您的位置首页 >> 招标公告 >> 信息系统安全等级保护测评项目招标公告

信息系统安全等级保护测评项目招标公告

发布日期:2017-12-12   作者:江门市人民医院

  江门市人民医院就下列服务采购项目进行公开招标,欢迎国内合格供应商前来参加项目密封投标。

 一、采购项目名称和价格
项目名称:信息系统安全等级保护测评项目;
项目最高限价:¥10万元。

 二、参加投标供应商要求
 1、公司注册资金不低于人民币50万元(含)
 2、投标资料、资质证件要求
(1)投标项目报价与内容
(2)企业营业执照、税务登记证、组织机构代码证
(3)法定代表人身份证和法定代表人委托投标代理人授权书、投标代理人身份证
(4)企业公司人员情况、工作制度、销售业绩
(5)投标资料一式7份(1正本6副本),密封盖章,按要求递交。

 三、报名起止时间:2017年12月12日至2017年12月16日12:00点止。报名材料发送至 jmrmyy@126.com ,邮件名称请注明公司全称、参加项目,如:××公司报名××项目。书面材料上交截止日期:开标时间前。

 四、开标时间:2017年12月18日15:00。

 五、开标地点:江门市人民医院行政楼一楼

 六、报名地点:江门市人民医院综合楼一楼计算机中心

 七、联系人:赵先生

 八、联系电话:0750-3887296
                                                                                江门市人民医院
                                                 2017年12月12日


附件:
项目要求:
一、商务要求:
1.  投标人资格要求
(1)  供应商须是中国大陆境内合法注册的非联合体企业或事业单位,能独立承担民事责任,具有从事本项目的经营范围和能力;
(2)  投标人应当是具有合法经营资格的法人,具有良好的信誉;
(3)  投标人不是本次招标要求服务工具制造商的必须取得工具厂商针对该项目的使用授权原件。
(4)  投标人对关键技术参数“★”指标必须全部满足要求。
(5)  本项目不接受联合体投标。
2.  投标报价应为人民币含税全包价,包括所有服务费、人工费、服务工具费、交通费、食宿费、税费等一切费用。
3.  采购合同由中标供应商与采购人双方签订。
4.  项目实施地点:江门市内采购人指定地点(以合同为准)。
5. 本期服务有效期:本期服务有效期为12个月(一年),从合同签订生效之日起开始计算。
注:“商务要求”中的内容有与“技术要求”中的内容不一致的,以“技术要求”中的要求为准。

二、技术要求
1.项目范围
本次等级保护安全测评涉及的应用系统,如下:

序号

应用系统

计划定级

1

医疗信息系统

三级

2

OA办公系统

二级

3

对外门户网站

二级


2.项目内容要求
(1)  定级备案:投标人对采购人项目范围的相关应用系统进行定级梳理咨询、定级备案材料编写、定级备案流程办理辅助及最终拿到相关网监部门的系统定级备案证书等服务。
(2)  安全分析:投标人提供项目范围的相关应用系统的整体信息安全差距分析,出具相应的信息安全差距分析报告。
(3)  整改规划:投标人根据整体信息安全差距分析报告,为采购人编写整体整改建议方案,长期协助、指导采购人进行安全整改。
(4)  验收测评:通过整改后协助提供相关信息系统的第三方验收测评,出具信息系统等级测评报告(每个系统一份)。
(5)  配套工具:整个项目实施过程中,投标人需要提供配套的服务工具:信息系统漏洞扫描工具、应用系统源代码审计工具、网络安全事件调查处置工具,协助完成项目的风险分析、审计分析、安全事件溯源等服务内容。

3.服务工具要求
(1)  本项目在实施过程中所使用到的专业服务工具必须包含应用系统源代码审计工具、网络安全事件调查处置系统、漏洞扫描系统等工具;
(2)  投标人必须保证所使用的所有工具和软件不会产生所有权和知识产权纠纷,并保证工具和软件的可用性和可靠性。由此产生的一切责任由投标人负完全责任。
(3)  ★本项目使用的所有服务工具和软件(包括但不限于以下工具)无需本项目采购人购买,均由中标供应商自行提供,且不包含在本项目报价范围内。投标人不是工具制造商的必须取得工具原厂商出具的合格证明。

应用系统源代码审计工具技术参数
源代码缺陷分析能力:
1)    支持C/C++/C#/JAVA/Objective-C/PHP/JavaScript/等主流编程语言开发的软件源代码的安全检测。
2)    支持代码注入、跨站脚本、输入验证、资源管理等常见安全缺陷类型的检测。
3)    支持本地软件源代码上传到服务器进行缺陷分析。
4)    支持从代码版本管理工具SVN、Git上获取软件源代码进行缺陷分析。(提供产品界面截图,并加盖厂家公章)
5)    支持用户自定义函数白名单,减少误报。(提供产品界面截图,并加盖厂家公章)
6)    支持用户对缺陷分析模板的灵活配置,具体到每一个缺陷类型。(提供产品界面截图,并加盖厂家公章)
7)    支持构建工具(Maven)集成。(提供产品界面截图,并加盖厂家公章)

源代码缺陷审计功能:    
1)    能够对源代码安全缺陷扫描结果进行汇总,并按照问题的严重性和可能性进行威胁级别的划分,如高、中、低等多个级别。
2)    能够迅速定位某一特定安全问题所在的源代码行,对问题产生的整个过程进行跟踪。
3)    能够提供中文的源代码安全缺陷分类、缺陷描述及修复建议。(提供产品界面截图,并加盖厂家公章)
4)    能够对当前缺陷进行审计,修改缺陷等级以及审计是否是问题。
5)    能够记录缺陷审计信息,包括人员、时间和审计信息等。
6)    支持任务审计结果的信息携带功能,降低审计成本。(提供产品界面截图,并加盖厂家公章)

源代码缺陷报告功能:    
1)    缺陷报告应能够根据用户角色分为管理人员报告与开发人员报告。管理人员报告主要包括缺陷等级及缺陷类型等基本统计信息,开发人员报告除了包括缺陷等级及缺陷类型等基本统计信息外,还应包括缺陷分类、缺陷描述、修复建议、风险点、缺陷跟踪信息等详细信息。(提供产品界面截图,并加盖厂家公章)
2)    报告内容可对缺陷等级、缺陷类型、修复建议、跟踪路径根据需求进行配置。(提供产品界面截图,并加盖厂家公章)
3)    提供包括word、excel、pdf等多种格式的检测报告。

源代码缺陷分析管理功能:    
1)    支持多用户同时使用、多检测任务并发执行。
2)    支持基于部门用户角色的权限管理。
3)    支持源代码安全检测任务的统一集中管理
4)    能够根据多种条件对源代码缺陷分析任务进行查询(如任务名称、创建者、开发语言、检测状态等)。
5)    能够展示每一个源代码缺陷分析任务的相关信息,信息应包括任务名称、开发语言、发起时间、完成时间、检测状态、缺陷总数、缺陷等级以及创建者信息。


日志管理:
1)    能够提供系统操作日志,记录用户的关键操作。
2)    能够提供系统错误日志,记录关键的错误信息。
知识产权:
1)    具有国家版权局颁发的软件著作权登记证书。
2)    ★具有公安部颁发的销售许可证。

网络安全事件调查处置工具技术参数
1)    提供对网络安全事件调查处置工作现场的技术支持,根据制定的任务生成采集U盘,通过工具进行现场数据采集、数据分析、攻击事件回溯、生成调查报告四个步骤完成调查处置工作。并将调查结果数据上报到网络安全事件调查处置平台中,通过平台的长期运行、数据积累,为信息系统和网络安全态势感知与通报预警提供精准的网络安全事件数据,并且通过大数据分析,能够预知、预判网络安全事件的发展和爆发趋势,及时进行通报预警。要求如下:
2)    支持新建调查任务,新建任务需要包括任务的基本信息和任务发布信息两类信息。任务信息需要包括事发单位信息,自诊断信息,被攻击网站的备案信息等。任务发布信息需要包括任务处置单位信息、任务处置人信息等。
3)    支持从网络安全事件调查处置平台导出的检查任务的导入功能。
4)    应提供自定义采集内容功能。采集内容需要从网络层、主机层、应用层、管理层四个方面进行分类。网络层包括网站开发语言、网站开发平台、中间件、远程运维方式、端口开放情况。主机层包括系统日志、数据库日志、IE使用痕迹、介质使用痕迹、主机安全基线、关键文件操作痕迹、资产信息、关键硬件、关键软件、特定系统文件、内核安全信息。应用层包括web日志、web文件。管理层包括网站基本信息、网站开发框架、安全防护情况、存在的安全漏洞。
5)    支持一键式生成采样U盘,并可以进行多次制作。
6)    支持现场记录单的人工录入功能,包括网站管理基本信息、网站开发架构基本情况、网站防护基本情况、网站存在的安全漏洞等。并且支持管理制度、网络拓扑、取证视频、取证音频、取证图片等附件的上传。
7)    支持将人工和工具采集的数据导入管理系统,通过数据分析引擎进行关联性分析,解析事件发生的重要痕迹、成因,辨析攻击者IP、攻击手法、攻击轨迹,提取关联证据,输出网络安全事件调查分析报告。网络层面分析应包括网站开语言、建设平台、中间件、远程运维方式、端口开放情况。主机层面分析应包括服务器主机安全分析、服务器内核安全分析、服务器文件操作行为分析。应用层面分析应包括webshell分析、扫描行为、注入行为、跨站行为、文件包含、目录跨越、漏洞信息等分析。管理层面分析应包括网站基础信息分析、网站防护情况分析、事件处置情况分析。
8)    支持将攻击者攻击行为进行回溯,包括扫描网站、发现漏洞、发起攻击、入侵主机、高危后果、清除痕迹共6个过程(需提供产品功能截图)
9)    支持自动生成调查报告功能,至少包括5个报告现场数据分析报告、调查记录单、事件回溯分析报告、调查结论报告、限期整改通知书。其中调查记录单、调查结论报告、限期整改通知书需要符合标准模版。
10)    支持将调查结果导入到网络安全事件调查处置平台,调查结果内容包括采集的原始数据、分析结果、5个调查报告。
11)    支持现场采集文件,包含各个任务在现场采集的原始文件包括web日志、web文件、数据库日志、系统日志、系统文件、用户痕迹(文件操作、U盘使用等记录)、资产信息、网站开发框架、现场记录单、恶意文件访问记录、主机驻留痕迹记录、现场访谈提交附件等文件。
12)    支持知识库管理,主要包括:漏洞库、恶意程序样本库、网络安全事件处置知识库、调查处置工具库4个功能。
13)    支持系统管理功能,用于为工具箱管理系统提供运行维护的支撑,包括支持基础数据导入、知识库导入、用户管理等功能。
14)    支持对主机的操作系统的PC资产、CPU、光驱、硬盘、主板、音频摄像设备、通用软件、邮件客户端、即时通讯工具、系统补丁、服务、进程等信息进行采集。支持操作系统包括windwos各服务器版本。
15)    支持对信息系统联网痕迹包括轻度检查和深度检查、介质使用痕迹、文件操作痕迹、安全基线、端口开启、防病毒软件、虚拟机软件、无线通信设备、BIOS安全、文件共享等采集分析。支持操作系统包括windwos各服务器版本。
16)    支持对WEB文件、日志文件进行原始采集。支持操作系统包括windwos各服务器版本。
17)    支持对主机上部署的Web所用的开发语言,建设平台,中间件,远程运维方式、端口开启情况等信息进行采集分析。支持操作系统包括windwos各服务器版本。
18)    支持对操作系统的日志、数据库日志采集。支持主流的数据日志包括oracle、sqlserver、mysql等。支持操作系统包括windwos各服务器版本。
19)    支持对进程、驱动、内核、内核钩子、应用层钩子、网络、启动信息等从内核角度进行采集分析。支持操作系统包括windwos各服务器版本。
20)    安全加密数据存储
21)    硬件加密
22)    ★15次密码错误数据自毁
23)    ★产品厂商需具备等级保护建设能力,信息安全等级保护综合管理系统通过公安部的检测。(需提供公安部信息安全产品检测中心的检测报告并加盖厂家公章)
24)    ★投标单位必须具有漏洞扫描工具厂商对该项目的支持授权。(提供原厂盖章售后服务承诺书)

漏洞扫描工具技术参数
本次服务需要提供漏洞扫描服务,漏洞扫描工具必须符合国家相关要求,且满足下列相关技术要求:
1)    工具应具备操作系统、数据库、网络设备等主流系统的漏洞库列表,并提供至少15种以上的漏洞库分类
2)    工具漏洞库列表数量必须大于15000条,提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准兼容(请提供相应截图证明)
3)    工具应支持对主流的数据库软件的漏洞检查,支持Oracle、MySQL、SQL server、DB2等数据库的安全漏洞检查,并提供至少2500种以上的相关漏洞库
4)    工具应支持主流虚拟机管理系统的漏洞检查,支持Vmware ESX\Vmware ESXi等相关漏洞(请提供相应截图证明)
5)    工具应支持DNS服务的安全漏洞检查,包括DNS缓存中毒、DNS拒绝服务漏洞、签名欺骗等至少100种以上的相关漏洞库(请提供相应截图证明)
6)    工具应支持通过WI-FI网关对移动设备系统进行漏洞检查,需支持对iOS、Android、Blackberry、windowsphone等操作系统,并提供至少50种以上的相关漏洞库(请提供相应截图证明)
7)    ★工具应支持后门检测的安全漏洞检查,包括对Microsoft IIS特洛伊木马检测、Mac OS X恶意程序等常见后门漏洞的安全检测,并提供至少100中以上的相关漏洞库(请提供相应截图证明)
8)    工具应支持对常见P2P软件的安全漏洞检测,包含对常见的电驴、iTunes、BitTorrent等软件的安全检测,并提供至少50种以上的相关漏洞库(请提供相应截图证明)
9)    产品应具且实配配置核查功能,具备专业配置核查的漏洞库,具备主流的操作系统、数据库、网络设备、安全设备的相关安全配置核查漏洞库
10)    产品应具备操作系统的配置核查,能够对主流操作系统进行安全配置进行检查,支持windows、linux、unix等主流操作系统(请提供相应截图证明)
11)    产品应具备网络设备的配置核查,能够对主流网络设备进行安全配置进行检查,支持Cisco、华为、Juniper、F5等主流网络设备(请提供相应截图证明)
12)    产品应具备安全设备的配置核查,能够对主流安全设备进行安全配置进行检查,支持Cisco、华为、赛门铁克、Juniper、McAfee等主流安全设备(请提供相应截图证明)
13)    ★投标人必须具有漏洞扫描工具厂商对该项目的支持授权(提供原厂盖章售后服务承诺书)
14)    ★漏洞扫描工具公安部颁发的《计算机信息系统安全专用工具销售许可证》。
15)    漏洞扫描工具厂商具备国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》(甲级),要求提供相关证明文件
16)    ★漏洞扫描工具厂商为“信息安全等级保护关键技术国家工程实验室”参建单位之一,要求提供相关证明文件。

4.人员安排要求
投标人的技术服务人员需具有信息安全服务工作经验,参加过信息安全等级保护测评项目并取得信息安全方面资质证书,提供人员管理及配备方案,并确保人员的稳定。如更换技术服务人员,须由采购人同意并签字确认。
1. 项目负责人(项目实施负责人1名)
A.教育水平:通信或计算机类专业本科及以上学历。
B.工作经验:5年以上信息安全工作及项目管理经验或项目管理师证书。
C.专业知识:熟悉信息安全等级测评,能够熟练使用常规的WEB应用扫描、基线扫描、漏洞扫描工具,具有一定的操作系统、网络安全、网站和数据库知识,具有等级保护测评师或CISP证书。
D.素质能力:具备信息安全管理和协调能力,工作认真负责,具有高度的责任心。
2. 测评核心技术人员(等级保护测评师2名)
A.教育水平:通信或计算机类专业本科或同等学历。
B.工作经验:3年以上信息安全工作及项目实施经验,具等级保护测评师或CISP证书优先。
C.专业知识:熟悉信息安全等级测评,能够熟练使用常规的WEB应用扫描、基线扫描、漏洞扫描工具, 具有中/初级等级保护测评师证书。
D.素质能力:具备信息安全管理和协调能力,具有ITIL证书优先。





您还可以查看:
上一篇:无上一篇下一篇:妇科电子阴道镜采购项目招标公告(2017-...