长沙市信息系统等级保护测评和风险评估服务服务第二次招标公告 -湖南招标网

您所在的位置：采招网> 湖南招标网> 招标公告> 长沙市信息系统等级保护测评和风险评估服务服务第二次招标公告

长沙市信息系统等级保护测评和风险评估服务服务第二次招标公告

发布时间：2018/3/4 地区：湖南 - 长沙市

最近10年招标公告打包下载收藏文章打印文章

登录后即可查看招标详情内容立即登录> 若您还不是会员立即免费注册吧>

所属地区	湖南
招标编号	****** [登陆后查看]	截止日期	****** [登陆后查看]
招标代理	******* [登陆后查看]
招标业主	湖南***学院 [登陆后查看]

公告摘要

根据工作需要， (略) 采购， (略) 方式，邀请符合资格条件的供应商提交证明材料参与资格审查，并参与招标采购活动。

一、投标人资格要求：

1、投标人基本资格条件：

(1)投标人法人营业执照副本复印件或事业单位法人证书复印件。

(2)法定代表人授权委托书原件及双方身份证复印件。

(3)投标人税务登记证(国税或地税)复印件。

(4) (略) 会保险登 (略) 会保险的凭证复印件。

(5)如非法定代表人参与投标，需提供被授权人近三个月 (略) 保证明。

(6)参加政府采购活动前三年内在经营活动中没有重大违法记录的书面声明。

2、投标人特定资格要求：

无。

二、采购需求

(一) 项目名称

(略) 工 (略) 信息系统等保测评和风险评估服务（本包预算： *** .00元）

品目号	品目名	数量（单位）
1-1	(略) 工 (略) 信息系统等级保护测评和风险评估服务	1次

三、服务要求、质量和标准

1.测评对象及范围

本次等级保护测评对象为： (略) 工程职业技术、教务管理系统、学管系统、办公系统、人事系统、数字化信息门户、移动APP、 (略) 、一卡通、课程资源管理系统等10个系统。

2.服务内容

2.1等级测评(二级)

对被测评信息系统开展二级安全等级保护测评。 (略) 完成等级保护备案。测评内容包括：

①物理安全测评

②网络安全测评

③主机安全测评

④应用安全测评

⑤数据安全测评

⑥安全管理制度测评

⑦安全管理机构测评

⑧人员安全管理测评

⑨系统建设管理测评

⑩系统运维管理测评

2.3风险评估

对 (略) 风险评估，评估内容包括：网络结构评估、操作系统配置核查、应用系统安全评估、数据库安全评估、漏洞扫描、渗透测试、管理制度评估、风险分析及计算、 (略) 置建议。 (略) 加固。

2.3.1网络设备和安全设备安全评估

网络设备和安全设备安全配置检查主要是以人工的方式验证其安全配置是否符合其安全策略要求，检查的内容至少包括：远程管理服务、认证方式、管理IP地址控制、console端口管理、Service password密码、enable密码、帐户登录空闲时间、密码长度、更改SNMP的团体串、转存日志、日志保存要求、login banner信息、NTP服务使用、BGP认证、 (略) 络设备端口控制、MAC绑定、网络端口等。

2.3.2操作系统安全评估

主要对操作系统的 (略) 检查，检查内容至少包括：管理远程工具、访问控制、限制系统无用的默认账号登录、账号远程登录、口令策略、日志记录、日志存储、日志保存、日志系统配置文件保护、日志文件保护、服务优化、文件权限、控制用户登录会话、关键文件的安全保护等相关配置。

2.3.3数据库管理系统安全评估

主要对数据库管理系统的 (略) 检查，检查内容应至少包括主机管理员帐号、数据库帐号、默认帐号、重要帐号设置、口令策略、帐号策略、public权限、日志审核、登录日志记录、数据库操作日志、日志审计策略、日志保存要求、日志文件保护、数据字典保护、监听程序加密、监听服务连接超时、服务监听端口等。

2.3.4中间件安全评估

对中间件的 (略) 检测，检查内容应至少包括日志配置、脚本安全、目录权限设置、 (略) 点安全、Web服务扩展安全、出错页面安全、用户权限、文件安全、目录浏览、日志审计、示例文件、版本安全、身份鉴别、登录锁定、通信安全、并发数安全、运行模式、Server header安全、删除sample程序等。

2.3.5应用系统安全评估

对应用系统的 (略) 检查，检查内容包括：校验码机制、口令策略、账号策略、 (略) 理、通讯加密机制、授权机制、会话管理、安全审计等。

2.3.6漏洞扫描2.3.6.1主机系统漏洞扫描

从 (略) (略) 恰当选取测试点检查目标服务器存在的安全漏洞。

漏洞扫描策略如下：

①通用扫描策略：包括端口扫描、弱口令扫描、后门类扫描等；

②操作系统漏洞扫描：缓冲区溢出扫描、畸形数据包发送、蠕虫扫描等常见漏洞扫描；

③数据库漏洞扫描：包括口令猜测、本地缓冲区溢出扫描、拒绝服务攻击扫描等。

2.3.6.2应用系统漏洞扫描

从 (略) (略) 恰当选取测试点，采用专业扫描工具检查目标系统应用层面存在的常见的安全漏洞，安全漏洞包括但不限于：SQL注入漏洞、XSS漏洞、文件上传漏洞、弱口令漏洞、中间件漏洞、目录浏览/遍历漏洞、越权访问、会话验证绕过、备份文件等。

2.3.7渗透测试

针对扫描发现的系统漏洞和应用漏洞有针对性的采取测试工具和方 (略) 验证性测试， (略) (略) 测试，全面评估安全漏洞可以被利用的程度。

2.4安全整改加固

根据测评结果中的不符合项、结合 (略) 工 (略) 实际情况编制《 (略) 工 (略) 信息系统等级保护整改方案》，并协助完成整改加固工作。

2.5信息安全意识培训

组织1次信息安全技术培训，以介绍当前信息安全形势、政策和技术发展趋势，宣贯国家信息安全政策和工作情况，讲解信息安全专业知识及运维技能等。

2.6交付物

《 (略) 工 (略) 信息系统等级保护整改方案》

《 (略) 工程职业技术系统等级保护测评报告》

《 (略) 工 (略) 教务管理系统等级保护测评报告》

《 (略) 工 (略) 学籍管理等级保护测评报告》

《 (略) 工 (略) 办公系统等级保护测评报告》

《 (略) 工 (略) 人事系统等级保护测评报告》

《 (略) 工 (略) 数字 (略) 站系统等级保护测评报告》

《 (略) 工 (略) 移动APP等级保护测评报告》

《 (略) 工 (略) (略) 系统等级保护测评报告》

《 (略) 工 (略) 一卡通系统等级保护测评报告》

《 (略) 工 (略) 课程资源管理系统等级保护测评报告》

4、服务要求4.1人员资质要求

投标人项目经理需具有技术及管理知识和经验（提供相关CISP资质证书）,参与本项目的人员需具有2年或以上信息安全等级保护测评、风险评估服务工作经验。

4.2工具要求

在服务过程中，投标人使用的测评与评估工具应严格遵循可控性原则， (略) 有工具须符合信息安全等级保护测评与风险评估标准，已经过可靠的实际应用验证，且 (略) 负责。投标人须承诺在项目 (略) 使用的工具，投标人均具有合法使用权，免受第三方提出的侵犯知识产权的起诉。

4.3文档要求

投标人应按照等级保护测评、风险评估规范要求制定服务过程中产生的文档及其管理制度，做到科学、规范、详尽、统一。

4.4保密要求

对 (略) 工 (略) 信息保密，投标人 (略) 合向， (略) (略) 信息。

4.5应用标准要求

符合ISO质量管理标准体系、信息安全等级保护、信息系统风险评估要求。

5、付款方式

信息系统等级保护测评、风险评估完成验收合格后付95%。收到中标方的等级保护测评报告后五个工作日内支付合同总额的100%。具体付款方式以签订的采购合同为准,付款均凭正式税务发票，发票须由中标单位开具。

四、报名时间地点及投标保证金缴纳

从即日起至 * 日17:00止，在工作日的上午8：30-12：00，下午14：30-17：00（ (略) 时间）到 (略) 工 (略) (略) 办公楼119室，持法定代表人身份证明或授权委托书(附法定代表人身份证明)、个人身份证、资质证明材料复印件报名。报名同时需交纳 * 万元投 (略) (略) 。

法人授权委托书要求：① (略) 政公章及法人代表签字或盖章的视为无效授权。②授权范围应包括本文 (略) 内容而不得有缺项。

五、投标资料的递交

1、按本公告第一条规定提交的证明材料，实施方案及报价文件等，应装订成册并密封，一式两份。

2、实施方案包括:投入人员，实施计划，服务承诺等有关内容。

六、开标时间及地点

开标时间为 * 日14:30（ (略) 时间），地点为 (略) 工 (略) 三楼会议室。逾期送达的，不予受理。

七、联系方式

采购人联系方式： (略) 工 (略)

地址： (略) 省 (略) 市万家丽北路水渡河路100号

联系人：邵老师赵老师电话： ***

(略) 工 (略)

查找同类项目:

内容包含关键词：嘉陵江大桥土建

免费定制同类项目提醒

招标进展阶段：报名中...

申请参与此项目：我要报名

附件类型：标书

查看详细招标要求：附件下载

注册即可免费查看招标信息

立即免费注册会员

咨询电话：400-810-9688

为保证您能够顺利投标，请在投标或购买招标文件前向招标代理机构或招标人咨询投标详细要求，有关招标的具体要求及情况以招标代理机构或招标人的解释为准。