五月天婷婷综合,亚洲视频91,免费国产一区二区在免费观看

遼河油田網絡安全等級保護測評服務項目框架招標

發布時間：2025-09-16

所屬分類：招標公告

所在地區：雙鴨山招標

關鍵詞：工程建筑

遼河油田網絡安全等級保護測評服務項目框架招標

一、招標條件
招標項目中國石油天然氣股份有限公司遼河油田分公司(科技信息部)遼河油田網絡安全等級保護測評服務項目框架招標已按要求履行了相關報批及備案等手續，資金已落實100%自籌資金。該項目已具備招標條件，現擬對該項目進行招標。

二、項目概況與招標范圍：

項目概況：中國石油天然氣集團有限公司網絡安全管理辦法》和《關于開展集團公司2022年網絡安全與數據中心檢查工作的通知》(數信函[2022]24號)均要求集團公司及所屬企業按照國家要求開展網絡安全等級保護工作。項目采購估算額：300萬元（不含稅）。

招標范圍：對遼河油田管轄范圍內的信息化系統、工控系統及電力監控系統進行網絡安全等級保護測評服務、安全風險評估、源代碼安全審計服務。

（一）網絡安全等級保護測評服務

依據《網絡安全法》、GB/T28448-2019《信息安全技術網絡安全等級保護測評要求》等要求，組織開展信息系統二級、三級等級保護測評工作以及相關備案、咨詢等技術服務工作。對遼河油田管轄范圍內的信息化系統、工控系統及電力監控系統進行網絡安全等級保護測評服務。具體工作內容如下：

（1）定級

依據GB/T22240-2020《信息安全技術網絡安全等級保護定級指南》輔助定級；

（2）測評

依據《網絡安全法》、GB/T28448-2019《信息安全技術網絡安全等級保護測評要求》等要求，組織開展信息系統等級保護符合性測評工作。按照公安部制訂的信息系統安全等級測評報告格式編制等級測評報告，在報告中明確各信息系統是否達到相應的等級保護要求，并加蓋公章；

（3）整改建議及方案

未達到安全保護要求的，要提出改進建議，制定整改方案并指導整改單位進一步進行整改，直至等級測評報告報備監管機構。

（二）安全風險評估服務

對遼河油田管轄范圍內的信息化、工業控制、電力監控等系統進行安全風險評估。

依據《信息安全技術信息安全風險評估方法》(GB/T20984-2022)、《電力監控系統安全防護規定》(國家發展改革委員會2014年第14號令)、工業互聯網安全評測相關規范，并參考網絡安全等級保護要求開展如下評估項：資產評估、威脅評估、通用應用脆弱性評估、基礎設施安全脆弱性評估、體系結構安全脆弱性評估、系統本體安全脆弱性評估、全面安全管理脆弱性評估、安全應急能力評估、現有安全措施有效性評估等。出具《系統安全防護評估報告》。

（三）源代碼安全審計服務

源代碼審計（CodeReview）是由具備豐富編碼經驗并對安全編碼原則及應用安全具有深刻理解的安全服務人員對系統的源代碼和軟件架構的安全性、可靠性進行全面的安全檢查。

對管轄范圍內的信息化系統及工控系統發生升級、添加新功能及新增系統上線等變更操作時，進行上線前的源代碼安全審計，通過審計，使開發人員能夠了解各種語言安全編碼常識，明確安全缺陷種類，以及安全缺陷的描述、產生原因、導致后果以及如何防范與避免。通過源代碼深度檢測、評估等服務，保障系統應用本質安全。

源代碼審計服務的目的在于充分挖掘當前代碼中存在的安全缺陷以及規范性缺陷，從而讓開發人員了解其開發的應用系統可能會面臨的威脅，并指導開發人員正確修復程序缺陷。標段（標包）劃分:無。

服務期限：本項目框架協議中標結果有效期限為自中標通知書發放之日起至2027年12月31日。

實施地點：遼河油田各所屬單位。

主要技術要求或技術方案：

（一）技術標準

包括擔不限于以下標準與規范：

GB/T22240-2020《信息安全技術網絡安全等級保護定級指南》；

GB/T28448-2019《信息安全技術網絡安全等級保護測評要求》；

GB/T20984-2022《信息安全技術信息安全風險評估方法》

GB/T34944-2017《源代碼漏洞測試規范》

GB/T36466-2018《工業控制系統風險評估實施指南》

GB/T44462.2-2024《工業互聯網企業網絡安全第2部分：平臺企業防護要求》

GB/T36466-2018《工業控制系統風險評估實施指南》

GB/T42456-2023《工業自動化和控制系統信息安全IACS組件的安全技術要求》

（二）技術要求

依據GB/T22240-2020《信息安全技術網絡安全等級保護定級指南》輔助定級；

GB/T28448-2019《信息安全技術網絡安全等級保護測評要求》，組織開展信息系統等級保護符合性測評工作；

按照公安部制訂的信息系統安全等級測評報告格式編制等級測評報告；

依據《信息安全技術信息安全風險評估方法》(GB/T20984-2022)、《電力監控系統安全防護規定》(國家發展改革委員會2014年第14號令)、工業互聯網安全評測相關規范，組織開展安全風險評估工作；

依據GB/T34944-2017《源代碼漏洞測試規范》，組織開展源代碼安全審計工作；

未達到安全保護要求的，要提出改進建議，制定整改方案并指導整改單位進一步進行整改，直至整改合格。

（三）技術服務要求

（1）網絡安全等級保護測評服務

依據《網絡安全法》、GB/T28448-2019《信息安全技術網絡安全等級保護測評要求》，組織開展信息系統進行網絡安全差距測評和保護符合性測評工作，按照“安全物理環境”、“安全通信網絡”、“安全區域邊界”、“安全計算環境”、“安全管理中心”、“安全管理制度”、“安全管理機構”、“安全管理人員”、“安全建設管理”和“安全運維管理”等十個層面的要求信息系統等級保護符合性測評工作。具體工作內容如下：

1）材料準備：與業主單位、系統承建單位了解建設情況，開展系統調研工作，按照《高風險判定指引》等標準進行溝通討論，形成《調研表》；

2）方案編制和確認：依據調研結果形成安全檢查方案，并與安全負責人確認；

3）安全物理環境檢查：由機房管理員配合對物理機房安全防護措施現場檢查，主要包括：是否具備防水、防潮、防火、防靜電、防雷擊、防盜竊、防破壞、溫濕度控制、訪問控制等能力；

4）安全通信網絡檢查：由網絡管理人員配合對系統的網絡架構、通信傳輸現場檢查，主要包括：網絡劃分情況和與其他系統隔離情況；

5）安全區域邊界檢查：由安全管理員或系統部署相關技術人員配合對系統網絡安全防護進行檢查，主要包括：邊界防護、訪問控制、入侵防范、惡意代碼防護、安全審計等；

6）安全計算環境檢查：由相關設備負責人配合登錄網絡設備、安全設備、服務器等設備，以及數據庫、應用系統等，并對安全配置進行檢查；

7）安全管理中心檢查：由安全負責人或系統部署相關技術人員配合對系統管理和審計管理部分進行檢查；

8）安全管理制度檢查：對管理制度和記錄表單進行檢查。管理制度安全檢查部分主要包括：安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理等五部分；

9）驗證測試：對系統相關網絡設備、安全設備、服務器、數據庫、應用系統等進行漏洞掃描，且在授權的情況下由相關技術人員配合設備接入，啟動漏掃工作；

10）編制整改建議反饋表：根據現場對系統安全安全檢查中發現問題的嚴重程度及對業務風險的高低進行綜合分析，提出的削減風險的技術與管理的安全建議與措施，指導協助實施信息系統的安全整改與加固，并出具《整改建議反饋表》；

11）整改：依據《整改建議反饋表》提出的問題被測單位協調系統集成廠商進行整改；

12）復測：對現場安全檢查和驗證測試發現的問題進行回歸測試，具體時間視整改時間而定；

13）報告交接：安全檢查報告交接。

（2）安全風險評估服務

1）資產評估

資產評估對象包括：網絡、主機、安全防護措施、應用系統等。根據安全防護評估有關技術要求，資產評估主要考慮兩個方面的內容：一是信息系統中所存儲、處理、傳輸的主要信息，二是信息系統所提供的主要服務。通過對每一類信息和服務等級的分析，最終確定信息系統的重要性級別。資產評估具體步驟包括：資產數據整理與核實、資產重要程度分析。其中，資產數據整理與核實是根據被評估單位前期提交的資料，進行資產數據的真實性的查證與確認。資產重要程度分析是根據資產承載的數據、提供的服務，判定資產重要程度的過程。

2）威脅評估

威脅評估是對被評估單位業務系統、網絡與信息系統面臨的威脅進行分析的過程。威脅評估依據安全防護評估規范提供的威脅列表，以運行與管理人員訪談的方式進行。如被評估單位能夠提供歷史信息安全事件統計，也可作為威脅評估的補充內容。通過威脅評估，要達到明確被評估單位信息系統面臨的主要威脅，以及這些威脅的等級的目的。

3）通用應用脆弱性評估

通用應用評估是對信息系統中的數據庫服務、Web服務等通用應用進行的安全配置檢查，達到發現通用應用安全漏洞的目的。通用應用評估也采用人工審計和漏洞掃描兩種方式進行。服務商應證明其具備安全漏洞的挖掘能力，并能夠提供官方證明。派駐本項目實施的人員應具備對應用系統開展滲透測試的能力，能夠完全勝任本項目電力監控系統安全防護評估工作。

4）基礎設施安全脆弱性評估

基礎設施評估是對電力監控系統所處機房的物理安全防護情況，包括防水、防潮、防火、防靜電、防雷擊、防盜竊、防破壞措施實施情況，電子門禁的使用情況等進行評估。

電力監控系統設備及線纜的部署情況，包括服務器、網絡設備、安全設備的安裝情況，通信線纜和電源線的鋪設情況，設備電力供應情況等。

5）體系結構安全脆弱性評估

體系結構評估應重點檢查16字方針“安全分區、網絡專用、橫向隔離、縱向認證”的落實情況，重點針對網絡邊界防護措施、橫向隔離、縱向認證等關鍵防護措施的執行情況，安全接入區的設置情況、無線網絡防護等。

6）系統本體安全脆弱性評估

系統本體安全評估是對系統自身安全防護情況，包括軟、硬件使用和策略配置等進行評估：

①　移動存儲介質使用情況，包括硬盤、U盤或其它存儲設備；

②　操作系統、網絡設備、應用系統用戶口令使用情況；

③　操作系統、網絡設備、應用系統用戶權限分配情況；

④　主機、交換機、路由器等設備、應用系統的安全策略配置及加固情況，尤其是Windows系統、非國產網絡及安全設備。

⑤　終端檢測：主要為抽查被評估單位監控終端和辦公終端是否有駐留木馬、蠕蟲、惡意軟件，是否存在自定義共享文件夾，系統補丁是否及時更新安裝，關鍵工作文件存放是否恰當等情況。主要通過人工查看和工具檢測兩種方式來進行。

⑥　外設檢測：主要檢測帶有硬盤、內存或其它存儲設備和簡易操作系統的網絡打印機、傳真機等智能設備。

7）全面安全管理脆弱性評估

全面安全管理評估是從管理角度對電力監控系統概況進行評估，重點檢查安全防護規定落實情況；

制度建立及主管領導、管理機構和工作人員履職情況，信息安全責任制落實情況；

運維人員的安全管控情況；

電力監控系統安全防護評估工作開展情況；

信息安全宣傳教育、領導干部及各級人員網絡與信息安全基礎培訓、信息安全人員專業技術培訓情況等。

8）安全應急能力脆弱性評估

安全應急能力評估是對系統的安全有效性、業務的連續性和備用、災備能力進行評估。服務機構應具有網絡安全應急保障能力和網絡安全應急預案咨詢服務能力。

備用與容災能力的建設情況，包括系統的冗余設備部署情況，設備配置的備份情況等；

網絡與信息安全應急預案的制定、修訂情況，包括應急預案是否健全，是否具有針對性和可操作性等；

應急技術支撐隊伍建設、應急演練的執行情況；

重大網絡安全事件處置情況。

9）現有安全措施有效性評估

現有安全措施有效性評估是對信息系統中部署的主要安全防護措施進行的審計，達到確定這些安全措施的管理和使用情況是否存在重大漏洞和缺陷，明確現有安全措施的有效性程度的目的。現有安全措施的評估主要采用人工檢查和訪談的方式進行。主要包括防火墻、防病毒系統、入侵檢測/防御裝置、防病毒網關、單向隔離裝置、縱向認證裝置等現有安全措施。

（3）源代碼安全審計服務

1）前期準備：確定審計對象、審計方式和時間。

2）代碼審計實施：源代碼掃描、人工代碼審計。

3）復測階段：回歸檢查（二次復查）。

4）成果匯報：審計服務完結。

5）代碼審計服務內容

①　系統所用開源框架

包括反序列化漏洞，遠程代碼執行漏洞，spring、struts2安全漏洞，PHP安全漏洞等

②　應用代碼關注要素

日志偽造漏洞，密碼明文存儲，資源管理，調試程序殘留，二次注入，反序列化。

API濫用

③　不安全的數據庫調用、隨機數創建、內存管理調用、字符串操作，危險的系統方法調用。