其他服务

抚顺市公共资源电子交易系统信息安全测评及整改服务。资质要求：具备辽宁省信息系统安全等级保护工作领导小组办公室颁发的信息安全等级保护测评机构推荐证书；项目需求：一、服务范围提供抚顺市公共资源电子交易系统（三级）安全测评服务，结合抚顺市公共资源交易管理办公室的测评需求，对抚顺市公共资源电子交易系统进行信息安全等级保护测评及整改。二、工期合同签订后10个月内，质量保证：6个月。三、总体要求依据GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》、GB/T 20984-2007《信息安全技术 信息安全风险评估规范》等国家相关信息系统安全规范标准，对上述系统进行信息安全等级测评，测评内容为：物理安全测评；网络安全测评；主机安全测评；应用安全测评；数据安全及备份恢复测评；安全管理制度测评；安全管理机构测评；人员安全管理测评；系统建设管理测评；系统运维管理测评。四、详细要求 （包括但不限于以下内容）1、物理安全测评内容⑴物理位置的选择：①机房和办公场地应选择的合理性； ②机房场地应避免设在建筑物的高层或地下室，以及用水设备下层或隔壁。⑵物理访问控制：①机房出入口安全值守情况；②机房的来访人员的审批和监视情况；③机房区域划分情况，区域和区域之间物理隔离装置设置情况；④重要区域门禁措施。⑶防盗窃和防破坏：①主要设备安置情况；②设备或主要部件固定措施；③设备、主要部件、介质分类、存储措施；④机房防盗报警措施。⑷防雷击：①机房避雷装置；②机房交流电接地措施。⑸防火：①机房火灾自动消防系统部署情况；②机房取区域隔离防火措施。⑹防水和防潮：①机房内外防水措施；②机房漏水检测措施。⑺防静电：①主要设备接地防静电措施；②机房内其他防静电接地措施。⑻温湿度控制：机房温、湿度调节措施。⑼电力供应：①供电线路稳压、过电压防护措施；②备用电力供应措施；③冗余或并行的电力供应措施。⑽电磁防护：①电源线和通信线缆电磁屏蔽措施；②关键设备和磁介质电磁屏蔽措施。2、网络安全测评内容：⑴结构安全：①网络设备的业务处理能力具备冗余能力；②网络各个部分的带宽；③业务终端与业务服务器之间进行路由访问控制；④当前运行情况相符的网络拓扑结构图；⑤根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分的不同的子网或网段；⑥重要网段与其他网段之间采取可靠的技术隔离手段；⑦带宽分配优先级别。⑵访问控制：①网络边界访问控制设备部署及访问控制功能；②数据流允许/拒绝访问的能力；③进出网络的信息过滤措施，如应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；④会话连接安全性；⑤网络最大流量数及网络连接数控制措施；⑥重要网段防ARP地址欺骗措施；⑦用户对受控系统资源的访问控制。⑶安全审计：①网络系统中的网络设备运行状况、网络流量、用户行为等日志记录；②审计记录要素。⑷边界完整性检查：①非授权设备私自联到内部网络的行为检查及阻断措施；②内部网络用户私自联到外部网络的行为检查及阻断措施。⑸入侵防范：网络边界处监视攻击行为措施。⑹恶意代码防范：①网络边界处对恶意代码检测和清除措施；②恶意代码库的升级和更新。⑺网络设备防护：①登录网络设备的用户身份鉴别措施；②网络设备的管理员登录地址限制措施；③网络设备用户的标识唯一性；④登录失败处理功能措施；⑤网络设备远程管理防止窃听措施；⑥设备特权用户的权限分离措施。3、主机安全测评内容⑴身份鉴别：①登录操作系统和数据库系统的用户身份标识和鉴别措施；②操作系统和数据库系统管理用户身份标识防冒用措施；③登录失败处理措施；④服务器进行远程管理防窃听措施。⑵访问控制：①依据安全策略控制用户对资源的访问措施；②用户的角色权限分配措施；③操作系统和数据库系统特权用户的权限分离措施；④限制默认帐户的访问权限措施。⑶安全审计：①服务器和重要客户端上的每个操作系统和数据库系统用户审计措施；②审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；③审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；④应能够根据记录数据进行分析，并生成审计报表；⑤应保护审计进程，避免受到未预期的中断；⑥应保护审计记录，避免受到未预期的删除、修改或覆盖等。⑷剩余信息防范：①操作系统和数据库系统用户的鉴别信息被释放或再分配给其他用户前清除措施；②系统内的文件、目录和数据库记录等资源所在的存储空间、被释放或重新分配给其他用户前完全清除措施。⑸入侵防范：①对重要服务器进行入侵的行为检测及攻击报警措施；②重要程序的完整性检测及恢复措施；③操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。⑹恶意代码防范：恶意代码软件防范措施。⑺资源控制：①终端登录限制措施；②登录终端的操作超时锁定措施；③重要服务器监视措施；④单个用户对系统资源的最大或最小使用限度控制措施；⑤系统的服务水平降低到预先规定的最小值进行检测和报警措施。4、应用安全测评内容：⑴身份鉴别：①登录用户身份标识和鉴别措施；②用户身份标识唯一和鉴别信息复杂度检查措施；③登录失败处理措施；④身份鉴别、用户身份标识唯一性检查措施。⑵访问控制：①用户对文件、数据库表等客体的访问控制措施；②默认帐户的访问权限控制措施；③不同账户最小权限控制措施；④重要信息资源敏感标记措施。⑶安全审计：①覆盖到每个用户的安全审计措施；②审计进程，无法删除、修改或覆盖措施；③审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等；④应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。⑷剩余信息保护：①用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除的措施；②系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前完全清除措施。⑸通信完整性：应采用密码技术保证通信过程中数据的完整性。⑹通信保密性：①密码技术；②通信过程中的整个报文或会话过程加密措施。⑺抗抵赖：①在请求的情况下为数据原发者或接收者提供数据原发证据的措施；②在请求的情况下为数据原发者或接收者提供数据接收证据的措施。⑻软件容错：①数据有效性检验措施；②故障发生时自动保护当前所有状态，保证系统能够进行恢复的措施。⑼资源控制：①当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；②应能够对系统的最大并发会话连接数进行限制；③应能够对单个帐户的多重并发会话进行限制；④应能够对一个时间段内可能的并发会话连接数进行限制；⑤应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；⑥应能够对系统服务水平降低到预先规定的最小值进行检测和报警；⑦应提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。5、数据安全及备份恢复测评内容：⑴数据完整性：①系统管理数据、鉴别信息和重要业务数据在传输过程中完整性检测和恢复措施；②系统管理数据、鉴别信息和重要业务数据在存储过程中完整性检测和恢复措施。⑵数据保密性：①系统管理数据、鉴别信息和重要业务数据传输保密性措施；②系统管理数据、鉴别信息和重要业务数据存储保密性措施。⑶备份与恢复：①本地数据备份与恢复措施；②异地数据备份措施；③网络拓扑结构冗余，避免关键节点单点故障措施；④关键网络设备、通信线路和数据处理系统冗余措施。6、安全管理制度测评内容：①制度管理；②制度的制定和发布；③制度的评审和修订。7、安全管理机构测评内容：①岗位设置；②人员配备；③授权和审批；④沟通和合作；⑤审核和检查。8、人员安全管理测评内容：①人员录用管理；②人员离岗管理；③人员考核管理；④外部人员访问管理。9、系统建设管理测评内容：①安全方案设计；②产品采购和使用；③自行软件开发；④外包软件开发；⑤工程实施；⑥测试验收；⑦系统交付。10、系统运维管理测评内容：①环境管理；②资产管理；③介质管理；④设备管理；⑤网络安全管理；⑥系统安全管理；⑦恶意代码防范管理；⑧备份与恢复管理；⑨安全事件处置；⑩应急预案管理。五、成果要求：信息安全测评工作完成后，提供具备信息安全等级保护测评机构推荐证书资格单位出具的《信息系统安全等级测评报告》两份。六、测评整改：1、对测评中发现的不合格项，提出相应整改建议、方案及相应文档。2、对项目整改过程进行跟踪，在整改后，对项目进行复测。

1

套

130000