2025年遼河油田網(wǎng)絡安全等級保護測評服務項目框架招標

一、招標條件
招標項目中國石油天然氣股份有限公司遼河油田分公司(科技信息部)遼河油田網(wǎng)絡安全等級保護測評服務項目框架招標已按要求履行了相關報批及備案等手續(xù)，資金已落實100%自籌資金。該項目已具備招標條件，現(xiàn)擬對該項目進行招標。

二、項目概況與招標范圍：

項目概況：中國石油天然氣集團有限公司網(wǎng)絡安全管理辦法》和《關于開展集團公司2022年網(wǎng)絡安全與數(shù)據(jù)中心檢查工作的通知》(數(shù)信函[2022]24號)均要求集團公司及所屬企業(yè)按照國家要求開展網(wǎng)絡安全等級保護工作。項目采購估算額：300萬元（不含稅）。

招標范圍：對遼河油田管轄范圍內(nèi)的信息化系統(tǒng)、工控系統(tǒng)及電力監(jiān)控系統(tǒng)進行網(wǎng)絡安全等級保護測評服務、安全風險評估、源代碼安全審計服務。

（一）網(wǎng)絡安全等級保護測評服務

依據(jù)《網(wǎng)絡安全法》、GB/T28448-2019《信息安全技術網(wǎng)絡安全等級保護測評要求》等要求，組織開展信息系統(tǒng)二級、三級等級保護測評工作以及相關備案、咨詢等技術服務工作。對遼河油田管轄范圍內(nèi)的信息化系統(tǒng)、工控系統(tǒng)及電力監(jiān)控系統(tǒng)進行網(wǎng)絡安全等級保護測評服務。具體工作內(nèi)容如下：

（1）定級

依據(jù)GB/T22240-2020《信息安全技術網(wǎng)絡安全等級保護定級指南》輔助定級；

（2）測評

依據(jù)《網(wǎng)絡安全法》、GB/T28448-2019《信息安全技術網(wǎng)絡安全等級保護測評要求》等要求，組織開展信息系統(tǒng)等級保護符合性測評工作。按照公安部制訂的信息系統(tǒng)安全等級測評報告格式編制等級測評報告，在報告中明確各信息系統(tǒng)是否達到相應的等級保護要求，并加蓋公章；

（3）整改建議及方案

未達到安全保護要求的，要提出改進建議，制定整改方案并指導整改單位進一步進行整改，直至等級測評報告報備監(jiān)管機構(gòu)。

（二）安全風險評估服務

對遼河油田管轄范圍內(nèi)的信息化、工業(yè)控制、電力監(jiān)控等系統(tǒng)進行安全風險評估。

依據(jù)《信息安全技術信息安全風險評估方法》(GB/T20984-2022)、《電力監(jiān)控系統(tǒng)安全防護規(guī)定》(國家發(fā)展改革委員會2014年第14號令)、工業(yè)互聯(lián)網(wǎng)安全評測相關規(guī)范，并參考網(wǎng)絡安全等級保護要求開展如下評估項：資產(chǎn)評估、威脅評估、通用應用脆弱性評估、基礎設施安全脆弱性評估、體系結(jié)構(gòu)安全脆弱性評估、系統(tǒng)本體安全脆弱性評估、全面安全管理脆弱性評估、安全應急能力評估、現(xiàn)有安全措施有效性評估等。出具《系統(tǒng)安全防護評估報告》。

（三）源代碼安全審計服務

源代碼審計（CodeReview）是由具備豐富編碼經(jīng)驗并對安全編碼原則及應用安全具有深刻理解的安全服務人員對系統(tǒng)的源代碼和軟件架構(gòu)的安全性、可靠性進行全面的安全檢查。

對管轄范圍內(nèi)的信息化系統(tǒng)及工控系統(tǒng)發(fā)生升級、添加新功能及新增系統(tǒng)上線等變更操作時，進行上線前的源代碼安全審計，通過審計，使開發(fā)人員能夠了解各種語言安全編碼常識，明確安全缺陷種類，以及安全缺陷的描述、產(chǎn)生原因、導致后果以及如何防范與避免。通過源代碼深度檢測、評估等服務，保障系統(tǒng)應用本質(zhì)安全。

源代碼審計服務的目的在于充分挖掘當前代碼中存在的安全缺陷以及規(guī)范性缺陷，從而讓開發(fā)人員了解其開發(fā)的應用系統(tǒng)可能會面臨的威脅，并指導開發(fā)人員正確修復程序缺陷。標段（標包）劃分:無。

服務期限：本項目框架協(xié)議中標結(jié)果有效期限為自中標通知書發(fā)放之日起至2027年12月31日。

實施地點：遼河油田各所屬單位。

主要技術要求或技術方案：

（一）技術標準

包括擔不限于以下標準與規(guī)范：

GB/T22240-2020《信息安全技術網(wǎng)絡安全等級保護定級指南》；

GB/T28448-2019《信息安全技術網(wǎng)絡安全等級保護測評要求》；

GB/T20984-2022《信息安全技術信息安全風險評估方法》

GB/T34944-2017《源代碼漏洞測試規(guī)范》

GB/T36466-2018《工業(yè)控制系統(tǒng)風險評估實施指南》

GB/T44462.2-2024《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全第2部分：平臺企業(yè)防護要求》

GB/T36466-2018《工業(yè)控制系統(tǒng)風險評估實施指南》

GB/T42456-2023《工業(yè)自動化和控制系統(tǒng)信息安全IACS組件的安全技術要求》

（二）技術要求

依據(jù)GB/T22240-2020《信息安全技術網(wǎng)絡安全等級保護定級指南》輔助定級；

GB/T28448-2019《信息安全技術網(wǎng)絡安全等級保護測評要求》，組織開展信息系統(tǒng)等級保護符合性測評工作；

按照公安部制訂的信息系統(tǒng)安全等級測評報告格式編制等級測評報告；

依據(jù)《信息安全技術信息安全風險評估方法》(GB/T20984-2022)、《電力監(jiān)控系統(tǒng)安全防護規(guī)定》(國家發(fā)展改革委員會2014年第14號令)、工業(yè)互聯(lián)網(wǎng)安全評測相關規(guī)范，組織開展安全風險評估工作；

依據(jù)GB/T34944-2017《源代碼漏洞測試規(guī)范》，組織開展源代碼安全審計工作；

未達到安全保護要求的，要提出改進建議，制定整改方案并指導整改單位進一步進行整改，直至整改合格。

（三）技術服務要求

（1）網(wǎng)絡安全等級保護測評服務

依據(jù)《網(wǎng)絡安全法》、GB/T28448-2019《信息安全技術網(wǎng)絡安全等級保護測評要求》，組織開展信息系統(tǒng)進行網(wǎng)絡安全差距測評和保護符合性測評工作，按照“安全物理環(huán)境”、“安全通信網(wǎng)絡”、“安全區(qū)域邊界”、“安全計算環(huán)境”、“安全管理中心”、“安全管理制度”、“安全管理機構(gòu)”、“安全管理人員”、“安全建設管理”和“安全運維管理”等十個層面的要求信息系統(tǒng)等級保護符合性測評工作。具體工作內(nèi)容如下：

1）材料準備：與業(yè)主單位、系統(tǒng)承建單位了解建設情況，開展系統(tǒng)調(diào)研工作，按照《高風險判定指引》等標準進行溝通討論，形成《調(diào)研表》；

2）方案編制和確認：依據(jù)調(diào)研結(jié)果形成安全檢查方案，并與安全負責人確認；

3）安全物理環(huán)境檢查：由機房管理員配合對物理機房安全防護措施現(xiàn)場檢查，主要包括：是否具備防水、防潮、防火、防靜電、防雷擊、防盜竊、防破壞、溫濕度控制、訪問控制等能力；

4）安全通信網(wǎng)絡檢查：由網(wǎng)絡管理人員配合對系統(tǒng)的網(wǎng)絡架構(gòu)、通信傳輸現(xiàn)場檢查，主要包括：網(wǎng)絡劃分情況和與其他系統(tǒng)隔離情況；

5）安全區(qū)域邊界檢查：由安全管理員或系統(tǒng)部署相關技術人員配合對系統(tǒng)網(wǎng)絡安全防護進行檢查，主要包括：邊界防護、訪問控制、入侵防范、惡意代碼防護、安全審計等；

6）安全計算環(huán)境檢查：由相關設備負責人配合登錄網(wǎng)絡設備、安全設備、服務器等設備，以及數(shù)據(jù)庫、應用系統(tǒng)等，并對安全配置進行檢查；

7）安全管理中心檢查：由安全負責人或系統(tǒng)部署相關技術人員配合對系統(tǒng)管理和審計管理部分進行檢查；

8）安全管理制度檢查：對管理制度和記錄表單進行檢查。管理制度安全檢查部分主要包括：安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設管理、安全運維管理等五部分；

9）驗證測試：對系統(tǒng)相關網(wǎng)絡設備、安全設備、服務器、數(shù)據(jù)庫、應用系統(tǒng)等進行漏洞掃描，且在授權(quán)的情況下由相關技術人員配合設備接入，啟動漏掃工作；

10）編制整改建議反饋表：根據(jù)現(xiàn)場對系統(tǒng)安全安全檢查中發(fā)現(xiàn)問題的嚴重程度及對業(yè)務風險的高低進行綜合分析，提出的削減風險的技術與管理的安全建議與措施，指導協(xié)助實施信息系統(tǒng)的安全整改與加固，并出具《整改建議反饋表》；

11）整改：依據(jù)《整改建議反饋表》提出的問題被測單位協(xié)調(diào)系統(tǒng)集成廠商進行整改；

12）復測：對現(xiàn)場安全檢查和驗證測試發(fā)現(xiàn)的問題進行回歸測試，具體時間視整改時間而定；

13）報告交接：安全檢查報告交接。

（2）安全風險評估服務

1）資產(chǎn)評估
**信息由招標與采購網(wǎng)發(fā)布**此行內(nèi)容正式會員可見，請登錄中國招標與采購網(wǎng)后查看**
資產(chǎn)評估對象包括：網(wǎng)絡、主機、安全防護措施、應用系統(tǒng)等。根據(jù)安全防護評估有關技術要求，資產(chǎn)評估主要考慮兩個方面的內(nèi)容：一是信息系統(tǒng)中所存儲、處理、傳輸?shù)闹饕畔?，二是信息系統(tǒng)所提供的主要服務。通過對每一類信息和服務等級的分析，最終確定信息系統(tǒng)的重要性級別。資產(chǎn)評估具體步驟包括：資產(chǎn)數(shù)據(jù)整理與核實、資產(chǎn)重要程度分析。其中，資產(chǎn)數(shù)據(jù)整理與核實是根據(jù)被評估單位前期提交的資料，進行資產(chǎn)數(shù)據(jù)的真實性的查證與確認。資產(chǎn)重要程度分析是根據(jù)資產(chǎn)承載的數(shù)據(jù)、提供的服務，判定資產(chǎn)重要程度的過程。

2）威脅評估

威脅評估是對被評估單位業(yè)務系統(tǒng)、網(wǎng)絡與信息系統(tǒng)面臨的威脅進行分析的過程。威脅評估依據(jù)安全防護評估規(guī)范提供的威脅列表，以運行與管理人員訪談的方式進行。如被評估單位能夠提供歷史信息安全事件統(tǒng)計，也可作為威脅評估的補充內(nèi)容。通過威脅評估，要達到明確被評估單位信息系統(tǒng)面臨的主要威脅，以及這些威脅的等級的目的。

3）通用應用脆弱性評估

通用應用評估是對信息系統(tǒng)中的數(shù)據(jù)庫服務、Web服務等通用應用進行的安全配置檢查，達到發(fā)現(xiàn)通用應用安全漏洞的目的。通用應用評估也采用人工審計和漏洞掃描兩種方式進行。服務商應證明其具備安全漏洞的挖掘能力，并能夠提供官方證明。派駐本項目實施的人員應具備對應用系統(tǒng)開展?jié)B透測試的能力，能夠完全勝任本項目電力監(jiān)控系統(tǒng)安全防護評估工作。

4）基礎設施安全脆弱性評估

基礎設施評估是對電力監(jiān)控系統(tǒng)所處機房的物理安全防護情況，包括防水、防潮、防火、防靜電、防雷擊、防盜竊、防破壞措施實施情況，電子門禁的使用情況等進行評估。

電力監(jiān)控系統(tǒng)設備及線纜的部署情況，包括服務器、網(wǎng)絡設備、安全設備的安裝情況，通信線纜和電源線的鋪設情況，設備電力供應情況等。

5）體系結(jié)構(gòu)安全脆弱性評估

體系結(jié)構(gòu)評估應重點檢查16字方針“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”的落實情況，重點針對網(wǎng)絡邊界防護措施、橫向隔離、縱向認證等關鍵防護措施的執(zhí)行情況，安全接入?yún)^(qū)的設置情況、無線網(wǎng)絡防護等。

6）系統(tǒng)本體安全脆弱性評估

系統(tǒng)本體安全評估是對系統(tǒng)自身安全防護情況，包括軟、硬件使用和策略配置等進行評估：

①　移動存儲介質(zhì)使用情況，包括硬盤、U盤或其它存儲設備；

②　操作系統(tǒng)、網(wǎng)絡設備、應用系統(tǒng)用戶口令使用情況；

③　操作系統(tǒng)、網(wǎng)絡設備、應用系統(tǒng)用戶權(quán)限分配情況；

④　主機、交換機、路由器等設備、應用系統(tǒng)的安全策略配置及加固情況，尤其是Windows系統(tǒng)、非國產(chǎn)網(wǎng)絡及安全設備。

⑤　終端檢測：主要為抽查被評估單位監(jiān)控終端和辦公終端是否有駐留木馬、蠕蟲、惡意軟件，是否存在自定義共享文件夾，系統(tǒng)補丁是否及時更新安裝，關鍵工作文件存放是否恰當?shù)惹闆r。主要通過人工查看和工具檢測兩種方式來進行。

⑥　外設檢測：主要檢測帶有硬盤、內(nèi)存或其它存儲設備和簡易操作系統(tǒng)的網(wǎng)絡打印機、傳真機等智能設備。

7）全面安全管理脆弱性評估

全面安全管理評估是從管理角度對電力監(jiān)控系統(tǒng)概況進行評估，重點檢查安全防護規(guī)定落實情況；

制度建立及主管領導、管理機構(gòu)和工作人員履職情況，信息安全責任制落實情況；

運維人員的安全管控情況；

電力監(jiān)控系統(tǒng)安全防護評估工作開展情況；

信息安全宣傳教育、領導干部及各級人員網(wǎng)絡與信息安全基礎培訓、信息安全人員專業(yè)技術培訓情況等。

8）安全應急能力脆弱性評估

安全應急能力評估是對系統(tǒng)的安全有效性、業(yè)務的連續(xù)性和備用、災備能力進行評估。服務機構(gòu)應具有網(wǎng)絡安全應急保障能力和網(wǎng)絡安全應急預案咨詢服務能力。

備用與容災能力的建設情況，包括系統(tǒng)的冗余設備部署情況，設備配置的備份情況等；

網(wǎng)絡與信息安全應急預案的制定、修訂情況，包括應急預案是否健全，是否具有針對性和可操作性等；

應急技術支撐隊伍建設、應急演練的執(zhí)行情況；

重大網(wǎng)絡安全事件處置情況。

9）現(xiàn)有安全措施有效性評估

現(xiàn)有安全措施有效性評估是對信息系統(tǒng)中部署的主要安全防護措施進行的審計，達到確定這些安全措施的管理和使用情況是否存在重大漏洞和缺陷，明確現(xiàn)有安全措施的有效性程度的目的。現(xiàn)有安全措施的評估主要采用人工檢查和訪談的方式進行。主要包括防火墻、防病毒系統(tǒng)、入侵檢測/防御裝置、防病毒網(wǎng)關、單向隔離裝置、縱向認證裝置等現(xiàn)有安全措施。

（3）源代碼安全審計服務

1）前期準備：確定審計對象、審計方式和時間。

2）代碼審計實施：源代碼掃描、人工代碼審計。

3）復測階段：回歸檢查（二次復查）。

4）成果匯報：審計服務完結(jié)。

5）代碼審計服務內(nèi)容

①　系統(tǒng)所用開源框架

包括反序列化漏洞，遠程代碼執(zhí)行漏洞，spring、struts2安全漏洞，PHP安全漏洞等

②　應用代碼關注要素

日志偽造漏洞，密碼明文存儲，資源管理，調(diào)試程序殘留，二次注入，反序列化。

API濫用

③　不安全的數(shù)據(jù)庫調(diào)用、隨機數(shù)創(chuàng)建、內(nèi)存管理調(diào)用、字符串操作，危險的系統(tǒng)方法調(diào)用。

④　源代碼設計

不安全的域、方法、類修飾符未使用的外部引用、代碼。

⑤　錯誤處理不當

程序異常處理、返回值用法、空指針、日志記錄。

⑥　直接對象引用

直接引用數(shù)據(jù)庫中的數(shù)據(jù)、文件系統(tǒng)、內(nèi)存空間。

⑦　資源濫用

不安全的文件創(chuàng)建／修改／刪除，競爭沖突，內(nèi)存泄露。

⑧　業(yè)務邏輯錯誤

欺騙密碼找回功能，規(guī)避交易限制,越權(quán)缺陷Cookies和session的問題。

⑨　規(guī)范性權(quán)限配置

數(shù)據(jù)庫配置規(guī)范，Web服務的權(quán)限配置SQL語句編寫規(guī)范。

（四）其他服務要求

服務期內(nèi)，投標人須向招標人提供具有數(shù)據(jù)分析能力等保合規(guī)自測類工具、源代碼安全審計工具，便于招標人對未開展等保測評系統(tǒng)進行進行網(wǎng)絡安全自測自查和系統(tǒng)源代碼審計，利用合規(guī)自測工具對安全風險進行識別和分析，識別未測評系統(tǒng)的潛在安全風險，實現(xiàn)用數(shù)據(jù)說話、用數(shù)據(jù)決策、用數(shù)據(jù)管理。

三、投標人資格要求

投標人應為中華人民共和國境內(nèi)注冊的法人或其他組織，具有承擔民事責任的能力（法人企業(yè)分支機構(gòu)等不具備法人資格的投標人參與投標時，應提供對應法人企業(yè)法定代表人身份證明及法定代表人出具的授權(quán)委托書方可參與投標）。提供統(tǒng)一社會信用代碼的營業(yè)執(zhí)照掃描件或其他證明設立登記的許可文件。

資質(zhì)要求:投標人須具有公安部第三研究所頒發(fā)的網(wǎng)絡安全服務認證證書（等級保護測評服務認證）、國家網(wǎng)絡安全審查與認證中心（CCRC）或中國信息安全測評中心頒發(fā)的信息安全風險評估服務資質(zhì)證書，提供證書復印件、官網(wǎng)查詢截圖及鏈接（官網(wǎng)查詢鏈接https://www.djbh.net/）；

未被責令停產(chǎn)停業(yè)、暫扣或者吊銷許可證、暫扣或者吊銷執(zhí)照的；未進入清算程序，或未被宣告破產(chǎn)，或其他未喪失履約能力的情形；投標人應提供2024年經(jīng)會計師事務所或?qū)徲嫏C構(gòu)審計的財務狀況表。成立日期晚于年1月1日的，從成立年開始提供。

2022年1月1日至投標截止日前30日完成過類似項目至少1項。（提供業(yè)績合同和結(jié)算發(fā)票，合簽訂和發(fā)票開具時間均在此區(qū)間內(nèi)）…

四、招標文件獲取

4.1招標文件發(fā)售期為2025年9月15日至2025年9月22日23:59:59。

4.2招標文件售價每標段200元人民幣，招標文件一經(jīng)售出，概不退款。

五、投標文件的遞交

5.1所有投標文件應于2025年9月29日08:30:00（北京時間，24小時制）之前。

本招標項目僅供正式會員查看，您的權(quán)限不能瀏覽詳細信息，請聯(lián)系辦理會員入網(wǎng)事宜，成為正式會員后可下載詳細招標、報名表格、項目附件和部分項目招標文件等。
聯(lián)系人：郝亮
手機：13146799092(微信同號)
郵箱：1094372637@qq.com