1、网络安全设备建设项目采购需求(货物类)一、项目介绍1、资金来源:财政性资金2、系统概述:(1) 、业务需求随着中国政法大学校园信息化的发展,内部各类业务范围的不断扩大,各类业务系统不断上线运行。在业务系统应用范围越来越广、数据越来越多的同时,技术运维部门面临的确保系统安全稳定运行的压力也随之增加,复杂的人员结构和系统结构使得技术运维管理面临严峻的挑战,需要尽快在安全管理方面加强有效的技术手段。(2) 、技术需求为了响应和遵守国家有关部门对校园网络安全的要求,此次需要建设校园网数据库安全审计系统、校园网运维安全审计系统,以及需要对校园网络进行信息安全体系咨询服务及网络和应用系统梳理、性能监测及安
2、全优化等系列安全集成服务。(3) 、系统需求对于运维安全管理方面,需要对准确识别操作人员的身份;对设备和系统的管理账号实现密码足够复杂和定期的修改系统账号密码;对操作人员的操作行为要进行事前主动的控制和约束;清晰的展示每个操作者具体的操作过程;整体上对系统运维在访问控制、操作审计等诸多方面实现更加全面有效的管理。对于数据库安全管理方面,需要针对不同的应用协议,提供基于应用操作的审计;提供数据库操作语义解析审计,实现对违规行为的及时监视和告警;提供上百种合规规则,支持自定义规则(包括正则表达式等) ,实现灵活多样的策略和响应;提供基于硬件令牌、静态口令、Radius 支持的强身份认证;根据设定输
3、出不同的安全审计报告。(4) 、集成需求项目集成总体要求包含但不限于项目实施前期准备、设备到货验收、系统集成安装与联调测试、系统试运行、项目验收。中标方需要配合用户方提供产品安装调试服务、产品培训服务、信息安全体系咨询服务,以及提供现有校园网内部的整体网络和应用系统梳理、应用系统性能监测,做好网络安全优化等系列服务,结合用户的现状情况提供详细的安全集成服务方案,帮助用户完成校园网络的信息安全保障工作。3、预算金额:96 万元4、所要达到的目标前景:通过项目建设,可以建成并完善现有校园网络内部的业务环境下的网络操作行为和数据库行为操作进行细粒度审计的合规性管理系统。通过对业务人员访问各类运维设备
4、和数据库系统的行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营,为校园网络的各类信息系统进一步的发展建立坚实基础。二、项目履约时间、地点1、履约时间:合同签订后 5 天内交货或 30 天内完成安装调试并具备验收条件。2、履约地点: 用户指定安装验收地点3、现场踏勘: 否三、采购人信息单位名称:中国政法大学单位地址:北京市昌平区府学路 27 号联系人姓名:张文博联系电话:58909531电子邮箱:四、采购产品一览表序号 货物名称是否为主要产品(主要产品须提供
5、厂家唯一授权)单位数量产地(国产/进口)1 数据库安全审计 是 台 2 国产2 运维安全审计 是 台 2国产3 安全集成服务 否 项 1 国产五、产品清单及指标要求重要性分为“” 、 “#”和一般无标示指标。代表最关键指标,不满足该指标项将导致投标被拒绝,#代表重要指标,无标识则表示一般指标项。1、数据库安全审计 数量:2 台序号 重要性 指标项 指标要求1 审计数据的存储空间不得少于 4T,支持 RAID1 阵列2 数据中心存储为抽屉式硬盘,支持单独拆卸和更换。3 支持万兆网络环境监听,至少提供 6 个千兆电口,2 个万兆接口4硬件规格审计系统采用独立硬件,支持冗余电源5 性能要求 审计事件
6、每秒入库速度至少在 25000 条/秒以上采用旁路部署方式对原有网络不造成影响,网络审计产品的故障不影响被审计系统的正常运行。6支持 TAP 网络流量分流复制功能7部署和管理无需在被审计系统上安装任何代理8 数据库审计 支持 Oracle、SQL-Server、DB2 、 Informix、Sybase、MySQL、PostgreSQL、Teradata、Cache 数据库审计9 支持对 Oracle 数据库状态的自动监控,可监控会话数、连接进程、CPU 和内存占用率等信息10 支持国产数据库人大金仓、达梦、南大通用、神通数据库的审计 11 支持对针对数据库的 XSS 攻击、SQL 注入攻击行
7、为进行审计12 # 提供对数据库返回码的知识库和实时说明,帮助管理员快速对返回码进行识别。13 支持对超长 SQL 语句的审计,支持对数据库绑定变量方式访问的审计14 # 支持双向审计,支持对 Select 操作返回行数和返回内容的审计。15 # 支持访问数据库的源主机名、源主机用户、SQL 操作响应时间、数据库操作成功、失败的审计;16 # 支持数据库操作类、表、视图、索引、触发器、存储过程、游标、事物等各种对象的 SQL 操作审计。17 # 支持数据库存储过程自动获取及内容审计。18 支持 Telnet 协议的审计,能够审计用户名、操作命令、命令响应时间、返回码等;19 支持对 FTP 协
8、议的审计,能够审计用户名、命令、文件、命令响应时间、返回码等20 支持审计网络邻居的用户名、读写操作、文件名等21 支持审计 NFS 协议的用户名、文件名等22 # 支持审计 Radius 协议的认证用户 MAC、认证用户名、认证IP、NAS 服务器 IP23 # 支持审计 HTTP/HTTPS 协议的 URL、访问模式、cookie 、页面内容、Post 内容。24 #网络协议审计支持 IP-MAC 绑定变化情况的审计。25 系统应自带不少于 100 个缺省的审计规则库,方便用户选择使用。26 用户可自定义审计策略,审计策略支持时间、源 IP、目的 IP、协议、端口、登陆账号、命令作为响应条
9、件27 数据库审计策略支持数据库客户端软件名称、数据库名、数据库表名、数据库字段名、数据库返回码作为响应条件(非正则表达式方式)28 审计策略支持审计策略支持字段名称和字段值作为分项响应条件(非正则表达式方式)29 响应方式 支持按照风险级别进行告警,告警方式支持界面告警、Syslog 告警、SNMP trap 告警、短信告警、邮件告警30 支持按时间、级别、源目的 IP、源 目的 MAC、协议名、源 目的端口为条件进行查询31 # 支持查询、统计的条件模板编辑与应用。32 # 支持多个查询、统计任务同时进行33数据库访问日志,支持按数据库名、数据库表名、字段值、数据库登陆账号、数据库操作命令
10、、SQL 语句关键字、数据库返回码、SQL 响应时间、数据库返回行数作为查询和统计条件34 #日志查询统计web 访问日志,支持按 URL、访问模式、cookie、页面内容、Post 内容等作为查询和统计条件35 支持查询统计条件之间的与、或、非逻辑组合36 提供缺省的报表模板库,包括 SOX 报表、PCI 报表等模板,供用户选择使用。37 支持自定义报表模板,包括统计日志周期、过滤条件、图标样式等。38 支持按每天、每周、每月、时刻生成报表39 支持生成 CSV、Word、PDF、xls、HTML 格式的报表导出40 支持邮件方式定期自动发送报表41提供管理员权限设置和分权管理,提供三权分立
11、功能,系统可以对使用人员的操作进行审计记录,可以由审计员进行查询,具有自身安全审计功能42 # 管理员登陆支持静态口令认证,支持密码的复杂性管理,比如大小写、数字、特殊字符、长度等 43 # 能够对连续失败登陆进行自动锁定,锁定时间可设置 44 # 审计系统上存在大量敏感信息,必须对审计管理员进行强度更高的认证,管理员登陆支持硬件令牌认证 45 提供审计数据管理功能,能够实现对审计日志、审计报告的自动备份46 提供系统升级功能,能够通过升级包的方式实现升级47 提供磁盘存储容量不足、磁盘 Raid 故障等自动邮件报警48 自身管理提供 CPU、内存、磁盘、网口、运行时间、运行状态等信息的监视功
12、能49 支持与 Web 应用防火墙(WAF )的联动,可对 WAF 上报的应用系统攻击实现场景还原展示50 #联动功能 支持与 APT 检测产品的联动,对于网络传输的文件不仅可以审计,还支持恶意代码检测,报告可疑的攻击文件。51 支持 SNMP 方式,提供系统运行状态给第三方网管系统52 支持 Syslog、SNMP 方式向外发送审计日志53 # 支持 Syslog 方式接收第三方审计日志54 # 支持连接外置存储,以扩展日志存储能力55 #第三方接口支持 NTP 时间同步56 # IPV6 支持 支持 IPV6 环境下数据库的审计2、运维安全审计系统 数量 2 台序号 重要性 指标项 指标要
13、求1 硬件规格设备性能不少于 1 颗六核 CPU 主频不低于 1.9GHz、16G 内存、不少于 3T 容量、硬盘支持硬 RAID、2 个千兆自适应以太网口、双冗余电源。2 管理许可 支持 800 台目标设备管理许可支持 HA 双机热备部署和多 A 集群部署模式,提供详细的 HA 技术说明和多 A 集群部署方案。支持物理旁路,逻辑串联模式,支持NAT 地址映射部署。3 设备高可用性支持 TAP 网络流量分流复制功能4 字符协议:Telnet、SSH、SSHv1、SSHv2、TELNET、RLOGIN5 图形协议:RDP、VNC、XWindow6 文件传输:FTP、SFTP、SCP7支持协议/操
14、作类型 支持各类 HTTP、HTTPS 访问,支持各类 C/S 客户端工具访问,运维操作过程不依赖浏览器和 JAVA 环境,支持oracle,postgresql,sybase,mysql,sqlserver 数据库下行返回行数和 oracle 数据库变量绑定8 支持与第三方认证如 AD 域、LDAP、radius 动态双因素、证书认证等第三方认证方式整合,USB-KEY 认证;动态口令认证;内置动态双因素认证,用户不需要额外部署认证服务器9 支持自定义组合认证功能,即任意两类认证方式组合为一种新的认证(如 ldap+Radius 组合认证),加强安全认证强度 10 #用户账号管理支持手机令牌
15、功能,支持在手机 APP 上直接获得动态口令11 支持针对某些地址、地址段内的目标设备自动发现和批量导入功能 12 支持目标设备的密码托管和单点登录功能,也支持目标设备登录过程中手工输入系统账号和密码进行登录13 支持一台设备关联多种访问协议,如一台 linux 设备通过ssh、vnc、sftp 协议访问14 目标设备管理支持批量登录多台协议相同的目标设备15 #普通用户可以在 web 界面手动填写电子工单,填写的内容包括:用户账号、设备资源、系统账号、协议类型、要执行的命令、时间窗口16 #内置电子工单 电子工单可提交给本部门或者上级部门配置管理员审批,审批通过后,即时生效。系统内置多种报表
16、模板,支持管理员自定义报表类型。报表格式支持 CSV 和 HTML。17 支持以用户(用户组)、目标设备(设备组、程序)、系统帐号、部门、协议、时间、来源 IP 为要素,来灵活设置访问策略。系统级账号三权分立,系统级账号包括:系统账号管理员,系统审计员,系统管理员18 #访问权限控制支持基于访问控制规则启用/关闭 windows 设备、应用程序的剪贴板上下行功能和磁盘映射功能19 命令权限控制支持跟据用户(用户组)、目标设备(设备组)、系统帐号、命令集和生效时间来设置详细的命令权限控制策略,支持命令黑白名单20 支持根据设备、系统帐号、时间、频率、改密方式生成详细的改密计划,到期自动执行;改密
17、方式至少可以支持随机生成不同密码、自动设置相同密码、手动指定密码、随机定制密码;改密结果自动加密发送给密码保管员21 #自动改密功能改密功能必须成熟稳定,且通过健壮的容错机制确保改密过程中设备账号密码的安全,说明改密功能在超过 100 个管理设备批量改密的过程。22 unix 脚本推送管理员可以根据设备/设备组、系统账号、时间、脚本内容(自定义),创建自动脚本任务;该任务到期自动执行,执行的结果自动发送给相关管理员23 网络设备配置备份 支持定期备份指定的网络设备上的配置信息,备份结果可以自动加密发送到相关管理员的邮箱24 访问二次授权 对于重要设备的登录,未经相关人员授权,设备无法正常访问2
18、5 命令双人复核 对于高危指令操作,可以要求必须发送给相关管理员复核通过,才能被执行26 操作会话共享对于图形和字符操作会话支持多人会话共管,当前运维人员可以邀请其他用户参与当前操作会话,也可以随时中断被邀请人的会话27 #针对字符指令操作,必须确保对实际运维过程中各类非常规操作指令的准确识别,包括各类 TAB 补全、行内编辑操作、大日志量输出的指令操作,在各类非常规操作场景下不能出现乱码、漏审问题。28 支持操作指令输入输出结果的智能分离,能够随意打开任意一条操作指令的输出结果。支持通过设备的 web 页面内嵌SSH、FTP、TELNET 运维工具访问目标资源。支持 TELNET、SSH 协
19、议使用 SecureCRT 工具批量登录目标资源,并支持对多台主机批量执行操作指令29 命令操作审计支持从任意一条操作指令处进行命令回放,支持控制播放进度。审计查询关键字和结果显示支持多种编码(UTF-8,Big5,EUC-JP,EUC-KR,GB2312,GB18030,ISO-8859-2,KOI8-R,KS_C_5601_1987,Shift_JIS,Window-874),由用户自主选择30 #支持对 windows 图形操作过程中的窗口标题、URL 地址进行文本识别和文本记录。支持 RDP、VNC 图形操作行为的审计,图形回放形式还原真实操作过程31 支持以图形操作过程中的键盘输入、
20、剪贴板、窗口标题信息、URL地址为关键字进行文本搜索,搜索结果可以直接定位到该操作对应的时间点进行录像回放32 图形操作审计支持对图形操作过程中的鼠标点击、键盘操作、快捷键使用进行记录和回放展示,当单个会话的日志量超过 1000M 也不存在缓冲、延迟的过程。33 #支持对通过运维审计系统所传输文件进行备份和查询功能。支持SSH 协议服务端启用强加密算法 hmac-sha2-256,hmac-sha2-512,提升 SSH 协议安全性34 文件传输审计 包括访问的起止时间、协议、用户名称、来源 IP 地址、设备名称、系统账号、文件目录等,要求准确审计各类文件传输的操作类型(上传、下载、重命名、删
21、除等)。支持通过应用发布实现字符协议和文件传输协议的命令级审计和图形审计的双重审计效果35 管理员可以手动定制报表模版,并支持根据不同模版自动生成日报、周报、月报,报表内容自动发送给相关管理员36 统计报表功能 支持对特定操作指令进行自动统计,能够统计出该指令在特定时间范围内的执行次数,并自动关联出对应的字符会话记录六、服务要求重要性分为“”和一般无标示指标。代表最关键指标,不满足该指标项将导致投标被拒绝,无标识则表示一般指标项。序号服务要求项目 重要性服务要求标准 1. 原厂售后服务承诺函 原厂商售后服务提供设备三年免费保修和软件三年免费版本升级、电话报修后 4 小时上门服务、12 小时内排
22、除故障。2. 售后服务标准 1、所有硬件三年免费保修、所有软件三年免费保修升级、电话报修后 4 小时上门服务、12 小时内排除故障。2、所有硬件过三年免费保修期后按原价维修(按投标货物价格数量表所列价格,更换零部件的按合同签订时的零部件价格) 、所有软件过三年免费保修升级期内按不高于原价的 20%进行维修升级,响应速度同保修期响应速度。3. 服务网络 在项目运行地点有固定服务网点,并承诺可以执行上述的售后服务标准。4. 培训 原厂商提供不少于 2 次不少于 10 人的主要设备(数据库安全审计、运维安全审计)厂商认证的工程师安装配置等实操培训课程,场地、交通等与培训相关的费用均由投标人承担。5.
23、 集成服务 投标人具备信息安全服务(安全工程类)的服务能力,并提供有效的依据说明。说明项目经理的行业认证和项目经历情况,实施团队情况和售后服务体系,可以体现项目服务质量能力。技术人员具备 CISP安全服务类证书,需要协调各个产品厂商为用户提供产品安装调试服务、产品培训服务、信息安全体系咨询服务,以及提供现有校园网内部的整体网络和应用系统梳理、应用系统性能监测,做好网络安全优化等系列服务,结合用户的现状情况提供详细的安全集成服务方案,帮助用户完成校园网络的信息安全保障工作。七、付款方式序号 付款节点 付款条件 付款比例(或金额) 备注1 首付款 合同签订后 15 日内 付款至总合同金额 30%2
24、 履约保证金 合同签订后 15 日内 付总合同金额 10%3 第二期款 货物到达全部安装,并加电调试完成,验收合格付款至总合同金额 100%4 质保金 验收合格后履约保证金转为质保金,六个月后无遗留问题则无息退还。八、投标人及产品资质要求1、 投标人应具备的资质条件 投标人提供营业执照、税务登记证、组织机构代码证,(三证合一的提供最新的营业执照即可),质量管理体系认证,复印件加盖公章。2、 投标产品应具备的资质条件 (1)数据库审计系统产品具有中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证(万兆)(增强级);需提供证书复印件加盖产品厂商的公章。产品具有中国信息安全认证中心颁发的
25、强制认证证书(增强级);需提供证书复印件加盖产品厂商的公章。产品资质要求产品具有中国国家保密局测评中心颁发的涉密信息系统产品检测证书,需提供证书复印件加盖产品厂商的公章。(2)运维安全审计系统产品具备公安部颁发的计算机信息系统安全专用产品销售许可证,需提供证书复印件加盖产品厂商的公章。产品具备中国信息安全认证中心颁发的中国国家信息安全产品认证证书,需提供证书复印件加盖产品厂商的公章。产品资质要求产品具备国家保密局颁发的涉密信息系统产品检测证书,需提供证书复印件加盖产品厂商的公章。九、产品授权序号 货物名称 主要产品须提供厂家唯一 授权 单位 数量 产地(国产/进口)1 数据库安全审计 是 台 2 国产2 运维安全审计 是 台 2 国产十、产品测试及验收项目产品安装实施上线前及项目验收时投标方需配合用户方对于技术要求号及#号指标进行演示操作。
