辽河油田网络安全等级保护测评服务项目框架招标

发布时间：2025-09-16

所属分类：招标公告

所在地区：双鸭山招标

关键词：工程建筑

辽河油田网络安全等级保护测评服务项目框架招标

一、招标条件
招标项目中国石油天然气股份有限公司辽河油田分公司(科技信息部)辽河油田网络安全等级保护测评服务项目框架招标已按要求履行了相关报批及备案等手续，资金已落实100%自筹资金。该项目已具备招标条件，现拟对该项目进行招标。

二、项目概况与招标范围：

项目概况：中国石油天然气集团有限公司网络安全管理办法》和《关于开展集团公司2022年网络安全与数据中心检查工作的通知》(数信函[2022]24号)均要求集团公司及所属企业按照国家要求开展网络安全等级保护工作。项目采购估算额：300万元（不含税）。

招标范围：对辽河油田管辖范围内的信息化系统、工控系统及电力监控系统进行网络安全等级保护测评服务、安全风险评估、源代码安全审计服务。

（一）网络安全等级保护测评服务

依据《网络安全法》、GB/T28448-2019《信息安全技术网络安全等级保护测评要求》等要求，组织开展信息系统二级、三级等级保护测评工作以及相关备案、咨询等技术服务工作。对辽河油田管辖范围内的信息化系统、工控系统及电力监控系统进行网络安全等级保护测评服务。具体工作内容如下：

（1）定级

依据GB/T22240-2020《信息安全技术网络安全等级保护定级指南》辅助定级；

（2）测评

依据《网络安全法》、GB/T28448-2019《信息安全技术网络安全等级保护测评要求》等要求，组织开展信息系统等级保护符合性测评工作。按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告，在报告中明确各信息系统是否达到相应的等级保护要求，并加盖公章；

（3）整改建议及方案

未达到安全保护要求的，要提出改进建议，制定整改方案并指导整改单位进一步进行整改，直至等级测评报告报备监管机构。

（二）安全风险评估服务

对辽河油田管辖范围内的信息化、工业控制、电力监控等系统进行安全风险评估。

依据《信息安全技术信息安全风险评估方法》(GB/T20984-2022)、《电力监控系统安全防护规定》(国家发展改革委员会2014年第14号令)、工业互联网安全评测相关规范，并参考网络安全等级保护要求开展如下评估项：资产评估、威胁评估、通用应用脆弱性评估、基础设施安全脆弱性评估、体系结构安全脆弱性评估、系统本体安全脆弱性评估、全面安全管理脆弱性评估、安全应急能力评估、现有安全措施有效性评估等。出具《系统安全防护评估报告》。

（三）源代码安全审计服务

源代码审计（CodeReview）是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。

对管辖范围内的信息化系统及工控系统发生升级、添加新功能及新增系统上线等变更操作时，进行上线前的源代码安全审计，通过审计，使开发人员能够了解各种语言安全编码常识，明确安全缺陷种类，以及安全缺陷的描述、产生原因、导致后果以及如何防范与避免。通过源代码深度检测、评估等服务，保障系统应用本质安全。

源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷，从而让开发人员了解其开发的应用系统可能会面临的威胁，并指导开发人员正确修复程序缺陷。标段（标包）划分:无。

服务期限：本项目框架协议中标结果有效期限为自中标通知书发放之日起至2027年12月31日。

实施地点：辽河油田各所属单位。

主要技术要求或技术方案：

（一）技术标准

包括担不限于以下标准与规范：

GB/T22240-2020《信息安全技术网络安全等级保护定级指南》；

GB/T28448-2019《信息安全技术网络安全等级保护测评要求》；

GB/T20984-2022《信息安全技术信息安全风险评估方法》

GB/T34944-2017《源代码漏洞测试规范》

GB/T36466-2018《工业控制系统风险评估实施指南》

GB/T44462.2-2024《工业互联网企业网络安全第2部分：平台企业防护要求》

GB/T36466-2018《工业控制系统风险评估实施指南》

GB/T42456-2023《工业自动化和控制系统信息安全IACS组件的安全技术要求》

（二）技术要求

依据GB/T22240-2020《信息安全技术网络安全等级保护定级指南》辅助定级；

GB/T28448-2019《信息安全技术网络安全等级保护测评要求》，组织开展信息系统等级保护符合性测评工作；

按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告；

依据《信息安全技术信息安全风险评估方法》(GB/T20984-2022)、《电力监控系统安全防护规定》(国家发展改革委员会2014年第14号令)、工业互联网安全评测相关规范，组织开展安全风险评估工作；

依据GB/T34944-2017《源代码漏洞测试规范》，组织开展源代码安全审计工作；

未达到安全保护要求的，要提出改进建议，制定整改方案并指导整改单位进一步进行整改，直至整改合格。

（三）技术服务要求

（1）网络安全等级保护测评服务

依据《网络安全法》、GB/T28448-2019《信息安全技术网络安全等级保护测评要求》，组织开展信息系统进行网络安全差距测评和保护符合性测评工作，按照“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”、“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”等十个层面的要求信息系统等级保护符合性测评工作。具体工作内容如下：

1）材料准备：与业主单位、系统承建单位了解建设情况，开展系统调研工作，按照《高风险判定指引》等标准进行沟通讨论，形成《调研表》；

2）方案编制和确认：依据调研结果形成安全检查方案，并与安全负责人确认；

3）安全物理环境检查：由机房管理员配合对物理机房安全防护措施现场检查，主要包括：是否具备防水、防潮、防火、防静电、防雷击、防盗窃、防破坏、温湿度控制、访问控制等能力；

4）安全通信网络检查：由网络管理人员配合对系统的网络架构、通信传输现场检查，主要包括：网络划分情况和与其他系统隔离情况；

5）安全区域边界检查：由安全管理员或系统部署相关技术人员配合对系统网络安全防护进行检查，主要包括：边界防护、访问控制、入侵防范、恶意代码防护、安全审计等；

6）安全计算环境检查：由相关设备负责人配合登录网络设备、安全设备、服务器等设备，以及数据库、应用系统等，并对安全配置进行检查；

7）安全管理中心检查：由安全负责人或系统部署相关技术人员配合对系统管理和审计管理部分进行检查；

8）安全管理制度检查：对管理制度和记录表单进行检查。管理制度安全检查部分主要包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五部分；

9）验证测试：对系统相关网络设备、安全设备、服务器、数据库、应用系统等进行漏洞扫描，且在授权的情况下由相关技术人员配合设备接入，启动漏扫工作；

10）编制整改建议反馈表：根据现场对系统安全安全检查中发现问题的严重程度及对业务风险的高低进行综合分析，提出的削减风险的技术与管理的安全建议与措施，指导协助实施信息系统的安全整改与加固，并出具《整改建议反馈表》；

11）整改：依据《整改建议反馈表》提出的问题被测单位协调系统集成厂商进行整改；

12）复测：对现场安全检查和验证测试发现的问题进行回归测试，具体时间视整改时间而定；

13）报告交接：安全检查报告交接。

（2）安全风险评估服务

1）资产评估

资产评估对象包括：网络、主机、安全防护措施、应用系统等。根据安全防护评估有关技术要求，资产评估主要考虑两个方面的内容：一是信息系统中所存储、处理、传输的主要信息，二是信息系统所提供的主要服务。通过对每一类信息和服务等级的分析，最终确定信息系统的重要性级别。资产评估具体步骤包括：资产数据整理与核实、资产重要程度分析。其中，资产数据整理与核实是根据被评估单位前期提交的资料，进行资产数据的真实性的查证与确认。资产重要程度分析是根据资产承载的数据、提供的服务，判定资产重要程度的过程。

2）威胁评估

威胁评估是对被评估单位业务系统、网络与信息系统面临的威胁进行分析的过程。威胁评估依据安全防护评估规范提供的威胁列表，以运行与管理人员访谈的方式进行。如被评估单位能够提供历史信息安全事件统计，也可作为威胁评估的补充内容。通过威胁评估，要达到明确被评估单位信息系统面临的主要威胁，以及这些威胁的等级的目的。

3）通用应用脆弱性评估

通用应用评估是对信息系统中的数据库服务、Web服务等通用应用进行的安全配置检查，达到发现通用应用安全漏洞的目的。通用应用评估也采用人工审计和漏洞扫描两种方式进行。服务商应证明其具备安全漏洞的挖掘能力，并能够提供官方证明。派驻本项目实施的人员应具备对应用系统开展渗透测试的能力，能够完全胜任本项目电力监控系统安全防护评估工作。

4）基础设施安全脆弱性评估

基础设施评估是对电力监控系统所处机房的物理安全防护情况，包括防水、防潮、防火、防静电、防雷击、防盗窃、防破坏措施实施情况，电子门禁的使用情况等进行评估。

电力监控系统设备及线缆的部署情况，包括服务器、网络设备、安全设备的安装情况，通信线缆和电源线的铺设情况，设备电力供应情况等。

5）体系结构安全脆弱性评估

体系结构评估应重点检查16字方针“安全分区、网络专用、横向隔离、纵向认证”的落实情况，重点针对网络边界防护措施、横向隔离、纵向认证等关键防护措施的执行情况，安全接入区的设置情况、无线网络防护等。

6）系统本体安全脆弱性评估

系统本体安全评估是对系统自身安全防护情况，包括软、硬件使用和策略配置等进行评估：

①　移动存储介质使用情况，包括硬盘、U盘或其它存储设备；

②　操作系统、网络设备、应用系统用户口令使用情况；

③　操作系统、网络设备、应用系统用户权限分配情况；

④　主机、交换机、路由器等设备、应用系统的安全策略配置及加固情况，尤其是Windows系统、非国产网络及安全设备。

⑤　终端检测：主要为抽查被评估单位监控终端和办公终端是否有驻留木马、蠕虫、恶意软件，是否存在自定义共享文件夹，系统补丁是否及时更新安装，关键工作文件存放是否恰当等情况。主要通过人工查看和工具检测两种方式来进行。

⑥　外设检测：主要检测带有硬盘、内存或其它存储设备和简易操作系统的网络打印机、传真机等智能设备。

7）全面安全管理脆弱性评估

全面安全管理评估是从管理角度对电力监控系统概况进行评估，重点检查安全防护规定落实情况；

制度建立及主管领导、管理机构和工作人员履职情况，信息安全责任制落实情况；

运维人员的安全管控情况；

电力监控系统安全防护评估工作开展情况；

信息安全宣传教育、领导干部及各级人员网络与信息安全基础培训、信息安全人员专业技术培训情况等。

8）安全应急能力脆弱性评估

安全应急能力评估是对系统的安全有效性、业务的连续性和备用、灾备能力进行评估。服务机构应具有网络安全应急保障能力和网络安全应急预案咨询服务能力。

备用与容灾能力的建设情况，包括系统的冗余设备部署情况，设备配置的备份情况等；

网络与信息安全应急预案的制定、修订情况，包括应急预案是否健全，是否具有针对性和可操作性等；

应急技术支撑队伍建设、应急演练的执行情况；

重大网络安全事件处置情况。

9）现有安全措施有效性评估

现有安全措施有效性评估是对信息系统中部署的主要安全防护措施进行的审计，达到确定这些安全措施的管理和使用情况是否存在重大漏洞和缺陷，明确现有安全措施的有效性程度的目的。现有安全措施的评估主要采用人工检查和访谈的方式进行。主要包括防火墙、防病毒系统、入侵检测/防御装置、防病毒网关、单向隔离装置、纵向认证装置等现有安全措施。

（3）源代码安全审计服务

1）前期准备：确定审计对象、审计方式和时间。

2）代码审计实施：源代码扫描、人工代码审计。

3）复测阶段：回归检查（二次复查）。

4）成果汇报：审计服务完结。

5）代码审计服务内容

①　系统所用开源框架

包括反序列化漏洞，远程代码执行漏洞，spring、struts2安全漏洞，PHP安全漏洞等

②　应用代码关注要素

日志伪造漏洞，密码明文存储，资源管理，调试程序残留，二次注入，反序列化。

API滥用

③　不安全的数据库调用、随机数创建、内存管理调用、字符串操作，危险的系统方法调用。