1、1第二章 采购需求一、 项目总体需求1.1 项目建设背景2017 年 6 月 1 日, 中华人民共和国网络安全法 (网络安全法 )正式实施。 网络安全法首次确立了“网络安全”等级保护制度,要求网络运营者按照网络安全等级保护制度的要求履行一系列安全保护义务。为落实网络安全等级保护工作,建立一个安全稳定运行的基础软硬件环境,政府部门应充分考虑电子政务信息系统的安全现状,以最新信息安全理论为基础,按照信息系统安全等级保护(等保)标准的要求,从技术、管理和运维等多个层面做好信息安全的保障工作,进一步提高基础信息网络和重要信息系统的安全保护能力,维护电子政务网络空间和谐稳定。荔湾区人民政府政务管理办公室
2、是荔湾区政务云平台的建设和管理单位,该政务云平台承载我区大部分电子政务的信息系统。荔湾区大部分电子政务信息系统已经投入运行多年,机房物理环境和网络安全配置相对完善,但网络安全、主机安全、应用安全、数据安全和管理制度与等保合规要求还存在一定差距,因此需要围绕网络安全等级保护要求对这些电子政务信息系统进行安全风险评估,制定合理可行的等保设计方案,确保符合等保要求。1.2 项目建设目标本项目建设目标如下:1. 依据网络安全法和信息安全等级保护管理办法文件要求,通过对荔湾区现有信息系统进行安全合规建设以满足等保的标准要求,并严格参照信息安全技术网络安全等级保护基本要求 、 信息系统安全等级保护基本要求
3、 、 信息系统安全等级保护实施指南等标准完成信息系统安全差距评估、整改和测评工作;2. 以预防为主、标本兼制为宗旨,建成满足等保要求的电子政务信息系统保障体系,完善荔湾区电子政务信息系统的安全防护能力。1.3 项目采购清单2中标人需提供安全咨询服务、安全产品配套、安全集成服务和等保测评服务,依据网络安全等级保护定级指南对荔湾区前期摸查的 70 个电子政务信息系统(包含一个政务云平台)进行合理定级并开展等级保护相关工作,具体内容如下:1. 对于定级为等保二级(含)及以上的电子政务信息系统,取得国家信息安全等级保护主管部门出具的信息系统等级保护备案证明文件,完成差距测评、安全整改等工作,取得符合国
4、家信息安全等级保护主管部门要求的验收测评报告,并最终通过国家信息安全等级保护主管部门的测评验收,其中定级为等保三级的电子政务信息系统须确保不降分通过第二年的年审测评(采购人对照网络安全等级保护定级指南进行初步定级,等保三级系统约为 10 个,等保二级的系统约为 30 个)。2. 对于定级为等保二级(不含)以下的电子政务信息系统,需按等保二级标准进行整改,并提供等保整改报告 。3. 根据前期调研,为满足等保合规建设,安全产品需求如下:序号 安全产品 用途/名称 数量 备注1 安全设备配套防火墙设备 20 台2 服务器 5 台3 防火墙软件4 WAF 防护软件5 信息内容审计软件6 运维操作管理审
5、计软件7 日志审计软件8安全组件数据库审计软件38 套9安全资源池配套防病毒软件 1 套中标人提供包含系统基础组件和控制管理中心的防病毒软件,for linux 和 for windows 终端杀毒软件,共 180 个授权。项目最终以 70 个电子政务信息系统达到等保有关文件要求并最终通过国家信息安全等级保护主管部门验收为准,以上三级、二级系统数量及安全产品数量均为采购人前期自查自测得出的数量,在项目实施过程中如未达到等保有关文3件和国家信息安全等级保护主管部门要求而有所增加,一并在本项目中解决,采购人不再支付费用。本次招标文件中的安全产品为非进口产品(进口产品指通过中国海关报关验放进入中国境
6、内且产自关境外的产品) 。1.4 项目建设工期合同签订后 10 个月内,完成安全咨询服务、安全产品配套、安全集成服务和等保测评服务的工作并通过项目初验。初验后,提供为期 1 年的项目维护服务期且完成等保三级年审测评工作并通过项目终验。1.5 项目建设原则本项目将按照信息安全技术网络安全等级保护安全设计技术要求及相关标准和规定进行建设,因此本项目所有的工作应遵循以下原则:1. 最小影响原则:项目实施工作应尽可能小的影响网络和电子政务信息系统的正常运行,不能对现有网络和电子政务信息系统的运行产生明显的影响;2. 标准性原则:服务方案的设计与实施应依据国内等级保护相关要求、相关标准进行;3. 规范性
7、原则:工作中的过程和文档,具有很好的规范性,便于项目的跟踪和控制;4. 可控性原则:方法和过程要在双方认可的范围之内,安全服务的进度要按照进度表进度的安排,保证单位对于服务工作的可控性;5. 整体性原则:应从各个方面整体考虑,包括了安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;6. 安全性原则:安全性设计从全方位、多层次加以考虑,即通过物理层、链路层、网络层、系统层和应用层等安全技术措施以及安全管理来确实保证系统的整体安全。保证各种相关的网络和系统具有相当的抗攻击性,能够检测并及时对各种攻击行为做出响应;7. 保密原则:对过程数据和结果数据严格保密,所有项目组成员均需签订保密协议。41.
8、6 项目建设依据本项目建设应依据网络安全法和等保相关标准开展工作,包括但不限于以下政策文件和标准:1.6.1 政府政策文件1. 国家信息化领导小组关于加强信息安全保障工作的意见 (中办发200327 号)2. 关于信息安全等级保护工作的实施意见 (公通字200466 号)3. 信息安全等级保护管理办法 (公通字200743 号)4. 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071 号)5. 广东省深化信息安全等级保护工作方案(粤公通字200945 号)6. 广东省计算机信息系统安全保护条例7. 中华人民共和国网络安全法8. 关于传发广东省公安机关互联网数据
9、中心和云平台“大清查”专项行动方案的通知 (粤公网发201875 号)9. 关于开展 2018 年广州市网络安全执法检查工作的通知 (穗网安20186 号)1.6.2 技术标准规范1. GB/T 19716-2005 信息安全技术信息安全管理实用规则2. GB/T 21052-2006 信息安全技术等级保护系列安全产品技术要求3. GB/T 20270-2006 信息安全技术网络基础安全技术要求4. GB/T 20271-2006 信息安全技术信息系统安全通用技术要求5. GB/T 20272-2006 信息安全技术操作系统安全技术要求6. GB/T 20273-2006 信息安全技术数据库管
10、理系统安全技术要求7. GB/T 21052-2007 信息安全技术信息系统物理安全技术要求8. GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求9. GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南10. GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南11. GB/T28449-2012 信息安全技术信息系统安全等级保护测评过程指南512. GB/T28448-2012 信息安全技术信息系统安全等级保护测评要求6二、 项目具体需求本项目具体需求主要包括安全咨询服务、安全产品配套、安全集成服务和等保测评服务需求。详细需求
11、内容如下:2.1 安全咨询服务需求中标人需对荔湾区 70 个电子政务信息系统提供安全咨询服务,确保采购人能够全面把握安全体系建设的各个环节,有序开展电子政务信息系统安全体系建设,建立持续可靠的安全保障机制。2.1.1 等保系统调研 服务在项目实施之前,中标人需安排专业的技术人员对荔湾区电子政务信息系统进行详细的等保调研,具体调研工作包括但不限于以下内容:序号等保调研项 等保调研内容1 系统信息调研详细调研荔湾区现有电子政务信息系统,了解电子政务信息系统边界、功能、服务范围、涉及部门和重要程度,并进行全面的差距分析和脆弱性评估,找出不足之处和安全漏洞,为等级保护体系设计提供客观依据。2 资产信息
12、调研确定荔湾区现有电子政务信息系统中重要资产,比如服务器、核心交换机、边界防火墙和 WAF 等资产信息。3 服务信息调研通过对荔湾区现有电子政务信息系统服务信息的调查,确定系统服务对象。4 系统边界调研通过对荔湾区现有电子政务信息系统边界的调查,确定各电子政务信息系统边界情况。5 网络安全调 通过对荔湾区现有电子政务信息系统的边界访问控制、边7研 界入侵防范和防 web 攻击等网络安全的调研,为电子政务信息系统网络安全的建设提供依据。6 计算环境调研通过对荔湾区现有电子政务信息系统的计算环境进行调研,了解电子政务信息系统存在的问题,为电子政务信息系统计算环境的安全建设提供依据。7 云平台调研
13、通过对荔湾区现有政务云平台进行调研,了解云平台存在的问题,为云平台系统的安全建设提供依据。8 应用系统调研通过对荔湾区现有电子政务信息系统的应用系统进行调研,了解电子政务信息系统存在的问题,为电子政务信息系统应用层的安全建设提供依据。等保系统调研交付物:等保系统调研汇总表2.1.2 等保咨询服务中标人需组建等保专家工作小组提供国家和电子政务行业信息安全等级保护政策、法规和相关标准等咨询服务,等保咨询服务包括但不限于以下内容:1. 信息安全等级保护咨询通过网络安全等级保护咨询服务,确保荔湾区电子政务信息系统满足国家非涉密信息系统合理定级,极大的缩短定级备案及测评的周期,信息安全等级保护咨询服务包
14、括但不限于以下内容:1) 协助采购人明确等保对象,确定其受到破坏后对客体造成的侵害程度;2) 根据等级保护基本要求,确认采购人的安全需求,进行等级保护标准的总体分析和规划设计;3) 基于等级保护规范的实施与测评,协助采购人完成安全详细方案设计、安全技术实施、安全管理实施和等级化测评等工作;4) 基于等级保护规范的运行与维护,协助采购人完成操作管理和控制、变8更管理和控制、安全状态监控、安全应急、安全评估和持续改进的监督检查等工作。2. 信息安全管理体系咨询信息安全管理体系是信息安全体系不可缺少的内容,中标人需结合相关标准向采购人提供完善的信息安全管理体系咨询服务,协助采购人完善信息安全管理体系
15、,使信息安全体系能够在管理中得到落地,信息安全管理体系咨询服务包括但不限于以下内容:1) 协助建立信息安全管理体系2) 协助建立信息安全技术体系3) 协助设计信息安全管理组织架构4) 协助制定信息系统安全运维执行规范标准5) 协助制定人员岗位、角色和职责6) 协助制定重大安全事故应急预案7) 协助改进和完善现有安全制度和策略3. 日常安全管理咨询中标人通过分析搜集最新的安全漏洞、升级补丁、安全技术最新动态、安全产品和安全标准与法规等信息,提炼出信息通告并及时发送给采购人,日常安全管理咨询服务包括但不限于以下内容:1) 搜集公司产品安全通告2) 搜集操作系统安全通告3) 搜集应用系统安全通告4)
16、 当发生病毒爆发事件时,提供技术解决建议5) 当电子政务信息系统出现安全事件时,提供分析建议6) 以电话、传真和电子邮件等方式响应采购人的相关安全咨询7) 提供 724 小时电话技术支持8) 专员记录采购人的咨询和投诉,并及时提供反馈9) 定期提交相应的安全咨询服务汇总94. 安全方案设计咨询中标人从网络结构、应用系统以及安全管理等方面提供安全解决方案咨询,安全方案涉及咨询服务包括但不限于以下内容:1) 系统安全设计咨询2) 应用安全设计咨询3) 安全持续性保障设计咨询4) 网络结构设计咨询5) 安全产品部署设计咨询2.1.3 安全风险评估 服务中标人需全面掌握荔湾区电子政务信息系统的安全状况
17、,对电子政务信息系统及其关键资产进行识别,并合理分类。在资产识别过程中,详细识别核心资产的安全属性,重点评估出资产在遭受泄密、中断和损害等破坏时所遭受的影响。中标人需采用手工检查、安全扫描等方式对网络安全设备、主机操作系统、政务云平台和电子政务信息系统进行脆弱性评估,安全风险评估服务包括但不限于以下内容:序号 风险评估类别 风险评估项1 安全管理机构评估2 安全管理制度完善与合理性评估3 人员安全管理相关体制评估4 系统安全建设管理体制评估5管理体系安全风险评估系统安全运维管理体制评估6 技术体系安全风险评估 物理层安全风险评估107 网络层安全风险评估8 主机安全风险评估9 应用层安全风险评
18、估10 数据层安全风险评估安全风险评估交付物:1.荔湾区电子政务信息系统安全评估报告2.荔湾区电子政务信息系统安全加固建议书2.2 安全产品配套需求安全产品是构建网络安全防护体系的重要组成部分,中标人需根据等保要求进行安全产品配套。投标人要承诺提供厂商原装、全新的、符合国家及采购人提出的有关质量标准的设备。如果因为生产厂商无法提供的原因而提供其他品牌的设备/部件,投标人应明确说明和列出产品性能和市场情况比较表,并提出质量保证承诺。投标人在投标文件中对提供的安全产品必须给出具体的选型依据说明,并提供有关产品说明,这些证明文件应以附件形式在投标文件中列出。若提供的产品说明与投标文件中提供的安全产品的同一指标不一致时,应由设备生产厂商出具相关证明,否则以产品说明为准。2.2.1 安全设备配套本项目需采购防火墙设备部署在各单位自建机房,防火墙技术规格参数如下:序号产品名称指标项 技术规格参数1 防火墙设备性能指标 网络接口数:6 个千兆电口、4 个千兆 SFP 光口
