2024年恩施高中網絡安全等級保護測評及安全服務項目詢價公告

項目概況

2024年恩施高中網絡安全等級保護測評及安全服務項目的潛在供應商應在恩施高中校園網上獲取采購文件，并于2024年7月4日上午9：55整（北京時間）?以前提交響應文件。

項目基本情況

項目名稱：2024年恩施高中網絡安全等級保護測評及安全服務項目

基本情況：根據上級相關部門網絡安全管理要求及相關標準和規范，為加強重要信息系統安全防護工作，排除網絡安全隱患，結合我校網絡安全現狀，需對我校校園網絡進行全面的滲透測試和漏洞掃描，并對智慧校園重新進行等級保護測評。

采購方式：詢價

預算金額：柒萬捌仟元整（小寫：￥78000.00元）

最高限價：柒萬捌仟元整（小寫：￥78000.00元）

（以上費用為包干價，包含所交稅費。兩項服務需分別單獨報價，且報價不超過其單項預算，總價得不超過總預算，凡是報價超過此限價的報價無效。） ????????????????????????????????

采購需求

等級保護測評暨網絡安全服務清單及預算詳細表
服務項目	系統	定級級別	預算	備注
等級保護測評	智慧校園	二級	49000	等保2.0標準
網絡安全服務	全校所有信息系統、網絡及安全設備	/	29000	提供一年網絡安全綜合保障服務，對測評系統及核心機房網絡實施2次網絡安全漏洞掃描及滲透測試。
應急響應	全部服務器、網絡和安全設備	/	義務支持	對學校網絡安全事件進行處置和恢復
總預算			78000.00元

(一) 等級保護測評

參照《GBT22239-2019 網絡安全等級保護基本要求》和《GB/T28448-2019 網絡安全等級保護測評要求》等標準規范要求，開展信息系統等級保護測評及整改指導工作。測評及整改范圍為項目目標所涉及的基礎網絡環境、主機層面、應用層、數據庫層及相關安全輔助設備與管理制度，需要具備等級測評師或網絡與信息安全管理員能力人員提供整改咨詢指導，服務目標為最終通過公安部門及相關部門的等級保護檢查要求。

須完成服務項目清單中所有系統及其要求的定級級別等級保護測評備案，須取得上級網絡安全部門的備案證書，以及上級相關文件本文件中要求的工作。

(二) 網絡安全服務

服務項目清單中網絡安全服務：提供一年網絡安全綜合保障服務，對測評系統實施網絡安全漏洞掃描及滲透測試，一年 2 次，每隔半年進行一次：

應用信息系統漏洞檢測：服務期內開展 2 次漏洞檢測。對測評系統進行安全掃描服務，通過對信息系統及其部署的服務器進行漏洞掃描，發現應用系統的安全漏洞，漏洞掃描服務主要是根據已有的安全漏洞知識庫，模擬黑客的攻擊方法，檢測網絡協議、網絡服務、網絡設備等各種信息資產所存在的安全隱患和漏洞。掃描的方式可以采用工具進行網絡掃描。利用漏洞掃描工具掃描網絡中的核心服務器及重要的網絡設備，包括服務器、交換機等，以對網絡設備進行安全漏洞檢測和分析，對識別出的能被入侵者用來非法進入網絡或者非法獲取信息資產的漏洞，提醒安全管理員，及時完善安全策略，降低安全風險。（提供漏洞掃描報告）

滲透性測試：服務期內開展 2 次滲透測試。主要是模擬黑客的攻擊方法對系統和網絡進行非破壞性質的攻擊性測試，目的是侵入系統，獲取系統控制權并將入侵的過程和

細節產生報告給用戶，由此證實用戶系統所存在的安全威脅和風險，并能及時提醒安全管理員完善安全策略。通過模擬黑客對目標系統進行遠程安全檢測，對系統的任何弱點、

技術缺陷或漏洞進行主動分析，并且以有利于攻擊為目的而對漏洞加以利用，以發現并驗證其存在的安全隱患，評估系統抗攻擊能力，全面了解和掌握應用系統所面臨的安全威脅和存在的風險。（提供滲透測試報告）

每次滲透測試及漏洞檢測分兩個階段。第一個階段根據滲透測試和漏洞檢測情況出具漏洞掃描報告和滲透測試報告；第二階段為整改及復測，由信息系統或者設備承建公

司根據報告進行整改，在整改期間，安全測評公司根據實際情況提供技術協助和指導，以期更好更快有效完成整改，整改完畢后，再次進行滲透測試和漏洞檢測復測，并出具漏洞掃描報告和滲透測試報告。

(三) 應急響應

當學校出現網絡安全事件時，公司需立即提供應急響應技術服務，快速處置網絡安全事件。次數不受限制。

標準和規范

一、標準和規范

《GBT 20272—2006 信息安全技術 操作系統安全技術要求》

《GBT 20273—2006 信息安全技術 數據庫管理系統安全技術要求》

《GB/T 22240—2020 信息安全技術 網絡安全等級保護定級指南》

《GBT 22239—2019 信息安全技術 網絡安全等級保護基本要求》

《GB/T 25070—2019 信息安全技術 網絡安全等級保護設計技術要求》

《GB/T 28448—2019 信息安全技術 網絡安全等級保護測評要求》

《信息安全等級保護管理辦法》（公通字[2007]43 號文件）

《信息安全等級保護備案實施細則》（公信安[2007]1360 號）

二、實施原則

本項目實施方案設計與具體實施必須滿足以下原則：

1. 保密原則：對測評的過程數據和結果數據嚴格保密，未經授權不得泄露給任何單位和個人，不得利用此數據進行任何侵害招標方的行為。

2. 標準性原則：測評方案的設計與實施應依據國家信息系統安全等級保護的相關標準進行。

3. 規范性原則：工作中的過程和文檔，具有很好的規范性，可以便于項目的跟蹤和控制。

4. 可控性原則：項目安排工作進度要跟上進度表的安排，保證工作的可控性。

5. 最小影響原則：測評工作應盡可能小的影響系統和網絡，并在可控范圍內；測評工作不能對現有信息系統的正常運行、業務的正常開展產生任何影響。

6. 整體性原則：測評的范圍和內容應當整體全面，包括國家等級保護相關要求涉及的各個層面。

三、整體要求

1. 供應商應詳細描述本次信息系統安全等級保護測評的整體實施方案，包括項目概述、等級保護測評方案、測試過程中需使用測試設備清單、時間安排、階段性文檔提交

等。

2. 供應商提供本項目的測評人員的組成、資質及各自職責的劃分（參與現場項目經理具備中級及以上測評資質或信息安全管理體系 ISO27001 主任審核員資質）。參與本

項目測評人員不少于 5 人，應配置有等級測評資質或網絡與信息安全管理員等專業人員進行本次信息安全等級保護測評工作，測評人員需要具備豐富的等級保護測評經驗。

3. 供應商具備公安部第三研究所認證發放的《網絡安全等級測評與檢測評估機構服務認證證書》、具有中國網絡安全審查技術與認證中心出具的專業信息安全服務資質）。

4. 本次信息系統安全等級保護測評實施過程中所使用到的各種工具軟件由成交人推薦，經采購人確認后由成交人提供并在信息系統等級保護測評中使用。

5. 信息系統安全等級保護測評需要的運行環境（如場地、網絡環境等）由采購人提供，供應商應詳細描述需要的運行環境的具體要求。

6. 供應商必須具備項目所在省售后服務能力，出現安全事件能第一時間達到用戶現場，要求售后服務團隊成員不少于 10 人（需要提供近半年項目所在省的社保證明）。

7. 專用工具要求

本項目涉及工程實施和驗收測試所需的工具，由供應商負責提供。用于測評的工具主要包括服務器安全測評工具、網絡設備安全測評工具、終端計算機安全測評工具、網站等應用系統安全測評工具等。在使用前，應對工具進行測評，如果需要則對工具進行軟件或代碼升級。

8. 安全管理要求

為做好全過程的安全保密工作，在等級保護測評前、中、后三個階段都要做好安全保密工作。

9. 等級保護測評前

(1)對等級保護測評人員要進行安全保密教育，制定安全保密措施。

(2)簽訂安全保密協議。

10. 等級保護測評中

(1)對被測單位的性質、機房物理位置、網絡與系統、應用與服務、資料與數據、人員與管理等方面的信息進行嚴格的安全保密管理。

(2)等級保護測評工具應經過嚴格測試和檢驗，確保不對被測評系統造成損失，工作結束后不駐留任何程序。

(3)對被測單位信息系統的信息資產、發現的脆弱性和發生過的安全事件等威脅情況要控制知情范圍。

(4)對測評設備、介質進行嚴格的保密管理。

(5)工作過程中對人員要實施封閉式集中管理.

(6)對進場人員遵守被測單位的相關管理規定。

11. 等級保護測評后

(1)認真清退各種文檔、資料和數據并予以銷毀，確保工作過程中敏感數據不被泄漏。

(2)現場工作結束后，按被測單位的要求及時還原系統，確保系統中不遺留任何代碼或可執行程序。

(3)在其他風險測評任務或宣傳材料中不涉及被測單位的秘密、敏感情況。

12. 文檔要求

文檔或報告的編寫應完整清晰、用詞規范、簡明扼要，指出的問題應明確合理、符合邏輯、且有證據，出具的結論應公正客觀、實事求是，提出的建議應符合國家標準規范、富有建設性和可操作性。

13. 售后服務

供應商應承諾能按要求實現本技術規范規定的所有條款及功能要求，配合完成相關政府部門的信息安全等級保護相關（登記、整改等）工作要求。

本項目不接受聯合體投標，不接受未報名的供應商參與報價，不允許分包轉包。

申請人的資格要求

1、滿足《中華人民共和國政府采購法》第二十二條規定，即：

（1）具有獨立承擔民事責任的能力；

（2）具有良好的商業信譽和健全的財務會計制度；

（3）具有履行合同所必需的設備和專業技術能力；

（4）有依法繳納稅收和社會保障資金的良好記錄；

（5）參加政府采購活動前三年內，在經營活動中沒有重大違法記錄；

（6）法律、行政法規規定的其他條件。

2、單位負責人***

3、必須具有公安部第三研究所認證發放的《網絡安全等級測評與檢測評估機構服務認證證書》。

4、應未被列入失信被執行人、重大稅收違法案件當事人名單，未被列入政府采購嚴重違法失信行為記錄名單；

服務目標技術要求及商務要求

一、 服務目標

按照《中華人民共和國網絡安全法》要求“國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行網絡安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。”以及《信息安全等級保護管理辦法》的要求選擇測評機構開展等級保護測評工作。

為做好網絡安全保障工作，按照“全面排查風險、及時發現預警、快速有效處置、確保萬無一失”的工作目標，確保關鍵敏感時期不發生網絡安全事件，保障重要信息系統平穩運行，擬對重要系統開展等級保護測評和網絡安全保障服務工作。

(一) 項目整體目標

1. 滿足網絡安全法相關要求，落實信息系統等級保護制度要求；

2. 提高單位的信息系統安全防護水平，進一步保障業務安全運行，滿足等級保護2.0 新標準要求；

3. 對校園網絡及核心機房服務器、網絡和安全設備進行滲透測試和漏洞掃描，全面排查可能存在漏洞及安全威脅。

4. 在項目實施中建設單位的安全管理隊伍，提高人員素質。

(二) 安全技術目標

按照等保要求加強網絡、主機、數據安全防護；對單位重要應用進行應用安全防護；

(三) 安全管理目標

1. 完善單位安全管理制度和體系；形成完整、統一的安全運維管理平臺；

2. 對網絡中服務器、網絡及安全設備存在的漏洞進行定期掃描和滲透測試，并進行修復，每年定期進行漏掃和滲透測試服務，并在出現網絡安全問題或者安全漏洞時候提供應急支持。

二、 測評內容要求

根據國家等級保護相關標準，信息系統安全等級保護測評應包括以下內容：

安全技術測評：包括安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心等五個方面的安全測評；

安全管理測評：包括安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理等五個方面的安全測評。

1.服務內容要求

協助開展系統和重要信息系統的自查自評估工作，對存在的風險隱患和安全問題及時提供有針對性的安全整改建議，保障整改措施的落實，指導完成重要信息系統的定級、備案等相關工作；

依據《信息系統安全等級保護基本要求》，從安全技術和管理兩個方面共十個層面對信息系統進行等級測評，出具等級測評報告。

針對信息系統等保測評實施過程中發現的安全隱患和薄弱環節，提供安全建設整改和安全加固方面的咨詢。

提供國家和行業有關信息安全等級保護政策和標準方面的知識培訓和安全管理咨詢，增強信息安全意識。

項目	服務內容	工作描述
等級測評	項目準備及現場調研	協助對信息系統物理環境、網絡、終端、數據、安全管理等進行調研。
	信息系統定級、備案	疏理信息系統定級工作，完成信息系統定級報告及定級材料的準備； 整理、補充信息系統備案所有相關的文檔，指導用戶方完成相應信息系統等級保護備案工作。
	信息系統差距分析	對定級的信息系統，依照《信息系統安全等級保護基本要求》進行逐個對照，由具備等級測評師、網絡與信息安全管理員或同等技術能力資質的服務人員對信息系統安全情況與等級保護基本要求的差距進行評估，完成信息系統等級保護差距分析報告。
	等級保護安全整改	協助落實相關的等級保護建設整改工作，等級保護整改實施具體內容包括安全管理制度修訂、安全技術整改、形成安全配置基線、輔助進行安全增強配置和調試指導工作等工作內容，提升信息系統的安全防護能力，確保信息系統滿足國家等級保護相應等級要求。
	等級保護測評	參照《GBT22239-2019 網絡安全等級保護基本要求》和《GB/T28448-2019 網絡安全等級保護測評要求》等標準規范要求，對信息系統開展信息系統等級保護測評工作。
	成果	服務目標為通過公安部門的等級保護檢查，輸出《信息系統等級保護測評報告》 協助用戶取得公安機關備案證明（已備案信息系統不需要再次出具備案證明）。

1.1 安全物理環境

物理安全測評是對信息系統的機房和辦公場所的物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等方面的安全狀況。

1.2 安全通信網絡

網絡安全測評是對信息系統的網絡系統安全防護情況進行測評，包括網絡結構安全、網絡訪問控制、網絡安全審計、網絡邊界完整性測評、網絡入侵防范、網絡惡意代碼防范、網絡設備防護等方面的安全狀況。

1.3 安全區域邊界

安全區域邊界是對信息系統的邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證等方面的安全狀況。

1.4 安全計算環境

安全計算環境是對信息系統的身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份恢復、剩余信息保護、個人信息保護等方面的安全狀況。

1.5 安全管理中心

安全管理中心是對信息系統的系統管理、審計管理、安全管理、集中管控進行測評。

1.6 安全管理制度

安全管理制度測評是對信息系統的安全策略、管理制度、制定和發布、評審和修訂等情況進行測評。

1.7 安全管理機構

安全管理機構測評是對信息系統的崗位設置、人員配備、授權與審批、溝通和合作、審核和檢查等情況進行測評。

1.8 安全管理人員

人員安全管理測評是對信息系統相關內部人員的人員錄用、人員離崗安全意識教育和培訓、外部人員訪問管理等情況進行測評。

1.9 安全建設管理

系統建設管理測評是對信息系統建設過程中的、測試驗收、系統交付、等級測評服務供應商管理等情況進行測評。

1.10 安全運維管理

系統運維管理測評是對信息系統運行維護過程中的環境管理、資產管理、介質管理、設備維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理、外包運維管理等情況進行測評。

三、 安全服務內容要求

1. 漏洞掃描服務

對本次信息系統的安全性進行漏洞測試，采用漏洞掃描工具對客戶方的主機（應用）系統進行掃描，進一步發現深層次的問題，主要對服務器、數據庫及中間件進行安全掃描，識別系統存在的安全漏洞。

服務完成后提供以下的輸出物：《漏洞掃描報告》

服務頻率：一年兩次

2. 滲透測試

對本次應用系統的安全弱點模擬真正的黑客入侵攻擊方法，以人工滲透為主，以漏洞掃描工具為輔，在保證整個滲透測試過程都在可以控制和調整的范圍之內盡可能的獲取目標信息系統的管理權限以及敏感信息。

服務完成后提供以下文檔：《滲透測試報告》

服務頻率：一年兩次

3. 應急響應服務

當發生黑客入侵、系統崩潰或其它影響業務正常運行的安全事件時，第一時間響應并進行處理，進一步查找入侵來源，還原入侵事故過程，同時給出解決方案與防范措施，為客戶挽回或減少經濟損失。

服務內容分為遠程技術支持和現場應急響應。遠程技術支持，包括電話支持和遠程支持等；現場應急響應則要求在一定時間內到達客戶現場，對于客戶網絡信息系統的重大網絡安全事件，提供應急響應服務，派遣安全工程師趕往客戶現場排查故障原因，恢復客戶信息系統的運行。

服務完成后提交以下文檔：《安全應急響應事件報告》

四、 測評風險規避要求

項目開展工作涉及到單位重要信息系統和數據，在測評過程中必須加強安全保密管理與風險控制。

指定項目經理為專人負責信息安全測評過程中的安全保密管理工作，對測評活動、測評人員以及相關文檔和數據進行安全保密管理，對重點設備的技術檢測進行監督，對接入的檢測設備進行控制。項目經需理具備中級及以上測評資質或 ISO27001 主任審核員資質，具備豐富的等級保護測評經驗。

安全測評工作中可能出現的安全風險點，按照檢測對象周密制定測評方法，根據被測評對象的不同采取相應的風險控制手段。不限于以下方法：

1.操作的申請和監護

在實施過程中必須遵守的相關操作章程，以防止敏感信息泄漏和確保及時處理意外事件。

2．操作時間控制

對測評直接影響系統工作時，盡可能避開敏感時期。

3.人員與數據管理

必須高度重視信息保密工作，加強資料管理，確保人員可靠、穩定和可控。測評與被測評單位之間應簽署長期保密協議，測評人員與被測評單位之間也要有相應的約束和控制措施，按國家有關要求做好保密工作。

4.制定應急預案

根據測評范圍界定的系統情況，在實施前制定應急預案。

5．關鍵業務系統風險控制

對影響較大的重要關鍵業務系統在無法搭建模擬環境情況下，原則上不采用測評工具，采用訪談、測評和簡單測試的方式進行。

6．優化掃描策略

分類掃描:對不同的主機和設備類型執行不同的掃描會話，從而減少不必要的脆弱項目測試。

針對掃描對象細化掃描策略：對不同類型的主機或設備，需要根據其上不同的應用和服務情況，有針對性地定制掃描策略選項。

7．數據備份與恢復

對業務系統和數據庫主機，應對其上數據進行備份，防止測評過程中對設備與主機的損傷影響業務系統的正常運行。

8．廠商協作

廠商需要提供各應用系統的名稱、版本、協議、開發語言、進程名和相應的端口號等信息，在測評之前，由三方共同分析測評對業務可能造成的風險，分析可能存在的問題。在測評過程中盡量規避這些風險。

?報價及支付要求

(一) 報價要求

服務項目清單中，應急響應為義務支持，不單獨報價，所需費用包含在網絡安全服務中。等級保護測評和網絡安全服務兩個服務項目需分開單獨報價且分別不超過其獨自預算。

(二) 支付要求

1. 等級保護測評完成所有工作后并取得定級備案證書和要求的其他文件后，全額支付等級保護測評相關費用；

2. 網絡安全服務完成第一次服務，支付 50%；完成第二次服務且合同有效期一年滿后，支付剩余的 50%。

獲取采購文件

時間：2024年7月1日至2024年7月3日

地點：恩施高中校園網：http://www.esgz.com/

方式：通過恩施高中校園網下載

供應商報名、提交投標文件要求和截止時間、開標時間及地點

1、凡有意參加競標者，于2024年7月1日至2024年7月3日下載《報名登記表》。供應商將填寫的《報名登記表》于2024年7月1日至2024年7月3日（法定節假日除外）：上午8:30—12:00、下午14：30—17:00）交至恩施高中辦公樓?405 室確認，未經確認的報名為無效報名。

2、遞交響應文件方式

（1）報價文件必須密封完好，裝訂成冊，并在密封處加蓋公章。

（2）供應商報價文件應當包括：①統一社會信用代碼證復印件1份（加蓋公章）；②該項目的報價表1份（加蓋公章）；③應未被列入失信被執行人、重大稅收違法案件當事人名單，未被列入政府采購嚴重違法失信行為記錄名單的網頁查詢打印件（加蓋公章）；④提供公安部第三研究所認證發放的《網絡安全等級測評與檢測評估機構服務認證證書》復印件（加蓋公章）；⑤提供中國網絡安全審查技術與認證中心出具的專業信息安全服務資質復印件（加蓋公章）；⑥提供本項目的測評人員的組成、資質及各自職責的劃分文件（加蓋公章）；⑦提供參與現場項目經理的中級及以上測評資質或信息安全管理體系 ISO27001 主任審核員資質的復印件（加蓋公章）。⑧提供參與本項目測評不少于 5 人的等級測評資質或網絡與信息安全管理員等相關資質復印件（加蓋公章）；⑨提供出現安全事件能第一時間達到用戶現場的承諾書（加蓋公章），以及不少于 10 人的售后服務團隊成員近半年項目所在省的社保證明；⑩提供“指定項目經理為專人負責信息安全測評過程中的安全保密管理工作，對測評活動、測評人員以及相關文檔和數據進行安全保密管理，對重點設備的技術檢測進行監督，對接入的檢測設備進行控制”的服務承諾書（加蓋公章）。

3、?密封報價文件遞交截止時間：2024年7月4日上午9：55整（北京時間）以前，逾時或不符合規定的報價文件恕不接受。

4、開標時間及地點：2024年7月4日上午10:00，恩施高中新行政樓405辦公室。

公告期限

自公告發布之日起3個工作日。

凡對本次采購提出詢問，請按以下方式聯系：

1、采購人聯系方式***

聯系人***

聯系電話***

2、項目聯系方式***

聯系人***

聯系電話***