你现在的位置:首页>>招投标信息>>招标公告

中山市疾病预防控制中心信息化建设(第二期)包组四单一来源采购公示

中山市疾病预防控制中心信息化建设(第二期)包组四单一来源采购公示

 

一、采购人:中山市疾病预防控制中心

二、采购项目编号:CMZS2019ZB033-4

三、采购项目预算金额(元):27,000.00

四、采购项目内容:中山市疾病预防控制中心信息化建设(第二期)包组四:公共卫生检验检测管理信息平台信息系统安全等级保护评测。

五、拟采购的货物或者服务的说

总则

1.项目内容:

包组四:公共卫生检验检测管理信息平台信息系统安全等级保护评测。

2.完工期或服务期:

包组四:中山市疾病预防控制中心公共卫生检验检测管理信息平台完成后,30个日历天内。

3.未经采购人同意擅自转包、分包本合同的部分或全部工作,委托或指示第三方代为履行的,采购人有权不予支付相关费用,投标人承担由此造成的一切后果。

4.本项目不接受联合体投标。

概述

目标:通过最严格国家要求标准,最终目标达到国家要求的信息系统安全保护等级标准中的第二级水平,将信息安全系数提高,有效地提升业务承受能力。

完成中山市疾病预防控制中心公共卫生检验检测信息管理平台安全等级二级评测工作,工作内容包括但不限于:1. 协助确定等级保护定级对象及系统定级级别,协助编制定级报告;2. 协助编制并协助审查公安规定的备案材料;3. 开展差距分析工作,出具差距分析报告;4. 开展验收测评工作,并出具等级测评报告;5. 提出整改建议,并接受采购人整改期间的技术咨询;6. 协助进行测评系统报备工作。

实施遵循依据

1)政策依据

1.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号);

2.《中华人民共和国计算机信息系统安全保护条例》(国务院 147 号令);

3.《中共中央办公厅国务院办公厅转发<国家信息化领导小组关于加强信息处理安全保障工作的意见>的通知》(中办发[2003]27 号);

4.《关于印发<关于信息安全等级保护工作的实施意见>的通知》(公通字[2004]66 号文);

5.《关于印发<信息安全等级保护管理办法>的通知》(公通字[2007]43 号文);

6.《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861 号文)。

2)技术规范

1. 《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008);

2. 《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007);

3. 《信息安全技术 信息系统安全等级保护测评过程指南》(国标送审稿);

4. 《信息安全技术 信息系统安全等级保护实施指南》(国标报批稿);

5. 《信息安全技术 信息系统安全等级保护测评要求》(国标报批稿);

6. 《信息安全技术 信息系统安全等级保护安全设计技术要求》(信安字[2009]059 号):

7. 《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007

8. 《信息安全技术 信息安全风险管理指南》(GB/Z 24364-2009

9. 《信息安全技术 网络基础安全技术要求》(GB/T20270-2006

10. 《信息安全技术 操作系统安全技术要求》(GB/T20272-2006

11. 《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006

12. 《信息安全技术 服务器技术要求》(GB/T21028-2007

13. 《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006

14. 《安全测试方法学开源手册》

15. OWASP 测试指南》

16. OWASP 应用安全基础参考(ASDR)》

17. NIST SP 800-42 网络安全测试指南》

18. PTES 渗透测试执行标准》

19. Web 应用安全联合威胁分类(WASC-TC)

20. OWASP 代码检测指南》

服务内容及要求

1、信息系统等级保护测评

测评工作内容应包括安全技术测评和安全管理测评,至少包含以下内容:

(1)安全技术测评:

安全技术测评包括五个部分:分别是物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。

1)物理安全

物理安全应至少包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等控制点。

2)网络安全

网络安全应至少包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等控制点。

3)主机(数据库)安全

主机系统(数据库)安全应至少包括:身份鉴别、访问控制、剩余信息保护、安全审计、入侵防范、恶意代码防范和资源控制等控制点。

4)应用安全

应用安全应至少包括:身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等控制点。

5)数据安全及备份恢复

保证数据安全和备份恢复应至少包括:数据完整性、数据保密性、备份和恢复等控制点。

(2)安全管理测评

安全管理测评应包括五个部分:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

1)安全管理制度

安全管理制度应至少包括:管理制度、制定和发布、评审和修订控制点。

2)安全管理机构

安全管理机构应至少包括:岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查等控制点。

3)人员安全管理

人员安全的管理应至少包括:人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理等控制点。

4)系统建设管理

系统建设管理应至少包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择等控制点。

5)系统运维管理

系统运维管理应至少包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等控制点。

2、信息系统差距分析

我方对信息系统开展前期调研,根据定级报告中被评估信息系统的安全等级(SAG),从等级保护基本要求的指标中选择和组合评估用的安全指标,形成一套信息系统的评估指标,作为差距分析评估的依据;将具体差距分析评估对象和评估指标进行结合,确定评估范围,形成评估使用的评估方案。

我方通过准备好的差距分析表,与客户确认现场沟通的对象(部门和人员),准备相应的检查内容。

 差距分析表包含以下内容:

ü  安全技术差距分析:包括网络安全、主机安全、应用安全、数据安全及备份恢复;

ü  安全管理差距分析:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理;

ü  系统运维差距分析:包括环境管理、资产管理、介质管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置;

ü  物理安全差距分析:包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

ü  不同安全保护级别的系统所使用的差距分析表的内容也不同。

完成现场差距分析之后,我方项目组归纳整理、根据等级指标对比评估结果记录,结合被评估单位提供的各种资料,进行全面的综合分析,找出目前信息系统与等级保护安全要求之间的差距,明确不符合项,生成《安全差距分析报告》。

3、信息系统渗透性测试

1)实施方案制定、客户书面同意

实施方案需要我中心授权委托,并同意实施方案是进行渗透测评的必要条件。渗透测评首先必须将实施方法、实施时间、实施人员,实施工具等具体的实施方案需要得到我中心相应的书面委托和授权。

代码检测必须做到我中心对所有细节和风险的知晓。代码检测的范围、目标、限制条件都在我中心的控制下进行。这也是专业渗透测评服务与黑客攻击入侵的本质不同。

2)信息收集分析

信息收集是每一步渗透测评的前提,通过信息收集可以有针对性地制定模拟攻击测试计划,提高模拟攻击的成功率,同时可以有效的降低攻击测试对系统正常运行造成的不利影响。渗透测评团队利用各种信息来源与搜集技术方法,尝试获取更多关于目标组织网络拓扑、系统配置与安全防御措施的信息。

常见的信息收集的方法包括 Ping SweepDNS SweepDNS zone transfer、操作系统指纹判别、应用判别、账号扫描、配置判别等。信息收集常用的工具包括商业网络安全漏洞扫描软件(如 IBM Rational   AppScan 等),免费安全检测工具(如,NMAPNESSUS 等)。操作系统内置的许多功能(如,TELNETNSLOOKUPIE 等)也可以作为信息收集的工具。

3)确定实施计划

根据我中心推托范围和时间,并结合前一步初步的信息收集得到的设备存活情况、网络拓扑情况以及扫描得到的服务开放情况、漏洞情况制定内部的详细实施计划。具体包括每个地址下一步可能采用的测试手段,详细时间安排。并将以下一步工作的计划和时间安排与我中心进行确认。

4)威胁建模

渗透测评团队通过对获取的信息进行分析归纳完成威胁建模和渗透规划。团队通过共同的情报分析与思维的头脑风暴,从大量的信息情报中理清头绪,确定出最可行的渗透测评路径。

5)漏洞分析

在漏洞分析阶段,将综合从前面的几个环节中获取到的信息,并从中分析和理解哪些攻击途径会是可行的。特别是需要重点分析端口和漏洞扫描结果,攫取到服务“旗帜”信息,以及在情报搜集环节中得到的其他关键信息。

6)实施渗透测评

通过初步的信息收集分析,存在两种可能性,一种是目标系统存在重大的安全弱点,测试可以直接控制目标系统;另一种是目标系统没有远程重大的安全弱点,但是可以获得普通用户权限,这时可以通过该普通用户权限进一步收集目标系统信息。接下来尽最大努力取得超级用户权限、收集目标主机资料信息,寻求本地权限提升的机会。这样不停的进行信息收集分析、权限提升的结果形成了整个的漏洞扫描、渗透测评和安全评估的过程。

7)分析与报告编制阶段

渗透测评完成之后,需提供《渗透测评报告》。《渗透测评报告》将会十分详细的说明渗透测评过程中的得到的数据和信息、并且将会详细的纪录整个渗透测评的全部操作过程和数据统计分析结果。

4 安全加固方案

 安全加固方案,根据初次评测提出安全加固方案。

5、测评报告要求

中标供应商应整理测评数据,对信息系统的资料和测评结果进行综合分析,形成国家认可的等级保护测评报告。

6、其他要求

1)投标人应按等级保护测评要求制定咨询服务过程中产生的文档,做科学、规范、详尽、统一等方面的要求。

2)保密要求:对采购方信息的保密,中标方不得在任何场合向第三方透露采购方内部信息。

7、本项目须配置以下技术人员:

1)具备信息安全等级保护测评资质中级测评师的人数不得少于 1 人;

2)保证维护实施人员充足,队伍稳定,并提供上述主要技术人员的相关专业、资格证书。

中标后的服务和付款方式  

本项目分两期支付项目费用。在中标人出具本项目要求报告后,20个工作日内采购人应支付合同金额所有款项。

1、签定合同后 20 个工作日内,采购人支付合同金额 30%的款项作为项目预付款。

2、中标单位在收到项目预付款五个工作日内安排项目实施人员,完成初次评估。出具本项目要求报告后 20 个工作日内采购人支付合同金额余下 70%款项。

 

 

六、采用单一来源采购方式的原因及相关说明:

本项目于2019年02月13日在中国政府采购网、广东省政府采购网、中山市公共资源交易网、中山市政府采购网发布了《中山市疾病预防控制中心信息化建设(第二期)》采购公告,至报名截止时间2019年02月20日17:30时止,包组四只有一家供应商(西安捷润数码科技有限公司)在中山市公共资源交易网成功报名。

项目又于2019年03月22日在在中国政府采购网、广东省政府采购网、中山市公共资源交易网、中山市政府采购网发布了第二次采购公告《中山市疾病预防控制中心信息化建设(第二期)(第二次)》,至报名截止时间2019年03月28日17:30时止,包组四只有一家供应商(西安捷润数码科技有限公司)在中山市公共资源交易网成功报名。

项目又于2019年04月25日在中国采购与招标网、广东财贸建设工程顾问有限公司网发布了采购公告《中山市疾病预防控制中心信息化建设(第二期)包组三、包组四(第三次)》,至报名截止时间2019年04月30日17:30时止,包组四无供应商报名。

项目又于2019年06月12日在中国采购与招标网、广东财贸建设工程顾问有限公司网发布了采购公告《中山市疾病预防控制中心信息化建设(第二期)包组四(第四次)》,至报名截止时间2019年06月18日17:30时止,只有一家供应商(西安捷润数码科技有限公司)在采购代理机构登记报名且购买了招标文件。又于2019年06月19日发布了《中山市疾病预防控制中心信息化建设(第二期)包组四(第四次)延期公告》,共一家供应商(西安捷润数码科技有限公司)在采购代理机构登记报名且购买了招标文件。

故因报名家数不够法定3家,于2019年07月09日发布废标公告。

项目于2019年07月04日举行招标文件专家论证,论证结果招标文件符合《中华人民共和国政府采购法》及相关规定,建议拟采用单一来源方式采购。鉴于该采购项目时限要求较紧,如重新采购成本较高,时间较长,根据中山市疾病预防控制中心意见,现由公开招标转为单一来源继续采购

七、拟定的唯一供应商名称、地址:

供应商名称:西安捷润数码科技有限公司

供应商地址:西安市高新区科技二路72号捷普大厦1层南侧

八、专家论证意见:

(一)各专家对相关供应商因专利、专有技术等原因具有唯一性的具体论证意见,专家的姓名、工作单位和职称:

1、专家1姓名:刘国柱,工作单位:中山市正清环保科技有限公司,职称:高级工程师

2、专家2姓名:张荭,工作单位:深圳市普利工程咨询有限公司中山分公司,职称:高级工程师

3、专家3姓名:奉小荣,工作单位:广东华泓建设工程有限公司,职称:工程师

(二)专家小组综合意见:

经论证小组一致确认:招标文件没有倾向性、歧视性条款,根据《中华人民共和国政府采购法》第三十一条,本项目只能从唯一供应商处采购的情形,建议拟采用单一来源方式采购。

九、本公示期限(不得少于5个工作日)自2019 年 07 月 12 日 至 2019 年 07 月 18 日 止。

十、联系事项

1.采购人联系方式

采购人名称:中山市疾病预防控制中心

联系人:罗先生

  话: 0760-88266709

2.采购代理机构联系方式

采购代理机构名称:广东财贸建设工程顾问有限公司

联系人:杨小姐

    话:0760-88715862

    真:0760-88715872

 

广东财贸建设工程顾问有限公司

时间:2019年07月11日