精選優質文檔-----傾情為你奉上精選優質文檔-----傾情為你奉上專心---專注---專業專心---專注---專業精選優質文檔-----傾情為你奉上專心---專注---專業金稅三期工程第二階段信息安全技術項目（第3包：信息安全策略與集成服務包）競爭性磋商文件技術部分 項目編號：GXTC-CZ-采購人：國家稅務總局采購代理機構：國信招標集團股份有限公司二〇一五年十一月

第一章金稅三期工程項目背景1.1國家稅務總局及其下屬稅務機構簡介國家稅務總局是國務院主管稅收工作的直屬機構。自1994年分稅制改革后，我國實行國家、地方分級核算的財政體制，國家稅務總局對全國國稅系統實行垂直管理，并協同省級人民政府對省級地方稅務局實行雙重領導。國家稅務局系統和地方稅務局系統（西藏自治區僅設立國家稅務局）從省級以下按照行政區劃分別設立稅務管理機構，各自負責中央稅收收入和地方財政收入的組織工作。國家稅務局系統由國家稅務總局在業務、經費、人事等方面實行中央垂直管理；地方稅務局系統省以下實行垂直管理，省級地方稅務局由國家稅務總局協同省級人民政府實行雙重領導。1.2金稅三期工程建設目標稅務信息化建設的總體目標，就是要建立和完善中國稅收管理信息系統，簡稱為“金稅工程”，英文縮寫為“CTAIS”。金稅三期工程是“金稅工程”的建設階段，它將建立在十多年稅務信息化建設的基礎之上，按照輕重緩急的原則，通過業務重組、技術重構、功能整合，分期分批逐步實施，最終完成中國稅收管理信息系統的建設。金稅三期工程將按照“國際先進，中國特色”的要求，通過完成“一個平臺、兩級處理、三個覆蓋、四類系統”的建設，建成一個網絡覆蓋率達100%、年事務處理量近100億筆、稅務機關內部用戶超過60萬人、納稅人及外部用戶超過億人（戶）的全國稅收管理信息系統。該系統將統一全國國地稅征管應用系統版本，規范全國稅收執法；實施全國征管數據大集中，實現監控全國征管數據；規范納稅服務平臺，優化納稅服務；建設決策支持平臺，及時、完整、準確地為決策、管理提供信息，進一步提高稅法遵從度和稅收征收率。國際先進，是指借鑒國際稅收管理的先進理念和經驗，主要有：將促進稅法遵從作為稅務機關的主要任務和戰略目標，優化服務，規范執法；樹立稅收風險管理理念，為實施風險管理提供信息化支撐；運用國際先進、成熟的信息技術建設現代化的稅收管理、服務信息系統，以提高服務和執法的質效等。中國特色，是指影響我國稅務機關學習借鑒國際先進理念、經驗的環境和因素，主要有：行政層級的多級性和中央與地方財權的復雜性；國地稅系統業務和管理的差異；東、中、西部地區以及城市、農村經濟發展的不平衡等，上述這些特色要求在學習借鑒國際先進理念和經驗時，針對中國特色，找準結合點。“一個平臺”是指建立一個包含網絡硬件和基礎軟件的統一的技術基礎平臺。“兩級處理”是指依托統一的技術基礎平臺，逐步實現稅務系統的數據信息在總局和省局集中處理。“三個覆蓋”是指應用內容逐步覆蓋所有稅種，覆蓋稅收工作的主要工作環節，覆蓋各級國地稅機關，并與有關部門聯網。“四類系統”包括稅收征管、納稅服務、決策支持和行政管理等系統。1.3金稅三期工程第一階段主要建設成果金稅三期工程第一階段運用國內外先進、成熟的稅收管理理念和信息技術，借鑒政府和金融、電信等行業信息化建設規劃和實踐經驗，通過業務重組、技術重構、功能整合，初步建成“國際先進、中國特色”的稅收管理信息系統并在6個試點省成功運行，為征納雙方提供一體化、人性化、智能化、持續改進的信息化管理平臺。一是完成制度和標準規范建設，形成稅務標準規范體系和稅收信息化管理制度；二是完成稅收業務需求的分析與整理；三是完成稅收信息化的總體規劃設計，推動業務變革、技術創新，建立了包含業務、應用、數據、技術、安全、運維等內容的總體架構體系；四是開發完成征收管理、行政管理、決策支持、外部信息四大類應用系統并在6個試點省成功上線運行；五是完成金稅三期新建系統同總局和試點省現有保留應用系統整合，實現新老系統的有效對接；六是建成總局數據中心（南海）；七是充分運用信息技術的最新發展成果完成試點單位信息基礎設施的建設改造及運行維護體系建設；八是完成稅務系統信息安全體系的總體構建及安全策略的制定，完成對試點單位安全管理系統、安全基礎設施、應用安全支撐平臺建設，以及對網絡系統、應用系統和安全基礎設施的安全等級測評和風險評估；九是完成全國稅務系統五級網絡建設，建成覆蓋全國稅務系統的綜合性通信平臺，網絡覆蓋總局數據中心、南海數據中心、71個省級局、800多個地市級稅務局、近6000個縣（區）級稅務局、近30000個稅務分局（所）。1.4金稅三期工程第二階段主要建設任務金稅三期工程第二階段將在充分吸收第一階段試點建設經驗和系統開發成果的基礎上，通過分期分批逐步實施，完成應用系統在全國其余30個省級單位（含5個計劃單列市）的快速推廣部署，完成金稅三期工程在稅務系統的全覆蓋。按照國家稅務總局工作安排，計劃將在2015年內完成14個省（區）單軌上線工作，包括河北省、寧夏回族自治區、貴州省、云南省、廣西壯族自治區、湖南省、青海省、海南省、西藏自治區、甘肅省、安徽省、新疆維吾爾自治區、四川省、吉林省等；計劃將在2016年內完成16個省（市）單軌上線工作，包括遼寧省、江西省、福建省、廈門市、青島市、北京市、黑龍江省、天津市、陜西省、湖北省、大連市、上海市、江蘇省、浙江省、寧波市、深圳市等。金稅三期工程第二階段主要建設內容為：（1）完成征收管理、行政管理、決策支持和外部信息等四大類應用系統在全國30個省（含5個計劃單列市）的全面推廣，同時完成地方特色軟件改造及同總局保留系統的接口改造；（2）開展應用系統的優化及補充開發，具體包括國家財稅體制改革、稅務服務與管理創新導致的需求變化、技術創新或架構優化導致的架構變化、系統運行和推廣實施過程發現的程序問題、性能調優導致的程序開發以及軟件銜接新增接口等幾個方面；（3）實施總局數據集中及數據資源的建設與開發；（4）完成2個國家級、30個省（自治區、直轄市、計劃單列市）稅務處理中心的擴容，包括計算存儲資源、系統軟件及備份系統建設等，提高各推廣單位數據處理能力；（5）完成各推廣省稅務處理中心局域網的補充建設；（6）完成各推廣省同總局數據中心（南海）間的數據容災系統建設；（7）完成各推廣省相關安全體系建設；（8）完成各推廣省終端系統補充建設；（9）完成各推廣省相關運行維護體系建設；（10）進一步完善金稅三期工程相關標準規范，并進行全面培訓、推廣及應用；（11）按照國家在云計算、大數據、互聯網+等方面的戰略部署，適應國家財稅體制改革及稅制改革要求，適應稅收管理現代化要求，在系統優化及全面推廣工作中，進行相關的創新性研究及部署；（12）根據項目建設需要，對項目管理人員，系統管理人員、信息技術人員和稅收業務人員進行相關培訓。第二章安全策略與集成服務概述2.1項目總體定位金稅三期工程信息安全保障體系的建設是依據國家關于加強信息系統安全保護的要求，根據稅務系統的實際需要，基于現代信息系統安全保障理論，采用現代信息安全保護技術，按照一定規則和體系化的信息安全防護策略進行的整體建設。金稅三期工程信息安全保障體系覆蓋范圍包括：總局信息系統、省級國稅信息系統、省級地稅信息系統以及支撐上述信息系統的網絡系統。金稅三期工程通過建立自頂向下的總體安全架構體系，通過一個相對完整的信息安全體系架構全面規劃和指導金稅三期工程的信息安全建設。2.2項目建設目標信息安全體系建設的總體目標是：基于現代信息安全理論，遵循國家標準，采用目前國內外先進的信息安全技術，建設涵蓋稅務系統的網絡、應用和管理等各個方面的統一、安全、穩定、高效的信息安全體系，并根據稅務系統信息化建設進程制定稅務信息安全體系建設的分步實施方案，建成完整的稅務系統信息安全保障體系。建立稅務系統信息安全運行與管理的基礎平臺，構建稅收業務系統信息安全支撐體系，保證各種稅務業務應用的安全運行，通過技術手段實現稅務信息系統安全可管理、安全可控制的目標，使安全保護策略貫穿到信息系統的物理環境、網絡層、系統層、應用層、數據層和管理層的各個層面。實現總局和省級局高度集中處理稅務數據的安全保護，支持征管業務、行政管理、決策支持、外部信息等四大應用系統的安全需求，建立包含策略管理在內的安全管理系統和安全管理組織，構建安全管理平臺和安全事件分析系統，建立稅務系統信息安全體系的技術標準、規范、規章制度，使安全體系實現功能齊全、協調高效、信息共享、監控嚴密、安全穩定、保障有力等建設目標。2.3項目建設原則金稅三期工程第二階段各項目總體上應遵循“統籌規劃、統一標準，突出重點、分布實施，整合資源、講究實效，加強管理、保證安全”的建設原則。1、統籌規劃、統一標準。在網絡安全和信息化領導小組統一領導下，綜合考慮各方面實際情況，按照一體化指導思想，制定科學合理、切實可行的稅務系統信息化建設目標，包括遠期目標和近期目標，統一進行工程規劃設計。建立統一的技術基礎平臺和統一規范的征管業務流程，在工程實施過程中嚴格遵循相關標準。2、突出重點、分步實施綜合考慮人力、物力、資金等多方面因素，根據稅收征管工作實際，把總體目標具體分解為若干階段性任務，合理安排運籌，并集中力量解決不同階段的重要問題。3、整合資源、講求實效充分利用以往信息化建設積累的可用資源，按照工程總體設計實現資源整合，增加相互之間的兼容性，實現不同系統和軟件的優勢互補，根據新要求進一步拓展、完善和提升應用系統的功能與質量，逐步實現金稅三期工程的總體目標。4、加強管理、保證安全加強信息化建設管理是保證信息化建設成敗的關鍵。要借鑒國外先進的科學管理辦法，建立和完善項目管理制度，確保信息化工程建設質量。同時建立信息化管理責任制，按照新理念，采用新辦法，依靠新手段，加強信息系統運營管理，完善安全措施，確保稅收這一國民經濟關鍵性信息系統的安全運行和功能的充分發揮。2.4項目總體架構安全體系總體架構藍圖包括：信息系統的物理環境、網絡、操作系統和數據庫系統、業務應用、數據保護、運行管理等多個層面。建設稅務信息系統完整的信息安全保障體系，能夠針對稅務信息系統面臨的各種安全威脅，在網絡、系統、應用、管理等各個層面為稅務信息系統提供全面的安全保護。2.5項目建設現狀在金稅三期第一階段中，已經完成總局和試點省份的安全建設投資，建設完成了證書認證系統、權限管理系統、應用安全支撐平臺、網絡安全防護系統和安全管理系統，完成了稅務系統安全體系方案設計，同時制定了信息安全標準、規范及制度。安全策略體系：建設了國際領先、中國特色的安全策略體系，建成的安全策略體系以數據保護為核心，通過數據分級，針對基礎設備設施、應用系統與網絡環境進行分級，并根據其承載數據級別的不同對其安全控制措施要求進行分級。同時，通過設備設施、安全設備設施策略和應用系統軟件開發安全策略要求，規范并描述其控制措施要求。安全管理體系：完成了安全體系的整體設計與安全制度體系文檔編寫工作，包括安全體系的整體設計框架策略、崗位職責設計制度、安全人員管理制度、安全建設管理制度、安全運維管理制度等總體的安全管理制度，同時還完成了針對各節點的終端安全管理制度及安全培訓制度等。完成了安全對象管理、規劃建設安全管理、風險評估管理、等保管理、安全檢查管理、安全事件管理、安全評價管理、安全配置管理、訪問控制策略管理、安全應急管理、安全預警管理、安全退服管理、安全培訓管理、安全評價管理模塊的開發工作，同時完成了在各試點的系統實施部署工作。基礎防御體系：完成了總局及試點省應用安全支撐平臺的建設，實現了稅務系統內部用戶和外部用戶集中統一的用戶和權限管理、系統級訪問控制管理，為各應用系統提供用戶信息共享服務、統一身份認證服務、單點登錄服務、數字簽名驗簽服務、通道傳輸加密服務等。完成了總局和試點省份的安全域邊界防火墻、IPS等設備的建設，網絡審計、數據庫審計、4A審計建設以及廣域網的密碼機建設。2.6項目投標要求候選供應商應在合同約定的時間內提供本項目中規定的全部內容，承諾與本項目的相關單位，包括國家稅務總局、稅務系統（含地稅系統）內各項目單位，進行積極主動的合作。候選供應商在實施過程中必須服從國家稅務總局的統一協調，國家稅務總局有權裁決項目執行各方的責任范圍，候選供應商必須無條件執行，并在規定的時間內解決問題。如果任意一方不配合國家稅務總局工作，嚴重影響工程進度、造成嚴重后果，國家稅務總局有權退貨、索賠或拒付款項。在本項目合同規定的服務期內，對本項目所有軟件及授權License，國家稅務總局擁有在全國稅務系統（含地稅系統）內任意安裝、使用、調整、分發等全部權利，無需取得候選供應商的額外授權。2.6.1對候選供應商的基本要求本項目由符合國家有關法律法規規定、同時滿足本項目資格要求、在中國境內注冊的合格候選供應商均可參與投標。候選供應商資格條件：本項目擬由具有系統集成和軟件開發能力的供應商參與投標，要求候選供應商應具有履行本項目合同所需的技術實力及相關資質，必須滿足以下條件：1、本項目由符合國家有關法律法規規定、同時滿足本項目資質要求、在中國境內注冊的具有系統集成和軟件開發能力的安全服務廠商作為候選供應商。2、候選供應商必須具備《政府采購法》第二十二條的規定。3、本項目不接受聯合體作為候選供應商、不得轉包或分包。4、候選供應商應具有ISO9001:2008質量管理體系認證資質。5、候選供應商應具有ISO27001信息安全體系認證資質。6、為本采購項目提供整體設計、規范編制或者項目管理、監理、檢測等服務的供應商，不得再參加該采購項目的其他采購活動。7、符合和滿足本項目其他要求和資質條件。候選供應商相關要求：1、本項目不接受聯合體投標；2、候選供應商應了解和熟悉政府采購制度的有關規定，能提供使采購人滿意的優質服務，并能夠嚴格執行招標文件的有關規定和履行投標承諾；3、候選供應商應提供招標要求規定的全部投標文件，包括投標文件正本1份，副本5份，電子文檔1份，開標一覽表正本1份；4、候選供應商應詳細審閱全部招標文件（包括招標文件澄清函），理解招標文件的所有條款；5、候選供應商應保證按招標文件要求，提供令招標人滿意的服務和交付物；6、候選供應商應承諾接受招標文件中全部合同條款，且無任何異議；保證忠實地執行雙方所簽訂的合同，并承擔合同規定的責任和義務；7、候選供應商應承諾完全滿足和響應招標文件中的各項商務和技術要求，若有偏差，應在投標文件中明確說明。2.6.2對投標書的基本要求一、候選供應商必須針對技術部分中的需求逐個或分塊作出實質性響應，其響應與招標文件內容采用同樣的順序。對每個需求的響應必須遵循如下規則：1．重復該需求。2．用“是/否”響應來表明該需求是否被滿足（描述需求）。3．簡要描述投標書或候選供應商案如何滿足該需求，如果該響應在投標書其它部分有詳述，可在該處簡單應答，但必須給出確切的位置索引。4．解釋投標書或候選供應商案與用戶需求之間的偏差；用數量來表示的需求，必須用確切的數字、單位來響應。二、對標書技術部分需求的應答應至少包含以下具體細節：1．對項目的描述候選供應商必須在充分理解招標文件中描述的用戶需求和技術方案的基礎上，根據招標文件有關章節提供的材料以及所了解的稅務信息系統建設的情況，提供對本項目的理解和詳細描述，針對本項目的相關單位（包括國家稅務總局和各省級單位）用戶要求，承諾通過客戶化定制開發，滿足招標人列出的所有需求。同時應對投標文件中所提供的設備如何適用于采購人的需求作詳細的說明。此項內容作為考察候選供應商是否具備完成本項目能力的重要依據。2．對技術需求的完全響應，具體包括：(1)對技術方案的響應在投標文件中詳細闡述設計方案、集成開發和應用軟件開發方案、系統安裝調試實施方案、數據遷移方案、驗收計劃方案等各項內容。(2)對設備或軟件技術規格需求的響應投標文件的內容應該包括招標人要求的全部軟件、硬件設備及其相關的介質、模塊、連接設備、電纜以及招標文件中未列出的但屬于建設內容的部分等。候選供應商必須逐一說明建議的每個軟件、硬件及模塊的名稱、版本或型號/部件號，并注明合法使用期限。若中標的軟硬件產品等方面的配置或需求中出現不合理或不完整的問題，候選供應商、產品原廠商有責任和義務提出補充修改方案，并在征得國家稅務總局的同意后付諸實施，招標人不再另行支付任何費用。候選供應商應提供實質性確切響應，并有詳細的文字描述和說明，任何僅采用“符合”、“滿足”或非確定性數值（如“>=”或“<=”）的響應均將被視為沒有對招標文件的實質性響應，從而可能導致嚴重后果直至廢標；有關表格部分的響應應按標書商務部分規定的格式列出。(3)對到貨時間及地點、工程實施、驗收要求的詳細響應候選供應商必須按照招標人的項目實施進度要求，提供整個工程的項目計劃書，提交整體及分省項目的實施方案，實施完成后應分省提交項目實施報告。包括項目的組織和管理、投入的技術人員及其簡介（必須具有3年以上相關產品項目的實施經驗)、詳細的工作日程表、具體工作內容及各項具體方案和應急計劃等內容。項目實施至少包括需求確認、方案設計（含技術方案、測試方案的設計、與相關原有系統集成方案及接口的設計）、應用開發、設備到貨、現場安裝、調試（含系統聯調）、用戶培訓、試點、上線試運行支持、推廣實施、系統初驗、系統終驗等。(4)對文檔需求的詳細響應(5)對質量保障的詳細響應候選供應商必須認真理解所有質量保障需求，詳細描述響應方案，逐條應答，有保留的承諾將不被接受。保障時間為本項目簽訂合同之日起至金稅三期工程第二階段驗收完成之日結束。3．候選供應商認為對整個系統建設特別重要的建議（此項單列為可選性需求）。4．附件，提供投標書中涉及的所有投標設備和有關軟件的產品說明（要求彩頁）或相關證明，并最好以中文描述。5．候選供應商應針對本項目技術需求提供原型演示和講解。三、費用要求候選供應商應根據技術需求合理估算工作量，并注意報價的合理性，人力資源成本原則上不得低于2014年北京市企業（信息傳輸、計算機服務和軟件業）平均人工成本。2.7實施范圍本項目分兩批進行實施：國家稅務總局數據中心（北京、南海）；第一批為稅務系統14個省，實施單位地點如下：河北、寧夏、貴州、廣西、云南、湖南、青海、海南、西藏、甘肅、安徽、新疆、四川、吉林；第二批為稅務系統16個省，實施單位地點如下：遼寧、江西、廈門、青島、福建、北京、黑龍江、天津、陜西、大連、湖北、上海、江蘇、寧波、深圳、浙江。第三章安全策略與集成服務需求3.1項目總體需求本項目采購的金稅三期工程第二階段安全策略與安全集成服務包括結合省級單位安全策略的新增與落實，金稅三期工程第二階段安全集成的技術支持、督促協調、檢查和整改確認，金稅三期工程第二階段安全服務包括安全監控和應急響應高級支持服務。本項目安全策略是安全集成服務的前置條件，在安全集成服務實施前必須進行嚴謹的安全現狀調研、分析，基于各地調研情況形成各類安全策略，依據安全策略的要求開展安全集成服務，其集成服務內容既要保障金稅三期第二階段建設過程中整體安全的管控，還要確保系統單軌試運行上線后的安全穩定運行，并對安全突發事件采取有效的應急處置。安全策略：本項服務旨在為稅務系統的信息安全建設提供全方位、全生命周期的綜合服務，從而實現金稅三期工程第二階段省級單位的安全體系建設目標。其內容是在金稅三期工程第一階段既有工作成果的基礎上，遵循國家稅務總局業務發展戰略，對稅務系統內各單位,制定信息安全策略與具體的策略實現；開發、發布、并定期更新信息安全策略。安全集成：本項服務旨在根據金稅三期工程總體規劃設計方案,在金稅三期工程第一階段既有工作成果的基礎上，結合稅務工作實際情況，依據《國家稅務總局關于金稅三期工程優化版第二階段推廣有關工作的通知》、《金稅三期工程第二階段推廣基礎環境建設需求方案》及國家信息安全等級保護的要求，對安全域劃分、安全設備部署及安全防護配置等方面進行督促協調、檢查、確認，并根據檢查、確認的實際情況在項目服務期內督促相關單位對不符合項目進行整改，滿足國家信息安全等級保護的相關要求。安全服務：為金稅三期工程第二階段全部推廣單位提供安全監控服務支持，做好訪問控制策略的實施和優化、開展安全設備的日常監控、進行安全事件的分析和處置等，提供現場應急響應高級技術支持服務。安全服務人員配合制定制度規范和服務流程，協助構建完善的安全服務體系，實現安全服務工作的標準化、規范化，保障稅務信息系統健康、高效運行。3.2項目具體需求3.2.1安全策略要求1、成交供應商應在調研分析的基礎上，根據稅務系統的安全現狀，參照《GB/T22239—2008信息安全技術信息系統安全等級保護基本要求》及ISO/IEC27000系列安全標準的內容，在金稅三期工程第一階段安全策略體系建設的基礎上，結合稅務應用系統的實際要求調研，對所有推廣單位進行實地安全現狀調研分析形成調研報告，設計各省級單位稅務系統的實施框架、安全策略以及策略的細化方案，補充、完善金稅三期工程信息安全保障策略體系，為金稅三期工程第二階段提供安全支撐。金稅三期工程第二階段信息安全策略的內容要覆蓋但不限于：安全規劃、組織機構、人員安全、安全意識和培訓、風險評估、認證認可、系統建設、配置管理、應急計劃、事件響應、系統維護、標識鑒別、訪問控制、系統與信息完整性、系統與通信保護、抗抵賴、介質保護、物理和環境保護、檢測響應恢復等各方面。開發、發布、并定期更新信息安全策略。安全策略的新增及更新完善應包括以下兩個部分：安全策略新增：對金稅三期工程第二階段建設的基礎設施類、安全體系類、軟件開發類等項目新增的軟件或硬件，增加的安全管理與安全技術策略，新增策略側重于此次被實施單位。如：應用系統安全審核策略，XX省級單位安全配置規范、XX省級單位安全配置指南，XX省級單位安全基線等。安全策略更新完善：在金稅三期工程第一階段安全策略落實情況的基礎上，結合金稅三期工程第二階段各省稅務信息系統安全體系建設情況，充分體現優化版建設要求，更新完善信息安全策略。信息安全策略的新增加及更新完善應緊密圍繞稅務系統業務應用，有效覆蓋稅務系統業務流程和數據流等全流程的安全保障，有效覆蓋業務數據全生命周期的安全保障，全面覆蓋稅務系統各層級、各部門、各崗位的安全保障。2、成交供應商應根據金稅三期工程項目實際需要，制定《安全策略技術方案》及《安全策略實施方案》，并合理安排項目進度，優先安排滿足各項目最急需的安全策略。3、成交供應商應提供安全策略開發管理工具的安裝介質和相關文檔，負責安全策略開發管理工具的安裝和維護。4、成交供應商新增及更新完善的安全策略體系應全面實現編碼化、代碼化、標準化。3.2.2安全集成要求1、成交供應商應遵循《金稅三期工程安全架構優化方案》、《國家稅務總局關于金稅三期工程優化版第二階段推廣有關工作的通知》、《金稅三期工程第二階段推廣基礎環境建設需求方案》及國家信息安全等級保護要求負責對各項目承建商進行技術管控。2、成交供應商負責《安全集成實施方案》的制定，指導技術基礎設施產品供應商、稅務應用軟件開發商、信息安全體系建設各項目中標方編制具體的安全策略，對各方提交的明細安全策略進行確認。3、成交供應商負責項目的安全需求分析、概要設計、詳細設計和實施方案設計，為招標人提供安全技術咨詢服務工作，對項目的目標、范圍和功能進行界定。4、成交供應商按照推廣單位實施結果優化《安全集成實施方案》，確保工程質量、進度、成本滿足項目的要求。5、成交供應商負責制定安全集成方案，安全集成方案需明確安全集成步驟及流程，在項目建設過程中，建立省（區）/市稅務局、各項目承建商及監理公司之間良好的協調、溝通機制，高質高效地完成項目建設。6、成交供應商對采購人選定的各安全項目進行相關培訓，對實施過程的安全要求進行管控。成交供應商應配合甲方做好培訓工作，包括做好培訓方案的制定，提供師資、材料、課件，協助搭建培訓環境等，但培訓費用不包括在合同總價中。7、成交供應商負責協調其他項目承建商對項目安全設備、安全軟件的安裝、調試。8、成交供應商負責指導、督促協調、確認相關項目承建商進行安全域劃分、安全設備部署及安全防護的落實。9、成交供應商負責指導、督促和跟蹤相關項目承建商對不符合項進行安全整改，并對安全整改項進行復測、檢查確認。10、確保項目在保證質量、按照預訂工期、在資金預算范圍內完工，整理與工程有關的全部文檔，并提交采購人。11、在本合同期內或合同終止后，未征得采購人同意，不得泄露與本工程、本合同有關技術、資料等，不得以任何形式侵害采購人和各項目中標方的知識產權。12、現場服務涵蓋金稅三期工程第二階段三十個省省級單位及其所屬地市級和區縣級國家稅務局，成交供應商需在實施過程中安排現場服務和知識轉移。3.2.3安全服務要求一、安全監控（一）監控1、監視服務范圍內全部安全系統及相關系統的運行情況，處置安全事件。2、監視安全系統運行的各類設備實時情況，包括CPU利用率、內存占用、硬盤占用等基本系統信息等，發現問題及時通知用戶，并按照用戶要求進行處置。3、監視安全系統服務運行的各類實時情況，包括系統起停狀態、服務起停狀態、Web服務日志狀態等，發現問題及時通知用戶，并按照用戶要求進行處置。4、監視安全系統的支撐系統，主機操作系統、數據庫等的運行狀況，包括服務運行情況等，發現問題及時通知用戶，并按照用戶要求進行處置。5、監視安全系統的主機系統完整性情況，包括關鍵配置文件修改、關鍵服務修改、關鍵用戶和配置修改等，發現問題及時通知用戶，并按照用戶要求進行處置。6、監視信息系統主機安全狀況的情況，包括網絡型攻擊、主機入侵、應用型入侵等，發現問題及時通知用戶，并按照用戶要求進行處置。7、監視稅務系統安全管理系統的實時情況，包括事件報警、安全事件定位等，發現問題及時通知用戶，并按照用戶要求進行處置。8、對上述監控采集的數據信息進行分析，預判信息安全情況趨勢，及時向被監控單位報告信息安全狀況，并按照用戶要求進行處置。9、根據用戶審批授權，對用戶的信息安全產品進行日常服務保障管理。10、完成總局、省局布置的其他信息安全保障工作，工作地點遵循采購方要求，工作方式需滿足各地安全管理要求。（二）預警1、安全事件類：針對稅務系統、行業內新近爆發的安全事件，進行全系統預警提示。預警方式可以為郵件方式為主，重要安全事件再輔助電話通知。具備為稅務系統提供統一平臺預警接口能力，將預警信息通過平臺進行全網預警管理。2、病毒事件類：針對稅務系統、行業內新近爆發的蠕蟲、木馬、病毒等惡意代碼，進行全系統預警提示。預警方式可以為郵件方式為主，重要安全事件再輔助電話通知。具備為稅務系統提供統一平臺預警接口能力，將預警信息通過平臺進行全網預警管理。3、漏洞信息類：針對稅務相關各類應用系統、中間件、數據庫以及行業內通用應用系統新近所曝光的漏洞信息，進行全網預警；預警方式可以為郵件方式為主，重要安全事件再輔助電話通知。具備為稅務系統提供統一平臺預警接口能力，將預警信息通過平臺進行全網預警管理。安全預警頻率：至少每周有一期更新、通告。（三）跟蹤測試1、針對已上線系統的各類升級包、功能補丁包，進行有效性驗證和測試；根據總局安全基線要求，對相關應用系統進行安全基線核查，并編寫測試報告；2、針對已更新、擴容建設的網絡基礎設施、安全基礎設施等進行有效性和符合性測試，并編寫測試報告。（四）知識庫1、針對稅務系統、行業內已發生的安全事件處置預案、惡意代碼處置預案進行全網共享，共享方式可通過平臺、郵件、電話、函件等。2、針對行業內新的安全技術、研究類文獻資料，進行全網共享。知識庫發布頻率：至少每2周更新一次。（五）安全運維操作手冊1、在服務期結束前3個月，為所服務單位完成操作手冊編寫工作。操作手冊要符合該單位網絡環境和業務特點，操作步驟要完全與該單位所用產品及版本一致。項目組進場一個月內，需提交手冊編寫進度計劃。2、操作手冊要能夠適用于不熟悉該單位網絡環境的技術人員，按照手冊里的操作步驟即可完成安全配置。具體內容至少包括：系統/設備所需要的軟件環境、硬件環境、配置步驟、連接方式/拓撲。3、操作手冊要包含被服務單位所有安全設備及安全類系統。（六）服務方式1、制定稅務系統安全監控服務任務細節方案，交由用戶方審核通過后安排人員執行。2、制定稅務系統安全監控工作記錄表格，交由用戶方審核通過后，由監控人員記錄。3、監控頻度：稅收征收期8時～18時每小時監控記錄一次，18時～次日8時，每兩小時監控記錄一次；特殊時期（兩會等重大政治活動期間）按照總局和省局要求頻度進行監控記錄；其他時期8時～18時每兩小時監控記錄一次，18時～次日8時，每四小時監控記錄一次。（七）輸出文檔1、每日提供《安全監控日報》。2、每周提供《安全監控周報》。3、每月提供《安全監控月報》。4、每半年提交監控工作半年總結報告。5、特殊時期值守結束后提供值守總結報告。6、知識庫。7、安全運維操作手冊。二、應急響應高級技術支持要求（一）應急響應事件范圍1、由招標人負責確定需要響應的信息安全應急響應事件（二）應急響應建設1、協助用戶健全完善應急響應工作方案（包含總體預案、專項應急預案等）。2、協助用戶完善應急工作知識體系（應急工作手冊、應急處置技術知識等）。3、協助用戶完成應急工作知識培訓，培養用戶自己的應急響應隊伍。（三）應急響應支持方式1、電話、郵件、短信等。2、稅務業務專網遠程支持，不得影響安全監控服務工作。3、現場支持，不得影響安全監控服務工作。（四）應急響應服務方式1、遠程響應，遠程服務。2、遠程+現場響應，現場服務。3、遠程+現場響應，遠程+現場服務。（五）現場應急響應要求1、安全事件響應分析：對監控發現的惡意入侵、惡意資源消耗、病毒爆發、內部安全事件等進行分析。2、安全事件處置：根據用戶方要求提供系統安全恢復處置、應用服務安全恢復處置、數據安全恢復處置、網絡性能安全恢復處置、網絡病毒清除處置等現場安全處置服務。3、入侵追蹤和取證：對安全事件入侵追蹤、犯罪取證、事后安全分析和加固。4、服務范圍：稅務總局和各省級單位，7×24小時提供支持，提供現場應急處置服務時不得影響安全監控服務的開展。5、現場應急處置服務由總局統一派遣。原則上提供不少于20次的現場應急處置服務。（六）入侵追蹤和取證方式1、隔離和分析系統安全日志，追蹤入侵源。2、隔離和分析入侵破壞痕跡，追蹤入侵源。3、設置密罐等欺騙措施，引誘入侵者再次入侵，追蹤入侵源。（七)事后分析1、成交供應商處理應急安全事件之后，依據用戶系統的安全性和威脅，提供相應的事后安全分析和可行性安全建議，并協助用戶完成事后安全加固，幫助用戶解決存在的或者可能存在的安全問題。（八）輸出文檔1、按月提交遠程應急響應報告（包含單位、方式、問題、解決方案等內容）。2、每次現場應急響應后應提交《現場應急響應總結報告》。3、根據用戶要求提交應急響應總體預案修訂建議。4、根據用戶要求提交應急響應專項應急預案修訂建議。5、根據用戶要求提交應急響應工作方案修訂建議。6、根據用戶要求提交應急響應工作手冊修訂建議。7、根據用戶要求提交應急響應工作技術知識手冊修訂建議。3.2.4候選供應商響應要求一、技術方案及軟、硬件工具要求1、候選供應商應對如何完成本項目工作內容進行闡述，對工作理解、工作策略、工作方式方法、支撐工具、提交物等進行描述；提交物和各種產出物應以表格方式描述，至少包括序號、文檔名稱、文檔主要內容和備注等欄目；應對如何保證工作質量進行描述；應制定詳細工作計劃。2、候選供應商應提交安全策略技術方案和實施方案，闡述對建設金稅三期工程安全策略體系目標和原則的理解；對金稅三期工程第二階段安全策略開發與實施的工作內容、工作范圍、主要開發與實施方法、風險及應對措施進行描述；對如何保證和驗證安全策略開發與實施的工作質量進行描述；對安全策略開發和實施工作的主要階段進行分析。3、候選供應商應提交安全集成實施方案，闡述對金稅三期工程安全集成目標和原則的理解；對金稅三期工程第二階段安全集成工作內容、工作范圍、主要集成關系和方法、風險及應對措施進行描述；對如何保證和驗證安全集成的工作質量進行描述；對安全集成工作的主要階段進行分析。4、候選供應商應提交安全集成節點實施方案，候選供應商應對如何協調、指導和督促協調相關承建商落實金稅三期工程各應用系統在項目實施過程符合等級保護的技術和管理要求給出一個明確描述。5、候選供應商應對提供給各級稅務工作人員的全部文檔使用淺顯易懂的語言描述，以方便稅務工作人員充分理解并可靠執行。6、候選供應商應說明所投入的工作量及工作量單價，以及場地、設備需求及租費等各項費用。7、候選供應商應就各項工作特點，按不同能力分類的工作人員數量進行合理分配，各類人員構成比例合理，滿足項目實施需要。8、候選供應商對完成本項目工作所使用的各種軟、硬件工具（包括招標文件中未列出而系統實施又必需的軟件、硬件）需配齊以構成一套實用系統。如果候選供應商在中標并簽署合同后，在供貨或系統集成時出現軟、硬件的任何遺漏，均必須由中標方免費提供，并提供稅務系統使用的正版授權，國家稅務總局將不再支付任何費用。9、候選供應商應詳細說明和提供安全策略開發管理工具，保證采購人享有不受任何限制的使用權。10、候選供應商須承擔相應的保密義務。11、除非特別說明，本需求書中所提出的所有需求與管理要求，都是投標必須響應的內容。二、項目依據標準在本項目中主要應依據以下標準：GB/T22239-2008信息安全技術信息系統安全等級保護基本要求GB17859-1999計算機信息系統安全保護等級劃分準則GB/T22240-2008信息系統安全保護等級定級指南信息安全技術信息系統安全等級保護測評要求信息安全技術信息系統安全等級保護實施指南 信息系統等級保護安全設計技術要求ISO/IEC27000系列安全標準ISO/IEC9000系列質量管理體系要求GB/T20270-2006信息安全技術網絡基礎安全技術要求GB/T20271-2006信息安全技術信息系統安全通用技術要求GB/T20269-2006信息安全技術信息系統安全管理要求GB/T21052-2007信息安全技術信息系統物理安全技術要求GB/T20984-2007信息安全技術信息安全風險評估規范GB/T21053-2007信息安全技術公鑰基礎設施PKI系統安全等級保護技術要求GB/T20281-2006信息安全技術防火墻技術要求和測試評價方法GB/T20275-2006信息安全技術入侵檢測系統技術要求和測試評價方法GB/T21028-2007信息安全技術服務器安全技術要求GB/T20272-2006信息安全技術操作系統安全技術要求GB/T20273-2006信息安全技術數據庫管理系統安全技術要求GB/T20278-2006信息安全技術網絡脆弱性掃描產品技術要求GB/T20279-2006信息安全技術網絡和終端設備隔離部件安全技術要求采購人提供的金稅三期工程有關文件第四章安全策略與集成服務實施4.1實施內容4.1.1安全策略實施4.1.1.1項目實施準備要求一、具體內容和要求成交供應商要對稅務系統現有安全策略和執行現狀進行調研，需要深入到各省級單位進行現場調研，現場調研要結合風險評估的方法對各地安全現狀進行摸底，要基于但不限于金稅三期工程第二階段自身安全特點，調研內容既要從管理和技術角度覆蓋各省級單位安全現狀，又要兼顧地市以及區縣級單位的安全防護狀況，形成詳盡的調研報告，同時對于目前稅務系統的策略文檔進行整理和統計，進行案頭文檔分析，對當前策略的執行情況進行調研和訪談；在此基礎之上，按照有關要求制定詳細的安全策略開發工作方案。在工作方案中，要明確從調研、分析、編制到正式推廣實施直至終驗、售后的各階段工作任務、工作量、工作方法等內容，以保證本項目在質量與時間上的可控性。對于工作方案中的實施范圍，要求達到以下要求（但不限于）：三十個省省級單位及各省級單位下屬的一個地市級單位和一個縣（區）級單位。工作方案中的策略推廣時間，應當安排在3個月內完成。二、輸入文檔1)收集文檔的列表2)案頭文檔分析方法說明方案3)現狀分析報告模板4)現狀調研方法說明方案5)問卷調查表6)訪談問卷模板三、輸出文檔1)《項目文檔調研分析報告》2)《XX省級單位現場調研報告》3)《項目組與相關部門安全訪談報告》4)《安全策略開發工作方案》4.1.1.2安全策略落實方案的內容及要求一、具體內容和要求成交供應商必須制定切實可行的安全策略執行和審驗方案，以保證金稅三期的安全集成商可根據該執行方案將所有安全策略落實到位。二、輸入文檔1)安全策略現狀分析報告2)安全策略文件框架3)安全策略文件編寫清單4)安全策略文件編寫計劃5)第一階段安全策略文檔三、輸出文檔1)安全策略落實方案4.1.1.3安全基線的內容及要求一、具體內容和要求在金稅三期項目背景下，安全策略基線是一組可供參照的安全標準或基本指標，可以滿足基本的安全需求，使系統達到一定的安全防護水平，并達到最大可用性。基線覆蓋的范圍包括金稅三期全部建設內容的安全設計、建設實施和安全驗收等部分。成交供應商應根據金稅三期工程的實際情況和安全定級結果，依據《GB/T22239—2008信息安全技術信息系統安全等級保護基本要求》，參照ISO/IEC27000系列安全標準，在安全策略實施的基礎上，詳細設計金稅三期工程中省級單位的安全管理策略與安全技術策略的基線標準。二、輸入文檔1)安全策略現狀分析報告2)安全策略文件框架3)安全策略文件編寫清單4)安全策略文件編寫計劃。5)第一階段安全策略文檔三、輸出文檔1)金稅三期工程安全策略基線（省級）4.1.1.4安全策略細化方案的內容及要求一、具體內容和要求成交供應商應根據金稅三期工程的實際情況，依據《GB/T22239—2008信息安全技術信息系統安全等級保護基本要求》，參照ISO/IEC27000系列安全標準，在安全策略實施框架與安全策略基線的基礎上，在金稅三期工程第一階段安全策略體系開發、設計、落實的基礎之上，進行安全策略細化方案的開發。安全策略細化方案應覆蓋金稅三期工程全部建設項目，滿足各項目實際開發、部署、建設和使用要求。安全策略的細化方案主要包括但不限于以下幾個部分：（一）應用系統安全審核策略成交供應商應按照稅務應用系統的實際要求，根據已確定的應用系統信息安全審核規范，參照國內外有關安全標準，設計審核框架。在審核框架應所覆蓋的內容至少應包含應用系統規劃立項階段、需求分析和開發設計階段、上線部署階段和日常運行階段等。審核文檔體系的層級劃分上，至少應包括三層：規范層、手冊指南層、審核表層。可根據現場調研結果，對框架的層級進行細化，框架的各部分需要描述其主要特征和邊界。同時應根據在安全審核框架基礎上，進行安全開發細化方案，規劃立項階應包含不局限于應包含定級、需求分析等審核點；需求與設計開發階段應包含不局限于設計安全、開發環境安全、編碼安全、安全測試等審核點；上線部署階段應包含不局限于安全域和安全規則合規檢查、基線、風險評估、等保測評等審核點；日常運行階應包含不局限于運行管理、變更、應急相應、廢棄等審核點。（二）軟件開發與部署安全策略成交供應商應負責編寫金稅三期第二階段各應用軟件的安全功能要求、開發過程安全管理、安全測試與驗收、安全配置和安全維護等方面的安全策略。編寫內容包括但不限于以下內容：1．軟件的安全規范：軟件安全功能要求規范，內容包括但不限于：身份鑒別、訪問控制、安全審計、剩余信息保護、抗抵賴、軟件容錯、資源控制以及數據完整性、數據保密性、通信完整性、通信保密性等方面。2．軟件開發過程安全管理3．軟件測試與驗收安全管理4．軟件安全配置要求5．軟件開發安全手冊，內容包括金稅三期第二階段軟件的安全開發方法，安全編碼準則，需避免的缺欠，參考標準，安全開發范例等。6．軟件安全測試手冊，內容包括金稅三期第二階段軟件安全測試的測試方法，測試流程，測試工具，測試用例等。7．主要業務應用軟件的安全策略：在上述軟件安全規范的基礎上，針對各主要業務應用軟件的實際情況，定制具體的安全策略要求。主要業務應用軟件應該包括征收管理系統、行政管理系統、納稅服務和外部門數據交換系統、數據利用與決策支持系統等。成交供應商還須明確要求軟件開發商編制配合安全策略落實的各業務系統相關的技術規范和手冊等文檔。（三）安全設備和安全基礎設施策略成交供應商應負責完成各種安全設備與基礎設施的安全策略設計要求，以供各集成商協調安全設備提供商完成相關產品的具體安全配置。安全設備和安全基礎設施主要包括金稅三期工程第二階段中新購及現有的各種安全設備和安全基礎設施，主要包括但不限于防火墻、IDS（入侵檢測系統）、防病毒系統、終端管理、安全審計、密碼機等金稅三期第二階段所包含的安全設備和安全基礎設施。（四）信息基礎設施建設安全策略開發成交供應商應在安全策略基線的基礎上，負責完成物理層、網絡層、主機層、數據庫、中間件、其他通用軟件等信息基礎設施建設的安全策略，主要包括安全設計、安全配置實施和安全維護等三方面內容，并協調網絡和系統集成商完成相關的文檔。（五）內審安全策略開發成交供應商應在安全策略基線的基礎上，通過與總局內審部門的溝通，了解其在信息系統內審和信息安全內審方面的工作內容，配合制定金稅三期信第二階段息安全內審策略。（六）敏感數據保護安全策略開發成交供應商應通過與總局相關部門的溝通，了解其在信息系統敏感保護方面的工作內容，包括納稅人的敏感數據（包括納稅人個人隱私，商業秘密等），稅務系統敏感數據（包括員工個人隱私，稅務工作秘密等），調研其對信息系統和安全系統的要求，制定金稅三期第二階段敏感數據保護策略。（七）層級安全策略開發成交供應商應開發國家稅務總局中心節點（應用系統安全審核策略）、30個省省級節點及基層節點（1個省至少有3個基層單位）的安全策略，以滿足各層級單位的信息安全保障要求。（八）新增策略其他要求：1、新增的安全策略須滿足金稅三期工程安全策略的總體目標要求，符合第二階段的安全策略體系框架的要求。2、新增安全策略的項目進度須在金稅三期工程第二階段建設信息安全等級保護測評之前完成，以滿足各項目實際開發、部署、建設和使用要求。3、新增安全策略須符合《GB/T22239—2008信息安全技術信息系統安全等級保護基本要求》。4、新增安全策略應提供詳盡、明確的目錄索引。5、新增安全策略的產出物需經采購人評審通過。二、輸入文檔1)安全策略現狀分析報告2)安全策略文件框架3)安全策略文件編寫清單4)安全策略文件編寫計劃5)安全策略基線6)第一階段安全策略文檔三、輸出文檔在具體策略方面主要包括但不限于以下方面的文檔：（一）應用系統安全審核策略《應用系統規劃立項審核規范》《應用系統需求分析審核規范》《應用系統設計開發審核規范》《應用系統安全支撐設計審核規范》《應用系統安全驗收審核規范》《應用系統部署上線安全審核規范》《應用系統日常運行安全審核規范》《應用系統規劃立項審核表》《應用系統需求與開發設計審核表》《應用系統部署上線安全審核表》《應用系統日常運行安全審核表》（二）省級網絡與系統集成安全策略《機房物理安全策略》《安全域劃分與網絡邊界隔離安全策略》《主機安全策略》《組網安全策略》《網絡設備安全策略》《數據庫安全策略》《中間件安全策略》《通用軟件安全策略》《業務終端管理安全策略》《辦公終端管理安全策略》（三）省級軟件開發的安全策略《軟件系統安全規范》《軟件系統開發安全手冊》及安全編碼范例《軟件安全測試手冊》及安全測試用例各業務系統安全策略《軟件系統開發過程安全規范》《軟件系統運行階段安全維護規范》（四）各安全項目省級安全策略《防火墻設備安全配置策略》《IDS設備安全配置策略》《防病毒系統安全配置策略》《終端管理安全配置策略》《安全審計設備安全配置策略》《密碼機設備安全配置策略》（五）《金稅三期省級內審安全策略》（六）《金稅三期省級敏感數據保護策略》4.1.1.5安全策略驗收要求本項工作要求按招標人要求時間內完成并驗收，驗收要求如下：1、滿足金稅三期工程安全策略開發的總體目標要求；2、符合《GB/T22239—2008信息安全技術信息系統安全等級保護基本要求》的要求；3、調研階段需要全面完整，縱向需要調研到縣級，橫向需要覆蓋金稅三期工程所有項目；4、案頭文檔需要進行全面分析，保證文檔的完整性，合理性，避免文檔之間的矛盾性，達到執行的可行性和效果；5、按照實際情況和合同要求，制定完成《安全策略開發工作方案》；6、完成本項工作產出物，并需經采購人評審通過。4.1.1.6評審要求本項工作全部產出物需經采購人評審通過。4.1.2安全集成實施4.1.2.1安全集成商職責安全集成商對金稅三期工程第二階段相關承建商的安全體系建設工作進行督促協調、檢查、確認，使各項目滿足國家安全等級測評的基本要求，其職責包括但不限于：1、負責編制安全集成實施方案，明確安全集成工作規程；明確相關承建商安全體系建設的工作內容及應遵循的安全策略、法律、法規等，并有義務對安全集成提出的相關標準、規范、要求等進行解釋。2、負責組織、督促協調各項目承建商根據安全集成實施方案的要求，制定相應的安全設計方案、安全實施方案、項目進度計劃等；并對各項目承建商產生的設計方案、實施方案等文檔符合性進行確認，判斷是否符合安全集成提出的相關標準、規范及要求等。3、負責組織、協調各承建商在實施、測試、試運行、上線等階段的安全集成聯調工作。4、負責督促協調、檢查和確認各項目承建商落實安全域劃分、安全設備部署及安全基線配置的情況，并根據檢查、確認的實際情況，協助省級單位督促相關承建商對不符合項進整改。5、負責結合風險評估和等保測評結果，督促和協助相關承建商進行相應的整改，并對整改結果進行復查確認。6、負責協調解決集成過程中出現的各類問題，對安全集成的進度、質量負責。7、對集成過程中的參與各方之間不能協商解決的問題，由安全集成商負責出面協調。如果仍無法協調解決，可向采購人提出，采購人有最終裁決權。4.1.2.2安全集成主要任務1、安全集成按照金稅三期工程安全架構和安全策略體系的要求，制定安全集成實施方案，協調各項目中標方明確工作界限劃分和遵循安全策略的顆粒程度，并審核各相關承建商的設計方案、實施方案等相關文檔。各項目承建廠商負責具體實施。2、組織、協調各安全項目實施，協助各項目承建商按照安全體系建設的總體目標實施建設，全面做好金稅三期工程第二階段安全體系建設。3、依據《國家稅務總局關于金稅三期工程優化版第二階段推廣有關工作的通知》、《金稅三期工程第二階段推廣基礎環境建設需求方案》及國家信息安全等級保護的要求，對金稅三期工程第二階段各單位的安全域落實情況進行檢查、確認，確保各單位按照方案要求完成安全域的劃分，形成《安全域落實情況報告》。4、依據《國家稅務總局關于金稅三期工程優化版第二階段推廣有關工作的通知》、《金稅三期工程第二階段推廣基礎環境建設需求方案》的要求，監督、檢查、確認其他項目承建商落實安全設備部署及安全防護配置情況，形成《安全防護實施報告》，督促各項目承建商對不符合項進行限期整改，并對整改結果進行復查。5、依據金稅三期工程安全配置基線，監督各項目承建商對基礎軟件環境、網絡和安全設備等進行安全基線配置的落實。并對實施情況進行檢查，形成《安全配置實施報告》，督促各項目承建商對不符合項進行限期整改，并對整改結果進行復查。6、對金稅三期工程第二階段范圍內信息系統進行安全滲透測試工作，形成安全滲透測試報告，督促各項目承建商對不符合項進行限期整改，并對整改結果進行復查。4.1.2.3安全集成工作準備本項工作應在合同簽訂后15日內完成，成交供應商主要工作包括但不限于：一、實施組織組建成交供應商應安排專職人員組成項目實施團隊，在安全集成項目實施組織中的工作內容包括但不限于：安全集成實施方案的制訂、項目的具體實施安排、項目組之間的協調和溝通等；根據項目的進行情況及時召開項目技術協調會，討論項目的技術問題及合同執行情況等重大問題；督導項目的實施進度，及時發現問題、解決問題；報告項目的實施進度等。主要交付物包括但不限于：《安全集成工作規程》、《安全集成項目實施人員表》等。二、實施方案編制成交供應商須根據《國家稅務總局關于金稅三期工程優化版第二階段推廣有關工作的通知》、《金稅三期工程第二階段推廣基礎環境建設需求方案》及國家信息安全等級保護的要求，結合金稅三期工程第一階段的實施情況，編制金稅三期工程第二階段安全集成實施方案，指導項目的實施工作，具體包括：安全集成實施目標與范圍、安全集成工作規程、分工界面、項目實施內容、要求和任務分解、實施人員組織形式、項目時間安排和實施流程、項目質量和進度控制、安全集成實施風險分析與應對措施等。主要交付物包括但不限于：《安全集成方案》、《安全集成實施方案》、《項目質量控制手冊》和《項目文檔管理制度》等。三、集成項目啟動會成交供應商負責組織召開集成項目啟動會，向參與實施的各承建商（包括技術基礎設施產品供應商、應用軟件開發商）通報實施安排和各自須承擔的任務，同時對集成項目的實施工作進行詳細部署，介紹安全集成實施方案，通報項目工作范圍和進度計劃安排，明確聯系人和實施環境準備要求，明確項目的實施方法以及需要配合實施的要求，指導網絡、安全廠商編制安全域規劃，指導各項目產品供應商編制詳細細的安全部署、安全防護配置方案等。主要交付物包括但不限于：《安全集成工作計劃》、《項目啟動會會議紀要》等。4.1.2.4安全集成工作內容成交供應商應根據《安全集成實施方案》及《安全集成工作規程》，協調各相關項目承建商按照相關要求，完成項目所需安全設備及安全軟件的安裝、調試，并組織、協調各承建商在項目準備、實施、測試、試運行、上線等階段的安全集成聯調工作。一、集成準備本項工作應在合同簽訂后15個工作日內完成，成交供應商主要工作包括但不限于：（一）實施組織組建成交供應商應安排專職人員組成項目實施團隊，由采購人、成交供應商、監理方、各項目成交供應商等共同組成安全集成項目實施組織，成交供應商在安全集成項目實施組織中的工作內容包括但不限于：安全集成方案和安全集成實施方案的制訂、項目的具體實施安排及運行維護，負責項目的實施進度，項目組之間的協調和溝通；根據項目的進行情況及時召開項目技術協調會，討論項目的技術問題及合同執行情況等重大問題；督導項目的實施進度，及時發現問題、解決問題；報告項目的實施進度等。主要交付物包括但不限于：《安全集成項目管理辦法》、《安全集成項目實施組織辦法》、《安全集成項目實施人員表》等。（二）現場調研成交供應商應對各地稅務系統項目現狀、實施環境和已有標準規范等進行現狀調研，重點是與項目實施相關的內容。調研前需要設計統一的調研表格，調研問題盡量做到細致準確。所有調研結果需經被調研方簽字確認。主要交付物包括但不限于：《現狀調研表》、《現狀調研報告》、《現狀與目標差異分析及解決方案》。（三）安全集成方案和安全集成實施方案編制成交供應商必須根據金稅三期工程安全架構、安全策略和實施進度要求，結合現場調研成果，組織各項目承建商編寫金稅三期工程第二階段安全集成方案和安全集成實施方案，指導項目的實施工作，具體包括：安全集成對象目標與范圍、安全集成需求分析、各類安全集成銜接關系、安全集成主要指標、安全設施總體配置圖（表）、安全策略總體配置圖（表）、安全集成主要方法、安全集成標準與規范等；安全集成項目實施目標和范圍、項目實施內容要求和任務分解、實施人員組織形式、項目時間安排和實施流程、項目質量和進度控制、項目變更管理辦法、安全集成實施風險分析與應對措施等。成交供應商必須根據各項目和各產品的特點制定安全策略的實施流程，按照采購人的業務需求制定有代表性的全局策略，在項目實施中，逐點統一配置，確保金稅三期工程安全體系的完整、統一。安全集成方案和安全集成實施方案須經采購人評審通過。成交供應商需組織對各項目承建商進行安全集成方案和安全集成實施方案的培訓，確保各項目承建商按方案實施。主要交付物包括但不限于：《金稅三期工程第二階段安全集成方案》和《金稅三期工程第二階段安全集成實施方案》和《項目質量控制手冊》、《項目文檔管理制度》等。二、安全域檢查成交供應商應遵循《國家稅務總局關于金稅三期工程優化版第二階段推廣有關工作的通知》、《金稅三期工程第二階段推廣基礎環境建設需求方案》的要求，對各省級單位安全域的建設指導和檢查。工作內容包括但不限于：負責指導和檢查安全域落實情況，形成安全區域實施報告。（一）安全域劃分規范安全域劃分規范是指金稅三期工程省局數據中心安全域劃分的原則與技術要求，其覆蓋整個金稅三期應用系統，包括其所屬的網絡設備、安全設備、服務器等，同時也定義了相應的應用系統在安全域上的映射。金稅三期工程數據中心安全域劃分，結合不同系統對業務、功能、安全等方面的要求，考慮到不同業務系統邏輯、應用關聯性及安全要求（等級保護）相似性，橫向劃分為總局數據中心、省級數據中心，縱向劃分為業務專網區、互聯網區和外聯網區，每一個服務區定義為一個安全域，具體如圖1：圖SEQ圖3-\*ARABIC1安全域劃分安全域描述內網服務安全域也稱業務專網安全域，主要面向稅務工作人員提供業務處理和行政辦公等服務。互聯網服務安全域也稱外網安全域，主要面向提供信息發布、網上業務辦理、征收管理等服務信息查詢等服務。外聯網服務安全域也稱橫聯網安全域，主要提供與人民銀行、財政、工商、海關等機構進行數據交換等服務。（二）安全域實施確認成交供應商依據《國家稅務總局關于金稅三期工程優化版第二階段推廣有關工作的通知》、《金稅三期工程第二階段推廣基礎環境建設需求方案》，由省級單位和其他項目承建商協助，成交供應商對安全域落實情況進行檢查，形成《XX省稅安全域實施報告》。省級單位安全負責人對安全域實施報告的內容進行確認，形成《XX省稅安全域實施確認單》。中標方對不符合項形成《安全整改意見書》，并下發至相關承建商和省級單位。中標方協助省級單位督促相關承建商進行限期整改。中標方對整改結果進行復查確認。主要交付物包括但不限于：《XX省稅安全區域實施報告》、《XX省稅安全域實施確認單》和《安全整改意見書》。三、安全訪問控制規則梳理成交供應商須采用自動化工具梳理出各類業務數據流向，并監督各項目承建商對安全域之間的數據流向進行核準，編制安全訪問控制規則數據流向匯總表提交各項目承建商，各項目承建商按需填寫數據流向，由中標方統一匯總提交各省級單位安全負責人確認，中標方還需督促安全廠商加載安全訪問控制規則。主要交付物包括但不限于：《安全策略梳理工具數據流向分析報告》，《XX省稅安全訪問控制匯總表》。四、安全防護檢查（一）安全防護原則1、安全防護總原則：（1）禁止互聯網區向業務專網區發起主動連接請求，即在互聯網區與業務專網區采用訪問控制防護手段。（2）禁止外聯網區不經外聯網前置系統處理直接向業務專網區發起主動連接請求，即在外聯網區前置與業務專網區采用訪問控制防護手段。（3）省局核心業務系統訪問總局端業務系統，必須經過省局前置系統，在總局端采用訪問控制防護手段。2、安全域防護原則安全域的防護原則遵循以下幾方面：（1）集中防護：訪問控制、入侵保護、安全審計等安全技術防護手段以安全域劃分和邊界整合為基礎，多個安全域或子域共享提供的此類安全防護。（2）分等級防護：根據稅務行業標準中安全等級防護的要求，對系統所在的邊界部署符合其防護等級的安全技術手段，各系統共享的防護邊界應遵循就高的原則。（3）就近部屬原則：業務系統與支撐系統之間互聯，在業務系統側部署防護手段。（4）縱深防護：通過安全域劃分，從外部網絡到核心生產區之間存在多層安全防護，縱深防護就是在每層防護邊界上部署側重點不同的安全技術手段和安全規則來實現對關鍵設備或應用系統的高等級的、完備的防護。（5）歸并系統接入：存在邊界不清、連接混亂的實際問題時，只有保證支撐系統各種互聯需求的前提下對安全域的邊界進行合理的整合，對系統接入進行有效的整理和歸并，減少接入數量，提高系統接入的規范性，做到“重點防護、重兵把守”達到事半功倍的效果。（6）最小授權原則：安全子域間的防護需要按照最小授權原則，依據缺省拒絕的方式制定保護要求。防護要求在身份鑒別的基礎上，只授權開放必要的訪問權限，保證數據安全的完整性、機密性、可用性。（7）業務相關性原則：對安全子域的安全防護要充分考慮子域的業務特點，在保證業務正常運行、保證效率的情況下分別設置相應的安全防護規則。3、安全域防護要求在省稅務機關部署的信息系統安全級別是按照《金稅三期工程安全架構優化方案》的等級保護定級要求進行設計。（二）安全防護實施確認成交供應商依據《國家稅務總局關于金稅三期工程優化版第二階段推廣有關工作的通知》、《金稅三期工程第二階段推廣基礎環境建設需求方案》及國家信息安全等級保護要求，檢查金稅三期工程第二階段各單位數據中心互聯網、業務專網和外聯網安全設備部署實施情況。根據檢查結果形成《XX省稅安全防護實施報告》。各省安全負責人對安全防護實施報告中的內容進行確認，形成《XX省稅安全防護實施確認單》。中標方對不符合項形成《安全整改意見書》，并下發至相關承建商和省（區）/市國地。中標方協助省級單位督促相關承建商進行限期整改。中標方對整改結果進行復查確認。主要交付物包括但不限于：《XX省稅安全防護實施報告》、《XX省稅安全防護實施確認單》、《XX省稅安全防護復查報告》和《安全整改意見書》。五、應用系統開發測試（一）源代碼檢查成交供應商根據金稅三期安全策略的應用系統軟件開發安全規范，對金稅三期新增應用軟件及更新開發項目產出的安全策略實現方案、安全設計方案、安全配置方案和安全測試方案等進行確認，提出安全測試標準和測試用例，并提出軟件代碼缺陷定義。中標方負責對軟件開發商提供的軟件源代碼進行源代碼缺陷測試，應用系統開發方完成軟件或系統開發α版和β版時，中標方進行軟件源代碼缺陷檢測，并將檢測結果交付開發方進行修改。軟件上線運行前或交付采購人前，進行嚴格的軟件源代碼缺陷檢測與關鍵高危漏洞驗證分析，保證軟件源代碼缺陷密度不高于：4個缺陷/KLOC。主要交付物包括但不限于：《測試用例》、《XX項目安全方案確認報告》、《軟件代碼缺陷定義》、《XX項目軟件源代碼缺陷測試報告》。（二）安全功能確認成交供應商根據金稅三期安全策略規范對應用系統安全功能的要求，成交供應商對金稅三期新增應用系統編制相應的安全測試方案，成交供應商按照安全測試方案和測試用例，對金稅三期新增應用系統及更新分別進行安全測試，以及項目間聯調安全測試。對不符合安全功能要求的應用開發軟件，成交供應商督促開發方進行修改，并對修改結果進行確認。若采購人提供的測試工具不足以滿足安全功能確認需要，則成交供應商須提供安全功能確認所需工具，采購人對此不額外付費。成交供應商提供測試工具的，成交供應商需保證采購人在合同執行期間擁有該測試工具不受任何限制的使用權，并免受第三方的任何侵權控告和糾紛影響。安全功能確認測試分為用戶測試環境測試和預生產環境測試，成交供應商需分別在這兩種環境中進行安全確認測試，并提交安全確認測試報告。主要交付物包括但不限于：《測試用例》、《XX項目安全功能確認測試方案》、《XX項目安全功能確認測試報告》。六、安全基線配置檢查中標方應依據《金稅三期工程安全配置基線》，檢查各相關項目承建商對基礎軟件環境、網絡和安全設備等進行安全基線配置的實施情況。工作內容包括但不限于：對基礎軟件環境、網絡和安全設備等安全配置的實施結果進行檢查；對檢查結果形成安全配置實施報告，下發安全整改意見書，中標方協助省級單位督促相關承建商進行相關安全配置整改，并對整改結果進行復查。（一）安全基線配置實施檢查相關項目承建商將安全基線配置結果反饋至成交供應商處，成交供應商負責檢查、確認其安全基線配置的實施情況。其他項目承建商主要提交物包括但不限于：《操作系統安全配置參數表》、《數據庫和中間件安全配置參數表》和《網絡、安全設備安全配置參線表》。（二）安全基線確認成交供應商負責對安全基線配置的實施結果進行檢查確認，形成《XX省稅安全基線配置實施報告》，省級單位安全責人對安全配置實施報告中的內容進行確認，形成《XX省稅安全基線配置實施確認單》。中標方對不符合項形成《安全整改意見書》，并下發至相關承建商和省級單位。中標方協助省級單位督促相關承建商進行限期整改。中標方對整改結果進行復查確認。主要交付物包括但不限于：《XX省稅安全基線配置實施報告》，《XX省稅安全配置實施結果確認單》、《XX省稅安全基線配置復查報告》、《安全整改意見書》。七、滲透測試中標方應在金稅三期第二階段所有系統部署完成后，對金稅三期應用系統進行滲透測試。由中標方協調，省級單位安全負責人配合提供滲透測試環境，中標方組織人員對金稅三期工程范圍內系統進行滲透測試工作。滲透測試主要包括：SQL注入、XSS（跨站腳本）、CRLF注入、目錄遍歷、文件包含、輸入驗證、認證、密碼保護區域猜測、字典攻擊、特定的錯誤頁面檢測、脆弱權限的目錄、信息泄露、stuct2漏洞、Cookie欺騙、源代碼泄露等。中標方編寫《XX省稅安全滲透測試報告》，省級單位安全負責人對系統滲透測試報告中的內容進行確認，形成《XX省稅安全滲透測試報告確認單》。中標方對不符合項形成《安全整改意見書》，并下發至相關承建商和省級單位。中標方協助省級單位督促相關承建商進行限期整改。中標方對整改結果進行復查確認。主要交付物包括但不限于：《XX省稅安全滲透測試報告》,《XX省稅安全滲透測試報告確認單》、《XX省稅安全滲透測試復測報告》和《安全整改意見書》。八、整改復查為了保障金稅三期各系統能夠正常、安全、穩定、可靠地運行，中標方應在安全集成工作初步完成后，對項目實施期間的不符合項或等保測評的不合格項進行跟蹤、督促相關項目組進行整改，對安全整改項進行復測、檢查確認，并向省級單位提供復查報告或整改結果。根據金稅三期稅務信息的發展情況，持續對金稅三期信息安全策略更新、完善。另外，各省（區）/市金稅三期系統發生安全事件時，成交供應商須提供無償技術支持工作。主要交付物包括但不限于：《XX省稅安全防護復查報告》、《XX省稅安全基線配置復查報告》、《XX省稅安全滲透測試復測報告》和《XX省稅安全整改落實情況報告》。九、知識轉移知識轉移的目標是成交供應商要采取有效方法、途徑保證采購人能順利完成本項目安全集成過程中各階段移交物的接收及技術知識的吸收和轉移，確保采購人能夠掌握該項目的核心技術。在項目實施過程的各階段，各省級單位技術人員適當參與，以工作中的配合關系和傳幫帶的工作模式進行知識與技能的轉移。在此過程中，成交供應商須將安全策略、安全集成理念、安全集成步聚等技術和經驗通過現場培訓和文檔提交等形式轉移省級單位。成交供應商要規范和完善項目成果、交付物和中間成果的應用和轉交過程。成交供應商在按計劃完成和提交項目成果等交付物的同時，這些文檔均要以嚴格的檔案管理規范集中組織并保存，提供電子、紙質等多種備查方式，向采購人相關人員開放項目文檔，使得采購人可以隨時查閱文檔，了解和掌握項目中的各種知識。成交供應商應配合甲方做好培訓工作，包括做好培訓方案的制定，提供師資、材料、課件，協助搭建培訓環境等，但培訓費用不包括在合同總價中。4.1.2.5安全集成進度和驗收要求本項工作要求按招標人要求時間內完成并驗收，驗收要求1、滿足金稅三期工程安全體系建設的總體目標要求。2、符合《GB/T22239—2008信息安全技術信息系統安全等級保護基本要求》的要求。3、成交供應商確認所有省級單位安全域劃分按照相關要求落實完成。并出具《安全域落實情況報告》。4、成交供應商確認所有省級單位安全防護按照相關要求落實完成。并出具《XX省稅安全防護實施報告》等。4、成交供應商確認所有省級單位安全訪問控制規則按照相關要求落實完成。并出具《XX省稅安全訪問控制匯總表》等。5、成交供應商完成所有省級單位應用系統開發測試工作。并出具《XX項目軟件源代碼缺陷測試報告》和《XX項目安全功能確認測試報告》等。6、成交供應商完成所有省級單位安全基線配置檢查相關工作。并出具《XX省稅安全基線配置實施報告》等。7、成交供應商完成所有省級單位滲透測試。并出具《XX省稅安全滲透測試報告》等。8、成交供應商實施完成所有省級單位安全集成工作，并出具相關實施報告，完成現場知識轉移，《安全整改意見書》已下發至省級單位。9、成交供應商實施完成所有省級單位整改復查工作，并出具相關整改報告，《XX省稅安全整改落實情況報告》提交至總局。4.1.3安全服務實施各推廣單位在本單位的安全集成實施完成后，進入安全服務實施階段，各單位安全服務工作結束時間點統一截至金稅三期工程第二