項目概況
信息系統(tǒng)安全等級保護建設與測評 招標項目的潛在投標人應在北京市順義區(qū)公共資源交易平臺(http://www.bjshy.gov.cn/ggzyjy/)獲取招標文件��,并于2021-12-01 09:30(北京時間)前遞交投標文件�。
一、項目基本情況
項目編號:SYCG_21_2293
項目名稱:信息系統(tǒng)安全等級保護建設與測評
預算金額:150.1764 萬元(人民幣)
最高限價:150.1764 萬元(人民幣)
采購需求:
第一包采購需求:
等保測評項目(第一包)
一�、項目建設背景
按照原衛(wèi)生部《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》(衛(wèi)辦發(fā)[2011]85號)�����、《衛(wèi)生部辦公廳關于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》(衛(wèi)辦綜函〔2011〕1126號)及《中華人民共和國網絡安全法》等法律和文件的要求�����,2020年我中心在遷入新址前已完成基礎機房新建與網絡基礎設施建設�。
按網絡安全規(guī)劃分步實施的原則�,2020年首先在政務網與內網邊界加設了外網防火墻、入侵防御系統(tǒng)�、上網行為管理系統(tǒng)、安全審計系統(tǒng)等產品��,通過以上安全產品的上架運行�����,提升了疾控中心基本的安全防范水平��,但是入侵檢測��、日志審計、數據庫審計�����、安全運維審計�、VPN安全網關�����、災備自動恢復等系統(tǒng)沒有配備到位�,安全運維欠缺等,仍未實現整體安全防護功能�����,還未達到我中心需要達到等級保護級別�,中心信息系統(tǒng)仍面臨著各種外部和內部威脅。
為了保障信息系統(tǒng)的正常運行�����,保障中心業(yè)務的正常開展��,需繼續(xù)提升中心網絡的安全防護能力��,按照相關文件要求進行2021年整體規(guī)劃分布實施,2021年申請150.1764萬元財政資金用于疾控中心的等級保護系統(tǒng)的整體規(guī)劃與建設�,使中心公共衛(wèi)生檢測系統(tǒng)達到等級保護三級,綜合辦公系統(tǒng)(OA)�����、慢病管理系統(tǒng)達到等級保護二級�,以符合網絡安全法、信息安全等級保護管理辦法等法律��、法規(guī)的要求�����。
項目服務期:在合同生效后4個月內完成合同項下所有工作
項目主要建設內容
第一包
(一)第一部分:等保測評技術需求
|
項目名稱
|
系統(tǒng)名稱
|
預算金額
(人民幣)
|
簡要技術要求
|
|
等保測評項目
|
兩個第二級(綜合辦公系統(tǒng)�、慢病信息化管理系統(tǒng))、一個第三級(公共衛(wèi)生檢測服務平臺)
|
30萬元
|
服務內容:本項目采購的信息安全服務包括:網絡安全等級保護備案��、測評及咨詢�,安全培訓等。
|
(二)第二部分:服務需求
注:不滿足*條款的投標將視為無效投標��。
1.項目概況與招標范圍
1.1項目名稱:等保測評項目�����。
1.2種類及規(guī)模:公開招標信息安全等級保護測評機構。
1.3使用功能:對北京順義區(qū)疾病預防控制中心信息系統(tǒng)進行信息安全等級保護測評工作并交付相應成果��。
1.4交付:簽訂合同��,供應商按照合同約定內容進行相關工作��。
1.5服務地點:北京�����。
1.6服務內容:本項目采購的信息安全服務包括:網絡安全等級保護測評及咨詢��,安全培訓等��。詳細需求如下:
(1)網絡安全等級保護咨詢:
等級保護咨詢:
依據最新的國家網絡安全等級保護定級相關標準�����,投標人需通過文檔資料收集�����、訪談和現場勘查等方式�����,對被測系統(tǒng)提供等級保護咨詢工作��,包括定級�����、專家評審�����、公安局備案�����。對表系統(tǒng)中的的信息系統(tǒng)進行定級��、備案梳理工作�����,形成定級�、備案材料,組織開展專家評審��,協助此次測評的系統(tǒng)獲得公安局備案證明��。
同時針對等級測評中的整改建議提供咨詢服務,幫助招標人制定切實可行的整改方案�,。
(2)等級保護測評:
測評機構依據最新的國家網絡安全等級保護制度規(guī)定��,按照有關管理規(guī)范和技術標準�����,對招標人招標文件中的信息系統(tǒng)的信息系統(tǒng)安全等級保護狀況進行檢測評估�,并給出測評報告�����。
等級測評:依據國家等級保護最新標準(以下簡稱“等保2.0”)的相關要求�,對照招標人的網絡安全保障體系的等級保護建設程度,對參加測評的信息系統(tǒng)開展等級測評工作并出具《等級保護測評報告》��。
差距分析:根據網絡和信息系統(tǒng)的安全保護等級��,按照國家等級保護相應等級的技術和管理要求�,分析評價參加測評的信息系統(tǒng)所依托的網絡和信息系統(tǒng)當前的安全防護水平和措施與相應等級要求之間的差距。最終出具《差距分析報告》��。
漏洞掃描:依據網絡安全等級保護相關標準�����,對被測系統(tǒng)涉及的網絡設備、安全設備�、操作系統(tǒng)、應用軟件�、中間件和服務等進行安全漏洞掃發(fā)現系統(tǒng)中存在的脆弱環(huán)節(jié),漏洞掃描結果將作為等級測評綜合分析和測評結論的數據支撐之一�����,形成《漏洞掃描報告》�����。
滲透測試:投標人依據已經掌握的安全漏洞信息��,模擬黑客的真實攻擊方法對招標人此次定為三級的信息系統(tǒng)和網絡進行非破壞性質的攻擊性測試��。滲透測試內容應該主要包含外部測試�、內部測試,黑盒測試和白盒測試�����。所有的滲透測試行為需在投標人的書面明確授權和監(jiān)督下進行�����。
安全整改和加固:依據差距分析報告及發(fā)現的問題及風險隱患,對被測系統(tǒng)提出整改和加固建議�,編制《等級保護整改方案》,并為安全整改和加固工作提供指導��。
相關制度��、流程梳理和咨詢:依據網絡安全等級保護相關標準��,梳理被測系統(tǒng)現有相關安全管理制度和文檔�����,協助制訂網絡安全等級保護相關的制度��、規(guī)定和流程等�����。
等級保護工作支持:為甲方在信息安全等級保護相關工作中提供技術和咨詢支持�����。
(3)安全培訓服務
信息安全培訓:
為保證招標人信息安全相關人員建立信息化工作必備的安全觀念��,加強人員安全培訓管理�����,了解信息安全的工作要求��,提升人員信息安全防范意識�。
投標人須對招標人提供等保2.0相關安全培訓服務,針對招標人相關人員需要掌握的安全知識和專業(yè)技能來設計培訓課程�,包含安全意識、安全技術專項�、安全管理、特定行業(yè)熱點�����、安全認證等多種類型�,貼合信息安全技術的最新發(fā)展趨勢,滿足不斷涌現的知識和技能提升需求�,提供輔助學習材料和考試或實驗以及培訓課程大綱。
按照招標人的時間和地點安排��,為招標單位提供3次安全培訓服務�����,且講師必須具備網絡安全等級保護高級資質證明。
(4)售后服務
1.針對所有系統(tǒng)的測評過程均嚴格參照等級保護相關標準執(zhí)行�����。
2.測評機構須現場支持公安部門開展的網絡安全執(zhí)法檢查(如需要)�,并確保檢查通過,如遇等保相關不符合項需要支持甲方整改�����,并協調公安部相關部門針對不符合項及整改要求進行確認�。
3.測評機構須現場支持北京市局及順義分局開展的網絡安全執(zhí)法檢查和甲方等級保護系統(tǒng)自查工作,協助甲方完成相關自查工作內容(每年自查工作涉及所有等保系統(tǒng))�����,并確保檢查通過�����,如遇等保相關不符合項需要支持甲方整改��,并協調北京市局及順義分局針對不符合項及整改要求進行確認�����。
4.測評機構須現場支持相關主管單位進行的等級保護檢查�����,并確保檢查通過��。
5.上述所有支持工作均不受人天限制�����,以實際工作為準�����。
1.7服務規(guī)范和要求:
相關工作需要遵循以下規(guī)范和要求
(1)《中華人民共和國網絡安全法》
(2)《計算機信息系統(tǒng)安全保護等級劃分準則》GB 17859-1999
(3)《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)
(4)《信息安全等級保護備案實施細則》(公信安[2007]1360號)
(5)《網絡安全等級保護定級指南》GB/T 22240-2020
(6)《信息安全技術網絡安全等級保護測評過程指南》GB/T 28449-2018
(7)《信息安全技術網絡安全等級保護測試評估技術指南》GB/T 36627-2018
(8)《信息安全技術網絡安全等級保護實施指南》GB/T 25058-2019
(9)《信息安全技術網絡安全等級保護基本要求》GB/T 22239-2019
(10)《信息安全技術網絡安全等級保護安全設計技術要求》GB/T 25070-2019
(11)《信息安全技術網絡安全等級保護測評要求》GB/T 28448-2019
(12)《信息系統(tǒng)安全等級保護測評報告模板(2019年版)》
(13)《信息安全技術信息安全風險評估規(guī)范》GB/T 20984-2007
(14)《信息安全技術信息安全風險評估實施指南》GB/T 31509-2015
(15)《信息安全技術網絡安全等級保護定級指南》(參考)GB/T 22240-2020
(16)其他相關信息安全制度規(guī)定��、標準規(guī)范�。
1.8服務方式:現場服務方式。
1.9實施周期:服務期限為自合同簽訂起120日歷天內完成��。
2.服務要求
安全等級測評要求
在合同期內完成要求的信息系統(tǒng)等級保護測評工作�,制定測評工作計劃、實施現場測評�����、提出整改建議并協助整改、出具測評報告和安全檢查報告�����。
投標人應嚴格建立質量保證體系��,將制定項目的質量控制方案和實施措施��,并督促完成各環(huán)節(jié)質量控制內容和目標�;保證項目各個階段滿足甲方對質量的要求。
投標人應根據項目的工作計劃�,對階段性項目工作成果進行審核,并向甲方提交里程碑式工作成果�。通過保證各個階段性成果的質量,最終保證整個項目的質量��。
2.1質量管理
建立一套科學�、系統(tǒng)、規(guī)范和有效的項目管理體系和運作機制�,如制定明確量化的項目目標、項目風險管理��、項目進度管理��、項目質量保證體系等��,以對整個實施過程及各環(huán)節(jié)起到科學有效的控制�����、監(jiān)督和保障作用��,確保項目實施的質量和效率。具體應保證以下內容:
項目時間管理:確保項目最終的按時完成��,具體包括項目的活動界定�,活動排序��,時間估計��,進度安排及時間控制等項工作��。
項目成本管理:主要包括服務團隊人員工時的合理分配等控制工作��。
項目質量管理:確保項目達到招標人所規(guī)定的質量要求��,主要包括項目過程文檔��、交付物的質量控制工作��。
項目人力資源管理:包括項目組服務團隊的規(guī)劃、建設�,人員資質的監(jiān)督和招標人項目團隊的溝通牽頭工作。
項目溝通管理:確保項目信息的合理收集和傳輸�����,包括項目雙方之間的溝通規(guī)劃��、信息傳輸和服務團隊出具的項目進度報告等工作�����。
項目風險管理:預估項目可能遇到各種不確定因素�����,并開展風險識別�����,風險量化�����,制訂對策和風險控制等工作�。
2.2項目原則
本項目方案設計與項目實施滿足以下原則:
(一)符合性原則:項目在實施過程中需要符合信息系統(tǒng)安全等級保護相關技術標準的要求��,所出具報告客觀、公正�。
(二)規(guī)范性原則:在項目實施過程中產生的文檔具有良好的規(guī)范性,便于項目的跟蹤和控制��。
(三)整體性原則:測評內容應當整體��、全面��,包括信息安全的各個層面�,避免由于遺漏造成潛在的安全隱患。
(四)最小影響原則:測評工作應盡可能小的影響系統(tǒng)和網絡正常運行�����,不能對現有網絡的運行和業(yè)務的正常開展產生明顯影響(包括系統(tǒng)性能明顯下�����、網絡堵塞��、服務終端等)�����。
(五)保密原則:對項目實施中產生的數據和結果應嚴格保密,未經甲方授權不得泄露給任何單位和個人�,不得利用此數據進行任何侵害甲方利益的行為。
2.3項目驗收
(1)項目服務內容全部按招標人要求實施完畢并通過招標人組織的驗收評審�����;
(2)項目交付物全部通過招標人審核并交付招標人��;
(3)合同條款中工作全部執(zhí)行完畢�。
3.等級保護測評標準和交付物
3.1等級保護測評技術測評要求
技術測評要求工作內容主要包括安全物理環(huán)境測評、安全通信網絡測評��、安全區(qū)域邊界測評��、安全計算環(huán)境測評和安全管理中心測評��,以下采用網絡安全等級保護第三級信息系統(tǒng)測評指標進行舉例�。
3.1.1安全物理環(huán)境測評
安全物理環(huán)境測評將通過訪談和檢查結合的方式評測被測信息系統(tǒng)的物理安全保障情況。主要涉及對象為機房�。
在內容上,安全物理環(huán)境測評實施過程涉及10個工作單元�����,具體如下表:
|
序號
|
安全子類
|
測評指標描述
|
|
1
|
物理位置選擇
|
通過訪談物理安全負責人�����,檢查機房,測評機房物理場所在位置上是否具有防震��、防風和防雨等多方面的安全防范能力�����。
|
|
2
|
物理訪問控制
|
通過訪談物理安全負責人��,檢查機房出入口等過程�,測評信息系統(tǒng)在物理訪問控制方面的安全防范能力��。
|
|
3
|
防盜竊和防破壞
|
通過訪談物理安全負責人��,檢查機房內的主要設備��、介質和防盜報警設施等過程�,測評信息系統(tǒng)是否采取必要的措施預防設備、介質等丟失和被破壞�。
|
|
4
|
防雷擊
|
通過訪談物理安全負責人,檢查機房設計/驗收文檔�����,測評信息系統(tǒng)是否采取相應的措施預防雷擊。
|
|
5
|
防火
|
通過訪談物理安全負責人�,檢查機房防火方面的安全管理制度,檢查機房防火設備等過程��,測評信息系統(tǒng)是否采取必要的措施防止火災的發(fā)生��。
|
|
6
|
防水和防潮
|
通過訪談物理安全負責人�����,檢查機房及其除潮設備等過程��,測評信息系統(tǒng)是否采取必要措施來防止水災和機房潮濕�。
|
|
7
|
防靜電
|
通過訪談物理安全負責人,檢查機房等過程��,測評信息系統(tǒng)是否采取必要措施防止靜電的產生�����。
|
|
8
|
溫濕度控制
|
通過訪談物理安全負責人�,檢查機房的溫濕度自動調節(jié)系統(tǒng),測評信息系統(tǒng)是否采取必要措施對機房內的溫濕度進行控制�。
|
|
9
|
電力供應
|
通過訪談物理安全負責人,檢查機房供電線路、設備等過程�����,測評是否具備為信息系統(tǒng)提供一定電力供應的能力�����。
|
|
10
|
電磁防護
|
通過訪談物理安全負責人�,檢查主要設備等過程,測評信息系統(tǒng)是否具備一定的電磁防護能力�。
|
3.1.2安全通信網絡測評
安全通信網絡測評將通過訪談�����、檢查和測試的方式評測信息系統(tǒng)的網絡安全保障情況��。主要涉及對象機房的網絡設備��、網絡安全設備以及網絡拓撲結構等三大類對象�����。
在內容上��,安全通信網絡測評過程涉及3個工作單元,具體如下表所示:
|
序號
|
安全子類
|
測評指標描述
|
|
1
|
網絡架構
|
測評分析網絡架構與網段劃分�����、隔離等情況的合理性和有效性�。
|
|
2
|
通信傳輸
|
測評通信過程中的完整性、保密性等�����。
|
|
3
|
可信驗證
|
基于可信根對通信設備的系統(tǒng)引導程序��、系統(tǒng)程序�、重要配置參數和通信應用程序等 進行可信驗證,并在應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證��。
|
3.1.3安全區(qū)域邊界測評
安全區(qū)域邊界測評將通過訪談�����、檢查和測試的方式評測信息系統(tǒng)的安全區(qū)域邊界保障情況��。為信息系統(tǒng)整體安全性進行綜合風險評價做準備�����。
在內容上,安全區(qū)域邊界測評實施過程涉及6個測評單元��,具體如下表所示:
|
序號
|
安全子類
|
測評指標描述
|
|
1
|
邊界防護
|
測評分析信息系統(tǒng)網絡邊界安全防護的狀況�。
|
|
2
|
訪問控制
|
測評分析信息系統(tǒng)對網絡區(qū)域邊界相關的網絡隔離與訪問控制能力。
|
|
3
|
入侵防范
|
測評分析信息系統(tǒng)對攻擊行為的識別和處理情況�。
|
|
4
|
惡意代碼和垃圾郵件防范
|
測評分析信息系統(tǒng)網絡邊界和核心網段對病毒等惡意代碼及垃圾郵件的防護情況。
|
|
5
|
安全審計
|
測評分析信息系統(tǒng)審計配置和審計記錄保護情況�。
|
|
6
|
可信驗證
|
基于可信根對通信設備的系統(tǒng)引導程序、系統(tǒng)程序��、重要配置參數和通信應用程序等 進行可信驗證��,并在應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證�。
|
3.1.4安全計算環(huán)境測評
安全計算環(huán)境測評將通過訪談、檢查和測試的方式評測信息系統(tǒng)的主機系統(tǒng)安全保障情況�。
在內容上�,安全計算環(huán)境測評實施過程涉及11個工作單元,具體如下表所示:
|
序號
|
安全子類
|
測評指標描述
|
|
1
|
身份鑒別
|
檢查服務器的身份標識與鑒別和用戶登錄的配置情況�����。
|
|
2
|
訪問控制
|
檢查服務器的訪問控制設置情況�����,包括安全策略覆蓋、控制粒度以及權限設置情況等��。
|
|
3
|
安全審計
|
檢查服務器的安全審計的配置情況��,如覆蓋范圍�����、記錄的項目和內容等�;檢查安全審計進程和記錄的保護情況。
|
|
4
|
入侵防范
|
檢查服務器在運行過程中的入侵防范措施��,如關閉不需要的端口和服務�����、最小化安裝�����、部署入侵防范產品等�。
|
|
5
|
惡意代碼防范
|
檢查服務器的惡意代碼防范情況,如服務器是否安裝統(tǒng)一管理的惡意代碼防范軟件�,是否及時升級病毒庫等。
|
|
6
|
可信驗證
|
基于可信根對通信設備的系統(tǒng)引導程序�、系統(tǒng)程序��、重要配置參數和通信應用程序等 進行可信驗證��,并在應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證�。
|
|
7
|
數據完整性
|
測評操作系統(tǒng)�����、數據庫管理系統(tǒng)的管理數據��、鑒別信息和用戶數據在傳輸和保存過程中的完整性保護情況��。
|
|
8
|
數據保密性
|
測評操作系統(tǒng)和數據庫管理系統(tǒng)的管理數據�����、鑒別信息和用戶數據在傳輸和保存過程中的保密性保護情況�。
|
|
9
|
數據備份恢復
|
測評信息系統(tǒng)的安全備份情況,如重要信息的備份�、硬件和線路的冗余等�。
|
|
10
|
剩余信息保護
|
測評鑒別信息所在的存儲空間被釋放或重新分配前是否得到完全清除。
|
|
11
|
個人信息保護
|
測評是否僅采集和保存業(yè)務必需的用戶個人信息�����;是否禁止未授權訪問和使用用戶個人信息�����。
|
3.1.5安全管理中心測評
安全管理中心測評將通過訪談�����、檢查和測試結合的方式評測信息系統(tǒng)的安全管理中心保障情況��。本次測評重點檢查系統(tǒng)的數據在采集�、傳輸、處理和存儲過程中的安全�����。
在內容上��,安全管理中心層面測評實施過程涉及4個工作單元�����,具體如下表所示:
|
序號
|
安全子類
|
測評指標描述
|
|
1
|
系統(tǒng)管理
|
測評信息系統(tǒng)的系統(tǒng)管理員對系統(tǒng)的管理情況�。
|
|
2
|
審計管理
|
測評信息系統(tǒng)的安全審計員對系統(tǒng)的審計情況。
|
|
3
|
安全管理
|
測評信息系統(tǒng)的安全管理員對系統(tǒng)的安全策略的配置情況�。
|
|
4
|
集中管控
|
測評網絡鏈路�、安全設備�����、網絡設備和服務器等設備的運行狀況的集中監(jiān)測��、分析��、報警等��。
|
3.2交付物
本次等保測評項目服務交付物包括但不限于如下文件:
|
序號
|
項目階段
|
文檔產出
|
|
1
|
項目準備
|
《項目計劃書》
|
|
2
|
《基礎信息調研表》
|
|
3
|
《選用項目實施工具清單》
|
|
4
|
定級備案
|
《信息系統(tǒng)定級報告》
|
|
5
|
《信息系統(tǒng)備案表》
|
|
6
|
《專家評審意見》
|
|
7
|
《信息系統(tǒng)備案證明》
|
|
8
|
項目方案編制
|
《測評實施方案》
|
|
9
|
初測評(差距分析和滲透漏掃)
|
《信息系統(tǒng)差距分析報告》
|
|
10
|
《信息系統(tǒng)出測評報告》
|
|
11
|
《滲透測試報告》
|
|
12
|
《安全配置核查記錄》
|
|
13
|
《工具測試掃描記錄》
|
|
14
|
《漏洞掃描報告》
|
|
15
|
《安全問題分析匯總及整改建議》
|
|
16
|
《順義區(qū)疾控中心基礎機房運行環(huán)境的安全分析報告》
|
|
17
|
整改階段
|
《信息系統(tǒng)安全整改設計方案》
|
|
18
|
《系統(tǒng)安全加固方案》
|
|
19
|
《安全管理制度文件》修訂版
|
|
20
|
《安全管理制度運行記錄》
|
|
21
|
等級測評
|
《現場測評結果記錄》
|
|
22
|
《等級保護測評報告》
|
|
23
|
項目驗收
|
《驗收報告》
|
測評實施流程必須符合公安機關發(fā)布的“《信息系統(tǒng)安全等級保護測評要求》GB/T 28448-2019”�,測評報告格式必須符合《網絡安全等級保護測評報告模板(2021版)》。
4.等級保護測評系統(tǒng)明細表
|
序號
|
信息系統(tǒng)名稱
|
業(yè)務信息安全保護等級定級
|
|
1
|
公共衛(wèi)生檢測服務平臺
|
第三級
|
|
2
|
綜合辦公系統(tǒng)
|
第二級
|
|
3
|
慢病信息化管理系統(tǒng)
|
第二級
|
|
|
|
|
5.技術方案要求
投標人根據對于甲方項目需求的理解提供完整的信息安全整體設計方案�、項目實施和管理方案、項目實施安全方案��、人員投入方案��、培訓和知識轉移方案��、售后服務方案等��,以上方案能充分滿足項目建設的實際要求��,充分考慮項目實施過程中的各種技術因素��,同時充分滿足本項目所承載的業(yè)務應用系統(tǒng)的支撐要求��,安全可控�,計劃得當,能搞充分滿足被測評系統(tǒng)穩(wěn)定�、安全、可靠運行的基本要求�。
投標人應對各項服務要求做出實質響應。如果不能響應�����、低于或高于服務指標�����,須在技術偏離表中明確說明��。
6.報價表
6.1網絡安全等級保護測評報價:
|
序號
|
服務綜述
|
服務名稱
|
服務內容
|
工作成果
|
一個三級系統(tǒng)報(元)
|
一個二級系統(tǒng)報價(元)
|
|
1
|
網絡安全等級保護測評及咨詢服務
|
定級備案咨詢
|
系統(tǒng)梳理��;編寫定級報告和基礎信息調研表�;
協助邀請專家,召開等級保護定級專家評審會�;協助整理定級備案材料,完成正式的定級備案等工作�。
|
《定級報告》
《備案證明》
《定級評審會相關材料》
|
|
|
|
漏洞掃描
|
對被測系統(tǒng)涉及到的所有軟硬件進行全面的漏洞掃描服務�����,針對發(fā)現的問題協助開展安全加固整改工作�����。
|
《漏洞掃描報告》
|
|
等級保護差距分析
|
根據等級保護相應級別的基本要求對被測系統(tǒng)從物理環(huán)境�、網絡�����、主機�����、應用和數據以及管理等多個層面進行差距分析�����,明確被測系統(tǒng)安全現狀與等級保護要求之間的差距��。
|
《差距分析報告》
|
|
安全整改和加固
|
依據等級保護差距分析�、漏掃結果最終編制等級保護整改方案,對被測系統(tǒng)提出整改和加固建議,并為安全整改和加固工作提供指導�。
|
《等級保護整改方案》
|
|
制度、流程梳理和咨詢
|
依據網絡安全等級保護相關標準��,梳理被測評系統(tǒng)現有安全管理制度和文檔�,協助制訂網絡安全等級保護相關的制度��、規(guī)定和流程等��。
|
安全制度�����、規(guī)定和流程的梳理和制定
|
|
信息安全等級保護測評
|
依據網絡安全等級保護相關標準�,在對被測系統(tǒng)充分了解、準確掌握被測系統(tǒng)相關安全情況的基礎上��,通過安全整改后開展網絡安全等級保護測評工作并出具《等級保護測評報告》��。
|
《信息系統(tǒng)安全等級保護測評報告》
|
|
等級保護工作支持
|
為甲方在等級保護工作提供技術和咨詢支持�。
|
技術支持和咨詢支持
|
6.2安全培訓報價
|
序號
|
服務綜述
|
服務名稱
|
服務內容
|
工作成果
|
總價(元)
|
|
1
|
信息系統(tǒng)
安全咨詢
|
安全
方案制訂
|
依據信息安全相關要求和標準,在深入了解目標信息系統(tǒng)前提下��,對目標系統(tǒng)進行信息安全規(guī)劃�。本次為一個應用系統(tǒng)安全規(guī)劃的報價。
|
《信息系統(tǒng)安全建設方案》
|
|
|
專家評審
|
組織網絡安全等級保護等領域專家,對目標系統(tǒng)相關建設方案在信息安全方面提供專家評審�。本次為一個應用系統(tǒng)安全評審的報價。
|
《專家評審意見》
|
|
2
|
信息
安全培訓
|
信息安全培訓
|
每年進行四次網絡安全培訓�。培訓內容應包括網絡安全等級保護最新體系和要求,風險評估最新體系及要求�,信息安全保障體系及根據現時網絡現狀,對最新的網絡威脅進行研判��,對最新的安全技術進行介紹等�����。本次為每年四次安全培訓的報價�。
|
《培訓
方案》
|
|
*7.其他要求
7.1根據公信安〔2018〕765號《網絡安全等級保護測評機構管理辦法》要求,投標人須具有履行合同所必需的設備和專業(yè)技術能力�,須滿足如下條件:
(1)具備“國家網絡安全等級保護工作協調小組辦公室”頒發(fā)的《網絡安全等級保護測評機構推薦證書》,提供復印件加蓋投標單位公章;具備公安部頒發(fā)全國網絡安全等級保護測評機構推薦證書(DJCP)的測評機構合格證明材料:提供公安部頒發(fā)全國網絡安全等級保護測評機構推薦證書(DJCP)復印件��。
(2)投標人須進入全國等級保護測評機構推薦目錄�,并經營狀態(tài)正常��,非整改或被取消狀態(tài)��。提供中國網絡安全等級保護網(http://www.djbh.net/)推薦目錄的查詢詳細頁截圖�。
(3)未被相關主管部門列為整改期間暫停等級測評業(yè)務的合格證明材料:提供未被相關主管部門列為整改期間暫停等級測評業(yè)務的承諾書
7.2人員要求
項目實施團隊的組成結構合理�����,項目人員配備必須滿足至少高級“信息安全等級測評師”1名�����,中級“信息安全等級測評師”3名,初級“信息安全等級測評師”4名��。
第二包采購需求:
網絡安全設備采購(第二包)
第一部分 網絡安全設備采購需求
|
項目名稱
|
預算金額
(人民幣)
|
簡要技術要求
|
|
信息系統(tǒng)安全等級保護建設及測評(網絡安全設備采購)
|
90.1764萬元
|
通過采購數據庫審計�、日志審計、網閘�����、堡壘機�����、入侵檢測�、災備一體機、VPN網關、APT攻擊檢測��、實施設備集成和安全策略優(yōu)化�����,使順義區(qū)疾病預防控制中心單位兩個第二級(綜合辦公系統(tǒng)�����、慢病信息化管理系統(tǒng))�����、一個第三級(公共衛(wèi)生檢測服務平臺)達到相應的等級保護要求�����,通過相應的等級保護測評��,以符合網絡安全法��、網絡安全等級保護管理辦法等法律��、法規(guī)的要求��。
|
(二)安全產品及相關硬件配備
|
序號
|
貨物名稱
|
主要配置、參數
|
單位
|
數量
|
應用地點
|
|
1
|
數據庫審計設備
|
標準機架式硬件設備�,含單交流電源,2*USB接口�����,1*RJ45串口�����,1*GE管理口��,6*GE電口�����,1個接口擴展槽位�,2T SATA硬盤�����。包含數據庫審計功能�����,包含產品安裝、調試�����、培訓�,含三年原廠軟件升級及硬件質保。
|
套
|
1
|
疾控中心政務網
|
|
2
|
日志審計系統(tǒng)
|
標準機架式設備�����,含交流冗余電源模塊�����,2*USB接口��,1*RJ45串口�����,2*GE管理口�,4個千兆電口,3個接口擴展槽位��,4TB SATA硬盤�����,授權接入100個日志源。包含產品安裝�����、調試�����、培訓�����,含三年原廠軟件升級及硬件質保��。
|
套
|
2
|
疾控中心政務網�����、辦公網
|
|
3
|
安全隔離與信息交換系統(tǒng)(網閘)
|
標準機架式硬件設備��,采用雙主機架構��,內外網各6個千兆電口�����,共2個RJ45串口和4個USB2.0口�����,冗余電源�,500Mbps吞吐量,含全部功能模塊�。含安裝、調試�、培訓;原廠3年升級服務��、原廠3年維保服務�����。
|
套
|
1
|
疾控中心政務網
|
|
4
|
堡壘機(安全運維管理系統(tǒng))
|
標準機架式硬件設備�,含單交流電源,2*USB接口�,1*RJ45串口,1*GE管理口��,4*GE電口��,2T SATA硬盤,1個網絡接口擴展槽�����。授權管理100臺設備�。含安裝、調試�����、培訓�;原廠3年升級服務、原廠3年維保服務�。
|
套
|
2
|
疾控中心政務網、辦公網
|
|
5
|
網絡入侵檢測系統(tǒng)
|
標準機架式設備�����,含交流冗余電源模塊��,2*USB接口�,1*RJ45串口��,1*RJ45管理口��,6*GE(Bypass)接口,1個接口擴展槽位��。1TSATA硬盤�。含入侵防護特征庫三年升級服務,包含產品安裝�����、調試��、培訓��,含三年原廠軟件升級及硬件質保�����。
|
套
|
1
|
疾控中心辦公網
|
|
6
|
災備一體機
|
標準機架式設備�;4個磁盤槽位3.5" SAS、SATA磁盤接口�;配4塊4TB企業(yè)級硬盤;Intel4核8線程處理器�����;32G高速緩存;RAID支持1��、5�����、6�����、10模式��;雙端口千兆以太網�;4個智能冷卻風扇模塊;1個PCIE擴展插槽��;包含X86/虛擬機的整機備份�����、文件備份�、數據庫備份功能、提供備份文件驗證功能�����、可開啟一個虛擬化驗證主機,提供備份數據去重與合并功能�����、提供WindowsSever��、windows和linux備份代理程序�����,提供無系統(tǒng)X86/虛擬機/云主機裸機�����、WindowsSever��、linux、windows還原代理�、可實現單/批量文件恢復和下載��、提供異構主機間的全量和快速災難恢復功能��,支持異地遠程復制容災功能�、備份數據歸檔功能;8T備份容量授權�;CDP實時備份授權��,且不限制客戶端個數�����;系統(tǒng)應急接管容災功能授權�����;含安裝�����、調試��、培訓��;原廠3年升級服務�、原廠3年維保服務�����。
|
套
|
1
|
疾控中心政務網
|
|
7
|
VPN網關
|
最大支持加密流量(Mbps):200��,授權支持并發(fā)用戶數:300�,IPSec加密最大流量(Mbps):100�,設備整機最大吞吐量:500Mbps�����,設備整機最大并發(fā)會話數:60w��。 硬件參數:內存大?�。?G��,硬盤容量:64G minisata SSD�����,電源:單電源�����,接口:4千兆電口��。含安裝��、調試��、培訓��;原廠3年升級服務�、原廠3年維保服務。
|
套
|
1
|
疾控中心辦公網
|
|
8
|
未知威脅防御系統(tǒng)(APT攻擊檢測系統(tǒng))
|
標準機架式設備�����,含交流電源模塊��,設備吞吐性能600Mbps��,內存大小16G��,硬盤容量2TB SATA�����,6千兆電口+2千兆光口SFP�。設備定位為客戶的APT防護一體機,定位異常網絡行為�����,及時檢測和響應��。含安裝��、調試、培訓�����;原廠3年升級服務��、原廠3年維保服務�。
|
套
|
1
|
疾控中心政務網
|
第二部分 技術參數明細
2.1 技術參數明細
2.1.1 數據庫審計
|
要求類別
|
功能及技術描述
|
|
硬件指標★
|
系統(tǒng)應為標準式機架硬件設備,全內置封閉式結構�����,具有國產化的操作系統(tǒng)��、硬件平臺
接口要求:千兆電口≥6個��,1個擴展插槽�����,可支持擴展4千兆光口或4千兆電口
硬盤存儲空間≥2T�����,內存≥16G
|
|
性能指標★
|
SQL語句處理能力≥10000條/秒��,純數據庫網絡吞吐量:峰值≥200Mbit/秒�。
|
|
數據庫類型
|
支持主流國產化數據庫:DM、Oscar�����、Kingbase�����、Gbase��,HighGo DB以及Oracle�����、SQL Server�����、MySQL�、DB2、Sybase�、PostgreSQL、Informix、�、Hbase、MongoDB��、HIVE�、Redis、Cache
|
|
部署方式
|
旁路部署模式下無須在被審計數據庫系統(tǒng)上安裝任何代理即可實現審計
#支持在目標數據庫安裝Agent解決無法通過旁路鏡像獲取流量的場景��,如同服務器部署數據庫和應用系統(tǒng)��、云環(huán)境�、虛擬化環(huán)境場景下數據庫的審計,需提供web界面功能截圖�。
|
|
審計能力
|
支持在IPV6環(huán)境中部署,且支持所有數據庫IPV6協議的審計��。
#通用規(guī)則置于全局規(guī)則集�����,通過分配和指定作用于特定審計對象��,非通用規(guī)則置于具體審計對象中�,需提供web界面功能截圖��。
#數據庫操作行為基線包括數據庫賬號��、訪問終端及操作類型等行為特征,需提供web界面功能截圖��。
#對超出數據庫操作行為基線的操作可自動識別�,并采取記錄、告警及阻斷措施�,需提供web界面功能截圖。
支持數據庫請求和返回的雙向審計�,特別是返回字段和結果集、執(zhí)行狀態(tài)��、返回行數�����、執(zhí)行時長等內容��,支持通過返回行數和內容大小控制返回結果集大小��。
會話的終端信息:IP��、MAC�����、Port、工具名稱(程序名)�。
會話的主機信息、IP��、MAC�、Port、數據庫名(實例名)�。
會話的其它信息:登錄時間、會話時長��。
操作信息:操作類型(DDL�、DML、DCL等)�、操作時間、執(zhí)行時長��、操作成功與失敗��、操作對象(表�����、函數�、存儲過程名稱)�����、SQL語句。
操作影響范圍信息:查詢��、修改�����、刪除操作的影響行數,以及返回行數�����。
#審計要素:支持執(zhí)行人��、執(zhí)行內容�、執(zhí)行時間、執(zhí)行地點�����、執(zhí)行方式��、影響范圍��、執(zhí)行結果等要素審計�����,需提供web界面功能截圖。
支持以完全精確方式��,審計到應用端相關信息�����,包括應用用戶等�����。
#支持MySQL數據庫的SSL/TSL加密鏈路審計�����,需提供web界面功能截圖��。
#能對基于數據庫漏洞進行攻擊行為監(jiān)測和告警��,默認支持200個以上的數據庫漏洞攻擊規(guī)則庫�,需提供web界面功能截圖。
|
|
告警能力
|
#支持風險語句告警策略�����。(黑白名單效果)�����,需提供web界面功能截圖��。
|
|
自定義添加風險語句和可信語句(黑白名單效果)�;
|
|
根據風險操作、SQL注入�����、漏洞攻擊檢測��、語句管理等模塊定義告警規(guī)則�����。
|
|
審計結果展示查詢
|
操作記錄的信息:審計結果中包括:告警級別�、事件發(fā)生時間、客戶端IP�����、目標數據庫IP�����、操作類型、客戶端MAC地址�、客戶端端口號、返回狀態(tài)��、結果信息�����、客戶端執(zhí)行命令等詳細信息內容�����。
|
|
#對審計結果集敏感內容可進行屏蔽�,需提供web界面功能截圖。
|
|
對詳細信息中的SQL語句能進行客戶化翻譯��。
|
|
支持客戶單IP建立別名�。
|
|
報表統(tǒng)計分析
|
支持定時自動生成報表,并發(fā)送到指定郵箱��。
|
|
#風險分析:根據風險語句�、sql注入、漏洞攻擊��、風險操作等維度以時間維度統(tǒng)計數據庫分析信息。支持規(guī)則命中查詢�����、支持風險查詢�,需提供web界面功能截圖��。
|
|
#會話分析:基于客戶端IP�、數據庫用戶、訪問程序統(tǒng)計會話�、支持會話檢索;失敗會話和并發(fā)會話統(tǒng)計�����;支持應用層關聯會話查詢�,需提供web界面功能截圖。
|
|
支持風險語句挖掘和超鏈接鉆取�����。
|
|
基于總體概況�、性能、會話��、語句、風險多層面展現報表�����,支持圖表結合展現��,支持柱形圖�、餅狀圖、條形圖�����,雙軸折線圖等多種統(tǒng)計圖展現形式�����。
|
|
#語句分析:基于SQL語句的操作類型統(tǒng)計�,支持失敗sql統(tǒng)計、Top sql統(tǒng)計��;支持針對新型語句��、語句審計模板檢索�,需提供web界面功能截圖。
|
|
#支持報表自定義,自定義項不少于10種�����,需提供web界面功能截圖�����。
|
|
數據維護
|
支持自動備份數據到FTP服務器�,可設置FTP服務器地址��、備份開始時間�����、時間間隔等��。
|
|
支持基于閾值的日志自動清理能力��。
|
|
支持手動清理日志信息�。
|
|
產品安全性
|
根據三權分立的原則。提供系統(tǒng)管理員�、安全管理員和審計管理員不同的用戶身份驗證。系統(tǒng)針對產品操作人員的操作行為進行審計記錄�����,可以由審計管理員進行查詢,具有自身安全審計功能�。提供審計數據管理功能,能夠實現對審計數據的自動備份�����、刪除和導入�。
|
|
#產品資質
|
信息系統(tǒng)安全專用產品銷售許可證,提供證書復印件��;
中國國家信息安全產品認證證書(ISCCC)�,提供證書復印件;
網絡關鍵設備和網絡安全專用產品安全認證(增強級)��,提供證書復印件��;
國測信息技術產品安全測評證書-EAL3+�����,提供證書復印件�����;
IPv6 Ready Logo認證證書,提供證書復印件�;
|
|
#廠商資質
|
廠商應具備足夠的信息安全服務技術實力及安全服務保障能力,獲得中國信息安全測評中心頒發(fā)的信息安全服務安全工程類三級資質證書��,提供證書復印件��。
為保障技術可靠性�,產品生產廠商具備CMMI L5認證證書,提供證書復印件�����。
廠商應具備足夠的信息安全服務技術實力及安全服務保障能力�����,獲得中國信息安全測評中心頒發(fā)的信息安全服務安全開發(fā)類一級及以上資質證書��,提供證書復印件。
廠商應為網絡安全應急服務支撐單位��,并具備網絡安全應急服務支撐單位證書(國家級)�,提供證書復印件。
設備制造廠商應是微軟MAPP(Microsoft Active Protection Program)計劃戰(zhàn)略合作伙伴,提供網頁截圖��。
|
|
項目授權與原廠質保
|
廠商針對本項目出具的授權委托書及原廠三年質保和售后服務承諾書 �����,須加蓋廠家公章
|
2.1.2日志審計
|
要求類別
|
功能及技術描述
|
|
硬件指標★
|
系統(tǒng)應為標準式機架硬件設備�����,全內置封閉式結構��,具有完全自主知識產權的專用安全操作系統(tǒng);
系統(tǒng)應支持冗余電源��,避免電源硬件故障時設備宕機,提高設備可用性�;
系統(tǒng)應至少包含1個RJ45串口,2個GE口�����,1個CF卡�,4個接口擴展槽位;
系統(tǒng)硬盤容量應不低于4TB�,應支持擴容��。
|
|
性能指標★
|
系統(tǒng)應默認支持審計100個以上日志源接入,應可擴展日志源接入數量�;
系統(tǒng)應支持不低于每秒3000EPS的日志平均處理能力。
|
|
系統(tǒng)架構
|
系統(tǒng)支持軟件版和虛擬化環(huán)境安裝�,支持本地認證、云端認證等授權方式�;
系統(tǒng)應基于大數據平臺架構,具備海量數據收集與快速檢索能力��;
系統(tǒng)應基于B/S架構��,支持SSL加密模式訪問�,通過web方式直接對系統(tǒng)進行管理;
系統(tǒng)應支持網閘�、NAT場景的日志采集。
|
|
日志采集
|
系統(tǒng)支持的數據采集范圍包括但不限于網絡安全設備�、交換設備、路由設備�����、操作系統(tǒng)�、應用系統(tǒng)等。
系統(tǒng)支持的數據采集方式包括但不限于SYSLOG�����、RSYSLOG、SNMP Trap�、FTP、ODBC�����、JDBC��、Net flow�、WMI、二進制數據��、專用Agent等方式采集日志��。
系統(tǒng)支持采集的設備廠家包括但不限于:Venustech(啟明星辰)�����、Topsec(天融信)�����、DBAPPSecurit(安恒)�����、SANGFOR(深信服)、NSFOCUS(綠盟科技)�����、Hillstone(山石網科)�����、東軟��、瑞星��、金山�、網康�����、360網神��、Dptech(迪普)�����、艾科網信、Imperva��、Juniper(瞻博網絡)�、F5、Symantec(賽門鐵克)��、Deep Security(趨勢科技)��、MaAfee(邁克菲)�、Fortinet(飛塔)、Windows�����、Linux/Unix�、Cisco(思科)、HUAWEI(華為)��、H3C(華三)�����、中興�����、Apache、nginx �、IIS、WebLogic�、Vmware、Kvm�����、Xen�、OpenStack�����、Hyper-V��、華為FusionSphere��、Oracle��、MySQL�、PostgreSQL、SQL Server��、Bind等�。
|
|
日志管理
|
系統(tǒng)應能實現海量日志數據的采集并保存原始日志數據�����,對異構日志格式進行統(tǒng)一化處理并保存統(tǒng)一化處理后的日志數據�����。
#系統(tǒng)支持界面配置即可完成未識別日志接入�,無需編寫xml�,需提供web界面功能截圖。
#系統(tǒng)支持NAT環(huán)境下的Agent部署模式�����,需提供web界面功能截圖��。
系統(tǒng)支持范式化日志多級提取�。
系統(tǒng)支持正則、KV�����、格式串等多種靈活的提取方式�。
系統(tǒng)支持自動生成正則以高效的輔助提取。
#系統(tǒng)應能夠實現范式化日志的枚舉值管理��,實現對范式化日志字段的靈活翻譯,需提供web界面功能截圖�����。
系統(tǒng)應支持IPv4��、IPv6日志數據的采集�、范式化、分析�����、展示��。
#系統(tǒng)應支持日志源監(jiān)控能力��,包括采集器維度及資產維度的監(jiān)控�,資產維度支持展示資產詳細信息�,需提供web界面功能截圖。
|
|
日志轉發(fā)
|
系統(tǒng)應提供日志轉發(fā)功能�,應支持日志轉發(fā)多個目標地址,可實現原始日志�、范式化日志的轉發(fā),且不丟失原始日志源IP信息�。
|
|
日志備份恢復
|
系統(tǒng)應支持按類型�����、按日期(天)�����,手動�、自動備份日志��。
系統(tǒng)應支持設置日志存儲備份策略�����,可設置備份周期��、備份日志類型�����。
系統(tǒng)應支持備份日志導入查詢�����。
系統(tǒng)應支持日志備份遠程服務器�,如傳送到FTP服務器�����。
#系統(tǒng)應支持日志存儲擴展�,如NFS網絡共享存儲擴展�,需提供web界面功能截圖。
|
|
日志查詢分析
|
系統(tǒng)應支持實時日志查詢��、歷史日志查詢��。
系統(tǒng)應支持原始日志�、范式化日志查詢。
系統(tǒng)應支持自定義查詢規(guī)則�����。
#系統(tǒng)應支持全文檢索�����、模糊檢索��、正則檢索等多種方式�,需提供web界面功能截圖�����。
系統(tǒng)應支持日志檢索結果存儲為日志監(jiān)控視圖。
|
|
事件告警
|
#系統(tǒng)應內置事件分類�,并支持自定義事件分類,可定義事件分類的風險級別�����,需提供web界面功能截圖�。
系統(tǒng)應內置豐富的事件規(guī)則,應支持自定義事件規(guī)則��。
#系統(tǒng)應支持多源事件關聯分析能力�,包括單源過濾模式、多源時序模式和多源關聯模式�,需提供web界面功能截圖。
系統(tǒng)應支持基于事件分類的告警規(guī)則��,支持短信�����、聲音�����、郵件、界面提示等多種告警方式�����。
系統(tǒng)應支持告警抑制。
系統(tǒng)應支持查詢實時事件,并可以很方便的下鉆事件規(guī)則以及原始日志信息���。
|
|
資產管理
|
系統(tǒng)應支持資產屬性配置�����。
系統(tǒng)應支持資產標簽�����,且至少6種標簽以上���,根據標簽可快速查詢資產����。
系統(tǒng)應支持手工注冊資產���,支持對資產進行修改/刪除���、批量導入/導出/添加/修改/刪除等多種方式的管理。
系統(tǒng)應支持從日志中進行資產發(fā)現���。
#系統(tǒng)應支持資產以拓撲圖形式展示�����,鼠標移動至資產圖標可展示對應的資產信息���,需提供web界面功能截圖。
|
|
報表管理
|
系統(tǒng)應能夠按照多種維度統(tǒng)計日志信息���。
系統(tǒng)應支持統(tǒng)計分析報表與多種文件格式導出����。
系統(tǒng)應能支持用戶上傳自定義報表模板����。
#系統(tǒng)應能支持自定義報表目錄、LOGO等����,需提供web界面功能截圖����。
|
|
統(tǒng)計項管理
|
系統(tǒng)應支持生成折線圖���、趨勢圖�����、餅圖���、柱狀圖、表格等統(tǒng)計項����。
#系統(tǒng)應支持統(tǒng)計項引用到報表,需提供web界面功能截圖���。
|
|
用戶管理
|
系統(tǒng)應支持用戶自定義賬號����。
系統(tǒng)應支持管理員���、審計員����、操作員多種權限設置����。
系統(tǒng)應支持超時退出機制。
系統(tǒng)應支持來訪IP限制���,對暴力猜測IP地址進行鎖定����。
|
|
系統(tǒng)自身安全性管理
|
系統(tǒng)應支持自身日志記錄并可查詢���、自身CPU����、內存和磁盤使用率可監(jiān)控并以圖形化方式動態(tài)顯示����,且支持狀態(tài)監(jiān)控和主動告警。
系統(tǒng)應支持系統(tǒng)基本參數管理�����、基本配置管理。
|
|
#產品資質
|
產品具備公安部銷售許可證
產品具有中國國家信息安全產品認證證書����;
產品具有國家信息技術產品安全測評證書(EAL3+);
以上均需提供相關證明材料����。
|
|
#廠商資質
|
廠商應具備足夠的信息安全服務技術實力及安全服務保障能力,獲得中國信息安全測評中心頒發(fā)的信息安全服務安全工程類三級資質證書�����,提供證書復印件�����。
廠商應具備足夠的信息安全服務技術實力及安全服務保障能力���,獲得中國信息安全測評中心頒發(fā)的信息安全服務安全開發(fā)類一級及以上資質證書���,提供證書復印件。
為保障技術可靠性���,產品生產廠商具備CMMI L5認證證書�����,提供證書復印件���。
廠商應為網絡安全應急服務支撐單位,并具備網絡安全應急服務支撐單位證書(國家級)�����,提供證書復印件���。
設備制造廠商應是微軟MAPP(Microsoft Active Protection Program)計劃戰(zhàn)略合作伙伴����,提供網頁截圖���。
|
|
項目授權與原廠質保
|
廠商針對本項目出具的授權委托書及原廠三年質保和售后服務承諾書 �����,須加蓋廠家公章
|
2.1.3網閘
|
要求類別
|
功能及技術描述
|
|
系統(tǒng)架構
|
1����、采用2+1系統(tǒng)架構即內網單元+外網單元+FPGA專用隔離硬件。不能采用網線等形式直通�����。
2���、采用基于linux內核的多核多線程專用安全操作系統(tǒng)���,加固內核。
|
|
硬件指標★
|
標準機架式機箱����,冗余電源,內網 6個GE接口���,外網 6個GE接口�����,
2個RJ45串口����,4個USB2.0接口。
|
|
性能指標★
|
并發(fā)連接數>10萬
開關切換時間< 10ns
系統(tǒng)延時< 1ms
無用戶數限制
最大吞吐量≥500Mbps
|
|
內置模塊
|
系統(tǒng)內置安全瀏覽�����、文件同步���、實時數據庫�����、關系數據庫、郵件模塊�����、MODBUS���、組播代理����、用戶自定義等應用模塊,并可控制協議的的動作����、參數���、內容。
|
|
文件交換
|
支持Samba���、FTP等多種文件協議���,可以實現內網到外網、外網到內網����、雙向的文件傳送。
支持病毒檢測�����。
#支持對文件類型的黑白名單控制�����,根據文件格式特征進行過濾�����,并且不依賴于文件擴展名,需提供web界面功能截圖�����。
支持文件內容深度檢測����,對包含關鍵字內容的文件進行過濾。
支持增量傳輸����、傳輸后刪除等傳輸策略。
支持目錄內子目錄同步���,子目錄級別不受限制。
支持文件交換容錯和告警功能���,交換出錯能夠自動重傳�����,出現異常能夠告警提示并記錄日志�����。
可通過專用客戶端或共享方式提供安全的文件同步功能���。
|
|
視頻應用
|
支持視頻會議����。
支持平臺級聯和視頻點播功能�����。
支持RTP/RTCP�����、H323等協議���。
#符合GB/T 28181國家標準����,支持相關廠商協議規(guī)范�����,需提供web界面功能截圖�����。
#支持SIP信令控制,可控制云臺�����,需提供web界面功能截圖����。
支持海康�����、大華���、華為���、華三�����、公安一所����、天地偉業(yè)�����、天視達���、宇視、科達�����、數碼視訊���、藏愚���、合眾、漢邦等視頻廠商���。
|
|
關系型數據庫
|
#支持Oracle����、SQLServer����、Mysql���、Sybase、DB2���、Postgresql等多種主流國外數據庫的同步和國產達夢數據庫���、人大金倉數據庫的同步,需提供web界面功能截圖���。
支持同構����、異構數據庫之間的同步�����,如Mysql同步至Oracle�����。
支持字段級數據同步���,僅同步表中某幾個字段����。
支持BLOB���、CLOB等大字段的同步�����。
#同步功能由網閘主動發(fā)起并完成�����,無需在數據庫安裝方軟件���,支持Windows、Linux�����、Unix 等多種數據庫操作系統(tǒng)�����,且網閘無需開放端口以杜絕安全隱患,需提供web界面功能截圖�����。
同時支持客戶端方式����,提供更高性能的數據庫同步。
支持數據庫同步實時日志記錄�����,提供日志審計���、查詢����。
|
|
郵件交換
|
支持SMTP���、POP3協議�����。
支持病毒檢測功能�����。
支持郵件地址����、附件�����、主題����、內容等進行過濾。
支持附件大小���、附件格式控制�����;支持發(fā)件人�����、收件人過濾���。
|
|
MODBUS模塊
|
支持MODBUS協議���,可按照用戶需求控制具體功能代碼及值域等參數,比如只允許讀取�����,不能設置���,只允許設置某一線圈的值在某個范圍等����。
|
|
實時數據庫
|
支持實時數據庫代理�����。
|
|
時間模式
|
#支持根據時間自動切換的安全策略�����。支持時間段以24小時制����,支持以星期為周期����,支持指定時間點一次性運行����;����,需提供web界面功能截圖。
|
|
診斷工具
|
#系統(tǒng)提供ping ,traceroute ,TCP端口探測����、抓包等工具方便管理員在配置策略或調整網絡時排查問題,需提供web界面功能截圖�����。
|
|
日志審計
|
系統(tǒng)可存儲和審計包含:系統(tǒng)日志�����;管理日志�����;網絡活動日志;入侵報警及處理日志�����;訪問控制日志���。
|
|
雙機熱備
|
支持雙機熱備及多機熱備功能����,最大化的保障業(yè)務可用性�����。
|
|
聲控報警
|
支持磁盤空間超過預定值時����,產生蜂鳴器報警。
支持雙機熱備工作時蜂鳴器報警���,備機接替主機工作時�����,備機產生周期性鳴笛報警���;主機恢復工作后����,備機停止工作����,同時停止鳴笛告警。
|
|
#產品資質
|
1產品應具有中華人民共和國公安部頒發(fā)的增強級《計算機信息系統(tǒng)安全專用產品銷售許可證》���,提供有效證書的復印件。
2產品應具有中華人民共和國國家版權局頒發(fā)的《計算機軟件著作權登記證》���,提供有效證書的復印件���。
3產品應具有公安部安全與警用電子產品質量檢測中心頒發(fā)的《軟件測試報告》(符合GB/T 28181-2016公共安全射頻監(jiān)控聯網系統(tǒng)信息傳輸、交換�����、控制技術要求)����,提供有效證書的復印件����。
|
|
#廠商資質
|
廠商應具備足夠的信息安全服務技術實力及安全服務保障能力�����,獲得中國信息安全測評中心頒發(fā)的信息安全服務安全工程類三級資質證書�����,提供證書復印件�����。
廠商應具備足夠的信息安全服務技術實力及安全服務保障能力�����,獲得中國信息安全測評中心頒發(fā)的信息安全服務安全開發(fā)類一級及以上資質證書����,提供證書復印件。
為保障技術可靠性�����,產品生產廠商具備CMMI L5認證證書,提供證書復印件����。
廠商應為網絡安全應急服務支撐單位,并具備網絡安全應急服務支撐單位證書(國家級)�����,提供證書復印件�����。
設備制造廠商應是微軟MAPP(Microsoft Active Protection Program)計劃戰(zhàn)略合作伙伴����,提供網頁截圖���。
|
|
項目授權與原廠質保
|
廠商針對本項目出具的授權委托書及原廠三年質保和售后服務承諾書 �����,須加蓋廠家公章
|
2.1.4堡壘機
|
要求類別
|
功能與技術描述
|
|
硬件指標★
|
機架式設備���,單交流電源
≥1個RJ45串口���,≥1個GE管理口,≥4個GE電口����,≥1個網絡接口擴展槽,2T SATA硬盤
|
|
性能指標★
|
字符并發(fā)會話數≥300個�����,圖形并發(fā)會話數≥770個����。
默認支持管理設備≥200臺,最大可管理設備數≥500臺�����。
|
|
系統(tǒng)配置架構要求
|
采用物理旁路模式部署����,不影響網絡結構。
支持運維審計日志集中管理運維審計系統(tǒng)分布式部署方式�����。
#支持雙機冗余熱備方式部署,故障切換時間在秒級完成���,不超過1秒鐘���,需提供web界面功能截圖。
#數據配置支持手動和實時同步�����,數據配置同步時間分鐘級完成���,不超過2分鐘�����,需提供web界面功能截圖�����。
支持IP和端口DNAT網絡環(huán)境部署,通過映射后的IP和端口信息能夠訪問堡壘機����。
支持域名方式web訪問到堡壘機���,并支持托管設備運維操作。
為了保證運維人員的運維習慣���,必須支持B/S瀏覽器登錄運維以及C/S客戶端統(tǒng)一接入兩種方式的運維方式�����。無需安裝客戶端���。
系統(tǒng)可自帶應用平臺發(fā)布服務器,內置多種數據庫客戶端工具���。
#支持與原廠商同品牌防火墻組成聯動方案���,可單點登錄堡壘機后直接運維托管設備,解決用戶內外網運維問題���,需提供web界面功能截圖����。
|
|
用戶權限管控要求
|
系統(tǒng)默認自帶三權分立用戶,系統(tǒng)管理員����、運維管理員和審計管理員權限相互制約。
#用戶登錄堡壘機支持多種認證方式�����,包括本地靜態(tài)密碼認證���、LDAP認證���、RADIUS認證、證書認證���、USBKEY認證�����、短信認證等身份認證方式����;支持可知因素和不可知因素的雙因素認證���;需提供web界面功能截圖���。
|
|
運維審計功能要求
|
自動登錄目標設備:運維人員不必知道目標設備帳號及密碼,無需進行二次登錄認證���,實現單點登錄���。
手工登錄目標設備:運維人員每次通過堡壘機登錄目標設備都需要手工輸入目標設備用戶名密碼。
半自動登錄目標設備:即第一次登錄目標設備時運維人員需手工輸入目標設備帳號和密碼并允許堡壘機保存該帳號密碼����,運維人員就可以自動登錄目標設備
密鑰登錄方式:在登錄目標服務器時,使用的是秘鑰登錄����,而非密碼。在既可以使用密碼����,又可以使用秘鑰的環(huán)境,可以自由選擇登錄認證方式����。
支持WEB調用本地客戶端程序如putty,securecrt,xshell,winscp,xftp,mstsc等客戶端單點登錄堡壘機運維目標設備�����。
支持本地圖形客戶端程序���,如mstsc、remmina等客戶端直接訪問堡壘機選取托管設備進行運維�����。
支持本地字符客戶端程序���,如putty,xshell,securecrt,winscp,xftp等客戶端直接訪問堡壘機選取托管設備進行運維����。
#支持本地文件客戶端程序�����,如winscp,xftp等客戶端直接訪問堡壘機選取托管設備進行運維�����,需提供web界面功能截圖。
支持批量導入/導出目標設備信息�����;可批量修改設備類型�����、IP���、部門、登錄方式����、會話空閑時間等屬性信息。
|
|
支持的協議
|
字符型遠程操作協議:SSH(V1���、V2)�����、TELNET����,Rlogin。
圖形化遠程操作協議:RDP����、VNC、X11����,并支持RDP和VNC運維下文件共享;可支持RDP���、VNC的客戶端直接訪問堡壘機����。
文件傳輸協議:FTP���、SFTP����、SCP���、Samba����;可支持客戶端Wincp直接訪問堡壘機。
支持達夢等國產數據庫運維���。
支持Oracle�����、MS SQL Server���、IBM DB2����、Sybase、IBM Informix Dynamic Server�����、MySql����、PostgreSQL等數據庫。
支持HTTP�����、HTTPS操作審計,HTTP/HTTPS協議可以直接代理�����。
|
|
應用發(fā)布
|
支持通過應用發(fā)布的方式進行協議擴展����,無需定制即可支持其他通用及專有的運維客戶端程序(無SSO)。
支持內置應用發(fā)布服務器�����,可定制支持其他通用及專有的運維客戶端程序(可SSO)����。
|
|
操作行為記錄
|
#RDP協議運維可審計用戶運維過程中鍵盤操作信息,審計內容包括時間和鍵盤輸入信息�����,并可通過鍵盤行為關鍵字搜索定位錄像回放�����,需提供web界面功能截圖。
RDP協議運維可審計用戶上傳下載文件行為����,審計內容包括時間、操作文件和共享目錄信息���。
文件操作審計內容:包括訪問起始和終止時間����、用戶名����、用戶IP地址�����、目標設備IP���、設備名稱���、協議類型、事件等級�����、操作內容(如對文件的上傳、下載����、刪除、修改等操作等)���。
|
|
web服務器運維管控
|
可控制用戶訪問web服務器的url地址���,防范運維人員違規(guī)訪問web服務器
可控制用戶上傳/下載文件到web服務器。
|
|
#產品資質
|
公安部銷售許可證���,提供證書復印件�����;
中國國家信息安全產品認證證書����,提供證書復印件���;
國家信息安全測評信息技術產品安全測評證書(EAL3+)���,提供證書復印件���;
以上均需提供相關證明材料。
|
|
#廠商資質
|
廠商應具備足夠的信息安全服務技術實力及安全服務保障能力����,獲得中國信息安全測評中心頒發(fā)的信息安全服務安全工程類三級資質證書,提供證書復印件����。
廠商應具備足夠的信息安全服務技術實力及安全服務保障能力,獲得中國信息安全測評中心頒發(fā)的信息安全服務安全開發(fā)類一級及以上資質證書����,提供證書復印件。
為保障技術可靠性���,產品生產廠商具備CMMI L5認證證書,提供證書復印件���。
廠商應為網絡安全應急服務支撐單位����,并具備網絡安全應急服務支撐單位證書(國家級),提供證書復印件�����。
設備制造廠商應是微軟MAPP(Microsoft Active Protection Program)計劃戰(zhàn)略合作伙伴����,提供網頁截圖。
|
|
項目授權與原廠質保
|
廠商針對本項目出具的授權委托書及原廠三年質保和售后服務承諾書 ����,須加蓋廠家公章
|
2.1.5 入侵檢測防御
|
要求類別
|
功能及技術描述
|
|
硬件指標★
|
系統(tǒng)應為機架式獨立IPS硬件設備,全內置封閉式結構�����,具有完全自主知識產權的專用安全操作系統(tǒng)���,穩(wěn)定可靠�����。
|
|
系統(tǒng)需提供不少于1個GE管理口�����,1個RJ45串口�����,6個GE電口���,1個SLOT插槽(可選配:4電口�����、8電口����、4千兆光口���、8千兆光口)���。冗余電源。
|
|
性能指標
|
產品性能不小于:網絡吞吐量10G�����,應用層吞吐量1Gbps���,最大并發(fā)TCP會話150萬���,每秒新增TCP會話4萬。
|
|
部署能力
|
系統(tǒng)應支持獨立式多路IPS工作模式����,各路IPS相互獨立,可單獨配置策略�����。
系統(tǒng)應支持VLAN 802.1Q�����、BGP�����、MPLS�����、QinQ���、PPPOE等封裝協議的透傳���,能夠適應多種不同的網絡環(huán)境���。
|
|
入侵檢測
|
#系統(tǒng)應提供覆蓋廣泛的攻擊特征庫,可針對網絡病毒�����、蠕蟲�����、間諜軟件����、木馬后門、掃描探測���、暴力破解等惡意流量進行檢測和阻斷�����,攻擊特征庫數量至少為9000種以上���。需提供web界面功能截圖。
系統(tǒng)應支持多種抗逃避檢測技術���。
#支持基于SCADA等工控協議的相關漏洞攻擊檢測與防護����。需提供web界面功能截圖���。
系統(tǒng)應能夠有效抵御SQL注入�����、XSS注入���、webshell等多種常見的應用層安全威脅,并可配置SQL注入白名單����。
規(guī)則須支持按CVE、CNNVD�����、CWE、Bugtraq關聯�����、查詢和篩選���。
系統(tǒng)應提供入侵行為特征的自定義接口�����,可根據用戶需求定制相應的檢測和阻斷規(guī)則����;支持以下自定義:名稱���、級別����、協議類型�����、協議類型、包長度���、正則表達式定義關鍵字���;支持IP\TCP\UDP\ICMP\HTTP\POP3\SMTP\MSN\QQTCP\\QQUDP\FTP等協議的規(guī)則自定義����。
|
|
防病毒能力
|
支持流式防病毒,且病毒庫在10萬以上 防病毒����;具有防病毒能力,支持HTTP���、FTP����、SMTP�����、POP3����、IMAP���、NFS、SMB2���、工控(IEC-61850���、IEC 60870)等協議。
支持病毒文件樣本留存���,并可導出用于跟蹤分析���。
支持防病毒庫實時更新,實現快速能力部署����、應對熱點突發(fā)病毒,
|
|
數據泄露防護
|
系統(tǒng)應提供服務器異常告警功能���,可以自學習服務器正常工作行為���,并以此為基線檢測處服務器非法外聯行為。
#系統(tǒng)應提供敏感數據保護功能,能夠識別����、阻斷通過自身的敏感數據信息(身份證號、銀行卡����、手機號等)需提供web界面功能截圖。
#系統(tǒng)應提供關鍵文件保護功能����,能夠識別�����、阻斷通過自身的關鍵文件���,以防止非法外傳行為�����。能識別的關鍵文件類型應包含至少以下幾類:文檔類如Excel����、PDF、PowerPoint�����、Word等���,壓縮文件類如CAB�����、GZIP�����、RAR����、ZIP�����、JAR等�����,圖像類如BMP、GIF�����、JPEG等���,音頻視頻類如MP3���、AVI、MKV���、MP4����、MPEG���、WMV等,腳本類如BAT����、CMD、WSF等����,程序類如APK����、DLL����、EXE、JAVA_CLASS等����。需提供web界面功能截圖。
系統(tǒng)應提供URL分類庫���,提供中英文網頁過濾數據庫����,實現高風險����、不良網站過濾。
|
|
DOS防御
|
系統(tǒng)應提供DoS/DDoS攻擊防護能力�����,支持TCP/UDP/ICMP/ACK Flooding,以及UDP/ICMP Smurfing等常見的DoS/DDoS的攻擊����。
支持基于閾值和自學習檢測。
|
|
服務器異常防護
|
#系統(tǒng)應提供服務器異常告警功能����,可以手動添加或自學習服務器外聯行為,并以此為基線檢測服務器非法外聯行為���。需提供web界面功能截圖���。
|
|
未知威脅防護
|
#支持提供惡意軟件分析服務、對未知可疑文件統(tǒng)計�����。需提供web界面功能截圖�����。
#支持與本地沙箱的聯動配置���。需提供web界面功能截圖���。
|
|
響應能力
|
系統(tǒng)應提供豐富的響應方式,包括:會話阻斷���、IP隔離等功能���,滿足用戶各種響應需求。
#系統(tǒng)應具備攻擊快照功能���,詳細記錄觸發(fā)告警的數據特征�����,以便做進一步的事件分析���。需提供web界面功能截圖。
|
|
#產品資質
|
公安部銷售許可證�����;
國家信息安全測評信息技術產品安全測評證書-EAL3+���;
網絡關鍵設備和網絡安全專用產品安全認證證書����;
國家信息安全漏洞庫CNNVD兼容性證書;
以上均需提供相關證明材料����。
|
|
#廠商資質
|
廠商應具備足夠的信息安全服務技術實力及安全服務保障能力,獲得中國信息安全測評中心頒發(fā)的信息安全服務安全工程類三級資質證書����,提供證書復印件。
廠商應具備足夠的信息安全服務技術實力及安全服務保障能力�����,獲得中國信息安全測評中心頒發(fā)的信息安全服務安全開發(fā)類一級及以上資質證書�����,提供證書復印件����。
為保障技術可靠性,產品生產廠商具備CMMI L5認證證書�����,提供證書復印件���。
廠商應為網絡安全應急服務支撐單位����,并具備網絡安全應急服務支撐單位證書(國家級)���,提供證書復印件�����。
設備制造廠商應是微軟MAPP(Microsoft Active Protection Program)計劃戰(zhàn)略合作伙伴�����,提供網頁截圖���。
|
|
項目授權與原廠質保
|
廠商針對本項目出具的授權委托書及原廠三年質保和售后服務承諾書 ,須加蓋廠家公章
|
2.1.6 災備一體機
|
序號
|
指標項
|
需求描述
|
|
1
|
配置要求★
|
機架式設備���;4個磁盤槽位3.5" SAS����、SATA磁盤接口;配4塊4TB企業(yè)級硬盤���;Intel4核8線程處理器���;32G高速緩存;RAID支持1����、5、6����、10模式;雙端口千兆以太網����;4個智能冷卻風扇模塊;1個PCIE擴展插槽�����;裸容量空間≥16T
|
|
2
|
災備系統(tǒng)兼容性
|
支持對X86架構下的物理機���、虛擬機�����、超融合�����、私有云和公有云提供統(tǒng)一的將主機的操作系統(tǒng)���、應用系統(tǒng)、數據庫和數據作為一個整體的���、基于磁盤數據塊復制技術的一致性災備保護����,安裝���、卸載�����、備份過程不需要重啟動的業(yè)務系統(tǒng)�����,對虛擬機和云主機提供CDP實時數據保護且備份時間粒度最小可達微秒級�����;
|
|
#不需區(qū)分業(yè)務系統(tǒng)的類型����、部署方法、業(yè)務系統(tǒng)間的數據交互機制����、數據結構/邏輯關系和數據庫的品牌/版本等,Windows Sever 2003及以上和Linux2.6.18及以上操作系統(tǒng)上分別采用統(tǒng)一的agent的對任意應用系統(tǒng)和數據提供整機災備保護���,實現對現有及未來新上業(yè)務系統(tǒng)的保護兼容性����;(需提供截圖證明并加蓋原廠商公章)
|
|
#支持SQL Server���、Oracle���、Sybase�����、Exchange Server�����、MongoDB、Lotus Notes/Domino����、DB2、MySQL�����、 AD等 國產數據庫包括達夢數據庫�����、神通數據���、南大通用����、人大金倉和Gbase等數據庫的數據備份與恢復;(需提供截圖證明并加蓋原廠商公章)
|
|
#對Oracle Rac數據庫系統(tǒng)、配置���、日志及數據實現整體����、一致的定時和CDP持續(xù)數據保護����;(需提供截圖證明并加蓋原廠商公章)
|
|
能夠對WindowsXP/7/8/10操作系統(tǒng)主機提供整機一致的災備保護,按照策略實現歷史時間點的整機回滾恢復���;
|
|
3
|
災備系統(tǒng)功能
|
支持多臺災備系統(tǒng)本地���、異地之間的數據同步,可按照任務進行配置復制頻率����,可對同步頻率、存儲保留時間策略����、備份點數量策略、傳輸是否加密和帶寬占用策略進行設置����;
|
|
提供文件恢復和卷恢復功能�����,可直接恢復指定的文件和卷���;
|
|
數據傳輸采用加密技術,靈活的完整備份和增量備份策略���,支持數據重刪和斷點續(xù)傳;
|
|
4
|
應急接管功能#
|
無需額外服務器���、無需部署虛擬化系統(tǒng)���、無需停止對原機的數據備份,即可配置多個應急接管業(yè)務虛擬機同時接管多個業(yè)務系統(tǒng)�����,全Web操作完成虛擬機創(chuàng)建���、接管備份點的選取�����、IP和路由配置���、虛擬機開機等接管業(yè)務的全流程����,可為應急接管主機提供CDP保護���,新增的數據可形成增量備份點或CDP保護點���;(需提供截圖證明并加蓋原廠商公章)
|
|
5
|
熱備功能#
|
支持在任意品牌/技術/芯片組的X86物理機、虛擬機和云主機之間配置整機熱備HA架構����,備機和原機實時數據同步,原機故障時可秒級業(yè)務切換到備機保障業(yè)務服務的連續(xù)性���,且具備數據歷史點回切能力�����;(需提供截圖證明并加蓋原廠商公章)
|
|
6
|
災備系統(tǒng)備份點可靠性驗證#
|
管理員可將選定的備份點加載為CIFS文件共享或網絡共享在WEB瀏覽器中訪問����,也可在災備系統(tǒng)中自建隔離私有虛擬化驗證系統(tǒng),無需停止備份任務可將選定驗證的備份點整機啟動���,模擬真實生產環(huán)境登錄系統(tǒng)驗證備份的可靠性和一致性�����;(需提供截圖證明并加蓋原廠商公章)
|
|
7
|
災備演練和災難重建#
|
提供異構目標機間�����、無預置災備演練或災難重建環(huán)境(目標機無操作系統(tǒng)���、目標機和原機操作系統(tǒng)不一致���、目標機無應用系統(tǒng)����、目標機無數據庫等)可即時開展的整機災難演練或災難重建����,在災備系統(tǒng)的Web控制臺上為目標機做差異硬件驅動配置���、系統(tǒng)IP/路由配置和腳本配置等各種必要的配置,無需逐步手工安裝����、配置操作系統(tǒng)、應用系統(tǒng)����、數據庫,實現任意品牌/技術的X86服務器�����、虛擬機和云主機之間的異構����、整機、自動化災難重建����,千兆網絡環(huán)境中無論數據量大小可30分鐘內將災備點應用系統(tǒng)重建至異構主機上并實現系統(tǒng)服務恢復;(需提供截圖證明并加蓋原廠商公章)
|
|
8
|
安全運維管理
|
具備系統(tǒng)管理員和業(yè)務管理員雙管理員角色����,用戶可設定字母+數字組合復雜登錄密碼�����,支持配置登陸超時鎖定策略���、登錄失敗鎖定,支持密碼時限配置�����,最大限度確保系統(tǒng)安全���;
|
|
中文界面���,基于https的WEB管理模式實現業(yè)務管理員管理、存儲管理�����、備份任務管理�����、遠程復制管理及權限管理等�����,支持以郵件告警的方式對備份存儲系統(tǒng)的軟件故障�����、存儲空間�����、備份任務����、操作狀態(tài)等提供通知;
|
|
9
|
平臺安全性
|
存儲備份系統(tǒng)的專用嵌入式操作系統(tǒng)維護后臺采用動態(tài)口令機制����,動態(tài)口令由設備管理員和原廠口令組成,原廠口令隨著設備管理員的改密碼操作而變化���,確保災備系統(tǒng)后臺不被非法登入����;
|
|
10
|
異地容災#
|
異地災備云中心提供云端備份數據和應用的仿真驗證演練、云上應用級容災���,出口帶寬不低于500M及相關服務承諾函�����;(提供相關服務承諾函并加蓋異地災備云中心公章)����;
異地災備云中心的運營單位需提供具有中華人民共和國增值電信業(yè)務經營許可證����、數據中心基礎網絡環(huán)境安全等級保護備案三級、數據中心場地基礎設施A評價證書���、ICP許可證及ISO22301業(yè)務聯系性管理體系認證(提供異地災備云中心相關資質證明并加蓋異地災備云中心公章)����;
|
|
11
|
資質要求#
|
產品為自主研發(fā)產品����,非OEM,提供《計算機軟件著作權登記證書》復印件并加蓋原廠公章���;
提供產品計算機信息系統(tǒng)安全專用產品銷售許可證���,證書復印件并加蓋原廠公章。
提供產品廠商ISO9001及14001體系認證����,證書復印件并加蓋原廠公章。
|
|
12
|
項目授權與原廠質保
|
廠商針對本項目出具的授權委托書及原廠三年質保和售后服務承諾書 ����,須加蓋廠家公章
|
2.1.7VPN網關
|
技術指標
|
指標要求
|
|
性能要求★
|
標準機架式設備,標配千兆電口≥4個���,SSL VPN加密流量≥200Mbps�����, 理論最大SSL VPN并發(fā)用戶數≥800個 ����,實配不少于300個SSL并發(fā)接入授權����,標配單電源�����。
|
|
基本特性
|
專業(yè)VPN設備����,采用標準SSL�����、TLS 協議����,同時支持IPSec VPN、SSLVPN兩種VPN����,非插卡或防火墻帶VPN模塊設備;
|
|
支持PC終端使用包括Windows10����、Windows8、Windows7���、Windows Vista�����、Windows xp���、Mac OS、Linux 等主流操作系統(tǒng)來登錄SSLVPN系統(tǒng)�����,并完整支持該操作系統(tǒng)下的各種IP層以上的B/S和C/S應用����;支持Windows、IOS����、Android、塞班�����、黑莓等操作系統(tǒng)的智能手機���、PDA����、平板電腦(PAD)等移動終端的SSL VPN接入,或通過PPTP���、L2TP VPN方式接入���;
|
|
#支持終端使用包括IE6、7�����、8���、10����、11或其他IE內核的瀏覽器�����,以及最新版本的非IE內核瀏覽器���,如Windows EDGE�����,Google Chrome����, Firefox,Safari�����,Opera最新版登錄SSLVPN系統(tǒng)�����,登錄后可完整支持各種IP層以上的B/S和C/S應用���;(需提供相關功能截圖證明并加蓋公章)
|
|
產品應支持國際通用標準的密碼算法,包括:AES���、DES�����、3DES���、DH���、RSA、RC4���、MD5����、SHA1等���;
|
|
易用性
|
可支持虛擬門戶功能����,在一臺設備上配置不同的訪問域名���、IP地址�����,以及不同的使用界面���,實現一臺設備為多個不同用戶群體服務的的使用效果�����;
|
|
支持斷線重連自動技術���,防止用戶誤操作關閉瀏覽器導致VPN隧道斷開;防止用戶在無線網絡環(huán)境下網絡正常切換時VPN隧道斷開���;
|
|
支持智能遞推技術�����,針對多外鏈的門戶網站進行動態(tài)嗅探頁面內的鏈接并完成資源自動授權,防止資源漏訪���;支持Web參數修正����,可針對Flash���、Java�����、Applet���、或視頻播放器對象所引用資源路徑進行修正�����,避免無法播放的問題���;
|
|
#產品應提供環(huán)境檢測、自動修復工具���,支持對Windows的環(huán)境兼容性一鍵檢測能力����,以及對檢測結果進行一鍵修復的能力���,避免由于用戶操作系統(tǒng)環(huán)境存在問題影響SSL VPN的使用����,減輕運維工作����。(需提供相關功能截圖證明并加蓋公章)
|
|
終端安全
|
產品必須支持防中間人攻擊���,產品可在用戶登錄SSLVPN時智能判斷存在中間人攻擊行為,斷開被攻擊的連接����,并可提示異常現象���;
|
|
支持客戶端注銷后自動清除所有緩存�����、Cookies�����、瀏覽器歷史記錄、保存的表單信息�����,實現零痕跡訪問����;
|
|
支持VPN專線功能����,可配置用戶在接入SSL VPN的同時����,斷開與Internet其他連接;
|
|
權限�����、服務器安全
|
產品應具有用戶/用戶組細粒度的權限分配功能:可以針對被訪問資源的IP地址�����、端口���、提供的服務����、URL地址等進行權限控制����;針對同一B/S資源�����,可對不同用戶做到細致到URL級別的授權�����;
|
|
產品應具有角色授權機制����,支持在用戶組的基礎上�����,根據角色的不同�����,組合關聯不同的資源權限���;
|
|
支持主從認證賬號綁定���,必須實現SSL VPN賬號與應用系統(tǒng)賬號的唯一綁定���,VPN資源中的系統(tǒng)只能以指定賬號登陸�����,加強身份認證���,防止登錄SSL VPN后冒名登錄應用系統(tǒng)�����;
|
|
身份認證
|
產品必須支持Local DB �����、USB KEY���、短信認證、硬件特征碼���、動態(tài)令牌���、數字證書認證、LDAP�����、RADIUS、等認證方式���;可針對用戶/用戶組設置認證方式的與���、或組合,可進行用戶名/密碼����、LDAP、USB KEY����、硬件特征碼、短信認證或動態(tài)令牌的五因素捆綁認證���;
|
|
設備內部必須支持自建CA中心�����,便于數字證書認證平臺搭建����;
|
|
單臺VPN設備可擴展同時支持5套以上CA根證書�����;
|
|
高速性
|
必須支持至少4條以上的外網多線路配置����;并在設備單臂部署模式下,多線路接入前置網關����,僅依靠SSLVPN設備同樣可實現SSLVPN接入用戶的多線路自動優(yōu)選功能;
|
|
#支持HTP快速傳輸協議���,大幅優(yōu)化無線環(huán)境(CDMA���、GPRS、WIFI�����、3G)�����、高丟包、高延等惡劣網絡環(huán)境下傳輸速度及效率����;支持根據網絡境自動選擇并切換至最優(yōu)的傳輸協議。(需提供相關功能截圖證明并加蓋公章)
|
|
支持針對不同的web頁面進行數據優(yōu)化�����,支持動態(tài)壓縮技術���,基于數據流進行壓縮���,減少不必要的數據傳輸;
|
|
針對B/S資源支持WebCache技術����,動態(tài)緩存頁面元素,提高Web頁面響應速度���。支持流緩存技術�����,實現網關與網關����、網關與移動客戶端之間進行多磁盤、雙向���、基于分片數據包的字節(jié)流緩存加速,削減冗余數據���,降低帶寬壓力的同時提高訪問速度���;支持共享流緩存功能,實現多分支網關在總部共享流緩存數據���,提高流緩存效果�����;
|
|
資質要求
|
提供中華人民共和國公安部頒發(fā)的《計算機信息系統(tǒng)安全專用產品銷售許可證》����;
|
|
提供國家版權局頒發(fā)的《計算機軟件著作權登記證》���;
|
|
#為保障技術可靠性�����,要求產品生產廠商具備CMMI L5認證證書�����,提供證書復印件并加蓋公章�����。
|
|
#為保障安全服務能力�����,要求產品生產廠商為網絡安全應急服務支撐單位(國家級)����,提供證書復印件并加蓋公章。
|
|
#為保障安全開發(fā)能力����,要求所投產品的生產廠商具備中國網絡安全審查技術與認證中心(CCRC)頒發(fā)的《軟件安全開發(fā)服務》資質證書,提供證書復印件并加蓋公章���。
|
|
項目授權與原廠質保
|
廠商針對本項目出具的授權委托書及原廠三年質保和售后服務承諾書 ����,須加蓋廠家公章
|
2.1.8未知威脅防御系統(tǒng)
|
指標項
|
指標要求說明
|
|
性能要求
|
★標準機架式設備,配置10/100/1000Base-T接口≥6個�����,SFP接口≥2個�����,內存≥16G����,吞吐量≥600Mbp���,硬盤容量≥2TB SATA�����,支持旁路部署�����,支持同時接入多個鏡像口���,每個口相互獨立不影響�����。要求實配不少于 3 年特征庫升級服務����,3 年原廠服務����。
|
|
告警中心
|
#具備失陷(業(yè)務和服務器)主機詳細分析,包含攻擊階段分布����、風險等級趨勢、安全事件舉證�����、開放端口等信息�����。攻擊階段包含存在漏洞、遭受攻擊�����、C&C通信����、黑產牟利、內網掃描�����、內網擴散�����、盜取數據支持對每個安全事件詳細舉證分析���,包含風險危害、處置建議���、專殺工具等(提供功能界面截圖并加蓋公章)����;
支持待處置安全事件描述、事件標簽���、攻擊階段����、事件分類����、失陷確定性、威脅等級����、風險主機統(tǒng)計、發(fā)生時間�����、處理狀態(tài)以及自定義待處置事件�����;支持攻擊階段分布和事件類型分布����,熱點事件統(tǒng)計
#不區(qū)分主機類型���,僅以安全事件的視角,展示發(fā)生的所有安全事件�����。將發(fā)生的所有安全事件默認按照處置狀態(tài)����,威脅等級,確定性等級�����,時間這四個字段排序�����,并結合事件類型����、攻擊結果�����、攻擊階段、處置狀態(tài)��、事件統(tǒng)計和事件趨勢等進行統(tǒng)計和過濾顯示、可設置關注的安全事件��,可實時監(jiān)控發(fā)生的安全事件�����,能復制攻擊IP��、XFF代理�,并能夠基于HTTP狀態(tài)碼進行事件篩選(提供功能界面截圖并加蓋公章)
|
|
分析中心
|
#針對挖礦做專項性分析�,比如挖礦的幣種分布,威脅趨勢分析���。
#支持對勒索病毒的安全告警做專項性分析����,比如中了勒索病毒的風險主機分布��、威脅趨勢分析���,將發(fā)生的所有安全事件默認按照處置狀態(tài)�,威脅等級,確定性等級���,攻擊結果��、事件類型等維度進行篩選展示�����,并結合攻擊階段�、事件統(tǒng)計和事件趨勢等進行統(tǒng)計和顯示����、可實時監(jiān)控發(fā)生的安全事件(提供功能界面截圖并加蓋公章)
支持對威脅情報的安全告警做專項性分析,比如通過情報匹配的風險主機分布����、威脅趨勢分析,將發(fā)生的所有安全事件默認按照處置狀態(tài)��,威脅等級����,確定性等級,攻擊結果����、事件類型等維度進行篩選展示,并結合攻擊階段���、事件統(tǒng)計和事件趨勢等進行統(tǒng)計和顯示���、可實時監(jiān)控發(fā)生的安全事件。
#支持沙盒文件檢測�,能夠對exe可執(zhí)行文件、dll應用程序擴展����、BAT批處理文件、PDF�、office、VB腳本�����、PHP網頁腳本�����、PY腳本等進行檢測(提供功能界面截圖并加蓋公章)
#支持郵件威脅分析,可展示收件人TOP5�、發(fā)件人賬號TOP5、惡意郵件類型分布��、危害和處置建議���;支持對惡意郵件詳情分析���,包含收件人賬號、惡意郵件數量����、發(fā)件人賬號、附件名稱�����、病毒名稱���、惡意鏈接名稱等�,并支持導出分析結果�����;
#支持對隱蔽隧道的告警做專項性分析,比如攻擊者利用哪些協議進行隱蔽通信以及威脅趨勢分析��,將發(fā)生的所有安全事件默認按照處置狀態(tài)��,威脅等級���,確定性等級,攻擊結果�、事件類型等維度進行篩選展示,并結合攻擊階段��、事件統(tǒng)計和事件趨勢等進行統(tǒng)計和顯示�����、可實時監(jiān)控發(fā)生的安全事件(提供功能界面截圖并加蓋公章)
|
|
聯動響應
|
#支持接入防火墻���,支持與同品牌防火墻進行聯動響應��,支持系統(tǒng)下發(fā)安全策略到防火墻上�����,阻斷攻擊流量(提供功能界面截圖并加蓋公章)
|
|
產品與廠商資質要求
|
公安部《計算機信息系統(tǒng)安全專用產品銷售許可證》�����;
國家版權局《計算機軟件著作權登記證書》
#為保障技術可靠性��,要求產品生產廠商具備CMMI L5認證證書�;
#為保障安全服務能力,要求產品生產廠商為網絡安全應急服務支撐單位(國家級)��,提供證書復印件����;
#為保障安全開發(fā)能力,要求所投產品的生產廠商具備中國網絡安全審查技術與認證中心(CCRC)頒發(fā)的《軟件安全開發(fā)服務》資質證書���,提供證書復印件并加蓋公章���。
|
|
項目授權與原廠質保
|
廠商針對本項目出具的授權委托書及原廠三年質保和售后服務承諾書 ,須加蓋廠家公章
|
參數說明:
1���、指標按重要性分為“★” �����、“#”和一般無標示指標�。★代表實質性指標��,不滿足該指標項將導致投標被拒絕�。
2、參數中還包括“無標示的普通參數���、#標示的關鍵參數”,均不作為廢標項��,均是扣分項�,扣減分值依次是2分、3分����;
注:1、投標人須如實提供技術指標要求的證明材料�����,證明材料可以使用官方網站截圖或產品白皮書或第三方機構檢驗報告或其他相關證明材料�����。未提供有效證明材料或證明材料中內容與所填報指標不一致的�����,該指標按不滿足處理。2�����、產品供貨后�����,采購人將對中標產品進行性能測試和功能驗證���,與投標承諾不符將做為無效投標處理����,由此引發(fā)的所有損失由該投標人承擔��。
第三包采購需求:
無線控制與終端準入及網絡架構整改優(yōu)化服務(第三包)
第一部分 技術需求
無線控制與終端準入及網絡架構整改優(yōu)化服務
|
項目名稱
|
預算金額
(人民幣)
|
簡要技術要求
|
|
信息系統(tǒng)安全等級保護建設及測評(無線控制與終端準入及網絡架構整改優(yōu)化服務)
|
30萬元
|
服務內容:通過對順義區(qū)疾控中心新采購無線準入與終端準入系統(tǒng)設備并和原有網絡與安全設備(天融信�����、華為���、華三)廠商協調進行設備策略調整與監(jiān)督���,按照網絡安全等級保護要求�,進行整體網絡安全規(guī)劃與調整���,做到分區(qū)分域��、政務網與辦公網分離�、無線網與辦公網合理規(guī)劃��、三級平臺系統(tǒng)按照客戶要求進行內部分布調整���、三個系統(tǒng)等保測評差距分析報告的高危風險與高危漏洞的安全整改加固等服務,以符合網絡安全法�、網絡安全等級保護管理辦法等法律、法規(guī)的要求��,并協助通過等級保護測評�����,使三級系統(tǒng)達到三級等保標準���,另外��,二個等保二級系統(tǒng)達到三級等保的管理要求�����。
|
第二部分 技術參數明細與服務要求
2.1.無線控制與終端準入技術參數
|
指標項
|
指標要求
|
|
基本要求
|
系統(tǒng)要求
|
具有獨立自主知識產權�,須為標準機架式硬件產品。
|
|
性能要求★
|
機架結構���;標準配置交流電源����,標準配置2個1000MBASE-T接口(管理口����、HA口),可配置4個接口卡���,設備支持不少于10個千兆電口,可擴展萬兆口���;每秒事務數(TPS):≥1000(次/秒),最大吞吐量:≥0.5Gbps��,最大并發(fā)連接數:1000(條);設備最大支持不少于500終端設備接入和管理
|
|
IPv6支持
|
#支持在IPv4和IPv6雙棧環(huán)境下的終端準入控制���、重定向��、認證��、安檢���、修復等。(提供支持IPv6的證明文件)
|
|
高可用性
|
準入設備必須具備HA模式���,HA須支持主備機心跳IP檢測及虛地址管理模式����。
#提供第三方監(jiān)控平臺�����,在出現重大異常情況時能及時通知網絡設備放開網絡�。(提供功能截圖并加蓋原廠公章)
#支持多個設備集群模式部署(提供功能截圖并加蓋原廠公章)
|
|
終端部署
|
#準入設備應至少提供安全客戶端(Agent)���、安全控件����、無客戶端等多種可供自定義部署和管理的模式。(提供功能截圖并加蓋原廠公章)
使用安全客戶端模式部署時�����,客戶端程序應支持功能定制��,以降低系統(tǒng)資源耗用�����,提升客戶端兼容性���。
|
|
準入
架構
|
終端發(fā)現
|
能夠實時監(jiān)測并發(fā)現接入內網的PC����、移動終端��、其他IP設備等終端�。
對自動發(fā)現的終端能夠按照類別自動歸類,以方便網絡終端的統(tǒng)計管理�。
#能夠通過自定義將不同的設備分組到不同的大類中,實現客制化的設備類型管理���。支持分類不少于 32 個大類���, 64 小類/大類(提供功能截圖并加蓋原廠公章)
|
|
準入技術
|
準入設備須支持802.1x協議準入方式��,無需第三方RADIUS服務器支持�。
#準入設備支持基于多廠商Virtual Gateway的VLAN隔離技術��,實現無客戶端下端口級準入控制�。(功能截圖及專利證明并加蓋原廠公章)
準入設備支持基于策略路由技術的準入控制模式,入網設備在訪問網內關鍵資源時��,將被強制隔離��、引導至認證管理頁面��;
#支持交換機接口動態(tài)VLAN下發(fā)���、端口隔離模式的網絡邊界管理��。(提供功能截圖并加蓋原廠公章)
支持通過MAC旁路認證進行ACL下發(fā)的準入控制。
|
|
多路支持
|
單臺準入設備可支持至少4路策略路由準入控制���。
單臺準入設備可支持至少4 個鏡像口進行準入控制��。
#單臺準入控制設備支持至少2種準入技術組合使用��,以增強環(huán)境的兼容性��。
|
|
定向引導
|
支持終端入網IE瀏覽器重定向引導�,當用戶訪問網頁時能夠自動轉向到指定的頁面或地址,并支持http代理及多重重定向引導�����。
可根據用戶的實際環(huán)境自定義非80端口的Web服務端口號及用戶重定向引導��。
#支持使用域名進行終端入網重定向��,可以實現準入服務器IP地址變動的環(huán)境下��;(提供功能截圖并加蓋原廠公章)
#能通過瀏覽器完成身份認證���、控件安裝��、設備注冊����、安全檢查���、檢查結果展現等全流程引導管理�。(提供功能截圖并加蓋原廠公章)
|
|
違規(guī)外聯
|
違規(guī)外聯
|
能夠針對3/4G撥號、雙網卡���、隨身WIFI���、代理等多種違規(guī)聯網行為做實時檢測,為了防止漏判不使用間歇性ping外網地址的探測方式��。
能夠針對違規(guī)外聯終端進行即時斷網�����,斷網方式應支持斷開鏈接����、重啟計算機等多級模式,并能夠設置報警通知管理員�����。
準入設備能夠支持按照用戶角色定義��,結合自定義安全域�,限制員工的內網訪問范圍,防止其越權訪問操作���。
#SSID白名單��,可對連接到白名單之外的無線網絡行為進行阻斷���。(提供功能截圖并加蓋原廠公章)
|
|
設備特征指紋
|
設備特征指紋
|
具有非智能IP終端信息庫,能夠精準識別網絡打印機����、網絡攝像頭、IP電話等設備��,并根據設備特征進行自動匹配和歸類���。
|
|
設備指紋自定義
|
能夠通過自定義多種探測信息實現指紋現場匹配
#定義信息至少包括:IP地址���、MAC地址、操作系統(tǒng)�����、網頁標題����、Telnet輸出����、FTP輸出��、SSH輸出���、端口�����、網頁內容(提供功能截圖并加蓋原廠公章)
|
|
邊界管理
|
IP/MAC綁定
|
具有入網設備自動學習功能�,支持IP/MAC/端口三者強制綁定�,以及違規(guī)終端切換到斷網VLAN,防止終端仿冒IP接入網絡或移動設備位置���。
支持在DHCP環(huán)境下的IP��、MAC綁定功能
|
|
NAT設備
|
#具有NAT識別和檢測機制���,能夠發(fā)現網內私接的NAT小路由器設備。(提供功能截圖并加蓋原廠公章)
對通過NAT入網的計算機可以實現準入控制、安全評估和修復等流程化管理
|
|
Hub管理
|
能夠發(fā)現內網私接的Hub�、傻瓜交換機等非網管設備,當多臺計算機通過Hub接入網絡時��,能夠及時產生告警通知管理員����。
#支持對連接HUB的交換機端口采用關閉端口或者VLAN切換來控制終端接入(提供功能截圖并加蓋原廠公章)
|
|
網絡
管理
|
網絡設備管理
|
支持對:交換機���、路由器�、防火墻等�����,按照類別進行添加歸類管理和展示�����。
支持設備管理模板的定義功能���,能夠通過SNMP�����、SSH���、TELNET等方式自動�����、批量添加網絡設備���。
#支持通過web界面手動修改交換機命令庫以匹配新的交換機。(提供功能截圖并加蓋原廠公章)
|
|
終端網絡拓撲
|
#能夠在拓撲圖上選取設備查看其基本狀態(tài)信息���、設備型號�、所處位置���、子節(jié)點�、路由表��、ARP表等信息��。
#支持在界面上提供對該網絡設備進行TELNET���、SSH等管理�。(提供功能截圖并加蓋原廠公章)
#能夠在網絡拓撲圖上由用戶自定義顯示的節(jié)點類型,方便用戶通過不同方式查看拓撲連接�。(提供功能截圖并加蓋原廠公章)
|
|
交換機狀態(tài)展現
|
支持可網管型交換機面板圖形化展現各接口狀態(tài)(up、down���、trunk����、單/多MAC等)���,以及各接口下聯的終端詳細信息(IP、地址���、MAC地址等)�����。
能夠支持自上而下逐級查找終端的具體位置�、安全狀態(tài)���、認證用戶��、上下線時間等信息���。
|
|
DHCP地址釋放
|
#支持DHCP通過管理服務器手動操作����,主動進行某臺主機的IP地址釋放���。實現IP地址充分利用�����。
|
|
認證管理
|
聯動認證
|
能夠全面結合用戶已有的認證或業(yè)務系統(tǒng)��,可以與RADIUS����、LDAP���、郵件��、AD���、WEB系統(tǒng)做聯動認證。
|
|
AD域單點登錄
|
能夠與用戶現有的AD域相結合���,當用戶登錄到AD域后�����,無需二次認證即可入網�,避免多次認證的繁瑣流程。
可對用戶入網后進行是否AD域登錄進行檢查��。
|
|
證書認證
|
在進行Ukey認證時�,支持多個合法的根證書。終端用戶認證時��,自動進行根證書的匹配�����。
支持采用軟證書認證���。
|
|
短信認證
|
支持短信認證模式
|
|
接入審核
|
能夠針對不同的角色或設備狀態(tài)有選擇的開啟入網審核功能,待審核的用戶或設備必須經過管理員審批才能入網�。
還可以進行審核流程調整。
|
|
認證控制
|
支持某類(角色)賬戶只能在指定的時間段��、IP段認證入網���。
|
|
自助賬號申請
|
#支持用戶在認證頁面自行進行賬號的申請��。
用戶可自行提交用戶名����、密碼、姓名��、電話���、部門�����、E-Mail等信息��。管理員審核通過后�,用戶即可使用該賬號進行認證�����。有效解決用戶賬號和密碼創(chuàng)建和分發(fā)的困難����。
|
|
來賓管理
|
來賓角色
|
能夠提供來賓角色選擇��,能夠設定來賓設備的訪問權限和入網時長
|
|
來賓碼
|
員工可以為來賓申請來賓碼����,來賓使用來賓碼可以接入網絡���;
能夠設定那些角色的用戶能夠申請來賓碼���。
|
|
二維碼認證
|
#已入網員工可以通過掃描來賓終端上二維碼,放行來賓用戶入網(提供功能截圖并加蓋原廠公章)
|
|
終端
安全
管理
|
安全檢查庫
|
#準入設備須提供系統(tǒng)安全配置��、用戶行為規(guī)范等類別檢查項�����,至少提供30種以上安全檢查項��。
|
|
系統(tǒng)補丁
|
準入設備具有完整的補丁管理子系統(tǒng)���,無需第三方補丁服務器支持,自身即可以提供完整的流程化補丁管理�����,包括同步更新、補丁分發(fā)表等功能����。
準入設備能夠對補丁進行分級,分為:嚴重��、重要�、中等的類別。
能夠在終端的瀏覽器頁面顯示入網終端的補丁檢查情況���。
#準入系統(tǒng)自身能夠支持office系列補丁庫��、補丁檢查和補丁分發(fā)安裝����。
|
|
防病毒軟件
|
支持主流的20種以上的殺毒軟件檢查�,包括微軟MSE、可牛�、Avast等,支持殺毒軟件版本�、病毒庫和運行情況的檢查,能夠在頁面顯示出檢查結果���。
|
|
終端安全加固
|
支持Guest來賓帳戶��、WSUS更新配置����、密碼策略設置、屏幕保護設置��、弱口令帳戶�、網卡綁定、系統(tǒng)共享資源進行檢查加固
|
|
計算機
健康性檢測
|
支持對終端的磁盤使用率��、垃圾文件����、IE主頁、網絡監(jiān)聽端口等安全性配置進行檢查和修復
|
|
自定義安全檢查
|
#通過檢測終端文件�����、指定文件版本��、大小�、MD5����,注冊表的項���、注冊表值,進程�、服務狀態(tài)進行檢查。通過安裝包運行�、訪問站點、開關服務���、關閉進程��、執(zhí)行文件�、刪除文件����、修改注冊表進行修復?����?梢造`活的對終端進行安全檢查和修復��。(提供功能截圖并加蓋原廠公章)
|
|
終端安全修復
|
能夠提供多種修復方式�,用戶自行修復、自動修復。
|
|
攻擊威脅檢測
|
攻擊檢測類別
|
支持超過6000條攻擊檢測庫信息���,至少包括如下類別:DOS攻擊類(DOS)�、弱點利用類(EXPLOIT)��、惡意代碼類(MALWARE)�、移動惡意代碼類(MOBILE_MALWARE)、RPC攻擊類(RPC)��、掃描類(SCAN)��、SQL攻擊類(SQL)����、木馬類(TROJAN)、蠕蟲類(WORM)
|
|
攻擊檢測方法
|
#無需安裝客戶端��,通過網絡流量監(jiān)聽的方式進行流量采集
|
|
攻擊檢測展示
|
#能夠通過多種方式對攻擊檢測的信息進行展示�,至少包括:動態(tài)云圖、攻擊信息列表���、攻擊統(tǒng)計信息�。(提供功能截圖并加蓋原廠公章)
|
|
資產管理
|
資產管理
|
能夠對全網計算機上安裝的軟件進行統(tǒng)計��,可以按照名稱、許可狀態(tài)提供精確查詢以及軟件資產報表的導出�����。
可對軟件資產進行授權數量和使用數量的統(tǒng)計�、管理���。
能夠通過多種維度對全網終端硬件資產進行統(tǒng)計�����。包括:每臺終端的硬件信息列表����,每種硬件類型所對應的終端��。
|
|
資產變動
|
準入設備能夠針對軟硬件資產變動���、資產異常情況提供了豐富多樣的報警方式�����,便于管理員及時迅速了解資產信息��。
|
|
變動確認
|
#支持管理員對每一條軟硬件變動進行確認操作��,已確認的條目顯示已確認�,并顯示進行確認操作的確認人。對變動和變動確認可進行報表統(tǒng)計(提供功能截圖并加蓋原廠公章)���;
|
|
資源
管理
|
軟件檢查
|
通過安全檢查檢測終端軟件安裝���、使用狀態(tài)
為終端指定修復的安裝包或訪問的網絡站點
軟件產品授權,支持進行windows���、office��、WPS產品授權信息進行檢查
|
|
IP地址管理
|
提供IP地址分配矩陣圖�����。
可以通過組織架構為維度查看IP地址分配矩陣圖
能夠直接���、快捷的查看全網終端歷史上線、下線�����、在線時長等詳細的IP使用情況。
|
|
能耗管理
|
提供未關機終端自動統(tǒng)計功能���,并能夠按照部門�、時間段等條件生成統(tǒng)計報表���。
能夠對設備類型、時間進行統(tǒng)計設置
|
|
運維
管理
|
移動終端管理
|
支持移動終端專用平臺管理頁面����,方便使用平板、智能手機進行準入設備基本操作��。
#可實現設備快速定位����、設備審核、實時報警監(jiān)控�����、小助手確認碼生成����、準入控制器管理�、平臺基本信息��、關機與重啟(提供功能截圖并加蓋原廠公章)
|
|
管理角色控制
|
準入設備須采用系統(tǒng)管理員��、安全管理員���、審計員三權分立機制���,防止單個角色管理者權限濫用。
|
|
網絡診斷工具
|
#支持通過Web管理界面進行ping�、抓包、traceroute����、nslookup等功能,并可以設置命令參數進行相關調試���。
|
|
軟件分發(fā)
|
準入設備應具有軟件分發(fā)和部署功能�,管理員可以預定義軟件分發(fā)的路徑����、運行參數、是否執(zhí)行等任務策略�����,以提升軟件部署效率。
能夠自動判斷并統(tǒng)計軟件分發(fā)��、部署的成功率�����,支持進程����、注冊表���、文件等多種參數的組合判斷���。
|
|
報警
報表
管理
|
安全管理報表
|
能夠支持自定義多個不同的報表模板;
準入設備后臺提供每日入網報告����、每周入網報告、每月入網報告����。
|
|
報警信息
|
支持系統(tǒng)報警���、網絡報警、終端報警等報警類型����,超過20種以上自定義報警類型。
#支持報警信息通過Syslog��、郵件���、短信進行輸出���。
|
|
第三方產品聯動
|
支持與主流上網行為管理系統(tǒng)深度聯動,構建內網準入�����、準出的全面安全管理體系�����。
支持與國內外主流U-Key聯動認證���,終端可以使用UKEY認證���。
|
|
產品要求#
|
公安部《計算機信息系統(tǒng)安全專用產品銷售許可證��,提供證明復印件并加蓋原廠公章�����。
中國國家信息安全產品認證證書����,提供證明復印件并加蓋原廠公章��。
|
|
項目授權與原廠質保
|
廠商針對本項目出具的授權委托書及原廠三年質保和售后服務承諾書 ���,須加蓋廠家公章
|
參數說明:
1、指標按重要性分為“★” �����、“#”和一般無標示指標��?!锎韺嵸|性指標,不滿足該指標項將導致投標被拒絕�。
2��、參數中還包括“無標示的普通參數�、#標示的關鍵參數”��,均不作為廢標項����,均是扣分項,扣減分值依次是2分�����、3分�����;
注:1���、投標人須如實提供技術指標要求的證明材料�,證明材料可以使用官方網站截圖或產品白皮書或第三方機構檢驗報告或其他相關證明材料���。未提供有效證明材料或證明材料中內容與所填報指標不一致的���,該指標按不滿足處理���。2、產品供貨后��,采購人將對中標產品進行性能測試和功能驗證����,與投標承諾不符將做為無效投標處理,由此引發(fā)的所有損失由該投標人承擔���。
2.2 服務詳細要求
2.2.1 安全加固服務
對順義疾控中心的系統(tǒng)安全加固方案包含以下內容:
符合“信息安全等保三級”等法律法規(guī)的要求����。
加強核心網絡的邊界防護�����,合理規(guī)劃核心網絡接入��。
根據實際業(yè)務需求及安全要求��,加強核心設備的安全設置���,包括但不限于:用戶權限設置��、口令設置�����、安全端口設置��、服務進程關閉等�����。
2 .2.2 優(yōu)化網絡服務
對順義疾控中心的網絡結構和安全域進行重新優(yōu)化��,對安全策略進行優(yōu)化����。
2.2..3 安全整改
完成項目包含的軟硬件產品的部署���、實施調試��、配置��、集成等工作���,對存在的問題進行整改���。
3.1.4 等保測評協助
協助順義疾控中心安全等級測評工作,包括在測評前協助填寫測評申請材料�,在測評過程中現場提供測評輔助服務,對于測評過程中發(fā)現的問題提供安全改進建議等����,以保證實現等級保護建設目標。使三級系統(tǒng)達到三級等保標準�,二個等保二級系統(tǒng)同時達到三級等保的管理要求。
合同履行期限:四個月
本項目不接受聯合體投標���。
二�����、申請人的資格要求:
1.滿足《中華人民共和國政府采購法》第二十二條規(guī)定����;
2.落實政府采購政策需滿足的資格要求:
1)執(zhí)行《財政部 國家發(fā)展改革委關于印發(fā)〈節(jié)能產品政府采購實施意見〉的通知》(財庫[2004]185號)��;
2)執(zhí)行《財政部 環(huán)?��?偩株P于環(huán)境標志產品政府采購實施的意見》(財庫[2006]90號)���;
3)執(zhí)行《政府采購促進中小企業(yè)發(fā)展管理辦法》的通知財庫〔2020〕46號;
4)執(zhí)行《財政部關于開展政府采購信用擔保試點工作方案》(財庫[2011]124號)�����;
5)執(zhí)行《財政部��、司法部關于政府采購支持監(jiān)獄企業(yè)發(fā)展有關問題的通知》(財庫[2014]68號)��;
6)執(zhí)行《關于促進殘疾人就業(yè)政府采購政策的通知》(財庫〔2017〕141號)��;
7)執(zhí)行《財政部關于在政府采購活動中查詢及使用信用記錄有關問題的通知》(財庫[2016]125號)
3.本項目的特定資格要求:
第一包:
1)具備“國家網絡安全等級保護工作協調小組辦公室”頒發(fā)的《網絡安全等級保護測評機構推薦證書》,提供復印件加蓋投標單位公章�;具備公安部頒發(fā)全國網絡安全等級保護測評機構推薦證書(DJCP)的測評機構合格證明材料。
(2)投標人須進入全國等級保護測評機構推薦目錄�,并經營狀態(tài)正常,非整改或被取消狀態(tài)���。提供中國網絡安全等級保護網(http://www.djbh.net/)推薦目錄的查詢詳細頁截圖��。
(3)未被相關主管部門列為整改期間暫停等級測評業(yè)務的合格證明材料:提供未被相關主管部門列為整改期間暫停等級測評業(yè)務的承諾書����。
第二包:無
第三包:無
三、獲取招標文件
時間:2021-11-11 至 2021-11-17 ����,每天上午09:00至12:00,下午12:00至17:00(北京時間�,法定節(jié)假日除外)
地點:北京市順義區(qū)公共資源交易平臺(http://www.bjshy.gov.cn/ggzyjy/)
方式:
(1)新用戶注冊:供應商需登錄北京法人一證通平臺(http://yzt.beijing.gov.cn/)注冊CA,登錄北京市公共資源交易服務順義區(qū)分平臺(http://1.202.146.42:8098/zfcg/project/login.do?systemId=8a8b80075948a5ce015948cd77300063)注冊賬號���,平臺核驗通過后注冊成功
(2)下載招標文件:使用CA登錄北京市公共資源交易服務順義區(qū)分平臺(http://1.202.146.42:8098/zfcg/project/login.do?systemId=8a8b80075948a5ce015948cd77300063)網上關注項目�����,并下載電子標書
(3)制作投標文件:登錄北京市順義區(qū)公共資源交易平臺(http://www.bjshy.gov.cn/ggzyjy/)—辦事指南—下載中心���,下載電子投標文件制作工具和使用說明,按照說明制作投標文件
備注:政府采購電子化交易系統(tǒng)同時支持北京市建設工程發(fā)包承包交易中心灌制電子簽章的頤信CA新鎖(BJL開頭)和北京CA�����,如供應商已辦理完成上述兩種CA的任意一種��,可不用辦理移動CA和電子印章���。完成第1步“新用戶注冊”后�,使用灌制電子簽章的頤信CA新鎖(BJL開頭)和北京CA即可下載采購文件。
售價:¥0 元��,本公告包含的招標文件售價總和
四��、提交投標文件截止時間���、開標時間和地點
2021-12-01 09:30(北京時間)
地點:北京市順義區(qū)復興東街3號院順義區(qū)政務服務中心6號電梯廳二層第1開標室。
五�、公告期限
自本公告發(fā)布之日起5個工作日。
六���、其他補充事宜
1���、預算指標文號:順財社保[2021]35號、項目編號:PXM2021-001102-000101����、立項備案表編號:SYCG_21_2293
2、評標方法和標準:本次招標采用資格后審方式��,采用綜合定量評分法����,滿分為100分�,打分分值及內容����,詳見招標文件;
3�����、供應商需遞交電子響應文件1份���。
(1)電子響應文件上傳:供應商應在響應截止時間前登錄系統(tǒng)(http://1.202.146.42:8098/zfcg/project/login.do?systemId=8a8b80075948a5ce015948cd77300063)將加密(GPT格式)的響應文件上傳至“北京市公共資源交易服務順義區(qū)分平臺---順義區(qū)政府采購交易系統(tǒng)”���。逾期未完成上傳的,系統(tǒng)將拒絕接收該響應文件���。
(2)供應商的法定代表人或其委托代理人�,應攜帶加密電子響應文件相對應的移動數字證書CA�����,準時到現場參加開標����。
(3)不按照文件要求遞交電子響應文件的��,采購人及該授權采購代理均不予受理��。
4��、電子標相關說明及注意事項
(1)“交易平臺”的注冊��、申請移動數字證書及印章、競爭性磋商文件下載�����、響應文件制作���、響應文件加密與上傳等各環(huán)節(jié)的詳細操作方法詳見“北京市公共資源交易服務順義區(qū)分平臺”公布的相關操作手冊�����。
(2)制作響應文件時�����,如采購人發(fā)布招標文件(GPZ格式)���,供應商應將投標文件(GPT格式)通過電子投標書編制工具��,重新制作響應文件并上傳至“交易平臺”��。供應商未按要求操作造成的后果��,由供應商自行承擔��。
(3)在開標當天由采購代理對各供應商進行簽到�,供應商簽到完成且開標時間到達之后���,由采購代理輪流對已在系統(tǒng)中遞交且完成簽到的供應商進行文件的解密��。
(4)因供應商忘記數字證書登陸密碼�、解密數字證書發(fā)生故障或用錯����、故意不在要求時限內完成解密等自身原因,導致響應文件在規(guī)定時間內未能解密����、解密失敗或解密超時,視為供應商放棄投標�,由供應商自身承擔一切后果。
(5)若供應商已申請多把數字證書,請注意使用差別���,確保制作的響應文件和開標解密時使用的數字證書一致���,造成解密失敗的,由供應商負責�。
(6)供應商應充分考慮到網絡及系統(tǒng)平臺可能存在的非正常情況,在響應文件遞交截止時間之前完成上傳�。
(7)在操作過程中,如遇操作的相關問題可咨詢采購代理機構或者技術服務��,技術服務電話:17635083642 QQ:1479981870�����。
5���、采購項目需要落實的政府采購政策:
1)執(zhí)行《財政部 國家發(fā)展改革委關于印發(fā)〈節(jié)能產品政府采購實施意見〉的通知》(財庫[2004]185號);
2)執(zhí)行《財政部 環(huán)?����?偩株P于環(huán)境標志產品政府采購實施的意見》(財庫[2006]90號)�;
3)執(zhí)行《政府采購促進中小企業(yè)發(fā)展管理辦法》的通知財庫〔2020〕46號;
4)執(zhí)行《財政部關于開展政府采購信用擔保試點工作方案》(財庫[2011]124號);
5)執(zhí)行《財政部���、司法部關于政府采購支持監(jiān)獄企業(yè)發(fā)展有關問題的通知》(財庫[2014]68號)��;
6)執(zhí)行《關于促進殘疾人就業(yè)政府采購政策的通知》(財庫〔2017〕141號)�;
7)執(zhí)行《財政部關于在政府采購活動中查詢及使用信用記錄有關問題的通知》(財庫[2016]125號)
6����、本公告同時在北京市公共資源交易服務順義區(qū)分平臺、中國政府采購網�、北京市財政局網站政府采購網;未經采購人授權的任何轉載����,采購人不對其承擔任何法律責任。
7���、開標要求:1)請參與本項目的投標人委派一名被授權人代表進入開標現場�,自覺做好個人防護���,必須佩戴口罩����,聽從工作人員引導,主動配合體溫檢測和人員信息登記���。
2)投標人需隨時留意北京市公共資源交易服務順義區(qū)分平臺的疫情防控政策或通知��,以免影響投標工作�。
七���、對本次招標提出詢問���,請按以下方式聯系。
1.采購人信息
名 稱:北京市順義區(qū)疾病預防控制中心
地址:北京市順義區(qū)順康路66號
聯系方式:殷呈武,010-61426219
2.采購代理機構信息
名 稱:北京鑫中招標代理有限公司
地 址:北京市順義區(qū)西環(huán)路西50米
聯系方式:申斯洋��,010-81460595
3.項目聯系方式
項目聯系人:申斯洋
電 話: 010-81460595
