XXXX区数字政府软件安全态势感知平台建设项目采购需求.docx

《XXXX区数字政府软件安全态势感知平台建设项目采购需求.docx》由会员分享，可在线阅读，更多相关《XXXX区数字政府软件安全态势感知平台建设项目采购需求.docx（14页珍藏版）》请在优知文库上搜索。

1、XXXX区数字政府软件安全态势感知平台建设项目采购需求1 .项目概况1.1. 项目名称XXXX区数字政府软件安全态势感知平台建设项目。1.2. 项目背景如今，“态势感知已经成为网络空间安全领域聚焦的热点，也成为网络安全技术、产品、方案不断创新,发展、演进的汇集体现，更代表r当前网络安全攻防对抗的最新趋势。态势感知系统作为网络安全的核心子领域，已经被行业广泛了解和积极认可。区部署r部分硬件公面的网络安全探针，初步尝试及时感知网络安全态势,但是当前多数的网络安全风险直接或间接来自于软件系统。如果软件系统本身存在安全漏洞或软件系统所处运行环境配置不够安全，将可能引发系列网络安全风险，因此，建设软件安

2、全态势感知作为态势感知领域不可或缺的一块至要版图，以便为XXXX区政数局应对日益严峻的网络安全挑战提供坚实的系统保障。1.3. 建设目标XX高新技术产业开发区政务股务数据管理局拟建设软件安全态势感知平台,以便实时掌握XXXX区软件资产分布和安全态势，实现完备的软件资产管理功能，并可对发现的安全问题实现管理闭环。该平台将作为软件安全态势感知专题接入XX区区域治理“一网统管”平台（“X治愚”）.软件安全态筠感知平台主要使用的技术包括软件成分安全分析、完备的第三方组件库、运行时应用自我防护技术等,解决软件安全威胁预警工具缺失的问题，建立覆盖软件安全开发牛.命周期各环节的检测和预警机制。软件安全态势感

3、知平台将通过软件物料消维系统实现软件资产的自动搜集、分析，通过运行时应用安全自我防护探针来实时监测、告警和拦截外部攻击。当外部发生重大安全事件时，可在第一时间准确定位到受影响的软件资产，及时做出响应和处置，并由软件安全态势感知平台对各类数据进行综合分析，并直观呈现软件系统风险等指数，以便及时下达整改任务并跟踪处理进度.项目建设完成后，将实现：检测：提供持续监控能力，及时发现各种攻击威胁，特别来自软件供应链的攻击：分析、响应：建立威胁可视化以及分析能力，对威胁的影响范围、攻击路径、目的、手段进行快速研判，进行有效的安全决策和晌应：nm颈防：建立风险通报和威胁预警机制，全面掌握攻击者目的、技战术等

4、信息：防御：利用掌握的攻击者相关目的、技战术等情报，完善防御体系。1.4. 建设工期臼合同签订之日起180天内完成项目建设（包含试运行60天）。2 .项目主要建设要求2.1. 标准规范2.1.1. 项目遵獴的标准规范在项目建设过程中需遵循国家、省、市及行业主管部门发布的一系列政策法规、标准规范等，具体内容如F：2.1.1.1. 政策依据6中华人民共和国网络安全法K中华人民共和国国家安全法中华人民共和国网络安全法实施条例网络安全等级保护管理办法2.1.1.2. 技术规范0国家标准(GB/T22239-2019)网络安全等级保护基本要求(GB/T31506-2022)政府门户网站系统安全技术指南(

5、GB/T34943-2017)C/C+语言源代码漏洞测试规范(GB/T34944-2017)JAVA语言源代码漏涧测试规范3(GB/T34946-2017)C#语言源代码漏洞测试规范(YD/T3497-2019)6移动互联网恶意软件云端陕动治理体系技术要求（研究阶区）g信息安全技术安全开发能力评估准则（制订阶段）信息安全技术软件供应箧安全要求（制订阶段）4信息安全技术网络安全从业人先能力基本要求R0通信标准片面向云计算的研发运营安全工具能力要求第2部分：静态应用程序安全测试工具第3部分：交互式应用程序安全测试工具OF源软件治理能力评价方法第3部分：成熟度模型软件供应集安全保障基本要求开源软件组

6、成分析平台（SCA）标准（修订）网络安全产品成熟度系列标准第27部分交互式应用安全测试（灰盒安全测试平台评价方法第28部分模糊测试平台评价方法第29部分开源组件安全及合规管理平台评价方法第30部分实时应用自我防护平台评价方法第101部分静态应用安全测试（源代码审核）评价方法0团体标准软件安全开发能力要求3网络安全等级保护应用软件安全开发管理评估指南2.2. 性能要求为了保证平台的使用效果，在性能与用户高并发需求方面，应满足：（1）平台提供功能丰富和使用便捷的二次开发接口；（2）安全攻击防护，攻击防护结果上报时间5s。（3）安全攻击检测引擎在所有检测策略关闭情况下，对应用服务器的CPC和内存平均

7、占比均不超过5%（4）添加探针并开启防护和未添加探针对比,CPU使用率提高10%：（5）在关闭所有检测策略情况下，内存开销小100MB：（6）安装探针后应用平均延迟响应时间5ms（7） WEB页面般响应时间要小于5秒,部分页面展示内容过多时最长不超过10秒（8）在100个并发用户访问时，WEB页面和移动客户端响应时间要小于7秒，最长不能超过12秒2.3. 功能设计及其应用场景23.1.总体楂架设计按照国家、省、市的发展目标和信息化规划要求，平台需采用微服务架构，全面对各部门的应用软件进行安全防护，并且对应用资源进行管理，能够分析全局风险等级，直观呈现综合安全态势以及资产情况，通过粽合安全态势，

8、让用户直观了解当前安全运营水平，快速识别安全短板，协助用户快速提升安全运营能力。平台总体框架图如下:图1总体框架图基于政府信息化项目国产化建设规范要求，在技术使用和产品选择方面应考虑其技术的成熟性，优先选用国产化技术和产品，在建设过程中完成国产化适配改造，并使用基于国产化架构的国产政务云资源。并且采用国产化数据库、操作系统等相关资源。本系统作为全区政务信息化系统的安全态势感知平台，因此计划在XX市政务云上采购网络安全保护云资源及商用密码云资源支撑系统的自身安全能力建设。2.3.2.功能设计2.321.态势感知子系统2.3.2.1.1.采集需对交互式软件安全实时监测与防护子系统安全防护及监测的数

9、据进行采集。需对软件物料消堆子系统生成的软件物料清单数据进行采集、整理。需要将软件安全态势感知采集到的数据根据所需要的指标进行整合分析，输出至态势感知数据可视化专题.2.3.2.13 .风险管理态势感知子系统需实现风险闭环管理，通过对现有软件资产的导入进行收集分析；可把控软件资产动态、查看软件安全状况，对现有资产进行监控：可查看对应的软件系统的漏洞详情、攻击事件详情、相关解决方案，形成风险分析及解决方案报告，并通过X政易、短信、邮箱等途径一键卜.发报告及整改通知；可将对应管理单位、系统厂商、工作人员快速联动推进整改,使态势感知平台所感知到的风险形成闭环管理。2.3.2.14 应用系统架构模块本

10、模块需包含应用系统管理、集成平台、攻击事件、漏洞信息、云平台管理、供应商管理、行业分类等功能“应用系统管理：屣示需防护的应用，用户可根据应用列表可查看对应应用的详细情况，如所产生的攻击事件、相关组件信息、漏洞信息。集成平台：需展现软件安全态势感知系统继承/哪些平台，通过此入口可以详细的了解和分析这些平台。攻击事件：需要接入的业务系统产生的攻击事件列表，可详细分析攻击事件的详情、概览、h1.1.p请求信息、代码和堆栈，也可杳看响应的解决策略。云平台管理：需接入的业务系统的漏洞信息，可对这些漏洞进行详细的查看和分析并进行处理.供应商管理：可通过此功能了解到详细系统供应商信息，通过此入口快速找到袭击

11、需要的供应商信息，进行相关的联系或者操作，对这些供应商进行维护:行业分类：需要对系统进行详细的行业分类，以便更好的/解和分析各行各业的系统安全现状，将重点信息展示在数据大屏，以便做出安全防护决策。2.3.2.1.5.系统集成1 .系统集成需要将交互式软件安全实时监测与防护子系统和软件物料清单子系统进行集成至软件安全态势感知平台，及第三方业务系统进行打通：需作为专题对接接入XX区区域治理“网统管”平台（“X治栽”）：需对接XX省统一身份认证中心、“X政易”平台、XX区短信综合服务平台。2 .接口打通需耍提供技术标准匹配、技术接口完整、技术装备合理的解决方案，形成先进的、开放的、资源共享的的软件安

12、全态势感知平台。2.3.2.1.6, 安全指数模型需根据XX区信息化现状及特点设计XX区软件安全态势数学计算模型，安全数学模型由安全问题风险分析结果和综合得分共同确定，用丁计算相关安全信息指数，判断安全态势不同情况2.3.2.1.7, 态势感知可视化专题需包括软件资产态势、实时攻击态势和威胁情报分析三大模块，能够直观呈现综合安全态势以及资产情况.1 .软件资产态势将资产探查和数据同步等多种途径获取的资产信息统呈现，需要能够直观展示资产数量、资产安全等级分布情况、资产漏洞影响面、资产安全风险Top1.O.摸清软件资产家底，掌握软件风险暴露面，夯实安全管理基础。软件资产数：需要按照业务资产总数及开

13、源组件、安全漏洞、软件许可四个维度展示对应资产数量及风险。业务系统安全等级分布：需要根据特有的软件安全指数计算公式对全区接入的软件进行安全风险评估，并根据优、良、中、差的等级排列，呈现全区业务系统的整体安全等级分布状态。漏洞影响而ToPI0：需统计全区影响系统数殳最多、出现频率最高的漏洞类型。软件安全风险指数Top1.O:需根据特有的软件安全指数计算公式对全区接入的软件进行安全风险评估，并列出风险系数最高的十个业务系统，并支持展开列出所有系统的评估结果和排名。2 .实时攻击态势分为被攻击总数、攻击源地图炮展示、攻击事件详细信息三大模块，持续监测重大安全事件态势，展示当前预警事件中攻击者、受害名

14、的关系，展示受影响资产，呈现事件中关键节点，帮助安全运营人反掌握事件的整体态势，包括攻击数量、攻击类里、威胁等级、攻击发起区域和攻击者，协助用户快速处理威胁攻击源。3 .威胁情报分析现有资产安全趋势：需要根据粽合评分变化情况，选取分数进步最大和退步最大的前五位系统展示：威胁情报：需要对接第三方威胁情报阵，例如CVE、CNNVD,CNVD等权威情报库。使用第三方情报库的威胁情报扫描已有接入的系统，并列出全区业务系统与相关情报库的威胁关联情况，且支持点击展开获取详细信息：漏洞趋势：需要统计展示每月总体漏洞数量，帮助安全运营人员掌握盛体漏洞变化趋势；攻击类型：需要统计展示近三个月、半年、一年时间内，

15、攻击事件中使用的攻击手法，并支持点击展开获取详细攻击、拦截信息，帮助安全运营人员掌握近期攻击事件的主要攻击手段，并重点防御：软件攻击趋势：需要统计展示近两周的总攻击数故及裔危攻击数地，并根据以往攻击数显得出参考线，帮助安全运营人员了解攻击变化趋势及严峻程度。2.3.2.2.软件物料清单子系统软件物料清堆子系统需包括漏洞分析、软件成分分析、统计中心和其他功能四大部分功能。2.3.2.2.1. 漏洞分析需自动检测开源组件中含有的安全漏洞并提供漏洞的详细信息,支持CVE.CNNVD等漏洞库：为简单漏洞提供修狂建议，兔杂漏洞以解决方案的形式提供：需要实时关注最新发布的CVE漏洞，并对于新漏洞发布相关的预警。2.3.2.2.2. 软件成分分析源码检测：需通过对源码的检测,对系统做出安全性的分析，显示文件名称，文件大小，文件数量，任务状态等信息。任务及报告管理：可进行任务创建，任务检测，任务编辑，任务删除，报告管理等操作、展示代码行数，自研率，文件详情等内容、展示任务名称，扫描状态，关联仓库数，关联组件数，悚作人等信息、可进行添加文件，开始扫描，制除任务等操作、显示匹配到的组件详情和匹配到的仓库详