招标文件目录
石家庄市政府采购
询价通知书
编 号:SJZXJ18021
项目名称:信息安全等级测评费和
信息安全等级保护整改设备
采购单位:石家庄市社会保险中心
代理机构:石家庄市政府采购服务中心
日 期:2018年7月
第一部分 报价邀请函
我中心受采购人委托,就石家庄市社会保险中心信息安全等级测评费和信息安全等级保护整改设备采购进行询价采购,现邀请合格的供应商参加。
一、采购人:石家庄市社会保险中心
地 址: 石家庄市向阳街
二、项目名称:一标段:信息安全等级测评费;
二标段:信息安全等级保护整改设备
三、项目编号:SJZXJ18021
四、采购预算金额:一标段:100000元;二标段:700200元
五、政府采购代理机构:石家庄市政府采购服务中心
六、供应商资格要求:
1、投标人必须符合《政府采购法》第二十二条规定的基本条件,具备承担和实施本项目的相应营业范围和能力。
2、根据财库[2016]125号文和冀财采[2016]28号文规定,通过“信用中国”网站(http://www.creditchina.gov.cn)、中国政府采购网(http://www.ccgp.gov.cn)等渠道查询相关主体信用未有不良记录的,
查询日期为招标公告发布之后。
3、根据石政办发[2016]70号文和石家庄市财政局《关于在政府采购活动中使用信用报告的通知》的规定,投标时须提供石家庄信用办审核通过并在“信用石家庄”网站进行公示的《信用报告》或《信用记录》。
4、投标时须持有填写好的《政府采购报名登记表》和《法人营业执照(副本)》、保证金缴纳凭证、法人委托书、被授权人身份证及项目需要的各相关资格证明。开标时提供原件,未提供者为无效投标。
5、本次招标项目不接受联合体投标。
七、投标保证金:
1、投标保证金金额:金额为该项目预算的2%,计一标段:2000元;二标段:14000 元。
2、投标保证金交纳方式:
2.1收款账户全称:石家庄市公共资源交易中心
2.2账号:55130188000004760
2.3开户行:中国光大银行石家庄胜利北街支行
2.4必须在交款凭证备注栏内注明:“一标段市社保中心信息安全等级测评SJZXJ18021保证金;二标段市社保中心信息安全等级整改设备SJZXJ18021保证金”。
3、投标时必须提供交纳投标保证金凭证原件并手持一份复印件(加盖公章)。
八、接受响应文件时间:2018年8月20日上午9:00—9:30 (北京时间)
报价截止及公开报价时间:2018年8月20日上午9:30 (北京时间)
采购人联系人及电话:王辉13933109856
代理机构联系人:孟翠肖 电话:89668562
逾期提交或所提交的响应文件不符合规定,恕不接受。
九、递交响应文件及报价地点:石家庄市槐安东路161号C座(石家庄市公共资源交易中心)开标 7室。
第二部分 供应商须知
一、说明
1.1 合格供应商
1.1.1
具有本项目生产、制造、供应或实施能力,符合《中华人民共和国政府采购法》第22条、承认并承诺履行本文件各项规定的独立承担民事责任的能力均可参加;
1.1.2根据《政府采购法实施条例》释义,银行、保险、石油石化、电力、电信等有行业特殊情况的,允许法人的分支机构参加投标和政府采购活动。分支机构参加投标或政府采购活动须具有其总公司(行)授权,分支机构资质按其总公司(行)授权范围认定。
1.1.3 本次招标项目不接受联合体投标,严禁分包转包。
1.2 “采购货物和服务”指本采购文件中所述产品和服务。
1.3 报价费用
无论报价过程中的方法和结果如何,供应商自行承担所有与参加报价有关费用。
二、询价通知书澄清和修改
2.1采购人、采购代理机构对询价通知书进行澄清,应在询价通知书要求提交响应文件截止前3个工作日内以书面形式通知供应商。
2.2
为使供应商有足够的时间按询价通知书的要求编制响应文件,采购代理机构可酌情推迟报价的截止与公开报价时间,并在提交响应文件截止时间前以书面形式通知各供应商,对所有供应商均具有约束力,而无论是否已经实际收到该通知。在这种情况下,采购代理机构和供应商受报价截止期制约的所有权利和义务均相应延长至新的截止日期。
三、响应文件编制
3.1 语言及计量单位
供应商提交的响应文件以及供应商与采购代理机构就有关报价的所有来往函电均应使用中文简体字,计量单位使用中华人民共和国法定计量单位。
3.2 响应文件构成
响应文件由承诺函、资格资质证明文件、报价表、技术文件及商务文件构成。
3.2.1承诺函(附件二)。
3.2.2资格资质证明文件
3.2.2.1年检合格的营业执照正本或副本,法定代表人授权委托书(附件三),如法定代表人参加报价,提供法定代表人身份证,被授权代理人身份证,保证金缴纳凭证
等采购文件中注明要求的各相关资格资质证明复印件(加盖公章)。以上资质资格证明,开标时出示原件;
3.2.2.2若是中小企业的需提供中小企业声明函和中小企业的证明文件的复印件并加盖投标人公章,若不是中小企业则不需提供。开标时出示原件,否则不予认可。
3.2.2.3满足《政府采购法》第二十二条规定的基本条件的其它资料;
3.2.2.4通过“信用中国”网站(http://www.creditchina.gov.cn)、中国政府采购网(http://www.ccgp.gov.cn)等渠道查询相关主体信用未有不良记录的网上截图;
3.2.2.5需要提交的其他文件;询价小组在需要时,可要求供应商在一定期限内提供资格证明原件。
3.2.3报价表(附件四、附件五);
3.2.4 技术文件
3.2.4.1 报价产品主要技术方案和措施的详细说明,包括宣传彩页、图纸和数据等;
3.2.4.2 技术规格偏离表(附件六);(若有偏离时附本表)
3.2.5 商务文件
3.2.5.1
为使货物正常、连续地使用,应提供采购人使用该货物所需的完整的备件和专用工具清单,包括备件和专用工具的货源及价格。
3.2.5.2 售后服务条款,提供及时、迅速、优质服务的承诺,提供货物出现故障后,响应及排除故障时间;
3.2.5.2.1 对所有货物负责安装、集成、调试、培训的方案;
3.2.5.2.2 提供中标货物齐全的资料(使用说明、安装手册、维修手册、专用工具和相应质检手续证明文件);
3.2.5.2.3 质量保证期以后的维修、维护内容及服务方式、范围和收费等情况。
3.2.5.2.4 投标人对供货或服务期的承诺。提供所投品牌厂商授权和售后服务承诺函。
3.2.5.2.5优先采购节能环保产品,请附节能环保产品清单。
3.2.5.2.6商务条款偏离表 (附件七);(若有偏离时附本表)
3.3 报价
3.3.1本次报价为一次性报价,币种为人民币。报价含包装、运输、保险、搬运到采购人指定地点的搬运费用及因购买货物和服务所需缴纳的所有税费等全部费用。
3.3.2 供应商免费提供的项目,应先填写该项目的实际价格,并注明免费。此项不计入总报价。
3.3.3环保节能产品及中小企业
3.3.3.1采购货物中含政府强制采购节能产品的
,必须符合国家财政部、发展改革委公布的《节能产品政府采购清单》最新一期及相关规定的要求,否则投标无效。《节能产品政府采购清单》在中华人民共和国财政部网站(http://www.mof.gov.cn)、中国政府采购网(http://www.ccgp.gov.cn)、国家发展改革委网站(http://www.ndrc.gov.cn)和中国质量认证中心网站(http://www.cqc.com.cn)上发布,请自行查阅、下载。
3.3.3.2供应商投标货物含有上述强制采购节能产品的,必须在投标文件商务部分附加盖公章的节能产品证书复印件或打印出上述网站公布的含有投标货物的清单(只打印出投标货物所在页即可)并加盖公章,否则其投标无效。
3.3.3.3为推进和规范环境标志产品政府采购,对列入财政部、环境保护部最新一期环境标志产品政府采购清单产品为政府优先采购产品。对于同时列入环保清单和节能产品政府采购清单的产品,应当优先于只列入其中一个清单的产品。《环境标志产品政府采购清单》在中华人民共和国财政部网站(http://www.mof.gov.cn)、中国政府采购网(http://www.ccgp.gov.cn)、中华人民共和国环境保护部网站(http://www.zhb.gov.cn)、中国绿色采购网(http://www.cgpn.org)上发布,请自行查阅、下载。
3.3.3.4根据《政府采购促进中小企业发展暂行办法》中有关规定,对小型、微型企业产品报价给予
6%的价格扣除优惠,用扣除后的价格参与评审。在同等条件下,优先采购具有环境标志、节能、自主创新的产品。
中小企业认定时,须同时提供如下证明材料,否则不予认可:
① 中小企业声明函(原件)。
② 属于中小企业的证明文件(原件)
注:小型、微型企业以出具的中小企业声明函(声明函加盖县级以上工业和信息化部门或相关行政职能部门公章或附县级以上工业和信息化部门或相关行政职能部门证明为准),如弄虚作假将依照政府采购法及有关法律法规处理。
3.3.4最终成交价格按各自报价执行。
3.4 响应文件装订与编写
3.4.1供应商必须将响应文件(A4幅面纸张打印、1份正本、
2份副本)胶装成册(散页无效),编制页码,响应文件正、副本除原件外逐页加盖供应商单位公章。
3.4.2 因响应文件字迹潦草、模糊或表达不清所引起的不利后果由供应商承担。
3.5 响应文件签署
3.5.1法定代表人或被授权代理人必须按采购文件的规定在响应文件(正本、副本及各附件)、报价一览表上签字并加盖供应商单位公章,不得使用其它形式如带有“专用章”等字样的印章,否则报价将被视为无效。如供应商对响应文件进行了修改,则须由供应商的法定代表人或被授权代理人在修改的每一页上签字或加盖公章。
3.5.2 任何行间插字、涂改和增删,必须由供应商的法定代表人或被授权代理人签字或加盖公章后才有效。
3.6 响应文件密封和标记
供应商应将响应文件正、副本密封送达,并在封面注明内容(密封件格式见附件八);
3.7 保证金退还
3.7.1未成交的供应商的保证金在成交通知书发出之日起5个工作日内无息退还;
3.7.2成交供应商的保证金将在签订合同生效后5个工作日内无息退还。
四、响应文件递交
4.1 响应文件签收
4.1.1
响应文件须采用纸质形式和电子文档,评标时提交纸质文件,确定为成交供应商后提交电子文档,以电报、传真、电子邮件等形式提交的不予接受。
4.1.2 对供应商提交的响应文件在公开报价后不予退还。
4.2 响应文件修改与撤回
4.2.1
供应商在询价文件要求提交响应文件的截止时间前,可以补充、修改或者撤回已提交的响应文件,并书面形式通知采购代理机构。
4.2.2 供应商对响应文件的补充、修改或撤回应按本须知规定编制、密封、标记和递交。
4.2.3 撤回的要求应以书面形式提出,由供应商法定代表人或被授权代理人签署,并在报价截止时间前送达采购代理机构。
4.2.4公开报价仪式后撤回的行为将被记入不良记录名单,其保证金不予退还,供应商今后参与同类政府采购项目的机会可能会受到影响。
五、公开报价与评审
5.1 公开报价
按照询价通知书规定的时间、地点公开报价,报价前将资格预审检查响应文件的密封情况,并经全体供应商确认。
5.2 组建询价小组
采购人将根据本项目的特点组建询价小组,其成员由采购人及有关方面的专家3人单数组成,其中技术、经济等方面的专家不少于成员总数的2/3,询价小组负责对响应文件进行评审,根据采购人的授权直接确定成交供应商。
5.3 评审原则
本项目采用最低评标价法,评审依据为询价通知书、响应文件;由采购人授权询价小组,根据符合采购需求、质量和服务相等且报价最低的原则确定成交供应商。按报价由低到高顺序排列,报价相同的,按技术指标优劣顺序排列。如果都相等,抽签决定中标人。
5.4 无效响应文件
5.4.1未按要求提交保证金;不参加报价事宜;未按照询价通知书要求密封、签署、盖章等情况,则其响应文件将被拒绝。
5.4.2 如出现下列情形之一的视为对响应文件没有做出实质性响应,按无效文件处理:
5.4.2.1响应文件中的货物配置、技术参数明显不符合询价通知书要求;
5.4.2.2不符合法律法规和询价通知书中规定的其他实质性要求的;
5.4.2.3无论在评审过程中或其他任何时侯发现下列情形之一的,报价将被拒绝,采购代理机构有权依法追究供应商的法律责任:
5.4.2.3.1提供虚假材料谋取成交的;
5.4.2.3.2采取不正当手段诋毁、排挤其他供应商的;
5.4.2.3.3恶意串通报价的;
5.4.2.3.4其他任何有企图影响询价结果公正性的活动。
5.4.3资格资质或证明的复印件与原件不符,或为虚假材料。
5.4.4采购项目分多个标段,供应商投一标段或多标段的,必须按标段分别制作投标文件,分别装订、封装,并在密封袋、投标文件封面、投标文件相应位置标明所投标段号及其项目名称。未按以上要求提交的。
5.5 响应文件的修正
5.5.1报价后,询价小组可能允许修正报价中不构成重大偏离的地方,但修正不会对其他实质上响应询价文件要求的供应商的竞争地位产生不公正的影响。
5.5.2
询价小组将拒绝被确定为非实质性响应的响应文件,供应商不能通过修正或撤销响应文件中的不符之处而使其报价成为实质性响应的报价。
5.5.3报价后,对明显的文字和计算错误按下述原则处理:
5.5.3.1如果正本与副本不一致,以正本为准;如果单独的报价一览表与响应文件正本有差异,以报价一览表为准;响应文件中的报价一览表与响应文件中明细表内容不一致的,以报价一览表为准;多份报价一览表所记录投标报价不一致的,按无效报价处理。
5.5.3.2如果以文字表示的数据与数字表示的有差别,以文字为准修正数字。如果大写金额和小写金额不一致的,以大写金额为准;
5.5.3.3单价金额小数点有明显错位的,应以总价为准;
5.5.3.4调整后的数据对供应商具有约束力,供应商不同意以上修正,其报价将被拒绝。
5.6 响应文件的澄清
5.6.1为有助于对响应文件进行审查,询价小组有权向供应商询问。询价小组有权以书面形式要求供应商对其响应文件中含义不明确、同类问题表述不一致或者有明显文字和计算错误的内容作出必要的澄清、说明或者补正。但供应商的澄清、说明或者补正应当采用书面形式,由其法定代表人或被授权代理人签字,并不得超出响应文件的范围或改变响应文件的实质性内容。供应商澄清、说明或者补正的内容构成响应文件的组成部分。供应商拒不按照要求对响应文件进行澄清、说明或者补正的,询价小组可拒绝该报价。
5.6.2如询价小组一致认为某个供应商的报价明显不合理,有降低质量、不能诚信履行的可能时,询价小组有权决定是否通知供应商限期进行书面解释或提供相关证明材料。若已要求,而该供应商在规定期限内未做出解释、作出的解释不合理或不能提供证明材料,询价小组可拒绝该报价。
5.7 评审过程保密
公开报价之后,直到签订合同止,凡是属于审查、澄清、评价和比较报价的有关资料以及成交意向等,均不得向供应商或者其他与评审无关的人员透露。
5.8 供应商瑕疵滞后的处理
5.8.1
无论基于何种原因,各项本应作拒绝处理的情形即便未被及时发现而使该供应商进入成交程序,包括已经签订合同的情形,一旦在任何时间被发现存在上述情形,则采购代理机构均有权随时视情形决定是否取消该供应商的此前评议结果,或随时视情形决定是否对该报价予以拒绝,并有权决定采取相应的补救或纠正措施。一旦该供应商被拒绝或被取消该供应商的此前评议结果,其现有的位置将被其他供应商依序替代,相关的一切损失均由该供应商承担。
5.8.2
若已经超过质疑期限而没有被发现且已经签订了相关的合同,之后才发现存在上述情形,经询价小组或采购代理机构再行审查认为其在技术、必要资质等方面并不存在问题而仅属于商务方面存在瑕疵的问题,且若一旦取消该供应商的此前评议结果或采取类似效果的处理措施将对本次采购更为不利,在此情形下准备考虑维持结果,询价小组或采购代理机构有权要求该存在瑕疵的供应商提供特别担保金用以承担可能产生的赔偿责任,若其拒绝提供该等担保或所实际提供的担保金额不足要求金额,询价小组或采购代理机构有权并且应当决定取消供应商的此前评议结果或采取类似效果的措施。
5.9 特殊情况下的处理方法
根据政府采购法律法规的有关规定,出现下列情形之一的,询价小组将否决所有供应商的报价。
5.9.1出现影响采购公正的违法、违规行为的;
5.9.2 供应商的最终报价均超过了采购预算; 5.9.3 因重大变故,采购任务取消的。 六、成交结果
6.1 成交通知
6.1.1评审结果将在河北省政府采购网、河北省公共资源网、石家庄市行政审批局网站上公布,确定成交供应商并发布成交公告,不再以书面方式通知未成交供应商。对未成交的供应商不作未中标原因的解释。
6.1.2 《成交通知书》发出后,采购单位改变成交结果,或者成交供应商放弃成交项目的,应当依法承担法律责任。
6.2 签订合同
6.2.1 成交通知书发出之日起30日内,按照询价通知书确定的事项签订合同。
6.2.2 询价通知书、成交供应商的响应文件以及询价过程中的有关澄清、说明或者补正文件均为合同的组成部分。
6.2.3采购人自政府采购合同签订之日起2个工作日内,将政府采购合同在省级以上人民政府财政部门指定的媒体上公告,但政府采购合同中涉及国家秘密、商业秘密的内容除外。
七、处罚、质疑
7.1 处罚
发生下列情况之一,供应商的保证金或履约保证金不予退还,并被列入不良记录名单,依法进行处罚:
7.1.1公开报价后在报价有效期内,供应商撤回其报价;
7.1.2成交供应商未按本询价通知书规定签订政府采购合同;
7.1.3成交供应商与采购人订立背离合同实质性内容的其它协议;
7.1.4将成交项目转让给他人,或者在响应文件中未说明,且未经采购代理机构和采购人同意,将成交项目分包给他人的;
7.1.5成交供应商不按要求提交履约保证金的;
7.1.6供应商其它未按询价通知书规定和合同约定履行义务的行为。
7.2 质疑
7.2.1
供应商对采购文件有疑问的需在开标前书面提出,否则均视为对采购文件的认同;对采购程序和成交结果事项有疑问的,可以向采购人或政府集中采购机构提出询问,采购人或政府集中采购机构将依法作出答复,但答复的内容不涉及商业秘密。
7.2.2供应商质疑应提供书面文件,并按照“谁主张、谁举证”的原则,附上相关证明材料、具体的质疑事项及法律依据(具体条款),如果涉及到产品功能或技术指标的,应出具相关制造商的证明文件、投标人必须符合《政府采购法》第二十二条规定的基本条件,具备承担和实施本项目的相应营业范
围和能力。
7.2.3质疑供应商名称、地址、联系方式(包括手机、传真号码)。
7.2.4法定代表人签署本人姓名或印盖本人姓名章并加盖单位公章,或法定代表人特别授权加盖单位公章,并由参加采购项目的授权代表签署本人姓名或印盖本人姓名章等。
7.2.5报价供应商不得虚假质疑和恶意质疑,并对质疑内容的真实性承担责任。报价供应商或者其他利害关系人通过捏造事实、伪造证明材料等方式提出异议或投诉,阻碍采购活动正常进行的,属于严重不良行为,采购人或采购代理机构将提请财政部门列入不良行为记录名单,并依法予以处罚。
八、解释权
本询价通知书的最终解释权归采购人,当对一个问题有多种解释时以采购人的书面解释为准。询价通知书未做须知明示,而又有相关法律、法规规定的,采购人对此所做解释以相关的法律、法规规定为依据。
第三部分 采购需求及技术要求
一标段:信息安全等级测评费
石家庄市社保中心信息安全等级保护测评招标要求
一、投标人资质要求
1、具有有效企业法人营业执照、税务登记证、组织机构代码证或者三证合一,投标时提供上述证照的原件。
2、具备省级信息安全等级保护工作协调领导小组办公室颁发的《信息安全等级保护测评机构推荐证书》,投标时提供上述证照的原件。
3、投标人应当具有满足等级测评工作的专业技术人员和管理人员,其中信息安全高级测评师不低于2人(可从“中国信息安全等级保护网www.djbh.net”-“测评机构”中查询,并提供相关截图)。
二、技术要求
1、项目概况
为了响应国家及相关主管部门对网络安全的政策要求,我局于2016年7月份对企业职工养老保险系统、退休职工社会化管理系统开展了等级保护测评工作。在该项工作中,我局对信息系统安全状态进行了仔细梳理,对系统与国家相关建设标准之间存在的差距进行了分析,并对有条件进行整改的安全风险进行了针对性的安全加固工作;
2017 年6 月1 日起,《网络安全法》正式实施,其中,第21
条明确规定,“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。这一年里,为了适应日益严峻的国内外网络安全态势,等保技术也进入了2.0时代。
为了满足国家法律法规的要求,满足信息安全新态势下的新要求,近年我局不断完善网络安全保护措施,系统安全架构也做了很大的调整。升级改造后的系统,按照等级保护制度的具体要求开展复测工作势在必行。通过该项工作,进一步找出系统的安全差距,增强网络的抗攻击能力,保证我局重要信息系统正常运转
涉及系统及定级情况如下表:
信息系统名称
安全保护等级
业务信息安全(S)
系统服务安全(A)
企业职工养老保险系统
第三级
第三级
第三级
退休职工社会化管理系统
第三级
第三级
第三级
2、参照标准
测评方应依据国家等级保护相关标准开展工作,依据标准包括但不限于如下:
· 《计算机信息系统安全保护等级划分准则》(GB17859-1999)
· 《信息系统安全保护等级定级指南》(GB/T 22240-2008)
· 《信息系统安全等级保护实施指南》(GB/T 25058-2010 )
· 《信息系统安全等级保护基本要求》(GB/T 22239-2008)
· 《信息系统安全等级保护测评要求》(GB/T 28448-2012)
· 《信息系统安全等级保护测评过程指南》(GB/T 28449-2012)
· 《信息技术安全技术信息安全管理体系要求》(GB/T22080-2008)
· 《计算机信息系统安全等级保护通用技术要求》(GAT 390-2002)
· 《信息安全技术信息系统安全管理要求》(GB/T 20269-2006)
· 《信息系统安全工程管理要求》(GB/T20282-2006)
· 《信息系统等级保护安全设计技术要求》(GB/T 25070-2010 )
· 《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)
3、实施原则
本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则:
·
保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究投标人的责任。
· 规范性原则:投标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
· 可控性原则:测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
· 整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
·
最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响,保证现有系统24小时的不间断、稳定、安全运行。
·
非高峰期原则:漏洞扫描及渗透测试时间,应尽量安排在夜间或法定节假日期间,制定切实可行的测试实施细则;对意外导致的宕机等,应提供应急保障方案,切实保证关键系统能正常工作。
投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
4、工作内容
4.1 初测评
检查被测系统现状,参照《信息系统安全等级保护基本要求》(GB/T
22239-2008)从物理安全、网络安全、主机安全、数据安全和安全管理等层面进行差距分析,依据《信息系统安全等级保护测评要求》(GB/T
28448-2012),对系统进行初次安全评估。
通过对系统现状的分析和梳理,发现系统现有安全措施与等级保护基本要求的差距,提出安全整改建议,以指导后续安全整改工作。
测评内容:
物理环境测评:包括位置、访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电磁防护等内容。
网络系统测评:包括网络架构、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、网络恶意代码防范、网络设备防护等内容。
主机与数据库测评:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等内容。
应用系统测评:包括应用系统身份鉴别、应用系统访问控制、应用系统安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等内容。
数据及备份恢复测评:包括数据完整性、数据保密性、备份和恢复等内容。
安全管理测评:涵盖管理制度、管理机构、人员管理、系统建设管理、系统运维管理等方面。
4.3 安全整改
协助招标方按照《信息安全等级保护管理办法》(公通字[2007]43号)、《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)等有关文件要求和《信息系统安全等级保护基本要求》(GB/T
22239-2008)、《信息系统等级保护安全设计技术要求》(GB/T 25070-2010
)等标准规范,制定安全管理制度、落实安全责任,建议安全技术设施,落实安全技术措施。
通过安全建设整改,确保信息系统基本达到相应级别的安全要求。
4.4 二次测评
此阶段是等级测评完整实施阶段,通过对整改后的系统二次测评,进一步分析和梳理,并按照《信息系统安全等级测评报告模版》(2015年版)编写等级测评报告。
5、安全意识和技能培训
针对技术人员、管理层提供不同类型的信息安全培训。
6、测评对象
本系统测评的测评对象包括以下几类:
1.主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于信息系统的局部(包括整体)或对信息系统的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象;
2.办公场地;
3.整个系统的网络拓扑结构;
4.安全设备,包括防火墙、入侵检测设备和防病毒网关等;
5.边界网络设(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;
6.对整个信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等;
7存储被测系统重要数据的介质的存放环境;
8.承载被测系统主要业务或数据的服务器(包括其操作系统和数据库);
9管理终端和主要业务应用系统终端;
10.业务备份系统;
11.信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人;
12.涉及到信息系统安全的所有管理制度和记录。
7、交付物
工作计划、流程、内容、及成果交付,严格遵循相关文件,根据实际情况,开展信息系统的等级测评,测评报告内容及格式严格遵照《信息系统安全等级测评报告模版》(2015年版)撰写。
项目实施验收前应提交真实可靠、客观公正的评估文档,文档应包括但不限于以下内容:
1)测评方案;
2)等级测评报告;
3)整改建议。
二标段:信息安全等级保护整改设备
石家庄市社保中心等级保护整改设备清单和具体参数
等级保护整改设备清单和性能、功能技术要求
1、设备清单
序号
产品名称
数量
单位
1
横向互联边界下一代防火墙
2
台
2
互联网边界下一代防火墙
1
台
3
核心交换机
1
台
4
运维堡垒机
1
台
5
漏洞扫描系统
1
台
6
日志审计系统
1
台
7
网络安全准入系统
1
台
8
IT运维管理系统
1
台
9
信息安全等级保护资源池
2
台
2、产品性能、功能技术要求
标★参数为重要参数,必须满足,如不满足将视为无效投标。
横向互联边界下一代防火墙
指标项
指标要求
网口数量
★至少配备6个千兆电口,2个USB接口,1个RJ45串口,支持BYPASS
性能
★设备整机吞吐量≥2.5Gbps,每秒新建连接数≥1.8万,最大并发连接数≥100万
部署模式
支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式;
路由支持
支持静态路由,ECMP等价路由;
支持RIPv1/v2,OSPFv2/v3,BGP等动态路由协议;
★支持多链路出站负载,支持基于源/目的IP、源/目的端口、协议、应用类型以及国家地域来进行选路的策略路由选路功能;
基础功能
访问控制规则支持基于源/目的IP,源端口,源/目的区域,用户(组),应用/服务类型,时间组的细化控制方式;
访问控制规则支持失效规则识别,如规则内容存在冲突、规则生效时间过期、规则超长时间未有匹配等情况;
访问控制规则支持分组管理;
★支持根据国家/地区来进行地域访问控制;
内容安全
内置病毒样本数量超过200万;
支持URL过滤和文件过滤功能,URL过滤支持GET,POST请求过滤和HTTPS网站过滤,文件过滤支持文件上传和下载过滤;
★支持针对SMTP、POP3、IMAP邮件协议的内容检测,如邮件附件病毒检测、邮件内容恶意链接检测,邮件账号撞库攻击检测等,支持根据邮件附件类型进行文件过滤;
入侵防护功能
★设备具备独立的入侵防护漏洞规则特征库,特征总数在7000条以上;
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP、POP3、
RDP、Rlogin、SMB、Telne、Weblogic、VNC)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能;
具备防护常见网络协议(SSH、FTP、RDP、VNC、Netbios)和数据库(MySQL、Oracle、MSSQL)的弱密码扫描功能;
可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则;
僵尸主机检测
设备具备独立的僵尸网络识别库,特征总数在40万条以上;
对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告;
安全可视化
支持资产的自动发现以及资产脆弱性和服务器开放端口的自动识别;
支持对检测到的攻击行为按照IP地址的地理位置信息进行威胁信息动态展示,实时监测和展示最新的攻击威胁信息;
双机热备
双机支持A/S,A/A方式部署;
支持配置同步,会话同步和用户状态同步;
支持双机心跳线冗余;
兼容性要求
★为确保防护立体完整性,边界防火墙需与信息安全等级保护资源池平台同一品牌
互联网边界下一代防火墙
指标项
指标要求
兼容性
★要求与原有互联网出口防火墙组成双机,实现高可用,满足信息安全等级保护要求
网口数量
★至少配备4个千兆电口4个千兆光口,2个USB接口,1个RJ45串口,支持BYPASS
性能
★设备整机吞吐量≥3.5Gbps,每秒新建连接数≥3万,最大并发连接数≥150万,
部署模式
支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式;
路由支持
支持静态路由,ECMP等价路由;
支持RIPv1/v2,OSPFv2/v3,BGP等动态路由协议;
★支持多链路出站负载,支持基于源/目的IP、源/目的端口、协议、应用类型以及国家地域来进行选路的策略路由选路功能;
基础功能
访问控制规则支持基于源/目的IP,源端口,源/目的区域,用户(组),应用/服务类型,时间组的细化控制方式;
访问控制规则支持失效规则识别,如规则内容存在冲突、规则生效时间过期、规则超长时间未有匹配等情况;
访问控制规则支持分组管理;
★支持根据国家/地区来进行地域访问控制;
内容安全
内置病毒样本数量超过200万;
支持URL过滤和文件过滤功能,URL过滤支持GET,POST请求过滤和HTTPS网站过滤,文件过滤支持文件上传和下载过滤;
★支持针对SMTP、POP3、IMAP邮件协议的内容检测,如邮件附件病毒检测、邮件内容恶意链接检测,邮件账号撞库攻击检测等,支持根据邮件附件类型进行文件过滤;
入侵防护功能
设备具备独立的入侵防护漏洞规则特征库,特征总数在7000条以上;
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP、POP3、
RDP、Rlogin、SMB、Telne、Weblogic、VNC)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能;
具备防护常见网络协议(SSH、FTP、RDP、VNC、Netbios)和数据库(MySQL、Oracle、MSSQL)的弱密码扫描功能;
可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则;
僵尸主机检测
设备具备独立的僵尸网络识别库,特征总数在40万条以上;
对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告;
安全可视化
支持资产的自动发现以及资产脆弱性和服务器开放端口的自动识别;
支持对检测到的攻击行为按照IP地址的地理位置信息进行威胁信息动态展示,实时监测和展示最新的攻击威胁信息;
双机热备
双机支持A/S,A/A方式部署;
支持配置同步,会话同步和用户状态同步;
支持双机心跳线冗余;
兼容性要求
★为确保防护立体完整性,互联网边界防火墙需与信息安全等级保护资源池平台同一品牌
核心交换机
指标项
指标要求
兼容性要求
★要求与现有华为S7703智能路由器组成双机,提高网络稳定性,满足信息安全等级保护三级要求。
基本配置
★基本引擎交流组合配置(含一体化总装机箱,2块主控板,2*800W交流电源)
业务板卡
★至少配备36端口十兆/百兆/千兆以太网电接口和12端口百兆/千兆以太网光接口板
交换容量
★交换容量≥19.2Tbps(如官网以X/Y字样表示,以X为准)
包转发率
★包转发率≥1440Mpps(如官网以X/Y字样表示,以X为准)
业务槽位
★业务槽位≥3
端口密度
★整机万兆端口密度≥120个
单板要求
支持40GE单板
正积极线速万兆端口密度≥36个,支持全分布式转发
硬件要求
支持无源背板
为保障设备可靠性,要求支持1+1冗余主控
支持风扇自动调速
支持颗粒化电源,支持1+1电源冗余
支持标准SFP、XFP、SFP+模块(支持标准SFP、XFP)
用户管理
业务板随板统一用户功能,支持统一用户管理,支持PPPoE、802.1X、MAC、Portal认证方式
支持基于流量和时长计费方式
支持分组分域分时授权方式
MAC
支持整机MAC地址≥1M
VLAN
支持4K个VLAN
支持Access、Trunk、Hybrid方式,支持LNP链路类型自协商
支持default VLAN
支持VLAN 交换
支持基于MAC的动态VLAN分配
VxLAN
支持VxLAN功能
支持通过Netconf配置
路由表
支持1M IPv4路由表项
支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议
支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6动态路由协议
支持128K 组播路由表项
支持IGMPv1/v2/v3、IGMP v1/v2/v3 Snooping
支持 PIM DM、PIM SM、PIM SSM
支持MSDP、MBGP
IPv6
支持IPv6
MPLS
支持MPLS基本功能
支持MPLS OAM
支持MPLS TE
支持MPLS VPN/VLL/VPLS
QoS
支持256K ACL
支持基于Layer2协议头、Layer3协议、Layer4协议、802.1p优先级等的组合流分类
支持ACL、CAR、Remark、Schedule等动作
支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等队列调度方式
支持流量整形
管理和安全性
支持802.1x认证,Portal认证
支持RADIUS和HWTACACS用户登录认证
支持NAC
支持防范DoS攻击、TCP的SYN Flood攻击、UDP Flood攻击、广播风暴攻击、大流量攻击
支持Console、Telnet、SSH等终端服务
支持SNMP v1/v2c/v3等网络管理协议
支持热补丁
支持1K CPU通道队列保护
可靠性
支持VRRP、BFD for VRRP
支持 BFD for BGP/IS-IS/OSPF/静态路由
支持 NSF、GR for BGP/IS-IS/OSPF/LDP
支持真实业务的实时检测技术,秒级快速故障定位
运维堡垒机
指标项
指标要求
设备基本要求
要求投标产品为标准1U机架式结构型;提供1个console口,2个USB口;最少配置4个10/100/1000BASE自适应电口,1个可扩展插槽;
提供1T存储空间。
★本次要求提供50个设备许可。
部署方式
物理旁路单臂部署,以逻辑网关方式工作;不改变现有网络结构,不改变运维人员的运维习惯。
组织结构
★不限级数的进行分层分级分类管理。
★支持从AD域抽取OU,方便快速建立组织结构。
支持组定义类型(用户、资源、综合)便于管理和快速查找。
用户管理
完整的用户帐号生命周期管理,实现帐号的创建、维护、修改、删除的集中管理;自定义用户类型,基于针对用户类型进行用户地址策略。
★主帐号支持从AD域内抽取,方便快速建立主账号。
从账号管理(设备账号)
★支持资源从账号的管理,系统具有各种资源类型驱动器能够将资源上的账号进行自动抽取、推送及属性的变更等。
导出的账号口令需要输入密码解密查看。
★提高设备的安全性,不采用标准的协议端口,平台支持FTP、telnet、ssh、远程桌面等协议服务端口变更。
授权管理
★支持自定义角色。角色可按照组节点进行定义,从而实现分层分级管理模式。角色权限细粒度高,可自由组合。
★资源授权模式基于岗位授权,岗位上绑定资源账号,这样授权可迁移、授权粒度更细;并可针对岗位设置相关安全策略。
单点登录SS0
★运维人员可将经常访问的资源添加到收藏夹。
★支持批量单点登录资源,简化工作量。
支持网络设备enable和unix主机su等身份切换的单点登录功能。
运行rz,sz等命令,从而可以非常便捷快速的进行两个系统的文件交换。
访问授权资源时不必再输入从帐号和密码
安全管理
可以配置成可访问时间段方式,也可以配置成不可访问时间段方式。配置时间段时可以配置日期和小时。
★上下行剪切板控制、共享磁盘控制、控制台登录控制。
可以配置访问失败几次锁定,也可以配置锁定后多长时间解锁。
根据不同设备审计安全需求,客户自定义审计范围,字符(命令、内容、录像)、图形(录像、键盘、上下行剪切板、上下行文件传输)、FTP(命令、保留上传文件、保留下载文件)。
★内置VPN功能,无需专用VPN硬件支持,即可保证远程接入堡垒机的链路安全。
审计管理
图形资源访问时,支持键盘、剪切板、文件传输记录,并且对图形资源的审计回放时,可以从某个键盘、剪切板、文件传输记录的指定位置开始回放。
系统预设常用统计报表模板,分为基础业务报表、行为审计报表、信息管理报表三大类。报表提供Word、Excel、PDF类型下载。
系统配置
应用备份、管理数据备份、审计数据备份、配置文件备份
包括:cpu工作情况,内存使用情况,磁盘使用情况,网卡使用情况,系统数据库工作情况,
WEB服务工作情况,其他关键组件工作情况等。
★支持日志数据的外置存储备份,支持NFS和windows文件共享协议,远程审计存储和本地存储对审计员透明。
漏洞扫描系统
指标项
指标要求
★设备要求
产品应为专用1U机架式设备,含1个RJ45串口,1个GE管理口,4个10M/100M/1000M自适应以太网电口扫描口,
4个千兆SFP插槽。允许最大并发扫描≥30个IP地址,允许最大并发任务≥5个任务,单个任务允许扫描的最大扫描范围不小于一个B类IP地址。
开启全插件漏洞扫描、弱口令探测和登陆扫描后扫描速度不低于300 ip/h。
最大存储任务数为1000个。
产品应支持多路扫描功能,可以同时对多个隔离业务子网进行扫描,单产品支持扫描的最多隔离网络数不少于8个。
支持IPv4和IPv6环境的部署、扫描、资产管理。
功能要求
产品支持对系统漏洞扫描、综合分析,可输出同时包含系统漏洞的报表;同时支持远程扫描和采用SMB、SSH、RDP、Telnet等协议对Windows、Linux等系统进行登录扫描。支持检测的漏洞数大于40000条,兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准。
产品应支持通过多种维度对漏洞进行检索,包括:CVE ID、BUGTRAQ ID、CNCVE ID、CNVD
ID编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息。
内置不同的漏洞模板针对Unix、Windows操作系统、网络设备和防火墙等模板,同时支持用户自定义扫描范围和扫描策略;支持自动模板匹配技术。
支持扫描国产操作系统、应用及软件的安全漏洞,如红旗、麒麟、起点操作系统,提供详细漏洞列表。
支持扫描主流虚拟机管理系统的安全漏洞,如:VMWareESX/ESXi,要求能够扫描大于300条相关漏洞。
系统内置Exploit DB漏洞、Metasploit漏洞、Exploit Pack漏洞检测模板。
支持45种以上常见设备和应用的配置检查,包括操作系统、网络设备(路由器和交换机)、防火墙、应用中间件、WLAN设备、虚拟化设备。
支持本地检查,可以利用ActiveX控件对windows主机进行本地检查,仅需要IE访问配置核查设备即可进行本机配置核查。
支持专门针对DNS服务的安全漏洞的检测,包括DNS投毒等漏洞检测能力。
可以通过多种维度搜索定位资产和查看资产风险,包括并不限于:节点或设备名称、资产IP范围、资产管理员、资产操作系统类型、资产风险等级、漏洞名称、开放的端口、资产banner信息等
支持自定义风险值计算标准配置,可对主机风险等级评定标准和网络风险等级评定标准进行自定义
支持复用已有任务配置用于新的扫描任务
支持Oracle、MySQL、MS SQL、DB2、Sybase数据库漏洞检查。
支持通过SSH或TELNET登录到跳板机,然后再跳转到远程目标主机进行配置检查,跳转次数不限制。
具备对外接口,支持安全运营平台或其它安全产品通过该接口下发扫描任务以及获取检查结果。
日志审计系统
指标项
指标要求
系统管理模式
基于j2ee平台构架,具备跨平台性、开放性和扩展性;通过web方式对本系统实现管理
支持SSL加密模式传输
支持windows ,linux系统
系统部署
支持单级部署
支持多级部署;
系统性能
日志采集峰值:40000EPS
日志采集均值:30000EPS
综合处理峰值:35000EPS
★综合处理均值:20000EPS
★数据存储能力:支持大数据存储;压缩加密存储,压缩比不低于10:1;日志存储不低于20000条/M
★支持TB级数据交互式多条件查询,百亿级数据查询结果返回延时小于10s
数据采集
支持市面主流安全设备、网络设备、中间件、服务器、数据库、操作系统等不少于26类300种日志对象的日志数据采集。
★支持标准化日志描述语言快速扩展兼容特殊日志
支持日志归一化处理,将不同设备所产生的不同格式的难以理解的日志数据进行统一格式化处理,提炼出有用信息清晰、明确的展示给管理者
数据存储
支持对所管理设备的日志原始数据完整存储
★采用基于具有自主知识产权的非关系型大数据存储架构,支持数据本地集中存储、网络存储以及大数据存储
★支持自定义存储位置,支持磁盘阵列、SAN、NAS等外部高性能存储
支持数据自动、手动备份以及备份数据回复查看。
告警管理
★支持安全告警概况、安全告警趋势以及实时安全事件的统一展示,实时告警可根据级别、规则类型等进行分类
支持根据时间类型、级别、规则类型、规则名称、时间范围、事件名、设备IP、源IP、目的IP、源端口、目的端口和传输协议等方式快速检索安全事件告警,检索结果支持Excel等格式导出
★支持基于时间轴展示数据分布,能够通过时间轴进行查询分析
告警响应
支持邮件、声音、短信、命令行等多种告警方式
可以针对不同类型、不同种类以及不同安全级别的安全事件制定不同的告警方式。
统计报表管理
支持自定义报表
支持PDF、word、execl、html等方式导出报表
数据查询
支持实时日志查看,提供实时更新的最近的2000条日志信息,管理员可以进行监视、刷新、清零等基本监视条件管理。
支持多条件组合查询;支持原始日志全文检索;查询结果可将归一化日志和原始日志同屏对比显示;
支持等于、不等于、大于、小于、正则表达式等查询条件;支持为不同类型日志设置不同的查询条件和显示条件;
日志源管理
管理员可以对日志源进行查看、添加、编辑、删除以及启\禁用的操作;支持手动添加日志源、导入日志源
支持为资产指定类型、名称、IP地址、IP地址归属、操作系统类型、主机名、收集节点、收集方式、以及日志源启停状态等属性信息
支持自动生成日志源拓扑图
支持黑白名单制定,被添加到黑名单列表中的IP地址主动发送的日志将被忽略。
系统管理
支持用户按角色管理,支持三权分立
系统配置信息支持备份导入
邮件服务器可配置
数据采集端口可配置
支持代理管理与诊断
网络安全准入系统
指标项
指标要求
硬件要求
★要求1U机箱,至少具备6个10/100/1000BASE-T电口采集口,至少一组电口支持bypass功能。要求接口具有扩展能力,具备1个接口扩展槽,不小于128G的存储空间
性能指标
至少支持300用户在线
部署方式
部署简单,不改变用户现有的网络结构
高可用性
★系统采用专用硬件架构与专用安全操作系统;专用的安全操作系统具有自主知识产权;
★双操作系统冷备支持,当常用系统出现故障可以使用备用系统恢复
★支持双机热备,主备无缝切换,支持双机间的数据同步
支持命令行与B/S模式管理;
网络准入
基于802.1X方式准入
★支持传统PC有线和无线认证、健康检查、动态VLAN划分
★支持智能终端无线准入,无需安装客户端。(支持Android 2.2以上、IOS 4.0以上、Windows
Phone等主流操作系统)
健康检查
系统支持健康检查项包括:系统时间检查、系统运行时长检查、资产验证检查,检查终端资产是否合法、Guest用户检查、Windows文件共享检查、Windows防火墙检查、必须/禁止运行进程检查、必须/禁止运行服务检查、必须/禁止安装软件检查、Windows桌面屏保检查、杀毒软件版本(Avira[国内称:小红伞]、瑞星、金山毒霸、卡巴斯基、诺顿、360杀毒)检查项等
★支持检查项分数设置:检查项策略对象之间可通过评分制的形式对终端的健康状况做最后的评估,根据预先配置好的阈值对终端入网请求作出判断。
用户管理
★支持用户和VLAN绑定,支持用户组管理,支持用户或用户组和策略绑定,支持LDAP和AD域认证
在线用户
显示当前在线用户名、VLAN、NASIP地址、NAS端口、终端MAC、准入状态、得分、终端IP地址、上线时间
终端管理
支持统一下发客户端的网络配置(配置项包括:IP、网关和DNS子网掩码等信息)
支持客户端IP/MAC绑定
日志管理
用户认证日志:包括认证用户、VLAN、NASIP、NAS端口、终端MAC、准入状态、认证时间等信息。可自定义时间查询,时间可进行微调。
用户健康检查日志:包括认证用户、VLAN、NASIP、NAS端口、准入状态、健康检查得分、认证时间、详情等信息,其中在详情里面可以详细地看到该用户各项检查的结果
系统日志:系统日志包括用户操作的审计日志和系统错误信息等
系统管理
支持网络主机名配置,可添加准入系统网络主机IP和主机名
支持网络管理,控制网络准入系统的IP接口、路由管理、系统访问控制管理,满足固定IP地址访问系统
支持系统服务管理,对网络准入设备上的服务进行管理,可以进行的操作有启动服务、禁用服务、重启服务,系统页面展现无需后台操作
IT运维管理系统
指标项
指标要求
基本要求
软件系统应是全中文使用界面和全中文配置界面。
系统应具有面向大屏幕的全屏界面,和面向个人的瘦客户界面。
B/S架构。
配置管理
具有IT资产及其属性的安全访问管理功能。能够进行IT资产的生命周期管理,并进行统计。能够按照厂商的类别进行IT资产的自动识别和统计。
通过配置管理可实现对IT组件的故障历史信息、变更历史信息、知识信息、发布信息、资产信息、硬件配置信息、软件设置信息的管理。
实现对与IT服务管理相关的合同,技术文档,配置手册等文档,文档的访问和修改的安全控制。
网络拓扑管理
能够发现和建立真实的网络连接关系,能够真实的反映网络的实际连接状况,反映设备之间物理及逻辑的连接情况,同时支持支持拓扑图上手动的网络、设备拓扑伸展以及设备图标的修改。
具有网络拓扑协议透视的功能,可以查看网络中运行协议的状态,如生成树协议(STP),VTP,OSPF,BGP等,能够在拓扑图上标识各个网络设备在不同协议下的部署角色。
通过在拓扑图上配置区域,生成该区域的VLAN配置信息。
主机服务器监控
支持Windows、UNIX、LINUX、VMWare系统的监测。
通过使用不同的数字颜色表示CPU、内存使用情况,当某项或者某些项的组合指标超过预定阀值时报警。
监控服务器TCP/UDP端口的输入、输出、错包及各种可用统计参数等。
所监控的进程可以和应用系统模块相联系,在应用系统模块中应可以选择所设定的监控进程组,对进程所组成的业务系统进行全面的监控.
数据库监控
支持对ORACLE、DB2、Sybase、SQLServer等主流数据库的管理。
可用性监测:支持监测数据库能否正常访问、特定进程的状态和进程数。
性能监测:支持监测连接数是否过大、读缓存命中率是否过低、写缓存命中率是否过低、死锁数量是否过大、回滚数是否过高等。支持监测表空间和数据文件的大小、状态和使用率等。
网络监控
可以监测主流网络设备的风扇、电源和温度信息。应具有对网络设备相关重要指标进行实时性能监控的功能,并可以通过图形和报表的方式进行展现,且实时监控的取值时间间隔可以根据需要,由管理员自行制定。
应可以对网络设备的历史性能进行收集,且通过图形和报表的方式进行显示,可以由相关人员自行设定监控端口的能力。可以按照天、周、月、年等方式以图形和报表的方式表示展示。
存储监控
能够监测到主流存储存储设备的状态信息、磁盘状态、盘阵CACHE的读写命中率、盘阵通道状态、机械臂状态、盘阵内I/O性能分布,包括磁盘I/O利用率、LUN的I/O利用率等
报警管理
接收监测范围内的故障告警信息。系统能自动接收来自系统自动巡检和被管系统主动发出的告警信息,并对告警事件进行过滤和归类处理。提供故障信息的事件关联处理,避免重复报警和误报。在发现系统异常后,可以根据用户的设定发送报警。
视图管理
管理软件应当能够具有,从宏观到微观的展示视角,具体包括:IT服务驾驶舱视图、地图、拓扑图、机房视图、设备视图。
事态管理
事态的提交应具有通过监测自动生成,并记录该异常情况的开始时间、持续时间、类型(可用性和容量)、摘要、故障设备、影响的设备及服务范围。
协控中心
以服务为维度,统计服务的的巡检状况,以及巡检的趋势。
以用户为维度,统计各个用户的巡检情况,形成用户巡检展示地图。
以时间为维度,统计事态及事件等发展趋势。
巡检管理
支持按服务、项目巡检,根据定义的服务和项目自动巡检,并支持手动巡检项纪录。
可以根据巡检的任务的性质,自定义巡检任务模板。
报表管理
提供服务器容量报表、网络设备容量报表、接口容量报表、网络流量统计报表、网络设备CPU利用率TOP 10、网络设备连通率TOP
10、设备连通报表等多种报表
提供硬件统计报表、告警统计报表
支持定时发送报表
支持导出word、excel
信息安全等级保护资源池
指标项
指标要求
硬件配置
★至少配备2台业务承载服务器,每台服务器最低配置要求:CPU:E5-2620 V4*2,内存 96GB,1*128GB SSD
系统盘,1*240GB SSD缓存盘,1*4TB数据盘,支持数据盘扩展,6个千兆网口
产品形态
产品是软件形态;可以部署在裸金属架构上,无需绑定操作系统即可搭建信息安全等级保护资源池平台;平台虚拟化内核采用基于KVM底层开发;产品要求操作系统为专用操作系统。
不采用安全产品虚拟机的方式部署在用户业务云平台虚拟化内部。
平台基本架构要求
无需额外增加或替换软件/硬件前提下,通过License激活的方式,实现网络虚拟化功能(分布式虚拟交换机、虚拟路由器、虚拟应用防火墙、虚拟应用负载均衡),无需配置额外的网络硬件设备,即可与网络设备对接,实现虚拟化平台与原有网络的兼容性。
部署方式
必须与业务云平台松耦合,便于适应多厂商云平台,不能在云平台内部以虚拟机的方式安装安全产品,不能采用网络设备硬件一虚多的方式,降低扩展性。
交付形态
资源池必须具备安全需求弹性扩展,安全灵活部署,按需交付。安全功能以基于不同安全需求以安全服务包的形式交付。平台必须需要具备平台具备安全接入(SSL
VPN)、安全防护(访问控制、内容安全、入侵防御、Web应用防护、网站篡改防护、虚拟主机安全防护)、安全检测(僵尸网络检测、实时漏洞分析、Websheel检测、网站黑链发现、网站木马发现、云端监测、云端Web扫描)、安全审计(数据库审计、堡垒机)等安全功能。
部署规划
平台支持自动进行网络拓扑发现,自动描绘信息安全等级保护资源池与云平台之间网络连接关系;支持vlan、vxlan、无vlan混合引流策略部署,且可以根据租户与业务系统关联进行按需引流。
★平台支持用户进行安全拓扑的编排,简化运维管理;
网络安全合规模块,网络审计系统
性能
★应用层吞吐≥200Mbps
IPV6
支持部署在IPv6环境中,其所有功能(认证、应用控制、内容审计、报表等)都支持IPv6
应用控制
1、
设备内置应用识别规则库,支持超过6000条应用规则数,支持超过2800种以上的应用,1000种以上移动应用,并保持每两个星期更新一次,保证应用识别的准确率;
2、 ★支持应用标签化,每个应用支持列上图标;
3、 支持应用细分控制,如针对网易网盘、金山快盘、华为网盘等区分登录、上传、下载等动作进行分别控制;
流控黑名单
基于“流量”、“流速”、“时长”设置配额,当配额耗尽后,将用户加入到指定的流控黑名单惩罚通道中
流控单位
★支持灵活配置流控单位是IP还是用户名(适用于公共账号:多个IP公用一个账号时,可以对每个IP进行限速,更加灵活准确)
加密证书自动分发
审计SSL网页时,支持加密证书自动分发功能,用户点击网页上的工具即可一次性安装完成。解决管理员给每台PC单独安装证书的问题
网络整体状况报表
从带宽健康分析、合规性分析等大块对网络整体状况进行说明
趋势报表
支持多种维度的流速趋势报表、流控通道趋势报表、应用行为趋势报表、网站分类行为趋势报表等
单用户行为分析
针对单用户的行为分析(包括:应用流速趋势、应用流量排行、域名流量排行、应用时长排行、域名时长排行、行为汇总排行等)
搜索中心
基于时间、用户/组、终端类型、位置、日志类型等条件下的关键字检索定位功能;
必须支持对日志中OFFICE等附件正文内容关键字的检索;
关键字订阅
支持预置几组关键字,当审计日志中出现这些关键字时,将定期以邮件的方式发送报告给指定邮箱
下钻查询
在流量时长分析、用户行为分析、终端接入分析等纬度相关页面支持对统计结果的向下钻取查询
支持与多种网安日志平台对接
内置多套日志模板与各省市网安日志平台对接,至少支持以下平台:派博、任子行、网博、云辰、烽火、中新软件、兆物、新网程、美亚柏科、爱思等。
行为数据挖掘
支持从海量数据中提取出客户感兴趣的内容单独做成模块插件,模块插件可在线更新,帮助客户获取最新数据分析,从中获取数据价值。
兼容性
所投软件模块需和信息安全等级保护资源池硬件平台兼容,满足统一管理要求
应用安全合规模块,下一代防火墙(集成入侵防御系统及WEB防护系统)
性能
★应用层吞吐量不低于200Mbps
部署模式
支持路由,网桥,虚拟网线以及混合部署方式;
路由支持
支持静态路由,ECMP等价路由;
支持RIPv1/v2,OSPFv2/v3,BGP等动态路由协议;
★支持多链路出站负载,支持基于源/目的IP、源/目的端口、协议、应用类型以及国家地域来进行选路的策略路由选路功能;
入侵防护功能
★设备具备独立的入侵防护漏洞规则特征库,特征总数在7000条以上;
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP、POP3、
RDP、Rlogin、SMB、Telne、Weblogic、VNC)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能;
具备防护常见网络协议(SSH、FTP、RDP、VNC、Netbios)和数据库(MySQL、Oracle、MSSQL)的弱密码扫描功能;
可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则;
僵尸主机检测
设备具备独立的僵尸网络识别库,特征总数在40万条以上;
对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告;
Web应用安全防护
设备具备独立的WEB应用防护识别库,特征总数在3000条以上;
支持HTTP 1.0/1.1,HTTPS协议的安全威胁检测;
支持CC攻击、CSRF攻击、COOKIE攻击等攻击防护功能;
支持对网站的扫描防护和防止恶意爬虫攻击;支持其他类型的Web攻击,如文件包含,目录遍历,信息泄露攻击等;
★支持针对网站的漏洞扫描进行防护,能够拦截漏洞扫描设备或软件对网站漏洞的扫描探测;
★支持Web漏洞扫描功能,可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞;
★支持对网站黑链进行检测;
支持Windows和Linux系统下网页防篡改功能;
安全可视化
支持资产的自动发现以及资产脆弱性和服务器开放端口的自动识别;
支持对检测到的攻击行为按照IP地址的地理位置信息进行威胁信息动态展示,实时监测和展示最新的攻击威胁信息;
兼容性
所投软件模块需和信息安全等级保护资源池硬件平台兼容,满足统一管理要求
数据安全合规模块,数据库审计系统
性能
★数据库审计吞吐≥200Mbps
基本要求
支持Oracle数据库审计、SQL-Server数据库审计、DB2数据库审计、MySQL数据库审计;支持同时审计多种数据库及跨多种数据库平台操作;
完整解析、记录、关联SQL操作语句绑定变量参数,并支持对超长SQL语句完整解析;
支持白名单审计,系统使用审计白名单将非关注的内容进行过滤,不进行记录,降低了存储空间和无用信息的堆砌。
详细要求
支持自定义数据库安全策略,可根据业务需要自定义各种场景的安全规则,对于违规的数据库访问可进行实时警告和阻断;
★可以对SQL语句进行安全检测,并识别当前的SQL操作是否有暴库、撞库等严重性安全问题,如果命中了安全风险规则,那么可根据动作进行阻断、告警、记录等操作,可提示管理员作出相应的防御措施;
支持以时间、源IP、客户端程序、业务系统、数据库用户、数据库名、操作类型、表名、返回行数、影响行数、响应时长、响应码、策略、规则、风险级别、SQL模版为条件的数据库风险查询;
支持以风险级别、源IP、业务主机、数据库用户、风险类型为维度的数据库风险排行;
★web访问方式支持直接输入目标IP快速连接功能;通过web方式使用SSH协议支持clone
session功能;支持直接调用SFTP功能;支持设定窗口颜色、保存屏幕内容、打印屏幕内容、复制粘贴等功能;
兼容性
所投软件模块需和信息安全等级保护资源池硬件平台兼容,满足统一管理要求
主机安全合规模块,终端检测响应平台及端点安全软件
整体
要求
产品是软件形态;包含平台和主机Agent软件。
终端检测响应平台要求操作系统为64位Centos7或ubuntu操作系统。
端点安全软件Agent软件支持32位和64位的Windows系统和Linux系统。
★要求至少提供50个服务器端点安全软件授权
★平台采用软件包方式提供安装,安装后其中安全功能中必须具备终端管理、终端杀毒、东西向访问微隔离、爆力破解检测响应、WebShell检测响应、僵尸网络实时活动检测响应、安全远程调查取证等功能组件,保障平台的扩展性和兼容性;
无需安装任何其他软件和专用设备硬件,采用基于X86服务器或虚拟服务器即可完成平台部署;主机Agent可以通过软件安装或虚拟机模版进行安装。
平台侧
要求
★支持全网终端资产、终端资产风险、安全事件整体统计情况、威胁事件实时检测情况及热点安全事件全网发生情况的可视化展示;
★平台支持设置对僵尸网络、WebShell攻击、口令爆破实时检测后的动作进行设置,用户可以选择自动隔离或仅上报;支持对WebShell攻击的定期检测,用户可以设置定期检测的频率及时间点;
支持实时监测攻击事件,持续监测终端的安全告警事件,综合分析各类安全事件日志,及时发现安全威胁,分析终端安全状况,对安全事件进行处置。
★支持持指定终端/终端组的体检任务下发,支持任务进度和详情查看,支持任务的取消,展示被体检终端发现的威胁情况及威胁处理情况。
支持恶意文件的手动触发检测或定时检测,展示检测出来的事件日志,例如威胁名称、受感染文件、发现事件、检测引擎、文件类型、文件Hash值、文件大小。
★支持SSH、RDP服务的暴力破解检测,具备分布式攻击源的暴力破解检测方法:统计单个用户名在单位时间内。支持显示攻击日志,例如攻击源、服务器名、攻击类型等。支持显示暴力破解事件的详情,例如攻击方法、内容、历史情况等。
★支持显示僵尸网络文件检测过程的详情内容,例如文件路径、文件大小、文件创建时间、进程ID、父进程、进程模块。
★支持将暴力破解攻击源加入IP黑名单的响应处置,支持从黑名单列移除终端。
★支持基于业务域的应用角色访问策略的显示,支持访问拒绝事件的日志告警。
主机侧
要求
支持多维度的恶意文件检测技术及虚拟行为恶意文件检测技术
3、产品资质
1、为满足信息安全等级保护三级要求,横向互联边界下一代防火墙、互联网边界下一代防火墙、运维堡垒机、漏洞扫描系统、日志审计系统、网络安全准入系统、信息安全等级保护资源池需具备中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
2、为满足信息安全等级保护三级要求,保证所投产品生产厂商具备较强实力,厂商应是CNCERTCC网络安全应急服务支撑单位(国家级)
3、为满足信息安全等级保护三级要求,保证所投产品均为自主原创,横向互联边界下一代防火墙、互联网边界下一代防火墙、运维堡垒机、漏洞扫描系统、日志审计系统、网络安全准入系统、信息安全等级保护资源池需具备中华人民共和国国家版权局颁发的《计算机软件著作权登记证书》
4、为满足信息安全等级保护三级要求,保证所投产品生产厂商需为ANVA中国反网络病毒联盟成员
4、现场踏勘
投标人要了解现有网络环境及配置,因此所有投标人需进行现场勘查。采购人联系方式:13933109856
勘查时间:2018年8月16日9:00-11:00,勘查完毕领取采购人确认的现场勘查证明,作为参加现场勘查凭证。
第四部分 响应文件格式
附件一:
正本(副本)
标段号:(项目不分标段不用写)
政府采购响应文件
(询价)
项目名称:
采购编号:
供应商 :(公章) 法定代表人:(印鉴)
日 期 :
附件二:
承 诺 函
致:
经研究,我们决定参加项目编号为 的 项目的采购活动并提交响应文件。为此,我方郑重声明以下诸点,并负法律责任。
1、我方提交的响应文件,正本一份,副本 份。
2、如果我们的响应文件被接受,我们将履行采购文件中规定的每一项要求,并按我们响应文件中的承诺按期、按质、按量提供货物。
3、我们理解,最低报价不是成交的唯一条件,你们有选择成交供应商的权力。
4、我方愿按《中华人民共和国合同法》履行自己的全部责任。
5、我们同意按采购文件规定交纳保证金,遵守贵机构有关采购的各项规定。
6、我方若未成为成交供应商,贵机构有权不做任何解释。
7、我方的响应文件自报价之日起有效期为90日。
8、与本报价有关的一切正式往来通讯请寄:
地 址: 邮政编码:
电 话: 传 真:
开户单位:
开户银行:
帐 号:
供应商单位全称(印章)
法定代表人或被授权代理人签字:
年 月 日
附件三:
法定代表人授权书
本授权书声明:本 (公司名称)的法定代表人 (姓名)代表本公司授权在下面签字的
(被授权代理人的姓名、职务)为本公司的合法代理人,就贵方组织 的采购项目(项目编号: ),以本公司名义处理一切与之有关的事务。
(附法定代表人身份证复印件)
(附被授权代理人身份证复印件)
被授权代理人姓名: 性别: 年龄:
单位: 部门: 职务:
供应商全称(公章):法定代表人签字
被授权代理人签字
本授权书于 年 月 日签字生效(有效期: 天),特此声明。
附件四:
报 价 一 览 表项目编(包)号:
供应商名称(公章): 法定代表人或被授权代理人签字:
单位:元(人民币)
序号
总价
交货
安装(服务)时间
备注
大写
小写
1
2
注: 1. 交货安装(服务)时间为合同签订之日起多少日。
2. 分包项目如果不填写所投包号,集中采购机构有权视为无效报价。
3. 根据需要可自行加项。
年 月 日
附件五:
报价明细表
项目编(包)号:
供应商名称(盖章): 法定代表人或被授权代理人签字:
单位:元
货物(服务)名称
品牌
型 号
(详细配置)
原产地及制造商
单 价
数量
总 价
交货安装(服务)时间
专用工具费
备品备件费
运输、安装及保险等费用
合 计
小写:
大写:
注: 1. 报价的所有货物均须标明品牌、型号(详细配置)、原产地及制造商,否则将作为非实质性响应报价予以拒绝。
2. 交货安装时间为合同签订之日起多少日。
3. 根据需要可自行加项。
年 月 日
附件六:
技术偏离表
项目编号:
供应商名称:(公章) 法定代表人或被授权代理人签字:
包号
货物(服务)名称
采购文件
条款号
采购文件
规格
报价文件规格
偏差内容
说明
(根据需要可自行加项)
年 月 日
附件七:
商务偏离表
项目编号:
供应商名称:(公章) 法定代表人或被授权代理人签字:
包号
采购文件
条款号
采购文件的商务条款
报价文件的商务条款
说明
(根据需要可自行加项)
年 月 日
附件八:
中小企业声明函
本公司郑重声明,根据《政府采购促进中小企业发展暂行办法》(财库〔2011〕181 号)的规定,本公司为
(请填写:中型、小型、微型)企业。即,本公司同时满足以下条件:
1、根据《工业和信息化部、国家统计局、国家发展和改革委员会、财政部关于印发中小企业划型标准规定的通知》(工信部联企业〔2011〕300
号)规定的划分标准,本公司为 (请填写:中型、小型、微型)企业。
2、本公司参加 单位的 项目采购活动提供本企业制造的货物,由本企业承担工程、提供服务,或者提供其他
(请填写:中型、小型、微型)企业制造的货物。本条所称货物不包括使用大型企业注册商标的货物。
本公司对上述声明的真实性负责。如有虚假,将依法承担相应责任。
企业名称(盖章):
日期:
说明:若是中小企业则需提供上述“中小企业声明函”,若不是中小企
业则不需要提供。
附件九:
密封袋封面格式
响应文件
(正本)
项目编(包)号:
项目名称:
供应商名称(公章):
地址:
邮编:
电话:
传真:
响应文件
(副本)
项目编(包)号:
项目名称:
供应商名称(公章):
地址:
邮编:
电话:
传真:
封口格式:
………………………于 年 月 日 时之前不准启封(公章)………………………
附件十:
供应商资质及业绩等资料提交表
项目编号: 提交时间: 年 月 日
供应商名称:
提交资料名称
数量
原件
供应商代表签字
领取人
备注
注:此表为供应商提交资质等资料的明细目录,需在提交前填写完整,经核对后由供应商代表签字确认。此表和资质、业绩等资料一起装袋(不需密封,勿粘贴)在开标时提交,不与投标(响应文件)装在一起。
附件十一:
石家庄市政府采购报名登记表
年 月 日
1
投标人全称(盖公章)
2
采购项目名称
3
采购文件编号
4
缴款人开户银行
5
缴款人开户账号
6
缴款金额
7
电子邮箱
8
联系电话
9
联系人
10
拟投标标段
11
初审材料
1、营业执照( )2、缴纳保证金凭证( )
3、法人委托书( )4、被授权人身份证( )
12
其他要求
(1)
1
(3)
(1)
1
(24)
