涡阳县公共交通有限责任公司关于网络系统安全二级等保建设项目的询价公告

各相关等保建设机构 ：

根据我公司相关部门网络系统安全工作需求，拟询价方式选择一家等级保护建设机构对我公司相关网络系统开展安全等级保护建设工作，根据采购工作有关规定，特向各潜在等保建设机构进行市场调查询价，相关事宜公告如下：

一、服务内容及要求

1、各相关等保建设机构（企业），必须有相关资质（本单位经营资质证书、网络安全等级保护建设机构相关资质、企业信用情况），提供原件复印件，并加盖公章；

2、服务内容及系统描述：

3、项目地点：涡阳公交智能调度中心。

4、服务工期：自合同签订之日起30日内完成等保建设，质保期及服务周期为三年。

5、项目服务要求：

（1）中标人根据涡阳公交智能调度中心信息系统《网络安全等级保护评估及整改建议报告》（详见附件1），按照国家网络安全法相关规定，落实整改建议措施，满足网络系统安全二级等保建设标准要求，并通过二级等保测评。

（2）中标人若无法在规定时间内完成二级等保建设标准要求并通过测评，采购人有权取消其中标资格，解除合同，并不支付任何费用。

二、项目预算

本项目采购预算为20万元，通过二级等保测评付实际中标价款的90%，质保期及服务周期满付至100%。

三、询价时间

询价时间为：2023年4月14日至2023年4月20日。

四、报价文件要求

1、报价函(加盖公司章)；格式详见附件2；

2、公司营业执照复印件（加盖公章）；

3、网络安全等保建设有关资质证书复印件（加盖公章）；

4、法定代表人授权委托书（加盖公章）；

5、本项目服务方案及报价分项明细；

6、采购人发布的询价公告等其他需要自行提供资料。

五、报送时间、地点

1、提供纸质材料(密封)：2023年4月20日17:00前，过时视为放弃参加本次询价活动的权利。

2、报送地点：涡阳县九龙大道东侧（国强建材城南侧）涡阳公交公司二楼206室。

联系人：席主任，联系电话：0558-5388655

各意向等保建设机构，认真阅读各项内容，并按以上确定的时间、地点准时密封报送报价文件（现场或邮寄报送均可）。

六、评审办法

采购人于2023年4月20日17:00在二楼党员活动室召开评审会，采取最低价中标原则，现场确定中标人；投标人自愿选择参加与不参加现场评审，均不影响评审结果。

附件：1、网络安全等级保护评估及整改建议报告

2、 报价函

涡阳县公共交通有限责任公司

2023年4月14日

附件1

涡阳公交智能调度中心信息系统

网络安全等级保护评估及整改建议报告

经三方机构对涡阳公交公司“公交智能调度中心信息系统”所涉及的服务器、

网络设备、安全设备等系统相关资产进行网络安全测评和安全漏洞扫描，共发现

项17处，中风险项14处，整改建议如下：

风

Windows服务器（172.16.100.6、172.16.100.8、172.16.100.9、

172.16.100.10)

1、设置密码复杂度策略，配置密码有效期（中风险）

1）建议密码必须符合复杂性要求：已启用

2)密码长度最小值：8个字符

3密码最长使用期限：不为零

4)密码最短使用期限：不为零

5强制密码历史：5个记住的密码：

6）建议不要勾选“密码永不过期”（优先级大于密码策略）。

解决方案：在服务器密码设置中进行相应设置。

2、1）配置登录失败处理功能：2）、配置限制非法登录功能：3)、配置登录连接超

时及自动退出功能（中风险）

建议开启账户锁定策略：建议设置

1）账户锁定时间：30分钟

2）帐户锁定闽值：5次无效登录

3复位账户锁定计数器：30分钟之后

解决方案：在服务器登陆设置中进行设置

3、授予管理用户所需的最小权限（中风险）

1、建议设置系统管理员、安全管理员、审计管理员的角色：

2）、建议根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理

用户所需的最小权限，角色的权限之间相互制约。

解决方案：在服务器用户管理中进行设置。

4、开启“本地安全策略”和“审核策略

1）建议配置审核策略：

2）审核策略更改一-成功，失败

3)审核登录事件-成功，失败

1

4）审核对象访问--成功，失败4）审核进程跟踪--成功，失败

5审核目录服务访问--失败

6）审核特权使用--失败

7）审核系统事件-成功，失败

8审核帐户登录事件--成功，失败

9审核帐户管理--成功，失败

开启审核策略后默认符合：开启全部策略--成功和失败的审核。

解决方案：在服务器本地安全管理中进行相应设置，同时部署日志审计设备，将

网络设备安全设备、服务器等设备日志集中发送至日志审计设备上统一管理

5、建议配置本地策略-安全选项高风险

关机：清除虚拟内存页面文件：已启用：交互式登录：不显示最后的用户名：已启用。

解决方案：在服务器本地安全策略中将这两个功能开启。

6、建议在运行输入gpedit.msc本地组策略编辑器本地计算机策略计算机配置

一管理模板->Windows组件一>远程桌面服务一>远程桌面会话主机->安全：启用远

程RDP功能，并在下拉的安全层中选择SSL；保证数据在传输过程中的完整性

风险

解决方案：在服务器相应配置中进行该项操作，具体操作步骤从上所述。如需远

程操作建议部署堡垒机搭建远程跳转环境。

7、建议删除不需要的组件和应用程序，关闭除业务端口之外不必要的系统服务、

默认共享、高危端口（中风险）

解决方案：可以选择在服务器中做Windows防火墙入站策略配置，或者在防火

墙设备中将不必要的端口做端口限制

8、登录连接超时自动退出（中风险）

解决方案：[控制面板]-[外观][显示][更改屏幕保护程序]

勾选[在恢复时显示登录屏幕]等待5分钟（10分钟下均可）

并且：建议在运行输入gpeditmsc本地组策略编器本地计算机策略一>计算机配

置-管理模板->Windows组件远程桌面服务-远程桌面会话主机一>会话时间限制

-设置活动空闲的远程桌面服务会话的时间限制：启用远程桌面服务会话的时间

限制，并在下拉的空闲会话限制中设置5分钟（10分钟以下均可）：登连接超时自

动退出

9、建议部署防病毒软件并实时更新病毒库，对服务器恶意恶意代码进行防护

解决方案：建议部署服务器端安全，对服务器终端进行安全防护。

二、Windows终端

1、设置密码复杂度策略，配置密码有效期（中风险）

1）建议密码必须符合复杂性要求：已启用

2

2)密码长度最小值：8个字符

3)密码最长使用期限：不为零

4密码最短使用期限：不为零

5强制密码历史：5个记住的密码：

6）建议不要勾选“密码永不过期”（优先级大于密码策略

解决方案：在终端密码设置中进行相应设置

2、1）配置登录失败处理功能：2）、配置限制非法登录功能：3）、配置登录连接超

时及自动退出功能（中风险）

建议开启账户锁定策略：建议设置：

1）帐户锁定时间：30分钟

2）帐户锁定闽值：5次无效登录

3复位帐户锁定计数器：30分钟之后

解决方案：在终端登陆设置中进行设置。

3、授予管理用户所需的最小权限（中风险）

1）、建议设置系统管理员、安全管理员、审计管理员的角色：

2）、建议根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理

用户所需

的最小权限，角色的权限之间相互制约。

解决方案：在终端用户管理中进行设置。

4、开启“本地安全策略”和“审核策略”（高风险）

建议配置审核策略：

1）审核策略更改一成功，失败

2）审核登录事件-成功，失败

3）审核对象访问--成功，失败

4）审核进程跟踪--成功，失败

5）审核目录服务访问--失败

6）审核特权使用--失败

7）审核系统事件--成功，失败

8）审核帐户登录事件--成功，失败

9）审核帐户管理--成功，失败

开启审核策略后默认符合：开启全部策略--成功和失败的审核。

解决方案，在终端本地安全管理中进行相应设置，同时部署日志审计设备，将

网络设备、安全设备、服务器等设备日志集中发送至日志审计设备上统一管理。

3

5、建议配置本地策略-安全选项（高网险

关机：清除虚拟内存页面文件：已启用：交互式登录：不显示最后的用户名，已启用。

解决方案：在终端本地安全策略中将这两个功能开启

6、建议在运行输入gpeditmsc本地组策略编辑器本地计算机策略>计算机配置

管理模板>Windows组件》远程桌面服务一>远程桌面会话主机->安全；启用远程

RDP功能，并在下拉的安全层中选择SSL：保证数据在传输过程中的完整性

解决方案：在终端相应配置中进行该项操作，具体操作步骤从上所述。如需远程

操作建议部署堡跳转环境

7、建议删除不需要的组件和应用程序，关闭除业务端口之外不必要的系统服务、

默认共享高危端口（中风险）

解决方案：可以选择在终端中做Windows防火墙入站策略配置，或者在防火墙

设备中将不必要的端口做端口限制。

8、登录连接超时自动退出（中风险）

解决方案：[控制面板]-[外观]-[显示][更改屏幕保护程序]

勾选「在恢复时显示登录屏幕]等待5分钟（10分钟以下均可）

并且：在运行输入gpeditmsc本地组策略编辑器本地计算机策略计算机配置管

理模板->Windows组件一>远程桌面服务-远程桌面会话主机一>会话时间限制设

置活动但空闲的远程桌面服务会话的时间限制；启用远程桌面服务会话的时间

限制，并在下拉的空闲会话限制中设置5分钟（10分钟以下均可：登录连接超时

自动退出。

三、Oracle数据库

1、未见有密码有效期策略。（中风险）

解决方案：完善密码复杂度策略，策略要求需包括数字、大小写字母、特殊字符

（4种至少包含3种），同时满足8位以上。并建议设置密码有效期为90天以内。

2、登录失败处理配置不合理，超时自动退出时间不合理。（中风险）

解决方案：设置登录失败错误次数不超过5次超过五次后锁定20分钟20分钟

无操作自动退出。

3、未见有制定备份记录表单。（高风险）

解决方案；建议部署备份一体机设备。定期备份数据并记录备份时间。建议定期

进行恢复操作，检验备份数据的可用性，并记录。

4、授予管理用户所需的最小权限（中风险）

解决方案：如果部署堡垒机，建议在堡垒机上进行以下设置：

1）、设置系统管理员、安全管理员、审计管理员的角色；

2）、根据管理用户的配权限，实现管理用户的限分离，授管理用户所需的最小

权限，角色的权限之间相互制约。

针对数据库系统：为对数据库操作进行记录、审计、授权、命令回放等进行管理。

4

也可以部署数据库审计设备进行以上操作

四、业务系统

1、未见有密码有效期策略（高风险）

解决方案：完普密码复杂度策略，策略要求需包括数字、大小写字母、特殊字符

（4种至少包含3种），同时满足8位以上。并建议设置密码有效期为90天以内。

2、登录失败处理配置不合理，超时自动退出时间不合理（高风险）

解决方案：设置登录失败错误次数不超过5次超过五次后锁定20分钟，20分钟

无操作自动退出。

3、未见有制定备份记录表单（高风险

解决方案：建议部署备份一体机设备。定期备份数据并记录备份时间。建议定期

进行恢复操作，检验备份数据的可用性，并记录。

4、授予管理用户所需的最小权限。（中风险）

解决方案1：在业务系统平台进行以下配置

1)、设置系统管理员、安全管理员、审计管理员的角色：

2、根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户

所需的最小权限，角色的权限之间相互制约。解决方案2：如果有部署了堡垒机，

建议在堡垒机上进行以上设置。

5、建议业务系统传输数据过程中采用HTTPS协议（高风险

解决方案：需要对业务系统购买可用的ssl证书，并且将证书添加到系统配置

中，保证系统采用https协议进行数据传输，以确保系统在数据传输时的保密

性和完整性。

五、安全设备

1、建议审计防护火墙的规则库版本为最新版本风

2、建议升级IPS的规则库为最新版（高风险）

解决方案：对现有防火墙及IPS设备规则进行更新到最新版本，如防火墙及IPS

设备过保，建议重新采购。

1、建议管理核心交换机、介入交换机的Tenet协议启用SSH协议风

解决方案：在交换机中进行相关配置

3、部署日志审计设备，需要将网络设备、安全设备、服务器等设备日志集中发

送至日志审计设备上统一管理尚

解决方案：在日志审计设备中将系统所涉及的所有资产（交换机、路由器等网络

设备，防火墙等安全设备、服务器等资产）添加到日志审计中。

六、漏洞

1.建议修改服务器、安全设备、网络设备的全部高危漏洞（高风险

涡阳公交

附件2：报价函

致：XXX

根据贵单位的询价公告，正式授权下述签字人（姓名）代表

报价人（报价单位名称）全权处理本项目报价的有关事宜。根据此函，我们

宣布同意如下：

1.我方接受询价公告的所有的条款和规定。

2．我们同意提供贵单位要求的有关本次报价的所有资料或证据。不论在任

何时候，将按贵单位要求如实提供一切补充材料，承诺在本次报价中提供的一切

文件，无论是原件还是复印件均为真实和准确的，绝无任何虚假、伪造和夸大的

成份，否则，愿承担相应的后果和法律责任。

项目名称：

报价人全称：（盖章）

授权代表（签字）：联系电话：日期：

注：1、报价总金额包括服务及相关税费等一切费用；

2、报价表格式不得自行改动。

涡阳公交