云端實(shí)驗(yàn)室安全管理系統(tǒng)需求說(shuō)明

云端實(shí)驗(yàn)室安全管理系統(tǒng)需求說(shuō)明一、項(xiàng)目概況本項(xiàng)目是合成生物設(shè)計(jì)平臺(tái)的內(nèi)容之一，通過(guò)安全管理系統(tǒng)建設(shè)，保障實(shí)驗(yàn)工作流程及實(shí)驗(yàn)、分析數(shù)據(jù)的安全性，快速、低成本、多循環(huán)地完成“設(shè)計(jì)—構(gòu)建—測(cè)試—學(xué)習(xí)”的閉環(huán)，實(shí)現(xiàn)人工生命體理性設(shè)計(jì)。本項(xiàng)目目標(biāo)是提供設(shè)施實(shí)驗(yàn)室安全管理功能。保障實(shí)驗(yàn)工作流程及實(shí)驗(yàn)、分析數(shù)據(jù)的安全性。云端實(shí)驗(yàn)室管理平臺(tái)PaaS層采用基于微服務(wù)的架構(gòu)，在微服務(wù)架構(gòu)下需對(duì)微服務(wù)的安全進(jìn)行考慮，包括用戶身份認(rèn)證、安全審計(jì)、API接口等多方面。通過(guò)身份認(rèn)證、訪問(wèn)控制、安全審計(jì)、應(yīng)用上線檢測(cè)等功能完成應(yīng)用開(kāi)發(fā)環(huán)境安全保障。為了保障構(gòu)建在基礎(chǔ)平臺(tái)之上的SaaS核心應(yīng)用正常運(yùn)轉(zhuǎn)，提高服務(wù)和維護(hù)水平，特別是要管理平臺(tái)網(wǎng)絡(luò)、系統(tǒng)環(huán)境，部署一套全面的運(yùn)維管理系統(tǒng)（堡壘機(jī)），制定相應(yīng)的管理策略和制度，實(shí)現(xiàn)集中統(tǒng)一管理，提供相應(yīng)審計(jì)的報(bào)告。在云平臺(tái)建立跨基礎(chǔ)平臺(tái)IaaS層、核心應(yīng)用PaaS層級(jí)及經(jīng)營(yíng)決策SaaS層的安全及運(yùn)維管理網(wǎng)，在安全及運(yùn)維管理網(wǎng)部署統(tǒng)一的安全管理及態(tài)勢(shì)感知平臺(tái)、運(yùn)維審計(jì)（堡壘機(jī)）、PKI/CA系統(tǒng)、漏洞掃描等，作為云平臺(tái)所上有安全資源進(jìn)行統(tǒng)一管控和安全事件的實(shí)時(shí)監(jiān)控及及應(yīng)急響應(yīng)處置平臺(tái)，提供全面的系統(tǒng)管理、安全管理和審計(jì)管理功能，包括對(duì)平臺(tái)內(nèi)的可信防護(hù)策略、審計(jì)策略、訪問(wèn)控制策略及統(tǒng)一的認(rèn)證和授權(quán)進(jìn)行管理。二、技術(shù)要求編號(hào)技術(shù)指標(biāo)名稱技術(shù)指標(biāo)值1應(yīng)用范圍和要求項(xiàng)目目標(biāo)是提供設(shè)施實(shí)驗(yàn)室安全管理功能。保障實(shí)驗(yàn)工作流程及實(shí)驗(yàn)、分析數(shù)據(jù)的安全性。安全管理系統(tǒng)包含微服務(wù)組件安全、應(yīng)用開(kāi)發(fā)環(huán)境安全、平臺(tái)運(yùn)維安全和統(tǒng)一安全管理四個(gè)模塊。安全管理系統(tǒng)可以實(shí)現(xiàn)用戶賬戶安全與設(shè)備安全統(tǒng)一管控，具備防病毒的能力，進(jìn)一步增強(qiáng)接入側(cè)安全，員工僅需安裝一個(gè)客戶端，提供終端安全、訪問(wèn)安全等能力;簡(jiǎn)化用戶操作，實(shí)現(xiàn)真正意義上的唯一入口，便于管控。收斂互聯(lián)網(wǎng)暴露面，實(shí)現(xiàn)了“業(yè)務(wù)隱藏”，滿足了業(yè)務(wù)開(kāi)展的安全需求:避免直接接觸式訪問(wèn)引發(fā)的安全風(fēng)險(xiǎn)，屏蔽掃描攻擊。2性能指標(biāo)一、微服務(wù)應(yīng)用安全1、提供從軟件網(wǎng)絡(luò)層面提升微服務(wù)架構(gòu)下多個(gè)系統(tǒng)對(duì)內(nèi)對(duì)外的安全策略；2、提供從硬件網(wǎng)絡(luò)層面提升微服務(wù)架構(gòu)下多個(gè)系統(tǒng)對(duì)內(nèi)對(duì)外的安全策略；3、提供用戶身份認(rèn)證、支持用戶登錄時(shí)雙因子認(rèn)證；4、提供標(biāo)準(zhǔn)化API接功能，可以對(duì)接多個(gè)微服務(wù)系統(tǒng)應(yīng)用；5、需要滿足二級(jí)等保要求中系統(tǒng)安全部分的內(nèi)容；6、提供安全審計(jì)功能，可以查詢系統(tǒng)的審計(jì)日志；二、應(yīng)用開(kāi)發(fā)環(huán)境安全1、搭建應(yīng)用開(kāi)發(fā)環(huán)境，保障應(yīng)用開(kāi)發(fā)環(huán)境和生產(chǎn)環(huán)境的的安全；2、實(shí)現(xiàn)應(yīng)用開(kāi)發(fā)環(huán)境網(wǎng)絡(luò)控制、數(shù)據(jù)傳輸可控；3、開(kāi)發(fā)環(huán)境在內(nèi)網(wǎng)部署，數(shù)據(jù)不可以進(jìn)入外網(wǎng)；4、開(kāi)發(fā)環(huán)境提供代碼層面的安全審計(jì)；5、支持應(yīng)用開(kāi)完完成的研發(fā)測(cè)試，測(cè)試通過(guò)后部署至生產(chǎn)環(huán)境；6、支持研發(fā)云桌面的身份驗(yàn)證、訪問(wèn)控制；7、研發(fā)環(huán)境提供身份認(rèn)證、訪問(wèn)控制、安全審計(jì)、應(yīng)用上線檢測(cè)等功能；三、SaaS化服務(wù)安全1、支持SaaS服務(wù)運(yùn)營(yíng)安全和網(wǎng)站安全；2、需支持對(duì)隱私數(shù)據(jù)進(jìn)行全生命周期管控，包括數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)計(jì)算、數(shù)據(jù)傳輸、數(shù)據(jù)展示等層面進(jìn)行管控；3、支持用戶隱私數(shù)據(jù)可用不可見(jiàn)，可使用諸如同態(tài)加密、安全沙箱、機(jī)密計(jì)算等技術(shù)實(shí)現(xiàn)。4、支持敏感數(shù)據(jù)的脫敏、掩碼等處理；5、數(shù)據(jù)存儲(chǔ)和傳輸支持國(guó)密算法；四、平臺(tái)運(yùn)維管理1、通過(guò)堡壘機(jī)保障生產(chǎn)環(huán)境安全，堡壘機(jī)訪問(wèn)控制；2、操作審計(jì)，包含運(yùn)維&普通人員操作的審計(jì)，尤其關(guān)注服務(wù)器操作；3、提供安全防護(hù)，支持防黑客，防勒索等應(yīng)用；4、統(tǒng)一的網(wǎng)絡(luò)策略管理功能，包含網(wǎng)絡(luò)訪問(wèn)控制、防火墻管理、各ip子域的網(wǎng)絡(luò)策略配置、流量控制等功能；5、態(tài)勢(shì)感知平臺(tái)、CA系統(tǒng)、限流（防攻擊手段）等安全措施應(yīng)用；6、支持系統(tǒng)漏洞掃描和修復(fù)功能，可以在安裝客戶端的終端直接執(zhí)行修復(fù)，也可以通過(guò)安全控制中心統(tǒng)一全網(wǎng)修復(fù)；7、具有流量控制功能，可以檢測(cè)每一臺(tái)終端的網(wǎng)絡(luò)流量情況，對(duì)任意終端執(zhí)行限速操作；8、支持安全資源進(jìn)行統(tǒng)一管控和安全事件的實(shí)時(shí)監(jiān)控及及應(yīng)急響應(yīng)處置；五、用戶管理1、用戶管理：支持接入統(tǒng)一用戶平臺(tái)，進(jìn)行系統(tǒng)登錄及用戶管理。2、菜單管理：可以對(duì)該系統(tǒng)內(nèi)的界面菜單、按鈕資源進(jìn)行配置管理，可靈活設(shè)置各個(gè)菜單名稱、圖標(biāo)（可從內(nèi)置字體圖標(biāo)庫(kù)或上傳外部圖標(biāo)）；3、角色管理，可以創(chuàng)建不同的角色及角色內(nèi)的菜單和按鈕資源授權(quán)；六、其他功能1.支持中英文雙語(yǔ)切換。2.新用戶給與操作指引。支持軟件頁(yè)面展示在線版操作手冊(cè)，方便用戶查閱。3.支持用戶反饋軟件問(wèn)題。4.展示軟件的版權(quán)歸屬，并支持可配置、更改，如“是否展示版權(quán)”、“版權(quán)歸屬內(nèi)容”。5.系統(tǒng)banner提示：允許管理角色配置重要的提示信息，用于在頁(yè)面向用戶展示，配置內(nèi)容包括：提示文案、生效時(shí)間、失效時(shí)間等。6.個(gè)人中心：對(duì)用戶基本信息進(jìn)行管理，如用戶名、密碼、郵箱等。七、系統(tǒng)設(shè)計(jì)通用要求1.

支持常用服務(wù)器操作系統(tǒng)，如WindowsServer、Linux等，并支持云資源環(huán)境，如AWS、華為云、阿里云、私有云等，同時(shí)要求支持64位操作系統(tǒng)。2.

部署需支持負(fù)載均衡和集群，以提高系統(tǒng)的可用性和容錯(cuò)能力。3.

UI/UE要求扁平化、簡(jiǎn)明化設(shè)計(jì)，以提高用戶體驗(yàn)。4.

系統(tǒng)支持容器化部署，如Docker等。5.

系統(tǒng)非正常停機(jī)時(shí)間不應(yīng)超過(guò)2小時(shí)/月，非正常停機(jī)次數(shù)不應(yīng)超過(guò)2次/年。如遇災(zāi)難性宕機(jī)，系統(tǒng)恢復(fù)時(shí)間應(yīng)不超過(guò)2小時(shí)。6.

宕機(jī)事故后，數(shù)據(jù)恢復(fù)率應(yīng)至少為80%。7.

系統(tǒng)平臺(tái)采用B/S架構(gòu)，基于Java語(yǔ)言進(jìn)行開(kāi)發(fā)，前后端分離，以提高系統(tǒng)的可維護(hù)性和擴(kuò)展性。8.

系統(tǒng)架構(gòu)要求采用分布式框架，如SpringCloud等，以提高系統(tǒng)的并發(fā)能力和可伸縮性。9.代碼編寫方面，要求對(duì)于復(fù)雜的業(yè)務(wù)邏輯有簡(jiǎn)明扼要的注釋，以提高代碼可讀性和可維護(hù)性。10.

數(shù)據(jù)業(yè)務(wù)查詢平均響應(yīng)時(shí)間應(yīng)不超過(guò)3秒，業(yè)務(wù)交互平均響應(yīng)時(shí)間應(yīng)不超過(guò)1秒，業(yè)務(wù)統(tǒng)計(jì)分析平均響應(yīng)時(shí)間應(yīng)不超過(guò)3秒，以提高系統(tǒng)的響應(yīng)速度和用戶體驗(yàn)。11.

上線后7個(gè)自然日之內(nèi)，要求提供各功能模塊點(diǎn)檢清單，以確保系統(tǒng)的穩(wěn)定性和可靠性。12.

在測(cè)試階段，對(duì)于業(yè)務(wù)主流程，要提交自動(dòng)化測(cè)試腳本，以提高測(cè)試效率和質(zhì)量。13.

系統(tǒng)需明確提供外部訪問(wèn)的API，可以編程調(diào)用，同時(shí)要求API涉及用戶鑒權(quán)，URL地址應(yīng)明確暴露，以提高系統(tǒng)的可擴(kuò)展性和互操作性。14.支持代碼托管服務(wù)，支持多種代碼托管協(xié)議和接口，如Git、SVN等。八、定制開(kāi)發(fā)服務(wù)1、編制需求調(diào)研計(jì)劃，進(jìn)行需求調(diào)研，從業(yè)務(wù)流程、單據(jù)使用、報(bào)表查詢等等方面展開(kāi)深入和全面的調(diào)研，并搜集用戶的個(gè)性化需求。形成《需求調(diào)研報(bào)告》并經(jīng)過(guò)用戶審核確認(rèn)。2、進(jìn)行流程分析和流程討論，流程編制和藍(lán)圖設(shè)計(jì)。編制《軟件功能確認(rèn)表》并經(jīng)過(guò)用戶審核確認(rèn)。3、基于基礎(chǔ)軟件包，需定制開(kāi)發(fā)功能包括：

（1）安全組件配置。

（2）安全管理定制化配置。

（3）應(yīng)用、微服務(wù)安全管理策略配置。3安裝調(diào)試培訓(xùn)服務(wù)1.交付時(shí)需要完成交付完整源代碼、產(chǎn)品文檔、開(kāi)發(fā)文檔（含數(shù)據(jù)庫(kù)設(shè)計(jì)文檔）、測(cè)試文檔、部署文檔。2.免費(fèi)進(jìn)行場(chǎng)地安裝服務(wù)。3.至少一次現(xiàn)場(chǎng)免費(fèi)培訓(xùn)。4.滿足24小時(shí)熱線服務(wù)。5.提供系統(tǒng)使用說(shuō)明書及培訓(xùn)文檔。4信息安全要求1.在系統(tǒng)與外界的網(wǎng)絡(luò)數(shù)據(jù)通信中，需具備數(shù)據(jù)加密措施。2.系統(tǒng)具備完善異常處理功能，能夠?qū)⒏鱾€(gè)組件產(chǎn)生的異常信息匯總報(bào)告至管理員。3.具備密碼復(fù)雜度安全要求與定期密碼變更要求，可設(shè)置密碼復(fù)雜度與密碼有效期。4.具備自動(dòng)記錄用戶操作功能。5.提供系統(tǒng)備份的工具和手段。6.系統(tǒng)架構(gòu)具備應(yīng)急處理機(jī)制、冗余互備機(jī)制，與各平臺(tái)接口的安全措施。7.

系統(tǒng)需記錄所有用戶的訪問(wèn)日志，包括登錄和注銷時(shí)間、訪問(wèn)時(shí)間、訪問(wèn)操作等信息。三、驗(yàn)收條件1.驗(yàn)收流程要求（1）需說(shuō)明對(duì)報(bào)價(jià)單中所列出的各個(gè)軟件、平臺(tái)的開(kāi)發(fā)、安裝、調(diào)測(cè)、實(shí)施，以及驗(yàn)收等環(huán)節(jié)的具體安排和進(jìn)度，提供投標(biāo)文件中預(yù)計(jì)完成的時(shí)間表(以合同簽訂時(shí)間作為起點(diǎn))。（2）項(xiàng)目驗(yàn)收前，需向采購(gòu)人提供設(shè)計(jì)報(bào)告、調(diào)試報(bào)告并提出項(xiàng)目驗(yàn)收申請(qǐng)書。申請(qǐng)書需說(shuō)明要求驗(yàn)收的軟件功能描述、是否達(dá)到文件和采購(gòu)人的功能要求、在驗(yàn)收申請(qǐng)?zhí)岢銮笆欠褚呀?jīng)進(jìn)行了功能測(cè)試，項(xiàng)目驗(yàn)收的過(guò)程、驗(yàn)收測(cè)試的數(shù)據(jù)、測(cè)試報(bào)告等。（3）本項(xiàng)目需經(jīng)第三方測(cè)評(píng)通過(guò)，第三方測(cè)評(píng)機(jī)構(gòu)由采購(gòu)人指定，費(fèi)用由采購(gòu)人支付。測(cè)評(píng)內(nèi)容應(yīng)涵蓋軟件平臺(tái)功能、性能及安全方面，測(cè)試評(píng)估通過(guò)獲取相關(guān)測(cè)評(píng)報(bào)告后進(jìn)入項(xiàng)目的驗(yàn)收。（4）最終驗(yàn)收時(shí)，應(yīng)至少提供相關(guān)的紙質(zhì)技術(shù)資料三份，內(nèi)容包括：項(xiàng)目設(shè)計(jì)類文檔、項(xiàng)目實(shí)施類文檔、項(xiàng)目質(zhì)檢與測(cè)試類文檔、系統(tǒng)用戶手冊(cè)類文檔等。須配合采購(gòu)人完成專家論證，專家論證未通過(guò)或出現(xiàn)問(wèn)題，如屬于原因造成的，應(yīng)承擔(dān)全部責(zé)任并解決全部問(wèn)題。2.驗(yàn)收文檔要求（1）項(xiàng)目驗(yàn)收后中標(biāo)方須提供詳細(xì)的軟件相關(guān)技術(shù)文檔、使用說(shuō)明書、維護(hù)手冊(cè)等文檔資料。（2）在本項(xiàng)目的設(shè)計(jì)、應(yīng)用系統(tǒng)建設(shè)和集成過(guò)程中，提供相應(yīng)文檔，包括系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、運(yùn)行、維護(hù)管理體系對(duì)應(yīng)的全部管理規(guī)范和技術(shù)文檔。要求各技術(shù)文檔應(yīng)與系統(tǒng)相一致，技術(shù)文檔應(yīng)該全面、完整、詳細(xì)、清晰，并應(yīng)滿足采購(gòu)人對(duì)系統(tǒng)的安裝、使用、維護(hù)、應(yīng)用開(kāi)發(fā)的需要。3.具體的文檔包括但不限于：（1）項(xiàng)目設(shè)計(jì)類文檔（2）項(xiàng)目實(shí)施類文檔（3）項(xiàng)目測(cè)試類文檔（4）系統(tǒng)用戶手冊(cè)類文檔4.培訓(xùn)要求需向采購(gòu)人提供免費(fèi)培訓(xùn)，培訓(xùn)方式應(yīng)包括理論培訓(xùn)和現(xiàn)場(chǎng)培訓(xùn)。針對(duì)不同的培訓(xùn)對(duì)象，投標(biāo)人在投標(biāo)文件中應(yīng)提出全面、詳細(xì)的培訓(xùn)計(jì)劃。應(yīng)按采購(gòu)人約定合理地安排培訓(xùn)時(shí)間。目標(biāo)是通過(guò)系統(tǒng)培訓(xùn)以達(dá)到系統(tǒng)管理人員能夠具備獨(dú)立管理所提供的系統(tǒng)軟件和日常的維護(hù)處理能力，各級(jí)業(yè)務(wù)人員能夠熟練使用系統(tǒng)軟件，確保應(yīng)用系統(tǒng)能夠真正的安全