江苏经纬工程投资造价咨询事务所受 采购人委托，就所需泰州市、县、乡三级基础地理信息系统风险评估规范研究课题项目在国内进行询价采购，现欢迎符合相关条件的供应商参加投标。

一、 项目具体内容和技术要求等

（一）研究项目主要内容和意义摘要：

2014 年2月中央网络安全和信息化领导小组成立，在北京召开了第一次会议。习近平任组长，李克强、刘云山任副组长。习近平同志指出没有网络安全就没有国家安全，网络安全和信息化对一个国家很多领域都是牵一发而动全身的，要以安全保发展、以发展促安全，努力建久安之势、成长治之业。

2006 年5月国务院令颁布了《中华人民共和国测绘成果管理条例》明确了重要基础地理系统和涉密数据的管理要求。2007年7月国家四部委发布了《信息安全等级保护管理办法（公通字[2007]43号）》，要求在全国范围内开展信息安全等级保护工作，其中国土资源基础地理信息系统被列为国家重点行业信息系统。2008年11月，江苏省网络与信息安全协调小组印发了江苏省信息安全风险评估管理办法（试行）（苏网安办[2008]1号）的通知。江苏省相关部门在2013年度更新加强了信息安全保密检查的力度，先后发文《省政府办公厅关于印发 的通知》《关于组织开展2013年度全省政府信息系统安全检查工作的通知》。

国家测绘地理信息局在《关于进一步加快推进数字城市建设的通知》中明确提出：要高度重视地理信息资源的安全保密。数字城市建设要坚持谁建设谁负责、谁审批谁监管的原则，必须严格遵守《中华人民共和国保守国家秘密法》、《中华人民共和国测绘成果管理条例》、《公开地图内容表示若干规定》及其补充规定等国家有关保密政策法规，切实做到涉密数据的安全保障，加强对建设过程中安全及保密技术处理，落实好保密工作责任制，确保国家地理信息资源安全。

国家“天地图”设计指南中要求信息安全保密系统要从物理安全、运行安全、信息保密安全、管理安全四个层面进行系统分级保护和等级保护建设，实现全网的安全保密监控与管理。

国土资源部《全国金土工程建设总体方案》中对信息安全建设提出了具体目标：到2010年年底，“建立由信息安全管理规章制度、应用安全、数据安全、网络安全等组成的安全保障体系。进一步完善满足各级国土资源信息系统规范建设与运行，以及信息共享、交换与安全需要的标准”。

地理信息系统与其他电子政务应用系统相比具有很强的行业特点，地理信息系统主要存储的是空间数据，它具有空间特征、专题特征、时间特征。2007年，国家发布了《GB-T20984-2007信息安全风险评估规范》，作为电子政务信息系统的风险评估指南，但截止到目前，仍未有针对测绘地理信息系统的专门性风险评估标准和规范出台。

（二）国内研究情况（包括科学价值和实际意义：有哪些单位是否曾经或正在从事类似研究，目前已达到的水平与发展趋势，有何特色与创新之处）：

1 、国内外信息安全的研究现状

国外信息安全标准的研究经历了很长一段的发展时期，起步于20世纪70年代中期，到90年代世界各国高度重视。国外尤其是美国在该方面做了大量的研究，居于世界前列，其他一些国家和组织在美国创新研究成果的基础上，陆续开展了信息安全风险管理实践。国外针对信息安全的管理，先后推出了不同特点的管理标准。侧重于对系统和产品的技术指标方面的标准主要有：美国国防部于1985年公布可信的计算机系统安全评估标准（TCSEC，从橘皮书到彩虹系列）等，其中，90年代初欧洲四国联合发布信息技术安全评估标准（ITSEC，欧洲白皮书），1996年由六个国家（美、加、英、法、德、荷）联合提出的信息技术安全评价的通用标准（CC），并逐渐形成国际标准ISO15408。CC标准是第一个信息技术安全评价国际标准，它的发布对信息安全具有重要意义，是信息安全评价标准和安全技术发展的一个重要里程碑。侧重于安全管理方面的标准主要就是英国的BS7799系列，分为信息安全管理体系标准BS7799-1和信息安全管理体系认证标准BS7799-2。

信息安全标准是我国信息安全保障体系的重要组成部分，是政府进行宏观管理的重要依据，同时也是保护国家利益、促进产业发展的重要手段之一。我国从20世纪80年代开始，在全国信息技术标准化技术委员会信息安全分技术委员会和社会各界的努力下，本着积极采用国际标准的原则，引进并转化了一批重要的国际信息安全标准。我国一方面制定了一批信息技术设备和设施的安全标准，1985年发布了第一个标准：GB4943信息技术设备的安全；另一方面制定了一批信息安全技术标准，于1994年发布了第一批标准。2001年由中国信息安全产品测评认证中心（简称CNITSEC）牵头，将ISO/IEC 15408转化为国家标准GB/T18336- 2001《信息技术安全性评估准则》，并直接应用于我国的信息安全测评认证工作。到2004年底，我国共制定、报批和发布有关信息安全技术、产品、测评和管理的国家标准76个，正在制定中的标准51个。同时，公安部、国家保密局、国家密码管理委员会等相继制定、颁布了一批信息安全的行业标准，为推动信息安全技术在各行业的应用和普及发挥了积极的作用。

2007 年11月1日 我国正式实施了七项由全国信息安全标准化技术委员会组织制定、国家标准化管理委员会审查批准发布的信息安全国家标准。

#p#分页标题#e#

目前世界范围内将近有300个国际和区域性组织制定标准或技术规则，与信息安全标准化有关的组织主要有以下4个：国际标准化组织（ISO）、国际电工委员会（IEC）、国际电信联盟（ITU）、国际互联网工程任务组（IETF）；国内的安全标准组织主要有信息技术安全标准化技术委员会（CITS）以及中国通信标准化协会（CCSA）下辖的网络与信息安全技术工作委员会。

2 、国内外信息安全风险评估的研究现状

信息安全风险评估经历了很长一段的发展时期。风险评估的重点也由最初简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到技术与管理相结合的科学方法。由于信息安全问题的突出重要性，以及发生安全问题的后果严重性，目前评估工作已经得到重视和开展。国内外很多学者都在积极投身于信息安全的研究，期望找到保护信息安全的盔甲。美国在信息安全风险管理领域的研究与应用独占鳌头，政府控管体制健全，己经形成了较为完整的风险分析、评估、监督、检查问责的工作机制。DOD作为风险评估的领路者，1970年就已对当时的大型机、远程终端作了第一次比较大规模的风险评估；1999年，美国总审计局在总结实践的基础上，出版了相关文档，指导美国组织进行风险评估；2001年美国国家标准和技术协会（NIST）推出SP800系列的特别报告中也涉及到风险评估的内容；OMB/GAO作为风险评估的监督者，于2002年，颁布了《联邦信息安全管理法案》（FISMA），要求联邦各机构必须进行定期的风险评估；而以卡内基·梅隆大学为代表的学术界作为风险评估的探索者，提出了一系列风险评估模型与方法，如SSE一CMM（信息安全工程能力成熟度模型）；卡内基·梅隆大学软件工程研究所（SEI）曾开发出的一种综合的、系统的、与具体环境相关的、自主的信息安全风险评估方法，并于2001年推出了OCTAVE（信息安全风险评估方法）2.0版本，用于指导自身的信息安全风险评估。欧洲各国对信息安全风险一直采取“趋利避害”的安全策略，于2001-2003年完成了安全关键系统的风险分析平台项目CORAS，被誉为欧洲经典。英国主要是BS7799系列；澳大利亚也在1999年针对风险管理制订了国家标准《风险管理指南》（AS4360），但其中描述了过程并没有提出具体的方法。整个亚太地区相比之下略显逊色，大多把发展置于首位，风险管理是为发展服务的，比如日本的“安全管理系统评估制度”（ISMS）。

我国信息安全评估起步较晚，2003年7月，国信办信息安全风险评估课题组启动了信息安全风险评估相关标准的编制工作，国家铁路系统和北京移动通信公司作为先行者已完成了的信息安全风险评估试点工作，国家其它关键行业或系统（如电力、电信、银行等）也将陆续开展这方面的工作；8月，信息安全评估课题组对我国信息安全工作的现状进行了调研，完成了相关的评估报告，总结了风险评估是信息安全的基础性工作；2004年3月国家发布《信息安全风险评估指南》与《信息安全风险管理指南》的征求意见稿；2005年2月至9月，开始了国家基础信息网络和重要信息系统的信息安全风险评估试点工作；2007年7月我国颁布了《信息安全技术信息安全风险评估规范》（GB/T20984一2007）并于 2007年11月1日 实施； 2008年4月22日 ，在国家信息中心召开了《信息系统风险评估实施指南》预制标准第二次研讨会，此次会议主要就标准工作组制定的《实施指南》目录框架进行了详细研究与讨论，《信息系统风险评估实施指南》作为GB/T20984-2007《信息安全风险评估规范》和《信息安全风险管理规范》之后又一技术性研究课题，将充实信息安全风险评估和风险管理具体实施工作。

3 、国内外评价指标体系的研究现状

#p#分页标题#e#

目前对于信息安全风险评估方面的研究，国内外的很多学者都在不断地尝试，但是目前对信息安全以及信息安全风险评估的研究，普遍采用ISO27001、OCTAVE、NIST SP800-30、AS/NZS4360、SSE-CMM等方法，充分体现了以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型；或者集中在对信息系统的安全研究和对数据安全的一些技术问题的研究。

（三）研究内容和预期效果（说明研究项目的具体内容、重点解决的问题、预期成果及提交形式、应用前景、服务范围、经济与社会效益等）：

研究内容：

识别市、县、乡三级基础地理信息系统主要业务系统及核心资产

识别市、县、乡三级基础地理信息系统脆弱性

识别市、县、乡三级基础地理信息系统威胁来源

识别市、县、乡三级基础地理信息系统面临的风险

中标人中标后必须完成的成果：

1 、《市、县、乡三级基础地理信息系统信息安全评估规范》

附件：《市、县、乡三级基础地理信息系统资产配置库》

《市、县、乡三级基础地理信息系统基线库》

《市、县、乡三级基础地理信息系统风险点列表》

2 、研究成果需获得省级测绘科技三等奖以上

3 、专业期刊发表具有较高学术价值的论文三篇以上。

投标人必须满足以下要求，如不能满足视同为无效投标，

1 、投标人必须现场勘察，具有ISCCC一级风险评估服务资质或其授权的投标人对全市国土资源市县乡三级网络、测绘单位进行风险评估并获得现场勘察回执。

2 、投标人必须明确列示课题论证、鉴定、验收等相关的明细费用。

3 、为了建立有效的安全基线库和知识库，投标人必须承诺参与项目的实施人员应具备CISP认证证书；提供不少于5名TCSP培训名额，用于市局及区县分局信息安全人员的培训，培训地点由甲方指定；在服务期间，应提供相应的检测工具给甲方使用，至少包括天融信漏洞扫描系统，天融信日志收集及分析系统，天融信安全管理系统，并出具相应的报告；（项目结束后，工具返还给投标方）

（四）拟采取的技术路径、技术关键和主要技术指标（包括采用的科学技术原理、研究方法和步骤，预计可能遇到的问题及其解决办法）：

充分借鉴GBT 20984、GBT 22239、ISO27001等标准和指南采用最新的方法进行风险分析。下图为风险评估模型及方法：

图片查看方式：在泰州市政府采购网采购公告中提供下载，下载用户名：“ 1212” ，密码：“1212”）。

资产的评估主要从保密性、完整性、可用性三方面的安全属性进行影响分析，从资产的相对价值中体现了威胁的严重程度；威胁评估是对资产所受威胁发生可能性的评估；脆弱性的评估是对资产脆弱程度的评估，安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息，最终生成风险信息。

一)、 资产评估

资产评估的主要工作就是对市、县、乡三级基础地理信息系统风险评估范围内的资产进行识别，确定所有的评估对象，然后根据评估的资产在业务和应用流程中的作用对资产进行分析，识别出其关键资产并进行重要程度赋值。根据资产评估报告的结果，可以清晰的分析出市、县、乡三级基础地理信息系统中各主要业务的重要性，以及各业务中各种类别的物理资产、软件资产和数据资产的重要程度，从而得出信息系统的安全等级。同时，可以明确各业务系统的关键资产，确定安全评估和保护的重点对象。

在此基础上，建立针对市、县、乡三级基础地理信息系统中的资产配置库，对资产的名称、类型、属性以及相互关系、安全级别、责任主体等信息进行描述。

二)、 威胁评估

威胁是指可能对资产或组织造成损害事故的潜在原因。威胁识别的任务主要是识别可能的威胁主体（威胁源）、威胁途径和威胁方式，威胁主体是指可能会对信息资产造成威胁的主体对象，威胁方式是指威胁主体利用脆弱性的威胁形式，威胁主体会采用威胁方法利用资产存在的脆弱性对资产进行破坏。

在此基础上，充分调研，分析现有记录、安全事件、日志及各类告警信息，整理本行业信息系统在物理、网络、主机、应用和数据及管理方面面临的安全威胁，形成风险点列表。

三)、 脆弱性评估 #p#分页标题#e#

脆弱性是指资产或资产组中能被威胁所利用的弱点，它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面，这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。通过研究，我们将建立本行业的涉及主要终端、服务器、网络设备、安全设备、数据库及应用等主要系统的基线库，从而为脆弱性检测在“安全配置”方面提供指标支撑。

四)、 综合风险评估

风险是指特定的威胁利用资产的一种或一组脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。在风险评估模型中，主要包含信息资产、脆弱性、威胁和风险四个要素。每个要素有各自的属性，信息资产的属性是资产价值，脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性，风险的属性是风险发生的后果。

五)、 风险评估手段

1) 专家分析

对于已有的安全管理制度和策略，由经验丰富的安全专家进行管理方面的风险分析，结合江苏省基础地理信息系统安全建设现状，指出当前安全规划和安全管理制度存在的不足，并给出安全建议。

2) 工具检测

采用成熟的扫描或检测工具，对于网络中的服务器、数据库系统、网络设备等进行扫描评估；为了充分了解各业务系统当前的网络安全现状及其安全威胁，因此需要利用基于各种评估侧面的评估工具对评估对象进行扫描评估，对象包括各类主机系统、网络设备等，扫描评估的结果将作为整个评估内容的一个重要参考依据。

3) 基线评估

采用基线风险评估，根据本行业的实际情况，对信息系统进行安全基线检查，拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距，得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。

4) 人工评估

工具扫描因为其固定的模板，适用的范围，特定的运行环境，以及它的缺乏智能性等诸多因素，因而有着很大的局限性；而人工评估与工具扫描相结合，可以完成许多工具所无法完成的事情，从而得出全面的、客观的评估结果。人工检测评估主要是依靠具有丰富经验的安全专家在各服务项目中通过针对不同的评估对象采用顾问访谈，业务流程了解等方式，对评估对象进行全面的评估。

5) 渗透测试

在整个风险评估的过程中，结合外部渗透测试的方式发现系统中可能面临的安全威胁和已经存在的系统脆弱性；

二、 投标人资格要求：

（1）投标人必须符合《中华人民共和国政府采购法》第二十二条的规定；

（2）投标人应具有独立法人资格，注册资金不低于人民币100万（含100万元）以上 ，具有ISCCC一级风险评估服务资质或其授权的有限公司或科研院所。；

（3）投标人必须现场勘察，具有ISCCC一级风险评估服务资质或其授权的投标人对全市国土资源市县乡三级网络、测绘单位进行风险评估并获得现场勘察回执。

（4）本项目不允许采用任何形式组成联合体投标。

四、项目的报价：

1 、所有价格用人民币表示。

2 、报价包括 所需配件及专用工具 、运费、税费，安装、调试、培训、技术服务费用，及其它必不可少的材料。用户不再支付报价之外的任何费用。

3 、如果单价和总价不符时，以单价为准。

4、价格应按照投标人须知的要求报价，明确列示课题论证、鉴定、验收等相关的明细费用。

6、验收方式及付款方式：

本次项目合同价款以银行汇票方式支付，合同签订后付50%，提交成果验收通过付40%，项目评审获得省级测绘科技三等奖以上后付10%。

与投标有关的事项

1 、开标时间： 2014年12月2日 下午 2 ：30 。

2 、开标地点： 江苏经纬工程投资造价咨询事务所有限公司（泰州市人民东路37号二楼）会议室 。

3 、招标代理联系人: 张女士，联系电话：0523-86213810传真：0523-86227533 电子信箱:jsjwzbdl@163.com

采购方联系人:张先生 联系电话： 0523-86889007

4 、投标保证金：参加投标的单位应以汇票形式提交保证金人民币伍千元整。（收款单位：江苏经纬工程投资造价咨询事务所有限公司，开户行：交行泰州分行营业部，帐号：384060100018170098418）。

#p#分页标题#e#

未中标的 投标 保证金在定标后当场退还，中标的 投标保证金在合同签定后自动转为履约保证金（履约保证金的期限为项目验收合格后，不计利息）。 投标保证金在下列情况下将被没收：

（1）投标商中标后拒签合同；

（2）在未征得使用方同意的情况下，拖延交货；

（3）交货质量达不到询价函要求或投标文件承诺，但该项不免除中标方应承担的法律责任。

5 、投标文件由附件一至附件十(附件八除外)组成缺一不可，详见询价文件后附格式，另需 营业执照或事业法人证及税务登记证复印件（携带营业执照副本、税务登记证原件供查验）。

6 、投标文件 一式四份 (正本一份 副本三份)， 投标文件必须用A4幅面纸张打印装订，应编制封面、目录、页码，必须用线装或胶装（为永久性、无破坏不可拆分）装订成册，在相应位置签名并加盖公章。 每份投标文件封面 必 须清楚地标明“正本”或“副本”字样。一旦正本和副本不符，以正本为准。 于 2014年12月2 日下午2：30之前送至本所。

7 、合同生效：合同须经供、需方签字， 江苏经纬工程投资造价咨询事务所有限公司政府采购代理机构 见证、泰州市公证处公证后生效。

8 、项目完成时间：

9、评标原则：符合采购需求、质量和服务相等且报价最低的原则确定成交供应商。

10 、中标单位须按国家计委计价格（2002）1980号文件足额支付招标代理服务费，中标服务费支付金额为人民币伍仟元整。中标服务费在领取中标通知书前以支票、汇票等付款方式一次性缴清。

11 、 投标单位必须在 2014年11月28日 前将《投标确认函》传真至本所。

江苏经纬工程投资造价咨询事务所有限公司

2014 年11月

附件一：

报 价 一 览 表

项目编号

及名称

 

TZZCDL2014080

 

投标

总价及费率

 

总价￥：

人民币（大写）： 拾 万 仟 佰 拾 圆 角 分

费率：

 

服务承诺

   

备 注

   

单位公章： 法定代表人（或授权代表）签字或盖章：

附件二

明细报价表

序号

 

服务内容

 

单价

 

数量

 

合价

 

备注

 










   
   

其它费用

 

投标

报价总计

 

￥：

人民币（大写）：

拾 万 仟 佰 拾 圆 角 分

费率

 

注： 投标人应根据服务内容分项进行填报，表中表格行数可自行添加。 招标文件中未列出的相关工作辅助设备材料和在实施过程中涉及到的其它一切费用应在报价时一并考虑，项目实施过程中不再单独结算。 表中投标报价总计应与对应报价一览表中投标总价一致 。

单位公章： 法定代表人（或授权代表）签字或盖章：

附件三

项目管理及技术人员一览表

姓 名

 

本项目

拟任职务

 

技术

职称

 

学历

 

工作年限

 

主要资历及

担任过的职务

 

注：1、如投标人中标，项目管理及技术人员必须按本表承诺人员实施，不得擅自更换；

2 、管理及技术人员身份证、技术职称证书、学历证书复印件附后。（原件备查）

单位公章： 法定代表人（或授权代表）签字或盖章：

附件四

主要使用仪器设备一览表

序号

 

设备名称

 

型号

 

数量

 

产地

 

制造

年份

 

备注

 

单位公章： 法定代表人（或授权代表）签字或盖章：

附件五

技术响应偏差表

招标文件内容

 

投标文件内容

 

偏差内容

 

#p#分页标题#e#

注：凡投标文件中所投货物数量、规格型号、技术参数及质量标准与招标文件有偏差的（包括正偏差和负偏差），均应在此表中列出（内容较多的可以标注见投标文件第几页），未在此表中列出的视同完全满足招标文件要求。

单位公章： 法定代表人（或授权代表）签字或盖章：

附件六

投标人资信声明

企业名称

 

地址

 

主管部门

 

法定

代表人

 

注册时间

 

经济类型

 

近三年内经营活动中

有无重大违法记录

 

是否依法缴纳税收

 

是否依法缴纳社会保障资金

 

单

位

概

况

 

注册资本

 

万元

 

占地面积

 

平方米

 

职工总数

 

人

 

建筑面积

 

平方米

 

资产

情况

 

净资产 万元

 

固定资产原值: 万元

固定资产净值: 万元

 

负债 万元

 

财务状况

（最近两年）

 

年 份

 

主营收入 （万元）

 

收入总额

（万元）

 

利润总额

（万元）

 

净利润

（万元）

 

年

         

年

         

我们保证上述声明中的资料和数据是真实的、正确的，我们同意如贵方要求，可以出示相关证明文件。

单位公章： 法定代表人（或授权代表）签字或盖章：

附件七

商 务 偏 差 表

招标文件内容

 

投标文件内容

 

偏差内容

 

注：凡投标文件中商务条款（包括交货期、付款、合同条款以及其它所有商务内容）

与招标文件有偏差的，均应在此表中列出（内容较多的可以标注见投标文件第几页，

偏差包括正偏差和负偏差），未在此表中列出的视同完全满足招标文件要求。

单位公章： 法定代表人（或授权代表）签字或盖章：

附件八：

投标确认函

江苏经纬工程投资造价咨询事务所有限公司：

泰州市、县、乡三级基础地理信息系统风险评估规范研究课题项目（TZZCDL2014080）招标文件已取得，我公司一定准时参加投标活动。

特此告知。

（单位公章）

联系人及电话：

日期：

附件九 法定代表人授权书格式

本授权书声明：注册于 （地 址） 的 （投标 单 位） 的在下面签名的 （法定代表人姓名、职务） 代表本单位授权 （单 位） 的在下面签字 （被授权人的姓名、职务） （居民身份证编号： ）为本单位的合法代理人，就 （ 项 目 名 称 ） 项目的合同投标及合同的执行、完成和保修，以本公司名义处理一切与之有关的事务。

本授权书于 年 月 日签字生效，特此声明。

法定代表人签名： （手签）

职务：

被授权人签名： （手签）

职务：

投标单位名称：

（盖单位公章）

地址：

附件十：

投 标 书

标书编号：TZZCDL2014080

项目名称：泰州市、县、乡三级基础地理信息系统

风险评估规范研究课题项目

投 标 人：

年 月 日

注：请各投标商按以下顺序装订成册，不得散乱，否则作废标处理。

下载标书: 泰州市、县、乡三级基础地理信息系统风险评估规范研究课题项目

 
如果对本项目有疑问，请在开标前致电0523-86213810

地址：泰州市海陵南路306号2楼政府采购中心；联系人：张立