云南招标网

(略) 2022年云视讯平台安全整改加固整治项目

公开竞争性谈判公告

【 (略) 2022年云视讯平台安全整改加固整治项目（项目编号：【220HYNDL0011-002】），采购人为【 (略) 大理分】公司。项目资金已落实，具备采购条件，现进行公开竞争性谈判，特邀请有意向的且具有提供标的物能力的潜在供应商（以下简称供应商）参加竞争性谈判。[应用供应商不良行为处理结果的项目，竞争性谈判公告、评审办法、商务规范书需增加供应商不良行为管理相关规定，具体内容可参照招标文件模板]

项目概况与采购内容

项目概况[简要描述项目需求、实现的功能等]:云视讯在建设时期考虑到部分流媒体服务使用大带宽、低时延的业务，当时云视讯平台厂家提出安全设备加固后可能导致业务无法正常流畅的使用。在2021年的护网行动中发现，云视讯流媒体部分互联网暴露面太大，使用的公网IP数量达到25个。根据规定需针对该部分进行安全整改加固，在6月份已联系安全厂商借用大带宽安全测试设备到现场先测试，经过多次调整测试已达到正常流畅使用标准，后续则根据测试结果购买流媒体互联网暴露面安全加固服务方式使该平台达到双新评估和等保测评标准。本项目根据网信安全整改规定对云视讯平台进行安全整改加固，拟采用公开竞争性谈判进行。

采购内容及分包（标包）划分情况[采购的产品服务内容、技术规格或标准、规模数量、交货期或服务期限等]：云视讯平台安全整改加固服务,技术规范如下：

1、总则

云视讯平台在系统 (略) 在网络安全检查和相关“护网”行动过程中多次通报云视讯平台系统存在安全漏洞的情况和客户提出的云视讯平台能达到国家网络安全等保2级的要求，计划提供安全服务的形式来实现云视讯系统平台的安全系统建立、运行及巡检并提供完善的操作日志。实现云视讯大理本地平台安全防护系统上线，保障云视讯大理本地平台系统未来3年以上安全运行，

2、工作的基本要求

2.1等保2.0概述

**日， (略) 场监督管理总局、国家标准化管理委员会发布《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）（“《等保基本要求》”）、《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）、《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T25070-2019）三个网络安全领域的国家标准，共同构筑新时代的网络安全等级保护制度，标志着等保2.0的正式到来，新标准规范将于**日开始实施。

网络安全等级保护制度是国家信息安全保障工作的基础，也是一项事关国家安全、社会稳定的政治任务。通过开展等级保护工作，发现网络和信息系统与国家安全标准之间存在的差距，找到目前系统存在的安全隐患和不足，通过安全整改，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。网络安全等级保护制度，作为国家网络安全的重要组成部分，对加强国家网络安全保障工作，提升网络安全保护能力具有重要意义。

2.2新标准体系

等级保护在网络安全保障、网络强国建设方面起着至关重要的作用。但随着信息技术的不断发展，特别是云计算、大数据、物联网、工控等新技术的不断涌现和应用，开展等级保护工作面临着越来越多的新情况、新问题，基础信息网络与重要信息系统面临着日益严峻的威胁与挑战。为适应新技术的发展，解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要，从2014年3月开始，由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，等级保护正式进入了2.0时代 。

最新发布的《信息安全技术网络安全等级保护基本要求》GB∕T22239-2019中涵盖了5个部分的内容：安全通用要求、云计算安全扩展要求、移动互联安全扩求展要求、物联网安全扩展要求、工业控制系统安全扩展要求。

2.3新变化

“新”的等保2.0标准，从法律法规、标准要求、安全体系、实施环节等方面都有了“变化”：

2.3.1法律法规变化

从条例法规提升到法律层面。等保1.0的最高国家 (略) 147号令，而等保2.0标准的最高国家政策是《中华人民共和国网络安全法》。

《中华人民共和国网络安全法》第二十一条要求，国家实施网络安全等级保护制度；第二十五条要求，网络运营者应当制定网络安全事件应急预案；第三十一条则要求，关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护；第五十九条明确了，网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门给予处罚。

总而言之，不开展等级保护等于违法！

2.3.2标准要求变化

等保2.0标准在对等保1.0标准基本要求进行优化的同时，针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。也就是说，使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求。并且，针对新的安全形势提出了新的安全要求，标准覆盖度更加全面，安全防护能力有很大提升。

2.3.3安全体系变化

等保2.0标准依然采用“一个中心、三重防护”的理念，从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。

建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队*建设、教育培训和经费保障等工作。

2.3.4实施环节变化

在等级保护定级、备案、建设整改、等级测评、监督检查的实施过程中，等保2.0标准进行了优化和调整。

定级对象的变化

等保1.0定级的对象是信息系统，等保2.0标准的定级的对象扩展至：基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台，覆盖面更广。

定级级别的变化

公民、法人和其他组织的合法权益产生特别严重损害时，相应系统的等级保护级别从1.0的第二级调整到了第三级。

定级流程的变化

等保2.0标准不再是“自主定级、自主保护”，而是通过“确定定级对象->自主定级并书面论证->专家论证和审定->主管部门批准->公安机关备案审查->最终确定等级”这种线性的定级流程，系统定级必须经过第三方专家评审和主管部门审核，才能到公安机关备案，整体定级更加严格。等保2.0的具体定级流程及具体实施流程如下：

2.3.5各方职责分工

2.3.6测评和评定结果

相较于等保1.0，等保2.0标准测评周期、测评结果评定有所调整。二级至少2年评测一次(不强制),三级及以上至少1年评测一次(强制)。

等保测评结论将由1.0时代的符合、基本符合、不符合改为2.0时代的优、良、中、差四个等级，其中测评结论“差”的判别依据是被测对象中存在安全问题，而且会导致被测对象面临高等级安全风险，或被测对象综合得分低于70分。

等保是一项合规合法工作，但不仅是合规合法，更是一项基本的安全工作，通过等保工作我们可以把安全工作做得更好更成体系。

2.4等保的对象、步骤及防护能力

2.4.1等级保护对象

等级保护对象是指网络安全等级保护工作中的对象，主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等。等级保护范围内重要信息系列所涵盖的行业有能源、金融、交通、水利、医疗卫生、环境保护、工业制造、市政、电信与互联网、广播电视及政府部门。

2.4.2等保的5个规定步骤

等保2.0有5个运行步骤：定级、备案、建设和整改、等级测评、检查。

2.4.3五级安全保护能力

信息系统按重要程度由低到高分为5个等级，并分别实施不同的保护策略。

一级系统简单，不需要备案，影响程度很小，因此不作为重点监管对象；二级系统大概有50万个左右；三级系统大概5万个；四级系统量级较大，比如支付宝、银行总行系统、国家电网系统、中央电视台播出系统，有1000个左右；五级系统属国家级、国防类的系统，比如核电站、军用通信系统，只是安全概念。

第一级安全保护能力：应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能。

第二级安全保护能力：应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和处置安全事件，在自身遭到损害后，能够在一段时间内恢复部分功能。

第三级安全保护能力：应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。

第四级安全保护能力：应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难，以及其他相当危害程度的威胁所造成的资源损害，能够及时发现、监测发现攻击行为和安全事件，在自身遭到损害后，能够迅速恢复所有功能。

2.5设计依据

本方案依据《信息安全技术网络安全等级保护基本要求》GB∕T22239-2019中信息安全系统建设需求，重点关注应用系统进行信息安全体系规划。

本方案重点参考以下的政策和标准：

3.网络安全建设整体思路

3.1概述

为满足目前所面临的信息安全相关法律法规及监管要求，着力改善客户网络安全基础建设薄弱的现状，以及网站及信息数据防护重点，并考虑到安全建设是一个需要不断优化的过程，故本方案以安全体系总体设计为指引，从安全技术体系、安全管理体系、安全运营体系三方面来实现信息安全建设。

3.2安全防护体系总体设计

本次网络安全保障体系是以“一个中心、三重防护、三个体系”为核心指导思想，构建集防护、检测、响应、恢复于一体的全面的安全保障体系。其中；

“一个中心”是指以安全运营管理中心，即构建先进高效的安全运营管理中心，实现针对系统、产品、设备、策略、信息安全事件、操作流程等的统一管理；

“三重防护”是指构建安全区域边界、安全计算环境、安全通信网络三维一体的技术防御体系；

“三个体系”是指形成安全技术体系、安全管理体系、安全运营体系三个体系，三个体系相互融合、相互补充，形成一个整体的安全防御体系。其中，安全管理体系是策略方针和指导思想，安全技术体系是纵深防御体系的具体实现，安全运营体系是支撑和保障。

3.2.1安全技术体系

安全技术体系设计内容主要涵盖到 “一个中心、三重防护”。即安全运营管理中心、计算环境安全、区域边界安全、通信网络安全。

（1）安全运营管理中心

安全管理中心是安全技术体系的核心和中枢，集安全监测中心、安全运维中心、安全防御中心和安全响应中心的功能为一体。

安全监测中心：其中主要包括对系统、设备安全监测和报警，并提供基于人工或工具的多层次的安全监测服务。

安全防御中心：在构建整体的技术防御体系的基础上，通过安全防御中心加强协调联动，进行积极主动防御，提升整体安全防御水平。

安全运维中心：实现安全运维操作的流程管理和标准化管理，实现自动化安全运维，实现运维策略可视化。

安全响应中心：采用本地服务+云端服务+专家的新型工作模式，结合云端的威胁情报、大数据提供及时的技术保障服务。

（2）三重防护

计算环境安全：为客户信息系统打造一个可信、可靠、安全的计算环境。从系统、应用的身份鉴别、访问控制、安全审计、数据机密性及完整性保护、资源控制等方面，全面提升客户信息系统在系统及应用层面的安全；

区域边界安全：从加强网络边界的访问控制粒度、网络边界行为审计以及保护网络边界完整等方面，提升网络边界的可控性和可审计性；

通信网络安全：从保护局域网和广域网的数据传输安全、整体网络架构可靠可用等方面保障网络通信安全。

3.2.2安全管理体系

仅有安全技术防护，无严格的安全管理相配合，难以保障整个系统的稳定安全运行。在系统建设、运行维护、日常管理中都要重视安全管理，制定并落实安全管理制度，明确责任权力，规范操作，加强人员、设备的管理以及人员的培训，提高安全管理水平，同时加强对紧急事件的应对能力，通过预防措施和恢复控制相结合的方式，使由意外事故所引起的破坏减小至可接受程度。

3.2.3安全运营体系

由于安全技术和管理的复杂性、专业性和动态性，信息系统安全的规划、设计、建设、运行维护均需要有较为专业的安全服务和运营队*支持。基础的安全运营服务包括系统日常维护、安全加固、应急响应、安全评估、安全培训和安全咨询等工作；在系统建设上线后，需要逐步完善安全运营体系，确保系统运行安全。

3.3总体安全策略

3.3.1网络安全技术体系总体策略

以客户网络环境及信息系统为保护对象，参照以《网络安全等级保护基本要求》中对应等级保护要求为控制要求，建设基础安全技术体系框架。

安全技术体系建设覆盖物理环境、通信网络、区域边界、计算环境和安全管理中心五个方面。

通过业界成熟可靠的安全技术及安全产品，结合专业技术人员的安全技术经验和能力，系统化的搭建安全技术体系，确保技术体系的安全性与可用性的有机结合，达到适用性要求。

建设集中的安全管理平台，实现对安全系统的集中管控、分权管理。

3.3.2网络安全管理体系总体策略

建立信息安全领导小组和信息安全工作组，形成等级保护基本要求的信息安全组织体系职责。

建立信息安全管理制度和策略体系，形成符合等级保护基本要求的安全管理制度要求。

建立符合系统生命周期的安全需求、安全设计、安全建设和安全运维的运行管理要求。

系统安全建设过程应落实等级保护定级、备案、建设整改、测评等管理要求。

系统安全运营过程应落实等级保护监督检查的管理要求。

3.3.3网络安全运营体系总体策略

通过互联网等领域所形成的新技术适当提升安全能力，强化风险应对（监测、预警、防护、处置、溯源等）能力。

建立规范的信息化安全运营体系，以安全视角规范信息系统安全运营的整个过程，形成安全业务标准与流程。

建立信息安全运营中心，安全运营实行分级保障，加强安全运营的可持续性建设。

本项目【设置最高限价，最高限价为【*】元人民币（不含税），供应商最终报价高于最高限价的，其应答将被否决。谈判过程中，谈判文件发生实质性改变的，最高限价以谈判小组最终确认的为准】。

供应商资格要求

供应商基本资格要求[明确列明供应商应满足的所有资格条件]：

2.1.1供应商应为中华人民共和国境内（不含香港、澳门、台湾地区）法律上和财务上独立的法人或依法登记注册的组织，合法运作并独立于采购人。供应商应具有良好的银行资信和商业信誉，具备承担此次采购及相关服务的提供能力。

2.1.2 供应商应具有有效的企业营业执照，营业执照（或工商登记或公示证明）注册资金不低于人民币20万元（含）以上（以上资金不包括本公告发布之日起的增资行为）,公司经营范围必须包含平台安全整改加固服务等内容。

2.1.3投标主体要求是能够开具增值税专用发票的一般纳税人。

供应商不得存在的情形

2.2.1供应商不得存在下列情形之一

（1）为采购人不具有独立法人资格的附属机构（单位）；

（2）被责令停业或破产状态的；

（3）被暂停或取消投标、应答、应答资格的；

（4）财产被重组、接管、查封、扣押或冻结的；

（5）在最近三年内骗取中标、中选、成交的；

（6）在最近三年内因严重违反合同约定被解除合同/协议，或取消供应商资格的；

（7）采购人对竞参选人有其他不得存在情形的，可增加规定。如：在与中国电信合作过程中出现过重大问题且尚未妥善解决的；相关产品在中国电信出现过重大质量或安全问题且未妥善解决的；竞参选人是代理商的，本条所指的供应商也包括其所代理的制造商。

2.2.2单位负责人为同一人或者存在控股、管理关系的不同单位，不得同时参加同一分包（标包）或者未划分分包（标包）的同一项目应答。

【产品资格要求】

【产品制造商（集成商、软件开发商等）资格要求】

竞参选人具备近三年平台安全整改加固服务经验，并按要求提供业绩证明材料，合同首页、签字并盖章页、可识别服务内容及金额页等。 (如没有签订时间的，以合同或订单内容中可识别认定为合同执行时间的内容“如×年度××合同/订单”为准，没有可识别内容的该业绩不予认可；中标通知书或中选通知书不予认可）。

法律法规规定的其他要求。

竞争性谈判文件获取

获取时间：**日至**日（法定休息日、节假日除外），每日上午8：00至下午17:30（北京时间，下同）。

获取地点： (略) 大理分公司云中台。

获取方式：免费，所提供的文件为电子版，不提供纸质，联系人：阎谨，联系电话：*。

应答文件的递交

应答文件递交截止时间（即应答截止时间）和递交地点：截止时间：**日17时30分前，递交地点： (略) 大理分公司云中台 。

第一轮谈判时间和地点：2022年12月 日 时 (略) 大理分公司云中台 。

出现以下情形时，不予接收应答文件：

逾期送达或者未送达指定地点的；

未按照本竞争性谈判公告要求获得本项目竞争性谈判文件的；

竞争性谈判文件规定的其他情形。

供应商注册

供应商须在购买竞争性谈判文件后5日内，通过中国电信供应链系统（CTSC）（http://**-portal/ctscPortal）完成供应商注册。

发布公告的媒介

本竞争性谈判公告仅在中国电信供应链系统（CTSC）（http://**-portal/ctscPortal）上发布，其他媒介转载无效。

联系方式

采 购 人： (略) 大理分公司

地 址： (略) 莲花路4号

邮 编：*

联 系 人：阎谨

电 话：*

电子邮件：*@*89.cn

采购人： (略) 大理分公司【（盖章）】