一、项目概况
1、项目名称:常州市农业大数据(二期)建设工程信息安全评估服务
2、信息安全评估服务招标控制价:5万元
3、项目工期:130日历天
二、投标供应商资格要求
1、投标人须具有工商行政管理部门核发的有效企业法人营业执照;
2、投标人须具有中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质证书;
3、本项目不接受联合体投标,投标人必须具有独立完成信息安全风险评估工作的能力。
三、安全评估内容
本次安全评估内容遵循国家信息安全相关标准及技术规范要求,从物理环境、网络平台、主机层、应用系统等方面,对常州市农业大数据(二期)建设工程进行信息安全风险评估,出具安全风险评估报告,明确系统存在的安全隐患、提出整改建议,并在完成安全整改后进行系统复查,出具整改确认报告。
本次信息安全风险评估工作将采用科学的评估手段,对常州市农业大数据(二期)建设工程的建设成果从主机、网络、应用方面进行全面的评估,量化信息安全风险,发现信息安全隐患,为下一步的信息安全决策工作提供基础。
具体内容分类为:物理安全、网络安全、主机安全、应用安全、数据安全。
1、物理安全
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。
2、网络安全
网络安全主要关注的方面包括:网络结构、网络边界以及网络设备自身安全等,具体的评估点包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。
3、主机安全
主机系统安全涉及的评估点包括:身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制。
4、应用安全
应用系统安全的评估点包括:身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制、代码安全。
5、数据安全
明确需要保护的数据,评估点包括:数据的保密性、完整性、备份和恢复措施的有效性。
四、安全评估过程
1、资产边界分析
(1)分析待评估资产范围;
(2)划分内部资产子系统;
(3)对各子系统进行边界确认;
(4)确定最终资产子系统边界;
2、资产识别
(1)根据资产表格进行资产审计;
(2)分组对本地、非本地区域资产进行有效录入登记;
(3)每类资产明细需要审计资产详细配置与当前状态;
3、威胁识别
(1)从物理准入控制、机房温湿度控制、机房防尘、机房电源、接地、机房屏蔽、以及防雷、防火、防盗等多个方面进行物理威胁识别;
(2)从网络拓扑、地址分配、VLAN划分、路由协议、准入控制、访问控制等多个方面进行网络威胁识别;
(3)从系统来源、系统补丁、账号安全、密码安全、审计安全、服务安全、恶意代码防护等多方面进行系统威胁识别;
(4)从应用服务平台、数据库安全、中间件安全、代码安全、数据安全、账号安全、密码安全、审计安全等多个方面进行应用威胁识别;
(5)从组织架构、人员安全、管理规定、合规性、应用连续性要求等多个方面进行管理威胁识别。
4、脆弱性识别
(1)从物理准入控制、机房温湿度控制、机房防 尘、机房电源、接地、机房屏蔽、以及防雷、防火、防盗等多个方面进行物理脆弱性识别;
(2)从系统来源、系统补丁、账号安全、密码安全、审计安全、服务安全、恶意代码防护、日常运维等多方面进行系统脆弱性识别;
(3)从网络拓扑、地址分配、VLAN划分、路由协议、准入控制、访问控制、日常运维等多个方面进行网络脆弱性识别;
(4)从应用服务平台、数据库安全、中间件安全、代码安全、账号安全、密码安全、审计安全、日常运维等多个方面进行应用脆弱性;
(5)从数据备份及恢复、应急响应、灾备与冗余等多方面进行数据脆弱性识别;
5、已有安全措施登记
(1)识别已有操作系统安全策略;
(2)识别已有应用系统安全策略;
(3)识别已有网络系统安全策略;
(4)识别已有安防系统安全策略;
(5)识别已有机房系统安全策略;
6、风险分析
(1)根据收集的用户数据进行分析,评估要素关系映射;
(2)根据评估要素关系进行风险值计算
(3)形成风险评估报告;
(4)针对风险评估报告的解决方案;
7、应用系统渗透性测试
在甲方的授权下,对“常州市农业大数据(二期)建设工程”进行渗透测试,并提供相关渗透测试报告。
8、系统加固服务
依据评估结果,和甲方共同制定系统加固实施方案,依据方案协助实施加固。
提交包括(不限于)以下成果文档
《“常州市农业大数据(二期)建设工程”信息安全风险评估报告》
《“常州市农业大数据(二期)建设工程”弱点评估报告》
《“常州市农业大数据(二期)建设工程”复测报告》
项目实施原则
1、客观性和公正性原则
测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。
2、可重复性和可再现性原则
依照同样的要求,使用同样的测评方式,对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于,前者与不同测评者测评结果的一致性有关,后者与同一测评者测评结果的一致性有关。
3、连续性原则
确保在高速变化的信息安全环境中,在有效的服务期间内,保证招标方风险评估结论的准确性和及时性,对于招标方单位新增设的信息资产和服务,或新建立的信息化项目,进行局部系统的重新评估。从经济上,降低了招标方单位的成本,从信息安全性上,保证信息安全评估的动态稳定性。
4、扩展性原则
在风险评估过程结束后,倡导信息安全评估过程要保持扩展性,从扩展的属性上进一步加强评估结束后被评估用户单位的安全管理有效性和可用性。
5、保密原则
在风险评估过程中,需严格遵循保密原则,招标方与投标方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害用户利益。
6、互动原则
在整个风险评估过程中,强调用户的互动参与,每个阶段都能够及时根据用户的要求和实际情况对评估的内容、方式做出相关调整,进而更好的进行风险评估工作。
7、最小影响原则
风险评估工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明。
8、规范性原则
信息安全风险评估服务的实施必须由专业的评估服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
9、质量保障原则
在整个风险评估过程中,将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。
五、定标原则
1、采购申请部门组成询价评审小组对有效的报价文件进行评审,并填写询价采购结论。
2、定标原则:最低评标价法,即在符合询价文件要求的基础上,询价小组选择符合采购需求、质量和服务相等且报价最低的供应商作为本次询价采购的成交供应商。
六、付款方式
合同签订15个工作日内支付合同额50%的信息安全评估费,项目通过大数据中心最终验收合格后15个工作日内支付合同额50%的信息安全评估费。
七、投标递交材料
1、营业执照副本复印件(提供复印件,加盖单位公章)。
2、中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质证书 (提供复印件,加盖单位公章)。
3、报价单(格式自拟)。
以上材料密封、盖章,并加盖骑缝章;以上资料不全做废标处理。
八、报价文件提交及开标信息
报价文件提交截止时间:2021年3月22日10点
报价文件提交地点:常州大学文彬楼501
联系人:薛老师
联系电话:0519-88519909
