建党100周年教育数据中心网络安全保障整改专项—关键信息基础设施安全保障项目公开招标公告

项目概况

建党100周年教育数据中心网络安全保障整改专项—关键信息基础设施安全保障项目的潜在投标人应在中国通用招标网（http://www.china-tender.com.cn/）进行免费注册，注册完成后请按照网上操作流程进行购买。获取招标文件，并于2021年11月17日14点00分（北京时间）前递交投标文件。

一、项目基本情况

项目编号：0701-214150060564

项目名称：建党100周年教育数据中心网络安全保障整改专项—关键信息基础设施安全保障项目

预算金额：人民币叁佰叁拾万元整（¥3,300,000.00）

采购需求：

1.    本次招标共1包，具体招标内容如下：

注：本次招标、投标、评标均以包为单位，投标人须以包为单位进行投标，如有多包，可投一包或多包，但不得拆包，不完整的投标将被拒绝。

2.合同履行期限：服务期截至项目工作内容执行完成。

3.本项目不接受联合体投标。

二、申请人的资格要求：

1.满足《中华人民共和国政府采购法》第二十二条规定；

2.落实政府采购政策需满足的资格要求：无

3.本项目的特定资格要求：

（1）在中华人民共和国境内注册登记，有生产或供应能力的本国供应商，包括法人、其他组织和自然人。

（2）投标人应遵守《中华人民共和国政府采购法》《中华人民共和国政府采购法实施条例》等法律法规，并符合本招标文件规定的条件。

1）具有独立承担民事责任的能力；

2）具有良好的商业信誉和健全的财务会计制度；

3）具有履行合同所必需的设备和专业技术能力；

4）具有依法缴纳税收和社会保障资金的良好记录；

5）参加此项采购活动前三年内，在经营活动中没有重大违法记录；

6）本项目投标截止期前被“信用中国”网站列入失信被执行人和重大税收违法案件当事人名单的、被“中国政府采购网”网站列入政府采购严重违法失信行为记录名单（处罚期限尚未届满的），不得参与本项目的政府采购活动；

7）法律、行政法规规定的其他条件；

8）投标人按照招标公告的要求购买招标文件；

三、获取招标文件

1.时间：2021年10月28日至2021年11月3日，每天上午9:00至12:00，下午1:00至5:00。（北京时间，法定节假日除外）

2.地点：有意向的投标人应先在中国通用招标网（http://www.china-tender.com.cn/）进行免费注册，注册完成后请按照网上操作流程进行购买。

3.方式：网上购买。购买标书流程：投标人先在通用招标网招标文件获取一栏中对应的项目（标）下填写招标文件购买申请。填写招标文件购买申请后，选择网上支付方式购买招标文件，标书款支付成功后，即可下载招标文件。发票领取方式为：电子发票（自动发送至邮箱）或现场领取；特别提示：若为电汇方式，每次购买标书申请系统生成的账号不同，请按照系统生成的账号进行付款，不要重复支付；汇款金额必须与系统提示金额相同，否则将会被退回。中国通用招标网技术支持电话：400-680-8126。

4.售价：600.00元，本公告包含的招标文件售价总和。

四、提交投标文件截止时间、开标时间和地点

1.提交投标文件截止时间：2021年11月17日14点00分（北京时间）

2.开标时间：2021年11月17日14点00分（北京时间）

3.地点：北京市丰台区西三环南路14号院首科大厦A座4层405号中国通用咨询投资有限公司会议中心

五、公告期限

自本公告发布之日起5个工作日。

六、其他补充事宜

无

七、对本次招标提出询问，请按以下方式联系。

1.采购人信息

名称：教育部外资贷款事务中心（教育部政府采购中心）

地址：北京市海淀区西直门北大街32号枫蓝国际中心写字楼B座1706

联系方式：李老师 010-66093019

2.采购代理机构信息

名称：中技国际招标有限公司

地址：北京市丰台区西三环中路90号通用技术大厦1110室

联系方式：车雯雯、张赤南 010-63348288、010-63348276

3.项目联系方式

项目联系人：车雯雯

电话：010－63348288

采购需求

一、项目介绍

1.资金来源：财政资金

2.预算金额：人民币     叁佰叁拾万     元整（¥3,300,000.00）

3.采购标的所属行业：软件和信息技术服务业

4.所要达到的目标前景：根据《中华人民共和国网络安全法》、网络安全等级保护2.0和关键信息基础设施保护相关要求，落实教育部网络安全指导文件和标准规范要求，对12个拟定的国家关键信息基础设施开展源代码分析审计、渗透测试，发现安全漏洞；对15家教育系统单位（省级教育行政部门、部直属单位、部属高校）开展现场安全检查评估。排查教育系统国家关键信息基础设施存在的安全隐患，提高系统安全防护能力，切实降低系统的安全风险，保障系统的安全稳定运行，显著提高教育系统国家关键信息基础设施安全防护能力，提供专业的网络安全保障。开展建党100周年教育数据中心网络安全保障整改专项-关键信息基础设施安全保障服务。

二、项目履约时间与地点

1.履约时间：服务期截至项目工作内容执行完成

2.履约地点：北京

三、服务要求

非单一服务采购项目，采购人应当根据采购项目技术构成、服务价格比重等合理确定核心服务，并在招标文件中载明。

3.1服务内容

本项目的重点工作任务和内容如下：

根据《中华人民共和国网络安全法》、网络安全等级保护2.0和《关键信息基础设施安全保护条例》相关要求，落实教育部网络安全指导文件和标准规范要求，对12个拟定的国家关键信息基础设施开展源代码分析审计、渗透测试，发现安全漏洞；对15家教育系统单位（省级教育行政部门、部直属单位、部属高校）开展现场安全检查评估。排查教育系统国家关键信息基础设施存在的安全隐患，提高系统安全防护能力，切实降低系统的安全风险，保障系统的安全稳定运行，显著提高教育系统国家关键信息基础设施安全防护能力，提供专业的网络安全保障。

本项目重点任务及实施内容如下：

   3.1.1开展专项安全检测

重点对12个拟定的国家关键信息基础设施（部本级系统）开展源代码分析审计、渗透测试，发现安全漏洞。协助安全整改、配合安全漏洞修复验证；深层次发现安全隐患与漏洞，提升教育系统整体信息系统安全防护能力。

具体工作内容要求如下：

l  源代码审计

在实施代码审计工作前，投标人应与采购人对代码审计服务相关的技术细节进行详细沟通，由此确认代码审计的方案。方案内容主要包括：代码审计范围、审计对象、审计方式、审计要求和审计时间等内容；

（1）投标人提供的服务人员应根据服务类型对审计对象进行审计。在代码审计实施过程中，服务人员首先使用源代码扫描工具对审计对象进行初步的信息收集，然后由人工方式对源代码扫描结果进行分析和确认，最终结合自动化源代码扫描工具的结果和人工代码审计的结果，由服务人员整理并编制初测报告，提交给采购人就报告内容进行沟通；

（2）经过第一次代码审计报告提交和沟通后，等待采购人针对代码审计发现的问题进行整改或加固。经整改或加固后，服务人员进行回归检查。检查结束后提交给采购人复测报告并对复测结果进行确认、沟通；

（3）根据初测和复测结果，整理代码审计服务输出成果，最终汇报项目采购人。

交付内容：

《代码审计服务实施方案》；

《代码审计服务初测报告》，每个系统1份，共计12份；

《代码审计服务复测报告》，每个系统1份，共计12份；

《代码审计服务总结报告》，每个系统1份，共计12份。

l  渗透测试

投标人需根据采购人的业务系统要求，通过信息收集、漏洞挖掘、痕迹清理、输出报告。

（1）信息收集：信息收集是渗透的前期基础工作，投标人需提供网络信息收集、目标系统信息收集、端口服务信息收集等相关工作服务计划与内容。

（2）网络信息收集：包括IP 地址、域名信息等收集结果，防火墙规则探测，网络设备发现，以及目标系统中一些边缘信息如内部员工帐号组成、身份识别方式、邮件联系地址等。简单的描绘出目标系统的网络结构并对结构弱点的初步判断。

（3）目标系统信息收集：通过数据包抓取，可对web系统和数据库安全情况进行初步感知。检查应用系统架构，判断系统防绕过加固现状；检查身份认证模块，判断身份认证基础设施加固现状；检查数据库接口模块，判断系统权限加固现状；检查文件接口模块，判断系统文件访问加固情况。

（4）端口/服务信息收集:通过工具扫描操作，获取端口/服务等信息。

（5）漏洞挖掘：投标人需针对不同测试对象存在的不同安全风险，采用专业技术手段进行全面的漏洞挖掘。挖掘工具需采用投标人独立自研的商业漏洞挖掘工具软件，不接受免费的开源漏洞挖掘工具软件。

根据上一步信息收集结果，包含不限于以下几个方向挖掘潜在漏洞：

1）应用程序中长时间未更新的代码段；

2）应用程序中用于连接由不同开发团队或者开发者开发的程序模块的接口部分；

3）应用程序中进行调试和测试的部分代码；

4）C/S模式（带客户端和服务端）的应用中客户端及服务端调用API的差异部分（例如网页表单中的hide属性字段）；

5）不受终端用户直接影响的内部请求（如IPC）。

（6）利用挖掘到的漏洞进行权限提升，当拥有了低权限的权限的时候，需要根据具体的情况进行权限提升，得到更高的控制权，直到最高权限。通过权限提升，渗透深度的增加，可获取更多的信息，不断收集相关环境信息及漏洞情况，进行综合分析，从新的角度或着根据被拓展的渗透深度进行进一步的漏洞挖掘，重复执行漏洞挖掘、漏洞利用和权限提升、获取进一步信息的操作过程。

（7）痕迹清理：在渗透测试过程中的漏洞挖掘与漏洞验证阶段，可能会通过人工或工具写入某些信息或对某些关键路径进行修改，有效的展示漏洞的危害以及造成的影响，投标人需在渗透测试报告中详细记录渗透痕迹，并在渗透测试完成后进行必要的清除过程，防止遗留的危险文件或验证性木马文件被其他人利用，造成重大的损失。

（8）输出报告：在投标人完成渗透测试服务之后，需针对不同系统提供《渗透测试初测报告》，并在复测完成后出具《渗透测试复测报告》。

l  测试工具要求

投标人应提供自研渗透测试工具或漏洞扫描工具软件并提供证明材料，包括但不限于：销售许可证、软件著作权。

l  工作量及工作方式要求

每个系统源代码分析审计服务需进行现场服务，服务人数不少于2人，服务时间不少于10个工作日。

每个系统渗透测试服务需进行现场或远程服务，服务人数不少于2人，服务时间不少于5个工作日。

l  交付内容：

《渗透测试服务实施方案》；

《渗透测试服务初测报告》，每个系统1份，共计12份；

《渗透测试服务整改建议》，每个系统1份，共计12份；

《渗透测试服务复测报告》，每个系统1份，共计12份。

    3.1.2现场安全检查评估

对15家教育系统单位（含省级教育行政部门、部直属单位、部属高校）开展现场安全检查评估。通过网络安全现场检查，了解被检查单位整体网络安全防护情况，网络安全责任制落实情况，查找网络安全工作管理、安全技术防护、数据保护等方面存在的突出问题和薄弱环节，形成有针对性的安全检查总结报告。通过现场检查促进被检查单位提升网络安全防护能力、预防和减少网络安全事件的发生，切实保障关键信息基础设施的安全运行。

具体工作内容如下：

投标人需对15家教育系统单位（含省级教育行政部门、部直属单位、部属高校）进行管理制度及技术体系进行安全检查。

l  管理角度

通过安全管理制度体系评估，投标人需向采购人提供安全管理脆弱性分析和指导整改建议。工作内容主要为对被检查单位的安全管理制度制定及执行情况进行调研和评估。评估方式包括问卷调查、访谈、文档审核等。根据现场调研的结果，利用基础风险分析法对制度上存在的关键风险进行分析评估。形成评估报告，对现状进行总结，提出进一步提高安全水平的优化性建议。

l  技术角度

采用安全工具软件、人工审计、现场调查访问、技术检测等方法，对被检查单位整体网络和指定信息系统进行技术评估。

投标人需从技术上对采购人的安全现状进行分析，主要对15家教育系统单位（含省级教育行政部门、部直属单位、部属高校）开展现场安全检查评估，主要包括：

（1）针对采购人指定的业务系统涉及的IP、域名、端口、服务、操作系统、中间件、应用系统及调用关系、第三方模块插件等进行梳理，应用层接口的调用情况，对外的入口情况，对内入口情况，发现可能存在的漏洞，分析漏洞利用的风险，提出相关的安全建议。

（2）对采购人现有安全类设备进行调研和分析，协助采购人对现有攻击告警和安全策略进行梳理分析，给出可落地的建议和策略配置，建立、完善、调整相关策略，确保策略设置准确、严谨，充分发挥设备最大功能。检测交换机、防火墙、路由器、入侵检测系统等设备配置合理，安全设备防护是否有效，数据传输机制进行。

（3）对采购人DMZ、内网区等重要网络区域和指定信息系统进行安全评估，利用漏洞扫描、主机安全评估手段、弱口令检测、配置核查、内网渗透、日志分析、专项评估等方式和手段开展安全评估工作，并指导采购人安全人员同步开展、发现存在的问题和安全隐患，给出相应的加固建议，并协助采购人开展加固工作。

（4）提供技术手段，根据采购人需求，协助开展弱口令、非法外联、敏感信息外泄、数据安全泄漏等专项信息安全检查，并提出问题整改建议。

l  工具要求

投标人应提供自研主机安全评估软件并提供证明材料，包括但不限于：销售许可证、软件著作权。

l 工作量及工作方式要求

对15家教育系统单位（含省级教育行政部门、部直属单位、部属高校）开展现场安全检查评估，采用现场服务方式，每个被检查单位提供不少于2名工程师服务，服务时间不少于3个工作日。

l  交付内容：

《网络安全现场检查工作方案》；

《xx单位网络安全管理检查记录表》，每个被检查单位1份，共计15份；

《xx单位网络安全技术检测报告》，每个被检查单位1份，共计15份；

《xx单位网络安全现场检查总结报告》，每个被检查单位1份，共计15份。

3.2服务计划安排

根据项目总体进度安排，安全服务在2021年11月完成招标、合同签署、首付款支付。服务期截至项目工作内容执行完成。服务内容和计划安排如下表所示：

3.3组织实施、保障措施及风险分析

为保证安全服务项目可以在本年度保质保量的完成工作任务，我们将合理配置项目资源进行组织实施，并采取必要的保障措施和风险防控措施，具体内容如下：

（1）组织实施

根据项目招标和项目实施过程中的实际需求，要求中标厂商配备经验丰富的项目经理、技术负责人、安全工程师及安全咨询顾问等，根据项目实际进展情况进行调度安排。

（2）保障措施

该项目实施和运行需要的建设机制、运维机制、人员、经费及培训等保障措施如下：

1）协调机制

① 遵循统一协调，统一安排的原则；

② 准备充分，认真守时，减少对项目进度的影响；

③ 沟通方式：会议座谈、电话、邮件等方式；

④ 会议总结：每次召开座谈会议之后，需要形成规范的会议纪要并发送至项目组主要成员，沟通的邮件要求备份。

2）第三方保障措施

① 关键阶段进行专家评审，根据专家意见进行整改；

③ 定期组织总集、监理会议，沟通项目建设期间存在的问题，及时整改。

（3）风险分析

本项目主要的风险来源于项目范围、质量、进度、技术、项目外部等等方面。当前突出风险如下：

1）根据项目技术、集成、部署等要求，应用系统上线、部署时间存在变化风险；

2）项目本身相关的人或事物对项目造成的影响而产生的其它风险；

3）与项目本身无关，但又会直接影响到项目实施效果的客观因素造成的非系统风险。

及时发现风险，需信息中心、投标人共同研讨规避风险，按时完成计划。

3.4项目实施原则

l  合规性原则

投标人对采购人的提供的服务内容要求进行服务，严格按照相关监管部门和采购人的要求进行，确保实施过程的合法合规。

l  标准性原则

投标人需严格遵循国际、国内相关信息安全标准和行业规范，包括不限于ISO15408 (GB/T18336)、ISO27002(GB/T17916)、ISO27001、ISO13335、SSE-CMM、 GB17859、《风险管理指南》、《风险管理规范》、《信息安全风险评估指南》、《信息安 全风险评估规范》等。

l  规范性原则

投标人在实施工作中的过程和文档，应具有良好的规范性，可以便于项目的跟踪和控制。

l  最小影响原则

投标人在实施过程中应尽可能小的影响业务工作的正常开展。

l  保密性原则

投标人严格按照保密协议的要求，进行评估。对实施过程中的数据和结果严格保密，未经授权不得泄露给任何单位和个人。

3.5项目实施依据

国家法律法规/标准：

《中华人民共和国网络安全法》

《关键信息基础设施安全保护条例》

GB/T 17859-1999 计算机信息系统安全保护等级划分准则

GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求

GB/T 20984-2007 信息安全技术 信息安全风险评估规范

GB/T 19716-2005 信息技术 信息安全管理实用规则

GB/Z 20986-2007 信息安全事件分类分级指南
GB/T18336-2008 信息技术 安全性评估准则
GB/T 20988-2007 信息系统灾难恢复规范

GB/T 31722-2015 信息技术 安全技术 信息安全风险管理

GB/T 35284-2017 信息安全技术 网站身份和系统安全要求与评估方法

国际技术标准：

ISO27000系列

ISO15408 信息技术安全评估准则

OWASP TOP 10  Web 安全应用风险

ISO13335 信息技术-IT安全管理指南

CC-ISO15408 信息技术安全性评估准则

NIST SP 800-30 信息技术系统风险管理指南

NIST SP 800-26 信息技术系统安全自我评估指南