★凡属于《中华人民共和国实施强制性产品认证的产品目录》的产品,请投标人在投标文件中承诺在交货时提供该产品的“中国强制性产品认证”(CCC认证)证书。 旧的WE B应用防护系统设备目前已经不满足我们web系统的防护要求。访问量高的时候,出现cpu或者内存过高的情况,会对防护的应用系统造成访问慢的影响。通过替换性能更好的 WEB应用防护系统,提高数据中心机房部署的应用系统的访问效率,改善师生使用应用系统的使用体验。...
第二章 采购需求
一、项目概况:
项目属性:服务类
★本次采购产品为非进口产品(进口产品指通过中国海关报关验放进入中国境内且产自关境外的产品)。
★凡属于《中华人民共和国实施强制性产品认证的产品目录》的产品,请投标人在投标文件中承诺在交货时提供该产品的“中国强制性产品认证”(CCC认证)证书。
工期要求:合同生效后,实际开工日后90个日历天。
随着信息技术在广州大学的广泛应用和深度融合,在教育系统、教育设备、教育环境等纷纷融入信息化元素的同时,加大了攻击者对于相关教育数据的关注程度和攻击面,使广州大学在网络安全面临的威胁持续加大。本项目通过采购一些新的安全设备来替换部分旧的安全设备和补充一些安全设备来达到如下目标。
(1)提高数据中心机房部署的应用系统的访问效率,改善师生使用应用系统的使用体验。
旧的WEB应用防护系统设备目前已经不满足我们web系统的防护要求。访问量高的时候,出现cpu或者内存过高的情况,会对防护的应用系统造成访问慢的影响。通过替换性能更好的WEB应用防护系统,提高数据中心机房部署的应用系统的访问效率,改善师生使用应用系统的使用体验。
(2)更好的满足《网络安全法》和网络安全等级保护的要求
旧的运维安全管理系统设备只有500个授权,不能覆盖数据中心内部的所有服务器。因此需要新增一台运维安全管理系统设备来并对内部人员或第三方运维人员误操作和非法操作进行审计监控,以便事后责任追踪,更好的满足网络安全等级保护的要求。
需增加一台专门的综合日志审计分析平台设备来更好的满足网络安全法中保留6个月日志的要求。
通过对备份系统进行扩容的服务,可以使更多的服务器纳入备份服务,更好的满足网络安全等级保护的要求。
本项目包括以下内容:
本项目采购内容包括运维安全管理系统、WEB应用防护系统、综合日志审计分析平台、备份系统扩容服务。
序号 |
分项 |
数量/单位 |
说明 |
1 |
运维安全管理系统 |
一台 |
1、【软硬一体】 2、【性能说明】:字符并发数≥3300,图形并发数≥2000,最大可管理设备数无限制。 3、【硬件规格】:标准2U硬件,交流冗余电源,硬盘≥4T,千兆电口≥8,xxx口≥8个,xxx口≥4。 具有国产化的操作系统、硬件平台,国密UKEY,处理器:C*Core32位RISC芯片,SRAM:32KB,EFLASH:256KB,支持国密规范。 主要功能包括:设备运维、访问控制及异常告警、运维管控、自动化运维、日志管理等。 提供相当于或优于原厂三年维保服务 |
2 |
WEB应用防护系统 |
一台 |
1、【软硬一体】 2、【性能说明】:应用层吞吐量≥10Gbps, Cps≥70000。 3、【硬件规格】:标准2U硬件,交流冗余电源, 千兆电口≥2,xxx口≥4(Bypass≥2路),硬盘≥1T。 主要功能包括:TCP Flood防护,HTTP Flood防护,慢速攻击防护,Web服务器/插件防护,爬虫防护,Web通用防护,文件非法上传防护,非法下载限制等基础防护;扫描防护,Cookie安全,内容过滤,敏感信息过滤,暴力破解防护,XML防护,智能引擎检测等功能。 提供相当于或优于原厂三年维保服务 |
3 |
综合日志审计分析平台 |
一台
|
1、【软硬一体】 2、【性能说明】:日志处理能力≥25000EPS,1000个日志源; 3、【硬件规格】:标准2U硬件, 电源:双电源; 网口:千兆电口≥5(包含管理口*1,业务口*4),xxx口≥2; 芯片+操作系统:相当于或优于鲲鹏920+统信UOS 内存≥512G; 硬盘≥6T*12; 主要功能包括:日志收集、日志分析、日志查询、日志备份等功能;日志收集包括支持Syslog、SNMP Trap、HTTP、ODBC/JDBC、WMI、FTP、SFTP协议日志收集,支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等。 提供相当于或优于原厂三年维保服务 |
4 |
备份系统扩容服务 |
一套 |
(1)对已有爱数备份系统提供扩容授权服务,共增加75TB授权,其中大学城校区增加50TB授权,桂花岗校区作为异地备份增加25TB授权。 (2)增加重复数据删除代理授权,实现重复数据删除功能。多个备份任务可以共享同一个重删指纹池,也可以根据数据的不同单独设置专属重删指纹池,支持并行重复数据删除,解决存储空间压力问题。 以上两个授权均为永久使用授权。 (3)完成项目交付的管理、业务场景的梳理和规划、产品的部署线及业务上线后的保障与支持。根据客户的实际需求进行灵活配置。 (4)提供相当于或优于原厂三年维保服务授权。 |
随着信息化的发展,学校IT系统不断发展,网络规模迅速扩大、设备数量激增,建设重点逐步从网络平台建设,转向以深化应用、提升效益为特征的运行维护阶段,IT系统运维与安全管理正逐渐走向融合。信息系统的安全运行直接关系学校效益,构建一个xx的IT运维安全管理体系对学校信息化的发展至关重要,对运维管理安全性提出了更高要求。由于代维人员流动性大、对操作行为缺少监控带来的风险日益凸显。因此,需要运维安全管理系统通过严格的权限控制和操作行为审计,加强对代维人员的行为管理,从而达到消隐患、避风险的目的。
目前学校使用的运维安全管理系统设备是2017年采购的,只有500个授权,性能也不够。我们仅仅是数据中心的服务器(含虚拟化+物理)就已817台,为了更好满足操作系统的操作需要管控和审计的安全要求,急需增加一台运维安全管理系统设备,该设备参数要求如下。
1、【软硬一体】
2、【性能说明】:字符并发数≥3300,图形并发数≥2000,最大可管理设备数无限制。
3、【硬件规格】:标准2U硬件,交流冗余电源,硬盘≥4T,千兆电口≥8,xxx口≥8个,xxx口≥4。
具有国产化的操作系统、硬件平台,国密UKEY,处理器:C*Core32位RISC芯片,SRAM:32KB,EFLASH:256KB,支持国密规范。
主要功能包括:设备运维、访问控制及异常告警、运维管控、自动化运维、日志管理等。
提供相当于或优于原厂三年维保服务
技术指标参数见表:
序号 |
指标项 |
技术参数 |
1. |
接口与性能指标 |
★系统应为2U标准式机架硬件设备,全内置封闭式结构,具有国产化的操作系统、硬件平台,≥8个千兆电口,≥8个xxx口,≥4个xxx口。存储空间不低于4T;最大可管理设备数不低于无限个,本次授权不少于无限个设备,字符并发数不少于3300个,图形并发数不少于2000个。 |
2. |
网络访问 |
支持基于IP的DNAT网络环境部署,通过映射后的IP信息能够访问堡垒机。(提供功能截图证明) |
3. |
远程访问 |
▲支持基于SDP技术的远程接入,无需额外部署VPN设备。支持服务隐藏功能,开启后,攻击者无法扫描到对应服务端口。支持服务端口代理功能,支持可将多个服务端口代理成一个,支持客户端在开启VPN的情况下,通过SDP技术和该端口建立安全隧道。(提供功能截图证明) |
4. |
多级组织管理/分权分域 |
支持划分多级组织架构(至少10个层级),支持管理员批量导入用户信息,可通过勾选账户进行批量操作如停用/启用、冻结、移除本组织成员。 |
5. |
支持划分多级组织架构(至少10个层级),不同层级有独立的用户管理,用户角色管理,资产管理,密码管理、策略管理、审计管理的权限角色,支持不同角色相互组合。 |
|
6. |
个性化 |
支持页面风格个性化配置,可以自定义“系统名称”、“系统标签”、“系统图标”、“登录页logo”和"网站ico",无需额外定制。(提供功能截图证明) |
7. |
分布式/集群 |
支持堡垒机系统定义为控制器模式和网关模式,控制器模式支持单机或HA部署。网关模式支持单台或多台集群部署。(提供功能截图证明) |
8. |
客户端 |
堡垒机系统支持BS以及CS模式,支持免费专用客户端,支持在windows、linux、国产化等操作系统下部署,支持在客户端上完成日常运维工作。 |
9. |
支持堡垒机专用客户端和堡垒机建立加密隧道,隧道加密算法可按需选择是国密或者标密。(提供功能演示) |
|
10. |
用户角色自定义 |
堡垒机具有用户角色权限自定义功能,可对用户进行细粒度权限划分,可细分用户管理,用户角色管理,资产管理,密码管理、策略管理、审计管理,支持不同角色相互组合。 |
11. |
终端安全基线检查 |
支持终端合规检查策略,包含针对Windows补丁检测、操作系统版本检测、端口检测、进程检测和安装应用检测;支持可由管理员自定义配置合规策略,自定义范围包括但不限于检查项、告警等级、执行操作等。(提供功能截图证明) |
12. |
账号安全基线检查 |
支持账户安全策略,可以对爆破登录、弱密码认证、僵尸账号认证、不合规终端认证、非常用时间使用、非常用终端认证、非常用地理位置认证、非常用网络认证进行识别并采取相关的处置措施,处置措施包括仅告警、警告、增强认证、禁止认证。(提供功能截图证明) |
13. |
认证策略 |
支持根据机构/角色/访问时间/地理位置/网络地址/终端类型来定义用户的认证方式和是否必须使用双因子认证,精细化管理用户认证策略且在同一策略条件内,支持为不同客户端(桌面端、Web门户)接入用户提供不同认证方式选择。(提供功能截图证明) |
14. |
用户登录堡垒机支持多种认证方式,包括本地静态密码认证、LDAP认证、RADIUS认证、USBKEY认证、PIN+软件OTP、短信认证、企微扫码认证、钉钉扫码认证、OAuth2.0等身份认证方式。(提供功能演示) |
|
15. |
自身安全性 |
▲堡垒机托管大量的服务器密码信息,为了保证堡垒机的安全性,厂商需在信息安全领域有丰富的经验与先进的技术,须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力。自主发现并提交CVE的安全漏洞数不少于20个。(提供CVE官方的截图证明) |
16. |
授权策略 |
▲支持基于组织机构、角色、属性和账户的静态授权,通过不同授权模型满足运维管控要求。(提供功能截图证明) |
17. |
支持基于网络、位置、时间的动态授权,并支持仅告警、二次认证、授权审批和阻断的授权管理动作。(提供功能截图证明) |
|
18. |
自动分析处理 |
▲支持获取用户在客户端远程桌面上进行图形运维操作所对应的、通过堡垒机发往服务器的事件请求,根据事件请求获取事件类型,根据事件类型获取权重值,获取服务器根据事件请求而返回的响应画面集,计算图形运维操作的有效性信息,解决了现有技术中人工评估运维人员操作的有效性所存在的效率低,耗费时间长,准确性差的问题。(请提供工业和信息化部或经济和信息化委员会或国家知识产权局或其他国家认可的第三方机构发的相关证明) |
19. |
本地文件客户端运维 |
支持本地文件客户端程序如winscp,xftp等客户端登录堡垒机,实现了在第三方客户端预先不知道服务器信息的情况下可以获取要访问的服务器信息以及能够访问的服务器信息,进而可以连接用户需要的服务器。(提供功能截图证明) |
20. |
产品资质 |
拥有软件著作权证书。(提供证书扫描件) |
21. |
拥有信息技术产品安全测评证书(分级评估证书EAL3+)。(提供证书扫描件) |
|
22. |
通过IPv6 Ready Logo测试认证,提供IPv6 Ready Logo证书。(提供证书扫描件) |
随着学校信息化建设的不断发展,学校的重要信息系统越来越多,服务全校的业务也越来越多。大量早期开发的Web应用,由于历史原因,都存在不同程度的安全问题。对于这些已上线、正提供生产的Web应用,由于其定制化特点决定了没有通用补丁可用,而整改代码因代价过大变得较难施行或者需要较长的整改周期。WEB应用防护系统可以对学校现有的WEB网站进行防护,同时尽可能弥补WEB应用存在的安全问题。
目前学校使用的WEB应用防护系统设备是2017年采购的,应用层吞吐量3Gbps, 20,000cps,目前已经不满足我们web系统的防护要求,访问量高的时候,出现cpu或者内存过高的情况。急需增加一台性能更强的WEB应用防护系统设备,该设备参数要求如下。
1、【软硬一体】
2、【性能说明】:应用层吞吐量≥10Gbps, Cps≥70000。
3、【硬件规格】:标准2U硬件,交流冗余电源, 千兆电口≥2,xxx口≥4(Bypass≥2路),硬盘≥1T。
主要功能包括:TCP Flood防护,HTTP Flood防护,慢速攻击防护,Web服务器/插件防护,爬虫防护,Web通用防护,文件非法上传防护,非法下载限制等基础防护;扫描防护,Cookie安全,内容过滤,敏感信息过滤,暴力破解防护,XML防护,智能引擎检测等功能。
提供相当于或优于原厂三年维保服务
技术指标参数见表:
序号 |
指标项 |
技术参数 |
|
|
硬件性能接口 |
★含交流双电源,≥2*USB接口,≥1*RJ45串口,≥2*GE管理口,网络层吞吐≥20G,应用层吞吐≥10G,≥4个xxx口(Bypass≥2路),并且所有业务接口均无需授权全部可用,需要自带硬盘进行日志存储,硬盘空间不小于1T。 |
|
|
部署能力 |
支持在线部署、旁路部署、VRRP协议、反向代理部署,镜像部署。旁路部署支持流量牵引、二层回注、跨接回注及PBR回注方式。 |
|
|
HA部署能力 |
支持A/S部署模式(链路切换、配置同步);支持VRRP协议。支持非对称路由下的部署 |
|
|
紧急模式 |
支持紧急模式,支持配置并发连接数阈值,当并发连接数超过阀值时,WAF自动进入紧急模式,已经代理的连接正常代理,对新增的请求不进行代理,直接转发,防止WAF成为访问瓶颈。当连接数恢复正常时,自动退出紧急模式。(提供功能演示) |
|
|
例外策略 |
支持对安全策略的一键式例外配置。(提供功能截图证明) |
|
|
HTTP RFC符合性 |
支持对HTTP协议合法性进行验证,提供HTTP协议防护功能。(提供功能截图证明) |
|
|
规则体系 |
系统提供可配置的内置规则;且支持自定义规则,规则属性要求支持“检测方向(请求或响应)”、“检测对象(URI/URI-path/Host/参数名/参数/Header-name/Header/Cookie名/Version/请求方法/Request-Body)”、匹配操作、特征签名等丰富要素。 |
|
|
HTTPS支持 |
支持对SSL(HTTPS)加密会话进行分析。 |
|
|
WEB基础架构防护 |
支持防护:蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等攻击。 |
|
|
WEB应用安全防护 |
支持SQL注入、XSS防护,支持使HTTP头域中的Cookie、Referer、User-Agent,Except字段过防护策略 |
|
|
设备的漏洞防护库应有专业漏洞挖掘团队维护,漏洞挖掘团队须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力。自主发现并提交CVE安全漏洞数不少于20个。(提供CVE官方的截图证明) |
|
|
|
支持CSRF(跨站请求伪造)防护。 |
|
|
|
支持扫描防护,可对请求量进行统计分析,判断依据包含: 在一定样本数前提下,通过请求离散率判别 在一定样本数前提下,WEB服务器成功应答比例及失败应答比例 在一定样本数前提下,触发告警数上限 |
|
|
|
▲支持识别判定自动扫描行为,在设定周期内采集发送端向网站服务器发送的访问请求消息和网站服务器向发送端返回的响应消息,将设定周期等分为至少两个子周期,依次统计每个子周期内访问请求消息个数,确定发送端请求可信度,判定发送端是否发生了自动扫描的行为。(须提供工业和信息化部或经济和信息化委员会或国家知识产权局或其他国家认可的第三方机构的证明材料)。 |
|
|
|
支持Cookie安全机制,包括加密和签名的防护方法,支持Xxxxxx自学习 |
|
|
|
支持盗链防护,可采用Referer和Cookie算法 |
|
|
|
支持对服务器状态码进行过滤和伪装的安全策略 |
|
|
|
产品提供URL访问控制功能,能够基于多种HTTP方法执行访问控制,包括:GET、POST、UNKNOWN、HEAD、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCK TRACE、SEARCH、CONNECT。(提供功能截图证明) |
|
|
|
▲支持完善的漏洞攻击防御库,应支持定期漏洞收集和挖掘升级能力,产品厂商支持获得漏洞情报的一线咨讯,同时自身研究中心最少获得4次微软MBB(漏洞绕过赏金计划)。(提供相关证明材料) |
|
|
|
暴力破解防护 |
支持暴力破解防护,支持基于GET或POST分别设置触发阈值。能够识别Form、Ajax、Jsonp等多种登录验证方式。 |
|
|
会话跟踪 |
支持会话追踪能力,能够关联用户的web请求及所有操作,达到攻击链还原,用户行为研究及攻击动机挖掘的目的。 |
|
|
能够对会话的类别进行有效识别,支持的会话类别应至少包括:ASP-DOT-NET-session、ASPSESSIONID-session、ColdFusion-session、J2EE-JSESSIONID-Cookie-session、J2EE-JSESSIONID-URL-session、J2EE-session、JWS-ID-session、PHP-BB-MYSQL-session、PHPSESSID-session、PHPSESSIONID-session、SAP-session等。(提供功能截图证明) |
|
|
|
数据泄露防护 |
对流出数据内容进行安全审查,对敏感关键字实施过滤,防止身份证等隐私信息非法泄露 |
|
|
XML防护 |
包括XML基础校验、Schema校验以及SOAP校验。(提供功能演示) |
|
|
网络层访问控制 |
支持基于五元组(源IP地址、目的IP地址、源端口、目的源口、协议类型)及接口的网络层访问控制功能 |
|
|
第三方日志对接 |
支持通过syslog和snmp两种方式将日志发送到第三方日志平台进行分析,Syslog方式支持通过Base64编码进行发送,包含服务器漏洞、 爬虫防护、防篡改、智能补丁、防盗链、Cookie安全、IP信誉控制、Web访问日志、会话追踪、慢速攻击、XML攻击等类型日志,应支持按类别设置是否发送(能够筛选只发送部分的日志)。因Web访问日志量较大,应支持设置Web访问日志量只发送到第三方日志平台,不保存在设备本地存储,(提供功能截图证明) |
|
|
Base64编码攻击防护 |
为防止web攻击手段采用base64编码混淆真实攻击意图,WAF应支持 Base64编码攻击防护 |
|
|
HTTPS支持 |
支持HTTPS国密算法 |
|
|
支持镜像监听模式下HTTPS流量的解析 |
|
|
|
HTTPS支持配置HSTS功能 |
|
|
|
网页压缩 |
支持gzip网页压缩 |
|
|
国内web框架及组件 |
支持国内广泛使用的本土化自产web框架及组件,如:织梦dedecms、ECShop等系统及其衍生模版的漏洞,应具备防护规则库。(提供功能截图证明) |
|
|
GEOIP |
可根据已知自身业务地理分布的客户,对特定区域访问进行控制,有效拦截地域性的攻击; |
|
|
误报处置 |
▲支持误报分析功能,可通过自动、手动方式对周期内的日志进行分析,并且根据分析结果进行自动策略调整,提升检测精度,减少告警噪音。(提供功能截图证明) |
|
|
升级管理 |
系统应提供多种升级方式,至少提供自动在线升级、离线升级两种方式 |
|
|
IP信誉 |
利用威胁情报建立IP风险画像,提供6类信誉数据DDos攻击、安全漏洞、垃圾邮件、Web攻击、扫描源、Botnet客户端; |
|
|
▲所使用的信誉库的及时性以及准确率,要求所使用的情报在IDC的安全分析、情报、响应和编排市场占有率排名内为前六。(提供第三方报告证明)。 |
|
|
|
厂商应建立自身的恶意网站信息库,并与非盈利组织(威胁软件阻止stopbadware协会、信息安全产业RSA协会或中国区域科学协会RSAC)进行信息交换,确保恶意网站信息库的准确性。(提供信息交换证明) |
|
|
|
流量清洗 |
提供本地清洗服务,能够对用户侧流量型及精细型DDOS攻击进行防护,防护能力应具备如下要求: 支持TCP Flood防护,提供配置界面截图证明 支持HTTP Flood防护,检测算法支持4种,包括:http cookies、url cookies、ascii-image、bmp-image 支持对慢速攻击的防护 |
|
|
产品资质 |
产品取得《中国国家信息安全产品认证证书》或网络关键设备和网络安全专用产品安全认证/中国国家信息安全产品认证证书。(提供证书扫描件证明) |
|
|
《国家信息安全测评信息技术产品安全测评证书》,并获得EAL3级别以上。(提供证书扫描件证明) |
综合日志审计分析平台是对日志数据的综合性管理平台,是网络安全解决方案中极其重要的组成部分,通过对各种日志数据的全面采集、解析和深度的关联分析,及时的全面感知各种安全威胁和异常行为事件;提供了事前可预警、事后可审计的这种安全管理能力,也符合相关法律法规对日志数据的留存审计要求。因此,需增加一台专门的综合日志审计分析平台设备,该设备参数要求如下。
1、【软硬一体】
2、【性能说明】:日志处理能力≥25000EPS,1000个日志源;
3、【硬件规格】:标准2U硬件,
电源:双电源;
网口:千兆电口≥5(包含管理口*1,业务口*4),xxx口≥2;
芯片+操作系统:相当于或优于鲲鹏920+统信UOS
内存≥512G;
硬盘≥6T*12;
主要功能包括:日志收集、日志分析、日志查询、日志备份等功能;日志收集包括支持Syslog、SNMP Trap、HTTP、ODBC/JDBC、WMI、FTP、SFTP协议日志收集,支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等。
提供相当于或优于原厂三年维保服务
技术指标参数见表:
序号 |
指标项 |
技术参数 |
1 |
性能要求 |
★授权资产数≥1000个;数据平均处理能力≥25000EPS;数据峰值处理能力≥40000EPS; |
2 |
硬件要求 |
★标准2U硬件,国产自主可控芯片、自主可控操作系统,内存≥512G(32G*16),硬盘≥6T*12(raid5), 电源≥双电源, 网口≥5个千兆电口(包含管理口*1,业务口*4) ≥2个xxx口(含2个万兆SFP多模光模块); |
3 |
功能扩展 |
▲采用解决方案包上传对产品进行功能扩展,无需代码开发。 (提供功能截图证明) |
|
支持kafka日志接收转发、大数据安全域同步、APT沙箱报告转发等大数据联调功能。Xxxxx收发支持SSL加密。 |
|
4 |
日志收集 |
支持Syslog、SNMP Trap、HTTP、ODBC/JDBC、WMI、FTP、SFTP协议日志收集;支持xx云SLS日志的采集。 |
5 |
支持使用代理(Agent)方式提取日志并收集,安装包支持界面下载,且安装支持可视化向导。 |
|
6 |
▲支持对Agent进行统一管控,包括卸载、升级、启动及停止操作,支持将日志收集策略统一分发 。(提供功能截图证明) |
|
7 |
支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等。 |
|
8 |
支持的设备厂家包括但不限于:Cisco(思科)、Juniper、联想网御/网御神州、F5、华为、H3C、微软、绿盟、飞塔(Fortinet)、Foundry、天融信、启明星辰、天网、趋势、东软、Nokia、CheckPoint、Hillstone(山石)、xx信息、珠海伟思、BEA、中国电信、安氏、帕拉迪、APC、Arbor、Clam、xx(Dell)、Digium、东方电子、EMC、中国电力科学研究院、Eudora、Google、冠群金辰、Linksys、McAFee、Netapp、永达、Sonicwall、Vigor、天存、Symantec(xx铁克)、Hardened-PHP、Foundertech(方正)、三零盛安、Allot、蓝盾、IBM、金诺网安、网威、Nortel(北电)、Citrix(思杰)、Watchguard、中兴、阿xx、Windows系统日志、Linux/UNIX syslog、IIS、Apache等。 |
|
9 |
日志分析 |
▲支持解析规则性能以界面列表形式显示,可了解解析耗时、解析成功或失败次数等信息 (提供功能截图证明) |
10 |
▲三维关联分析;支持通过资产、安全知识库、弱点库三个维度分析事件是否存在威胁,并形成关联事件(提供功能截图证明和第三方检测报告) |
|
11 |
可以基于日志等级进行过滤 |
|
12 |
可以通过自定义配置过滤掉用户不关心的日志。 |
|
13 |
支持对收集到的重复日志进行自动聚合归并,减少日志量。 |
|
14 |
具备安全评估模型,评估模型基于设备故障、认证登录、攻击威胁、可用性、系统脆弱性等纬度加权平均计算总体安全指数。安全评估模型可以显示总体评分、历史评分趋势。(提供功能演示) |
|
15 |
支持可由用户定义和修改的日志聚合归并逻辑规则 |
|
16 |
应用性能监控 |
▲通过在目标主机上安装Agent程序,支持监测目标主机的CPU利用率、内存使用率、磁盘使用率、磁盘使用情况、流量等信息(提供功能截图证明和第三方检测报告) |
17 |
支持监控Windows操作系统以下参数:CPU使用率、内存使用率、磁盘使用率、网络发送流量、网络接收流量、网络发送接收总流量、交换区使用率、磁盘总使用率、进程数、线程数; |
|
18 |
日志备份 |
可设置日志存储备份策略。包括系统日志保存期(天)、硬盘使用率百分比等策略。 |
19 |
支持日志本地备份及恢复。 |
|
20 |
支持日志备份自动传送到远程服务器。 |
|
21 |
支持从远程仓库恢复数据。 |
|
22 |
支持FTP、SAMBA、NFS和FILE,4种方式的远程服务器。 |
|
23 |
资产管理 |
▲资产拓扑支持按照实际的用户环境进行编辑发布并可以和资产进行绑定,拓扑可以显示资产采集的事件数量被采集资产的状态等信息(提供功能截图证明和第三方检测报告) |
24 |
部署方式 |
支持分布式部署,支持页面一键添加子节点,自动进行绑定添加,采集器可以选择同步日志范围,按需转发数据 |
25 |
支持集中式管理和升级模式 |
|
26 |
支持分级管理模式 |
|
27 |
随着广州大学信息化的推进,学校的IT系统不断发展,对数据的安全保障也提出了更高的要求。因此,构建更完善的数据备份系统对保障数据安全至关重要。目前,广州大学使用的备份系统已平稳运行近两年,备份系统针对广州大学重要信息系统和需要等保测评的系统了本地备份和异动备份,备份系统包括linux和windows系统,备份内容包括信息系统的文件数据、数据库、中间件、日志等信息内容。随着广州大学建设软件系统的增加和产生的数据快速增长,备份系统的可用容量已逐渐减少至不足10T。因此,需要对已有的备份系统进行扩容,增加可用空间,同时需要开启重删功能,提高备份空间的利用率。因此需要备份系统扩容服务,该服务要求如下。
(1)对已有爱数备份系统提供扩容授权服务,共增加75TB授权,其中大学城校区增加50TB授权,桂花岗校区作为异地备份增加25TB授权。
(2)增加重复数据删除代理授权,实现重复数据删除功能。多个备份任务可以共享同一个重删指纹池,也可以根据数据的不同单独设置专属重删指纹池,支持并行重复数据删除,解决存储空间压力问题。
以上两个授权均为永久使用授权。
(3)完成项目交付的管理、业务场景的梳理和规划、产品的部署线及业务上线后的保障与支持。根据客户的实际需求进行灵活配置。
(4)提供相当于或优于原厂三年维保服务授权。
投标人需承诺:投标人须在中标后提供本项目整体三年售后服务承诺函(承诺函格式自拟)。
本项目所需辅材,如招标文件无具体数量的,由投标人根据技术方案要求和现场情况提供,实际使用数量与中标人的投标数量不符时不对合同总价产生变更。
★本项目为交钥匙工程,投标人必须配备满足本项目软硬件系统正常运转的必要配件、辅助材料等(包括未在招标要求中明确出现,而满足系统整体要求所必须的),包括但不限于提供保障设备网络正常运行所需的跳线、光模块、理线架等。以及投标人必须承诺投标人项目总报价已经包含项目实施过程中可能涉及到的人工、运输、搬运(包括场内二次装卸)、环境清扫、成品保护、保修服务等一切相关费用。
1、总体要求
(1)严格按照项目合同的建设内容及工期进行项目实施,保障学校正当权益。
(2)项目实施过程中,若涉及合同内容实质性变更的(含合同货物型号、规格参数、数量,工期、合同款支付方式等),须按变更事项履行审批程序(含用户部门提出申请、承办部门审核、律师和审计处审核、校领导审核、签订补充合同)
2、安装要求:
(1)投标人需向采购人提供本项目采购的所有硬件及软件的安装和维护服务的全部内容,并在需要的时候配合设备使用单位完成整个系统的联调工作。若本项目采购的设备产品等方面的配置或要求中出现不合理或不完整的问题时,投标人有责任和义务在投标文件中提出补充修改方案并征得采购人同意后付诸实施。
(2)要求投标人需具有良好信誉和相关实力的技术队伍。
(3)投标人需本着认真负责态度,组织技术队伍,做好投标的整体方案,并书面提出长期保修、维护、服务以及今后技术支持的措施计划和承诺。
(4)安装调试在设备到货后3个工作日内开始进行。采购人须提供设备运行所需校园网接入等环境。
(5)所有设备均需由投标人送货上门并安装调试。采购人不再支付任何费用。
(6)自系统安装工作一开始,投标人需允许采购单位的工作人员一起参与系统的安装、测试、诊断及解决遇到的问题等各项工作。
3、开箱检验
(1)所有设备、器材在开箱时需完好,无破损。配置与装箱单相符。数量、质量及性能不低于合同要求。
(2)拆箱后,投标人需对其全部产品、零件、配件、用户许可证书、资料、介质造册登记,并与装箱单对比,如有出入需立即书面记录,由供货商解决,如影响安装则按合同有关条款处理。登记册作为验收文档之一。
4、系统测试
(1) 单项测试:单项产品安装完成后,由投标人进行产品自身性能的测试。设备通电测试需单台进行,所有设备通电自检正常后,才能相互联结。
(2)网络联机测试:设备系统安装完成后,由投标人和设备使用单位对所有采购的产品进行联网运行,并进行相应的联机测试。
(3)系统运行正常,均达到标书要求的功能、性能和产品技术规格中的性能要求,联机测试通过。
(4)如商检或系统测试中发现设备性能指标或功能上不符合标书和合同时,将被看作性能不合格,设备使用单位有权拒收并要求赔偿。
(5)投标人需负责在项目验收时将系统的全部有关产品说明书、原厂家安装手册、技术文件、资料、及安装、验收报告等文档,软件系统提供物理介质、电子及纸质许可证交付设备使用单位。
1、验收标准:按照《广州市政务信息化项目管理办法》及其验收规范标准等相关文件要求进行验收。项目验收包括项目初步验收、试运行、验收测评、安全评估、合同验收及项目终验环节。
2、项目初步验收由采购人组织进行。《项目初步验收报告》之出具必须具备以下条件:
(1)完成合同约定的全部建设内容,合同标的物(定作物)达到了本合同所列用户需求和技术要求、成果和技术文档全部交付、安装调试完毕;
(2)验收文档齐全完整;
(3)采购人签章出具表述“项目已按合同完成全部建设内容、符合采购人使用需求、同意申请验收”的书面意见;
(4)通过由采购人按照《广州市政务信息化项目管理办法》的要求另行委托第三方测评机构对合同标的物(定作物)进行的验收测评。
3、90个日历天的项目试运行期,试运行期自签发合格的《项目初步验收报告》当天起算。试运行期内中标方未收到来自采购人的修理、修复、复检、重新安装、重新调试等请求或者质量异议的,则试运行期满后视项目试运行合格并出具试运行报告。如果试运行期内发生非采购人人为毁损原因所致的质量问题,则试运行期起算时间应以该质量问题得到解决之日重新起算,且合同项下的试运行合格之时间点应整体顺延。
4、由采购人按照《广州市政务信息化项目管理办法》的要求另行委托第三方测评(评估)机构对合同标的物(定作物)进行验收测评和安全评估,中标方须按测评(评估)机构出具的报告进行免费整改并使合同标的物(定作物)通过验收测评和安全评估;经过两次测评(评估)后合同标的物(定作物)仍不符合验收测评和安全评估要求的,采购人有权单方解除合同且中标方应按合同总价的百分之三十支付违约金。凡进行合同标的物(定作物)整改须以不得影响或破坏采购人数据信息资料为基本原则。
5、若已完成合同标的物(定作物)信息系统安全等级测评的可代替安全评估。
6、在本合同标的物(定作物)完成上述标的物(定作物)验收、试运行、安全评估通过后,由采购人出具合同验收意见。
7、按政府信息化主管部门对采购人信息化项目的审核文件,本项目作为采购人信息化项目的其中一个子项目,项目终验由政府信息化主管部门按“整体立项、整体终验”的原则进行,中标人有义务配合采购人做好项目终验的相关工作。
8、★为保证项目顺利通过广州市政府信息化主管部门组织的终验,投标人必须承诺:项目及所投产品能通过由采购人招标确定的第三方机构的验收测评、符合性检查及项目终验(提供承诺函,格式自拟)。
1、所提供的培训课程表随投标文件一起提交。培训授课人需是所投产品厂家的工程师、技术员等。
2、投标人需为所有被培训人员提供培训用文字资料和讲义等相关用品。所有的资料需是中文书写。
3、投标人需将所有培训费用(含培训教材费)及各项支出列入“售后服务和培训价格表” ,所有的费用需分别报价并计入投标总价。
4、培训内容与课程:提供所购设备、软件等内容的使用和维护管理培训。
为保障系统的正常运行,及时解决问题,要求提供属地化的售后服务。
(1)售后服务从项目合同验收通过之日起计算。
(2)中标人在项目合同验收合格后,必须提供所投产品(三年)的免费上门维护期。在维护期内,若涉及系统升级,提供应用系统版本免费升级及对软件进行维护和完善,费用计入投标总价;
(3)所有保修服务方式均为中标人上门保修,即由中投标人派员到业主使用现场维护。由此产生的一切费用均由中标人承担;
(4)全天候24小时服务响应,中标人的维护工程师应在接到报障后2个小时内到现场处理应用系统出现的故障。
(一)本合同款总额分四次支付。合同签署之后7个工作日内,采购人收齐中标人通知及提供的付款发票和其他必要的付款凭证的情形下,采购人自该付款资料提交日起5个工作日内向广州市财政国库支付执行机构提交支付凭证资料、办理财政国库集中支付手续,再由其向中标人核拨合同总价的40%款额。
(二)合同款第二次支付,本合同中主要设备全部到货后,采购人在收齐中标人提供的付款发票和其他必要的付款凭证的情形下,采购人自该付款资料提交日起5个工作日内向广州市财政国库支付执行机构提交支付凭证资料、办理财政国库集中支付手续,再由其向中标人核拨合同总价的20%款额。
(三)合同款第三次支付,按本合同验收方式之标的物(定作物)验收合格后,采购人在收齐中标方提供的付款发票和其他必要的付款凭证的情形下,采购人自该付款资料提交日起5个工作日内向广州市财政国库支付执行机构提交支付凭证资料、办理财政国库集中支付手续,再由其向中标人核拨合同总价的30%款额。
(四)合同余款的支付,按本合同验收方式之合同验收合格后、在采购人收齐中标人交付的合法有效并与本合同条款相一致的发票等支付凭证之日起的5个工作日内支付相应合同余款。
(一)本项目要求在评审过程中进行原型演示,建议供应商在投标文件解密时间截止后1小时内到达采购代理机构等候。原型演示开始时间由评标委员会确定,如供应商未在评标委员会规定的时间内到达原型演示地点进行原型演示,评标委员会有权视其放弃原型演示。等候地点:xxxxxxxxx000x广州市政府采购中心(太阳广场)四楼。
(二) 本项目由有效投标人于评标过程中进行原型演示,请投标人自行准备相关文件。
(三)授权委托代理人须凭身份证原件参加原型演示,参加人数不超过3人(含授权委托代理人在内)。
(四) 如原型演示过程中需要用到电脑等设备,请投标人自带,评标现场仅提供电源和投影设备。
(五) 原型演示时间15分钟。
(六) 原型演示内容:
要求投标人远程登录投标设备,对运维安全管理系统、WEB应用防护系统、综合日志审计分析平台的功能要求进行现场演示:
1、用户登录堡垒机支持多种认证方式,包括本地静态密码认证、LDAP认证、RADIUS认证、USBKEY认证、PIN+软件OTP、短信认证、企微扫码认证、钉钉扫码认证、OAuth2.0等身份认证方式。
2、支持堡垒机专用客户端和堡垒机建立加密隧道,隧道加密算法可按需选择是国密或者标密。
WEB应用防护系统:
1、支持紧急模式,支持配置并发连接数阈值,当并发连接数超过设置阀值时,WAF自动进入紧急模式,已经代理的连接正常代理,对新增的请求直接转发;当连接数恢复正常时,自动退出紧急模式。
2、支持XML防护,包括XML基础校验、Schema校验以及SOAP校验
综合日志审计分析平台:
1、具备安全评估模型,评估模型基于设备故障、认证登录、攻击威胁、可用性、系统脆弱性等纬度加权平均计算总体安全指数。安全评估模型可以显示总体评分、历史评分趋势。