（第三方测评）

（略）ZJ2023BJ（略）
（略）-（略）升级改造服务项目（第三方测评）
所需服务其他
投资审批项目
项目规模
项目所（略）
项目业主（略）民政局
审批项目资金来源财政性资金
服务金额（万元）2.490
星级评价无
比选报名及响应材料递交方式：（略）
比选报名及响应材料递交地（略）春平广场
比选响应材料递交截止时间2023年12月04日12时00分
交易方式：（略）
服务时限项目通过初步验收之日起启动第三方测评工作，30天内完成测评工作并出具软件评测报告和安全测评报告。
资质（资格）要求满足《中华人民共和国政府采购法》第二十二条规定：
（一）具有独立承担民事责任的能力。
（二）具有良好的商业信誉和健全的财务会计制度。
（三）具有履行合同所必需的设备和专业技术能力。
（四）有依法缴纳税收和社会保障资金的良好记录。
（五）参加政府采购活动前三年内，在经营活动中没有重大违法记录。
（六）法律、行政法规规定的其他条件。
2.2近三年内（2020年11月1日起至今）被“信用中国”网站列入失信被执行人和重大税收违法案件当事人名单的、被“（略）”网站列入政府采购严重违法失信行为记录名单（处罚期限尚未届满的）、受到政府采购及招标投标活动的各级监管部门行政处罚的不得参与本项目。
金额说明软件测评：1.24875万元；安全测评：1.24875万元
公告说明非必填，项目单位：（略）
有无回避情况非必填。该项目是否存在需要中介机构回避的情况，若有回避情况填写回避单位：（略）
项目内容测评内容
（略）安全测评
安全测评是由专业的第三方安全测评机构开展本项目安全测评工作。（略）络、（略）域边界和安全计算环境等方面进行。
（1）测评内容
（略）-（略）升（略）络、（略）域边界和安全计算环境等方面进行安全测评，并出具安全测评报告。
1）（略）络
●网络架构
（略）络设备的业务处理能力是否满足业务高峰期需求；（略）络各个部分的带宽是否满足业务高峰期需求；测试是否划分不同的（略）域,并按照方便管理和控制的原则为各（略）域分配地址：（略）
●通信传输
核查是否在数据传输过程中使用校验技术或密码技术来保证其完整性，验证密码技术设备或组件能否保证通信过程中数据的完整性；测试是否在通信过程中采取保密措施,具体采用哪些技术措施，在通信过程中是否对数据进行加密。
●可信验证
（略）引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证；测试是否在应用程序的关键执行环节进行动态可信验证；测试当检测到通信设备的可信性受到破坏后是否进行报警；（略）。
2）（略）域边界
●边界防护
测试跨越边界的访问和数据流是否通过边界设备提供的受控接口进行通信；（略）络的行为进行检查或限制；测试是否采用技术措施防止内部用户存在非法外联行为；（略）络的部署方式：（略）
●访问控制
（略）络边（略）域之间是否部署访问控制设备并启用访问控制策略，（略）络通信；测试是否不存在多余或无效的访问控制策略，不同的访问控制策略之间的逻辑关系及前后排列顺序是否合理；设备的访问控制策略中是否设定了源地址：（略）
●入侵防范
（略）络节点处是否具有检测、（略）络攻击行为；（略）络节点处是否具有检测、（略）络攻击行为。
●剩余信息保护
测试用户鉴别信息所在的存储空间释放或再分配的情况；（略）内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配的情况；（略）络行为进行分析,（略）络攻击行为的分析；测试当检测到攻击行为时,是否记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
●恶意代码和垃圾邮件防范
（略）络节点处是否对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新；（略）络节点处是否对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
●安全审计
（略），安全审计范围是否覆盖到每个用户，是否对重要的用户行为和重要安全事件进行了审计；审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；是否采取了技术措施对审计记录进行保护，是否采取技术措施对审计记录进行定期备份,并核查其备份策略；（略）访问用户行为单独进行审计分析。
●可信验证
（略）引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证；是否在应用程序的关键执行环节进行动态可信验证；测试验证当检测到边界设备的可信性受到破坏后是否进行报警；（略）。
3）安全计算环境
●身份鉴别
测试用户登录时身份标识和鉴别的情况；测试登录失败处理功能；测试服务器远程管理的能力；采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
●访问控制
测试登录的用户分配账户和权限；测试默认账户情况；测试多余、过期账户情况；测试管理用户权限情况；测试访问控制功能和安全策略水平；测试访问控制粒度情况；测试对重要主体和客体设置安全标记情况,并控制主体对有安全标记信息资源的访问。
●安全审计
测试安全审计功能是否开启及其覆盖范围；测试审计记录是否涵盖审计相关信息；测试审计记录保护及备份情况；测试验证通过非审计管理员的其他账户来中断审计进程，验证审计进程是否受到保护。
●入侵防范
测试最小安装原则；（略）服务、默认共享和高危端口；测试配置文件或参数是否对终端接入范围进行限制；测试数据有效性检验功能；测试漏洞扫描及修复情况；测试入侵检测及报警功能。
●恶意代码防范
测试是否安装了防恶意代码软件或相应功能的软件,是否定期进行升级和更新防恶意代码库；测试是否采用主动免疫可信验证技术及时识别入侵和病毒行为；当识别入侵和病毒行为时是否将其有效阻断。
●可信验证
（略）引导程序、系统程序、重要配置参数和应用程序等进行可信验证；测试是否在应用程序的关键执行环节进行动态可信验证；测试验证当检测到计算设备的可信性受到破坏后是否进行报警；（略）。
●数据完整性
测试数据传输过程中是否采取了检验技术或密码技术；测试数据传输中被篡改是否能进行检测并及时修复；测试数据存储过程中是否采取了检验技术或密码技术；测试是否采用技术措施保证了数据存储过程中的完整性；测试数据存储中被篡改是否能进行检测并及时修复。
●数据保密性
测试是否采用密码技术保证数据传输过程中的保密性；测试是否采用密码技术保证数据存储过程中的保密性。
●数据备份恢复
测试重要数据的本地数据备份与恢复功能；测试异地实时备份功能；（略）部署方式：（略）
●剩余信息保护
测试用户的鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除；测试敏感数据所在的存储空间被释放或重新分配给其他用户前是否得到完全清除。
●个人信息保护
测试个人信息采集及保存范围；测试有关用户个人信息保护的管理制度和流程；测试针对用户个人信息访问与使用的技术措施。
（2）测评策略
参照国家标准，采用安全配置核查、渗透测试等方法，提供本项目安全测评服务。本项目安全测评服务需完成以下成果：
一、《（略）安全测评报告》
二、《（略）安全测评整改建议》（（略）一份）
（略）形成安全整改建议书和安全测评报告，其中安全整改建议书应包括安全问题清单及整改建议。安全测评报告的内容应包括测评依据、测评过程、测评内容、测评结果及测评结论。报告名称：（略）
（略）软件测评
由专业的第三方软件测评机构开展本项目软件测评工作。软件测评工作从功能、性能、（略）-（略）升级改造服务项目各模块进行全面评估，（略）存在的缺陷，（略）的改进建议，通过软件开发商对于提交缺陷的修改，使系统达到一个稳定可靠的质量状态，（略）评审验收提供客观依据。
（1）测评内容
1）软件功能测试：（略）的业务逻辑、功能逻辑、（略）的功能进行分析和设计，（略）中存在的缺陷；（略）的整体质量。（略）的各个功能和模块是否满足业务需求并正确实现，（略）是否能够正确处理，（略）各项功能。主要从是规范性、准确性、适合性、互操作性、（略）的功能。
2）软件性能测试：（略）的性能需求，（略）-（略）升级改造服务项目进行负载、压力及疲劳强度测试，获取：（略）
3）软件可靠性测试：（略）可靠性要求，（略）持续运行中数据不丢失，（略）在运行过程中稳定、可靠，（略）故障恢复能力、系统出现故障或违反其制定接口的情况下，（略）失效发生的情况下，系统重建规定的性能级别并恢复受直接影响的数据的能力。
（2）评测策略
本次测试总体策略为：通过对正确的业务逻辑，（略）功能与需求描述是否相匹配，进行功能验收测试；（略）功能的边界，异常输入，等方式：（略）
最终，提交缺陷报告到缺陷管理工具中，并指定提交人，填写缺陷提交时间，以提交确认后的功能测试记录即认为测试执行过程结束。
垂询方式：（略）
联系人：（略）
传真
联系电话：（略）
（略）名称：（略）
地址：（略）
（略）电话
个人电话
邮件