政務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)評估與內(nèi)控研究課題

政務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)評估與內(nèi)控研究課題技術(shù)服務(wù)需求一、項(xiàng)目概況本項(xiàng)目為政務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)評估與內(nèi)控研究課題的技術(shù)服務(wù)項(xiàng)目。當(dāng)前我省市場監(jiān)管領(lǐng)域存在數(shù)據(jù)量大、覆蓋面廣、結(jié)構(gòu)多樣、關(guān)聯(lián)關(guān)系復(fù)雜等特點(diǎn)，且其中涉及大量工作秘密、個(gè)人隱私數(shù)據(jù)等敏感數(shù)據(jù)。特別是在信息系統(tǒng)建設(shè)過程中，承建單位和第三方服務(wù)單位現(xiàn)場駐點(diǎn)人員數(shù)量多、變動(dòng)快、管理難等問題較為突出，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段不足以解決當(dāng)前面臨的數(shù)據(jù)安全問題，急需加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)評估和內(nèi)控管理。本項(xiàng)目從福建省市場監(jiān)管政務(wù)數(shù)據(jù)敏感發(fā)現(xiàn)入手,旨在實(shí)現(xiàn)數(shù)據(jù)從云端到終端的全過程閉環(huán)管控，實(shí)現(xiàn)對敏感數(shù)據(jù)自動(dòng)掃描發(fā)現(xiàn)和敏感資產(chǎn)快速分級分類，有效提升數(shù)據(jù)安全內(nèi)控管理水平。二、技術(shù)和服務(wù)要求（一）服務(wù)內(nèi)容1、識別福建省市場監(jiān)管相關(guān)系統(tǒng)云端及終端敏感信息分布和不當(dāng)存儲，監(jiān)控對敏感信息的使用并進(jìn)行實(shí)時(shí)保護(hù)，制定多維度敏感數(shù)據(jù)分布地圖。（1）支持ORACLE、SQLSERVER、Hive、OceanBase、TIDB、MySQL、Odps、PgSQL、Mongodb等主流的關(guān)系型數(shù)據(jù)庫、數(shù)據(jù)倉庫、大數(shù)據(jù)平臺、云數(shù)據(jù)庫。（2）支持上海熱璞、武漢達(dá)夢、南大通用、巨杉等主流的中國國產(chǎn)數(shù)據(jù)庫。（3）具備敏感數(shù)據(jù)探測能力，自動(dòng)發(fā)現(xiàn)敏感資產(chǎn)，系統(tǒng)內(nèi)置的敏感數(shù)據(jù)類型。（4）內(nèi)置針對符合特征的敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則。（5）支持敏感發(fā)現(xiàn)結(jié)果列表展示，包括表名、列名、敏感類型、數(shù)據(jù)抽樣示例等，支持對發(fā)現(xiàn)結(jié)果進(jìn)行校正。（6）支持基于列的業(yè)務(wù)類型，設(shè)置脫敏策略，實(shí)現(xiàn)相同的業(yè)務(wù)類型同時(shí)設(shè)置脫敏策略。（7）從表格、表格列、SCHEMA等維度歸類敏感數(shù)據(jù)資產(chǎn)，形成多維度敏感數(shù)據(jù)分布地圖。2、零信任框架下動(dòng)態(tài)異構(gòu)網(wǎng)絡(luò)的建模、表示與挖掘。（1）研究福建省市場監(jiān)管跨部門、跨業(yè)務(wù)、跨區(qū)域的系統(tǒng)數(shù)據(jù)流動(dòng)安全性評估與預(yù)測方法。（2）針對傳播模型、因果關(guān)系、規(guī)則和常識、共現(xiàn)關(guān)系等關(guān)系，構(gòu)建數(shù)據(jù)關(guān)系模型。3、基于多元空間屬性異質(zhì)圖（MS-AHG）的動(dòng)態(tài)身份體系構(gòu)建。（1）對接觸核心敏感數(shù)據(jù)的人員的權(quán)限進(jìn)行細(xì)化與鑒權(quán)，建立包括賬號、密碼、IP地址、機(jī)器指紋、數(shù)字證書、應(yīng)用程序、登陸時(shí)間等多維度的身份準(zhǔn)入機(jī)制。（2）支持身份的多因素認(rèn)證，至少應(yīng)支持應(yīng)用程序名、IP地址、主機(jī)名、操作系統(tǒng)賬戶、數(shù)據(jù)庫用戶、數(shù)字證書、身份敏感標(biāo)簽、日期、時(shí)間、時(shí)間域、身份類別、有效時(shí)間、應(yīng)用用戶名、終端IP等因素的任意組合，系統(tǒng)根據(jù)多維身份管理策略，自動(dòng)判別登錄主體的合法性。（3）對于不合規(guī)的用戶訪問予以阻斷與預(yù)警，同時(shí)能夠根據(jù)實(shí)際情況進(jìn)行臨時(shí)訪問動(dòng)態(tài)授權(quán)，阻斷撞庫、高頻登錄等異常行為。（4）支持僵尸賬號檢測，對僵尸賬號進(jìn)行鎖定，防止僵尸賬號造成數(shù)據(jù)泄露。（5）基于用戶身份與數(shù)據(jù)資產(chǎn)關(guān)聯(lián)關(guān)系，利用元知識指導(dǎo)單空間的異質(zhì)網(wǎng)絡(luò)構(gòu)建和多元空間交融構(gòu)建，通過刻畫具有不同含義和對應(yīng)不同數(shù)據(jù)源空間的個(gè)屬性異質(zhì)圖，以及構(gòu)建多元空間之間交互的屬性異質(zhì)圖集合，實(shí)現(xiàn)多元空間屬性異質(zhì)圖的構(gòu)建。（6）建立福建省市場監(jiān)管動(dòng)態(tài)身份體系，整個(gè)流動(dòng)網(wǎng)絡(luò)處于一個(gè)動(dòng)態(tài)實(shí)時(shí)調(diào)整的狀態(tài)中,從而實(shí)現(xiàn)對敏感數(shù)據(jù)精準(zhǔn)性、差異化的安全防護(hù)，同時(shí)通過身份體系可將用戶行為全過程留痕可追溯。4、跨空間突發(fā)風(fēng)險(xiǎn)數(shù)據(jù)流傳播主動(dòng)監(jiān)控與預(yù)測。（1）構(gòu)建福建省市場監(jiān)管突發(fā)異常數(shù)據(jù)流動(dòng)檢測體系。（2）生成跨空間異構(gòu)數(shù)據(jù)流動(dòng)圖譜，構(gòu)建“數(shù)據(jù)主體-數(shù)據(jù)關(guān)系-行為”的多層復(fù)雜網(wǎng)絡(luò)，充分挖掘網(wǎng)絡(luò)上的相關(guān)信息并進(jìn)行相關(guān)分析，實(shí)現(xiàn)對突發(fā)異常數(shù)據(jù)流動(dòng)行為的實(shí)時(shí)監(jiān)控和預(yù)測。（3）支持特權(quán)用戶訪問控制。（4）根據(jù)應(yīng)用程序名、IP地址、主機(jī)名、操作系統(tǒng)賬戶、數(shù)據(jù)庫賬戶、數(shù)據(jù)庫實(shí)例名、時(shí)間、U盾等實(shí)現(xiàn)敏感數(shù)據(jù)訪問控制。（5）限制過程、函數(shù)、包等對象訪問敏感數(shù)據(jù)。（6）視圖中調(diào)用敏感數(shù)據(jù)管控。（7）對訪問身份設(shè)置敏感標(biāo)簽。（8）限定、設(shè)置特定JOB作業(yè)訪問敏感。（9）支持策略中心全部策略、系統(tǒng)配置、資產(chǎn)配置（資產(chǎn)列表信息、數(shù)據(jù)源部署模式、數(shù)據(jù)源分組信息、敏感資產(chǎn)信息等）等進(jìn)行備份與恢復(fù)。（10）支持日報(bào)、月報(bào)、周報(bào)等生成，導(dǎo)出格式支持PDF/word。5、“云端+終端”全過程數(shù)據(jù)安全閉環(huán)管控模型構(gòu)建。（1）具備政務(wù)云部署、監(jiān)測能力。（2）具備針對不同終端人員采用不同的安全權(quán)限進(jìn)行訪問能力，終端類型包括運(yùn)維和開發(fā)終端、業(yè)務(wù)辦理終端等。（3）支持對終端信任應(yīng)用保護(hù)策略，信任驗(yàn)證機(jī)制支持通過識別程序名、程序簽名及安全標(biāo)簽（程序哈希值）三種方式對應(yīng)用進(jìn)行保護(hù)。（4）具備對終端設(shè)備的掃描、監(jiān)測、檢測能力，能夠針對設(shè)定的規(guī)則定期、不定期掃描、監(jiān)測、檢測終端設(shè)備上不當(dāng)存儲的敏感數(shù)據(jù)，并進(jìn)行告警、鎖定等操作。（5）具備云端+終端聯(lián)動(dòng)功能，當(dāng)云端檢測引擎報(bào)告一個(gè)策略違規(guī)時(shí)，終端系統(tǒng)將執(zhí)行“自動(dòng)”響應(yīng)規(guī)則。響應(yīng)規(guī)則條件是基于檢測匹配條件來觸發(fā)操作，條件定義了系統(tǒng)觸發(fā)響應(yīng)規(guī)則操作的方式和時(shí)間，并提供了多種確定傳入事件優(yōu)先級的方式，以便進(jìn)行重點(diǎn)補(bǔ)救并采取適當(dāng)?shù)捻憫?yīng)。6、數(shù)據(jù)安全風(fēng)險(xiǎn)評估及內(nèi)控管理系統(tǒng)研發(fā)根據(jù)研究內(nèi)容，配合開展福建省市場監(jiān)管數(shù)據(jù)安全風(fēng)險(xiǎn)評估及內(nèi)控管理系統(tǒng)原型機(jī)的研發(fā)、部署和實(shí)戰(zhàn)檢驗(yàn)。（二）服務(wù)要求1、實(shí)施服務(wù)要求投標(biāo)人應(yīng)提供項(xiàng)目實(shí)施的項(xiàng)目人員及組織機(jī)構(gòu)、實(shí)施策略、實(shí)施計(jì)劃、項(xiàng)目保障措施、質(zhì)量控制措施、系統(tǒng)測試、驗(yàn)收、交付物等。（1）項(xiàng)目人員及組織機(jī)構(gòu)投標(biāo)人應(yīng)成立合理的組織機(jī)構(gòu)，建立健全保障項(xiàng)目順利實(shí)施的各項(xiàng)管理制度和質(zhì)量保證體系，安排足夠的高素質(zhì)人才參加項(xiàng)目的建設(shè)。在項(xiàng)目機(jī)構(gòu)中應(yīng)明確各崗位的職責(zé)、任職資格，確保工程順利實(shí)施。為保障技術(shù)服務(wù)質(zhì)量，中標(biāo)人在項(xiàng)目實(shí)施期間須組建現(xiàn)場服務(wù)團(tuán)點(diǎn)，派駐至少3名技術(shù)人員提供5*8小時(shí)駐點(diǎn)技術(shù)服務(wù)，駐點(diǎn)人員須為中標(biāo)人正式員工，且具有數(shù)據(jù)庫、數(shù)據(jù)安全等相關(guān)領(lǐng)域的實(shí)施經(jīng)驗(yàn)。（2）項(xiàng)目實(shí)施策略投標(biāo)人應(yīng)從項(xiàng)目實(shí)施范圍及內(nèi)容、項(xiàng)目實(shí)施準(zhǔn)備、需求調(diào)研與確認(rèn)、實(shí)施方案制定、項(xiàng)目實(shí)施管理辦法、溝通管理等方面制定實(shí)施策略。（3）項(xiàng)目實(shí)施計(jì)劃投標(biāo)人應(yīng)在項(xiàng)目總體進(jìn)度要求時(shí)間內(nèi)就本項(xiàng)目提供項(xiàng)目實(shí)施計(jì)劃及日程安排。（4）項(xiàng)目保障措施為保障項(xiàng)目實(shí)施過程順利完成，投標(biāo)人應(yīng)從項(xiàng)目管理措施（技術(shù)管理、進(jìn)度管理、知識庫管理）、項(xiàng)目質(zhì)量管理、質(zhì)量保障體系、風(fēng)險(xiǎn)管理方面進(jìn)行項(xiàng)目保障。（5）項(xiàng)目質(zhì)量控制為保障項(xiàng)目交付質(zhì)量，投標(biāo)人應(yīng)從項(xiàng)目質(zhì)量控制方法、項(xiàng)目質(zhì)量控制內(nèi)容、項(xiàng)目控制標(biāo)準(zhǔn)等方面進(jìn)行項(xiàng)目質(zhì)量保障。2、售后服務(wù)要求（1）中標(biāo)人提供1年免費(fèi)質(zhì)保服務(wù)，質(zhì)保期從項(xiàng)目驗(yàn)收合格之日起開始計(jì)算。（2）中標(biāo)人在質(zhì)保期內(nèi)提供7*24小時(shí)的服務(wù)響應(yīng)，并在2小時(shí)內(nèi)做出明確響應(yīng)和安排。如需現(xiàn)場服務(wù)的，中標(biāo)人應(yīng)派遣具有解決故障能力的工程師在4小時(shí)內(nèi)到達(dá)現(xiàn)場。（3）中標(biāo)人對系統(tǒng)軟件服務(wù)時(shí)不影響原有應(yīng)用系統(tǒng)的正常運(yùn)行和效率，不涉及到對原有應(yīng)用系統(tǒng)重新設(shè)計(jì)。對系統(tǒng)軟件的更新及升級時(shí)，未經(jīng)采購人同意，不改變針對本項(xiàng)目定制的功能。3、項(xiàng)目交付成果（1）本項(xiàng)目所涉及的與運(yùn)行版本一致的所有完整安裝程序及技術(shù)資料。（2）軟件產(chǎn)品和設(shè)計(jì)成果需完整安裝在采購人指定的服務(wù)器上，并保障系統(tǒng)運(yùn)行穩(wěn)定、訪問正常。（3）技術(shù)資料文檔，參照軟件文檔管理指南（GB/T16680-1996、GB/T8567-2006）提供相應(yīng)文檔，至少包括軟件使用及維護(hù)等方面的文檔資料。（4）技術(shù)文檔內(nèi)容應(yīng)滿足有關(guān)應(yīng)用軟件文檔編制規(guī)范標(biāo)準(zhǔn)要求。提供的文檔和資料均應(yīng)以紙張和光盤為載體，文件格式為Word文檔或其他可視化、未加密的文件。（5）投標(biāo)人應(yīng)在投標(biāo)文件中提供需求調(diào)研、測試階段、實(shí)施階段、運(yùn)行階段、項(xiàng)目管理的全部交付成果的清單。4、項(xiàng)目工期要求中標(biāo)人應(yīng)在合同簽訂后6個(gè)月內(nèi)完成本項(xiàng)目的所有技術(shù)服務(wù)內(nèi)容及驗(yàn)收工作。5、項(xiàng)目驗(yàn)收要求（1）中標(biāo)人所提供的技術(shù)服務(wù)成果應(yīng)滿足“第三章二、技術(shù)和服務(wù)要求”中的所有要求，若有一項(xiàng)不滿足的，不予驗(yàn)收。（2）中標(biāo)人所提供的產(chǎn)品及其配套使用的相關(guān)軟件，必須是正版的、合法的。軟件按采購人驗(yàn)收標(biāo)準(zhǔn)（符合國家、行業(yè)或地方標(biāo)準(zhǔn)）、競爭性談判文件、響應(yīng)文件、合同等有關(guān)內(nèi)容進(jìn)行驗(yàn)收。6、培訓(xùn)要求（1）中標(biāo)人必須在應(yīng)用軟件安裝、調(diào)試、定制開發(fā)過程中現(xiàn)場提供分別針對系統(tǒng)管理人員、應(yīng)用管理人員的培訓(xùn)。（2）中標(biāo)人的培訓(xùn)教員應(yīng)是項(xiàng)目組成人員并具有扎實(shí)的理論基礎(chǔ)知識及實(shí)際工作經(jīng)驗(yàn)，必須具備熟練的中文會(huì)話和書寫能力。（3）中標(biāo)人必須為所有受訓(xùn)人員提供培訓(xùn)教材，所有的資料必須是中文書寫。（4）所有培訓(xùn)應(yīng)是免費(fèi)的。7、保密要求（1）中標(biāo)人應(yīng)當(dāng)對合同的內(nèi)容、因履行合同或在合同期間知悉的或收到的采購人的財(cái)務(wù)、技術(shù)、產(chǎn)品、數(shù)據(jù)信息或其他工作上的文件資料、工作內(nèi)容等予以保密，不得向合同以外的任何第三方披露。（2）中標(biāo)人進(jìn)入采購人工作區(qū)域的工作人員需嚴(yán)格履行保密義務(wù)。（3）中標(biāo)人需了解有關(guān)保密法律法規(guī)，知悉應(yīng)當(dāng)承擔(dān)的保密義務(wù)和法律責(zé)伍，并莊重承諾：（a）認(rèn)真遵守國家保密法律、法規(guī)和規(guī)章制度，履行保密義務(wù)；（b）不提供虛假個(gè)人信息，自愿接受保密審查；（c）不違規(guī)記錄、存儲、復(fù)制國家秘密信息，不違規(guī)留存國家秘密載體；（d）不以任何方式泄露所接觸和知悉的國家秘密；（e）未經(jīng)采購人審查批準(zhǔn)，不擅自發(fā)表涉及未公開工作內(nèi)容的文章、著述；（f）若違反保密承諾，自愿承擔(dān)有關(guān)法律后果。（4）中標(biāo)人違反本條約定泄露采購人的涉密信息的，應(yīng)承擔(dān)相應(yīng)的法律責(zé)任，造成采購人損失的，中標(biāo)人應(yīng)當(dāng)依法承擔(dān)賠償責(zé)任。（5）本條款不因合同屆滿或解