《XX县公共数据加密服务项目采购需求.docx》由会员分享,可在线阅读,更多相关《XX县公共数据加密服务项目采购需求.docx(10页珍藏版)》请在优知文库上搜索。
1、XX县公共数据加密服务项目采购需求一、服务目标针对XX县公共数据的安全业务要求,本运维项目将充分发挥国产密码技术在数据安全防护中的基础支撑作用,对标新法规、新政策、新技术标准还要求,升级县公共数据平台综合安全防护能力,确保平台高可靠性、高安全性、高效持续稳定运行。具体运维目标如下:1.公共数据密态流转能力升级目标本项工作将专项针对XX县公共数据安全平台数据安全加密能力进行综合性加强,逐步完成L4(3715个字段)与L3(10700个字段)加密存储、加密处理,加密交换安全防护能力,加密功能影响原有业务应用运行的功能,性能衰减在可接受范围内,有效保障平台数据安全防泄漏的底线防护能力,防止公共数据安
2、全泄露风险。(1)以充分利旧为原则,完成公共数据密态流转统一管理能力服务,实现密钥协商管理机制、密态数据流转共享机制、数据安全审计机制实现跨域的数据安全统一管理能力,实现数据安全可视化管理能力。(2)实现县公共数据平台数据库公共数据中存量数据机密性和完整性安全加密。有效提升县公共数据平台数据存储安全,有效兼顾县公共数据平台数据库的业务应用,加密后不影响原业务功能。(3)实现县公共数据平台安全加密交换能力,完成基于数据交换工具、数据接口,文件导入导出等多种复杂场景的数据加密交换适配改造工作,实现数据落地即加密。(4)提供持续的安全加密运维能力,构建面向县公共数据平台的密态流转体系基座,加强公共数
3、据平台业务中重要核心数据的管控能力,提供覆盖数据收集,存储、处理、交换等多个环节基于国产密码技术的安全防护能力。(5)针对数据分类分级的结果完成公共数据平台L4与L3技术存储、传输、交换等环节全流程密态防护能力,有效防止数据泄露风险,确保安全底线。(6)数据加密后业务应用功能不受到影响。性能衰减在可接受范围内,其中在线实施事务处理业务性能衰减不高于20%,大数据非实时密态数据处理能力造成的数据衰减不超5倍。2 .公共数据密态流转安全能力联动覆盖目标针对XX县公共数据平台与外部单位数据共融共享应用场景,实现密态共融共享流转联动机制,以县卫健重要单位为试点,辐射覆盖公共数据加密汇集、加密共享以及加
4、密处理能力,实现县域数据安全体系的整体能力提升。本运维项目以卫健局为试点,完成公共数据全生命周期密态流转能力,对标政务服务数据安全防护的国家标准,实现公共数据从数源单位到平台直接安全联动机制,确保数据共融共享安全。3 .安全能力基础运维目标确保XX县公共数据安全主控平台无故障运行率达到99%:通过全面巡检和维护工作,确保平台的稳定性和可靠性,保障XX县公共数据安全主控平台的故障率降低至最低水平。运维技术支撑需及时发现和解决潜在问题,确保平台能够持续地、无故障地运行。系统运维(故障修复)响应时间2小时:当XX县公共数据安全主控平台出现故隙或问题时,需将迅速响应并进行修复。确保在故障通知2小时内采
5、取相应的措施,启动应急预案,解决问题并恢复系统正常运行。4 .安全运维合规性改造目标配合完成各类安全检测期间的技术支撑工作:运维工作将积极配合各种安全检测活动,并提供必要的技术支持。相关技术支撑包含内部的安全审核,安全评估和渗透测试,并对相关用户指定第三方的安全检查提供技术支持。确保XX县重要业务系统符合密码应用要求,满足密码应用安全性评估要求。实现重要公共数据在平台内存储和传输过程中的机密性和完整性保护。该项内容是密码安全性改造工作中最为痛点和难点的技术问题,该工作落地成功实施将密改工作应用与数据层避免高风险一票否决项,总体密码改造技术工作50%以上的工作量(总体密改工作还含机房改造,制度建
6、设等内容不在此项目工作内)。二、服务主要内容本项目根据XX县一体化智能化公共数据平台运行的现状以及数据安全需求,充分发挥国产密码技术在网络安全中的基础支撑能力,通过升级定制适配运维服务完成平台级的密态流转体系基座建设,加强数据全生命周期的安全防护能力。本运维项目以县卫健局为试点,延伸覆盖县公共数据平台数据安全防护能力,实现数据共融共享过程中重要业务数据、个人信息保护联动机制,有效提升县级数据安全防护系统体系化升级改造。主要服务内容如下:序号名称服务明细单位数量1加密安全策略管理支撑运维服务针对县公共数据平台提供统一的大数据加密管理配置模块,实现管理用户模块、加密策略配置,系统安全管理、安全审计
7、安全策略分发等安全功能的扩展与运维服务,为平台其它安全运维组件以及数据全流程密态流转软件提供密码应用技术能力支撑。项12基础密码服务接口适配运维服务充分利旧原则完成已建服务器密码机接口安全接入技术支撑服务,完成已有密码资源的接入能力。项13公共数据平台密钥管理能力技术支撑运维服务为公共数据提供密钥安全管理能力,覆盖密钥生产,密钥安全存储,密钥配置,密钥备份,密钥恢复,密钥存档,密钥销毁等安全机制。为公共数据平台数据层提供密钥安全管理运维服务。项14公共数据平台数据库加密产品满足信创要求的数据加密产品采购,产品提供数据库列加密机制,满足目前公共数据平台结构化数据加密场景,同时为后续信创迁移提供加
8、密能力支撑。项15数据安全可视化能力技术支撑运维服务密文数据流转提供数据安全可视化管理能力,实现重要数据加密可视化分布情况分析,传输情况分析,存储情况分析,共享情况分析,调用情况分析等。项16数据安全交换技术支撑运维服务实现面向数据交换工具(含dataX以及相关公共数据平台安全交换工具)的数据加密交换能力,实现基于ETL数据交换过程中的数据明文/密文、密文/密文的安全替换机制,确保数据交换过程中的密态流转能力。项17接口应用安全技术支撑运维服务针对公共数据平台接口应用,提供安全适配组件,实现密文数据上的接口应用功能性适配,确保数据加密后,接口功能不受影响。项18业务库CIG加密实施与运维服务针
9、对业务库CIG应用场景,数据库加密实施,明文数据迁移,日常运维工作。项19数据安全流转套件技术支撑运维服务针对外部单位,实现数据密态流转能力覆盖,实现相关的密钥替换、明密文转换等安全功能。项110市局卫士通基础密码密码服务平台接入技术支撑服务面向XX市局服务器密码机、密码基础服务提供适配接入服务。该服务支持根据用户需求实现数据库加密密钥以及基础加密算法外部接入能力,通过外部服务器密码机、密码基础服务提供密钥管理等相关功能。项111身份鉴别安全加密改造服务对标密码安全性评估三级标准要求,采用国产密码技术,实现公共数据平台身份鉴别机制的安全防护保障,有效用户登录与身份鉴别过程中安全保障,防止会话劫
10、持,账号盗取登录等安全风险。项112审计信息完整性安全加固改造技术服务对标密码安全性评估三级标准要求,采用国产密码技术,实现公共数据平台审计信息的完整性保护机制,防止审计信息的篡改和恶意删除,实现信息安全审计机制的安项1全保障能力。13访问控制机制密码安全加密改造技术服务对标密码安全性评估三级标准要求,采用国产密码技术,实现公共数据平台访问控制信息的机密性和完整性保护机制,有效保护用户权限信息,防止非法篡改权限,防止非法提权操作,有效保障平台访问控制的安全机制。项114重要业务程序完整性保护技术服务对标密码安全性评估三级标准要求,采用国产密码技术,实现公共数据平台重要业务系统完整性保护机制,防
11、止重要业务程序被非法篡改或注入恶意代码,有效保障平台程序的运行安全性。项115数据库引擎加密运维服务L提供可视化配置管理服务,用户可通过可视化交互界面配置待实施加密改造数据源、配置加解密字段、配置加密数据接入控制策略、查看字段加密状态、存量加密任务运行状态;2 .提供基于国产密码算法的数据库引擎透明加解密改造服务,可根据数据库实际应用需求改造数据库结构、增加密文检索函数,实现基于数据库数据加解密、密文检索、密文管理支撑;3 .提供数据库安全管理工具,可在不改变运维习惯和运维脚本的前提下,对加密后数据库正常进行运维。项116数据库加密应用适配与运维服务1 .提供数据库半透明加密安全插件。应用系统
12、使用安全插件后,无需代码改造即可接入加密数据库实现数据写入自动加密、读取自动解密。2 .提供应用系统接入安全适配。保障应用系统接入加密数据库后,程序功能运行正常。对运行异常功能提供自动化调试工具进行问题定位和适配。项117公共数据平台密码应用解决方案编写服务(安全安全咨询,公共数据平台密码应用解决方案编写,1个方案(对标等保三级系统个数及系统边界)项1咨询)18数据安全及密码安全培训服务(安全培训)完成本年度数据安全以及密码安全培训咨询服务,经费包含至软件运维费用中项119数据加密驻场工程师(1名)数据加密驻场工程师在服务期期间配合运维实施工作项1三、技术要求技术指标指标要求平台适配性商用密码
13、计算能力升级方案需符合XX县大数据局实际建设情况,兼容平台架构,满足平台先有软硬件体系。密码应用解决方案编制方案遵循密码法要求,对标GB/T39786-2021信息安全技术信息系统密码应用基本要求等相关标准,进行制订。方案需使用经检测认证合格的商用密码产品或服务,使用的商用密码算法、技术应遵循密码相关国家标准和行业标准。密码应用方案内容方案需从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个层面采用的密码技术措施,面向目标系统的安全密钥管理方案,并包含有效的安全管理措施。密码计算接口适配性改造商用密码计算能力升级方案设计需以充分利旧原则,依托XX县大数据己建密码服务资源,完
14、成密码计算接口的适配性改造要求。商用密码算法要求改造服务需遵循密码相关国家标准和行业标准,采用国产商用密码算法,包含SM1、SM2、SM3、SM4等。支持设备管理接口技术要求密码计算接口需包含设备管理功能,至少包括打开设备、关闭设备、创建会话、关闭会话、获取设备信息等接口。支持非对称算法密码计算接口需包含非对称算法运算功能,至少包括外部公钥运算、内部公运算接口技术要求钥运算、内部私钥运算、外部密钥验证、外部密钥签名、内部密钥验证、外部密钥公钥加密等接口。支持对称算法运算接口技术要求密码计算接口需包含对称算法运算功能,至少包括对称加密、对称解密、计算MAC等接口。支持杂凑算法运算接口技术要求密码
15、计算接口需包含杂凑运算功能,至少包括杂凑运算初始化、多包杂凑运算、杂凑运算结束等接口。支持文件处理接口技术要求密码计算接口需包含文件处理操作功能,至少包括创建文件、读取文件、写文件、删除文件等接口。应用数据传输加密保护要求应用数据传输加密保护:针对原有业务系统数据库应用前端访问通信加密。通道加密改造服务将提供自适应HTTPS解决方案,方案支持国密SM2SSL证书,可根据客户端浏览器的类型自动匹配SM2SSL证书和RSASSL证书建立HTTPS连接,支持单向认证和双向认证模式。结构化数据加密存储安全结构化数据加密存储安全:结构化数据的安全存储(数据库)支撑依托于省大数据统建的密码服务平台,结合数据库加密产品实现,提供结构化数据的存储机密性与完整性保护。元数据安全保护功能提供数据库元数据信息的混淆保护功能,防止外部逆向分析攻击。该项功能可配置单独产品支持。数据库加密可视化提供可视化数据库加密配置管理,用户可通过可视化交互界面配置待实施加密改造数据源、