第一包：四川地税安全设备采购项目技术要求序号项目名称技术要求单位数量1防火墙★1、标准机架式，基于自主研发的多核多平台并行安全操作系统,接口≥6个10/100/1000M自适应电口,2个1000M光接口，内置≥500G存储，吞吐率≥4Gbps，并发连接数≥180万；★2、可支持IPSec、PPTP、L2TP、SSL VPN；支持IPv6网络且实现IPv6与IPv4互联互通，支持HTTP、HTTPS、RDP、Telnet、SSH、FTP、IBM Server Terminal协议的资源定义。★3、具备NAT地址转换功能，具备多出口自动智能流量负载均衡能力；★4、可以实现基于应用程序与服务的流量监控以及安全规则和出口网关的流量统计查询，内置AV, IPS模块，可对http、https、SMTP/pop3等协议网关杀毒、内置日志与邮件审计报表模块。5、用户认证管理能力：可限制用户帐号的网络数据传输流量配额；用户可登陆查看帐户的使用信息及被隔离的垃圾及病毒邮件。6、带宽管理：支持防火墙策略的上传、下载流量监控及统计。台42入侵检测★1、标准2U机架式，冗余电源,接口≥4个10/100/1000M自适应以太网口，2个1000M光接口,支持IDS检测路数至少支持5路IDS，吞吐率≥1.5Gbps,最大并发连接数≥150万, 2、基于工作域的管理模式，可实现分布、集中等灵活多样的部署方式 ，可适应小型系统及大型系统（提供产品界面截图）。★3、多级管理，可以在控制台上显示并管理所有组件，并且所有组件之间的通讯均采用加密的方式。支持基于拓扑图的管理界面，可实现组件的自动发现，避免手动添加新组件（提供产品界面截图）。★4、支持NAT方式下的组件部署，（提供产品界面截图）。★5、支持基于状态的协议分析技术并能按照RFC的规范进行深入细致的协议检测，准确的识别协议的误用和滥用。支持协议异常检测，协议分析和特征匹配等多种检测方式，能够检测到未命名的攻击；6、支持对于每条告警给出可信度指数。支持对签名的参数进行调节，以适用不同用户的网络环境（提供产品界面截图）。7、控制台软件可分为配置管理服务、数据收集及处理服务、日志服务、传感器适配器服务、数据分析工具等组件，各组件可同时安装在一台服务器上也可分别安装在多台服务器上协同工作；（提供产品界面截图）8、攻击特征库签名具有默认的可信度指数值,用户可根据需要修改该可信度指数值；（提供产品界面截图）★9、与防火墙为同一品牌台13售后服务★对所投硬件系统集成，技术培训，提供三年免费质保服务和必要的配件。套1第二包：四川地税安全服务项目需求一、项目背景税务系统信息安全保障体系是金税工程（三期）建设的重要内容，是依据国家信息安全相关标准、规范和法律、法规、政策建设的完整的信息安全体系，涵盖税务系统物理环境安全、网络安全防护、系统安全防护、应用安全、运行安全、安全组织保障、安全管理、人员管理等信息系统安全的各个层面。依据金税工程（三期）安全体系建设的要求，需要提高全省地税系统信息安全风险管理能力，建立安全检查工作机制，拟对省地税及下属21个市州地税局进行信息安全评估和检查，为四川省地税系统信息安全防护体系建设和持续改进奠定基础，提高四川省税务系统信息安全保障工作水平。二、采购内容序号服务内容数量工期1根据国家税务总局2012年安全检查结果，配合省局完成信息安全整改工作130个工作日2对四川省地方税务局下属21个市、州局及部分区县进行信息系统安全检查和安全评估工作160个工作日3对已过保的部分安全设备购买维保服务网御IDS N5200壹台一年网御POWER-7000防火墙两台上海天存iGuard网页防篡改系统一套4安全培训举办一期为期5天，人数不少于60人的信息安全培训，培训所需设备及培训师资由服务商提供，培训人员食宿及培训场地由甲方提供。5天三、安全服务需求（一）省局信息安全检查整改服务根据总局2012年信息安全检查结果，协助四川省地方税务局完成信息安全整改工作。1、制度梳理制定按照总局信息安全制度框架，结合兄弟单位的制度建设情况，针对省局缺失的制度进行梳理，并配合省局完善制度的制定工作。总局设定的信息安全制度框架如下表：制度层级范围编号制度名称一级信息安全保障策略1信息安全总体策略二级组织体系建设2信息安全组织岗位及职责分配三级风险评估及管理3信息安全风险评估工作管理制度人员管理4内部信息安全保障人员管理制度5第三方工作人员管理规定6安全培训与考核管理规定保障规划7信息安全保障规划软件开发及维护8软件自主开发和维护过程管理要求9外包软件开发和维护过程管理要求10软件工程文档管理制度资产管理11资产描述及分类12信息资产标注和处理规定13其它系统资产标注和安全管理制度14新设备采购规程15资产报废处理流程16资产使用安全管理规定物理安全17机房安全管理制度18第三方来访人员接待管理办法通信与运行19密钥管理制度20服务器、网络设备以及安全设备日常维护管理制度21业务系统日常维护管理制度22数据库及其它应用软件日常维护管理制度23系统数据日常备份和管理制度24系统病毒防治管理制度25网络监测与事件汇报制度26网站信息发布与安全管理规定27办公网安全管理规定28与其他外部单位工作联系管理规定29安全事故处理流程30高敏感设备安全管理规定逻辑访问控制31访问控制权限分配与授权规程32权限管理实施规定33系统生命周期内变更控制管理规定业务持续性34业务持续性计划35应急响应制度36灾难恢复制度安全审计37安全审计管理制度38安全审计实施规程四级保障指南39风险评估指南40信息系统操作指南41安全系统配置操作指南42日常备份与恢复操作指南运行控制文档43岗位授权任务书44资产清单45各类系统运行、配置情况记录表单46各类设备检修记录表单47各类故障维修纪录表单48事件、事故处理过程纪录表单与报告模版上述制度及规程，省局目前已制订了其中大部分，本次服务主要是对制度进行梳理、修订，使其能更好适用于实际工作，同时对缺失的制度进行制定完善。2、制定制度框架模版配合省局建立完善全省信息安全制度框架，用于指导各市、州局完善信息安全制度建设工作。根据总局的信息安全制度框架，制度符合四川省地税信息安全的指导性制度框架，并设计出制度模版，便于各市、州及下属单位制定完善的信息安全制度。3、信息系统安全加固2012年总局对我局进行信息安全检查，其中技术检查包括服务器、应用系统、网络安全等，服务商应根据总局安全检查结果，对照相应漏洞提出系统加固方案，并配合省局完成信息系统加固工作。本次安全加固涉及到50台服务器、6个应用系统、以及30台网络及安全设备。服务内容包括补丁升级，操作系统安全配置，关闭不安全的服务及用户，检查应用系统中的设置和代码漏洞等。（二）对四川省地方税务局下属21个市、州局及部分区县进行信息系统安全检查和安全评估1、安全检查和安全评估方案制定按照总局下发《税务系统信息安全检查管理办法》规定，服务商按照用户需求制定本次安全检查和风险评估工作方案，方案包括安全检查和评估范围，检查评估内容，检查评估方式，检查评估过程文档模版与检查评估结果模版。2、安全检查和安全评估范围全省21个市、州地税局，同时每个市、州局选取1-2个区县局作为本次信息安全检查和安全评估实施单位。范围包括：各单位物理环境、组织机构人员、第三方安全、信息资产、安全管理制度、网络环境、服务器及存储、自建信息系统，特别是对外服务信息系统等。3、安全检查和安全评估内容3.1信息安全组织管理（1）信息安全组织机构组织建立信息安全组织机构，明确机构角色组成与工作职责；组织建立、落实机构角色成员，明确其岗位职责。（2）信息安全管理机构及其工作开展情况组织制定信息安全工作计划或工作方案情况；组织制定并落实信息安全管理规章制度情况；组织开展信息安全教育培训和督促检查工作情况。（3）信息安全管理员及其工作开展情况各级信息化日常管理部门对信息安全管理员的指定情况；信息安全管理员开展信息安全维护、督促、检查和指导等日常工作情况。（4）关键活动的授权和审批组织制定信息系统运维过程中，对信息系统的访问、变更等的授权、审批流程。（5）审核和检查组织制定对信息系统的定期安全检查，明确安全检查内容及参与人员；组织制定安全检查要求和安全检查表。3.2日常信息安全管理（1）人员管理查验相关文档、文件、记录等。重点检查：相关岗位的信息安全和保密责任制落实情况，特别是重要岗位信息安全和保密协议签订情况；离岗、离职人员的信息安全管控情况；外部人员访问机房等重要区域的管控情况；违反制度规定造成信息安全事件的责任查处情况等。（2）资产管理查验相关文档、台账、记录等。重点检查：资产管理制度建立及执行情况，资产台账是否清晰、账物是否相符；安全防护软件、安全管理软件的安装与使用情况，在办公计算机中是否存在与工作无关的软件；计算机及相关设备维护、维修、报废、销毁管理情况，是否有相应的登记记录等。（3）信息技术外包服务安全管理针对税务系统信息技术外包服务安全风险突出的现状，重点检查系统开发、系统集成、运行维护、灾难备份、数据处理、安全检测、系统托管等外包服务的安全管理：服务机构性质与背景情况，是否由外资机构提供服务；服务合同及安全保密协议签订情况，安全责任是否清晰；人员现场服务记录情况，是否制定现场服务监管措施；系统维护方式情况，重点排查远程在线服务带来的安全风险；灾难备份服务情况，重点检查灾难恢复的演练的过程。（4）信息技术产品使用管理重点检查办公用计算机、公文处理软件、信息安全设备、服务器、网络设备等使用产品的安全可控情况，特别是本年度新采购办公用计算机、公文处理软件、信息安全设备是否满足安全可控要求。（5）信息安全经费保障重点检查信息安全防护设施建设、运行、维护、评估及管理等费用是否纳入部门年度预算，以及本年度信息安全经费实际投入情况等。3.3信息安全防护管理（1）网络边界防护管理查看系统总体网络架构、子系统分布、终端节点、区域划分及边界防护措施等。重点检查：网络分区、分域合理性；安全防护设备策略配置有效性；信息安全防护设备运行维护和管理情况；互联网接入情况，是否有访问互联网的安全控制措施，是否留存互联网访问日志并定期进行分析；掌握无线网络的使用情况。（2）信息系统安全管理重点检查信息安全等级保护、风险评估等安全管理要求落实情况。服务器安全防护：重点检查服务器上应用、服务、端口以及系统补丁等情况，是否关闭了不必要的应用、服务、端口；账户口令强度和更新情况；病毒木马防护情况，是否使用技术工具定期进行漏洞扫描、病毒木马检测。网络设备防护：重点检查网络设备安全策略配置的有效性；账户口令强度和更新情况；是否使用技术工具定期进行漏洞扫描。信息安全设备部署及使用：重点检查自行采购的防病毒、防火墙、入侵检测、安全审计等安全设备部署及使用情况，以及安全策略配置的有效性。（3）门户网站安全管理以防攻击、防挂马、防篡改、防瘫痪、防窃密为安全检测目标，对门户网站安全防护情况进行全面检查：系统账户管理和口令管理情况，是否存在无关账户，是否存在空口令、弱口令或默认口令； 服务器补丁更新情况，是否关闭了不必要的端口，停止了不必要的服务和应用，删除了不必要的链接和插件；网站目录结构中应删除临时文件，防止敏感信息泄露；信息发布审核制度建立及执行情况；是否使用技术工具定期进行漏洞扫描、木马检测。（4）电子邮箱安全管理禁止使用互联网的电子邮箱传送文件和工作信息。重点检查：是否有非本部门人员特别是无关人员使用税务局的专用邮箱；账户口令强度是否符合要求、是否定期更新，是否使用技术措施控制和管理口令；有无违反规定使用互联网邮箱传送工作信息。（5）终端计算机安全管理是否采取集中安全管理措施；终端管理员和用户口令强度、更新情况；接入互联网安全控制措施（如实名接入认证、对计算机IP和MAC地址进行绑定等）；是否使用技术工具定期进行漏洞扫描、病毒木马检测；是否存在非涉密信息系统和涉密信息系统混用情况。（6）移动存储设备安全管理是否采取安全管理措施；是否存在税务业务专网信息系统和互联网信息系统间混用的情况。3.4物理环境安全管理（1）机房物理环境是否满足安全要求机房面积、区域划分是否合理是否配置冗余电源是否配置专用空调是否配置消防设施是否配置门径设施是否配置环境监控、视频监控及报警装置（2）机房访问控制是否有机房访问控制策略是否有机房访问记录是否存在不安全的访问行为（3）机房设备管理机房内设备是否建立台帐设备是否有标识设备进出是否有纪律3.5信息安全应急管理（1）应急预案重点检查本部门信息安全应急预案制定、修订、备案及宣贯培训情况。（2）应急演练重点检查信息安全应急演练情况；已开展演练的，查看演练文档、记录，包括演练计划、演练方案、演练记录、演练总结报告等。（3）应急技术支援重点检查是否明确了应急技术支援队伍；已明确的，检查其服务合同及安全保密协议签订情况；了解掌握应急技术支援队伍基本情况以及开展的技术支援活动。（4）灾难备份重点检查税收业务管理、税收行政管理、外部信息管理和决策支持管理应用系统和数据的备份情况；对采用社会第三方灾难备份服务的，检查其服务合同及安全保密协议签订情况，了解掌握灾难备份服务设施运维安全管理情况。（5）信息安全事件应急处置重点检查本年度发生的信息安全事件及处置情况；发生过重大信息安全事件的，检查是否进行了及时处置，是否按照要求上报和通报。3.6门户网站及重要信息系统漏洞扫描及渗透测试对省地税及下属21个市州的门户网站、重要信息系统进行渗透测试和漏洞扫描。远程检测应以人工为主、工具为辅，检测结果可验证。主要内容包括：（1）端口扫描端口扫描是尝试连接信息系统的TCP和UDP端口，判断端口是否开放，以确定哪些服务正在运行。在保证信息系统可用性的前提下，控制端口和服务的开放，降低被攻击者利用的风险。（2）帐号扫描通过账号扫描了解和掌握信息系统的账号安全状况，确认是否存在默认高权限账号和账号弱口令，采取相应防范措施，避免被攻击者破解。（3）SQL注入扫描SQL注入漏洞并非系统造成的，而是由于程序员在编程中忽略了安全因素。当攻击者通过SQL注入工具或者手工检测发现信息系统存在SQL注入漏洞，可通过SQL注入工具或者技术手段获取数据库权限，修改数据库存储数据，达到获取利益或破坏目的。SQL注入攻击的漏洞在信息系统中存在比较普遍，通过对信息系统的漏洞检测，发现信息系统中的SQL注入漏洞，经优化整改，可大大提高信息系统安全性。（4）跨站风险扫描跨站脚本是在远程Web页面的HTML代码中插入的具有恶意目的的数据，用户认为该页面是可信的，但是当浏览器下载该页面时，嵌入其中的脚本将被解释执行。跨站脚本（XSS）属于被动式的攻击，因为其被动且不好利用，所以常忽略其危害性。当信息系统受到此类攻击或者存在此类安全漏洞，若被攻击者利用可能对访问信息系统的用户造成威胁，使信息系统的形象受到严重影响；通过远程的风险扫描，可以确定信息系统是否存在跨站安全漏洞，经整改可保障信息系统安全运行。（5）目录遍历扫描利用目录遍历攻击漏洞，攻击者能够进入信息系统服务器的文件目录，访问信息系统的所有文件，也能够执行相应的指令，导致信息系统的信息泄露和系统崩溃。通过对目录遍历的漏洞检查，及时发现安全隐患，保证信息系统的稳定运行。（6）缓冲区溢出扫描攻击者通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，造成程序崩溃或使程序转而执行其它指令，以达到攻击的目的。在当前网络与分布式系统安全中，被广泛利用的50%以上都是缓冲区溢出。通过对缓冲区溢出扫描，及时发现信息系统的安全漏洞。（7）异常页面扫描通过对web页面扫描，检查目前信息系统是否已存在跨站脚本和木马病毒的侵入，是否已经篡改或插入其他非法页面，对信息系统的健康运行进行全面检查，及时发现相关安全问题。（8）网站后台扫描网站后台作为管理整个网站系统的入口，具有重要的作用。通过网站后台的扫描，确定网站后台地址，采取暴力破解的方式，对登录信息进行猜测，达到入侵的目的。（9）渗透测试通过当前弱点，完全模拟黑客使用的漏洞发现技术和攻击手段，对信息系统web应用的安全性做出深入分析，并实施无害攻击，取得系统安全威胁的直接证据。通过了解入侵者可能利用的途径，提出改进方法与建议。3.7检查报告编写与整改建议本次全省地税安全检查需提交《信息系统信息安全远程检测报告》（包括整改建议）和《信息系统信息安全现场检查报告》（包括整改建议）。协助四川省地方税务局组织召开全省信息安全检查工作总结会，并做好整改技术支持工作。本次检查应按照《检查表》的检查细则对各信息系统的安全状况进行检查效验，形成信息系统现场安全评估结果与整改建议。协助市、州局完成安全整改，并提供技术支持和信息咨询等后续服务。（三）对已过保安全设备购买维保服务对省局目前过保安全设备购置部分维保服务，包括网御IDS N5200壹台，网御POWER-7000防火墙两台，上海天存iGuard网页防篡改系统一套，维保期为一年。（四）安全培训针对全省各市州局信息安全人员管理人员举办一期为期5天，人数不少于60人的信息安全培训，主要以安全技术培训为主，提高全省安全管理人员的技术防护能力。培训所需设备及培训师资由服务商提供，培训人员食宿及培训场地由甲方提供。四、服务质量控制本次服务采用现场检查及评估方式，涉及全省21个市州及下属部分区县局。根据被检查系统的实际情况，检查人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况，评估其是否达到了相应的安全要求。部分渗透测试和漏洞扫描服务可以采用远程方式进行。 1、人员要求由于项目的时间及成果要求，因此要求本项目的专职参与人员至少14人，其中现场检查人员分为2组开展检查工作，每组不少于3人，渗透测试人员不少于4人，文档整理人员不少于4人。现场检查人员由甲方提供食宿。2、时间要求服务商应于中标之日起60日内，完成以下工作。协助四川省地方税务局进行安全检查整改。市、州局门户网站及重要信息系统远程安全检查全省信息安全现场检查与评估检查及评估报告编写与整改建议3、服务水平要求服务商每个市、州局现场检查时间不得低于3天，现场检查结束后，需要与受检单位进行检查情况交流。并在检查后5日内向受检单位提供检查评估报告。4、服务方案要求服务商应提供详细的服务方案，包括现场及远程检查服务准备、服务人员名单、人员资质、人员分工安排、服务实施流程、服务总结等内容，确保各环节得到有效控制和质量保证。5、服务质量管理服务商应针对本项目提出明确的检查服务质量管理办法，以确保本项目实施过程中相关质量得到有效保障。6、后续服务服务商检查结束后，应对受检单位后续整改提供相应的咨询服务和技术支持。合格投标人的条件1、具有独立法人资格，提供营业执照副本、税务登记证、组织机构代码证和上一年的财务审计报告；2、具有国家工业和信息化部颁发的《计算机信息系统集成资质证书》叁级或以上资质证书，具有国家测评中心颁发的安全服务资质（工程类）或涉密集成资质。3、具有此次需要升级续保产品的生产厂商出具的续保售后服务函原件。4、参加政府采购招标活动前三年内，在经营活动中没有重大违法记录；5、遵守《中华人民共和国政府采购法》及其他相关的法律和法规。6、本项目不接受联合体投标。