《XX区政务信息化项目安全测评及代码审计服务采购需求.docx》由会员分享,可在线阅读,更多相关《XX区政务信息化项目安全测评及代码审计服务采购需求.docx(14页珍藏版)》请在优知文库上搜索。
1、XX区政务信息化项目安全测评及代码审计服务采购需求一、项目建设背景信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法,开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障。实施信息安全等级保护制度,信息系统运营使用单位和主管部门能按照标准进行安全建设、整改,信息系统安全也有了一个衡量尺度。根据中华人民共和国计算机信息系统安全保护条例(国务院147号令)、信息安全等级保护管理办法(公通字200743号)、XX省信息安全等级保护管理办法(省政府223号令)、XX省信息安全等级保护测评机构管理规定(X等保(2008)4号)、关于开展信息安全等级测评工作的通知(X等保(2
2、008)5号)等文件中要求,明确对重要信息系统实施信息安全等级保护工作。中华人民共和国网络安全法第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。依据中华人民共和国计算机信息系统安全保护条例(国务院147号令)、国家信息化领导小组关于加强信息安全保障工作的意见(中办发(2003)27号)、关于信息安全等级保护工作的实施意见(公通字(2004)66号)和信息安全等级保护管理办法(公通字(2007)43号)等相关文件及标准要求,对信息系统进行测评及备案。二、项目建
3、设目标通过本次招标择优选用一家信息安全等级保护测评机构完成XX区2024年度政务信息化项目(总计10个)包含信创改造项目等保测评及复测并出具测评报告(系统定级最终以定级报告为准)。服务成果:信息系统等级备案证书;等级保护定级报告;信息系统备案表;差距评估报告;信息系统等级保护测评报告;源代码审计报告;其他应交付的文档;具体级别最终以定级报告为准。三、项目需求清单序号系统名称项目概况定级等级(暂定)1XX区教育局信息中心云共享平台信创改造项目通过对云共享平台软硬件的升级,实现教学过程中各类文档数据的统一存储、统一管理,赋能XX教育数据资产管理、智能知识运营、业务流程自动化和立体安全体系保障;目前
4、原平台文件存储量已达100T,且硬件平台为非信创、非国产化产品,需要对软硬件平台实施信创改造升级。22XX区数据交换信创改造项目满足信创改造中部门项目建设的数据库类型变更与XX区数据仓进行数据交互兼容,实现数据的共享、同步及供需,提高数据的归集效率,提升数据的服务能力和水平。建设内容包括部门管理、人员管理、数据源管理、数据归集任务管理、离线数据归集任务管理、任务监控管理等。23社会热点问题智能法治督察应用本项目通过机制重大创新和技术重大创新,谋划构建国内领先的法治督察应用场景,以数据要素推动法治问题线索的发现、从而形成有力度的、有针对性的“基于问题驱动”的智能化法治督察机制。建设内容包括智能分
5、析研判中心和法治督察管理平台两大部分。24XX市域空间治理数字化平台XX分仓分节点建设及数据治理围绕XX区自然资源空间要素主体,推进大数据、人工智能等多项前沿技术的跨域深度融合,提升空间数字化治理能力,构建多源异构数据融合的区级运行管理体系,夯实多维自然资源空间数据资源基础,加强分仓建设管理,深化汇聚共享一条链,打通XX分仓与市级合仓的区域壁垒,厘清区级自然资源要素底板,支撑区级重点项目落地要素保障,助力XX区打造全市2数字化改革先行区,从而推动空间数据治理方式从局部最优到整体最优的转变,为建设现代化滨海大都市科创强区、品质之城提供重要支撑。5XX历史文化资料数据档案管理系统及应用场景建设旨在
6、通过现代技术手段,实现XX区老外滩、慈城等历史文化资料的数字化和档案化管理。项目的核心在于将这些宝贵的历史文献、图片和录音等资料数字化和档案化,以便更好地保存、管理和分享这些珍贵资源。主要建设内容不仅包括传统的文档、图片、音频和视频资料的数字存储管理,还涵盖建立药商文化、建筑文化、慈孝文化和耕读文化四大文化专题库。同时以慈城历史文化资料数据要素为试点,通过使用文本大模型、数字人、VR/AR等前沿技术支撑,建设1个示范场景。26XX区财政信息管理系统建设财政收入预算分析、预算单位收付管理两大场景,包括数据管理、公司管理、预算管理、审核管理、税款数据、综合查询、收入报表等功能模块。主要而向财政局企
7、财科、国库局,以及预算单位。解决财税收入统计难、财政预算规划粗、预算单位收付管理繁等问题,实现促进财政收支动态平衡,防范重大财政风险,提升财政监管与服务的数字化和智能化水平目标。27XX区能碳综合管理服务平台按照上级要求,孵化落地能效洞察者企业能效综合服务平台重点应用场景,赋能工业企业绿色低碳转型,为工业企业提供能效诊断、能效改造方案收益评估等功能,构建全链条线上能效服务体系,为工业企业绿色低碳转型注入活力。同时,搭建全区碳足迹服务基础平台,整合电力、政府、社会等多方数据,结合大数据分析,为各个企业主体提供各类“能源+双碳”服务。28XX区国有企业财务一体化项目构建统一财务管控平台,使XX国投
8、集团及下属企也可以在统一的财务平台上进行全集团的财务集中核算管理,实现跨区域范围内的XX国投集团信息财务核算一套账,将以前的分散式管2理变为集中管理,实现国资办-国投集团-各级子公司的多级管控。9“预约式”指导服务数字应用建设“预约式”指导服务数字应用,对涉企行政执法指导服务进行全过程全链条闭合管理,从而为企业提供快捷的预约途径、高效的服务内容以及实用的整改帮扶服务,切实提升行政执法质效。整体开发包括指导服务预约、检查指导服务、行政合规学习、执法事项办理预约等模块。210文旅晓灵通XX的“文旅晓灵通”主要实现前端的智能咨询功能,包括智能资源服务端应用和全接口管理功能。通过调用XX市“文旅晓灵通
9、”后端组件关联综合知识库进行智能答疑。2注:1.需求清单的等保定级等级为暂定等级,最终以专家定级为准。2.风险提示:若等保系统等级调整为更高级别,合同金额不作调整。四、项目主要服务内容(一)本项目需求清单范围内的10个项目的等保测评1 .根据GB-122240-2020信息安全技术.网络安全等级保护定级指南开展信息系统的定级申报工作。针对被测系统所需要定级的信息系统,分析所属类型、服务范围以及业务对系统的依赖程度,制定细化定级规则,确定系统安全保护等级,完成自定级报告材料;2 .整理信息安全等级保护备案材料,提交主管部门进行等级备案;3 .对被测信息系统进行摸底、分析和梳理,提出测评方案,并逐
10、一对信息系统进行安全等级保护测评;4 .基于信息系统安全等级保护基本要求(GB/T22239-2019)的等级保护测评服务(包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等十个方面的安全测评),并出具符合主管单位要求的测评报告;5 .根据信息系统安全等级保护相关要求,对被测系统提出整改意见;6 .取得被测系统相关的备案证明;7 .测评工作结束后,针对测评结论中依然存在的不符合项,与安全主管级人员充分沟通,使其对被测系统的现状有最直观的认识,同时结合实际情况和需求,给出最为合理的常态化管理实施计划并提
11、供日常咨询服务。8 .改造项目仅涉及测评、复评工作。9 、项目测评流程现场测评活动报告编制活动测评项目将分为四个阶段:测评准备、方案编制、现场测评以及分析与报告编制,测评双方之间的沟通与洽谈将贯穿整个等级测评的过程。测评流程如下:测评流程(二)本项目需求清单范围内的10个项目的源代码审计1、结合代码审计系统和专业代码审计专家人工分析,对目标系统从源代码层面深入分析和检测,以彻底发现漏洞扫描和渗透测试无法发现的漏洞、后门等安全问题。2、系统所用开源框架:包括反序列化漏洞,远程代码执行漏洞,springsStrUtS2安全漏洞,PHP安全漏洞等。3、应用代码关注要素:日志伪造漏洞,密码明文存储,资
12、源管理,调试程序残留,二次注入,反序列化。4、AP1.滥用:不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。5、源代码设计:不安全的域、方法、类修饰符未使用的外部引用、代码。6、直接对象引用:直接引用数据库中的数据、文件系统、内存空间。7、错误处理不当:程序异常处理、返回值用法、空指针、日志记录。8、规范性权限配置:数据库配置规范,Web服务的权限配置SQ1.语句编写规范。9、如被定义为一级的应用项目,不做代码审计。10、代码审计最终结算随评级后的项目个数,不随代码条数。11、改造项目仅对新增代码做审计。五、项目测评依据投标人应依据国家等级保护相关标准开展工作,依
13、据标准(包括但不限于)如下国家标准:GB/T22239-2019网络安全技术网络安全等级保护基本要求;GB/T28449-2019网络安全技术网络安全等级保护测评过程指南;GB/T28448-2019网络安全技术网络安全等级保护测评要求。六、项目技术服务要求1.本次网络安全等级保护测评实施方案设计与具体实施应满足以下原则:(I)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究投标供应商的责任。(2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。(3)规范性原则:投标供应商的工作中的过程
14、和文档,具有很好的规范性,可以便于项目的跟踪和控制。(4)可控性原则:测评服务的进度要跟上进度表的安排,保证采购人对于测评工作的可控性。(5)整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。(6)最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。2.等级保护测评要求(1)供应商应详细描述本次等级保护测评的整体实施方案,包括项目概述、等保测评方案、项目实施方案、时间安排、阶段性文档提交和验收标准等。(2)供应商应详细描述测评人员的组成、资质及各自职责的划分。供应商应安排专职项目经理
15、和项目实施负责人负责本次项目的实施,供应商应配置有经验的测评人员进行本次等级保护测评工作。(3)对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面,需要符合信息安全等级保护主管部门要求。(4)安全测评需要的运行环境(如场地、网络环境等)由采购人提供,供应商应详细描述需要的运行环境的具体要求。安全调查和测评的过程中,供应商如需采购人配合,供应商需要详细描述需要配合的内容。(5)安全测评应按照分层的原则,包括但不限于以下对象:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等。(6)供应商应提供本项目的测评方案,包括技术部分和实施部分。技术部分包括整体流程、技术方法和服务方案设计等,需要对每项技术方法的应用位置进行详细描述,技术方案中应详细描述本次测评采用的测评方式及标准、漏洞测试和分析的方法;(7)实施部分包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险规避措施等,需要明确每项工作的时间安排、操作时间和操作人员。(8)供应商应详细描述安全调查和测评的组织方式,包括组成的人员及分工
免费区 