广东工程职业技术学院信息安全等级保护001Word下载.docx
《广东工程职业技术学院信息安全等级保护001Word下载.docx》由会员分享,可在线阅读,更多相关《广东工程职业技术学院信息安全等级保护001Word下载.docx(27页珍藏版)》请在冰豆网上搜索。
公告及报名时间:
2015年12月4日-2015年12月10日
注意事项:
1、递交投标文件截止时间:
2015年12月15日上午9:
30
(递交投标文件正本一本,副本四本,共五本)
2、开标当天交1600元保证金。
不中标者立即退回,中标者在合同签订后退回。
若出现下列情况,投标保证金将被没收:
①投标人已递交投标文件,并在投标截止时间之后,投标文件有效期满之前,撤回其投标文件。
②中标后,中标人不按中标的投标文件签订合同,放弃中标。
③在招标期间用不正当手段影响评标结果。
3.开标时间:
2015年12月15日上午9:
4.开标地点:
广东工程职业技术学院行政楼407会议室
联系人:
钟老师
电话:
传真:
地址:
广州市天河区渔兴路18号
广东工程职业技术学院
2015年12月4日
项目要求
1.标注有“★”号的条款必须实质性响应,负偏离(不满足要求)将导致投标无效。
2.带“▲”号的条款为重要性能指标要求,若有不满足,将影响评委技术评分。
一、采购项目技术规格、参数及要求:
(一)采购项目需求:
序号
名称
1
信息安全等级保护测评
(二)采购项目服务要求:
1、项目明细列表:
(1)采购内容:
名称
保护等级
校务信息系统
子系统1
门户网站
三级
2
子系统2
正方教务系统
3
子系统3
一卡通系统
4
子系统4
招生就业系统
5
子系统5
财务系统
6
子系统6
办公OA系统
(2)项目内容清单
类别
描述
定级辅助
根据等保定级指南,对校务信息系统6个子信息系统定级并在当地公安网监部门办理备案手续
专家评审
我校完成信息系统自主定级后,需聘请有关信息安全等级保护专家对信息系统自主定级进行评审,形成评审意见。
差距测评
依据风险评估相关规范与标准对已定级、备案的信息系统进行安全评估,通过分析,查找出相关安全隐患。
整改信息安全保障体系设计服务与咨询服务
根据等级保护差距测评报告与风险评估结果,针对存在的安全隐患以及未落实的安全措施制订安全整改方案,明确整改的目标、项目和进度,拟定信息安全标准与规范。
安全服务
技术咨询
中标方在安全整改阶段能够提供信息安全方面的技术咨询服务,安全专家咨询服务。
验收测评
依据国家信息安全等级保护制度规定,根据等保测评相关标准,从安全技术与安全管理两大项10个方面,对信息系统安全等级保护状况进行全面测评与综合评估。
确保信息系统能通过信息安全等级保护二级或三级的国家标准,成功在当地公安机关备案并获得回执。
注:
投标人提交的投标报价必须是信息安全等级保护验收测评工作所涉及的服务费、测评费、人工费及其他费用等,不包括招标人另购的安全设备硬件费用。
(三)测评实施要求:
1、中标人应通过自身在等保测评工作中积累的经验,结合自身的技术优势,充分考虑到广东工程职业技术学院信息系统实际情况,提供一份具体细致的、操作性强的等级保护实施计划,协助广东工程职业技术学院完成信息系统等级保护的相关工作。
2、中标人应依据《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》、《信息系统安全等级保护实施指南》和《信息安全风险评估规范》等有关要求,按照严格程序对信息系统的安全防护能力进行科学公正的综合测评活动,完成对信息系统的等级保护落实情况与等级保护相关标准要求之间的符合程度的测试判定。
3、在差距评估完成并指导和协助用户进行系统整改后,中标人应通过等级测评判定信息系统是否按照预先设定的安全模式运行,安全控制措施是否得到合理的应用,信息系统是否达到相关标准的要求,是否具备相应等级的安全防护能力等。
4、中标人应整理测评数据,对广东工程职业技术学院资料和测评结果进行综合分析,形成测评报告。
5、中标人应通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现信息系统安全等级。
做到不同安全等级的信息系统应具有不同的安全保护能力,并使广东工程职业技术学院信息系统安全等级保护达到广东省公安厅信息系统安全等级保护工作的各项要求,并完成测评报告的备案工作。
(四)技术参数及性能指标需求
在等级保护测评过程中,采用询问、检查、测试、工具扫描等多种手段组合的方式。
工具扫描应至少包括使用:
安全评估系统(即安全脆弱性扫描)工具对重要服务器、网络设备、部分客户端(5%-10%)进行漏洞扫描。
(1)安全评估系统(安全脆弱性扫描)工具指标要求:
项目
指标
厂商要求
1、产品原厂商必须拥有十年以上研发和生产该产品的经验,投标时必须提供该厂商第一次拿到该产品的公安部安全产品销售许可证复印件,并提供原厂商盖章证明。
2、产品原厂商应具备完善的服务保障体系和遍及全国的技术支持队伍,提供统一的免费服务热线。
3、产品原厂商拥有《计算机信息系统集成一级资质》、《三级保密资格单位证书》和《武器装备质量体系认证证书》。
基本要求
1、产品要求为国内研发,具备自主知识产权,请提供《计算机软件著作权登记证书》的复印件。
2、产品要求取得中国人民共和国公安部的《计算机信息系统安全专用产品销售许可证》(增强型)。
3、中国人民解放军信息安全产品测评认证中心的《军用信息安全产品认证证书》(级别≧B+)。
4、中国信息安全测评中心的《国家信息安全测评信息技术产品安全测评证书》EAL3级。
5、中国信息安全认证中心的《中国国家信息安全产品认证证书》(增强级)。
6、国家保密局涉密信息系统安全保密测评中心的《涉密信息系统产品检测证书》。
7、产品要求取得CVE(CommonVulnerabilitiesandExposures)组织正式的兼容认证(CertificateofCVECompatibility),提供相关有效证明原件。
。
8、产品要求取得全国用户满意产品称号,同时提供相关证书复印件,提供相关有效证明原件。
产品部署
产品应采用多核处理器的标准工控机,至少6个100/1000M网口,1个控制口。
产品旁路接入网络,无需改变原有的网络架构,在分布式部署中可以向上级扫描服务器上传扫描结果。
漏洞扫描管理
▲1、产品可检测的漏洞应不少于7300条,提供该产品功能截图,并提供原厂商盖章证明。
漏洞库与国际CVE标准兼容,获得CVE组织的兼容认证证书,并提供原厂商盖章证明。
而且,产品中所有的检测脚本都必须能够在产品中随机进行浏览和查询,提供该产品功能截图,,同时提供相关证明材料,并提供原厂商盖章证明。
2、产品应采用定制的Linux系统平台,采用B/S模式管理,支持多用户多任务并发扫描,具有抗攻击的保护措施。
3、产品可扫描对象应全面多样,包括:
主流的操作系统(Windows/Linux/Unix…);
主流的数据库(SQLServer/Oracle/MySQL…);
主流的应用服务(WWW/FTP/DNS/SMTP…);
网络接入设备(路由器、交换机……);
网络安全设备(防火墙、IDS……)。
▲4、应具备智能端口识别、多重服务检测、系统渗透扫描、安全优化扫描、IDS规避扫描、漏洞精细评估、知识依赖检测等先进技术。
产品在关闭浏览器扫描页面后,必须保持扫描任务在后台执行,必须可以随时重新查看后台扫描任务的实时扫描信息。
同时提供该产品功能截图,同时提供相关证明材料,并提供原厂商盖章证明。
▲5、应具备完整的漏洞管理流程,包括漏洞预警、漏洞分析、漏洞修复、漏洞审计四个阶段。
可以与微软的WSUS服务器进行联动,还可以与补丁管理系统进行无缝联动,整合扫描结果,自动对终端进行补丁下达或强制安装,有效实现安全加固。
6、应具备定时扫描功能,能够实现无人值守的情况下,一次或周期性地执行扫描任务,并将扫描结果自动发送给管理人员。
▲7、能够提供对外公众账号及密码,该账号只具备“本机扫描”功能,能够让每个终端用户快速便捷的进行本机的安全检测。
▲8、应支持非法网站的检测,能够检测目标主机是否安装WEB服务,并对照白名单,列出非法网站。
9、能够自动获取资产信息,允许按资产的重要性、用途、操作系统等特征增加新的资产信息。
10、应支持与其它安全产品(防火墙、入侵检测系统、补丁管理系统等)进行联动。
分布式管理模块
1、应支持多个地理上分散引擎的集中管理,实现任务下达、策略下达、结果上传等功能。
2、应支持上下级单位间的消息发布/接收,补丁发布,补丁下载等功能。
WEB应用安全扫描模块
能够对Web应用提供专业的漏洞检测和分析,包含SQL注入、跨站脚本XSS、网站挂马、CGI漏洞等Web应用安全问题。
安全基线检查模块
1、安全基线检查的内容包括系统状态、安全配置及安全异常活动。
2、支持对目标系统SSH、SMB及TELNET等服务远程登录检查。
支持常见操作系统,包括Windows系统(XP/2003Server/WIN2008/Win7/win8等),AIX、Solaris、HP-UX、Linux(Centos、Redhat、suse)等。
支持常见数据库,包括Oracle、DB2、Mysql、SQLServer等。
支持常见应用服务,包括Apache、IIS、TOMCAT、PHP等。
支持常见网络设备,包括Cisco、Juniper、华为、H3C等。
还支持Bind域名解析软件的安全配置检查和分析。
3、支持基于主机的检测方式,需要说明具体的检测方法。
4、支持多种基于网络的检测方式,需要说明具体的检测方法。
补丁联动功能
▲1、扫描任务结束后,可以通知有安装补丁管理系统终端软件的目标系统安装补丁,同时提供相关证明材料,并提供原厂商盖章证明。
▲2、产品的扫描结果查看页面直接对有安装补丁管理系统终端软件的目标系统推送所有补丁或单个补丁,同时提供相关证明材料,并提供原厂商盖章证明。
▲3、产品的报表和扫描结果查看页面都提供了补丁管理系统本地补丁的下载链接,同时提供相关证明材料,并提供原厂商盖章证明。
▲4、可以将产品的扫描结果直接导入到补丁管理系统,当没有安装补丁管理系统终端软件的目标系统通过WEB访问补丁管理系统时,补丁管理系统会自动弹出相应的补丁提示框,提供用户手工下载相关补丁,同时提供相关证明材料,并提供原厂商盖章证明。
扫描策略管理
1、产品应提供22种以上的默认扫描策略,分别针对不同的扫描对象,如Windows、Unix、数据库等。
2、应允许用户根据需要定制、编辑扫描策略。
3、应具有“20大常见漏洞”扫描策略,方便用户迅速检测目标网络上是否有这20大常见漏洞,以有效识别网络安全风险所在