广东省体育局关于采购“网站信息安全检测和漏洞修复方案技术服务”的公告
为规范信息安全保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的办法。由四部委下发,公通字200743号文。结合广东省公安厅网监分局相关文件规定,对我局单位现有二级网站系统开展信息安全检测工作,进一步加强我局单位信息安全工作基础、提升信息安全保障能力、提高运维服务水平,确保信息系统安全稳定运行。
对我局单位已定级为二级的3个网站系统进行信息安全检测,查找与分析现有系统的安全防护能力与标准之间的差距,找出信息安全漏洞与不足,提出整改建议并最终配合完成整改。
一、技术服务具体要求
1、项目概况
项目编号:gdstyxxzx20170807
项目名称:网站信息安全检测和漏洞修复方案技术服务项目。
2、技术服务标的:
序号 |
项目名称 |
数量 |
1 |
广东省体育局新闻网 信息安全检测和漏洞修复方案技术服务 国家认证的第三方检测服务报告 |
壹项 |
2 |
广东省群众体育网 信息安全检测和漏洞修复方案技术服务 国家认证的第三方检测服务报告 |
壹项 |
3 |
广东省体育局网上办公系统 信息安全检测和漏洞修复方案技术服务 国家认证的第三方检测服务报告 |
壹项 |
3、技术服务要求
服务过程必须按照《信息安全技术 信息系统安全等级保护基本要求》(GB/T22239-2008)和《信息安全技术 信息系统安全等级保护检测要求》(GB/T 28448-2012),对本单位的指定系统进行信息安全检测和漏洞修复方案技术服务,反馈不符合项,指导本单位进行整改,并使本单位拿到“基本符合”的结论。
4、技术服务内容包括但不限于:
4.1、物理安全层面测评:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
4.2、网络安全层面测评:网络结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护。
4.3、主机系统安全层面测评:身份鉴别、自主访问控制、安全审计、系统保护、剩余信息保护、恶意代码防范、系统资源控制。
4.4、应用安全层面测评:身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。
4.5、数据安全层面测评:数据完整性、数据保密性、安全备份。
4.6、安全管理机构测评:岗位设置、人员配备、授权和审批、沟通与合作、审核与检查。
4.7、安全管理制度测评:管理制度、制定与发布、评审和修订。
4.8、人员安全管理测评:人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员访问管理。
4.9、系统建设管理测评:系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择。
4.10、系统运维管理测评:环境管理、资产管理、介质管理、设备管理、监控管理、系统安全管理、网络安全管理、恶意代码防护管理、密码管理、变更管理、备份和恢复管理、安全事件处置、应急预案管理。
4.11、安全控制间安全测评
安全控制间的安全测评主要考虑同一区域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。
从物理层面上看,主要网络设备、服务器和数据库管理系统都在机房,因此,应测评分析机房各安全控制之间的关联作用。其中,需重点关注物理访问控制与防盗窃和防破坏之间的安全功能互补情况。
从网络层面上看,其网络系统区域划分是明确的,同一区域中的网络设备的安全功能也是较为明确的。但是,一般情况下网络层面的网络安全审计、恶意代码防范等安全控制功能在大多数区域没有使用专门的安全设备来执行。因此,应测评分析网络层面其他安全控制(措施)是否提供补充作用,满足这些安全功能的要求。
对于主机系统层面,应查看不同主机之间是否存在信任关系,是否存在共享相同的安全机制等(如主机身份集中鉴别)。如果不同主机之间存在安全功能上的削弱,如由于存在信任关系,可以从一台机器作为跳板,侵入另外一台机器。因此,需要分析这些安全功能之间的削弱作用。
对于管理涉及的问题大多数是全局性的,因此,对管理各个方面的安全控制应重点查看其措施内容是否能构成一个完整的、全面的管理体系,并且这些管理制度都得到具体落实,有人员、环境和设备的保证。
4.12、层面间安全测评
层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。
从系统的实际情况看,测评应重点考虑物理层面和网络层面、主机系统层面之间的关联互补作用,如主机系统的身份鉴别存在的脆弱性是否可以通过物理层面的安全控制措施得到加强弥补。
另外,网络层面、应用层面和主机系统层面与安全管理的系统运维管理之间关系密切,应关注他们之间的关联互补作用。如考虑网络层面的边界完整性检查安全功能是否通过采取恰当的安全管理措施而得到满足等等。
4.13、区域间安全测评
区域间的安全测评主要考虑互连互通(包括物理上和逻辑上的互连互通等)的不同区域之间存在的安全功能增强、补充和削弱等关联作用,特别是有数据交换的两个不同区域。
4.14、系统结构安全测评
系统结构安全测评主要考虑信息系统整体结构的安全性和整体安全防范的合理性。
在掌握系统的物理布局、网络拓扑、业务逻辑(业务数据流)、系统实现和集成方式等基础上,结合系统的业务数据流分析物理布局与网络拓扑之间、网络拓扑与业务逻辑之间、物理布局与业务逻辑之间、不同信息系统之间存在的各种关系,明确物理、网络和业务系统等不同位置上可能面临的威胁、可能暴露的脆弱性等,综合判定系统的整体布局是否合理、主要关系是否简单、整体是否安全有效等。
在熟悉系统安全保护措施的具体实现方式和部署情况后,结合其业务数据流分析不同区域和不同边界与安全保护措施的关系、重要业务和关键信息与安全保护措施的关系等,参照纵深防御的要求,识别系统的安全防范是否突出重点、层层深入,综合判定系统的整体安全防范是否恰当合理等。
5、技术服务项目需派至少3人检测工程师在本单位驻点直到完成三个网站信息安全检测和漏洞修复方案技术服务及整改工作。
二、投标人资格
1、投标人必须是具体有独立承担民事责任能力的在中华人民共和国境内注册的法人。
2、投标人近三年内在政府采购中无行贿犯罪记录,且未被政府相关部门列入诚信档案黑名单。
3、本项目不接受联合体投标,不允许分包。
4、投标人必须具备ISO 20000信息技术服务管理和ISO 27001信息安全管理体系认证。
三、网站信息安全检测和漏洞修复方案技术服务预算为人民币240,000.00元(大写金额:人民币贰拾肆万元正)。本次招标采用一次报价一次评标定标的方式;采购人拒绝接受有选择性报价的投标。
★投标人的报价(不得恶意竞争低于成本价报价,否则采购响应无效)明显低于其他投标报价,使得其投标报价可能低于其自身成本竞投,或投标报价低于预算金额的70%,有可能影响商品及服务质量和不能诚信履约的,投标人应当在投标文件中做出书面说明并提供相关证明材料。投标人不能合理说明或者不能提供相关证明材料的,由评标委员会认定该投标人以低于成本报价竞标其投标应作无效标处理。
四、资料递交要求:需要递交技术服务方案及报价一式贰份,以及公司资质复印件一份。请将资料于2017年8月25日下午16点前交到广州市越秀区较场西路16号二楼206房。
五、报名时间:2017年8月7日至8月11日(五个工作日)
六、结果公告:2017年8月29日网站公告招标采购栏。
七、联系方式:温依玲、020-83845835,刘其文、020-83806653。
广东省体育局
2017年8月7日