寶麗華二期鍋爐技術(shù)協(xié)議中煤招標(biāo)

1、 大海則煤礦110KV變電站電力監(jiān)控信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)技術(shù)規(guī)范書招 標(biāo) 人：2018年01月2投標(biāo)人資質(zhì)要求：（一）基本資格要求1投標(biāo)人應(yīng)為中國(guó)境內(nèi)注冊(cè)機(jī)構(gòu)，具有獨(dú)立法人資格。2具有完善的質(zhì)量管理體系，必須持有國(guó)家認(rèn)定的資質(zhì)機(jī)構(gòu)頒發(fā)的ISO9001質(zhì)量管理體系認(rèn)證證書或等同的質(zhì)量管理體系認(rèn)證證書。3最近三年內(nèi)沒有發(fā)生騙取中標(biāo)、嚴(yán)重違約等不良行為。4沒有處于被責(zé)令停業(yè)，財(cái)產(chǎn)被接管、凍結(jié)及破產(chǎn)狀態(tài)。5具有良好的銀行資信和商業(yè)信譽(yù)，經(jīng)營(yíng)狀況良好。6投標(biāo)人與招標(biāo)人不存在現(xiàn)實(shí)的或潛在的利益沖突。（二）專項(xiàng)資格要求1投標(biāo)人應(yīng)是專業(yè)從事系統(tǒng)集成的機(jī)構(gòu)，有固定的工作場(chǎng)所和長(zhǎng)期穩(wěn)定的經(jīng)驗(yàn)豐富的項(xiàng)目團(tuán)隊(duì)。2

2、投標(biāo)人為外資企業(yè)的，應(yīng)在中國(guó)境內(nèi)設(shè)立分支機(jī)構(gòu)5年以上。3、測(cè)評(píng)機(jī)構(gòu)須具有信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)一級(jí)資質(zhì)；4、具有國(guó)家級(jí)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書；5、投標(biāo)人注冊(cè)資本金應(yīng)在人民幣1000萬元及以上。6投標(biāo)人應(yīng)具有近三年內(nèi)同類項(xiàng)目的實(shí)施經(jīng)驗(yàn)和成功案例，提供相關(guān)證明材料。7投標(biāo)人應(yīng)具備駐項(xiàng)目建設(shè)單位所在地進(jìn)行現(xiàn)場(chǎng)服務(wù)的能力。8投標(biāo)人擬選派參與本項(xiàng)目實(shí)施服務(wù)的現(xiàn)場(chǎng)項(xiàng)目經(jīng)理應(yīng)具有同類項(xiàng)目的項(xiàng)目經(jīng)理工作經(jīng)歷。9本項(xiàng)目不接受聯(lián)合體投標(biāo)。附件1 技術(shù)規(guī)范1 總則1.1 項(xiàng)目背景為了落實(shí)國(guó)家公安部信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào)）、國(guó)家能源局國(guó)家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全

3、防護(hù)方案和評(píng)估規(guī)范的通知（國(guó)能安全201536號(hào)）等相關(guān)文件要求，提高電力監(jiān)控系統(tǒng)安全防護(hù)水平，防止因電力監(jiān)控系統(tǒng)安全事件引發(fā)電力安全事故，大海則煤礦110KV變電站（以下簡(jiǎn)稱甲方）編制本技術(shù)規(guī)范書，對(duì)本公司電力信息系統(tǒng)進(jìn)行電力監(jiān)控系統(tǒng)安全評(píng)估（以下簡(jiǎn)稱評(píng)估）項(xiàng)目提出規(guī)范、技術(shù)要求和說明。項(xiàng)目全稱為：1電力監(jiān)控系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)。1.2 工作目標(biāo)大海則煤礦110KV變電站電力監(jiān)控信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目的總體目標(biāo)為：從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析電力監(jiān)控系統(tǒng)信息所面臨的威脅及其存在的脆弱性，評(píng)估信息安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)策略和整

4、改措施，為防范和化解信息安全風(fēng)險(xiǎn)、將風(fēng)險(xiǎn)控制在可接受的水平、最大限度地防止由于電力監(jiān)控系統(tǒng)信息安全事件引發(fā)電力安全事故、全面提升電力監(jiān)控系統(tǒng)安全防護(hù)水平提供科學(xué)依據(jù)。1.3 一般規(guī)定1） 實(shí)施方（以下簡(jiǎn)稱乙方）應(yīng)仔細(xì)閱讀本技術(shù)規(guī)范書所列的各項(xiàng)規(guī)范，所提供的安全服務(wù)應(yīng)滿足本技術(shù)規(guī)范書提出的要求，乙方也可以推薦滿足本技術(shù)規(guī)范的其他方案，但必須對(duì)其與本技術(shù)規(guī)范書的差異加以詳細(xì)說明；若無說明，則按對(duì)乙方不利的方面理解。2） 本技術(shù)規(guī)范書由甲方提供給乙方，作為乙方編寫項(xiàng)目建議書和報(bào)價(jià)之用。3） 乙方應(yīng)具備公安部頒發(fā)的信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)資質(zhì)的要求。4） 乙方應(yīng)在項(xiàng)目實(shí)施計(jì)劃中確認(rèn)主要技術(shù)人員，主要技

5、術(shù)人員必須具有相關(guān)資質(zhì)。5） 乙方應(yīng)在規(guī)定時(shí)間內(nèi)，向甲方提供符合本技術(shù)規(guī)范書要求的詳細(xì)的項(xiàng)目建議書和報(bào)價(jià)清單，報(bào)價(jià)內(nèi)容應(yīng)包括現(xiàn)場(chǎng)測(cè)評(píng)內(nèi)容、技術(shù)服務(wù)及驗(yàn)收等。6） 乙方在項(xiàng)目建議書中，對(duì)本技術(shù)規(guī)范書中提出的技術(shù)及項(xiàng)目要求應(yīng)逐項(xiàng)予以說明和答復(fù)，對(duì)涉及到的主要需求、技術(shù)及服務(wù)應(yīng)做詳細(xì)的說明。乙方亦可根據(jù)甲方系統(tǒng)功能的具體情況，在項(xiàng)目建議書中提出建議，并附詳細(xì)資料和說明。7） 對(duì)本技術(shù)規(guī)范書各條目的應(yīng)答應(yīng)為“滿足”、“不滿足”、“部分滿足”，不得使用“明白”、“理解”等詞語，在答復(fù)中，應(yīng)明確滿足的程度，并做出具體、詳細(xì)的說明，凡采用“詳見”、“參見”方式說明的，應(yīng)指明參見文檔中的具體的章節(jié)或頁碼，否則

6、將視技術(shù)建議書不符合要求且該應(yīng)答無效。8） 乙方提供的安全服務(wù)必須在技術(shù)上先進(jìn)和成熟，使用工具軟件版本是最新的并且成熟穩(wěn)定，乙方在評(píng)估過程中保證系統(tǒng)的穩(wěn)定性。9） 甲方保留解釋修改本技術(shù)規(guī)范書的權(quán)力。10） 等級(jí)保護(hù)測(cè)評(píng)現(xiàn)場(chǎng)工作結(jié)束后，如果甲方對(duì)提出的安全問題有疑義，乙方應(yīng)予解答。11） 乙方應(yīng)承諾在評(píng)估過程中所使用的工具軟件本身不能有任何安全隱患，對(duì)此應(yīng)承擔(dān)責(zé)任。任何由乙方工具設(shè)備（軟件）引起的甲方事故，乙方應(yīng)承擔(dān)連帶責(zé)任。12） 本技術(shù)規(guī)范書未盡事宜，由甲方和乙方在合同技術(shù)談判時(shí)協(xié)商確定。2 工作范圍乙方工作范圍： 大海則煤礦110kV變電站電力監(jiān)控系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)。3 標(biāo)準(zhǔn)和規(guī)范

7、除本技術(shù)規(guī)范書特別規(guī)定外，乙方所提供的測(cè)評(píng)標(biāo)準(zhǔn)均應(yīng)遵循公安部、能源局相關(guān)文件要求和甲方的相關(guān)文件要求，所用的標(biāo)準(zhǔn)必須是其最新版本；如果這些標(biāo)準(zhǔn)內(nèi)容矛盾時(shí)，應(yīng)按最高標(biāo)準(zhǔn)的條款執(zhí)行或按雙方商定的標(biāo)準(zhǔn)執(zhí)行；如果乙方選用本技術(shù)規(guī)范書規(guī)定以外的標(biāo)準(zhǔn)時(shí)，需提交與這種替換標(biāo)準(zhǔn)相當(dāng)?shù)幕騼?yōu)于規(guī)定標(biāo)準(zhǔn)的證明，供甲方確認(rèn)。乙方提供的軟件必須符合下列標(biāo)準(zhǔn)和規(guī)范的最新版本，但不限于此： 信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào)） 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 22239-2008 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GB/T 22240-2008 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南G

8、B/T 25058-2010 關(guān)于開展電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（電監(jiān)信息200734號(hào)） 電力行業(yè)信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見（電監(jiān)信息200744號(hào)） 電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求（電監(jiān)信息201262號(hào)） 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求GB/T 28448-2012 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南GB/T 8449-2012 電力行業(yè)信息安全等級(jí)保護(hù)管理辦法（國(guó)能安全2014318號(hào)） 電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法（國(guó)能安全2014317號(hào)）4 安全管理為做好全過程的安全保密工作，乙方在等級(jí)保護(hù)測(cè)評(píng)前、中、后三個(gè)階段都要做好安全保密工

9、作。等級(jí)保護(hù)測(cè)評(píng)前：1） 對(duì)等保測(cè)評(píng)人員要進(jìn)行安全保密教育，制定安全保密措施；2） 簽訂安全保密協(xié)議。等級(jí)保護(hù)測(cè)評(píng)中：1） 對(duì)被測(cè)單位的性質(zhì)、機(jī)房物理位置、網(wǎng)絡(luò)與系統(tǒng)、應(yīng)用與服務(wù)、資料與數(shù)據(jù)、人員與管理等方面的信息進(jìn)行嚴(yán)格的安全保密管理；2） 等級(jí)保護(hù)測(cè)評(píng)工具應(yīng)經(jīng)過嚴(yán)格測(cè)試和檢驗(yàn)，確保不對(duì)甲方被測(cè)評(píng)系統(tǒng)造成損失，工作結(jié)束后不駐留任何程序；3） 對(duì)甲方電力監(jiān)控系統(tǒng)的信息資產(chǎn)、發(fā)現(xiàn)的脆弱性和發(fā)生過的安全事件等威脅情況要控制知情范圍；4） 對(duì)測(cè)評(píng)設(shè)備、介質(zhì)進(jìn)行嚴(yán)格的保密管理；5） 工作過程中對(duì)人員要實(shí)施封閉式集中管理；6） 對(duì)進(jìn)場(chǎng)人員遵守被測(cè)單位的相關(guān)管理規(guī)定。等級(jí)保護(hù)測(cè)評(píng)后：1） 認(rèn)真清退各種文檔

10、、資料和數(shù)據(jù)并予以銷毀，確保工作過程中敏感數(shù)據(jù)不被泄漏；2） 現(xiàn)場(chǎng)工作結(jié)束后，按被測(cè)單位的要求及時(shí)還原系統(tǒng)，確保系統(tǒng)中不遺留任何代碼或可執(zhí)行程序；在其他風(fēng)險(xiǎn)測(cè)評(píng)任務(wù)或宣傳材料中不涉及被測(cè)單位的秘密、敏感情況。5 權(quán)利和職責(zé)為切實(shí)保障本項(xiàng)目的工作質(zhì)量，確保測(cè)評(píng)（評(píng)估）工作達(dá)到預(yù)期目標(biāo)，對(duì)甲乙雙方技術(shù)工作責(zé)任進(jìn)行約定。5.1 甲方責(zé)任1） 加強(qiáng)與乙方溝通，明確測(cè)評(píng)（評(píng)估）要求和工作流程，與乙方簽署保密協(xié)議，明確雙方責(zé)任。2） 現(xiàn)場(chǎng)工作應(yīng)嚴(yán)格履行監(jiān)控系統(tǒng)工作票制度，完善測(cè)評(píng)（評(píng)估）系統(tǒng)應(yīng)急預(yù)案，明確應(yīng)急處置措施。3） 為乙方提供良好的工作場(chǎng)地和環(huán)境，并按要求提供測(cè)評(píng)（評(píng)估）所需材料。4） 加強(qiáng)測(cè)評(píng)（

11、評(píng)估）過程管理，在測(cè)評(píng)（評(píng)估）過程中，要加強(qiáng)機(jī)房管理，明確專人全程配合乙方開展現(xiàn)場(chǎng)測(cè)評(píng)（評(píng)估），不得因現(xiàn)場(chǎng)測(cè)評(píng)（評(píng)估）工作影響業(yè)務(wù)系統(tǒng)運(yùn)行。5） 強(qiáng)化保密工作，防止測(cè)評(píng)（評(píng)估）過程中企業(yè)商業(yè)信息和監(jiān)控系統(tǒng)相關(guān)信息泄露。5.2 乙方責(zé)任1） 按照甲方工作章程開展工作。2） 遵循“流程規(guī)范、方法科學(xué)、結(jié)論公正”的原則，按照信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)防護(hù)評(píng)估工作的有關(guān)標(biāo)準(zhǔn)、規(guī)范的要求，依據(jù)國(guó)家和行業(yè)相關(guān)標(biāo)準(zhǔn)規(guī)范開展測(cè)評(píng)（評(píng)估）工作。3） 選擇政治可靠、技術(shù)過硬，有測(cè)評(píng)（評(píng)估）資質(zhì)的人員組建測(cè)評(píng)（評(píng)估）工作小組，測(cè)評(píng)（評(píng)估）人員應(yīng)明確各自職責(zé)。4） 根據(jù)實(shí)際情況制定甲方的具體測(cè)評(píng)（評(píng)估）實(shí)施計(jì)劃方案。5

12、） 加強(qiáng)測(cè)評(píng)（評(píng)估）過程管理，現(xiàn)場(chǎng)測(cè)評(píng)（評(píng)估）人員要遵守甲方相關(guān)管理制度，加強(qiáng)協(xié)調(diào)，做好突發(fā)事件的預(yù)防控制工作。6） 測(cè)評(píng)（評(píng)估）結(jié)束后，按時(shí)完成測(cè)評(píng)報(bào)告和評(píng)估報(bào)告，協(xié)助甲方進(jìn)行信息系統(tǒng)安全等級(jí)保護(hù)評(píng)估整改工作。7） 本項(xiàng)目禁止任何形式的外包，所有項(xiàng)目團(tuán)隊(duì)成員須為乙方的正式員工。8） 本項(xiàng)目的項(xiàng)目經(jīng)理和項(xiàng)目顧問未經(jīng)甲方認(rèn)可，不得隨意更換；若甲方認(rèn)為顧問不能勝任工作，可以提出更換要求。同時(shí)，甲乙雙方都必須遵循保密要求，雙方簽訂保密協(xié)議。6 工作原則與要求6.1 本次測(cè)評(píng)應(yīng)滿足的原則本次所招標(biāo)項(xiàng)目實(shí)施方案設(shè)計(jì)與具體實(shí)施必須滿足以下原則：1) 保密原則：對(duì)測(cè)評(píng)（評(píng)估）的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未

13、經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)進(jìn)行任何侵害甲方的行為，否則甲方有權(quán)追究乙方的責(zé)任。2) 標(biāo)準(zhǔn)性原則：測(cè)評(píng)（評(píng)估）方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)和電力監(jiān)控系統(tǒng)安全防護(hù)的相關(guān)標(biāo)準(zhǔn)進(jìn)行。3) 規(guī)范性原則：乙方工作中的過程和文檔，應(yīng)具有很好的規(guī)范性，便于項(xiàng)目的跟蹤和控制。4) 可控性原則：測(cè)評(píng)（評(píng)估）服務(wù)的進(jìn)度要跟上進(jìn)度表的安排，保證甲方對(duì)于測(cè)評(píng)（評(píng)估）工作的可控性。5) 整體性原則：測(cè)評(píng)（評(píng)估）的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括國(guó)家等級(jí)保護(hù)相關(guān)要求和電力監(jiān)控系統(tǒng)安全防護(hù)涉及的各個(gè)層面。6) 最小影響原則：測(cè)評(píng)（評(píng)估）工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)，并在可控范圍內(nèi)；測(cè)評(píng)（評(píng)

14、估）工作不能對(duì)現(xiàn)有信息系統(tǒng)的正常運(yùn)行、業(yè)務(wù)的正常開展產(chǎn)生任何影響。乙方應(yīng)嚴(yán)格依照上述原則和國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)開展項(xiàng)目實(shí)施工作。6.2 本次測(cè)評(píng)的整體要求1) 乙方應(yīng)詳細(xì)描述本次項(xiàng)目的整體實(shí)施方案，包括項(xiàng)目概述、測(cè)評(píng)（評(píng)估）方案、項(xiàng)目實(shí)施方案、測(cè)試過程中使用的測(cè)試設(shè)備清單、時(shí)間安排、階段性文檔提交和驗(yàn)收標(biāo)準(zhǔn)等。2) 乙方應(yīng)詳細(xì)描述測(cè)評(píng)（評(píng)估）人員的組成、資質(zhì)及各自職責(zé)；乙方應(yīng)配置有經(jīng)驗(yàn)的測(cè)評(píng)（評(píng)估）人員進(jìn)行本次等級(jí)保護(hù)測(cè)評(píng)工作。 3) 本次測(cè)評(píng)（評(píng)估）實(shí)施過程中所使用到的各種工具軟件由乙方推薦，經(jīng)甲方確認(rèn)后由乙方提供并在測(cè)評(píng)中使用。在投標(biāo)文件中應(yīng)詳細(xì)描述所使用的安全測(cè)評(píng)工具（軟硬件

15、型號(hào)、功能和性能描述）、使用的方式和時(shí)間、對(duì)環(huán)境和平臺(tái)的要求以及使用可能對(duì)系統(tǒng)造成的風(fēng)險(xiǎn)等。4) 測(cè)評(píng)（評(píng)估）工具軟件運(yùn)行可能需要的硬件平臺(tái)（如筆記本電腦、PC、工作站等）和操作系統(tǒng)軟件等由乙方推薦，經(jīng)被測(cè)評(píng)（評(píng)估）系統(tǒng)的使用或管理單位確認(rèn)后由乙方提供并在測(cè)評(píng)（評(píng)估）中使用。5) 測(cè)評(píng)（評(píng)估）需要的運(yùn)行環(huán)境（如場(chǎng)地、網(wǎng)絡(luò)環(huán)境等）由被測(cè)評(píng)系統(tǒng)的使用或管理單位提供，乙方應(yīng)詳細(xì)描述需要的運(yùn)行環(huán)境的具體要求。7 風(fēng)險(xiǎn)規(guī)避與服務(wù)承諾7.1 風(fēng)險(xiǎn)規(guī)避在開展電站信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)（評(píng)估）工作中，可能引入安全風(fēng)險(xiǎn)，必須加強(qiáng)實(shí)施過程中的風(fēng)險(xiǎn)控制。等級(jí)保護(hù)測(cè)評(píng)（評(píng)估）實(shí)施前，應(yīng)根據(jù)確定的測(cè)評(píng)（評(píng)估）范圍，對(duì)

16、實(shí)施過程中可能引入的風(fēng)險(xiǎn)進(jìn)行分析，并制定應(yīng)對(duì)措施。安全測(cè)評(píng)實(shí)施過程的風(fēng)險(xiǎn)控制手段主要包括： （1）操作的申請(qǐng)和監(jiān)護(hù)在實(shí)施過程中必須遵守電力系統(tǒng)的相關(guān)操作章程，以防止敏感信息泄漏和確保及時(shí)處理意外事件。 （2）操作時(shí)間控制對(duì)直接涉及電力生產(chǎn)的電力監(jiān)控系統(tǒng)的評(píng)估（測(cè)評(píng)）工作，盡可能避開電力生產(chǎn)敏感時(shí)期。 （3）人員與數(shù)據(jù)管理必須高度重視信息保密工作，加強(qiáng)資料管理，確保人員可靠、穩(wěn)定和可控。測(cè)評(píng)與被測(cè)評(píng)單位之間應(yīng)簽署長(zhǎng)期保密協(xié)議，測(cè)評(píng)人員與測(cè)評(píng)單位之間也要有相應(yīng)的約束和控制措施，按國(guó)家有關(guān)要求做好保密工作。 （4）制定應(yīng)急預(yù)案根據(jù)測(cè)評(píng)范圍界定的電力監(jiān)控系統(tǒng)情況，在實(shí)施前制定應(yīng)急預(yù)案。 （5）運(yùn)行系統(tǒng)

17、模擬環(huán)境對(duì)電力關(guān)鍵業(yè)務(wù)系統(tǒng)的測(cè)評(píng)可以考慮優(yōu)先利用備用設(shè)備（系統(tǒng)）或搭建臨時(shí)的模擬測(cè)試環(huán)境，仿真真實(shí)系統(tǒng)的結(jié)構(gòu)、配置、數(shù)據(jù)、業(yè)務(wù)流程。測(cè)評(píng)操作在模擬環(huán)境中進(jìn)行，以保證真實(shí)性和運(yùn)行系統(tǒng)的安全、穩(wěn)定。 （6）關(guān)鍵業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)控制 對(duì)影響較大的電力關(guān)鍵業(yè)務(wù)系統(tǒng)在無法搭建模擬環(huán)境情況下，原則上不采用測(cè)評(píng)工具，采用訪談、檢查和簡(jiǎn)單測(cè)試的方式進(jìn)行。 （7）其他為防止發(fā)生影響系統(tǒng)運(yùn)行的安全事件，根據(jù)被測(cè)評(píng)對(duì)象的不同采取相應(yīng)的風(fēng)險(xiǎn)控制手段。 同時(shí)，還可采取以下輔助手段進(jìn)行風(fēng)險(xiǎn)控制和規(guī)避： （1）其他掃描預(yù)測(cè)試在可能的情況下，對(duì)掃描對(duì)象進(jìn)行預(yù)測(cè)評(píng)，或在主備環(huán)境中先測(cè)試備機(jī)；測(cè)評(píng)方式上采用分類掃描和單臺(tái)掃描，對(duì)不同

18、的測(cè)評(píng)對(duì)象執(zhí)行不同的掃描策略。 （2）減緩掃描速度通過減少并發(fā)線程來降低被掃描設(shè)備所承受的壓力，在幾次測(cè)試后得出適中的并發(fā)線程及掃描方式。 （3）優(yōu)化掃描策略分類掃描：對(duì)不同的主機(jī)和設(shè)備類型執(zhí)行不同的掃描會(huì)話，從而減少不必要的脆弱項(xiàng)目測(cè)試。針對(duì)掃描對(duì)象細(xì)化掃描策略：對(duì)不同類型的主機(jī)或設(shè)備，需要根據(jù)其上不同的應(yīng)用和服務(wù)情況，有針對(duì)性地定制掃描策略選項(xiàng)。 （4）數(shù)據(jù)備份與恢復(fù)對(duì)業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫主機(jī)，應(yīng)對(duì)其上數(shù)據(jù)進(jìn)行備份，防止測(cè)評(píng)過程中對(duì)設(shè)備與主機(jī)的損傷影響業(yè)務(wù)系統(tǒng)的正常運(yùn)行。 （5）廠商協(xié)作廠商需要提供各應(yīng)用系統(tǒng)的名稱、版本、協(xié)議、開發(fā)語言、進(jìn)程名和相應(yīng)的端口號(hào)等信息；在測(cè)評(píng)之前，由三方共同分析測(cè)

19、評(píng)對(duì)業(yè)務(wù)可能造成的風(fēng)險(xiǎn)，分析可能存在的問題，在測(cè)評(píng)過程中盡量規(guī)避這些風(fēng)險(xiǎn)。7.2 服務(wù)承諾乙方承諾向甲方提供1年電力監(jiān)控系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)咨詢服務(wù)，包括：電力行業(yè)等級(jí)保護(hù)知識(shí)、信息安全技術(shù)和管理策略等咨詢和答疑。8 測(cè)評(píng)（評(píng)估）內(nèi)容大海則煤礦110KV變電站信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)。根據(jù)國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)，電力監(jiān)控系統(tǒng)的安全等級(jí)保護(hù)測(cè)評(píng)應(yīng)包括以下內(nèi)容：安全等級(jí)技術(shù)測(cè)評(píng)：包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面的安全測(cè)評(píng)；安全等級(jí)管理測(cè)評(píng)：包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全測(cè)評(píng)。根據(jù)國(guó)家及電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)評(píng)估

20、相關(guān)標(biāo)準(zhǔn)，在電力監(jiān)控系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)（即以上安全技術(shù)與安全管理測(cè)評(píng)）的基礎(chǔ)上，增加如下測(cè)評(píng)項(xiàng)：資產(chǎn)評(píng)估、威脅評(píng)估、通用應(yīng)用評(píng)估、現(xiàn)有安全措施有效性評(píng)估、白客滲透檢測(cè)、終端檢測(cè)、外設(shè)檢測(cè)等。8.1 等級(jí)保護(hù)測(cè)評(píng)8.1.1 物理安全物理安全測(cè)評(píng)是對(duì)信息系統(tǒng)的機(jī)房和辦公場(chǎng)所的物理環(huán)境安全防護(hù)情況進(jìn)行測(cè)評(píng)，包括機(jī)房位置選址、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等方面的安全狀況。8.1.2 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全測(cè)評(píng)是對(duì)信息系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)安全防護(hù)情況進(jìn)行測(cè)評(píng)，包括網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)邊界完整性檢查、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)惡意代

21、碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等方面的安全狀況。8.1.3 主機(jī)安全主機(jī)安全測(cè)評(píng)是對(duì)電力監(jiān)控系統(tǒng)的服務(wù)器、數(shù)據(jù)庫和終端主機(jī)系統(tǒng)的信息安全防護(hù)情況進(jìn)行測(cè)評(píng)，包括操作系統(tǒng)和數(shù)據(jù)庫層面的身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計(jì)、剩余信息保護(hù)、主機(jī)入侵防范、主機(jī)惡意代碼防范、主機(jī)資源控制等方面的安全狀況。8.1.4 應(yīng)用安全應(yīng)用安全測(cè)評(píng)是對(duì)電力監(jiān)控系統(tǒng)的業(yè)務(wù)系統(tǒng)的安全防護(hù)情況進(jìn)行測(cè)評(píng)，包括應(yīng)用系統(tǒng)層面的身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、應(yīng)用系統(tǒng)的資源控制等方面的安全狀況。8.1.5 數(shù)據(jù)安全數(shù)據(jù)安全及備份恢復(fù)測(cè)評(píng)是對(duì)電力監(jiān)控系統(tǒng)信息

22、的數(shù)據(jù)安全保護(hù)情況進(jìn)行測(cè)評(píng)，包括數(shù)據(jù)在傳輸和存儲(chǔ)過程中的完整性、保密性措施，數(shù)據(jù)備份和恢復(fù)措施。8.1.6 安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)測(cè)評(píng)是對(duì)電力監(jiān)控系統(tǒng)的信息安全管理組織和崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查等情況進(jìn)行測(cè)評(píng)。8.1.7 安全管理制度安全管理制度測(cè)評(píng)是對(duì)電力監(jiān)控系統(tǒng)的信息安全管理制度體系和制度內(nèi)容、制定和發(fā)布流程、評(píng)審和修訂機(jī)制等情況進(jìn)行測(cè)評(píng)。8.1.8 人員安全管理人員安全管理測(cè)評(píng)是對(duì)電力監(jiān)控系統(tǒng)信息安全相關(guān)內(nèi)部人員的人員錄用、人員離崗、人員考核、安全意識(shí)教育和培訓(xùn)，以及外部人員訪問管理等情況進(jìn)行測(cè)評(píng)。8.1.9 系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理測(cè)評(píng)是對(duì)電力監(jiān)控系統(tǒng)信

23、息安全建設(shè)過程中的系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自主軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)測(cè)評(píng)、安全服務(wù)商選擇等情況進(jìn)行測(cè)評(píng)。8.1.10 系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理測(cè)評(píng)是對(duì)電力監(jiān)控系統(tǒng)信息安全運(yùn)行維護(hù)過程中的環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等情況進(jìn)行測(cè)評(píng)。8.2 電力監(jiān)控系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)8.2.1 資產(chǎn)評(píng)估資產(chǎn)評(píng)估對(duì)象包括：網(wǎng)絡(luò)、主機(jī)、安全防護(hù)措施、應(yīng)用系統(tǒng)等。根據(jù)被測(cè)評(píng)單位風(fēng)險(xiǎn)評(píng)估有關(guān)技術(shù)要求，資產(chǎn)評(píng)估主要

24、考慮兩個(gè)方面的內(nèi)容：一是信息系統(tǒng)中所存儲(chǔ)、處理、傳輸?shù)闹饕畔?，二是信息系統(tǒng)所提供的主要服務(wù)。通過對(duì)每一類信息和服務(wù)等級(jí)的分析，最終確定信息系統(tǒng)的重要性級(jí)別。資產(chǎn)評(píng)估具體步驟包括：資產(chǎn)數(shù)據(jù)整理與核實(shí)、資產(chǎn)重要程度分析。其中，資產(chǎn)數(shù)據(jù)整理與核實(shí)是根據(jù)被評(píng)估單位前期提交的資料，進(jìn)行資產(chǎn)數(shù)據(jù)的真實(shí)性的查證與確認(rèn)。資產(chǎn)重要程度分析是根據(jù)資產(chǎn)承載的數(shù)據(jù)、提供的服務(wù)，判定資產(chǎn)重要程度的過程。8.2.2 威脅評(píng)估威脅評(píng)估是對(duì)被評(píng)估單位業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)與信息系統(tǒng)面臨的威脅進(jìn)行分析的過程。威脅評(píng)估依據(jù)電力二次系統(tǒng)安全防護(hù)評(píng)估實(shí)施細(xì)則（審批中）提供的威脅列表，以運(yùn)行與管理人員訪談的方式進(jìn)行。如被評(píng)估單位能夠提供歷史

25、信息安全事件統(tǒng)計(jì)，也可作為威脅評(píng)估的補(bǔ)充內(nèi)容。通過威脅評(píng)估，要達(dá)到明確被評(píng)估單位信息系統(tǒng)面臨的主要威脅，以及這些威脅的等級(jí)的目的。8.2.3 通用應(yīng)用評(píng)估通用應(yīng)用評(píng)估是對(duì)信息系統(tǒng)中的數(shù)據(jù)庫服務(wù)、Web服務(wù)等通用應(yīng)用進(jìn)行的安全配置檢查，達(dá)到發(fā)現(xiàn)通用應(yīng)用安全漏洞的目的。通用應(yīng)用評(píng)估也采用人工審計(jì)和漏洞掃描兩種方式進(jìn)行。8.2.4 現(xiàn)有安全措施有效性評(píng)估現(xiàn)有安全措施有效性評(píng)估是對(duì)對(duì)信息系統(tǒng)中部署的主要安全防護(hù)措施進(jìn)行的審計(jì)，達(dá)到確定這些安全措施的管理和使用情況是否存在重大漏洞和缺陷，明確現(xiàn)有安全措施的有效性程度的目的?，F(xiàn)有安全措施的評(píng)估主要采用人工檢查和訪談的方式進(jìn)行。主要包括防火墻、防病毒系統(tǒng)、防

26、病毒網(wǎng)關(guān)等現(xiàn)有安全措施。8.2.5 白客滲透檢測(cè)白客滲透檢測(cè)包括兩個(gè)方面的內(nèi)容：外部滲透和內(nèi)部滲透。外部滲透主要是檢測(cè)被評(píng)估單位面對(duì)來自互聯(lián)網(wǎng)惡意入侵者滲透的防御能力。主要范圍為被評(píng)估單位對(duì)互聯(lián)網(wǎng)發(fā)布節(jié)點(diǎn)的應(yīng)用服務(wù)器、對(duì)外網(wǎng)站服務(wù)器及下屬網(wǎng)站服務(wù)器等，模擬黑客進(jìn)行滲透性測(cè)試。內(nèi)部滲透主要是檢測(cè)被評(píng)估單位面對(duì)來自內(nèi)部惡意破壞者滲透或竊密的防御能力。主要范圍為被評(píng)估單位內(nèi)網(wǎng)門戶、內(nèi)部網(wǎng)站等。8.2.6 終端檢測(cè)終端檢測(cè)主要為抽查被評(píng)估單位辦公終端和上網(wǎng)終端是否有駐留木馬、蠕蟲、惡意軟件，是否存在自定義共享文件夾，系統(tǒng)補(bǔ)丁是否及時(shí)更新安裝，關(guān)鍵工作文件存放是否恰當(dāng)?shù)惹闆r。主要通過人工查看和工具檢測(cè)兩

27、種方式來進(jìn)行。8.2.7 外設(shè)檢測(cè)外設(shè)檢測(cè)主要面向帶有硬盤、內(nèi)存或其它存儲(chǔ)設(shè)備和簡(jiǎn)易操作系統(tǒng)的網(wǎng)絡(luò)打印機(jī)、傳真機(jī)等智能設(shè)備。具體工作為判斷外設(shè)是否未設(shè)置管理員口令；是否默認(rèn)開放了FTP、TELNET、SNMP、WEB等服務(wù)，導(dǎo)致攻擊者可以輕易控制該設(shè)備或發(fā)送大量請(qǐng)求而進(jìn)行拒絕服務(wù)攻擊，具體工作通過人工查看配合工具監(jiān)測(cè)兩種方式來進(jìn)行。9 測(cè)評(píng)（評(píng)估）流程根據(jù)國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)，信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)流程分為四個(gè)階段：測(cè)評(píng)準(zhǔn)備階段、方案編制階段、現(xiàn)場(chǎng)測(cè)評(píng)階段、分析與報(bào)告編制階段。測(cè)評(píng)完成后，提供整改建議書，配合采購(gòu)方根據(jù)測(cè)評(píng)范圍進(jìn)行整改實(shí)施，整改完成后由應(yīng)答方針對(duì)整改問題進(jìn)行復(fù)測(cè)。信息系統(tǒng)安全

28、等級(jí)保護(hù)測(cè)評(píng)流程如圖1-1示：圖1-1測(cè)評(píng)工作流程圖電力監(jiān)控系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作基本流程將依照電力監(jiān)控系統(tǒng)安全防護(hù)評(píng)估規(guī)范進(jìn)行，分前期交流和啟動(dòng)準(zhǔn)備階段、現(xiàn)場(chǎng)數(shù)據(jù)采集和評(píng)估階段、風(fēng)險(xiǎn)計(jì)算和分析階段，以及總結(jié)階段。電力監(jiān)控系統(tǒng)信息安全防護(hù)評(píng)估工作基本流程如圖1-2所示。圖1-2 電力監(jiān)控信息系統(tǒng)等級(jí)保護(hù)評(píng)估工作流程圖10 實(shí)施要求10.1 進(jìn)度要求總體要求，在系統(tǒng)合同簽訂3個(gè)工作日后，啟動(dòng)項(xiàng)目，2018年12月底之前變電站的等級(jí)保護(hù)測(cè)評(píng)報(bào)告出具工作。10.1.1 籌劃準(zhǔn)備階段工作內(nèi)容：對(duì)被測(cè)評(píng)（評(píng)估）系統(tǒng)防護(hù)現(xiàn)狀進(jìn)行詳細(xì)分析和調(diào)研，初步確定測(cè)評(píng)施方案、范圍，收集材料，簽署保密協(xié)議，組建測(cè)評(píng)項(xiàng)目組

29、，并進(jìn)行進(jìn)場(chǎng)實(shí)施前的安全教育工作，同時(shí)完成了檢測(cè)工具、裝備配置等各項(xiàng)準(zhǔn)備工作。10.1.2 啟動(dòng)階段工作內(nèi)容：測(cè)評(píng)（評(píng)估）項(xiàng)目組進(jìn)駐被測(cè)單位，收集分析信息資產(chǎn)資料、網(wǎng)絡(luò)資料、業(yè)務(wù)系統(tǒng)資料和信息安全管理制度方針等相關(guān)測(cè)評(píng)所需材料，并召開啟動(dòng)會(huì)，就測(cè)評(píng)（評(píng)估）工作具體事宜進(jìn)行落實(shí)，包括確定測(cè)評(píng)（評(píng)估）計(jì)劃安排、測(cè)評(píng)（評(píng)估）范圍、測(cè)評(píng)（評(píng)估）內(nèi)容和配合需求等。10.1.3 現(xiàn)場(chǎng)測(cè)評(píng)（評(píng)估）測(cè)評(píng)（評(píng)估）項(xiàng)目組從管理和技術(shù)兩個(gè)方面入手，開展被測(cè)單位信息系統(tǒng)測(cè)評(píng)（評(píng)估）工作，包括安全區(qū)劃分、網(wǎng)絡(luò)專用，評(píng)估管理和制度、基礎(chǔ)網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、通用服務(wù)、主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、現(xiàn)有安全措施等。測(cè)評(píng)（評(píng)估）方法有顧問

30、訪談、日志審計(jì)、人工查看、漏洞掃描、自動(dòng)化工具采集、白客滲透等?，F(xiàn)場(chǎng)工作結(jié)束后，測(cè)評(píng)（評(píng)估）工作小組對(duì)現(xiàn)場(chǎng)測(cè)評(píng)情況進(jìn)行初步整理匯總，向被測(cè)單位領(lǐng)導(dǎo)和系統(tǒng)管理員等匯報(bào)現(xiàn)場(chǎng)階段工作情況。10.1.4 結(jié)論分析報(bào)告編制階段工作內(nèi)容：項(xiàng)目組對(duì)檢測(cè)情況和采集的數(shù)據(jù)進(jìn)行分類統(tǒng)計(jì)、風(fēng)險(xiǎn)計(jì)算、綜合分析與評(píng)估，撰寫被測(cè)單位系統(tǒng)大海則110kv站信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告。10.1.5 整改技術(shù)支持階段工作內(nèi)容：項(xiàng)目組針對(duì)現(xiàn)場(chǎng)測(cè)評(píng)發(fā)現(xiàn)的問題，出具整改建議后，向被測(cè)單位提供整改技術(shù)咨詢支持。10.1.6 項(xiàng)目驗(yàn)收階段工作內(nèi)容：項(xiàng)目組派遣專員與被測(cè)單位相關(guān)人員就被測(cè)單位信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目進(jìn)行驗(yàn)收，撰寫本項(xiàng)

31、目項(xiàng)目總結(jié)報(bào)告及項(xiàng)目驗(yàn)收意見。系統(tǒng)測(cè)評(píng)（評(píng)估）的驗(yàn)收在系統(tǒng)的使用單位進(jìn)行。10.2 文檔要求乙方應(yīng)對(duì)甲方的各個(gè)信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)、對(duì)電力監(jiān)控系統(tǒng)進(jìn)行安全防護(hù)評(píng)估，并形成以下文檔：序號(hào)文檔名稱提交時(shí)間備注1大海則煤礦110KV變電站信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)（評(píng)估）方案合同簽訂后1周內(nèi)2大海則煤礦110KV變電站信息系統(tǒng)等級(jí)保護(hù)現(xiàn)場(chǎng)評(píng)估測(cè)評(píng)工作報(bào)告工作期間3大海則煤礦110KV變電站信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告含系統(tǒng)整改建議及時(shí)按系統(tǒng)提交11 工作質(zhì)量要求為確保本項(xiàng)目的順利進(jìn)行和質(zhì)量可控，乙方承諾本項(xiàng)目在四個(gè)質(zhì)量控制環(huán)節(jié)進(jìn)行嚴(yán)格控制，質(zhì)量控制承諾如下： 1) 項(xiàng)目資料收集乙方需承諾根據(jù)公安部、能

32、源局及大海則煤礦110KV變電站有關(guān)技術(shù)標(biāo)準(zhǔn)要求，對(duì)各被測(cè)評(píng)信息系統(tǒng)提交的前期資料進(jìn)行審核，確保資料數(shù)據(jù)的真實(shí)性。2) 現(xiàn)場(chǎng)實(shí)施質(zhì)量承諾乙方需按照工作計(jì)劃開展對(duì)各信息系統(tǒng)現(xiàn)場(chǎng)測(cè)評(píng)（評(píng)估），采集信息系統(tǒng)的風(fēng)險(xiǎn)數(shù)據(jù)；乙方需承諾將嚴(yán)格按照本技術(shù)規(guī)范的規(guī)定開展工作。3) 技術(shù)報(bào)告質(zhì)量承諾乙方對(duì)現(xiàn)場(chǎng)階段采集到的風(fēng)險(xiǎn)數(shù)據(jù)進(jìn)行整理，并根據(jù)風(fēng)險(xiǎn)數(shù)據(jù)編寫測(cè)評(píng)（評(píng)估）相關(guān)的報(bào)告。乙方承諾在報(bào)告完成后，將及時(shí)與甲方及被測(cè)評(píng)（評(píng)估）系統(tǒng)管理單位進(jìn)行報(bào)告內(nèi)容的溝通與交流。乙方將對(duì)甲方或被測(cè)評(píng)系統(tǒng)管理單位提出的書面修改意見給予逐條的回答，明確修改與否，及其原因。12 項(xiàng)目承諾1） 乙方應(yīng)滿足甲方提出的標(biāo)準(zhǔn)性、規(guī)范性、可控性、整體性、最小影響性及保密性原則，做到守時(shí)、保質(zhì)。2） 乙方必須和甲方簽訂保密協(xié)議和非侵害性協(xié)議，乙方必須要與參加此次測(cè)評(píng)項(xiàng)目的所有項(xiàng)目組成員簽訂保密協(xié)議和非侵害性協(xié)議，在合同簽定時(shí)一并提供給甲方。3） 乙方對(duì)本規(guī)范書中的內(nèi)容及在應(yīng)標(biāo)過程中接觸的設(shè)備信息、數(shù)據(jù)資料等負(fù)有保密責(zé)任，不得