國家發(fā)展改革委辦公廳關(guān)于組織實施2013年國家信息安全專項有關(guān)事項的通知

發(fā)改辦高技[2013]1965號

工業(yè)和信息化部、公安部、安全部、質(zhì)檢總局、中科院、國家保密局、國家密碼局辦公廳（室），各省、自治區(qū)、直轄市及計劃單列市、新疆生產(chǎn)建設(shè)兵團發(fā)展改革委，相關(guān)中央直屬企業(yè)：

       為了貫徹落實《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)[2012]23號）的工作部署，針對金融、云計算與大數(shù)據(jù)、信息系統(tǒng)保密管理、工業(yè)控制等領(lǐng)域面臨的信息安全實際需要，國家發(fā)展改革委決定繼續(xù)組織國家信息安全專項�，F(xiàn)將有關(guān)事項通知如下：
        一、 專項重點支持領(lǐng)域
       （一）信息安全產(chǎn)品產(chǎn)業(yè)化
        產(chǎn)品自身應(yīng)具有較高的安全性，不低于目前GB/T 20281-2006、GB/T 20275-2006、GB/T 18336-2008等國家標(biāo)準(zhǔn)中3級的相關(guān)要求。
        1、金融信息安全領(lǐng)域
      （1）金融領(lǐng)域智能入侵檢測產(chǎn)品。適用于金融機構(gòu)電子銀行等應(yīng)用業(yè)務(wù)系統(tǒng)，支持IPv4/IPv6環(huán)境，具有雙向數(shù)據(jù)檢測、歷史數(shù)據(jù)關(guān)聯(lián)分析、網(wǎng)絡(luò)報警數(shù)據(jù)篩選過濾、反饋測試、自學(xué)習(xí)和自定義檢測規(guī)則、多維度展現(xiàn)，以及攻擊影響分級等功能，吞吐量不低于20Gbps，基于國內(nèi)外主流特征庫檢測的漏報率低于10%、誤報率低于5%。
      （2）高級可持續(xù)威脅（APT）安全監(jiān)測產(chǎn)品。適用于金融機構(gòu)的業(yè)務(wù)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)，支持IPv4/IPv6環(huán)境，具有規(guī)�；�虛擬機或沙箱執(zhí)行等動態(tài)檢測技術(shù)的威脅感知功能，具備對各類設(shè)備網(wǎng)絡(luò)文件傳輸異常行為、漏洞利用行為、未知木馬、隱蔽信道傳輸?shù)榷鄻有�、組合性和持續(xù)性攻擊的檢測能力，支持1000個以上的并發(fā)檢測能力，基于國內(nèi)外主流特征庫檢測的漏報率低于5%、誤報率低于10%。
      （3）面向電子銀行的Web漏洞掃描產(chǎn)品。適用于金融機構(gòu)電子銀行業(yè)務(wù)系統(tǒng)，具備開放式Web應(yīng)用程序安全項目（OWASP）通用漏洞的高啟發(fā)、高強度、交互式檢測能力，具有漏洞驗證、基于電子銀行系統(tǒng)業(yè)務(wù)流程的流量錄制重放式的邏輯漏洞分析等功能，基于國內(nèi)外主流漏洞特征庫掃描的漏報率低于5%、誤報率低于10%。
      （4）金融領(lǐng)域應(yīng)用軟件源代碼安全檢查產(chǎn)品。適用于金融機構(gòu)各類業(yè)務(wù)應(yīng)用系統(tǒng)，具備適用于金融領(lǐng)域特點、可更新和自定義的安全掃描規(guī)則庫，可定制掃描策略，在Linux、Aix、Windows、Android、iOS等環(huán)境下，具有對Java、C/C++、C#、JSP、COBOL、VB、Ruby等主流編程語言和.NET、Eclipse、Matlab等集成軟件工具開發(fā)的應(yīng)用系統(tǒng)進行源代碼掃描的功能，對源代碼潛在問題分析給出分級別建議，每小時掃描百萬行以上代碼，基于國內(nèi)外主流軟件源代碼漏洞特征庫檢測的誤報率低于30%、漏報率低于35%。
      2、云計算與大數(shù)據(jù)信息安全領(lǐng)域
      （1）高性能異常流量檢測和清洗產(chǎn)品。支持IPv4/IPv6環(huán)境，適用于云計算和大數(shù)據(jù)的應(yīng)用，具備流量牽引和回注、網(wǎng)絡(luò)層和應(yīng)用層攻擊檢測與清洗等功能，支持地址區(qū)間的IP保護，可實現(xiàn)對100萬個以上IP地址的異常攻擊流量清洗，啟用全部檢測和清洗功能后，設(shè)備整體吞吐量達到100Gbps以上。
       （2）云操作系統(tǒng)安全加固和虛擬機安全管理產(chǎn)品。支持IPv4/IPv6 環(huán)境，支持虛擬化認證授權(quán)、訪問控制和安全審計，具備虛擬機逃逸監(jiān)控、實時操作監(jiān)測與控制、防惡意軟件加載和安全隔離等功能，具備1萬臺以上安全可控輕量級虛擬機的安全管理能力。
      （3）高速固態(tài)盤陣安全存儲產(chǎn)品。支持IPv4/IPv6 環(huán)境，具備雙控及冗余保護機制，具有緩存鏡像、掉電保護、采用國家密碼局規(guī)定算法的數(shù)據(jù)加密等功能，支持原生命令隊列（NCQ）技術(shù)及多種主流接口協(xié)議，單盤持續(xù)讀寫性能不低于200MB/s，容量大于512GB，每秒輸入輸出次數(shù)（IOPS）大于12,000，單陣列支持500塊以上單盤擴展，響應(yīng)時間小于800μs，非加密通道IOPS大于220,000，加密吞吐量大于1Gb/s。
      （4）大數(shù)據(jù)平臺安全管理產(chǎn)品。支持IPv4/IPv6 環(huán)境，具有對不少于3種大數(shù)據(jù)應(yīng)用平臺進行漏洞掃描、配置基線檢查、弱口令檢測、版本檢測和補丁管理等功能，可實現(xiàn)大數(shù)據(jù)去隱私化處理和策略化數(shù)據(jù)抽取與集成、統(tǒng)一的策略管理、統(tǒng)一事件分析、全文檢索及多維度大數(shù)據(jù)審計，能夠?qū)τ脩粼L問敏感信息行為進行報警、阻斷、跟蹤和追溯，關(guān)鍵安全策略同時支持結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)的管理，支持1000萬以上并發(fā)業(yè)務(wù)訪問。
      3、信息安全分級保護領(lǐng)域
      （1）網(wǎng)絡(luò)保密檢查和失泄密核查取證產(chǎn)品。適用于涉密網(wǎng)和普通業(yè)務(wù)網(wǎng)絡(luò)，支持各類主流操作系統(tǒng)，具備對各種網(wǎng)絡(luò)失密泄密事件證據(jù)保全、提取和分析的功能，支持只讀方式、多種硬盤接口、DD或AFF等多種鏡像格式，支持已刪除文件、注冊表、分區(qū)的恢復(fù)，具有自定義策略取證、關(guān)鍵詞搜索、2000萬個以上文件并行搜索、加密文件快速檢測的能力，對帶有密級標(biāo)志的圖形、版式等類型文件識別率大于95%。
      （2）特殊木馬檢查產(chǎn)品。適用于涉密網(wǎng)和普通業(yè)務(wù)網(wǎng)絡(luò)，支持各類主流操作系統(tǒng)，具有已知木馬和未知特殊木馬檢測的能力，具備木馬樣本及其配置信息的提取、特征歸類檢測等功能，能夠定期進行升級，已知木馬檢測準(zhǔn)確率為100%，未知特殊木馬檢測準(zhǔn)確率大于70%。
      （3）涉密信息系統(tǒng)安全保密風(fēng)險評估軟件產(chǎn)品。符合涉密信息系統(tǒng)分級保護相關(guān)國家保密標(biāo)準(zhǔn)，具備合規(guī)性檢測、漏洞掃描等功能，以自動檢測為主、人工判定為輔，評估內(nèi)容覆蓋涉密信息系統(tǒng)安全保密風(fēng)險評估全部項目，評估結(jié)論準(zhǔn)確可靠，能夠自動生成評估報告。
      4、工業(yè)控制信息安全領(lǐng)域
      （1）面向現(xiàn)場設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)產(chǎn)品。支持IPv4/IPv6及工業(yè)以太網(wǎng)，適用于集散控制系統(tǒng)（DCS）、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）、現(xiàn)場總線等現(xiàn)場環(huán)境，具備5種以上工業(yè)控制專有協(xié)議以及多種狀態(tài)或指令主流格式數(shù)據(jù)的檢查、過濾、交換、阻斷等功能，數(shù)據(jù)傳輸可靠性達到100%，可保護節(jié)點數(shù)不少于500點，設(shè)備吞吐量達到線速運行水平，延時小于100ms。
      （2）面向集散控制系統(tǒng)（DCS）的異常監(jiān)測產(chǎn)品。適用于電廠、石油、化工、供熱、供水等工藝流程，具      有對工業(yè)控制系統(tǒng)的DCS工程師站組態(tài)變更、DCS操作站數(shù)據(jù)與操控指令變更，以及各種主流現(xiàn)場總線訪問、負載變更、通信行為、異常流量等安全監(jiān)測能力，具備過程狀態(tài)參數(shù)、控制信號的閾值檢查與報警功能。
      （3）安全采集遠程終端單元（RTU）產(chǎn)品。支持工業(yè)以太網(wǎng)協(xié)議，適用于-40℃～＋70℃溫度環(huán)境，電磁兼容性（EMC）不低于4級，具有內(nèi)置安全模塊，實現(xiàn)數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）軟件端到端的信源加密，具備基于數(shù)字證書的安全認證功能，支持基于國家密碼局規(guī)定算法的數(shù)據(jù)加密，加密速率不小于20Mb/s。
      （4）工業(yè)應(yīng)用軟件漏洞掃描產(chǎn)品。適用于石油化工、先進制造領(lǐng)域，具有對符合IEC61131-3標(biāo)準(zhǔn)的控制系統(tǒng)上位機（SCADA/HMI）軟件、DCS控制器嵌入式軟件以及各種主流現(xiàn)場總線離線漏洞掃描能力，具有對數(shù)字化設(shè)計制造軟件平臺（如產(chǎn)品數(shù)據(jù)管理PDM、專用數(shù)控機床通信軟件eXtremeDNC、高級設(shè)計系統(tǒng)ADS等）漏洞掃描能力，具備檢測與發(fā)現(xiàn)軟件安全漏洞、評估漏洞安全風(fēng)險、可視化展示、漏洞修復(fù)建議等功能，漏洞檢測率達到90%以上。
      （二）重要信息系統(tǒng)安全可控試點示范
      1、金融信息安全試點示范
      支持商業(yè)銀行開展一體化信息安全風(fēng)險感知體系試點示范，按照信息安全等級保護相關(guān)要求，建立銀行系統(tǒng)整體信息安全風(fēng)險感知預(yù)警、網(wǎng)點集中管控的防護體系，完善災(zāi)備能力檢測、第三方安全服務(wù)質(zhì)量評價等管理規(guī)范。
      支持商業(yè)銀行開展電子銀行和移動支付業(yè)務(wù)系統(tǒng)安全態(tài)勢監(jiān)控試點示范，按照信息安全等級保護相關(guān)要求，構(gòu)建銀行新型增值業(yè)務(wù)應(yīng)用的安全管理機制，并形成相應(yīng)標(biāo)準(zhǔn)規(guī)范體系。
支持商業(yè)銀行、信息安全專業(yè)機構(gòu)、行業(yè)主管部門對電子銀行系統(tǒng)聯(lián)合開展金融領(lǐng)域釣魚網(wǎng)站和金融詐騙事件安全應(yīng)急保障試點示范，探索銀行、機構(gòu)和政府部門合作的新模式，建立聯(lián)合處置、及時有效的應(yīng)急保障機制。
      2、云計算與大數(shù)據(jù)安全應(yīng)用試點示范
      按照信息安全等級保護的相關(guān)要求，在金融、能源、交通、電子政務(wù)、電子商務(wù)和互聯(lián)網(wǎng)服務(wù)領(lǐng)域，支持重點骨干企業(yè)，圍繞主要業(yè)務(wù)應(yīng)用，采用安全可控的技術(shù)和產(chǎn)品，開展云計算和大數(shù)據(jù)安全應(yīng)用試點示范，研究制定云計算和大數(shù)據(jù)應(yīng)用的安全管理機制、責(zé)任認定機制、數(shù)據(jù)保護和使用安全機制與規(guī)范。
      3、信息系統(tǒng)保密管理試點示范
      在國家重點黨政機構(gòu)和涉密單位，按照信息安全等級保護相關(guān)要求，開展基于密級標(biāo)識的涉密信息及載體管控試點示范，部署電子文件密級標(biāo)識管理、涉密計算機和涉密移動存儲介質(zhì)識別管理等系統(tǒng)，探索重要信息系統(tǒng)保密管理新方式。
      支持商業(yè)機構(gòu)、專業(yè)機構(gòu)開展電子郵箱安全保密試點示范，采用國家密碼局規(guī)定算法，以及相關(guān)信息安全防護技術(shù)，建設(shè)安全郵箱服務(wù)平臺，形成電子郵箱防泄密、反竊密綜合保障能力，探索安全加密郵件與智能終端電子郵件消息加密推送等新服務(wù)模式。
      4、工業(yè)控制信息安全領(lǐng)域示范
      在電力電網(wǎng)、石油石化、先進制造、軌道交通領(lǐng)域，支持大型重點骨干企業(yè)，按照信息安全等級保護相關(guān)要求，建設(shè)完善安全可控的工業(yè)控制系統(tǒng)。建立以杜絕重大災(zāi)難性事件為底線的工業(yè)控制系統(tǒng)綜合安全防護體系，建立完善工業(yè)控制信息安全技術(shù)與管理的機制和規(guī)范。
      二、申報要求
       （一）請項目主管部門根據(jù)投資體制改革精神和《國家高技術(shù)產(chǎn)業(yè)發(fā)展項目管理暫行辦法》的有關(guān)規(guī)定，結(jié)合本單位、本地區(qū)實際情況，認真做好項目組織和備案工作，組織編寫項目資金申請報告并協(xié)調(diào)落實項目建設(shè)資金、環(huán)境影響評價、節(jié)能評估等相關(guān)建設(shè)條件，同時匯總相關(guān)申請材料并報我委。
      （二）通過國務(wù)院有關(guān)部門及中央直屬企業(yè)申報的項目，項目單位應(yīng)與有關(guān)部門和中央直屬企業(yè)有財務(wù)隸屬關(guān)系。其他項目應(yīng)按照屬地管理原則，通過項目單位所在地的省級發(fā)展和改革委員會申報。
      （三）項目主管部門應(yīng)對報送的材料，如資金申請報告、銀行貸款承諾、自有資金證明、各類許可資質(zhì)等，進行認真核實，并負責(zé)對其真實性予以確認。
      （四）項目紙質(zhì)申報材料包括：項目資金申請報告（達到可行性研究報告深度）、項目簡表和項目匯總表，上述材料一式兩份。項目簡表、項目匯總表、項目備案文件、自有資金證明、投資及信貸承諾等所有附件要與項目資金申請報告一并裝訂（項目簡表和匯總表應(yīng)訂裝在報告正文前）。各項目材料一經(jīng)提供不予退還，請做好備份。資金申請報告的具體編制要求詳見附件1、2。
      （五）項目材料的具體報送時間、地點和相關(guān)要求將在今年9月下旬在國家發(fā)展改革委高技術(shù)司網(wǎng)站（網(wǎng)址http://gjss.ndrc.gov.cn）信息化欄目下另行通知。
      （六）信息安全產(chǎn)品產(chǎn)業(yè)化項目的承擔(dān)單位原則上應(yīng)為企業(yè)法人。申報項目應(yīng)具備以下條件：（1）按規(guī)定在當(dāng)?shù)卣�府備案；�?）已落實項目建設(shè)資金；（3）采用的科技成果應(yīng)具有自主知識產(chǎn)權(quán)；（4）項目申報單位必須具有較強的技術(shù)開發(fā)和項目實施能力，具備較好的資信等級，資產(chǎn)負債率在合理范圍內(nèi)；（5）項目答辯時各單位應(yīng)已有相關(guān)產(chǎn)品。
      （七）重要信息系統(tǒng)安全可控試點示范項目的承擔(dān)單位應(yīng)為企業(yè)法人或事業(yè)法人（不包含高校和科研機構(gòu)），項目的具體要求及項目資金申請報告的編制要點詳見附件2。
      （八）本次信息安全專項分兩階段開展。第一階段受理金融信息安全、云計算與大數(shù)據(jù)安全、信息系統(tǒng)保密管理項目的申報，截止時間為2013年10月15日。第二階段受理工業(yè)控制信息安全項目申報，截止時間為2014年7月15日。我委對項目進行初步評審后，將組織現(xiàn)場答辯。其中，專項擬支持的產(chǎn)品將全部委托第三方檢測機構(gòu)進行公開測試，有關(guān)具體項目答辯和測試名單、時間和地點，以及公開測試的時間將另行通知。

附件：1、信息安全產(chǎn)品產(chǎn)業(yè)化項目資金申請報告編制要點
　　　　　2、重要信息系統(tǒng)安全可控試點示范具體要求及項目資金申請報告編制要點
　　　　　3、信息安全項目及承擔(dān)單位基本情況簡表
　　　　　4、信息安全項目匯總表

國家發(fā)展改革委辦公廳

2013年8月12日