《XX省XX市数字法治协同监督数据安全建设项目采购需求.docx》由会员分享,可在线阅读,更多相关《XX省XX市数字法治协同监督数据安全建设项目采购需求.docx(29页珍藏版)》请在第一文库网上搜索。
1、XX省XX市数字法治协同监督数据安全建设项目采购需求一、项目背景本项目根据全域数字法治监督体系(一期)项目验收要求、XX平台运行安全要求以及资金情况,初步开展XX平台的安全防护体系建设。二、预期目标通过访问权限管理、数据分级分类、数据脱敏、数据加密、数据备份等关键技术在数据的不同流转阶段进行控制,对数据安全态势进行实时分析感知,对终端数据的使用进行实时监管,同时依据相关法律政策建设数据安全管理制度,初步支撑全域数字法治监督应用(一期)四个场景建立智能化、实战化、场景化的数据安全支撑体系。借助商用密码技术完善云上系统安全体系,建立安全传输通道,实现数据的安全交互。三、采购清单及具体要求本标段的建
2、设内容主要包括数据安全体系建设、密码加固服务、分级分类服务建设。具体采购内容如下:(-)密码商用体系建设为云上应用系统提供传输透明加密服务、服务器密码服务、安全运维通道服务等内容以提升密码应用的安全性和可靠性,实现商用密码安全改造工作,保障数据安全支撑体系相关加密工作。X.采购清单序产品参数单数备注号类型位量1密码加固服务1传输透明加密服务:采用标准的SM2、SM3、SM4国产密码算法,建立Web用户终端到应用服务端的数据传输安全防护体系;2 .服务器密码服务:提供密钥生成/存储/分发/销毁等密钥管理服务、数据加解密服务和完整性运算服务,提供数据存储加密能力;3 .安全运维通道服务:采用SMI
3、、SM2、SM3、SM4等国密系列算法,在通信双方之间建立加密连接的方法保证数据传输的机密性,基于SM3的MAC算法来保证消息的完整性。默认包含基于SM2算法提供合规的身份鉴别工具;4 .身份鉴别服务套15年服务/2个系统2.具体技术要求(1)传输透明加密服务号指标项技术参数1服务范围2个系统,5年服务2服务内容基于传输透明加密系统产品提供用户终端到服务端的传输透明加密服务,实现传输加密能力。3产品资质及技术要求(传输透明加密系统)支持国产SM2、SM3、SM4标准加密算法,具备商用密码产品认证证书,具备GM/T0028-2014密码模块安全技术要求安全等级二级认证、具备计算机信息系统安全专用
4、产品销售许可证(需提供证书扫描件或复印件或照片)。需建立终端(Web/H5系统)到服务端的数据传输安全防护体系,通过终端动态加载透明加密模块,通过配置文件修改实现传输加密,保证终端数据传输安全(提供截图证明并加盖公章)。支持用户单次登录有效期内一次一密钥,登录结束后密钥销毁,通过密钥安全策略的设置保障数据安全。支持基于HMC-SM3算法的数据传输校验机制,实现用户/业务数据的防篡改功能,确保数的完整性。单个系统用户登录并发量IoO0,最大加密流量450Mbps,加密速度160Mbs,最大加密并发量26000QPS。需支持加密异常情况时,管理员手动控制关闭加密功能,维持应用系统业务正常运行。需提
5、供日志报告,包括用户行为日志、授权加密日志,日志包括登录表单、操作人IP、异常错误码、操作结果、时间等信息。在实现传输加密时,无需更换浏览器,不更改用户使用习惯;支持主流浏览器(IE8及以上、ChromeSafariFirefox等)、安卓及iOS系统上钉钉、微信入口浏览器接入。(2)服务器密码服务序号指标项技术参数1服务范围2个系统,5年服务2服务内容提供服务器密码服务,实现存储加密能力。3产品资质及技术要求(服务器密码机)支持国产SM1、SM2、SM3、SM4算法,具备商用密码产品认证证书,具备GM/T0028-2014密码模块安全技术要求安全等级二级认证、具备计算机信息系统安全专用产品销
6、售许可证(需提供证书扫描件或复印件或照片)。AP1接口应符合GB/T36322-2018信息安全技术密码设备应用接口规范标准接口,应支持国际标准的PKCS#1、PKCS#7、PKCS#10、PKCS#12、JCE等通用接口调用。服务器密码机支持ECB、CBC、OFB、CFB模式,支持IPv4.IPv6协议。具有数据加密、数据解密、数字签名和数字验证功能、提供密钥对生成、备份、恢复和管理功能。三级密钥管理体系:应采用“系统保护密钥-用户密钥(内部密钥对或KEK)-会话密钥”的三层密钥保护结构,保护密钥安全。应支持连接密码及黑名单配置,实现设备授权认证管理。应提供图形化的设备管理客户端软件,具备设
7、备管理、用户管理、密钥管理等功能,支持通过前面板钥匙销毁密钥(提供截图证明并加盖公章)。支持多机并行和负载均衡,具备高可靠性和高效冗余机制,对信息系统内的核心机密数据进行加密保护。单个系统SM1加解密速率22Gbps,SM4加解密速率22Gbps,SM2密钥对生成24000次/秒,SM2(256)签名260000次/秒,SM2(256)验签260000次/秒,SM3杂凑速率2IGbps,最大每秒处理请求量:50000(QPS)O4售后支持提供服务器密码机7*24小时上门现场服务支持;提供产品自交付起5年使用及维保服务,包含但不限于硬件保修、系统升级等服务内容。(3)安全运维通道服务序号指标项技
8、术参数1服务范围2个系统,5年服务2服务内容基于SS1VPN安全网关产品提供安全运维通道服务。3产品资质及技术要求(SS1VPN安全网关)支持国产SM2、SM3、SM4标准加密算法,具备商用密码产品认证证书,具备GM/T0028-2014密码模块安全技术要求安全等级二级认证、具备计算机信息系统安全专用产品销售许可证(需提供证书扫描件或复印件或照片)以在通信双方之间建立加密连接的方法保证数据传输的机密性,防止数据在网络传输过程被非法用户窃取导致数据泄露。支持基于SM3的MAC算法来保证消息的完整性,防止数据在网络传输过程被非法用户篡改。提供双证书认证体系(签名证书、加密证书),通过双向认证对端证
9、书来验证通信双方的身份,有效解决数据来源真实性问题。(提供上述对应功能截图)系统可视化管理:提供基于Web页面的完整图形化配置界面,根据具体网络环境和应用条件进行相关配置。建立密码岗位分权制度,设置系统管理员、安全管理员和审计管理员角色进行分权管理。系统可视化管理:提供基于Web页面的完整图形化配置界面,支持点对点、隧道模式,具备安全配置、网络配置、路由推送等功能。日志审计功能:提供日志记录、查看、导出功能,日志审计模块全程记录加密服务器运行状态,包括管理日志、终端接入日志、资源访问日志。(提供上述对应功能截图)管理页面支持配置完整功能的IPv6,C1I命令行配置完整功能的IPv6;支持IPv
10、6协议,支持IPv6隧道,支持对内网IPv6资源的安全访问;设备IPv6功能支持单栈和双栈。4售后支持提供SS1VPN安全网关7*24小时上门现场服务支持;提供产品自交付起5年使用及维保服务,包含但不限于硬件保修、系统升级等服务内容;(4)身份鉴别服务序号指标项技术参数1服务范围针对两个系统的PC端用户(监管单位运维及管理人员及相关工作人员)提供身份鉴别服务,通过使用第三方合规的电子认证服务中心签发的数字证书结合智能密码钥匙USBKey,实现对PC端登录应用用户的安全身份鉴别。2服务内容用户使用的数字证书由第三方合规的电子认证服务中心(CA中心)签发,保障用户身份的真实可靠性。(二)数据安全体
11、系建设1.采购清单根据全域数字法治监督的安全需求出发,建设数据全生命周期架构建安全防御体系,在政务云(信创云)、政法云部署数据探针、流量探针收集针对行为的安全威胁信息,并根据等保三级要求,在政务云上部署日志审计、WEB应用防火墙;在本地部署数据分类分级探针、日志探针等应用对政务云、政法云的业务数据进行分类分级,同时结合防泄漏技术对终端数据的使用进行实时监管,最终实现通过数据安全管控平台对数据安全态势进行全面的分析感知。序号系统名称功能模块主要性能指标单位数量1数据安全体系分类分级探针数据源管理数据源自动发现基于网络嗅探技术进行周期性探测,在指定IP地址范围内,通过端口扫描自动化发现网络环境中存
12、在的数据库系统。套2数据分类分级结合内置丰富的分类分级模板,内置的A1引擎根据模板更快、更准确的自动发现敏感数据并完成分类分级,结合独有的智能推荐算法给出分类分级推荐度排序,最优匹配度的敏感项被作为默认推荐的类别和等级。具备数据源、敏感数据和数所选定的分级标准等多维据度进行展示。与数据防护资系统进行AP1对接,如数产据的细粒度访问控制,数目据脱敏等,从而达到对数录据进一步分级保护的目的。分级根据行业特性以及业务场分景选择合适的分类分级模类板开展数据分类分级工模作,且支持对规则进行过板滤和编辑。管理数支持对数据库账号状态及据权限进行梳理评估,并且库可对账号新增、权限变更账及删除等变更情况进行分户
13、类展示,有效防止账号的梳违规授权和恶意提权。理具有数据库漏洞检查、配风置基线检查、弱口令检查险等手段进行数据资产安全检评估,通过安全现状评估测能有效发现当前数据库系统的安全问题,对数据库的安全状况进行持续化监控,保持数据库的安全健康状态。可数据安全分类分级监管大视屏展示,内容包含数据源化的分类分级情况,漏洞检大查,配置基线检查,弱口屏令等风险评估情况。系统管理提供系统运行、性能监控、用户权限、API安全、许可证等基本管理功能针对各种基于Web的APT流量探针Web攻击检测模块攻击行为进行检测,具备全面的Web漏洞检测特征库,同时支持其他Web检测产品不具备的WebShe11攻击检测、WCb传输恶意文件检测和Web动态行为分析等功能,深入发现所有已知的和未知的基于套2WCb的APT攻击行为。邮针对各种基于邮件的APT件攻击行为进行检测,支持攻各种基于Webmai1的漏洞击攻击检测和基于邮件附件检的恶意文件传输行为检测测,同时还具备基于邮件模头欺骗、发件人
免费区 
