大庆市政府采购中心关于大庆市房产局房产信息系统安全运维服务采购竞争性谈判变更公告
大庆市政府采购中心关于大庆市房产局房产信息系统安全运维服务采购竞争性谈判变更公告
公告信息: | |||
采购项目名称 | (略) 房产信息系统安全运维服务采购 | ||
品目 | |||
采购单位 | (略) (略) | ||
行政区域 | (略) 市 | 公告时间 | * 日 * : * |
获取谈判文件的地点 | 详见招标文件 | ||
获取谈判文件的时间 | * 日 * : * 至 * 日 * : * | ||
预算金额 | ¥ * 万元(人民币) | ||
联系人及联系方式: | |||
项目联系人 | 李松霖 | ||
项目联系电话 | 点击查看>> | ||
采购单位 | (略) (略) | ||
采购单位地址 | (略) (略) | ||
采购单位联系方式 | 点击查看>> | ||
代理机构名称 | (略) 省 (略) 市公 (略) | ||
代理机构地址 | (略) (略) (略) | ||
代理机构联系方式 | * — 点击查看>> |
(略) 省 (略) (略) 对 (略) 房产信息系统安全 (略) 采购,本项目面向各 (略) 采购,欢迎有能力的国内供应商参加。
* 、项目编号:DZC 点击查看>>
* 、项目名称: (略) 房产信息系统安全运维服务采购
* 、采购方式:竞争性谈判
本项目要求以电子标书参与竞争,不接受纸质谈判响应文件(除《原件(样品)检验登记表》要求提供的资料外),否则谈判无效。具体报名及制作文件的步骤请参考http:/ 点击查看>>
咨询电话: 点击查看>>
* 、技术需求及数量: (略) 房产信息系统安全运维服务采购,预算: * , * . * 元,参与竞争供应商谈判最终报价超出预算的谈判无效。详细需求见 (略) 市公 (略) 网(http:/ 点击查看>> )《招标公告》。
* 、供应商资格条件:除符合《中华人民共和国政府采购法》中有关供应商申请取得政府采购资格的相关条件外,还应符合下述资格条件:
1、提供参与本项目竞争供应商有效的营业执照副本。
2、参与本项目竞争供应商自身具有有效的信息安全等级保护测评机构推荐证书的,须提供信息安全等级保护测评机构推荐证书;参与本项目竞争供应商自身不具有有效的信息安全等级保护测评机构推荐证书的,可以与具有有效的信息安全等级保护测评机构推荐证书的供应商以 (略) 伙伴的形式参与竞争,须提供 (略) 伙伴有效的信息安全等级保护测评机构推荐证书,并提供加盖双方公章的 (略) 协议原件, (略) 协议要求载明双方的权利及义务。
注:以 (略) 伙伴形式参加本项目的, (略) 伙伴各方不得再单独参加或者与其他供应商另外组成 (略) 伙伴参加同 * 合同项下的政府采购活动,否则投标无效。
3、参与本项目竞争供应商 (略) (略) 络安全等级保护安全服务小组服务人员4名,包含3名专业技术工程师和1名安全等级保护测评师,须提供上述人员名单及相应专业技术工程师的信息安全等级保护安全建设专业技术人员证书原件和安全等级保护测评师证书。
4、参与本项目竞争供应商承诺 (略) 服务信息安全保障人员,提供其信息安全保障人员认证证书,要求证书方向应为风险管理专业或应急服务专业。
5、本项目不接受联合体参与竞争。
* 、 (略) 政府采购扶持中小企业的相关政策。详见《政府采购促进中小 (略) 办法》。
参与本项目供应商如属于小、微企业,则须提供“小微企业声明函”, (略) (略) 分。
根据相关政策,参与本项目供应商为小型或微型企业的,且所投 (略) 房产信息系统安全运维服务采购项目是由参与本项目供应商直接提供服务的,则 (略) 房产信息系统安全运维服务采购项目的价格给予6%的扣除,用扣除后的价格参与评审。参与本项目供应商需提供本企业的小微企业声明函(须按规定格式填写声明函),不提供声明函的不享受相关扶持政策。以 (略) 伙伴的形式参与本项目竞争的供应商还需提供 (略) 方的小微企业声明函(须按规定格式填写),不提供声明函或提供不全的不享受相关扶持政策。
注:以上“用扣除后的价格参与评审” (略) ,依据供应商 (略) 房产信息系统安全运维服务采购采购项目 (略) 6%的扣除。
* 、获取文件须知
1、获取文件时间:公告之日起至 * 日 * 时0分。
注:请参 (略) 文件, (略) 文件,由此造成的后果 (略) 承担。
2、该项目 (略) 上自助的方式。
在 (略) (略) 或 (略) (略) 注册的供应商且供应商注册信息审核状态达到“有效”或“入库”或“合格”状态,可网上自助下载文件。未注册的供应商请注册后, (略) 中“办事指南” (略) 上自助下载文件。
3、咨询电话: 点击查看>> (李松霖)
* 、申请退出竞争程序及注意事项:
1、报名参与本项目竞争的供应商应严格遵守《诚信竞争承诺书》,如果供应商已下载谈判文件后因自身原因需要退出竞争,必须在投标截止时间 * 小时前,在 (略) 市公共资源交易管理平台提出退标申请,并说明合理退标理由。否则, (略) 为记录名单 * 次。
供应商已下载文件后无故未参与竞争或未按规定程序申请退出竞争的,将 (略) 为记录名单。 * 个月内:供应商 (略) 为记录1次的,我中心将限制其1个月内参与 (略) 市政府采购竞争;供应商 (略) 为记录累计2次的,我中心将限制其3个月内参与 (略) 市政府采购竞争;供应商 (略) 为记录累计3次的,我中心将限制其6个月内参与 (略) 市政府采购竞争。同时1年内不能被推荐为诚信供应商。
退出竞争事宜联系人:李松霖 联系电话: 点击查看>>
2、通过 (略) 市公共资源交易管理平台提出退标申请, (略) 受理备案的,可在 (略) 市公共资源交易管理平台办理退还保证金事宜。
3、未按规定程序申请退出投标的,无权向 (略) 市公 (略) 申请退还投标保证金。
4、未按规定程序申请退出投标的,我中心将视情 (略) 理。
5、已经在 (略) 市公共资源交易管理平台提出退出申请的供应商或擅自不参加本项目竞争的供应商,不得再参与该项目后期的采购活动。
* 、谈判保证金
(具体交纳方式见http:/ 点击查看>> ,流程中的第4条)
1、参与本项目竞争的供应商,须按相关规定向 (略) 市公 (略) 账户预交谈判保证金:2, * . * 元,谈判保证金必须由参与本项目竞争的供应商以本单位对公账户名义,且以转账方式交纳,不接受企业或个人以现金方式交纳谈判保证金(包括直接将现金存到 (略) 市公 (略) (略) 为),不得以其他单位或以个人名义代交。谈判保证金缴纳证明须扫描上传到 (略) 市公共资源交易管理平台谈判文件中,否则,谈判无效。
2、以担保保函方式提交谈判保证金的,应 (略) 认定的 (略) 或经 (略) 省财政厅认定的 (略) (略) 有限公司或 (略) 认定的 (略) (略) 、 (略) 市 (略) 出具的投标保函,或对公 (略) 出具的投标保函及对公账户开户许可证。投标保函应按谈判文件中规定的“政府采购投标保函”样式出具,不按谈判文件规定的“政府采购投标保函”样式出具的投标保函, (略) 市公 (略) 不予接受。同时应将投标保函原件 (略) ,并提供投标保函复印件 * 份。否则,谈判无效。
对投 (略) 请与 (略) 、 (略) (略) 有限公司、 (略) (略) 、 (略) 市 (略) 联系,联系电话:
(略) : 点击查看>>
(略) (略) 有限公司: 点击查看>> * 9
(略) (略) : 点击查看>>
(略) 市 (略) : 点击查看>>
3、 (略) 市公 (略) 账户信息:
户 名: (略) 市公 (略)
(略) : (略) (略) (略)
账号: 点击查看>>
行号: 点击查看>>
注:填写汇款单时,需要标注项目编号或订单编号。
4、谈判保证金不允许窜项目使用,交纳其他项目的保证金不能用作本项目。
5、使用保证金年卡的供应商须将保证金年卡扫描上传到 (略) 市公共资源交易管理平台谈判文件中,保证扫描内容清晰可查,否则谈判无效。建议参与政府采购活动频率高的供应商办理保证金年卡,年卡可在谈判(履约)保证金上限内重复使用, (略) 分补差即可。保证金年卡可同时用作投标和履约保证金。
6、成交方的谈判保证金可转为履约保证金(多退少补)。
7、谈判保证金的退还:谈判保证金 * 律采取转账方式无息退还至原汇款账户。未成交供应商请在成交通知书(成交公告)发出后主动在 (略) 市公共资源交易管理平台提出保证金退款申请,5个工作日内退还。成交供应商如未将投标保证金转为履约保证金的,请在合同签订后在平台提出退款申请,5个工作日内退还。退款申请详细内容:未成交供应商全称、 (略) 、账号、金额、项目编号、联系人、联系电话。否则,谈判保证金滞留的责任 (略) 承担。
中标供应商必须在合同签订后方可退该项目的投标保证金。
8、办理交纳或退还保证金事宜,如有 (略) 办公室财务人员联系。
9、发生下列情况之 * ,谈判保证金将不予退还:
⑴谈判开始后在谈判有效期间,供应商撤回其谈判资料。
⑵成交方不按本文件及成交通知书规定签订合同协议。
⑶将成交项目转让给他人,或者在谈判响应文件中未说明,且未经 (略) 市公 (略) 同意,将成交项目分包给他人的。
⑷ (略) 合同义务的。
十、招标文件售价:免费。
十 * 、预计投标截止时间及谈判时间: * 日9时 * 分。
十 * 、注意事项:
1、供应商请主动到 (略) 市公 (略) 网(http:/ 点击查看>> )《交易信息》 (略) 文件及后续发布的与本项目相关的各类文件(如:预备会纪要、变更通知、有关问题答复、质疑答复等相关文件)。
(略) 文件及相关文件事宜, (略) (略) 通知,均以发布的文件为准。由于供应商未及时下载与本项目相关的各类文件而影响供应商正常参与投标以及产生的其他问题和后果的,责任 (略) 承担。
2、 (略) ,符合条件即可参与。本项目要求的供应商资格证明文件报名时不需提供,参 (略) 有资格证明文件提供到开标会上, (略) 审查,经评审不符合条件者投标无效。
3、未在 (略) (略) 或黑龙 (略) 注册的供应商, (略) 上。未在 (略) (略) 或 (略) (略) 进行供应商注册的企业,请到www. 点击查看>> ,点击进入“ (略) ”登记注册。
4、项目报名截止时未在 (略) (略) 或黑龙 (略) 注册的供应商,本项目无法下载文件;在开标前供应商注册信息审核状态未达到“有效”或“入库”或“合格”状态,则投标无效。
未通过 (略) (略) 注册审查的供应商,请联 (略) 所属地 (略) 。 (略) 市政 (略) (略) (略) 电话: 点击查看>> * 。具体要求请查阅http:/ 点击查看>> 《办事指南》栏目——供应商参与投标指南流程第1条。
5、本项目开标过程全程音视频监控,如参与本项目投标企业或个人对开标过程有疑义,可以书面形式提出,由政 (略) 门视情况调阅 (略) 审查。因此,所有参与本项目投标企业和个人不得对 (略) 录音、录像、摄影,或者通过发送邮件、博客、微博客等方式传播开标过程, * 经发现,投标无效,造成损失和影响的,将追究法律责任(经允许的除外)。
6、单位负责人为同 * 人或者存在直接控股、管理关系的不同供应商,不得参加同 * 合同项下的政府采购活动。
集中采购机构: (略) (略)
集中采购机构地址: (略) 市 (略) 区 (略) 新村纬 * 路2号( (略) (略) * 楼)
集中采购机构联系人:李松霖
集中采购机构联系电话: 点击查看>>
采购单位: (略) (略)
采购单位地址: (略) 市开发区建设大厦
采购单位联系人:李金财
采购单位联系方式: 点击查看>>
邮 编: 点击查看>>
日期: * 日
项目需求
(略) 市房产信息系统安全运维服务的方案
目 录
序号 | 要求 | 具体内容 |
1 | 服务范围 | 对 (略) (略) 络设备、安全设备、主机、PC服务器、中间件、数据 (略) 漏 (略) 安全加固服务。 |
2 | 服务方式 | 专业 (略) 服务 |
3 | 服务周期 | (1)全年4次, (略) * 次全面的漏洞扫描(含系统层和应用层的扫描)和安全加固; (2)遇有重大事件、信息系统发生重 (略) 商发布严重安全警告时,根据 (略) 要 (略) 漏洞扫描和安全加固。 |
4 | 服务工具 | 服务方提供 * 台漏洞扫描工具及 * 台web应用漏洞扫描硬件设备专门用于web应用系统扫描。采用的工具需是成熟的商业漏洞 (略) 漏洞扫描,保证对目标系统无大的影响以及扫描结果的准确性和可信度。 |
5 | 服务要求 | 1、要求供应商在扫描过程中不能影响业务系 (略) ,如扫描过程有可能对目标系统造成严重影响,须事先通知 (略) 并经过 (略) 的书面同意才能实施,否则,将根据影响程度追究供应商的责任。 2、在扫描过程中,对有可能影响业务 (略) 的行为,供应商必须先制定应急预案,后组织实施。 3、根据安全评估服 (略) 络设备、安全设备的 (略) 修补,对主机系统、数据库等安全漏洞提出修补建议。 4、应综合运用配置优化、补 * 升级等手段实施全面的安全加固,提高其抗攻击性能,避免由于系统本身结构、设置上的缺陷导致安全事故。 5、为避免安全加固对系统可靠性的影响,供应商在实施加固操作前应提交详细的安全加固方案,包括加固方法、流程、详细的安全加固措施列表等,并经 (略) 的评审和确认,确保各 (略) 的 (略) 正式的加固工作。 6、协助管理员完成补 * 测试(包括补 * 安装测试、补 * 功能性测试、补 * 兼容性测试和补 * 回退测试)、协助管理员制订补 * 加载方案,并验证监督补 * 加载情况。 |
6 | 服务报告要求 | (1)每次扫描完成后,必须 (略) 络安全状况评估报告,采用图表等各种直观的形式说明目前系统存在的安全漏洞数量、类型、严重程度、分布范围等,以及各种漏洞的详细说明和操作性很强的解决方案(包括各种补 * 和工具的下载地址,操作步骤等); (2)针对对外服务的信息系统,必须提交应用层安全扫描报告; (3)必须提交本次评估结果和上次评估结果的对比分析和安全状况变化趋势报告。 最终成果文档应包括但不限于: 《 (略) 市房产信息系统加固报告》 《 (略) 市房产信息系统残余风险说明》 |
序号 | 要求 | 具体内容 |
1 | 服务范围 | (略) 市房产系统出现计算机病毒事件、拒绝服务攻击事件、漏洞攻击事件、网络扫描窃听事件、信息篡改、假冒、窃取 (略) 置。 |
2 | 服务方式 | 现场服务或远程方式。 |
3 | 服务周期 | 服务期内无限次 |
4 | 服务要求 | 1、 * 般事件:接到 (略) 通知后,现场驻点人员 (略) 处理事件, (略) 理结束后提交书面的安全事件调查分析报告:包括事故原因、过程描述、入侵来源、证据报告、解决方案、处理结果、改进建议等。 2、较大事件:接到 (略) 通知后,现场驻点人员 (略) 处理事件;从接到 (略) 通知起,服务方必须在 * 小时内提出安全事件解决方 (略) 理结束后提交书面的安全事件调查分析报告:包括事故原因、过程描述、入侵来源、证据报告、解决方案、处理结果、改进建议等。 3、重大事件:接到 (略) 通知后,现场驻点人员 (略) 且服务方安全专家必须在 (略) (略) 理;从接到 (略) 通知起,服务方必须在 * 小时内提出安全事件解决方 (略) 理结束后 * 小时内提交书面的安全事件调查分析报告:包括事故原因、过程描述、入侵来源、证据报告、解决方案、处理结果、改进建议等。 4、特别重大事件:接到 (略) 通知后,现场驻点人员 (略) 且服务方安全专家必须在 (略) (略) 理;从接到 (略) 通知起,服务方必须在 * 小时内提出安全事件解决方 (略) 理结束后 * 小时内提交书面的安全事件调查分析报告:包括事故原因、过程描述、入侵来源、证据报告、解决方案、处理结果、改进建议等。 |
5 | 服务报告要求 | 响应服务完成后需整理 (略) 理报告,内容至少包括事故原因分析、已造成的影响、处理办法、处理结果、预防和改进建议。 包括但不限于:《 (略) 理报告(建议)》 |
6 | 其他要求 | 1、服务方通过建立应急响应体系,完善应急响应流程,快速对 (略) 准确定位, (略) 理,快速 (略) ,降低安全事件造成的损失和影响。 2、服务方协助制定和完善重要信息系统的应急响应预案,根据应急预案,按照应急响应流程,组织相关人员每年至少开展 * 次应急演练,达 (略) 理速度, 多方协调联动能力,熟悉应急流程的目的。 3、服务方在国家两会期间或其他重大事件特殊时期,成立专门的 (略) 开展专项应急保障工作,对重点信息系统、 (略) * 小时监控,有针对性的排查安全漏洞和风险,保障特殊时期信息安全。 |
序号 | 要求 | 具体内容 |
1 | 服务范围 | 大 (略) 的服务器、网络设备、安全设备、数据库等重要 (略) 渗透测试,具体测试目标由 (略) 指定。 |
2 | 服务方式 | 专业 (略) (略) 提供服务 |
3 | 服务周期 | (1)为 (略) 提供至少每年 * 次渗透测试服务,服务完成后提交详细的渗透测试报告。 (2)若临时遇有重大事件或特殊时期,需增加渗透测试服务。 |
4 | 服务工具 | 供应商必须采用业界成熟的商业漏洞 (略) 漏洞扫描,保证对目标系统无大的影响以及扫描结果的准确性和可信度,必要时,须结合手工渗透等手段。 |
5 | 服务要求 | 要求供应商在渗透测试过程中不能影响业务系 (略) ,如渗透测试过程有可能对目标系统造成严重影响,须事先知会 (略) 并经过 (略) 的书面同意才能实施,否则,将根据影响程度追究供应商的经济责任。 在渗透测试过程中,对有可能影响业务 (略) 的行为,供应商必须先制定应急预案,后组织实施。 在服务期内,若临时遇有重大事件或特殊时期,供应商有责任和义务临时增加渗透测试服务。 |
6 | 服务报告要求 | 每次渗透测试完成之后,供应商应提供 * 份渗透测试报告。渗透测试报告必须详细说明渗透测试过程中发现的漏洞信息、证据, (略) 络安全分析和安全加固建议。 |
序号 | 要求 | 具体内容 |
1 | 服务范围 | (略) 市房产系统服务器、网络设备、安全设备、数据库等重要应用系统风险评估。 |
2 | 服务方式 | 要求根据信息系统实际情况,给出信息系统当前实际的安全风险隐患, (略) 符合检查。检查的过程不能影响各项业 (略) ,对危险操作给出《风险规避方案》并指明可能产生的后果,在征得批准后方可实施。根据检查结果给出整改建议, (略) 整改。整改完成后协助完成备案工作。 |
3 | 服务周期 | (1)新系统建设过程中,依据国家信息安全相关规定对 (略) 评估。 |
4 | 服务要求 | 服务方参照《GB/T 点击查看>> 8信息安全风险评估规范》,对被评估 (略) 逐项核查。 (略) 络漏洞扫描仪、业务应用系统扫描系统、渗透测试工 (略) 技术体系核查,通过检测核查列表、问卷访谈方 (略) 管理体系核查,生成核查结果。对于存在的安全隐患 (略) 性的整改建议。 |
5 | 服务报告要求 | 检查完成后提交的文档应完整、切合实际。整改措施技术方面应当具体到可操作的命令级别(相关命令应经过测试后认定正确有效)。 最终成果文档应包括但不限于: 《 (略) 市房产信息系统风险评估报告》(主文档) |
按照《网络安全法》、《信息系统安全等级保护测评要求》对《房屋交易与产权管理系统》和《 (略) 监管服务平台》 * 级等级保护测评并核发等级保护证书和技术检测评估报告等级保护工作。
* 、技术要求
( * )测评依据
根据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》、《中华人民共和国信息安全等级保护管理办法》等相关政策和技术标准,对我单位 (略) 等级保护测评。
( * )测评服务要求
1.在确保信息 (略) 的前提下,根据国家等级保护相关标准 (略) 等级保护测评。测评工作需由高级测评师根据《等保测评过程指南》进行前期信息系统的调研,并编写针对信息系统等级保护测评的实施方案,测评完成后,根据测评结果编写信息安全等级保护测评报告。
2.信息安全等级保护测评工作完成后,形成信息安全等级保护测评报告,报告中应包含单项测评结果、单元测评结果、层面间分析、区域间分析等内容,并 (略) 络信息系统的实际情况,指出信息系统中存在的安全薄弱环节,提出安全整改建议。
3.测评人员要具有项目测评经验,可有效保障测评安全, (略) 理测评中出现的问题。
4.采用的测评工具必须获得正版授权,并在有效期内,不得使用盗版软件。
5.采用的测评工具在功能、性能等满足使用要求前提下,应优先采用具有国内自主知识产权的同类产品。
6. 对我单位拟定测评的系统提供信息系统备案服务、信息系统等级保护测评服务、漏洞扫描服务。应交付的产物如下:
A. (略) 出具的系统备案证明
B. 系统系统安全等级测评报告
C. 信息系统漏洞扫描报告
7.漏洞扫描
A、提供每季度 * 次、为期 * 年的WEB应用弱点扫描服务,内容涵盖:
深度扫描:以WEB漏洞风险为导向,通过对WEB应用(包括WEB2.0、JAVAScript、FLASH等)进行深度遍历,以安全风险管理为基础,支持各类WEB应用程序的扫描。
WEB漏洞检测:提供有丰富的策略包,针对各种WEB应用系统以及各种典型的 (略) 检测(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据、第 * 方软件等)。
网页木马检测:对各种 (略) (略) 全自动、高性能、智能化分析, (略) 页木马传播的病毒类型做出 (略) 页木马宿主做出精确定位。
配置审计:通过当前弱点获取数据库的相关敏感信息,对后 (略) 配置审计,如弱口令、弱配置等。
B、提供每季度 * 次、为期 * 年的数据库弱点扫描服务,内容涵盖:
权威的弱点规则库:权威数据库安全专家提供最全面、最准确和最新的弱点知识库。
PCI/DSS合规扫描:支持PCI/DSS安全认证标准合规扫描,协助用户PCI/DSS合规性评估,证明用户在数据安全方面的承诺
深度的弱点检测:提供对数据库“弱点、不安全配置、弱口令、补 * ”深层次安全检测及准确评估。
完备的类型支持:支持业界主流的数据库类型,包括Oracle、MSsql、DB2、Informix、Mysql、Sybase等。
优异的扫描引擎:扫描引擎确保系统工作时对数据库及服务器性能影响最小化。
灵活的策略管理:策略即数据库检测的依据和标准,策略管理可以灵活制定不同的检测标准,根据用户的实际测试目的,定制不同的策略, (略) 添加策略项扩充策略库检测数据库的安全漏洞。
用户管理:产品默认用户分为 * 类:管理员,审计员和操作员。管理员可以对审计员 (略) 角色权限分配。审计员可以 (略) 日志。操作员可以根据自己 (略) 相应的操作,使用相应的功能。也可以由管理员创建新的角色给予相应的权限。
日志管理:记 (略) (略) 有操作。提供对这些操作信息的检索、查看等功能。也可将日志信息导出保存为CSV格式的文档。
丰富的扫描报告:扫描结果通过灵活的报表呈现给用户,支持各类格式输出,并提供弱点分级、相应加固建议方案以及自定义报表内容。
方便的操作管理:充分考虑国内用户的使用习惯,提供全中文的操作界面,提供向导模式帮助使用者轻松完成扫描项目的配置。
C、提供每季度 * 次、为期 * 年的主机安全弱点扫描服务,对主机操作系统的安全 (略) 扫描,主要包括如下:
密码安全;用户权限划分配置;Guest是否禁用;登录失败设置;安全审计设置;防火墙开启情况及配置;恶意代码防范情况;程序组件安装情况;服务启用情况;端口开放情况;默认共享开启情况;管理地址限制情况
D. 提供每季度 * 次、 (略) 络设备安全弱点扫描服务,对网络设备的安全 (略) 扫描,主要包括如下:
密码安全配置;访问控制策略配置;路由配置;Vlan划分配置;用户权限划分配置;SSH及TELNET配置;登录超时配置;SNMP配置;审计日志设置;协议启用情况;管理地址限制情况;CPU、内存、风扇等资源使用情况;链路状态情况;闲置端口开关情况;软件版本情况;时钟同步配置
( * ) 测评指标
1. 安全要求从整体上分为技术和管理两大类,其中,管理类和技术类安全要求按其保护的侧重点不同,《信息安全技术 信息安全等级保护基本要求》将所有的控制点分为以下 * 类:
安全要求:
业务信息安全类 关注的是保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改
系统服务安全类 关注的是保护系统连 (略) ,避免因对系统的未授权修改、破坏而导致的系统不可用。
通用安全保护类 既关注保护业务信息的安全性,同时也关注系统的连续可用性
2. 信息系统控制点测评指标
跟据《信息安全技术 信息安全等级保护基本要求》对信息系统的控制点测评指标的要求,控制点测评指标见下表:
* 级信息系统控制点测评指标合计 * (类)
3. 信息系统要求项测评指标
信息系统安全保护等级,其需要测评的基本指标: * 个安全分类, * 个控制点(安全子类), * 个要求项,其中技术要测评的 * 个控制点 * 个要求项;管理要测评的 * 个控制点 * 个要求项。
( * )评测机构能力要求
1.测评机构能够把握和理解国家对该类项目的具体要求,对等级保护政策标准本身有较深的认识。
2.测评机构应具有完善的工作流程,有计划、按步骤地开展测评工作,保证测评活动的每个环节都得到有效的控制。
3.为维护我单位的利益,测评机构在我单位实际测评工作中对我单位的系统、信息、数据有安全保密的义务,进场时必须签订保密协议。
4.测 (略) 测评工作中必须在不影响我单位各业务系统对外服务 (略) 。
5.测评机构应具有完善的项目管理经验,包括制定项目汇报的体系、项目问题管理体系等。
( * )其它要求:
1. 服务时间:合同签定后 * 日内
验收时,中标方必须提供由省级以上信息系统安全等级保 (略) 推荐的测评机构(“ (略) 络安 (略) ” http:/ 点击查看>> 中公布的),出具针对本次项目的《房屋交易与产权管理系统》和《 (略) 监管服务平台》安全等级保护测评报告、 (略) 出具的系统备案证明,作为验收 (略) 分(评测费用 (略) 承担),否则,依 (略) 理。
1
公告信息: | |||
采购项目名称 | (略) 房产信息系统安全运维服务采购 | ||
品目 | |||
采购单位 | (略) (略) | ||
行政区域 | (略) 市 | 公告时间 | * 日 * : * |
获取谈判文件的地点 | 详见招标文件 | ||
获取谈判文件的时间 | * 日 * : * 至 * 日 * : * | ||
预算金额 | ¥ * 万元(人民币) | ||
联系人及联系方式: | |||
项目联系人 | 李松霖 | ||
项目联系电话 | 点击查看>> | ||
采购单位 | (略) (略) | ||
采购单位地址 | (略) (略) | ||
采购单位联系方式 | 点击查看>> | ||
代理机构名称 | (略) 省 (略) 市公 (略) | ||
代理机构地址 | (略) (略) (略) | ||
代理机构联系方式 | * — 点击查看>> |
(略) 省 (略) (略) 对 (略) 房产信息系统安全 (略) 采购,本项目面向各 (略) 采购,欢迎有能力的国内供应商参加。
* 、项目编号:DZC 点击查看>>
* 、项目名称: (略) 房产信息系统安全运维服务采购
* 、采购方式:竞争性谈判
本项目要求以电子标书参与竞争,不接受纸质谈判响应文件(除《原件(样品)检验登记表》要求提供的资料外),否则谈判无效。具体报名及制作文件的步骤请参考http:/ 点击查看>>
咨询电话: 点击查看>>
* 、技术需求及数量: (略) 房产信息系统安全运维服务采购,预算: * , * . * 元,参与竞争供应商谈判最终报价超出预算的谈判无效。详细需求见 (略) 市公 (略) 网(http:/ 点击查看>> )《招标公告》。
* 、供应商资格条件:除符合《中华人民共和国政府采购法》中有关供应商申请取得政府采购资格的相关条件外,还应符合下述资格条件:
1、提供参与本项目竞争供应商有效的营业执照副本。
2、参与本项目竞争供应商自身具有有效的信息安全等级保护测评机构推荐证书的,须提供信息安全等级保护测评机构推荐证书;参与本项目竞争供应商自身不具有有效的信息安全等级保护测评机构推荐证书的,可以与具有有效的信息安全等级保护测评机构推荐证书的供应商以 (略) 伙伴的形式参与竞争,须提供 (略) 伙伴有效的信息安全等级保护测评机构推荐证书,并提供加盖双方公章的 (略) 协议原件, (略) 协议要求载明双方的权利及义务。
注:以 (略) 伙伴形式参加本项目的, (略) 伙伴各方不得再单独参加或者与其他供应商另外组成 (略) 伙伴参加同 * 合同项下的政府采购活动,否则投标无效。
3、参与本项目竞争供应商 (略) (略) 络安全等级保护安全服务小组服务人员4名,包含3名专业技术工程师和1名安全等级保护测评师,须提供上述人员名单及相应专业技术工程师的信息安全等级保护安全建设专业技术人员证书原件和安全等级保护测评师证书。
4、参与本项目竞争供应商承诺 (略) 服务信息安全保障人员,提供其信息安全保障人员认证证书,要求证书方向应为风险管理专业或应急服务专业。
5、本项目不接受联合体参与竞争。
* 、 (略) 政府采购扶持中小企业的相关政策。详见《政府采购促进中小 (略) 办法》。
参与本项目供应商如属于小、微企业,则须提供“小微企业声明函”, (略) (略) 分。
根据相关政策,参与本项目供应商为小型或微型企业的,且所投 (略) 房产信息系统安全运维服务采购项目是由参与本项目供应商直接提供服务的,则 (略) 房产信息系统安全运维服务采购项目的价格给予6%的扣除,用扣除后的价格参与评审。参与本项目供应商需提供本企业的小微企业声明函(须按规定格式填写声明函),不提供声明函的不享受相关扶持政策。以 (略) 伙伴的形式参与本项目竞争的供应商还需提供 (略) 方的小微企业声明函(须按规定格式填写),不提供声明函或提供不全的不享受相关扶持政策。
注:以上“用扣除后的价格参与评审” (略) ,依据供应商 (略) 房产信息系统安全运维服务采购采购项目 (略) 6%的扣除。
* 、获取文件须知
1、获取文件时间:公告之日起至 * 日 * 时0分。
注:请参 (略) 文件, (略) 文件,由此造成的后果 (略) 承担。
2、该项目 (略) 上自助的方式。
在 (略) (略) 或 (略) (略) 注册的供应商且供应商注册信息审核状态达到“有效”或“入库”或“合格”状态,可网上自助下载文件。未注册的供应商请注册后, (略) 中“办事指南” (略) 上自助下载文件。
3、咨询电话: 点击查看>> (李松霖)
* 、申请退出竞争程序及注意事项:
1、报名参与本项目竞争的供应商应严格遵守《诚信竞争承诺书》,如果供应商已下载谈判文件后因自身原因需要退出竞争,必须在投标截止时间 * 小时前,在 (略) 市公共资源交易管理平台提出退标申请,并说明合理退标理由。否则, (略) 为记录名单 * 次。
供应商已下载文件后无故未参与竞争或未按规定程序申请退出竞争的,将 (略) 为记录名单。 * 个月内:供应商 (略) 为记录1次的,我中心将限制其1个月内参与 (略) 市政府采购竞争;供应商 (略) 为记录累计2次的,我中心将限制其3个月内参与 (略) 市政府采购竞争;供应商 (略) 为记录累计3次的,我中心将限制其6个月内参与 (略) 市政府采购竞争。同时1年内不能被推荐为诚信供应商。
退出竞争事宜联系人:李松霖 联系电话: 点击查看>>
2、通过 (略) 市公共资源交易管理平台提出退标申请, (略) 受理备案的,可在 (略) 市公共资源交易管理平台办理退还保证金事宜。
3、未按规定程序申请退出投标的,无权向 (略) 市公 (略) 申请退还投标保证金。
4、未按规定程序申请退出投标的,我中心将视情 (略) 理。
5、已经在 (略) 市公共资源交易管理平台提出退出申请的供应商或擅自不参加本项目竞争的供应商,不得再参与该项目后期的采购活动。
* 、谈判保证金
(具体交纳方式见http:/ 点击查看>> ,流程中的第4条)
1、参与本项目竞争的供应商,须按相关规定向 (略) 市公 (略) 账户预交谈判保证金:2, * . * 元,谈判保证金必须由参与本项目竞争的供应商以本单位对公账户名义,且以转账方式交纳,不接受企业或个人以现金方式交纳谈判保证金(包括直接将现金存到 (略) 市公 (略) (略) 为),不得以其他单位或以个人名义代交。谈判保证金缴纳证明须扫描上传到 (略) 市公共资源交易管理平台谈判文件中,否则,谈判无效。
2、以担保保函方式提交谈判保证金的,应 (略) 认定的 (略) 或经 (略) 省财政厅认定的 (略) (略) 有限公司或 (略) 认定的 (略) (略) 、 (略) 市 (略) 出具的投标保函,或对公 (略) 出具的投标保函及对公账户开户许可证。投标保函应按谈判文件中规定的“政府采购投标保函”样式出具,不按谈判文件规定的“政府采购投标保函”样式出具的投标保函, (略) 市公 (略) 不予接受。同时应将投标保函原件 (略) ,并提供投标保函复印件 * 份。否则,谈判无效。
对投 (略) 请与 (略) 、 (略) (略) 有限公司、 (略) (略) 、 (略) 市 (略) 联系,联系电话:
(略) : 点击查看>>
(略) (略) 有限公司: 点击查看>> * 9
(略) (略) : 点击查看>>
(略) 市 (略) : 点击查看>>
3、 (略) 市公 (略) 账户信息:
户 名: (略) 市公 (略)
(略) : (略) (略) (略)
账号: 点击查看>>
行号: 点击查看>>
注:填写汇款单时,需要标注项目编号或订单编号。
4、谈判保证金不允许窜项目使用,交纳其他项目的保证金不能用作本项目。
5、使用保证金年卡的供应商须将保证金年卡扫描上传到 (略) 市公共资源交易管理平台谈判文件中,保证扫描内容清晰可查,否则谈判无效。建议参与政府采购活动频率高的供应商办理保证金年卡,年卡可在谈判(履约)保证金上限内重复使用, (略) 分补差即可。保证金年卡可同时用作投标和履约保证金。
6、成交方的谈判保证金可转为履约保证金(多退少补)。
7、谈判保证金的退还:谈判保证金 * 律采取转账方式无息退还至原汇款账户。未成交供应商请在成交通知书(成交公告)发出后主动在 (略) 市公共资源交易管理平台提出保证金退款申请,5个工作日内退还。成交供应商如未将投标保证金转为履约保证金的,请在合同签订后在平台提出退款申请,5个工作日内退还。退款申请详细内容:未成交供应商全称、 (略) 、账号、金额、项目编号、联系人、联系电话。否则,谈判保证金滞留的责任 (略) 承担。
中标供应商必须在合同签订后方可退该项目的投标保证金。
8、办理交纳或退还保证金事宜,如有 (略) 办公室财务人员联系。
9、发生下列情况之 * ,谈判保证金将不予退还:
⑴谈判开始后在谈判有效期间,供应商撤回其谈判资料。
⑵成交方不按本文件及成交通知书规定签订合同协议。
⑶将成交项目转让给他人,或者在谈判响应文件中未说明,且未经 (略) 市公 (略) 同意,将成交项目分包给他人的。
⑷ (略) 合同义务的。
十、招标文件售价:免费。
十 * 、预计投标截止时间及谈判时间: * 日9时 * 分。
十 * 、注意事项:
1、供应商请主动到 (略) 市公 (略) 网(http:/ 点击查看>> )《交易信息》 (略) 文件及后续发布的与本项目相关的各类文件(如:预备会纪要、变更通知、有关问题答复、质疑答复等相关文件)。
(略) 文件及相关文件事宜, (略) (略) 通知,均以发布的文件为准。由于供应商未及时下载与本项目相关的各类文件而影响供应商正常参与投标以及产生的其他问题和后果的,责任 (略) 承担。
2、 (略) ,符合条件即可参与。本项目要求的供应商资格证明文件报名时不需提供,参 (略) 有资格证明文件提供到开标会上, (略) 审查,经评审不符合条件者投标无效。
3、未在 (略) (略) 或黑龙 (略) 注册的供应商, (略) 上。未在 (略) (略) 或 (略) (略) 进行供应商注册的企业,请到www. 点击查看>> ,点击进入“ (略) ”登记注册。
4、项目报名截止时未在 (略) (略) 或黑龙 (略) 注册的供应商,本项目无法下载文件;在开标前供应商注册信息审核状态未达到“有效”或“入库”或“合格”状态,则投标无效。
未通过 (略) (略) 注册审查的供应商,请联 (略) 所属地 (略) 。 (略) 市政 (略) (略) (略) 电话: 点击查看>> * 。具体要求请查阅http:/ 点击查看>> 《办事指南》栏目——供应商参与投标指南流程第1条。
5、本项目开标过程全程音视频监控,如参与本项目投标企业或个人对开标过程有疑义,可以书面形式提出,由政 (略) 门视情况调阅 (略) 审查。因此,所有参与本项目投标企业和个人不得对 (略) 录音、录像、摄影,或者通过发送邮件、博客、微博客等方式传播开标过程, * 经发现,投标无效,造成损失和影响的,将追究法律责任(经允许的除外)。
6、单位负责人为同 * 人或者存在直接控股、管理关系的不同供应商,不得参加同 * 合同项下的政府采购活动。
集中采购机构: (略) (略)
集中采购机构地址: (略) 市 (略) 区 (略) 新村纬 * 路2号( (略) (略) * 楼)
集中采购机构联系人:李松霖
集中采购机构联系电话: 点击查看>>
采购单位: (略) (略)
采购单位地址: (略) 市开发区建设大厦
采购单位联系人:李金财
采购单位联系方式: 点击查看>>
邮 编: 点击查看>>
日期: * 日
项目需求
(略) 市房产信息系统安全运维服务的方案
目 录
序号 | 要求 | 具体内容 |
1 | 服务范围 | 对 (略) (略) 络设备、安全设备、主机、PC服务器、中间件、数据 (略) 漏 (略) 安全加固服务。 |
2 | 服务方式 | 专业 (略) 服务 |
3 | 服务周期 | (1)全年4次, (略) * 次全面的漏洞扫描(含系统层和应用层的扫描)和安全加固; (2)遇有重大事件、信息系统发生重 (略) 商发布严重安全警告时,根据 (略) 要 (略) 漏洞扫描和安全加固。 |
4 | 服务工具 | 服务方提供 * 台漏洞扫描工具及 * 台web应用漏洞扫描硬件设备专门用于web应用系统扫描。采用的工具需是成熟的商业漏洞 (略) 漏洞扫描,保证对目标系统无大的影响以及扫描结果的准确性和可信度。 |
5 | 服务要求 | 1、要求供应商在扫描过程中不能影响业务系 (略) ,如扫描过程有可能对目标系统造成严重影响,须事先通知 (略) 并经过 (略) 的书面同意才能实施,否则,将根据影响程度追究供应商的责任。 2、在扫描过程中,对有可能影响业务 (略) 的行为,供应商必须先制定应急预案,后组织实施。 3、根据安全评估服 (略) 络设备、安全设备的 (略) 修补,对主机系统、数据库等安全漏洞提出修补建议。 4、应综合运用配置优化、补 * 升级等手段实施全面的安全加固,提高其抗攻击性能,避免由于系统本身结构、设置上的缺陷导致安全事故。 5、为避免安全加固对系统可靠性的影响,供应商在实施加固操作前应提交详细的安全加固方案,包括加固方法、流程、详细的安全加固措施列表等,并经 (略) 的评审和确认,确保各 (略) 的 (略) 正式的加固工作。 6、协助管理员完成补 * 测试(包括补 * 安装测试、补 * 功能性测试、补 * 兼容性测试和补 * 回退测试)、协助管理员制订补 * 加载方案,并验证监督补 * 加载情况。 |
6 | 服务报告要求 | (1)每次扫描完成后,必须 (略) 络安全状况评估报告,采用图表等各种直观的形式说明目前系统存在的安全漏洞数量、类型、严重程度、分布范围等,以及各种漏洞的详细说明和操作性很强的解决方案(包括各种补 * 和工具的下载地址,操作步骤等); (2)针对对外服务的信息系统,必须提交应用层安全扫描报告; (3)必须提交本次评估结果和上次评估结果的对比分析和安全状况变化趋势报告。 最终成果文档应包括但不限于: 《 (略) 市房产信息系统加固报告》 《 (略) 市房产信息系统残余风险说明》 |
序号 | 要求 | 具体内容 |
1 | 服务范围 | (略) 市房产系统出现计算机病毒事件、拒绝服务攻击事件、漏洞攻击事件、网络扫描窃听事件、信息篡改、假冒、窃取 (略) 置。 |
2 | 服务方式 | 现场服务或远程方式。 |
3 | 服务周期 | 服务期内无限次 |
4 | 服务要求 | 1、 * 般事件:接到 (略) 通知后,现场驻点人员 (略) 处理事件, (略) 理结束后提交书面的安全事件调查分析报告:包括事故原因、过程描述、入侵来源、证据报告、解决方案、处理结果、改进建议等。 2、较大事件:接到 (略) 通知后,现场驻点人员 (略) 处理事件;从接到 (略) 通知起,服务方必须在 * 小时内提出安全事件解决方 (略) 理结束后提交书面的安全事件调查分析报告:包括事故原因、过程描述、入侵来源、证据报告、解决方案、处理结果、改进建议等。 3、重大事件:接到 (略) 通知后,现场驻点人员 (略) 且服务方安全专家必须在 (略) (略) 理;从接到 (略) 通知起,服务方必须在 * 小时内提出安全事件解决方 (略) 理结束后 * 小时内提交书面的安全事件调查分析报告:包括事故原因、过程描述、入侵来源、证据报告、解决方案、处理结果、改进建议等。 4、特别重大事件:接到 (略) 通知后,现场驻点人员 (略) 且服务方安全专家必须在 (略) (略) 理;从接到 (略) 通知起,服务方必须在 * 小时内提出安全事件解决方 (略) 理结束后 * 小时内提交书面的安全事件调查分析报告:包括事故原因、过程描述、入侵来源、证据报告、解决方案、处理结果、改进建议等。 |
5 | 服务报告要求 | 响应服务完成后需整理 (略) 理报告,内容至少包括事故原因分析、已造成的影响、处理办法、处理结果、预防和改进建议。 包括但不限于:《 (略) 理报告(建议)》 |
6 | 其他要求 | 1、服务方通过建立应急响应体系,完善应急响应流程,快速对 (略) 准确定位, (略) 理,快速 (略) ,降低安全事件造成的损失和影响。 2、服务方协助制定和完善重要信息系统的应急响应预案,根据应急预案,按照应急响应流程,组织相关人员每年至少开展 * 次应急演练,达 (略) 理速度, 多方协调联动能力,熟悉应急流程的目的。 3、服务方在国家两会期间或其他重大事件特殊时期,成立专门的 (略) 开展专项应急保障工作,对重点信息系统、 (略) * 小时监控,有针对性的排查安全漏洞和风险,保障特殊时期信息安全。 |
序号 | 要求 | 具体内容 |
1 | 服务范围 | 大 (略) 的服务器、网络设备、安全设备、数据库等重要 (略) 渗透测试,具体测试目标由 (略) 指定。 |
2 | 服务方式 | 专业 (略) (略) 提供服务 |
3 | 服务周期 | (1)为 (略) 提供至少每年 * 次渗透测试服务,服务完成后提交详细的渗透测试报告。 (2)若临时遇有重大事件或特殊时期,需增加渗透测试服务。 |
4 | 服务工具 | 供应商必须采用业界成熟的商业漏洞 (略) 漏洞扫描,保证对目标系统无大的影响以及扫描结果的准确性和可信度,必要时,须结合手工渗透等手段。 |
5 | 服务要求 | 要求供应商在渗透测试过程中不能影响业务系 (略) ,如渗透测试过程有可能对目标系统造成严重影响,须事先知会 (略) 并经过 (略) 的书面同意才能实施,否则,将根据影响程度追究供应商的经济责任。 在渗透测试过程中,对有可能影响业务 (略) 的行为,供应商必须先制定应急预案,后组织实施。 在服务期内,若临时遇有重大事件或特殊时期,供应商有责任和义务临时增加渗透测试服务。 |
6 | 服务报告要求 | 每次渗透测试完成之后,供应商应提供 * 份渗透测试报告。渗透测试报告必须详细说明渗透测试过程中发现的漏洞信息、证据, (略) 络安全分析和安全加固建议。 |
序号 | 要求 | 具体内容 |
1 | 服务范围 | (略) 市房产系统服务器、网络设备、安全设备、数据库等重要应用系统风险评估。 |
2 | 服务方式 | 要求根据信息系统实际情况,给出信息系统当前实际的安全风险隐患, (略) 符合检查。检查的过程不能影响各项业 (略) ,对危险操作给出《风险规避方案》并指明可能产生的后果,在征得批准后方可实施。根据检查结果给出整改建议, (略) 整改。整改完成后协助完成备案工作。 |
3 | 服务周期 | (1)新系统建设过程中,依据国家信息安全相关规定对 (略) 评估。 |
4 | 服务要求 | 服务方参照《GB/T 点击查看>> 8信息安全风险评估规范》,对被评估 (略) 逐项核查。 (略) 络漏洞扫描仪、业务应用系统扫描系统、渗透测试工 (略) 技术体系核查,通过检测核查列表、问卷访谈方 (略) 管理体系核查,生成核查结果。对于存在的安全隐患 (略) 性的整改建议。 |
5 | 服务报告要求 | 检查完成后提交的文档应完整、切合实际。整改措施技术方面应当具体到可操作的命令级别(相关命令应经过测试后认定正确有效)。 最终成果文档应包括但不限于: 《 (略) 市房产信息系统风险评估报告》(主文档) |
按照《网络安全法》、《信息系统安全等级保护测评要求》对《房屋交易与产权管理系统》和《 (略) 监管服务平台》 * 级等级保护测评并核发等级保护证书和技术检测评估报告等级保护工作。
* 、技术要求
( * )测评依据
根据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》、《中华人民共和国信息安全等级保护管理办法》等相关政策和技术标准,对我单位 (略) 等级保护测评。
( * )测评服务要求
1.在确保信息 (略) 的前提下,根据国家等级保护相关标准 (略) 等级保护测评。测评工作需由高级测评师根据《等保测评过程指南》进行前期信息系统的调研,并编写针对信息系统等级保护测评的实施方案,测评完成后,根据测评结果编写信息安全等级保护测评报告。
2.信息安全等级保护测评工作完成后,形成信息安全等级保护测评报告,报告中应包含单项测评结果、单元测评结果、层面间分析、区域间分析等内容,并 (略) 络信息系统的实际情况,指出信息系统中存在的安全薄弱环节,提出安全整改建议。
3.测评人员要具有项目测评经验,可有效保障测评安全, (略) 理测评中出现的问题。
4.采用的测评工具必须获得正版授权,并在有效期内,不得使用盗版软件。
5.采用的测评工具在功能、性能等满足使用要求前提下,应优先采用具有国内自主知识产权的同类产品。
6. 对我单位拟定测评的系统提供信息系统备案服务、信息系统等级保护测评服务、漏洞扫描服务。应交付的产物如下:
A. (略) 出具的系统备案证明
B. 系统系统安全等级测评报告
C. 信息系统漏洞扫描报告
7.漏洞扫描
A、提供每季度 * 次、为期 * 年的WEB应用弱点扫描服务,内容涵盖:
深度扫描:以WEB漏洞风险为导向,通过对WEB应用(包括WEB2.0、JAVAScript、FLASH等)进行深度遍历,以安全风险管理为基础,支持各类WEB应用程序的扫描。
WEB漏洞检测:提供有丰富的策略包,针对各种WEB应用系统以及各种典型的 (略) 检测(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据、第 * 方软件等)。
网页木马检测:对各种 (略) (略) 全自动、高性能、智能化分析, (略) 页木马传播的病毒类型做出 (略) 页木马宿主做出精确定位。
配置审计:通过当前弱点获取数据库的相关敏感信息,对后 (略) 配置审计,如弱口令、弱配置等。
B、提供每季度 * 次、为期 * 年的数据库弱点扫描服务,内容涵盖:
权威的弱点规则库:权威数据库安全专家提供最全面、最准确和最新的弱点知识库。
PCI/DSS合规扫描:支持PCI/DSS安全认证标准合规扫描,协助用户PCI/DSS合规性评估,证明用户在数据安全方面的承诺
深度的弱点检测:提供对数据库“弱点、不安全配置、弱口令、补 * ”深层次安全检测及准确评估。
完备的类型支持:支持业界主流的数据库类型,包括Oracle、MSsql、DB2、Informix、Mysql、Sybase等。
优异的扫描引擎:扫描引擎确保系统工作时对数据库及服务器性能影响最小化。
灵活的策略管理:策略即数据库检测的依据和标准,策略管理可以灵活制定不同的检测标准,根据用户的实际测试目的,定制不同的策略, (略) 添加策略项扩充策略库检测数据库的安全漏洞。
用户管理:产品默认用户分为 * 类:管理员,审计员和操作员。管理员可以对审计员 (略) 角色权限分配。审计员可以 (略) 日志。操作员可以根据自己 (略) 相应的操作,使用相应的功能。也可以由管理员创建新的角色给予相应的权限。
日志管理:记 (略) (略) 有操作。提供对这些操作信息的检索、查看等功能。也可将日志信息导出保存为CSV格式的文档。
丰富的扫描报告:扫描结果通过灵活的报表呈现给用户,支持各类格式输出,并提供弱点分级、相应加固建议方案以及自定义报表内容。
方便的操作管理:充分考虑国内用户的使用习惯,提供全中文的操作界面,提供向导模式帮助使用者轻松完成扫描项目的配置。
C、提供每季度 * 次、为期 * 年的主机安全弱点扫描服务,对主机操作系统的安全 (略) 扫描,主要包括如下:
密码安全;用户权限划分配置;Guest是否禁用;登录失败设置;安全审计设置;防火墙开启情况及配置;恶意代码防范情况;程序组件安装情况;服务启用情况;端口开放情况;默认共享开启情况;管理地址限制情况
D. 提供每季度 * 次、 (略) 络设备安全弱点扫描服务,对网络设备的安全 (略) 扫描,主要包括如下:
密码安全配置;访问控制策略配置;路由配置;Vlan划分配置;用户权限划分配置;SSH及TELNET配置;登录超时配置;SNMP配置;审计日志设置;协议启用情况;管理地址限制情况;CPU、内存、风扇等资源使用情况;链路状态情况;闲置端口开关情况;软件版本情况;时钟同步配置
( * ) 测评指标
1. 安全要求从整体上分为技术和管理两大类,其中,管理类和技术类安全要求按其保护的侧重点不同,《信息安全技术 信息安全等级保护基本要求》将所有的控制点分为以下 * 类:
安全要求:
业务信息安全类 关注的是保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改
系统服务安全类 关注的是保护系统连 (略) ,避免因对系统的未授权修改、破坏而导致的系统不可用。
通用安全保护类 既关注保护业务信息的安全性,同时也关注系统的连续可用性
2. 信息系统控制点测评指标
跟据《信息安全技术 信息安全等级保护基本要求》对信息系统的控制点测评指标的要求,控制点测评指标见下表:
* 级信息系统控制点测评指标合计 * (类)
3. 信息系统要求项测评指标
信息系统安全保护等级,其需要测评的基本指标: * 个安全分类, * 个控制点(安全子类), * 个要求项,其中技术要测评的 * 个控制点 * 个要求项;管理要测评的 * 个控制点 * 个要求项。
( * )评测机构能力要求
1.测评机构能够把握和理解国家对该类项目的具体要求,对等级保护政策标准本身有较深的认识。
2.测评机构应具有完善的工作流程,有计划、按步骤地开展测评工作,保证测评活动的每个环节都得到有效的控制。
3.为维护我单位的利益,测评机构在我单位实际测评工作中对我单位的系统、信息、数据有安全保密的义务,进场时必须签订保密协议。
4.测 (略) 测评工作中必须在不影响我单位各业务系统对外服务 (略) 。
5.测评机构应具有完善的项目管理经验,包括制定项目汇报的体系、项目问题管理体系等。
( * )其它要求:
1. 服务时间:合同签定后 * 日内
验收时,中标方必须提供由省级以上信息系统安全等级保 (略) 推荐的测评机构(“ (略) 络安 (略) ” http:/ 点击查看>> 中公布的),出具针对本次项目的《房屋交易与产权管理系统》和《 (略) 监管服务平台》安全等级保护测评报告、 (略) 出具的系统备案证明,作为验收 (略) 分(评测费用 (略) 承担),否则,依 (略) 理。
1
最近搜索
无
热门搜索
无