服务内容及技术指标要求

一、采购需求

1.1服务对象

重庆出入境检验检疫局所有信息化系统及相关设备（包括应用软

件、服务器、网络设备及安全设备等）。

1.2服务内容概述

1.等级保护安全服务

（2）承担等级保护测评费用并配合我局通过等保三级测评工作：负责联系重庆有资质

的测评机构对我局定为等保三级的业务系统进行等级保护测评工作。

2.年度安全服务

（1）定期安全评估服务（每半年一次，一年共计2次）

（2）安全咨询服务（①新系统上线、网络架构调整时，进行安全域规划，新系统安全

检查；②文件解读，对上级机关或监管到位关于信息安全方面的文件进行全面的解读，协助

完成文件所要求的信息安全事宜）

（3）日常安全服务（①定期安全设备的巡检，每季度一次，出具巡检报告；②安全通告：遇国内外重大安全事件时，实时告知客户，进行有效的预防；）

（4）安全应急服务（①遇到重大节假日（两会、国庆等），提供重点安全保障；②遇到实时安全事件，承诺现场故障排查服务）

3.机房监控系统加固与完善

按机房安全监控的相关要求，完善我局及分支机构机房监控系统（各分支局、办事处

及部分直属单位机房办公场所的安装），增加十四个网络监控摄像头，中标单位承担我局及分支机构、办事处、部分直属机构机房的摄像头购买和安装实施工作，摄像头品牌及型号按

照机房监控等保要求的技术参数指标。

二、服务详细要求

2.1安全评估服务

对我局的的安全评估应涵盖管理层面、网络层面、主机/终端层面、数据与应用层面以

及物理层面。

(1)网络层安全评估

网络层安全是指包括路由器、交换机、通信线路等在内的信息系统网络环境的安全。该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证、网络资源的访问控制、

数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段及网络设施防病毒等。本期工程安全评估通过分析安全隐患，设计加固阶段所需要的

网络配置调整和加固方案。网络层评估的内容包含如下几项：

网络建设的规范性

网络的可靠性

网络边界安全

(2)主机/终端层安全评估

主机层安全是指包括服务器、终端/工作站、网络设备以及安全

设备/系统在内的所有计算机设备在操作系统及数据库系统层面的安全。该层次的安全问题主要表现在两方面：

身份认证、访问控制、系统漏洞等；

二是对操作系统的安全配置问题；

2.2等级保护安全整改

1系统整改

评工作，最终获取测评报告。

2.3安全咨询服务

1、新系统上线检查

系统入网安全验收应对我局入网设备进行安全检查和测试，包括：网络安全架构检查、帐号安全检查、服务端口检查、防火墙策略检查、防病毒软件检查、系统日志安全检查、漏洞扫描检查、安全配置检查、弱口令检查和渗透测试。其中防病毒软件检查仅针对Win dows

系统设备，渗透检查可根据实际情况选择进行。

2、安全域规划

对我局网络架构进行检查，检查项包括对安全域及防火墙、路由器配置进行检查，检验

其是否依照建设方案建设(设计方案应符合安全域要求) ，安全域拓扑、安全域内资产情况、VLAN访问控制策略、边界互联情况。内容包括但不限于网络结构评估、设备配置检查、帐号口令核查、设备安全功能检验、外部渗透测试等，过程包括评估、验收、问题的整改和处理。

3、文件政策解读

针对监管部门下发的专项通知及红头文件，向我局提供最新、及时的解读文件，满足合规性要求。

2.4 日常安全服务

1、安全巡检对我局机房进行安全巡检，主要巡检的设备类型有：主机、网络设备、安全设备等。

安全巡检内容通常包括但不限于以下方面：硬件状态检查。包括设备电源状态、网络接口状态、设备所在物理环境状态等。

性能负载检查。包括CPU内存的占用率、日志存储空间的占用率等。

2、安全通告

提供安全通告服务，通过邮件、WEB网站或电话等方式，为检疫

局提供及时的、针对性的各类安全信息，帮助我局及时的了解最新安全动态，并帮助进行补丁更新，及时地做好安全调整，完善安全保护措施。

系统漏洞安全通告（Windows、AIX、Linux 、Solaris 等）应

用漏洞安全通告（Oracle 、SQLServer 、Sybase、

Weblogic 、Apache等）产品漏洞安全通告（Cisco、华为、防火

墙、入侵检测等）行业安全事件通告（行业发生的热点安全事件通

告与分析）

2.5 应急响应服务

应急响应和灾难恢复应采用以下方式进行：远程+现场响应，现场恢复远程+现场响应，远程+现场恢复

在客户需要的状况下，我们将协助客户进行入侵追踪和犯罪取证工作，对入侵者给与法律的惩罚。入侵追踪和取证主要通过以下方式进行：

隔离和分析系统安全日志，追踪入侵源；隔离和分析入侵破坏痕迹，追踪入侵源；安全服务人员处理应急安全事件之后，应依据我局系统的安全性和威胁，提供相应的事后安全分析和可行性安全建议，并进行事后安全加固帮助我局解决存在的或者可能存在的安全问题。

每次应急响应服务之后，应提供《应急响应服务报告》。

三、项目验收

3.1 完成以上具体服务内容，达到相应技术指标。

3.2 由获得国家等级保护测评资质的合法机构进行测评，并使我局等级保护测评符合项率达到80% 以上，提供相应测评通过报告。