1. 项目概况与采购范围
北京城市排水集团有限责任公司拟采购两套堡垒机系统（项目编号： 2020-ZC-03-0029-1560 ）。现邀请符合要求的供应商进行在线竞价。
2.  采购内容
本项目采购两套堡垒机系统，主要用于对服务器、数据库、网络设备、安全设备等设备的安全登录、授权管理及运维事件事后审计，从而达到满足信息安全等级保护细则中关于这方面的要求。
每套支持至少管理500个设备。具体的采购需求详见附1。
 
3.  供应商资格要求
竞价供应商须具备以下资质，并在设备、人员、资金等方面具有相应的供应能力。
（1） 在中华人民共和国境内注册，能够独立承担民事责任的公司法人；
（2） 遵守国家有关法律、法规、规章和与招标采购有关的规章制度；
（3） 具有良好的商业信誉、雄厚的实力且有足够的流动资金来承担本项目、优良的管理体系、健全的财务制度；
（4） 没有处于被责令停业或破产状态，且资产未被重组、接管、冻结，财务状况良好；
（5） 在经营活动中没有重大违法记录；
（6） 一般纳税人，能提供增值税专用发票；
（7） 具有履行该项目所必需的专业技术能力；
（8） 注册资本金100万（含）以上；
（9） 要求参与竞价投标商出具相关厂商针对此项目投标授权书与售后服务承诺函；
（10）要求参与竞价投标商具有合格代理商资质提供代理证书；
（11）法律、行政法规规定的其他条件。
4.  交付方式与交货期/工期
交付方式：一次性交付。
工期：30天
5.  付款方式
一次性支付
6.  竞价截止时间
 竞价公告期7个日历日。竞价截止时间为2020年12月4日。
7.   联系方式
采购人：  北京城市排水集团有限责任公司   
地址：  北京市西城区车公庄大街北里乙37号 
邮编：          100044                    
竞价部门：   北京排水集团运营管理部       
地址：  北京市西城区车公庄大街北里乙37号 
联系人：          郑小姐                  
电话：       010-88386666-6205                 
电子邮件：     zhengyan@bdc.cn             
竞价监督：        王先生                  
电话：       88386666-6201                
传真：       88389526                     
电子邮件：   wanghuanhuan@bdc.cn          
 
 北京城市排水集团有限责任公司   
2020年11月27日
 
 
 
 
 
附件：
北京排水集团网络安全产品（堡垒机）采购项目需求书
 
一、项目需求
根据信息安全等级保护细则的要求：“主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别。”现有的网络设备和操作系统自身的登陆方式无法满足信息系统等级保护要求，通过本项目采购两台堡垒机，主要用于对内网服务器区和DMZ区服务器、数据库、网络设备、安全设备等设备的安全登录、授权管理及运维事件事后审计，从而达到满足信息安全等级保护细则中关于这方面的要求。
二、采购设备清单
本次项目具体清单如下：

需求项	数量	管理的服务器数量
堡垒机（内网）	1套	一套系统服务器管理数量不小于500台（含window、linux操作系统）； 支持管理不小于300台套的交换机、防火墙等网络设备和安全设备。
堡垒机（dmz）	1套	一套系统服务器管理数量不小于200台（含window、linux操作系统）；

三、设备参数指标要求

指标名称	指标项	指标描述
资质要求	产品资质	国家版权局计算机软件著作权登记证书
		公安部：计算机信息系统安全专用产品销售许可证
		国家保密局涉密信息系统安全保密测评中心：涉密信息系统产品检测证书
		中国信息安全认证中心：中国国家信息安全产品认证证书
系统架构	堡垒主机产品架构	专用安全操作系统，系统与存储分离式稳定设计
	虚拟平台支持	虚拟技术：VMWare、Virtual BOX、Xen（HVM全虚拟化） 、KVM
		平台支持：腾讯云、Vetrix、天翼云、华为云
	部署方式	物理旁路，不影响现有网络结构
管理功能	管理分权	系统级账号三权分立，系统级账号包括：系统账号管理员，系统审计员，系统管理员
		业务管理组：分属不同业务管理组的业务管理员只能管理所在业务管理组内的用户、资源、策略和审计管理，适用于不同的管理部门有独立的管理员，运维人员，资源和审计管理要求的场景
		用户和资源管理范围：可设置业务管理员可管理的用户组和资源组的范围，适用于部门内管理员管理用户和资源权限的进一步划分
	用户管理	用户账号命名字母区分大小写、账号支持中文，账号长度最大支持256位字节
		支持用户和用户组的管理，包括添加、修改、删除、启用、停用、移动和移除组成员功能
		支持用户组无限级分级管理
		支持用户账号的批量导入导出功能
		支持设置用户属性为：不能修改密码、密码永不过期、下次登录必须更改密码
		用户密码策略包括：最小密码长度、密码复杂度、密码周期、历史比对和登录锁定
		支持用户账号有效期配置
		支持用户客户端IP和MAC限制，非法地址无法登录
	资源管理	支持不同的资源使用相同的IP或域名，便于同一资源按照不同的服务类型进行分类管理
		支持资源和资源组管理功能，包括添加、修改、删除、启用、停用、移动和移除组成功功能
		支持资源（包括服务和资源账号）批量导入导出功能
		支持资源分类和资源系统类型管理：内置常见资源分类和资源系统类型，可自定义添加资源分类、资源系统类型和资源服务类型
	资源密码管理	支持设定周期性改密计划，批量修改资源密码
		支持手动改密，修改指定资源的账号密码
		支持改密的资源包括：Linux、Unix、Windows（采用RPC方式）、AIX以及数据库Oracle、SqlServer、PostgreSQL、MySql、DB2、Informix 、SYBASE
		支持改密结果自动发送到制定改密计划的管理员邮箱；密码文件加密保存，需要专用查看工具查看，以保证安全性
	系统管理	支持通过WEB升级系统版本、重启系统、关机
		支持NTP时间同步功能
		支持自定义系统logo图片，无需定制开发
审计功能	数据库审计	实现数据库命令级审计，支持的数据库类型包括：Oracle（支持ORACLE RAC）、SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL、teradata，不需采用数据镜像方式实现，以免增加部署的复杂性和网络负担
		支持Oracle、Postgresql、Sybase、MySQL、SQL server数据库下行返回行数记录
		支持Oracle数据库变量绑定解析，便于审计员深度分析用户的操作行为
		支持通过应用发布实现数据库操作的命令级审计和图形审计的双重审计效果，命令级审计便于重现真实的完整操作命令，图形审计便于直观的查看到真实的操作行为，并支持通过搜索操作语句关键字定位审计回放
	字符文件传输协议审计	支持SSH协议服务端启用强加密算法hmac-sha2-256,hmac-sha2-512，提升SSH协议安全性
		支持字符协议SSHv1、SSHv2、TELNET、RLOGIN和文件传输协议FTP、SFTP的协议审计，审计详细的操作语句和操作语句的执行结果
		支持通过应用发布实现字符协议和文件传输协议的命令级审计和图形审计的双重审计效果，命令级审计便于重现真实的完整操作命令，图形审计便于直观的查看到真实的操作行为，并支持通过搜索操作语句或执行结果中关键字定位审计回放
	图形协议审计	支持RDP、VNC图形操作行为的审计，图形回放形式还原真实操作过程
		支持RDP、VNC图形操作过程中键盘输入操作记录和鼠标点击行为记录，并支持开启或关闭键盘输入审计功能
		支持RDP窗口标题审计，并支持通过窗口标题内容检索定位回放
		支持对剪贴板拷贝文件行为和文本信息内容的记录，并支持通过搜索文本内容关键字定位审计回放
		RDP协议支持windows服务端开启安全层SSL加密，加密级别符合FIPS标准，允许运行使用网络级别身份验证的远程桌面的计算机连接，以满足运维过程安全性的更高要求
	协议扩展	支持通过应用发布进行协议扩展，支持http/https协议、X11协议、VMware vSphere Client、Radmin等第三方客户端工具，并支持账号密码代填登录；应用发布调用只能推送应用工具窗口，不得推送windows桌面，以提升用户体验
		应用发布防跳转：通过应用发布只能访问已授权资源，无法通过应用工具新建未授权资源进行跳转连接
		支持web页面防跳转功能，进行http/https访问过程中，运维人员仅允许访问授权地址
	实时监控	实时监控当前连接发生的所有会话信息，发现高危操作可实时切断会话
	会话回放	WEB在线视频回放方式重现维护人员对服务器的所有操作过程
		离线回放重现维护人员对服务器的所有操作过程（回放文件下载到本地播放）
		倍速/低速播放、拖动、暂停、停止、重新播放等播放控制操作
		支持通过搜索操作关键字定位回放
		会话协议回放空闲时间过滤，应用发布图像操作回放支持操作空闲过滤（可设置无操作多长时间开始过滤）
	审计查询和报表	自定义审计查询条件，包括：时间范围、用户、资源、资源账号、IP、关键字等条件
		审计查询关键字和结果显示支持多种编码(UTF-8,Big5,EUC-JP,EUC-KR,GB2312,GB18030,ISO-8859-2,KOI8-R,KS_C_5601_1987,Shift_JIS,Window-874)，由用户自主选择
		系统内置多种报表模板，支持管理员自定义报表类型
		支持按日、周、月为周期自动生成周期性报表
		报表格式支持CSV和HTML
权限控制	身份认证	基本认证：本地账号+密码认证
		支持USB-KEY认证
		支持内置动态口令认证，无须额外增加认证服务器
		短信认证（支持短信中间表和短信网关标准：中国移动CMPP2.0、中国联通SGIP1.2标准和中国电信SMGP3.0）
		数字证书认证：北京数字证书认证
		其它外部认证：支持Windows AD、RADIUS、LDAP及第三方认证平台；
		双因素认证：支持对不同用户设置不同认证方式组合的双因素认证
		运维用户多次登录失败自动锁定登录账号或登录IP，到期自动解锁
		限制用户同一时间只能从一个IP登录
		密码找回：支持用户忘记登录密码时，可通过邮件或短信方式获取验证码，验证通过后重置登录密码
	访问控制	从账号密码代填自动登录，使用人员不必知道服务器帐号及密码
		从账号密码半自动、手动登录，使用人员也可以选择自行输入服务器账号密码登录，也可选择保存账号密码，下次不再输入账号密码
		支持TELNET、SSH协议资源使用普通用户登录自动切换到root账号
		访问策略基于用户、用户组、资源、资源组、系统帐号、协议类型、生效时间范围、IP地址限制等进行设置
		支持基于用户组、资源组的授权模式下，此用户组和资源组内新增成员自动继承授权关系
		命令策略对TELNET、SSH、FTP、SFTP和数据库的违规或高危操作的指令（黑白名单）进行日志提醒、忽略命令、阻断会话或二次审批
		命令策略中对违规或高危指令支持正则表达式设置匹配规则
		支持基于时间集合、IP集合、命令集合设置访问策略或命令策略
	资源访问	支持IE（8-11版本）、谷歌浏览器、Firefox浏览器
		支持运维客户端功能，运维操作过程不需要安装JAVA或其它任何控件
		支持通过堡垒机web页面内嵌SSH、FTP、TELNET运维工具访问目标资源
		支持通过堡垒机web页面调用本地工具访问目标资源
		支持客户端菜单模式访问：用户直接使用客户端工具访问堡垒机通过菜单方式选择目标服务器并进行访问，支持的协议包括字符协议（TELNET,SSH）或图形协议（RDP,VNC）
		SSH协议支持私钥代填登录，最大程度保障运维安全
		RDP支持剪切板和磁盘映射功能，可选择分辨率或自适应分辨率
		支持TELNET、SSH协议使用SecureCRT工具批量登录目标资源，并支持对多台主机批量执行操作指令
		系统工具支持：SecureCRT、WinSCP、FFFTP、FileZilla、SQLPlus、PLSQLDev、Toad for Oracle、Db2cmd（DB2）、Teradata SQL Assistant、SqlDbx Personal、SqlDbx Professjonal、TightVNC、pgAdmin3、SqlAdvantage、Sqleditor、mysql、QuestCentral、SSMS、Xshell、dbvis、Navicat、SSH Secure Shell Client等
	工单管理	支持管理员下发工单，授权运维人员有权限在指定时间内访问指定的资源
安全性	通讯安全性	管理模式 B/S，采用HTTPS方式远程安全管理
		系统自身HTTPS 证书签名支持高强度SHA256算法
		支持修改系统自身对外提供服务的默认端口，以满足不同环境的部署要求
	数据管理	实时监控审计系统CPU、内存、磁盘的使用情况
		支持磁盘健康状况诊断
		空间自管理功能，存储空间不足时能够自动清理历史数据，并支持设置触发清理的存储空间阀值
		支持配置和数据自动备份到外边FTP服务器存储
		支持定时自动备份配置和数据，保证数据安全性
		支持配置信息导入和导出功能