长沙广播电视集团4K超高清节目制播平台网络安全系统等级保护测评服务项目竞争性磋商
长沙广播电视集团4K超高清节目制播平台网络安全系统等级保护测评服务项目竞争性磋商
| 公告信息: | |||
| 采购项目名称 | 长沙广播电视集团4K超高清节目制播平台网络安全系统等级保护测评服务项目 | ||
| 品目 | 服务/信息技术服务/测试评估认证服务 | ||
| 采购单位 | 长沙广播电视集团 | ||
| 行政区域 | 长沙市 | 公告时间 | 2020年08月28日17:15 |
| 获取采购文件时间 | 2020年08月28日至2020年09月04日 每日上午:8:00 至 14:00下午:12:00 至 21:00(北京时间,法定节假日除外) | ||
| 响应文件递交地点 | 长沙市岳麓区潇湘北路易宝产发大厦24层 | ||
| 响应文件开启时间 | 2020年09月08日14:30 | ||
| 响应文件开启地点 | 长沙市岳麓区潇湘北路易宝产发大厦24层 | ||
| 预算金额 | ¥17.000000万元(人民币) | ||
| 联系人及联系方式: | |||
| 项目联系人 | 汤女士 | ||
| 项目联系电话 | ****-******** | ||
| 采购单位 | 长沙广播电视集团 | ||
| 采购单位地址 | ****-******** | ||
| 采购单位联系方式 | 罗先生 | ||
| 代理机构名称 | 湖南湘辰项目管理有限公司 | ||
| 代理机构地址 | 长沙市岳麓区潇湘北路易宝产发大厦24层 | ||
| 代理机构联系方式 | 汤女士139*****530 | ||
| 附件: | |||
| 附件1 | 采购需求.docx | ||
| 附件2 | 磋商文件-广电等保测评(定稿).doc | ||
项目概况
长沙广播电视集团4K超高清节目制播平台网络安全系统等级保护测评服务项目 采购项目的潜在供应商应在长沙市岳麓区潇湘北路易宝产发大厦24层获取采购文件,并于2020年09月08日 14点30分(北京时间)前提交响应文件。
一、项目基本情况
项目编号:HNXC-2020ZX039
项目名称:长沙广播电视集团4K超高清节目制播平台网络安全系统等级保护测评服务项目
采购方式:竞争性磋商
预算金额:
最高限价(如有):
采购需求:
一、采购项目名称
长沙广播电视集团4K超高清节目制播平台网络安全等级保护测评服务项目
二、项目预算:170000.00元
序号 | 服务名称 | 服务内容 | 数量 | 合计 | 备注 |
1 | 等级保护 测评 | 根据国家和行业的相关标准,对信息安全系统进行等级保护测评工作,通过测评找出信息安全系统当前与相关标准之间的差距,并提供《差距分析报告》,通过建设后,最终出具《等级保护测评报告》,协助完成备案工作。 | 2个三级系统 | 170000 | 4K超高清制播平台新媒体系统/三级 |
4K超高清制播平台全媒体融合系统/三级 |
长沙广播电视集团4K超高清节目制播平台网络安全等级保护测评服务范围为:“4K超高清制播平台新媒体系统”、“4K超高清制播平台全媒体融合系统”所管辖的核心信息安全系统及其硬件资产。
1、主要应用系统介绍与测评要求
长沙广播电视集团4K超高清节目制播平台包括有新媒体系统和全媒体融合系统。
1.1 “4K超高清制播平台新媒体系统”描述:“4K超高清制播平台新媒体系统”指长沙广播电视集团4K超高清节目制播平台内的新媒体平台系统,实现集团移动端(智慧长沙APP)的前端展示和后端的数据分析、用户画像、服务资源对接、精准推送等服务能力。智慧长沙APP包含了新闻资讯、4K超高清节目直播、便民服务、公益活动等板块组成;是长沙广播电视集团重点打造的新闻资讯加生活服务的城市应用客户端,致力于打造“城市服务信息云平台”、新闻资讯整合宣传平台、政府公共信息查询平台、市民生活信息服务平台,开启人性化、智能化、便捷化的生活新模式。
1.2 “4K超高清制播平台全媒体融合系统”描述:“4K超高清制播平台全媒体融合系统”指长沙广播电视集团4K超高清节目制播平台内的全媒体融合系统,是为长沙广播电视集团内4K超高清及高清频道、智慧长沙APP、“我的长沙”APP、集团旗下公众号等长沙广电媒体矩阵提供新闻资讯及视频内容生产的基础系统。
1.3针对“4K超高清制播平台新媒体系统”、“4K超高清制播平台全媒体融合系统” 所定级别为三级的重要信息安全系统的详细资料,采用信息安全等级保护评估方法对我单位的被测系统进行安全等级测评。测评项目包含被测系统的物理安全、网络安全、主机安全、应用安全和数据安全(备份与恢复)等五个技术层面,以及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个管理层面。
2、依据政策及标准
投标人应依据国家相关政策标准开展工作,依据标准包括但不限于如下国家政策标准:
● 《中华人民共和国网络安全法》
● 公安部《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)、
● 《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)
● 《信息安全技术 信息系统安全等级保护实施指南》
● 《信息安全技术 信息系统安全等级保护定级指南》(GBT 22240-2008)
● 《信息安全技术 网络安全等级保护基本要求》(GBT 22239-2019)
● 《信息安全技术 网络安全等级保护测评要求》(GBT 28448-2019)
● 《计算机信息安全系统安全保护等级划分准则》(GB 17859-1999);
● 《信息安全等级保护管理办法》(公通字〔2007〕43号);
● 《信息安全技术 信息安全系统安全等级保护实施指南》;
● 《信息安全技术 信息安全风险评估规范》(GB/T 20984—2007);
● 《信息安全技术 信息安全系统通用安全技术要求》(GB/T20271-2006)
● 《信息安全技术 信息安全系统安全等级保护测评要求》;
● 《信息安全管理体系要求》(GB/T 22080-2008);
● 《信息安全系统安全工程管理要求》(GB/T 20282)
3、项目工作内容
根据相关文件及标准要求,我单位等级保护测评,内容包括信息安全系统安全等级保护测评及验收服务;工作流程图如下:
信息安全系统安全等级保护测评包含以下系统:
序号 | 系统名称 | 等 级 | 服务内容 |
1 | 4K超高清制播平台新媒体系统 | 三级 | 等保测评2.0 |
2 | 4K超高清制播平台全媒体融合系统 | 三级 |
工作内容:
3.1信息安全系统安全等级保护测评
依据《信息安全技术信息安全系统安全等级保护基本要求》(GB/T 22239-2019)三级要求,对信息安全系统进行等级测评,找出系统与国家标准要求之间的差距,对存在的风险进行评估,并出具《差距分析报告》,建设完成后出具《等级测评报告》。
********2">3.2测评范围
我单位的被测系统的基础网络环境、主机层面、应用层、数据库层及相关安全辅助设备与管理制度。
3.3测评内容
具体分为测评内容包含:物理安全、网络安全、主机安全、应用安全和数据安全(备份与恢复)等五个技术层面,以及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个管理层面实施测评。同时配合漏洞扫描工具对检查结果进行验证、分析。
********2">3.3.1物理安全测评
物理安全测评将通过访谈和检查的方式评测信息系统的物理安全保障情况。主要涉及对象为机房。
在内容上,物理安全层面测评实施过程涉及10个安全子类,具体如下表:
序号 | 安全子类 | 测评指标描述 |
1 | 物理位置的选择 | 通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。 |
2 | 物理访问控制 | 通过访谈物理安全负责人,检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。 |
3 | 防盗窃和防破坏 | 通过访谈物理安全负责人,检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 |
4 | 防雷击 | 通过访谈物理安全负责人,检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 |
5 | 防火 | 通过访谈物理安全负责人,检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。 |
6 | 防水和防潮 | 通过访谈物理安全负责人,检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。 |
7 | 防静电 | 通过访谈物理安全负责人,检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。 |
8 | 温湿度控制 | 通过访谈物理安全负责人,检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。 |
9 | 电力供应 | 通过访谈物理安全负责人,检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。 |
10 | 电磁防护 | 通过访谈物理安全负责人,检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。 |
********4">测评实施
访谈物理安全负责人、机房维护人员和机房值守人员,询问机房是否有防盗报警系统、避雷装置、自动消防系统和温湿度自动调节设施等相关机房安全措施,检查机房位置、相关制度、记录文档、系统(或设备)的运行情况等。
********5">配合需求
配合项目 | 需求说明 |
物理位置的选择 | 相应的房屋建筑资料。 |
物理访问控制 | 机房出入登记记录、审批记录、电子门禁记录等。 |
防盗窃和防破坏 | 防盗报警运行维护情况及相关记录。 |
防雷击 | 建筑物防雷技术检测报告。 |
防火 | 防火系统的检查和维护记录、机房验收文档。 |
防水和防潮 | 建筑施工图、建筑验收文档。 |
防静电 | 展示防静电接地措施。 |
温湿度控制 | 机房温湿度变化的记录和温湿度调节设备的维护记录。 |
电力供应 | 供电线路的稳压器、供电线路的UPS、备用电源设备和过电压防护设备的维护和维修记录。 |
电磁防护 | 1.物理安全负责人介绍设备外壳接地的实施情况; 2.物理安全负责人介绍线路铺设中将电源线和通信线路隔离的实施情况; 3.物理安全负责人介绍重要设备和磁介质实施电磁屏蔽的情况。 |
********6">3.3.2网络安全测评
网络安全测评将通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象机房的网络设备、网络安全设备以及网络拓扑结构等三大类对象。在内容上,网络安全层面测评过程涉及7个工作单元。
********7">测评内容
序号 | 安全子类 | 测评指标描述 |
1 | 结构安全 | 通过访谈网络管理员,检查网络拓扑情况、核查核心交换机、路由器,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。 |
2 | 访问控制 | 通过访谈安全员,检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。 |
3 | 安全审计 | 通过访谈审计员,检查核心交换机、路由器等网络互联设备的安全审计情况等,测评分析信息系统审计配置和审计记录保护情况。 |
4 | 边界完整性检查 | 通过访谈安全员,检查边界完整性检查设备,接入边界完整性检查设备进行测试等过程,测评分析信息系统私自联到外部网络的行为。 |
5 | 入侵防范 | 通过访谈安全员,测评分析信息系统对攻击行为的识别和处理情况。 |
6 | 恶意代码防范 | 通过访谈安全员,检查网络防恶意代码产品等过程,测评分析信息系统网络边界和核心网段对病毒等恶意代码的防护情况。 |
7 | 网络设备防护 | 通过访谈网络管理员,检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。 |
********8">测评实施
网络层面测评实施主要分为三部分,第一部分为网络全局测评,主要通过访谈网络管理员,针对结构安全、边界完整性、入侵防范、恶意代码防范四个控制点,了解结构安全、业务高峰期设备处理能力和链路带宽运行情况、非法内外联,以及网络边界的入侵防范措施,恶意代码防范情况等内容。第二部分为网络设备防护测评,主要通过对网络管理员进行访谈、由管理员进行操作查看安全配置,针对访问控制、安全审计、网络设备防护三个控制点,了解网络设备上主要的访问控制策略、设备日志记录情况、口令复杂度、双因子身份鉴别、管理员权限分离等内容。第三部分为工具测试,针对网络设备、服务器的系统漏洞进行扫描,以及对网络设备的访问控制策略进行验证等。
********9">配合需求
配合项目 | 需求说明 |
结构安全 | 网络拓扑结构图、不同的子网或网段的设计或描述、带宽的配置策略。 |
边界完整性检查 | 系统管理员介绍采用的手段以防止非授权接入和非法外联行为。 |
入侵防范 | 网络管理员或者安全管理员介绍防网络攻击措施。 |
恶意代码防范 | 网络管理员或者安全管理员介绍防恶意代码措施。 |
访问控制 | 针对主要服务器的访问控制策略。 |
安全审计 | 访谈网络管理员以及需要网络管理员上机操作。 |
网络设备防护 | 网络管理员上机操作。 |
********0">3.3.3主机安全测评
主机系统安全测评将通过访谈、检查和测试的方式评测信息系统的主机和服务器(操作系统、数据库管理系统)安全保障情况。在内容上,主机系统安全层面测评实施过程涉及7个安全子类。
********1">测评内容
序号 | 安全子类 | 测评指标描述 |
1 | 身份鉴别 | 检查服务器的身份标识与鉴别和用户登录的配置情况。 |
2 | 访问控制 | 检查服务器的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。 |
3 | 安全审计 | 检查服务器的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。 |
4 | 剩余信息保护 | 检查服务器鉴别信息的存储空间,被释放或再分配给其他用户前得到完全清除。 |
5 | 入侵防范 | 检查服务器在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。 |
6 | 恶意代码防范 | 检查服务器的恶意代码防范情况。 |
7 | 资源控制 | 检查服务器对单个用户的登录方式、网络地址范围、会话数量等的限制情况。 |
********2">测评实施
主机层面测评实施主要通过访谈和查看,了解服务器的安全防护措施和相关安全配置,涉及到的控制点有:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等。
********3">配合需求
配合项目 | 需求说明 |
身份鉴别 | 系统管理员、数据库管理员配合主机测评师上机操作。 |
访问控制 | 系统管理员、数据库管理员配合主机测评师上机操作。 |
安全审计 | 系统管理员、数据库管理员配合主机测评师上机操作。 |
剩余信息保护 | 系统管理员、数据库管理员配合主机测评师上机操作。 |
入侵防范 | 系统管理员、数据库管理员配合主机测评师上机操作。 |
恶意代码防范 | 系统管理员、数据库管理员配合主机测评师上机操作。 |
资源控制 | 系统管理员、数据库管理员配合主机测评师上机操作。 |
********4">3.3.4应用安全测评
********5">测评内容
应用安全测评将通过访谈、检查和测试的方式评测信息系统的应用安全保障情况。在内容上,应用安全层面测评实施过程涉及9个工作单元,具体如下表:
序号 | 安全子类 | 测评指标描述 |
1 | 身份鉴别 | 检查应用系统的身份标识与鉴别功能设置和使用配置情况; 检查应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。 |
2 | 访问控制 | 检查应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。 |
3 | 安全审计 | 检查应用系统的安全审计配置情况,如覆盖范围、记录的项目和内容等; 检查应用系统安全审计进程和记录的保护情况。 |
4 | 剩余信息保护 | 检查应用系统的剩余信息保护情况,如将用户鉴别信息以及文件、目录和数据库记录等资源所在的存储空间再分配时的处理情况。 |
5 | 通信完整性 | 检查应用系统客户端和服务器端之间的通信完整性保护情况。 |
6 | 通信保密性 | 检查应用系统客户端和服务器端之间的通信保密性保护情况。 |
7 | 抗抵赖 | 检查应用系统对原发方和接收方的抗抵赖实现情况。 |
8 | 软件容错 | 检查应用系统的软件容错能力,如输入输出格式检查、自我状态监控、自我保护、回退等能力。 |
9 | 资源控制 | 检查应用系统的资源控制情况,如会话限定、用户登录限制、最大并发连接以及服务优先级设置等。 |
********6">测评实施
应用层面测评实施主要通过访谈和查看,了解应用系统的安全防护措施和相关安全配置,涉及到的控制点有:身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等。
********7">配合需求
配合项目 | 需求说明 |
身份鉴别 | 系统管理员配合应用测评师访谈、上机操作。 |
访问控制 | 系统管理员配合应用测评师访谈、上机操作。 |
安全审计 | 系统管理员配合应用测评师访谈、上机操作。 |
剩余信息保护 | 系统管理员配合应用测评师访谈、上机操作。 |
通信完整性 | 系统管理员配合应用测评师访谈、上机操作。 |
通信保密性 | 系统管理员配合应用测评师访谈、上机操作。 |
抗抵赖 | 系统管理员配合应用测评师访谈、上机操作。 |
软件容错 | 系统管理员配合应用测评师访谈、上机操作。 |
资源控制 | 系统管理员配合应用测评师访谈、上机操作。 |
********8">3.3.5数据库安全及备份恢复测评
********9">测评内容
在内容上,数据安全层面测评实施过程涉及3个工作单元,具体如下表:
序号 | 安全子类 | 测评指标描述 |
1 | 数据完整性 | 检查操作系统、数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的完整性保护情况。 |
2 | 数据保密性 | 检查操作系统和数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的保密性保护情况。 |
3 | 安全备份和恢复 | 检查信息系统的安全备份情况,如重要信息的备份、硬件和线路的冗余等。 |
********0">测评实施
数据安全及备份恢复测评将通过访谈和检查的方式评测信息系统的数据安全保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全。
********1">配合需求
配合项目 | 需求说明 |
数据完整性 | 应用测评师综合网络、主机和应用三个层面的测评情况进行分析。 |
数据保密性 | 应用测评师综合网络、主机和应用三个层面的测评情况进行分析。 |
安全备份和恢复 | 应用测评师综合网络、主机和应用三个层面的测评情况进行分析。 |
********2">3.3.6安全管理制度测评
********3">测评内容
安全管理制度测评将通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。
在内容上,安全管理制度测评实施过程涉及3个工作单元,具体如下表:
序号 | 安全子类 | 测评指标描述 |
1 | 管理制度 | 通过访谈安全主管,检查有关管理制度文档和重要操作规程等过程,测评信息系统管理制度在内容覆盖上是否全面、完善。 |
2 | 制定与发布 | 通过访谈安全主管,检查有关制度制定要求文档等过程,测评信息系统管理制度的制定和发布过程是否遵循一定的流程。 |
3 | 评审和修订 | 通过访谈安全主管,检查管理制度评审记录等过程,测评信息系统管理制度定期评审和修订情况。 |
********4">测评实施
访谈安全主管,了解机构安全管理制度体系的构成、安全管理制度制定和发布的流程、对制定的安全管理制度进行论证和审定的情况和对安全管理制度文件体系和安全管理制度定期进行评审修订的情况。
收集并查看信息安全管理文档,查看制度文档的格式是否统一、是否具有编号、查看内容是否覆盖了信息安全工作的总体目标、方针和策略和信息系统生命周期中的重要管理活动,是否有对重要服务器、网络设备、安全设备操作的操作规程。检查安全管理制度的收发登记记录是否符合规定的收发程序和发布范围控制等要求,是否有安全管理制度制定的评审记录和定期修订的记录。
********5">配合需求
配合项目 | 需求说明 |
管理制度 | 配合访谈进行安全管理制度体系情况的了解; 提供信息安全总体方针政策的文件、与信息安全相关的管理制度和操作规程; 提供安全管理制度认证和评审的记录。 |
制定与发布 | 配合访谈进行制度制订与发布情况的了解; 提供安全管理制度收发文记录。 |
评审和修订 | 配合访谈进行安全管理制度体系、制度制订与发布、评审和修订相关内容的了解; 提供安全管理制度定期评审修订的记录。 |
********6">3.3.7安全管理机构测评
********7">测评内容
序号 | 安全子类 | 测评指标描述 |
1 | 岗位设置 | 通过访谈安全主管,检查部门/岗位职责文件,测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。 |
2 | 人员配备 | 通过访谈安全主管,检查人员名单等文档,测评信息系统各个岗位人员配备情况。 |
3 | 授权和审批 | 通过访谈安全主管,检查相关文档,测评信息系统对关键活动的授权和审批情况。 |
4 | 沟通和合作 | 通过访谈安全主管,检查相关文档,测评信息系统内部部门间、与外部单位间的沟通与合作情况。 |
5 | 审核和检查 | 通过访谈安全主管,检查记录文档等过程,测评信息系统安全工作的审核和检查情况。 |
********8">测评实施
访谈安全主管,了解安全管理职能部门的人员岗位设置情况:是否设立系统管理员、网络管理员、安全管理员等岗位,是否成立信息安全工作委员会或领导小组。了解各个安全管理岗位的人员和关键岗位人员的配备情况。了解授权与审批制度设立情况和单位内部各部门之间和单位与其他兄弟单位、公安机关、电信公司、供应商、业界专家、专业安全公司或安全组织的相互沟通与协调的机制,机构是否聘请信息安全专家作为机构的安全顾问。了解信息系统日常安全检查情况和系统定期进行全面安全检查的情况。
查看部门、岗位职责等相关文件是否明确定义了机构及各岗位人员的职责范围,岗位人员名单中关键岗位是否配备了多人共同管理。查看检查授权与审批制度文档,查看文档是否明确各审批事项的审批部门、批准人及审批流程等,检查相应审批记录是否按照审批程序执行审批过程对重要活动进行逐级审批。检查是否有信息安全管理委员会或领导小组执行日常管理工作的文件或工作记录、是否有外联单位列表、是否有信息安全专家的聘用文件。
********9">配合需求
配合项目 | 需求说明 |
岗位设置 | 1. 配合访谈进行机构岗位设置情况的了解; 2. 提供组织结构图、岗位职责文件。 |
人员配备 | 1. 配合访谈进行机构人员配备情况的了解。 |
授权和审批 | 1. 配合访谈进行机构授权和审批情况的了解; 2. 提供授权和审批文档和记录。 |
沟通和合作 | 1. 配合访谈进行机构内部和外部沟通合作情况的了解; 2. 提供外联单位列表、各类会议纪要或记录(部门内、部门间协调会、领导小组)。 |
审核和检查 | 1. 配合访谈进行机构审核和检查情况的了解; 2. 提供内部和外部安全检查记录。 |
********0">3.3.8人员安全管理测评
********1">测评内容
序号 | 安全子类 | 测评指标描述 |
1 | 人员录用 | 通过访谈人事负责人,检查人员录用文档等过程,测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 |
2 | 人员离岗 | 通过访谈人事负责人,检查人员离岗安全处理记录等过程,测评信息系统人员离岗时是否按照一定的手续办理。 |
3 | 人员考核 | 通过访谈安全主管,检查有关考核记录等过程,测评是否对人员进行日常的业务考核和工作审查。 |
4 | 安全意识教育和培训 | 通过访谈安全主管,检查培训计划和执行记录等文档,测评是否对人员进行安全方面的教育和培训。 |
5 | 外部人员访问管理 | 通过访谈安全主管,检查有关文档等过程,测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。 |
********2">测评实施
访谈安全主管或人事负责人,了解人员录用流程、关键岗位工作人员的选拔流程、人员离岗流程、信息安全培训考核情况和外来人员访问控制措施,包括人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查,是否签署了保密协议,离岗时是否终止离岗人员的所有访问权限、收回离岗人员的设备和物品和离岗审查、承诺保密责任等情况,安全教育和培训计划制定实施情况、对各个岗位人员进行安全技能及安全知识考核的情况和对关键岗位人员进行安全审查、安全技能及安全知识的考核情况。了解对外部人员的访问管理措施。
检查是否有录用人员技术技能的考核记录、保密协议、关键岗位人员的岗位安全协议书、离岗手续记录、安全意识教育和培训计划和记录、考核记录和外部人员访问的申请审批和登记备案的记录。
********3">配合需求
配合项目 | 需求说明 |
人员录用 | 1. 配合访谈进行人员录用流程情况的了解; 2. 提供录用人员技术技能的考核记录、保密协议、关键岗位人员的岗位安全协议书。 |
人员离岗 | 1. 配合访谈进行人员离岗流程情况的了解; 2. 提供离岗手续记录。 |
人员考核 | 1. 配合访谈进行人员信息安全考核情况的了解; 2. 提供安全认知和安全技能考核记录。 |
安全意识教育和培训 | 1. 配合访谈进行人员信息安全和技能培训情况的了解; 2. 提供安全意识教育的培训计划和记录。 |
外部人员访问管理 | 1. 配合访谈进行外部人员访问控制情况的了解; 2. 提供外部人员访问的申请审批和登记备案的记录。 |
********4">3.3.9系统建设管理测评
********5">测评内容
序号 | 安全子类 | 测评指标描述 |
1 | 系统定级 | 通过访谈安全主管,检查系统定级相关文档等过程,测评是否按照一定要求确定系统的安全等级。 |
2 | 安全方案设计 | 通过访谈系统建设负责人,检查系统安全建设方案等文档,测评系统整体的安全规划设计是否按照一定流程进行。 |
3 | 产品采购和使用 | 通过访谈安全主管、系统建设负责人和安全产品等过程,测评是否按照一定的要求进行系统的产品采购。 |
4 | 自行软件开发 | 通过访谈系统建设负责人,检查相关软件开发文档等,测评自行开发的软件是否采取必要的措施保证开发过程的安全性。 |
5 | 外包软件开发 | 通过访谈系统建设负责人,检查相关文档,测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。 |
6 | 工程实施 | 通过访谈系统建设负责人,检查相关文档,测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。 |
7 | 测试验收 | 通过访谈系统建设负责人,检查测试验收等相关文档,测评系统运行前是否对其进行测试验收工作。 |
8 | 系统交付 | 通过访谈系统运维负责人,检查系统交付清单等过程,测评是否采取必要的措施对系统交付过程进行有效控制。 |
9 | 系统备案 | |
10 | 等级测评 | 通过访谈系统运维负责人,检查测评报告和整改记录,测评是否依据国家要求完成等级测评和整改工作。 |
11 | 安全服务商选择 | 通过访谈系统运维负责人,测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 |
********6">测评实施
访谈安全主管,了解信息系统的整个定级过程和信息系统的报批过程。了解安全方案的整个设计过程和安全建设总体规划情况、产品采购流程、保证系统自主开发软件和外包开发软件安全的相关情况。了解负责工程实施过程、测试验收、系统交付的管理人员或管理部门,对工程实施、测试验收、系统交付过程的进度和质量控制的方法和措施、测试验收方案的制定情况、对系统进行安全测试的机构、验收结果的审定情况,是否根据交付清单对所交接的设备、文档、软件等进行清点,系统建设实施方对运维技术人员进行了哪些培训。了解系统备案的情况和为其提供服务的信息系统安全服务商的有关情况。
收集并查看产品采购、软件开发、工程实施、测试验收和系统交付过程的管理制度,查看系统定级文档是否有信息系统划分的方法和理由、定级方法和理由的描述、专家对定级结果的论证意见和有相关部门或主管部门的批准意见。查看安全方案内容是否包括总体安全策略、安全技术框架、安全管理策略、详细设计内容等方面。检查是否有安全建设的工作计划书、代码编写规范、开发文档、软件设计文档、使用指南、软件测试验收文档、软件需求分析说明书、软件设计说明书、软件操作手册、工程实施方案、安全测试报告、测试验收方案、测试验收报告、系统交付清单、安全服务商的相关服务协议或合同。
********7">配合需求
配合项目 | 需求说明 |
系统定级 | 1. 配合访谈进行系统定级情况的了解; 2. 提供系统定级文档。 |
安全方案设计 | 1. 配合访谈进行安全方案设计情况的了解; 2. 提供系统建设的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案。 |
产品采购和使用 | 1. 配合访谈进行产品采购情况的了解; 2. 提供产品采购相关的管理制度。 |
自行软件开发 | 1. 配合访谈进行自主软件开发情况的了解; 2. 提供软件开发过程的管理制度; 3. 提供代码编写规范、开发文档、软件需求分析说明书、软件设计说明书、软件测试验收文档、软件操作手册。 |
外包软件开发 | 1. 配合访谈进行外包软件开发情况的了解; 2. 提供外包软件开发过程的管理制度; 3. 提供开发文档、软件需求分析说明书、软件设计说明书、软件测试验收文档、软件操作手册、外包开发商的相关服务协议或合同。 |
工程实施 | 1. 配合访谈进行工程实施情况的了解; 2. 提供工程实施方案、工程控制文档。 |
测试验收 | 1. 配合访谈进行测试验收情况的了解; 2. 提供安全测试报告、测试验收方案、测试验收报告。 |
系统交付 | 1. 配合访谈进行系统交付情况的了解; 2. 提供系统交付清单、建设方对运维人员的培训记录。 |
系统备案 | 1. 配合访谈进行系统备案情况的了解; 2. 提供系统备案相关文档。 |
等级测评 | 1. 配合访谈进行等级测评情况的了解。 |
安全服务商选择 | 1. 配合访谈进行安全服务商情况的了解; 2. 提供安全服务商的相关服务协议或合同。 |
********8">3.3.10系统运维管理测评
********9">测评内容
序号 | 安全子类 | 测评指标描述 |
1 | 环境管理 | 通过访谈物理安全负责人,检查机房安全管理制度,机房和办公环境等过程,测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。 |
2 | 资产管理 | 通过访谈资产管理员,检查资产清单,检查系统、网络设备等过程,测评是否采取必要的措施对系统的资产进行分类标识管理。 |
3 | 介质管理 | 通过访谈资产管理员,检查介质管理记录和各类介质等过程,测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 |
4 | 设备管理 | 通过访谈资产管理员、系统管理员,检查设备使用管理文档和设备操作规程等过程,测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 |
5 | 监控管理和安全管理中心 | 通过访谈系统运维负责人,测评是否采取必要的措施对重要主机的运行和访问权限进行监控管理。 |
6 | 网络安全管理 | 通过访谈安全主管、系统管理员,检查系统安全管理制度、系统审计日志和系统漏洞扫描报告等过程,测评是否采取必要的措施对系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。 |
7 | 系统安全管理 | 通过访谈安全主管、网络管理员,检查网络安全管理制度、网络审计日志和网络漏洞扫描报告等过程,测评是否采取必要的措施对网络的安全配置、网络用户权限和审计日志等方面进行有效的管理,确保网络安全运行。 |
8 | 恶意代码防范管理 | 通过访谈系统运维负责人,检查恶意代码防范管理文档和恶意代码检测记录等过程,测评是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。 |
9 | 密码管理 | 通过访谈安全员,测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 |
10 | 变更管理 | 通过访谈系统运维负责人,检查变更方案和变更管理制度等过程,测评是否采取必要的措施对系统发生的变更进行有效管理。 |
11 | 备份与恢复管理 | 通过访谈系统管理员、网络管理员,检查系统备份管理文档和记录等过程,测评是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复。 |
12 | 安全事件处置 | 通过访谈系统运维负责人,检查安全事件记录分析文档、安全事件报告和处置管理制度等过程,测评是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。 |
13 | 应急预案管理 | 通过访谈系统运维负责人,检查应急响应预案文档等过程,测评是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 |
********0">测评实施
访谈安全主管或相关安全负责人了解机房管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份和恢复管理、安全事件处置和应急预案管理的有关情况。
收集并查看机房管理制度、资产管理制度、介质管理制度、基于申报审批和专人负责的设备安全管理制度、配套设施和软硬件维护方面的管理制度、网络安全管理制度、系统安全管理制度、恶意代码防范管理制度、密码管理制度、变更管理制度、备份与恢复相关管理制度、安全事件报告和处置管理制度是否对相关事项进行了明确。查看监控系统了解设备运行、网络流量、应用程序的监控情况,安全管理中心集中管理情况。检查是否有不同事件应急预案,是否有介质归档、查询等的登记记录、信息处理设备带离机房或办公地点的审批记录、主机系统、网络、安全设备等的操作日志和维护记录、网络接入和外联授权审批记录、定期检查违反规定行为的记录、机房日常巡检记录、对主机、网络设备和应用软件等的监控记录和日志的分析报告、恶意代码检测、升级记录和分析报告、备份过程记录、变更方案评审记录和变更过程记录、安全事件处理过程记录、应急预案培训、演练、审查记录。
********1">配合需求
配合项目 | 需求说明 |
环境管理 | 1. 配合访谈进行机房管理情况的了解; 2. 提供机房管理制度; 3. 提供机房基础设备维护记录、服务器开关机记录、机房审批和出入登记、机房日常巡检记录。 |
资产管理 | 1. 配合访谈进行资产管理情况的了解; 2. 提供资产管理制度; 3. 提供资产清单。 |
介质管理 | 1. 配合访谈进行介质管理情况的了解; 2. 提供介质管理制度; 3. 提供存档介质目录清单; 4. 提供介质归档查询等的登记记录; 5. 配合检查介质存放环境、加密存储介质中数据加密情况。 |
设备管理 | 1. 配合访谈进行设备管理情况的了解; 2. 提供基于申报审批和专人负责的设备安全管理制度、配套设施和软硬件维护方面的管理制度; 3. 提供设备开关机操作规程; 4. 提供信息处理设备带离机房或办公地点的审批记录、主机系统、网络、安全设备的操作日志和维护记录。 |
监控管理和安全管理中心 | 1. 配合访谈进行监控管理和安全管理中心情况的了解; 2. 提供监控系统设计文档; 3. 提供对主机、网络设备和应用软件等的监控记录和日志的分析报告配合检查监控系统、安全管理中心。 |
网络安全管理 | 1. 配合访谈进行网络管理情况的了解; 2. 提供网络安全管理制度; 3. 提供网络接入和外联授权审批记录、定期检查违反规定行为的记录; 4. 配合检查网络设备版本、网络设备备份配置文件、网络准入控制机制。 |
系统安全管理 | 1. 配合访谈进行系统管理情况的了解; 2. 提供系统安全管理制度; 3. 提供系统访问控制策略文档; 4. 提供主机系统、网络、安全设备的操作日志; 5. 配合检查操作系统版本和补丁升级情况。 |
恶意代码防范管理 | 1. 配合访谈进行恶意代码防范管理情况的了解; 2. 提供恶意代码防范管理制度; 3. 提供恶意代码检测、升级记录和分析报告; 4. 配合检查终端防病毒、网络防病毒情况、恶意代码库升级情况。 |
密码管理 | 1. 配合访谈进行密码管理情况的了解; 2. 提供密码管理制度。 |
变更管理 | 1. 配合访谈进行变更管理情况的了解; 2. 提供变更管理制度; 3. 提供变更方案、变更方案评审记录和变更过程记录。 |
备份与恢复管理 | 1. 配合访谈进行备份和恢复管理情况的了解; 2. 提供备份与恢复相关管理制度; 3. 提供备份策略和恢复策略; 4. 提供备份过程记录、备份数据可用性检查记录。 |
安全事件处置 | 1. 配合访谈进行安全事件处置情况的了解; 2. 提供安全事件报告和处置管理制度; 3. 提供安全事件处理过程记录。 |
应急预案管理 | 1. 配合访谈进行应急预案管理的情况的了解; 2. 提供不同事件的应急预案; 3. 提供应急预案培训、演练、审查记录。 |
4、工具测试
********3">4.1测试工具
本次安全测评采用的测试工具主要包括:
序号 | 工具名称 | 工具描述 |
1 | 铱讯漏洞扫描系统 | 包括操作系统,网络设备和数据库等多种设备的扫描规则库,漏洞库遵循CVE,CAN和MS等国际标准。 |
********4">4.2访问验证测试
利用各种测试工具,通过对目标系统的扫描、探测等操作,使其产生特定的响应等活动,查看、分析响应结果,获取证据以证明信系统安全保护措施是否得以有效实施的一种方法,可以通过在不同的区域接入测试工具所得到的测试结果,判断不同区域之间的访问控制情况。
4.3漏洞扫描
通过漏洞扫描,对网络设备、安全设备、操作系统、数据库系统、应用进行扫描与测试,发现系统本身存在的系统、应用等方面的漏洞。
4.4渗透测试
渗透测试是依据CVE已经发现的安全漏洞,模拟入侵者的攻击方法,以人工渗透为主,辅助以攻击工具的使用,利用目标系统的安全弱点对网站应用、服务器系统和网络设备进行的非破坏性质的攻击性测试。渗透测试和工具扫描可以很好的互相补充。
********5">4.5整体测评
信息系统的安全控制集成到信息系统后,会在层面内、层面间和区域间产生连接、交互、依赖、协同等相互关联关系,使信息系统的整体安全功能与信息系统的结构密切相关,在整体上呈现出一种集成特性。这些集成特性在安全控制的工作单元中是没有完全体现。因此,在安全控制测评的基础上,有必要对集成系统和运行环境进行整体测评。
********3">4.6安全控制间测评
安全控制间的安全测评主要考虑同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。例如,主机层面的身份鉴别与访问控制之间关系密切,应关注他们之间的关联互补作用。
********4">4.7层面间安全测评
层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。例如,网络层面、主机系统层面与安全管理的系统运维管理之间关系密切,应关注他们之间的关联互补作用。
********9">4.8区域间安全测评
区域间的安全测评主要考虑互连互通(包括物理上和逻辑上的互连互通等)的不同区域之间存在的安全功能增强、补充和削弱等关联作用,特别是有数据交换的两个不同区域。
********6">4.9系统结构安全测评
系统结构安全测评主要考虑信息系统整体结构的安全性和整体安全防范的合理性。
整体结构的安全性测评应从信息系统的物理布局、网络拓扑、业务逻辑(业务数据流)、系统实现和集成方式等入手,结合不同位置上可能面临的威胁、可能暴露的脆弱性等,综合判定信息系统的整体布局是否合理、整体是否安全有效等。
在检查信息系统安全保护措施的具体实现方式和部署情况后,结合其业务数据流分析不同区域和不同边界与安全保护措施的关系、重要业务和关键信息与安全保护措施的关系等,参照纵深防御的要求,识别信息系统的安全防范是否突出重点、层层深入,综合判定信息系统的整体安全防范是否恰当合理。
工具测试
根据工具测试过程管理表单,使用漏洞扫描工具对信息安全系统的设备进行扫描,扫描结束后,根据目标设备的具体情况,判断漏洞验证的风险程度。
4.9.1实施流程
4.9.1.1测评准备活动:测评准备活动中,投标人主要完成启动测评项目,组建测评项目组;通过收集和分析被测系统的相关资料信息,掌握被测系统的大体情况;并准备测评工具和表单等测评所需的相关资料。
4.9.1.2方案编制活动:方案编制活动中,投标人主要完成确定测评对象和测评指标,选择测试工具接入点,从而进一步确定测评实施内容,并从已有的测评指导书中选择本次需要用到的测评指导书,最后根据上述情况编制测评方案。
4.9.1.3现场测评活动:现场测评活动中,投标人在与测评委托单位就测评方案达成一致意见,并进一步确定测评配合人员,完成测评指导书各项测评内容,获取足够的测评证据。
4.9.1.4分析与报告编制活动:分析与报告编制活动中,测评人员通过分析现场测评获得的测评证据和资料,判定单项测评结果及单元测评结果,进行整体测评和风险分析,形成等级测评结论,并编制测评报告。
5、项目成果要求
5.1测评结束后,投标人应至少提交以下成果:
5.1.1等保测评主体报告,每个系统对应一份。
5.1.2协助用户单位,依据《网络安全等级保护定级指南》,确定信息系统的安全保护等级,编写定级报告。
5.2技术服务要求
5.2.1本次等级测评应满足的原则
5.2.1.1保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究投标人的责任。
5.2.1.2标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
5.2.1.3规范性原则:投标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
5.2.1.4可控性原则:测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
5.2.1.5整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
5.2.1.6最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息安全系统的的正常运行、业务的正常开展产生任何影响。
投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
5.3本次等级测评的整体要求
5.3.1投标人应详细描述本次信息安全系统安全等级保护测评的整体实施方案,包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交等。
5.3.2投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置有测评资质的专业人员进行本次信息安全等级保护测评工作。
5.3.3本次信息安全系统安全等级保护测评实施过程中所使用到的各种工具软件由投标人推荐,经招标人确认后由投标人提供并在信息安全系统等级保护测评中使用。
5.3.4信息安全系统安全等级保护测评需要的运行环境(如场地、网络环境等)由招标人提供,投标人应详细描述需要的运行环境的具体要求。
四、服务要求:
1、参与本项目的技术人员不得少于3人,投标人须提供项目技术团队组织结构及技术人员详细名单以及核心成员简历。核心人员包括但不限于:项目经理、高级技术人员、关键岗位成员。
项目组成员必须有3年(含)以上项目实施经验,测评师具有信息安全等级测评资质证书,提供相关证明材料。
2、投标人具有单位信息系统安全评测经验,提供等级保护测评服务项目案例证明。
3、投标人应是《网络安全等级保护测评机构推荐目录》中的单位(www.djbh.net中可查),提供网上查询的证明材料。
********9">4、 投标人应对提供信息安全系统安全等级保护测评时所使用的设备及软件保证拥有设备软硬件的知识产权和所有权,并对所涉及的专利、知识产权等法律条款承担义务,采购人对以上问题不承担任何法律责任。
5、投标人须提供7*24小时服务等级应急响应服务,2小时内赶到现场服务。
6、本项目执行期间,服务团队成员应遵守甲方工作作息时间要求和工作规定。
7、投标人应按评估和等级保护测评要求制定测评过程中产生的文档,做科学、规范、详尽、
统一等方面的要求。
五、 验收标准和方法
********5">1、项目验收国家有强制性规定的,按国家规定执行,验收报告作为申请付款的凭证之一,成交公司出具的评估、整改报告及获得当地公安部门的备案登记合格证书为验收依据,否则不予验收。
2、验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为成交供应商原因造成的,由成交供应商承担检测费用;否则,由采购方承担。
3、项目验收不合格,由成交人返工直至合格,有关返工、再行验收,以及给采购方造成的损失等费用由成交供应商承担。连续两次项目验收不合格的,采购方可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由成交供应商承担。
六、其他要求及说明
1、实施时间及地点
1.1实施时间:自合同签订之日起,3个月内完成。
1.2实施地点:采购方指定地点。
2、结算方法
2.1付款人:长沙广播电视集团。
2.2付款方式:签定合同后15个工作日内支付合同总价的30%,出具测评报告并验收合格后支付合同总价70%。
3、采购方所有费用为无息支付、成交供应商需按采购方要求开具相应发票。
4、本项目采用费用包干方式建设,成交供应商应根据项目要求和现场情况,详细列明项目所需的设备及材料购置,以及服务项目相关运输保险保管、项目安装调试、试运行测试通过验收、培训、质保期免费保修维护等所有人工、管理、财务等所用费用,一旦中标,如在项目是始终出现任何遗漏,均由成交供应商免费提供,采购方不再支付任何费用。
5、投标人在投标前,如须踏勘现场,有关费用自理,踏勘期间发生的意外自负。
对于上述项目要求,投标人应在投标文件中进行回应,作出承诺及说明。
合同履行期限:自合同签订之日起,3个月内完成。
本项目(不接受)联合体投标。
二、申请人的资格要求:
1.满足《中华人民共和国政府采购法》第二十二条规定;
2.落实政府采购政策需满足的资格要求:
给予小型和微型企业产品的价格给予10%的扣除,用扣除后的价格参与评审,本项目具体扣除比例为 10 %。给予小型和微型企业产品的价格给予10%的扣除,用扣除后的价格参与评审,本项目具体扣除比例为 10 %。给予小型和微型企业产品的价格给予10%的扣除,用扣除后的价格参与评审,本项目具体扣除比例为 10 %。
3.本项目的特定资格要求:无。
三、获取采购文件
时间:2020年08月28日至2020年09月04日(磋商文件的发售期限自开始之日起不得少于5个工作日),每天上午8:00至14:00,下午12:00至21:00。(北京时间,法定节假日除外)
地点:长沙市岳麓区潇湘北路易宝产发大厦24层
方式:持单位介绍信、法定代表人(负责人)身份证明或授权委托书(附法定代表人(负责人)身份证明)、个人身份证到长沙市岳麓区潇湘北路易宝产发大厦24层
售价:¥400.0元(人民币)
四、响应文件提交
截止时间:2020年09月08日 14点30分(北京时间)(从磋商文件开始发出之日起至供应商提交首次响应文件截止之日止不得少于10日)
地点:长沙市岳麓区潇湘北路易宝产发大厦24层
五、开启
时间:2020年09月08日 14点30分(北京时间)
地点:长沙市岳麓区潇湘北路易宝产发大厦24层
六、公告期限
自本公告发布之日起3个工作日。
七、其他补充事宜
无。
八、凡对本次采购提出询问,请按以下方式联系。
1.采购人信息
名 称:长沙广播电视集团
联系方式:罗先生
2.采购代理机构信息
名 称:湖南湘辰项目管理有限公司
地 址:长沙市岳麓区潇湘北路易宝产发大厦24层
联系方式:汤女士139*****530
3.项目联系方式
项目联系人:汤女士
电 话: ****-********
|
招标
|
湖南湘辰项目管理有限公司 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
