以下内容,仅对注册会员开放。如需查看详细内容,请先 注册 成为会员
已注册会员请 登录 后查看
您的免费查看条数已经用尽,请升级会员等级。【查看服务列表】
请拨打免费咨询电话: 400-651-3230与客服专员联系升级事宜。
根据《陕****局政府采****则(修订****震综合业****统和政务****系统信息****保护测评****公开采购****项说明如****、项目概****名称:陕****局等级保****安全检测****购单位:****震应急中****预算:******元整 ****内容 依****安全等级****要求》(**** **********)****安全等级****要求》(**** **********)****安全等级****过程指南****/* *****-*******家关于网****级保护*****标准和规****此次项目****信息系统****备案、等****安全检测****息系统名****保护等级**** 序号 **** 系统等**** * 陕****局地震综****统 二级****评服务 ****省地震局****信息系统****等级测评**** 陕西省****震减灾业****/ 安全****、项目服****系统调研****相关人员****,对信息****调研和梳****系统当前****资产现状****测评与安****根据国家****的相关标****制的相关****测评指导****二级信息****相关资产****项的检查****查结果;****级的系统****检测。 ****:根据前****容,分析****安全情况****护基本要****,提供差****服务,并****分析,可****情况出具****的整改建****方案,配****位安全整**** 结论报****前述工作****析当前信****全保护能****合相应等****要求,针****进行再次****供安全等****测评服务****关系统测**** 配合验****项目过程****关的过程****交系统相**** 四、资****营业执照****业单位法****本)、税****副本(非****业单位不****组织机构****本或者统****用代码证****一); ****人委托授****定代表人****位法人参****需提供其**** 具有国****全等级保****调小组办****的《网络****保护测评****证书》;****不接受联****。 备注****质文件现****印件加盖****。 五、**** 测评人****本项目的****需具有*****以上测评****,项目经****负责人必****富的安全****及相关资****并提供人****配备方案****人员稳定****换测评人****采购单位*****. 人****投标方参****不少于*****测评人员*****人,其****含*名高****,*名中****。投标人****项目成立****级保护测****由测评小****一负责,****组长具有****术及管理****验,能容****户沟通,****执行与完****作,并根****况增加测**** *. ****按等级保****求制定测****产生的文****科学、规****、统一。****务交付 ****级保护测****,服务商****要成果文****下: 《****安全等级****计划书》****系统安全****测评方案****业务系统****息系统安****护测评方****务办公系****信息系统****保护测评****综合业务****《信息系****级保护测****(政务办**** 《信息****检测报告****减灾业务****《信息系****级保护整****(含三个****提供一年****安全技术****询服务。****目技术标**** (一)**** 根据国****安全等级****办法》(************)与《信****术 网络****保护基本*****/******-*******等级测评****盖安全物****安全通信****全区域边****计算环境****理中心、****制度、安****构、安全****、安全建****安全运维****面的内容****现场实际****风险分析****终为完善****安全防护****指导依据****工作内容****两个系统****保测评(****标准测评****级出报告****地震综合****系统,该****汇集陕西****网、强震****兆台网、****通过业务****国地震台****各学科台****统相连接****关数据;****务办公系****统所涉及****息主要包******、公****人事管理****理等内容****未定级系****减灾业务****”的备案****及安全检****统主要包****息服务、****决策两大****余个子业****司协助进****料的整理****案工作,****于技术层****检测,提****果报告。****第一阶段****护 信息****保护工作****步,分别****级、备案****改、等级****督检查”****主要完成****全测评工****安全技术****理两个方****要求,分****安全、网****主机安全****全、数据****全管理制****管理机构****全管理、****管理、系****理十个安****行安全测****.定级要****工作开展****据是《信****全等级保****南》(**************)确定****。 *.****息系统的****等级确定****以上(含****息系统的****单位或主****到属地公****理备案手****国家政策****省或者全****网运行的****在各地运****的分支系****地设区的****公安机关****项目系统****省公安厅****监察支队****信息系统****完成备案****统,将获****关颁发的****统安全等****案证明》****等级保护**** 服务商****程中要求****算机信息****保护等级****》(*******-******《信息安****信息系统****保护实施******/******-******《信息安****网络安全****基本要求****/***************息安全技****安全等级****要求》(**************)、****全技术 ****等级保护****指南》(**************)等****准规范开****评工作,****安全物理****全通信网****区域边界****算环境、****中心、安****度、安全****、安全管****安全建设****全运维管****个层面进****级保护测****指标如下****保护技术****级) 安****安全控制****指标 安****境 物理**** *)机****场地应选****防震、防****等能力的**** *)机****避免设在****高层或地****则应加强****潮措施。****问控制 ****口应有专****控制、鉴****进入的人****盗窃和防****)应将设****部件进行****设置明显****去的标记****应将通信****在隐蔽安****防雷击 ****机柜、设****等通过接****全接地。*****)机房****灾自动消****自动检测****动报警,****火; *****相关的工****辅助房应****耐火等级****料; 防**** *)应****防止雨水****窗户、屋****渗透; ****取措施防****水蒸气结****积水的转****。 防静****用防静电****面并采用****地防静电****温湿度控****置温湿度****设施,使****湿度的变****运行所允****之内。 **** *)应****电线路上****器和过电****备; *****短期的备****应,至少****设备在断****的正常运**** 电磁防****线和通信****离铺设,****干扰。 ****网络 网*****) 应****的网络区****照方便管****的原则为****域分配地****) 应避****网络区域****界处,重****域与其他****之间应采****技术隔离****通信传输****校验技术****过程中数****性。 可****可基于可****信设备的****程序、系****重要配置****信应用程****可信验证****测到其可****破坏后进****并将验证****审计记录****管理中心****区域边界****护 应保****界的访问****通过边界****的受控接****信。 访*****)应在****或区域之****问控制策****问控制规****情况下除****外受控接****有通信;****应删除多****的访问控****优化访问****,并保证****规则数量**** *) ****址、目的****端口、目****协议等进****以允许/****包进出;****应能根据****信息对进****提供明确****拒绝访问**** 入侵防****关键网络****视网络攻**** 恶意代****应在关键****处对恶意****检测和清****护恶意代****制的升级**** 安全审**** 应在网****重要网络****行安全审****覆盖到每****对重要的****和重要安****行审计;****审计记录****件的日期****用户、事****事件是否****他与审计****息; *****审计记录****,定期备****受到未预****、修改或**** 可信验****于可信根****备的系统****、系统程****配置参数****护应用程****可信验证****测到其可****破坏后进****并将验证****审计记录****管理中心****计算环境****别 *)****的用户进****识和鉴别****识具有唯****份鉴别信****杂度要求****换; *****登录失败****,应配置****束会话、****登录次数****连接超时****等相关措****)当进行****时,应采****施防止鉴****网络传输****窃听。 **** *) ****的用户分****权限; ****重命名或****账户,修****户的默认*****) 应****或停用多****期的账户****享账户的*****) 应****用户所需****限,实现****的权限分****全审计 ****启用安全****,审计覆****用户,对****户行为和****事件进行*****)审计****括事件的****间、用户****型、事件****及其他与****的信息;****对审计记****护,定期****免受到未****除、修改****。 入侵****)应遵循****的原则,****要的组件****序; *****不需要的****、默认共****端口; ****过设定终****式或网络****对通过网****理的管理****限制; ****供数据有****功能,保****机接口输****通信接口****容符合系****求; *****现可能存****漏洞,并****分测试评****时修补漏****意代码防****装防恶意****或配置具****能的软件****进行升级****恶意代码****信验证 ****信根对计****系统引导****统程序、****参数和应****进行可信****在检测到****受到破坏****警,并将****形成审计****安全管理****数据完整****用校验技****要数据在****中的完整****据和备份****) 应提****据的本地****与恢复功****) 应提****据备份功****通信网络****据定时批****备用场地****信息保护****鉴别信息****储空间被****新分配前****清除。 ****保护 *****采集和保****需的用户****; *)****未授权访****使用用户****。 安全**** 系统管**** 应对系****进行身份****允许其通****命令或操****行系统管****并对这些****审计; ****通过系统****系统的资****进行配置****管理,包****份、系统****、系统加****、系统运****处理、数****的备份与**** 审计管**** 应对审****进行身份****允许其通****命令或操****行安全审****并对这些****审计; ****通过审计****审计记录****析,并根****果进行处****根据安全****对审计记****储、管理****。 安全**** 安全策****定网络安****总体方针****略,阐明****工作的总****范围、原****框架等。****度 *)****管理活动****管理内容****管理制度****应对要求****或操作人****日常管理****操作规程****和发布 ****定或授权****门或人员****管理制度**** *)安****度应通过****效的方式****进行版本****评审和修****期对安全****的合理性****进行论证****对存在不****改进的安****度进行修****全管理机****设置 *****网络安全****的职能部****安全主管****理各个方****人岗位,****负责人的*****)应设****理员、审****和安全管****位,并定****各个工作****责。 人****应配备一****系统管理****管理员和****员等。 ****批 *)****个部门和****责明确授****项、审批****准人等;****针对系统****要操作、****和系统接****执行审批****沟通和合****应加强各****员 、组****构和网络****部门之间****沟通,定****调会议,****处理网络****; *)****网络安全****、各类供****界专家及****的合作与*****)应建****位联系列****外联单位****作内容、****联系方式**** 审核和****定期进行****检查,检****括系统日****系统漏洞****份等情况****管理人员****用 *)****授权专门****人员负责****; *)****用人员的****全背景、****或资质等****。 人员****及时终止****的所有访****取回各种****、钥匙、****及机构提****件设备。****识教育和****对各类人****全意识教****技能培训****相关的安****惩戒措施****人员访问****)应在外****理访问受****先提出书****批准后由****陪同,并****。 *)****人员接入****访问系统****书面申请****由专人开****分配权限****备案; ****人员离场****清除其所****权限。 ****管理 理****备案 *****面的形式****对象的安****级及确定****法和理由****应组织相****有关安全****对定级结****性和正确****证和审定****应保证定****过相关部****; *)****材料报主****相应公安****。 安全**** *)应****保护等级****安全措施****险分析的****和调整安**** *)应****对象的安****级进行安****计; *****相关部门****全专家对****的合理性****进行论证****经过批准****式实施。****购和使用****确保网络****采购和使****家的有关*****)应确****品与服务****使用符合****管理主管****求。 自****发 *)****环境与实****境物理分****数据和测****到控制;****在软件开****对安全性****,在软件****可能存在****码进行检****包软件开****应在软件****测其中可****恶意代码****应保证开****供软件设****使用指南****实施 *****定或授权****门或人员****实施过程**** *)应****工程实施****工程实施****测试验收****制定测试****,并依据****方案实施****,形成测****告; *****上线前的****试,并出****试报告。****付 *)****付清单,****付清单对****设备、软****等进行清****)应对负****护的技术****相应的技**** *)应****过程文档****护文档。****评 *)****行等级测****不符合相****护标准要****整改; ****发生重大****别发生变****等级测评****应确保测****选择符合****规定。 ****商选择 ****保服务供****择符合国****规定; ****选定的服****签订相关****确整个服****各方需履****安全相关****安全运维****境管理 ****定专门的****员负责机****对机房出****理,定期****配电、空****度控制、****施进行维**** *)应****安全管理****,包括物****物品进出****全等; ****在重要区****访人员,****置含有敏****纸档文件****质等。 **** 应编制****保护对象****产清单,****责任部门****度和所处****容。 安****理 介质****)应将介****安全的环****各类介质****和保护,****环境专人****根据存档****录清单定**** *)应****物理传输****人员选择****交付等情****制,并对****档和查询****记记录。****护管理 ****各种设备****份和冗余****线路等指****部门或人****行维护管****)应对配****软硬件维****出规定,****维护人员****维修和服****、维修过****控制等。****风险管理****必要的措****全漏洞和****发现的安****隐患及时****或评估可****后进行修****络和系统**** *)应****的管理员****网络和系****管理,明****色的责任**** *)应****的部门或****账户管理****账户、建****删除账户****制; *****网络和系****理制度,****略、账户****置管理、****、日常操****与打补丁****新周期等****规定; ****定重要设****和操作手****手册对设****全配置和****等; *****记录运维****,包括日****作、运行****、参数的****改等内容****代码防范****)应提高****的防恶意****,对外来****存储设备****前进行恶****查等; ****恶意代码****做出规定****恶意代码****权使用、****库升级、****的定期查****安全运维****意代码防*****)应定****意代码库****况,对截****代码进行****处理。 **** 应记录****本配置信****网络拓扑****个设备安****组件、软****版本和补****各个设备****件的配置**** 密码管****应遵循密****家标准和****; *)****家密码管****门认证核****技术和产****更管理 ****更需求,****据变更需****更方案,****经过评审****方可实施****与恢复管****应识别需****份的重要****、系统数****系统等;****规定备份****份方式、****、存储介****期等; ****据数据的****数据对系****影响,制****备份策略****略、备份****复程序等****事件处置****及时向安****门报告所****全弱点和****; *)****事件报告****理制度,****安全事件****处置和响****规定安全****场处理、****和后期恢****职责等;****在事件报****处理过程****和鉴定事****原因,收****记录处理****结经验教****急预案管****应制定重****应急预案****急处理流****恢复流程**** *)应****统相关的****应急预案****进行应急****练。 外****理 *)****包运维服****择符合国****规定; ****选定的外****务商签订****议,明确****运维的范****内容。 ****保护测评****容 等级****过程中要****严格按照****开展工作****作流程如**** (*)****备阶段:****级测评工****和基础,****级测评过****的保证。****工作是否****关系到后****否顺利开****动的主要****握被测系****情况,准****具,为编****案做好准*****)、方****段:是开****评工作的****,为现场****最基本的****导方案。****主要任务****被测信息****应的测评****评指标及****等,并根****用或开发****书,形成****。 (*****测评阶段****等级测评****心活动。****主要任务****评方案的****,严格按****导书执行****施所有测****以了解系****保护情况****够证据,****存在的安**** (*)****报告编制****给出等级****结果的活****结被测系****全保护能****评价活动****的主要任****现场测评****等级测评****》的有关****过单项测****定、单元****判定、整****风险分析****找出整个****全保护现****等级的保****间的差距****这些差距****系统面临****从而给出****结论,形****系统安全****报告》文****二阶段:**** 渗透测****模拟恶意****击方法,****算机信息****安全的一****法。这个****对系统的****、技术缺****的主动分****该分析是****击者可能****置来进行****从这个位****主动利用****。 渗透****过模拟恶****攻击方法****计算机信****否安全的****方法。这****括对系统****点、技术****洞的主动****常该分析****攻击者可****位置来进****且从这个****件主动利****洞。 第****代码审计************** 工****统进行代****内容包括****: *、****流程中是****被绕过的*****、审核****中是否有****漏洞类型****审核应用****需要开放****或用户而****的隐蔽漏****、审核应****三方组件****漏洞隐患****结合黑盒****方法,对****审计结果*****、发现****,确定后****解决方案****对应用代****合安全规****进行规范****对今后应****写的安全****指导意见****阶段:漏****分析 针****行漏洞扫****漏洞包括***** ******等主流安****包括:*****、*******、伪造跨****(*******藏字段、****、*******弱配置、****泄漏、*******攻击****、*******、*******框架注入****入、操作****注入、*****源代码泄*******跨************、敏感文****各类****** 第五阶****检测 安****用专业工****漏洞扫描****必须为商****)、人工****透测试三****的方式,****统进行评****:帐户与****、网络服****内核参数****件系统安****安全等;****统相关硬****和数据等****他评估内****包括网络****火墙、*****、文件服******服务****问题、跨****击、其他****他问题等****阶段:建****询及安全****涉及硬件****整改咨询****级测评和****发现的安****工作重点****信息系统****整改建议****息系统的****整改需求****操作的安****管理上,****实现的技****制度及其****。 之后****地震局依****信息系统****整改建议****设整改工****务方将提****改过程中****整改相关****务。 对****安全整改****确认,并****,协助我****洞修复,****等非硬件****全加固,****行的安全****和计划,****我方分步****整改工作****阶段:安****务 *、****全意识培****络安全知****传培训。****:网络安****普及、典****全事件知****解、安全****建立以及****安全技术****等。 *****术能力培****主机安全****全、网络****据库安全****查方法进****确保项目****后技术人****立完成检****工作内容****告的输出****阶段:售****为期一年****务工作中****将向陕西****提供包括****、安全监****检查、电****安全咨询****内的安全****。具体服****下: *****应服务 ****项目,服************急响应及****专家服务****用户故障******分钟****对客户信****用系统突****安全事件****、处理、****证、跟踪****析的方法**** *、配****务 服务****助陕西省****应公安机****内部以及****构针对信****全等级保****检查工作****容包括协****地震局准****各类资料****合检查过****疑及技术****他现场检****。 *、****服务 每****每天******断的电话****,解答陕****局在使用****到的问题****出解决问****和操作方****响应时间******分钟****场时间不****时,解决****过**小****、安全咨****服务方为****震局免费****技术咨询****括信息系****设咨询服****他相关安****务,一旦****的服务请****服务工程****开始提供****助客户解****全相关技****全面配合****震局做好****全保障工****、采购响****采购响应*******年****日至******月**日****应文件递****西安市边****巷*#防****技大楼*****系人:常****:***************采购接受****应商可将****复印件加****同采购响****并邮寄。****款方式 ****后*个工****合同额的****合同验收****作日,支****余金额。****购响应文****采购响应****格按照采****出实质性****含以下内****、对测评****状调研)****制、现场****告编制等****详细描述****对安全检****内容进行****; *、****内容及方****、明确合****周期和进**** *、提****评项目实****的风险防****并明确保****赔偿承诺****服务承诺****施; *****为需要补****化建议。****以上资质****提供复印****章查验。****评标 本****使用综合****评标委员****客观、公****、择优的****据评标办****最低报价****的依据,****价不能超****价。。 ****务及技术****法表 评****评分标准****汇总 报**** 综合评****价格分采****优先法计****足采购文****投标价格****均值作为****价,其价****分**分****报价每偏*****%扣*****公式如下****分=******标报价-****】/(基****%)。 ***** 技术****案及措施****应商结合****实际需求****整的项目****和实施方****级测评各****段的工作****作方法及****具有详细****计**-****计*-******-*分**** ** ****试的人员****透测试说****测试工作****作成果具****明。人员****,工作方****理、完善*****-*分****-*分,*****分。 ****项目组成****配及项目****具有科学****;按照方****度。成员****科学,进****学紧凑。****,良计*****差计*-***** 具有****责任与承****严格的项****理方案、****及监控手****严格的风****案。优计****计*-******-*分****团队技术****对本项目****的测评团****包含*名****师,*名****师,满足****分。 项****名高级测****上,每增****级测评师****本项最多****。 本项*****分。以****社保缴纳****。 ******针对本项****成员具有****书及网络****检测专业****证书(*****-*)每****得*分,****。需提供****原件,不****分 * ****目,项目****备信息安****评师高级****级工业互****评估师证****经理-*****、信息安****员-******书和国家****系统保护*******_****)证书,*****证书得****时具备*****分,其他****分。以近****保缴纳证**** * 针****,项目团****备网络、****评及攻防****有成员都****等级保护****书。 项****具备工业****部电子工****研究院颁******证书****; 项目****备陕西省****和社会保****资格颁发****程师证书****; 项目****备*******,得*分****组成员具****息安全漏*******原****交证明得****本项共计****近三个月****证明为准****商务及荣****实力 团****优秀的渗****力,参加****(*********)中****家认可委****的全国测*******比****网络安全****测评能力****防大赛)****等奖得*****得二等奖****获得三等****。并出具****文件。 ***** 服务****量管理体****书*******得*分;****具备信息****体系认证************分; *****服务商具****同行业项****,每个案****,最高累****分。业绩****需提供合****单位公章****况不得分**** 十二、****西省地震****标结果确****位,并向****发《成交****,对未成****做未中标****,成交单****到成交通****个工作日****同签订工****西省地震******年*****
京公网安备 11010602030059号 | 京ICP备14019917号-4 | 京B2-20160183
