广西二轻工业管理学校信息系统等级保护测评与整改服务项目招标公告

序号

产品名称

技术参数及要求

数量

单位

1

等级保护测评服务

一、基本要求

1.由具有等级保护测评资质的单位对采购人智教云平台、门户网站等2个信息系统进行等级保护（二级）测评服务；

2.依据《信息安全等级保护管理办法》（公通字[2007]43号）和《信息安全等级保护定级指南》（GB/T22240-2020）协助采购人开展信息系统定级和备案工作，编写和提交符合公安管理部门规范要求的定级报告和备案表，以获得公安机关颁发的最新信息系统安全等级备案证明；

3.依据《信息系统安全等级保护基本要求》（GB/T22239-2019）对采购人开展安全等级测评工作，在项目终验前完成正式等级测评，并出具符合国家等保2.0相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的网络安全等级保护测评报告。

二、测评机构资质要求

必须将本项目的信息系统等保测评服务，委托给同时具备以下条件的测评机构进行测评：

1.提供投标人与拟委托测评机构的正式合作协议等证明资料；

2.具备国家公安部认证的等级保护测评机构

注：1.响应文件中必须提供所委托的测试机构相关资质等证明材料复印件，并加盖测评机构公章及投标人公章。

2.采购人对参与本项目的测评机构进行全国范围内核查，不接受因各种原因被包括但不限于省级信息安全等级保护协调小组或各级公安部门通报或处罚的测评机构，竞标人须对其所委托的测评机构进行严格筛选，如因上述原因而发生的各种不良后果和法律责任由供应商全部承担。同时，采购人有权向其追究因此而产生的各种名誉或经济损失。

三、测评机构人员要求

1. 项目测评间，需派出常驻测评人员不得少于2名，并在采购人现场提供相关测评服务、技术支持及现场测评操作。其中测评人员至少 1 人为高级测评师，1人为中级测评师。

2.以上测评机构的测评人员必须具备公安部信息安全等级保护评估中心颁发的《信息安全等级测评师证书》。

注：《信息安全等级测评师证书》等证明材料复印件，并加盖测评机构公章及投标人公章。

四、测评主要内容

1.上述信息系统的安全等级测评内容，应包括安全技术和安全管理两大类：

安全技术类：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心及备份恢复等方面的测评。

安全管理类：测评应包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面的测评，并提出安全建设整改建议。

2.对信息系统进行安全漏洞检测和挖掘，检测例如缓冲区溢出、SQL注入和跨站脚本等常见安全漏洞，并提供漏洞修补建议及时采取适当的处理措施进行修补，有效阻止安全隐患被利用和发生安全事件。

3. 响应文件中必须提供等级保护测评方案（由测评机构出具并加盖测评机构公章）。

4.服务期内提供面向共计2个业务系统，每个系统1次的人工渗透测试服务，并提供相关的测试及整改报告。

五、测评方法

在等级保护测评过程中，应采用访谈、检查、测试、工具扫描等国际国内认可的先进方法和手段进行，并与国家相关规范及标准的要求相符。测评中采用专业的国内安全扫描设备及软件产品辅助测评工作的完成。

六、保密与授权

响应文件中必须提供测评机构与投标人签署的委托授权协议（须加盖双方公章）

测评机构正式进场前必须与采购人签署保密协议。

1

项

2

技术整改

一、整体测评服务范围

本项目需要进行二级等级保护测评的系统为：智教云平台、门户网站，共2个备案二级信息系统。

二、总体要求

1.根据《信息系统安全等级保护基本要求》的相关规定，对采购人上述信息系统提供与本次测评有关的一切技术整改服务，直至采购人的报评业务系统顺利通过信息系统等级保护（二级）测评，并收到信息系统网络安全等级保护测评报告。

2.投标人需要完成等保2.0中关于安全通信网络、安全区域边界、安全计算环境中所涉及的所有交换设备的配置要求，并提供相关的技术方案，确保在等级保护测评过程中，总体指标符合测评要求。

三、整改具体要求

1.配置包括但不限于核心交换机、防火墙等的所有双机热备或其他符合等保要求的主备机制；在允许的条件下，对设备OS版本进行升级；

2.测评期间通过调整优化配置，确保在业务的高峰期，交换机等设备的CPU使用率和内存使用率满足业务运行要求；

3.对采购人的网络进行合理的梳理划分，采取VLAN等技术逻辑隔离，对不同网络区域配置合理的访问控制策略，满足测评要求，且不能对业务造成影响；

4.对非授权设备私自联到内部网络的行为进行检查或限制；

5.能够利用通过启用双因素认证技术，实现身份鉴别的要求；

6.项目交付过程中，提供对所涉及设备的漏洞扫描保护，确保在测评时无高危安全漏洞；

7.完成对采购人现有其他信息化设备进行对接联动，包括但不限于：防火墙、WAF、上网行为管理、堡垒机、日志审计、BR认证计费（该设备需进行不安全数据分析与清理）等；

8.如在整改过程中存在需对设备割接时，必须确保在安全且有回滚机制的前提下进行，割接工作前必须向采购人提供详细的割接方案，由采购人审核方案可行性后方可进行割接实施，以确保不对采购人生产业务连续性造成影响；

9.未尽事宜，以测评机构在测评过程中提出的各类技术要求为准。

四、提供信息安全等级保护整改及相关服务

1.整改内容包含：物理安全、网络安全、主机安全、应用安全和数据安全、备份恢复及现场问询答疑；

2.提供适用于现场测评环境的硬件搭建部署调整；

3.协助采购人建立健全信息安全管理制度，符合测评要求的全部制度文档；

4.对采购人的预测评系统进行全面安全检测并提供按照测评规范要求进行预整改服务；

5.对信息系统在确保业务不间断的情况下进行安全检测，提供信息系统安全巡检汇报，使采购人相关人员能够实时掌控信息系统的安全状况。对设备进行安全巡检，及时发现并消除网络故障和安全隐患，保障采购人网络和系统处于健康、安全的状态，确保相关业务持续运行；

6.指派安全服务人员对应用系统、操作系统、网络系统及安全设备的安全日志、安全告警等进行检查，分析安全事件及其关联，查找攻击者的攻击目标和路径。如果发现问题及时与采购人相关人员进行沟通，并提出解决方案和建议；

7.配合测评机构提供信息系统安全检查（包含网络信息搜集、端口扫描、远程溢出、口令猜测、本地溢出、脚本测试、渗透测试前后系统的状态等）；

在服务期内提供专业等级保护咨询与规划、安全应急、样本分析、安全意识培训等。

8.解决整改测评应用系统、网络系统，主机系统中存在的漏洞问题，以达到等保测评中渗透测试、漏洞扫描的安全要求；

9.为保证服务质量，供应商需提供自动化渗透测试工具完成等保建设整改服务，辅助测试工具可能具备相关功能包含：①为了贯穿整个渗透过程的操作，至少包括信息收集、插件管理、指纹管理、漏洞发现、漏洞利用、后渗透攻击模块；②可以根据可编程平台提供的接口编写自己的攻击插件，实现自定义的攻击需求；③可利用http协议、DNS协议等远程获取外带数据；④可通过内置的方法反弹交互shell到平台，执行vim、交互执行操作等功能；

10.协助测评服务：①撰写定级报告：通过调查与分析，撰写系统定级报告，包括系统描述、业务信息安全保护等级的确定、系统服务安全保护等级的确定、整个系统安全保护等级的确定等；②协助定级备案：协助采购人完成系统安全等级保护备案表的填写；③协助采购人组织召开系统定级结果评审会, 协助采购人完成整个定级审批过程；④协助采购人顺利通过等保测评；

11.部署web安全加固服务：①本地化部署轻量级安全监测防护平台，采用容器化部署和智能语义分析算法，实时监控系统运行状态和安全事件。通过无规则引擎的线性安全检测算法，实现平均请求检测延迟在毫秒级别，同时具备对未知特征的0day攻击的识别能力；②基于网络安全等级保护标准要求，全面评估系统安全现状，针对发现的安全风险制定详细的整改方案并实施。重点强化访问控制、安全审计、数据完整性保护等关键安全控制点；③基于Nginx的流量处理引擎架构，保障系统高性能与稳定性。设计完善的故障转移机制，确保服务可用性；④建立自动化安全配置管理机制，提供安全配置模板，确保系统安全策略的有效执行和持续优化。（投标时提供该项服务或设备的技术说明文件并加盖投标人公章）

12.整改技术人员进场前必须按采购人要求签署相关保密协议，严格遵守协议要求。

五、人员资质要求

要求提供整改服务团队人员不少于2人，至少具备以下资格证书中的一种：

①由国家工信部颁发的高级网络与信息安全工程师职业技术证书；

②注册信息安全专业人员认证证书（CISP）；

③国家计算机网络应急技术处理协调中心（CNCERT）颁发的网络安全能力认证证书（CCSC）。

注：以上两项要求投标人在响应文件中提供服务团队人员名单、人员认证证书，并加盖投标人公章，否则不予认可。

1

项

3

防火墙特征库授权lic（1）

1．DCN DCFW-1800E-X6020下代防火墙的USG特征库升级许可，包括:1年病毒库升级许可、1年URL分类库升级许可、1年IPS特征库升级许可、1年应用特征库升级许可；

2．要求原厂正版，客户端信息后台可查，不得提供非采购人单位归属名称的非法货源，响应文件中必须提供制造厂商正版授权说明函（加盖制造商公章），验收时提供制造厂商的CRM系统后台查询界面以确认授权的名称归属是否与采购人一致；

3．交付时提供介质、提供安装验证服务，提供防火墙硬件季度巡检服务（有效期1年）。

1

套

4

防火墙特征库授权lic（2）

1．DCN DCFW-1800E-N6008下代防火墙的USG特征库升级许可，包括:1年病毒库升级许可、1年URL分类库升级许可、1年IPS特征库升级许可、1年应用特征库升级许可；

2．要求原厂正版，客户端信息后台可查，不得提供非采购人单位归属名称的非法货源，响应文件中必须提供制造厂商正版授权说明函（加盖制造商公章），验收时提供制造厂商的CRM系统后台查询界面以确认授权的名称归属是否与采购人一致；

3．交付时提供介质、提供安装验证服务，提供防火墙硬件季度巡检服务（有效期1年）。

2

套