一、采购项目名称:深圳市深汕特别合作区智慧海防(一期)建设项目商用密码安全评估及安全测评服务项目
二、采购项目需求:
(一)项目概况:
深圳市深汕特别合作区智慧海防(一期)建设项目包括2个雷达站、4个光电站、30个前端群防感知设备、2套卡口、1套海防综合指挥平台及配套设施,项目概算建筑安装工程费约为741.54万元。依据国家《网络安全法》和《密码法》以及《关于进一步规范市级政务信息化项目建设密码应用有关工作的通知》文件的要求,现需落实开展项目信息安全等级保护测评、密码应用安全性评估、第三方测评服务等相关工作。
(二)项目技术要求:
1.服务内容:
①商用密码应用安全性评估服务
依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》三级系统测评指标要求和GM/T 0115-2021《信息系统密码应用测评要求》对智慧海防(一期)项目开展信息系统商用密码应用安全性评估服务,交付对应的《商用密码应用安全性评估报告》,出具报告的测评机构必须为具有保密局颁发且开展商用密码应用安全性评估工作的资格单位。
②信息系统等级保护测评服务
依据《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)和《信息安全技术网络安全等级保护定级指南》(GB/T 22240-2020)对智慧海防(一期)项目开展信息系统等级保护测评服务,并由具备公安部颁发的“网络安全等级测评与检测评估机构的认证单位”开展测评服务,交付对应的符合公安机关要求的《等级保护测评报告》。
③第三方测评服务
据智慧海防(一期)项目建设总体要求和国家相关质量检测标准要求,对项目进行第三方检测,完成系统软件硬件的测试和质量评估。检测各系统功能切实满足用户的应用需求,同时满足平台的易用性、可靠性、信息安全性、平台用户使用高峰期的性能需求以及各系统应用的兼容性、可移植性和可维护性。检测包括但不限于功能性测试、性能效率测试、符合性核查等,应由具备检验检测机构资质认证的单位(CNAS或者CMA) 出具第三方检测报告。
2.满足服务所需的工具及相关要求(开展相关服务需具备的工具,非本项目采购范围),其中“▲”号条款为重点参数要求。
(1)网络安全管理工具:
a.网络安全管理系统:网络设备、安全设备、数据库、中间件、操作系统、应用系统、服务器、云服务器、虚拟化平台等
b.具备数据总览视图,在一张图上至少包含当前异常服务信息统计、风险趋势图、IP分布概况、配置合规状况、漏洞数据汇总、风险提示等。
c.支持创建、编辑、删除资产模板,用户可自定义模板的字段,字段类型包括文本框、单选框、多选框、时间选择框等,可设置字段的默认值、验证规则和是否为必选。(提供对应功能截图或专业第三方监测报告)。
▲d. 提供WMIC、SSH、SNMP、RDP方式对资产基线数据进行采集,采集数据包括服务、软件、端口、账号、操作系统、进程、补丁等(提供对应功能截图或专业第三方监测报告)。
▲e.支持资产对漏洞进行标识,标识分为新漏洞、遗留漏洞、复发漏洞。(提供对应功能截图或专业第三方监测报告。
f.支持根据不同用户场景,灵活配置风险捕获策略,自动获取其他安全设备的风险数据信息。(提供对应功能截图或专业第三方监测报告)。
▲g.支持扫描策略,可配置策略的扫描时间、扫描方式以及扫描范围,扫描方式包括IPScan、SNMP v12V3。(提供对应功能截图或专业第三方监测报告)。
h.建立安全通告事件库,与内网资产进行关联分析。(提供对应功能截图或专业第三方监测报告)。
(2)密码安全认证工具:
a.网络SSL功能:支持SSL加速、SSL卸载、HTTP压缩、Web高速缓存功能、HTTP请求和响应改写、HTTP内容改写、HTTP反向代理转发和HTTP重定向。
b.协议支持:支持TLS1.1、TLS1.2、TLS1.3、DTLS1.3等协议;支持同时启用IPV4和IPV6协议;支持IP协议以及网络层以上协议。
▲c.提供《商用密码产品认证证书》,满足密码模块二级要求。(提供相关证书)
d.符合GM/T 0022-2014《IPSec VPN技术规范》、GM/T 0024-2014《SSL VPN技术规范》相关要求。
e.符合GM/T 0028《密码模块安全技术要求》、GM/T 0039-2015《密码模块安全检测要求》安全等级第二级相关要求。
▲f.提供《安全认证网关功能性能符合性检测报告》;(提供专业第三方监测报告)。
g.工具符合安可替代工程适配产品相关标准。
(3)测评工具
a.具备测评全过程的核心功能软件
▲b.支持现场记录、整改建议、问题描述等编制(提供对应功能截图或专业第三方监测报告)
c.支持测评方案、实施计划等(测评过程材料)文件生成、上传(提供对应功能截图或专业第三方监测报告)
d.支持测评结果分析、安全问题汇总、安全问题风险分析、判定汇总(提供对应功能截图或专业第三方监测报告);
e.对测评过程文件进行归档管理
f.应支持手动填写漏洞扫描信息,或就漏洞扫描层面支持第三方检查工具检查结果文档上传
▲g.具备离线可作业机制,支持无网络环境脱机作业(提供对应功能截图或专业第三方监测报告)
▲h.具备自主计算机软件著作权登记证书(提供相关证书)。
3.服务要求:
①人员配置要求
在项目实施期间,乙方安排至少1名测评人员提供技术服务,包含技术协助和测评服务。
项目实施过程中,需要对项目进行规范化管理,要有项目组织、管理、进度和验收计划以及风险控制、质量控制等相关方案,确保项目实施质量。
在项目最终验收之前,未经招标人同意,不得调换项目经理。
②技术服务要求
(1)商用密码应用安全性评估服务
提供完整的技术服务方案,基本实施参考要求有:按照商用密码应用安全性分类分级评估的要求,依据《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)要求及信息系统等级保护定级情况,对系统开展商用密码应用安全性评估。
指标类 | 测评指标 | 测评内容 |
总体要求 | 合规性 | 密码算法 |
合规性 | 密码技术 | |
合规性 | 密码产品 | |
合规性 | 密码服务 | |
物理和环境安全 | 真实性 | 身份鉴别 |
完整性 | 电子门禁记录数据完整性 | |
完整性 | 视频记录数据完整性 | |
网络和通信 安全 | 机密性和真实性 | 身份鉴别 |
完整性 | 访问控制信息完整性 | |
完整性 | 通信数据完整性 | |
机密性 | 通信数据机密性 | |
集中管理 | 集中管理通道安全 | |
设备和计算安全 | 真实性 | 身份鉴别 |
完整性 | 访问控制信息完整性 | |
完整性 | 敏感标记的完整性 | |
完整性 | 日志记录完整性 | |
机密性 | 远程管理身份鉴别信息机密性 | |
可信计算、完整性 | 重要程序或文件完整性 | |
应用和数据 安全 | 真实性 | 身份鉴别 |
完整性 | 访问控制 | |
机密性 | 数据传输安全 | |
机密性 | 数据存储安全 | |
完整性 | 日志记录完整性 | |
完整性 | 重要应用程序的加载和卸载 | |
密钥管理 | 密码模块内部 | 生成 |
加密存储 | 存储 | |
身份鉴别、数据完整性、数据机密性 | 分发 | |
正确性、防窃取或篡改 | 导入与导出 | |
正确使用、防泄露和替换 | 使用 | |
明确备份策略、可审计 | 备份与恢复 | |
安全性和正确性、仅用于历史信息、可审计、安全备份 | 归档 | |
紧急情况可销毁 | 销毁 | |
安全管理 | 制定密码安全管理制度 | 制度 |
定期修订安全管理制度 | ||
明确管理制度发布流程 | ||
制度执行过程记录留存 | ||
了解并遵守密码相关法律法规 | 人员 | |
正确使用密码相关产品 | ||
建立岗位责任及人员培训制度 | ||
建立关键岗位人员保密制度和调离制度 | ||
设置密码管理和技术岗位并定期考核 | ||
规划 | 实施 | |
建设 | ||
运行 | ||
应急预案 | 应急 | |
事件处置 | ||
向有关主管部门上报处置情况 | ||
指标类 | 测评指标 | 测评内容 |
总体要求 | 合规性 | 密码算法 |
合规性 | 密码技术 | |
合规性 | 密码产品 | |
合规性 | 密码服务 | |
物理和环境 安全 | 真实性 | 身份鉴别 |
完整性 | 电子门禁记录数据完整性 | |
完整性 | 视频记录数据完整性 | |
网络和通信 安全 | 机密性和真实性 | 身份鉴别 |
完整性 | 访问控制信息完整性 | |
完整性 | 通信数据完整性 | |
机密性 | 通信数据机密性 | |
集中管理 | 集中管理通道安全 | |
设备和计算安全 | 真实性 | 身份鉴别 |
完整性 | 访问控制信息完整性 | |
完整性 | 敏感标记的完整性 | |
完整性 | 日志记录完整性 | |
机密性 | 远程管理身份鉴别信息机密性 | |
可信计算、完整性 | 重要程序或文件完整性 | |
应用和数据 安全 | 真实性 | 身份鉴别 |
完整性 | 访问控制 | |
机密性 | 数据传输安全 | |
机密性 | 数据存储安全 | |
完整性 | 日志记录完整性 | |
完整性 | 重要应用程序的加载和卸载 | |
密钥管理 | 密码模块内部 | 生成 |
加密存储 | 存储 | |
身份鉴别、数据完整性、数据机密性 | 分发 | |
正确性、防窃取或篡改 | 导入与导出 | |
正确使用、防泄露和替换 | 使用 | |
明确备份策略、可审计 | 备份与恢复 | |
安全性和正确性、仅用于历史信息、可审计、安全备份 | 归档 | |
紧急情况可销毁 | 销毁 | |
安全管理 | 制定密码安全管理制度 | 制度 |
定期修订安全管理制度 | ||
明确管理制度发布流程 | ||
制度执行过程记录留存 | ||
了解并遵守密码相关法律法规 | 人员 | |
正确使用密码相关产品 | ||
建立岗位责任及人员培训制度 | ||
建立关键岗位人员保密制度和调离制度 | ||
设置密码管理和技术岗位并定期考核 | ||
规划 | 实施 | |
建设 | ||
运行 | ||
应急预案 | 应急 | |
事件处置 | ||
向有关主管部门上报处置情况 |
(2)信息系统等级保护测评服务
a.等保咨询服务
对服务范围内的目标系统按照国家标准进行等保咨询和等保测评服务,并提交等保相关文档。
b.等保风险分析服务
根据等级保护基本要求,开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理的现状分析,通过安全访谈、脆弱性评估、登录检查、日志分析以及渗透测试等技术手段对现有的安全资产进行全方位的风险评估,结合信息资产属性、威胁、脆弱性等基本要素,分析信息系统安全风险评估分析,编制风险分析报告。
c.等保差距评估服务
在安全评估和信息系统定级的基础上,根据《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析,从管理和技术两个层面找出存在的问题并进行差距分析。
d.安全策略复查服务
需派遣专业工程师到现场针对加固前后的系统脆弱性进行复查,复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。复查结束后,形成加固前后对比复查报告。
e.等保定级咨询服务
在信息系统自行定级的基础上,参照国家和地方对等级保护定级的有关要求,对信息系统开展摸底调查工作,掌握信息系统的基本情况,了解信息系统(包括信息网络)的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息,协助完成撰写信息系统定级报告,明确信息系统的边界和安全保护等级,并组织专家评审。
f.等保备案辅助服务
根据《信息安全等级保护管理办法》,信息系统运营使用单位或主管部门需到当地公安机关备案,投标人需提供备案咨询服务,协助采购人填写《信息系统安全等级保护备案表》等准备材料,直到完成备案工作。
g.等保测评服务
根据网络安全法及国家等级保护相关标准,安排具有测评资质的等级保护测评机构进行等级保护安全测评,获取该测评机构出具的正式等级保护测评报告。根据等级测评报告模板出具测评报告,根据测评结果形成整改建议方案,并充分配合用户单位开展整改工作。
(3)第三方测评服务
按照国家、省的有关法规文件规定并依据国家标准及项目文档进行测评,客观、公正地分析评估和报告被测系统的整体状况,提交系统存在的缺陷,提出系统的改进建议,使系统达到一个稳定可靠的质量状态,并出具第三方测评报告。
依据国家及行业标准(GB/T 25000.51-2016《系统与软件工程系统与软件质量要求和评价(SQuaRE) 第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》和GB/T 25000.10-2016《系统与软件工程系统与软件质量要求和评价(SQuaRE) 第10部分:系统与软件质量模型》。
a.功能测试
通过适合性、准确性、互操作性、一致性、安全保密性等,验证已完成开发的应用系统是否达到设计的要求。根据测试标准和项目设计方案、招投标方案、合同等,对项目的各项功能进行验证,按照功能测试用例逐项测试,发现软件缺陷,确认项目是否完成项目要求的功能,检查软件的使用手册等验收文档是否齐全。
b.性能测试
针对已完成的应用系统,监控并发数、响应时间、资源利用率等参数,进行抗压测试、事务测试,验证被测项目是否具备良好的数据传输、应用访问的性能要求,各项指标是否满足性能要求,应用系统对大数据量的压力测试、高强度的用户访问消耗时间是否满足甲方的性能要求。
c.符合性测试
依据各建设项目的合同及相关招投标、设计方案等有效性文档,对采购的硬件设备进行核对查验,查验是否符合合同及招投标文件的要求,包括设备数量、型号、规格查验等;
d.软件许可核查:依据各建设项目的合同及相关有效性文档,对采购的软件产品进行核对查验,查验是否符合合同及招投标文件的要求,包括软件名称,许可证及许可信息等软件许可查验;
e.软件部署与软件许可一致性查验:依据各建设项目的合同及相关有效性文档,对部署的软件产品进行核对查验,查验是否与软件许可一致;
f.设备加电测试:对被测硬件设备进行加电测试,确定硬件设备在通电后均可无故障运行;
(4)信息系统安全技术支持和咨询服务
协助完成智慧海防(一期)项目信息安全咨询和技术服务,完成信息系统自定义评级,对系统进行调研和应用分析,包含但不限于(系统部署的机房、终端类型、系统架构类型、用户范围、用户量、关键业务操作环节、存储的重要数据、系统传输的数据量、系统加密、系统签名等),对测评不符合的信息系统出具相应整改报告和建议,协助采购方完成整改直至通过有关主管部门的审核备案和项目验收。
4.服务成果:
(1)商用密码应用安全性评估服务
《商用密码应用安全性评估报告》1份。
(2)信息安全等级保护测评服务
《等级保护测评报告》1份。
(3)第三方测评服务
《第三方检测报告》1份。
(4)其它
根据甲方需要,交付项目过程相关材料。
(三)项目商务要求:
1.服务期限:
本项目服务期为期两个月。自智慧海防(一期)建设项目上线且完成系统整改,具备了测评条件开始,两个月内完成测评服务,期限内应完成深圳市深汕特别合作区智慧海防(一期)建设项目的商用密码安全评估及安全测评服务并出具符合要求的相应报告。
2.付款方式:
完成深圳市深汕特别合作区智慧海防(一期)建设项目商用密码安全评估及安全测评并出具所有相应测评报告后,在15个工作日内办理财政支付手续,一次性付清测评服务费用。
3.报价要求:
本次深圳市深汕特别合作区智慧海防(一期)建设项目商用密码安全评估及安全测评服务项目暂设上限值为165000.00元,其中商用密码应用安全性评估服务费用上限值为52000元,信息安全等级保护测评服务费用上限值为65000元,第三方测评服务费用上限值为48000元。项目报价为含税报价,需包含6%增值税。如开票适逢国家税率变更,依据新税率实施要求按照不含税金额价格重新计算税额开具发票。本项目询价采购完成后,以中标价签订合同。
三、供应商资格要求:
1.具有独立法人资格或具有独立承担民事责任的能力的其它组织(提供营业执照或事业单位法人证等法人证明扫描件,原件备查)。
2.本项目不接受联合体投标。
3.参与本项目投标前三年内,在经营活动中没有重大违法记录。
4.参与本项目政府采购活动时不存在被有关部门禁止参与政府采购活动且在有效期内的情况。
5.具备《中华人民共和国政府采购法》第二十二条第一款的条件。
6.未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。
注:“信用中国”、“中国政府采购网”以及“深圳市政府采购监管网”为供应商信用信息的查询渠道。
(一)报价文件的组成(均需加盖单位公章)
1.报价函(详见附件);
2.报价单(详见附件);
3.法定代表人(或授权人)证明书及其身份证复印件;
4.企业营业执照复印件;
5.无重大违法记录承诺函(格式自拟);
6.企业资质证书复印件;
7.纳税人资质证明(如为一般纳税人,需提供资质证明);
8.投标供应商认为其他需要提供的材料
按《政府采购促进中小企业发展管理办法》(财库〔2020〕46号)、《财政部 司法部关于政府采购支持监狱企业发展有关问题的通知》(财库〔2014〕68号)和《三部门联合发布关于促进残疾人就业政府采购政策的通知》(财库〔2017〕141号)的有关规定执行。
六、重要提示:
1.报价单内容按照统一模板填写(详看附件)
2.供应商报价为市场摸底,最终采购方式由采购人负责解释。
3.本公告期限:符合资格的供应商应当在2023年2月8日上午9:00至2023年2月14日下午6:00期间将报价单发送至以下两个邮箱:
深汕特别合作区发改财政局采购办:sshzcgb@163.com
深汕特别合作区智慧城市建设管理服务中心招采:zjzx@szss.gov.cn
(5个工作日,公布当天不算)
4.采购人及区发改财政局有权对中标供应商就本项目资格条款要求提供的相关证明资料(原件)进行审查。供应商提供虚假资料被查实的,则可能面临被取消本项目报价资格、列入不良行为记录名单、三年内禁止参与本区政府采购活动的风险。
5.本询价公告及本项目招标文件所涉及的时间一律为北京时间。报价单位有义务在询价期间浏览深圳市深汕特别合作区深汕招标有限公司官网(http://sszbdl.com/),在深圳市深汕特别合作区深汕招标有限公司网上公布的与本项目有关的信息视为已送达各报价人。
七、联系方式
1.采购单位
单位名称:深圳市深汕特别合作区智慧城市建设管理服务中心
详细地址:广东省汕尾市海丰县鹅埠镇深汕特别合作区创富路文贞楼2栋
项目联系人:蒋瑛玞
联系方式:19928776189
2.投诉单位
单位:深汕特别合作区发改财政局采购办
电话:0755-22100803
邮编:518200
地址:广东省深圳市深汕特别合作区政和楼1栋