發改辦高技[2013]1965號
工業和信息化部、公安部、安全部、質檢總局、中科院、國家保密局、國家密碼局辦公廳(室),各省、自治區、直轄市及計劃單列市、新疆生產建設兵團發展改革委,相關中央直屬企業:
為了貫徹落實《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》(國發[2012]23號)的工作部署,針對金融、云計算與大數據、信息系統保密管理、工業控制等領域面臨的信息安全實際需要,國家發展改革委決定繼續組織國家信息安全專項。現將有關事項通知如下:
一、 專項重點支持領域
(一)信息安全產品產業化
產品自身應具有較高的安全性,不低于目前GB/T 20281-2006、GB/T 20275-2006、GB/T 18336-2008等國家標準中3級的相關要求。
1、金融信息安全領域
(1)金融領域智能入侵檢測產品。適用于金融機構電子銀行等應用業務系統,支持IPv4/IPv6環境,具有雙向數據檢測、歷史數據關聯分析、網絡報警數據篩選過濾、反饋測試、自學習和自定義檢測規則、多維度展現,以及攻擊影響分級等功能,吞吐量不低于20Gbps,基于國內外主流特征庫檢測的漏報率低于10%、誤報率低于5%。
(2)高級可持續威脅(APT)安全監測產品。適用于金融機構的業務網絡和應用系統,支持IPv4/IPv6環境,具有規模化虛擬機或沙箱執行等動態檢測技術的威脅感知功能,具備對各類設備網絡文件傳輸異常行為、漏洞利用行為、未知木馬、隱蔽信道傳輸等多樣性、組合性和持續性攻擊的檢測能力,支持1000個以上的并發檢測能力,基于國內外主流特征庫檢測的漏報率低于5%、誤報率低于10%。
(3)面向電子銀行的Web漏洞掃描產品。適用于金融機構電子銀行業務系統,具備開放式Web應用程序安全項目(OWASP)通用漏洞的高啟發、高強度、交互式檢測能力,具有漏洞驗證、基于電子銀行系統業務流程的流量錄制重放式的邏輯漏洞分析等功能,基于國內外主流漏洞特征庫掃描的漏報率低于5%、誤報率低于10%。
(4)金融領域應用軟件源代碼安全檢查產品。適用于金融機構各類業務應用系統,具備適用于金融領域特點、可更新和自定義的安全掃描規則庫,可定制掃描策略,在Linux、Aix、Windows、Android、iOS等環境下,具有對Java、C/C++、C#、JSP、COBOL、VB、Ruby等主流編程語言和.NET、Eclipse、Matlab等集成軟件工具開發的應用系統進行源代碼掃描的功能,對源代碼潛在問題分析給出分級別建議,每小時掃描百萬行以上代碼,基于國內外主流軟件源代碼漏洞特征庫檢測的誤報率低于30%、漏報率低于35%。
2、云計算與大數據信息安全領域
(1)高性能異常流量檢測和清洗產品。支持IPv4/IPv6環境,適用于云計算和大數據的應用,具備流量牽引和回注、網絡層和應用層攻擊檢測與清洗等功能,支持地址區間的IP保護,可實現對100萬個以上IP地址的異常攻擊流量清洗,啟用全部檢測和清洗功能后,設備整體吞吐量達到100Gbps以上。
(2)云操作系統安全加固和虛擬機安全管理產品。支持IPv4/IPv6 環境,支持虛擬化認證授權、訪問控制和安全審計,具備虛擬機逃逸監控、實時操作監測與控制、防惡意軟件加載和安全隔離等功能,具備1萬臺以上安全可控輕量級虛擬機的安全管理能力。
(3)高速固態盤陣安全存儲產品。支持IPv4/IPv6 環境,具備雙控及冗余保護機制,具有緩存鏡像、掉電保護、采用國家密碼局規定算法的數據加密等功能,支持原生命令隊列(NCQ)技術及多種主流接口協議,單盤持續讀寫性能不低于200MB/s,容量大于512GB,每秒輸入輸出次數(IOPS)大于12,000,單陣列支持500塊以上單盤擴展,響應時間小于800μs,非加密通道IOPS大于220,000,加密吞吐量大于1Gb/s。
(4)大數據平臺安全管理產品。支持IPv4/IPv6 環境,具有對不少于3種大數據應用平臺進行漏洞掃描、配置基線檢查、弱口令檢測、版本檢測和補丁管理等功能,可實現大數據去隱私化處理和策略化數據抽取與集成、統一的策略管理、統一事件分析、全文檢索及多維度大數據審計,能夠對用戶訪問敏感信息行為進行報警、阻斷、跟蹤和追溯,關鍵安全策略同時支持結構化與非結構化數據的管理,支持1000萬以上并發業務訪問。
3、信息安全分級保護領域
(1)網絡保密檢查和失泄密核查取證產品。適用于涉密網和普通業務網絡,支持各類主流操作系統,具備對各種網絡失密泄密事件證據保全、提取和分析的功能,支持只讀方式、多種硬盤接口、DD或AFF等多種鏡像格式,支持已刪除文件、注冊表、分區的恢復,具有自定義策略取證、關鍵詞搜索、2000萬個以上文件并行搜索、加密文件快速檢測的能力,對帶有密級標志的圖形、版式等類型文件識別率大于95%。
(2)特殊木馬檢查產品。適用于涉密網和普通業務網絡,支持各類主流操作系統,具有已知木馬和未知特殊木馬檢測的能力,具備木馬樣本及其配置信息的提取、特征歸類檢測等功能,能夠定期進行升級,已知木馬檢測準確率為100%,未知特殊木馬檢測準確率大于70%。
(3)涉密信息系統安全保密風險評估軟件產品。符合涉密信息系統分級保護相關國家保密標準,具備合規性檢測、漏洞掃描等功能,以自動檢測為主、人工判定為輔,評估內容覆蓋涉密信息系統安全保密風險評估全部項目,評估結論準確可靠,能夠自動生成評估報告。
4、工業控制信息安全領域
(1)面向現場設備環境的邊界安全專用網關產品。支持IPv4/IPv6及工業以太網,適用于集散控制系統(DCS)、數據采集與監視控制系統(SCADA)、現場總線等現場環境,具備5種以上工業控制專有協議以及多種狀態或指令主流格式數據的檢查、過濾、交換、阻斷等功能,數據傳輸可靠性達到100%,可保護節點數不少于500點,設備吞吐量達到線速運行水平,延時小于100ms。
(2)面向集散控制系統(DCS)的異常監測產品。適用于電廠、石油、化工、供熱、供水等工藝流程,具 有對工業控制系統的DCS工程師站組態變更、DCS操作站數據與操控指令變更,以及各種主流現場總線訪問、負載變更、通信行為、異常流量等安全監測能力,具備過程狀態參數、控制信號的閾值檢查與報警功能。
(3)安全采集遠程終端單元(RTU)產品。支持工業以太網協議,適用于-40℃~+70℃溫度環境,電磁兼容性(EMC)不低于4級,具有內置安全模塊,實現數據采集與監視控制系統(SCADA)軟件端到端的信源加密,具備基于數字證書的安全認證功能,支持基于國家密碼局規定算法的數據加密,加密速率不小于20Mb/s。
(4)工業應用軟件漏洞掃描產品。適用于石油化工、先進制造領域,具有對符合IEC61131-3標準的控制系統上位機(SCADA/HMI)軟件、DCS控制器嵌入式軟件以及各種主流現場總線離線漏洞掃描能力,具有對數字化設計制造軟件平臺(如產品數據管理PDM、專用數控機床通信軟件eXtremeDNC、高級設計系統ADS等)漏洞掃描能力,具備檢測與發現軟件安全漏洞、評估漏洞安全風險、可視化展示、漏洞修復建議等功能,漏洞檢測率達到90%以上。
(二)重要信息系統安全可控試點示范
1、金融信息安全試點示范
支持商業銀行開展一體化信息安全風險感知體系試點示范,按照信息安全等級保護相關要求,建立銀行系統整體信息安全風險感知預警、網點集中管控的防護體系,完善災備能力檢測、第三方安全服務質量評價等管理規范。
支持商業銀行開展電子銀行和移動支付業務系統安全態勢監控試點示范,按照信息安全等級保護相關要求,構建銀行新型增值業務應用的安全管理機制,并形成相應標準規范體系。
支持商業銀行、信息安全專業機構、行業主管部門對電子銀行系統聯合開展金融領域釣魚網站和金融詐騙事件安全應急保障試點示范,探索銀行、機構和政府部門合作的新模式,建立聯合處置、及時有效的應急保障機制。
2、云計算與大數據安全應用試點示范
按照信息安全等級保護的相關要求,在金融、能源、交通、電子政務、電子商務和互聯網服務領域,支持重點骨干企業,圍繞主要業務應用,采用安全可控的技術和產品,開展云計算和大數據安全應用試點示范,研究制定云計算和大數據應用的安全管理機制、責任認定機制、數據保護和使用安全機制與規范。
3、信息系統保密管理試點示范
在國家重點黨政機構和涉密單位,按照信息安全等級保護相關要求,開展基于密級標識的涉密信息及載體管控試點示范,部署電子文件密級標識管理、涉密計算機和涉密移動存儲介質識別管理等系統,探索重要信息系統保密管理新方式。
支持商業機構、專業機構開展電子郵箱安全保密試點示范,采用國家密碼局規定算法,以及相關信息安全防護技術,建設安全郵箱服務平臺,形成電子郵箱防泄密、反竊密綜合保障能力,探索安全加密郵件與智能終端電子郵件消息加密推送等新服務模式。
4、工業控制信息安全領域示范
在電力電網、石油石化、先進制造、軌道交通領域,支持大型重點骨干企業,按照信息安全等級保護相關要求,建設完善安全可控的工業控制系統。建立以杜絕重大災難性事件為底線的工業控制系統綜合安全防護體系,建立完善工業控制信息安全技術與管理的機制和規范。
二、申報要求
(一)請項目主管部門根據投資體制改革精神和《國家高技術產業發展項目管理暫行辦法》的有關規定,結合本單位、本地區實際情況,認真做好項目組織和備案工作,組織編寫項目資金申請報告并協調落實項目建設資金、環境影響評價、節能評估等相關建設條件,同時匯總相關申請材料并報我委。
(二)通過國務院有關部門及中央直屬企業申報的項目,項目單位應與有關部門和中央直屬企業有財務隸屬關系。其他項目應按照屬地管理原則,通過項目單位所在地的省級發展和改革委員會申報。
(三)項目主管部門應對報送的材料,如資金申請報告、銀行貸款承諾、自有資金證明、各類許可資質等,進行認真核實,并負責對其真實性予以確認。
(四)項目紙質申報材料包括:項目資金申請報告(達到可行性研究報告深度)、項目簡表和項目匯總表,上述材料一式兩份。項目簡表、項目匯總表、項目備案文件、自有資金證明、投資及信貸承諾等所有附件要與項目資金申請報告一并裝訂(項目簡表和匯總表應訂裝在報告正文前)。各項目材料一經提供不予退還,請做好備份。資金申請報告的具體編制要求詳見附件1、2。
(五)項目材料的具體報送時間、地點和相關要求將在今年9月下旬在國家發展改革委高技術司網站(網址http://gjss.ndrc.gov.cn)信息化欄目下另行通知。
(六)信息安全產品產業化項目的承擔單位原則上應為企業法人。申報項目應具備以下條件:(1)按規定在當地政府備案;(2)已落實項目建設資金;(3)采用的科技成果應具有自主知識產權;(4)項目申報單位必須具有較強的技術開發和項目實施能力,具備較好的資信等級,資產負債率在合理范圍內;(5)項目答辯時各單位應已有相關產品。
(七)重要信息系統安全可控試點示范項目的承擔單位應為企業法人或事業法人(不包含高校和科研機構),項目的具體要求及項目資金申請報告的編制要點詳見附件2。
(八)本次信息安全專項分兩階段開展。第一階段受理金融信息安全、云計算與大數據安全、信息系統保密管理項目的申報,截止時間為2013年10月15日。第二階段受理工業控制信息安全項目申報,截止時間為2014年7月15日。我委對項目進行初步評審后,將組織現場答辯。其中,專項擬支持的產品將全部委托第三方檢測機構進行公開測試,有關具體項目答辯和測試名單、時間和地點,以及公開測試的時間將另行通知。
附件:1、信息安全產品產業化項目資金申請報告編制要點
2、重要信息系統安全可控試點示范具體要求及項目資金申請報告編制要點
3、信息安全項目及承擔單位基本情況簡表
4、信息安全項目匯總表
國家發展改革委辦公廳
2013年8月12日