信息化项目第三方测评服务项目采购需求.docx

《信息化项目第三方测评服务项目采购需求.docx》由会员分享，可在线阅读，更多相关《信息化项目第三方测评服务项目采购需求.docx（26页珍藏版）》请在优知文库上搜索。

1、信息化项目第三方测评服务项目采购需求一、项目要求与依据（一）主要测评依据（以国家相关部门颁发的最新标准为准）1、GB/T8567-2006计算机软件文档编制规范2、GBT9385-2008计算机软件需求规格说明规范3、GB/T9386-2008计算机软件测试文档编制规范4、GBT14394-2008计算机软件可靠性和可维护性管理5、GBT25000.51-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则6、GB/T22080-2008信息技术安全技术信息安全管理体系要求7、GBZ24364-2009信息安全技术信息安全风

2、险管理指南8、GB/T28453-2012信息安全技术信息系统安全管理评估要求9、ISO15408（CC）信息技术-安全技术-IT安全评估准则10、XX市XX区政府投资信息化项目管理办法11、项目相关文档（包括但不限于）：可行性研究报告、项目建设方案、项目招投标文件、项目合同书、需求说明书、概要设计说明书、数据库设计说明书、详细设计说明书、用户使用手册、操作手册、系统维护手册、系统安装手册、工程变更单等。（二）第三方测评内容与要求1、服务商应及时完成验收测评、安全测评现场测评工作，对测评中发现的问题提供整改建议及回归测试等服务。2、符合性检查应依据项目立项申报资料、XX区政务服务和数据管理局立

3、项审核意见、项目验收文档和第三方测评报告（需测评项目）等，对项目建设内容的完整性和前后一致性进行综合审查。二、服务目标与原则通过组织服务商对区财政投资信息化项目进行测评，及时发现项目中存在的问题、及时进行整改，提高项目建设质量，规范项目验收流程，从而达到规范项目实施流程，提高项目建设质量和资金使用效果，加强XX区财政投资信息化项目管理的目的。1、公平原则服务商需严格遵守国家现行的有关标准,公正、独立、自主地开展测评工作，维护采购人的合法权益。2、标准性原则服务商应依据相关国家标准、行业标准开展测试和分析工作。要求所使用的标准和规范如与实施方所执行的标准不一致时，按较高标准执行。3、优质服务原则

4、要求服务商提供的是最低限度的要求，服务商应保证提供符合测试和分析要求和有关标准的优质服务，并确保测试报告符合项目最终验收的所有要求。4、保密原则对测试和分析服务过程中接触到的各种信息，不得泄漏给任何单位和个人,未经允许不得利用这些信息从事与服务无关的活动。服务商及服务商安排的工程师需要和项目采购人签订保密协议，服务商对项目下的保密资料应尽到管理人的义务，保密义务最低不得低于其对自己保密信息应尽的审慎态度。如保密资料涉及国家机密，服务商应当遵守国家有关国家机密的保密规定。采购人应与服务商签订保密协议，以厘清服务商保密职责与义务。5、非破坏性测试原则对于被测试的业务系统应确保系统运行和数据安全，不

5、得产生因测试带来的系统破坏和数据损失，并不因测试而产生其它非业务数据，如确实因测试需要而产生非业务数据，则须经过采购人同意方可开展测试（提供承诺函，格式自拟）。三、项目服务内容要求根据相关国家、行业标准、XX市XX区政府投资信息化项目管理办法、项目资料等为XX区政务信息化项目制订测评方案，并根据测评方案中规定的指标和评判标准对指定测评对象(包括软硬件)实施测评，其中包括对信息安全、信息网络系统、应用系统、信息资源共享、公共信息平台、视频类平台、符合性进行测评，在实施测评前与实施测评后分别提交详细的项目测评方案、项目信息安全测评报告、验收测评报告及符合性检查报告。投标人提供同类型测评案例的测评方

6、案及报告，应包括对每种测评类型所采用标准、测评方法和测评工具的详细描述，内容包括但不限于：(一)信息安全测评服务1 .测试内容(1)系统配置检查服务器操作系统序号测评对象测评单元测评项要求备注1服务器操作系统身份鉴别应采用账户名密码、生物技术、动态口令等一种或多种相结合的身份认证方式。配置修改2服务器操作系统身份鉴别1、操作系统口令应有复杂度要求并定期更换，要求账户口令长度应至少为8位，口令必须从字符(a-z,A-Z)、数字(0-9)、符号(!#$%八&*()_)中至少选择两种进行组合。2、必须修改默认初始化密码配置修改3服务器操作系统身份鉴别应启用用户登录失败处理功能，可采取结束会话、限制非

7、法登录次数和自动退出等措施。配置修改4服务器操作系统身份鉴别对主机系统进行远程管理应采用加密的方式进行访问。配置修改5服务器操作系统访问控制应确保用户名唯一性，保证操作系统特权用户权限分离（如：实现操作系统和数据库特权用户的权限分离）。配置修改6服务器操作系统访问控制应重命名系统默认账户，修改默认账户口令。配置修改7服务器操作系统访问控制应定期审查操作系统账户，及时删除或禁用多余、过期的账户。配置修改8服务器操作系统访问控制应对重要系统文件的访问权限进行限制。配置修改9服务器操作系统访问控制应关闭操作系统的共享服务，并关闭多余的服务端口,关闭445、139、135、21、23等敏感服务端口配置

8、修改10服务器操作系统安全审计应开启操作系统日志审计功能，或通过第三方审计系统对操作系统进行审计，审计策略应覆盖到所有用户。配置修改11服务器操作系统安全审计审计日志记录必须保存两个月以上，应避免日志文件受到未预期的删除、修改或覆盖等。配置修改12服务器操作系统安全审计应设定日志系统配置文件权限和日志文件权配置修改数据库系统序号测评对象测评单元测评项要求备注1数据库系统身份鉴别数据库口令应有复杂度要求并定期更换，要求管理员账户口令长度应至少为8位，口令必须从字符(a-z,A-Z)、数字(0-9)、符号(！#$%八&*()_)中至少选择两种进行组合，普通账户口令至少为6位，由非纯数字或字母组成。

9、配置修改(组件安装)2数据库系统身份鉴别应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。配置修改3据库系统身份鉴别当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。配置修改4数据库系统身份鉴别应为数据库系统的不同用户分配不同的用户名，禁止多人共用一个数据库管理员账号。配置修改5数据库系统访问控制应启用访问控制功能，依据安全策略控制用户对资源的访问。要求数据库系统的宿主操作系统除提供数据库服务外，不得提供其它网络服务，如：WWWFTP、DNS等。限制数据库安装、数据文件、备份等目录的权限。关闭不必要的数据库系统服务。配置修改6数据库系统访问控

10、制应在宿主操作系统中设置本地数据库专用账号，并赋予该账户除运配置修改行各种数据库服务外的最低权限。7数据库系统访问控制应用系统账户应按照最小权限的原则，严禁应用系统账户具有DBA权限。配置修改8数据库系统访问控制应限制默认账户的访问权限，修改默认账户的默认口令。配置修改9数据库系统访问控制应定期审查数据库账户，及时删除或禁用多余、过期的账户。配置修改10数据库系统安全审计应开启数据库审计功能，或通过第三方审计系统对数据库进行审计，审计范围应覆盖到数据库所有账户。配置修改11数据库系统安全审计应保护审计记录，避免受到未预期的删除、修改或覆盖等，审计记录要求保存2个月以上。配置修改12数据库系统安

11、全审计应设定日志系统配置文件权限和日志文件权限。配置修改13数据库系统入侵防范数据库应遵循最小安装的原则，仅安装需要的组件，并定期更新数据库补丁。配置修改补丁安装14数据库系统入侵防范应加密保存数据库中的敏感字段，如：用户鉴别信息等。应用设计（代码）Web中间件系统序号测评对象测评单元测评项要求备注1Web中间件系统身份鉴别设置口令安全策略，口令长度至少为8位以上，口令必须从字符（a-z,A-Z）、数字（0-9）、符号（!配置修改（一般禁用）#$%八&*（）_）中至少选择两种进行组合，由非纯数字或字母组成。如中间件无法配置口令安全策略，应从管理上要求。2Web中间件系统身份鉴别中间件用户鉴别信

12、息应加密存储。配置修改（一般禁用）3Web中间件系统身份鉴别应提供登录失败处理功能，限制账户非法登录次4数，设置账户失败尝试次数、账户锁定时间等。配置修改（一般禁用）4Web中间件系统访问控制中间件系统的宿主操作系统除运行中间件以及与信息系统运行相关的服务和功能外，不应提供多余的服务或功能，不应开放多余的关口。配置修改5Web中间件系统访问控制应在宿主操作系统中设置本地中间件专用账户，并赋予该账户除运行中间件服务外的最低权限。配置修改6Web中间件系统访问控制应对中间件的默认管理账户进行管控，修改默认用户名及默认口令。配置修改（一般禁用）7Web中间件系统安全审计应设置中间件的日志审计功能，并

13、对审计进程进行保护。配置修改8Web中间件系统安全审计应设置审计日志容量的50M以上，日志必须保存超过2个月。配置修改9Web中间件系统安全审计应对安全审计的日志记录文件进行保护，设置记录文件的访问权限，windows操作系统everyone用户应没有写权限，其他操作系配置修改统用户权限应低于640o10Web中间件系统资源控制中间件应启用会话超时功能。配置修改11Web中间件系统入侵防范中间件应对错误页面进行了重定向处理。配置修改12Web中间件系统入侵防范中间应禁止目录遍历。配置修改13Web中间件系统入侵防范中间件应对版本信息进行隐藏。配置修改14Web中间件系统入侵防范中间件管理后台操作进行登录源限制。配置修改（一般禁用）应用系统序号测评对象测评单元测评项要求备注1应用系统身份鉴别应启用应用系统身份认证功能。应用设计（代码）2应用系统身份鉴别管理员账户口令长度至少为8位，口令必须从字符（a-z,A-Z）、数字（0-9）、符号（!#$%八&*（）_）中至少选择两种进行组合，普通账户口令至少为6位，由非纯数字或字母组成，密码验证在数据库存储过程中实现。应用设计（代码）3应用系统身份鉴别非单点登录的应用系统，登录时应附加随机码验证。应用设计（代码）4应用系统身份鉴别应提供应用系统登录失败处理功能，可采取结束会话、限制非法应用设计（代码）登录次数和自动退出等措施。