2018年铜陵学院信息系统等级保护安全测评设备采购需求.docVIP

2018年铜陵学院信息系统等级保护安全测评设备采购需求 一、 项目基本情况 1、项目背景 随着互联网技术飞速发展，网络状况日趋复杂和重要，网络信息安全已经提高到国家安全的高度。为加大依法管理信息网络安全工作的力度，维护国家安全和社会安定，维护信息网络安全，使我国计算机信息系统的安全保护工作走上法制化、规范化、制度化管理轨道，计算机信息网络国际联网安全保护管理办法》、《中华人民共和国网络安全法》（2017年6月1日起施行）。网络安全发在关键信息基础设施的运行安全、建立网络安全监测预警与应急处置制度等方面都作出了明确要求，并规定了相应法律责任。 根据国家信息化领导小组的统一部署和安排，我国将在全国范围内全面开展信息安全等级保护工作。网站群系统、财务系统、邮件系统、学工系统、OA系统、教务系统、科研系统、校园一卡通等。学校业务系统内包含大量的教职工、学生信息数据，一但信息被泄露或是被人恶意篡改，那么会对学校造成非常负面的影响。 3、基本条件 4、采购内容网站群系统、财务系统、邮件系统、学工系统、OA系统、教务系统、科研系统按照等级保护二级要求进行等级安全保护评测，并完善现有的等保安全体系。 5、项目预算 本项目预算控制价为人民币43.7万元。 二、项目需求 1. 采购需求表 序号 品目名称 技术参数要求 数量 单位 1 等级保护测评服务 本次招标采购等级保护测评服务依据国家相关文件、标准、系统安全保护等级和《信息系统安全等级保护测评要求》，按年对下表中5个重要信息系统进行等级保护测评。以下系统如调整，在个数不变的情况下以最终提供的系统为准。 序号 系统名称 系统等级 1 网站群系统 二级 2 财务系统 二级 3 邮件系统 二级 4 学工系统 二级 5 OA系统 二级 6 教务系统 二级 7 科研系统 二级 1、测评内容及过程 包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。等级测评过程包括测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动四个部分。测评对象包括网络互联与安全设备操作系统、安全相关人员、机房、介质以及管理文档。 GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》 2、形成差距分析报告 依据测评结果和《信息系统安全等级保护基本要求》（GB /T 22239-2008），对各信息系统进行安全现状分析，编写相应的差距分析报告。 评测机构协助采购方完成测评整改工作，直至完成测评。 4、编制等级测评报告 完成上述测评工作和建设方实施整改后，由测评机构出具符合公安机关要求的（年度）信息系统安全保护等级测评报告。 5、测评机构资质 投标需明确评测机构名称评测机构需具备以下证书 ★信息安全等级保护测评机构能力评估合格证书 1 套 2 安全咨询与加固服务 本次招标采购等级保护安全咨询与加固服务，依据国家相关文件、标准、系统安全保护等级和《信息系统安全等级保护测评要求》，结合测评机构出具的差距分析报告，对学校的业务系统按照等级保护二级要求提供安全咨询与加固服务。主要内容如下： 1、依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》，结合测评机构出具的差距分析报告，编制针对业务系统的安全整改建设方案。 2、完善安全管理制度 依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》，提供整改咨询服务，并协助采购方完善各项信息安全管理制度，规范信息安全日常管理工作，提高信息安全基础管理水平。 3、测评整改 根据测评机构出具的系统安全问题及整改建议书和整改方案，进行业务系统进行安全加固，完成测评整改工作，直至完成测评。 1 套 3 WEB应用防火墙功能扩容 基于WEB应用入侵手段的复杂多变及方式不断更新，传统基于特征的WEB入侵检测方式只能检测已有特征对应的入侵，针对于0 DAY、未被定义的各种未知WEB入侵风险，需要进一步加强未知WEB 入侵风险的检测与防御，因此需要对当前WEB应用防火墙进行智能检测功能扩容，实现针对于基于WEB的未知威胁检测与防护，扩容模块功能如下： 1、智能学习与检测：提供对保护站点的流量进行智能学习，并根据学习结果生成针对性的防护策略。学习的内容包括：动态URL地址、URL参数、HTTP访问方法、Cookie等信息。 ★2、支持学习模式和保护模式，学习完成后可以自动切换到保护模式。支持对特定URL进行学习。通过WEB智能学习与防御，解决基于传统特征方式无法检测与防御的未知WEB入侵攻击。（提供上述功能截图）； ★3、多维细粒度应用层智能防护：提供丰富全面的应用层访问控制，包括对HTTP请求方法、内容类型（Content-type），协议版本，HTTP头部携带字段的控制、HTTP头名称、URI路径；