国产在线网站_91精品啪_波多野结衣办公室57分钟_亚洲综合图色40p_亚洲女人天堂色在线7777

您現在的位置: 首頁 > 學校信息 > 校務公開校務公開

福建省郵電學校信息安全等級保護技術咨詢服務采購招標公告

發布時間：2019-12-19 來源：總務科點擊：

　　我校需采購信息安全等級保護技術咨詢服務，現進行公開招標，歡迎具備相關資質的投標公司于2019年 1月 3 日8:30—10：30攜帶投標文件到福建省郵電學校（福州市倉山區上渡路李厝山60號）行政辦公樓總務科204室投標。聯系人：陳老師，聯系方式：0591-83597259�，F將有關事項公告如下：

　　一、本項目最高控制價為人民幣70000元。

　　二、投標材料

　　1．投標人有效的營業執照復印件；

　　2．投標代表應執有企業法人代表的授權書原件； 

　　3．售后服務的承諾；

　　4．投標代表有效身份證復印件（注明聯系電話）；

　　5．信息安全等級保護技術咨詢服務報價表；

　　注：上述復印文件需注明與原件一致、并加蓋公章。

　　三、投標保證金

　　投標保證金：3500元人民幣，于2019年1月2日15：00 前以銀行轉帳方式交給福建省郵電學校財務科(備注：福建省郵電學校信息安全等級保護技術咨詢服務投標保證金)，帳戶（名稱：福建省郵電學校開戶行：工行福州市倉山支行帳號1402024109008921255），時間以銀行業務日戳為準（節假日不順延），聯系人：林老師、程老師，聯系電話：83597445。送投標文件時，現場提供繳交投標保證金的并有加蓋銀行業務日戳的轉賬回單復印件一份給總務科陳老師（不必密封），未交保證金的投標不予受理。中標人未按規定時間到招標方簽訂合同的，投標保證金不予退還。未中標人的投標保證金在中標人簽定協議之日起10個工作日內無息退還。中標人的投標保證金直接轉為履約保證金，項目完成經驗收合格后無發現質量或售后服務問題一次性無息退還。

　　四、投標文件份數、樣品說明

　　投標人應將投標文件正本一份、副本一份和報價文件分別單獨密封在3個內封套內，再同時密封在一個外封套中；在內層、外層封套口處均應加貼密封條并加蓋投標人公章及法定代表（或授權委托人）簽章。內層封套上應標明正本、副本，并寫明項目名稱和投標人名稱。外層封套上應寫明項目名稱、投標人的名稱、地址、聯系電話、郵政編碼并注明“開標時間以前不得開封”。 

　　五、開標方式、評標方法

　　投標人完全實質性響應招標文件內容和招標人提供的現場技術交底要求，采用最低價評標辦法（最低價不作為中標保證）；若至投標截止期，投標人不足三家，則重新招標。若采購工作小組認為投標人的報價明顯低于其他通過符合性審查投標人的報價，使得其投標報價可能低于其個別成本的，有可能影響本項目工程質量或不能誠信履約的，投標人應按采購工作小組要求作出書面說明并提供相關證明材料，不能合理說明或不能提供相關證明材料的，采購工作小組可將其作無效投標處理。

　　六、投標貨物規格、數量、質量標準

　　采購貨物數量、技術要求一覽表：

序號	類別	名稱	數量	單位
1	信息安全服務	信息安全等級保護技術咨詢服務	1	項

　　技術要求：

　　1.資產分析：對參與安全等級保護的系統進行資產信息調查、網絡結構調查、安全系統調查等，形成最終的資產報告。

　�。�1）資產調查：調查和統計服務范圍內的信息資產，其中必須包括但不限于物理環境、網絡設備、主機、應用軟件、業務系統、數據、人員、標準流程等，明確其現有狀況、配置情況和管理情況，并對所有信息資產按照一定標準進行資產賦值，繪制各業務系統的數據流圖。正式開展調查時調查內容須經過單位審核后方可實施。

　�。�2）網絡調查：包括對所有網絡的拓撲結構進行調查，并按統一標準繪制成圖。

　�。�3）安全系統調查：包括但不限于明確現有安全設備包括防火墻、防病毒系統、入侵檢測系統等)的部署情況和使用情況，編制安全區域圖。

　　提交成果：《信息系統資產調查表》

　　2.定級咨詢：在招標方信息系統自行定級的基礎上，中標方參照國家和地方對信息系統安全等級保護定級的有關要求，對信息系統開展摸底調查工作，掌握信息系統的基本情況，了解信息系統（包括信息網絡）的業務類型、應用或服務范圍、用戶數量、系統結構、部署方式、安全策略、內控制度等信息，撰寫信息系統定級報告，明確信息系統的邊界和安全保護等級，說明定級的方法和理由。并收集整理定級系統參與福建省網絡與信息安全測評中心安全等級測評所需的資料和文檔。

　　提交成果：《信息系統安全等級保護定級報告》

　　3.協助備案：根據《信息安全等級保護管理辦法》，信息系統安全保護等級為第二級以上的信息系統運營使用單位或主管部門，應到公安部網站下載《信息系統安全等級保護備案表》，中標方需要協助招標方填寫《信息系統安全等級保護備案表》，同時協助到公安機關完成備案工作。如需反復多次修改，須按照單位和市公安局要求修正。

　　提交成果：《信息系統安全等級保護備案表》

　　4.風險評估：

　　（1）根據《信息系統安全等級保護定級報告》和信息系統安全等級保護要求，采用的技術手段、人工方法和使用的工具，明確評估的具體內容，制訂《安全評估方案》，《安全評估現場計劃》，《安全評估作業指導書》，方案和作業指導書中必須明確采用的技術手段、人工方法和使用的工具，明確評估的具體內容。方案和作業指導書須經過單位批準后方可實施。

　�。�2）根據信息系統安全等級保護基本要求，開展物理環境、網絡安全、服務器安全、應用系統安全現狀評估。

　�。�3）通過現場評估、脆弱性評估以及滲透測試等技術手段進行信息系統安全風險評估分析，編制風險評估報告。

　　進行網絡入侵檢測，在入侵預警日志中能夠明確定位入侵事件類別等。

　　對信息系統進行安全風險評估，評估系統的漏洞與脆弱性，采用的服務工具應提供網站風險列表和漏洞信息等功能。

　　進行滲透測試，采用工具掃描+手工驗證的方式，模擬黑客攻擊的方法進行非破壞性質的攻擊性測試。滲透測試的內容包括但不限于以下幾個方面：

　　a.偽造跨站請求

　　b.跨站腳本

　　c.注入攻擊測試：SQL注入、指令注入

　　d.惡意文件執行：文件包含、上傳漏洞

　　e.直接對象不安全：參數分析、越權訪問

　　f.信息泄漏或錯誤處理不當：應用錯誤消息、目錄遍歷

　　g.加密存儲不安全：HTML中的敏感數據、敏感信息存儲、鑒別信息加密傳輸

　　h.認證和會話管理不完善：會話令牌的質量、鑒別旁路、缺省帳號、口令重置、鑒別失敗鎖定功能、空口令

　　i.通信不安全

　　j.URL強力瀏覽

　　k.應用層DOS

　　l.工具掃描測試

　　提交成果：《安全評估方案》、《信息系統安全等級保護風險分析報告》

　　5.差距分析：在安全評估和信息系統定級的基礎上，根據《信息系統安全保護等級基本要求》將定級信息系統安全等級保護的各項基本要求與信息安全現狀進行比較分析，從管理和技術兩個層面找出存在的問題并進行分析。

　　對于需要增加投資，部署新的信息安全產品和技術的整改措施，雙方根據整改方案另行協商和實施。

　　（1）進行安全差距分析，從物理安全、網絡安全、主機安全、應用安全、數據安全以及安全管理深入識別現狀與指標庫之間的差距情況。

　�。�2）進行網絡安全域分析，將運維管理、開發測試、辦公網絡以及生產區域進行邏輯劃分和訪問控制策略。

　�。�3）進行安全管理制度分析，從信息安全方針、管理體系、安全管理機構的設立、人員管理、重要區域訪問控制、信息系統建設管理、產品采購、系統運維管理、惡意代碼、備份恢復策略、應急響應等深入識別安全管理制度與指標庫的差距情況。

　�。�4）安全建設規劃：根據上述風險評估結果，結合信息系統安全等級保護要求，等保規劃方案和整改方案。

　　a)確立保護對象b)保護計算環境c)保護區域邊界d)保護通信網絡e)建設安全管理體系。

　　提交成果：《信息系統安全等級保護差距分析報告》

　　6.管理制度輔助建設：

　　安全管理制度建設，主要包括但不限于信息安全工作職責，信息安全監督、檢查機制；輔助用戶編寫方針、制度、各類記錄表格模板在內的三層結構的安全管理制度。管理制度包括但不限于：《信息系統安全策略管理》、《安全制度制訂流程規定》、《操作系統維護規程》、《數據庫系統維護規程》、《機安全管理員崗位職責》、《信息系統安全培訓管理》、《安全管理日常維護細則》、《安全審計管理制度》、《第三方人員管理制度》、《防病毒緊急響應流程》、《機房監控與管理流程》、《機房運行管理規范》、《服務器運維管理規范》、《軟件開發環境使用管理要求》、《系統交付管理規范》、《資產安全管理規范》、《安全事件報告和處置管理規范》、《信息系統安全應急處理體系》、《人員安全管理規范》、《信息系統安全運維管理規范》……等。

　　7.策略復查：

　�。�1）派遣專業工程師到現場針對加固前后的系統脆弱性進行復查，復查手段包括但不限于協議分析、漏洞掃描、漏洞驗證以及配置核查等方法。

　�。�2）復查范圍包括：1）技術層面：物理安全、網絡安全、主機安全、應用安全、數據安全；2）管理層面：安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。

　　（3）復查結束后，形成加固前后對比復查報告。

　　8.等保測評現場輔助：在服務期內，招標人如有申請測評，則必須協助測評方完成測評數據采集等工作，直至備案系統通過等級測評。

　　服務要求：

　　1.投標人或者所投服務廠商應具備等級保護建設的能力，具備公安部信息安全等級保護安全建設服務機構能力評估合格證；提供有效證明材料復印件并加蓋投標單位公章。

　　2.投標人或者所投服務廠商應具備風險評估的能力，需具有信息安全服務資質認證證書（風險評估一級資質）、國家信息安全測評信息安全（風險評估二級）；提供有效證明材料復印件并加蓋投標單位公章。

　　3.投標人或者所投服務廠商應具備一定的應急響應能力，并能快速響應；投標人或者所投服務廠商需為省級或省級以上網絡與信息安全信息通報中心技術支撐單位以及省級或省級以上網絡安全應急服務支撐單位，提供有效證明材料復印件并加蓋投標單位公章。

　　4.投標人或者所投服務廠商需具備完善的售后支撐服務體系，能夠為招標人提供較好的信息安全服務、解決方案設計服務，需獲得ISO20000服務管理體系認證證書，認證范圍需覆蓋“向外部客戶提供整體安全解決方案、安全相關的SaaS及運營服務”，提供有效證明材料復印件并加蓋投標單位公章。

　　5. 投標人或者所投服務廠商應具有WEB應用安全測試的能力，須為互聯網安全研究中心應用安全聯盟成員，提供有效證明材料復印件并加蓋投標單位公章。

　　6.檢測過程所采用服務工具如配置核查系統、漏洞掃描工具或遠程安全評估系統應是投標人或者所投服務廠商自主開發，為了保證所使用的漏洞掃描工具不具有所有權和知識產權糾紛,需提供計算機軟件著作權登記證書作為佐證。

　　其他要求:

　�。�1）本項目最高控制價為人民幣70000元，報價超過控制價的為廢標。

　�。�2）投標報價包含安裝、運輸、裝卸、搬運、整理、衛生、稅金等一切費用。

　�。�3）按上表制作報價文件，需寫清單價項目合計金額、總合計報價。材料及制作要求如與招標文件不符需在技術規格和商務偏離表注明差異。

　　七、結算及付款方式

　　中標人按招標人要求到貨安裝后，經檢驗合格，按中標價憑正式發票結算，招標人在一個月內以轉賬方式一次性支付全部貨物款。中標人投標時繳交的投標保證金叁仟伍佰元整（￥3500元）一并一次性無息退還。

　　八、售后服務要求

　　投標人應對本次采購的貨物按招標文件要求提供產品質量保證服務，確保提供的產品符合招標文件要求。

　　九、不正當競爭與紀律監督：

　　1．嚴禁投標人向參與招標、評標工作的有關人員行賄，使其泄露一切與招標、評標工作有關的信息。在招標、評標期間，不得邀請與招標、評標工作有關的人員到投標人單位參觀考察或出席投標人主辦或贊助的任何活動。

　　2．投標人在投標過程中嚴禁互相串通、結盟或以其他方式損害招標的公正性和競爭性，或以任何手段影響其他投標人參與正當投標。

　　3．如發現投標人有上述不正當競爭行為，將取消其投標資格或中標資格并沒收其投標保證金。

　　十、開標時間、地點：

　　時間：將以短信形式另行通知，請投標企業派代表于指定時間到達開標現場，遲到視為放棄投標。

　　地點：第二會議室。

 

福建省郵電學校

2019年12月19日

上一篇：福建省郵電學校計算機教學部14號機房桌椅招標公告

下一篇：福建省郵電學校2020年招生宣傳策劃服務項目中標公告