一、采购项目名称
1.项目名称: 宁德科技成果转化协同服务平台级保护咨询与测评服务
2.项目单位: ###市生产力促进中心
3.资金来源: 中央引导地方发展专项资金项目
4.项目预算: ********万元(含二级等保安全加固套餐)
5.项目建设内容:
平台前期已部署于云服务器上,基于已搭建的云平台完成安全加固工作,要求在原有系统正常运行的情况下进行安全加固,不可因安全加固导致业务中断,并提供完整的等保测评服务。
二、项目建设具体内容
本项目主要工作内容应当包括如下内容:
1.安全服务范围
部署在云平台上的系统:宁德科技成果转化协同服务平台。
2.服务期限
服务期限为正式交付使用后起2年。
3.服务内容
序号
服务项目
服 务 内 容
交付成果
S1
等级保护咨询服务
等保资产分析服务 等保差距评估服务 等保风险分析服务 等保安全加固服务 等保制度建设服务 等保定级咨询服务 等保备案辅助服务 等保测评辅助服务
按等保********重新评估
S2
等级保护测评服务
技术层面测评服务 管理层面测评服务
《二级等级保护测评报告》(测评机构提供)
4.服务要求
(1)等级保护咨询服务
①等保资产分析服务
根据等级保护范围内的资产组成,派遣专业工程师到现场整理****网络结构拓扑以及相关联的资产,编制信息系统资产清单及资产报告;对服务范围内信息系统开展安全物理环境****网络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理,编制信息系统基本情况调查表。
②等保风险分析服务
根据等级保护基本要求,开展安全物理环境****网络、安全区域边界、安全计算环境、安全管理中心以及安全管理的现状分析,通过安全访谈、脆弱性评估、登录检查、日志分析以及渗透测试等技术手段对现有的安全资产进行全方位的风险评估,结合信息资产属性、威胁、脆弱性等基本要素,对信息系统进行安全风险评估分析。
③等保差距评估服务
在安全评估和信息系统定级的基础上,根据《GB/T ******** 信息安全技术 网络安全等级保护基本要求》将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析,从管理和技术两个层面找出存在的问题并进行差距分析。
④等保安全加固服务
服务提供商应需基于项目前期已在云服务器上搭建的云平台完成安全加固工作,要求在原有系统正常运行的情况下进行安全加固,不可因安全加固导致业务中断。安全加固服务需包含(不限于)以下安全服务产品:
安全类别
对应产品
说 明
安全区域边界
Web应用防火墙
通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站****网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
抗DDoS防护
通过内置的识别和检测分析技术检测DDoS攻击,通过流量清洗设备对DDoS 攻击流量进行过滤。
安全计算环境
企业主机安全
通过主机管理、风险预防、入侵检测、高级防御、****网页防篡改功能,全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,降低当前服务器面临的主要安全风险。
云堡垒机
提供云计算安全管控的系统和组件,包含部门、用户、资源、策略、运维、审计等功能模块,集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口,基于协议正向代理技术和远程访问隔离技术,实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。
安全管理中心
态势感知
****网络攻击行为、安全威胁事件、日****网络安全问题的发现和告警,打造安全可监控、攻击可防护的安全能力
云监控
云监控是一项针对云资源进行监控和告警的服务。云监控直观展示云主机、云硬盘、云存储等云资源的使用情况、性能和运行状况,以及针对指标设置告警。
日志审计系统
日审系统能够通过主被动结合的手段,实时不间断****网络中各种不同厂商的****网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的报表。
日志
服务器
数据灾备服务
云备份
云备份CBR是一种高效、安全、低成本的数据备份服务。可将用户本地数据中心、私有云数据中心数据直接备份上云,同时也可满足云数据中心数据备份需求。
⑤等保制度建设辅导服务
协助客户对安全管理制度建设,按照等级保护管理部分的标准,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理5个方面帮助客户补充及完善等级保护要求的管理体系建设中涉及到的制度文档,以及相关记录的完善。包括但不限于信息安全工作职责,信息安全监督、检查机制;辅助客户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度,达到等级保护测评要求。
⑥等保定级咨询服务
在信息系统自行定级的基础上,参照国家和地方对等级保护定级的有关要求,对信息系统开展摸底调查工作,掌握信息系统的基本情况,了解信息系统****网络)的业务类型、应用或服务范围、系统结构、部署方式、安全策略、内控制度等信息,协助客户完成撰写信息系统定级报告,明确信息系统的边界和安全保护等级。
⑦等保备案辅助服务
根据《信息安全等级保护管理办法》,信息系统运营使用单位或主管部门需到当地公安机关备案,我司提供备案咨询服务****网络安全等级保护备案表等准备材料。
⑧等保测评类辅助服务
在测评阶段协助单位准备测评材料,指导单位配合测评机构开展等级测评工作,组织测评整改,并保障顺利通过等保测评获得测评报告。
(2)等级保护测评服务
****网络安全等级保护测评申请书,对服务范围内的信息系统进行安全等级测评,并为被测系统提供测评机构出具的信息系统安全等级测评报告。服务概述如下表:
序号
服务细项
服务内容
交付
成果
服务
频次
备注
1
技术层面测评服务
从技术层面进行安全测评
测评
报告
单次
2
管理层面测评服务
从管理层面进行安全测评
测评
报告
单次
①技术层面测评服务
技术层面测评将根据要求逐项进行测评:
安全物理环境:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
****网****网络架构、通信传输、可信验证。
安全区域边界:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。
安全计算环境:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
安全管理中心:系统管理、审计管理、安全管理、集中管控。
②管理层面测评服务
管理层面测评将根据要求逐项进行测评:
安全管理制度:安全策略、管理制度、制定与发布、评审与修订。
安全管理机构:岗位设置、人员配备、授权和审批、沟通与合作、审核和检查。
安全管理人员:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
安全建设管理:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商管理。
安全运维管理: 环境管理、资产管理、介质管理、设备维护管理、漏洞和****网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
1.项目名称: 宁德科技成果转化协同服务平台级保护咨询与测评服务
2.项目单位: ###市生产力促进中心
3.资金来源: 中央引导地方发展专项资金项目
4.项目预算: ********万元(含二级等保安全加固套餐)
5.项目建设内容:
平台前期已部署于云服务器上,基于已搭建的云平台完成安全加固工作,要求在原有系统正常运行的情况下进行安全加固,不可因安全加固导致业务中断,并提供完整的等保测评服务。
二、项目建设具体内容
本项目主要工作内容应当包括如下内容:
1.安全服务范围
部署在云平台上的系统:宁德科技成果转化协同服务平台。
2.服务期限
服务期限为正式交付使用后起2年。
3.服务内容
序号
服务项目
服 务 内 容
交付成果
S1
等级保护咨询服务
等保资产分析服务 等保差距评估服务 等保风险分析服务 等保安全加固服务 等保制度建设服务 等保定级咨询服务 等保备案辅助服务 等保测评辅助服务
按等保********重新评估
S2
等级保护测评服务
技术层面测评服务 管理层面测评服务
《二级等级保护测评报告》(测评机构提供)
4.服务要求
(1)等级保护咨询服务
①等保资产分析服务
根据等级保护范围内的资产组成,派遣专业工程师到现场整理****网络结构拓扑以及相关联的资产,编制信息系统资产清单及资产报告;对服务范围内信息系统开展安全物理环境****网络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理,编制信息系统基本情况调查表。
②等保风险分析服务
根据等级保护基本要求,开展安全物理环境****网络、安全区域边界、安全计算环境、安全管理中心以及安全管理的现状分析,通过安全访谈、脆弱性评估、登录检查、日志分析以及渗透测试等技术手段对现有的安全资产进行全方位的风险评估,结合信息资产属性、威胁、脆弱性等基本要素,对信息系统进行安全风险评估分析。
③等保差距评估服务
在安全评估和信息系统定级的基础上,根据《GB/T ******** 信息安全技术 网络安全等级保护基本要求》将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析,从管理和技术两个层面找出存在的问题并进行差距分析。
④等保安全加固服务
服务提供商应需基于项目前期已在云服务器上搭建的云平台完成安全加固工作,要求在原有系统正常运行的情况下进行安全加固,不可因安全加固导致业务中断。安全加固服务需包含(不限于)以下安全服务产品:
安全类别
对应产品
说 明
安全区域边界
Web应用防火墙
通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站****网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
抗DDoS防护
通过内置的识别和检测分析技术检测DDoS攻击,通过流量清洗设备对DDoS 攻击流量进行过滤。
安全计算环境
企业主机安全
通过主机管理、风险预防、入侵检测、高级防御、****网页防篡改功能,全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为,帮助企业构建服务器安全体系,降低当前服务器面临的主要安全风险。
云堡垒机
提供云计算安全管控的系统和组件,包含部门、用户、资源、策略、运维、审计等功能模块,集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口,基于协议正向代理技术和远程访问隔离技术,实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。
安全管理中心
态势感知
****网络攻击行为、安全威胁事件、日****网络安全问题的发现和告警,打造安全可监控、攻击可防护的安全能力
云监控
云监控是一项针对云资源进行监控和告警的服务。云监控直观展示云主机、云硬盘、云存储等云资源的使用情况、性能和运行状况,以及针对指标设置告警。
日志审计系统
日审系统能够通过主被动结合的手段,实时不间断****网络中各种不同厂商的****网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的报表。
日志
服务器
数据灾备服务
云备份
云备份CBR是一种高效、安全、低成本的数据备份服务。可将用户本地数据中心、私有云数据中心数据直接备份上云,同时也可满足云数据中心数据备份需求。
⑤等保制度建设辅导服务
协助客户对安全管理制度建设,按照等级保护管理部分的标准,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理5个方面帮助客户补充及完善等级保护要求的管理体系建设中涉及到的制度文档,以及相关记录的完善。包括但不限于信息安全工作职责,信息安全监督、检查机制;辅助客户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度,达到等级保护测评要求。
⑥等保定级咨询服务
在信息系统自行定级的基础上,参照国家和地方对等级保护定级的有关要求,对信息系统开展摸底调查工作,掌握信息系统的基本情况,了解信息系统****网络)的业务类型、应用或服务范围、系统结构、部署方式、安全策略、内控制度等信息,协助客户完成撰写信息系统定级报告,明确信息系统的边界和安全保护等级。
⑦等保备案辅助服务
根据《信息安全等级保护管理办法》,信息系统运营使用单位或主管部门需到当地公安机关备案,我司提供备案咨询服务****网络安全等级保护备案表等准备材料。
⑧等保测评类辅助服务
在测评阶段协助单位准备测评材料,指导单位配合测评机构开展等级测评工作,组织测评整改,并保障顺利通过等保测评获得测评报告。
(2)等级保护测评服务
****网络安全等级保护测评申请书,对服务范围内的信息系统进行安全等级测评,并为被测系统提供测评机构出具的信息系统安全等级测评报告。服务概述如下表:
序号
服务细项
服务内容
交付
成果
服务
频次
备注
1
技术层面测评服务
从技术层面进行安全测评
测评
报告
单次
2
管理层面测评服务
从管理层面进行安全测评
测评
报告
单次
①技术层面测评服务
技术层面测评将根据要求逐项进行测评:
安全物理环境:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
****网****网络架构、通信传输、可信验证。
安全区域边界:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。
安全计算环境:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
安全管理中心:系统管理、审计管理、安全管理、集中管控。
②管理层面测评服务
管理层面测评将根据要求逐项进行测评:
安全管理制度:安全策略、管理制度、制定与发布、评审与修订。
安全管理机构:岗位设置、人员配备、授权和审批、沟通与合作、审核和检查。
安全管理人员:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
安全建设管理:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商管理。
安全运维管理: 环境管理、资产管理、介质管理、设备维护管理、漏洞和****网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
本招标项目仅供 正式会员查阅,您的权限不能浏览详细信息,请点击注册/登录,请联系工作人员办理入网升级。
联系人:方婷
电话:010-53341173
手机:13011091135 (欢迎拨打手机/微信同号)
邮箱:fangting@zbytb.com
