亲爱的用户,您将自动升级为千里马新版用户,新版系统更加稳定、界面设计更加简洁、信息查找更加方便,考虑到数据安全的问题,升级后将无法回退至旧版,千里马将继续努力为您创造优质的用户体验,感谢您的理解与支持!
您尚未开通该权限!
咨询客服:400-688-2000,掌握更多商机线索!
交易项目编号:****
一、项目基本情况
项目编号:SYCG_21_2293
项目名称:信息系统安全等级保护建设与测评
预算金额:150.1764万元(人民币)
最高限价:150.1764万元(人民币)
采购需求:
第一包采购需求:
等保测评项目(第一包)
一、项目建设背景
按照原卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号)、《****办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)及《中华人民**国网络安全法》等法律和文件的要求,2020年我中心在迁入新址前已完成基础机房**与网络基础设施建设。
按网络安全规划分步实施的原则,2020年首先在政务网与内网边界加设了外网防火墙、入侵防御系统、上网行为管理系统、安全审计系统等产品,通过以上安全产品的上架运行,****中心基本的安全防范水平,但是入侵检测、日志审计、数据库审计、安全运维审计、VPN安全网关、灾备自动恢复等系统没有配备到位,安全运维欠缺等,仍未实现整体安全防护功能,****中心需要达到等级保护级别,中心信息系统仍面临着各种外部和内部威胁。
项目服务期:在合同生效后4个月内完成合同项下所有工作
项目主要建设内容
第一包
(一)第一部分:等保测评技术需求
项目名称
系统名称
预算金额
(人民币)
简要技术要求
等保测评项目
两个第二级(综合办公系统、慢病信息化管理系统)、一个第三级(公共卫生检测服务平台)
30万元
服务内容:本项目采购的信息安全服务包括:网络安全等级保护备案、测评及咨询,安全培训等。
(二)第二部分:服务需求
注:不满足*条款的投标将视为无效投标。
1.项目概况与招标范围
1.1项目名称:等保测评项目。
1.2种类及规模:公开招标信息安全等级保护测评机构。
1.3使用功能:对北****控制中心信息系统进行信息安全等级保护测评工作并交付相应成果。
1.5服务地点:**。
1.6服务内容:本项目采购的信息安全服务包括:网络安全等级保护测评及咨询,安全培训等。详细需求如下:
(1)网络安全等级保护咨询:
等级保护咨询:
同时针对等级测评中的整改建议提供咨询服务,帮助招标人制定切实可行的整改方案,。
(2)等级保护测评:
测评机构依据最新的国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对招标人招标文件中的信息系统的信息系统安全等级保护状况进行检测评估,并给出测评报告。
差距分析:根据网络和信息系统的安全保护等级,按照国家等级保护相应等级的技术和管理要求,分析评价参加测评的信息系统所依托的网络和信息系统当前的安全防护水**措施与相应等级要求之间的差距。最终出具《差距分析报告》。
安全整改和加固:依据差距分析报告及发现的问题及风险隐患,对被测系统提出整改和加固建议,编制《等级保护整改方案》,并为安全整改和加固工作提供指导。
(3)安全培训服务
信息安全培训:
(4)售后服务
5.上述所有支持工作均不受人天限制,以实际工作为准。
1.7服务规范和要求:
(1)《中华人民**国网络安全法》
(2)《计算机信息系统安全保护等级划分准则》GB17859-1999
(3)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
(4)《信息安全等级保护备案实施细则》(公信安[2007]1360号)
(5)《网络安全等级保护定级指南》GB/T22240-2020
(6)《信息安全技术网络安全等级保护测评过程指南》GB/T28449-2018
(7)《信息安全技术网络安全等级保护测试评估技术指南》GB/T36627-2018
(8)《信息安全技术网络安全等级保护实施指南》GB/T25058-2019
(9)《信息安全技术网络安全等级保护基本要求》GB/T22239-2019
(10)《信息安全技术网络安全等级保护安全设计技术要求》GB/T25070-2019
(11)《信息安全技术网络安全等级保护测评要求》GB/T28448-2019
(12)《信息系统安全等级保护测评报告模板(2019年版)》
(13)《信息安全技术信息安全风险评估规范》GB/T20984-2007
(14)《信息安全技术信息安全风险评估实施指南》GB/T31509-2015
(15)《信息安全技术网络安全等级保护定级指南》(参考)GB/T22240-2020
1.8服务方式:现场服务方式。
1.9实施周期:服务期限为自合同签订起120日历天内完成。
2.服务要求
安全等级测评要求
在合同期内完成要求的信息系统等级保护测评工作,制定测评工作计划、实施现场测评、提出整改建议并协助整改、出具测评报告和安全检查报告。
投标人应严格建立质量保证体系,将制定项目的质量控制方案和实施措施,并督促完成各环节质量控制内容和目标;保证项目各个阶段满足甲方对质量的要求。
投标人应根据项目的工作计划,对阶段性项目工作成果进行审核,并向甲方提交里程碑式工作成果。通过保证各个阶段性成果的质量,最终保证整个项目的质量。
2.1质量管理
建立一套科学、系统、规范和有效的项目管理体系和运作机制,如制定明确量化的项目目标、项目风险管理、项目进度管理、项目质量保证体系等,以对整个实施过程及各环节起到科学有效的控制、监督和保障作用,确保项目实施的质量和效率。具体应保证以下内容:
项目成本管理:主要包括服务团队人员工时的合理分配等控制工作。
项目质量管理:确保项目达到招标人所规定的质量要求,主要包括项目过程文档、交付物的质量控制工作。
项目人力**管理:包括项目组服务团队的规划、建设,人员资质的监督和招标人项目团队的沟通牵头工作。
项目沟通管理:确保项目信息的合理收集和传输,包括项目双方之间的沟通规划、信息传输和服务团队出具的项目进度报告等工作。
项目风险管理:预估项目可能遇到各种不确定因素,并开展风险识别,风险量化,制订对策和风险控制等工作。
2.2项目原则
本项目方案设计与项目实施满足以下原则:
(二)规范性原则:在项目实施过程中产生的文档具有良好的规范性,便于项目的跟踪和控制。
(三)整体性原则:测评内容应当整体、全面,包括信息安全的各个层面,避免由于遗漏造成潜在的安全隐患。
(四)最小影响原则:测评工作应尽可能小的影响系统和网络正常运行,不能对现有网络的运行和业务的正常开展产生明显影响(包括系统性能明显下、网络堵塞、服务终端等)。
2.3项目验收
(1)项目服务内容全部按招标人要求实施完毕并通过招标人组织的验收评审;
(2)项目交付物全部通过招标人审核并交付招标人;
(3)合同条款中工作全部执行完毕。
3.等级保护测评标准和交付物
3.1等级保护测评技术测评要求
技术测评要求工作内容主要包括安全物理环境测评、安全通信网络测评、安全区域边界测评、安全计****管理中心测评,以下采用网络安全等级保护第三级信息系统测评指标进行举例。
3.1.1安全物理环境测评
安全物理环境测评将通过访谈和检查结合的方式评测被测信息系统的物理安全保障情况。主要涉及对象为机房。
在内容上,安全物理环境测评实施过程涉及10个工作单元,具体如下表:
序号
安全子类
测评指标描述
1
物理位置选择
通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。
2
物理访问控制
通过访谈物理安全负责人,检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。
3
防盗窃和防破坏
通过访谈物理安全负责人,检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。
4
防雷击
通过访谈物理安全负责人,检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。
5
防火
通过访谈物理安全负责人,检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。
6
防水和防潮
通过访谈物理安全负责人,检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。
7
防静电
通过访谈物理安全负责人,检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。
8
温湿度控制
通过访谈物理安全负责人,检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。
9
电力供应
通过访谈物理安全负责人,检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。
10
电磁防护
通过访谈物理安全负责人,检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。
3.1.2安全通信网络测评
安全通信网络测评将通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象机房的网络设备、网络安全设备以及网络拓扑结构等三大类对象。
在内容上,安全通信网络测评过程涉及3个工作单元,具体如下表所示:
网络架构
测评分析网络架构与网段划分、隔离等情况的合理性和有效性。
通信传输
测评通信过程中的完整性、保密性等。
可信验证
基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证。
3.1.3安全区域边界测评
安全区域边界测评将通过访谈、检查和测试的方式评测信息系统的安全区域边界保障情况。为信息系统整体安全性进行综合风险评价做准备。
在内容上,安全区域边界测评实施过程涉及6个测评单元,具体如下表所示:
边界防护
测评分析信息系统网络边界安全防护的状况。
访问控制
入侵防范
测评分析信息系统对攻击行为的识别和处理情况。
恶意代码和垃圾邮件防范
测评分析信息系统网络边界和核心网段对病毒等恶意代码及垃圾邮件的防护情况。
安全审计
测评分析信息系统审计配置和审计记录保护情况。
3.1.4安全计算环境测评
安全计算环境测评将通过访谈、检查和测试的方式评测信息系统的主机系统安全保障情况。
在内容上,安全计算环境测评实施过程涉及11个工作单元,具体如下表所示:
身份鉴别
检查服务器的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。
检查服务器的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。
检查服务器在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。
恶意代码防范
检查服务器的恶意代码防范情况,如服务器是否安装统一管理的恶意代码防范软件,是否及时升级病毒库等。
数据完整性
测评操作系统、数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的完整性保护情况。
数据保密性
测评操作系统和数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的保密性保护情况。
数据备份恢复
测评信息系统的安全备份情况,如重要信息的备份、硬件和线路的冗余等。
剩余信息保护
测评鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除。
11
个人信息保护
3.1.5****中心测评
****中心测评将通过访谈、检查和测试结合的方式评****管理中心保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全。
在内容上,****中心层面测评实施过程涉及4个工作单元,具体如下表所示:
系统管理
测评信息系统的系统管理员对系统的管理情况。
审计管理
测评信息系统的安全审计员对系统的审计情况。
安全管理
测评信息系统的安全管理员对系统的安全策略的配置情况。
集中管控
测评网络链路、安全设备、网络设备和服务器等设备的运行状况的集中监测、分析、报警等。
3.2交付物
本次等保测评项目服务交付物包括但不限于如下文件:
项目阶段
文档产出
项目准备
《项目计划书》
《基础信息调研表》
《选用项目实施工具清单》
定级备案
《信息系统定级报告》
《信息系统备案表》
《专家评审意见》
《信息系统备案证明》
项目方案编制
《测评实施方案》
初测评(差距分析和渗透漏扫)
《信息系统差距分析报告》
《信息系统出测评报告》
《渗透测试报告》
12
《安全配置核查记录》
13
《工具测试扫描记录》
14
《漏洞扫描报告》
15
《安全问题分析汇总及整改建议》
16
《****中心基础机房运行环境的安全分析报告》
17
整改阶段
《信息系统安全整改设计方案》
18
《系统安全加固方案》
19
《安全管理制度文件》修订版
20
《安全管理制度运行记录》
21
等级测评
《现场测评结果记录》
22
《等级保护测评报告》
23
项目验收
《验收报告》
测评实施****机关发布的“《信息系统安全等级保护测评要求》GB/T28448-2019”,测评报告格式必须符合《网络安全等级保护测评报告模板(2021版)》。
4.等级保护测评系统明细表
信息系统名称
业务信息安全保护等级定级
公共卫生检测服务平台
第三级
综合办公系统
第二级
慢病信息化管理系统
5.技术方案要求
投标人根据对于甲方项目需求的理解提供完整的信息安全整体设计方案、项目实施和管理方案、项目实施安全方案、人员投入方案、培训和知识转移方案、售后服务方案等,以上方案能充分满足项目建设的实际要求,充分考虑项目实施过程中的各种技术因素,同时充分满足本项目所承载的业务应用系统的支撑要求,安全可控,计划得当,能搞充分满足被测评系统稳定、安全、可靠运行的基本要求。
投标人应对各项服务要求做出实质响应。如果不能响应、低于或高于服务指标,须在技术偏离表中明确说明。
6.报价表
6.1网络安全等级保护测评报价:
服务综述
服务名称
服务内容
工作成果
一个三级系统报(元)
一个二级系统报价(元)
网络安全等级保护测评及咨询服务
定级备案咨询
系统梳理;编写定级报告和基础信息调研表;
协助邀请专家,召开等级保护定级专家评审会;协助整理定级备案材料,完成正式的定级备案等工作。
《定级报告》
《备案证明》
漏洞扫描
对被测系统涉及到的所有软硬件进行全面的漏洞扫描服务,针对发现的问题协助开展安全加固整改工作。
等级保护差距分析
根据等级保护相应级别的基本要求对被测系统从物理环境、网络、主机、应用和数据以及管理等多个层面进行差距分析,明确被测系统安全现状与等级保护要求之间的差距。
《差距分析报告》
安全整改和加固
依据等级保护差距分析、漏扫结果最终编制等级保护整改方案,对被测系统提出整改和加固建议,并为安全整改和加固工作提供指导。
《等级保护整改方案》
制度、流程梳理和咨询
安全制度、规定和流程的梳理和制定
信息安全等级保护测评
《信息系统安全等级保护测评报告》
等级保护工作支持
为甲方在等级保护工作提供技术和咨询支持。
技术支持和咨询支持
6.2安全培训报价
总价(元)
信息系统
安全咨询
安全
方案制订
《信息系统安全建设方案》
专家评审
信息
安全培训
信息安全培训
每年进行四次网络安全培训。培训内容应包括网络安全等级保护最新体系和要求,风险评估最新体系及要求,信息安全保障体系及根据现时网络现状,对最新的网络威胁进行研判,对最新的安全技术进行介绍等。本次为每年四次安全培训的报价。
《培训
方案》
*7.其他要求
7.1根据公信安〔2018〕765号《网络安全等级保护测评机构管理办法》要求,投标人须具有履行合同所必需的设备和专业技术能力,须满足如下条件:
(1)具备“国家网络安全****小组办公室”颁发的《网络安全等级保护测评机构推荐证书》,提供复印件加盖投标单位公章;具备**部颁发**网络安全等级保护测评机构推荐证书(DJCP)的测评机构合格证明材料:提供**部颁发**网络安全等级保护测评机构推荐证书(DJCP)复印件。
7.2人员要求
项目实施团队的组成结构合理,项目人员配备必须满足至少高级“信息安全等级测评师”1名,中级“信息安全等级测评师”3名,初级“信息安全等级测评师”4名。
第二包采购需求:
网络安全设备采购(第二包)
第一部分网络安全设备采购需求
信息系统安全等级保护建设及测评(网络安全设备采购)
90.1764万元
通过采购数据库审计、日志审计、网闸、堡垒机、入侵检测、灾备一体机、VPN网关、APT攻击检测、实施设备集成和安全策略优化,****控制中心单位两个第二级(综合办公系统、慢病信息化管理系统)、一个第三级(公共卫生检测服务平台)达到相应的等级保护要求,通过相应的等级保护测评,以符合网络安全法、网络安全等级保护管理办法等法律、法规的要求。
货物名称
主要配置、参数
单位
数量
应用地点
数据库审计设备
标准机架式硬件设备,含单交流电源,2*USB接口,1*RJ45串口,1*GE管理口,6*GE电口,1个接口扩展槽位,2TSATA硬盘。包含数据库审计功能,包含产品安装、调试、培训,含三年原厂软件升级及硬件质保。
套
疾控中心政务网
日志审计系统
疾控中心政务网、办公网
安全隔离与信息交换系统(网闸)
标准机架式硬件设备,采用双主机架构,内外网各6个千兆电口,共2个RJ45串口和4个USB2.0口,冗余电源,500Mbps吞吐量,含全部功能模块。含安装、调试、培训;原厂3年升级服务、原厂3年维保服务。
堡垒机(安全运维管理系统)
网络入侵检测系统
标准机架式设备,含交流冗余电源模块,2*USB接口,1*RJ45串口,1*RJ45管理口,6*GE(Bypass)接口,1个接口扩展槽位。1TSATA硬盘。含入侵防护特征库三年升级服务,包含产品安装、调试、培训,含三年原厂软件升级及硬件质保。
疾控中心办公网
灾备一体机
VPN网关
未知威胁防御系统(APT攻击检测系统)
标准机架式设备,含交流电源模块,设备吞吐性能600Mbps,内存大小16G,硬盘容量2TBSATA,6千兆电口+2千兆光口SFP。设备定位为客户的APT防护一体机,定位异常网络行为,及时检测和响应。含安装、调试、培训;原厂3年升级服务、原厂3年维保服务。
第二部分技术参数明细
2.1技术参数明细
2.1.1数据库审计
要求类别
功能及技术描述
硬件指标★
系统应为标准式机架硬件设备,全内置封闭式结构,具有国产化的操作系统、硬件平台
接口要求:千兆电口≥6个,1个扩展插槽,可支持扩展4千兆光口或4千兆电口
硬盘存储空间≥2T,内存≥16G
性能指标★
SQL语句处理能力≥10000条/秒,纯数据库网络吞吐量:峰值≥200Mbit/秒。
数据库类型
支持主流国产化数据库:DM、Oscar、Kingbase、Gbase,HighGoDB以及Oracle、SQLServer、MySQL、DB2、Sybase、PostgreSQL、Informix、、Hbase、MongoDB、HIVE、Redis、Cache
部署方式
旁路部署模式下无须在被审计数据库系统上安装任何代理即可实现审计
#支持在目标数据库安装Agent解决无法通过旁路镜像获取流量的场景,如同服务器部署数据库和应用系统、云环境、虚拟化环境场景下数据库的审计,需提供web界面功能截图。
审计能力
支持在IPV6环境中部署,且支持所有数据库IPV6协议的审计。
#通用规则置于全局规则集,通过分配和指定作用于特定审计对象,非通用规则置于具体审计对象中,需提供web界面功能截图。
#数据库操作行为基线包括数据库账号、访问终端及操作类型等行为特征,需提供web界面功能截图。
#对超出数据库操作行为基线的操作可自动识别,并采取记录、告警及阻断措施,需提供web界面功能截图。
支持数据库请求和返回的双向审计,特别是返回字段和结果集、执行状态、返回行数、执行时长等内容,支持通过返回行数和内容大小控制返回结果集大小。
会话的终端信息:IP、MAC、Port、工具名称(程序名)。
会话的主机信息、IP、MAC、Port、数据库名(实例名)。
操作影响范围信息:查询、修改、删除操作的影响行数,以及返回行数。
#支持MySQL数据库的SSL/TSL加密链路审计,需提供web界面功能截图。
#能对基于数据库漏洞进行攻击行为监测和告警,默认支持200个以上的数据库漏洞攻击规则库,需提供web界面功能截图。
告警能力
#支持风险语句告警策略。(黑白名单效果),需提供web界面功能截图。
自定义添加风险语句和可信语句(黑白名单效果);
根据风险操作、SQL注入、漏洞攻击检测、语句管理等模块定义告警规则。
审计结果展示查询
#对审计结果集敏感内容可进行屏蔽,需提供web界面功能截图。
对详细信息中的SQL语句能进行客户化翻译。
支持客户单IP建立别名。
报表统计分析
#会话分析:基于客户端IP、数据库用户、访问程序统计会话、支持会话检索;失败会话和并发会话统计;支持应用层关联会话查询,需提供web界面功能截图。
支持风险语句挖掘和超链接钻取。
基于总体概况、性能、会话、语句、风险多层面展现报表,支持图表结合展现,支持柱形图、饼状图、条形图,双轴折线图等多种统计图展现形式。
#语句分析:基于SQL语句的操作类型统计,支持失败sql统计、Topsql统计;支持针对新型语句、语句审计模板检索,需提供web界面功能截图。
#支持报表自定义,自定义项不少于10种,需提供web界面功能截图。
数据维护
支持基于阈值的日志自动清理能力。
支持手动清理日志信息。
产品安全性
根据三权分立的原则。提供系统管理员、安全管理员和审计管理员不同的用户身份验证。系统针对产品操作人员的操作行为进行审计记录,可以由审计管理员进行查询,具有自身安全审计功能。提供审计数据管理功能,能够实现对审计数据的自动备份、删除和导入。
#产品资质
信息系统安全专用产品销售许可证,提供证书复印件;
中国国家信息安全产品认证证书(ISCCC),提供证书复印件;
网络关键设备和网络安全专用产品安全认证(增强级),提供证书复印件;
国测信息技术产品安全测评证书-EAL3+,提供证书复印件;
IPv6ReadyLogo认证证书,提供证书复印件;
#厂商资质
厂商应具备足够的信息安全服务技术实力及安全服务保障能力,****测评中心颁发的信息安全服务安全工程类三级资质证书,提供证书复印件。
为保障技术可靠性,产品生产厂商具备CMMIL5认证证书,提供证书复印件。
厂商应具备足够的信息安全服务技术实力及安全服务保障能力,****测评中心颁发的信息安全服务安全开发类一级及以上资质证书,提供证书复印件。
厂商应为网络安全应急服务支撑单位,并具备网络安全应急服务支撑单位证书(国家级),提供证书复印件。
设备制造厂商应是微软MAPP(MicrosoftActiveProtectionProgram)计划战略**伙伴,提供网页截图。
2.1.2日志审计
系统应为标准式机架硬件设备,全内置封闭式结构,具有完全自主知识产权的专用安全操作系统;
系统应支持冗余电源,避免电源硬件故障时设备宕机,提高设备可用性;
系统应至少包含1个RJ45串口,2个GE口,1个CF卡,4个接口扩展槽位;
系统硬盘容量应不低于4TB,应支持扩容。
系统应默认支持审计100个以上日志源接入,应可扩展日志源接入数量;
系统应支持不低于每秒3000EPS的日志平均处理能力。
系统架构
系统应基于大数据平台架构,具备海量数据收集与快速检索能力;
系统应基于B/S架构,支持SSL加密模式访问,通过web方式直接对系统进行管理;
系统应支持网闸、NAT场景的日志采集。
日志采集
系统支持的数据采集范围包括但不限于网络安全设备、交换设备、路由设备、操作系统、应用系统等。
系统支持的数据采集方式包括但不限于SYSLOG、RSYSLOG、SNMPTrap、FTP、ODBC、JDBC、Netflow、WMI、二进制数据、专用Agent等方式采集日志。
****设备厂家包括但不限于:Venustech(启明星辰)、Topsec(天融信)、DBAPPSecurit(安恒)、SANGFOR(深信服)、NSFOCUS(绿盟科技)、Hillstone(山石网科)、东软、瑞星、**、网康、360网神、Dptech(迪普)、艾科网信、Imperva、Juniper(瞻博网络)、F5、Symantec(赛门铁克)、DeepSecurity(趋势科技)、MaAfee(迈克菲)、Fortinet(飞塔)、Windows、Linux/Unix、Cisco(思科)、HUAWEI(华为)、H3C(华三)、中兴、Apache、nginx、IIS、WebLogic、Vmware、Kvm、Xen、OpenStack、Hyper-V、华为FusionSphere、Oracle、MySQL、PostgreSQL、SQLServer、Bind等。
日志管理
系统应能实现海量日志数据的采集并保存原始日志数据,对异构日志格式进行统一化处理并保存统一化处理后的日志数据。
#系统支持界面配置即可完成未识别日志接入,无需编写xml,需提供web界面功能截图。
#系统支持NAT环境下的Agent部署模式,需提供web界面功能截图。
系统支持范式化日志多级提取。
系统支持正则、KV、格式串等多种灵活的提取方式。
系统支持自动生成正则以高效的辅助提取。
#系统应能够实现范式化日志的枚举值管理,实现对范式化日志字段的灵活翻译,需提供web界面功能截图。
系统应支持IPv4、IPv6日志数据的采集、范式化、分析、展示。
#系统应支持日志源监控能力,包括采集器维度及资产维度的监控,资产维度支持展示资产详细信息,需提供web界面功能截图。
日志转发
系统应提供日志转发功能,应支持日志转发多个目标地址,可实现原始日志、范式化日志的转发,且不丢失原始日志源IP信息。
日志备份恢复
系统应支持按类型、按日期(天),手动、自动备份日志。
系统应支持设置日志存储备份策略,可设置备份周期、备份日志类型。
系统应支持备份日志导入查询。
系统应支持日志备份远程服务器,如传送到FTP服务器。
#系统应支持日志存储扩展,如NFS网络共享存储扩展,需提供web界面功能截图。
日志查询分析
系统应支持实时日志查询、历史日志查询。
系统应支持原始日志、范式化日志查询。
系统应支持自定义查询规则。
#系统应支持全文检索、模糊检索、正则检索等多种方式,需提供web界面功能截图。
系统应支持日志检索结果存储为日志监控视图。
事件告警
#系统应内置事件分类,并支持自定义事件分类,可定义事件分类的风险级别,需提供web界面功能截图。
系统应内置丰富的事件规则,应支持自定义事件规则。
#系统应支持多源事件关联分析能力,包括单源过滤模式、多源时序模式和多源关联模式,需提供web界面功能截图。
系统应支持基于事件分类的告警规则,支持短信、声音、邮件、界面提示等多种告警方式。
系统应支持告警抑制。
系统应支持查询实时事件,并可以很方便的下钻事件规则以及原始日志信息。
资产管理
系统应支持资产属性配置。
系统应支持资产标签,且至少6种标签以上,根据标签可快速查询资产。
系统应支持手工注册资产,支持对资产进行修改/删除、批量导入/导出/添加/修改/删除等多种方式的管理。
系统应支持从日志中进行资产发现。
#系统应支持资产以拓扑图形式展示,鼠标移动至资产图标可展示对应的资产信息,需提供web界面功能截图。
报表管理
系统应能够按照多种维度统计日志信息。
系统应支持统计分析报表与多种文件格式导出。
系统应能支持用户上传自定义报表模板。
#系统应能支持自定义报表目录、LOGO等,需提供web界面功能截图。
统计项管理
系统应支持生成折线图、趋势图、饼图、柱状图、表格等统计项。
#系统应支持统计项引用到报表,需提供web界面功能截图。
用户管理
系统应支持用户自定义账号。
系统应支持管理员、审计员、操作员多种权限设置。
系统应支持超时退出机制。
系统应支持来访IP限制,对暴力猜测IP地址进行锁定。
系统自身安全性管理
系统应支持自身日志记录并可查询、自身CPU、内存和磁盘使用率可监控并以图形化方式动态显示,且支持状态监控和主动告警。
系统应支持系统基本参数管理、基本配置管理。
******部销售许可证
产品具有中国国家信息安全产品认证证书;
产品具有国家信息技术产品安全测评证书(EAL3+);
2.1.3网闸
1、采用2+1系统架构即内网单元+外网单元+FPGA专用隔离硬件。不能采用网线等形式直通。
2、采用基于linux内核的多核多线程专用安全操作系统,加固内核。
标准机架式机箱,冗余电源,内网6个GE接口,外网6个GE接口,
2个RJ45串口,4个USB2.0接口。
并发连接数>10万
系统延时<1ms
无用户数限制
最大吞吐量≥500Mbps
内置模块
系统内置安全浏览、文件同步、实时数据库、关系数据库、邮件模块、MODBUS、组播代理、用户自定义等应用模块,并可控制协议的的动作、参数、内容。
文件交换
支持Samba、FTP等多种文件协议,可以实现内网到外网、外网到内网、双向的文件传送。
支持病毒检测。
#支持对文件类型的黑白名单控制,根据文件格式特征进行过滤,并且不依赖于文件扩展名,需提供web界面功能截图。
支持文件内容深度检测,对包含关键字内容的文件进行过滤。
支持增量传输、传输后删除等传输策略。
支持目录内子目录同步,子目录级别不受限制。
支持文件交换容错和告警功能,交换出错能够自动重传,出现异常能够告警提示并记录日志。
可通过专用客户端或共享方式提供安全的文件同步功能。
视频应用
支持视频会议。
支持平台级联和视频点播功能。
支持RTP/RTCP、H323等协议。
#支持SIP信令控制,可控制云台,需提供web界面功能截图。
支持海康、大华、华为、华三、**一所、天地伟业、天视达、宇视、科达、数码视讯、藏愚、合众、汉邦等视频厂商。
关系型数据库
#支持Oracle、SQLServer、Mysql、Sybase、DB2、Postgresql等多种主流国外数据库的同步和国产达梦数据库、人大金仓数据库的同步,需提供web界面功能截图。
支持同构、异构数据库之间的同步,如Mysql同步至Oracle。
支持字段级数据同步,仅同步表中某几个字段。
支持BLOB、CLOB等大字段的同步。
#同步功能由网闸主动发起并完成,无需在数据库安装方软件,支持Windows、Linux、Unix等多种数据库操作系统,且网闸无需开放端口以杜绝安全隐患,需提供web界面功能截图。
同时支持客户端方式,提供更高性能的数据库同步。
支持数据库同步实时日志记录,提供日志审计、查询。
邮件交换
支持SMTP、POP3协议。
支持病毒检测功能。
支持邮件地址、附件、主题、内容等进行过滤。
支持附件大小、附件格式控制;支持发件人、收件人过滤。
MODBUS模块
支持MODBUS协议,可按照用户需求控制具体功能代码及值域等参数,**只允许读取,不能设置,只允许设置某一线圈的值在某个范围等。
实时数据库
支持实时数据库代理。
诊断工具
#系统提供ping,traceroute,TCP端口探测、抓包等工具方便管理员在配置策略或调整网络时排查问题,需提供web界面功能截图。
日志审计
系统可存储和审计包含:系统日志;管理日志;网络活动日志;入侵报警及处理日志;访问控制日志。
双机热备
支持双机热备及多机热备功能,最大化的保障业务可用性。
声控报警
支持磁盘空间超过预定值时,产生蜂鸣器报警。
支持双机热备工作时蜂鸣器报警,备机接替主机工作时,备机产生周期性鸣笛报警;主机恢复工作后,备机停止工作,同时停止鸣笛告警。
1产品应具******部颁发的增强级《计算机信息系统安全专用产品销售许可证》,提供有效证书的复印件。
3******部安全与****检测中心颁发的《软件测试报告》(符合GB/T28181-2016公共安全射频监控联网系统信息传输、交换、控制技术要求),提供有效证书的复印件。
2.1.4堡垒机
功能与技术描述
机架式设备,单交流电源
≥1个RJ45串口,≥1个GE管理口,≥4个GE电口,≥1个网络接口扩展槽,2TSATA硬盘
字符并发会话数≥300个,图形并发会话数≥770个。
默认支持管理设备≥200台,最大可管理设备数≥500台。
系统配置架构要求
采用物理旁路模式部署,不影响网络结构。
支持运维审计日志集中管理运维审计系统分布式部署方式。
支持IP和端口DNAT网络环境部署,通过映射后的IP和端口信息能够访问堡垒机。
支持域名方式web访问到堡垒机,并支持托管设备运维操作。
系统可自带应用平台发布服务器,内置多种数据库客户端工具。
用户权限管控要求
系统默认自带三权分立用户,系统管理员、运维管理员和审计管理员权限相互制约。
运维审计功能要求
支持本地图形客户端程序,如mstsc、remmina等客户端直接访问堡垒机选取托管设备进行运维。
支持本地字符客户端程序,如putty,xshell,securecrt,winscp,xftp等客户端直接访问堡垒机选取托管设备进行运维。
#支持本地文件客户端程序,如winscp,xftp等客户端直接访问堡垒机选取托管设备进行运维,需提供web界面功能截图。
支持的协议
字符型远程操作协议:SSH(V1、V2)、TELNET,Rlogin。
图形化远程操作协议:RDP、VNC、X11,并支持RDP和VNC运维下文件共享;可支持RDP、VNC的客户端直接访问堡垒机。
文件传输协议:FTP、SFTP、SCP、Samba;可支持客户端Wincp直接访问堡垒机。
支持达梦等国产数据库运维。
支持Oracle、MSSQLServer、IBMDB2、Sybase、IBMInformixDynamicServer、MySql、PostgreSQL等数据库。
支持HTTP、HTTPS操作审计,HTTP/HTTPS协议可以直接代理。
应用发布
支持通过应用发布的方式进行协议扩展,无需定制即可支持其他通用及专有的运维客户端程序(无SSO)。
支持内置应用发布服务器,可定制支持其他通用及专有的运维客户端程序(可SSO)。
操作行为记录
web服务器运维管控
可控制用户访问web服务器的url地址,防范运维人员违规访问web服务器
可控制用户上传/下载文件到web服务器。
**部销售许可证,提供证书复印件;
中国国家信息安全产品认证证书,提供证书复印件;
国家信息安全测评信息技术产品安全测评证书(EAL3+),提供证书复印件;
2.1.5入侵检测防御
系统应为机架式独立IPS硬件设备,全内置封闭式结构,具有完全自主知识产权的专用安全操作系统,稳定可靠。
系统需提供不少于1个GE管理口,1个RJ45串口,6个GE电口,1个SLOT插槽(可选配:4电口、8电口、4千兆光口、8千兆光口)。冗余电源。
性能指标
产品性能不小于:网络吞吐量10G,应用层吞吐量1Gbps,最大并发TCP会话150万,每秒新增TCP会话4万。
部署能力
系统应支持独立式多路IPS工作模式,各路IPS相互独立,可单独配置策略。
系统应支持VLAN802.1Q、BGP、MPLS、QinQ、PPPOE等封装协议的透传,能够适应多种不同的网络环境。
入侵检测
#系统应提供覆盖广泛的攻击特征库,可针对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等恶意流量进行检测和阻断,攻击特征库数量至少为9000种以上。需提供web界面功能截图。
系统应支持多种抗逃避检测技术。
系统应能够有效抵御SQL注入、XSS注入、webshell等多种常见的应用层安全威胁,并可配置SQL注入白名单。
规则须支持按CVE、CNNVD、CWE、Bugtraq关联、查询和筛选。
防病毒能力
支持流式防病毒,且病毒库在10万以上防病毒;具有防病毒能力,支持HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB2、工控(IEC-61850、IEC60870)等协议。
支持病毒文件样本留存,并可导出用于跟踪分析。
支持防病毒库实时更新,实现快速能力部署、应对热点突发病毒,
数据泄露防护
系统应提供服务器异常告警功能,可以自学习服务器正常工作行为,并以此为基线检测处服务器非法外联行为。
#系统应提供敏感数据保护功能,能够识别、阻断通过自身的敏感数据信息(身份证号、银行卡、手机号等)需提供web界面功能截图。
#系统应提供关键文件保护功能,能够识别、阻断通过自身的关键文件,以防止非法外传行为。能识别的关键文件类型应包含至少以下几类:文档类如Excel、PDF、PowerPoint、Word等,压缩文件类如CAB、GZIP、RAR、ZIP、JAR等,图像类如BMP、GIF、JPEG等,音频视频类如MP3、AVI、MKV、MP4、MPEG、WMV等,脚本类如BAT、CMD、WSF等,程序类如APK、DLL、EXE、JAVA_CLASS等。需提供web界面功能截图。
系统应提供URL分类库,提供中英文网页过滤数据库,实现高风险、不良网站过滤。
DOS防御
系统应提供DoS/DDoS攻击防护能力,支持TCP/UDP/ICMP/ACKFlooding,以及UDP/ICMPSmurfing等常见的DoS/DDoS的攻击。
支持基于阈值和自学习检测。
服务器异常防护
#系统应提供服务器异常告警功能,可以手动添加或自学习服务器外联行为,并以此为基线检测服务器非法外联行为。需提供web界面功能截图。
未知威胁防护
#支持提供恶意软件分析服务、对未知可疑文件统计。需提供web界面功能截图。
#支持与本地沙箱的联动配置。需提供web界面功能截图。
响应能力
系统应提供丰富的响应方式,包括:会话阻断、IP隔离等功能,满足用户各种响应需求。
#系统应具备攻击快照功能,详细记录触发告警的数据特征,以便做进一步的事件分析。需提供web界面功能截图。
**部销售许可证;
国家信息安全测评信息技术产品安全测评证书-EAL3+;
网络关键设备和网络安全专用产品安全认证证书;
国家信息安全漏洞库CNNVD兼容性证书;
2.1.6灾备一体机
指标项
需求描述
配置要求★
机架式设备;4个磁盘槽位3.5"SAS、SATA磁盘接口;配4块4TB企业级硬盘;Intel4核8线程处理器;32G高速缓存;RAID支持1、5、6、10模式;双端口千兆以太网;4个智能冷却风扇模块;1个PCIE扩展插槽;裸容量空间≥16T
灾备系统兼容性
#不需区分业务系统的类型、部署方法、业务系统间的数据交互机制、数据结构/逻辑关系和数据库的品牌/版本等,WindowsSever2003及以上和Linux2.6.18及以上操作系统上分别采用统一的agent的对任意应用系统和数据提供整机灾备保护,实现对现有及未来新上业务系统的保护兼容性;(需提供截图证明并加盖原厂商公章)
#支持SQLServer、Oracle、Sybase、ExchangeServer、MongoDB、LotusNotes/Domino、DB2、MySQL、AD等国产数据库包括达梦数据库、神通数据、南**用、人大金仓和Gbase等数据库的数据备份与恢复;(需提供截图证明并加盖原厂商公章)
#对OracleRac数据库系统、配置、日志及数据实现整体、一致的定时和CDP持续数据保护;(需提供截图证明并加盖原厂商公章)
灾备系统功能
提供文件恢复和卷恢复功能,可直接恢复指定的文件和卷;
数据传输采用加密技术,灵活的完整备份和增量备份策略,支持数据重删和断点续传;
应急接管功能#
无需额外服务器、无需部署虚拟化系统、无需停止对原机的数据备份,即可配置多个应急接管业务虚拟机同时接管多个业务系统,全Web操作完成虚拟机创建、接管备份点的选取、IP和路由配置、虚拟机开机等接管业务的全流程,可为应急接管主机提供CDP保护,新增的数据可形成增量备份点或CDP保护点;(需提供截图证明并加盖原厂商公章)
热备功能#
支持在任意品牌/技术/芯片组的X86物理机、虚拟机和云主机之间配置整机热备HA架构,备机和原机实时数据同步,原机故障时可秒级业务切换到备机保障业务服务的连续性,且具备数据历史点回切能力;(需提供截图证明并加盖原厂商公章)
灾备系统备份点可靠性验证#
灾备演练和灾难重建#
提供异构目标机间、无预置灾备演练或灾难重建环境(目标机无操作系统、目标机和原机操作系统不一致、目标机无应用系统、目标机无数据库等)可即时开展的整机灾难演练或灾难重建,在灾备系统的Web控制台上为目标机做差异硬件驱动配置、系统IP/路由配置和脚本配置等各种必要的配置,无需逐步手工安装、配置操作系统、应用系统、数据库,实现任意品牌/技术的X86服务器、虚拟机和云主机之间的异构、整机、自动化灾难重建,千兆网络环境中无论数据量大小可30分钟内将灾备点应用系统重建至异构主机上并实现系统服务恢复;(需提供截图证明并加盖原厂商公章)
安全运维管理
平**全性
存储备份系统的专用嵌入式操作系统维护后台采用动态口令机制,动态口令由设备管理员和原厂口令组成,原厂口令随着设备管理员的改密码操作而变化,确保灾备系统后台不被非法登入;
异地容灾#
资质要求#
产品为自主研发产品,非OEM,提供《计算机软件著作权登记证书》复印件并加盖原厂公章;
提供产品计算机信息系统安全专用产品销售许可证,证书复印件并加盖原厂公章。
提供产品厂商ISO9001及14001体系认证,证书复印件并加盖原厂公章。
2.1.7VPN网关
技术指标
指标要求
性能要求★
基本特性
专业VPN设备,采用标准SSL、TLS协议,同时支持IPSecVPN、SSLVPN两种VPN,非插卡或防火墙带VPN模块设备;
产品应支持国际通用标准的密码算法,包括:AES、DES、3DES、DH、RSA、RC4、MD5、SHA1等;
易用性
可支持虚拟门户功能,在一台设备上配置不同的访问域名、IP地址,以及不同的使用界面,实现一台设备为多个不同用户群体服务的的使用效果;
支持断线重连自动技术,防止用户误操作关闭浏览器导致VPN隧道断开;防止用户在无线网络环境下网络正常切换时VPN隧道断开;
终端安全
支持客户端注销后自动清除所有缓存、Cookies、浏览器历史记录、保存的表单信息,实现零痕迹访问;
支持VPN专线功能,可配置用户在接入SSLVPN的同时,断开与Internet其他连接;
权限、服务器安全
身份认证
产品必须支持LocalDB、USBKEY、短信认证、硬件特征码、动态令牌、数字证书认证、LDAP、RADIUS、等认证方式;可针对用户/用户组设置认证方式的与、或组合,可进行用户名/密码、LDAP、USBKEY、硬件特征码、短信认证或动态令牌的五因素捆绑认证;
设备内部必须支持自建CA中心,便于数字证书认证平台搭建;
单台VPN设备可扩展同时支持5套以上CA根证书;
高速性
必须支持至少4条以上的外网多线路配置;并在设备单臂部署模式下,多线路接入前置网关,仅依靠SSLVPN设备同样可实现SSLVPN接入用户的多线路自动优选功能;
支持针对不同的web页面进行数据优化,支持动态压缩技术,基于数据流进行压缩,减少不必要的数据传输;
针对B/S**支持WebCache技术,动态缓存页面元素,提高Web页面响应速度。支持流缓存技术,实现网关与网关、网关与移动客户端之间进行多磁盘、双向、基于分片数据包的字节流缓存加速,削减冗余数据,降低带宽压力的同时提高访问速度;支持共享流缓存功能,实现多分支网关在总部共享流缓存数据,提高流缓存效果;
资质要求
提******部颁发的《计算机信息系统安全专用产品销售许可证》;
#为保障技术可靠性,要求产品生产厂商具备CMMIL5认证证书,提供证书复印件并加盖公章。
#为保障安全服务能力,要求产品生产厂商为网络安全应急服务支撑单位(国家级),提供证书复印件并加盖公章。
#为保障安全开发能力,要求所投产品的生产厂商具备中国网****认证中心(CCRC)颁发的《软件安全开发服务》资质证书,提供证书复印件并加盖公章。
2.1.8未知威胁防御系统
指标要求说明
性能要求
★标准机架式设备,配置10/100/1000Base-T接口≥6个,SFP接口≥2个,内存≥16G,吞吐量≥600Mbp,硬盘容量≥2TBSATA,支持旁路部署,支持同时接入多个镜像口,每个口相互独立不影响。要求实配不少于3年特征库升级服务,3年原厂服务。
告警中心
#具备失陷(业务和服务器)主机详细分析,包含攻击阶段分布、风险等级趋势、安全事件举证、开放端口等信息。攻击阶段包含存在漏洞、遭受攻击、CC通信、黑产牟利、内网扫描、内网扩散、盗取数据支持对每个安全事件详细举证分析,包含风险危害、处置建议、专杀工具等(提供功能界面截图并加盖公章);
分析中心
#针对挖矿做专项性分析,**挖矿的币种分布,威胁趋势分析。
#支持对勒索病毒的安全告警做专项性分析,**中了勒索病毒的风险主机分布、威胁趋势分析,将发生的所有安全事件默认按照处置状态,威胁等级,确定性等级,攻击结果、事件类型等维度进行筛选展示,并结合攻击阶段、事件统计和事件趋势等进行统计和显示、可实时监控发生的安全事件(提供功能界面截图并加盖公章)
支持对威胁情报的安全告警做专项性分析,**通过情报匹配的风险主机分布、威胁趋势分析,将发生的所有安全事件默认按照处置状态,威胁等级,确定性等级,攻击结果、事件类型等维度进行筛选展示,并结合攻击阶段、事件统计和事件趋势等进行统计和显示、可实时监控发生的安全事件。
#支持沙盒文件检测,能够对exe可执行文件、dll应用程序扩展、BAT批处理文件、PDF、office、VB脚本、PHP网页脚本、PY脚本等进行检测(提供功能界面截图并加盖公章)
#支持邮件威胁分析,可展示收件人TOP5、发件人账号TOP5、恶意邮件类型分布、危害和处置建议;支持对恶意邮件详情分析,包含收件人账号、恶意邮件数量、发件人账号、附件名称、病毒名称、恶意链接名称等,并支持导出分析结果;
#支持对隐蔽隧道的告警做专项性分析,**攻击者利用哪些协议进行隐蔽通信以及威胁趋势分析,将发生的所有安全事件默认按照处置状态,威胁等级,确定性等级,攻击结果、事件类型等维度进行筛选展示,并结合攻击阶段、事件统计和事件趋势等进行统计和显示、可实时监控发生的安全事件(提供功能界面截图并加盖公章)
联动响应
#支持接入防火墙,支持与同品牌防火墙进行联动响应,支持系统下发安全策略到防火墙上,阻断攻击流量(提供功能界面截图并加盖公章)
产品与厂商资质要求
**部《计算机信息系统安全专用产品销售许可证》;
#为保障技术可靠性,要求产品生产厂商具备CMMIL5认证证书;
#为保障安全服务能力,要求产品生产厂商为网络安全应急服务支撑单位(国家级),提供证书复印件;
参数说明:
1、指标按重要性分为“★”、“#”和一般无标示指标。★代表实质性指标,不满足该指标项将导致投标被拒绝。
2、参数中还包括“无标示的普通参数、#标示的关键参数”,均不作为废标项,均是扣分项,扣减分值依次是2分、3分;
第三包采购需求:
无线控制与终端准入及网络架构整改优化服务(第三包)
第一部分技术需求
无线控制与终端准入及网络架构整改优化服务
信息系统安全等级保护建设及测评(无线控制与终端准入及网络架构整改优化服务)
服务内容:****中心新采购无线准入与终端准入系统设备并和原有网络与安全设备(天融信、华为、华三)厂商协调进行设备策略调整与监督,按照网络安全等级保护要求,进行整体网络安全规划与调整,做到分区分域、政务网与办公网分离、无线网与办公网合理规划、三级平台系统按照客户要求进行内部分布调整、三个系统等保测评差距分析报告的高危风险与高危漏洞的安全整改加固等服务,以符合网络安全法、网络安全等级保护管理办法等法律、法规的要求,并协助通过等级保护测评,使三级系统达到三级等保标准,另外,二个等保二级系统达到三级等保的管理要求。
第二部分技术参数明细与服务要求
2.1.无线控制与终端准入技术参数
基本要求
系统要求
具有独立自主知识产权,须为标准机架式硬件产品。
机架结构;标准配置交流电源,标准配置2个1000MBASE-T接口(管理口、HA口),可配置4个接口卡,设备支持不少于10个千兆电口,可扩展万兆口;每秒事务数(TPS):≥1000(次/秒),最大吞吐量:≥0.5Gbps,最大并发连接数:1000(条);设备最大支持不少于500终端设备接入和管理
IPv6支持
#支持在IPv4和IPv6双栈环境下的终端准入控制、重定向、认证、安检、修复等。(提供支持IPv6的证明文件)
高可用性
准入设备必须具备HA模式,HA须支持主备机心跳IP检测及虚地址管理模式。
#提供第三方监控平台,在出现重大异常情况时能及时通知网络设备放开网络。(提供功能截图并加盖原厂公章)
#支持多个设备集群模式部署(提供功能截图并加盖原厂公章)
终端部署
#准入设备应至少提供安全客户端(Agent)、安全控件、无客户端等多种可供自定义部署和管理的模式。(提供功能截图并加盖原厂公章)
使用安全客户端模式部署时,客户端程序应支持功能定制,以降低系统**耗用,提升客户端兼容性。
准入
架构
终端发现
能够实时监测并发现接入内网的PC、移动终端、其他IP设备等终端。
对自动发现的终端能够按照类别自动归类,以方便网络终端的统计管理。
#能够通过自定义将不同的设备分组到不同的大类中,实现客制化的设备类型管理。支持分类不少于32个大类,64小类/大类(提供功能截图并加盖原厂公章)
准入技术
准入设备须支持802.1x协议准入方式,无需第三方RADIUS服务器支持。
#准入设备支持基于多厂商VirtualGateway的VLAN隔离技术,实现无客户端下端口级准入控制。(功能截图及专利证明并加盖原厂公章)
准入设备支持基于策略路由技术的准入控制模式,入网设备在访问网内关键**时,将被强制隔离、引导至认证管理页面;
#支持交换机接口动态VLAN下发、端口隔离模式的网络边界管理。(提供功能截图并加盖原厂公章)
支持通过MAC旁路认证进行ACL下发的准入控制。
多路支持
单台准入设备可支持至少4路策略路由准入控制。
单台准入设备可支持至少4个镜像口进行准入控制。
#单台准入控制设备支持至少2种准入技术组合使用,以增强环境的兼容性。
定向引导
可根据用户的实际环境自定义非80端口的Web服务端口号及用户重定向引导。
#支持使用域名进行终端入网重定向,可以实现准入服务器IP地址变动的环境下;(提供功能截图并加盖原厂公章)
#能通过浏览器完成身份认证、控件安装、设备注册、安全检查、检查结果展现等全流程引导管理。(提供功能截图并加盖原厂公章)
违规外联
能够针对3/4G拨号、双网卡、随身WIFI、代理等多种违规联网行为做实时检测,为了防止漏判不使用间歇性ping外网地址的探测方式。
能够针对违规外联终端进行即时断网,断网方式应支持断开链接、重启计算机等多级模式,并能够设置报警通知管理员。
准入设备能够支持按照用户角色定义,结合自定**全域,限制员工的内网访问范围,防止其越权访问操作。
#SSID白名单,可对连接到白名单之外的无线网络行为进行阻断。(提供功能截图并加盖原厂公章)
设备特征指纹
设备指纹自定义
能够通过自定义多种探测信息实现指纹现场匹配
#定义信息至少包括:IP地址、MAC地址、操作系统、网页标题、Telnet输出、FTP输出、SSH输出、端口、网页内容(提供功能截图并加盖原厂公章)
边界管理
IP/MAC绑定
具有入网设备自动学习功能,支持IP/MAC/端口三者强制绑定,以及违规终端切换到断网VLAN,防止终端仿冒IP接入网络或移动设备位置。
支持在DHCP环境下的IP、MAC绑定功能
NAT设备
#具有NAT识别和检测机制,能够发现网内私接的NAT小路由器设备。(提供功能截图并加盖原厂公章)
对通过NAT入网的计算机可以实现准入控制、安全评估和修复等流程化管理
Hub管理
能够发现内网私接的Hub、傻瓜交换机等非网管设备,当多台计算机通过Hub接入网络时,能够及时产生告警通知管理员。
#支持对连接HUB的交换机端口采用关闭端口或者VLAN切换来控制终端接入(提供功能截图并加盖原厂公章)
网络
管理
网络设备管理
支持对:交换机、路由器、防火墙等,按照类别进行添加归类管理和展示。
支持设备管理模板的定义功能,能够通过SNMP、SSH、TELNET等方式自动、批量添加网络设备。
#支持通过web界面手动修改交换机命令库以匹配新的交换机。(提供功能截图并加盖原厂公章)
终端网络拓扑
#能够在拓扑图上选取设备查看其基本状态信息、设备型号、所处位置、子节点、路由表、ARP表等信息。
#支持在界面上提供对该网络设备进行TELNET、SSH等管理。(提供功能截图并加盖原厂公章)
#能够在网络拓扑图上由用户自定义显示的节点类型,方便用户通过不同方式查看拓扑连接。(提供功能截图并加盖原厂公章)
交换机状态展现
支持可网管型交换机面板图形化展现各接口状态(up、down、trunk、单/多MAC等),以及各接口下联的终端详细信息(IP、地址、MAC地址等)。
DHCP地址释放
#支持DHCP通过管理服务器手动操作,主动进行某台主机的IP地址释放。实现IP地址充分利用。
认证管理
联动认证
能够全面结合用户已有的认证或业务系统,可以与RADIUS、LDAP、邮件、AD、WEB系统做联动认证。
证书认证
在进行Ukey认证时,支持多个合法的根证书。终端用户认证时,自动进行根证书的匹配。
支持采用软证书认证。
短信认证
支持短信认证模式
接入审核
能够针对不同的角色或设备状态有选择的开启入网审核功能,待审核的用户或设备必须经过管理员审批才能入网。
还可以进行审核流程调整。
认证控制
自助账号申请
#支持用户在认证页面自行进行账号的申请。
**管理
**角色
能够提供**角色选择,能够设定**设备的访问权限和入网时长
**码
员工可以为**申请**码,**使用**码可以接入网络;
能够设定那些角色的用户能够申请**码。
二维码认证
#已入网员工可以通过扫描**终端上二维码,放行**用户入网(提供功能截图并加盖原厂公章)
终端
安全检查库
#准入设备须提供系统安全配置、用户行为规范等类别检查项,至少提供30种以上安全检查项。
系统补丁
准入设备具有完整的补丁管理子系统,无需第三方补丁服务器支持,自身即可以提供完整的流程化补丁管理,包括同步更新、补丁分发表等功能。
准入设备能够对补丁进行分级,分为:严重、重要、中等的类别。
能够在终端的浏览器页面显示入网终端的补丁检查情况。
#准入系统自身能够支持office系列补丁库、补丁检查和补丁分发安装。
防病毒软件
支持主流的20种以上的杀毒软件检查,包括微软MSE、可牛、Avast等,支持杀毒软件版本、病毒库和运行情况的检查,能够在页面显示出检查结果。
终端安全加固
支持Guest**帐户、WSUS更新配置、密码策略设置、屏幕保护设置、弱口令帐户、网卡绑定、系统共享**进行检查加固
计算机
健康性检测
支持对终端的磁盘使用率、垃圾文件、IE主页、网络监听端口等安全性配置进行检查和修复
自定**全检查
#通过检测终端文件、指定文件版本、大小、MD5,注册表的项、注册表值,进程、服务状态进行检查。通过安装包运行、访问站点、开关服务、关闭进程、执行文件、删除文件、修改注册表进行修复。可以灵活的对终端进行安全检查和修复。(提供功能截图并加盖原厂公章)
终端安全修复
能够提供多种修复方式,用户自行修复、自动修复。
攻击威胁检测
攻击检测类别
支持超过6000条攻击检测库信息,至少包括如下类别:DOS攻击类(DOS)、弱点利用类(EXPLOIT)、恶意代码类(MALWARE)、移动恶意代码类(MOBILE_MALWARE)、RPC攻击类(RPC)、扫描类(SCAN)、SQL攻击类(SQL)、木马类(TROJAN)、蠕虫类(WORM)
攻击检测方法
#无需安装客户端,通过网络流量监听的方式进行流量采集
攻击检测展示
#能够通过多种方式对攻击检测的信息进行展示,至少包括:动态云图、攻击信息列表、攻击统计信息。(提供功能截图并加盖原厂公章)
能够对全网计算机上安装的软件进行统计,可以按照名称、许可状态提供精确查询以及软件资产报表的导出。
能够通过多种维度对全网终端硬件资产进行统计。包括:每台终端的硬件信息列表,每种硬件类型所对应的终端。
资产变动
准入设备能够针对软硬件资产变动、资产异常情况提供了丰富多样的报警方式,便于管理员及时迅速了解资产信息。
变动确认
#支持管理员对每一条软硬件变动进行确认操作,已确认的条目显示已确认,并显示进行确认操作的确认人。对变动和变动确认可进行报表统计(提供功能截图并加盖原厂公章);
**
软件检查
通过安全检查检测终端软件安装、使用状态
为终端指定修复的安装包或访问的网络站点
IP地址管理
提供IP地址分配矩阵图。
可以通过组织架构为维度查看IP地址分配矩阵图
能够直接、快捷的查看全网终端历史上线、下线、在线时长等详细的IP使用情况。
能耗管理
运维
移动终端管理
支持移动终端专用平台管理页面,方便使用平板、智能手机进行准入设备基本操作。
#可实现设备快速定位、设备审核、实时报警监控、小助手确认码生成、准入控制器管理、平台基本信息、关机与重启(提供功能截图并加盖原厂公章)
管理角色控制
准入设备须采用系统管理员、安全管理员、审计员三权分立机制,防止单个角色管理者权限滥用。
网络诊断工具
软件分发
准入设备应具有软件分发和部署功能,管理员可以预定义软件分发的路径、运行参数、是否执行等任务策略,以提升软件部署效率。
能够自动判断并统计软件分发、部署的成功率,支持进程、注册表、文件等多种参数的组合判断。
报警
报表
安全管理报表
能够支持自定义多个不同的报表模板;
准入设备后台提供每日入网报告、每周入网报告、每月入网报告。
报警信息
支持系统报警、网络报警、终端报警等报警类型,超过20种以上自定义报警类型。
#支持报警信息通过Syslog、邮件、短信进行输出。
第三方产品联动
支持与主流上网行为管理系统深度联动,构建内网准入、准出的全面安全管理体系。
支持与国内外主流U-Key联动认证,终端可以使用UKEY认证。
产品要求#
**部《计算机信息系统安全专用产品销售许可证,提供证明复印件并加盖原厂公章。
中国国家信息安全产品认证证书,提供证明复印件并加盖原厂公章。
2.2服务详细要求
2.2.1安全加固服务
****中心的系统安全加固方案包含以下内容:
符合“信息安全等保三级”等法律法规的要求。
加强核心网络的边界防护,合理规划核心网络接入。
根据实际业务需求及安全要求,加强核心设备的安全设置,包括但不限于:用户权限设置、口令设置、安全端口设置、服务进程关闭等。
2.2.2优化网络服务
****中心的网络结构和安全域进行重新优化,对安全策略进行优化。
2.2..3安全整改
完成项目包含的软硬件产品的部署、实施调试、配置、集成等工作,对存在的问题进行整改。
3.1.4等保测评协助
****中心安全等级测评工作,包括在测评前协助填写测评申请材料,在测评过程中现场提供测评辅助服务,对于测评过程中发现的问题提供安全改进建议等,以保证实现等级保护建设目标。使三级系统达到三级等保标准,二个等保二级系统同时达到三级等保的管理要求。
合同履行期限:四个月
本项目不接受联合体投标。
二、申请人的资格要求:
1.满足《****政府采购法》第二十二条规定;
2.落实政府采购政策需满足的资格要求:
1)执行《财政部国家发展改革委关于印发〈****政府采购实施意见〉的通知》(财库[2004]185号);
2)执行《财政部环保总局****政府采购实施的意见》(财库[2006]90号);
3)执行《政府采购促进中小企业发展管理办法》的通知财库〔2020〕46号;
4)执行《****政府采购信用担保试点工作方案》(财库[2011]124号);
5)执行《财政部、****政府****监狱企业发展有关问题的通知》(财库[2014]68号);
6)执行《关****政府采购政策的通知》(财库〔2017〕141号);
7)执行《****政府采购活动中查询及使用信用记录有关问题的通知》(财库[2016]125号)
3.本项目的特定资格要求:
第一包:
1)具备“国家网络安全****小组办公室”颁发的《网络安全等级保护测评机构推荐证书》,提供复印件加盖投标单位公章;具备**部颁发**网络安全等级保护测评机构推荐证书(DJCP)的测评机构合格证明材料。
第二包:无
第三包:无
三、获取招标文件
方式:
备注:政府采购电子化交易系统同时支持**市****交易中心灌制电子签章的颐信CA新锁(BJL开头)和**CA,如供应商已办理完成上述两种CA的任意一种,可不用办理移动CA和电子印章。完成第1步“新用户注册”后,使用灌制电子签章的颐信CA新锁(BJL开头)和**CA即可下载采购文件。
售价:¥0元,本公告包含的招标文件售价总和
地点:**市**区**东街3****服务中心6号电梯厅二层第1开标室。
五、公告期限
自本公告发布之日起5个工作日。
六、其他补充事宜
1、预算指标文号:顺财社保[2021]35号、项目编号:PXM2021-001102-000101、立项备案表编号:SYCG_21_2293
2、评标方法和标准:本次招标采用资格后审方式,采用综合定量评分法,满分为100分,打分分值及内容,详见招标文件;
3、供应商需递交电子响应文件1份。
(2)供应商的法定代表人或其委托代理人,应携带加密电子响应文件相对应的移动数字证书CA,准时到现场参加开标。
(2)制作响应文件时,如采购人发布招标文件(GPZ格式),供应商应将投标文件(GPT格式)通过电子投标书编制工具,重新制作响应文件并上传至“交易平台”。供应商未按要求操作造成的后果,由供应商自行承担。
(5)若供应商已申请多把数字证书,请注意使用差别,确保制作的响应文件和开标解密时使用的数字证书一致,造成解密失败的,由供应商负责。
5、采****政府采购政策:
2)投标人需随时留意**市公共**交易服务**区分平台的疫情防控政策或通知,以免影响投标工作。
七、对本次招标提出询问,请按以下方式联系。
1.采购人信息
名称:****
地址:**市**区顺康路66号
联系方式:殷呈武,010-****6219
2.采购代理机构信息
地址:**市**区西环路西50米
联系方式:申斯洋,010-****0595
3.项目联系方式
项目联系人:申斯洋
注册会员享贴心服务
项目查询服务
·让您全面及时掌握全国各省市拟建、报批、立项、施工在建项目的项目信息
·帮您跟对合适的项目、找对准确的负责人,全面掌握各项目的业主单位、设计院、总包单位、施工企业的项目经理、项目负责人的详细联系方式