网络安全设备建设项目采购需求(货物类)

网络安全设备建设项目采购需求 货物类 一 项目介绍 1 资金来源 财政性资金 2 系统概述 1 业务需求 随着中国政法大学校园信息化的发展 内部各类业务范围的不断扩大 各类业 务系统不断上线运行 在业务系统应用范围越来越广 数据越来越多的同时 技术 运维部门面临的确保系统安全稳定运行的压力也随之增加 复杂的人员结构和系统 结构使得技术运维管理面临严峻的挑战 需要尽快在安全管理方面加强有效的技术 手段 2 技术需求 为了响应和遵守国家有关部门对校园网络安全的要求 此次需要建设校园网数 据库安全审计系统 校园网运维安全审计系统 以及需要对校园网络进行信息安全 体系咨询服务及网络和应用系统梳理 性能监测及安全优化等系列安全集成服务 3 系统需求 对于运维安全管理方面 需要对准确识别操作人员的身份 对设备和系统的管 理账号实现密码足够复杂和定期的修改系统账号密码 对操作人员的操作行为要进 行事前主动的控制和约束 清晰的展示每个操作者具体的操作过程 整体上对系统 运维在访问控制 操作审计等诸多方面实现更加全面有效的管理 对于数据库安全管理方面 需要针对不同的应用协议 提供基于应用操作的审 计 提供数据库操作语义解析审计 实现对违规行为的及时监视和告警 提供上百 种合规规则 支持自定义规则 包括正则表达式等 实现灵活多样的策略和响应 提供基于硬件令牌 静态口令 Radius 支持的强身份认证 根据设定输出不同的 安全审计报告 4 集成需求 项目集成总体要求包含但不限于项目实施前期准备 设备到货验收 系统集成 安装与联调测试 系统试运行 项目验收 中标方需要配合用户方提供产品安装调 试服务 产品培训服务 信息安全体系咨询服务 以及提供现有校园网内部的整体 网络和应用系统梳理 应用系统性能监测 做好网络安全优化等系列服务 结合用 户的现状情况提供详细的安全集成服务方案 帮助用户完成校园网络的信息安全保 障工作 3 预算金额 96 万元 4 所要达到的目标前景 通过项目建设 可以建成并完善现有校园网络内部的业务环境下的网络操作行 为和数据库行为操作进行细粒度审计的合规性管理系统 通过对业务人员访问各类 运维设备和数据库系统的行为进行解析 分析 记录 汇报 以帮助用户事前规划 预防 事中实时监视 违规行为响应 事后合规报告 事故追踪溯源 加强内外部 网络行为监管 促进核心资产 数据库 服务器 网络设备等 的正常运营 为校 园网络的各类信息系统进一步的发展建立坚实基础 二 项目履约时间 地点 1 履约时间 合同签订后 5 天内交货或 30 天内完成安装调试并具备验收条 件 2 履约地点 用户指定安装验收地点 3 现场踏勘 否 三 采购人信息 单位名称 中国政法大学 单位地址 北京市昌平区府学路 27 号 联系人姓名 张文博 联系电话 58909531 电子邮箱 wlzx 四 采购产品一览表 序 号 货物名称 是否为主要产品 主要产品须 提供厂家唯一授权 单 位 数 量 产地 国产 进 口 1 数据库安全审计 是 台 2 国产 2 运维安全审计 是 台 2 国产 3 安全集成服务 否 项 1 国产 五 产品清单及指标要求 重要性分为 和一般无标示指标 代表最关键指标 不满足该指标项 将导致投标被拒绝 代表重要指标 无标识则表示一般指标项 1 数据库安全审计 数量 2 台 序 号 重要性 指标项 指标要求 1 审计数据的存储空间不得少于 4T 支持 RAID1 阵列 2 数据中心存储为抽屉式硬盘 支持单独拆卸和更换 3 支持万兆网络环境监听 至少提供 6 个千兆电口 2 个万兆接口 4 硬件规格 审计系统采用独立硬件 支持冗余电源 5 性能要求 审计事件每秒入库速度至少在 25000 条 秒以上 采用旁路部署方式对原有网络不造成影响 网络审计产品的故障 不影响被审计系统的正常运行 6 支持 TAP 网络流量分流复制功能 7 部署和管理 无需在被审计系统上安装任何代理 8 数据库审计 支持 Oracle SQL Server DB2 Informix Sybase MySQL PostgreSQL Teradat a Cache 数据库审计 9 支持对 Oracle 数据库状态的自动监控 可监控会话数 连接进程 CPU 和内存占用率等信息 10 支持国产数据库人大金仓 达梦 南大通用 神通数据库的审计 11 支持对针对数据库的 XSS 攻击 SQL 注入攻击行为进行审计 12 提供对数据库返回码的知识库和实时说明 帮助管理员快速对返回码进行识别 13 支持对超长 SQL 语句的审计 支持对数据库绑定变量方式访问的审计 14 支持双向审计 支持对 Select 操作返回行数和返回内容的审计 15 支持访问数据库的源主机名 源主机用户 SQL 操作响应时间 数据库操作成功 失败的审计 16 支持数据库操作类 表 视图 索引 触发器 存储过程 游标 事物等各种对象的 SQL 操作审计 17 支持数据库存储过程自动获取及内容审计 18 支持 Telnet 协议的审计 能够审计用户名 操作命令 命令响应时间 返回码等 19 支持对 FTP 协议的审计 能够审计用户名 命令 文件 命令响应时间 返回码等 20 支持审计网络邻居的用户名 读写操作 文件名等 21 支持审计 NFS 协议的用户名 文件名等 22 支持审计 Radius 协议的认证用户 MAC 认证用户名 认证IP NAS 服务器 IP 23 支持审计 HTTP HTTPS 协议的 URL 访问模式 cookie 页面内容 Post 内容 24 网络协议审 计 支持 IP MAC 绑定变化情况的审计 25 系统应自带不少于 100 个缺省的审计规则库 方便用户选择使用 26 用户可自定义审计策略 审计策略支持时间 源 IP 目的 IP 协议 端口 登陆账号 命令作为响应条件 27 数据库审计策略支持数据库客户端软件名称 数据库名 数据库 表名 数据库字段名 数据库返回码作为响应条件 非正则表达 式方式 28 审计策略支 持 审计策略支持字段名称和字段值作为分项响应条件 非正则表达 式方式 29 响应方式 支持按照风险级别进行告警 告警方式支持界面告警 Syslog 告警 SNMP trap 告警 短信告警 邮件告警 30 支持按时间 级别 源 目的 IP 源 目的 MAC 协议名 源 目的端口为条件进行查询 31 支持查询 统计的条件模板编辑与应用 32 支持多个查询 统计任务同时进行 33 数据库访问日志 支持按数据库名 数据库表名 字段值 数据 库登陆账号 数据库操作命令 SQL 语句关键字 数据库返回码 SQL 响应时间 数据库返回行数作为查询和统计条件 34 日志查询统 计 web 访问日志 支持按 URL 访问模式 cookie 页面内容 Post 内容等作为查询和统计条件 35 支持查询统计条件之间的与 或 非逻辑组合 36 提供缺省的报表模板库 包括 SOX 报表 PCI 报表等模板 供用户选择使用 37 支持自定义报表模板 包括统计日志周期 过滤条件 图标样式等 38 支持按每天 每周 每月 时刻生成报表 39 支持生成 CSV Word PDF xls HTML 格式的报表导出 40 支持邮件方式定期自动发送报表 41 提供管理员权限设置和分权管理 提供三权分立功能 系统可以 对使用人员的操作进行审计记录 可以由审计员进行查询 具有 自身安全审计功能 42 管理员登陆支持静态口令认证 支持密码的复杂性管理 比如大小写 数字 特殊字符 长度等 43 能够对连续失败登陆进行自动锁定 锁定时间可设置 44 审计系统上存在大量敏感信息 必须对审计管理员进行强度更高的认证 管理员登陆支持硬件令牌认证 45 提供审计数据管理功能 能够实现对审计日志 审计报告的自动备份 46 提供系统升级功能 能够通过升级包的方式实现升级 47 提供磁盘存储容量不足 磁盘 Raid 故障等自动邮件报警 48 自身管理 提供 CPU 内存 磁盘 网口 运行时间 运行状态等信息的监 视功能 49 支持与 Web 应用防火墙 WAF 的联动 可对 WAF 上报的应用系统攻击实现场景还原展示 50 联动功能 支持与 APT 检测产品的联动 对于网络传输的文件不仅可以审 计 还支持恶意代码检测 报告可疑的攻击文件 51 支持 SNMP 方式 提供系统运行状态给第三方网管系统 52 支持 Syslog SNMP 方式向外发送审计日志 53 支持 Syslog 方式接收第三方审计日志 54 支持连接外置存储 以扩展日志存储能力 55 第三方接口 支持 NTP 时间同步 56 IPV6 支持 支持 IPV6 环境下数据库的审计 2 运维安全审计系统 数量 2 台 序 号 重要性 指标项 指标要求 1 硬件规格 设备性能不少于 1 颗六核 CPU 主频不低于 1 9GHz 16G 内存 不 少于 3T 容量 硬盘支持硬 RAID 2 个千兆自适应以太网口 双冗 余电源 2 管理许可 支持 800 台目标设备管理许可 支持 HA 双机热备部署和多 A 集群部署模式 提供详细的 HA 技术 说明和多 A 集群部署方案 支持物理旁路 逻辑串联模式 支持 NAT 地址映射部署 3 设备高可用 性 支持 TAP 网络流量分流复制功能 4 字符协议 Telnet SSH SSHv1 SSHv2 TELNET RLOGIN 5 图形协议 RDP VNC XWindow 6 文件传输 FTP SFTP SCP 7 支持协议 操作类型 支持各类 HTTP HTTPS 访问 支持各类 C S 客户端工具访问 运 维操作过程不依赖浏览器和 JAVA 环境 支持 oracle postgresql sybase mysql sqlserver 数据库下行返回行 数和 oracle 数据库变量绑定 8 支持与第三方认证如 AD 域 LDAP radius 动态双因素 证书认 证等第三方认证方式整合 USB KEY 认证 动态口令认证 内置 动态双因素认证 用户不需要额外部署认证服务器 9 支持自定义组合认证功能 即任意两类认证方式组合为一种新的认证 如 ldap Radius 组合认证 加强安全认证强度 10 用户账号管 理 支持手机令牌功能 支持在手机 APP 上直接获得动态口令 11 支持针对某些地址 地址段内的目标设备自动发现和批量导入功能 12 支持目标设备的密码托管和单点登录功能 也支持目标设备登录过程中手工输入系统账号和密码进行登录 13 支持一台设备关联多种访问协议 如一台 linux 设备通过ssh vnc sftp 协议访问 14 目标设备管 理 支持批量登录多台协议相同的目标设备 15 普通用户可以在 web 界面手动填写电子工单 填写的内容包括 用户账号 设备资源 系统账号 协议类型 要执行的命令 时 间窗口 16 内置电子工 单 电子工单可提交给本部门或者上级部门配置管理员审批 审批通 过后 即时生效 系统内置多种报表模板 支持管理员自定义报 表类型 报表格式支持 CSV 和 HTML 17 支持以用户 用户组 目标设备 设备组 程序 系统帐号 部门 协议 时间 来源 IP 为要素 来灵活设置访问策略 系统 级账号三权分立 系统级账号包括 系统账号管理员 系统审计 员 系统管理员 18 访问权限控 制 支持基于访问控制规则启用 关闭 windows 设备 应用程序的剪贴 板上下行功能和磁盘映射功能 19 命令权限控制 支持跟据用户 用户组 目标设备 设备组 系统帐号 命 令集和生效时间来设置详细的命令权限控制策略 支持命令黑白 名单 20 支持根据设备 系统帐号 时间 频率 改密方式生成详细的改 密计划 到期自动执行 改密方式至少可以支持随机生成不同密 码 自动设置相同密码 手动指定密码 随机定制密码 改密结 果自动加密发送给密码保管员 21 自动改密功 能 改密功能必须成熟稳定 且通过健壮的容错机制确保改密过程中 设备账号密码的安全 说明改密功能在超过 100 个管理设备批量 改密的过程 22 unix 脚本推送 管理员可以根据设备 设备组 系统账号 时间 脚本内容 自定 义 创建自动脚本任务 该任务到期自动执行 执行的结果自 动发送给相关管理员 23 网络设备配置备份 支持定期备份指定的网络设备上的配置信息 备份结果可以自动加密发送到相关管理员的邮箱 24 访问二次授权 对于重要设备的登录 未经相关人员授权 设备无法正常访问 25 命令双人复核 对于高危指令操作 可以要求必须发送给相关管理员复核通过 才能被执行 26 操作会话共享 对于图形和字符操作会话支持多人会话共管 当前运维人员可以 邀请其他用户参与当前操作会话 也可以随时中断被邀请人的会 话 27 针对字符指令操作 必须确保对实际运维过程中各类非常规操作 指令的准确识别 包括各类 TAB 补全 行内编辑操作 大日志量 输出的指令操作 在各类非常规操作场景下不能出现乱码 漏审 问题 28 支持操作指令输入输出结果的智能分离 能够随意打开任意一条 操作指令的输出结果 支持通过设备的 web 页面内嵌 SSH FTP TELNET 运维工具访问目标资源 支持 TELNET SSH 协 议使用 SecureCRT 工具批量登录目标资源 并支持对多台主机批 量执行操作指令 29 命令操作审 计 支持从任意一条操作指令处进行命令回放 支持控制播放进度 审计查询关键字和结果显示支持多种编码 UTF 8 Big5 EUC JP EUC KR GB2312 GB18030 ISO 8859 2 KOI8 R KS C 5601 1987 Shift JIS Window 874 由用户自主选择 30 支持对 windows 图形操作过程中的窗口标题 URL 地址进行文本 识别和文本记录 支持 RDP VNC 图形操作行为的审计 图形回放 形式还原真实操作过程 31 支持以图形操作过程中的键盘输入 剪贴板 窗口标题信息 URL 地址为关键字进行文本搜索 搜索结果可以直接定位到该操作对 应的时间点进行录像回放 32 图形操作审 计 支持对图形操作过程中的鼠标点击 键盘操作 快捷键使用进行 记录和回放展示 当单个会话的日志量超过 1000M 也不存在缓冲 延迟的过程 33 支持对通过运维审计系统所传输文件进行备份和查询功能 支持 SSH 协议服务端启用强加密算法 hmac sha2 256 hmac sha2 512 提升 SSH 协议安全性 34 文件传输审 计 包括访问的起止时间 协议 用户名称 来源 IP 地址 设备名称 系统账号 文件目录等 要求准确审计各类文件传输的操作类型 上传 下载 重命名 删除等 支持通过应用发布实现字符 协议和文件传输协议的命令级审计和图形审计的双重审计效果 35 管理员可以手动定制报表模版 并支持根据不同模版自动生成日报 周报 月报 报表内容自动发送给相关管理员 36 统计报表功 能 支持对特定操作指令进行自动统计 能够统计出该指令在特定时 间范围内的执行次数 并自动关联出对应的字符会话记录 六 服务要求 重要性分为 和一般无标示指标 代表最关键指标 不满足该指标项将导致 投标被拒绝 无标识则表示一般指标项 序 号 服务要求项目 重要 性 服务要求标准 1 原厂售后服务 承诺函 原厂商售后服务提供设备三年免费保修和软件三年免费版本升级 电 话报修后 4 小时上门服务 12 小时内排除故障 2 售后服务标准 1 所有硬件三年免费保修 所有软件三年免费保修升级 电话报修 后 4 小时上门服务 12 小时内排除故障 2 所有硬件过三年免费保修期后按原价维修 按投标货物价格数量 表所列价格 更换零部件的按合同签订时的零部件价格 所有软件 过三年免费保修升级期内按不高于原价的 20 进行维修升级 响应 速度同保修期响应速度 3 服务网络 在项目运行地点有固定服务网点 并承诺可以执行上述的售后服务标 准 4 培训 原厂商提供不少于 2 次不少于 10 人的主要设备 数据库安全审计 运维安全审计 厂商认证的工程师安装配置等实操培训课程 场地 交通等与培训相关的费用均由投标人承担 5 集成服务 投标人具备信息安全服务 安全工程类 的服务能力 并提供有效的 依据说明 说明项目经理的行业认证和项目经历情况 实施团队情况 和售后服务体系 可以体现项目服务质量能力 技术人员具备 CISP 安全服务类证书 需要协调各个产品厂商为用户提供产品安装调试服 务 产品培训服务 信息安全体系咨询服务 以及提供现有校园网内 部的整体网络和应用系统梳理 应用系统性能监测 做好网络安全优 化等系列服务 结合用户的现状情况提供详细的安全集成服务方案 帮助用户完成校园网络的信息安全保障工作 七 付款方式 序号 付款节点 付款条件 付款比例 或金额 备注 1 首付款 合同签订后 15 日内 付款至总合同金额 30 2 履约保证金 合同签订后 15 日内 付总合同金额 10 3 第二期款 货物到达全部安装 并加电调 试完成 验收合格 付款至总合同金额 100 4 质保金 验收合格后履约保证金转为质 保金 六个月后无遗留问题则 无息退还 八 投标人及产品资质要求 1 投标人应具备的资质条件 投标人提供营业执照 税务登记证 组织机构代码证 三证合一的提供最新的营业执照即 可 质量管理体系认证 复印件加盖公章 2 投标产品应具备的资质条件 1 数据库审计系统 产品具有中华人民共和国公安部颁发的 计算机信息系统安全专用产品销售许 可证 万兆 增强级 需提供证书复印件加盖产品厂商的公章 产品具有中国信息安全认证中心颁发的强制认证证书 增强级 需提供证书 复印件加盖产品厂商的公章 产品资质要求 产品具有中国国家保密局测评中心颁发的 涉密信息系统产品检测证书 需 提供证书复印件加盖产品厂商的公章 2 运维安全审计系统 产品具备公安部颁发的 计算机信息系统安全专用产品销售许可证 需提供 证书复印件加盖产品厂商的公章 产品具备中国信息安全认证中心颁发的 中国国家信息安全产品认证证书 需提供证书复印件加盖产品厂商的公章 产品资质要求 产品具备国家保密局颁发的 涉密信息系统产品检测证书 需提供证书复印 件加盖产品厂商的公章 九 产品授权 序号 货物名称 主要产品须提供厂家唯一 授权 单位 数量 产地 国产 进口 1 数据库安全审计 是 台 2 国产 2 运维安全审计 是 台 2 国产 十 产品测试及验收 项目产品安装实施上线前及项目验收时投标方需配合用户方对于技术要求 号及 号指标 进行演示操作