信息系统安全宣城公共资源交易中心.docx
《信息系统安全宣城公共资源交易中心.docx》由会员分享,可在线阅读,更多相关《信息系统安全宣城公共资源交易中心.docx(102页珍藏版)》请在冰豆网上搜索。
信息系统安全宣城公共资源交易中心
宣城市国土资源信息系统(安全)等级保护建设项目(一期)采购需求
前注:
1)投标人应自行踏勘服务现场,如投标人因未及时踏勘现场而导致的报价缺项漏项废标、或中标后无法兑现服务,投标人自行承担一切后果;
2)如对本招标文件有任何疑问或澄清要求,请按本招标文件“投标人须知前附表”中的约定方式联系中心,或接受答疑截止时间前联系(联系方式见招标公告),否则视同理解和接受。
一、项目简要概述
根据省国土厅十三五建设规划的要求和国家相关安全管理规定,建立省、市和县级统一的安全保障体系,确保“国土资源云”的安全,在非涉密网络按等级保护要求,加强信息系统的安全防护,建立起跨网、跨安全域的数据交换机制,为不动产统一登记等复杂应用部署模式提供安全支撑。
2016年9月和2017年7月,经市政府和市财政局批准,宣城市国土资源局组织实施了《宣城市国土资源信息系统安全等级保护建设项目(一期)》建设。
为满足宣城市国土资源信息系统安全等级保护建设需要,现对该建设项目中的软硬件设备及相关服务项目进行公开招投标采购。
本次采购内容包括:
等级保护测评优化整改、整体安全运维建设、安全管理建设、安全技术建设和其他设备建设。
采用整包方式进行招标采购,本次采购项目预算193万元,分两年实施完成。
二、国土资源信息系统安全等级保护建设项目(一期)采购需求
(一)采购预算:
193万元;
(二)服务要求及货物需求一览表及主要技术指标参数要求
详见下表:
序号
产品名称
招标参数
数量(项)
备注
安全管理建设(服务类)
1
信息安全管理咨询服务
1.按照根据等级保护的有关要求和用户实际情况,配合用户制定信息安全整体策略、相关安全管理制度和可具体执行的相关流程、表单。
2.本项服务期限两年。
1
安全运维建设(服务类)
1
资产及密码安全管理服务
1.资产梳理统计
针对我单位系统中涉及到信息系统资产进行统计,统计内容包括但不限于资产重要性级别、物理位置、机柜位置、接线情况、品牌、型号、参数、文档关联性、标准化编号等,形成标准化的资产统计文档和表格,作为资产管理工具输入依据。
需要在响应文件中提供信息资产编号规则说明和信息资产统计的标准化表格样例;需在响应文件中提供《信息资产统计流程及实施计划》相关文档。
2.资产和密码安全管理
针对资产梳理统计服务的输出文档,为我单位提供信息系统资产管理工具,实现信息系统资产详细信息的动态维护;并将相关资产的管理用户名和密码录入系统,加密保存,通过授权手机专用APP实现在线验证和解密,实现对资产密码的安全便利管理。
(界面功能截图,加盖投标人公章)
3.资产相关文档(运维文档知识库)维护
根据实际资产情况搜集、整理、汇总各软件系统、硬件系统的相关技术资料,包括但不限于:
技术方案、设备及软件的技术说明书、使用说明书、维护说明书,维护命令手册,测试手册,操作手册,其他相关资料等,便于用户在运维管理时,通过该工具平台随时检索查看相关文档和知识。
4.本项服务期限两年。
1
2
信息系统健康运行监测服务
1.部署相关监测工具平台,针对我单位服务器主机系统、中间件、数据库的可用性和基本运行情况进行全天候24小时的自动监测,发现服务器主机系统、中间件、数据库等异常状况,并在第一时间给相应的服务方和信息系统运维管理者发送告警信息,服务方在收到相关告警信息后及时做出响应,以快速定位相应异常状况的原因,能够结合相应服务提供解决异常状况的建议和方案,并协助解决异常问题。
(界面功能截图,加盖投标人公章)
2.监测工具必须支持我单位现有的各类软硬件设备,请供应商先期调研,否则自行承担后果。
3.本项服务期限两年。
1
3
互联网应用安全服务
1.渗透测试服务
根据我单位互联网应用的安全防护要求,在新增应用系统或已有应用系统更新升级后,对应用系统提供专业的渗透测试服务,出具渗透测试报告,根据渗透测试的结果提供修复建议方法,并协助用户与应用开发商一起修复存在的安全漏洞问题。
(每年渗透测试服务应不少于4次,提供业务系统黑盒渗透测试报告,应用系统数量由我单位指定)
2.检查优化服务
对网站等互联网业务系统的应用、应用主机、应用基础支撑设备进行安全检查优化,以排查服务器是否已被入侵或存在高风险问题。
3.网站安全监测服务
利用专业安全监测工具,实现对我单位门户网站和互联网应用的安全监测和预警,具体监测内容包括可用性监测、漏洞监测和安全事件监测,并出具月度监测报告。
(界面功能截图,加盖投标人公章)
4.网站漏洞跟踪服务
提供专业的软件工具,每日追踪CNVD(国家信息安全漏洞共享平台)、CNNVD(中国国家信息安全漏洞库)补天、漏洞盒子等互联网第三方漏洞平台提交的最新的漏洞。
对最新暴露在互联网第三方漏洞平台的相关漏洞信息进行及时的记录和验证,并协助应用开发商修补相关漏洞,对其修补的效果进行进一步的验证,以明确漏洞修补的有效性。
(界面功能截图,加盖投标人公章)
5.入侵取证分析和加固服务
在web站点出现安全入侵事件或故障时,及时调派专业的技术专家提供技术支撑,及时解决相关问题,恢复互联网应用对外的服务;同时,参照分析取证的结果,配合用户有针对性加固优化用户应用站点。
6.服务方提供专业软件工具,主要对网站服务器主机操作系统进行加固,对操作系统核心资源,如注册表、网络连接、系统文件、进程等资源进行有效防护;对服务器操作系统自身的配置项进行合理化设置,禁用操作系统中的无用服务,降低资源消耗,提高操作系统的安全性和抗攻击能力;通过全面巡检扫描服务器和web应用存在的安全隐患进行检查并修复;针对计划任务、登录账户、克隆账户、隐藏账户及系统本身各功能开启状态进行检查和修复;针对网页木马、站点挂马、暗链、黑链、外链等进行检查和清除。
(界面功能截图,加盖投标人公章)
7.以上互联网应用安全服务涉及到的监测、加固等安全平台工具必须为提供使用账号,以供能够实时登录自行查阅本单位安全信息情况。
8.如出现我单位外网相关应用系统漏洞暴露在互联网第三方漏洞平台,但供应商未及时验证、通知用户,或后于公安网监部门通知用户的情况,每出现一次,则将本项服务免费延长一年。
9.本项服务期限两年。
1
4
安全审计分析和优化服务
1.安全审计
通过对主机或设备的操作与检查,收集并了解主机或设备目前的补丁或版本信息、系统安全配置以及日志纪录等内容,针对这些信息进行技术分析,从而能够了解到我单位设备目前的安全现状,并根据综合信息分析得到主机或设备的安全等级,以便能够采取具有针对性的安全保障措施。
2.日志分析
针对防火墙、IPS、审计设备等安全设备的日志定期进行安全检查,及时发现高风险的日志,并进行追踪,以及解决。
每月现场进行审计分析工作并为出具一份专业分析报告,以利于掌握本单位安全情况。
3.安全检查优化
通过上述服务发现的安全问题,需要及时进行解决。
包括安装补丁、优化设备的安全配置、调整安全设备的安全策略、协助开发人员加固应用系统等措施。
4.本项服务期限两年。
1
5
数据库安全运维服务
1.为保障我单位业务系统数据库的稳定、安全运行,提供针对Oracle数据库系统的安全运维、不定期数据库系统参数配置调优及预防性巡检、数据恢复与迁移、故障排除服务。
2.本项服务期限两年。
1
6
定期月度巡检服务
1.按照相关安全管理和安全技术规范要求,为我单位提供月度信息安全管理服务。
包括每月安全巡检,督导基础环境运维商、应用系统运维商等落实信息安全管理要求,并对执行结果进行核查。
2.每月上门巡检并为出具月度巡检报告,以利于掌握本单位安全情况。
3.本项服务期限两年。
1
7
应急响应服务
1.日常应急响应
我单位信息系统运维人员通过电话、邮件、即时通讯等多种方式向服务提供方发起或者服务方通过日常维护过程、巡检,主动发现网络设备、安全设备、服务器系统、业务应用等异常状况,服务方对相关异常情况进行响应处置。
2.互联网安全事件应急响应服务
在我单位互联网应用出现被黑客入侵、挂马、篡改等安全事件之后,提供分析、取证、追踪、恢复、加固等全方位的技术支持服务。
协助修补互联网应用相关漏洞,完善互联网系统的安全防护策略,针对性加固外网安全防护体系。
3.应急预案及应急演练
针对我单位信息系统实际情况定制演练预案,并根据预案执行应急演练,记录应急演练过程,并根据应急演练的实际情况不断完善丰富应急演练预案。
制定《系统应急演练预案》,每年进行一次应急演练。
4.特殊时期信息安全保障
在特殊时期和重要节假日做好安全保障,加强驻场和人力保障,确保我单位互联网业务系统安全运行,避免敏感事件或影响业务的安全事件发生。
可按照要求在重要时期派遣网络安全工程师进行驻场安全保障服务。
5.应急响应的时间要求如下:
10分钟响应,4小时到达现场,8小时解决问题(硬件故障类问题由设备备件服务负责,不在此时间要求内)。
6.本项服务期限两年。
1
8
安全培训服务
1.对我单位全体人员进行2次/年的现场培训,主题为信息安全宣传教育;
2.针对我单位的信息部门专业技术人员进行4次/年的不仅限于本地的网络及安全专业知识培训。
3.提供网络信息安全在线学习账户2个(培训机构或安全厂商在线学习平台),以便于我单位技术人员日常网络安全专业知识的学习。
(界面学习内容截图,加盖投标人公章)
4.本项服务期限两年。
1
安全技术建设-外网(设备类)
1
上网行为管理系统
1.★1U标准独立机架式设备;硬件采用模块化设计,采用自主研发的多核多平台并行安全操作系统,提供国家版权局证书;前置一个接口扩展槽,最大支持12个接口,本次默认配置千兆电口数量≥4,端口支持Bypass功能;硬盘容量500G;支持管理终端数量300个;
2、支持基于应用层服务的策略路由;支持静态路由、ospf、vlan透传、单臂路由;
3.★流量管理功能可根据每个用户某段时间内的上行下行流量设定黑白名单管理;支持对用户的具体应用进行上网时长和流量配额的限制;支持即插即用功能,不管电脑的IP如何配置,开启即插即用功能后,只要插上网线,即可上网;
4.★支持基于4层服务的策略路由;支持多链路接入环境下的出站多出口智能选路,支持防DDos攻击;支持ARP防欺骗;
5.支持详细的告警功能,包含管理员操作日志、设备状态、流量异常、违规网站、违规帖子、违规文件上传、违规邮件发送以及潜在危害的行为告警;系统具有完整的操作命令日志、系统事件日志、用户网络日志、PPTP活动日志、IPSec活动日志、黑名单日志、设备状态日志、违规行为日志;
6.移动终端管理:
须支持识网络中正连接的热点(手机、iPad)、支持管理员配置热点信任列表,支持发现信任列表外非法接入的热点和终端,并阻止该热点/终端上网;支持将非法热点接入网络的行为通过邮件告警通知管理员,并在数据中心支持行为记录和查询;
7.阻止私接路由:
必须支持能自动发现网络中私接的有线路由器、无线路由、360wifi等共享上网行为,能够及时对私接行为进行管控,在系统中能够实时查看管控记录和日志;
8.支持将多个以太网物理端口捆绑成一条逻辑端口(即将多个端口捆绑成一个逻辑的端口以增加带宽,同时增加链路备份)支持基于mac、轮循、主备、哈希、广播、802.3ad、发送自适应、双向自适应等等多种负载方式。
链路聚合通道要求可以捆绑数不少于6个物理端口;
9.★产品厂商需通过ISO9000、TL9000认证和ISO27001认证;提供产品公安部-计算机信息系统安全专用产品销售许可证(互联网公共上网服务场所专用);(证书复印件加盖厂商公章)
10.★本次项目投标单位中标后须提供:
3年原厂商软硬件免费维修升级服务承诺证明及对本项目投标授权书证明(原件)。
1
含全套安装辅材
2
入侵防御/AV
1.★产品应采用1U专用机架式硬件设备,系统硬件为全内置封闭式结构,非下一代防火墙或UTM安全网关产品加入侵防御模块,千兆电口数≥4,千兆光口数量≥8个;端口支持Bypass,IPS吞吐量≥8Gbps,最大并发会话数≥200万,内置攻击特征库,WEB过滤库、病毒库,并提供上述特征库的三年升级服务;
2.★设备内置SSD固态硬盘存储日志;入侵防御设备需要支持通过专有联动协议与在用的防火墙实现安全联动以提高网络整体安全性;
3.★设备采用自主知识产权的专用安全操作系统,采用多核多平台并行处理特性,提供国家版权局版权证书并加盖厂商公章;支持多操作系统引导,出于安全性考虑,多系统需在设备启动过程中进行选择,不得在WEB维护界面中设置系统切换选项;
4.要求支持多端口链路聚合,支持11种链路负载均衡算法;
5.系统内置攻击特征库、应用识别规则库、URL过滤库,要求URL过滤库单独分开,可支持手动、自动、以及离线升级,支持URL地址分类库,超过650万种;
6.内置涵盖广泛的攻击特征库、能够针对3700种以上攻击的攻击行为、异常事件,以及网络资源滥用流量,进行检测和防御;
7.系统能够根据数据内容而非端口智能识别包括P2P、即时通讯、电子商务、股票交易、网络游戏、网络电视、移动应用等在内的23大类超过1200种应用;
8.★具备一定的防火墙功能,支持设置访问控制规则,实现对三到七层的访问控制;系统应支持源、目的地址转换以及双向地址转换;系统应支持IP/MAC地址绑定,支持设置协议与非常用端口的绑定策略;防火墙功能支持多链路接入环境下的出站多出口智能选路,提供多出口智能选路方法的自主知识产权证明并加盖厂商公章;
9.系统应支持多种形式的日志存储,本地存储、发送至日志服务器、本地日志服务器双存储、自动方式判断日志服务器状态自动决定日志的记录方式;
10.★产品厂商需通过ISO9000、TL9000认证和ISO27001认证;产品具备公安部销售许可证(三级)、信息安全产品认证证书(证书复印件加盖厂商公章);
11.★本次项目投标单位中标后必须提供:
3年原厂商软硬件免费维修升级服务承诺证明及对本项目投标授权书证明(原件)。
1
含全套安装辅材
3
网络防病毒软件
1.采用B/S架构管理端,支持多级管理,具备设备分组管理、策略制定下发、全网统一杀毒、补丁管理统一漏洞修复以及各种报表和查询等能力;
2.★终端安全与网络病毒查杀:
要求产品本身具备病毒检测功能,产品具备公有云检测能力,并且具有足够的公有云特征储备;支持私有云查杀,预置至少4亿黑名单及2000万全面的白名单,终端威胁统一到控制中心查询黑白并进行查杀,要求产品在断网状态下具备不依赖病毒库特征的情况下对未知病毒查杀的能力;要求产品具备主动防御技术;(提供国内知识产权局的专利受理证明与国际PCT专利受理证明并加盖厂商公章);
3.报表管理:
按终端维度展示在线终端、离线终端、已卸载终端列表,可对终端进行体检、修复漏洞、查杀病毒、查杀木马、清理插件、修复系统危险项、开启安全配置等操作,可删除离线终端,删除已卸载终端记录,可按查询条件(平均体检分、漏洞数量、病毒数量等)生成指定时间段内各分组的TOP5、TOP10的终端图表,可自定义查询条件和图表类型,可展示指定时间段内指定终端修复漏洞,病毒查杀,木马查杀的情况,可按照管理员设置的模板生成报表并发送到管理员邮箱;
4.★配置300个授权许可,三年病毒及木马的恶意行为特征库升级服务;
5.★本次项目投标单位中标后必须提供:
3年原厂商软硬件免费维修升级服务承诺证明及对本项目投标授权书证明(原件)。
1
含全套安装辅材
4
网站防护系统(网页防篡改)
1.★支持Windows、Linux、Unix等主流操作系统;篡改检测模块内嵌于Web服务器软件中;支持IIS、Apache、J2EE(Weblogic/Websphere)、Nginx等;杜绝网站向外发送被篡改的页面内容;本次采购Windows操作系统版本,1个服务器许可;
2.篡改检测时间:
访问时实时检测;篡改恢复时间:
≤6ms;
3.★同时支持外挂轮询、核心内嵌及文件驱动过滤三种篡改检测技术(提供加盖原厂公章的截图证明);
4.具有网络校验功能,可通网络内的集中存储设备,对文件数字水印进行验证;
5.提供水印签发工具,允许手工签发水印,并提供水印存储格式转换功能,允许其他格式的水印库导入到当前配置的水印库格式;网页发送时比较网页和水印值;
6.支持本地网页文件缓存和本地水印库缓存两种水印缓存形式;可检测静态页面/动态脚本/多媒体文件;
7.支持预先禁止非法程序对备份/保护目录的添加/删除/修改/更名/属性变更等操作;
8.★需具备网站数据备份功能;需具备网站数据合法更新功能;需具备身份鉴别功能;需具备用户数据保护功能。
9.★文件上传速度:
≤5ms(50K文件);网页发布同时自动更新水印值;支持断线/连线状态下篡改检测;支持连线状态下网页恢复;同步和断线时都不影响检测;不影响原有的网页发布系统;自动检测文件系统任何变化;文件变化自动同步到多个Web服务器;支持断线续传和失败重传;发布服务器支持Windows和Linux操作系统平台;
10.支持单机、虚拟机和云端部署。
11.★需提供公安部《计算机信息系统安全专用产品销售许可证》;提供通过公安部制定的《网站数据恢复》产品的检测并提供检验报告复印件;提供国家版权局颁发的《计算机软件著作权登记证书》;
12.★本次项目投标单位中标后必须提供:
3年原厂商软硬件免费维修升级服务承诺证明及对本项目投标授权书证明(原件)。
1
含全套安装辅材
5
WEB防护系统
1.★标准1U机架式结构;前置1个可插拨的接口扩展槽、默认包含6个10/100/1000BASE-T接口;吞吐率≥2Gbps,最大延时毫秒级,HTTP连接数60000次/秒,HTTP并发连接数≥200万;含3年特征库升级服务。
内含WEB基本防护模块、防篡改功能模块、WEB应用扫描模块、抗拒绝服务攻击模块、服务器负载均衡、业务智能分析模块;采用专用模块化硬件架构与多核多平台并行专用安全操作系统;
2.★部署方式支持无IP纯透明模式串联部署、旁路监测模式部署、负载均衡模式部署;支持虚拟线无论任何网络环境可强制数据从一个接口转发到另一个接口;
3.WEB应用攻击防护:
识别和阻断SQL注入攻击,Cookie注入攻击,命令注入攻击,识别和阻断跨站脚本(XSS)攻击;支持webshell等后门上传防护,支持远程文件包含、本地文件包含、目录遍历、信息泄露、HTTP参数污染攻击、00截断、Struts2命令执行等常见攻击防护;
4.★敏感信息防护:
支持对身份证、信用卡、手机电话号码、座机电话号码、邮箱地址等敏感信息做检查,当检查到此类数据后可通过配置特殊字符予以替换隐藏,防止信息泄露(提供截图,并加盖厂商公章);
5.DDoS攻击防护:
支持配置参数自学习,可以针对不同的用户网络环境,启动自学习功能,统计挖掘特定网络环境的协议比例、流量比例,进行网络适应性学习、分析,根据自学习的网络流量模型,进行DDoS检测和防御的阈值调整;
6.★WEB漏洞扫描:
支持多种WEB应用漏洞的安全扫描检测,如SQL注入、跨站脚本、目录遍历等;支持自定义WEB漏洞扫描任务,支持对需要认证登录的web系统进行漏洞扫描,支持自定义每日、每周、每月等扫描周期设置;可导出web漏洞扫描报告,报告支持pdf,html,txt,xml等格式导出;
7.负载均衡:
支持多服务器的负载均衡,支持轮叫、加权轮叫、原地址散列、最小连接等多种负载均衡算法;
8.数据分析功能:
支Web界面可以直观查看WAF扩展卡、接口、USB口、管理口、HA口及业务口的运行状态,提供截图并加盖厂商公章;可以查看使用业务接口的上下行实时流量;可以查看通过WAF的所有IPV4及IPV6客户端和服务器IP地址及端口连接数及状态;实时查看设备新建连接数、并发连接数、每秒事务数及HTTP应用层吞吐率等数据并以可视化的方式展示;
9.★为便于统一管理及安全联动,本次投标产品要求与入侵防御产品为同一品牌;
10.★产品厂商需通过ISO9000、TL9000认证和ISO27001认证;中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》;中国信息安全认证中心颁发的《ISCCC产品认证证书》;(提供证书复印件,加盖厂商公章)
11.★本次项目投标单位必须提供:
3年原厂商软硬件免费维修升级服务承诺证明及对本项目投标授权书证明(原件);
1
含全套安装辅材
安全技术建设-内网(设备类)
1
防病毒网关
1.★设备必须为专业的防病毒网关产品,非防火墙、UTM、上网行为管理等具有病毒过滤功能模块的产品。
1U机箱;最大配置为26个接口,默认包括2个可插拨的扩展槽,2个10/100/1000BASE-T接口(作为HA口和管理口),4个SFP插槽和4个10/100/1000BASE-T接口,单电源,默认电口具有两组BYPASS接口;性能:
整机吞吐率≥4Gbps、最大并发连接数≥220W,提供三年病毒库升级许可。
2.★采用多核多平台并行安全操作系统;内嵌双引擎杀毒技术,可单独采用流杀毒(快速扫描)引擎或文件型杀毒(深度扫描)引擎,也可同时支持两种杀毒引擎,能够根据不同的被检测协议采用不同杀毒引擎(提供截图并加盖厂商公章);要求每种扫描引擎具有独立的病毒库,流行病毒库总数大于600万;
3.能够支持对SMTP、POP3、IMAP、HTTP和FTP协议进行病毒扫描和过滤,有效地防止可能的病毒威胁;
4.支持病毒隔离功能,管理员可以方便的管理隔离区,可以选择把隔离区的内容发送给管理员或者删除可以实时检测到日益泛滥的蠕虫攻击,并对其进行实时阻断,从而有效防止内部网络因遭受蠕虫攻击而陷于瘫痪;要求支持信任站点功能,网关针对信任站点不做病毒扫描,以降低病毒扫描引擎的负担;支持IPv4和IPv6双栈协议的病毒扫描和过滤;
5.支持智能检测应用协议的病毒行为,采用智能方式准确扫描常用协议任意端口的病毒传输行为,而非通过传统手动配置协议端口绑定形式进行病毒扫描;具有配置文件自动定时上传到指定外部服务器功能(提供截图证明并加盖厂商公章);
6.病毒检测率不低于98%;采用知名主流品牌病毒库;
7.具有独立的蠕虫防护规则库,并可通过手动或自动方式进行升级;支持对数据内容进行检查,可以采用关键字过滤、URL过滤等方式来阻止非法数据进入内部网络,并且能够针对“ActiveX”、“JavaApplets”及“Script”等控件实施拦截;
8.根据文件内容识别文件真实类型,有效的阻断非法类型的文件进入内部网络,能够防止通过修改文件扩展名的方式逃避过滤;采用邮件地址与IP地址的黑、白名单技术实时检测垃圾邮件并阻止其进入网络,为单位节省宝贵的带宽;
9.提供完整的病毒日志、访问日志和系统日志等记录,并可根据日志数据生成多种格式的统计图形化统计报表,提供强大的监控功能,可以监控系统资源、网络流量、当前会话数、当前病毒扫描信息等;
10.报警配置用于当病毒突然爆发时,可向网络管理员发送报警信息,需支持邮件报警、声音报警、SNMP等报警方式;要求具有配置文件自动定时上传到指定外部服务器功能;
11.★提供公安部防病毒网关销售许可证,提供病毒过滤网关产品厂商需通过ISO9000、TL9000认证和ISO27001认证;(提供证书复印件,加盖厂商公章)
12.★本次项目投标单位中标后必须提供:
3年原厂商软硬件免费维修升级服务承诺证明及对本项目投标授权书证明(原件)。
1
含全套安装辅材
2
终端安全防护系统
硬件准入控制系统
1.★软硬件一体化产品,采用B/S结构;标准机架式,10/100/1000MBase-T电口(RJ4
升级会员 