湖南工程职业技术学院
湖南工程职业技术学院 > 学院首页>>通知公告

湖南工程职业技术学院信息系统等级保护测评和风险评估服务服务招标公告(第二次)

发布时间:2018年3月4日

根据工作需要,对我院信息系统等级保护测评和风险评估服务服务项目进行招标采购,现采用发布公告方式,邀请符合资格条件的供应商提交证明材料参与资格审查,并参与招标采购活动。

一、          投标人资格要求:

1、投标人基本资格条件:

(1)投标人法人营业执照副本复印件或事业单位法人证书复印件。

(2)法定代表人授权委托书原件及双方身份证复印件。

(3)投标人税务登记证(国税或地税)复印件。

(4)投标人社会保险登记证或缴纳社会保险的凭证复印件。

(5)如非法定代表人参与投标,需提供被授权人近三个月在本单位的社保证明。

(6)参加政府采购活动前三年内在经营活动中没有重大违法记录的书面声明。

2、投标人特定资格要求:

无。

二、          采购需求

(一)           项目名称

湖南工程职业技术学院信息系统等保测评和风险评估服务(本包预算:520000.00元)

品目号

品目名

数量(单位)

1-1

湖南工程职业技术学院信息系统等级保护测评和风险评估服务

1次


三、          服务要求、质量和标准

1.测评对象及范围

本次等级保护测评对象为:湖南工程职业技术学院门户网站、教务管理系统、学管系统、办公系统、人事系统、数字化信息门户、移动APP、数据中心、一卡通、课程资源管理系统等10个系统。

2.服务内容

2.1等级测评(二级)

对被测评信息系统开展二级安全等级保护测评。协助学院完成等级保护备案。测评内容包括:

①物理安全测评

②网络安全测评

③主机安全测评

④应用安全测评

⑤数据安全测评

⑥安全管理制度测评

⑦安全管理机构测评

⑧人员安全管理测评

⑨系统建设管理测评

⑩系统运维管理测评

2.3风险评估

对信息系统进行风险评估,评估内容包括:网络结构评估、操作系统配置核查、应用系统安全评估、数据库安全评估、漏洞扫描、渗透测试、管理制度评估、风险分析及计算、风险处置建议。并协助进行加固。

2.3.1网络设备和安全设备安全评估

网络设备和安全设备安全配置检查主要是以人工的方式验证其安全配置是否符合其安全策略要求,检查的内容至少包括:远程管理服务、认证方式、管理IP地址控制、console端口管理、Service password密码、enable密码、帐户登录空闲时间、密码长度、更改SNMP的团体串、转存日志、日志保存要求、login banner信息、NTP服务使用、BGP认证、接入层网络设备端口控制、MAC绑定、网络端口等。

2.3.2操作系统安全评估

主要对操作系统的安全配置进行检查,检查内容至少包括:管理远程工具、访问控制、限制系统无用的默认账号登录、账号远程登录、口令策略、日志记录、日志存储、日志保存、日志系统配置文件保护、日志文件保护、服务优化、文件权限、控制用户登录会话、关键文件的安全保护等相关配置。

2.3.3数据库管理系统安全评估

主要对数据库管理系统的安全策略进行检查,检查内容应至少包括主机管理员帐号、数据库帐号、默认帐号、重要帐号设置、口令策略、帐号策略、public权限、日志审核、登录日志记录、数据库操作日志、日志审计策略、日志保存要求、日志文件保护、数据字典保护、监听程序加密、监听服务连接超时、服务监听端口等。

2.3.4中间件安全评估

对中间件的安全策略进行检测,检查内容应至少包括日志配置、脚本安全、目录权限设置、默认站点安全、Web服务扩展安全、出错页面安全、用户权限、文件安全、目录浏览、日志审计、示例文件、版本安全、身份鉴别、登录锁定、通信安全、并发数安全、运行模式、Server header安全、删除sample程序等。

2.3.5应用系统安全评估

对应用系统的安全机制进行检查,检查内容包括:校验码机制、口令策略、账号策略、认证失败处理、通讯加密机制、授权机制、会话管理、安全审计等。

2.3.6漏洞扫描

2.3.6.1主机系统漏洞扫描

从被测系统内部或外部恰当选取测试点检查目标服务器存在的安全漏洞。

漏洞扫描策略如下:

①通用扫描策略:包括端口扫描、弱口令扫描、后门类扫描等;

②操作系统漏洞扫描:缓冲区溢出扫描、畸形数据包发送、蠕虫扫描等常见漏洞扫描;

③数据库漏洞扫描:包括口令猜测、本地缓冲区溢出扫描、拒绝服务攻击扫描等。

2.3.6.2应用系统漏洞扫描

从被测系统内部或外部恰当选取测试点,采用专业扫描工具检查目标系统应用层面存在的常见的安全漏洞,安全漏洞包括但不限于:SQL注入漏洞、XSS漏洞、文件上传漏洞、弱口令漏洞、中间件漏洞、目录浏览/遍历漏洞、越权访问、会话验证绕过、备份文件等。

2.3.7渗透测试

针对扫描发现的系统漏洞和应用漏洞有针对性的采取测试工具和方法对漏洞进行验证性测试,并尝试进行授权和旁站测试,全面评估安全漏洞可以被利用的程度。

2.4安全整改加固

根据测评结果中的不符合项、结合湖南工程职业技术学院实际情况编制《湖南工程职业技术学院信息系统等级保护整改方案》,并协助完成整改加固工作。

2.5信息安全意识培训

组织1次信息安全技术培训,以介绍当前信息安全形势、政策和技术发展趋势,宣贯国家信息安全政策和工作情况,讲解信息安全专业知识及运维技能等。

2.6交付物

《湖南工程职业技术学院信息系统等级保护整改方案》

《湖南工程职业技术学院门户网站系统等级保护测评报告》

《湖南工程职业技术学院教务管理系统等级保护测评报告》

《湖南工程职业技术学院学籍管理等级保护测评报告》

《湖南工程职业技术学院办公系统等级保护测评报告》

《湖南工程职业技术学院人事系统等级保护测评报告》

《湖南工程职业技术学院数字化信息门户网站系统等级保护测评报告》

《湖南工程职业技术学院移动APP等级保护测评报告》

《湖南工程职业技术学院数据中心系统等级保护测评报告》

《湖南工程职业技术学院一卡通系统等级保护测评报告》

《湖南工程职业技术学院课程资源管理系统等级保护测评报告》

4、服务要求

4.1人员资质要求

投标人项目经理需具有技术及管理知识和经验(提供相关CISP资质证书),参与本项目的人员需具有2年或以上信息安全等级保护测评、风险评估服务工作经验。

4.2工具要求

在服务过程中,投标人使用的测评与评估工具应严格遵循可控性原则,使用的所有工具须符合信息安全等级保护测评与风险评估标准,已经过可靠的实际应用验证,且由投标人自行负责。投标人须承诺在项目实施过程中所使用的工具,投标人均具有合法使用权,免受第三方提出的侵犯知识产权的起诉。

4.3文档要求

投标人应按照等级保护测评、风险评估规范要求制定服务过程中产生的文档及其管理制度,做到科学、规范、详尽、统一。

4.4保密要求

对湖南工程职业技术学院信息保密,投标人不得在任何场合向,以任何方式第三方透漏招标人内部信息。

4.5应用标准要求

符合ISO质量管理标准体系、信息安全等级保护、信息系统风险评估要求。

5、付款方式

信息系统等级保护测评、风险评估完成验收合格后付95%。收到中标方的等级保护测评报告后五个工作日内支付合同总额的100%。具体付款方式以签订的采购合同为准,付款均凭正式税务发票,发票须由中标单位开具。

 

四、          报名时间地点及投标保证金缴纳

从即日起至2018年3月7日17:00止,在工作日的上午8:30-12:00,下午14:30-17:00(北京时间)到湖南工程职业技术学院资产管理处办公楼119室,持法定代表人身份证明或授权委托书(附法定代表人身份证明)、个人身份证、资质证明材料复印件报名。报名同时需交纳壹万元投标保证金到学院财务处。

法人授权委托书要求:①无投标人行政公章及法人代表签字或盖章的视为无效授权。②授权范围应包括本文件涉及的全部内容而不得有缺项。

五、          投标资料的递交

1、按本公告第一条规定提交的证明材料,实施方案及报价文件等,应装订成册并密封,一式两份。

2、实施方案包括:投入人员,实施计划,服务承诺等有关内容。

六、          开标时间及地点

开标时间为2018年3月8日14:30(北京时间),地点为湖南工程职业技术学院三楼会议室。逾期送达的,不予受理。

七、          联系方式

采购人联系方式:湖南工程职业技术学院

地址:湖南省长沙市万家丽北路水渡河路100号

联系人:邵老师   赵老师               电 话:0731-84098356   

湖南工程职业技术学院