金税三期工程第二阶段信息安全技术项目

精选优质文档-----倾情为你奉上精选优质文档-----倾情为你奉上专心---专注---专业专心---专注---专业精选优质文档-----倾情为你奉上专心---专注---专业金税三期工程第二阶段信息安全技术项目（第3包：信息安全策略与集成服务包）竞争性磋商文件技术部分 项目编号：GXTC-CZ-采购人：国家税务总局采购代理机构：国信招标集团股份有限公司二〇一五年十一月

第一章金税三期工程项目背景1.1国家税务总局及其下属税务机构简介国家税务总局是国务院主管税收工作的直属机构。自1994年分税制改革后，我国实行国家、地方分级核算的财政体制，国家税务总局对全国国税系统实行垂直管理，并协同省级人民政府对省级地方税务局实行双重领导。国家税务局系统和地方税务局系统（西藏自治区仅设立国家税务局）从省级以下按照行政区划分别设立税务管理机构，各自负责中央税收收入和地方财政收入的组织工作。国家税务局系统由国家税务总局在业务、经费、人事等方面实行中央垂直管理；地方税务局系统省以下实行垂直管理，省级地方税务局由国家税务总局协同省级人民政府实行双重领导。1.2金税三期工程建设目标税务信息化建设的总体目标，就是要建立和完善中国税收管理信息系统，简称为“金税工程”，英文缩写为“CTAIS”。金税三期工程是“金税工程”的建设阶段，它将建立在十多年税务信息化建设的基础之上，按照轻重缓急的原则，通过业务重组、技术重构、功能整合，分期分批逐步实施，最终完成中国税收管理信息系统的建设。金税三期工程将按照“国际先进，中国特色”的要求，通过完成“一个平台、两级处理、三个覆盖、四类系统”的建设，建成一个网络覆盖率达100%、年事务处理量近100亿笔、税务机关内部用户超过60万人、纳税人及外部用户超过亿人（户）的全国税收管理信息系统。该系统将统一全国国地税征管应用系统版本，规范全国税收执法；实施全国征管数据大集中，实现监控全国征管数据；规范纳税服务平台，优化纳税服务；建设决策支持平台，及时、完整、准确地为决策、管理提供信息，进一步提高税法遵从度和税收征收率。国际先进，是指借鉴国际税收管理的先进理念和经验，主要有：将促进税法遵从作为税务机关的主要任务和战略目标，优化服务，规范执法；树立税收风险管理理念，为实施风险管理提供信息化支撑；运用国际先进、成熟的信息技术建设现代化的税收管理、服务信息系统，以提高服务和执法的质效等。中国特色，是指影响我国税务机关学习借鉴国际先进理念、经验的环境和因素，主要有：行政层级的多级性和中央与地方财权的复杂性；国地税系统业务和管理的差异；东、中、西部地区以及城市、农村经济发展的不平衡等，上述这些特色要求在学习借鉴国际先进理念和经验时，针对中国特色，找准结合点。“一个平台”是指建立一个包含网络硬件和基础软件的统一的技术基础平台。“两级处理”是指依托统一的技术基础平台，逐步实现税务系统的数据信息在总局和省局集中处理。“三个覆盖”是指应用内容逐步覆盖所有税种，覆盖税收工作的主要工作环节，覆盖各级国地税机关，并与有关部门联网。“四类系统”包括税收征管、纳税服务、决策支持和行政管理等系统。1.3金税三期工程第一阶段主要建设成果金税三期工程第一阶段运用国内外先进、成熟的税收管理理念和信息技术，借鉴政府和金融、电信等行业信息化建设规划和实践经验，通过业务重组、技术重构、功能整合，初步建成“国际先进、中国特色”的税收管理信息系统并在6个试点省成功运行，为征纳双方提供一体化、人性化、智能化、持续改进的信息化管理平台。一是完成制度和标准规范建设，形成税务标准规范体系和税收信息化管理制度；二是完成税收业务需求的分析与整理；三是完成税收信息化的总体规划设计，推动业务变革、技术创新，建立了包含业务、应用、数据、技术、安全、运维等内容的总体架构体系；四是开发完成征收管理、行政管理、决策支持、外部信息四大类应用系统并在6个试点省成功上线运行；五是完成金税三期新建系统同总局和试点省现有保留应用系统整合，实现新老系统的有效对接；六是建成总局数据中心（南海）；七是充分运用信息技术的最新发展成果完成试点单位信息基础设施的建设改造及运行维护体系建设；八是完成税务系统信息安全体系的总体构建及安全策略的制定，完成对试点单位安全管理系统、安全基础设施、应用安全支撑平台建设，以及对网络系统、应用系统和安全基础设施的安全等级测评和风险评估；九是完成全国税务系统五级网络建设，建成覆盖全国税务系统的综合性通信平台，网络覆盖总局数据中心、南海数据中心、71个省级局、800多个地市级税务局、近6000个县（区）级税务局、近30000个税务分局（所）。1.4金税三期工程第二阶段主要建设任务金税三期工程第二阶段将在充分吸收第一阶段试点建设经验和系统开发成果的基础上，通过分期分批逐步实施，完成应用系统在全国其余30个省级单位（含5个计划单列市）的快速推广部署，完成金税三期工程在税务系统的全覆盖。按照国家税务总局工作安排，计划将在2015年内完成14个省（区）单轨上线工作，包括河北省、宁夏回族自治区、贵州省、云南省、广西壮族自治区、湖南省、青海省、海南省、西藏自治区、甘肃省、安徽省、新疆维吾尔自治区、四川省、吉林省等；计划将在2016年内完成16个省（市）单轨上线工作，包括辽宁省、江西省、福建省、厦门市、青岛市、北京市、黑龙江省、天津市、陕西省、湖北省、大连市、上海市、江苏省、浙江省、宁波市、深圳市等。金税三期工程第二阶段主要建设内容为：（1）完成征收管理、行政管理、决策支持和外部信息等四大类应用系统在全国30个省（含5个计划单列市）的全面推广，同时完成地方特色软件改造及同总局保留系统的接口改造；（2）开展应用系统的优化及补充开发，具体包括国家财税体制改革、税务服务与管理创新导致的需求变化、技术创新或架构优化导致的架构变化、系统运行和推广实施过程发现的程序问题、性能调优导致的程序开发以及软件衔接新增接口等几个方面；（3）实施总局数据集中及数据资源的建设与开发；（4）完成2个国家级、30个省（自治区、直辖市、计划单列市）税务处理中心的扩容，包括计算存储资源、系统软件及备份系统建设等，提高各推广单位数据处理能力；（5）完成各推广省税务处理中心局域网的补充建设；（6）完成各推广省同总局数据中心（南海）间的数据容灾系统建设；（7）完成各推广省相关安全体系建设；（8）完成各推广省终端系统补充建设；（9）完成各推广省相关运行维护体系建设；（10）进一步完善金税三期工程相关标准规范，并进行全面培训、推广及应用；（11）按照国家在云计算、大数据、互联网+等方面的战略部署，适应国家财税体制改革及税制改革要求，适应税收管理现代化要求，在系统优化及全面推广工作中，进行相关的创新性研究及部署；（12）根据项目建设需要，对项目管理人员，系统管理人员、信息技术人员和税收业务人员进行相关培训。第二章安全策略与集成服务概述2.1项目总体定位金税三期工程信息安全保障体系的建设是依据国家关于加强信息系统安全保护的要求，根据税务系统的实际需要，基于现代信息系统安全保障理论，采用现代信息安全保护技术，按照一定规则和体系化的信息安全防护策略进行的整体建设。金税三期工程信息安全保障体系覆盖范围包括：总局信息系统、省级国税信息系统、省级地税信息系统以及支撑上述信息系统的网络系统。金税三期工程通过建立自顶向下的总体安全架构体系，通过一个相对完整的信息安全体系架构全面规划和指导金税三期工程的信息安全建设。2.2项目建设目标信息安全体系建设的总体目标是：基于现代信息安全理论，遵循国家标准，采用目前国内外先进的信息安全技术，建设涵盖税务系统的网络、应用和管理等各个方面的统一、安全、稳定、高效的信息安全体系，并根据税务系统信息化建设进程制定税务信息安全体系建设的分步实施方案，建成完整的税务系统信息安全保障体系。建立税务系统信息安全运行与管理的基础平台，构建税收业务系统信息安全支撑体系，保证各种税务业务应用的安全运行，通过技术手段实现税务信息系统安全可管理、安全可控制的目标，使安全保护策略贯穿到信息系统的物理环境、网络层、系统层、应用层、数据层和管理层的各个层面。实现总局和省级局高度集中处理税务数据的安全保护，支持征管业务、行政管理、决策支持、外部信息等四大应用系统的安全需求，建立包含策略管理在内的安全管理系统和安全管理组织，构建安全管理平台和安全事件分析系统，建立税务系统信息安全体系的技术标准、规范、规章制度，使安全体系实现功能齐全、协调高效、信息共享、监控严密、安全稳定、保障有力等建设目标。2.3项目建设原则金税三期工程第二阶段各项目总体上应遵循“统筹规划、统一标准，突出重点、分布实施，整合资源、讲究实效，加强管理、保证安全”的建设原则。1、统筹规划、统一标准。在网络安全和信息化领导小组统一领导下，综合考虑各方面实际情况，按照一体化指导思想，制定科学合理、切实可行的税务系统信息化建设目标，包括远期目标和近期目标，统一进行工程规划设计。建立统一的技术基础平台和统一规范的征管业务流程，在工程实施过程中严格遵循相关标准。2、突出重点、分步实施综合考虑人力、物力、资金等多方面因素，根据税收征管工作实际，把总体目标具体分解为若干阶段性任务，合理安排运筹，并集中力量解决不同阶段的重要问题。3、整合资源、讲求实效充分利用以往信息化建设积累的可用资源，按照工程总体设计实现资源整合，增加相互之间的兼容性，实现不同系统和软件的优势互补，根据新要求进一步拓展、完善和提升应用系统的功能与质量，逐步实现金税三期工程的总体目标。4、加强管理、保证安全加强信息化建设管理是保证信息化建设成败的关键。要借鉴国外先进的科学管理办法，建立和完善项目管理制度，确保信息化工程建设质量。同时建立信息化管理责任制，按照新理念，采用新办法，依靠新手段，加强信息系统运营管理，完善安全措施，确保税收这一国民经济关键性信息系统的安全运行和功能的充分发挥。2.4项目总体架构安全体系总体架构蓝图包括：信息系统的物理环境、网络、操作系统和数据库系统、业务应用、数据保护、运行管理等多个层面。建设税务信息系统完整的信息安全保障体系，能够针对税务信息系统面临的各种安全威胁，在网络、系统、应用、管理等各个层面为税务信息系统提供全面的安全保护。2.5项目建设现状在金税三期第一阶段中，已经完成总局和试点省份的安全建设投资，建设完成了证书认证系统、权限管理系统、应用安全支撑平台、网络安全防护系统和安全管理系统，完成了税务系统安全体系方案设计，同时制定了信息安全标准、规范及制度。安全策略体系：建设了国际领先、中国特色的安全策略体系，建成的安全策略体系以数据保护为核心，通过数据分级，针对基础设备设施、应用系统与网络环境进行分级，并根据其承载数据级别的不同对其安全控制措施要求进行分级。同时，通过设备设施、安全设备设施策略和应用系统软件开发安全策略要求，规范并描述其控制措施要求。安全管理体系：完成了安全体系的整体设计与安全制度体系文档编写工作，包括安全体系的整体设计框架策略、岗位职责设计制度、安全人员管理制度、安全建设管理制度、安全运维管理制度等总体的安全管理制度，同时还完成了针对各节点的终端安全管理制度及安全培训制度等。完成了安全对象管理、规划建设安全管理、风险评估管理、等保管理、安全检查管理、安全事件管理、安全评价管理、安全配置管理、访问控制策略管理、安全应急管理、安全预警管理、安全退服管理、安全培训管理、安全评价管理模块的开发工作，同时完成了在各试点的系统实施部署工作。基础防御体系：完成了总局及试点省应用安全支撑平台的建设，实现了税务系统内部用户和外部用户集中统一的用户和权限管理、系统级访问控制管理，为各应用系统提供用户信息共享服务、统一身份认证服务、单点登录服务、数字签名验签服务、通道传输加密服务等。完成了总局和试点省份的安全域边界防火墙、IPS等设备的建设，网络审计、数据库审计、4A审计建设以及广域网的密码机建设。2.6项目投标要求候选供应商应在合同约定的时间内提供本项目中规定的全部内容，承诺与本项目的相关单位，包括国家税务总局、税务系统（含地税系统）内各项目单位，进行积极主动的合作。候选供应商在实施过程中必须服从国家税务总局的统一协调，国家税务总局有权裁决项目执行各方的责任范围，候选供应商必须无条件执行，并在规定的时间内解决问题。如果任意一方不配合国家税务总局工作，严重影响工程进度、造成严重后果，国家税务总局有权退货、索赔或拒付款项。在本项目合同规定的服务期内，对本项目所有软件及授权License，国家税务总局拥有在全国税务系统（含地税系统）内任意安装、使用、调整、分发等全部权利，无需取得候选供应商的额外授权。2.6.1对候选供应商的基本要求本项目由符合国家有关法律法规规定、同时满足本项目资格要求、在中国境内注册的合格候选供应商均可参与投标。候选供应商资格条件：本项目拟由具有系统集成和软件开发能力的供应商参与投标，要求候选供应商应具有履行本项目合同所需的技术实力及相关资质，必须满足以下条件：1、本项目由符合国家有关法律法规规定、同时满足本项目资质要求、在中国境内注册的具有系统集成和软件开发能力的安全服务厂商作为候选供应商。2、候选供应商必须具备《政府采购法》第二十二条的规定。3、本项目不接受联合体作为候选供应商、不得转包或分包。4、候选供应商应具有ISO9001:2008质量管理体系认证资质。5、候选供应商应具有ISO27001信息安全体系认证资质。6、为本采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商，不得再参加该采购项目的其他采购活动。7、符合和满足本项目其他要求和资质条件。候选供应商相关要求：1、本项目不接受联合体投标；2、候选供应商应了解和熟悉政府采购制度的有关规定，能提供使采购人满意的优质服务，并能够严格执行招标文件的有关规定和履行投标承诺；3、候选供应商应提供招标要求规定的全部投标文件，包括投标文件正本1份，副本5份，电子文档1份，开标一览表正本1份；4、候选供应商应详细审阅全部招标文件（包括招标文件澄清函），理解招标文件的所有条款；5、候选供应商应保证按招标文件要求，提供令招标人满意的服务和交付物；6、候选供应商应承诺接受招标文件中全部合同条款，且无任何异议；保证忠实地执行双方所签订的合同，并承担合同规定的责任和义务；7、候选供应商应承诺完全满足和响应招标文件中的各项商务和技术要求，若有偏差，应在投标文件中明确说明。2.6.2对投标书的基本要求一、候选供应商必须针对技术部分中的需求逐个或分块作出实质性响应，其响应与招标文件内容采用同样的顺序。对每个需求的响应必须遵循如下规则：1．重复该需求。2．用“是/否”响应来表明该需求是否被满足（描述需求）。3．简要描述投标书或候选供应商案如何满足该需求，如果该响应在投标书其它部分有详述，可在该处简单应答，但必须给出确切的位置索引。4．解释投标书或候选供应商案与用户需求之间的偏差；用数量来表示的需求，必须用确切的数字、单位来响应。二、对标书技术部分需求的应答应至少包含以下具体细节：1．对项目的描述候选供应商必须在充分理解招标文件中描述的用户需求和技术方案的基础上，根据招标文件有关章节提供的材料以及所了解的税务信息系统建设的情况，提供对本项目的理解和详细描述，针对本项目的相关单位（包括国家税务总局和各省级单位）用户要求，承诺通过客户化定制开发，满足招标人列出的所有需求。同时应对投标文件中所提供的设备如何适用于采购人的需求作详细的说明。此项内容作为考察候选供应商是否具备完成本项目能力的重要依据。2．对技术需求的完全响应，具体包括：(1)对技术方案的响应在投标文件中详细阐述设计方案、集成开发和应用软件开发方案、系统安装调试实施方案、数据迁移方案、验收计划方案等各项内容。(2)对设备或软件技术规格需求的响应投标文件的内容应该包括招标人要求的全部软件、硬件设备及其相关的介质、模块、连接设备、电缆以及招标文件中未列出的但属于建设内容的部分等。候选供应商必须逐一说明建议的每个软件、硬件及模块的名称、版本或型号/部件号，并注明合法使用期限。若中标的软硬件产品等方面的配置或需求中出现不合理或不完整的问题，候选供应商、产品原厂商有责任和义务提出补充修改方案，并在征得国家税务总局的同意后付诸实施，招标人不再另行支付任何费用。候选供应商应提供实质性确切响应，并有详细的文字描述和说明，任何仅采用“符合”、“满足”或非确定性数值（如“>=”或“<=”）的响应均将被视为没有对招标文件的实质性响应，从而可能导致严重后果直至废标；有关表格部分的响应应按标书商务部分规定的格式列出。(3)对到货时间及地点、工程实施、验收要求的详细响应候选供应商必须按照招标人的项目实施进度要求，提供整个工程的项目计划书，提交整体及分省项目的实施方案，实施完成后应分省提交项目实施报告。包括项目的组织和管理、投入的技术人员及其简介（必须具有3年以上相关产品项目的实施经验)、详细的工作日程表、具体工作内容及各项具体方案和应急计划等内容。项目实施至少包括需求确认、方案设计（含技术方案、测试方案的设计、与相关原有系统集成方案及接口的设计）、应用开发、设备到货、现场安装、调试（含系统联调）、用户培训、试点、上线试运行支持、推广实施、系统初验、系统终验等。(4)对文档需求的详细响应(5)对质量保障的详细响应候选供应商必须认真理解所有质量保障需求，详细描述响应方案，逐条应答，有保留的承诺将不被接受。保障时间为本项目签订合同之日起至金税三期工程第二阶段验收完成之日结束。3．候选供应商认为对整个系统建设特别重要的建议（此项单列为可选性需求）。4．附件，提供投标书中涉及的所有投标设备和有关软件的产品说明（要求彩页）或相关证明，并最好以中文描述。5．候选供应商应针对本项目技术需求提供原型演示和讲解。三、费用要求候选供应商应根据技术需求合理估算工作量，并注意报价的合理性，人力资源成本原则上不得低于2014年北京市企业（信息传输、计算机服务和软件业）平均人工成本。2.7实施范围本项目分两批进行实施：国家税务总局数据中心（北京、南海）；第一批为税务系统14个省，实施单位地点如下：河北、宁夏、贵州、广西、云南、湖南、青海、海南、西藏、甘肃、安徽、新疆、四川、吉林；第二批为税务系统16个省，实施单位地点如下：辽宁、江西、厦门、青岛、福建、北京、黑龙江、天津、陕西、大连、湖北、上海、江苏、宁波、深圳、浙江。第三章安全策略与集成服务需求3.1项目总体需求本项目采购的金税三期工程第二阶段安全策略与安全集成服务包括结合省级单位安全策略的新增与落实，金税三期工程第二阶段安全集成的技术支持、督促协调、检查和整改确认，金税三期工程第二阶段安全服务包括安全监控和应急响应高级支持服务。本项目安全策略是安全集成服务的前置条件，在安全集成服务实施前必须进行严谨的安全现状调研、分析，基于各地调研情况形成各类安全策略，依据安全策略的要求开展安全集成服务，其集成服务内容既要保障金税三期第二阶段建设过程中整体安全的管控，还要确保系统单轨试运行上线后的安全稳定运行，并对安全突发事件采取有效的应急处置。安全策略：本项服务旨在为税务系统的信息安全建设提供全方位、全生命周期的综合服务，从而实现金税三期工程第二阶段省级单位的安全体系建设目标。其内容是在金税三期工程第一阶段既有工作成果的基础上，遵循国家税务总局业务发展战略，对税务系统内各单位,制定信息安全策略与具体的策略实现；开发、发布、并定期更新信息安全策略。安全集成：本项服务旨在根据金税三期工程总体规划设计方案,在金税三期工程第一阶段既有工作成果的基础上，结合税务工作实际情况，依据《国家税务总局关于金税三期工程优化版第二阶段推广有关工作的通知》、《金税三期工程第二阶段推广基础环境建设需求方案》及国家信息安全等级保护的要求，对安全域划分、安全设备部署及安全防护配置等方面进行督促协调、检查、确认，并根据检查、确认的实际情况在项目服务期内督促相关单位对不符合项目进行整改，满足国家信息安全等级保护的相关要求。安全服务：为金税三期工程第二阶段全部推广单位提供安全监控服务支持，做好访问控制策略的实施和优化、开展安全设备的日常监控、进行安全事件的分析和处置等，提供现场应急响应高级技术支持服务。安全服务人员配合制定制度规范和服务流程，协助构建完善的安全服务体系，实现安全服务工作的标准化、规范化，保障税务信息系统健康、高效运行。3.2项目具体需求3.2.1安全策略要求1、成交供应商应在调研分析的基础上，根据税务系统的安全现状，参照《GB/T22239—2008信息安全技术信息系统安全等级保护基本要求》及ISO/IEC27000系列安全标准的内容，在金税三期工程第一阶段安全策略体系建设的基础上，结合税务应用系统的实际要求调研，对所有推广单位进行实地安全现状调研分析形成调研报告，设计各省级单位税务系统的实施框架、安全策略以及策略的细化方案，补充、完善金税三期工程信息安全保障策略体系，为金税三期工程第二阶段提供安全支撑。金税三期工程第二阶段信息安全策略的内容要覆盖但不限于：安全规划、组织机构、人员安全、安全意识和培训、风险评估、认证认可、系统建设、配置管理、应急计划、事件响应、系统维护、标识鉴别、访问控制、系统与信息完整性、系统与通信保护、抗抵赖、介质保护、物理和环境保护、检测响应恢复等各方面。开发、发布、并定期更新信息安全策略。安全策略的新增及更新完善应包括以下两个部分：安全策略新增：对金税三期工程第二阶段建设的基础设施类、安全体系类、软件开发类等项目新增的软件或硬件，增加的安全管理与安全技术策略，新增策略侧重于此次被实施单位。如：应用系统安全审核策略，XX省级单位安全配置规范、XX省级单位安全配置指南，XX省级单位安全基线等。安全策略更新完善：在金税三期工程第一阶段安全策略落实情况的基础上，结合金税三期工程第二阶段各省税务信息系统安全体系建设情况，充分体现优化版建设要求，更新完善信息安全策略。信息安全策略的新增加及更新完善应紧密围绕税务系统业务应用，有效覆盖税务系统业务流程和数据流等全流程的安全保障，有效覆盖业务数据全生命周期的安全保障，全面覆盖税务系统各层级、各部门、各岗位的安全保障。2、成交供应商应根据金税三期工程项目实际需要，制定《安全策略技术方案》及《安全策略实施方案》，并合理安排项目进度，优先安排满足各项目最急需的安全策略。3、成交供应商应提供安全策略开发管理工具的安装介质和相关文档，负责安全策略开发管理工具的安装和维护。4、成交供应商新增及更新完善的安全策略体系应全面实现编码化、代码化、标准化。3.2.2安全集成要求1、成交供应商应遵循《金税三期工程安全架构优化方案》、《国家税务总局关于金税三期工程优化版第二阶段推广有关工作的通知》、《金税三期工程第二阶段推广基础环境建设需求方案》及国家信息安全等级保护要求负责对各项目承建商进行技术管控。2、成交供应商负责《安全集成实施方案》的制定，指导技术基础设施产品供应商、税务应用软件开发商、信息安全体系建设各项目中标方编制具体的安全策略，对各方提交的明细安全策略进行确认。3、成交供应商负责项目的安全需求分析、概要设计、详细设计和实施方案设计，为招标人提供安全技术咨询服务工作，对项目的目标、范围和功能进行界定。4、成交供应商按照推广单位实施结果优化《安全集成实施方案》，确保工程质量、进度、成本满足项目的要求。5、成交供应商负责制定安全集成方案，安全集成方案需明确安全集成步骤及流程，在项目建设过程中，建立省（区）/市税务局、各项目承建商及监理公司之间良好的协调、沟通机制，高质高效地完成项目建设。6、成交供应商对采购人选定的各安全项目进行相关培训，对实施过程的安全要求进行管控。成交供应商应配合甲方做好培训工作，包括做好培训方案的制定，提供师资、材料、课件，协助搭建培训环境等，但培训费用不包括在合同总价中。7、成交供应商负责协调其他项目承建商对项目安全设备、安全软件的安装、调试。8、成交供应商负责指导、督促协调、确认相关项目承建商进行安全域划分、安全设备部署及安全防护的落实。9、成交供应商负责指导、督促和跟踪相关项目承建商对不符合项进行安全整改，并对安全整改项进行复测、检查确认。10、确保项目在保证质量、按照预订工期、在资金预算范围内完工，整理与工程有关的全部文档，并提交采购人。11、在本合同期内或合同终止后，未征得采购人同意，不得泄露与本工程、本合同有关技术、资料等，不得以任何形式侵害采购人和各项目中标方的知识产权。12、现场服务涵盖金税三期工程第二阶段三十个省省级单位及其所属地市级和区县级国家税务局，成交供应商需在实施过程中安排现场服务和知识转移。3.2.3安全服务要求一、安全监控（一）监控1、监视服务范围内全部安全系统及相关系统的运行情况，处置安全事件。2、监视安全系统运行的各类设备实时情况，包括CPU利用率、内存占用、硬盘占用等基本系统信息等，发现问题及时通知用户，并按照用户要求进行处置。3、监视安全系统服务运行的各类实时情况，包括系统起停状态、服务起停状态、Web服务日志状态等，发现问题及时通知用户，并按照用户要求进行处置。4、监视安全系统的支撑系统，主机操作系统、数据库等的运行状况，包括服务运行情况等，发现问题及时通知用户，并按照用户要求进行处置。5、监视安全系统的主机系统完整性情况，包括关键配置文件修改、关键服务修改、关键用户和配置修改等，发现问题及时通知用户，并按照用户要求进行处置。6、监视信息系统主机安全状况的情况，包括网络型攻击、主机入侵、应用型入侵等，发现问题及时通知用户，并按照用户要求进行处置。7、监视税务系统安全管理系统的实时情况，包括事件报警、安全事件定位等，发现问题及时通知用户，并按照用户要求进行处置。8、对上述监控采集的数据信息进行分析，预判信息安全情况趋势，及时向被监控单位报告信息安全状况，并按照用户要求进行处置。9、根据用户审批授权，对用户的信息安全产品进行日常服务保障管理。10、完成总局、省局布置的其他信息安全保障工作，工作地点遵循采购方要求，工作方式需满足各地安全管理要求。（二）预警1、安全事件类：针对税务系统、行业内新近爆发的安全事件，进行全系统预警提示。预警方式可以为邮件方式为主，重要安全事件再辅助电话通知。具备为税务系统提供统一平台预警接口能力，将预警信息通过平台进行全网预警管理。2、病毒事件类：针对税务系统、行业内新近爆发的蠕虫、木马、病毒等恶意代码，进行全系统预警提示。预警方式可以为邮件方式为主，重要安全事件再辅助电话通知。具备为税务系统提供统一平台预警接口能力，将预警信息通过平台进行全网预警管理。3、漏洞信息类：针对税务相关各类应用系统、中间件、数据库以及行业内通用应用系统新近所曝光的漏洞信息，进行全网预警；预警方式可以为邮件方式为主，重要安全事件再辅助电话通知。具备为税务系统提供统一平台预警接口能力，将预警信息通过平台进行全网预警管理。安全预警频率：至少每周有一期更新、通告。（三）跟踪测试1、针对已上线系统的各类升级包、功能补丁包，进行有效性验证和测试；根据总局安全基线要求，对相关应用系统进行安全基线核查，并编写测试报告；2、针对已更新、扩容建设的网络基础设施、安全基础设施等进行有效性和符合性测试，并编写测试报告。（四）知识库1、针对税务系统、行业内已发生的安全事件处置预案、恶意代码处置预案进行全网共享，共享方式可通过平台、邮件、电话、函件等。2、针对行业内新的安全技术、研究类文献资料，进行全网共享。知识库发布频率：至少每2周更新一次。（五）安全运维操作手册1、在服务期结束前3个月，为所服务单位完成操作手册编写工作。操作手册要符合该单位网络环境和业务特点，操作步骤要完全与该单位所用产品及版本一致。项目组进场一个月内，需提交手册编写进度计划。2、操作手册要能够适用于不熟悉该单位网络环境的技术人员，按照手册里的操作步骤即可完成安全配置。具体内容至少包括：系统/设备所需要的软件环境、硬件环境、配置步骤、连接方式/拓扑。3、操作手册要包含被服务单位所有安全设备及安全类系统。（六）服务方式1、制定税务系统安全监控服务任务细节方案，交由用户方审核通过后安排人员执行。2、制定税务系统安全监控工作记录表格，交由用户方审核通过后，由监控人员记录。3、监控频度：税收征收期8时～18时每小时监控记录一次，18时～次日8时，每两小时监控记录一次；特殊时期（两会等重大政治活动期间）按照总局和省局要求频度进行监控记录；其他时期8时～18时每两小时监控记录一次，18时～次日8时，每四小时监控记录一次。（七）输出文档1、每日提供《安全监控日报》。2、每周提供《安全监控周报》。3、每月提供《安全监控月报》。4、每半年提交监控工作半年总结报告。5、特殊时期值守结束后提供值守总结报告。6、知识库。7、安全运维操作手册。二、应急响应高级技术支持要求（一）应急响应事件范围1、由招标人负责确定需要响应的信息安全应急响应事件（二）应急响应建设1、协助用户健全完善应急响应工作方案（包含总体预案、专项应急预案等）。2、协助用户完善应急工作知识体系（应急工作手册、应急处置技术知识等）。3、协助用户完成应急工作知识培训，培养用户自己的应急响应队伍。（三）应急响应支持方式1、电话、邮件、短信等。2、税务业务专网远程支持，不得影响安全监控服务工作。3、现场支持，不得影响安全监控服务工作。（四）应急响应服务方式1、远程响应，远程服务。2、远程+现场响应，现场服务。3、远程+现场响应，远程+现场服务。（五）现场应急响应要求1、安全事件响应分析：对监控发现的恶意入侵、恶意资源消耗、病毒爆发、内部安全事件等进行分析。2、安全事件处置：根据用户方要求提供系统安全恢复处置、应用服务安全恢复处置、数据安全恢复处置、网络性能安全恢复处置、网络病毒清除处置等现场安全处置服务。3、入侵追踪和取证：对安全事件入侵追踪、犯罪取证、事后安全分析和加固。4、服务范围：税务总局和各省级单位，7×24小时提供支持，提供现场应急处置服务时不得影响安全监控服务的开展。5、现场应急处置服务由总局统一派遣。原则上提供不少于20次的现场应急处置服务。（六）入侵追踪和取证方式1、隔离和分析系统安全日志，追踪入侵源。2、隔离和分析入侵破坏痕迹，追踪入侵源。3、设置密罐等欺骗措施，引诱入侵者再次入侵，追踪入侵源。（七)事后分析1、成交供应商处理应急安全事件之后，依据用户系统的安全性和威胁，提供相应的事后安全分析和可行性安全建议，并协助用户完成事后安全加固，帮助用户解决存在的或者可能存在的安全问题。（八）输出文档1、按月提交远程应急响应报告（包含单位、方式、问题、解决方案等内容）。2、每次现场应急响应后应提交《现场应急响应总结报告》。3、根据用户要求提交应急响应总体预案修订建议。4、根据用户要求提交应急响应专项应急预案修订建议。5、根据用户要求提交应急响应工作方案修订建议。6、根据用户要求提交应急响应工作手册修订建议。7、根据用户要求提交应急响应工作技术知识手册修订建议。3.2.4候选供应商响应要求一、技术方案及软、硬件工具要求1、候选供应商应对如何完成本项目工作内容进行阐述，对工作理解、工作策略、工作方式方法、支撑工具、提交物等进行描述；提交物和各种产出物应以表格方式描述，至少包括序号、文档名称、文档主要内容和备注等栏目；应对如何保证工作质量进行描述；应制定详细工作计划。2、候选供应商应提交安全策略技术方案和实施方案，阐述对建设金税三期工程安全策略体系目标和原则的理解；对金税三期工程第二阶段安全策略开发与实施的工作内容、工作范围、主要开发与实施方法、风险及应对措施进行描述；对如何保证和验证安全策略开发与实施的工作质量进行描述；对安全策略开发和实施工作的主要阶段进行分析。3、候选供应商应提交安全集成实施方案，阐述对金税三期工程安全集成目标和原则的理解；对金税三期工程第二阶段安全集成工作内容、工作范围、主要集成关系和方法、风险及应对措施进行描述；对如何保证和验证安全集成的工作质量进行描述；对安全集成工作的主要阶段进行分析。4、候选供应商应提交安全集成节点实施方案，候选供应商应对如何协调、指导和督促协调相关承建商落实金税三期工程各应用系统在项目实施过程符合等级保护的技术和管理要求给出一个明确描述。5、候选供应商应对提供给各级税务工作人员的全部文档使用浅显易懂的语言描述，以方便税务工作人员充分理解并可靠执行。6、候选供应商应说明所投入的工作量及工作量单价，以及场地、设备需求及租费等各项费用。7、候选供应商应就各项工作特点，按不同能力分类的工作人员数量进行合理分配，各类人员构成比例合理，满足项目实施需要。8、候选供应商对完成本项目工作所使用的各种软、硬件工具（包括招标文件中未列出而系统实施又必需的软件、硬件）需配齐以构成一套实用系统。如果候选供应商在中标并签署合同后，在供货或系统集成时出现软、硬件的任何遗漏，均必须由中标方免费提供，并提供税务系统使用的正版授权，国家税务总局将不再支付任何费用。9、候选供应商应详细说明和提供安全策略开发管理工具，保证采购人享有不受任何限制的使用权。10、候选供应商须承担相应的保密义务。11、除非特别说明，本需求书中所提出的所有需求与管理要求，都是投标必须响应的内容。二、项目依据标准在本项目中主要应依据以下标准：GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息系统安全保护等级定级指南信息安全技术信息系统安全等级保护测评要求信息安全技术信息系统安全等级保护实施指南 信息系统等级保护安全设计技术要求ISO/IEC27000系列安全标准ISO/IEC9000系列质量管理体系要求GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20271-2006信息安全技术信息系统安全通用技术要求GB/T20269-2006信息安全技术信息系统安全管理要求GB/T21052-2007信息安全技术信息系统物理安全技术要求GB/T20984-2007信息安全技术信息安全风险评估规范GB/T21053-2007信息安全技术公钥基础设施PKI系统安全等级保护技术要求GB/T20281-2006信息安全技术防火墙技术要求和测试评价方法GB/T20275-2006信息安全技术入侵检测系统技术要求和测试评价方法GB/T21028-2007信息安全技术服务器安全技术要求GB/T20272-2006信息安全技术操作系统安全技术要求GB/T20273-2006信息安全技术数据库管理系统安全技术要求GB/T20278-2006信息安全技术网络脆弱性扫描产品技术要求GB/T20279-2006信息安全技术网络和终端设备隔离部件安全技术要求采购人提供的金税三期工程有关文件第四章安全策略与集成服务实施4.1实施内容4.1.1安全策略实施4.1.1.1项目实施准备要求一、具体内容和要求成交供应商要对税务系统现有安全策略和执行现状进行调研，需要深入到各省级单位进行现场调研，现场调研要结合风险评估的方法对各地安全现状进行摸底，要基于但不限于金税三期工程第二阶段自身安全特点，调研内容既要从管理和技术角度覆盖各省级单位安全现状，又要兼顾地市以及区县级单位的安全防护状况，形成详尽的调研报告，同时对于目前税务系统的策略文档进行整理和统计，进行案头文档分析，对当前策略的执行情况进行调研和访谈；在此基础之上，按照有关要求制定详细的安全策略开发工作方案。在工作方案中，要明确从调研、分析、编制到正式推广实施直至终验、售后的各阶段工作任务、工作量、工作方法等内容，以保证本项目在质量与时间上的可控性。对于工作方案中的实施范围，要求达到以下要求（但不限于）：三十个省省级单位及各省级单位下属的一个地市级单位和一个县（区）级单位。工作方案中的策略推广时间，应当安排在3个月内完成。二、输入文档1)收集文档的列表2)案头文档分析方法说明方案3)现状分析报告模板4)现状调研方法说明方案5)问卷调查表6)访谈问卷模板三、输出文档1)《项目文档调研分析报告》2)《XX省级单位现场调研报告》3)《项目组与相关部门安全访谈报告》4)《安全策略开发工作方案》4.1.1.2安全策略落实方案的内容及要求一、具体内容和要求成交供应商必须制定切实可行的安全策略执行和审验方案，以保证金税三期的安全集成商可根据该执行方案将所有安全策略落实到位。二、输入文档1)安全策略现状分析报告2)安全策略文件框架3)安全策略文件编写清单4)安全策略文件编写计划5)第一阶段安全策略文档三、输出文档1)安全策略落实方案4.1.1.3安全基线的内容及要求一、具体内容和要求在金税三期项目背景下，安全策略基线是一组可供参照的安全标准或基本指标，可以满足基本的安全需求，使系统达到一定的安全防护水平，并达到最大可用性。基线覆盖的范围包括金税三期全部建设内容的安全设计、建设实施和安全验收等部分。成交供应商应根据金税三期工程的实际情况和安全定级结果，依据《GB/T22239—2008信息安全技术信息系统安全等级保护基本要求》，参照ISO/IEC27000系列安全标准，在安全策略实施的基础上，详细设计金税三期工程中省级单位的安全管理策略与安全技术策略的基线标准。二、输入文档1)安全策略现状分析报告2)安全策略文件框架3)安全策略文件编写清单4)安全策略文件编写计划。5)第一阶段安全策略文档三、输出文档1)金税三期工程安全策略基线（省级）4.1.1.4安全策略细化方案的内容及要求一、具体内容和要求成交供应商应根据金税三期工程的实际情况，依据《GB/T22239—2008信息安全技术信息系统安全等级保护基本要求》，参照ISO/IEC27000系列安全标准，在安全策略实施框架与安全策略基线的基础上，在金税三期工程第一阶段安全策略体系开发、设计、落实的基础之上，进行安全策略细化方案的开发。安全策略细化方案应覆盖金税三期工程全部建设项目，满足各项目实际开发、部署、建设和使用要求。安全策略的细化方案主要包括但不限于以下几个部分：（一）应用系统安全审核策略成交供应商应按照税务应用系统的实际要求，根据已确定的应用系统信息安全审核规范，参照国内外有关安全标准，设计审核框架。在审核框架应所覆盖的内容至少应包含应用系统规划立项阶段、需求分析和开发设计阶段、上线部署阶段和日常运行阶段等。审核文档体系的层级划分上，至少应包括三层：规范层、手册指南层、审核表层。可根据现场调研结果，对框架的层级进行细化，框架的各部分需要描述其主要特征和边界。同时应根据在安全审核框架基础上，进行安全开发细化方案，规划立项阶应包含不局限于应包含定级、需求分析等审核点；需求与设计开发阶段应包含不局限于设计安全、开发环境安全、编码安全、安全测试等审核点；上线部署阶段应包含不局限于安全域和安全规则合规检查、基线、风险评估、等保测评等审核点；日常运行阶应包含不局限于运行管理、变更、应急相应、废弃等审核点。（二）软件开发与部署安全策略成交供应商应负责编写金税三期第二阶段各应用软件的安全功能要求、开发过程安全管理、安全测试与验收、安全配置和安全维护等方面的安全策略。编写内容包括但不限于以下内容：1．软件的安全规范：软件安全功能要求规范，内容包括但不限于：身份鉴别、访问控制、安全审计、剩余信息保护、抗抵赖、软件容错、资源控制以及数据完整性、数据保密性、通信完整性、通信保密性等方面。2．软件开发过程安全管理3．软件测试与验收安全管理4．软件安全配置要求5．软件开发安全手册，内容包括金税三期第二阶段软件的安全开发方法，安全编码准则，需避免的缺欠，参考标准，安全开发范例等。6．软件安全测试手册，内容包括金税三期第二阶段软件安全测试的测试方法，测试流程，测试工具，测试用例等。7．主要业务应用软件的安全策略：在上述软件安全规范的基础上，针对各主要业务应用软件的实际情况，定制具体的安全策略要求。主要业务应用软件应该包括征收管理系统、行政管理系统、纳税服务和外部门数据交换系统、数据利用与决策支持系统等。成交供应商还须明确要求软件开发商编制配合安全策略落实的各业务系统相关的技术规范和手册等文档。（三）安全设备和安全基础设施策略成交供应商应负责完成各种安全设备与基础设施的安全策略设计要求，以供各集成商协调安全设备提供商完成相关产品的具体安全配置。安全设备和安全基础设施主要包括金税三期工程第二阶段中新购及现有的各种安全设备和安全基础设施，主要包括但不限于防火墙、IDS（入侵检测系统）、防病毒系统、终端管理、安全审计、密码机等金税三期第二阶段所包含的安全设备和安全基础设施。（四）信息基础设施建设安全策略开发成交供应商应在安全策略基线的基础上，负责完成物理层、网络层、主机层、数据库、中间件、其他通用软件等信息基础设施建设的安全策略，主要包括安全设计、安全配置实施和安全维护等三方面内容，并协调网络和系统集成商完成相关的文档。（五）内审安全策略开发成交供应商应在安全策略基线的基础上，通过与总局内审部门的沟通，了解其在信息系统内审和信息安全内审方面的工作内容，配合制定金税三期信第二阶段息安全内审策略。（六）敏感数据保护安全策略开发成交供应商应通过与总局相关部门的沟通，了解其在信息系统敏感保护方面的工作内容，包括纳税人的敏感数据（包括纳税人个人隐私，商业秘密等），税务系统敏感数据（包括员工个人隐私，税务工作秘密等），调研其对信息系统和安全系统的要求，制定金税三期第二阶段敏感数据保护策略。（七）层级安全策略开发成交供应商应开发国家税务总局中心节点（应用系统安全审核策略）、30个省省级节点及基层节点（1个省至少有3个基层单位）的安全策略，以满足各层级单位的信息安全保障要求。（八）新增策略其他要求：1、新增的安全策略须满足金税三期工程安全策略的总体目标要求，符合第二阶段的安全策略体系框架的要求。2、新增安全策略的项目进度须在金税三期工程第二阶段建设信息安全等级保护测评之前完成，以满足各项目实际开发、部署、建设和使用要求。3、新增安全策略须符合《GB/T22239—2008信息安全技术信息系统安全等级保护基本要求》。4、新增安全策略应提供详尽、明确的目录索引。5、新增安全策略的产出物需经采购人评审通过。二、输入文档1)安全策略现状分析报告2)安全策略文件框架3)安全策略文件编写清单4)安全策略文件编写计划5)安全策略基线6)第一阶段安全策略文档三、输出文档在具体策略方面主要包括但不限于以下方面的文档：（一）应用系统安全审核策略《应用系统规划立项审核规范》《应用系统需求分析审核规范》《应用系统设计开发审核规范》《应用系统安全支撑设计审核规范》《应用系统安全验收审核规范》《应用系统部署上线安全审核规范》《应用系统日常运行安全审核规范》《应用系统规划立项审核表》《应用系统需求与开发设计审核表》《应用系统部署上线安全审核表》《应用系统日常运行安全审核表》（二）省级网络与系统集成安全策略《机房物理安全策略》《安全域划分与网络边界隔离安全策略》《主机安全策略》《组网安全策略》《网络设备安全策略》《数据库安全策略》《中间件安全策略》《通用软件安全策略》《业务终端管理安全策略》《办公终端管理安全策略》（三）省级软件开发的安全策略《软件系统安全规范》《软件系统开发安全手册》及安全编码范例《软件安全测试手册》及安全测试用例各业务系统安全策略《软件系统开发过程安全规范》《软件系统运行阶段安全维护规范》（四）各安全项目省级安全策略《防火墙设备安全配置策略》《IDS设备安全配置策略》《防病毒系统安全配置策略》《终端管理安全配置策略》《安全审计设备安全配置策略》《密码机设备安全配置策略》（五）《金税三期省级内审安全策略》（六）《金税三期省级敏感数据保护策略》4.1.1.5安全策略验收要求本项工作要求按招标人要求时间内完成并验收，验收要求如下：1、满足金税三期工程安全策略开发的总体目标要求；2、符合《GB/T22239—2008信息安全技术信息系统安全等级保护基本要求》的要求；3、调研阶段需要全面完整，纵向需要调研到县级，横向需要覆盖金税三期工程所有项目；4、案头文档需要进行全面分析，保证文档的完整性，合理性，避免文档之间的矛盾性，达到执行的可行性和效果；5、按照实际情况和合同要求，制定完成《安全策略开发工作方案》；6、完成本项工作产出物，并需经采购人评审通过。4.1.1.6评审要求本项工作全部产出物需经采购人评审通过。4.1.2安全集成实施4.1.2.1安全集成商职责安全集成商对金税三期工程第二阶段相关承建商的安全体系建设工作进行督促协调、检查、确认，使各项目满足国家安全等级测评的基本要求，其职责包括但不限于：1、负责编制安全集成实施方案，明确安全集成工作规程；明确相关承建商安全体系建设的工作内容及应遵循的安全策略、法律、法规等，并有义务对安全集成提出的相关标准、规范、要求等进行解释。2、负责组织、督促协调各项目承建商根据安全集成实施方案的要求，制定相应的安全设计方案、安全实施方案、项目进度计划等；并对各项目承建商产生的设计方案、实施方案等文档符合性进行确认，判断是否符合安全集成提出的相关标准、规范及要求等。3、负责组织、协调各承建商在实施、测试、试运行、上线等阶段的安全集成联调工作。4、负责督促协调、检查和确认各项目承建商落实安全域划分、安全设备部署及安全基线配置的情况，并根据检查、确认的实际情况，协助省级单位督促相关承建商对不符合项进整改。5、负责结合风险评估和等保测评结果，督促和协助相关承建商进行相应的整改，并对整改结果进行复查确认。6、负责协调解决集成过程中出现的各类问题，对安全集成的进度、质量负责。7、对集成过程中的参与各方之间不能协商解决的问题，由安全集成商负责出面协调。如果仍无法协调解决，可向采购人提出，采购人有最终裁决权。4.1.2.2安全集成主要任务1、安全集成按照金税三期工程安全架构和安全策略体系的要求，制定安全集成实施方案，协调各项目中标方明确工作界限划分和遵循安全策略的颗粒程度，并审核各相关承建商的设计方案、实施方案等相关文档。各项目承建厂商负责具体实施。2、组织、协调各安全项目实施，协助各项目承建商按照安全体系建设的总体目标实施建设，全面做好金税三期工程第二阶段安全体系建设。3、依据《国家税务总局关于金税三期工程优化版第二阶段推广有关工作的通知》、《金税三期工程第二阶段推广基础环境建设需求方案》及国家信息安全等级保护的要求，对金税三期工程第二阶段各单位的安全域落实情况进行检查、确认，确保各单位按照方案要求完成安全域的划分，形成《安全域落实情况报告》。4、依据《国家税务总局关于金税三期工程优化版第二阶段推广有关工作的通知》、《金税三期工程第二阶段推广基础环境建设需求方案》的要求，监督、检查、确认其他项目承建商落实安全设备部署及安全防护配置情况，形成《安全防护实施报告》，督促各项目承建商对不符合项进行限期整改，并对整改结果进行复查。5、依据金税三期工程安全配置基线，监督各项目承建商对基础软件环境、网络和安全设备等进行安全基线配置的落实。并对实施情况进行检查，形成《安全配置实施报告》，督促各项目承建商对不符合项进行限期整改，并对整改结果进行复查。6、对金税三期工程第二阶段范围内信息系统进行安全渗透测试工作，形成安全渗透测试报告，督促各项目承建商对不符合项进行限期整改，并对整改结果进行复查。4.1.2.3安全集成工作准备本项工作应在合同签订后15日内完成，成交供应商主要工作包括但不限于：一、实施组织组建成交供应商应安排专职人员组成项目实施团队，在安全集成项目实施组织中的工作内容包括但不限于：安全集成实施方案的制订、项目的具体实施安排、项目组之间的协调和沟通等；根据项目的进行情况及时召开项目技术协调会，讨论项目的技术问题及合同执行情况等重大问题；督导项目的实施进度，及时发现问题、解决问题；报告项目的实施进度等。主要交付物包括但不限于：《安全集成工作规程》、《安全集成项目实施人员表》等。二、实施方案编制成交供应商须根据《国家税务总局关于金税三期工程优化版第二阶段推广有关工作的通知》、《金税三期工程第二阶段推广基础环境建设需求方案》及国家信息安全等级保护的要求，结合金税三期工程第一阶段的实施情况，编制金税三期工程第二阶段安全集成实施方案，指导项目的实施工作，具体包括：安全集成实施目标与范围、安全集成工作规程、分工界面、项目实施内容、要求和任务分解、实施人员组织形式、项目时间安排和实施流程、项目质量和进度控制、安全集成实施风险分析与应对措施等。主要交付物包括但不限于：《安全集成方案》、《安全集成实施方案》、《项目质量控制手册》和《项目文档管理制度》等。三、集成项目启动会成交供应商负责组织召开集成项目启动会，向参与实施的各承建商（包括技术基础设施产品供应商、应用软件开发商）通报实施安排和各自须承担的任务，同时对集成项目的实施工作进行详细部署，介绍安全集成实施方案，通报项目工作范围和进度计划安排，明确联系人和实施环境准备要求，明确项目的实施方法以及需要配合实施的要求，指导网络、安全厂商编制安全域规划，指导各项目产品供应商编制详细细的安全部署、安全防护配置方案等。主要交付物包括但不限于：《安全集成工作计划》、《项目启动会会议纪要》等。4.1.2.4安全集成工作内容成交供应商应根据《安全集成实施方案》及《安全集成工作规程》，协调各相关项目承建商按照相关要求，完成项目所需安全设备及安全软件的安装、调试，并组织、协调各承建商在项目准备、实施、测试、试运行、上线等阶段的安全集成联调工作。一、集成准备本项工作应在合同签订后15个工作日内完成，成交供应商主要工作包括但不限于：（一）实施组织组建成交供应商应安排专职人员组成项目实施团队，由采购人、成交供应商、监理方、各项目成交供应商等共同组成安全集成项目实施组织，成交供应商在安全集成项目实施组织中的工作内容包括但不限于：安全集成方案和安全集成实施方案的制订、项目的具体实施安排及运行维护，负责项目的实施进度，项目组之间的协调和沟通；根据项目的进行情况及时召开项目技术协调会，讨论项目的技术问题及合同执行情况等重大问题；督导项目的实施进度，及时发现问题、解决问题；报告项目的实施进度等。主要交付物包括但不限于：《安全集成项目管理办法》、《安全集成项目实施组织办法》、《安全集成项目实施人员表》等。（二）现场调研成交供应商应对各地税务系统项目现状、实施环境和已有标准规范等进行现状调研，重点是与项目实施相关的内容。调研前需要设计统一的调研表格，调研问题尽量做到细致准确。所有调研结果需经被调研方签字确认。主要交付物包括但不限于：《现状调研表》、《现状调研报告》、《现状与目标差异分析及解决方案》。（三）安全集成方案和安全集成实施方案编制成交供应商必须根据金税三期工程安全架构、安全策略和实施进度要求，结合现场调研成果，组织各项目承建商编写金税三期工程第二阶段安全集成方案和安全集成实施方案，指导项目的实施工作，具体包括：安全集成对象目标与范围、安全集成需求分析、各类安全集成衔接关系、安全集成主要指标、安全设施总体配置图（表）、安全策略总体配置图（表）、安全集成主要方法、安全集成标准与规范等；安全集成项目实施目标和范围、项目实施内容要求和任务分解、实施人员组织形式、项目时间安排和实施流程、项目质量和进度控制、项目变更管理办法、安全集成实施风险分析与应对措施等。成交供应商必须根据各项目和各产品的特点制定安全策略的实施流程，按照采购人的业务需求制定有代表性的全局策略，在项目实施中，逐点统一配置，确保金税三期工程安全体系的完整、统一。安全集成方案和安全集成实施方案须经采购人评审通过。成交供应商需组织对各项目承建商进行安全集成方案和安全集成实施方案的培训，确保各项目承建商按方案实施。主要交付物包括但不限于：《金税三期工程第二阶段安全集成方案》和《金税三期工程第二阶段安全集成实施方案》和《项目质量控制手册》、《项目文档管理制度》等。二、安全域检查成交供应商应遵循《国家税务总局关于金税三期工程优化版第二阶段推广有关工作的通知》、《金税三期工程第二阶段推广基础环境建设需求方案》的要求，对各省级单位安全域的建设指导和检查。工作内容包括但不限于：负责指导和检查安全域落实情况，形成安全区域实施报告。（一）安全域划分规范安全域划分规范是指金税三期工程省局数据中心安全域划分的原则与技术要求，其覆盖整个金税三期应用系统，包括其所属的网络设备、安全设备、服务器等，同时也定义了相应的应用系统在安全域上的映射。金税三期工程数据中心安全域划分，结合不同系统对业务、功能、安全等方面的要求，考虑到不同业务系统逻辑、应用关联性及安全要求（等级保护）相似性，横向划分为总局数据中心、省级数据中心，纵向划分为业务专网区、互联网区和外联网区，每一个服务区定义为一个安全域，具体如图1：图SEQ图3-\*ARABIC1安全域划分安全域描述内网服务安全域也称业务专网安全域，主要面向税务工作人员提供业务处理和行政办公等服务。互联网服务安全域也称外网安全域，主要面向提供信息发布、网上业务办理、征收管理等服务信息查询等服务。外联网服务安全域也称横联网安全域，主要提供与人民银行、财政、工商、海关等机构进行数据交换等服务。（二）安全域实施确认成交供应商依据《国家税务总局关于金税三期工程优化版第二阶段推广有关工作的通知》、《金税三期工程第二阶段推广基础环境建设需求方案》，由省级单位和其他项目承建商协助，成交供应商对安全域落实情况进行检查，形成《XX省税安全域实施报告》。省级单位安全负责人对安全域实施报告的内容进行确认，形成《XX省税安全域实施确认单》。中标方对不符合项形成《安全整改意见书》，并下发至相关承建商和省级单位。中标方协助省级单位督促相关承建商进行限期整改。中标方对整改结果进行复查确认。主要交付物包括但不限于：《XX省税安全区域实施报告》、《XX省税安全域实施确认单》和《安全整改意见书》。三、安全访问控制规则梳理成交供应商须采用自动化工具梳理出各类业务数据流向，并监督各项目承建商对安全域之间的数据流向进行核准，编制安全访问控制规则数据流向汇总表提交各项目承建商，各项目承建商按需填写数据流向，由中标方统一汇总提交各省级单位安全负责人确认，中标方还需督促安全厂商加载安全访问控制规则。主要交付物包括但不限于：《安全策略梳理工具数据流向分析报告》，《XX省税安全访问控制汇总表》。四、安全防护检查（一）安全防护原则1、安全防护总原则：（1）禁止互联网区向业务专网区发起主动连接请求，即在互联网区与业务专网区采用访问控制防护手段。（2）禁止外联网区不经外联网前置系统处理直接向业务专网区发起主动连接请求，即在外联网区前置与业务专网区采用访问控制防护手段。（3）省局核心业务系统访问总局端业务系统，必须经过省局前置系统，在总局端采用访问控制防护手段。2、安全域防护原则安全域的防护原则遵循以下几方面：（1）集中防护：访问控制、入侵保护、安全审计等安全技术防护手段以安全域划分和边界整合为基础，多个安全域或子域共享提供的此类安全防护。（2）分等级防护：根据税务行业标准中安全等级防护的要求，对系统所在的边界部署符合其防护等级的安全技术手段，各系统共享的防护边界应遵循就高的原则。（3）就近部属原则：业务系统与支撑系统之间互联，在业务系统侧部署防护手段。（4）纵深防护：通过安全域划分，从外部网络到核心生产区之间存在多层安全防护，纵深防护就是在每层防护边界上部署侧重点不同的安全技术手段和安全规则来实现对关键设备或应用系统的高等级的、完备的防护。（5）归并系统接入：存在边界不清、连接混乱的实际问题时，只有保证支撑系统各种互联需求的前提下对安全域的边界进行合理的整合，对系统接入进行有效的整理和归并，减少接入数量，提高系统接入的规范性，做到“重点防护、重兵把守”达到事半功倍的效果。（6）最小授权原则：安全子域间的防护需要按照最小授权原则，依据缺省拒绝的方式制定保护要求。防护要求在身份鉴别的基础上，只授权开放必要的访问权限，保证数据安全的完整性、机密性、可用性。（7）业务相关性原则：对安全子域的安全防护要充分考虑子域的业务特点，在保证业务正常运行、保证效率的情况下分别设置相应的安全防护规则。3、安全域防护要求在省税务机关部署的信息系统安全级别是按照《金税三期工程安全架构优化方案》的等级保护定级要求进行设计。（二）安全防护实施确认成交供应商依据《国家税务总局关于金税三期工程优化版第二阶段推广有关工作的通知》、《金税三期工程第二阶段推广基础环境建设需求方案》及国家信息安全等级保护要求，检查金税三期工程第二阶段各单位数据中心互联网、业务专网和外联网安全设备部署实施情况。根据检查结果形成《XX省税安全防护实施报告》。各省安全负责人对安全防护实施报告中的内容进行确认，形成《XX省税安全防护实施确认单》。中标方对不符合项形成《安全整改意见书》，并下发至相关承建商和省（区）/市国地。中标方协助省级单位督促相关承建商进行限期整改。中标方对整改结果进行复查确认。主要交付物包括但不限于：《XX省税安全防护实施报告》、《XX省税安全防护实施确认单》、《XX省税安全防护复查报告》和《安全整改意见书》。五、应用系统开发测试（一）源代码检查成交供应商根据金税三期安全策略的应用系统软件开发安全规范，对金税三期新增应用软件及更新开发项目产出的安全策略实现方案、安全设计方案、安全配置方案和安全测试方案等进行确认，提出安全测试标准和测试用例，并提出软件代码缺陷定义。中标方负责对软件开发商提供的软件源代码进行源代码缺陷测试，应用系统开发方完成软件或系统开发α版和β版时，中标方进行软件源代码缺陷检测，并将检测结果交付开发方进行修改。软件上线运行前或交付采购人前，进行严格的软件源代码缺陷检测与关键高危漏洞验证分析，保证软件源代码缺陷密度不高于：4个缺陷/KLOC。主要交付物包括但不限于：《测试用例》、《XX项目安全方案确认报告》、《软件代码缺陷定义》、《XX项目软件源代码缺陷测试报告》。（二）安全功能确认成交供应商根据金税三期安全策略规范对应用系统安全功能的要求，成交供应商对金税三期新增应用系统编制相应的安全测试方案，成交供应商按照安全测试方案和测试用例，对金税三期新增应用系统及更新分别进行安全测试，以及项目间联调安全测试。对不符合安全功能要求的应用开发软件，成交供应商督促开发方进行修改，并对修改结果进行确认。若采购人提供的测试工具不足以满足安全功能确认需要，则成交供应商须提供安全功能确认所需工具，采购人对此不额外付费。成交供应商提供测试工具的，成交供应商需保证采购人在合同执行期间拥有该测试工具不受任何限制的使用权，并免受第三方的任何侵权控告和纠纷影响。安全功能确认测试分为用户测试环境测试和预生产环境测试，成交供应商需分别在这两种环境中进行安全确认测试，并提交安全确认测试报告。主要交付物包括但不限于：《测试用例》、《XX项目安全功能确认测试方案》、《XX项目安全功能确认测试报告》。六、安全基线配置检查中标方应依据《金税三期工程安全配置基线》，检查各相关项目承建商对基础软件环境、网络和安全设备等进行安全基线配置的实施情况。工作内容包括但不限于：对基础软件环境、网络和安全设备等安全配置的实施结果进行检查；对检查结果形成安全配置实施报告，下发安全整改意见书，中标方协助省级单位督促相关承建商进行相关安全配置整改，并对整改结果进行复查。（一）安全基线配置实施检查相关项目承建商将安全基线配置结果反馈至成交供应商处，成交供应商负责检查、确认其安全基线配置的实施情况。其他项目承建商主要提交物包括但不限于：《操作系统安全配置参数表》、《数据库和中间件安全配置参数表》和《网络、安全设备安全配置参线表》。（二）安全基线确认成交供应商负责对安全基线配置的实施结果进行检查确认，形成《XX省税安全基线配置实施报告》，省级单位安全责人对安全配置实施报告中的内容进行确认，形成《XX省税安全基线配置实施确认单》。中标方对不符合项形成《安全整改意见书》，并下发至相关承建商和省级单位。中标方协助省级单位督促相关承建商进行限期整改。中标方对整改结果进行复查确认。主要交付物包括但不限于：《XX省税安全基线配置实施报告》，《XX省税安全配置实施结果确认单》、《XX省税安全基线配置复查报告》、《安全整改意见书》。七、渗透测试中标方应在金税三期第二阶段所有系统部署完成后，对金税三期应用系统进行渗透测试。由中标方协调，省级单位安全负责人配合提供渗透测试环境，中标方组织人员对金税三期工程范围内系统进行渗透测试工作。渗透测试主要包括：SQL注入、XSS（跨站脚本）、CRLF注入、目录遍历、文件包含、输入验证、认证、密码保护区域猜测、字典攻击、特定的错误页面检测、脆弱权限的目录、信息泄露、stuct2漏洞、Cookie欺骗、源代码泄露等。中标方编写《XX省税安全渗透测试报告》，省级单位安全负责人对系统渗透测试报告中的内容进行确认，形成《XX省税安全渗透测试报告确认单》。中标方对不符合项形成《安全整改意见书》，并下发至相关承建商和省级单位。中标方协助省级单位督促相关承建商进行限期整改。中标方对整改结果进行复查确认。主要交付物包括但不限于：《XX省税安全渗透测试报告》,《XX省税安全渗透测试报告确认单》、《XX省税安全渗透测试复测报告》和《安全整改意见书》。八、整改复查为了保障金税三期各系统能够正常、安全、稳定、可靠地运行，中标方应在安全集成工作初步完成后，对项目实施期间的不符合项或等保测评的不合格项进行跟踪、督促相关项目组进行整改，对安全整改项进行复测、检查确认，并向省级单位提供复查报告或整改结果。根据金税三期税务信息的发展情况，持续对金税三期信息安全策略更新、完善。另外，各省（区）/市金税三期系统发生安全事件时，成交供应商须提供无偿技术支持工作。主要交付物包括但不限于：《XX省税安全防护复查报告》、《XX省税安全基线配置复查报告》、《XX省税安全渗透测试复测报告》和《XX省税安全整改落实情况报告》。九、知识转移知识转移的目标是成交供应商要采取有效方法、途径保证采购人能顺利完成本项目安全集成过程中各阶段移交物的接收及技术知识的吸收和转移，确保采购人能够掌握该项目的核心技术。在项目实施过程的各阶段，各省级单位技术人员适当参与，以工作中的配合关系和传帮带的工作模式进行知识与技能的转移。在此过程中，成交供应商须将安全策略、安全集成理念、安全集成步聚等技术和经验通过现场培训和文档提交等形式转移省级单位。成交供应商要规范和完善项目成果、交付物和中间成果的应用和转交过程。成交供应商在按计划完成和提交项目成果等交付物的同时，这些文档均要以严格的档案管理规范集中组织并保存，提供电子、纸质等多种备查方式，向采购人相关人员开放项目文档，使得采购人可以随时查阅文档，了解和掌握项目中的各种知识。成交供应商应配合甲方做好培训工作，包括做好培训方案的制定，提供师资、材料、课件，协助搭建培训环境等，但培训费用不包括在合同总价中。4.1.2.5安全集成进度和验收要求本项工作要求按招标人要求时间内完成并验收，验收要求1、满足金税三期工程安全体系建设的总体目标要求。2、符合《GB/T22239—2008信息安全技术信息系统安全等级保护基本要求》的要求。3、成交供应商确认所有省级单位安全域划分按照相关要求落实完成。并出具《安全域落实情况报告》。4、成交供应商确认所有省级单位安全防护按照相关要求落实完成。并出具《XX省税安全防护实施报告》等。4、成交供应商确认所有省级单位安全访问控制规则按照相关要求落实完成。并出具《XX省税安全访问控制汇总表》等。5、成交供应商完成所有省级单位应用系统开发测试工作。并出具《XX项目软件源代码缺陷测试报告》和《XX项目安全功能确认测试报告》等。6、成交供应商完成所有省级单位安全基线配置检查相关工作。并出具《XX省税安全基线配置实施报告》等。7、成交供应商完成所有省级单位渗透测试。并出具《XX省税安全渗透测试报告》等。8、成交供应商实施完成所有省级单位安全集成工作，并出具相关实施报告，完成现场知识转移，《安全整改意见书》已下发至省级单位。9、成交供应商实施完成所有省级单位整改复查工作，并出具相关整改报告，《XX省税安全整改落实情况报告》提交至总局。4.1.3安全服务实施各推广单位在本单位的安全集成实施完成后，进入安全服务实施阶段，各单位安全服务工作结束时间点统一截至金税三期工程第二