白云机场机电设备信息平台等级保护整改服务及设备采购项目合同.docx

《白云机场机电设备信息平台等级保护整改服务及设备采购项目合同.docx》由会员分享，可在线阅读，更多相关《白云机场机电设备信息平台等级保护整改服务及设备采购项目合同.docx（23页珍藏版）》请在第一文库网上搜索。

1、白云机场机电设备信息平台等级保护整改服务及设备采购项目合同甲方：广州白云空港设备技术发展有限公司乙方：依据中华人民共和国合同法及相关法律法规规定，经甲乙双方充分协商，甲方委托乙方实施白云机场机电设备信息平台（以下简称信息平台）等级保护测评以及整改服务项目，为明确双方的权利和义务，以公平、公正、诚实、守信的原则定立本合同，以兹共守。一、等级保护服务内容1、地点：广州市白云国际机场2、服务内容：乙方负责给出甲方信息平台的首次测评差距报告，并且根据差距报告为空港设备公司提供白云机场机电设备信息平台等级保护整改服务（以下简称整改服务）。乙方应以此差距报告为依据，结合信息平台的实际情况，根据GB/T22

2、239-2019信息系统安全等级保护基本要求等相关法规的要求，为空港设备公司提供信息平台等级保护整改方案并付诸实施，保证信息平台最终通过测评机构的验收测评。具体服务内容如下：（一）、对甲方信息平台进行信息安全等级保护测评服务，提交信息安全等级保护测评报告。要求2023年6月30日前出具首次测评差距报告，2023年10月31日前提交等保测评报告并拿到公安机关备案回执。具体信息系统如下：序号系统名称系统级别备注1白云机场机电设备信息系统二级（二）、提供等保咨询服务，包括以下内容：1、等级保护整改服务（1）提供等保测评差距分析报告。（2）结合信息平台运行情况、测评差距报告和等保标准，总体分析，制定整

3、改方案，完成整改达标目标。（3）落实方案，进行技术整改，开展安全加固。（4）落实管理方面的整改，指导、协助甲方建立安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面的制度。（5）协助测评：协助提供等级保护测评所需资料，现场陪同甲方配合测评机构的测评工作，协助回答测评人员问题。2、漏洞扫描根据等级保护的要求，使用远程漏洞评估产品，检测网络设备、操作系统、数据库和应用服务中存在的安全漏洞，提供漏洞评估报告和修复建议，一年提供5次服务。3、渗透测试服务根据等级保护的要求，提供针对Web应用系统的渗透测试服务。通过人工黑盒的测试方式，发现网络和业务系统中网络和系统存在的安全缺陷

4、，提供渗透测试报告和改进建议。渗透测试的系统数量为4套。4、漏洞修复根据等级保护的要求，指导、协助用户代码优化，对安全扫描发现的漏洞进行漏洞修复。5、安全配置评估使用安全配置核查产品或人工方式，对系统中网络设备、操作系统、数据库和应用服务器的配置进行安全检查，提供安全配置评估报告和改进建议。6、安全培训对甲方技术人员进行产品使用及网络安全技术培训，使甲方技术人员具备自主等保系统自主运维的能力。7、安全加固服务安全整改加固工作对通过安全评估服务、漏洞扫描等工作中发现的安全漏洞、安全弱点、安全风险，通过多方面的安全加固措施进行修补。特别对问题源头进行整改与加固，以最大限度的降低风险，安全加固应包含

5、但不限于以下内容：(1)配置核查结果的服务器安全加固(2)漏洞扫描的服务器安全加固(3)边界安全策略的安全加固(4)其它评估类工作(一体化信息安全风险评估、等级保护测评等)发现/公布的漏洞，以及国家、行业等上级及外部单位安全通告公布的安全漏洞，协助整改加固。8、应急响应服务提供年度的应急响应服务，对于单位管理人员提出的安全服务要求和安全技术工作进行实时响应，包含安全事件的应急和其他安全技术工作的配合。根据安全事件对单位的影响，定义不同的安全风险等级，进行不同级别的安全响应。当出现信息安全事件时，第一时间对信息安全事件进行应急支持，提供设备或者技术支持，帮助问题解决，并对事件发生的原因进行分析。

6、（1）远程技术应急支持：10分钟内对安全事件进行响应，对于能够解决的信息安全事件，远程协助进行处理，对于不能远程解决的事情，提供现场的应急支持。（2）现场技术应急支持：100分钟内到达事件现场，优先协助对事件进行处置，恢复业务，并对事件发生的原因进行分析，编写事件的分析报告，提出有效的安全建议。9、数据安全要求报价人须免费提供由国家信息中心网络安全部或者国家甲级涉密数据恢复机构提供的设备保修期内硬盘数据恢复服务，投标时提供上述机构对本项目的售后服务承诺函。10、设备联动乙方提供的产品必须支持与甲方已有安全设备（深信服防火墙AF-1720,明御WEB应用防火墙、明御综合日志审计平台、明御运维审计

7、与风险系统、天融信安全隔离与信息交换系统V3TR-72218）相互兼容，同时免费配合甲方与广东机场白云信息科技有限公司的杰势感知系统进行对接。（三）、乙方的服务方案必须包含以下产品：1、数据库审计系统。技术指标参考如下:序号指标项参数要求1.系统管理要求硬件规格内存216GBDDR31600Mhz,硬盘24TB（IT*2）,支持RA1D1,最大支持扩展到4T*2硬盘；网络端口：支持监听接口扩展，配备至少2个千兆电口管理口；支持千兆网络环境下的监听能力，标配至少4个千兆电口和4个千兆光口；支持最大扩展至8电8光或16电或16光共16个千兆以太网口。2.处理能力审计性能：同时支持12个数据库数审计

8、能力，不会产生漏审；峰值SQ1处理能力220,000条/秒；硬件最大吞吐量2000Mbps,最大纯数据库流量150Mbps,标配日志存储数20亿条；审计日志检索能力21500万条/秒。3.部署方式为适应各种复杂的部署环境，产品部署模式应满足以下要求：旁路部署模式下无须在被审计数据库系统上安装任何代理即可实现审计；支持在目标数据库安装agent解决云环境、虚拟化环境内部流量无法镜像场景下数据库的审计，提供国家权威检测机构（公安部或国家保密科技测评中心）检测报告；支持分布式部署，管理中心可实现统一配置、统一报表生成、统一查询；支持IPV4/IPV6双栈审计；支持和ES平台对接，将审计日志和告警日志

9、存储在ES系统中，并支持通过页面查询日志；支持在审计页面配置审计代理的CPU亲和性、最大CPU使用率、最大内存使用率、CPU使用率阈值、内存使用率阈值、流量接收端口、抓包过滤串；支持在审计页面批量安装、卸载、重新安装审计代理。4.协议支持为审计和防护不同类型、不同版本的数据库，产品协议支持应满足以下要求：支持Orac1eSQ1ServerDB2、InfOiTnix、Sybase、MySQ1MariaDB等主流数据库审计；支持PostgreSQ1、HANA、Teradata、人大金仓（Kingbase）、达梦（DM）、南大通用数据库（GbaSe）、Oscar、Redis审计；支持MOngODB、

10、HbaSe、Hive、impa1a、E1asticSearchHDFSsCanSSandra非关系型数据库审计；支持主流业务协议HTTP、HTTPS、Te1net.FTP的审计；会话解密：支持对SQ1SerVer（2005及以上版本）数据库采用加密协议通讯，可以通过导入证书的方式实现审计，并提供国家权威检测机构（公安部或国家保密科技测评中心）检测报告证明。可以通过导入证书的方式实现MvSO15.7及以上版本采用了加密协议通讯的审计;支持对各种协议自动识别编码及在web界面手工配置特定编码。5.审计功能为满足对数据库操作行为审计，满足业务、安全等方面的需求，产品需要满足以下要求：支持数据库操作表

11、、视图、索引、存储过程等各种对象的所有SQ1操作审计；支持数据库请求和返回的双向审计，特别是返回字段和结果集、执行状态、返回行数、执行时长、客户端工具、主机名等内容，支持通过返回行数控制返回结果集大小（江提供国家权威检测机构（公安部或国家保密科技测评中心）检测报告）;支持跨语句、跨多包的绑定变量名及绑定变量值审计；支持超长SQ1语句（最长4M）审计。6.自动发现支持自动发现流量中的数据库信息，简化配置。7.安全审计为发现数据库中不安全访问行为及审计数据二次泄露等问题，数据库审计需支持以下功能：支持审计记录中敏感数据的模糊化处理，内置常见敏感数据掩码规则，支持自定义；内置安全特征库不少于300条

12、，如SQ1注入、缓冲区溢出等；可自定义审计规则，审计规则至少支持18个条件；规则各条件之间支持与或非逻辑关系；8.审计查询为湎足审计追踪溯源、分析安全问题等需求，数据库审计应满足以下查询需求：具有高效的查询性能，后台采用全文检索引擎检索；查询条件易于使用，审计查询条件均为非正则表达式形式进行；支持基于数据库访问日期、时间、源/目的IP、来源、数据库名、数据库表名、字段值、数据库登录账号、SQ1关键词、数据库返回码、SQ1响应时间、数据库操作类型、影响行数等条件的审计查询。9.统计报表为满足事后分析需求，数据库审计应满足以下需求：系统内置多种报表模板库，报表不少于20种；报表支持严格按照塞班斯（

13、SOX）法案、等级保护标准要求生成多维度综合报告；支持按照数据库访问行为生成报表，智能识别帐号的增删、权限变更、密码修改、特权操作等行为；支持按照时间曲线统计流量、在线用户数、并发会话、DD1操作数、DM1操作数、执行量最多的SQ1语句等报表；支持性能分析，准确提炼出SQ1语句执行频率和执行时间异常的报表；支持HTM1、PDF、Word等格式的报表导出。10.模型分析为了更加智能发现数据库安全问题，产品需要具备以下功能：支持对数据库自动建模及智能对异常行为告警功能（声邂供国家权威检测机构（公安部或国家保密科技测评中心）检测报告证明）；可通过行为轨迹图方式展示数据库访问行为；对学习的安全基线以外

14、的行为自动智能进行告警。11.数据管理为满足数据备份保留的需求，产品需要具备以下功能：支持根据在线数据最小保留天数和在线数据的磁盘空间占比自动清理早期数据；支持将审计日志通过FTP的方式外送，支持自定义在线数据备份时间周期；提供审计策略和系统配置信息的单独导入、导出功能。12.系统管理为增加系统管理的安全性、适应性、可维护性，产品需要具备以下的功能：支持用户界面告警、SNMP、邮件、短信四种方式告警；采用B/S架构管理；支持系统安全配置（登录超时、用户登录失败锁定策略、密码强弱策略、密码有效时间）；支持NTP时间同步，客户端浏览器时间同步、SNMP（V1、V2、V3）网络管理协议。13.API

15、化功能全面API化，支持第三方调用（需要提供API功能列表）。14.易用性支持资产组管理；支持分组管理，分组管理包含IP组、应用用户组、对象组、时间组、数据库账号组；支持一键取证；支持区分历史会话和在线会话；支持1ADP用户认证；支持配置过滤规则，过滤规则包含IP过滤、SQ1模板过滤和自定义过滤，自定义过滤条件不少于25个条件。15.租户化管理支持租户化管理，针对租户的账户只授权租户可查看租户内的数据库产生的审计日志、告警信息。16.产品要求产品资质所有资质必须为数据库审计产品专有的资质，非网络审计产品或综合审计产品的资质；具备公安部颁发的计算机信息系统安全专用产品销售许可证，数据库安全审计国标-增强级；具备国家信息安全测评中心颁发的信息技术产品安全测评证书，级别EA13+,提供证书复印件；通过中国网络安全审查技术与认证中心颁发的中国国家信息安全产品认证证书，增强级或以上，提供证书复印f1；具备国家保密科技测评中心