金税三期工程第二阶段信息安全技术项目.docx
《金税三期工程第二阶段信息安全技术项目.docx》由会员分享,可在线阅读,更多相关《金税三期工程第二阶段信息安全技术项目.docx(56页珍藏版)》请在冰豆网上搜索。
金税三期工程第二阶段信息安全技术项目
金税三期工程第二阶段信息安全技术项目
(第3包:
信息安全策略与集成服务包)
竞争性磋商文件
技术部分
项目编号:
GXTC-CZ-1501032
采购人:
国家税务总局
采购代理机构:
国信招标集团股份有限公司
二〇一五年十一月
第一章金税三期工程项目背景
1.1国家税务总局及其下属税务机构简介
国家税务总局是国务院主管税收工作的直属机构。
自1994年分税制改革后,我国实行国家、地方分级核算的财政体制,国家税务总局对全国国税系统实行垂直管理,并协同省级人民政府对省级地方税务局实行双重领导。
国家税务局系统和地方税务局系统(西藏自治区仅设立国家税务局)从省级以下按照行政区划分别设立税务管理机构,各自负责中央税收收入和地方财政收入的组织工作。
国家税务局系统由国家税务总局在业务、经费、人事等方面实行中央垂直管理;地方税务局系统省以下实行垂直管理,省级地方税务局由国家税务总局协同省级人民政府实行双重领导。
1.2金税三期工程建设目标
税务信息化建设的总体目标,就是要建立和完善中国税收管理信息系统,简称为“金税工程”,英文缩写为“CTAIS”。
金税三期工程是“金税工程”的建设阶段,它将建立在十多年税务信息化建设的基础之上,按照轻重缓急的原则,通过业务重组、技术重构、功能整合,分期分批逐步实施,最终完成中国税收管理信息系统的建设。
金税三期工程将按照“国际先进,中国特色”的要求,通过完成“一个平台、两级处理、三个覆盖、四类系统”的建设,建成一个网络覆盖率达100%、年事务处理量近100亿笔、税务机关内部用户超过60万人、纳税人及外部用户超过亿人(户)的全国税收管理信息系统。
该系统将统一全国国地税征管应用系统版本,规范全国税收执法;实施全国征管数据大集中,实现监控全国征管数据;规范纳税服务平台,优化纳税服务;建设决策支持平台,及时、完整、准确地为决策、管理提供信息,进一步提高税法遵从度和税收征收率。
国际先进,是指借鉴国际税收管理的先进理念和经验,主要有:
将促进税法遵从作为税务机关的主要任务和战略目标,优化服务,规范执法;树立税收风险管理理念,为实施风险管理提供信息化支撑;运用国际先进、成熟的信息技术建设现代化的税收管理、服务信息系统,以提高服务和执法的质效等。
中国特色,是指影响我国税务机关学习借鉴国际先进理念、经验的环境和因素,主要有:
行政层级的多级性和中央与地方财权的复杂性;国地税系统业务和管理的差异;东、中、西部地区以及城市、农村经济发展的不平衡等,上述这些特色要求在学习借鉴国际先进理念和经验时,针对中国特色,找准结合点。
“一个平台”是指建立一个包含网络硬件和基础软件的统一的技术基础平台。
“两级处理”是指依托统一的技术基础平台,逐步实现税务系统的数据信息在总局和省局集中处理。
“三个覆盖”是指应用内容逐步覆盖所有税种,覆盖税收工作的主要工作环节,覆盖各级国地税机关,并与有关部门联网。
“四类系统”包括税收征管、纳税服务、决策支持和行政管理等系统。
1.3金税三期工程第一阶段主要建设成果
金税三期工程第一阶段运用国内外先进、成熟的税收管理理念和信息技术,借鉴政府和金融、电信等行业信息化建设规划和实践经验,通过业务重组、技术重构、功能整合,初步建成“国际先进、中国特色”的税收管理信息系统并在6个试点省成功运行,为征纳双方提供一体化、人性化、智能化、持续改进的信息化管理平台。
一是完成制度和标准规范建设,形成税务标准规范体系和税收信息化管理制度;二是完成税收业务需求的分析与整理;三是完成税收信息化的总体规划设计,推动业务变革、技术创新,建立了包含业务、应用、数据、技术、安全、运维等内容的总体架构体系;四是开发完成征收管理、行政管理、决策支持、外部信息四大类应用系统并在6个试点省成功上线运行;五是完成金税三期新建系统同总局和试点省现有保留应用系统整合,实现新老系统的有效对接;六是建成总局数据中心(南海);七是充分运用信息技术的最新发展成果完成试点单位信息基础设施的建设改造及运行维护体系建设;八是完成税务系统信息安全体系的总体构建及安全策略的制定,完成对试点单位安全管理系统、安全基础设施、应用安全支撑平台建设,以及对网络系统、应用系统和安全基础设施的安全等级测评和风险评估;九是完成全国税务系统五级网络建设,建成覆盖全国税务系统的综合性通信平台,网络覆盖总局数据中心、南海数据中心、71个省级局、800多个地市级税务局、近6000个县(区)级税务局、近30000个税务分局(所)。
1.4金税三期工程第二阶段主要建设任务
金税三期工程第二阶段将在充分吸收第一阶段试点建设经验和系统开发成果的基础上,通过分期分批逐步实施,完成应用系统在全国其余30个省级单位(含5个计划单列市)的快速推广部署,完成金税三期工程在税务系统的全覆盖。
按照国家税务总局工作安排,计划将在2015年内完成14个省(区)单轨上线工作,包括河北省、宁夏回族自治区、贵州省、云南省、广西壮族自治区、湖南省、青海省、海南省、西藏自治区、甘肃省、安徽省、新疆维吾尔自治区、四川省、吉林省等;计划将在2016年内完成16个省(市)单轨上线工作,包括辽宁省、江西省、福建省、厦门市、青岛市、北京市、黑龙江省、天津市、陕西省、湖北省、大连市、上海市、江苏省、浙江省、宁波市、深圳市等。
金税三期工程第二阶段主要建设内容为:
(1)完成征收管理、行政管理、决策支持和外部信息等四大类应用系统在全国30个省(含5个计划单列市)的全面推广,同时完成地方特色软件改造及同总局保留系统的接口改造;
(2)开展应用系统的优化及补充开发,具体包括国家财税体制改革、税务服务与管理创新导致的需求变化、技术创新或架构优化导致的架构变化、系统运行和推广实施过程发现的程序问题、性能调优导致的程序开发以及软件衔接新增接口等几个方面;(3)实施总局数据集中及数据资源的建设与开发;(4)完成2个国家级、30个省(自治区、直辖市、计划单列市)税务处理中心的扩容,包括计算存储资源、系统软件及备份系统建设等,提高各推广单位数据处理能力;(5)完成各推广省税务处理中心局域网的补充建设;(6)完成各推广省同总局数据中心(南海)间的数据容灾系统建设;(7)完成各推广省相关安全体系建设;(8)完成各推广省终端系统补充建设;(9)完成各推广省相关运行维护体系建设;(10)进一步完善金税三期工程相关标准规范,并进行全面培训、推广及应用;(11)按照国家在云计算、大数据、互联网+等方面的战略部署,适应国家财税体制改革及税制改革要求,适应税收管理现代化要求,在系统优化及全面推广工作中,进行相关的创新性研究及部署;(12)根据项目建设需要,对项目管理人员,系统管理人员、信息技术人员和税收业务人员进行相关培训。
第二章安全策略与集成服务概述
2.1项目总体定位
金税三期工程信息安全保障体系的建设是依据国家关于加强信息系统安全保护的要求,根据税务系统的实际需要,基于现代信息系统安全保障理论,采用现代信息安全保护技术,按照一定规则和体系化的信息安全防护策略进行的整体建设。
金税三期工程信息安全保障体系覆盖范围包括:
总局信息系统、省级国税信息系统、省级地税信息系统以及支撑上述信息系统的网络系统。
金税三期工程通过建立自顶向下的总体安全架构体系,通过一个相对完整的信息安全体系架构全面规划和指导金税三期工程的信息安全建设。
2.2项目建设目标
信息安全体系建设的总体目标是:
基于现代信息安全理论,遵循国家标准,采用目前国内外先进的信息安全技术,建设涵盖税务系统的网络、应用和管理等各个方面的统一、安全、稳定、高效的信息安全体系,并根据税务系统信息化建设进程制定税务信息安全体系建设的分步实施方案,建成完整的税务系统信息安全保障体系。
建立税务系统信息安全运行与管理的基础平台,构建税收业务系统信息安全支撑体系,保证各种税务业务应用的安全运行,通过技术手段实现税务信息系统安全可管理、安全可控制的目标,使安全保护策略贯穿到信息系统的物理环境、网络层、系统层、应用层、数据层和管理层的各个层面。
实现总局和省级局高度集中处理税务数据的安全保护,支持征管业务、行政管理、决策支持、外部信息等四大应用系统的安全需求,建立包含策略管理在内的安全管理系统和安全管理组织,构建安全管理平台和安全事件分析系统,建立税务系统信息安全体系的技术标准、规范、规章制度,使安全体系实现功能齐全、协调高效、信息共享、监控严密、安全稳定、保障有力等建设目标。
2.3项目建设原则
金税三期工程第二阶段各项目总体上应遵循“统筹规划、统一标准,突出重点、分布实施,整合资源、讲究实效,加强管理、保证安全”的建设原则。
1、统筹规划、统一标准。
在网络安全和信息化领导小组统一领导下,综合考虑各方面实际情况,按照一体化指导思想,制定科学合理、切实可行的税务系统信息化建设目标,包括远期目标和近期目标,统一进行工程规划设计。
建立统一的技术基础平台和统一规范的征管业务流程,在工程实施过程中严格遵循相关标准。
2、突出重点、分步实施
综合考虑人力、物力、资金等多方面因素,根据税收征管工作实际,把总体目标具体分解为若干阶段性任务,合理安排运筹,并集中力量解决不同阶段的重要问题。
3、整合资源、讲求实效
充分利用以往信息化建设积累的可用资源,按照工程总体设计实现资源整合,增加相互之间的兼容性,实现不同系统和软件的优势互补,根据新要求进一步拓展、完善和提升应用系统的功能与质量,逐步实现金税三期工程的总体目标。
4、加强管理、保证安全
加强信息化建设管理是保证信息化建设成败的关键。
要借鉴国外先进的科学管理办法,建立和完善项目管理制度,确保信息化工程建设质量。
同时建立信息化管理责任制,按照新理念,采用新办法,依靠新手段,加强信息系统运营管理,完善安全措施,确保税收这一国民经济关键性信息系统的安全运行和功能的充分发挥。
2.4项目总体架构
安全体系总体架构蓝图包括:
信息系统的物理环境、网络、操作系统和数据库系统、业务应用、数据保护、运行管理等多个层面。
建设税务信息系统完整的信息安全保障体系,能够针对税务信息系统面临的各种安全威胁,在网络、系统、应用、管理等各个层面为税务信息系统提供全面的安全保护。
2.5项目建设现状
在金税三期第一阶段中,已经完成总局和试点省份的安全建设投资,建设完成了证书认证系统、权限管理系统、应用安全支撑平台、网络安全防护系统和安全管理系统,完成了税务系统安全体系方案设计,同时制定了信息安全标准、规范及制度。
安全策略体系:
建设了国际领先、中国特色的安全策略体系,建成的安全策略体系以数据保护为核心,通过数据分级,针对基础设备设施、应用系统与网络环境进行分级,并根据其承载数据级别的不同对其安全控制措施要求进行分级。
同时,通过设备设施、安全设备设施策略和应用系统软件开发安全策略要求,规范并描述其控制措施要求。
安全管理体系:
完成了安全体系的整体设计与安全制度体系文档编写工作,包括安全体系的整体设计框架策略、岗位职责设计制度、安全人员管理制度、安全建设管理制度、安全运维管理制度等总体的安全管理制度,同时还完成了针对各节点的终端安全管理制度及安全培训制度等。
完成了安全对象管理、规划建设安全管理、风险评估管理、等保管理、安全检查管理、安全事件管理、安全评价管理、安全配置管理、访问控制策略管理、安全应急管理、安全预警管理、安全退服管理、安全培训管理、安全评价管理模块的开发工作,同时完成了在各试点的系统实施部署工作。
基础防御体系:
完成了总局及试点省应用安全支撑平台的建设,实现了税务系统内部用户和外部用户集中统一的用户和权限管理、系统级访问控制管理,为各应用系统提供用户信息共享服务、统一身份认证服务、单点登录服务、数字签名验签服务、通道传输加密服务等。
完成了总局和试点省份的安全域边界防火墙、IPS等设备的建设,网络审计、数据库审计、4A审计建设以及广域网的密码机建设。
2.6项目投标要求
候选供应商应在合同约定的时间内提供本项目中规定的全部内容,承诺与本项目的相关单位,包括国家税务总局、税务系统(含地税系统)内各项目单位,进行积极主动的合作。
候选供应商在实施过程中必须服从国家税务总局的统一协调,国家税务总局有权裁决项目执行各方的责任范围,候选供应商必须无条件执行,并在规定的时间内解决问题。
如果任意一方不配合国家税务总局工作,严重影响工程进度、造成严重后果,国家税务总局有权退货、索赔或拒付款项。
在本项目合同规定的服务期内,对本项目所有软件及授权License,国家税务总局拥有在全国税务系统(含地税系统)内任意安装、使用、调整、分发等全部权利,无需取得候选供应商的额外授权。
2.6.1对候选供应商的基本要求
本项目由符合国家有关法律法规规定、同时满足本项目资格要求、在中国境内注册的合格候选供应商均可参与投标。
候选供应商资格条件:
本项目拟由具有系统集成和软件开发能力的供应商参与投标,要求候选供应商应具有履行本项目合同所需的技术实力及相关资质,必须满足以下条件:
1、本项目由符合国家有关法律法规规定、同时满足本项目资质要求、在中国境内注册的具有系统集成和软件开发能力的安全服务厂商作为候选供应商。
2、候选供应商必须具备《政府采购法》第二十二条的规定。
3、本项目不接受联合体作为候选供应商、不得转包或分包。
4、候选供应商应具有ISO9001:
2008质量管理体系认证资质。
5、候选供应商应具有ISO27001信息安全体系认证资质。
6、为本采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,不得再参加该采购项目的其他采购活动。
7、符合和满足本项目其他要求和资质条件。
候选供应商相关要求:
1、本项目不接受联合体投标;
2、候选供应商应了解和熟悉政府采购制度的有关规定,能提供使采购人满意的优质服务,并能够严格执行招标文件的有关规定和履行投标承诺;
3、候选供应商应提供招标要求规定的全部投标文件,包括投标文件正本1份,副本5份,电子文档1份,开标一览表正本1份;
4、候选供应商应详细审阅全部招标文件(包括招标文件澄清函),理解招标文件的所有条款;
5、候选供应商应保证按招标文件要求,提供令招标人满意的服务和交付物;
6、候选供应商应承诺接受招标文件中全部合同条款,且无任何异议;保证忠实地执行双方所签订的合同,并承担合同规定的责任和义务;
7、候选供应商应承诺完全满足和响应招标文件中的各项商务和技术要求,若有偏差,应在投标文件中明确说明。
2.6.2对投标书的基本要求
一、候选供应商必须针对技术部分中的需求逐个或分块作出实质性响应,其响应与招标文件内容采用同样的顺序。
对每个需求的响应必须遵循如下规则:
1.重复该需求。
2.用“是/否”响应来表明该需求是否被满足(描述需求)。
3.简要描述投标书或候选供应商案如何满足该需求,如果该响应在投标书其它部分有详述,可在该处简单应答,但必须给出确切的位置索引。
4.解释投标书或候选供应商案与用户需求之间的偏差;用数量来表示的需求,必须用确切的数字、单位来响应。
二、对标书技术部分需求的应答应至少包含以下具体细节:
1.对项目的描述
候选供应商必须在充分理解招标文件中描述的用户需求和技术方案的基础上,根据招标文件有关章节提供的材料以及所了解的税务信息系统建设的情况,提供对本项目的理解和详细描述,针对本项目的相关单位(包括国家税务总局和各省级单位)用户要求,承诺通过客户化定制开发,满足招标人列出的所有需求。
同时应对投标文件中所提供的设备如何适用于采购人的需求作详细的说明。
此项内容作为考察候选供应商是否具备完成本项目能力的重要依据。
2.对技术需求的完全响应,具体包括:
(1)对技术方案的响应
在投标文件中详细阐述设计方案、集成开发和应用软件开发方案、系统安装调试实施方案、数据迁移方案、验收计划方案等各项内容。
(2)对设备或软件技术规格需求的响应
投标文件的内容应该包括招标人要求的全部软件、硬件设备及其相关的介质、模块、连接设备、电缆以及招标文件中未列出的但属于建设内容的部分等。
候选供应商必须逐一说明建议的每个软件、硬件及模块的名称、版本或型号/部件号,并注明合法使用期限。
若中标的软硬件产品等方面的配置或需求中出现不合理或不完整的问题,候选供应商、产品原厂商有责任和义务提出补充修改方案,并在征得国家税务总局的同意后付诸实施,招标人不再另行支付任何费用。
候选供应商应提供实质性确切响应,并有详细的文字描述和说明,任何仅采用“符合”、“满足”或非确定性数值(如“>=”或“<=”)的响应均将被视为没有对招标文件的实质性响应,从而可能导致严重后果直至废标;有关表格部分的响应应按标书商务部分规定的格式列出。
(3)对到货时间及地点、工程实施、验收要求的详细响应
候选供应商必须按照招标人的项目实施进度要求,提供整个工程的项目计划书,提交整体及分省项目的实施方案,实施完成后应分省提交项目实施报告。
包括项目的组织和管理、投入的技术人员及其简介(必须具有3年以上相关产品项目的实施经验)、详细的工作日程表、具体工作内容及各项具体方案和应急计划等内容。
项目实施至少包括需求确认、方案设计(含技术方案、测试方案的设计、与相关原有系统集成方案及接口的设计)、应用开发、设备到货、现场安装、调试(含系统联调)、用户培训、试点、上线试运行支持、推广实施、系统初验、系统终验等。
(4)对文档需求的详细响应
(5)对质量保障的详细响应
候选供应商必须认真理解所有质量保障需求,详细描述响应方案,逐条应答,有保留的承诺将不被接受。
保障时间为本项目签订合同之日起至金税三期工程第二阶段验收完成之日结束。
3.候选供应商认为对整个系统建设特别重要的建议(此项单列为可选性需求)。
4.附件,提供投标书中涉及的所有投标设备和有关软件的产品说明(要求彩页)或相关证明,并最好以中文描述。
5.候选供应商应针对本项目技术需求提供原型演示和讲解。
三、费用要求
候选供应商应根据技术需求合理估算工作量,并注意报价的合理性,人力资源成本原则上不得低于2014年北京市企业(信息传输、计算机服务和软件业)平均人工成本。
2.7实施范围
本项目分两批进行实施:
国家税务总局数据中心(北京、南海);
第一批为税务系统14个省,实施单位地点如下:
河北、宁夏、贵州、广西、云南、湖南、青海、海南、西藏、甘肃、安徽、新疆、四川、吉林;
第二批为税务系统16个省,实施单位地点如下:
辽宁、江西、厦门、青岛、福建、北京、黑龙江、天津、陕西、大连、湖北、上海、江苏、宁波、深圳、浙江。
第三章安全策略与集成服务需求
3.1项目总体需求
本项目采购的金税三期工程第二阶段安全策略与安全集成服务包括结合省级单位安全策略的新增与落实,金税三期工程第二阶段安全集成的技术支持、督促协调、检查和整改确认,金税三期工程第二阶段安全服务包括安全监控和应急响应高级支持服务。
本项目安全策略是安全集成服务的前置条件,在安全集成服务实施前必须进行严谨的安全现状调研、分析,基于各地调研情况形成各类安全策略,依据安全策略的要求开展安全集成服务,其集成服务内容既要保障金税三期第二阶段建设过程中整体安全的管控,还要确保系统单轨试运行上线后的安全稳定运行,并对安全突发事件采取有效的应急处置。
安全策略:
本项服务旨在为税务系统的信息安全建设提供全方位、全生命周期的综合服务,从而实现金税三期工程第二阶段省级单位的安全体系建设目标。
其内容是在金税三期工程第一阶段既有工作成果的基础上,遵循国家税务总局业务发展战略,对税务系统内各单位,制定信息安全策略与具体的策略实现;开发、发布、并定期更新信息安全策略。
安全集成:
本项服务旨在根据金税三期工程总体规划设计方案,在金税三期工程第一阶段既有工作成果的基础上,结合税务工作实际情况,依据《国家税务总局关于金税三期工程优化版第二阶段推广有关工作的通知》、《金税三期工程第二阶段推广基础环境建设需求方案》及国家信息安全等级保护的要求,对安全域划分、安全设备部署及安全防护配置等方面进行督促协调、检查、确认,并根据检查、确认的实际情况在项目服务期内督促相关单位对不符合项目进行整改,满足国家信息安全等级保护的相关要求。
安全服务:
为金税三期工程第二阶段全部推广单位提供安全监控服务支持,做好访问控制策略的实施和优化、开展安全设备的日常监控、进行安全事件的分析和处置等,提供现场应急响应高级技术支持服务。
安全服务人员配合制定制度规范和服务流程,协助构建完善的安全服务体系,实现安全服务工作的标准化、规范化,保障税务信息系统健康、高效运行。
3.2项目具体需求
3.2.1安全策略要求
1、成交供应商应在调研分析的基础上,根据税务系统的安全现状,参照《GB/T22239—2008信息安全技术信息系统安全等级保护基本要求》及ISO/IEC27000系列安全标准的内容,在金税三期工程第一阶段安全策略体系建设的基础上,结合税务应用系统的实际要求调研,对所有推广单位进行实地安全现状调研分析形成调研报告,设计各省级单位税务系统的实施框架、安全策略以及策略的细化方案,补充、完善金税三期工程信息安全保障策略体系,为金税三期工程第二阶段提供安全支撑。
⏹金税三期工程第二阶段信息安全策略的内容要覆盖但不限于:
安全规划、组织机构、人员安全、安全意识和培训、风险评估、认证认可、系统建设、配置管理、应急计划、事件响应、系统维护、标识鉴别、访问控制、系统与信息完整性、系统与通信保护、抗抵赖、介质保护、物理和环境保护、检测响应恢复等各方面。
开发、发布、并定期更新信息安全策略。
⏹安全策略的新增及更新完善应包括以下两个部分:
⏹安全策略新增:
对金税三期工程第二阶段建设的基础设施类、安全体系类、软件开发类等项目新增的软件或硬件,增加的安全管理与安全技术策略,新增策略侧重于此次被实施单位。
如:
应用系统安全审核策略,XX省级单位安全配置规范、XX省级单位安全配置指南,XX省级单位安全基线等。
⏹安全策略更新完善:
在金税三期工程第一阶段安全策略落实情况的基础上,结合金税三期工程第二阶段各省税务信息系统安全体系建设情况,充分体现优化版建设要求,更新完善信息安全策略。
信息安全策略的新增加及更新完善应紧密围绕税务系统业务应用,有效覆盖税务系统业务流程和数据流等全流程的安全保障,有效覆盖业务数据全生命周期的安全保障,全面覆盖税务系统各层级、各部门、各岗位的安全保障。
2、成交供应商应根据金税三期工程项目实际需要,制定《安全策略技术方案》及《安全策略实施方案》,并合理安排项目进度,优先安排满足各项目最急需的安全策略。
3、成交供应商应提供安全策略开发管理工具的安装介质和相关文档,负责安全策略开发管理工具的安装和维护。
4、成交供应商新增及更新完善的安全策略体系应全面实现编码化、代码化、标准化。
3.2.2安全集成要求
1、成交供应商应遵循《金税三期工程安全架构优化方案》、《国家税务总局关于金税三期工程优化版第二阶段推广有关工作的通知》、《金税三期工程第二阶段推广基础环境建设需求方案》及国家信息安全等级保护要求负责对各项目承建商进行技术管控。
2、成交供应商负责《安全集成实施方案》的制定,指导技术基础设施产品供应商、税务应用软件开发商、信息安全体系建设各项目中标方编制具体的安全策略,对各方提交的明细安全策略进行确认。
3、成交供应商负责项目的安全需求分析、概要设计、详细设计和实施方案设计,为招标人提供安全技术咨询服务工作,对项目的目标、范围和功能进行界定。
4、成交供应商按照推广单位实施结果优化《安全集成实施方案》,确保工程质量、进度、成本满足项目的要求。
5、成交供应商负责制定安全集成方案,安全集
升级会员 