發(fā)改委網(wǎng)站22日消息��,針對金融�、云計算與大數據��、信息系統保密管理���、工業(yè)控制等領(lǐng)域面臨的信息安全實(shí)際需要�,國家發(fā)展改革委決定繼續組織國家信息安全專(zhuān)項����。
專(zhuān)項重點(diǎn)支持金融信息安全領(lǐng)域內的金融領(lǐng)域智能入侵檢測產(chǎn)品�、面向電子銀行的Web漏洞掃描產(chǎn)品等���;云計算與大數據信息安全領(lǐng)域的高性能異常流量檢測和清洗產(chǎn)品��、大數據平臺安全管理產(chǎn)品等����;信息安全分級保護領(lǐng)域的網(wǎng)絡(luò )保密檢查和失泄密核查取證產(chǎn)品��、涉密信息系統安全保密風(fēng)險評估軟件產(chǎn)品等���;工業(yè)控制信息安全領(lǐng)域內的面向現場(chǎng)設備環(huán)境的邊界安全專(zhuān)用網(wǎng)關(guān)產(chǎn)品����、面向集散控制系統(DCS)的異常監測產(chǎn)品等���。
A股市場(chǎng)方面����,信息安全概念股包括同有科技�、浪潮軟件�����、華勝天成���、億陽(yáng)信通��、北信源�����、旋極信息�、任子行�����、藍盾股份�、美亞柏科���、國民技術(shù)����、衛士通�、啟明星辰����、榕基軟件等等����。
通知全文如下:
國家發(fā)展改革委辦公廳關(guān)于組織實(shí)施
2013年國家信息安全專(zhuān)項有關(guān)事項的通知
發(fā)改辦高技[2013]1965號
工業(yè)和信息化部��、公安部�、安全部�����、質(zhì)檢總局�、中科院���、國家保密局���、國家密碼局辦公廳(室)���,各省�����、自治區�、直轄市及計劃單列市�����、新疆生產(chǎn)建設兵團發(fā)展改革委�,相關(guān)中央直屬企業(yè):
為了貫徹落實(shí)《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》(國發(fā)[2012]23號)的工作部署��,針對金融�����、云計算與大數據�、信息系統保密管理�、工業(yè)控制等領(lǐng)域面臨的信息安全實(shí)際需要�����,國家發(fā)展改革委決定繼續組織國家信息安全專(zhuān)項�����,F將有關(guān)事項通知如下:
一��、 專(zhuān)項重點(diǎn)支持領(lǐng)域
��。ㄒ唬┬畔踩a(chǎn)品產(chǎn)業(yè)化
產(chǎn)品自身應具有較高的安全性�����,不低于目前GB/T 20281-2006�、GB/T 20275-2006�、GB/T
18336-2008等國家標準中3級的相關(guān)要求�����。
1����、金融信息安全領(lǐng)域
�����。1)金融領(lǐng)域智能入侵檢測產(chǎn)品��。適用于金融機構電子銀行等應用業(yè)務(wù)系統��,支持IPv4/IPv6環(huán)境�,具有雙向數據檢測���、歷史數據關(guān)聯(lián)分析�����、網(wǎng)絡(luò )報警數據篩選過(guò)濾��、反饋測試�、自學(xué)習和自定義檢測規則�����、多維度展現���,以及攻擊影響分級等功能�,吞吐量不低于20Gbps���,基于國內外主流特征庫檢測的漏報率低于10%�、誤報率低于5%��。
�。2)高級可持續威脅(APT)安全監測產(chǎn)品���。適用于金融機構的業(yè)務(wù)網(wǎng)絡(luò )和應用系統�,支持IPv4/IPv6環(huán)境�����,具有規���;摂M機或沙箱執行等動(dòng)態(tài)檢測技術(shù)的威脅感知功能����,具備對各類(lèi)設備網(wǎng)絡(luò )文件傳輸異常行為�����、漏洞利用行為����、未知木馬���、隱蔽信道傳輸等多樣性�、組合性和持續性攻擊的檢測能力����,支持1000個(gè)以上的并發(fā)檢測能力��,基于國內外主流特征庫檢測的漏報率低于5%���、誤報率低于10%�。
����。3)面向電子銀行的Web漏洞掃描產(chǎn)品���。適用于金融機構電子銀行業(yè)務(wù)系統��,具備開(kāi)放式Web應用程序安全項目(OWASP)通用漏洞的高啟發(fā)�����、高強度�、交互式檢測能力�,具有漏洞驗證��、基于電子銀行系統業(yè)務(wù)流程的流量錄制重放式的邏輯漏洞分析等功能�����,基于國內外主流漏洞特征庫掃描的漏報率低于5%��、誤報率低于10%����。
�����。4)金融領(lǐng)域應用軟件源代碼安全檢查產(chǎn)品����。適用于金融機構各類(lèi)業(yè)務(wù)應用系統�����,具備適用于金融領(lǐng)域特點(diǎn)���、可更新和自定義的安全掃描規則庫��,可定制掃描策略�����,在Linux����、Aix�����、Windows�、Android��、iOS等環(huán)境下�����,具有對Java�����、C/C++���、C#���、JSP���、COBOL��、VB���、Ruby等主流編程語(yǔ)言和.NET�、Eclipse�、Matlab等集成軟件工具開(kāi)發(fā)的應用系統進(jìn)行源代碼掃描的功能�����,對源代碼潛在問(wèn)題分析給出分級別建議����,每小時(shí)掃描百萬(wàn)行以上代碼�����,基于國內外主流軟件源代碼漏洞特征庫檢測的誤報率低于30%��、漏報率低于35%�����。
2����、云計算與大數據信息安全領(lǐng)域
���。1)高性能異常流量檢測和清洗產(chǎn)品����。支持IPv4/IPv6環(huán)境����,適用于云計算和大數據的應用�,具備流量牽引和回注��、網(wǎng)絡(luò )層和應用層攻擊檢測與清洗等功能�����,支持地址區間的IP保護���,可實(shí)現對100萬(wàn)個(gè)以上IP地址的異常攻擊流量清洗���,啟用全部檢測和清洗功能后��,設備整體吞吐量達到100Gbps以上�����。
����。2)云操作系統安全加固和虛擬機安全管理產(chǎn)品����。支持IPv4/IPv6
環(huán)境����,支持虛擬化認證授權��、訪(fǎng)問(wèn)控制和安全審計��,具備虛擬機逃逸監控����、實(shí)時(shí)操作監測與控制����、防惡意軟件加載和安全隔離等功能�����,具備1萬(wàn)臺以上安全可控輕量級虛擬機的安全管理能力�。
����。3)高速固態(tài)盤(pán)陣安全存儲產(chǎn)品��。支持IPv4/IPv6
環(huán)境�����,具備雙控及冗余保護機制����,具有緩存鏡像�����、掉電保護����、采用國家密碼局規定算法的數據加密等功能��,支持原生命令隊列(NCQ)技術(shù)及多種主流接口協(xié)議��,單盤(pán)持續讀寫(xiě)性能不低于200MB/s���,容量大于512GB����,每秒輸入輸出次數(IOPS)大于12,000��,單陣列支持500塊以上單盤(pán)擴展���,響應時(shí)間小于800μs����,非加密通道IOPS大于220,000��,加密吞吐量大于1Gb/s���。
��。4)大數據平臺安全管理產(chǎn)品��。支持IPv4/IPv6
環(huán)境�����,具有對不少于3種大數據應用平臺進(jìn)行漏洞掃描�、配置基線(xiàn)檢查�����、弱口令檢測�����、版本檢測和補丁管理等功能����,可實(shí)現大數據去隱私化處理和策略化數據抽取與集成�����、統一的策略管理�����、統一事件分析��、全文檢索及多維度大數據審計���,能夠對用戶(hù)訪(fǎng)問(wèn)敏感信息行為進(jìn)行報警�����、阻斷����、跟蹤和追溯�����,關(guān)鍵安全策略同時(shí)支持結構化與非結構化數據的管理�,支持1000萬(wàn)以上并發(fā)業(yè)務(wù)訪(fǎng)問(wèn)�。
3����、信息安全分級保護領(lǐng)域
����。1)網(wǎng)絡(luò )保密檢查和失泄密核查取證產(chǎn)品����。適用于涉密網(wǎng)和普通業(yè)務(wù)網(wǎng)絡(luò )����,支持各類(lèi)主流操作系統����,具備對各種網(wǎng)絡(luò )失密泄密事件證據保全��、提取和分析的功能���,支持只讀方式���、多種硬盤(pán)接口���、DD或AFF等多種鏡像格式�����,支持已刪除文件�、注冊表�����、分區的恢復��,具有自定義策略取證����、關(guān)鍵詞搜索��、2000萬(wàn)個(gè)以上文件并行搜索�����、加密文件快速檢測的能力�����,對帶有密級標志的圖形����、版式等類(lèi)型文件識別率大于95%�����。
����。2)特殊木馬檢查產(chǎn)品�����。適用于涉密網(wǎng)和普通業(yè)務(wù)網(wǎng)絡(luò )��,支持各類(lèi)主流操作系統�,具有已知木馬和未知特殊木馬檢測的能力�����,具備木馬樣本及其配置信息的提取���、特征歸類(lèi)檢測等功能�����,能夠定期進(jìn)行升級���,已知木馬檢測準確率為100%��,未知特殊木馬檢測準確率大于70%��。
���。3)涉密信息系統安全保密風(fēng)險評估軟件產(chǎn)品���。符合涉密信息系統分級保護相關(guān)國家保密標準���,具備合規性檢測���、漏洞掃描等功能�����,以自動(dòng)檢測為主�����、人工判定為輔���,評估內容覆蓋涉密信息系統安全保密風(fēng)險評估全部項目��,評估結論準確可靠���,能夠自動(dòng)生成評估報告�。
4�����、工業(yè)控制信息安全領(lǐng)域
�����。1)面向現場(chǎng)設備環(huán)境的邊界安全專(zhuān)用網(wǎng)關(guān)產(chǎn)品�����。支持IPv4/IPv6及工業(yè)以太網(wǎng)�,適用于集散控制系統(DCS)�、數據采集與監視控制系統(SCADA)����、現場(chǎng)總線(xiàn)等現場(chǎng)環(huán)境�����,具備5種以上工業(yè)控制專(zhuān)有協(xié)議以及多種狀態(tài)或指令主流格式數據的檢查��、過(guò)濾���、交換�����、阻斷等功能�,數據傳輸可靠性達到100%�,可保護節點(diǎn)數不少于500點(diǎn)���,設備吞吐量達到線(xiàn)速運行水平���,延時(shí)小于100ms�����。
����。2)面向集散控制系統(DCS)的異常監測產(chǎn)品�。適用于電廠(chǎng)����、石油�����、化工�����、供熱�、供水等工藝流程���,具有對工業(yè)控制系統的DCS工程師站組態(tài)變更�、DCS操作站數據與操控指令變更����,以及各種主流現場(chǎng)總線(xiàn)訪(fǎng)問(wèn)���、負載變更�����、通信行為�、異常流量等安全監測能力���,具備過(guò)程狀態(tài)參數����、控制信號的閾值檢查與報警功能�。
���。3)安全采集遠程終端單元(RTU)產(chǎn)品�。支持工業(yè)以太網(wǎng)協(xié)議�����,適用于-40℃~+70℃溫度環(huán)境����,電磁兼容性(EMC)不低于4級�,具有內置安全模塊�����,實(shí)現數據采集與監視控制系統(SCADA)軟件端到端的信源加密��,具備基于數字證書(shū)的安全認證功能�,支持基于國家密碼局規定算法的數據加密�����,加密速率不小于20Mb/s�����。
���。4)工業(yè)應用軟件漏洞掃描產(chǎn)品�����。適用于石油化工�����、先進(jìn)制造領(lǐng)域��,具有對符合IEC61131-3標準的控制系統上位機(SCADA/HMI)軟件�����、DCS控制器嵌入式軟件以及各種主流現場(chǎng)總線(xiàn)離線(xiàn)漏洞掃描能力��,具有對數字化設計制造軟件平臺(如產(chǎn)品數據管理PDM��、專(zhuān)用數控機床通信軟件eXtremeDNC����、高級設計系統ADS等)漏洞掃描能力���,具備檢測與發(fā)現軟件安全漏洞�����、評估漏洞安全風(fēng)險�����、可視化展示����、漏洞修復建議等功能���,漏洞檢測率達到90%以上�。
�。ǘ┲匾畔⑾到y安全可控試點(diǎn)示范
1����、金融信息安全試點(diǎn)示范
支持商業(yè)銀行開(kāi)展一體化信息安全風(fēng)險感知體系試點(diǎn)示范���,按照信息安全等級保護相關(guān)要求�����,建立銀行系統整體信息安全風(fēng)險感知預警�、網(wǎng)點(diǎn)集中管控的防護體系�,完善災備能力檢測��、第三方安全服務(wù)質(zhì)量評價(jià)等管理規范�。
支持商業(yè)銀行開(kāi)展電子銀行和移動(dòng)支付業(yè)務(wù)系統安全態(tài)勢監控試點(diǎn)示范���,按照信息安全等級保護相關(guān)要求�,構建銀行新型增值業(yè)務(wù)應用的安全管理機制��,并形成相應標準規范體系��。
支持商業(yè)銀行�����、信息安全專(zhuān)業(yè)機構�、行業(yè)主管部門(mén)對電子銀行系統聯(lián)合開(kāi)展金融領(lǐng)域釣魚(yú)網(wǎng)站和金融詐騙事件安全應急保障試點(diǎn)示范�,探索銀行�、機構和政府部門(mén)合作的新模式��,建立聯(lián)合處置����、及時(shí)有效的應急保障機制����。
2����、云計算與大數據安全應用試點(diǎn)示范
按照信息安全等級保護的相關(guān)要求�����,在金融�����、能源�����、交通���、電子政務(wù)����、電子商務(wù)和互聯(lián)網(wǎng)服務(wù)領(lǐng)域�����,支持重點(diǎn)骨干企業(yè)��,圍繞主要業(yè)務(wù)應用��,采用安全可控的技術(shù)和產(chǎn)品����,開(kāi)展云計算和大數據安全應用試點(diǎn)示范�����,研究制定云計算和大數據應用的安全管理機制�、責任認定機制��、數據保護和使用安全機制與規范��。
3�、信息系統保密管理試點(diǎn)示范
在國家重點(diǎn)黨政機構和涉密單位����,按照信息安全等級保護相關(guān)要求���,開(kāi)展基于密級標識的涉密信息及載體管控試點(diǎn)示范�����,部署電子文件密級標識管理�、涉密計算機和涉密移動(dòng)存儲介質(zhì)識別管理等系統�����,探索重要信息系統保密管理新方式�。
支持商業(yè)機構�、專(zhuān)業(yè)機構開(kāi)展電子郵箱安全保密試點(diǎn)示范����,采用國家密碼局規定算法�,以及相關(guān)信息安全防護技術(shù)����,建設安全郵箱服務(wù)平臺�����,形成電子郵箱防泄密����、反竊密綜合保障能力�����,探索安全加密郵件與智能終端電子郵件消息加密推送等新服務(wù)模式�����。
4�����、工業(yè)控制信息安全領(lǐng)域示范
在電力電網(wǎng)��、石油石化����、先進(jìn)制造�、軌道交通領(lǐng)域�����,支持大型重點(diǎn)骨干企業(yè)���,按照信息安全等級保護相關(guān)要求���,建設完善安全可控的工業(yè)控制系統���。建立以杜絕重大災難性事件為底線(xiàn)的工業(yè)控制系統綜合安全防護體系�,建立完善工業(yè)控制信息安全技術(shù)與管理的機制和規范���。
二����、申報要求
�。ㄒ唬┱堩椖恐鞴懿块T(mén)根據投資體制改革精神和《國家高技術(shù)產(chǎn)業(yè)發(fā)展項目管理暫行辦法》的有關(guān)規定����,結合本單位�����、本地區實(shí)際情況��,認真做好項目組織和備案工作����,組織編寫(xiě)項目資金申請報告并協(xié)調落實(shí)項目建設資金�����、環(huán)境影響評價(jià)���、節能評估等相關(guān)建設條件�����,同時(shí)匯總相關(guān)申請材料并報我委�����。
���。ǘ┩ㄟ^(guò)國務(wù)院有關(guān)部門(mén)及中央直屬企業(yè)申報的項目�����,項目單位應與有關(guān)部門(mén)和中央直屬企業(yè)有財務(wù)隸屬關(guān)系�����。其他項目應按照屬地管理原則��,通過(guò)項目單位所在地的省級發(fā)展和改革委員會(huì )申報���。
�。ㄈ╉椖恐鞴懿块T(mén)應對報送的材料��,如資金申請報告����、銀行貸款承諾����、自有資金證明�����、各類(lèi)許可資質(zhì)等��,進(jìn)行認真核實(shí)�����,并負責對其真實(shí)性予以確認����。
���。ㄋ模╉椖考堎|(zhì)申報材料包括:項目資金申請報告(達到可行性研究報告深度)���、項目簡(jiǎn)表和項目匯總表�����,上述材料一式兩份����。項目簡(jiǎn)表��、項目匯總表�����、項目備案文件����、自有資金證明���、投資及信貸承諾等所有附件要與項目資金申請報告一并裝訂(項目簡(jiǎn)表和匯總表應訂裝在報告正文前)��。各項目材料一經(jīng)提供不予退還��,請做好備份���。
�。ㄎ澹╉椖坎牧系木唧w報送時(shí)間��、地點(diǎn)和相關(guān)要求將在今年9月下旬在國家發(fā)展改革委高技術(shù)司網(wǎng)站(網(wǎng)址http://gjss.ndrc.gov.cn)信息化欄目下另行通知�����。
��。┬畔踩a(chǎn)品產(chǎn)業(yè)化項目的承擔單位原則上應為企業(yè)法人�。申報項目應具備以下條件:(1)按規定在當地政府備案����;(2)已落實(shí)項目建設資金����;(3)采用的科技成果應具有自主知識產(chǎn)權����;(4)項目申報單位必須具有較強的技術(shù)開(kāi)發(fā)和項目實(shí)施能力�����,具備較好的資信等級��,資產(chǎn)負債率在合理范圍內�;(5)項目答辯時(shí)各單位應已有相關(guān)產(chǎn)品��。
����。ㄆ撸┲匾畔⑾到y安全可控試點(diǎn)示范項目的承擔單位應為企業(yè)法人或事業(yè)法人(不包含高校和科研機構)���,項目的具體要求及項目資金申請報告的編制要點(diǎn)詳見(jiàn)附件2���。
���。ò耍┍敬涡畔踩珜(zhuān)項分兩階段開(kāi)展����。第一階段受理金融信息安全���、云計算與大數據安全�、信息系統保密管理項目的申報�,截止時(shí)間為2013年10月15日�����。第二階段受理工業(yè)控制信息安全項目申報���,截止時(shí)間為2014年7月15日��。我委對項目進(jìn)行初步評審后�����,將組織現場(chǎng)答辯���。其中����,專(zhuān)項擬支持的產(chǎn)品將全部委托第三方檢測機構進(jìn)行公開(kāi)測試����,有關(guān)具體項目答辯和測試名單����、時(shí)間和地點(diǎn)���,以及公開(kāi)測試的時(shí)間將另行通知��。