政府采购_政府采购信息_政府采购网-政府采购信息网

漯河市工业和信息化委员会2017年度全市关键信息基础设施网络安全检查和风险评估项目需求询价公告

作者: 发布于:2017-09-15 09:32:00 来源:中国政府采购网

漯采询价采购[2017]40

报价单位:(盖章)                     

一、  货物报价表:

物品

   

单 价

金额

2017年度全市关键信息基础设施网络安全检查和风险评估项目需求

参数见下表

合 计

大写:                 小写:

 

注:此项目预算为100000.00元;

二:投标人须知

1采购人必须提供营业执照复印件,法人授权委托书以及授权人身份证复印件,报价为一次性最终总报价,

任何有选择性的报价将不被接受;报价大小写不一致的,以大写为准;

2、投标人应严格按照所投产品技术指标编制参数表,不得完全复制招标文件参数;若所投产品参数与招标

文件要求一致,应在参数后注明“与招标文件要求参数一致”等字样,否则,因无区别参数而带来的评标困

难或无法评标,将认为其报价无效;

3、投标单位须在指定位置加盖公章或签字,未加盖公章或签字的投标报价表无效。

4定标后,中标单位须交纳5000元的履约保证金;投标保证金可为转账、电汇形式。投标保证金交纳必须由

参与本项目投标的投标方以本单位对公账户缴纳,不接受企业或个人以现金方式交纳投标保证金(包括直接

将现金存到漯河市政府采购中心账户上的行为)。投标人转账、电汇投标保证金时,请在附言栏注明“漯采询

价采购-2016-XX号投标保证金”并持交款凭单到漯河市政府采购中心财务室开具“投标保证金收据”。漯河市

政府采购中心账号信息:收款单位:漯河市政府采购中心开 户 行:中原银行漯河市黄山路支行银行 帐号:039500020007800000187

三:法定代表人(签字):

填表 人 (签 字):

日 期 及 公 司:

             话:

四、联系人:  李女士         联系电话:0395—3162056

五、此表请在2017919日上午900之前密封送到黄山路25号漯河市财政局东楼政府采购中心207室。         

                              

 

                             漯河市政府采购中心

                               2017915

1、  项目内容

1.1  项目目的和范围

依据国家信息安全有关政策规定,对我市关键信息基础设施进行全面系统排查,掌握信息安全总体状况,发现存在的主要问题和薄弱环节,进一步健全信息安全管理制度,完善信息安全技术措施,提高信息安全防护能力。

检查范围是为各单位履行职能提供支撑的关键信息基础设施,包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统、重点物联网设备、重点工业控制系统等,重点是各关键的业务系统及门户网站。关键信息基础设施专项检查和风险评估,要摸清重点行业和领域关键信息基础设施风险状况,以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点,深入查找薄弱环节并迅速整改,强化整改核查,加强对系统间、业务间关联风险的评估,严防连锁连片式网络安全事故。

1.2  主机系统安全检查

1)工具扫描:通过国内外主流的主机漏洞扫描工具,从外部评估各主机系统的安全漏洞状况。特点是能对被评估目标进行自动化的安全漏洞检查。

2)人工检查:主要对各主机系统进行详细的安全检查。特点是可参照国际/国内标准的最佳实践,能够从安全配置、安全管理等方面更加全面的反映出目前存在的安全隐患和安全状况。

3)系统检查内容为:检查各个操作系统可能存在的安全漏洞,检查系统补丁安装情况,检查系统口令密码策略的配置状况,操作系统账号和审计策略的配置状况,操作系统不必要服务端口的禁用状况,操作系统中第三方威胁防护软件的安装部署状况,操作系统中不必要服务关闭情况,操作系统文件与目录权限设置情况,操作系统访问控制情况,操作系统日志审计情况。

4)数据库检查内容为:主机数据库系统可能存在的安全漏洞,数据库系统安全补丁的安装状况,数据库系统环境和基础参数的安全配置状况,数据库系统用户的安全策略的配置状况,数据库系统角色和权限控制的安全配置状况,数据库系统是否开启了不安全的服务和组件,数据库系统安全审计的配置状况。

1.3  应用系统安全检查

应用系统的安全检查方法主要通过两种途径进行。分别是工具扫描和人工访谈、检查。

1)工具扫描:通过国内外主流的应用层漏洞扫描工具,从外部评估各应用系统的安全漏洞状况。特点是能对被评估目标进行自动化的安全漏洞检查。

2)人工访谈、检查:主要通过访谈、安全检查手册等对各应用系统进行详细的安全检查。特点是可参照国际/国内标准的最佳实践,能够从安全配置、安全管理等方面更加全面的反映出目前存在的安全隐患和安全状况。

应用系统安全检查内容为:发现应用系统在安全配置、安全管理、安全防护措施等方面的漏洞和安全隐患,检查应用系统补丁安装情况,检查应用系统账户口令策略设置情况,检查应用系统权限设置情况,检查应用系统日志审计情况。

1.4   WEB应用安全检查

WEB应用安全检查的方法主要通过两种途径进行。分别是工具扫描和人工访谈、检查。

1)工具扫描:通过国内外主流的WEB应用漏洞扫描工具,从外部评估各应用系统的安全漏洞状况。特点是能对被评估目标进行自动化的安全漏洞检查。

2)人工访谈、检查:主要通过访谈、安全检查手册等对各应用系统进行详细的安全检查。特点是可参照国际/国内标准的最佳实践,能够从安全配置、安全管理等方面更加全面的反映出目前存在的安全隐患和安全状况。

WEB应用系统安全检查内容为:发现WEB应用系统在安全配置、安全管理、安全防护措施等方面的漏洞和安全隐患,检查WEB服务器系统补丁安装情况,检查应用系统账户口令策略设置情况,检查应用系统权限设置情况,检查应用系统日志审计情况,检查WEB应用系统漏洞。

1.5   网络架构安全评估

网络配置的审核、网络拓扑结构分析和现场访谈,是该项目进行网络架构分析的主要方式。网络架构评估工作主要由下面一些步骤组成:

l 网络设备(交换机、路由器、防火墙等)的配置评估;

l 网络拓扑结构评估:该阶段主要对网络拓扑结构图进行分析;

l 对总体网络状况、核心层情况、汇聚层情况、接入层情况、Internet等边界接入情况、DMZ区域划分情况、现有安全域划分情况、进行分析;

l 对现有网络安全管理措施进行分析,主要包括:管理制度和策略、用户认证、设备管理、安全设备管理、故障处理和应急响应;

l 网络体系架构安全分析内容,主要包括:基础网络架构、网络拓扑结构、路由和IP地址分配、周边接入方式、流量分析、容灾备份分析;

l 网络层的安全审计制度和访问控制,主要包括:访问控制情况、漏洞分析和入侵检测机制、日志系统;

l 网络层的加密认证,主要包括:防止包窃听、加密情况;

l 网络设备安全管理策略分析,主要包括:网络管理相关协议分析、网络设备管理、时间基准线;

l 网络设备配置文件检查。

1.6   安全管理及运维评估

安全管理评估采用人工分析管理文档和人工访谈调查两种方法:

1)人工访谈:访谈安全管理人员和管理者,对现有的信息安全管理现状进行了解,得出详细的信息安全管理差距,从而为后续的信息安全管理改进提供依据。

2)现有管理文档人工分析:对现有的信息安全管理文档进行分析,从等级保护标准的要求出发,找出不合规性,从而为完善安全管理制度提供依据,具体分为以下几大块:

A、网络安全:分析网络架构安全管理存在的脆弱性,从管理制度和流程上规避网络管理的安全缺陷;

B、主机系统安全:分析主机系统安全管理的脆弱性,从管理制度和日常管理中找出引起安全隐患的机制,为制订相应的管理措施提供依据;

C、应用安全:从现有的应用安全检测措施出发,分析在应用安全方面是否制订了相应的管理并是否有相应的技术手段来支撑管理措施落实,找出应用安全在系统设计、开发阶段是否就进行了规划,并有效落实;

D、数据安全:对现有的数据安全控制进行分析,分析发现数据存储、传输过程中是否制订了相应的安全管理措施,这些措施是否在具体执行过程中得到落实,对这些措施的落实情况是否有相应的管理规章制度来保证;

E、安全管理机构:分析现有的信息安全管理岗位和职责情况,是否能够做到信息安全管理有效运作,发现信息安全管理机构设置不完善和不合理的地方,为信息安全管理机构的设置提供依据;

F、安全管理制度:审查安全管理制度是否完善、是否合理,为后续的信息安全管理制度完善提供依据;

G、人员安全:对人员安全进行审核,发现人员安全中不规范的地方,为后续进行人员安全建设提供依据;

H、系统建设管理:分析信息系统建设过程中存在的安全管理隐患,为后续的改进提供,从而在管理制度文档和控制措施为系统建设的安全提供依据;

I、系统运维管理:对系统运行维护过程中的安全维护计划进行分析,发现运维过程中不合理的操作和规范,从而带来安全隐患的地方,通过分析从管理措施上提供一些建议;

1.7   物理环境安全评估

对物理环境的安全评估主要是从:设备安全、环境安全、电源安全的角度来进行,评估物理环境是否符合安全的要求,能够在从物理环境上防范风险事件的发生。

对物理环境主要采用下面两种方式来进行评估:

1)现场检测:通过现场调查,根据制订的物理环境调查表进行调查,对是否符合情况如实反映,并给出解决建议;

2)人工访谈:通过访谈对机房管理员、系统管理员、网络管理员还有高级管理人员对物理环境进行深入的了解,物理环境安全在某些情况需要协调公司其他部门共同来运作,通过访谈可以提出实际的解决建议。

1.8   信息安全渗透测试

通过使用各类网络技术对网络进行模拟渗透测试,测试系统、网络、主机和应用服务的安全性,更为客观的评价信息安全系统的健壮性。

1)网络系统渗透:对网络拓扑进行发现,对网络设备(如防火墙、路由器、交换机)等进行渗透攻击,寻找网络架构的风险薄弱点。

2)网站服务渗透:对网站服务(包括操作系统)进行渗透攻击,获取或篡改关键信息,据此形成专业的风险渗透报告。

3)应用服务渗透:对专用应用服务(包括操作系统),如OACRMERP等进行渗透攻击,获取或篡改关键信息,最大程度提升权限,据此形成专业的风险渗透报告。

2、项目启动时间和结果应用

项目周期初步确定为15个工作日,具体开始时间是20179月上旬。要求服务提供方根据检查情况进行综合分析,预警监测和情况会商,形成详细的数据分析报告文档,并配合采购单位适时开展险情研判和情况通报。

3、供应方资质要求

要求供应方必须具有相关专业技术力量,具备测评能力和经验,提供由中国信息安全测评中心颁发的信息安全服务资质证书或相关的国际安全机构颁发的信息安全专业服务资质证书,并在具体实施时能与采购单位签署相关保密协议。

本网拥有此文版权,若需转载或复制,请注明来源于政府采购信息网,标注作者,并保持文章的完整性。否则,将追究法律责任。
相关新闻
网友评论
  • 验证码: