| 发布时间 : 2021-09-03 16:48 |
项目名称
****总局****税务局网络安全等运维项目包括网络安全等运维、互联网应用系统渗透测试及特殊时期安全保障、税务数字证书系统运维、金三应用安全支撑平台运维和电子签章系统5个运维服务项目。
2020年****网络安全运维和特殊时期安全保障项目服务期限为2020年8月7日起一年。互联网应用系统渗透测试项目服务期限为2021年1月1日至2021年12月31日,以上3个项目中标金额为200.57万元。2020年****电子签章系统运维项目服务期限为2021年1月26日至2021年12月31日,税务证书系统升级服务项目服务期限为2021年1月26日起3个月内,以上2个项目中标金额为92.7万元。以上5个项目中标供应**为****。
一、项目背景
(一)网络安全运维
为建立我局安全7*24小时值班值守、监测预警、应急处置工作机制,保障各网络安全系统正常运行,需配备6名驻场人员用于日常与7*24小时安全工作值班、值守工作。其中,2人负责日常安全运维,4人参与7*24小时值班、值守。工作内容包括:新购、更新网络安全产品的上下架操作,****税务局在线网络安全设备(防火墙、入侵检测、负载均衡、抗DDOS设备、WEB应用防火墙、网闸、网页防篡改、运维审计系统、综合日志审计系统、数据库审计系统、态势感知平台、终端安全管理平台等)的7*24小时运行监控及维护,数据中心、互联网业务处理区、外联网区漏洞扫描、安全漏洞预警、漏洞交接和修复验证,7*24小时网络安全监控保障等服务。
(二)互联网应用系统渗透测试及特殊时期安全保障
依据《中华人民**国网络安全法》****总局有关要求,****总局护网行动、攻防演习、特殊时期安全保障要求,****税务局每****税务局现运行及拟上线的互联网区应用系统和移动互联网应用系统进行一次渗透测试,全年共开展四次全面的渗透测试工作。发现网络安全隐患及时进行整改加固,提高互联网应用安全防护能力。同时,为确保特殊时期(护网、春节、两会、国庆节、元旦、国家重要会议等)的安全保障能力,需要购买特殊时期安全保障服务,提升特殊时期突发网络安全事件的应急响应和应急处置能力,避免在特殊时间节点发生网络安全事故。
(三)税务数字证书系统运维
****总局绩效考核以及《电子税务局规范》要求,为确保我局税务数字证书注册、发布系统安全稳定运行,需要采购税务数字证书注册、发布系统的技术支持运维服务,确保系统安全稳定运行。工作内容包括:采用远程、本地方式监控我省税务数字证书注册系统、发布系统运行情况,解决运行中存在的问题,****总局统一要求及时升级相关系统。
(四)金三应用安全支撑平台运维
金税三期应用安全支撑平台,为金税三期各应用系统提供统一用户管理、统一身份认证、单点登录等。****总局绩效考核要求,为确保金税三期应用安全支撑平**全稳定运行,需要采购金税三期应用安全支撑平台本地系统的技术支持运维服务。技术支持运维服务采用远程、本地相结合的方式开展,确保系统稳定运行,问题的快速处理。
(五)电子签章系统运维
依据《中华人民**国电子签名法》****总局《电子税务局规范》要求,为提高面向纳税人的互联网服务能力,****税务局需为全省30万小规模以上纳税人办理涉税业务网上提供电子签章服务,实现网上申请、备案、纳税申报、税款缴纳等多种涉税事项的无纸化办理。为降低纳税人办税成本,****税务局承担。现我局每年需要购买电子签章系统和专用签章设备的驻场和远程技术支持运维服务,并提供驻场运维工程师1名,保障电子签章系统安全稳定运行。
二、采购预算
合计314.80万元人民币,具体详见下表。每分项服务不接受超过采购项目预算的投标。
序号 | 服务名称 | 分项预算 | 服务期限 |
1 | 网络安全运维服务 | 100万元 | 合同签订后1年 |
2 | 互联网应用系统渗透测试和特殊时期安全保障服务 | 128.8万元 | 2022.****.01至2022.****.31 |
3 | **省税务数字证书系统运维服务 | 18万元 | 合同签订后1年 |
4 | 金税三期应用安全支撑平台运维服务 | 18万元 | 合同签订后1年 |
5 | 电子签章系统运维服务 | 50万元 | 2022.****.01至2022.****.31 |
四、技术服务要求
中标方应熟悉国家和税务行业相关标准规范,了解和掌握相关业务情况及工作规程,具有质量管理体系认证(ISO9000)、信息安全管理体系认证(ISO27001)和信息技术服务管理体系认证(ISO20000),同时应组建专业的安全服务团队,其中包含驻场工程师7人,****税务局网络安全驻场运维、互联网应用系统渗透测试及特殊时期保障、税务数字证书系统驻场运维、金三应用安全支撑平台驻场运维和电子签章系统驻场运维等工作。
五、项目服务内容
(一)网络安全运维服务
(1****总局****税务局****税务局)全年7*24小时网络安全驻场运维工作,需提供驻场网络安全工程师6名;
(2****税务局互联网业务区、业务专网区和横向联网区100余台/套网络安全设备(包括:防火墙、入侵检测、负载均衡、抗DDOS设备、WEB应用防火墙、网闸、网页防篡改、运维审计系统、综合日志审计系统、数据库审计系统、态势感知平台、终端安全管理平台等)运行监测、安全分析、升级维护、故障处理、日志审计和应急响应等工作。
****税务局网络安全设备维护清单如下:
序号 | 安全设备区域 | 设备名称 |
1 | 互联网业务区 | ADS流量清洗(绿盟) |
2 | 互联网业务区 | ADS流量清洗(绿盟) |
3 | 互联网业务区 | 防毒墙(绿盟) |
4 | 互联网业务区 | 防毒墙(绿盟) |
5 | 互联网业务区 | 防火墙(天融信) |
6 | 互联网业务区 | 防火墙(天融信) |
7 | 互联网业务区 | SSL卸载网关 |
8 | 互联网业务区 | SSL卸载网关 |
9 | 互联网业务区 | WAF****中心 |
10 | 互联网业务区 | 迪普WAF设备1 |
11 | 互联网业务区 | 迪普WAF设备2 |
12 | 互联网业务区 | IDS(管理服务器) |
13 | 互联网业务区 | IDS设备 |
14 | 互联网业务区 | 防火墙(网神) |
15 | 互联网业务区 | 防火墙(网神) |
16 | 互联网业务区 | 身份认证防火墙(天融信) |
17 | 互联网业务区 | 网神网闸 |
18 | 互联网业务区 | 虚拟化趋势防病毒系统 |
19 | 互联网业务区 | 虚拟化防病毒服务器 |
20 | 互联网业务区 | 堡垒机(网神) |
21 | 互联网业务区 | 安恒日志审计系统 |
22 | 互联网业务区 | 数据库审计系统 |
23 | 互联网业务区 | 流量复制nettap |
24 | 互联网业务区 | 虚拟化防火墙(迪普DPX) |
25 | 互联网业务区 | 网神网闸 |
26 | 互联网业务区 | 网神网闸 |
27 | 互联网业务区 | 安恒网页防篡改系统 |
28 | 互联网业务区 | 数据库审计系统 |
29 | 互联网业务区 | 安恒综合日志审计系统 |
30 | 互联网业务区 | 启明星辰IDS |
31 | 互联网业务区 | NrtTAP流量复制 |
32 | 互联网业务区 | 主机加固系统服务器 |
33 | 互联网业务区 | 主机加固系统服务器 |
34 | 互联网业务区 | 数据库防护墙系统 |
35 | 互联网业务区 | 漏洞扫描 |
36 | 互联网业务区 | 网络审计 |
37 | 互联网业务区 | 资产发现 |
38 | 业务专网区 | 360****中心 |
39 | 业务专网区 | 360天擎准入系统 |
40 | 业务专网区 | 终端安全管理系统—软件管家 |
41 | 业务专网区 | 终端安全管理系统—数据库 |
42 | 业务专网区 | 终端安全管理系统—P2P |
43 | 业务专网区 | 360****中心(备份) |
44 | 业务专网区 | 终端安全管理系统—数据库(备份) |
45 | 业务专网区 | 终端安全管理系统—软件管家(备份) |
46 | 业务专网区 | 终端安全管理系统—P2P(备份) |
47 | 业务专网区 | 内网 防毒墙(绿盟) |
48 | 业务专网区 | 内网 防毒墙(绿盟) |
49 | 业务专网区 | 内网运维堡垒机 |
50 | 业务专网区 | 内网运维堡垒机发布服务器 |
51 | 业务专网区 | ****税务局内网业务 防火墙(启明) |
52 | 业务专网区 | ****税务局内网业务 防火墙(启明) |
53 | 业务专网区 | 天融信区县集中管理系统 |
54 | 业务专网区 | 数据中心虚拟化防火墙(USG9520) |
55 | 业务专网区 | 数据中心虚拟化防火墙(USG9520) |
56 | 业务专网区 | eSight管理平台 |
57 | 业务专网区 | eSight管理平台服务器 |
58 | 业务专网区 | 趋势虚拟化防病毒系统控制台 |
59 | 业务专网区 | 趋势虚拟化防病毒服务器 |
60 | 业务专网区 | 内网业务出口华为防火墙(USG9520) |
61 | 业务专网区 | 内网业务出口华为防火墙(USG9520) |
62 | 业务专网区 | 安恒日志审计系统 |
63 | 业务专网区 | 安恒日志审计系统日志备份FTP服务器 |
64 | 业务专网区 | 日志备份FTP服务器 |
65 | 业务专网区 | 互联网区网闸 |
66 | 业务专网区 | 横向联网区 防火墙(天融信) |
67 | 业务专网区 | 横向联网区 防火墙(天融信) |
68 | 业务专网区 | 横向联网区 网闸(网神) |
69 | 业务专网区 | 横向联网区 网闸(网御星云) |
70 | 业务专网区 | IDS入侵检测设备 |
71 | 业务专网区 | IDS入侵检测系统 |
72 | 业务专网区 | 政务外网防火墙 |
73 | 业务专网区 | IDS服务器 |
74 | 业务专网区 | 网页防篡改系统服务器/客户端软件(天融信) |
75 | 业务专网区 | 伊通桌面终端管理 UMC |
76 | 业务专网区 | 伊通桌面终端管理 UMC 服务器 |
77 | 业务专网区 | 流量复制 |
78 | 业务专网区 | KVM |
79 | 业务专网区 | 伊通KVM |
80 | 业务专网区 | 北信源终端安全管理系统 |
81 | 业务专网区 | 北信源终端管理服务器 |
82 | 业务专网区 | 网神银税互动防火墙 |
83 | 业务专网区 | 网神网络发票防火墙 |
84 | 业务专网区 | 天融信12366防火墙 |
85 | 业务专网区 | 天融信区县集中管理系统 |
86 | 业务专网区 | NGSOC日志采集探针 |
87 | 业务专网区 | NGSOC日志采集探针 |
88 | 业务专网区 | NGSOC分析平台 |
89 | 业务专网区 | NGSOC关联规则引擎 |
90 | 业务专网区 | 天融信4A审计系统(堡垒机) |
91 | 业务专网区 | 天融信4A审计系统(堡垒机)发布服务器 |
92 | 业务专网区 | 天融信网络审计系统 |
93 | 业务专网区 | 天融信安全管理系统 |
94 | 业务专网区 | 伊通办公防火墙 |
95 | 业务专网区 | 伊通办公防火墙 |
96 | 业务专网区 | 数据库审计系统 |
97 | 业务专网区 | 静态脱敏系统 |
98 | 业务专网区 | 漏扫 |
99 | 业务专网区 | 网络审计 |
100 | 业务专网区 | 资产发现 |
101 | 横向联网区 | 天融信防火墙 |
102 | 横向联网区 | 天融信上网行为审计 |
103 | 横向联网区 | 虚拟化防病毒特征库更新系统 |
(3****税务局关键信息基础设施和重要应用系统的日志信息的转存和备份,及时分析发现处置网络安全事件,定期提交网络安全日志的数据分析和审计报告。
(4****税务局互联网区、业务专网区和横向联网区120余个应用系统,包含50余台物理机、1500余台虚拟化主机的网络安全漏洞管理工作,包含但不限于网络安全漏洞预警、扫描、交接、修复验证等工作,各区域应用系统数量如下:
互联网业务区:门户网站系统、电子税务局系统、增值税发票管理系统、自助办税系统、自然人申报记录系统、电子印章注册系统、社保费系统、重点税源网上直报等23个系统、350余台主机;
横向联网区:外部交换、税收大数据智税平台、社保费征管信息系统、税企直**台、车船税联网征收系统和社保费税银系统等10余个系统、50余台主机;
业务专网区:金税三期管理系统、金税三期预生产系统、数字人事系统、电子税务局系统、ATM自助办税系统、OA综合办公系统、财务管理系统、第三方支付平台、电子档案系统、发票2.0系统、国地税机构改革系统、金税工程运维服务管理平台、综合征管系统、自然人网厅系统、自然人税收管理系统、征管辅助平台、运维管理系统、云桌面监控系统、税收社会化平台、税收大数据智税平台系统、税企直**台、社保费征管信息系统、内部控制监督平台、货物和劳务系统等80余个系统、1150余台主机。
(5)需提供驻场网络安全工程师6名,所有人员需持证上岗(具有注册信息安全专业人员CISP证书)。
(二)互联网应用系统渗透测试和特殊时期安全保障服务
互联网应用系统渗透测试:
(1****税务局现运行及拟上线的互联网区应用系统和移动互联网应用系统进行一次渗透测试,全年共开展四次全面的渗透测试工作。
(2)提供网络安全应急响应服务、漏洞验证服务和安全加固指导等服务。
(3)提供移动APP检测服务,检测工作应覆盖APP程序本身检测和APP涉及接口的检测,并针对Android和IOS平台上的APP终端进行安全风险分析,发现软件自身的安全隐患。
(4)渗透测试应遵循人工渗透测试的标准,对目标进行漏洞检测,要保证在不干扰业务的情况下进行,并且工具应该对检测范围进行明确的规定,不允许扫描探测指定目标之外的其他目标。
(5)渗透测试不允许使用内置后门的工具,保证在检测目标后不会对目标的系统有文件残留,严禁在被测目标系统中遗留带有后门的检测工具。
(6)渗透测试以漏洞扫描验证为主,应对应用系统从Web层面、操作系统层面、数据传输层面、网络层面等挖掘系统的安全漏洞及脆弱性,通过模拟攻击测试,分析系统的安全风险和应对措施,渗透测试过程中不允许有对系统数据修改和文件破坏的行为。
(7)渗透测试应有日志存档,对于渗透目标中的各种漏洞进行详细记录,并且能够以报告的形式集中体现。
(8)渗透测试工作应严格按照《网络安全法》执行,****税务局允许的时间内进行,禁止私自渗透测试。渗透测试开始与结束****税务局负责人进行沟通,渗透测试人员要具备注册渗透测试工程师认证,并与我单位签署《渗透测试授权书》《保密协议》《保密承诺书》。
(9)渗透测试工作以人工渗透为主,辅助以渗透测试工具。渗透测试方法包括:Web层安全渗透、网络传输安全渗透、业务逻辑安全渗透、中间件安全渗透、服务器安全测试等;渗透测试工具包括:信息收集、插件管理、指纹管理、漏洞发现、漏洞利用、后渗透攻击等。
(10)当发生安全事件时要求中标方1小时内到达事件现场,应急响应专家应及时采取行动限制事件扩散和影响,协助检查受影响的系统,在准确判断安全事件原因的基础上,提出整体安全解决方案,排除系统安全风险并协助追查事件来源,开展后续处置工作。
(11)中标方需组建专业能力强、团队配置齐全的渗透测试团队,团队成员应由6人组成,包含2名高级渗透测试工程师(具有CISP-PTS证书)和4名渗透测试工程师(具有CISP-PTE证书)。
特殊时期安全保障:
(1)服务时间:国家及税务行业网络安全保障特殊时期,即两会、国家攻防演练、税务攻防演练、“五一”“十一”“元旦”“春节”等重大节假日;
(2****税务局开展特殊时期网络安全保障工作,负责前期筹备安全自查加固、中期安全监测、应急处置和后期的总结分析等工作;
(3)负责特殊时期安全保障前期的资产排查梳理,安全自查、系统修复验证等工作;
(4)负责制定特殊时期安全保障预案,制定各类网络安全事件专项子预案;
(5)负责对特殊时期保障各参与方进行安全培训和意识教育;
(6)负责开展保障期间日常监测,对互联网区所有应用系统进行7*24小时可用性监测,要求通过短信和邮件等形式发送告警信息;
(7)负责特殊时期各类网络安全事件的应急处置工作以及特殊时期网络安全保障结束后的复盘、分析、总结等工作。
(8)中标方需提供4名特殊时期驻场高级网络安全服务人员,执行特殊时期7*24小时的应急响应服务。
(三)**省税务数字证书系统运维服务
(1****税务局税务数字证书系统的运维服务,提供税务数字证书系统的运行支持保障,对该项目所涉及的服务器、中间件应用以及业务应用软件平台等进行维护管理和操作,并按照后续业务优化情况,对系统进行功能升级。
(2)故障定位和问题处理
协助判断网络连接的问题,如防火墙限制、网络不连通;
涉及操作系统版本环境兼容性问题;
计算机USB接口或证书介质硬件故障;
证书有效性等问题;
税务数字证书注册系统包含多种证书办理业务功能,如新办、更新、重签、补办、注销、冻结、解冻、解锁等,对相关业务场景说明、业务操作流程和业务功能方面提供技术支持服务;
税务数字证书注册系统包含多种操作或管理岗位,如录入、审核、制证、审计、系统管理等,对岗位设置、岗位职能、岗位权限管理等方面提供技术支持服务;
税务数字证书注册系统其他功能如批量数据录入、证书统计、注册机构管理等的技术支持服务;
税务数字证书注册系统远程终端的部署安装,包括客户端控件的安装、操作员证书驱动的安装等方面提供技术支持服务。
(3)运维技术支持服务
内部证书注册系统(RA);
内部证书状态查询系统(OCSP);
外部证书注册系统(RA);
外部证书状态查询系统(OCSP)。
(4)系统出现故障,接到用户技术支持请求后,应立即做出实质性响应,在2小时内提出故障解决方案,4-12小时内恢复系统正常运行。故障解决后48小时内,应提交故障处理报告。驻****总局远程服务人员无法处理的问题。
(四)金税三期应用安全支撑平台运维服务
(1****税务局金税三期应用安全支撑平台系统的运维服务,提供金税三期应用安全支撑平台系统的的运行支持保障,对该项目所涉及的服务器、中间件应用以及业务应用软件平台等进行维护管理和操作,并按照后续业务优化情况,对系统进行功能升级与测试。
(2)应用环境运维服务
对应用安全支撑平台2台应用服务器上运行的应用支撑软件等进行巡检,主要包括服务器磁盘空间使用率、进程使用**、系统日志、LDAP运行状态、memcached运行状态、weblogic进程状态等;
对应用安全支撑平台2台ldap数据库服务器上运行的应用支撑软件等进行巡检,主要服务器磁盘空间使用率、进程使用**、服务器网络情况、系统日志、LDAP运行状态、双机软件进程状态等;
对应用安全支撑平台使用的ldap数据库软件提供调优、故障处理服务等;
对应用安全支撑平**装的weblogic中间件运行状态等进行监控,主要包括所有的server状态、jvm堆栈使用率、server线程状态、单点登录系统数据源状态、用户权限数据源状态和log日志等;
****税务局同意后,进行各项系统级参数的调整、日志空间的整理等,以保证系统的稳定高效运行;
完成对故障事件的收集、过滤、关联和处理等工作,实现对故障的快速定位与处理。
(3)故障处理服务
受理用户通过电话、邮件等各种方式提出的的远程技术支持请求,并在最短时间内进行实质性响应;
系统出现无法登录、登录缓慢等故障或其他问题(非停机性质问题,如系统运行缓慢或不稳定)时,负责诊断应用系统故障原因,并提出故障处理建议或解决方案;
****税务局同意后,完成或协助完成故障排除、系统调优或重置工作;
如果是投标方人员或系统造成的故障,故障解决后24小时内,提交故障处理报告,说明故障种类、故障原因、解决故障的方法及故障导致的损失等情况。
(4)应用系统运维服务
对平台和各功能模块的运行效率、性能、可用性等进行监控和分析,并根据分析结果对系统进行性能优化(包含底层开发平台的优化),包括参数调整、结构扩展和重新部署等。提供单点登录系统、用户权限系统使用过程中相关问题解答服务;
****税务局安全需求,提供单点登录系统参数配置修改、日志审计,包括互斥开关、验证码配置、门户地址和应用系统地址配置等;
****税务局安全需求和业务需求,提供用户权限系统相关操作服务,主要包括添加和修改用户、岗位、身份等以及授予和撤销相关权限等操作服务。
(5)运维管理服务
****税务局要求,积极配合完成该运维服务而开展的研讨、咨询、故障会诊等,并配合制定运维服务管理、监督的各类规章制度和流程;
对于涉及的系统可能存在的具有普遍性或者严重性的问题和隐患,****税务局需要重点保障的特殊时期(如国家重大活动期间),****税务局的统一组织和安排,加强远程服务工作,进行监控值班、检查、排障和调整优化工作,以保障特殊时期系统的稳定高效运行。
(6)其他要求
提供升级与优化相关服务,包括应用系统上线、变更等必要的健康检查、值守保障等,并在升级与优化工作完成后提供升级与优化的相关技术资料;
对应用安全支撑平台项目运行过程中出现的各类问题进行解答,包括系统安全问题,业务安全问题等;
****税务局分析现有的应用安全状况,修补安全漏洞,提高应用安全水平,发现新的应用安全增值服务,规划新的应用安全体系架构;
驻场工程师需具备2年以上运维服务工作经验,熟练掌握数据库管理、操作系统维护、中间件维护和运维管理等方面的知识。
(五)电子签章系统运维服务
(1****税务局电子签章系统的运维服务,保障全省30万小规模以上纳税人办理涉税业务网上电子签章服务,需提供1名驻场运维人员。
(2)负责电子签章系统的运行支持保障,对该项目所涉及电子印章管理系统、电子签章客户端、签章服务器、时间戳服务器、中间件应用以及业务应用软件平台等进行维护管理和操作,并按照后续业务优化情况,对系统进行功能升级与测试,保证系统运行平稳、顺畅;
(3)负责解答各基层税务单位提交的关于电子签章运行的各类问题。
(5)投标人提供本项目的产品支持电子印章数量(纳税人用户数量)须大于40万个,且不向纳税人收取任何费用。同时,****机关电子签章数量300个。保证现有使用电子签章服务的税务应用系统持续、稳定、安全使用电子签章,不影响正常税务业务处理。
(6)电子签章系统(平台)满足税务内外网应用系统和税务人员、税务机构、纳税人电子签章的需求,****建设部署要符合税务网络安全要求。税务专网主要用于税务系统内部工作人员电子****机关电子签章。互联网主要用于纳税人申报资料、涉税文书等涉税资料的签章。
(7)为了确保电子签章系统能够支持**省税务系统目前和今后的业务系统的应用需求,投标人提供的电子签章系统应该遵循以下基本原则:
合法性原则:严格遵循《中华人民**国电子签名法》规范,符合国家安全标准,电子签章系统应该经过国家信息部信息安全检测机构的检测,并获得市场准入资格证明。
安全性原则:电子签章系统所涉及的产品、技术和加密算法要有国家法定机构的认证和审核,使用的密码设备必须是经过相关部门批准生产的密码设备。
严密性原则:所有电子签章软件在签章之前都要通过验证服务器软件来验证电子签章的有效性。
先进性原则:软件系统的设计应该使用当今先进的开发语言和开发工具,使得系统具有较强的生命力,而不至于因为采用的开发技术落后而导致系统被淘汰。
开放性原则:须与现有应用系统进行集成,系统结构设计合理,接口函数齐全,集成开发工作量少。
(8)中标人提供的系统技术支持和保障包括但不限于以下内容:
****税务局要求,本项目服务期内,完成业务需求升级完善和技术服务保障工作,中标人不收取额外费用。
中标人必须提供详细的服务期内技术支持和服务方案,指定专门技术人员远程协助运行系统维护,技术人员必须要有丰富的系统管理及运维经验。****税务局提供电子签章系统软件、签章服务器、时间戳服务器7×24小时电话高级技术支持和服务,对重大问题提供现场技术支持,24小时内到达指定现场。
服务范围包括:系统变更需求的开发完善、系统安装、升级、调试、性能调优、系统日常运行维护服务等。
服务方式包括:电话、互联网、E-MAIL和必要的现场服务等方式。
中标人针对电子签章系统、签章服务器、时间戳服务器提供bug修复、版本升级、故障诊断和必要的现场技术支持;
(9)中标****税务局服务期内电子签章系统运维服务:
基于现有的技术和开发架构对电子签章系统进行运行维护和优化。
对电子签章系统和各功能模块的运行效率、性能进行分析,并根据分析结果进行程序优化(含底层开发平台的优化)、参数调整、结构扩展等。
对电子签章系统发生的故障及时响应,快速解决。优化完善电子签章系统在应用中存在的缺陷以及与基层操作实际不完全符合或操作不方便的程序。
****税务局应用系统使用电子印章功能需要,支持****税务局、第三方应用系统开****税务局相关应用系统(如互联网涉税业务系统、电子税务局等)与电子签章系统做好对接调试工作,确保电子签章系统与其他应用系统能协同工作,为纳税人或税务工作人员提供电子签章服务。
(10)中标****税务局电子签章系统面向终端用户服务内容:
中标人应对软件使用过程中出现的各类问题进行解答。
处理建议应以前台操作为主,能够通过前台操作完成的,不能在后台调整。
中标人应对问题解答风险负责,如因中标人解答不当,造成采购人的损失,中标人应负责相应的赔偿责任。
(11)中标****税务局服务期内电子签章系统服务故障处理:
电子签章系统运行、升级期间出现电子签章系统故障由中标人及时进行处理、解决;
在系统出现非停机性质的故障如系统运行缓慢时,视同系统故障;
对电子签章系统和各功能模块的运行效率、性能进行分析,并根据分析结果进行程序优化(含底层开发系统的优化)、参数调整、结构扩展、重新部署等;
优化完善电子签章信息系统在应用中存在的缺陷以及操作实际不完全符合或操作不方便的程序,配合采购人完成软件升级测试等工作。
(12)中标****税务局服务期内电子签章系统服务项目培训:
为保证电子签章系统可靠、有效地运行,中标人须为税务系统开展能够熟练进行系统部署、管理、维护和操作的一系列培训。技术培训包括但不限于产品使用、系统架构、环境部署和配置、运行管理和维护等内容,业务培训包括但不限于系统的操作方法和技巧培训等内容。中标人须提供针对技术培训和业务培训的具体培训方案,培训方案作为投标书的组成部分参与评标。培训的具体要求,包括但不限于以下要素:
各级操作人员能够熟练的应用电子签章系统顺利的完成各项日常工作;
业务管理人员可以根据业务需要,灵活运用系统,并能为业务管理人员提供相应的业务指导;
系统管理人员和信息技术人员能够支撑电子签章系统的日常管理、运行维护和集成应用;
税务系统其他相关软件开发商对电子签章系统项目有清晰的认识,能够解决电子签章系统与其他各系统间接口交互的各类问题。
(13)功能要求:****税务局电子签章系统应包含电子签章系统软件(电子印章管理系统、电子签章客户端)、签章服务器、时间戳服务器等,各部分功能至少要达到如下要求:
电子印章管理系统对用户进行统一管理、统一监督,提供电子印章的审核、制作、停用、作废等印章全生命周期的管理。每个印章可以绑定多个证书,一个证书也支持绑定多个印章。实现对所有电子印章安全方便的集中管理和对印章的使用进行在线控制,实现电子印章统一监管、印章使用流程可控。
电子印章生成:利用税务数字证书介质(至少支持金税盘、****税务局统一采购的USB-Key),实现电子印章的生成。
电子印章更新:电子印章更新包括对印章所绑定数字证书目标的更**电子印章印模的更新。
电子印章停用:电子印章临时丢失时,可由电子印章管理员对印章执行停用操作;停用后的电子印章可以恢复使用,取消停用后的印章可继续使用。
电子印章销毁:电子印章丢失或有人员变动时,对于不用的电子印章可执行销毁操作,销毁后的电子印章不能再解除销毁,但是销毁后的印章可以进行重新制章和授权使用,跟新的人员或部门使用。
电子印章查询:电子签章系统支持通纳税号、印章名称、签章人、日期、****机关等信息进行查询,并对处于启用、停用和销毁状态的印章进行查询和统计。
系统管理:
主要是完成系统基础数据的设置,包括组织机构设置、系统用户管理、系统角色管理、系统权限管理等功能。
组织机构设置:设置电子印章制作系统中涉及的组织机构,本系统支持多级组织机构,支持树型组织机构的管理,进而使得电子印章制作系统支持集中部署,分级管理的应用模式。
系统用户管理:输入电子印章用户的基本信息,并且给特定用户分配一定的角色,便于为特定用户群分配系统权限。
系统角色管理:设置系统角色,通过角色,把相同性质的用户组织在一起,便于系统权限的分配。
系统权限管理:为特定角色的用户分配系统权限,支持分级授权制章和分级审计管理。
电子签章认证主要处理证书和印章、签名的验证,以确保签章的合法性。主要进行以下认证:
数字证书合法性认证:验证数字证书是否由指定的合法颁发机构颁发。
电子印章有效性认证:根据税务数字证书的个人身份信息的绑定,可以通过查询用户证书来确认用户身份的的有效性;通过印模管理模块可以查询到印章或个人签名的有效性,包括印章和签名的起止时间和所属人等。
数字证书有效期认证:验证数字证书是否在有效期之内。
数字证书废止认证:签章系统****中心获取废止的证书列表CRL,验证证书是否被废止。
存储介质的挂失或销毁:即使税务数字证书仍在有效期内,如果存储介质遗失或其他特殊原因,需要停用某个电子印章。可通过管理系统中的挂失或注销功能停用印章。
电子签章系统的用户身份认证要同时处理证书和印章的验证,以确保用户身份的合法性和用章的安全性。
数字证书合法性验证需符合税务数字证书认证规范。
电子印章管理系统提供完善的后台操作日志记录和审计,至少包括签章记录,撤章记录等,按照国家等级保护条例,系统审计由专人独立进行审计。
审计内容:审计内容包括系统登录、电子签章管理与认证系统内的所有相关操作,签章、撤章、打印操作,非法访问操作、操作失败等日志信息。
审计日志:包括签章日志、撤章日志、打印日志、验章日志等用章日志,和系统登录日志、非法操作日志、签章管理日志、签章授权日志等系统操作日志。
操作系统兼容性:需支持Windows XP(SP3)及以上版本Windows系列操作系统;
浏览器兼容性:支持Internet Explorer(IE6.0及以上所有版本)、360(支持IE和Chrome双内核)、FireFox、Chrome等主流浏览器;
集成接口兼容性:提供完善的接口集成方式,支持B/S及C/S架构的应用系统集成。
客户端软件主要包括以下主要功能:文档签章、撤消签章、印章显示、多页盖章、联合签章、版式文件签章、带时间戳签章等功能。
文档签章:支持手工定位、关键字定位、坐标定位等签章定位方式,并提供相应数据接口,以便与各类税务应用系统在不同业务场景的集成需要。
撤消签章:撤消选定的签章,使该签章对文档的效用消除。只有在插入签章时所用的证书存储介质,并输入签章口令,才能完成撤销签章。
印章显示:印章显示不会因为分辨率的大小而改变位置,同时印章在有客户端的环境下自动进行验证:验证通过,印章正常显示;验证不通过,印章显示失效标识,同时提醒用户,文件已被篡改。
多页签章:一次盖章动作可以自动在指定多页同一位置处同时完成多处签章,位置则是通过域定位方式来实现盖章位置。
联合签章:当同一文档需要有多个电子印章保护时,可以通过接口调用来实现多个签章同时保护电子文档,每个印章都形成对文档的保护,其中任何人改动了文件,都可以鉴别出来。
版式文件签章:支持多种版式文件格式,至少包含PDF、OFD两种。其中,需要厂商具备独立的版式文件技术,可以在完税证明等应用场景中针对电子文件的版式结构提供相应支持。
带时间戳签章:文件签章时需包含时间戳,验证签章时需同时验证时间戳。
主要验证文档内容是否被篡改并显示证书和签章信息。
证书验证:已签章文档,可以通过客户端接口验证签章者所用数****机关颁发。
文档内容验证:已签章文档,可通过客户端接口验证文档内容在签章后是否被篡改。
签章印模验证:已签章文档,可通过客户端接口验证签章所用印模在签章后是否被替换或修订。
签章服务器:签章服务器需要提供两部分功能,一部分是提供电子文件的批量签章:批量签章时,数字证书保存在服务器加密设备中,签章过程无需用户操作,批量完成对电子文件执行的盖章操作;第二部分功能是提供电子签章文档的验证功能,主要是验证签章文档证书的有效性和签章文档是否被篡改。
批量签章:签章服务器需要提供批量签章的API接口,业务系统通过调用批量签章接口,把需要批量签章的文档一次性全部盖章。批量签章API提供Java、c#、Web Service等方式的调用方式,方便业务系统选择不同的接口进行集成。
签章验证:对于盖完章的文件,如何确保印章和签章人的有效性是保证业务流程正常运转的基础。业务系统接收到客户端已完成签章的文件后,通过调用签章验证服务的接口对签章文件进行有效性验证。
时间戳服务器:电子签章系统加盖章电子签章时,需要利用时间戳服务器支持带时间戳的电子签章,以保证盖章时间的准确性和可验证性。
时间同步:与时间源服务器进行精确时间同步,为时间戳服务提供时间校准。
保持与时间源服务器的时间同步;
为电子签章提供盖章文件的时间戳服务;
为电子签章提供对盖章后文件的时间戳验证服务;
为应用系统或应用客户端提供时间戳签发服务;
为应用系统或应用客户端提供时间戳验证服务;
保存所有签发的时间戳,提供时间戳取证服务。
证据保存:
保存所有签发的时间戳到数据库,记录内容包括:生成时间、序列号和时间戳的完整编码;
记录审计日志,包括客户端请求、签发的时间戳,时间戳生成时间等信息;
提供时间戳的查询与统计服务,可按照时间戳的生成时间、时间戳唯一序列号、时间戳值等多种方式对时间戳进行检索。
时间戳数据与审计日志的审计和归档。
部署要求:
根据税务网络结构和业务****税局建设部署税务电子签章服务平台。税务电子签章服务平台既可以为部署在税务内网的应用系统和税务人员提供电子签章服务,也可以为部署在税务外网的应用系统和纳税人提供电子签章服务。纳税人、税务人员、税务机构的电子印章统一由税务工作人员进行管理。
在税务内网,为部署在税务内网的应用系统提供电子签章服务,为税务人员提供电子印章制作、电子印章管理服务,税务人员通过使用与电子系统集成的税务应用系统实现电子签章(包私章和公章)的加盖与验证。
在税务外网,为部署在税务外网的应用系统提供电子签章服务,为纳税人提供电子印章制作、电子印章管理服务,纳税人通过使用与电子系统集成的税务应用系统实现电子签章的加盖与验证。
税务电子系统签章系统包括税务电子印章管理系统、时间戳服务器、签章服务器和配套的电子签章客户端工具和相关接口组成,还需要配合已经发放的数字证书介质一起构成整套税务电子签章系统。
其它要求:
品名 | 参数 |
电子签章系统软件 | 1. ****总局税务数字证书系统签发的数字证书,须与税务数字证书系统集成; 2. 支持纳税人持有的税控盘、金税盘、usbkey等税务数字证书介质; 3. 电子印章在线注册、生成和全生命周期管理; 4. 电子签章用章审计; 5. 支持版式文件(PDF、OFD)盖章与验证; 6. 支持带时间戳的电子签章盖章与验证; 7. 签章客户端兼容Windows XP(SP3)及以上版本Windows系列操作系统; 8. 支持Internet Explorer(IE6.0及以上所有版本)、360(支持IE和Chrome双内核)、FireFox、Chrome等主流浏览器; 9. 提供完善的接口集成方式,支持B/S及C/S架构的应用系统集成; 10. 支持大于1500用户并发盖章操作; 11. 支持用户数量大于40万户。 |
电子签章服务器(电子签章专用密码设备) | 1.****总局数字证书系统签发的数字证书,须与税务数字证书系统集成; 2.支持****机关电子公章,托管数量大于等于300; 3.专用设备,一体化主机系统,专用操作系统,机架式服务器机箱; 4.网络接口数量≥2个千兆电口; 5.采用高速硬件实现RSA加密,支持1024和2048位密钥长度; 6.采用高速硬件实现国密SM1、SM2算法,支持256位SM2位密钥长度; 7.采用高速硬件支持国密局标准SM3、SM4加密算法; 8.支持多对非对称密钥的生成、更新、销毁、导出公钥等密钥生命周期管理; 9.私钥存储在密码卡中,不能存储在文件系统中; 10.支持灌装数字证书,并依据数字证书生成和管理对应的电子印章; 11.支持对接数字证书状态在线查询系统(OCSP),实时验证证书有效性; 12.支持OFD、PDF等格式的版式文件签章、验章; 13.支持电子签章服务端批量验证签章; 14.支持电子签章服务端批量签章; 15.并发连接数大于2000; 16.提供二次开发接口,接口支持语言至少包括C/C++接口和符合J2EE规范的接口; 17.支持双机热备功能; 18.SM2算法签名速度大于4000次/秒; 19.SM2算法验签速度大于2200次/秒; 20.RSA 1024位密钥签名速度大于8000次/秒; 21.RSA 1024位密钥验证速度大于18000次/秒。 |
时间戳服务器(时间戳专用密码设备) | 1. ****总局数字证书系统签发的数字证书,须能与税务数字证书系统集成; 2. 专用设备,一体化主机系统,专用操作系统,机架式机箱; 3. 网络接口数量 ≥2个千兆电口; 4. 采用符合国密标准的高速硬件加密部件,关键算法都是硬件实现; 5. 高速硬件实现RSA加解密,支持1024和2048位密钥长度; 6. 高速硬件实现国密SM1、SM2算法,支持256位SM2位密钥长度; 7. 高速硬件实现支持国密局标准SM3、SM4加密算法; 8. 支持多对非对称密钥的生成、更新、销毁和导出公钥等密钥生命周期管理; 9. 支持导入税务IA签发的数字证书作为系统设备证书; 10. 支持双机或多机负载均衡; 11. 面向应用系统提供C/C++接口和符合J2EE规范的时间戳盖戳和时间戳验证接口: 12. 支持与时间源进行精确时间同步; 13. 时间精度小于1ms; 14. RSA算法时间戳盖戳速度大于4000次/秒; 15. RSA算法时间戳验戳速度大于18000次/秒; 16. SM2算法时间戳盖戳速度大于3000次/秒; 17. SM2算法时间戳验戳速度大于2000次/秒; 18. 并发连接数大于3000。 |
六、服务地点及服务期限
服务地点:****总局****税务局(****关区**大路1518号)。
服务期限:
(1)网络安全运维服务:合同签订后1年;
(2)互联网应用系统渗透测试和特殊时期安全保障服务:2022.****.01至2022.****.31;
(3)**省税务数字证书系统运维服务:合同签订后1年;
(4)金税三期应用安全支撑平台运维服务:合同签订后1年;
(5)电子签章系统运维服务:2022.****.01至2022.****.31。
七、资料交付
中标方需提交一套可保存的、并容易查阅的中文文件,文档要求以纸质和电子格式提供,文档内容包括但不限于:
(一)网络安全运维服务:
每月提交如下(1)-(6)内容:
(1)《7*24小时网络安全运维报告》
(2)《网络安全漏洞扫描报告》
(3)《网络安全漏洞交接单》
(4)《网络安全漏洞修复情况报告》
(5)《综合日志审计报告》
(6)《数据库审计报告》
(7)《网络安全应急响应工作总结》
(二)互联网应用系统渗透测试及特殊时期安全保障服务:
每季度提交(1)-(3)内容:
(1)《项目实施计划》
(2)《渗透测试报告》
(3)《渗透测试验证报告》
(4)《App安全测试报告Android版》
(5)《App安全测试报告IOS版》
(6)《应急响应报告》
(7)《网络安全保障预案》
(8)《特殊时期网络安全保障总结报告》
(9)《特殊时期应急处置报告》
(三)**省税务数字证书系统运维服务:
(1)《税务数字证书系统运维服务月报》
(2)《税务数字证书系统问题处置记录》
(3)《税务数字证书系统运维服务年度总结》
(四)金税三期应用安全支撑平台运维服务:
(1)《金税三期应用安全支撑平台运维服务月报》
(2)《金税三期应用安全支撑平台问题处置记录》
(3)《金税三期应用安全支撑平台运维服务年度总结》
(五)电子签章系统运维服务:
(1)《电子签章系统运维服务月报》
(2)《电子签章系统问题处置记录》
(3)《电子签章系统运维服务年度总结》
八、项目验收
中标方服务期满后,须出具齐全的网络安全运维服务、互联网应用系统渗透测试和特殊时期安全保障服务、税务数字证书系统运维服务、金三应用安全支撑平台运维服务和电子签章系统运维服务的各项运维服务报告,报项目使用部门进行审批。审批通过后,由中标方提出项目验收申请,项目使****税务局相关部门对该项目进行验收,验收时将参照项目招标服务需求,逐项考察服务满意度、应急响应情况、文档交付情况、专业技术能力和服务整体质量等方面,验收通过后出具项目验收报告。
九、履约保证金
中标方在中标后,合同签订前,向甲方支付合同总金额10%的履约保证金,未能缴纳履约保证金的,视为放弃中标。中标方服务期满,经验收合格后,返还履约保证金。
十、支付方式及时间
(1)合同签订之后,支付合同总金额的43%;
(2)2022年9月1日后经验收通过后,支付合同总金额的57%。
十一、保密原则
中标方****总局****税务局书面批准的情况下,不****总局****税务局认为涉及数据安全的观点、数据、系统结构信息、测试结论以及测试记录等传播、披露和使用。****总局****税务局同意,中标方不得擅自修改任何程序和数据。同时,中标服务方进场****税务局签订《网络安全保密协议》,为本项目提供服务的所有技术人员须签署《网络安全保密承诺书》,并提供所有技术人员的无犯罪证明记录。
十二、合同罚则
为保障服务质量,参照《网络安全法》和《****总局****税务局信息技术外包服务网络安全管理办法》第二十二条规定“外包服务机构所负责运维的应用系统在国****总局组织的攻防演练中、渗透测试服务和网络安全自查发现的高危漏洞,拒不改正或者导致危害网络安全等后果的,参照网络安全法有关条款,扣服务费一万元以上十万元以下”。由于中标方渗透测试服务未能发现的漏洞,造成税务系统网络安全攻防演练和互联网漏洞绩效考核失分的,扣服务费一万元以上十万元以下;网络安全运维服务和特殊时期安全保障工作中,由于中标方监测不到位、未及时封禁攻击IP、未采用有效应急措施、运维服务不当等原因造成网络安全事件,扣服务费一万元以上十万元以下。同时因上述原因造成重大影响和经济损失的,甲方有权追究中标方的责任。
换一批