97国产精品视频|欧美国产偷国产精品三区|在线欧美成人网站网址|亚洲在线色情日本无码视频网|高潮喷水在线日韩精品操|真真操逼视频国产免费啪啪片|超大波少妇欧美亚洲精品日韩一区|久久视频精品91午夜视频|亚洲无码成人动漫精品一区二区|中文字幕久久成人

1采購需求說明一、項(xiàng)目概況依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《信息安全等級保護(hù)管理辦法》、《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》的相關(guān)要求，對蕪湖市公安局重要信息系統(tǒng)進(jìn)行等級測評，包括：安全技術(shù)測評、安全管理測評等，形成差距分析報告，編制系統(tǒng)安全整改方案，編制和完善安全管理制度等。二、采購內(nèi)容（一）指導(dǎo)思想和基本準(zhǔn)則：根據(jù)公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合印發(fā)的《信息系統(tǒng)安全等級保護(hù)管理辦法》（公通字〔2007〕43號）、《中華人民共和國網(wǎng)絡(luò)安全法》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T22239-2019）、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》（GB/T28448-2019）、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》（GB/T22240-2020）等文件精神，結(jié)合安徽蕪湖市公安局工作實(shí)際，現(xiàn)擬對蕪湖市公安局重要信息系統(tǒng)實(shí)施等級保護(hù)測評，以進(jìn)一步完善信息系統(tǒng)安全管理體系和技術(shù)防護(hù)體系，切實(shí)提高系統(tǒng)信息安全防護(hù)能力，為信息化建設(shè)的健康有序發(fā)展提供可靠保障。（二）等級保護(hù)測評主要包括以下幾個方面：1、安全技術(shù)測評：包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心五個方面的安全測評。2、安全管理測評：包括安全管理制度、安全管理機(jī)構(gòu)、安全人員管理、安全建設(shè)管理和安全運(yùn)維管理五個方面的安全測評。3、形成差距分析報告：依據(jù)測評結(jié)果和《信息系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)基本要求》，對各信息系統(tǒng)進(jìn)行安全現(xiàn)狀分析，形成相應(yīng)的差距分析報告。4、編制系統(tǒng)安全整改方案：依據(jù)《信息系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)基本要求》和《信息系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》，結(jié)合差距分析結(jié)果，編制針對各信息系統(tǒng)的安全整改建設(shè)方案。25、編制和完善安全管理制度：依據(jù)《信息系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)基本要求》和《信息系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》，協(xié)助制訂和完善各項(xiàng)信息安全管理制度，規(guī)范信息安全日常管理工作，提高信息安全基礎(chǔ)管理水平。完成上述測評工作和實(shí)施整改后，最后中標(biāo)人出具符合公安機(jī)關(guān)要求的（年度）信息系統(tǒng)安全保護(hù)等級測評報告。（三）配套網(wǎng)絡(luò)安全服務(wù)主要包括以下幾個方面：1、網(wǎng)絡(luò)邊界監(jiān)測加固服務(wù)：提供有效手段監(jiān)測內(nèi)外網(wǎng)互聯(lián)、內(nèi)外網(wǎng)交替混用、線路外聯(lián)等破壞公安信息網(wǎng)物理隔離的情況，對監(jiān)測事件配合調(diào)查分析，加固外聯(lián)隱患，協(xié)助消除網(wǎng)絡(luò)安全風(fēng)險。◆（1）所采用服務(wù)工具支持網(wǎng)絡(luò)資產(chǎn)發(fā)現(xiàn)識別，支持計算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安防設(shè)備、辦公設(shè)備等網(wǎng)絡(luò)內(nèi)存活資產(chǎn)設(shè)備的發(fā)現(xiàn)和資產(chǎn)類型識別。支持網(wǎng)絡(luò)內(nèi)資產(chǎn)異常在網(wǎng)狀態(tài)監(jiān)測,包括：資產(chǎn)IP和MAC變化、MAC和交換機(jī)端口變化等?！簦?）所采用服務(wù)工具支持IPV4或者IPV6內(nèi)外網(wǎng)互聯(lián)行為監(jiān)測，支持不安裝客戶端的情況下，監(jiān)測發(fā)現(xiàn)系統(tǒng)所在內(nèi)部網(wǎng)絡(luò)存在的以IPV4或IPV6地址為出口的外聯(lián)行為，上報設(shè)備內(nèi)網(wǎng)IP、公網(wǎng)IP、外聯(lián)時間?！簦?）所采用服務(wù)工具支持內(nèi)外網(wǎng)交替混用行為發(fā)現(xiàn)，在不安裝客戶端的情況下，自行發(fā)現(xiàn)管理域內(nèi)設(shè)備在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)交替混用的行為，上報設(shè)備內(nèi)網(wǎng)IP、外聯(lián)時間。◆（4）所采用服務(wù)工具支持線路外聯(lián)發(fā)現(xiàn)，在不依賴客戶端的情況下，自動發(fā)現(xiàn)管理域內(nèi)接入的與內(nèi)網(wǎng)只在數(shù)據(jù)鏈路層聯(lián)通而網(wǎng)絡(luò)層不連通的可外聯(lián)網(wǎng)絡(luò)設(shè)備。（5）所采用服務(wù)工具支持NAT子網(wǎng)內(nèi)設(shè)備外聯(lián)行為的強(qiáng)化監(jiān)測，支持不安裝客戶端的情況下，對NAT內(nèi)各臺設(shè)備的外聯(lián)行為進(jìn)行監(jiān)測，上報外聯(lián)行為公網(wǎng)IP、外聯(lián)時間、NAT子網(wǎng)出口IP、NAT子網(wǎng)內(nèi)外聯(lián)設(shè)備唯一性標(biāo)識信息(cookie地址),并可通過工具獲取外聯(lián)設(shè)備的唯一性標(biāo)識(IP和MAC)?！簦?）所采用服務(wù)工具支持外聯(lián)加固功能，支持配置訪問控制規(guī)則、網(wǎng)絡(luò)異常提醒、IP/MAC綁定和DNS綁定策略、禁用無線網(wǎng)卡、IPV6等方式限制外聯(lián)行為。服務(wù)期3內(nèi)加固內(nèi)網(wǎng)計算機(jī)設(shè)備數(shù)量不低于5000臺。（7）所采用服務(wù)工具支持遠(yuǎn)程運(yùn)維接入邊界點(diǎn)發(fā)現(xiàn)，在不安裝客戶端的情況下，支持監(jiān)測發(fā)現(xiàn)系統(tǒng)所在網(wǎng)絡(luò)內(nèi)存在遠(yuǎn)程運(yùn)維軟件。（四）服務(wù)工作要求：1、實(shí)施原則（1）規(guī)范性原則：中標(biāo)人工作中的過程和文檔，具有很好的規(guī)范性，可以便于項(xiàng)目的跟蹤和控制；（2）可控性原則：測評的工具、方法和過程需在雙方認(rèn)可的范圍之內(nèi)并符合進(jìn)度表的安排，保證采購人對服務(wù)工作的可控性；（3）整體性原則：測評和分析的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括安全涉及的各個層面，避免由于遺漏造成未來的安全隱患；最小影響原則：測評工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不能對現(xiàn)網(wǎng)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響(包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)擁塞、服務(wù)中斷，如無法避免出現(xiàn)這些情況應(yīng)在應(yīng)答書上詳細(xì)描述)；（4）保密原則：對測評的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進(jìn)行任何侵害采購人網(wǎng)絡(luò)的行為，否則采購人有權(quán)追究責(zé)任。服務(wù)過程必須遵守采購人相關(guān)網(wǎng)絡(luò)安全管理規(guī)定，如造成一機(jī)兩用、越權(quán)滲透等違規(guī)事件，采購人有權(quán)追究相關(guān)責(zé)任。2、檢測要求（1）訪談訪談是指測評人員通過與被測系統(tǒng)有關(guān)人員（個人/群體）進(jìn)行交流、詢問等活動，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效的一類方法。在本次測評過程中，訪談方法主要應(yīng)用于安全管理機(jī)構(gòu)測評、人員安全管理測評、系統(tǒng)建設(shè)管理測評和系統(tǒng)運(yùn)維管理測評等安全管理類測評任務(wù)中。在安全管理類測評任務(wù)中，測評人員依據(jù)定制的測評指導(dǎo)書（訪談問題列表）對相關(guān)人員進(jìn)行訪談，獲取與安全管理有關(guān)的測評證據(jù)用于判斷特定的安全管理措施是4否符合國家相關(guān)標(biāo)準(zhǔn)以及委托方的實(shí)際需求。在安全功能檢查任務(wù)中，測評人員依據(jù)定制的測評指導(dǎo)書（訪談問題列表）對相關(guān)人員進(jìn)行訪談，為后續(xù)的檢查和測試收集必要的系統(tǒng)基本信息并提供參考數(shù)據(jù)。（2）檢查檢查是指測評人員通過對測評對象進(jìn)行觀察、查驗(yàn)、分析等活動，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效的一類方法。在本次測評過程中，檢查方法的應(yīng)用范圍覆蓋了物理安全測評、主機(jī)安全測評、網(wǎng)絡(luò)安全測評、應(yīng)用安全測評和數(shù)據(jù)安全及備份恢復(fù)等技術(shù)類測評任務(wù)，以及安全管理類測評任務(wù)。在物理安全測評任務(wù)中，測評人員采用文檔查閱與分析和現(xiàn)場觀測等檢查方法來獲取測評證據(jù)（如機(jī)房的溫濕度情況），用于判斷目標(biāo)系統(tǒng)在機(jī)房安全方面采用的特定安全技術(shù)措施是否符合國家相關(guān)標(biāo)準(zhǔn)以及委托方的實(shí)際需求。在主機(jī)安全測評、網(wǎng)絡(luò)安全測評、應(yīng)用安全測評和數(shù)據(jù)安全及備份恢復(fù)等測評任務(wù)中，測評人員綜合采用文檔查閱與分析、安全配置核查和網(wǎng)絡(luò)監(jiān)聽與分析等檢查方法來獲取測評證據(jù)（如相關(guān)措施的部署和配置情況，特定設(shè)備的端口開放情況等），用于判斷目標(biāo)系統(tǒng)在主機(jī)、網(wǎng)絡(luò)和應(yīng)用層面采用的特定安全技術(shù)措施是否符合國家相關(guān)標(biāo)準(zhǔn)以及委托方的實(shí)際需求。在安全管理類測評任務(wù)中，測評人員主要采用文檔查閱與分析的檢查方法來獲取測評證據(jù)（如制度文件的編制情況），用于判斷特定的安全管理措施是否符合國家、行業(yè)相關(guān)標(biāo)準(zhǔn)的要求以及委托方的實(shí)際需求。（3）測試測試是指測評人員使用預(yù)定的方法/工具使測評對象產(chǎn)生特定的行為，通過查看、分析這些行為的結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效的一類方法。在本次測評過程中，測試方法主要應(yīng)用在手工驗(yàn)證、漏洞掃描等測評任務(wù)中。在網(wǎng)絡(luò)安全、主機(jī)安全和應(yīng)用安全等測評任務(wù)中，測評人員將綜合采用手工驗(yàn)證和工具測試方法對特定安全技術(shù)措施的有效性進(jìn)行測試，測試結(jié)果用于判斷目標(biāo)系統(tǒng)在網(wǎng)絡(luò)、主機(jī)或應(yīng)用層面采用的特定技術(shù)措施是否符合國家相關(guān)標(biāo)準(zhǔn)以及委托方的實(shí)