招标
全省终端安全防护建设项目
金额
-
项目地址
福建省
发布时间
2023/11/23
公告摘要
公告正文
中国烟草总公司福建省公司全省终端安全防护建设项目询价通知
福建优胜招标项目管理集团有限公司受中国烟草总公司福建省公司的委托,对中国烟草总公司福建省公司全省终端安全防护建设项目进行前期询价。欢迎有供货能力的供应商踊跃报价。
一、采购项目 1.1.采购内容一览表
| 合同包 | 产品名称 | 主要技术(服务)要求 | 数量 | 交货地点 |
| 1 | 防病毒系统 | 含15000个终端授权,5年升级维保 | 13套 | 中国烟草总公司福建省公司以及13家直属单位 |
| 2 | 终端桌面管理系统 | 含15000个终端授权,5年升级维保 | 13套 | 中国烟草总公司福建省公司以及13家直属单位 |
| 3 | 准入控制系统 | 整机吞吐量 ≥2Gbps,配置≥4个千兆以太网电口,硬盘空间≥2TB SATA,冗余电源,支持管理终端数量≥5000(含哑终端),硬件性能要能支撑并发的授权数量。 5年升级维保 | 14套 | 中国烟草总公司福建省公司以及13家直属单位 |
(1)本次招标的内容为防病毒系统 13套;终端桌面管理系统 13套;准入控制系统 14套。
二、技术和服务要求(以“★”标示的内容为不允许负偏离的实质性要求)
合同包一:
防病毒系统技术指标
| 序号 | 指标项 | 指标要求 |
| 1 | 产品资质 | ★所投产品必须为国产化品牌,且须与终端桌面管理软件、准入控制系统为不同品牌。 |
| 2 | ★所投产品具有公安部颁发的《计算机信息系统安全专用产品销售许可证》。 | |
| 3 | ★所投产品具有《计算机软件著作权登记证书》。 | |
| 4 | ★投标产品要求具有《国家计算机病毒应急处理中心检测报告》(须提供复印件证明)。 | |
| 6 | 控制中心 | ★控制中心应支持在x86与信创环境下的openeluer、Anolis OS、银河麒麟、统信等系统环境下部署。并可在有相关安全要求时,协助迁移到信创环境的操作系统。 |
| 7 | ★支持两级部署。在省一级部署全省行业防病毒系统一级控管平台,全面管理全省终端防病毒情况;通过在各直属单位部署二级控管平台,管理区县等单位桌面终端安全,支持windows、统信、银河麒麟等不同系统终端,可在同一管控平台统一管理。 | |
| 8 | 控制中心具备展示全网终端安全事件可视化数据。 | |
| 9 | 具备可监控中心服务器性能:CPU使用率、内存使用率、磁盘占用率、网络流量使用状况。 | |
| 10 | ★控制中心支持容灾备份功能,当主中心计算机遭受如宕机、断电、硬件/软件故障等意外情况或人为操作错误导致主中心计算机无法正常使用时,备用中心将自动顶替宕机的主中心且同步数据。 | |
| 11 | 具备中心支持对终端下发任务,可推送任务。支持将终端隔离区内文件恢复。支持将终端拉黑,避免占用授权点数。具备定制策略以及策略细粒度配置:包括病毒防御、系统防御、网络防御、访问控制、以及安全工具可根据不同分组需求定制不同的策略。 | |
| 12 | 功能要求 | ★客户端支持操作系统:x86终端需支持windowsxp、windows7、windows10,以及后续发布的新微软操作系统、银河麒麟、统信操作系统。信创终端需支持包括但不限于银河麒麟、统信UOS操作系统。 |
| 13 | 要求管理员可设置高危操作动态认证,下发远程桌面任务、添加信任文件或进行文件分发时需要管理员进行二次动态认证后才可执行高危操作。 | |
| 14 | 支持按全网终端迁移或部分终端迁移,当网络环境发生变化或物理设备出现故障时可转移终端。 | |
| 15 | 终端具有弹窗拦截工具,具备自动拦截方式,手动截图拦截方式,可拦截流氓、广告、以及恶意弹窗等。 | |
| 16 | 具备文件实时监控,具备邮件监控,具备下载保护,具备Web扫描,具备恶意行为监控,具备U盘保护。 | |
| 17 | 具有反病毒底层技术,反病毒引擎为本地反病毒引擎,不依赖云(联网时的病毒查杀能力与断网时的病毒查杀能力一致)具有轻量级的病毒库,却有较强的病毒查杀能力。 | |
| 18 | 支持网络入侵拦截,拦截高危远程漏洞攻击,从而阻止勒索病毒、黑客攻击等通过响应漏洞入侵,可溯源到攻击源的地址,做出有效的动作,阻止病毒爆发。 | |
| 19 | 支持横向渗透防护,防护内网中已中毒机器感染其他主机,阻止横向传播、病毒以及木马的扩散,防护项包括默认共享访问、远程服务创建、远程计划任务创建、远程注册表篡改、远程MMC调用、远程DCOM调用、远程WMI调用有效阻止病毒横向渗透。 | |
| 20 | 具备终端EDR能力,针对病毒会利用或修改的系统脆弱点,设置相应的防护规则;通过对容易被恶意代码攻击的软件进行行为限制,防止这些软件被恶意代码利用;支持保护浏览器的主页不被病毒锁定,也可自行设置主页地址;支持进程保护,支持危险动作拦截。 | |
| 21 | 要求根据设置的外联探测方式探测终端用户是否有违规连接外部网络的行为,再根据处理违规外联的措施,处理终端用户的违规外联行为。 | |
| 22 | 具备终端EDR能力,支持注册表防护:防止指定的注册表项目被恶意篡改。 | |
| 23 | 具备安全事件日志支持导出安全分析报告能力:对当前中心进行安全状况分析并生成分析报告,可按照最近7天、最近30天、最近一年等时间范围生成报告,也可自定义时间范围生成报告;安全报告支持邮件订阅功能,可给管理员配置订阅功能。 | |
| 24 | 具备按单位或者分组统计并排序防病毒部署率(已安装终端数/全部可安装终端数),病毒库升级率(正常升级终端数/已安装终端数);具备按月/季度/年度对单位或者分组的病毒发现数排名。 | |
| 25 | 支持备份终端信息,分组及规则,防护策略,事件日志,管理员信息,系统设置。 | |
| 26 | 支持内网环境中心使用离线增量包更新病毒库与组件版本。 | |
| 27 | 支持热补丁机制,利用产品自身防御功能,防护其他软件以及系统出现的漏洞,阻止对计算机造成损害与入侵。 |
合同包二:
终端桌面管理系统技术指标
| 序号 | 指标项 | 指标要求 |
| 1 | 产品资质 | ★所投产品必须为国产化品牌,且须与防病毒系统、准入控制系统为不同品牌。 |
| 2 | ★所投产品具有公安部颁发的《计算机信息系统安全专用产品销售许可证》。 | |
| 3 | ★所投产品具有《计算机软件著作权登记证书》。 | |
| 4 | 控制中心安装环境 | 控制中心应支持在x86与信创环境下的openeluer、银河麒麟、统信等系统环境下部署。并可在有相关安全要求时,协助迁移到信创环境的操作系统。 |
| 5 | ★实现省、市二级级联部署。客户端部署支持多种部署模式如网页访问部署、离线安装包一键部署等部署方式,客户端按照组织架构关系归属于各级控制中心,控制中心能够控制辖区内客户端版本升级。 | |
| 6 | 可实现全省或者各系统中心统一策略、统一权限管理、统一审计管理,能够实现一个界面统一管理,实现终端安全状态可视化。 | |
| 7 | 客户端安装和管理 | ★客户端支持操作系统:x86终端需支持windowsxp 、windows7、windows10,以及后续发布的新微软操作系统、银河麒麟、统信操作系统。信创终端需支持包括但不限于银河麒麟、统信UOS操作系统。 |
| 8 | 客户端性能最低满足CPU单核3.0G,内存2G,硬盘200G。 | |
| 9 | 具备终端保护密码功能。设置密码后,终端退出或卸载桌管程序都需要输入正确的密码方可执行;客户端不能被用户非法,且能够有效防范通过安全模式绕过终端安全管控。 | |
| 10 | 支持根据分组、计算机名称、IP地址、操作系统、在线状态等条件的组合筛选出符合条件的终端进行管理,支持客户端自动和按策略分组;支持被管理客户端白名单设置,排除一些不需要管理的终端,避免此类型终端受全局策略影响。 | |
| 11 | 终端支持在线、离线策略分发,可同时使用在线或离线两种状态,保证终端安全运行。可通过对单终端或分组分发策略。支持按照操作系统等条件匹配预设场景分发策略。 | |
| 12 | 资产管理 | 能自动自动收集终端的硬件(如CPU、内存、硬盘等)、软件(如操作系统、杀毒软件、补丁等),支持人工维护部门、人员、资产编号等管理信息;支持按终端或指定分组展示终端的软件信息,可读取软件名称及版本号,支持远程软件卸载。 |
| 13 | 支持终端资产信息的检索统计功能;支持网段、用户组、终端状态等检索统计方式;支持文字和图表两种显示方式。 | |
| 14 | 产品能够准确采集终端硬件信息;产品采集的硬件信息包含硬件型号、厂商等信息;产品能够实时显示插入、拔出硬件后的硬件资产信息。 | |
| 15 | 合规性检测 | 支持对终端访问互联网的出口进行探测,对使用不合规出口的终端进行网络隔离;违规客户端,桌面管理系统设置客户端告警预案和事件处理预案中设置访问控制动作。包括:桌面管理系统代理阻止终端访问网络。 |
| 16 | 支持管理员预先设置好灰度发布批次和漏洞修复策略(分时间段、按级别、排除有兼容性问题的补丁等),每当控制台更新补丁库,自动化编排完成漏洞修复——将全网终端划分为由小到大的多个批次,根据企业环境,自动先推送给第一个小批次分组,如无问题自动推送给下一个批次,直到推送给全网。如有问题,只需将有问题的补丁添加到排除列表和卸载已安装的终端即可。整个推送安装过程自动化编排,无需管理员过多参与,只需在有问题时添加排除列表和下发卸载补丁任务。 | |
| 17 | 产品能够根据用户需求制定进程黑白名单;产品能够根据黑白名单对软件安装和进程运行进行有效响应。 | |
| 18 | 支持管理终端的屏幕保护程序、退出密码设置、密码强度等。提供密码强度检测与强制改密功能。 | |
| 20 | 支持对网卡进行防护,支持阻止终端修改IP地址、使用动态IP地址、热点创建和IPV6地址使用等,可自定义提示内容和生效时间。 | |
| 22 | 通过VID、PID、设备硬件编号/设备UID或产品型号允许U盘例外使用,支持对例外U盘设置只读权限;对终端的U盘申请(注册、重置密码、外出、取消注册)设置自动审核规则;配置审批通过的终端提示信息。 | |
| 22 | 能够禁止随意接入的未注册USB移动存储设备的读写;USB移动存储设备进行加密注册与接入审计管理。支持指定终端访问。 | |
| 23 | 运维管理 | 允许管理员通过桌管的远程管控功能远程连接终端进行操作与检查;具备终端垃圾清理功能,能定时清理终端垃圾文件;支持对终端进程和服务管理可设置红名单、黑名单、白名单功能;可定义进程保护策略。 |
| 24 | 管理控制中心支持上传本地软件,支持本地软件应用平台,为终端用户提供本地软件下载。支持软件的上传、更新、上架、下架、回退、删除管理精细操作,包含软件名称、软件描述、软件状态、软件版本、软件大小、上传日期、更新时间、上架状态、分类等信息。 | |
| 25 | 支持对外设设备进行管理和控制,如USB存储、硬盘、存储卡、光驱、打印机、扫描仪、摄像头、手机、平板等;支持对外设接口如USB口、串口、并口、1394、PCMIA等使用权限的管理设置;支持光驱的读盘、刻盘权限控制;终端自检:提供终端电脑配置检查,终端安全检查、终端性能检查,对终端安全状况进行评分,输出自检报告并上报。 | |
| 26 | 支持对终端节能管理,支持对长时间运行、定时关机、空闲节能、工作时间外开机等节能类型设定策略,支持仅提示、关机、注销、锁定、显示器、锁定+显示器、休眠和睡眠处理。并支持提示倒计时弹窗,可设置在终端取消后下一次提醒时间。 | |
| 27 | 报表管理 | 提供全省视图管理各单位终端安全管理软件安装率、补丁安装率、非法外联、移动介质使用、杀毒软件安装率等信息。 |
| 28 | 具备按硬件(CPU、内存、品牌)、操作系统等维度统计资产情况,并能导出通用表格文件。 | |
| 29 | 具备按月统计违规终端情况(例如违规连接互联网、违规使用移动介质、高危漏洞等),并能导出通用表格文件。 | |
| 30 | 具备移动介质统计功能。能统计登记或者注册的移动介质数量、使用人员、使用时间等数据,并能导出通用表格文件。 | |
| 31 | 日志要求能保留180天以上,并支持通过标准协议如 Syslog、KAFKA 等方式,实时输出各类安全日志信息。具备输出到第三方的安管平台功能,实现对日志的统一汇总、分析和审计。 |
合同包三:
准入控制系统技术指标
| 序号 | 指标项 | 指标要求 |
| 1 | 产品资质 | ★所投产品必须为国产化品牌,且须与终端桌面管理系统、防病毒系统为不同品牌。产品为机架式设备。 |
| 2 | ★所投产品需提供公安部颁发的《计算机信息系统安全专用产品销售许可证》终端接入控制(一级)资质证书。 | |
| 3 | ★具备《计算机软件著作权登记证书》资质证书。 | |
| 5 | 硬件性能要求(14套) | ★整机吞吐量≥2Gbps,配置≥4个千兆以太网电口,硬盘空间≥2TB SATA,冗余电源,支持管理终端数量≥5000(含哑终端),硬件性能要能支撑并发的授权数量。 |
| 6 | 管理要求 | 准入控制系统支持单机部署、双机热备部署、负载模式部署、集群化部署、分布式部署等,能够实时监控单位准入控制系统的基本信息、CPU使用率、内存使用率等状态信息。 |
| 7 | 支持省级控制中心查看指定市及区县级控制中心下属终端入网事件日志,对非法接入告警阻断事件进行统一管理,支持省级控制中心能够查看和管理地市级设备系统运行状态。 | |
| 8 | 设备支持旁路部署方式,控制中心采用B/S架构管理,具备分组管理、策略制定下发,系统配置等功能,并可根据管理要求对下级单位下发强制(不可删、不可改)、必须(不可删、可改)、建议(可删、可改)等安全策略。 | |
| 9 | ★具备异常情况下逃生机制(例如设备故障),能够全网放行,不影响业务工作正常开展。 | |
| 10 | 支持设置控制中心管理主机,仅允许指定IP访问控制中心。支持以加密方式对控制中心进行访问,并能管理账户并发、密码有效期、鉴别失败锁定等设置,确保控制中心访问安全。 | |
| 11 | 客户端版本在准入服务器上升级后,管理员制定灰度发布任务,分批推送客户端更新升级;支持按照IP地址,终端所属部门定义灰度发布对象,支持选择需要发布的版本,支持选择升级时间窗口;创建任务后,可以启动任务,撤销任务,暂停任务,删除任务。 | |
| 12 | 识别认证 | 支持实时监测并发现接入到省、市、县、场站所各级内网带IP地址的终端设备包括但不限于PC、笔记本、平板电脑、手机、打印机、复印机、摄像头、智能电视机、投影机、视频会议设备、传真机、扫描仪、电子白板、移动终端等信息技术产品,并按照类别自动进行归类,同时强制启动认证环节,非认证设备无法获得任何网络资源,并能够防止非法终端冒用合法终端信息。 |
| 13 | 能够对发现的非法终端自动进行报警,在省、市管理界面实时展现,并进行统计分析,形成报表。 | |
| 14 | 能够发现内网私接的Hub、傻瓜交换机、无线路由等非网管设备,当多台计算机通过Hub、无线路由接入网络时,能够及时产生告警通知管理员。 | |
| 15 | 提供移动端专属平台管理页面进行便捷管理,包括但不限于:设备快速定位、设备审核、实时报警监控、客户端卸载确认码生成等。 | |
| 16 | 具备终端入网WEB重定向引导,当用户访问网页时能够自动转向到指定的页面或地址。 | |
| 17 | 支持设置运维模式生效范围;支持自定义运维模式下阻断或重定向的URL运维模式下,终端访问被阻断URL,会推送客户端安装页面;管理员可强制终端安装客户端完成入网,也可允许终端继续访问网络。 | |
| 18 | 能通过浏览器或客户端完成身份认证、设备注册、安全检查、检查结果展现等全流程引导管理。 | |
| 19 | ★单一准入控制系统应至少提供安全客户端(Agent)、无客户端等多种可供自定义的部署、管理模式;客户端需兼容包括但不限于x86终端需支持windowsxp、windows7、windows10,以及后续发布的新微软操作系统、银河麒麟、统信操作系统。信创终端需支持包括但不限于银河麒麟、统信UOS操作系统。 | |
| 20 | 单一准入控制系统支持Kylin,UOS系统终端,可以根据不同系统自动推送对应客户端,支持对国产操作系统进行操作系统版本、磁盘使用、计算机名称、网络监听端口、系统时间、主机防火墙、必须安装的软件、禁止安装软件、必须允许进程、禁止运行进程、软件白名单、系统服务、密码策略、弱口令、域用户等检查项目,并可以进行文件是否存在、文件大小和文件md5检查等。 | |
| 21 | 接入审核:针对各种不便于通过客户端或Web浏览器入网的终端,按照归属部门,设备类型,操作系统等特征依据,定义终端接入后可访问的安全域,防止越权访问,或哑终端被攻陷后作为跳板攻击其他业务网络,支持启用快速入网,可放行哑终端对指定的安全域的访问,无需人工设置例外;能够针对不同的角色或设备类别有选择的开启入网审核功能,待审核的用户或设备必须经过管理员审批才能入网。 | |
| 22 | 安全检查:通过审核认证的终端(非哑终端)能够进行基本安全检查,包含:防病毒安装情况,系统弱密码情况等。 | |
| 23 | 具备交换机到终端计算机的网络拓扑管理功能,能够自动绘制出网络拓扑图。能够在拓扑图上选取设备查看其基本状态信息、设备型号、所处位置、子节点、路由表、ARP表等信息,可以展示端口上连接的终端信息,按照操作系统类型分类统计、展示UP/DOWN,VLAN,类型,是否启用802.1X等信息;支持基于IP地址一键定位终端所在交换机的端口位置;支持基于Web的ping路由跟踪等网络调试操作、Web界面上给交换机下发命令、Web界面上开启全局802.1x,UP/DOWN端口和修改端口VLAN;支持免输入密码,从Web直接登录交换机CLI界面。 | |
| 24 | 具备对全网IP地址自动扫描、全网IP地址使用情况、IP/Mac地址和交换机端口绑定、IP地址和交换机端口快速定位、非法终端入网探测等网络管理员等功能。 | |
| 25 | 提供IP地址分配表,能够通过图示直观的查看各网段中未分配、开机、关机的数量和分布情况;能够直接、快捷的查看全网终端历史上线、下线、在线时长等详细的IP使用情况。 | |
| 26 | 认证功能 | 具备802.1x、策略路由、镜像等多种准入技术适应多种大型网络环境,具备单独或组合使用的方式同时使用。需要具备无客户端和有客户端方式。 |
| 27 | 可对网络划分不同的网络访问范围,至少能够划分合法用户访问范围、安全隔离用户访问范围、来宾用户访问范围,各范围可以根据实际需要进行删减就修改。 | |
| 28 | 设备具备在无需重新安装客户端的情况下可漫游至系统内其他单位接入企业内部网络时进行准入控制,并不占用漫游所在地准入控制系统授权点数。 | |
| 29 | 具备可网管型交换机面板图形化展现各接口状态(up、down、trunk等),以及各接口下联的终端详细信息(IP、地址、MAC地址等)。能够具备自上而下逐级查找终端的具体位置、安全状态、认证用户、上下线时间等信息。 | |
| 30 | 可查看终端7天内的接入活动快照,至少包括上线时间,认证时间和账户,接入位置,IP地址,安检时间和结果,放行或阻断,离线时间,以及上下线的判断依据等信息;可查看终端到准入系统的网络拓扑路径,可查看到接入交换机及端口,或者无线SSID。 | |
| 31 | 能够全面结合用户已有的认证或业务系统,可以与RADIUS、LDAP等采用标准协议的系统做深度联动认证。能够实现用户名密码认证、手机短信认证、来宾上网码等认证方式,与烟草行业CA认证系统或第三方系统对接,实现统一身份认证。 | |
| 32 | 能够提供来宾角色选择,能够设定来宾设备的访问权限和入网时长,具备来宾设备与受访人员进行一对一绑定功能,并可以生成对应的审计报表。 支持团队接待,可生成指定接待人次的接待码(字符串码,二维码);支持预约接待,预先登记访客手机号,设置允许接入的时间和权限,访客可按时通过手机短信接入;支持邮件审批:访客可自行申请接入,并提交申请信息,接待人通过邮件审批;客户端审批:访客可自行申请接入,接待人通过客户端窗口提示审批;接待人在提供访客码或预约时,可要求审核访客提交的信息是否准确完整;接待人在接待访客时,可给访客发送短信通知访客接入凭据和操作信息。 | |
| 33 | 支持802.1x认证细粒度设置如支持用户绑定交换机端口,用户只能在此交换机端口上认证,用户绑定VLAN用户认证成功后切换相应VLAN,用户绑定交换机,只能在此交换机上进行认证,用户绑定终端,只能在此终端上进行认证实现基于802.1x认证的开机自动认证、支持账号和终端绑定认证,账号和接入点绑定认证。 | |
| 34 | 日志管理 | 能够查看、导出全省终端合法接入,非法接入,接入拦截,在线时长认证等日志,支持导出Excle表。 |
| 35 | 能够分类统计认证终端类型、数量、在线/离线情况。 | |
| 36 | 日志内容包括并且不限于认证时间、用户名、IP地址、MAC地址、接入交换机、端口、成功/失败状态等。 | |
| 37 | 日志要求能保留180天以上,并支持通过Syslog 方式,实时输出各类安全日志信息,可以输出到第三方的安管平台,实现对日志的统一汇总、分析和审计。 |
三、报价单格式如下:
| 合同包 | 产品名称 | 单价(含税) | 数量 | 总报价(含税) |
| | | | | |
四、递交材料要求
4.1、报价单
注:1.供应商须按询价通知中的报价单格式,必须按合同包进行报价,可以只报其中1个包,也可以分别报3个包。对同一合同包内所有内容报价时必须完整。
4.2.报价单须逐页加盖报价供应商公章。
五、递交方式
报价单原件扫描件通过邮件形式在2023年11月28日17时00分(北京时间)前,发送到福建优胜招标项目管理集团有限公司 电子邮箱:975001172@qq.com
六、递交材料截止时间及地点
2023年11月28日17时00分(北京时间)。
地点:福建优胜招标项目管理集团有限公司 电子邮箱:975001172@qq.com
七、特别申明
7.1 各参与本次前期询价供应商所提供的材料为无偿服务,仅供我单位明确采购预算参考,不做其他用途,如有不全之处,敬请理解。
7.2 本项目具体开标时间详见后续公告。
7.3 本项目资金来源为非财政资金,属于非政府采购项目。
八、联系方式
招标人:中国烟草总公司福建省公司
地址:福州市北环中路133号福建烟草大厦,邮编:350003
联系人:免费注册即可查看
电话:免费注册即可查看
招标代理机构:福建优胜招标项目管理集团有限公司
地 址:福州市鼓楼区福三路20号华润万象城一期S2栋四层
电 话:免费注册即可查看
邮箱:975001172@qq.com
联系人:免费注册即可查看
采购公告附件:无
解决方案
联系我们
返回顶部