1、广东工程职业技术学院 广东工程职业技术学院信息安全等级保护测评项目招标文件广东工程职业技术学院就信息安全等级保护测评项目,特邀请合格的投标人前来报名。招标编号:院采购 201505项目名称: 信息安全等级保护测评项目项目最高限价:人民币 16 万元合格的投标人必须具备以下条件: 1、具有独立承担民事责任的能力;2、报价人必须已纳入广东省信息安全等级保护测评机构推荐目录或具有广东省计算机信息系统安全服务备案证;3、本项目不接受联合体投标。请符合条件的单位携带以上相关资质文件资料原件及复印件(复印件加盖公章,原件核对后退回)到学院后勤基建处(行政楼 212 室)报名并购买招标文件(每份标书 100
2、 元人民币),标 书 售 后 不 退 (注:如资料未齐全者,则视为不符合投标资格)。公告及报名时间:2015 年 12 月 4 日 - 2015 年 12 月 10 日注意事项:1、递交投标文件截止时间:2015 年 12 月 15 日 上午 9:30 (递交投标文件正本一本,副本四本,共五本)2、开标当天交 1600 元保证金。不中标者立即退回,中标者在合同签订后退回。若出现下列情况,投标保证金将被没收:投标人已递交投标文件,并在投标截止时间之后,投标文件有效期满之前,撤回其投标文件。中标后,中标人不按中标的投标文件签订合同,放弃中标。在招标期间用不正当手段影响评标结果。3开标时间:2015
3、 年 12 月 15 日 上午 9:30 4开标地点:广东工程职业技术学院行政楼 407 会议室广东工程职业技术学院 联系人:钟老师电 话:020-37395096传 真:020-37395096地 址:广州市天河区渔兴路 18 号广东工程职业技术学院2015 年 12 月 4 日广东工程职业技术学院 项目要求1. 标注有“”号的条款必须实质性响应,负偏离(不满足要求)将导致投标无效。2. 带“”号的条款为重要性能指标要求,若有不满足,将影响评委技术评分。一、采购项目技术规格、参数及要求:(一) 采购项目需求:序号 名称1 信息安全等级保护测评(二)采购项目服务要求:1、项目明细列表:(1)采
4、购内容:序号 名 称 保护等级1 子系统1 门户网站2 子系统2 正方教务系统3 子系统3 一卡通系统4 子系统4 招生就业系统5 子系统5 财务系统6校务信息系统子系统6 办公OA系统三级广东工程职业技术学院 (2)项目内容清单类别 描述定级辅助根据等保定级指南,对校务信息系统 6 个子信息系统定级并在当地公安网监部门办理备案手续专家评审我校完成信息系统自主定级后,需聘请有关信息安全等级保护专家对信息系统自主定级进行评审,形成评审意见。差距测评依据风险评估相关规范与标准对已定级、备案的信息系统进行安全评估,通过分析,查找出相关安全隐患。整改信息安全保障体系设计服务与咨询服务根据等级保护差距测
5、评报告与风险评估结果,针对存在的安全隐患以及未落实的安全措施制订安全整改方案,明确整改的目标、项目和进度,拟定信息安全标准与规范。安全服务技术咨询中标方在安全整改阶段能够提供信息安全方面的技术咨询服务,安全专家咨询服务。验收测评依据国家信息安全等级保护制度规定,根据等保测评相关标准,从安全技术与安全管理两大项 10 个方面,对信息系统安全等级保护状况进行全面测评与综合评估。确保信息系统能通过信息安全等级保护二级或三级的国家标准,成功在当地公安机关备案并获得回执。注:投标人提交的投标报价必须是信息安全等级保护验收测评工作所涉及的服务费、测评费、人工费及其他费用等,不包括招标人另购的安全设备硬件费
6、用。(三)测评实施要求:1、中标人应通过自身在等保测评工作中积累的经验,结合自身的技广东工程职业技术学院 术优势,充分考虑到广东工程职业技术学院信息系统实际情况,提供一份具体细致的、操作性强的等级保护实施计划,协助广东工程职业技术学院完成信息系统等级保护的相关工作。2、中标人应依据信息安全等级保护管理办法、信息系统安全等级保护定级指南、信息系统安全等级保护基本要求、信息系统安全等级保护测评准则、信息系统安全等级保护实施指南和信息安全风险评估规范等有关要求,按照严格程序对信息系统的安全防护能力进行科学公正的综合测评活动,完成对信息系统的等级保护落实情况与等级保护相关标准要求之间的符合程度的测试判
7、定。3、在差距评估完成并指导和协助用户进行系统整改后,中标人应通过等级测评判定信息系统是否按照预先设定的安全模式运行,安全控制措施是否得到合理的应用,信息系统是否达到相关标准的要求,是否具备相应等级的安全防护能力等。4、中标人应整理测评数据,对广东工程职业技术学院资料和测评结果进行综合分析,形成测评报告。5、中标人应通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现信息系统安全等级。做到不同安全等级的信息系统应具有不同的安全保护能力,并使广东工程职业技术学院信息系统安全等级保护达到广东省公安厅信息系统安全等级保护工作的各项要求,并完成测评报告的备案工作。(四)技术参数及性能指标需求
8、在等级保护测评过程中,采用询问、检查、测试、工具扫描等多种广东工程职业技术学院 手段组合的方式。工具扫描应至少包括使用:安全评估系统(即安全脆弱性扫描)工具对重要服务器、网络设备、部分客户端(5%-10%)进行漏洞扫描。(1)安全评估系统(安全脆弱性扫描)工具指标要求:项 目 指 标 厂商要求1、产品原厂商必须拥有十年以上研发和生产该产品的经验,投标时必须提供该厂商第一次拿到该产品的公安部安全产品销售许可证复印件,并提供原厂商盖章证明。2、产品原厂商应具备完善的服务保障体系和遍及全国的技术支持队伍,提供统一的免费服务热线。3、产品原厂商拥有计算机信息系统集成一级资质、三级保密资格单位证书和武器
9、装备质量体系认证证书。基本要求1、产品要求为国内研发,具备自主知识产权,请提供计算机软件著作权登记证书的复印件。2、产品要求取得中国人民共和国公安部的计算机信息系统安全专用产品销售许可证(增强型)。3、中国人民解放军信息安全产品测评认证中心的军用信息安全产品认证证书(级别B+)。4、中国信息安全测评中心的国家信息安全测评信息技术产品安全测评证书EAL3 级。5、中国信息安全认证中心的中国国家信息安全产品认证证书(增强级)。6、国家保密局涉密信息系统安全保密测评中心的涉密信息系统产品检测证书。7、产品要求取得 CVE(Common Vulnerabilities and Exposures)组织
10、正式的兼容认证 (Certificate of CVE Compatibility),提供相关有效证明原件。8、产品要求取得全国用户满意产品称号,同时提供相关证书复印件,提供相关有效证明原件。产品部署产品应采用多核处理器的标准工控机,至少 6 个 100/1000M 网口,1 个控制口。产品旁路接入网络,无需改变原有的网络架构,在分布式部署中可以向上级扫描服务器上传扫描结果。漏洞扫描管理1、产品可检测的漏洞应不少于 7300 条,提供该产品功能截图,并提供原厂商盖章证明。漏洞库与国际 CVE 标准兼容,获得 CVE 组织的兼容认证证书,并提供原厂商盖章证明。而且,产品中所有的检测脚本都必须能够
11、在产品中随机进行浏览和查询,提供该产品功能截图,,同时提供相关证明材料,并提供原厂商盖章证明。2、产品应采用定制的 Linux 系统平台,采用 B/S 模式管理,支持多用户多任务并发扫描,具有抗攻击的保护措施。3、产品可扫描对象应全面多样,包括:主流的操作系统(Windows/ Linux/Unix);广东工程职业技术学院 主流的数据库(SQL Server/Oracle/MySQL);主流的应用服务(WWW/FTP/DNS/SMTP);网络接入设备(路由器、交换机);网络安全设备(防火墙、IDS)。4、应具备智能端口识别、多重服务检测、系统渗透扫描、安全优化扫描、IDS 规避扫描、漏洞精细评
12、估、知识依赖检测等先进技术。产品在关闭浏览器扫描页面后,必须保持扫描任务在后台执行,必须可以随时重新查看后台扫描任务的实时扫描信息。同时提供该产品功能截图,同时提供相关证明材料,并提供原厂商盖章证明。5、应具备完整的漏洞管理流程,包括漏洞预警、漏洞分析、漏洞修复、漏洞审计四个阶段。可以与微软的 WSUS 服务器进行联动,还可以与补丁管理系统进行无缝联动,整合扫描结果,自动对终端进行补丁下达或强制安装,有效实现安全加固。同时提供该产品功能截图,同时提供相关证明材料,并提供原厂商盖章证明。6、应具备定时扫描功能,能够实现无人值守的情况下,一次或周期性地执行扫描任务,并将扫描结果自动发送给管理人员。
13、7、能够提供对外公众账号及密码,该账号只具备“本机扫描”功能,能够让每个终端用户快速便捷的进行本机的安全检测。同时提供该产品功能截图,同时提供相关证明材料,并提供原厂商盖章证明。8、应支持非法网站的检测,能够检测目标主机是否安装 WEB 服务,并对照白名单,列出非法网站。同时提供该产品功能截图,同时提供相关证明材料,并提供原厂商盖章证明。9、能够自动获取资产信息,允许按资产的重要性、用途、操作系统等特征增加新的资产信息。10、应支持与其它安全产品(防火墙、入侵检测系统、补丁管理系统等)进行联动。分布式管理模块1、应支持多个地理上分散引擎的集中管理,实现任务下达、策略下达、结果上传等功能。2、应
14、支持上下级单位间的消息发布/接收,补丁发布,补丁下载等功能。WEB 应用安全扫描模块能够对 Web 应用提供专业的漏洞检测和分析,包含 SQL 注入、跨站脚本XSS、网站挂马、CGI 漏洞等 Web 应用安全问题。安全基线检查模块1、安全基线检查的内容包括系统状态、安全配置及安全异常活动。2、支持对目标系统 SSH、SMB 及 TELNET 等服务远程登录检查。支持常见操作系统,包括 Windows 系统(XP/2003 Server/WIN2008/Win 7/win8 等),AIX、Solaris、HP-UX、Linux(Centos、Redhat、suse)等。支持常见数据库,包括 Or
15、acle、DB2、Mysql、SQL Server 等。支持常见应用服务,包括Apache、IIS、TOMCAT、PHP 等。支持常见网络设备,包括 Cisco、Juniper、华为、H3C 等。还支持 Bind 域名解析软件的安全配置检查和分析。3、支持基于主机的检测方式,需要说明具体的检测方法。4、支持多种基于网络的检测方式,需要说明具体的检测方法。补丁联动功能1、扫描任务结束后,可以通知有安装补丁管理系统终端软件的目标系统安装补丁,同时提供相关证明材料,并提供原厂商盖章证明。2、产品的扫描结果查看页面直接对有安装补丁管理系统终端软件的目标系统推送所有补丁或单个补丁,同时提供相关证明材料,
16、并提供原厂商盖章证广东工程职业技术学院 明。3、产品的报表和扫描结果查看页面都提供了补丁管理系统本地补丁的下载链接,同时提供相关证明材料,并提供原厂商盖章证明。4、可以将产品的扫描结果直接导入到补丁管理系统,当没有安装补丁管理系统终端软件的目标系统通过 WEB 访问补丁管理系统时,补丁管理系统会自动弹出相应的补丁提示框,提供用户手工下载相关补丁,同时提供相关证明材料,并提供原厂商盖章证明。扫描策略管理1、产品应提供 22 种以上的默认扫描策略,分别针对不同的扫描对象,如Windows、Unix、数据库等。2、应允许用户根据需要定制、编辑扫描策略。3、应具有“20 大常见漏洞”扫描策略,方便用户
17、迅速检测目标网络上是否有这 20 大常见漏洞,以有效识别网络安全风险所在。扫描结果管理1、应支持 html(打印)、html(浏览)、word、pdf、txt 等多种格式,并提供xml 报表格式供用户二次开发。2、应能够以 IP、漏洞等元素生成丰富多彩的评估报告,满足不同角色人员的需求。并可生成“加密报表”,只有本系统才能读出。3、应提供详细的漏洞描述和可操作性高的解决方案。4、应能够对扫描结果进行对比分析、导出、合并等操作。5、应支持导入扫描结果,允许导入下载报告中生成的 xml 报表格式的扫描结果。用户权限管理1、应根据最新涉密标准,将用户分为审计用户和普通用户,各自独立管理。2、有严格的
18、系统帐户验证机制,标识弱密码帐户。3、能够根据用户的需求来定义用户角色,创建用户,能够调整不同角色用户的系统使用权限。4、产品还应支持用户权限的分级别管理。限定用户允许登陆 IP 地址,限定用户允许扫描 IP 地址范围,还限定用户允许登陆的时间范围。5、管理员创建的扫描任务数量应大于 600 个或无限制,创建的用户数量也应大于 60 个或无限制。同时,必须提供无限的可扫描 IP 范围,提高产品的价值,同时提供相关证明材料,并提供原厂商盖章证明。(2)等级保护基线核查工具指标要求:序号 指标项 规格要求1 扫描能力(1)在建立核查任务时支持从“资产库获取、IP 段添加、Excel导入”方式添加核
19、查设备。(2)提供任务的复制功能,在不影响原有任务的情况下,对复制的任务进行修改和裁剪。2 核查方式(3)对于管理较好的不可达网络或者物理隔离网络,提供分布式采集器,可实现批量核查,批量上报,并根据实际情况实现在线及离线两种方式。在线:从安全基线配置检查服务器获取批量任务,点击执行后讲结果批量上报;离线:从安全基线配置检查服务器获取批量任务,将获得的任务的移动设备接入不可达网络中自动执行批量检查任务,任务完成后将离线采集移动设备接回安全基线检查服务器将任务结果导入广东工程职业技术学院 序号 指标项 规格要求安全基线检查服务器完成离线批量核查。(4)离线核查支持:提供所有设备按照策略及自定义策略
20、的 VBS 离线脚本下载功能,在目标设备上执行完成后将结果导入基线系统;网络设备支持:支持将离线命令在目标设备上运行后,通过提供执行命令集 Session Log 方式检查。(5)对于不希望提供管理员账号和密码的个人主机系统,支持提供代理检查的方式,代理检查结果自动上传到检查服务器,并支持代理设备中的中间件及数据库核查。(6)支持对数据库和中间件设备安装路径自动探测功能。(7)对扫描失败的设备和检查项有非常准确的失败信息反馈。3 资产管理(8)可通过选中资产立即下发核查任务(9)可通过选中资产查看该资产的核查历史,并能够选中两个任务进行对比分析,展示两次核查的对比信息,包括核查时间及核查结果4
21、帐号获取与传输安全(10)支持被核查设备帐号信息的密码文件读取的获取方式:系统提供密码文件模版下载功能,在建立核查任务时提供导入功能,系统读取设备信息后保存在内存中,在任务执行完毕后销毁,做到一次性使用。5 策略 管理 (11)支持核查脚本的自定义功能,并能按顺序清晰展示脚本使用的命令集合,例如:netstat, echo 6 部署 (12)支持上下级级联和管理,并能监控下级节点的性能信息二、采购项目商务要求:1、项目验收:(1)中标人完成差距测评和编写整改方案,并最终完成验收测评后10 个工作日内,由中标人向我方提出项目验收申请,我方组织相关人员与中标人一起进行整个项目的验收工作。(2)验收
22、内容和验收标准参照既定的技术方案、实施要求和验收标准。2、培训服务:技术服务及培训由双方根据我方的招标文件和中标人的项目响应文件协商确定技术服务及培训的内容、要求、方案。三、支付方式:1、合同签订生效后十五个工作日内付 50%为预付款。2、项目验收合格后,十五个工作日内一次性付 50%。3、付款前中标人需提交对应款项的全额增值税专用发票。 广东工程职业技术学院 四、招标范围:(一)定义:本招标文件使用的下列词语有如下规定意义:1“采购人”指广东工程职业技术学院;2“投标人”指被邀请参加本次招标活动的企业;3“招标文件”指由采购人发出的本文件,包括全部章节和附件;(二)招标方式:本项目采用公开招投标方式,以综合评分法确定中标人。(三)招标说明:1.投标人提交的投标文件应至少包括以下部分:(1)投标书。(2)法定代表人证明书和法定代表人授权书(法定代表人亲自签署所有投标文件的,可不提交法定代表人授权书)。(3)投标报价文件(含税)。(4)投标人资格文件。(5)承诺书。(6)其他。2投标文件必须有封面及密封,并加盖单位公章及法人代表印鉴。投标文件包括正本一本,副本四本,共五本。
