中国自然资源航空物探遥感中心(以下简称“我中心”)计划对“中国自然资源航空物探遥感中心信息系统等保测评及安全运维项目(2024)”承担单位实施竞争性优选,成立优选评审委员会,通过现场打分的方式,公平、公正、公开的优选出项目承担单位,并在我中心官网发布竞争性优选公告和优选结果公告,现邀请国内相关单位参加,公告如下:
1.项目概况
中国自然资源航空物探遥感中心创建于1957年,是中国地质调查局直属正局级公益一类事业单位,主要承担国家基础性、公益性、战略性自然资源航空物探遥感调查和相关基础理论研究、相关技术方法和装备仪器软件研发应用与推广,承担应用地质调查、国土空间生态保护修复、国土空间用途管制、自然资源督察与执法等工作,支撑服务生态文明建设和自然资源管理中心工作,并向社会提供公益性服务。
为了更好地促进我中心信息系统的安全保障工作,切实提高信息系统的安全防护能力,落实国家网络安全相关法律法规和网络安全等级保护管理各项要求,特采购“中国自然资源航空物探遥感中心信息系统等保测评及安全运维项目(2024)”运维服务项目。
2.项目内容
本项目需采购重要时期保障、日常安全巡检、等保三级测评服务、安全设备维保服务、密码方案编制、渗透测试服务、Web漏洞扫描等安全服务。
3.技术服务要求
#针对技术服务要求、项目团队要求、项目实施周期要求、保密要求,供应商须逐项应答满足情况,并编制证明材料对应表,统一附证明材料。
3.1重要时期保障
1.服务内容
供应商需在采购人重保期间(十一、两会等)按需提供重要时期的网络安全保障工作,主要包含重要时间段的资产安全检测、重要时期的值守等工作,根据安全检测结果提供整改建议。
供应商应根据应急预案规定的应急处理流程按采购人需求编制应急演练方案,并按需进行相应模拟演练,一方面使相关方熟悉应急响应流程,提高对安全事件的响应能力;另一方面验证预案正确性和适用性,进行总结分析,根据需要对应急预案进行修订。使得相关人员了解应急流程和自己的责任,在安全事件发生时,能够有条不紊开展工作,最大程度降低安全事件带来的负面影响和损失。
供应商应按需提供应急响应工作,在信息系统发生安全事件时及时响应,执行应急响应流程,通过专家级技术支持和快速响应,及时抑制和消除采购人信息系统安全事件,减少损失和负面影响,提高信息系统业务连续性。
2.服务要求
#由于重要时期保障涉及的系统数量庞大,系统及业务信息驳杂,故供应商需为本项服务提供能力出色的服务人员,至少提供1名服务人员具备网络信息安全中级及以上职称,同时具备网络工程师、信息安全工程师、系统规划与管理师、信息系统项目管理师、注册信息安全专业人员(CISP)、云计算安全知识认证(CCSK)等证书,保障重要时期系统的稳定运行,本服务项服务人员不得同其他服务项重复。
需至少提供1名服务人员,具备优秀应急响应能力,熟悉应急响应流程,能够出色完成应急演练相关工作。
#供应商具应急处置能力,能够对应急演练过程中发生的紧急情况进行处理,具备CCRC信息安全服务资质认证证书(应急处理、风险评估)。
3.服务范围
中国自然资源航空物探遥感中心。
4.服务频次
按需提供服务,重要时期保障不超过10天。
5.服务成果
按需提供《重保时期值守报告》
按需提供《应急演练方案》
按需提供《应急演练报告》
按需提供《应急响应服务报告》
3.2日常安全巡检
1.服务内容
供应商须安排工程师每周针对中心内网和外网的网络安全设备,如APT高级持续性威胁检测系统、防火墙、Web应用防火墙、运维审计系统、日志审计系统、漏洞扫描系统、入侵检测系统、入侵防御系统进行巡检,巡检内容包括:特征库更新情况、漏洞库更新情况、设备运行情况等。每周提供1次周报。
2.服务要求
#为了确保安全巡检过程中对采购人计算机信息系统进行监督检查,供应商须具备客观评价所开展的系统的安全性、可靠性和经济性的能力。故要求供应商提供CCRC信息安全服务资质认证证书(网络安全审计)。
#供应商同样需具备优秀运维能力,要求供应商CCRC信息安全服务资质认证证书(安全运维)。
#为保证本项目服务质量,须至少派遣1名服务人员开展本项服务,需具备硕士及以上学历,同时具备信息安全保障人员认证(CISAW应急服务)、注册信息安全专业人员(CISP)、云计算安全知识认证(CCSK)、数据管理师(DCMM)及IT服务项目经理(ITSS)证书,能够更好梳理总结各类安全事件,熟悉各类网络设备、安全设备的配置,了解设备功能实现原理,及时对各类事件中反映出的风险问题进行总结,本服务项服务人员不得同其他服务项重复。
3.服务范围
针对中心内网和外网的网络安全设备,如APT高级持续性威胁检测系统、防火墙、Web应用防火墙、运维审计系统、日志审计系统、漏洞扫描系统、入侵检测系统、入侵防御系统进行巡检
4.服务频次
服务期间每周提供1次。
5.服务成果
包括但不限于:
《安全巡检报告》
3.3等保三级测评服务
1.服务内容
(1)供应商须根据国家信息安全相关政策和要求,邀请有资质的第三方机构进行等级保护测评,全面评估信息系统现有安全防护水平和相应等级安全要求之间的差距,检测和评估信息系统在安全技术、安全管理等方面是否符合已确定的安全等级的要求;对于尚未符合要求的信息系统,分析和评估其潜在威胁、薄弱环节以及现有安全防护措施,综合考虑信息系统的重要性和面临的安全威胁等因素,提出相应的整改建议,并在系统整改后进行复测确认,以确保信息系统的安全保护措施符合相应安全等级的基本安全要求。从而更好地保障各信息系统的正常运行。测评内容包括技术安全测评、管理安全测评和综合测评,并出具测评报告。
(2)供应商须针对信息系统等级保护测评提供咨询服务,协助通过等级保护测评,咨询服务内容包括系统现状调研,根据调研结果编制测评申请书,在测评现场提供技术支持,根据测评结果协助整改并提供复测咨询等。
2.服务要求
#为保证辅助测评服务质量,须至少派遣1名具备丰富的网络知识、安全知识和云安全知识的服务人员提供本服务,拥有硕士及以上学历,具有信息安全副高及以上职称,具有信息系统项目管理师、注册信息安全专业人员(CISP)、云计算安全知识认证(CCSK)等证书证明,本服务项服务人员不得同其他服务项重复。
3.服务范围
针对“地质云”分节点1个三级信息系统和内网1个三级信息系统
4.服务频次
服务期间对2个三级信息系统分别提供1次等保三级测评服务。
5.服务成果
包括但不限于:
《网络安全等级保护测评报告》(以测评机构出具为准)
3.4安全设备维保服务
1.服务内容
供应商须为用户提供指定安全设备硬件维保、软件授权、特征库升级等相关服务工作。
2.服务范围
安全设备维保清单如下:
| 序号 | 设备 类型 | 设备品牌 | 设备SN码 | 服务内容 |
| 1 | EDR | 深信服 | ********** | 软件授权(共800个智防、400个智控、400个智响应、200个Windows、100个linux) |
| 2 | 二级区防火墙 | 深信服 | ********** | 漏洞攻击特征识别库、软件版本升级和硬件质保 |
| 3 | 上网行为管理 | 深信服 | 网关序号CED35F02(序列号:6R29ACEGK2WXTFFJ) | url分类库、应用特征识别库、审计规则库、软件升级、硬件质保、电话咨询和网络远程支持 |
| 4 | 互联网防火墙 | 天融信 | Q********** | 应用识别特征库、企业版病毒库、软件版本升级和硬件质保 |
| 5 | 网闸 | 天融信 | TR821*****8261 | 硬件质保 |
| 6 | 安管区防火墙 | 天融信 | Q********** | 硬件质保 |
| 7 | web防火墙 | 绿盟 | 19-20-J-0021 | 特征库升级、软件版本升级和硬件质保 |
| 8 | IPS | 启明星辰 | 113*****5179997 | 入侵模块特征库升级、软件版本升级和硬件质保 |
| 9 | apt | 安恒 | 2104X****** | 特征库升级、软件版本升级和硬件质保 |
3.服务频次
硬件维保期限1年
4.服务成果
包括但不限于:
《安全设备维保服务报告》
3.5密码方案编制
1.服务内容
依据我国商用密码相关法律法规,中国自然资源航空物探遥感中心每年均开展商用密码安全性建设和评估相关工作,因此需要供应商针对现有三级业务系统开展与密评有关的工作。主要内容如下:
(1)编制密码应用安全性建设方案。
密码应用安全性建设方案是信息系统密码部署和建设的重要依据,直接决定信息系统的密码应用能否合规、正确、有效地部署。因此,服务商应通过调研分析,梳理形成系统当前密码应用的总体框架图,并设计总体方案和密码支撑架构,为实现《信息安全技术信息系统密码应用基本要求》的落地创造条件。
(2)邀请密码专家对方案展开评审。
服务商应协调信息及密码方面专家,对方案进行专家评审,并依据评审结论,对方案进行修订,完成方案最终评审。
2.服务要求
#供应商在提供本服务过程中需提供至少1名具有相关能力的工程师,需具备研究生及以上学历、注册信息安全专业人员(CISP)、CISSP、信息系统项目管理师、国际信息系统审计师(CISA)证书,以保证编制的密码方案满足国家商用密码应用安全性评估要求,本项服务人员不得同其他服务项服务人员重复。
3.服务范围
采购人指定的1个重要业务系统。
4.服务频次
1次。
5.服务成果
《××系统密码应用安全性建设方案》1份;
《××系统密码应用安全性建设方案专家评审意见》1份;
《××密码应用安全管理制度》1套;
3.6渗透测试服务
1.服务内容
供应商须通过模拟黑客攻击的方式,在不影响业务正常开展的前提下,验证信息系统抵御黑客攻击的能力,从而发现信息系统的安全隐患和脆弱点,。
渗透测试的服务方式为:
访谈:渗透测试开展前,应当通过相应的信息收集方法进一步了解系统架构、功能模块构成、数据交互处理等技术细节问题;
工具扫描:供应商应当采用专业的扫描工具,工具需集成WEB应用漏洞、OA产品漏洞、网络设备漏洞、邮箱产品漏洞、服务器应用漏洞等多种漏洞利用工具,通过分析,发现应用系统中可能存在的漏洞,主要包括(但不限于)服务器版本检查、CGI测试、跨站脚本测试、SQL注入漏洞测试、目录遍历等多类网络安全测试。
手工检测确认:结合工具扫描结果,供应商应当结合团队安全工作经验,编制测试方案,使用专业的渗透测试工具,通过构造特殊输入语句、编写检测脚本或程序代码、必要时搭建测试环境的方式,对系统可能存在的安全隐患进行验证。
#为了确保渗透测试服务能够最大程度挖掘出互联网系统安全漏洞,要求供应商公司内部有着完善的软件开发流程,具备丰富的软件开发经验,对软件安全开发有深刻的理解和实践能力,具备成熟的软件开发设计及管理CMMI能力,提供CCRC信息安全服务资质认证证书(软件安全开发)。
2.服务要求
为保证本项目服务质量,须至少派遣4名具备丰富渗透技术能力的服务人员参与项目:
#供应商需至少提供1名服务人员具备注册信息安全专业人员(CISP)、CISSP证书、注册渗透测试工程师(CISP-PTE)资质,熟悉各类渗透测试工具。
供应商需提供不少于1名专业服务人员在现场配合渗透测试工程师开展工作,专业运维人员需具备信息安全相关经验,具备对物理资产、虚拟资产进行配置管理的能力,能够满足渗透测试工程师在渗透过程中提出的各种需求。
#其余测试人员至少需具备渗透测试相关能力,本项服务人员不得同其他服务项服务人员重复。
3.服务范围
针对互联网网站的一个系统
4.服务频次
服务期间提供1次。
5.服务成果
包括但不限于:
《统渗透测试报告》
3.7 Web漏洞扫描
1.服务内容
供应商须使用专业设备,在用户授权后,检测Web应用漏洞风险,对 Web 漏洞、弱口令、应用层脆弱点、内容安全风险、挂马篡改等威胁进行扫描,为Web服务安全保驾护航。
2.服务要求
#为了确保漏洞扫描结果的准确性、全面性和完整性,供应商须对漏洞扫描产品自身工作原理、流程有深入了解,在提供该项服务过程中应同时使用自研工具和第三方品牌多元化的服务工具开展服务,使用的自研工具须提供自主知识产权证明(如软著),使用的第三方服务工具须提供采购证明(如合同)。
#为保证本项目服务质量,须派遣至少1名具备一定的系统审计分析能力,具备中国信息安全测评中心颁发的注册信息系统审计师(CISP-A)以及系统规划与管理师证书的服务人员参与项目,本项服务人员不得同其他服务项服务人员重复。
3.服务范围
针对互联网网站的一个系统。
4.服务频次
服务期间提供1次。
5.服务成果
包括但不限于:
《Web漏洞扫描报告》
4.项目团队要求
为顺利实施本项目,供应商须为本项目组建稳定的、专业的项目团队,供应商应根据项目任务组建专业团队,项目团队成员必须稳定。人员的变更需要提交人员变更申请并加盖公章,经我中心的同意,方可变更。
该项目团队具体要求如下:
网络安全服务团队须由项目经理,重要时期保障、日常安全巡检、等保三级测评服务、安全设备维保服务、密码方案编制、渗透测试服务、Web漏洞扫描人员组成,项目团队至少10人(不含项目经理)。
供应商应根据中心的工作要求提供现场服务,并按时、按需、按质完成项目任务。项目团队需分工合理、层次清晰,且分工要与实施项目任务匹配。团队内各人员要求如下:
(1)项目经理
#具有5年以上的网络安全咨询和服务经验,近三年(2021年1月1日至今)承担过网络安全服务类项目,并在项目中担任负责人;需提供2个及以上网络安全服务项目案例。
#项目经理须为供应商单位的正式员工,具备相关能力资质,提供近1年内连续六个月社保缴纳证明加盖供应商公章。
(2)项目团队成员
#项目团队成员须为供应商单位的正式员工,提供近1年内任意三个月社保缴纳证明加盖供应商公章。本项目各服务项的成员不得与其他服务项重复。
5.评分办法
(1)本项目采用竞争性优选综合评审选定供应商。
(2)具体评审方法:评审小组成员根据响应文件进行评分。满足需求文件实质性要求的条件下,依据需求文件中规定的各项要素进行综合评审,以评审总得分最高的响应人作为本项目供应商。
| 序号 | 评分指标 | 评分标准 |
| 一级指标 | 二级指标 |
| 1 | 价格部分(10分) | 价格分(10分) | 综合评分法中的价格分统一采用低价优先法计算,即满足采购文件要求且报价价格最低的报价为评标基准价,其价格分为满分。 其他供应商的价格分统一按照下列公式计算: 投标报价得分=(评标基准价/供应商所报报价)*10 |
| 2 | 商务部分(35分) | 资质证书(25分) | 提供有效期内中国网络安全审查认证和市场监管大数据中心(原名:中国网络安全审查技术与认证中心)颁发的信息系统安全运维服务资质、信息安全风险评估服务资质、信息系统网络安全审计服务资质、信息安全应急处理服务资质、软件安全开发资质,每提供一项一级得5分,二级得4分,其他等级得1分,不提供得0分; |
| 服务业绩(10分) | 自2021年1月1日起供应商独立承担的安全服务相关项目业绩,内容包含安全运维相关服务,提供合同首页、金额页、盖章页、关键服务内容页复印件并加盖公章,每提供1份有效业绩资料得2分,最多得10分。 |
| 3 | 技术部分(55分) | 对技术服务要求和项目团队要求的响应程度(32分) | 针对技术服务要求和项目团队要求中的全部指标,应答全部满足且按要求提供有效证明材料的得32分,其中有1项“#”号项不满足的,扣2分,最低得分0分。 |
| 服务方案(6分) | 供应商需提供详细服务方案,服务方案包括但不限于服务内容、服务范围、服务成果等。 渗透测试服务方案中应包括渗透测试使用工具,分析渗透测试过程中的风险并给出响应的规避措施服务; 漏洞扫描服务方案中应包含供应商对漏洞的分类、漏洞管理流程、漏洞管理活动痛点的总结、安全漏洞隐患整改跟踪表。 针对服务方案的详细程度、合理性、科学性等因素进行综合评价: 服务方案覆盖以上所有要求项,并对各项进行了详细阐述,方案设计合理、科学,具有很强的落地性,得6分;服务方案覆盖以上所有要求项,但方案设计欠合理,落地性较差,得4分;服务方案覆盖大部分要求项,方案设计欠合理,落地性较差得2分;不提供不得分。 |
| 服务工具(5分) | 提供漏扫服务时需提供至少两个不同品牌以上的工具开展服务,以便进行交叉验证,须提供第三方品牌服务工具采购合同复印件,若为自研工具须提供自主知识产权证明(软著),提供三个及以上工具证明材料得5分,提供两个工具证明材料得2分,提供一个及以下得0分。 |
| 服务团队(10分) | 拟派项目经理具备信息系统项目管理师、系统规划与管理师、网络规划设计师、系统分析师、信息安全工程师、网络工程师证书,具备全部证书得10分,每缺少一项证书扣2分,最低得0分。须提供有效期内证书复印件并加盖单位公章。 |
| 项目管理方案(2分) | 根据供应商提供的项目管理方案是否符合本项目要求,进度安排是否合理,项目管理流程是否规范等方面。方案的完整程度和可操作性程度综合评定。优秀得2分,良好得1.5分,一般得1分,未提供者得0分。 |
6.项目实施周期
本项目服务周期为1年。
7.保密要求
供应商及团队成员须严格遵守中心的保密要求,签订保密协议。对于中心提供的资料,以及本项目实施过程中所涉及的所有文档、数据和相关信息保密,未经许可,不得以任何形式向第三方传播。不得将在本项目中获取的权限等信息用于其他用途。如因供应商单方面原因造成泄密,中心将保留追究其法律责任的权利。
8.工作地点要求
北京市海淀区学院路31号中国自然资源航空物探遥感中心楼内。
9.建设经费
参选优胜方完成本次工作总计费用不超过:柒拾万伍仟元整(¥
******.00元),费用由中国自然资源航空物探遥感中心承担。
10.时间安排
(1)优选响应文件递交时间:公告发出日起5天内(截止日15:00前送达,否则视为未按时递交不予受理);
(2)优选评审时间:待定
11.验收标准和方式
中国自然资源航空物探遥感中心组织相关技术人员进行验收工作。
12.对参加优选单位的资质要求
(1)具有独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必需的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)近三年内,在经营活动中没有违法记录;
存在下列情形之一的任何机构,不得参与本项目优选:
(1)为本次采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的单位,及其关联的附属机构;
(2)列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的。
参加优选单位必须提供合法有效的下列文件,缺少项者视为不符合资格要求:
(1)法人代表授权书原件;
(2)参选单位营业执照副本并盖公章;
(3)税务登记证(三证合一的提供一份即可);
(4)供应商具备以下资质:ISO-
***** 信息安全管理体系证书。
13.优选须知
(1)必须严格按照优选公告要求编写竞争性优选文件(包括服务报价单、相关资质证书、近3年来类似业绩、技术服务方案等),一式5份,1正4副,要求内容齐全,字迹清楚,加盖承担单位公章和法人代表印章;
(2)合同将授予符合优选公告要求、综合得分最高者;
(3)参加优选单位所提供文件须于指定时间递交到中国自然资源航空物探遥感中心遥感楼102室(联系人:薛女士,电话:010-
********,地址:北京市海淀区学院路29号,邮编:
******),逾期未送达指定地点者,我方将不予受理;
(4)优选结果将在我中心官网上公示。
以上解释权归中国自然资源航空物探遥感中心。
