<> 一、投标人须知 [if !supportLists]1、[endif]请投标方认真阅读“网上竞价人须知”和“网上竞价使用手册”:(略) 2、请投标方将响应文件及相关证明材料(含附件)盖印签字后扫描上传。将所有扫描的图片粘贴至同一份WORD或PDF文档中,请勿逐个图片上传。 [if !supportLists]3、报价说明:(略) 4、福建医科大学教育科技发展有限公司相关问题请咨询(略)-(略)。 二、技术参数: 本项目服务期内为采购方校园网提供重要信息系统网络安全等级保护咨询及测评服务等。(一)服务内容及服务要求<> 1.等保咨询及测评服务范围<>根据等级保护2.0要求,如《GB/T (略)-(略) 信息安全技术 网络安全等级保护基本要求》等标准规范要求,提交《信息系统等级保护测评申请书》,对采购方3个(复评)等级保护三级业务系统、(略)个等级保护二级业务系统及周围网络基础设施(简称采购方测评对象)进行网络安全等级保护测评辅导及测评,并为被测系统提供规定的专业测评机构出具的网络安全等级保护测评报告及公安机关的备案证书(新测评对象)。网络安全等级保护测评报告及公安机关的备案证书将作为验收的重要依据。<> 2.服务概述<>序号<> | 服务大类<> | 服务类别<> | 服务内容<> | 服务频率<> | 交付成果<> | 1<> | 等保咨询服务<> | 等保资产分析服务<> | 对信息系统进行调研和梳理,编制信息系统详细描述文档。<> | 1次/年<> | 《信息系统等级保护基本情况调研表》<> | 等保风险分析服务<> | 分析信息系统的安全风险以及基线差距。<> | 《等级保护差距评估报告》<> | 等保差距评估服务<> | 依照等级保护要求从管理和技术两个层面找出存在的问题并进行差距分析。<> | 等保定级咨询服务<> | 协助用户单位完成撰写信息系统定级报告。<> | 《专家评审意见》<> | 等保安全加固服务<> | 根据等保安全加固整改方案实施边界防护安全策略优化、数据库安全加固建议以及应用安全加固辅导。<> | 《等保测评整改加固报告》<> | 等保制度建设服务<> | 辅助用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度,达到等级保护测评要求。<> | 《安全管理制度汇编》<> | 等保测评现场辅助服务<> | 协助测评机构完成测评数据采集等工作,直至备案系统通过等级测评。<> | | 协助备案服务<> | 提供等保备案咨询服务并协助填写《信息系统等级保护备案表》《信息系统安全等级保护定级报告》等材料<> | 《信息系统等级保护备案表》、《信息系统安全等级保护定级报告》、《信息系统安全等级保护备案证明》<> | 2<> | 等保测评服务<> | 等保测评服务<> | 聘请测评机构提供等保测评服务(包含系统等保测评费用),并为被测系统提供测评机构出具的信息系统网络安全等级保护测评报告。<> | 1次/年<> | 《XX信息系统安全等级保护测评报告》<> | 3<> | 漏洞扫描服务<> | 漏洞扫描服务<> | 对信息系统、网络设备、主机、数据库进行漏洞扫描,并对扫描结果进行进一步分析,判断漏洞可利用情况,确定漏洞威胁等级,提出整改意见并形成漏洞扫描报告。<> | 6次/年<> | 《漏洞扫描报告》<> | 4<> | 终端安全监测服务<> | 终端安全监测服务<> | 提供≥5个服务器版端点安全软件授权,实时监测服务器端病毒感染情况,发现并遏制勒索病毒等恶意程序在内网传播;实时监测主机安全环境的变化,为主机提供统一的资产可视化和和脆弱面管理能力,通过异常行为检测和响应机制保护主机免受攻击。<> | 全年<> | |
3.等保资产分析服务<>根据等级保护范围内的资产组成,对服务范围内各个测评对象整理的网络结构拓扑以及相关联的资产,基于等级保护综合管理系统开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理,编制《信息系统等级保护基本情况调研表》,并通过系统实现资产管理,包含网络拓扑、机房管理、设备管理、应用管理、数据管理等。<> 4.等保风险分析服务<>根据等级保护基本要求,开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心的现状分析,通过安全访谈、脆弱性评估、登录检查、日志分析、等级保护综合管理系统等技术手段对现有的安全资产进行全方位的风险评估,结合信息资产属性、威胁、脆弱性等基本要素,分析信息系统安全风险评估分析,编制《等级保护安全评估与整改建议报告》与《等级保护安全加固建议报告》。<> 5.等保差距评估服务<>在安全评估和信息系统定级的基础上,根据《GB/T(略)-(略)信息安全技术网络安全等级保护基本要求》将测评对象对应等级的等级保护的各项基本要求与信息安全现状进行比较分析,并通过等级保护综合管理系统提供展示本单位的指标自评的总体情况、(略)大层面指标符合情况、自评得分变化趋势。差距评估从管理和技术两个层面找出存在的问题并进行差距分析,包含以下内容:<> [if !supportLists](1)[endif]技术层面的差距评估内容<> [if !supportLists]1)[endif]安全物理环境:(略)<> (略)安全通信网络:(略)<> [if !supportLists]2)[endif]安全区域边界:(略)<> [if !supportLists]3)[endif]安全计算环境:(略)<> [if !supportLists]4)[endif]安全管理中心:(略)<> [if !supportLists](2)[endif]管理层面的差距评估内容<> [if !supportLists]1)[endif]安全管理制度:(略)<> [if !supportLists]2)[endif]安全管理机构:(略)<> [if !supportLists]3)[endif]安全管理人员:(略)<> [if !supportLists]4)[endif]安全建设管理:(略)<> [if !supportLists]5)[endif]安全运维管理:(略)<> 6.等保定级咨询服务<> 参照国家和地方对等级保护定级的有关要求,对信息系统开展摸底调查工作,掌握信息系统的基本情况,了解信息系统(包括信息网络)的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息,协助用户单位完成撰写信息系统定级报告,明确信息系统的边界和安全保护等级。提交《信息系统定级报告》。<> 7.等保安全加固服务<>派遣专业工程师到现场根据等保安全加固整改方案实施边界防护安全策略优化、数据库安全加固以及应用安全加固辅导。安全加固实施前,应提交安全加固风险分析及风险规避说明书。<> 8.等保制度建设服务<>定制建设适用于采购方实际情况的安全管理制度,主要包括但不限于信息安全工作职责,信息安全监督、检查机制;辅助用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度,达到等级保护测评要求。<> 9.等保测评现场辅助服务<>在服务期内,协助测评机构完成测评数据采集等工作,直至备案系统通过等级测评。如测评中发现采购方缺少相应设备或设备性能不足,需要临时租借设备以保证采购方通过测评。提交测评相关材料。<> (略).协助备案服务<>根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门,应到公安部网站下载《信息系统安全等级保护备案表》,乙方需要协助采购方填写《信息系统安全等级保护备案表》《信息系统安全等级保护定级报告》等,同时协助到公安机关完成备案工作并获取公安机关备案证书。<> (略).等保台账管理服务<>通过服务工具提供等保台账管理服务,服务过程中提供各个定级对象等保咨询服务涉及到的各个环节产生的资料归档,支持对单个定级对象的定级、备案、自评、测评、管理制度五大维度的单独归档文件管理。<> (略).等保测评服务<>根据网络安全法及国家等级保护相关标准,对等保咨询与测评服务范围内的系统进行等级测评工作,出具符合公安部门要求的测评报告。<> (1)测评原则<> 本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则:<> [if !supportLists]1)[endif]保密原则:(略)<> [if !supportLists]2)[endif]标准性原则:(略)<> [if !supportLists]3)[endif]规范性原则:(略)<> [if !supportLists]4)[endif]可控性原则:(略)<> [if !supportLists]5)[endif]整体性原则:(略)<> [if !supportLists]6)[endif]最小影响原则:(略)<> 测评机构应严格依照上述原则和国家等级保护相关标准开展项目实施工作。<> (2)等级测试的整体要求<> [if !supportLists]1)[endif]在项目现场实施周期内,供应商为本项目成立等级保护测评小组,同时安排负责本项目的项目经理和核心技术人员驻场服务。等级保护测评小组人员需由具有等保测评资质的测评机构(须在公安部网络安全保卫局--中国网络安全等级保护网--全国网络安全等级保护测评机构推荐目录内)派出,且具备《信息安全等级保护师认证》,在项目实施途中,驻场人员未经业主单位同意不得随意更换,项目小组成员不少于3人。<> [if !supportLists]2)[endif]等级保护测评实施过程中所使用到的各种工具软件均由供应商推荐,经业主单位确认后由供应商提供并在测评中使用。<> [if !supportLists]3)[endif]安全测评工具软件运行需要的所有硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等均由供应商推荐,经业主单位确认后由供应商提供并在测评中使用。<> [if !supportLists]4)[endif]安全测评需要的运行环境(如场地、网络环境等)由业主单位提供,供应商应根据项目需要向业主单位说明需要的运行环境的具体要求。<> (3)安全等级保护测评报告要求<> 上述系统需根据业主单位要求在规定时间内完成等级测评,并由测评机构(须在公安部网络安全保卫局--中国网络安全等级保护网--全国网络安全等级测评与检测评估机构目录内)出具等级保护测评报告。<> (略).漏洞扫描服务<>对信息系统、网络设备、主机、数据库进行漏洞扫描,并对扫描结果进行进一步分析,判断漏洞可利用情况,确定漏洞威胁等级,提出整改意见并形成《漏洞扫描报告》。协助老师完成漏洞登记、通报下发、协助漏洞整改、整改复查等工作,实现漏洞闭环管理。<> (略).终端安全监测服务<>提供≥5个服务器版端点安全软件授权,实时监测服务器端病毒感染情况,发现并遏制勒索病毒等恶意程序在内网传播;实时监测主机安全环境的变化,为主机提供统一的资产可视化和和脆弱面管理能力,通过异常行为检测和响应机制保护主机免受攻击。<> (二)服务技术要求<> [if !supportLists]1.[endif]投标人所采用的等保风险分析服务工具需支持平台级联设置,可支持向上级平台上报资产信息、安全事件、脆弱性风险等数据。投标人须提供CMA(中国国家认证认可监督管理委员会)或CNAS(中国合格评定国家认可委员会)认证的第三方检测机构出具的关于“平台级联”功能项的产品检测报告的关键页复印件。<> [if !supportLists]2.[endif]投标人所采用的等保风险分析服务工具需支持EBA实体行为分析功能,通过行为分析和行为画像构建,识别服务器异常,包括DGA解析请求、外联C&C服务器、异常协议利用、下载可疑文件、异常横向访问等。投标人须提供截图证明。<> [if !supportLists]3.[endif]投标人所采用的等保安全加固服务工具需支持CC攻击防护功能。投标人须提供具备CMA(中国国家认证认可监督管理委员会)或CNAS(中国合格评定国家认可委员会)认证的第三方检测机构出具的关于“CC攻击防护”功能项的产品检测报告的关键页复印件。<> [if !supportLists]4.[endif]投标人所采用的等保安全加固服务工具需支持勒索病毒检测与防御功能。投标人须提供具备CMA(中国国家认证认可监督管理委员会)或CNAS(中国合格评定国家认可委员会)认证的第三方检测机构关于“勒索软件通信防护”功能项的产品检测报告的关键页复印件。<> [if !supportLists]5.[endif]投标人所采用的漏洞扫描服务工具需支持全面扫描、资产发现、系统漏洞扫描、弱口令扫描、WEB漏洞扫描、基线配置核查六种任务类型,其中全面扫描支持系统漏洞扫描、WEB漏洞扫描、弱口令扫描同时执行。投标人须提供截图证明。<> [if !supportLists]6.[endif]为方便管理员统一进行管理,投标人所采用的终端安全监测服务工具需要能够与学校现有终端安全管理系统对接,实现统一纳管。投标人须提供以上内容的承诺函(格式自拟)并加盖投标人公章。<> [if !supportLists]7.[endif]投标人所采用的终端安全监测服务工具需支持按不同时间维度展示病毒查杀事件相关信息,如不同时间维度展示病毒查杀事件爆发趋势和病毒TOP5,并展示对应事件数量和对应终端数量。投标人须提供CMA(中国国家认证认可监督管理委员会)或CNAS(中国合格评定国家认可委员会)认证的第三方检测机构关于“按不同时间维度展示病毒查杀事件相关信息”功能项的产品检测报告的关键页复印件。<> [if !supportLists]8.[endif]投标人所采用的终端安全监测服务工具需支持展示全球热点风险事件在网内终端的爆发情况。投标人须提供CMA(中国国家认证认可监督管理委员会)或CNAS(中国合格评定国家认可委员会)认证的第三方检测机构关于“展示全球热点风险事件在网内终端的爆发情况”功能项的产品检测报告的关键页复印件。<> |