序号

名称

系统级别

备注

1

生态环境保护指挥系统

三级

/

评分项目

商务评审

技术评审

价格评审

合计

分值

44分

46分

10分

100分

一

技术评分（46分）

评分细则

1

项目整体方案（10分）

项目整体方案包括不限于公司简介、项目目标、项目组织与实施、等级保护测评流程、质量保证措施、培训方案。项目整体方案正确理解项目需求内容，充分考虑项目特点。方案重点明确，特点突出。方案满足项目实施要求，在项目实施期间能够保障项目的进度和质量进行评审：

1.整体方案结构完整、内容科学合理、方法措施先进可靠，正确理解项目需求和意义，并能明确项目需求及输出成果,得10分；

2.整体方案结构完整、内容相对合理、方法措施较可靠，理解项目需求和意义，认识项目需求及输出成果,得7分；

3.整体方案结构较完整、内容欠合理、方法措施可行性欠佳，项目需求和意义理解不足，项目需求及输出成果不明确,得4分；

4.整体方案结构不完整、内容不合理、方法措施可行性差，缺乏对项目需求和意义的理解，项目需求及输出成果认识存在偏差,得0分。

2

项目管理方案（8分）

项目管理方案包括整体管理、范围管理、时间管理、质量管理、人员管理、风险管理等，对项目管理方案进行评审：

1.方案内容完整，满足或优于项目需求,得8分；

2.方案内容较完整，基本满足项目需求,得5分；

3.方案内容不完整，部分满足项目需求,得2分；

4.方案内容单薄不合理，不能满足项目需求,得0分。

3

等保测评方案（8分）

等保测评方案包括等级保护测评流程、工作内容和方法、服务提供方式、项目成果等对项目等级保护测评要求的理解透彻，技术方案思路明确清晰、可操作性强，对等保测评方案进行评审：

1.方案内容完整，满足或优于项目需求,得8分；

2.方案内容较完整，基本满足项目需求,得5分；

3.方案内容不完整，部分满足项目需求,得2分；

4.方案内容单薄不合理，不能满足项目需求,得0分

4

技术工具（20分）

对投标人所选用测评工具的技术参数响应表（根据下列注中“测评工具要求”）进行评审：

其中标注“▲”的重要技术参数（共10条）均须提供功能截图并加盖原厂公章，每满足一个“▲”号，得2分，完全满足得20分。

注：1、未按上述要求提供对应功能截图并加盖原厂公章的，则视为未响应，不得分。2、所用软件和工具应取得使用授权（非免费、开源或社区授权），如果工具是投标人自主研发的则提供工具的软件著作权登记证书；如果工具不是投标人自主研发的，则同时提供软件著作权登记证书及加盖原厂公章的授权函。

二

商务评分（44分）

评分细则

1

投标人企业资质（20分）

（1）供应商具备CMA检验检测机构资质认定证书（提供证明文件，复印件加盖公章）有提供得3分；无提供得0分。

（2）供应商具备中国合格评定国家认可委员会检验机构认可证书（CNAS）（提供证明文件，复印件加盖公章）有提供得2分；无提供得0分。

（3）供应商具备《计算机信息系统安全服务等级证》二级或二级以上证书（提供证明文件，复印件加盖公章）有提供2分，无提供得0分。

（4）供应商具备ISO9001质量管理体系证书、ISO*****环境管理体系证书、ISO*****职业健康安全管理体系证书、ISO*****信息技术服务管理体系认证证书、ISO*****信息安全管理体系认证证书（提供证书和全国认证认可信息公共服务平台http://cx.cnca.cn/查询结果截图，复印件加盖公章）；具备1个得2分；共10分。

（5）供应商具备网络空间安全服务机构标准化工作评价证书，有得3分；无得0分。

2

项目负责人要求（6分）

项目负责人具备以下能力资质：

1.具有网络安全等级测评师证书或信息安全等级测评师证书中级或以上；

2.具有注册信息安全专业人员证书，注册信息安全工程师（即（CISP-CISE）证书）

3.具有注册信息安全专业人员证书，注册渗透测试工程师（即（CISP-PTE）证书）

4.具有项目管理专业人员资格认证证书（即PMP证书）；

5.具有DSO数据安全官证书

6.具有广东省网络安全等级保护专家聘书。

以上具备一个得1分，满分6分。（需同时提供相应资质证书复印件及近三个月内任意一个月的社保证明，并加盖投标人公章。）。

3

项目成员情况（11分）

技术队伍人员能力资质：

1.具有数据隐私保护专家证书资格证书（即 ISACA CDPSE 证书）得2分；

2.具有网络安全等级测评师证书或信息安全等级测评师证书和计算机技术与软件专业技术资格网络工程师中级或以上，同时具有不少于三个或以上人员得3分；其他得0分

3.具有重要信息系统安全等级保护培训证书（即CIIP-A证书），得分；

4.同时具备信息安全保障人员风险管理方向认证证书（即（CISAW）证书）和网络安全相关专业的助理工程师职称证书，拥有1个得1分，同时拥有2个以上得2分，无得0分。

5.同时具备信息安全保障人员应急服务方向认证证书（即（CISAW）证书）和网络安全等级测评师证书或信息安全等级测评师证书中级或以上，拥有1个得1分，同时拥有2个以上得2分，无得0分。

4

同类业绩经验（7分）

提供三年内同类型项目案例，每提供1个得1分，最高得7分。

注：提供合同关键页（包括双方盖章、签约时间、采购内容）复印件。

三

价格分

评分细则

1

投标总价（10分）

各供应商的报价得分按以下公式进行计算：

报价得分=(评标基准价/评标价)×10，

说明：评标基准价为满足采购文件要求的“最低的评标价”。高于报价上限的，该报价文件按无效报价文件处理；高于评标基准价而低于报价上限的，报价得分按以下公式进行计算：报价得分=（评标基准价/评标价）×10。

资

质

设备原厂商为国家网络与信息安全信息通报中心技术支持单位；

设备原厂商具有中国信息安全认证中心颁发的信息安全应急处理服务资质（一级）；

设备原厂商具有信息安全服务资质证书（安全工程类）；

▲设备原厂商为国家信息安全漏洞库共享平台（CNVD）漏洞报送成员单位；

▲设备原厂商为中国国家信息安全漏洞库（CNNVD）一级技术支撑单位；

设备原厂商具有信息安全等级保护安全建设服务机构能力评估合格证书；

设备原厂商通过严格质量管理体系认证并获得证书；

设备原厂商通过严格环境管理体系认证并获得证书；

设备原厂商产品开发、生产、服务等管理体系符合信息安全管理体系要求。

任务管理

支持手动创建重要信息系统检查、行业主管部门检查、备案单位检查、网站检查、自定义检查任务。

支持检查任务并行检查及并行检查结果合并。

支持任务的打开、另存为、修改、删除、关闭。

支持与等级保护监察平台数据的上报和下发。

检查任务

检查范围：支持行业主管部门、备案单位、重要信息系统、网站四类检查对象的检查范围。支持基本情况、定级备案检查范围。

检查内容：支持系统定级情况、岗位设置情况、安全审计情况检查内容。

检查要点：支持检查对象检查内容具体检查指标项进行检查。

检查结果录入类型：

单项判定：支持判定未检、不适用、0分、1分、2分、3分、4分、5分。

检查结果录入：支持录入检查结果记录。

针对每个检查要点应提供相应的检查方法，检查结果判定依据相关检查知识，以便引导进行现场检查。

▲支持对检查过程中具体检查对象（例如：主机、网络设备）进行调整功能，要求可以选择已有的检查对象或录入新的检查对象。

支持将任务导出成检查模板，检查人员能够根据被检查单位情况，灵活分配各自的检查任务，支持导出检查表单提前让被检查单位人员对应进行自查，检查人员经现场检查核对无误之后，可以直接将检查表单数据导入到工具箱中。

检查层面、检查内容、检查指标项支持保存为模板，模板可导入、导出。

支持检查工具检查结果信息的展现功能。

支持导出、导入检查项。

支持手动填写测评概述，概述内容包括测评目的、测评依据、测评方法、测评结论、整体测评结果汇总。

数据汇总

▲支持一键导入功能，将检查工具集、检测结果自动导入到工具箱。

支持手动导入工具检查结果到工具箱及关联任务检查对象。

支持工具检查结果自动关联知识库。

检查结果导出

应采用国家商用密码管理办公室指定认可的国产商用密码算法对检查数据进行加密后导出，以确保检查数据的保密性。

导出的检查结果应按照指定的接口规范导出。

支持自动生成不同类型检查任务的检查报告，检查报告应包含不符合项的风险描述信息和安全评分。

兼容性

支持与工具箱监察管理系统数据的上报和下发。

监察指标库升级维护

指标库要求

监察指标库包含：控制点和要求项。

指标库升级维护

提供监察知识库升级功能，可以对监察知识库进行手动更新。

应提供升级检测和提醒功能。

监察知识库升级应有日志记录。

监

察

知

识

库

升

级

维

护

知识库要求

知识库内容必须覆盖所有检查指标。

知识库内容应包含检查指标的检查方法、检查结果判定依据和不符合项的风险提示。

知识库可以依据网络安全的标准和分析模型，对检查工具的检查结果进行自动分析，给出相应的检查结果记录。

▲知识库可以针对不同类型的检查任务，对检查结果进行自动分析和安全评分，自动生成相应的检查结果记录。

知识库内容应描述正确，并具有明确的引导作用。

▲知识库升级维护

知识库内容必须覆盖所有检查指标。

知识库内容应包含检查指标的检查方法、检查结果判定依据和不符合项的风险提示。

知识库可以依据网络安全的标准和分析模型，对检查工具的检查结果进行自动分析，给出相应的检查结果记录。

工

具

管

理

升级管理

技术支持网站应提供检查工具升级提示功能，当检查工具有更新时，采购人可以进行检查工具的升级操作。

检查工具升级操作应在工具箱留有日志记录。

结果管理

应提供结果分析，依据内置知识库自动对工具检查结果进行分析，自动判别相应检查指标的检查结果。

结果导入操作应留有日志记录。

风险提示

所有检查工具启动时，默认都会进行风险提示，支持通过配置是否下次启用风险提示。

系

统

管

理

配置管理

配置管理应对工具箱监察管理系统参数进行配置:

支持系统最大登录次数设置；

支持锁定用户时间设置；

支持软件自动锁定功能；

支持口令强度策略设置。

用户管理

支持对采购人账户进行管理，支持管理员、操作员、审计员角色账户增加、口令修改；

支持对账户新增、修改、删除；

内置角色默认权限；

▲支持用户密码找回功能。

日志管理

可查看操作日期、操作用户、操作对象日志记录。

提供日志筛选功能。

提供日志导出备份功能。

系统升级

应提供升级功能，升级操作应简单。

技术支持网站应提供升级提示功能。

设备厂商应定期发布离线升级包，支持手动导入升级。

升级操作应留存日志记录。

工具箱监察管理系统具有登录尝试失败锁定功能。

访问控制

应依据安全策略严格控制用户文件，数据表重要信息资源的操作。

应确保不提供已注销用户的任何信息，包括鉴别信息。

安全审计

指标库、知识库、监察工具升级操作。

用户登录和注销事件。

数据导入、导出事件。

通信安全

应采取措施确保导入和导出数据的完整性。

U盘安全检查工具向工具箱提交的检查结果数据的完整性。

数据安全

采用国家商用密码管理办公室指定认可的国产商用密码算法对以下数据进行加密。

等级保护工具箱配备U盘安全检查工具集

Windows主机安全配置检查工具

▲支持检查主机系统配置信息，包括：计算机名、用户名、操作系统、版本、内存大小、磁盘大小、系统路径、共享目录；

支持检查USB接入设备信息；

支持检查Internet Explorer、Chrome、Firefox等浏览器上网记录、Cookie记录；

支持检查主机硬件信息，包括：CPU信息、主板信息、内存信息、显卡信息、硬盘信息、网卡信息；

支持检查主机开机自启动项程序；

查看主机上已经启动的可能有风险的服务程序，包括：如Task Scheduler、Print Spooler、Remote Registry等服务；

支持检查账户安全策略信息，包含口令长度、复杂度、定期更换、登录失败、锁定次数等；

对系统账户进行检查，可智能识别系统影子账户（隐藏账户）；

查看系统是否开启系统审核、系统登录事件、审核账户登录事件等安全审计策略；

运行环境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系统类型；

支持在线更新、离线升级。

主机病毒检查工具

支持对操作系统的关键机制，如系统服务、内存、注册表、启动进程；检测操作系统的安全模型，包括访问控制、特权和审计；反馈系统安全配置、文件访问，驱动、引导系统深度进行检查；

检查流氓软件、蠕虫病毒、其它恶意程序等；

支持快速扫描、全盘扫描、自定义目录扫描；

运行环境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系统类型；

支持在线更新、离线升级。

主机木马检查工具

支持检查系统中的木马程序、Rootkit、间谍程序等；

提取操作系统的关键机制，如系统服务、内存、注册表、启动进程；检测操作系统的安全模型，包括访问控制、特权和审计；反馈系统安全配置、文件访问，驱动、引导等系统深度信息；

支持快速扫描、全盘扫描、自定义目录扫描；

运行环境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系统类型；

支持在线更新、离线升级。

网站恶意代码检查工具

支持asp、asa、cer、jsp、jspx、php等文件格式检查；

支持自定义文件后缀格式；

支持异性、变异WEBSHELL后门代码检查；

支持关键恶意特征码定位；

支持快速扫描、全盘扫描、自定义路径扫描；

支持自定义扫描策略、可扩充恶意特征码；

支持自定义文件大小扫描；

运行环境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系统类型；

支持在线更新、离线升级。

等级保护工具箱配备在线检查工具集

Linux主机安全配置检查工具

支持检查主机系统配置信息，包括：计算机名、用户名、操作系统、版本、内存等；

支持检查系统安全补丁升级情况；

支持检查不必要的服务和端口（如TELNET、SSH、SNMP、HTTP等）；

支持检查账户安全策略信息，包含口令长度、复杂度、定期更换、登录失败、锁定次数等；

支持SNMP、SSH服务、版本信息检查；

支持检查安全审计配置情况、包含事件类型；

支持检查屏幕保护恢复时间；

支持RedHat、Ubuntu、Debian、Fedora、Suse、Centos操作系统类型；

支持在线更新、离线升级。

网络及安全设备配置检查工具

支持对华三、思科、华为路由器、交换机通用系列网络设备安全分析检查；

支持对天融信、网神、启明星辰、网御星云、Juniper防火墙通用系列设置安全分析检查；

支持检查账户安全策略信息，包含口令长度、复杂度、定期更换、登录失败、锁定次数等；

支持检查安全审计策略，包含事件类型、SYSLOG服务器；

支持检查不必要的服务和端口（如TELNET、FTP、SNMP、HTTP、Sendmail）；

支持SNMP、SSH服务、版本信息检查；

运行环境支持Windows XP、 Windows7、 Windows Server 2003、Windows Server 2008等操作系统类型；

支持在线更新、离线升级。

弱口令检查工具

应用服务支持类型：SSH、SMB、TELNET、FTP、RDP、SQL Server、Oracle、MySQL、POP3等协议应用程序弱口令检查；

支持自定义账户、口令字典；

支持自定义应用协议TCP端口；

内置常见弱口令字典（如口令为：******、********、*****等）；

支持本地、远程主机及多协议同时检查；

运行环境支持Windows XP、Windows7、Windows Server 2003、Windows Server 2008等操作系统类型；

支持在线更新、离线更新。

数据库安全检查工具

支持IPV6地址检查；

支持对数据库弱点、不安全配置、安全策略、补丁升级、弱口令安全检查；

支持主流Oracle、SQL Server、DB2、Informix、MySQL、Sybase数据库类型；

支持授权扫描，使用具有DBA权限的数据库用户，执行选定的安全策略实现对目标数据库检查；

非授权扫描,采购人在没有授权的情况下（即：不需要数据库用户名、密码），根据选定的安全策略对目标数据库进行的检测；

策略自定义,提供扫描策略可自定义模式，操作者可以灵活选择默认策略的同时也可以自定义添加策略；

支持在线更新、离线升级。

网站安全检查工具

支持WEB 2.0，支持各类JavaScript脚本解析；

支持WAP站点扫描；

支持FLASH解析；

支持基于HTTPS应用系统的扫描；

支持实时存储扫描项目文件、断点续扫；

支持ERP等复杂的Web应用系统扫描；

支持易通、织梦、、Discuz、Ecshop、易思、方欣、大汉、科讯、通达OA、PHPCMS、PHP168、PHPCMS2008、phpcms v9、SHOPEX、SiteServer CMS、TRS、 Nginx代码执行、Spring代码执行、亿邮邮件系统命令执行等国内、国外知名WEB应用程序漏洞扫描；

支持JSP、CGI、ASP、.NET等类型动态页面；

支持IP地址、域名地址、批量网站扫描；

支持无人值守模式下的全自动扫描；

支持HTTP 1.0和1.1标准的Web应用系统；

支持Oracle、SQL Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Access、Ingres等后台数据库类型；

支持对SQL注入、XSS跨站脚本、伪造跨站点请求、网页木马、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄漏、HI－JACK攻击、弱口令、Xpath注入、LDAP注入、框架注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookies注入、敏感文件、第三方软件、其他各类CGI等漏洞进行扫描；

支持在线更新、离线升级。

系统漏洞检查工具

支持对Microsoft Windows XP/2003/Vista/2008/7、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等操作系统进行漏洞扫描；

支持对Web、FTP、电子邮件等应用系统以及Office、Apache等常用软件进行漏洞扫描；

支持对网络设备进行漏洞扫描；

支持多种扫描策略，包括常规完全扫描、高强度完全扫描、高强度扫描、中强度扫描、低强度扫描、Windows主机扫描、类Unix主机扫描等扫描策略，方便采购人快速选择；

支持自动统计总体漏洞数量、统计不同操作系统类型的主机数量、统计所有开发端口、可用账户、列出每一个漏洞所存在的主机、详细描述与修补建议。漏洞详细描述包括：漏洞名称、详述、修补方案、CVE/Bugtraq/CNCVE/CNNVD编号、CVSS评分等；

支持在线、离线更新；

支持导出Word、PDF常见格式报表。

运行安全

不得改变检查对象当前配置；

不影响检查对象正常运行；

不影响检查对象所属网络正常运行；

不在检查对象中遗留痕迹。

数据安全

存储安全

U盘检查工具应对所有检查数据采用国产加密算法进行加密，防止监察数据被非法读取。

痕迹安全

U盘检查工具应对所有检查数据采取痕迹消除措施，以防止信息泄露。

安全性

支持等级保护检查过程的采购人信息的安全保护，所有数据以加密方式存储传输。

U盘自身具有病毒、木马程序免疫功能，防止病毒、木马程序感染U盘内文件。

▲报表中心

支持生成信息系统检查任务报告、行业主管部门检查任务报告、备案单位任务报告、网站安全检查任务报告、自建检查任务报告；

支持检查任务汇总、预览；

支持对信息系统检查任务检查结果进行得分汇总，并以饼形图的方式进行展示；

支持生成等保测评报告、工具检测类型报表，等保测评报告采用最新的测评报告2015模板；

支持WORD、HTML格式报表导出；

支持下载自查表。

辅助功能

▲工具箱监察管理系统和U盘安全检查工具应提供软件截图工具，便于实时保存系统关键界面信息。