采购需求

一、项目概况： 

项目属性：服务类

品目类别：测试评估认证服务（C16060000）

项目名称：2023年度信息安全等级保护测评项目

项目预算：73万元

项目工期：自合同签订之日起一年。

本项目属于不专门面向中小微企业预留采购份额的项目，原因和情形为：

按照《政府采购促进中小企业发展管理办法》规定预留采购份额无法确保充分供应、充分竞争，或者存在可能影响政府采购目标实现的情形。

★供应商必须具有《网络安全等级测评与检测评估机构服务认证证书》。

技术要求

（一）项目背景

随着信息化进程的全面加快，《网络安全法》自2017年6月1日起开始实行，网络安全等保护2.0的相关标准2019年开始宣贯和推行，信息化的程度越来越高也渐渐影响到妇儿中心内部的各项核心业务中，重要信息系统已经成为妇儿中心各项业务工作正常开展必不可少的组成部分。为全面贯彻落实国家《网络安全法》对于网络安全等级保护制度的相关规定,以及公安部对信息系统等级保护工作的要求，妇儿中心结合内部实际情况，依据国家网络安全等级保护相关规范与标准的要求,对妇儿中心重要信息系统进行定级备案、前期测评、验收测评。通过统一的网络安全等级保护管理规范和技术标准，对信息系统分等级实行安全保护，并对等级保护工作的实施进行监督、管理，使落实网络安全等级保护工作后的系统网络安全防御能力得到提升并且符合国家网络安全等级保护验收要求。

（二）项目目标

以等级保护标准要求为依据，选择一家测评机构对妇儿中心本次项目11个重要信息系统进行定级备案、前期测评、验收测评。通过采用人工访谈、工具检测、登录系统检测、文档分析的方式，分析信息系统在等级保护方面与标准要求的差距，形成信息系统等级保护差距分析列表；并为确立安全策略、制定安全规划、开展安全建设提供决策建议；协助妇儿中心完成本次项目11个重要信息系统网络安全等级保护验收测评工作，提交验收测评报告；使落实网络安全等级保护工作后的系统网络安全防御能力得到提升并且符合国家网络安全等级保护验收要求。

具体目标如下：

（1）依据GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、GBT22239-2019《信息安全技术网络安全等级保护基本要求》以及《信息系统安全等级保护测评指南》的要求，对需定级的系统进行等级保护基本要求符合性的调查，采用人工访谈、工具检测、登录系统检测、文档分析的方式分析信息系统在等级保护方面与标准要求的差距，形成信息系统等级保护差距分析报告；

（2）依据信息系统安全保护等级所应达到的防护要求，结合信息系统等级保护差距分析结果，对在技术、管理层面不符合等级保护标准要求的环节，采取适当的纠正措施，以达到等级保护基本要求为目的，设计信息系统等级保护体系建设方案，为后续信息系统的网络安全等级保护安全建设提供依据；

（3）依据国家等级保护2.0的相关标准发现现有信息系统存在的信息安全问题，确保信息系统在技术防护和安全管理体系方面均达能到等级保护2.0的防护要求，能够防护系统免受来自外部小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在第一时间恢复部分功能。

（三）项目依据

信息安全技术网络安全等级保护基本要求》（GBT22239-2019）

《信息安全技术网络安全等级保护安全设计技术要求》（GBT25070-2019）

《网络安全等级保护安全建设整改工作指导意见》（公信安[2009]1429号）

《广东省深化网络安全等级保护工作方案》(粤公通字[2009]45号)

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）

《关于网络安全等级保护工作的实施意见》2004年9月四部委局联合签发的

《网络安全等级保护管理办法》（公通字[2007]43号）

《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）

《信息安全风险评估规范》（GB/T 20984-2007）

《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）

《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）

《网络安全等级保护测评要求》（GB/T 28448-2019）

《信息安全技术信息系统安全等级保护实施指南》 GB/T 25058-2010

《信息系统安全等级保护测评过程指南》（GB/T 28449-2012）

《计算机信息系统安全保护等级划分准则》（GB 17859-1999）

《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）

《信息安全技术网络基础安全技术要求》（GB/T20270-2006）

《信息安全技术操作系统安全技术要求》（GB/T20272-2006）

《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）

《信息安全技术服务器技术要求》（GB/T21028-2007）

《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）

（四）级别判定

信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

 

（五）测评对象

本项目需测评的信息系统清单：

编号	系统名称	级别
1	患者服务平台	第三级
2	电子病历系统	第三级
3	数据集成平台	第三级
4	PACS系统	第三级
5	LIS系统	第三级
6	OA系统	第三级
7	CA证书认证平台系统	第三级
8	审方系统	第三级
9	移动护理信息系统	第三级
10	移动患者综合服务平台系统	第三级
11	互联网医院	第三级

 

（六）服务内容要求

1、协助定级备案

协助妇儿中心准备信息系统有关建设使用、设备部署、网络拓扑、数据存储、运行维护、安全管理等方面的文档资料，按照等保工作管理规定，对系统相关文档进行整理后形成系统定级报告，并指导用户单位完成等保定级备案工作，并提交网安部门审批。

2、前期测评

前期测评包括两个方面的内容：一是安全控制测评，主要测评网络安全等级保护要求的基本安全控制在系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

3、验收测评

妇儿中心委托具备资质的机构进行网络安全等级保护验收测评工作，并按照等保2.0的相关要求出具验收测评报告，最后协助妇儿中心进行测评报告备案工作，提交验收测评报告到当地公安等级保护部门，完成报告备案工作。

（七）测评要求

按照等保2.0的相关要求对信息系统安全等级保护状况进行测试评估，包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

安全通用要求规定了不管等级保护对象形态如何必须满足的要求，评单元分为安全技术测评和安全管理测评两大类，技术要求包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；管理要求包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

云计算拓展要求包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理。

移动互联网拓展要求包括：安全物理环境、安全区域边界、安全计算环境、安全建设管理。

物联网安全拓展要求包括：安全物理环境、安全区域边界、安全建设管理。

工业控制系统安全拓展要求包括：安全物理环境、网络通信网络、安全区域边界、安全计算环境。

（八）测评内容

1、安全通用要求

安全物理环境

测评内容：被测信息系统应对重要的物理安全设置，如物理位置选择、物理范围控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应电磁防护等做必要配置。

测试方法：访谈、检查。

安全通信网络

测评内容：被测信息系统对通信网络安全进行设置，如网络架构、通信传输、可信验证等做必要的配置。

测试方法：访谈、检查。

安全区域边界

测评内容：被测信息系统网络边界进行安全配置，如边界防护、访问控制、入侵范围、恶意代码防范、安全审计、可信验证等做必要的配置。

测试方法：访谈、检查。

安全计算环境

测评内容：被测信息系统安全计算环境进行安全配置，如身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护等做必要的配置。

测试方法：访谈、检查。

安全管理中心

测评内容：被测信息系统的安全管理中心进行安全配置和管理，如系统管理、审计管理等做必要的配置

测试方法：访谈、检查。

安全管理制度

测评内容：被测系统运营单位的管理制度、制定和发布、修订和评审进行管理和落实情况。

测评方法：访谈、检查。

安全管理机构

测评内容：被测系统运营单位的岗位设置、人员配备、授权和审批、沟通与合作、审核和检查的管理和落实情况。

测评方法：访谈、检查。

安全管理人员

测评内容：被测系统运营单位的人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等方面的管理和落实情况。

测评方法：访谈、检查。

安全建设管理

测评内容：被测系统运营单位的系统定级和备案情况、安全方案设计、产品采购和使用、自行软件开、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择管理和落实情况

测评方法：访谈、检查。

系统运维管理

测评内容：被测系统运营单位在环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安全事件处理、应急预案管理、外包运维管理方面的管理和落实情况。

测评方法：访谈、检查。

2、云计算拓展要求

安全物理环境

测评内容：被测系统的基础设施位置选择。

测评方法：访谈、检查。

安全边界区域

测评内容：对云计算环境访问控制、入侵防范、安全审计进行安全配置。

测评方法：访谈、检查。

安全计算环境

测评内容：对安全计算环境的访问控制、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护进行安全配置。

测评方法：访谈、检查。

安全建设管理

测评内容：对云计算环境的云服务商选择、供应链管理方面的落实情况。

测评方法：访谈、检查。

安全运维管理

测评内容：云计算环境管理是否符合国家相关规定

测评方法：访谈、检查。

3、移动互联网拓展要求

安全物理环境

测评内容：被测系统的无线接入点的位置选择。

测评方法：访谈、检查。

安全区域边界

测评内容：对移动互联网的边界防护、访问控制、入侵防范进行安全配置。

测评方法：访谈、检查。

安全计算环境

测评内容：对移动互联网的移动应用管控进行安全配置。

测评方法：访谈、检查。

安全建设管理

测评内容：对移动互联网的移动应用软件采购、移动应用开发和安全合理管理

测评方法：访谈、检查。

 

4、物联网安全拓展要求

安全物理环境

测评内容：被测系统的感知节点设备物理防护合理。

测评方法：访谈、检查。

安全区域边界

测评内容：对物联网系统的接入控制、入侵防范进行安全配置。

测评方法：访谈、检查。

安全运维管理

测评内容：对物联网的感知节点进行安全合理管理。

测评方法：访谈、检查。

5、工业控制系统安全拓展要求

安全物理环境

测评内容：被测工业控制系统的室外控制设备物理防护措施合理。

测评方法：访谈、检查。

安全通信网络

测评内容：被测工业控制系统的网络架构、通信传输进行安全配置。

测评方法：访谈、检查。

安全区域边界

测评内容：对工业控制系统的访问控制、拨号使用控制、无线使用控制进行安全配置。

测评方法：访谈、检查。

安全计算环境

测评内容：对工业控制系统的控制设备进行安全控制。

测评方法：访谈、检查。

安全建设管理

测评内容：对工业控制系统的产品采购和使用、外包软件开发进行安全合理管理。

测评方法：访谈、检查。

 

（九）测评方法

1、人员访谈

与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，一般应基本覆盖所有的安全相关人员类型，在数量上可以抽样。

2、配置检查

利用上机验证的方式检查主机操作系统、数据库、网络设备、安全设备、应用系统等配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等），测评其实施的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性，从而测试系统是否达到可用性和可靠性的要求。

3、文档审查

检查制度、策略、操作规程、制度执行情况记录等文档（包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档）的完整性，以及这些文件之间的内部一致性。

4、实地查看

通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况，测评其是否达到了相应等级的安全要求。

5、工具检测

测评工具要求1：

（一）本项目在实施过程中所使用到的专业安全服务工具由中标人提供，中标人必须保证所使用的所有工具和软件不具有所有权和知识产权纠纷，提供自主《计算机软件著作权登记证书》或授权截图，并保证工具和软件可用性和可靠性。由此产生的一切责任由中标人负完全责任。（此费用已包含在本项目报价中，采购人不再另付费用。）

（二）参数要求如下：

指标名称	指标项	详细要求
基本要求	1、产品要求必须为国内研发，具备自主知识产权，提供《计算机软件著作权登记证书》的扫描件。 2、产品提供计算机信息系统安全专用产品销售许可证扫描件。 3、产品提供中国国家信息安全产品认证证书扫描件。
资产管理	资产探测	支持端口与服务发现。可对监控目标进行全端口扫描，并整理出服务的端口、应用软件类型、版本，并提供搜索接口可对目标进行搜索。
		资产属性变更历史查询：可针对扫描结果进行回溯，查找IP地址以往开启的端口状况。
		系统可针对扫描结果进行备注、添加标签
网站安全监控	可用性检测	检测网站是否可用；检测服务器响应时间；检测域名劫持
	漏洞检测	扫描策略	支持SQL注入、XSS跨站脚本、命令执行、目录遍历、上传漏洞等检测
			▲自动化解析json、base64数据并进行扫描，（提供界面截图）
		漏洞验证	支持数据包调试，验证漏洞。
	篡改检测	图片MD5比较；页面标题比较；删除链接提醒；新链接提醒；页面相似度阀值设置 ▲定位到篡改的页面源码位置，高亮显示，（提供界面截图）
	网马和暗链检测	网马、暗链动态检测 支持Activex识别
系统漏洞扫描	扫描策略	漏洞规则超过58000条，
		能够扫描常见的网络安全客户端软件（网络防病毒Symantec、TrendMicro、McAfee）的安全漏洞。
		能够扫描常见的应用软件漏洞（如IE浏览器、MSN、Mozilla Firefox、Yahoo Messenger、MS Office、多媒体播放器、VMware虚拟机）的安全漏洞
数据库漏洞扫描	扫描策略	漏洞规则库包括1700多条策略；覆盖权限绕过漏洞、SQL注入漏洞、访问控制漏洞、执行权限过大漏洞、访问权限绕过漏洞、DBMS漏洞、提取漏洞等
	数据库木马扫描	▲支持扫描数据库中隐藏的木马病毒，（提供界面截图）
	▲网站恶意代码检查，（提供界面截图）
等保合规-信息系统测评	支持新建等保测评任务，并支持设置基础信息系统SAG等级，（提供界面截图）
	支持录入基础信息系统内的机房、安全设备、网络设备等、服务器、终端、应用软件等，（提供界面截图）
	内置等保检查指标，支持将工具检查结果与指标一键关联，（提供界面截图）
	支持问卷调查，（提供界面截图）
	支持导出等保测评报告，（提供界面截图）
渗透测试	包括Whois信息获取、二级域名获取（搜索引擎模式、暴力破解模式等）等功能。
	包括Web指纹识别、端口扫描探测及端口指纹识别、Web路径扫描、旁注扫描等功能。
	▲SQL注入（获取数据库、表、执行任意命令等）、子域名爆破、GNU Bash远程代码执行漏洞、Struts 2 S2-005、Struts 2 S2-007、Struts 2 S2-008、Struts 2 S2-009、Struts 2 S2-012、Struts 2 S2-013、Struts 2 S2-045、Struts 2 S2-048、Struts 2 S2-053、Adobe ColdFusion文件读取漏洞、Couchdb垂直权限绕过漏洞、Discuz 7.x/6.x全局变量防御绕过导致代码执行、Drupal Drupalgeddon 2远程代码执行漏洞等，（提供界面截图）
漏洞管理	提供漏洞管理机制，系统可自动识别新增漏洞、未修复漏洞，用户可标记漏洞状态，包括已修复、确认等。
扫描器联动	与传统漏洞扫描器集成。将资产信息下发至传统扫描器（包括：AppScan、AWVS等），进行全量安全扫描。
	平台可导入传统扫描器如AWVS、APPSCAN等的扫描报告，进行统一展示。

 

测评工具要2：

（一）、本项目在实施过程中所使用到的专业安全服务工具由投标人提供，投标供应商必须保证所使用的所有工具和软件不具有所有权和知识产权纠纷，并保证工具和软件可用性和可靠性。由此产生的一切责任由响应供应商负完全责任。（此费用已包含在本项目报价中，采购人不在另付费用。）

（二）、参数要求如下：

指标项	指标要求
等保工具箱检查业务管理模块	支持检查计划管理功能，提供对检查计划进行新建、导入、导出、修改、删除、执行、列表展示等操作和管理能力； 支持对信息系统检查计划、网站检查计划、专项检查计划、行业/单位检查计划、自建检查计划等不同类型检查计划进行新建。 检查计划列表支持对每条检查计划提供编辑、执行、删除等操作功能。 检查计划执行支持检查报填报和工具检查功能 检查表填报支持根据检查指标做访谈填报检查结果，检查结果含“是/否/不适用”三种类型。 ▲检查表填报支持检查指标统计功能，对检查指标总数、已完成、未完成等数量进行统计。（提供产品界面截图） 检查表填报支持以百分比对检查计划填报整体进度进行统计 技术工具检查支持网口工具远程检查和U盘工具离线检查两种方式； ▲技术工具检查支持自动匹配提示功能，针对不同类型目标资产需要用到的工具会显示“待查”状态，已完成检查的工具会显示“已完成”状态；（提供产品界面截图） U盘工具支持对目标主机系统（Windows）本地进行检查，检查过程不对目标系统做任何安装与修改； ▲检查结果分析支持等级保护合规性分析、工具检查结果分析、等级保护检查分析报告等分析功能；（提供产品界面截图） ▲等级保护合规分析功能支持展示检查计划合规性状态和结论统计等信息，提供图表和数据两种模式；（提供产品界面截图） ▲工具检查结果分析功能支持展示所有技术工具的检测结果信息，提供图表和数据两种模式；（提供产品界面截图） 等级保护检查分析报告功能支持输出两种类型报表，分别是检查结论性报表（适用于领导汇报）和检查技术分析报表（适用于技术分析），报告格式支持word、pdf两种格式； 支持检查知识库管理，提供对检查指标、检查知识和检查表单模版进行管理； 检查指标包括检查类别、检查范围、检查内容、检查项、检查要点等内容； 检查知识包括检查知识内容、检查预期结果、风险提示等内容； 检查表单管理支持对信息系统检查、网站检查、专项检查、行业/单位检查、自建检查等不同类型的检查计划表单模版进行管理； 检查指标范围覆盖等保2.0一级、二级、三级、四级检查指标、网站安全检查指标、备案单位检查指标、医院检查指标； 支持检查指标库升级和检查知识库升级功能；
Windows主机安全配置检查工具	支持检测出目标主机的计算机名、操作系统类型、版本、开机时间、可用内存大小、磁盘大小、操作系统所在路径、共享目录。 支持检测到多CPU、多内存、主板、多硬盘、多网卡等硬件信息。 支持显示当前系统启动项的所有程序、描述、路径、运行方式。 支持检测当前系统不必要的多余服务。 支持显示账户和口令有关的安全策略，包含口令最长使用期限，长度最小值、锁定时间阀值等。 支持显示当前系统内所有的账户，包含隐藏（影子）账户及活动状态。 支持显示审核策略更改、审核登录事件、审核对方访问、审核进程跟踪、审核目录服务访问、审核特权使用、审核系统事件、审核账户登录事件、审核账户管理等。 支持显示已安装的更新程序、其中包含了补丁名称、补丁发布日期、补丁安装日期、严重级别、补丁描述。 支持显示已安装的更新程序、其中包含了补丁名称、补丁发布日期、补丁安装日期、严重级别、补丁描述。 支持显示系统当前活动的进程、PID。 支持显示当前开放的TCP/UDP端口、连接状态、进程对应路径。 支持显示用户、访问权限与操作系统安全相关的状态。 支持显示与操作系统安全相关的安全策略状态。 支持显示计算机系统设置相关的组策略。
主机病毒检查工具	支持快速扫描检测，快速扫描和发现关键目录中(例如：system32)所存在的病毒程序。 支持全盘扫描检测，对系统所有盘符下文件进行全面深度病毒检查，帮助发现系统中存在的病毒，不留死角。 支持自定义扫描检测，指定目录检查是否含有病毒程序，帮助发现指定检查的目录中是否含有病毒程序，支持快速选择桌面、文档、系统关键目录、U口等区域。 支持运行平台包括主流Windows操作系统
主机木马检查工具	支持快速扫描检测，指快速扫描系统关键目录、快速扫描和发现关键目录中所存在的木马、后门。 支持全盘扫描检测，对系统所有盘符下文件进行全面深度木马检查； 支持自定义扫描检测，对系统所有的盘符下的文件进行全面深度检查，帮助发现系统中存在的木马程序。 支持运行平台包括主流Windows操作系统
网站恶意代码检查工具	支持快速扫描，指需要检测指定检查的WEB服务器目录路径，即可进行扫描状态。快速扫描是根据文件类型匹配对应的扫描策略。 支持全盘扫描检测，指需要指定检查的WEB服务器目录路径，全面检查不区分文件类型，扫描所有默认ASP、ASPX、JSP、PHP、CSS等策略。 支持自定义扫描检测，只需要指定检查的WEB服务器目录路径，自由定制文件类型和检查策略等 支持WEB服务器IIS、Apache、nginx、weblogic、Websphere、Tomcat等。 支持运行平台包括但不限于主流Windows操作系统
Linux主机安全配置检查工具	支持检测到被检测主机的计算机名、操作系统类型、版本、内存、网卡、IP地址等信息。 支持显示当前系统内所有的账户，包括了root级账户，普通账户，以及检查弱口令账户等情况。 支持检查系统配置是否配置了口令复杂度、定期更换、登录失败、锁定时间、超时时间等状态。 支持显示当前开放的TCP/UDP端口、连接状态、进程对应路径、以及端口对应服务。 支持显示用户、访问权限与操作系统安全相关的状态。 支持检查系统是否开启了审计策略、同时是否配备了SYSLOG服务器。 支持检查是否开启了SNMP服务，并检查SNMP是否采用加密的协议。 支持检查当前SSH版本。 支持检查主流linux操作系统（Red Hat Enterprise 32/64bit、CentOS 32/64bit）
网络及安全设备安全配置检查工具	支持检查设备厂商名称、版本、型号。 支持检查系统是否开启了不必要且存在安全隐患的相关服务和端口。 支持检查包括但不限于CONSOLE、TELNET等方式登录是否需要输入口令、以及账户和口令的安全策略情况。 支持检查是否设置了相关策略仅允许授权的IP地址采用TELNET、SSH等协议远程登录管理。 支持检查SNMP是否开启，SNMP是否存在弱口令，并检查SNMP团体名称是否采取了相关加密措施。 支持检查是否开启了系统自带的日志审计功能，以及检查是否指定了SYSLOG服务器。 支持的防火墙检查项，账户安全、安全审计、入侵防护、访问控制、网络日志、安全日志、网络报警、安全防护报警、安全策略、自身安全防护策略、攻击防护。 支持读取当前IOS版本信息。 支持交换机系列：思科、华为、H3C 支持防火墙系列：启明星辰、网御星云、Juniper 支持支持离线升级方式。
弱口令检查工具	支持应用服务支持类型：包括但不限于SMB、MSSQL、FTP、MYSQL、Oracle、RDP、POP3、SSH、HTTP、Telnet、VNC和SyBase等协议弱口令检查。 支持内置常见弱口令字典，并支持自定义账户、口令字典。 支持设置通过SSL方式进行检查。 支持自定义应用协议TCP端口。 支持本地、远程主机及多协议同时检查。 支持离线升级方式。
网站安全检查工具	支持WEB 2.0，支持各类JavaScript脚本解析。 支持WAP站点扫描和FLASH解析。 手动配置高级扫描参数和选项。 支持基于HTTPS应用系统的扫描。 支持ERP等复杂的Web应用系统检查。 支持包括但不限于JSP、CGI、ASP、.NET等类型动态页面。 支持当前包括但不限于URL、当前子域名、当前域名、任何URL扫描。 支持IP地址、域名地址扫描。 支持主动扫描扫模式。 支持实时存储扫描项目文件。 支持包括但不限于Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、Ingres等后台数据库类型。 支持包括但不限于易通、织梦、DEDECMS、Discuz、Ecshop、易思、方欣、大汉、科讯、通达OA、PHPCMS、PHP168、PHPCMS2008、phpcms v9、SHOPEX、SiteServer cms、TRS、Nginx代码执行、Spring代码执行、亿邮邮件系统命令执行等国内、国外知.名WEB应用程序漏洞扫描。 支持包括但不限于对SQL注入、XSS跨站脚本、伪造跨站点请求、网页木马、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄漏、HI－JACK攻击、弱口令、Xpath注入、LDAP注入、框架注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookies注入、敏感文件、第三方软件、其他各类CGI等漏洞进行扫描。 支持离线升级方式。
数据库安全检查工具	支持对数据库“弱点、不安全配置、弱口令、补丁”深层次安全检测及准确评估。 支持远程方式扫描数据库的配置信息、安全策略、参数、账号口令安全、远程服务、端口和漏洞情况。 支持业界主流的数据库类型，包括但不限于Oracle、MSsql、DB2、Sybase等。 扫描引擎应确保系统工作时对数据库及服务器性能无明显影响。 支持非授权扫描,用户在没有授权的情况下（即：不需要数据库的用户名和密码），依据数据库版本号并根据选定的安全策略对目标数据库进行的检测。 策略自定义,提供扫描策略可自定义模式，操作者可以灵活选择默认策略的同时也可以自定义添加策略。
系统漏洞扫描工具	支持包括但不限于对Microsoft Windows XP/2003/Vista/2008/7、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等操作系统进行漏洞扫描。 支持包括但不限于对Web、FTP、电子邮件等应用系统以及Office、Apache等常用软件进行漏洞扫描。 可以对网络设备、Windows主机、类Unix主机等目标对象进行漏洞扫描。 支持远程访问方式检测或扫描。 支持多种扫描策略，包括不同强度的扫描策略，方便用户快速选择。 可以自动统计总体漏洞数量、统计所有开发端口、可用帐户、列出每一个漏洞所存在的主机、详细描述与修补建议。漏洞详细描述包括：漏洞名称、详述、修补方案、CVE/Bugtraq/CNCVE/CNNVD编号、CVSS评分等。 支持离线升级方式。

（八）、演示

本项目要求在评标过程中进行演示，建议供应商在投标文件解密时间截止后1小时内到达采购代理机构等候。演示开始时间由评标委员会确定，如供应商未在评标委员会规定的时间内到达演示地点进行演示，评标委员会有权视其放弃演示。等候地点：广州市天河区天润路445号广州市政府采购中心（太阳广场）四楼。

（1）本项目由有效投标人于评标过程中进行演示，请投标人自行准备相关文件。

（2）授权委托代理人须凭身份证原件参加演示，参加人数不超过3人（含授权委托代理人在内）。

（3）如演示过程中需要用到电脑等设备（设备不能共用），请投标人自带，评标现场仅提供电源和投影设备。投标现场不可连接网络，且不能携带移动电话等通讯设备进入，请提前准备相关材料及设备。

（4）演示时间约15分钟。

（5）演示的内容为：

演示产品	规格要求
等保工具箱检查业务管理模	1、检查表填报支持检查指标统计功能，对检查指标总数、已完成、未完成等数量进行统计。 2、检查结果分析支持等级保护合规性分析、工具检查结果分析、等级保护检查分析报告等分析功能 3、等级保护合规分析功能支持展示检查计划合规性状态和结论统计等信息，提供图表和数据两种模式 4、工具检查结果分析功能支持展示所有技术工具的检测结果信息，提供图表和数据两种模式
弱口令检查工具	1、支持本地、远程主机及多协议同时检查

 

（十）项目实施要求

1.实施要求

（1）投标人必须具备独立完成本项目的能力；

（2）投标人提供的资格、资质等证明文件应真实有效；

（3）投标人应对了解到的信息保密，并提供保密承诺；

（4）投标人应在项目现场实施周期内，中标人必须为本项目成立等级保护测评小组，安排包括项目经理和核心技术人员的现场驻场服务，所需电脑等设备自行提供；

（5）在妇儿中心进行整改过程中提供必要的技术支持；

（6）能按照妇儿中心规定的工作内容及进度安排协助完成等级保护工作；

（7）项目必须按照国家网络安全等级保护的标准要求开展。

2.保密要求

中标人须保证对本项目实施中所获得任何资料和信息严格保密，并与妇儿中心签订保密责任书。

3.服务要求

  中标人须保证协助用户单位尽快完成等级保护整改工作，2小时内响应，6小时内赶到现场，能够在12小时内完成咨询服务工作方案。

 

（十一）其它要求

1、安全调查和测评的过程中，投标人如需采购人人员配合，投标人需要详细描述需要配合的内容。如需要采购人人员协助完成各种表单，需要详细描述表单的名称、功能及主要表项等等，并由投标人给出具体示例。采购人有权利拒绝提供任何未事先提出的配合要求，由此产生的损失由投标人负全责；

2、本项目中可能需要的硬件平台(如笔记本电脑、PC、工作站等)均由中标人提供，采购人将按照相关要求对设备进行必要的处理。投标人在服务期间未经采购人许可不得将设备带离采购人指定场所，也不得使用任何未经采购人确认的存储设备对测评数据进行复制；

3、投标人需要给出采购人在进行调查和测评时所需要提供的信息列表。经采购人确认后提供给投标人。采购人有权利拒绝提供任何信息列表以外的采购人资产信息；

4、安全测评应按照分层的原则，包括但不限于以下对象：物理环境、网络结构、网络服务、主机系统、数据库系统、应用系统、安全相关人员、处理流程、安全管理制度、安全策略等；

5、投标人应提供本项目的测评方案，包括技术部分和实施部分。技术部分包括整体流程、技术方法和服务方案设计等，需要对每项技术方法的应用位置进行详细描述，技术方案中应详细描述本次测评采用的测评方式及标准、漏洞测试和应用分析的方法；

6、实施部分包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险规避措施等，需要明确每项工作的时间安排、操作时间和操作人员。安全调查和测评过程中，如需使用安全工具，请在实施方案中详细描述所使用的安全工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求等；

7、投标人应详细描述安全调查和测评的组织方式，包括组成的人员及分工、测评的过程组织、实施时间安排、测评方式所遵循的标准等。

（十二）验收要求

1、乙方完成信息系统测评工作后，提交前期测评存在问题清单，本项目表示初步验收；

2、乙方完成信息系统验收性测评工作后，提交验收性测评报告，召开专家评审，并递交公安部门进行备案后，本项目表示最终验收。

 

（十三）付款要求

合同签订后，在收到发票后5个工作日内采购人办理支付手续，支付合同总金额的30%。2、中标人完成信息系统定级、备案、测评工作，提交定级备案材料和系统测评存在问题清单后，在5个工作日内采购人办理支付手续，支付合同总金额的50%。3、采购人完成整改工作后，中标人完成验收测评并提交测评报告，同时递交公安机关有关部门备案，取得报告回执后，在5个工作日内采购人办理支付手续，支付合同总金额的20%。

 

采购包1（广州市妇女儿童医疗中心2023年信息安全等级保护测评项目）1.主要商务要求

标的提供的时间	自合同签订之日起一年。
标的提供的地点	采购人指定地点
付款方式	1期：支付比例100%,合同签订后，在收到发票后 5个工作日内采购人办理支付手续，支付合同总金额的30%。 2、中标人完成信息系统定级、备案、测评工作，提交定级备案材料和系统测评存在问题清单后，在5个工作日内采购人办理支付手续，支付合同总金额的50%。 3、 采购人完成整改工作后，中标人完成验收测评并提交测评报告，同时递交公安机关有关部门备案，取得报告回执后，在5个工作日内采购人办理支付手续，支付合同总金额的20%。
验收要求	1期：详见采购需求
履约保证金	不收取
其他

2.技术标准与要求 

序号	品目名称	标的名称	单位	数量	分项预算单价（元）	分项预算总价（元）	所属行业	技术要求
1	测试评估认证服务	对我院11个三级信息系统开展信息安全等级保护测评工作	项	1.00	730,000.00	730,000.00	软件和信息技术服务业	详见附表一

 

附表一：对我院11个三级信息系统开展信息安全等级保护测评工作

参数性质	序号	具体技术(参数)要求
	1	详见采购需求
说明	打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。 打“▲”号条款为重要技术参数，若有部分“▲”条款未响应或不满足，将导致其响应性评审加重扣分，但不作为无效投标条款。