收藏
下载资源 加入VIP,免费下载

XX市XX局信息系统密码安全服务项目采购需求.docx

上传人:王** 文档编号:1282769 上传时间:2024-06-09 格式:DOCX 页数:8 大小:19.76KB
下载 相关 举报
XX市XX局信息系统密码安全服务项目采购需求.docx_第1页
第1页 / 共8页
XX市XX局信息系统密码安全服务项目采购需求.docx_第2页
第2页 / 共8页
XX市XX局信息系统密码安全服务项目采购需求.docx_第3页
第3页 / 共8页
XX市XX局信息系统密码安全服务项目采购需求.docx_第4页
第4页 / 共8页
XX市XX局信息系统密码安全服务项目采购需求.docx_第5页
第5页 / 共8页
XX市XX局信息系统密码安全服务项目采购需求.docx_第6页
第6页 / 共8页
XX市XX局信息系统密码安全服务项目采购需求.docx_第7页
第7页 / 共8页
XX市XX局信息系统密码安全服务项目采购需求.docx_第8页
第8页 / 共8页
亲,该文档总共8页,全部预览完了,如果喜欢就下载吧!
资源描述

《XX市XX局信息系统密码安全服务项目采购需求.docx》由会员分享,可在线阅读,更多相关《XX市XX局信息系统密码安全服务项目采购需求.docx(8页珍藏版)》请在优知文库上搜索。

1、XX市XX局信息系统密码安全服务项目采购需求一、项目概况根据商用密码应用安全性评估管理办法规定,应对重要网络信息系统开展商用密码应用安全性评估工作,对商用密码应用的合规性、正确性、有效性进行准确评估分析。开展密码应用安全性评估工作是完善信息系统密码应用安全防护能力的一个重要环节,也是信息系统密码应用安全建设和管理的重要组成部分。通过测评可以发现信息系统密码应用的安全现状与需要达到的安全等级或目标的差异,进行全面有效的密码应用安全整改建设,使系统密码应用在技术和管理方面有针对性的加强和完善,以确保网络和信息系统的安全。本次XX市XX局信息系统商用密码应用安全性建设工作具体包括采购部署密码安全设备

2、或服务、完成相关信息系统的国密适配改造,开展商用密码系统整体集成和风险检测,委托密评机构开展商用密码应用安全性评估并出具密评报告。二、服务内容要求及范围2.1 商用密码应用安全性评估根据GB/T39786-2021信息安全技术信息系统密码应用基本要求国家标准,由商用密码应用安全性评估机构对各信息系统所涉及的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理及安全管理等方面进行测评,出具符合密码管理部门要求的密码应用安全性评估报告,并协助完成备案。2.1.1 评估范围本次密评对象为XX市XX局等保三级信息系统及部分二级信息系统,数量不多于10个,具体系统由业主方确定。2.1

3、. 2依据标准供应商应依据国家或行业相关标准开展密评工作,依据标准包括但不限于:(1) GM/T39786-2021:信息安全技术信息系统密码应用基本要求(2) GM/T0115-2021:信息系统密码应用测评要求(3) GM/T0116-2021:信息系统密码应用测评过程指南(4)信息系统密码应用高风险判定指引(2021版)(中国密码学会)(5)商用密码应用安全性评估量化评估规则(2021版)(中国密码学会)2. 1.3评估内容根据各信息系统的保护等级,并依据信息系统密码应用基本要求中条款要求,全面分析应用系统的安全保护措施与密码应用基本要求相应级别之间的差距,进行合规性分析,出具密码应用安

4、全性评估报告及整改建议书,并为系统密码应用加固整改提供技术支持。密评内容应包括技术测评与管理测评2部分,共8个层面:(1)物理和环境安全:采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性。(2)网络和通信安全:采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性。(3)设备和计算安全:采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性。(4)应用和数据安全:采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性。(5)管理制度:具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度。(6)人员管理:相

5、关人员了解并遵守密码相关法律法规、密码应用安全管理制度。(7)建设运行:依据密码相关标准和密码应用需求,制定密码应用方案。(8)应急处置:制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,按照应急处置措施结合实际情况及时处置。2.1.4评估原则本次评估实施应满足以下原则:(1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究投标供应商的责任;(2)标准性原则:测评方案的设计与实施应依据国家相关标准进行;(3)规范性原则:投标供应商的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和

6、控制;(4)可控性原则:测评服务的进度要跟上进度表的安排,保证采购人对于测评工作的可控性;(5)整体性原则:测评的范围和内容应当整体全面,包括国家相关要求涉及的各个层面;(6)最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。2.1.5服务成果(1)商用密码应用安全性评估整改建议书;(2)商用密码应用安全性评估报告;(3)业务系统密码安全服务总结报告。2. 2采购密码安全产品及服务基于符合国密标准的密码安全产品提供密码服务,服务期一年。3. 2.1服务器密码机服务基于符合国密标准GM/T0030-2014服务器密

7、码机技术规范、安全等级为二级的服务器密码机产品提供基础密码服务,技术指标应满足:(1)密钥管理功能:提供密钥的产生、安装、存储、使用、销毁以及备份和恢复功能,至少支持三层密钥结构。(2)数据加解密功能:提供数据加解密以及密钥安全管理功能,确保数据加密算法及密钥的安全性,对外提供通用密码服务接口,接口标准符合GM/T0018密码设备应用接口规范。(3)密码算法支持:支持国密SM2、SM3SM4算法。2.2.2国密SS1.VPN网关服务基于符合国密标准GM/T0025SS1.VPN网关产品规范、安全等级为二级的SS1.VPN产品提供加密安全通信通道服务。2.2.3数据库加密服务基于符合国密标准GM

8、/T0028密码模块安全技术要求、安全等级为二级的数据库加密系统,提供数据库安全加解密服务。支持国密SM2、SM3SM4算法;支持对RDS.Oracle.MySQ1.多种数据库类型的加密;支持对CHAR,VARCHAR,NUMBER,DATE等多种常用数据类型加密。支持对数据库实例提供加密服务。2.2.4国密服务器SS1.证书采用国密算法的单域名服务器SS1.证书,支持SM2和RSA双证书模式,支持SM2证书+国密套件或RSA证书+国际标准套件进行HTTPSSS1.加密通信,可根据用户使用的不同浏览器自适应选择加密套件和加密证书。2.2.5个人CA证书100张个人CA证书,证书符合国密局标准G

9、M/T0015基于SM2密码算法的数字证书格式规范,证书存储介质符合国密局标准GM/T0027智能密码钥匙技术规范。2.3信息系统密码应用安全性改造针对业主方指定的信息系统,依据GB/T39786-2021信息安全技术信息系统密码应用基本要求,定制开发密码应用中间件、改造应用系统,达到通过密评的要求。信息系统的密码安全改造应贯穿业务始终,即从传输链路、身份鉴别、数据加密、电子签名、数据完整性保护等方方面面。在用户在与服务端之间通信时.,通过安全网关建立加密通道、数据进行存储时以密文的形式存储、对访问控制策略信息进行HMAC运算和校验、对用户操作行为使用用户的证书进行签名/服务端发出的数据可以由

10、应用系统自身的数字证书进行签名等,充分保证应用系统的使用安全。对系统应用访问控制信息进行完整性保护、对敏感业务数据及个人隐私信息进行通信及存储机密性保护,对敏感业务数据、个人隐私信息和系统配置信息、日志信息进行存储完整性保护。2.4开展商用密码系统集成整合和风险检测2.4.1商用密码系统安全集成整合(1)网络安全规划及改造,根据密码应用安全要求完成网络整体安全规划、并根据规划开展适配改造;(2)根据密评建议、密码应用方案、以及密码产品,结合网络实际情况,对涉及的信息系统进行集成整合实施;(3)根据采购人原有系统情况,对新老信息系统安全集成部署进行重新规划,整合集成实施各种密码设备,与现有安全设

11、备实现统一调度结合,确保资源利用率最大化和资源安全,实施过程中,必须确保原有系统完好,保证数据不受损坏,集成实施开始与结束时间必须完全遵守用户要求,最小化业务中断时间;(4)进行信息系统密码应用安全性改造,在应用安全改造过程中,协助针对操作系统、服务器、网络设备、安全设备进行各种密码安全加固。(5)密码安全态势日志统一归集与分析,将在集成实施过程中密码设备的各种安全日志进行统一归集分析,提供安全态势日志采集工具。2.4.2商用密码系统风险检测及服务(1)云主机威胁检测响应平台服务通过探针对云主机所有数据进行采集,引入各类安全产品安全日志,通过云端统一管理平台进行统一采集分析,持续化监控和分析资

12、产安全态势,构建威胁图谱,自动处置各类安全事件。(2)高级威胁检测与狩猎服务投标方须通过部署高级威胁诱捕工具提供高级威胁检测和狩猎服务,为采购方虚拟出完全的高交互欺骗环境,让攻击者无法看到真实网络环境,消耗攻击者的时间和精力,增强采购方威胁精准检测和溯源能力,发现采购方网络安全风险与隐患,并协助进行安全加固。(3)漏洞扫描渗透测试及安全托管服务针对采购方授权服务器主机、业务系统、应用系统进行定期漏洞扫描,及时发现最新的安全漏洞,使采购方的日常运维工作变被动为主动,提高全网系统安全性,并出具详细的漏洞扫描报告及建议。通过模拟进行非破坏性和攻击性的的黑客攻击的方式,采用自动化测试与人工测试相结合的

13、方式,利用系统的弱点和缺陷来评估采购方应用系统运行现状,从而发现漏洞和潜在的安全威胁隐患,保证应用系统的安全性。为采购人提供远程安全托管平台,由安全专家提供7*24h安全运营服务,通过远程托管方式为采购人提供专业的安全服务和安全专家资源,发现潜在威胁,提供威胁分析手段和能力,补齐采购人安全运营的技术短板。三、项目承诺3.1 中标供应商应满足采购人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则,做到守时、保质。3.2 保密性要求:中标供应商必须和采购人签订保密协议和非侵害性协议,投标供应商必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议,在合同签订时一并提供给采购

14、人。3.3 中标供应商具体测评工作和测评报告的编写,必须在采购人的指定地点进行。对于测评中的重要资料和结果,在测评期间和测评结束后,投标供应商不得带离该地点。3.4 中标供应商对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任,不得泄露给任何第三方。无论投标供应商中标与否,其对上述内容的保密责任将长期存在。3.5 测评的品质保证:中标供应商应承诺指派工作经验丰富、技术实力雄厚的安全顾问,结合技术领先、结论可靠的测评工具为客户做全面测评。承诺测评过程按照国家标准进行,并保证对客户的资料严格保密。四、项目实施要求4.1 实施单位要求4.1.1 具备较高的技术服务能力,投标人或投

15、标联合体中负责密评的成员具备商用密码应用安全性评估资质,有商用密码应用安全性评估项目的实施经验,工作业绩成果优秀;4. 1.2具有较高的管理能力和竞争力;4.1 .3具备开展工作所需的专业设备;4.2 实施团队要求4.2.1 项目负责人承担类似项目负责人经历,具备较强的专业能力,经验丰富。4. 2.2项目组成员:人员充足、技术力量强、专业涵盖项目实施所需、具备较高的专业素质。项目团队能根据采购人的需要进行及时的工作沟通。五、其他服务要求5.1对项目背景、现状、目标、任务、内容进行全面理解分析,拟定科学的研究技术路线,分析研究重点、难点并提出解决对策和建议。提供优质的质量保证服务及后期服务。5. 2工作计划安排科学合理。5. 3根据采购需求及评分标准制定相应的科学、合理、规范和可操作投标方案。5. 4合同服务期限届满的,若在服务期限届满后采购人仍未确定下一个服务期限的服务提供方的,则原供应商应采购人的要求继续提供本项目约定的服务,直至采购人确定下一个服务期限的服务提供方,费用协商解决。六、商务要求6.1实施期限:20XX年。6.2实施的地点:采购单位制定地点6.3付款条件(进度和方式)序号付款比例()付款方式150%合同签订后5个工作日内230%9月底前,项目实施完成80%以上320%1

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 管理/人力资源 > 绩效管理

copyright@ 2008-2023 yzwku网站版权所有

经营许可证编号:宁ICP备2022001189号-2

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!