泉州市山美灌区水资源调配中心 山美灌区智能应用管理平台商用密码应用安全性评估服务

**** 山美灌区智能应用管理平台商用密码应用安全性评估服务

密码应用安全性评估

****管理局

****

直接选取

普通

费用报价

无

95000

180日

谢杰阳

139****7061

1、商用密码应用安全性评估咨询指导服务 1）系统对象梳理服务 调研系统情况，对业务系统进行梳理，包括业务类型、数据类型、重要程度等。了解各业务系统之间边界划分情况，确定评估对象范围，对各业务系统边界进行详细划分。 2）指导编制商用密码应用方案及协助评审服务 协助指导采购单位编写商用密码应用方案，协助完成密码应用方案的专家评审环节及密码应用方案的密评环节，最终取得专家评审意见及《密码应用方案商用密码应用安全性评估报告》。 3）差距分析及指导整改服务 依据《信息安全技术 信息系统密码应用基本要求》（GB/T 39786-2021）、《信息系统密码测评要求》《商用密码应用安全性评估测评过程指南》《商用密码应用安全性评估测评作业指导书》和系统的安全需求分析对系统进行差距分析，并指导采购单位开展整改工作。 2、商用密码应用安全性评估服务 1）密码应用方案评估服务 对采购单位编制的密码应用方案开展评估服务，验证方案中选用的密码算法（如SM2、SM4、SM3等）、密码产品（加密机、密钥管理系统等）是否符合国家密码标准（GM/T系列），是否规划使用具备商用密码产品认证证书的产品。检查方案中密码应用场景的覆盖范围，是否包含身份鉴别、数据传输加密、数据存储加密、完整性校验、不可否认性等核心场景，无遗漏关键业务环节。审查密码应用与系统架构的适配性，方案设计是否考虑系统扩展性、兼容性，密码技术部署是否会影响系统正常运行效率。 汇总测评结果，明确方案是否符合商用密码应用安全要求，出具测评结论。针对方案中存在的合规短板、安全隐患，提出具体的优化整改建议（如调整算法选型、完善密钥管理流程等）。 2）应用系统评估服务 A.由供应商安排的技术负责人和服务工程师采用系统评估方式，及时发现被测系统脆弱性，识别风险，了解被测系统安全状况。对照密码应用方案对被测系统开展评估。根据被评估对象的实际情况、被测系统使用的密码产品情况，选择并确定测评依据。在被测系统真实环境下进行测评，以评估密码应用及保障是否安全有效，密码使用和管理是否合规、正确、有效。 B.密码技术应用测评包括但不限于以下内容： ①物理和环境安全密码测评：须对物理访问控制、电子门禁、视频监控等内容进行测评。 ②网络和通信安全密码测评：须对通信过程的数据真实性、完整性、机密性等内容进行测评。测评过程中所采用的商用密码网络协议检测分析工具应支持上传pcap、pcapng类型流量数据，支持加密协议SSL/TLS、IPSEC,非国密TLS V1.0、TLS1.1、TLSV1.2及国密TLSv1.1,非国密协议IPSEC V1.0及国密IPSEC1.1,支持管理协议SSHv1、SSHv2。 ③设备和计算安全密码测评：须对身份鉴别、访问控制、安全审计、可信验证、重要可执行程序来源真实性等内容进行测评。测评过程中所采用的商用密码测评基线符合性判定工具支持对物理环境、网络通信、设备计算、应用系统、数据**及密钥管理等层面进行全维度符合性判定，精准识别算法合规性、协议安全性、密钥生命周期管理、访问控制与审计日志等合规风险点。 ④应用和数据安全密码测评：须对应用系统访问控制、重要数据传输完整性和机密性、重要数据存储的完整性和机密性等内容进行测评。测评过程中所采用的商用密码身份鉴别保护措施核查工具支持对身份鉴别环节进行密码合规性自动化核查，可检测SM2/SM3/SM4国密算法应用、口令安全、证书有效性、登录锁定、重放防护、日志完整性等功能。 ⑤管理制度及人员管理：须对管理制度的制定、发布、评审和修定等内容进行测评；须对人员管理、职责权限、人员教育培训、人员离岗、人员考核、人员录用等内容进行测评。 ⑥建设运行：须对安全方案设计、系统安全性评估等内容进行测评。 ⑦应急处置：须对系统应急处置、应急管理、安全事件处置等内容进行测评。 C.密钥管理测评：检测被测系统密钥管理各环节，包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁等环节进行管理和策略制定的全过程是否符合要求。 D.安全管理测评：从制度、人员、实施和应急四个方面，对被测系统的密码安全管理进行商用密码应用安全性管理测评。 E.密码应用安全评估报告：****管理局要求包含的内容编制或参考模板编制密码应用安全评估报告。 F.测评服务工具 为满足本项目测评要求，确保项目数据安全及知识产权合规，供应商拟投入本项目的密码测评工具应符合《密码法》及商用密码应用安全性评估标准，具备完整的知识产权权属证明，测评过程不泄露、不留存、不外传被测数据，确保测评结果准确可追溯，满足项目全流程密码合规性、正确性、有效性测评需求。 3）服务交付物 密码应用方案和系统的《商用密码应用安全性评估报告》。 4）项目服务团队要求 为保证服务质量，供应商应安排至少3名具备密评资质的技术人员，项目经理应具有项目管理相关资格认证；测评工程师应具有渗透测试相关资格认证，技术人员在服务期间应7*24小时根据项目需求进行技术支持或应急响应。

经市场价格、服务质量、业绩等方面进行比选，择优选取。

2026-06-23

2026-06-26

否