中国自然资源航空物探遥感中心(以下简称“我中心”)计划对“地质灾害隐患遥感综合识别分析系统等保安全服务项目”承担单位实施竞争性优选，成立优选评审委员会，通过现场打分的方式，公平、公正、公开的优选出项目承担单位，并在我中心官网发布竞争性优选公告和优选结果，现邀请国内相关单位参加，公告如下：

1.项目概况

　　为提高地质灾害隐患遥感综合识别业务处理的流程化、自动化、智能化水平，提升地质灾害隐患遥感综合识别的时效性和准确性，增强对地质灾害管理工作的支撑和保障能力，我中心依托公共安全信息化工程（以下简称工程）建设了地质灾害隐患遥感综合识别分析系统。为落实国家网络安全相关法律法规和网络安全等级保护制度要求，需采购网络安全服务来保障地质灾害隐患遥感综合识别分析系统的合规安全稳定运行。

2.项目内容

　　本项目需采购定级备案、风险评估、渗透测试、代码安全检测、等保测评等安全服务。

3.技术服务要求

3.1.定级备案

　　1.服务内容

　　供应商须结合我中心业务系统的实际业务情况，针对地质灾害隐患遥感综合识别分析系统准确划分定级对象，从系统服务和业务信息两方面进行分析，确定定级对象的安全保护等级，并协助我中心完成系统定级备案工作。

　　服务方式：包含但不限于以下方式

　　1、调查表：根据我中心业务情况和信息系统现状，制定详细的调查表，并由我中心相关人员进行填写，以获得业务系统基础数据，具体内容包括系统相关设备、包含的子系统或功能模块、承载信息、提供服务、与其它系统的数据交互、业务重要性等。

　　2、访谈：安全咨询工程师与我中心信息系统相关人员就系统定级所关注的问题进行有针对性的询问和交流，以获取足以支持分析判断、系统定级报告编写的所需依据和材料，并澄清疑问。

　　3、会议：召集我中心信息系统相关的技术人员、管理人员、使用人员以及应用系统的开发厂商、运维服务商等对系统基本情况进行识别和分析，并就系统定级建议进行讨论。

　　2.服务要求

　　#（1）为保证服务结果的准确性、专业性、全面性，供应商需熟悉网络安全等级保护相关标准要求，具备网络安全等级保护建设能力，提供信息安全等级保护安全建设服务机构能力评估合格证书证明；

　　#（2）为保证本项目服务质量，须至少派遣2名具备丰富的等级保护相关经验的服务人员参与项目，要求项目人员提供信息安全等级保护建设专业人员证书证明。

　　3.服务频次

　　服务周期内提供1次，针对1个系统。

　　4、服务成果

　　《信息系统安全等级保护备案表》《信息系统安全等级保护定级报告》。

3.2. 风险评估

　　1.服务内容

　　供应商需使用专业检测工具和分析技术对我中心地质灾害隐患遥感综合识别分析系统的资产进行扫描，发现信息系统服务器操作系统、数据库、中间件等存在的漏洞，并分析漏洞和配置缺失等，并评估漏洞风险程度。

　　供应商需对我中心地质灾害隐患遥感综合识别分析系统的操作系统、数据库系统、应用中间件等配置情况，进行核查。配置核查需覆盖Windows操作系统安全配置、Linux系列操作系统安全配置、SQL Server数据库安全配置、Oracle数据安全配置、Tomcat安全配置、Apache安全配置等内容。为提高效率，投标人须使用自动化工具完成安全策略的核查，须提供安全配置核查系统自主知识产权证明（如软著）。

　　针对不同类型操作系统如：Windows、Linux、AIX、Unix、Redhat等进行配置核查。包括：系统补丁安全、帐号口令安全、系统端口等。

　　针对不同类型数据库如：SQL Server、Oracle、MySQL、等进行配置核查。包括：账户、口令策略、访问控制、审计策略、备份恢复、版本及补丁等。

　　针对不同类型中间件如：IIS、Apache、Tomcat、Weblogic等进行配置核查。包括：账户策略、口令策略、审计策略、文件系统权限控制、通用配置等。

　　供应商需根据漏洞扫描、安全配置核查等工作结果，结合我中心地质灾害隐患遥感综合识别分析系统业务需求，针对信息系统相关的操作系统、数据库、中间件等提供安全策略加强、调优建议，加强系统和设备抵御攻击和威胁的能力，整体提高网络安全防护水平。

　　2.服务要求

　　#（1）为了确保漏洞扫描结果的准确性、全面性和完整性,供应商须对漏洞扫描产品自身工作原理、流程有深入了解，在提供该项服务过程中应同时使用自研工具和第三方品牌多元化的服务工具开展服务，使用自研工具须提供自主知识产权证明（如软著），使用第三方服务工具须提供采购证明（如合同）；

　　#（2）为提高效率，供应商须使用自动化工具完成安全策略的核查，须提供安全配置核查系统自主知识产权证明（如软著）；

　　#（3）为应对风险评估过程中可能导致的网络安全事件，须至少派遣2名具备丰富的网络安全问题处置经验和应急响应经验的服务人员参与项目，并要求项目人员提供中国信息安全测评中心颁发的注册信息安全专业人员（CISP）证书和中国网络安全审查技术与认证中心颁发的信息安全保障人员认证证书（CISAW应急服务专业级）证书证明；

　　#为了能够形成常态化的核查和审计机制，通过专业的运维使得我中心设备能够持续良好运转，要求供应商具备优秀的运维、运营及审计能力，提供信息安全服务安全审计、运维资质认证证书和信息安全服务安全运营类资质证书。

　　3.服务频次

　　服务周期内提供不少于1次。

　　4.服务成果

　　《漏洞扫描报告》《基线检查报告》《安全加固指导》等。

3.3.渗透测试服务

　　1.服务内容

　　供应商在不影响我中心地质灾害隐患遥感综合识别分析系统业务正常开展、得到授权的前提下，组织专业渗透测试队伍，针对我中心地质灾害隐患遥感综合识别分析系统，通过模拟网络攻击的方式，利用专业扫描工具和专家手工检测的方法，验证我中心地质灾害隐患遥感综合识别分析系统抵御网络攻击的能力，发现信息系统的安全隐患和脆弱点，提出安全整改建议，指导相关人员对系统进行安全优化和加固，并对整改后的系统进行复测，确保隐患消除。

　　为了确保渗透测试服务能够最大程度挖掘出互联网系统安全漏洞，要求供应商公司内部有着完善的软件开发流程，具备丰富的软件开发经验，对软件安全开发有深刻的理解和实践能力，具备成熟的软件开发设计及管理能力，提供CMMI证书和信息安全服务资质认证软件安全开发证书。

　　2.服务要求

　　渗透测试的服务方式为：

　　访谈：渗透测试开展前，应当通过相应的信息收集方法进一步了解系统架构、功能模块构成、数据交互处理等技术细节问题；

　　#工具扫描：供应商应当采用专业的扫描工具，工具需集成WEB应用漏洞、OA产品漏洞、网络设备漏洞、邮箱产品漏洞、服务器应用漏洞等多种漏洞利用工具，提供功能截图证明，通过分析，发现应用系统中可能存在的漏洞，主要包括（但不限于）服务器版本检查、CGI测试、跨站脚本测试、SQL注入漏洞测试、目录遍历等多类网络安全测试。

　　手工检测确认：结合工具扫描结果，供应商应当结合团队安全工作经验，编制测试方案，使用专业的渗透测试工具，通过构造特殊输入语句、编写检测脚本或程序代码、必要时搭建测试环境的方式，对系统可能存在的安全隐患进行验证。

　　#为保证本项目服务质量，须至少派遣2名具备丰富攻防技术能力的服务人员参与项目，并要求项目人员提供中国信息安全测评中心颁发的注册渗透测试工程师（CISP-PTE）证书证明。

　　3.服务频次

　　渗透测试服务至少提供一次。

　　4.服务成果

　　《渗透测试报告》

3.4.代码安全检测

　　1.服务内容

　　供应商须以工具扫描和人工检测相结合的方式对我中心地质灾害隐患遥感综合识别分析系统的代码进行安全检测、检查，识别发现代码中的安全漏洞、性能瓶颈、逻辑错误、可能被恶意用户用来突破安全防护的缺陷等问题，帮助开发人员建立良好的编程规范，使我中心信息系统管理人员更加真实的了解到信息系统的安全性状况，避免安全问题蔓延，同时指导应用系统开发商对系统进行改进。

　　2.服务要求

　　（1）为了确保代码安全检测服务能够最大程度挖掘出地质灾害隐患遥感综合识别分析系统安全漏洞，要求供应商公司内部有着完善的软件开发流程，具备丰富的软件开发经验，对软件安全开发有深刻的理解和实践能力，具备成熟的软件开发设计及管理能力，提供CMMI证书和信息安全服务资质认证软件安全开发证书。

　　#（2）为保证本项目服务质量，须至少分别派遣2名具备丰富的软件安全开发经验的服务人员和2名具备网络安全审计经验的服务人员参与项目，并要求项目人员提供中国网络安全审查技术与认证中心颁发的信息安全保障人员认证证书（CISAW安全软件专业级）证书证明和中国信息安全测评中心颁发的注册信息系统审计师（CISP-A）证书证明；

　　3.服务频次

　　服务周期内提供1次，代码量不低于150M。

　　4.服务成果

　　《代码安全检测报告》

3.5.等保测评

　　1.服务内容

　　供应商须为我中心提供安全管理制度修订服务，需调研我中心安全管理现状，结合我中心现有安全管理制度运行效果，对安全管理程序、策略和记录方式进行调整和修订，以满足我中心的安全管理要求。安全管理制度的修订至少包括以下几个方面：

　　（1） 安全管理制度：用于规范各种安全管理制度的制定、修订和发布行为。安全管理制度直接关系到各种安全控制技术的正确、安全配置和合理使用。

　　（2） 安全管理机构：包括安全管理的岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等方面内容。

　　（3） 人员安全管理：包括信息系统用户、安全管理人员和第三方人员的管理，覆盖人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等方面内容。

　　（4） 安全建设管理：包括系统定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等安全建设的各个方面。

　　（5） 安全运维管理：包括运行环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等方面内容。

　　供应商需提供辅助测评服务，在我中心地质灾害隐患遥感综合识别分析系统开展安全测评工作期间，现场提供安全测评辅助服务，协助我中心开展对信息系统的安全测评工作，在测评前期协助我中心完成测评前期的准备工作；在测评期间协助我中心对测评问题整改与完善；最后，辅助我中心完成测评机构的复测，并最终使得地质灾害隐患遥感综合识别分析系统顺利通过测评机构的检测。

　　供应商需提供等保测评服务，须邀请入围《全国网络安全等级测评与检测评估机构目录》的测评机构对我中心地质灾害隐患遥感综合识别分析系统进行等保测评，检测和评估信息系统在安全技术、安全管理等方面是否符合已确定的安全等级的要求；对于尚未符合要求的信息系统，分析和评估其潜在威胁、薄弱环节以及现有安全防护措施，综合考虑信息系统的重要性和面临的安全威胁等因素，提出相应的整改建议，并在系统整改后进行复测确认，以确保信息系统的安全保护措施符合相应安全等级的基本安全要求。从而更好地保障各信息系统的正常运行，全面提升我中心地质灾害隐患遥感综合识别分析系统的安全保护水平，并达到国家网络安全等级保护相关标准的要求。

　　2.服务要求

　　#（1）为保证辅助测评服务质量，须至少派遣1名具备丰富的网络知识、安全知识和云安全知识的服务人员提供本服务，并要求项目人员提供人力资源和社会保障局颁发的网络工程师、信息安全工程师、系统规划与管理师证书，中国信息安全测评中心颁发的注册信息安全专业人员（CISP）证书、云计算安全知识认证（CCSK）证书证明。

　　#（2）为保证网络安全管理制度修订服务的质量，需至少派遣1名具备信息安全管理知识和经验的服务人员提供本服务，要求提供ISO*****LA国际信息安全管理主任审核员认证证书证明

　　3.服务频次

　　服务周期内提供1次网络安全管理制度修订，提供1个系统的辅助测评和等保测评。

　　4.服务成果

　　《网络安全管理制度汇编》《网络安全等级保护测评报告》。

4.项目团队需求

　　为顺利实施本项目，供应商须为本项目组建稳定的、专业的项目团队，供应商应根据项目任务组建专业团队，项目团队成员必须稳定。人员的变更需要提交人员变更申请并加盖公章，经我中心的同意，方可变更。

　　该项目团队具体要求如下：

　　网络安全服务团队须由项目经理，定级备案、风险评估、渗透测试、代码安全检测、等保测评服务人员组成，为保证服务效果和效率各项服务人员不得复用。

　　供应商应根据我中心的工作要求提供现场服务，并按时、按需、按质完成项目任务。项目团队需分工合理、层次清晰，且分工要与实施项目任务匹配。团队内各人员要求如下：

　　（1）项目经理

　　具有5年以上的网络安全咨询和服务经验，近三年（2020年1月1日至今）承担过网络安全服务类项目，并在项目中担任负责人，需提供合同首页、金额页、签署页和相关页复印件加盖供应商公章；需提供2个及以上网络安全服务项目案例。

　　#具有国家承认的硕士研究生学历，具有副高或以上职称，同时具有信息系统项目管理师证书或注册信息安全专业人员（CISP）、云计算安全知识认证（CCSK）、IT服务管理认证（ITIL）等证书，须提供支撑证明材料。须为供应商单位的正式员工，故提供近1年内任意一次社保缴纳证明，加盖供应商公章。

　　（2）项目团队成员

　　项目团队成员须为供应商单位的正式员工，提供近1年内任意一次社保缴纳证明加盖供应商公章。本项目各服务项的成员不得与其他服务项重复。

5.项目实施周期需求

　　服务周期：签订合同之日起至工程竣工验收。

6.保密要求

　　供应商及团队成员须严格遵守我中心的保密要求，签订保密协议。对于我中心提供的资料，以及本项目实施过程中所涉及的所有文档、数据和相关信息保密，未经许可，不得以任何形式向第三方传播。不得将在本项目中获取的权限等信息用于其他用途。如因供应商单方面原因造成泄密，我中心将保留追究其法律责任的权利。

7.工作地点要求

　　北京市海淀区学院路31号中国自然资源航空物探遥感中心楼内。

8.建设经费

　　参选优胜方完成本次工作总计费用不超过：叁拾贰万贰仟柒佰元整（￥******.00元），费用由中国自然资源航空物探遥感中心承担。

9.时间安排

　　（1）优选响应文件递交时间：公告发出日起5工作日内（截止日15:00前送达，否则视为未按时递交不予受理）；

　　（2）优选评审时间：待定

10.验收标准和方式

　　中国自然资源航空物探遥感中心组织相关技术人员进行验收工作。

11.对参加优选单位的资质要求

　　投标人必须符合《中华人民共和国政府采购法》第二十二条之规定：

　　（1）具有独立承担民事责任的能力；

　　（2）具有良好的商业信誉和健全的财务会计制度；

　　（3）具有履行合同所必需的设备和专业技术能力；

　　（4）有依法缴纳税收和社会保障资金的良好记录；

　　（5）参加政府采购活动前三年内，在经营活动中没有重大违法记录；

　　（6）法律、行政法规规定的其他条件；

　　存在下列情形之一的任何机构，不得参与本项目投标：

　　（1）为本次采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的单位，及其关联的附属机构；

　　（2）列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的。

　　参加优选单位必须提供合法有效的下列文件，缺少项者视为不符合资格要求：

　　（1）法人代表授权书原件；

　　（2）参选单位营业执照副本并盖公章；

　　（3）税务登记证（三证合一的提供一份即可）；

　　（4）供应商具备以下资质：ISO-***** 信息安全管理体系证书和中国网络安全审查技术与认证中心颁发的信息系统安全风险评估服务资质。

12.优选须知

　　（1）必须严格按照优选公告要求编写竞争性优选文件（包括服务报价单、相关资质证书、近3年来类似业绩、技术服务方案等），一式5份，1正4副，要求内容齐全，字迹清楚，加盖承担单位公章和法人代表印章；

　　（2）合同将授予符合优选公告要求、能圆满履行合同、买方最为有利的投标人；最低投标报价不是被授予合同的唯一条件；

　　（3）参加优选单位所提供文件须于指定时间递交到中国自然资源航空物探遥感中心综合楼B314室（联系人：张先生，电话：010-********，地址：北京市海淀区学院路31号，邮编：******），逾期未送达指定地点者，我方将不予受理；

　　（4）优选结果将通过电话方式通知优选参与者并在我中心官网上公示。

　　以上解释权归中国自然资源航空物探遥感中心。

　中国自然资源航空物探遥感中心

　　2023年04月17日