发布公告
比比招标网> 招标公告 > 海南省大数据管理局2022年度全省电子政务网络安全检查服务项目其他
| 更新时间 | 2022-03-01 | 招标单位 | 我要查看 |
| 截止时间 | 我要查看 | 招标编号 | 我要查看 |
| 项目名称 | 我要查看 | 代理机构 | 我要查看 |
| 关键信息 | 我要查看 | 招标文件 | 我要查看 |
每天更新 70000 条招标信息
涵盖超过 1000000 家招标单位
海南正业项目管理有限公司[联系方式]受海南省大数据管理局[联系方式] 委托,根据《中华人民共和国政府采购法》等有关规定,现对****年度全省电子政务网络安全检查服务项目进行其他招标,欢迎合格的供应商前来投标。
项目名称:****年度全省电子政务网络安全检查服务项目
项目编号:**-****-***
项目联系方式:
项目联系人:熊女士
项目联系电话:****-********
采购单位联系方式:
采购单位:海南省大数据管理局[联系方式]
采购单位地址:海南省海口市美兰区*指山南路会展楼*楼海南省大数据管理局[联系方式]***室
采购单位联系方式:熊女士/****-********
代理机构联系方式:
代理机构:海南正业项目管理有限公司[联系方式]
代理机构联系人:孙工/****-********
代理机构地址: 海南省海口市美兰区海甸街道海甸*东路滨江海岸*期**栋****室
*、采购项目内容
****年度全省电子政务网络安全检查服务项目需求
*、项目基本情况
*、项目名称:****年度全省电子政务网络安全检查服务项目
*、项目编号:**-****-***
*、采购预算:人民币***万元(含税)。超过采购预算金额的投标文件按无效投标处理。
*、服务期限:签订合同之日起*年。
*、实施地点:采购方指定
*、验收方式:由采购方组织有关部门按照国家有关标准及采购方内部管理的规定进行验收。
*、付款方式(以签订合同为准):
(*)签订合同之日起*个工作日内,中标方凭借正式有效发票,采购方支付合同金额的**%。
(*)提供服务满*个月后,中标方将阶段性服务输出成果形成自评报告,通过采购方组织服务考核评估合格后,中标方凭借正式有效发票,采购方支付合同金额的**%。
(*)项目实施完毕后,中标方总结项目服务自评报告,采购方组织考核,达到合格要求后,采购方凭借中标方正式有效发票在*个工作日内支付剩余合同款。
*、根据国务院办公厅关于建立政府强制采购节能产品制度的通知,在同等条件下优先采购节能产品。
*、用户需求
(*)项目背景
海南省电子政务外网是海南省电子政务关键公共基础设施,是政府提升行政效能、加强社会管理和创新政务服务的基础保障,为跨部门、跨地区的网络互联互通、信息共享和业务协同提供网络支撑服务,依托省电子政务外网统*政务云为全省各个厅局单位提供云资源服务。
为应对当前互联网数据安全事件高发态势,保障海南省电子政务外网整体的网络和数据安全,确保信息系统正常运行,计划对省电子政务外网中涉及存储、处理公共数据、公民个人信息的公共性、基础性政务信息系统开展常态化的红队渗透测试、数据安全风险评估和安全审计检查工作,并在重要活动和演练期间提供重保服务。以检测我省省电子政务外网及涉及存储、处理公共数据、公民个人信息的公共性、基础性政务信息系统是否存在数据安全漏洞和弱点,采用可控制、非破坏性质的方法和手段发现其存在的安全隐患,从而有效地防止真实安全事件的发生。
(*)项目目标
本次服务项目的是为了对海南省大数据管理局[联系方式]负责建设、管理和维护的涉及存储、处理公共数据、公民个人信息的公共性、基础性政务信息系统及关键信息基础设施开展网络与数据安全风险评估、红队渗透测试,及时发现相关信息系统网络和数据安全方面的风险,提供整改建议,并提供不少于两次的重要活动和演练现场支撑保障服务。
本次服务项目应对相关信息系统及关键信息基础设施的网络和数据安全防护情况做出初步判断,对发生安全事件的可能性和抵御安全风险的能力做出公正的、客观的评价,对所发现的安全风险问题及存在的不足之处进行分析,并提出整改建议,指导帮助相关信息系统采取正确的技术手段进行系统整改工作,以降低、消除、规避具体安全风险,确保相关系统的安全稳定运行。
(*)服务内容
*.*重要信息系统安全风险评估及审计
对海南省大数据管理局[联系方式]负责建设、管理和维护的涉及存储、处理公共数据、公民个人信息的公共性、基础性政务信息系统及关键信息基础设施(约**个)开展*轮安全风险评估和两轮数据安全审计工作,评估内容主要包括:
*.*.*管理层面风险评估
参照信息系统安全等级保护、********等国内国际权威的信息安全管理体系标准,采用访谈和文档审计等方式评估应用系统在信息安全管理方面的现状情况,包括:安全保障组织机构及人员配备情况、安全运维管理制度及流程、应急保障体系建设等。
*.*.*应用系统敏感数据分级分类评估
通过对系统的重要业务及敏感数据分布进行梳理调研,结合《数据安全法》《海南省政务数据分类分级指南(试行)》《海南省人民政府办公厅关于印发海南省公共信息资源安全使用管理办法的通知》(琼府办〔****〕**号)等文件要求和系统业务应用需求,检查分析应用系统数据分级分类工作和分级防护工作落实情况。
*.*.*数据生命周期安全评估
根据数据生命周期的特点从法律法规、政策、管理制度与流程、授权与审批、业务连续性、风险管理目标和风险容忍程度等各个审计点出发,以数据采集、数据传输、数据存储、数据处理、数据交换共享、数据销毁全生命周期的维度,检查和评价数据的安全性和可靠性,揭示可能存在的问题。
*.*.*应用系统数据接口安全评估
针对数据接口安全技术测评对系统数据输入、输出接口进行安全检查。具体检测内容如下:
*.*.*应用系统数据泄露风险评估
重点对系统完成身份认证安全性、系统授权管理、系统越权访问、用户敏感数据脱敏、批量数据违规获取、安全认证模式安全性、业务逻辑安全、日志审计分析、***安全等风险的检测,深入、全面发现被测系统在以上各方面的安全风险。
*.*.*关键信息基础设施补充检查要求
针对认定为我省关键信息基础设施的政务信息系统,在上述检查内容的基础上,结合《信息技术 关键信息基础设施安全检查评估指南》要求对系统开展合规检查、技术检测和分析评估工作。
*当前我局被认定为关键信息基础设施的系统为海南省政务外网数据交换共享平台、海南省政务外网**通信系统、海南省政府网站集约化平台,具体清单以服务期间实际认定情况为准。
*.*.*关联分析和总结报告
将各上述相关风险评估情况及原始资料进行汇总编排整理,在综合关联分析的基础之上编写风险评估汇总报告。报告应详细描述风险的位置、风险的原因和整改建议,并对所有检测出来的风险进行统计分析,指出被测系统在开发、入网、日常运营过程中可能存在的问题和整改建议。协助海南省大数据管理局[联系方式]完成风险评估后的整改和落实工作。
*.*.*信息系统数据安全审计检查
对海南省大数据管理局[联系方式]负责建设维护的,涉及存储、处理公共数据、政务数据、公民个人数据等重要数据的信息系统开展两轮数据安全审计工作,根据系统中服务器操作系统的分类不同,或者根据服务器业务应用的不同,每样抽查关键设备*~*台,利用技术工具和手段,对系统落实数据安全技术防范措施情况,系统重要操作日志进行抽查审计,查找系统在运行维护过程中高危操作审批管理、账号权限管理、第*方运维人员操作监管、技术防范能力落实情况等方面存在的问题和风险。
*.*重要信息系统红队渗透测试服务
对海南省大数据管理局[联系方式]负责建设维护的关键信息基础设施和面向公众提供服务的重要政务信息系统(以下简称靶标系统)开展模拟黑客的真实环境下网络攻击渗透工作,按月提供服务,每月至少组织*次。红队渗透工作应通过由服务方提供的专业攻防演练平台开展,并做好渗透记录留存。红队渗透测试主要内容包括但不限于:
主动信息收集:通过直接访问或扫描方式进行信息收集,如子域名(爆破、***解析记录)、外网存活**及开放端口、***应用敏感信息(***指纹、开发语言等)、旁站信息及*段信息、服务器及中间件信息等。
被动信息收集:通过第*方服务(比如搜索引擎、技术论坛、博客等)进行信息搜集,如单位信息(单位基本信息、关联隶属单位信息)、网站备案信息及*****信息、邮件系统信息、联网侧开放应用系统信息、供应链及内部员工敏感信息(仅限于搜集已在互联网公开信息,无法通过攻击手段获取)、未知的外部泄露信息(比如应用系统使用手册、框架介绍、内部组织架构等敏感文件)、威胁情报信息(暗网交易、数据倒卖、利用业务缺陷牟利等)等。
工具渗透测试:由手工测试和红队(攻击队)评估方的专业漏洞扫描器、漏洞扫描平台等,扫描和验证漏洞、配置错误及业务逻辑缺陷。渗透目标包括但不限于*/*架构、*/*架构应用、***服务端、小程序(微信、支付宝等)、公众号(**、***等)。
人工渗透测试:尝试利用外部黑客攻击的方式,从外部对目标单位互联网资产进行嗅探、踩点、入侵、并尝试各种技术类手段进行网络的纵向/横向入侵来发现组织中的整体网络的安全漏洞。渗透目标包括但不限于服务器操作系统漏洞利用、***中间件和数据库漏洞利用、宿主机第*方服务软件漏洞利用、网络设备漏洞利用、安全设备漏洞利用等,重点关注由海南省电子政务外网其它系统到靶标系统渗透测试。
横向渗透:渗透人员纵向渗透获取组织内网的命令执行权限后,开始内网全网中的横向移动,以获取目标信息系统的重要数据或权限,主要攻击行为包括但不限于、网络拓扑探测、弱口令探测、钓鱼攻击、中间人攻击(如***、***劫持等)、域环境攻击、后渗透权限维持、利用有效账户的远程服务、系统权限提升等。
*.*重要活动和演练保障支撑服务
依据重要活动和演练事前自查加固、事中预警防控和事后总结处理的原则,根据我局现有网络安全防护能力,从终端安全、数据安全、网络安全、应用安全等方面,在保障活动期间协助我局组织相关技术人员、管理人员、协同相关安全厂商和服务商的技术人员,成立保障工作组,完成协调指挥、监测预警、分析研判、应急处置、成果上报等各项工作。主要包括以下方面:
| 阶段 | 服务项目 | 服务内容 | 交付物 |
| 自查加固阶段 (预计*周) | 组织建立保障工作组 | 协调建立保障工作组和保障工作方案,开展工作宣贯;协助梳理制定网络安全事件处置及上报流程。包括事件监测、汇报、分析、验证、处置、留存、上报等环节。 | 保障工作方案和事件处置流程 |
| 指导开展自查和加固工作 | 组织协调梳理相关系统现有安全风险,指导开展紧急加固处置。 | 安全分析和加固建议报告 | |
| 保障 阶段 (参照具体保障工作要求) | 组织指挥和应急协调 | 根据保障工作组架构,组织大数据局协同相关技术人员、管理人员、协同相关安全厂商和服务商的技术人员,成立防守行动组,完成行动指挥、安全监测、安全分析、安全处置、成果上报、应急保障等各项工作。 | 保障期间根据工作安排,提供不少于*人的****小时驻场支持服务。 |
| 组织安全分析 | 协同海南省大数据管理局[联系方式]组织各安全设备厂商、安全服务商、云服务商、各系统建设维护单位针对保障工作要求建立联动的安全风险分析预警工作机制,组织开展风险分析工作。 | ||
| 组织成果上报 | 组织根据相关保障工作要求,组织汇总保障工作各环节相关报告材料,包括安全事件处置过程描述和证据截图等,形成事件处置报告。 | ||
| 总结 阶段 (*周) | 指导总结报告编写 | 对保障工作开展情况进行梳理,结合相关保障工作要求,编写保障工作总结报告。 | 保障工作报告 |
| 指导清理后门和修复漏洞工作 | 指导大数据局相关技术人员对保障工作过程中发现、发布、利用的各类安全漏洞进行重点排查和修复,同时清理后门,对留存的脆弱点进行整改加固。 |
*.* 协助海南省大数据管理局[联系方式]完成安全考核及通报制度设计
在海南省电子政务外网安全体系和规划架构之下,结合海南省电子政务外网网络安全管理职责分工,以及安全运营实际情况,设计海南省电子政务外网安全考核及通报制度。制度应主要包含安全考核周期、考核内容、考核指标、考核方式等内容。为省电子政务外网安全的管理运营提供科学合理的考核和通报指导,督促各政府部门落实党委(党组)网络安全工作责任制相关工作要求,做好安全运营管理,积极应对信息系统安全风险。
(*)服务要求
*.*服务人员配置要求
*.*.*重要信息系统安全风险评估及审计实施人员要求
要求组织不少于*人的现场风险评估团队人员开展安全风险评估及审计服务,包括*名领队,*名队员。
领队资质要求:要求具备*****或同等水平资质证书。
队员资质要求:要求具备****或同等水平资质证书。
*.*.*红队渗透测试服务实施人员要求
要求组织不少于*人的渗透测试团队人员通过互联网模拟黑客攻击,包括*名领队,*名队员;
领队资质要求:要求具备****-***资质证书,曾参与国家、省部级或行业级以上网络安全攻防演练活动,并取得靠前名次,具备良好的组织经验和文档编写能力。
队员资质要求:要求具备****-***资质证书,曾参与省市级网络安全攻防演练活动,并取得靠前名次,具备良好的文档编写能力。
*.*.*重要活动和演练保障支撑服务人员要求
要求组织不少于*人的重要活动现场保障支撑服务,包括*名领队,*名队员;
领队资质要求:要求具备****-***资质证书,曾参与国家、省部级或行业级以上网络安全攻防演练的防守活动,具有丰富的攻防演练防守组织经验和安全事件分析、处置、溯源经验,具备优秀的沟通能力。
队员资质要求:要求具备****或同等水平资质证书,曾参与省市级网络安全攻防演练的防守活动。
*.*服务调研
(*)明确范围:应根据服务内容要求,在服务期间对接我局安全管理负责人和相关信息系统管理员,调研和梳理检查评估对象的关键业务,明确检查评估工作计划、范围及检查评估内容。
(*)调研内容:应对检查评估对象开展调研,要求相关信息系统提供的内容包含但不限于运营单位信息及组织架构;检查评估对象的设施、网络、存储等基本信息;主要运营业务及其流程:管理运维人员、管理制度、应急响应制度等。
*.*方案制定
应结合检查评估对象,编制信息系统检查方案.内容需包含但不限于:
(*)检查评沽范围、对象、时间、进度安排:
(*)检查评估内容及实施方法:
(*)风险管控措施:
(*)人员安排:
(*)信息系统责任单位配合事项清单。
*.*检查工作实施
检查服务通过两种方式开展,*是现场检测,*是远程授权检测。
*.*.*现场检测服务
文档分析:由咨询顾问或专家对用户现有安全策略、规范、制度、表单的汇总、检查与分析,可以了解用户相关方面的内容,理出文档间的逻辑结构,从中发现错误、遗漏、陈旧、可改进项等问题。
问卷调查:通过对系统管理员、安全管理员、技术负责人、终端操作使用人等不同岗位、不同职责的调查对象先按比例抽样,再进行从业务、资产到面临的威胁、脆弱性等全面的匿名书面调查,大范围收集历史数据信息,为最后项目成果的客观性和全面性提供有力的证据。问卷调查成为本次项目定性评估的重要手段之*。
人工访谈:通过人工访谈方式针对收集的书面调查问卷进行确认。调查问卷中可能存在歧义或隐讳的地方,人工访谈就是通过面对面的交流,确实发现存在的隐患,为信息系统的安全评估提供更直接的信息依据。人工访谈对象是从发放调查问卷对象的基础上再按比例抽样开展具体工作。
调研勘查:被调查对象在接受调查过程中,总是或多或少的存在情绪上的抵触,对*些事实真相不能更客观的表达出来。调研勘查就是到被调查对象的现场环境中去采集最直接的数据信息的过程。可以修正问卷调查、人工访谈过程中,调查结果的偏离。调研勘查对象是在人工访谈对象的基础上按比例抽样后再开展的工作。
*.*.*授权检测
技术测试需要利用人工方式,在获得海南大数据局授权的情况下,在指定时间内,通过前期信息采集、敏感信息泄露漏洞检查、漏洞利用等技术手段,模拟真实互联网攻击手段,对信息系统进行包括敏感信息泄露风险检测在内的渗透测试操作,提前发现系统存在的数据安全风险。
参与技术检测工作的服务人员,必须为服务单位正式员工,测试期间应签署保密协议,涉及人员更换调整的,需报经省大数据管理局审核同意后才能实施。
*.*服务时间和交付要求
*.*.*信息系统安全风险评估报告
时间要求:重要信息系统安全风险评估工作应在****年*月底前完成。
交付要求:应在完成风险评估工作**天内,根据风险评估检查实施情况,按照系统输出《信息系统数据安全风险评估报告》,内容包括服务概述、风险评估情况、整改建议*部形成,明确检测内容、检测依据、敏感数据资产、基础安全评估、业务数据安全合规等方面的检测与问题发现,详细描述风险的位置、风险的原因,对所有检测出来的风险进行统计分析,提供整改建议等。
*.*.*信息系统安全审计报告
时间要求:第*轮信息系统安全审计工作应在****年*月底前完成;第*轮信息系统安全审计工作应在****年**月底前完成。
交付要求:应在完成安全审计工作**天内,根据安全审计实施情况,按照系统输出《信息系统数据安全审计报告》,内容包括信息系统服务概述、审计方法、审计结果和整改建议。
*.*.*信息系统渗透测试报告
时间要求:重要信息系统渗透测试工作应在****年**月底前完成。
交付要求:自合同签订之日起,按月提交渗透测试报告。
*.*.*重要活动保障工作报告
时间要求:根据国家和我省安排的具体保障活动要求安排(不少于*次)。
交付要求:在完成我局安排的重要活动保障工作任务后,对保障工作开展情况进行梳理,结合相关保障工作要求,编写保障工作总结报告。
*、开标时间:
*、其它补充事宜
本公告发布时间为:****年*月*日**:**分至*月*日**:**分。
*、预算金额:
预算金额:***.******* 万元(人民币)
客服热线:400-000-0388
业务合作:0351-2167156
关注比比网公众号
获取一手投标资讯
晋公网安备14019202000101号 Copyright©2015-现在 比比网络 版权所有 bibenet.com 晋ICP备14006571号-7
