山東標新項目管理有限公司項目需求和技術方案要求一、項目概況全國人民代表大會常務委員會于2016年11月7日發布、自2017年6月1日起施行的《中華人民共和國網絡安全法》第二十一條提出“國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。”按照《關于開展信息系統等級保護安全建設整改工作的指導意見》（公信安〖2009〗1429號）和本行業的實際工作情況，水利部將水利網絡與信息安全系統建設作為水利信息化八大重點工程之一，并列入《全國水利信息化十二五規劃》。山東省調水工程運行維護中心是引黃濟青工程和膠東地區引黃調水工程的管理機構，業務信息化程度不斷深化，今特聘請第三方機構，在全面了解系統信息化現狀的基礎上開展等級保護定級備案和安全測評工作，提前發現存在的安全風險和隱患，提升安全管理水平。二、項目內容（一）信息系統安全等級保護測評1、服務范圍依據《信息安全技術網絡安全等級保護基本要求》（GB/T22239-2019），對照網絡安全等級保護2.0的標準要求，對山東省調水工程運行維護中心的計算機監控系統、通信傳輸系統2個三級信息系統；水量調度管理系統、工程管理系統、視頻會議系統、綜合移動應用系統、外網門戶系統、視頻監視系統6個二級信息系統開展等保測評工作，在技術和管理兩個方面逐一進行檢查和測試，測評過程需完全按照公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定的等級保護測評相關最新標準要求實施測評工作。通過現場測評，找出信息系統現狀與國家相關標準要求之間的差距，進行逐項分析和整體關聯分析，給出有針對性、切實可行的整改建議方案，并協助開展相關安全整改工作；對整改后的信息系統進行結果確認和復測評，出具網絡安全等級保護測評報告。2、測評依據公安部、國家保密局、國際密碼管理局、國務院信息化工作辦公室聯合轉發的《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）；公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定的《信息安全等級保護管理辦法》（公通字[2007]43號）；《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號）；《關于加快推進國家電子政務外網安全等級保護工作的通知》（政務外網［2011］15號）；《計算機信息系統安全保護等級劃分準則》（GB17859-1999）；《電子政務信息安全等級保護實施指南》（國信辦[2005]25號）；《信息安全技術網絡安全等級保護基本要求》（GB/T22239-2019）；《信息安全技術網絡安全等級保護定級指南》（GB/T22240-2020）；《信息安全技術網絡安全等級保護實施指南》（GB/T25058-2019）；《信息安全技術網絡安全等級保護測評要求》（GB/T28448-2019）；《信息安全技術網絡安全等級保護測評過程指南》（GB/T28449-2018）；《信息安全技術信息系統通用安全技術要求》（GB/T20271-2006）；《信息安全技術網絡基礎安全技術要求》（GB/T20270-2006）；《信息安全技術操作系統安全技術要求》（GB/T20272-2019）；《信息安全技術數據庫管理系統安全技術要求》（GB/T20273-2019）；《信息安全技術服務器技術要求》（GB/T21028-2007）；《信息安全技術終端計算機系統安全等級技術要求》（GA/T671-2006）；《信息安全技術信息系統安全管理要求》（GB/T20269-2006）；《信息安全技術信息系統安全工程管理要求》（GB/T20282-2006）；《信息技術安全技術信息技術安全評估準則第1部分：簡介和一般模型》（GB/T18336.1-2015）；《信息技術安全技術信息技術安全評估準則第2部分：安全功能組件》（GB/T18336.2-2015）；《信息技術安全技術信息技術安全評估準則第3部分：安全保障組件》（GB/T18336.3-2015）。3、測評內容測評主要包括但不限于以下內容：（1）安全技術測評主要包括安全物理環境、安全通信環境、安全區域邊界、安全計算環境和安全管理中心五個方面的測評；（2）安全管理測評主要包括安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理五個方面的測評。重點測評對象種類主要考慮以下幾個方面：1）主機房（包括其環境、設備和設施等）和部分輔機房；2）存儲被測系統重要數據的介質的存放環境；3）辦公場地；4）整個系統的網絡拓撲結構；5）安全設備，包括防火墻、入侵檢測設備和防病毒網關等；6）邊界網絡設備（可能會包含安全設備），包括路由器、防火墻、認證網關和邊界接入設備（如樓層交換機）等；7）對整個信息系統或其局部的安全性起作用的網絡互聯設備，如核心交換機、匯聚層交換機、路由器等；8）承載被測系統主要業務或數據服務器（包括其操作系統和數據庫）；9）管理終端和主要業務應用系統終端；10）能夠完成被測系統不同業務使命的業務應用系統；11）業務備份系統；12）信息安全主管人員、各方面的負責人員、具體負責安全管理的當事人、業務負責人；13）涉及到信息系統安全的所有管理制度和記錄；14）制定各系統應急預案并協助進行演練。4、測評遵循工作原則在等級保護測評實施的過程中應遵循以下原則：（1）客觀性和公正性原則測評人員應當沒有偏見，在最小主觀判斷情形下，按照測評雙方認可的測評方案，實施測評活動；（2）經濟性和可重用性原則：鼓勵測評工作重用以前的測評結果，所有重用的結果，都應基于結果適用于目前的系統，且能夠反映出目前系統的安全狀態；（3）可重復性和可再現性原則：不論誰執行測評，依照同樣的要求，使用同樣的測評單位，對每個測評實施過程的重復執行應該得到同樣的結果；（4）結果完善性原則：測評所產生的結果應當證明是良好的判斷和對測評項的正確理解。測評單位方案設計與實施應滿足以下原則：（1）符合性原則：應符合國家網絡安全等級保護制度及相關法律法規。（2）標準性原則：方案設計實施與信息安全體系的構建應依據國內、國際的相關標準進行。（3）規范性原則：項目實施應由專業人員依照規范的操作流程進行，在實施之前將詳細量化出每項測評內容，對操作過程和結果提供規范的記錄，以便于項目的跟蹤和控制。（4）可控性原則：項目實施的方法和過程要在雙方認可的范圍之內，實施進度要按照進度表安排，保證項目實施的可控性。（5）整體性原則：等級保護測評與安全體系設計的范圍和內容應當整體全面，包括安全涉及的各個層面，避免由于遺漏造成未來的安全隱患。（6）最小影響原則：項目實施工作應盡可能小的影響網絡和信息系統的正常運行，不能對信息系統和業務的正常運行產生顯著影響。（7）保密原則：對項目實施過程獲得的數據和結果嚴格保密，未經授權不得泄露給任何單位和個人，不得利用此數據和結果進行任何侵害用戶利益的行為。5、編制測評報告、協助整改備案根據測評具體情況，按照《公安部信息系統安全等級保護測評報告模板》出具《信息系統安全等級測評報告》，協助開展后期建設整改工作，并在公安網安部門進行備案。本階段供應商需要提交的最終成果文檔應包括但不限于：《信息系統安全等級保護測評實施方案》《信息系統安全等級保護測評差距分析報告》《信息系統安全建設整改方案》 《信息系統安全等級保護測評報告》（二）網絡安全服務1、安全自查協助開展信息安全自查、檢查工作，配合上級主管部門和其他信息安全主管部門完成對采購人的信息安全檢查工作。參照網絡安全等級保護方法，指導采購人完成信息安全自查工作，針對自查存在問題的情況制定相應的系統加固整改方案，消除或降低安全隱患。2、信息安全管理體系建設按照網絡安全等級保護的相關要求，結合采購人實際情況，梳理和完善采購人的信息安全管理制度，健全信息安全管理體系和技術保障體系。制定信息安全總體目標、信息安全責任機構和職責、詳細工作的安全運行機制等，完善在信息系統建設、運維、升級等各環節的管理制度，有效提升信息網絡安全的管理水平。根據要求加強安全管理，形成穩定高效的服務管控體系，做到管理規范、流程合理、職責明確、服務高效。提交《信息安全管理制度體系》文檔，其中包含但不限于：《信息安全保障框架》、《信息安全組織管理框架》、《人員安全管理規定》、《第三方和外包安全管理規定》、《信息安全授權與審批管理規定》、《信息資產管理規定》、《機房安全管理規定》、《終端及工作環境安全管理規定》、《數據安全管理規定》、《存儲介質安全管理規定》、《信息安全設備管理規定》、《信息系統安全方案》、《信息安全應急預案》等。3、信息安全風險評估依據《信息安全技術信息安全風險評估規范》（GB/T20984-2007）及CNAS17020風險評估體系的要求，服務期內對服務內容做資產評估、威脅識別、脆弱性識別、風險分析、漏洞掃描和滲透測試工作，系統分析并找到威脅和脆弱性，全面評估安全隱患，并根據風險嚴重級別制定風險處理計劃。對目前所采用安全控制措施的有效性進行檢測評估，提出有針對性的抵御威脅的防護對策和整改措施，出具詳細的《信息系統安全風險評估報告》，評估過程需按照CNAS相關要求實施，并在最終交付的風險評估報告中加蓋“CNAS檢驗機構”認證專用章。成果文檔應包括但不限于：《信息系統漏洞掃描報告》《信息安全風險評估報告》《信息安全整改加固報告》4、應急響應服務協助完善網絡安全事件應急體系建設，對應急體系的適應性進行評審并提出具有建設性的建議，加強對網絡安全應急資源的儲備及管理，建立網絡安全的預警及發現機制，提高信息系統的快速響應、恢復能力。安全事件應急響應：提供7*24小時的安全應急響應服務，故障確認后濟南市需在2小時內到現場，省內濟南市以外地區需要第一時間有效響應、并最快到達現場，協助進行網絡安全事件的應急處置工作。處理安全事件時需采用規范的流程和技術手段進行有效響應，并在安全事件處理后，分析安全事件發生的原因和給出解決建議，出具應急響應報告。應急事件處置委派至少1名CISAW（應急方向專業級）專職工程師開展工作（提供近6個月社保證明）。5、漏洞掃描與滲透測試服務期內對所測評系統開展全面的漏洞掃描和專業滲透測試工作。漏洞掃描需采用專業工具掃描（漏洞掃描、數據庫掃描采用產品必須為商業化產品）、人工驗證、滲透測試三種方式相結合，查找服務器、操作系統、安全設備、應用軟件等存在的安全漏洞，針對發現的漏洞類型、出現原因及解決方法進行匯總和分析，并提出符合采購人網絡環境的解決方案。提供專業滲透測試和漏洞挖掘服務。對相關應用進行滲透測試服務，服務范圍包括采購人相關的信息系統，出具專業的《信息系統滲透測試報告》；滲透方式包括但不限于目錄測試、敏感文件測試、枚舉測試、中間件漏洞脆弱性測試、常見web框架漏洞脆弱性測試、服務器漏洞測試、權限測試、拒絕服務測試等。參與滲透測試的成員當中應擁有“國家級”CNVD原創漏洞證明材料（三份及以上）。此項服務成果文檔應包括但不限于：《信息系統安全漏洞掃描報告》《信息系統滲透測試報告》報告應具備盡可能詳細的說明及修復意見，對漏洞所導致的危害進行說明及驗證并提供完整的詳細修復建議，內容需包含漏洞名稱、漏洞危害、漏洞地址、漏洞參數、漏洞說明、漏洞驗證、修復建議等文字與圖文的形式說明。《漏洞威脅情報詳情分析》漏洞威脅情報詳細分析包括漏洞詳情分析、危害評分詳情分析、威脅詳情分析可以日、月、年等自定義時間進行生成報告。6、協助安全加固在全面評估的基礎上針對信息系統當前存在的重要問題，從技術和管理兩個方面制定切實可行的工作方案，根據安全現狀測評結果制定安全加固方案，落實整改措施，保證加固效果。安全加固方案應從網絡結構及設備部署情況進行整體規劃，考慮物理安全整改、網絡安全整改、主機安全整改、應用安全整改、數據備份與恢復整改等，加固內容包括但不限于：網絡安全加固、主機安全加固、應用系統加固、應用中間件加固、數據庫安全加固等。7、安全咨詢與安全運維（1）服務期內提供安全咨詢服務，協助采購人建立信息安全策略，制定網絡安全總體規劃，為解決網絡安全問題提供解決方案。（2）安全事件發生時，市區內2小時內到達現場，進行故障排除、數據恢復、證據收集并形成報告；重大活動和安保期間提供駐場安全運維服務。（3）至少委派2名具有CISAW（安全運維專業級）的專職工程師到現場進行故障排除和安全運維服務(提供近6個月社保證明)。8、網絡安全培訓服務期內至少組織1次技術培訓，對采購人提供安全管理培訓和安全技能培訓。主要內容包括網絡安全最新形勢、網絡安全法、等級保護2.0、應急響應、安全技術和項目部署要求等內容，培訓具體時間和內容要事先與采購人達成一致。（1）安全管理培訓。內容主要包括：網絡安全形勢分析，安全意識與安全管理，等級保護、應急處理、常見安全問題及處理方法等相關內容。（2）安全技能培訓。內容主要包括：常見漏洞及解決方案、重要應用系統安全配置、主要安全設備的原理及安全設置、目前黑客主要攻擊手段及防范措施、常用檢測、監測工具的使用方法、緊急事件處理方法以及安全意識、新技術引入導致的安全問題等。（3）培訓講師中至少包含1名專職CIIP-T認證講師(提供近6個月社保證明)。三、項目實施要求（一）保密要求★項目實施過程中所收集、產生的所有與本項目相關文檔、資料，包括文字、圖片、表格、數字等各種形式所屬權均歸屬山東省調水工程運行維護中心，成交人有義務對所涉及到的內容保密，并在簽定合同時簽署保密協議。（二）實施要求及項目控制要求1、在項目實施過程中，供應商應做好計劃與安排，不影響采購人正常業務工作的開展。2、在項目實施過程中，供應商應具備完善的項目質量管理能力和實施控制能力，確保測評實施流程規范合理，測評結果準確有效。四、其他要求（一）響應文件要求供應商應該熟悉水利信息化相關建設技術要求，具有相關的等保測評經驗，在響應文件的技術方案中，應該包含但不限于以下內容：1、水利信息化項目等保測評的實施方案、過程和方法體系設計；2、水利科技信息化項目省級等保測評單位案例及等保測評成果的提綱；3、本項目的具體實施設計思路、可行性分析和詳細實施方案；4、本項目交付成果的進度保證、質量保證和風險管理措施。（二）測評工具要求在等級保護測評過程中，應采用詢問、檢查、測試、工具掃描等多種手段組合的方式。測