招考业务信息系统安全等级保护测评服务招标需求书-广州公共资源.doc

一、招标项目简介 （一）项目名称：广州市招生考试委员会办公室 （二）项目编号：CZ2016-**** （三）项目类别：服务类 （四）采购预算（最高限价）：人民币00元。 用途：业务;（一）符合《政府采购法》第二十二条所规定的条件；分公司投标的，必须由具有法人资格的总公司授权。（二）投标人必须具备广东省信息安全等级保护工作协调小组办公室的推荐证明或备案证明。 （三）本项目不接受联合体投标。? ?（一）采购人： ? ?采购人名称：广州市招生考试委员会办公室 ? ?采购人地址：广州市越秀区建设六马路16号8楼 ? ?联 系 人：陈文拓 联系电话：(020 第二章 单独出具单台主机的详细漏洞描述和解决建议作为后期整改依据。 4.系统安全整改建议分析 依据系统测评结果，针对不符合项、系统漏洞和系统风险点，提出安全整改建议，并形成安全整改方案。 项目整改方案要求 协助采购人进行整体安全整改规划方案的详细设计，主要包括（不限于）技术措施、管理措施以及安全建设规划，形成《招考业务信息系统等级保护整改方案》。 （一）技术措施的详细设计 1.结构框架设计 依据每个信息系统所需达到安全等级的相应要求和信息系统的实际情况，给出与总体安全规划阶段的安全体系结构一致的安全实现技术框架。 2.功能要求设计 对安全实现技术框架中使用到的相关信息安全产品提出功能指标要求。对需要开发的安全控制组件，提出功能指标要求。 3.性能要求设计 对安全实现技术框架中使用到的相关信息安全产品提出性能指标要求。对需要开发的安全控制组件，提出性能指标要求。 4.部署方案设计 结合目前信息系统网络拓扑，以图示的方式给出安全技术实现框架的实现方式，包括信息安全产品或安全组件的部署位置、连线方式、IP地址分配等。对于需对原有网络进行调整的，给出网络调整的图示方案等。 5.制定安全策略实现计划 依据信息系统安全总体方案中提出的安全策略的要求，制定设计和设置信息安全产品或安全组件的安全策略实现计划。 （二）管理措施的详细设计 结合系统实际安全管理需要和技术建设内容，协助采购人确定安全管理建设的范围和内容，同时注意与信息系统安全总体方案的一致性。安全管理设计的内容主要考虑：安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。 （三）安全建设的规划方案 依据信息系统安全总体方案、采购人信息化建设的中长期发展规划和安全建设资金状况确定各个时期的安全建设目标。 根据安全建设目标和信息系统安全总体方案的要求，设计分期分批的主要建设内容，并将建设内容组合成不同的项目，阐明项目之间的依赖或促进关系等。 在时间和经费上对安全建设项目列表进行总体考虑，分到不同的时期和阶段，设计建设顺序，进行投资估算，形成安全建设项目计划。 信息安全服务 本次信息安全服务项目周期为自合同签订起1年 服务名称 内容简介 单位 数量 备注 安全通告 系统安全问题通告 每月提供汇总安全通告 次/ 不限 邮件/电话形式通告 网络安全 问题通告 每月提供汇总安全通告 次/ 重大安全漏洞预警 对于影响范围大、破坏性高的安全漏洞进行实时安全预警通告 次/ 应急响应 7x24小时电话安全咨询 全天候，主要提供安全技术类的建议或者普通安全事件的远程沟通处理 次/年 根据实际需求，通过电话或邮件等方式 7x24小时安全事件紧急响应 全天候小时到达现场，每次提供相应的响应报告，找出根源并提供可行解决方案 次/年 远程无法解决的安全事件 应急演练 协助采购人开展应急演练 包含演练计划编制、演练场景设计、演练场景测试、演练脚本编制、演练培训、演练实施、应急预案、演练评估、提出完善建议等。 次/年 安全培训 员工安全意识培训 有针对性地对员工常见的缺乏安全意识导致的安全事件进行培训 次/年 具体培训课程根据实际情况 信息技术工作人员安全技能培训 包括主流操作系统安全方面，用户安全、登录安全、文件安全；网络实体安全；访问控制、防火墙、入侵检测技术；数据泄露；信息加密技术；病毒防治；数据库安全等方面。 2 培训课件制作 根据用户要求制作3个安全培训课件及相关试题 3 安全 漏洞扫描 每对全网进行一次扫描检查，提供扫描报告和分析 次 4 / 渗透测试 每 次/年 4 / 安全设备日志分析 每季度对客户现网中部署的安全设备进行有效的安全配置日志分析，找出存在的安全威胁并形成日志分析报告。 次 4 / 核心服务器配置检查和日志分析 每季度安全配置 次 4 / 新系统上线 安全检测 每季度对新上线的系统进行漏洞扫描及安全配置检查，找出不合规的配置项，形成报告并提供整改方案，通过安全检测后系统方可上线使用 次/ 4 / 网络架构分析