当前位置：首页政采公告地方公告竞争性磋商公告

　　南充经开化工园区重大安全风险防控--安全风险智能化管控平台等保测评项目 采购项目的潜在供应商应在南充市顺庆区潆华工业园仁和春天8幢22层2205号获取采购文件，并于2024年07月09日 09点30分（北京时间）前提交响应文件。

　　项目名称：南充经开化工园区重大安全风险防控--安全风险智能化管控平台等保测评项目

　　1．技术安全性测评包括但不限于：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。

　　2．管理安全测评包括但不限于：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

　　②GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》

　　③GB/T28448-2019《信息安全技术 网络安全等级保护测评要求》

　　④GB/T28449-2018《信息安全技术 网络安全等级保护测评过程指南》

　　⑤GB/T36627-2018《信息安全技术 网络安全等级保护测试评估技术指南》

　　通过访谈、检查机房等信息系统物理场所在位置上是否具有防雷、防风和防雨等多方面的安全防范能力。

　　通过访谈、检查主机房出入口、机房分区域情况等过程，测评信息系统在物理访问控制方面的安全防范能力。

　　通过访谈、检查机房的主要设备、介质和防盗报警系统等过程，测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。

　　通过访谈、检查机房的设计/验收文档，测评信息系统是否采取相应的措施预防雷击。

　　通过访谈、检查机房的设计/验收文档，检查机房防火设备等过程，测评信息系统是否采取必要的措施防止火灾的发生。

　　通过访谈、检查机房的除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿。

　　通过访谈、检查机房温、湿度情况，是否采龙8long8中国取必要措施对机房内的温湿度进行控制。

　　通过访谈、检查机房供电线路、设备等过程，是否具备提供一定的电力供应的能力。

　　通过访谈、检查、测试网络拓扑情况、抽查核心交换机、接入交换机和接入路由器等网络互联设备，测试系统访问路径和网络宽带分配情况等过程，测评分析网络架构与网段划分、隔离等情况的合理性和有效性，以及通信线路、关键设备硬件冗余，系统可用性保证情况。

　　通过访谈、检查通信设备的系统引导、系统程序、重要配置参数和通信应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。

　　通过访谈、检查、测试边界完整性检查设备，测评分析跨域边界的访问控制和数据流通过边界设备的控制措施，非法内联、外联、无线准入控制的监测、阻断等能力。

　　通过访谈、检查、测试网络访问控制设备策略部署，测试系统对外暴露安全漏洞情况等过程，测评分析对进出网络的数据流量控制以及基于应用协议和应用内容的访问控制能力。

　　通过访谈、检查、测试网络边界处、关键网络节点检测、防止或限制从内部和外部发起网络攻击行为的防护能力，以及网络行为分析、监测、报警能力，特别是新型网络攻击行为的分析，对攻击行为的检测是否涉及攻击源、攻击类型、攻击目标、攻击事件、入侵报警等方面的防范能力。

　　通过访谈、检查、测试关键网络节点处对恶意代码、垃圾邮件进行检测、防护和清除、恶意代码防护机制的升级和更新维护等情况，

　　通过访谈、检查网络边界、重要网络节点安全审计情况等，测评分析信息系统审计配置和审计记录保护，审计内容等情况。

　　通过访谈、检查边界设备的系统引导、系统程序、重要配置参数和边界防护应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。

　　通过访谈、检查、测试对登录的用户进行身份标识和鉴别，是否具有不易被冒用的特点，口令应有复杂度要求并定期更换，以及远程管理安全、双因素鉴别等内容。

　　通过访谈、检查、测试是否启用访问控制功能，依据安全策略控制用户对资源的访问；是否根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限等内容。

　　通过访谈、检查、测试是否能够检测到对重要节点进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警，是否遵循最小化安全装原则、系统服务、默认共享和高危端口、终端接入限制、数据有效性检验、已知漏洞防护等内容。

　　通过访谈、检查、测试是否具有防恶意代码攻击的技术措施或主动免疫可信验证机制，能否及时识别入侵和病毒行为并将其有效阻断等内容。

　　通过访谈、通过访谈安全员，检查计算设备的系统引导、系统程序、重要配置参数和应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。

　　通过访谈、检查、测试重要数据在传输和存储过程中的完整性保护情况，包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

　　通过访谈、检查、测试重要数据在传输和存储过程中的保密性保护情况，包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

　　通过访谈、检查、测试重要数据本地备份与恢复功能，异地实时备份功能，以及重要数据处理系统的热冗余和高可用性保证等。

　　通过访谈、检查、测试边界信息在存储空间被释放或重新分配前是否有效清除，存有敏感数据的存储空间被释放或重新分配前是否有效清除等。

　　通过访谈、检查、测试是否仅采集和保存业务必须的用户个人信息，对用户个人信息的访问和使用等。

　　通过访谈、检查、测试对系统管理员身份鉴别、命令或操作管理、操作审计，以及是否通过系统管理对系统资源和运行进行配置、控制和管理等。

　　通过访谈、检查、测试对审计管理员身份鉴别、命令或操作管理、操作审计，以及是否通过审计管理员对审计策略、审计记录进行分析、处理等。

　　通过访谈、检查、测试对安全管理员身份鉴别、命令或操作管理、操作审计，以及是否通过安全管理员对安全策略、参数进行配置等。

　　通过访谈、检查、测试是否具有特定的管理区域，对分布在网络中的安全设备或安全组件进行集中管控，对网络链路、安全设备、网络设备和服务的运行进行集中监测，对分散在各设备上的审计数据进行收集汇总和集中分析，并确保记录留存符合法律法规要求，对安全策略、恶意代码、升级补丁等安全相关事项进行集中管理，对网络中发生的各类安全事件进行识别、报警和分析等。

　　通过访谈、检查录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。

　　通过访谈、检查外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。

　　通过访谈、检查建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。

　　通过访谈、检查是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。

　　通过访谈、检查是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。

　　通过访谈、检查是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。

　　通过访谈、检查安全漏洞和隐患识别、处理情况，以及是否定期开展安全测评以及安全问题的应对措施。

　　通过访谈、检查是否采取必要的措施对系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。是否采取必要的措施对网络的安全配置、网络用户权限和审计日志等方面进行有效的管理，确保网络安全运行。

　　通过访谈、检查是否采取必要的措施对恶意代码进行有效管理，确保系统具有恶意代码防范能力。

　　通过访谈、检查是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。

　　通过访谈、检查是否采取必要的措施对重要业务信息，系统数据和系统软件进行备份，并确保必要时能够对这些数据有效地恢复。

　　通过访谈、检查是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。

　　通过访谈、检查是否针对不同安全事件制定相应的应急预案，是否对应急预案展开培训、演练和审查等。

　　通过访谈、检查外包运维服务商选择是否符合国家要求，外包运维保密、服务内容管理等。

　　按照所测评系统的具体情况选用云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。

　　按照等级保护测评要求，测评过程中应配备必要的工具、仪器/设备对信息系统进行验证测试，采用的测评工具的生产商应为正规厂商，具有一定的研发和服务能力，能够对产品进行持续更新并提供质量和安全保障。

　　验证安全策略正确性；保证用户登录窗体身份验证的安全性；非授权用户不能浏览到未授权内容；不存在跨站点脚本攻击漏洞；脚本不存在SQL、Cookie注入漏洞；安全的处理异常，没有出错页面泄露系统信息；应用和系统漏洞及其他，并提出整改建议。验证内容包括（但不限于）以下几个方面：

　　通过模拟手段对网络（包括丢包、时延、带宽等）、软件系统（包括负载、响应）、负载下硬件占用（包含CPU、内存）等进行全面的测评评估验证系统的可靠性、可用性，通过对测试结果的分析，给出相应的整改建议。

　　据相关标准、规范要求对重要信息系统的安全漏洞进行测评。分析总结系统中存在的主要安全漏洞，指出系统中可能被利用的安全漏洞、系统配置错误等缺陷以及相应的安全加固意见、建议。

　　对本项目所涉及的信息系统进行初次现场测评，测评完成后提交初评的整改意见报告。

　　协助采购人对测评过程中发现的安全问题进行技术整改加固工作，并进行整改后的回归测评。

　　供应商需对项目进行科学严格的管理，通过系统计划、有序组织、科学指导和有效控制，促进项目全面顺利实施，包含但不限于：

　　1）供应商及其派驻本项目的测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定，提供客观、公平、公正、有效的等级保护测评服务，并承担相应的法律责任。

　　2）供应商应具备能够保证其公正性、独立性的质量体系，确保测评活动不受任何可能影响测评结果的商业、财务、健康、环境等方面的压力。

　　3）供应商在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议，测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位，未经被测评单位允许，不得擅自复制、保留。

　　①供应商开展此次等级保护测评工作的人员仅限于中华人民共和国境内的中国公民，且无犯罪记录。

　　③供应商开展此次等级保护测评工作的人员在开展等级保护测评工作之前需签订保密协议。

　　①供应商采用的测评工具必须获得正版授权，并在有效期内，不得使用盗版软件。

　　②供应商采用的测评工具在功能、性能等满足使用要求前提下，应优先采用具有国内自主知识产权的同类产品。

　　③供应商采用的测评工具的生产商应为正规厂商，具有一定的研发和服务能力，能够对产品进行持续更新并提供质量和安全保障。

　　供应商应当充分识别测评工作可能带来的风险（包括但不限于：数据丢失、配置参数丢失、网络中断、服务中断等隐患）并告知采购人，经采购人对测评过程中存在的潜在风险所采取的必要措施进行确认后方可开展测评。

　　合同履行期限：项目具备测评条件后30日内完成测评工作并出具等保测试报告（不含系统缺陷整改时间）。

　　3.本项目的特定资格要求：须具备有效期内的网络安全等级测评与检测评估机构服务认证证书。

　　方式：网络获取：供应商请将介绍信及经办人身份证明材料加盖供应商公章后扫描发送至（电子邮箱），采购代理机构工作人员确认无误后，将报名登记表等相关资料发给供应商，供应商按要求填写相关资料后，扫描后发送至（电子邮箱），经采购代理机构确认无误后，代理机构工作人员将采购文件发送至供应商报名登记表登记的邮箱 注：报名登记表及介绍信原件须于磋商当日随磋商响应文件一同递交至采购代理机构。 磋商文件的售价：200元/份。供应商应在规定的时间内按要求获取本项目竞争性磋商文件并进行登记，否则均无资格参加本项目磋商。