采购项目地技术需求（项目技术及规格参数）.docVIP

PAGE PAGE 9 采购项目的技术需求（项目技术及规格参数） 一、测评对象 四川省金保工程一期建设项目的所涉及的建设内容。 二、风险评估和等保测评范围和原则 范围 依据相关标准对四川省金保工程一期所涉及到的网络、主机、操作系统、数据库、中间件、应用软件、安全产品、安全策略、以及安全管理制度等按国家信息安全等级保护的相关标准进行信息安全等级保护测评，并进行信息安全风险评估。 本次测评对象包括： （1）网络架构和关键网络设备等； （2）操作系统、数据库、中间件、应用软件等； （3）安全措施和安全产品，包括但不限于防火墙、网闸、防病毒软件等安全产品； （4）安全管理策略、制度、流程规范等。 原则 项目的方案设计与具体实施应满足以下原则： 最小影响原则：工作应尽可能小的影响系统和网络的正常运行，不能对网络的运行和业务的正常运行产生显著影响（包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况应在投标文件上详细描述）； 标准性原则：服务方案的设计与实施应依据国内或国际以及税务行业的相关标准进行，包括但不限于《GB/T 20984-2007信息安全技术 信息安全风险评估规范》，符合《信息安全等级保护管理办法》（公通字[2007]43号）、《计算机信息系统安全保护等级划分准则》（GB 17859-1999）、《信息系统安全等级保护基本要求》（GB/T 22239-2008）、《信息系统安全等级保护实施指南》（GB/T 25058-2010）等国家标准；等； 规范性原则：投标人的工作中的过程和文档，应具有较好的规范性，便于项目的跟踪和控制； 可控性原则：方法和过程要在双方认可的范围之内，安全服务的进度要按照进度表安排实施，保证招标人对于服务工作的可控性； 整体性原则：评估内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患； 保密原则：对过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为，否则招标人有权追究投标人的责任。 投标人应针对上述各项，在投标文件中落实诸原则各方面要求，并予以详细解释。 三、等保测评和风险评估内容 1、等保测评内容 按照国家关于信息系统信息安全等级保护管理的相关规定和标准，对上述项目所包含的信息系统进行信息安全等级保护测评，并进行定级。测评完后出具等保测评报告，并协助招标人进行等保在主管单位的备案； 2、风险评估内容 评估内容包括管理脆弱性评估、技术脆弱性评估。安全管理脆弱性评估主要包括安全管理、安全运行策略评估。技术脆弱性评估主要包括主机系统、网络系统、存储备份系统、应用业务系统、数据信息、安全产品等关键资产的信息安全风险评估。评估具体项目如下： （1）安全管理脆弱性评估内容： 安全管理机构 安全管理制度 人员安全 系统建设管理 系统运维管理 应急预案 （2）技术脆弱性评估内容： 主机系统安全评估 物理安全 身份鉴别 访问控制 安全审计 系统保护 信息保护 入侵防范 恶意代码防范 资源控制 安全漏洞 网络系统安全评估 网络访问控制 网络安全审计 边界完整性检查 网络入侵防范 恶意代码防范 网络设备防护 关键设备的安全策略 应用业务系统安全评估 身份鉴别 访问控制 通道加密 安全审计 剩余信息保护 通讯完整性 通讯保密性 抗抵赖 软件容错 资源控制 代码安全 数据信息安全评估 数据完整性 数据保密性 数据备份和恢复 安全设备安全评估 安全漏洞 安全策略 物理安全 身份鉴别 访问控制 安全审计 系统保护 信息保护 物理环境安全评估 物理位置的选择 物理访问控制措施 防盗窃和防破坏措施 防雷击 防火 防水和防潮及 防静电措施 温度湿度控制措施 电力供应 电磁防护等 四、测评总体要求 测评服务工作要求 投标人在等保测评和风险评估前应制定详细的技术方案。 等保测评和风险评估包括但不限于以下对象：网络结构、网络服务、主机系统、存储备份系统、数据库、中间件、应用系统、数据安全、安全系统、系统安全策略等。 安全风险状况分析必须使用手工分析、工具扫描结合的方式进行。投标人列明拟投入使用的工具的情况，对环境和软硬件平台的要求等。投标人负责在项目实施前完成扫描工具的安装及调试，评估环境的搭建。 投标人应描述服务的技术方案，包括准备工作、技术措施、人员安排、时间进度、可能对系统造成的影响等。 安全测评工作应尽量选择在非业务繁忙时段进行，将可能带来的影响减至最小。 投标人在项目完成后应分析和整理安全风险评估服务实施结果和系统安全现状，提交详细的安全风险评估结果分析报告，并给出有效降低风险的合理性建议。 在风险评估实施过程中，如果需要提前进行系统测试，搭建测试环境所使用的服务器、网络设备及相关软件由招标人提供； 等级保护测评完后，协助招标人整理备案材料和