招标文件
采购需求
一、项目背景
按照国家有关主管部门的要求,依据《信息安全技术网络安全等级保护基本要求》、《信息安全等级保护管理办法》、《水利网络与信息安全体系建设基本技术要求》等标准,潍坊市水利局开展了等级保护相关工作。前期,潍坊市水利局已对潍坊市水利综合管理平台(S2A2G2)、潍坊市水资源管理系统(S2A2G2)、潍坊市农村饮水安全管理信息系统(S2A2G2)、智慧河湖管理系统(S2A2G2)等应用系统进行了定级,并对相关网络和应用系统进行了预测评,已形成预测评报告及网络安全整改建议书。
二、整改服务目标
为了解决所存在的问题,顺利通过等级保护测评,按照《关于开展信息安全等级保护安全建设整改工作的指导意见》,拟开展潍坊市水利局的潍坊市水利综合管理平台、潍坊市水资源管理系统、潍坊市农村饮水安全管理信息系统、智慧河湖管理系统等本级信息安全等级保护安全建设整改工作。
三、实施原则
为实现整改服务目标,结合潍坊市水利局现有各网络与应用系统和未来发展需求,总体应贯彻以下项目原则。
1、保密原则:在进行整改实施的过程中,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人, 不得利用这些信息损害用户利益。并与潍坊市水利局签订保密协议,承诺未经允许不向其他任何第三方泄露有关潍坊市水利局的信息。
2、沟通原则:在整个整改实施过程之中,强调沟通,不管是从准备阶段, 还是实施阶段。每个阶段都能够及时沟通,及时调整整改工作中的问题,进而更好的进行等级保护整改工作。
3、最小影响原则:应尽可能小的影响系统和网络的正常运行,不能对业务的正常运行产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应对风险进行说明。
4、规范性原则:实施必须由专业的信息安全服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告。
5、质量保障原则:项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督、控制项目的进度和质量。
四、实施依据
本项目实施将依据和参考下列政策法规和标准规范。
1、政策法规
中华人民共和国计算机信息系统安全保护条例(1994 国务院 147 号令)
计算机信息系统安全保护等级划分准则(GB17859-2019)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2019]27 号)
关于信息安全等级保护工作的实施意见(公通字[2019]66 号)
《信息安全等级保护管理办法》公通字[2019]43 号
关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2019]861 号)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2019]27 号)
2、标准规范
《计算机信息系统安全保护等级划分准则》(GB/T17859-2019)
GBT22239-2019《信息安全技术_信息系统安全等级保护基本要求》
GBT22240-2019《信息安全技术_信息系统安全等级保护定级指南》
《信息安全技术信息系统等级保护安全设计技术要求》
《信息安全技术信息系统安全等级保护实施指南》
《信息安全技术信息安全等级保护整改规范》(GB/T20984-2019)
《信息系统安全等级保护整改实施指南》
《信息技术安全技术信息安全管理体系要求》(GB/T22080-2019)
《信息技术安全技术信息安全管理实用规则》(GB/T22081-2019)
《信息技术安全技术信息技术安全管理指南》(ISO/IECTR13335)
《信息技术安全技术信息技术安全性评估准则》(GB/T18336-2019)
《信息安全等级保护整改指南》
《信息安全风险管理指南》
五、整改服务内容
1、按照网络安全整改建议书,通过地毯式排查方法完成建议书中的中高级风险点整改。
2、根据网络安全整改建议书的建议采购网络版服务器病毒防护软件,实现对物理及虚拟化服务器的系统监控,达到软硬联动,全面防御的效果。
3、对办公网络部署加密级无线 AP,实现与上网行为管理联防联控,安全可控的无线访问办公网络,有效降低网络安全风险。
六、整改服务具体要求及清单
|
序号 |
名称 |
规格、参数要求 |
数量 |
单位 |
|
1 |
等级保护整改服务 |
1、潍坊市水利综合管理平台(S2A2G2)、潍坊市水资源管理系统(S2A2G2)、潍坊市农村饮水安全管理信息系统 (S2A2G2)、智慧河湖管理系统(S2A2G2)等信息系统优 化调整及加固; 2、相关信息安全产品部署; 3、协助建立信息系统安全管理机构; 4、完善信息系统安全管理制度; 5、培训信息系统安全管理人员; 6、制定信息系统建设规划; 7、制定信息系统运维管理制度; 8、对整改建议书中的主要问题及评测公司提出的整改建议项进行处理和改进。 |
1 |
项 |
|
2 |
协助运维服务 |
协助潍坊市水利局做好以下工作: 1、配合等保测评机构通过等保测评; 2、做好服务器安全检查; 3、关键 PC 终端安全检查; 4、用户操作行为审计; 5、日志审计分析(入侵、攻击行为识别); 6、数据库日志审计分析; 7、应用服务日志审计分析(入侵、攻击行为识别)。 |
1 |
项 |
|
3 |
网络版 防病毒 软件(服务器版) |
1、具备风险账号探测感知能力,能够通过“7 天”、“30 天”登录历史展示分析,检测发现隐藏账号、弱密码账号、可疑 root 权限账号、长期未使用账号、半夜登录贴和多 IP 登录账号等风险状况,并能对风险账号详细信息展示呈现并导出。 2、具备用户网络在线终端探测感知能力,能够逐一对选定的在线终端配置属性、运行状态和安全策略等信息, 检测分析已有和潜在风险,并通过启用 agent、漏洞查补、病毒快速查杀、下发消息等方式对相关风险主机实施风险处置。 3、具备人工智能检测能力,能够通过基于人工智能的检测引擎和无特征检测技术,有效应对恶意代码及其变种。 4、具备文件信誉检测能力,能够运用本地缓存信誉检测与全网信誉检测技术构建全网文件信誉库,并能针对性优先检测未知文件以减少资源开销。 5、具备文件缓存查杀能力,控制中心平台通过全网文件 缓存,提升云查杀速度并减少网络带宽消耗;用户终端通过全盘文件缓存,提升本地二次扫描速度并减少本地虚拟化环境的资源消耗。 6、具备多维度、轻量级漏斗型架构检测功能,能够综合运用文件信誉检测引擎、文件数签检测引擎、基因特征检测引擎、人工智能检测引擎、行为分析检测引擎和云查检测引擎,采用漏斗型检测架构层层过滤,提高未知威胁检测准确性、时效性,并降低网络和用户终端资源消耗。 7、具备跳跃式扫描检测能力,能够运用跳跃式扫描技术暂时跳过无关应用威胁检测特征的数据流量,文件大小可控制在 1M-100M 范围,减少无效扫描以提高检测效率。 8、具备服务器端微隔离访问关系控制能力,提供基于主机防火墙的创新微隔离技术手段,能够通过业务系统之间、业务系统内不同应用角色之间及业务系统内相同应用角色之间的访问控制策略配置,提供基于安全域之间的流量访问控制措施,有效解决横向安全威胁移动、内网高级威胁扩散及处置问题。 9、具备平台管理权限配置功能,能够根据用户网络管理员权限区分超级管理员、普通管理员、审计管理员等管理角色,并能根据管理权限具备配置可管辖终端范围、操作权限等。 10、能够实现 agent 安装目录的文件保护,提供 agent 目录、文件实时监控驱动文件和 agent 服务/进程/文件不被恶意删除等自保护,对用户终端遭受病毒入侵提供有效保护; 11、★具备勒索病毒专项防护功能,能够运用基于 AI 技术的引擎实时监测,并能通过释放诱饵文件实时监控勒索病毒对文件的修改、加密等操作,检测发现勒索病毒及相关变种,近于达到 100检出率和零误报率(需提供产品截图证明)。 12、具备 Windows 终端合规检查功能,能够对指定用户终端/终端组的身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范和恶意代码防范等内容实施一键式合规性检查,对相关终端不合规检查项提供改进指导,并能展示呈现基线合规性检查结果。 13、★具备用户全网威胁定位功能,能够基于威胁情报特征值和域名对用户全网终端搜索检测,并能定位呈现病毒感染分布情况(需提供产品截图证明)。 14、要求与原有网络安全态势感知平台实现联动。 15、平台要求:110 个 Windows 平台,10 个 Linux 平台。 |
120 |
个 |
|
4 |
吸顶 AP |
1. 支持802.11ac wave 2协议,支持2.4G和5G同时工作; 支持2x2 MIMO,整机最大传输速率≥1.167Gbps; 2. 千兆以太网口≥1个,并需提供1个RJ-45 Console管理口; 3. 支持802.3af标准的PoE供电和本地电源适配器供电两种方式; 4. AP支持集中转发和本地转发两种数据转发模式,同一个AP上基于SSID选择本地转发或者集中转发; 5. 支持虚拟AP技术,单射频SSID数量≥16,整机≥32。 6. 支持SSID隐藏;支持英文SSID、中文SSID或中英文混合SSID。 7. 支持100 胖瘦一体化,无需通过软件升级的方式即可在廋AP和胖AP互相转换,以适应部署需求。 8. ★支持接入点VPN功能,可以跨互联网与异地的无线控制器建立加密通信隧道,实现加密远程访问,提供功能截图。 9. 支持基于时间计划定时开启或关闭指定SSID,并可配置例外SSID。 10. 支持同一个AP不同SSID无线空口的资源动态带宽分配,当AP带宽不足时,其包含的所有的SSID之间的保证带宽将按各自设定的权重进行分配。 11. 支持同一个SSID根据不同应用流量分配子通道资源, 当SSID带宽不足时,其包含的子通道的保证带宽将按各自设定的优先级高低及权重进行分配; 12. 为保证兼容性与统一管理,要求本次招标的AP、AC、POE交换机为同一品牌。 |
7 |
台 |
|
5 |
8 口 POE 交换机 |
1. 千兆 POE 电口数≥8 个,1G/2.5G SFP 光口≥4 个 2. 支持 IEEE 802.3af/at 供电标准,单端口最大输出功率 30W,整机最大输出功率≥135W 3. 交换容量≥2.56Tbps,包转发率≥102Mpps 4. 支持基于交换机单端口、聚合口的 ACL 策略 5. 支持基于源目 IP 地址、MAC 地址的 ACL 策略 6. 支持基于时间的 ACL 策略 7. 支持 STP、RSTP、MSTP 协议 8. 支持 IGMP v1/v2/v3 Snooping 9. 支持 4K 个 VLAN 10. ★支持通过在网络控制器平台的 Web 页面对交换机进行可视化端口状态及配置、vlan 信息等,提供功能截图证明加盖原厂公章 11. 支持交换机的端口供电时间计划 12. 支持查看终端在交换机端口离线次数、闲置时间、离线趋势 13. 支持 IEEE 802.3az 标准的 EEE 节能技术:当 EEE 使能时,从而大幅度的减小端口在该阶段的功耗,达到了节能的目的。 14. 支持静态路由协议,支持 CPU 保护功能 15. 为保证兼容性与统一管理,要求本次招标的 AP、AC、 POE 交换机为同一品牌。 |
1 |
台 |
|
6 |
24 口POE 交换机 |
1. ★千兆 POE 电口≥24 个, 1G/2.5G SFP 千兆光口≥4 个,提供设备背板截图。 2. 支持 IEEE 802.3af/at 供电标准,单端口最大输出功率≥30W,整机最大输出功率≥370W 3. 交换性能≥3.36Tbps,包转发率≥126Mpps 4. 支持基于交换机单端口、聚合口的 ACL 策略 5. 支持基于源目 IP 地址、MAC 地址的 ACL 策略 6. 支持 STP、RSTP、MSTP 协议;支持 IGMP v1/v2/v3 Snooping 7. 支持 IEEE 802.3az 标准的 EEE 节能技术:当 EEE 使能时,从而大幅度的减小端口在该阶段的功耗,达到了节能的目的 8. 支持静态路由协议 9. 支持通过控制器平台查看交换机端口负载情况,提供平台功能截图证明 10. 支持通过 APP 进行远程管理,并且可以修改交换机网络配置,提供 APP 软件功能配置截图证明 11. 支持通过在控制器平台的 Web 页面对交换机进行可视化管理查看,包括交换机的端口状态及配置、vlan 信息,提供功能截图证明 12. 为保证兼容性与统一管理,要求本次招标的 AP、AC、 POE 交换机为同一品牌。 |
1 |
台 |
|
7 |
无线控制器 |
1. ★设备为标准 1U 机架式设备;具备不少于4 个千兆电口,2 个 USB 接口,1 个 RJ45 串口;集中转发模式下最大可支持管理 AP 数≥72,license 步长≤2,提供设备背板截图。 2. 支持 802.1x、Portal、MAC 地址认证、CA 证书认证、WAPI、802.1X WEP 等企业认证,以及二维码审核认证、短信认证、APP 认证、临时访客账号、Facebook 等外来访客认证方式。 3. 支持接入终端操作系统智能识别,能识别安卓、ios、windows移动终端、windows PC、MAC PC等接入终端, 支持基于终端操作系统类型、终端MAC黑白名单库, 实现基于终端的准入,实现应用审计。 4. 支持Portal认证页面自定义,支持portal认证页面根据医院实际需求进行宣传图片、流程指导等信息的推送展示,支持内置5种以上广告模板。 5. 为满足无线网络安全需求,需要支持应用识别,能识别不低于4700种的网络应用,能识别邮件、游戏、P2P 流媒体、WEB流媒体、金融交易、办公OA、移动终端应用等主流应用。 6. 支持网络应用智能缓存,自动将无线网络中首次下载的APP,缓存到本地服务器(包括控制器内置硬盘、 AP外置U盘或者外挂服务器),实现缓存加速。 7. 支持用户画像,支持对用户的移动轨迹、来访偏好、高峰时段、来访频次、驻留时长、WiFi使用时长、移动终端类型、性别、归属地域、上网爱好标签等信息进行收集和分析。 8. 支持AP热点地图分析,导入CAD区域分布图,直观显示每个AP的实际部署位置,可实时查看AP状态、接入用户数、实时流量等信息,方便管理员实时了解网络健康状态。 9. 提供多种规则的页面推送方式,支持根据AP位置、时间计划、性别、运营商类型、归属地等推送不同的Portal页面,实现不同效果的首页推送。 10. 为满足审计和行为管理需要,设备内置硬盘,硬盘大小≥32GB(保留拆机测验权利),支持网络应用智能缓存,自动将无线网络中首次下载的APP,缓存到本地服务器,实现缓存加速。 11. 为保证兼容性与统一管理,要求本次招标的AP、AC、POE交换机为同一品牌。 |
1 |
台 |
|
8 |
管理 AP授权 |
NAP接入授权,每一个AP对应一个管理许可。 |
7 |
个 |
|
9 |
网络特征识别库软件 |
适用于本次招标的无线控制器设备,一年设备的应用识别功能服务(包含特征识别库和URL库) |
1 |
年 |
说明:1、磋商文件中技术部分如果涉及到品牌、型号等,并不表明该标的被指定,而是仅供供应商参考,供应商所投的设备只要优于或相当于此品牌、型号,都将被视为对磋商文件作出了实质性的响应。
2、供应商应如实在响应文件中的“技术偏离表中”中注明所投产品与磋商文件技术要求的偏离情况。未予注明的,视为全部满足磋商文件要求,但在评审及合同履行过程中,发现供应商有弄虚作假的情形,均将被视为虚假应标,采购人将按照相关法律法规规定对其进行处理。
响应文件中,必须明确写明所投产品的详细技术参数(附厂家设备介绍彩页,官网设备参数介绍等)。
七、其他要求
1、整改服务期限要求:合同签订后 30 日内完成整改工作。
2、整改服务人员要求:相关技术人员均相应工程师证书,具有维保服务经验。
收藏