在线客服:
雷竞技在线官网进入 雷竞技在线官网进入
全国服务热线:4009-627-020
您的位置:首页 > 雷竞技在线官网注册

长沙市消防救援支队长沙市“智慧消防”一期建设项目--第三方评

发布时间:2022-10-06 06:00:53 来源:雷竞技在线官网进入 作者:雷竞技在线官网注册
       

  长沙市“智慧消防”一期建设项目--第三方评测服务 招标项目的潜在投标人应在湖南中投项目管理有限公司(长沙市雨花区韶山中路489号万博汇名邸三期2008房)。获取招标文件,并于2022年09月22日 15点00分(北京时间)前递交投标文件。

  随着网络安全法的正式施行,等级保护制度成为中国网络安全保障的特色和基石。在《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》和《信息安全技术 网络安全等级保护安全设计技术要求》中都有相关的等级保护的要求。等级保护2.0分为定级备案、安全建设、等级测评、安全整改、监督检查的阶段。长沙消防救援支队“智慧消防”一期建设项目信息系统等级保护测评项目,参照相关安全安全标准对我单位目前运行的信息系统开展等级保护及商用密码应用安全测评,确保其高效、稳定、安全地运行。

  (一)★投标人需被纳入《商用密码应用安全性评估试点机构目录》,含可在本地区、本行业(领域)开展密评试点工作的机构名单。

  (二)★投标人需提供近三年未收到监管单位警告/处罚/整改通告的承诺书(监管单位是指 “国家密码管理局 ”),格式自拟并加盖公章。

  系统密码应用安全性评估(火灾防控、智能指挥、人员管理等三大系统密码按三级测评)

  依据经批准的信息化项目可研报告、初步设计方案、招投标文件等对信息系统进行功能性、非功能性、用户文档等测评。

  面向网络、主机、应用、数据库、中间件、安全管理方面开展评估设计、技术安全评估、管理安全评估、措施与建议分析等一系列工作。(火灾防控、智能指挥、人员管理等三大系统和内外两大门户共5套)。

  在发生安全事件时及时控制安全事件对企业造成的恶劣影响,将经济损失降到最低。 减少因安全事件发生所产生的社会负面影响,保障网络生态安全。(火灾防控、智能指挥、人员管理等三大系统和内外两大门户共5套)。

  系统上线前安全测试内容主要包括系统安全配置检查、代码安全扫描及渗透测试服务。(火灾防控、智能指挥、人员管理等三大系统和内外两大门户共5套,分别测试两次)。

  2、工作范围包括上述系统的等保及密码测评定级、系统备案、整改方案、测评报告等工作。

  协助我单位完成上述信息系统在定级备案工作,协助定级报告、备案表、组织专家评审,并取得上述系统的备案证明。

  根据国家对信息安全等级保护工作的相关法律和技术标准要求,结合本项目各系统保护等级开展实施与之相应的检查工作,具体检查内容应包括:对信息系统进行等级保护差距测评,测评内容包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理。结合各系统的安全防护现状与等级保护基本要求之间的差距,明确安全需求,出具符合相应网络安全等级保护要求的网络安全建设整改方案。

  投标人须依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)和《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)等国家等级保护相关标准对待测系统进行等级保护测评工作,内容包括:

  安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评;

  安全管理测评:包括安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评;

  整改建议:根据现场测评中发现的问题,分析与GB/T 22239-2019、ISO/IEC 27001、ISO/IEC 20000、ISO 22301等行业最佳实践之间的差距,按照网络安全等级保护标准要求提出安全整改建议;

  编制测评报告:完成上述测评工作后,最后出具符合公安机关要求的各信息系统等级测评报告。

  依据《GM/T39876-2021 信息安全技术 信息系统密码应用基本要求》作为安全基线,对被测系统当前的安全防护能力进行客观的评价,主要针对长沙消防支队的 “智慧消防一期建设项目”,以期发现信息系统和密码应用要求的差距以及存在的安全隐患,针对被测系统所面临的威胁和脆弱性,结合被测系统资产的重要程度,对被测系统所面临的安全风险进行分析并提出相应的安全整改建议,为后续的安全整改工作提供参考依据。

  评估内容包括:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个技术层面。以及安全管理制度、安全人员管理、安全建设运行管理和安全应急管理等四个管理层面进行评估。

  整改建议:发现被测信息系统和密码应用要求的差距以及存在的安全隐患,结合被测系统资产的重要程度,对被测系统所面临的安全风险进行分析并提出相应的安全整改建议,为我单位后续的安全整改工作提供参考依据。

  编制评估报告:完成上述评估工作后,最后出具符合湖南省国家密码局要求的《商用密码应用安全性评估报告》。

  第三方测评机构依据经批准的信息化项目可研报告、初步设计方案、招投标文件等对信息系统进行功能性、非功能性、用户文档进行测评。依据政府投资信息化项目经批准的建设项目可研报告、初步设计方案、招投标文件,按照国家相关技术标准,对软件系统进行测评,验证被测系统是否满足建设目标、指标要求和使用要求,测评内容包括但不限于信息系统的功能性、非功能性、用户文档等,并出具测评报告。

  在发生安全事件时,快速定位问题根源,以保障长沙市消防业务的安全运行和生产。应急响应服务包括现场应急和远程应急两种方式,对长沙消防救援支队信息安全现场突发安全事件进行处置分析。应急响应服务主要分为六个阶段,分别为:准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段和总结阶段。

  通过对业务影响最小的方式对业务系统进行远程漏扫和配置核查,分析信息资产面临的安全威胁及威胁发生的可能性,检查现有安全措施的有效性,从而识别出信息资产中存在的安全风险点,并根据用户所能接受的风险,对用户信息资产所面临的风险程度做出准确的评价,提供相关整改修复加固建议。

  1)资产评估:长沙市消防救援支队的资产和信息系统调研,包括上文中涵盖的所有信息系统及其资产。

  (2)本次信息系统风险评估包含了安全技术方面进行检测和安全管理方面的测评。通过从安全管理方面对长沙市消防救援支队的信息系统进行风险评估,发现被测单位在组织架构、人员管理、管理制度、系统建设以及系统运维等方面存在的缺失和不足并及时进行安全整改。

  网络设备和安全设备安全配置检查主要是以人工的方式验证其安全配置是否符合其安全策略要求,检查的内容至少包括:远程管理服务、认证方式、管理IP地址控制、console端口管理、Servicepassword密码、enable密码、帐户登录空闲时间、密码长度、更改SNMP的团体串、转存日志、日志保存要求、login banner信息、NTP服务使用、BGP认证、接入层网络设备端口控制、MAC绑定、网络端口等。

  主要对操作系统的安全配置进行检查,检查内容至少包括:管理远程工具、访问控制、限制系统无用的默认账号登录、账号远程登录、口令策略、日志记录、日志存储、日志保存、日志系统配置文件保护、日志文件保护、服务优化、文件权限、控制用户登录会话、关键文件的安全保护等相关配置。

  主要对数据库管理系统的安全策略进行检查,检查内容应至少包括主机管理员帐号、数据库帐号、默认帐号、重要帐号设置、口令策略、帐号策略、public权限、日志审核、登录日志记录、数据库操作日志、日志审计策略、日志保存要求、日志文件保护、数据字典保护、监听程序加密、监听服务连接超时、服务监听端口等。

  对中间件的安全策略进行检测,检查内容应至少包括日志配置、脚本安全、目录权限设置、默认站点安全、Web服务扩展安全、出错页面安全、用户权限、文件安全、目录浏览、日志审计、示例文件、版本安全、身份鉴别、登录锁定、通信安全、并发数安全、运行模式、Server header安全、删除 sample程序等。

  对应用系统的安全机制进行检查,检查内容应至少包括:校验码机制、口令策略、账号策略、认证失败处理、通讯加密机制、授权机制、会话管理、安全审计等。

  操作系统漏洞扫描:缓冲区溢出扫描、畸形数据包发送、蠕虫扫描等常见漏洞扫描;

  从被测系统内部或外部恰当选取测试点,采用专业扫描工具检查目标系统应用层面存在的常见的安全漏洞,安全漏洞包括但不限于:SQL注入漏洞、XSS漏洞、文件上传漏洞、弱口令漏洞、中间件漏洞、目录浏览/遍历漏洞、越权访问、会话验证绕过、备份文件等。

  对我单位火灾防控、智能指挥、人员管理等三大系统和内外两大门户进行上线前安全测试。内容主要包括系统安全配置检查、代码安全扫描及渗透测试服务。

  1.配置检查内容:通过结合各行业安全规范和标准,通过众多安全服务实施经验的验证,依据合规性要求,进行对新上线业务系统所涉及的软硬件资产进行安全配置核查。2.代码扫描内容:通过静态、白盒软件源代码安全测试工具,从数据流、语义、结构、控制流、配置流等对新上线系统的源代码进行静态的扫描,并与安全漏洞规则集进行全面匹配查找安全漏洞,提供扫描的结果。源代码扫描报告包括详细的安全漏洞的信息,以及修复意见,并协助相关信息系统管理人员进行解决。3.渗透测试内容:对新上线系统进行模拟黑客的攻击方法对业务系统和网络进行非破坏性质的攻击性测试,获取系统控制权并将入侵的过程和细节产生报告给相关人员,并协助完成整改工作。

  1、客观性和公正性原则:测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案开展。

  2、保密原则:在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。

  3、最小影响原则:测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明。

  4、规范性原则:商用密码应用安全性评估的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。

  5、质量保障原则:在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项

  6、系统安全原则:项目工作人员需遵守等保检测规定,采用符合标准的检测工具和检测方法实施检测,如因违规操作造成对检测系统的破坏,则应承担相应责任。

  7、测评师规范原则:检测实施方工作人员必须通过国家商用密码应用安全性评估人员测评能力考核小组的测评人员能力考核,持证上岗,经项目委托方确认资格后方可实施检测。

  投标人需根据测评业务系统的数量自行评估并配置不少于4人的测评实施团队,测评实施团队在合同约定期内派驻招标人指定地点办公;投标人在中标后需保证在实施阶段主要技术人员必须是全职。

  投标人应严格按照项目建设内容要求提供服务,各阶段交付成果包括但不限于以下内容:

  合同约定覆盖的各系统《网络安全等级保护测评报告》、《商用密码应用安全测评报告》、《系统软件测评报告》。

  投标人需要具备及时响应能力,签订后根据我公司安排的日期时间进场测评,出具整改报告协助完成系统建设整改。同时如发生故障,在得到用户通知后,能及时响应并协助处理。

  投标人在此项目中必须按相关规定签署保密协议,保证在整个项目的制作中,所有的数据、文档等均不得外泄,若在项目进行中,有数据泄露,甲方有权取消合同并追究相应的法律责任。

  1、成交投标人应当享有知识产权或经权利人合法授权,保证没有侵犯任何第三人的知识产权和商业秘密等权利。

  2、采购人使用成交投标人提供的内容对第三人构成侵权的,应当由成交投标人承担全部法律责任,给采购人造成损害的,成交投标人应当承担赔偿责任。

  3、成交投标人必须承诺对从采购活动中获得的采购人相关资料承担保密责任,未经采购人许可不得泄露给任何第三人。

  1、按照长数管发[2020]8号《长沙市政府投资信息化建设项目验收阶段实施细则(暂行)》进行验收。项目验收国家有强制性规定的,按国家规定执行,验收报告作为申请付款的凭证之一。(以验收时最新文件为依据)

  2、验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为采购人原因造成的,由采购人承担检测费用;否则,由中标人承担。

  3、项目验收不合格,由中标人返工直至合格,有关返工、再行验收,以及给采购人造成的损失等费用由中标人承担。连续两次项目验收不合格的,采购人可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由中标人承担。

  1.2付款方式:合同签订后,支付总额的10%; 2023年支付总额的30%;2024年支付总额的30%;2025年支付总额的 30%。

  3、本项目为交钥匙工程,采用费用包干方式建设,供应商应根据项目要求和现场情况,详细列明项目所需的设备及材料购置,以及产品运输保险保管等二次转运费、项目安装调试、试运行测试及通过验收、培训、质保期免费保修维护费等所有人工、管理、财务等所有费用。如一旦中标,在项目实施中出现任何遗漏,均由中标人免费提供,采购人不再支付任何费用。

  4、供应商在投标前,如需踏勘现场,请自行联系采购人,有关费用自理,踏勘期间发生的意外自负。

  合同履行期限:本项目服务的时间为合同签订之日起90日,特殊情况以合同约定为准。

  按照《政府采购促进中小企业发展管理办法》(财库﹝2020﹞46 号)、《关于进一步加大政府采购支持中小企业力度的通知》(财库〔2022〕19号)的规定,本项目为专门面向中小微企业采购项目,各供应商应按政府采购促进中小企业发展相关规定及采购文件的响应文件组成中的“《中小企业声明函》”格式填写并在响应文件中提供《中小企业声明函》,否则视为无效响应。(本项目所属行业:信息传输、软件和信息技术服务业)

  如供应商提供的《中小企业声明函》内容不实的,属于提供虚假材料谋取成交,依照《中华人民共和国政府采购法》等国家有关规定追究相应责任。

  地点:湖南中投项目管理有限公司(长沙市雨花区韶山中路489号万博汇名邸三期2008房)。

  方式:现场领购。投标人在购买招标文件时须出具营业执照副本复印件、法定代表人身份证明(法定代表人报名提供)或法定代表人授权委托书(授权委托人报名提供,应附法人代表和被授权人的身份证复印件)、个人身份证现场购买招标文件。

  地点:湖南中投项目管理有限公司(长沙市雨花区韶山中路489号万博汇名邸三期2008房)。