政務數(shù)據(jù)安全風險評估與內(nèi)控研究課題

政務數(shù)據(jù)安全風險評估與內(nèi)控研究課題技術(shù)服務需求一、項目概況本項目為政務數(shù)據(jù)安全風險評估與內(nèi)控研究課題的技術(shù)服務項目。當前我省市場監(jiān)管領域存在數(shù)據(jù)量大、覆蓋面廣、結(jié)構(gòu)多樣、關聯(lián)關系復雜等特點，且其中涉及大量工作秘密、個人隱私數(shù)據(jù)等敏感數(shù)據(jù)。特別是在信息系統(tǒng)建設過程中，承建單位和第三方服務單位現(xiàn)場駐點人員數(shù)量多、變動快、管理難等問題較為突出，傳統(tǒng)的網(wǎng)絡安全防護手段不足以解決當前面臨的數(shù)據(jù)安全問題，急需加強數(shù)據(jù)安全風險評估和內(nèi)控管理。本項目從福建省市場監(jiān)管政務數(shù)據(jù)敏感發(fā)現(xiàn)入手,旨在實現(xiàn)數(shù)據(jù)從云端到終端的全過程閉環(huán)管控，實現(xiàn)對敏感數(shù)據(jù)自動掃描發(fā)現(xiàn)和敏感資產(chǎn)快速分級分類，有效提升數(shù)據(jù)安全內(nèi)控管理水平。二、技術(shù)和服務要求（一）服務內(nèi)容1、識別福建省市場監(jiān)管相關系統(tǒng)云端及終端敏感信息分布和不當存儲，監(jiān)控對敏感信息的使用并進行實時保護，制定多維度敏感數(shù)據(jù)分布地圖。（1）支持ORACLE、SQLSERVER、Hive、OceanBase、TIDB、MySQL、Odps、PgSQL、Mongodb等主流的關系型數(shù)據(jù)庫、數(shù)據(jù)倉庫、大數(shù)據(jù)平臺、云數(shù)據(jù)庫。（2）支持上海熱璞、武漢達夢、南大通用、巨杉等主流的中國國產(chǎn)數(shù)據(jù)庫。（3）具備敏感數(shù)據(jù)探測能力，自動發(fā)現(xiàn)敏感資產(chǎn)，系統(tǒng)內(nèi)置的敏感數(shù)據(jù)類型。（4）內(nèi)置針對符合特征的敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則。（5）支持敏感發(fā)現(xiàn)結(jié)果列表展示，包括表名、列名、敏感類型、數(shù)據(jù)抽樣示例等，支持對發(fā)現(xiàn)結(jié)果進行校正。（6）支持基于列的業(yè)務類型，設置脫敏策略，實現(xiàn)相同的業(yè)務類型同時設置脫敏策略。（7）從表格、表格列、SCHEMA等維度歸類敏感數(shù)據(jù)資產(chǎn)，形成多維度敏感數(shù)據(jù)分布地圖。2、零信任框架下動態(tài)異構(gòu)網(wǎng)絡的建模、表示與挖掘。（1）研究福建省市場監(jiān)管跨部門、跨業(yè)務、跨區(qū)域的系統(tǒng)數(shù)據(jù)流動安全性評估與預測方法。（2）針對傳播模型、因果關系、規(guī)則和常識、共現(xiàn)關系等關系，構(gòu)建數(shù)據(jù)關系模型。3、基于多元空間屬性異質(zhì)圖（MS-AHG）的動態(tài)身份體系構(gòu)建。（1）對接觸核心敏感數(shù)據(jù)的人員的權(quán)限進行細化與鑒權(quán)，建立包括賬號、密碼、IP地址、機器指紋、數(shù)字證書、應用程序、登陸時間等多維度的身份準入機制。（2）支持身份的多因素認證，至少應支持應用程序名、IP地址、主機名、操作系統(tǒng)賬戶、數(shù)據(jù)庫用戶、數(shù)字證書、身份敏感標簽、日期、時間、時間域、身份類別、有效時間、應用用戶名、終端IP等因素的任意組合，系統(tǒng)根據(jù)多維身份管理策略，自動判別登錄主體的合法性。（3）對于不合規(guī)的用戶訪問予以阻斷與預警，同時能夠根據(jù)實際情況進行臨時訪問動態(tài)授權(quán)，阻斷撞庫、高頻登錄等異常行為。（4）支持僵尸賬號檢測，對僵尸賬號進行鎖定，防止僵尸賬號造成數(shù)據(jù)泄露。（5）基于用戶身份與數(shù)據(jù)資產(chǎn)關聯(lián)關系，利用元知識指導單空間的異質(zhì)網(wǎng)絡構(gòu)建和多元空間交融構(gòu)建，通過刻畫具有不同含義和對應不同數(shù)據(jù)源空間的個屬性異質(zhì)圖，以及構(gòu)建多元空間之間交互的屬性異質(zhì)圖集合，實現(xiàn)多元空間屬性異質(zhì)圖的構(gòu)建。（6）建立福建省市場監(jiān)管動態(tài)身份體系，整個流動網(wǎng)絡處于一個動態(tài)實時調(diào)整的狀態(tài)中,從而實現(xiàn)對敏感數(shù)據(jù)精準性、差異化的安全防護，同時通過身份體系可將用戶行為全過程留痕可追溯。4、跨空間突發(fā)風險數(shù)據(jù)流傳播主動監(jiān)控與預測。（1）構(gòu)建福建省市場監(jiān)管突發(fā)異常數(shù)據(jù)流動檢測體系。（2）生成跨空間異構(gòu)數(shù)據(jù)流動圖譜，構(gòu)建“數(shù)據(jù)主體-數(shù)據(jù)關系-行為”的多層復雜網(wǎng)絡，充分挖掘網(wǎng)絡上的相關信息并進行相關分析，實現(xiàn)對突發(fā)異常數(shù)據(jù)流動行為的實時監(jiān)控和預測。（3）支持特權(quán)用戶訪問控制。（4）根據(jù)應用程序名、IP地址、主機名、操作系統(tǒng)賬戶、數(shù)據(jù)庫賬戶、數(shù)據(jù)庫實例名、時間、U盾等實現(xiàn)敏感數(shù)據(jù)訪問控制。（5）限制過程、函數(shù)、包等對象訪問敏感數(shù)據(jù)。（6）視圖中調(diào)用敏感數(shù)據(jù)管控。（7）對訪問身份設置敏感標簽。（8）限定、設置特定JOB作業(yè)訪問敏感。（9）支持策略中心全部策略、系統(tǒng)配置、資產(chǎn)配置（資產(chǎn)列表信息、數(shù)據(jù)源部署模式、數(shù)據(jù)源分組信息、敏感資產(chǎn)信息等）等進行備份與恢復。（10）支持日報、月報、周報等生成，導出格式支持PDF/word。5、“云端+終端”全過程數(shù)據(jù)安全閉環(huán)管控模型構(gòu)建。（1）具備政務云部署、監(jiān)測能力。（2）具備針對不同終端人員采用不同的安全權(quán)限進行訪問能力，終端類型包括運維和開發(fā)終端、業(yè)務辦理終端等。（3）支持對終端信任應用保護策略，信任驗證機制支持通過識別程序名、程序簽名及安全標簽（程序哈希值）三種方式對應用進行保護。（4）具備對終端設備的掃描、監(jiān)測、檢測能力，能夠針對設定的規(guī)則定期、不定期掃描、監(jiān)測、檢測終端設備上不當存儲的敏感數(shù)據(jù)，并進行告警、鎖定等操作。（5）具備云端+終端聯(lián)動功能，當云端檢測引擎報告一個策略違規(guī)時，終端系統(tǒng)將執(zhí)行“自動”響應規(guī)則。響應規(guī)則條件是基于檢測匹配條件來觸發(fā)操作，條件定義了系統(tǒng)觸發(fā)響應規(guī)則操作的方式和時間，并提供了多種確定傳入事件優(yōu)先級的方式，以便進行重點補救并采取適當?shù)捻憫?、數(shù)據(jù)安全風險評估及內(nèi)控管理系統(tǒng)研發(fā)根據(jù)研究內(nèi)容，配合開展福建省市場監(jiān)管數(shù)據(jù)安全風險評估及內(nèi)控管理系統(tǒng)原型機的研發(fā)、部署和實戰(zhàn)檢驗。（二）服務要求1、實施服務要求投標人應提供項目實施的項目人員及組織機構(gòu)、實施策略、實施計劃、項目保障措施、質(zhì)量控制措施、系統(tǒng)測試、驗收、交付物等。（1）項目人員及組織機構(gòu)投標人應成立合理的組織機構(gòu)，建立健全保障項目順利實施的各項管理制度和質(zhì)量保證體系，安排足夠的高素質(zhì)人才參加項目的建設。在項目機構(gòu)中應明確各崗位的職責、任職資格，確保工程順利實施。為保障技術(shù)服務質(zhì)量，中標人在項目實施期間須組建現(xiàn)場服務團點，派駐至少3名技術(shù)人員提供5*8小時駐點技術(shù)服務，駐點人員須為中標人正式員工，且具有數(shù)據(jù)庫、數(shù)據(jù)安全等相關領域的實施經(jīng)驗。（2）項目實施策略投標人應從項目實施范圍及內(nèi)容、項目實施準備、需求調(diào)研與確認、實施方案制定、項目實施管理辦法、溝通管理等方面制定實施策略。（3）項目實施計劃投標人應在項目總體進度要求時間內(nèi)就本項目提供項目實施計劃及日程安排。（4）項目保障措施為保障項目實施過程順利完成，投標人應從項目管理措施（技術(shù)管理、進度管理、知識庫管理）、項目質(zhì)量管理、質(zhì)量保障體系、風險管理方面進行項目保障。（5）項目質(zhì)量控制為保障項目交付質(zhì)量，投標人應從項目質(zhì)量控制方法、項目質(zhì)量控制內(nèi)容、項目控制標準等方面進行項目質(zhì)量保障。2、售后服務要求（1）中標人提供1年免費質(zhì)保服務，質(zhì)保期從項目驗收合格之日起開始計算。（2）中標人在質(zhì)保期內(nèi)提供7*24小時的服務響應，并在2小時內(nèi)做出明確響應和安排。如需現(xiàn)場服務的，中標人應派遣具有解決故障能力的工程師在4小時內(nèi)到達現(xiàn)場。（3）中標人對系統(tǒng)軟件服務時不影響原有應用系統(tǒng)的正常運行和效率，不涉及到對原有應用系統(tǒng)重新設計。對系統(tǒng)軟件的更新及升級時，未經(jīng)采購人同意，不改變針對本項目定制的功能。3、項目交付成果（1）本項目所涉及的與運行版本一致的所有完整安裝程序及技術(shù)資料。（2）軟件產(chǎn)品和設計成果需完整安裝在采購人指定的服務器上，并保障系統(tǒng)運行穩(wěn)定、訪問正常。（3）技術(shù)資料文檔，參照軟件文檔管理指南（GB/T16680-1996、GB/T8567-2006）提供相應文檔，至少包括軟件使用及維護等方面的文檔資料。（4）技術(shù)文檔內(nèi)容應滿足有關應用軟件文檔編制規(guī)范標準要求。提供的文檔和資料均應以紙張和光盤為載體，文件格式為Word文檔或其他可視化、未加密的文件。（5）投標人應在投標文件中提供需求調(diào)研、測試階段、實施階段、運行階段、項目管理的全部交付成果的清單。4、項目工期要求中標人應在合同簽訂后6個月內(nèi)完成本項目的所有技術(shù)服務內(nèi)容及驗收工作。5、項目驗收要求（1）中標人所提供的技術(shù)服務成果應滿足“第三章二、技術(shù)和服務要求”中的所有要求，若有一項不滿足的，不予驗收。（2）中標人所提供的產(chǎn)品及其配套使用的相關軟件，必須是正版的、合法的。軟件按采購人驗收標準（符合國家、行業(yè)或地方標準）、競爭性談判文件、響應文件、合同等有關內(nèi)容進行驗收。6、培訓要求（1）中標人必須在應用軟件安裝、調(diào)試、定制開發(fā)過程中現(xiàn)場提供分別針對系統(tǒng)管理人員、應用管理人員的培訓。（2）中標人的培訓教員應是項目組成人員并具有扎實的理論基礎知識及實際工作經(jīng)驗，必須具備熟練的中文會話和書寫能力。（3）中標人必須為所有受訓人員提供培訓教材，所有的資料必須是中文書寫。（4）所有培訓應是免費的。7、保密要求（1）中標人應當對合同的內(nèi)容、因履行合同或在合同期間知悉的或收到的采購人的財務、技術(shù)、產(chǎn)品、數(shù)據(jù)信息或其他工作上的文件資料、工作內(nèi)容等予以保密，不得向合同以外的任何第三方披露。（2）中標人進入采購人工作區(qū)域的工作人員需嚴格履行保密義務。（3）中標人需了解有關保密法律法規(guī)，知悉應當承擔的保密義務和法律責伍，并莊重承諾：（a）認真遵守國家保密法律、法規(guī)和規(guī)章制度，履行保密義務；（b）不提供虛假個人信息，自愿接受保密審查；（c）不違規(guī)記錄、存儲、復制國家秘密信息，不違規(guī)留存國家秘密載體；（d）不以任何方式泄露所接觸和知悉的國家秘密；（e）未經(jīng)采購人審查批準，不擅自發(fā)表涉及未公開工作內(nèi)容的文章、著述；（f）若違反保密承諾，自愿承擔有關法律后果。（4）中標人違反本條約定泄露采購人的涉密信息的，應承擔相應的法律責任，造成采購人損失的，中標人應當依法承擔賠償責任。（5）本條款不因合同屆滿或解