《XX省XX局数据中心安全整体管控平台项目建设需求说明.docx》由会员分享,可在线阅读,更多相关《XX省XX局数据中心安全整体管控平台项目建设需求说明.docx(10页珍藏版)》请在优知文库上搜索。
1、XX省XX局数据中心安全整体管控平台项目建设需求说明一、项目目标进一步贯彻落实中华人民共和国数据安全法中华人民共和国个人信息保护法公共数据安全体系建设指南等法律法规、规范文件要求,对标等级保护2.0及密码安全性评估的新要求、新规范,针对数据中心安全整体管控平台进行安全性加固和合规性改造,充分发挥国产密码基础支撑作用,依托于省大数据统建的密码服务资源池,对标密码安全性评估技术标准,完成密码改造工作,通过平台的密码安全性评估工作,同时,为商用密码技术在XX省XX局其它系统的全面铺开建设提供有力支撑能力。二、需满足的服务要求(一)项目背景为贯彻落实中华人民共和国网络安全法中华人民共和国密码法等法律法
2、规要求,XX省XX局于2020年建设了数据中心安全整体管控平台。数据中心安全整体管控平台以“数据为中心”安全设计理念,充分发挥国产商用密码技术的基础支撑作用,实现了覆盖XX省XX局业务系统的信息全生命周期安全加密与防护能力。系统提供数据库安全加密与防护功能、文档安全加密防护功能、数据库脱敏功能、数据安全加密传输功能、数据交换密文转换功能、动态密文安全保护功能,内外网区域的应用系统与数据库提供数据安全保障能力。截至目前,数据中心安全整体管控平台服务器资源包括信创云区2台ECS资源和政务云区37台ECS资源,防护了包括全程电子化登记管理系统(交换库)、XX市场名称登记系统、XX省市场监管案件管理系
3、统、XX省计量管理信息系统、XX省企业信用监管警示系统等业务系统等共计22个涉企业务系统,其中包括2个信创云区业务系统和20个政务云区业务系统,加密数据总量约为1亿5000万条。(二)实施时间自合同签订之日起1个月内完成项目实施、试运行2个月后通过验收。(三)总体要求(1)技术路线1)以合规性原则为先导,守住技术安全底线,夯实提升XX省XX局数据安全与网络安全“技防”能力基础;技术实施主要结合XX省XX局实际应用场景,切合实际的完成数据安全建设及密码应用安全性改造工作;2)密码技术路线需遵循GB/T39786-2021信息安全技术信息系统密码应用基本要求等相关标准规范,数据安全方面工作对标XX
4、省公共数据条例等文件要求、遵循公共数据安全体系建设指南公共数据安全体系评估规范等标准规范,充分利旧、补充完善、调整升级、统一整合,在XX省XX局数据中心安全整体管控平台的基础上有效提升公共数据全生命周期的安全防护能力。(2)部署方式1)满足本地机房及云上部署环境,配置产品以软件形式部署;2)相关安全能力需从信创云环境覆盖到公有云区和专有云区;3)密码服务能力需充分利用采用省政务云国密支撑服务平台作为基础密码服务支撑,有效确保算法的合规性和密钥管理的安全性,符合密评要求;4)部分利旧、部分升级改造。(3)网络安全1)遵循等级保护三级标准建设,满足密码安全性评估要求,对标GB/T39786-202
5、1三级及以上安全要求;2)不能引入新高危及中危漏洞并持续做好安全服务。(四)建设需求(1)业务需求1)针对数据中心安全整体管控平台安全体系,完成与省大数据局密码服务平台的统一密码服务联调适配并有效利旧本地信创商密软硬件产品,打造基础密码计算服务支撑能力和密钥安全管理体系;2)完成平台自身安全性加固及安全功能保障工作,对标新国标GB/T39786-2021信息安全技术信息系统密码应用基本要求、基本符合密码应用安全性要求(在排除相关高风险项干扰的前提下,系统总体密评分数达到65分以上、本身不存在高风险项)。(2)业务流程1)完成密码应用安全性改造方案编写与评估并根据方案完成商用密码计算能力升级适配
6、工作,完成与省大数据局密码服务平台的统一密码服务联调适配并有效利旧本地信创商密软硬件产品,实现基础密码计算服务支撑能力和密钥安全管理体系;2)通过相关技术支撑能力,完成平台应用和数据层加固升级服务工作及其它商密合规性安全升级适配工作。(3)服务内容及技术功能要求1)服务内容:对标等级保护2.0、密码安全性评估、网络数据处理安全要求的新要求、新规范进行数据中心安全整体管控平台安全性改造升级工作;2)技术功能要求:对原有已建平台防护能力升级加固,加固升级适配工作包括基于统一密码服务资源池的密钥安全管理和数据水印;依托于大数据局建设的统一密码服务平台,兼顾XX省XX局机房原有服务器密码机资源,通过多
7、级密钥管理架构设计及技术实现,建立多级密钥管理与流转协同机制,实现共享数据加密密钥协商、密钥置换、数据加解密及密态转换和数据水印等,相关技术能力满足商用密码安全性评估针对密钥管理的相关要求;对保护的重要业务系统或重要数据进行安全加密保护,有效保障数据流转过程中的机密性和完整性保护,确保XX省XX局重要公共数据资产的安全性。2.1) 商用密码计算能力升级适配开发服务:依托于省大数据局的统一密码服务,完成密码计算能力与密码管理能力接入适配和安全性加固工作,提升平台在政务云区域的商用密码安全性能力保障。技术指标指标要求平台适配性商用密码计算能力升级方案设计需符合数据中心安全整体管控平台实际建设情况,
8、兼容平台架构,满足平台现有软硬件体系。密码计算接口适配性改造商用密码计算能力升级方案设计需依托省大数据统建的密码服务平台资源,完成服务平台密码计算接口的适配性改造要求。商用密码算法改造服务需遵循密码相关国家标准和行业标准,采用国产商用密码算法,包含SMI、SM2、SM3、SM4等。设备管理接口密码计算接口需具有设备管理功能,至少包括打开设备、关闭设备、创建会话、关闭会话、获取设备信息等接口。非对称算法运算接口密码计算接口需具有非对称算法运算功能,至少包括外部公钥运算、内部公钥运算、内部私钥运算、外部密钥验证、外部密钥签名、内部密钥验证、外部密钥公钥加密等接口。对称算法运算接口密码计算接口需具有
9、对称算法运算功能,至少包括对称加密、对称解密、计算MAC等接口。杂凑算法运算接口密码计算接口需具有杂凑运算功能,至少包括杂凑运算初始化、多包杂凑运算、杂凑运算结束等接口。文件处理接口密码计算接口需具有文件处理操作功能,至少包括创建文件、读取文件、写文件、删除文件等接口。执行返回代码密码计算接口需返回正确或错误返回代码,相关返回代码需满足国家商密标准GM/T0018-2012密码设备应用接口规范附录A要求。网络联通性密码计算接口需覆盖平台数据中心安全整体管控平台所在网络区域,有效支撑平台内部的密码计算能力。2.2) 密钥安全管理机制升级适配开发服务:建设数据中心安全整体管控平台的密钥管理体系,结
10、合平台的实际情况,实现XX省XX局数据加密密钥共享协商机制、数据加解密钥管理、密态转换等能力改造,确保密钥安全性。技术指标指标要求技术指标指标要求平台适配性密钥安全管理机制方案设计需符合数据中心安全整体管控平台实际建设情况,兼容平台架构,满足平台现有软硬件体系。密钥管理接口适配改造密钥安全管理机制方案设计需依托省大数据统建的密码服务平台资源,完成服务平台密钥管理接口的适配性改造要求。商用密码算法改造服务需遵循密码相关国家标准和行业标准,采用国产商用密码算法,包含SM1、SM2、SM3、SM4等。密钥格式非对称加密密钥格式符合国家商用密码行业标准GM/T0009-2012SM2密码算法使用规范要
11、求密钥管理类接口能力密码管理接口至少包含导出签名公钥、导出加密公钥、产生密钥对并输出、生成会话密钥并用内部公钥加密输出、生成会话密钥并用外部公钥加密输出、导入会话密钥并用内部私钥解密、基于算法的数字信封转换、生成密钥协商参数并输出、计算会话密钥、产生协商数据并计算会话密钥、数字信封转换、生成会话密钥并用密钥加密密钥加密输出、导入会话密钥并用密钥加密密钥解密、销毁会话密钥等随机数检测需具有随机数检测功能,检测能力符合GM/T0005-2012随机性检测规范要求。随机数检测能力随机数检测能力至少包括比特频数检测、块内频数检测、扑克检测、重叠子序列检测、游程总数检测、游程分布检测、块内最大“1”游程
12、检测、二元推导检测、自相关检测、矩阵秩检测、累加和检测、近似蜡检测、线性复杂度检测、MaUrer通用统计检测、离散傅立叶检测密钥协同机制建设方案兼容大数据局建设的统一密码服务平台,兼顾XX省XX局机房原有服务器密码机资源,通过多级密钥管理架构设计及技术实现,建立多级密钥管理与流转协同机制。技术指标指标要求密钥安全管理能力为目标平台提供密钥创建、密钥更新、密钥获取、密钥启用、密钥禁用、密钥授权、密钥级联等密钥全生命周期管理能力其它安全要求1 .设备密钥的使用不对应用系统开放;2 .密钥必须用安全的方法产生并存储;3 .在任何时间、任何情况下,除公钥外的密钥均不能以明文形式出现在密码设备外。2.3
13、)平台应用和数据层加固升级改造服务:充分发挥国产密码技术在数据安全保护和网络安全防护中的基础支撑作用,完成平台自身身份鉴别、访问控制及安全审计等方面安全性保障方面的密码安全升级,通过密码技术加固平台自身安全性。技术指标指标要求平台适配性应用和数据层加固升级改造方窠设计需符合数据中心安全整体管控平台实际建设情况,兼容平台架构,满足平台现有软硬件体系。适配统一密码服务应用和数据层加固升级改造方案设计需依托省大数据统建的密码服务平台资源,完成相应适配性改造要求。身份鉴别密码改造提供符合密评要求的身份鉴别机制,采用商用密码技术实现用户身份真实性,针对鉴别信息进行基于商用密码技术的完整性和机密性保护。访
14、问控制信息完整性平台调用基础密码服务完成签名验签,对用户访问控制权限列表进行SM2数字签名,实现访问控制信息的完整性保护,保护访问控制权限列表不被篡改,防止非授权的访问。应用数据传输加密保护1.针对原有业务系统数据库应用前端访问通信加密,通道加密改造服务提供自适应HTTPS解决方案,方案支持国密SM2SSL证书,可根据客户端浏览器类型自动匹配SM2SSL证书和RSASSL证书建立HTTPS连接,支持单向认证和双技术指标指标要求向认证模式;2.自适应HTTPS功能相关计算机信息安全专用产品具有检验检测报告。结构化数据加密存储安全L结构化数据的安全存储(数据库)支撑依托于省大数据统建的密码服务平台
15、,结合数据库加密产品实现,提供结构化数据的存储机密性与完整性保护;2.涉及的数据库加密产品具有商用密码产品认证证书且在信创名录中。文件加密存储安全L支撑依托于省大数据统建的密码服务平台,结合虚拟文件驱动模块实现,提供文件数据的存储机密性与完整性保护;2.涉及的文件加密产品具有商用密码产品认证证书且在信创名录中。数据水印功能针对后台存储加密数据提供隐藏式数据指纹,实现数据水印功能及后台加密存储数据的溯源能力。日志等重要信息的完整性平台调用州AC服务,对日志等重要信息做杂凑运算,确保数据的完整性,保证数据不被篡改。密评支撑工作L配合等保测评机构和密评机构完成商用密码评测工作并根据等保测评机构和密评机构的整改意见完成系统加固整改2.等保不低于80分、密评达到65分以上、本身不存在高风险项。2.4)其它商密合规性安全升级适配工作服务:完成数据中心安全整体管控平台商密合规性安全升级,包括基于密码技术实现主机层重要程序保护、后台运维通道安全性等加固工作,确保平台对标新国标GB/T39786-2021信息安全技术信息系统密码应用基本要求、基本符合密码应用安全性要求(在排除相关高风险项干扰的前提下,系统总体密评分数达到65分以上、本身不存在高风险项)。
免费区 