采购项目内容

 

一、用户需求书

说明：

1、投标人须对本项目为单位的内容进行整体投标，任何只对其中一部分内容进行的投标都被视为无效投标。

2、招标文件中打“▲”号条款为重要技术参数，但不作为无效投标条款。

3、招标文件中打“★”号条款为实质性条款，投标人如有任何一条负偏离则导致投标无效。

一、采购项目需求一览表：

序号	需求内容		详细描述
1	安全监管应用及监测服务	公安交通管理系统信息安全采集软件	采购并部署建设公安交通管理信息安全采集软件，通过采集汇聚重要信息系统的应用日志，检测、感知、审核信息系统安全状况上报公安部，提升公安交通管理信息安全监管水平。
2		定制化监测服务	采购并部署建设监测服务软件，对清远市交警支队的应用系统、服务器和网络设备进行故障监测和性能管理，并提供拓扑展示、运维报表管理及告警服务等，实现应用系统的智能监控。
3	访问安全升级	后台访问安全设备	采购并部署1套堡垒机（一套软硬一体化平台及不少于200个IP扩容授权），从账号管理、密码管理、权限控制、操作审计等方面提升安全管理监控能力，实现系统后台访问管理简单、安全、有效的目标。
4		前台访问安全改造	对电子警察及收费系统的前台访问进行PKI认证改造。
5	数据安全强化	数据备份设备	采购并部署1台将备份功能、容灾功能、存储功能与服务器硬件融合的备份一体机，降低系统的管理和维护复杂度，提升清远市交通警察支队核心业务系统的性能，保障系统数据安全。
6	设备安全维护	基础设施维保服务	对清远市交通警察支队信息化系统的64台PC服务器，7台存储设备，6台网络设备、8套数据库系统等硬件设备提供保修、应急技术支持服务。
7		日常驻场及专家支撑服务	清远市交通警察支队现场常驻技术服务，包括提供1名服务器系统工程师驻场进行5*8小时驻场、7*24小时响应技术维护服务，对服务器系统和网络设备进行日常维护。 提供二线深度巡检、现场技术支持、设备及系统调整优化和项目整体管理等服务。

 

二、项目概况

（一）项目背景

根据公安部交管局《公安交通管理信息安全监管系统建设指导意见》（公交管〔2019〕588号）要求，各地交管部门应做好公安交通管理信息安全监管系统推广应用工作，进一步提升信息系统安全监管水平，全力消除信息系统安全隐患漏洞。建立信息安全监管指标，开展日常信息安全网上巡查和监管分析。健全信息安全隐患漏洞和异常事件的分析发现、处置反馈、复核确认、考核评价的闭环机制，全面提升交管信息系统安全防御水平，提前预警、主动发现、有效防范安全入侵、信息窃取、篡改数据等各类信息安全事件，保障信息系统安全、稳定运行。

（二）项目目标

通过交通管理信息安全监管的建设，从安全监管应用及监测服务、访问安全升级、数据安全强化以及设备安全维护四个方面，综合实现包括公安交通管理综合应用平台、公安交通集成指挥平台、机动车驾驶人理论考试系统等重要信息系统应用日志、数据库操作审计日志的采集、汇聚，和系统运行的安全、稳定，保证设备平稳、安全运行，同时强化服务器设备的日常维护，达到规范服务器安全管理、实现现场故障快速响应的能效。建立信息安全监管指标，开展日常信息安全网上巡查和监管分析。健全信息安全隐患漏洞和异常事件的分析发现、处置反馈、复核确认、考核评价的闭环机制，全面提升交管信息系统安全防御水平，提前预警、主动发现、有效防范安全入侵、信息窃取、篡改数据等各类信息安全事件，保障信息系统安全、稳定运行。

三、项目现状及需求

（一）项目现状

1、视频综合管理平台

为提高道路交通通行效率，强化道路监管能力，清远市交警支队在2016年发起了《清远市基于城市综合管理信息平台的社会治安、智能交通和市政管理视频监控系统工程PPP项目》（以下简称“清远PPP项目”），清远PPP项目建设涵盖前端系统建设、指挥中心建设、机房系统建设、平台系统建设，并且实现了前端系统与后台系统的联网接入，并实现集成指挥“一张图”控制。

除交通集成指挥平台外，清远市交警支队经过多年建设，建成了较为完备的交通管理系统，涵盖了公安交通管理综合应用、公安交通管理信息综合查询系统、机动车驾驶人理论考试系统等多个业务系统。并在机房建设、软硬件设备配置、网络改造等信息化基础设施方面进行更新换代，信息化基础设施得到改善加固和优化提高。

清远市智能交通系统还包含信号控制系统、电子警察系统、交通流采集系统、交通视频监控系统、交通诱导系统、交通卡口系统等6个前端系统，涉及到清城区、清新区121个交叉路口、60个路段、40个高点监控点。

（二）项目需求

1、安全监管应用及监测服务需求

根据《公安交通管理信息系统业务日志采集软件接入规范》，采购并部署符合接入规范要求、通过无锡所测试的日志采集软件。日志采集软件应当支持同一网络多个目标数据库的同时采集。部署的日志采集软件应至少支持采集公安交通集成指挥平台相关日志数据，其它平台例如公安交通管理综合应用平台、公安交通管理信息综合查询系统、机动车驾驶人理论考试系统等按实际需要进行对接，实现日志信息、应用系统环境的智能监测，提升清远市交警支队公安交管系统的安全监管水平。

2、访问安全升级需求

为保障清远市交警支队公安交通管理信息安全系统的建设，本项目需要的针对业务系统新增部署后台访问安全设备，对电子警察及收费系统的进行PKI认证改造，保障业务系统数据完整性和一致性，同时符合等保合规的要求，提升业务的系统访问安全。

3、数据安全强化需求

为强化清远市交通警察支队核心业务系统的运作性能，保障业务系统数据安全，针对当前重要系统的数据量现状及未来3年增长趋势，需新增部署备份设备，将备份功能、容灾功能、存储功能与服务器硬件融合到整机一体设备，降低管理人员对于业务系统数据维护难度和管理风险，保障清远市交警支队业务系统数据安全。

4、设备安全维护需求

根据《广东公安交通管理信息安全监管系统推广应用实施方案》，需建立符合《公安交通管理信息安全监管平台建设指导意见》的软硬件运行环境，完成省级交通管理信息安全监管系统的安装部署。且需落实交通管理信息安全监管系统的日常运维责任，确保全省重要信息系统日志数据采集、上传通道畅通。

本项目承载交通管理信息安全监管系统的软硬件系统部署有公安交通管理综合应用平台、公安交通集成指挥平台、公安交通管理信息综合查询系统、机动车驾驶人理论考试系统等重要业务，其基础环境IT资产亟需实施有效的日常运行维护与管理，充分发挥这些资产的作用，为清远交警的交通管理信息安全监管系统业务开展提供安全、及时以及高可用的运行保障。

四、项目建设要求

（一）安全监管应用及监测服务要求

本项目需部署一套公安交通管理信息安全监管平台，采集汇聚部、省两级重要信息系统的应用日志，检测、感知、审核各地信息系统安全状况上报公安部，提升公安、交通管理信息安全监管水平。同时，要求通过定制化的运行监测工具配置，实现对应用系统、服务器和网络设备的故障监测和性能管理。

1、交通管理系统信息采集软件要求

为落实上级部门关于部署公安交通管理信息安全监管系统建设工作要求，根据《公安交通管理信息系统业务日志采集软件接入规范》，本项目公安交通管理信息安全监管系统的建设应该符合接入规范要求，部署建设的日志采集软件应通过无锡所测试。

（1）技术架构设计要求

需符合公安交通管理信息安全监管系统的技术框架分为数据源、数据采集层、计算与存储层、业务应用层的技术架构设计。

（2）系统逻辑架构要求

需符合公安交通管理信息安全监管系统由系统应用软件、信息系统业务日志采集软件、信息安全传输交换系统组成的系统逻辑架构要求。

（3）系统网络架构要求

①单点网络拓扑需符合以下要求

与部级不同，省、市两级没有交通管理信息安全监管系统；根据公安交通管理综合应用平台、公安交通集成指挥平台、公安交通管理信息综合查询系统、互联网交通安全综合服务管理平台实际部署层级。

②网络级联拓扑需符合以下要求

交通管理信息安全监管系统、信息系统业务日志采集软件、信息安全传输交换系统在部、省、市三级之间的级联网络拓扑，交通管理信息安全监管系统、信息系统业务日志采集软件、信息安全传输交换系统采用部、省和部、市两层级联，即省系统、市系统分别直接与部级系统进行级联交互。

（4）系统功能要求

通过Oracle归档日志、在线日志文件采集信息系统业务日志数据，并将生成的业务日志文件存放至文件交换服务器。相关信息系统数据库需开启Oracle归档日志，并将归档日志文件夹读取权限授予信息系统业务日志采集软件。

在公安网端公安交通集成指挥平台等平台运行环境部署，用于控制和监控数据、文件的传输交换。信息安全传输交换系统、信息系统业务日志采集软件共用同一个数据库。

实现信息系统业务日志文件、安全策略文件及其他相关数据文件的交换。公安网端部署FTP服务、分布式文件传输系统Flume Agent客户端，后者用于实现日志文件上传部级HDFS分布式文件系统。

（5）业务部署范围

结合清远市公安局交通警察支队现状，本项目公安交通管理信息安全监管系统日志采集软件部署涉及公安交通集成指挥平台。

采集上传的业务日志范围应能通过日志采集策略管理功能统一配置下发，要求各信息系统采集上传的日志数据。

（6）运行环境资源要求

本项目日志采集系统运行硬件环境利用清远市公安局交通警察支队现有资源，本项目不再另行采购，要求所提供的信息采集软件能部署于以下硬件环境及符合性能要求、满足服务要求。

2、定制化监测服务要求

（1）基于清远市公安局交通警察支队信息化现状，通过定制化的运行监测工具配置，实现对业务系统、服务器、数据库、中间件和网络设备等的故障监测和性能管理。具体要求如下：

（2）能对业务系统、服务器、虚拟机、中间件、数据库、存储等进行全面深入的监测，并提供实时故障报警。

（3）提供图形化的实时性能监测指标，展示系统的运行状态。

（4）提供所管理设备的拓扑结构图。

（5）实现协助IT运维人员全局把控IT系统，实现监测自动化，预警故障、快速定位、解决故障，确保业务系统的稳定运行。

（6）提供完善的性能报表。支持提供日报、月报、季报、年报，并支持根据用户的需要及时提供报表。报表的内容根据用户的需求进行定制化开发，提供系统健康状态的整体信息、统计以及总结信息，便于管理的需要，并为定位系统运行瓶颈、解决系统问题、改善系统性能提供参考依据。

（二）访问安全升级

1、后台访问安全设备

通过后台访问安全升级，即部署堡垒机设备，为清远交警支队公安交通管理同构建一个后台安全访问且符合等保要求的运维体系，通过有效的技术手段来降低运维风险、规范运维操作符合相关法律法规要求。

堡垒机设备从操作层解决管理部门IT内控与管理的相关问题，特别针对目前安全与运维操作管理中出现的突出的运维操作的风险问题，从账号管理、密码管理、权限控制、操作审计等方面，提供了稳定、安全、方便、可行性强的解决方案，从而根本上改变现有的管理模式，消除固有的弊端，安全运维操作管理进入一个真正安全与便利相结合的阶段，帮助客户使安全运维操作管理变得更加简单、安全、有效。

经过后台访问安全升级改造，为应用系统提供统一的访问入口，对账号的进行权限细分，明确账号的角色，从而实现权限的分配；丰富的管控模块，可以对业务的访问做好控制，防止高危操作和文件信息的泄露；并依托审查功能，可进一步满足合规性的要求。

同时基于多维度数据采集和智能分析，从账号管理、资产管理、操作审计等方面，及时发现企业运维风险并准确溯源，综合立体可视化平台，真正实现数据驱动的多场景安全管理。

2、前台访问安全改造

为进一步提高公安信息化应用的身份认证能力，防止信息窃取、篡改、泄露等安全风险，按照《公安信息网安全管理规定（试行）》第十条“公安信息网上的应用系统应当具备用户管理、权限管理、日志审计等安全功能，不得留有后门程序或者绕过安全机制。重要应用系统应采用公安信息网数字证书进行身份认证和授权访问”的要求，对单点登录服务登录认证模式进行改造，仅允许基于公安数字证书的身份认证模式，不再保留“用户名＋口令”等其它认证模式。数字证书认证走统一网关认证。

要求投标人对清远市公安局交通警察支队电子警察录入及交通违法罚款非税收费系统进行PKI认证改造。具体要求如下：

（1）去掉用户名密码登陆方式：在登录页面删除用户名密码登陆相关节点元素，去除此登录方式；

（2）PKI认证改走网关认：本次改造，新增一种认证模式的认证流程，不修改原有PKI认证流程。

（3）辅警功能模块改造：增加辅警模块，对辅警账号录入、修改、删除、和授权管理；增加日志模块记录对辅警授权的操作。

（4）认证过程：在登录页面读取证书，获取网关认证所需参数信息，将信息提交后台，后台根据网关接口规则封装报文，调用网关接口进行证书校验。接收网关返回信息进行解析，判断校验是否通过，如不通过，跳转至登录页面，提示相关错误信息；如通过，根据网关返回信息，进行后续cas规则下的相关信息校验和封装，走完cas认证流程，返回客户端，登录系统。

（5）当网关认证不通过、或者网关调用不通，均认为认证不通。

（三）数据安全强化

目前清远市交通警察支队业务系统并无针对各系统数据库数据采取备份措施，如果发生数据库故障，将会造成永久丢失数据的安全风险，为满足数据安全的备份需求及《网络安全等级保护基本要求》，需要对核心业务系统进行数据安全备份处理。

根据当前系统及备份数据量的现状，因业务的增长需求进行数据量增长估算，规划满足未来3年的备份方案。

序号	数据库名称	操作系统	数据库版本	基础数据量（TB）	第二年数据量（按每年20%递增）	第三年数据量（按每年20%递增）
1	机动车检验监管系统数据库	LINUX	oracle 11.2.0.4	11	13.2	15.84
2	集成指挥平台数据库	LINUX	oracle 11.2.0.4 RAC	2.4	2.88	3.456
3	驾驶人监管数据库	LINUX	oracle 12.1.0.2	1.6	1.92	2.304
4	科目一数据库（机动车驾驶人理论考试系统）	LINUX	oracle 12.1.0.2	1.5	1.8	2.16
合计				16.5	19.8	23.76

采用备份一体机进行系统数据的备份。备份一体机需将备份功能、容灾功能、存储功能与服务器硬件融合，在软硬件融合的同时，将系统的管理和维护复杂度降低，并全面提升系统的性能，保障清远市交警支队应用系统数据安全。

目前四个系统平台的数据总量约16.5TB,每年按20%计算数据增量，未来三年数据总量可达到23.7TB，考虑到数据重复、数据删除，存储冗余系数为0.72，则数据备份量：23.7*2÷0.72=65.83TB。因此本次配置12块6TB的硬盘，可用容量66TB，以满足未来三年数据备份的需求。

备份速度至少需满足10000mb/S/8=1250MB/S；因此，单位时间备份数据量：1小时＝3600*1250M＝4500G，20T数据全备份时间约为10小时。

（四）设备安全维护

1、基础设施维保服务

服务方式：主要服务方式为定期巡检、电话支持和一线工程师驻场服务。定期巡检周期不小于一个月。提供7×24小时故障受理电话服务，接障后驻场技术支持人员必须在30分钟内做出响应到达现场单位办公室，4小时内解决并完成服务需求。紧急、特殊的服务要求二线技术人员应能在2小时内到达现场，在4小时内提供服务至解决问题为止。

备件服务：交换机、服务器、存储设备如果出现硬件故障需要取走维修，需提供同等功能的备机设备，以保证业务运行不中断。取回维修的设备维修周期为：交换机、服务器、存储设备等3个工作日。

技术人员以及工程师资质：系统的维护、排除故障及维修服务，必须由具备各专业资质的（或同等资质）专业工程师完成。

技术人员以及工程师人数要求：本项目必须指定不少于1名技术人员提供5*8小时一线驻场技术支持服务和7×24小时故障受理电话服务。

1.1维保清单

本期项目维保范围包括服务器、存储、网络设备，以及基础软件数据库系统，以下是设备及系统现状信息列表：

（1）PC服务器清单

1.2设备系统保修要求

上述设备及系统需提供1年保修服务。

当清远市交通警察支队投保设备或系统出现故障时，需及时进行检查、维修或更换故障部件。

要求投标人备件库备有所投保机器的关键部件，包括服务器硬盘、内存、电源及配套设备等，保证当清远市交通警察支队保修范围内的设备出现零件损坏时，及时提供现场更换服务，需保证所提供备件是全新或功能全新。在用户系统出现整机崩溃时，将根据之前制定故障恢复应急方案进行处理。

2、日常驻场及专家支撑服务

投标人需为采购人提供1年的日常驻场及专家支撑服务，具体时间以签订合同为主。

2.1运维团队架构要求

为保障本项目的顺利建设和平稳运行，需建立强有力、高效率的项目实施体制，对项目建设过程进行规范、有效的管理。项目人员配备要求如下：

序号	执行团队角色	相关描述
1	服务经理	非驻场，1人，要求有项目管理经验。
2	一线驻场运维团队	驻场；共1人。提供服务器系统和网络设备的维护服务，要求驻场人员至少具备相关服务器系统认证资质，如MCSE或VM VCP或Oracle OCP
3	二线运维维护团队	非驻场；不少于5人，要求具有服务器、网络、数据库、中间件及备份等资质的资深工程师。

2.2驻场技术服务

（1）驻场服务时间

要求派遣1名服务人员按清远市交通警察支队，要求提供现场常驻服务器系统和网络设备维护服务。驻场时间为：

a、周一至周五5*8小时常驻现场；

b、周六日24小时备勤值守；

c、重大节假日24小时备勤值守。

（2）日常巡检服务

驻场人员按清远市交通警察支队要求，针对服务器设备进行巡查、登记工作，具体包括：

a、按要求定时巡检服务器系统、网络设备，巡检内容包括但不限于：服务器设备硬件设备、操作系统的运行状态、网络状态。

b、按进行机房日常进出人员管理，托管业务办理等。

c、服务器系统、网络设备发生故障需严格按相关《应急预案》执行应对，保障系统安全运行。

d、如在巡检过程中发现问题需及时上报清远市交通警察支队信息中心指定负责人。

e、进行服务器设备系统补丁的管理。

（3）故障处理时限标准

工作时间：一般1小时内响应，响应后4小时内解决，最迟不能超过12小时，若未能在限定时间内解决问题，向清远市交通警察支队提交详细故障处理报告和后续解决方案。

非工作时间：一般2小时内响应，响应后8小时内解决，最迟不能超过24小时，若未能在限定时间内解决问题，向清远市交通警察支队提交详细故障处理报告和后续解决方案。

（4）热线电话服务

需为清远市交通警察支队提供7*24小时故障报修热线服务，当清远市交通警察支队的保修范围内的硬件设备出现故障时，可以在任何时段联系到投标人，投标人应对处理解决业主方提出的日常系统使用故障和咨询问题。

（5）系统故障诊断及检修

当硬件出现问题时，投标人将及时对问题进行诊断、分析，并解决问题。如果是紧急故障，导致系统无法工作，业务停止运行的情况下工程师在接到服务请求4小时内到达到故障现场，故障解决时限为24小时。

2.3二线技术支持服务

（1）现场技术支持

服务工程师现场解决问题或提供技术指导。若用户系统出现故障，驻场工程师未能及时解决，提供二线工程师现场技术支持服务，二线工程师将在2小时内到达用户现场，为客户提供相关技术服务，故障解决时限为24小时。

（2）深度巡检服务

投标人将在服务期内提供每季度一次的定期检测,进行系统检查及预防性维护，并出具系统检测项目及结果的书面报告。

a、对服务器系统、设备环境和系统进行性能检测

b、系统健康检测的结果将转化为简明易懂的报告

c、由专业系统健康检测的服务专家跟进

d、硬件系统检测服务可以对系统上的硬件潜在的问题进行一个广泛的深入检查。运行环境

（3）性能调优服务

投标人将在服务期内按需提供性能调优服务，保障系统能以更优的状态运行。

（4）应用系统调整

投标人将在服务期内配合应用方进行业务调整，提供软硬件配置调整、数据资源汇总整理、配置项变更等服务，保证业务调整后的正常运行。

（5）安全运维

投标人将在服务期内配合用户进行安全迎检服务，并按相关政策要求进行安全设备配置调整，安全软硬件漏洞加固实施等服务。

（6）顾问咨询服务

投标人在服务期内提供顾问咨询服务，回答维护设备及系统有关操作、故障诊断方面的问题，顾问咨询方式分为电话传真服务、远程在线服务和现场服务。

（7）系统规划服务

投标人在服务期内提供系统扩充及功能更新服务。针对系统运行的实际情况，通过合理的分析，提出系统扩充和升级规划，保证系统能够满足不断增长的应用需要。

（8）项目整体管理

投标人在服务期内配置专职项目经理，负责提供项目日常管理、文档编制和归档、项目验收等。

五、主要采购清单及相关服务要求

以下设备清单作为投标人投标的依据。投标人最终建设内容以满足用户使用需求为准。所有费用包含在报价中，如有遗漏，采购人不追加费用。本项目所有硬盘损坏不回收，硬盘及数据所有权归采购人。

本项目的后端访问安全设备（堡垒机）、备份一体机等供货时须提供原厂证明。本项目的后端访问安全设备（堡垒机）、备份一体机等供货时须提供原厂证明。且投标人须承诺设备维护期不少于3年，软件维护期不少于1年，维护期内，所有设备的维修均为免费；所有设备维修服务、系统优化等均为免费服务，由此产生的费用均不再收取。维护期内投标人应提供系统扩充、升级方面的技术支持服务。

1、主要采购清单

序号	设备名称	参数描述	单位	数量
1	信息系统业务日志采集软件	见主要设备参数要求第1点	套	1
2	后端访问安全设备（堡垒机）	见主要设备参数要求第2点	台	1
3	备份一体机	见主要设备参数要求第3点	台	1

2、主要设备参数要求

2.1信息系统业务日志采集软件

设备名称

技术参数

信息系统业务日志采集软件

一、基本功能要求：1、日志采集上传功能：1）日志采集。将信息系统数据库归档日志文件、在线日志文件传输到采集软件本地服务器。采集提供两种方式：一是在源端数据库服务器安装客户端程序（Agent）；二是开放SMB、NFS等共享方式，并授予采集软件访问权限。2）日志解析。解析数据库归档日志文件、在线日志文件，通过数据库的SCN、Sequence精准定位增量数据，按照操作顺序对增量数据进行还原。3）数据封装。按照事务性、文件大小、数据量等规则对解析还原的数据内容进行封装，增加数据批号、操作时间等信息，生成格式化数据文件。4）压缩加密。对格式化数据文件进行压缩和加密后，将文件上传至文件交换服务器。同时，将数据文件名称、大小、类型等信息写入信息安全传输交换系统，由信息安全传输交换系统承担数据文件交换工作。 2、具备日志装载入库功能。1）日志装载。从HDFS分布式文件系统获取上传的日志文件，并对数据文件进行解压、解密处理。2）日志入库。对处理后的数据文件进行解析，把数据内容写入缓冲数据库，并生成入库反馈信息。 3、运行管理功能。1）采集策略更新。接收统一配置下发的采集策略信息，并进行解析、更新。包括从部级交通管理信息安全监管系统配置下发的日志采集定义，以及信息安全传输交换系统中设置的采集方式、数据资源地址、文件交换服务器地址等配置信息。2）运行状态监控。将硬件资源使用、关键进程运行、数据同步流量等运行状态信息上传信息安全传输交换系统，由信息安全传输交换系统统一实施监控。 3）异常情况报警。将网络中断、磁盘空间满、数据入库失败、任务启停失败、采集策略下载更新失败等异常报警信息上传信息安全传输交换系统，由信息安全传输交换系统统一实施监控。需完成与公安交通集成指挥平台的对接； 二、其他功能要求： 1、旁路部署。日志采集软件应与目标数据库分开，以软件形式独立部署并运行在目标数据库之外的服务器中，对目标数据库的数据库日志文件的解析、封装、加密、传输等处理过程，均在日志采集软件所在应用服务器中完成，减少日志采集软件对目标数据库的干扰。2、支持多目标数据库。1套日志采集软件应支持同时对多个目标数据库进行日志采集，并提供多个目标数据库连接方式、数据库日志文件获取方式等参数的分别配置功能。3、支持不同采集环境。日志采集软件应支持不同条件下的日志采集：1）可支持Oracle 9i以上所有版本目标数据库的数据采集，包括但不限于9i、10g、11g、12c等。2）可支持RAC模式的Oracle目标数据库的数据采集。3）可支持Oracle ASM/RAW存储方式目标数据库的数据采集。4）可支持标准数据库字段数据的采集，包括基础类型（字符型、整数型、浮点形、时间型、XML型等）、LOB类型（CLOB、NCLOB、BLOB）等、二进制类型（raw、long raw、binary等）。5）可支持安装在不同操作系统环境下目标数据库的数据采集，包括windows XP/2000/2003/2008/7、Red Hat Linux4/5/6、CentOS 5/6/7、AIX 5/6、HP-UX、SUN Solaris、Oracle Enterpris Linux。6）可支持目标数据库32位和64位操作系统。7）可支持目标数据库多种字符集类型，包括GBK、UTF-8。8）可支持目标数据库无主键且无唯一索引表数据的采集。4、双机互备。支持双机互备模式的容灾备份，可实现2套日志采集软件之间的双机互备机制，当其中1套软件发生故障后，该日志采集软件的数据采集任务可无缝切换到备用日志采集软件继续运行，不能造成任务、数据的丢失或数据的混乱，防止因单点故障而导致日志采集工作中断。5、数据库审计信息采集。在通过数据库日志文件采集数据过程中，除采集业务日志数据外，还应依据数据库操作的事务信息，采集操作的机器名、客户端类型（SQL Plus、PL/SQL Developer、JDBC等）、操作时间、事务编号等数据库审计信息。6、日志采集软件自身运行环境。日志采集软件配置管理采用B/S架构，全中文图形化界面实现本地配置管理、运行监控等功能。为方便各级公安交管部门日常维护，日志采集软件自身所用数据库为Oracle 10g及以上，用于存放日志采集软件自身用户信息、配置参数信息、从安管系统获取的参数信息，以及日志采集过程中产生的运行状态监控信息、审计信息、异常报警信息等。 三、性能要求： 1、在双机互备部署模式下，自动进行热备切换的最小时间间隔不大于30秒； 2、单个软件安装节点，可实现不少于2000张表的数据采集； 3、单个软件安装节点，存量数据采集性能不低于15MB/秒； 4、单个软件安装节点，单个业务数据库时，归档日志文件解析性能不低于10MB/秒； 5、在数据采集过程中，保证数据不丢失、不错乱。 四．其他要求 信息系统业务日志采集软件投标产品制造商具有信息安全等级保护安全建设服务机构能力评估合格证书。

2.2后端访问安全设备（堡垒机）

项目

基本要求

堡垒机

1.1U标准硬件；硬盘：1*1T SATA；电源：单电源；网络接口：2个千兆电口； 2.授权可管理目标设备对象不低于200个； 3.支持双因素组合认证，可以将两种认证组合为全新的认证方式； 4.▲支持AD账号的定期自动化同步，当AD域中的账号有变更时，会被自动同步的系统中，并加入预定义的用户分组；需提供该功能界面截图证明； 5.具备账号密码的防爆力破解功能，可在用户持续输错若干次密码后，自动锁定账号或者客户端，锁定时常能够自定义； 6.支持等价资产管理和等价账号管理，当等价关系设定后，其中一台资产内的账号密码发生变更，等价的资产、账号密码随之自动变更； 7.▲支持基于ABAC模式的动态权限管控，管理员可基于用户属性、资产属性、系统账号属性来创建弹性动态权限规则，只要满足相关属性的用户、资产、账号即会被自动赋予对应访问权限；需提供该功能界面截图证明； 8.支持基于A/B角管理模式的双人复核，当用户登录到目标资产时，必须经过复核人的复核确认后才能正常操作；当会话复核人发现操作存在风险，可实时暂停； 9.内置密码获取工单：申请人可根据需要填写包含目标资产名称、系统账号名称、使用时间段的密码工单；管理员对密码工单审批通过后，系统自动将密码获取链接发送给申请人；申请人打开链接后，可凭借登录密码+解密密码，获取对应的账号密码；工单过期后，系统自动对该账号进行改密操作； 10.支持资产会话状态侦测，可通过查看访问当前资产的会话总数及相关会话数，及时了解当前资产运维状态；需提供该功能界面截图证明并加盖原厂公章； 11.▲具备命令识别方面的先进性技术，可实现对命令行操作行为的100%记录；需提供国家知识产权局颁布的技术先进性证明文件扫描件，并加盖原厂公章； 12.▲具备数据库审计方面的先进性技术，可实现对oracle、sqlserver、mysql数据库客户端操作行为的100%的SQL语句还原；需提供国家知识产权局颁布的技术先进性证明文件扫描件； 13.支持资产、用户、操作三个维度的问题检索，其中在操作检索层面，支持多关键字，检索结果可以直接定位到相关操作片段，并能将多个操作片段进行一键合并和基于时间的操作排序重组； 14.支持HTTP Host头攻击防护；

2.3、备份一体机

指标项		技术规格要求
硬件要求	处理器	不低于8核16线程,2.1GHz
	硬盘	★不少于12*6TB 7200RPM/SATA磁盘。
		支持在线扩容，可通过后期在线添加磁盘和扩展磁盘柜的方式，进行备份介质容量的增加。
	内存	▲不少于32GB RAM，最大可扩容1024GB
	网络接口	不少于2个千兆网络端口，提供不少于4个PCI-E扩容槽，
		★配置1个10G网络接口
保护功能	平台兼容性	支持Windows、Linux、UNIX、AIX、Solaris、 HP-UX等主流操作系统，以及自主可控操作系统。
		▲支持IPv6的网络配置，支持对IPv6网络中的客户端资源进行备份和恢复。需要获得IPv6 Ready Logo 认证证书，需提供证书复印件
	平台安全性	基于linux的备份存储专用系统，支持https方式登录，确保登录安全
	文件保护	支持在同一文件备份作业中采用多通道并发备份，提高备份和恢复的速度。
		文件执行完全备份后的备份集，无需还原数据，直接通过挂载方式实现即时恢复。
		▲支持Linux、Unix中文件的备份集恢复到Hadoop 分布式文件系统（HDFS）、对象存储中，实现POSIX文件数据在不同文件系统中转换恢复。（提供产品截图）
	操作系统保护	支持linux 和windows操作系统的备份及异机恢复，支持操作系统备份与恢复的UEFI引导方式。
		操作系统恢复过程中提供驱动程序更换界面，允许客户针对不同的驱动程序做调整。
	数据库应用保护	支持主流的数据库备份恢复，包括但不限于Oracle、 SQL Server、 MySQL、 Sybase、 DB2、 Informix、 MongoDB、 PostgreSQL 、Caché、SAP HANA、Exchange、SharePoint、Domino等主流数据库应用。
		▲支持通过图形界面进行作业的配置，实现对 Cache数据库的备份和恢复。（提供产品功能截图）
		在作业配置向导界面中提供时间导轨滚动条，通过拉动滚动条，提供以秒为进度单位来选定恢复时间点，实现数据库可以在任意时间点上的恢复。
	云平台保护	支持VMware、Hyper-V、Xenserver、Xen、KVM、FusionCompute、FusionCloud、H3C CAS、OpenStack、CNware、RHEV、腾讯云（Tstack）、StackCube、EasyStack、联通沃云（Wo Cloud）等虚拟机的备份恢复（不能采用guest host 操作系统备份恢复方式）。（提供产品功能截图）
	重复数据删除	★配置重复数据删除功能。
		支持固定块、变长块的数据重删技术，在创建重删存储空间时，需要提供变长和固定数据的数据块大小选择
		支持对操作系统、文件、各种数据库与虚拟机等备份集的重复数据删除功能。
	远程复制	支持catalog、备份集等备份数据的异地容灾，即通过异地存储的备份数据，对本地、异地中备份服务器、存储服务器、代理端等设备，实现在本机或异机上进行恢复
		支持备份任务执行时，采用接龙式的点到点复制方式，实现备份集在存储服务器中的多份同步复制，避免源端服务器在备份集进行1对多并发复制时造成的占用多倍传输资源。
	数据加密	支持AES、Blowfish等加密算法。对于AES加密需要支持选择不同密钥长度，以便用户根据源端计算资源情况选择合适的数据加密处理。
可用性	可用性验证	支持对Oracle、SQL Server、MySQL、DB2、PostgreSQL、Informix、Sybase、达梦、Kingbase、Gbase、Domino等主流数据库的备份集进行定时容灾演练，以此检验备份集的可用性。
可管理性	管理方式	▲采用先进的运维管理架构，平台同时兼容备份、CDP、高可用、数据库同步等功能要求，所有功能的管理和监控，都在备份软件中采用同一可视化界面实现。（提供产品功能截图）
		支持同一存储空间中通过添加多个存储（介质）服务器，把存储容量进行合并，达到备份数据存储空间的平滑扩展。
	告警方式	支持以邮件告警的方式，针对于备份存储系统的硬件故障、软件故障等等信息及时通知管理员
证书	产品证书	投标时提供的投标产品由公安部颁发的《安全产品销售许可证》。（提供证书复印件）
		投标时提供由中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》（提供证书复印件）

六、项目安全体系要求

（一）信息系统安全等级要求

公安交通管理信息安全监管系统定级为系统安全保护等级第二级，要求在服务期间内通过系统安全保护等级第二级测评。

（二）应用安全设计

1、安全访问控制

1.1身份认证

用户在前台界面必须键入、其用户名以及口令来证明其是否是合法的用户，只有合法的用户才能登录到应用系统。

1.2多级权限控制证

系统有很多的功能模块组成，即使对合法用户，也不能操作所有的模块，而是根据用户的工作部门、工作性质授予相应的功能模块；

对同样的数据可以设置不同的操作权限:查询权限、录入权限、审核权限、审批权限；

系统除了支持上述的岗位制管理外，还支持专管员管理，系统对于专管员可以赋予他只能操作某一区、某一些单位或某一类人员的数据，及满数据集的权限管理，这样可以满足不同的管理模式和管理规范的权限管理的要求。

1.3应用逐级授权机制

本系统权限设计支持逐级授权，上级可以向下一级授予上级拥有的权限，并且下一级不能看见上一级的数据，而上一级可以看见下一级的数据，这样的逐级授权机制满足业务经办要求。

1.4应用系统日志

日志管理跟踪记录用户登录系统的信息，操作的业务模块以及操作的重要库表的信息，包括用户名称、操作的模块，对重要库表的操作类型(增、删、改)、字段操作前和操作后的数值等。通过日志管理，在发生误操作时可以方便的进行回退处理，而且也可以跟踪一些业务操作员的违规操。

2、应用软件权限设计

2.1模块级权限

模块级权限可以通过角色实现上级权限控制，下级权限需要从上级权限获取权限。当调整上级权限时，自动实现对下级权限的调整，换句话就是说当从上级权限中取消一个权限时，下级权限中也同样被取消相同的权限。

2.2数据集权限

数据级权限通过对域的控制来实现。“域”实际上是数据域的概念。通过对数据域的定义将数据按照域的不同划分成不同的范围，当某操作员被分配属于该域时，该操作人员就获得了该数据域的数据操作权限，该操作员不能对其他数据域中的数据进行操作。

2.3操作级权限

操作级权限通过对模块中操作按钮进行按照功能ID进行定义来控制，系统功能1D按照权限可以分为插入、更新、删除、查询四个级别。在B/S架构中，业务操作员对应功能1D的获得通过权限管理中对应模块级功能1D的控制来进行。当操作员登录系统时，获得对应功能1D列表，并保存在本地 Cache中。当操作员对相应模块进行操作时，系统检查对应功能ID级别以判断对此模块的操作权限。通过操作级权限的控制，系统中所有数据都可以通过权限进行控制，实现所有数据都可以查询、修改、删除，减少后台人员在数据库中手工修改数据。

3、应用安全审计

3.1生成操作日志

生成操作日志包括以下几方面内容：

（1）创建、删除用户

为了防止通过临时创建的用户做一些违规的操作，在操作日志中记录用户创建和删除的详细信息。

（2）密码修改

防止人为的破坏系统中的用户导致用户不能正常登录，在日志中保存密码修改的详细信息。

（3）密码连续校验失败

密码连续校验失败可能意味着有非法用户尝试登录系统，在日志中保存密码校验失败的详细信息。

（4）登录退出

为了事后追查安全问题的原因，登录退出在日志中保存了详细的信息。

（5）授权变更

为了避免违规授权操作，授权变更在日志中保存了详细的信息。

3.2监控与预警

监控与预警包括以下几方面内容:

（1）非正常时间段登录

对于非正常时间段的登录，可以设置自动发送警告信息或邮件通知相关的系统管理员。

（2）多次登录失败

多次登录失败可以设置自动发送警告信息或邮件通知相关的系统管理员。

（3）在线用户监控

在线用户监控可以显示所有在线用户当前正在执行的业务操作的详细信息。

4、恶意代码防范

在支队内部网络中可部署立体防病毒体系，实现了对服务器、客户端的实时病毒防御。使得平台的服务器和管理工作站具备病毒防御能力。

4.1系统安全管理

（1）安全防护组织机构

建立车驾管监管系统项目安全防护的组织机构，并将安全防护的责任落实到人，安全防护组织可以专职或者有运维人员兼职。

（2）安全管理规章制度

建立安全管理规章制度，具体包括:安全防护策略管理，软件系统安全生命周期的管理，系统安全运维管理，安全审计与安全监控管理，以及口令管理、权限管理等。

（3）安全运行管理

在项目实施过程中，遵守安全管理规定，尊重并严格遵守业务数据安全保密、网络资源使用、办公环境等的安全规定。

系统正式上线前应进行专门的系统安全测试,应确认软件系统安全配置项目准确,以使得已经设计、开发的安全防护功能正常工作。

上线运行维护阶段,应定期对系统运行情况进行全面审计。包括网络、主机、数据库等审计,业务应用审计等。每次审计应记入审计报告，发现问题应进入问题处理流程。

软件升级改造可能会对原来的系统做出系统更改,此时也应实施从需求、分析、设计、实施上线等的整个生命周期的安全防护方案。

（4）应急机制

结合系统备份和容灾方案,制定应急流程和灾难恢复流程。

（三）数据安全设计

数据是本项目应用关键性数据，必须保证数据和隐私，因此必须考虑以下安全措施：

1、数据库应设置预定的备份策略进行本地备份，有条件可做异地备份；

2、严格按照用户级别来授权用户对数据和资料的访问；

3、关键数据的修改记录应记录详细的操作日志，以备追查；

4、数据的传输与关键敏感的数据的存放需进行一定的加密处理。

5、制订数据库系统备份和恢复方案时，必须将重点放在防范用户失误和介质实效而造成的数据损失。本项目应采用专业的备份软件为整个网络中的服务器和工作站提供高速、可靠的备份和恢复能力。

 

 

二、采购项目商务要求

1、供货要求

1.1 投标人必须对本项目整体进行投标，不得拆分，且要提供完整的技术资料，中标后不得将本次采购的合同转包或分包给其他供应商。

1.2 中标人所供设备须符合国家的相关规定，且负责将所供设备送至采购人指定地点，并负责设备的安装、调试等。

1.3 设备安装时，所涉的有关零配件均由中标人提供。

1.4 在履行过程中，如因不可抗力、采购人原因或政府/社会事件行为等非中标人原因导致实施延误的，工期相应顺延。

2、报价要求

2.1 投标人的投标报价须以人民币为单位。报价不得高于采购方预算价，否则作无效投标处理。

2.2 投标总报价为完成本项目所需费用的总和，包括标的设备供货、其他附件、安装、随机零配件、配套设施、包装、技术服务、一切税费（包括关税、增值税等）、运费、保险费、仓储费、测试、调试、验收、培训费、质保期等投标和履约过程可预见和不可预见的一切费用。

2.3 投标人须考虑本项目在实施期间的一切可能产生的费用。在项目实施过程中，如项目工作范围发生变更，由中标人和采购人双方协商解决；其余情况下，投标总价均不予调整，采购人将不再另行支付与本项目相关的任何费用。

3、完工期：合同生效之日起210个日历日内完成。（具体时间以签定合同为准。）

4、质量要求

交付验收标准依次序对照适用标准为：①符合中华人民共和国国家安全质量标准、环保标准或行业标准；②货物来源国官方标准。

5、项目运行维护要求及培训要求

5.1项目维护要求

系统建成后，需为本项目内的新采购的硬件设备提供不低于3年质保服务，为采购的软件系统提供不低于1年的质保服务（设备到货验收合格之日算起），原有设备及系统提供1年保修服务（从合同签订之日算起）。保修期内，所有硬件设备的维修均为免费，所有设备维修服务均为免费服务，所有软件性能优化服务均为免费，由此产生的费用均不再收取。应提供系统扩充、升级方面的技术支持服务。

5.2培训要求

5.2.1培训任务

主要由中标人的培训教师来完成，培训教师均要求具有三年以上的教学经验。

5.2.2培训地点

由中标人与采购人共同商议确定。

5.2.3培训教材

资料应经过项目各方评审认可，以确保培训质量。由中标人负责培训教材编制与印刷。

5.2.4培训费用

由中标人承担场地租赁费用和其他培训开支。

6、项目验收要求

6.1项目验收的前提条件

中标人应根据制定的验收方案和实施办法，自行组织设备和人员，并在采购人、项目监理单位监查下现场进行测试和验收：

（1）所有建设项目按照合同要求全部建成，并满足使用要求；

（2）各种技术文档和验收资料完备，符合合同的内容；

（3）系统建设和数据处理符合信息安全的要求；

（4）外购的操作系统、数据库、中间件、应用软件和开发工具符合知识产权相关政策法规的要求；

（5）各种设备经加电试运行，状态正常；

（6）经过监理方同意；

（7）经过相关主管部门和项目业主同意；

（8）合同或合同附件规定的其他验收条件。

6.2验收程序

6.2.1初验

项目安装调试完成后，中标人根据合同、招标书、计划任务书，检查、总结项目完成情况后向采购人提出初验申请。

6.2.2终验

初验合格后，项目进入试运行阶段，试运行合格并结束后，中标人根据合同、招标书、计划任务书，检查、总结项目完成情况后向采购人提出终验申请。由采购人、监理单位、专家组成验收小组，验收时参照相关验收内容及标准进行，验收后必须提交验收报告。

7、付款方式

7.1、合同签订后10个工作日内支付合同总价款的40%；

7.2、项目验收合格后10个工作日内，支付合同总价款的60%。

7.3、采购人在前款规定的付款时间为向财政部门提出办理支付申请手续的时间（不含财政部门审核的时间），在规定时间内提出支付申请手续后即视为采购人已经按期支付，实际到账时间按财政支付为准。