网络平台安全建设项目建设方案招标公告
| 发布时间 | 2022-06-30 | 项目编号 | 点击查看 |
| 招标预算 | 8.0万元 | 资质要求 | 点击查看 |
采购规模走势
|
点击查看 | 招标方式
|
点击查看 |
| 潜在报名单位
|
点击查看 | 潜在中标人
|
点击查看 |
| 招标单位 | 点击查看 | ||
| 代理机构 | 点击查看 | ||
| 招标状态 | 详见内容 | ||
设置中标提醒
网络平台安全建设项目建设方案
一、询价采购内容| 采购内容 | 工作内容 | 最高限价 (万元) | 资金来源 | 成交供应商数量(名) | 备注 |
| 等保测评服务 | 对重庆群众文化云平台各端按照等级保护2.0标准进行三级测评,出具测评报告 | 8.00 | 预算内 | 1 | |
| 其它安全服务 | 差距分析服务、漏洞扫描服务、渗透测试服务、管理体系建设服务应急演练服务、安全培训服务、季度漏扫服务 | 4.00 |
(一)基本资格条件
1.具有独立承担民事责任的能力。
2.具有良好的商业信誉和健全的财务会计制度。
3.具 (略) 必须的设备和专业技术能力。
4.有依法 (略) 会保障资金的良好记录。
5.参加政府采购活动近三年内,在经营活动中没有重大违法记录。
6. 法律、行政法规规定的其他条件。
注:以上2、3、4、5、6点提供“诚信声明”。
(二)特定资格条件:1.具有《网络安全等级测评与检测评估机构服务认证证书》(提供资质证书复印件并加盖供应商公章)。
2. 已列入《全国等级保护测评机构推荐目录》(提供网上截图并加盖供应商公章)。
三、采购项目数量及技术要求1.项目背景
近年来,重庆市群众艺术馆 (略) 和市文化委的有力指导和大力支持下,积极探索公共文化服务方式与服务手段的创新,并于2014年11月牵头完成了重庆公共文化物联网服务平台、重庆市群众艺术馆官网和线下数字体验空间建设。2016年,在整合已有的线上平台和线下设备基础上,围绕群众文化需求,打造三网合一、由1个主平台+40个区县分平台+1100多个乡镇(街道)基层服务点+N个群众为架构的重庆文化馆(站)数字文化服务云平台,主要有信息发布、网络培训、报名预约、艺术赏析、活动开展、直播点播、志愿服务、大数据等15个功能板块,并于2017年11月上线试运行。平台将上接国家公共文化云平台,下联重庆 (略) ,横向将与市图书馆、市美术馆、 (略) 等市内公共文化单位和市教委、市科协、重庆有线电视及市外省级数字文化馆对接,逐步实现互联互通、资源共享。
根据《信息安全技术 网络安全等级保护定级指南》GB/T *** —2020,重庆群众文化云被定级为三级系统,因此需要每年进行一次安全测评。2020年、2021年连续两年通过等保测评。
2. 目标任务
深刻认识开展信息系统等级保护测评和安全建设整改工作既是确保安全生产的必要措施,也是法律明确规定网络运营者必须履行的网络安全主体责任。进一步强化依法履责意识,将此项工作纳入本年度重要工作日程,从人员、经费、技术上予以充分保障,深入查找并整改安全风险隐患,确保我馆网络安全防护能力的有效提升。严格按照网络安全等级保护制度2.0标准,委托具备等级测评资质的专门机构,对重庆群众文化云平台进行三级网络等保测评及安全整改,开展差距分析、漏洞扫描、渗透测试、代码审计、管理体系建设、安全加固等服务。
3. 建设内容
为了提升重庆群众文化云的安全防御能力,委托具备等级测评资质的专门机构,对重庆群众文化云平台进行三级网络等保测评及安全整改,完成本年度的等保测评服务。
4. 技术及质量要求
4.1信息系统定级情况。
| 序号 | 系统名称 | 拟定级别 |
| 1 | 重庆群众文化云 | 3级 |
| 重庆群众文化云平台(www.cqqyg.cn)是重庆市群众艺术馆将重庆市公共文化物联网、全市各区县文化馆的数字文化 (略) 进行“三网合一”,搭建的“1+40+1000+N”(即:由1个主平台+40个区县分平台+100 (略) 基层服务点+N个群众)为架构的全市文化馆(站)数字文化服务平台, (略) 首页、网络课堂、预约报名、艺术赏析、网络点播、特色文化、艺创空间、大数据等20多个功能版块,具备文化信息发布、艺术赏析、视频点播、展览展示、资源下载等数字文化服务功能,群众可通过PC端、APP端、H5端、微信端等方式访问并获取平台提供的数字文化服务。目前,重庆群众文化云平台租用的是浪潮 (略) 的运行环境及安全服务。 |
4.2 测评原则。等级保护测评实施方案设计与具体实施应满足以下原则:
(1)保密性原则: *** 方对 (略) 有资料以及在 (略) 接触到的商业秘密、技术资料、客户信息等资料和信息负有保密义务。
(2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
(3)规范性原则: *** 方工作中的过程和文档,应具有规范性,便于项目跟踪和控制。
(4)可控性原则:测评服务的进度应符合进度安排,保证 *** 方对测评工作的可控性。
(5)整体性原则:测评的范围和内容应系统、全面、规范,满足国家等级保护相关基本要求。
(6)最小影响原则:在项目实施过程中, *** 方应做好计划与安排,确保项目实施不影响系统的正常运行。
4.3. 测评方法
测评方法包括访谈、检查和测试三种方法,可细化为文档审查、配置检查、工具测试和实地察看等多种方法。
4.4 测评流程
信息系统安全等级保护测评流程分为四个阶段:测评准备阶段、方案编制阶段、现场测评阶段、报告编制阶段。
4.5测评内容
根据国家等级保护相关标准,信息系统的网络安全等级保护测评应包括以下内容:安全技术测评,包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、 (略) 等五个方面的安全测评;安全管理测评,包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评;安全工具测评,测评过程中根据项目需要,使用专业的安全分析工具(至少包含专业的主机网络安全分析、应用系统安全析工具)对系统进行安全分析。
(1)安全物理环境。安全物理环境测评是对信息系统的机 (略) 的物理环境安全防护情况进行测评,包括机房位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。
(2)安全通信网络。安全通信网络测评是对信息系统的网络整体架构情况进行测评,包括网络架构、通信传输、可信验证等方面的安全状况。
(3)安全区域边界。安全区域边界测评是对信息系统的网络安全边界防护情况进行测评,包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等方面的安全状况。
(4)安全计算环境。安全计算环境测评是对信息系统的网络设备、安全设备、主机操作系统、数据库、应用系统和数据安全防护情况进行测评,包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面的安全状况。
(5) (略) 。 (略) 测评是对信息系统的安全集中管控情况进行测评,包括系统管理、审计管理、安全管理、集中管控等方面的安全状况。
(6)安全管理制度。安全管理制度测评是对信息系统的安全管理制度体系的安全策略、管理制度、制定和发布流程、评审和修订机制等情况进行测评。
(7)安全管理机构。安全管理机构测评是对信息系统的安全管理组织和岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。
(8)安全管理人员。安全管理人员测评是对信息 (略) 人员的人员录用、人员离岗、安全意识教育和培训, (略) 人员访问管理等情况进行测评。
(9)安全建设管理。安全建设管理测评是对信息系统建设过程中的系统定级和备案、安全方案设计、产品采购和使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务 *** 方选择等情况进行测评。
(10)安全运维管理。安全运维管理测评是对信息系统运行维护过程中的环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、 (略) 置、应急预案管理、外包运维管理)等情况进行测评。
(11)等级保护测评工作要求的其他安全测评及分析报告。等级测评结论应具体包括被测对象名称、扩展要求应用、被测对象描述、安全状况描述、等级测评结论、综合得分相关内容。等级测评结果用合格与不合格来标注,安全状况描述应包括测评前平台漏洞总数、问题存在方面以及扫描修复之后漏洞存在数量和总体分数结论。
4.6安全服务
*** 方应严格执行国家相关标准(详见“项目依据”)要求,保证项目质量,在项目执行、项目控制、项目监督、结果验证等方面,针对服务中发现的安全问题,通过专业的技术手段进行合理分析,正确评估风险,并在 *** 方的参与下,包干负责完成 (略) 测评、整改、定级和备案工作。
(1)差距分析服务。根据《GBT *** -2019 信息安全技术网络安全等级保护基本要求》对信息系统从安全物理环境、安全通信网络、安全区域边界、安全计算环境、 (略) 、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等层面进行差距分析,出具《差距分析报告》和《信息安全等级保护预测评报告》。
(2)漏洞扫描服务。从合同签订之日起一年内,每季度通过评估工具以远程扫描的方式对评估范围内的系统和网络进行一次安全扫描,从内网和外网两个角度来查找服务器主机、数 (略) /口令等安全对象目标存在的安全风险、漏洞和威胁,每次需出具《漏洞扫描报告》。
(3)渗透测试服务。针对WEB应用系统,模拟黑客攻击方式对系统进行渗透测试,主要包括WEB层面和主机层面的测试。WEB层面:SQL 注入、失效的身份认证和会话管理、跨站脚本攻击 XSS、直接引用不安全的对象、安全配置错误、敏感信息泄露、缺少功能级的访问控制、跨站请求伪造 CSRF、使用含有已知漏洞的组件、未验证的重定向和转发。主机层面:传统Webshell检查、“一句话木马”检查、“图片木马”检查、 (略) 检查(帐号提权)、 (略) 、可疑进程检测、可疑端口检测、系统文件检测,出具《渗透测试报告》。
(4)管理体系建设服务
完善安全管理制度,补充安全管理记录文件,形成整体信息安全管理体系。
(5)应急演练服务
定期进行安全应急演练,制定应急演练预案、应急流程,演练之后进行总结,每年进行2次。
(6)安全培训服务
1)对系统管理人员进行web安全方面的培训,了解注入、跨站、文件上传等高危web漏洞的危害;
2) (略) 业务管理人员进行安全意识培训,每半年开展一次,每年度共进行两次技能个安全培训服务。
(7)季度漏扫服务
每季度通过评估工具以远程扫描的方式对评估范围内的系统和网络进行一次安全扫描,并出具相应的季度漏扫报告。
(8)网络制度汇编整理服务
整理本单位制度汇编,合并重复的相关制度,并完善容灾备份安全管理制度。
4.7进度安排
(1)前期准备
工作内容:根据公共函〔2021〕 (略) 文件和市文化旅游委的工作要求,协助市文化旅游 (略) 制订2022年度专项经费分配及任务落实方案报 (略) 审核。
完成时限:2021年12月中旬
(2)制订方案
工作内容:根据建设项目及资金额度,制订网络平台安全建设项目建设方案,明确建设目标、内容、方式、时限、预算等要素。
完成时限:2022年5月
(3)专家评审
工作内容:邀请相关专家对网络平台安全建设项目建设方案进行评审,并根据评审意见对项目建设方案作进一步地修改完善,同时报市文化旅游委备案。
完成时限:2022年6月
(4)招标采购
工作内容:按照我馆采购管理办法,编制采购计划,组织开展网络平台安全建设项目自主采购,签订采购合同。
完成时限:2022年6月
(5)建设推进
工作内容:按照项目采购合同约定以及项目建设方案的要求,加快推进网络平台安全建设项目的建设工作,确保按时、按量、保质完成各项建设目标任务。
完成时限:2022年6月——2023年3月
(6)结项验收
工作内容:邀请行业有关专家,对网络平台安全建设项目进行市级评审验收,并根据整改意见作对应调整。项目市级验收合格后,报市文化旅游委备案,迎接 (略) 组织的相关验收,并做好项目固定资产登记和项目资料归类入档工作。
完成时限:2023年3月——2023年6月底
四、商务要求(一)服务时间:合同签订之日起至2023年6月底。
(二)交货地点:采购人指定地点。
(三)验收方式:由采购人按询价文件的要求和合同的约定组织验收。
(四)售后服务:
(略) 家在质量保证期内应当为采购人提供以下技术支持服务:
1.电话咨询
成 (略) 家应当为用户提供技术援助电话,解答用户在使用中遇到的问题,及时为用户提出解决问题的建议。
2.现场响应
用户遇到使用及技术问题,电话咨询不能解决的,成 (略) 家应在4小时内采取相应响应措施;无法在8小时内解决的,应在12小时内派出专业人员进行技术支持。
五、报价要求本次报价为人民币报价,报价包含 (略) 有费用,包含但不限于 (略) 需的技术服务费、人工费、专家咨询费 (略) 需的相关设备费用及各种应纳的税费。因成交供应商自身原因造成漏报、少报皆由其自行承担责任,采购人不再补偿。
六、付款方式由采购人支付该项目合同款项,付款方式如下:
成交人提供经采购人验收合格的工作成果后,成交人向采购人开具发票,采购人在7个工作日内向中标人支付合同总额的100%。成交人开具发票是采购人付款的前提条件之一,成交人未能提供发票的,采购人有权暂缓付款,不承担延期付款责任。
七、联系方式采购人:重庆市群众艺术馆
联系人:文老师
电话: ***
地址:重庆市 (略) (略)
采购代理机构: (略) 重庆分公司
联系人:苏伟
电话:(023) *** -9110
地址:重庆渝北区黄山大 (略) 5-1(双鱼座A栋5楼)
