中国人民银行重庆营业管理部网络安全设备及配件采购项目公告GDC-20181106105504521
中国人民银行重庆营业管理部网络安全设备及配件采购项目公告GDC-20181106105504521
技术指标详情:关闭
| 公告时间: | 2018-11-07 09:20:20 | |||||||||
| 项目名称: | 中国人民银行重庆营业管理部网络安全设备及配件采购项目 | |||||||||
| 项目编号: | GDC-****************1 | |||||||||
| 中央国家机关政府采购中心受采购单位 中国人民银行重庆营业管理部 委托,对下列货物及服务进行网上电子政府采购,现邀请合格投标人进行网上竞价。 | ||||||||||
| 采购项目信息 | ||||||||||
| 采购单位: | 中国人民银行重庆营业管理部 | 报价截止时间: | 2018-11-12 09:20:20 | |||||||
| 联系人: | 梁骁 | 送货地点: | 渝北区红锦大道56号 | |||||||
| 联系电话: | ***-******** | 到货时间: | 合同签订后14个日历日到货 | |||||||
| 联系邮件: | ********4@qq.com | 项目预算: | 360000.0 | |||||||
| 剩余时间: | 签约时间: | 成交公告发布后3个工作日内签署合同 | ||||||||
| 资质要求 | ||||||||||
| 售后服务网点: | 无具体要求 | 销售资质需求: | ||||||||
| 售后上门服务要求: | 上门服务年限:5年 上门服务时限:接到报修后24小时 | 电话技术支持服务响应要求: | 7X24小时 | |||||||
| 免费维保质保期: | 5年 | |||||||||
| 踏勘需求 | ||||||||||
| 踏勘地点: | 无 | 踏勘时间: | 无 | |||||||
| 联系人: | 无 | 联系电话: | 无 | |||||||
| 采购商品信息 | ||||||||||
| 商品分类 | 商品名称 | 参考品牌 | 规格型号 | 单位 | 数量 | 产地要求 | 是否要求有现货 | 是否要求承诺原厂全新未拆封正品 | 技术指标 | |
| 网络安全设备及配件 | 网络安全设备及相关配件 | 齐治 | SHTERM-SH5 | 台 | 2 | 中国 | 是 | 是 | 1背景随着人民银行信息化建设的快速发展,网络规模和设备数量迅速扩大,对信息安全的要求越来越高。然而日趋复杂的信息系统与不同背景的运维人员的行为给信息系统安全带来较大风险,给信息安全管理工作带来巨大挑战。当前,央行各项金融业务依赖信息技术的应用,信息技术为金融业务运营起到关键的支撑作用,人民银行信息安全是我国整体金融体系的安全的基础。人民银行已经建立起的非法外联监控管理系统、入侵检测系统、漏洞扫描系统、防病毒系统、补丁分发系统等安全保障系统,能够有效防范外部各种非法访问和攻击。但是,越来越多的信息系统给运行维护带来很大的风险,如何建立一套能够对人民银行信息系统运维行为进行有效监控和审计的系统,能够防范内部风险,有效阻止安全事件发生,大大提高人民银行信息系统安全保障能力,是人民银行信息安全管理面临的首要问题。信息安全审计技术能实现在信息安全整个过程中对关键记录信息的监控和审计,是信息安全保障体系中不可缺少的一部分,特别在安全事件分析、追踪中起到了关键性作用。传统的安全审计技术局限于对主机的操作系统日志的收集和简单分析,缺乏在多种操作系统下运维人员对网络设备、重要服务器系统、应用系统以及数据库系统操作过程的安全审计功能。随着网络规模的迅速扩大,单一式的安全审计技术逐步被分布式安全审计技术所代替,加上各类应用系统逐步增多,网络管理人员、运维人员工作量不仅会成倍增加,运维过程也更加复杂和不透明。大量事实表明,内部运维操作风险将更严重,这就需要及时对运维人员的操作进行监控分析并对危险行为采取相应措施进行有效阻止,从而降低安全事件的发生率。目前,信息安全审计作为保障信息系统安全的制度逐渐发展起来,并已在对信息系统依赖性最高的金融业开始普及。信息安全审计的相关标准包括ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800等。这些标准从不同角度提出信息安全控制体系,可以有效地控制信息安全风险。同时,公安部发布的《信息系统安全等级保护技术要求》中对安全审计提出明确的技术要求:审计范围覆盖网络设备、操作系统、数据库、应用系统,审计内容包括各网络设备运行状况、系统资源的异常使用、重要用户行为和重要系统命令的使用等系统内重要的安全相关事件。因此,建立运维安全管理与审计系统(以下简称“系统”),通过技术手段对信息系统进行安全审计,可以有效保障人民银行重庆营业管理部各种应用系统和网络设备的运维操作安全,能够实现对运维操作过程的监控和审计,是完善信息安全保障体系的重要途径。2建设目标通过运维安全管理与审计系统的建设从逻辑上将人与运维设备分离,基于唯一身份标识,通过集中管控安全策略的账号管理、权限分配管理和审计,建立针对运维人员运维行为全过程的完整审计和管理,实现人民银行IT运维全过程的“事前预防、事中监控、事后审计”的管理目标。2.1身份认证安全管理通过完善用户认证管理方式,有效规避非法用户的访问,通过细粒度和灵活权限管理,确保用户拥有的权限是完成任务所需最小权限,从而保证用户运维行为的合法性和安全性。通过加强用户的登录认证,可以与第三方认证服务器集成认证,有效规避非法用户的登录。系统为临时用户设定账户的有效时间,登录时间等,有效防止第三方运维人员故意拖拉时间。通过对密码强度、密码有效期、口令尝试锁定、用户激活等安全管理功能,减少非法用户使用暴力破解工具登录系统。通过多人权限分配方式,实现管理、运维与审计人员的相互独立。2.2系统运维实时监控运维安全管理与审计系统可基于网络监控协议,运行桌面监控矩阵,不仅可以实时查看对正在维护设备的运行桌面情况,辅助提供协同操作,还能切换至“控制”模式,及时发现运维风险,保证运维过程中的操作符合要求,对危险操作行为及时阻断,降低安全事件的发生率,从而达到实时操作监控、应急危险处理、学习培训的目的。2.3运维审计风险控制运维安全管理与审计系统基于“权限分配、监控、告警、审计”等多重管控手段,保障运维操作安全性。能够对所有协议类运维工具、WEB访问、客户端访问、数据库访问以及KVM等所有运维行为进行图形化过程审计,并能够对审计对象进行快速的定位查询,实现文本与录像同步审计,以便于事后追踪,精确定位各类运维行为,审计到人。2.4运维日志管理运维安全管理与审计系统基于运维管理操作,自动生成运维审计报表,一方面对运维审计过程进行汇总分析;另一方面指导今后信息化项目建设,完善信息安全管理制度体系,进一步提高安全管理水平。3建设原则3.1规范性应遵循人民银行的各项制度,符合《信息系统安全等级保护技术要求》的各项要求。3.2易操作性在保持原有功能性的基础上应尽可能降低操作的复杂度。3.3灵活性应适应安全需求的变化,在功能点的维护方面应具有灵活性,可以对相关功能进行修改、增加、删除等。3.4稳定性应保持原有系统和网络的稳定性,不能影响其他系统的正常运行。3.5可扩展性采用标准化的协议,应具有可扩展性,支持定制开发或二次开发。4功能需求4.1用户管理与权限分配? 支持用户分级分组管理,支持角色及群组分类; 例如可以按照地市划分群组,也可以按照部门组织结构进行划分,按系统管理员组、运维管理员组、审计管理员组及普通用户组进行分类。? 各用户分组可以根据职责和权限进一步细分,比如:运维管理员组可以细分网络管理员组、服务器管理组、安全管理员组等。? 可根据用户、设备、部门、应用程序、协议类型、时间、IP等组合设置进行权限分配,实现指定的用户使用指定的协议访问指定的维护设备,并可指定策略的生效日期范围及周期(每天、每周、每月)以及任意设置时间段。? 提供多权分立、实现管理、运维与审计人员权限设置相互独立。运维人员在权限分配范围内可进行运维操作,不允许查看审计记录,审计人员在获得权限情况下可对运维操作过程进行监控审查、操作过程事后回放与审计,不能操作运维对象;? 支持用户批量导入、导出功能;? 支持堡垒机与应用发布服务器之间的用户账号自动同步;? 支持用户按设定条件进行查询与统计。4.2统一身份认证与单点登录(SSO)为运维人员创建唯一的运维账号(主账号),运维账号是获取维护设备访问权利的唯一账号。进行运维操作时,所有设备账号均与主账号进行关联,解决账号共用问题,确保所有运维行为审计记录的一致性,从而准确追踪到安全事件责任人。支持多种登录认证方式,并具备与第三方CA认证系统接口,也可以支持自建认证系统。登录认证方式需符合等级保护评测中双因子认证、访问控制等相关项的技术要求。应同时支持两种或两种以上组合认证方式,且需支持以下几种认证方式:? 本地认证? Radius认证? 动态令牌? 手机令牌? LDAP认证? AD域认证等? 短信认证? 其他认证支持SSO功能,运维人员一次登陆,即可访问所有目标设备,无需二次输入用户名、口令信息。4.3统一维护访问通道运维人员可以通过不同的方式对目标对象进行访问和维护:? 支持通过WEB方式进行访问,所有协议均可通过WEB方式从WEB直接发起访问,支持IE、Firefox、chrome、360浏览器等多种浏览器;? 支持本地直接使用CS客户端访问,并兼容管理员使用习惯。支持使用第三方工具(如SecureCRT、Putty、WinSCP、Rdp4.x/5.x/6.x/7.x等工具)登陆设备,当用第三方工具(如SecureCRT)登录时,不再需要通过WEB管理界面,允许直接通过“系统”选择维护设备;? 一定时间内无任何操作行为,自动切断会话访问连接。运维人员登录“系统”时,“系统”能根据访问权限列表自动展示有权访问范围的设备,避免用户访问未经授予权限的设备。支持在运维过程中要求其他运维人员进行协同操作的功能,在协同操作模式下,两名运维人员可以协同操作同一个访问会话界面。4.4设备管理? 支持各种类型的设备管理,包括Windows主机、域控主机、Linux主机、Unix主机、各种网络设备、安全设备等,? 支持通过堡垒机登录windows server时,可以自动列出该windows设备当前远程连接数量;? 支持以excel和wps表格格式批量导入和导出维护设备;支持批量手动添加多台维护设备;? 支持运维人员半自动登录维护设备,即第一次登录维护设备后运维人员就可以自动登录维护设备;? 支持设备分组管理、自定义设备组管理菜单、用户按照自己的习惯进行设备分组管理;4.5多网段隔离部署设备管理? 支持运维区、测试区、开发区、生产区设备分布在不同网段隔离部署设备的管理;? 支持维护设备、应用发布、运维管理人员分布在不同网段的隔离部署;? 支持DMZ区设备运维管理。? 支持对跨广域网远程设备的运维审计管理;4.6设备密码管理提供主机系统账号的密码维护托管功能,支持各类设备的账号密码的自动管理,并可以实现以下功能:? 支持密码修改计划部门分权,使得不同部门的密码保管员只能修改/保管自己部门的设备上的帐号密码;? 设定密码复杂度策略;? 针对各种设备制定变更密码计划;? 设定改密计划的自动改密周期;? 支持随机不同密码、随机相同密码、手工指定密码等新密码设定策略;? 改密结果自动发送至指定密码管理员邮箱,必须经过专用密码查看器加密码才能查看;? 设定指定的改密对象,支持AD域账号改密;? 支持密码备份功能,同时可以手工导出部分或全部密码列表,必须经过专用密码查看器加密码才能查看;? 支持预改密功能,在密码修改前由堡垒机自动发送预改密邮件/文件出去,以能否成功发送作为是否执行改密计划的前提;? 支持密码校验机制:堡垒机保存新、旧两份密码,在设备改密出现异常时,可以通过校验登录,确认目标设备的正确密码;? 自动改密结果确认功能,密码管理员必须人工确认已经下载或收到密码文件;否则改密计划自动停止执行,确保改密过程可靠性,支持密码列表批量打印功能;? 具备密码拨测功能,即在系统完成密码修改之后,自动进行新密码登录测试,以便进一步校验密码修改结果;? 在用户登录后弹出提示框,提示用户上次密码变更时间和下次密码变更时间。4.7批量执行功能支持自动化在多台设备上批量执行指令。通过批量执行功能,管理员可以方便实现对多台设备的升级、备份等任务。? 支持通过SSH、Telnet、Rlogin执行系统命令;? 支持批量指令执行;? 可设定任务执行开始时间;? 可设定执行的目标主机与系统账号;? 可以查看执行过程和结果。4.8应用发布? 支持对任意品牌数字KVM的接管,支持各种应用会话发布及账户和密码代填,如PCanywhere、Dsview、Radmin等软件;? 支持通过堡垒机,打开浏览器访问目标设备(如防火墙)后的URL输入白名单控制,控制用户只可以登录被许可范围内的URL;? 支持磁盘映射、光驱映射、光盘映像文件映射等各应用磁盘映射及配置;? 支持vcclient等第三方虚拟化管理客户端和web页面管理;? 支持堡垒机与应用发布服务器之间的用户账号自动同步。4.9访问控制策略通过集中统一的访问控制和细粒度的命令级权限分配策略,确保每个运维用户拥有的权限是完成任务所需的最小权限。? 基于向导式的配置过程;? 支持基于用户角色的访问控制。管理员可根据用户、用户组、访问主机、目标系统账号、访问方式设置细粒度访问策略;? 支持基于时间的访问控制;? 支持基于访问者IP的访问控制;? 基于指令(黑白名单)的访问控制;? 支持IP、用户及用户组来源控制访问;? 支持设备IP,设备及设备组访问控制;? 支持各类运维协议控制;? 支持按时间及时间周期控制。除访问授予权限之外,“系统”需支持针对访问协议进行深层控制,比如:? 支持限制SSH协议使用SFTP;? 支持限制RDP访问使用剪贴板功能;? 支持限制RDP访问使用磁盘映射功能;? 支持是否启用强制审批功能(访问和操作前必须经过管理员审批);? 支持是否启用备注功能(访问前必须先填写维护内容);? 支持访问控制策略一键克隆。4.10关键访问操作二次审批? 支持根据需求对特殊访问与操作进行二次审批功能,该功能可以进一步加强对第三方人员访问或关键设备访问操作的控制力度,确保所有访问操作都在实时监控过程中进行。二次审批功能支持以下两种方式:一是对新建远程访问会话进行审批;二是对特殊指令执行进行审批。? 支持电子工单功能,工单内容至少应包括:用户账号、设备资源、系统账号、协议类型、要执行的命令、时间窗口、审批人等内容,运维人员填写电子工单,经审批通过后运维人员即可取得相应访问权限;4.11违规访问告警与阻断支持根据已设定的访问控制策略,自动检测日常运维过程中发生的越权访问、违规操作等安全事件,系统能够根据安全事件的类型、等级等条件进行自动的告警或阻断处理。? 阻断未经授予权限的用户访问主机;? 阻断从异常客户端、异常时间段发起的访问行为;? 阻断指令黑名单的操作行为;? 阻断方式支持:断开会话、忽略指令;? 对监控到的非法操作,可实时手工切断;? 告警方式支持:WEB界面告警、短信告警、邮件告警等;? 系统支持提供维护设备操作异常(如违规命令/操作阻断报警)的各类报警。4.12实时操作过程监控对于所有远程访问目标设备的会话连接,“系统”均可实现操作过程同步监视,运维人员在远程主机上做的任何操作都会同步显示在审计人员的监控画面中,管理员可以随时手工中断违规操作会话。? 实时同步显示操作画面;? 支持vi、smit、setup等字符菜单操作同步显示;? 随时手工阻断违规操作过程。4.13审计日志的管理? 支持审计功能按部门分权,使得不同部门的审计管理员只能审计自己部门、自己直属子部门设备上的操作日志;? 需支持本地和网络两种备份手段,提供手工备份与自动备份两种模式;? 审计日志与录像均需进行加密存储,防止非正常的访问;? 审计数据需支持自动备份与手工备份,包含审计数据及录像文件,支持网络以及本地外接设备的存储;可按年、月、周、天等设置实现自动备份;? 录像播放回放需支持多种倍速的调节;并支持关键字高匹配检索,依据检索内容快速定位录像位置及画面,同时支持画面任意拖拽;? 命令操作审计支持在同一界面展示用户命令操作的输入输出,并能自动以不同颜色标记出被系统拒绝、切断的操作;图形操作审计支持以2M会话流量或者15分钟操作时长为标准的会话缩略图切片展示功能。4.14审计数据存储管理支持自动化审计数据存储管理。 ? 支持周期性自动备份功能;? 支持进行手工备份和导出;? 存储空间不足时自动备份并删除最早数据;应支持至少12个月日志存储,不可篡改删除;? 支持通过FTP、SFTP自动上传备份文件。4.15数据库维护操作审计? 无需侦听网络流量即可实现数据库审计实现对MS-SQL/DB2/Oracle/Mysql/Sybase等主流数据库操作语句的审计; ? 支持通过堡垒机,打开oracle客户端访问目标数据库时候的数据库连接限制,限制内容包含:OCI_HOST、Service_Name和OCI_PORT;? 支持各类DB工具的操作录像审计、支持数据库访问工具账户、密码代填;? 支持以文本方式100%还原数据库客户端操作所对应的每一条SQL语句,包括语句的参数、变量等内容,SQL语句可直接对应到具体操作者;? 支持SQL语句的内容审计与检索、支持SQL语句检索结果与操作录像内容的关联定位,支持以sql语句为关键字进行全文检索,检索关键字支持语句/参数支持中文,检索结果可以直接定位到图形操作界面进回放;? 支持包括访问起始和终止时间、用户名、用户IP地址、维护设备IP、设备名称、应用类型、事件等级、操作内容等的审计;? 支持操作内容录像回放,支持从任一条sql语句开始,回放用户的操作过程。4.16支持运维协议与对象针对网络设备、主机系统、应用系统、安全系统等进行安全审计,需至少支持以下常用的协议和管理方式: ? 字符型操作,如Telnet、SSH、RLogin等;? 图形化操作,如RDP、Xwindows、VNC、VDP等,图形操作会话支持多人会话共管,即当前运维人员可以邀请其他的堡垒机用户参与当前操作会话中,同时也可以将被邀请人踢出;? 文件传输操作,如SCP、SFTP、FTP、zmodem协议(rz/sz工具支持)等;? B/S模式操作,如HTTP、HTTPS等;? 数据库运维操作,如PL-SQL、MS查询分析器、DB2 Quest等。4.17查询统计与报表管理? 审计日志支持按日期、会话类型等条件组合进行查询与统计,包含日报表、月报表、年报表,提供PDF、DOC、EXCEL、HTML等报表格式输出;? 支持快速查询(单一条件)和高级查询(多重组合条件),审计人员可以根据操作时间、源IP地址、目标IP地址、用户名、操作指令等条件对历史数据进行查询,快速定位历史事件。? 需能够提供实用、多样的报表,支持报表自定义扩展,能够通过表格、曲线图等形式将统计结果直观展现,需支持Excel格式和WPS表格格式;支持按天、周、月自动周期性生成报表;支持报表自动发送功能;? 可以按时间、统计单位、服务类型、用户(用户组)、设备(设备组)及各类子报表类型定制报表;管理员可以统计出某段时间内,高危命令执行的情况;针对被审计对象可以统计出用户信息、设备信息,报表及统计结果支持office和WPS格式导出;? 支持报表热点功能,根据特定类型的TOP N数据来生成报表。5相关需求5.1权限分配与并发性? 系统采取基于IP地址的权限分配方式,license总数不少于1000个,支持对至少1000个IT资源节点(服务器、网络设备、安全设备等硬件设施)的集中运维管理。? 支持字符类并发会话不低于500个、图形类并发会话不低于200个。? 支持自动脚本任务和自动网络设备配置备份执行时的并发数量限制,并发数量可进行调整。5.2 硬件性能提供两台预装运维安全管理与审计系统的硬件设备,每台硬件设备的性能要求如下:? CPU:至少提供1个Intel Xeon E3 6核CPU;? 内存:至少提供16G内存;? 硬盘:至少提供2个2T SATA硬盘;配备硬件RAID卡,支持RAID1;冗余设置后可用容量不低于1TB;支持外接外部存储;? 网口:至少提供2个千兆电口;? 电源:至少配备1+1冗余电源。5.3可靠性? 支持双机热备或集群部署方式;? 采用物理旁路的方式接入,不影响原有网络架构;? 支持系统自身日志、数据、配置文件等导入导出备份;? 支持对系统自身CPU、内存、硬盘等设备的监控并可以设定告警;? 硬件设备,具有自主研发,完全自主知识产权,稳定可靠。? 支持与重庆营业管理部现有堡垒机进行用户信息、设备信息、权限分配策略、设备密码、访问控制策略、审计数据和日志信息等数据的同步。5.4 应用发布和令牌需求? 提供应用发布系统安装介质,负责应用发布服务器的安装和调试。 ? 系统采取“静态口令+动态令牌”方式进行双因子身份认证。支持基于动态令牌介质和动态令牌手机APP进行身份认证,并免费提供至少70个动态令牌介质和动态令牌手机APP。6其他6.1产品要求? 产品必须是自主研发,不能采用OEM其他厂商产品。? 产品应在3个及3个以上银行业金融机构有成功的应用案例,并提供相关证明材料。6.2服务要求? 系统集成服务:按照人民银行重庆营业管理部要求完成运维安全管理与审计系统在机关和辖内支行的安装、调试和部署。? 实施技术人员:不少于2名设备生产厂商专职实施人员现场实施服务。? 本地化服务:有本地厂商分支机构或合作服务商独立承担本地化设备生产厂商服务。? 维保服务:5年设备生产厂商7*24小时保修服务,即在设备出现故障情况下,要求24小时内厂商技术人员到达现场进行处理,并提供备机先行服务,对发生故障的设备在24小时内完成更换。? 电话支持:提供7*24小时热线服务技术援助,解答甲方在系统使用中遇到的问题,及时提出解决问题的建议和操作方法电话咨询。? 软件升级服务:在维保服务期内,如发生重大版本变更,必须承诺免费提供升级服务。? 巡检服务:在维保服务期内,每半年对设备至少进行一次现场巡检,并出具巡检报告。? 系统管理员培训服务:提供不低于16小时的现场技术培训。? 安装使用培训服务:提供不低于16小时的培训服务。? 系统接口服务:提供标准API、SNMP、Web Service、Servlet、JMX等接口或协议,支持定制开发或与现有自动化运维工具进行联动对接。 | |
| 江南科友 | HAC1000A | |||||||||
| 思福迪 | LogBase-B650 | |||||||||
|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
