信息网络、软硬件的安全及运行维护招标公告
信息网络、软硬件的安全及运行维护招标公告
项目名称 | 海洋环境与资源监测中心信息网络、软硬件的安全及运行维护项目 | 采购类型 | 服务类 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
采购人名称 | 深圳市海洋环境与资源监测中心 | 采购方式 | 公开招标 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
财政预算限额(元) | 388000 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
项目背景 | 为了保障深圳海洋环境和监测中心信息系统的完整性、可用性和保密性,避免信息系统抵御因安全原因而造成的瘫痪或者崩溃,保障重要数据不被非法窃取、网站页面不被非法篡改,确保主机、终端及应用系统不存在高风险安全漏洞或者被入侵,加强信息安全保障和防护能力,根据《关于开展国家海域动态监视监测管理系统数据传输网络安全监测的通知》指导精神和《中共深圳市委办公厅深圳市人民政府办公厅关于印发<2016年深圳市党政机关信息安全联合检查工作方案>的通知》(深办字〔2016〕35号)的文件精神和上级主管领导部门的要求,需在2016-2017年确保门户系统的正常运营维护,并尽快完成门户系统的内容调整与功能升级。深圳市海洋环境与资源监测中心拟开展数字海洋深圳节点门户系统升级与运行维护工作,提高信息安全防护水平,落实数据防泄密、等级保护的保护要求,识别出信息系统存在的安全风险,协助完成信息系统高中风险漏洞的修复加固工作。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
投标人资质要求 | 1、投标人须先行注册为深圳市政府采购中心的供应商,须提供深圳市政府采购供应商注册卡复印件(加盖公章),且在招标机构登记购买了招标文件; 2、投标人必须是中华人民共和国境内注册的独立法人; 3、投标人具有国家信息安全测评中心颁发《国家信息安全测评信息安全服务资质证书》; 4、投标人具有ISO9001资质证书; 5、本项目不接受联合体投标,且不得将项目分包或转包; 6、投标人近三年以来在政府采购及建设系统的招标投标活动中,没有因骗取中标、串通投标、严重违约或重大质量问题等不良行为而禁止在本市投标的投标申请人; | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
服务类清单 |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
具体技术要求 | 一、专网渗透和安全加固服务 对专网和业务应用的软件设计、开发、测试和维护等软件开发生命周期各个阶段进行评估。建立安全软件开发生命周期过程。采取应用程序测试、架构和设计审核、源代码分析、针对开发和安全人员的持续培训等多种方式,提升专网业务并维持应用软件的安全性。 1. 应用程序测试 ? 功能性测试:包括各项功能的准确性,用户体验、一致性。 ? 用户界面和可用性测试:对导航,可访问性、跨浏览器测试、错误消息、动画和交互操作的测试。 ? 加载测试:评估应用的峰值性能和范围。 2. 安全性测试 ? 脆弱性评估:发现所有类型设备的漏洞和缺陷,及早发现网站功能问题和安全漏洞并进行修补,监测是否对隐私数据进行加密,对数据访问进行充分的验证和限制,确保数据的完整性。 ? 代码验证和分析:提供一个清洁、无错的用户体验。 ? 模拟攻击:使用各种方法找到脆弱点,结合系统缺陷和人为因素,识别并量化风险。利用关键系统,泄露数据并创建一系列事件,模拟真实的违规行为。 ? 量化风险:提供各种渗透测试从不同角度了解真实的风险状况。量化成功攻击所带来的影响和风险。 3. 系统评估 ? 业务系统分层:依据不同应用和业务系统特性,定义不同的安全层级。 ? 安全基线:针对专网业务和相关法规,确定安全需求,对系统和业务进行识别和梳理,将针对威胁的应对措施逐层分解,为标准化的技术安全操作提供框架和标准。 ? 合规性检查:找出不符合安全法规和相关制度的项,并选择和实施安全措施来控制安全风险,以确保安全基线的落实。 ? 系统加固:根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤和时间表。对系统和与应用进行加固,并对加固的结果进行测试,验证是否满足相关安全需求。对在上年信息安全风险评估检查中涉及的问题进行加固修复,包含但不限于信息安全自查检查整改、季度巡检和季度安全监测整改等。 ? 技术体系整改;技术体系整改是根据信息上一年度发现的不可接受风险,以及本次漏洞扫描的结果,对发现的信息资产安全漏洞、隐患、威胁等进行整改和加固,提高信息安全保障能力。 4. 安全规划 ? 安全管理优化:管理体系包括组织体系和制度体系。根据等级保护基本要求、安全需求分析报告、机构总体安全策略文件等,调整原有管理模式和管理策略,既从全局高度考虑为每个等级信息系统制定统一的安全管理策略,又从每个信息系统的实际需求出发,选择和调整具体的安全管理措施,最后形成统一的整体安全管理体系结构。 ? 安全建设方案:安排专家级的安全顾问,对海洋环境与资源监测中心的信息系统,网络环境进行全面调研,以等级保护为基础,对海洋的网络结构,安全域,安全边界进行重新设计和规划。 二、专网入侵威胁检测服务项目 1、专网安全核查 根据《深圳市党政机关内网安全加固工作方案》、《互联网安全保护技术措施规定》、《信息系统安全保护等级基本要求》(GB/T22239-2008)以及《信息系统和信息设备使用保密管理规定》等相关标准规范的要求,对系统数据安全、防攻击、防病毒、访问控制、网络安全审计、网页防篡改、防泄密、防篡改等方面进行全面优化。管理威胁,降低风险,实现法规遵从,提高运行效率。 ? 网络安全:将真实的威胁从大量的信息中分离,实现从边界到桌面、移动端到数据中心,各个环节的安全保障。 ? 终端安全:对广泛终端设备的保护,包括PC、笔记本电脑、平板电脑以及员工自带设备(BYOD)。 ? 数据保护和存储--防止数据丢失,控制数据流在整个数据生命周期(静止、移动、使用)过程的安全 ? 用户管理和保护--管理用户访问、ID和数据治理。限制用户错误,控制敏感信息,防范内部威胁。 ? 数据安全:优化身份管理和访问管理。 ? 防攻击:通过入侵检测系统、防火墙设备、网页防篡改系统等硬件和软件产品,检测或阻止内部和外部攻击者对计算机系统的非授权使用和攻击。 ? 访问控制:对信息系统安全访问控制设备进行检查,依标准访问控制规则协助安全设备上配置 ? 安全隔离:协助检查内网计算机与互联网隔离情况。 ? 安全审计:根据检查结果,结合相关技术标准和要求提供优化建议措施,并对可通过策略调整、修改配置、系统升级等方式的优化进行优化实施,对于需要通过增加设备的优化提供解决方案和设备选型等建议。 ? 防篡改:根据检查结果,结合相关技术标准和要求提供优化建议措施,并对可通过策略调整、修改配置、系统升级等方式的优化进行优化实施,对于需要通过增加设备的优化提供解决方案和设备选型等建议。 ? 防病毒:协助对防病毒系统运行情况进行分析和管理。 ? 防瘫痪:协助检查备份及冗余设备的运行情况。 ? 防恶意信息:对互联网开办交互式栏目的务的应用系统进行关键字检查。 ? 抓包:通过数据包捕获和分析,了解漏洞和攻击可能造成的影响 ? 安全信息和事件管理:整合来自多个数据源的数据和相关活动,对安全事件进行集中和关联分析,评估各种安全事件的影响和组织的安全态势。实现法规对数据保留的要求并创建需要的报告。 ? 异常检测和分析:识别异常活动和行为的第一步是理解环境中的正常行为。 2.安全保密核查服务 ? 保密制度:主要对单位涉密移动存储使用、涉密人员管理、内外网信息保密管理咨询及保密制度建设等。 ? 移动存储介质的保密存储落实情况:主要针对涉密移动存储设备,使用、登记、管理等制度的优化及制度落实情况。 ? 涉密人员、涉密载体、涉密设备、涉密场所管理:主要针对涉密人员、涉密载体、涉密设备、涉密场所管理制度建设、落实及优化。 ? 内网信息保密管理咨询:提供深圳市政务内网使用、管理、维护及注意事项的咨询。 ? 防窃密:协助检查在使用的计算机资产的统计信息: ? 防泄密:协助核查内网计算机是否与国际互联网及其他公共信息网物理隔离,是否安装安全保密监控软件,并对安全保密监控软件的有效性进行检测。 ? 内网/涉密网连接合规性管理:提供对内网/涉密网连接合规性管理制度建设、落实及咨询。 ? 保密管理制度建设:根据国家、广东省及深圳市的标准优化海洋环境与资源监测中心的《保密管理制度》 ? 数据加密:针对现有敏感数据的使用环境,敏感数据使用的关键环节(如,数据的生成、传输、存储、销毁),分析不同阶段所面临的风险。 三、海洋信息综合管理平台漏洞扫描加固项目 1. 日常巡检服务 ? 提供安全工程师驻场服务,对日常的安全问题进行分析、统计、整改。 ? 定期实施系统安全检测,及时更新防病毒软件、病毒特征库、计算机操作系统补丁。 ? 协助甲方对系统日志进行审计、备份。对系统运行情况进行记录,每月对记录结果进行分析、统计。 2. 应急响应服务 ? 对应急预案进行审查或修订,进行了1个以上重要系统的完整演练并保存了相关记录(含数据备份、恢复演练);协助建立应急技术支援队伍,并参与应急技术演练、应急响应等。 ? 协助运维人员对计算机终端感染蠕虫、木马等安全事件进行整改; ? 监督运维人员对信息系统、重要数据定期进行备份。 ? 提供7*24小时的技术支持,支持方式包括但不限于现场、电话和邮件技术支持。重大安全问题2小时内到现场,一般问题4小时内到现场。 3. 信息系统安全分析服务 ? 自查总结分析:针对信息系统运行环境、安全架构、使用组件及管理运维模式进行风险分析及评估。 ? 信息系统外部安全形势分析:针对信息系统运行的操作系统、中间件、数据库环境等防护措施分析。 ? 信息系统内部防范措施有效性分析:针对内部防范措施有效性分析是批对操作系统、中间件、数据库最底层的防护措施分析。 ? 信息系统安全风险分析:信息安全风险评估服务主要对用户单位直接管辖、维护范围内的内外网机房、网络设备、应用系统、安全系统及其它相关的重要资产进行风险分析,分析资产可能面临的威胁,当前存在的弱点,以及弱点被威胁所利用的可能性及影响,以此为基础对用户单位在信息化方面的存在的风险进行分析。 ? 信息系统改进措施:通过对信息系统外部安全形势、内部防范措施进行分析,结合信息系统的风险分析,提出对信息系统的改进措施。 ? 安全通报服务:定期将及时在线通告甲方最新的安全动态、安全技术的发展趋势,包括时效性很强的漏洞、攻击手法、病毒码的预先通知,帮助甲方的安全管理员在最快的时间内了解重要的安全信息。 4. 风险管理服务 ? 信息系统风险管理:评估并记录当前的信息安全控制、作用以及功能。可以根据企业的实际需求进行定制,作为独立的、第三方控制分析 ? 信息系统安全成熟度评估:基于标准的专有评估流程,检查现有的控制措施并提供成熟度评估。基于行业规范和标准对现有控制措施和过程进行独立的第三方评估。 ? 信息系统安全风险评估:评估、识别组织的安全状态以及弱点的覆盖领域。记录管理规范、物理和技术防护措施。 ? 安全策略评估:评估当前策略的有效性,并对其进行修改或优化,保证其与甲方的业务目标相一致 5. 顾问咨询服务 ? 信息系统出现异常,乙方需要提供事件分析和加固建议,以及为此安全事件进行跟踪并提供取证技术支持。 ? 根据甲方的业务特点、制定风险应对战略 ? 优化合规过程使IT管理更有效率 ? 根据安全威胁等级,不定期发送信息安全通报。 在安全体系建设和运维过程中,对于安全产品、安全技术、管理制度、国家法规、行业政策上有疑问时,乙方需要提供咨询建议和方案。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
商务需求 | 投标人资质要求:投标人须具备国家信息安全测评中心颁发的《国家信息安全测评信息安全服务一级资质证书》、《ISO9001质量管理体系认证证书》。 项目服务期限:本项目服务期限为自合同签订之日起12个月。 付款方式:按财政委员会相关规定进行付款。 项目验收: 1、乙方完成技术服务工作的形式:移交项目实施中产生的有效电子和纸质过程文档。 2、技术服务工作成果的验收标准:风险评估结果有效,风险评估报告按照《深圳市信息安全风险评估实施指南》实施。 ? 信息安全管理制度齐全有效,内容可操作性强,并符合深圳市海洋环境与资源监测中心的实际情况。 ? 提供的安全防范技术措施核查结果真实有效并在规定时间内完成。 3、验收的时间 在完成合同规定项目内容并提交有关的电子和纸质文档等成果后,进行项目验收。 安全教育培训: 1、制订本年度信息安全相关人员(含服务外包人员)的信息安全专业技能培训计划。 2、提供一次信息安全意识培训服务。 3、提供1名CISP专业技术培训 售后服务: 提供7*24小时的技术支持,支持方式包括但不限于现场、电话和邮件技术支持。重大安全问题1小时内到现场,一般问题2小时内到现场。 项目服务期限:2017年6月前提交成果 项目人员安排要求:本项目要求至少1人提供驻场服务; | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
评标信息 |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
其他 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
附件 | *******&dateType=FILE" target="_blank">(一稿)海洋环境与资源监测中心信息网络、软硬件的安全及运行维护项目********.doc |
序号 | 质疑标题 | 质疑内容 | 质疑单位 | 质疑人 | 质疑附件 | 质疑日期 | 标题 | 内容 | 单位 | 采购人 | 附件 | 日期 |
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无