--詢(xún)價(jià)采購(gòu)公告

*、項(xiàng)目概況

1. 項(xiàng)目名稱(chēng)：
2. 項(xiàng)目編號(hào)：
3. 交貨/服務(wù)時(shí)間：
4. 交貨/服務(wù)地點(diǎn)：
5. 供貨范圍：

（*）主機(jī)加固服務(wù)

*、業(yè)務(wù)范圍包括

*.* 根據(jù)等保測(cè)評(píng)檢測(cè)結(jié)果及加固建議，對(duì)全網(wǎng)網(wǎng)絡(luò)和安全設(shè)備實(shí)施安全加固，滿(mǎn)足關(guān)于網(wǎng)絡(luò)設(shè)備安全配置規(guī)范的要求。

*.* 根據(jù)邊界防護(hù)需要按照安全最小授權(quán)原則，依據(jù)“缺省拒絕”的方式制定防護(hù)策略。防護(hù)策略只授權(quán)開(kāi)放必要的訪問(wèn)權(quán)限，并保證數(shù)據(jù)安全的完整性、機(jī)密性、可用性；對(duì)業(yè)務(wù)系統(tǒng)訪問(wèn)需求進(jìn)行詳細(xì)調(diào)查，包括訪問(wèn)的源、目標(biāo)地址、目標(biāo)端口情況，并根據(jù)調(diào)研需求對(duì)防火墻策略進(jìn)行分析，調(diào)整授權(quán)過(guò)大、無(wú)用的訪問(wèn)控制列表，增強(qiáng)網(wǎng)絡(luò)控制能力，提高安全性。

（*）防火墻升級(jí)服務(wù)

*、業(yè)務(wù)范圍包括

防火墻病毒庫(kù)升級(jí)更新，對(duì)引入威脅的網(wǎng)絡(luò)關(guān)鍵環(huán)節(jié)加以控制，對(duì)新型病毒有效的防護(hù)，防止新型以及變種病毒繞過(guò)現(xiàn)有網(wǎng)絡(luò)防護(hù)環(huán)境，解決病毒給機(jī)構(gòu)帶來(lái)的安全問(wèn)題。

*、通過(guò)防火墻升級(jí)，實(shí)現(xiàn)如下安全目標(biāo)：

*.*. 通過(guò)防火墻升級(jí)，可以滿(mǎn)足信息系統(tǒng)安全等級(jí)保護(hù)基本要求中網(wǎng)絡(luò)安全中的要求。

*.*. 滿(mǎn)足等保測(cè)評(píng)整改要求。

（*）等級(jí)測(cè)評(píng)工作

*.*安全技術(shù)測(cè)評(píng)：包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等*個(gè)方面的安全測(cè)評(píng)；

*.*.* 物理安全

根據(jù)信息系統(tǒng)機(jī)房和現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)機(jī)房和現(xiàn)場(chǎng)在“物理位置選擇”、“物理訪問(wèn)控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應(yīng)”和“電磁防護(hù)”等物理安全方面所采取的措施進(jìn)行，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

*.*.*? 網(wǎng)絡(luò)安全

根據(jù)信息系統(tǒng)網(wǎng)絡(luò)安全測(cè)評(píng)記錄，針對(duì)網(wǎng)絡(luò)方面在“結(jié)構(gòu)安全”、“網(wǎng)絡(luò)訪問(wèn)控制”、“安全審計(jì)”、“邊界完整性檢查”、“入侵防范”、“網(wǎng)絡(luò)設(shè)備防護(hù)”等網(wǎng)絡(luò)安全方面所采取的措施進(jìn)行檢查，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

*.*.*? 主機(jī)安全

主機(jī)安全現(xiàn)場(chǎng)測(cè)評(píng)包括對(duì)信息系統(tǒng)服務(wù)器的測(cè)評(píng)，測(cè)評(píng)內(nèi)容包括“身份鑒別”、“訪問(wèn)控制”、“安全審計(jì)”、“入侵防范”、“惡意代碼防范” “資源控制”。

*.*.*? 應(yīng)用安全

應(yīng)用安全現(xiàn)場(chǎng)測(cè)評(píng)包括對(duì)信息系統(tǒng)的測(cè)評(píng)，測(cè)評(píng)內(nèi)容包括“身份鑒別”、“訪問(wèn)控制”、“安全審計(jì)”、 “通信完整性”、“通信保密性”、“軟件容錯(cuò)”、“資源控制”方面。

*.*.*? 數(shù)據(jù)安全及備份恢復(fù)

信息系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)現(xiàn)場(chǎng)測(cè)評(píng)包括“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“備份和恢復(fù)”幾個(gè)方面的測(cè)評(píng)。

*.* 安全管理測(cè)評(píng)：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等*個(gè)方面的安全測(cè)評(píng)。

*.*.*安全管理制度

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)信息系統(tǒng)在安全管理制度方面的“管理制度”、“制定和發(fā)布”以及“評(píng)審和修訂”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

*.*.*安全管理機(jī)構(gòu)

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)信息系統(tǒng)在安全管理機(jī)構(gòu)方面的“崗位設(shè)置”、“人員配備”、“授權(quán)和審批”、“溝通和合作”以及“審核和檢查”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

*.*.*人員安全管理

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)信息系統(tǒng)在人員安全管理方面的“人員錄用”、“人員離崗”、“人員考核”、“安全意識(shí)教育和培訓(xùn)”以及“外部人員訪問(wèn)管理”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

*.*.*系統(tǒng)建設(shè)管理

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)信息系統(tǒng)在系統(tǒng)建設(shè)管理方面的“系統(tǒng)定級(jí)”、“安全方案設(shè)計(jì)”、“產(chǎn)品采購(gòu)和使用”、“自行軟件開(kāi)發(fā)”、“外包軟件開(kāi)發(fā)”、“工程實(shí)施”、“測(cè)試驗(yàn)收”、“系統(tǒng)交付”、“安全服務(wù)商選擇”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

*.*.*系統(tǒng)運(yùn)維管理

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)信息系統(tǒng)在系統(tǒng)運(yùn)維管理方面的“環(huán)境管理”、“資產(chǎn)管理”、“介質(zhì)管理”、“設(shè)備管理”、“網(wǎng)絡(luò)安全管理”、“系統(tǒng)安全管理”、“惡意代碼防范管理”、“密碼管理”、“變更管理”、“備份與恢復(fù)管理”、“安全事件處置”以及“應(yīng)急預(yù)案管理”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

*、其他要求

*.* 測(cè)評(píng)后的專(zhuān)項(xiàng)整改由承包方負(fù)責(zé)，直至測(cè)評(píng)合格。

*.* 確保本次測(cè)評(píng)執(zhí)行等保*.*標(biāo)準(zhǔn)且協(xié)助采購(gòu)方完成當(dāng)?shù)毓簿帜甓刃畔⑾到y(tǒng)定級(jí)備案。

（*）信息安全風(fēng)險(xiǎn)評(píng)估

*、風(fēng)險(xiǎn)評(píng)估是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程；它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件*旦發(fā)生對(duì)組織造成的影響。

*、信息安全風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)現(xiàn)有的網(wǎng)絡(luò)架構(gòu)、路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備及安全設(shè)備、數(shù)據(jù)庫(kù)服務(wù)器、***服務(wù)器、應(yīng)用服務(wù)器等關(guān)鍵服務(wù)器、業(yè)務(wù)流程、安全策略的安全漏洞、安全威脅及潛在影響進(jìn)行分析，以提出合理的安全建議以保證信息系統(tǒng)資產(chǎn)的保密性、完整性和可用性等基本安全屬性。通過(guò)風(fēng)險(xiǎn)評(píng)估，了解目前系統(tǒng)安全情況和系統(tǒng)中存在的各種安全風(fēng)險(xiǎn)，并以此為依據(jù)有針對(duì)性地制定安全策略和解決方案，針對(duì)系統(tǒng)中存在的各種安全風(fēng)險(xiǎn)進(jìn)行相應(yīng)的網(wǎng)絡(luò)安全技術(shù)和安全產(chǎn)品的選用和部署，根據(jù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估的結(jié)果指導(dǎo)信息系統(tǒng)下*步的安全建設(shè)。

*、信息安全風(fēng)險(xiǎn)評(píng)估具體內(nèi)容如下：

*.*識(shí)別信息系統(tǒng)和關(guān)鍵活動(dòng)，及其業(yè)務(wù)影響度；

*.*識(shí)別支撐信息系統(tǒng)和關(guān)鍵活動(dòng)的重要資產(chǎn)；

*.*識(shí)別重要資產(chǎn)面臨的外部威脅和自身存在的安全脆弱性（脆弱性）；

*.*對(duì)各類(lèi)風(fēng)險(xiǎn)進(jìn)行分析、賦值及優(yōu)先級(jí)排序，并確定可接受的風(fēng)險(xiǎn)水平；

*.*為信息安全方針策略及操作規(guī)程等文件體系的框架建立和編寫(xiě)工作提供指引。

1. 質(zhì)量要求：

*、以復(fù)評(píng)單位現(xiàn)場(chǎng)測(cè)評(píng)為依據(jù)，滿(mǎn)足等保*.*要求，并取得等保測(cè)評(píng)報(bào)告，完成寧夏公安部門(mén)備案工作。

*、供應(yīng)商資格要求:

*、基本資格條件：

（*）復(fù)詢(xún)?nèi)说馁Y質(zhì)等級(jí)：出具有效期內(nèi)《*** ****-質(zhì)量管理體系認(rèn)證證書(shū)》、《*** *****-信息安全管理體系認(rèn)證證書(shū)》、《*** *****信息技術(shù)服務(wù)管理體系認(rèn)證證書(shū)》資質(zhì)文件復(fù)印件（蓋章）。

（*）復(fù)詢(xún)?nèi)瞬坏迷凇靶庞弥袊?guó)”網(wǎng)站（***.***********.***.**）被列入“失信被執(zhí)行人名單”（在投標(biāo)期間尚未解除的）。

（*）提供參加本次采購(gòu)活動(dòng)前*年內(nèi)，在經(jīng)營(yíng)活動(dòng)中沒(méi)有重大違法記錄的聲明。

（*）本項(xiàng)目不接受聯(lián)合體投標(biāo)。

（*）須提供入侵和審計(jì)設(shè)備原廠商授權(quán)函和服務(wù)承諾函。

（*）提供至少*份近*年內(nèi)電力系統(tǒng)整改合同掃描件。

*、???????????????? 專(zhuān)項(xiàng)資格條件：

無(wú)

*、報(bào)名方式

本項(xiàng)目采取公開(kāi)方式選擇供應(yīng)商，有意參與本項(xiàng)目的潛在供應(yīng)商請(qǐng)登錄中核集團(tuán)電子采購(gòu)平臺(tái)（*****://***.*******.***/）在前報(bào)名參加本項(xiàng)目。

*、采購(gòu)文件的獲取

*、采購(gòu)文件獲取地地址：本項(xiàng)目不再提供紙質(zhì)采購(gòu)文件，參與本項(xiàng)目的潛在供應(yīng)商應(yīng)報(bào)名后通過(guò)中核集團(tuán)電子采購(gòu)平臺(tái)下載采購(gòu)文件。

*、有意參與本項(xiàng)目的潛在供應(yīng)商須先在中核集團(tuán)電子采購(gòu)平臺(tái)進(jìn)行注冊(cè)。注冊(cè)賬號(hào)審核通過(guò)后，在首頁(yè)“用戶(hù)登錄”，輸入賬號(hào)及密碼登錄系統(tǒng)，依次點(diǎn)擊→系統(tǒng)功能菜單→項(xiàng)目管理→我要報(bào)名，找到《-》，點(diǎn)擊“我要報(bào)名”，即可查看項(xiàng)目信息并報(bào)名參與項(xiàng)目。報(bào)名經(jīng)我公司審核通過(guò)后即可下載本項(xiàng)目采購(gòu)文件。

*、應(yīng)答文件/報(bào)價(jià)文件的遞交

*、應(yīng)答文件遞交截止時(shí)間：請(qǐng)參與本項(xiàng)目的應(yīng)答人在（北京時(shí)間）前在中核集團(tuán)電子采購(gòu)平臺(tái)（*****://***.*******.***/）登錄并上傳應(yīng)答文件電子版。若采購(gòu)方另有要求遞交紙質(zhì)應(yīng)答文件的，請(qǐng)按采購(gòu)方要求的時(shí)間及方式遞交：。

*、提交應(yīng)答文件的方式：在線上傳應(yīng)答文件。（若采購(gòu)方另有要求遞交紙質(zhì)應(yīng)答文件的，請(qǐng)按采購(gòu)方要求遞交，并以在線上傳文件為準(zhǔn)）

*、未在線報(bào)名、逾期上傳/送達(dá)的、未上傳的，采購(gòu)人不予受理。

*、公告媒體

本公告在中核集團(tuán)電子采購(gòu)平臺(tái)（*****://***.*******.***/）發(fā)布。對(duì)于其他媒介發(fā)布的本項(xiàng)目公告，采購(gòu)人對(duì)其準(zhǔn)確性不承擔(dān)任何責(zé)任。本次采購(gòu)活動(dòng)的最終解釋權(quán)在。

*、聯(lián)系方式

采購(gòu)人：

地址：

聯(lián)系人：

電話：

?

?

?

?????

?????????????????????????????????????? 年月日

?

?