信息类采购需求模板.DOC_文客久久网wenke99.com

资源描述

1、信息类采购需求模板（国家新闻出版广电总局信息中心关键信息基础设施安全保障应急项目）采购需求第一部分商务需求序号内容说明和要求 1. 投标人资质无 2. 投标产品资质本项目所投产品需提供证明材料（提供有效证书的复印件并加盖原厂公章）如下： 1.堡垒主机计算机信息系统安全专用产品销售许可证（国标增强级）中国国家信息安全产品认证证书（增强级） 2.入侵检测系统计算机信息系统安全专用产品销售许可证三级中国国家信息安全产品认证证书（三级） 3.入侵防御系统公安部颁发的计算机信息系统安全专用产品销售许可证中国信息安全认证中心颁发的 IT产品信息安全产品认证

2、证书（ 3 级） 4.DMZ 防火墙公安部颁发的第二代防火墙销售许可证具备 ISCCC 中国国家信息安全产品认证证书 5.DMZ Web 应用防火墙公安部计算机信息系统安全专用产品销售许可证 6.漏洞扫描公安部颁发的计算机信息系统安全专用产品销售许可证 (增强级 ) 中国信息安全认证中心颁发的中国国家信息安全产品认证证书 (增强级 ) (CCC 证书 ) 7.数据库审计信息系统安全专用产品销售许可证中国国家信息安全产品认证证书 8.网络审计公安部计算机信息系统安全专用产品销售许可证（国标增强级）中国信息安全认证中心的中国国家信息安全产品认证证书（增强级） 9.操作系统安全加固

3、公安部信息安全产品检测中心检测报告涉密信息系统产品检测证书 10.安全管理平台序号内容说明和要求安全管理平台类计算机信息系统安全专用产品销售许可证 11.IP 准入系统 3C 认证证书、公安部等保三级评测报告 12.交换机产品工信部入网证书 3. 核心产品防火墙、操作系统加固、漏扫扫描系统 4. 是否允许联合体投标否 5. 是否允许进口产品投标否 6. 节能环保要求无 7. 信息安全要求本项目所采购信息安全产品，需提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书，投标应符合关于信息安全产品实施政府采购的通知（财库【 2010】 48 号）要求。 8. 是否

4、需要现场踏勘否，本项目不组织现场踏勘。 9. 是否收取履约保证金否 10. 采购人信息单位名称：国家新闻出版广电总局信息中心，单位地址：北京市西城区复兴门外 2 号国家新闻出版广电总局，联系人姓名：龙明桂，联系电话： 83138627/13501321490，电子邮箱： 11. 预算金额，最高限价预算金额：人民币 362.0 万元，最高限价：人民币 362.0 万元 12. 项目履约时间合同签订后 45 天内完成安装调试并具备验收条件等 13. 项目履约地点北京市西城区宣武门外大街 40 号 14. 付款方式序号付款节点付款条件付款比例（或金额）备

5、注 1 首付款签订合同 7 个工作日内付款至总合同金额30% 2 第一期款货物合部到达安装现场，并验收合格付款至总合同金额70% 3 第二期款货物合部安装完毕，并加电调试完成，验收合格付款至总合同金额100% 同时提交总合同金额 5%保函 4 尾款验收合格满一年，7 个工作日内退还银行保函第二部分技术和服务需求 1、项目概述不作为打分项，供投标人投标参考。序号内容说明 1. 项目背景总局作为重要的宣传思想、意识形态管理部门，担负着重要的职责和使命。总局政府网站及其相关应用系统作为总局对外宣传的重要平台，在宣传十九大会议精神、引导网络舆论等方面发挥着

6、重要作用。网络安全是当前新形势下国家安全的重要领域之一，习总书记指出，没有网络安全就没有国家安全。网络安全威胁正逐渐呈现组织化、国际化的发展趋势，国与国之间的信息安全对抗日益公开化。总局政府网站和业务应用系统作为政府部门对外的窗口，具有较大的社会公信力和影响力，网络上承载着大量有价值的数据信息，常常成为被攻击对象，安全威胁呈现常态化趋势。 2. 执行依据关于开展信息安全等级保护安全建设安全加固工作的指导意见（公信安 2009 1429 号）信息安全技术信息系统安全等级保护基本要求信息安全技术信息系统安全等级保护测评要求 3. 项目目标更新、补充网络安全设备，加强网络安全防护手段建

7、设，开展网络安全评估和安全加固，增加必要的信息防护服务，提升网站信息系统的安全防护能力；提升网站软硬件支撑水平，满足宣传任务要求以及访问强度要求；提升网站内容安全防护水平，确保网站内容及服务安全稳定；提升网站应急响应水平，确保面对攻击能够第一时间应对解决；为各级领导提供科学决策参考，为保障舆论环境提供支持。 4. 项目内容本项目主要建设内容按照等级保护要求，更新、补充网络安全设备，加强信息安全防护手段，开展网络安全评估和安全加固，并对存在故障隐患的超期基础网络设备进行更换。 5. 项目范围堡垒机、漏扫扫描系统、防火墙、 We 应用防火墙、数据库审计、网络审计、安全管理平台、 IP 准入

8、管理、交换机更换等。 6. 需求分析网络安全设备陈旧，防护力量薄弱。目前，总局门户网站、中国扫黄打非网、国家版权局网站、中国全民阅读网等网站及记者证核验系统等部分重要应用系统部署在宣武办公区，大部分基础网络设备和安全防护设备购置于 2008 年至 2010 年，存在设备陈旧、防护技术落后、特征库病毒库不全、维护困难等问题。 7. 与前期项目的关系无 2、技术需求（ 1）集成需求不作为打分项，供服务要求集成标准参考。序号内容需求说明 1. 总体设计投标方应在充分理解系统现状的基础上提出合理的设计方案：包括安全集成的解决方案，实现设备的充分利用。 2. 系统部署利用现有资

9、源，设计合理的基础架构部署方案，包括逻辑部署和物理部署。 3. 系统测试在设备实施部署完成后，对安全产功能与系统性能进行测试。（ 2）采购产品一览表序号货物名称数量单位产地（国产 /进口） 1. 堡垒主机（千兆） 1 台国产 2. 漏洞扫描系统（千兆） 1 台国产 3. 入侵防御系统（千兆） 2 台国产 4. 入侵检测系统（千兆） 2 台国产 5. DMZ 区防火墙（千兆） 2 台国产 6. DMZ区 WEB应用防火墙（千兆） 2 台国产 7. 防病毒网关 2 台国产 8. 网络审计系统 1 台国产 9. 数据库审计系统 1 台国产 10. 安全管理

10、平台 1 台国产序号货物名称数量单位产地（国产 /进口） 11. 操作系统安全增强系统 20 套国产12. 主干网接入交换机 4 台国产 13. 网络管理区接入交换机 2 台国产 14. DMZ 区接入交换机 2 台国产 15. 托管区接入交换机 1 台国产 16. 楼层接入交换机 3 台国产 17. IP（实名认证）准入系统 1 台国产（ 3）产品清单及指标要求重要性分为“”、“ #”和一般无标示指标。代表最关键指标，不满足该指标项将导致投标被拒绝， #代表重要指标，无标识则表示一般指标项。 “证明材料要求”项可填“是”和“否”。填 “是”的，

11、投标人须提供包含相关指标项的证明材料，证明材料可以使用生产厂家官方网站截图或产品白皮书或第三方机构检验报告或其他相关证明材料。未提供有效证明材料或证明材料中内容与所填报指标不一致的，该指标按不满足处理。 1货物 1：堡垒主机（千兆）序号重要性指标项指标要求证明材料要求 1. 基本要求软硬件一体化产品； B/S 架构，采用 HTTPS 方式远程安全管理，无需安装客户端。物理旁路模式部署，不影响网络结构。否 2. 接口不少于 6 个 100/1000M RJ45 自适应以太网口， 1 个接口扩展槽位；系统自带内部存储，支持 RAID1 数据冗余存储，存储空间不低于 4T。否 3

12、. 性能要求管理设备数量 1000 台；字符并发 2000 个；图形并发1600 个。是 4. 用户角色堡垒机具有用户多角色划分功能，如堡垒机管理员、设备管理员、普通用户、审计管理员、审计员等，对各类角色需要进行细粒度的权限管理。否序号重要性指标项指标要求证明材料要求 5. 身份认证主帐号登录堡垒机应支持本地静态密码认证、 LDAP 认证、RADIUS 认证、证书认证等身份认证方式；支持第三方认证厂商，飞天诚信、吉大正元、山地 CA 系统。否 6. # 目标设备登录方式半自动登录目标设备：即第一次登录目标设备时运维人员需手工输入目标设备帐号和密码并允许堡垒机保存

13、该帐号密码，运维人员在后期登录时即可实现自动登录目标设备。需提供截图证明并加盖原厂商公章。是 7. 密钥登录方式：在登录目标服务器时，使用的是秘钥登录，而非密码。在既可以使用密码，又可以使用秘钥的环境，可以自由选择登录认证方式。否 8. 主帐号关联支持以首页中的主账号为基准，支持直接查询并编辑与该主账号相关的策略、有权限运维的所有设备及所有审计信息。否 9. # 设备关联支持以首页中的设备为基准，支持直接查询并编辑与该设备相关的策略、有权限运维该设备的所有普通用户及该设备的所有审计信息，需提供截图证明并加盖原厂商公章。是 10. 目标设备分组展示用户登录堡垒机后可在首页分

14、组显示该用户有权限管理的目标设备，设备分组可按最近访问、最常访问、访问策略、按照个性化配置中的分类等分组显示可登录的设备；并可按全部 /工单相关来查询设备否 11. 策略展示访问策略支持设备视图和用户视图，管理员可以对运维权限一目了然，视图可以按照 xls 格式导出，方便管理员管理否 12. 设备维护支持智能扫描方式自动发现网络中的设备，通过 IP 地址扫描，快速发现指定 IP 地址范围内的主机、服务器和网络设备，并自动识别启用服务和端口，方便管理员快速添加设备。否 13. 手机 APP 支持手机 APP 功能，能够在手机端进行运维审批操作，以及运维监控，随时随地进行运维管理。

15、否 14. 配置向导提供对部分配置操作进行向导式配置界面，尤其是操作步骤比较多，前后有关联的数据库审计配置。否 15. 支持的设备访问方式 Web 访问方式 :支持通过审计系统的 Web 页面直接访问设备；否 16. 客户端访问方式：支持通过 SecurCRT 等常用的命令行客户端工具登录堡垒机并访问目标设备，并支持会话克隆。否 17. # 入侵审计要求支持幽灵账号功能，支持主动对从账号进行关联分析，当发现攻击者植入的异常账号时，对相关管理员采取告警、记录及通知等操作。需提供截图证明并加盖原厂商公章。是 18. # 业务指导要求支持孤儿账号功能，能够提供对各从账号的运维使用

16、率的分析功能，当发现使用率异常的从账号，对相关管理员采取告警、记录及通知等操作。是 19. 认证支撑为了最大程度保障运维安全，针对 Linux 服务器将采用公钥私钥登录，要求堡垒机需支持公钥私钥代理登录，使用户能够一键通过原有客户端访问访问服务器，而非使用应用发布实现。否 20. 综合审计报表管理员可以统计出某段时间内，高危命令执行的情况；针对被审计对象可以统计出用户信息、设备信息，统计结果支持excle 方式导出。否序号重要性指标项指标要求证明材料要求 21. 自动生成报表提供周期生成报表，用于审计或者上报，提供给用户按照自定义规则自动周期生成报表的功能。否 22.

17、私人定制根据运维人员的运维习惯，可个性化配置运维参数，更具人性化，提供运维效率；可选择首页设备分组的默认方式可配置本地客户端路径可配置默认账号的登录参数可配置图形、文件、应用运维默认值否 23. 工单系统工单系统支持运维工单流程，运维人员审批可提前申请工单，审批人员审批自由度大幅提高，不再受审批时间限制，解放运维人员和审批人员，提高工作效率；工单流程具体包括：工单创建 -审批 -完成。否 24. 密码对象管理设备管理员可以按条件生成该设备的改密历史报告。条件包括：标题、设备 /设备组、统计时间段、是否导出密码、文档是否压缩加密、加密密码。如果选择需要导出密码，则需

18、要强制加密。否 25. 密码导出时，可以选择分组方式来导出。包括：按部门、按设备类型、按业务类型、按设备组、按策略。分组方式单选，每组内可以多选、全选。否 26. # 资质要求产品要求取得 - 软件著作权证书提供以上有效证书的复印件并加盖原厂公章是 2货物 2：漏洞扫描系统（千兆）序号重要性指标项指标要求证明材料要求 1. 基本要求产品需使用专门的硬件，有自主知识产权的安全操作系统，采用 B/S 设计架构，并采用 SSL 加密通信方式，无须安装客户端，用户可通过浏览器远程方便的对产品进行管理。否 2. 接口不少于 1 个 RJ45 串口， 1 个 GE 管理口，

19、 6个10M/100M/1000M 自适应以太网电口扫描口， 1 个接口扩展槽位（支持 4 电、 4 光、 8 电、 8 光），含交流电源。否 3. 性能要求允许最大并发扫描 60 个 IP 地址，允许最大并发任务 10个任务，支持无限 IP 授权扫描。是 4. # 漏洞管理和分析支持检测的漏洞数大于 18000 条，兼容 CVE、 CNCVE、 CNNVD、CNVD、 Bugtraq 等主流标准，并提供 CVE Compatible 证书。是 5. 同时支持远程扫描和采用 SMB、 SSH、 RDP、 Telnet 等协议对Windows、 Linux 等系统进行登录扫描。否

20、 6. 产品应支持通过多种维度对漏洞进行检索，包括： CVE ID、BUGTRAQ ID、 CNCVE ID、 CNVD ID、 CNNVD ID、 MS 编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息。否序号重要性指标项指标要求证明材料要求 7. 提供高级漏洞模板过滤器，支持将符合筛选条件的漏洞自动加入到自定义漏洞模板中，及后续插件升级包中的漏洞也可以自动加入到模板中。否 8. # 内置不同的漏洞模板针对 Unix、 Windows 操作系统、网络设备和防火墙等模板，同时支持用户自定义扫描范围和扫描策略；支持自动模板匹配技术，请提供功能截图并加盖原厂公章。是

21、9. 支持专门针对 DNS 服务的安全漏洞检测，包括 DNS 投毒等漏洞检测能力；支持“幽灵木马”检测。否 10. 支持专门针对已有攻击利用代码的漏洞检测，检测用户资产是否存在可利用的漏洞。否 11. 具备单独口令猜测扫描任务，支持多种口令猜测方式，包括利用 SMB、 TELNET、 FTP、 SSH、 POP3、 TOMCAT、 SQL SERVER、MYSQL、 ORACLE、 SYBASE、 DB2、 SNMP 等协议进行口令猜测，允许外挂用户提供的用户名字典、密码字典和用户名密码组合字典。否 12. # 支持复用已有任务配置用于新的扫描任务，请提供功能截图并加盖原厂公章。是 1

22、3. # 产品支持对系统漏洞扫描、 web 应用和网站漏洞、配置合规、弱口令进行检查和综合分析，并进行统一授权管理，并同时支持进行进行漏洞扫描和配置核查任务；请提供功能截图并加盖原厂公章。是 14. 支持认证信息管理，可将系统登录信息、配置检查模板进行统一管理和配置，提供登录信息导入功能，无须每次下任务时进行配置。否 15. 资产和风险管理提供资产发现能力，支持立即、定期或指定时间发现资产存活 IP、开放端口和操作系统等。否 16. 提供通过资产树对资产进行分级管理，支持设备权重设置和可信设备登记，支持将资产信息批量导入到资产树，可在资产树上直接指定主机开展扫描任务。否 17. 支持

23、风险告警和风险闭环处理，可在集中告警平台灵活配置告警内容、告警方式、告警资产范围等，支持邮件和页面告警，支持单个或批量修改风险状态。否 18. 支持自定义风险值计算标准配置，可对主机风险等级评定标准和网络风险等级评定标准进行自定义。否 19. # 风险展示和报表支持通过仪表盘直观展示资产风险值、主机风险等级分布、资产风险趋势、资产风险分布趋势等内容，并可查看详情，请提供功能截图并加盖原厂公章。是 20. 支持高级数据分析，可对同一 IP 的两次扫描结果进行风险对比分析，并可在线查看同一 IP 的多次历史扫描结果。否 21. 提供灵活的报表自定义，可定制报表标题、封面 logo、报表页

24、眉和页脚、报表各章节显示内容。否 22. 多权限用户管支持不同用户角色权限管理，区分系统管理员、普通用户、审计管理员等角色，不同管理员拥有不同的管理权限。否序号重要性指标项指标要求证明材料要求 23. 理支持多用户分级权限管理，可为每个用户角色分配账号、任务级的权限分配、允许登录的 IP 范围和允许扫描的 IP 范围等。否 24. 系统维护提供系统快照功能，当系统出现问题时，可以通过恢复快照，一次性将系统恢复到快照时的版本，并将用户数据一同恢复。否 3货物 3：入侵防御系统（千兆）序号重要性指标项指标要求证明材料要求 1. 基本要求标准机架式硬件，具有自

25、主知识产权；设备应为机架式硬件设备，含交流冗余电源模块，不少于 4 个 10/100/1000M 以太网电口（ 2 路 Bypass）， 4 个千兆 SFP 插槽，含 4 个接口扩展槽位。否 2. 性能要求提供产品的网络吞吐量 8G。是 3. 部署模式系统应支持独立式多路 IPS 工作模式、 IPS 和 IDS 的混合运行模式。否 4. 维护性系统应提供主动抓包和日志监控功能，提高部署后的可维护性。否 5. # 入侵防护功能系统应提供覆盖广泛的攻击特征库，能够针对 7600 以上的攻击行为、异常事件，以及网络资源滥用流量，进行检测和防御。系统携带的攻击特征库须获得 CVE

26、-Compatible 兼容性认证是 6. 系统应能够有效抵御 SQL 注入、僵尸网络等多种常见的应用层安全威胁。否 7. 系统应提供先进的 DoS/DDoS 攻击防护能力，支持双向阻断TCP/UDP/ICMP/ACK Flooding，以及 UDP/ICMP Smurfing 等常见的 DoS/DDoS 的攻击。否 8. 系统应提供丰富的响应方式，包括：会话阻断、 IP 隔离、邮件通知等功能，满足用户各种响应需求。否 9. 系统应具备攻击快照功能，详细记录触发告警的数据特征，以便做进一步的事件分析。否 10. 系统应支持 VLAN 802.1Q、 BGP、 MPLS、 QinQ、

27、PPPOE 等特殊封装协议，能够适应多种不同的网络环境。否 11. 系统应具备融合模式匹配、协议分析、异常检测、会话关联分析，以及抗 IDS/IPS 逃逸等多种技术，准确识别各种黑客入侵，为用户提供 27 层深度入侵防御。否 12. # 系统应提供基于信誉的僵尸网络防护能力，具备可以持续升级的信誉库， IPS 通过信誉库内的恶意网站 IP、 C&C 服务器地址的信誉值执行相应的防护动作；请提供功能截图并加盖原厂公章。是序号重要性指标项指标要求证明材料要求 13. # 应用识别系统应能识别主流的应用程序，识别种类不少于 2500 种。请提供功能截图并加盖原厂公章。是 14.

28、流量分析系统应支持全面的流量分析功能和灵活的流量管理功能，可以根据用户、应用、目的 IP 地址、时间及带宽等因素，实现基于应用、面向对象的流量保护策略。通过流量许可和优先级控制，阻断一切非授权用户流量，并结合最小带宽保证、最大带宽限制、会话限制和每 IP 设置等功能，有效保证关键应用全天候畅通无阻。否 15. 高级威胁防护系统应提供服务器异常告警功能，可以自学习服务器正常工作行为，并以此为基线检测处服务器非法外联行为。否 16. 系统应提供敏感数据保护功能，能够识别、阻断通过自身的敏感数据信息（身份证号、银行卡、手机号等）。否 17. 系统应提供关键文件保护功能，能够识别、阻断通

29、过自身的关键文件，以防止非法外传行为。能识别的关键文件类型应包含至少以下几类：文档类如 Excel、 PDF、 PowerPoint、 Word等，压缩文件类如 CAB、 GZIP、 RAR、 ZIP、 JAR 等，图像类如 BMP、 GIF、 JPEG 等，音频视频类如 MP3、 AVI、 MKV、 MP4、MPEG、 WMV 等，脚本类如 BAT、 CMD、 WSF 等，程序类如 APK、DLL、 EXE、 JAVA_CLASS 等。否 18. 用户认证系统应具备用户身份识别能力，支持基于用户身份进行策略配置、日志记录与查询；支持自动与手动获取用户信息列表并生成组织结构图。否 19

30、. 系统管理系统应具备系统运行状态监控功能，能够实时查看 CPU 使用率、内存使用率、磁盘剩余空间、系统运行时间、接口状态、流量等信息。否 20. 系统应具备系统健康状态异常告警机制，能够实时监控系统CPU、内存等关键部件的状态，并在发现异常状况时通过声音、邮件、短信等多种方式及时通知管理员。要求告警触发条件可设置。否 21. 系统应提供策略模板，减少配置工作量，提高部署效率。否 22. # 系统支持通过手机 APP 实时获得设备运行状态，接收安全咨询，查看攻击事件和统计信息，请提供功能截图并加盖原厂公章。是 23. 系统应提供配套的集中管理平台，实现设备的集中管理功能，可对管理范围内的所有引擎设备进行统一的状态监控、策略配置、系统升级和日志报表管理。须支持集中管理设备的拓扑展示功能，可通过设备连线的颜色直观显示设备运行状态；支持集中管理设备的单点登录。否 24. 日志和报表系统应支持日志缓存，并具备地址簿功能，在报表中直观显示 IP 地址所处国家、地区或某个部门。支持自定义私有 IP地址库和导入外部公网 IP 地址库。否

展开阅读全文