XX省XX厅数据安全建设项目项目技术及服务要求.docx

《XX省XX厅数据安全建设项目项目技术及服务要求.docx》由会员分享，可在线阅读，更多相关《XX省XX厅数据安全建设项目项目技术及服务要求.docx（26页珍藏版）》请在课桌文档上搜索。

1、XX省XX厅数据安全建设项目项目技术及服务要求一、项目概况（一）项目背景2022年3月，XX省公共数据条例正式施行，要求对数据分类分级保护，采取数据加密、数据脱敏、数据溯源等技术措施，提高数据安全保障能力。为此，省大数据局后续印发了一体化智能化公共数据平台省级部门综合评价指标、电子政务外网安全评估指标，将各厅局的数据安全技术防护能力建设情况纳入考核。同时，省委省政府多次对商用密码工作进行了部署，印发了XX省密码应用与创新发展实施方案，对省XX厅提出了相应商用密码应用的工作要求。2022年8月，XX省密码管理局明确了省XX厅为生态环境领域商用密码应用监管工作的试点单位，要求在本单位商用密码应用系

2、统基础上，建设部门（行业）密码应用监管子系统，实现对部门（行业）商用密码应用的监管；要求与省密码管理局商用密码应用监管平台进行集成，实现监管数据互通。XX省XX厅作为数字化改革“数字政府系统”中重点任务“打造生态文明”的牵头单位，面临着数据安全能力不足、不满足相关考核要求的情况，为加强生态环境数字化改革安全底座，顺应新形势下数据安全要求，需要开展数据安全建设工作，以防范化解数据安全风险，保障数字化改革稳步推进。（二）建设目标通过本次省XX厅数据安全建设项目的建设，为省XX厅构建基础数据安全能力，初步满足省大数据局相关数据安全考核要求及对电子政务外网线路升级后安全要求，满足省密码管理局对密码应用

3、监管相关要求。（三）建设内容一是建设一套数据安全平台软件：基于数据安全分类分级管理，通过数据采集对接等方式，提供敏感数据识别、数据脱敏、数据水印溯源、数据安全态势感知、数据使用侧监管等数据安全服务能力。二是采购一套云主机安全平台软件：通过我厅政务云业务虚拟机上业务流量和行为进行监控，通过与原省厅网络安全态势感知平台的对接，为政务云主机和本地主机提供统一的资产可视化和脆弱性风险管理能力。三是采购一套代码审计系统软件：在应用系统开发阶段，从应用功能设计、技术架构、业务架构、运行架构进行威胁评估，并输出应用威胁分析报告和优化建议。四是开发一套商用密码应用监管子系统软件：基于省厅原商用密码服务平台,建

4、设商用密码应用监管子系统，完成与省密码管理局的监管对接，实现密码应用合规性监管;完成与公安、大数据局等厅局的密码体系互通,解决关键数据交换、共享的真实性、完整性、不可抵赖性；完成全省生态环境商用密码应用数据驾驶舱的建设。五是采购一台硬件安全设备：具有访问控制、日志审计等功能，以满足省电子政务外网升级改造后网络安全相关需要。二、采购标的汇总表包号序号标的名称计量单位数量11XX省XX厅数据安全建设项目1套三、技术要求(一)部署环境要求该项目中软件系统依托XX省电子政务云平台运行，使用政务云相关ECS、RDS、SLB.OSS及其它资源及环境，采用政务云/信创云统一的架构设计，主体网络使用政务外网，

5、系统设计开发部署需满足政务云平台相关要求。根据相关信创要求，系统应满足省厅信创电脑及非信创电脑的访问使用需求。（二）信息安全要求（1）根据XX省信息技术服务外包网络安全管理办法相关要求，投标方应全面落实网络安全法等法规标准，加强对拟派本项目团队的人员管理，进行安全背景审查，与其签署保密等协议;建立健全拟派本项目团队的人员离职（调离）管理制度，做好工作交接，签订离岗保密协议；定期开展网络安全知识、职业道德、保密和法律法规等方面培训，强化警示教育，不断增强本项目团队的人员职业操守和法律观念；接到人员异常或违规行为通报后，要及时开展内部行为惩戒，实行解除聘任合同、取消技术资质等惩戒措施，并将惩戒结果

6、第一时间向招标方和相关行业协会报告。（2）软件系统部署在XX省电子政务云平台，依托省政府统筹建设的数字化基础设施，包括基础网络、网络服务、存储服务、数据库服务、安全服务、容灾服务、异地备份服务、物理感知等，配合做好安全策略部署（域名防护、病毒防护、非法链接、SQL注入、跨站攻击等），定期开展信息安全巡查，强化日常安全监测，重要会议或活动保障信息安全。（3）软件系统开发类建设应按照信息系统安全等级保护基本要求（GB/T22239-2019）中的相关安全要求并实现相应安全功能，开发完毕后须配合第三方安全评测单位对系统本身的安全性进行核查并需通过，如不通过需按要求进行整改。核查内容如下（以等保测评公

7、司具体要求为准）：核查类别核查内容核查项目核查方法系统信息基本信息系统名称/版本查验系统登录界面/项目合同/软件开发文档中的系统名称，并和用户确认软件开发商软件开发商名称安全审计应用系统在安全审计方面应包括认出、记录、存储和分析哪些与安全安全审计策略查验系统对用户的哪些关键操作操作行为（如用户登录、数据修改、删除等）进行了审计审计事件和用户的关联查验审计日志能和用户的什么主体身份（如用户名等）相关联审计内容查验审计日志记录了用户操作行为的核查类别核查内容核查项目核查方法相关活动有关的信息。哪些关键信息（如日期、用户名、事件、结果等）安全审计授权系统设定了哪些特定人员（如审计员）具有审计日志的查

8、阅权限。日志的可阅读性确定审计日志是否易读懂，且表示清晰；审计事件查询查验审计日志能根据哪些字段（如功能模块，员工，操作类型、关键字）等进行筛选查询；审计事件排序查验系统能基于哪些字段对审计事件进行分类排序审计事件安全存储分析系统日志保护措施：是否允许相关人员随意删除日志、是否设定了数据备份措施，是否能在日志存贮空间满溢前提出告警，并在满溢时提供合理的日志覆盖机制。用户数据保护应用系统在用户数据保护方面应包括保护用户数据相关的系统安全功能策略和安全功能要求。访问控制策略结构查验系统是否具备明确且详细的访问控制策略，确定访问控制策略的基本结构访问控制策略合理性查验系统内各类用户的操作权限是否设置

9、合理访问控制功能查验系统是否访问控制策略实现了访问控制功能，即确定用户的权限是否和管理员设置的权限相一致数据真实性查验系统是否采用数字签名等机制以保护重要数据存贮的真实性数据完整性查验系统是否采用了散列值等方法以保护重要数据在传输/存贮中的完整核查类别核查内容核查项目核查方法性标识与鉴别应用系统应通过标识和鉴别机制确保用户与正确的安全属性（如：身份、组、角色、安全级或完整性类）相关联。用户标识查验用户登录系统时，所需提供的唯一标识；用户鉴别确定系统通过何种方式（如口令、证书或两者结合）鉴别用户，验证系统是否能正确地鉴别用户。超时退出机制验证系统在一定时间（如5分钟）内不做任何操作，是否自动退出

10、系统登录提示查验系统在鉴别失败（用户名错及密码错）和鉴别成功时的提示消息鉴别失败限制验证系统是否实现了鉴别失败次数的最大限制值，是否提供帐户锁定功能用户属性验证系统用户能维护修改本身的哪些安全属性（用户号、口令等）；秘密的规范验证系统对用户在设置口令口令强度上的要求。系统访问应用系统应对用户的访问行为进行记录，并控制访问的并发量，具体包括：会话并发限制查看系统设计文档，确定系统是否允许在同一台计算机或多台计算机上使用同一帐户登录系统；访问历史验证系统在用户成功登录系统后，是否向用户提示上次登录的会话信息。密码支持系统所采用的密码技术或密码产品必须符合国家密码主管密码算法查看系统设计文档，确定系

11、统何种采用的密码算法及版本密码算法的国家许可查看系统相关文档，确定国家相关许可文件的文号。核查类别核查内容核查项目核查方法部门的相关要求。个人信息保护应仅采集和保存业务必需的用户个人信息；应禁止未授权访问和非法使用用户个人信息。用户个人信息的采集保存检查是否最小化收集用户个人信息，检查应用是否对收集、使用的个人信息的目的、方式、用途进行说明用户个人信息的使用检查是否对已经收集的个人敏感信息做加密存储以及传输过程中的加密处理，检查用户个人信息的展示是否进行脱敏资源利用系统确保当重要设备发生局部故障时，主要安全功能可正常运行。安全功能的容错性。验证系统在部分设备及环境发生故障（如服务器故障、网络阻

12、塞等）时，重要安全功能是否可被绕开或失去作用。安全管理系统应设置各种不同安全角色，建立用户和角色的关联，并设置各种角色的安全属性及属性到期机制。安全角色验证系统是否可维护不同角色（系统管理员、系统安全员、系统审计员、各模块系统操作员、一般操作人员等），并把用户和角色关联起来。安全属性管理验证系统特定用户（系统管理员、安全管理员等）是否具备对系统全局属性进行查询、修改、删除及默认值修改的能力。安全属性默认值验证系统安全属性中关于允许或限制规定的默认值是适当的安全属性到期验证系统是否具备对操作人员的安全属性（如口令、证书等）设置有效期，核查类别核查内容核查项目核查方法并在超过指定的有效期后对其采取

13、适当行动的功能，并实现了合理的配置。（4）商用密码应用监管系统基于省厅原商用密码服务平台进行开发建设部署，开发完毕后须配合第三方密码评测单位对系统本身的安全性进行核查并按需进行整改。若数据安全平台也需要进行密码评测，则同样按上述要求执行。（5）项目中软件系统上线前应通过第三方的软件测评及软件代码安全检测,并提供软件测评报告及软件代码安全检测报告，费用包含在本项目中。（6）项目建设部署中如使用第三方软件（如中间件、Web应用服务器等）,在开发过程中需使用该第三方软件的最新版本进行开发部署并安装最新补丁（双方另行商定的除外），以确保应用系统整体安全性。（7）项目建设验收后，在质保期内，中标方至少每

14、半年进行一次安全检查（包括应用软件和使用的第三方软件），对应用软件本身发现的BUG进行修补升级，对第三方软件己公布的安全漏洞实施升级等安全措施。（三）软件系统使用要求（1）操作简单：操作人员对照简单的使用说明书就可操作，或者略经培训就可方便操作；（2）功能完善：系统能够完成要求的所有功能操作，满足省大数据局及省密码管理局对省厅的相关考核及要求。（3）响应迅速：系统具有良好的运行速度，有较高的数据承载能力。主要页面响应（打开）速度W3秒，一般查询速度W2秒（网络延迟等外部原因除外）。四、详细采购内容（一）数据安全平台1套内容技术规格要求内容技术规格耍求运行环境要求服务器支持信创云部署、政务云部署

15、、硬件旁路部署、虚拟化部署、docker化部署，服务器支持集群横向扩展。云主机端提供云主机安全插件，对云主机内部的东西向流量进行抓取，支持双向流量审计，可对请求和响应内容进行审计支持通过数据隐藏、关键字替换、正则表达式、Java编程的方式自定义脱敏算法，满足多种场景需求。支持对脱敏任务前置、后置处理，支持JaVa、shell语言编译。脱敏结果对比模块：查看脱敏前后的结果对比，显示不同表的不同字段脱敏前后的数据。支持自定义、图形化操作的脱敏规则和脱敏方式，支持UNICODE标准、GBK、UTF-8等字符编码。支持动态脱敏和静态脱敏，支持数据库到数据库（数据脱敏过程敏感信息不落地）、数据库到文件、

16、文件到文件、文件到数据库、同库脱敏等多种方式。数据水印溯源支持APl接口水印，支持对返回数据json内容中增加水印的功能，支持通过直接粘贴数据内容的方式进行AIP水印溯源。支持数据库水印，支持以数据单列、多列、单列多行、列顺序等方式添加水印，支持通过上传需要溯源的txt文本文件或直接粘贴原始数据的方式进行数据库水印溯源。支持用隐秘的手段将版权说明、用户身份等水印信息嵌入到数据中。使用侧监管支持对所有采集上来的使用日志自动进行范式内容技术规格要求化处理，将各种类型的日志格式转换成统一的格式。支持自动梳理形成API列表功能。支持自动对APl进行分类分级管理，内置的APl级别至少包括高敏感、中敏感、

17、低敏感、非敏感，支持自定义等级。支持对API接口敏感数据事件进行审计，审计内容至少包括：时间、IP、接口、账号、敏感数据内容。支持从人员活跃度、人员风险度、账号风险度、访问关系、相关告警等展现人员风险。当监控到重大风险隐患，通过平台告警、邮件等多种方式及时将情况通报下发处置。支持对日志流中的日志数据进行关键词统计，通过设置告警规则，监控日志中的关键词。态势感知提供数据安全态势感知服务的可视化技术。支持建立敏感数据分布态势，包括全面呈现当前数据资产分布情况、设备运行情况等。支持建立敏感数据安全态势感知，包括敏感接口访问、敏感人员行为态势、数据安全总体态势能力等。支持数据安全运营态势，包括安全策略

18、展示、数据安全事件集中展示等。支持业务建模，提供平台支持业务场景安全模型的自定义和导入能力。数据资产管理支持对网络资产、数据资产、应用管理与人员账号的管理。支持对数据安全进行分级与风险评估，支持依据内容技术规格耍求数据分级分类标准，将资产、数据及敏感数据等，进行分类分级并展示结果。支持对数据库和文件进行梳理。支持数据资产梳理模块和数据脱敏、用户侧管控等模块打通，完善针对分类分级后的技术管控。支持对梳理清晰的数据资产信息进行统一的维护和管理。支持对当前平台纳入管控的数据资产进行统计。项目管理支持项目的全生命周期管理，包括项目当前进度、状态等信息查询。支持项目信息的导入和导出。其他要求数据采集对接

19、要求通过在政务云部署网络日志转换分析探针，收集相应数据。通过在政务云部署数据库安全日志转换分析探针或对接数据权限管控系统数据，收集相应数据日志。支持敏感数据识别对接：对接政务云上的敏感数据保护服务能力结果或提供该能力。支持密码管理平台对接：对接省厅商用密码应用服务平台，获取相关数据加密情况的数据，便于在平台上分析展示。预留与闭环管理系统对接接口：实现数据安全管理平台作为闭环管理系统的二级平台进行管控和展示。规则模型要求建立告警规则体系，识别和发现一些恶意攻击和潜在的风险问题，达到提前预警的能力；规则生效后，提升数据安全监测针对性，从自动规则生成的大量无用告警中解放人力。内容技术规格耍求合规要求

20、加强个人信息保护、重要数据保护数据共享的合规建设，归纳安全合规以及相关安全标准，编制安全策略，形成知识库。同时结合知识库的内容，提供常规的安全检查工作，全面提升安全合规能力。（二）云主机安全平台1套内容技术要求运行环境要求服务器支持信创云部署、政务云部署、硬件旁路部署、虚拟化部署、docker化部署，服务器支持集群横向扩展。云主机端提供云主机安全插件，对云主机内部的东西向流量进行抓取，支持双向流量审计，可对请求和响应内容进行审计。支持IPv4和IPv6网络环境下的部署，可同时对IPv4和IPv6网络流量分析检测。支持风险数据包保存功能，可存留会话的请求和相应数据包，帮助用户还原攻击过程，进行取

21、证和关联分析；并支持系统内置工具一键在线预览风险数据包。支持数据包去重功能,在原始流量存在重复包的情况下能够自动剔除重复的数据包，确保分析结果的准确性，数据包去重功能不影响设备的处理性能。支持解析HTTP、FTP、SMTP、PoP3、SMB、IMAPDNS、HTTPS、SMTPSP0P3S、IMAPSRDIUSKRB5、SNMP、NETFLOWV9、TFTP、NNTP等协议报文。支持检测WEB攻击、恶意文件攻击、远程控制、WEB后门访问、TyEB行为分析、DGA域名请求、SMB远程溢出攻击、弱口令、拒绝服务攻击、隧道通信、暴力破解、挖矿、扫描行为、漏洞利用、邮件社工攻击、ARP内容技术要求欺骗

22、、密码明文形式传输等行为。支持对HTTP、IMAP、SMTP、POP3、Redis、TelnetFTP、PostgreSQLMQTT、DMDBGBASEKlNGBASE等协议的弱口令检测。支持自定义弱口令规则配置，自定义新增弱密码及其检测类型。支持对HTTP协议请求头中用户认证弱口令、对JSON格式（逗号分割和冒号区分键值）的用户信息提取和弱口令、明文口令和MD5加密口令碰撞的弱口令、BASE64加密口令的弱口令等进行检测。支持自定义HTTP登录行为关键字,包括用户名和密码,支持自定义HTTP登录行为的用户名获取来源，包括但不限于请求头、URL、CookiePOST-body；支持自定义配置状

23、态码、返回内容与登录成功/失败状态的绑定关系。持HTTP、SMB.SMTP、IMAPPOP3、FTP、TELNETRADMINSSHRDP、0RACLEMSSQL、SYBASEMYSQLDB2、PostgreSQLLDAPMQTT、DMDBGBASEKINGBASEOSCARRLOGIN.VNCWEBMAIL、REDISMONGODB.AFP、TlDB、RSYNC等协议的暴力破解，能识别出登录次数、账户信息、爆破成功与否的攻击状态。支持自定义启用/禁用暴力破解模型；并支持自定义配置模型统计周期、登录次数、聚合维度、检测机制等参数。支持UDPFLO0D、DNSFLO0D、NTPFLOODsCha

24、rgenFLOODsSNMPFLOODSSDPFLOODsMemcachedFLOODSYNFLoOD、RSTFLoOD、FINFLOOD、ACKFLOODHTTPFLOOD、ICMPFLOODSEANET_FLOOD检测,支持自定义启用/禁用拒绝服务攻击模型；并支持自定义配置模型统计周期、单包长度阈值、统计周期内包数量阈值等参数。支持UDP端口过滤配置，可配置指定端口的网络流量过滤，或指定端口的网络流量采集。支持对流量大小进行监控，接入流量超过物理网络带宽上限时报警，支持对流量中的数据包、会话连接、重传包、网络报文等状态进行检测，可对业务网络流量传输异常告警，支持异常行为模型，可对流量中的各

25、内容技术要求类数据包进行统计，并通过图表形式展示，便于用户分析网络流量健康状态，支持的数据包类型不少于5种。集中管控端提供对云主机安全插件的集中管控与分析能力。支持详细展现风险等级、时间、威胁名称、攻击状态、攻击方向、客户端IP、客户端IP所在地理位置、服务端IP、服务端IP所在地理位置、端口、报文、操作等信息，包含请求URL、请求类型、请求内容、请求头、Host、User-AgentAccept、Accept-LanguageAccept-EncodingAccept-CharsetKeep-AliveConnectionCookie、请求参数、响应码、返回长度、ATT&CK矩阵等信息。支持

26、从多个维度统计风险告警数量，包括但不限于告警类型、客户端IP、服务端IP、威胁情报、告警规则ID,支持导出excel表格，帮助用户进行告警研判。支持对云主机进行主机威胁分析,详细展示具体的威胁等级、威胁次数、攻击开始时间、攻击结束时间、威胁性指数统计等。可按攻击链阶段（弱点探测、渗透入侵、获取权限、命令与控制、数据盗取）详细展示主机相关事件数量。可根据不同威胁指数的主机实现攻击溯源和攻击过程的可视化分析支持攻击路径可视化,直观展示攻击过程和扩散过程,可呈现从外向内、从内向外和内部之间的攻击事件。通过挖矿专项分析场景，可快速获悉矿机外联通信行为TOPI0、矿池访问次数T0P10挖矿软件受害者TO

27、Pl0,并可支持域名、多IP快速检索，可根据回连次数、矿机IP、首次发生时间、最近发生时间、回连状态等信息回溯相关挖矿行为的全生命周期活动。通过勒索专项分析场景，可快速获悉勒索入侵全流程阶段，迅速定位中招主机IP、展示受害者TOPlO和勒索病毒家族分布等关键信息。支持攻击者视角分析，能够快速获悉攻击者、被攻击者、成功事件数量。支持枚举攻击者的目标数量、攻击手段、攻击次数、攻击状态等信息，支持对任意攻击目标列表的展开查看详细信息。内容技术要求支持受害者视角分析，能够快速获悉攻击者、被攻击者、成功事件数量。支持枚举受害者数量、攻击手段、攻击次数等，快速获悉受攻击资产的详细信息。从脆弱性角度，详细展

28、示资产存在的弱口令、密码明文形式传输风险，以及自定义配置的特权账户是否存在弱口令风险。支持导出资产IP、首次发生时间、最近一次发生时间等信息，便于威胁分析人员快速统计和上报资产脆弱性风险。支持SQL注入、命令注入、跨站脚本、代码注入、WEB扫描或爬虫、网页篡改、系统/服务配置不当、SSRF攻击检测、XXE注入检测。支持通过智能语义分析引擎，对XSS跨站脚本、SQL注入攻击和OGNL注入攻击进行检测。支持通过智能语义分析引擎,检测JSP脚本文件上传和PHP脚本文件上支持针对智能语义分析SQL注入和XSS注入产生的告警信息进行识别业务数据并进行过滤或告警。支持webshell检测，可检测访问Web

29、Shen的行为，包含具体对应的URL、返回码、返回数据包内容等，可显示一句话类WebShelI后门是否植入成功。支持doc,xls,ppt,swf,pdf,rar,zip,rar,exe,vbs,SCr、psi、elf、mach-0EML、MHT等多种文件解析支持自定义新增或批量导入恶意文件MD5值进行文件威胁检测，可配置内容包括文件MD5、恶意信息描述和参考链接。支持沙箱逃逸检测，当恶意文件进行逃逸尝试，在沙箱报告中进行体现支持多并发沙箱检测技术，集成主流的操作系统WinXP、win7WinI0、IinUX等多种检测环境，对恶意特征文件、文件漏洞、未知威胁等深度关联分析。支持大屏展示网络攻击

30、态势，包括攻击地图、紧急事件数/总数、恶意文件数/扫描总数、风险趋势（高、中、低风险）、流量分析（吞吐量、HTTP流量、DNS流量）、高危风险类别排名、攻击源区域排名、紧急事内容技术要求件/高危事件，并支持全球地图、中国地图切换展示。失陷主机：支持大屏展示失陷主机风险态势，包括失陷主机视角/横向攻击视角、失陷主机/黑客组织T0P5、风险类别排名、回连区域排名、失陷主机事件统计柱状图、最新事件、失陷主机数，支持实时数据自动刷新。攻击溯源：支持大屏展示风险较为严重的事件，并进行攻击溯源，包括攻击主机个数最多的情报事件TOPl0、威胁情报告警类型分布、3D攻击关系图、威胁活动（弱点探测、渗透入侵、获

31、取权限、命令与控制、数据盗取）；支持按IP搜索关联的攻击事件，包括攻击拓扑图、攻击者基本信息、被攻击者信息、攻击过程（攻击过程列表内容包括时间、攻击者、被攻击者、攻击链阶段、风险标签、攻击次数）。*_u玄端云端联动提供云端服务配套支撑服务，与云主机安全插件、集中管控端形成联动，增强安全监测与分析能力，实现事前、事中、事后完整有效的监测与防护效果。资产发现与管理服务提供精准资产类型及指纹识别，能够识别的资产类型包括但不限于CMS网站应用、数据库服务应用、服务中间件、开源框架、网络及安全设备、物联网设备等，识别指纹种类不低于6000种。服务提供方应对服务范围内资产精细化管理，通过工具结合云端后台人

32、工梳理的方式，与用户配合补充服务内资产包括IP地址、端口、资产类型、操作系统类型、数据库类型、中间件类型在内的各项属性。支持从等保视角进行资产管理，要求能够查看基础的等保信息、业务拓扑、关联Web业务系统、部门负责人、安全情况等信息。支持通过web,主机、域名、端口等多个类别和视角展示资产。支持以系统名称、IP、单位、联系人、首次发现时间、操作系统及版本、资产状态码、标签等信息实现资产的特征内容技术要求识别和过滤。支持按URL、联系人、资产名称等多种搜索组合进行资产的检索。支持web、主机、域名、端口视角下资产批量导出功能。互联网暴露面检测服务服务提供方应在用户提供的根域名、IP等信息的基础上

33、，对用户在互联网上暴露的IP资产、指纹资产等信息进行搜集，并在人工检查整理后将报告发送至用户。服务提供方应具备专业的红队平台，在服务过程中能够自主选择暴露面搜集内容和深度，如选择全量或常见CMS、邮箱、Github信息等互联网攻击面管理服务服务提供方应在暴露面检测的基础上，使用红队指纹技术、高风险漏洞探测技术，挖掘最容易被攻击的应用指纹、高风险可利用漏洞。服务提供方应具备专业的红队平台，具备免杀工具自动生成CobaltStrike免杀EXE,便于对攻击面的进一步测试。服务范围内资产威胁检测分析与处置服务服务通过对接云主机安全插件、集中管控端软件，提供7*24小时威胁监测，并分析检测各项安全隐患

34、，包括且不限于漏洞利用、弱密码、WebSheIl写入、异常登录、木马回连等安全风险和异常行为。服务通过对接云主机安全插件、集中管控端软件，支持对挖矿活动、流氓软件、可疑文件、勒索软件、僵木蠕、Webshell等18000种以上恶意程序实时检测。服务通过对接云主机安全插件、集中管控端软件，支持Webshell请求、XSS攻击、SQL注入、远程代码执行、命令注入、远程文件包含、本地文件包含、文件上传、路径遍历、信息泄露、越权访问、XXE注入、网页篡改、SSRF攻击等14类web攻击实时检测。针对主动或被动发现的安全事件提供响应和处置服务，对僵木蠕、WebShe11、病毒、勒索病毒、挖矿病毒等各类安

35、全事内容技术要求件快速处置，消除或减轻影响。（三）代码审计系统1套内容技术规格要求运行环境要求服务器支持信创云部署、政务云部署、硬件旁路部署、虚拟化部署、docker化部署，服务器支持集群横向扩展。语言能力可多选语言能力，支持java/php/python/C/C+/C#等不少于6种主流编程语言开发的软件源代码的检测。安全能力支持SQL注入、XSS文件上传等80种以上常见通用漏洞检测，风险类型不少于200类，扫描规则不少于3500条，全面覆盖高中低危常见漏洞。支持代码规范风险检测，检测规则不少于200种类型。支持三方组件风险检测，软件成分漏洞库不少于15w条。支持对个人隐私漏洞检测并进行风险自

36、定义。扫描能力支持自定义任务扫描各语言的风险类型。支持设置任务扫描精确度，精确度越高，漏洞真实性越高支持多任务并发扫描，实时展示扫描进度，支持扫描队列管理（包括暂停、停止、删除队列任务）。支持设置例外文件黑名单，自动识别白名单文件或文件夹进行路径裁剪，减少误报。项目管理能力支持按项目/任务/模块三个维度进行项目管理和图表分析，支持导出项目/模块/任务报告，能够新增、编辑、删除项目/模块/任务。项目维度展示项目列表和项目基础信息，包括但不限于：项目名称、项目归属人、模块数、扫描任务数、漏洞修复占比、风险总计、安全等级等。模块维度支持自选模块定时扫描周期，展示模块列表和模块基础内容技术规格要求信息

37、，包括但不限于：模块名称、代码获取方式、仓库地址、风险等级、模块归属人、扫描任务数等。任务维度支持控制任务的扫描状态，展示任务基础信息，包括但不限于：任务名称、代码获取方式、仓库地址、风险等级、任务归属人、任务状态、安全等级等。支持自定义扫描模板，以适应单项目或单语言的专项扫描。支持自动聚合，同地址（获取代码方式为：GIT/SVN/TFS/MERCURIAL）的任务以及同标签（获取方式为：上传代码）的任务为同一模块，能够生成比对信息。支持风险操作，支持风险批量分享、风险详情查看，支持修改风险状态，风险状态分为已修复、未修复、误报、忽略。支持上传与任务关联的依赖包，能够编辑、删除依赖包，以提升任

38、务的扫描效果。支持按照安全漏洞、代码规范风险、软件成分风险三个维度的风险管理。展示风险列表信息，支持风险图表化分析，可视化呈现项目风险ToP5、千行代码漏洞数TOP5、重现漏洞类型ToP5等数据。支持分享或在线查看风险详情，能够修改风险状态，提供信息包括但不限于：风险基本信息、风险描述、代码位置、修复建议、风险管理代码示例、风险回溯，其中风险回溯支持UTF-8和GBK切换显示，帮助研发人员定位问题。提供通用安全组件以及详细的组件使用文档，帮助研发人员快速修复风险。提供安全编码规范，阐述安全编码原则和修复防御方式，帮助研发人员理解漏洞。支持自定义风险信息，展示风险名称、风险类型。软件成分管支持J

39、ava,CC+,Python,php,C#等相关组件安全问题扫描，包理括数十万条安全组件检查规则内容技术规格要求支持软件成分分析统计并进行图表分析，包括但不限于：软件成分使用数量ToP5、软件成分风险等级分布、开源许可证分布TOPl0、开源许可证风险等级分布等。支持软件成分使用管理，支持查看或分享软件成分信息，能够导出软件成分信息报告及软件成分漏洞信息报告。支持开源许可证合规管理，能够单独查询软件成分详细信息，内容包括但不限于：开源许可证类型识别、风险类型、当前及最新版本号、最新版本更新时间、GAV坐标、许可证风险等级分布、使用授权情况等。支持软件成分安全风险管理，支持CVECNVDCNNVD

40、等漏洞库相关展示，内容包括但不限于：漏洞名称、漏洞等级、威胁类型、公布时间、更新时间、CPE2.3、CVSS2.0评分、厂商、漏洞描述、参考链接等。第三方工具集成能力支持根据代码仓库的SVN/GIT/TFS/MERCURIAL地址，或者上传代码文件(zip/tar.gzwar)来创建检测任务。支持nexus仓库配置，添加nexus地址后自动从地址拉取任务所需依赖包。支持风险信息自动/手动同步至JIRA,在JIRA中进行漏洞持续跟踪，可自定义字段内容，对已同步类型进行标识。支持风险信息自动/手动同步，进行漏洞持续跟踪，可自定义字段内容，对己同步类型进行标识。提供OPenAPI,支持项目管理、报告

41、下载等功能。账号管理能力支持角色权限管理，支持新增角色或编辑角色的功能权限和所有所属权限，内置管理员、项目经理、开发人员角色。支持登录安全设置，设置登录策略、token有效期、密码有效期、密码复杂度等策略。支持Idap、AD域、CAS认证源。系统管支持报表管理，可根据项目/模块/任务生成漏洞风险报表，自定理义报告模块，支持在线查看和WORD.PDF、EXCEL.HTML格式导出。支持提供系统使用问题详细指导，并提供文档资源，包括基础使用、HTTPS证书下载、用户手册、安全组件、安全编码规范、OPenAPl文档等。支持自定义规则，包括规则名称、语言类型、漏洞类型、规则内容等。支持命令行客户端，包

42、括Windows客户端、Linux客户端、Mac客户端。支持IDE插件，包括eclipse插件、IDEA插件等。支持站内信功能，通知项目扫描信息、系统消息。支持系统升级，通过上传升级包进行升级。支持邮件通知功能，可设置邮件服务器，任务扫描的结果将根据设置的风险要求进行邮件通知。支持自定义WebHook通知，实现任务及模块扫描状态实时推送。支持日志审计功能，能够查看、下载操作日志。支持网络测试模块，支持ping,telnet和curl命令用来检测和git之间网络的可达性。内容技术规格要求（四）商用密码应用监管子系统1套内容技术规格要求总体要求本系统是省厅原商用密码服务平台的功能扩展，要求能够与省

43、厅已建的商用密码服务平台集成，要求融入全省生态环境商用密码应用体系，功能扩展整体架构与已建商用密码服务平台保持一致，软硬件一体化设计，支持信创架构。密评要求网络和通信安全层面，商用密码应用服务平台应采用完全符合商用密码应用安全性评估要求的数据传输通道，包括但不限于身份鉴别、通信数据完整性、机密性。内容技术规格要求应用和数据安全层面，商用密码应用服务平台应采用自身提供的安全身份认证功能，并使用这些功能进行身份鉴别。应用和数据安全层面，商用密码应用服务平台应采用自身提供的数据完整性功能，并使用该功能保证自身系统访问控制信息完整性。应用和数据安全层面，商用密码应用服务平台应采用自身提供的数据存储保护

44、功能，使用该功能进行数据存储机密性、完整性保护。应用和数据安全层面，商用密码应用服务平台需采用自身提供的电子签章功能，使用该功能实现不可否认性。密钥体系和管理要求功能扩展与已建商用密码服务平台建立融合机制，保持统一的密钥体系，形成符合全省生态环境应用需要的密钥管理机制。省厅商用密码服务平台对本项目功能扩展的子系统使用的所有密钥、密钥分量进行全生命周期管理；实现对使用者密钥全生命周期管理；对对称密钥、非对称密钥、密钥分量集中管理，保证合法有效性。证书体系和管理要求功能扩展与已建商用密码服务平台建立融合机制，保持统一的证书体系，形成符合全省生态环境应用需要的密钥管理机制。与商用密码服务平台协同，提

45、供功能扩展子系统使用的数字证书集中管理功能，实现多环境的证书管理操作方式，包括在线管理和离线管理方式。省厅商用密码服务平台对功能扩展子系统使用的数字证书在线管理；支持批量申请证书、批量导入证书功能。支持商用密码服务平台对功能扩展子系统使用的证书按条件查询、详情查看使用情况；支持证书到期预警通知。架构要求总体架构功能扩展支持模块化部署，采用微服务架构，支持服务编排（容器）。功能扩展以组件化的微服务方式实现，各微服务为可独立替换和内容技术规格要求升级单元，采用轻量级异步去中心化协议通信。功能扩展能够与已建商用密码服务平台融合，实现水平横向拓展，可以根据业务需要调整系统内的服务，提供足够并发力和高可

46、用性。算法及遵循标准功能扩展采用商用密码算法，包括SM2、SM3SM4o功能扩展遵循标准包括但不限于GM/T0002-2012SM4分组密码算法、GM/T0003-2012SM2椭圆曲线公钥密码算法、GM/T0004-2012SM3密码杂凑算法。兼容RSA(2048)、AES、ECC等国际通用算法。自主可控功能扩展能够实现与现有省厅商用密码服务平台的操作系统、数据库和硬件设备的兼容应用。高可用功能扩展支持已建商用密码服务平台的架构部署，支持具备双活、集群部署；任意1个物理节点的损坏不影响业务系统正常运行，不影响数据正常访问，确保业务连续性。集成规范提供通用的商用密码服务接口，提供系统的跨语言及平台接入能力,统一对外提供以HTTP协议为基础的RESTful风格API0不限开发语言接入平台，以一致的接入方式使用商用密码服务平台提供的商用密码服务。提供定制化商用密码应用服务接口，提供适应不同开发环境和开发语言的兼容性接入和配套工具库，便于商用密码服务平台的接入和相关功能的扩展。子系统被监管子系统符合省密码管理局商用密码应用