储运部筒仓顶部皮带机托辊、圆筒筛、平台安装施工竞价公告
储运部筒仓顶部皮带机托辊、圆筒筛、平台安装施工竞价公告
1.采购条件
宁夏 (略) 新 (略) 络安全等级测评整改服务已具备采购条件,采购人为宁夏 (略) ,现委托 (略) 对该项目进行国内公开征集供应商竞争性谈判方式采购。
2.项目概况与采购范围
2.1项目名称:宁夏 (略) 新 (略) 络安全等级测评整改服务。
2.2采购范围:新 (略) 络安全等级测评整改服务。(具体详见附件,以竞争性谈判文件为准)。
2.3服务地点:宁夏 (略) 所属风电场。
2.4合同期限:自合同签订之日起30日内。
3.谈判商资格要求
3.1.须是在中华人民共和国境内正式注册的独立法人,本次采购标的物应在其合法的营业范围内,具有有效营业执照,具有一般纳税人资格;
3.2.谈判商须提供投标产品的制造商所出具的本项目授权函和售后服务承诺函。需提供证明材料,并加盖厂商公章;
3.3.谈判商在专业技术、设备设施、人员组织等方面应具备全面承担本项目所涉及的能力,并提供相关证明文件及专业人员资质证明。实施人员至少有1人具备HCIP工程师(或同等)资格证明。
3.4.提供近三年(2019年-2021年)至少三个电 (略) 安全整改业绩,并提供相应合同复印件证明(提供的 (略) 业绩,提供的合同证明中供货单位与此次投标人人名称一致,由于变更、更名,必须提供相关证明);
3.5.财务要求:投标人财务状况良好,须提供近三年(2019年-2021年)财务报表
3.6.谈判商不得在“信用中国”网站(http://**.cn)被列入“失信惩戒”名单,谈判商不得在“中国执行 (略) ”(http://**)被列入“被执行人信息”中的“失信被执行人”名单;谈判 (略) 及中铝宁夏能源集团预警清单、负面清单.
3.7.投标人具有良好的银行资信和商业信誉,没有处于被责令停业、财产被接管、冻结、破产状态。投标人近2年内没有骗取中标、严重违约等行为,所供货设备未发生重大及以上质量安全责任事故;
3.8.单位负责人为同一个人或者存在控股和被控股关系的两个及两个以上单位,不得在同一招标项目中投标,否则均作否决投标处理;母、子公司之 (略) 的子公司之间的业绩、资质不能互相套用;
3.9.本次招标不接受联合投标体。
4.注册方式:
4.1 凡有意参加投标的潜在谈判商,下载招标资料须登录“ (略) (http://**)”进行免费注册,请未注册的谈判商及时注册,于公告截止时间前务必完成注册、审核手续。注册请登录 (略) 首页中“用户注册”,选择“投标人角色”,完善相关信息并上传注册资料。“用户注册”不需要缴纳会员费,如在用户注册、登录及项目操作中遇到问题,请及 (略) 为我公司配备的专属客服顾问:(0551-*康工)、(0551-*郭工)取得联系;如遇强行缴纳会员费请及时向招标办进行投诉,投诉电话:0951-*。
4.2 本招标项目采用全流程电子化招投标方式,无需办理CA数字证书。
5.谈判文件获取方式
(1)已注册的潜在谈判商,请于2022年9月1日至2022年9月6日下午16:00前 (略) (略) (http://**)进行报名,在文件获 (略) 提示支付谈判文件费,下载谈判文件。谈判文件费用采用线上支付,谈判文件费用:600元/套,谈判文件售后不退,标 (略) 提示自行获取。线上操作如有问题,请拨打 (略) 投标操作专属咨询电话:0551-*、0551-*。
(2)谈判文件电子发票查看和下载说明:各参与单 (略) 缴纳谈判文件费用之后,在1-2个工作日之后即可下载谈判文件费用电子发票(增值税普通发票),电子发票下载流程为:账号登录进去之后,点击“投标/供应管理”——“我参与的招标项目”——找到已缴纳标书的项目点击“进入项目”——“投标申请阶段”——“支付文件费”——“查看发票”即可下载电子发票。操作疑问可拨打:0551-*、0551-*。
6.谈判响应文件递交方式
(1)请确定参与本项目的谈判商,在 (略) 下载谈判文件后,在谈判响应文件递交时间截止前按谈判文件要求将制作好的谈判响应文件打印、签字盖章后,以统一的PDF文件 (略) 投标工具端进行上传。上传谈判响应文件时, (略) 系统会提示密码设置,按照系统要求输入数字密码即可。并在线填写开标一览表、在线索引等。注:只有办理CA锁的才可以加盖电子公章和加盖法定代表人电子签名章,被授权人无电子签名章。
投标工具端下载链接如下:http://**)。
(2)谈判响应文件中需要签字盖章部分,请按照谈判文件要求将签字盖章的谈判响应文件上传至投标正文对应部分,谈判商 (略) 投标工具在线加密谈判响应文件后即可上传,谈判商不需要来开标现场。
提醒事项:用户注册成功后如因相关注册信息发生变更者(注:与初始注册信息登记不一致均属),会员 (略) 提交变更申请(咨询电话:0551-*、0551-*),如因会员自身原因未及时变更导致不利后果者,会员责任自负。
7.资格审查方式
本次招标资格审查方式采用资格后审,投标人应仔细核对投标资格要求并承担购买招标文件的经济风险。
8.谈判响应文件的递交
8.1谈判响应文件递交的截止时间、地点及谈判时间、地点详见谈判文件
8.2 逾期送达的或者未送达指定地点的谈判响应文件,采购人不予受理。
9.公开征集谈判商公告的发布媒介
本次招标公告在中国 (略) (http://**)、 (略) (http://**)上同时发布。
温馨提示:本项目的招标采购文件及其他资料(含澄清、答疑及相关补充文件) (略) 发布,招标人/代理机构不再另行书面通知,潜在投标人/谈判商应及时关注、 (略) 。因未及时查看导致不利后果的,责任自负。
10.联系方式
10.1采购人:宁夏 (略)
联系人:赵魁
电 话:*
10.2招标代理机构: (略)
地 址: (略) 西夏区文昌南街83号
联系人:郝女士
电 话:*
宁夏 (略)
新 (略) 络安全等级测评整改服务项目
谈判文件澄清函(1)
收件人:各谈判商
发件人: (略) 发件人电话:0951-*
标段名称:宁夏 (略) 新 (略) 络安全等级测评整改服务项目
澄清内容如下:
针对“宁夏 (略) 新 (略) 络安全等级测评整改服务项目”各单位提出疑问,现澄清如下:
1.请按照附件最新修订技术规范及相关要求执行,制定相关整改方案。
2.投标方应按照招标文件《第五章 技术标准与要求》,制定工作方案,招标文件《第六章 谈判响应文件格式》中“第六部分 价格表”,作为包含整改工作所需全部费用概括报价表,不作为整改方案制定依据。
附件:第五章 技术标准与要求
(略)
2022 年 9 月19 日
备注:请谈判商收到后,在下面表格处签字(盖章)确认收到,并将此页回复 (略) 。如在澄清函发出后24小时内未回复此回执,则视为谈判商已收到该文件。谢谢合作!
传真回执单 | 单位(盖章):我单位已收到上述澄清函(1) | |
收件人: | 收件时间: |
附件:
第五章 技术标准与要求
一、项目概况
对公司10座场站本年度等级保护测评发现的问题进行整改,配合测评单位完成复测工作,最终满足等保测评整改要求,确保调度验收通过。所有主机设备漏扫加固工作,均需提供漏洞扫描报告和加固报告一份,需向上级调度调控机构和场站值班部门备案。
(1)主要工作如下表所示:
序号 | 项目 | 服务内容 |
1 | 增加防火墙(含入侵防御及漏洞库模块) | 在吴忠三十一光伏、吴忠第十四光伏、中卫第二十二光伏、星能第七风电场部署防火墙(含入侵防御及漏洞库模块)用 (略) 络节 (略) 络攻击行为。 |
2 | 部署电子门禁系统 | 在吴忠三十一光伏、牛首山第三风电场、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场机房出入口部署电子门禁系统,保证机房安全。 |
3 | 主机加固 | 对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场的服务器及工作站开展主机加固基线合规工作,并输出《主机加固报告》。对于Windows操作系统,在加固的基础上,必须部署正版防病毒软件,包含三年病毒库免费升级。 |
4 | 技术调试及升级 | 对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五 (略) 络安全监测装置及态势感知系统未满足测评要求的进行整改调试,并按照调度最新要求对主机白名单进行细化,对各站的隔 (略) 监装置进行升级,对各站的态势感知系统进行升级,并输出《技术调试整改报告》。 |
5 | 漏洞扫描及修复 | 对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场在测评中扫描发现的危险漏洞进行修复,并输出《漏洞修复报告》。漏洞修复完成后再次进行扫描,确保可以修复的漏洞得到全面修复。 |
6 | 应用系统加固 | 对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场站内应用系统、包括但不限于后台监控,五防,快频,态势感知,功率预测等,按照调度和等保测评要求进行加固和策略调整。 |
7 | 管理制度整改 | 对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场的电力监控系统安全管理制度,在此次测评中不满足测评要求的进行整改,更新整改内容输出最新版本的《安全管理制度》。 |
主要工作要求如下:
1)本次设备及应用系统加固服务主要针对等保测评提出的问题及近两年来调度主管部门下发的电力 (略) 络安全整改通知单进行加固,加固后符合调度部门最新要求及确保等保测评合格,最终出具加固报告,具体工作方案采用软件产品或手动加固不做详细要求。
2)本项工作在运行系统和设备上进行,并且存在较大风险,投标方必须熟悉新能源发电站电力监控系统,工作期间导致设备崩溃,风机、逆变器停用或两个细则考核的损失全部由投标方承担。
3)本项工作需要第三方厂家配合的,如综自、功率预测、态势感知、快频、网监等,相关协调工作全部由投标方承担,涉及的费用全部包含在总报价内。
4)本项工作完成后,等保测评厂家将进行复测,复测依然不合格导致等保测评厂家再次测试的全部费用由投标方承担。
5)为保证测评报告如期交付,投标方必须在合同规定时间内完成本项工作。
二、技术要求
1、主机加固及漏洞扫描技术要求
(1)主机、网络、安全设备加固服务
根据等保测评检测结果及整改建议,按 (略) 标准化加固手册及等级保护要求, (略) 络和安全设备实施安全加固, (略) 络设备安全配置规范的要求;根据边界防护需要按照安全最小授权原则,依据“缺省拒绝”的方式制定防护策略。防护策略只授权开放必要的访问权限,并保证数据安全的完整性、机密性、可用性;对业务系统访问需求进行详细调查,包括访问的源、目标地址、目标端口情况,并根据调研需求对防火墙策略进行分析,调整授权过大、无用的访问控制列表, (略) 络控制能力,提高安全性,最终满足等保测评整改要求。加固整改项包含但不限于以下内容:
1)网络设备
对站内 (略) 路由器和交换机,站控层交换机等设备,按如下要求进行加固:
项目 | 内容 | 方法 |
帐号权限 | 对网络设备的管理权限进行划分和限制,将登录口令密文保存在配置文件中,确保系统帐号口令长度和 复杂 度满足安全要求,避免使用弱口令 | 1.加强用户认证,对网络设备的管理权限进行划分和限制; 2.修改帐号存在的弱口令(包括 SNMP 社区串), (略) 络系统的口令长度>8位; 3.禁用不需要的用户; 4.对口令进行加密存储。 |
网络服务 | (略) 络设备中不安全的服务, (略) 络设备只开启承载业务 (略) 络服务,远程控制有安全机制保证,限制能够访问本机的用户或 IP 地址 | 1.禁用 httpserver,或者对 httpserver进行访问控制; 2. 关闭不必要的SNMP服务, (略) 管参数的管理; 3.禁用与承载业务无关的服务(例如DHCP-relay、IGMP、CDP RUN、bootp服务等); 4.对可 (略) (略) 段通过访问控制列表进行限制; 5.使用SSH等安全方式登录,禁用TELNET方式; 6.对SNMP进行ACL控制。 |
审计策略 | (略) 络设备的安全审计功能,设置日志缓存大小,指定日志服务器 | 1.为网络设备指定日志服务器; 2.合理配置日志缓冲区大小 |
恶意代码防范 | 配置访问控制策略,屏蔽蠕虫端口,关闭不安全的服务避免被入侵者利用 | 1.屏蔽病 (略) 络端口; 2.使用 TCP eepalives 服务; 3.禁 (略) 由功能。 |
2)服务器主机设备
对站内五防服务器、后台服务器、预测服务器,AGC服务器等设备的操作系统,按如下技术要求进行加固:
项目 | 内容 | 方法 |
帐户口令 | 以最小权限原则对操作系统用户、用户组进行权限设置,删除系统多余用户,设置口令复杂性要求,为用户设置强壮的口令,设置鉴别失败阈值及达到阈值所采取的措施,设置系统超时自动注销功能 | 1.合理配置应用帐户或自建帐户权限; 2.删除系统中多余的自建帐户; 3.禁用Guest帐户; 4.开启口令复杂性要求;5.设置口令确保长度和复杂度满足安全要求; 6.设置口令最短、最长存留期; 7.配置帐户锁定登录失败锁定次数、锁定时间; 8.配置管理控制台超时自动锁定时间,设置屏保口令保护; |
网络服务 | 关闭系统中不安全的服务,确保操作系统只开启承载业务所必需 (略) 络端口,限制能够访问本机的用户或IP地址,远程访问控制应有安全机制保证 | 1.在不影响业务系统正常运行情况下,停止或禁用与承载业务无关的服务; 2.屏蔽与承载业 (略) 络端口; 3.使用安全的远程管理方式并关闭多余的远程管理方式; 4.设置访问控制策略限制能够访问本机的用户; 5.禁止匿名用户枚举SAM帐户和共享; 6.禁止默认共享(IPC$、C$、D$...) |
数据访问控制 | 合理设置系统中重要文件和数据的访问权限,只授予必要的用户必需的访问权限 | 1.将系统重要的文件或目录的访问权限修改为管理员完全控制、数据拥有者完全控制或配置特殊权限,避免EVERYONE完全控制; 2.设置合理的初始文件权限,限制特定执行文件的权限。 |
审计策略 | 配置操作系统的安全审计功能,确保系统在发生安全事件时有日志可供分析 | 1.配置系统审核策略,配置审核登录事 件、审核帐户登录事件、审核帐户管理、审核策略管理、审核系统事件等; 2.对审计产生的数据分配合理的存储空间和存储时间; 3.设置合适的日志配置文件的访问控制避免被普通修改和删除。 |
恶意代码防范 | 对扫描或手工检查发现的系统漏洞进行修补,配置防病毒软件的防护策略 | 1.安装系统安全补*; 2.配置病毒库升级策略; 3.配置病毒查杀策略; 4.通过访问控制限制对漏洞程序的访问; 5.关闭存在漏洞的与承载业务无关的服务。 |
3)安全设备
对站内功率 (略) 防火墙等设备,按如下要求进行参数配置及加固:
项目 | 内容 | 方法 |
帐户口令 | 修改弱口令帐号,确保系统帐号口令长度和复杂度满足安全要求 | 修改默认用户名和口令,设置用户口令长度>8位。 |
网络服务 | 关闭防火墙设备中不安全的服务,确保防火墙只开启承载业务 (略) 络服务 | 1.关闭不必要的 SNMP 服务。对相关参数设置严格管理; 2.关闭不必要的 HTTP 管理服务,必要时应采用安全HTTPS方式来管理防火墙,若无法使用HTTPS方式,则必须严格限制可管理的IP。 |
数据访问控制 | 确保远程控制有安全机制保证,严格设置访问控制策略 | 1. (略) 络安 (略) (略) 段分离,禁止外部用户对防火墙进行用户管理; 2.使用SSH等安全方式登录,禁用TELNET方式; 3.防火墙策略应严格限制 IP 地址和服务端口; 4.删除无效或无用的防火墙策略; 5.禁 (略) 。 |
审计策略 | (略) 络设备的安全审计功能,设置日志缓存大小,指定日志服务器。 | 1.为防火墙设备指定日志服务器; 2.配置防火墙日志的保存期限为半年以上; 3.对关键的防火墙策略记录日志; 4.防火墙要提供日志(包括:系统日志和重要策略产生的日志)分析和管理功能。 |
恶意代码防范 | 更新附加功能策略库,配置防火墙自身抗攻击的功能 | 1.配置防火墙自身的抗DOS攻击的功能; 2.设置防火墙必要的事件报警功能; 3.更新防火墙自带的防病毒。 |
4)电力专用安全装置
对站内 (略) 纵向加密认证装置、横向隔离装置等专用安全装置,按如下要求进行参数配置及加固:
项目 | 内容 | 方法 |
帐号权限 | 修改弱口令帐号,确保管理员口令长度和复杂度满足安全要求 | 设置管理员口令长度>8位,至少包括数字和字母。 |
安全策略 | 配置装置的安全策略 | 1.严格设置安全控制策略,提高边界防护强度; 2.定期备份策略; 3.定期审核策略。 |
审计策略 | 配置装置的安全审计功能,设置日志缓存大小,指定日志服务器 | 1.为装置指定日志服务器; 2.配置装置日志的保存期限为一年以上并定期审核; 3.装置要提供日志(包括:系统日志和重要策略产生的日志)分析和管理功能。 |
5)应用系统
项目 | 内容 | 方法 |
账号权限 | 以最小权限原则为每个帐号分配其必须的角色或权限,修改弱口令帐号,确保应用系统帐号口令长度和复杂度满足安全要求,设置应用系统用户交互登录失败、系统超时自动注销功能 | 1.在应用系统用户中删除或禁用调试帐号; 2.合理配置应用帐号或用户自建帐号的权限; 3.删除系统中多余的自建帐号和测试帐号; 4.确保系统管理员、审计管理员、业务操作员三权分立、互斥; 5.设置口令长度,重要系统的用户口令长度>8 位,一般系统的用户口令长度>6位,并且至少为字母、数字组合; 6.设置口令过期时间,以及口令不能重复的次数; 7.为用户设置强壮的口令; 8.设置锁定口令错误输入次数,以及锁定时间; 9.设置自动注销时间。 |
会话控制 | 为应用系统建立基于IP地址、访问时间等的会话允许、拒绝机制,只允许相关客户端 IP 地址和恰当时间范围内可以直接访问应用系统,启用应用系统的通信加密功能,保证 客户端与服务器通信 (略) 络传输过程中的安全,启用应用系统的重鉴别功能,保证关键、敏感操作的安全、可信 | 1.为关键用户设置登录的 IP 限制,仅允许最少的必要的 IP 地址可连接登录应用系统; 2.为关键用户设置登录的时间限制,仅允许必要的工作时间内可连接登录应用系统; 3.限制最大的客户端并发连接数; 4.禁止同一用户的多个并发连接; 5.启用应用软件提供的加密功能,在客户端和应用服务器 (略) 络通信; 6.启用应用软件提供的重鉴别功能,在用户执行关键、敏感权限时,必须再次进行鉴别(如口令鉴别等),才能执行成功。 |
数据访问控制 | 在操作系统中配置应用系统重要文件的访问权限,只授予必要的用户必要的访问权限 | 1.严格限制应用系统配置文件的访问权限,保证除属主和超级管理员外,其他用户对配置文件没有读、写权限; 2.设置可执行程序的访问权限,保证除属主和超级管理员外,其他用户对配置文件没有执行、修改权限。 |
审计策略 | 配置系统日志,设置日志过滤规则,对安全审计范围、日志文件存放位置等进行配置,防止审计数据被非法删除、修改 | 1.开启应用系统软件的日志记录功能,并配置恰当的参数; 2.修改应用日 (略) 径保证日志存18加固项目加固内容加固方法 进行配置,防止审计数据被非法删除、修改放的地点的安全可靠; 3.修改日志访问权限,设置为只有审计管理员才能删除。 |
恶意代码防范 | 对扫描或手工检查发现的系统漏洞进行修补,配置防病毒软件的防护策略 | 1.安装系统安全补*; 2.配置病毒库升级策略; 3.配置病毒查杀策略; 4.通过访问控制限制对漏洞程序的访问; 5.关闭存在漏洞的与承载业务无关的服务。 |
软件功能完善 (非现场加固项目) | 修改应用软件,修补系统漏洞,增强系统欠缺的安全功能 | 1.由应用软件开发商修改应用软件,修补SQL 注入漏洞、越权操作、绕过验证、文件上传漏洞、允许匿名访问等漏洞; 2.由应用软件开发商开发欠缺的安全功能,例如审计功能、登录认证功能、加密功能等。 |
(2)主机设备漏洞扫描
按 (略) 标准化加固手册及等级保护要求完成加固及漏扫,对站内所有操作系统设备进行安全扫描,对发现的漏洞,在保证不影响业务的前提下进行加固,按照技术规范相关要求,从配置管理、网络管理、接入管理、日志与审计和恶意代码防范等五个方面进行安全加固,最终满足等保测评整改要求,确保调度验收通过。所有主机设备漏扫加固工作,均需提供漏洞扫描报告和加固报告一份,需向上级调度调控机构和场站备案。
防火墙技术参数及要求
防火墙技术要求如下:
指标 | 参数规格要求 | 采购要求 | 数量 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
配置 | 标准1U机架式,无风扇;接口:标配6个10/100/1000M Base- (略) 络接口,2个USB口;BYPASS:支持2对BY (略) 络接口; | 标准1U机架式,无风扇;接口:标配6个10/100/1000M Base- (略) 络接口,2个USB口;BYPASS:支持2对BY (略) 络接口;并发连接数不小于*;每秒新建连接数不少于*;吞吐量不少于2Gbps; | 7台 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
性能 | 并发连接数不小于*;每秒新建连接数不少于*;吞吐量不少于2Gbps; | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
系统管理 | 支持系统盘、数据盘双存储磁盘结构;支持双系统引导,可在管理界面配置启动顺序,自由选择当前启动系统,同时具有备份系统; 支持三权分立功能,内置系统管理员、安全管理员、系统审计员; 支持异常行为特征库升级,并显示特征库升级记录; | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
网络适应性 | 产品既可支持串行部署,也 (略) 部署; 串行 (略) 由、透明、冗余、trunk、镜像模式部署; 旁路模式支持单臂和流量镜像到工业防火墙,进行安全检查; | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
监控统计 | 支持提供软硬件基本信息、运行时间等静态信息,还实时统 (略) 口使用状态、CPU使用率、内存使用率、系统盘使用率、数据盘使用率、并发会话量和吞吐量等动态安全信息; | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
事件中心 | 针对安全日志进行聚合处理,可以准确呈现安全事件的数量,并基于事件可以自动完善策略; | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
网络学台声明 宁夏 (略) 新 (略) 络安全等级测评整改服务谈判文件补充函(2) 收件人:各谈判商 发件人: (略) 发件人电话:0951-* 标段名称:宁夏 (略) 新 (略) 络安全等级测评整改服务 补充内容如下: 原定该项目开标时间为2022年9月20日上午9:00,现开标时间变更为2022年9月26日上午9:00 (略) 2022年 9 月 19日 备注:请谈判商收到后,在下面表格处签字(盖章)确认收到,并将此页回复 (略) 。如在补充函发出后24小时内未回复此回执,则视为谈判商已收到该文件。谢谢合作! 附: 传真回执单 单位(盖章):我单位已收到上述补充函(2) 收件人: 收件时间: 1.采购条件 宁夏 (略) 新 (略) 络安全等级测评整改服务已具备采购条件,采购人为宁夏 (略) ,现委托 (略) 对该项目进行国内公开征集供应商竞争性谈判方式采购。 2.项目概况与采购范围 2.1项目名称:宁夏 (略) 新 (略) 络安全等级测评整改服务。 2.2采购范围:新 (略) 络安全等级测评整改服务。(具体详见附件,以竞争性谈判文件为准)。 2.3服务地点:宁夏 (略) 所属风电场。 2.4合同期限:自合同签订之日起30日内。 3.谈判商资格要求 3.1.须是在中华人民共和国境内正式注册的独立法人,本次采购标的物应在其合法的营业范围内,具有有效营业执照,具有一般纳税人资格; 3.3.谈判商在专业技术、设备设施、人员组织等方面应具备全面承担本项目所涉及的能力,并提供相关证明文件及专业人员资质证明。实施人员至少有1人具备HCIP工程师(或同等)资格证明。 3.6.谈判商不得在“信用中国”网站(http://**.cn)被列入“失信惩戒”名单,谈判商不得在“中国执行 (略) ”(http://**)被列入“被执行人信息”中的“失信被执行人”名单;谈判 (略) 及中铝宁夏能源集团预警清单、负面清单. 4.注册方式: 4.1 凡有意参加投标的潜在谈判商,下载招标资料须登录“ (略) (http://**)”进行免费注册,请未注册的谈判商及时注册,于公告截止时间前务必完成注册、审核手续。注册请登录 (略) 首页中“用户注册”,选择“投标人角色”,完善相关信息并上传注册资料。“用户注册”不需要缴纳会员费,如在用户注册、登录及项目操作中遇到问题,请及 (略) 为我公司配备的专属客服顾问:(0551-*康工)、(0551-*郭工)取得联系;如遇强行缴纳会员费请及时向招标办进行投诉,投诉电话:0951-*。 4.2 本招标项目采用全流程电子化招投标方式,无需办理CA数字证书。 5.谈判文件获取方式 (1)已注册的潜在谈判商,请于2022年9月1日至2022年9月6日下午16:00前 (略) (略) (http://**)进行报名,在文件获 (略) 提示支付谈判文件费,下载谈判文件。谈判文件费用采用线上支付,谈判文件费用:600元/套,谈判文件售后不退,标 (略) 提示自行获取。线上操作如有问题,请拨打 (略) 投标操作专属咨询电话:0551-*、0551-*。 (2)谈判文件电子发票查看和下载说明:各参与单 (略) 缴纳谈判文件费用之后,在1-2个工作日之后即可下载谈判文件费用电子发票(增值税普通发票),电子发票下载流程为:账号登录进去之后,点击“投标/供应管理”——“我参与的招标项目”——找到已缴纳标书的项目点击“进入项目”——“投标申请阶段”——“支付文件费”——“查看发票”即可下载电子发票。操作疑问可拨打:0551-*、0551-*。 6.谈判响应文件递交方式 (1)请确定参与本项目的谈判商,在 (略) 下载谈判文件后,在谈判响应文件递交时间截止前按谈判文件要求将制作好的谈判响应文件打印、签字盖章后,以统一的PDF文件 (略) 投标工具端进行上传。上传谈判响应文件时, (略) 系统会提示密码设置,按照系统要求输入数字密码即可。并在线填写开标一览表、在线索引等。注:只有办理CA锁的才可以加盖电子公章和加盖法定代表人电子签名章,被授权人无电子签名章。 投标工具端下载链接如下:http://**)。 (2)谈判响应文件中需要签字盖章部分,请按照谈判文件要求将签字盖章的谈判响应文件上传至投标正文对应部分,谈判商 (略) 投标工具在线加密谈判响应文件后即可上传,谈判商不需要来开标现场。 提醒事项:用户注册成功后如因相关注册信息发生变更者(注:与初始注册信息登记不一致均属),会员 (略) 提交变更申请(咨询电话:0551-*、0551-*),如因会员自身原因未及时变更导致不利后果者,会员责任自负。 7.资格审查方式 本次招标资格审查方式采用资格后审,投标人应仔细核对投标资格要求并承担购买招标文件的经济风险。 8.谈判响应文件的递交 8.1谈判响应文件递交的截止时间、地点及谈判时间、地点详见谈判文件 8.2 逾期送达的或者未送达指定地点的谈判响应文件,采购人不予受理。 9.公开征集谈判商公告的发布媒介 本次招标公告在中国 (略) (http://**)、 (略) (http://**)上同时发布。 温馨提示:本项目的招标采购文件及其他资料(含澄清、答疑及相关补充文件) (略) 发布,招标人/代理机构不再另行书面通知,潜在投标人/谈判商应及时关注、 (略) 。因未及时查看导致不利后果的,责任自负。 10.联系方式 10.1采购人:宁夏 (略) 联系人:赵魁 电 话:* 10.2招标代理机构: (略) 地 址: (略) 西夏区文昌南街83号 联系人:郝女士 电 话:* 宁夏 (略) 新 (略) 络安全等级测评整改服务项目 谈判文件澄清函(1) 收件人:各谈判商 发件人: (略) 发件人电话:0951-* 标段名称:宁夏 (略) 新 (略) 络安全等级测评整改服务项目 澄清内容如下: 针对“宁夏 (略) 新 (略) 络安全等级测评整改服务项目”各单位提出疑问,现澄清如下: 1.请按照附件最新修订技术规范及相关要求执行,制定相关整改方案。 2.投标方应按照招标文件《第五章 技术标准与要求》,制定工作方案,招标文件《第六章 谈判响应文件格式》中“第六部分 价格表”,作为包含整改工作所需全部费用概括报价表,不作为整改方案制定依据。 附件:第五章 技术标准与要求 (略) 2022 年 9 月19 日 备注:请谈判商收到后,在下面表格处签字(盖章)确认收到,并将此页回复 (略) 。如在澄清函发出后24小时内未回复此回执,则视为谈判商已收到该文件。谢谢合作! 传真回执单 单位(盖章):我单位已收到上述澄清函(1) 收件人: 收件时间: 附件: 一、项目概况 对公司10座场站本年度等级保护测评发现的问题进行整改,配合测评单位完成复测工作,最终满足等保测评整改要求,确保调度验收通过。所有主机设备漏扫加固工作,均需提供漏洞扫描报告和加固报告一份,需向上级调度调控机构和场站值班部门备案。 (1)主要工作如下表所示: 序号 项目 服务内容 1 增加防火墙(含入侵防御及漏洞库模块) 在吴忠三十一光伏、吴忠第十四光伏、中卫第二十二光伏、星能第七风电场部署防火墙(含入侵防御及漏洞库模块)用 (略) 络节 (略) 络攻击行为。 2 部署电子门禁系统 在吴忠三十一光伏、牛首山第三风电场、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场机房出入口部署电子门禁系统,保证机房安全。 3 主机加固 对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场的服务器及工作站开展主机加固基线合规工作,并输出《主机加固报告》。对于Windows操作系统,在加固的基础上,必须部署正版防病毒软件,包含三年病毒库免费升级。 4 技术调试及升级 对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五 (略) 络安全监测装置及态势感知系统未满足测评要求的进行整改调试,并按照调度最新要求对主机白名单进行细化,对各站的隔 (略) 监装置进行升级,对各站的态势感知系统进行升级,并输出《技术调试整改报告》。 5 漏洞扫描及修复 对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场在测评中扫描发现的危险漏洞进行修复,并输出《漏洞修复报告》。漏洞修复完成后再次进行扫描,确保可以修复的漏洞得到全面修复。 6 应用系统加固 对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场站内应用系统、包括但不限于后台监控,五防,快频,态势感知,功率预测等,按照调度和等保测评要求进行加固和策略调整。 7 管理制度整改 对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场的电力监控系统安全管理制度,在此次测评中不满足测评要求的进行整改,更新整改内容输出最新版本的《安全管理制度》。 主要工作要求如下: 1)本次设备及应用系统加固服务主要针对等保测评提出的问题及近两年来调度主管部门下发的电力 (略) 络安全整改通知单进行加固,加固后符合调度部门最新要求及确保等保测评合格,最终出具加固报告,具体工作方案采用软件产品或手动加固不做详细要求。 2)本项工作在运行系统和设备上进行,并且存在较大风险,投标方必须熟悉新能源发电站电力监控系统,工作期间导致设备崩溃,风机、逆变器停用或两个细则考核的损失全部由投标方承担。 3)本项工作需要第三方厂家配合的,如综自、功率预测、态势感知、快频、网监等,相关协调工作全部由投标方承担,涉及的费用全部包含在总报价内。 4)本项工作完成后,等保测评厂家将进行复测,复测依然不合格导致等保测评厂家再次测试的全部费用由投标方承担。 5)为保证测评报告如期交付,投标方必须在合同规定时间内完成本项工作。 二、技术要求 1、主机加固及漏洞扫描技术要求 (1)主机、网络、安全设备加固服务 根据等保测评检测结果及整改建议,按 (略) 标准化加固手册及等级保护要求, (略) 络和安全设备实施安全加固, (略) 络设备安全配置规范的要求;根据边界防护需要按照安全最小授权原则,依据“缺省拒绝”的方式制定防护策略。防护策略只授权开放必要的访问权限,并保证数据安全的完整性、机密性、可用性;对业务系统访问需求进行详细调查,包括访问的源、目标地址、目标端口情况,并根据调研需求对防火墙策略进行分析,调整授权过大、无用的访问控制列表, (略) 络控制能力,提高安全性,最终满足等保测评整改要求。加固整改项包含但不限于以下内容: 1)网络设备 对站内 (略) 路由器和交换机,站控层交换机等设备,按如下要求进行加固: 项目 内容 方法 帐号权限 对网络设备的管理权限进行划分和限制,将登录口令密文保存在配置文件中,确保系统帐号口令长度和 复杂 度满足安全要求,避免使用弱口令 1.加强用户认证,对网络设备的管理权限进行划分和限制; 2.修改帐号存在的弱口令(包括 SNMP 社区串), (略) 络系统的口令长度>8位; 3.禁用不需要的用户; 4.对口令进行加密存储。 网络服务 (略) 络设备中不安全的服务, (略) 络设备只开启承载业务 (略) 络服务,远程控制有安全机制保证,限制能够访问本机的用户或 IP 地址 1.禁用 httpserver,或者对 httpserver进行访问控制; 2. 关闭不必要的SNMP服务, (略) 管参数的管理; 3.禁用与承载业务无关的服务(例如DHCP-relay、IGMP、CDP RUN、bootp服务等); 4.对可 (略) (略) 段通过访问控制列表进行限制; 5.使用SSH等安全方式登录,禁用TELNET方式; 6.对SNMP进行ACL控制。 审计策略 (略) 络设备的安全审计功能,设置日志缓存大小,指定日志服务器 1.为网络设备指定日志服务器; 2.合理配置日志缓冲区大小 恶意代码防范 配置访问控制策略,屏蔽蠕虫端口,关闭不安全的服务避免被入侵者利用 1.屏蔽病 (略) 络端口; 2.使用 TCP eepalives 服务; 3.禁 (略) 由功能。 2)服务器主机设备 对站内五防服务器、后台服务器、预测服务器,AGC服务器等设备的操作系统,按如下技术要求进行加固: 项目 内容 方法 帐户口令 以最小权限原则对操作系统用户、用户组进行权限设置,删除系统多余用户,设置口令复杂性要求,为用户设置强壮的口令,设置鉴别失败阈值及达到阈值所采取的措施,设置系统超时自动注销功能 1.合理配置应用帐户或自建帐户权限; 2.删除系统中多余的自建帐户; 3.禁用Guest帐户; 4.开启口令复杂性要求;5.设置口令确保长度和复杂度满足安全要求; 6.设置口令最短、最长存留期; 7.配置帐户锁定登录失败锁定次数、锁定时间; 8.配置管理控制台超时自动锁定时间,设置屏保口令保护; 网络服务 关闭系统中不安全的服务,确保操作系统只开启承载业务所必需 (略) 络端口,限制能够访问本机的用户或IP地址,远程访问控制应有安全机制保证 1.在不影响业务系统正常运行情况下,停止或禁用与承载业务无关的服务; 2.屏蔽与承载业 (略) 络端口; 3.使用安全的远程管理方式并关闭多余的远程管理方式; 4.设置访问控制策略限制能够访问本机的用户; 5.禁止匿名用户枚举SAM帐户和共享; 6.禁止默认共享(IPC$、C$、D$...) 数据访问控制 合理设置系统中重要文件和数据的访问权限,只授予必要的用户必需的访问权限 1.将系统重要的文件或目录的访问权限修改为管理员完全控制、数据拥有者完全控制或配置特殊权限,避免EVERYONE完全控制; 2.设置合理的初始文件权限,限制特定执行文件的权限。 审计策略 配置操作系统的安全审计功能,确保系统在发生安全事件时有日志可供分析 1.配置系统审核策略,配置审核登录事 件、审核帐户登录事件、审核帐户管理、审核策略管理、审核系统事件等; 2.对审计产生的数据分配合理的存储空间和存储时间; 3.设置合适的日志配置文件的访问控制避免被普通修改和删除。 恶意代码防范 对扫描或手工检查发现的系统漏洞进行修补,配置防病毒软件的防护策略 1.安装系统安全补*; 2.配置病毒库升级策略; 3.配置病毒查杀策略; 4.通过访问控制限制对漏洞程序的访问; 5.关闭存在漏洞的与承载业务无关的服务。 3)安全设备 对站内功率 (略) 防火墙等设备,按如下要求进行参数配置及加固: 项目 内容 方法 帐户口令 修改弱口令帐号,确保系统帐号口令长度和复杂度满足安全要求 修改默认用户名和口令,设置用户口令长度>8位。 网络服务 关闭防火墙设备中不安全的服务,确保防火墙只开启承载业务 (略) 络服务 1.关闭不必要的 SNMP 服务。对相关参数设置严格管理; 2.关闭不必要的 HTTP 管理服务,必要时应采用安全HTTPS方式来管理防火墙,若无法使用HTTPS方式,则必须严格限制可管理的IP。 数据访问控制 确保远程控制有安全机制保证,严格设置访问控制策略 1. (略) 络安 (略) (略) 段分离,禁止外部用户对防火墙进行用户管理; 2.使用SSH等安全方式登录,禁用TELNET方式; 3.防火墙策略应严格限制 IP 地址和服务端口; 4.删除无效或无用的防火墙策略; 5.禁 (略) 。 审计策略 (略) 络设备的安全审计功能,设置日志缓存大小,指定日志服务器。 1.为防火墙设备指定日志服务器; 2.配置防火墙日志的保存期限为半年以上; 3.对关键的防火墙策略记录日志; 4.防火墙要提供日志(包括:系统日志和重要策略产生的日志)分析和管理功能。 恶意代码防范 更新附加功能策略库,配置防火墙自身抗攻击的功能 1.配置防火墙自身的抗DOS攻击的功能; 2.设置防火墙必要的事件报警功能; 3.更新防火墙自带的防病毒。 4)电力专用安全装置 对站内 (略) 纵向加密认证装置、横向隔离装置等专用安全装置,按如下要求进行参数配置及加固: 项目 内容 方法 帐号权限 修改弱口令帐号,确保管理员口令长度和复杂度满足安全要求 设置管理员口令长度>8位,至少包括数字和字母。 安全策略 配置装置的安全策略 1.严格设置安全控制策略,提高边界防护强度; 2.定期备份策略; 3.定期审核策略。 审计策略 配置装置的安全审计功能,设置日志缓存大小,指定日志服务器 1.为装置指定日志服务器; 2.配置装置日志的保存期限为一年以上并定期审核; 3.装置要提供日志(包括:系统日志和重要策略产生的日志)分析和管理功能。 5)应用系统 项目 内容 方法 账号权限 以最小权限原则为每个帐号分配其必须的角色或权限,修改弱口令帐号,确保应用系统帐号口令长度和复杂度满足安全要求,设置应用系统用户交互登录失败、系统超时自动注销功能 1.在应用系统用户中删除或禁用调试帐号; 2.合理配置应用帐号或用户自建帐号的权限; 3.删除系统中多余的自建帐号和测试帐号; 4.确保系统管理员、审计管理员、业务操作员三权分立、互斥; 5.设置口令长度,重要系统的用户口令长度>8 位,一般系统的用户口令长度>6位,并且至少为字母、数字组合; 6.设置口令过期时间,以及口令不能重复的次数; 7.为用户设置强壮的口令; 8.设置锁定口令错误输入次数,以及锁定时间; 9.设置自动注销时间。 会话控制 为应用系统建立基于IP地址、访问时间等的会话允许、拒绝机制,只允许相关客户端 IP 地址和恰当时间范围内可以直接访问应用系统,启用应用系统的通信加密功能,保证 客户端与服务器通信 (略) 络传输过程中的安全,启用应用系统的重鉴别功能,保证关键、敏感操作的安全、可信 1.为关键用户设置登录的 IP 限制,仅允许最少的必要的 IP 地址可连接登录应用系统; 2.为关键用户设置登录的时间限制,仅允许必要的工作时间内可连接登录应用系统; 3.限制最大的客户端并发连接数; 4.禁止同一用户的多个并发连接; 5.启用应用软件提供的加密功能,在客户端和应用服务器 (略) 络通信; 6.启用应用软件提供的重鉴别功能,在用户执行关键、敏感权限时,必须再次进行鉴别(如口令鉴别等),才能执行成功。 数据访问控制 在操作系统中配置应用系统重要文件的访问权限,只授予必要的用户必要的访问权限 1.严格限制应用系统配置文件的访问权限,保证除属主和超级管理员外,其他用户对配置文件没有读、写权限; 2.设置可执行程序的访问权限,保证除属主和超级管理员外,其他用户对配置文件没有执行、修改权限。 审计策略 配置系统日志,设置日志过滤规则,对安全审计范围、日志文件存放位置等进行配置,防止审计数据被非法删除、修改 1.开启应用系统软件的日志记录功能,并配置恰当的参数; 2.修改应用日 (略) 径保证日志存18加固项目加固内容加固方法 进行配置,防止审计数据被非法删除、修改放的地点的安全可靠; 3.修改日志访问权限,设置为只有审计管理员才能删除。 恶意代码防范 对扫描或手工检查发现的系统漏洞进行修补,配置防病毒软件的防护策略 1.安装系统安全补*; 2.配置病毒库升级策略; 3.配置病毒查杀策略; 4.通过访问控制限制对漏洞程序的访问; 5.关闭存在漏洞的与承载业务无关的服务。 软件功能完善 (非现场加固项目) 修改应用软件,修补系统漏洞,增强系统欠缺的安全功能 1.由应用软件开发商修改应用软件,修补SQL 注入漏洞、越权操作、绕过验证、文件上传漏洞、允许匿名访问等漏洞; 2.由应用软件开发商开发欠缺的安全功能,例如审计功能、登录认证功能、加密功能等。 (2)主机设备漏洞扫描 按 (略) 标准化加固手册及等级保护要求完成加固及漏扫,对站内所有操作系统设备进行安全扫描,对发现的漏洞,在保证不影响业务的前提下进行加固,按照技术规范相关要求,从配置管理、网络管理、接入管理、日志与审计和恶意代码防范等五个方面进行安全加固,最终满足等保测评整改要求,确保调度验收通过。所有主机设备漏扫加固工作,均需提供漏洞扫描报告和加固报告一份,需向上级调度调控机构和场站备案。 防火墙技术参数及要求 防火墙技术要求如下: 指标 参数规格要求 采购要求 数量 配置 标准1U机架式,无风扇;接口:标配6个10/100/1000M Base- (略) 络接口,2个USB口;BYPASS:支持2对BY (略) 络接口; 标准1U机架式,无风扇;接口:标配6个10/100/1000M Base- (略) 络接口,2个USB口;BYPASS:支持2对BY (略) 络接口;并发连接数不小于*;每秒新建连接数不少于*;吞吐量不少于2Gbps; 7台 性能 并发连接数不小于*;每秒新建连接数不少于*;吞吐量不少于2Gbps; 系统管理 支持系统盘、数据盘双存储磁盘结构;支持双系统引导,可在管理界面配置启动顺序,自由选择当前启动系统,同时具有备份系统; 支持三权分立功能,内置系统管理员、安全管理员、系统审计员; 支持异常行为特征库升级,并显示特征库升级记录; 网络适应性 产品既可支持串行部署,也 (略) 部署; 串行 (略) 由、透明、冗余、trunk、镜像模式部署; 旁路模式支持单臂和流量镜像到工业防火墙,进行安全检查; 监控统计 支持提供软硬件基本信息、运行时间等静态信息,还实时统 (略) 口使用状态、CPU使用率、内存使用率、系统盘使用率、数据盘使用率、并发会话量和吞吐量等动态安全信息; 事件中心 针对安全日志进行聚合处理,可以准确呈现安全事件的数量,并基于事件可以自动完善策略; 网络学台声明 宁夏 (略) 新 (略) 络安全等级测评整改服务谈判文件补充函(2) 收件人:各谈判商 发件人: (略) 发件人电话:0951-* 标段名称:宁夏 (略) 新 (略) 络安全等级测评整改服务 补充内容如下: 原定该项目开标时间为2022年9月20日上午9:00,现开标时间变更为2022年9月26日上午9:00 (略) 2022年 9 月 19日 备注:请谈判商收到后,在下面表格处签字(盖章)确认收到,并将此页回复 (略) 。如在补充函发出后24小时内未回复此回执,则视为谈判商已收到该文件。谢谢合作! 附: 传真回执单 单位(盖章):我单位已收到上述补充函(2) 收件人: 收件时间:
最近搜索
无
热门搜索
无
|