中国移动黑龙江公司2013年SMP应用软件技术业务规范书中国移动通信集团黑龙江有限公司二〇一三年十一月 目录第1章 总则11.1 总则11.2 参考规范21.3 卖方技术建议书的要求2第2章 工程概述52.1 项目背景及概况52.2 系统建设原则52.3 系统建设规模62.4 系统建设工期62.5 系统现有生产环境7第3章 其他要求83.1 设备选型要求83.2 服务案例要求83.3 公司资质要求8第4章 具体配置要求94.1 配置要求94.1.1 系统新增功能配置要求94.1.2 系统现有功能配置要求184.2 其他要求19第5章 工程管理和实施215.1 工程实施进度表215.2 工程人员安排215.3 系统割接测试计划215.4 数据迁移计划215.5 日常开发215.6 初步验收215.7 最终验收225.8 工程实施22第6章 售后服务236.1 保修期236.2 维护内容236.3 维护要求24第7章 培训和技术文件257.1 技术培训257.2 培训计划257.3 技术文件257.4 技术文件修改257.5 系统升级25 第1章 总则1.1 总则本规范书将作为卖方提出技术建议的依据。1.1本技术业务规范书（以下简称规范书）是中国移动通信集团黑龙江有限公司（以下简称买方）向为拟建“中国移动黑龙江公司网络安全五期工程”提供SMP应用软件（含集成）的公司（以下简称卖方）提出的总的技术要求和工程询价。本技术规范书将提出针对“中国移动黑龙江公司网络安全五期工程SMP应用软件”的性能指标、设备功能、工程管理、售后服务、培训等总体要求。1.2卖方应按照本文件的要求提供报价和详细的技术方案建议书。卖方提供的设备的功能、性能应完全符合买方指明的标准，并满足或高于买方的要求。对于本文未规定的有关设备性能，卖方应提出建议，并陈述其理由。1.3卖方在其技术建议书中，对本文件中所提各项要求能否实现与满足，应逐项实事求是地予以说明和应答。卖方亦可根据自己的产品技术性能具体情况，在建议书中提出建议，并附详细资料和说明。1.4卖方应列出其建议书中所提供系统及设备在全球范围内的应用情况，包括业务规模、业务类型及开展方式等。1.5本文件中未给出，但有关标准（如ISO、ITU-T、国标、通信行业标准等）已有建议和要求的，系统性能和功能均应满足最新建议要求。卖方应同时说明系统方案所支持的其它国际标准化组织的标准。1.6本文件应视为保证系统运行所需的最低要求，如有遗漏，卖方应予以补充，否则一旦中标将认为卖方认同遗漏部分并免费提供。1.7在任何时候，买方保留对本文件的解释权。买方有权在签订合同之前，根据需要修改和补充技术规范书，修改补充后的最终技术规范书将作为合同的附件。1.8所有由卖方提供的产品（由卖方提供的解决方案中所涉及到的所有项目包括技术、软件等）所引发的知识产权纠纷由卖方负责，买方对此不承担任何责任。1.2 参考规范卖方所提供的系统、设备、软件及服务等，均应符合中国移动通信集团公司颁布的相关技术规范。如有不符合之处，请卖方在应答中逐项说明，并提出替代方案和解决办法。如卖方未有声明，则视卖方所提供的所有系统、设备、软件及服务等满足相关技术规范要求。1.3 卖方技术建议书的要求卖方应针对本技术规范书提供技术方案建议书。技术方案建议书要求如下：一、建议书的内容格式要求：卖方在规定时间内按买方的要求提供相应份数的技术方案建议书（包括电子版文档）和商务报价（中文）。建议书的要求如下：(1)综述；(2)技术规范书的点对点应答；(3)投标人公司基本情况--投标公司需提供如下材料：包括公司资质、授权书、相关机构颁发的认证等，应用软件电信行业入网资质（具体要求详见“3.3公司资质要求”）；同时需提供公司财务状况（包括资产负债、公司营业额等）；--工程实施组织机构及工程实施能力介绍；应包含该工程实施机构的项目负责人员近两年来参与实施的类似工程项目及合作效果（优选中国移动工程项目和案例，不包括已中标未实施案例（具体要求详见“3.2服务案例要求”）； (4)合同双方的责任分工及界面(要求图示并加以说明)--阐明本次工程投标人与其他第三方厂商、集成商及最终用户的工程界面、工作内容及责任分工、连接线及提供方等。(5)总体方案建议--SMP应用软件工作原理、软件架构、设备性能指标、网络管理、通信协议等。技术建议书还应说明使用该设备后，给整个系统带来的好处、具体的功能、实现流程、设备的主要技术指标、是否封装或集成第三方软硬件产品（含开源软件、第三方组件）以及第三方软硬件产品的详细技术资料和知识产权情况。(6)SMP应用软件所能提供的规模、功能和性能--对软件设备支撑的规模、系统性能等主要技术指标进行详细描述，设备性能需要满足“2.3系统建设规模”中所支撑的系统建设规模；--所有的卖方所提供的应用软件功能应包括系统现有的功能和本期需要新增和改造的功能，能够同时满足《中国移动业务支撑系统安全管理平台技术规范2.0》《中国移动业务支撑系统安全管理平台技术规范1.0》的要求。卖方应提供在系统建设期间如何满足集团相关检查的详细实现方案。具体的功能和性能要求应不低于“4.1.1系统新增功能配置要求”和“4.1.2系统现有功能配置要求”；--软硬件兼容性、稳定性等配置合理度等说明；(7)系统接口分析--请结合系统同外围系统的关系，详细阐述系统接口的设计，包括系统接口复用度考虑、接口使用协议、接口参数定义等。(8)系统整体部署建议--请结合上述系统结构分析，阐述系统整体的安装部署的软硬件环境：A、部署所需的系统软件，以及具体的软件参数设置（如中间件、数据库等的参数设置等）；B、部署所需的硬件环境，包括主机、存储、网络等设备的数量和性能要求，以及物理设备的具体参数设置建议等；(9)系统割接测试计划卖方应提供系统割接测试计划，具体要求请参见“5.3系统割接测试计划”；(10)数据迁移计划卖方应提供完善的数据迁移计划，具体要求请参见“5.4数据移植计划”；(11)应用软件的安全方案--符合国家相关法律要求，提供接入安全、数据安全实现原理及其他安全认证体系，确保系统和信息安全。(12)所推荐设备、软件技术文档（应用软件、数据库功能、性能说明、安装方式及环境要求），并提供设备相关性能指标的测试记录文档。(13)系统扩展能力。(14)对本工程功能、推广、运维方面的建议。(15)工程实施计划--卖方应提供工程实施进度表，具体要求请参见“5.1工程实施进度表”；--卖方应提供同工程实施进度计划表相对应的工程相关人员安排，具体要求请参见“5.2工程人员安排”。(16)系统日常建设维护方案(17)最终用户人员培训--培训计划、内容；具体要求请参考“第7章培训和技术文件”(18)验收及测试（具体要求请参考“第5章工程管理和实施”）--系统的验收流程、测试内容、测试方法及相关测试的手册等；--卖方应提供其投标其它省该系统的供货记录及系统规模的说明，并提供网上运行情况报告。(19)售后技术服务、支持及保修（具体要求请参考“第6章售后服务”）--售后服务内容、等级、相关服务指标、售后服务组织机构及人员安排情况，在成都的分支机构情况及人员配置情况等，具体要可以参见“第6章售后服务”；--技术承诺，包括涉及知识产权的承诺等。(20)提供系统技术文档--项目需提交的技术文档清单，包括培训手册、技术文档等。二、技术规范书点对点应答要求卖方的建议书中，要求对本规范书所提出各项要求进行逐条答复、说明和解释，首先对实现或满足程度明确作出“满足”、“不满足”、“部分满足”等应答，然后作出具体、详细的说明。(1)卖方应在建议书中提供软件设备的详细配置，并说明相应的计算方法及依据。(2)卖方在建议书中应说明给买方提供的技术文件、技术支持、技术服务、人员培训等的范围和程度。 第2章 工程概述2.1 项目背景及概况本工程为中国移动黑龙江公司网络安全五期工程。黑龙江移动业务支撑系统安全系统通过安全管理平台、专业安全系统为业务支撑网提供全面的安全防护与安全管理。系统经过多年建设，已逐渐形成了以4A和SMP为主，漏洞扫描系统,安全合规配置核查系统、网络防火墙设备等专业安全设备共同进行安全管理防护的安全体系。为进一步增强SMP的安全运维和安全管理能力，本期工程拟扩容个人工作台，布局模板管理，视图管理，系统运行状态监控等功能。2.2 系统建设原则系统建设具体原则如下：（1）可用性平台支持电信级的可用性，平台应综合考虑业务管理、运营支撑系统等的可靠性和稳定性进行规划、设计和建设，避免单点故障，满足平台整体的可用性要求。（2）可靠性和稳定性符合国家相关法规要求，保证业务处理正确、可靠存储和安全传输。平台应支持高可靠性和稳定性，关键系统如数据库系统、业务管理系统等，应需要具备数据备份能力、可靠性保护能力、容错能力、故障恢复能力、远程备份能力。（3）经济高效在满足业务处理要求的同时，最大限度的降低投入成本。（4）可扩展性平台应具备良好的可扩展能力。包括：?功能可扩展：新建系统不影响现有业务系统的前提下，能够增加新的功能，同时避免对平台进行大规模的修改。?容量可扩展：能够根据用户访问量的增加，平滑扩展平台的容量。容量的扩展不影响现有的系统架构和业务开展。?业务可扩展：能够根据用户需求增加新的应用。（5）松耦合性SMP应用软件逻辑上独立的系统服务为核心，与BOSS系、CRM、BASS、电子渠道等系统通过标准服务接口方式对接以获取其中的数据。两者之间以松耦合的方式进行连接，各自的修改和升级应互不影响。SMP应用软件内部各主要功能域和功能模块间，采用松耦合模式进行部署和数据交换。（6）组件化SMP应用软件采用组件化、SOA规范对服务和核心能力进行封装，支持灵活的服务调用和扩展。（7）可维护性平台应易于维护，易于分析和测试，易于发现和定位故障，并通过良好的系统设计保证故障的隔离。（8）开放性开放的系统结构方案，能将多种应用平台以及不同的硬件和软件系统集成，并支持与其他系统方便地完成数据共享。整个系统要具备开放性的架构，提供开放的二次开发接口，满足以后对系统定制开发的要求。（9）安全性平台应保证各个系统的安全性，安全性包括：数据库的安全性、管理系统的安全性、传输的安全性等。系统应具备基本的防病毒能力，具有安全报警能力。2.3 系统建设规模本期建设规模考虑本期工程满足到2013年底业务支撑网的安全管控需求，目标容量为支撑2万安全账号的系统处理能力、满足对业务支撑网安全系统统一管理的需求。2.4 系统建设工期本工程要求在收到中标通知书后20日内完成系统的整体割接上线。实施中支持按需求优先级分步骤上线。2.5 系统现有生产环境SMP应用软件现有的软硬件部署环境如下：序号配置用途说明操作系统版本1虚拟机2个2.06Ghz/24MB Proc CPU，16GB内存，300GB硬盘SMP部署web应用\消息通讯服务\流程接口服务器SUSE11x642虚拟机2个2.06Ghz/24MB Proc CPU，16GB内存，300GB硬盘SMP部署web应用\消息通讯服务\流程接口服务器SUSE11x643物理机4个2.06Ghz/24MB Proc CPU，16GB内存，2TB硬盘部署SMP-PostGre数据库主SUSE11x644物理机4个2.06Ghz/24MB Proc CPU，16GB内存，2TB硬盘部署SMP-PostGre数据库备SUSE11x645物理机4个2.06Ghz/24MB Proc CPU，16GB内存，1TB硬盘Sentinel收集器SUSE11x646物理机4个2.06Ghz/24MB Proc CPU，16GB内存，1TB硬盘Sentinel额外收集器SUSE11x64 第3章 其他要求3.1 设备选型要求本期新增两台可双机的指标上报接口机,应采用物理机方式,部署在集团接口区卖方提供的软件设备需要满足如下要求：1)卖方提供的所有应用软件必须是最新开发的产品，并保证所提供产品的数量、质量，特别是接口的兼容性；2)兼容性及升级应用软件不同时期软件版本应能向下兼容，软件版本易于升级，且在升级的过程中不影响网络的性能与运行，不能中断己经开通的业务；3)卖方应承诺在供货时提供最新版本的设备，但该设备必须是经过测试正式推出的，其可靠性、稳定性经过严格验证的；4)卖方随后推出新的软件版本时，卖方应承诺免费更新软件版本，并提供相应的新版本软件功能说明书及修改说明书；5)卖方提供的设备若涉及到第三方产品时，应加以说明，并由卖方承诺该设备的售后服务。3.2 服务案例要求卖方须具有两年以上同类项目服务经验,且能提供不少于3次类似项目成功的合作案例,重点为中国移动业务支撑网SMP成功案例。案例必须经过初验，请列举出满足要求的全部案例名称、完成时间、产品销售规模，以及由最终用户提供的验证书复印件。3.3 公司资质要求卖方需提供与本次项目相关的相关资质证明材料（例如：ISO9000（或ISO9001）系列认证、工信部计算机信息系统集成资质、信息安全服务资质等相关资质），并陈述公司的情况，成立时间及规模，提供相关材料。卖方需提供公司营业执照（正副本扫描件）。以上材料需提供真实、准确、有效证明材料复印件。第4章 具体配置要求4.1 配置要求4.1.1 系统新增功能配置要求下述功能要求表为本期工程系统需要新增或者改造的功能，所有的投标厂商提供的应用软件中都需要提供对应的功能；卖方应对以下具体要求（包括应用软件的功能要求和性能要求）进行逐项应答并在技术建议书中对此部分进行详细说明。本期新购的应用软件功能配置的具体要求如下表：序号一级模块二级模块开发具体内容1安全管理门户个人工作台首页提供系统功能的集中展现，包括但不限于个人待办事项、网络安全拓扑展现、资产视图、安全策略管理视图、安全事件管理视图、安全作业计划管理视图、安全合规管理、敏感数据监控视图、安全运营量化指标分析视图等内容。 2安全管理门户综合呈现以地图、部门、系统等方式展现各系统综合风险情况，数据来源至少包括事件日志、漏洞扫描、合规检查、防病毒日志。呈现方式饼图、柱图、表盘等多种形式。3安全管理门户布局模板管理系统需要提供视图布局模版的管理功能，实现布局模版的扩展和维护管理功能。布局模版管理需要能够满足视图定义的各种灵活配置需要，视图定制时可以引用模版库中的各种视图模版。4安全管理门户视图节点管理视图节点是视图定制的基础单元，视图节点类型包括但不限于个人待办事项、网络安全拓扑展现、资产管理视图、安全策略管理视图、安全事件管理视图、安全作业计划管理视图、安全合规管理视图、敏感数据监控视图、安全运营量化指标分析视图等。视图节点管理需要提供视图节点的维护管理功能。5安全管理门户视图布局管理视图布局通过选择布局模板，再通过定义或拖拽的方式从视图节点库中选取视图节点完成视图布局的定制。6安全管理门户视图管理视图是指一组根据某种布局方式，有机组织在一起的各种数据、信息和图形的展示集合。视图管理功能应提供对系统中所有已定制好的视图进行管理，用户可以对自己有权限查看和管理的视图进行分组管理，可以对视图进行增删改等维护操作。7安全管理门户系统运行状态监控为了保证系统自身正常运行，必须能够监控主机状态、数据库状态、采集控制组件状态和应用状态。8安全管理门户数据备份提供对系统文件和数据文件的自动备份和手动恢复功能。9安全管理门户详细数据报表提供各功能模块详细、灵活的统计报表，如策略变更、事件管理、资产变更、安全合规结果、采集管理、量化指标报表等，另包括各模块访问量、频次、账号访问频次。10安全管理门户服务台首页提供系统升级、功能优化点通知界面。登录后提供服务台界面受理用户新需求、故障、问题反馈信息。11策略管理策略多维度展现安全策略视图可以将安全策略库中的策略内容进行执行策略类型、基础策略类型、策略状态、资产对象属性、策略执行结果多维度展现，便于用户整体了解安全策略的应用和落实情况12策略管理策略统计分析将安全策略应用情况进行统计分析，统计分析维度可以采用如下分类：执行策略类型、基础策略类型、策略状态、资产对象属性、策略执行结果，时间段统计策略应用情况，针对策略统计分析结果需提供导出功能，以便用户将相关维度统计分析结果以文件方式导出、归档，需支持XLS,CVS,PDF等文件输出格式。13策略管理策略创建策略创建包含系统安全策略、网络安全策略及事件安全等策略的创建。系统安全策略创建主要包含配置基线、漏洞基线和补丁基线的定义;网络安全策略创建主要包含网络访问控制规则、入侵检测规则的定义; 14策略管理漏洞基线管理漏洞配置基线策略创建或变更时，要求确定对象类型、对象名称、影响版本、漏洞名称、漏洞类型、漏洞简介、CVE编号、危害等级、漏洞发布来源、漏洞发布时间、漏洞更新时间、漏洞公告等内容。原则上，漏洞基线只录入危害等级为紧急和高危的漏洞。15策略管理补丁基线管理补丁基线配置策略创建或变更时，要求确定对象类型、对象名称、对象版本、补丁名称、补丁描述、对于CVE编号、补丁发布来源、补丁发布时间、补丁更新时间、补丁公告等内容，原则上补丁基线创建时只录入等级为紧急和高的补丁信息。16网络安全管理防火墙访问控制规则管理通过本系统统一对业务支撑部所有的防火墙acl规则进行统一集中化的管理，可实现地址（地址组）服务（服务组），ACL管理，时间集管理，管理主机管理，接口管理等功能。以及自动同步防火墙配置规则，也防火墙规则变更自动形成版本库可追溯。17网络安全管理防火墙规则管理流程通过防火墙规则申请，审批，在本平台上配置下发，确认开通一系列流程环节，实现只有通过流程审批通过，才可对防火墙进行配置。实现防火墙规则的集中管控18资产管理数据字典管理资产属性管理功能提供数据字典及维度管理功能，用于安全对象属性赋值。19资产管理资产iGIS展现资产拓扑展现是实现将各种资产及各种资产间的关联关系以拓扑的方式展现，使用户能够在拓扑图上直观的掌握整个网络的拓扑结构及各种资产的状态。资产拓扑能够分层显示资产的拓扑结构，并提供拓扑节点的级联功能，为用户监视整个网络提供强有力的手段。20事件管理信息补全主要通过事件中的源地址、目标地址与资产的IP地址属性等进行匹配，并通过资产的关联关系获取该事件相关的资产ID、资产名称、系统版本、人员、所属业务系统、所属安全域等信息。21事件管理可信计算事件可以通过源地址、目的地址等属性与资产、端口、系统版本、漏洞、补丁、人员等进行关联，并计算出事件的可信度，帮助提取真实可信数据22事件管理可信筛选基于事件的可信度，按照预定义的可信度阈值进行筛选，保留高可信度的事件用于下一步分析。23事件管理安全事件分类操作记录类、状态信息类、信息刺探类、恶意软件利用类、攻击入侵类、信息危害类、设备设施故障类、其它类24事件管理事件关联分析安全事件关联分析是采用基于规则匹配的方法，对多条异源异构事件进行特征匹配分析，当符合关联规则条件时得出事件分析结论的过程。25事件管理事件统计分析事件统计分析是指采用统计学方法，对各类事件的状态、频次、发生周期等数据量化特征进行计算、得出事件数据的分布状况、主要特征、时间序列的趋势性、是否存在异常值、事件汇总结果等内容，事件统计分析结果可直接用于事件性质的判定、解释和决策。26事件管理安全告警处理使用工单的方式处理告警，安全管理平台的事件管理部分最终输出结果为“告警”，告警的处置过程需经过生成、审核、派单、处理、复查、关闭等几个步骤。27安全作业管理一次性作业计划对于集团和省公司安全专项检查等安全标准和要求，创建一次性作业计划，同时需要采集创建维护作业工作单所需的信息；一次性作业计划 （任务）存在一个整体的计划调度，而针对相关需求定制作业有一定的次序要求。 28安全作业管理资产变更引起作业计划变更资产出现的变更时必须通知安全作业计划，作业计划需根据资产变更的情况通过事件管理模块通知相关人员，启动作业计划变更流程；安全作业计划的每一个条目均要对应具体资产，关联关系要绝对明确一一指定。29安全作业管理策略变更引起作业计划变更当执行策略发生变更时必须通知安全作业计划，作业计划需根据策略变更的情况通过事件管理模块通知相关人员，启动作业计划变更流程。30安全作业管理作业计划报告报告要求支持自动生成并提供查询功能，作业计划报告至少应支持EXCEL、WORD、PDF格式的导出。31安全作业管理作业计划展现作业计划展示部分可按照目录结构由上到下分项展示、展示区域包括查询区域、详细内容展示区和信息显示区域32安全合规管理检查模版创建安全合规检查模板创建是根据安全维护人员日常合规检查要求，通过组合合规检查策略，关联检查时间、检查范围来制订安全合规检查模板。33安全合规管理合规检查策略导入通过引用安全符合性策略，组成检查模版34安全合规管理合规检查计划配置配置合规检查模版与安全资产、执行时间、执行周期、执行人员的关系。35安全合规管理合规检查模板审批对已制定的合规检查模版的有效性、可实施性进行人工审批。36安全合规管理合规检查检查计划核查合规检查计划核查功能是对合规检查运行结果分析、判断、汇总的过程，该过程将对整个检查的执行情况进行分析总结，输出合规检查报告，并根据其中的问题触发告警。37安全合规管理安全合规报告描述某一检查任务的检查结果，至少包括：整体检查结果按检查项分类进行检查结果输出按资产分类进行检查结果输出重大问题分析报告38采集控制平台采集调度管理采集调度管理主要用于实现对定时任务的调度，接收安全事件策略管理模块下发的采集任务，根据任务要求如采集间隔、采集参数、采集对象和适配协议接口方式，分解成多个子任务，进行任务调度，将这些子任务分别指定给采集平台采集适配层中的不同采集进程执行。39采集控制平台数据缓存转发数据缓存/转发是指对采集到的数据信息进行本地存储，并通过任务调度方式对上层模块的采集调用信息进行转发。40采集控制平台采集状态监测提供对采集平台自身状态监控功能，能够监控采集平台的任务调度、采集数据缓存转发。41采集控制平台数据存储管理将已采集的安全事件存放到原始事件库中。42采集控制平台北向接口北向接口是指采集控制平台与 SMP安全策略中心、安全合规管理、安全作业管理、网络安全管理、系统安全管理、安全量化指标管理的双向接口。43采集控制平台控制单元通过配置安全控制规则，安全系统能够对经过设备的数据流进行有效的控制和管理。44采集控制平台控制单元控制平台能够对下发的策略通过完整性算法进行一致性检查。控制平台通过下发数据和查询数据比对方式检查下发数据的完整性。45采集控制平台控制单元主要指控制平台中记录着在线设备运行的规则配置情况，在对在线安全系统配置规则时能够先通过设备的API接口或其他的方式获取在线设备上运行的配置，然后和控制平台中记录在线设备运行的配置进行对比，这样以便保证设备在下发配置的时候保证运行策略和备份策略的一致性。46采集控制平台控制单元实现规则下发前后的冲突检测，能够反映在新增加一条新的规则的时候是否与已有规则有矛盾或冲突，设置错误时控制平台都够记录错误信息并发出告警。47安全量化指标管理量化指标管理安全量化指标管理用于定义安全管理量化的关键绩效评价数据指标 KPI（Key Performance Indicator ），KPI 指标制订应遵循SMART 原则，包括指标的设定应具有良好的具体性 （Specific ）、衡量性(Measurable)、可达性(Attainable) 、相关性(Relevant) 、时限 性(Time-based) 。 48安全量化指标管理量化指标统计量化指标统计是根据指标KPI 定义，从SMP 及其他系统中据，按照量化指标计算方法进行计算，并生成量化指标结果，同时生成集团安全量化指标数据。包括量化指标数据提取、量化指标计算和上报数据生成功能。49安全量化指标管理量化指标数据上报量化指标数据上报主要用于省分侧SMP 通过接口机将量化指标数据上报到集团侧，以便实现集团对各省分量化指标数据的采集。同时为省内其它系统的数据上报提供数据存储与校验服务。 分为集团量化指标数据上报、省内量化指标数据上报、量化指标数据上报跟踪、量化指标数据文件备份50安全量化指标管理量化指标展示省级量化指标数据展现主要用于省公司量化KPI 指标计算出的量化指标结果自查量化指标KPI 的结果进行展现。 包括量化指标计划完成情况统计、量化指标综合统计51纳入资源覆盖范围拓展安全设备安全设备主要覆盖网络安全基础设施（防火墙、防病毒、IDS、IPS、抗DDOS、补丁管理系统）、终端安全管理系统、安全风险评估系统（配置核查、漏洞扫描）、数据安全管控系统、内容安全管理系统等安全防护设备以及安全应用系统。52敏感数据管理数据安全视图展现实现详单等数据安全视图展现53敏感数据管理数据安全资产管理实现详单等数据安全资产管理54敏感数据管理数据安全监控管理实现详单等数据安全监控管理55敏感数据管理数据安全合规检查实现详单等数据安全合规检查本期新购的应用软件的性能要求如下表：序号一级类别二级类别具有性能要求描述1系统安全性信息安全实现平台访问安全、数据使用安全。包括权限管理、接入策略（路由策略、IP等）管理、接口安全、访问安全、防止典型应用攻击、数据安全性管理等内容。2通讯安全要求1、SMP平台产品内部组件之间通讯连接能够支持加密方式；2、SMP平台同其他系统间互通在性能允许情况下支持安全的加密通讯连接3系统性能性能规格1、并发量：支撑安全账号链接并发处理用户数不少于2000个/秒；2、响应时间：安全业务处理接口响应延时（小于0.5秒）；管理接口和页面响应延时（小于2秒）; 3、故障恢复：关键数据损失级别；SMP关键生产应用实例和数据库恢复时间周期不大于5分钟；4、系统容量：至少支撑8万安全账号数的业务处理要求5、满足集团和省公司在工作高峰时期对各种响应的性能需求4兼容性和可扩展性兼容性和可扩展性技术方案具备良好的扩展性、兼容性、可重用性，支持对现有业务支撑网各业务系统（如4A、IPS、IDS、安全网关等接口的适配。4.1.2 系统现有功能配置要求下述功能要求表为系统现在所具有的功能，所有的投标厂商所提供的应用软件功能除提供“4.1.1系统新增功能配置要求”中的功能要求外，还需要提供系统现在所具有的功能；卖方应对以下具体要求进行逐项应答并在技术建议书中对此部分进行详细说明。系统现有应用软件功能的配置清单如下表： 序号功能模块功能描述1安全管理门户实现个人工作台、综合视图管理和系统管理等功能，是安全运营管理系统的访问入口。安全管理门户要求采用B/S架构，提供WEB方式的访问，能够以灵活的展现方式为不同用户角色提供不同功能模块的视图展现。2策略管控中心包含安全策略内容管理和安全策略的生命周期管理，实现基础策略库、策略视图管理、策略创建、策略审批发布、策略执行等功能。3安全资产管理安全资产管理实现资产模型管理、资产信息收集、资产信息管理、资产信息展现等功能。4安全事件管理实现安全事件分析模型、安全事件管理框架、安全事件处理过程、安全事件采集、安全事件分析、安全告警响应等功能。5安全作业管理实现安全作业展现、作业计划创建、作业计划发布、作业计划变更、作业计划核查、数据维护等功能。6符合性管理实现检查模版配置、检查计划发布、检查计划变更、检查计划核查、安全符合性报告等功能7采集平台从各类被管安全资产采集原始数据，为后续的事件分析、处理、预警响应等提供数据来源，包括采集自管理、采集调度管理、数据缓存转发等功能。8控制平台对安全策略管控中心下发的网络控制策略进行转译并下发至安全设备。9集团考核保障采集/收集集团考核所需数据，进行格式翻译，通过统一接口上报集团。4.2 安全防护要求为保证系统及其处理数据的机密性、可用性和完整性，卖方在基础网络、设备自身安全及同步纳入安全支撑系统等多方面满足如下要求：4.2.1 基础网络安全系统须纳入公司整体边界整合和安全域划分的统一规划中，如属于网络管理系统、业务支撑系统和管理信息系统等支撑系统，需按照《中国移动支撑系统安全域划分与边界整合技术要求》，纳入黑龙江移动统一支撑系统安全域中进行集中防护；系统完成部署后，需要提供完整的设备清单，并需提供与现网一致的，包含设备机房、IP地址等信息的详细拓扑图。4.2.2 设备自身安全系统内包括的主机设备、网络设备、安全设备、数据库软件、应用软件等设备和软件，需要具备《中国移动设备通用安全功能和配置规范》等系列规范的安全功能要求，满足规范中必选、可选项目的配置要求，完成配置后需提供完整的设备安全配置清单。目前集团公司最新规范包括《中国移动AIX操作系统安全配置规范》、《中国移动Apache安全配置规范》、《中国移动BIND域名解析软件安全配置规范》、《中国移动CheckPoint防火墙配置规范》、《中国移动HP-UNIX操作系统安全配置规范》、《中国移动IIS服务安全配置规范》、《中国移动Informix数据库安全配置规范》、《中国移动JUNIPER路由器安全配置规范》、《中国移动MSSQL数据库安全配置规范》、《中国移动NETSCREEN防火墙安全配置规范》、《中国移动Oracle数据库安全配置规范》、《中国移动SOLARIS操作系统安全配置规范》、《中国移动Tomcat Web服务器安全配置规范》、《中国移动Windows操作系统安全配置规范》、《中国移动安氏防火墙安全配置规范》、《中国移动操作系统安全功能规范》、《中国移动华为防火墙安全配置规范》、《中国移动华为路由器安全配置规范》、《中国移动设备通用安全功能和配置规范》、《中国移动数据库设备安全功能规范》、《中国移动思科防火墙安全配置规范》、《中国移动思科路由器安全配置规范》等22个规范。4.2.3 系统整体安全系统内所有软件均需为正版的商业软件，具备软件版本和授权；在系统交付使用前，确保已删除与应用无关的软件和进程，所有端口和服务按照最小化原则进行配置，完成部署后需要提供系统详细的端口和服务开启及用途列表清单；系统内所有帐号口令的申请、使用和管理需要满足《中国移动黑龙江公司帐号口令管理办法》的要求，所有设备和软件具备帐号分级授权，系统具备密码强制检查功能，能自动拒绝创建不符合口令规则的口令，程序间帐号不应固化在程序中；管理操作应能通过SSH等具有加密功能的协议实现；对于针对系统设备及应用的操作，应具备详细的日志记录功能，日志文件采用标准化的格式进行记录，以支持第三方审计系统的要求，日志内容至少包括：用户操作时的用户识别符、登陆时间，注销时间，事件发生的日期和时间事件内容或操作结果，需要明确本地日志存储的时间，需改变默认的日志记录目录，并提供详细的说明文档；要求帐号口令、操作等信息在网通信链路中的传输采用加密方式；系统可根据需要，进行网络链路、主机、数据库及应用的冗余部署，建立灾难备份中心；在系统交付使用时，应提供本系统典型安全事件的应急处理预案，应急预案要求与本系统设备相关，具有可执行性；系统内如存储客户通话记录等敏感信息，应提供敏感信息产生、处理、存储和应用等信息生命周期的视图，并需提供对敏感信息有效控制的技术实现方案；系统上线前需进行全面的安全扫描并完成加固，安装公司统一的防病毒产品，安装所有需要的安全补丁，提供系统补丁安装清单，并提供扫描及加固风险清单；需要项目组成员稳定，人员发生变动时进行提前申请。4.2.4 与安全技术支撑系统接口黑龙江移动建设有公司统一的帐号口令集中管理系统（4A）、IDC/ISP信息安全管理平台、移动上网日志留存系统、终端安全管理系统、防病毒系统和补丁管理系统等安全技术支撑系统，系统需具备与上述安全技术支撑系统的接口，并需配合进行接口和稳定性的调试，并应在系统上线的同时，纳入到安全技术支撑系统中进行统一管理。4.2.5 系统信息安全系统重要信息加密存储、发布内容有严格过滤监控机制，防止发布不良信息。4.3 其他要求卖方在技术功能、交互设计、系统架构、信息安全、管理措施等方面若有较领先、创新或极大实用性的亮点可单独补充描述。本期系统主要满足业务支撑网SMP建设需求，但系统架构设计应可以提供黑龙江移动网络管理部和信息技术支撑服务部共同使用，当集团公司网络部和管信部下发新技术规范时，可以平滑扩展和增加相应功能。 第5章 工程管理和实施5.1 工程实施进度表卖方应根据实际情况，提供正规工程的实施进度计划，包括需求调研、应用开发、系统并运行、系统安装、系统联调、系统测试、系统验收等的时间进度安排。5.2 工程人员安排卖方应按照工程进度的安排提供各阶段各类工程服务人员（驻买方现场服务模式）的数量名单，驻场人员数量不低于8人；若存在第三方公司的参与，应列出本公司与第三方公司的人员比例，相应的人员的资质水平及本地化程度。5.3 系统割接测试计划卖方应提供完善可行的割接测试计划，包括同外围系统的接口联调计划、并运行系统的运行计划、系统测试计划、系统整体上线计划等。各种计划请具体到个人以及每个人的工作安排等。5.4 数据迁移计划请卖方提供系统数据移植计划，说明系统怎样同现有业务数据进行整合，整合的采用的技术手段、数据一致性的保障措施、数据整合的整个步骤等。5.5 日常开发请卖方提供常驻买方现场的日常开发人员数量，以及相关人员的资质证明，和人员的分工说明。5.6 初步验收初步验收是按照整个工程项目为一个整体进行初步验收，应用软件做为工程项目中的一项内容进行初步验收；卖方完成应用软件现场安装调测开通一个月后，可提交应用软件的初验报告以及应用软件验收规范书，买方有权根据实际情况对应用软件验收规范书进行修改和完善。在软件安装、技术指标、系统功能等测试满足验收规范书的要求后，买方出具针对应用软件的初验报告，按程序进行应用软件的初验移交。5.7 最终验收最终验收也是按照整个工程项目为一个整体进行最终验收，应用软件做为工程项目中的一项内容进行最终验收。应用软件在初验结束后将进行三个月的试运行。试运行结束后，如果应用软件系统的设备性能和业务功能满足买方要求，卖方应提交针对应用软件的终验报告和试运行报告。卖方提交的试运行报告，内容包括所有数据记录和故障处理过程。买方认可试运行报告后将签署最终验收文件。若在此期间买方有任何软件修改或系统设计上修改需求，卖方应迅速通过升级补丁程序解决。同时有任何质量问题发生，卖方应免费提供维修和更换服务。试运行期将从修复运行之日起顺延六个月，以后照此办理。5.8 工程实施（1）卖方集成范围：卖方负责本次提供的软件的安装、调试、资源申请和配置（公私网IP、VLAN、路由协议、安全策略、本侧传输资源等）、网络割接、全网联调、全网开通和试运行，以及在保修期内的相关服务内容；同时卖方必须配合应用软件厂家进行黑龙江移动自有业务系统通信接口的连接、配置和开通服务，以及安全、软硬件资源调配等方面工作；（2）卖方在具备集成条件(全部硬件设备上架)后，必须在收到中标通知书后20日内完成系统上线，并具备试运行条件。（3）卖方需提供详细的应用软件集成方案，包括项目人员及进度安排、关键点控制、安全控制、组网方案、软件架构、软件功能、软件参数配置、软件接口及其协议等。卖方应根据项目集成方案准确计算及列出所需各类资源(人员数量、资质，工具软件数量、技术指标等)；?本项目集成需要配备1个独立的项目集成小组，以保证整个项目集成的顺利实施。?集成项目小组配备不少于8人。?专家应具有两年以上系统集成维护经验，熟练掌握网络设备或相关系统操作技巧，具有相应的网络或系统操作经验，由卖方提供相关资历证明，并经买方认可。?项目组成员必须稳定，若因特殊原因需调整，需经买方同意。?卖方提供的产品中的第三方产品，若出现技术上或法律上的纠纷，应由卖方全权解决，确保不影响项目集成进度。?在集成实施的全过程中，买方有对项目进度进行监督控制的职责和权利，卖方应全面配合，确保人力、物力的定量投入，并每两周向招标人提交最新资料。（4）卖方应该确保所提供的软件产品，在架构设计、程序接口等方面具有开放性，并提供相应的书面说明，以确保买方可以据此进行二次定制开发及功能扩展。有涉及到产品专利和技术机密的模块除外，但要求卖方必须明确哪些产品或者模块是涉及到产品专利和技术机密，给出相关产品或模块的详细列表，并具体说明不适合公开、不能够做到开放性的原因；（5）卖方也可根据自己产品的特性，给出相应的软件稳定性、扩展性方面的建议，并给出相应的理由说明。第6章 售后服务6.1 保修期系统终验后二年为系统保修期。若在保修期内遇系统替换，卖方有义务在保修期内配合完成数据、功能迁移工作。6.2 维护内容系统软、硬件、网络结构属于系统维护内容。系统维护应在买方要求的时间内解决。（1）保修期内的维护和服务内容?卖方须组建一支技术支持队伍。该队伍将由专人负责，由经过认证的高级工程师和工程师组成，以保证各种技术难题的及时解决以及随时响应买方的需求。?填写维护报告，将整个维护过程记录存档，交请买方确认。?定期维护：根据故障预防计划与买方协商安排时间表，按此时间表对设备进行定期维护，以确保设备的正常工作。每月对关键应用设备执行巡检,每半年对所有设备执行巡检，并向买方提交巡检报告并请买方人员签字。?不定期维修：卖方接到买方故障通知（电话或传真）后，在约定的故障响应时间内，维修工程师到达故障现场，对有故障的部件进行免费维修或更换。?故障处理完成后需请买方维护人员在故障报告上签字。?现场支持：卖方的系统工程师到达现场，对系统进行软硬件维护，同时应回答买方有关人员提出的问题，以协助买方的技术人员熟练使用和管理系统。?卖方每月提交月度服务报告，同买方维护人员进行技术交流并签署月度服务报告；每半年同买方召开服务工作会，总结服务工作执行情况，向买方提交优化建议，在征得买方同意的情况下实施系统的优化。?卖方工程师每次服务后，应递交相应的技术服务报告，对问题和解决方法作详细描述。每月一次与买方一起作技术支持总结。所有技术服务的记录和报告都将存入买方档案。?与其它合同伙伴的密切配合，以保证买方工作的顺利进行。（2）保修期后的维护和服务内容卖方将继续对系统进行咨询、电话解答、书面解答、远程拨入分析等服务。与其它合同伙伴的密切配合，以保证买方工作的顺利进行6.3 维护要求卖方提供的技术支持和现场维护服务级别必须是卖方为客户提供的维护服务中的最高级别。卖方应在黑龙江省成都市设立办事机构或分公司。卖方需提供该机构或分公司的人员组织。对于系统一般问题，卖方应提供7×24小时本地电话技术热线支持，并可根据买方要求和实际情况到买方现场提供服务；对于系统重大问题（如硬件系统宕机、软件系统崩溃等），卖方应提供7×24小时现场服务，并在1小时内到达现场。卖方应提供正常工作时间（星期一至星期五，上午9点至下午6点）的电话技术支持和7×24小时WEB技术服务支持。 第7章 培训和技术文件7.1 技术培训 卖方应提供必要的技术培训和现场安装时的现场培训，让受训人员能够独立进行日常的运行维护工作，并能鉴定和处理系统的一般性故障。培训课程应针对卖方提供的应用软件所涉及到的所有软硬件和整个系统。卖方提供3人次的CISA认证培训，参加认证人员、培训认证时间以及认证人员的差旅费、住宿费用由买方负责，卖方负责认证人员的培训费、考试费；7.2 培训计划卖方应提供详细的培训计划。培训计划中应说明培训的方式、内容、人数、时间、地点、课程安排及费用等问题。7.3 技术文件卖方应提供系统平台软件的全套技术文件、说明书等文件资料，包括技术文件、系统文件、软件系统技术文件、安装调测文件、维护操作文件、接口协议文件和买方认为必要的其它相关技术文件，并提供系统操作、安装及维护手册。提供的技术文件应与提供的应用软件相一致，技术文件应该全面、完整、详细；提供的技术文件应能够满足应用软件安装、使用、维护、应用开发的需要；文档和资料应提供电子文档和纸面文档，文件格式为Word文档或PDF文档或其他可视化文件。7.4 技术文件修改技术文件内容要与提供的应用平台软件一致，在双方商定的某一时期内由于软件的修改而导致文件的任何修改，卖方均应提供修改或补充的印刷文件。7.5 系统升级卖方若进行应用软件升级，需同时提供相应的技术文件和资料。第8章 其他当买方有新建议，而本规范又尚未包括或和本规范不符时，则应符合买方新建议的要求；对于买方尚未有标准的，而本规范又未提及的部分，卖方提出其标准，留待双方认可后执行。本次应标厂商如若存在与其它厂家的合作关系，请澄清双方职责分工，就服务内容、工程实施、软硬件产品维保等内容做详尽的责任分工界面，合作的下放厂商应针对在本工程所担任的角色分工，出具相关资质证明。在保修期内，本系统须无条件遵循中国移动集团公司最新颁布的技术规范和业务规范。亦即在保修期内，若遇中国移动集团公司颁布新的技术规范和业务规范，集成商应及时给予免费升级，以保证本系统的技术和业务规范符合集团公司的要求。 在终验后的一年免费保修期内提供7*24小时本地工程师技术支持。 合同文本采用黑龙江移动合同范本，如果合同文本中与本规范不一致的内容，买方有选择权。卖方承诺遵守《中国移动通用网络与信息安全责任条款》和《保密协议》。本技术规范书最终解释权归黑龙江移动所有。