财政部唯一指定政府采购信息网络发布媒体 国家级政府采购专业网站

服务热线:400-810-1996

当前位置:首页 »  政采公告 » 地方公告 » 竞争性谈判公告

大庆市政府采购中心关于大庆市房产局房产信息系统安全运维服务采购竞争性谈判变更公告

2018年06月22日 16:42 来源:打印

公告概要:
公告信息:
采购项目名称大庆市房产局房产信息系统安全运维服务采购
品目

采购单位大庆市房产管理局
行政区域大庆市公告时间2018年06月22日 16:42
获取谈判文件的地点详见招标文件
获取谈判文件的时间2018年06月22日 16:08  至  2018年06月29日 14:00
预算金额¥22万元(人民币)
联系人及联系方式:
项目联系人李松霖
项目联系电话0459-4671753
采购单位大庆市房产管理局
采购单位地址大庆市房产管理局
采购单位联系方式18245700777
代理机构名称黑龙江省大庆市公共资源交易中心
代理机构地址大庆市行政服务中心三楼采购中心
代理机构联系方式0459—4671892

大庆市政府采购中心关于大庆市房产局房产信息系统安全运维服务采购竞争性谈判变更公告

黑龙江省大庆市政府采购中心对大庆市房产局房产信息系统安全运维服务进行采购,本项目面向各类型企业进行采购,欢迎有能力的国内供应商参加。

一、项目编号:DZC20181096

二、项目名称:大庆市房产局房产信息系统安全运维服务采购

三、采购方式:竞争性谈判

本项目要求以电子标书参与竞争,不接受纸质谈判响应文件(除《原件(样品)检验登记表》要求提供的资料外),否则谈判无效。具体报名及制作文件的步骤请参考http://ggzyjyzx.daqing.gov.cn/bsznTbr/20199.htm?pa=2221

咨询电话:0459-6375655

四、技术需求及数量:大庆市房产局房产信息系统安全运维服务采购,预算:220,000.00元,参与竞争供应商谈判最终报价超出预算的谈判无效。详细需求见大庆市公共资源交易中心网(http://ggzyjyzx.daqing.gov.cn/)《招标公告》。

五、供应商资格条件:除符合《中华人民共和国政府采购法》中有关供应商申请取得政府采购资格的相关条件外,还应符合下述资格条件:

1、提供参与本项目竞争供应商有效的营业执照副本。

2、参与本项目竞争供应商自身具有有效的信息安全等级保护测评机构推荐证书的,须提供信息安全等级保护测评机构推荐证书;参与本项目竞争供应商自身不具有有效的信息安全等级保护测评机构推荐证书的,可以与具有有效的信息安全等级保护测评机构推荐证书的供应商以合作伙伴的形式参与竞争,须提供合作伙伴有效的信息安全等级保护测评机构推荐证书,并提供加盖双方公章的合作协议原件,合作协议要求载明双方的权利及义务。

注:以合作伙伴形式参加本项目的,合作伙伴各方不得再单独参加或者与其他供应商另外组成合作伙伴参加同一合同项下的政府采购活动,否则投标无效。

3、参与本项目竞争供应商承诺投入现场服务网络安全等级保护安全服务小组服务人员4名,包含3名专业技术工程师和1名安全等级保护测评师,须提供上述人员名单及相应专业技术工程师的信息安全等级保护安全建设专业技术人员证书原件和安全等级保护测评师证书原件

4、参与本项目竞争供应商承诺投入1名现场服务信息安全保障人员,提供其信息安全保障人员认证证书,要求证书方向应为风险管理专业或应急服务专业。

5、本项目不接受联合体参与竞争。

六、本项目执行政府采购扶持中小企业的相关政策。详见《政府采购促进中小企业发展暂行办法》。

参与本项目供应商如属于小、微企业,则须提供“小微企业声明函”,格式详见招标文件第七部分。

根据相关政策,参与本项目供应商为小型或微型企业的,且所投大庆市房产局房产信息系统安全运维服务采购项目是由参与本项目供应商直接提供服务的,则大庆市房产局房产信息系统安全运维服务采购项目的价格给予6%的扣除,用扣除后的价格参与评审。参与本项目供应商需提供本企业的小微企业声明函(须按规定格式填写声明函),不提供声明函的不享受相关扶持政策。以合作伙伴的形式参与本项目竞争的供应商还需提供合作方的小微企业声明函(须按规定格式填写),不提供声明函或提供不全的不享受相关扶持政策。

注:以上“用扣除后的价格参与评审”是指开标现场,依据供应商大庆市房产局房产信息系统安全运维服务采购采购项目投标报价进行6%的扣除。

七、获取文件须知

1、获取文件时间:公告之日起至2018年6月28日17时0分。

注:请参与本项目谈判的供应商在2018年6月28日17时0分前自助下载招标文件,逾期则无法下载招标文件,由此造成的后果由供应商自行承担。

2、该项目采取供应商网上自助的方式。

在大庆市政府采购网或黑龙江省政府采购网注册的供应商且供应商注册信息审核状态达到“有效”或“入库”或“合格”状态,可网上自助下载文件。未注册的供应商请注册后,按照网站中“办事指南”中的说明网上自助下载文件。

3、咨询电话:0459-6372098    (李松霖)

八、申请退出竞争程序及注意事项:

1、报名参与本项目竞争的供应商应严格遵守《诚信竞争承诺书》,如果供应商已下载谈判文件后因自身原因需要退出竞争,必须在投标截止时间48小时前,在大庆市公共资源交易管理平台提出退标申请,并说明合理退标理由。否则,计入不良行为记录名单一次。

供应商已下载文件后无故未参与竞争或未按规定程序申请退出竞争的,将被计入不良行为记录名单。12个月内:供应商被计入不良行为记录1次的,我中心将限制其1个月内参与大庆市政府采购竞争;供应商被计入不良行为记录累计2次的,我中心将限制其3个月内参与大庆市政府采购竞争;供应商被计入不良行为记录累计3次的,我中心将限制其6个月内参与大庆市政府采购竞争。同时1年内不能被推荐为诚信供应商。

退出竞争事宜联系人:李松霖   联系电话:0459-6372098

2、通过大庆市公共资源交易管理平台提出退标申请,并经我中心受理备案的,可在大庆市公共资源交易管理平台办理退还保证金事宜。

3、未按规定程序申请退出投标的,无权向大庆市公共资源交易中心申请退还投标保证金。

4、未按规定程序申请退出投标的,我中心将视情况作出相应处理。

5、已经在大庆市公共资源交易管理平台提出退出申请的供应商或擅自不参加本项目竞争的供应商,不得再参与该项目后期的采购活动。

九、谈判保证金

(具体交纳方式见http://ggzyjyzx.daqing.gov.cn/bsznTbr/20199.htm?pa=9543,流程中的第4条)

1、参与本项目竞争的供应商,须按相关规定向大庆市公共资源交易中心账户预交谈判保证金:2,200.00元,谈判保证金必须由参与本项目竞争的供应商以本单位对公账户名义,且以转账方式交纳,不接受企业或个人以现金方式交纳谈判保证金(包括直接将现金存到大庆市公共资源交易中心账户上的行为),不得以其他单位或以个人名义代交。谈判保证金缴纳证明须扫描上传到大庆市公共资源交易管理平台谈判文件中,否则,谈判无效。

2、以担保保函方式提交谈判保证金的,应提交经财政部认定的中国投资担保有限公司或经黑龙江省财政厅认定的黑龙江省鑫正担保集团有限公司或大庆市财政局认定的大庆市工商业担保有限公司、大庆市国盛融资担保有限公司出具的投标保函,或对公账户开户银行出具的投标保函及对公账户开户许可证。投标保函应按谈判文件中规定的“政府采购投标保函”样式出具,不按谈判文件规定的“政府采购投标保函”样式出具的投标保函,大庆市公共资源交易中心不予接受。同时应将投标保函原件带到开标现场,并提供投标保函复印件一份。否则,谈判无效。

对投标担保保函咨询请与中国投资担保有限公司、黑龙江省鑫正担保集团有限公司、大庆市工商业担保有限公司、大庆市国盛融资担保有限公司联系,联系电话:

中国投资担保有限公司:010-88822574  

黑龙江省鑫正担保集团有限公司:0451-87193058/87193059

大庆市工商业担保有限公司:0459-6621159

大庆市国盛融资担保有限公司:0459-6286075

3、大庆市公共资源交易中心账户信息:

户  名:大庆市公共资源交易中心

开户银行:中国建设银行股份有限公司大庆市直支行

账号:23050166930000000031

行号:105265000553

注:填写汇款单时,需要标注项目编号或订单编号。

4、谈判保证金不允许窜项目使用,交纳其他项目的保证金不能用作本项目。

5、使用保证金年卡的供应商须将保证金年卡扫描上传到大庆市公共资源交易管理平台谈判文件中,保证扫描内容清晰可查,否则谈判无效。建议参与政府采购活动频率高的供应商办理保证金年卡,年卡可在谈判(履约)保证金上限内重复使用,超出部分补差即可。保证金年卡可同时用作投标和履约保证金。

6、成交方的谈判保证金可转为履约保证金(多退少补)。

7、谈判保证金的退还:谈判保证金一律采取转账方式无息退还至原汇款账户。未成交供应商请在成交通知书(成交公告)发出后主动在大庆市公共资源交易管理平台提出保证金退款申请,5个工作日内退还。成交供应商如未将投标保证金转为履约保证金的,请在合同签订后在平台提出退款申请,5个工作日内退还。退款申请详细内容:未成交供应商全称、开户行、账号、金额、项目编号、联系人、联系电话。否则,谈判保证金滞留的责任由供应商自行承担

中标供应商必须在合同签订后方可退该项目的投标保证金。

8、办理交纳或退还保证金事宜,如有疑问请与我中心办公室财务人员联系。

电话:0459—4671759,传真:0459-6370158。

9、发生下列情况之一,谈判保证金将不予退还:

⑴谈判开始后在谈判有效期间,供应商撤回其谈判资料。

⑵成交方不按本文件及成交通知书规定签订合同协议。

⑶将成交项目转让给他人,或者在谈判响应文件中未说明,且未经大庆市公共资源交易中心同意,将成交项目分包给他人的。

⑷拒绝履行合同义务的。

十、招标文件售价:免费。

十一、预计投标截止时间及谈判时间:2018年6月29日14时,具体时间以竞争性谈判文件为准。

十二、注意事项:

1、供应商请主动到大庆市公共资源交易中心网(http://ggzyjyzx.daqing.gov.cn/)《交易信息》栏目下载招标文件及后续发布的与本项目相关的各类文件(如:预备会纪要、变更通知、有关问题答复、质疑答复等相关文件)。

关于下载招标文件及相关文件事宜,采购中心不另行通知,均以发布的文件为准。由于供应商未及时下载与本项目相关的各类文件而影响供应商正常参与投标以及产生的其他问题和后果的,责任由供应商自行承担。

2、参标供应商应详细阅读本公告,符合条件即可参与。本项目要求的供应商资格证明文件报名时不需提供,参标供应商将所有资格证明文件提供到开标会上,由评标委员会审查,经评审不符合条件者投标无效。

3、未在大庆市政府采购网或黑龙江政府采购网注册的供应商,无法网上。未在大庆市政府采购网或黑龙江省政府采购网进行供应商注册的企业,请到www.hljcg.gov.cn,点击进入“大庆”登记注册。

4、项目报名截止时未在大庆市政府采购网或黑龙江政府采购网注册的供应商,本项目无法下载文件;在开标前供应商注册信息审核状态未达到“有效”或“入库”或“合格”状态,则投标无效。

未通过黑龙江省政府采购网注册审查的供应商,请联系政府采购网所属地的采购管理办公室。大庆市政府采购管理办公室供应商入网审核咨询电话: 0459-4671886/4671883。具体要求请查阅http://ggzyjyzx.daqing.gov.cn/《办事指南》栏目——供应商参与投标指南流程第1条。

5、本项目开标过程全程音视频监控,如参与本项目投标企业或个人对开标过程有疑义,可以书面形式提出,由政府采购监督部门视情况调阅监控录像进行审查。因此,所有参与本项目投标企业和个人不得对开标过程进行录音、录像、摄影,或者通过发送邮件、博客、微博客等方式传播开标过程,一经发现,投标无效,造成损失和影响的,将追究法律责任(经允许的除外)。

6、单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项下的政府采购活动。

集中采购机构:大庆市政府采购中心

集中采购机构地址:大庆市萨尔图区东风新村纬二路2号(大庆市行政服务中心三楼)

网    址:http://ggzyjyzx.daqing.gov.cn/

集中采购机构联系人:李松霖

集中采购机构联系电话:0459-6372098

采购单位:大庆市房产管理局

采购单位地址:大庆市开发区建设大厦

采购单位联系人:李金财

采购单位联系方式:0459-6293595

邮    编:163311

日期:2018年6月22日

 

                                   项目需求


 

 

 

大庆市房产信息系统安全运维服务的方案

 

 

 

 

 

 

 

 

目      录

 

1、安全加固服务

2、应急处置

3、渗透测试

4、风险评估

5、等级保护测评

 

 

 

 

 

 

 

 

 

1、安全加固服务

序号

要求

具体内容

 

1

 

服务范围

大庆市房产局所有网络设备、安全设备、主机、PC服务器、中间件、数据库等定期进行漏洞扫描并进行安全加固服务

2

服务方式

专业安全人员现场服务

 

 

3

 

 

服务周期

1)全年4次,每季度进行一次全面的漏洞扫描(含系统层和应用层的扫描)和安全加固;

2)遇有重大事件、信息系统发生重大变更后或厂商发布严重安全警告时,根据大庆市房产局要求不定期进行漏洞扫描和安全加固。

 

 

 4

 

 

服务工具

服务方提供一台漏洞扫描工具及一台web应用漏洞扫描硬件设备专门用于web应用系统扫描采用的工具需是成熟的商业漏洞扫描工具进行漏洞扫描,保证对目标系统无大的影响以及扫描结果的准确性和可度。

 

 

 

 

 

 

 

 

 

5

 

 

 

 

 

 

 

 

 

服务要求

1、要求供应商在扫描过程中不能影响业务系统的正常运行,如扫描过程有可能对目标系统造成严重影响,须事先通知大庆市房产局并经过大庆市房产局的书面同意才能实施,否则,将根据影响程度追究供应商的责任。

2、在扫描过程中,对有可能影响业务系统正常运行的行为,供应商必须先制定应急预案,后组织实施。

3、根据安全评估服务的结果对网络设备、安全设备的安全漏洞进行修补,对主机系统、数据库等安全漏洞提出修补建议。

4、应综合运用配置优化、补丁升级等手段实施全面的安全加固,提高其抗攻击性能,避免由于系统本身结构、设置上的缺陷导致安全事故。

5、为避免安全加固对系统可靠性的影响,供应商在实施加固操作前应提交详细的安全加固方案,包括加固方法、流程、详细的安全加固措施列表等,并经大庆市房产局的评审和确认,确保各系统正常运行的前提下再进行正式的加固工作。

6、协助管理员完成补丁测试(包括补丁安装测试、补丁功能性测试、补丁兼容性测试和补丁回退测试)、协助管理员制订补丁加载方案,并验证监督补丁加载情况。

 

 

 

 

 

6

 

 

 

 

服务报告要求

1)每次扫描完成后,必须提交完整的网络安全状况评估报告,采用图表等各种直观的形式说明目前系统存在的安全漏洞数量、类型、严重程度、分布范围等,以及各种漏洞的详细说明和操作性很强的解决方案(包括各种补丁和工具的下载地址,操作步骤等);

2)针对对外服务的信息系统,必须提交应用层安全扫描报告;

3)必须提交本次评估结果和上次评估结果的对比分析和安全状况变化趋势报告。

最终成果文档应包括但不限于:

大庆市房产信息系统加固报告》

大庆市房产信息系统残余风险说明》

 

2、应急处置

 

 

序号

要求

具体内容

 

1

 

服务范围

大庆市房产系统出现计算机病毒事件、拒绝服务攻击事件、漏洞攻击事件、网络扫描窃听事件、信息篡改、假冒、窃取等事件应急处置。

2

服务方式

现场服务或远程方式。

3

服务周期

服务期内无限次

 

 

 

 

 

 

 

 

4

 

 

 

 

 

 

 

 

服务要求

1、一般事件:接到大庆市房产局通知后,现场驻点人员必须立即到场处理事件,并在事件处理结束后提交书面的安全事件调查分析报告:包括事故原因、过程描述、入侵来源、证据报告、解决方案、处理结果、改进建议等

2、较大事件:接到大庆市房产局通知后,现场驻点人员必须立即到场处理事件;从接到大庆市房产局通知起,服务方必须在24小时内提出安全事件解决方案并在事件处理结束后提交书面的安全事件调查分析报告:包括事故原因、过程描述、入侵来源、证据报告、解决方案、处理结果、改进建议等

3、重大事件:接到大庆市房产局通知后,现场驻点人员必须立即到场且服务方安全专家必须在2小时内到场进行事件处理;从接到大庆市房产局通知起,服务方必须在24小时内提出安全事件解决方案并在事件处理结束后24小时内提交书面的安全事件调查分析报告:包括事故原因、过程描述、入侵来源、证据报告、解决方案、处理结果、改进建议等

4、特别重大事件:接到大庆市房产局通知后,现场驻点人员必须立即到场且服务方安全专家必须在1小时内到场进行事件处理;从接到大庆市房产局通知起,服务方必须在12小时内提出安全事件解决方案并在事件处理结束后12小时内提交书面的安全事件调查分析报告:包括事故原因、过程描述、入侵来源、证据报告、解决方案、处理结果、改进建议等

 

5

 

服务报告要求

响应服务完成后需整理详细的事故处理报告,内容至少包括事故原因分析、已造成的影响、处理办法、处理结果、预防和改进建议。

包括但不限于:《安全事件处理报告(建议)》

 

 

 

 

 

  6

 

 

 

 

 

其他要求

1、服务方通过建立应急响应体系,完善应急响应流程,快速对安全事件进行准确定位,及时响应处理,快速恢复系统运行,降低安全事件造成的损失和影响。

2、服务方协助制定和完善重要信息系统的应急响应预案,根据应急预案,按照应急响应流程,组织相关人员每年至少开展一次应急演练,达到提高应急处理速度,

多方协调联动能力,熟悉应急流程的目的。

3、服务方在国家两会期间或其他重大事件特殊时期,成立专门的应急保障团队开展专项应急保障工作,对重点信息系统、设备等进行 24小时监控,有针对性的排查安全漏洞和风险,保障特殊时期信息安全。

3、渗透测试

序号

要求

具体内容

 

1

 

服务范围

大庆市房产内部的服务器、网络设备、安全设备、数据库等重要信息系统进行渗透测试,具体测试目标由大庆市房产局指定

2

服务方式

专业的渗透测试队伍现场提供服务

 

 

3

 

 

服务周期

1)为大庆市房产局提供至少每年次渗透测试服务,服务完成后提交详细的渗透测试报告

2)若临时遇有重大事件或特殊时期,需增加渗透测试服务。

 

 

 4

 

 

服务工具

供应商必须采用业界成熟的商业漏洞扫描工具进行漏洞扫描,保证对目标系统无大的影响以及扫描结果的准确性和可信度,必要时,须结合手工渗透等手段。

 

 

 

5

 

 

 

服务要求

要求供应商在渗透测试过程中不能影响业务系统的正常运行,如渗透测试过程有可能对目标系统造成严重影响,须事先知会大庆市房产局并经过大庆市房产局的书面同意才能实施,否则,将根据影响程度追究供应商的经济责任。

在渗透测试过程中,对有可能影响业务系统正常运行的行为,供应商必须先制定应急预案,后组织实施。

在服务期内,若临时遇有重大事件或特殊时期,供应商有责任和义务临时增加渗透测试服务

 

6

 

服务报告要求

每次渗透测试完成之后,供应商应提供一份渗透测试报告。渗透测试报告必须详细说明渗透测试过程中发现的漏洞信息、证据,以及整体网络安全分析和安全加固建议。

4、风险评估

序号

要求

具体内容

1

服务范围

大庆市房产系统服务器、网络设备、安全设备、数据库等重要应用系统风险评估。

2

服务方式

要求根据信息系统实际情况,给出信息系统当前实际的安全风险隐患,并进行符合检查。检查的过程不能影响各项业务的正常进行,对危险操作给出《风险规避方案》并指明可能产生的后果,在征得批准后方可实施。根据检查结果给出整改建议,并协助进行整改。整改完成后协助完成备案工作。

3

服务周期

1)新系统建设过程中,依据国家信息安全相关规定对整个过程进行评估

  4

服务要求

服务方参照《GB/T20984-2008信息安全风险评估规范》,对被评估信息系统进行逐项核查。通过网络漏洞扫描仪、业务应用系统扫描系统、渗透测试工具和方法进行技术体系核查,通过检测核查列表、问卷访谈方式和方法进行管理体系核查,生成核查结果。对于存在的安全隐患给出具有可行性的整改建议。

 

 

 

5

 

 

 

服务报告要求

检查完成后提交的文档应完整、切合实际。整改措施技术方面应当具体到可操作的命令级别(相关命令应经过测试后认定正确有效)。

最终成果文档应包括但不限于:

大庆市房产信息系统风险评估报告》(主文档)

5、等级保护测评

按照《网络安全法》、《信息系统安全等级保护测评要求》对《房屋交易与产权管理系统》和《房地产市场监管服务平台》三级等级保护测评并核发等级保护证书和技术检测评估报告等级保护工作。

一、技术要求

(一)测评依据

根据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》、《中华人民共和国信息安全等级保护管理办法》等相关政策和技术标准,对我单位信息系统进行等级保护测评。

(二)测评服务要求

1.在确保信息系统正常运行的前提下,根据国家等级保护相关标准对各系统进行等级保护测评。测评工作需由高级测评师根据《等保测评过程指南》进行前期信息系统的调研,并编写针对信息系统等级保护测评的实施方案,测评完成后,根据测评结果编写信息安全等级保护测评报告。

2.信息安全等级保护测评工作完成后,形成信息安全等级保护测评报告,报告中应包含单项测评结果、单元测评结果、层面间分析、区域间分析等内容,并结合我单位网络信息系统的实际情况,指出信息系统中存在的安全薄弱环节,提出安全整改建议。

3.测评人员要具有项目测评经验,可有效保障测评安全,及时有效处理测评中出现的问题。

4.采用的测评工具必须获得正版授权,并在有效期内,不得使用盗版软件。

5.采用的测评工具在功能、性能等满足使用要求前提下,应优先采用具有国内自主知识产权的同类产品。

6. 对我单位拟定测评的系统提供信息系统备案服务、信息系统等级保护测评服务、漏洞扫描服务。应交付的产物如下:

A. 直属地公安局出具的系统备案证明

B. 系统系统安全等级测评报告

C. 信息系统漏洞扫描报告

7.漏洞扫描

A、提供每季度一次、为期一年的WEB应用弱点扫描服务,内容涵盖:

深度扫描:以WEB漏洞风险为导向,通过对WEB应用(包括WEB2.0、JAVAScript、FLASH等)进行深度遍历,以安全风险管理为基础,支持各类WEB应用程序的扫描。

WEB漏洞检测:提供有丰富的策略包,针对各种WEB应用系统以及各种典型的应用漏洞进行检测(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据、第三方软件等)。

网页木马检测:对各种挂马方式的网页木马进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。

配置审计:通过当前弱点获取数据库的相关敏感信息,对后台数据库进行配置审计,如弱口令、弱配置等。

B、提供每季度一次、为期一年的数据库弱点扫描服务,内容涵盖:

权威的弱点规则库:权威数据库安全专家提供最全面、最准确和最新的弱点知识库。

PCI/DSS合规扫描:支持PCI/DSS安全认证标准合规扫描,协助用户PCI/DSS合规性评估,证明用户在数据安全方面的承诺

深度的弱点检测:提供对数据库“弱点、不安全配置、弱口令、补丁”深层次安全检测及准确评估。

完备的类型支持:支持业界主流的数据库类型,包括Oracle、MSsql、DB2、Informix、Mysql、Sybase等。

优异的扫描引擎:扫描引擎确保系统工作时对数据库及服务器性能影响最小化。

灵活的策略管理:策略即数据库检测的依据和标准,策略管理可以灵活制定不同的检测标准,根据用户的实际测试目的,定制不同的策略,并可以自行添加策略项扩充策略库检测数据库的安全漏洞。

用户管理:产品默认用户分为三类:管理员,审计员和操作员。管理员可以对审计员和操作员进行角色权限分配。审计员可以审计程序运行日志。操作员可以根据自己权限情况进行相应的操作,使用相应的功能。也可以由管理员创建新的角色给予相应的权限。

日志管理:记录该产品运行中的所有操作。提供对这些操作信息的检索、查看等功能。也可将日志信息导出保存为CSV格式的文档。

丰富的扫描报告:扫描结果通过灵活的报表呈现给用户,支持各类格式输出,并提供弱点分级、相应加固建议方案以及自定义报表内容。

方便的操作管理:充分考虑国内用户的使用习惯,提供全中文的操作界面,提供向导模式帮助使用者轻松完成扫描项目的配置。

C、提供每季度一次、为期一年的主机安全弱点扫描服务,对主机操作系统的安全配置弱点进行扫描,主要包括如下:

密码安全;用户权限划分配置;Guest是否禁用;登录失败设置;安全审计设置;防火墙开启情况及配置;恶意代码防范情况;程序组件安装情况;服务启用情况;端口开放情况;默认共享开启情况;管理地址限制情况

D. 提供每季度一次、为期一年的网络设备安全弱点扫描服务,对网络设备的安全配置弱点进行扫描,主要包括如下:

密码安全配置;访问控制策略配置;路由配置;Vlan划分配置;用户权限划分配置;SSH及TELNET配置;登录超时配置;SNMP配置;审计日志设置;协议启用情况;管理地址限制情况;CPU、内存、风扇等资源使用情况;链路状态情况;闲置端口开关情况;软件版本情况;时钟同步配置

(三) 测评指标

1. 安全要求从整体上分为技术和管理两大类,其中,管理类和技术类安全要求按其保护的侧重点不同,《信息安全技术 信息安全等级保护基本要求》将所有的控制点分为以下三类:

安全要求:

业务信息安全类 关注的是保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改

系统服务安全类 关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致的系统不可用。

通用安全保护类 既关注保护业务信息的安全性,同时也关注系统的连续可用性

2. 信息系统控制点测评指标

跟据《信息安全技术 信息安全等级保护基本要求》对信息系统的控制点测评指标的要求,控制点测评指标见下表:

三级信息系统控制点测评指标合计 73(类)

3. 信息系统要求项测评指标

信息系统安全保护等级,其需要测评的基本指标:10个安全分类,73个控制点(安全子类),290个要求项,其中技术要测评的36个控制点136个要求项;管理要测评的37个控制点154个要求项。

(四)评测机构能力要求

1.测评机构能够把握和理解国家对该类项目的具体要求,对等级保护政策标准本身有较深的认识。

2.测评机构应具有完善的工作流程,有计划、按步骤地开展测评工作,保证测评活动的每个环节都得到有效的控制。

3.为维护我单位的利益,测评机构在我单位实际测评工作中对我单位的系统、信息、数据有安全保密的义务,进场时必须签订保密协议。

4.测评机构在现场测评工作中必须在不影响我单位各业务系统对外服务的前提下进行。

5.测评机构应具有完善的项目管理经验,包括制定项目汇报的体系、项目问题管理体系等。

(五)其它要求:

1.            服务时间:合同签定后360日内

验收时,中标方必须提供由省级以上信息系统安全等级保护协调小组办公室推荐的测评机构(“中国网络安全等级保护网” http://www.djbh.net中公布的),出具针对本次项目的《房屋交易与产权管理系统》和《房地产市场监管服务平台》安全等级保护测评报告、直属地公安局出具的系统备案证明,作为验收的重要组成部分(评测费用由投标方全部承担),否则,依据法律规定处理。

 

 

1

 

 

相关公告