广州市技师学院信息系统等级保护测评服务项目用户需求书用户需求.docx

广州市技师学院信息系统等级保护测评服务项目用户需求书一、 用户需求(-)项目背景随着佶息化进程的全面加快，网络安全法自2017年6月1日起开始实行，网络安全 等保护2. 0的相关标准2019年开始宣贯和推行，信息化的程度越来越高也渐渐影响到广州 市技师学院内部的各项核心业务中，重要信息系统已经成为广州市技师学院各项业务工作正 常开展必不可少的组成部分。为全面贯彻落实国家网络安全法对于网络安全等级保护制 度的相关规定，以及公安部对信息系统等级保护工作的要求，广州市技师学院结合内部实际 情况，依据国家网络安全等级保护相关规范与标准的要求,对广州市技师学院重要信息系统 进行定级备案、差距测评、险收测评。通过统一的网络安全等级保护管理规范和技术标准， 对佶息系统分等级实行安全保护，并对等级保护工作的实施进行监督、管理，使落实网络安 全等级保护工作后的系统网络安全防御能力得到提升并且符合国家网络安全等级保护验收 要求。(二)项目目标以等级保护标准要求为依据，对广州市技师学院本次项目重要信息系统进行定级备案、 差距测评、验收测评。通过采用人工访谈、工具检测、登录系统检测、文档分析的方式，分 析信息系统在等级保护方面与标准要求的差距，形成信息系统等级保护差距分析列表；并为 确立安全策略、制定安全规划、开展安全建设提供决策建议；协助广州市技师学院完成本次 项目重要信息系统网络安全等级保护验收测评工作，提交验收测评报告；使落实网络安全等 级保护工作后的系统网络安全防御能力得到提升并且符合国家网络安全等级保护验收要求。具体目标如下：(1)依据GB/T22239 2019&信息安全技术网络安全等级保护基本要求、GBT22239-2O19 信息安全技术网络安全等级保护基本要求以及GB/T28448-2019信息安全技术网络安 全等级保护测评要求的要求，对需定级的系统进行等级保护基本要求符合性的调查，来用 人工访谈、工具检测、登录系统检测、文档分析的方式分析信息系统在等级保护方面与标准 包括项目经理和核心技术人员的现场驻场服务，所需电脑等设备自行提供:<5）在广州市技肺学院进行整改过程中提供必要的技术支持；（6）能按照广州市技汕学院规定的工作内容及进度安排协助完成等级保护工作；（7）项目必须按照国家网络安全等级保护的标准要求开展。（8）投标人应R备公安部第三研究所颁发的网络安全等级测评与检测评估机构服务机构 服务认证证I骁2.保密要求中标人须保证对本项目实施中所获得任何资料和信息严格保密，并与广州市技肺学院签 订保密责任书。（十）其它要求1、安全调存和测评的过程中，投标方如需招标方人员配合，投标方需要详细描述需要 配合的内容.如需要招标方人员协助完成各种表单，需要详细描述表单的名称、功能及主要 表项等等，并由投标方给出具体示例。招标方有权利拒绝提供任何未事先提出的配合要求， 由此产生的损失由投标方负全责：2、本项目中可能需要的硬件平台（如笔记本电脑、PC、工作站等）均由中标方提供，招 标方将按照相关要求对设备进行必要的处理。投标方在服务期间未经招标方许可不得将设备 带离招标方指定场所，也不得使用任何未经招标方确认的存储设备对测评数据进行纭制；3、投标方需要给出招标方在进行调查和测评时所需要提供的信息列表。经招标方确认 后提供给投标方。招标方有权利拒绝提供任何信息列表以外的招标方资产信息：4、安全测评应按照分层的原则，包括但不限于以下对象：物理环境、网络结构、网络 服务、主机系统、数据库系统、应用系统、安全相关人员、处理流程、安全管理制度、安全 策略等；5、投标方应提供本项目的测评方窠，包括技术部分和实施部分。技术部分包括整体流 程、技术方法和服务方案设计等，需要对每项技术方法的应用位置进行详细描述，技术方案 中应详细描述本次测评采用的测评方式及标准、漏洞测试和应用分析的方法：6、实施部分包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险 规避措施等，需要明确每项工作的时间安排、操作时间和操作人员。安全调查和测评过程中， 如需使用安全工具，请在实施方案中详细描述所使用的安全工具（软硬件型号、功能和性能 描述）、使用的方式和时间、对环境和平台的要求等；7、投标方应详细描述安全调查和测评的组织方式，包括组成的人员及分工、测评的过 程组织、实施时间安排、测评方式所遵循的标准等。时间，而非款项实际支付时间。乙方不得以资金付款期限已过，向甲方索赔或支付违约金。（十一）支付方式本项目总预算为25万元，在合同签订后支付本项目总额的40% ：完成网络安全等级 保护现场测评工作并提交测评问题建议单后，支付本项目总额的40% ：在完成本项目所有 工作并完成所有交付后，支付本项目总额的20%。要求的差距，形成信息系统等级保护差距分析报告：（2）依据信息系统安全保护等级所应达到的防护要求，结合信息系统等级保护差跑分 析结果，对在技术、管理层面不符合等级保护标准要求的环节，采取适当的纠正措施，以达 到等级保护基本要求为目的，设计信息系统等级保护体系建设方案，为后续信息系统的网络 安全等级保护安全建设提供依据：（3）依据国家等级保护2.0的相关标准发现现有信息系统存在的信息安全问题，确保 信息系统在技术防护和安全管理体系方面均达能到等级保护2. 0的防护要求,能够防护系统 免受来自外部小型组织的（如自发的三两人组成的黑客组织）、拥有少域资源（如个别人员 能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一股的自然灾难（灾难发 生的强度一般、持续时间短、粗盖范围小等）以及其他相当危害程度的威胁（无意失误、技 术故障等）所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害 后，能够在第一时间恢狂部分功能。（三）项目依据> 信息安全技术网络安全等级保护基本要求（GB/T22239-2019）> 信息安全技术网络安全等级保护安全设计技术要求（GB/T25070-2019）> 网络安全等级保护安全建设整改工作指导意见（公信安2009 1429号）> 广东省深化网络安全等级保护工作方案（玛公通字200945号）> 国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）> g关于网络安全等级保护匚作的实施意见2001年9月四部委局联合签发的> G网络安全等级保护管理办法（公通字200743号）> 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技2008 2071 号）> 信息安全风险评估规范（GB/T 20984-2007）> 信息安全技术信息系统安全等级保护定级指南（GB/T 22240-2008）> 信息安全技术网络安全等级保护测评要求GB/T28148-2019> 信息安全技术信息系统安全等级保护实施指南GIJ/T 25058-2010> 信息系统安全等级保护测评过程指南（GB/T 28449-2012）> 计算机信息系统安全保护等级划分准则（GB 17859-1999）> 信息安全技术信息系统通用安全技术要求（GB/T20271-2006）> 信息安全技术网络基础安全技术要求（GB/T20270-2006）>G信息安全技术操作系统安全技术要求(GB/T20272-2006)>信息安全技术数据库管理系统安全技术要求(GB/T20273-2006)>信息安全技术服务器技术要求(GB/T21028-2007)>信息安全技术终端计兑机系统安全等级技术要求(GA/T67I-2006)(四)测评对象本项目需测评的信息系统清单：编号系统名称级别备注1广州市高级技工学校数字化 校园平台二级无子系统2广州市技师学院收费系统二级无子系统3广州市高级技匚学校校园信 息管理系统一级无子系统4广州市技师学院财政电子票无子系统据管理系统级带格式的：字体：宋体(五)服务内容要求1、协助定级备案协助广州市技师学院准备信息系统有关建设使用、设备部署、网络拓扑、数据存储、运 行维护、安全管理等方面的文档资料，按照广东省等保工作管理规定，对系统相关文档进行 整理后形成系统定级报告，并指导用户单位提交网安部门审批。2、差距测评差距测评包括两个方面的内容：一是安全控制测评，主要测评网络安全等级保护要求的 基本安全控制在系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体 安全性。其中，安全控制测评是信息系统整体安全测评的基础。3、验收测评广州市技师学院委托具备资质的机构进行网络安全等级保护验收测评工作，并按照等保 2.0的相关要求出具验收测评报告，最后协助广州市技师学院进行测评报告备案匚作，提交 验收测评报告到当地公安等级保护部门，完成报告备案作。4、安全保障服务>网络安全扫描服务对本次实施等级保护测评的信息系统，采用专业安全扫描工具与人工检查相结合的方式 进行主机安全漏洞扫描，门体内容包括主机操作系统漏洞、网络和安全设备漏洞等内容，并输出相应的安全扫描漏洞报告（内附整改建议）。批注IG1):本项服务的服务频率为完成2次网络安全扫描服务，并交付漏洞扫描报告。一网络安全加固眼务对本次实施等级保护测评的信息系统所发现的安全漏洞,安全陷患, 不安全配设项, 网铝病福-梆供方令加冏件冠一 4cmm 彳7方个后一业1币邨冬不向d若应用软件八,石4星而年心4 - 7TTEJTTX . 7y I，= X 厂 511 二 U-学入 7 J T7 r厂上 T j ->*> . I - OC"JiK r L-li ji 11 '. r i J -T/< i i i ）?2、IE数据库整改等内容U批注|G2|:本项服务的服务频率为完成2次网络安全加固服务，并交付安全加固报告。>管理制度脩订咨询服务根据学校现有的网络安全相关管理制度及对应的执行记录，为指昱学校完善套第三级 网络安全等级保护所需求的管理制度。批注IG3:本项服务的服务频率为开展1次管理制度修订服务,并交付管理制度汇编。>网络安全意识培训为学校内部开展一次网络安全意识培训，主要培训内容有相关律法规定解读、日常规范操 作、案例分析等内容。批注|G4):本项服务的服务频率为开展1次网络安全意识培训，并交付培训相关文档。>重保时期监测服务重大保障期间，我司将安排技术人员通过学校提供的监控平台，现场或远程对安全预警、 防护、监控等方面的运行状况进行安全检测和监测，及时收集各信息系统、终端电脑的运行 数据，若发现异常第一时间告知学校对应负贡人进行紧急处置，根据安全告警H志协助校方 分析结果，按照应急处理流程，协助校方通知相关责任人，跟踪及排杳问题原因并进行处理， 并提交相应的处理报告。带格式的：缩进：首行缩进：2字符 带格式的3突出显示批注IG5I：本项服务的服务频率为5次重大时期保障，具体根据学校安排（如：即二十大、国庆一 中秋T4会等重大活动保障，交付监测报告和总结报告。（六）测评要求按照等保2. 0的相关要求对信息系统安全等级保护状况进行测试评估，包括安全通用要 求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安 全扩展要求。安全通用要求规定了不管等级保护对象形态如何必须满足的要求，评单元分为安全技术 测评和安全管理测评两大类，技术要求包括：安全物理环境、安全通信网络、安全区域边界、 安全计算环境、安全管理中心：管理要求包括：安全管理制度、安全管理机构、安全管理人 员、安全建设管理、安全运维管理。云计算拓展要求包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理。移动互联网拓展要求包括：安全物理环境、安全区域边界、安全计算环境、安全建设管 理。物联网安全拓展要求包括：安全物理环境、安全区域边界、安全建i殳管理。工业控制系统安全拓展要求包括：安全物理环境、网络通信网络、安全区域边界、安全 计算环境。（七）测评内容1、安全通用要求安全物理环境测评内容：被测信息系统应对重要的物理安全设置,，如物理位置选择、物理范 围控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供 应电磁防护等做必要配置。测试方法：访谈、检查。安全通信网络测评内容：被测信息系统对通信网络安全进行设置，如网络架构、通信传输、 可信险证等做必要的配置。测试方法：访谈、检查。安全区域边界测评内容：被测信息系统网络边界进行安全配置，如边界防护、访问控制、入 侵范围、恶意代码防范、安全审计、可侑照证等做必要的配置。测试方法：访谈、检查。安全计算环境测评内容：被测信息系统安全计算环境进行安全配置，如身份鉴别、访问控制、 安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢红、剩余信 息保护、个人信息保护等做必要的配置。测试方法：访谈、检杳。安全管理中心测评内容：被测信息系统的安全管理中心进行安全配置和管理，如系统管理、 审计管理等做必要的配置测试方法：访谈、检查。安全管理制度测评内容：被测系统运营单位的管理制度、制定和发布、修订和评审进行管理 和落实情况。测评方法：访谈、检查。安全管理机构测评内容：被测系统运营单位的岗位设置、人员配备、授权和市批、沟通与合 作、审核和检查的管理和落实情况。测评方法：访谈、检查。安全管理人员测评内容：被测系统运营单位的人员录用、人员离岗、安全意识教育和培训、 外部人员访问管理等方面的管理和落实情况。测评方法：访谈、检查。安全建设管理测评内容：被测系统运营单位的系统定级和备案情况、安全方案设计、产品采 购和使用、自行软件开、外包软件开发、工程实施、测试验收、系统交付、等级测评、 服务供应商选择管理和落实情况测评方法：访谈、检查。系统运维管理测评内容：被测系统运营单位在环境管理、资产管理、介质管理、设备维护管 理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、 变更管理、备份和恢旦管理、安全事件处理、应急预案管理、外包运维管理方面的管理 和落实情况。测评方法：访谈、检查。2、云计算拓展要求安全物理环境测评内容：被测系统的基础设施位置选择。测评方法：访谈、检查。安全边界区域测评内容：对云计算环境访问控制、入侵防范、安全审计进行安全配置。测评方法：访谈、检查°安全计算环境测评内容：刻安全计算环境的访问控制、饯像和快照保护、数据完整性和保密 性、数据备份恢发、剩余信息保护进行安全配置。测评方法：访谈、检查。安全建设管理测评内容：对云计算环境的云服务商选择、供应链管理方面的落实情况。测评方法：访谈、检查。安全运维管理测评内容：云计算环境管理是否符合国家相关规定测评方法：访谈、检查。3、移动互联网拓展要求安全物理环境测评内容：被测系统的无线接入点的位置选择。测评方法：访谈、检查。安全区域边界测评内容：对移动互联网的边界防护、访问控制、入侵防范进行安全配置。测评方法：访谈、检查.安全计算环境测评内容：对移动互联网的移动应用管控进行安全配置。测评方法：访谈、检查。安全建设管理测评内容：对移动互联网的移动应用软件采购、移动应用开发和安全合理管理测评方法：访谈、检查。4、物联网安全拓展要求安全物理环境测评内容：被测系统的感知节点设备物理防护合理。测评方法：访谈、检查。安全区域边界测评内容：对物联网系统的接入控制、入侵防范进行安全配置.测评方法：访谈、检查。安全运维管理测评内容：对物联网的感知节点进行安全合理管理。测评方法：访谈、检查。5、工业控制系统安全拓展要求安全物理环境测评内容：被测工业控制系统的室外控制设备物理防护措施合理。测评方法：访谈、检查。安全通信网络测评内容：被测工业控制系统的网络架构、通信传输进行安全配置.0测评方法：访谈、检查。安全区域边界测评内容：对工业控制系统的访问控制、拨号使用控制、无线使用控制进行安 全配置。测评方法：访谈、检查。安全计算环境测评内容：对工业控制系统的控制设备进行安全控制。测评方法：访谈、检置。安全建设管理测评内容：对工业控制系统的产品采购和使用、外包软件开发进行安全合理管 理。测评方法：访谈、检查。（八）测评方法与工具要求1、测评方法（1）人员访谈与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关 信息。在访谈范围上，一般应基本覆盖所有的安全相关人员类型，在数量上可以抽样。（2）配置检查利用上机雅证的方式检查主机操作系统、数据库、网络设备、安全设备、应用系统等配 置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日 志审计等），测评其实施的正确性和有效性，检查配设的完整性，测试网络连接规则的一致 性，从而测试系统是否达到可用性和可靠性的要求。（3）文档审查检杳制度、策略、操作规程、制度执行情况记录等文档（包括安全方针文件、安全管理 制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际 配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档） 的完整性，以及这些文件之间的内部一致性。（4）实地查看通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、 管理程序和系统物理环境等方面的安全情况，测评其是否达到了相应等级的安全要求， 2、工具和测试（1）测评工具在网络安全等级保护测评过程中使用的测评工具严格遵循可控性原则，即所右使用到的 测评工具将事先提交给系统管理员检杳和确认没问题，并在认可的范围之内进行使用。（2）工具测试利用技术工具（漏洞扫描工具、渗透测试工具）对系统进行测试，包括基于网络探测和 基于主机审计的漏洞扫描、渗透测试、性能测试等。（九）项目实施要求.实施要求（1）投标人必须乂备独立完成本项目的能力；<2）投标人提供的资格、资质等证明文件应真实有效：<3）投标人应对了解到的信息保密，并提供保密承诺；（4）投标人应在项目现场实施周期内，中标方必须为木项目成立等级保护测评小组，安排