一、 项目概 况

（一）绵阳经济技术开发区作为四川省级化工园区，园区涉及合成氨、氯化、氟化、烷基化、氧化等多种重点监管危险化工工艺，构成涉氯、涉氨、涉硝酸铵等重大危险源近十处，行业跨度广、固有风险高、监管压力大。为防范和化解园区危险化学品安全生产领域系统性风险，遏制危险化学品重特大事故，根据《工业互联网+危化安全生产试点建设方案》（应急厅（2021）27号）、《化工园区安全风险智能化管控平台建设指南（试行）》（应急厅（2022）5号）和《四川省化工园区认定管理办法（试行）》（川经信化工（2021）80号），实施建设绵阳经开化工园区重大安全风险防控项目，有利于强化安全风险管控能力，提升经开区本质安全水平、指挥协调能力、辅助决策能力、教援处置能力和监管执法能力，有效防范化解重大安全风险，保障人民群众生命财产安全和社会稳定：同时，也将显著促进入园企业合规、合法、安全生产，降低企业事故发生率，构建智慧管理、绿色安全、高质高效的现代化园区。

（二）系统框架化工园区智能化管控平台总体构架划分为边缘层、网络层、laaS层、DaaS层、PaaS层、SaaS层及展示层七个层次，以工业互联网标准为引领、工业互联网安全体系为保障，依托数据流、信息流、业务流，提供风险监测、安全监管、统计分析、应急处置等方面的支撑，提升化工园区安全风险管控能力。企业相关信息由企业安全风险智能化管控平台通过网络层与化工园区智能化管控平台对接。1.边缘层是在化工园区企业及公共管廊、公共区域加装或改造监测监控设备、遥测设备或智能化监控设备，通过协议转换、边缘计算等构建精准实时、高效的安全与应急数据采集与分析体系，接入、转换预处理、存储、分析数据，配置边缘网关等设备合理布置算力和模型，实时获知企业及园区公共设备设施的运行状况和环境动态变化，就近提供边缘智能服务，掌握安全态势。2.网络层是建立园区级覆盖范围广、连接设备多、带宽大的有线/无线基础网络，满足边缘层过程数据采集、传输和分析需求。3.laaS层通过计算、网络、存储等资源的虚拟化，实现信息基础设施的资源池化。提供所有计算需要的基础设施，包括处理CPU、内存、存储、网络和其它基本的计算硬件资源，根据PaaS层的运算需要部署和运行相应的软件，包括操作系统和应用程序等。4.DaaS层对各类数据信息进一步加工形成信息组合应用，通过汇聚、整合、清洗、关联和比对等数据处理手段，实现对数据资源全生命周期的规划设计、过程控制和质量监督，提高数据质量，提升数据价值。通过数据中台建设数据资源池，建立数据模型，对基础数据信息块以不同的方式进行组装，满足各类应用的需要。通过对数据聚合抽象，把数据转换成通用信息，对外提供数据服务。5.PaaS层利用laaS层和DaaS层的数据处理能力，对通过边缘层采集和网络层传输与汇聚的异常环境数据、安全管理数据、人员位置数据、实时通讯数据、标识数据、各系统产生的数据等统一调度和应用。结合园区运营各环节实际数据和运行流程，构建机理模型和数据驱动模型。通过构建AI能力引擎和机器学习模型，提供AI中台服务。SaaS层通过调用和封装PaaS层平台上的开发工具、行业机理模型、数据驱动模型等服务形成安全基础管理、重大危险源管理、双重预防机制管理、特殊作业管理、封闭化管理和敏捷应急等应用服务。6.展示层支持大屏、PC或移动端多终端应用。按照国家和省、市有关规定和市政府相关文件，《中华人民共和国网络安全法》、《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、《密码模块安全技术要求》（GM/T 0028-2014）等标准，结合项目的特点，须为业主方提供绵阳经开化工园区智能化管控平台提档升级项目、绵阳经济技术开发区遏制重特大事故1+3体系建设工程、绵阳经开化工园区重大安全风险防控项目系统软件测评服务及绵阳经开化工园区重大安全风险防控项目等级保护测评服务并出具相应报告。

二 、采购项目标的清单

服务名称	服务项目	单位	数量	所属 行业
软件 测评	1、绵阳经开化工园区智能化管控平台提档升级项目 2、绵阳经济技术开发区遏制重特大事故1+3体系建设工程 3、绵阳经开化工园区重大安全风险防控项目	项	3	软件和信息技术服务业
网络安全等级保护测评	绵阳经开化工园区重大安全风险防控项目（三级）	项	1	软件和信息技术服务业

三、 软件测评服务要求

技术标准GB/T 25000.51-2016《系统与软件工程系统与软件质量要求和评价（SQuaRE） 第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》。

测试原则

客观性和公正性原则：虽然评估工作不能完全摆脱个人主张或判断，但评估人员应当没有偏见，在最小主观判断情形下，按照评估双方相互认可的评估方案，基于明确定义的评估方式和解释，实施评估活动。

可再现性原则：不论谁执行评估，依照同样的要求，使用同样的评估方式，对每个评估实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与不同评估者评估结果的一致性有关，后者与同一评估者评估结果的一致性有关。

结果完善性原则：评估所产生的结果应当证明是良好的判断和对评估项的正确理解。评估过程和结果应当服从正确的评估方法以确保其满足了评估项的要求。

软件测评内容包括但不限于以下内容 功能性测试

软件产品满足明确和隐含要求功能的能力。具体内容包括：完备性、正确性、恰当性、互操作性、安全保密性等。

易用性测试

软件产品被理解、学习、使用和吸引用户的能力。关注软件使用时是否感觉方便，能否通过简单的操作达到用户的目的，界面是否美观，排版是否合理等。具体内容包括：易理解性、易学性、易操作性、吸引性等。

效率性能测试

软件产品所提供性能的能力。关注在多用户、大并发量的情况下系统是否满足客户的实际需要，主要从吞吐量、点击率、平均事物响应时间、负载下的平均事物响应时间等来进行测试。具体内容包括：时间特性、资源利用率、容量等。

安全测试

查找软件自身程序设计中存在的安全隐患，并检查应用程序对非法侵入的防范能力。

软件测 评 具体要求 实施要求

• 系统梳理

对本次测评涉及软件系统进行梳理，了解软件系统的主要业务应用、系统架构等情况。

• 现场测评

对本项目所涉及软件系统进行现场测试，出具缺陷报告，待开发单位整改后进行回归测试。

• 成果递交

整理测试结果，出具软件测试报告。

实施过程风险管理

测试实施过程中，被测系统可能面临业务中断、数据丢失等安全风险，投标方应就可能存在的风险进行充分识别并采取必要的规避或防范措施。

项目管理与实施保障

对项目进行科学严格的管理，通过系统计划、有序组织、科学指导和有效控制，促进项目全面顺利实施，供应商必须提供完整的项目管理方案，并符合以下要求：

供应商及其测试人员应当严格执行有关国家信息安全相关标准和有关规定，提供客观、公平、公正的服务；测试过程中其相关人员应注意测试记录和证据的接收、处理、存储和销毁，保护其在测试期间免遭改变/遗失，并保守秘密；

四、网络安全等级保护测评服务要求

测评内容包括技术和管理测评

技术安全性测评包括但不限于： 安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。

管理安全测评包括但不限于： 安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

测评对象及范围：一个三级系统。

依据标准及法律法规

• 《中华人民共和国网络安全法》；.
• GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》；
• GB/T28448-2019《信息安全技术网络安全等级保护测评要求》；
• GB/T28449-2018《信息安全技术网络安全等级保护测评过程指南》；
• GB/T36627-2018《信息安全技术网络安全等级保护测试评估技术指南》；
• 《信息安全等级保护管理办法》 公通字 [2007] 43 号；
• 《网络安全等级保护测评机构管理办法》 公信安 [2018] 765 号 5.2 测评要求。

安全要求

• 安全物理环境

序号	工作单元名称	工作单元描述
1	物理位置选择	通过访谈、检查机房等信息系统物理场所在位置上 是否具有防雷、防风和防雨等多方面的安全防范能力。
2	物理访问控制	通过访谈、检查主机房出入口、机房分区域情况等 过程，测评信息系统在物理访问控制方面的安全防范能 力。
3	防盗窃和防破 坏	通过访谈、检查机房的主要设备、介质和防盗报警 系统等过程，测评信息系统是否采取必要的措施预防设 备、介质等丢失和被破坏。
4	防雷击	通过访谈、检查机房的设计/验收文档，测评信息系 统是否采取相应的措施预防雷击。
5	防火	通过访谈、检查机房的设计/验收文档，检查机房防 火设备等过程，测评信息系统是否采取必要的措施防止 火灾的发生。
6	防水和防潮	通过访谈、检查机房的除潮设备等过程，测评信息 系统是否采取必要措施来防止水灾和机房潮湿。
7	防静电	通过访谈、检查机房是否采取必要措施防止静电的 产生。
8	温湿度控制	通过访谈、检查机房温、湿度情况，是否采取必要 措施对机房内的温湿度进行控制。
9	电力供应	通过访谈、检查机房供电线路、设备等过程，是否 具备提供一定的电力供应的能力。
10	电磁防护	通过访谈、检查是否具备一定的电磁防护能力。