您现在的位置:广东省机场管理集团采购、招商管理信息平台>采购信息公告>综合评审

惠州机场弱电信息系统等级保护安全测评服务项目

发布时间:2016年08月08日 作者: 点击数: 【字号:
项目编号:20160808-01532
截止日期:2016年08月08日 15时29分18秒
项目联系人:罗海华
联系人电话:18829976635
招标内容:

惠州机场弱电信息系统等级保护安全测评  

服务项目询价文件  

   

广东省机场管理集团有限公司惠州机场公司(以下称“采购人”) 对 惠州机场弱电信息系统等级保护安全测评服务 项目进行公开询价采购,邀请国内合格供应商(以下称“报价人”)就以下内容和有关服务提交报价:  

 一、询价项目说明     

1.1项目编号:  HZJC-CG-0053    

1.2项目名称: 惠州机场弱电信息系统等级保护安全测评服务   

1.3项目位置:  惠州市惠阳区平潭镇金星村惠州机场公司    

1.4报价人资质要求  

1.4.1具有独立法人资格、独立承担民事责任和履行合同的能力,供应商注册资本不低于300万元;  

1.4.2 须具有良好的经营行为,诚实守信且有良好的销售业绩;  

1.4.3 有完善的售后服务体系;  

1.4.4 投标人必须为广东省信息安全等级保护工作协调小组办公室推荐的具有测评资格的“第三方等级测评机构”,且在有效期内,提供广东省信息安全等级保护工作协调小组办公室推荐证书复印件;  

1.4.6测评必须使用漏洞扫描系统工具,投标人若不是漏洞扫描系统工具制造商的,必须提供所用漏洞扫描系统工具的制造商出具的针对本项目的授权书原件。  

   

1.5报价文件的有效期:自报价文件提交后30天之内。     

1.6报价文件的递交  

1)报价截止时间:2016 8 8 12:00   2016 8 12 12:00   (截止时间以系统服务器时间为准)  

2)递交地点:广东省惠州市惠阳区平潭镇金星村惠州机场公司  

3)联系人:   罗海华         

     电话:    18829976635    

     邮箱:    19780460@qq.com    

4)所有的报价人需在广东省机场管理集团有限公司采购、招商管理网络平台(wz.gamc.cn)主页中“合作商注册”模块,按规定格式填写正确的供应商登记信息,登记为合格的候选供应商(已注册的除外)。提交报价文件中必须提交供应商登陆系统打印的合作商登记表并加盖公章。  

5)报价人应本询价文件第3.1项的要求递交报价文件,逾期递交或未按规定密封的报价文件恕不接受。  

6)采购人将统一对所有报价同时进行拆封并评选。采购人对本次询价及相关文件资料拥有最终解释权。  

二、采购人需求  

2.1项目内容  

1、对离港控制系统、航班信息显示系统、安检信息系统、航显广播系统、生产网系统及办公网系统共6个弱电信息系统进行等级保护定级备案及开展等级测评工作并提交《信息系统安全等级保护等级测评报告》(测评报告必须结论为基本符合或者完全符合,开展2次测评工作),获取当地公安机关网监部门下发的备案证明书,整个工作需在201610月底前完成。  

2.2采购项目商务要求  

2.2.1 .本项目采购最高限价为人民币壹拾捌万元整(¥ 180000.00,报价为含6%增值税专用发票税价。  

2.2.2.报价包含服务费、人员食宿差旅费、使用工具费用、办理相关手续费用、税费、培训费及安装、调试、培训、送货等与本项目交货有关的全部费用。  

2.2.3.交货时间:201610月底完成离港控制系统、航班信息显示系统、安检信息系统、航显广播系统、生产网系统及办公网系统共6个弱电信息系统等级保护定级备案及信息安全等级保护等级测评工作并提交《信息安全等级保护等级测评报告》,获取当地公安机关下发的备案证明书。                  

2.2.4.验收要求:按合同约定验收。                      

2.2.5.付款方式:合同签订后10个工作日内预付合同总额的30%;完成所有6个系统的初次测评报告并提交业主方;且待业主完成整改后乙方开展第二次测评,提交第二次测评报告并完成在业主方所在地公安局网监部门的备案并获得业主所在地公安局网监部门为所测评的6个系统出具的《信息系统安全等级保护备案证明》,于业主方收到本项目6个系统的《信息系统安全等级保护备案证明》后10个工作日内支付合同总额的70%。                    

2.2.6 保密要求:投标人必须对业主方相关信息保密,不得在任何场合向第三方透露采购方负责。  

 2.2.7 交货地点:广东省机场管理集团有限公司惠州机场公司指定地点落地交货:惠州市惠阳区平潭镇金星村惠州平潭机场。  

   

2.3服务要求  

以下是本项目的最低要求,未包含在以下要求范围内的设备等,由投标方根据项目需求和实施方案进行调整和配置,但必须不低于最低要求。  

(一)、测评项目  

对机场现在运行的6个弱电信息系统按照二级标准实施安全等级保护测评,具体见下表:  

序号  

系统名称  

系统测评级别要求  

1  

离港控制系统  

二级  

2  

航班信息显示系统  

二级  

3  

安检信息系统  

二级  

4  

航显广播系统  

二级  

5  

生产网系统  

二级  

6  

办公网系统  

二级  

   

(二)、工作规范  

该项工作要按照国家《信息安全等级保护管理办法》的总要求,并依据及参考以下规范:  

GB17859-1999计算机信息系统安全保护等级划分准则  

GB/T222392008信息系统安全等级保护基本要求  

GB/T222402008信息系统安全等级保护定级指南  

信息系统安全等级保护测评过程指南(国标报批稿)  

信息系统安全等级保护测评要求(国标报批稿)  

GB/T25058-2010信息系统安全等级保护实施指南  

GB/T25070-2010信息系统等级保护安全设计技术要求  

《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)  

20049月四部委局联合签发的《关于信息安全等级保护工作的实施意见》  

《广东省深化信息安全等级保护工作方案》(粤公通字[2010]45)  

《计算机信息系统安全等级保护管理要求》  

《计算机信息系统安全等级保护通用技术要求》  

(三)、项目必须包含的内容  

1、中标人需协助招标人进一步完善定级工作,更好地符合等级保护的要求,以便顺利开展本项目工作。中标人需在项目完成后形成《定级报告》,并协助招标人向当地公安部门办理备案,取得《信息系统安全等级保护备案证明》。  

2、等级测评服务内容要求  

⑴、技术安全测评  

① 物理安全测评:依据等级保护要求,分析机房物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水盒防潮、温湿度控制、电力供应和电磁防护等方面存在的不足和问题。  

② 网络安全测评:依据等级保护要求,分析网络结构安全、访问控制、边界审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等方面存在的不足和问题。  

③ 主机安全测评:依据等级保护要求,分析主机身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方面存在的不足和问题。  

④ 应用安全测评:依据等级保护要求,分析应用系统身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等方面存在的不足和问题。  

⑤ 数据安全及备份恢复测评:依据等级保护要求,分析数据安全及备份恢复的数据完整性、保密性、备份和恢复等方面存在的不足和问题。  

⑵、管理安全测评  

① 安全管理制度测评:依据等级保护要求,分析管理制度制定和发布、评审和修订等方面的管理存在的不足和问题。  

② 安全管理机构测评:依据等级保护要求,分析安全管理机构的岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等方面的管理存在的不足和问题。  

③ 人员安全管理测评:依据等级保护要求,分析人员安全管理的人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等方面的管理存在的不足和问题。  

④ 系统建设管理测评:依据等级保护要求,分析系统建设管理的系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择等方面的管理存在的不足和问题。  

⑤ 系统运维管理测评:依据等级保护要求,分析系统运维管理的环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面的管理存在的不足和问题。  

⑶、编制测评报告、协助整改、回测及备案  

① 根据测评情况,符合定级要求的,编制《信息系统安全等级测评报告》,每个系统一份;提交等级保护定级备案材料,每个系统一份,并在业主所在地公安局网监部门备案。  

② 对不符合定级要求的,编制《信息系统安全等级保护初次测评报告》(含整改建议),每个系统一份;并依照《信息系统安全等级保护初次测评报告》的内容,指导业主单位针对系统在信息安全方面的不足之处进行系统分期整改,先整改紧急部分。  

③ 完成整改后再次开展测评工作,根据测评的符合情况编制《信息系统安全等级测评报告》,每个系统一份;提交等级保护定级备案材料,每个系统一份,并完成在业主所在地公安局网监部门的备案。  

(四)、对漏洞扫描系统工具的要求  

本项目实施必须使用漏洞扫描系统工具,对漏洞扫描系统工具的具体要求如下:  

   

指标  

指标项  

规格要求  

工具厂商  

要求  

漏洞研究能力  

漏洞扫描系统工具厂商须拥有专业团队进行信息安全研究,具备独立发掘漏洞能力以及查看微软源代码的权力,迄今独立发现并被国际CVE组织收录的漏洞数量不少于50个,需提供加盖原厂公章的证明文件原件。  

功能  

要求  

扫描能力  

漏洞扫描方法应不少于 3800种。  

漏洞库与CVECNCVECNNVDBUGTRAQ标准兼容。  

纯软件形态,可根据用户需要灵活安装在PC、服务器或笔记本上。  

支持对各种网络主机、操作系统、网络设备(如交换机、路由器、防火墙等)以及应用系统的识别和漏洞扫描。  

支持对各种Web应用系统的扫描,支持检测SQL注入漏洞、XSS攻击漏洞、CGI漏洞、网页挂马、关键字检测、网站备案信息、敏感信息泄露等。  

支持对扫描对象的脆弱性进行全面检查,识别内容应包括操作系统和应用系统安全补丁的缺失、弱口令、常见木马后门、不安全的服务配置等。  

支持自动发现和识别目标主机的操作系统类型,并根据其系统类型选择对应的扫描方法。  

支持对主流数据库的识别与扫描,包括:OracleSybaseSQL ServerDB2MySQLInfomix等,能够扫描的数据库漏洞扫描方法不小于380种。  

具备Windows域环境下的深度扫描能力,即能够利用域管理员的权限,在域内进行效果相当于基于主机的漏洞扫描和检测。  

支持利用预设的用户名、密码信息,在既定的用户权限内实现对操作系统和数据库的授权扫描。  

支持断点续扫功能,以应对突发网络状况和设备故障,并能够对已经完成的扫描结果进行实时保存。  

支持漏洞验证功能,在扫描结束后,能够对结果中的重要漏洞进行现场验证,展示漏洞利用过程和风险。  

支持多个扫描口并发扫描不同网段;  

单个IP的平均扫描时间不大于30秒。  

扫描时,程序占用的资源应尽量的少,扫描主机的CPU平均占用率小于10%,内存占用小于10M;被扫描主机的CPU占用率小于1%,内存占用小于3M;网络带宽的占用率均不大于1%(以百兆网络为基准)  

支持实时显示扫描进度以及阶段性扫描结果,包括主机名、开放端口、操作系统、服务、用户、BANNER信息、漏洞信息等。  

支持灵活的扫描任务制定功能,可设定任务优先级,安排自动计划任务,进行任务导入导出操作,并能够根据网络环境调整并发扫描、网络延迟等任务参数,提高扫描效率。  

支持与WSUS的联动,支持邮件发送自动配置WSUS的注册表文件,方便进行自动化的补丁修补。  

支持扩展无线安全检测模块,能自动发现开放空间中的无线设备,发送干扰射频信号,达到阻断在其射频工作范围之内所有或特定无线接入点的能力,不允许未经授权的无线设备接入无线网络,在无线网络中发生指定无线安全事件时,自动允许或阻断该安全事件所对应的无线设备  

扩展的无线安全检测模块,支持无线接入设备错误配置检测、非法AP发现、无线DDOS攻击检测、无线欺骗检测、无线暴力破解等功能;  

策略管理  

支持15种以上的默认扫描策略。  

支持灵活的扫描策略自定义功能,提供策略编辑向导和详细漏洞信息,支持以系统类型、漏洞类型、危险级别、CVE等不同视图显示漏洞,支持策略的导入、导出、修改以及合并。  

支持对端口范围、CGI扫描、后门、用户名密码字典、数据库扫描、SNMP扫描、主机存活探测等多种通用扫描参数进行详细自定义。  

报表功能  

报告应包含漏洞详述和修补方案,对于常见补丁类漏洞能够提供相关的补丁下载链接。  

报告中的漏洞应具备统一的CVSS国际标准评分,以准确衡量漏洞的危险级别,为漏洞修补工作的优先级提供指导。  

支持基于漏洞和主机维度出具不同的分析报告。  

支持生成同一任务的不同时间段扫描结果的对比报告。  

支持生成不同任务的扫描结果对比报告。  

支持生成基于计划任务的趋势分析报告   

支持生成基于部门划分的资产安全分析报告,包括部门最新安全状态、历史安全状态、不同部门的对比分析以及趋势分析等不同类别的报告。  

支持用户自定义扫描报告模板。  

支持导出XMLhtmlwordExcelPDF等多种常见格  

产品应提供漏洞扫描结果的修正功能,允许用户将修正结果体现在新生成的报表中。  

支持自动报表功能,扫描完成后可以自动生成报表,并以以邮件形式自动发送到指定接收人和邮件组。  

对于周期任务,支持自动把与最近一次扫描结果的对比报告发送给管理员,以及时了解新增威胁。  

支持历史扫描会话的导出、导入和合并操作。  

产品升级  

具备独立的升级模块,能够提供升级日志。  

支持在线升级方式,可按计划执行自动升级;产品同时应支持手动升级方式,可利用已经下载的升级包实现升级。  

支持代理升级。  

应保证至少每周一次的漏洞库更新,并保证紧急的、重要的漏洞做到随时更新。  

用户管理  

支持三权分立。产品具备独立用户管理功能,能够分管理员、操作员、分析员、审计员等角色对用户进行管理;产品还应能够为不同的用户设定其可以扫描的IP地址。  

能够对登录日志、操作日志(定制和下发任务、生成报告、自动发送报告)进行记录和查询。  

对外接口  

具备对外接口,支持安全运营平台或其它安全产品通过该接口下发扫描任务以及获取扫描结果。  

部署  

产品软件部分应支持Windows 2000XP2003VistaWindows 72008系列操作系统,可部署于主流PC、笔记本电脑以及服务器之上  

支持独立部署方式,能实现独立扫描;同时也能够接受上级控制单元的管理监控。  

支持分级部署,即一个控制单元可以管理多个独立的扫描单元或下级控制单元。管理单元支持标准的大型数据库系统。  

   

(五)、施工管理要求  

⑴、本项目的实施方案和进度安排必须经过业主单位技术中心的审核同意后才能实施,并在实施过程中接受业主单位技术中心的具体管理。  

⑵、本项目在实施过程中,中标单位必须确保不影响被测评系统的正常运行,确保不影响业主单位正常的安全生产运营保障工作,同时确保工作进度。  

   

三、报价文件要求  

3.1报价文件的组成  

1)报价函(见格式一)  

2)法定代表人授权书(适用非法人代表签署的报价文件)(见格式二)  

3)报价明细表(见格式三)  

4)项目服务方案:实施方案、施工计划、交货进度计划、售后服务计划等  

5)报价人相关资质文件:企业营业执照、税务登记证、生产许可证等企业资质证明  

6)广东省机场管理集团有限公司《合作商登记表》(登录wz.gamc.cn注册后打印)  

3.2报价人应按以上内容顺序编写的报价文件,自编目录及页码装订成册。  

3.3报价文件的份数为正本一份,副本三份,要求正本使用盖章原件。  

3.4报价文件应由法定代表人或授权代表在凡规定签章处逐一签署并加盖单位的公章。  

3.5报价文件需密封递交,签封处加盖公章。如以快递方式送达,请在外包装显眼处注明“        项目”字样。  

3.2报价文件格式  

格式一:  

报价函  

广东省机场管理集团有限公司惠州机场公司:  

依据贵方              项目的询价文件,我方代表(姓名职务)经正式授权,代表(报价人名称)提交下述文件正本 1 份,副本 3 份。  

在此,我方声明如下:  

1.同意并接受询价的各项要求,遵守询价文件中的各项规定,按询价文件的要求提供报价。  

2.询价有效期为递交报价文件之日起30天内。  

3.我方已经详细地阅读了全部询价文件。我方已完全清晰理解报价的要求,不存在任何含糊不清和误解之处,同意放弃对这些文件所提出的异议和质疑的权利。  

4.我方已毫无保留地向贵方提供一切所需的证明材料。  

5.我方承诺在本次报价中提供的一切文件,无论是原件还是复印件均为真实和准确的,绝无任何虚假、伪造和夸大的成份,否则,愿承担相应的后果和法律责任。  

6.我方完全服从和尊重评审所作的评定结果,同时清楚理解到报价最低并非意味着必定获得中标资格。  

与本次询价活动有关的一切往来通讯请寄:  

地址:                     邮编:  

电话:                     传真:  

 

报价人代表姓名:           

联系电话:                 

邮箱:                 

        

报价人名称(盖公章)  

法定代表人(签字)  

日 期:                                

格式二:  

法定代表人授权书  

广东省机场管理集团有限公司惠州机场公司  

兹授权              (姓名、职务)为我单位代表,就贵方组织的                        项目,以本公司名义处理一切与之有关的事务。  

    本授权书于            日签字生效,有效期至           日。        被授权人情况:姓名:  

                 身份证号:                       

                 电话:  

                 传真:  

              

报价人名称(公章)  

法定代表人(签字)  

 

格式三:  

报价明细表  

序号  

服务项目  

详细内容  

数量  

价格  

备注  

1  

定级备案  

6个二级系统定级备案  

1  

 

 

2  

初次测评  

6个二级系统初次测评  

1  

 

 

3  

验收测评  

6个二级系统验收测评  

1  

 

 

  

…  

…  

…  

 

 

 

安装、调试、培训等其他费用(如有)  

 

总计  

          元,大写:               

 以上报价包含全部税费。免费提供的设备、配件或服务,请在价格和备注栏注明  

 

报价单位(公章):  

 

法定代表人或授权委托人(签字):  

 

签字日期:               

   

四、评审办法  

4.1评审小组  

采购人将组建评审小组,负责对报价文件进评审,确定项目成交人。  

4.2 评审原则  

“公开、公平、公正、竞争、择优、效益”为本次评审的基本原则,评审小组将按照这一原则的要求,公正、平等地对待各报价人。同时,在评审时恪守以下原则:  

4.2.1客观性原则:谈判小组将严格按照竞争性谈判文件的要求,对报价人的报价文件进行认真评审;谈判小组对报价文件的评审仅依据报价文件本身,而不依靠报价文件以外的任何因素。  

4.2.2统一性原则:谈判小组将按照统一的谈判原则和谈判方法,用同一标准进行谈判。  

4.2.3独立性原则:谈判工作在谈判小组内部独立进行,不受外界任何因素的干扰和影响。评委对出具的谈判意见承担个人责任。  

4.2.4保密性原则:评委及熟知情况的有关工作人员必须对报价人的商业秘密严格保密。  

4.3评审方法  

4.3.1本次评审采用综合评分法。评分按价格和技术两部分分别评分,总分为100分。通过评定积分办法确定入围报价人,相同积分的选择报价低的报价人,相同积分且报价相同的情况下由评委投票表决。   

4.3.2评审步骤  

4.3.2.1符合性检查  

如果报价文件实质上没有响应询价文件的要求,其报价将被拒绝,报价人不得通过修正或撤消不合要求的偏离或保留从而使其报价成为实质上响应的报价。  

4.3.2.2比较与评价  

报价文件评审要素  

序号  

评审要素  

      

1  

有效报价  

投标基准价为符合性检查合格的所有报价人的最低评标价   

a.投标总价等于投标基准价时,得满分。    

b.投标总价高于投标基准价时,按如下公式计算:    

投标人价格得分= 投标基准价/投标人的评标总价x 有效报价占比  

2  

技术评审  

根据报价人企业规模、技术力量、服务方案、售后服务、优惠承诺、客户评价等条件,以及报价文件与询价文件要求的匹配性等方面进行综合评分。  

3  

商务评审  

1、有独立法人资格、独立承担民事责任和履行合同的能力,供应商注册资本不低于500万元;  

2、投标人必须为广东省信息安全等级保护工作协调小组办公室推荐的具有测评资质的“第三方等级测评机构”,且在有效期内,提供广东省信息安全等级保护工作协调小组办公室推荐证书复印件。  

3、测评必须使用漏洞扫描系统工具,投标人若不是漏洞扫描系统工具制造商的,必须提供所用漏洞扫描系统工具的制造商出具的针对本项目的授权书原件。  

4漏洞扫描系统工具厂商必须拥有专业团队进行信息安全研究,具备独立发掘漏洞能力以及查看微软源代码的权力,迄今独立发现并被国际CVE组织收录的漏洞数量不少于50个,需提供加盖原厂公章的证明文件原件。  

    4.3.2.3推荐成交候选人名单  

评审小组根据最终评审的结果,推荐综合得分最高的报价人为第一成交候选人。如果两个或两个以上报价人综合评分相等,依下列顺序排列名次:  

A.报价得分多者,名次列前;  

B.技术评审得分多者,名次列前;  

按照上述顺序排列名次后,如果仍有两个或两个以上报价人综合评分为第一名,由评审小组重新评审确定第一名。  

4.4 成交通知书  

4.4.1采购人在评审结束后十个工作日内向成交人签发《成交通知书》,向未成交人签发《成交结果通知书》。  

4.4.2《成交通知书》将作为成交人签定合同的重要依据之一。  

4.4.3对未成交者,不退还报价文件。  

4.5合同的订立  

4.5.1采购人与成交人自《成交通知书》发出之日起十个工作日内,按询价文件要求和成交人最终报价承诺签订合同。如果成交人放弃或者没有按照规定签订合同,采购人有权取消其成交资格。  

4.5.2询价文件、成交人的报价文件及双方确认的澄清文件及承诺等,均作为合同的组成部分,具有法律约束力。  



[添加收藏]