XX区政务信息化项目安全测评及代码审计服务采购需求.docx

XX区政务信息化项目安全测评及代码审计服务采购需求一、项目建设背景信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法，开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障。实施信息安全等级保护制度，信息系统运营使用单位和主管部门能按照标准进行安全建设、整改，信息系统安全也有了一个衡量尺度。根据中华人民共和国计算机信息系统安全保护条例（国务院147号令）、信息安全等级保护管理办法（公通字200743号）、XX省信息安全等级保护管理办法（省政府223号令）、XX省信息安全等级保护测评机构管理规定（X等保（2008）4号）、关于开展信息安全等级测评工作的通知（X等保（2008）5号）等文件中要求，明确对重要信息系统实施信息安全等级保护工作。中华人民共和国网络安全法第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。依据中华人民共和国计算机信息系统安全保护条例（国务院147号令）、国家信息化领导小组关于加强信息安全保障工作的意见（中办发（2003）27号）、关于信息安全等级保护工作的实施意见（公通字（2004）66号）和信息安全等级保护管理办法（公通字（2007）43号）等相关文件及标准要求，对信息系统进行测评及备案。二、项目建设目标通过本次招标择优选用一家信息安全等级保护测评机构完成XX区2024年度政务信息化项目（总计10个）包含信创改造项目等保测评及复测并出具测评报告（系统定级最终以定级报告为准）。服务成果：信息系统等级备案证书；等级保护定级报告；信息系统备案表；差距评估报告；信息系统等级保护测评报告；源代码审计报告；其他应交付的文档；具体级别最终以定级报告为准。三、项目需求清单序号系统名称项目概况定级等级（暂定）1XX区教育局信息中心云共享平台信创改造项目通过对云共享平台软硬件的升级，实现教学过程中各类文档数据的统一存储、统一管理，赋能XX教育数据资产管理、智能知识运营、业务流程自动化和立体安全体系保障；目前原平台文件存储量已达100T,且硬件平台为非信创、非国产化产品，需要对软硬件平台实施信创改造升级。22XX区数据交换信创改造项目满足信创改造中部门项目建设的数据库类型变更与XX区数据仓进行数据交互兼容，实现数据的共享、同步及供需，提高数据的归集效率，提升数据的服务能力和水平。建设内容包括部门管理、人员管理、数据源管理、数据归集任务管理、离线数据归集任务管理、任务监控管理等。23社会热点问题智能法治督察应用本项目通过机制重大创新和技术重大创新，谋划构建国内领先的法治督察应用场景，以数据要素推动法治问题线索的发现、从而形成有力度的、有针对性的“基于问题驱动”的智能化法治督察机制。建设内容包括智能分析研判中心和法治督察管理平台两大部分。24XX市域空间治理数字化平台XX分仓分节点建设及数据治理围绕XX区自然资源空间要素主体，推进大数据、人工智能等多项前沿技术的跨域深度融合，提升空间数字化治理能力，构建多源异构数据融合的区级运行管理体系，夯实多维自然资源空间数据资源基础，加强分仓建设管理，深化汇聚共享一条链，打通XX分仓与市级合仓的区域壁垒，厘清区级自然资源要素底板，支撑区级重点项目落地要素保障，助力XX区打造全市2数字化改革先行区，从而推动空间数据治理方式从局部最优到整体最优的转变，为建设现代化滨海大都市科创强区、品质之城提供重要支撑。5XX历史文化资料数据档案管理系统及应用场景建设旨在通过现代技术手段，实现XX区老外滩、慈城等历史文化资料的数字化和档案化管理。项目的核心在于将这些宝贵的历史文献、图片和录音等资料数字化和档案化，以便更好地保存、管理和分享这些珍贵资源。主要建设内容不仅包括传统的文档、图片、音频和视频资料的数字存储管理，还涵盖建立药商文化、建筑文化、慈孝文化和耕读文化四大文化专题库。同时以慈城历史文化资料数据要素为试点，通过使用文本大模型、数字人、VR/AR等前沿技术支撑，建设1个示范场景。26XX区财政信息管理系统建设财政收入预算分析、预算单位收付管理两大场景，包括数据管理、公司管理、预算管理、审核管理、税款数据、综合查询、收入报表等功能模块。主要而向财政局企财科、国库局，以及预算单位。解决财税收入统计难、财政预算规划粗、预算单位收付管理繁等问题，实现促进财政收支动态平衡，防范重大财政风险,提升财政监管与服务的数字化和智能化水平目标。27XX区能碳综合管理服务平台按照上级要求，孵化落地能效洞察者企业能效综合服务平台重点应用场景，赋能工业企业绿色低碳转型，为工业企业提供能效诊断、能效改造方案收益评估等功能，构建全链条线上能效服务体系，为工业企业绿色低碳转型注入活力。同时，搭建全区碳足迹服务基础平台，整合电力、政府、社会等多方数据，结合大数据分析，为各个企业主体提供各类“能源+双碳”服务。28XX区国有企业财务一体化项目构建统一财务管控平台，使XX国投集团及下属企'也可以在统一的财务平台上进行全集团的财务集中核算管理，实现跨区域范围内的XX国投集团信息财务核算一套账，将以前的分散式管2理变为集中管理，实现国资办-国投集团-各级子公司的多级管控。9“预约式”指导服务数字应用建设“预约式”指导服务数字应用，对涉企行政执法指导服务进行全过程全链条闭合管理，从而为企业提供快捷的预约途径、高效的服务内容以及实用的整改帮扶服务，切实提升行政执法质效。整体开发包括指导服务预约、检查指导服务、行政合规学习、执法事项办理预约等模块。210文旅晓灵通XX的“文旅晓灵通”主要实现前端的智能咨询功能，包括智能资源服务端应用和全接口管理功能。通过调用XX市“文旅晓灵通”后端组件关联综合知识库进行智能答疑。2注：1.需求清单的等保定级等级为暂定等级，最终以专家定级为准。2.风险提示：若等保系统等级调整为更高级别，合同金额不作调整。四、项目主要服务内容(一)本项目需求清单范围内的10个项目的等保测评1 .根据GB-122240-2020信息安全技术.网络安全等级保护定级指南开展信息系统的定级申报工作。针对被测系统所需要定级的信息系统，分析所属类型、服务范围以及业务对系统的依赖程度，制定细化定级规则，确定系统安全保护等级，完成自定级报告材料；2 .整理信息安全等级保护备案材料，提交主管部门进行等级备案；3 .对被测信息系统进行摸底、分析和梳理，提出测评方案，并逐一对信息系统进行安全等级保护测评；4 .基于信息系统安全等级保护基本要求(GB/T22239-2019)的等级保护测评服务(包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等十个方面的安全测评),并出具符合主管单位要求的测评报告；5 .根据信息系统安全等级保护相关要求，对被测系统提出整改意见；6 .取得被测系统相关的备案证明；7 .测评工作结束后，针对测评结论中依然存在的不符合项，与安全主管级人员充分沟通,使其对被测系统的现状有最直观的认识，同时结合实际情况和需求，给出最为合理的常态化管理实施计划并提供日常咨询服务。8 .改造项目仅涉及测评、复评工作。9 、项目测评流程现场测评活动报告编制活动测评项目将分为四个阶段：测评准备、方案编制、现场测评以及分析与报告编制，测评双方之间的沟通与洽谈将贯穿整个等级测评的过程。测评流程如下：测评流程（二）本项目需求清单范围内的10个项目的源代码审计1、结合代码审计系统和专业代码审计专家人工分析，对目标系统从源代码层面深入分析和检测，以彻底发现漏洞扫描和渗透测试无法发现的漏洞、后门等安全问题。2、系统所用开源框架：包括反序列化漏洞，远程代码执行漏洞，springsStrUtS2安全漏洞，PHP安全漏洞等。3、应用代码关注要素：日志伪造漏洞，密码明文存储，资源管理，调试程序残留，二次注入，反序列化。4、AP1.滥用：不安全的数据库调用、随机数创建、内存管理调用、字符串操作，危险的系统方法调用。5、源代码设计：不安全的域、方法、类修饰符未使用的外部引用、代码。6、直接对象引用：直接引用数据库中的数据、文件系统、内存空间。7、错误处理不当：程序异常处理、返回值用法、空指针、日志记录。8、规范性权限配置：数据库配置规范，Web服务的权限配置SQ1.语句编写规范。9、如被定义为一级的应用项目，不做代码审计。10、代码审计最终结算随评级后的项目个数，不随代码条数。11、改造项目仅对新增代码做审计。五、项目测评依据投标人应依据国家等级保护相关标准开展工作，依据标准（包括但不限于）如下国家标准：GB/T22239-2019网络安全技术网络安全等级保护基本要求；GB/T28449-2019网络安全技术网络安全等级保护测评过程指南；GB/T28448-2019网络安全技术网络安全等级保护测评要求。六、项目技术服务要求1.本次网络安全等级保护测评实施方案设计与具体实施应满足以下原则：(I)保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人的行为，否则采购人有权追究投标供应商的责任。(2)标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。(3)规范性原则：投标供应商的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。(4)可控性原则：测评服务的进度要跟上进度表的安排，保证采购人对于测评工作的可控性。(5)整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。(6)最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。2.等级保护测评要求(1)供应商应详细描述本次等级保护测评的整体实施方案,包括项目概述、等保测评方案、项目实施方案、时间安排、阶段性文档提交和验收标准等。(2)供应商应详细描述测评人员的组成、资质及各自职责的划分。供应商应安排专职项目经理和项目实施负责人负责本次项目的实施，供应商应配置有经验的测评人员进行本次等级保护测评工作。(3)对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面，需要符合信息安全等级保护主管部门要求。(4)安全测评需要的运行环境(如场地、网络环境等)由采购人提供，供应商应详细描述需要的运行环境的具体要求。安全调查和测评的过程中，供应商如需采购人配合，供应商需要详细描述需要配合的内容。(5)安全测评应按照分层的原则，包括但不限于以下对象：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等。（6）供应商应提供本项目的测评方案，包括技术部分和实施部分。技术部分包括整体流程、技术方法和服务方案设计等，需要对每项技术方法的应用位置进行详细描述，技术方案中应详细描述本次测评采用的测评方式及标准、漏洞测试和分析的方法；（7）实施部分包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险规避措施等，需要明确每项工作的时间安排、操作时间和操作人员。（8）供应商应详细描述安全调查和测评的组织方式，包括组成的人员及分工、测评的过程组织、实施时间安排、测评方式所遵循的标准等。（9）项目完成后必须提交完整的技术文档、测评报告、整改建议等。七、其他要求1 .定级备案开展信息系统的等保定级工作。依据网络安全等级保护定级指南，通过识别信息系统受到破坏时所侵害的客体和对客体造成损害的程度，确定信息系统等级；同时依据行业指导意见、主管部门意见或专家评审意见来确定信息系统最终安全等级，最终输出等级保护定级报告；按照信息安全等级保护备案实施细则（公信安20071360号）的要求办理信息系统备案，信息安全的等级保护备案工作包括信息系统备案、受理、审核和备案信息管理等工作。协助客户向公安部门进行信息系统等级保护备案，具体包括备案资料的整理，备案表的编制，备案的证明，备案证的申请等工作，最终取得信息系统备案证明。2 .测评工作依据网络安全等级保护基本要求，参照信息系统安全管理要求等标准规范要求，协助客户开展信息系统等级保护安全技术和管理两方面的测评工作，技术方面包括安全物理环境、安全通信环境、安全区域边界、安全计算环境、安全管理中心；管理方面包括安全管理机构、安全管理机构、安全管理制度、安全管理人员、安全建设管理、安全运维管理。3 .安全物理环境物理和环境安全测评主要包括安全区域和设备安全两个目标，其中针对安全区域控制评估主要通过对物理安全边界、物理访问控制、外界和环境威胁等方面的评估；设备测评主要通过对防盗窃和破坏、设备的安置和保护、支持性设施、线缆安全等方面的评估。4 .安全通信环境通过对组织的网络架构进行安全分析，全面地对网络架构、通信传输，可信验证等方面进行分析，从而了解整个网络的状况，发现网络通信环境中存在的安全隐患。安全通信测评主要包括如下方面： 网络架构安全 通信传输安全 可信验证5 .安全区域边界安全区域边界测评是对各系统的边界安全进行分析，通过技术手段发现系统对访问控制、入侵防御、病毒防护、安全审计等方面的防护情况。安全区域边界测评主要包括如下方面： 边界防护访问控制 入侵防御 恶意代码和垃圾邮件防范 安全审计 可信验证6 .安全计算环境安全计算环境测评主要提供技术手段对信息系统中的主机、应用层及数据等方面进行安全测评。安全计算环境测评主要包括如下方面： 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 数据完整性 数据保密性 可信验证 个人信息保护7 .安全管理中心安全管理中心主要是针对信息系统的安全策略及安全计算环境、安全区域边界和安全通信网络三个部分的安全机制，形成一个统一的安全管理中心，实现统一管理、统一监控、统一审计、综合分析且协同防护。安全管理中心测评主要包括如下方面： 系统管理 审计管理 安全管理 集中管控8 .安全管理制度安全管理制度的制定与正确实施对信息系统安全管理起着非常重要的作用，不仅促使全体员工参与到保障信息安全的中来，而且能有效地降低由于管理失误所造成的对系统安全的损害。安全管理制度测评主要包括：评估信息安全工作的总体方针策略、各种安全管理活动的管理制度、信息安全管理制度的制定和发布过程、评审和修订。9 .安全管理机构安全管理的重要实施条件就是要建立一个统一指挥、协调有序、组织有力的安全管理机构，这是信息安全管理得以实施、推广的基础。该项测评内容包括岗位设置的控制或落实、人员配备的控制或落实、活动实施的授权于审批、内外沟通和合作机制、安全审核和检查机制等。10 .安全管理人员人是信息安全中最关键的因素，信息系统整个生命周期都需要有人来参与，包括设计人员、实施人员、管理人员、维护人员和系统用户等。如果这些参与人的安全问题没有得到很好的解决，任何一个信息系统都不可能达到真正的安全。该项测评内容包括人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等。I1.安全建设管理信息系统在建设过程中，要经过系统定级、方案设计、产品采购、测试验收等若干阶段，每个阶段涉及很多活动，只有对这些活动实施科学和规范的管理，才能保证系统建设的进度和质量。12 .安全运维管理信息系统建设完成投入运行后，需要维护和管理信息系统。对信息系统实施有效、完善的维护管理是保证系统运行阶段安全的基础。系统运维管理评估涉及的方面很多，主要包括系统的环境和相关资源的管理、系统运行过程中各组件的维护和监控管理、网络和系统的安全管理、密码管理、系统变更的管理、恶意代码的防护管理等。13 .系统工具要求本次项目实施过程中所使用到的各种工具软件由中标人推荐，经采购人确认后由中标人提供并在项目实施中使用。应详细描述所使用的安全测评工具及代码审计工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。安全测评工具及代码审计工具软件运行可能需要的硬件平台（如笔记本电脑、PC等）和操作系统软件等由中标人推荐，经采购人确认后由中标人提供并在项目中使用。八、服务节点、人员及成果要求工作阶段时间节点要求人员配置最低要求成果要求定级备案<=5个工作日>=2名检测人员>:1名安全主管或熟悉该系统的人员系统的系统备案表、定级报告、关于成立信息安全等级保护领导小组的文件等材料递交备案材料<=2个工作0安排人员去区公安备案属地公安首次会议<=1个工作日>>二6名检测机构人员该系统负责人及安全主管等人员会议纪要基本情况调查及方案制作<=3个工作0>=3名高级检测人员基本情况调查表、测评方案现场数据采集<二10个工作日>=6名检测人员>=2名安全主管或熟悉该系统的人员需要提供相应的文档和技术支持。数据备份<=2个工作a>二2名检测人员>二1名安全主管或熟悉该系统的人员备份不符合项确认<=1个工作a检测机构提供咨询服务安全厂商安全主管或熟悉该系统的人员不符合项确认单安全设备扫描<=3个工作H>=2名检测人员>:1名安全主管或熟悉该系统的人员漏洞扫描报告末次会议<=1个工作日>:4名检测人员该系统负责人及安全主管等人员会议纪要，不符合项问题确认单及建议整改过程根据实际情况落实整改 检测机构提供咨询服务 安全厂商 >二2名安全主管或熟悉该系统的人员可能出现各种类型的问题需要落实整改，时间可能不可控。暂时根据一个月的整改时间来推演后期的工作开展情况。报告制作及确认二10个工作日二7名检测人员测评报告