《XX县政务信息系统数据安全规范及监管平台项目采购需求.docx》由会员分享,可在线阅读,更多相关《XX县政务信息系统数据安全规范及监管平台项目采购需求.docx(12页珍藏版)》请在课桌文档上搜索。
1、XX县政务信息系统数据安全规范及监管平台项目采购需求一、项目背景XX省大数据局领导在4月28日设区市大数据局局长业务培训会上明确提出:要全面、完整、准确贯彻落实国家总体安全观,坚决筑牢网络安全之基、绷紧数据安全之弦,落实落细公共数据全生命周期安全措施。围绕进不来、拿不走、看不懂、改不了、赖不掉“5个不”的工作目标,按照量化闭环的工作要求,对每一张数据表进行分析、加固、测试,筑牢数据安全防线。二、建设目标根据XX省公共数据安全体系建设指南、XX市网络安全保障工作方案等相关文件安全建设要求,遵循“进不来、拿不走、看不懂、改不了、赖不掉”的安全“五个不”要求,建立XX县政务信息系统数据安全监管平台,
2、统筹管理XX地区网络安全及数据安全能力,夯实并提高XX地区的数据安全防护水平,显著提升全县公共数据安全防护、监测、预警、处置全链路数据监管能力,促进数据合规高效流通使用,赋能实体经济。三、建设依据2023年省市重点工作解读(区县局长培训会);XX省公共数据安全体系建设指南;XX市网络安全保障工作方案;国民经济和社会发展第十四个五年规划纲要;中华人民共和国网络安全法;中共中央国务院关于加强网络安全和信息化工作的意见(中发(2017)18号);国务院关于印发政务信息资源共享管理暂行办法的通知;网络安全等级保护制度2.O标准及相关规范;GB/T37988-2019信息安全技术数据安全能力成熟度模型;
3、GBT35273-2017信息安全技术个人信息安全规范;GB/T35274-2017信息安全技术大数据服务安全能力要求;GB/T25058-2010信息安全技术信息系统安全等级保护实施指南;GB/T22239-2019信息安全技术信息系统安全等级保护基本要求;GB/T20273-2019信息安全技术数据库管理系统通用安全技术要求。四、项目建设内容XX县政务信息系统数据安全规范及监管平台项目建设内容一览表序号分类模块建设功能项1一、软件开发类数据安全监管平口建设权限管控中心安全规则管理安全策略管理数据安全知识库数据安全任务中心全链路数据安全监管系统数据血缘图谱影响分析数据监测看板重要数据加密数据
4、签名溯源外部系统对接XX县政务外网安全日常业务管理系统日常业务统计分析系统管理五、建设内容详细需求5.1 数据安全监管平台针对XX当前运维过程中账号管理混乱、操作不透明等一系列非合规现象造成的数据泄漏事件,数据安全监管平台通过X政钉认证、多维度的角色管控和细粒度数据授权管控。旨在对大量现存RDS数据库以及DataWorks上的回流数据进行统一访问控制,实现操作定位到人,追责溯源到人,最大程度的保障用户隐私信息安全,防止数据泄露。数据安全监管平台应由权限管控中心、安全规则管理、安全策略管理、知识库管理、任务中心、全链路数据安全监管、数据血缘图谱影响分析共同组成。5.1.1 权限管控中心针对XX当
5、前运维过程中账号管理混乱、操作不透明等一系列非合规现象造成的数据泄漏事件,数据安全监管平台通过X政钉认证、多维度的角色管控和细粒度数据授权管控。旨在对大量现存RDS数据库以及DataWorks上的回流数据进行统一访问控制,实现操作定位到人,追责溯源到人,最大程度的保障用户隐私信息安全,防止数据泄露。5.1.1.1 账号管理账号管理通过建立与X政钉的账户绑定,实现身份认证,访问鉴权等功能,规范用户对数据的操作控制。账号管理主要功能应包括但不限于:工作台、统一账号管理策略、异常账号停用策略、异常账号锁定策略。51.1.2权限管控完成对账号的各类权限管控,提供对SChema、角色、账号、黑白名单、消
6、息、事件、日志的统一管控;有独立于源数据库的使用者账号管理体系,使用者无需知道真实数据库的账号和密码、IP和端口等信息;提供IP段、时间段、应用名称、主机名等多因素准入控制登录认证,精细到个人、机构的账号权限管理;提供灵活设置账号访问的数据库表级别的返回行数限制,防止批量信息泄露;提供设置表级别的删改影响行数控制,一旦操作语句中的行数高于阈值,则语句无法正常执行,防止大批量的误删误改的发生。5.1.1.3 数据库沙箱管控通过管理数据库,扫描数据,准入控制,角色访问控制等功能,完成对用户客户端的控制,防止用户通过非授权手段完成数据的下载。5.1.2 安全规则管理安全规则管理用于建立与管理数据质检
7、规则库,规则定义支持正则表达式、Sql脚本便携、规则权重设置,支持单表、跨表稽查等。规则管理应包括但不限于:规则类型管理,通用规则管理,自定义规则管理,规则的定义同步调度。5.1.3 安全策略管理安全策略管理系统面向网络安全设备众多的大中型企业,提供专业的运维管理解决方案。能够轻松实现统一对多安全相关产品进行集中管理及自动化配置,具备实时监测预警安全威胁、梳理、优化安全策略、安全合规分析、批量升级等功能,为安全管理者提供风险评估和应急响应的决策支撑。5.1.4 安全知识库管理知识库主要负责记录各类安全问题处理方法,事项处理过程作为参考依据,形成安全问题处理机制规则库。5.1.5 数据安全任务中
8、心一体化任务中心承担数据安全运维单位与安全厂家,运维部门之间跨部门的各类任务处置、流转工作,实现任务跨部门、跨领域、跨层级的汇聚融合,分拨流转。5.1.6 全链路数据安全监管数据安全监管模块以数据资源为关键要素,以信息通信技术融合应用,全要素数字化转型为重要推动力,从时间和空间两个维度对数据要素进行监管。确保数据全生命周期的安全保障。5.1.7 数据血缘图谱数据血缘是在数据的加工、流转过程产生的数据与数据之间的关系。提供一种探查数据关系的手段,用于跟踪数据流经路径5.1.8 数据监测看板为了帮助用户更加直观地实现对数据安全的统筹管控,梳理数据安全类指标,建立对外管控的数据监测看板。5.1.9
9、重要数据加密重要数据加密模块可帮助用户将数据加密后存储到数据库中,数据在访问过程中可保证访问权限细粒度控制,在不影响用户体验的同时,保证用户数据安全。需提供的能力如下:透明加解密:透明访问业务,在访问加密数据的时候感觉不到加密解密过程,业务性能无损;权限隔离:独立于数据库权限体系的独立权限控制,防止DBA及高权限用户访问敏感数据、利用数据库安全漏洞提升权限引发数据泄露;数据识别:在访问该字段时,进行加密处理和权限管控;秘钥管理:配置一个秘钥轮换周期,当秘钥未被操作时间达到周期长度时,秘钥会自动更换;传输加密:支持对数据先加密,然后密文传输,传输完成后再进行安全解密,保证数据传输过程中的安全防护
10、;服务接口:支持开放APl等多种方式的接口;监控告警:支持多种方式告警。支持ORACLE、MySQL、SQLserver、Sybase、DB2、达梦等数据库加密(投标单位应提供系统截图证明)支持字段、表、库级别的加解密(投标单位应提供系统截图证明)支持通过前台界面根据数据类型设置多个加密规则组的模板化配置,所有针对数据类型的加密规则均可使用已经配置好的规则方案模板(投标单位应提供系统截图证明)支持对“字段”、“表”、“库”加解密策略进行创建、修改、删除自定义配置(投标单位应提供系统截图证明)支持三权分立设置,DBA访问、数据源使用必须经过相应管理员授权(投标单位应提供系统截图证明)5.1.10
11、 数据签名溯源数据签名溯源服务提供结构化数据和文件数据的签名服务,该服务通过对结构化数据或文件数据的头部、中间和尾部自动增加数据签名的方法实现数据的权属证明和泄漏者的溯源。支持虚拟化环境部署,只需网络可达。支持多种类型数据库,达梦、OracIeMySQLSQLServerGaussDBSybasePostgreSQLRDSODPSHlVE等(投标单位应提供系统截图证明)支持嵌入不可见字符、数字水印、伪列等(投标单位应提供系统截图证明)支持库到库、库到文件、文件到库的嵌入水印操作,其中文件包括不限于(CSV、ExcelTXTDEL)(投标单位应提供系统截图证明)支持对疑似泄露数据文件或数据表,直
12、接上传到数据水印系统,一键溯源,自动化展示出溯源结果,生成溯源报告(投标单位应提供系统截图证明)支持对数据源、水印任务添加、修改审批;未经审批,则数据源及任务无法使用(投标单位应提供系统截图证明)5.1.11 外部系统对接外部系统对接的功能项和业务目标如下表:建设功能项业务目标描述与X政钉对接与X政钉打通用户体系,引导用户通过X政钉扫码进入平台与IRS对接以组件形式建立与IRS对接,引导用户通过IRS发起资源,链路需求。接收IRS发起的工单请求。与ISV安全厂家的技术对接完成与ISV安全厂家的技术对接,引导各地安全厂家在ISv注册。然后同步到数据安全监管平台,实现对安全厂家和平台的统一管控。与
13、省市安全规则库对接完成与省市安全规则库的技术对接,及时同步省市的安全数据规则。进一步保障当地的数据安全体系。与安全平台对接融合基于一体化底层能力建立数据安全监管平台,打通现有XX当地安全类业务系统的,实现全地区的安全日志数据汇聚,安全策略管理、安全工单统一流转处置。与一体化平台的对接融合充分应用各地区一体化平台已有的基础能力,如数据汇聚、数据治理对各安全系统的日志进行汇聚、治理、清洗入库。5.2 XX县政务外网安全日常业务管理系统为全面构建全县网络信息安全保障体系,切实加强全县信息安全保护,确保网络安全运行,根据省市的相关工作部署要求,本次项目建设针对隐患查改核验、攻防演练、渗透测试、基线核查
14、等工作中发现的问题,进行登记、交办、整改反馈、确认的全过程管理信息系统。5.2.1 日常业务1.1.1.1 网络库管理管理维护全县各企事业机关单位的服务器、PC电脑、网络打印机、网络摄像头等设备,可以添加网络地址段、服务器单个IP地址、对应责任单位、网络区域(VPNUVPn2、专网、互联网)、备注等信息。1.1.1.2 应用系统库管理由管理员登记维护全县所有业务系统,并可以授权给职能部门进行各自业务系统的相关数据维护管理权限。1.1.1.3 问题处置管理支持对网络问题的任务登记,审核,签收和整改反馈操作。1.1.1.4 业务审批管理针对公网地址申请、端口开放申请、二级域名申请等业务进行审批管理
15、,并自动应用系统库进行关联。1.1.1.5 安全值守管理驻守人员发现攻击地址和被攻击地址(或通过态势感知平台接入获取),登录系统查询后自动匹配所属单位、系统或PC,提交后X政钉工作群中相关人员,并登记形成值守记录,提交数管中心审核确认。522统计分析统计分析协助单位管理员查看本单位所有系统所有情况(整体情况和单台服务器情况可分别查看),包括当日实时情况,本周、本月、本年、历年来统计情况,发生过的安全漏洞、安全事件及整改情况(时间、来源、是否整改、整改措施等)。支持系统管理员实时查看安全漏洞或安全事件、交办情况、反馈情况。5.2.3系统管理基于X政钉用户体系的人员管理、组织管理、菜单管理、日志管
16、理、权限管理等功能。系统能够于办公OA实现单点登录、待办工作台实现单位数据互通。六、服务要求6.1项目进度要求合同签订生效后,中标方需在合同签订后3个月内完成系统开发、测试、部署上线工作,系统实现上线试运行;试运行1个月后,中标方可书面申请进行项目验收。(投标单位应提供项目进度计划表)。6.2项目团队人员要求人员配置应科学、合理、有效,应充分保证人员的数量和质量。项目实施全过程中,应有以下人员参与:拟派项目团队人员:具备与本项目相关NISP、NSATP,CNVD原创漏洞证明等资质证书,全部满足得6分。缺一项扣2分扣完为止。(需提供在本公司缴纳3个月份社保证明及有效期内证书复印件加盖投标单位公章
17、)6.2.1售后服务及培训要求6.2.2服务期限项目总工期4个月。合同签订后3个月内完成系统建设进行初验,初验通过后试运行1个月无问题后进行终验,终验通过后进入运维期,系统免费运维期为1年。1年运维期内有需要须及时对接,人员费用由供应商支付,包含在投标报价中。6. 2.3项目实施要求(1)质量管理:供应商一旦中标必须提交正式的质量控制计划,必须接受采购人的质量监督检查,无条件接受招标方提出的质量问题整改要求,承担质量责任及因质量问题导致的进度延迟责任。(2)进度控制:供应商在响应文件中应根据对项目的理解做出项目实施的初步计划,成为中标方后必须提交正式工作方案,明确招标项目工作的方式、方法、过程
18、步骤、按阶段分解的详细计划、对应计划应提交的工作成果、需要采购人协调与配合的事项,并经采购人审核、批准。(3)系统测试:采购人有权监督和管理投标项目的测试,以保证系统的处理速度和响应时间,测试和细化各种技术方案,选择最优化配置。(4)试运行:供应商必须接受并服从采购人的监督、管理要求,无条件提供中间过程工作成果。对在系统使用中发生的功能和性能问题及时反馈,及时进行整改。(5)系统验收:供应商在试运行期满合格后,可以按照预先提交用户并得到确认的验收方案安排对各个系统进行验收。(6)沟通协调:供应商必须在响应文件中阐述项目沟通计划,确保供应商与业主之间信息沟通顺畅。6.2.4项目管理要求供应商能够
19、按照项目的生命周期,运用软件工程管理理念,对项目的各个阶段进行规范化、精细化、一致化管理。(1)规范管理:供应商应充分考虑满足投标项目的建设要求,提出完整的项目管理、对整个项目的启动、计划、实施(软件工程实施及系统集成)、联调、试运行、验收交付等阶段进行管理,以保证整个项目高质量完成。(2)组织保障:供应商在响应文件中,应根据对项目的理解做出项目的人员配置管理计划,包括组织结构、项目负责人、组成人员及分工职责;阐述项目建设中业主方和建设方的职责。(3)变更管理:对于项目建设中的各种可能的变更情况进行有效管理,包括合同变更、业务变更、进度变更、人员变更,有明确的变更方法。(4)文档管理:在本项目
20、上,提供完整的软件安装、操作、使用、测试、控制和维护手册,以及应用软件定制开发部分的源代码。(5)配置管理:运用信息化手段对项目的管理文档、管理代码以及BUG进行跟踪与管理。(6)风险管理:找出潜在的问题以预防他们发生,在出现严重危害前,准备好修复计划。6.2.5项目培训要求供应商需承诺开展与系统相关的业务培训,并提供相应的培训材料,使一般业务操作员熟练有效的使用应用系统,系统管理人员能够掌握应用系统维护技能。供应商应该提供合理性、可行的培训方案,包括培训目标、规模、关键要素、内容、流程等内容,提供培训电子文档及教程,对项目实施内容及相关技术向采购人提供分批分次培训服务。包括系统操作培训和系统
21、日常维护培训。系统操作培训主要面向系统使用者。系统日常维护培训主要面向技术人员,使其具备独立进行系统日常维护的能力。6.2.6售后服务要求(1)客户服务:需具备客户服务体系,客户可以通过客户服务中心来解决问题。(2)维护方式:支持多种项目维护方式,包括热线、邮件、远程诊断、现场诊断等服务。(3)维护流程:支持多维护人员角色参与到维护流程的各个环节,包括日常预防性巡检以及应急故障处理流程。(4)维护制度:有完整的维护工作制度和规范,包括日常维护服务规范和维护工作制度等。供应商必须根据本次采购文件所制定的目标和范围,提出相应的售后服务方案,包括客户服务、维护方式、维护流程、维护制度等,并作为响应文
22、件的一部分提交。6. 2.7项目保密要求由于项目涉及XX信息化项目的数据安全、网络安全、数据开放等场景,因此项目所涉及的相关数据需要有严格的保密,供应商须与采购人签订保密协议,对涉及项目的服务人员进行安全背景审查和管控的。供应商须提供对本项目的保密承诺,保证对项目技术文件以及由采购人提供的所有数据、内部资料、技术文档和信息予以保密并签署保密协议。未经采购人书面许可,供应商不得将采购人提供的本项目数据、资料以及项目成果以任何形式向第三方透露或使用。本条款在项目完成或无论何种原因导致合同终止后依然有效。供应商违反上述保密约定,故意、过错或过失泄密的,除应立即采取措施停止泄密行为,减小泄密造成的损失。7. 2.8项目验收要求项目结束后,将由采购人按招标文件及合同要求进行验收。根据XX市政府采购履约验收暂行办法X财采监(2019)10号文,进行履约验收,验收合格报告作为项目支付的依据。初次验收费用由采购人支付。如初次验收未通过,再次验收费用由中标人支付(所产生的专家费需中标人另行支付)o各供应商需提供针对本项目的验收管理方案。8. 2.9第三方软件测评要求供应商需承诺邀请第三方测评机构对系统进行软件功能性能测评,并在项目初验后一个月内出具软件测评报告,费用包含在项目总费用内。
