(一)项目名称:自贸区福州片区行政审批综合服务信息平台升级扩展项目网络安全等级保护测评服务
(二)服务范围:中国(福建)自由贸易试验区福州片区管理委员会
(三)服务时间:2025年8月30日前
(四)服务内容:完成系统测评并取得《网络安全等级保护测评报告》
1.等保咨询服务
1.1、等保制度建设服务
协助客户对安全管理制度建设,主要包括但不限于信息安全工作职责,信息安全监督、检查机制;辅助用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度,达到等级保护测评要求。
1.2、安全策略复查服务
派专业工程师到现场针对加固前后的系统脆弱性进行复查,复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。
1.3、等保测评辅助服务
在测评阶段协助用户准备测评材料,指导用户单位配合测评中心开展等级测评工作,组织测评风险项整改,派专业工程师对系统进行加固,保障顺利通过等保测评获得测评报告。
1.4、服务交付成果
2、等保测评服务
供应商对系统进行安全等级测评,并为被测系统出具《网络安全等级保护测评报告》。
2.1安全技术方面
安全物理环境:对物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面测评。
安全通信网络:对网络安全的网络架构划分,通信传输安全方面测试。
安全区域边界:对网络划分的区域边界进行边界防护、访问控制、入侵防范、恶意代码防范、安全审计等防护措施进行测试。
安全计算环境:对网络计算环境进行身份认证、访问控制、安全审计、入侵防范、恶意代码防范、数据备份恢复等方面的测试。
安全管理中心:对安全管理中心内的系统管理、审计管理等方面进行安全测试。 2.2安全管理方面
安全管理制度:对信息系统的管理制度、制定和发布、评审和修订等方面。
安全管理机构:对岗位设置、人员配备、授权和审批、沟通和合 作、审核和检查等方面。
安全管理人员:对信息系统的人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等方面。
安全建设管理:对系统定级、安全方案设 计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案等级测评等方面。
安全系统运维管理:对环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。
2.3服务交付成果
二、报价供应商资格要求
(一)须在中华人民共和国境内注册,具有独立法人资格,须提供合格有效的法人营业执照副本复印件,加盖报价公章,并注明与原件一致,原件备查。
(二)根据《财政部关于在政府采购活动中查询及使用信用记录有关问题的通知》(财库〔2016〕125号)有关规定,供应商须提供参加政府采购活动前3年内在经营活动中无不良信用记录的书面声明,并同时提供通过“信用中国”网站(www.creditchina.gov.cn)信用信息查询无不良信用记录的打印件(或截图)。
(三)供应商提供参加政府采购活动前3年内在经营活动中没有重大违法记录的书面声明。
(四)供应商具有网络安全等级测评与检测评估机构服务认证证书(DJCP),须提供证书复印件。
(五)供应商为本项目投入2个高级测评师,团队其他人员为1名中级测评师担任质量监督员,1名中级测评师负责技术类测评;2名初级测评师分别负责信息安全制度及管理类测评要求工作,确保项目的顺利实施,提供证书复印件。
三、 测评服务工具要求
①检测工具要求:
1、系统应能提供4大独立扫描模块,包含系统扫描、Web扫描、口令猜解、仅存活探测的全面扫描能力,每个模块支持各自的配置项,可灵活修改每个模块的配置参数以满足不同场景下的扫描需求。
2、支持针对指定IP段,同时一键下发系统扫描、Web扫描、口令猜解任务,其中Web扫描能够自动发现该网段内的在线网站并开展扫描。(需要提供能够体现上述功能及配置选项的截图并支持演示)
3、支持自定义任务执行方式,支持立即扫描、定时扫描、周期性扫描等多种扫描方式,自定义周期扫描时间可精确到每天、每周或每月的某天、某时、某分。
4、支持检测的系统漏洞数不少于17万个,覆盖CVE、CVSS、CNVD、CNNVD、CNCVE、Bugtraq多种漏洞标准。
5、支持检测物联网设备,如主流厂商海康威视、宇视、华为、大华、Brickcom、TP-LINK、AXIS、三星、惠普、佳能等。(需要提供能够体现上述功能及配置选项的截图并支持演示)
6、支持国产操作系统、数据库的扫描,国产操作系统包含中标麒麟、凝思、深度、中兴新支点,国产数据库包括神通、人大金仓、南大通用、达梦。
7、支持Web登录扫描,支持Cookie认证、Form认证、Basic认证、NTLM认证、Session认证、Digest认证,并支持Web登录验证,确保Web登录成功。(需要提供能够体现上述功能及配置选项的截图并支持演示)
8、支持资产统一管理,支持按照IP、URL、网页编码、操作系统、MAC地址、所属资产组、资产标签、资产评分对资产进行高级检索和分析;系统应支持对资产及资产检测结果进行导出,以便备份恢复。(需要提供能够体现上述功能及配置选项的截图并支持演示)
②安全服务工具箱要求:
1、投标人所采用的安全服务工具能够“1.发现网页木马(webshell);2.同时支持对反动、赌博、色情等内容进行检查;3.检查的目标文件类型不限,可同时支持PHP、ASP/JSP/ASPX/JSPX等脚本类型;4.支持对各类威胁进行自动评分,并按照危险值从高到低进行排序;5.支持导出检测结果;6.支持对可疑文件进行批量复制或批量删除。”(需要提供能够体现上述功能及配置选项的截图并支持演示)
2、投标人所采用的安全服务工具能够“1.支持同时对1000个以上IP进行归属地查询,支持批量对输入的信息按照标准化格式自动调整,提取需要的关键信息,删除冗余信息;2.支持与云端的威胁情报库进行联动,支持同时对1000个以上IP进行威胁情报信息查询,自动识别挖矿木马、勒索软件、傀儡机、Cobaltstrike等类型的威胁。”(需要提供能够体现上述功能及配置选项的截图并支持演示)
3、投标人所采用的安全服务工具能够“1.支持按照基线模板对主机安全配置进行基线检查;2.基于基线模板配置加固策略,自动完成对不符合项的加固工作;3.加固策略包括身份标识与鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、安全实践经验(如禁止IPC空连接、关闭自动播放等)等;4.基线模板及模板中的各策略项参数值均支持自定义。”(需要提供能够体现上述功能及配置选项的截图并支持演示)
4、投标人所采用的安全服务工具能够“1.支持自动识别并标识隐藏账号;2.支持自动识别并标识仿冒操作系统自带进程的异常进程(如svch0st.exe、1sass.exe、winl0g0n.exe等);3.支持自动识别并标识木马后门;4.支持自动识别异常网络连接,须标识网络连接中的IP归属地,并以不同颜色区分局域网IP、国内IP、境外IP,帮助技术人员快速识别异常网络连接。”(需要提供能够体现上述功能及配置选项的截图并支持演示)
四、其他要求
(一)报价及支付要求
1.最高控制价:9.5万元。
2.报价应包括完成网络安全等级保护测评所需的全部费用,并加盖公章。
3.报价单位严禁关联企业,否则报价作废。
4.我单位将按照满足服务要求且报价最低的原则确定服务单位。
5.供应商应于合同签订后30日内完成相应工作内容。
6.项目通过测评并取得测评机构出具的测评合格报告等级证书后,由供应商开具发票,收到供应商开具的发票后15个工作日内,一次性支付合同全部服务费。
(二)注意事项
1.本公告公示10天,公示结束后根据供应商报名情况,采用比选的方式(由最低报价者中标),选定1家供应商。
2.材料递交方式:快递邮寄至福建省福州市长乐区文武砂街道湖文路201号福州滨海新城智慧城市运营管理中心6楼623。
3.报价人应于25年6月23日16点前送到上述地址,逾期送达的或不符合规定的报价文件将被拒绝。
联系人:叶旖情
联系电话:15505902294
中国(福建)自由贸易试验区福州片区管理委员会
扫一扫在手机上查看当前页面
