关于泰州市金保工程信息安全等级保护测评和巡检服务的询价公告
项目编号:TZZCDLHQ2014026
发布时间:2014-10-16
投标开始时间:2014-10-22 9:00:00 截止时间:2014-10-22 9:30:00
江苏华强工程投资管理咨询有限公司受泰州市人力资源和社会保障局的委托,就局泰州市金保工程信息安全等级保护测评和巡检服务项目进行询价采购,请符合条件的供应商积极参加。
一、项目名称及编号:泰州市金保工程信息安全等级保护测评和巡检服务项目(TZZCDLHQ2014026)
二、项目简要说明:具体要求见后附件
三、供应商资格要求资质要求:
1、供应商必须符合《政府采购法》第二十二条之规定;
2、供应商必须在国内依法工商注册时间满三年以上,具有独立法人资格;
3、供应商具有江苏省信息安全等级保护测评机构推荐证书(提供复印件,原件备查);
4、本次询价不接受联合体投标;
5、供应商有下列情形之一的不能参加本次询价:
(1)公司近三年没有任何违法违规或者被网络安全管理部门公告的失信行为;
(2)因重大经济问题正在接受国家有关部门审查的;
(3)正在被其他企业兼并(或收购)或因重大经济纠纷正在进行诉讼或仲裁的。
四、询价文件发售信息
1、询价文件出售时间:2014年10月16日起
2、询价文件出售地点:泰州市凤凰西路168号(科技创业园213室)
五、响应文件接收信息
1、响应文件接收时间:2014年10月22日上午9:00-9:30
2、响应文件接收截止时间:2014年10月22日上午9:30
3、响应文件接收地点:泰州市凤凰西路168号213室(江苏华强工程投资管理咨询有限公司)。
六、本次采购联系事项
招标人:孙主任;电话:0523-86606091;
代理机构:王梅;电话:0523-86893022; 电子邮箱:HQ86882663@163.com
江苏华强工程投资管理咨询有限公司
2014年10月16日
附件
泰州市金保工程信息安全
等级保护测评和巡检服务采购需求
一、项目内容
以年为单位提供以下信息安全服务。
(一)信息安全等级保护测评服务
完成泰州市金保工程信息系统(三级)、泰州市金保工程网站群(二级)的信息安全等级保护定级备案工作,并提供以下服务:
1、对已经定级备案的系统进行等级保护差距测评。客观地评价信息系统在等级保护工作中取得的成绩,按照科学的评估方法,对信息系统的安全现状进行等级保护差距测评,分析信息系统保护现状和信息安全等级保护基本要求之间的差距,评估目前信息系统是否符合国家及行业等级保护的相关标准,并出具等级保护测评报告,为开展系统等级保护整改建设奠定基础。
2、根据《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,结合等级保护测评报告提出的安全管理体系与等级保护基本要求之间的差距,在信息安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面指导并协助建立健全符合相应等级要求的安全管理制度。
3、根据《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》,结合等级保护测评报告提出的安全防护现状与等级保护基本要求之间的差距,综合重要信息系统的特点,明确安全需求,设计符合相应等级要求的信息系统安全技术建设整改方案,协助开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。
4、完成信息安全等级保护的最终测评。在指导和协助相城区信息中心对信息系统安全等级保护整改建设项目完成之后,对信息系统进行最终测评,提交各信息系统的测评报告,完成测评备案工作。
(二)信息安全巡检服务
信息安全巡检服务内容主要包括安全测评和安全整改两部分。通过定期或不定期的安全检测,查出存在的安全隐患,并就安全隐患提出安全解决方案和安全整改方案。安全整改方案实施完毕后再通过安全检测来检验安全整改的效果。
1、服务时间
每月上门提供一次现场服务,并提交月度信息安全巡检服务报告(包含硬件、网络、主机、系统、数据等)、年度信息安全巡检服务总结报告、安全风险分析及整改建议报告(若有)。
2、服务内容
对泰州市金保工程提供信息安全巡检服务,主要是:
(1)硬件状态检测服务
服务对象涵盖所有硬件设备,包括网闸、服务器、核心交换机和接入交换机、防火墙、WAF、数据库审计等和物理机房。
主要设备清单:
网闸1台、核心交换机5台、接入交换机3台、汇聚交换机2台、汇聚路由器2台、核心防火墙5台、互联网接入1台、互联网边界3台、入侵检测1台、内外网访问控制1台、安全检测1台、数据库审计1台、刀片服务器36台、刀箱4台、IBM小机12台、存储设备5套、堡垒机1台、F5 4台、磁带库3台等。
服务内容包括:
检查服务器故障诊断灯是否报错
检查网闸、防火墙、交换机是否运行正常
检查网络设备各端口、硬盘运行指示灯等是否正常
清理服务器前面板上的灰尘并用干布擦拭
清理服务器前部和后部的灰尘并用干布擦拭
检查连接线缆有无松动破损现象
机柜风扇和门锁是否正常
机房UPS运行是否正常和运行负载情况检查
机房温湿度是否在合理范围
(2)网络安全检测服务
服务对象涵盖所有网络设备,包括网闸、防火墙、核心交换机和接入层交换机等。
主要设备清单:
网闸1台、核心交换机5台、接入交换机3台、汇聚交换机2台、汇聚路由器2台、核心防火墙5台、互联网接入1台、互联网边界3台、入侵检测1台、内外网访问控制1台、安全检测1台、数据库审计1台、堡垒机1台、F5 4台、磁带库3台等。
服务内容包括:
检查上下行跳线有否破损
确认数据灯闪烁正常
检查是否有新增加的策略
查看有无潜在威胁的系统日志
查看有无警告日志
核对设备系统时间是否正常更新
查看设备有无突发流量记录
是否存在业务高峰期时候的网络阻塞
检查系统版本及相应规则库是否定期更新
检查跳线有无破损
检查CPU使用情况
检查内存使用情况
检查网络数据流量
检查各设备的密码是否符合强度要求并定期更换
确认主要网络设备背面预留模块处可以防尘
检查入侵防御设备有无攻击日志
确认规则库的正常更新
(3)系统安全检测服务
服务对象涉及所有服务器设备,其中15台使用IBM AIX操作系统、95台使用Windows操作系统、40台使用EXSI操作系统、60台使用redhat linux操作系统等。
服务内容:
检查杀毒软件病毒库定义是否更新
检查系统补丁是否打全
检查系统日志有无严重报错
检查应用程序日志有无严重报错
检查审计日志有无异常记录
检查日志中是否存在隔离或删除失败记录
检查系统帐户中有无异常帐户
检查是否有可疑网络连接
使用工具检测系统中是否存在可疑文件
导出病毒日志以及根据需要导出系统、应用和审计日志
检查CPU性能是否正常
检查内存使用率是否正常
检查磁盘性能和使用率是否正常
检查网络使用率是否正常
导出性能计数器日志
(4)网站安全检测服务
服务对象主要是Apache、mysql数据库、SQL数据库、oracle数据库、防篡改软件等软件。部分软件安装于多台机器上,其中weblogic中间件50、oracle数据库10、SQL数据库5等。
服务内容:
使用工具对比网站文件是否有可疑文件增加
检查网站文件夹中是否存在后门文件
检查日志是否正常生成
检查数据库帐户中是否有可疑帐户
检查网站能否正常访问(每日定人定时监测)
对网站进行远程扫描,检查是否存在安全漏洞
(5)数据安全检测服务
服务对象包括数据库审计、服务器、备份软件和备份数据等,主要是:
oracle数据库10套、数据库审计1套、虚拟带库1套、物理带库1套、备份软件1套、连续数据保护1套等。
服务内容:
检查网站文件备份作业是否运行成功
检查网站数据库备份作业是否运行成功
对网站文件执行一次本机完全备份(备用)
对网站数据库执行一次本机数据库完全备份(备用)
其他如防火墙策略备份、交换机配置备份等
二、实施要求
本项目信息安全等级保护定级备案完成时间以获得证书为准。
本项目测评驻场人员要求:信息安全等级保护测评需要至少1名高级测评师和2名中级测评师;信息安全巡检服务人员要求至少2名工程师(同时具有等保中级测评师和CISP工程师证书的本公司在职人员,不得随意更换)。所有驻场测评师必须是中标公司自己的正式在职员工,必须持证上岗,响应文件中应提供项目驻场人员名单、信息安全等级测评师证书复印件和当地社保主管部门出具的响应单位为其缴纳社会保险的证明,未经采购方同意,项目组成员不得更改。
测评时间要求:签订合同后60天内完成信息安全等级保护测评并出具报告。
三、保密要求
在服务过程中,需严格遵循保密原则。双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。
四、评审原则
在符合采购需求、质量和服务相等的前提下,以未超采购预算的最低报价供应商为成交候选供应商。
若最低报价相同,则按以下顺序确定成交候选供应商:
1、供应商在本地有直属的经工商注册的服务机构的(提供工商注册证明,原件备查)
2、2014年在泰州市具有三级等级保护测评项目成功案例。
五、付款方式
从完成信息安全等级保护定级备案且获得证书之日起,10个工作日内支付合同款项的80%。服务期满且所有服务经采购单位验收合格后10个工作日内支付剩余20%合同款项。
六、合同执行
合同以年为单位执行。合同执行满一年后,若双方无异议,合同将以年为单位一直延续。每年服务对象以当年软硬件设备为准。
下一篇:泰州学院音乐楼琴房钢琴采购公告
由云盾提供安全服务