采购品目：信息技术服务

采购需求：依据《中华人民**国网络安全法》、《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）等政策标准，优化风险优先级，提升引江济汉工程集控平台及工控网络安全防护能力。对****泵站、进水节制闸、**渠分水闸、拾桥河上游泄洪闸、拾桥河下游泄洪闸、拾桥河左岸节制闸、高石碑出水闸的现场总线控制系统、数据采集与监控系统、现地控制柜、闸控系统（上位机）、集控平台和传输网络设备设施开展网络安全防护技术服务。1．安全配置管理。全面梳理工业控制系统及其相关设备、软件和数据的资产，建立安全配置清单，包括但不限于系统配置、权限分配、日志审计、病毒查杀、数据备份、设备运行状态等情况。强化账户及口令管理，避免使用默认口令或弱口令，调整相应工控网络硬件设备设施及软件系统安全配置。2．架构与边界安全管理。根据承载业务特点、业务规模、影响工业生产的重要程度等因素,对域内网络和系统实施分区分域管理,实现域间横向隔离。制定和配置网络访问控制策略,避免设备违规接入。制定访问策略,对必要开通的网络服务开启限制访问范围和授权等。拆除或封闭工业主机上不必要的通用串行总线(USB)、光驱、无线等外部设备接口,关闭不必要的网络服务端口，进行严格访问控制管理。通过截取系统调用实现对文件、录进程、注册表和服务的强制访问控制,结合文件和服务的完整性检测、防缓冲区溢出等功能,将普通操作系统透明提升为安全操作系统。3. 双向网闸。实现工业网络环境中不**全级别网络之间数据安全交换的隔离系统,有效防止客攻击、恶意代码和病毒渗入,同时防止内部机密信息的泄露,实现网间安全隔离和信息交换。安全隔离与信息交换系统集文件交换、数据库访问和同步、视频交换、组播代理、访问交换、 工业控制等功能模块于一体,保障用户信息系统安全性的同时,保证应用的方便性。4．工控主机卫士（IEG）。针对操作员站、工程师站、数据服务器等工业现场主机进行可执行程序管理,防止病毒木马等恶意程序感染的安全软件产品,采不同于传统防病毒软件的轻量级”白名单”机制,系統**占小，不影响工控系统监控软件和组态软件的正常使用,可有效阻止包括STUXNET、Flame、 Havex、 WannaCry、BlackEnergy等工控恶意程序或代码在工控主机上的执行、扩散。采用应用软件白名单技术,升级操作系统、数据库等系统软件和重要应用软件。产品具有用户身份鉴别,访问权限控制、外设控制、完整性校验、日志审计等功能,采用集中式管理, 满足国家信息安全等级保护和分级保护标准中关于安全计算环境的相关技术要求。5．工控安全U盘。安全U盘是基于安全芯片的移动存储设备,产品充分利用移动存储白名单系统的**全、高性能、高功效等特性,可实现工控主机对移动存储设备从加载到卸载的全生命周期的安全保证。6．系统数据安全管理。梳理工业控制系统运行产生的数据,结合业务实际,开展数据分类分级,识别重要数据和核心数据并形成目录。围绕数据收集、存储、使用、加工、传输、提供、公开等环节,使用访问控制、容灾备份等技术对数据实施安全保护；法律、行政法规有境内存储要求的重要数据和核心数据,依法依规进行数据安全管理。7．工控网络传输链路完善与升级。重整工控网络数据传输线路和路由，修复主要节点光纤和以太网物理链路。针对内网承载业务数据类型，调整内网以太网业务通道配置，分配业务带宽，进一步保障数据传输的确定性。8．工控网络架构优化。全线工控网络（内网）连接情况排查，识别网络安全隐患，调整和切换完善路由、交换机和光电转换器等工控专网传输节点，调整接入层和汇聚层之间的

服务响应说明：完全满足