网络安全设备建设项目采购需求货物类.docx
《网络安全设备建设项目采购需求货物类.docx》由会员分享,可在线阅读,更多相关《网络安全设备建设项目采购需求货物类.docx(23页珍藏版)》请在冰点文库上搜索。
网络安全设备建设项目采购需求货物类
网络安全设备建设项目采购需求(货物类)
一、项目介绍
1、资金来源:
财政性资金
2、系统概述:
(1)、业务需求
随着中国政法大学校园信息化的发展,内部各类业务范围的不断扩大,各类业务系统不断上线运行。
在业务系统应用范围越来越广、数据越来越多的同时,技术运维部门面临的确保系统安全稳定运行的压力也随之增加,复杂的人员结构和系统结构使得技术运维管理面临严峻的挑战,需要尽快在安全管理方面加强有效的技术手段。
(2)、技术需求
为了响应和遵守国家有关部门对校园网络安全的要求,此次需要建设校园网数据库安全审计系统、校园网运维安全审计系统,以及需要对校园网络进行信息安全体系咨询服务及网络和应用系统梳理、性能监测及安全优化等系列安全集成服务。
(3)、系统需求
对于运维安全管理方面,需要对准确识别操作人员的身份;对设备和系统的管理账号实现密码足够复杂和定期的修改系统账号密码;对操作人员的操作行为要进行事前主动的控制和约束;清晰的展示每个操作者具体的操作过程;整体上对系统运维在访问控制、操作审计等诸多方面实现更加全面有效的管理。
对于数据库安全管理方面,需要针对不同的应用协议,提供基于应用操作的审计;提供数据库操作语义解析审计,实现对违规行为的及时监视和告警;提供上百种合规规则,支持自定义规则(包括正则表达式等),实现灵活多样的策略和响应;提供基于硬件令牌、静态口令、Radius支持的强身份认证;根据设定输出不同的安全审计报告。
(4)、集成需求
项目集成总体要求包含但不限于项目实施前期准备、设备到货验收、系统集成安装与联调测试、系统试运行、项目验收。
中标方需要配合用户方提供产品安装调试服务、产品培训服务、信息安全体系咨询服务,以及提供现有校园网内部的整体网络和应用系统梳理、应用系统性能监测,做好网络安全优化等系列服务,结合用户的现状情况提供详细的安全集成服务方案,帮助用户完成校园网络的信息安全保障工作。
3、预算金额:
96万元
4、所要达到的目标前景:
通过项目建设,可以建成并完善现有校园网络内部的业务环境下的网络操作行为和数据库行为操作进行细粒度审计的合规性管理系统。
通过对业务人员访问各类运维设备和数据库系统的行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营,为校园网络的各类信息系统进一步的发展建立坚实基础。
二、项目履约时间、地点
1、履约时间:
合同签订后5天内交货或30天内完成安装调试并具备验收条件。
2、履约地点:
用户指定安装验收地点
3、现场踏勘:
否
三、采购人信息
单位名称:
中国政法大学
单位地址:
北京市昌平区府学路27号
联系人姓名:
张文博
联系电话:
58909531
电子邮箱:
wlzx@
四、采购产品一览表
序号
货物名称
是否为主要产品(主要产品须提供厂家唯一授权)
单位
数量
产地(国产/进口)
1
数据库安全审计
是
台
2
国产
2
运维安全审计
是
台
2
国产
3
安全集成服务
否
项
1
国产
五、产品清单及指标要求
重要性分为“★”、“#”和一般无标示指标。
★代表最关键指标,不满足该指标项将导致投标被拒绝,#代表重要指标,无标识则表示一般指标项。
1、数据库安全审计数量:
2台
序号
重要性
指标项
指标要求
1
★
硬件规格
审计数据的存储空间不得少于4T,支持RAID1阵列
2
数据中心存储为抽屉式硬盘,支持单独拆卸和更换。
3
★
支持万兆网络环境监听,至少提供6个千兆电口,2个万兆接口
4
审计系统采用独立硬件,支持冗余电源
5
★
性能要求
审计事件每秒入库速度至少在25000条/秒以上
6
部署和管理
采用旁路部署方式对原有网络不造成影响,网络审计产品的故障不影响被审计系统的正常运行。
支持TAP网络流量分流复制功能
7
无需在被审计系统上安装任何代理
8
★
数据库审计
支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Teradata、Cache数据库审计
9
★
支持对Oracle数据库状态的自动监控,可监控会话数、连接进程、CPU和内存占用率等信息
10
★
支持国产数据库人大金仓、达梦、南大通用、神通数据库的审计
11
★
支持对针对数据库的XSS攻击、SQL注入攻击行为进行审计
12
#
提供对数据库返回码的知识库和实时说明,帮助管理员快速对返回码进行识别。
13
支持对超长SQL语句的审计,支持对数据库绑定变量方式访问的审计
14
#
支持双向审计,支持对Select操作返回行数和返回内容的审计。
15
#
支持访问数据库的源主机名、源主机用户、SQL操作响应时间、数据库操作成功、失败的审计;
16
#
支持数据库操作类、表、视图、索引、触发器、存储过程、游标、事物等各种对象的SQL操作审计。
17
#
支持数据库存储过程自动获取及内容审计。
18
网络协议审计
支持Telnet协议的审计,能够审计用户名、操作命令、命令响应时间、返回码等;
19
支持对FTP协议的审计,能够审计用户名、命令、文件、命令响应时间、返回码等
20
★
支持审计网络邻居的用户名、读写操作、文件名等
21
★
支持审计NFS协议的用户名、文件名等
22
#
支持审计Radius协议的认证用户MAC、认证用户名、认证IP、NAS服务器IP
23
#
支持审计HTTP/HTTPS协议的URL、访问模式、cookie、页面内容、Post内容。
24
#
支持IP-MAC绑定变化情况的审计。
25
审计策略支持
系统应自带不少于100个缺省的审计规则库,方便用户选择使用。
26
用户可自定义审计策略,审计策略支持时间、源IP、目的IP、协议、端口、登陆账号、命令作为响应条件
27
★
数据库审计策略支持数据库客户端软件名称、数据库名、数据库表名、数据库字段名、数据库返回码作为响应条件(非正则表达式方式)
28
★
审计策略支持字段名称和字段值作为分项响应条件(非正则表达式方式)
29
响应方式
支持按照风险级别进行告警,告警方式支持界面告警、Syslog告警、SNMPtrap告警、短信告警、邮件告警
30
日志查询统计
支持按时间、级别、源\目的IP、源\目的MAC、协议名、源\目的端口为条件进行查询
31
#
支持查询、统计的条件模板编辑与应用。
32
#
支持多个查询、统计任务同时进行
33
数据库访问日志,支持按数据库名、数据库表名、字段值、数据库登陆账号、数据库操作命令、SQL语句关键字、数据库返回码、SQL响应时间、数据库返回行数作为查询和统计条件
34
#
web访问日志,支持按URL、访问模式、cookie、页面内容、Post内容等作为查询和统计条件
35
支持查询统计条件之间的与、或、非逻辑组合
36
提供缺省的报表模板库,包括SOX报表、PCI报表等模板,供用户选择使用。
37
支持自定义报表模板,包括统计日志周期、过滤条件、图标样式等。
38
支持按每天、每周、每月、时刻生成报表
39
支持生成CSV、Word、PDF、xls、HTML格式的报表导出
40
支持邮件方式定期自动发送报表
41
自身管理
提供管理员权限设置和分权管理,提供三权分立功能,系统可以对使用人员的操作进行审计记录,可以由审计员进行查询,具有自身安全审计功能
42
#
管理员登陆支持静态口令认证,支持密码的复杂性管理,比如大小写、数字、特殊字符、长度等
43
#
能够对连续失败登陆进行自动锁定,锁定时间可设置
44
#
审计系统上存在大量敏感信息,必须对审计管理员进行强度更高的认证,管理员登陆支持硬件令牌认证
45
提供审计数据管理功能,能够实现对审计日志、审计报告的自动备份
46
提供系统升级功能,能够通过升级包的方式实现升级
47
提供磁盘存储容量不足、磁盘Raid故障等自动邮件报警
48
提供CPU、内存、磁盘、网口、运行时间、运行状态等信息的监视功能
49
★
联动功能
支持与Web应用防火墙(WAF)的联动,可对WAF上报的应用系统攻击实现场景还原展示
50
#
支持与APT检测产品的联动,对于网络传输的文件不仅可以审计,还支持恶意代码检测,报告可疑的攻击文件。
51
第三方接口
支持SNMP方式,提供系统运行状态给第三方网管系统
52
支持Syslog、SNMP方式向外发送审计日志
53
#
支持Syslog方式接收第三方审计日志
54
#
支持连接外置存储,以扩展日志存储能力
55
#
支持NTP时间同步
56
#
IPV6支持
支持IPV6环境下数据库的审计
2、运维安全审计系统数量2台
序号
重要性
指标项
指标要求
1
★
硬件规格
设备性能不少于1颗六核CPU主频不低于1.9GHz、16G内存、不少于3T容量、硬盘支持硬RAID、2个千兆自适应以太网口、双冗余电源。
2
★
管理许可
支持800台目标设备管理许可
3
设备高可用性
支持HA双机热备部署和多A集群部署模式,提供详细的HA技术说明和多A集群部署方案。
支持物理旁路,逻辑串联模式,支持NAT地址映射部署。
支持TAP网络流量分流复制功能
4
支持协议/操作类型
字符协议:
Telnet、SSH、SSHv1、SSHv2、TELNET、RLOGIN
5
图形协议:
RDP、VNC、XWindow
6
文件传输:
FTP、SFTP、SCP
7
支持各类HTTP、HTTPS访问,支持各类C/S客户端工具访问,运维操作过程不依赖浏览器和JAVA环境,支持oracle,postgresql,sybase,mysql,sqlserver数据库下行返回行数和oracle数据库变量绑定
8
用户账号管理
支持与第三方认证如AD域、LDAP、radius动态双因素、证书认证等第三方认证方式整合,USB-KEY认证;动态口令认证;内置动态双因素认证,用户不需要额外部署认证服务器
9
★
支持自定义组合认证功能,即任意两类认证方式组合为一种新的认证(如ldap+Radius组合认证),加强安全认证强度
10
#
支持手机令牌功能,支持在手机APP上直接获得动态口令
11
★
目标设备管理
支持针对某些地址、地址段内的目标设备自动发现和批量导入功能
12
支持目标设备的密码托管和单点登录功能,也支持目标设备登录过程中手工输入系统账号和密码进行登录
13
支持一台设备关联多种访问协议,如一台linux设备通过ssh、vnc、sftp协议访问
14
支持批量登录多台协议相同的目标设备
15
#
内置电子工单
普通用户可以在web界面手动填写电子工单,填写的内容包括:
用户账号、设备资源、系统账号、协议类型、要执行的命令、时间窗口
16
#
电子工单可提交给本部门或者上级部门配置管理员审批,审批通过后,即时生效。
系统内置多种报表模板,支持管理员自定义报表类型。
报表格式支持CSV和HTML。
17
访问权限控制
支持以用户(用户组)、目标设备(设备组、程序)、系统帐号、部门、协议、时间、来源IP为要素,来灵活设置访问策略。
系统级账号三权分立,系统级账号包括:
系统账号管理员,系统审计员,系统管理员
18
#
支持基于访问控制规则启用/关闭windows设备、应用程序的剪贴板上下行功能和磁盘映射功能
19
命令权限控制
支持跟据用户(用户组)、目标设备(设备组)、系统帐号、命令集和生效时间来设置详细的命令权限控制策略,支持命令黑白名单
20
自动改密功能
支持根据设备、系统帐号、时间、频率、改密方式生成详细的改密计划,到期自动执行;改密方式至少可以支持随机生成不同密码、自动设置相同密码、手动指定密码、随机定制密码;改密结果自动加密发送给密码保管员
21
#
改密功能必须成熟稳定,且通过健壮的容错机制确保改密过程中设备账号密码的安全,说明改密功能在超过100个管理设备批量改密的过程。
22
unix脚本推送
管理员可以根据设备/设备组、系统账号、时间、脚本内容(自定义),创建自动脚本任务;该任务到期自动执行,执行的结果自动发送给相关管理员
23
★
网络设备配置备份
支持定期备份指定的网络设备上的配置信息,备份结果可以自动加密发送到相关管理员的邮箱
24
访问二次授权
对于重要设备的登录,未经相关人员授权,设备无法正常访问
25
命令双人复核
对于高危指令操作,可以要求必须发送给相关管理员复核通过,才能被执行
26
★
操作会话共享
对于图形和字符操作会话支持多人会话共管,当前运维人员可以邀请其他用户参与当前操作会话,也可以随时中断被邀请人的会话
27
#
命令操作审计
针对字符指令操作,必须确保对实际运维过程中各类非常规操作指令的准确识别,包括各类TAB补全、行内编辑操作、大日志量输出的指令操作,在各类非常规操作场景下不能出现乱码、漏审问题。
28
支持操作指令输入输出结果的智能分离,能够随意打开任意一条操作指令的输出结果。
支持通过设备的web页面内嵌SSH、FTP、TELNET运维工具访问目标资源。
支持TELNET、SSH协议使用SecureCRT工具批量登录目标资源,并支持对多台主机批量执行操作指令
29
支持从任意一条操作指令处进行命令回放,支持控制播放进度。
审计查询关键字和结果显示支持多种编码(UTF-8,Big5,EUC-JP,EUC-KR,GB2312,GB18030,ISO-8859-2,KOI8-R,KS_C_5601_1987,Shift_JIS,Window-874),由用户自主选择
30
#
图形操作审计
支持对windows图形操作过程中的窗口标题、URL地址进行文本识别和文本记录。
支持RDP、VNC图形操作行为的审计,图形回放形式还原真实操作过程
31
★
支持以图形操作过程中的键盘输入、剪贴板、窗口标题信息、URL地址为关键字进行文本搜索,搜索结果可以直接定位到该操作对应的时间点进行录像回放
32
支持对图形操作过程中的鼠标点击、键盘操作、快捷键使用进行记录和回放展示,当单个会话的日志量超过1000M也不存在缓冲、延迟的过程。
33
#
文件传输审计
支持对通过运维审计系统所传输文件进行备份和查询功能。
支持SSH协议服务端启用强加密算法hmac-sha2-256,hmac-sha2-512,提升SSH协议安全性
34
包括访问的起止时间、协议、用户名称、来源IP地址、设备名称、系统账号、文件目录等,要求准确审计各类文件传输的操作类型(上传、下载、重命名、删除等)。
支持通过应用发布实现字符协议和文件传输协议的命令级审计和图形审计的双重审计效果
35
统计报表功能
管理员可以手动定制报表模版,并支持根据不同模版自动生成日报、周报、月报,报表内容自动发送给相关管理员
36
支持对特定操作指令进行自动统计,能够统计出该指令在特定时间范围内的执行次数,并自动关联出对应的字符会话记录
六、服务要求
重要性分为“★”和一般无标示指标。
★代表最关键指标,不满足该指标项将导致投标被拒绝,无标识则表示一般指标项。
序号
服务要求项目
重要性
服务要求标准
1.
原厂售后服务承诺函
★
原厂商售后服务提供设备三年免费保修和软件三年免费版本升级、电话报修后4小时上门服务、12小时内排除故障。
2.
售后服务标准
1、所有硬件三年免费保修、所有软件三年免费保修升级、电话报修后4小时上门服务、12小时内排除故障。
2、所有硬件过三年免费保修期后按原价维修(按投标货物价格数量表所列价格,更换零部件的按合同签订时的零部件价格)、所有软件过三年免费保修升级期内按不高于原价的20%进行维修升级,响应速度同保修期响应速度。
3.
服务网络
在项目运行地点有固定服务网点,并承诺可以执行上述的售后服务标准。
4.
培训
原厂商提供不少于2次不少于10人的主要设备(数据库安全审计、运维安全审计)厂商认证的工程师安装配置等实操培训课程,场地、交通等与培训相关的费用均由投标人承担。
5.
集成服务
投标人具备信息安全服务(安全工程类)的服务能力,并提供有效的依据说明。
说明项目经理的行业认证和项目经历情况,实施团队情况和售后服务体系,可以体现项目服务质量能力。
技术人员具备CISP安全服务类证书,需要协调各个产品厂商为用户提供产品安装调试服务、产品培训服务、信息安全体系咨询服务,以及提供现有校园网内部的整体网络和应用系统梳理、应用系统性能监测,做好网络安全优化等系列服务,结合用户的现状情况提供详细的安全集成服务方案,帮助用户完成校园网络的信息安全保障工作。
七、付款方式
序号
付款节点
付款条件
付款比例(或金额)
备注
1
首付款
合同签订后15日内
付款至总合同金额30%
2
履约保证金
合同签订后15日内
付总合同金额10%
3
第二期款
货物到达全部安装,并加电调试完成,验收合格
付款至总合同金额100%
4
质保金
验收合格后履约保证金转为质保金,六个月后无遗留问题则无息退还。
八、投标人及产品资质要求
1、投标人应具备的资质条件
投标人提供营业执照、税务登记证、组织机构代码证,(三证合一的提供最新的营业执照即可),质量管理体系认证,复印件加盖公章。
2、投标产品应具备的资质条件
(1)数据库审计系统
产品资质要求
产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证(万兆)》(增强级);需提供证书复印件加盖产品厂商的公章。
产品具有中国信息安全认证中心颁发的强制认证证书(增强级);需提供证书复印件加盖产品厂商的公章。
产品具有中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》,需提供证书复印件加盖产品厂商的公章。
(2)运维安全审计系统
产品资质要求
产品具备公安部颁发的《计算机信息系统安全专用产品销售许可证》,需提供证书复印件加盖产品厂商的公章。
产品具备中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》,需提供证书复印件加盖产品厂商的公章。
产品具备国家保密局颁发的《涉密信息系统产品检测证书》,需提供证书复印件加盖产品厂商的公章。
九、产品授权
序号
货物名称
主要产品须提供厂家唯一授权
单位
数量
产地(国产/进口)
1
数据库安全审计
是
台
2
国产
2
运维安全审计
是
台
2
国产
十、产品测试及验收
项目产品安装实施上线前及项目验收时投标方需配合用户方对于技术要求★号及#号指标进行演示操作。
升级会员 