第四章 采购需求 一、项目名称：蔡家洲水电站电力监控系统等级保护测评 ....docxVIP

第四章 采购需求 一、项目名称：蔡家洲水电站电力监控系统等级保护测评服务采购(第二次） 二、项目预算：42万元 三、项目概况： 长沙电力调度控制中心关于督促蔡家洲水电站关于涉网安全防护等问题整改的函，电力监控系统涉网安全防范典型问题及治理要求中第26项，明确要求电力监控系统应通过等级保护测评和备案，等级保护测评定级后（需达到三级）向当地公安机关进行备案。 四、服务内容及要求： （一）服务内容： 按照《信息安全等级保护管理办法》（公通字【2007】43号）、《电力监控系统安全防护总体方案》（国能安全【2015】36号文）等文件要求，蔡家洲水电站电力监控系统等级保护测评主要包括风险评估、等级保护测评、信息安全培训、安全巡检等内容。 1.风险评估内容 全面梳理信息系统资产，了解信息系统安全现状，测试整个信息系统存在的漏洞和隐患，总结风险情况，评估其安全风险等级。 风险评估主要通过现场测评方式对管理制度评审等9个方面进行现场测评整理和分析，编制测评报告，分析隐患和风险，提出解决方案建议，提交正式测评报告。具体要求如下： 1.1.1管理制度评审：根据安全管理的不同管理域，依据电力行业网络信息安全的相关标准要求，评估单位的信息安全管理能力。 1.1.2物理安全评估：依据相关标准检查机房防静电、防雷、温湿度、照明、电力供应、安全监控、门禁等基础防护措施的部署及运行情况。 1.1.3网络结构安全性分析：根据相关安全标准的要求来评估蔡家洲水电站当前网络结构的合理性。 1.1.4网络设备安全配置评估：网络设备安全配置评估主要是验证其安全配置是否符合其安全策略，即安全策略是否正确得到实现。 1.1.5操作系统安全配置评估：操作系统配置评估主要采用手工方式检测系统本身由于配置不当带来的脆弱性。 1.1.6应用系统安全评估：主要评估 WEB 应用系统的安全功能设计及配置情况，确保应用系统在账号设置、权限分割、安全审计、敏感信息保护、会话保护等方面进行了合理的安全功能设计和配置，并对常见脚本攻击漏洞、第三方插件漏洞、中间件漏洞进行检查。 1.1.7数据库系统安全评估：对oracle、sql 等数据库管理系统本身的安全配置按照相关标准和最佳实践进行检查，检查内容包括版本和补丁、用户账号和授权、存储过程、安全审计、数据字典保护。 1.1.8漏洞扫描：采用专业漏洞扫描工具，从网络中不同的接入点对主机进行漏洞扫描，发现主机对不同的网络区域暴露的漏洞情况。 1.1.9渗透测试：尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段，发现系统最脆弱环节的过程。 风险评估完成后，出具正式的《信息系统安全测评及整改建议报告》，并对报告内容进行解释，给出适当的安全整改建议，并报告相关主机操作系统和网络设备安全加固措施及加固状况。 2.等级保护测评内容 通过对蔡家洲水电站网络信息系统的等级保护差距分析，分解成单元测试和整体测试两部分，单元测试中包括物理安全等10个方面测评，整体测评主要包括等4个方面的测评等。完成现场差距分析之后，找出目前信息系统与等级保护安全要求之间的差距，并出具正式的《系统等级保护测评报告》。具体要求如下： 2.2.1单元测评：主要测评基本安全控制在信息系统中实施配置情况 2.2.1.1物理安全测评：通过访谈和检查的方式评测信息系统的物理安全保障情况。 2.2.1.2 网络安全测评：通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。 2.2.1.3主机系统安全测评：主通过访谈、检查和测试的方式评测信息系统的主机系统安全保障情况。 2.2.1.4 应用安全测评：通过访谈、检查和测试的方式评测信息系统的应用安全保障情况。 2.2.1.5 数据安全测评：通过访谈和检查的方式评测信息系统的数据安全保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全。 2.2.1.6 安全管理机构测评：通过访谈和检查的形式评测安全管理机构的组成情况和机构工作组织情况。 2.2.1.7安全管理制度测评：通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。 2.2.1.8 人员安全管理测评：通过访谈和检查的形式评测机构人员安全控制方面的情况。 2.2.1.9系统建设管理测评：通过访谈和检查的形式评测系统建设管理过程中的安全控制情况。 2.2.1.10 系统运维管理测评：通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。 2.2.2整体评测：主要测评分析信息系统的整体安全性。 2.2.2.1安全控制间的安全测评：主要考虑同一区域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。 2.2.2.2层面间安全测评：主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。 2.2.2.3区域间安全测评：主要考