(一)采购标的需实现的功能或者目标,以及为落实政府采购政策需满足的要求; 目前云南交通职业技术学院需针对院内四个三级系统及五个二级系统进行等保建设,本次项目旨在对现有系统进行测评,满足等保2.0标准(2019年12月1日起施行),拟邀具有相关等级保护测评资质公司在各单位完成等级保护建设前后分别进行等级保护测评,并按照新标准达到等级保护相关要求。 (二)采购标的需满足的质量、安全、技术规格、物理特性等要求; 把测评指标和测评方式等结合到被测系统的具体测评对象上,就构成了一个个可以具体测评实施的工作单元。从技术上的安全物理环境、安全通信网络、安全区域边界、安全计算机环境和安全管理中心五个层面和管理上的安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等五个方面分别描述单元测评实施的主要内容。 (1)安全物理环境 安全物理环境测评将通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。 配合人员及配合事项:机房管理员配合访谈并陪同实地查看机房防火、防水、防破坏等方面的情况;提供机房验收报告等文档。在内容上,安全物理环境层面测评实施过程涉及10个安全测评通用要求测评指标。 (2)安全通信网络 安全通信网络测评将通过访谈、检查和测试的方式评测信息系统的网络安全保证情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构等三大类对象,具体为:核心交换机和接入路由器等网络互联设备;入侵检测系统、防火墙等网络安全设备;信息系统的整体网络拓扑结构。 配合人员及配合事项:网络管理员配合访谈并协助登录系统网络设备和安全设备查看相关配置等方面的情况;提供系统网络拓扑图等文档。在内容上,安全通信网络层面测评实施过程涉及3个安全测评通用要求测评指标。 (3)安全区域边界 安全区域边界测评将通过访谈、检查和测试的方式评测信息系统的安全区域边界保证情况。主要涉及对象为边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计和可信验证等方面的测试评估。 配合人员及配合事项:网络管理员配合访谈并协助登录系统网络设备和安全设备查看相关配置等方面的情况;提供系统网络拓扑图等文档。在内容上,安全区域边界层面测评实施过程涉及6个安全测评通用要求测评指标。 (4)安全计算环境 安全计算环境测评将通过访谈、检查和测试的方式测评。 配合人员及配合事项:应用系统管理员、开发人员、主机管理员、数据库管理员等配合访谈并协助登录应用系统查看用户密码策略、帐号锁定策略、安全审计等相关安全配置及验证访问控制、软件容错等相关安全功能;提供提供操作系统、数据库权限分配表、设计/验收文档、相关证明材料(证书)等文档。在内容上,安全计算环境层面测评实施过程涉及11个安全测评通用要求测评指标。 (5)安全管理中心 安全管理中心测评将通过访谈、检查和测试的方式测评安全管理中心的保障情况。主要涉及对象为:系统管理、审计管理、安全管理和集中管理等。 配合人员及配合事项:应用系统/数据库管理员、审计管理员等配合访谈并协助登录主机、系统、数据库查看相关配置等。在内容上,安全管理中心层面测评实施过程涉及4个安全测评通用要求测评指标。 (6)安全管理制度 安全管理制度测评将通过访谈和检查的方式测评信息系统的安全管理制度建立情况。主要涉及对象为:信息安全管理体系、日常安全管理制度、重要操作规程及相关执行记录等。 配合人员及配合事项:对系统管理制度及记录熟悉的人员(如安全主管、安全员)配合访谈并提供信息安全管理体系手册及文件清单、操作规程及记录、制度制定和发布要求管理文档、评审记录、安全管理制度收发登记记录、安全管理制度对应负责人或负责部门的清单等文档。在内容上,安全管理制度层面测评实施过程涉及3个测评指标。 (7)安全管理机构 安全管理机构测评将通过访谈和检查的方式测评信息系统的安全管理机构建立情况。主要涉及对象为:安全管理机构设立文档、信息安全小组名单、岗位说明书、等文档及执行记录。 配合人员及配合事项:对系统管理制度及记录熟悉的人员(如安全主管、安全员)配合访谈并提供安全主管、信息安全小组名单、岗位说明书、协调会议文件或会议记录等文档。在内容上,安全管理机构层面测评实施过程涉及5个测评指标。 (8)安全管理人员 人员安全管理测评将通过访谈和检查的方式测评信息系统的人员安全管理方面情况。主要涉及对象为:人事管理制度、外部人员访问要求等安全管理制度及执行记录。 配合人员及配合事项:对系统管理制度及记录熟悉的人员(如安全责任人、安全员)配合访谈并提供人员录用要求管理文档、保密协议、人事管理制度、考试记录、第三方人员访问管理文档等文档。在内容上,人员安全管理层面测评实施过程涉及4个测评指标。 (9)安全建设管理 系统建设管理测评将通过访谈和检查的方式测评信息系统的系统建设管理方面情况。主要涉及对象为:系统建设过程中涉及的相关文档,如:系统定级报告、安全设计方案、测试验收报告等文档及软件开发、工程实施等方面的安全管理制度及执行记录。 配合人员及配合事项:相关人员(系统建设负责人、系统文档管理员等)配合访谈并提供系统定级文档、系统属性说明文档、定级结果的论证记录、总体建设规划书、详细设计方案、专家论证文档、产品选型测试结果记录等文档。在内容上,系统建设管理层面测评实施过程涉及10个安全测评通用要求测评指标。 (10)安全运维管理 系统运维管理测评将通过访谈和检查的方式测评信息系统的系统运维管理方面情况。主要涉及对象为:系统运维过程中涉及的安全管理制度及执行记录。 配合人员及配合事项:相关人员(安全主管、机房运行主管、资产管理员、系统管理员、系统运维负责人等)配合访谈并提供机房安全管理制度、资产清单、资产安全管理制度、介质管理记录、网络漏洞扫描报告、安全事件报告和处置管理制度、应急预案等文档。在内容上,系统运维管理层面测评实施过程涉及14个安全测评通用要求测评指标。 (三)采购标的的数量、采购项目交付或者实施的时间和地点; 1)等级保护定级备案和测评服务:结合云南交通职业技术学院的实际情况,对云南交通职业技术学院的信息系统定级给出合理化建议,完成相关注销及新增定级备案测评,并对现有的4个三级系统及5个二级系统从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个层面进行网络安全等级保护测评。 2)信息安全建设整改咨询指导服务:根据本次信息系统等级保护测评情况,对系统发现的网络安全问题,向采购单位提供整改、加固建议,协助、指导采购单位做好整改工作。服务供应商根据系统往年的测评问题情况,向采购单位提出系统针对性的整改、加固建议,切实帮助采购单位对系统安全问题进行治理,促使系统测评得分方面较往年有所提升。 3)信息安全管理体系建设指导服务:结合《网络安全法》、《网络安全等级保护制度》、《数据安全法》等相关法律、政策、标准要求,结合采购单位网络安全管理体系建设情况,指导、协助采购单位对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理方面进行管理系统的完善工作。 4)数据安全风险评估服务:根据《网络安全标准实践指南——网络数据安全风险评估实施指引》((信安秘字〔2023〕70号)《信息安全技术 数据安全评估机构能力要求》(征求意见稿)《信息安全技术 数据安全风险评估方法》(征求意见稿)等标准,结合采购单位实际情况,开展数据安全风险评估,出具相关报告。 5)漏扫渗透验证服务:通过不定时或定期开展漏洞扫描,了解网络的安全配置和运行的应用系统,及时发现安全漏洞,客观评估漏洞风险等级。漏扫服务包括主机漏洞扫描、Web漏洞扫描、弱密码扫描等,并且结合人工验证提供相应可落地的漏洞解决方案,方便管理员对进行检查和分析,及时修复漏洞,对不能修复的漏洞形成相关报告。 6)网络安全培训服务:根据现行法律法规及新政策法律要求,结合实际网络安全态势,利用新型防护技术及手段,开展网络安全培训服务,提升管理人员安全意识及改正不良操作行为习惯,有效落实网络安全管理工作。 7)网络安全应急演练服务:为切实做好采购单位网络安全事故应急演练的各项工作,实践应急响应工作内容和工作流程,提高应急响应能力,最大限度地降低网路安全事故影响,确保内部网络和信息系统安全、稳定,通过演练记录、演练评估报告、应急预案、现场总结等材料,对演练进行系统和全面的总结,并形成演练总结报告。对比演练活动开展情况与演练目标要求,总结演练经验,进一步完善网络安全工作方案和应急预案,健全应急响应和通报预警机制,全面提升网络和信息安全突发事件的应急处置能力。 (四)采购标的需满足的服务标准、期限、效率等要求; 合同整体服务期限为:两年,合同签订后20个工作日完成被测系统初测工作,出具等级保护测评初测报告;整改完成后20个工作日完成被测系统复测工作,出具符合的测评报告。 (五)采购标的的验收标准; 协助完成在当地网安部门进行新系统的等保备案及变更工作,测评满足等保2.0要求,达到国家相应的标准及规范要求,出具报告,验收合格。 (1)《信息系统等级保护测评方案》(纸版和电子版) (2)《等级保护测评实施计划》(纸版和电子版) (3)《等级保护测评过程记录文件》(电子版) (4)《信息系统等级保护测评报告》(纸版和电子版) (5)《数据安全风险评估报告》(纸版和电子版) (6)《漏扫、渗透测试报告》(纸版和电子版) (7)《安全整改建议书》(纸版和电子版) (8) 其它应交付的文档(纸版和电子版) (六)采购标的的其他技术、服务等要求。 本次项目将针对测评对象系统进行如下的主要渗透:防火墙的绕过、非授权访问、跨站脚本攻击、SQL注入、信息泄露等。为减轻渗透测试对系统的影响,渗透测试时间会尽量安排在业务量不大的时段。 本次渗透测试人员模拟黑客入侵攻击的过程中使用网络应用、管理和诊断工具、扫描器、远程入侵代码和本地提升权限代码以及专业级漏洞扫描工具。 等保测评检查工具要求:等保测评检查工具具备计算机软件著作权登记证书,需要给出详细功能说明和功能截图,否则视为不满足要求。详细功能如下: (1)网络边界完整性检查 1.要求能够提供针对私接无线AP的检测,包括以桥接模式或NAT模式(包含地址克隆后的NAT模式)接入的无线AP; 2.要求能够提供对市场主流随身Wifi设备和免费Wifi接入进行检测; 3.要求能够提供对windows系统双网卡之间的共享网络行为进行检测; 4.要求能够提供对内部windows终端通过智能手机以USB共享网络方式进行非法外联的行为进行检测; 5.要求能够提供对内部windows终端通过无线网卡连接智能手机个人热点方式进行非法外联的行为进行检测; (2) 网络资产管理 1.要求通过网络扫描,能够对网络内部的资产进行自动识别和分类,要求至少能够自动区分终端PC、应用服务设备,网络设备、网络打印机、视频监控设备及安全运维类设备; 2.要求能够对资产的操作系统进行扫描识别,能够区分Window系统以及非Windows 系统,能够对Windows系统区分Server版本和非Server版本,操作系统类型识别;要求提供资产的操作系统类型查询及相应报表。 (3)网络设备端口监管 1.接入层交换设备端口和下联MAC地址的关联定位,应可自动识别接入层交换设备端口下联的MAC地址及其对应的IP地址;应对每一设备端口的接入历史提供详细审计,应可查询任一设备端口在过去某一时段曾接入的MAC地址和其对应的IP地址; 2.应提供对接入层交换设备端口安全绑定状态的统一监控,能够识别交换设备端口是否经过MAC与端口的安全绑定设置; (4)安全管理 1.应提供定点登录机制,即只允许用户从指定的地址登录,防止系统遭暴力破解和攻击。 其他要求:投标人具备ISO9001质量管理体系认证证书、ISO/IEC20000信息技术服务管理体系认证证书、ISO/IEC27001信息安全管理体系认证证书。(提供复印件加盖公章)
| 
