XX市XX局信息系统密码安全服务项目采购需求.docx

XX市XX局信息系统密码安全服务项目采购需求一、项目概况根据商用密码应用安全性评估管理办法规定，应对重要网络信息系统开展商用密码应用安全性评估工作，对商用密码应用的合规性、正确性、有效性进行准确评估分析。开展密码应用安全性评估工作是完善信息系统密码应用安全防护能力的一个重要环节，也是信息系统密码应用安全建设和管理的重要组成部分。通过测评可以发现信息系统密码应用的安全现状与需要达到的安全等级或目标的差异，进行全面有效的密码应用安全整改建设，使系统密码应用在技术和管理方面有针对性的加强和完善，以确保网络和信息系统的安全。本次XX市XX局信息系统商用密码应用安全性建设工作具体包括采购部署密码安全设备或服务、完成相关信息系统的国密适配改造，开展商用密码系统整体集成和风险检测，委托密评机构开展商用密码应用安全性评估并出具密评报告。二、服务内容要求及范围2.1 商用密码应用安全性评估根据GB/T39786-2021信息安全技术信息系统密码应用基本要求国家标准，由商用密码应用安全性评估机构对各信息系统所涉及的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理及安全管理等方面进行测评，出具符合密码管理部门要求的密码应用安全性评估报告，并协助完成备案。2.1.1 评估范围本次密评对象为XX市XX局等保三级信息系统及部分二级信息系统，数量不多于10个，具体系统由业主方确定。2.1. 2依据标准供应商应依据国家或行业相关标准开展密评工作，依据标准包括但不限于:（1） GM/T39786-2021：信息安全技术信息系统密码应用基本要求（2） GM/T0115-2021：信息系统密码应用测评要求（3） GM/T0116-2021：信息系统密码应用测评过程指南（4）信息系统密码应用高风险判定指引（2021版）（中国密码学会）（5）商用密码应用安全性评估量化评估规则（2021版）（中国密码学会）2. 1.3评估内容根据各信息系统的保护等级，并依据信息系统密码应用基本要求中条款要求，全面分析应用系统的安全保护措施与密码应用基本要求相应级别之间的差距，进行合规性分析，出具密码应用安全性评估报告及整改建议书，并为系统密码应用加固整改提供技术支持。密评内容应包括技术测评与管理测评2部分，共8个层面：（1）物理和环境安全：采用密码技术进行物理访问身份鉴别，保证重要区域进入人员身份的真实性。（2）网络和通信安全：采用密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性。（3）设备和计算安全：采用密码技术对登录设备的用户进行身份鉴别，保证用户身份的真实性。（4）应用和数据安全：采用密码技术对登录用户进行身份鉴别，保证应用系统用户身份的真实性。（5）管理制度：具备密码应用安全管理制度，包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度。（6）人员管理：相关人员了解并遵守密码相关法律法规、密码应用安全管理制度。（7）建设运行：依据密码相关标准和密码应用需求，制定密码应用方案。（8）应急处置：制定密码应用应急策略，做好应急资源准备，当密码应用安全事件发生时，按照应急处置措施结合实际情况及时处置。2.1.4评估原则本次评估实施应满足以下原则:(1)保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人的行为，否则采购人有权追究投标供应商的责任；(2)标准性原则：测评方案的设计与实施应依据国家相关标准进行；(3)规范性原则：投标供应商的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；(4)可控性原则：测评服务的进度要跟上进度表的安排，保证采购人对于测评工作的可控性；(5)整体性原则：测评的范围和内容应当整体全面，包括国家相关要求涉及的各个层面；(6)最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。2.1.5服务成果(1)商用密码应用安全性评估整改建议书；(2)商用密码应用安全性评估报告；(3)业务系统密码安全服务总结报告。2. 2采购密码安全产品及服务基于符合国密标准的密码安全产品提供密码服务，服务期一年。3. 2.1服务器密码机服务基于符合国密标准GM/T0030-2014服务器密码机技术规范、安全等级为二级的服务器密码机产品提供基础密码服务，技术指标应满足：(1)密钥管理功能：提供密钥的产生、安装、存储、使用、销毁以及备份和恢复功能，至少支持三层密钥结构。(2)数据加解密功能：提供数据加解密以及密钥安全管理功能，确保数据加密算法及密钥的安全性,对外提供通用密码服务接口，接口标准符合GM/T0018密码设备应用接口规范。(3)密码算法支持：支持国密SM2、SM3>SM4算法。2.2.2国密SS1.VPN网关服务基于符合国密标准GM/T0025SS1.VPN网关产品规范、安全等级为二级的SS1.VPN产品提供加密安全通信通道服务。2.2.3数据库加密服务基于符合国密标准GM/T0028密码模块安全技术要求、安全等级为二级的数据库加密系统，提供数据库安全加解密服务。支持国密SM2、SM3>SM4算法；支持对RDS.Oracle.MySQ1.多种数据库类型的加密；支持对CHAR,VARCHAR,NUMBER,DATE等多种常用数据类型加密。支持对数据库实例提供加密服务。2.2.4国密服务器SS1.证书采用国密算法的单域名服务器SS1.证书，支持SM2和RSA双证书模式，支持SM2证书+国密套件或RSA证书+国际标准套件进行HTTPSSS1.加密通信，可根据用户使用的不同浏览器自适应选择加密套件和加密证书。2.2.5个人CA证书100张个人CA证书，证书符合国密局标准GM/T0015基于SM2密码算法的数字证书格式规范，证书存储介质符合国密局标准GM/T0027智能密码钥匙技术规范。2.3信息系统密码应用安全性改造针对业主方指定的信息系统，依据GB/T39786-2021信息安全技术信息系统密码应用基本要求，定制开发密码应用中间件、改造应用系统，达到通过密评的要求。信息系统的密码安全改造应贯穿业务始终，即从传输链路、身份鉴别、数据加密、电子签名、数据完整性保护等方方面面。在用户在与服务端之间通信时.，通过安全网关建立加密通道、数据进行存储时以密文的形式存储、对访问控制策略信息进行HMAC运算和校验、对用户操作行为使用用户的证书进行签名/服务端发出的数据可以由应用系统自身的数字证书进行签名等，充分保证应用系统的使用安全。对系统应用访问控制信息进行完整性保护、对敏感业务数据及个人隐私信息进行通信及存储机密性保护，对敏感业务数据、个人隐私信息和系统配置信息、日志信息进行存储完整性保护。2.4开展商用密码系统集成整合和风险检测2.4.1商用密码系统安全集成整合(1)网络安全规划及改造,根据密码应用安全要求完成网络整体安全规划、并根据规划开展适配改造；(2)根据密评建议、密码应用方案、以及密码产品，结合网络实际情况，对涉及的信息系统进行集成整合实施；(3)根据采购人原有系统情况，对新老信息系统安全集成部署进行重新规划，整合集成实施各种密码设备，与现有安全设备实现统一调度结合，确保资源利用率最大化和资源安全，实施过程中，必须确保原有系统完好，保证数据不受损坏，集成实施开始与结束时间必须完全遵守用户要求，最小化业务中断时间；(4)进行信息系统密码应用安全性改造，在应用安全改造过程中，协助针对操作系统、服务器、网络设备、安全设备进行各种密码安全加固。(5)密码安全态势日志统一归集与分析，将在集成实施过程中密码设备的各种安全日志进行统一归集分析，提供安全态势日志采集工具。2.4.2商用密码系统风险检测及服务(1)云主机威胁检测响应平台服务通过探针对云主机所有数据进行采集，引入各类安全产品安全日志，通过云端统一管理平台进行统一采集分析，持续化监控和分析资产安全态势，构建威胁图谱，自动处置各类安全事件。(2)高级威胁检测与狩猎服务投标方须通过部署高级威胁诱捕工具提供高级威胁检测和狩猎服务，为采购方虚拟出完全的高交互欺骗环境，让攻击者无法看到真实网络环境，消耗攻击者的时间和精力，增强采购方威胁精准检测和溯源能力，发现采购方网络安全风险与隐患，并协助进行安全加固。(3)漏洞扫描渗透测试及安全托管服务针对采购方授权服务器主机、业务系统、应用系统进行定期漏洞扫描，及时发现最新的安全漏洞，使采购方的日常运维工作变被动为主动，提高全网系统安全性，并出具详细的漏洞扫描报告及建议。通过模拟进行非破坏性和攻击性的的黑客攻击的方式，采用自动化测试与人工测试相结合的方式，利用系统的弱点和缺陷来评估采购方应用系统运行现状,从而发现漏洞和潜在的安全威胁隐患，保证应用系统的安全性。为采购人提供远程安全托管平台，由安全专家提供7*24h安全运营服务，通过远程托管方式为采购人提供专业的安全服务和安全专家资源，发现潜在威胁,提供威胁分析手段和能力，补齐采购人安全运营的技术短板。三、项目承诺3.1 中标供应商应满足采购人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则，做到守时、保质。3.2 保密性要求：中标供应商必须和采购人签订保密协议和非侵害性协议，投标供应商必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议，在合同签订时一并提供给采购人。3.3 中标供应商具体测评工作和测评报告的编写，必须在采购人的指定地点进行。对于测评中的重要资料和结果，在测评期间和测评结束后，投标供应商不得带离该地点。3.4 中标供应商对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任，不得泄露给任何第三方。无论投标供应商中标与否，其对上述内容的保密责任将长期存在。3.5 测评的品质保证：中标供应商应承诺指派工作经验丰富、技术实力雄厚的安全顾问，结合技术领先、结论可靠的测评工具为客户做全面测评。承诺测评过程按照国家标准进行，并保证对客户的资料严格保密。四、项目实施要求4.1 实施单位要求4.1.1 具备较高的技术服务能力，投标人或投标联合体中负责密评的成员具备商用密码应用安全性评估资质，有商用密码应用安全性评估项目的实施经验,工作业绩成果优秀；4. 1.2具有较高的管理能力和竞争力；4.1 .3具备开展工作所需的专业设备；4.2 实施团队要求4.2.1 项目负责人承担类似项目负责人经历，具备较强的专业能力，经验丰富。4. 2.2项目组成员：人员充足、技术力量强、专业涵盖项目实施所需、具备较高的专业素质。项目团队能根据采购人的需要进行及时的工作沟通。五、其他服务要求5.1对项目背景、现状、目标、任务、内容进行全面理解分析，拟定科学的研究技术路线，分析研究重点、难点并提出解决对策和建议。提供优质的质量保证服务及后期服务。5. 2工作计划安排科学合理。5. 3根据采购需求及评分标准制定相应的科学、合理、规范和可操作投标方案。5. 4合同服务期限届满的，若在服务期限届满后采购人仍未确定下一个服务期限的服务提供方的，则原供应商应采购人的要求继续提供本项目约定的服务,直至采购人确定下一个服务期限的服务提供方，费用协商解决。六、商务要求6.1实施期限:20XX年。6.2实施的地点：采购单位制定地点6.3付款条件（进度和方式）序号付款比例（）付款方式150%合同签订后5个工作日内230%9月底前，项目实施完成80%以上320%12月15日前，提交项目成果，通过验收后6.4履约保证金：合同签订后，中标人向采购人交纳中标金额1%的履约保证金。6. 5履约验收：7. 5.1验收时间:20XX年12月15日前6.5.2验收依据：根据中华人民共和国政府采购法、中华人民共和国民法典、中华人民共和国政府采购法实施条例、财政部财政部关于进一步加强政府采购需求和履约验收管理的指导意见(财库2016205号)、XX市财政局XX市政府采购履约验收暂行办法(X财采监201910号)等相关法律、法规、规范性文件要求组织验收。采购人或委托代理机构按照采购合同规定的技术、服务、安全标准以及中标人的投标文件、本项目文件等要求，组织对供应商履约情况的进行验收。6.5.3验收程序(1)中标人提出验收申请；(2)项目验收负责人会同本项目监理(若有)，组织验收工作。(3)验收小组应当按照验收方案独立开展验收，对乙方提供的服务按照采购文件、投标文件、项目合同及验收标准进行验收，并做好验收记录；在验收过程中，验收小组成员不得擅自公开验收信息；验收小组可以对验收方案进行必要的修改，验收小组对验收方案作出实质性修改的，应当报经甲方同意。(4)验收方成员应当在验收书上签字，并承担相应的法律责任。如果发现与合同中要求不符，供应商须承担由此发生的一切损失和费用，并接受相应的处理。(5)验收合格的项目，招标人将根据采购合同的约定及时向供应商支付采购资金、退还履约保证金。验收不合格的项目，招标人将依法及时处理。采购合同的履行、违约责任和解决争议的方式等适用中华人民共和国民法典。供应商在履约过程中有政府采购法律法规规定的违法违规情形的，招标人应当及时报告本级财政部门。（6）初次验收费用由甲方支付。如初次验收未通过，后续验收费用由乙方支付。6.5.4验收标准：达到采购人对数据质量的要求。6.6合同条款：详见招标文件第五部分。6.7其他6.7.1知识产权保护供应商应保证提供服务过程中不会侵犯任何第三方的知识产权，避免发生纠纷。本项目的成果知识产权归采购人所有,未经采购人书面同意，供应商无权继续使用项目成果用于其他用途，更无权转让或许可他人使用。