招标文件
采购内容
一、项目概况(采购标的)
对福州市政务服务管理平台、福州市工程建设项目审批管理系统、省级工程建设项目审批中介服务网上交易平台3个系统进行等保三级复测和密码评估服务。
二、技术和服务要求(以“★”标示的内容为不允许负偏离的实质性要求)
本项目合同包1和包2的技术要求全部条款内容均为“以“★”标示的内容”,即均为不允许负偏离的实质性要求。
|
包号 |
技术要求 |
具体内容 |
|
包1 |
技术要求 |
一、总体要求 |
|
1、安全测评技术服务: (1)根据网络安全主管单位对等保三级信息系统安全要求,针对福州市政务服务管理平台、福州市工程建设项目审批管理系统、省级工程建设项目审批中介服务网上交易平台开展物理环境安全、通信网络安全、区域边界安全、计算环境安全等三级等保相关的系统网络安全测评服务,并指导协助系统运维厂商进行安全整改; |
||
|
(2)在测评过程中,若因缺少安全防护设备无法顺利通过三级等保测评,服务提供方须提供相关安全防护设备以满足测评要求; (3)对被测信息系统进行全面等保综合评估管理,动态管控等级保护各项工作进度,规范有序实施等级保护服务。 |
||
|
2、测评结果报告: (1)按照公安部印发《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》等标准规范要求,对目标系统提供等级保护测评; |
||
|
(2)提供的测评及风险评估报告需包含对被测项目系统安全风险提示、整改建议等内容,对检测不合格项内容提出整改意见,在修改后再次进行重新测试,直到测评合格。 (3)整改合格后,供应商需提供符合网络安全主管部门要求检测合格的《信息安全等级保护测评及风险评估报告》并协助进行网安复测备案。 |
||
|
3、系统测评预评估服务: 在测评准备期间,开展对被测系统的预评估并提供风险评估报告,对存在的风险点提出整改意见,并协助相关系统运维厂商进行安全加固。 |
||
|
二、服务内容要求 |
||
|
1、系统咨询监测服务 在服务过程中,若因缺少相关安全防护设备无法顺利通过三级等保测评,服务提供方须提供相关安全防护设备以满足相关要求;同时对被测信息系统进行更全面的等保综合合规评估管理,动态管控等级保护工作进度,规范有序实施等级保护服务,从而高质量的完成服务。 |
||
|
2、等保资产分析服务 根据等级保护范围内的资产组成,派遣专业工程师到现场整理各个系统的网络结构拓扑以及相关联的资产,编制信息系统资产清单及资产报告;对服务范围内信息系统开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理,编制信息系统详细描述文档。 |
||
|
3、等保风险分析服务 根据等级保护基本要求,开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理的现状分析,通过安全访谈、脆弱性评估、登录检查、日志分析以及渗透测试等技术手段对现有的安全资产进行全方位的风险评估,结合信息资产属性、威胁、脆弱性等基本要素,分析信息系统安全风险评估分析,编制风险分析报告。 |
||
|
4、等保差距评估服务 在安全评估和信息系统定级的基础上,根据《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析,从管理和技术两个层面找出存在的问题并进行差距分析,包含以下内容: |
||
|
4.1、安全通用要求差距 4.1.1、技术层面的差距评估(三级)内容: (1)安全物理环境:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。 (2)安全通信网络:网络架构、通信传输、可信验证。 |
||
|
(3)安全区域边界:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。 (4)安全计算环境:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。 (5)安全管理中心:系统管理、审计管理、安全管理、集中管控。 |
||
|
4.1.2、管理层面的差距评估(三级)内容: (1)安全管理制度:安全策略、管理制度、制定与发布、评审与修订。 (2)安全管理机构:岗位设置、人员配备、授权和审批、沟通与合 作、审核和检查。 (3)安全管理人员:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。 |
||
|
(4)安全建设管理:定级和备案、安全方案设 计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务商管理。 (5)安全运维管理:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。 |
||
|
4.2、云计算安全扩展要求差距: (1)安全物理环境:基础设施位置。 (2)安全通信网络:网络架构。 (3)安全区域边界:访问控制、入侵防范、安全审计安全计算环境。 (4)安全计算环境:身份鉴别、访问控制、入侵防范、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护。 (5)安全管理中心:集中管控。 |
||
|
5、等保整改建设服务 依据相应等级要求对当前实际情况的差距分析结果对应策略设 计整改加固措施,包含安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及管理要求内容,针对不符合项以及行业特性要求进行个性化的整改方案设 计,包含岗位职责梳理、技术策略实施、风险评估、管理体系建设、安全产品集成、组织方案评审、提供安全产品等方面,设 计信息安全等级保护建设详细方案,协助建设单位完成建设整改工作。 |
||
|
6、等保整改加固服务 6.1、根据等级保护基本要求以及风险和差距分析结果,对服务范围内信息系统的关键资产编制安全加固实施方案。派遣专业工程师到现场根据安全加固实施方案实施边界防护安全策略优化辅导、服务器病毒检查与清理,提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议。在安全加固实施前,应提交安全加固风险分析及风险规避说明书;安全加固实施后,应提交防火墙策略文件及配置清单、服务器安全加固建议报告、设备加固建议报告等文档。 |
||
|
6.2、对于需要增加投资,部署新的信息安全产品和技术的整改措施,双方根据整改方案另行协商和实施。 |
||
|
7、等保制度建设服务 协助客户对安全管理制度建设,主要包括但不限于信息安全工作职责,信息安全监督、检查机制;辅助用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度,达到等级保护测评要求。 |
||
|
8、安全策略复查服务 派遣专业工程师到现场针对加固前后的系统脆弱性进行复查,复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。 复查结束后,形成加固前后对比复查报告。 |
||
|
9、等保测评辅助服务 在测评阶段协助用户准备测评材料,指导用户单位配合测评中心开展等级测评工作,组织测评整改,并保障顺利通过等保测评获得测评报告。 |
||
|
10、安全测评技术服务 按照公安部印发《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》等标准规范要求,对目标系统提供等级保护测评,并为被测系统提供测评机构出具的信息系统安全等级保护测评报告。 |
||
|
11.1技术层面测评服务 安全技术方面包含主机安全、应用安全、数据安全及备份恢复。 |
||
|
1) 物理安全:物理安全:对物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。 |
||
|
2) 网络安全:对网络安全的结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护等方面进行现场测试。 |
||
|
3) 主机安全:对所采用的操作系统和数据库的信息系统进行身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制等方面的测试。 |
||
|
4) 应用安全:对应用系统的身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制等方面进行安全测试。 |
||
|
5) 数据安全及备份恢复:对信息系统的数据完整性、数据保密性和备份和恢复等方面进行测试。 |
||
|
11.2管理层面测评服务 安全管理方面包含安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。 |
||
|
1) 安全管理制度:对信息系统的管理制度、制定和发布、评审和修订等方面。 |
||
|
2) 安全管理机构:对岗位设置、人员配备、授权和审批、沟通和合 作、审核和检查等方面。 |
||
|
3) 人员安全管理:对信息系统的人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等方面。 |
||
|
4) 系统建设管理:对系统定级、安全方案设 计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案、等级测评等方面。 |
||
|
5) 系统运维管理:对环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。 |
||
|
三、保密要求: |
||
|
1.本条所称“保密信息”指:供应商获得的与本项目有关的、不为公众所知悉的、不宜披露给第三方的任何信息,包括但不限于本项目基本情况、本项目招标文件等。前述保密信息可以以数据、代码、文字及记载上述内容的资料、光盘、软件、图书等有形媒介体现,也可通过法律法规认可的其他介质形式体现。 |
||
|
2.供应商应主动采取加密措施(包括但不限于采取与用于保护自身保密信息同等级别的加密措施)对保密信息进行保护,防止不承担同等保密义务的任何第三者知悉及使用。 |
||
|
3.供应商保证该保密信息仅用于与本项目有关的用途,不得利用保密信息进行项目以外的其他用途。 |
||
|
4.供应商保证未经采购人事先书面授权,不将保密信息的原件、复印件以及对保密信息做出的概括性分析、判断、报告、意见等透露给任何第三方;供应商如因过失泄露保密信息,同样要承担违约责任。 |
||
|
5.供应商不得允许(包括但不限于出借、赠与、出租、转让等行为)或协助不承担同等保密义务的任何第三人使用保密信息。供应商一旦发现或应该发现保密信息被不正当使用或未经授权被使用,应该立即采取合理的措施防止进一步的不正当使用,且应该立即通知采购人。 |
||
|
6.供应商只能在出现以下情形时向特定人员披露保密信息: (1)根据法律、行政法规、部门规章规定必须披露和公告; |
||
|
(2)向其法律顾问、财务顾问、审计机构或者其他专业机构披露(前提是该方已与供应商签订同等程度的保密协议); (3)采购人书面许可披露或公开; (4)该信息已被采购人认为不再是保密信息,或已在社会上公开。 |
||
|
7.保密信息的保密期限自本项目合同签订之日起永久有效。 |
||
|
8.倘若本项目合同因任何原因而未生效或失去效力的,供应商及其相关人员仍应当遵守本条的保密义务。如果参与本合同确定业务的供应商员工不再继续参与本项目,则供应商应确保立即终止该员工获得采购人保密信息和信息源的途径。 |
||
|
9.供应商若违反本条约定的承诺,将承担违约行为导致的法律责任,并赔偿由于该违约行为给采购人造成的全部损失(包括但不限于采购人为追索损失而支付的诉讼费、公告费、保全费、律师费等)。 |
||
|
四、知识产权条款: |
||
|
1.供应商因履行本合同而产生的全部研究开发成果及其过程性文件的知识产权(包括但不限于专 利、外观设 计、实用新型、著作权)均归采购人所有。该工作成果及其过程性文件包括但不限于设 计方案、系统软件产品、以软件为基础研发的其他相关技术成果、相关数据代码等。 |
||
|
2.供应商保证享有其为采购人提供各项服务中所使用的包括但不限于文字、数据代码、系统软件等资料及产品的合法使用权,并应向采购人提供上述资料及产品的购买或授权证明文件。若任何第三方就供应商交付的软件产品、提供的服务或研究开发过程向采购人提起诉讼的,由供应商负责与该第三方进行交涉并承担可能发生的一切法律责任和经济赔偿责任,并赔偿由此给采购人造成的损失。 |
||
|
3.若供应商提供的产品或服务不符合国家知识产权法律、法规的规定或被有关主管机关认定为假冒伪劣品,则供应商中标资格将被取消;采购人还将按照有关法律、法规和规章的规定进行处理。 |
||
|
4.项目产生的数据资产成果归福州市政府和采购人所有;其余项目成果(主要指知识产权、系统、源代码、技术资料和文档)归福州市政府、采购人和供应商所有。 |
|
包号 |
技术要求 |
具体内容 |
||
|
包2 |
技术要求 |
一、密码评估服务包含密码安全性测评和技术性改造指导两个部分,具体要求如下: |
||
|
(一)安全性测评 |
||||
|
1.商用密码应用安全性评估 |
||||
|
需提供商用密码应用安全性评估服务,参照《信息安全技术信息系统密码应用基本要求》(GB/T 39768-2021)文件,完成本次项目针对福州市政务服务管理平台、福州市工程建设项目审批管理系统、省级工程建设项目审批中介服务网上交易平台3个系统进行密码应用安全性评估,并取得密码应用安全性评估基本符合(或以上)报告。(等级最终以等保定级为准)。具体内容如下: |
||||
|
服务 |
服务项 |
服务内容 |
||
|
商用密码应用安全性评估 |
测评准备活动 |
信息收集与分析 |
||
|
工具和表单准备 |
||||
|
差距分析阶段(提供报告) |
物理和环境安全密码差距分析 |
|||
|
网络和通信安全密码差距分析 |
||||
|
设备和计算安全密码差距分析 |
||||
|
应用和数据安全密码差距分析 |
||||
|
密码安全管理制度差距分析 |
||||
|
密码安全管理机构差距分析 |
||||
|
密码安全管理人员差距分析 |
||||
|
密码安全建设管理差距分析 |
||||
|
密码安全运维管理差距分析 |
||||
|
方案编制活动 |
测评对像和指标确定 |
|||
|
测评检查点确定 |
||||
|
测评方案编制 |
||||
|
现场测评活动 |
现场测评准备 |
|||
|
物理和环境安全密码测评 |
||||
|
网络和通信安全密码测评 |
||||
|
设备和计算安全密码测评 |
||||
|
应用和数据安全密码测评 |
||||
|
现场测评和结果记录 |
||||
|
确定整体密码部署是否合规 |
||||
|
实地检查密码配置是否正确 |
||||
|
确认密码使用有效性 |
||||
|
分析与报告编制活动 |
单项测评结果判定 |
|||
|
单元测评结果判定 |
||||
|
整体测评 |
||||
|
风险分析 |
||||
|
测评结论形成 |
||||
|
整体报告编制 |
||||
|
(二)技术性改造指导 |
||||
|
1.改造建设服务内容: |
||||
|
通过利用市云平台密码资源,结合PKI/CA信任体系,通过对福州市政务服务管理平台、福州市工程建设项目审批管理系统、省级工程建设项目审批中介服务网上交易平台3个系统的密码应用规划、设 计及功能应用,采用密码技术实现在身份识别、信息加密、完整性保护、抗抵赖性等方面的安全防护,并取得商用密码应用安全性评估报告。 |
||||
|
密码服务 |
服务内容 |
|||
|
数据传输安全服务 |
提供基于国密VPN技术和SSL隧道加密服务能力,正确配置SSL VPN服务和浏览器密码模块。 |
|||
|
身份认证服务 |
提供基于SM2算法的身份认证功能,利用SM2算法数字签名技术实现“挑战-响应”的数字证书认证机制。 |
|||
|
签名验签服务 |
基于SM2/SM3算法的数字签名验签服务、数字信封服务等密码运算能力。 |
|||
|
数据加解密服务 |
基于SM4算法的数据加密、数据库加密、应用系统调用API加密等密码运算能力。 |
|||
|
时间戳服务 |
基于SM2算法的时间戳服务,对文件添加时间戳,保证上传电子文件的时间可信性。 |
|||
|
数据完整性保护服务 |
基于SM2/SM3算法的数字签名验签技术、MAC技术保障数据完整性。 |
|||
|
密钥管理服务 |
对应密钥的生成、更新、下发和注销等全生命周期管理。 |
|||
|
2.安全中间件 |
||||
|
根据密码应用要求,利用云密码资源及现有密码设备资源,通过安全中间件,实现密钥管理、密码运算、身份认证、签名验证、时间戳、电子签章等功能,提供中间件测试报告。 |
||||
|
服务 |
服务项 |
服务内容 |
||
|
安全中间件(针对现有密码资源和服务功能升级扩展) |
1.C语言接口,提供密钥管理、密码运算、身份认证、签名验证、时间戳等功能升级扩展; 2.JAVA语言接口,提供密钥管理、密码运算、身份认证、签名验证、电子签章、时间戳等功能升级扩展。 |
密钥管理中间件调测及适配 |
||
|
签名验签中间件调测及适配 |
||||
|
数据加密运算中间件调测及适配 |
||||
|
数据完整性保护中间件调测及适配 |
||||
|
密码功能开发演示DEMO及接口适配 |
||||
|
3.应用系统密码改造服务 |
||||
|
服务 |
服务项 |
服务内容 |
||
|
应用系统密码改造服务 |
业务系统现状调研及密码应用差距分析 |
业务系统调研 |
||
|
网络和机房情况调研 |
||||
|
密码应用情况进行调研 |
||||
|
差距评估 |
||||
|
编制密码应用差距分析报告 |
||||
|
密码应用方案编制 |
密码应用解决方案的编制 |
|||
|
密码应用实施方案的编制 |
||||
|
密码应急方案的编制 |
||||
|
应用改造准备工作 |
确定改造的业务流程、需要保护的具体数据 |
|||
|
根据业务流程明确开发过程中涉及的密钥管理、业务加解密机制和业务开发事项 |
||||
|
CA对接工作 |
||||
|
联调测试 |
密码产品测试 |
|||
|
密码服务联调测试 |
||||
|
安全浏览器功能适配 |
||||
|
数据库加密功能适配 |
||||
|
密码服务联调 |
||||
|
应用程序密码功能优化 |
确定敏感数据资源和密码应用流程 |
|||
|
采用SM2算法数字证书实现身份鉴别,登录界面调整 |
||||
|
电子签章功能应用 |
||||
|
SM4算法数据加密功能应用 |
||||
|
HMAC-SM3算法数据完整性功能应用 |
||||
|
应用密码功能测试与升级 |
||||
|
合规性自查 |
使用自查工具对密码工作进行测试 |
|||
|
检查物理和环境安全、网络和通信安全、应用和数据安全基本符合《GBT 39786-2021 信息安全技术 信息系统密码应用基本要求》 |
||||
|
编制合规性自查报告 |
||||
|
密码安全管理 |
协助建立密码管理组织机构 |
|||
|
制定并完善密码安全管理制度和管理体系 |
||||
|
明确密码人员角色与职责 |
||||
|
确定密码制度发布流程和培训管理,提供密码应用培训2次 |
||||
|
应急管理 |
建立应急保障机制 |
|||
|
确定应急保障组织和人员 |
||||
|
完善密码安全事件应急预案 |
||||
|
密码应用培训 |
密码知识培训 |
|||
|
密码产品培训 |
||||
|
密码设备运维培训 |
||||
|
密码应用培训 |
||||
|
二、服务内容要求 |
||||
|
1.技术实施服务 |
||||
|
1.1服务团队:本项目需至少2名技术开发人员和1名项目经理。 |
||||
|
1.2事件和问题的管理:包括问题定位、升级和解决等。 |
||||
|
1.3服务能力:提供7*24小时响应服务。 |
||||
|
2.技术培训 |
||||
|
2.1云密码技术培训:包括但不限于本项目所涉及的云密码服务功能,系统的管理和操作等。 |
||||
|
2.2密码应用技术培训:包括针对福州市政务服务管理平台、福州市工程建设项目审批管理系统、省级工程建设项目审批中介服务网上交易平台3个系统应用云密码应用培训的相关功能介绍、密码技术的体系架构、所采用的密码技术及安全策略部署情况、密码系统的管理及操作等。 |
||||
|
2.3运维及运营管理技术培训:包括但不限于密码中间件集成及应用,密码服务规划管理、交付管理,运维管理标准化流程。 |
||||
|
2.4定期培训:供应商自本项目中 标后到验收为止,根据业主需求提供1-2次密码应用高级培训,包括:密码技术、密码测评、运维服务等内容。 |
||||
|
3.密码测评服务 |
||||
|
采用系统评估方式,及时发现被测系统脆弱性,识别风险,了解被测系统安全状况。对照密码应用方案对被测系统开展评估。根据被评估对象的实际情况、被测系统使用的密码产品情况,选择并确定测评依据。在被测系统真实环境下进行测评,以评估密码应用及保障是否安全有效,密码使用和管理是否合规、正确、有效。 |
||||
|
3.1密码技术应用测评:物理和环境安全密码测评、网络和通信安全密码测评、设备和计算安全密码测评、应用和数据安全密码测评。测评验证被测系统的商用密码应用是否达到具有对应安全等级的安全保护能力,是否满足对应安全等级的保护要求。 |
||||
|
3.2密钥管理测评:检测被测系统密钥管理各环节,包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁等环节进行管理和策略制定的全过程是否符合要求。 |
||||
|
3.3安全管理测评:从制度、人员、实施和应急四个方面,对被测系统的密码安全管理进行商用密码应用安全性管理测评。 |
||||
|
3.4提供信息系统密码安全合规性评估报告。报告按照国家密码管理局要求包含的内容编制或参 考模板编制,报告以纸质版和电子版形式递交业主。 |
||||
|
3.5供 应商协助采购人完成本项目被测系统在所在地密码管理部门密评备案工作。 |
||||
|
3.6承诺为本项目提供无限次的复测直到项目通过测评为止。 |
||||
|
3.7为保障项目的顺利实施,在项目实施过程须遵循以下原则: |
||||
|
3.7.1规范性原则 |
||||
|
加强项目管理,在人员、质量和时间进度等方面进行严格管控。 |
||||
|
3.7.2标准化原则 |
||||
|
测评过程须严格遵守国家的相关法律、法规、规范、标准等相关要求。 |
||||
|
3.7.3完整性原则 |
||||
|
在测评过程中,必须确保测评数据、过程记录的完整性。评测内容要综合考虑所有评测对象的技术措施,并建立完整有效的评测流程,保证不存在影响评测结果的疏忽或遗漏。 |
||||
|
3.7.4保密性原则 |
||||
|
在测评过程中,切实加强对人员、技术等方面的组织管理;与所有相关人员签署具有法律意义的保密协议,确保在项目实施过程中涉及的所有信息,不会泄露给第三方单位或个人,不得擅自利用这些信息。 |
||||
|
供应商的任何工作人员均须对知悉的事项及信息予以保密,所有资料、技术文档应妥善保管,不得遗失、转借、复印,不得以任何形势向第三方透露;所有密码应用解决方案和采集汇总后的数据严谨通过互联网等公共信息网络、普通邮政进行传递,严禁在连接互联网计算机存储、处理。 |
||||
|
3.7.5影响最小原则 |
||||
|
在项目实施的过程中,须充分考虑到相关活动对系统正常运行的不利影响,采取必要的措施将相关风险降到最低。 |
||||
|
3.8技术服务质量要求 |
||||
|
3.8.1供应商依据《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)、《信息系统密码测评要求》《商用密码应用安全性评估测评过程指南》《商用密码应用安全性评估测评作业指导书(试行)》在技术服务期限内提交合法有效的提供符合国家密码管理局要求的商用密码应用安全性评估报告。 |
||||
|
3.8.2供应商严格按照国内现有的信息系统商用密码评估的有关规范和标准进行测评工作。 |
||||
|
3.8.3供应商在采购人现场测评时应遵守采购人的工作纪律应不破坏采购人的工作设备和软、硬件设施。 |
||||
|
3.8.4商用密码评测实施过程中所使用到的各种工具软件均由供应商推荐,经采购人确认后由供应商提供并在测评中使用。 |
||||
|
3.8.5商用密码密码测评工具软件运行需要的所有硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等均由供应商推荐,经采购人确认后由供应商提供并在测评中使用。 |
||||
|
4.安全中间件要求 |
||||
|
4.1密钥管理中间件 |
||||
|
4.1.1密钥服务机制:要求建立应用系统密钥服务体系,体系分为三级,第一级为主密钥,第二级为非对称密钥及密钥加密密钥,第三级为会话密钥。密钥服务支持全托管、半托管等模式,支持接入云平台密钥服务体系,也可建立自身一套密钥管理机制和服务体系。 |
||||
|
4.1.2主密钥:要求保存在密码设备内,由密码设备生成,不可读出,作用是加密保存非对称密钥(设备和用户密钥)和密钥加密密钥。 |
||||
|
4.1.3非对称密钥:要求密钥加密保存在密码设备内,私钥不可读出,作用是用于对应应用或设备非对称加密解密、签名验签。 |
||||
|
4.1.4密钥加密密钥:要求密钥加密密钥或数据加密密钥,由本地主密钥加密后,保存在密码设备中,作用是下发密钥时,保护会话密钥或对重要数据进行加解密。 |
||||
|
4.1.5会话密钥:要求包括MAC密钥、报文加密密钥等,用于业务系统及系统之间传输的数据加解密服务。 |
||||
|
4.1.6密钥管理:要求实现密钥资源分配、密钥服务管理以及对应非对称密钥和对称密钥的生成、更新、下发和注销等全生命周期管理;具有授权机制,确保只有使用该服务的用户才能对其进行配置,密钥数据必须密文存储且与云平台其他数据存储分离;确保用户在云平台中使用密钥时,处于独立安全环境中;具有密钥隔离手段,用户一旦销毁密钥,密钥管理中间件必须对密钥及时销毁且不可恢复。 |
||||
|
4.1.7对称密钥管理:要求对称密钥的生成、存储、分发、导入导出、使用、备份和恢复、归档以及销毁等全生命周期管理。 |
||||
|
4.1.8非对称密钥管理:要求非对称密钥的生成、存储、分发、导入导出、使用、备份和恢复、归档以及销毁等全生命周期管理。 |
||||
|
4.2身份认证中间件 |
||||
|
4.2.1身份认证服务根据业务应用需要,为应用系统提供用户身份认证服务,从而实现业务应用系统的访问控制、授权管理和应用之间的互联互通。 |
||||
|
4.2.2基于PKI/CA体系,采用数字证书认证方式对用户进行强身份认证,实现信息系统可信、可控、可管理。 |
||||
|
4.2.3支持双因子身份认证功能,采用口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别,并对鉴别数据进行机密性和完整性保护。 |
||||
|
4.2.4可接入统一身份认证、单点登录功能。 |
||||
|
4.3签名验签中间件 |
||||
|
4.3.1要求为业务系统提供数字签名和验证服务,保证用户业务、管理操作的不可否认性和数据完整性。 |
||||
|
4.3.2算法支持:支持SM2、SM3的国产密码算法。 |
||||
|
4.3.3服务接口:提供与应用整合的API接口(包括C接口、JAVA接口、COM等接口)。 |
||||
|
4.3.4证书格式:支持符合X509v3标准格式的数字证书,支持PKCS#10证书申请,支持P12格式私钥证书导入。 |
||||
|
4.4数据加密运算中间件 |
||||
|
4.4.1要求数据加密运算中间件为应用系统提供关键数据信息的加解密服务,用于信息的安全传输和存储;同时可以兼容和扩展针对已有应用系统的数据加密机制。 |
||||
|
4.4.2密码算法:支持国家密码管理局发布的国产商用密码算法,包括SM2、SM3、SM4等。 |
||||
|
4.4.3服务接口:支持标准接口,接口符合《公钥密码基础设施应用技术体系密码设备应用接口规范》标准接口规范。 |
||||
|
4.5数据完整性保护中间件 |
||||
|
4.5.1要求对用户数据、业务数据等完整性保护。 |
||||
|
4.5.2要求对访问控制策略、日志记录完整性保护。 |
||||
|
4.5.3密码算法:支持国家密码管理局发布的国产商用密码算法,包括SM2、SM3、SM4等。 |
||||
|
4.5.4服务接口:支持标准接口,接口符合《公钥密码基础设施应用技术体系密码设备应用接口规范》标准接口规范。 |
||||
|
4.6安全中间件DEMO |
||||
|
4.6.1要求提供所开发具有密钥管理、身份认证、签名验签、数据加密运算、数据完整性保护中间件的测试DEMO。 |
||||
|
4.6.2要求提供所开发DEMO具有可操作性强的技术说明文档。 |
||||
|
4.6.3要求提供适应本项目开发适配JAVA、C、COM语言接口。 |
||||
|
4.7安全中间件调试 |
||||
|
4.7.1要求指导应用系统开发商集成安全中间件功能服务。 |
||||
|
4.7.2要求具有完整可操作性强的指导说明文档。 |
||||
|
4.7.3要求配合应用系统进行升级服务。 |
||||
|
5.应用系统密码改造服务要求 |
||||
|
5.1业务系统现状调研及密码应用差距分析 |
||||
|
5.1.1信息系统分析:包含信息系统名 称、系统定级(或拟定级)、用户范围及权限控制、体系架构、系统组成、系统功能、业务工作流程、系统与其他系统之间的关系、所采取的安全防护措施等。 |
||||
|
5.1.2网络平台分析:包含网络性质、覆盖范围、网络拓扑结构、网络边界划分、网络所承载的业务应用、网络所在机房情况等。(采用云服务模式的,按照云平台架构描述。) |
||||
|
5.1.3信息资源分析:包含信息种类、信息数量、信息存储方式及用户范围、访问权限等,并对信息敏感度进行分析(公开、工作秘密、商业秘密、个人隐私)(须提供技术方案证明)。 |
||||
|
5.1.4管理机制分析:包含系统管理机构、管理人员、管理职责、管理制度、安全策略等。 |
||||
|
5.1.5风险分析:通过科学的风险分析过程及方法,从威胁源成功利用脆弱点给系统造成负面影响的可能性,以及负面影响的严重程度(给机密性、完整性、可用性带来的损失大小)两方面入手,识别系统每个风险点的风险水平。 |
||||
|
5.1.6密码应用需求:针对风险控制需求中,需要应用密码技术解决的需求(一般分为信息保护需求和网络信任需求),即哪些待消减的风险点需要使用基于密码技术的安全机制来消减。 |
||||
|
5.2密码应用方案编制:根据最新《政务信息系统密码应用与安全性评估工作指南》中政务信息系统密码应用方案模板提交密码应用方案。 |
||||
|
5.3联调测试:提供应用密码功能对接改造联调测试工作文档,确定对接密码功能、流程、接口、规范,满足系统密码兼容性要求。 |
||||
|
5.4应用程序密码功能改造:协助被测系统梳理应用保护数据和密码流程、定制开发需求和业务文档、证书认证功能开发和界面定制、数据加密业务定制开发、数据完整性保护业务定制开发、应用密码功能测试与升级。 |
||||
|
5.5合规性自查:需提供福州市政务服务管理平台、福州市工程建设项目审批管理系统、省级工程建设项目审批中介服务网上交易平台3个系统密码应用合规性自查表。 |
||||
|
5.6密码安全管理:密码安全管理:需协助业主制定管理制度,包括组织机构、人员管理、建设管理、应急管理等密码安全管理制度。为福州市政务服务中心密码策略的制定,密码的应急处置,密码管理人员及运维等提供指导。 |
||||
|
6.其他要求 |
||||
|
6.1完成福州市政务服务管理平台、福州市工程建设项目审批管理系统、省级工程建设项目审批中介服务网上交易平台3个系统密码应用安全服务,结合系统的安全功能需求,通过密码应用安全服务完成身份认证、安全通道、数据加解密、签名验签和完整性保护方面的密码服务,建立系统密码安全管理流程和规范,确保系统上线后满足密码应用符合《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)。 |
||||
|
6.2提供所有被测系统密码应用安全性评估基本符合(或以上)报告。 |
||||
|
三、保密要求: |
||||
|
1.本条所称“保密信息”指:供应商获得的与本项目有关的、不为公众所知悉的、不宜披露给第三方的任何信息,包括但不限于本项目基本情况、本项目招标文件等。前述保密信息可以以数据、代码、文字及记载上述内容的资料、光盘、软件、图书等有形媒介体现,也可通过法律法规认可的其他介质形式体现。 |
||||
|
2.供应商应主动采取加密措施(包括但不限于采取与用于保护自身保密信息同等级别的加密措施)对保密信息进行保护,防止不承担同等保密义务的任何第三者知悉及使用。 |
||||
|
3.供应商保证该保密信息仅用于与本项目有关的用途,不得利用保密信息进行项目以外的其他用途。 |
||||
|
4.供应商保证未经采购人事先书面授权,不将保密信息的原件、复印件以及对保密信息做出的概括性分析、判断、报告、意见等透露给任何第三方;供应商如因过失泄露保密信息,同样要承担违约责任。 |
||||
|
5.供应商不得允许(包括但不限于出借、赠与、出租、转让等行为)或协助不承担同等保密义务的任何第三人使用保密信息。供应商一旦发现或应该发现保密信息被不正当使用或未经授权被使用,应该立即采取合理的措施防止进一步的不正当使用,且应该立即通知采购人。 |
||||
|
6.供应商只能在出现以下情形时向特定人员披露保密信息: |
||||
详情见招标文件
收藏