提出的4个定级要素,灵活运用指南中所提出的确定信息系统安全保护等级的步骤和方法,在信息系统业务安全性分析的基础上,提出等级建议,协助规划院进行系统定级。
3.3.1.5.协助用户完成等级备案
根据公安部等级保护相关备案要求,协助规划院完成等级保护备案工作,直至获得信息系统安全等级保护备案证明。
3.3.2.安全评估服务
3.3.2.1.评估目标
依据《信息系统安全等级保护基本要求》《信息系统安全等级保护测评要求》,对规划院信息系统备案安全等级相对应的测评项进行符合性测评,检查、分析规划院信息系统的安全现状与所备案安全等级要求之间的差距,了解单位信息系统的现状,确定不符合安全项。并出具是否满足信息系统安全保护等级的差距评估报告,用以指导信息系统等级保护安全整改工作。
3.3.2.2.安全评估流程
3.3.2.2.1.确定安全评估方案
成交人对信息系统开展前期调研,根据定级报告中被评估信息系统的安全等级(S,A,G),从等级保护基本要求的指标中选择和组合评估用的安全指标,形成一套信息系统的评估指标,作为差距分析评估的依据;将具体差距分析评估对象和评估指标进行结合,确定评估范围,形成评估使用的评估方案。
3.3.2.2.2.准备安全分析表
成交人通过准备好的安全分析表,与采购人确认现场沟通的对象(部门和人员),准备相应的检查内容。
安全分析表包含以下内容:
① 安全技术分析:包括网络安全、主机安全、应用安全、数据安全及备份恢复;
② 安全管理分析:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理;
③ 系统运维分析:包括环境管理、资产管理、介质管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置;
④ 物理安全分析:包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
⑤ 不同安全保护级别的系统所使用的差距分析表的内容也不同。
3.3.2.2.3.现场安全分析
成交人根据所确定的安全评估指标和安全评估方案,通过询问、检查和测试等多种手段,将系统现状与安全评估指标进行逐一对比,记录当前的现状情况,找到与评估指标之间的差距。
① 判断安全管理方面与评估指标的符合程度
通过观察现场、询问人员、查询资料、检查记录等方式进行安全管理方面的评估,准确记录评估结果,判断安全管理的各个方面与评估指标的符合程度,给出判断结论。
② 判断安全技术方面与评估指标的符合程度
通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术方面的评估,准确记录评估结果,判断安全技术的各个方面与评估指标的符合程度,给出判断结论。
3.3.2.2.4.编写安全整改方案
完成现场差距分析之后,成交人归纳整理、根据等级指标对比评估结果记录,结合被评估单位提供的各种资料,进行全面的综合分析,找出目前信息系统与等级保护安全要求之间的差距,明确不符合项,在其安全差距评估所发现的安全隐患和问题的基础上,按照国家等级保护相关建设规范和技术要求,结合被评估单位的信息系统的真实情况和具体需求,设计完善、全面、合规的整改方案,保证规划院信息系统在按照整改方案进行合规性整改后,可控制安全隐患和问题,同时安全防护能力达到《信息安全技术信息系统安全等级保护基本要求》中相关技术和管理要求。
3.3.2.3.安全评估内容
3.3.2.3.1.安全技术评估
3.3.2.3.1.1.物理环境安全评估
主要考察信息系统所在物理环境(包括中心机房和各处配线间)相关的防火、防水、防雷、防盗和不间断电源等保障物理安全的各种设施。
3.3.2.3.1.2.计算机网络安全评估
检查、测试网络拓扑结构、城域网和互联网连接的路由器、交换机、防火墙以及其他信息安全设备、各应用服务器的基本配置和安全策略;检查整体网络的数据流信息。
3.3.2.3.1.3.操作系统安全评估
检查、测试所有网络设备、信息安全设备和服务器的操作系统,检查所有设备的windows、Linux和专业操作系统的基本配置和安全策略。是否及时安装最新补丁进行针对性检查。
3.3.2.3.1.4.应用系统安全评估
对所有业务系统和门户网站等重要信息系统进行安全配置检查和测试。
3.3.2.3.1.5.数据库安全评估
对各种数据库进行安全检查和测试。例如某业务系统中数据库是否安装最新补丁,管理帐户是否存在弱口令等进行检测。
3.3.2.3.1.6.未控制网络链接评估
获得所有未控制并能够连接到网络的设备信息(例如调制解调器、第二块网卡、USB网卡、1394接口网卡等)。防止未经授权的拨入。
3.3.2.3.1.7.防病毒及恶意软件评估
检查所有服务器的杀毒软件系统和单机防恶意软件系统
3.3.2.3.1.8.灾难恢复策略评估
审核并检查数据备份及灾难恢复计划,了解是否进行应急演练,并提出改进建议。
3.3.2.3.1.9.安全控制策略评估
边界访问控制的防火墙、入侵检测系统、网络防病毒系统、内网安全管理系统等设备的配置策略。负责安全政策的编制管理人员、办公人员的安全意识、各种安全管理规章制度等。
3.3.2.3.2.安全管理评估
通过查阅文档、抽样调查等方法,针对被测单位在信息安全方面制定规章制度的合理性、适用性等进行评估,主要包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等内容。
人员访谈
内容:针对组织内的安全管理人员、安全员、安全主管、工作人员、关键活动批准人、管理人员、机房值守人员、人事负责人、人事工作人员、审计员、网络管理员、文档管理员、物理安全负责人、系统管理员、系统建设负责人、系统运维负责人、资产管理员等不同类型岗位的人员访谈
文档检查
内容:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面的文档检查。
3.3.3.等级保护测评服务
3.3.3.1.测评流程
参照《信息安全技术信息系统安全等级保护测评过程指南》的内容,测评机构将规划院信息系统的等级保护测评过程分为以下四个基本测评活动:测评准备活动、测评方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
3.3.3.1.1.测评准备阶段
1)测评项目组组建:明确项目经理、测评人员及职责分工。
2)项目计划书编制:项目计划书包含项目计划、项目人员、工作内容和项目组织等。
3)信息系统调研:通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,明确被测系统的范围(特别是信息系统的边界),了解被测系统的详细构成,包括网络拓扑、业务应用、业务流程、设备信息(服务器、数据库、网络设备、安全设备、数据库等)、管理制度等。
4)工具和表单准备:根据被测系统的实际情况,准备测评工具和各类测评表单。
3.3.3.1.2.方案编制阶段
1)测评对象确定:根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,确定出本次测评的测评对象。
2)测评指标确定:根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。
3)测评工具接入点确定:确定需要进行工具测试的测评对象,选择测试路径,根据测试路径确定测试工具的接入点。
4)测评内容确定:确定现场测评的具体实施内容,即单元测评内容。
5)测评实施手册开发:编制测评实施手册,详细描述现场测评的工具、方法和操作步骤等,具体指导测评人员如何进行测评活动。
3.3.3.1.3.现场测评阶段
现场测评分别从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面分别进行。
1)现场测评的访谈、检查、测试工作需要进入信息系统所在机房,与规划院工作人员进行座谈,使用工具对规划院网络、设备等进行现场检查和测试,因此,需要规划院安排相应的时间、地点、人员配合测评工作;
2)在测评过程中需要用到规划院相关数据和资料(如:机房设计文档、网络拓扑图、网站系统测试帐号、网站系统建设资料、系统日志等),规划院会尽力配合提供;
3)规划院安排相关人员提供现有的管理制度集,规划院就制度中部分具体事项(如具体人员、机构、流程等)会给予明确回复以确保管理制度集符合规划院的实际情况。
3.3.3.1.4.分析与报告编制阶段
1)单项测评结果分析:针对测评指标中的单个测评项,结合具体测评对象,客观、准确地分析测评证据。
2)单元测评结果判定:将单项测评结果进行汇总,分别统计不同测评对象的单项测评结果,从而判定单元测评结果,并以表格的形式逐一列出。
3)整体测评:针对单项测评结果的不符合项,采取逐条判定的方法,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果,并对系统结构进行整体安全测评。
4)风险分析:据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。
5)等级测评结论形成:在测评结果汇总的基础上,找出系统保护现状与等级保护基本要求之间的差距,并形成等级测评结论。
6)测评报告编制:根据等级测评结论,编制测评报告,包括概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论等。
3.3.3.2.测评方法
在等级保护测评过程目中,采用以下测评方法:
3.3.3.2.1.工具测试
1.本项目在实施过程中所使用到的专业安全测评工具必须包含漏洞评估系统。
2.★必须保证所使用的所有工具和软件不会产生所有权和知识产权纠纷;并保证工具和软件的可用性和可靠性。由此产生的一切责任由成交人负完全责任。(响应文件中须提供承诺函,格式自拟)。
3.★本项目使用的所有测评工具和软件无需本项目采购方购买,均由成交人自行提供。(响应文件中须提供承诺函,格式自拟)。
4.★工具必须具备中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》(须承诺中标后签合同前取得厂家加盖公章的许可证复印件,格式自拟)。
5.技术参数与要求:
|
工具名称 |
工具要求 |
|
漏洞评估系统检查工具 |
工具原厂商为中国境内注册,产品拥有自主知识产权,并且为国内研发和生产,工具需具备以下检测能力: ▲a、系统应能提供5大独立扫描模块,包含系统扫描、Web扫描、数据库扫描、弱口令扫描、基线配置核查的全面扫描能力,每个模块具备各自的配置项,可灵活修改每个模块的配置参数以满足不同场景下的扫描需求。(提供产品功能截图); b、系统应支持部署在IPV4、IPV6环境下,且系统扫描、Web扫描、数据库扫描、弱口令扫描、基线配置核查等各类型任务均支持添加IPv6扫描目标。(提供产品功能截图); ▲c、系统应支持自定义基线核查规则,可基于系统内置的检查规则快速修改基线值或参数,以满足特定配置核查要求。(提供产品功能截图); d、系统应支持自定义访问控制策略,能够限制访问系统的源IP,能够限制访问系统的方式,可限制仅支持Web访问或仅支持SSH远程访问。(提供产品功能截图); ▲e、系统应支持针对指定IP段,同时一键下发系统扫描、Web扫描、弱口令扫描任务,其中Web扫描能够自动发现该网段内的在线网站并开展扫描;弱口令扫描能自动发现该网段IP开放服务并自动开展弱口令扫描。(提供产品功能截图); ▲f、系统应支持自动探测指定IP段的已知、未知Web站点,并可一键转为Web资产或一键下发Web扫描任务。(提供产品功能截图); ▲g、系统应提供Web漏洞验证工具,至少具备三种漏洞验证方式。(提供产品功能截图)。 |
3.3.3.2.2.配置检查
利用上机验证的方式检查主机、服务器、数据库、网络设备、安全设备、应用系统的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等),测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性,从而测试系统是否达到可用性和可靠性的要求。
3.3.3.2.3.人员访谈
与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,不同等级信息系统在测评时有不同的要求,一般应基本覆盖所有的安全相关人员类型,在数量上可以抽样。
3.3.3.2.4.文档审查
检查制度、策略、操作规程、制度执行情况记录等文档(包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档)的完整性,以及这些文件之间的内部一致性。
3.3.3.2.5.实地查看
通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。
3.3.3.3.测评内容
3.3.3.3.1.安全技术测评
物理安全:测评信息系统的物理安全保障情况。主要涉及对象为物理基础设施。在内容上,物理安全层面测评实施过程涉及10个测评单元,包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
网络安全:测评信息系统的网络安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构。在内容上,网络安全层面测评实施过程涉及7个测评单元,包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护、恶意代码防范。
主机安全:测评信息系统的主机安全保障情况。主要涉及对象为各类服务器的操作系统、数据库管理系统。在内容上,主机系统安全层面测评实施过程涉及7个测评单元,包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、剩余信息保护。
应用安全:测评信息系统的应用安全保障情况,主要涉及对象为各类应用系统。在内容上,应用安全层面测评实施过程涉及9个测评单元,包括:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制、剩余信息保护、抗抵赖。
数据安全:测评信息系统的数据安全保障情况,主要涉及对象为信息系统的管理数据及业务数据等。在内容上,数据安全层面测评实施过程涉及3个测评单元,包括:数据完整性、数据保密性、备份和恢复。
3.3.3.3.2.安全管理测评
安全管理制度:测评信息系统的安全管理制度情况。在内容上,安全管理制度方面测评实施过程涉及3个测评单元,包括:管理制度、制定和发布、评审和修订。
安全管理机构:测评信息系统的安全管理机构情况。在内容上,安全管理机构方面测评实施过程涉及5个测评单元,包括:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
人员安全管理:测评信息系统的人员安全管理情况。在内容上,人员安全管理方面测评实施过程涉及5个测评单元,包括:人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。
系统建设管理:测评信息系统的系统建设管理情况。在内容上,系统建设管理方面测评实施过程涉及11个测评单元,包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案、系统测评。
系统运维管理:测评信息系统的系统运维管理情况。在内容上,系统运维管理方面测评实施过程涉及13个测评单元,包括:环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、监控管理和安全管理中心。
3.3.3.3.3.系统整体测评
从信息系统整体上测评主要目的是分析是否能够对抗相应等级威胁的角度,对安全技术测评和安全管理测评中的不符合项和部分符合项进行综合分析,分析这些不符合项或部分符合项是否会影响到信息系统整体安全保护能力的缺失。信息系统的整体测评,就是在单元测评的基础上,评价信息系统的整体安全保护能力有没有缺失,是否能够对抗相应等级的安全威胁。
信息系统整体测评从安全控制点间、层面间和区域间等方面进行安全分析和测评,并最后从系统结构安全方面进行综合分析,对系统结构进行安全测评。
(四)服务要求
4.1.等级保护测评实施要求
4.1.1.应通过自身在等保测评工作中积累的经验,结合自身的技术优势,充分考虑到信息系统实际情况,提供一份具体细致的、操作性强的等级保护实施计划,协助完成信息系统等级保护的相关工作。
4.1.2.应依据《信息安全等级保护管理办法》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护测评准则》《信息系统安全等级保护实施指南》和《信息安全风险评估规范》等有关要求,按照严格程序对信息系统的安全防护能力进行科学公正的综合测评活动,完成对信息系统的等级保护落实情况与等级保护相关标准要求之间的符合程度的测试判定。
4.1.3.整理测评数据,对资料和测评结果进行综合分析,形成测评报告。
4.1.4.通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现信息系统安全等级。做到不同安全等级的信息系统应具有不同的安全保护能力,并使信息系统安全等级保护达到广东省公安厅对信息系统安全等级保护工作的各项要求。
4.2.项目工作地点要求
广州市。
4.3.人员要求
应指派固定的团队为本项目提供专业服务,服务团队成员不得少于4人。要求如下:
(1)项目经理:1人
全面负责本项目管理工作、负责项目计划制定、协调安排项目团队具体实施工作、负责对接采购人以及配合采购人要求的其它项目相关工作。
(2)项目成员:不得少于3人
负责项目具体实施工作。
(3)如须调整服务团队成员,须书面向采购人提出申请,说明申请理由,经采购人书面同意方可调整团队人员,调入人员的资历和从业经验不低于调出人员,否则视为违约行为,采购人有权终止服务合同。
4.4.项目应急预案
安全应急响应主要是针对安全事件发生时,及时,准确的解决安全事件,化解安全危机、将安全事件的风险及损失降到最低。
4.5.质量管控措施方案
积极、主动协调内外关系,调动各方面的积极因素,按有关规定及时完成等保测评工作,确保项目服务顺利进行。
4.6.保密要求
须保证对本项目实施中所获得任何资料和信息严格保密,并与采购人签订保密责任书。
4.7.售后要求
在服务期内,成交人应提供7*24热线电话支持服务,并组织小组全力保障本次项目顺利完成。
1)售后服务人员配置
本项目实施完成后,配备项目售后人员,在规划院发生关于信息安全问题,可致电相关售后人员或者项目负责人;
2)售后服务机构配置
安全小组在服务期内进行安全咨询保障,若规划院有安全咨询或重大安全检查,可以提供远程协助和指导,必要时可进行现场指导;
3)服务文档管理
在服务期内,协助规划院进行安全等级保护工作材料存档。
(五)服务成果及验收
5.1.验收主体:采购人、成交人、监理。
5.2.验收条件:至少满足下列条件,方可开展验收。
5.2.1.完成项目规定的全部内容后。
5.2.2.成果内容须符合规定的编制原则、编制规范等要点的规定。
5.2.3.成果报告需做到材料完整、内容齐全,每阶段需提供测评方案、测评报告。
5.2.4.测评报告需通过广东省公安厅备案。
5.2.5.广东省智慧自然资源——国土空间规划配置与协同服务工程(2022-2024年度)项目通过专家验收。
5.3.成交人提交项目成果的形式:纸质文件、电子文件或者采购人要求的其他形式。
5.4.验收时间:满足全部验收条件后5个工作日内开展本项目验收。
5.5.验收程序:成交人应当在符合验收条件后,按照采购要求的成果形式、数量和时间向采购人交付项目成果,并保证所有成果通过采购人验收。
(六)付款方式
1、合同预算金额及付款方式:
本项目预算金额为:人民币贰拾捌万元整(¥280,000.00),其中2022年合同预算金额捌万元整(¥80,000.00),2023年合同预算金额壹拾贰万元整(¥120,000.00),2024年合同预算金额捌万元整(¥80,000.00),分6期支付。实际支付金额以省财政厅下达的资金为准,每年实际金额以中标金额按比例折算。
第一阶段首款:合同签订并出具2022年测评方案,经采购人确认后,成交人开具与拟支付金额等额的合法发票。采购人收到发票的5个工作日内启动进度款支付流程,向成交人支付第一期款项,为2022年度合同金额60%。
第一阶段尾款:2023年6月前,完成2022年度项目等保测评,出具广东省国土空间规划“一张图”实施监督信息系统等级保护测评报告并通过省公安厅备案后,成交人开具与拟支付金额等额的合法发票。采购人收到发票的5个工作日内启动进度款支付流程,向成交人支付第二期款项,为2022年度合同金额40%。
第二阶段首款:2023年7月前,出具2023年测评方案,经采购人确认后,成交人开具与拟支付金额等额的合法发票。采购人收到发票的5个工作日内启动进度款支付流程,向成交人支付第三期款项,为2023年度合同金额60%。
第二阶段尾款:2024年6月前,完成本年度项目等保测评,出具广东省国土空间规划“一张图”实施监督信息系统等级保护测评报告、广东省土地调查规划院业务综合管理平台等级保护测评报告并通过省公安厅备案后,成交人开具与拟支付金额等额的合法发票。采购人收到发票的5个工作日内启动进度款支付流程,向成交人支付第四期款项,为2023年度合同金额40%。
第三阶段首款:2024年7月前,出具2024年测评方案,经采购人确认后,成交人开具与拟支付金额等额的合法发票。采购人收到发票的5个工作日内启动进度款支付流程,向成交人支付第五期款项,为2024年度合同金额60%。
第三阶段尾款:2025年6月前,完成本年度项目等保测评,出具广东省国土空间规划“一张图”实施监督信息系统等级保护测评报告并通过省公安厅备案后,成交人开具与拟支付金额等额的合法发票。采购人收到发票的5个工作日内启动进度款支付流程,向成交人支付第六期款项,为2024年度合同金额40%。
2、因采购人使用的是财政资金,采购人在上述约定的付款时间为向政府采购支付部门提出办理财政支付申请手续的时间(不含政府财政支付部门审核的时间),在规定时间内提出支付申请手续后即视为采购人已经按期支付。
采购包1(国土空间规划配置与协同服务(2022-2024年)项目-验收测评服务)1.主要商务要求
|
标的提供的时间 |
自双方签订合同之日至广东省智慧自然资源-国土空间规划配置与协同服务工程(2022-2024年度)项目通过项目验收为止。 |
|
标的提供的地点 |
采购人指定地点。 |
|
付款方式 |
1期:支付比例100%,详见项目概况。 |
|
验收要求 |
1期:详见项目概况。 |
|
履约保证金 |
不收取 |
|
其他 |
|
2.技术标准与要求
|
序号 |
品目名称 |
标的名称 |
单位 |
数量 |
分项预算单价(元) |
分项预算总价(元) |
所属行业 |
技术要求 |
|
1 |
其他专业技术服务 |
国土空间规划配置与协同服务(2022-2024年)项目-验收测评服务 |
项 |
1.00 |
496,600.00 |
496,600.00 |
软件和信息技术服务业 |
详见附表一 |
附表一:国土空间规划配置与协同服务(2022-2024年)项目-验收测评服务
|
参数性质 |
序号 |
具体技术(参数)要求 |
|
★ |
1 |
3.8.信息安全性测试工具要求 (2)★必须保证所使用的所有工具和软件不会产生所有权和知识产权纠纷;并保证工具和软件的可用性和可靠性。由此产生的一切责任由成交人负完全责任。(响应文件中须提供承诺函,格式自拟)。 |
|
★ |
2 |
3.8.信息安全性测试工具要求 (3)★本项目使用的所有测评工具和软件无需本项目采购方购买,均由成交人自行提供。(响应文件中须提供承诺函,格式自拟)。 |
|
★ |
3 |
3.8.信息安全性测试工具要求 (4)★工具必须具备中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》(须承诺中标后签合同前取得厂家加盖公章的许可证复印件,格式自拟)。 |
|
▲ |
4 |
3.8.信息安全性测试工具要求 (5)技术参数与要求: 漏洞扫描系统 ▲a、支持对SQL注入、XSS攻击、文件包含类等漏洞在扫描结果中有验证性,给予管理员漏洞存在性、可利用性以及漏洞利用方式的提醒。(提供功能截图); |
|
▲ |
5 |
3.8.信息安全性测试工具要求 (5)技术参数与要求: 漏洞扫描系统 ▲b、支持设备内置VPN拨号扫描;(提供功能截图); |
|
▲ |
6 |
3.8.信息安全性测试工具要求 (5)技术参数与要求: 漏洞扫描系统 ▲c、支持HTTP代理,提供HTTP代理服务器的功能,可用来获取通过用户名和密码登录时的coo.kie,从而进行登录扫描。(提供功能截图)。 |
|
|
7 |
详见项目概况。 |
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标无效。 |
|
采购包2(国土空间规划配置与协同服务(2022-2024年)项目-商用密码应用安全性评估服务)1.主要商务要求
|
标的提供的时间 |
自双方签订合同之日至广东省智慧自然资源-国土空间规划配置与协同服务工程(2022-2024年度)项目通过项目验收为止。 |
|
标的提供的地点 |
采购人指定地点。 |
|
付款方式 |
1期:支付比例100%,详见项目概况。 |
|
验收要求 |
1期:详见项目概况。 |
|
履约保证金 |
不收取 |
|
其他 |
|
2.技术标准与要求
|
序号 |
品目名称 |
标的名称 |
单位 |
数量 |
分项预算单价(元) |
分项预算总价(元) |
所属行业 |
技术要求 |
|
1 |
其他专业技术服务 |
国土空间规划配置与协同服务(2022-2024年)项目-商用密码应用安全性评估服务 |
项 |
1.00 |
380,000.00 |
380,000.00 |
软件和信息技术服务业 |
详见附表一 |
附表一:国土空间规划配置与协同服务(2022-2024年)项目-商用密码应用安全性评估服务
|
参数性质 |
序号 |
具体技术(参数)要求 |
|
|
1 |
详见项目概况。 |
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标无效。 |
|
采购包3(国土空间规划配置与协同服务(2022-2024年)项目-网络安全等级保护测评服务)1.主要商务要求
|
标的提供的时间 |
自双方签订合同之日起3年内。 |
|
标的提供的地点 |
采购人指定地点。 |
|
付款方式 |
1期:支付比例100%,详见项目概况。 |
|
验收要求 |
1期:详见项目概况。 |
|
履约保证金 |
不收取 |
|
其他 |
|
2.技术标准与要求
|
序号 |
品目名称 |
标的名称 |
单位 |
数量 |
分项预算单价(元) |
分项预算总价(元) |
所属行业 |
技术要求 |
|
1 |
其他专业技术服务 |
国土空间规划配置与协同服务(2022-2024年)项目-网络安全等级保护测评服务 |
项 |
1.00 |
280,000.00 |
280,000.00 |
软件和信息技术服务业 |
详见附表一 |
附表一:国土空间规划配置与协同服务(2022-2024年)项目-网络安全等级保护测评服务
|
参数性质 |
序号 |
具体技术(参数)要求 |
|
★ |
1 |
3.3.3.2.1.工具测试 |
|
★ |
2 |
3.3.3.2.1.工具测试 3.★本项目使用的所有测评工具和软件无需本项目采购方购买,均由成交人自行提供。(响应文件中须提供承诺函,格式自拟)。 |
|
★ |
3 |
3.3.3.2.1.工具测试 4.★工具必须具备中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》(须承诺中标后签合同前取得厂家加盖公章的许可证复印件,格式自拟)。 |
|
▲ |
4 |
5.技术参数与要求: ▲a、系统应能提供5大独立扫描模块,包含系统扫描、Web扫描、数据库扫描、弱口令扫描、基线配置核查的全面扫描能力,每个模块具备各自的配置项,可灵活修改每个模块的配置参数以满足不同场景下的扫描需求。(提供产品功能截图); |
|
▲ |
5 |
5.技术参数与要求: |
|
▲ |
6 |
5.技术参数与要求: |
|
▲ |
7 |
5.技术参数与要求: ▲f、系统应支持自动探测指定IP段的已知、未知Web站点,并可一键转为Web资产或一键下发Web扫描任务。(提供产品功能截图);
|
|
▲ |
8 |
5.技术参数与要求: |
|
|
9 |
详见项目概况。 |
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标无效。 |
|
收藏