宝丽华二期锅炉技术协议-中煤招标.doc

大海则煤矿110KV变电站电力监控信息系统安全等级保护测评技术规范书招 标 人：2018年01月2投标人资质要求：（一）基本资格要求1投标人应为中国境内注册机构，具有独立法人资格。2具有完善的质量管理体系，必须持有国家认定的资质机构颁发的ISO9001质量管理体系认证证书或等同的质量管理体系认证证书。3最近三年内没有发生骗取中标、严重违约等不良行为。4没有处于被责令停业，财产被接管、冻结及破产状态。5具有良好的银行资信和商业信誉，经营状况良好。6投标人与招标人不存在现实的或潜在的利益冲突。（二）专项资格要求1投标人应是专业从事系统集成的机构，有固定的工作场所和长期稳定的经验丰富的项目团队。2投标人为外资企业的，应在中国境内设立分支机构5年以上。3、测评机构须具有信息安全风险评估服务一级资质；4、具有国家级信息安全等级保护测评机构推荐证书；5、投标人注册资本金应在人民币1000万元及以上。6投标人应具有近三年内同类项目的实施经验和成功案例，提供相关证明材料。7投标人应具备驻项目建设单位所在地进行现场服务的能力。8投标人拟选派参与本项目实施服务的现场项目经理应具有同类项目的项目经理工作经历。9本项目不接受联合体投标。附件1 技术规范1 总则1.1 项目背景为了落实国家公安部信息安全等级保护管理办法（公通字200743号）、国家能源局国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知（国能安全201536号）等相关文件要求，提高电力监控系统安全防护水平，防止因电力监控系统安全事件引发电力安全事故，大海则煤矿110KV变电站（以下简称甲方）编制本技术规范书，对本公司电力信息系统进行电力监控系统安全评估（以下简称评估）项目提出规范、技术要求和说明。项目全称为：1电力监控系统信息安全等级保护测评。1.2 工作目标大海则煤矿110KV变电站电力监控信息系统等级保护测评项目的总体目标为：从风险管理角度，运用科学的方法和手段，系统地分析电力监控系统信息所面临的威胁及其存在的脆弱性，评估信息安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护策略和整改措施，为防范和化解信息安全风险、将风险控制在可接受的水平、最大限度地防止由于电力监控系统信息安全事件引发电力安全事故、全面提升电力监控系统安全防护水平提供科学依据。1.3 一般规定1） 实施方（以下简称乙方）应仔细阅读本技术规范书所列的各项规范，所提供的安全服务应满足本技术规范书提出的要求，乙方也可以推荐满足本技术规范的其他方案，但必须对其与本技术规范书的差异加以详细说明；若无说明，则按对乙方不利的方面理解。2） 本技术规范书由甲方提供给乙方，作为乙方编写项目建议书和报价之用。3） 乙方应具备公安部颁发的信息安全等级保护测评机构资质的要求。4） 乙方应在项目实施计划中确认主要技术人员，主要技术人员必须具有相关资质。5） 乙方应在规定时间内，向甲方提供符合本技术规范书要求的详细的项目建议书和报价清单，报价内容应包括现场测评内容、技术服务及验收等。6） 乙方在项目建议书中，对本技术规范书中提出的技术及项目要求应逐项予以说明和答复，对涉及到的主要需求、技术及服务应做详细的说明。乙方亦可根据甲方系统功能的具体情况，在项目建议书中提出建议，并附详细资料和说明。7） 对本技术规范书各条目的应答应为“满足”、“不满足”、“部分满足”，不得使用“明白”、“理解”等词语，在答复中，应明确满足的程度，并做出具体、详细的说明，凡采用“详见”、“参见”方式说明的，应指明参见文档中的具体的章节或页码，否则将视技术建议书不符合要求且该应答无效。8） 乙方提供的安全服务必须在技术上先进和成熟，使用工具软件版本是最新的并且成熟稳定，乙方在评估过程中保证系统的稳定性。9） 甲方保留解释修改本技术规范书的权力。10） 等级保护测评现场工作结束后，如果甲方对提出的安全问题有疑义，乙方应予解答。11） 乙方应承诺在评估过程中所使用的工具软件本身不能有任何安全隐患，对此应承担责任。任何由乙方工具设备（软件）引起的甲方事故，乙方应承担连带责任。12） 本技术规范书未尽事宜，由甲方和乙方在合同技术谈判时协商确定。2 工作范围乙方工作范围： 大海则煤矿110kV变电站电力监控系统信息安全等级保护测评。3 标准和规范除本技术规范书特别规定外，乙方所提供的测评标准均应遵循公安部、能源局相关文件要求和甲方的相关文件要求，所用的标准必须是其最新版本；如果这些标准内容矛盾时，应按最高标准的条款执行或按双方商定的标准执行；如果乙方选用本技术规范书规定以外的标准时，需提交与这种替换标准相当的或优于规定标准的证明，供甲方确认。乙方提供的软件必须符合下列标准和规范的最新版本，但不限于此： 信息安全等级保护管理办法（公通字200743号） 信息安全技术信息系统安全等级保护基本要求GB/T 22239-2008 信息安全技术信息系统安全等级保护定级指南GB/T 22240-2008 信息安全技术信息系统安全等级保护实施指南GB/T 25058-2010 关于开展电力行业信息系统安全等级保护定级工作的通知（电监信息200734号） 电力行业信息系统等级保护定级工作指导意见（电监信息200744号） 电力行业信息系统安全等级保护基本要求（电监信息201262号） 信息安全技术信息系统安全等级保护测评要求GB/T 28448-2012 信息安全技术信息系统安全等级保护测评过程指南GB/T 8449-2012 电力行业信息安全等级保护管理办法（国能安全2014318号） 电力行业网络与信息安全管理办法（国能安全2014317号）4 安全管理为做好全过程的安全保密工作，乙方在等级保护测评前、中、后三个阶段都要做好安全保密工作。等级保护测评前：1） 对等保测评人员要进行安全保密教育，制定安全保密措施；2） 签订安全保密协议。等级保护测评中：1） 对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与数据、人员与管理等方面的信息进行严格的安全保密管理；2） 等级保护测评工具应经过严格测试和检验，确保不对甲方被测评系统造成损失，工作结束后不驻留任何程序；3） 对甲方电力监控系统的信息资产、发现的脆弱性和发生过的安全事件等威胁情况要控制知情范围；4） 对测评设备、介质进行严格的保密管理；5） 工作过程中对人员要实施封闭式集中管理；6） 对进场人员遵守被测单位的相关管理规定。等级保护测评后：1） 认真清退各种文档、资料和数据并予以销毁，确保工作过程中敏感数据不被泄漏；2） 现场工作结束后，按被测单位的要求及时还原系统，确保系统中不遗留任何代码或可执行程序；在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。5 权利和职责为切实保障本项目的工作质量，确保测评（评估）工作达到预期目标，对甲乙双方技术工作责任进行约定。5.1 甲方责任1） 加强与乙方沟通，明确测评（评估）要求和工作流程，与乙方签署保密协议，明确双方责任。2） 现场工作应严格履行监控系统工作票制度，完善测评（评估）系统应急预案，明确应急处置措施。3） 为乙方提供良好的工作场地和环境，并按要求提供测评（评估）所需材料。4） 加强测评（评估）过程管理，在测评（评估）过程中，要加强机房管理，明确专人全程配合乙方开展现场测评（评估），不得因现场测评（评估）工作影响业务系统运行。5） 强化保密工作，防止测评（评估）过程中企业商业信息和监控系统相关信息泄露。5.2 乙方责任1） 按照甲方工作章程开展工作。2） 遵循“流程规范、方法科学、结论公正”的原则，按照信息系统安全等级保护测评防护评估工作的有关标准、规范的要求，依据国家和行业相关标准规范开展测评（评估）工作。3） 选择政治可靠、技术过硬，有测评（评估）资质的人员组建测评（评估）工作小组，测评（评估）人员应明确各自职责。4） 根据实际情况制定甲方的具体测评（评估）实施计划方案。5） 加强测评（评估）过程管理，现场测评（评估）人员要遵守甲方相关管理制度，加强协调，做好突发事件的预防控制工作。6） 测评（评估）结束后，按时完成测评报告和评估报告，协助甲方进行信息系统安全等级保护评估整改工作。7） 本项目禁止任何形式的外包，所有项目团队成员须为乙方的正式员工。8） 本项目的项目经理和项目顾问未经甲方认可，不得随意更换；若甲方认为顾问不能胜任工作，可以提出更换要求。同时，甲乙双方都必须遵循保密要求，双方签订保密协议。6 工作原则与要求6.1 本次测评应满足的原则本次所招标项目实施方案设计与具体实施必须满足以下原则：1) 保密原则：对测评（评估）的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害甲方的行为，否则甲方有权追究乙方的责任。2) 标准性原则：测评（评估）方案的设计与实施应依据国家信息系统安全等级保护和电力监控系统安全防护的相关标准进行。3) 规范性原则：乙方工作中的过程和文档，应具有很好的规范性，便于项目的跟踪和控制。4) 可控性原则：测评（评估）服务的进度要跟上进度表的安排，保证甲方对于测评（评估）工作的可控性。5) 整体性原则：测评（评估）的范围和内容应当整体全面，包括国家等级保护相关要求和电力监控系统安全防护涉及的各个层面。6) 最小影响原则：测评（评估）工作应尽可能小的影响系统和网络，并在可控范围内；测评（评估）工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。乙方应严格依照上述原则和国家信息系统安全等级保护相关标准开展项目实施工作。6.2 本次测评的整体要求1) 乙方应详细描述本次项目的整体实施方案，包括项目概述、测评（评估）方案、项目实施方案、测试过程中使用的测试设备清单、时间安排、阶段性文档提交和验收标准等。2) 乙方应详细描述测评（评估）人员的组成、资质及各自职责；乙方应配置有经验的测评（评估）人员进行本次等级保护测评工作。 3) 本次测评（评估）实施过程中所使用到的各种工具软件由乙方推荐，经甲方确认后由乙方提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。4) 测评（评估）工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由乙方推荐，经被测评（评估）系统的使用或管理单位确认后由乙方提供并在测评（评估）中使用。5) 测评（评估）需要的运行环境（如场地、网络环境等）由被测评系统的使用或管理单位提供，乙方应详细描述需要的运行环境的具体要求。7 风险规避与服务承诺7.1 风险规避在开展电站信息系统安全等级保护测评（评估）工作中，可能引入安全风险，必须加强实施过程中的风险控制。等级保护测评（评估）实施前，应根据确定的测评（评估）范围，对实施过程中可能引入的风险进行分析，并制定应对措施。安全测评实施过程的风险控制手段主要包括： （1）操作的申请和监护在实施过程中必须遵守电力系统的相关操作章程，以防止敏感信息泄漏和确保及时处理意外事件。 （2）操作时间控制对直接涉及电力生产的电力监控系统的评估（测评）工作，尽可能避开电力生产敏感时期。 （3）人员与数据管理必须高度重视信息保密工作，加强资料管理，确保人员可靠、稳定和可控。测评与被测评单位之间应签署长期保密协议，测评人员与测评单位之间也要有相应的约束和控制措施，按国家有关要求做好保密工作。 （4）制定应急预案根据测评范围界定的电力监控系统情况，在实施前制定应急预案。 （5）运行系统模拟环境对电力关键业务系统的测评可以考虑优先利用备用设备（系统）或搭建临时的模拟测试环境，仿真真实系统的结构、配置、数据、业务流程。测评操作在模拟环境中进行，以保证真实性和运行系统的安全、稳定。 （6）关键业务系统风险控制 对影响较大的电力关键业务系统在无法搭建模拟环境情况下，原则上不采用测评工具，采用访谈、检查和简单测试的方式进行。 （7）其他为防止发生影响系统运行的安全事件，根据被测评对象的不同采取相应的风险控制手段。 同时，还可采取以下辅助手段进行风险控制和规避： （1）其他扫描预测试在可能的情况下，对扫描对象进行预测评，或在主备环境中先测试备机；测评方式上采用分类扫描和单台扫描，对不同的测评对象执行不同的扫描策略。 （2）减缓扫描速度通过减少并发线程来降低被扫描设备所承受的压力，在几次测试后得出适中的并发线程及扫描方式。 （3）优化扫描策略分类扫描：对不同的主机和设备类型执行不同的扫描会话，从而减少不必要的脆弱项目测试。针对扫描对象细化扫描策略：对不同类型的主机或设备，需要根据其上不同的应用和服务情况，有针对性地定制扫描策略选项。 （4）数据备份与恢复对业务系统和数据库主机，应对其上数据进行备份，防止测评过程中对设备与主机的损伤影响业务系统的正常运行。 （5）厂商协作厂商需要提供各应用系统的名称、版本、协议、开发语言、进程名和相应的端口号等信息；在测评之前，由三方共同分析测评对业务可能造成的风险，分析可能存在的问题，在测评过程中尽量规避这些风险。7.2 服务承诺乙方承诺向甲方提供1年电力监控系统等级保护测评咨询服务，包括：电力行业等级保护知识、信息安全技术和管理策略等咨询和答疑。8 测评（评估）内容大海则煤矿110KV变电站信息系统安全等级保护测评。根据国家等级保护相关标准，电力监控系统的安全等级保护测评应包括以下内容：安全等级技术测评：包括物理安全、网络安全、主机安全、应用安全和数据安全等五个方面的安全测评；安全等级管理测评：包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。根据国家及电力行业信息系统安全等级保护评估相关标准，在电力监控系统安全等级保护测评（即以上安全技术与安全管理测评）的基础上，增加如下测评项：资产评估、威胁评估、通用应用评估、现有安全措施有效性评估、白客渗透检测、终端检测、外设检测等。8.1 等级保护测评8.1.1 物理安全物理安全测评是对信息系统的机房和办公场所的物理环境安全防护情况进行测评，包括机房位置选址、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。8.1.2 网络安全网络安全测评是对信息系统的网络系统安全防护情况进行测评，包括网络结构安全、网络访问控制、网络安全审计、网络边界完整性检查、网络入侵防范、网络恶意代码防范、网络设备防护等方面的安全状况。8.1.3 主机安全主机安全测评是对电力监控系统的服务器、数据库和终端主机系统的信息安全防护情况进行测评，包括操作系统和数据库层面的身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、主机入侵防范、主机恶意代码防范、主机资源控制等方面的安全状况。8.1.4 应用安全应用安全测评是对电力监控系统的业务系统的安全防护情况进行测评，包括应用系统层面的身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、应用系统的资源控制等方面的安全状况。8.1.5 数据安全数据安全及备份恢复测评是对电力监控系统信息的数据安全保护情况进行测评，包括数据在传输和存储过程中的完整性、保密性措施，数据备份和恢复措施。8.1.6 安全管理机构安全管理机构测评是对电力监控系统的信息安全管理组织和岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。8.1.7 安全管理制度安全管理制度测评是对电力监控系统的信息安全管理制度体系和制度内容、制定和发布流程、评审和修订机制等情况进行测评。8.1.8 人员安全管理人员安全管理测评是对电力监控系统信息安全相关内部人员的人员录用、人员离岗、人员考核、安全意识教育和培训，以及外部人员访问管理等情况进行测评。8.1.9 系统建设管理系统建设管理测评是对电力监控系统信息安全建设过程中的系统定级、安全方案设计、产品采购和使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择等情况进行测评。8.1.10 系统运维管理系统运维管理测评是对电力监控系统信息安全运行维护过程中的环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等情况进行测评。8.2 电力监控系统信息安全等级保护测评8.2.1 资产评估资产评估对象包括：网络、主机、安全防护措施、应用系统等。根据被测评单位风险评估有关技术要求，资产评估主要考虑两个方面的内容：一是信息系统中所存储、处理、传输的主要信息，二是信息系统所提供的主要服务。通过对每一类信息和服务等级的分析，最终确定信息系统的重要性级别。资产评估具体步骤包括：资产数据整理与核实、资产重要程度分析。其中，资产数据整理与核实是根据被评估单位前期提交的资料，进行资产数据的真实性的查证与确认。资产重要程度分析是根据资产承载的数据、提供的服务，判定资产重要程度的过程。8.2.2 威胁评估威胁评估是对被评估单位业务系统、网络与信息系统面临的威胁进行分析的过程。威胁评估依据电力二次系统安全防护评估实施细则（审批中）提供的威胁列表，以运行与管理人员访谈的方式进行。如被评估单位能够提供历史信息安全事件统计，也可作为威胁评估的补充内容。通过威胁评估，要达到明确被评估单位信息系统面临的主要威胁，以及这些威胁的等级的目的。8.2.3 通用应用评估通用应用评估是对信息系统中的数据库服务、Web服务等通用应用进行的安全配置检查，达到发现通用应用安全漏洞的目的。通用应用评估也采用人工审计和漏洞扫描两种方式进行。8.2.4 现有安全措施有效性评估现有安全措施有效性评估是对对信息系统中部署的主要安全防护措施进行的审计，达到确定这些安全措施的管理和使用情况是否存在重大漏洞和缺陷，明确现有安全措施的有效性程度的目的。现有安全措施的评估主要采用人工检查和访谈的方式进行。主要包括防火墙、防病毒系统、防病毒网关等现有安全措施。8.2.5 白客渗透检测白客渗透检测包括两个方面的内容：外部渗透和内部渗透。外部渗透主要是检测被评估单位面对来自互联网恶意入侵者渗透的防御能力。主要范围为被评估单位对互联网发布节点的应用服务器、对外网站服务器及下属网站服务器等，模拟黑客进行渗透性测试。内部渗透主要是检测被评估单位面对来自内部恶意破坏者渗透或窃密的防御能力。主要范围为被评估单位内网门户、内部网站等。8.2.6 终端检测终端检测主要为抽查被评估单位办公终端和上网终端是否有驻留木马、蠕虫、恶意软件，是否存在自定义共享文件夹，系统补丁是否及时更新安装，关键工作文件存放是否恰当等情况。主要通过人工查看和工具检测两种方式来进行。8.2.7 外设检测外设检测主要面向带有硬盘、内存或其它存储设备和简易操作系统的网络打印机、传真机等智能设备。具体工作为判断外设是否未设置管理员口令；是否默认开放了FTP、TELNET、SNMP、WEB等服务，导致攻击者可以轻易控制该设备或发送大量请求而进行拒绝服务攻击，具体工作通过人工查看配合工具监测两种方式来进行。9 测评（评估）流程根据国家等级保护相关标准，信息系统安全等级保护测评流程分为四个阶段：测评准备阶段、方案编制阶段、现场测评阶段、分析与报告编制阶段。测评完成后，提供整改建议书，配合采购方根据测评范围进行整改实施，整改完成后由应答方针对整改问题进行复测。信息系统安全等级保护测评流程如图1-1示：图1-1测评工作流程图电力监控系统等级保护测评工作基本流程将依照电力监控系统安全防护评估规范进行，分前期交流和启动准备阶段、现场数据采集和评估阶段、风险计算和分析阶段，以及总结阶段。电力监控系统信息安全防护评估工作基本流程如图1-2所示。图1-2 电力监控信息系统等级保护评估工作流程图10 实施要求10.1 进度要求总体要求，在系统合同签订3个工作日后，启动项目，2018年12月底之前变电站的等级保护测评报告出具工作。10.1.1 筹划准备阶段工作内容：对被测评（评估）系统防护现状进行详细分析和调研，初步确定测评施方案、范围，收集材料，签署保密协议，组建测评项目组，并进行进场实施前的安全教育工作，同时完成了检测工具、装备配置等各项准备工作。10.1.2 启动阶段工作内容：测评（评估）项目组进驻被测单位，收集分析信息资产资料、网络资料、业务系统资料和信息安全管理制度方针等相关测评所需材料，并召开启动会，就测评（评估）工作具体事宜进行落实，包括确定测评（评估）计划安排、测评（评估）范围、测评（评估）内容和配合需求等。10.1.3 现场测评（评估）测评（评估）项目组从管理和技术两个方面入手，开展被测单位信息系统测评（评估）工作，包括安全区划分、网络专用，评估管理和制度、基础网络、业务系统、通用服务、主机系统、数据库系统、现有安全措施等。测评（评估）方法有顾问访谈、日志审计、人工查看、漏洞扫描、自动化工具采集、白客渗透等。现场工作结束后，测评（评估）工作小组对现场测评情况进行初步整理汇总，向被测单位领导和系统管理员等汇报现场阶段工作情况。10.1.4 结论分析报告编制阶段工作内容：项目组对检测情况和采集的数据进行分类统计、风险计算、综合分析与评估，撰写被测单位系统大海则110kv站信息系统安全等级保护测评报告。10.1.5 整改技术支持阶段工作内容：项目组针对现场测评发现的问题，出具整改建议后，向被测单位提供整改技术咨询支持。10.1.6 项目验收阶段工作内容：项目组派遣专员与被测单位相关人员就被测单位信息系统安全等级保护测评项目进行验收，撰写本项目项目总结报告及项目验收意见。系统测评（评估）的验收在系统的使用单位进行。10.2 文档要求乙方应对甲方的各个信息系统进行等级保护测评、对电力监控系统进行安全防护评估，并形成以下文档：序号文档名称提交时间备注1大海则煤矿110KV变电站信息系统等级保护测评（评估）方案合同签订后1周内2大海则煤矿110KV变电站信息系统等级保护现场评估测评工作报告工作期间3大海则煤矿110KV变电站信息系统安全等级保护测评报告含系统整改建议及时按系统提交11 工作质量要求为确保本项目的顺利进行和质量可控，乙方承诺本项目在四个质量控制环节进行严格控制，质量控制承诺如下： 1) 项目资料收集乙方需承诺根据公安部、能源局及大海则煤矿110KV变电站有关技术标准要求，对各被测评信息系统提交的前期资料进行审核，确保资料数据的真实性。2) 现场实施质量承诺乙方需按照工作计划开展对各信息系统现场测评（评估），采集信息系统的风险数据；乙方需承诺将严格按照本技术规范的规定开展工作。3) 技术报告质量承诺乙方对现场阶段采集到的风险数据进行整理，并根据风险数据编写测评（评估）相关的报告。乙方承诺在报告完成后，将及时与甲方及被测评（评估）系统管理单位进行报告内容的沟通与交流。乙方将对甲方或被测评系统管理单位提出的书面修改意见给予逐条的回答，明确修改与否，及其原因。12 项目承诺1） 乙方应满足甲方提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则，做到守时、保质。2） 乙方必须和甲方签订保密协议和非侵害性协议，乙方必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议，在合同签定时一并提供给甲方。3） 乙方对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任，不得