黄河农村商业银行终端安全管理准入控制招标公告
黄河农村商业银行终端安全管理准入控制招标公告
| 序号 | 内容 | 功能 |
| 1. | 网络准入控制基本要求 | 1)支持用户接入网络时,必须对终端设备进行认证,通过认证后才能接入网络。 |
| 2. | 2)支持基于802.1X准入认证的管理,当未认证终端接入网络,能够自动发现并阻断其联网。待终端安装认证程序后,才能连接网络,包括有线环境802.1x与无线环境802.1x。 | |
| 3. | 3)支持LAN/WAN/VPN/HUB等环境下的网络准入控制。 | |
| 4. | 4)支持端口镜像、DHCP、FAKE DNS、策略路由、Eou、Portal方式准入,且以上方式均要求支持无代理准入和有代理准入。 | |
| 5. | 5)支持身份验证凭据与计算机MAC地址、接入交换机端口号、客户端软件随机认证码、终端硬件唯一ID、认证用户等进行灵活绑定,并可以满足一对多、一对一、多对一、多对多绑定。 | |
| 6. | 6)支持对接入网络的终端进行安全检查。 | |
| 7. | 7)支持移动智能终端。包括对iPad、iPhone、Android设备的准入管理等。 | |
| 8. | 8)支持对未安客户端软件的终端通过Web与邮件重定向方式的提醒,提醒内容需要包括接入失败的准确原因。 | |
| 9. | 9)支持未认证通过用户入网时进行阻断,能够提供web重定向和邮件提醒,提醒内容需要包括接入失败的准确原因。 | |
| 10. | 10)支持对未通过终端安全检查的终端通过Web与邮件重定向方式的提醒;提醒内容需要包括接入失败的准确原因。 | |
| 11. | 11)需要针对外来用户、不同单位用户的临时接入进行管理。当外来用户或不同单位用户需要临时接入网络时,可以授权管理员或合法用户进行登记、授权、放行。放行可针对MAC、IP、时长等进行控制。外来临时接入终端,没有安装客户端的情况下,在提醒的Web页面中输入放行代码后,可获得指定时长与指定权限的网络访问。可以预先定义不同的访客级别,根据级别自动授权相应的网络权限与访问时长,其访客级别根据输入的访客代码自动判断、自动应用;访客放行支持通过访客码的方式和短信验证的方式; | |
| 12. | 12)支持通过HTTP和POP3方式提醒访客输入访客码,或提醒未安装Agent的终端安装Agent。 | |
| 13. | 13)支持Windows、Linux客户端的网络准入,在接入设备上安装Agent软件,实现准入认证。 | |
| 14. | 14)为满足移动办公的需要,支持无线智能终端的802.1x接入认证,要求在安装IOS/Android/WP等中实现无客户端的802.1x准入认证; | |
| 15. | 15)支持网络打印机等无法安装Agent软件的设备接入,依据设备的MAC地址或IP地址信息进行验证。 | |
| 16. | 16)需在有线环境下支持Cisco、华为、锐捷、迈普二层交换机和三层交换机的ACL动态下发,在无线环境下,至少需要支持Cisco/Aruba/h3c /netgear/ruckus等主流品牌的准入控制。 | |
| 17. | 17)支持在windows环境下的客户端上的无线802.1x认证,无线802.1x认证不能依赖微软内置的802.1x,需在客户端上自动选择自动认证,同时支持有线的802.1x和无线的802.1x自动适应,即在有线环境下客户端自动认证,切换到无线环境下客户端同样自动认证无需人工干预。 | |
| 18. | 18)当用户电脑接入故障时,能向用户进行提示以方便用户进行简单的故障排除,需要对所有用户接入网络的行为进行审计,内容至少包括:用户名、设备IP地址、设备名称、接入时间、所属部门、连接的交换机、连接的交换机端口等; | |
| 19. | 19)准入系统需要保持开放性,802.1x技术需要兼容主流网络设备品牌,至少包括:Cisco/h3c/huawei/juniper/Nortel/HP/中兴/迈普/锐捷等; | |
| 20. | 20)准入系统后台提供网络ip地址池图表 | |
| 21. | 21)准入系统后台提供每日入网报告、每周入网报告、每月入网报告 | |
| 22. | 22)基于IP范围的准入控制策略,如果终端未安装客户端,源IP地址访问目的域内所有地址,都将会被重定向;支持根据访问安全域的不同,对终端采用不同的认证方式。 | |
| 23. | 23)支持对终端入网状态分析与统计。在页面中,至少集中显示设备的接入、注册、入网、离线、访客状态5个状态,支持图形显示。 | |
| 24. | 24)支持旁路监听控制模式,即使认证系统完全崩溃后不会对现有网络造成任何影响。 | |
| 25. | 补丁及文件分发要求 | 系统自动建立补丁库,支持补丁库信息查询。 |
| 26. | 系统补丁分级分类管理。 | |
| 27. | 系统提供补丁页面,供管理员自行查询。 | |
| 28. | 系统具备随时了解网络终端的补丁安装状况,并可在服务器端强制为未打补丁的计算机安装补丁。 | |
| 29. | 可以进服务器向终端分发普通文件,分发可执行文件并可以自动运行。 | |
| 30. | 提供文件分发路径的选择,支持自定义相应路径进行文件分发。 | |
| 31. | 支持静默推送指定业务软件补丁。 | |
| 32. | 分发补丁时,桌面管理系统至少从服务器分流和限速两方面,来实现在终端下载补丁、文件时,减少对服务器造成的压力。 | |
| 33. | 终端基本安全要求 | 病毒软件辅助管理:能够识别终端安装的主流防病毒软件,并能够监控到杀毒软件版本号 |
| 34. | 对尚未部署防病毒软件的计算机进行告警并阻断联网 | |
| 35. | 支持控制外设的使用、启用或禁用,软驱、光驱、U口、U盘、打印机、MODEM、串口、并口的使用等。可以区分USB存储设备及其他USB设备。支持对开启、关闭硬件的行为审计并上报至服务器。支持对安卓设备、苹果设备、WP设备的禁用支持对非标准USB存储协议的禁用(WINDOWS MOBILE/APPLE/ANDROID MTP/第三方同步工具如豌豆荚usb转FTP)。 | |
| 36. | 终端IP/MAC绑定功能:终端IP与MAC地址进行绑定,终端计算机不能随意修改IP地址。 | |
| 37. | 进程执行监控功能,可控制进程/服务启用或禁止,并且给予告警。 | |
| 38. | 软件执行监控功能,可对软件的安装进行管理。 | |
| 39. | 支持对终端违规接入(例如通过MODEM、无线网卡、ADSL、离线等方式)互联网络的监控行为;支持对接入其他内网中未授权网络行为的监控,并对其行为做出相应的处理。 | |
| 40. | 支持多种策略的组合应用,提供对所有终端计算机的按的按IP、设备类型、操作系统、设备名称、设备所在部门进行管理。 | |
| 41. | 实时检测终端软/硬件设备变化情况 | |
| 42. | 对指定义的重要进程进行守护,防止由于意外或人为原因造成重要进程中断 | |
| 43. | 对终端进行统一的防火墙设置,对网络IP及协议访问进行限制,在网络内建立虚拟的终端隔离区 | |
| 44. | 支持细粒度的流量管理和控制,支持从终端上实现对流量管理、控制、统计:控制终端流量阈值,超过阈值自动断网;支持发现终端的可疑发包、可疑并发连接数。 | |
| 45. | 支持批量创建、修改、删除、修改终端注册表信息,实现注册表安全管理。 | |
| 46. | 可精确地对选定的对象或个人进行消息传送 | |
| 47. | 系统弱口令管理:系统可以对终端的密码使用状况包括密码长度、安全性、弱口令等方面进行审计检查及报警,同时对不符合要求的终端进行提示或强制修改等处置。管理员可以在Web控制台对终端用户的开机和屏保密码进行管理,使用户的密码符合相应的权限 | |
| 48. | 系统可以对终端的管理员权限变化进行审计报警,保证其管理权限不被私自修改,已达到防止病毒及黑客行为的作用。 | |
| 49. | 支持对设备生命周期管理,包括终端的的注册、卸载信息、报警信息。 | |
| 50. | 需要针对关键岗位的终端进行屏幕录像。要求可以设定录像的时间间隔、区间。 | |
| 51. | 远程协助要求 | 支持终端点对点远程登录协助支持 |
| 52. | 提供终端点对点控制管理功能:能够对设备的实时硬件信息,软件信息,运行进程进行监控,并可以远程直接结束终端进程 | |
| 53. | 能够对终端进行硬件资产、运行资源、终端安全审计等操作进行监控。 | |
| 54. | 移动存储介质管理要求 | 可以对普通U盘进行认证,没有认证的U盘无法接入到单位内部网络 |
| 55. | 限制已认证的U盘的使用权限将已认证的U盘设置为只读 | |
| 56. | 审计U盘的操作动作例如:U盘点插入、拔出、以及审计U盘的拷入拷出文件动作 | |
| 57. | 支持部门一的U盘不能在部门二使用,外单位U盘不能在本行使用。 | |
| 58. | 支持根据安全域等级不同,支持在U盘数据分别实现只读、读写、不可用三种控制方法 | |
| 59. | 安全审计功能要求 | 文件监控功能:可以实现对指定的文件/文件夹进行保护、审计及监控;支持对设定目录文件的操作控制、审计,包括文件创建、打印、读写、复制、改名、移动等的记录 |
| 60. | 可以通过黑白名单设置允许上网和禁止上网的网址达到上网控制的功能 | |
| 61. | 支持对主机发送的邮件进行控制。并审计发送的邮件地址、IP等信息进行控制审计和记录。 | |
| 62. | 支持用户自主设定的敏感信息查询条件,设定对指定目录或盘符下的指定类型文件进行内容检查,检查其是否包含敏感内容,支持对发现的敏感信息进行自动分类、自动统计、自动移动到专用的业务敏感信息保险柜。 | |
| 63. | 需要支持最新版本的QQ/MSN/fetion/ AiWawa/Reuters(路透软件)/微信(网页版)等即时通讯工具的禁止与审计; | |
| 64. | 需要支持最新版本的QQ/MSN/fetion/ AiWawa/Reuters(路透软件)/微信(网页版)等即时通讯工具的聊天记录、聊天截图、发送附件、接收附件通过在线和离线方式上传到后台文件服务器进行审计; | |
| 65. | 需要支持即时通讯关键字(按照部门或群组设置不同的关键字)告警;通过邮件进行告知管理员; | |
| 66. | 统计报表功能:系统可以自动生成各项审计信息及报警信息的统计报,以便于管理员进行查询统计。 | |
| 67. | 终端审计及报警要求 | 支持XP、win7、64位操作系统终端注册与管理 |
| 68. | 支持级联方式管理,连接一级管理中心与下级管理中心以后,可以将全网的数据整体的展现在管理人员的面前 | |
| 69. | 安全预警功能:根据实时监测到的网络中所有节点设备的安全信息,预警网络安全事件发生。 | |
| 70. | 安全管理功能:统一发布管理中心的相关安全管理规范、安全组织体系、安全宣传资料以及最新安全动态等信息。 | |
| 71. | 数据保护要求 | 与第三方交互文件过程中,要求对文件、数据进行保护,保护文件、数据安全性,限制第三方人员访问数据时的权限。可以限制的权限包括指定打开文件的终端、控制修改、打印操作,限制使用时间、打开文件次数,过期自动销毁,以及显示水印。 |
| 72. | 对终端存放大量重要数据进行保护,只有授权的用户才能访问存放重要数据的业务敏感信息保险柜;支持终端用户手工调整业务敏感信息保险柜的容量;支持自定义可访问本地安全虚拟磁盘的应用程序;支持对存储在终端上的业务敏感信息保险柜中的文档进行复制操作时限制每次复制的字节数、每分钟复制的最大字节数或禁止复制;支持访问业务敏感信息保险柜中的数据时自动加载数字水印;支持数字水印内容至少包含登录账户名、登录IP地址、MAC地址、登录时间等信息;支持数字水印内容至少包含字体大小、字体类型、字体颜色、字体透明度、字体行间距等属性自定义设置; |
(四)部署及硬件基本要求
本次项目共需为核心网和测试开发网布设,核心网需布设4台硬件设备(服务器另计),在满足至少5000个用户接入时,系统性能良好,不能造成网络设备性能下降。
开发测试网布设2台硬件设备(服务器另计),在满足至少1000个用户接入时,系统性能良好,不能造成网络设备性能下降。
本项目硬件产品可以采用专用一体机,也可以采用专用网关加通用服务器模式,但必须满足或高于如下要求:
1、联软设备要求(采用专用一体机模式)
| 序号 | 指标项目 | 要求描述 | 数量要求 |
| 1. | 核心网准入及桌面系统硬件参数 | 品牌:联软 | 满足两两互备,负载均衡及HA布设模式 |
| 型号:leag view7500 | |||
| 数量:4台 | |||
| 参数:2U机架式,至强cpu;16G内存;硬盘:read后可用容量不低于2TB;1 serial port (RJ45)1 VGA2 USB 2.0-compliant4 Network Ports;支持2个1000M网口;冗余电源;支持最大用户数为5000个; | |||
| 布设HA及负载均衡所用软硬件。 | |||
| 2. | 设备部署方式 | 1)支持端口镜像方式部署; | |
| 2)支持策略路由方式部署; | |||
| 3)支持透明网桥方式部署; | |||
| 4)要求准入系统和桌面后台系统必须冗余部署 | |||
| 3. | 通用软件 | 1)机器使用的操作系统及数据库等软件必须为正版授权; | 操作系统、数据库、应用软件、HA等软件需为正版 |
| 2)采用开源系统及软件的,需有正规来源,无版权风险 |
| 序号 | 指标项目 | 要求描述 | 数量要求 |
| 1. | 测试开发网准入及桌面系统硬件参数 | 品牌:联软 | 满足负载均衡及HA布设模式 |
| 型号:leag view7200 | |||
| 数量:2台 | |||
| 参数:1U机架式,至强cpu;8G内存;硬盘:read后可用容量不低于1TB;1 serial port (RJ45)1 VGA2 USB 2.0-compliant4 Network Ports;支持2个1000M网口;冗余电源;支持最大用户数为2000个; | |||
| 布设HA及负载均衡所用软硬件。 | |||
| 2. | 设备部署方式 | 1)支持端口镜像方式部署; | |
| 2)支持策略路由方式部署; | |||
| 3)支持透明网桥方式部署; | |||
| 4)要求准入系统和桌面后台系统必须冗余部署 | |||
| 3. | 通用软件 | 1)机器使用的操作系统及数据库等软件必须为正版授权; | 操作系统、数据库、应用软件、HA等软件需为正版 |
| 2)采用开源系统及软件的,需有正规来源,无版权风险 |
2、北信源硬件设备要求(采用专用网关加通用服务器模式)
| 序号 | 指标项目 | 要求描述 | 数量要求 |
| 1. | 核心网准入及桌面系统硬件参数 | 品牌:北信源 | 满足两两互备,负载均衡及HA布设模式 |
| 型号:VRV-BMG-5000 | |||
| 数量:4台 | |||
| 参数:2U机架式,4个千兆业务电口,2个千兆业务光口,1个百兆带外管理电口,1个百兆扩展电口,2个USB口,1个console配置串口,背板带宽1Gbps,支持200万并发连接数,每秒新建连接40000个,支持最大用户数为5000个;最大无故障运行时间不低于80000小时;冗余电源 | |||
| 布设HA及负载均衡所用软硬件。 | |||
| 2. | 设备部署方式 | 1)支持端口镜像方式部署; | |
| 2)支持策略路由方式部署; | |||
| 3)支持透明网桥方式部署; | |||
| 4)要求准入系统和桌面后台系统必须冗余部署 | |||
| 3. | 通用服务器 | 品牌:华为 浪潮 | 市场主流服务器,近三年出产 |
| 数量:2台 | |||
| 参数:2个英特尔至强处理器 2.4GHz或以上,每个处理器6核以上;read后硬盘容量不低于1TG;8G内存或以上;采用标准机架式2U设备;冗余电源;实现双机热备(HA) | |||
| 4. | 通用软件 | 1)机器使用的操作系统及数据库等软件必须为正版授权; | 操作系统、数据库、应用软件、HA等软件需为正版 |
| 2)采用开源系统及软件的,需有正规来源,无版权风险 |
| 序号 | 指标项目 | 要求描述 | 数量要求 |
| 1 | 测试开发网准入及桌面系统硬件参数 | 品牌:北信源 | 满足两两互备,负载均衡及HA布设模式 |
| 型号:VRV-BMG-1000: | |||
| 数量:2台 | |||
| 参数:2U机架式,4个千兆业务电口,2个千兆业务光口,1个百兆带外管理电口,1个百兆扩展电口,2个USB口,1个console配置串口,背板带宽200Mbps,支持80万并发连接数,每秒新建连接数20000个,支持最大用户数为1000个;最大无故障运行时间不低于80000小时;冗余电源 | |||
| 布设HA及负载均衡所用软硬件。 | |||
| 2 | 设备部署方式 | 1)支持端口镜像方式部署; | |
| 2)支持策略路由方式部署; | |||
| 3)支持透明网桥方式部署; | |||
| 4)要求准入系统和桌面后台系统必须冗余部署 | |||
| 3 | 通用服务器 | 品牌:华为 浪潮 | 市场主流服务器,近三年出产 |
| 数量:2台 | |||
| 参数:2个英特尔至强处理器 2.4GHz或以上,每个处理器6核以上;read后硬盘容量不低于500G; | |||
| 4G内存或以上;冗余电源 | |||
| 4 | 通用软件 | 1)机器使用的操作系统及数据库等软件必须为正版授权; | 操作系统、数据库、应用软件、HA等软件需为正版 |
| 2)采用开源系统及软件的,需有正规来源,无版权风险 |
(五)产品要求
1.准入控制设备:要求具有冗余功能;
2.硬件产品及所安装的系统软件如:操作系统,数据库必须为正版软件,且满足本次招标需求并按产品分项报价;
3.以上硬件参数必须要满足,如果不满足视为不满足招标参数废标。以上软件及功能要求,必须全部满足,如不满足,必须由厂商提供现场开发,开发周期不得长于2个月,完成所有功能开发前不付项目预付款。如果逾期未实现本技术指标中所列功能,投标商需支付罚款10万元人民币以上并解除合同。
4.产品稳定性:金融行业用户20家以上,提供用户列表详细清单;提供5份以上规模5000点以上用户使用证明文件,并提供联系电话。证明文件可以为:验收报告或用户签字盖章的满意度评价。
(六)技术服务、培训及应急响应
1.需要提供1年7*24的免费上门服务,遇到突发事件,需要在服务响应时间内到达事故现场,以便于为客户提供完善、及时的售后服务。保证系统在突发情况下得到及时救援及恢复。
2.必须提供1年7*24小时原厂800电话支持;应急服务紧急事件3小时内响应,最大限度减少损失;
3.提供1年期一个技术人员现场服务,按照甲方作息时间在甲方指定场合上班,服务人员需为本项目施工人员中的一人;
4.必须提供产品相关的使用操作和技术培训,并有相关文档;
5.提供原厂工程师现场安装服务与现场培训;
6.需要提供原厂售后服务承诺函,作为合同附件。
(七)终端安全管理及终端准入实施方案
1.投标方项目实施团队成员及成员资质介绍;
2.投标方需提供终端防护项目的完整项目计划及项目各个阶段的项目文档及成果;
3.投标方针对本次终端安全管理及终端准入项目的管理改善建议和指导,作为项目交付文档提供;
4.终端安全管理及终端准入项目实施后的总结和后续建议及规划;
(八)应标要求及说明
1.甲方将参照潜在中标结果,按照潜在中标人先后排名顺序对潜在中标人的投标产品进行测试,必须完全满足甲方需求方可确定为最终中标人。若测试结果不能满足甲方的需求,将选取排名次之的潜在中标人的投标产品进行测试,直到满足甲方需求即宣布为最终中标商。
2.对照以上招标文件技术规格和要求,必须逐条说明所提供货物和服务已对议标人的技术规格和要求做出了实质性的响应,或申明与技术规格和要求条文的偏差和例外。特别对于有具体参数要求的指标,投标人必须提供所产品的具体参数值。
3.所投软硬件产品必须提供分项报价。
二、资质要求
参加投标的公司必须具有独立的企业法人,注册资金1000万元以上(含1000万),正常经营满三年,具有良好的商业信誉和健全的财务会计制度,具有履行合同所必需的设备和专业技术能力,没有处于被责令停业,财产被接管、冻结,破产状态,与其他企业或我行合作过程中无不良记录。
具有公安部颁发的计算机信息系统安全专用产品销售许可证;国家保密局涉密信息系统产品检测证书;如果投标产品为软件产品,则必须具有产品的著作权证书;产品其他资质证书等;投标方如是集成商必须获得厂商的项目授权书正本;必须提供上述有效证书的复印件并加盖原厂公章。
投标单位在报名时需携带以下资料:
1.企业营业执照、组织机构代码证、税务登记证、计算机信息系统安全专用产品销售许可证、国家保密局涉密信息系统产品检测证书和产品著作权证书的原件及复印件;
2.企业法人针对本次项目授权委托书原件;
3.企业法人、代理人身份证原件及复印件;
4.参加投标的单位必须提供原厂针对本次投标的原厂授权函原件及复印件;
5.投标方需提供所投品牌原厂2名(含)工程师现场实施服务;所供货品、板卡、模块、软件等所有设备均需提供原厂标准期维保服务;
6.所投设备原厂维保服务承诺函;
7.出具所投标设备与我行设定参数偏离表;
8.代理人和工程师社保缴费证明。
所提供的复印件必须加盖行政公章。
三、报名时间及地点
报名时间:报名企业须在2014年12月15日上午11:00前将企业资质资料送交黄河农村商业银行行政部进行资格审核及报名(不接受电话报名)。如符合资质的投标人不够三家,则公告期自动顺延。
报名审核人:王强
电话:****-*******
报名监督电话:****-*******
报名地点:银川市兴庆区解放西街35号黄河农村商业银行24楼行政部
四、标书发放
本项目每个标段收取招标费200元(不予退回),每个标段投标保证金200,000元(开标后,未中标企业予以退回)。报名企业资质审核完成后,黄河银行招标办将电话通知符合条件的投标人凭缴费凭证领取招标文件。
缴费账户信息:
(一)保证金账户
户名:黄河农村商业银行(投标保证金)
账号:********93708
开户行:黄河农村商业银行营业部
(二)招标费账户
户名:其他应付款——招标费
账号:********46153
开户行:黄河农村商业银行营业部
五、投标及开标
具体开标时间、地点另行通知。
六、中标原则
在招标人价格承受范围内,且满足招标人所有需求的情况下,坚持最低价中标原则。
七、履约保证金
未中标企业的招标保证金在开标后全额退回。中标企业投标保证金自动转为履约保证金,履约保证金在中标人供货完成经验收合格后一个月内退还;但如果此时存在合同争端并且未能得到解决,那么履约保证金的有效期延长到争端最终解决完毕。
八、付款方式
项目在合同要求时间内实施完毕,验收合格后付75%款项,验收合格后半年后支付20%,维保期结束后支付5%。
九、其他
(一)不论投标人是否入围投标或是中标,投标所发生的有关费用均由投标方承担,招标方不支付任何费用。
(二)确定中标单位后,黄河农村商业银行与其签订合同。
(三)本次招标相关要求,以黄河农村商业银行最终发出的标书为准。
(四)本公告由黄河农村商业银行负责制定、修改,最终解释权属黄河农村商业银行。
黄河农村商业银行
2014年12月8日
标签:
0人觉得有用|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
