XX第X医科大学科技学院智慧化校园平台系统三级等保测评服务采购项目参数技术参数及要求（2024年）.docVIP

下载本文档

0
0
约2.6千字
约 4页
2024-11-14 发布于北京
举报
版权申诉

XX第X医科大学科技学院智慧化校园平台系统三级等保测评服务采购项目参数技术参数及要求（2024年）.doc

此“教育”领域文档为创作者个人分享资料，不作为权威性指导和指引，仅供参考

1、本文档共4页，可阅读全部内容。
2、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
5、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
6、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
7、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
8、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

XX第X医科大学

科技学院智慧化校园平台系统三级等保测评服务采购项目参数技术参数及要求

项目概述

2017年6月1日，《中华人民共和国网络安全法》正式实施，其中第二十一条明确规定“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务”。确定了信息系统单位“谁主管谁负责，谁经营谁负责”的信息安全保障责任制。《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），明确了等级保护是我国开展网络安全保障工作的基本制度、基本国策和基本方法，确定了系统定级、备案、等级测评、安全建设整改、监督检查等工作流程及要求，为开展网络安全等级保护工作提供了规范保障，注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）对重点单位重要信息系统等级保护工作部署和组织实施、信息系统定级、备案、等级测评、安全建设整改等工作明确了监督管理要求。

二、项目具体内容

（一）等级保护测评内容

1、项目范围

序号

测评系统名称

服务内容

服务期限

XX第X医科大学科技学院智慧化校园平台系统

等级保护测评及整改建议分析和最终测评服务

1年

2、服务对象

XX第X医科大学科技学院信息系统，等保测评三级系统一个。

3、等保测评技术依据

《中华人民共和国网络安全法》

《网络安全等级保护实施指南》（GB/T25058-2019）

《网络安全等级保护基本要求》（GB/T22239-2019）

《信息系统安全保护等级定级指南》（GB/T22240-2008）

《网络安全等级保护测评过程指南》（GB/T28449-2018）

《网络安全等级保护测评要求》（GB/T28448-2019）

《信息安全技术网络安全等级保护安全设计技术要求》（GBT25070-2019）

服务周期

服务周期：1次。

（二）项目具体要求

1、等级保护测评

工作阶段、流程、内容、及成果交付严格遵循《网络安全等级保护测评要求》（GB/T28448-2019)和《网络安全等级保护测评过程指南》（GB/T28449-2018）文件，根据系统等级开展相应级别的单项测评和整体测评；测评报告内容及格式严格遵照《网络安全等级保护测评报告模版（2021年版）》。

按照《信息安全等级保护管理办法》、《网络安全保护等级实施指南》，遵循《网络安全等级保护基本要求》（GB/T22239-2019）等技术标准，从每个信息系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等10个层面进行测评，并参考被测单位自身信息安全管理要求，从安全控制间、层面间、区域间的综合分析进行整体测评。

应依据信息系统的业务应用和内外部环境，深入调研分析各信息系统资产状况和重要性程度，以及面临网络安全的威胁。

安全物理环境层面应在采用专用测试工具测试和人工现场复核方式对信息机房的消防、防雷击、防水防潮、防静电、空调、UPS、电磁辐射以及防盗等基础服务实施的防护措施进行检测检验。

安全通信网络层面应通过上机配置验证的方式对网络和安全服务的安全配置及设置逐项进行检测验证，以发现网络架构、通信传输、可信验证等方面的安全隐患。

安全区域边界应通过上机配置验证的方式对网络和安全服务的安全配置及设置逐项进行检测验证，以发现边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范等措施的安全隐患。

安全计算环境应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全服务的安全配置及设置逐项进行检测验证，以发现身份鉴别、访问控制、安全审计等措施的安全隐患；并通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证，以发现身份鉴别、访问控制、安全审计、软件容错、资源控制等措施的安全隐患。

安全管理中心应通过上机配置验证的方式对安全管理中心平台的安全配置及设置逐项进行检测验证，以发现系统管理、审计管理、安全管理、集中管控等措施得安全隐患。

安全管理层面应对被测单位网络安全管理现状进行需求分析，确定安全管理目标和安全策略，针对信息系统的各类管理活动，梳理已存在的安全运维管理制度、人员安全管理制度、安全建设管理制度、定期检查制度。

通过采用恶意代码检测工具、漏洞扫描工具、WEB日志安全分析工具、预警检测系统、渗透测试工具系统、网络流量分析工具等对网络、主机等进行检查、渗透测试分析。

在收集充足数