招标
深圳市知识产权保护综合服务平台数据安全防护体系建设项目需求公示
金额
163万元
项目地址
广东省
发布时间
2021/11/05
公告摘要
项目编号plan-2021-440301-0102023013-01034
预算金额163万元
招标公司深圳市标准技术研究院
招标联系人-
招标代理机构深圳市政府采购中心
代理联系人-
标书截止时间-
投标截止时间-
公告正文
| 序号 | 采购计划编号 | 货物名称 | 数量 | 单位 | 备注 | 财政预算限额(元) |
|---|---|---|---|---|---|---|
| 1 | PLAN-2021-440301-0102023013-01034 | 深圳市知识产权保护综合服务平台数据安全防护体系建设项目 | 1.0 | 批 | 免费注册即可查看.0 | |
具体技术要求
| 序号 | 货物名称 | 招标技术要求 |
| 1 | 网络准入系统 | ★1.1 系统配置要求:系统内置所需的操作系统和数据库软件,无需额外购买,无版权问题; |
| ★1.2 授权数量:桌面管理授权数量≥600,准入授权数量≥600; | ||
| 1.3支持自动采集终端设备信息,包括:硬件信息、操作系统信息、软件信息、用户信息、已应用的策略信息、历史IP地址信息等; | ||
| 1.4支持对设备的CPU、内存条、显卡、光驱、硬盘、主板、网卡等进行监控,变更后产生告警;支持对设备所有的软件变化进行监控,变更后产生告警; | ||
| 1.5 支持802.1x、WebAuth、Portal、端口镜像、策略路由等多种准入控制方式混合使用,一套系统可同时使用多种准入方式适应复杂网络环境; | ||
| 1.6支持端口级802.1x准入控制,能够杜绝私接路由器,Hub接入等行为。包括有线环境和无线环境; | ||
| ▲1.7支持802.1x有线和无线网络环境下主流网络设备的ACL动态下发和动态VLAN切换;(需在投标文件中提供相关功能截图证明) | ||
| 1.8支持通过Portal/Portal+协议与网络设备或无线AC联动准入,且支持动态ACL下发、支持HTTPS重定向; | ||
| 1.9合规安全基线要求:支持自定义准入安全基线,如防病毒软件检查、软件检查、文件检查、注册表、服务等.可通过客户端实现一键自动修复,能够形成闭环,支持自动下载,自动安装,无需用户手工参与; | ||
| 1.10支持Windows终端一键修复,如:软件安装/卸载、终端启用guest账号、终端共享目录等;(需在投标文件中提供相关功能截图证明) | ||
| 1.11支持对接入终端、接入用户或部门以及接入控制点设备指定相应的绑定规则,根据接入终端或用户是否符合接入规则来决定允许或拒绝其接入;提供审批流程功能;支持用户与设备、接入交换机端口号、交换机、主机码和随机码等绑定;(需提供截图证明) | ||
| 1.12支持多对一模式,多个管理员可同时对一个终端进行远程协助;支持一对多模式,一个管理员可同时对多个终端进行远程协助; | ||
| ▲1.13支持对管理员的远程会话审计功能,包括远程请求审计,远程成功审计等;(需在投标文件中提供相关功能截图证明) | ||
| ▲1.14支持与深信服上网行为管理系统单点登陆,准入认证通过后,无需再进行上网行为管理系统认证;(需在投标文件中提供相关功能截图证明) | ||
| 2 | 双因素身份认证系统 | ★2.1 授权数量:网络设备及服务器的接入数量不少于470台;手机令牌数量不少于100个; |
| 2.2 系统平台要求包含标准Radius功能,支持对接本地账号密码认证,支持AD域服务器、LDAP服务器、第三方RADIUS服务器,系统平台支持双机热备部署; | ||
| ▲2.3 支持多站点管理,可以设置账号锁定,新增管理员账号,登录日志管理等功能;(需在投标文件中提供相关功能截图证明) | ||
| 2.4 支持用户自助激活、管理员统一激活、短信激活、邮件激活、帐号密码激活方式; | ||
| 2.5 在输入动态密码之前输入设定暗语,暗语可以是“数字、字母、符号”; 可针对不同的角色、用户组等设置是否需要动态密码暗语前缀验证; | ||
| 2.6 密码策略:基于用户组(角色)设置密码有效期、密码过期提醒、密码复杂度、历史密码个数等; | ||
| 2.7 支持登录保护,登录锁定【连续失败次数锁定时间或者永久锁定】、锁定提醒、密码提醒、登录提醒(邮箱、短信提示); | ||
| ▲2.8 支持自服务平台,用户自主修改密码;自服务平台支持用户绑定及解绑令牌;(需在投标文件中提供相关功能截图证明) | ||
| 2.9 支持设定可管理认证系统的IP段,支持令牌使用量预警,到期时间预警;可将系统的告警信息发送至指定人的手机和邮箱; | ||
| ▲2.10 动态令牌认证系统具备:商用密码产品认证证书;动态令牌具备:商用密码产品认证证书;(需提供证书扫描件) | ||
| 3 | 数据库加密系统 | ★3.1授权数量:提供不少于16个数据库实例授权; |
| 3.2硬件规格:2U机架式设备,冗余电源,接口≥6个电口,≥2×扩展槽位。内存≥32G,硬盘≥128G SSD、4T存储空间; | ||
| 3.3数据库支持:武汉达梦(包括MPP、单机、主备模式)、ORACLE(支持单机及RAC集群)、SQL SERVER、DB2、MySQL 、PostgreSQL、Elasticsearch、神通等数据库; | ||
| 3.4加密算法至少应支持DES、AES等国际密码算法,SM4国密算法;(需在投标文件中提供相关功能截图证明) | ||
| 3.5支持以下所有特殊数据类型和索引类型的加密正常读写、相等和范围查询:BLOB数据、CLOB数据、IOT表的Mapping表、B*Tree索引、Bitmap索引、全局索引、IOT表主键索引、IOT表Secondary Index、LOB Index; | ||
| ▲3.6 使用数字证书绑定安全客户端,当用户登录管理平台后,系统可自动校验安全客户端的合法性;(需在投标文件中提供相关功能截图证明) | ||
| 3.7支持基于身份的密文访问控制,身份要素至少包括应用程序名、IP地址、主机名、操作系统账户、数据库账户等,根据用户权限进行数据库返回结果控制,只有拥有合法权限的数据库用户才可看到明文,无合法权限的用户返回经过加密的数据或禁止访问; | ||
| 3.8 支持自定义加密访问管理方式,如业务系统提供明文访问模式;其他软件和对象提供明文及密文访问模式配置 | ||
| 3.9记录所有加密任务,包括数据库名称、IP地址、端口号、实例名、数据库类型、数据库初始化状态、数据库加密状态等,以支持资产的加密集中管理 | ||
| ▲3.10 支持根据数据库查看加密资产的信息,以表加密、列加密两个维度查询当前的加密资产,并记录所有加密的操作类型、操作结果、所用时长、操作账户;(需在投标文件中提供相关功能截图证明) | ||
| 3.11 从加密平台中删除被加密数据库时,弹出解密引导,强制删除时需通过数据库账号验证; | ||
| ▲3.12产品需具备国家版权局颁发的《计算机软件著作权登记证书》;(需提供证书扫描件) | ||
| ▲3.13产品兼容性:与达梦数据库兼容;(需提供兼容性证书扫描件) | ||
| 4 | 数据库运维脱敏系统 | ★4.1授权数量:提供不少于16个数据库实例授权; |
| 4.2硬件规格:2U机架式设备,冗余电源,接口≥6个电口,≥2×扩展槽位。内存≥32G,硬盘≥128G SSD、4T存储空间; | ||
| 4.3数据库支持:支持ORACLE、SQL SERVER、HANA、DB2、Informix、Sybase、Hive、Cache、OceanBase、TIDB、MySQL、Mariadb、Greenplum、PostgreSQL、Mongodb、EnterpriseDB、GaussDB、HBase等关系型数据库、数据仓库、大数据平台、云数据库; | ||
| 4.4 支持与主流堡垒机联动,堡垒机实现登陆管理,本设备实现基于数据库表、列的细粒度访问控制; | ||
| 4.5 具备敏感数据探测能力,自动发现SCHEMA、表中的敏感资产,系统内置的敏感数据类型至少包括: 个人敏感信息:包括中文姓名、身份证、银行卡、护照、军官证、中国护照、港澳通行证、永久居住证、大陆居民往来台湾通行证、英文姓名、姓名拼音等个人信息; 机构敏感信息:组织机构代码、组织机构名称、营业执照、社会统一信用代码、税务登记证、开户许可证、证券名称、证券代码、基金名称、基金代码、英文公司名等与企业机构相关的信息; 其它基础信息:电话、电子邮箱、地址、邮政编码、IP地址、日期、货币金额、json串、车牌号码等。 | ||
| 4.6敏感数据分级分类:支持从表格、表格列、SCHEMA等维度归类敏感数据资产,形成敏感资产集合进行独立管理;(需在投标文件中提供相关功能截图证明) | ||
| 4.7支持以全局资产总览的形式展示纳入管理的所有敏感资产,包括并不限于资产业务类型、分类、分级、所属数据源、数量及其占比等信息,并能在总览页面下钻到敏感资产详情页面。 | ||
| 4.8支持识别真实应用及SQL管理工具的MD5值,防止假冒应用及假冒SQL管理工具违规访问数据库;(需在投标文件中提供相关功能截图证明) | ||
| 4.9直连数据库:在反向代理模式下,通过在数据库服务器上安装安全代理插件,实现对于通过SQL管理工具或本地等直连数据库的违规连接行为进行准入控制,防止非法人员绕过安全系统,违规对数据库进行访问;(需在投标文件中提供相关功能截图证明) | ||
| ▲4.10 支持数据库运维工具免密登陆功能,当数据库管理人员通过Toad或SQL DEVELOPER等工具登陆运维数据库时,通过数据库账号与数字证书的绑定,数据库管理员在运维PC工具中无需输入数据库用户名密码即可登陆已授权访问的数据库,避免运维数据库用户和密码泄漏,保障账号安全;(需在投标文件中提供相关功能截图证明) | ||
| ▲4.11 动态脱敏,对用户返回预授权的结果,脱敏规则需要支持以下脱敏算法:(需在投标文件中提供相关功能截图证明) 1、放行:对于已授权用户,返回真实数据; 2、返回空:对含有敏感表格或敏感列的数据结果返回为空值; 3、遮盖:全遮盖:默认以遮盖符‘*’替换敏感列的值; 4、部分遮盖:对敏感列的值进行分段,替换其中的一段或数段值; 5、随机映射:对数值、字符或字符串进行随机映射处理。 | ||
| ▲4.12 支持数据库的误删除恢复,当使用DROP和truncate两种命令误删除敏感数据时,系统应及时记录操作的时间、数据库名称、操作类型、操作的对象类型、SCHEMA名称、对象名称、当前状态、使用的SQL语句等信息,并提供一键恢复的功能,辅助完成数据的快速恢复,以支持系统恢复正常。(需在投标文件中提供相关功能截图证明) | ||
| ▲4.13 产品需具备以下资质:(需提供证书扫描件) 1、国家版权局颁发的《计算机软件著作权登记证书》; 2、国家保密科技测评中心颁发的《涉密信息系统产品检测证书》; | ||
| 5 | 态势感知系统 | 5.1 性能参数:存储容量≥21.8T,带宽性能≥1Gbps时存储时长≥1200天/1Gbps;硬件参数:内存≥3*32GB,系统盘≥1*128GB,数据盘≥8*4TB,标配盘位数≥8,冗余电源,接口≥4千兆电口; |
| 5.2 支持自定义分支管理权限,分支管理员具备独立的管理页面,只能管理和查看所属分支资产的安全信息;具备完整的功能展示,包括监控中心、处置中心、分析中心、资产中心和报告中心;总部管理员支持查看全局的安全信息,支持页面跳转各个分支的独立管理页面; | ||
| 5.3 支持挖矿专项检测,具备挖矿攻击事前、事中和事后全链路的检测分析能力,综合运用威胁情报、IPS特征规则和行为关联分析技术,如检测发现文件传输(上传下载)阶段的异常,对挖矿早期的准备动作即告警; | ||
| 5.4 支持以图表模型展示外连威胁主机类型分布、存在外连威胁的IP TOP5、外连目标地区(国外)TOP5、外连威胁类型分布、非正常时间段外连主机TOP5、外连威胁趋势,列表详情展示外连威胁事件,支持导出; | ||
| 5.5支持自定义弱密码规则,可自定义密码长度、字符类型数量、密码长度、密码与账户相同规则、字典序规则、web空密码规则、指定弱密码编辑、密码白名单; | ||
| ▲5.6 支持SIEM日志关联分析结果的可视化展示。包括数据分布、安全事件趋势图、关联规则告警趋势图、接入设备概况、关联规则告警状态分布、安全事件TOP5、关联规则告警TOP5、日志类型TOP3、日志等级分布条数、日志传输趋势;(需在投标文件中提供相关功能截图证明) | ||
| 5.7 支持正常外连的大屏可视,看清内部网络访问了外部哪些地区,哪些业务或终端的对外访问最多,包括国内、国际整体访问关系图、外连国家、实时访问监控、外连最多的服务器、终端TOP等,可支持设置外网区域、资产组织决定展示内容; | ||
| 5.8 支持大屏展示业务脆弱性风险指数,统计展示漏洞、弱密码、明文传输、配置风险的数量,同时可展示服务器总览、脆弱性资产TOP5、实时脆弱性监测、漏洞风险态势、漏洞类型TOP5、高危漏洞TOP5等,可支持设置不同风险等级决定展示内容; | ||
| ▲5.9 支持流量实时识别与主动扫描资产,可联动扫描器定期或立即扫描资产,支持扫描影子资产,资产指纹信息包括资产类型、端口、操作系统、MAC地址、主机名等;(需在投标文件中提供相关功能截图证明) | ||
| 6 | 潜伏威胁探针(2G) | 6.1 性能参数:吞吐性能≥2Gbps;硬件参数:规格2U,内存≥8G,硬盘容量≥1T SATA,冗余电源,接口≥6千兆电口+2万兆光口SFP+; |
| 6.2 支持Database漏洞攻击、DNS漏洞攻击、FTP漏洞攻击、Mail漏洞攻击、Network Device、Scan漏洞攻击、System漏洞攻击、Telnet漏洞攻击、Tftp漏洞攻击、Web漏洞攻击等服务漏洞攻击检测; | ||
| 6.3 支持流量抓包分析,可定义抓包数量、接口、IP地址、端口或自定义过滤表达式; | ||
| 6.4 支持IP,IP组,服务,端口,访问时间等定义访问策略,主动建立针对性的业务和应用访问逻辑规则,包括白名单和黑名单方式; | ||
| ▲6.5 支持传输安全检测日志,包括网络攻击检测日志、漏洞利用攻击检测日志、僵尸网络检测日志、业务弱点发现日志;(需在投标文件中提供相关功能截图证明并加盖原厂商公章) | ||
| ▲6.6 厂商具备软件开发成熟度CMMI 5级认证;(提供证书复印件) | ||
| 7 | 潜伏威胁探针(1G) | 7.1 性能参数:吞吐性能≥1Gbps;硬件参数:规格1U,内存≥8G,硬盘容量≥64G minisata SSD,冗余电源,接口≥6千兆电口+2千兆光口SFP+; |
| 7.2 支持Database漏洞攻击、DNS漏洞攻击、FTP漏洞攻击、Mail漏洞攻击、Network Device、Scan漏洞攻击、System漏洞攻击、Telnet漏洞攻击、Tftp漏洞攻击、Web漏洞攻击等服务漏洞攻击检测; | ||
| 7.3 支持流量抓包分析,可定义抓包数量、接口、IP地址、端口或自定义过滤表达式; | ||
| 7.4 支持IP,IP组,服务,端口,访问时间等定义访问策略,主动建立针对性的业务和应用访问逻辑规则,包括白名单和黑名单方式; | ||
| ▲7.5 支持传输安全检测日志,包括网络攻击检测日志、漏洞利用攻击检测日志、僵尸网络检测日志、业务弱点发现日志;(需在投标文件中提供相关功能截图证明并加盖原厂商公章) | ||
| ▲7.6 厂商具备软件开发成熟度CMMI 5级认证;(提供证书复印件) |
商务需求
| 序号 | 目录 | 招标商务需求 |
| (一)售后服务要求 | ||
| 1 | 免费保修期 | ★1.1货物免费保修期 3年。 |
| 1.2货物免费保修期包括但不限于提供三年软件版本及配套规则库免费升级维护,三年硬件整机保修服务,时间自最终验收合格并交付使用之日起计算; | ||
| 2 | 维修响应及故障解决时间 | 2.1在保修期内,一旦发生质量问题,投标人保证在接到通知24小时内赶到现场进行修理或更换,更换备件必须与本项目所投产品相同或更优性能的产品; |
| 2.2提供7×24小时的故障服务受理; | ||
| 2.3对重大故障提供7×24小时的现场支援,一般故障提供5×8小时的现场支援; | ||
| 2.4故障服务的响应时间小于1小时,即2小时内有能够处理故障的技术人员到达现场; | ||
| 3 | 培训服务 | 3.1投标人必须为用户单位免费提供安装调试后本地操作培训,培训出合格的能进行系统维护的人员多名; |
| 4 | 技术支持服务 | 4.1提供7×24小时的技术咨询服务; 4.2 配合第三方测试单位完成系统安全性测试要求。 |
| (二)其他商务要求 | ||
| 1 | 关于交货 | ★交货期:1.1签订合同后45天(日历日)内交货; |
| 1.2交货时间内完成到货、安装调试、初步验收合格且交付使用(不含试运行时间、项目终验); | ||
| 1.3投标人必须承担的设备运输、安装调试、验收检测和提供设备操作说明书、图纸等其他类似的义务; | ||
| 1.4所有设备必须为原厂全新正品设备(非积压货)且要有完好的包装,包装箱上注明采购业主方单位名称,必须由原厂直接发货至业主方。必须交给业主方在安装现场方能拆封,否则可以视为不合格产品,业主有权要求更换该产品。如货物开箱后发现有任何问题(如外观有损伤),投标供应商必须立即以同样型号的设备在与业主商定的时间内更换,确保其使用; | ||
| 1.5所有产品的配置必须在原厂预装出厂,不接受组装产品,保证完整包装不开封;为了避免因串货引发的保修问题,通过设备序列号查到使用单位必须为本项目的采购单位。否则用户有权要求更换该产品或拒绝收货; | ||
| 1.6 交货地点:用户指定地点; | ||
| 1.7中标后建设方有权就以上招标软硬件的功能项进行开机验证,若发现与交付产品功能不符,可拒绝投标人的产品,并向有关部门汇报投标人虚假应标情况。 | ||
| 2 | 关于验收 | 2.1中标人货物到达采购单位指定地点,经过双方和监理单位检验认可后,签署项目到货验收报告。中标人根据采购单位现有网络情况完成系统整体规划,并完成设备的安装调试。由采购单位组织项目初步验收工作,通过项目初验后经过1个月试运行期后组织项目竣工验收。 |
| 2.2当满足以下条件时,采购人才向中标人签发货物验收报告: a、中标人已按照合同规定提供了全部产品及完整的技术资料; b、货物符合招标文件技术规格书的要求,性能满足要求; c、货物具备产品合格证; | ||
| 3 | 报价要求 | 3.1 投标总价必须是完成该项目的一切费用总和,包括但不限于投标费、设备费、设备安装辅助材料费、软件费、运输费、装卸费、保险费、技术培训费、设备安装费、调试费、系统集成费、投标人承诺项目所产生的费用及国家规定的各项税费等。 |
| 4 | 关于违约 | 4.1中标人不能交货的,需偿付不能交货部分货款的30%的违约金并按主管部门相关规定处理。 |
| 4.2中标人逾期交货的,将被没收履约保证金并按主管部门相关规定处理。 | ||
| 4.3中标人所交付的产品或服务不符合其投标承诺的,或在投标阶段为了中标而盲目虚假承诺、低价恶性竞争,在履约阶段则通过偷工减料、以此充好而获取利润的,将被没收履约保证金,并被深圳市政府采购中心评为履约等级“差”并按主管部门相关规定处理。 | ||
| 5 | 关于付款 | 5.1合同签订后,采购人办理向中标人支付本项目的预付款之财政支付申报手续,付款金额为合同总金额的30%; |
| 5.2设备到货验收后,采购人办理向中标人支付本项目的到货款之财政支付申报手续,付款金额为合同总金额的40%; | ||
| 5.3系统进行试运行1个月后,进行最终验收,验收完成后,采购人办理向中标人支付本项目的验收款之财政支付申报手续,付款金额为合同总金额的25%; | ||
| 5.4本项目审计完成,采购人办理向中标人支付本项目的验收款之财政支付申报手续,付款金额为合同总金额的5%。 | ||
| 6 | 其他要求 | 6.1 知识产权:中标人保证采购人在使用本合同项下货物或货物的任何一部分时,不会产生因第三方提出的包括但不限于侵犯其专利权、商标权、工业设计权等知识产权和侵犯其所有权、抵押权等物权及其他权利而引发的纠纷。如有纠纷,中标人应承担全部责任。 |
技术规格偏离表
| 序号 | 货物名称 | 招标技术要求 | 投标技术响应 | 偏离情况 | 说明 |
| 1 | 网络准入系统 | ★1.1 系统配置要求:系统内置所需的操作系统和数据库软件,无需额外购买,无版权问题; | | | |
| ★1.2 授权数量:桌面管理授权数量≥600,准入授权数量≥600; | | | | ||
| 1.3支持自动采集终端设备信息,包括:硬件信息、操作系统信息、软件信息、用户信息、已应用的策略信息、历史IP地址信息等; | | | | ||
| 1.4支持对设备的CPU、内存条、显卡、光驱、硬盘、主板、网卡等进行监控,变更后产生告警;支持对设备所有的软件变化进行监控,变更后产生告警; | | | | ||
| 1.5 支持802.1x、WebAuth、Portal、端口镜像、策略路由等多种准入控制方式混合使用,一套系统可同时使用多种准入方式适应复杂网络环境; | | | | ||
| 1.6支持端口级802.1x准入控制,能够杜绝私接路由器,Hub接入等行为。包括有线环境和无线环境; | | | | ||
| ▲1.7支持802.1x有线和无线网络环境下主流网络设备的ACL动态下发和动态VLAN切换;(需在投标文件中提供相关功能截图证明) | | | | ||
| 1.8支持通过Portal/Portal+协议与网络设备或无线AC联动准入,且支持动态ACL下发、支持HTTPS重定向; | | | | ||
| 1.9合规安全基线要求:支持自定义准入安全基线,如防病毒软件检查、软件检查、文件检查、注册表、服务等.可通过客户端实现一键自动修复,能够形成闭环,支持自动下载,自动安装,无需用户手工参与; | | | | ||
| 1.10支持Windows终端一键修复,如:软件安装/卸载、终端启用guest账号、终端共享目录等;(需在投标文件中提供相关功能截图证明) | | | | ||
| 1.11支持对接入终端、接入用户或部门以及接入控制点设备指定相应的绑定规则,根据接入终端或用户是否符合接入规则来决定允许或拒绝其接入;提供审批流程功能;支持用户与设备、接入交换机端口号、交换机、主机码和随机码等绑定;(需提供截图证明) | | | | ||
| 1.12支持多对一模式,多个管理员可同时对一个终端进行远程协助;支持一对多模式,一个管理员可同时对多个终端进行远程协助; | | | | ||
| ▲1.13支持对管理员的远程会话审计功能,包括远程请求审计,远程成功审计等;(需在投标文件中提供相关功能截图证明) | | | | ||
| ▲1.14支持与深信服上网行为管理系统单点登陆,准入认证通过后,无需再进行上网行为管理系统认证;(需在投标文件中提供相关功能截图证明) | | | | ||
| 2 | 双因素身份认证系统 | ★2.1 授权数量:网络设备及服务器的接入数量不少于470台;手机令牌数量不少于100个; | | | |
| 2.2 系统平台要求包含标准Radius功能,支持对接本地账号密码认证,支持AD域服务器、LDAP服务器、第三方RADIUS服务器,系统平台支持双机热备部署; | | | | ||
| ▲2.3 支持多站点管理,可以设置账号锁定,新增管理员账号,登录日志管理等功能;(需在投标文件中提供相关功能截图证明) | | | | ||
| 2.4 支持用户自助激活、管理员统一激活、短信激活、邮件激活、帐号密码激活方式; | | | | ||
| 2.5 在输入动态密码之前输入设定暗语,暗语可以是“数字、字母、符号”; 可针对不同的角色、用户组等设置是否需要动态密码暗语前缀验证; | | | | ||
| 2.6 密码策略:基于用户组(角色)设置密码有效期、密码过期提醒、密码复杂度、历史密码个数等; | | | | ||
| 2.7 支持登录保护,登录锁定【连续失败次数锁定时间或者永久锁定】、锁定提醒、密码提醒、登录提醒(邮箱、短信提示); | | | | ||
| ▲2.8 支持自服务平台,用户自主修改密码;自服务平台支持用户绑定及解绑令牌;(需在投标文件中提供相关功能截图证明) | | | | ||
| 2.9 支持设定可管理认证系统的IP段,支持令牌使用量预警,到期时间预警;可将系统的告警信息发送至指定人的手机和邮箱; | | | | ||
| ▲2.10 动态令牌认证系统具备:商用密码产品认证证书;动态令牌具备:商用密码产品认证证书;(需提供证书扫描件) | | | | ||
| 3 | 数据库加密系统 | ★3.1授权数量:提供不少于16个数据库实例授权; | | | |
| 3.2硬件规格:2U机架式设备,冗余电源,接口≥6个电口,≥2×扩展槽位。内存≥32G,硬盘≥128G SSD、4T存储空间; | | | | ||
| 3.3数据库支持:武汉达梦(包括MPP、单机、主备模式)、ORACLE(支持单机及RAC集群)、SQL SERVER、DB2、MySQL 、PostgreSQL、Elasticsearch、神通等数据库; | | | | ||
| 3.4加密算法至少应支持DES、AES等国际密码算法,SM4国密算法;(需在投标文件中提供相关功能截图证明) | | | | ||
| 3.5支持以下所有特殊数据类型和索引类型的加密正常读写、相等和范围查询:BLOB数据、CLOB数据、IOT表的Mapping表、B*Tree索引、Bitmap索引、全局索引、IOT表主键索引、IOT表Secondary Index、LOB Index; | | | | ||
| ▲3.6 使用数字证书绑定安全客户端,当用户登录管理平台后,系统可自动校验安全客户端的合法性;(需在投标文件中提供相关功能截图证明) | | | | ||
| 3.7支持基于身份的密文访问控制,身份要素至少包括应用程序名、IP地址、主机名、操作系统账户、数据库账户等,根据用户权限进行数据库返回结果控制,只有拥有合法权限的数据库用户才可看到明文,无合法权限的用户返回经过加密的数据或禁止访问; | | | | ||
| 3.8 支持自定义加密访问管理方式,如业务系统提供明文访问模式;其他软件和对象提供明文及密文访问模式配置 | | | | ||
| 3.9记录所有加密任务,包括数据库名称、IP地址、端口号、实例名、数据库类型、数据库初始化状态、数据库加密状态等,以支持资产的加密集中管理 | | | | ||
| ▲3.10 支持根据数据库查看加密资产的信息,以表加密、列加密两个维度查询当前的加密资产,并记录所有加密的操作类型、操作结果、所用时长、操作账户;(需在投标文件中提供相关功能截图证明) | | | | ||
| 3.11 从加密平台中删除被加密数据库时,弹出解密引导,强制删除时需通过数据库账号验证; | | | | ||
| ▲3.12产品需具备国家版权局颁发的《计算机软件著作权登记证书》;(需提供证书扫描件) | | | | ||
| ▲3.13产品兼容性:与达梦数据库兼容;(需提供兼容性证书扫描件) | | | | ||
| 4 | 数据库运维脱敏系统 | ★4.1授权数量:提供不少于16个数据库实例授权; | | | |
| 4.2硬件规格:2U机架式设备,冗余电源,接口≥6个电口,≥2×扩展槽位。内存≥32G,硬盘≥128G SSD、4T存储空间; | | | | ||
| 4.3数据库支持:支持ORACLE、SQL SERVER、HANA、DB2、Informix、Sybase、Hive、Cache、OceanBase、TIDB、MySQL、Mariadb、Greenplum、PostgreSQL、Mongodb、EnterpriseDB、GaussDB、HBase等关系型数据库、数据仓库、大数据平台、云数据库; | | | | ||
| 4.4 支持与主流堡垒机联动,堡垒机实现登陆管理,本设备实现基于数据库表、列的细粒度访问控制; | | | | ||
| 4.5 具备敏感数据探测能力,自动发现SCHEMA、表中的敏感资产,系统内置的敏感数据类型至少包括: 个人敏感信息:包括中文姓名、身份证、银行卡、护照、军官证、中国护照、港澳通行证、永久居住证、大陆居民往来台湾通行证、英文姓名、姓名拼音等个人信息; 机构敏感信息:组织机构代码、组织机构名称、营业执照、社会统一信用代码、税务登记证、开户许可证、证券名称、证券代码、基金名称、基金代码、英文公司名等与企业机构相关的信息; 其它基础信息:电话、电子邮箱、地址、邮政编码、IP地址、日期、货币金额、json串、车牌号码等。 | | | | ||
| 4.6敏感数据分级分类:支持从表格、表格列、SCHEMA等维度归类敏感数据资产,形成敏感资产集合进行独立管理;(需在投标文件中提供相关功能截图证明) | | | | ||
| 4.7支持以全局资产总览的形式展示纳入管理的所有敏感资产,包括并不限于资产业务类型、分类、分级、所属数据源、数量及其占比等信息,并能在总览页面下钻到敏感资产详情页面。 | | | | ||
| 4.8支持识别真实应用及SQL管理工具的MD5值,防止假冒应用及假冒SQL管理工具违规访问数据库;(需在投标文件中提供相关功能截图证明) | | | | ||
| 4.9直连数据库:在反向代理模式下,通过在数据库服务器上安装安全代理插件,实现对于通过SQL管理工具或本地等直连数据库的违规连接行为进行准入控制,防止非法人员绕过安全系统,违规对数据库进行访问;(需在投标文件中提供相关功能截图证明) | | | | ||
| ▲4.10 支持数据库运维工具免密登陆功能,当数据库管理人员通过Toad或SQL DEVELOPER等工具登陆运维数据库时,通过数据库账号与数字证书的绑定,数据库管理员在运维PC工具中无需输入数据库用户名密码即可登陆已授权访问的数据库,避免运维数据库用户和密码泄漏,保障账号安全;(需在投标文件中提供相关功能截图证明) | | | | ||
| ▲4.11 动态脱敏,对用户返回预授权的结果,脱敏规则需要支持以下脱敏算法:(需在投标文件中提供相关功能截图证明) 1、放行:对于已授权用户,返回真实数据; 2、返回空:对含有敏感表格或敏感列的数据结果返回为空值; 3、遮盖:全遮盖:默认以遮盖符‘*’替换敏感列的值; 4、部分遮盖:对敏感列的值进行分段,替换其中的一段或数段值; 5、随机映射:对数值、字符或字符串进行随机映射处理。 | | | | ||
| ▲4.12 支持数据库的误删除恢复,当使用DROP和truncate两种命令误删除敏感数据时,系统应及时记录操作的时间、数据库名称、操作类型、操作的对象类型、SCHEMA名称、对象名称、当前状态、使用的SQL语句等信息,并提供一键恢复的功能,辅助完成数据的快速恢复,以支持系统恢复正常。(需在投标文件中提供相关功能截图证明) | | | | ||
| ▲4.13 产品需具备以下资质:(需提供证书扫描件) 1、国家版权局颁发的《计算机软件著作权登记证书》; 2、国家保密科技测评中心颁发的《涉密信息系统产品检测证书》; | | | | ||
| 5 | 态势感知系统 | 5.1 性能参数:存储容量≥21.8T,带宽性能≥1Gbps时存储时长≥1200天/1Gbps;硬件参数:内存≥3*32GB,系统盘≥1*128GB,数据盘≥8*4TB,标配盘位数≥8,冗余电源,接口≥4千兆电口; | | | |
| 5.2 支持自定义分支管理权限,分支管理员具备独立的管理页面,只能管理和查看所属分支资产的安全信息;具备完整的功能展示,包括监控中心、处置中心、分析中心、资产中心和报告中心;总部管理员支持查看全局的安全信息,支持页面跳转各个分支的独立管理页面; | | | | ||
| 5.3 支持挖矿专项检测,具备挖矿攻击事前、事中和事后全链路的检测分析能力,综合运用威胁情报、IPS特征规则和行为关联分析技术,如检测发现文件传输(上传下载)阶段的异常,对挖矿早期的准备动作即告警; | | | | ||
| 5.4 支持以图表模型展示外连威胁主机类型分布、存在外连威胁的IP TOP5、外连目标地区(国外)TOP5、外连威胁类型分布、非正常时间段外连主机TOP5、外连威胁趋势,列表详情展示外连威胁事件,支持导出; | | | | ||
| 5.5支持自定义弱密码规则,可自定义密码长度、字符类型数量、密码长度、密码与账户相同规则、字典序规则、web空密码规则、指定弱密码编辑、密码白名单; | | | | ||
| ▲5.6 支持SIEM日志关联分析结果的可视化展示。包括数据分布、安全事件趋势图、关联规则告警趋势图、接入设备概况、关联规则告警状态分布、安全事件TOP5、关联规则告警TOP5、日志类型TOP3、日志等级分布条数、日志传输趋势;(需在投标文件中提供相关功能截图证明) | | | | ||
| 5.7 支持正常外连的大屏可视,看清内部网络访问了外部哪些地区,哪些业务或终端的对外访问最多,包括国内、国际整体访问关系图、外连国家、实时访问监控、外连最多的服务器、终端TOP等,可支持设置外网区域、资产组织决定展示内容; | | | | ||
| 5.8 支持大屏展示业务脆弱性风险指数,统计展示漏洞、弱密码、明文传输、配置风险的数量,同时可展示服务器总览、脆弱性资产TOP5、实时脆弱性监测、漏洞风险态势、漏洞类型TOP5、高危漏洞TOP5等,可支持设置不同风险等级决定展示内容; | | | | ||
| ▲5.9 支持流量实时识别与主动扫描资产,可联动扫描器定期或立即扫描资产,支持扫描影子资产,资产指纹信息包括资产类型、端口、操作系统、MAC地址、主机名等;(需在投标文件中提供相关功能截图证明) | | | | ||
| 6 | 潜伏威胁探针(2G) | 6.1 性能参数:吞吐性能≥2Gbps;硬件参数:规格2U,内存≥8G,硬盘容量≥1T SATA,冗余电源,接口≥6千兆电口+2万兆光口SFP+; | | | |
| 6.2 支持Database漏洞攻击、DNS漏洞攻击、FTP漏洞攻击、Mail漏洞攻击、Network Device、Scan漏洞攻击、System漏洞攻击、Telnet漏洞攻击、Tftp漏洞攻击、Web漏洞攻击等服务漏洞攻击检测; | | | | ||
| 6.3 支持流量抓包分析,可定义抓包数量、接口、IP地址、端口或自定义过滤表达式; | | | | ||
| 6.4 支持IP,IP组,服务,端口,访问时间等定义访问策略,主动建立针对性的业务和应用访问逻辑规则,包括白名单和黑名单方式; | | | | ||
| ▲6.5 支持传输安全检测日志,包括网络攻击检测日志、漏洞利用攻击检测日志、僵尸网络检测日志、业务弱点发现日志;(需在投标文件中提供相关功能截图证明并加盖原厂商公章) | | | | ||
| ▲6.6 厂商具备软件开发成熟度CMMI 5级认证;(提供证书复印件) | | | | ||
| 7 | 潜伏威胁探针(1G) | 7.1 性能参数:吞吐性能≥1Gbps;硬件参数:规格1U,内存≥8G,硬盘容量≥64G minisata SSD,冗余电源,接口≥6千兆电口+2千兆光口SFP+; | | | |
| 7.2 支持Database漏洞攻击、DNS漏洞攻击、FTP漏洞攻击、Mail漏洞攻击、Network Device、Scan漏洞攻击、System漏洞攻击、Telnet漏洞攻击、Tftp漏洞攻击、Web漏洞攻击等服务漏洞攻击检测; | | | | ||
| 7.3 支持流量抓包分析,可定义抓包数量、接口、IP地址、端口或自定义过滤表达式; | | | | ||
| 7.4 支持IP,IP组,服务,端口,访问时间等定义访问策略,主动建立针对性的业务和应用访问逻辑规则,包括白名单和黑名单方式; | | | | ||
| ▲7.5 支持传输安全检测日志,包括网络攻击检测日志、漏洞利用攻击检测日志、僵尸网络检测日志、业务弱点发现日志;(需在投标文件中提供相关功能截图证明并加盖原厂商公章) | | | | ||
| ▲7.6 厂商具备软件开发成熟度CMMI 5级认证;(提供证书复印件) | | |
商务规格偏离表
| 序号 | 目录 | 招标商务需求 | 投标商务条款 | 偏离情况 | 说明 |
| (一)售后服务要求 | | | | ||
| 1 | 免费保修期 | 1.1货物免费保修期 3年。 | | | |
| 1.2货物免费保修期包括但不限于提供三年配套规则库免费升级维护,三年硬件整机保修服务,时间自最终验收合格并交付使用之日起计算; | | | | ||
| 2 | 维修响应及故障解决时间 | 2.1在保修期内,一旦发生质量问题,投标人保证在接到通知24小时内赶到现场进行修理或更换,更换备件必须与本项目所投产品相同或更优性能的产品; | | | |
| 2.2提供7×24小时的故障服务受理; | | | | ||
| 2.3对重大故障提供7×24小时的现场支援,一般故障提供5×8小时的现场支援; | | | | ||
| 2.4故障服务的响应时间小于1小时,即2小时内有能够处理故障的技术人员到达现场; | | | | ||
| 3 | 培训服务 | 3.1投标人必须为用户单位免费提供安装调试后本地操作培训,培训出合格的能进行系统维护的人员多名; | | | |
| 4 | 技术支持服务 | 4.1提供7×24小时的技术咨询服务; 4.2 配合第三方测试单位完成系统安全性测试要求。 | | | |
| (二)其他商务要求 | | | | ||
| 1 | 关于交货 | 交货期:1.1签订合同后45天(日历日)内交货; | | | |
| 1.2交货时间内完成到货、安装调试、初步验收合格且交付使用(不含试运行时间、项目终验); | | | | ||
| 1.3投标人必须承担的设备运输、安装调试、验收检测和提供设备操作说明书、图纸等其他类似的义务; | | | | ||
| 1.4所有设备必须为原厂全新正品设备(非积压货)且要有完好的包装,包装箱上注明采购业主方单位名称,必须由原厂直接发货至业主方。必须交给业主方在安装现场方能拆封,否则可以视为不合格产品,业主有权要求更换该产品。如货物开箱后发现有任何问题(如外观有损伤),投标供应商必须立即以同样型号的设备在与业主商定的时间内更换,确保其使用; | | | | ||
| 1.5所有产品的配置必须在原厂预装出厂,不接受组装产品,保证完整包装不开封;为了避免因串货引发的保修问题,通过设备序列号查到使用单位必须为本项目的采购单位。否则用户有权要求更换该产品或拒绝收货; | | | | ||
| 1.6 交货地点:用户指定地点; | | | | ||
| 1.7中标后建设方有权就以上招标软硬件的功能项进行开机验证,若发现与交付产品功能不符,可拒绝投标人的产品,并向有关部门汇报投标人虚假应标情况。 | | | | ||
| 2 | 关于验收 | 2.1中标人货物到达采购单位指定地点,经过双方和监理单位检验认可后,签署项目到货验收报告。中标人根据采购单位现有网络情况完成系统整体规划,并完成设备的安装调试。由采购单位组织项目初步验收工作,通过项目初验后经过1个月试运行期后组织项目竣工验收。 | | | |
| 2.2当满足以下条件时,采购人才向中标人签发货物验收报告: a、中标人已按照合同规定提供了全部产品及完整的技术资料; b、货物符合招标文件技术规格书的要求,性能满足要求; c、货物具备产品合格证; | | | | ||
| 3 | 报价要求 | 3.1 投标总价必须是完成该项目的一切费用总和,包括但不限于投标费、设备费、设备安装辅助材料费、软件费、运输费、装卸费、保险费、技术培训费、设备安装费、调试费、系统集成费、投标人承诺项目所产生的费用及国家规定的各项税费等。 | | | |
| 4 | 关于违约 | 4.1中标人不能交货的,需偿付不能交货部分货款的30%的违约金并按主管部门相关规定处理。 | | | |
| 4.2中标人逾期交货的,将被没收履约保证金并按主管部门相关规定处理。 | | | | ||
| 4.3中标人所交付的产品或服务不符合其投标承诺的,或在投标阶段为了中标而盲目虚假承诺、低价恶性竞争,在履约阶段则通过偷工减料、以此充好而获取利润的,将被没收履约保证金,并被深圳市政府采购中心评为履约等级“差”并按主管部门相关规定处理。 | | | | ||
| 5 | 关于付款 | 5.1合同签订后,采购人办理向中标人支付本项目的预付款之财政支付申报手续,付款金额为合同总金额的30%; | | | |
| 5.2设备到货验收后,采购人办理向中标人支付本项目的到货款之财政支付申报手续,付款金额为合同总金额的40%; | | | | ||
| 5.3系统进行试运行1个月后,进行最终验收,验收完成后,采购人办理向中标人支付本项目的验收款之财政支付申报手续,付款金额为合同总金额的25%; | | | | ||
| 5.4本项目审计完成,采购人办理向中标人支付本项目的验收款之财政支付申报手续,付款金额为合同总金额的5%。 | | | | ||
| 6 | 其他要求 | 6.1 知识产权:中标人保证采购人在使用本合同项下货物或货物的任何一部分时,不会产生因第三方提出的包括但不限于侵犯其专利权、商标权、工业设计权等知识产权和侵犯其所有权、抵押权等物权及其他权利而引发的纠纷。如有纠纷,中标人应承担全部责任。 | | | |
评标信息
| 序号 | 评分项 | 权重 | ||||
| 1 | 价格 | 30 | ||||
| 2 | 技术部分 | 50 | ||||
| 序号 | 评分因素 | 权重(%) | 评分方式 | 评分准则 | ||
| 1 | 技术规格偏离情况 | 40 | 专家评分 | 投标人应如实填写《技术规格偏离表》,评审委员会根据技术需求参数响应情况进行打分,各项技术参数指标及要求全部满足的得100分,一般参数每项负偏离扣 4 分,“▲”重要技术参数每负偏离一项扣 8 分,扣完为止。 | ||
| 2 | 项目实施与售后服务人员配备 | 10 | 专家评分 | 2.1 项目经理:投标人提供1名同时具有有效的CISP、ITIL、CISAW资格证书的项目经理,负责整个项目的规划和管理,得30分; 要求提供本项目相关人员在投标截止日前近三个月的社保资料(社保部门资料或网页资料或窗口打印资料均可)、证书等相关材料; | ||
| 2.2 技术实施人员:投标人为本项目投入至少3名技术实施人员,技术实施人员具有ITIL、CISP、HCIP三种证书中的任意一种,一人具有多个证书按一种证书计算,得30分; 要求提供本项目相关人员在投标截止日前近三个月的社保资料(社保部门资料或网页资料或窗口打印资料均可)、证书等相关材料; | ||||||
| 2.3 数据库产品实施能力: 数据库动态脱敏或数据库加密产品的实施团队成员为生产商或投标方正式员工,具体要求如下: 1、数据库动态脱敏或数据库加密产品实施工程师不少于4名,需具备Oracle OCM、Mysql ocp、MCDBA微软认证数据库管理员、CISP-DSG证书;(同一人具备多个证书可以得分) 2、数据库支撑顾问不少于2名,需具备Oracle ACE认证、PostgreSQL ACE认证; 全部满足得40 分;少提供不得分; 要求提供本项目相关人员在投标截止日前近三个月的社保资料(社保部门资料或网页资料或窗口打印资料均可)、证书复印件等相关材料; | ||||||
| 3 | 商务需求 | 15 | ||||
| 序号 | 评分因素 | 权重(%) | 评分方式 | 评分准则 | ||
| 1 | 售后服务条款偏离情况 | 3 | 专家评分 | 投标人应如实填写《免费保修期内售后服务条款偏离表》,评审委员会根据响应情况进行打分:每有一项负偏离的扣20分,本项最高100分,最低得0分。 | ||
| 2 | 其他商务条款偏离情况 | 2 | 专家评分 | 投标人应如实填写《其他商务条款偏离表》, 评审委员会根据响应情况进行打分:每有一项负偏离的扣10分,本项最高100分,最低得0分。 | ||
| 3 | 类似项目业绩 | 4 | 专家评分 | 提供投标人 2018 年 8 月至投标截止日(以合同或协议签订日期为准)承担过的类似网络安全类项目,每提供 1 个(单个合同业绩金额≥100万元)得25 分,本项最高得 100 分。 提供项目合同(或协议)关键页扫描件,原件备查,否则不得分。如未按要求提供证明材料,或所提供的证明材料未能体现上述评分内容的,视为该证明材料无效。 | ||
| 4 | 投标人资质情况 | 6 | 专家评分 | 1.投标人具有中国网络安全审查技术与认证中心颁发的信息系统安全集成服务资质证书,一级得 20 分,二级得 10 分,其它不得分; 2.投标人具有中国网络安全审查技术与认证中心颁发的信息安全应急处理服务资质证书,得 20 分; 3.投标人具有中国网络安全审查技术与认证中心颁发的信息系统安全运维服务资质证书,得 20 分; 4.投标人具有涉密信息系统集成资质证书(业务种类含系统集成),得20 分; 5.投标人具有中国电子信息行业联合会颁发的信息系统集成及服务资质证书,得 20 分; 以上 5 项得分累计,最高得 100 分。提供在有效期内的相关证书扫描件,原件备查。如未按要求提供证明材料,或所提供的证明材料未能体现上述评分内容的,视为该证明材料无效。 | ||
| 4 | 诚信情况 | 5 | ||||
| 序号 | 评分因素 | 权重(%) | 评分方式 | 评分准则 | ||
| 1 | 诚信 | 3 | 专家评分 | 根据《深圳市财政委员会关于印发〈深圳市政府采购供应商诚信管理暂行办法操作细则〉的通知》(深财购[2017]42 号)的要求, 投标人在参与政府采购活动中存在诚信相关问题且在主管部门相关处理措施实施期限内的,本项不得分,否则得满分。投标人无需提供任何证明材料,由工作人员向评审委员会提供相关信息。 | ||
| 2 | 履约 | 2 | 专家评分 | 近三年(以投标截止日期为准)在市政府采购中心有履约评价为差的记录,本项不得分,否则得满分。投标人无需提供任何证明材料,由采购中心工作人员向评委会提供相关信息。 | ||
其它
附件
解决方案
联系我们
返回顶部