一、项目概述
本次建设的大数据中心作为政务基础设施为政务云本身及云上信息系统提供全方位网络安全防护能力,对政务云上运行的各类行政事务信息、经济信息等进行保护,保障业务处理过程和数据信息管理的安全性,以集约化建设方式降本增效,提高丹东市整体政务信息化水平。
二、服务要求
2.1 总体要求
本项服务要求服务单位依据《信息安全等级保护管理办法》、《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《安全可靠应用信息系统等级保护基本要求》(试行)、《安全可靠应用信息系统等级保护测评要求》(试行)等国家和行业相关信息系统安全规范标准,在服务期内,对 4 个 三级系统进行信息安全等级测评,测评内容为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等10方面测评任务。
2.2 测评详细指标要求
( 1 )单元测评
单元测评分为技术测评和管理测评两大类。技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个层面上的单元测评;管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的单元测评。
① 安全物理环境测评内容:
物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
② 安全通信网络测评内容:
网络架构、通信传输、可信验证。
③ 安全区域边界测评内容:
边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。
④ 安全计算环境测评内容:
身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
⑤ 安全管理中心测评内容:
系统管理、审计管理、安全管理、集中管控。
⑥ 安全管理制度测评内容:
安全策略、管理制度、制定和发布、评审和修订。
⑦ 安全管理机构测评内容:
岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
⑧ 安全管理人员测评内容:
人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
⑨ 安全建设管理测评内容:
定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务服务单位选择。
⑩ 安全运维管理测评内容:
环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
( 2 )整体测评
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。
服务单位测评人员应根据特定信息系统的具体情况,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
系统整体测评主要包括四个部分:分别为安全控制间安全测评、层面间安全测评、区域间安全测评、验证测试。
① 安全控制间安全测评
安全控制间的安全测评主要考虑同一区域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。安全功能上的增强和补充可以使两个不同强度、不同等级的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。例如,可以通过物理层面上的物理访问控制来增强其安全防盗窃功能等。安全功能上的削弱会使一个安全控制的引入影响另一个安全控制的功能发挥或者给其带来新的脆弱性。例如,应用安全层面的代码安全与访问控制,如果代码安全没有做好,很可能会使应用系统的访问控制被旁路。
② 层面间安全测评
层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。安全功能上的增强和补充可以使两个不同层面上的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个层面上的安全控制影响另一个层面安全控制的功能发挥或者给其带来新的脆弱性。
③ 区域间安全测评
区域间的安全测评主要考虑互连互通(包括物理上和逻辑上的互连互通等)的不同区域之间存在的安全功能增强、补充和削弱等关联作用,特别是有数据交换的两个不同区域。例如,流入某个区域的所有网络数据都已经在另一个区域上做过网络安全审计,则可以认为该区域通过区域互连后具备网络安全审计功能。安全功能上的增强和补充可以使两个不同区域上的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个区域上的安全功能影响另一个区域安全功能的发挥或者给其带来新的脆弱性。
④ 验证测试
验证测试包括对主机、网络、数据、应用(含移动应用)的漏洞扫描和渗透测试等,验证测试发现的安全问题将结合单元测评取得的证据共同分析信息系统整体结构的安全性。
三、服务人员要求
服务单位投入本项目等级保护测评的人员不得少于 5 人,都具有信息安全 或网络安全 等级测评师证书(提供身份证和在投标单位连续6个月的社保缴费证明复印件),其中等保服务负责人1人,具有高级信息安全 或网络安全 等级测评师证书。
中标供应商必须承诺:中标后,投标文件中的人员全部参与全过程服务工作,人员证件由采购单位保管,如因特殊原因更换现场实施人员,需征得采购单位同意,所更换人员工作资历及技术能力不能低于投标文件中承诺的人员要求。
四、现场保障
(1)配备专门的施工服务车辆,以确保工地间运输畅通。
(2)每名服务人员配备通讯设施,保证24小时随时沟通。
(3)配备现场安全用具,确保人员安全。
(4)配备完善的办公用品,如笔记本电脑、打印机、传真机等器材。
(5)其它有关本项目现场保障设备由服务人自行解决,本次等保测评所需检测仪器设备及测试软件,均为投标方拥有的自有设备。
(6)现场发生的一切事故与招标人无关,出现任何问题由投标人自行承担。
五、项目实施应满足的原则
项目实施应满足以下原则:
(1)符合性原则:符合国家等级保护和国家相关法律,指出防范的方针和保护的原则;
( 2 )标准性原则:测评方案的设计与实施应依据国内、国际的相关标准进行;
( 3 )规范性原则:测评提供商的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制;
( 4 )可控性原则:测评的方法和过程要在双方认可的范围之内,安全测评的进度要按照进度表进度的安排,保证人对于服务工作的可控性;
( 5 )整体性原则:安全体系设计的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;
( 6 )最小影响原则:测评工作应尽可能小的影响系统和网络的正常运行,不能对招标人各系统的运行和业务产生显著影响;
( 7 )保密原则:对测评的过程获得的招标人数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害人利益的行为,否则人有权追究投标供应商的责任。
六、售后支持服务
( 1 )成交供应商应在本项目范围内提供1年免费的5*8热线电话支持服务。
( 2 )在合同结束后5年内,成交供应商仍有保守各项企业秘密的责任。
( 3 )投标供应商需在项目响应文件中对售后技术支持服务的情况做出必要的说明。
