2013年国家信息安全专项有关事项的通知
发改办高技[2013]1965号
工业和信息化部、公安部、安全部、质检总局、中科院、国家保密局、国家密码局办公厅(室),各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展改革委,相关中央直属企业:
为了贯彻落实《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号)的工作部署,针对金融、云计算与大数据、信息系统保密管理、工业控制等领域面临的信息安全实际需要,国家发展改革委决定继续组织国家信息安全专项。现将有关事项通知如下:
一、 专项重点支持领域
(一)信息安全产品产业化
产品自身应具有较高的安全性,不低于目前GB/T 20281-2006、GB/T 20275-2006、GB/T 18336-2008等国家标准中3级的相关要求。
1、金融信息安全领域
(1)金融领域智能入侵检测产品。适用于金融机构电子银行等应用业务系统,支持IPv4/IPv6环境,具有双向数据检测、历史数据关联分析、网络报警数据筛选过滤、反馈测试、自学习和自定义检测规则、多维度展现,以及攻击影响分级等功能,吞吐量不低于20Gbps,基于国内外主流特征库检测的漏报率低于10%、误报率低于5%。
(2)高级可持续威胁(APT)安全监测产品。适用于金融机构的业务网络和应用系统,支持IPv4/IPv6环境,具有规模化虚拟机或沙箱执行等动态检测技术的威胁感知功能,具备对各类设备网络文件传输异常行为、漏洞利用行为、未知木马、隐蔽信道传输等多样性、组合性和持续性攻击的检测能力,支持1000个以上的并发检测能力,基于国内外主流特征库检测的漏报率低于5%、误报率低于10%。
(3)面向电子银行的Web漏洞扫描产品。适用于金融机构电子银行业务系统,具备开放式Web应用程序安全项目(OWASP)通用漏洞的高启发、高强度、交互式检测能力,具有漏洞验证、基于电子银行系统业务流程的流量录制重放式的逻辑漏洞分析等功能,基于国内外主流漏洞特征库扫描的漏报率低于5%、误报率低于10%。
(4)金融领域应用软件源代码安全检查产品。适用于金融机构各类业务应用系统,具备适用于金融领域特点、可更新和自定义的安全扫描规则库,可定制扫描策略,在Linux、Aix、Windows、Android、iOS等环境下,具有对Java、C/C++、C#、JSP、COBOL、VB、Ruby等主流编程语言和.NET、Eclipse、Matlab等集成软件工具开发的应用系统进行源代码扫描的功能,对源代码潜在问题分析给出分级别建议,每小时扫描百万行以上代码,基于国内外主流软件源代码漏洞特征库检测的误报率低于30%、漏报率低于35%。