招标文件
采购需求
一、项目概况:
项目属性:服务类
品目类别:测试评估认证服务(C16060000)
项目名称:信息安全等级保护测评项目
项目预算:58万元
项目工期:自合同签订之日起一年内。
本项目属于专门面向小微企业预留采购份额的项目
★供应商须具有《网络安全等级测评与检测评估机构服务认证证书》或供应商为测评机构服务商的,需出具测评机构出具针对本项目唯一授权服务承诺函。
技术要求
(一)项目背景
随着信息化进程的全面加快,《网络安全法》自2017年6月1日起开始实行,网络安全等保护2.0的相关标准2019年开始宣贯和推行,信息化的程度越来越高也渐渐影响到妇儿中心内部的各项核心业务中,重要信息系统已经成为妇儿中心各项业务工作正常开展必不可少的组成部分。为全面贯彻落实国家《网络安全法》对于网络安全等级保护制度的相关规定,以及公安部对信息系统等级保护工作的要求,妇儿中心结合内部实际情况,依据国家网络安全等级保护相关规范与标准的要求,对妇儿中心重要信息系统进行定级备案、前期测评、验收测评。通过统一的网络安全等级保护管理规范和技术标准,对信息系统分等级实行安全保护,并对等级保护工作的实施进行监督、管理,使落实网络安全等级保护工作后的系统网络安全防御能力得到提升并且符合国家网络安全等级保护验收要求。
(二)项目目标
以等级保护标准要求为依据,选择一家供应商对妇儿中心本次项目11个重要信息系统进行定级备案、前期测评、验收测评。通过采用人工访谈、工具检测、登录系统检测、文档分析的方式,分析信息系统在等级保护方面与标准要求的差距,形成信息系统等级保护差距分析列表;并为确立安全策略、制定安全规划、开展安全建设提供决策建议;协助妇儿中心完成本次项目11个重要信息系统网络安全等级保护验收测评工作,提交验收测评报告;使落实网络安全等级保护工作后的系统网络安全防御能力得到提升并且符合国家网络安全等级保护验收要求。
具体目标如下:
(1)依据GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、GBT22239-2019《信息安全技术网络安全等级保护基本要求》以及《信息系统安全等级保护测评指南》的要求,对需定级的系统进行等级保护基本要求符合性的调查,采用人工访谈、工具检测、登录系统检测、文档分析的方式分析信息系统在等级保护方面与标准要求的差距,形成信息系统等级保护差距分析报告;
(2)依据信息系统安全保护等级所应达到的防护要求,结合信息系统等级保护差距分析结果,对在技术、管理层面不符合等级保护标准要求的环节,采取适当的纠正措施,以达到等级保护基本要求为目的,设计信息系统等级保护体系建设方案,为后续信息系统的网络安全等级保护安全建设提供依据;
(3)依据国家等级保护2.0的相关标准发现现有信息系统存在的信息安全问题,确保信息系统在技术防护和安全管理体系方面均达能到等级保护2.0的防护要求,能够防护系统免受来自外部小型组织的(如自发的三两人组成的黑客组织)、拥有少量资源(如个别人员能力、公开可获或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度一般、持续时间短、覆盖范围小等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在第一时间恢复部分功能。
(三)项目依据
信息安全技术网络安全等级保护基本要求》(GBT22239-2019)
《信息安全技术网络安全等级保护安全设计技术要求》(GBT25070-2019)
《网络安全等级保护安全建设整改工作指导意见》(公信安[2009]1429号)
《广东省深化网络安全等级保护工作方案》(粤公通字[2009]45号)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
《关于网络安全等级保护工作的实施意见》2004年9月四部委局联合签发的
《网络安全等级保护管理办法》(公通字[2007]43号)
《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)
《信息安全风险评估规范》(GB/T 20984-2007)
《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)
《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)
《网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术信息系统安全等级保护实施指南》 GB/T 25058-2010
《信息系统安全等级保护测评过程指南》(GB/T 28449-2012)
《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)
《信息安全技术网络基础安全技术要求》(GB/T20270-2006)
《信息安全技术操作系统安全技术要求》(GB/T20272-2006)
《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)
《信息安全技术服务器技术要求》(GB/T21028-2007)
《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)
(四)级别判定
信息系统的安全保护等级分为以下五级,一至五级等级逐级增高:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
(五)测评对象
本项目需测评的信息系统清单:
|
编号 |
系统名称 |
级别 |
|
1 |
患者服务平台 |
第三级 |
|
2 |
电子病历系统 |
第三级 |
|
3 |
数据集成平台 |
第三级 |
|
4 |
PACS系统 |
第三级 |
|
5 |
LIS系统 |
第三级 |
|
6 |
OA系统 |
第三级 |
|
7 |
CA证书认证平台系统 |
第三级 |
|
8 |
审方系统 |
第三级 |
|
9 |
移动护理信息系统 |
第三级 |
|
10 |
移动患者综合服务平台系统 |
第三级 |
|
11 |
互联网医院 |
第三级 |
(六)服务内容要求
1、协助定级备案
协助妇儿中心准备信息系统有关建设使用、设备部署、网络拓扑、数据存储、运行维护、安全管理等方面的文档资料,按照等保工作管理规定,对系统相关文档进行整理后形成系统定级报告,并指导用户单位完成等保定级备案工作,并提交网安部门审批。
2、前期测评
前期测评包括两个方面的内容:一是安全控制测评,主要测评网络安全等级保护要求的基本安全控制在系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
3、验收测评
妇儿中心委托一家供应商进行网络安全等级保护验收测评工作,并按照等保2.0的相关要求出具验收测评报告,最后协助妇儿中心进行测评报告备案工作,提交验收测评报告到当地公安等级保护部门,完成报告备案工作。
(七)测评要求
按照等保2.0的相关要求对信息系统安全等级保护状况进行测试评估,包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。
安全通用要求规定了不管等级保护对象形态如何必须满足的要求,评单元分为安全技术测评和安全管理测评两大类,技术要求包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;管理要求包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
云计算拓展要求包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理。
移动互联网拓展要求包括:安全物理环境、安全区域边界、安全计算环境、安全建设管理。
物联网安全拓展要求包括:安全物理环境、安全区域边界、安全建设管理。
工业控制系统安全拓展要求包括:安全物理环境、网络通信网络、安全区域边界、安全计算环境。
(八)测评内容
1、安全通用要求
安全物理环境
测评内容:被测信息系统应对重要的物理安全设置,如物理位置选择、物理范围控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应电磁防护等做必要配置。
测试方法:访谈、检查。
安全通信网络
测评内容:被测信息系统对通信网络安全进行设置,如网络架构、通信传输、可信验证等做必要的配置。
测试方法:访谈、检查。
安全区域边界
测评内容:被测信息系统网络边界进行安全配置,如边界防护、访问控制、入侵范围、恶意代码防范、安全审计、可信验证等做必要的配置。
测试方法:访谈、检查。
安全计算环境
测评内容:被测信息系统安全计算环境进行安全配置,如身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护等做必要的配置。
测试方法:访谈、检查。
安全管理中心
测评内容:被测信息系统的安全管理中心进行安全配置和管理,如系统管理、审计管理等做必要的配置
测试方法:访谈、检查。
安全管理制度
测评内容:被测系统运营单位的管理制度、制定和发布、修订和评审进行管理和落实情况。
测评方法:访谈、检查。
安全管理机构
测评内容:被测系统运营单位的岗位设置、人员配备、授权和审批、沟通与合作、审核和检查的管理和落实情况。
测评方法:访谈、检查。
安全管理人员
测评内容:被测系统运营单位的人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等方面的管理和落实情况。
测评方法:访谈、检查。
安全建设管理
测评内容:被测系统运营单位的系统定级和备案情况、安全方案设计、产品采购和使用、自行软件开、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择管理和落实情况
测评方法:访谈、检查。
系统运维管理
测评内容:被测系统运营单位在环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安全事件处理、应急预案管理、外包运维管理方面的管理和落实情况。
测评方法:访谈、检查。
2、云计算拓展要求
安全物理环境
测评内容:被测系统的基础设施位置选择。
测评方法:访谈、检查。
安全边界区域
测评内容:对云计算环境访问控制、入侵防范、安全审计进行安全配置。
测评方法:访谈、检查。
安全计算环境
测评内容:对安全计算环境的访问控制、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护进行安全配置。
测评方法:访谈、检查。
安全建设管理
测评内容:对云计算环境的云服务商选择、供应链管理方面的落实情况。
测评方法:访谈、检查。
安全运维管理
测评内容:云计算环境管理是否符合国家相关规定
测评方法:访谈、检查。
3、移动互联网拓展要求
安全物理环境
测评内容:被测系统的无线接入点的位置选择。
测评方法:访谈、检查。
安全区域边界
测评内容:对移动互联网的边界防护、访问控制、入侵防范进行安全配置。
测评方法:访谈、检查。
安全计算环境
测评内容:对移动互联网的移动应用管控进行安全配置。
测评方法:访谈、检查。
安全建设管理
测评内容:对移动互联网的移动应用软件采购、移动应用开发和安全合理管理
测评方法:访谈、检查。
4、物联网安全拓展要求
安全物理环境
测评内容:被测系统的感知节点设备物理防护合理。
测评方法:访谈、检查。
安全区域边界
测评内容:对物联网系统的接入控制、入侵防范进行安全配置。
测评方法:访谈、检查。
安全运维管理
测评内容:对物联网的感知节点进行安全合理管理。
测评方法:访谈、检查。
5、工业控制系统安全拓展要求
安全物理环境
测评内容:被测工业控制系统的室外控制设备物理防护措施合理。
测评方法:访谈、检查。
安全通信网络
测评内容:被测工业控制系统的网络架构、通信传输进行安全配置。
测评方法:访谈、检查。
安全区域边界
测评内容:对工业控制系统的访问控制、拨号使用控制、无线使用控制进行安全配置。
测评方法:访谈、检查。
安全计算环境
测评内容:对工业控制系统的控制设备进行安全控制。
测评方法:访谈、检查。
安全建设管理
测评内容:对工业控制系统的产品采购和使用、外包软件开发进行安全合理管理。
测评方法:访谈、检查。
(九)测评方法
1、人员访谈
与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,一般应基本覆盖所有的安全相关人员类型,在数量上可以抽样。
2、配置检查
利用上机验证的方式检查主机操作系统、数据库、网络设备、安全设备、应用系统等配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等),测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性,从而测试系统是否达到可用性和可靠性的要求。
3、文档审查
检查制度、策略、操作规程、制度执行情况记录等文档(包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档)的完整性,以及这些文件之间的内部一致性。
4、实地查看
通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。
(十)项目实施要求
1.实施要求
(1)投标人必须具备独立完成本项目的能力;
(2)投标人提供的资格、资质等证明文件应真实有效;
(3)投标人应对了解到的信息保密,并提供保密承诺;
(4)在项目现场实施周期内,中标人必须为本项目成立等级保护测评小组,安排包括项目经理和核心技术人员的现场驻场服务,所需电脑等设备自行提供;
(5)在妇儿中心进行整改过程中提供必要的技术支持;
(6)能按照妇儿中心规定的工作内容及进度安排协助完成等级保护工作;
(7)项目必须按照国家网络安全等级保护的标准要求开展。
2. ★技术团队要求
投标人必须承诺签订合同后为本项目成立不少于 7 人的等级保护测评小组。本项目配备项目经理及项目负责人,由测评组长统一负责,测评项目组原则上不少于 1 名高级测评师、不少于 3 名中级测评师、不少于 3 名初级测评师组成,并提供项目组成员资质证明材料以及社保缴费证明材料(注:项目组成员可以是供应商或测评机构人员组成)。(提供技术团队承诺函,格式自拟)
3.保密要求
中标人须保证对本项目实施中所获得任何资料和信息严格保密,并与妇儿中心签订保密责任书。
4.服务要求
中标人须保证协助用户单位尽快完成等级保护整改工作,2小时内响应,6小时内赶到现场,能够在12小时内完成咨询服务工作方案。
5.服务工具要求
投标人必须保证所使用的所有工具和软件不会产生所有权和知识产权纠纷,并保证工具和软件的可用性和可靠性。由此产生的一切责任由投标人负完全责任。(提供承诺函,格式自拟)。
本项目使用的所有测评工具和软件(包括但不限于以下安全策略可视化管理工具、数据安全工具)无需本项目采购方购买,均由中标供应商自行提供,且不包含在本项目报价范围内。
★投标人不是服务工具制造商的,提供服务工具购买记录或者租赁合同。(提供承诺函,格式自拟)。
5.1 安全策略可视化管理工具指标要求
|
指标项 |
规格要求 |
|
|
功能要求 |
设备管理 |
1、支持对异构品牌及型号的防火墙、路由器、交换机、负载均衡等安全设备的策略配置信息和路由信息的自动提取和解析。 |
|
策略管理 |
▲1、支持策略列表查询,包括字段查询和五元组查询两种查询方式: 五元组查询资产时支持对策略中的IP地址进行查询。(提供第三方检测机构出具的检测报告) 3、支持策略注释功能,管理员可通过平台为防火墙每条测试添加所属部门、所属人、策略用途等信息,便于策略的追溯和清理; ▲4、支持基于防火墙策略日志分析,提供安全策略的历史命中次数统计和分析功能,并支持源地址、 目的地址、目的端口等维度对安全策略利用率进行分析,实现对 ANY、宽松策略的逐步收敛和缩紧。(提供第三方检测机构出具的检测报告) 5、支持策略高级查询搜索功能,可通过自定义编辑关键字查询语言对策略模型中的130余个字段进行关联组合查询,关联组合方式支持 AND、OR等,满足较复杂的个性化查询需求; 6、支持策略编辑功能,针对防火墙策略可对其源/目的地址、协议端口等信息进行编辑修改,并自动翻译生成命令行脚本,通过下发模块下发到防火墙设备上; ▲7、支持策略考核评分,通过系统预置防火墙健康度量化评估模型,对防火墙风险策略进行考核,系统能够对每台设备、设备组的风险策略以百分制的考核形式给出得分情况。(提供截图) |
|
|
安全分析 |
▲1、支持域间策略合规规则管理, 包括全局规则和域间规则;(提供第三方检测机构出具的检测报告) ▲3、支持灵活的域间合规规则自定义管理,规则的源地址/目的地址/服务均支持排除的配置方式;(提供第三方检测机构出具的检测报告) ▲4、支持域间规则事前检查,即策略开通申请时,可针对待开通的五元组信息进行域间合规基线检查判断,提前告警策略开通违规风险:(提供第三方检测机构出具的检测报告) ▲5、支持域间规则事后检查,针对存量防火墙安全策略进行域间策略基线规则的合规性检查,定期输出域间违规策略详情,并支持Excel报告方式输出。(提供第三方检测机构出具的检测报告) 6、支持主机网络暴露面分析。对全部主机暴露风险指标进行评分,并以百分机制显示暴露风险分值;并对按照主机对外暴露风险的较高、高、中、低、较低进行量化分级排名; 7、以主机暴露风险详情展示,详细字段包括:主机名称、主机地址、重要等级、所属安全域、暴露服务、暴露安全域、暴露风险等级、暴露路径; |
|
|
策略开通 |
▲1.支持通过任务工单形式维护策略开通申请,包括新增操作,以及策略开通申请、选路建议、风险分析、策略下发、开通验证等结果信息展示:(提供第三方检测机构出具的检测报告) ▲2.支持源、目的地址录入单个或多个主机IP、单个或多个网段IP、单个或多个IP地址范围(如:1.1. 1. 1-1. 1. 1. 20),并可组合录入,最多可支持254组。(提供第三方检测机构出具的检测报告) |
|
|
|
其他技术能力 |
4) ▲1、为确保工具对异构品牌和异构设备的识别能力,要求所投安全服务工具厂商具备一种webshell识别方法、装置及计算机可读存储介质能力的技术类证明文件。(提供相关技术证明文件) ▲2、为确保安全服务工具可视化管理和可视化展示能力,要求所投安全服务工具厂商具备一种可视化组件的配置方法及装置能力的技术类证明文件。(提供相关技术证明文件) 3、 ▲3、为确保安全服务工具对异构防火墙的管理能力,要求所投安全服务工具厂商具备一种管理异构防火墙的方法及系统的技术类证明文件。(提供相关技术证明文件) |
5.2数据安全工具
采用B/S与C/S相结合架构,由管理端和客户端组成。管理端后台管理系统分:基础平台管理、文档安全、数据防泄漏等模块。管理端控制台通过Web登陆的方式,向客户端下发安全管理策略,客户端再根据相关策略来执行相应的终端文件加密保护、终端文件外发控制、文件防泄漏管控等动作,可以适用于不同单位各种类型数据文档的密级管理与安全保护需求。(提供系统功能截图)
▲1)基础平台管理(提供系统功能截图)
组织机构管理。系统可根据实际的用户组织机构在系统中建立相应的组织机构,并可根据实际需要进行调整,进行组织机构或部门的新增、删除、转移、合并等操作;
用户管理。进行系统用户管理,包括创建用户、密码初始化、用户岗级和密级的设定等。目前系统内置的用户密级分“内部”、“秘密”、“机密”、“绝密”四个密级,用户还可以根据组织实际的用户密级和岗级的划分来更改数据字典的用户密级、岗级的值域范围;
角色管理。系统内置系统管理员、安全管理员、日志审计员三类角色,还可针对系统管理人员类型的不同分配不同的系统角色;
权限管理。管理端控制台采用细粒度化的权限管控,每条权限可根据涉及范围的不同将各模块的管理权限可按需进行分拆或结合,系统采用RBAC基于角色的权限访问控制机制,权限需分配到角色,被赋予某个角色的用户才可使用该角色的权限;
终端升级。通过管理端可以导入最新的升级包,升级包应用后,系统可以实现终端自动升级;
授权管理。根据用户购买的系统功能模块、点数提供系统授权文件,通过导入授权文件可获得系统相应模块的使用权限,系统还提供模块化的授权管理服务,管理员可分模块针对用户或终端进行授权使用,控制系统使用成本;
系统配置。可分别配置系统各类文件的存储路径;
域同步管理。域同步管理功能将系统与域服务相结合,通过配置,将域服务所有组织机构、部门、账号同步到系统中,通过域账号登陆系统;
终端设备管理。安装客户端的终端进行统一管理。包括终端设备名称、终端类型、操作系统类型、设备型号、IP等相关信息;
数据字典。数据字典主要对系统常用的一些字段常量进行维护,支持系统动态添加常量数据,支持其他系统表单对象的引用,例如岗级名称定义和定密关键字定义;
系统日志审计。系统会详细记录系统使用的各类日志,并进行汇总,还可根据操作人、操作模块、操作IP、操作时间段、操作内容等条件进行日志查询,通过日志审计能够帮助你提前发现和避开灾难,并且找到安全事件的根本原因;
终端信息统计:系统提供可视化图表展示终端在线率和终端版本信息,方便管理员更直观掌握系统用户终端情况。
数据库备份:系统提供数据库定期自动备份功能,可以按照日、月、年的频率对数据库定期备份。
▲1)文档安全管理(提供系统功能截图)
应用软件管理。对应用软件分类、应用软件、进程、生成文件扩展名等信息进行配置,提供界面化的应用软件配置管理。
工作流定义。系统基础平台提供工作流自定义,可以实现单级、多级的文件外发审批流程;支持送签、会签、并签多种模式,支持单人、多人审批,分为“人员”和“规则”两种定义方式;
送签流程:流程节点上有多位审批人时,申请人主动选择审批人执行审批,审批通过后本节点流程结束;
会签流程:流程节点上有多位审批人时,需要节点的每个人都审批通过,本节点流程才算结束;
并签流程:流程节点上有多位审批人时,所有审批人都可以收到待审批消息,任意一人审批通过,本节点流程结束;
人员:在审批人列表中选择具体人员定义为审批人,可以设置多级;
规则:采用此种方式,必须在组织结构中定义好部门领导,当申请人提交申请时系统自动把相关申请发送给相应的部门领导进行审批;
加密策略模板。系统内置了如下策略,并且用户可根据自身情况进行自定义加密策略模板;
系统内置约400类常用软件加密策略;
是否允许用户使用智能模式:在智能安全模式下本地新建的文件不加密,只有在本地明文与密文发生的内容交互操作是才将明文加密成密文;
是否允许用户使用加密模式:在加密模式下,使用加密策略覆盖到的所有软件创建的文件都被加密,
是否允许用户脱机使用及脱机使用时间;
是否允许用户进行打印操作;
是否允许用户进行截屏操作;
是否允许用户进行复制涉密文件内容操作;
是否允许用户执行OLE插入涉密文件对象操作;
是否允许用户手动加密;
是否允许用户智能定密;
是否允许用户明文标密;
是否允许用户更改密级;
是否允许用户外发转加密;
是否允许用户移动端分享;
是否允许客户机加密文件图标显示,该功能可以在客户端把加密文件、明文文件用不同的图标显示;
是否允许用户自定义加解密槽;
是否允许用户使用屏幕浮水印,水印内容允许图片或文字,显示位置、数量、版式支持自定义,可以选择一直显示,或者打开密文时显示;
是否允许用户访问涉密应用系统,支持C/S、B/S架构系统,支持文件服务器,未安装客户端无法访问,提供例外白名单;
是否允许邮件客户端解密附件。
是否允许用户扫描加解密磁盘上的历史文件;
外发策略模板:
系统内置五个外发等级以供选择:
1.本地制作外发,不上传任何记录;
2.本地制作外发,上传制作记录;
3.本地制作外发,上传外发文件和记录;
4.上传申请记录,后台制作外发;
5.上传申请记录,后台制作外发并发送邮件;
文件外发解密;
外发文件的使用天数控制;
外发文件的使用次数控制;
外发文件的打印权限控制;
外发文件的拷贝权限控制;
配置外发审批流程;
用户安全策略。可勾选用户或部门应用加密策略模板和外发策略模板,并可查看用户当前的加密策略和外发策略。
外发单位管理。可以对外发单位进行新增、修改、删除、查看等管理操作。
文件外发记录。文件外发记录会详细记录需进行外发审计的用户所有文件外发行为,并可根据接收单位、申请人、审批人、审批状态、部门、申请等级、时间段等信息进行查询,查询到条件范围内的外发记录。
文档安全操作记录。文档安全操作日志会记录文档安全模块的所有加密策略和外发策略的管理操作,并可以对操作人、操作模块、操作IP、操作时间段。操作内容进行查询。
▲2)PC端文档安全(提供系统功能截图)
客户端根据当前用户应用的安全策略,可在两种加密模式下进行工作:强制加密安全模式、智能加密安全模式。在任何一种加密模式下,文件的加解密动作对用户来说都是透明的,不需要对终端用户进行任何操作培训,大大简化了文件加密的过程。因为用户不需要考虑:
哪些文件需要加密。每个客户端的加密策略由用户根据需要统一制定,客户端没有选择的机会,只有被动的执行。
不需要记忆密钥。每个客户端的拥有哪些解密密钥也是由加密系统统一制定下发的。
不需要考虑网络断开对加密的影响。每个客户端都设置时间长短不同的脱机时间,在脱机时间内客户端正常工作不受任何影响。
不需要考虑性能影响。客户端的运行效率非常高,占用系统资源很少,经过大量测试对应用软件影响的范围控制在3%左右。
智能模式:是提供的一种智能安全模式,在该模式下,加密系统只对用户的核心应用系统中的数据进行加密,从核心应用系统中下载的文件都被加密保护,用户本地新建的文件不加密且能打开加密文件,并且允许安全应用范围内软件的明文和密文间的限制长度内容的交互行为,如果用户执行相应可能泄密的操作,系统将对明文执行加密操作。在保证了涉密数据的安全性同时,又满足了用户对非涉密数据不强制加密的要求。
加密模式:在加密模式下,系统根据用户策略自动强制性对指定类型的数据文件进行强制加密,用户在客户端使用安全应用范围内软件创建、编辑、保存的所有文件都被强制加密保护。
个人模式:在个人模式下,用户本地新建的文件不加密,同时也无法打开加密文件,跟未安装加密软件一样。
对客户端的安全控制策略中包括:
约400类常用软件加密策略。
是否允许客户机脱机使用及使用时间。
是否允许客户机进行打印操作。
是否允许客户机进行拷屏操作。
是否允许客户机进行涉密复制操作。
是否允许客户机插入OLE对象操作。
是否允许客户机加密文件图标显示。
手动加密:通过鼠标右键手动加密指定的文件。
智能定密:根据文档内容敏感关键字设定密文阅读权限。
明文标密,将重要文件手动标记密级标识,提醒用户防止外泄。
加密文件密级变更,用户可以对密级小于或等于自身密级的文件进行降密操作。
移动端分享:允许在移动端将文件分享出去。
外发转加密,将外发密文取消掉次数和时间等权限限制,转换成普通加密密文。
屏幕水印,在屏幕显示明文水印或点阵水印,防止截屏、录屏和拍照无证据泄密,提供追溯举证。
全盘扫描加、解密历史文件。
▲3)文件外发安全(提供系统功能截图)
申请文件外发。用户在客户端选择本地的加密文件或者右键选择外发申请来进行文件外发操作,系统提供本地制作外发文件和后台制作外发文件两种外发文件制作模式。
根据自身的外发策略,不同外发等级用户可以实现多种形式的文件外发效果
(十一)其它要求
1、安全调查和测评的过程中,投标人如需采购人人员配合,投标人需要详细描述需要配合的内容。如需要采购人人员协助完成各种表单,需要详细描述表单的名称、功能及主要表项等等,并由投标人给出具体示例。采购人有权利拒绝提供任何未事先提出的配合要求,由此产生的损失由投标人负全责;
2、本项目中可能需要的硬件平台(如笔记本电脑、PC、工作站等)均由中标人提供,采购人将按照相关要求对设备进行必要的处理。投标人在服务期间未经采购人许可不得将设备带离采购人指定场所,也不得使用任何未经采购人确认的存储设备对测评数据进行复制;
3、投标人需要给出采购人在进行调查和测评时所需要提供的信息列表。经采购人确认后提供给投标人。采购人有权利拒绝提供任何信息列表以外的采购人资产信息;
4、安全测评应按照分层的原则,包括但不限于以下对象:物理环境、网络结构、网络服务、主机系统、数据库系统、应用系统、安全相关人员、处理流程、安全管理制度、安全策略等;
5、投标人应提供本项目的测评方案,包括技术部分和实施部分。技术部分包括整体流程、技术方法和服务方案设计等,需要对每项技术方法的应用位置进行详细描述,技术方案中应详细描述本次测评采用的测评方式及标准、漏洞测试和应用分析的方法;
6、实施部分包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险规避措施等,需要明确每项工作的时间安排、操作时间和操作人员。安全调查和测评过程中,如需使用安全工具,请在实施方案中详细描述所使用的安全工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求等;
7、投标人应详细描述安全调查和测评的组织方式,包括组成的人员及分工、测评的过程组织、实施时间安排、测评方式所遵循的标准等。
(十二)验收要求
1、乙方完成信息系统测评工作后,提交前期测评存在问题清单,本项目表示初步验收;
2、乙方完成信息系统验收性测评工作后,提交验收性测评报告,召开专家评审,并递交公安部门进行备案后,本项目表示最终验收。
(十三)付款要求
合同签订后,在收到发票后5个工作日内采购人办理支付手续,支付合同总金额的30%。2、中标人完成信息系统定级、备案、测评工作,提交定级备案材料和系统测评存在问题清单后,在5个工作日内采购人办理支付手续,支付合同总金额的50%。3、采购人完成整改工作后,中标人完成验收测评并提交测评报告,同时递交公安机关有关部门备案,取得报告回执后,在5个工作日内采购人办理支付手续,支付合同总金额的20%。
收藏