Contract
国家税务总局南京市税务局
业务安全风险审计平台设备竞价文件
采购单位:国家税务总局南京市税务局
项目名称:国家税务总局南京市税务局业务安全风险审计平台设备
采购商务要求及设备指标参数要求
3.1 在线竞价采购商务要求
本项目在线竞价响应供应商须是符合《中华人民共和国政府采购法》第二十二条的规定,符合《关于规范政府采购供应商资格设定及资格审查的通知》第六条规定且已在政采云税务采购网系统注册并通过资质初审的供应商。
竞价响应供应商须认真审核在线竞价采购文件所有要求,如明知不满足采购文件要求进行恶意竞争的,将根据《政采云平台电子卖场权益维护及纠纷处理规则》和政府采购相关规定,报财政部门、国家税务总局处理,涉嫌犯罪的,移送司法机关处理。请供应商在响应报价前仔细评估自身履约能力,不得实施恶意低价、不按要求报价、中标后无故放弃、不按合同履行等违约行为;对出现此类行为的预成交供应商,将根据在线询价违约处理规则,依法依规提请政采云平台进行处罚,处罚内容包括停止推送报价信息、禁止报价、协议暂停、罚款、诚信体系中记录不良行为或黑名单等,记入政府采购诚信档案。
本项目预算含税金额为45万元,数量1台,项目实施地点为南京市税务局金汇大厦机房。
竞价响应供应商须参照采购需求中建议的品牌提供产品,并确保其所提供的产品为符合生产厂家正规渠道的原装正品。
竞价公告的商品清单中“技术参数或配置要求”表中标记“★”的为主要技术参数;主要技术参数不满足为实质性不响应,其他参数不响应超过三项的视为实质性不响应。
本项目所采购设备须提供不少于3年原厂维保及升级服务,质保期时间自最终验收合格并交付使用之日(以时间在后者为准)起计算。为确保供应商提供的产品品质及后续质保服务,投标产品需要提供由设备生产厂商出具的加盖公章的维保服务承诺函,否则视为竞价不符合技术指标要求,属实质性不响应,本次竞价无效。
竞价成交结果公告公示后必须在七个工作日内与甲方签定合同,合同签订后1个月内完成全部设备的到货,设备到货后1个月内完成现场集成安装调试,并提供必要的辅材,同时完成相关培训任务。
商务及服务条款、技术参数内要求的相关资料、证书,竞价供应商须在报价同时通过附件向采购单位提供,否则本次竞价无效。如中标人未能履行以下规定程序的,视为未实质性响应本项目采购需求,按税务采购网供应商管理办法处置 (1)投标产品未按照技术参数要求提供主要技术参数证明文件的;(2)技术参数或配置要求中需要提供的技术参数证明文件未能在签订合同前提交原件或原件复印件并加盖产品厂商公章进行核验;(3)无法按时供货;(4)由于投标人原因未在规定的时间内签订合同的。
竞价设备参数指标不得低于附件中设备参数指标。
本项目不接受超预算报价。
本项目不接受联合体参加。
供应商和所供产品必须全部满足技术和商务要求、服务条款和商务条件;供应商担保采购单位使用其提供的产品及服务不侵犯第三方知识产权。合同签署后供应商不满足以上各项要求和指标,采购方有权终止合同,并且有权要求退赔。
本项目不得以任何形式转包分包,采购单位将对进场施工人员做资格审查,不合格当违约处理。
本项目专门面向中小企业采购
付款方式:本合同项下的全部货物安装调试完毕并经最终验收合格,且收到货物生产厂商针对本项目开具的维保服务承诺函后30个工作日内,采购单位在收到供应商开具的正式发票后、向供应商支付合同价款的80%,质保期满后并收到发票后支付剩余部分。
3.2 技术参数和配置要求
序号 |
指标项 |
指标要求 |
|
|
硬件配置和性能 |
★2U机架式服务器硬件平台(非工控机),双电源,2颗CPU,单颗CPU内核≥16核,内存≥512GB,固态硬盘容量≧1.8Tb,SAS硬盘容量≥24TB,RAID 5,可使用硬盘槽位≥12个,≥2个千兆电口,≥2个xxx口 |
流接收峰值≥9Gbps,HTTP 吞吐量≥15000/秒 |
||
|
|
使用许可 |
★本产品管理的应用、接口、账户等均不受许可数量限制 |
|
|
协议解析 |
能全量还原基于HTTP协议的各类接口协议类型,包括但不限于HTTP、Soap、Jsonp、Json-RPC、OAuth、Restful API等; 支持请求类型包含:POST,GET,PUT,DELETE,HEAD,CONNECT,OPTIONS,TRACE; 支持资源类型包含:HTML,JSON,XML,TXT,PDF,DOC,DOCX,XLS,XLSX,CSV,PPT,PPTX,ZIP,RAR,7z,TAR,GZ,WPS,ET,DPS,RTF,OFD等。 可以根据需要对上传、下载的文件进行还原,提供文件下载功能。 |
|
|
应用发现 |
根据用户访问的域名、IP地址、端口号等信息自动识别应用系统,支持对应用系统手工或按照设定规则自动进行合并和拆分,如域名IP端口合并拆分、二级或多级域名合并拆分等。 可以查看应用列表,支持以应用视角(合并拆分后的)查看指定应用的资产信息、敏感数据分布、涉敏访问趋势、高发风险、当前应用下的所有接口等信息。 |
|
|
接口发现 |
通过对网络流量中的请求信息进行模板化提取,能自动化发现各类WEB应用接口(API),支持对接口按照设定规则自动进行合并和拆分,如基于请求路径、请求参数进行合并拆分等。 可以通过规则自动化过滤图片、CSS、html等静态页面文件,不在接口中显示。对识别出来的应用接口进行自动分类和打标签,接口类型包含:敏感接口、普通接口、登录接口、下载接口等。 可以查看各类接口列表,支持以接口视角(合并拆分后的)查看指定接口的资产信息、访问趋势变化、高发风险、敏感数据分布等。 |
|
|
★账号发现 |
支持多种方式的账号解析,可以准确地解析用户账号,并将账号信息与该账号登录后的所有操作进行关联;账号解析方式包括:从登录接口中分析提取出用户账号信息,从用户的请求和响应参数中提取账号信息;从响应体中提取账号信息等。 支持将多个应用系统中的账号关联到同一税务人员主体,可对人员主体维护组织架构信息(如所属单位、部门、岗位角色等),支持以人员、账号、岗位角色、终端等维度查询和分析数据访问行为。 |
|
|
敏感数据发现 |
自动发现敏感信息,能对姓名、电话、身份证、统一信用代码、银行卡号、日期、email、地址、单位名称等敏感信息自动识别并形成数据资产台账。 |
|
|
★数据使用情况审计 |
可对每个接口进行个性化配置:对于数据查询类接口,能对用户每一次接口调用的返回数据进行审计分析,记录关键字段内容;对于一次返回多行数据的查询接口,识别并记录每次查询请求返回数据的行数和关键字段内容。 以上接口调用及返回情况的元数据(即人员、终端IP、账号、应用、接口、返回行数、关键字段内容等)可在用户每次调用接口后准实时通过syslog、kafka等外发到大数据平台。 |
|
|
★文件下载情况审计 |
对于数据下载类接口,能对用户每一次下载文件的内容进行审计分析,记录下载数据的行数,文件可以还原并存储在本设备中供溯源。下载接口调用的元数据(即人员、终端IP、账号、应用、接口、下载参数、下载行数等)可通过syslog、kafka等外发到大数据平台,下载文件可根据需要实时还原并提供下载。 |
|
|
★数据安全风险监测 |
可从网络流量中识别出数据安全风险,例如涉敏访问、超量访问、频次异常、非工作时间、账号共用(一人多户和一户多人使用)等。以上数据可通过syslog、xxxxx等外发到大数据平台。 |
|
|
接口脆弱性管理 |
能够通过检测发现接口的弱点,例如接口未鉴权、接口参数可遍历,明文密码传输、伪脱敏、弱密码、接口可执行系统命令、接口可执行SQL语句等。 |
|
|
行为基线 |
基于应用、接口、账号、IP、角色、岗位、数据总行数等维度建立多维度行为基线,设置异常行为检测规则,识别传统风险模型无法识别的未知威胁,支持自定义基线的学习周期。 |
|
|
★审计溯源 |
可基于敏感数据关键字内容对收集的网络流量进行全量审计溯源,可以通过一次输入多个关键字内容来缩小匹配范围,提高溯源准确性;可基于税务人员主体或IP进行审计溯源,还原用户账号或IP历史访问轨迹画像。 |
|
|
人员账户权限清册 |
可根据税务人员和系统账户访问接口和数据量的情况,自动生成指定时间段内数据访问权限情况清册。 |
|
|
数据分析看板 |
基于应用、API、账户、客户端ip、风险、弱点、会话、数据量等维度进行分析展示,支持展示应用、接口、人员、账号topN 的访问量、涉敏访问量、访问行数信息,并可自定义选择展示内容进行访问行为分析;。 |
|
|
数据报表分析 |
应内置多种报表模板,支持对报表加入定时任务进行周期推送。 |
|
|
★其它 |
以上配置和查询使用等操作均可通过统一WEB管理界面进行操作。 产品需兼容国产CPU、操作系统、中间件等(合同签订前需提供原厂商盖章的承诺书)。 |
|
|
★应用系统适配要求 |
供应商应针对南京市税务局涉税费系统深入研究数据业务现状,完成应用和接口识别、账号解析、查询接口配置、风险规则基线配置等工作。应用系统包括但不限于金税三期税收管理系统、国家税务总局江苏省税务局税收大数据管理平台、江苏省电子税务局纳税服务(税务端)、江苏税务风险管理平台、南京税务数智中心、异地协作平台、自然人电子税务局税务端、自然人股权转让管理工具等。质保期内,如因采购单位应用系统增加或调整,涉及本产品的功能修改等需求,生产厂商应免费提供相关服务(合同签订前需提供原厂商盖章的承诺书)。 |
|
|
产品资质 |
★提供国家版权局颁发的《计算机软件著作权登记证书》。 |
说明:以上技术要求中,“★”为关键性指标,不允许偏离。
建议品牌:安博通、安华金和、云智信安等
3.3 项目实施要求
采购单位监督和管理设备集成安装实施工作。
供应商所提供的产品及配件必须是原厂原包装全新正品,产品质量符合国家相关标准及安全规范。设备到货时,所有外包装箱箱体无严重破损或变形,封条应完整无缺,内包装应符合标准运输包装要求,拆箱后设备主体外表无任何磕碰、碎裂、划伤痕迹。运输途中设备出现任何问题,全部由供应商负责解决。
供应商须对采购文件要求的技术参数逐一测试,不满足技术要求的货物将被拒收。
供应商必须按采购单位要求完成设备的安装、配置、测试、优化等工作,包括网络布线、系统配置、操作系统安装、管理控制台配置。供应商须提供本次项目采购所有设备需要的强弱电缆、光纤、跳线等材料和配件。
3.4 售后服务要求
为保证数据安全,本次采购所有设备的存储介质(含机械硬盘、固态盘)在质保期内发生故障更换后,所有权仍归采购单位,其他单位和人员不得带离现场。
供应商在质保期内必须提供所有设备整机(包括所有相关部件)的硬件质保服务和软件的维护、配置,在质保期内提供非人为损坏造成的设备故障免费维修,免费技术咨询、免费设备软件版本升级、协助安装操作系统、制作设备标签等维保服务。
本项目质保期内的设备维护保障服务和部件备件供均为全包模式。维修维护所需用的专业化工具和装备,均由供应商自备,不再另收取需方费用。
供应商应对本次采购所有设备免费提供必要的操作系统、相关设备硬件系统的微码、补丁等升级服务、安全漏洞修补、系统统资源优化等服务。供应商服务过程中所提供的软硬件产品,须保证拥有合法的使用权。
采购单位提出技术支持请求后,供应商须在1小时内响应;当系统发生硬件故障时,在4小时内提供现场服务,在服务人员到现场后6小时内尽力恢复系统正常运行;如设备故障6小时内无法恢复,并影响业务系统正常运行,需在确认无法恢复后10小时内采取更换备品、备件等应急措施,使业务系统尽快恢复运行;当更换备品、备件不能解决硬件故障时,应在故障发生24小时内提供同档次或更高配置的设备对故障设备进行替换,完成配置,保证业务正常运转,直至故障设备修复后重新部署回原节点。
供应商如未能在上述规定时间内解决故障并恢复系统运行,采购单位有权动用设备原厂商的技术力量和备品、备件,或请其他专业公司进行维修,所有费用由供应商支付。
在质保期内如采购单位有需求,供应商免费对参保设备提供配置调整和调试服务,为采购单位提供参保设备上架、下架、跳线理线(包括网线和电源线)、制作标签等服务工作;协助采购单位做好配置管理,对维保设备配置信息进行采集、更新和统计,维护相关设备配置信息表。
如采购单位因某一时期运维工作内容增加、紧急事件处理等需增加现场技术支持人员服务的,供应商需安排相应技术人员免费协助开展相关工作。
3.5绿色数据中心要求
本项目所采购的产品需满足《绿色数据中心政府采购需求标准(试行)》(财库【2023】7号)中“数据中心信息(IT)设备及配套设备要求”的通用要求,项目验收时需提供第三方检测报告或第三方认证证书,无法提供的视为验收不通过,供应商需承担违约责任。
3.6 其他要求
一、供应商及其工作人员,应当遵守国家税务总局、江苏省税务局及南京市税务局的相关安全保密规定,在签订合同时,同时要与采购单位签订保密协议,双方必须对合作过程中涉及的税务工作信息资料、秘密、业务需求、协议、系统设计、技术成果等内容和相关事务保密。
二、供应链安全管理要求:按照采购单位关于加强税务信息化供应链安全管理工作的具体要求,作为信息化资源和服务提供的供应商,有义务保证所提供产品、服务和管理的安全性。包括配合开展背景审查、设置网络安全负责人、加强安全意识和技能考核、及时报告重大事项、建立应急响应机制等承诺条款(详见附件承诺书)。
以上关于保密和供应链管理的要求,在签订合同时必须做出遵守承诺,未签署承诺书的视为无效合同。
附件: 税务信息化供应链安全管理承诺书
国家税务总局南京市税务局:
为确保国家税务总局南京市税务局税务信息化供应链安全,我单位xxxx:
1.配合开展背景审查工作。遵守国家网络安全政策法规和税务机关各项网络安全规章制度,与局方签订保密协议,提交单位网络安全承诺书,项目实施人员及驻场人员提交个人网络安全承诺书及包括无犯罪记录证明在内的背景审查材料。定期对聘用离职税务人员情况进行排查,建立相关资料档案,确保人员安全可信。
2.设置网络安全负责人。建立网络安全负责人制度,为本项目配备一名具备独立决策能力并保持相对稳定的负责人,在项目实施的全过程负责网络安全工作,组织落实各项网络安全要求。
3.加强安全意识和技能考核。项目实施前,确保对参与人员开展了网络和数据安全法律法规、税务系统网络和数据安全相关规定要求、安全技能、保密常识等方面的教育培训并考核合格;项目开展期间,配合局方检查我单位对项目参与人员开展相关安全培训、考核及警示教育情况,确保通过教育培训不断提高我单位项目参与人员的网络和数据安全意识及保密意识。
4.及时报告重大事项。及时向局方报告我单位发生的可能影响网络安全的重大事项,包括负责人及重要工作人员变更、业务转型、合并重组、投资并购等。
5.建立应急响应机制。项目开发建设前,我单位将编制并提交基于项目场景的供应链安全事件应急响应预案,明确相关职责和应急处置流程;根据应急响应预案定期进行应急演练;配合局方定期检查我单位开展应急演练的记录等情况,确保快速有效处置供应链安全事件。
6.开发场所安全管理。配合局方核查我单位的软件研发工作场所及开发测试环境,保证搭建专用的开发测试环境,配置安全可信的开发管理工具,设置可靠的权限管理策略,确保项目研发安全可控、开发场所安全可控可信。
7.局方开发环境安全管理。在局方开展软件开发测试工作的现场工作人员,将严格遵守局方供应链厂商管理规范,未经批准不使用自带电脑和移动存储介质,不变更办公场所和办公设备,不安装非必要的应用程序和组件,不擅自复制、使用和修改文档、数据以及其他开发测试资料。
8.产品和服务安全管理。我单位提供的产品及服务满足国家认可的网络安全规范和认证要求,我单位负责的定制开发软件将配合局方开展网络安全“三同步”测评,我单位在项目中使用的重要供应链产品将按照局方要求形成供应链产品清单提交局方审核。
9.第三方组件安全管理。我单位将在局方统一管理下定期对提供的产品进行安全风险评估和漏洞扫描,做好漏洞评估、漏洞修复和版本升级工作,形成第三方组件(含自行开发且多项目共用的基础框架及组件)清单和安全分析报告,及时更新第三方组件相关信息并报送局方。我单位将采取有效措施保障第三方组件安全,原则上禁用存在高风险隐患或已停止维护的第三方组件。我单位确保产品中使用的开源代码符合开源许可协议要求。
10.代码平台安全管理。项目开发建设时,如需设立代码管理平台,我单位将配置独立的、不与互联网连接的内部代码管理平台,搭建具备权限管控功能的统一版本控制系统,将全部源代码纳入管理,并制定安全编码规范,严禁开发人员未经授权或越权访问和违规开发。我单位将配合局方开展安全审查,严禁将源代码上传第三方平台,严禁使用互联网代码托管平台,防止代码泄露和后门植入。
11.源代码安全自查。我单位将设置专用代码审计场所,采用工具与人工核查相结合的方式开展工作,形成源代码审计报告提交局方。我单位将采取必要的手段确保源代码不外泄,对审计中发现的问题及时解决。
12.测试数据安全管控。为保障测试数据安全,我单位将明确脱敏字段需求,规范测试数据使用权限,切断数据拷出途径,根据局方规定申请用于测试的税务脱敏数据,并确保测试数据安全。
13.安全“三同步”管理。应用系统开发上线前,我单位将配合局方安全管理要求,形成供应链产品清单、第三方组件使用清单、源代码审计报告等相关内容,汇总至系统安全“三同步”材料一并提交局方审核。
14.权限和数据安全管理。我单位工作人员遵从局方最小化授权要求,按照工作所需向局方提前申请各类账户,不试图获取超范围权限,获得批准后使用。我单位工作人员遵从局方运维规范,未经同意不擅自访问、修改或删除税费数据,不私自截留涉税相关数据,不变更涉税相关数据用途、用法,不公开、转让或向第三方提供涉税相关数据,配合局方做好税费数据操作全程记录和留痕工作。
15.基础设施安全管理。我单位工作人员遵从局方日常运维行为安全管理要求,未经局方批准不进入基础设施场地,未经授权不访问、维护、维修基础设施,运维期间不携带个人电脑、U盘、未授权软件安装包等工具,不向第三方提供基础设施场地设计图、设备部署图等有关信息。
16.风险隐患管理。我单位将及时向局方报告发现的网络安全漏洞、缺陷、数据泄露或其他重大网络安全风险,不公开或向第三方提供。我单位将定期检查所使用产品及第三方组件,存在高危漏洞的及时通过限制访问、更新补丁、版本升级、设备防护等措施进行加固处置;对于停止维护的产品及第三方组件,评估是否存在高危漏洞,如存在无法修复的高危漏洞,将考虑升级版本或更换产品及第三方组件。
17.自查报告要求。我单位将配合局方严格落实供应链厂商在风险控制、审计巡查、应急处置等方面的工作要求,根据各项要求的落实情况,撰写年度供应链安全自查报告并提交给局方。
18.履约履职要求。我单位将严格遵守采购合同、项目采购需求说明书、协议、承诺书等文件中的安全相关条款,若履行网络安全责任不到位、造成安全事件或产生不良影响的行为,依照相应条款处理。
19.安全审查要求。我单位按照《网络安全审查办法》的要求,承诺不利用提供产品和服务的便利条件非法获取数据、非法控制和操纵设备,无正当理由不中断产品供应或必要的技术支持服务等,否则依照法律规定处理。
20.项目验收要求。我单位将落实局方供应链安全管理各项规定,按照国家相关法律法规开展安全审查、安全评估、渗透测试等,并将落实情况作为项目验收材料提交局方审核。
我单位承诺遵守相关法律法规及本承诺书有关规定。若违反相关规定,贵单位有权对我单位及工作人员的违规违纪行为按签订合同、协议、承诺书等相关条款进行处理。涉嫌违法犯罪的移交有关部门依照相应法律法规处理。
承诺单位(公章):