發(fā)改委網(wǎng)站22日消息,,針對(duì)金融、云計(jì)算與大數(shù)據(jù),、信息系統(tǒng)保密管理,、工業(yè)控制等領(lǐng)域面臨的信息安全實(shí)際需要,國(guó)家發(fā)展改革委決定繼續(xù)組織國(guó)家信息安全專(zhuān)項(xiàng),。
專(zhuān)項(xiàng)重點(diǎn)支持金融信息安全領(lǐng)域內(nèi)的金融領(lǐng)域智能入侵檢測(cè)產(chǎn)品,、面向電子銀行的Web漏洞掃描產(chǎn)品等;云計(jì)算與大數(shù)據(jù)信息安全領(lǐng)域的高性能異常流量檢測(cè)和清洗產(chǎn)品,、大數(shù)據(jù)平臺(tái)安全管理產(chǎn)品等,;信息安全分級(jí)保護(hù)領(lǐng)域的網(wǎng)絡(luò)保密檢查和失泄密核查取證產(chǎn)品、涉密信息系統(tǒng)安全保密風(fēng)險(xiǎn)評(píng)估軟件產(chǎn)品等,;工業(yè)控制信息安全領(lǐng)域內(nèi)的面向現(xiàn)場(chǎng)設(shè)備環(huán)境的邊界安全專(zhuān)用網(wǎng)關(guān)產(chǎn)品,、面向集散控制系統(tǒng)(DCS)的異常監(jiān)測(cè)產(chǎn)品等。
A股市場(chǎng)方面,,信息安全概念股包括同有科技,、浪潮軟件、華勝天成,、億陽(yáng)信通,、北信源、旋極信息,、任子行,、藍(lán)盾股份、美亞柏科,、國(guó)民技術(shù),、衛(wèi)士通、啟明星辰,、榕基軟件等等,。
通知全文如下:
國(guó)家發(fā)展改革委辦公廳關(guān)于組織實(shí)施
2013年國(guó)家信息安全專(zhuān)項(xiàng)有關(guān)事項(xiàng)的通知
發(fā)改辦高技[2013]1965號(hào)
工業(yè)和信息化部,、公安部、安全部,、質(zhì)檢總局,、中科院、國(guó)家保密局,、國(guó)家密碼局辦公廳(室),,各省、自治區(qū),、直轄市及計(jì)劃單列市,、新疆生產(chǎn)建設(shè)兵團(tuán)發(fā)展改革委,相關(guān)中央直屬企業(yè):
為了貫徹落實(shí)《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》(國(guó)發(fā)[2012]23號(hào))的工作部署,,針對(duì)金融,、云計(jì)算與大數(shù)據(jù)、信息系統(tǒng)保密管理,、工業(yè)控制等領(lǐng)域面臨的信息安全實(shí)際需要,,國(guó)家發(fā)展改革委決定繼續(xù)組織國(guó)家信息安全專(zhuān)項(xiàng)。現(xiàn)將有關(guān)事項(xiàng)通知如下:
一,、 專(zhuān)項(xiàng)重點(diǎn)支持領(lǐng)域
�,。ㄒ唬┬畔踩a(chǎn)品產(chǎn)業(yè)化
產(chǎn)品自身應(yīng)具有較高的安全性,不低于目前GB/T 20281-2006,、GB/T 20275-2006,、GB/T
18336-2008等國(guó)家標(biāo)準(zhǔn)中3級(jí)的相關(guān)要求。
1,、金融信息安全領(lǐng)域
�,。�1)金融領(lǐng)域智能入侵檢測(cè)產(chǎn)品。適用于金融機(jī)構(gòu)電子銀行等應(yīng)用業(yè)務(wù)系統(tǒng),,支持IPv4/IPv6環(huán)境,,具有雙向數(shù)據(jù)檢測(cè)、歷史數(shù)據(jù)關(guān)聯(lián)分析,、網(wǎng)絡(luò)報(bào)警數(shù)據(jù)篩選過(guò)濾,、反饋測(cè)試、自學(xué)習(xí)和自定義檢測(cè)規(guī)則,、多維度展現(xiàn),,以及攻擊影響分級(jí)等功能,吞吐量不低于20Gbps,,基于國(guó)內(nèi)外主流特征庫(kù)檢測(cè)的漏報(bào)率低于10%,、誤報(bào)率低于5%。
�,。�2)高級(jí)可持續(xù)威脅(APT)安全監(jiān)測(cè)產(chǎn)品,。適用于金融機(jī)構(gòu)的業(yè)務(wù)網(wǎng)絡(luò)和應(yīng)用系統(tǒng),,支持IPv4/IPv6環(huán)境,具有規(guī)�,;摂M機(jī)或沙箱執(zhí)行等動(dòng)態(tài)檢測(cè)技術(shù)的威脅感知功能,,具備對(duì)各類(lèi)設(shè)備網(wǎng)絡(luò)文件傳輸異常行為、漏洞利用行為,、未知木馬,、隱蔽信道傳輸?shù)榷鄻有浴⒔M合性和持續(xù)性攻擊的檢測(cè)能力,,支持1000個(gè)以上的并發(fā)檢測(cè)能力,,基于國(guó)內(nèi)外主流特征庫(kù)檢測(cè)的漏報(bào)率低于5%,、誤報(bào)率低于10%,。
(3)面向電子銀行的Web漏洞掃描產(chǎn)品,。適用于金融機(jī)構(gòu)電子銀行業(yè)務(wù)系統(tǒng),,具備開(kāi)放式Web應(yīng)用程序安全項(xiàng)目(OWASP)通用漏洞的高啟發(fā)、高強(qiáng)度,、交互式檢測(cè)能力,,具有漏洞驗(yàn)證、基于電子銀行系統(tǒng)業(yè)務(wù)流程的流量錄制重放式的邏輯漏洞分析等功能,,基于國(guó)內(nèi)外主流漏洞特征庫(kù)掃描的漏報(bào)率低于5%,、誤報(bào)率低于10%。
�,。�4)金融領(lǐng)域應(yīng)用軟件源代碼安全檢查產(chǎn)品,。適用于金融機(jī)構(gòu)各類(lèi)業(yè)務(wù)應(yīng)用系統(tǒng),具備適用于金融領(lǐng)域特點(diǎn),、可更新和自定義的安全掃描規(guī)則庫(kù),,可定制掃描策略,在Linux,、Aix,、Windows、Android,、iOS等環(huán)境下,,具有對(duì)Java、C/C++,、C#,、JSP、COBOL,、VB,、Ruby等主流編程語(yǔ)言和.NET,、Eclipse、Matlab等集成軟件工具開(kāi)發(fā)的應(yīng)用系統(tǒng)進(jìn)行源代碼掃描的功能,,對(duì)源代碼潛在問(wèn)題分析給出分級(jí)別建議,,每小時(shí)掃描百萬(wàn)行以上代碼,基于國(guó)內(nèi)外主流軟件源代碼漏洞特征庫(kù)檢測(cè)的誤報(bào)率低于30%,、漏報(bào)率低于35%,。
2、云計(jì)算與大數(shù)據(jù)信息安全領(lǐng)域
�,。�1)高性能異常流量檢測(cè)和清洗產(chǎn)品,。支持IPv4/IPv6環(huán)境,適用于云計(jì)算和大數(shù)據(jù)的應(yīng)用,,具備流量牽引和回注,、網(wǎng)絡(luò)層和應(yīng)用層攻擊檢測(cè)與清洗等功能,支持地址區(qū)間的IP保護(hù),,可實(shí)現(xiàn)對(duì)100萬(wàn)個(gè)以上IP地址的異常攻擊流量清洗,,啟用全部檢測(cè)和清洗功能后,設(shè)備整體吞吐量達(dá)到100Gbps以上,。
�,。�2)云操作系統(tǒng)安全加固和虛擬機(jī)安全管理產(chǎn)品。支持IPv4/IPv6
環(huán)境,,支持虛擬化認(rèn)證授權(quán),、訪問(wèn)控制和安全審計(jì),具備虛擬機(jī)逃逸監(jiān)控,、實(shí)時(shí)操作監(jiān)測(cè)與控制,、防惡意軟件加載和安全隔離等功能,具備1萬(wàn)臺(tái)以上安全可控輕量級(jí)虛擬機(jī)的安全管理能力,。
�,。�3)高速固態(tài)盤(pán)陣安全存儲(chǔ)產(chǎn)品。支持IPv4/IPv6
環(huán)境,,具備雙控及冗余保護(hù)機(jī)制,,具有緩存鏡像、掉電保護(hù),、采用國(guó)家密碼局規(guī)定算法的數(shù)據(jù)加密等功能,,支持原生命令隊(duì)列(NCQ)技術(shù)及多種主流接口協(xié)議,單盤(pán)持續(xù)讀寫(xiě)性能不低于200MB/s,,容量大于512GB,,每秒輸入輸出次數(shù)(IOPS)大于12,000,單陣列支持500塊以上單盤(pán)擴(kuò)展,,響應(yīng)時(shí)間小于800μs,,非加密通道IOPS大于220,000,,加密吞吐量大于1Gb/s。
�,。�4)大數(shù)據(jù)平臺(tái)安全管理產(chǎn)品,。支持IPv4/IPv6
環(huán)境,具有對(duì)不少于3種大數(shù)據(jù)應(yīng)用平臺(tái)進(jìn)行漏洞掃描,、配置基線檢查,、弱口令檢測(cè)、版本檢測(cè)和補(bǔ)丁管理等功能,,可實(shí)現(xiàn)大數(shù)據(jù)去隱私化處理和策略化數(shù)據(jù)抽取與集成,、統(tǒng)一的策略管理、統(tǒng)一事件分析,、全文檢索及多維度大數(shù)據(jù)審計(jì),,能夠?qū)τ脩?hù)訪問(wèn)敏感信息行為進(jìn)行報(bào)警、阻斷,、跟蹤和追溯,,關(guān)鍵安全策略同時(shí)支持結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)的管理,,支持1000萬(wàn)以上并發(fā)業(yè)務(wù)訪問(wèn),。
3、信息安全分級(jí)保護(hù)領(lǐng)域
�,。�1)網(wǎng)絡(luò)保密檢查和失泄密核查取證產(chǎn)品,。適用于涉密網(wǎng)和普通業(yè)務(wù)網(wǎng)絡(luò),支持各類(lèi)主流操作系統(tǒng),,具備對(duì)各種網(wǎng)絡(luò)失密泄密事件證據(jù)保全,、提取和分析的功能,支持只讀方式,、多種硬盤(pán)接口,、DD或AFF等多種鏡像格式,支持已刪除文件,、注冊(cè)表,、分區(qū)的恢復(fù),具有自定義策略取證,、關(guān)鍵詞搜索,、2000萬(wàn)個(gè)以上文件并行搜索、加密文件快速檢測(cè)的能力,,對(duì)帶有密級(jí)標(biāo)志的圖形,、版式等類(lèi)型文件識(shí)別率大于95%。
�,。�2)特殊木馬檢查產(chǎn)品,。適用于涉密網(wǎng)和普通業(yè)務(wù)網(wǎng)絡(luò),,支持各類(lèi)主流操作系統(tǒng),具有已知木馬和未知特殊木馬檢測(cè)的能力,,具備木馬樣本及其配置信息的提取,、特征歸類(lèi)檢測(cè)等功能,能夠定期進(jìn)行升級(jí),,已知木馬檢測(cè)準(zhǔn)確率為100%,,未知特殊木馬檢測(cè)準(zhǔn)確率大于70%。
�,。�3)涉密信息系統(tǒng)安全保密風(fēng)險(xiǎn)評(píng)估軟件產(chǎn)品,。符合涉密信息系統(tǒng)分級(jí)保護(hù)相關(guān)國(guó)家保密標(biāo)準(zhǔn),具備合規(guī)性檢測(cè),、漏洞掃描等功能,,以自動(dòng)檢測(cè)為主、人工判定為輔,,評(píng)估內(nèi)容覆蓋涉密信息系統(tǒng)安全保密風(fēng)險(xiǎn)評(píng)估全部項(xiàng)目,,評(píng)估結(jié)論準(zhǔn)確可靠,能夠自動(dòng)生成評(píng)估報(bào)告,。
4,、工業(yè)控制信息安全領(lǐng)域
(1)面向現(xiàn)場(chǎng)設(shè)備環(huán)境的邊界安全專(zhuān)用網(wǎng)關(guān)產(chǎn)品,。支持IPv4/IPv6及工業(yè)以太網(wǎng),,適用于集散控制系統(tǒng)(DCS)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA),、現(xiàn)場(chǎng)總線等現(xiàn)場(chǎng)環(huán)境,,具備5種以上工業(yè)控制專(zhuān)有協(xié)議以及多種狀態(tài)或指令主流格式數(shù)據(jù)的檢查、過(guò)濾,、交換,、阻斷等功能,數(shù)據(jù)傳輸可靠性達(dá)到100%,,可保護(hù)節(jié)點(diǎn)數(shù)不少于500點(diǎn),,設(shè)備吞吐量達(dá)到線速運(yùn)行水平,延時(shí)小于100ms,。
�,。�2)面向集散控制系統(tǒng)(DCS)的異常監(jiān)測(cè)產(chǎn)品。適用于電廠,、石油,、化工、供熱、供水等工藝流程,,具有對(duì)工業(yè)控制系統(tǒng)的DCS工程師站組態(tài)變更,、DCS操作站數(shù)據(jù)與操控指令變更,以及各種主流現(xiàn)場(chǎng)總線訪問(wèn),、負(fù)載變更,、通信行為、異常流量等安全監(jiān)測(cè)能力,,具備過(guò)程狀態(tài)參數(shù),、控制信號(hào)的閾值檢查與報(bào)警功能。
�,。�3)安全采集遠(yuǎn)程終端單元(RTU)產(chǎn)品,。支持工業(yè)以太網(wǎng)協(xié)議,適用于-40℃~+70℃溫度環(huán)境,,電磁兼容性(EMC)不低于4級(jí),,具有內(nèi)置安全模塊,實(shí)現(xiàn)數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)軟件端到端的信源加密,,具備基于數(shù)字證書(shū)的安全認(rèn)證功能,,支持基于國(guó)家密碼局規(guī)定算法的數(shù)據(jù)加密,加密速率不小于20Mb/s,。
�,。�4)工業(yè)應(yīng)用軟件漏洞掃描產(chǎn)品。適用于石油化工,、先進(jìn)制造領(lǐng)域,,具有對(duì)符合IEC61131-3標(biāo)準(zhǔn)的控制系統(tǒng)上位機(jī)(SCADA/HMI)軟件、DCS控制器嵌入式軟件以及各種主流現(xiàn)場(chǎng)總線離線漏洞掃描能力,,具有對(duì)數(shù)字化設(shè)計(jì)制造軟件平臺(tái)(如產(chǎn)品數(shù)據(jù)管理PDM、專(zhuān)用數(shù)控機(jī)床通信軟件eXtremeDNC,、高級(jí)設(shè)計(jì)系統(tǒng)ADS等)漏洞掃描能力,,具備檢測(cè)與發(fā)現(xiàn)軟件安全漏洞、評(píng)估漏洞安全風(fēng)險(xiǎn),、可視化展示,、漏洞修復(fù)建議等功能,漏洞檢測(cè)率達(dá)到90%以上,。
�,。ǘ┲匾畔⑾到y(tǒng)安全可控試點(diǎn)示范
1、金融信息安全試點(diǎn)示范
支持商業(yè)銀行開(kāi)展一體化信息安全風(fēng)險(xiǎn)感知體系試點(diǎn)示范,,按照信息安全等級(jí)保護(hù)相關(guān)要求,,建立銀行系統(tǒng)整體信息安全風(fēng)險(xiǎn)感知預(yù)警、網(wǎng)點(diǎn)集中管控的防護(hù)體系,完善災(zāi)備能力檢測(cè),、第三方安全服務(wù)質(zhì)量評(píng)價(jià)等管理規(guī)范,。
支持商業(yè)銀行開(kāi)展電子銀行和移動(dòng)支付業(yè)務(wù)系統(tǒng)安全態(tài)勢(shì)監(jiān)控試點(diǎn)示范,按照信息安全等級(jí)保護(hù)相關(guān)要求,,構(gòu)建銀行新型增值業(yè)務(wù)應(yīng)用的安全管理機(jī)制,,并形成相應(yīng)標(biāo)準(zhǔn)規(guī)范體系。
支持商業(yè)銀行,、信息安全專(zhuān)業(yè)機(jī)構(gòu),、行業(yè)主管部門(mén)對(duì)電子銀行系統(tǒng)聯(lián)合開(kāi)展金融領(lǐng)域釣魚(yú)網(wǎng)站和金融詐騙事件安全應(yīng)急保障試點(diǎn)示范,探索銀行,、機(jī)構(gòu)和政府部門(mén)合作的新模式,,建立聯(lián)合處置、及時(shí)有效的應(yīng)急保障機(jī)制,。
2,、云計(jì)算與大數(shù)據(jù)安全應(yīng)用試點(diǎn)示范
按照信息安全等級(jí)保護(hù)的相關(guān)要求,在金融,、能源,、交通、電子政務(wù),、電子商務(wù)和互聯(lián)網(wǎng)服務(wù)領(lǐng)域,,支持重點(diǎn)骨干企業(yè),圍繞主要業(yè)務(wù)應(yīng)用,,采用安全可控的技術(shù)和產(chǎn)品,,開(kāi)展云計(jì)算和大數(shù)據(jù)安全應(yīng)用試點(diǎn)示范,研究制定云計(jì)算和大數(shù)據(jù)應(yīng)用的安全管理機(jī)制,、責(zé)任認(rèn)定機(jī)制,、數(shù)據(jù)保護(hù)和使用安全機(jī)制與規(guī)范。
3,、信息系統(tǒng)保密管理試點(diǎn)示范
在國(guó)家重點(diǎn)黨政機(jī)構(gòu)和涉密單位,,按照信息安全等級(jí)保護(hù)相關(guān)要求,開(kāi)展基于密級(jí)標(biāo)識(shí)的涉密信息及載體管控試點(diǎn)示范,,部署電子文件密級(jí)標(biāo)識(shí)管理,、涉密計(jì)算機(jī)和涉密移動(dòng)存儲(chǔ)介質(zhì)識(shí)別管理等系統(tǒng),探索重要信息系統(tǒng)保密管理新方式,。
支持商業(yè)機(jī)構(gòu),、專(zhuān)業(yè)機(jī)構(gòu)開(kāi)展電子郵箱安全保密試點(diǎn)示范,采用國(guó)家密碼局規(guī)定算法,,以及相關(guān)信息安全防護(hù)技術(shù),,建設(shè)安全郵箱服務(wù)平臺(tái),形成電子郵箱防泄密、反竊密綜合保障能力,,探索安全加密郵件與智能終端電子郵件消息加密推送等新服務(wù)模式,。
4、工業(yè)控制信息安全領(lǐng)域示范
在電力電網(wǎng),、石油石化,、先進(jìn)制造、軌道交通領(lǐng)域,,支持大型重點(diǎn)骨干企業(yè),,按照信息安全等級(jí)保護(hù)相關(guān)要求,建設(shè)完善安全可控的工業(yè)控制系統(tǒng),。建立以杜絕重大災(zāi)難性事件為底線的工業(yè)控制系統(tǒng)綜合安全防護(hù)體系,,建立完善工業(yè)控制信息安全技術(shù)與管理的機(jī)制和規(guī)范。
二,、申報(bào)要求
�,。ㄒ唬┱�(qǐng)項(xiàng)目主管部門(mén)根據(jù)投資體制改革精神和《國(guó)家高技術(shù)產(chǎn)業(yè)發(fā)展項(xiàng)目管理暫行辦法》的有關(guān)規(guī)定,結(jié)合本單位,、本地區(qū)實(shí)際情況,,認(rèn)真做好項(xiàng)目組織和備案工作,組織編寫(xiě)項(xiàng)目資金申請(qǐng)報(bào)告并協(xié)調(diào)落實(shí)項(xiàng)目建設(shè)資金,、環(huán)境影響評(píng)價(jià),、節(jié)能評(píng)估等相關(guān)建設(shè)條件,同時(shí)匯總相關(guān)申請(qǐng)材料并報(bào)我委,。
�,。ǘ┩ㄟ^(guò)國(guó)務(wù)院有關(guān)部門(mén)及中央直屬企業(yè)申報(bào)的項(xiàng)目,項(xiàng)目單位應(yīng)與有關(guān)部門(mén)和中央直屬企業(yè)有財(cái)務(wù)隸屬關(guān)系,。其他項(xiàng)目應(yīng)按照屬地管理原則,,通過(guò)項(xiàng)目單位所在地的省級(jí)發(fā)展和改革委員會(huì)申報(bào)。
�,。ㄈ╉�(xiàng)目主管部門(mén)應(yīng)對(duì)報(bào)送的材料,,如資金申請(qǐng)報(bào)告、銀行貸款承諾,、自有資金證明、各類(lèi)許可資質(zhì)等,,進(jìn)行認(rèn)真核實(shí),,并負(fù)責(zé)對(duì)其真實(shí)性予以確認(rèn)。
�,。ㄋ模╉�(xiàng)目紙質(zhì)申報(bào)材料包括:項(xiàng)目資金申請(qǐng)報(bào)告(達(dá)到可行性研究報(bào)告深度),、項(xiàng)目簡(jiǎn)表和項(xiàng)目匯總表,上述材料一式兩份。項(xiàng)目簡(jiǎn)表,、項(xiàng)目匯總表,、項(xiàng)目備案文件、自有資金證明,、投資及信貸承諾等所有附件要與項(xiàng)目資金申請(qǐng)報(bào)告一并裝訂(項(xiàng)目簡(jiǎn)表和匯總表應(yīng)訂裝在報(bào)告正文前),。各項(xiàng)目材料一經(jīng)提供不予退還,請(qǐng)做好備份,。
�,。ㄎ澹╉�(xiàng)目材料的具體報(bào)送時(shí)間、地點(diǎn)和相關(guān)要求將在今年9月下旬在國(guó)家發(fā)展改革委高技術(shù)司網(wǎng)站(網(wǎng)址http://gjss.ndrc.gov.cn)信息化欄目下另行通知,。
�,。┬畔踩a(chǎn)品產(chǎn)業(yè)化項(xiàng)目的承擔(dān)單位原則上應(yīng)為企業(yè)法人。申報(bào)項(xiàng)目應(yīng)具備以下條件:(1)按規(guī)定在當(dāng)?shù)卣畟浒�,;�?)已落實(shí)項(xiàng)目建設(shè)資金,;(3)采用的科技成果應(yīng)具有自主知識(shí)產(chǎn)權(quán);(4)項(xiàng)目申報(bào)單位必須具有較強(qiáng)的技術(shù)開(kāi)發(fā)和項(xiàng)目實(shí)施能力,,具備較好的資信等級(jí),,資產(chǎn)負(fù)債率在合理范圍內(nèi);(5)項(xiàng)目答辯時(shí)各單位應(yīng)已有相關(guān)產(chǎn)品,。
�,。ㄆ撸┲匾畔⑾到y(tǒng)安全可控試點(diǎn)示范項(xiàng)目的承擔(dān)單位應(yīng)為企業(yè)法人或事業(yè)法人(不包含高校和科研機(jī)構(gòu)),項(xiàng)目的具體要求及項(xiàng)目資金申請(qǐng)報(bào)告的編制要點(diǎn)詳見(jiàn)附件2,。
�,。ò耍┍敬涡畔踩珜�(zhuān)項(xiàng)分兩階段開(kāi)展。第一階段受理金融信息安全,、云計(jì)算與大數(shù)據(jù)安全,、信息系統(tǒng)保密管理項(xiàng)目的申報(bào),截止時(shí)間為2013年10月15日,。第二階段受理工業(yè)控制信息安全項(xiàng)目申報(bào),,截止時(shí)間為2014年7月15日。我委對(duì)項(xiàng)目進(jìn)行初步評(píng)審后,,將組織現(xiàn)場(chǎng)答辯,。其中,專(zhuān)項(xiàng)擬支持的產(chǎn)品將全部委托第三方檢測(cè)機(jī)構(gòu)進(jìn)行公開(kāi)測(cè)試,,有關(guān)具體項(xiàng)目答辯和測(cè)試名單,、時(shí)間和地點(diǎn),以及公開(kāi)測(cè)試的時(shí)間將另行通知,。