测评主机评测

-1-北京法院2018年网络安全等级保护测评项目合同书甲方:北京市高级人民法院乙方:中国电子科技集团公司第十五研究所依据《中华人民共和国合同法》等相关法律、法规,根据甲方招标文件和乙方投标文件,本着平等、自愿、公平和诚信的原则,经甲、乙双方协商,就甲方委托乙方为北京法院2018年网络安全等级保护测评项目(以下简称"本项目")提供网络安全等级保护测评服务相关事项签订本合同.
第一章技术服务内容第一条技术服务的目标:方委托乙方为本项目中的5个已完成定级备案服务的信息系统提供网络安全等级保护测评工作,包括差距性测评和网络安全等级保护测评,最终实现总体项目目标.
第二条技术服务的内容:根据《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)(以下简称"基本要求")及国家相关信息安全标准和规范,开展网络安全等级保护测评服务,包括差距性测评和网络安全等级保护测评,并出具符合公安机关要求的网络安全等级保护测评报告.
第三条技术服务的方式:远程和现场两种,服务单位根据工-2-作的实际情况合理安排安全工程师的服务方式,用户单位应配合服务单位在用户办公室、用户机房进行相关服务工作.
第四条本技术服务质量要求:依据《信息安全等级保护管理办法》(公通字〔2007〕43号)、《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)和《信息安全技术网络安全等级保护测评过程指南》(GB/T28449-2018)等相关标准开展网络安全等级保护测评工作.
第五条本合同以及本项目招标文件、投标文件均为合同的有效组成部分,具有与本合同相同的法律效力,是项目实施及验收的标准和依据.
第二章甲方的权利与义务第六条甲方有权对本项目的质量、进度和与本合同相关的一切事宜实行监督和检查,并有依照本合同之规定的索赔、项目内容更改、罚款和延期付款等权力;本合同中所有涉及需要乙方进行采购的设备、系统软件,乙方必须将设备及系统软件的名称、性能与用途书面报甲方,经甲方确认后才允许订购;甲方有权按照本合同书规定的验收标准和验收期限组织工程验收;按照本合同规定的方式、时间支付合同款项.
第三章乙方的权利与义务第七条乙方按照本合同第一章技术服务内容中的约定开展技术服务工作.
-3-第八条乙方有权对甲方提供的技术服务对象及相关文档、资料的合法性、真实性、有效性、一致性进行调查和提出质询.
第九条乙方在"本项目"实施的过程中,应尊重甲方对于项目实施的要求和意见,并服从甲方委托的监理公司的监督管理.
第四章项目实施与验收条款第十条乙方应当在具备进行网络安全等级保护测评工作条件后,按照甲方和监理要求完成本项目的全部技术服务工作,服务期限为自签订合同之日起至本同下的全部工作完成为止.
第十一条本项目涉及交付文档包括,但不限于《网络安全等级保护测评方案》、《网络安全等级保护差距测评报告》、《网络安全等级保护差距测评整改方案》、《网络安全等级保护测评报告》等.
其中每个信息系统提供《网络安全等级保护测评报告》肆份.
第十二条属于乙方原因导致本项目未通过验收的,乙方应在5个工作日内完成整改再次提交验收;再次交付仍未通过验收的,乙方应承担违约责任并继续履行合同义务,直至符合验收标准.
第十三条网络安全等级保护测评实施完成后,由甲方、乙方和监理公司联合签署验收报告玖份,各方分别执叁份.
第五章付款方式第十四条本合同总金额为人民币$1,200,000.
00元(大写人民币:壹佰贰拾万元整).
乙方应在签订合同之日起7个工作日内向甲方提供合同总价10%的即人民币$120,000.
00元(大写-4-人民币:壹拾贰万元整)的银行履约保函,甲方在收到乙方提供的银行履约保函之日,且财政拨付资金到账后,向乙方支付合同款的60%,即人民币$720,000.
00元,(大写人民币:柒拾贰万元整).
项目初验合格后,甲方向乙方支付合同款的30%,即人民币$360,000.
00元(大写人民币:叁拾陆万元整);项目终验合格之日起七个工作日内,甲方向乙方支付合同款10%,即人民币$120,000.
00元(大写人民币:壹拾贰万元整);同时甲方将银行履约保函退还给乙方.
第十五条乙方应在每次收到相应款项后5个工作日内开具符合国家规定的正式发票并交付甲方.
第六章保密条款第十六条未经甲方同意,乙方不得将该项目的相关文档及资料泄漏给第三方或提供给其使用;甲方应对乙方设备的成交价格及技术性能、参数、程序、结构、使用说明或其它技术资料等实行保密,不得转达或泄露给第三方.
第十七条双方对对方提供的有关该项目需要保密的资料应严格保守秘密,不得向第三方泄漏;乙方对甲方所提供的各类资料的使用仅限于执行合同必不可少的范围内.
第十八条乙方应安排政治可靠、技术过硬的技术人员担任项目负责人,技术人员应保守秘密,严格遵守甲方的各项规章制度,进场前须经甲方审查同意.
若乙方的技术人员不合格,甲方有权要求乙方撤换,因撤换而产生的费用由乙方承担;若乙方中-5-途变更施工人员,须经甲方审查同意.
第七章知识产权条款第十九条乙方保证甲方在使用乙方提供的任何产品、服务时,不受第三方提出的侵犯知识产权指控.
如果任何第三方提出与乙方提供的任何产品、服务有关的侵权指控,甲方不承担因此发生的任何责任,乙方须与第三方交涉并承担因此发生的一切法律责任和费用.
第二十条本项目实施所产生的信息资源及完成的所有技术成果(包括但不限于软件、源代码及技术资料)的知识产权(包括但不限于著作权、专利权、商标权、专有技术等权利)及衍生权利均由甲方享有,凡必要或可能申请专利的技术成果,均须通过甲方办理专利申请.
第八章争议与违约条款第二十一条甲、乙双方对本合同书的条款在理解上发生争议时,双方应本着友好协商的精神解决,依据协商结果签定的补充协议书与本合同书具有相同的效力.
双方在履行合同时如发生争议,亦应友好协商解决,如协商不成,双方均可向人民法院提起诉讼.
第二十二条如果合同任何一方不能按照本协议条款内容履行义务,使合同无法履行,违约方应承担相应的违约责任并支付违约金,但违约金总金额支付不超过合同总金额10%,违约方应赔偿因违约给对方造成的直接经济损失,并应继续履行合同义务.
北京法院2018年网络安全等级保护测评项目合同I目录第一章概述.
1-第二章测评依据2-第三章测评方法和工具3-一、测评方法3-二、测评工具5-第四章工作内容5-一、单元测评6-二、整体测评7-第五章测评提交结果8-第六章测评安排8-一、测评人员组成8-二、配合事项9-三、项目时间进度安排9--1-第一章概述2015年2月26日,中华人民共和国最高人民法院(以下简称:最高院)发布了《人民法院第四个五年改革纲要(2014--2018)》中,确立了推动省以下地方法院人、财、物统管的基础机制.
2016年2月24日,最高院又下发了《人民法院信息化建设五年发展规划(2016-2020)》,提出了"全面覆盖、移动互联、跨界融合、深度应用、透明便民、安全可控"的人民法院信息化3.
0版.
2016年3月25日,北京市高级人民法院下发了《北京市法院信息化建设五年发展规划(2016-2020)》,提出了"建设并完善北京市高级人民法院信息安全保障体系,以及全市法院专网、移动网、互联网和涉密网的安全基础设施建设,实现全市法院以"人"、"环境"和"业务"为核心的"安全一体化"管控,确保北京市高级人民法院信息化应用安全可控.
"根据《信息安全等级保护管理办法》(公通字〔2007〕43号)中的要求,已运营的第二级(含)以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续.
对于新建第二级(含)以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续.
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家相关规定的测评机构,依据等级保护相关标准规范,定期对信息系统安全等级状况开展等级测评.
第三级信息系统应当每年至少进行一次等级-2-测评.
第二章测评依据本次测评所参考的相关规范及标准如下:《信息安全等级保护管理办法》(公通字〔2007〕43号)《信息安全技术信息系统安全管理要求》(GB/T20269-2006)《信息安全技术信息安全风险评估规范》(GBT20984-2007)《信息技术安全技术信息安全风险评估实施指南》(GB/T31509-2015)《信息安全技术信息安全服务分类》(GB/T30283-2013)《计算机信息系统安全保护等级划分准则》(GB17859-1999)《信息安全技术网络安全等级保护实施指南》(GB/T25058-2019)《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)《信息安全技术网络安全等级保护测评过程指南》(GB/T28449-2018)《信息安全技术信息系统通用安全技术要求》-3-(GB/T20271-2006)《信息安全技术网络基础安全技术要求》(GB/T20270-2006)《信息安全技术操作系统安全技术要求》(GB/T20272-2006)《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)《信息安全技术服务器技术要求》(GB/T21028-2007)《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)第三章测评方法和工具一、测评方法本次测评中涉及的测评方法主要包括:1.
访谈测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取证据以证明信息系统安全保护措施是否有效的一种方法.
测评人员与委托方的有关人员就测评所关注的问题进行有针对性的询问和交流的过程,该过程可以帮助测评方了解现状、澄清疑问或获得证据.
主要通过提出书面的问题审计清单,询问相关背景和相关证据等,并详细记录访谈内容.
2.
检查不同于行政执法意义上的监督检查,是指测评人员通过对测-4-评对象进行观察、查验、分析等活动,获取证据以证明信息系统安全保护措施是否有效的一种方法.
与访谈类似,该过程可以帮助测评方了解现状、澄清疑问或获得证据.
比较典型的检查行为包括:对安全配置的核查、对安全策略的分析和评审等.
3.
测试测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看、分析这些行为的结果,获取证据以证明信息系统安全保护措施是否有效的一种方法.
其中工具测试是指在测评人员使用自动化工具对测评目标进行扫描和分析,验证其安全特性,发现潜在的安全漏洞.
4.
风险评估测评人员依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程.
它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响.
评估过程包括:a)对资产进行识别,并对资产的价值进行赋值;b)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;c)对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;d)根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;e)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失;f)根据安全事件发生-5-的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值.
二、测评工具本次安全测评使用的工具包括:表1测试工具列表工具名称功能及用途明鉴数据库弱点扫描数据库安全扫描绿盟远程风险评估系统网络/主机安全漏洞扫描绿盟安全配置核查系统基线安全评估WebRavorWeb应用渗透AcunetixWVSWeb应用渗透BurpsuiteWeb应用渗透SQLMap渗透性测试Superscan端口扫描Nmap端口扫描及信息搜集Wireshark网络协议分析信息安全测评管理系统测评项目管理第四章工作内容本项目是选择符合国家相关规定的测评机构,依据等级保护相关标准规范,对北京高院已完成定级备案的北京法院诉讼服务系统、北京法院执行业务系统、审判业务智能管理系统、北京法院审判信息网、北京法院移动办公平台系统5个信息系统开展网络安全等级保护测评并出具符合公安机关要求的网络安全等级保护测评报告.
本项目包含对测评对象的差距性测评和网络安全-6-等级保护测评,通过差距性测评,找出北京高院信息系统的安全防护措施与国家等级保护基本要求之间的差距,提出整改意见并出具《网络安全等级保护差距测评报告》和《网络安全等级保护差距测评整改方案》,待整改完毕后进行复测,最终出具《网络安全等级保护测评报告》.
通过网络安全等级保护测评工作的开展,为北京高院进行信息系统的安全建设整改提供支撑依据.
一、单元测评单项测评内容包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理机构、安全管理制度、安全人员管理、安全建设管理和安全运维管理.
1)安全物理环境测评内容包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护.
2)安全通信网络测评内容包括:网络架构、通信传输、可信验证.
3)安全区域边界测评内容包括:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证.
4)安全计算环境测评内容包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护.
5)安全管理中心测评内容包括:系统管理、审计管理、安全管理、集中管控.
-7-6)安全管理制度测评内容包括:安全策略、管理制度、制定和发布、评审和修订.
7)安全管理机构测评内容包括:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查.
8)安全管理人员测评内容包括:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理.
9)安全建设管理测评内容包括:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商管理.
10)安全运维管理测评内容包括:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理.
二、整体测评整体测评内容包括安全控制点测评、安全控制点间测评和区域间测评.
1)安全控制点测评主要是对单个控制点中所有要求项的符合程度进行分析和判定.
2)安全控制点间测评主要是对同一区域同一类内的两个或者两个以上不同安全控制点间的关联进行测评分析,其目的是确定这些关联对等级保护对象整体安全保护能力的影响.
3)区域间测评主要是对互连互通的不同区域之间的关联进-8-行测评分析,其目的是确定这些关联对等级保护对象整体安全保护能力的影响.
第五章测评提交结果1、《网络安全等级保护测评方案》.
2、《网络安全等级保护差距测评报告》.
3、《网络安全等级保护差距测评整改方案》.
4、《网络安全等级保护测评报告》.
第六章测评安排一、测评人员组成测评中心项目组的人员组成如下:表12人员配备总表姓名岗位张益项目实施负责人、售后服务等.
刘健负责项目重大事项决策、协调资源,技术把关、报告审批等.
刘赫测评组组长安全计算环境检测评估、整改建议方案.
王磊测评组组员渗透测试和漏洞扫描、整改建议方案.
刘琛测评组组员安全通信网络及安全区域边界检测评估、整改建议方案.
肖聪测评组组员安全计算环境检测评估、整改建议方案.
-9-姓名岗位周瑾测评组组员安全物理环境和管理安全检测评估.
任佩测评组组员渗透测试和漏洞扫描.
董晶晶测评组组员管理安全检测评估.
二、配合事项本次安全测评因涉及到北京法院工作信息平台的实地环境,需北京高级人民法院紧密地配合.
为使测评工作能有效、系统、顺利地进行,希望北京高级人民法院建立专门的安全测评工作小组,小组内应包括系统安全管理人员、网络系统和计算机系统的运行维护人员以及系统用户.
同时,在一些具体测试过程中要根据具体测试条件,准备相应的网络端口和电源插座,分配测试用的IP地址,以及核查中相关的管理、技术文档.
被测评方应在现场核查测试开始之前做好相关准备工作.
三、项目时间进度安排自合同签订之日起至本项目下的全部工作完成为止.