[互联网]防火墙技术测评方法.doc

附件2: 中国疾病预防控制中心2012年新址信息系统建设项目网络信息系统安全等级保护项目招标技术需求书 中国疾病预防控制中心二〇一二年二月 目录 1 建设背景 4 1.1 等级保护工作现状 4 1.1.1 已备案信息系统 4 1.1.2 信息安全管理制度 4 1.2 信息安全规划介绍 5 1.3 主要应用系统介绍 6 1.3.1 中国疾病预防控制信息系统 6 1.3.2 免疫规划信息系统 6 1.3.3 协同办公平台 7 1.3.4 视频会议系统 7 1.3.5 门户网站 9 1.4 基础环境介绍 10 1.4.1 机房建设 10 1.4.2 网络系统及设备 11 1.5 IT运维现状介绍 14 2 建设目标 15 2.1 定级备案目标 15 2.2 整改测评目标 15 2.3 安全体系与能力目标 16 3 建设原则 16 3.1 遵循标准，重点保护。 16 3.2 行业指导，属地管理。 16 3.3 同步建设，动态完善。 16 4 中标人建设任务 17 4.1 细化实施方案 17 4.2 定级备案 17 4.3 现状分析 17 4.3.1 风险评估 18 4.3.2 差距分析 18 4.4 细化整改方案 19 4.4.1 修订安全规划。 19 4.4.2 拟订安全技术整改方案。 19 4.4.3 拟订安全管理整改方案。 20 4.5 整改 21 4.5.1 安全技术整改 21 4.5.2 安全管理整改 22 4.6 等级测评 23 4.7 宣传培训 23 4.8 售后支持服务 24 5 投标人建设要求 24 5.1 安全保密要求 24 5.2 软硬件设备要求 24 5.3 资质要求 26 5.4 建设进度要求 26 5.5 实施人员要求 27 5.6 验收要求 27 5.7 报价要求 28 5.8 政策规范要求 28 5.8.1 政策文件 28 5.8.2 相关标准 29 基础类标准 29 应用类标准 29 产品类标准 30 其他类标准 32 5.8.3 2011年公安部卫生部联合检查组意见 33 5.8.4 2011年网络设备安全测评整改意见 36 6 技术支持与售后服务 38 6.1 中标人的技术支持与服务 38 试运行期间的技术支持与服务 38 质量保证期内的技术支持与售后服务 38 质量保证期后的技术支持与服务 39 6.2 投标人需实质性响应内容 39 7 培训要求 40 7.1 培训形式 40 7.2 软硬件设备培训内容 41 7.3 信息安全等级保护培训 41 建设背景 等级保护工作现状 已备案信息系统 根据国家信息安全等级保护要求，中国疾病预防控制中心（以下简称“中国疾控中心”）于2007年，将中国疾病预防控制信息系统按信息安全等级三级备案，门户网站按二级备案。 2011年，中国疾控中心在昌平新址重新构建了网络、安全系统及配套基础设施，应用系统迁移至新址。同年11月22日，根据《中华人民共和国计算机信息系统安全保护条例》和《信息安全等级保护管理办法》等规定， 公安部、北京市公安局、卫生部联合检查组对中国疾控中心信息安全等级保护工作进行了检查。（结果见建设要求5.8.3） 2011年11月22-25日，中国疾控中心依托新址系统集成项目，专门开展了网络设备的等级保护测评，对照等级保护要求初步梳理了中国疾控中心信息网络安全设备、设施及制度建设。（结果见建设要求5.8.4） 信息安全管理制度 中国疾控中心已有和组织制定信息安全相关管理制度如下：《中国疾控中心关于加强网络直报系统用户与网络安全管理工作的通知》、《中国疾病预防控制中心内部门户和协同办公信息系统管理运行暂行规定》(未正式下发)、《中国疾病预防控制中心远程疫情会商视频会议系统使用管理办法（试行）》、《中国疾病预防控制信息系统用户与权限管理规范》、《中国疾病预防控制中心信息网络管理办法（试行）》(未正式下发)、《中国疾病预防控制中心局域网用户终端网络接入管理规范》、《IT运维管理制度》和《机房管理制度》。 信息安全规划介绍 2007年，中国疾控中心组织制订了整体信息资源规划和新址建设设计方案，提出了包含安全策略、安全保护、安全检测和安全响应的信息安全体系建设规划。 中国疾控中心主要从物理安全、网络安全、数据安全、应用安全及安全管理几个层面来进行安全系统设计。安全体系结构规划主要考虑安全对象和安全机制，安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等，其安全体系如下图。 图3中国疾控中心信息安全体系规划结构 主要应用系统介绍 经过多年的信息化建设，目前中国疾控中心有多个信息系统，按使用对象范围可分为三类。第一类是面向全国各级疾控业务工作人员，以中国疾病预防控制信息系统、免疫规划信息管理系统为代