国家税务总局吉林省税务局网络安全等运维项目采购需求公告
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
采购需求前附表
一、项目概述
(一)项目背景
为贯彻落实《中华人民共和国网络安全法》和税务总局网络安全有关文件要求,保障我局网络安全设备和网络安全应用系统正常运行,建立常态化网络安全7*24小时值班值守、监测预警、应急处置工作机制,并结合税务总局护网行动、攻防演习、特殊时期安全保障要求,常态化组织开展互联网应用系统的渗透测试服务,发现网络安全隐患及时进行整改加固,提高互联网应用安全防护能力。
国家税务总局吉林省税务局网络安全等运维项目包括:网络安全运维、互联网应用系统渗透测试及特殊时期安全保障、网络安全应用系统运维服务(包含:应用安全支撑平台、税务数字证书注册、发布系统、电子签章系统、税务系统网络安全态势感知系统、双向安全交换系统和密码服务组件系统的运维服务)等3个运维服务项目。
本项目为上年度延续项目,上一服务期采购合同的金额为叁佰壹拾叁万壹仟柒百元整(¥3,131,700.00),网络安全运维服务、应用安全支撑平台、税务数字证书系统运维服务期限为自合同签订之日起1年,互联网应用系统渗透测试及特殊时期安全保障服务及电子签章系统运维服务期限为2022年1月1日至2022年12月31日,本年度新增了税务总局新推广运行的税务系统网络安全态势感知系统、双向安全交换系统和密码组件系统运维服务。
(二)项目内容
1.网络安全运维服务
为贯彻落实《中华人民共和国网络安全法》和税务总局网络安全有关文件要求,保障我局网络安全设备(或系统)正常运行,及建立常态化网络安全7*24小时值班值守、监测预警、应急处置工作机制,需购买6名驻场技术人员(2人负责日常性网络安全运维,4人参与7*24小时值班、值守)驻场服务。工作内容主要为省局在线网络安全设备(防火墙、入侵检测、抗DDOS设备、WEB应用防火墙、网闸、网页防篡改、运维审计系统、综合日志审计系统、数据库审计系统、威胁感知平台、终端安全管理平台等)的运行监控及维护,每月全网应用系统漏洞扫描、基线检查工作,7*24小时安全保障监控等服务。
2.互联网应用系统渗透测试及特殊时期安全保障
依据《中华人民共和国网络安全法》和税务总局网络安全有关文件要求,并结合税务总局护网行动、攻防演习、特殊时期安全保障要求,常态化组织开展互联网应用系统的渗透测试服务,发现网络安全隐患及时进行整改加固,提高互联网应用安全防护能力。同时,为保障特殊时期(护网、春节、两会、国庆节、元旦、国家重要会议等)的安全,需要购买特殊时期安全保障服务。
3.网络安全应用系统运维服务
为确保应用安全支撑平台、税务数字证书系统、电子签章系统、税务系统网络安全态势感知系统、双向安全交换系统和密码组件系统的安全稳定运行,需要采购以上应用系统的技术支持运维服务。
本项目采购预算合计为337.6万元人民币,不接受超过采购项目预算的投标。
二、技术服务要求
投标人应熟悉国家和税务行业相关标准规范,了解和掌握相关业务情况及工作规程,具有质量管理体系认证(ISO9000)、信息安全管理体系认证(ISO27001)和信息技术服务管理体系认证(ISO20000)。
三、项目需求
(一)网络安全运维服务
1.负责国家税务总局吉林省税务局(以下简称吉林省税务局)全年7*24小时网络安全驻场运维工作。
2.负责吉林省税务局互联网业务区、业务专网区和横向联网区100余台/套网络安全设备(包括:防火墙、入侵检测、抗DDOS设备、WEB应用防火墙、网闸、网页防篡改、运维审计系统、综合日志审计系统、数据库审计系统、态势感知平台、终端安全管理平台等)运行监测、安全分析、升级维护、故障处理、日志审计和应急响应等工作。
吉林省税务局网络安全设备维护清单如下:
3.负责吉林省税务局关键信息基础设施和重要应用系统的日志信息的转存和备份,及时分析发现处置网络安全事件,定期提交网络安全日志的数据分析和审计报告。
4.负责吉林省税务局互联网区、业务专网区和横向联网区120余个应用系统,包含50余台物理机、1500余台虚拟化主机的网络安全漏洞管理工作,包含但不限于网络安全漏洞预警、扫描、交接、修复验证等工作,各区域应用系统数量如下:
(1)互联网业务区:门户网站系统、电子税务局系统、增值税发票管理系统、自助办税系统、自然人申报记录系统、电子印章注册系统、社保费系统、重点税源网上直报等27个系统、350余台主机;
(2)横向联网区:外部交换、税收大数据智税平台、社保费征管信息系统、税企直连平台、车船税联网征收系统和社保费税银系统等10余个系统、50余台主机;
(3)业务专网区:金税三期管理系统、金税三期预生产系统、数字人事系统、电子税务局系统、ATM自助办税系统、OA综合办公系统、财务管理系统、第三方支付平台、电子档案系统、发票2.0系统、国地税机构改革系统、金税工程运维服务管理平台、综合征管系统、自然人网厅系统、自然人税收管理系统、征管辅助平台、运维管理系统、云桌面监控系统、税收社会化平台、税收大数据智税平台系统、税企直连平台、社保费征管信息系统、内部控制监督平台、货物和劳务系统等80余个系统、1150余台主机。
(二)互联网应用系统渗透测试和特殊时期安全保障服务
1.互联网应用系统渗透测试
(1)每季度对吉林省税务局现运行及拟上线的互联网区应用系统和移动互联网应用系统进行一次渗透测试,全年共开展四次全面的渗透测试工作。
(2)提供网络安全应急响应服务、漏洞验证服务和安全加固指导等服务。
(3)提供移动APP检测服务,检测工作应覆盖APP程序本身检测和APP涉及接口的检测,并针对Android和IOS平台上的APP终端进行安全风险分析,发现软件自身的安全隐患。
(4)渗透测试应遵循人工渗透测试的标准,对目标进行漏洞检测,要保证在不干扰业务的情况下进行,并且工具应该对检测范围进行明确的规定,不允许扫描探测指定目标之外的其他目标。
(5)渗透测试不允许使用内置后门的工具,保证在检测目标后不会对目标的系统有文件残留,严禁在被测目标系统中遗留带有后门的检测工具。
(6)渗透测试以漏洞扫描验证为主,应对应用系统从Web层面、操作系统层面、数据传输层面、网络层面等挖掘系统的安全漏洞及脆弱性,通过模拟攻击测试,分析系统的安全风险和应对措施,渗透测试过程中不允许有对系统数据修改和文件破坏的行为。
(7)渗透测试应有日志存档,对于渗透目标中的各种漏洞进行详细记录,并且能够以报告的形式集中体现。
(8)渗透测试工作应严格按照《网络安全法》执行,在吉林省税务局允许的时间内进行,禁止私自渗透测试。渗透测试开始与结束期间都要与吉林省税务局负责人进行沟通,渗透测试人员要具备注册渗透测试工程师认证,并与我单位签署《渗透测试授权书》《保密协议》《保密承诺书》《网络安全承诺书》。
(9)渗透测试工作以人工渗透为主,辅助以渗透测试工具。渗透测试方法包括:Web层安全渗透、网络传输安全渗透、业务逻辑安全渗透、中间件安全渗透、服务器安全测试等;渗透测试工具包括:信息收集、插件管理、指纹管理、漏洞发现、漏洞利用、后渗透攻击等。
(10)当发生安全事件时要求投标人1小时内到达事件现场,应急响应专家应及时采取行动限制事件扩散和影响,协助检查受影响的系统,在准确判断安全事件原因的基础上,提出整体安全解决方案,排除系统安全风险并协助追查事件来源,开展后续处置工作。
(11)投标人需组建专业能力强、团队配置齐全的渗透测试团队,团队成员应由6人组成,包含2名高级渗透测试工程师(具有CISP-PTS证书)和4名渗透测试工程师(具有CISP-PTE证书)。
2.特殊时期安全保障
(1)服务时间:国家及税务行业网络安全保障特殊时期,即两会、国家攻防演练、税务攻防演练、重要会议、重大活动、“五一”“十一”“元旦”“春节”等重大节假日;
(2)协助吉林省税务局开展特殊时期网络安全保障工作,负责前期筹备安全自查加固、中期安全监测、应急处置和后期的总结分析等工作;
(3)负责特殊时期安全保障前期的资产排查梳理,安全自查、系统修复验证等工作;
(4)负责制定特殊时期安全保障预案,制定各类网络安全事件专项子预案;
(5)负责对特殊时期保障各参与方进行安全培训和意识教育;
(6)负责开展保障期间日常监测,对互联网区所有应用系统进行7*24小时可用性监测,要求通过短信和邮件等形式发送告警信息;
(7)负责特殊时期各类网络安全事件的应急处置工作以及特殊时期网络安全保障结束后的复盘、分析、总结等工作。
(8)投标人需提供4名特殊时期驻场高级网络安全服务人员,执行特殊时期7*24小时的应急响应服务。
(三)网络安全应用系统运维服务
负责吉林省税务局全年应用安全支撑平台、税务数字证书系统、电子签章系统、税务系统网络安全态势感知系统、双向安全交换系统和密码组件系统的安全稳定运行,提供技术支持服务。
1.应用安全支撑平台运维服务
(1)负责吉林省税务局应用安全支撑平台的运维服务。提供金税三期和社保费应用安全支撑平台系统的运行支持保障,对该项目所涉及的服务器、中间件应用以及业务应用软件平台等进行维护管理和操作,并按照后续业务优化情况,对系统进行功能升级与测试。
(2)负责应用环境运维服务。对应用安全支撑平台10台应用服务器上运行的应用支撑软件等进行巡检,主要包括服务器磁盘空间使用率、进程使用资源、系统日志、redis运行状态、weblogic进程状态等;对应用安全支撑平台4台数据库服务器上运行的应用支撑软件等进行巡检,主要服务器磁盘空间使用率、进程使用资源、服务器网络情况、系统日志、ldap运行状态、双机软件进程状态等;对应用安全支撑平台使用的ldap数据库软件提供调优、故障处理等服务;对应用安全支撑平台安装的weblogic中间件运行状态等进行监控,主要包括所有的server状态、jvm堆栈使用率、server线程状态、单点登录系统数据源状态、用户权限数据源状态和log日志等;经吉林省税务局同意后,进行各项系统级参数的调整、日志空间的整理等,以保证系统的稳定高效运行;完成对故障事件的收集、过滤、关联和处理等工作,实现对故障的快速定位和处理。
(3)故障处理服务。受理用户通过电话、邮件等各种方式提出的远程技术支持请求,并在最短时间内进行实质性响应;系统出现无法登录、登录缓慢等故障或其他问题(非停机性质问题,如系统运行缓慢或不稳定)时,负责诊断应用系统故障原因,并提出故障处理建议或解决方案;经吉林省税务局同意后,完成或协助完成故障排除、系统调优或重置工作;如果是投标方人员或系统造成的故障,故障解决24小时内,提交故障处理报告,说明故障种类、故障原因、解决故障的方法及故障导致的损失等情况。
(4)应用系统运维服务。对平台和各功能模块的运行效率、性能、可用性等进行监控和分析,并根据分析结果对系统进行性能优化(包含底层开发平台的优化),包括升级加固、参数调整、结构扩展和重新部署等。提供单点登录系统、用户权限系统使用过程中相关问题解答服务;根据吉林省税务局安全需求,提供单点登录系统参数配置修改、日志审计,包括互斥开关、验证配置、门户地址和应用系统地址配置等;根据吉林省税务局安全需求和业务需求,提供用户权限系统相关操作服务,主要包括添加和修改用户、岗位、身份等以及授予和撤销相关权限等操作服务。
(5)运维管理服务。根据吉林省税务局要求,积极配合完成该运维服务而开展的研讨、咨询、故障会诊等,并配合制定运维服务管理、监督的各类规章制度和流程;对于涉及的系统可能存在的具有普遍性或者严重性问题和隐患,以及在吉林省税务局需要重点保障的特殊时期(如国家重大活动期间),服从吉林省税务局的统一组织和安排,进行监控值班、检查、排障和调整优化工作,以保障特殊时期系统的稳定高效运行。
(6)其他要求。提供升级与优化相关服务,包括应用系统上线、变更等必要的健康检查、值守保障等,并在升级与优化工作完成后提供升级与优化的相关技术资料;对应用安全支撑平台项目运行过程中出现的各类问题进行解答,包括系统安全问题,业务安全问题等;协助吉林省税务局分析现有的应用安全状况,修补安全漏洞,提高应用安全水平,发现新的应用安全增值服务,规划新的应用安全体系架构。
(7)技术支持人员需要具备2年以上的工作经验,熟练掌握数据库管理、操作系统维护、中间件维护和运维管理等方面的知识。
2.税务数字证书系统运维服务
(1)负责吉林省税务局税务数字证书系统的运维服务。提供税务数字证书系统的运行支持保障,对该项目所涉及的服务器、中间件应用以及业务应用软件平台等进行维护管理和操作,并按照后续业务优化情况,对系统进行功能升级。
(2)故障定位和问题处理。协助判断网络连接的问题,如防火墙限制、网络不连通等;涉及操作系统版本环境兼容性问题;计算机USB接口或证书介质硬件故障;证书有效性等问题;
税务数字证书注册系统包含多种证书办理业务功能,如新办、更新、重签、补办、注销、冻结、解冻、解锁等,对相关业务场景说明、业务操作流程和业务功能方面提供技术支持服务;
税务数字证书注册系统包含多种操作或管理岗位,如录入、审核、制证、审计、系统管理等,对岗位设置、岗位职能、岗位权限管理等方面提供技术支持服务;
税务数字证书注册系统其他功能如批量数据录入、证书统计、注册机构管理等的技术支持服务;税务数字证书注册系统远程终端的部署安装,包括客户端控件的安装、操作员证书驱动的安装等方面提供技术支持服务。
(3)运维技术支持服务
内部证书注册系统(RA);
内部证书注册系统(SM2);
内部证书状态查询系统(OCSP);
外部证书注册系统(RA);
外部证书注册系统(SM2);
外部证书状态查询系统(OCSP)。
(4)系统出现故障,接到用户技术支持请求后,应立即做出实质性响应,在2小时内提出故障解决方案,4-12小时内恢复系统正常运行。故障解决后48小时内,应提交故障处理报告。
3.电子签章系统运维服务
(1)负责吉林省税务局电子签章系统的运维服务,保障全省30万小规模以上纳税人办理涉税业务网上电子签章服务。
(2)负责电子签章系统的运行支持保障,对该项目所涉及电子印章管理系统、电子签章客户端、签章服务器、时间戳服务器、中间件应用以及业务应用软件平台等进行维护管理和操作,并按照后续业务优化情况,对系统进行功能升级与测试,保证系统运行平稳、顺畅。
(3)负责解答各基层税务单位提交的关于电子签章运行的各类问题。
(4)为保证电子签章符合税务总局数字认证要求,投标人提供的电子签章服务需采用国家税务总局税务数字证书系统统一签发的数字证书,并与税务数字证书系统集成;支持利用吉林省税务局所辖纳税人和税务工作人员已经持有的已灌装税务数字证书的金税盘、税控盘、普通UKey和税务UKey进行电子签章。
(5)提供本项目的产品支持电子印章数量(纳税人用户数量)须大于40万个,且不向纳税人收取任何费用。同时,还需支持税务机关电子签章数量300个。保证现有使用电子签章服务的税务应用系统持续、稳定、安全使用电子签章,不影响正常税务业务处理。
(6)电子签章系统(平台)满足税务内外网应用系统和税务人员、税务机构、纳税人电子签章的需求,系统的建设部署要符合税务网络安全要求。税务专网主要用于税务系统内部工作人员电子文书的签章和税务机关电子签章。互联网主要用于纳税人申报资料、涉税文书等涉税资料的签章。
(7)为了确保电子签章系统能够支持吉林省税务系统目前和今后的业务系统的应用需求,投标人提供的电子签章系统应该严格遵循《中华人民共和国电子签名法》规范,符合国家安全标准,电子签章系统应该经过国家信息部信息安全检测机构的检测,并获得市场准入资格证明;电子签章系统所涉及的产品、技术和加密算法要有国家法定机构的认证和审核,使用的密码设备必须是经过相关部门批准生产的密码设备;电子签章需确保其有效性;电子签章系统需保证其技术适用性及系统集成性及可扩展性。
(8)系统技术支持和保障包括但不限于以下内容:
按照吉林省税务局要求,本项目服务期内,完成业务需求升级完善和技术服务保障工作,投标人不收取额外费用。
提供详细的服务期内技术支持和服务方案,指定专门技术人员远程协助运行系统维护,技术人员必须要有丰富的系统管理及运维经验。向吉林省税务局提供电子签章系统软件、签章服务器、时间戳服务器7×24小时电话高级技术支持和服务,对重大问题提供现场技术支持,24小时内到达指定现场,针对电子签章系统、签章服务器、时间戳服务器提供bug修复、版本升级、故障诊断和必要的现场技术支持;
服务范围:系统变更需求的开发完善、系统安装、升级、调试、性能调优、系统日常运行维护服务等。
服务方式:电话、互联网、E-MAIL和必要的现场服务等方式。
(9)提供吉林省税务局服务期内电子签章系统运维服务:
基于现有的技术和开发架构对电子签章系统进行运行维护和优化。对电子签章系统和各功能模块的运行效率、性能进行分析,并根据分析结果进行程序优化(含底层开发平台的优化)、参数调整、结构扩展等。对电子签章系统发生的故障及时响应,快速解决。优化完善电子签章系统在应用中存在的缺陷以及与基层操作实际不完全符合或操作不方便的程序。
按照吉林省税务局应用系统使用电子印章功能需要,支持和配合吉林省税务局、第三方应用系统开发商对吉林省税务局相关应用系统(如互联网涉税业务系统、电子税务局等)与电子签章系统做好对接调试工作,确保电子签章系统与其他应用系统能协同工作,为纳税人或税务工作人员提供电子签章服务。
(10)提供吉林省税务局电子签章系统面向终端用户服务内容:
应对软件使用过程中出现的各类问题进行解答。处理建议应以前台操作为主,能够通过前台操作完成的,不能在后台调整。应对问题解答风险负责,如因投标人解答不当,造成采购人的损失,投标人应负责相应的赔偿责任。
(11)提供吉林省税务局服务期内电子签章系统服务故障处理:电子签章系统运行、升级期间出现电子签章系统故障由投标人及时进行处理、解决;在系统出现非停机性质的故障如系统运行缓慢时,视同系统故障;对电子签章系统和各功能模块的运行效率、性能进行分析,并根据分析结果进行程序优化(含底层开发系统的优化)、参数调整、结构扩展、重新部署等;优化完善电子签章信息系统在应用中存在的缺陷以及操作实际不完全符合或操作不方便的程序,配合采购人完成软件升级测试等工作。
(12)提供吉林省税务局服务期内电子签章系统服务项目培训:
为保证电子签章系统可靠、有效地运行,为税务系统开展能够熟练进行系统部署、管理、维护和操作的一系列培训。技术培训包括但不限于产品使用、系统架构、环境部署和配置、运行管理和维护等内容,业务培训包括但不限于系统的操作方法和技巧培训等内容。提供针对技术培训和业务培训的具体培训方案,培训方案作为投标书的组成部分参与评标。培训的具体要求,包括但不限于以下要素:各级操作人员能够熟练的应用电子签章系统顺利的完成各项日常工作;业务管理人员可以根据业务需要,灵活运用系统,并能为业务管理人员提供相应的业务指导;系统管理人员和信息技术人员能够支撑电子签章系统的日常管理、运行维护和集成应用;税务系统其他相关软件开发商对电子签章系统项目有清晰的认识,能够解决电子签章系统与其他各系统间接口交互的各类问题。
(13)功能要求:吉林省税务局电子签章系统应包含电子签章系统软件(电子印章管理系统、电子签章客户端)、签章服务器、时间戳服务器等,各部分功能至少要达到如下要求:
电子印章管理:电子印章管理系统对用户进行统一管理、统一监督,提供电子印章的审核、制作、停用、作废等印章全生命周期的管理。每个印章可以绑定多个证书,一个证书也支持绑定多个印章。实现对所有电子印章安全方便的集中管理和对印章的使用进行在线控制,实现电子印章统一监管、印章使用流程可控。
电子印章生成:利用税务数字证书介质(至少支持金税盘、税控盘或由吉林省税务局统一采购的USB-Key),实现电子印章的生成。
电子印章更新:电子印章更新包括对印章所绑定数字证书目标的更新和电子印章印模的更新。
电子印章停用:电子印章临时丢失时,可由电子印章管理员对印章执行停用操作;停用后的电子印章可以恢复使用,取消停用后的印章可继续使用。
电子印章销毁:电子印章丢失或有人员变动时,对于不用的电子印章可执行销毁操作,销毁后的电子印章不能再解除销毁,但是销毁后的印章可以进行重新制章和授权使用,跟新的人员或部门使用。
电子印章查询:电子签章系统支持通纳税号、印章名称、签章人、日期、所属税务机关等信息进行查询,并对处于启用、停用和销毁状态的印章进行查询和统计。
系统管理:主要是完成系统基础数据的设置,包括组织机构设置、系统用户管理、系统角色管理、系统权限管理等功能。
组织机构设置:设置电子印章制作系统中涉及的组织机构,本系统支持多级组织机构,支持树型组织机构的管理,进而使得电子印章制作系统支持集中部署,分级管理的应用模式。
系统用户管理:输入电子印章用户的基本信息,并且给特定用户分配一定的角色,便于为特定用户群分配系统权限。
系统角色管理:设置系统角色,通过角色,把相同性质的用户组织在一起,便于系统权限的分配。
系统权限管理:为特定角色的用户分配系统权限,支持分级授权制章和分级审计管理。
电子签章认证:电子签章认证主要处理证书和印章、签名的验证,以确保签章的合法性。主要进行以下认证:
数字证书合法性认证:验证证书是否由指定的合法颁发机构颁发。
电子印章有效性认证:根据税务数字证书的个人身份信息的绑定,可以通过查询用户证书来确认用户身份的有效性;通过印模管理模块可以查询到印章或个人签名的有效性,包括印章和签名的起止时间和所属人等。
数字证书有效期认证:验证数字证书是否在有效期之内。
数字证书废止认证:签章系统会定期从数字证书中心获取废止的证书列表CRL,验证证书是否被废止。
存储介质的挂失或销毁:即使税务数字证书仍在有效期内,如果存储介质遗失或其他特殊原因,需要停用某个电子印章。可通过管理系统中的挂失或注销功能停用印章。
用户身份认证:电子签章系统的用户身份认证要同时处理证书和印章的验证,以确保用户身份的合法性和用章的安全性。
数字证书合法性验证需符合税务数字证书认证规范。
电子印章审计:电子印章管理系统提供完善的后台操作日志记录和审计,至少包括签章记录,撤章记录等,按照国家等级保护条例,系统审计由专人独立进行审计。
审计内容:审计内容包括系统登录、电子签章管理与认证系统内的所有相关操作,签章、撤章、打印操作,非法访问操作、操作失败等日志信息。
审计日志:包括签章日志、撤章日志、打印日志、验章日志等用章日志,和系统登录日志、非法操作日志、签章管理日志、签章授权日志等系统操作日志。
电子签章客户端功能:
操作系统兼容性:需支持Windows XP(SP3)及以上版本Windows系列操作系统;
浏览器兼容性:支持Internet Explorer(IE6.0及以上所有版本)、360(支持IE和Chrome双内核)、FireFox、Chrome等主流浏览器;
集成接口兼容性:提供完善的接口集成方式,支持B/S及C/S架构的应用系统集成。
客户端签章功能
客户端软件主要包括以下主要功能:文档签章、撤消签章、印章显示、多页盖章、联合签章、版式文件签章、带时间戳签章等功能。
文档签章:支持手工定位、关键字定位、坐标定位等签章定位方式,并提供相应数据接口,以便与各类税务应用系统在不同业务场景的集成需要。
撤消签章:撤消选定的签章,使该签章对文档的效用消除。只有在插入签章时所用的证书存储介质,并输入签章口令,才能完成撤销签章。
印章显示:印章显示不会因为分辨率的大小而改变位置,同时印章在有客户端的环境下自动进行验证:验证通过,印章正常显示;验证不通过,印章显示失效标识,同时提醒用户,文件已被篡改。
多页签章:一次盖章动作可以自动在指定多页同一位置处同时完成多处签章,位置则是通过域定位方式来实现盖章位置。
联合签章:当同一文档需要有多个电子印章保护时,可以通过接口调用来实现多个签章同时保护电子文档,每个印章都形成对文档的保护,其中任何人改动了文件,都可以鉴别出来。
版式文件签章:支持多种版式文件格式,至少包含PDF、OFD两种。其中,需要厂商具备独立的版式文件技术,可以在完税证明等应用场景中针对电子文件的版式结构提供相应支持。
带时间戳签章:文件签章时需包含时间戳,验证签章时需同时验证时间戳。
客户端验证功能
主要验证文档内容是否被篡改并显示证书和签章信息。
证书验证:已签章文档,可以通过客户端接口验证签章者所用数字证书是否为税务机关颁发。
文档内容验证:已签章文档,可通过客户端接口验证文档内容在签章后是否被篡改。
签章印模验证:已签章文档,可通过客户端接口验证签章所用印模在签章后是否被替换或修订。
签章服务器:
签章服务器需要提供两部分功能,一部分是提供电子文件的批量签章:批量签章时,数字证书保存在服务器加密设备中,签章过程无需用户操作,批量完成对电子文件执行的盖章操作;第二部分功能是提供电子签章文档的验证功能,主要是验证签章文档证书的有效性和签章文档是否被篡改。
批量签章:
签章服务器需要提供批量签章的API接口,业务系统通过调用批量签章接口,把需要批量签章的文档一次性全部盖章。批量签章API提供Java、c#、Web Service等方式的调用方式,方便业务系统选择不同的接口进行集成。
签章验证:
对于盖完章的文件,如何确保印章和签章人的有效性是保证业务流程正常运转的基础。业务系统接收到客户端已完成签章的文件后,通过调用签章验证服务的接口对签章文件进行有效性验证。
时间戳服务器:
电子签章系统加盖章电子签章时,需要利用时间戳服务器支持带时间戳的电子签章,以保证盖章时间的准确性和可验证性。
时间同步:与时间源服务器进行精确时间同步,为时间戳服务提供时间校准。
时间戳服务:保持与时间源服务器的时间同步;
为电子签章提供盖章文件的时间戳服务;
为电子签章提供对盖章后文件的时间戳验证服务;
为应用系统或应用客户端提供时间戳签发服务;
为应用系统或应用客户端提供时间戳验证服务;
保存所有签发的时间戳,提供时间戳取证服务。
证据保存:保存所有签发的时间戳到数据库,记录内容包括:生成时间、序列号和时间戳的完整编码;
记录审计日志,包括客户端请求、签发的时间戳,时间戳生成时间等信息;
提供时间戳的查询与统计服务,可按照时间戳的生成时间、时间戳唯一序列号、时间戳值等多种方式对时间戳进行检索。
时间戳数据与审计日志的审计和归档。
部署要求:根据税务网络结构和业务特点在吉林省国家税务总局建设部署税务电子签章服务平台。税务电子签章服务平台既可以为部署在税务内网的应用系统和税务人员提供电子签章服务,也可以为部署在税务外网的应用系统和纳税人提供电子签章服务。纳税人、税务人员、税务机构的电子印章统一由税务工作人员进行管理。
在税务内网,为部署在税务内网的应用系统提供电子签章服务,为税务人员提供电子印章制作、电子印章管理服务,税务人员通过使用与电子系统集成的税务应用系统实现电子签章(包私章和公章)的加盖与验证。
在税务外网,为部署在税务外网的应用系统提供电子签章服务,为纳税人提供电子印章制作、电子印章管理服务,纳税人通过使用与电子系统集成的税务应用系统实现电子签章的加盖与验证。
税务电子系统签章系统包括税务电子印章管理系统、时间戳服务器、签章服务器和配套的电子签章客户端工具和相关接口组成,还需要配合已经发放的数字证书介质一起构成整套税务电子签章系统。
其它要求:
4.税务系统网络安全态势感知系统运维服务
(1)定期开展态势感知平台日常监控,每日查看态势感知平台各探针、平台系统运行情况,各类网络通信流量和日志信息采集情况,发现问题及时组织问题排查和修复,确保态势感知平台正常运转;按日实时监控、识别和验证态势感知平台的安全告警信息,组织验证网络攻击事件,及时开展风险处置工作。
(2)维护态势感知系统监控的各类信息系统资产、等级保护、应急预案等信息,并根据实际情况动态调整、定期更新,确保各类基础信息采集全面准确。
(3)按月开展全网段漏扫扫描工作,扫描完成后将扫描结果传到态势平台。漏洞修复后,在平台进行处置消除此漏洞。
(4)按月开展资产发现扫描,确认扫描结果中未录入到态势的资产名称、类型、路径、业务区域、责任人等信息并录入态势平台,确保资产完备。
(5)完成每日工作汇报表,包括互联网威胁行为分析表、互联网风险预警分析表、数据安全风险监控使用侧统计表、数据安全风险监控运维侧统计表。
(6)完成数据安全核实前期数据整理工作,将各个地区数据进行分类并发送给各地区联络人员进行数据安全告警核实。完成数据安全核实后告警处置工作,整理汇总各地区数据安全告警核实结果,并在态势平台完成处置工作。
(7)对税务总局部署的整体性工作及时进行推进和反馈,按时进行处置或回执总局通过态势感知平台管理中心下发的通知通告。
5.双向安全交换系统和密码服务组件系统运维服务
(1)每日对双向安全交换系统和密码服务组件系统进行巡检,及时发现风险、问题并进行处置并上报。
(2)每月需要将双向安全交换系统和密码服务组件系统健康状态、对接应用系统运行情况、下月工作计划以月报的形式汇报。
(3)日常运维:对双向安全交换系统和密码服务组件系统开展日常运行维护工作,开展健康检查,处理系统故障;负责应用策略的开通,确保应用系统的稳定运行,配合应用系统业务故障排查。
(4)按照采购方工作要求及时将应用系统接入到双向安全交换系统和密码服务组件系统中。
(5)告警事件处置:对告警事件进行及时的报告和处理,保障业务正常运行,对硬件故障进行及时的反馈和处理,对业务影响降到最小化。
(6)应用系统运行情况监控:对设备上的运行应用进行监控,及时报告和处理应用系统的异常情况。
(7)补丁升级:系统新版本发布根据实际情况进行升级维护,对配套的硬件设备进行补丁修复。
(8)双向安全交换系统和密码服务组件系统重要时期安全值守服务:技术加固服务,制定应急响应预案,安全漏洞预警,威胁情报共享,安全事件监控,安全事件处置。
四、项目实施要求
(一)网络安全运维服务
投标人需执行全年7*24小时网络安全驻场运维工作,需提供驻场网络安全工程师6名(具有注册信息安全专业人员CISP证书);
(二)互联网应用系统渗透测试和特殊时期安全保障服务
投标人需组建专业能力强、团队配置齐全的渗透测试团队,团队成员应由6人组成,包含2名高级渗透测试工程师(具有CISP-PTS证书)和4名渗透测试工程师(具有CISP-PTE证书),在执行特殊时期网络安全保障时,需提供4名特殊时期驻场高级网络安全服务人员,提供 7*24小时的应急响应服务。
(三)网络安全系统运维服务
投标人需组建专业能力强的技术支持团队,并提供3名驻场运维工程师,需要具备2年以上的工作经验,熟练掌握数据库管理、操作系统维护、中间件维护和运维管理等方面的知识。
五、项目验收要求
投标人服务期满后,须出具齐全的网络安全运维服务、互联网应用系统渗透测试和特殊时期安全保障服务、税务数字证书系统运维服务、应用安全支撑平台运维服务、电子签章系统运维服务、税务系统网络安全态势感知系统运维服务、双向安全交换系统和密码服务组件系统的各项运维服务报告,报项目使用部门进行审批。审批通过后,由投标人提出项目验收申请,项目使用部门组织吉林省税务局相关部门对该项目进行验收,验收时将参照项目招标服务需求,逐项考察服务满意度、应急响应情况、文档交付情况、专业技术能力和服务整体质量等方面,验收通过后出具项目验收报告。
投标人需提交一套可保存的、并容易查阅的中文文件,文档要求以纸质和电子格式提供,文档内容包括但不限于:
(一)网络安全运维服务:
每月提交如下(1)-(6)内容:
(1)《7*24小时网络安全运维报告》
(2)《网络安全漏洞扫描报告》
(3)《网络安全漏洞交接单》
(4)《网络安全漏洞修复情况报告》
(5)《综合日志审计报告》
(6)《数据库审计报告》
(7)《网络安全应急响应工作总结》
(二)互联网应用系统渗透测试及特殊时期安全保障服务:
每季度提交(1)-(3)内容:
(1)《项目实施计划》
(2)《渗透测试报告》
(3)《渗透测试验证报告》
(4)《App安全测试报告Android版》
(5)《App安全测试报告IOS版》
(6)《应急响应报告》
(7)《网络安全保障预案》
(8)《特殊时期网络安全保障总结报告》
(9)《特殊时期应急处置报告》
(三)吉林省税务数字证书系统运维服务:
(1)《税务数字证书系统运维服务月报》
(2)《税务数字证书系统问题处置记录》
(3)《税务数字证书系统运维服务年度总结》
(四)应用安全支撑平台运维服务:
(1)《应用安全支撑平台运维服务月报》
(2)《应用安全支撑平台问题处置记录》
(3)《应用安全支撑平台运维服务年度总结》
(五)电子签章系统运维服务:
(1)《电子签章系统运维服务月报》
(2)《电子签章系统问题处置记录》
(3)《电子签章系统运维服务年度总结》
(六)税务系统网络安全态势感知系统运维服务
(1)《税务系统网络安全态势感知系统运维服务月报》
(2)《税务系统网络安全态势感知系统问题处置记录》
(3)《税务系统网络安全态势感知系统运维服务年度总结》
(七)双向安全交换系统和密码服务组件系统运维服务
(1)《双向安全交换系统和密码服务组件系统运维服务月报》
(2)《双向安全交换系统和密码服务组件系统问题处置记录》
(3)《双向安全交换系统和密码服务组件系统运维服务年度总结》
六、项目服务要求
服务地点:国家税务总局吉林省税务局(长春市南关区南湖大路1518号)。
服务期限:
(1)网络安全运维服务:自合同签订之日起1年;
(2)互联网应用系统渗透测试和特殊时期安全保障服务:2023年1月1日至2023年12月31日;
(3)吉林省税务数字证书系统运维服务:自合同签订之日起1年;
(4)金税三期应用安全支撑平台运维服务:自合同签订之日起1年;
(5)电子签章系统运维服务:2023年1月1日至2023年12月31日;
(6)税务系统网络安全态势感知系统运维服务:自合同签订之日起1年;
(7)双向安全交换系统和密码服务组件系统运维服务:自合同签订之日起1年。
七、税收信息化项目开发和应用管理工作要求
无
八、支付方式
投标人在中标后,合同签订前,向甲方支付合同总金额10%的履约保证金,未能缴纳履约保证金的,视为放弃中标。待服务期满,经验收合格后,返还履约保证金。
合同签订之后,支付合同总金额的50%,2023年9月1日后经验收通过后,支付合同总金额的50%。
九、其他要求
(一)项目保密要求
投标人对项目实施过程中所获得数据及文档等保密信息,承担以下保密义务:
1.投标人应对在合同签订或履行过程中所接触的对方信息,包括但不限于知识产权、技术资料、技术诀窍、内部管理及其他相关信息,负有保密义务,防止不承担同等保密义务的任何第三者知悉及使用。
2.投标人在使用用户方为其提供的数据、程序、用户名、口令、资料及相关的业务和技术文档,包括方案设计细节、程序文件、数据结构,以及相关业务系统的硬软件、文档、测试和测试产生的数据时,应遵循以下约定:
(1)应以审慎态度避免泄露、公开或传播用户方的信息;
(2)未经用户方书面许可,不得对有关信息进行修改、补充、复制;
(3)未经用户方书面许可,不得将信息以任何方式(如 E-mail)携带出甲方场所;
(4)未经用户方书面许可,不得将信息透露给任何其他人;
(5)用户方以书面形式提出的其他保密措施。
3.保密期限不受合同有效期的限制,在合同有效期结束后,信息接受方仍应承担保密义务,直至该等信息成为公开信息。
4.投标人应按要求与委托方签署保密协议,服务人员签订保密承诺书及网络安全承诺书。
5.投标人如出现泄密行为,泄密方应承担相关的法律责任并承担由此给对方造成的经济损失。
(二)知识产权要求
投标人需保证所提供的服务不侵犯第三方的知识产权(专利权、商标权、版权等),因侵害第三方知识产权而产生的法律责任,全部由投标人承担。
(三)其他要求
中标供应商禁止另行开发合同业务需求范围内、供纳税人、缴费人使用的软件;禁止在合同履行期间“围猎”税务人员,对违反以上规定的,将纳入失信名单;对于违反网络安全规定行为造成不良后果的,3年内限制参加税务系统政府采购活动;中标供应商应建立防止违法违规聘用离职税务人员风险控制制度,如出现违法违规聘用离职税务人员行为,采购人有权对中标供应商采取以下措施:限期改正、要求支付违约金、解除合同、3年内限制参加所聘人员原单位及下属单位信息化项目政府采购活动等措施。投标人针对以上内容提供承诺函。
| 序号 | 类别 | 内容 |
| 1 | 项目立项 | 项目立项时间:2022年8月8日 |
| 项目立项证明文件: √有 £无 | ||
| 2 | 项目预算安排 | 总预算金额(万元):337.6 |
| 当年预算安排金额(万元):337.6 | ||
| 项目资金来源:基本支出 | ||
| 3 | 项目采购内容 | 服务内容:吉林省税务局网络安全运维、互联网应用系统渗透测试及特殊时期安全保障、税务系统网络安全态势感知系统、双向安全交换系统和密码服务组件系统运维、税务数字证书系统运维、应用安全支撑平台运维和电子签章系统运维服务。 |
| 4 | 项目实施时间 | 网络安全运维服务、应用安全支撑平台、税务数字证书系统运维、网络安全态势感知系统、双向安全交换系统和密码组件系统服务期限为自合同签订之日起1年。 互联网应用系统渗透测试及特殊时期安全保障服务、电子签章系统运维服务期限为2023年1月1日至2023年12月31日。 |
| 5 | 项目实施地点 | 国家税务总局吉林省税务局(长春市南湖大路1518号) |
| 6 | 项目实施范围 | 吉林省税务局网络安全运维、互联网应用系统渗透测试及特殊时期安全保障、税务系统网络安全态势感知系统、双向安全交换系统和密码服务组件系统运维、税务数字证书系统运维、应用安全支撑平台运维和电子签章系统运维服务。 |
| 7 | 项目相关单位 | 需求部门:信息中心 |
| 验收部门:信息中心 | ||
| 8 | 采购意向公开 | √本项目已于2022年5月20日公开采购意向 |
| £本项目经立项审批不公开采购意向 | ||
| 9 | 支持中小企业 | √本项目专门面向中小企业采购 |
| £本项目预留预算金额的 %专门面向中小企业采购 | ||
| £本项目不适宜由中小企业提供,且已履行报批手续。 | ||
| 10 | 公告期限 | 自本公告发布之日起5个工作日。 |
| 11 | 意见反馈方式 | 凡对本次公告内容提出意见反馈,请以书面形式按以下方式联系。名称:国家税务总局吉林省税务局 地 址:长春市南湖大路1518号; 项目联系人:罗立权、张展赫; 联系方式:0431-80500300/80500303 |
一、项目概述
(一)项目背景
为贯彻落实《中华人民共和国网络安全法》和税务总局网络安全有关文件要求,保障我局网络安全设备和网络安全应用系统正常运行,建立常态化网络安全7*24小时值班值守、监测预警、应急处置工作机制,并结合税务总局护网行动、攻防演习、特殊时期安全保障要求,常态化组织开展互联网应用系统的渗透测试服务,发现网络安全隐患及时进行整改加固,提高互联网应用安全防护能力。
国家税务总局吉林省税务局网络安全等运维项目包括:网络安全运维、互联网应用系统渗透测试及特殊时期安全保障、网络安全应用系统运维服务(包含:应用安全支撑平台、税务数字证书注册、发布系统、电子签章系统、税务系统网络安全态势感知系统、双向安全交换系统和密码服务组件系统的运维服务)等3个运维服务项目。
本项目为上年度延续项目,上一服务期采购合同的金额为叁佰壹拾叁万壹仟柒百元整(¥3,131,700.00),网络安全运维服务、应用安全支撑平台、税务数字证书系统运维服务期限为自合同签订之日起1年,互联网应用系统渗透测试及特殊时期安全保障服务及电子签章系统运维服务期限为2022年1月1日至2022年12月31日,本年度新增了税务总局新推广运行的税务系统网络安全态势感知系统、双向安全交换系统和密码组件系统运维服务。
(二)项目内容
1.网络安全运维服务
为贯彻落实《中华人民共和国网络安全法》和税务总局网络安全有关文件要求,保障我局网络安全设备(或系统)正常运行,及建立常态化网络安全7*24小时值班值守、监测预警、应急处置工作机制,需购买6名驻场技术人员(2人负责日常性网络安全运维,4人参与7*24小时值班、值守)驻场服务。工作内容主要为省局在线网络安全设备(防火墙、入侵检测、抗DDOS设备、WEB应用防火墙、网闸、网页防篡改、运维审计系统、综合日志审计系统、数据库审计系统、威胁感知平台、终端安全管理平台等)的运行监控及维护,每月全网应用系统漏洞扫描、基线检查工作,7*24小时安全保障监控等服务。
2.互联网应用系统渗透测试及特殊时期安全保障
依据《中华人民共和国网络安全法》和税务总局网络安全有关文件要求,并结合税务总局护网行动、攻防演习、特殊时期安全保障要求,常态化组织开展互联网应用系统的渗透测试服务,发现网络安全隐患及时进行整改加固,提高互联网应用安全防护能力。同时,为保障特殊时期(护网、春节、两会、国庆节、元旦、国家重要会议等)的安全,需要购买特殊时期安全保障服务。
3.网络安全应用系统运维服务
为确保应用安全支撑平台、税务数字证书系统、电子签章系统、税务系统网络安全态势感知系统、双向安全交换系统和密码组件系统的安全稳定运行,需要采购以上应用系统的技术支持运维服务。
本项目采购预算合计为337.6万元人民币,不接受超过采购项目预算的投标。
二、技术服务要求
投标人应熟悉国家和税务行业相关标准规范,了解和掌握相关业务情况及工作规程,具有质量管理体系认证(ISO9000)、信息安全管理体系认证(ISO27001)和信息技术服务管理体系认证(ISO20000)。
三、项目需求
(一)网络安全运维服务
1.负责国家税务总局吉林省税务局(以下简称吉林省税务局)全年7*24小时网络安全驻场运维工作。
2.负责吉林省税务局互联网业务区、业务专网区和横向联网区100余台/套网络安全设备(包括:防火墙、入侵检测、抗DDOS设备、WEB应用防火墙、网闸、网页防篡改、运维审计系统、综合日志审计系统、数据库审计系统、态势感知平台、终端安全管理平台等)运行监测、安全分析、升级维护、故障处理、日志审计和应急响应等工作。
吉林省税务局网络安全设备维护清单如下:
| 序号 | 安全设备区域 | 设备名称 | 数量 |
| 1 | 互联网业务区 | ADS流量清洗 | 2 |
| 2 | 互联网业务区 | 防毒墙 | 2 |
| 3 | 互联网业务区 | 防火墙 | 2 |
| 4 | 互联网业务区 | SSL卸载网关 | 2 |
| 5 | 互联网业务区 | 迪普WAF设备 | 2 |
| 6 | 互联网业务区 | IDS入侵检测 | 1 |
| 7 | 互联网业务区 | 防火墙(网神) | 2 |
| 8 | 互联网业务区 | 身份认证防火墙 | 1 |
| 9 | 互联网业务区 | 服务器安全管理系统 | 1 |
| 10 | 互联网业务区 | 堡垒机(网神) | 2 |
| 11 | 互联网业务区 | 安恒日志审计 | 1 |
| 12 | 互联网业务区 | 数据库审计系统 | 1 |
| 13 | 互联网业务区 | 流量复制nettap | 2 |
| 14 | 互联网业务区 | 虚拟化防火墙 | 2 |
| 15 | 互联网业务区 | 网神网闸 | 2 |
| 16 | 互联网业务区 | 安恒网页防篡改系统 | 1 |
| 17 | 互联网业务区 | 数据库防护墙系统 | 1 |
| 18 | 互联网业务区 | 漏洞扫描 | 1 |
| 19 | 互联网业务区 | 网络审计 | 1 |
| 20 | 互联网业务区 | 天眼流量探针 | 1 |
| 21 | 互联网业务区 | 天眼分析平台 | 1 |
| 22 | 业务专网区 | 360天擎控制中心 | 1 |
| 23 | 业务专网区 | 终端安全管理系统—软件管家 | 1 |
| 24 | 业务专网区 | 终端安全管理系统—数据库 | 1 |
| 25 | 业务专网区 | 终端安全管理系统—P2P | 1 |
| 26 | 业务专网区 | 360天擎控制中心(备份) | 1 |
| 27 | 业务专网区 | 终端安全管理系统—数据库(备份) | 1 |
| 28 | 业务专网区 | 终端安全管理系统—软件管家(备份) | 1 |
| 29 | 业务专网区 | 终端安全管理系统—P2P(备份) | 1 |
| 30 | 业务专网区 | 防毒墙 | 2 |
| 31 | 业务专网区 | 内网运维堡垒机 | 2 |
| 32 | 业务专网区 | 办公防火墙(启明) | 2 |
| 33 | 业务专网区 | 天融信区县集中管理系统 | 1 |
| 34 | 业务专网区 | 数据中心虚拟化防火墙 | 2 |
| 35 | 业务专网区 | eSight管理平台 | 1 |
| 36 | 业务专网区 | 华为防火墙 | 2 |
| 37 | 业务专网区 | 安恒日志审计系统 | 1 |
| 38 | 业务专网区 | 日志备份FTP服务器 | 1 |
| 39 | 业务专网区 | 流量复制 | 1 |
| 40 | 业务专网区 | 北信源终端安全管理系统 | 1 |
| 41 | 业务专网区 | 天融信12366防火墙 | 1 |
| 42 | 业务专网区 | 天融信区县集中管理系统 | 1 |
| 43 | 业务专网区 | NGSOC日志采集探针 | 2 |
| 44 | 业务专网区 | NGSOC分析平台 | 1 |
| 45 | 业务专网区 | NGSOC关联规则引擎 | 1 |
| 46 | 业务专网区 | 天融信4A审计系统(堡垒机) | 2 |
| 47 | 业务专网区 | 数据库审计系统 | 1 |
| 48 | 业务专网区 | 静态脱敏系统 | 1 |
| 49 | 外联网 | 防火墙 | 2 |
| 50 | 外联网 | 防毒墙(360) | 2 |
| 51 | 外联网 | 网闸 | 1 |
| 52 | 外联网 | 网闸 | 2 |
| 53 | 外联网 | IDS入侵检测设备 | 1 |
| 54 | 外联网 | IDS入侵检测系统 | 1 |
| 55 | 政务专网 | 防火墙 | 1 |
| 56 | 政务外网 | 防火墙 | 1 |
| 57 | 办公外网 | 防火墙 | 1 |
| 58 | 办公外网 | 上网行为审计 | 1 |
| 59 | 办公外网 | 跳板机服务器 | 1 |
3.负责吉林省税务局关键信息基础设施和重要应用系统的日志信息的转存和备份,及时分析发现处置网络安全事件,定期提交网络安全日志的数据分析和审计报告。
4.负责吉林省税务局互联网区、业务专网区和横向联网区120余个应用系统,包含50余台物理机、1500余台虚拟化主机的网络安全漏洞管理工作,包含但不限于网络安全漏洞预警、扫描、交接、修复验证等工作,各区域应用系统数量如下:
(1)互联网业务区:门户网站系统、电子税务局系统、增值税发票管理系统、自助办税系统、自然人申报记录系统、电子印章注册系统、社保费系统、重点税源网上直报等27个系统、350余台主机;
(2)横向联网区:外部交换、税收大数据智税平台、社保费征管信息系统、税企直连平台、车船税联网征收系统和社保费税银系统等10余个系统、50余台主机;
(3)业务专网区:金税三期管理系统、金税三期预生产系统、数字人事系统、电子税务局系统、ATM自助办税系统、OA综合办公系统、财务管理系统、第三方支付平台、电子档案系统、发票2.0系统、国地税机构改革系统、金税工程运维服务管理平台、综合征管系统、自然人网厅系统、自然人税收管理系统、征管辅助平台、运维管理系统、云桌面监控系统、税收社会化平台、税收大数据智税平台系统、税企直连平台、社保费征管信息系统、内部控制监督平台、货物和劳务系统等80余个系统、1150余台主机。
(二)互联网应用系统渗透测试和特殊时期安全保障服务
1.互联网应用系统渗透测试
(1)每季度对吉林省税务局现运行及拟上线的互联网区应用系统和移动互联网应用系统进行一次渗透测试,全年共开展四次全面的渗透测试工作。
(2)提供网络安全应急响应服务、漏洞验证服务和安全加固指导等服务。
(3)提供移动APP检测服务,检测工作应覆盖APP程序本身检测和APP涉及接口的检测,并针对Android和IOS平台上的APP终端进行安全风险分析,发现软件自身的安全隐患。
(4)渗透测试应遵循人工渗透测试的标准,对目标进行漏洞检测,要保证在不干扰业务的情况下进行,并且工具应该对检测范围进行明确的规定,不允许扫描探测指定目标之外的其他目标。
(5)渗透测试不允许使用内置后门的工具,保证在检测目标后不会对目标的系统有文件残留,严禁在被测目标系统中遗留带有后门的检测工具。
(6)渗透测试以漏洞扫描验证为主,应对应用系统从Web层面、操作系统层面、数据传输层面、网络层面等挖掘系统的安全漏洞及脆弱性,通过模拟攻击测试,分析系统的安全风险和应对措施,渗透测试过程中不允许有对系统数据修改和文件破坏的行为。
(7)渗透测试应有日志存档,对于渗透目标中的各种漏洞进行详细记录,并且能够以报告的形式集中体现。
(8)渗透测试工作应严格按照《网络安全法》执行,在吉林省税务局允许的时间内进行,禁止私自渗透测试。渗透测试开始与结束期间都要与吉林省税务局负责人进行沟通,渗透测试人员要具备注册渗透测试工程师认证,并与我单位签署《渗透测试授权书》《保密协议》《保密承诺书》《网络安全承诺书》。
(9)渗透测试工作以人工渗透为主,辅助以渗透测试工具。渗透测试方法包括:Web层安全渗透、网络传输安全渗透、业务逻辑安全渗透、中间件安全渗透、服务器安全测试等;渗透测试工具包括:信息收集、插件管理、指纹管理、漏洞发现、漏洞利用、后渗透攻击等。
(10)当发生安全事件时要求投标人1小时内到达事件现场,应急响应专家应及时采取行动限制事件扩散和影响,协助检查受影响的系统,在准确判断安全事件原因的基础上,提出整体安全解决方案,排除系统安全风险并协助追查事件来源,开展后续处置工作。
(11)投标人需组建专业能力强、团队配置齐全的渗透测试团队,团队成员应由6人组成,包含2名高级渗透测试工程师(具有CISP-PTS证书)和4名渗透测试工程师(具有CISP-PTE证书)。
2.特殊时期安全保障
(1)服务时间:国家及税务行业网络安全保障特殊时期,即两会、国家攻防演练、税务攻防演练、重要会议、重大活动、“五一”“十一”“元旦”“春节”等重大节假日;
(2)协助吉林省税务局开展特殊时期网络安全保障工作,负责前期筹备安全自查加固、中期安全监测、应急处置和后期的总结分析等工作;
(3)负责特殊时期安全保障前期的资产排查梳理,安全自查、系统修复验证等工作;
(4)负责制定特殊时期安全保障预案,制定各类网络安全事件专项子预案;
(5)负责对特殊时期保障各参与方进行安全培训和意识教育;
(6)负责开展保障期间日常监测,对互联网区所有应用系统进行7*24小时可用性监测,要求通过短信和邮件等形式发送告警信息;
(7)负责特殊时期各类网络安全事件的应急处置工作以及特殊时期网络安全保障结束后的复盘、分析、总结等工作。
(8)投标人需提供4名特殊时期驻场高级网络安全服务人员,执行特殊时期7*24小时的应急响应服务。
(三)网络安全应用系统运维服务
负责吉林省税务局全年应用安全支撑平台、税务数字证书系统、电子签章系统、税务系统网络安全态势感知系统、双向安全交换系统和密码组件系统的安全稳定运行,提供技术支持服务。
1.应用安全支撑平台运维服务
(1)负责吉林省税务局应用安全支撑平台的运维服务。提供金税三期和社保费应用安全支撑平台系统的运行支持保障,对该项目所涉及的服务器、中间件应用以及业务应用软件平台等进行维护管理和操作,并按照后续业务优化情况,对系统进行功能升级与测试。
(2)负责应用环境运维服务。对应用安全支撑平台10台应用服务器上运行的应用支撑软件等进行巡检,主要包括服务器磁盘空间使用率、进程使用资源、系统日志、redis运行状态、weblogic进程状态等;对应用安全支撑平台4台数据库服务器上运行的应用支撑软件等进行巡检,主要服务器磁盘空间使用率、进程使用资源、服务器网络情况、系统日志、ldap运行状态、双机软件进程状态等;对应用安全支撑平台使用的ldap数据库软件提供调优、故障处理等服务;对应用安全支撑平台安装的weblogic中间件运行状态等进行监控,主要包括所有的server状态、jvm堆栈使用率、server线程状态、单点登录系统数据源状态、用户权限数据源状态和log日志等;经吉林省税务局同意后,进行各项系统级参数的调整、日志空间的整理等,以保证系统的稳定高效运行;完成对故障事件的收集、过滤、关联和处理等工作,实现对故障的快速定位和处理。
(3)故障处理服务。受理用户通过电话、邮件等各种方式提出的远程技术支持请求,并在最短时间内进行实质性响应;系统出现无法登录、登录缓慢等故障或其他问题(非停机性质问题,如系统运行缓慢或不稳定)时,负责诊断应用系统故障原因,并提出故障处理建议或解决方案;经吉林省税务局同意后,完成或协助完成故障排除、系统调优或重置工作;如果是投标方人员或系统造成的故障,故障解决24小时内,提交故障处理报告,说明故障种类、故障原因、解决故障的方法及故障导致的损失等情况。
(4)应用系统运维服务。对平台和各功能模块的运行效率、性能、可用性等进行监控和分析,并根据分析结果对系统进行性能优化(包含底层开发平台的优化),包括升级加固、参数调整、结构扩展和重新部署等。提供单点登录系统、用户权限系统使用过程中相关问题解答服务;根据吉林省税务局安全需求,提供单点登录系统参数配置修改、日志审计,包括互斥开关、验证配置、门户地址和应用系统地址配置等;根据吉林省税务局安全需求和业务需求,提供用户权限系统相关操作服务,主要包括添加和修改用户、岗位、身份等以及授予和撤销相关权限等操作服务。
(5)运维管理服务。根据吉林省税务局要求,积极配合完成该运维服务而开展的研讨、咨询、故障会诊等,并配合制定运维服务管理、监督的各类规章制度和流程;对于涉及的系统可能存在的具有普遍性或者严重性问题和隐患,以及在吉林省税务局需要重点保障的特殊时期(如国家重大活动期间),服从吉林省税务局的统一组织和安排,进行监控值班、检查、排障和调整优化工作,以保障特殊时期系统的稳定高效运行。
(6)其他要求。提供升级与优化相关服务,包括应用系统上线、变更等必要的健康检查、值守保障等,并在升级与优化工作完成后提供升级与优化的相关技术资料;对应用安全支撑平台项目运行过程中出现的各类问题进行解答,包括系统安全问题,业务安全问题等;协助吉林省税务局分析现有的应用安全状况,修补安全漏洞,提高应用安全水平,发现新的应用安全增值服务,规划新的应用安全体系架构。
(7)技术支持人员需要具备2年以上的工作经验,熟练掌握数据库管理、操作系统维护、中间件维护和运维管理等方面的知识。
2.税务数字证书系统运维服务
(1)负责吉林省税务局税务数字证书系统的运维服务。提供税务数字证书系统的运行支持保障,对该项目所涉及的服务器、中间件应用以及业务应用软件平台等进行维护管理和操作,并按照后续业务优化情况,对系统进行功能升级。
(2)故障定位和问题处理。协助判断网络连接的问题,如防火墙限制、网络不连通等;涉及操作系统版本环境兼容性问题;计算机USB接口或证书介质硬件故障;证书有效性等问题;
税务数字证书注册系统包含多种证书办理业务功能,如新办、更新、重签、补办、注销、冻结、解冻、解锁等,对相关业务场景说明、业务操作流程和业务功能方面提供技术支持服务;
税务数字证书注册系统包含多种操作或管理岗位,如录入、审核、制证、审计、系统管理等,对岗位设置、岗位职能、岗位权限管理等方面提供技术支持服务;
税务数字证书注册系统其他功能如批量数据录入、证书统计、注册机构管理等的技术支持服务;税务数字证书注册系统远程终端的部署安装,包括客户端控件的安装、操作员证书驱动的安装等方面提供技术支持服务。
(3)运维技术支持服务
内部证书注册系统(RA);
内部证书注册系统(SM2);
内部证书状态查询系统(OCSP);
外部证书注册系统(RA);
外部证书注册系统(SM2);
外部证书状态查询系统(OCSP)。
(4)系统出现故障,接到用户技术支持请求后,应立即做出实质性响应,在2小时内提出故障解决方案,4-12小时内恢复系统正常运行。故障解决后48小时内,应提交故障处理报告。
3.电子签章系统运维服务
(1)负责吉林省税务局电子签章系统的运维服务,保障全省30万小规模以上纳税人办理涉税业务网上电子签章服务。
(2)负责电子签章系统的运行支持保障,对该项目所涉及电子印章管理系统、电子签章客户端、签章服务器、时间戳服务器、中间件应用以及业务应用软件平台等进行维护管理和操作,并按照后续业务优化情况,对系统进行功能升级与测试,保证系统运行平稳、顺畅。
(3)负责解答各基层税务单位提交的关于电子签章运行的各类问题。
(4)为保证电子签章符合税务总局数字认证要求,投标人提供的电子签章服务需采用国家税务总局税务数字证书系统统一签发的数字证书,并与税务数字证书系统集成;支持利用吉林省税务局所辖纳税人和税务工作人员已经持有的已灌装税务数字证书的金税盘、税控盘、普通UKey和税务UKey进行电子签章。
(5)提供本项目的产品支持电子印章数量(纳税人用户数量)须大于40万个,且不向纳税人收取任何费用。同时,还需支持税务机关电子签章数量300个。保证现有使用电子签章服务的税务应用系统持续、稳定、安全使用电子签章,不影响正常税务业务处理。
(6)电子签章系统(平台)满足税务内外网应用系统和税务人员、税务机构、纳税人电子签章的需求,系统的建设部署要符合税务网络安全要求。税务专网主要用于税务系统内部工作人员电子文书的签章和税务机关电子签章。互联网主要用于纳税人申报资料、涉税文书等涉税资料的签章。
(7)为了确保电子签章系统能够支持吉林省税务系统目前和今后的业务系统的应用需求,投标人提供的电子签章系统应该严格遵循《中华人民共和国电子签名法》规范,符合国家安全标准,电子签章系统应该经过国家信息部信息安全检测机构的检测,并获得市场准入资格证明;电子签章系统所涉及的产品、技术和加密算法要有国家法定机构的认证和审核,使用的密码设备必须是经过相关部门批准生产的密码设备;电子签章需确保其有效性;电子签章系统需保证其技术适用性及系统集成性及可扩展性。
(8)系统技术支持和保障包括但不限于以下内容:
按照吉林省税务局要求,本项目服务期内,完成业务需求升级完善和技术服务保障工作,投标人不收取额外费用。
提供详细的服务期内技术支持和服务方案,指定专门技术人员远程协助运行系统维护,技术人员必须要有丰富的系统管理及运维经验。向吉林省税务局提供电子签章系统软件、签章服务器、时间戳服务器7×24小时电话高级技术支持和服务,对重大问题提供现场技术支持,24小时内到达指定现场,针对电子签章系统、签章服务器、时间戳服务器提供bug修复、版本升级、故障诊断和必要的现场技术支持;
服务范围:系统变更需求的开发完善、系统安装、升级、调试、性能调优、系统日常运行维护服务等。
服务方式:电话、互联网、E-MAIL和必要的现场服务等方式。
(9)提供吉林省税务局服务期内电子签章系统运维服务:
基于现有的技术和开发架构对电子签章系统进行运行维护和优化。对电子签章系统和各功能模块的运行效率、性能进行分析,并根据分析结果进行程序优化(含底层开发平台的优化)、参数调整、结构扩展等。对电子签章系统发生的故障及时响应,快速解决。优化完善电子签章系统在应用中存在的缺陷以及与基层操作实际不完全符合或操作不方便的程序。
按照吉林省税务局应用系统使用电子印章功能需要,支持和配合吉林省税务局、第三方应用系统开发商对吉林省税务局相关应用系统(如互联网涉税业务系统、电子税务局等)与电子签章系统做好对接调试工作,确保电子签章系统与其他应用系统能协同工作,为纳税人或税务工作人员提供电子签章服务。
(10)提供吉林省税务局电子签章系统面向终端用户服务内容:
应对软件使用过程中出现的各类问题进行解答。处理建议应以前台操作为主,能够通过前台操作完成的,不能在后台调整。应对问题解答风险负责,如因投标人解答不当,造成采购人的损失,投标人应负责相应的赔偿责任。
(11)提供吉林省税务局服务期内电子签章系统服务故障处理:电子签章系统运行、升级期间出现电子签章系统故障由投标人及时进行处理、解决;在系统出现非停机性质的故障如系统运行缓慢时,视同系统故障;对电子签章系统和各功能模块的运行效率、性能进行分析,并根据分析结果进行程序优化(含底层开发系统的优化)、参数调整、结构扩展、重新部署等;优化完善电子签章信息系统在应用中存在的缺陷以及操作实际不完全符合或操作不方便的程序,配合采购人完成软件升级测试等工作。
(12)提供吉林省税务局服务期内电子签章系统服务项目培训:
为保证电子签章系统可靠、有效地运行,为税务系统开展能够熟练进行系统部署、管理、维护和操作的一系列培训。技术培训包括但不限于产品使用、系统架构、环境部署和配置、运行管理和维护等内容,业务培训包括但不限于系统的操作方法和技巧培训等内容。提供针对技术培训和业务培训的具体培训方案,培训方案作为投标书的组成部分参与评标。培训的具体要求,包括但不限于以下要素:各级操作人员能够熟练的应用电子签章系统顺利的完成各项日常工作;业务管理人员可以根据业务需要,灵活运用系统,并能为业务管理人员提供相应的业务指导;系统管理人员和信息技术人员能够支撑电子签章系统的日常管理、运行维护和集成应用;税务系统其他相关软件开发商对电子签章系统项目有清晰的认识,能够解决电子签章系统与其他各系统间接口交互的各类问题。
(13)功能要求:吉林省税务局电子签章系统应包含电子签章系统软件(电子印章管理系统、电子签章客户端)、签章服务器、时间戳服务器等,各部分功能至少要达到如下要求:
电子印章管理:电子印章管理系统对用户进行统一管理、统一监督,提供电子印章的审核、制作、停用、作废等印章全生命周期的管理。每个印章可以绑定多个证书,一个证书也支持绑定多个印章。实现对所有电子印章安全方便的集中管理和对印章的使用进行在线控制,实现电子印章统一监管、印章使用流程可控。
电子印章生成:利用税务数字证书介质(至少支持金税盘、税控盘或由吉林省税务局统一采购的USB-Key),实现电子印章的生成。
电子印章更新:电子印章更新包括对印章所绑定数字证书目标的更新和电子印章印模的更新。
电子印章停用:电子印章临时丢失时,可由电子印章管理员对印章执行停用操作;停用后的电子印章可以恢复使用,取消停用后的印章可继续使用。
电子印章销毁:电子印章丢失或有人员变动时,对于不用的电子印章可执行销毁操作,销毁后的电子印章不能再解除销毁,但是销毁后的印章可以进行重新制章和授权使用,跟新的人员或部门使用。
电子印章查询:电子签章系统支持通纳税号、印章名称、签章人、日期、所属税务机关等信息进行查询,并对处于启用、停用和销毁状态的印章进行查询和统计。
系统管理:主要是完成系统基础数据的设置,包括组织机构设置、系统用户管理、系统角色管理、系统权限管理等功能。
组织机构设置:设置电子印章制作系统中涉及的组织机构,本系统支持多级组织机构,支持树型组织机构的管理,进而使得电子印章制作系统支持集中部署,分级管理的应用模式。
系统用户管理:输入电子印章用户的基本信息,并且给特定用户分配一定的角色,便于为特定用户群分配系统权限。
系统角色管理:设置系统角色,通过角色,把相同性质的用户组织在一起,便于系统权限的分配。
系统权限管理:为特定角色的用户分配系统权限,支持分级授权制章和分级审计管理。
电子签章认证:电子签章认证主要处理证书和印章、签名的验证,以确保签章的合法性。主要进行以下认证:
数字证书合法性认证:验证证书是否由指定的合法颁发机构颁发。
电子印章有效性认证:根据税务数字证书的个人身份信息的绑定,可以通过查询用户证书来确认用户身份的有效性;通过印模管理模块可以查询到印章或个人签名的有效性,包括印章和签名的起止时间和所属人等。
数字证书有效期认证:验证数字证书是否在有效期之内。
数字证书废止认证:签章系统会定期从数字证书中心获取废止的证书列表CRL,验证证书是否被废止。
存储介质的挂失或销毁:即使税务数字证书仍在有效期内,如果存储介质遗失或其他特殊原因,需要停用某个电子印章。可通过管理系统中的挂失或注销功能停用印章。
用户身份认证:电子签章系统的用户身份认证要同时处理证书和印章的验证,以确保用户身份的合法性和用章的安全性。
数字证书合法性验证需符合税务数字证书认证规范。
电子印章审计:电子印章管理系统提供完善的后台操作日志记录和审计,至少包括签章记录,撤章记录等,按照国家等级保护条例,系统审计由专人独立进行审计。
审计内容:审计内容包括系统登录、电子签章管理与认证系统内的所有相关操作,签章、撤章、打印操作,非法访问操作、操作失败等日志信息。
审计日志:包括签章日志、撤章日志、打印日志、验章日志等用章日志,和系统登录日志、非法操作日志、签章管理日志、签章授权日志等系统操作日志。
电子签章客户端功能:
操作系统兼容性:需支持Windows XP(SP3)及以上版本Windows系列操作系统;
浏览器兼容性:支持Internet Explorer(IE6.0及以上所有版本)、360(支持IE和Chrome双内核)、FireFox、Chrome等主流浏览器;
集成接口兼容性:提供完善的接口集成方式,支持B/S及C/S架构的应用系统集成。
客户端签章功能
客户端软件主要包括以下主要功能:文档签章、撤消签章、印章显示、多页盖章、联合签章、版式文件签章、带时间戳签章等功能。
文档签章:支持手工定位、关键字定位、坐标定位等签章定位方式,并提供相应数据接口,以便与各类税务应用系统在不同业务场景的集成需要。
撤消签章:撤消选定的签章,使该签章对文档的效用消除。只有在插入签章时所用的证书存储介质,并输入签章口令,才能完成撤销签章。
印章显示:印章显示不会因为分辨率的大小而改变位置,同时印章在有客户端的环境下自动进行验证:验证通过,印章正常显示;验证不通过,印章显示失效标识,同时提醒用户,文件已被篡改。
多页签章:一次盖章动作可以自动在指定多页同一位置处同时完成多处签章,位置则是通过域定位方式来实现盖章位置。
联合签章:当同一文档需要有多个电子印章保护时,可以通过接口调用来实现多个签章同时保护电子文档,每个印章都形成对文档的保护,其中任何人改动了文件,都可以鉴别出来。
版式文件签章:支持多种版式文件格式,至少包含PDF、OFD两种。其中,需要厂商具备独立的版式文件技术,可以在完税证明等应用场景中针对电子文件的版式结构提供相应支持。
带时间戳签章:文件签章时需包含时间戳,验证签章时需同时验证时间戳。
客户端验证功能
主要验证文档内容是否被篡改并显示证书和签章信息。
证书验证:已签章文档,可以通过客户端接口验证签章者所用数字证书是否为税务机关颁发。
文档内容验证:已签章文档,可通过客户端接口验证文档内容在签章后是否被篡改。
签章印模验证:已签章文档,可通过客户端接口验证签章所用印模在签章后是否被替换或修订。
签章服务器:
签章服务器需要提供两部分功能,一部分是提供电子文件的批量签章:批量签章时,数字证书保存在服务器加密设备中,签章过程无需用户操作,批量完成对电子文件执行的盖章操作;第二部分功能是提供电子签章文档的验证功能,主要是验证签章文档证书的有效性和签章文档是否被篡改。
批量签章:
签章服务器需要提供批量签章的API接口,业务系统通过调用批量签章接口,把需要批量签章的文档一次性全部盖章。批量签章API提供Java、c#、Web Service等方式的调用方式,方便业务系统选择不同的接口进行集成。
签章验证:
对于盖完章的文件,如何确保印章和签章人的有效性是保证业务流程正常运转的基础。业务系统接收到客户端已完成签章的文件后,通过调用签章验证服务的接口对签章文件进行有效性验证。
时间戳服务器:
电子签章系统加盖章电子签章时,需要利用时间戳服务器支持带时间戳的电子签章,以保证盖章时间的准确性和可验证性。
时间同步:与时间源服务器进行精确时间同步,为时间戳服务提供时间校准。
时间戳服务:保持与时间源服务器的时间同步;
为电子签章提供盖章文件的时间戳服务;
为电子签章提供对盖章后文件的时间戳验证服务;
为应用系统或应用客户端提供时间戳签发服务;
为应用系统或应用客户端提供时间戳验证服务;
保存所有签发的时间戳,提供时间戳取证服务。
证据保存:保存所有签发的时间戳到数据库,记录内容包括:生成时间、序列号和时间戳的完整编码;
记录审计日志,包括客户端请求、签发的时间戳,时间戳生成时间等信息;
提供时间戳的查询与统计服务,可按照时间戳的生成时间、时间戳唯一序列号、时间戳值等多种方式对时间戳进行检索。
时间戳数据与审计日志的审计和归档。
部署要求:根据税务网络结构和业务特点在吉林省国家税务总局建设部署税务电子签章服务平台。税务电子签章服务平台既可以为部署在税务内网的应用系统和税务人员提供电子签章服务,也可以为部署在税务外网的应用系统和纳税人提供电子签章服务。纳税人、税务人员、税务机构的电子印章统一由税务工作人员进行管理。
在税务内网,为部署在税务内网的应用系统提供电子签章服务,为税务人员提供电子印章制作、电子印章管理服务,税务人员通过使用与电子系统集成的税务应用系统实现电子签章(包私章和公章)的加盖与验证。
在税务外网,为部署在税务外网的应用系统提供电子签章服务,为纳税人提供电子印章制作、电子印章管理服务,纳税人通过使用与电子系统集成的税务应用系统实现电子签章的加盖与验证。
税务电子系统签章系统包括税务电子印章管理系统、时间戳服务器、签章服务器和配套的电子签章客户端工具和相关接口组成,还需要配合已经发放的数字证书介质一起构成整套税务电子签章系统。
其它要求:
| 品名 | 参数 |
| 电子签章系统软件 | 1. 支持国家税务总局税务数字证书系统签发的数字证书,须与税务数字证书系统集成; 2. 支持纳税人持有的税控盘、金税盘、usbkey等税务数字证书介质; 3. 电子印章在线注册、生成和全生命周期管理; 4. 电子签章用章审计; 5. 支持版式文件(PDF、OFD)盖章与验证; 6. 支持带时间戳的电子签章盖章与验证; 7. 签章客户端兼容Windows XP(SP3)及以上版本Windows系列操作系统; 8. 支持Internet Explorer(IE6.0及以上所有版本)、360(支持IE和Chrome双内核)、FireFox、Chrome等主流浏览器; 9. 提供完善的接口集成方式,支持B/S及C/S架构的应用系统集成; 10. 支持大于1500用户并发盖章操作; 11. 支持用户数量大于40万户。 |
| 电子签章服务器(电子签章专用密码设备) | 1.支持国家税务总局数字证书系统签发的数字证书,须与税务数字证书系统集成; 2.支持硬件安全托管税务机关电子公章,托管数量大于等于300; 3.专用设备,一体化主机系统,专用操作系统,机架式服务器机箱; 4.网络接口数量≥2个千兆电口; 5.采用高速硬件实现RSA加密,支持1024和2048位密钥长度; 6.采用高速硬件实现国密SM1、SM2算法,支持256位SM2位密钥长度; 7.采用高速硬件支持国密局标准SM3、SM4加密算法; 8.支持多对非对称密钥的生成、更新、销毁、导出公钥等密钥生命周期管理; 9.私钥存储在密码卡中,不能存储在文件系统中; 10.支持灌装数字证书,并依据数字证书生成和管理对应的电子印章; 11.支持对接数字证书状态在线查询系统(OCSP),实时验证证书有效性; 12.支持OFD、PDF等格式的版式文件签章、验章; 13.支持电子签章服务端批量验证签章; 14.支持电子签章服务端批量签章; 15.并发连接数大于2000; 16.提供二次开发接口,接口支持语言至少包括C/C++接口和符合J2EE规范的接口; 17.支持双机热备功能; 18.SM2算法签名速度大于4000次/秒; 19.SM2算法验签速度大于2200次/秒; 20.RSA 1024位密钥签名速度大于8000次/秒; 21.RSA 1024位密钥验证速度大于18000次/秒。 |
| 时间戳服务器(时间戳专用密码设备) | 1. 支持国家税务总局数字证书系统签发的数字证书,须能与税务数字证书系统集成; 2. 专用设备,一体化主机系统,专用操作系统,机架式机箱; 3. 网络接口数量 ≥2个千兆电口; 4. 采用符合国密标准的高速硬件加密部件,关键算法都是硬件实现; 5. 高速硬件实现RSA加解密,支持1024和2048位密钥长度; 6. 高速硬件实现国密SM1、SM2算法,支持256位SM2位密钥长度; 7. 高速硬件实现支持国密局标准SM3、SM4加密算法; 8. 支持多对非对称密钥的生成、更新、销毁和导出公钥等密钥生命周期管理; 9. 支持导入税务IA签发的数字证书作为系统设备证书; 10. 支持双机或多机负载均衡; 11. 面向应用系统提供C/C++接口和符合J2EE规范的时间戳盖戳和时间戳验证接口: 12. 支持与时间源进行精确时间同步; 13. 时间精度小于1ms; 14. RSA算法时间戳盖戳速度大于4000次/秒; 15. RSA算法时间戳验戳速度大于18000次/秒; 16. SM2算法时间戳盖戳速度大于3000次/秒; 17. SM2算法时间戳验戳速度大于2000次/秒; 18. 并发连接数大于3000。 |
4.税务系统网络安全态势感知系统运维服务
(1)定期开展态势感知平台日常监控,每日查看态势感知平台各探针、平台系统运行情况,各类网络通信流量和日志信息采集情况,发现问题及时组织问题排查和修复,确保态势感知平台正常运转;按日实时监控、识别和验证态势感知平台的安全告警信息,组织验证网络攻击事件,及时开展风险处置工作。
(2)维护态势感知系统监控的各类信息系统资产、等级保护、应急预案等信息,并根据实际情况动态调整、定期更新,确保各类基础信息采集全面准确。
(3)按月开展全网段漏扫扫描工作,扫描完成后将扫描结果传到态势平台。漏洞修复后,在平台进行处置消除此漏洞。
(4)按月开展资产发现扫描,确认扫描结果中未录入到态势的资产名称、类型、路径、业务区域、责任人等信息并录入态势平台,确保资产完备。
(5)完成每日工作汇报表,包括互联网威胁行为分析表、互联网风险预警分析表、数据安全风险监控使用侧统计表、数据安全风险监控运维侧统计表。
(6)完成数据安全核实前期数据整理工作,将各个地区数据进行分类并发送给各地区联络人员进行数据安全告警核实。完成数据安全核实后告警处置工作,整理汇总各地区数据安全告警核实结果,并在态势平台完成处置工作。
(7)对税务总局部署的整体性工作及时进行推进和反馈,按时进行处置或回执总局通过态势感知平台管理中心下发的通知通告。
5.双向安全交换系统和密码服务组件系统运维服务
(1)每日对双向安全交换系统和密码服务组件系统进行巡检,及时发现风险、问题并进行处置并上报。
(2)每月需要将双向安全交换系统和密码服务组件系统健康状态、对接应用系统运行情况、下月工作计划以月报的形式汇报。
(3)日常运维:对双向安全交换系统和密码服务组件系统开展日常运行维护工作,开展健康检查,处理系统故障;负责应用策略的开通,确保应用系统的稳定运行,配合应用系统业务故障排查。
(4)按照采购方工作要求及时将应用系统接入到双向安全交换系统和密码服务组件系统中。
(5)告警事件处置:对告警事件进行及时的报告和处理,保障业务正常运行,对硬件故障进行及时的反馈和处理,对业务影响降到最小化。
(6)应用系统运行情况监控:对设备上的运行应用进行监控,及时报告和处理应用系统的异常情况。
(7)补丁升级:系统新版本发布根据实际情况进行升级维护,对配套的硬件设备进行补丁修复。
(8)双向安全交换系统和密码服务组件系统重要时期安全值守服务:技术加固服务,制定应急响应预案,安全漏洞预警,威胁情报共享,安全事件监控,安全事件处置。
四、项目实施要求
(一)网络安全运维服务
投标人需执行全年7*24小时网络安全驻场运维工作,需提供驻场网络安全工程师6名(具有注册信息安全专业人员CISP证书);
(二)互联网应用系统渗透测试和特殊时期安全保障服务
投标人需组建专业能力强、团队配置齐全的渗透测试团队,团队成员应由6人组成,包含2名高级渗透测试工程师(具有CISP-PTS证书)和4名渗透测试工程师(具有CISP-PTE证书),在执行特殊时期网络安全保障时,需提供4名特殊时期驻场高级网络安全服务人员,提供 7*24小时的应急响应服务。
(三)网络安全系统运维服务
投标人需组建专业能力强的技术支持团队,并提供3名驻场运维工程师,需要具备2年以上的工作经验,熟练掌握数据库管理、操作系统维护、中间件维护和运维管理等方面的知识。
五、项目验收要求
投标人服务期满后,须出具齐全的网络安全运维服务、互联网应用系统渗透测试和特殊时期安全保障服务、税务数字证书系统运维服务、应用安全支撑平台运维服务、电子签章系统运维服务、税务系统网络安全态势感知系统运维服务、双向安全交换系统和密码服务组件系统的各项运维服务报告,报项目使用部门进行审批。审批通过后,由投标人提出项目验收申请,项目使用部门组织吉林省税务局相关部门对该项目进行验收,验收时将参照项目招标服务需求,逐项考察服务满意度、应急响应情况、文档交付情况、专业技术能力和服务整体质量等方面,验收通过后出具项目验收报告。
投标人需提交一套可保存的、并容易查阅的中文文件,文档要求以纸质和电子格式提供,文档内容包括但不限于:
(一)网络安全运维服务:
每月提交如下(1)-(6)内容:
(1)《7*24小时网络安全运维报告》
(2)《网络安全漏洞扫描报告》
(3)《网络安全漏洞交接单》
(4)《网络安全漏洞修复情况报告》
(5)《综合日志审计报告》
(6)《数据库审计报告》
(7)《网络安全应急响应工作总结》
(二)互联网应用系统渗透测试及特殊时期安全保障服务:
每季度提交(1)-(3)内容:
(1)《项目实施计划》
(2)《渗透测试报告》
(3)《渗透测试验证报告》
(4)《App安全测试报告Android版》
(5)《App安全测试报告IOS版》
(6)《应急响应报告》
(7)《网络安全保障预案》
(8)《特殊时期网络安全保障总结报告》
(9)《特殊时期应急处置报告》
(三)吉林省税务数字证书系统运维服务:
(1)《税务数字证书系统运维服务月报》
(2)《税务数字证书系统问题处置记录》
(3)《税务数字证书系统运维服务年度总结》
(四)应用安全支撑平台运维服务:
(1)《应用安全支撑平台运维服务月报》
(2)《应用安全支撑平台问题处置记录》
(3)《应用安全支撑平台运维服务年度总结》
(五)电子签章系统运维服务:
(1)《电子签章系统运维服务月报》
(2)《电子签章系统问题处置记录》
(3)《电子签章系统运维服务年度总结》
(六)税务系统网络安全态势感知系统运维服务
(1)《税务系统网络安全态势感知系统运维服务月报》
(2)《税务系统网络安全态势感知系统问题处置记录》
(3)《税务系统网络安全态势感知系统运维服务年度总结》
(七)双向安全交换系统和密码服务组件系统运维服务
(1)《双向安全交换系统和密码服务组件系统运维服务月报》
(2)《双向安全交换系统和密码服务组件系统问题处置记录》
(3)《双向安全交换系统和密码服务组件系统运维服务年度总结》
六、项目服务要求
服务地点:国家税务总局吉林省税务局(长春市南关区南湖大路1518号)。
服务期限:
(1)网络安全运维服务:自合同签订之日起1年;
(2)互联网应用系统渗透测试和特殊时期安全保障服务:2023年1月1日至2023年12月31日;
(3)吉林省税务数字证书系统运维服务:自合同签订之日起1年;
(4)金税三期应用安全支撑平台运维服务:自合同签订之日起1年;
(5)电子签章系统运维服务:2023年1月1日至2023年12月31日;
(6)税务系统网络安全态势感知系统运维服务:自合同签订之日起1年;
(7)双向安全交换系统和密码服务组件系统运维服务:自合同签订之日起1年。
七、税收信息化项目开发和应用管理工作要求
无
八、支付方式
投标人在中标后,合同签订前,向甲方支付合同总金额10%的履约保证金,未能缴纳履约保证金的,视为放弃中标。待服务期满,经验收合格后,返还履约保证金。
合同签订之后,支付合同总金额的50%,2023年9月1日后经验收通过后,支付合同总金额的50%。
九、其他要求
(一)项目保密要求
投标人对项目实施过程中所获得数据及文档等保密信息,承担以下保密义务:
1.投标人应对在合同签订或履行过程中所接触的对方信息,包括但不限于知识产权、技术资料、技术诀窍、内部管理及其他相关信息,负有保密义务,防止不承担同等保密义务的任何第三者知悉及使用。
2.投标人在使用用户方为其提供的数据、程序、用户名、口令、资料及相关的业务和技术文档,包括方案设计细节、程序文件、数据结构,以及相关业务系统的硬软件、文档、测试和测试产生的数据时,应遵循以下约定:
(1)应以审慎态度避免泄露、公开或传播用户方的信息;
(2)未经用户方书面许可,不得对有关信息进行修改、补充、复制;
(3)未经用户方书面许可,不得将信息以任何方式(如 E-mail)携带出甲方场所;
(4)未经用户方书面许可,不得将信息透露给任何其他人;
(5)用户方以书面形式提出的其他保密措施。
3.保密期限不受合同有效期的限制,在合同有效期结束后,信息接受方仍应承担保密义务,直至该等信息成为公开信息。
4.投标人应按要求与委托方签署保密协议,服务人员签订保密承诺书及网络安全承诺书。
5.投标人如出现泄密行为,泄密方应承担相关的法律责任并承担由此给对方造成的经济损失。
(二)知识产权要求
投标人需保证所提供的服务不侵犯第三方的知识产权(专利权、商标权、版权等),因侵害第三方知识产权而产生的法律责任,全部由投标人承担。
(三)其他要求
中标供应商禁止另行开发合同业务需求范围内、供纳税人、缴费人使用的软件;禁止在合同履行期间“围猎”税务人员,对违反以上规定的,将纳入失信名单;对于违反网络安全规定行为造成不良后果的,3年内限制参加税务系统政府采购活动;中标供应商应建立防止违法违规聘用离职税务人员风险控制制度,如出现违法违规聘用离职税务人员行为,采购人有权对中标供应商采取以下措施:限期改正、要求支付违约金、解除合同、3年内限制参加所聘人员原单位及下属单位信息化项目政府采购活动等措施。投标人针对以上内容提供承诺函。
微信扫码关注
