招标文件
采购需求
1 项目背景
北京广播电视台信息系统涵盖了办公、制播、新媒体等多个方面,网络架构包括传统网络、私有云和公有云,随着新媒体形态下业务的不断融合,信息系统已经成为必不可少的基础支撑, 网络安全更是成为信息化建设中的关键保障。自《网络安全法》颁布以来,《网络安全等级保护制度 2.0》和《广播电视网络安全管理办法》等相关文件的陆续颁布,网络安全受到越来越高的重视度,同时也对北京广播电视台的网络安全工作提出了更高的要求。
在新形势下,北京广播电视台在原有办公业务和电视节目制播体系基础上,相继开展了基 于公有云、混合云架构的新媒体、融合媒体业务创新,在网络安全保障方面引入了专业网络安 全服务商,为北京广播电视台提供信息系统全生命周期的网络安全管理服务,同时为融合制播 业务超高清网络化节目生产业务提供了核心的安全保障。本项目在现有网络防护措施基础之上, 从攻防对抗视角梳理我台当前安全防御体系的薄弱环节,并结合当下前沿的“零信任”网络安 全技术理念,完善安全边界建设体系架构,采购网络安全设备开展边界安全加固建设,进一步 加固我台网络安全防护体系。
2 现状描述
北京广播电视台经过多年安全规划和系统建设,已经形成了相对完善的网络及安全防护体系,各区域边界具备基础安全防护措施。办公域数据中心作为日常办公业务系统的关键区域, 在多年的信息化建设中,承载了由不同时期建设的各类型业务系统,主要包含 B/S 类型业务和C/S 类业务应用,在满足财务、OA、邮箱等日常办公业务的同时,还包括节目生产文稿系统、媒资浏览、素材预览、流媒体业务、素材上传等广电特点的业务系统。部分业务系统存在过于老旧无法加固的现状,缺少更为有效的安全防护措施。
台内生产网与办公网是私有云环境,二者的安全等级不同,部署的业务模块相对独立,通过台内的高安全区交互,同时对接到台内安全区的内部边界交换机上,通过安全交互区的文件摆渡服务,可以实现内容在不同的安全资源池之间迁移,并通过外边界交换机与云上业务系统互联。
公有云方面引入腾讯云、阿里云等云服务商提供云计算支撑服务,云上提供 Idass 和Ipass 等服务提供身份认证和文件交换能力。云上部署的所有业务,通过专线网关连至台内,与台内私有云环境连通;对外则分为两类,所有外部访问内部均采用 CLB 负载均衡方式,业务负载后转到各个业务应用上。内部对外访问则通过 NAT 网关,通过映射外部弹性 IP 访问
3 项目目标
为防范各类网络安全威胁攻击,完善网络安全边界防护能力,实现可信身份、动态信任评估、边界安全接入、异常登陆行为预警等功能,通过购置网络安全软硬件设备实现用户到应用的安全可控访问,建立包括短信验证码、扫码登录等方式的动态访问控制、构建 PC 端统一入口,实现业务应用的单点登录功能,实现终端访问数据中心业务的代理路径,有效缩减数据中心业务风险暴露面,提升我台网络安全防护能力。
3.1 业务目标
本项目需在原有安全边界防护基础上,使用安全设备为数据中心边界进行安全加固,在形成终端访问业务唯一路径的同时,通过技术适配满足数据中心各类型业务和功能正常访问,实现对业务暴露面的收敛,增加对用户身份验证和风险评估,满足数据中心业务访问的有效管控, 有效抵御数据中心外侧的安全威胁,提升边界安全防护能力,保障业务高效、稳定运转。
3.2 技术目标
采购网络安全设备进行边界防护加固,总的技术目标是实现北京广播电视台办公终端访问数据中心业务系统时的安全防护,因此需要实现以下几个技术目标:
1.借助台内现有网络安全措施,结合零信任理念,补充传统安全设备,形成边界防护体系,实现提升实战攻防能力的目标,基于北京广播电视台当前已有网络安全措施,进一步加强网络安全边界防护能力。
2.通过零信任技术理念,建立全台全员登录数据中心和公有云业务的可信验证、唯一访问路径及业务访问安全代理,实现可信身份、动态信任评估、边界安全接入、异常登陆行为预警等安全管控能力,通过建立基于“零信任”技术的网络安全管控系统,实现用户到应用的安全可控访问,包括手机验证码、扫码登录等方式的动态访问控制、构建 PC端统一登陆入口实现现有应用的单点登录等功能,实现终端访问数据中心和公有云业务的代理路径,有效缩减数据中心业务风险暴露面,提升整体网络安全防护能力。
3.提升边界抗网络攻击,持续完善积极防御的网络安全保障体系,符合安全合规性要求: 通过开展网络安全边界加固项目,提升护网、重大活动等重要保障时期中的边界防护能力,提升安全边界对内网业务的保护,提升台内业务的抗网络攻击能力,有效提升北京广播电视台的综合防守能力,加强实战攻防对抗能力。同时从网络安全等级保护完善的角度,确保北京广播电视台信息系统的安全策略符合国家网络安全等级保护基本要求、符合各监管单位的监管要求。
4 项目建设原则
项目需要充分遵照北京广播电视台统一技术发展规划,既要满足项目网络安全需求,又要考虑到未来发展和与台内业务之间的整合对接,为此在方案设计时,要坚持以下原则:
Ø 遵照统一技术发展规划
项目遵照全台统一技术发展规划,充分利用已有基础资源,避免非必要重复投资。
Ø 规范性
本项目建设应遵循国家级、行业级、市级、台级各项规范及标准。
Ø 前瞻性
项目使用技术及产品须具备一定前瞻性,考虑技术发展趋势,并对未来新业务形态、管理模式予以充分考虑。
Ø 保密性
对项目实施中产生的数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究中标人的责任。
Ø 运维管理支持
项目使用产品应具备关键运维数据收集与展现能力,能够通过数据体现业务态势,辅助人工运维,保障系统的高可用性和健壮性。
Ø 可扩展性
项目使用产品各模块应可支持横向扩展和功能迭代,以保证平台性能和功能的高可扩展性。
5 项目建设范围
本次项目主要建设范围涉及到办公域数据中心区域边界和公有云区域。由各类终端向数据 中心和公有云区域内的业务主动发起访问的行为,均需零信任系统做统一身份认证和访问代理。通过本项目建设,进一步提升台内信息系统在实战攻防对抗中的防御能力,增加网络攻击门槛, 为威胁检测与响应提供协助,增强事件发现、处置能力。
1 货物/服务需求一览表及技术规格
1.1 采购设备及服务清单
以下是本项目关键设备的软硬件配置和性能指标的最低要求,未包含在以下指标要求范围内的设备,由投标方根据项目需求和实现方案进行选型和配置,安装软件情况需根据各集成商解决方案进行部署。
本包不接受进口产品投标,核心产品为万兆UTM防火墙1。
|
序号 |
名称 |
数量 |
单位 |
配置要求 |
备注 |
|
1 |
应用代理网关 1 |
2 |
台 |
标准 2U 机箱;冗余电源(支持 220V 交流及 110V-240V 直流);1T 硬盘;2*USB;1*RJ-45 串口;标配 2*10/100/1000 电口+4 个扩展槽。支持多台负载;必须配套零信任管理平台使用。产品三年质保。 支持最大并发用户数≥3000 人;用户数量不限制; 实现应用的可信接入,提供业务应用访问安全通道服 务、应用数据加解密服务、应用隐藏服务;根据设备环境、 用户行为等属性及可信环境感知状态,动态控制用户的应用访问,保证业务应用访问的安全策略控制及强制实施;可和 外部身份与访问管理平台实现认证、权限策略管理等能力; 可与可信环境感知系统对接实现终端环境风险感知和动态 授权。 支持多活高可用模式,控制中心、代理网关等模块部分 负载节点的宕机不影响整体办公接入功能继续使用,不会造 成已有用户会话的中断。 |
|
|
2 |
零信任系统管理控制平台 |
3 |
套 |
零信任系统管理平台,为应用代理网关、可信环境感知 系统提供集中配置、管理、会话、授权等能力。可和认证管 理系统联动实现认证、权限策略管理等能力;可与可信环境 感知系统对接实现终端环境风险感知和动态授权。 支持最大并发用户数≥3000 人,用户数量不限制; 支持虚拟化部署,支持一体化镜像交付,无需单独安装 操作系统、数据库、中间件等组件,所提供虚拟化镜像支持 主流公有云平台安装,如阿里云、腾讯云; 具备统一的 web 登录入口,用户登录界面要求支持多因素认证,支持账号名/密码+短信验证码登录方式,支持北京 广电 APP 扫码登录;支持阿里云和腾讯云 2 个短信网关,发送短信通知; 需支持集群化部署,基于大数据架构可水平扩展至多台 设备集群。控制中心、代理网关等模块部分负载节点的宕机 不影响整体办公接入功能继续使用,不会造成已有用户会话 的中断;本次提供不少于 3 个节点授权; |
|
|
3 |
可信环境 感知系统 |
3 |
套 |
配合应用代理网关、管理控制平台实现客户端环境感 知。针对终端环境感知能力的定义、分发、数据汇总分析; |
|
|
序 号 |
名称 |
数量 |
单位 |
配置要求 |
备注 |
|
|
|
|
|
包含终端的授权、软件更新、环境感知模版的设置、终端感 知日志的收集、汇总、展示等功能。终端环境感知能力,能 够支持与现有已部署防病毒软件对接; 用户授权数量≥3000 个; 支持虚拟化部署,支持一体化镜像交付,无需单独安装 操作系统、数据库、中间件等组件,所提供虚拟化镜像支持 主流公有云平台安装,如阿里云、腾讯云; 需支持集群化部署,基于大数据架构可水平扩展至多台 设备集群。控制中心、代理网关等模块部分负载节点的宕机 不影响整体办公接入功能继续使用,不会造成已有用户会话 的中断;本次提供不少于 3 个节点授权; |
|
|
4 |
应用代理网关 2 |
2 |
套 |
可信应用代理系统虚拟化软件,支持虚拟化部署,支持 一体化镜像交付;实现应用的可信接入,提供业务应用访问 安全通道服务、应用数据加解密服务、应用隐藏服务;根据 设备环境、用户行为等属性及可信环境感知状态,动态控制 用户的应用访问,保证业务应用访问的安全策略控制及强制 实施; 必须配套管理平台使用,支持最大并发用户数≥3000 人; 实现应用的可信接入,提供业务应用访问安全通道服 务、应用数据加解密服务、应用隐藏服务;根据设备环境、 用户行为等属性及可信环境感知状态,动态控制用户的应用访问,保证业务应用访问的安全策略控制及强制实施;可和外部身份与访问管理平台实现认证、权限策略管理等能力; 可与可信环境感知系统对接实现终端环境风险感知和动态授权。 |
|
|
5 |
认证管理系统 |
2 |
套 |
提供统一身份管理、统一认证管理、统一授权管理等能 力,打通与 LDAP 目录服务账户体系,为零信任管控系统提供用户基础设施支撑能力,用户账号可以实现与腾讯云IDASS 同步,实现删除、新增、修改、禁用账号等功能; 用户授权数量≥10000 个,支持管理的应用授权,≥300个; 支持虚拟化部署,支持一体化镜像交付,无需单独安装 操作系统、数据库、中间件等组件,所提供虚拟化镜像支持 主流公有云平台安装,如阿里云、腾讯云; 支持多活高可用模式,部分负载节点的宕机不影响整体 办公接入功能继续使用,不会造成已有用户会话的中断; |
|
|
6 |
定制开发服务 |
1 |
|
包括不限于以下工作: 完成认证首页和界面风格定制设计,实现认证界面集成通告 信息; 用户登录,实现双因素登录,完成和阿里、腾讯等短信平台 集成,实现手机/手机验证码登录、北京广电客户端 APP 扫 |
详情请见招标文件
收藏