典型行业工业控制系统信息安全解决方案业务平台测试服务项目评分细则.docx

资源描述

典型行业工业控制系统信息安全解决方案业务平台测试服务项目评分细则.docx

《典型行业工业控制系统信息安全解决方案业务平台测试服务项目评分细则.docx》由会员分享，可在线阅读，更多相关《典型行业工业控制系统信息安全解决方案业务平台测试服务项目评分细则.docx（11页珍藏版）》请在冰豆网上搜索。

典型行业工业控制系统信息安全解决方案业务平台测试服务项目评分细则.docx

典型行业工业控制系统信息安全解决方案业务平台测试服务项目评分细则

典型行业工业控制系统信息安全解决方案业务平台测试服务项目招标文件范本（资格条件+评分设置+采购需求）

投标供应商资格要求：

1）投标人必须是在中华人民共和国境内注册，能够独立承担民事责任，有生产或供应能力的本国供应商，包括法人、非法人组织或者自然人。

（2）投标人必须符合《政府采购法》第二十二条的规定。

1）具有独立承担民事责任的能力；

2）具有良好的商业信誉和健全的财务会计制度；

3）具有履行合同所必需的设备和专业技术能力；

4）具有依法缴纳税收和社会保障资金的良好记录；

5）参加本项目政府采购活动前三年内，在经营活动中没有重大违法记录；

6）国家法律、行政法规规定的其他条件。

（3）投标人必须向采购代理机构购买招标文件并登记备案，未向采购代理机构购买招标文件并登记备案的潜在投标人均无资格参加投标。

（4）投标人不得直接或间接地与招标人为采购本次招标的货物进行编制规范、提供项目管理、监理、检测等服务和其他文件所委托的咨询公司或其附属机构有任何关联。

（5）单位负责人为同一人或者存在直接控股、管理关系的不同投标人，不得参加同一项目下的政府采购活动。

（6）必须为未被列入“信用中国”网站（）、中国政府采购网（）渠道信用记录失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的投标人（需打印信用中国信用信息查询网页记录和政府采购严重违法失信行为信息查询网页记录，查询时间需晚于项目公告发布时间）。

（7）本项目不接受联合体投标。

技术需求

一、项目背景

工控系统广泛应用于工业、智能制造、交通、水利以及市政等国家关键基础设施领域，涉及到国家安全、经济命脉和人民群众的生产生活，一旦受到攻击，可能引发工厂停产、环境污染、人员伤亡、社会动荡等灾难性的后果。

近年来，工控系统面临的外部威胁日益增加，面临的攻击更加复杂、多样、隐蔽、系统和持续，安全事件频繁发生。

为贯彻落实《中华人民共和国网络安全法》、《国务院关于印发<中国制造2025>的通知》（国发〔2015〕28号）、《国务院关于深化制造业与互联网融合发展的指导意见》（国发〔2016〕28号）、《国务院关于关于深化“互联网+先进制造业”发展工业互联网的指导意见》，切实保障制造强国和网络强国建设，加强工业控制系统安全保障工作显得尤其重要。

依据2017年工业转型升级专项“典型行业工业控制系统信息安全解决方案应用推广”项目实施方案，在重点行业形成可复制、可推广的工业控制系统信息安全操作模式、应用机制和安全防护解决方案，提升工业企业工业控制系统信息安全防护水平，开发建设了智能制造生产控制仿真环境、汽车化工行业工控系统安全综合服务平台、工控风险监测设备等业务系统，为确认所建设业务系统满足要求，现需对所建设业务系统开展验收测试。

二、项目建设目标

本项目主要开展对已建系统平台的功能、性能和安全等测试工作，涉及的主要被测试系统或平台如下：

1、智能制造生产控制仿真环境

2、汽车化工行业工控系统安全综合服务平台

3、工控风险监测设备

三、项目内容

本项目采购测试服务为典型行业工业控制系统信息安全解决方案应用推广项目验收测试，中标人须依据《系统与软件工程系统与软件质量要求和评价（SQuaRE）》标准相关要求、被测系统的建设合同、招投标文件的技术要求等文件开展测试。

投标人应提供承诺书，承诺对照测试要求对功能、性能、安全等方面提出定量或定性指标，且在测试结论中明确被测系统是否满足合同和招投标文件技术要求。

测试服务须在2020年12月30日前全部完成。

本项目测试内容和要求主要包括以下内容，详细技术要求以甲方提供为准（投标人可在招标文件发售之日起8个工作日内，联系招标人查阅相关文档）。

3.1智能制造生产控制仿真环境测试

3.1.1架构测试对象及要求

本平台面向智能制造生产过程典型环节，对智能制造生产控制仿真环境各分系统进行测试，确认其可复现智能制造生产环境及业务流、通讯流、数据流。

3.1.2功能测试对象及要求

测试对象主要包括智能仓储系统、增材制造系统、减材制造系统、智能检测与微雕装配系统、物料输送系统、视频监控系统等。

3.1.2.1智能仓储系统

1）智能仓库的规格、仓位数、单库承载能力等；

2）行走机构的系统报警、网络诊断、系统监控、安全保护、抗干扰等功能。

3.1.2.2增材制造系统

1）加工系统工作站组成架构为型材框架；

2）加工系统工作站含相应固定、输送等装置。

3.1.2.3减材制造系统

1）由数控车床、数控铣床，机床上下料系统组成；

2）数控车床提供自动化接口，能实现远程启动，能获取车床的状态信息、机床的模式、主轴的位置信息等功能；

3）数控铣床具备刀具存储、备防异物进入功能；

4）提供机床上下料系统，其中物料提取工具采用气动结构，可进行双工位工作，含磁性和光电开关。

3.1.2.4智能检测与微雕装配系统

1）由微雕系统、检测系统、检测与微雕工作站、装配工作站组成；

2）检测与微雕工作站组成架构为型材框架，含相应工装、夹具等。

3.1.2.5物料输送系统

1）由载具输送线、AGV系统、物料暂存平台、变频调速系统组成；

2）物料暂存平台组成架构为型材框架，可同时放置原材料、半成品；

3）变频调速系统集成工业网络通讯口，可通过以太网控制。

3.1.2.6视频监控系统

1）由摄像头、硬盘录像机组成；

2）摄像头支持三码流技术，并支持H.264、H.265、MJPEG等视频编码格式；支持POE供电和DC12V供电；支持越界侦测、区域入侵侦测等功能；

3）硬盘录像机支持8盘位硬盘接入，且支持热插拔；支持不少于8路BNC视频接口。

3.22、汽车化工行业工控系统安全综合服务平台测试

3.2.1架构测试对象及要求

对汽车化工行业工控系统安全综合服务平台层次架构进行测试。

3.2.2功能测试对象及要求

对汽车/化工信息共享模块、汽车/化工风险监测与通报模块、汽车/化工安全防护能力评估模块、汽车/化工工控安全应急服务模块、汽车/化工工控安全咨询服务模块、工业控制系统信息安全防护能力评估工作管理系统、数据综合管理模块以及用户综合管理模块功能进行测试。

3.2.2.1汽车/化工信息共享模块

对其综合显示、数据分类展示、检索等数个功能进行测试。

3.2.2.2汽车/化工风险监测与通报模块

对其数据接口对接、数据人工填报、风险展示等数个功能进行测试。

3.2.2.3汽车/化工安全防护能力评估模块

对其防护能力评估数据获取、防护数据更新及可视化、分类统计等数个功能进行测试。

3.2.2.4汽车/化工工控安全应急服务模块

对其资源下载功能、上传数据管理等功能进行测试。

3.2.2.5汽车/化工工控安全咨询服务模块

对其支持的咨询手段类型、定向发送、数据管理与保存等数个功能进行测试。

3.2.2.6工业控制系统信息安全防护能力评估工作管理系统

对其公告展示、证书查询等数个功能进行测试。

3.2.2.7数据综合管理模块

对其后台管理、可视化、数据检索等数个功能进行测试。

3.2.2.8用户综合管理模块

对其用户权限管理、通信等功能进行测试。

3.2.2.9其他测试要求

对平台所遵守的统一技术服务规范、采用的主流安全可靠体系框架进行测试，包括多层次架构、数据接口、身份认证等数个功能及相应性能水平进行测试。

3.33、工控风险监测设备测试

3.3.1化工行业工控风险监测设备

1）可对化工行业中连接在互联网上的工业控制系统软硬件进行在线监测，可识别软硬件类型、厂商及可能存在的安全风险等信息；

2）可对化工行业重要工业企业信息系统（目标对象可进行配置）进行安全监测；

3）测试数据查看和管理界面，及数据互通接口。

3.3.2汽车行业工控风险监测设备

1）可对汽车行业中连接在互联网上的工业控制系统软硬件进行在线监测，可识别软硬件类型、厂商及可能存在的安全风险等信息；

2）可对汽车行业重要工业企业信息系统（目标对象可进行配置）进行安全监测；

3）测试数据查看和管理界面，及数据互通接口。

3.11各系统及平台性能测试

汽车化工行业工控系统安全综合服务平台、工控风险监测设备除需满足以上测试要求外，仍需满足以下性能测试要求：

1）对系统业务量进行测试；

2）对系统配置量进行测试；

3）对系统负荷量进行测试；

4）对系统用户量进行测试；

5）对系统时间量进行测试；

6）对系统内存使用率、CPU利用率等常规性能要求点进行测试；

7）其他性能相关测试。

3.12系统及平台安全测试

依据信息系统软件测评、工控系统测评、商用密码应用安全性评估等相关政策文件、规范标准要求，针对上述汽车化工行业工控系统安全综合服务平台、工控风险监测设备开展网络安全测试服务，全面、深入的掌握各系统平台的网络安全水平，对各系统平台的测试服务内容包括但不限于：

1）漏洞扫描检测，开展全方位漏洞扫描，及时发现漏洞风险并提出修复整改建议。

2）源代码安全审计，从白盒和黑盒两种角度检查程序源代码是否存在安全隐患，或者有编码不规范的地方，对程序源代码逐条进行检查和分析，发现这些源代码缺陷引发的安全漏洞，并提供代码修订措施和建议。

3）渗透测试，模拟黑客通过远程或本地方式进行入侵测试，测试SQL注入、跨站脚本攻击、非法上传、越权等所有当前流行的技术漏洞及逻辑性漏洞，直观反映漏洞的潜在危害，并指导提供修复建议。

4）网络架构安全分析，对其网络架构的安全性进行测试分析，对存在风险提供指导修复建议。

5）网络脆弱性测试，结合当下主流网络安全脆弱性分析技术方法进行网络脆弱性分析测试，对存在风险提供指导修复建议。

6）端口扫描，多手段进行开放端口扫描，对存在风险提供指导修复建议。

7）模糊测试，开展模糊测试对存在的漏洞进行挖掘分析，对存在风险提供指导修复建议。

8）基线检测，对安全基线要求进行测试，对存在风险提供指导修复建议。

9）固件分析，对嵌入式设备进行固件安全检测分析，对存在风险提供指导修复建议。

10）协议分析，对协议的安全性进行检测分析，对存在风险提供指导修复建议。

11）漏洞应对，对大范围影响的高危漏洞进行安全确认，对漏洞利用原理及传播途径进行技术分析，对可能造成的危害程度和应对措施进行评估和建议。

四、服务要求

4.1技术服务

技术服务包括项目服务与现场服务。

项目服务有项目管理、文件资料等。

现场服务包括现场部署、测试等服务，并需安排工程师到招标人指定场地进行相关测试等工作。

现场服务需满足：

1）提供10人以上现场测试服务团队，每个被测系统的测试人员不得少于3人；

4.2项目管理

Ø投标人在整个项目执行期间提供优良的项目管理服务，并指定一位固定且有经验的项目经理并通知招标人，以便及时联系和处理招标人与投标人之间的有关事宜，项目经理需自始至终地负责整个项目的实施及文件、信件（传真）资料往来；如更换项目经理，需向招标方提供身份及资质证明材料，并获得招标方同意。

Ø根据项目建设周期，投标人需在投标书中明确各阶段测试的项目建设进度。

4.3文档要求

提供完整的文档，所提供的文档清单由招标人确认，文档包括（但不限于）：

Ø相关测试方案。

Ø测试用例、过程记录等文档，测试报告，风险应对建议等。

Ø管理文档，包括项目执行中的工作文档，如计划、报告、讨论纲要、会议纪要等。

Ø其他相关文档。

4.4保密要求

项目实施过程中所收集、产生的所有与本项目相关文档、资料，包括源代码、文字、图片、表格、数字等各种形式所属权均归招标人所有，投标人有义务对所涉及到的内容保密，并在签订合同时签署保密协议。

评标方法和标准

本项目将按照招标文件第一章投标人须知中“五开标及评标”、“六确定中标”及本章的规定评标。

（内容要包括无效投标界定和详细评标标准）

注：

1.根据《政府采购促进中小企业发展暂行办法》（财库[2011]181号）、《财政部司法部关于政府采购支持监狱企业发展有关问题的通知》（财库〔2014〕68号）和《三部门联合发布关于促进残疾人就业政府采购政策的通知》（财库〔2017〕141号）的规定，对满足价格扣除条件且在投标文件中提交了《投标人企业类型声明函》、《残疾人福利性单位声明函》或省级以上监狱管理局、戒毒管理局（含新疆生产建设兵团）出具的属于监狱企业的证明文件的投标人，其投标报价扣除6%后参与评审。

对于同时属于小微企业、监狱企业或残疾人福利性单位的，不重复进行投标报价扣除。

2.联合协议中约定，小型、微型企业和监狱企业的协议合同金额占到联合体协议合同总金额30%以上的，可给予联合体6%的价格扣除。

联合体各方均为小型、微型企业和监狱企业的，联合体视同为小型、微型企业和监狱企业。

3.投标人所投产品如被列入财政部与国家主管部门颁发的节能产品目录或环境标志产品目录或无线局域网产品目录，应提供相关证明，在评标时予以优先采购。

4.如采购人所采购产品为政府强制采购的节能产品，投标人所投产品的品牌及型号必须为清单中有效期内产品并提供证明文件，否则其投标将作为无效投标被拒绝。

5.同品牌处理办法：

提供相同品牌产品且通过资格审查、符合性审查的不同投标人参加同一合同项下投标的，按一家投标人计算，评审后得分最高的同品牌投标人获得中标人推荐资格。

6.中标候选人并列时的处理方式：

按评审后得分由高到低顺序排列。

得分相同的，按投标报价由低到高顺序排列，得分与投标报价均相同的，按技术指标优劣排列。

本项目采用综合评标价法，评分标准如下：

二、评分细则

评标委员会采用综合评分法对各个通过初审的投标人进行详细评审。

评标委员会每位成员独立对每个有效投标人的投标文件进行评价、打分；然后汇总每个投标人的得分，计算得分平均值，以平均值高低进行排序。

具体评分因素如下：

评审内容

评审因素

分值

评分标准说明

能力资质

（15分）

企业资质

10分

1、具有“中国合格评定国家认可委员会实验室认可证书”（CNAS）得2分；

2、具备ITSS信息技术服务运行维护标准符合性证书得2分；

3、具备ISO9001、ISO/IEC20000、ISO/IEC27001的得2分；

4、具备信息安全服务（安全工程类一级）资质得2分；

5、具备CMMI3级以上得2分。