宁夏回族自治区统计局信息工程扩建项目安全风险评估采购项目招标

宁夏回族自治区统计局信息工程扩建项目安全风险评估采购项目招标
所属行业:机械电子电器
标讯类别: 国内招标
资源来源: 其他
所属地区:宁夏 采购计划编号： 2012NCZ1 305

采购内容：
信息工程扩建项目安全风险评估需求方案
一、项目背景：

国家统计局为降低信息工程扩建项目中存在的风险隐患，提高系统安全性、可用性，于2011年开始根据GB/T
20984-2007 《信息安全风险评估规范》、《国家信息化领导小组关于我国电子政务建设指导意见》、《国家
信息化领导小组关于推进国家电子政务网络建设的意见》、《关于加强国家电子政务工程建设项目信息安全
风险评估工作的通知》（发改高技【2008】2071号）等国家有关电子政务工程建设项目相关的文件、标准，
已经完成国家统计局节点和山西试点的风险评估工作。
按照国家局今年7月底在吉林长春召开的《2012年全国统计系统信息安全工作暨信息安全技术培训会议》的会
议精神，要求2012年4季度完成各省级单位风险评估工作和整改加固工作，为扩建工程验收做好准备。

二、项目目标
通过开展信息工程扩建项目安全风险评估, 完善安全管理机制；通过安全服务的引入，进一步建立健全系统
安全管理策略，实现安全风险的可知、可控和可管理；通过建立系统信息安全风险评估机制，实现系统信息
安全风险的动态跟踪分析，为系统信息安全整体规划提供科学的决策依据，进一步加强统计内部网络的整体
安全防护能力，全面提升我局信息系统整体安全防范能力，极大提高统计系统网络与信息安全管理水平；通
过深入挖掘网络与信息系统存在的脆弱点，并以业务系统为关键要素，对现有的信息安全管理制度和技术措
施的有效性进行评估，不断增强系统的网络和信息系统抵御风险安全风险能力，促进我局安全管理水平的提
高，增强信息安全风险管理意识，培养信息安全专业人才，为统计系统各项业务提供安全可靠的支撑平台。
三、项目需求
（一）服务要求：
1、基本要求
“安全风险评估服务”全过程要求有据可依，并在产品使用有据可查，并保持项目之后的持续改进。针对用
户单位网络中的IT设备及应用软件，需要有软件产品识别所有设备及其安全配置，或以其他方式收集、保存
设备明细及安全配置，进行资产收集作为建立信息安全体系的基础。安全评估的过程及结果要求通过软件或
其他形式进行展示。对于风险的处理包括：协助用户制定安全加固方案、在工程建设及日常运维中提供咨询
及支持服务，通过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务，并根据国家及行
业标准制定信息安全管理体系，针对安全管理员提供安全培训，遇有可能的安全事件发生时，提供应急的安
全分析、紧急响应服务。
2、安全评估

评估对象：宁夏统计局信息工程扩建项目中的网络扩建系统、安全子系统、邮件系统、视频系统、桌面管理
系统、综合网运维管理系统六个子项进行安全风险评估。
评估采用专业工具扫描（漏洞扫描、数据库扫描采用产品必须为商业化产品）、人工评估、渗透测试三种相
结合的方式，对各种系统进行评估，包括：帐户与口令安全、网络服务安全、内核参数安全、文件系统安全
、日志安全等；从应用系统相关硬件、软件和数据等方面来审核应用所处环境下存在哪些威胁，根据应用系
统所存在的威胁，来确定需要达到哪些系统安全目标才能保证应用系统能够抵挡预期的安全威胁。其他评估
内容应至少包括以下几方面：
l 信息探测类 l 网络设备与防火墙
l RPC 服务 l Web 服务
l CGI 问题 l 文件服务
l 域名服务 l Mail 服务
l Windows 远程访问 l 数据库问题
l SQL 注入 l 跨站脚本攻击
l 后门程序 l 其他服务
l 网络拒绝服务 (DOS) l 其他问题
3、安全加固
根据风险评估的结果，编写整改加固方案并整改；整改完成后进行复测达到合规的要求。
整改加固方案不能影响用户单位各项业务的正常进行，如果整改过程需要暂时中断业务，须设计具体的解决
方案。
同时，随着信息技术的发展，当新的漏洞出现时，评估单位有责任和义务告知用户，并配合用户判定是否进
行相应的整改加固工作；
4、安全培训服务
要求安排两次信息安全管理及技术培训（培训只负责提供师资及培训教材，培训教材可为电子版），同时，
要求提供四人次专业技术认证培训（含食宿）。
5、应急演练服务
要求配合用户制定信息系统风险应急响应方案，并至少安排一次信息系统风险应急演练。
（二）服务原则
为保障安全风险评估工作的有序顺利进行，特提出以下项目执行原则：
1、保密性原则。在进行信息安全风险评估的过程中，将严格遵循保密原则，评估过程中将采取严格的管理措
施，确保所涉及到的任何用户保密信息，不会泄露给第三方单位或个人，不得利用这些信息损害用户利益。
2、最小影响原则。从项目管理和技术应用的层面，将风险评估工作实施对系统和网络的正常运行所可能的影
响降到最低程度，不对网络系统的运行和业务应用的正常提供产生显著影响，同时在工作实施前做好备份和
应急措施。
3、规范性原则。在充分总结测评中心多年开展风险评估实践经验的基础上，确定规范的方案；在此次信息安
全风险评估过程中，通过规范的项目管理在人员、项目实施环节、质量保障和时间进度等方面进行严格管控
。
4、标准化原则。此次风险评估工作将严格遵守国家和行业的相关法规、标准，并参考国际的标准来实施。
5、完整性原则。完整性原则包含以下两个层次的内容：
评估内容的完整性——风险评估工作要综合考虑所评估信息系统的技术措施、人员、业务及运行维护等方面
，覆盖文件的要求。
评估流程的完整性——作为一个完整有效的信息安全评估过程，应该是科学严谨的。任何疏忽或遗漏，都可
能影响整个过程的结果。
6、互动性原则。在进行信息安全风险评估过程中，将强调受检查方的互动参与，保证项目执行的效果并提高
委托方的安全技能和安全意识。
（三） 保密措施
根据《中华人民共和国保守国家秘密法》，并根据中华人民共和国国家科学技术委员会颁布的《科学技术保
密规定》、《计算机软件保护条例》以及《商用密码管理条例》等相关法律、法规，对统计局通信信息中心
通过口头、书面、电子或其他方式提供的关于技术和系统安全及其他方面的一切数据、报告、信息、翻译资
料、预测和记录等内容进行保密，具体包括：
宁夏统计局数管中心的机构设置和运行机制；
宁夏统计局数管中心的电子设备及其它辅助产品、安全产品的型号、数量、配置、运行状态、交易日志等资
料；
宁夏统计局数管中心的应用系统名称、功能、业务类型、系统测试及试运行期间的山西省统计局通信信息中
心资料等信息；
宁夏统计局数管中心的现有网络拓扑结构及其相关资料，包括网络参数，如IP 地址，命名规则等；
宁夏统计局数管中心的业务流程、逻辑流程、规章制度等资料。
宁夏统计局数管中心计算机系统的漏洞信息；
宁夏统计局数管中心现有安全机制及规划目标、所有系统的应急方案；
宁夏统计局数管中心的项目文档、工程文档；
宁夏统计局数管中心的应用系统接口程序与文档；
宁夏统计局数管中心与其它公司的合作信息、合同。

同时，未经宁夏统计局数管中心书面同意，测评人员在任何时候不得对外披露保密信息，不使用或允许第三
方使用保密信息。
四、服务要求
评估单位需提供详细的项目实施计划，对供货、安装、调试、维护、验收等各个环节进行详细描述和合理的
时间安排。
评估单位需提供详细的项目技术人员配备计划，对项目技术人员的技术水平状况以及所参加过类似项目的实
施经验进行说明。
宁夏统计局参照评估单位出具的风险评估报告，将在其它项目中完成整改加固工作，但宁夏统计局整改加固
后，评估单位负责对加固后的结果进行二次评估，并出具二次评估报告。
评估单位负责组织召开外部专家评审会，对本项目完成的风险评估报告进行评审（所发生费用评估单位负责
承担）。
五、依据的技术标准及相关法规文件
评估单位依据如下标准实施评估服务：
l 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》 ( 发改高技 (2008)2071 号 )
l 《 GB/T 20984-2007 信息安全技术 信息安全风险评估规范》
l 《 GB/T 18336-2001 信息技术安全性评估准则》等同于《 ISO 15408-1999 Common Criteria for
Information Technology Security Evaluation 》
l 《 ISO/IEC 17799 Information technology — Security techniques — Code of practice for
information security management 》
l 《 ISO/IEC 21827 Information Technology —System Security Engineer—Capability Maturity Model
（ SSE-CMM ）》
l 《 GB/T20274-2006 信息系统安全保障评估框架》
六、 交付文件
l 宁夏统计局信息工程扩建项目 安全风险评估报告
l 宁夏统计局信息工程扩建项目 安全风险评估整改加固实施报告
l 宁夏统计局信息工程扩建项目 二次安全风险评估报告

9.与此项目相关的其他文件。
报名方式: 报名前与下述联系人联系，获取报名表格，填写报名表格后加盖公章传真至010-63891730
联系人: 赵 盈
手 机: 13521782734
电 话：010-63891720
传 真: 010-63891730
邮 箱: xuruo01@126.com(业绩资质发到此邮箱）
地 址: 北京市海淀区阜石路59号