宁夏回族自治区统计局信息工程扩建项目安全风险评估采购项目招标公告

采购计划编号：2012NCZ1305

采购文件编号：NZC/A120343-2

采购机关：宁夏回族自治区统计局    

联系人：张  雁             电话：0951-5677010

招标代理机构：宁夏政府采购中心

地 址：宁夏回族自治区公共资源交易管理局9楼（银川市北京中路51号汽车大世界对面）

报名联系人：刘  扬                  电话：0951-6891031          

开标联系人：李伟明                  电话：0951-6891002 

中标通知书发放联系人：杜 丹         电话：0951-6891036          

采购内容：

信息工程扩建项目安全风险评估需求方案

一、项目背景：

国家统计局为降低信息工程扩建项目中存在的风险隐患，提高系统安全性、可用性，于2011年开始根据GB/T 20984-2007 《信息安全风险评估规范》、《国家信息化领导小组关于我国电子政务建设指导意见》、《国家信息化领导小组关于推进国家电子政务网络建设的意见》、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技【2008】2071号）等国家有关电子政务工程建设项目相关的文件、标准，已经完成国家统计局节点和山西试点的风险评估工作。

按照国家局今年7月底在吉林长春召开的《2012年全国统计系统信息安全工作暨信息安全技术培训会议》的会议精神，要求2012年4季度完成各省级单位风险评估工作和整改加固工作，为扩建工程验收做好准备。

二、项目目标

通过开展信息工程扩建项目安全风险评估, 完善安全管理机制；通过安全服务的引入，进一步建立健全系统安全管理策略，实现安全风险的可知、可控和可管理；通过建立系统信息安全风险评估机制，实现系统信息安全风险的动态跟踪分析，为系统信息安全整体规划提供科学的决策依据，进一步加强统计内部网络的整体安全防护能力，全面提升我局信息系统整体安全防范能力，极大提高统计系统网络与信息安全管理水平；通过深入挖掘网络与信息系统存在的脆弱点，并以业务系统为关键要素，对现有的信息安全管理制度和技术措施的有效性进行评估，不断增强系统的网络和信息系统抵御风险安全风险能力，促进我局安全管理水平的提高，增强信息安全风险管理意识，培养信息安全专业人才，为统计系统各项业务提供安全可靠的支撑平台。

三、项目需求

（一）服务要求：

1、基本要求

“安全风险评估服务”全过程要求有据可依，并在产品使用有据可查，并保持项目之后的持续改进。针对用户单位网络中的IT设备及应用软件，需要有软件产品识别所有设备及其安全配置，或以其他方式收集、保存设备明细及安全配置，进行资产收集作为建立信息安全体系的基础。安全评估的过程及结果要求通过软件或其他形式进行展示。对于风险的处理包括：协助用户制定安全加固方案、在工程建设及日常运维中提供咨询及支持服务，通过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务，并根据国家及行业标准制定信息安全管理体系，针对安全管理员提供安全培训，遇有可能的安全事件发生时，提供应急的安全分析、紧急响应服务。

2、安全评估

评估对象：宁夏统计局信息工程扩建项目中的网络扩建系统、安全子系统、邮件系统、视频系统、桌面管理系统、综合网运维管理系统六个子项进行安全风险评估。

评估采用专业工具扫描（漏洞扫描、数据库扫描采用产品必须为商业化产品）、人工评估、渗透测试三种相结合的方式，对各种系统进行评估，包括：帐户与口令安全、网络服务安全、内核参数安全、文件系统安全、日志安全等；从应用系统相关硬件、软件和数据等方面来审核应用所处环境下存在哪些威胁，根据应用系统所存在的威胁，来确定需要达到哪些系统安全目标才能保证应用系统能够抵挡预期的安全威胁。其他评估内容应至少包括以下几方面：

l 信息探测类 l 网络设备与防火墙

l RPC服务 l Web服务

l CGI问题 l 文件服务

l 域名服务 l Mail服务

l Windows远程访问 l 数据库问题

l SQL 注入 l 跨站脚本攻击

l 后门程序 l 其他服务

l 网络拒绝服务(DOS) l 其他问题

3、安全加固

根据风险评估的结果，编写整改加固方案并整改；整改完成后进行复测达到合规的要求。

整改加固方案不能影响用户单位各项业务的正常进行，如果整改过程需要暂时中断业务，须设计具体的解决方案。

同时，随着信息技术的发展，当新的漏洞出现时，评估单位有责任和义务告知用户，并配合用户判定是否进行相应的整改加固工作；

4、安全培训服务

要求安排两次信息安全管理及技术培训（培训只负责提供师资及培训教材，培训教材可为电子版），同时，要求提供四人次专业技术认证培训（含食宿）。

5、应急演练服务

要求配合用户制定信息系统风险应急响应方案，并至少安排一次信息系统风险应急演练。

（二）服务原则

为保障安全风险评估工作的有序顺利进行，特提出以下项目执行原则：

1、保密性原则。在进行信息安全风险评估的过程中，将严格遵循保密原则，评估过程中将采取严格的管理措施，确保所涉及到的任何用户保密信息，不会泄露给第三方单位或个人，不得利用这些信息损害用户利益。

2、最小影响原则。从项目管理和技术应用的层面，将风险评估工作实施对系统和网络的正常运行所可能的影响降到最低程度，不对网络系统的运行和业务应用的正常提供产生显著影响，同时在工作实施前做好备份和应急措施。

3、规范性原则。在充分总结测评中心多年开展风险评估实践经验的基础上，确定规范的方案；在此次信息安全风险评估过程中，通过规范的项目管理在人员、项目实施环节、质量保障和时间进度等方面进行严格管控。

4、标准化原则。此次风险评估工作将严格遵守国家和行业的相关法规、标准，并参考国际的标准来实施。

5、完整性原则。完整性原则包含以下两个层次的内容：

评估内容的完整性——风险评估工作要综合考虑所评估信息系统的技术措施、人员、业务及运行维护等方面，覆盖文件的要求。

评估流程的完整性——作为一个完整有效的信息安全评估过程，应该是科学严谨的。任何疏忽或遗漏，都可能影响整个过程的结果。

6、互动性原则。在进行信息安全风险评估过程中，将强调受检查方的互动参与，保证项目执行的效果并提高委托方的安全技能和安全意识。

（三） 保密措施

根据《中华人民共和国保守国家秘密法》，并根据中华人民共和国国家科学技术委员会颁布的《科学技术保密规定》、《计算机软件保护条例》以及《商用密码管理条例》等相关法律、法规，对统计局通信信息中心通过口头、书面、电子或其他方式提供的关于技术和系统安全及其他方面的一切数据、报告、信息、翻译资料、预测和记录等内容进行保密，具体包括：

宁夏统计局数管中心的机构设置和运行机制；

宁夏统计局数管中心的电子设备及其它辅助产品、安全产品的型号、数量、配置、运行状态、交易日志等资料；

宁夏统计局数管中心的应用系统名称、功能、业务类型、系统测试及试运行期间的山西省统计局通信信息中心资料等信息；

宁夏统计局数管中心的现有网络拓扑结构及其相关资料，包括网络参数，如IP 地址，命名规则等；

宁夏统计局数管中心的业务流程、逻辑流程、规章制度等资料。

宁夏统计局数管中心计算机系统的漏洞信息；

宁夏统计局数管中心现有安全机制及规划目标、所有系统的应急方案；

宁夏统计局数管中心的项目文档、工程文档；

宁夏统计局数管中心的应用系统接口程序与文档；

宁夏统计局数管中心与其它公司的合作信息、合同。

同时，未经宁夏统计局数管中心书面同意，测评人员在任何时候不得对外披露保密信息，不使用或允许第三方使用保密信息。

四、服务要求

评估单位需提供详细的项目实施计划，对供货、安装、调试、维护、验收等各个环节进行详细描述和合理的时间安排。

评估单位需提供详细的项目技术人员配备计划，对项目技术人员的技术水平状况以及所参加过类似项目的实施经验进行说明。

宁夏统计局参照评估单位出具的风险评估报告，将在其它项目中完成整改加固工作，但宁夏统计局整改加固后，评估单位负责对加固后的结果进行二次评估，并出具二次评估报告。

评估单位负责组织召开外部专家评审会，对本项目完成的风险评估报告进行评审（所发生费用评估单位负责承担）。

五、依据的技术标准及相关法规文件

评估单位依据如下标准实施评估服务：

l 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技(2008)2071号)

l 《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》

l 《GB/T 18336-2001 信息技术安全性评估准则》等同于《ISO 15408-1999 Common Criteria for Information Technology Security Evaluation》

l 《ISO/IEC 17799 Information technology — Security techniques — Code of practice for information security management》

l 《ISO/IEC 21827 Information Technology —System Security Engineer—Capability Maturity Model（SSE-CMM）》

l 《GB/T20274-2006 信息系统安全保障评估框架》

六、 交付文件

l 宁夏统计局信息工程扩建项目 安全风险评估报告

l 宁夏统计局信息工程扩建项目 安全风险评估整改加固实施报告

l 宁夏统计局信息工程扩建项目 二次安全风险评估报告

投标人资格要求：

1 法人授权委托书（原件）；

2 营业执照（副本复印件加盖投标单位公章）；

3 税务登记证（国税和地税）（复印件加盖投标单位公章）；

4 组织机构代码证书（复印件加盖投标单位公章）；

5 社会保障资金缴纳记录（以近期连续三个月缴费凭证为准）（复印件加盖投标单位公章）；

6检察机关出具的近三年内有无行贿犯罪档案记录的书面告知函（复印件加盖投标单位公章）；

7评估机构必须具备公安部认可的信息安全等级保护测评资质，并在公安部等级保护测评机构推荐目录中，不符合者丧失投标资格；（复印件加盖投标单位公章）

8评估机构必须具有ISO9001质量管理体系认证证书（复印件加盖投标单位公章）

9.与此项目相关的其他文件。

评标办法：综合评分法

获取采购文件时间：即日起至开标前。每天上午8：00-12：00 下午2：30-6：00

地点：宁夏回族自治区公共资源交易管理局九楼采购一处（银川市北京中路51号汽车大世界对面）

获取采购文件方式：免费发放，通过邮箱发送领取（如投标人放弃投标，需在开标前三日前告知我中心）；

外地供应商报名流程：投标单位标注单位全称、联系人、固定电话、手机、邮箱地址、所报项目、采购文件编号，分标段的需注明标段，加盖公章后传真至0951-6891031。我中心收到传真视为正式报名，通过邮箱发放电子版招标文件。

投标保证金请汇至：

户 名： 宁夏回族自治区公共资源交易管理局

开户行： 宁夏银行光华支行

账 号： 08000141100000765

报名供应商须知：正式报名投标商请在开标当天携带投标保证金交款凭证，当日我中心采购工作人员将办理未中标单位投标保证金退款事宜，过期不候，敬请注意，谢谢合作！

开标时间：2013年1月8日8：30分

开标地点：宁夏回族自治区公共资源交易服务中心5楼（银川市北京中路51号汽车大世界对面）

宁夏政府采购中心

2012年12月12日

采购内容：

信息工程扩建项目安全风险评估需求方案

一、项目背景：

国家统计局为降低信息工程扩建项目中存在的风险隐患，提高系统安全性、可用性，于2011年开始根据GB/T 20984-2007 《信息安全风险评估规范》、《国家信息化领导小组关于我国电子政务建设指导意见》、《国家信息化领导小组关于推进国家电子政务网络建设的意见》、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技【2008】2071号）等国家有关电子政务工程建设项目相关的文件、标准，已经完成国家统计局节点和山西试点的风险评估工作。

按照国家局今年7月底在吉林长春召开的《2012年全国统计系统信息安全工作暨信息安全技术培训会议》的会议精神，要求2012年4季度完成各省级单位风险评估工作和整改加固工作，为扩建工程验收做好准备。

二、项目目标

通过开展信息工程扩建项目安全风险评估, 完善安全管理机制；通过安全服务的引入，进一步建立健全系统安全管理策略，实现安全风险的可知、可控和可管理；通过建立系统信息安全风险评估机制，实现系统信息安全风险的动态跟踪分析，为系统信息安全整体规划提供科学的决策依据，进一步加强统计内部网络的整体安全防护能力，全面提升我局信息系统整体安全防范能力，极大提高统计系统网络与信息安全管理水平；通过深入挖掘网络与信息系统存在的脆弱点，并以业务系统为关键要素，对现有的信息安全管理制度和技术措施的有效性进行评估，不断增强系统的网络和信息系统抵御风险安全风险能力，促进我局安全管理水平的提高，增强信息安全风险管理意识，培养信息安全专业人才，为统计系统各项业务提供安全可靠的支撑平台。

三、项目需求

（一）服务要求：

1、基本要求

“安全风险评估服务”全过程要求有据可依，并在产品使用有据可查，并保持项目之后的持续改进。针对用户单位网络中的IT设备及应用软件，需要有软件产品识别所有设备及其安全配置，或以其他方式收集、保存设备明细及安全配置，进行资产收集作为建立信息安全体系的基础。安全评估的过程及结果要求通过软件或其他形式进行展示。对于风险的处理包括：协助用户制定安全加固方案、在工程建设及日常运维中提供咨询及支持服务，通过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务，并根据国家及行业标准制定信息安全管理体系，针对安全管理员提供安全培训，遇有可能的安全事件发生时，提供应急的安全分析、紧急响应服务。

2、安全评估

评估对象：宁夏统计局信息工程扩建项目中的网络扩建系统、安全子系统、邮件系统、视频系统、桌面管理系统、综合网运维管理系统六个子项进行安全风险评估。

评估采用专业工具扫描（漏洞扫描、数据库扫描采用产品必须为商业化产品）、人工评估、渗透测试三种相结合的方式，对各种系统进行评估，包括：帐户与口令安全、网络服务安全、内核参数安全、文件系统安全、日志安全等；从应用系统相关硬件、软件和数据等方面来审核应用所处环境下存在哪些威胁，根据应用系统所存在的威胁，来确定需要达到哪些系统安全目标才能保证应用系统能够抵挡预期的安全威胁。其他评估内容应至少包括以下几方面：

l 信息探测类 l 网络设备与防火墙

l RPC服务 l Web服务

l CGI问题 l 文件服务

l 域名服务 l Mail服务

l Windows远程访问 l 数据库问题

l SQL 注入 l 跨站脚本攻击

l 后门程序 l 其他服务

l 网络拒绝服务(DOS) l 其他问题

3、安全加固

根据风险评估的结果，编写整改加固方案并整改；整改完成后进行复测达到合规的要求。

整改加固方案不能影响用户单位各项业务的正常进行，如果整改过程需要暂时中断业务，须设计具体的解决方案。

同时，随着信息技术的发展，当新的漏洞出现时，评估单位有责任和义务告知用户，并配合用户判定是否进行相应的整改加固工作；

4、安全培训服务

要求安排两次信息安全管理及技术培训（培训只负责提供师资及培训教材，培训教材可为电子版），同时，要求提供四人次专业技术认证培训（含食宿）。

5、应急演练服务

要求配合用户制定信息系统风险应急响应方案，并至少安排一次信息系统风险应急演练。

（二）服务原则

为保障安全风险评估工作的有序顺利进行，特提出以下项目执行原则：

1、保密性原则。在进行信息安全风险评估的过程中，将严格遵循保密原则，评估过程中将采取严格的管理措施，确保所涉及到的任何用户保密信息，不会泄露给第三方单位或个人，不得利用这些信息损害用户利益。

2、最小影响原则。从项目管理和技术应用的层面，将风险评估工作实施对系统和网络的正常运行所可能的影响降到最低程度，不对网络系统的运行和业务应用的正常提供产生显著影响，同时在工作实施前做好备份和应急措施。

3、规范性原则。在充分总结测评中心多年开展风险评估实践经验的基础上，确定规范的方案；在此次信息安全风险评估过程中，通过规范的项目管理在人员、项目实施环节、质量保障和时间进度等方面进行严格管控。

4、标准化原则。此次风险评估工作将严格遵守国家和行业的相关法规、标准，并参考国际的标准来实施。

5、完整性原则。完整性原则包含以下两个层次的内容：

评估内容的完整性——风险评估工作要综合考虑所评估信息系统的技术措施、人员、业务及运行维护等方面，覆盖文件的要求。

评估流程的完整性——作为一个完整有效的信息安全评估过程，应该是科学严谨的。任何疏忽或遗漏，都可能影响整个过程的结果。

6、互动性原则。在进行信息安全风险评估过程中，将强调受检查方的互动参与，保证项目执行的效果并提高委托方的安全技能和安全意识。

（三） 保密措施

根据《中华人民共和国保守国家秘密法》，并根据中华人民共和国国家科学技术委员会颁布的《科学技术保密规定》、《计算机软件保护条例》以及《商用密码管理条例》等相关法律、法规，对统计局通信信息中心通过口头、书面、电子或其他方式提供的关于技术和系统安全及其他方面的一切数据、报告、信息、翻译资料、预测和记录等内容进行保密，具体包括：

宁夏统计局数管中心的机构设置和运行机制；

宁夏统计局数管中心的电子设备及其它辅助产品、安全产品的型号、数量、配置、运行状态、交易日志等资料；

宁夏统计局数管中心的应用系统名称、功能、业务类型、系统测试及试运行期间的山西省统计局通信信息中心资料等信息；

宁夏统计局数管中心的现有网络拓扑结构及其相关资料，包括网络参数，如IP 地址，命名规则等；

宁夏统计局数管中心的业务流程、逻辑流程、规章制度等资料。

宁夏统计局数管中心计算机系统的漏洞信息；

宁夏统计局数管中心现有安全机制及规划目标、所有系统的应急方案；

宁夏统计局数管中心的项目文档、工程文档；

宁夏统计局数管中心的应用系统接口程序与文档；

宁夏统计局数管中心与其它公司的合作信息、合同。

同时，未经宁夏统计局数管中心书面同意，测评人员在任何时候不得对外披露保密信息，不使用或允许第三方使用保密信息。

四、服务要求

评估单位需提供详细的项目实施计划，对供货、安装、调试、维护、验收等各个环节进行详细描述和合理的时间安排。

评估单位需提供详细的项目技术人员配备计划，对项目技术人员的技术水平状况以及所参加过类似项目的实施经验进行说明。

宁夏统计局参照评估单位出具的风险评估报告，将在其它项目中完成整改加固工作，但宁夏统计局整改加固后，评估单位负责对加固后的结果进行二次评估，并出具二次评估报告。

评估单位负责组织召开外部专家评审会，对本项目完成的风险评估报告进行评审（所发生费用评估单位负责承担）。

五、依据的技术标准及相关法规文件

评估单位依据如下标准实施评估服务：

l 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技(2008)2071号)

l 《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》

l 《GB/T 18336-2001 信息技术安全性评估准则》等同于《ISO 15408-1999 Common Criteria for Information Technology Security Evaluation》

l 《ISO/IEC 17799 Information technology — Security techniques — Code of practice for information security management》

l 《ISO/IEC 21827 Information Technology —System Security Engineer—Capability Maturity Model（SSE-CMM）》

l 《GB/T20274-2006 信息系统安全保障评估框架》

六、 交付文件

l 宁夏统计局信息工程扩建项目 安全风险评估报告

l 宁夏统计局信息工程扩建项目 安全风险评估整改加固实施报告

l 宁夏统计局信息工程扩建项目 二次安全风险评估报告

投标人资格要求：

1 法人授权委托书（原件）；

2 营业执照（副本复印件加盖投标单位公章）；

3 税务登记证（国税和地税）（复印件加盖投标单位公章）；

4 组织机构代码证书（复印件加盖投标单位公章）；

5 社会保障资金缴纳记录（以近期连续三个月缴费凭证为准）（复印件加盖投标单位公章）；

6检察机关出具的近三年内有无行贿犯罪档案记录的书面告知函（复印件加盖投标单位公章）；

7评估机构必须具备公安部认可的信息安全等级保护测评资质，并在公安部等级保护测评机构推荐目录中，不符合者丧失投标资格；（复印件加盖投标单位公章）

8评估机构必须具有ISO9001质量管理体系认证证书（复印件加盖投标单位公章）

9.与此项目相关的其他文件。

评标办法：综合评分法

获取采购文件时间：即日起至开标前。每天上午8：00-12：00 下午2：30-6：00

地点：宁夏回族自治区公共资源交易管理局九楼采购一处（银川市北京中路51号汽车大世界对面）

获取采购文件方式：免费发放，通过邮箱发送领取（如投标人放弃投标，需在开标前三日前告知我中心）；

外地供应商报名流程：投标单位标注单位全称、联系人、固定电话、手机、邮箱地址、所报项目、采购文件编号，分标段的需注明标段，加盖公章后传真至0951-6891031。我中心收到传真视为正式报名，通过邮箱发放电子版招标文件。

投标保证金请汇至：

户 名： 宁夏回族自治区公共资源交易管理局

开户行： 宁夏银行光华支行

账 号： 08000141100000765

报名供应商须知：正式报名投标商请在开标当天携带投标保证金交款凭证，当日我中心采购工作人员将办理未中标单位投标保证金退款事宜，过期不候，敬请注意，谢谢合作！

开标时间：2013年1月8日8：30分

开标地点：宁夏回族自治区公共资源交易服务中心5楼（银川市北京中路51号汽车大世界对面）

宁夏政府采购中心

2012年12月12日