《自然资源云平台密码应用安全测评.docx》由会员分享,可在线阅读,更多相关《自然资源云平台密码应用安全测评.docx(15页珍藏版)》请在课桌文档上搜索。
1、自然资源云平台密码应用安全测评采购需求一、任务概况为全面贯彻总体国家安全观和网络强国战略,深入贯彻落实中华人民共和国密码法相关要求,保障自然资源云平台信息系统密码安全,符合国家相关管理要求,提升我单位重要信息系统密码防护水平,确保自然资源云平台重要信息系统持续安全稳定运行,我单位通过政府采购密码安全测评服务(密码应用安全性评估服务)的方式,依据信息安全技术信息系统密码应用基本要求(GB/T39786-2021)、信息系统密码应用测评要求(GM/T0115-2021),信息系统密码应用测评过程指南GM/T0116-2021等标准规范,针对自然资源云平台进行一次信息密码应用安全性评估,从而强化我单
2、位密码应用安全管理,进一步完善密码应用安全体系。二、预算价格本项目预算为人民币20万元。三、需求描述(一)按照信息系统密码应用安全性评估相关要求,开展信息系统密码应用安全性评估工作,符合国家有关信息系统密码应用安全性评估工作要求。(二)依据信息安全技术信息系统密码应用基本要求(GB/T39786-2021)、信息系统密码测评要求(GM/T115-2021)、信息系统密码应用测评过程指南(GM/T116-2021),商用密码应用安全性评估量化评估规则、信息系统密码应用高风险判定指引等标准对自然资源云平台从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行
3、、应急处置等方面进行密码应用安全性评估。通过评估检验自然资源云平台信息系统密码应用是否合规、正确、有效,针对被测系统在密码应用安全方面存在的安全问题提出可行性完善建议,为进一步完善信息系统的密码应用安全管理体系、加强信息系统的密码应用安全防护措施提供依据。四、需执行的国家相关标准、行业、地方或其他标准规范自然资源云平台商用密码应用安全性评估项目的依据如下:信息安全技术信息系统密码应用基本要求(GB/T39786-2021)信息系统密码测评要求(GMzTOIl5-2021)信息系统密码应用测评过程指南(GM/T0116-2021)商用密码应用安全性评估量化评估规则信息系统密码应用高风险判定指引商
4、用密码应用安全性评估报告模板(2023版)五、测评内容(一)测评基本内容商用密码应用安全性评估时按照等级保护相应等级信息系统要求分别从系统技术、密钥管理和安全管理等方面全方位对信息系统的密码使用情况进行评估,评估范围主要包括:物理机房、服务器、操作系统、数据库系统、交换机、路由器、防火墙、密码算法、密码技术、密码产品、密码服务、应用、安全管理相关文档等,主要测评内容包含但不限于下表所示:序号评估内容评估对象1总体要求测评密码算法测评密码算法密码技术测评密码技术密码产品测评密码产品密码服务测评密码服务2物理和环境安全测评身份鉴别物理机房电子门禁记录数据完整性物理机房视频记录数据完整性物理机房硬件
5、密码模块实现物理机房3网络和通信安全测评身份鉴别交换机、路由器、防火墙等访问控制信息完整性交换机、路由器、防火墙等通信数据完整性交换机、路由器、防火墙等序号评估内容评估对象通信数据机密性交换机、路由器、防火墙等集中管理通道安全交换机、路由器、防火墙等密码模块安全交换机、路由器、防火墙等4设备和计算安全测评身份鉴别操作系统、数据库、服务器等远程管理身份鉴别信息机密性操作系统、数据库、服务器等访问控制信息完整性操作系统、数据库、服务器等敏感标记完整性操作系统、数据库、服务器等重要程序或文件完整性操作系统、数据库、服务器等日志记录完整性操作系统、数据库、服务器等硬件密码模块实现操作系统、数据库、服务
6、器等5应用和数据安全测评身份鉴别应用访问控制应用数据传输机密性应用数据存储机密性应用数据传输完整性应用数据存储完整性应用日志记录完整性应用重要应用程序加载和卸载应用抗抵赖应用硬件密码模块实现应用6安全管理测评制度安全管理相关文档人员安全管理相关文档实施安全管理相关文档运行安全管理相关文档(二)具体技术要求1 .总体测评要求1)密码算法测评测评单元测评指标测评方式密码算法合规性检查信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。访谈、文档审查、实地查看、配置检查。2)密码技术测评测评单元测评指标测评方式密码技术合规性检查信息系统中使用的密码技术应遵循密码相
7、关国家标准和行业标准。访谈、文档审查、实地查看、配置检查。3)密码产品测评测评单元测评指标测评方式密码产品合规性检查信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。访谈、文档审查、实地查看、配置检查。4)密码服务测评测评单元测评指标测评方式密码服务合规性检查信息系统中使用的密码服务应通过国家密码管理部门许可。访谈、文档审态、实地查看、配置检查。2 .物理和环境安全测评漏评单元测评指标测评方式身份鉴别在电子门禁系统中,应使用密码技术的真实性功能来保护物理访问控制身份鉴别信息,保证重要区域进入人员身份的真实性。访谈、文档审查、实地杳看、配置检查、工具测试。电子门禁记录数据完整性应使用
8、密码技术的完整性功能来保证电子门禁系统进出记录的完整性。访谈、文档审查、实地查看、配置检查、工具测试。测评单元测评指标测评方式视频记录数据完整性应使用密码技术的完整性功能来保证视频监控音像记录的完整性。访谈、文档审查、实地查看、配置检查、工具测试。硬件密码模块实现宜采用符合GM/T0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。访谈、文档审查、实地查看、配置检查、工具测试。3 .网络和通信安全测评测评单元测评指标测评方式身份鉴别应在通信前基于密码技术对通信双方进行验证或认证,使用密码技术的机密性和真实性服务来实现防截获、防假冒和防重用,保证传输过程中
9、鉴别信息的机密性和网络设备实体身份的真实性。访谈、文档审查、实地查看、配置检查、工具测试。访问控制信息完整性应使用密码技术的完整性服务来保证网络边界和系统资源访问控制信息的完整性。访谈、文档审查、实地查看、配置检查、工具测试。通信数据完整性应采用密码技术保证通信过程中数据的完整性。访谈、文档审查、实地查看、配置检查、工具测试。通信数据机密性应采用密码技术保证通信过程中敏感信息数据字段或整个报文的机密性。访谈、文档审查、实地查看、配置检查、工具测试。集中管理通道安全应采用密码技术建立一条安全的信息传输通道,对网络中的安全设备或安全组件进行集中管理。访谈、文档审查、实地查看、配置检查、工具测试。测
10、评单元测评指标测评方式密码模块安全宜采用符合GM/T0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。访谈、文档审查、实地查看、配置检查、工具测试。4 .设备和计算安全测评测评单元测评指标测评方式身份鉴别应使用密码技术对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。访谈、文档审查、实地查看、配置检查、工具测试。远程管理身份鉴别信息机密性在远程管理时,应使用密码技术的机密性服务来实现鉴别信息的防窃听。访谈、文档审查、实地查看、配置检查、工具测试。访问控制信息完整性应使用密码技术的完整性服务来保证系统资源访问控制信
11、息的完整性。访谈、文档审查、实地查看、配置检查、工具测试。敏感标记完整性应使用密码技术的完整性服务来保证重要信息资源敏感标记的完整性。访谈、文档审查、实地查看、配置检查、工具测试。重要程序或文件完整性应采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性保护。访谈、文档审查、实地查看、配置检查、工具测试。日志记录完整性应使用密码技术的完整性功能来对日志记录进行完整性保护。访谈、文档审查、实地查看、配置检查、工具测试。硬件密码模块实现宜采用符合GM/T0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。访谈、文档审查、实地杳看、
12、配置检查、工具测试。5 .应用和数据安全测评测评单元测评指标测评方式身份鉴别应使用密码技术对登录的用户进行身份标识和鉴别,实现身份鉴别信息的防截获、防假冒和防重用,保证应用系统用户身份的真实性。访谈、文档审查、实地查看、配置检查、工具测试。访问控制应使用密码技术的完整性服务来保证业务应用系统访问控制策略、数据库表访问控访谈、文档审查、实地查看、配置检查、工具测试。测评单元测评指标测评方式制信息和重要信息资源敏感标记的完整性。数据传输机密性应采用密码技术保证重要数据在传输过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息等访谈、文档审查、实地查看、配置检查、工具测试。数据存储机密性
13、应采用密码技术保证重要数据在存储过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息、重要可执行程序等。访谈、文档审查、实地查看、配置检查、工具测试。数据传输完整性应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息等。访谈、文档审查、实地查看、配置检查、工具测试。数据存储完整性应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息、重要可执行程序等。访谈、文档审查、实地查看、配置检查、工具测试。日志记录完整性应使
14、用密码技术的完整性功能来实现对日志记录完整性的保护。访谈、文档审查、实地查看、配置检查、工具测试。重要应用程序加载和卸载应采用密码技术对重要应用程序的加载和卸载进行安全控制访谈、文档审查、实地查看、配置检查、工具测试。硬件密码模块实现宜采用符合GM/T0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。访谈、文档审查、实地查看、配置检查、工具测试。6 .安全管理测评测评单元测评指标测评方式制度应制定密码安全管理制度及操作规范、安全操作规范。密码安全管理制度应包括密码建设、运维、人员、设备、密钥等密码管理相关内容。访谈、文档记录核查、实地查看。应定期对密码
15、管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。访谈、文档记录核查、实地查看。应明确相关管理制度发布流程。访谈、文档记录核查、实地查看。人员应了解并遵守商用密码相关法律法规。访谈、文档记录核查、实地皆看。应能够正确使用商用密码产品。访谈、文档记录核查、实地查看。应根据相关密码管理政策、数据安全保密政策,结合组织实际情况,设置密钥管理人员、安全审计人员、密码操作人员等关键岗位:建立相垃岗位责任制度,明确相关人员在安全系统中的职责和权限,对关键岗位建立多人共管机制:密钥管理、安全审计、密码操作人员职责应该建立多人共管制度,互相制约互相监督,相关设备与系统的管理和
16、使用账号不得多人共用。访谈、文档记录核查、实地查看。应建立人员考核制度,定期进行岗位人员考核,建立健全奖惩制度。访谈、文档记录核查、实地查看。应建立人员培训制度,对于涉及密码的操作和管理以及密钥管理人员进行专门培训。访谈、文档记录核查、实地查看。应建立关键岗位人员保密制度和调离制度,签订保密合同,承担保密义务。访谈、文档记录核查、实地查看。实施规划信息系统规划阶段,责任单位应依据密码有关标准,制定密码应用建设方案,组织专家进行评审。评审意见作为项目规划立项的重要材料。通过专家评审后的方案应作为建设、验收和测评的重要依据。访谈、文档记录核查、实地查看。建设应按照国家相关标准,制定实施方案,方案内
17、容应包括但不少于信息系统概述、安全需求分析、商用密码系统设计方案、商用密码产品清单(包括产品资质、功能及性能列表和产品生产单位等)、商用密码系统安全管理与维护策略、商用密码系统实施计划等。访谈、文档记录核查、实地查看。应选用经国家密码管理部门核准的密码产品、许可的密码服务。访谈、文档记录核查、实地查看。运行信息系统投入运行前,应经密评机构进行安全性评估,评估通过方可投入正式运行。访谈、文档记录核查、实地查看。信息系统投入运行后,责任单位应委托密评机构开展密码应用安全性评估,并根据评估意见进行整改;有重大安全隐患的,应停止系统运行,制定整改方案,整改完成并通过评估后方可投入运行。访谈、文档记录核
18、查、实地查看。应急制定应急预案,做好应急资源准备,当事件发生时,按照应急预案结合实际情况及时处置。访谈、文档记录核查、实地皆看。事件发生后,应及时向信息系统的上级主管部门进行报告。访谈、文档记录核查、实地查看。事件处置完成后,应及时向同级的密码主管部门报告事件发生情况及处置情况。访谈、文档记录核查、实地查看。(三)实施流程1 .测评准备活动:测评准备活动中,供应商主要完成启动测评项目,组建测评项目组;通过收集和分析被测系统的相关资料信息,掌握被测系统的大体情况;并准备测评工具和表单等测评所需的相关资料。2 .方案编制活动:方案编制活动中,供应商主要完成确定测评对象和测评指标,选择测试工具接入点
19、,从而进一步确定测评实施内容,并从已有的测评指导书中选择本次需要用到的测评指导书,最后根据上述情况编制密码实施方案。3 .现场测评活动:现场测评活动中,供应商在与测评委托单位就测评方案达成一致意见,并进一步确定测评配合人员,完成测评指导书各项测评内容,获取足够的测评证据。4 .分析与报告编制活动:分析与报告编制活动中,测评人员通过分析现场测评获得的测评证据和资料,判定单项测评结果及单元测评结果,进行整体测评和风险分析,形成密码应用安全性评估结论,并编制密码应用安全性评估报告。六、技术服务要求供应商应严格依据下列原则和国家密码应用安全性评估相关标准开展项目实施工作:(一)符合性原则:项目在实施的
20、过程中需要符合国家信息系统密码应用安全性评估相关技术标准的要求,所出具报告客观、公正。(二)规范性原则:在项目实施过程中产生的文档具有良好的规范性,便于项目的跟踪和控制。(三)整体性原则:测评内容应当整体、全面,包括信息系统密码应用基本要求的各个层面(物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理、安全管理等)。(四)可控性原则:项目实施过程需要在双方认同(认可)的范围之内,项目进度要严格按照项目工作计划执行,保证湖南省自然资源厅或湖南省第三测绘院对于密码应用安全性评估工作的可控性。(五)最小影响原则:评估工作应尽可能小的影响系统和网络正常运行,不能对现有网络的运行和
21、业务的正常开展产生明显影响(包括系统性能明显下降、网络拥塞、服务中断等)。(六)保密原则:对项目实施中产生的数据和结果应严格保密,未经湖南省自然资源厅或湖南省第三测绘院授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害湖南省自然资源厅或湖南省第三测绘院利益的行为。服务过程中必须做到文明服务、保守机密,遵守甲方规章制度,接受甲方统一管理。项目实施过程中,如遇风险,要有应急响应的能力。七、商务需求条款(一)业务能力投标人承担过国家或省级密码科技项目,成果获得过2个以上国家或省级奖项,并承担过国家密评试点工程,提供相关证明材料。(二)资质要求投标人须列入国家密码管理局公告(第42号)明确的商用
22、密码应用安全性评估试点机构目录,并提供相关证明材料。参数为关键性参数要求,竞价人需要在竞价文件中逐一全部响应,否则视为无效竞价。八、竞价人响应资格竞价人必须是在中华人民共和国境内注册登记的法人、其他组织或者自然人同时符合下列资格要求:政府采购法第二十二条第一款规定的基本条件:(一)具有独立承担民事责任的能力;(二)具有良好的商业信誉和健全的财务会计制度;(三)具有履行合同所必需的设备和专业技术能力;(四)有依法缴纳税收和社会保障资金的良好记录;(五)参加政府采购活动前三年内,在经营活动中没有重大违法记录;(六)法律、行政法规规定的其他条件。九、验收标准成交供应商在采购人指定的期限内准时交付合格
23、的成果文件。十、需满足的服务标准、期限、安全等要求(一)履行合同的时间、地点及方式:1 .服务地点:湖南地理信息产业园总部基地B座。(二)合同价款支付方式和条件:2 .投标总价为合同包干价。3 .支付方式:国库集中支付4 .付款条件:签订合同15个工作日内付款合同总价的40%,交付商用密码应用安全性评估报告后,并按合同约定移交有关资料后15个工作日内付款合同总价的60%。付款前中标方应开具当次付款总额的正规发票,否则采购人拒绝付款。注:对于上述项目要求,若有不一致之处按精度高、方案优的要求执行,竞价响应人应在响应文件中进行响应,作出承诺及说明,否则按照核心参数不完全符合处理。本项目如有遗漏或未明确的未尽事宜在合同中另行约定。
