招标
超算中心扩容改造项目信息安全设备需求公示
金额
180万元
项目地址
广东省
发布时间
2020/07/10
公告摘要
公告正文
| 序号 | 采购计划编号 | 货物名称 | 数量 | 单位 | 备注 | 财政预算限额(元) |
|---|---|---|---|---|---|---|
| 1 | PLAN-2020-0102004001-01006 | 安全资源池 | 1.0 | 套 | 1800000.0 | |
| 2 | PLAN-2020-0102004001-01006 | 全网安全感知平台 | 1.0 | 套 | 1800000.0 | |
| 3 | PLAN-2020-0102004001-01006 | 堡垒机 | 1.0 | 套 | 320000.0 | |
| 4 | PLAN-2020-0102004001-01006 | WEB应用扫描 | 1.0 | 台 | 400000.0 | |
具体技术要求
说明:
1、标注▲号参数为不可偏离项,任何一项负偏离,则视为“所投产品、工程、服务在质量、技术、方案等方面没有实质性满足招标文件要求”,该投标人的投标文件初审不通过;
2、标注★号条款为重要参数。
| 序号 | 指标项 | 招标技术要求 |
一、安全资源池 | ||
| 1. | 安全资源池管理平台 | ▲1.1 总体要求 当超算中心云平台版本升级时,安全资源池管理平台能匹配并升级到与云平台对应的版本(质保期内免费升级); 支持把用户的安全设备作为探针把侦测数据(或日志)发给安全态势感知平台; 安全资源池平台自身满足三级等保相关要求(按照网络安全等级保护要求安全资源池平台需作为独立系统进行测评)。 |
| ▲1.2政务区部署要求 支持华为云平台(软、硬SDN版本); 实现安全资源池自动读取云平台用户信息,包括用户账户信息、网络配置,实现用户自助方式部署需要的安全模块; | ||
| ▲1.3互联网区部署要求 支持H3C云平台(硬SDN版本); 实现安全资源池自动读取云平台用户信息,包括用户账户信息、网络配置,实现用户自助方式部署需要的安全模块;。 | ||
▲1.4 集成以下安全功能模块 虚拟防火墙(含VPN、IPS和网关杀毒) 虚拟应用防火墙 堡垒机 数据库审计 日志审计 网页防篡改 漏洞扫描 虚拟主机安全(虚拟主机隔离、虚拟机主机安全检测、杀毒、加固) 应用负载均衡 以上安全模块可在满足功能需求下,多个安全功能可以一个模块里实现;功能可以采用NFV实现。 | ||
▲1.5性能指标要求 支持不少于240个的租户管理,其中政务区云平台≥120个、互联网云平台≥120个。 至少提供260个安全模块的License授权,其中政务区云平台≥130个: 虚拟防火墙≥10个 虚拟应用防火墙≥40个 堡垒机≥25个 数据库审计≥20个 日志审计≥5个 网页防篡改≥7个 漏洞扫描≥5个 虚拟主机安全≥13个 应用负载均衡≥5个; 互联网区云平台≥130个: 虚拟防火墙≥10个 虚拟应用防火墙≥40个 堡垒机≥25个 数据库审计≥20个 日志审计≥5个 网页防篡改≥7个 漏洞扫描≥5个 虚拟主机安全≥13个 应用负载均衡≥5个 VPN功能如果不包含在虚拟防火墙模块内,需另外增加VPN模块的,需额外配备与虚拟防火墙一样的授权数。 用户的安全模块使用到期后,可释放占用的License授权; License支持扩展。 | ||
★1.6用户管理 安全资源池平台用户界面的三权分立安全原则,具备安全池平台管理员、租户管理员、设备管理员、审计管理员等用户角色的管理; 支持云平台租户管理员从云平台单点登录至安全资源池或直接通过云管理平台为租户提供各类安全服务目录;支持租户管理员创建租户设备管理员,并为租户设备管理员授权安全设备的管理权限。 | ||
1.7 平台监控 (1)支持对每个安全模块的状态进行监控,上报故障或健康情况不良情况; (2)支持基于单租户视角的安全运营中心,能够统一收集各安全模块日志,从业务系统维度实现安全风险统一管理。 | ||
★1.8 平台管理 (1)为资源池管理员提供安全资源池内安全设备的使用情况、每个租户使用的安全设备种类、规格、时长,剩余授权Licenses情况等; (2)支持平台日志存储不少于180天。 | ||
1.9安全设备开通和管理 (1)支持安全资源池管理员为租户审批和开通安全设备; (2)支持安全设备开通后自动导入许可,完成安全产品激活,无需手动导入; (3)支持安全设备的有效期管理; (4)支持等级保护二级和等级保护三级服务套餐。 | ||
1.10 用户自助管理 (1)支持租户自助申请、开通、关闭、配置安全设备; (2)支持租户设备管理员对安全设备及其组网的自定义配置,可按照自己的需求配置安全产品的策略等。 | ||
★1.11 订单管理 (1)支持统一订单管理,安全资源池管理员和租户管理员可以通过订单查看订单统计、详情等; (2)支持安全资源池管理员和租户管理员为订单续期,延长订单有效期。 (3)支持为用户提供至少30天临时试用设备模块License,不占用正式授权数量; | ||
| 2 | 虚拟应用防火墙 | ▲2.1 单个实例中的性能授权 应用吞吐量≥200Mbps HTTP并发连接≥20万 HTTP新建连接(CPS) ≥1万 支持导入ssl证书,对https业务的防护 不限制保护站点数量 |
2.2 WEB应用防御功能 (1)支持对SQL注入、XSS、命令注入、webshell等OWASP TOP10的攻击进行识别和防护; (2)能够识别服务端响应内容导致的缺陷:敏感信息泄露、已有的网页后门、错误配置、目录浏览等缺陷; (3)支持HTTP和HTTPS的防护,HTTPS可支持多域名证书的上传,可选择SSL/TLS协议版本、加密算法,可识别非80、443端口的web服务; (4)支持对FTP、数据库等协议的防护; (5)支持访问行为的检测,可快速识别恶意软件访问行为; (6)支持网站管理界面防护,限制IP地址登录。 | ||
2.3智能检测 支持采用无特征AI检测技术对恶意勒索病毒及挖矿病毒等热点病毒进行检测。 | ||
2.4 CC防护功能 (1)支持多种算法检测方法:对指定URL访问速率、对指定URL访问集中度检测; (2)检测对象支持IP或IP+URL算法,IP可支持X_Forwarded-For字段解析,并支持自定义检测字段功能。 | ||
| 3 | 堡垒机 | ★3.1单个可管理设备数量 (1)可管理设备、应用数量≥100个; (2)支持并发会话≥50个; |
3.2 用户管理要求 (1) 支持用户多角色划分功能,如系统管理员、配置管理员、普通用户、审计管理员、密码管理员等,对各类角色进行细粒度的权限管理。 (2)支持与Ladp、AD域、Radius、短信网关等认证平台对接实现统一认证,支持与短信认证等实现双因素认证功能。 (3) 支持用户安全策略功能,如密码锁定次数、密码有效期、密码复杂度、用户有效期、用户登录时间限制、用户登录IP范围等。 | ||
3.3 设备管理要求 (1)支持可管理SSH、RDP、SFTP、FTP、TELNET、web类的服务器,以及可管理其他远程工具或自定义的应用客户端。 (2)支持管理oracle、sqlserver、mysql、postgrssql、mongodb等主流数据库服务器。 | ||
3.4审计日志要求 支持对运维操作会话的实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容的详细审计日志。 | ||
| 4 | 数据库审计 | ★4.1 单个授权处理能力 SQL峰值处理能力不低于2万条/秒, 日志存储数量不低于8亿条, 同时支持≥4个数据库实例审计能力。 |
4.2 部署方式 支持在目标数据库安装agent解决云环境、虚拟化环境内部流量无法镜像场景下数据库的审计,支持操作系统Windows 2008 R2以上版本Windows操作系统、Redhat5/6/7、CentOS5/6/7、SUSE10/11/12、Ubuntu10/12/14/16等32&64位。 | ||
4.3 协议支持 (1)支持Oracle、SQL-Server、Sybase、MySQL、postgrssql 、MongoDB等主流数据库的审计。 (2)支持对操作时间、SQL语句、执行结果、返回结果集、影响行数、执行时长、数据库用户名、实例名、源/目的IP、源/目的端口、源/目的MAC、客户端主机名、客户端程序名称、客户端操作系统用户名、业务主机群、SQL模板、会话ID、事件唯一ID等条件进行审计。 (3)提供审计返回时长、SQL错误代码、返回行数、返回结果集的审计。 | ||
4.4关联分析 (1)支持三层关联分析,可根据应用层的用户访问关联审计数据库访问情况。 (2)可基于账号、IP地址、访问权限、客户端工具等维度进行分析。 | ||
| 5 | 日志审计 | ★5.1单个实例中的处理能力授权 (1)支持审计至少100个日志源; (2)支持500G日志秒级查询结果; (3)支持180天日志存储和回溯。 |
5.2 日志收集 (1)支持Syslog、SNMP Trap、FTP、代理(Agent)等方式收集日志; (2)支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等; (3)支持常见的虚拟化环境日志收集。 | ||
5.3 日志分析 (1)支持基于内存的实时关联分析,跨设备的多事件关联分析,关联分析的规则可定制; (2)内置非法访问、可疑入侵、病毒爆发、设备异常、弱点针对等5大类及其子类的安全分析场景; (3)支持把将日志推送至安全态势感知平台。 | ||
| 6 | 网页防篡改子模块 | ★6.1基本要求 (1)单个授权至少支持10节点,不限节点目录数量; (2)支持的操作系统: Windows2008R2以上版本windows操作系统32&64位。 (3)Redhat5/6/7、CentOS5/6/7、SUSE10/11/12、Ubuntu10/12/14/16等 32&64位。 (4)支持IIS、apache、tomcat、nginx、weblogic等主流服务器。 |
6.2防篡改功能 (1)文件保护:支持各类网页文件的保护,包括静态和动态网页以及各类文件信息,避免文件被篡改;目录保护:支持对指定文件夹以及子文件夹的保护,避免上传非法文件及木马等恶意文件或插入恶意代码; (2)一键启停文件保护:一键启停所有监控端对文件保护,不必登录WEB服务启进行停启; (3)篡改规则:支持基于目录、进程、文件、文件类型等进行设置篡改规则,支持正则表达式策略; (4)管理端支持ACL,设定允许的源IP才能访问。 | ||
| 7 | 虚拟防火墙(含VPN、IPS和杀毒) | ★7.1单个实例中的性能授权 设备最大吞吐量≥500Mbps 每秒新建连接数≥3万 最大并发连接数≥20万 配置5年IPS、AV防病毒特征库升级授权 |
7.2 IPS 支持对服务器的防护,包括网页防爬虫、HTTPS防护、DoS/DDoS攻击防护、Web攻击过滤、探测扫描、溢出攻击、可疑代码、蠕虫、病毒、木马、间谍软件等各类网络攻击。 | ||
7.3 AV (1)支持HTTP,FTP,POP3,SMTP协议的病毒查杀。 (2)查杀邮件正文/附件、网页及下载文件中包含的病毒。 (3)支持ZIP/RAR等压缩文件的病毒查杀。 (4)支持TAR等多种打包文件的病毒查杀。 | ||
7.4 VPN 支持IPsec VPN。 支持SSL VPN。 | ||
| 8 | 漏洞扫描 | ★8.1性能 系统漏洞扫描:扫描目标并发数量不少于80个,扫描进程并发数量不少于150个; 数据库漏洞扫描:扫描目标并发数量不少于80个,扫描进程并发数量不少于150个; |
8.2 web扫描 支持常见的的应用服务器,如:IIS、Websphere、Weblogic、Apache、tomcat、nginx等,支持所有的WEB应用编程语言,如:Asp、Jsp、.Net、J2EE、Php、js、html等。 | ||
8.3支持Windows系列操作系统,Linux主流操作系统(Centos、Redhat、Debian、Ubuntu、Suse等),FTP、Telnet、电子邮件等中间件服务器,Office、Putty等常用软件、网络设备、防火墙的漏洞扫描。 | ||
8.4支持Oracle、Mysql、postgrssql 、SQLServer、达梦、人大金仓的数据库漏洞扫描。 | ||
| 9 | 应用负载均衡 | ★9.1单个实例中的性能授权 至少支持4个站点; 性能吞吐≥100Mbps; HTTP并发连接数≥10万 HTTP每秒新建连接数≥1万。 |
9.2支持包括轮询、加权轮询、随机、最小连接、加权最小连接、带宽、最大带宽、源IP地址哈希、源IP地址和端口哈希、目的IP地址哈希、HTTP哈希、最快响应、本地优先级等服务器负载均衡算法。 支持CARP算法。 支持基于Node/Member的健康检查算法。 | ||
| 10 | 虚拟主机安全 | ★10.1 单个实例支持50个以上授权,总数满足政务云分区≥1300个虚机授权、公有云分区≥1300个虚拟机授权,虚拟主机支持主流的Linux、Windows Server版本操作系统。 |
10.2支持病毒查杀、漏洞管理、性能监控、主机防火墙、登录防护、防端口扫描等功能。 | ||
10.3支持将服务器划分业务组,并且配置业务的应用角色。 | ||
10.4支持虚拟机加固检测和加固策略实时下发。 | ||
10.5支持与态势感知系统联动,上报日志等。 | ||
| 11 | 产品资质 | ▲11.1 所投产品具备公安部颁发的《计算机信息系统安全专用产品销售许可证》。 |
二、全网安全感知平台 | ||
| 1 | 平台参数 | ▲1.1性能要求 (1)满足180天存储容量(包括日志和数据回溯) (2)提供大规模数据存储、高压缩比及快速检索能力(10亿数据关键字查询<2秒级里返回查询结果)、追溯取证能力以满足合规要求。 (3)能够实时处理分析≥8Gbps的网络流量吞吐量; (4)数据采集和处理性能≥10000EPS,每条数据大小>1KB; (5)硬件平台至少配备≥16核CPU,≥256G内存,48TB硬盘,支持横向平滑扩展能力。 |
1.2综合态势 (1)支持全网安全风险监控展示,包括但不限于安全度打分,资产和用户安全状态分布统计,攻击阶段分布统计,安全事件统计,TOP5风险资产,TOP5风险用户,综合报表统计 (2)支持按天周月展示安全事件的攻击阶段分布、安全事件类型分布和周期性综合安全分析报告 (3)支持自定义展示图表设置,可选择展示的内容,包括可选资产安全信息、用户安全信息、安全事件信息、综合报告和安全度最低分设置 (4)支持根据不同区域进行呈现,事先根据网段或者部门区域定义,在首页可以直接选取不同区域进行相关安全状况展示 (5)支持在首页主动威胁探测查询,可使用IP/URL/资产名称/域名进行快速风险明细查询 | ||
1.3外网攻击态势 支持实时监测外网对内部资产发起的攻击情况,包括总攻击数、总漏洞利用攻击数、总僵木蠕攻击数、未拦截攻击数、未拦截漏洞利用、未拦截僵木蠕、国内外攻击源IP排名、攻击目的资产排名、攻击目的端口与协议分布、漏洞利用攻击分布、攻击类型分布、僵木蠕攻击类型分布、实时对攻击事件进行滚动告警 | ||
1.4整网威胁态势 支持实时监测整网遭受的威胁情况,包括展示当前存在的安全事件数、攻击源排名、实时威胁事件列表、事件攻击阶段分布、TOP5风险资产、威胁事件的排名 | ||
1.5脆弱性态势 支持展示整网资产存在的脆弱性情况,包括总的漏洞数、存在的弱口令数、配置风险数、漏洞类型分布、漏洞严重级别分布、漏洞趋势、TOP漏洞列表 | ||
1.6安全事件分析 (1)支持主机扫描、端口扫描、网络拓扑扫描、应用扫描、操作系统扫描、数据库扫描、其他扫描、、敏感信息泄露等安全事件分析 (2)支持溢出、内存破坏、代码执行、SQL注入、命令注入、文件包含、非信任路径搜索、文件上传、目录遍历、安全措施绕过、使用已知漏洞组件、CGI漏洞、不安全方法调用、跨站请求伪造、跨站脚本攻击、XPATH注入、LDAP注入、系统漏洞、应用漏洞、ICMP漏洞、SMTP漏洞、HTTP漏洞、SSL漏洞、TFTP漏洞、SMB漏洞、SSH漏洞、SNMP漏洞、DNS漏洞、POP漏洞、TELNET漏洞等安全事件分析 (3)支持感染型病毒、木马、蠕虫、僵尸网络、间谍软件、广告软件、勒索软件、后门、其他恶意软件、风险软件、垃圾文件、灰色软件、测试文件、黑客工具、钓鱼软件、Rootkit、恶意脚本文件、宏病毒、挖矿软件、Webshell、ShellCode等安全事件分析 (4)支持本地提权、未授权访问、暴力破解、远程提权、其他提权控制等安全事件分析 (5)支持恶意主机通信、恶意邮件通信、恶意域名请求、C&C主机通信、挖矿程序通信、木马程序通信、勒索程序通信、后门程序通信、病毒程序通信、僵尸网络通信、钓鱼程序通信、蠕虫传播、ShellCode通信、WebShell通信、隐蔽隧道、反弹Shell、其他恶意程序通信等安全事件分析 (6)支持文件传输、数据传输等安全事件分析 (7)支持网络层Flood攻击、应用层Flood攻击、畸形协议报文、特殊控制报文、畸形数据报文、慢速攻击等安全事件分析 (8)支持配置风险、弱口令、明文传输等安全事件分析 (9)支持恶意网站访问、盗链、暗链、网页篡改、敏感词、禁用词、HTTP方法限制、非合规协议、爬虫等安全事件分析 (10)支持风险访问、异常登录,包括恶意主机登录、不在常用IP段登录、不在常用区域登录、不在常用事件登录等安全事件分析 | ||
1.7攻击还原和取证 (1)支持对风险资产和风险用户按照扫描侦察、入侵、命令控制、横向渗透、网络黑产、数据盗取、系统破坏攻击链,显示整网安全事件所处的攻击阶段 (2)支持显示每个阶段的安全事件数量,并且能够下钻显示安全事件明细 (3)支持对风险资产和风险用户遭受的安全事件进行溯源,以路径的形式展示威胁过程,支持对导致资产失陷的安全事件进行深度分析提取攻击载荷等信息,支持根据分析的安全事件结果手动联动本地流量探针或IPS设备抓包取证,支持识别网关设备的NAT日志,能够溯源原始攻击者和被感染安全事件的真实主机的IP地址 | ||
★1.8安全设备响应联动 支持根据安全事件结果,自动联动现网安全设备,进行黑名单的下发和阻断策略的配置。 | ||
1.9移动运维 支持IOS、Android系统的移动端APP运维管理,能够实现整网安全态势、系统运行状态、关键资产运行状态查看和管理 | ||
1.10报表管理 支持报表任务的新增/删除/修改/启用/停用等管理 支持按照任务类型/任务状态/任务名称进行报表查询 支持基于区域、资源资产、资源事件类型、等级,自定义报告输出,报表格式为DOCX、XLSX等 支持通过邮件形式,按照天周月自动发送报表 | ||
| 2 | 全流量分析探针 | ★2.1性能参数 配备至少2台探针设备。 每台至少4个万兆流量数据收集端口授权,实现网络关键节点的数据采集; 配置≥4个万兆光口;流量分析性能≥4Gbps。 |
2.2协议审计 支持审计http、ftp、smtp、pop3、smb、imap等协议报文;支持Mysql/MSSQL/DB2/Oracle等协议报文; | ||
2.3流量审计 支持设备流量上下行实时监控及曲线图展示; 支持设备流量任意自定义时段流速趋势图展示; 支持展示实时、历史某时间段内流量数据包个数、字节数量、数据包峰值个数、流量峰值等 支持展示实时、历史某时间段内基于物理地址展示数据流量中发送、接收总字节、每秒数据包数、广播/组播包数等信息 支持展示实时、历史某时间段内基于网络应用、IP地址、IP会话、端口等维度展示数据流量中发送、接收总字节、TCP同步包、TCP确认包、TCP重置包数等信息 支持展示实时、历史某时间段内基于端口展示数据流量中发送、接收总字节、总数据包、总负载、TCP同步包、TCP确认包、TCP重置包数等信息 支持展示实时、历史某时间段内基于服务端口展示总字节数、总数据包数、会话数等信息 | ||
2.4事件审计 最少支持互联网应用以及内网应用两种应用模式,最少支持内置1500种以上预定义应用识别 支持可根据网络应用需求根据网络协议类型、源目的端口、源目的IP、域名等方式自定义网络协议。支持正则的方式自定义应用,支持自定义应用根据模板的导入、导出以及优先级调整等 支持VLAN、MPLS VPN等二层协议识别; 支持IPV4/6双栈网络 | ||
2.5网络流量分析 (1)支持基于用户、用户组、终端平台、终端设备、物理地址、源目的地址、源目的端口、应用、应用分类、账号、行为、文件名的文件类日志、社区/论坛类日志、搜索引擎类日志 (2)支持基于用户、用户组、终端平台、终端设备、物理地址、源目的地址、源目的端口、域名、网站分类、连接、访问时间的网站搜索类日志 支持邮件行为分析审计,支持SMTP、POP3、IMAP协议的收件人、发件人、标题、正文、邮件附件类型等进行审计; (3)支持基于用户、用户组、源目的IP、源目的端口、账号、命令、文件名称时间的Telnet行为分析审计 (4)支持DNS行为分析审计,审计请求与返回的域名以及IP对应,记录异常的DNS报文; 行为分析审计, 指定URL或者所有URL,包含下载文件的路径以及名称; (5)行为分析审计,包括web BBS发帖内容、webmail的邮件内容、网页上传的附件、网页上传的文本、微博内容; (6)支持基于用户、用户组、源目的IP、源目的端口、账号、命令、行为、时间的数据库行为审计 支持基于用户、用户组、源目的IP、源目的端口、账号、命令、文件名称以及路径时间FTP行为分析审计 | ||
| 3 | 产品资质 | ▲3获得国家公安部计算机信息系统安全专用产品销售许可证。 |
三、堡垒机 | ||
| 1. | 安全管理要求 | ▲1.1性能要求 (1)管理设备授权数量≥1000个;字符并发会话数≥2000个;图形并发会话数≥600个; (2)单台磁盘可用空间不少于8T,保障180天日志存储需求; (3)至少配备4个100/1000M自适应电口、4个1000M光口,冗余电源。 (4)允许由两台同等配置设备、双机部署达到上述要求。 |
1.2 安装部署 物理旁路单臂部署,以逻辑网关方式工作;不改变现有网络结构,不改变运维人员的运维习惯。 支持在IPV4,IPV6,IPV4与IPV6网络环境下部署。 具有配置向导功能。 | ||
| 1.3 账号管理 完整的用户帐号生命周期管理,实现帐号的创建、维护、修改、删除的集中管理;自定义用户类型,基于针对用户类型进行用户地址策略; 支持用户有效期定义,针对临时用户或者短期用户可以建立有效期,过期后自动注销; 主帐号支持从AD域内抽取,方便快速建立主账号。 | ||
1.4 资源管理 支持柱形图方式查看系统中不同资源所占总数; 支持unix资源、网络资源、windows资源、数据库资源、C/S资源、B/S资源、中间件资源、大型机资源等; 支持对资源从账号的管理,系统能够将资源上的账号进行自动抽取、推送及属性变更等。 | ||
1.5 密码管理 定期检查平台存储的设备账号密码与设备实际密码是否匹配,以便进校验密码一致性,提高设备的安全性避免密码混乱无法登陆现象发生。 | ||
1.6 认证和授权 资源授权模式基于岗位授权,岗位上绑定资源账号;并可针对岗位设置相关安全策略。 支持证书、动态令牌、AD域控,生物识别、短信认证等方式进行结合。其中证书和动态令牌可以内置,也可以跟第三方结合。 | ||
1.7 登录 内置VPN功能,无需专用VPN硬件支持,即可方便安全地通过远程接入堡垒机。 | ||
1.8 审计 审计日志可以采用syslog形式分类外发,至少可以分为系统类日志,内部审计日志,行为审计日志,违规命令日志,违规登录日志等。 | ||
1.9 高危命令管理 支持将高危命令设置为执行需审批策略,当指定资源执行高危命令时,需要审批通过后,命令才能执行生效。 | ||
| 2 | 资质要求 | ▲2.1所投产品具备公安部颁发的《计算机信息系统安全专用产品销售许可证》 |
四、WEB应用扫描 | ||
| 1 | 扫描功能 | ▲1.1支持同时接多个网络,扫描不同网络业务;配置主机漏洞扫描模块、基线配置核查模块、WEB应用扫描模块和数据库漏洞扫描模块,均为无限制授权。 |
★1.2具备多任务并发80个扫描。 | ||
1.3提供审计功能,能够对登录日志、操作日常进行记录和查询,并可以将日志导入导出操作。 | ||
1.4支持Windows系列操作系统,支持Linux主流操作系统(Centos、Redhat、Debian、Fedora、Ubuntu、Suse等),支持Unix主流操作系统(AIX、HP-UX、Solaris等); | ||
1.5支持对Web、FTP、电子邮件等应用系统、Apache等web中间件服务器以及Office等常用软件进行漏洞扫描; | ||
1.7可以自定义扫描端口范围、端口扫描策略; | ||
1.7提供采用SMB、SSH、Telnet、SNMP等协议对Windows、Linux系统进行登录授权扫描。 | ||
★1.8具备弱口令扫描功能,提供多种弱口令扫描协议,包括SMB、RDP、SSH、TELNET、FTP、SMTP、IMAP、POP3、MySQL、MSSQL、REDIS、RTSP等协议进行弱口令扫描,允许用户自定义用户、密码字典 | ||
1.9支持发现非默认端口启动的服务,支持服务的协议识别、版本。 | ||
1.10同IP不同端口同漏洞的结果应明确给予端口标识。 | ||
1.11支持对误报的漏洞进行修正,避免将误报结果导出。 | ||
1.12支持7种以上端口探测方式,如: TCP ACK、TCP SYN、TCP Connect、TCP Null、TCP Xmas、TCP Window、TCP Fin等 | ||
1.13支持对Discuz、大汉CMS、PHPCMS、DEDECMS、ECSHOP、WordPress、eWebEditor、FCKeditor、Struts2等国内外常见第三方组件扫描 | ||
1.14能够检测GET、POST、User-Agent、Cookie等多种方式提交的HTTP请求参数,并进行相应检测。 | ||
1.15能够通过Cookie的方式支持对带验证码的应用系统进行扫描; | ||
1.16支持识别国内外主流Web应用防火墙品牌; 管理人员可根据系统给出的漏洞参数、HTTP请求/响应数据,快速验证,一键验证漏洞 | ||
★1.17支持Oracle、Mysql、SQLServer、DB2、informix、达梦、人大金仓的授权数据库漏洞扫描 | ||
1.18产品提供系统安全配置核查功能,能够对主流操作系统、中间件、无线设备、虚拟设备的安全配置项目进行检查。 | ||
| 2 | 管理功能 | 2.1提供三权分立的账户体系,各系统管理用户管理自己的资产和扫描策略;支持配置定期自动扫描任务,扫描报告发送给不同业务系统管理员。 |
| 3 | 报表功能 | 3.1支持HTML、WORD、PDF、XLS报告格式 |
| 4 | 资质 | ▲4.1所投产品具备公安部颁发的《计算机信息系统安全专用产品销售许可证》。 |
商务需求
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 交货时间要求:合同签署后20个日历日。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 付款方式: 1.按照工程量进度分四步付款: 到货阶段:合同签订后设备到达甲方指定地点、并通过甲方开箱验收,设备上架安装合格,乙方向甲方提供发票后1个月内,甲方向乙方支付合同总金额的30% ; 试运行阶段:设备安装调试,并通过测试初验,双方签署《试运行验收报告》后,甲方向乙方支付合同总金额的30%,; 终验阶段:《试运行验收报告》签订起满半年后,设备正常运行,并通过甲方组织的验收,双方签署《项目终验报告》,甲方向乙方支付合同总金额的35%; 质保金:自项目终验合格之日起设备正常运行满2年后,甲方支付给乙方5%的合同尾款。 2.本项目中所需的设备、材料必须提供增值税专用发票。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 验收标准: 1投标人货物到货后,经过双方检验认可后,签署开箱验收报告。 2当完成以下工作时,采购人才向中标人签发《试运行验收报告》: a、中标人已按照合同规定提供了全部产品及完整的技术资料。 b、经测试设备和软件符合招标文件技术规格书的要求。 c、设备已经完成安装调试,各项功能正常。 e、已经为采购方提供设备和软件的安装、配置、维护等培训。 3当完成以下工作时,采购人才向中标人签发《项目终验报告》: a、试运行验收报告签署后满半年,且设备运行正常。 b、按要求完成保修期内售后服务。 4合同签署包含维保期内服务质量考核条款。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
技术规格偏离表
| 序号 | 货物名称 | 招标技术要求 | 投标技术响应 | 偏离情况 | 说明 |
| 一、 | 安全资源池 | ||||
| 1 | 安全资源池管理平台 | ▲1.1 总体要求 当超算中心云平台版本升级时,安全资源池管理平台能匹配并升级到与云平台对应的版本(质保期内免费升级); 支持把用户的安全设备作为探针把侦测数据(或日志)发给安全态势感知平台; 安全资源池平台自身满足三级等保相关要求(按照网络安全等级保护要求安全资源池平台需作为独立系统进行测评)。 | | | |
| ▲1.2政务区部署要求 支持华为云平台(软、硬SDN版本); 实现安全资源池自动读取云平台用户信息,包括用户账户信息、网络配置,实现用户自助方式部署需要的安全模块; | | | | ||
| ▲1.3互联网区部署要求 支持H3C云平台(硬SDN版本); 实现安全资源池自动读取云平台用户信息,包括用户账户信息、网络配置,实现用户自助方式部署需要的安全模块;。 | | | | ||
▲1.4 集成以下安全功能模块 虚拟防火墙(含VPN、IPS和网关杀毒) 虚拟应用防火墙 堡垒机 数据库审计 日志审计 网页防篡改 漏洞扫描 虚拟主机安全(虚拟主机隔离、虚拟机主机安全检测、杀毒、加固) 应用负载均衡 以上安全模块可在满足功能需求下,多个安全功能可以一个模块里实现;功能可以采用NFV实现。 | | | | ||
▲1.5性能指标要求 支持不少于240个的租户管理,其中政务区云平台≥120个、互联网云平台≥120个。 至少提供260个安全模块的License授权,其中政务区云平台≥130个: 虚拟防火墙≥10个 虚拟应用防火墙≥40个 堡垒机≥25个 数据库审计≥20个 日志审计≥5个 网页防篡改≥7个 漏洞扫描≥5个 虚拟主机安全≥13个 应用负载均衡≥5个; 互联网区云平台≥130个: 虚拟防火墙≥10个 虚拟应用防火墙≥40个 堡垒机≥25个 数据库审计≥20个 日志审计≥5个 网页防篡改≥7个 漏洞扫描≥5个 虚拟主机安全≥13个 应用负载均衡≥5个 VPN功能如果不包含在虚拟防火墙模块内,需另外增加VPN模块的,需额外配备与虚拟防火墙一样的授权数。 用户的安全模块使用到期后,可释放占用的License授权; License支持扩展。 | | | | ||
★1.6用户管理 安全资源池平台用户界面的三权分立安全原则,具备安全池平台管理员、租户管理员、设备管理员、审计管理员等用户角色的管理; 支持云平台租户管理员从云平台单点登录至安全资源池或直接通过云管理平台为租户提供各类安全服务目录;支持租户管理员创建租户设备管理员,并为租户设备管理员授权安全设备的管理权限。 | | | | ||
1.7 平台监控 (1)支持对每个安全模块的状态进行监控,上报故障或健康情况不良情况; (2)支持基于单租户视角的安全运营中心,能够统一收集各安全模块日志,从业务系统维度实现安全风险统一管理。 | | | | ||
★1.8 平台管理 (1)为资源池管理员提供安全资源池内安全设备的使用情况、每个租户使用的安全设备种类、规格、时长,剩余授权Licenses情况等; (2)支持平台日志存储不少于180天。 | | | | ||
1.9安全设备开通和管理 (1)支持安全资源池管理员为租户审批和开通安全设备; (2)支持安全设备开通后自动导入许可,完成安全产品激活,无需手动导入; (3)支持安全设备的有效期管理; (4)支持等级保护二级和等级保护三级服务套餐。 | | | | ||
1.10 用户自助管理 (1)支持租户自助申请、开通、关闭、配置安全设备; (2)支持租户设备管理员对安全设备及其组网的自定义配置,可按照自己的需求配置安全产品的策略等。 | | | | ||
★1.11 订单管理 (1)支持统一订单管理,安全资源池管理员和租户管理员可以通过订单查看订单统计、详情等; (2)支持安全资源池管理员和租户管理员为订单续期,延长订单有效期。 (3)支持为用户提供至少30天临时试用设备模块License,不占用正式授权数量; | | | | ||
| 2 | 虚拟应用防火墙 | ▲2.1 单个实例中的性能授权 应用吞吐量≥200Mbps HTTP并发连接≥20万 HTTP新建连接(CPS) ≥1万 支持导入ssl证书,对https业务的防护 不限制保护站点数量 | | | |
2.2 WEB应用防御功能 (1)支持对SQL注入、XSS、命令注入、webshell等OWASP TOP10的攻击进行识别和防护; (2)能够识别服务端响应内容导致的缺陷:敏感信息泄露、已有的网页后门、错误配置、目录浏览等缺陷; (3)支持HTTP和HTTPS的防护,HTTPS可支持多域名证书的上传,可选择SSL/TLS协议版本、加密算法,可识别非80、443端口的web服务; (4)支持对FTP、数据库等协议的防护; (5)支持访问行为的检测,可快速识别恶意软件访问行为; (6)支持网站管理界面防护,限制IP地址登录。 | | | | ||
2.3智能检测 支持采用无特征AI检测技术对恶意勒索病毒及挖矿病毒等热点病毒进行检测。 | | | | ||
2.4 CC防护功能 (1)支持多种算法检测方法:对指定URL访问速率、对指定URL访问集中度检测; (2)检测对象支持IP或IP+URL算法,IP可支持X_Forwarded-For字段解析,并支持自定义检测字段功能。 | | | | ||
| 3 | 堡垒机 | ★3.1单个可管理设备数量 (1)可管理设备、应用数量≥100个; (2)支持并发会话≥50个; | | | |
3.2 用户管理要求 (1) 支持用户多角色划分功能,如系统管理员、配置管理员、普通用户、审计管理员、密码管理员等,对各类角色进行细粒度的权限管理。 (2)支持与Ladp、AD域、Radius、短信网关等认证平台对接实现统一认证,支持与短信认证等实现双因素认证功能。 (3) 支持用户安全策略功能,如密码锁定次数、密码有效期、密码复杂度、用户有效期、用户登录时间限制、用户登录IP范围等。 | | | | ||
3.3 设备管理要求 (1)支持可管理SSH、RDP、SFTP、FTP、TELNET、web类的服务器,以及可管理其他远程工具或自定义的应用客户端。 (2)支持管理oracle、sqlserver、mysql、postgrssql、mongodb等主流数据库服务器。 | | | | ||
3.4审计日志要求 支持对运维操作会话的实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容的详细审计日志。 | | | | ||
| 4 | 数据库审计 | ★4.1 单个授权处理能力 SQL峰值处理能力不低于2万条/秒, 日志存储数量不低于8亿条, 同时支持≥4个数据库实例审计能力。 | | | |
4.2 部署方式 支持在目标数据库安装agent解决云环境、虚拟化环境内部流量无法镜像场景下数据库的审计,支持操作系统Windows 2008 R2以上版本Windows操作系统、Redhat5/6/7、CentOS5/6/7、SUSE10/11/12、Ubuntu10/12/14/16等32&64位。 | | | | ||
4.3 协议支持 (1)支持Oracle、SQL-Server、Sybase、MySQL、postgrssql 、MongoDB等主流数据库的审计。 (2)支持对操作时间、SQL语句、执行结果、返回结果集、影响行数、执行时长、数据库用户名、实例名、源/目的IP、源/目的端口、源/目的MAC、客户端主机名、客户端程序名称、客户端操作系统用户名、业务主机群、SQL模板、会话ID、事件唯一ID等条件进行审计。 (3)提供审计返回时长、SQL错误代码、返回行数、返回结果集的审计。 | | | | ||
4.4关联分析 (1)支持三层关联分析,可根据应用层的用户访问关联审计数据库访问情况。 (2)可基于账号、IP地址、访问权限、客户端工具等维度进行分析。 | | | | ||
| 5 | 日志审计 | ★5.1单个实例中的处理能力授权 (1)支持审计至少100个日志源; (2)支持500G日志秒级查询结果; (3)支持180天日志存储和回溯。 | | | |
5.2 日志收集 (1)支持Syslog、SNMP Trap、FTP、代理(Agent)等方式收集日志; (2)支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等; (3)支持常见的虚拟化环境日志收集。 | | | | ||
5.3 日志分析 (1)支持基于内存的实时关联分析,跨设备的多事件关联分析,关联分析的规则可定制; (2)内置非法访问、可疑入侵、病毒爆发、设备异常、弱点针对等5大类及其子类的安全分析场景; (3)支持把将日志推送至安全态势感知平台。 | | | | ||
| 6 | 网页防篡改子模块 | ★6.1基本要求 (1)单个授权至少支持10节点,不限节点目录数量; (2)支持的操作系统: Windows2008R2以上版本windows操作系统32&64位。 (3)Redhat5/6/7、CentOS5/6/7、SUSE10/11/12、Ubuntu10/12/14/16等 32&64位。 (4)支持IIS、apache、tomcat、nginx、weblogic等主流服务器。 | | | |
6.2防篡改功能 (1)文件保护:支持各类网页文件的保护,包括静态和动态网页以及各类文件信息,避免文件被篡改;目录保护:支持对指定文件夹以及子文件夹的保护,避免上传非法文件及木马等恶意文件或插入恶意代码; (2)一键启停文件保护:一键启停所有监控端对文件保护,不必登录WEB服务启进行停启; (3)篡改规则:支持基于目录、进程、文件、文件类型等进行设置篡改规则,支持正则表达式策略; (4)管理端支持ACL,设定允许的源IP才能访问。 | | | | ||
| 7 | 虚拟防火墙(含VPN、IPS和杀毒) | ★7.1单个实例中的性能授权 设备最大吞吐量≥500Mbps 每秒新建连接数≥3万 最大并发连接数≥20万 配置5年IPS、AV防病毒特征库升级授权 | | | |
7.2 IPS 支持对服务器的防护,包括网页防爬虫、HTTPS防护、DoS/DDoS攻击防护、Web攻击过滤、探测扫描、溢出攻击、可疑代码、蠕虫、病毒、木马、间谍软件等各类网络攻击。 | | | | ||
7.3 AV (1)支持HTTP,FTP,POP3,SMTP协议的病毒查杀。 (2)查杀邮件正文/附件、网页及下载文件中包含的病毒。 (3)支持ZIP/RAR等压缩文件的病毒查杀。 (4)支持TAR等多种打包文件的病毒查杀。 | | | | ||
7.4 VPN 支持IPsec VPN。 支持SSL VPN。 | | | | ||
| 8 | 漏洞扫描 | ★8.1性能 系统漏洞扫描:扫描目标并发数量不少于80个,扫描进程并发数量不少于150个; 数据库漏洞扫描:扫描目标并发数量不少于80个,扫描进程并发数量不少于150个; | | | |
8.2 web扫描 支持常见的的应用服务器,如:IIS、Websphere、Weblogic、Apache、tomcat、nginx等,支持所有的WEB应用编程语言,如:Asp、Jsp、.Net、J2EE、Php、js、html等。 | | | | ||
8.3支持Windows系列操作系统,Linux主流操作系统(Centos、Redhat、Debian、Ubuntu、Suse等),FTP、Telnet、电子邮件等中间件服务器,Office、Putty等常用软件、网络设备、防火墙的漏洞扫描。 | | | | ||
8.4支持Oracle、Mysql、postgrssql 、SQLServer、达梦、人大金仓的数据库漏洞扫描。 | | | | ||
| 9 | 应用负载均衡 | ★9.1单个实例中的性能授权 至少支持4个站点; 性能吞吐≥100Mbps; HTTP并发连接数≥10万 HTTP每秒新建连接数≥1万。 | | | |
9.2支持包括轮询、加权轮询、随机、最小连接、加权最小连接、带宽、最大带宽、源IP地址哈希、源IP地址和端口哈希、目的IP地址哈希、HTTP哈希、最快响应、本地优先级等服务器负载均衡算法。 支持CARP算法。 支持基于Node/Member的健康检查算法。 | | | | ||
| 10 | 虚拟主机安全 | ★10.1 单个实例支持50个以上授权,总数满足政务云分区≥1300个虚机授权、公有云分区≥1300个虚拟机授权,虚拟主机支持主流的Linux、Windows Server版本操作系统。 | | | |
10.2支持病毒查杀、漏洞管理、性能监控、主机防火墙、登录防护、防端口扫描等功能。 | | | | ||
10.3支持将服务器划分业务组,并且配置业务的应用角色。 | | | | ||
10.4支持虚拟机加固检测和加固策略实时下发。 | | | | ||
10.5支持与态势感知系统联动,上报日志等。 | | | | ||
| 11 | 产品资质 | ▲11.1 所投产品具备公安部颁发的《计算机信息系统安全专用产品销售许可证》。 | | | |
| 二 | 全网安全感知平台 | ||||
| 1 | 平台参数 | ▲1.1性能要求 (1)满足180天存储容量(包括日志和数据回溯) (2)提供大规模数据存储、高压缩比及快速检索能力(10亿数据关键字查询<2秒级里返回查询结果)、追溯取证能力以满足合规要求。 (3)能够实时处理分析≥8Gbps的网络流量吞吐量; (4)数据采集和处理性能≥10000EPS,每条数据大小>1KB; (5)硬件平台至少配备≥16核CPU,≥256G内存,48TB硬盘,支持横向平滑扩展能力。 | | | |
1.2综合态势 (1)支持全网安全风险监控展示,包括但不限于安全度打分,资产和用户安全状态分布统计,攻击阶段分布统计,安全事件统计,TOP5风险资产,TOP5风险用户,综合报表统计 (2)支持按天周月展示安全事件的攻击阶段分布、安全事件类型分布和周期性综合安全分析报告 (3)支持自定义展示图表设置,可选择展示的内容,包括可选资产安全信息、用户安全信息、安全事件信息、综合报告和安全度最低分设置 (4)支持根据不同区域进行呈现,事先根据网段或者部门区域定义,在首页可以直接选取不同区域进行相关安全状况展示 (5)支持在首页主动威胁探测查询,可使用IP/URL/资产名称/域名进行快速风险明细查询 | | | | ||
1.3外网攻击态势 支持实时监测外网对内部资产发起的攻击情况,包括总攻击数、总漏洞利用攻击数、总僵木蠕攻击数、未拦截攻击数、未拦截漏洞利用、未拦截僵木蠕、国内外攻击源IP排名、攻击目的资产排名、攻击目的端口与协议分布、漏洞利用攻击分布、攻击类型分布、僵木蠕攻击类型分布、实时对攻击事件进行滚动告警 | | | | ||
1.4整网威胁态势 支持实时监测整网遭受的威胁情况,包括展示当前存在的安全事件数、攻击源排名、实时威胁事件列表、事件攻击阶段分布、TOP5风险资产、威胁事件的排名 | | | | ||
1.5脆弱性态势 支持展示整网资产存在的脆弱性情况,包括总的漏洞数、存在的弱口令数、配置风险数、漏洞类型分布、漏洞严重级别分布、漏洞趋势、TOP漏洞列表 | | | | ||
1.6安全事件分析 (1)支持主机扫描、端口扫描、网络拓扑扫描、应用扫描、操作系统扫描、数据库扫描、其他扫描、、敏感信息泄露等安全事件分析 (2)支持溢出、内存破坏、代码执行、SQL注入、命令注入、文件包含、非信任路径搜索、文件上传、目录遍历、安全措施绕过、使用已知漏洞组件、CGI漏洞、不安全方法调用、跨站请求伪造、跨站脚本攻击、XPATH注入、LDAP注入、系统漏洞、应用漏洞、ICMP漏洞、SMTP漏洞、HTTP漏洞、SSL漏洞、TFTP漏洞、SMB漏洞、SSH漏洞、SNMP漏洞、DNS漏洞、POP漏洞、TELNET漏洞等安全事件分析 (3)支持感染型病毒、木马、蠕虫、僵尸网络、间谍软件、广告软件、勒索软件、后门、其他恶意软件、风险软件、垃圾文件、灰色软件、测试文件、黑客工具、钓鱼软件、Rootkit、恶意脚本文件、宏病毒、挖矿软件、Webshell、ShellCode等安全事件分析 (4)支持本地提权、未授权访问、暴力破解、远程提权、其他提权控制等安全事件分析 (5)支持恶意主机通信、恶意邮件通信、恶意域名请求、C&C主机通信、挖矿程序通信、木马程序通信、勒索程序通信、后门程序通信、病毒程序通信、僵尸网络通信、钓鱼程序通信、蠕虫传播、ShellCode通信、WebShell通信、隐蔽隧道、反弹Shell、其他恶意程序通信等安全事件分析 (6)支持文件传输、数据传输等安全事件分析 (7)支持网络层Flood攻击、应用层Flood攻击、畸形协议报文、特殊控制报文、畸形数据报文、慢速攻击等安全事件分析 (8)支持配置风险、弱口令、明文传输等安全事件分析 (9)支持恶意网站访问、盗链、暗链、网页篡改、敏感词、禁用词、HTTP方法限制、非合规协议、爬虫等安全事件分析 (10)支持风险访问、异常登录,包括恶意主机登录、不在常用IP段登录、不在常用区域登录、不在常用事件登录等安全事件分析 | | | | ||
1.7攻击还原和取证 (1)支持对风险资产和风险用户按照扫描侦察、入侵、命令控制、横向渗透、网络黑产、数据盗取、系统破坏攻击链,显示整网安全事件所处的攻击阶段 (2)支持显示每个阶段的安全事件数量,并且能够下钻显示安全事件明细 (3)支持对风险资产和风险用户遭受的安全事件进行溯源,以路径的形式展示威胁过程,支持对导致资产失陷的安全事件进行深度分析提取攻击载荷等信息,支持根据分析的安全事件结果手动联动本地流量探针或IPS设备抓包取证,支持识别网关设备的NAT日志,能够溯源原始攻击者和被感染安全事件的真实主机的IP地址 | | | | ||
★1.8安全设备响应联动 支持根据安全事件结果,自动联动现网安全设备,进行黑名单的下发和阻断策略的配置。 | | | | ||
1.9移动运维 支持IOS、Android系统的移动端APP运维管理,能够实现整网安全态势、系统运行状态、关键资产运行状态查看和管理 | | | | ||
1.10报表管理 支持报表任务的新增/删除/修改/启用/停用等管理 支持按照任务类型/任务状态/任务名称进行报表查询 支持基于区域、资源资产、资源事件类型、等级,自定义报告输出,报表格式为DOCX、XLSX等 支持通过邮件形式,按照天周月自动发送报表 | | | | ||
| 2 | 全流量分析探针 | ★2.1性能参数 配备至少2台探针设备。 每台至少4个万兆流量数据收集端口授权,实现网络关键节点的数据采集; 配置≥4个万兆光口;流量分析性能≥4Gbps。 | | | |
2.2协议审计 支持审计http、ftp、smtp、pop3、smb、imap等协议报文;支持Mysql/MSSQL/DB2/Oracle等协议报文; | | | | ||
2.3流量审计 支持设备流量上下行实时监控及曲线图展示; 支持设备流量任意自定义时段流速趋势图展示; 支持展示实时、历史某时间段内流量数据包个数、字节数量、数据包峰值个数、流量峰值等 支持展示实时、历史某时间段内基于物理地址展示数据流量中发送、接收总字节、每秒数据包数、广播/组播包数等信息 支持展示实时、历史某时间段内基于网络应用、IP地址、IP会话、端口等维度展示数据流量中发送、接收总字节、TCP同步包、TCP确认包、TCP重置包数等信息 支持展示实时、历史某时间段内基于端口展示数据流量中发送、接收总字节、总数据包、总负载、TCP同步包、TCP确认包、TCP重置包数等信息 支持展示实时、历史某时间段内基于服务端口展示总字节数、总数据包数、会话数等信息 | | | | ||
2.4事件审计 最少支持互联网应用以及内网应用两种应用模式,最少支持内置1500种以上预定义应用识别 支持可根据网络应用需求根据网络协议类型、源目的端口、源目的IP、域名等方式自定义网络协议。支持正则的方式自定义应用,支持自定义应用根据模板的导入、导出以及优先级调整等 支持VLAN、MPLS VPN等二层协议识别; 支持IPV4/6双栈网络 | | | | ||
2.5网络流量分析 (1)支持基于用户、用户组、终端平台、终端设备、物理地址、源目的地址、源目的端口、应用、应用分类、账号、行为、文件名的文件类日志、社区/论坛类日志、搜索引擎类日志 (2)支持基于用户、用户组、终端平台、终端设备、物理地址、源目的地址、源目的端口、域名、网站分类、连接、访问时间的网站搜索类日志 支持邮件行为分析审计,支持SMTP、POP3、IMAP协议的收件人、发件人、标题、正文、邮件附件类型等进行审计; (3)支持基于用户、用户组、源目的IP、源目的端口、账号、命令、文件名称时间的Telnet行为分析审计 (4)支持DNS行为分析审计,审计请求与返回的域名以及IP对应,记录异常的DNS报文; 行为分析审计, 指定URL或者所有URL,包含下载文件的路径以及名称; (5)行为分析审计,包括web BBS发帖内容、webmail的邮件内容、网页上传的附件、网页上传的文本、微博内容; (6)支持基于用户、用户组、源目的IP、源目的端口、账号、命令、行为、时间的数据库行为审计 支持基于用户、用户组、源目的IP、源目的端口、账号、命令、文件名称以及路径时间FTP行为分析审计 | | | | ||
| 3 | 产品资质 | ▲3获得国家公安部计算机信息系统安全专用产品销售许可证。 | | | |
| 三 | 堡垒机 | ||||
| 1 | 安全管理要求 | ▲1.1性能要求 (1)管理设备授权数量≥1000个;字符并发会话数≥2000个;图形并发会话数≥600个; (2)单台磁盘可用空间不少于8T,保障180天日志存储需求; (3)至少配备4个100/1000M自适应电口、4个1000M光口,冗余电源。 (4)允许由两台同等配置设备、双机部署达到上述要求。 | | | |
1.2 安装部署 物理旁路单臂部署,以逻辑网关方式工作;不改变现有网络结构,不改变运维人员的运维习惯。 支持在IPV4,IPV6,IPV4与IPV6网络环境下部署。 具有配置向导功能。 | | | | ||
| 1.3 账号管理 完整的用户帐号生命周期管理,实现帐号的创建、维护、修改、删除的集中管理;自定义用户类型,基于针对用户类型进行用户地址策略; 支持用户有效期定义,针对临时用户或者短期用户可以建立有效期,过期后自动注销; 主帐号支持从AD域内抽取,方便快速建立主账号。 | | | | ||
1.4 资源管理 支持柱形图方式查看系统中不同资源所占总数; 支持unix资源、网络资源、windows资源、数据库资源、C/S资源、B/S资源、中间件资源、大型机资源等; 支持对资源从账号的管理,系统能够将资源上的账号进行自动抽取、推送及属性变更等。 | | | | ||
1.5 密码管理 定期检查平台存储的设备账号密码与设备实际密码是否匹配,以便进校验密码一致性,提高设备的安全性避免密码混乱无法登陆现象发生。 | | | | ||
1.6 认证和授权 资源授权模式基于岗位授权,岗位上绑定资源账号;并可针对岗位设置相关安全策略。 支持证书、动态令牌、AD域控,生物识别、短信认证等方式进行结合。其中证书和动态令牌可以内置,也可以跟第三方结合。 | | | | ||
1.7 登录 内置VPN功能,无需专用VPN硬件支持,即可方便安全地通过远程接入堡垒机。 | | | | ||
1.8 审计 审计日志可以采用syslog形式分类外发,至少可以分为系统类日志,内部审计日志,行为审计日志,违规命令日志,违规登录日志等。 | | | | ||
1.9 高危命令管理 支持将高危命令设置为执行需审批策略,当指定资源执行高危命令时,需要审批通过后,命令才能执行生效。 | | | | ||
| 2 | 资质要求 | ▲2.1所投产品具备公安部颁发的《计算机信息系统安全专用产品销售许可证》 | | | |
| 四 | WEB应用扫描 | ||||
| 1 | 扫描功能 | ▲1.1支持同时接多个网络,扫描不同网络业务;配置主机漏洞扫描模块、基线配置核查模块、WEB应用扫描模块和数据库漏洞扫描模块,均为无限制授权。 | | | |
★1.2具备多任务并发80个扫描。 | | | | ||
1.3提供审计功能,能够对登录日志、操作日常进行记录和查询,并可以将日志导入导出操作。 | | | | ||
1.4支持Windows系列操作系统,支持Linux主流操作系统(Centos、Redhat、Debian、Fedora、Ubuntu、Suse等),支持Unix主流操作系统(AIX、HP-UX、Solaris等); | | | | ||
1.5支持对Web、FTP、电子邮件等应用系统、Apache等web中间件服务器以及Office等常用软件进行漏洞扫描; | | | | ||
1.6可以自定义扫描端口范围、端口扫描策略; | | | | ||
1.7提供采用SMB、SSH、Telnet、SNMP等协议对Windows、Linux系统进行登录授权扫描。 | | | | ||
★1.8具备弱口令扫描功能,提供多种弱口令扫描协议,包括SMB、RDP、SSH、TELNET、FTP、SMTP、IMAP、POP3、MySQL、MSSQL、REDIS、RTSP等协议进行弱口令扫描,允许用户自定义用户、密码字典 | | | | ||
1.9支持发现非默认端口启动的服务,支持服务的协议识别、版本。 | | | | ||
1.10同IP不同端口同漏洞的结果应明确给予端口标识。 | | | | ||
1.11支持对误报的漏洞进行修正,避免将误报结果导出。 | | | | ||
1.12支持7种以上端口探测方式,如: TCP ACK、TCP SYN、TCP Connect、TCP Null、TCP Xmas、TCP Window、TCP Fin等 | | | | ||
1.13支持对Discuz、大汉CMS、PHPCMS、DEDECMS、ECSHOP、WordPress、eWebEditor、FCKeditor、Struts2等国内外常见第三方组件扫描 | | | | ||
1.14能够检测GET、POST、User-Agent、Cookie等多种方式提交的HTTP请求参数,并进行相应检测。 | | | | ||
1.15能够通过Cookie的方式支持对带验证码的应用系统进行扫描; | | | | ||
1.16支持识别国内外主流Web应用防火墙品牌; 管理人员可根据系统给出的漏洞参数、HTTP请求/响应数据,快速验证,一键验证漏洞 | | | | ||
★1.17支持Oracle、Mysql、SQLServer、DB2、informix、达梦、人大金仓的授权数据库漏洞扫描 | | | | ||
1.18产品提供系统安全配置核查功能,能够对主流操作系统、中间件、无线设备、虚拟设备的安全配置项目进行检查。 | | | | ||
| 2 | 管理功能 | 2.1提供三权分立的账户体系,各系统管理用户管理自己的资产和扫描策略;支持配置定期自动扫描任务,扫描报告发送给不同业务系统管理员。 | | | |
| 3 | 报表功能 | 3.1支持HTML、WORD、PDF、XLS报告格式 | | | |
| 4 | 资质 | ▲4.1所投产品具备公安部颁发的《计算机信息系统安全专用产品销售许可证》。 | | | |
商务规格偏离表
| 序号 | 目录 | 招标商务条款 | 投标商务条款 | 偏离情况 | 说明 |
| (一)免费保修期内售后服务条款偏离表 | |||||
| 1 | 免费保修期 | 免费保修期5年,从签署《试运行验收报告》起算。 | | | |
| 2 | 维修响应及故障解决时间 | 2.1在保修期内,投标人将向采购方提供优质的售后技术支持服务,提供7×24小时的故障服务受理和现场支援服务。 | | | |
2.2故障服务的响应时间小于2小时,即2小时内有能够处理故障的技术人员到达现场。 | | | | ||
2.3在遇到重大故障,4小时内不能排除故障的需更换备件。 | | | | ||
| 3 | 售后保障 | 3.1为确保系统技术支持能力有保障,投标人和厂家在深圳设有售后服务机构,需提供相关证明材料。 | | | |
| 4 | 售后服务范围与内容 | 4.1包含本项目提供给采购方的所有硬件和软件。 | | | |
4.2提供所供系统中软件产品免费保修期5年软件升级与支持服务。 | | | | ||
4.3在硬件返修期间提供类似性能硬件的备件服务。 | | | | ||
| 5 | 系统维护 | 5.1投标人在投标时须提出系统的定期维护计划。提供每月至少1次巡视服务,检测设备运行情况、清洁设备并做好设备运行记录。 | | | |
5.2对采购方要求的不定期维护提出响应措施。 | | | | ||
5.3对于采购方或维护人员提出的修改设计的响应措施。 | | | | ||
5.4文档更新:实施系统维护或修改设计后,应在一周内更新有关技术文档并提交采购人。 | | | | ||
| 6 | 厂商售后服务技术支持 | 6.1为所投产品提供完善的产品服务,包括维护、维修、调试和安装。 | | | |
6.2保修期期间,为采购方和采购方的用户提供7×24小时的技术咨询服务。 | | | | ||
6.3提供每季度对系统运行状况进行1次评估服务。 | | | | ||
6.4态势感知系统提供至少1名安服人员负责本系统不少于1年的驻场运维工作。 | | | | ||
6.5安全资源池、安全态势感知系统在厂商在重要敏感时期、重大节假日提供技术人员专门值守服务。 | | | | ||
| 7 | 培训要求 | 投标人应负责对采购单位人员进行全面技术培训。培训内容包括以系统(含软硬件)技术性能、使用、测试、维护及故障排除。投标方须提出详细的用户培训计划,至少包括: A)系统维护管理、故障的诊断与处理、系统设备技术等方面的培训。 B)每年提供1-2次新技术、新产品等方面的培训。 | | | |
| 8 | 其他 | 投标人应按其投标文件中的承诺,进行其他售后服务工作。 | | | |
| (一)免费保修期外售后服务条款偏离表 | |||||
| 1 | 技术支持服务 | 厂商免费向采购方提供技术咨询服务。重大故障给予现场技术支持服务。 | | | |
| (三)其他商务条款偏离表 | |||||
| 1 | 交货时间要求 | 合同签署后20个日历日 | | | |
| 2 | 付款方式 | 1.按照工程量进度分四步付款: 到货阶段:合同签订后设备到达甲方指定地点、并通过甲方开箱验收,设备上架安装合格,乙方向甲方提供发票后1个月内,甲方向乙方支付合同总金额的30% ; 试运行阶段:设备安装调试,并通过测试初验,双方签署《试运行验收报告》后,甲方向乙方支付合同总金额的30%,; 终验阶段:《试运行验收报告》签订起满半年后,设备正常运行,并通过甲方组织的验收,双方签署《项目终验报告》,甲方向乙方支付合同总金额的35%; 质保金:自项目终验合格之日起设备正常运行满2年后,甲方支付给乙方5%的合同尾款。 | | | |
| 2.本项目中所需的设备、材料必须提供增值税专用发票。 | | | | ||
| | 验收标准 | 1.投标人货物到货后,经过双方检验认可后,签署开箱验收报告。 | | | |
| 2.当完成以下工作时,采购人才向中标人签发《试运行验收报告》: a、中标人已按照合同规定提供了全部产品及完整的技术资料。 b、经测试设备和软件符合招标文件技术规格书的要求。 c、设备已经完成安装调试,各项功能正常。 e、已经为采购方提供设备和软件的安装、配置、维护等培训。 | | | | ||
| 3.当完成以下工作时,采购人才向中标人签发《项目终验报告》: a、试运行验收报告签署后满半年,且设备运行正常。 b、按要求完成保修期内售后服务。 | | | | ||
| 4.合同签署包含维保期内服务质量考核条款 | | | | ||
评标信息
| 序号 | 评分项 | 权重 | |||
| 1 | 价格 | 30 | |||
| 2 | 技术部分 | 53 | |||
| | 序号 | 评分因素 | 权重 | 评分方式 | 评分准则 |
| 1 | 技术保障措施 | 3 | 专家打分 | 1.投标人具有中国信息安全测评中心颁发的信息安全服务资质证书(安全工程类三级或云计算安全类)得30分; 2.投标人或厂商具有CNCERT网络安全应急服务支撑单位证书(国家级)得20分; 3.实施项目经理具有高级项目经理证书,得15分。 4.实施项目经理具有CISP、CISSP、CISA三种认证中的一种,得15分。 5.实施工程师中至少具备CISP、HCNP华为认证网络资深工程师或同等证书以上,得20分。施工人员需提供项目组成员2019年任意三个月的深圳本地社保证明。 投标人须提供计分人员的认证证书扫描件,原件备查。评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况,一律作不得分处理。 | |
| 2 | 技术规格偏离情况 | 50 | 专家打分 | 投标人应如实填写《技术规格偏离表》,评审委员会根据技术需求参数响应情况进行打分,各项技术参数指标及要求全部满足的得100分,带“★”每负偏离一项扣4分,其余每负偏离一项扣2分。 | |
| 3 | 商务需求 | 8 | |||
| | 序号 | 评分因素 | 权重 | 评分方式 | 评分准则 |
| 1 | 免费保修期内售后服务条款偏离情况 | 4 | 专家评分 | 投标人应如实填写《免费保修期内售后服务条款偏离表》,评审委员会根据响应情况进行打分,全部满足要求的得100分,每负偏离一项扣20分。 | |
| 2 | 免费保修期外售后服务条款偏离情况 | 1 | 专家评分 | 投标人应如实填写《免费保修期外售后服务条款偏离表》,评审委员会根据响应情况进行打分,全部满足要求的得100分,每负偏离一项扣100分。 | |
| 3 | 其他商务条款偏离情况 | 3 | 专家评分 | 投标人应如实填写《其他商务条款偏离表》,评审委员会根据响应情况进行打分,全部满足要求的得100分,每负偏离一项扣20分。 | |
| 4 | 综合实力部分 | 9 | |||
| | 序号 | 评分因素 | 权重 | 评分方式 | 评分准则 |
| 1 | 投标人近三年同类业绩(截止日为本项目公告发布之日) | 2 | 专家评分 | 提供3个同类业绩(项目产品至少包含安全资源池或全网安全态势感知)即得满分,提供2个得70分,提供1个得30分,未提供的不得分。投标人必须在投标文件中提供每一个项目的合同,否则不得分。 | |
| 2 | 履约评价 | 2 | 专家评分 | 近三年(以投标截止日期为准)在市政府采购中心有履约评价为差的记录,本项不得分,否则得满分。投标人无需提供任何证明材料,由采购中心工作人员向评委会提供相关信息。 | |
| | 3 | 诚信 | 5 | 专家评分 | 根据《深圳市财政委员会关于印发〈深圳市政府采购供应商诚信管理暂行办法操作细则〉的通知》(深财购[2017]42号)的要求,投标人在参与政府采购活动中存在诚信相关问题且在主管部门相关处理措施实施期限内的,本项不得分,否则得满分。投标人无需提供任何证明材料,由工作人员向评审委员会提供相关信息。 |
其它
附件
解决方案
联系我们
返回顶部