资阳智慧泊车管理平台网络安全等级保护测评和软件测评项目竞争性磋商公告

项目概况
（略）网络安全等级保护测评和软件测评项目采购项目的潜在供应商应（略）获取：（略）
一、项目基本情况
（略）：SCHF-ZC-（略）
项目名称：（略）
采购方式：（略）
预算金额：19.（略）万元（人民币）
最高限价（如有）：19.（略）万元（人民币）
采购需求：
一、项目概况
为进一步贯彻落实国家信息安全等级保护制度，（略）安全等级保护工作，提高我单位：（略）
二、项目需求
第一部分等级保护测评工作
按照《（略）络安全法》要求“（略）络安全等级保护制度。（略）络安全等级保护制度的要求，履行下列安全保护义务，（略）络免受干扰、破坏或者未经授权的访问，（略）络数据泄露或者被窃取、篡改。”以及《信息安全等级保护管理办法》要求“（略）建设完成后，运营、使用单位：（略）
测评内容包括技术和管理测评：
1．技术安全性测评包括但不限于：安全物理环境、（略）络、（略）域边界、安全计算环境、（略）。
2．管理安全测评包括但不限于：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
测评对象及范围
（略）包括：
（略）
（略）名称：（略）
数量
安全保护等级
1
（略）
1个
三级

依据标准
①《（略）络安全法》
②GB/T（略）《（略）络安全等级保护基本要求》
③GB/T（略）《（略）络安全等级保护测评要求》
④GB/T（略）《（略）络安全等级保护测评过程指南》
⑤GB/T（略）《（略）络安全等级保护测试评估技术指南》
⑥《信息安全等级保护管理办法》公通字[2007]43号
⑦《网络安全等级保护测评机构管理办法》公信安[2018]765号
测评原则
客观性和公正性原则：
虽然测评工作不能完全摆脱个人主张或判断，但测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式：（略）
经济性和可重用性原则：
基于测评成本和工作复杂性考虑，鼓励测评工作重用以前的测评结果，（略）先前的安全测评结果。所有重用的结果，（略），（略）的安全状态基础之上。
可重复性和可再现性原则：
不论谁执行测评，依照同样的要求，使用同样的测评方式：（略）
结果完善性原则：
测评所产生的结果应当证明是良好的判断和对测评项的正确理解。测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。
项目具体要求
（略）安全等级保护状况进行测试评估，应包括两个方面的内容：一是安全控制测评，主要测评（略）中的实施配置情况；（略）整体测评，（略）的整体安全性。其中，（略）整体安全测评的基础。
对安全控制测评的描述，使用工作单元方式：（略）
（略）的整体拓扑、局部结构，（略）的具体安全功能实现和安全控制配置，（略）的实际情况紧密相关，（略）个性。因此，（略）整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。（略）的具体情况，结合本标准要求，（略）整体测评的具体内容，在安全控制测评的基础上，重点考虑安全控制间、层面间（略）域间的相互关联关系，测评安全控制间、层面（略）域间是否存在安全功能上的增强、（略）整体结构安全性、（略）之间整体安全性等。
投标方根据国家对信息安全等级保护工作的相关法律和技术标准要求，（略）保护等级开展实施与之相应的检查、访谈、测试工作。
三、测评要求
（1）安全物理环境
（略）
工作单元名称：（略）
工作单元描述
1
物理位置选择
通过访谈、（略）物理场所在位置上是否具有防雷、防风和防雨等多方面的安全防范能力。
2
物理访问控制
通过访谈、检查主机房出入口、机（略）域情况等过程，（略）在物理访问控制方面的安全防范能力。
3
防盗窃和防破坏
通过访谈、检查机房的主要设备、（略）等过程，（略）是否采取必要的措施预防设备、介质等丢失和被破坏。
4
防雷击
通过访谈、检查机房的设计/验收文档，（略）是否采取相应的措施预防雷击。
5
防火
通过访谈、检查机房的设计/验收文档，检查机房防火设备等过程，（略）是否采取必要的措施防止火灾的发生。
6
防水和防潮
通过访谈、检查机房的除潮设备等过程，（略）是否采取必要措施来防止水灾和机房潮湿。
7
防静电
通过访谈、检查机房是否采取必要措施防止静电的产生。
8
温湿度控制
通过访谈、检查机房温、湿度情况，是否采取必要措施对机房内的温湿度进行控制。
9
电力供应
通过访谈、（略）、设备等过程，是否具备提供一定的电力供应的能力。
10
电磁防护
通过访谈、检查是否具备一定的电磁防护能力。
（2）（略）络
（略）
工作单元名称：（略）
工作单元描述
1
（略）络架构
通过访谈、检查、（略）络拓扑情况、抽查核心交换机、（略）络互联设备，（略）络宽带分配情况等过程，（略）段划分、隔离等情况的合理性和有效性，（略）、关键设备硬件冗余，系统可用性保证情况。
2
通信传输
通过访谈、检查、测试通信传输过程的数据完整性和保密性保护情况。
3
可信验证
通过访谈、（略）引导、系统程序、重要配置参数和通信应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。
（3）（略）域边界
（略）
工作单元名称：（略）
工作单元描述
1
边界防护
通过访谈、检查、测试边界完整性检查设备，测评分析跨域边界的访问控制和数据流通过边界设备的控制措施，非法内联、外联、无线准入控制的监测、阻断等能力。
2
访问控制
通过访谈、检查、（略）络访问控制设备策略部署，（略）对外暴露安全漏洞情况等过程，（略）络的数据流量控制以及基于应用协议和应用内容的访问控制能力。
3
入侵防范
通过访谈、检查、（略）络边界处、（略）络节点检测、（略）络攻击行为的防护能力，（略）络行为分析、监测、报警能力，（略）络攻击行为的分析，对攻击行为的检测是否涉及攻击源、攻击类型、攻击目标、攻击事件、入侵报警等方面的防范能力。
4
恶意代码和防垃圾邮件
通过访谈、检查、（略）络节点处对恶意代码、垃圾邮件进行检测、防护和清除、恶意代码防护机制的升级和更新维护等情况，
5
安全审计
通过访谈、（略）络边界、（略）络节点安全审计情况等，（略）审计配置和审计记录保护，审计内容等情况。
6
可信验证
通过访谈、（略）引导、系统程序、重要配置参数和边界防护应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。
（4）安全计算环境
（略）
工作单元名称：（略）
工作单元描述
1
身份鉴别
通过访谈、检查、测试对登录的用户进行身份标识和鉴别，是否具有不易被冒用的特点，口令应有复杂度要求并定期更换，以及远程管理安全、双因素鉴别等内容。
2
访问控制
通过访谈、检查、测试是否启用访问控制功能，依据安全策略控制用户对资源的访问；是否根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限等内容。
3
安全审计
通过访谈、检查安全审计范围及内容。
4
入侵防范
通过访谈、检查、测试是否能够检测到对重要节点进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警，是否遵循最小化安全装原则、系统服务、默认共享和高危端口、终端接入限制、数据有效性检验、已知漏洞防护等内容。
5
恶意代码防范
通过访谈、检查、测试是否具有防恶意代码攻击的技术措施或主动免疫可信验证机制，能否及时识别入侵和病毒行为并将其有效阻断等内容。
6
可信验证
通过访谈、通过访谈安全员，（略）引导、系统程序、重要配置参数和应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。
7
数据完整性
通过访谈、检查、测试重要数据在传输和存储过程中的完整性保护情况，包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
8
数据保密性
通过访谈、检查、测试重要数据在传输和存储过程中的保密性保护情况，包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
9
数据备份恢复
通过访谈、检查、测试重要数据本地备份与恢复功能，异地实时备份功能，（略）的热冗余和高可用性保证等。
10
剩余信息保护
通过访谈、检查、测试边界信息在存储空间被释放或重新分配前是否有效清除，存有敏感数据的存储空间被释放或重新分配前是否有效清除等。
11
个人信息保护
通过访谈、检查、测试是否仅采集和保存业务必须的用户个人信息，对用户个人信息的访问和使用等。
（5）（略）
（略）
工作单元名称：（略）
工作单元描述
1
（略）管理
通过访谈、检查、（略）管理员身份鉴别、命令或操作管理、操作审计，（略）资源和运行进行配置、控制和管理等。
2
审计管理
通过访谈、检查、测试对审计管理员身份鉴别、命令或操作管理、操作审计，以及是否通过审计管理员对审计策略、审计记录进行分析、处理等。
3
安全管理
通过访谈、检查、测试对安全管理员身份鉴别、命令或操作管理、操作审计，以及是否通过安全管理员对安全策略、参数进行配置等。
4
集中管控
通过访谈、检查、测试是否具有特定的（略）域，（略）络中的安全设备或安全组件进行集中管控，（略）、安全设备、网络设备和服务的运行进行集中监测，对分散在各设备上的审计数据进行收集汇总和集中分析，并确保记录留存符合法律法规要求，对安全策略、恶意代码、升级补丁等安全相关事项进行集中管理，对网络中发生的各类安全事件进行识别、报警和分析等。
（6）安全管理制度
（略）
工作单元名称：（略）
工作单元描述
1
安全策略
通过访谈、（略）络安全工作的总体方针我安全策略是否全面、完善。
2
管理制度
通过访谈、检查管理制度的制定和发布过程是否遵循一定的流程。
3
制度和发布
通过访谈、检查管理制度定期评审和修订情况。
4
评审和修订
通过访谈、检查管理制度在内容覆盖上是否全面、完善。
（7）安全管理机构
（略）
工作单元名称：（略）
工作单元描述
1
岗位设置
通过访谈、检查安全主管部门设置情况以及各岗位设置和岗位职责情况。
2
人员配备
通过访谈、检查各个岗位人员配备情况。
3
授权和审批
通过访谈、检查对关键活动的授权和审批情况。
4
沟通和合作
通过访谈、检查内部部门间、与外部单位：（略）
5
审核和检查
通过访谈、检查安全工作的审核和检查情况。
（8）安全管理人员
（略）
工作单元名称：（略）
工作单元描述
1
人员录用
通过访谈、检查录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。
2
人员离岗
通过访谈、检查人员离岗时是否按照一定的手续办理。
3
安全意识教育和培训
通过访谈、检查是否对人员进行安全方面的教育和培训。
4
外部人员访问管理
通过访谈、检查对第三方人员访问（物理、逻辑）系统是否采取必要控制措施。
（9）安全建设管理
（略）
工作单元名称：（略）
工作单元描述
1
定级和备案
通过访谈、（略）的安全等级。
2
安全方案设计
通过访谈、检查整体的安全规划设计是否按照一定流程进行。
3
产品采购和使用
通过访谈、（略）的产品采购。
4
自行软件开发
通过访谈、检查自行开发的软件是否采取必要的措施保证开发过程的安全性。
5
外包软件开发
通过访谈、检查外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。
6
工程实施
通过访谈、检查建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。
7
测试验收
通过访谈、（略）运行前是否对其进行测试验收工作。
8
（略）交付
通过访谈、（略）交付过程进行有效控制。
9
等级测评
通过访谈、检查等级测评、整改情况。
10
服务商选择
通过访谈、检查是否选择符合国家有关规定的安全服务单位：（略）

（10）安全运维管理
（略）
工作单元名称：（略）
工作单元描述
1
环境管理
通过访谈、检查是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。
2
资产管理
通过访谈、（略）的资产进行分类标识管理。
3
介质管理
通过访谈、检查是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。
4
设备维护管理
通过访谈、检查是否采取必要的措施确保设备在使用、维护和销毁等过程安全。
5
漏洞和风险管理
通过访谈、检查安全漏洞和隐患识别、处理情况，以及是否定期开展安全测评以及安全问题的应对措施。
6
（略）安全管理
通过访谈、（略）的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。（略）络的安全配置、网络用户权限和审计日志等方面进行有效的管理，（略）络安全运行。
7
恶意代码防范管理
通过访谈、检查是否采取必要的措施对恶意代码进行有效管理，（略）具有恶意代码防范能力。
8
配置管理
通过访谈、检查基本配置信息管理情况
9
密码管理
通过访谈、（略）中密码算法和密钥的使用符合国家密码管理规定。
10
变更管理
通过访谈、（略）发生的变更进行有效管理。
11
备份与恢复管理
通过访谈、检查是否采取必要的措施对重要业务信息，（略）软件进行备份，并确保必要时能够对这些数据有效地恢复。
12
安全事件处置
通过访谈、检查是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。
13
应急预案管理
通过访谈、检查是否针对不同安全事件制定相应的应急预案，是否对应急预案展开培训、演练和审查等。
14
外包运维管理
通过访谈、检查外包运维服务商选择是否符合国家要求，外包运维保密、服务内容管理等。
（11）安全扩展要求
（略）的具体情况选用云计算安全扩展要求、移动互联安全扩展要求、（略）安全扩展要求、（略）安全扩展要求。
（12）验证测试相关要求
按照等级保护测评要求，测评过程中应配备必要的工具、仪器/（略）进行验证测试，采用的测评工具的生产商应为正规厂商，具有一定的研发和服务能力，能够对产品进行持续更新并提供质量和安全保障。
验证测试内容包括但不限于以下内：
1.渗透测试
验证安全策略正确性；保证用户登录窗体身份验证的安全性；非授权用户不能浏览到未授权内容；不存在跨站点脚本攻击漏洞；脚本不存在SQL、Cookie注入漏洞；安全的处理异常，（略）信息；（略）漏洞及其他，并提出整改建议。验证内容包括（但不限于）以下几个方面：
注入
失效的身份认证
敏感信息泄露
XML外部实体（XXE）
失效的访问控制
安全配置错误
跨站脚本（XSS）
不安全的反序列化
使用含有已知漏洞的组件
不足的日志记录和监控
2．漏洞扫描
据相关标准、（略）的安全漏洞进行测评。（略）中存在的主要安全漏洞，（略）中可能被利用的安全漏洞、系统配置错误等缺陷以及相应的安全加固意见、建议。
四、测评工作步骤
等级保护测评工作流程，受委托测评机构实施的等级测评工作活动及流程与运营、使用单位：（略）
1.准备活动阶段：（略）进行调研分析，明确测评对象、测评方法等工作。
2.方案编制阶段：制定信息安全等级保护测评项目计划书、测评实施方案，并提交委托方确认。
3.现场测评阶段：按照等级保护相关标准规范要求从访谈、检查、测试几方面进行测试评估并出具《整改意见》，并在整改过程中提供技术咨询服务。
4.分析与报告编制：（略）安全等级保护测评报告以及相应文档。
五、实施要求
1．系统梳理
（略）梳理工作，出具相应安全保护等级定级建议。
2．初测
（略）进行现场测评，初次测评完成后提交初评的整改意见报告。
3．整改加固协助
协助业主对测评过程中发现的安全问题进行技术整改加固工作，并进行整改后的回归测评。
4．成果递交
整理测评结果，（略）安全等级保护测评报告以及相应文档。
5．工期要求
项目计划工期为：项目具备测评条件后60日内完成测评工作（（略）整改时间）。
6.项目管理与实施保障
对项目进行科学严格的管理，（略）计划、有序组织、科学指导和有效控制，促进项目全面顺利实施，供应商必须提供完整的项目管理方案，并符合以下要求：
1）供应商及其测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定，提供客观、公平、公正、有效的等级保护测评服务，并承担相应的法律责任。
2）应具备能够保证其公正性、独立性的质量体系，确保测评活动不受任何可能影响测评结果的商业、财务、健康、环境等方面的压力。
3）供应商在对被测评单位：（略）
4）供应商的岗位配置要至少配置技术负责人、项目负责人、项目质量负责人、保密安全员和档案管理员，其中技术负责人、项目负责人、项目质量负责人、保密安全员和档案管理员，不能有兼任的情况。
5）测评人员要求
参与此次等级保护测评的供应商其测评人员应具备并符合以下要求：
（1）开展此次等级保护测评工作的人员仅限于中华人民共和国境内的中国公民，且无犯罪记录。
（2）开展此次等级保护测评工作的人员应由取得等级测评师证书（等级测评人员应由初级、中级和高级）的人员组成。
（3）测评项目组人员在对开展等级保护测评工作之前需签订保密协议。
7．测评工具要求
（1）采用的测评工具必须获得正版授权，并在有效期内，不得使用盗版软件。
（2）采用的测评工具在功能、性能等满足使用要求前提下，应优先采用具有国内自主知识产权的同类产品。
（3）采用的测评工具的生产商应为正规厂商，具有一定的研发和服务能力，能够对产品进行持续更新并提供质量和安全保障。
（4）（略）产生破坏或负面影响。
8．由于测评工作存在一定的风险，包括但不限于：数据丢失、配置参数丢失、网络中断、服务中断等隐患，供应商应当充分识别测评工作可能带来的风险并告知委托方，委托方应当就测评工作存在潜在风险采取必要措施进行确认后方可开展测评。
第二部分软件测评需求
（略）（略）开发完成后，（略）按照项目承建单位：（略）
1.技术标准
GB/T25000.51-2016《（略）与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》
2.测试原则
客观性和公正性原则：虽然评估工作不能完全摆脱个人主张或判断，但评估人员应当没有偏见，在最小主观判断情形下，按照评估双方相互认可的评估方案，基于明确定义的评估方式：（略）
可再现性原则：不论谁执行评估，依照同样的要求，使用同样的评估方式：（略）
结果完善性原则：评估所产生的结果应当证明是良好的判断和对评估项的正确理解。评估过程和结果应当服从正确的评估方法以确保其满足了评估项的要求。
3.测评内容应当涉及以下内容：
包括软件功能性、可靠性、易用性、效率、维护性、移植性等质量特性。
1）功能性测试
软件产品满足明确和隐含要求功能的能力。具体内容包括：完备性、正确性、恰当性、互操作性、安全保密性等。
2）可靠性测试
软件产品维持规定的可靠性级别的能力。按照软件运行剖面对软件进行随机测试的测试方法。具体内容包括：成熟性、容错性、易恢复性等。
3）易用性测试
软件产品被理解、学习、使用和吸引用户的能力。关注软件使用时是否感觉方便，能否通过简单的操作达到用户的目的，界面是否美观，排版是否合理等。具体内容包括：易理解性、易学性、易操作性、吸引性等。
4）效率性能测试
软件产品所提供性能的能力。关注在多用户、（略）是否满足客户的实际需要，主要从吞吐量、点击率、平均事物响应时间、负载下的平均事物响应时间等来进行测试。具体内容包括：时间特性、资源利用率、容量等。
5）维护性测试
软件产品可被修改的能力。修改可能包括修正、改进或软件适应环境、需求和功能规格说明中的变化。具体内容包括：易分析性、易改变性、稳定性、易测试性、维护性依从性。
6）移植性测试
软件产品从一种环境迁移到另外一种环境的能力。具体内容包括：适应性、易安装性、共存性、易替换性、可移植性依从性等。
7）用户文档测试
用户文档是否包含使用该软件所必须要的信息、所陈述的功能以及最终用户能调用的功能、可靠性特征及其操作、（略）终止或结束条件、是否给出必要数据的备份和恢复指南、对所有关键功能是否提供完备的细则信息和参考信息等，便于用户使用、操作、维护等。用户文档及相关材料是否有软件实际相符。
4、项目具体要求
4.1.实施要求
1）系统梳理
（略）进行梳理，（略）的主要业务应用、系统架构等情况。
2）现场测评
（略）进行现场测试，出具缺陷报告，待开发单位：（略）
3）成果递交
整理测试结果，出具软件测试报告。
4）工期要求
项目计划工期为：项目具备测评条件后60日内完成测评工作（（略）整改时间）。
4.2.实施过程风险管理
测试实施过程中，（略）可能面临业务中断、数据丢失等安全风险，投标方应就可能存在的风险进行充分识别并采取必要的规避或防范措施。
4.3.项目管理与实施保障
对项目进行科学严格的管理，（略）计划、有序组织、科学指导和有效控制，促进项目全面顺利实施，供应商必须提供完整的项目管理方案，应当严格执行有关国家信息安全相关标准和有关规定，提供客观、公平、公正的服务；测试过程中其相关人员应注意测试记录和证据的接收、处理、存储和销毁，保护其在测试期间免遭改变/遗失，并保守秘密；

六、商务要求
（一）服务期限及地点：（略）
1.服务期限：
1.1等级保护测评：项目具备测评条件后60日内完成测评工作（（略）整改时间）；
1.2软件测评服务：项目具备测评条件后60日内完成测评工作（（略）整改时间）。
2.服务地点：（略）
（二）付款方法和条件：
1.付款周期及比例：
（1）合同签订且供应商向采购人：（略）
（2）本项目完工后供应商向采购人：（略）
（3）剩余合同总价的20%需要相关部门终验合格后，供应商向采购人：（略）
2.付款条件：
每次款项的支付前，中标人应当向采购人：（略）
（三）验收条件及标准：
本项目采购人：（略）
合同履行期限：60天
本项目(不接受)联合体投标。
二、申请人的资格要求：
1.满足《中华人民共和国政府采购法》第二十二条规定；
2.落实政府采购政策需满足的资格要求：
无
3.本项目的特定资格要求：具备公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》。
三、获取：（略）
时间：2023年09月25日至2023年10月07日，每天上午9:00至12:00，下午14:30至17:00。（北京时间，法定节假日除外）
地点：（略）
方式：（略）
售价：￥300.0元（人民币）
四、响应文件提交
截止时间：2023年10月10日14点30分（北京时间）
地点：（略）
五、开启
时间：2023年10月10日14点30分（北京时间）
地点：（略）
六、公告期限
自本公告发布之日起3个工作日。
七、其他补充事宜
/
八、凡对本次采购提出询问，请按以下方式：（略）
1.采购人：（略）
名称：（略）
地址：（略）
联系方式：（略）
2.采购代理机构：（略）
名称：（略）
地址：（略）
联系方式：（略）
3.项目联系方式：（略）
项目联系人：（略）
电话：（略）