福建省綜合評(píng)標(biāo)專家?guī)煨畔⑾到y(tǒng)升級(jí)改造項(xiàng)目-變更公告

 

2.2應(yīng)用系統(tǒng)功能結(jié)構(gòu)

 

1.本期新增建設(shè)的應(yīng)用如下：

（1）為實(shí)現(xiàn)專家的動(dòng)態(tài)管理、線上結(jié)算支付、專家考評(píng)等需求，本期新增建設(shè)專家管理子系統(tǒng)（管理端）；

（2）為實(shí)現(xiàn)對(duì)專家檔案線上管理的需求，本期新增建設(shè)專家電子檔案管理子系統(tǒng)（管理端）；

（3）為實(shí)現(xiàn)遠(yuǎn)程異地評(píng)標(biāo)的管理需求，本期新增建設(shè)運(yùn)行管理子系統(tǒng)（管理端）；

（4）為實(shí)現(xiàn)對(duì)專家監(jiān)管、數(shù)據(jù)分析預(yù)警的需求，本期新增建設(shè)運(yùn)行管理子系統(tǒng)（管理端）、專家?guī)毂O(jiān)督管理子系統(tǒng)（監(jiān)管端）；

（5）為實(shí)現(xiàn)對(duì)專家的抽取需求，本期新增建設(shè)專家抽取子系統(tǒng)（抽取端）。

2.本期涉及的改造主要是對(duì)國(guó)產(chǎn)化適配的改造。

3.本期涉及利舊的內(nèi)容主要是專家歷史數(shù)據(jù)的復(fù)用。

 

2.3技術(shù)路線

1.采用微服務(wù)架構(gòu)進(jìn)行系統(tǒng)設(shè)計(jì)基于微服務(wù)架構(gòu)進(jìn)行系統(tǒng)設(shè)計(jì)，使系統(tǒng)具有較強(qiáng)的靈活性和可擴(kuò)展性。通過(guò)對(duì)應(yīng)用系統(tǒng)和服務(wù)拆分為微服務(wù)，實(shí)現(xiàn)微服務(wù)調(diào)用，支持分布式會(huì)話，滿足應(yīng)用按需彈性擴(kuò)展的要求。2.采用基于J2EE標(biāo)準(zhǔn)的B/S體系架構(gòu)采用基于J2EE標(biāo)準(zhǔn)的B/S體系架構(gòu)進(jìn)行系統(tǒng)設(shè)計(jì)。整個(gè)系統(tǒng)按三層的設(shè)計(jì)思路進(jìn)行擴(kuò)展，結(jié)合J2EE多層應(yīng)用體系結(jié)構(gòu)，在用戶終端和最終數(shù)據(jù)中建立接入層（包括表示邏輯、業(yè)務(wù)邏輯）和應(yīng)用服務(wù)業(yè)務(wù)層（中間應(yīng)用），按照多層的模式進(jìn)行設(shè)計(jì)。多層次結(jié)構(gòu)的好處還在于只要定義好標(biāo)準(zhǔn)的接口，中間的層次可以獨(dú)立于業(yè)務(wù)數(shù)據(jù)結(jié)構(gòu)而進(jìn)行變化，一旦對(duì)用戶的需求出現(xiàn)了變動(dòng)，只需要修改中間應(yīng)用層和接入層的模式和結(jié)構(gòu)，不會(huì)變動(dòng)業(yè)務(wù)的數(shù)據(jù)結(jié)構(gòu)；而等到底層的業(yè)務(wù)數(shù)據(jù)結(jié)構(gòu)有了變動(dòng)，只需要針對(duì)數(shù)據(jù)結(jié)構(gòu)進(jìn)行些調(diào)整，不會(huì)影響到邏輯層對(duì)用戶提供的變化。3.基于webServices服務(wù)的接口實(shí)現(xiàn)，滿足標(biāo)準(zhǔn)和開放要求采用標(biāo)準(zhǔn)的WebServices技術(shù)實(shí)現(xiàn)對(duì)外的信息服務(wù)接口，為信息系統(tǒng)提供統(tǒng)一、標(biāo)準(zhǔn)、開放的服務(wù)，脫離具體傳輸協(xié)議、對(duì)象模型和編程語(yǔ)言、操作系統(tǒng)的限制，便于實(shí)現(xiàn)全省的互聯(lián)互通。4.采用XML技術(shù)實(shí)現(xiàn)標(biāo)準(zhǔn)數(shù)據(jù)交換采用XML技術(shù)實(shí)現(xiàn)各系統(tǒng)間的標(biāo)準(zhǔn)數(shù)據(jù)交換。通過(guò)XML可以有效地保證對(duì)各種異構(gòu)系統(tǒng)的數(shù)據(jù)交換，實(shí)現(xiàn)各系統(tǒng)資源的整合。5.全面支持國(guó)產(chǎn)化本項(xiàng)目全面基于國(guó)產(chǎn)化數(shù)據(jù)庫(kù)、中間件、操作系統(tǒng)、商用密碼等技術(shù)開發(fā)和實(shí)施。

 

招標(biāo)文件P100頁(yè)“2.2.7.1 重難點(diǎn)分析 ”增加如下內(nèi)容：

（1）數(shù)據(jù)安全

需考慮如何在整個(gè)數(shù)據(jù)遷移操作過(guò)程中，保證數(shù)據(jù)的安全性。除了考慮在遷移前必要的數(shù)據(jù)備份外，還要考慮遷移過(guò)程中數(shù)據(jù)增量問(wèn)題，以及出現(xiàn)異常問(wèn)題后的安全回退等。

（2）兼容性

新舊數(shù)據(jù)很可能存在不兼容之處，需要提前規(guī)劃規(guī)避措施，或做必要的調(diào)整。

（3）停機(jī)時(shí)間

隨著數(shù)據(jù)量日益擴(kuò)大和業(yè)務(wù)的逐漸復(fù)雜，每次遷移停止和啟動(dòng)業(yè)務(wù)都需要消耗數(shù)小時(shí)時(shí)間，所以每一次數(shù)據(jù)遷移都必須要求操作過(guò)程的全程可控。不僅要對(duì)正常流程的可控，還要做到在異常情況下的可控，保證即使出現(xiàn)各種異常，還能夠正常時(shí)間內(nèi)完成遷移或者回退。

（4）數(shù)據(jù)校驗(yàn)

在遷移的過(guò)程中，應(yīng)該制定嚴(yán)格的數(shù)據(jù)驗(yàn)證過(guò)程。在遷移前后，要有充分的準(zhǔn)備。避免由于誤操作導(dǎo)致數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)準(zhǔn)確性問(wèn)題。

 

招標(biāo)文件P107頁(yè)“2.4.3.3應(yīng)用安全防護(hù)設(shè)計(jì)”增加如下內(nèi)容：

（1）2.4.3.3.1專家?guī)鞈?yīng)用安全設(shè)計(jì)

本項(xiàng)目針對(duì)專家?guī)鞈?yīng)用安全進(jìn)行設(shè)計(jì)，包括對(duì)身份認(rèn)證安全、菜單權(quán)限設(shè)置、多版本見證、日志審計(jì)臺(tái)賬等。具體如下：

1.身份認(rèn)證安全

管理端、抽取終端訪問(wèn)WEB服務(wù)，需采用USBKEY數(shù)字證書的方式實(shí)現(xiàn)身份認(rèn)證增強(qiáng)保護(hù)，基于SM2算法對(duì)證書及用戶身份進(jìn)行高強(qiáng)度身份鑒別。

2.菜單權(quán)限設(shè)置

對(duì)于一些敏感菜單，如涉及查看專家基本信息、項(xiàng)目抽取信息等菜單，應(yīng)將菜單權(quán)限進(jìn)行簽名并加密存儲(chǔ)，防止菜單權(quán)限被篡改。

3.多版本見證

在專家?guī)煜到y(tǒng)中，對(duì)于專家信息變更、項(xiàng)目抽取條件變更等信息迭代行為，進(jìn)行版本編號(hào)。對(duì)于不同版本的專家敏感信息（專家專業(yè)、聯(lián)系方式）、項(xiàng)目抽取條件等，可一同進(jìn)行見證，確保專家敏感信息嚴(yán)格保密，項(xiàng)目抽取條件不被非法篡改。

4.日志審計(jì)臺(tái)賬

增加日志臺(tái)賬功能，記錄所有操作日，以便進(jìn)行事后審計(jì)。

2.4.3.3.2身份鑒別

用戶注冊(cè)模塊：用戶在首次使用業(yè)務(wù)系統(tǒng)時(shí)，需要通過(guò)注冊(cè)模塊提供個(gè)人信息，如用戶名、密碼、電子郵件等。

身份信息存儲(chǔ)：為每個(gè)用戶創(chuàng)建唯一的身份標(biāo)識(shí)，并將其密碼（加密存儲(chǔ)）與身份信息一并保存在數(shù)據(jù)庫(kù)中。

登錄控制模塊：

用戶身份驗(yàn)證：在用戶嘗試登錄業(yè)務(wù)系統(tǒng)時(shí)，登錄控制模塊需要對(duì)用戶的身份進(jìn)行驗(yàn)證。這包括檢查用戶提供的用戶名和密碼是否與數(shù)據(jù)庫(kù)中的存儲(chǔ)匹配。

登錄嘗試限制：為防止暴力破解或惡意攻擊，可以對(duì)登錄嘗試次數(shù)進(jìn)行限制，如設(shè)定在一段時(shí)間內(nèi)最多允許幾次嘗試登錄。

雙因素認(rèn)證：為提高安全性，可以引入雙因素認(rèn)證，如短信驗(yàn)證碼或CA證書，以增加一層身份驗(yàn)證。

用戶會(huì)話管理：

會(huì)話創(chuàng)建和維持：當(dāng)用戶成功登錄后，系統(tǒng)會(huì)創(chuàng)建一個(gè)會(huì)話，并為該會(huì)話分配一個(gè)唯一的會(huì)話ID。會(huì)話信息保存在服務(wù)器端，用于維持用戶的登錄狀態(tài)。

會(huì)話超時(shí)和失效：設(shè)定會(huì)話的超時(shí)時(shí)間，當(dāng)用戶在指定時(shí)間內(nèi)未進(jìn)行活動(dòng)時(shí)，會(huì)話將被自動(dòng)失效，用戶需要重新登錄。

角色和權(quán)限管理：

角色定義：可以根據(jù)業(yè)務(wù)需求定義不同的用戶角色，如管理員、普通用戶等。為每個(gè)角色分配不同的權(quán)限。

權(quán)限控制：根據(jù)用戶的角色和權(quán)限，登錄控制模塊可以在用戶登錄時(shí)對(duì)其進(jìn)行相應(yīng)的授權(quán)控制，確保其只能訪問(wèn)其權(quán)限范圍內(nèi)的功能。

表身份鑒別等保要求

子項(xiàng)	等保要求	防護(hù)措施	建設(shè)情況
身份鑒別	a）應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換。 b）應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施。	安全服務(wù)：主機(jī)加固	由云平臺(tái)上的安全網(wǎng)關(guān)進(jìn)行身份認(rèn)證

2.3.3.3.3訪問(wèn)控制

通過(guò)安全服務(wù)主機(jī)加固進(jìn)行有效的計(jì)算環(huán)境主機(jī)訪問(wèn)控制，保障計(jì)算環(huán)境安全，加固內(nèi)容包括：

（1）對(duì)登錄的用戶分配賬戶和權(quán)限；

（2）重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令；

（3）及時(shí)刪除或停用多余的、過(guò)期的賬戶，避免共享賬戶的存在；

（4）授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離；

（5）由授權(quán)主體配置訪問(wèn)控制策略，訪問(wèn)控制策略規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則；

（6）訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)；

（7）對(duì)重要主體和客體設(shè)置安全標(biāo)記，并控制主體對(duì)有安全標(biāo)記信息資源的訪問(wèn)。

本項(xiàng)目在省電子政務(wù)云平臺(tái)采用安全服務(wù)中配置加固、主機(jī)加固服務(wù)來(lái)滿足等級(jí)保護(hù)2.0的三級(jí)建設(shè)安全計(jì)算環(huán)境——訪問(wèn)控制要求。

表 訪問(wèn)控制等保要求

子項(xiàng)	等保要求	防護(hù)措施	建設(shè)情況
訪問(wèn)控制	a）應(yīng)對(duì)登錄的用戶分配賬戶和權(quán)限； b）應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令； c）應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬戶，避免共享賬戶的存在； d）應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離； e）應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，訪問(wèn)控制策略規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則； f）訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)； g）應(yīng)對(duì)重要主體和客體設(shè)置安全標(biāo)記，并控制主體對(duì)有安全標(biāo)記信息資源的訪問(wèn)。	安全服務(wù)：配置加固、主機(jī)加固	由本項(xiàng)目設(shè)計(jì)的安全服務(wù)提供

2.4.3.3.4安全審計(jì)

計(jì)算環(huán)境安全審計(jì)主要從主機(jī)安全審計(jì)以及數(shù)據(jù)庫(kù)系統(tǒng)安全審計(jì)兩方面來(lái)設(shè)計(jì)。

（1）針對(duì)主機(jī)的安全審計(jì)通過(guò)啟用本地的安全審計(jì)功能，針對(duì)關(guān)鍵節(jié)點(diǎn)的用戶行為進(jìn)行審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)。同時(shí)利用平臺(tái)日志審計(jì)系統(tǒng)對(duì)日志進(jìn)行統(tǒng)一收集、解析、分析、集中存儲(chǔ)、監(jiān)控及可視化等綜合性管理，對(duì)安全服務(wù)、主機(jī)和應(yīng)用系統(tǒng)日志進(jìn)行全面的標(biāo)準(zhǔn)化處理，通過(guò)基于國(guó)際標(biāo)準(zhǔn)化的關(guān)聯(lián)分析引擎，為客戶提供全維度、跨設(shè)備、細(xì)粒度的關(guān)聯(lián)分析，及時(shí)發(fā)現(xiàn)各種安全威脅、異常行為事件，為管理人員提供全局的視角，透過(guò)事件的表象真實(shí)地還原事件背后的信息，為客戶提供真正可信賴的事件追責(zé)依據(jù)和業(yè)務(wù)運(yùn)行的深度安全，進(jìn)而確?？蛻魳I(yè)務(wù)的不間斷運(yùn)營(yíng)安全；同時(shí)提供集中化的統(tǒng)一管理平臺(tái)，將所有的日志信息收集到平臺(tái)中，實(shí)現(xiàn)信息資產(chǎn)的統(tǒng)一管理、監(jiān)控資產(chǎn)的運(yùn)行情況，協(xié)助用戶全面審計(jì)信息系統(tǒng)整體安全狀況。

主要內(nèi)容如下：

安全分析：日志審計(jì)通過(guò)全維度、跨設(shè)備、細(xì)粒度關(guān)聯(lián)分析，內(nèi)置眾多的關(guān)聯(lián)規(guī)則，支持網(wǎng)絡(luò)安全攻防檢測(cè)、合規(guī)性檢測(cè)，支持各資產(chǎn)之間的關(guān)聯(lián)分析。同時(shí)系統(tǒng)還能夠收集和管理來(lái)自各種Web漏洞掃描、主機(jī)漏洞掃描工具、網(wǎng)絡(luò)漏洞掃描工具產(chǎn)生的掃描結(jié)果，并實(shí)時(shí)和用戶資產(chǎn)收到的攻擊日志進(jìn)行風(fēng)險(xiǎn)三維關(guān)聯(lián)分析。

監(jiān)管合規(guī)：日志審計(jì)內(nèi)置多種行業(yè)解決方案包，通過(guò)豐富的攻擊威脅、Windows審計(jì)、Linux審計(jì)等合規(guī)性報(bào)表生成完整的分析報(bào)告，滿足監(jiān)管合規(guī)要求。

（2）針對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的安全審計(jì)，通過(guò)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)對(duì)云平臺(tái)內(nèi)數(shù)據(jù)庫(kù)進(jìn)行跟蹤，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的查詢、新增、刪除、修改、授權(quán)等各種操作行為進(jìn)行解析、記錄和智能分析，審計(jì)記錄包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等，并提供多種靈活方便的查詢方法、統(tǒng)計(jì)報(bào)表，供管理員查詢、分析、決策。該數(shù)據(jù)庫(kù)安全監(jiān)測(cè)探針還可提供數(shù)據(jù)庫(kù)入侵檢測(cè)功能，對(duì)惡意攻擊或者誤操作等敏感行為進(jìn)行實(shí)時(shí)報(bào)警。主要功能如下：

數(shù)據(jù)庫(kù)審計(jì)：實(shí)現(xiàn)應(yīng)用端用戶身份行為識(shí)別，完善審計(jì)鏈條；提供三權(quán)分立功能，將系統(tǒng)管理員，安全管理員，審計(jì)管理員權(quán)限隔離。

多維度分析實(shí)現(xiàn)會(huì)話，風(fēng)險(xiǎn)，語(yǔ)句，IP，操作類型，返回狀態(tài)，結(jié)果信息等多種維度展示異常行為實(shí)時(shí)告警，針對(duì)風(fēng)險(xiǎn)語(yǔ)句或SQL注入攻擊實(shí)時(shí)告警。

提供精細(xì)化報(bào)表滿足等保，綜合性報(bào)表和自定義分析型報(bào)表，滿足等保測(cè)評(píng)數(shù)據(jù)庫(kù)審計(jì)需求。

本項(xiàng)目部署所在省電子政務(wù)云平臺(tái)已部署日志審計(jì)系統(tǒng)進(jìn)行主機(jī)日志審計(jì)，通過(guò)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)進(jìn)行數(shù)據(jù)庫(kù)審計(jì)，滿足等級(jí)保護(hù)2.0的三級(jí)建設(shè)安全計(jì)算環(huán)境——安全審計(jì)要求。

表 安全審計(jì)等保要求

子項(xiàng)	等保要求	防護(hù)措施	建設(shè)情況
安全審計(jì)	a）應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)； b）審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息； c）應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等； d）應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷。	日志審計(jì)系統(tǒng)	由省電子政務(wù)云平臺(tái)提供

2.4.3.3.5剩余信息保護(hù)

本項(xiàng)目剩余信息保護(hù)設(shè)計(jì)要求：

應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中；

應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。

2.4.3.3.6上傳文件自動(dòng)掃描

本項(xiàng)目上傳文件自動(dòng)掃描設(shè)計(jì)要求：

編寫單獨(dú)的上傳組件模塊，上傳文件全部通過(guò)防病毒木馬軟件的掃描，確保不直接上傳這些文件。對(duì)上傳文件的擴(kuò)展名做嚴(yán)格限制。上傳至主機(jī)中的文件名由系統(tǒng)生成，確保黑客不可能通過(guò)各種方式在上傳過(guò)程中出現(xiàn)PHP、ASP之類的可訪問(wèn)頁(yè)面或EXE可執(zhí)行文件。在利用系統(tǒng)上傳功能上傳文件后，系統(tǒng)會(huì)對(duì)當(dāng)前上傳目錄進(jìn)行掃描，一旦發(fā)現(xiàn)與病毒類型特征相似的文件則立即自動(dòng)刪除，布下了一道堅(jiān)不可破的關(guān)口，以保證黑客不能通過(guò)上傳的方式入侵網(wǎng)站系統(tǒng)，以確保網(wǎng)站系統(tǒng)的安全。

招標(biāo)文件P107頁(yè)“2.4.3.4數(shù)據(jù)安全防護(hù)設(shè)計(jì)”增加如下內(nèi)容：

2.4.3.4.1專家?guī)鞌?shù)據(jù)安全設(shè)計(jì)

本項(xiàng)目針對(duì)相關(guān)數(shù)據(jù)采取一系列安全設(shè)計(jì)，包括對(duì)專家敏感信息進(jìn)行加密、脫敏展示，項(xiàng)目抽取結(jié)果脫敏展示，數(shù)據(jù)完整性保護(hù)等。具體如下：

2.4.3.4.1.1敏感信息加密及防篡改需求

敏感信息加密需求及解決措施如下：

表 敏感信息加密需求表

序號(hào)	信息分類	信息內(nèi)容	敏感度	密碼應(yīng)用需求	解決措施
1	專家信息	個(gè)人基本信息	個(gè)人隱私	防篡改、防泄漏	加密存儲(chǔ)
2		工作經(jīng)歷信息	個(gè)人隱私	防篡改、防泄漏	加密存儲(chǔ)
3		專家專業(yè)分類信息	個(gè)人隱私	防篡改、防泄漏	加密存儲(chǔ)
4		執(zhí)業(yè)資格信息	個(gè)人隱私	防篡改、防泄漏	加密存儲(chǔ)
5		評(píng)標(biāo)相關(guān)信息	評(píng)標(biāo)結(jié)束前：工作秘密 結(jié)束后：公開	防篡改、防泄漏	加密存儲(chǔ)
6		專家考評(píng)信息	公開	防篡改	數(shù)字簽名
7		專家信用信息	公開
8		專家狀態(tài)信息	工作秘密	防抵賴、防泄漏	加密存儲(chǔ)
9	項(xiàng)目信息	項(xiàng)目基本信息	開標(biāo)前：工作秘密 開標(biāo)后：公開	防篡改、防泄漏	加密存儲(chǔ)
10		回避單位信息	開標(biāo)前：工作秘密 開標(biāo)后：公開	防篡改、防泄漏	加密存儲(chǔ)
11		抽取條件信息	開標(biāo)前：工作秘密 開標(biāo)后：公開	防篡改、防泄漏	加密存儲(chǔ)
12		專家抽取結(jié)果	評(píng)標(biāo)結(jié)束前：工作秘密 結(jié)束后：公開	防篡改、防泄漏	加密存儲(chǔ)
13	機(jī)構(gòu)管理	主管部門涉及個(gè)人信息及權(quán)限配置部分	工作秘密	防篡改	數(shù)字簽名
14		抽取終端涉及個(gè)人信息及權(quán)限部分	工作秘密	防篡改	數(shù)字簽名
15		招標(biāo)人和代理機(jī)構(gòu)涉及個(gè)人信息及權(quán)限配置部分	工作秘密	防篡改	數(shù)字簽名
16		運(yùn)維機(jī)構(gòu)權(quán)限配置部分	工作秘密	防篡改	數(shù)字簽名
17		其他機(jī)構(gòu)	公開	公開信息無(wú)需做密碼防護(hù)	公開信息無(wú)需做密碼防護(hù)
18	專業(yè)分類信息	一級(jí)專業(yè)	公開
19		二級(jí)專業(yè)	公開
20		三級(jí)專業(yè)	公開
21	法律法規(guī)	國(guó)家	公開
22		福建省	公開
23	通知公告	/	公開
24	日志信息	/	工作秘密	防篡改	數(shù)字簽名
25	系統(tǒng)訪問(wèn)權(quán)限控制信息	/	工作秘密	防篡改	數(shù)字簽名

2.4.3.4.1.2專家敏感信息脫敏展示

在管理端、抽取終端查看專家信息時(shí)，對(duì)專家信息進(jìn)行脫敏處理，禁止收集與項(xiàng)目無(wú)關(guān)的專家敏感信息。

2.4.3.4.1.4項(xiàng)目抽取結(jié)果脫敏展示

評(píng)標(biāo)開始之前，不允許在抽取終端、管理端查看項(xiàng)目抽取結(jié)果。在評(píng)標(biāo)開始之后，可對(duì)專家信息進(jìn)行脫敏查看。

2.4.3.4.1.5數(shù)據(jù)完整性保護(hù)

對(duì)于系統(tǒng)專家信息、訪問(wèn)控制策略和管理員日志等關(guān)鍵訪問(wèn)控制及審計(jì)數(shù)據(jù)，均需要通過(guò)用戶簽名和摘要相結(jié)合的方式實(shí)現(xiàn)數(shù)據(jù)的防篡改和完整性保護(hù)。管理員的每次操作都會(huì)存儲(chǔ)到系統(tǒng)的日志中，并且會(huì)對(duì)每條記錄進(jìn)行摘要服務(wù)，同時(shí)使用系統(tǒng)私鑰進(jìn)行數(shù)字簽名，實(shí)現(xiàn)操作日志信息的完整性保護(hù)。

2.4.3.4.2數(shù)據(jù)采集安全

本項(xiàng)目數(shù)據(jù)采集安全設(shè)計(jì)要求：

應(yīng)按照數(shù)據(jù)分類分級(jí)管理制度要求對(duì)項(xiàng)目數(shù)據(jù)進(jìn)行分類分級(jí)，形成數(shù)據(jù)分類分級(jí)清單。

應(yīng)明確采集數(shù)據(jù)的目的和用途，確保滿足數(shù)據(jù)源的真實(shí)性、有效性和最少夠用等原則要求，并明確數(shù)據(jù)采集渠道、規(guī)范數(shù)據(jù)格式以及相關(guān)的流程和方式，從而保證數(shù)據(jù)采集的合規(guī)性、正當(dāng)性、一致性。

應(yīng)對(duì)產(chǎn)生數(shù)據(jù)的數(shù)據(jù)源進(jìn)行身份鑒別和記錄，防止數(shù)據(jù)仿冒和數(shù)據(jù)偽造。

2.4.3.4.3數(shù)據(jù)傳輸安全

本項(xiàng)目數(shù)據(jù)傳輸安全設(shè)計(jì)要求：

采用適當(dāng)?shù)募用鼙Ｗo(hù)措施，保證傳輸通道、傳輸節(jié)點(diǎn)和傳輸數(shù)據(jù)的安全，防止傳輸過(guò)程中的數(shù)據(jù)泄漏。

本項(xiàng)目業(yè)務(wù)需要向公眾提供web服務(wù)，web服務(wù)前端服務(wù)器與公眾用戶終端通過(guò)https建立連接，并在傳輸中采用商用密碼進(jìn)行保護(hù)。

2.4.3.4.4數(shù)據(jù)存儲(chǔ)安全

采用商用密碼技術(shù)保護(hù)措施，保證數(shù)據(jù)存儲(chǔ)的機(jī)密性、完整性，防止數(shù)據(jù)明文泄露。

采用商用密碼進(jìn)行數(shù)據(jù)存儲(chǔ)保護(hù)，詳見密碼技術(shù)方案設(shè)計(jì)章節(jié)。

通過(guò)執(zhí)行定期的數(shù)據(jù)備份和恢復(fù)，實(shí)現(xiàn)對(duì)存儲(chǔ)數(shù)據(jù)的冗余管理，保護(hù)數(shù)據(jù)的可用性。

項(xiàng)目制定定期備份策略并執(zhí)行，包括備份頻率、備份周期和備份保留期限。根據(jù)數(shù)據(jù)的重要性和業(yè)務(wù)需求，確定備份的頻率和周期，同時(shí)設(shè)定備份數(shù)據(jù)的保留期限，以便在需要時(shí)進(jìn)行恢復(fù)。制定詳細(xì)的數(shù)據(jù)恢復(fù)流程，包括恢復(fù)前的準(zhǔn)備工作、恢復(fù)操作步驟和恢復(fù)后的驗(yàn)證等。確保在需要時(shí)能夠快速、準(zhǔn)確地恢復(fù)數(shù)據(jù)，并定期進(jìn)行演練。

2.4.3.4.5數(shù)據(jù)處理安全

2.4.3.4.5.1業(yè)務(wù)使用場(chǎng)景安全

針對(duì)不同的用戶權(quán)限進(jìn)行數(shù)據(jù)訪問(wèn)權(quán)限設(shè)計(jì)，一般用戶權(quán)限默認(rèn)只能訪問(wèn)2級(jí)以下數(shù)據(jù)，需要訪問(wèn)超權(quán)限的數(shù)據(jù)，需要進(jìn)行申請(qǐng)，并對(duì)申請(qǐng)、訪問(wèn)進(jìn)行記錄；中等用戶權(quán)限默認(rèn)只能訪問(wèn)3級(jí)以下數(shù)據(jù)，需要訪問(wèn)超權(quán)限的數(shù)據(jù)，需要進(jìn)行申請(qǐng)，并對(duì)申請(qǐng)、訪問(wèn)進(jìn)行記錄；高等用戶權(quán)限可以訪問(wèn)所有數(shù)據(jù)。

針對(duì)數(shù)據(jù)展示，采用脫敏技術(shù)，屏蔽敏感數(shù)據(jù)字段。

2.4.3.4.5.2數(shù)據(jù)安全運(yùn)維場(chǎng)景安全

針對(duì)數(shù)據(jù)庫(kù)運(yùn)維人員執(zhí)行數(shù)據(jù)庫(kù)高危操作、查看敏感數(shù)據(jù)等風(fēng)險(xiǎn)，采用運(yùn)維人員身份鑒別（雙因素）、運(yùn)維賬號(hào)權(quán)限管控、高危操作審批管控、高危指令攔截、敏感數(shù)據(jù)訪問(wèn)動(dòng)態(tài)脫敏、數(shù)據(jù)安全運(yùn)維審計(jì)等內(nèi)容。

2.4.3.4.5.2研發(fā)測(cè)試場(chǎng)景安全

針對(duì)從生產(chǎn)環(huán)境導(dǎo)出生產(chǎn)數(shù)據(jù)到測(cè)試環(huán)境，容易造成數(shù)據(jù)泄露等風(fēng)險(xiǎn)，采用數(shù)據(jù)脫敏技術(shù)，對(duì)從生產(chǎn)環(huán)境導(dǎo)到測(cè)試環(huán)境的數(shù)據(jù)進(jìn)行脫敏。

2.4.3.4.52數(shù)據(jù)分析場(chǎng)景安全

針對(duì)個(gè)人信息的數(shù)據(jù)分析容易侵犯?jìng)€(gè)人權(quán)益，采用數(shù)據(jù)脫敏技術(shù)，對(duì)數(shù)據(jù)進(jìn)行必要的去標(biāo)識(shí)化、匿名化等。

2.4.3.4.6數(shù)據(jù)交換安全

2.4.3.4.6.1數(shù)據(jù)共享場(chǎng)景安全

在數(shù)據(jù)共享場(chǎng)景中，需要根據(jù)共享需求，僅共享必要的數(shù)據(jù)，并采用數(shù)據(jù)脫敏技術(shù)，對(duì)非必要共享真實(shí)數(shù)據(jù)的內(nèi)容進(jìn)行脫敏。

2.4.3.4.6.2數(shù)據(jù)開放場(chǎng)景安全

在數(shù)據(jù)開放場(chǎng)景中，需要根據(jù)開放需求，僅開放必要的數(shù)據(jù)，并采用數(shù)據(jù)脫敏技術(shù)，對(duì)非必要開放真實(shí)數(shù)據(jù)的內(nèi)容進(jìn)行脫敏。

2.4.3.4.7數(shù)據(jù)刪除

數(shù)據(jù)刪除是指在產(chǎn)品和服務(wù)所涉及的系統(tǒng)及設(shè)備中去除數(shù)據(jù)，使其保持不可被檢索、訪問(wèn)的狀態(tài)。

基于數(shù)據(jù)分類分級(jí)結(jié)果，結(jié)合法律法規(guī)要求，明確各類數(shù)據(jù)存儲(chǔ)期限，在數(shù)據(jù)存儲(chǔ)期限到期后，進(jìn)行數(shù)據(jù)刪除。

2.4.3.4.8數(shù)據(jù)銷毀安全

數(shù)據(jù)銷毀是指在停止業(yè)務(wù)服務(wù)、數(shù)據(jù)使用以及存儲(chǔ)空間釋放再分配等場(chǎng)景下，對(duì)數(shù)據(jù)庫(kù)、服務(wù)器和終端中的剩余數(shù)據(jù)以及硬件存儲(chǔ)介質(zhì)等采用數(shù)據(jù)擦除或者物理銷毀的方式確保數(shù)據(jù)無(wú)法復(fù)原的過(guò)程。

在業(yè)務(wù)服務(wù)器下線時(shí)，采用數(shù)據(jù)擦除方式對(duì)服務(wù)器上的數(shù)據(jù)進(jìn)行擦除。

2.4.3.4.9數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)

2.4.3.4.9.1數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)梳理

數(shù)據(jù)資產(chǎn)隨著業(yè)務(wù)的更新是在不斷變化的，數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)與梳理，是實(shí)現(xiàn)數(shù)據(jù)安全管理的基礎(chǔ)和前置條件。通過(guò)數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)與梳理，形成數(shù)據(jù)資產(chǎn)清單，并識(shí)別變化的數(shù)據(jù)資產(chǎn)，不斷更新數(shù)據(jù)分類分級(jí)。

利用數(shù)據(jù)掃描技術(shù)工具，發(fā)現(xiàn)數(shù)據(jù)庫(kù)數(shù)據(jù)資產(chǎn)及文件數(shù)據(jù)資產(chǎn)；通過(guò)數(shù)據(jù)庫(kù)訪問(wèn)流量、應(yīng)用訪問(wèn)流量監(jiān)測(cè)的方式識(shí)別數(shù)據(jù)庫(kù)訪問(wèn)的數(shù)據(jù)資產(chǎn)、應(yīng)用訪問(wèn)的數(shù)據(jù)資產(chǎn)。

2.4.3.4.9.2數(shù)據(jù)庫(kù)數(shù)據(jù)訪問(wèn)風(fēng)險(xiǎn)監(jiān)測(cè)

在數(shù)據(jù)流轉(zhuǎn)的過(guò)程中存在如數(shù)據(jù)未授權(quán)訪問(wèn)、未按要求進(jìn)行數(shù)據(jù)脫敏、敏感數(shù)據(jù)未按要求進(jìn)行加密、流轉(zhuǎn)過(guò)程中存在的高頻訪問(wèn)等異常風(fēng)險(xiǎn)行為，需要采取技術(shù)手段進(jìn)行監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)并響應(yīng)處置。

利用數(shù)據(jù)庫(kù)審計(jì)能力，基于數(shù)據(jù)分類分級(jí)結(jié)果，制定風(fēng)險(xiǎn)監(jiān)測(cè)策略，對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的訪問(wèn)進(jìn)行風(fēng)險(xiǎn)監(jiān)測(cè)。

2.4.3.4.9.3應(yīng)用數(shù)據(jù)訪問(wèn)風(fēng)險(xiǎn)監(jiān)測(cè)

在數(shù)據(jù)流轉(zhuǎn)的過(guò)程中存在如數(shù)據(jù)未授權(quán)訪問(wèn)、未按要求進(jìn)行數(shù)據(jù)脫敏、敏感數(shù)據(jù)未按要求進(jìn)行加密、流轉(zhuǎn)過(guò)程中存在的高頻訪問(wèn)等異常風(fēng)險(xiǎn)行為，需要采取技術(shù)手段進(jìn)行監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)并響應(yīng)處置。

采用應(yīng)用安全監(jiān)測(cè)技術(shù)手段，基于數(shù)據(jù)分類分級(jí)結(jié)果，制定風(fēng)險(xiǎn)監(jiān)測(cè)策略，對(duì)應(yīng)用數(shù)據(jù)的訪問(wèn)進(jìn)行風(fēng)險(xiǎn)監(jiān)測(cè)。

2.4.3.4.10個(gè)人信息保護(hù)

2.4.3.4.10.1個(gè)人信息的收集

收集個(gè)人信息需要遵循合法性、最小必要、自主選擇、授權(quán)同意等原則。

需要采集用戶的姓名、身份證號(hào)，用于用戶的實(shí)名認(rèn)證，當(dāng)用戶進(jìn)行身份識(shí)別登錄后，進(jìn)行數(shù)據(jù)采集。采集前已通過(guò)用戶隱私聲明告知用戶采集的數(shù)據(jù)及用途，并征得用戶同意。

2.4.3.4.10.2個(gè)人信息的存儲(chǔ)

個(gè)人信息的存儲(chǔ)需要滿足個(gè)人信息存儲(chǔ)時(shí)間最小化、去標(biāo)識(shí)化處理、個(gè)人敏感信息的傳輸和存儲(chǔ)等要求。

個(gè)人三級(jí)以上敏感數(shù)據(jù)進(jìn)行數(shù)據(jù)加密存儲(chǔ)。

2.4.3.4.10.3個(gè)人信息的使用

個(gè)人信息的使用需要滿足個(gè)人信息訪問(wèn)控制措施、個(gè)人信息的展示限制、個(gè)人信息使用的目的限制、用戶畫像的使用限制、個(gè)性化展示的使用、基于不同業(yè)務(wù)目的所收集個(gè)人信息的匯聚融合、信息系統(tǒng)自動(dòng)決策機(jī)制的使用等要求。

個(gè)人信息的展示限制設(shè)計(jì)，平臺(tái)后臺(tái)查詢用戶數(shù)據(jù)時(shí)，對(duì)查詢的三級(jí)以上用戶數(shù)據(jù)進(jìn)行脫敏展示。

2.4.3.4.10.4個(gè)人信息主體的權(quán)利

個(gè)人信息的主體權(quán)利需要滿足個(gè)人信息查詢、個(gè)人信息更正、個(gè)人信息刪除、個(gè)人信息主體撤回授權(quán)同意、個(gè)人信息主體注銷賬戶、個(gè)人信息主體獲取個(gè)人信息副本、響應(yīng)個(gè)人信息主體的請(qǐng)求、投訴管理等要求。

個(gè)人信息主體注銷賬戶設(shè)計(jì)，在用戶設(shè)置功能下，有注銷賬戶功能。

2.4.3.4.10.5個(gè)人信息的委托處理、共享、轉(zhuǎn)讓、公開披露

個(gè)人信息的主體權(quán)利需要滿足委托處理、個(gè)人信息共享、轉(zhuǎn)讓、個(gè)人信息公開披露、共同個(gè)人信息控制者、第三方接入管理、個(gè)人信息跨境傳輸?shù)纫蟆?/span>

個(gè)人信息共享，事先開展個(gè)人信息安全影響評(píng)估，并告知用戶，征得用戶明示同意。

 

原招標(biāo)文件P107頁(yè)原內(nèi)容為：

2.4.3.5 接口安全防護(hù)設(shè)計(jì)

對(duì)語(yǔ)音通知接口進(jìn)行安全防護(hù)，通過(guò)手動(dòng)錄入的方式在專家?guī)煜到y(tǒng)中錄入

設(shè)備信息，確保只有登記的語(yǔ)音服務(wù)器才可以請(qǐng)求專家?guī)斐槿〗Y(jié)果同步接口，

否則一律拒絕。

修改為：

2.4.3.5接口安全防護(hù)設(shè)計(jì)

建立服務(wù)接口安全體系，對(duì)數(shù)據(jù)導(dǎo)入導(dǎo)出可通過(guò)平臺(tái)進(jìn)行審核并詳細(xì)記錄，確保沒(méi)有超出數(shù)據(jù)授權(quán)使用范圍，本項(xiàng)目主要對(duì)語(yǔ)音通知接口安全進(jìn)行防護(hù)設(shè)計(jì)。

2.4.3.5.1專家?guī)煺Z(yǔ)音通知接口安全設(shè)計(jì)

通過(guò)手動(dòng)錄入的方式在專家?guī)煜到y(tǒng)中錄入終端設(shè)備編號(hào)、加密卡硬件標(biāo)識(shí)、別名、所處位置描述、IP地址、MAC地址、公鑰字符串（從加密卡中導(dǎo)出），是否啟用，業(yè)務(wù)關(guān)聯(lián)字段，確保只有登記的語(yǔ)音服務(wù)器才可以請(qǐng)求專家?guī)斐槿〗Y(jié)果同步接口，否則一律拒絕。

 

原招標(biāo)文件P108頁(yè)原內(nèi)容為：

2.4.3.6 區(qū)域邊界安全防護(hù)設(shè)計(jì)

本項(xiàng)目通過(guò)區(qū)域邊界安全防護(hù)設(shè)計(jì)保護(hù)區(qū)域安全，包括邊界防護(hù)、訪問(wèn)控制、入侵防

范、惡意代碼防范、安全審計(jì)。

 

修改為：

2.4.3.6區(qū)域邊界安全防護(hù)設(shè)計(jì)

本項(xiàng)目通過(guò)區(qū)域邊界安全防護(hù)設(shè)計(jì)保護(hù)區(qū)域安全，包括邊界防護(hù)、訪問(wèn)控制、入侵防范、惡意代碼防范、安全審計(jì)。

1.邊界防護(hù)

通過(guò)部署防火墻系統(tǒng)進(jìn)行網(wǎng)絡(luò)邊界的安全防護(hù)，對(duì)互聯(lián)網(wǎng)提供web服務(wù)，將web端口映射到公網(wǎng)，由省級(jí)政務(wù)云提供網(wǎng)絡(luò)映射服務(wù)和網(wǎng)絡(luò)邊界防護(hù)服務(wù)，保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界設(shè)備提供的受控接口進(jìn)行通信。網(wǎng)絡(luò)邊界防護(hù)服務(wù)提供對(duì)非授權(quán)設(shè)備私自聯(lián)到本項(xiàng)目?jī)?nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制。

本項(xiàng)目部署所在電子政務(wù)云平臺(tái)已經(jīng)部署防火墻系統(tǒng)，由網(wǎng)絡(luò)安全指揮中心提供安全監(jiān)測(cè)與響應(yīng)服務(wù)，提供對(duì)非授權(quán)設(shè)備私自聯(lián)到本項(xiàng)目?jī)?nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查與預(yù)警，對(duì)內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查與預(yù)警，滿足等保三級(jí)建設(shè)安全區(qū)域邊界——邊界防護(hù)要求。

以此滿足等級(jí)保護(hù)2.0的三級(jí)建設(shè)安全區(qū)域邊界——邊界防護(hù)要求。

表 區(qū)域邊界安全防護(hù)要求

子項(xiàng)	等保要求	防護(hù)措施	建設(shè)情況
邊界防護(hù)	a）應(yīng)保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界設(shè)備提供的受控接口進(jìn)行通信。	防火墻、準(zhǔn)入控制系統(tǒng)	由省電子政務(wù)云平臺(tái)提供
	b）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制。
	c）應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制。

2.訪問(wèn)控制

通過(guò)省級(jí)政務(wù)云提供的網(wǎng)絡(luò)邊界防護(hù)服務(wù)，對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制。提供包過(guò)濾的安全防護(hù)，根據(jù)定義好的過(guò)濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過(guò)濾規(guī)則匹配。過(guò)濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂，報(bào)頭信息中包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP、UDP、ICMP等等）、TCP/UDP目標(biāo)端口、ICMP消息類型等。包過(guò)濾防護(hù)要遵循的一條基本原則是“最小特權(quán)原則”，即明確允許希望通過(guò)的數(shù)據(jù)包，禁止其他的數(shù)據(jù)包。

本項(xiàng)目部署所在省電子政務(wù)云平臺(tái)已提供網(wǎng)絡(luò)邊界防護(hù)服務(wù)，滿足等級(jí)保護(hù)2.0的三級(jí)建設(shè)安全區(qū)域邊界——訪問(wèn)控制要求：

表 訪問(wèn)控制等保要求

子項(xiàng)	等保要求	防護(hù)措施	建設(shè)情況
訪問(wèn)控制	a）應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信。	安全服務(wù)：安全策略加固	由日常信息安全運(yùn)維提供
	b）應(yīng)刪除多余或無(wú)效的訪問(wèn)控制規(guī)則，優(yōu)化訪問(wèn)控制列表，并保證訪問(wèn)控制規(guī)則數(shù)量最小化。	安全服務(wù)：安全策略加固
	c）應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出。	安全服務(wù)：安全策略加固
	d）應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問(wèn)控制。	防火墻	由省電子政務(wù)云平臺(tái)提供

3.入侵防范

通過(guò)省級(jí)政務(wù)云提供的入侵防御能力，有效防御來(lái)自內(nèi)部和外部的網(wǎng)絡(luò)攻擊行為。由網(wǎng)絡(luò)安全指揮中心提供實(shí)時(shí)攻擊監(jiān)測(cè)、分析，對(duì)網(wǎng)絡(luò)流量進(jìn)行24小時(shí)不間斷的監(jiān)控。一旦發(fā)現(xiàn)異常流量或惡意攻擊行為，系統(tǒng)會(huì)立即觸發(fā)警報(bào)，并采取相應(yīng)措施，包括封禁攻擊IP、阻止惡意流量傳播等措施。

本項(xiàng)目部署所在省電子政務(wù)云平臺(tái)已部署入侵防御系統(tǒng)和高級(jí)威脅檢測(cè)系統(tǒng)（APT）；滿足等級(jí)保護(hù)2.0的三級(jí)建設(shè)安全區(qū)域邊界——入侵防范要求：

表 入侵防范等保要求

子項(xiàng)	等保要求	防護(hù)措施	建設(shè)情況
入侵防范	a）應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為。	入侵檢測(cè)系統(tǒng)、高級(jí)威脅檢測(cè)系統(tǒng)（APT）	由省電子政務(wù)云平臺(tái)提供
	b）應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。
	c）應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析。
	d）當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。

4.惡意代碼防范

通過(guò)省級(jí)政務(wù)云提供的主機(jī)防病毒，專門針對(duì)云計(jì)算虛擬化環(huán)境下云服務(wù)器信息安全防護(hù)系統(tǒng)，通過(guò)病毒防護(hù)等功能實(shí)現(xiàn)服務(wù)器和云服務(wù)器的全面防護(hù)。主機(jī)防病毒系統(tǒng)持續(xù)更新病毒庫(kù)，以應(yīng)對(duì)不斷變化的惡意代碼威脅。主機(jī)防病毒系統(tǒng)具備深度檢測(cè)和隔離功能，一旦發(fā)現(xiàn)惡意代碼或可疑文件，系統(tǒng)會(huì)立即進(jìn)行隔離，防止其進(jìn)一步傳播和感染其他文件。并且提供了實(shí)時(shí)監(jiān)控和報(bào)警功能?？梢约皶r(shí)發(fā)現(xiàn)并處理潛在的惡意代碼威脅，確保服務(wù)器的穩(wěn)定運(yùn)行和數(shù)據(jù)安全。

本項(xiàng)目部署所在省電子政務(wù)云平臺(tái)已部署防病毒網(wǎng)關(guān)，滿足等級(jí)保護(hù)2.0的三級(jí)建設(shè)安全區(qū)域邊界——惡意代碼防范要求：

表  惡意代碼防范等保要求

子項(xiàng)	等保要求	防護(hù)措施	建設(shè)情況
惡意代碼防范	a）應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行檢測(cè)和清除，并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更新。	防病毒網(wǎng)關(guān)	由省電子政務(wù)云平臺(tái)提供

5.安全審計(jì)

通過(guò)部署上網(wǎng)行為管理系統(tǒng)，通過(guò)針對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)。同時(shí)通過(guò)部署日志審計(jì)系統(tǒng)針對(duì)設(shè)備以及主機(jī)日志進(jìn)行統(tǒng)一的收集與審計(jì)，審計(jì)記錄包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。

本項(xiàng)目部署所在省電子政務(wù)云平臺(tái)已部署上網(wǎng)行為管理和日志審計(jì)系統(tǒng)，滿足等級(jí)保護(hù)2.0的三級(jí)建設(shè)安全區(qū)域邊界——安全審計(jì)要求：

表 安全審計(jì)等保要求

子項(xiàng)	等保要求	防護(hù)措施	建設(shè)情況
安全審計(jì)	a）應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)。	日志審計(jì)系統(tǒng)、上網(wǎng)行為管理系統(tǒng)	由省電子政務(wù)云平臺(tái)提供

 

原招標(biāo)文件P110頁(yè)增加以下內(nèi)容：

▲2.7風(fēng)險(xiǎn)和效益分析

隨著信息化的不斷發(fā)展，信息安全風(fēng)險(xiǎn)已被越來(lái)越多的政府部門所警惕，信息安全的重要性已得到普遍重視。雖然已經(jīng)建立了有效地應(yīng)對(duì)信息安全風(fēng)險(xiǎn)的措施，但在信息化的管理上信息安全風(fēng)險(xiǎn)時(shí)有發(fā)生。如在工作人員的機(jī)器上存放重要的基礎(chǔ)數(shù)據(jù)，數(shù)據(jù)庫(kù)未按規(guī)范的數(shù)據(jù)備份策略進(jìn)行數(shù)據(jù)備份等等，這樣會(huì)造成數(shù)據(jù)丟失和泄漏，導(dǎo)致不良的經(jīng)濟(jì)影響和社會(huì)影響。

2.7.1信息安全類風(fēng)險(xiǎn)

信息化的風(fēng)險(xiǎn)首先是信息安全類風(fēng)險(xiǎn)。安全風(fēng)險(xiǎn)的威脅主要來(lái)自以下幾個(gè)方面：

1.內(nèi)部威脅：

惡意或誤操作引起的信息泄漏或毀壞重要信息，以欺詐手段使用重要信息或者令合法用戶無(wú)法正常使用相關(guān)的信息，在項(xiàng)目中主要是來(lái)自各計(jì)算區(qū)域內(nèi)部的安全威脅。

2.外部威脅：

來(lái)自外網(wǎng)的安全威脅。在傳輸線路上安裝竊聽裝置，竊取網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，造成信息泄漏或者做一些修改來(lái)破壞數(shù)據(jù)的完整性，對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸構(gòu)成嚴(yán)重的安全威脅。關(guān)鍵性業(yè)務(wù)數(shù)據(jù)未經(jīng)加密就發(fā)送出去，對(duì)應(yīng)本項(xiàng)目，主要安全威脅為各級(jí)計(jì)算區(qū)域相連的線路上。

3.敏感信息傳輸風(fēng)險(xiǎn)：

線路傳輸風(fēng)險(xiǎn)和關(guān)鍵數(shù)據(jù)明碼傳送的威脅，對(duì)應(yīng)于政務(wù)云計(jì)算平臺(tái)、各業(yè)務(wù)部門在電子政務(wù)外網(wǎng)進(jìn)行信息傳輸產(chǎn)生的安全風(fēng)險(xiǎn)。

4.互聯(lián)威脅：

電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)以及其他信息網(wǎng)絡(luò)的連接，將增加敏感信息被竊取、破壞的風(fēng)險(xiǎn)，從而增加對(duì)政務(wù)信息系統(tǒng)的安全威脅。

5.數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)：

本平臺(tái)中需要存儲(chǔ)大量數(shù)據(jù)，所有信息都十分重要，所以，龐大的數(shù)據(jù)安全存儲(chǔ)將影響到整個(gè)數(shù)字福建災(zāi)難備份中心的安全性。

針對(duì)信息安全類風(fēng)險(xiǎn)，可以采取以下對(duì)策：

1.加強(qiáng)技術(shù)防范：包括配置網(wǎng)絡(luò)安全設(shè)備，如防火墻、入侵檢測(cè)系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）等，以確保網(wǎng)絡(luò)的安全；定期進(jìn)行系統(tǒng)漏洞掃描和風(fēng)險(xiǎn)評(píng)估，以及時(shí)修補(bǔ)潛在的安全漏洞；采用強(qiáng)密碼策略，并定期更換密碼，以減少被破解的風(fēng)險(xiǎn)。

2.建立完善的應(yīng)急計(jì)劃和安全預(yù)案：針對(duì)各種可能的突發(fā)事件，制定具體的操作流程，包括行動(dòng)指南、關(guān)鍵人員聯(lián)系方式、信息備份等，以便在發(fā)生安全事件時(shí)能夠迅速響應(yīng)，減少損失。

3.加強(qiáng)人員管理和培訓(xùn)：制定網(wǎng)絡(luò)安全管理規(guī)章制度，明確各種安全策略和操作流程；定期對(duì)相關(guān)人員進(jìn)行安全培訓(xùn)，增強(qiáng)他們的安全意識(shí)和技能，防止安全漏洞的產(chǎn)生。

4.監(jiān)控和審核所有訪問(wèn)：充分調(diào)用一體化運(yùn)維監(jiān)管體系，建立合適的訪問(wèn)權(quán)限和審計(jì)體系，確保不同用戶和組的訪問(wèn)權(quán)限符合安全審計(jì)政策和規(guī)定；對(duì)所有的訪問(wèn)行為進(jìn)行監(jiān)控和記錄，以便在發(fā)生安全事件時(shí)能夠追蹤和溯源。

2.7.2政策類風(fēng)險(xiǎn)

政策風(fēng)險(xiǎn)是政府部門和企業(yè)自身不可避免的，主要是相關(guān)政策法規(guī)不夠健全和完善，不適應(yīng)信息化發(fā)展的需要，在很大程度上制約信息化建設(shè)的開展和實(shí)施，關(guān)鍵是制定政策的部門應(yīng)該考慮到相關(guān)因素，提出指導(dǎo)性的意見，盡量減少因?yàn)檎咭蛩囟a(chǎn)生的影響。

針對(duì)政策類風(fēng)險(xiǎn)，可采取以下對(duì)策：

1.加強(qiáng)政策研究和分析，及時(shí)了解政策的變化和趨勢(shì)，制定相應(yīng)的應(yīng)對(duì)策略。

2.建立政策風(fēng)險(xiǎn)管理機(jī)制，制定相應(yīng)的風(fēng)險(xiǎn)管理計(jì)劃和措施，降低政策風(fēng)險(xiǎn)的影響。

3.加強(qiáng)與相關(guān)部門的溝通和聯(lián)系，及時(shí)了解政策的執(zhí)行情況和政策變化，爭(zhēng)取政策支持和幫助。

4.加強(qiáng)創(chuàng)新，提高核心競(jìng)爭(zhēng)力，降低政策限制的影響。

2.7.3推廣類風(fēng)險(xiǎn)

項(xiàng)目用戶除了工作人員還有各類專家，高齡人員信息化水平有限，這些人員業(yè)務(wù)水平和信息化認(rèn)知水平參差不齊，計(jì)算機(jī)的操作能力相對(duì)較低，具有系統(tǒng)應(yīng)用推廣較難，普及時(shí)間周期較長(zhǎng)的問(wèn)題，存在導(dǎo)致影響系統(tǒng)建設(shè)運(yùn)行成效的風(fēng)險(xiǎn)。

針對(duì)推廣類風(fēng)險(xiǎn)，可采取以下對(duì)策：

項(xiàng)目的用戶群體對(duì)系統(tǒng)功能理解，操作方式熟悉度有所差異，因此平臺(tái)軟件功能設(shè)計(jì)方面需要盡量直觀、扁平化，便于各個(gè)年齡段用戶使用。同時(shí)重視平臺(tái)培訓(xùn)工作，針對(duì)系統(tǒng)使用中普遍問(wèn)題組織專項(xiàng)培訓(xùn)，并做好相關(guān)操作文檔的方便查閱。

2.7.4技術(shù)類風(fēng)險(xiǎn)

本項(xiàng)目基于數(shù)字福建“1131+N”一體化數(shù)字政務(wù)體系規(guī)劃設(shè)計(jì)，涉及國(guó)產(chǎn)化主機(jī)、存儲(chǔ)、數(shù)據(jù)庫(kù)等資源，同時(shí)需要調(diào)用密碼池進(jìn)行密碼方案實(shí)施，還需調(diào)用三大一體化能力，本項(xiàng)目建設(shè)時(shí)，存在上述資源和平臺(tái)無(wú)法提供服務(wù)的情況，進(jìn)而影響項(xiàng)目的實(shí)施和進(jìn)度。

本項(xiàng)目按照信創(chuàng)環(huán)境進(jìn)行設(shè)計(jì)，需要進(jìn)行國(guó)產(chǎn)服務(wù)器、操作系統(tǒng)、瀏覽器、數(shù)據(jù)庫(kù)、中間件等進(jìn)行適配，可能存在難以適配情況，也可能存在性能大幅降低，甚至影響應(yīng)用系統(tǒng)運(yùn)行效率。

針對(duì)技術(shù)類風(fēng)險(xiǎn)，可采取以下對(duì)策：

1.技術(shù)架構(gòu)風(fēng)險(xiǎn)防控對(duì)策

本方案涉及的多項(xiàng)核心技術(shù)已經(jīng)在其他項(xiàng)目中成功應(yīng)用且實(shí)施效果良好。在項(xiàng)目設(shè)計(jì)、開發(fā)、實(shí)施過(guò)程中，將嚴(yán)格遵循“成熟性”原則，即盡可能采用成熟技術(shù)，集成成熟產(chǎn)品，可以將技術(shù)風(fēng)險(xiǎn)降至最低。

2.系統(tǒng)設(shè)計(jì)風(fēng)險(xiǎn)防控對(duì)策

項(xiàng)目設(shè)計(jì)過(guò)程中將采用以下應(yīng)對(duì)措施：一是注重系統(tǒng)設(shè)計(jì)的前瞻性。在系統(tǒng)設(shè)計(jì)時(shí)充分考慮到技術(shù)的發(fā)展趨勢(shì)，避免采用即將被淘汰的技術(shù)和產(chǎn)品，在產(chǎn)品選擇上充分考慮到廠商的支持力度，降低升級(jí)風(fēng)險(xiǎn)。二是加強(qiáng)系統(tǒng)靈活性和可擴(kuò)充性的設(shè)計(jì)，充分考慮到系統(tǒng)未來(lái)發(fā)展需求，在系統(tǒng)設(shè)計(jì)時(shí)注重系統(tǒng)的靈活性和可擴(kuò)充性，減少系統(tǒng)升級(jí)和擴(kuò)展的難度，降低升級(jí)風(fēng)險(xiǎn)。

2.7.5管理類風(fēng)險(xiǎn)

本項(xiàng)目涉及不同的單位同時(shí)也涉及社會(huì)公眾。時(shí)間緊、任務(wù)重。另外，項(xiàng)目存在大量的溝通協(xié)調(diào)問(wèn)題，如項(xiàng)目建設(shè)過(guò)程不能有效協(xié)調(diào)配合，將影響項(xiàng)目運(yùn)行管理。不合理地組織分工，將會(huì)導(dǎo)致項(xiàng)目質(zhì)量、進(jìn)度、投資成本達(dá)不到預(yù)期目標(biāo)。

本項(xiàng)目管理類風(fēng)險(xiǎn)還包括：項(xiàng)目計(jì)劃不合理、項(xiàng)目資源不足、項(xiàng)目團(tuán)隊(duì)協(xié)作不足、項(xiàng)目管理不善、項(xiàng)目需求變更。

針對(duì)管理類風(fēng)險(xiǎn)，可采取以下對(duì)策：

（1）建立完善的項(xiàng)目管理機(jī)制，明確項(xiàng)目目標(biāo)、階段目標(biāo)和績(jī)效指標(biāo)；

（2）制定詳細(xì)的項(xiàng)目計(jì)劃和時(shí)間表，加強(qiáng)時(shí)間管理和成本控制；

（3）建立跨部門溝通和協(xié)作機(jī)制，確保信息暢通和決策及時(shí)。

2.7.6效益分析

1.社會(huì)效益分析

福建省綜合評(píng)標(biāo)專家?guī)煨畔⑾到y(tǒng)是為加強(qiáng)對(duì)評(píng)標(biāo)專家的監(jiān)督管理，健全評(píng)標(biāo)專家管理制度，促進(jìn)評(píng)標(biāo)活動(dòng)公平、公正，提高評(píng)標(biāo)質(zhì)量而建設(shè)的全省統(tǒng)一的綜合評(píng)標(biāo)專家?guī)煨畔⑾到y(tǒng)。項(xiàng)目建成后可以進(jìn)一步規(guī)范福建省政府投資項(xiàng)目招投標(biāo)活動(dòng)，提高政府投資效益，促進(jìn)廉政建設(shè)。本項(xiàng)目將建立統(tǒng)一管理、數(shù)據(jù)資源共享、異地獨(dú)立抽取、實(shí)時(shí)記錄、在線監(jiān)督、安全可靠為特征的福建省綜合評(píng)標(biāo)專家?guī)煨畔⑾到y(tǒng)。

本項(xiàng)目的社會(huì)效益體現(xiàn)在：

（1）建立統(tǒng)一服務(wù)平臺(tái)，實(shí)現(xiàn)評(píng)標(biāo)專家?guī)烊鐣?huì)共享

福建省綜合評(píng)標(biāo)專家?guī)旖ǔ珊螅瑢檎顿Y的工程項(xiàng)目招投標(biāo)活動(dòng)提供充足、優(yōu)質(zhì)的評(píng)標(biāo)專家資源，解決了政府各部門分別設(shè)立評(píng)標(biāo)專家?guī)斓男姓杀具^(guò)高、專家資源分散的問(wèn)題，充分實(shí)現(xiàn)評(píng)標(biāo)專家資源共享，有助于提高評(píng)標(biāo)結(jié)果的科學(xué)性。

（2）全流程電子化管理，加強(qiáng)監(jiān)督，從源頭防治腐敗

建立福建省綜合評(píng)標(biāo)專家?guī)煨畔⑾到y(tǒng)可以打破地域、行業(yè)的限制，實(shí)現(xiàn)省內(nèi)評(píng)標(biāo)專家資源的共享，避免出現(xiàn)利益關(guān)系和腐敗現(xiàn)象。同時(shí)，系統(tǒng)的隨機(jī)抽取和匿名評(píng)審等機(jī)制，也有效地避免了主觀因素的影響，降低了腐敗風(fēng)險(xiǎn)。系統(tǒng)通過(guò)全流程的電子化管理，實(shí)現(xiàn)所有數(shù)據(jù)可用不可見，加強(qiáng)了信息閉環(huán)管理與系統(tǒng)安全性，從源頭上加強(qiáng)了招標(biāo)腐敗的防治。

同時(shí)，福建省綜合評(píng)標(biāo)專家?guī)煨畔⑾到y(tǒng)實(shí)現(xiàn)了專家線上的培訓(xùn)和考核，不僅節(jié)約了培訓(xùn)成本，使專家可以更加靈活地安排培訓(xùn)內(nèi)容和時(shí)間，提高了培訓(xùn)效果，也提高了培訓(xùn)管理效率，通過(guò)系統(tǒng)化管理，實(shí)現(xiàn)培訓(xùn)流程的自動(dòng)化和規(guī)范化，此外，也可對(duì)培訓(xùn)進(jìn)度進(jìn)行實(shí)時(shí)監(jiān)控和管理，確保培訓(xùn)的順利進(jìn)行。真正實(shí)現(xiàn)了全流程電子化管理。

（3）建立公平競(jìng)爭(zhēng)的招標(biāo)環(huán)境，完善建設(shè)市場(chǎng)體制

中央和地方政府及有關(guān)部門就進(jìn)一步規(guī)范招投標(biāo)活動(dòng)出臺(tái)了與《招標(biāo)投標(biāo)法》配套的政策法規(guī)，為建設(shè)一個(gè)公開、公平、公正和誠(chéng)實(shí)信用的招標(biāo)投標(biāo)市場(chǎng)創(chuàng)造了良好的制度環(huán)境。

專家?guī)旖⒑螅蓮?qiáng)化政府管理能力，提高政府行政監(jiān)督部門對(duì)政府投資項(xiàng)目招投標(biāo)活動(dòng)的監(jiān)管力度和服務(wù)水平。將信息技術(shù)與有關(guān)招投標(biāo)的政策法規(guī)相結(jié)合，可促進(jìn)政策法規(guī)的落實(shí)。通過(guò)可操作的手段達(dá)到了規(guī)范評(píng)標(biāo)工作、建立公平招標(biāo)環(huán)節(jié)，確保評(píng)標(biāo)專家獨(dú)立、客觀公正履行職責(zé)；打破行業(yè)壟斷和地區(qū)封鎖，減少不正當(dāng)交易和腐敗現(xiàn)象，完善招投標(biāo)市場(chǎng)體系。

（4）提高評(píng)標(biāo)質(zhì)量，保證投資效益

通過(guò)公平、公正的方法從權(quán)威的評(píng)標(biāo)專家?guī)熘谐槿≡u(píng)標(biāo)專家，可以保證評(píng)標(biāo)工作的公正，從而保證了政府投資項(xiàng)目的資金使用效益；實(shí)現(xiàn)組織結(jié)構(gòu)和工作流程的優(yōu)化和重組，提高政府辦事效率；在招投標(biāo)活動(dòng)中體現(xiàn)公開、公平、公正和誠(chéng)實(shí)信用原則，維護(hù)招投標(biāo)當(dāng)事人的合法權(quán)益；對(duì)省級(jí)有關(guān)部門和招標(biāo)代理機(jī)構(gòu)依法建立的評(píng)標(biāo)專家?guī)煲矊⑵鸬揭龑?dǎo)和示范作用。

2．經(jīng)濟(jì)效益分析

（1）改變線下入庫(kù)、培訓(xùn)考試方式，節(jié)約時(shí)間和成本

本項(xiàng)目將專家的入庫(kù)方式、培訓(xùn)方式、考試方式都由線下轉(zhuǎn)為線上，節(jié)約了時(shí)間和成本，為專家提供了靈活、便捷的學(xué)習(xí)方式，使專家能夠隨時(shí)隨地進(jìn)行學(xué)習(xí)，提升自己的專業(yè)素養(yǎng)和能力。

（2）可改進(jìn)工作方式，提高工作效率

本項(xiàng)目建成后，采用信息化、自動(dòng)化的工作方式，實(shí)現(xiàn)全程電子化管理，將大大地解放人力；公文的無(wú)紙和少紙化流轉(zhuǎn)、交換，各類信息的網(wǎng)上報(bào)送將節(jié)省巨大的信息介質(zhì)成本；通過(guò)為社會(huì)各界開展招標(biāo)投標(biāo)活動(dòng)免費(fèi)提供評(píng)標(biāo)專家抽取服務(wù)，極大減少社會(huì)在此方面的成本。績(jī)效目標(biāo)與考核指標(biāo)。

原招標(biāo)文件P108頁(yè)“2.5.1 密碼應(yīng)用技術(shù)架構(gòu)”的圖修改為：

（四）本項(xiàng)目開標(biāo)時(shí)間及投標(biāo)保證金截止時(shí)間更改為：2024年9月2日 09：10：00，招標(biāo)文件相關(guān)部分同時(shí)進(jìn)行更改。

因系統(tǒng)無(wú)法完整上傳圖片并顯示，更正公告完整內(nèi)容以附件為準(zhǔn)。

本補(bǔ)充通知為招標(biāo)文件的組成部分，與招標(biāo)文件、招標(biāo)公告不一致之處，以本補(bǔ)充通知為準(zhǔn)。

招標(biāo)人：福建省經(jīng)濟(jì)信息中心

招標(biāo)代理：福建德森招標(biāo)有限公司

日期：2024年8月15日