第一章、报价人须知

一、项目说明

项目单位：广州市黄埔区政务服务数据管理局。

项目名称：广州市黄埔区广州开发区“企业链上服务”应用实施项目网络安全等级保护测评项目。

项目地点：广州市黄埔区香雪三路3号凯通楼。

服务范围：广州市黄埔区广州开发区“企业链上服务”平台（二级）。

服务期限：与广州市黄埔区广州开发区“企业链上服务”应用实施项目周期保持一致（预计7月完成项目验收）

最高限价：4.99万元。

承包方式：综合单价包干。

二、报价人资格要求

（一）在中华人民共和国境内依法注册的并具有独立有效法人资格的供应商。

（二）报价人未被列入“信用中国”网站()“记录失信被执行人或重大税收违法案件当事人名单或政府采购严重违法失信行为”记录名单。

（三）参加本次政府采购活动前3年内，在经营活动中没有重大违法记录或因违法经营被禁止在一定期限内参加政务采购活动但期限已届满的书面声明。

（四）本项目不接受联合体投标，中标后不得分包、转包。

（五）投标人必须具有网络安全等级测评与检测评估机构服务认证证书。

（六）在“广东政府采购智慧云平台”注册。

三、报价文件

（一）内容

1.报价人情况介绍；

2.“信用中国”网站核验信息截图；

3.营业执照或民办非企业单位登记证书（加盖公章）；

4.法定代表人证明书（加盖公章）；

5.法定代表人授权委托书（加盖公章）；

6.报价书（加盖公章）；

7.报价人资格所要求的相关材料。

（二）报价要求

1.报价人应按“报价文件格式”的要求填写；

2.要求服务商一次性报出不得更改的价格；

3.服务商应仔细阅读询价书的所有内容。按照询价文件的要求提供报价文件，并保证所提供的全部资料的真实性和有效性，遵循诚实信用的原则，一经发现有虚假行为或恶意低价行为的，将取消其参加询价或成交的资格，并承担相应的法律责任；

4.报价单位的报价为在项目服务期内，完成询价文件规定的工作内容的各项费用，应包括但不限于：人工、资料、管理、调研、咨询、研讨、利润、税金、政策性文件规定及合同包含的所有风险、责任等各项应有费用。报价单位根据工作范围自行测算报价。报价采用的币种为人民币。

5.报价服务商需要满足三家，报价人不足3家的，待重新发布询价函提供报价文件。

（三）报价文件的封装与递交

1.报价文件的式样和签署

（1）报价文件中应用文件袋密封好，在文件袋上写明项目名称以及报价单位名称；

（2）报价人应准备报价文件正本一份，副本一份，在每一份报价文件上要明确注明“正本”或“副本”字样；一旦正本和副本内容有差异，以正本为准；

（3）报价文件正本均须用不褪色墨水书写或打印，由法定代表人或经过正式授权并对报价人有约束力的代表在正本上要求的地方签字；

（4）报价文件副本，所有资料都可以用报价文件的正本复印而成；

（5）报价文件的正本及所有副本的封面均须由报价人加盖报价人公章；

（6）报价文件的任何行间插字、涂改和增删，必须由报价文件的签字人用姓氏或首字母在旁边签字才有效；

（7）在询价文件中已明示需盖章及签字之处，报价文件正本均须加盖报价人公章，并经报价人法定代表人或其授权代表签字或盖章；

（8）传真和电传的报价文件将拒绝。

2.报价文件递交

（1）报价文件由各参加报价的服务商代表在规定的询价时间前提交至询价地址（邮寄无效）。逾期送达的将视为无效。

（2）报价起止时间：2023年4月20日至2023年4月23日（工作日9:00-12:00、14:00-18:00）。

（3）报价文件递交地址：广州市黄埔区政务服务数据管理局（广州市黄埔区香雪三路3号政务服务中心四楼C405室，邮政编码：）。

（4）联系人：唐嘉尧，电话： 。

四、报价评选原则

（1）首先，采用一轮公开报价定标的方式，符合条件的价低者得。出现同等最低报价情况，同价者需重新报价。

（2）第二，与报价最低者在“广东政府采购智慧云平台”完成采购程序。

五、合同（协议）签订

成交单位收到成交通知书后，3个工作日内联系询价单位办理合同签订等手续。

第二章 项目需求

一、项目需求描述

1. 项目概述

为贯彻落实国家网络安全等级保护制度的要求，进一步增强系统安全防护能力，确保系统的安全稳定运行，在广州市黄埔区广州开发区“企业链上服务”应用实施项目完成系统部署并上线试运行后，依据《信息安全等级保护基本要求》（GB/T GBT 22240-2020）、《信息安全等级保护管理办法》和《中华人民共和国网络安全法》等标准规范，对本项目开展第三方安全等级测评及定级备案工作。

2.项目服务范围

序号

系统名称

子系统

拟定级情况

广州市黄埔区广州开发区“企业链上服务”平台

无

二级

二、项目测评服务内容

1.等级保护流程辅助服务

完成广州市黄埔区广州开发区“企业链上服务”应用实施项目信息系统的定级备案材料编写、等保测评资产收集、等保测评准备材料、项目整体协调等工作。

2.第一次测评

对指定的信息系统提供资产核查、风险识别服务。若判定系统安全防护能力无法达到相应级别或要求，则提交《整改问题清单》，并进行整改指导。

3.等级保护测评服务

对采购人的信息系统进行等级保护测评服务，待采购人完成信息系统整改工作后，成交单位提交《网络安全等级保护等级测评报告》，并递交当地网监备案，获取备案证书。

以等级保护标准要求为依据，成交单位须按照等级保护二级标准要求对本次项目范围的信息系统在安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理方面等10个层面进行测评。

等级测评服务的内容至少包括：

安全技术要求层面：

1)安全物理环境测评

安全物理环境测评中，测评人员将以文档查阅与分析和现场观测等检查方法为主，访谈为辅来获取测评证据（如机房的温湿度情况），用于评测机房的安全保护能力。

安全物理环境测评涉及的测评对象主要为机房和相关的安全文档。

安全物理环境测评实施过程涉及10个方面的安全保护能力，具体测评指标描述如下表所示：

安全物理环境测评指标描述

序号

安全子类

测评指标描述

1.

物理位置选择

通过访谈物理安全负责人，检查机房，测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。

2.

物理访问控制

通过访谈物理安全负责人，检查机房出入口等过程，测评信息系统在物理访问控制方面的安全防范能力。

3.

防盗窃和防破坏

通过访谈物理安全负责人，检查机房内的主要设备、介质和防盗报警设施等过程，测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。

4.

防雷击

通过访谈物理安全负责人，检查机房设计/验收文档，测评信息系统是否采取相应的措施预防雷击。

5.

防火

通过访谈物理安全负责人，检查机房防火方面的安全管理制度，检查机房防火设备等过程，测评信息系统是否采取必要的措施防止火灾的发生。

6.

防水和防潮

通过访谈物理安全负责人，检查机房及其除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿。

7.

防静电

通过访谈物理安全负责人，检查机房等过程，测评信息系统是否采取必要措施防止静电的产生。

8.

温湿度控制

通过访谈物理安全负责人，检查机房的温湿度自动调节系统，测评信息系统是否采取必要措施对机房内的温湿度进行控制。

9.

电力供应

通过访谈物理安全负责人，检查机房供电线路、设备等过程，测评是否具备为信息系统提供一定电力供应的能力。

10.

电磁防护

通过访谈物理安全负责人，检查主要设备等过程，测评信息系统是否具备一定的电磁防护能力。

2)安全通信网络测评

安全通信网络测评中，测评人员将以配置核查和文档查阅为主，访谈和分析为辅来获取证据（如相关措施的部署和配置情况），用于测评信息系统的网络安全保护。

安全通信网络测评涉及的测评对象主要为网络设备和安全。

安全通信网络测评实施过程涉及3个方面的安全保护能力，具体测评指标描述如下表所示：

表安全通信网络测评指标描述

序号

安全子类

测评指标描述

1.

网络架构

测评分析网络架构与网段划分、隔离等情况的合理性和有效性。

2.

通信传输

测评通信过程中的完整性、保密性等。

3.

可信验证

基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证，并在应用程序的关键执行环节进行动态可信验证。

3)安全区域边界测评

安全区域边界测评主要涉及边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证6个方面的安全保护能力，具体测评指标描述如下表所示：

安全区域边界测评指标描述

序号

安全子类

测评指标描述

边界防护

测评分析信息系统网络边界安全防护的状况。

访问控制

测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。

入侵防范

测评分析信息系统对攻击行为的识别和处理情况。

恶意代码和垃圾邮件防范

测评分析信息系统网络边界和核心网段对病毒等恶意代码及垃圾邮件的防护情况。

安全审计

测评分析信息系统审计配置和审计记录保护情况。

可信验证

基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证，并在应用程序的关键执行环节进行动态可信验证。

4)安全计算环境测评

安全计算环境测评主要涉及身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护11个方面的安全保护能力，具体测评指标描述如下表所示：

安全计算环境测评指标描述

序号

安全子类

测评指标描述

身份鉴别

检查服务器的身份标识与鉴别和用户登录的配置情况。

访问控制

检查服务器的访问控制设置情况，包括安全策略覆盖、控制粒度以及权限设置情况等。

安全审计

检查服务器的安全审计的配置情况，如覆盖范围、记录的项目和内容等；检查安全审计进程和记录的保护情况。

入侵防范

检查服务器在运行过程中的入侵防范措施，如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。

恶意代码防范

检查服务器的恶意代码防范情况，如服务器是否安装统一管理的恶意代码防范软件，是否及时升级病毒库等。

可信验证

基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证，并在应用程序的关键执行环节进行动态可信验证。

数据完整性

测评操作系统、数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的完整性保护情况。

数据保密性

测评操作系统和数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的保密性保护情况。

数据备份恢复

测评信息系统的安全备份情况，如重要信息的备份、硬件和线路的冗余等。

10

剩余信息保护

测评鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除。

11

个人信息保护

测评是否仅采集和保存业务必需的用户个人信息；是否禁止未授权访问和使用用户个人信息。

5)安全管理中心测评

安全管理中心测评主要涉及系统管理、审计管理、安全管理、集中管控4个方面的安全保护能力，具体测评指标描述如下表所示：

安全管理中心测评指标描述

序号

安全子类

测评指标描述

系统管理

测评信息系统的系统管理员对系统的管理情况。

审计管理

测评信息系统的安全审计员对系统的审计情况。

安全管理

测评信息系统的安全管理员对系统的安全策略的配置情况。

集中管控

测评网络链路、安全设备、网络设备和服务器等设备的运行状况的集中监测、分析、报警等。

安全管理要求层面：

6)安全管理制度测评

安全管理制度测评主要涉及安全策略、管理制度、制定和发布、评审和修订4个方面的安全保护能力，具体测评指标描述如下表所示：

安全管理制度测评指标描述

序号

安全子类

测评指标描述

安全策略

测评信息安全工作的总体方针、安全策略，总体目标、范围、原则和安全框架等。

管理制度

测评信息系统管理制度在内容覆盖上是否全面、完善。

制定和发布

测评信息系统管理制度的制定和发布过程是否遵循一定的流程。

评审和修订

测评信息系统管理制度定期评审和修订情况。

7)安全管理机构测评

安全管理制度测评主要涉及岗位设置、人员配备、授权和审批、沟通和合作、审核和检查5个方面的安全保护能力，具体测评指标描述如下表所示：

安全管理机构测评指标描述

序号

安全子类

测评指标描述

岗位设置

测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。

人员配备

测评信息系统各个岗位人员配备情况。

授权和审批

测评信息系统对关键活动的授权和审批情况。

沟通与合作

测评信息系统内部部门间、与外部单位间的沟通与合作情况。

审核和检查

检查信息系统安全工作的审核和测评情况。

8)安全管理人员测评

安全管理人员测评主要涉及人员录用、人员离岗、安全意识教育和培训、外部人员访问管理4个方面的安全保护能力，具体测评指标描述如下表所示：

安全管理人员测评指标描述

序号

安全子类

测评指标描述

人员录用

测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。

人员离岗

测评信息系统人员离岗时是否按照一定的手续办理。

安全意识教育和培训

测评是否对人员进行安全方面的教育和培训。

外部人员访问管理

测评对第三方人员访问（物理、逻辑）系统是否采取必要控制措施。

9)安全建设管理测评

安全建设管理测评主要涉及定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择10个方面的安全保护能力，具体测评指标描述如下表所示：

安全建设管理测评指标描述

序号

安全子类

测评指标描述

定级和备案

测评是否按照一定要求确定系统的安全等级并完成备案工作。

安全方案设计

测评系统整体的安全规划设计是否按照一定流程进行。

产品采购和使用

测评是否按照一定的要求进行系统的产品采购。

自行软件开发

测评自行开发的软件是否采取必要的措施保证开发过程的安全性。

外包软件开发

测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。

工程实施

测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。

测试验收

测评系统运行前是否对其进行测试验收工作。

系统交付

测评是否采取必要的措施对系统交付过程进行有效控制。

等级测评

测评是否依据国家要求完成等级测评和整改工作。

10

服务供应商选择

测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。

10)安全运维管理测评

安全管理人员测评主要涉及环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理14个方面的安全保护能力，具体测评指标描述如下表所示：

安全运维管理测评指标描述

序号

安全子类

测评指标描述

环境管理

测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。

资产管理

测评是否采取必要的措施对系统的资产进行分类标识管理。

介质管理

测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。

设备维护管理

测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。

漏洞和风险管理

测评是否采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补。测评是否定期开展安全测评。

网络和系统安全管理

测评是否采取必要的措施对网络和系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。

恶意代码防范管理

测评是否采取必要的措施对恶意代码进行有效管理，确保系统具有恶意代码防范能力。

配置管理

测评是否记录和保存系统的基本配置信息

密码管理

测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。

10

变更管理

测评是否采取必要的措施对系统发生的变更进行有效管理。

11

备份与恢复管理

测评是否采取必要的措施对重要业务信息，系统数据和系统软件进行备份，并确保必要时能够对这些数据有效地恢复。

12

安全事件处置

测评是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。

13

应急预案管理

测评是否针对不同安全事件制定相应的应急预案，是否对应急预案展开培训、演练和审查等。

14

外包运维管理

测评外包运维服务商的选择是否符合国家的有关规定并签订相关协议。

二、安全服务工具要求

1.本项目在实施过程中所使用到的专业安全测评工具必须包含网络边界完整性检查工具、网络安全事件调查处置系统、内网安全管理系统等。

2.★必须保证所使用的所有工具和软件不会产生所有权和知识产权纠纷，提供原厂针对该项目承诺无所有权和知识产权纠纷的函；并保证工具和软件的可用性和可靠性。由此产生的一切责任由响应供应商负完全责任。（报价文件提供服务工具生产厂家针对本项目的不存在知识产权纠纷及产品合格的书面证明函）

3.★本项目使用的所有测评工具和软件（包括但不限于以下网络边界完整性检查工具、网络安全事件调查处置系统、内网安全管理系统）无需本项目采购方购买，均由中标供应商自行提供。（报价文件中须提供承诺函，格式自拟）。

4.技术参数与要求：

工具名称

工具要求

网络边界完整性检查工具

测评过程中根据《网络安全技术信息系统安全等级保护基本要求》中：“应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断”和“应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断”的测评指标项的要求，检测手段须具备网络边界完整性检查工具。

工具原厂商为中国境内注册，产品拥有自主知识产权，并且为国内研发和生产。

工具需具备以下检测能力：

1、通过远程网络扫描，完成对违规内联行为的检测和定位；

2、接入层网络设备的自动发现，应可自动识别设备厂商；自动扫描采集设备的软硬件信息，包括设备名称、设备描述、型号、软件版本、物理接口数量等；

3、接入层交换设备端口和下联MAC地址的关联定位，应可自动识别接入层交换设备端口下联的MAC地址及其对应的IP地址；应对每一设备端口的接入历史提供详细审计，应可查询任一设备端口在过去某一时段曾接入的MAC地址和其对应的IP地址；

4、工具基于WEB管理，必须提供Https访问模式；

5、系统自身需提供用户校验机制，用户密码设置需提供复杂度检验机制，保证系统自身密码强壮性；

6、应提供定点登录机制，即只允许用户从指定的地址登录，防止系统遭暴力破解和攻击；

7、用户登录失败次数超过设定阈值，应提供用户锁定功能，防止系统遭受暴力破解。

网络安全事件调查处置系统

安全服务过程中提供网络安全事件调查处置工具对网络安全事件调查处置工作现场的技术支持，根据制定的任务生成采集U盘，通过工具进行现场数据采集、数据分析、攻击事件回溯、生成调查报告四个步骤完成调查处置工作。并将调查结果数据上报到网络安全事件调查处置平台中，通过平台的长期运行、数据积累，为信息系统和网络安全态势感知与通报预警提供精准的网络安全事件数据,并且通过大数据分析，能够预知、预判网络安全事件的发展和爆发趋势，及时进行通报预警。

★工具必须通过公安部的检测。(需提供公安部信息安全产品检测中心的检测报告的关键页并加盖厂家公章。)

★支持将攻击者攻击行为进行回溯，包括扫描网站、发现漏洞、发起攻击、入侵主机、高危后果、清除痕迹共6个过程。（需提供产品界面截图，并加盖厂家公章。）

★支持知识库管理，主要包括：漏洞库、恶意程序样本库、网络安全事件处置知识库、调查处置工具库4个功能。（需提供产品界面截图，并加盖厂家公章。）

★测评工作须使用信息安全等级保护综合管理系统，该系统须通过公安部的检测。（需提供工具厂商盖章的公安部信息安全产品检测中心的检测报告的关键页并加盖厂家公章。）

内网安全管理系统

安全服务过程中提供对内网进行安全检测

★工具必须通过公安部的检测(需提供公安部信息安全产品检测中心的检测报告的关键页并加盖厂家公章)。

基本功能：在/Linux系统下，实现从EFI/UEFI/MBR层开始接管主机，早于操作系统启动，能够监控包括操作系统在内的所有运行轨迹，实现“全息日志”监控。

★根据全息日志，进行逆向推导，可以使系统回退到过去的任意时刻，反之，向前推导，可以从过去某个时刻再返回后来的某个时刻，从而实现整个主机系统的“时光旅行”。（需提供产品界面截图，并加盖厂家公章。）

★在一定时段内，可以随意找回硬盘在该时段内任意时刻的数据。（需提供产品界面截图，并加盖厂家公章。）

易用性：傻瓜式操作界面，安装后无需任何操作设置就可以备份系统和所有数据，可以任意恢复系统，找回任何数据。

性能：系统效率影响小于3%。

功能：任何硬盘数据的找回都无需重启系统。任何数据的找回，无需覆盖或者破坏当前数据，实现数据的实时在线验证。

操作系统：支持： xp及以上的操作系统

支持： 2003及以上的的操作系统

支持：Linux环境支持开源版 / / //Team Linux /USE/等。

三、项目服务人员要求

本项目应安排项目实施团队，根据项目需要，按照采购人规定的地点提供专业的技术服务。具体如下：

需至少安排项目经理1名，项目经理需具备信息安全等级测评师证书中级及以上：负责主导项目管理，监督项目计划，评估项目风险，组织进行相关的报告、文档的编制，制定工作技术和实施方案，并带领具体项目团队开展测评实施工作，对项目的主要交付成果质量负责。

需至少安排测评实施团队成员2人，具备信息安全等级测评师证书初级及以上。负责项目的测评实施以及技术疑问解答等。

四、合同实施要求

需按合同规定的时间完成项目各阶段的实施内容并提交相应的交付物。如因乙方单方面的原因造成服务延期完成的，逾期超过15日后，乙方每日向甲方支付合同总金额的3‰的违约金，违约金总额不超过合同总金额的百分之十；逾期一个月以上的，甲方有权终止合同，由此造成的甲方经济损失由乙方承担。

附件：第三章 报价文件.docx