办公网OA系统二期建设之硬件升级改造及安全整改招标文件模板.docx
《办公网OA系统二期建设之硬件升级改造及安全整改招标文件模板.docx》由会员分享,可在线阅读,更多相关《办公网OA系统二期建设之硬件升级改造及安全整改招标文件模板.docx(82页珍藏版)》请在冰豆网上搜索。
办公网OA系统二期建设之硬件升级改造及安全整改招标文件模板
XX广播电视台
XXXX招标代理有限公司
2019年11月
第一部分投标邀请函
第二部分项目需求书
第三部分投标人须知
第四部分合同书格式
第五部分投标文件格式
第一部分投标邀请函
投标邀请函
XXXX招标代理有限公司受XX广播电视台的委托,对办公网OA系统二期建设之硬件升级改造及安全整改项目进行公开招标采购,欢迎符合资格条件的供应商投标。
一、采购项目编号:
二、采购项目名称:
办公网OA系统二期建设之硬件升级改造及安全整改
三、采购预算:
80.00万元
四、采购项目资金性质:
自筹资金
五、简要项目内容:
采购内容
交货期
最高限价
办公网OA系统二期建设之硬件升级改造及安全整改
合同签订后30天内到货并完成安装、调试、验收合格
80.00万元
投标人必须对项目进行整体投标,不允许仅对其中部分内容进行投标。
六、投标人资格要求:
1、投标人必须是具有独立承担民事责任能力的在中华人民共和国境内注册的法人或其他组织;
2、本项目不接受联合体投标;
3、法律、行政法规规定的其他条件。
符合以上资格条件的投标人以公开报名方式确认其投标资格。
七、获取招标文件的时间、地点、方式及招标文件售价
1、获取招标文件时间:
从2019年11月6日至2019年11月19日上午9:
00~12:
00下午14:
30~17:
30(北京时间,节假日除外)
2、获取招标文件地点:
XXXXX区恒福路238号2楼(建设银行楼上)218室(XXXX招标代理有限公司)
3、获取招标文件方式:
现场报名购买或邮寄(凭法人营业执照、税务登记证副本复印件加盖公章)。
4、招标文件售价:
人民币300元/套(售后不退)。
如需要邮寄,请及时与我公司联系.
八、投标截止时间:
2019年11月27日09:
30(北京时间)
九、投标文件递交时间:
2019年11月27日09:
00-09:
30(北京时间)
十、投标文件递交地点:
XXXXX区恒福路238号2楼(建设银行楼上)218室(XXXX招标代理有限公司)
十一、开标时间:
2019年11月27日09:
30(北京时间)
十二、开标地点:
XXXXX区恒福路238号2楼(建设银行楼上)218室(XXXX招标代理有限公司)
十三、信息查询(在以下媒体中发布公告)
①中国招标投标公共服务平台((****));
②XX省招标投标监管网((****));
③XXXX招标代理有限公司网站((****))。
十四、采购人及采购代理机构联系方式
采购人:
XXXXX视台
联系人:
XXX
地址:
XXXXX区人民北路
采购代理机构:
XXXXX标代理有限公司
联系人:
XXX
联系方式:
地址:
XXXXX区恒福路238号2楼218室
第二部分项目需求书
项目需求书
说明:
1.投标人须对本项目为单位的货物及服务进行整体投标,任何只对其中一部分内容进行的投标都被视为无效投标。
2.招标文件中如有打“★”号条款为实质性条款,投标人若有任何一条负偏离则导致投标无效。
3.招标文件中如有打“▲”号条款为重要技术参数,投标人若有部分“▲”条款未响应或不满足,将导致其响应性评审加重扣分,但不作为无效投标条款。
4.投标人可提供与本项目参数相近或优于的货物。
一、项目概况
XX广播电视台办公网OA系统自2016年6月正式上线使用至今已有三年,为提升办公效率,完善系统功能,我们结合互联网的新技术,在办公网OA系统基础上进行二期建设工作,系统建设的同时需要配套开展硬件升级改造及安全整改集成,以进一步提升OA系统处理能力和达到最新的国家网络安全等级保护2.0规范的二级要求。
现采购人需通过公开招标方式选取一位具有从事本项目的经营范围及履行合同所必需的设备和专业技术能力的优质供应商,作为本项目提供符合需求的服务商。
本项目投标人必须对本项目进行整体投标报价,不允许只对其中部分内容进行投标报价。
本项目总预算:
80.00万元。
投标人投标超过预算为无效投标。
二、项目总体要求
1、所投安全设备和相关软件,须为满足项目需求的成熟、稳定的产品,须符合国家的《信息系统安全等级保护基本要求》及国家新闻出版广电总局《广播电视相关信息系统安全等级保护基本要求》,保证与采购人的系统完全兼容。
2、提供完整的安全设计方案,投标人要选择先进的、高性能、高安全产品,并保证各产品之间的协作性、互通性和兼容性。
按方案部署的所有安全设备,在同时部署时必须确保能相互兼容。
3、解决方案必须遵循最小影响原则,充分利用采购人现有安全设备和系统的实际情况,无论是网络规划、安全设计、设备配置、应用整合、资源分配,以及访问控制,都必须适应相关业务和流程的需要,尽可能实现透明化,避免对业务造成干扰,不影响业务运作效率。
4、确保台OA系统的安全。
OA系统内网系统是整个平台的核心,在确保蓝信系统区域的安全的同时对系统内部进行有效防护。
5、针对办公网络OA系统定级二级的需求,完成公安厅的测评验收工作,以满足国家新闻出版广电总局、XX省公安厅在等级保护方面的政策、标准等相关要求。
6、信息安全建设施工时,须优先尊重系统的特殊性,涉及安全设备部署、策略调整和相关系统变更,都须进行搭建模拟环境,提前进行联调测试,经充分测试验证、提供安全评估报告,能够确保安全的前提下,再进行相关调整,确保系统安全运行。
7、完成系统信息安全等保建设施工后,须按照采购人的要求,由中标人组织系统测评,通过XX省公安厅测评验收,采购人将以此作为项目整体验收的重要依据。
三、整体方案设计要求
1、遵循标准要求
投标人必须遵循以下相关标准进行方案设计:
(1)网络安全类标准和文件:
a)《信息安全等级保护管理办法》(公通字[2007]43号)
b)《广播电视相关信息系统安全等级保护基本要求》(GD/J038-2011)
c)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)
d)GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
e)GB/T20984-2007信息安全技术信息安全风险评估规范
f)《信息安全技术信息系统安全等级保护测评要求》(国标报批稿)
(2)综合布线类标准和文件:
a)《建筑与建筑群综合布线系统工程设计规范》CECS72:
97
b)《建筑与建筑群综合布线系统工程施工和验收规范》CECS89:
97
c)《大楼通信综合布线系统》(YD/T926-1997)
d)《用户接入网工程设计暂行规定》(YD/T5023-96)
e)GY/T211-2005《广播影视网络专有IP地址规划》
2、集成工艺要求
(1)所有的集成线路都要求标注线号,并以不同颜色加以区分;信号线标示清晰耐用、安装方便。
(2)系统内电缆走线使用桥架,电缆走线整齐美观,不同功能电缆,应留足间距,对设备区内机柜机架进行合理命名和功能划分。
(3)要求布线整齐规范,线号清晰易见,线号与图纸相符,地板下走线要铺设线槽,所有走线做防鼠处理。
(4)所有设备接口朝向必须方便状态查看与操作,不得隐藏在机柜内部。
(5)服务器、安全等设备安装必须方便更换冷备设备,所有状态显示窗口必须方便查看。
(6)施工现场管理有序,工期合理,指定现场技术负责人定期与我方技术负责人沟通工程进度。
3、系统设计要求
(1)设计目标要求
a)本系统方案以满足未来XX广播电视台办公网络OA系统需求为基础,针对当前系统进行安全加固,满足当前系统网络安全的需求。
b)为了确保系统的安全性,按照信息系统安全等保的要求,建设一套完整的安全解决方案,防止非法入侵,对数据进行篡改和窃取。
c)本系统网络安全主要包含办公网络OA系统。
整个办公网络OA系统按信息系统安全等保2.0二级标准规范安全建设。
d)对于整个平台的信息安全设计,按照广电总局《广播电视相关信息系统安全等级保护基本要求》进行安全设计,满足与其他网络互联互通时的安全连接需求。
安全设计融合多个厂家产品的集成系统,在参照等级保护第级的相关技术要求的情况下,系统设计上要求产品安全先进性的同时,保证各产品之间的协作性和互通性,所有安全设备在同时部署时必须相互兼容。
整个系统达到国家和广电行业的等级保护要求,最终通过安全测评验收。
(2)设计原则要求
针对XX广播电视台办公网络OA系统信息安全等保建设项目需求,应严格按照以下以原则进行支撑网络系统的设计:
a)系统性和完整性
网络建设是基于一个高度集成化的整体规划,应全盘考虑,统一规划。
b)实用性和先进性
首先,项目建设应最大限度满足电视台管理的需要,提高电视台的经济效益。
硬件和系统软件平台的建设应充分考虑电视台的业务特点,适合电视台组织形式、业务要求和工作习惯等,能无缝与现有系统整合,便于数据信息的收集、存储、维护与更新,便于软件系统的升级维护。
其次,在实用性的前提下,系统在设计思想、系统架构、采用技术、选用平台上均要具有先进性、前瞻性、扩充性、开放性。
尽可能采用当代先进、成熟和具备发展潜力的基础架构平台,既要保证系统满足现在的要求,又要适应未来技术的发展。
c)标准化和开放性
必须符合电视台的总体信息规划,遵守上级管理部门发布的各项规范标准。
采用的技术标准必须为当前主流的国际或国内标准,设备、软件须具备一定的开放性,可以和业界主流的产品进行互联,并能提供相应的接口。
d)安全性和可靠性
整体网络系统建设结合未来的安全系统加固建设不低于国家等保二级标准。
为保证信息的安全性,对重要的核心网络设备系统采取双机的方式,保证核心设备的持续运作。
网络设计应尽可能避免单点故障发生,关键设备互连时,应充分考虑冗余备份。
e)经济性和灵活性
本项目为改造项目,应充分考虑对原有网络设施利用的可能性,尽量保护原有的信息化投资。
在满足性能那个要求的前提下,还应考虑项目整体投资的经济性,以最大限度地控制项目实施风险、节约投资。
同时架构设计上应具备良好的灵活性,网络系统可以弹性地适应和满足业务需求的变化。
业务需求在一定程度、范围内的变化,不应对原有的网络架构造成较大影响。
(3)设计说明
本次项目方案设计方案,包括以下四个部分的服务内容:
a)办公网络OA系统系统的安全建设。
b)办公网络OA系统安全建设的同时,对原有网络其他系统做一定的安全防护。
c)除了以上技术手段外,针对当前系统进行等级保护管理体系建设,完善等级保护体系,确保整个系统的安全性。
d)针对当前系统定级二级的安全需求,完成公安厅的测评验收工作,以满足国家新闻出版广电总局、XX省公安厅在等级保护方面的政策、标准等相关要求。
4、系统方案设计说明
(1)设计说明
作为信息系统的整体信息安全要求,应当在信息系统安全建设时,充分考虑以下安全要求:
a)构建纵深的防御体系
从技术、物理和管理三个方面提出基本安全要求,在采取由点到面的各种安全措施时,系统整体上还应保证各种安全措施的组合,从以下两个方面构建安全纵深防御体系,保证信息系统整体的安全保护能力:
根据各信息系统与播出业务的相关程度,从生产综合系统、制作系统、播出系统等信息系统安全层面,构建从外到内的业务安全纵深;同时还应从基础网络安全、边界安全、计算环境(主机、应用)安全等多个层次落实本文中提到的各种安全措施,形成纵深防御体系。
b)采取互补的安全措施
以安全控制组件的形式提出基本安全防护要求,在将各种安全控制组件集成到特定信息系统中时,应考虑各个安全控制组件功能的整体性和互补性,关注各个安全控制组件在层面内、层面间和功能间产生的连接、交互、依赖、协调、协同等相互关联关系,保证各个安全控制组件共同综合作用于信息系统的安全功能上,使得信息系统的整体安全保护能力得以保证。
c)冗余的架构设计
交换区及安全边界采用冗余的安全网络系统架构设计,任意一台设备系统故障,不会对业务运作造成影响,保障业务的高可用性。
d)进行集中的安全管理
在第二级及以上级别信息系统的安全功能管理要求上,提到了统一安全策略、统一安全管理等要求,为了保证分散于各个层面的安全功能在统一策略的指导下实现,各个安全控制组件在可控情况下发挥各自的作用,应建立安全管理中心,集中管理信息系统中的各个安全控制组件,支持统一安全管理。
建立有安全管理中心的播出单位可根据广播电视相关信息系统的特点,将各个等级信息系统的安全管理统一纳入到安全管理中心中,实现跨系统的安全管理中心。
四、采购内容一览表
序号
设备名称
数量
单位
备注
1
数据库审计系统
1
台
×
2
日志审计系统
1
套
×
3
终端安全管理软件(杀毒软件)
1
套
×
4
IT运维审计
1
台
×
5
WEB防火墙
1
台
×
6
特征库升级
1
项
×
7
服务器
4
台
×
8
交换机
4
台
×
9
网络安全服务系统集成、整改服务要求
1
项
×
10
等级保护安全服务及第三方测评服务
1
项
×
注:
1、以上硬件设备、技术服务均为至少原厂免费三年现场保修和服务(含相关设备的病毒库特征库升级)。
2、以上为参考清单,中标人须根据XX广播电视台办公网络OA系统二级信息安全等级保护建设项目实际情况及中标人出具的具体点位进行方案深化设计和设备、材料的准备。
以上系统为交钥匙工程,需满足XX广播电视台办公网络OA系统二级信息安全等级保护建设项目的所有网络相关需求。
投标人的报价为总报价。
3、根据《国务院办公厅关于进一步做好政府机关使用正版软件工作的通知》(国办发〔2010〕47号)精神,中央国家机关各部门、各单位全面使用正版软件,不得私自安装使用非正版软件。
自行开发的管理软件和信息系统必须拥有完全自主知识产权,开发过程中应用的第三方软件产品要取得合法授权;购买计算机等信息化办公设备要符合预装正版操作系统的要求,杜绝盗版侵权行为。
五、详细设计及设备参数要求
1、数据库审计系统(1台)
指标项
技术指标要求
规格要求
▲配置
标准机箱;标配不少于6个千兆自适应电口,1个Console口,支持两个扩展槽位,支持液晶屏内置4TB磁盘存储空间。
▲性能
事件处理能力≥12000条/秒。
功能要求
部署管理
采用旁路部署方式对原有网络不造成影响,网络审计产品的故障不影响被审计系统的正常运行。
审计数据库类型
支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、达梦、人大金仓kingbase、南大通用Gbase、支持后关系型数据库Cache。
审计协议类型
支持Telnet、pop3、smtp、nfs协议审计,针对FTP协议,可以审计到上传下载的文件名。
数据库监控
支持对MySQL、Oracle、sqlserver、mongodb、redis数据库的状态监控,主动发现数据库潜在风险。
▲提供基于环境动态,整体地洞悉安全风险,以数据为基础,从全局视角提升对安全威胁的发现识别、理解分析的数据库态势感知,及时发现各种异常和危险操作,为整体信息安全管理提供决策依据(提供截图证明)。
部署和管理
▲系统支持分布式部署方式,并支持数据库审计集中管理功能,可快速查看所有审计系统的状态、风险状态等,方便区域性管理及防护策略的落实(提供截图证明)。
审计能力
▲全面支持后关系型数据库Cache的集成工具terminal、portal、studio、Sqlmanager、MedTrak工具的审计,Terminal能审计到M语句和返回结果(提供截图证明)。
支持B/S、C/S应用系统三层架构http应用审计,可提取包括应用系统的应用层帐号、数据库帐号、操作系统用户名、客户端主机名、客户端IP、客户端MAC等身份信息,精确定位到人,并可获取XML返回结果。
审计策略支持
审计策略支持18种以上分项响应条件,可支持数据库操作命令(包括select、create等14个命令)、语句长度、语句执行回应、语句执行时间、返回内容、返回行数、数据库名、数据库账户、服务器端口、客户端操作系统主机名、客户端操作系统用户名、客户端MAC、客户端IP、客户端端口、客户端进程名、会话ID、关键字、时间(含开始结束日期)等。
支持操作语句系列的组合审计规则,可根据某一客体的操作行为序列,连续操作了设定的语句序列时进行规则审计告警。
支持重复操作的统计审计规则,可根据在一定的时间内,重复某项操作达到设定的统计次数进行规则审计告警。
可提供通过子对象模式多级关联跨表跨字段的组合规则。
系统自带审计规则库,用户可自定义审计策略。
事件查询统计
告警检索效率高达亿条数据分钟级,搜索条件支持全范围搜索(特别要求在超过亿条数据量时),一次性完成搜索的响应时间在分钟级别。
实现对当前监控服务器访问情况进行图形化展示分析,并生成报表;对客户端使用的程序、客户端IP、用户名进行图形化排名展示,并生成报表;支持Word、PDF、xls格式报表导出
可对可疑监控对象的操作语句进行回放,方便追溯(提供截图证明)。
配置管理
翻译功能:
实现对SQL语句转换成中文自然语言的描述功能,便于非技术人员理解报警内容。
提供管理员权限设置和分权管理,提供三权分立功能,系统可以对使用人员的操作进行审计记录,可以由审计员进行查询,具有自身审计功能。
系统本身具备能发现未知仿冒进程工具、防范非法IP地址、防范暴力破解登录用户密码(能够对连续失败登陆进行自动锁定,锁定时间可设置)、设置系统黑白名单等安全功能。
资质要求
▲产品相关资质
1)公安部颁发的《计算机信息系统安全专用产品销售许可证》;
2)中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》(ISCCC)。
授权要求
▲授权函和售后服务承诺
投标人提供所投(数据库审计系统)制造商针对本项目出具的授权及售后服务承诺函。
2、日志审计系统(1套)
指标项
技术规格要求
规格要求
使用界面
系统采用基于浏览器的用户界面。
管理范围
能对网络设备、安全设备和系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。
▲性能
平均每秒采集入库≥15000条事件。
▲监控节点
提供至少50个监控节点许可。
功能要求
部署方式
支持单一部署,也支持级联部署;
管理中心内嵌数据库,用户无需另外安装数据库管理系统。
支持采集方式
无需另外安装软件组件,审计中心即可通过SNMPTrap、Syslog、ODBC\JDBC、文件\文件夹、WMI、FTP、SFPT、NetBIOS、OPSEC等多种方式完成日志收集功能。
无需另外安装软件组件,审计中心即可实现新增Oracle数据库自身日志的采集任务、新增SQLServer数据库自身日志的采集任务、新增Apache服务器日志的采集任务;针对文本格式的日志采集,支持不少于本地文件、Windows共享和FTP获取采集方式。
资产管理
系统具有资产管理的功能,能够将被审计资产进行分组、分域的统一维护。
支持资产信息的批量导入和导出,便于安全管理和系统管理人员能方便地查找所需设备资产的信息,并对资产进行关键度赋值。
拓扑视图可以显示被审计资产之间的网络连接关系。
用户可以手工编辑拓扑;支持在拓扑图上添加的资产节点并自动同步到资产列表中;在资产管理界面可查看每个资产设备本身产生的事件信息、关联告警信息,并且支持向下扩展,直接进入事件列表、关联告警列表。
日志实时监视
系统允许管理员实时的,以监视场景的形式查看不同类型的日志信息;实时显示日志内容包括:
接收时间、事件类型、事件名称、报警级别、来源IP、目的IP、设备类型、设备来源IP等。
可以显示一段时间的日志动态图,能够在图上显示每个时间点的日志数量、等级,并能够在图上显示每秒事件数。
用户点击每个时间点,可以查看该时间点内的日志。
用户管理
支持系统管理员、权限管理员和用户管理员三权分立;系统内置上述三类管理员;
系统自身的健康状况监控,包括CPU、内存、磁盘的利用率;
系统口令错误次数可设置,超过错误次数锁定,锁定时间可设置。
资质要求
▲产品相关资质
1)提供公安部颁发的《计算机信息系统安全专用产品销售许可证》;
2)提供中国信息安全产品认证中心颁发的《中国国家信息安全产品认证证书》(ISCCC)。
授权要求
▲授权函和售后服务承诺
投标人提供所投(安全管理系统)制造商针对本项目出具的授权及售后服务承诺函。
3、终端安全管理软件(杀毒软件)(1套)
指标项
技术规格要求
规格要求
▲许可数量
网络版:
支持不少于50服务器端。
环境要求
控制中心安装环境要求操作系统支持WindowsServer2008R2/2012/2012R2/2016的64位版本(简体中文版);支持CentOS7、Redhat7等Linux系统(要求Docker版本务必大于1.8.2);支持在虚拟机上安装控制中心。
Windows客户端操作系统支持WindowsXP_SP3及以上/WindowsVista/Windows7/Windows8/Windows10。
服务器操作系统支持WindowsServer2003_SP2/WindowsServer2008/WindowsServer2012/WindowsServer2016;SUSELinux/RedHatLinux/CentOS/Ubuntu。
▲国产操作系统支持:
中标麒麟/银河麒麟/普华/深度/红旗桌面操作系统(提供操作系统厂商提供的兼容证书)。
功能要求
系统管理
控制中心采用B/S架构管理端,具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能。
支持网页访问部署、离线安装包部署、域推送等部署方式,可自定义部署通知邮件及部署通知公告;
▲支持控制中心防暴力破解,采用手机APP动态令牌方式进行二次认证,针对控制中心高危操作支持动态口令验证,要求令牌APP自主研发(提供截图证明)。
支持加密的控制中心远程访问,支持管理账户并发、密码有效期、鉴别失败锁定等设置。
资产管理
支持硬盘序列号收集、支持SN号收集。
▲支持温度检测以折线图形式实时展示CPU、主板、显卡、硬盘的温度变化(提供截图证明)。
支持插件清理,按插件显示展示全网存在的插件和涉及的终端,可清理指定或全部插件、加入信任;按终端显示展示全网每个终端存在的插件,可清理插件。
支持ldap联动,终端实名认证后自动同步资产信息。
设备联动
▲支持与同品牌防火墙、上网行为管理、终端准入产品联动,达到网关边界联动防御效果(提供截图证明)。
防病毒
支持病毒木马威胁的快速扫描、全盘扫描、强力扫描、文件专杀、隔离区恢复、系统修复、插件管理。
立体防护系统,包含浏览器防护,系统防护,入口防护和隔离防护4大类,其中浏览器防护包含网页防护,看片防护,网购防护,搜索防护,首页锁定,默认浏览器防护,邮件安全防护。
系统防护包含摄像头防护,键盘记录防护,文件系统防护,驱动防护,进程防护,注册表防护。
入口防护包含下载安全防护,U盘防护,黑客入侵防护,漏洞入侵防护,DNS防护,局域网防护。
隔离防护包含可疑程序隔离防护。
检测QQ、MSN、阿里旺旺等常用聊天软件传输某些文件会添加“.重命名”,如果文件安全,将自动去除“.重命名”。
能够实时检测和拦截攻击行
升级会员 