云端实验室安全管理系统需求说明

云端实验室安全管理系统需求说明一、项目概况本项目是合成生物设计平台的内容之一，通过安全管理系统建设，保障实验工作流程及实验、分析数据的安全性，快速、低成本、多循环地完成“设计—构建—测试—学习”的闭环，实现人工生命体理性设计。本项目目标是提供设施实验室安全管理功能。保障实验工作流程及实验、分析数据的安全性。云端实验室管理平台PaaS层采用基于微服务的架构，在微服务架构下需对微服务的安全进行考虑，包括用户身份认证、安全审计、API接口等多方面。通过身份认证、访问控制、安全审计、应用上线检测等功能完成应用开发环境安全保障。为了保障构建在基础平台之上的SaaS核心应用正常运转，提高服务和维护水平，特别是要管理平台网络、系统环境，部署一套全面的运维管理系统（堡垒机），制定相应的管理策略和制度，实现集中统一管理，提供相应审计的报告。在云平台建立跨基础平台IaaS层、核心应用PaaS层级及经营决策SaaS层的安全及运维管理网，在安全及运维管理网部署统一的安全管理及态势感知平台、运维审计（堡垒机）、PKI/CA系统、漏洞扫描等，作为云平台所上有安全资源进行统一管控和安全事件的实时监控及及应急响应处置平台，提供全面的系统管理、安全管理和审计管理功能，包括对平台内的可信防护策略、审计策略、访问控制策略及统一的认证和授权进行管理。二、技术要求编号技术指标名称技术指标值1应用范围和要求项目目标是提供设施实验室安全管理功能。保障实验工作流程及实验、分析数据的安全性。安全管理系统包含微服务组件安全、应用开发环境安全、平台运维安全和统一安全管理四个模块。安全管理系统可以实现用户账户安全与设备安全统一管控，具备防病毒的能力，进一步增强接入侧安全，员工仅需安装一个客户端，提供终端安全、访问安全等能力;简化用户操作，实现真正意义上的唯一入口，便于管控。收敛互联网暴露面，实现了“业务隐藏”，满足了业务开展的安全需求:避免直接接触式访问引发的安全风险，屏蔽扫描攻击。2性能指标一、微服务应用安全1、提供从软件网络层面提升微服务架构下多个系统对内对外的安全策略；2、提供从硬件网络层面提升微服务架构下多个系统对内对外的安全策略；3、提供用户身份认证、支持用户登录时双因子认证；4、提供标准化API接功能，可以对接多个微服务系统应用；5、需要满足二级等保要求中系统安全部分的内容；6、提供安全审计功能，可以查询系统的审计日志；二、应用开发环境安全1、搭建应用开发环境，保障应用开发环境和生产环境的的安全；2、实现应用开发环境网络控制、数据传输可控；3、开发环境在内网部署，数据不可以进入外网；4、开发环境提供代码层面的安全审计；5、支持应用开完完成的研发测试，测试通过后部署至生产环境；6、支持研发云桌面的身份验证、访问控制；7、研发环境提供身份认证、访问控制、安全审计、应用上线检测等功能；三、SaaS化服务安全1、支持SaaS服务运营安全和网站安全；2、需支持对隐私数据进行全生命周期管控，包括数据存储、数据计算、数据传输、数据展示等层面进行管控；3、支持用户隐私数据可用不可见，可使用诸如同态加密、安全沙箱、机密计算等技术实现。4、支持敏感数据的脱敏、掩码等处理；5、数据存储和传输支持国密算法；四、平台运维管理1、通过堡垒机保障生产环境安全，堡垒机访问控制；2、操作审计，包含运维&普通人员操作的审计，尤其关注服务器操作；3、提供安全防护，支持防黑客，防勒索等应用；4、统一的网络策略管理功能，包含网络访问控制、防火墙管理、各ip子域的网络策略配置、流量控制等功能；5、态势感知平台、CA系统、限流（防攻击手段）等安全措施应用；6、支持系统漏洞扫描和修复功能，可以在安装客户端的终端直接执行修复，也可以通过安全控制中心统一全网修复；7、具有流量控制功能，可以检测每一台终端的网络流量情况，对任意终端执行限速操作；8、支持安全资源进行统一管控和安全事件的实时监控及及应急响应处置；五、用户管理1、用户管理：支持接入统一用户平台，进行系统登录及用户管理。2、菜单管理：可以对该系统内的界面菜单、按钮资源进行配置管理，可灵活设置各个菜单名称、图标（可从内置字体图标库或上传外部图标）；3、角色管理，可以创建不同的角色及角色内的菜单和按钮资源授权；六、其他功能1.支持中英文双语切换。2.新用户给与操作指引。支持软件页面展示在线版操作手册，方便用户查阅。3.支持用户反馈软件问题。4.展示软件的版权归属，并支持可配置、更改，如“是否展示版权”、“版权归属内容”。5.系统banner提示：允许管理角色配置重要的提示信息，用于在页面向用户展示，配置内容包括：提示文案、生效时间、失效时间等。6.个人中心：对用户基本信息进行管理，如用户名、密码、邮箱等。七、系统设计通用要求1.

支持常用服务器操作系统，如WindowsServer、Linux等，并支持云资源环境，如AWS、华为云、阿里云、私有云等，同时要求支持64位操作系统。2.

部署需支持负载均衡和集群，以提高系统的可用性和容错能力。3.

UI/UE要求扁平化、简明化设计，以提高用户体验。4.

系统支持容器化部署，如Docker等。5.

系统非正常停机时间不应超过2小时/月，非正常停机次数不应超过2次/年。如遇灾难性宕机，系统恢复时间应不超过2小时。6.

宕机事故后，数据恢复率应至少为80%。7.

系统平台采用B/S架构，基于Java语言进行开发，前后端分离，以提高系统的可维护性和扩展性。8.

系统架构要求采用分布式框架，如SpringCloud等，以提高系统的并发能力和可伸缩性。9.代码编写方面，要求对于复杂的业务逻辑有简明扼要的注释，以提高代码可读性和可维护性。10.

数据业务查询平均响应时间应不超过3秒，业务交互平均响应时间应不超过1秒，业务统计分析平均响应时间应不超过3秒，以提高系统的响应速度和用户体验。11.

上线后7个自然日之内，要求提供各功能模块点检清单，以确保系统的稳定性和可靠性。12.

在测试阶段，对于业务主流程，要提交自动化测试脚本，以提高测试效率和质量。13.

系统需明确提供外部访问的API，可以编程调用，同时要求API涉及用户鉴权，URL地址应明确暴露，以提高系统的可扩展性和互操作性。14.支持代码托管服务，支持多种代码托管协议和接口，如Git、SVN等。八、定制开发服务1、编制需求调研计划，进行需求调研，从业务流程、单据使用、报表查询等等方面展开深入和全面的调研，并搜集用户的个性化需求。形成《需求调研报告》并经过用户审核确认。2、进行流程分析和流程讨论，流程编制和蓝图设计。编制《软件功能确认表》并经过用户审核确认。3、基于基础软件包，需定制开发功能包括：

（1）安全组件配置。

（2）安全管理定制化配置。

（3）应用、微服务安全管理策略配置。3安装调试培训服务1.交付时需要完成交付完整源代码、产品文档、开发文档（含数据库设计文档）、测试文档、部署文档。2.免费进行场地安装服务。3.至少一次现场免费培训。4.满足24小时热线服务。5.提供系统使用说明书及培训文档。4信息安全要求1.在系统与外界的网络数据通信中，需具备数据加密措施。2.系统具备完善异常处理功能，能够将各个组件产生的异常信息汇总报告至管理员。3.具备密码复杂度安全要求与定期密码变更要求，可设置密码复杂度与密码有效期。4.具备自动记录用户操作功能。5.提供系统备份的工具和手段。6.系统架构具备应急处理机制、冗余互备机制，与各平台接口的安全措施。7.

系统需记录所有用户的访问日志，包括登录和注销时间、访问时间、访问操作等信息。三、验收条件1.验收流程要求（1）需说明对报价单中所列出的各个软件、平台的开发、安装、调测、实施，以及验收等环节的具体安排和进度，提供投标文件中预计完成的时间表(以合同签订时间作为起点)。（2）项目验收前，需向采购人提供设计报告、调试报告并提出项目验收申请书。申请书需说明要求验收的软件功能描述、是否达到文件和采购人的功能要求、在验收申请提出前是否已经进行了功能测试，项目验收的过程、验收测试的数据、测试报告等。（3）本项目需经第三方测评通过，第三方测评机构由采购人指定，费用由采购人支付。测评内容应涵盖软件平台功能、性能及安全方面，测试评估通过获取相关测评报告后进入项目的验收。（4）最终验收时，应至少提供相关的纸质技术资料三份，内容包括：项目设计类文档、项目实施类文档、项目质检与测试类文档、系统用户手册类文档等。须配合采购人完成专家论证，专家论证未通过或出现问题，如属于原因造成的，应承担全部责任并解决全部问题。2.验收文档要求（1）项目验收后中标方须提供详细的软件相关技术文档、使用说明书、维护手册等文档资料。（2）在本项目的设计、应用系统建设和集成过程中，提供相应文档，包括系统设计、开发、测试、运行、维护管理体系对应的全部管理规范和技术文档。要求各技术文档应与系统相一致，技术文档应该全面、完整、详细、清晰，并应满足采购人对系统的安装、使用、维护、应用开发的需要。3.具体的文档包括但不限于：（1）项目设计类文档（2）项目实施类文档（3）项目测试类文档（4）系统用户手册类文档4.培训要求需向采购人提供免费培训，培训方式应包括理论培训和现场培训。针对不同的培训对象，投标人在投标文件中应提出全面、详细的培训计划。应按采购人约定合理地安排培训时间。目标是通过系统培训以达到系统管理人员能够具备独立管理所提供的系统软件和日常的维护处理能力，各级业务人员能够熟练使用系统软件，确保应用系统能够真正的安全