随着我国信息化建设的不断深入,我们对信息系统的依赖也越来越强,国家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全、经济命脉、社会秩序。而广东省博物馆作为广东省唯一的省级综合博物馆及国家一级博物馆,必须充分重视网络安全。一旦发生网络安全事件或事故,公众业务将不能正常运行,甚至造成严重的经济利益损失和社会不良影响。特别是近期全球爆发的WannaCry勒索病毒,再一次给我们敲响了警钟。
而开展及落实好网络安全等级保护工作是保障网络安全的基础,是提高网络安全保障水平的第一步,也是做好国家网络安全、保障社会稳定的必要条件。
1、法律法规
《中华人民共和国网络安全法》;
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令);
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号);
《中共中央办公厅国务院办公厅转发<国家信息化领导小组关于加强信息处理安全保障工作的意见>的通知》(中办发[2003]27号);
《关于印发<关于信息安全等级保护工作的实施意见>的通知》(公通字[2004]66号文);
《关于印发<信息安全等级保护管理办法>的通知》(公通字[2007]43号文);
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号文);
《广东省深化信息安全等级保护工作方案》(粤公通字[2010]45号);
《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号)。
2、技术标准
《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019;
《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020;
《信息安全技术 网络安全等级保护安全设计技术要求》GB/T 25070-2019;
《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019;
《信息安全技术 网络安全等级保护实施指南》GB/T 25058-2019;
除上述规范以外,还须遵循国家现行的相关标准和规范要求。
本次实施网络安全等级保护测评的范围包括:
根据系统现状,依据国家发布的《GB-T 22240-2020 信息安全技术 网络安全等级保护定级指南》文件要求,确定广东省博物馆已备案系统等级,优化系统 S/A/G 指标;修订需调整系统的等级,优化系统 S/A/G 指标;提交等级定级报告、备案表等材料,协助完成公安机关备案工作。
通过差距分析服务发现相关安全问题,对等保安全问题出具详细的整改建议,在整改过程中提供专业的咨询服务。
在网络系统完成整改实施后,成交供应商须对网络系统的安全技术和安全管理上各个层面的安全控制进行整体性验证,针对采购人定级系统进行全面的信息安全等级保护测评。
等级保护测评包括安全技术及安全管理测评两个方面。在现场访谈、配置核查的基础上通过先进的安全测试工具进行安全漏洞、应用系统代码漏洞的扫描及人工核查,在现场测评的结果和采购人定级系统测评数据汇总分析的基础上,分析系统存在的问题,给出系统等级测评结论,编制《等级保护测评报告》并提交公安部门备案,最终协助采购人完成等级保护测评备案评审工作。
按照等保标准和国家、省市有关电子政务信息安全制度,协助完成官方网站及公众服务系统制订符合本单位实际使用情况的安全管理制度,使招标单位相关系统在管理制度层面上符合等保基本要求。
成交供应商应认真按照标准、规范及采购人的要求实施项目,随时接受采购人的检查检验,并为检查检验提供便利条件。采购人有权检查一切与质量有关的问题。
项目质量达不到本项目规定的,采购人一经发现,将要求成交供应商整改或返工,成交供应商应按采购人的要求执行,直到符合约定标准。返工后仍不能达到规定标准的,成交供应商应承担相应的违约责任。
(1)成交供应商应在项目现场实施周期内,为本项目成立工作小组,至少安排1名项目经理和3名技术服务人员,成交供应商须按照采购人要求提供远程或现场服务。
(2)项目经理应具备10年或以上网络安全项目管理经验,并将全程负责本项目的管理、技术质量管控。具体负责:项目进度控制、编写项目周报、编制技术方案及项目总结报告等技术文档、协调完成本项目服务工作。
(3)工作小组人员应具有信息安全等级保护测评师证书,技术服务人员需具有信息安全服务工作经验,并参加过同类型网络安全服务项目。
(4)项目经理与技术服务人员必须为成交供应商在职的工作人员,并提供员工最近3个月的社保或代缴个人所得税资料证明。
本项目服务工具产品(软、硬件及备件)需由成交供应商自行配备,所需费用由成交供应商承担。响应文件中应提供设备原厂授权书并加盖公章,参数要求如下:
1.▲系统应支持的大数据组件包括:Ambari、Cassandra、Elasticsearch、Flume、Hadoop、Hbase、Hive、 Impala、 Kafka、Mongodb、Oozie、Redis、Spark、Storm、Splunk、Yarn、Zookeeper等。(提供产品功能截图证 明)
2.▲系统应支持应用漏洞知识库数大于10000条,支持对主流Web漏洞的识别与扫描,包括:SQL注入漏 洞、命令注入漏洞、CRLF注入漏洞、LDAP注入漏洞、XSS跨站脚本漏洞、路径遍历漏洞、信息泄漏漏 洞、URL跳转漏洞、文件包含漏洞、应用程序漏洞、文件上传漏洞等。(提供产品功能截图证明)
3.▲系统应支持自定义POC,便于用户自行编写符合其需求的POC代码。(提供产品功能截图证明)
4.▲系统应支持登录预录制功能,能够根据用户操作,录制并指定Web扫描url,使产品能够扫描和分析 一些常规页面爬取程序检测不到的url。(提供产品功能截图证明)
5.▲系统应支持被动扫描,可通过代理、Kafka、Agent采集和镜像流量方式进行过被动扫描。(提供产品功能截图证明)
6.▲系统应支持导入证书,做双向认证扫描。(提供产品功能截图证明)
7.▲支持反连平台,用于辅助发现无回显命令执行漏洞,可在页面配置反连平台。(提供产品功能截图 证明)
8.▲系统应支持国产数据库包括:华为GaussDB、达梦、人大金仓、南大通用、神通大型等。(提供产品功 能截图证明)
9.▲系统应支持Android、IOS移动应用静态扫描;支持获取APP相关信息:包括应用名称、版本信息、 文件大小、文件md5、第三方sdk数量等。(提供产品功能截图证明)
10.▲弱口令扫描默认字典库不少于80种,支持检测HTTP类认证口令猜解,包括HTTP Basic、Grafana、 phpMyAdmin、HTTP Form等;支持在线爆破和离线Hash爆破。(提供产品功能截图证明)
11.▲在线爆破应支持包括:协议/服务包括:SMB、Telnet、SSH、IMAP、SNMP、FTP、POP3、SMTP、WinRm、 RDP、REXEC、RLOGIN、RTSP、VNC等。数据库包括:ClickHouse 、Dameng(达梦):、DB2、ElasticSearch、 HighGo(翰高)、kingbase(金仓)、MongoDB、MSSQL、MySQL、Oracle、PostgreSQL、Redis、STDB(神通)、 Sybase、UXDB(优炫)、Neo4j等。中间件包括:ActiveMQ Console、JBoss、Tomcat、WebLogic等。
1. 合同签订后10个工作日内,甲方向乙方支付合同总价的50%,作为合同预付款;等级保护测评工作完成后10个工作日内,甲方向乙方支付合同金额50%的款项。
2. 付款方式:采用支票、银行汇付(含电汇)等形式。
3. 每笔款项支付时,乙方同时向甲方提供相应金额的正式增值税发票。
2025年9月1日至2026年3月1日(服务期6个月)。
12月底需出具差距测评报告,并协助采购人完成公安部整改回函工作。
1.营业执照(加盖公章)
2.报价单(加盖公章)
3.真实性承诺函(见附件)
4.相关业绩(合同复印件)
5.相关工具证明材料(加盖公章)
6.实施方案
7.其它相关材料(加盖公章)
1. 报价无论是否被采纳,报价方均须承担响应询价所发生的一切费用。
2.本项目由广东省博物馆组织评审,以综合评分高者得的方式进行采购。评选结果向报价人发出通知。
3. 本次采购内容最高限价为19.8万元,高于限价则视为无效报价。
4. 报价方提供的报价材料均需加盖公章。
5.递交时间:2025年5月16日至2025年5月22日(公示5个工作日)。报价单位的报价文件需密封递交并在封口处加盖公章,报价方上述所需资料一式三份提交至广东省博物馆信息技术部(邮寄地址:广州市天河区珠江东路2号 信息技术部 收)。密封件上标明项目名称。
联系人:余工 联系电话:020-38046853
附件
承 诺 函
本单位提供给广东省博物馆(广州鲁迅纪念馆)关于《 》采购文件资料真实有效,若有弄虚作假,愿承担一切后果。
承诺人:
2025年 月 日
