2.采购编号:HSZT2019FC/137
招标文件变更通知
1.项目名称:国家海洋信息中心内网云平台安全建设及相关服务采购项目
2.采购编号:HSZT2019FC/137
3.招标公告日期:2019 年 09 月 23 日
4.采 购 人:国家海洋信息中心
5.采购代理机构:北京华盛中天咨询有限责任公司联 系 人:xxx xxx
联系电话:000-00000000-000/811传 真:010-82582703-876
国家海洋信息中心内网云平台安全建设及相关服务采购项目(采购编号:
近 5 年承担过类似海洋应用系统开发的成功案例,提供 | 0-2 分 | |
1 个得 1 分,没有不得分。 | ||
注:投标人须提供上述成功案例,要求附带有效证明材 | ||
料(合同关键页含首页、金额页、签字页并加盖单位公 | ||
投标人业 | 章),对于应答不全,或未作有效应答,或未按标书应 | |
绩 | 答,该案例无效。 | |
(4 分) | 近 5 年承担过类似海洋信息安全类项目业绩,提供 1 个 | 0-2 分 |
得 1 分,没有不得分; | ||
注:投标人须提供上述业绩的证明材料,包括合同关键 | ||
页含首页、金额页、签字页并加盖单位公章,对于应答 | ||
不全,或未作有效应答,或未按标书应答,该业绩无效; |
HSZT2019FC/137)的招标文件变更内容已经确认,同意变更。具体变更内容如下: 1、2.6.3 评标方法内商务部门变更
资质状况 (3 分) | 投标人具有有效期内系统集成资质证书壹级(含)以上得 0.5 分,以下或没有得 0 分。 投标人具有有效期内 CMMI 成熟度等级证书,五级得 0.5 分,以下或没有得 0 分。 投标人具有 ITSS 信息技术服务运行维护标准符合性证书,二级(含)以上得 0.5 分,以下或没有得 0 分。投标人具有 IT 服务管理体系认证 ISO20000 证书,提供证书得 0.5 分,没有不得分。 投标人具有信息安全管理体系认证 ISO27001 证书,提供证书得 0.5 分,没有不得分。 投标人具有 ISO4001 环境管理体系,提供证书得 0.5 分,没有不得分。 注:以上须提供证书复印件并加盖单位公章。 | 0-3 分 |
投标人业绩 (4 分) | 近 5 年承担过类似应用系统开发的成功案例,提供 1 个 得 1 分,没有不得分。 注:投标人须提供上述成功案例,要求附带有效证明材料(合同关键页含首页、金额页、签字页并加盖单位公章),对于应答不全,或未作有效应答,或未按标书应答,该案例无效。 | 0-2 分 |
近 5 年承担过类似信息安全类项目业绩,提供 1 个得 1 分,没有不得分; 注:投标人须提供上述业绩的证明材料,包括合同关键页含首页、金额页、签字页并加盖单位公章,对于应答不全,或未作有效应答,或未按标书应答,该业绩无效; | 0-2 分 | |
资质状况 (3 分) | 投标人具有有效期内 CMMI 成熟度等级证书,五级得 1 分,以下或没有得 0 分。 投标人具有 IT 服务管理体系认证 ISO20000 证书,提供 | 0-3 分 |
投标人业绩要求去除海洋类,取消系统集成资质证书、信息技术服务、环境管理体系要求,具体变更为:
证书得 1 分,没有不得分。 投标人具有信息安全管理体系认证 ISO27001 证书,提供证书得 1 分,没有不得分。 注:以上须提供证书复印件并加盖单位公章。 |
2、3.3.3 本项目整体交付能力变更
重要性 | 服务要求 | 数量 | 交付能力 |
★ | 边界防护服务 | 2 套 | 最大吞吐量≥80Gbps 并发连接数≥1600 万,每秒新建连接数≥80万 需提供访问控制、负载均衡、防病毒、入侵防 御服务 |
★ | 云内东西向安 全防护服务 | 2 套 | 需提供访问控制、负载均衡、入侵防御服务 |
★ | 数据库审计服务 | 1 套 | 吞吐量≥2000Mbps。记录事件:≥40000 总记录事件:≥350 亿条 数据库授权数量和监听口授权数量无限制存储性能不低于 1T |
网络审计服务 | 1 套 | ||
★ | APT 检测服务 | 1 套 | 吞吐量≥1000Mbps,系统盘 250GB,存储盘 2TB |
★ | Web 应用防护服务 | 1 套 | 吞吐量≥6Gbps,应用层吞吐量≥3Gbps,最大并发连接数≥17 万,每秒新建会话数≥20000。 存储能力≥1TB; |
★ | 入侵检测服务 | 1 套 | 三层吞吐量≥14Gbps,应用层吞吐量≥2Gbps最大并发连接≥400 万 每秒新建会话数≥12 x |
★ | 统一云安全管 理服务 | 1 套 | 支持与现网 H3C 云平台对接,作为云平台的扩 展组件,租户或管理员登录云平台后即可对安 |
全资源进行统一管理,无需开发即可对接,实现租户网络、计算、存储、安全等资源的同步 管理 | |||
★ | 流量复制能力 | 1 套 | ≥48 个xxx接入能力 ≥4 个 40G 光接入能力 |
★ | 运维审计能力 | 1 套 | 字符并发会话数≥800 个,图形并发会话数≥ 600 个,授权管理设备数≥200 台。 |
★ | 交换机 | 1 台 | 实现与现网 H3C S10512 交换机设备通过虚拟化技术虚拟成一台逻辑设备,提升可靠性、可用性,实现统一管理、统一配置,简化网络设 备管理等。 |
★ | 主机安全防护 服务 | 1 套 | 授权≥200 物理 cpu,含杀毒和虚拟补丁功能 |
重要性 | 服务要求 | 数量 | 交付能力 |
★ | 边界防护服务 | 2 套 | 最大吞吐量≥80Gbps 并发连接数≥1600 万,每秒新建连接数≥80万 需提供访问控制、负载均衡、防病毒、入侵防 御服务 |
★ | 云内东西向安 全防护服务 | 1 套 | 授权≥200 物理 cpu,含杀毒和虚拟补丁功能 |
★ | 数据库审计服务 | 1 套 | 吞吐量≥2000Mbps。记录事件:≥40000 总记录事件:≥350 亿条 数据库授权数量和监听口授权数量无限制存储性能不低于 1T |
网络审计服务 | 1 套 |
云内东西向安全防护能力指标项变更,去掉主机安全防护能力指标要求,具体变更为:
★ | APT 检测服务 | 1 套 | 吞吐量≥1000Mbps,系统盘 250GB,存储盘 2TB |
★ | Web 应用防护服务 | 1 套 | 吞吐量≥6Gbps,应用层吞吐量≥3Gbps,最大并发连接数≥17 万,每秒新建会话数≥20000。 存储能力≥1TB; |
★ | 入侵检测服务 | 1 套 | 三层吞吐量≥14Gbps,应用层吞吐量≥2Gbps最大并发连接≥400 万 每秒新建会话数≥12 x |
★ | 统一云安全管理服务 | 1 套 | 支持与现网 H3C 云平台对接,作为云平台的扩展组件,租户或管理员登录云平台后即可对安全资源进行统一管理,无需开发即可对接,实现租户网络、计算、存储、安全等资源的同步 管理 |
★ | 流量复制能力 | 1 套 | ≥48 个xxx接入能力 ≥4 个 40G 光接入能力 |
★ | 运维审计能力 | 1 套 | 字符并发会话数≥800 个,图形并发会话数≥ 600 个,授权管理设备数≥200 台。 |
★ | 交换机 | 1 台 | 实现与现网 H3C S10512 交换机设备通过虚拟化技术虚拟成一台逻辑设备,提升可靠性、可用性,实现统一管理、统一配置,简化网络设 备管理等。 |
3、3.4.2 云内东西向安全防护服务指标变更
重要性 | 具备功能 | 能力要求 | 证明材料要求 |
★ | 基本功能 | 必须具有集中控管的功能,能够统一的管理和配置,并且日志能够统一的在集中控管平台上呈现,支持对虚拟化内核层 Hypervisor 和虚拟机的安全防护,由虚拟化安全防护系统管理中 心统一下发安全策略。 | 否 |
增加能力要求内容,具体变更为:
重要性 | 具备功能 | 能力要求 | 证明材料要求 |
★ | 基本功能 | 必须具有集中控管的功能,能够统一的管理和配置,并且日志能够统一的在集中控管平台上呈现,支持对虚拟化内核层 Hypervisor 和虚拟机的安全防护,由虚拟化安全防护系统管理中心统一下发安全策略。包含授权≥ 200 物理 cpu,含杀毒和虚拟补丁功 能。 | 否 |
4、去除 3.4.12 主机安全防护服务指标要求。
5、开标时间延长到 2019 年 10 月 28 日上午 9:30 分,开标地点:xxxxxxxxxxxxx 00 xxxxx X x 802 第一会议室。
二、其他内容不变。
附件 1:变更后的评分指标
附件 2:变更后的采购内容及要求
北京华盛中天咨询有限责任公司
2019 年 10 月 11 日
附件 1:
评 标 指 标
序 号 | 评分指标 | 评分标准 | 分值 | |
一级指标 | 二级指标 | |||
1 | 商务部分 (10) | 财务状况 (3 分) | 企业连续近三年盈利得 3 分,部分盈利得 2 分,全部亏损得 0 分。提 供投标人近三年度(2016、2017、2018 年)会计师事务所出具的年度财务审计报告复印件并加盖投标人公章,不提供不得分。 | 0-3 分 |
投标人业绩 (4 分) | 近 5 年承担过类似应用系统开发的成功案例,提供 1 个得 1 分,没有不得分。 注:投标人须提供上述成功案例,要求附带有效证明材料(合同关键页含首页、金额页、签字页并加盖单位公章),对于应答不全,或未 作有效应答,或未按标书应答,该案例无效。 | 0-2 分 | ||
近 5 年承担过类似信息安全类项目业绩,提供 1 个得 1 分,没有不得分; 注:投标人须提供上述业绩的证明材料,包括合同关键页含首页、金额页、签字页并加盖单位公章,对于应答不全,或未作有效应答,或 未按标书应答,该业绩无效; | 0-2 分 | |||
资质状况 (3 分) | 投标人具有有效期内 CMMI 成熟度等级证书,五级得 1 分,以下或没有得 0 分。 投标人具有 IT 服务管理体系认证 ISO20000 证书,提供证书得 1 分,没有不得分。 投标人具有信息安全管理体系认证 ISO27001 证书,提供证书得 1 分,没有不得分。 注:以上须提供证书复印件并加盖单位公章。 | 0-3 分 | ||
序 号 | 评分指标 | 评分标准 | 分值 | |
一级指标 | 二级指标 | |||
2 | 价格部分 (10 分) | 满足招标文件要求且投标价格最低的投标报价为评标基准价,其报价得分为满分。其他投标人的报价得分统一按照下列公式计算:投标报价得分=(评标基准价/投标报价)×10%×100 注:①投标报价高于采购预算价的作为无效标处理。经评标委员会判定明显低于成本的不合理超低价投标作为无效报价处理。 ②若投标人按照工信部颁发的“中小企业划型标准”属小型、微型企业,或属于监狱企业的(由省级以上监狱管理局、戒毒管理局(含新疆生产建设兵团)出具的属于监狱企业的证明文件),其投标报价扣减 6%后再计入投标报价得分的评审(不累计扣减)。 ③若本项目所有投标人均属小型、微型企业或监狱企业的,按原报价进行评审。 | 0-10 分 | |
3 | 技术部分 (80 分) | 需求分析 (12 分) | 根据投标人提供的国家海洋信息中心云平台现状和问题分析情况进行综合评分,其中: 对国家海洋信息中心云平台的架构体系、承载业务等方面分析全面、针对性强得 6 分,提供了简单,通用的分析描述,基本符合项目现状 得 4 分,分析不够全面,针对性不足得 2 分,未提供相关分析描述得 1 分。 | 0-6 分 |
根据投标人提供的国家海洋信息中心云平台安全现状和问题分析情况进行综合评分,其中: 了解国家海洋信息中心云平台安全现状和问题,对安全现状、网络体系、安全集成、能力集成、集成目的等方面理解准确得 6 分,提供了 简单,通用的描述基本符合项目现状得 4 分,理解不够准确得 2 分, 未提供相关描述得 1 分。 | 0-6 分 | |||
总体设计方案 (15 分) | 根据投标人提供的总体安全设计架构是否科学、合理,内容是否完整,是否有针对性等进行综合评分,其中: 方案科学合理,内容完整,针对性强,得 5 分;方案较科学合理,内 容较完整,针对性较强,得 3 分;方案一般,内容完整性一般,针对 性不够强,得 2 分;方案差,内容欠缺太多,针对性差,得 1 分。 | 0-5 分 | ||
序 号 | 评分指标 | 评分标准 | 分值 | |
一级指标 | 二级指标 | |||
根据投标人提供的安全能力设计是否科学、合理,内容是否完整,是否有针对性等进行综合评分,其中: 方案科学合理,内容完整,针对性强,得 5 分;方案较科学合理,内 容较完整,针对性较强,得 3 分;方案一般,内容完整性一般,针对 性不够强,得 2 分;方案差,内容欠缺太多,针对性差,得 1 分。 | 0-5 分 | |||
根据投标人提供的招标文件中第 3.3.3 条款要求的本项目整体交付能力是否完整进行综合评分,其中: 整体交付能力均满足,得 5 分;整体交付能力只要有一项不满足,得 0 分。 标“★”技术指标若未响应或不满足为废标 | 0-5 分 | |||
技术先进性和成熟度 (5 分) | 根据投标人项目方案中采用安全服务能力技术的先进性和成熟度进行综合评定。 技术先进和成熟,完全满足需求得 5 分;技术较先进和成熟,较满足 需求得 3 分;技术先进和成熟程度一般,基本满足需求得 2 分;技术 先进和成熟程度差,不能满足需求得 1 分。 | 0-5 分 | ||
服务能力要求 (12 分) | 根据招标文件第三部分采购内容及要求第 3.4 条款服务能力要求的 12 项(如 3.4.1 边界防护服务为 1 项),其中每项分值为 1 分,共 12分。评标专家根据技术指标偏离情况,标“★”为最重要响应指标(不满足即为废标项)、标“#”为次重要响应指标、其它技术规格要求为一般指标;应综合考虑投标产品的先进性、可靠性、稳定性、易用、性能指标、品牌知名度等,所有技术指标无偏离得 12 分,正偏离不加分。其中: 标“★”技术指标若未响应或不满足为废标(未提供相关证明材料为不满足要求)。 标“#”和其他技术指标若未响应或不满足,有一项负偏离扣 1 分(未提供相关证明材料为不满足要求)。 以上满分最高 12 分,最高扣 12 分。 | 0-12 分 | ||
序 号 | 评分指标 | 评分标准 | 分值 | |
一级指标 | 二级指标 | |||
系统集成方案 (5 分) | 根据投标人提供的系统集成方案是否科学合理、先进,是否有针对性内容是否完整等进行综合评分,其中: 系统集成方案科学合理、先进,针对性强,内容完整,得 5 分;系统 集成方案较科学合理、先进,针对性较强,内容较完整,得 3 分;系 统集成方案不够科学合理、先进,针对性不强,内容欠缺太多,得 1 分。 | 0-5 分 | ||
项目实施保障方案 (8 分) | 投标人提供的实施方案对技术需求书中的内容理解深刻,分析准确透彻,具有详细实施计划、合理的人员分工、项目计划和进度安排。完全准确、充分、完整得 5 分,较准确、充分、完整得 3 分,不够准确、 充分、完整得 1 分,未提供相关描述及方案得 0 分。 | 0-5 分 | ||
项目实施负责人具有云安全系统集成组织能力,具有 cisp 证书,且具备投标单位社保记录不少于 36 个月,具有云安全集成项目管理经 验。具有得 3 分,不具有或未提供相关证明得 0 分。 注:须提供开标日前 36 个月投标人为项目负责人缴纳社保的证明,没有不得分。 | 0-3 分 | |||
验收方案 (8 分) | 根据投标人提供的项目验收方案是否科学合理、先进,是否有针对性内容是否完整等进行综合评分,是否保证招标人获得等级保护三级测评证书,其中: 验收方案科学合理、先进,针对性强,内容完整,保证招标人获得等级保护三级测评证书,得 8 分;验收方案较科学合理、先进,针对性 较强,内容较完整,保证招标人获得等级保护三级测评证书,得 5分;验收方案不够科学合理、先进,针对性不强,内容欠缺太多,保证招标人获得等级保护三级测评证书,得 1 分;验收方案不提及保证 招标人获得等级保护三级测评证书,不得分。 | 0-8 分 | ||
序 号 | 评分指标 | 评分标准 | 分值 | |
一级指标 | 二级指标 | |||
培训方案 (5 分) | 根据投标人提供的项目培训方案是否科学合理,是否有针对性,内容是否完整等进行综合评分,其中: 培训方案科学合理,针对性强,内容完整,得 5 分;培训方案较科学 合理,针对性较强,内容较完整,得 3 分;培训方案不够科学合理, 针对性不强,内容欠缺太多,得 1 分。 | 0-5 分 | ||
进度实施(5分) | 根据投标人提供的进度实施是否科学合理、满足招标方要求,是否有针对性,内容是否完整等进行综合评分,其中: 进度实施方案科学合理,针对性强,能满足招标方要求,得 5 分;进度单实施方案较科学合理,针对性较强,基本能满足招标方要求,得 3 分;进度实施方案不够科学合理,针对性不强,不能满足招标方要 求,得 1 分。 | 0-5 分 | ||
售后服务保障 (5 分) | 根据投标人提供试运行的技术支持与服务方案是否科学、合理,内容是否完整,是否有针对性等进行综合评分,其中: 方案科学合理、先进,针对性强,内容完整,得 3 分;进度单实施方 案较科学合理、先进,针对性较强,内容较完整,得 2 分;进度实施 方案不够科学合理、先进,针对性不强,内容欠缺太多,得 1 分。 | 0-3 分 | ||
根据投标人提供质量保证期内的技术支持与售后服务是否科学、合理,内容是否完整,是否有针对性等进行综合评分,其中: 方案科学合理、先进,针对性强,内容完整,得 2 分;进度单实施方 案较科学合理、先进,针对性较强,内容较完整,得 1 分;进度实施 方案不够科学合理、先进,针对性不强,内容欠缺太多,得 0 分。 | 0-2 分 | |||
附件 2:
第三部分 采购内容及要求
3.1 项目现状分析
3.1.1云平台安全防护现状
中心内网网络边界出口部署了传统的硬件设备,包括防火墙、入侵防御、防病毒网关,均为双机部署,具有一定的安全防护能力;在管理区域部署了堡垒机、日志服务器,提供运维审计和日志审计功能。云平台依托于中心内网,和其他物理机共享安全防护能力,但由于授权的限制,云平台虚拟机未接入堡垒机,进行统一的运维审计。
3.1.2云平台等级保护管理制度编制情况
目前,《国家海洋信息中心云计算平台安全运行管理规定》处于草稿阶段,对云平台职责分工、使用管理、运行维护管理、安全管理等进行规定。
3.1.3问题及需求分析
中心云平台和其他物理机共用传统硬件安全设备做南北向的防护,但云平台以及虚拟化边界没有对应防护机制;云平台内部缺少东西向安全防护措施,虚拟机无防护机制,存在病毒木马蔓延安全隐患;缺少入侵检测、数据库审计、网络审计、apt 检测等能力,事前预警和事后回溯能力不足;云安全管理制度不完善;云平台作为基础设施未进行定级备案以及测评。综上,本次建设需求主要包括以下四个方面:
3.1.3.1 传统威胁的技术防护。
中心云平台采用了云计算技术,但传统威胁依然存在,依然需要建立、健全传统的威胁防护体系,面向网络和通信安全、设备和计算安全、应用和数据安全提供行之有效的防护手段,具体覆盖网络架构安全、网络访问控制、网络安全审计、边界完整性检查、网络入侵防御、网络设备防护、数据完整性。可采取的主要安全措施和技术包括但不限于防火墙技术、入侵检测技术、数据库审计技术、网络审计技术、apt 检测技术、运维审计技术等,构建全面的云平台安全保护能
力。
3.1.3.2 引入新安全威胁的技术防护。
云计算技术使得系统容错、高可用性和冗余及灾备恢复简单易行,同时也带来新的挑战,包括安全边界不可见,传统安全访问控制失效,虚拟化流量不可视等问题。此次建设须得针对云平台的特殊性,对新安全威胁进行技术防护,实现虚拟机之间的流量可视化。
3.1.3.3 适配云环境,对安全威胁进行整体运维。
业务的扩展和扩容会引入新的安全需求,安全需求的交付一定不能够滞后于业务的交付,中心云平台需要一套能够快速部署、交付的安全产品,能够匹配业务新建、扩容、迁移引入的安全需求。同时,建设一套面向安全决策、安全事件应急响应的流程也是本次建设的内容,主要需求为需要将威胁和日志的整体管理;实现安全设备的统一管理,避免过去安全设备管理配置分散化的现象;安全需求的统一管理,面向各业务部门提出的安全需求,可以做到统一管理,资源统一回收。
3.1.3.4 完善管理制度,通过等保(三级)测评。
本次建设旨在构建全面、细致的中心云平台安全防护体系,不仅要建设全面的技术防护体系,也要编制完善的安全管理制度体系,并将云平台作为独立的定级、测评对象,完成定级备案并通过等级保护测评。
3.2 建设目标及原则
3.2.1建设目标
3.2.1.1 构建全面的云平台安全防护能力。
中心云平台需实现分区分域管理,实现云内南北向和东西向的防护,具有事前预警、事中防护、事后追溯的能力。
3.2.1.2 完善云平台安全管理制度体系。
按照等级保护要求,制定科学合理的网络安全工作方针、政策,制定人员管理、云平台安全建设、云平台安全运维等方面的管理规定,并编制云平台安全系统技术规程。
3.2.1.3 通过等级保护(三级)测评。
中心云平台作为基础设施,承载了中心全部的业务系统,需将云平台作为对
象,做定级备案,并通过等级保护(三级)测评。
3.2.2建设原则
3.2.2.1 合规性原则。
云安全解决方案应符合国家相关网络安全政策和标准,确保设计的云平台安全防护系统遵循国家法律、法规且符合国家政策和国家标准。
3.2.2.2 先进性原则。
安全产品必须采用安全专业的硬件平台和软件平台保证产品本身的安全,需符合业界技术的发展趋势,既体现先进性又比较成熟,并且是各个领域公认的领先产品。
3.2.2.3 可扩展性原则。
业务系统处在不断发展完善的阶段,其环境也会不断的扩充变化,要求云安全能力须具有灵活的可扩展性,对业务系统的新增以及业务系统的扩充等要求具有良好的支持。
3.2.2.4 开放兼容性原则。
网络安全产品设计规范、技术指标须符合国家相关标准,需兼容不同厂家安全产品。
3.2.2.5 经济性原则。
中心云平台建设过程中,应充分利用现有资源,在可用性的前提条件下充分保证系统建设的经济性,提高投资效率,避免重复建设。
3.3 总体概述
3.3.1总体安全设计架构
中心云平台总体安全体系建设分为安全技术体系建设和安全管理体系建设。安全技术体系建设需要结合中心云平台建设现状,通过对云安全威胁和实际需求的分析,遵照建设目标和设计原则,并结合等保安全设计框架的指导意见,通过可靠的技术手段实现“一个中心三重防护”的安全设计。一个中心是指安全管理中心,三重防护包括安全通信网络、安全区域边界、安全技术环境;可靠的技术手段包括南北向防护、东西向防护、安全检测、运维审计和集中管理。
安全管理体系建设包括人员组织架构的建立、管理制度的完善、审核和检查机制的建立,以及外围保障服务工作协同联动。打造以安全管理制度、安全管理
机构、安全管理人员、安全建设管理、安全运维管理为目标的安全管理体系
结合中心云平台建设现状,通过对云安全威胁和实际需求的分析,遵照建设目标和设计原则,构建以云安全管理平台为核心的云安全防护和检测体系,满足自身安全需求,符合等级保护第三级安全要求,加强云平台安全的可视化和可管理能力。总体安全架构如图一所示:
图一 总体安全架构设计
3.3.2安全能力设计架构
图二 云安全能力总体框架图
中心云平台安全能力主要围绕以下几个方面建设,分别为:
1.全面的平台防护能力。本方案提供的技术防护能力,一定得同时兼顾南北向和东西向的防护,对云平台自身形成有效的保护屏障;对云内不同的业务区域也能有效的隔离;对云内虚拟主机能够进行安全加固及病毒防范;同时对应用和网络环境也能起到入侵防御和病毒防范的防护能力
2.多元的安全检测能力。主要包括对数据库访问内容的安全检查和审查、对网络已知威胁的攻击流量的检测、对高级可持续威胁攻击的检测、网络日常流量的检测与审计。通过多种手段实现云平台风险探测能力并形成日志便于日后回溯。
3.高效的运维管理能力。需要通过有效的技术手段实现运维的集中化管理。集中运维管理有助于人员结构化的分工,不同权限的运维人员以最小化原则分配权限。同时能够对运维做出进行管控,如特权命令的限制等;还应具备对运维过程完整记录的能力已便于追溯。
4.多维度的综合审计能力。需汇总整个云平台安全的安全日志,并结合资产信息进行整体的分析;能够对全网流量进行分析,建立安全基线发现异常行为;同时也应具备合规自查能力,根据现状做出评价和改善建议;具备一定的威胁处置能力和风险预测能力,形成整个平台的安全态势并进行展示。
5.安全能力的集中管理。能将所有的安全能力在同一平台进行管理,以解决配置分散化的问题,实现安全资源的分配、部署,安全策略、安全日志的统一管理。同时也应具备租户资源申请、安全资源生命周期管理等能力以支撑中心后续业务扩展性需求。
3.3.3本项目整体交付能力
重要性 | 服务要求 | 数量 | 交付能力 |
★ | 边界防护服务 | 2 套 | 最大吞吐量≥80Gbps 并发连接数≥1600 万,每秒新建连接数≥80 万 需提供访问控制、负载均衡、防病毒、入侵防御服务 |
★ | 云内东西向安全 防护服务 | 1 套 | 授权≥200 物理 cpu,含杀毒和虚拟补丁功能 |
★ | 数据库审计服务 | 1 套 | 吞吐量≥2000Mbps。 记录事件:≥40000 总记录事件:≥350 亿条 数据库授权数量和监听口授权数量无限制 存储性能不低于 1T |
网络审计服务 | 1 套 | ||
★ | APT 检测服务 | 1 套 | 吞吐量≥1000Mbps,系统盘 250GB,存储盘 2TB |
★ | Web 应用防护服务 | 1 套 | 吞吐量≥6Gbps,应用层吞吐量≥3Gbps,最大并发连接数≥17 万,每秒新建会话数≥20000。存储能力 ≥1TB; |
★ | 入侵检测服务 | 1 套 | 三层吞吐量≥14Gbps,应用层吞吐量≥2Gbps最大并发连接≥400 万 每秒新建会话数≥12 x |
★ | 统一云安全管理服务 | 1 套 | 支持与现网H3C 云平台对接,作为云平台的扩展组件,租户或管理员登录云平台后即可对安全资源进行统 一管理,无需开发即可对接,实现租户网络、计算、 存储、安全等资源的同步管理 |
★ | 流量复制能力 | 1 套 | ≥48 个xxx接入能力 ≥4 个 40G 光接入能力 |
★ | 运维审计能力 | 1 套 | 字符并发会话数≥800 个,图形并发会话数≥600 个, 授权管理设备数≥200 台。 |
★ | 交换机 | 1 台 | 实现与现网 H3C S10512 交换机设备通过虚拟化技术虚拟成一台逻辑设备,提升可靠性、可用性,实现统一管理、统一配置,简化网络设备管理等。 |
3.4 服务能力要求
3.4.1 边界防护服务
序 号 | 重要性 | 具备功能 | 能力要求 | 证明材料 要求 |
1. | ★ | IPv6 能力 | 实配提供 IPv6 地址、地址组配置 | |
2. | 提供 IPv6 安全控制策略设置,能针对 IPV6 的目的/源地址、目的/源服务端口、服务等条件进行安全访问规则的设置 | |||
3. | 实配提供 IPv6 静态路由 | |||
4. | 实配提供 IPV6 下的 RIPNG、OSPFV3 动态路由 | |||
5. | 实配提供 IPv6/IPv4 翻译策略技术,包括支持静态 NAT-PT、动态 NAT-PT 技术 | |||
6. | 支持双栈、6to4 隧道实现 IPv6 终端穿越 IPV4 网络的 访问 | |||
7. | 支持 IPv6 的会话管理功能,可对 TCP、UDP、ICMPv6 等协议各个状态的超时时间进行设置 | |||
8. | 支持IPV6 的会话连接统计,包含各个协议连接数统计、 tcp 各个状态的连接统计 | |||
9. | 支持基于源和目的地址的连接排行,支持端口流量统计 | |||
10. | ★ | 网络适应能力 | 提供 VxLAN 功能 | |
11. | 可支持透明、路由、混合三种工作模式 | |||
12. | 支持 DHCP Client、DHCP Relay、DHCP Server | |||
13. | # | 支持静态路由,动态路由(OSPF、RIP、BGP、ISIS 等), VLAN 间路由,单臂路由,组播路由等 | ||
14. | 支持基于源/目的地址、接口、服务的策略路由 | |||
15. | 必须支持基于 IEEE 802.1Q 的封装协议 | |||
16. | # | 各种工作模式下均支持H.323(H.323 GK)、SIP、FTP、、 RTSP、等多种动态协议 | ||
17. | 必须支持服务器负载均衡,要求支持轮流、权重轮流、最少连接、加权最少连接等算法,要求能够采用至少 两种方法主动探测服务器的存活状态, | |||
18. | # | 配置虚拟防火墙技术,每个虚拟系统权限管理、策略配置完全独立,上述功能须提供国家相关部委认可的第三方实验室测试报告证明,提供加盖原厂公章的报告复印件。 本次配置至少可划分 25 个虚拟防火墙系统 | 是 | |
19. | # | 支持 2 套平台虚拟化成一套使用,实现统一管理,统一配置,上述功能须提供国家相关部委认可的第三方实验室测试报告证明,提供加盖原厂公章的报告复印 件。 | 是 | |
20. | # | 网络访问控制能力 | 支持对域名的 IP 解析,并可作为地址资源被安全规则 引用,实现对域名地址的访问控制 | |
21. | 支持单条包过滤规则源目的地址引用1000 个以上的地址对象(同时包含地址列表、地址组),实现包过滤规 则条目数的优化 | |||
22. | # | 会话管理 | 支持基于 IP、协议、连接数的方式统计会话,统计结 |
能力 | 果可导出,提供统计会话界面 ,且和上一项截图不应重复 | |||
23. | 支持根据连接数对 IP 进行实时排行 | |||
24. | 连接能力 | 提供至少 1 个独立管理接口 提供至少 4 个xxx接入能力(含 4 个万兆多模光模块) 提供至少 24 个xxx接入能力(含 24 个千兆多模光模块) 提供 BYPASS 能力 | ||
25. | # | 流量控制与优化能力 | 支持基于源/目的 IP 地址、IP 地址段、端口、服务、 网口、时间、应用等安全策略的带宽管理 | |
26. | 基于主机的带宽管理,支持仅通过一条策略即可实现对指定的 IP 地址组里每 IP 用户进行上下行限速,也 可以只对单个 IP 进行上下行限速, | |||
27. | # | 支持内、外网口的划分,支持设置虚拟线路,虚拟线路包含多个通道,能实现对每个通道进行流量控制, | ||
28. | 高可用性 | 提供冗余电源接入能力;提供冗余控制能力; 提供独立交换能力; | ||
29. | # | 管理能力 | 支持 WEBUI/SSH/Telnet 管理,支持数字证书管理员认 证方式 | |
30. | # | 支持用户可配置的WEBUI 接口 | ||
31. | # | 支持命令行操作,管理员可通过命令行进行配置、调 试 | ||
32. | # | 支持 web 界面 debug、traceroute、arp 探测等网络调 试功能, | ||
33. | # | 支持分级报警,支持 SNMP Trap 等报警方式 | ||
34. | # | 扩展能力 | 提供独立的端口接入扩展能力;提供独立的性能扩展能力; 扩展能力至少能提供本次能力的 3 倍以上; | 是 |
35. | # | 特征库升 级服务 | 支持本地和远程特征库升级,支持用户自定义升级服 务器及服务器地址配置 | |
36. | 冗余性 | 提供冗余边界防护能力,不仅实现软件服务冗余,也要实现底层硬件配置及数量的冗余 | ||
37. | ★ | 服务 | 服务提供:提供原厂专业顾问服务、培训、评估、安装、实施、配置服务。提供原厂商三年售后服务和升级服务。对系统运行提供维护技术支持,包括现场, 电话,邮件支持,故障恢复,应急保障。 | 是 |
3.4.2 云内东西向安全防护服务
序号 | 重要性 | 具备功能 | 能力要求 | 证明材料要求 |
1. | ★ | 基本功能 | 必须具有集中控管的功能,能够统一的管理和配置,并且日志能够统一的在集中控管平台上呈现,支持对虚拟化内核层 Hypervisor和虚拟机的安全防护,由虚拟化安全防护系统管理中心统一下发安全策略。 包含授权≥200 物理 cpu,含杀毒和虚拟补丁 功能。 | 否 |
2. | # | 须与现网 H3C CAS 产品兼容,提供原厂盖章 兼容证明 | 是 | |
3. | # | 控制台上以虚拟机为单位,进行策略配置、部署和管理,为虚拟机提供防护,其中虚拟机皆无需安装任何客户端/代理便能由主机继承安全策略、防护,物理主机整体资源与 搭载虚拟机数量无直接关系,虚拟资源消耗 | 否 |
不会随虚拟机数量成长。 | ||||
4. | 与虚拟化系统深度集成,能够自动感知和保护虚拟环境的变更和迁移,虚拟机安全防护策略对迁移无感知。 | 否 | ||
5. | 支持管理中心的堆叠,以实现对云平台的扩展的支持 | 否 | ||
6. | 可以保护 Oracle, MySQL, Microsoft SQL Server, Ingres 等主流数据库服务器 | 否 | ||
7. | 可 以 保 护 Microsoft Exchange Server, Merak, IBM Lotus Domino, Mdaemon, Ipswitch, Imail, MailEnable Professional 等主流邮件服务器 | 否 | ||
8. | 可 以 保 护 Ipswitch, War FTP Daemon, Allied Telesis 等主流文件服务器 | 否 | ||
9. | 可以保护 Computer Associates, Symantec, EMC 等主流备份服务器 | 否 | ||
10. | 可以保护 Symantec, Veritas 等主流存储服务器 | 否 | ||
11. | 支持 Windows 和 Linux 操作系统无代理底层防病毒能力,不需要在虚拟服务器或虚拟桌面中部署安全防护代理 | 否 | ||
12. | 提供官方病毒码下载地址,支持在内网和外网环境下,对本地病毒特征库进行更新,实 时追踪并保护最新动态威胁 | 否 | ||
13. | 支持无代理底层网络数据包过滤,可以同时保护操作系统以及服务应用(数据库,Web, DHCP 等),不需要在虚拟服务器或虚拟桌面中部署安全防护代理。 | 否 | ||
14. | 支持虚拟补丁功能,在服务器尚无安装补丁 前,提供针对此补丁攻击的防护能力。 | 否 | ||
15. | 支持防火墙功能,并且可集中控管防火墙策略,策略定制可以针对 IP、MAC 地址或通讯端口,可保护所有基于 IP 通讯协议(TCP、 UDP、 ICMP 等)和所有框架类型(IP、ARP等)。 | 否 | ||
16. | 支持防御应用层攻击、SQL Injection 及 Cross-site 跨网站程序代码改写的攻击。 | 否 | ||
17. | 支持提供包含攻击来源、攻击时间及试图利用什么方式进行攻击等必要信息,并在事件发生时,立即自动通知管理员。 | 否 | ||
18. | ★ | 服务 | 服务提供:提供原厂专业顾问服务、培训、评估、安装、实施、配置服务。提供原厂商三年售后服务和升级服务。对系统运行提供维护技术支持,包括现场,电话,邮件支持,故障恢复,应急保障。 | 是 |
3.4.3 数据库审计服务
序号 | 重要性 | 具备功能 | 能力要求 | 证 明 材 料要求 |
1 | # | 高可用性 | 冗余电源接入能力; | |
2 | ★ | 接入能力 | 提供不低于 6 个千兆电接入能力; |
提供不低于 4 个xxx接入能力(含千兆多模光 模块); | ||||
提供不低于 2 个管理口 | ||||
3 | 功能要求 | 支持审计 ORACLE、SQL Server、MY SQL、DB2、 Sybase、Informix、Postgresql、Kingbase、 Cache、Gbase、Dameng、Teradata、Oscar、 Mongodb 等各类主流数据库系统 | 是 | |
4 | # | 支持对针对数据库的 XSS 攻击行为、SQL 注入攻击行为进行审计,并进行实时报警 | 是 | |
5 | 支持中间件环境下的 SQL 语句关联到 HTTP 操作,HTTP 操作关联到 HTTP-ID,实现中间件环 境下的审计追溯 | |||
6 | # | 支持报警事件插件的配置管理,例如:事件接 收、外发、统计分析、存储等插件 | 是 | |
7 | 支持系统报警的自定义查询功能,可自定义查询系统内所有报警事件内容,包括:事件主体、事件客体、报警内容、报警级别、报警触发规则名称等 | |||
8 | # | 支持双操作系统,当常用系统出现故障可以使 用备用系统恢复 | 是 | |
9 | 支持基于流的流量分析功能,可对其他设备发送的 Netflow 进行分析,支持对 Netflow v5/v9 版本的流量分析 | |||
10 | 支持旁路镜像模式部署,不影响数据库性能和 网络架构,网络审计产品的故障不影响被审计系统的正常运行 | |||
11 | # | 支持审计系统与管理系统一体化,不需要安装额外的管理软件,不需要单独的管理设备,无 需在被审计系统上安装任何代理 | 是 | |
12 | # | 提供系统升级功能,能够通过升级包的方式实 现升级 | ||
13 | 支持原始数据包留存,可通过 sftp 方式从设备 中取得已记录的原始数据包 | |||
14 | ★ | 服务 | 服务提供:提供原厂专业顾问服务、培训、评估、安装、实施、配置服务。提供原厂商三年售后服务和升级服务。对系统运行提供维护技术支持,包括现场,电话,邮件支持,故障恢复,应急保 障。 | 是 |
3.4.4 网络审计服务
序号 | 重要性 | 具备功能 | 能力要求 | 证 明 材 料要求 |
1 | ★ | 流量审计服务 | 审计 SSL 网页时,支持加密证书自动分发功能,用户点击网页上的工具即可一次性安装完成。解 决管理员给每台 PC 单独安装证书的问题 | |
2 | 支持统计在指定时间段内网络应用流量产生的总流量; 记录用户在指定时间段内使用指定应用的总流 量; | |||
3 | 免除审计目标为指定 IP 的上网行为; |
4 | 免除审计目标为指定域名的上网行为; | |||
5 | ★ | 日志分析服务 | 支持日志高性能模式处理,精简冗余日志 | 是 |
6 | ★ | 支持基于时间段/用户/用户组/终端类型/位置等多种维度的流速趋势报表、流控通道趋势报表、应用行为趋势报表、分类行为趋势报表等 | 是 | |
7 | 支持基于时间段/用户/用户组/终端类型/位置等维度,针对具体某个域名的访问流量排行; 支持基于时间/用户/用户组/上行/下行/总体等 维度的域名流量排行; | |||
8 | 支持基于时间段/用户/用户组/终端类型/位置等维度,针对具体某个域名的访问行为排行; 支持基于时间/用户/用户组/上行/下行/总体等 维度的域名访问排行; | 是 | ||
9 | ★ | 针对单用户的行为分析(包括:应用流速趋势、应用流量排行、域名流量排行、应用时长排行、域名时长排行、行为汇总排行等) | 是 | |
10 | ★ | 基于时间、用户/组、终端类型、位置、日志类型等条件下的关键字检索定位功能; 支持对日志中 OFFICE 等附件正文内容关键字的 检索; | ||
11 | ★ | 支持预置几组关键字,当审计日志中出现这些关键字时,将定期以邮件的方式发送报告给指定邮 箱 | 是 | |
12 | 数据中心可以对上网日志进行大数据分析,并支持多个大数据分析模型,包括泄密分析、上网态势分析、带宽分析。 | 是 | ||
13 | 管理服务 | 支持网关、网桥、旁路模式部署;网关模式,支持 NAT、路由转发、DHCP、GRE、OSPF 等功能;支持两台及两台以上设备同时做主机的部署模式; | ||
14 | ★ | 支持部署在 IPv6 环境中,设备接口及部署模式均支持 ipv6 配置; 所有核心功能(上网认证、应用控制、流量控制、 内容审计、日志报表等)都支持 IPv6; | 是 | |
15 | *支持多种事件进行邮件告警,包括攻击、双机切换告警、移动终端管理告警、风险终端发现告警、 web 关键字过滤告警、杀毒告警、设备流量超限 告警、磁盘/CPU/内存异常告警等; | |||
16 | ★ | 支持 PPS 异常、丢包异常、ARP 异常、内网 DOS 攻击等异常情况实时监测,显示每日异常事件个 数及情况; | 是 | |
17 | ★ | 支持针对行为权限策略进行检测分析,查看各个应用是否匹配相关策略; | 是 | |
18 | 支持针对用户认证的故障进行分析,给出错误详情以及处置建议; | 是 | ||
19 | 支持 LDAP、Radius、POP3、Proxy 等第三方认证;支持 ISA\lotus ldap\novel ldap\oracle、sql server、db2、mysql 等数据库等第三方认证; | |||
20 | ★ | 可设置用户密码不能等于用户名;新密码不能与旧密码相同; 可设置密码最小长度; 可设置密码必须包括数字或字母或特殊字符; | 是 | |
21 | 同一个账号,支持与指定数量的多个终端进行自 动绑定; | 是 | ||
22 | ★ | 服务 | 服务提供:提供原厂专业顾问服务、培训、评估、安装、实施、配置服务。提供原厂商三年售后服 | 是 |
务和升级服务。对系统运行提供维护技术支持,包括现场,电话,邮件支持,故障恢复,应急保障。 |
3.4.5 Apt检测服务
序号 | 重要性 | 具备功能 | 能力要求 | 证 明 材 料要求 |
1 | 文件检测能力 | 支持从 HTTP、FTP、POP3、SMTP、IMAP、SMB/CIFS、 Webmail(163)协议中还原出指定格式文件 | ||
2 | ★ | 支持 HTTP 代理环境下的威胁检测 | 是 | |
3 | 支持包括 Office(Word、Excel、PPT、RTF)、WPS、 PDF、HTML、JS、PE(EXE、DLL 等)、 压缩包(ZIP、7Z、RAR 等)、脚本文件(BAT、VBS、 CMD、Powershell)、图片文件(PNG、JPG 等)、 APK 等 60 余种默认文件格式 | |||
4 | 支持对 Office 文件、PE 文件等文件的静态内容进行检测,发现漏洞利用、木马、蠕虫、病毒、黑客工具 等恶意代码 | |||
5 | # | 支持对文件的 MD5 HASH 进行检测,发现已知的恶意文 件 | 是 | |
6 | 支持自定义类型的文件格式的检测 | |||
7 | # | 支持白名单功能,能够对已知的正常样本进行过滤和筛选 | ||
8 | 对于系统支持的文件格式,用户可以手工上传样本进行检测 | |||
9 | 能够对捕获的流量样本文件进行直接分析,发现潜在的 APT 攻击行为 | |||
10 | 对于系统支持的文件格式,用户可以指定 URL 地址, 系统将自动下载文件并进行检测 | |||
11 | 对于手工上传的样本,可以进行优先检测,最短时间内得到检测结果 | |||
12 | 对于系统还原的样本文件,支持加密后下载 | |||
13 | 支持动态沙箱检测技术来检测已知和未知的漏洞利用的办公文档 | |||
14 | 支持动态沙箱检测技术来检测已知和未知的木马、僵尸、蠕虫、病毒等恶意代码 PE 文件 | |||
15 | 支持 420 条以上文件检测分析规则 | |||
16 | # | 支持 Windows XP 和 Windows 7 等常见操作系统模板;支持根据用户需要定制相应的虚拟机模板 | ||
17 | # | 针对特种木马等恶意代码虚拟机检测技术进行检测和 处理,避免恶意代码的绕过。 | ||
18 | # | 支持对包括以下类别的 15 种以上虚拟机探测行为进行检测: - 检测恶意代码通过判断系统资源差异来判断是否在虚拟机中的行为; - 检测恶意代码通过虚拟机和真实机的执行环境差异来检测虚拟机的行为; - 检测恶意代码通过 sleep 来等待执行恶意代码的行为; - 检测恶意代码通过判断虚拟沙箱的行为特点来判断是否在虚拟机中的行为。 - 支持通过欺骗技术对抗恶意代码对虚拟机的探测, |
避免其执行逃逸。 | ||||
19 | 沙箱支持监控恶意软件对文件系统的操作,包括新建 文件(夹)、删除文件(夹)、修改文件(夹)等 | |||
20 | 沙箱支持监控恶意软件对系统注册表的操作,包括新建、删除、修改键或键值等行为,以及识别特殊注册表行为,如创建、删除自启动项目 | |||
21 | 沙箱支持对进程操作进行监控,包括创建、结束,以及远程进行内存读写操作行为进行检测,并能分析出 进程之间的关系情况 | |||
22 | 沙箱支持对模块行为的监测,分析出模块调用的进程 ID 以及模块名和模块路径等信息 | |||
23 | 沙箱支持对进程调用 API 情况的监测,并能提供调用的基本信息,如 API 名称、调用地址、进程名、基本 参数等 | |||
24 | 沙箱支持进程对窗口的操作行为监测,包括窗口标题、类名、可见状态等 | |||
25 | 对于进程的异常处理情况进行监测,包括产生异常的 进程、异常的基本情况信息等 | |||
26 | 沙箱支持对于网络行为的监测,包括 TCP、UDP、ICMP 协议的数据 | |||
27 | 沙箱支持对样本主要活动行为进行截图并保存 | |||
28 | 沙箱支持对于样本所衍生出的文件进行检测和分析 | |||
29 | 支持对带有自运行恶意宏的 Office 样本文件产生的行为进行分析,包括行为描述、执行的命令等 | |||
30 | 能够对样本的数字签名状态信息进行分析,包括证书验证结果、时间戳、序列号、使用者、有效期等, 并能识别签名有效性 | 是 | ||
31 | 能够识别样本过期、伪造、盗用、恶意签名等信息 | |||
32 | 支持对修改快捷方式(LNK)文件中的目标属性(LNK文件指向的文件)的操作监测 | |||
33 | 能够识别出伪装成图片以及其它正常文件的恶意代码 文件 | |||
34 | ★ | 学习检测能力 | 支持基于机器学习算法模型对文件进行威胁判定,输出文件样本的威胁概率。同时支持多种机器学习算法 生成的多个模型对文件进行威胁判定。 | 是 |
35 | 支持导入模型,一方面对原有的模型进行升级更新,另一方面支持导入新的机器学习模型,增加检测模型 数。 | |||
36 | 采用单独立的 CVE 漏洞检测引擎,能够对已知的文档类漏洞(PDF、OFFICE)进行独立检测,识别出 CVE 信 息 | 是 | ||
37 | 能够识别恶意代码的所对应的 CVE 信息,并给出 CVE 相关的信息 | 是 | ||
38 | # | 流量检测服务 | 通过 C&C 信誉库(黑 IP、黑 URL、黑域名)来检测木马(如:ZeuS、SpyEye、Feodo 等)、僵尸、蠕虫等恶意代码的活动行为 | 是 |
39 | # | 基于流量中的通信特征,来检测木马、僵尸、蠕虫等恶意代码的主机上线、文件操作、屏幕监控等活动行为 | ||
40 | # | 支持的恶意代码类型包括:APT 类、木马后门类、僵 尸蠕虫类和其他类 | ||
41 | 用户可以自定义黑 IP、黑 URL、黑域名 |
42 | # | 支持白名单检测机制,可以对常见或者自定义的白IP、白 URL、白域名进行过滤,减少误报 | ||
43 | ★ | 木马可能利用正常的协议进行通讯,针对 ICMP、SNMP、 FTP、SMTP、HTTP、DNS 等专有协议, 提供隐秘信道的检测。可以通过流量还原在看似正常 的流量中识别木马的传输流量。 | 是 | |
44 | ★ | 支持检测大量频繁访问常见动态域名的可疑行为,如 0000.xxx 等。 | 是 | |
45 | # | 支持检测通信不符合相关协议规范的可疑行为,包括 DNS、HTTP、FTP、POP3、IMAP、SMTP 协议。 | 是 | |
46 | # | 检测周期性重复数据包疑似心跳的可疑行为。 | 是 | |
47 | ★ | 检测非常见的服务端口号的可疑行为。 | 是 | |
48 | 记录并统计对于相同域名的规律性访问情况 | |||
49 | 记录并统计对于同一 URL 的规律性访问情况 | |||
50 | # | 检测用户非正常工作时段上行流量异常的可疑行为 | 是 | |
51 | 检测针对 WEB 服务发起的攻击行为,包括 SQL 注入,跨站脚本攻击(XSS)、跨站请求伪造攻击(CSRF)等 | |||
52 | # | 统计管理能力 | 在检测发现的海量威胁行为线索基础上,提供一个图形化的分析判断接口,对指定的内网主机进行分析, 并展示其产生的所有事件信息 | 是 |
53 | 在检测发现的海量威胁行为线索基础上,提供一个图形化的分析判断接口,展示指定的内网主机与外部主 机产生的所有事件信息 | |||
54 | # | 支持对实时攻击态势进行地图展示,在态势地图中可按小时或按天展示各种攻击源到目的设备的攻击路径 | 是 | |
55 | 威胁态势监控可展示威胁统计、威胁分布、威胁排名与实时告警。 1、威胁统计:支持对当日或一周植入事件(挂马攻击、邮件攻击、文件下载攻击) 与失陷事件(APT、木马后门、僵尸蠕虫、其他威胁)的统计 2、威胁分布:展示植入事件与失陷事件的类型分布与地域分布 3、威胁排名:展示植入事件与失陷事件的威胁排名 | 是 | ||
56 | 首页以时间轴的方式展示实时威胁告警信息,告警信息包含:攻击类型、受害者 IP、攻击源地址、攻击来 源、协议类型等 | |||
57 | 提供告警信息查询功能:支持对文件检测、流量检测产生的告警信息的实时查看,能查看所有告警信息和 该条告警的威胁事件的详细信息。 | |||
58 | 提供告警策略管理功能,系统内置部分告警策略,同时支持自定义策略,支持告警策略的自定义配置。 | |||
59 | 告警信息支持以邮件形式发送到策略设定的接收人 | |||
60 | 支持对指定时间段内,当前系统的所有事件以及指定分类(文件检测、流量检测、行为分析)的统计信息 进行查询 | |||
61 | 报表包含基本的统计信息,并使用饼图、趋势图、柱状图、表格等方式来描述 详细的分布情况、趋势情况、TOP N 情况等 | |||
62 | 对指定查询的报表能够导出成 PDF 文件 |
63 | # | 支持按照指定频率(每天、每周、每月、自定义)将指定类型报表定时导出成 PDF 文档 | 是 | |
64 | 支持将定时导出的报表 PDF 文档发送到指定邮箱 | |||
65 | 支持对定时导出的报表进行管理,包括查询、删除、下载等 | |||
66 | 支持威胁特征库、静态文件特征库、行为分析规则库、 HASH 规则库、木马特征库的离线升级 | |||
67 | 联网情况下,支持威胁特征库、静态文件特征库、行为分析规则库、HASH 规则库、木马特征库的在线自动 升级 | |||
68 | # | 支持文件大小自定义; 支持设置行为检测超时时间; 支持四种虚拟执行策略,包括发现威胁执行,未发现威胁执行,始终执行,始终不执行; 支持自定义文件类型和后缀;支持自定义指定类型文 件的特征。 | ||
69 | 支持自定义告警策略,包括文件检测、流量检测,支持设置指定资产的告警策略;支持将告警发送到指定的邮箱中。 | 是 | ||
70 | # | 支持用户自定义黑名单,包括黑 IP、黑 URL、黑域名、文件 HASH;支持用户自定义白名单,包括白 IP、白域名、白文件 HASH;支持自定义库的查询、添加、删除、 修改、启用、停用操作。 | 是 | |
71 | 支持协议开关设置,包括开启关闭 HTTP、FTP、IMAP、 POP3、SMTP、SMB、DNS 协议;支持设置还原文件的大小; | |||
72 | 支持配置内网 IP 网段 | |||
73 | 支持配置管理口 IP 信息,包括 DHCP 和手动分配两种 模式 | |||
74 | 支持显示管理口当前状态,并能对开启关闭指定管理 口 | |||
75 | 支持网络诊断功能,判定管理口设置是否有效 | |||
76 | 支持将日志发送给第三方 Syslog 服务器 | |||
77 | 支持级联式部署事件消息主动上传到级联管理中心 | |||
78 | 支持远程设备重启、设备关机、事件转发功能远程启 用、停用 | |||
79 | 支持将本机工作状态上达到上级管理平台中,可由上 级管理平台集中管理和集中升级 | |||
80 | ★ | 支持设置重要资产登记,重要资产关联告警策略,对 关键资产重点有针对性检测和关注 | 是 | |
81 | 支持设置业务系统分类信息 | 是 | ||
82 | 支持用户创建、删除、锁定、解锁、修改等操作 | |||
83 | 用于实时显示当前系统 CPU、内存、磁盘容量信息 | |||
84 | 用于实时显示各引擎工作状态; 支持对引擎进行操作,包括重启、关闭; 支持对系统进行操作,包括重启。 | |||
85 | 支持指定周期或者指定磁盘阈值的自动清理;支持手动对磁盘以及事件类型进行清理; |
86 | 实时监测系统磁盘容量,超阈值告警提示 | |||
87 | 支持指定周期的自动备份; 支持手动对指定时间段和事件类型的内容进行备份 | |||
88 | 一键还原到系统出厂状态 | |||
89 | 记录所有用户登录、操作系统的记录 | |||
90 | 采用 HTTPS 加密协议对设备进行管理配置。 | |||
91 | 系统自身安全可靠,不依赖于 WEB 系统自身安全级别 | |||
92 | 系统各组件通过强加密的 SSL 安全通道进行通讯,防 止窃听,确保了整个系统的安全性和抗毁性 | |||
93 | 能对账户进行安全策略配置,包括口令最小长度和口令有效期 | |||
94 | # | 支持三权分立模式,包括管理员,操作员,审计员三种业务角色 | 是 | |
95 | 在尝试指定次数口令后,将自定锁定登录用户 | |||
96 | ★ | 服务 | 服务提供:提供原厂专业顾问服务、培训、评估、安装、实施、配置服务。提供原厂商三年售后服务和升级服务。对系统运行提供维护技术支持,包括现场, 电话,邮件支持,故障恢复,应急保障。 | 是 |
3.4.6 Web应用防护服务
序号 | 重要性 | 具备功能 | 能力要求 | 证明材 料要求 |
1. | 接入能力 | 不少于 4 个千兆电接入能力, | ||
2. | # | 防护能力 | 支持 HTTP 0.9/1.0/1.1,完全解析 HTTP 事务。 | |
3. | ★ | 支持针对主流 Web 服务器及插件的已知漏洞防护。Web 服务器应覆盖主流服务器:apache、 tomcat、lightpd、NGINX、IIS 等;插件应覆盖: dedecms、phpmuadmin、PHPWind、shopex、discuz、 echsop、vbulletin、wordpress 等。 | 是 | |
4. | # | 支持对 SSL(HTTPS)加密会话进行分析。 | ||
5. | ★ | 支持对注入、XSS、SSI 指令、Webshell 防护、 路径穿越及远程文件包含的攻击防护。 | 是 | |
6. | 支持 CSRF(跨站请求伪造)防护。 | |||
7. | # | 支持盗链防护,有效识别网页盗链行为,避免用 户网页资源被滥用。 | ||
8. | ★ | 支持扫描防护。 | 是 | |
9. | # | 支持 HTTPS 国密算法 | 是 | |
10. | 支持敏感关键字自定义功能。 | |||
11. | # | 支持误报分析功能,提升检测精度,减少告警噪 音 | 是 | |
12. | 支持 URL ACL。对多种 HTTP 方法执行访问控制,包括:GET、POST、HEAD、PUT、DELETE 等。 | |||
13. | 管理能力 | 支持标准 SNMP trap 和 Syslog 接口。 | ||
14. | # | 能对账户进行安全策略配置,包括口令复杂度和 口令生存期。 | ||
15. | ★ | 服务 | 服务提供:提供原厂专业顾问服务、培训、评估、安装、实施、配置服务。提供原厂商三年售后服务和升级服务。对系统运行提供维护技术支持,包括现场,电话,邮件支持,故障恢复,应急保 障。 | 是 |
3.4.7 入侵检测服务
序号 | 重要性 | 具备功能 | 能力要求 | 证明材料要求 |
1. | ★ | 接入能力 | 提供不少于 2 个 GE 管理能力,提供不少于 4 个千 兆电接入能力 | |
2. | 扩展能力 | 不少于 3 个接入扩展能力,支持扩展至现有能力 3 倍以上 | ||
3. | # | 入侵检测能力 | 系统应提供覆盖广泛的攻击特征库,可针对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等恶意流量进行检测,攻击特征库数量至少为 8500 条以上。 | 是 |
4. | 系统应提供入侵行为特征的自定义接口,可根据用户需求定制相应的检测规则。 | |||
5. | 系统应提供 DoS/DDoS 攻击检测能力,支持 TCP/UDP/ICMP/ACK Flooding , 以 及 UDP/ICMP Smurfing 等常见的 DoS/DDoS 的攻击检测 | |||
6. | ★ | 系统应提供服务器异常告警功能,可以自学习服务器正常工作行为,并以此为基线检测处服务器非法 外联行为。 | 是 | |
7. | # | 系统应提供敏感数据检测功能,能够识别、阻断通过自身的敏感数据信息(身份证号、银行卡、手机 号等)。 | 是 | |
8. | # | 系统应能识别主流的应用程序,识别不少于 2500 种应用。 | 是 | |
9. | # | 高可用性 | 提供冗余电源接入能力; | |
10. | # | 日志管理能力 | 系统应具备实时的日志归并功能,可以根据用户需 要,按照告警事件的源/目的 IP、事件类型等信息,对告警日志执行归并,有效抵御告警风暴。 | |
11. | ★ | 服务 | 服务提供:提供原厂专业顾问服务、培训、评估、安装、实施、配置服务。提供原厂商三年售后服务和升级服务。对系统运行提供维护技术支持,包括 现场,电话,邮件支持,故障恢复,应急保障。 | 是 |
3.4.8 流量复制服务
序号 | 重要性 | 具备功能 | 能力要求 | 证明材料要求 |
1 | ★ | 高可靠性 | 提供冗余电源接入能力; | |
2 | # | 复制能力 | M:N 的流量复制,将从多个端口汇聚的流量, 复制分发到多个端口去,以供不同的安全设备进行安全分析、策略和操作。 | |
3 | # | 基于HASH 的负载均衡和基于 RR 的负载均衡。可实现同源同宿、基于 L2~L4 头部信息以及 VxLAN 内层信息等的负载均衡 | ||
4 | # | 支持串接和旁路接入两种部署模式。 | ||
5 | 支持入端口和出端口上应用 ACL,实现基于流的策略,包括丢弃、转发、编辑等 | |||
6 | 支持使用 VLAN 标记入端口。为安全设备提供流量来源信息 | |||
7 | 可实现同源同宿、基于 L2~L4 头部信息以及 VxLAN 内层信息等的负载均衡; | |||
8 | 提供VXLAN 解封装能力,VxLAN 解封装后Push VLAN,VxLAN 解封装后编辑 MAC、IP,基于 VxLAN 内层信息做负载均衡; | |||
9 | 支持报文截断。为银行等金融业务提供敏感 |
数据的脱敏 | ||||
10 | 支持时间戳。可记录何时收到该报文,为安 全设备提供更多的信息。 | |||
11 | 支持 SNMP Get/Set、Telnet、SSH 以及 WebUI 等多种管理方式 | |||
12 | ★ | 服务 | 服务提供:提供原厂专业顾问服务、培训、评估、安装、实施、配置服务。提供原厂商三年售后服务和升级服务。对系统运行提供维护技术支持,包括现场,电话,邮件支持, 故障恢复,应急保障。 | 是 |
3.4.9 统一云安全管理服务
序号 | 重要性 | 具备功能 | 能力要求 | 证明材 料要求 |
可以通过硬件资源池方式,实现安全能力高可靠性。资 | ||||
源池可以通过软硬件虚拟化方式对不同业务/租户实现 | ||||
1. | 独立安全能力的分配,并可以通过安全服务目录实现统 | |||
一的管理,租户或管理员可通过自助方式进行安全能力 | ||||
的申请及审批,包含运行所需支撑服务器及存储空间; | ||||
支持通过云管理平台可为租户提供各类安全服务目录, | ||||
包括防火墙能力、NAT 能力、SSL VPN 能力、IPSec VPN | ||||
2. | 能力、入侵防御能力、负载均衡能力、防病毒能力、漏 | |||
洞扫描能力、WEB 应用安全防护能力、数据库审计能力、 | ||||
运维审计能力等; | ||||
通过统一的配置界面对安全能力进行集中管理及配置, | ||||
功能管理 | 针对每一个账号拥有独立的管理界面;可配置统一的安 | |||
3. | 能力 | 全防护对象,并可以被每一个安全能力所引用为防护对 | ||
象。可配置的防护对象包括域名、证书、设备、主机、 | ||||
地址/服务、网络资源等; | ||||
支持通过云管理平台可以对安全能力的整体分配及使 | ||||
用情况进行全局展示,包括各类服务的分配及计费占 | ||||
4. | 比、各个账号使用资源情况、资源使用趋势、近期使用 的资源情况等;从账号维度及时间维度对安全服务分配 | |||
的情况进行分析,包括资源类型、规格、使用日期、每 | ||||
个账号的资源分配等; | ||||
安全资源的管理平台可以与 H3C CloudOS 云操作系统无 | ||||
5. | 缝结合,使用同一套用户账户,无需页面跳转,可以在 | |||
统一用户界面下完成配置; | ||||
对全网有效安全事件做分析归类展示。主要包括安全事 | ||||
件 TOPN 分布,安全事件严重级别分布,安全事件影响 | ||||
6. | 的资产类型分布,TOPN 待处理安全事件和脆弱性事件, | |||
安全事件趋势图;支持不同区域,不同时间维度安全事 | ||||
件分析展示。 | ||||
对全网的安全风险进行展示。主要包括实时显示安全攻 | ||||
7. | 击情况,关键事项统计,攻击源区域排名,安全事件类 型分布,漏洞攻击分布的统计,24 小时内安全攻击趋势, | |||
云安全态 | 僵木蠕分布占比,24 小时内 DDOS 攻击趋势等。 | |||
势管理能 | 对全网原始攻击事件做分析归类展示。主要包括攻击总 | |||
力 | 数、已拦截\未拦截攻击数、高危攻击数、已拦截\未拦 | |||
8. | 截高危攻击数,国内、国外攻击源 IP 排名,内网源资 产、源用户攻击排名,被攻击的目的资产、目的业务、 | |||
目的用户排名,攻击类型分布,攻击资产类型分布,攻 | ||||
击目的端口、攻击协议分布等。 | ||||
对全网原始的漏洞利用和僵木蠕攻击事件做分析归类 | ||||
9. | 展示。主要包括漏洞利用攻击类型分布,漏洞利用攻击 资产、业务排名,僵木蠕攻击资产、业务排名,漏洞利 | |||
用攻击资产类型分布,僵木蠕攻击类型分布,恶意网站 |
访问类型分布,漏洞利用攻击区域排名,僵木蠕攻击区域排名,漏洞利用攻击类型趋势,僵木蠕攻击类型趋势等。 | ||||
10. | 支持对全网的主机漏扫事件、数据库漏扫事件、Web 漏扫事件结果导入并做分析归类展示。主要包括主机、数据库、Web 漏洞类型分布,风险资产、长期未修复漏洞资产、主机、数据库、Web 漏洞趋势,TOP 高危漏洞列 表等。 | |||
11. | 通过模型和规则从流量日志中检测符合特征的流量数据,展示异常流量的事件数量统计、类型分布、威胁度分布、事件排名、事件趋势、涉及资源以及流量事件详情等信息;支持下钻查看异常流量详情; | |||
12. | 云安全事件分析 | 管理员根据需要定义并应用关联规则来识别关联异常事件、并根据配置上报威胁事件;关联规则支持导入、增删改查; 支持场景:事件关联规则:逻辑关联/统计关联 情景关联规则:威胁事件与漏洞关联、与资产信息关联 情报关联规则:威胁事件与情报关联 | ||
13. | 对于安全事件是否需要上报进行过滤规则的设置,支持 安全事件过滤策略的增删改查; | |||
14. | 安全事件明细展示,主要包括发生时间、过滤类型、事件等级、事件名称、源 IP 地址、目的 IP 地址、规则名称、事件描述、原始事件数、处理状态等;在一定时间 窗口内对日志进行关联,实时的给出相关告警; | |||
15. | 针对最新的漏洞情报及资产操作系统补丁,判断资产是 否存在该漏洞从而进行预警 | |||
16. | 针对威胁事件生成相关控制策略下发,可针对交换机、 防火墙、IPS 等设备进行联动 | |||
17. | 日志安全能力 | 支持按条件进行全量归一化日志搜索。可分页展示,可根据时间、攻击类型等多维度进行统计,可分为操作类、审计类、流量类、威胁类、系统类、安全控制类等多个维度,可记录事件级别、名称、类型、发生时间、源 IP及端口,目的 IP 及端口、网络协议、应用协议等信息,并可通过多个维度进行灵活的事件检索。 | ||
18. | 支持查看日志原文,并可按关键字对原始日志进行检索 查询; | |||
19. | 支持被动采集方式,包括 SYSLOG、SNMP Trap、NetFlow | |||
20. | 支持主动采集方式,包括 FTP、HTTP、JDBC\ODBC、Agent (针对 Windows 操作系统) | |||
21. | 支持自定义采集解析规则以兼容未适配日志 | |||
22. | 支持日志归一化 | |||
23. | 支持保留原始日志 | |||
24. | 支持对日志存储空间的控制,支持超过阈值的动作:删 除、备份、告警(弹框) | |||
25. | 支持日志采集代理,采集代理支持 Windows、linux 操作系统、中间件如TOMCAT 等、数据库如 Oracle 等 | |||
26. | 支持分布式采集器 | |||
27. | ★ | 服务 | 服务提供:提供原厂专业顾问服务、培训、评估、安装、实施、配置服务。提供原厂商三年售后服务和升级服务。对系统运行提供维护技术支持,包括现场,电话,邮件 支持,故障恢复,应急保障。 | 是 |
3.4.10 运维审计服务
序号 | 重要性 | 具备功能 | 能力要求 | 证明材 料要求 |
1. | 接入能力 | 提供不少于 1 个 GE 管理能力; |
提供不少于 6 个千兆电接入能力;提供不少于 4T 存储能力。 | ||||
2. | 高可用性 | 提供冗余电源接入能力; | ||
3. | ★ | 能力要求 | 提供对部分配置操作进行向导式配置界面,尤其是操作步骤比较多,前后有关联的数据库审计配置。 | 是 |
4. | # | 功能要求 | 具有用户多角色划分功能,如管理员、设备管理员、普通用户、审计管理员等,对各类角色需要进行细粒度的 权限管理。 | |
5. | # | 要求支持幽灵账号功能,支持主动对从账号进行关联分析,当发现攻击者植入的异常账号时,对相关管理员采 取告警、记录及通知等操作。 | 是 | |
6. | # | 支持孤儿账号功能,能够提供对各从账号的运维使用率的分析功能,当发现使用率异常的从账号,对相关管理员采取告警、记录及通知等操作。 | 是 | |
7. | 支持自动填写特权密码,从普通管理模式进入到特权模式 | |||
8. | 图形化远程操作协议:RDP、VNC、X11,其支持文件共 享;可支持 RDP、VNC 的客户端直接访问; | |||
9. | 支持 Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、PostgreSQL 等数据库 | |||
10. | 文件操作审计内容:包括访问起始和终止时间、用户名、用户 IP 地址、目标设备 IP、设备名称、协议类型、事件等级、操作内容(如对文件的上传、下载、删除、修改等操作等)。 | |||
11. | # | 支持智能扫描方式自动发现网络中的设备,通过 IP 地址扫描,快速发现指定 IP 地址范围内的主机、服务器和网络设备,并自动识别启用服务和端口,方便管理员 快速添加设备。 | 是 | |
12. | 提供对部分配置操作进行向导式配置界面,尤其是操作 步骤比较多,前后有关联的数据库审计配置。 | |||
13. | # | 支持手机 APP 上进行登录授权审批,xx授权审批,工单审批,方便客户随时随地进行审批工作。 | 是 | |
14. | # | 系统可自带应用平台发布服务器,内置多种数据库客户 端工具 | 是 | |
15. | ★ | 具备双因素认证功能。 | ||
16. | 审计管理 | 可以按时间、运维协议类型、指定用户、指定设备及各类子报表类型定制报表,报表支持 Word、excel 格式导 出; 报表标题可自定义。 | ||
17. | ★ | 服务 | 服务提供:提供原厂专业顾问服务、培训、评估、安装、实施、配置服务。提供原厂商三年售后服务和升级服务。对系统运行提供维护技术支持,包括现场,电话,邮件 支持,故障恢复,应急保障。 | 是 |
3.4.11 交换机
序号 | 重要性 | 具备功能 | 能力要求 | 证明材料要求 |
1 | # | 架构要求 | 支持多级交换架构,能够配置独立的交换网板与独立的主控板,交换网板与主控板硬件槽位分离,业务板卡与交换网板采用完全正交设计(槽位互相垂直); | |
2 | # | 交换网板槽 位 | ≥4 个交换网板槽位,独立交换网板槽位,非主控集 成 | |
3 | # | 背板带宽 | ≥150Tbps | |
4 | # | 包转发速率 | ≥35000Mpps |
5 | ★ | 配置要求 | ≥2 个主控;配置≥2 个可插拔冗余电源,≥12 个业务槽位(不含主控槽位及交换网板槽位);≥96 个 10G光接口,≥96 个 10G 多模光模块,≥48 个 GE 电接口 | |
6 | IP 路由 | 提供 IPv4 静态路由、OSPF、BGP4 等动态路由协议,提供 IPv6 静态路由、OSPFv3、IS-ISv6、BGP4+ | ||
7 | 组播 | 支 持 PIM sparse mode (PIM-SM) , PIM Source Specific Multicast(SSM),支持 PIM-DM、PIM-SM、 PIM-SSM、MSDP、MBGP 等协议;支持 IGMP V1/V2/v3 IGMP Snooping V1/V2;支持组播策略和组播 QoS | ||
8 | # | 扩展性 | 硬件防火墙插卡,支持 IPS、AV、DLP 等功能,并提供 IPS 功能许可授权或独立的硬件 IPS 插卡 | |
9 | ★ | 安全功能 | 提供不少于 2 块硬件防火墙插卡,防火墙性能≥ 40Gbps | |
10 | # | 虚拟化 | 提供多对一的虚拟化(将多台设备虚拟为一台设备),虚拟化组包含成员数量≥4; | |
11 | # | 支持一对多的虚拟化(一台物理交换机可以虚拟为多台逻辑交换机),单台物理交换机虚拟逻辑交换机数量≥8 台;虚拟逻辑交换机拥有独立的 CPU 资源和内存资源,独立的配置和管理界面以及独立的管理 IP地址,独立的转发平面,独立的协议软件进程;逻辑交换机的故障不会影响到其它逻辑交换机,逻辑虚拟 交换机可以单独做重启动和挂起; | ||
12 | # | SDN 能力 | 支持 OPENFLOW 1.3 标准;提供 VxLAN 二层网关能力;提供 VxLAN 三层网关能力; | |
13 | MPLS VPN | 提供三层 VPN/VPLS/VPLS over GRE | ||
14 | ★ | 兼容性 | 实现与现网 H3C S10512 交换机板卡互通互用,实现 板卡在两台设备上灵活使用。 | |
15 | 可靠性 | 支持 NSF/GR for OSFP/BGP/IS-IS | ||
16 | 支 持 BFD , BFD for VRRP/BGP/IS-IS/OSPF/RSVP/LDP/RIP/静态路由 | |||
17 | ★ | 服务 | 服务提供:提供原厂专业顾问服务、培训、评估、安装、实施、配置服务。提供原厂商三年售后服务和升级服务。对系统运行提供维护技术支持,包括现场, 电话,邮件支持,故障恢复,应急保障。 | 是 |
3.5 集成服务要求
序号 | 重要性 | 集成要求项目 | 集成要求标准 |
1 | 项目组织结构 | 投标人应保证项目实施队伍人员的充足和人员结构合理性,应任命一名专职项目经理,并派遣有经验的工程师实施本项目。在项目执行期间,项目经理不得更换,人员变动应征得招标人同意。要求项目团队成员必须有实施本项 目的经验和能力,并保证本项目的工作时间。 | |
2 | 项目实施计划 | 投标人应提出详细的项目实施计划,对整个项目进行阶段性划分,说明各个阶段的任务、工作过程和方法,明确各 阶段的职责划分、工作内容、形式和进度时间计划。 | |
3 | 集成实施方案设计 | 投标人必须能够提供全面、科学、合理的项目集成实施方案,集成方案能充分利用项目产品,充分发挥产品性能,达到系统方案设计的整体性能要求,方案设计符合科学、 安全、可行。 | |
4 | 项目质量保证计 划 | 根据项目特点,制定切实可行的质量保证计划,此计划应 说明如何配合总体项目进度计划按时保质完成项目任务。 | |
5 | 项目风险控制 | x项目涉及招标人单位重要业务系统,投标人需根据本项 目的特点,确定项目的风险范围,制定降低风险的措施和方法。 | |
6 | ★ | 云平台安全体系 | x项目涉及国家海洋信息中心云平台安全体系建设,投标 |
建设 | 人需根据招标人的建设目标要求,协助投标人完善云平台等级保护(三级)的安全管理体系;完成云平台安全防护体系建设,协助招标人完成云平台等级保护(三级)定级备案,保证招标人通过等级保护(三级)测评。 |
3.6 实施要求
3.6.1施工人员要求
在项目实施过程中投标人应组织一支技术水平高、业务能力强、服务态度好的实施队伍。实施队伍中明确 1 名项目经理负总责,1 名技术负责人,实施工程师不能少于 3 人。投标人应提供所有项目参与人员的简历、认证和在投标人公司工作的社保证明(加盖公章)。
3.6.2产品到货要求
投标人应按合同中规定的到货时间和地点完成所有产品的到货及产品检验工作,所有产品均直接发送至最终使用单位,最终使用单位的地址信息见标书的附表。投标人应负责本标书要求的所有产品运输、交验的一切费用。
对于投标人提供的各种产品,在供货时如有相应的版本更新,在不超过投标价格的前提下,招标人保留更改版本的权力。
投标人应承诺,本次所投产品将支持与招标人现有设备有良好的连接,并在项目实施中提供解决方案和服务。
对安装有特殊要求的产品,投标人应在产品安装前 30 天,应以书面形式通知招标人,向招标人提出安装场地环境要求,并对招标人就安装场地环境准备向招标人提供技术咨询。
3.6.3产品安装、调试要求
投标人应派遣有经验的技术人员组成工作小组到现场实施技术服务,包括设备的测试和调整服务、现场培训等服务。调测的主要目标是使整个系统能够正常运行,确保与之相联的全部设备正常联通,安全策略全部生效,起到安全防护的作用。投标人在安装和调试设备过程中,应对招标人相关人员进行现场培训。各投标人必须响应下列调测要求:
(1) 按标书要求对所投产品进行调测检查,并做出调测报告。所供服务应在合同中所规定的地点和环境下,实现正常运行并达到招标文件及合同要求的性能和功能。
(2) 完成与配套设备的联合调试,进行相关的配置和系统优化调试。
(3) 在安装、调测中出现性能指标或功能上不符合合同时,由投标人负责解决。
(4) 如调测中出现不符合合同要求的严重质量问题时,招标人保留索赔的权利。
3.6.4项目配合要求
(1) 协助、配合招标人工作,制定技术要求和实施计划要求,并经招标人同意,按照要求进行项目实施,并配合相关集成工作。
(2) 在项目的设计和实施过程中,严格执行等级保护管理制度和标准规范。
(3) 接受招标人的监督管理,配合总咨询商工作。
(4) 完成与本项目有关的招标人提出的其他任务。
3.7 验收要求
3.7.1到货验收要求
(1) 投标人应在合同规定下将产品运至现场用户指定的地点。投标人应当提供对所交付的产品及部件的生产厂家的检验证书。货物应包括合同中列出的全部配件、相关资料以及装箱单等。必须保证是合同签订后最新出厂的产品;
(2) 当出现证明文件不完整或相关手续不全、到货验收时出现不是最新出厂的产品或不符合合同要求的严重质量问题时,招标人保留索赔及退货权利;
(3) 当出现数量不全或产品不符等问题时,由投标人负责解决;
(4) 产品通过到货验收仅作为付款条件之一,既不视为招标人对货物的接收,也不视为招标人对货物质量的认可。
3.7.2初步验收
产品到货验收、安装调试完成后,经招标人认可,招标人组织本项目的初步验收(简称初验)。初验前应完成的工作包括但不限于:系统安装调试,并进行相关的配置和系统优化调试,确保合同项下的产品与其他设备正常联通、系统可正常运行并支持其他系统的正常运行,完成实施过程中所有文档的提交(技术文档、实施文档、用户使用手册等)。投标人在初验前 10 天提供一份详细的初验方案,认可后执行。招标人在完成上述工作后即可申请初验。
对于技术文档有如下要求:
投标人应在初验时向用户交付完整的技术文档,提交的技术文档的内容必须与所提供的产品相一致,并应详细。所提交的技术文档费用应包括在该品目的基本报价中。为了培训的目的,最终用户有权复制这些资料而不受限制和另付费用。所有技术文档包括但不限于如下内容:
(1) 对产品各项技术指标的测试报告。
(2) 技术文件:产品说明书、产品操作手册、产品维护手册、故障诊断手册、开发手册(如果有)等。
(3) 安装指南:投标人应向最终用户提供安装调试过程中的各种文档资料,以便最终用户能掌握操作方法和维护方法。有关产品正确安装与详细配置(包括安装方法、安装步骤及各种配置参数等)资料要以易理解的方式(包括详细说明及图示)形成中文文档,交于用户。
(4) 系统配置文档:投标人应提供一个系统配置计划,包括配置图和配件/模块清单。
(5) 验收文档。
本项目初步验收合格后,投标人将本项目交付招标人。在本项目初步验收合格并交付之前,货物的毁损、灭失风险由投标人自行承担。
3.7.3试运行
设备安装调试完成,通过初步验收后,进入 3 个月的连续试运行期。
在试运行期间,投标人应使任何故障或问题都能在 24 小时内(节、假日也不例外)被修复和解决,并给出详细修复细节报告。
试运行期内如出现重大故障,则试运行期从故障排除之日起重新计算,直到系统连续 3 个月无重大故障为止。重大故障系指因投标人原因致使系统不能正常运行,影响到招标人系统软件的正常安装和运行。
所有试运行期间软件的修改和变化都应在试运行结束后由投标人写入操作和维护手册中。
3.7.4最终验收
试运行期满合格可以进行最终验收(简称终验)。系统最终验收合格必须满足以下条件:
(1) 已提供了合同的全部产品和资料;
(2) 提交实施过程中所产生的全部文档,包括但不限于技术文档、实施文档、用户使用和操作手册、原厂服务函,项目试运行报告,项目总结报告,安全能力评估报告等;
(3) 投标人需保证招标人获得等级保护三级测评证书;
(4) 投标人需提供符合等级保护三级要求的安全管理制度体系中的必要的制度;
(5) 安装、调试、测试和试运行时出现的问题均已被解决;
(6) 系统通过终验后,进入质量保证期,质量保证期为三年。
3.8. 培训要求
投标人应向招标人提供相关培训,以便对工程实施进行有效管理,同时保证招标人能够进行系统的运行管理、操作、维护,故障分析处理等工作。
投标人应对提供的服务进行培训,应配备成熟的安装手册、维护手册、问题知识库、产品使用说明书等。
投标人应根据本项目的特点制定培训方案,培训课程应安排在整个项目计划的合适时间段内,培训的内容至少应涵盖本项目所涉及的产品日常管理、维护和使用所需功能。
投标人负责安排专业培训讲师授课,并提供相应设备、全套培训教材和培训课程计划表,提供一年不低于 4 次的专业培训,包括但不限于此次建设内容。通过对系统维护人员的培训,使其切实理解和掌握安全系统的相关技术知识,能够熟练地维护安全系统,快速定位和解决系统出现的问题,保证安全系统服务期间正常运转,并持续提高运维服务质量。
培训方式应包括:
1. 现场技术培训:投标人在产品安装调试时,对招标方的技术人员进行现场安装调试培训,讲解产品的结构、安装步骤、调试方法和系统配置等。现场培训应该不限制人数。
2. 专业技术培训:按照本次招标所投产品,提供满足项目实际需要的专业技术培训。
投标人所提供的讲师必须满足产品原厂商的培训资格要求。原厂标准培训课程需要提供原厂中文教材。
3.9 进度要求
2019 年 11 月 14 日前完成国家海洋信息中心云平台安全体系建设工作;
2019 年 12 月 15 日前完成国家海洋信息中心云平台安全系统测试和定级备案工作;
2020 年 1 月 15 日前国家海洋信息中心云平台安全等级保护测评工作;
2020 年 2 月 15 日前完成安全整改工作;
2020 年 3 月 15 日前完成国家海洋信息中心云平台安全建设项目的验收和总结工作。
3.10 售后服务
投标人应说明为国家海洋信息中心云平台安全建设及相关服务采购项目提供售后技术维护队伍和机构情况、服务模式。
3.10.1试运行的技术支持与服务
在产品试运行期间,投标人必须向投标人承诺免费的技术支持和服务,免费服务内容应包括但不限于下述内容:升级服务、调优、故障排除等。
投标人应承诺为招标人、其他集成商等提供免费的技术协助,技术协助的内容包括产品的安装部署上线、与其他系统的集成等。技术协作的方式应包括电话支持、电子邮件支持、文档提供、现场支持等多种以解决实际问题为目的的方式。
系统试运行过程中如果发生故障,对故障的恢复时间不能超过 24 小时。故障恢复期间应确保系统不中断。
3.10.2质量保证期内的技术支持与售后服务
投标人应详细阐述质量保证期的技术支持和售后服务的内容、方式与范围,并指出在质量保证期内哪些服务是免费的,哪些服务是收费的。技术支持及售后服务内容应包括但不限于下述内容:升级服务、定期巡检、性能调优、故障排除等,其中:调优服务至少每年提供两次;投标商应承诺提供终身免费电话热线技术支持服务。售后服务的所有报价都需要计入投标总价中,否则视为免费。
在质量保证期内投标人必须在 2 小时内对招标人所提出的维修要求做出实质性反应,及时解决系统运行中的问题。在质量保证期内招标人陆续上线的应用系统在运行时如发现安全系统有不兼容的问题,投标人也必须更换产品或按招标人同意的方式处理货物
系统运行过程中如果出现技术故障(如软件故障、配置丢失等)或与其他设备发生冲突,投标人应保证对招标人提供 12 小时内解决此类问题的紧急预案方案,以恢复故障使得系统得以正常运行。
系统运行过程中如果发生故障,对故障的恢复时间不能超过 24 小时。
投标人须认真理解上述售后服务要求,详细列出售后服务方案和系统应急方案,一经应答将作为合同的一部分。