XX县公共数据加密服务项目采购需求.docx

《XX县公共数据加密服务项目采购需求.docx》由会员分享，可在线阅读，更多相关《XX县公共数据加密服务项目采购需求.docx（10页珍藏版）》请在三一办公上搜索。

1、XX县公共数据加密服务项目采购需求一、服务目标针对XX县公共数据的安全业务要求，本运维项目将充分发挥国产密码技术在数据安全防护中的基础支撑作用，对标新法规、新政策、新技术标准还要求,升级县公共数据平台综合安全防护能力，确保平台高可靠性、高安全性、高效持续稳定运行。具体运维目标如下：1 .公共数据密态流转能力升级目标本项工作将专项针对XX县公共数据安全平台数据安全加密能力进行综合性加强，逐步完成L4（3715个字段）与L3（10700个字段）加密存储、加密处理，加密交换安全防护能力，加密功能影响原有业务应用运行的功能，性能衰减在可接受范围内，有效保障平台数据安全防泄漏的底线防护能力，防止公共数据

2、安全泄露风险。（1）以充分利旧为原则，完成公共数据密态流转统一管理能力服务，实现密钥协商管理机制、密态数据流转共享机制、数据安全审计机制实现跨域的数据安全统一管理能力，实现数据安全可视化管理能力。（2）实现县公共数据平台数据库公共数据中存量数据机密性和完整性安全加密。有效提升县公共数据平台数据存储安全，有效兼顾县公共数据平台数据库的业务应用，加密后不影响原业务功能。（3）实现县公共数据平台安全加密交换能力，完成基于数据交换工具、数据接口，文件导入导出等多种复杂场景的数据加密交换适配改造工作，实现数据落地即加密。（4）提供持续的安全加密运维能力，构建面向县公共数据平台的密态流转体系基座，加强公共

3、数据平台业务中重要核心数据的管控能力，提供覆盖数据收集，存储、处理、交换等多个环节基于国产密码技术的安全防护能力。1(5)针对数据分类分级的结果完成公共数据平台L4与L3技术存储、传输、交换等环节全流程密态防护能力，有效防止数据泄露风险，确保安全底线。(6)数据加密后业务应用功能不受到影响。性能衰减在可接受范围内，其中在线实施事务处理业务性能衰减不高于20%,大数据非实时密态数据处理能力造成的数据衰减不超5倍。2 .公共数据密态流转安全能力联动覆盖目标针对XX县公共数据平台与外部单位数据共融共享应用场景，实现密态共融共享流转联动机制，以县卫健重要单位为试点，辐射覆盖公共数据加密汇集、加密共享以

4、及加密处理能力，实现县域数据安全体系的整体能力提升。本运维项目以卫健局为试点，完成公共数据全生命周期密态流转能力，对标政务服务数据安全防护的国家标准，实现公共数据从数源单位到平台直接安全联动机制，确保数据共融共享安全。3 .安全能力基础运维目标确保XX县公共数据安全主控平台无故障运行率达到99%：通过全面巡检和维护工作，确保平台的稳定性和可靠性，保障XX县公共数据安全主控平台的故障率降低至最低水平。运维技术支撑需及时发现和解决潜在问题，确保平台能够持续地、无故障地运行.系统运维(故障修复)响应时间W2小时：当XX县公共数据安全主控平台出现故障或问题时，需将迅速响应并进行修复。确保在故障通知2小

5、时内采取相应的措施，启动应急预案，解决问题并恢复系统正常运行。4 .安全运维合规性改造目标配合完成各类安全检测期间的技术支撑工作：运维工作将积极配合各种安全检测活动，并提供必要的技术支持。相关技术支撑包含内部的安全审核，安全评估和渗透测试，并对相关用户指定第三方的安全检查提供技术支持。确保XX县重要业务系统符合密码应用要求，满足密码应用安全性评估要求。实现重要公共数据在平台内存储和传输过程中的机密性和完整性保护。该项内容2是密码安全性改造工作中最为痛点和难点的技术问题，该工作落地成功实施将密改工作应用与数据层避免高风险一票否决项,总体密码改造技术工作50%以上的工作量（总体密改工作还含机房改造

6、，制度建设等内容不在此项目工作内）。二、服务主要内容本项目根据XX县一体化智能化公共数据平台运行的现状以及数据安全需求，充分发挥国产密码技术在网络安全中的基础支撑能力，通过升级定制适配运维服务完成平台级的密态流转体系基座建设，加强数据全生命周期的安全防护能力。本运维项目以县卫健局为试点，延伸覆盖县公共数据平台数据安全防护能力,实现数据共融共享过程中重要业务数据、个人信息保护联动机制，有效提升县级数据安全防护系统体系化升级改造。主要服务内容如下:序号名称服务明细单位数量1加密安全策略管理支撑运维服务针对县公共数据平台提供统一的大数据加密管理配置模块，实现管理用户模块、加密策略配置，系统安全管理、

7、安全审计安全策略分发等安全功能的扩展与运维服务，为平台其它安全运维组件以及数据全流程密态流转软件提供密码应用技术能力支撑。项12基础密码服务接口适配运维服务充分利旧原则完成己建服务器密码机接口安全接入技术支撑服务，完成己有密码资源的接入能力。项I3公共数据平台密钥管理能力技术支撑运维服务为公共数据提供密钥安全管理能力，覆盖密钥生产，密钥安全存储，密钥配置，密钥备份，密钥恢复，密钥存档，密钥销毁等安全机制。为公共数据平台数据层提供密钥安全管理运维服务。项I4公共数据平台数据库加密产品满足信创要求的数据加密产品采购，产品提供数据库列加密机制，满足目前公共数据平台结构化数据加密场景，同时为后续信创迁

8、移提供加密能力支撑。项15数据安全可视化能力技术支撑运维服务密文数据流转提供数据安全可视化管理能力，实现重要数据加密可视化分布情况分析，传输情况分析，存储情况分析，共享情况分析，调用情况分析等。项16数据安全交换技术支撑运维服务实现面向数据交换工具（含dataX以及相关公共数据平台安全交换工具）的数据加密交换能力，实现基于ETL数据交换过程中的数据明文/密文、密文/密文的安全替换机制，确保数据交换过程中的密态流转能力。项I7接口应用安全技术支撑运维服务针对公共数据平台接口应用，提供安全适配组件，实现密文数据上的接口应用功能性适配，确保数据加密后，接口功能不受影响。项18业务库ClG加密实施与运

9、维服务针对业务库CIG应用场景，数据库加密实施，明文数据迁移，日常运维工作。项19数据安全流转套件技术支撑运维服务针对外部单位，实现数据密态流转能力覆盖，实现相关的密钥替换、明密文转换等安全功能。项I10市局卫士通基础密码密码服务平台接入技术支撑服务面向XX市局服务器密码机、密码基础服务提供适配接入服务。该服务支持根据用户需求实现数据库加密密钥以及基础加密算法外部接入能力，通过外部服务器密码机、密码基础服务提供密钥管理等相关功能。项1H身份鉴别安全加密改造服务对标密码安全性评估三级标准要求，采用国产密码技术，实现公共数据平台身份鉴别机制的安全防护保障，有效用户登录与身份鉴别过程中安全保障，防止

10、会话劫持，账号盗取登录等安全风唆。项112审计信息完整性安全加固改造技术服务对标密码安全性评估三级标准要求，采用国产密码技术，实现公共数据平台审计信息的完整性保护机制，防止审计信息的篡改和恶意删除，实现信息安全审计机制的安项I4全保障能力。13访问控制机制密码安全加密改造技术服务对标密码安全性评估三级标准要求，采用国产密码技术，实现公共数据平台访问控制信息的机密性和完整性保护机制，有效保护用户权限信息，防止非法篡改权限，防止非法提权操作，有效保障平台访问控制的安全机制。项I14重要业务程序完整性保护技术服务对标密码安全性评估三级标准要求，采用国产密码技术，实现公共数据平台重要业务系统完整性保护

11、机制，防止重要业务程序被非法篡改或注入恶意代码，有效保障平台程序的运行安全性。项115数据库引擎加密运维服务1 .提供可视化配置管理服务，用户可通过可视化交互界面配置待实施加密改造数据源、配置加解密字段、配置加密数据接入控制策略、查看字段加密状态、存量加密任务运行状态；2 .提供基于国产密码算法的数据库引擎透明加解密改造服务，可根据数据库实际应用需求改造数据库结构、增加密文检索函数，实现基于数据库数据加解密、密文检索、密文管理支撑；3 .提供数据库安全管理工具，可在不改变运维习惯和运维脚本的前提下，对加密后数据库正常进行运维。项116数据库加密应用适配与运维服务1 .提供数据库半透明加密安全插

12、件。应用系统使用安全插件后，无需代码改造即可接入加密数据库实现数据写入自动加密、读取自动解密。2 .提供应用系统接入安全适配。保障应用系统接入加密数据库后，程序功能运行正常。对运行异常功能提供自动化调试工具进行问题定位和适配。项117公共数据平台密码应用解决方案编写服务（安全安全咨询，公共数据平台密码应用解决方案编写，1个方案（对标等保三级系统个数及系统边界）项15咨询）18数据安全及密码安全培训服务（安全培训）完成本年度数据安全以及密码安全培训咨询服务，经费包含至软件运维费用中项I19数据加密驻场工程师（1名）数据加密驻场工程师在服务期期间配合运维实施工作项1三、技术要求技术指标指标要求平台

13、适配性商用密码计算能力升级方案需符合XX县大数据局实际建设情况，兼容平台架构，满足平台先有软硬件体系。密码应用解决方案编制方案遵循密码法要求，对标GB/T39786-2021信息安全技术信息系统密码应用基本要求等相关标准，进行制订。方案需使用经检测认证合格的商用密码产品或服务，使用的商用密码算法、技术应遵循密码相关国家标准和行业标准。密码应用方案内容方案需从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个层面采用的密码技术措施，面向目标系统的安全密钥管理方案，并包含有效的安全管理措施。密码计算接口适配性改造商用密码计算能力升级方案设计需以充分利旧原则，依托XX县大数据己建密

14、码服务资源，完成密码计算接口的适配性改造要求。商用密码算法要求改造服务需遵循密码相关国家标准和行业标准，采用国产商用密码算法，包含SMI、SM2、SM3、SM4等。支持设备管理接口技术要求密码计算接口需包含设备管理功能，至少包括打开设备、关闭设备、创建会话、关闭会话、获取设备信息等接口。支持非对称算法密码计算接口需包含非对称算法运算功能，至少包括外部公钥运算、内部公6运算接口技术要求钥运算、内部私钥运算、外部密钥验证、外部密钥签名、内部密钥验证、外部密钥公钥加密等接口。支持对称算法运算接口技术要求密码计算接口需包含对称算法运算功能，至少包括对称加密、对称解密、计算MAC等接口。支持杂凑算法运算

15、接口技术要求密码计算接口需包含杂凑运算功能，至少包括杂凑运算初始化、多包杂凑运算、杂凑运算结束等接口。支持文件处理接口技术要求密码计算接口需包含文件处理操作功能，至少包括创建文件、读取文件、写文件、删除文件等接口。应用数据传输加密保护要求应用数据传输加密保护：针对原有业务系统数据库应用前端访问通信加密。通道加密改造服务将提供自适应HTTPS解决方案，方案支持国密SM2SSL证书，可根据客户端浏览器的类型自动匹配SM2SSL证书和RSASSL证书建立HTTPS连接，支持单向认证和双向认证模式。结构化数据加密存储安全结构化数据加密存储安全：结构化数据的安全存储（数据库）支撑依托于省大数据统建的密码

16、服务平台，结合数据库加密产品实现，提供结构化数据的存储机密性与完整性保护。元数据安全保护功能提供数据库元数据信息的混淆保护功能，防止外部逆向分析攻击。该项功能可配置单独产品支持。数据库加密可视化提供可视化数据库加密配置管理，用户可通过可视化交互界面配置待实施加密改造数据源、配置加解密字段、配置加密数据接入控制策略、查看字段加密状态、存量加密任务运行状态。密文搜索技术能力支撑提供基于国产密码算法的数据库引擎透明加解密改造服务，可根据数据库实际应用需求改造数据库结构、增加密文检索函数，实现基于数据库数据加解密、密文检索支撑。数据运维信息动态编码防护支持对数据库项功能可配置单独产品支持。管理工具查看

17、信息的动态编码保护功能，信息在使用中采用非明文使用和传输，防止数据泄露风险。身份鉴别密码改身份鉴别密码改造要求：提供符合密评要求的身份鉴别机制，采用商用密码技术实现用户身份真实性，针对鉴别信息进行基于商用密码技术的完整性和7造要求机密性保护。访问控制信息完整性要求访问控制信息完整性要求：平台调用基础密码服务完成签名验签，对用户访问控制权限列表进行SM2数字签名，实现访问控制信息的完整性保护，保护访问控制权限列表不被篡改，防止非授权的访问。日志等重要信息的完整性口志等重要信息的完整性：业务系统调用HMAC服务，对日志等重要信息做杂凑运算，确保数据的完整性，保证数据不被篡改。重要业务程序完整性保护

18、对标密码安全性评估三级标准要求，采用国产密码技术，实现公共数据平台重要业务系统完整性保护机制，防止重要业务程序被非法篡改或注入恶意代码，有效保障平台程序的运行安全性。密钥格式非对称加密密钥格式符合国家商用密码行业标准GM()009-2012SM2密码算法使用规范要求密钥管理类接口能力密码管理接口至少包含导出签名公钥、导出加密公钥、产生密钥对并输出、生成会话密钥并用内部公钥加密输出、生成会话密钥并用外部公钥加密输出、导入会话密钥并用内部私钥解密、基于算法的数字信封转换、生成密钥协商参数并输出、计算会话密钥、产生协商数据并计算会话密钥、数字信封转换、生成会话密钥并用密钥加密密钥加密输出、导入会话密

19、钥并用密钥加密密钥解密、销毁会话密钥等随机数检测需具有随机数检测功能，检测能力符合GM/TOOO5-2O12随机性检测规范要求。随机数检测能力随机数检测能力至少包括比特频数检测、块内频数检测、扑克检测、重叠子序列检测、游程总数检测、游程分布检测、块内最大“1”游程检测、二元推导检测、自相关检测、矩阵秩检测、累加和检测、近似燃检测、线性复杂度检测、MaUrer通用统计检测、离散傅立叶检测数据安全可视化能力技术支撑密文数据流转提供数据安全可视化管理能力，实现重要数据加密可视化分布情况分析，传输情况分析，存储情况分析，共享情况分析，调用情况分析等。数据安全交换技术支撑实现面向数据交换工具(含data

20、X以及相关公共数据平台安全交换工具)的数据加密交换能力，实现基于ETL数据交换过程中的数据明文/密文、密文/8密文的安全替换机制，确保数据交换过程中的密态流转能力。接口应用安全技术支撑针对公共数据平台接口应用，提供安全适配组件，实现密文数据上的接口应用功能性适配，确保数据加密后，接口功能不受影响。业务库CIG加密实施与运维技术要求针对业务库CIG应用场景，数据库加密实施，明文数据迁移，日常运维工作其它技术要求结合应用系统现状，分析安全风险点，对标GB/T39786-2021信息安全技术信息系统密码应用基本要求等相关标准，实现其他密码应用改造功能。四、服务保障要求1 .服务期：3年；2 .服务保

21、密要求为确保本次项目维护工作的保密性，需在签订合同后10天内无条件与业务单位签订保密协议。3 .信息安全保障为严格把控运维人员安全风险及系统安全风险，运维单位需要每月对系统进行安全监测和巡检并出具安全巡检报告，及时修赁系统存在的各类安全漏洞。在政府重要活动、会议召开期间运维单位需要对系统进行7*24小时严密监控，一旦发现问题,将在及时采取应急方案，关停或恢复正常服务,尽可能的消除影响。4 .服务期内故障应急措施当发生重大故障时，认真进行故障分析判定等准备工作，驻场运维人员10分钟之内做出响应，若驻场人员不在场需在30分钟内赶赴现场提供现场服务。5 .服务响应时间在运行过程中若发现系统的技术缺陷运维单位将安排技术人员在第一时间进行修改。9如果系统故障在规定时间内仍无法排除，需要在随后的24小时内提供不低于故障产品规格型号档次的备用产品代替使用或采取应急措施解决，直至故障产品修复，确保系统的正常使用。10