重庆三峡银行运维审计系统项目公开比选文件模板.docx
《重庆三峡银行运维审计系统项目公开比选文件模板.docx》由会员分享,可在线阅读,更多相关《重庆三峡银行运维审计系统项目公开比选文件模板.docx(43页珍藏版)》请在冰豆网上搜索。
重庆三峡银行运维审计系统项目公开比选文件模板
重庆三峡银行
运维审计系统项目
公开比选文件
2019年1月
第一章公开比选公告1
第二章项目介绍1
第三章技术条款4
第四章商务条款12
第五章评选方法、评选标准和废标条款16
第六章参选人须知21
第七章参选文件25
第一章公开比选公告
我行在运维管理方面涉及对行为审计、账号管理、基线检查等新要求,现对重庆三峡银行运维审计平台采购进行公开比选,特邀请有兴趣的潜在参选人参选。
一、比选项目内容
序号
项目名称
最高限价
(万元)
中选人数量
备注
1
重庆三峡银行运维审计系统项目
40
1
二、参选人资格要求
(一)基本资格条件
1.具有独立承担民事责任的能力。
2.具有良好的商业信誉和健全的财务会计制度。
3.具有履行合同所必需的设备和专业技术能力。
4.有依法缴纳税收良好记录。
5.前三年内在经营活动中没有重大违法记录。
6.如果参选人为产品代理商需具备原制造商产品销售授权许可文件。
(二)特定资格条件
1.参选产品需具备公安部《计算机信息系统安全专用产品销售许可证》。
注:
以上证明文件若比选方存疑,参选方需提供原件备查,参选文件中须附相关证明文件复印件并逐页加盖公章。
三、比选文件的获取
凡符合条件的参选人自行在我行门户网站(【网址】)下载。
四、比选保证金的递交
1.比选保证金的金额及形式:
保证金5000元人民币(大写:
伍仟元);转帐支票、银行汇票、企业网银。
2.比选保证金递交的截止时间为2019年1月31日17时00分;
3.比选保证金专用账户如下:
户名:
XX公司
开户行:
重庆三峡银行营业部
比选保证金账号:
********
五、参选文件的递交
1.参选文件递交的截止时间为2019年1月31日17时00分,递交地点为重庆江北区江北城汇川门路99号东方国际广场重庆三峡银行28楼计划财务部)。
2.逾期送达的或者未送达指定地点的参选文件,比选人不予受理。
六、参选产品验证性测试
本次参选的产品,需要进行产品验证性测试(POC测试),且测试结果作为评选标准之一;
1.验证性测试截止时间:
2019年1月30日17时00分;
2.验证性测试地点:
重庆市江北区海尔路2号;
3.验证性测试联系人方式:
杨老师,********。
七、发布公告的媒介
本次比选公告在本行官网(【网址】)、中国采招网(【网址】上发布。
八、联系方式
比选人:
XX公司
地址:
重庆江北城汇川门路99号东方国际广场
联系人:
敬希
电话:
********
附件:
1.运维审计平台项目比选文件
2.退还保证金申请书
重庆三峡银行
2019年1月11日
第二章项目介绍
一、项目背景
我行在运维管理方面涉及对行为审计、账号管理、基线检查等新要求,计划逐步打造能适合当下及未来需要的新一代运维审计平台。
二、项目目标
本项目拟在通过部署运维审计平台,来帮助运维人员提升运维安全管理效率的同时,实现对运维人员操作行为的智能化审计、对目标系统/设备账号的自动化管理。
方案部署完成后,可达到以下管理目标:
✓实现智能化行为审计:
完整记录用户的操作行为,并实现对用户操作行为的智能化检索和合并分析;
✓实现自动化账号管理:
自动发现/识别目标系统上的异常账号,并能通过可视化方式进行风险分析展示。
✓基线检查:
运维审计平台需支持按照基线标准,自动批量的进行目标设备的基线检查并出具检查报告。
第三章技术条款
本次项目需要通过科学先进的运维审计解决方案,实现如下建设内容:
一、基础指标需求
项目
基本要求
数量
1(套/台)
License
至少可管理1500个目标设备对象;
并发性能
图形操作并发≥500个;
命令操作并发≥800个;
二、功能需求
(一)统一登录管理
运维审计系统用户所有的运维操作,都必须要先登录到审计平台,再经由审计平台自动登录目标设备。
审计平台是用户运维操作的唯一入口。
审计平台的登录认证方式支持静态认证、动态双因素认证、手机令牌认证、AD域认证、LDAP认证、MIX组合认证。
(二)资源集中管理
审计平台需统一管理主机、网络、数据库、应用四类资源类型,支持资源的批量导入和批量修改,支持资源与业务系统的关联映射和可视化展示。
(三)快速权限管理
审计平台可以按照用户、资产、账号多个属性快速的配置访问权限
(四)设备访问管理
用户登录上审计平台后,即可根据管理员预先设置好的登录规则,选择要访问的目标资源后,一键或者批量完成自动登录
(五)高危操作管理
审计平台可以针对用户的重要、高危运维操作进行有效监管。
监管方式为事先预防和事中控制和事后审计
(六)运维审计管理
审计平台需支持图形操作审计、命令行操作审计、数据库操作审计和文件传输操作审计。
审计平台支持根据多种条件进行会话检索,检索的结果可以直接定位到具体的操作语句。
对于相同的审计关键字,平台检索结果需支持合并查看。
(七)账号管理
审计平台具备账号管理功能,可以实现的内容包括:
1.账号搜集
审计平台支持搜集设备上存在的所有的系统账号账号搜集可以覆盖操作系统、数据库、中间件层面。
2.账号巡检
审计平台可以定期对目标设备/系统上进行账号状态巡检,针对巡检过程中发现的异常,第一时间告知管理员。
支持的异常类型包含:
网络异常、弱密码账号、僵尸账号、幽灵账号等。
3.账号风险分析
审计平台可自动完成异常账号到业务系统的关系映射,并将账号可能会存在的风险,以业务视图方式进行统计、展示。
(八)基线检查管理
审计平台可以基于我行的基线检查标准,定期自动的到目标系统/设备上采集各种基线配置项,而后通过对基线配置项的比对分析,及时发现异常。
三、项目要求
(一)项目原则
为确保项目的稳定性与可靠性,参选产品应采用主流成熟的技术方案,技术架构设计合理并具先进性、统一性、扩展性、可靠性、易用性以及开放性,相关项目要求如下:
1.先进性:
要求在平台设计中尽量采用国际上先进的和成熟的技术,包括网络结构设计采用先进技术,软件平台、数据库系统以及开发工具选择当前先进的系统。
2.统一性:
平台需满足单设备一体化部署,并且所有的用户登录与操作在同一界面完成。
3.可靠性:
作为核心入口产品,必须保证稳定可靠,为保证平台能达到7×24连续可靠地运行,系统设计和实施时在设计方案上要具有容错和故障恢复能力。
产品需支持HA部署。
4.可扩展性:
为确保未来平台可横向扩展,平台需支持集群化部署、并且平台部署方式是物理旁路,逻辑串接,不需要调整网络架构,也不需要在目标设备/系统上安装任何代理程序。
5.易用性:
为确保平台功能使用简单易用,产品需满足当前人机交互设计。
针对核心的审计结果管理,产品审计结果检索需支持大数据全文检索。
6.开放性:
平台采用开放式架构设计,需提供全API支持,并且未来可以与其它系统集成与对接。
二、技术和服务指标要求
编号
测试功能项
分项技术指标
1
系统部署
系统部署模式
★产品支持所有组件集中在单台设备。
2
HA冗余
★支持active-standby的HA部署。
3
系统管理架构
★系统管理采用B/S架构,无需安装客户端程序。
4
浏览器支持
支持firefox、chrome浏览器。
支持ie8及以上版本浏览器。
5
系统设置
系统信息
支持系统查看堡垒机进程、CPU、内存等系统信息。
可以远程重启设备。
6
用户锁定
支持按照密码错误次数、同IP不同账号尝试次数锁定登陆。
7
网络配置
支持在线修改设备网卡IP地址信息,并查看网卡状态。
8
集群配置
支持在线添加集群节点。
9
登陆控制
支持按照时间、IP地址等设置规则,控制平台的登陆访问。
10
通知配置
支持在线配置邮件服务器、短信服务器。
11
时间配置
支持NTP服务器配置,并且可以进行时间手工校准。
12
访问设置
支持自定义命令行与窗口的访问方式,终端编码,终端标题、终端提示符、连接持续时间等。
13
事件告警
支持按照设备访问行为、错误级别配置syslog发送。
并且可以指定具体告警接收人员。
14
外部认证
★支持与动态令牌、手机令牌、AD\LDAP、Radius等三方认证集成。
15
角色权限
支持按照不同维度对角色权限增、删、改。
16
配置备份
支持系统信息备份与恢复。
17
用户管理
用户账号管理
支持Excel方式批量导入导出用户。
18
★支持多级用户管理(至少可支持超级管理员、配置管理员、审计管理员、密码保管员、普通用户等多种角色,各角色职能分离,多权分立制衡)。
19
支持批量修改用户账号属性信息。
20
用户认证管理
支持本地静态密码认证。
21
★支持AD域、LDAP、RSA、Radius认证。
22
★支持本地密码、动态令牌、LDAP任意组合双因子认证。
23
★内置动态双因素认证,不需要额外部署认证服务器。
24
角色权限
支持建立无限级部门并且可以通过图形化展示层级关系。
25
配置管理员只具有本部门的配置权限,但上级部门具有对下级所属部门的配置权限。
26
审计权限按部门分权管理:
支持不同部门的审计管理员只能审计自己部门、自己直属子部门设备上的操作日志。
27
可以按照用户、资产、账号多个属性配置动态的访问权限。
28
账号管理
账号统计
支持通过仪表盘的形式,展现当前目标设备上各类特权、非特权账号的类别和分布情况。
29
账号自动采集
★支持自动采集目标系统上的账号信息,对于采集到的账号,可以在线提醒管理员复核及录入。
30
账号扫描
支持弱密码自动检测,可以自定义弱密码规则或直接上传弱密码规则库;系统将自动根据弱密码规则进行目标系统密码强度检测,不满足强度要求的账号密码告警提示。
31
支持系统账号的自动巡检功能,可定期自动的巡检目标系统上的账号密码,以及时发现账号异常(至少包含僵尸账号、弱密码账号、提权账号、三个月未改密账号、异常账号),并能将其进行归类统计。
32
账号风险分析可视化展示
支持以业务系统为单位进行异常账号的展示,可直观展示业务系统中是否存在异常账号及异常账号类别,并根据异常账号的数量,给予业务系统不同颜色的标记展示。
33
支持以工程师视图形式,直观展示操作系统、数据库、网络和应用四个层面上存在哪些异常指标项及具体存在于哪些设备上。
34
账号生命周期管理
支持账号日志管理,可全面展示账号的发现、变更、删除等日志信息,实现账号生命周期管理。
35
支持通过工单的形式,来实现对目标系统中,系统账号的新增、修改、锁定/解锁、删除操作;工单只要被审批通过,即会自动触发对目标系统账号的对应变更。
36
账户关联
支持根据指定的策略将同一关联组组里的设备帐户变更成相同的密码。
37
一事一密
★支持通过密码工单,来实现“一事一密”,以确保账号密码安全。
38
密码获取:
密码工单申请人即可通过邮件的形式接收到加密密码,也可以在web页面,手动下载密码,下载下来的密码需要凭借解密密码方能打开。
39
密码修改:
密码工单到期之后,会自动对用户申请的账号的密码进行修改。
40
设备管理
基本设备管理
支持网络设备、服务器、等各类设备的管理。
41
支持批量导入和导出目标设备。
42
支持批量修改目标设备的状态(禁用、活动)、资源类型、所属业务系统等。
43
支持资源添加后的一键网络端口连通性测试。
支持ping连通性测试。
支持设备登录验证测试。
44
设备访问管理
支持不同设备之间的自动跳转登录和同一台设备上不同账号之间的自动切换登录。
45
支持同时添加多种访问协议登陆管理同一台设备。
46
支持克隆会话的会话审计。
47
设备分组管理
支持设备自定义分组管理。
48
支持同一设备分属不同设备组管理。
49
支持业务视图管理,管理员可以树状视图的形式,绘构组织内业务级别、逻辑,并在业务节点加入资源设备。
50
设备自动扫描
★支持按照网段进行设备的自动扫描,管理员只要定义好相应的网络地址范围,系统平台即可自动扫描该地址段内的设备,并自出找到未纳管设备。
51
密码修改
★可以根据设备(设备组)、系统账号、时间、频率、改密方式生成详细的改密计划,到期自动执行。
52
★支持进行系统账号密码修改时,可以通过系统页面直接批量选择需要修改的设备、账号进行改密。
53
改密方式至少可以支持随机生成不同密码、自动设置相同密码、手动指定密码。
54
支持预改密机制:
在系统执行密码定期自动修改前,自动发送加密的预改密邮件/ftp文件到用户指定地址,只有确定发送成功,才会触发自动改密。
55
改密结果可以支持加密邮件、FTP加密文件等形式外发。
56
全方位的密码策略
★更具不同的帐户类型、帐户级别、帐户要求等设置不同的口令策略(密码的复杂度,长度,包含大小写字母、数字、特殊字符个数等)、领用策略(设备帐户的明文、登陆代填,工单的密码明文、分段明文、密文、分段密文导出)、改密策略(改密周期)、通知策略(帐户注册、添加、改密、注销等),从而全方位达到密码的各种应用场景。
57
口令校验
实时或定期的进行密码正确性的校验,以保证密码的正确性、可用性。
58
密码备份
★支持按照自定义频率,密码分段,密码存储方式等备份密码。
59
权限控制
工单访问
支持通过内部工单进行帐户添加、账户删除等操作。
60
支持通过内部工单申请指定的资产访问、账户领用。
61
访问权限
可在一条规则里面,以用户(用户组)、目标设备(设备组、程序)、系统账号、部门、协议、时间、来源IP为要素,来灵活设置访问策略。
62
支持以用户组与资源组通过矩阵的方式展现。
63
支持http/https登录目标设备时的url白名单控制。
64
支持文本协议的命令黑白名单控制和RDP/VDH协议的磁盘映射、剪贴板(上、下行)等控制。
65
设备访问权限导出
管理员可以查看指定用户所能访问的设备列表,系统账号。
并且支持该权限的导出。
当用户通过工单申请设备访问权限时,同样可以通过该功能导出权限。
66
应急抢修
★在管理人员不在的情况下,应急抢修可以确保审批流程不受影响能继续执行。
67
AB角复核
★支持在访问某些或全部设备时需要另一人的复核才能登陆设备。
68
命令复核
支持重要系统命令执行时允许双人会同访问(如运维人员登入目标设备后,需要执行相关命令,此命令须得到管理员同意后才能执行成功)。
69
设备访问
批量访问
支持批量启动功能,可一次性登录选择好的目标设备。
70
设备收藏
支持设备收藏功能,用户可以对经常需要访问的目标设备做一键收藏,以便于下次可以直接在收藏夹中找到。
71
文件传输
支持文件分享操作,且在系统web界面即可完成。
无需通过第三方存储介质(如U盘)进行转储。
72
运维审计
命令运维审计
支持输入命令和输出结果的分离查看。
73
能够准确识别出“命令行内编辑、上下箭头、TAB补全”等非常规命令操作。
74
★支持对从任一条命令点开始回放,播放器从该命令开始播放操作过程直到目标设备连接断开,而不是从头播放)。
75
★支持审计结果的全文检索,并且可以通过多关键字组合查询。
当需要检索字符命令输出结果时,无需展开执行结果便可以进行查询。
76
图形运维审计
★支持各种windows、xindows,各类B/S、C/S客户端/应用程序的操作审计。
77
支持图形操作的拖拉回放、跟据时间点定位回放。
自动过滤静止画面、回放过程中的键盘鼠标输入模拟展示。
78
支持大数据量(超过200M)操作日志无延迟前后拖拉播放,包括自由拖拉无延迟播放。
79
在图形审计功能中,搜索键盘输入、剪切板、窗口标题、URL地址内容,并定位时间点并进行回放。
80
文件运维审计
支持FTP/SFTP/SCP文件传输审计。
81
系统应具备审计到FTP/SFTP传输的原始文件,并可以在审计系统上进行备份,可下载查看其具体内容。
82
监控及告警
实时监控
支持对图形会话及字符会话进行实时监控。
83
支持对图形会话及字符会话进行实时切断。
84
支持查看系统所有登录用户日志。
85
用户在登录重要设备时,系统可立即生成登录告警信息。
86
运维人员输入高危命令时,系统在主动阻断的同时,立即生成操作告警信息。
87
基线检查
设备基线检查
★支持通过模块扩容的方式,实现对linux等系统配置数据的自动化采集、分析和异常的可视化展示。
88
支持基线检查结果报告导出。
第四章商务条款
一、交货时间、地点、服务水平协议
(一)交货及竣工时间:
具体以项目合同为准。
(二)交货及实施地点:
比选人指定地点。
二、验收
1、中选人应提供完备的技术资料、和合格证等,并派遣专业技术人员进行现场安装、配置、运行调试。
验收合格条件如下:
(1)产品技术参数与比选书一致,性能指标达到规定的标准。
(2)产品技术资料、合格证等资料齐全。
(3)在系统试运行期间所出现的问题得到解决,并运行正常。
2、产品在安装调试并试运行符合要求后,才作为最终验收。
3、中选人提供的产品未达到比选文件规定要求,且对比选人造成损失的,由中选人承担一切责任,并赔偿所造成的损失。
4、比选人需要制造商对中选人交付的产品(包括质量、技术参数等)进行确认的,制造商应予以配合,并出具书面意见。
5、产品包装材料归比选人所有。
三、售后服务和支持
(一)质量保证
1、比选产品质量保证期不低于三年。
2、比选产品属于国家规定“三包”范围的,其产品质量保证期不得低于“三包”规定。
3、参选人的质量保证期承诺优于国家“三包”规定的,按参选人实际承诺执行。
4、比选产品由制造商(指产品生产制造商,或其负责销售、售后服务机构,以下同)负责标准售后服务的,应当在比选文件中予以明确说明,并附制造商售后服务承诺。
(二)售后服务内容
1、中选人和制造商在质量保证期内应当为比选人提供以下技术支持和服务:
(1)电话咨询
中选人和制造商应当为采购人提供技术援助电话,解答比选人在使用中遇到的问题,及时为比选人提出解决问题的建议。
(2)现场响应
比选人遇到使用及技术问题,电话咨询不能解决的,中选人和制造商应在2小内到达比选人指定现场进行处理,确保产品正常工作;无法在8小时内解决的,应在24小时内提供备用产品,使比选人能够正常使用。
(3)技术升级
在质保期内,如果中选人和制造商的产品技术升级,中选人应及时通知比选人,如比选人有相应要求,中选人和制造商应对比选人购买的产品进行升级服务。
2、质保期外服务要求
(1)质量保证期过后,中选人和制造商应同样提供免费电话咨询服务。
(2)质量保证期过后,比选人需要继续由原中选人和制造商提供售后服务的,该中选人和制造商应以优惠价格提供售后服务。
3、后续增补授权的补充规定要求
在后续使用过程中,如果比选人需继续增加补充购买产品授权或服务,参选人须明确后续授权或服务的价格,并在参选书中书面确认。
四、文档和培训
(一)文档
1、文档内容
标准用户手册。
2、要求
参选人提供的文档要保持完整性和准确性。
所有文档都采用简体中文(第三方产品出厂文件除外)。
(二)培训
1、培训人员
中选人应对下列人员进行相应的技术培训:
包括但不限于涉及本项目的相关实际使用人员等。
2、要求
例如:
对所有的培训,参选人除提供完备的书面教材外,还应提交培训方案和计划。
比选人要求所有的培训在比选人指定地点进行。
五、付款方式
本项目采用分期付款:
配合比选人将软件系统安装完成,并验收合格后7个工作日内比选人支付合同总额85%的款项;稳定运行一年后7个工作日内比选人支付合同总额5%的款项;稳定运行两年后7个工作日内比选人支付合同总额5%的款项;稳定运行三年后7个工作日内比选人支付合同总额5%的款项。
六、系统维保费用
免费维护期满后,每年维护费用不高于合同价10%。
七、保密条款
(一)保密范围
中选人在实施过程中接触到的邀请比选人知识产权、经营信息等。
(二)保密责任
双方互为保密资料的提供方和接受方,负有保密义务,承担保密责任。
除经过双方书面同意,任何一方不得将有关内容提供给合同以外的第三人。
八、报价要求
1、参选人应严格按照《参选文件格式》的“开标一览表”和“分项报价明细表”的格式认真填写。
2、“分项报价明细表”里需详细写明各类硬件、中间件、操作系统、实施费用等产品模块名称及价格。
3、报价单上应列明增值税专用发票的税率。
九、知识产权
中选人提供的产品及其服务不得侵犯任何方的知识产权和其他合法权益。
不得侵犯本行商誉,任何人未经本行同意不得使用本行合法所有的知识产权,由此造成的一切损失由中选人承担赔偿责任。
十、其他
1、参选人必须在参选文件中对以上条款和服务承诺明确列出,承诺内容必须达到本篇及比选文件其他条款的要求。
2、其他未尽事宜由供需双方在合同中详细约定。
第五章评选方法、评选标准和废选条款
一、评比方法
(一)评比方法定义
本项目采用综合评分法进行评比。
综合评分法是指在最大限度地满足比选文件实质性要求前提下,按照比选文件中规定的各项评分因素进行综合评审后,以评比总得分最高的参选人作为中选候选人。
参选人总得分为价格、商务等评定因素分别按照相应权重值计算分项得分后相加,满分为100分。
若参与比选供应商不足三家,邀请人可转为竞争性谈判或者单一来源采购。
(二)评比程序
评比工作由本行集中采购委员会负责组织,负责具体评比事务。
按以下程序独立履行评审职责:
1、资格性检查。
依据法律法规和比选文件的规定,对人参选文件中的资格证明、比选保证金等进行审查,以确定参选人是否具备比选资格。
资格性检查资料表如下:
序号
检查因素
检查内容
1
参选人应符合的基本资格条件
(1)具有承担民事责任的能力
参选人法人营业执照(副本)、直属的分支机构(直属的分支机构参与比选必须具有总公司的授权委托书)或事业单位法人证书(副本)或个体工商户营业执照或有效的自然人身份证明、组织机构代码证复印件(注);
参选人法定代表人身份证明和法定代表人授权代表委托书。
(2)具有良好的商业信誉和健全的财务会计制度
提供近三年财务状况报告(表)复印件及书面声明
(3)具有履行合同所必需的设备和专业技术能力
提供书面声明
(4)有依法缴纳税收良好记录
税务登记证(副本)复印件,三证合一的企业提供统一社会信用代码的营业执照。
(5)前三年内在经营活动中没有重大违法记录
提供书面声明
(6)如果参选人为产品代理商需具备原制造商产品销售授权许可文件
参选人为产品代理商提供原制造商盖章的产品销售授权许可文件
2
特定资格条件
参选产品需具备公安部《计算机信息系统安全专用产品销售许可证》
证明材料的复印件
3
比选保证金
足额缴纳比选保证金
注:
参选人按“三证合一”登记制度办理营业执照的,组织机构代码证和税务登记证(副本)复印件以参选人所提供的营业执照(副本)复印件为准
2、