【正文】 要求對第三方人員自帶終端入網(wǎng)安全訪問控制及信息安全審計體系進(jìn)行描述。 ? 進(jìn)程運行統(tǒng)計 要求 進(jìn)程運行情況統(tǒng)計要求能夠采集全網(wǎng)終端運行過的進(jìn)程信息。根據(jù)事件影響的對象區(qū)別，可 分為 網(wǎng)絡(luò)運行安全和終端運行安全 兩個方面。 要求投標(biāo)方根據(jù)殺毒軟件的安裝和運行情況分別界定終端的合規(guī)性。申請者終端自身安全 外設(shè)端口管理 安全策略配置 策略啟用情況 策略的覆蓋面 注冊表監(jiān)控 特定注冊表項 /鍵值是否符合要求 光驅(qū) 軟驅(qū) 串口 并口 無線網(wǎng)卡 冗余硬盤 紅外 策略管理的嚴(yán)格程度 終端操作系統(tǒng)口令強(qiáng)度管理 密碼復(fù)雜性要求 密碼最小長度 密碼最長存留周期 是否為弱口令 USB存儲端口 密碼復(fù)雜性要求 密碼最小長度 密碼最長存留周期 是否為弱口令 BIOS 口令管理 30 在提交申請后，由管理員審核后先進(jìn)行功能的開放和處理。按照不同的風(fēng)險類別進(jìn)行劃分，可分為四大類：運行安全類、信息安全類、資產(chǎn)使用生命周期管理類和系統(tǒng)管理員審計類。 投標(biāo)方必須提供針對本項目的技術(shù)設(shè) 計相關(guān)方案。 注：滿足情況欄請?zhí)顚憽巴耆珴M足”、“部分滿足”、“不滿足”。 23 已安裝補(bǔ)丁統(tǒng)計 能夠統(tǒng)計各個終端已安裝哪些補(bǔ)丁及安裝補(bǔ)丁數(shù)。 9 終端服務(wù)管理 系統(tǒng)能自動監(jiān)控終端的服務(wù)運行情況，自動禁用違規(guī)服務(wù)、強(qiáng)制啟用必須開啟的服務(wù)等，并能對違規(guī)行為進(jìn)行審計。對系統(tǒng)審計的信息通過統(tǒng)一的管理平臺能夠進(jìn)行展示、統(tǒng)計、分析 ，并根據(jù)不同的風(fēng)險等級加以歸類，以供管理員評估當(dāng)前內(nèi)網(wǎng)的風(fēng)險態(tài)勢。在本項目中，應(yīng)根據(jù)確定的安全策略制定出合理的內(nèi)網(wǎng)終端安全防護(hù)設(shè)計體系結(jié)構(gòu)和內(nèi)網(wǎng)終端安全管理體系建設(shè)結(jié)構(gòu)。 ? 《 信息技術(shù) 安全技術(shù) 信息安全管理實用規(guī)則》 （ ISO/IEC 27002:20xx） 信息安全管理使用規(guī)則 ISO27002:20xx 綜合了信息安全管理方面優(yōu)秀的控制措施，為組織在信息安全方面提供建議性指南 。 10 ? 實現(xiàn)內(nèi)網(wǎng)終端運行管理指標(biāo)化：對終端安全事件量化處理，實現(xiàn)終 端運行監(jiān)測點及相關(guān)考核指標(biāo)標(biāo)準(zhǔn)化。 二是信息安全與運行安全有序控管并實施有效管理的要求。以上問題的存在，某種程度上講也可以說反映了全省的信息終端安全管理的現(xiàn)狀。終端安全是容易被忽視的網(wǎng)絡(luò)邊界安全，也是全體終端計算機(jī)使用者的行為安全。 （ 1）工作人員只有一臺終端計算機(jī)用于內(nèi)網(wǎng)工作，少數(shù)單位雖然因工作需要上外網(wǎng)，但因設(shè)備不足，導(dǎo)致終端在內(nèi)外網(wǎng)交叉使用，存在嚴(yán)重的安全違規(guī)行為。三是要盡快地開發(fā)適應(yīng)大集中條件下的功能全面的終端安全管理平臺，通過技術(shù)平臺結(jié)合領(lǐng)導(dǎo)重視、制度建設(shè)、宣傳教育、組織管理實 現(xiàn)信息安全的有效管控，全面實現(xiàn)風(fēng)險預(yù)防、應(yīng)急處理、責(zé)任追究的一體化。 ? 實現(xiàn)內(nèi)網(wǎng)終端安全維護(hù)管理流程化：對終端安全實施設(shè)備及使用的全生命周期管理、風(fēng)險全過程管理和重要風(fēng)險系統(tǒng)管理，并配合行政管理，實現(xiàn)終端安全管理流程化管理。 ? 《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》（ ISO/IEC 27001:20xx） 在信息安全管理體系方面， 國際標(biāo)準(zhǔn) ISO 27001:20xx 已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。安全措施可以包括：行政法律手段、各種管理制度 (人員審查、工作流等 )以及專業(yè)技術(shù)措施。示例如下： ? 對目前行業(yè)內(nèi)存在的所有安全風(fēng)險做到可知、可管和可控，從內(nèi)網(wǎng)終端的狀態(tài)、行為、事件三個方 面進(jìn)行防御。 分級認(rèn)證和雙機(jī)熱備 認(rèn)證服務(wù)器設(shè)置雙機(jī)熱備，在緊急情況下由上級認(rèn)證服務(wù)器進(jìn)行認(rèn)證 6 桌面管理 黑白名單管理 系統(tǒng)能夠自定義終端上禁止或只允許運行的進(jìn)程、軟件的名單。 20 補(bǔ)丁手動分發(fā) 能夠?qū)蝹€或多個補(bǔ)丁進(jìn)行選擇性的分發(fā)。 37 電子文檔外發(fā) 能夠在外發(fā)的加密文檔使用時最好進(jìn)行密碼和證書的雙重認(rèn)證，并可以設(shè)定電子文檔使用時的讀寫權(quán)限 、打印權(quán)限、編輯權(quán)限、瀏覽次數(shù)、復(fù)制、另存為等操作進(jìn)行控制。 ? 技術(shù)總體要求：產(chǎn)品采用先進(jìn)合適的技術(shù)開發(fā)平臺和運行平臺，具有自主知識產(chǎn)權(quán)或合 法的使用權(quán) ，除項目應(yīng)用所需的服務(wù)器、配套操作系統(tǒng)和相關(guān)數(shù)據(jù)庫系統(tǒng)外，其他項目正常應(yīng)用所需一切軟硬件費用均包括在投標(biāo)價格中 。 其體系結(jié)構(gòu)圖如下圖所示： 27 終端安全防護(hù)平臺架構(gòu)圖 內(nèi)網(wǎng)終端安全防護(hù)平臺是本項目的核心組成部分，它通過上述三大安全管理組件來實現(xiàn)對所有終端系統(tǒng)的多層次、立體化、全方位的安全防護(hù)，最終實現(xiàn)對整個內(nèi)網(wǎng)終端系統(tǒng)各 種安全風(fēng)險、安全漏洞、違規(guī)使用的及時發(fā)現(xiàn)與管控，達(dá)到對各類安全事件的“事前防范、事中防御、事后處理”的立體化、流程化防御體系，形成綜合的、完整的內(nèi)網(wǎng)終端安全防護(hù)體系。 ? 普通申請流程 終端使用者登錄相關(guān)申請頁面，按照要求填寫申請，逐級提交申請。 在配套軟件使用管理要求中，應(yīng)以防病毒軟件的管理為主。 要求對本項目中設(shè)計的風(fēng)險預(yù)警系統(tǒng)內(nèi)容和對應(yīng)預(yù)警方式（含終端和服務(wù)器，包括信息、圖形、聲音、郵件、短信平臺等多種方式）體系描述和要求。 2. 終端運行安全 終端運行安全包括的內(nèi)容為終端自身的基本運行狀況的安全事件。示例如下： 邊界安全管理示意圖 要求對終端入網(wǎng)合法性和合規(guī)性安全管控體系進(jìn)行描述。 邊界安全 違規(guī)內(nèi)聯(lián) 違規(guī)外聯(lián) 內(nèi)部 外部 本地 違規(guī)外聯(lián) 下級違規(guī)外聯(lián) 終端級 網(wǎng)絡(luò)級 識別接入終端的身份 漫游管理 終端源服務(wù)器 目的地服務(wù)器 獲取終端漫游狀態(tài) 識別漫游設(shè)備 預(yù)設(shè)安全策略 準(zhǔn)入控制自由認(rèn)證 自動接管 38 信息防擴(kuò)散管理的重點在于如何保證內(nèi)網(wǎng)中的重要數(shù)據(jù)的安全性，確保重要數(shù)據(jù)只能在特定的、安全的網(wǎng)絡(luò)范圍內(nèi)傳輸，其關(guān)鍵點在于，即使終端通過合法手段或者非法手段將文件通過各種辦法，導(dǎo)致文件離開了其安全的網(wǎng)絡(luò)范圍，也要提供相應(yīng)的審計記錄，便于事后審查事件發(fā)生的源頭。 上述內(nèi)容要求可以提供給終端安全管理平臺的信息包括終端資源使用違規(guī)事件的類型、資源使用違規(guī)事件的具體描 述、違規(guī)事件發(fā)生的時間、違規(guī)終端IP 地址、終端使用人姓名、部門名稱等。重點在于，既能將運行的資源限制在可控的范圍內(nèi)，還能夠?qū)`規(guī)的終端安全行為進(jìn)行記錄，確保在發(fā)生安全事件后能夠及時找到故障點，解決問題并恢復(fù)正常使用。 對于已安裝補(bǔ)丁和未安裝補(bǔ)丁的情況，應(yīng)分別可以按照補(bǔ)丁的級別，根據(jù)管理部門進(jìn)行百分比統(tǒng)計分析；在整個行業(yè)內(nèi)，能夠依據(jù)各個不同區(qū)域之間的百分比，計算總的平均值。要求 管理員能夠從任何可以訪問策略管理服務(wù)器的網(wǎng)絡(luò)節(jié)點 （或限定可訪問服務(wù)器的網(wǎng)絡(luò)節(jié)點） 登錄到管理控制臺進(jìn)行 內(nèi)網(wǎng)終端 安全策略的創(chuàng)建和修改工作。防止28 一旦系統(tǒng)自身安全遭到破壞，而導(dǎo)致終端安全防護(hù)保失效的發(fā)生。 ? 開發(fā)計劃要求： 投標(biāo)方必須提供針對該產(chǎn)品的定制開發(fā)功能所需要的開發(fā)周期和詳細(xì)的開發(fā)計劃； 25 8 內(nèi)網(wǎng)終端安全管理體系技術(shù)要求 投標(biāo)方應(yīng)在充分理解本項目的基礎(chǔ)上，結(jié)合實際情況，遵循相關(guān)安全法律法規(guī)和安全標(biāo)準(zhǔn)，按照合規(guī)性、完整性、系統(tǒng)性的原則， 對本章節(jié)的總體要求、業(yè)務(wù)要求 和技術(shù)要求進(jìn)行逐項應(yīng)答，給出“實質(zhì)性響應(yīng)描述”，同時還可以自行進(jìn)行補(bǔ)充，所有技術(shù)要求的實質(zhì)性響應(yīng)描述和自行補(bǔ)充內(nèi)容均有投標(biāo)方承擔(dān)相應(yīng)責(zé)任。 項目經(jīng)理必須有的很強(qiáng)的項目組織能力，豐富的項目組織經(jīng)驗，必須參加過類似項目的主持工作。 26 移動存儲管理 移動存儲介質(zhì)登記 對每一個在內(nèi)網(wǎng)中使用的存儲介質(zhì)必須進(jìn)行登記和認(rèn)證， 21 及認(rèn)證 并進(jìn)行認(rèn)證控制 移動存儲介質(zhì)控制 能夠?qū)σ苿哟鎯橘|(zhì)的使用方式進(jìn)行控制（禁止、只讀、讀寫）。 12 終端流量管理 系統(tǒng)能夠?qū)K端流量進(jìn)行管理，統(tǒng)計流量異常的終端，并能控制終端流量。 最終，通過終端安全管理平臺所展示的信息能夠根據(jù)風(fēng)險 級別進(jìn)行分類展17 現(xiàn)，危險級別高的信息將在最前端提醒管理員及時處理，對于所有的風(fēng)險的處理都能產(chǎn)生記錄，具體如處理管理員名、處理時間、是否處理等信息都能夠清晰可見。 易操作性原則 任何 安全措施需要人為去完成，如果措施過于復(fù)雜，對人 員 的要求過高，本身就降低了安全性。 ? 《江蘇省地方稅務(wù)系統(tǒng)工作人員信息安全手冊》 該手冊結(jié)合江蘇地稅工作實際，立足地稅干部的日常應(yīng)用，從增強(qiáng)全員信息安全意識出發(fā)， 提出了“ 四禁止”、“三不準(zhǔn)”、“三必須”的要求。 11 3 項目設(shè)計與建設(shè)依據(jù) 對于本項目的系統(tǒng)設(shè)計與安全建設(shè)應(yīng)主要遵循和參照如下信息安全法律法規(guī)、政策要求和安全標(biāo)準(zhǔn)，及其他相關(guān)規(guī)定和標(biāo)準(zhǔn)： ? 《中華人民共和國保守國家秘密法》 及相關(guān)法規(guī) 新修訂的《中華人民共和國保守國家秘密法》及相關(guān)法規(guī)均對涉及保密行為做出明確的 規(guī)定和要求，如一切國家機(jī)關(guān)、武裝力量、政黨、社會團(tuán)體、企業(yè)事業(yè)單位和公民都有保守國家秘密的義務(wù) 。我們可以對各類 風(fēng)險予以完整、全面的識別、管控和分析， 結(jié)合風(fēng)險展示，來達(dá)到直觀展示終端信息安全管理成果，分析管理效果和不足 ；發(fā)現(xiàn)終端信息安全管控中的隱患，更有效地揭示終端信息安全風(fēng)險的發(fā)生規(guī)律；對各類風(fēng)險和事件進(jìn)行關(guān)聯(lián)分析，實現(xiàn)風(fēng)險和事件分類統(tǒng)計、風(fēng)險趨勢分析，產(chǎn)生各類報表，提供預(yù)警信息；進(jìn)行信息安全風(fēng)險責(zé)任認(rèn)定和處罰；為領(lǐng)導(dǎo)決策提供依據(jù)。隨著征管系統(tǒng)的管理機(jī)構(gòu)、工作模式、崗位職責(zé)、人員分工等變化，征管系統(tǒng)面臨的安全風(fēng)險也發(fā)生了變化。信息安全主要包括邊界安全、內(nèi)網(wǎng)信息防擴(kuò)散和終端自身安全三個方面。 二是難以有效進(jìn)行終端信息安全風(fēng)險管控。 6 《終端安全管理平臺》開發(fā)的必要性 信息安全管理體系的建立是一個目標(biāo)疊 加的過程，是在不斷發(fā)展變化的技術(shù)環(huán)境中進(jìn)行的，是一個動態(tài)、閉環(huán)的風(fēng)險管理過程。使日常的內(nèi)網(wǎng)終端安全由被動管理向主動的流程化管理轉(zhuǎn)變，最終真正實現(xiàn)內(nèi)網(wǎng)終端安全管理理念上質(zhì)的飛躍，初步建立起真正實用并且合規(guī)的內(nèi)網(wǎng)終端安全管理體系。 它 提出了目前公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)，即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確有效的實施這些功能的保證要求。 安全風(fēng)險與建設(shè)投入平衡原則 任何網(wǎng)絡(luò)的絕對安全都是難以達(dá)到的?也不一定是必要的，必須考慮安全需求、安全風(fēng)險與安全建設(shè)代 價之間的平衡。 15 綜合治理 原則 在本項目中，內(nèi)網(wǎng)終端系統(tǒng) 的安全 保護(hù) 同樣也絕不僅僅是一個技術(shù)問題，各種安全技術(shù)應(yīng)該與運行管理機(jī)制、人員的思想教育與技術(shù)培訓(xùn)、安全法律法規(guī)建設(shè)相結(jié)合，從社會系統(tǒng)工程的角度綜合考慮。 4 授權(quán)已注冊終端安全檢測管理 系統(tǒng)能對已接入內(nèi)網(wǎng)的終端進(jìn)行安全檢測，包括檢測系統(tǒng)漏洞、殺毒軟件病毒庫版本、木馬檢測等，對不符合安全檢測標(biāo)準(zhǔn)的終端能及時隔離其與內(nèi)網(wǎng)的連接，終端自動轉(zhuǎn)入修復(fù)區(qū)進(jìn)行相應(yīng)的安全修復(fù)。 漏洞掃描及補(bǔ)丁管理 漏洞掃描 對終端進(jìn)行漏洞掃描，發(fā)現(xiàn)系 統(tǒng)漏洞 19 補(bǔ)丁自動分發(fā) 能夠自動檢測終端已安裝和未安裝補(bǔ)丁，針對未安裝補(bǔ)丁終端能夠自動分發(fā)并安裝。 34 用戶身份驗證 能夠支持多種用戶身份認(rèn)證（用戶名和密碼、 USBKEY、證書等）。 終端安全管理達(dá)到風(fēng)險發(fā)現(xiàn)和管控基于技術(shù)、安全管理和運維基于信息化、安全管控盡量不依賴于人（即使用者和系統(tǒng)管理員）、風(fēng)險態(tài)勢和趨勢清晰的局面，建立起“量身定做”、24 “可持續(xù)提升”的全 省地稅系統(tǒng)內(nèi)網(wǎng)（業(yè)務(wù)專網(wǎng)）終端（含移動存儲介質(zhì)）安全管理體系，形成過程化、日?；?、規(guī)范化、制度化和機(jī)制化的終端安全管理模式。 以下僅 從總體要求、業(yè)務(wù)需求和技術(shù)要求等方面對該平臺提出新的具體要求 ， 投標(biāo)方必須根據(jù)各自實際情況，進(jìn)行二次開發(fā)（包括原有功能改造）和功能技術(shù)響應(yīng)，以確保該新產(chǎn)品能夠滿足本項目的實際需要。 在常規(guī)情況下，被禁用的端口不允許隨意開啟。示例如下： 31 終端環(huán)境安全示意圖 ? 配套軟件使用管理能夠檢查內(nèi)網(wǎng)終端防病毒軟件、辦公軟件及財務(wù)軟件的安裝使用情況做出統(tǒng)計和劃分，對于沒有安裝軟件或軟件使用有問題的內(nèi)網(wǎng)終端及時進(jìn)行安裝處理； ? 終端及網(wǎng)絡(luò)運行管理分為本地終端及網(wǎng)絡(luò)運行情況和行業(yè)終端及網(wǎng)絡(luò)運行情況兩塊，要求能夠?qū)崟r的查看到本地終端和行業(yè)終端的網(wǎng)絡(luò)運行情況，對查看到的情況進(jìn)行統(tǒng)計分析，然后根據(jù)分析出的情況做出相應(yīng)處理方案， 主要包括 IP/MAC 地址管理和終端軟端口管理兩個部分； ? 補(bǔ)丁管理情況分為本地終端補(bǔ)丁安裝情況和管轄范圍內(nèi)所有終端的補(bǔ)丁安裝情況，要求本地終端和管轄范圍內(nèi)所有終端必須安裝系統(tǒng)補(bǔ)丁，及時安裝補(bǔ)丁能夠提高系統(tǒng)性能，還能防止病毒入侵攻擊。 要求對本項目涉及的風(fēng)險點進(jìn)行分級分 類管理體系描述，對不同的風(fēng)險點進(jìn)行級別定級、風(fēng)險描述、如何處置和應(yīng)對相應(yīng)的風(fēng)險，以及不同風(fēng)險之間的關(guān)聯(lián)關(guān)系 。 該項應(yīng)能夠?qū)π袠I(yè)內(nèi)網(wǎng)不同類別的終端系統(tǒng)實施地址綁定：一類是對IP/MAC 綁定沒