项目需求书

一、项目背景

随着北京市加快推进政务信息系统整合共享工作，北京市地方金融监督管理局积极响应北京市相关政策要求，当前首都金融综合信息服务平台已经部署在北京市市级政务云上，依托北京市市级政务云提供的基础环境支撑平台正常运行。

为确保首都金融综合信息服务平台安全、可靠地运行，并最大限度地确保信息的机密性、完整性、可用性、可控性和不可否认性，避免各种潜在的威胁，需借助专业的安全服务来加强平台的安全建设，保障首都金融综合信息服务平台安全稳定运行。由于信息安全的复杂性、全面性、动态性和主动性等特性，对安全专业技术人员提出了非常高的要求，所以，为确保首都金融综合信息服务平台安全可靠持续地运行，保障信息系统的完整性、可用性、可控性，避免潜在的威胁， 本次安全运维服务将引入专业安全服务商为首都金融综合信息服务平台提供信息安全专业服务，切实提高信息安全管理水平。

二、项目目标

本次项目目标是建设一个覆盖全面、重点突出、持续运行的信息安全保障体 系，识别首都金融综合信息服务平台在技术层面和管理层面存在的不足和缺陷， 充分借鉴信息安全实践和成熟的理论模型，设计合理的安全管理措施和技术措施， 建立起科学的结构化的信息安全保障框架，保证首都金融综合信息服务平台长期 稳定运行。

三、项目原则

为实现本项目的项目目标，结合北京市地方金融监督管理局信息化建设的实际情况，供应商安全服务过程必须遵循以下原则：

▶️ 3.1 安全保密原则

执行国家《保密法》及有关保密的法律法规，服务过程中凡是涉及到的任何用户信息均属保密信息，不得泄露给第三方单位或个人，不得利用这些信息损害用户利益。

▶️ 3.2 最小影响原则

要尽可能小的影响系统和网络的正常运行，不能对业务的正常运行产生显著影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则应对风险进行说明。

▶️ 3.3 规范性原则

应由专业的安全服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，提供完整的服务报告。

▶️ 3.4 可控性原则

实施信息系统安全服务的工具、方法和过程要在双方认可的范围之内，保证用户对于服务过程的可控性。

▶️ 3.5 质量保障原则

应特别重视项目质量管理，项目的实施将严格按照项目实施方案和流程进行， 并由项目协调小组从中监督、控制项目的进度和质量。

四、项目需求

供应商应完成如下服务内容：

▶️ 4.1 主机安全加固

服务需求：供应商应根据前期的安全检查结果，以漏洞扫描为依据，根据采购人的安全需求和业务流程制定安全加固方案，在不影响业务开展的前提下，定期对操作系统、数据库的安全配置策略进行加强，及时消除因安全漏洞被恶意攻击者利用从而引发的风险。

服务范围：不少于 44 个云主机、5 个数据库。服务频次：本项服务开展不少于 2 次。

▶️ 4.2 主机漏洞扫描

服务需求：供应商应基于漏洞数据库，通过扫描等手段对首都金融综合信息服务平台云主机的安全脆弱性进行检测，以发现信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞，检查系统存在的弱口令，收集系统不必要开放的账号、服务、端口，形成整体安全风险报告，帮助安全管理人员先于攻击者发现安全问题，及时进行修补。

服务范围：不少于 44 个云主机。

服务频次：本项服务开展不少于 2 次。

▶️  4.3 安全自查

服务需求：供应商应根据上级信息安全检查单位的安全检查要求，提供安全自查技术支持，协助完成系统安全自查工作，并根据需求编制信息安全自查报告和汇报材料。

服务频次：本项服务开展不少于 1 次。

▶️  4.4 云堡垒

服务需求：供应商应针对首都金融综合信息服务平台相关资产提供无代理模式的审计服务，对被管理资产进行授权，禁止无登录访问，实现统一的用户管理、身份认证、授权、定期改密码等。

服务范围：不少于 44 个云主机、5 个数据库。服务期限：12 个月。

▶️ 4.5 数据库访问控制

服务需求：供应商应针对首都金融综合信息服务平台提供数据库访问控制服务。数据库访问控制是基于数据库协议分析与控制技术的数据库安全防护。基于主动防御机制，实现对首都金融综合信息服务平台数据库的访问行为控制、危险操作阻断、可疑行为审计等安全防护措施。

服务范围：不少于 5 个数据库。服务期限：12 个月。

▶️ 4.6 云系统安全监测服务

服务需求：供应商应针对首都金融综合信息服务平台云主机提供安全监测服务。针对云主机从资源利用率、可用性、安全配置、安全漏洞和安全日志等多个维度进行周期性监测，监测统计云主机安全运行状况，及时发现安全隐患，提供信息安全事件协助、分析服务，对故障或隐患诊断和处理，尽快解决安全事件， 使伤害降低到最少，同时形成安全时间分析报告，提供安全整改建议。

服务范围：不少于 44 个云主机。服务期限：12 个月。

▶️ 4.7 威胁情报分析服务

服务需求：供应商应针对首都金融综合信息服务平台提供威胁情报分析服务。针对平台安全日志结合最新威胁情况，借助威胁情报中的恶意域名、恶意 IP、恶意 URL 等威胁情报库，通过大数据、人工智能等措施分析当前平台面临的威胁情况，及时发现恶意行为，实现实时威胁检测和防御，提高平台安全防护能力。服务范围：不少于 44 个云主机、5 个数据库。

服务期限：12 个月。

▶️  4.8 安全巡检

服务需求：利用检测工具和人工检测等多种方式定期对首都金融综合信息服务平台的云主机操作系统、数据库及中间件的健康状态进行检测，包括业务应用服务所占用的网络资源情况、端口服务开放情况的变更等内容，并实施必要的安全维护操作，做好巡检记录，维护记录单，提交巡检报告。

服务范围：不少于 44 个云主机、5 个数据库。服务期限：12 个月。

▶️ 4.9 源代码安全检测

服务需求：供应商应针对首都金融综合信息服务平台、行业监管及分析系统、权力运行信息化监督系统进行源代码安全检测，发现代码存在的安全隐患，通过工具检测或者手工和工具相结合的方式检验应用程序的源代码，利用大量的代码安全规则来分析源代码中违反规则的部分，进而确定可能存在的安全漏洞和隐患并指导开发团队加以解决。

服务范围：首都金融综合信息服务平台、行业监管及分析系统、权力运行信息化监督系统。

服务频次：本项服务开展不少于 1 次。

▶️ 4.10 应急响应

服务需求：在首都金融综合信息服务平台、行业监管及分析系统、权力运行信息化监督系统发生安全事件时及时响应，执行应急响应流程，通过专家级技术支持和快速响应，及时抑制和消除平台安全事件，减少损失和负面影响，提高平台业务连续性。

服务范围：首都金融综合信息服务平台。服务期限：12 个月。

服务频次：按需提供。

▶️  4.11 脆弱性检测

服务需求：供应商应针对首都金融综合信息服务平台开展的安全分析检查工作，全面深入地对操作系统、数据库、中间件等存在的各种技术漏洞和安全管理漏洞进行检查，为安全加固提供客观依据，减少信息安全隐患，提高平台安全性。服务范围：不少于 44 个云主机、5 个数据库和 1 套安全管理制度。

服务频次：本项服务开展不少于 2 次。

详情请见招标文件