【招标公告】辽河油田网络安全等级保护测评服务项目框架招标
【招标公告】辽河油田网络安全等级保护测评服务项目框架招标:本条项目信息由剑鱼标讯辽宁招标网为您提供。登录后即可免费查看完整信息。
基本信息
| 地区 | 辽宁 盘锦市 | 采购单位 | 中国石油天然气股份有限公司辽河油田分公司 |
| 招标代理机构 | 中国石油辽河油田招标中心 | 项目名称 | 辽河油田网络安全等级保护测评服务项目框架招标 |
| 采购联系人 | *** | 采购电话 | *** |
辽河油田网络安全等级保护测评服务项目框架招标招标公告
招标编号:第2025070388FS0620号
一、招标条件
招标项目中国石油天然气股份有限公司辽河油田分公司(科技信息部) 辽河油田网络安全等级保护测评服务项目框架招标已按要求履行了相关报批及备案等手续,资金已落实100%自筹资金。该项目已具备招标条件,现拟对该项目进行公开招标。
二、项目概况与招标范围:
项目概况:中国石油天然气集团有限公司网络安全管理办法》和《关于开展集团公司2022年网络安全与数据中心检查工作的通知》 (数信函[2022]24号)均要求集团公司及所属企业按照国家要求开展网络安全等级保护工作。项目采购估算额:300万元(不含税)。
招标范围:对辽河油田管辖范围内的信息化系统、工控系统及电力监控系统进行网络安全等级保护测评服务、安全风险评估、源代码安全审计服务。
(一)网络安全等级保护测评服务
依据《网络安全法》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》等要求,组织开展信息系统二级、三级等级保护测评工作以及相关备案、咨询等技术服务工作。对辽河油田管辖范围内的信息化系统、工控系统及电力监控系统进行网络安全等级保护测评服务。具体工作内容如下:
(1)定级
依据GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》辅助定级;
(2)测评
依据《网络安全法》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》等要求,组织开展信息系统等级保护符合性测评工作。按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告,在报告中明确各信息系统是否达到相应的等级保护要求,并加盖公章;
(3)整改建议及方案
未达到安全保护要求的,要提出改进建议,制定整改方案并指导整改单位进一步进行整改,直至等级测评报告报备监管机构。
(二)安全风险评估服务
对辽河油田管辖范围内的信息化、工业控制、电力监控等系统进行安全风险评估。
依据《信息安全技术信息安全风险评估方法》 (GB/T 20984-2022)、《电力监控系统安全防护规定》(国家发展改革委员会2014年第14号令)、工业互联网安全评测相关规范,并参考网络安全等级保护要求开展如下评估项:资产评 估、威胁评估、通用应用脆弱性评估、基础设施安全脆弱性评估、体系结 构安全脆弱性评估、系统本体安全脆弱性评估、全面安全管理脆弱性评估、安全应急能力评估、现有安全措施有效性评估等。出具《系统安全防护评估报告》。
(三)源代码安全审计服务
源代码审计(Code Review)是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
对管辖范围内的信息化系统及工控系统发生升级、添加新功能及新增系统上线等变更操作时,进行上线前的源代码安全审计,通过审计,使开发人员能够了解各种语言安全编码常识,明确安全缺陷种类,以及安全缺陷的描述、产生原因、导致后果以及如何防范与避免。通过源代码深度检测、评估等服务,保障系统应用本质安全。
源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。标段(标包)划分: 无。
服务期限:本项目框架协议中标结果有效期限为自中标通知书发放之日起至2027年12月31日。
实施地点:辽河油田各所属单位。
主要技术要求或技术方案:
(一)技术标准
包括担不限于以下标准与规范:
GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》;
GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》;
GB/T 20984-2022 《信息安全技术 信息安全风险评估方法》
GB/T 34944-2017 《源代码漏洞测试规范》
GB/T 36466-2018《工业控制系统风险评估实施指南》
GB/T 44462.2-2024《工业互联网企业网络安全 第 2 部分:平台企业防护要求》
GB/T 36466-2018《工业控制系统风险评估实施指南》
GB/T 42456-2023 《工业自动化和控制系统信息安全 IACS 组件的安全技术要求》
(二)技术要求
依据GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》辅助定级;
GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》,组织开展信息系统等级保护符合性测评工作;
按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告;
依据《信息安全技术信息安全风险评估方法》 (GB/T 20984-2022)、《电力监控系统安全防护规定》(国家发展改革委员会2014年第14号令)、工业互联网安全评测相关规范,组织开展安全风险评估工作;
依据GB/T 34944-2017《源代码漏洞测试规范》,组织开展源代码安全审计工作;
未达到安全保护要求的,要提出改进建议,制定整改方案并指导整改单位进一步进行整改,直至整改合格。
(三)技术服务要求
(1)网络安全等级保护测评服务
依据《网络安全法》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》,组织开展信息系统进行网络安全差距测评和保护符合性测评工作,按照“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”、“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”等十个层面的要求信息系统等级保护符合性测评工作。具体工作内容如下:
1)材料准备:与业主单位、系统承建单位了解建设情况,开展系统调研工作,按照《高风险判定指引》等标准进行沟通讨论,形成《调研表》;
2)方案编制和确认:依据调研结果形成安全检查方案,并与安全负责人确认;
3)安全物理环境检查:由机房管理员配合对物理机房安全防护措施现场检查,主要包括:是否具备防水、防潮、防火、防静电、防雷击、防盗窃、防破坏、温湿度控制、访问控制等能力;
4)安全通信网络检查:由网络管理人员配合对系统的网络架构、通信传输现场检查,主要包括:网络划分情况和与其他系统隔离情况;
5)安全区域边界检查:由安全管理员或系统部署相关技术人员配合对系统网络安全防护进行检查,主要包括:边界防护、访问控制、入侵防范、恶意代码防护、安全审计等;
6)安全计算环境检查:由相关设备负责人配合登录网络设备、安全设备、服务器等设备,以及数据库、应用系统等,并对安全配置进行检查;
7)安全管理中心检查:由安全负责人或系统部署相关技术人员配合对系统管理和审计管理部分进行检查;
8)安全管理制度检查:对管理制度和记录表单进行检查。管理制度安全检查部分主要包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五部分;
9)验证测试:对系统相关网络设备、安全设备、服务器、数据库、应用系统等进行漏洞扫描,且在授权的情况下由相关技术人员配合设备接入,启动漏扫工作;
10)编制整改建议反馈表:根据现场对系统安全安全检查中发现问题的严重程度及对业务风险的高低进行综合分析,提出的削减风险的技术与管理的安全建议与措施,指导协助实施信息系统的安全整改与加固,并出具《整改建议反馈表》;
11)整改:依据《整改建议反馈表》提出的问题被测单位协调系统集成厂商进行整改;
12)复测:对现场安全检查和验证测试发现的问题进行回归测试,具体时间视整改时间而定;
13)报告交接:安全检查报告交接。
(2)安全风险评估服务
1)资产评估
资产评估对象包括:网络、主机、安全防护措施、应用系统等。根据安全防护评估有关技术要求,资产评估主要考虑两个方面的内容:一是信息系统中所存储、处理、传输的主要信息,二是信息系统所提供的主要服务。通过对每一类信息和服务等级的分析,最终确定信息系统的重要性级别。资产评估具体步骤包括:资产数据整理与核实、资产重要程度分析。其中,资产数据整理与核实是根据被评估单位前期提交的资料,进行资产数据的真实性的查证与确认。资产重要程度分析是根据资产承载的数据、提供的服务,判定资产重要程度的过程。
2)威胁评估
威胁评估是对被评估单位业务系统、网络与信息系统面临的威胁进行分析的过程。威胁评估依据安全防护评估规范提供的威胁列表,以运行与管理人员访谈的方式进行。如被评估单位能够提供历史信息安全事件统计,也可作为威胁评估的补充内容。通过威胁评估,要达到明确被评估单位信息系统面临的主要威胁,以及这些威胁的等级的目的。
3)通用应用脆弱性评估
通用应用评估是对信息系统中的数据库服务、Web 服务等通用应用进行的安全配置检查,达到发现通用应用安全漏洞的目的。通用应用评估也采用人工审计和漏洞扫描两种方式进行。服务商应证明其具备安全漏洞的挖掘能力,并能够提供官方证明。派驻本项目实施的人员应具备对应用系统开展渗透测试的能力,能够完全胜任本项目电力监控系统安全防护评估工作。
4)基础设施安全脆弱性评估
基础设施评估是对电力监控系统所处机房的物理安全防护情况,包括防水、防潮、防火、防静电、防雷击、防盗窃、防破坏措施实施情况,电子门禁的使用情况等进行评估。
电力监控系统设备及线缆的部署情况,包括服务器、网络设备、安全设备的安装情况,通信线缆和电源线的铺设情况,设备电力供应情况等。
5)体系结构安全脆弱性评估
体系结构评估应重点检查16字方针“安全分区、网络专用、横向隔离、纵向认证”的落实情况,重点针对网络边界防护措施、横向隔离、纵向认证等关键防护措施的执行情况,安全接入区的设置情况、无线网络防护等。
6)系统本体安全脆弱性评估
系统本体安全评估是对系统自身安全防护情况,包括软、硬件使用和策略配置等进行评估:
①移动存储介质使用情况,包括硬盘、U 盘或其它存储设备;
②操作系统、网络设备、应用系统用户口令使用情况;
③操作系统、网络设备、应用系统用户权限分配情况;
④主机、交换机、路由器等设备、应用系统的安全策略配置及加固情况,尤其是 Windows 系统、非国产网络及安全设备。
⑤终端检测:主要为抽查被评估单位监控终端和办公终端是否有驻留木马、蠕虫、恶意软件,是否存在自定义共享文件夹,系统补丁是否及时更新安装,关键工作文件存放是否恰当等情况。主要通过人工查看和工具检测两种方式来进行。
⑥外设检测:主要检测带有硬盘、内存或其它存储设备和简易操作系统的网络打印机、传真机等智能设备。
7)全面安全管理脆弱性评估
全面安全管理评估是从管理角度对电力监控系统概况进行评估,重点检查安全防护规定落实情况;
制度建立及主管领导、管理机构和工作人员履职情况,信息安全责任制落实情况;
运维人员的安全管控情况;
电力监控系统安全防护评估工作开展情况;
信息安全宣传教育、领导干部及各级人员网络与信息安全基础培训、信息安全人员专业技术培训情况等。
8)安全应急能力脆弱性评估
安全应急能力评估是对系统的安全有效性、业务的连续性和备用、灾备能力进行评估。服务机构应具有网络安全应急保障能力和网络安全应急预案咨询服务能力。
备用与容灾能力的建设情况,包括系统的冗余设备部署情况,设备配置的备份情况等;
网络与信息安全应急预案的制定、修订情况,包括应急预案是否健全,是否具有针对性和可操作性等;
应急技术支撑队伍建设、应急演练的执行情况;
重大网络安全事件处置情况。
9)现有安全措施有效性评估
现有安全措施有效性评估是对信息系统中部署的主要安全防护措施进行的审计,达到确定这些安全措施的管理和使用情况是否存在重大漏洞和缺陷,明确现有安全措施的有效性程度的目的。现有安全措施的评估主要采用人工检查和访谈的方式进行。主要包括防火墙、防病毒系统、入侵检测/防御装置、防病毒网关、单向隔离装置、纵向认证装置等现有安全措施。
(3)源代码安全审计服务
1)前期准备:确定审计对象、审计方式和时间。
2)代码审计实施:源代码扫描、人工代码审计。
3)复测阶段:回归检查(二次复查)。
4)成果汇报:审计服务完结。
5)代码审计服务内容
①系统所用开源框架
包括反序列化漏洞,远程代码执行漏洞,spring、struts2安全漏洞,PHP安全漏洞等
②应用代码关注要素
日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。
API滥用
③不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。
④源代码设计
不安全的域、方法、类修饰符未使用的外部引用、代码。
⑤错误处理不当
程序异常处理、返回值用法、空指针、日志记录。
⑥直接对象引用
直接引用数据库中的数据、文件系统、内存空间。
⑦资源滥用
不安全的文件创建/修改/删除,竞争冲突,内存泄露。
⑧业务逻辑错误
欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题。
⑨规范性权限配置
数据库配置规范,Web服务的权限配置SQL语句编写规范。
(四)其他服务要求
服务期内,投标人须向招标人提供具有数据分析能力等保合规自测类工具、源代码安全审计工具,便于招标人对未开展等保测评系统进行进行网络安全自测自查和系统源代码审计,利用合规自测工具对安全风险进行识别和分析,识别未测评系统的潜在安全风险,实现用数据说话、用数据决策、用数据管理。
三、投标人资格要求
投标人应为中华人民共和国境内注册的法人或其他组织,具有承担民事责任的能力(法人企业分支机构等不具备法人资格的投标人参与投标时,应提供对应法人企业法定代表人身份证明及法定代表人出具的授权委托书方可参与投标)。提供统一社会信用代码的营业执照扫描件或其他证明设立登记的许可文件。
资质要求: 投标人须具有公安部第三研究所颁发的网络安全服务认证证书(等级保护测评服务认证)、国家网络安全审查与认证中心(CCRC)或中国信息安全测评中心颁发的信息安全风险评估服务资质证书,提供证书复印件、官网查询截图及链接(官网查询链接https://www.djbh.net/);
未被责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照的;未进入清算程序,或未被宣告破产,或其他未丧失履约能力的情形;投标人应提供 2024年经会计师事务所或审计机构审计的财务状况表。成立日期晚于年1月1日的,从成立年开始提供。
2022年1月1日至投标截止日前30日完成过类似项目至少1项。(提供业绩合同和结算发票,合签订和发票开具时间均在此区间内)
①未被工商行政管理机关在全国企业信用信息公示系统中列入严重违法失信企业名单(提供截图,查询网址:http://www.gsxt.gov.cn/index.html,评标现场网络查询复核);②未被最高人民法院在“信用中国”网站或各级信用信息共享平台中列入失信被执行人名单(提供截图,查询网址:https://www.creditchina.gov.cn/,评标现场网络查询复核);③在“中国执行信息公开网” 未被列为“失信被执行人”;(提供“中国执行信息公开网”关于“失信被执行人”的查询截屏,查询网址:http://zxgk.court.gov.cn,评标现场网络查询复核)④投标人或其法定代表人、拟委任的项目负责人无行贿犯罪行为(提供承诺);⑤开标当日未被中国石油招标投标网暂停或取消投标资格的(评委核实);○⑥质量、安全或其他方面的要求:。
投标人累计失信分值达到下述①~④项标准之一的,将被否决投标。①投标人失信分累计达到8分,且最后一次失信开始时间距开标当日不足半年;②投标人失信分累计达到9分,且最后一次失信开始时间距开标当日不足一年;③投标人失信分累计达到10分,且最后一次失信开始时间距开标当日不足二年;④投标人失信分累计达到10.5分及以上,且最后一次失信开始时间距开标当日不足三年。投标人失信分以开标当日中国石油招标投标网发布的失信行为信息为准,由评标委员会在评标时进行网络查询,如发现投标人有以上失信行为的应截图保存。(http://bid.energyahead.cnpc/)被中国石油天然气集团有限公司和辽河油田分公司纳入“黑名单”或限制投标的潜在投标人,其投标将会被否决。(http://bid.energyahead.cnpc/)
投标人应签署《合规承诺书》。
联合体要求:不接受联合体投标
投标人企业名称中包含“辽河油田”字样的需在可使用“辽河油田”名称的企业目录(白名单)中方可参与投标,未在白名单中包含“辽河油田”字样的投标人其投标将被否决。(招标文件中附企业目录(白名单))。
四、招标文件获取
4.1招标文件发售期为2025年9月15日至2025年9月22日 23:59:59,凡有意参加投标者,请于上述时间进入中国石油招标投标网(互联网网址www.cnpcbidding.com),点击招投标平台,登陆后在该项目处报名(详见中国石油招标投标交易平台-投标人用户手册)。
4.2潜在投标人报名成功后,须使用该交易平台缴费模块进行招标文件缴费(资料包费),缴费成功后系统将自动开启招标文件下载权限。招标文件售价每标段200元人民币,招标文件一经售出,概不退款(因招标人或招标机构等原因除外)。缴费与招标文件下载方式见招标公告附件2。
4.3在线购买招标文件。招标文件的售卖开始时间即招标文件发出时间,会略晚于招标公告发布时间,如遇无法报名请耐心等待,若招标公告发布第二天仍无法报名请及时联系项目负责人。招标文件售卖截止时间同报名截止时间,潜在投标人应在报名截止时间前完成招标文件的在线购买(注意:购买招标文件是投标报名的必经程序,报名截止时间前未完成招标文件在线购买的视为未完成对应的标段/包的报名,投标将被拒绝),招标人/招标代理机构不再提供纸质招标文件。
4.4招标文件购买操作失败或其他系统问题,请与平台运营单位联系。咨询电话: 4008800114 语音导航转电子招标平台。
4.5辽河油田招标中心目前仅提供在中国石油电子招标投标交易平台线上购买招标文件的缴费方式(具体操作参见招标公告附件2),潜在投标人以现金、电汇等其它方式购买招标文件将被拒绝,若出现潜在投标人未使用该交易平台购买导致的购买失败等一切问题,辽河油田招标中心不承担投标人的任何损失。
4.6投标报名截止时间后,购买招标文件不足三家,系统将自动提醒已购买招标文件的潜在投标人。各潜在投标人应确认在交易平台预留的联系方式真实有效,以便接收项目情况的各项通知。
4.7资料包费增值税发票将于项目开标当天统一开具,资料包费电子发票将通过投标人在中石油电子招投标交易平台上注册时预留的手机号和电子邮箱发送。请投标人确保在该平台预留的手机号及电子邮箱正确,及时查收资料包费电子发票。
五、投标文件的递交
5.1所有投标文件应于2025年9月29日 08:30:00(北京时间,24小时制)之前加密后上传至中国石油招标投标交易平台(互联网网址:www.cnpcbidding.com)。
5.2投标人在开标前,投标人应向招标机构提交20000元人民币的投标保证金,该费用需通过中国石油电子招标投标交易平台进行缴纳。缴纳方式参见招标公告附件3。
5.3如在递交截止时间前未能成功上传投标文件,视为主动撤回投标文件,投标将被拒绝。具体办理流程参见投标人用户手册(考虑投标人众多,避免受网速以及网站技术支持的时间等因素影响造成投标失败,建议投标截止时间前72小时完成网上电子投标以及投标保证金的提交)。电子投标文件的提交须使用已灌章的U-key,目前投标人在辽河油田招标中心参与招投标活动仅需办理公章U-Key,我中心不强制要求投标人办理法定代表人U-Key及授权委托人U-Key。未办理U-key的投标人,需到昆仑银行办理U-key,或登录中石油招标投标网线上办理。
5.4 投标费用:投标人应自行承担编制投标文件等所涉及的一切费用。招标人及招标代理机构不承担投标人因投标所发生的任何费用。
六、发布公告的媒体
6.1☑本次招标公告在中国石油招标投标网(http://www.cnpcbidding.com)上发布。
☑本次招标公告在中国招标投标公共服务平台(http://www.cebpubservice.com)、中国石油招标投标网(http://www.cnpcbidding.com)上发布。(适用于依法必须招标项目)。
因轻信其他组织、个人或媒介提供的信息而造成的损失,招标人、招标代理机构概不负责。
6.2中标通知书会采用电子中标通知书的形式为中标人发放(招标改谈判项目除外),请中标人在中标候选人公示期结束后及时缴纳招标代理服务费,招标中心在确认缴纳信息后会将电子中标通知书在电子交易平台发送给中标人。
七、招标代理服务费
按照油田公司相关规定收取招标代理服务费。投标报价中包含招标代理费,如发生实际工作量时,中标人需按实际工作量向招标中心支付相应代理服务费,确认缴费成功后再签订合同。
缴纳方式见招标公告附件3。
※中标人通过企业账户(不接受个人名义)以电汇形式向招标代理机构缴纳招标代理服务费。账户信息如下:
账户名称:中国石油天然气股份有限公司辽河油田分公司
银行账号:0714 0017 1930 0066 193
银行行号:102232000023
开户行:中国工商银行股份有限公司盘锦渤海支行
中标人必须在电汇凭证明确以下信息:(1)中标人公对公汇款时在摘要、用途、附言处都备注上招标文件编号(无需备注“代理服务费”等字样)。(2)月末最后两天不要缴纳代理服务费,每月1号正常缴纳。
电汇备注中请勿填写项目名称,由此产生项目无法确定而延误中标通知书的发放,责任由中标人承担。
八、开标
8.1开标时间:2025年9月29日 08:30:00
8.2开标地点:除招标文件有明确规定的情形以外,投标人可通过线上开标大厅参加开标仪式。
8.2.1线上开标大厅:中国石油招标投标网(网址:http://www.cnpcbidding.com)点击跳转至招投标平台。
九、联系方式
招标代理机构:中国石油辽河油田招标中心
地址:辽宁省盘锦市兴隆台区渤海街供应委永祥小区辽河油田招标中心
邮编:124012
联系人:***
联系电话:***
电子邮箱:shyluck@petrochina.com.cn
电子招投标交易平台运营运维单位:中油物采信息技术有限公司
联系电话:4008800114 语音导航转电子招标平台
昆仑银行U-Key办理业务咨询电话:4006696569
投标人须知及相关支持插件下载地址:中国石油电子招投标交易平台右上角-工具中心
十、附件
招标公告附件
中国石油辽河油田招标中心
2025年9月15日
招标编号:第2025070388FS0620号
一、招标条件
招标项目中国石油天然气股份有限公司辽河油田分公司(科技信息部) 辽河油田网络安全等级保护测评服务项目框架招标已按要求履行了相关报批及备案等手续,资金已落实100%自筹资金。该项目已具备招标条件,现拟对该项目进行公开招标。
二、项目概况与招标范围:
项目概况:中国石油天然气集团有限公司网络安全管理办法》和《关于开展集团公司2022年网络安全与数据中心检查工作的通知》 (数信函[2022]24号)均要求集团公司及所属企业按照国家要求开展网络安全等级保护工作。项目采购估算额:300万元(不含税)。
招标范围:对辽河油田管辖范围内的信息化系统、工控系统及电力监控系统进行网络安全等级保护测评服务、安全风险评估、源代码安全审计服务。
(一)网络安全等级保护测评服务
依据《网络安全法》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》等要求,组织开展信息系统二级、三级等级保护测评工作以及相关备案、咨询等技术服务工作。对辽河油田管辖范围内的信息化系统、工控系统及电力监控系统进行网络安全等级保护测评服务。具体工作内容如下:
(1)定级
依据GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》辅助定级;
(2)测评
依据《网络安全法》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》等要求,组织开展信息系统等级保护符合性测评工作。按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告,在报告中明确各信息系统是否达到相应的等级保护要求,并加盖公章;
(3)整改建议及方案
未达到安全保护要求的,要提出改进建议,制定整改方案并指导整改单位进一步进行整改,直至等级测评报告报备监管机构。
(二)安全风险评估服务
对辽河油田管辖范围内的信息化、工业控制、电力监控等系统进行安全风险评估。
依据《信息安全技术信息安全风险评估方法》 (GB/T 20984-2022)、《电力监控系统安全防护规定》(国家发展改革委员会2014年第14号令)、工业互联网安全评测相关规范,并参考网络安全等级保护要求开展如下评估项:资产评 估、威胁评估、通用应用脆弱性评估、基础设施安全脆弱性评估、体系结 构安全脆弱性评估、系统本体安全脆弱性评估、全面安全管理脆弱性评估、安全应急能力评估、现有安全措施有效性评估等。出具《系统安全防护评估报告》。
(三)源代码安全审计服务
源代码审计(Code Review)是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
对管辖范围内的信息化系统及工控系统发生升级、添加新功能及新增系统上线等变更操作时,进行上线前的源代码安全审计,通过审计,使开发人员能够了解各种语言安全编码常识,明确安全缺陷种类,以及安全缺陷的描述、产生原因、导致后果以及如何防范与避免。通过源代码深度检测、评估等服务,保障系统应用本质安全。
源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。标段(标包)划分: 无。
服务期限:本项目框架协议中标结果有效期限为自中标通知书发放之日起至2027年12月31日。
实施地点:辽河油田各所属单位。
主要技术要求或技术方案:
(一)技术标准
包括担不限于以下标准与规范:
GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》;
GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》;
GB/T 20984-2022 《信息安全技术 信息安全风险评估方法》
GB/T 34944-2017 《源代码漏洞测试规范》
GB/T 36466-2018《工业控制系统风险评估实施指南》
GB/T 44462.2-2024《工业互联网企业网络安全 第 2 部分:平台企业防护要求》
GB/T 36466-2018《工业控制系统风险评估实施指南》
GB/T 42456-2023 《工业自动化和控制系统信息安全 IACS 组件的安全技术要求》
(二)技术要求
依据GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》辅助定级;
GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》,组织开展信息系统等级保护符合性测评工作;
按照公安部制订的信息系统安全等级测评报告格式编制等级测评报告;
依据《信息安全技术信息安全风险评估方法》 (GB/T 20984-2022)、《电力监控系统安全防护规定》(国家发展改革委员会2014年第14号令)、工业互联网安全评测相关规范,组织开展安全风险评估工作;
依据GB/T 34944-2017《源代码漏洞测试规范》,组织开展源代码安全审计工作;
未达到安全保护要求的,要提出改进建议,制定整改方案并指导整改单位进一步进行整改,直至整改合格。
(三)技术服务要求
(1)网络安全等级保护测评服务
依据《网络安全法》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》,组织开展信息系统进行网络安全差距测评和保护符合性测评工作,按照“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”、“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”等十个层面的要求信息系统等级保护符合性测评工作。具体工作内容如下:
1)材料准备:与业主单位、系统承建单位了解建设情况,开展系统调研工作,按照《高风险判定指引》等标准进行沟通讨论,形成《调研表》;
2)方案编制和确认:依据调研结果形成安全检查方案,并与安全负责人确认;
3)安全物理环境检查:由机房管理员配合对物理机房安全防护措施现场检查,主要包括:是否具备防水、防潮、防火、防静电、防雷击、防盗窃、防破坏、温湿度控制、访问控制等能力;
4)安全通信网络检查:由网络管理人员配合对系统的网络架构、通信传输现场检查,主要包括:网络划分情况和与其他系统隔离情况;
5)安全区域边界检查:由安全管理员或系统部署相关技术人员配合对系统网络安全防护进行检查,主要包括:边界防护、访问控制、入侵防范、恶意代码防护、安全审计等;
6)安全计算环境检查:由相关设备负责人配合登录网络设备、安全设备、服务器等设备,以及数据库、应用系统等,并对安全配置进行检查;
7)安全管理中心检查:由安全负责人或系统部署相关技术人员配合对系统管理和审计管理部分进行检查;
8)安全管理制度检查:对管理制度和记录表单进行检查。管理制度安全检查部分主要包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五部分;
9)验证测试:对系统相关网络设备、安全设备、服务器、数据库、应用系统等进行漏洞扫描,且在授权的情况下由相关技术人员配合设备接入,启动漏扫工作;
10)编制整改建议反馈表:根据现场对系统安全安全检查中发现问题的严重程度及对业务风险的高低进行综合分析,提出的削减风险的技术与管理的安全建议与措施,指导协助实施信息系统的安全整改与加固,并出具《整改建议反馈表》;
11)整改:依据《整改建议反馈表》提出的问题被测单位协调系统集成厂商进行整改;
12)复测:对现场安全检查和验证测试发现的问题进行回归测试,具体时间视整改时间而定;
13)报告交接:安全检查报告交接。
(2)安全风险评估服务
1)资产评估
资产评估对象包括:网络、主机、安全防护措施、应用系统等。根据安全防护评估有关技术要求,资产评估主要考虑两个方面的内容:一是信息系统中所存储、处理、传输的主要信息,二是信息系统所提供的主要服务。通过对每一类信息和服务等级的分析,最终确定信息系统的重要性级别。资产评估具体步骤包括:资产数据整理与核实、资产重要程度分析。其中,资产数据整理与核实是根据被评估单位前期提交的资料,进行资产数据的真实性的查证与确认。资产重要程度分析是根据资产承载的数据、提供的服务,判定资产重要程度的过程。
2)威胁评估
威胁评估是对被评估单位业务系统、网络与信息系统面临的威胁进行分析的过程。威胁评估依据安全防护评估规范提供的威胁列表,以运行与管理人员访谈的方式进行。如被评估单位能够提供历史信息安全事件统计,也可作为威胁评估的补充内容。通过威胁评估,要达到明确被评估单位信息系统面临的主要威胁,以及这些威胁的等级的目的。
3)通用应用脆弱性评估
通用应用评估是对信息系统中的数据库服务、Web 服务等通用应用进行的安全配置检查,达到发现通用应用安全漏洞的目的。通用应用评估也采用人工审计和漏洞扫描两种方式进行。服务商应证明其具备安全漏洞的挖掘能力,并能够提供官方证明。派驻本项目实施的人员应具备对应用系统开展渗透测试的能力,能够完全胜任本项目电力监控系统安全防护评估工作。
4)基础设施安全脆弱性评估
基础设施评估是对电力监控系统所处机房的物理安全防护情况,包括防水、防潮、防火、防静电、防雷击、防盗窃、防破坏措施实施情况,电子门禁的使用情况等进行评估。
电力监控系统设备及线缆的部署情况,包括服务器、网络设备、安全设备的安装情况,通信线缆和电源线的铺设情况,设备电力供应情况等。
5)体系结构安全脆弱性评估
体系结构评估应重点检查16字方针“安全分区、网络专用、横向隔离、纵向认证”的落实情况,重点针对网络边界防护措施、横向隔离、纵向认证等关键防护措施的执行情况,安全接入区的设置情况、无线网络防护等。
6)系统本体安全脆弱性评估
系统本体安全评估是对系统自身安全防护情况,包括软、硬件使用和策略配置等进行评估:
①移动存储介质使用情况,包括硬盘、U 盘或其它存储设备;
②操作系统、网络设备、应用系统用户口令使用情况;
③操作系统、网络设备、应用系统用户权限分配情况;
④主机、交换机、路由器等设备、应用系统的安全策略配置及加固情况,尤其是 Windows 系统、非国产网络及安全设备。
⑤终端检测:主要为抽查被评估单位监控终端和办公终端是否有驻留木马、蠕虫、恶意软件,是否存在自定义共享文件夹,系统补丁是否及时更新安装,关键工作文件存放是否恰当等情况。主要通过人工查看和工具检测两种方式来进行。
⑥外设检测:主要检测带有硬盘、内存或其它存储设备和简易操作系统的网络打印机、传真机等智能设备。
7)全面安全管理脆弱性评估
全面安全管理评估是从管理角度对电力监控系统概况进行评估,重点检查安全防护规定落实情况;
制度建立及主管领导、管理机构和工作人员履职情况,信息安全责任制落实情况;
运维人员的安全管控情况;
电力监控系统安全防护评估工作开展情况;
信息安全宣传教育、领导干部及各级人员网络与信息安全基础培训、信息安全人员专业技术培训情况等。
8)安全应急能力脆弱性评估
安全应急能力评估是对系统的安全有效性、业务的连续性和备用、灾备能力进行评估。服务机构应具有网络安全应急保障能力和网络安全应急预案咨询服务能力。
备用与容灾能力的建设情况,包括系统的冗余设备部署情况,设备配置的备份情况等;
网络与信息安全应急预案的制定、修订情况,包括应急预案是否健全,是否具有针对性和可操作性等;
应急技术支撑队伍建设、应急演练的执行情况;
重大网络安全事件处置情况。
9)现有安全措施有效性评估
现有安全措施有效性评估是对信息系统中部署的主要安全防护措施进行的审计,达到确定这些安全措施的管理和使用情况是否存在重大漏洞和缺陷,明确现有安全措施的有效性程度的目的。现有安全措施的评估主要采用人工检查和访谈的方式进行。主要包括防火墙、防病毒系统、入侵检测/防御装置、防病毒网关、单向隔离装置、纵向认证装置等现有安全措施。
(3)源代码安全审计服务
1)前期准备:确定审计对象、审计方式和时间。
2)代码审计实施:源代码扫描、人工代码审计。
3)复测阶段:回归检查(二次复查)。
4)成果汇报:审计服务完结。
5)代码审计服务内容
①系统所用开源框架
包括反序列化漏洞,远程代码执行漏洞,spring、struts2安全漏洞,PHP安全漏洞等
②应用代码关注要素
日志伪造漏洞,密码明文存储,资源管理,调试程序残留,二次注入,反序列化。
API滥用
③不安全的数据库调用、随机数创建、内存管理调用、字符串操作,危险的系统方法调用。
④源代码设计
不安全的域、方法、类修饰符未使用的外部引用、代码。
⑤错误处理不当
程序异常处理、返回值用法、空指针、日志记录。
⑥直接对象引用
直接引用数据库中的数据、文件系统、内存空间。
⑦资源滥用
不安全的文件创建/修改/删除,竞争冲突,内存泄露。
⑧业务逻辑错误
欺骗密码找回功能,规避交易限制,越权缺陷Cookies和session的问题。
⑨规范性权限配置
数据库配置规范,Web服务的权限配置SQL语句编写规范。
(四)其他服务要求
服务期内,投标人须向招标人提供具有数据分析能力等保合规自测类工具、源代码安全审计工具,便于招标人对未开展等保测评系统进行进行网络安全自测自查和系统源代码审计,利用合规自测工具对安全风险进行识别和分析,识别未测评系统的潜在安全风险,实现用数据说话、用数据决策、用数据管理。
三、投标人资格要求
投标人应为中华人民共和国境内注册的法人或其他组织,具有承担民事责任的能力(法人企业分支机构等不具备法人资格的投标人参与投标时,应提供对应法人企业法定代表人身份证明及法定代表人出具的授权委托书方可参与投标)。提供统一社会信用代码的营业执照扫描件或其他证明设立登记的许可文件。
资质要求: 投标人须具有公安部第三研究所颁发的网络安全服务认证证书(等级保护测评服务认证)、国家网络安全审查与认证中心(CCRC)或中国信息安全测评中心颁发的信息安全风险评估服务资质证书,提供证书复印件、官网查询截图及链接(官网查询链接https://www.djbh.net/);
未被责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照的;未进入清算程序,或未被宣告破产,或其他未丧失履约能力的情形;投标人应提供 2024年经会计师事务所或审计机构审计的财务状况表。成立日期晚于年1月1日的,从成立年开始提供。
2022年1月1日至投标截止日前30日完成过类似项目至少1项。(提供业绩合同和结算发票,合签订和发票开具时间均在此区间内)
①未被工商行政管理机关在全国企业信用信息公示系统中列入严重违法失信企业名单(提供截图,查询网址:http://www.gsxt.gov.cn/index.html,评标现场网络查询复核);②未被最高人民法院在“信用中国”网站或各级信用信息共享平台中列入失信被执行人名单(提供截图,查询网址:https://www.creditchina.gov.cn/,评标现场网络查询复核);③在“中国执行信息公开网” 未被列为“失信被执行人”;(提供“中国执行信息公开网”关于“失信被执行人”的查询截屏,查询网址:http://zxgk.court.gov.cn,评标现场网络查询复核)④投标人或其法定代表人、拟委任的项目负责人无行贿犯罪行为(提供承诺);⑤开标当日未被中国石油招标投标网暂停或取消投标资格的(评委核实);○⑥质量、安全或其他方面的要求:。
投标人累计失信分值达到下述①~④项标准之一的,将被否决投标。①投标人失信分累计达到8分,且最后一次失信开始时间距开标当日不足半年;②投标人失信分累计达到9分,且最后一次失信开始时间距开标当日不足一年;③投标人失信分累计达到10分,且最后一次失信开始时间距开标当日不足二年;④投标人失信分累计达到10.5分及以上,且最后一次失信开始时间距开标当日不足三年。投标人失信分以开标当日中国石油招标投标网发布的失信行为信息为准,由评标委员会在评标时进行网络查询,如发现投标人有以上失信行为的应截图保存。(http://bid.energyahead.cnpc/)被中国石油天然气集团有限公司和辽河油田分公司纳入“黑名单”或限制投标的潜在投标人,其投标将会被否决。(http://bid.energyahead.cnpc/)
投标人应签署《合规承诺书》。
联合体要求:不接受联合体投标
投标人企业名称中包含“辽河油田”字样的需在可使用“辽河油田”名称的企业目录(白名单)中方可参与投标,未在白名单中包含“辽河油田”字样的投标人其投标将被否决。(招标文件中附企业目录(白名单))。
四、招标文件获取
4.1招标文件发售期为2025年9月15日至2025年9月22日 23:59:59,凡有意参加投标者,请于上述时间进入中国石油招标投标网(互联网网址www.cnpcbidding.com),点击招投标平台,登陆后在该项目处报名(详见中国石油招标投标交易平台-投标人用户手册)。
4.2潜在投标人报名成功后,须使用该交易平台缴费模块进行招标文件缴费(资料包费),缴费成功后系统将自动开启招标文件下载权限。招标文件售价每标段200元人民币,招标文件一经售出,概不退款(因招标人或招标机构等原因除外)。缴费与招标文件下载方式见招标公告附件2。
4.3在线购买招标文件。招标文件的售卖开始时间即招标文件发出时间,会略晚于招标公告发布时间,如遇无法报名请耐心等待,若招标公告发布第二天仍无法报名请及时联系项目负责人。招标文件售卖截止时间同报名截止时间,潜在投标人应在报名截止时间前完成招标文件的在线购买(注意:购买招标文件是投标报名的必经程序,报名截止时间前未完成招标文件在线购买的视为未完成对应的标段/包的报名,投标将被拒绝),招标人/招标代理机构不再提供纸质招标文件。
4.4招标文件购买操作失败或其他系统问题,请与平台运营单位联系。咨询电话: 4008800114 语音导航转电子招标平台。
4.5辽河油田招标中心目前仅提供在中国石油电子招标投标交易平台线上购买招标文件的缴费方式(具体操作参见招标公告附件2),潜在投标人以现金、电汇等其它方式购买招标文件将被拒绝,若出现潜在投标人未使用该交易平台购买导致的购买失败等一切问题,辽河油田招标中心不承担投标人的任何损失。
4.6投标报名截止时间后,购买招标文件不足三家,系统将自动提醒已购买招标文件的潜在投标人。各潜在投标人应确认在交易平台预留的联系方式真实有效,以便接收项目情况的各项通知。
4.7资料包费增值税发票将于项目开标当天统一开具,资料包费电子发票将通过投标人在中石油电子招投标交易平台上注册时预留的手机号和电子邮箱发送。请投标人确保在该平台预留的手机号及电子邮箱正确,及时查收资料包费电子发票。
五、投标文件的递交
5.1所有投标文件应于2025年9月29日 08:30:00(北京时间,24小时制)之前加密后上传至中国石油招标投标交易平台(互联网网址:www.cnpcbidding.com)。
5.2投标人在开标前,投标人应向招标机构提交20000元人民币的投标保证金,该费用需通过中国石油电子招标投标交易平台进行缴纳。缴纳方式参见招标公告附件3。
5.3如在递交截止时间前未能成功上传投标文件,视为主动撤回投标文件,投标将被拒绝。具体办理流程参见投标人用户手册(考虑投标人众多,避免受网速以及网站技术支持的时间等因素影响造成投标失败,建议投标截止时间前72小时完成网上电子投标以及投标保证金的提交)。电子投标文件的提交须使用已灌章的U-key,目前投标人在辽河油田招标中心参与招投标活动仅需办理公章U-Key,我中心不强制要求投标人办理法定代表人U-Key及授权委托人U-Key。未办理U-key的投标人,需到昆仑银行办理U-key,或登录中石油招标投标网线上办理。
5.4 投标费用:投标人应自行承担编制投标文件等所涉及的一切费用。招标人及招标代理机构不承担投标人因投标所发生的任何费用。
六、发布公告的媒体
6.1☑本次招标公告在中国石油招标投标网(http://www.cnpcbidding.com)上发布。
☑本次招标公告在中国招标投标公共服务平台(http://www.cebpubservice.com)、中国石油招标投标网(http://www.cnpcbidding.com)上发布。(适用于依法必须招标项目)。
因轻信其他组织、个人或媒介提供的信息而造成的损失,招标人、招标代理机构概不负责。
6.2中标通知书会采用电子中标通知书的形式为中标人发放(招标改谈判项目除外),请中标人在中标候选人公示期结束后及时缴纳招标代理服务费,招标中心在确认缴纳信息后会将电子中标通知书在电子交易平台发送给中标人。
七、招标代理服务费
按照油田公司相关规定收取招标代理服务费。投标报价中包含招标代理费,如发生实际工作量时,中标人需按实际工作量向招标中心支付相应代理服务费,确认缴费成功后再签订合同。
缴纳方式见招标公告附件3。
※中标人通过企业账户(不接受个人名义)以电汇形式向招标代理机构缴纳招标代理服务费。账户信息如下:
账户名称:中国石油天然气股份有限公司辽河油田分公司
银行账号:0714 0017 1930 0066 193
银行行号:102232000023
开户行:中国工商银行股份有限公司盘锦渤海支行
中标人必须在电汇凭证明确以下信息:(1)中标人公对公汇款时在摘要、用途、附言处都备注上招标文件编号(无需备注“代理服务费”等字样)。(2)月末最后两天不要缴纳代理服务费,每月1号正常缴纳。
电汇备注中请勿填写项目名称,由此产生项目无法确定而延误中标通知书的发放,责任由中标人承担。
八、开标
8.1开标时间:2025年9月29日 08:30:00
8.2开标地点:除招标文件有明确规定的情形以外,投标人可通过线上开标大厅参加开标仪式。
8.2.1线上开标大厅:中国石油招标投标网(网址:http://www.cnpcbidding.com)点击跳转至招投标平台。
九、联系方式
招标代理机构:中国石油辽河油田招标中心
地址:辽宁省盘锦市兴隆台区渤海街供应委永祥小区辽河油田招标中心
邮编:124012
联系人:***
联系电话:***
电子邮箱:shyluck@petrochina.com.cn
电子招投标交易平台运营运维单位:中油物采信息技术有限公司
联系电话:4008800114 语音导航转电子招标平台
昆仑银行U-Key办理业务咨询电话:4006696569
投标人须知及相关支持插件下载地址:中国石油电子招投标交易平台右上角-工具中心
十、附件
招标公告附件
中国石油辽河油田招标中心
2025年9月15日
剑鱼标讯辽宁招标网收集整理了大量的招标投标信息、各类采购信息和企业经营信息,免费向广大用户开放。登录后即可免费查询。
