招标文件
采购内容及要求
一、(根据本项目实际情况,填写“采购标的”或“项目概况”)
2023年度莆田市信息系统性能测试与安全测评服务项目
二、技术要求
★服务对象:(以“★”标示的内容为不允许负偏离的实质性要求)
网络安全等级保护服务对象清单:
|
序号 |
网络安全等级保护测评系统名称 |
系统级别 |
|
1 |
政务外网云平台 |
三级 |
|
2 |
政务信息网云平台 |
三级 |
|
3 |
莆田惠民宝 |
三级 |
|
4 |
莆田市公共信用信息平台 |
三级 |
|
5 |
莆田市人民政府门户网站集群 |
三级 |
|
6 |
莆田市12345便民服务平台建设项目 |
三级 |
|
7 |
莆田市电子合同服务平台 |
三级 |
|
8 |
莆田市协同办公平台 |
三级 |
|
9 |
莆田市公安局反恐应急安保指挥平台 |
三级 |
|
10 |
云安全中心云下态势感知平台 |
三级 |
|
11 |
莆田市政务数据备份平台 |
三级 |
|
12 |
部门间信息共享与服务平台 |
三级 |
|
13 |
电子政务外网云平台 |
三级 |
|
14 |
莆田市人民政府协同办公系统 |
三级 |
|
15 |
莆田市业务协同系统 |
三级 |
|
16 |
莆田市公共数据汇聚共享平台 |
三级 |
|
17 |
莆田市政务数据共享核查平台 |
三级 |
|
18 |
莆田市统一政务服务管理平台 |
三级 |
|
19 |
莆田市政务服务标准综合管理平台 |
三级 |
|
20 |
莆田市网格化社会服务管理信息平台 |
三级 |
|
21 |
莆田市智慧监督平台 |
未定级 |
|
22 |
莆田市大数据调度指挥平台 |
未定级 |
|
23 |
莆田市基层治理大数据平台 |
未定级 |
|
24 |
莆田市省对市绩效考核指标智慧监测平台 |
未定级 |
性能测试服务对象:
|
序号 |
性能系统名称 |
|
1 |
政务外网云平台 |
|
2 |
莆田市智慧监督平台 |
|
3 |
莆田市人民政府门户网站集群 |
|
4 |
莆田市大数据指挥调度平台 |
|
5 |
莆田市基层治理大数据平台 |
|
6 |
莆田市12345智能语音平台 |
(一)网络安全等级保护服务工作:
1.资产梳理(选项1)
①对参与安全等级保护的系统进行资产信息调查、网络结构调查、安全系统调查等,形成最终的资产报告。
②资产调查:调查和统计服务范围内的信息资产,其中必须包括但不限于物理环境、网络设备、主机、应用软件、业务系统、数据、人员、标准流程等,明确其现有状况、配置情况和管理情况,并对所有信息资产按照一定标准进行资产赋值,绘制各业务系统的数据流图。正式开展调查时调查内容须经过用户审核后方可实施。
③网络调查:包括对所有网络的拓扑结构进行调查,明确现有安全设备(包括防火墙、防病毒系统、入侵检测系统等)的部署情况和使用情况,编制安全区域图。
2.定级备案(选项2)
①中标方参照国家和地方对信息系统安全等级保护定级的有关要求,对信息系统开展摸底调查工作,掌握信息系统的基本情况,了解信息系统(包括信息网络)的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息,撰写信息系统定级报告,明确信息系统的边界和安全保护等级,说明定级的方法和理由。并收集整理定级系统参与安全等级测评所需的资料和文档。
②根据《信息安全等级保护管理办法》,中标方需要协助招标方填写《信息系统安全等级保护备案表》,同时协助到公安机关完成备案工作。如需反复多次修改,须按照单位和公安局要求修正。
3.漏洞扫描(选项3)
①对信息系统进行安全漏洞扫描,评估系统的漏洞与脆弱性,使用安全漏洞扫描工具针对系统、设备、应用的脆弱性进行自动化检测,帮助用户侦测、扫描和改善其信息系统面临的风险隐患,侦测某个特定设备的系统配置、系统结构和属性。
②根据扫描结果进行综合分析,评估漏洞的危害大小,最终提供可行的漏洞解决方案。
4.渗透测试(选项4)
①对信息系统进行渗透测试,模拟黑客攻击的方法进行非破坏性质的攻击性测试。渗透测试的内容包括但不限于以下几个方面:伪造跨站请求、跨站脚本、SQL注入、指令注入、文件包含、上传漏洞、越权访问。
5.差距分析(选项5)
①在漏洞扫描、渗透测试和信息系统定级的基础上,根据《信息安全技术网络安全保护等级基本要求》将定级信息系统安全等级保护的各项基本要求与信息安全现状进行比较分析,从管理和技术两个层面找出存在的问题并进行分析。
②进行安全差距分析,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理深入识别现状与指标库之间的差距情况。
③进行安全管理制度分析,从信息安全方针、管理体系、安全管理机构的设立、人员管理、重要区域访问控制、信息系统建设管理、产品采购、系统运维管理、恶意代码、备份恢复策略、应急响应等深入识别安全管理制度与指标库的差距情况。
④安全建设规划:根据上述风险评估结果,结合信息系统安全等级保护要求,等保规划方案和整改方案。
⑤网络安全等级保护评估工作中,应有效识别现有网络中网络安全动态,所采用的安全分析工具可通过蜜罐手段检测现网风险,并结合网络安全情报数据,整合多行业情报数据进行分析对比,并形成网络安全风险告警,分析数据可同步支持与网络安全等级保护监测管理平台实时数据对接。提供相关证明材料。
提交成果:《等级保护差距分析报告》。
6.规划整改(选项6)
根据《信息系统安全等级保护差距分析报告》,结合信息系统的具体情况,从两个方面进行规划整改:
①从安全物理环境、安全通信网络、安全区域边界、安全计算环境以及安全管理中心五个层面进行安全技术加固工作
②从安全管理制度、安全管理机构、安全管理人员、安全建设管理以及安全运维管五个层面做好安全管理整改工作。
7.整改实施(选项7)
①根据整改方案,配合用户进行整改实施。
8.协助测评(选项8)
①等级测评在整个等级保护工作中是非常关键的一环,等级测评会对前期的安全建设工作给出一个量化的测评结果,是等级保护建设工作的成败关键。需要配合用户完成:测评前的准备工作、配合测评机构进行测评、与测评机构的沟通、取得良好的测评结果。
9.技术测评(选项9)
技术部分测评项包含安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全物理环境五个方面,须通过访谈、配置检查和工具测试的方式测评信息系统的技术安全保障情况。
①安全物理环境测评须通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为机房。
②安全通信网络测评须通过访谈、配置检查和工具测试的方式测评信息系统的安全通信网络保障情况。
③安全区域边界测评须通过访谈、配置检查和工具测试的方式测评信息系统的安全区域边界保障情况。
④安全计算环境须通过访谈、配置检查和工具测试的方式测评信息系统的安全计算环境保障情况。
⑤安全管理中心测评须通过访谈、配置检查的方式测评信息系统的安全管理中心保障情况。
10.管理测评(选项10)
管理部分测评项包含安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面,管理要求方面的测评对象主要为安全主管人员、安全管理人员等。
①安全管理制度:须针对管理制度、制定和发布、评审和修订等情况进行核查。
②安全管理机构:须针对岗位设置、人员配备、授权和审批、沟通和协作、审核和检查等情况进行审核。
③安全人员管理:须针对人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等进行核查。
④安全建设管理:须针对系统建设的全过程,系统定级、安全方案设 计、产品采购和使用、自行软件开发、外包软件开发等进行核查。
⑤安全运维管理:须针对资产管理、介质管理、设备管理、监控管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理进行核查。
11.服务要求
在服务过程中,所采用的安全服务工具支持查询IP资产画像信息, IP画像信息包含:归属地、运营商、资产信息、组件、开放端口及网站证书等信息,提供相关证明截图。(选项11)
在服务过程中,所采用的安全服务工具可提供指纹识别手段进行资产管理,预置一批指纹识别规则,包括视频监控、交换机、路由器、网络安全产品、服务器设备、企业应用软件、Web 组件等。提供相关证明截图。(选项12)
在服务过程中,所采用的安全服务工具可提供“操作系统加固”能力,基于操作系统内核加固技术,针对操作系统核心资源,如注册表、网络连接、系统文件、进程等资源进行有效防护,提供相关证明截图。(选项13)
网络安全等级保护监测管理
★针对网络安全工作要求,应结合此次网络安全等级保护测评工作情况,中标人为采购人提供网络安全等级保护测评工作态势总览服务,指导采购人本地建立网络安全等级保护监测管理系统,为采购人开展网络安全等级保护测评工作提供综合性方向和策略指导,全局把控各系统的网络安全等级保护工作的开展情况,全局落实各系统定级备案、建设整改、等级测评及日常安全监督检查工作情况。实时掌握系统初次测评及复测评的开展进度。通过对网络安全等级保护测评数据的分析,从基础测评数据角度分析,全面了解系统总体安全状况,深度挖掘网络安全共性问题,对总体提升安全防护措施有指导性意义,推动全局的网络安全建设工作。
网络安全等级保护监测管理平台须结合GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 25058-2019《信息安全技术网络安全等级保护实施指南》进行建设。具体要求如下:
通过大屏方式呈现客户或其被管理对象的信息系统信息,包含:历年等保测评得分情况、年度网络安全管理动作情况、等保测评遗留问题统计、红头文件/管理制度统计、各信息系统备案等级、安全设备情况等数据的展示。(需提供功能截图证明)。(选项14)
支持符合等级保护要求的资产类型:机房、区域边界、网络设备、安全设备、服务器/存储设备、业务应用系统/平台、系统管理软件/平台、终端/现场设备、关键数据类别、密码产品、外联链路。(选项15)
支持对系统的资产数量、定级级别、定级时间、测评结论、测评得分、指标符合项、不符合项、部分符合项、高中低风险、需补齐的安全设备、层面间扣分以及漏洞相关信息的统计呈现。(需提供功能截图证明)。(选项16)
支持对信息系统进行相关等级的等保自查,并能实时呈现自查得分、符合项/部分符合/不符合的数量情况、高中低风险的数量情况,并能对部分符合/不符合项进行风险分析。(选项17)
网络安全制度的执行落地一直是网络安全管理和建设难点,也是网络安全执法检查的重点,为增加制度落地执行性,增强客户全员网络安全意识、提升整体安全基线、并更有效的支撑安全迎检工作,系统须支持以等保要求的类型对安全制度进行分类,须包含以下类型:政策法规、管理规范、记录表单、操作规程、清单协议,为规范化的安全制度管理奠定基础。(选项18)
系统支持在等保咨询及测评过程中导入单位现有的漏洞管理和扫描平台(序列号为:2222901206)形成的扫描结果,并跟踪修复状态。提供相应的截图证明(选项19)
(二)★系统测试服务
为了保证项目的顺利实施,从功能度、性能、可靠性、易用性、兼容性、可扩充性和用户文档等方面度量系统质量,项目测试初始,要依据有关的招标文件、投标文件、合同和设计单位制定的技术规范书,对项目需要投入的测试人员、测试时间以及测试的内容进行安排.
测试方案提交,根据实际系统及相关文档要求,分析测试需求点,按照测试标准,设计测试方案,测试策略。测试方案需经过评审后,按照方案执行测试。
测试用例提交,根据项目的需求文档,编写测试用例。测试用例经过评审后,需根据评审要求修改。以最终确定的测试用例来执行测试。
测试问题提交,在项目测试过程中,如发现项目相关缺陷,应与招标人以及施工方进行沟通,并且在测试期间,每日向招标人提交当天的测试情况汇总表以及项目进度总结日报。
回归测试,开发方在修改完成所有缺陷后,提交版本,测试人员应于7个工作日内将所有缺陷复测,复测通过后完成回归测试并提交缺陷报告。开发方修改缺陷所需的时间,不计入中标方的合同履行期限内。
测试进度控制,在测试过程中,如发现项目测试工作因不确定因素(如施工方未及时整改项目缺陷,测试环境有问题等)未能按测试计划进行时,应及时向招标人书面反馈,并采取必要措施加快测试进度,以保证项目的测试进度。
测试风险控制,在项目测试过程中,有可能会出现一些不可避免的风险,在测试之前,应该提前将风险告知招标人,以便将风险降到最低。
项目质量要求:测试报告内容及数据应准确、完整、客观、公正;测试服务质量应符合评测规范中的相关要求,且技术评测结果及报告必须提交最终用户确认。
引用技术标准:
国家标准:GB/T 25000.51–2016《系统与软件工程系统与软件质量要求和评价(SQuaRE) 第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》;
测试方的服务成果:测试方按照国家软件产品中标人按照测试标准,在约定的时间内完成委托软件产品的测试,出具相应测试报告。
三、商务条件
采购包1:
|
序号 |
参数性质 |
类型 |
要求 |
|
1 |
★ |
交货时间 |
按采购人要求 |
|
2 |
★ |
交货地点 |
采购人指定地点 |
|
3 |
★ |
交货条件 |
交付各系统相关测评、测试报告 |
|
4 |
★ |
是否邀请供应商验收 |
不邀请投标人验收 |
|
5 |
★ |
履约验收方式 |
1、期次1,说明:中标人向采购人交付合格的各系统相关测评、测试报告(需加盖测评、测试机构公章),视为项目验收合格。 |
|
6 |
★ |
合同支付方式 |
1、合同签订生效后,成交人提供等额正规税务发票(税率:6%),相关款项预算由采购人向财政部门申请下达,财政资金拨付到账后 ,达到付款条件起30日内,支付合同总金额的30.00% 2、完成本项目约定服务内容并向采购人提交合格的服务成果材料后,成交人提供等额正规税务发票(税率:6%),相关款项预算由采购人向财政部门申请下达,财政资金拨付到账后,达到付款条件起30日内,支付合同总金额的70.00% |
|
7 |
★ |
履约保证金 |
不缴纳 |
收藏