内蒙古广播电视台整备系统及媒资系统网络安全整改项目公告
内蒙古广播电视台整备系统及媒资系统网络安全整改项目公告
| 项目名称 | 内蒙古广播电视台整备系统及媒资系统网络安全整改项目 | 企业名称 | 内蒙古广播电视台 | 发布时间 | 2023-11-28 |
| 类型 | 招标公告 | 项目实施地 | 呼和浩特 | 所属行业 | 科教文卫 |
| 项目核准文号 | 无 | 资金来源 | 自有资金 | 开标时间 | 2023-12-02 09:30 |
内蒙古广播电视台
整备系统及媒资系统网络安全整改项目公告
内蒙古广播电视台采用竞争性谈判采购方式采购整备系统及媒资系统网络安全整改项目,欢迎符合资格条件的供应商前来报名参加。
一、项目概述:
1、名称:内蒙古广播电视台整备系统及媒资系统网络安全整改项目
2、项目预算金额:******元
3、项目期限:项目实施计划1个月内完成项目建设,包括设备部署及试运行。
4、项目技术要求:项目技术要求后附
技术参数(服务)解答联系人:马利民
联系电话:186*****044
二、供应商的资格要求
1、供应商须符合《中华人民共和国政府采购法》第二十二条规定条件;
2、具有有效的营业执照;
3、根据《财政部关于在政府采购活动中查询及使用信用信息记录有关文件的通知》(财库【2016】125号),通过信用中国网站(www.creditchina.gov.cn)、中国政府采购网(www.ccgp.gov.cn)查询信息,对列入“失信被执行人”“重大税收违法案件当事人名单”“政府采购严重违法失信名单”的供应商,拒绝参与采购活动;
4、中国裁判文书网(http://wenshu.court.gov.cn/)无行贿犯罪记录;
5、供应商须提供参加采购活动前三年内,在经济活动中无重大违法记录的承诺书;
6、供应商须提供近一年任意三个月的纳税凭证;
7、供应商须提供近一年经会计师事务所或审计机构审计的财务报告,或基本开户行出具的资信证明;
8、本项目不接受联合体响应,单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项下的采购活动。
三、获取谈判文件方式
本公告内容为包含所有技术参数与配置,不需要现场报名,供应商按要求直接递交响应文件。
四、响应文件内附资料如下
1、法定代表人身份证正、反面,加盖公章;
2、非法定代表人报名,出具经法定代表人签字、公司盖章的“授权委托书”及本人身份证复印件,加盖公章;
3、营业执照加盖公章;
4、银行开户许可证(银行开户信息)加盖公章;
5、信用中国截图加盖公章;
6、中国裁判文书网(http://wenshu.court.gov.cn/)无行贿犯罪记录;
7、供应商须提供近一年任意三个月的纳税凭证;
8、供应商须提供参加采购活动前三年内,在经济活动中无重大违法记录的承诺书;
9、供应商须提供近一年经会计师事务所或审计机构审计的财务报告,或基本开户行出具的资信证明;
10、响应文件方案及报价。
以上材料正本一份、副本两份。材料不完整,视为无效响应。
供应商将以上第1、2、3、4、5、6、7、8、9项在2023年12月1日17时前以电子版方式发邮箱nmtvclpe@163.com。(邮件注明:项目名称、公司名称、联系人及联系电话。未在上述时间发送资料到指定邮箱的,视为无效报名,不接受其报价。)
纸质响应文件需在信封的封装处,粘贴采购公告中指明的项目名称并加盖供应商公章。
响应文件以快递寄出或现场递交。谈判开启仪式时,供应商需携带身份证到现场。报价超出预算最高限价的将被视为无效响应。
五、响应文件递交截止时间、谈判时间、地点
1、响应文件快递接收截止时间:2023年12月2日09时15分;
2、响应文件现场递交截止时间:2023年12月2日09时30分;
3、谈判时间:2023年12月2日09时30分;
4、谈判地点:内蒙古广播电视台。
采购单位名称:内蒙古广播电视台
递交地址:呼和浩特市回民区成吉思汗西街1号
邮政编码:******
联系人:张志飞
联系电话:156*****840
内蒙古广播电视台
2023年11月28日
内蒙古广播电视台整备和媒资系统
网络安全整改项目招标技术要求
一、建设背景
节目整备系统位于播出系统前,是台内各节目中心、管理部门与播出系统连接的桥梁和纽带。节目整备系统根据总编室提供的播出节目单,从新闻制播系统、综合制作系统、媒资系统等获取待播出的节目并进行相应的处理和检测,在规定时间内将节目迁移到播出系统进行播出备播,还负责播出节目检索回迁、节目送播、与主干网接口交互,承担着播出节目保存的工作。
中心媒资系统为全台媒体资产的集中管理提供技术支撑,包括与主干网络互联互通,接收全台各子网的音视频资料,将全台音视频资料存储到近线存储中。为各系统提供资料管理、资料编目、资料审核、资料回迁再利用等工作。
以上两个系统根据国家广电总局广播电视业务系统网络安全等级保护定级指南,已于今年在自治区公安厅进行了等保二级备案,为了履行国家《网络安全法》法律义务、满足行业监管机构的合规要求,有效规避单位所面临的信息安全合规风险,有必要开展两个系统的安全建设,达到等级保护要求。
二、现状分析
经过多年的安全建设,结合业务实际,两系统分别在出口边界已经部署了防火墙做边界防护,在终端侧已经部署了天擎的杀毒软件,但是其余安全措施距离等级保护要求的标准仍有差距,经过等级保护预测评针对两个系统的整改建议,在系统原有安全管理和安全技术措施的基础上,补充采购网络安全设备,对以上两个业务系统开展等级保护安全整改工作。
三、建设原则
网络安全等级保护建设方案按照《信息安全技术-网络安全等级保护安全设计技术要求》及相关标准和规定进行方案设计,因此本方案设计遵循以下原则。
1.紧密结合实际原则
现状及需求分析过程需要紧密结合整备以及媒资系统的实际情况,防止与实际情况脱节。
2.参考并符合政策法规原则
在现状及需求分析阶段充分参考国内网络安全建设法律法规以及广播电视相关要求及标准,保证需求分析结论的符合性,以满足后期的总体设计内容的合规性。
3.需求、风险、代价平衡的原则
对任何类型网络,绝对安全难以达到,需正确处理需求、风险与代价的关系,结合实际适度防护,做到安全性与可用性相容,做到技术上可实现,管理上可执行。
四、建设目标
本次网络安全建设项目,通过对整备系统及媒资系统进行整体的安全整改,针对计算环境和区域边界的薄弱处进行加固,提升系统的安全性和稳定性,确保两个系统符合网络安全合规性要求,主要建设目标如下:
1.日志审计留存:满足等级保护要求,整备及媒资系统需要对相关安全设备、服务器、交换设备等的日志进行留存,日志保留时长不低于180天。通过建设日志审计系统,单位能够集中采集各类系统中的安全事件、用户访问记录、系统运行日志、系统运行状态、网络存取日志等各类信息,经过规范化、过滤、归并和分析等处理流程后,可以以统一格式的日志形式进行集中存储和管理。
2.数据库审计:能够针对业务环境下的数据库操作行为进行细粒度审计的合规性管理。通过对业务人员访问系统的行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,促进核心资产的正常运营。数据库审计设备能够实时监控对数据库服务器的操作流量,智能解析出各种操作,并提供日志报表系统分析,为进行事后的分析、取证提供证据。
五、建设内容
(一)媒资系统
1.数据库审计
部署数据库审计系统,数据库访问操作进行记录,以及提供数据库安全防护功能。可以帮助强化数据库操作访问的规范性,完善数据库操作访问的管理,降低数据库资产安全风险,加固组织数据库资产的安全性与合规性。
可以对SQL语句特征进行识别,可检查到web业务系统是否存在暴库、撞库风险;同时可对帐号风险设置不同的响应方式(如阻断、告警、记录),提示管理员作出相应的防御措施。比如暴库,则提示具体的是哪个用户名称被尝试暴力破解,而且可以查看到该用户尝试登录过程的所有日志,可检查出是否被成功爆破。
能够对安全规则进行匹配,检测当前SQL语句是否存在风险操作。其主要思路:利用每一个插件,进行具体的规则匹配,得到相应的规则ID,最后,对全部匹配中的规则ID进行汇总。
2.日志审计
部署日志审计系统,系统通过监测及采集信息系统中的系统安全事件、用户访问行为、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及综合分析功能,实现对信息系统整体安全状况的全面审计。日志审计设备专注于对信息系统中各类主机、数据库、应用和设备的安全事件、用户行为、系统状态的实时采集、实时分析、异常报警、集中存储和事后分析,是支持分布式、跨平台的统一智能化日志管理及审计设备,可以对各类网络设备、安全设备、操作系统、WEB服务、中间件、数据库和其它应用进行全面的安全审计。
(二)整备系统
1.日志审计
部署日志审计系统,系统通过监测及采集信息系统中的系统安全事件、用户访问行为、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及综合分析功能,实现对信息系统整体安全状况的全面审计。安全管理一体机日志审计模块专注于对信息系统中各类主机、数据库、应用和设备的安全事件、用户行为、系统状态的实时采集、实时分析、异常报警、集中存储和事后分析,是支持分布式、跨平台的统一智能化日志管理及审计设备,可以对各类网络设备、安全设备、操作系统、WEB服务、中间件、数据库和其它应用进行全面的安全审计。
六、配置清单
为了便于管理维护,要求清单内设备必须为同一品牌。
(一)日志审计系统(2台)
| 序号 | 指标要求 | 技术规格要求 |
| 1 | 硬件规格 | 不低于2U设备,冗余电源,内存≥32G,硬盘容量≥16T,设备接口不少于4个千兆电口+4个万兆光口SFP+(满配光模块) |
| 2 | 性能参数 | 默认包含主机审计许可证书数量≥200,最大可扩展审计主机许可数≥450,可用存储量≥16TB,平均每秒处理日志数(eps)最大性能≥3500。 |
| 3 | 日志采集 | 支持主动、被动相结合的数据采集方式,支持通过Agent采集日志数据,支持通过syslog、SNMP Trap、JDBC、WMI、webservice、FTP、文件\文件夹读取、Kafka等多种方式完成日志收集; |
| 4 | 支持接入TLS加密方式的日志,支持对日志传输状态、最近同步时间进行监控,可统计每个日志源的今日传输量和传输总量。 | |
| 5 | 日志标准化 | 支持通过正则、分隔符、json、xml的可视方式进行自定义规则解析,支持对解析结果字段的新增、合并、映射。 |
| 6 | 日志过滤 | 支持对每个日志源设置过滤条件规则,自动过滤无用日志,满足根据实际业务需求减少采集对象发送到核心服务器的安全事件数,减少对网络带宽和数据库存储空间的占用。 |
| 7 | 日志转发 | 支持对单个/多个日志源批量转发,支持定时转发,可通过syslog和kafka方式转发到第三方平台,并且支持转发原始日志和已解析日志的两种日志。 |
| 8 | 日志存储 | 支持日志文件备份到外置存储节点,支持ISCSI存储方式,并可查看外置存储容量、状态等信息。支持以FTP方式将日志数据备份至外部存储空间,支持备份数据的恢复和查询; |
| 9 | 全文检索 | 支持通配符、范围搜索、字段等多种输入方式、搜索框模糊搜索、指定语段进行语法搜索;可根据时间、严重等级等进行组合查询;可根据具体设备、来源/目的所属(可具体到外网、内网资产等)、IP地址、特征ID、URL进行具体条件搜索;支持可设置定时刷新频率,根据刷新时间显示实时接入日志事件; |
| 10 | 支持解码小工具,按照不同的解码方式解码成不同的目标内容,编码格式包括base64、Unicode、GBK、HEX、UTF-8等。 | |
| 11 | 支持单条事件进行展开,显示事件详细信息和事件原始信息,支持事件详情中任意字段作为查询条件无限制进行二次检索分析。 | |
| 12 | 日志分析 | 支持自定义审计规则与关联规则,支持网站攻击、漏洞利用、C&C通信、暴力破解、拒绝服务、主机脆弱性、主机异常、恶意软件、账号异常、权限异常、侦查探测等内置关联分析规则,内置关联分析规则数量达到350条以上。 |
| 13 | 资产管理 | 支持对IPv4/ipv6对象的自动发现功能,对自动发现的设备可以修改、删除或转为资产。 |
| 14 | 日志告警 | 支持告警事件归并、告警确认和告警归档,支持基于频率、频次、时间的设定条件。 |
| 15 | 日志进行归一化操作后,对日志等级进行映射,根据不同日志源统计不同等级下的日志数量。 | |
| 16 | 系统管理 | 提供管理员账号创建、修改、删除,并可针对创建的管理员进行权限设置;支持IP免登录,指定IP免认证直接进入平台;支持只允许某些IP登录平台;支持页面权限配置和资产范围配置,用于管理账号权限,满足用户三权分立的需求;支持usb-key认证 |
| 17 | 支持个性化定制,支持全系统更换logo与系统名称,支持一键恢复默认。 | |
| 19 | 支持POC测试工具一键生成日志数据。 | |
| 20 | 产品资质 | 产品具有公安部《计算机信息系统专用产品销售许可证》 |
| 产品具有国家版权局《计算机软件著作权登记证书》 | ||
| 厂商资质 | 为保证投标投标厂商的应急响应能力,要求所投产品的生产厂商同时是国家互联网应急响应中心网络安全应急服务国家级支撑单位、CNNVD中国国家信息安全漏洞库一级支撑单位。 | |
| 21 | 售后服务 | 提供三年原厂质保服务,软硬件免费升级更新。 |
(二)数据库审计系统(1套)
| 序号 | 指标要求 | 技术规格要求 |
| 1 | 硬件规格 | 设备规格不低于1U,冗余电源,内存≥8G,硬盘容量≥2T SATA,设备接口不少于4个千兆电口+2个万兆光口SFP+(满配光模块) |
| 2 | 性能参数 | |
| 3 | 审计功能 | 支持主流数据库Oracle(Tdata)、SQL-Server、DB2、MySQL(Tdsql)、Informix、Sybase、Postgresql、Cache、MongDB、K-DB,虚谷。 |
| 4 | 统计功能 | 支持精细化日志秒级查询,通过SQL串模式抽取保障磁盘IO的读写性能;分离式存储SQL语句保障数据审计速度快。 |
| 5 | TB级日志秒级查询、支持指定源IP、时间日期、客户端程序、业务系统、数据库用户、操作类型等精细日志查询、支持操作类型精细化日志查询、支持风险级别排行统计查询、支持数据库条件的统计查询、支持统计趋势查询分析、支持风险级别查询分析、支持通过多SQL语句的统计查询、支持统计分析下钻、支持业务系统元素统计查询。 | |
| 6 | 支持以时间、源IP、客户端程序、业务系统、数据库用户、数据库名、操作类型、表名、返回行数、影响行数、响应时长、响应码、策略、规则、风险级别、SQL模版为条件的数据库风险查询。 | |
| 7 | 支持以风险级别、源IP、业务主机、数据库用户、风险类型为维度的数据库风险排行。 | |
| 8 | 数据库安全 | 要求内置大量SQL安全规则,包括如下:导出方式窃取、备份方式窃取、导出可执行程序、备份方式写入恶意代码、系统命令执行、读注册表、写注册表、暴露系统信息、高权存储过程、执行本地代码、常见运维工具使用grant、业务系统使用grant、客户端sp_addrolemember提权、web端sp_addrolemember提权、查询内置敏感表、篡改内置敏感表等; |
| 9 | 可以对SQL语句进行安全检测,并识别当前的SQL操作是否有暴库、撞库等严重性安全问题,如果命中了安全风险规则,那么可根据动作进行阻断、告警、记录等操作,可提示管理员作出相应的防御措施 | |
| 10 | 支持基于SQL命令的webshell检测 | |
| 11 | 支持以风险级别、源IP、业务主机、数据库用户、风险类型为维度的数据库风险排行; | |
| 12 | 系统管理 | 支持审计系统用户(组)管理(添加、修改、删除、停用、启用); |
| 13 | 提供管理员权限设置和分权管理,提供三权分立功能,系统可以对使用人员的操作进行审计记录,可以由审计员进行查询,具有自身安全审计功能。 | |
| 14 | 可以实时监控系统的CPU使用率,内存使用率和磁盘占用率。快速定位系统的负载压力和系统运行状况 | |
| 15 | 日志数据安全 | 支持SNMP方式,提供系统运行状态给第三方网管系统; 支持Syslog方式向外发送审计日志; |
| 16 | 响应方式 | 支持Syslog告警、SNMP trap告警、邮件告警,短信告警. |
| 17 | 支持WEB界面备份及日志恢复导入工作。 | |
| 18 | 支持自动与手动两种备份归档方式。 | |
| 19 | 产品授权及服务 | 提供原厂三年7*24小时的售后服务及软硬件升级; |
| 20 | 产品资质 | 公安部《计算机信息系统安全专用产品销售许可证》; |
| 21 | 国家版权局《计算机软件著作权登记证书》 | |
| 22 | 厂商资质 | 中国信息安全认证中心《中国国家信息安全产品认证证书》 |
| 为保证投标投标厂商的应急响应能力,要求所投产品的生产厂商同时是国家互联网应急响应中心网络安全应急服务国家级支撑单位、CNNVD中国国家信息安全漏洞库一级支撑单位。 |
七、实施方案
项目实施计划1个月内完成项目建设,包括设备部署及试运行。
(一)设备部署
本次项目实施阶段工作原则为“先干路后旁路”,“空策略上线,逐步加管控”的实施原则。
逐步上线设备的先后计划为:日志审计系统 ---- 数据库审计系统。
数据库审计系统及日志审计系统旁挂在以太网交换机,到系统的各个区域全部IP可达。
(二)试运行
日志审计系统配置好采集方式,观察业务及设备是否有日志上报。正常运行一段时间后,可根据日志存储量增加情况能否满足存储时长。
数据库审计系统配置好审计策略,观察业务及设备是否有数据上报。正常运行一段时间后,可根据日志存储量增加情况能否满足存储时长。
八、测试及验收要求
根据实际上线部署情况,开展设备功能测试,按照台内统一验收标准开展项目验收工作,最终通过网络安全技术要求,配合测评公司完成两个系统的等保测评工作,结合安全管理制度以满足等保要求。
融媒体技术发展部
2023年10月31日
无相关公告
无相关公告
|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
