招标文件
招标内容及要求
一、采购内容
本项目主要为全市各政务部门提供云计算、云应用、云安全等基础设施资源共享服务,为各政务部门私有业务系统上云提供基础平台支撑。
本项目采用企业建设和运维、政府按需购买服务方式进行建设。
采购的服务内容主要包括:
1、云基础服务:包括云主机(含安全管理模块EDR)、高性能云主机(含安全管理模块EDR)、云主机数据盘、共享互联网出口带宽、云存储、云数据库、云负载均衡等。
2、云应用服务:包括云管理服务、云备份、云网盘等。
3、云安全服务:包括统一基础云安全服务、共享云安全服务、自主云安全服务(独立虚拟设备)。
4、大数据服务:大数据计算服务、数据治理服务、数据集成服务等。
5、云基础设施服务:包括IDC托管服务。
6、云管系统:满足租户对订购的云资源清单、性能、运行状态查询导出功能,具备与内跑平台资源开通流程进行对接。
7、异地备份:对现有云资源和数据库重要数据进行异地备份。
二、云服务基本要求
投标供应商提供的云服务需要满足以下基本条件:
1.政务专用要求
要求提供的云平台为瑞安市政务外网用户专用,瑞安市各级党政机关、事业单位申请使用政务云服务的应由招标人或招标人指定的部门统一受理、审核。未经招标人或招标人指定的部门审核同意,云服务提供商不得擅自对外提供或开放任何政务云服务。
2.机房地点要求
要求提供云服务的机房地点必须在温州市范围内。
3.政务云平台的带宽基本要求
要求提供的政务云平台与瑞安市政务外网的专用链路带宽不小于1G,以满足网络互访的要求,并提供高可靠的双物理路由保护措施。
▲投标供应商必须承诺其提供的IDC机房接受其他运营商的网络接入。
4.服务区域划分要求
本次采购要求提供包括政务云政务外网资源共享专网、政务外网公共服务专网等不同网络环境,同时提供满足对不同安全级别、不同业务、不同业务专网的需要,并提供应用测试区域等环境。支持虚拟专有域功能(VPC),能够划分隔离的区域为特定的用户提供云服务,区域内的资源与别的用户完全隔离,完全为该用户使用。各局办可通过专线方式接入私有云平台,实现与原有业务专网互通,IP地址自定义划分,与云上其他局办业务隔离。
5.安全等级要求
要求政务云平台应能满足信息系统三级(含)以上安全等级保护要求,须通过信息系统三级(及以上)安全等级测评,并按相关标准定期复测。要求对于核心业务应能提供应用级容灾保护,非关键性业务能提供数据级容灾保护。
6.服务支撑要求
为保证政务云稳定可靠运行,供应商须提供且不低于下列服务支撑要求:
(1)要求本期至少4人次常驻政务云机房服务,提供7*24小时运行值班监控服务,同时要求派驻1人到招标人办公场所,负责协调处理各类有关业务。运维人员必须具备2年以上云平台维护经验,相关人员资质及技术能力须由招标人认可。
(2)要求在温州地区组建专业政务云维护团队,人员组成必须包含网络、数据库、信息安全、IT管理等领域专业人员组成,并需提供人员相关资质证明,相关人员资质及技术能力须由招标人认可。
(3)免费提供仿真测试环境,供各级部门应用系统正式部署上云前的测试,通过测试优化云资源使用方案,测试时间不低于1个月,测试期内不得收费,测试完成后迁移到正式环境。
(4)要求协助招标人组织并推荐应用系统功能、性能、安全测试服务。严格按照《瑞安市政务云平台管理办法》对新上云及重大升级后的系统进行入口管理。免费协助招标人(使用人)进行新开发应用系统部署,并协助完成相关使用单位原有应用系统迁移到政务云平台。
(5)要求交付云服务时提供详细的云服务租用清单,并定期(按月)提供云服务使用量报表,具有提供政务云平台运维日志能力(包含各类云服务总体的运维工作日志,云安全服务的管理、升级与配置记录,政务云对账单、资源使用率情况以及招标人认为需要掌握的其他信息需调用的其他信息)。
(6)要求云服务商协助各使用单位开展云平台应急演练;每月对云上政务系统开展安全漏洞扫描工作,并出具相关报告;积极配合测评公司落实业务系统等保测评工作。对上云的政务系统提供备份策略。在重保和安全专项检查期间定期提供专项安全风险报告。
(7)云服务商负责云平台的整体平台安全,承担平台问题导致的安全责任。
中标供应商提供云管平台,满足政务云对服务资源的管理,包括云资源使用效率的管理、每月资源计费账单、综合查询导出功能等。
三、政务云平台要求
1. 云平台机房环境及相关物理硬件要求
(1) 云平台数据中心机房标准要求
要求机房符合国际标准的数据中心机房,能够稳定的365天全天候的提供优质的电力、空调、消防、监控、机架、空气清风系统等服务,保证7*24小时电力供应,供电保障系统需配置保障油机1500KWA或更高的规格,并实现油机1+1备份、不间断电源系统需配置400KVA(1+1)或更高的UPS规格,机房基础安全设施需配置管网式气体消防、早期烟雾告警、门禁系统等系统。
(2) 物理服务器要求
物理服务器数量初期不少于180台,主要用于承载业务系统的ECS云主机服务(不包括RDS、对象存储等云产品)。服务器不低于如下配置:2路INTEL XeonE5-2650V2 CPU(核数8核,主频2.6GHz),内存≥128G,双电源。要求可根据用户使用情况进行扩展,不会导致业务中断。云平台单集群支持不少于5000台物理服务器。
(3) 物理存储设备要求
物理存储初期容量不少于1 PB,要求可根据用户使用情况进行扩展,扩展过程中不会导致业务中断。云存储采用分布式文件系统。
(4) 物理网络要求
为保证网络高可靠性、高可用性、高扩展性、冗余性,要求采用双核心和接入两层扁平化的组网架构,分别构建独立的业务网、管理网、存储网,核心接入之间万兆捆绑互联;所有服务器分别双归属接入业务网、管理网、存储网。
要求保证产品成熟可靠。为了适应云计算中心出现的40GE和100GE以太网标准,并且充分满足数据中心级的应用及发展需求,核心层设备应采用具有新一代交换架构的产品。
要求满足今后5年内瑞安各地各部门(单位)对政务云平台中业务应用网络带宽、业务平稳、持续不间断运行等应用需要。
2.云平台软件要求
供应商的云平台软件需要基于成熟、大规模商用、安全的云平台,有成功应用案例。
1、基本要求
1)云平台自主知识产权
云平台软件,中标后须提供原厂知识产权证明,并能够不依赖于第三方,具备对全部软件代码的自主研发、升级、及时的bug修复能力。
2)大数据服务能力
云平台需具备分布式大数据服务能力,提供统一的数据开发平台,云平台集成统一的大数据运维管理。
3)云平台安全合规
云平台需通过工信部可信云认证。
4)云平台案例
要求云平台已商业化运行,经过了市场的有效检验。
5)与现有云平台的兼容性
新的云平台要求与现有温州市政务云(私有云)平台全面兼容,如与现平台采用不同的技术路线,则要求在业务不中断的情况下实现所有云资源的整体迁移。
3.云平台架构要求
|
指标项 |
规格要求 |
备注 |
|
标准规范 |
采用统一管理集群资源,统一管理集群内的CPU、内存、磁盘和网络资源使得这些关键资源可以被高效地使用。 |
|
|
具备分布式系统底层服务、分布式文件系统、任务调度、集群监控和部署能力并提供技术白皮佐证。 |
|
|
|
根据应用对资源进行全局的调度,提高资源的利用率。 |
|
|
|
采用自动故障切换提高系统整体的可用性。 |
|
|
|
采用统一的安全措施,保证用户数据的安全性。 |
|
|
|
采用统一运维的方式,提高系统的安全并降低成本。 |
|
|
|
扩展规模 |
支持在线集群扩容和应用服务的在线升级。 |
|
|
单个集群最大规模可达到5000台物理服务器并行作业。 |
|
|
|
资源管理 |
提供计算存储设备,网络设备和安全设备等物理设备的管理功能。 |
|
|
提供虚拟化后的“分布式计算资源池”、“网络资源池”和“存储资源池”的管理功能。 |
|
|
|
提供对网络资源的管理功能,包括:IP地址资源和带宽资源的管理。 |
|
|
|
提供资源协同能力,包括资源的注册、创建、销毁、回收、状态同步、分布式锁服务,支持分布式共识协议。 |
|
|
|
提供集群并行作业能力,实现资源的高可用和集群的负载均衡能力。 |
|
|
|
远程过程调用 |
提供可靠高效的进程间远程调用服务,支持通讯信道的数据压缩和一致性校验。 |
|
|
虚拟化功能 |
支持并配置计算资源虚拟化,形成“分布式计算资源池”。硬件采用标准X86服务器,不使用IP SAN和FC SAN等专用存储作为存储资源。 |
|
|
支持并配置计算设备“一虚多”,同一台物理主机上同时支持多种操作系统,或是相同操作系统的不同版本。分区与分区之间相互独立,互不影响。 |
|
|
|
支持并配置资源的动态调配与弹性可伸缩,资源池具备各级资源的按需获取功能,提高资源消费者的可用性、容错与扩展能力。 |
|
|
|
分布式文件系统 |
云平台操作系统支持分布式文件系统,支持存储资源虚拟化,形成“存储资源池”。 |
|
|
数据存储在不同机架的多个节点上,集群中的节点出现硬件、软件故障,集群系统能够自动进行数据的备份和迁移,保证数据的高可用性在并提供技术白皮书佐证。 |
|
|
|
支持IO优先级控制和QoS保证。 |
|
|
|
支持增量扩容和自动数据平衡能力,允许用户定制数据分布策略。 |
|
|
|
具备高可扩展性,可支持上亿个文件和100PB以上量级的文件存储;支持不重启系统,增加物理服务器后自动扩容。 |
|
|
|
在不依赖RAID卡和NAS等特殊硬件设备的条件下,提供高可用性和高可靠性。 |
|
|
|
支持SATA磁盘块存储和SSD高性能块存储两种分布式存储规格。 |
|
|
|
普通分布式存储吞吐大于等80M/s,高性能分布式存储吞吐大于等于280M/s,随机IOPS大于等于20000。 |
|
|
|
采用多管理节点设计,为避免集群单点故障,分布式文件系统必须支持多Master设计,至少有3个及以上的存储Master控制节点。 |
|
|
|
分布式文件系统上创建出的单个存储盘,能够被多个虚机同时挂载,实现共享存储功能。 |
|
|
|
任务调度 |
提供并行任务调度能力,且具备高可扩展性,最高可支持十万以上级的并行任务调度。 |
|
|
实现自动检测故障和系统热点,重试失败任务,保证作业稳定可靠运行完成。 |
|
四、云基础服务要求:
(一)云主机要求(含安全管理模块EDR)
|
指标项 |
规格要求 |
备注 |
|
基本功能 |
云主机CPU核数可选范围1-16核,64G内存、8TB数据盘。 |
|
|
互联网出口独享带宽可选范围2-100Mb。 |
|
|
|
虚拟主机支持主流的WINDOWS、LINUX等操作系统,兼容常见的操作系统。 |
|
|
|
支持SATA磁盘块存储和SSD高性能块存储两种分布式存储规格。 |
|
|
|
扩展功能 |
按需开通。根据用户的需求动态的创建和分配计算、存储、网络带宽等资源;用户可以在线按时长购买云主机,并支持任意时刻的续费管理。 |
|
|
云主机创建。创建后,云主机已包含有操作系统,可立即使用,从创建到启动在5分钟以内。 |
|
|
|
云主机升级。当云主机现有配置不满足要求时,用户可自主进行云主机配置快速升级,可升级配置包括:CPU,内存,网络带宽等;配置升级生效时间在10分钟以内。 |
|
|
|
云主机克隆。指创建一台跟现有云主机一模一样的机器,根据云主机数据盘的大小整个克隆过程一般在15分钟以内。 |
|
|
|
云主机迁移。云平台根据物理主机负载情况综合调度,将云主机在不停机状态下从一台物理主机迁移到另外一台物理主机;在线迁移时,云主机应用完全不中断,用户完全无感知。 |
|
|
|
管理功能 |
提供用户自服务门户和API接口,用户可自行创建不同规格的虚拟主机,自定义CPU、内存、网络、磁盘等属性。 |
|
|
提供虚拟主机的动态升级、快照备份、性能监测分析、异常告警、日志管理等功能。 |
|
|
|
提供快照和自定义镜像能力,支持对运行或停止状态的虚拟主机生成快照,应提供分钟级别快照回滚功能。 |
|
|
|
可靠性 |
数据备份。云主机数据在云计算平台有三份(含)以上数据拷贝,单份数据损坏对云主机使用没任何影响,且一份数据损坏后,后台系统会自动拷贝,使数据始终保证三重备份。 |
|
|
磁盘快照。需要提供云主机任一时刻的磁盘快照功能,含快照制作,快照回滚,快照恢复等。 |
|
|
|
故障恢复。云主机发生故障后,切换恢复时间在30分钟以内。 |
|
|
|
虚拟主机服务采用全冗余架构,无单点故障,平均可用性不低于99.9%。 |
|
|
|
安全性 |
防ARP欺骗,防DDos攻击,提供流量清洗服务 |
|
|
用户可自助开通安全组,并定义安全组规则。 |
|
(二)高性能云主机要求(含安全管理模块EDR)
|
指标项 |
指标要求 |
备注 |
|
设备商资质 |
提供中国信息安全认证中心《信息安全应急处理服务资质(一级)》和《信息系统安全集成服务资质(一级)》认证证书 |
|
|
投标品牌 |
国产自主品牌,非OEM机型,投标机型能够在中国官方网站下载到完整的中文资料,包含产品彩页、规格白皮书、兼容性列表、用户指南、安装升级指南等 |
|
|
可提供与服务器同品牌的交换机、存储等基础设施 |
|
|
|
产品资质 |
提供中国环境标志产品认证证书、中国CQC节能认证和CCC现场检测实验室证书,提供证明材料 |
|
|
可管理性 |
★具备带外故障检测功能,不依赖于OS,对CPU故障;I2C和 IPMB总线故障;内存故障;PCIe设备故障;硬盘故障,系统宕机等进行分析和定位,提供白皮书或官网证明材料 |
|
|
★支持最后一屏、中文BIOS界面功能,提供官方截图证明 |
|
|
|
★支持使用客户端证书和证书密码的双因素认证方式登录单板管理系统,提供白皮书或官网证明材料 |
|
|
|
★支持黑匣子功能,支持linux系统内核panic时的内核栈信息记录和导出,便于记录的系统故障数据,方便问题定位,提供白皮书或官网证明材料 |
|
|
|
安全特性 |
为保障数据安全,服务器管理系统配置国产自研管理芯片,提供对应证明材料 |
|
|
体系架构 |
★实配SAN与NAS统一存储,配置NAS协议(包括NFS和CIFS)、IP SAN和FC SAN协议,不需额外配置NAS网关,存储操作界面同时支持块存储和文件存储功能,提供功能截图证明 |
|
|
控制器扩展能力 |
支持控制器扩展,最大支持≥8控; |
|
|
控制器配置 |
配置双Active-Active控制器; |
|
|
控制器处理器 |
采用多核处理器,配置控制器处理器总物理核心数≥96核 |
|
|
存储缓存容量 |
系统内总一级缓存容量配置≥512GB,且任意控制器一级缓存容量≥256GB(不含任何性能加速模块、FlashCache、PAM卡,SSD Cache、SCM等) |
|
|
后端磁盘通道 |
配置后端磁盘通道带宽≥192Gbps |
|
|
配置硬盘 |
配置≥8个3.84TB 企业级双端口TLC SAS SSD硬盘(非单端口),配置≥31个2.4TB 10K SAS硬盘 |
|
|
证书资质 |
投标存储厂商(不含OEM原厂商)获得ISO9001、ISO14001、ISO27001、ISO20000、ISO28000认证,并提供证书复印件。 |
|
|
安全 |
产品具备公安部《计算机信息系统安全专用产品销售许可证》(网络存储系统第三级),提供证书复印件。 |
|
(三)安全管理模块EDR要求
|
指标项 |
技术参数 |
备注 |
|
产品资质
|
具备公安部颁发的《计算机信息系统安全专用产品销售许可证》 |
|
|
具备中国国家版权局颁布的《计算机软件著作权证书》 |
|
|
|
通过公安部信息安全产品检测中心检测并获得销售许可证书,提供证书复印件 |
|
|
|
通过IPv6论坛IPv6 Ready Logo委员会认证并获得认证证书,提供证书复印件 |
|
|
|
软件要求在中华人民共和国境内开发,具备自主知识产权,提供软件著作权登记证书复印件; |
|
|
|
基本要求 |
支持通过云安全管理平台自动化部署管理端,防护端通过软件代理的方式部署在主机上; |
|
|
支持的操作系统:Windows server 2003、Windows server 2008、Windows server 2012、Windows server 2016、win xp 、win 7、win 8、win 10、Centos 5.0 +、Redhat 5.0 + 、Suse11 +、Ubuntu 14 +等; |
|
|
|
性能监控 |
支持对防护资产的CPU使用率、内存使用率、磁盘使用情况、网络上下行流量进行性能监控,并支持对性能监控项设置阈值,达到阈值后告警;支持对CPU、内存达到一定阈值时客户端进行熔断。 |
|
|
高级威胁防护模块 |
支持对本机的扩展行为(信息收集、权限提升)进行监测,防止提权行为和信息泄露 |
|
|
识别渗透过程中的隧道代理(端口映射、端口转发、内网代理),可阻断隧道代理搭建行为 |
|
|
|
识别渗透过程中的隧道代理(端口映射、端口转发、内网代理),可阻断隧道代理搭建行为 |
|
|
|
识别渗透过程中的隧道代理(端口映射、端口转发、内网代理),可阻断隧道代理搭建行为 |
|
|
|
可对渗透的收尾阶段的数据清除行为进行识别和阻断 |
|
|
|
功能要求 |
支持占用系统资源低,网络版杀毒软件的客户端程序在监控状态占用系统资源CPU不高于3%,内存占用不超过30MB; |
|
|
提供包括Web安装在内的多种安装方式,以适应大型网络的安装部署工作,而且要求采用Web安装过程中,可以不需要客户端进行任何干预; |
|
|
|
提供基于Web的B/S移动管理架构,管理员可以在网内任意一台计算机上通过web方式随时随地登录控制台实现全网管理,而勿须在实现该功能的客户机上安装特定的管理组件; |
|
|
|
支持文件实时监控,在进程启动、文件创建、存储介质连接时自动触发; |
|
|
|
支持自定义病毒处理方式,包括自动处理、记录、删除。优先对病毒文件进行修复,并且将修复前的病毒文件进行备份; |
|
|
|
提供专门的勒索风险评估功能。包括弱口令检测、系统漏洞检测、恶意进程检测、高危端口检测等能力; |
|
|
|
提供专门的挖矿实时防御工具,并提供功能开关; |
|
|
|
支持强力查杀,对于无法普通隔离的病毒文件强制停止进程并隔离或动态移除到删除队列; |
|
|
|
支持部分病毒感染文件的修复功能,对于二进制文件可剥离感染部分,保证应用正常使用; |
|
|
|
支持查杀映像劫持类型的病毒; |
|
|
|
支持对压缩文件、打包文件查、杀毒(默认支持9层压缩扫描,可根据客户需求增加扫描层数); |
|
|
|
支持查杀各类Office文档中的宏病毒、夹带型木马; |
|
|
|
支持在线、离线病毒库升级; |
|
|
|
支持管理员通过控制台,集中地实现所有节点上防毒软件的监控、配置、查询等管理工作,包括Windows、Linux、虚拟化、移动端等系统上的防病毒软件。 |
|
|
|
安全防护模块 |
支持防端口扫描,防违规外联,锁定恶意的端口扫描及外联行为,并记录告警 |
|
|
违规外联支持黑、白名单双模式,白名单模式下可选择断开互联网模式,一键添加三类私有地址;黑名单模式可自定义IP,支持黑名单告警和阻断; |
|
|
|
支持网站防护,包括SQL注入、XSS、Web应用漏洞防护、访问控制、屏蔽扫描器等 |
|
|
|
支持智能检测防御CC攻击,并可进行高、中、低三档设置。 |
|
|
|
内核级防火墙(业务间流量东西向隔离)功能,包括IP、端口、协议、流向等细粒度权限控制 |
|
|
|
支持流量画像,支持全网流量可视化、应用级流量可视化;支持威胁横向扩散路径可视化与一键阻断;支持违规外联路径可视化与一键阻断 |
|
|
|
支持登录防护,包括以系统账号为粒度的异常登录防护、支持五个任意维度(任意地理位置,任意IP,任意域名,任意计算机名,任意时间)的系统登录访问策略设置。 |
|
|
|
文件推送 |
支持下发文件、安装应用程序、远程执行命令 |
|
|
告警功能 |
告警类型包括:高级威胁、系统防护、网络防护、Web应用防护。 |
|
(四)云数据库要求
|
指标项 |
规格要求 |
备注 |
|
基本功能 |
基于高效的调度、备份、HA控制、在线迁移以及监控系统,为用户提供为专业的云数据库服务。 |
|
|
支持关系型数据库的基本功能,并进行优化服务。 |
|
|
|
云平台提供MsSqlserver、Mysql主流关系型数据库服务;云主机上可安装Oracle数据库。 |
|
|
|
单数据库实例内存可达24G,IOPS可达12000次,并发连接数可达2000。 |
|
|
|
MsSqlserver单数据库实例可创建的数据库数量达20个,用户数达20个。 |
|
|
|
Mysql单数据库实例可创建的数据库数量达200个,用户数达50个。 |
|
|
|
每份数据都保留两份并可实时切换。 |
|
|
|
支持数据库在线升级、云内动态迁移、故障自动切换,实现业务秒级无缝切换,不中断用户服务。 |
|
|
|
自动多重备份数据库,支持从备份文件创建临时实例,支持从备份文件恢复到实例,可下载备份文件, |
|
|
|
扩展功能 |
按需开通,即开即用,按需计费,为用户提供方便的Web管理界面。 |
|
|
随着用户数和访问量的变化,可以弹性的调整数据库的规格,包含内存、连接数、IOPS、存储容量等,调整时服务不间断。 |
|
|
|
提供数据导入、导出工具,方便用户进行数据迁移。 |
|
|
|
提供完整的API接口、SDK开发包、文档说明。 |
|
|
|
提供日志记录功能,包括错误日志、操作日志、访问日志等,可追查访问来源以及进行多维度的统计分析。 |
|
|
|
安全性 |
支持IP授权访问。 |
|
|
云服务端提供加密用户身份验证,提供不同的访问权限控制。 |
|
|
|
提供数据库存储加密服务。 |
|
(五)云存储(对象存储)要求
|
指标项 |
规格要求 |
备注 |
|
基本功能 |
支持海量存储,文件数量无限制,容量按用户需求扩展。 |
|
|
采用分布式存储,一份数据在不同的物理服务器上存三份备份。 |
|
|
|
采用分布式存储系统,支持大规模强结构化数据存储,如SQL关系性数据库,单库容量可达1TB。 |
|
|
|
采用分布式存储系统,支持大规模结构、半结构化数据存储,如NOSQL数据库,单表支持的存储空间可达100TB。 |
|
|
|
扩展功能 |
提供存储对象的读、写、删除、拷贝、查找等基本功能。 |
|
|
支持大存储对象的分片并发上传和下载,支持断点续传。 |
|
|
|
提供易用的用户Web控制台文件管理界面,与更多第三方工具、插件,满足各种应用需求。 |
|
|
|
提供完整的API接口、SDK开发包、文档说明。 |
|
|
|
存储管理 |
支持将数据以对象方式进行存储,用户可以通过调用API以对象为单位操纵存储的数据,实现在任何应用、任何时间、任何地点上传和下载数据,也可以通过用户Web控制台对数据进行简单的管理。 |
|
|
大文件支持 |
支持并配置分段上传大文件,单个分段最大5GB,最大分段数≥5000段。支持断点续传。 |
|
|
安全性 |
具备完善的多用户隔离机制,保障用户数据的私密性。 |
|
|
云服务端提供加密用户身份验证,提供签名权限控制与防盗链功能。 |
|
(六)共享互联网出口
投标供应商必须保证政务云互联网出口不出现流量拥塞,在出口流量峰值达到90%时应立即安排出口带宽扩容。
(七)云负载均衡要求
|
指标项 |
规格要求 |
备注 |
|
安全稳定 |
采用分布式结构,具有高度的冗余和可靠性,可根据系统负载弹性扩容。 |
|
|
透明接入 |
提供4层和7层的负载均衡;Web和中间件服务器,无需更改配置即可透明接入 |
|
|
健康检查 |
可以按照指定规则进行健康检查,自动隔离异常状态云主机,并迅速将服务切换,服务切换时间秒级。 |
|
|
会话保持 |
可以将用户和后台服务器绑定到同一会话,确保会话不中断。其中4层负载均衡可以设置连接持久时间。 |
|
|
权重转发 |
可根据后台云服务器的性能设置不同的转发权重,权重支持轮询,最小连接数转发等方式。 |
|
|
易用简单 |
提供API或控制台调用方式,可以随时开启,关闭负载均衡,立即生效,灵活简单。 |
|
|
按需计费 |
支持按流量、使用时间进行计费。 |
|
五、云应用服务要求
(一)云管理服务要求
招标人将集中受理、审核政务用户的需求,并统一发布给云供应商;并集中管理政务用户云资源,实时监控云资源运行状况。云供应商应为招标人提供专用的综合管理平台,需求见下表:
|
功能项 |
规格要求 |
|
审核管理需求 |
单位管理 用户管理 系统管理 申请审批流程 邮件、手机、短消息 |
|
管理员需求 |
开通管理 登录管理 日志管理 统计报表 用户管理 云主机管理 系统重装 快照管理 系统镜像管理 安全组管理 工单管理 计费管理 产品管理 云主机迁移 负载均衡管理 云数据库管理 事件历史管理 |
|
普通用户需求 |
用户管理 手机绑定 日志管理 云主机管理 安全组管理 工单管理 快照管理 监控管理 告警管理 事件历史管理 |
|
运维人员需求 |
监控管理 告警管理 故障管理 云主机管理 云主机迁移 变更管理 事件历史管理 |
|
资源管理需求 |
云产品物理资源管理 云产品逻辑资源管理 云产品虚拟资源管理 资源利用统计 |
|
监控需求 |
日志管理 统计报表 监控管理 事件历史管理 |
(二)数据交换服务要求
|
指标项 |
规格要求 |
备注 |
|
架构部署 |
★采用分布式云架构设计,支持云上进行部署,支持单机部署模式和集群部署模式; |
|
|
资源目录管理 |
支持对资源目录的审核、编目、发布,支持目录分类,支持资源检索,使用用户可以快速定位资源; |
|
|
支持流程化的资源申请,提供流程审批功能; |
|
|
|
提供信息资源目录驱动数据资源交换的功能; |
|
|
|
提供数据资源标准管理及展示功能; |
|
|
|
适配多种数据资源 |
适配各种主流数据库(Oracle、MySQL、DB2等); |
|
|
适配大数据平台,包括Spark、ODPS、ADS等; |
|
|
|
适配主流的公文类型、二进制等格式文件; |
|
|
|
适配Restful、WebService方式的API; |
|
|
|
支持各种异构数据资源间的交换; |
|
|
|
数据变化捕获 |
支持通过日志解析的模式获取增量数据 |
|
|
支持通过触发器的模式获取增量数据; |
|
|
|
支持通过时间戳的模式获取增量数据; |
|
|
|
基础交换功能 |
支持直接交换、安全交换(在大数据平台下,实现数据交换可用不可见)、共享交换(在大数据平台下,实现数据交换不搬家)、API服务等多种数据交换方式 |
|
|
支持实时、准实时、周期性定时批量、全量等多种交换频率; |
|
|
|
支持多表的关联后的数据交换; |
|
|
|
支持数据路由功能,可将数据按条件分发给多个数据需方; |
|
|
|
支持数据过滤功能,可设置数据过滤条件,可使用该功能实现数据脱敏交换; |
|
|
|
易用性 |
安装部署应简单,对于数据交换节点的部署,需做到可配置化、一键式部署 |
|
|
支持数据交换任务的全配置化管理,配置应简单化、人性化; |
|
|
|
支持Web页面的数据交换管理。方便运维人员通过图、表的形式直观的了解数据交换的情况,并进行数据交换任务的管理; |
|
|
|
高性能 |
平台应具备分布式横向平滑扩展能力,线性的提升数据交换性能 |
|
|
平台应具有对数据压缩传输能力,提供数据的传输性能; |
|
|
|
平台应具有分布式负载均衡功能,多进程、多线程同步处理提供性能; |
|
|
|
高可靠 |
支持高可用部署,提供单节点容错机制,在出现单节点故障时,数据交换工作仍可正常运行 |
|
|
支持自动断点继传,在网络故障和服务器故障修复后,可自动重启中断的交换任务,从故障点自动继传数据 |
|
|
|
开放性 |
产品功能模块化,可插拔;用户流程可配置; |
|
|
提供全套 API 支持二次开发; |
|
|
|
授权合规 |
采用的数据共享交换软件产品应具备国家颁发的相关软件著作权证书。 |
|
1、备份软件具备计算机信息系统安全专用产品销售许可证。
2、要求采用B/S的管理和使用架构,备份管理、恢复管理、远程复制管理、用户及权限管理等均在一个管理界面内,中文界面,基于WEB管理模式,易于管理与维护。
3、支持多任务的时间计划,具有独立的存储空间(与云平台存储相隔离)。
4、支持对SQL Server、Oracle、Sybase、Exchange Server、Lotus Domino、DB2、MySQL、
AD等主流应用进行在线备份保护。
5、 具备管理员和审计管理员双管理员角色,同时和业务系统嵌入后,保持和备份系统的权
限独立。审计管理员则可以进行备份内容审计、备份系统安全性审计和备份行为审计,以保证备份的安全性。
6、 支持Oracle数据库任意时间点恢复功能,在Oracle(支持单机、双机和RAC架构)数
据库恢复时,可以将数据库恢复至备份数据保留周期内任意一秒钟,所有操作包括时间的指定均图形化实现,无需任何的人工脚本干预,在无需专业人员操作的情况下,大幅提高数据恢复的时间精度,降低数据丢失量。
7、 支持异地备份数据的安全管理机制,异地备份存储系统需要得到本地授权许可后,才可
以浏览、恢复本地传输过去的备份数据,最大限度避免备份数据的泄密可能。
(四)云网盘服务要求
1、 云网盘产品要求为国内知名品牌,非OEM产品,系统管理可以通过登录Web,统一管理集群系统、云共享服务(包括创建用户组织、自定义文档库、权限管理、访问控制、安全访问管理控制等、访问日志)。
2、 可以通过登陆Web了解整个集群的运转绩效,要求包括在线人数监控、文件分类数量统计、文件操作变化统计,可以提供实时、每日、每月及年度的报表。
3、 支持PC客户端、移动客户端(Android、IOS)、Web访问,可以基于文档所有者对指定文档配置指定范围可发现,对于访问者,可以通过全文检索找到可以发现的共享文档进行下载使用。
4、 支持基于云存储的全文检索,当用户想找某个文档资料,希望找到某个关键词相近的文档,输入关键词,获取全文检索的结果。
5、 采用灵活的组织架构,既可以构建符合企业分层管理的用户结构,也可以构建灵活的多用户组织单元。
六、云安全服务要求
(一)统一基础云安全服务要求
(1) 漏洞扫描
|
项目 |
要求 |
备注 |
|
漏洞扫描 |
提供网站漏洞扫描系统,可扫描的漏洞类型包括OWASP、WASC、CNVD等。支持恶意篡改检测,支持Web2.0、AJAX、各种脚本语言、PHP、ASP、.NET 和 Java 等环境,支持复杂字符编码、chunk,gzip,deflate等压缩方式、多种认证方式(Basic、NTLM、Cookie、SSL 等),支持代理、HTTPS 、DNS绑定扫描等。 仪表盘功能,直观展示最近10天整体风险等级、最近10天扫描站点列表、最近30天危险站点TOP10等内容 能够扫描主流虚拟机管理系统的安全漏洞,如:VMWare ESX/ESXi,要求能够扫描大于300条相关漏洞,并提供详细的漏洞列表 漏洞知识库漏洞信息大于15000条,兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准 系统内置Exploit DB漏洞、Metasploit漏洞、Exploit Pack漏洞检测模板 |
|
|
服务要求 |
每月进行一次全面漏洞扫描,并向政务云平台租户提供漏洞分析报告和修复建议。网络安保重点时期可根据招标人要求,适当增加扫描频次和范围。 |
|
(2) 入侵防御
|
项目 |
要求 |
备注 |
|
入侵防御 |
防护对象 支持以下两种防护对象:自定义防护对象 默认防护对象 引流支持以下两种方式:策略路由引流 BGP引流 防御模式 防御模式支持以下几种方式:自动 手动 不防御 白名单支持以下几种方式:全局白名单 防护对象白名单 黑名单 黑名单支持以下几种方式:全局黑名单 接口板黑名单 防护对象黑名单 |
|
|
回注支持以下几种方式:二层回注 静态路由回注 策略路由回注 GRE回注 MPLS LSP回注 MPLS VPN回注 |
|
|
|
基于接口的防御策略 支持的基于接口的防御类型包括以下几种攻击:SYN Flood SYN-ACK Flood ACK Flood RST Flood TCP-abnormal Flood TCP Fragment Flood UDP Flood UDP Fragment Flood ICMP Flood DNS Request Flood DNS Reply Flood HTTP Flood SIP Flood |
|
|
|
服务要求 |
部署在政务云平台边界,对全流量进行清洗分析,含运维管理服务,安排专人定期巡检和分析日志,及时向政务云平台招标人和租户通报入侵防御重要安全风险事件,并协助租户按需完成策略调整与优化。 |
|
(3) 防DDOS攻击
|
项目 |
要求 |
备注 |
|
防DDOS |
在网络边界部署。 |
|
|
支持支持10G的清理能力,可以准确识别正常流量,清洗各类异常流量,包括流量型攻击、应用层攻击、扫描窥探型攻击及畸形包攻击。 |
|
|
|
单台设备同时支持检测与清洗功能。 |
|
|
|
服务要求 |
部署在政务云平台边界,对全流量进行清洗分析,含运维管理服务,安排专人定期巡检和分析日志,及时向政务云平台招标人和租户通报重要安全风险事件。 |
|
(二)共享云安全服务要求
1)云杀毒
1、 在云主机上部署主机保护系统,实现恶意代码检测、web信誉评估、入侵检测和防火墙功能。
2、 在虚拟化环境中在尚无原厂补丁的情况下,要通过虚拟补丁功能及时防御通过漏洞入侵系统等措施实现安全加固;
3、 提供自动扫描功能,针对服务器弱点、漏洞进行安全检测并自动形成防护,产品必须能够防御应用层攻击、SQL Injection 及Cross-site跨网站程序代码改写的攻击。
4、 所有产品必须是自主开发,拥有自主知识产权,必须具有产品销售许可证和著作权证明。
2)SSL VPN
三层吞吐量6G,应用吞吐量2G,最大并发会话数200W,2U设备,最大14个GE电口,最高8个SFP接口,1个SLOT插槽,1管理接口,1个RJ45,2个USB口,同时含IPSEC和SLL VPN功能。
服务要求:含并发用户许可授权,含运维管理服务,包括用户管理和技术支撑服务等。
3)运维审计服务
|
项目 |
技术要求 |
备注 |
|
主体功能要求 |
支持用户安全策略功能,如密码锁定次数、密码有效期、密码复杂度、用户有效期、用户登录时间限制、用户登录 IP 范围等 |
|
|
须内嵌认证引擎,除用户名/密码认证方式外,能够提供动态令牌、USBkey 等认证方式 |
|
|
|
支持定期自动修改windows服务器、网络设备、linux/unix等目标设备密码功能,自动修改windows服务器密码无需在目标服务器上安装agent、开启telnet服务等 |
|
|
|
支持完善的自动改密策略,包括改密前发送密码、改密后发送密码、密码文件加密、密码传输加密、密码强度控制、自动密码恢复等。发送方式包括邮件、FTP、SFTP等 |
|
|
|
支持对运维操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容(如对文件的上传、下载、删除、修改等操作等)的详细行为日志,支持以首页中的设备为基准,支持直接查询该主账号有权限运维的所有设备。 |
|
|
|
支持SSH、Telnet、远程桌面,VNC、FTP/SFTP、数据库、Http/HTTPS等协议和应用的运维,要能支持B/S和C/S两种运维方式,支持SSH密钥批量登录、批量命令执行等。 |
|
|
|
支持对运维过程审计录像,并支持远程桌面磁盘映射、复制粘贴、Linux的xmodel等文件传输的原文件记录。 |
|
|
|
支持批量导入/导出/修改用户帐号信息和目标设备信息 |
|
|
|
支持自动填写特权密码,从普通管理模式进入到特权模式 |
|
|
|
用户登录后可在首页分组显示该用户有权限管理的目标设备,设备分组可按最近访问、最常访问、访问策略、按照个性化配置中的分类等分组显示可登录的设备;并可按全部/工单相关来查询设备 |
|
|
|
访问策略支持设备视图和用户视图,管理员可以对运维权限一目了然,视图可以按照xls格式导出,方便管理员管理 |
|
|
|
服务要求 |
含管理对象授权许可,含运维管理服务,含用户VPN接入服务;安排专人定期进行运行监控,支持电话、网上值班等响应方式。 |
|
4)日志审计
|
项目 |
要求 |
备注 |
|
服务形态 |
承载于云安全资源池内,以软件形态提供云上安全综合审计服务。 |
|
|
使用方式 |
Windows云主机通过部署轻量Agent程序进行数据采集、Linux云主机配置syslog进行数据采集,从而实现综合日志审计效果 |
|
|
主要功能要求 |
支持Syslog、SNMP Trap、FTP、代理(Agent)等方式收集日志 |
|
|
支持目前主流的安全设备、操作系统、应用系统等日志收集 |
|
|
|
支持对收集到的日志进行解析,解析规则可以根据客户要求定制扩展 |
|
|
|
支持按认证操作、授权操作、账号操作、访问控制、配置变更、攻击威胁等纬度进行报表统计 |
|
|
|
服务要求 |
含运维管理服务,安排专人定期进行日志分析,并定期向租户提供专项分析报表。 |
|
5)Web应用防火墙
标准2U设备,双冗余电源,1个HA口,1个RJ-45 Console口,1个10/100/1000 Base-T带外管理口,4个网络接口板扩展槽位,可选配WAF-NIM-L通用接口板,默认含3个接口(含1个HA接口)永久使用授权),2个USB口;2个万兆SFP+ 接口,万兆多模光模块;网络层吞吐量≥8G ;应用层吞吐量≥4G;最大HTTP并发连接数≥200万;每秒新建HTTP连接数不少于2.5万;
|
项目 |
技术要求 |
备注 |
|
基础防护 |
Web服务器/插件防护 |
|
|
HTTP访问控制 |
|
|
|
爬虫防护 |
|
|
|
Web通用防护 |
|
|
|
文件非法上传防护 |
|
|
|
非法下载限制 |
|
|
|
信息泄露防护 |
|
|
|
Webshell防护 |
|
|
|
高级防护 |
盗链防护 |
|
|
跨站请求伪造防护 |
|
|
|
扫描防护 |
|
|
|
Cookie安全 |
|
|
|
内容过滤 |
|
|
|
敏感信息过滤 |
|
|
|
暴力破解防护 |
|
|
|
XML防护 |
|
|
|
智能引擎检测 |
|
|
|
服务要求 |
部署在政务云平台边界,可根据需要对流量进行清洗分析,含运维管理服务,安排专人定期巡检和分析日志,及时向政务云平台招标人和租户通报重要安全风险事件,并协助租户按需完成策略调整与优化。 |
|
以下安全服务要求提供独立虚拟安全设备,能够根据用户要求,提供自服务管理界面。
1) 自主云安全产品整体服务要求
|
项目 |
要求 |
备注 |
|
服务形态 |
承载于云安全资源池内,以软件形态提供云上安全防护服务 |
|
|
交付方式 |
★资源池必须具备安全需求弹性扩展,安全灵活部署。按需交付。安全功能以基于不同安全需求以安全服务包的形式交付。(需提供产品功能截图) |
|
|
角色授权及使用方式 |
支持三权分立安全原则,可实现虚拟防火墙、虚拟IPS、虚拟化web应用防火墙、网页防篡改、云堡垒机、云数据库审计、云日志审计、云主机防御(东西向流量隔离、防病毒)等所有安全产品的角色统一授权,授权粒度精细到每一个安全产品的每一个角色,同时可以给用户批量授权,如一次性给用户A授权堡垒机的运维管理员角色,给用户B授权堡垒机的审计管理员角色 |
|
|
支持用户认证统一,被授权的用户可以通过登录到云安全管理平台单点登录到各个安全产品,包括虚拟防火墙、虚拟IPS、虚拟化web应用防火墙、网页防篡改、云堡垒机、云数据库审计、云日志审计、云主机防御(东西向流量隔离、防病毒)等所有安全产品。 |
|
|
|
资产管理 |
支持通过管理平台统一添加资产自动同步到相关安全产品,添加主机资产自动同步到堡垒机、主机扫描,添加网站资产自动同步到网站扫务等,无需到不同的安全产品模块逐一添加 。 |
|
|
运维态势 |
支持管理员通过可视化大屏获取整个安全资源池的物理节点总数量和物理节点在线/离线数量,虚拟机总数量和虚拟机在线/离线数量信息,且包含安全资源池总CPU、内存、磁盘使用率,CPU、内存、磁盘占用趋势,网络总流入流出速率趋势等信息。 |
|
|
许可管理 |
支持许可自动化导入激活安全产品,云安全管理平台会根据开通安全产品的规格、数量、时间周期等信息自动导入许可到安全产品,实现安全产品自动化激活,包括虚拟防火墙、虚拟IPS、虚拟化web应用防火墙、网页防篡改、云堡垒机、云数据库审计、云日志审计、云主机防御(东西向流量隔离、防病毒)等所有安全产品许可的自动化导入激活。 |
|
|
产品资质 |
★要求安全管理平台具备CSA云安全star-tech证书(提供证书扫描件) |
|
|
技术支撑 |
★提供原厂商不少于5个CISP-CSE云安全工程师(需提供证书扫描件),以便提供快速的售后服务 |
|
|
★提供原厂商不少于5个CISP-BDSA(大数据安全分析师)工程师(需提供证书扫描件),以便提供快速的售后服务 |
|
2) 云Web应用防火墙服务要求
|
项目 |
要求 |
备注 |
|
服务形态 |
承载于云安全资源池内,以软件形态提供云上安全防护服务。 |
|
|
使用方式 |
云租户通过登录云安全管理平台,单点登录到WEB应用防火墙服务模块,对网站进行安全防护配置管理 |
|
|
主要功能要求 |
支持对SQL注入、XSS、命令注入、webshell等OWAP10的攻击防护 |
|
|
支持对服务器返回的内容包括身份证信息、银行卡号、手机号等敏感信息进行隐藏 |
|
|
|
支持网站自学习建模功能,能通过自学习形成网站URL树、生成安全防护策略、发现参数的名称、类型、匹配频率;可配置匹配到自学习特征后放行,匹配不到自学习特征直接阻断请求; |
|
|
|
支持对访问流程的校验 可配置页面合规页面流程 可配置页面思考时间 违反合规的访问直接被拦截并产生告警日志(需提供第三方测评机构(公安部三所、国家保密局、ISCCC其中一家)的检测报告) |
|
|
|
按地理区域对攻击次数等进行统计,通过地图展示,并在地图上可以指定某一地理区域进行访问控制,阻断此区域 IP的访问 |
|
|
|
支持CC攻击防护: 支持多种算法检测方法,对指定URL访问速率、对指定URL访问集中度检测 检测对象支持IP或IP+URL算法; |
|
|
|
规格 |
保护站点授权2个,防护流量20Mbps |
|
|
保护站点授权4个,防护流量50Mbps |
|
|
|
保护站点授权8个,防护流量100Mbps |
|
|
|
保护站定授权16个,防护流量200Mbps |
|
|
|
保护站定授权32个,防护流量1Gbps |
|
3) SSL VPN服务要求
|
项目 |
要求 |
备注 |
|
服务形态 |
承载于云安全资源池内,以软件形态提供云上安全防护服务 |
|
|
使用方式 |
云租户通过登录云安全管理平台,单点登录到SSL VPN服务模块,对SSL VPN配置管理 |
|
|
主要功能要求 |
支持site to site 和远程接入VPN方式,支持主模式,野蛮模式,野蛮模式支持FQDN、USER-FQDN和通配符设置 |
|
|
支持VPN零配置上线、VPN批量下发 |
|
|
|
支持专有SSL VPN客户端,客户端支持Windows 32位/64系统,支持开源的SSL VPN客户端系统包括IOS 安卓 linux |
|
|
|
规格 |
20个并发用户 |
|
|
50个并发用户 |
|
|
|
100个并发用户 |
|
4) 运维审计(云堡垒机)服务要求
|
项目 |
要求 |
备注 |
|
服务形态 |
承载于云安全资源池内,以软件形态提供云上安全运维审计服务。 |
|
|
使用方式 |
云租户通过登录云安全管理平台,单点登录到运维审计服务模块,对云主机、业务系统进行统一运维管理 |
|
|
主要功能要求 |
★支持oracle、mysql、sqlserver数据库协议代理运维,可直接调用本地windows系统的数据库客户端工具,支持自动登录、无需应用发布前置机。(须提供相关截图证明) |
|
|
支持自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系,甚至可自动完成授权 |
|
|
|
导出的设备信息文件加密存储,解密时须由2个管理员同时解密才能查看到设备信息文件内容 |
|
|
|
在不依赖于应用发布的条件下,支持通过堡垒机页面直接调用本地windows的plsql、sqlplus、sqlwb、ssms、mysql.exe等数据库客户端工具 |
|
|
|
★支持保存RDP传输的原始文件(提供第三方权威机构检测报告证明及功能截图) |
|
|
|
支持可管理SSH、RDP、SFTP、FTP、TELNET、web类的服务器,以及可管理其他远程工具或自定义的应用客户端 |
|
|
|
支持对运维操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容(如对文件的上传、下载、删除、修改等操作等)的详细审计日志 |
|
|
|
支持文件传输协议控制、命令控制、访问控制的三种安全策略 |
|
|
|
支持自动化运维功能,可将结果通过邮件通知管理员;可对linux/windows云主机进行自动改密 |
|
|
|
规格 |
10个管理对象 |
|
|
20个管理对象 |
|
|
|
50个管理对象 |
|
5) 云综合日志审计服务要求
|
项目 |
要求 |
备注 |
|
服务形态 |
承载于云安全资源池内,以软件形态提供云上安全综合审计服务。 |
|
|
使用方式 |
云租户通过登录云安全管理平台,单点登录到数据库审计服务模块,进行中心端的统一运维管理。Windows云主机通过部署轻量Agent程序进行数据采集、Linux云主机配置syslog进行书记采集,从而实现综合日志审计效果 |
|
|
主要功能要求 |
支持Syslog、SNMP Trap、FTP、代理(Agent)等方式收集日志 |
|
|
支持目前主流的安全设备、操作系统、应用系统等日志收集 |
|
|
|
支持对收集到的日志进行解析,解析规则可以根据客户要求定制扩展 |
|
|
|
支持按认证操作、授权操作、账号操作、访问控制、配置变更、攻击威胁等纬度进行报表统计 |
|
|
|
支持基于内存的实时关联分析,跨设备的多事件关联分析 |
|
|
|
支持自定义条件的事件进行聚合 |
|
|
|
进行关联分析的规则可定制 |
|
|
|
支持根据资产价值、资产漏洞、针对漏洞的威胁事件三者进行威胁的自动关联分析(三维关联),所有的三维关联算法和准则以CVE、Bugtraq、OWASP公开协议和标准为为基础(提供第三方检测报告) |
|
|
|
支持日志备份自动传送到远程服务器 |
|
|
|
极高的日志高查询性能,支持亿级的日志里根据做任意的关键字及其它的检索条件,在秒级里返回查询结果 |
|
|
|
规格 |
支持5个日志源 |
|
|
支持20个日志源 |
|
|
|
支持50个日志源 |
|
|
|
支持100个日志源 |
|
|
|
支持200个日志源 |
|
6) 云数据库审计服务要求
|
项目 |
要求 |
备注 |
|
服务形态 |
承载于云安全资源池内,以软件形态提供云上安全审计服务。 |
|
|
使用方式 |
云租户通过登录云安全管理平台,单点登录到数据库审计服务模块,进行中心端的统一运维管理。RDS数据库可以通过API的方式进行数据采集从而实现数据库审计的效果。非RDS数据库需要在数据库云主机上部署轻量Agent程序进行书记采集,来实现数据库审计效果 |
|
|
主要功能要求 |
支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL等主流数据库审计 |
|
|
支持对SQLserver 2005以上版本采用通讯加密的数据库,可以导入证书的方式实现审计解密; |
|
|
|
支持对操作时间、SQL语句、执行结果、返回结果集、影响行数、执行时长、数据库用户名、实例名、源/目的IP、源/目的端口、源/目的MAC、客户端主机名、客户端程序名称、客户端操作系统用户名、业务主机群、SQL模板、会话ID、事件唯一ID等至少21个条件进行审计 |
|
|
|
支持数据库请求和返回的双向审计,特别是返回字段和结果集、执行状态、返回行数、执行时长等内容,支持通过返回行数和内容大小控制返回结果集大小。 |
|
|
|
支持定期自动扫描数据库漏洞和不安全配置,提供漏洞扫描报告; |
|
|
|
支持基于数据库访问日期、时间、源/目的IP、来源、数据库名、数据库表名、字段值、数据库登陆账号、SQL关键词、数据库返回码、SQL响应时间、数据库操作类型、影响行数等条件的审计查询 |
|
|
|
支持对数据库自动建模及智能对异常行为告警功能。 |
|
|
|
支持审计记录中敏感数据的模糊化处理,内置常见敏感数据掩码规则,支持自定义敏感数据掩码规则 |
|
|
|
规格 |
支持1数据库实例,2000TPS(每秒数据数) |
|
|
支持2数据库实例,4000TPS(每秒数据数) |
|
|
|
支持4数据库实例,8000TPS(每秒数据数) |
|
|
|
支持8数据库实例,16000TPS(每秒数据数) |
|
7) 网页防篡改服务要求
|
项目 |
要求 |
备注 |
|
服务形态 |
承载于云安全资源池内,以软件形态提供云上安全防护服务 |
|
|
使用方式 |
云租户通过登录云安全管理平台,单点登录网页防篡改服务模块,进行中心端的统一运维管理。同时网站所在虚拟机上需安装轻量Agent程序,实现网页防篡改效果 |
|
|
主要功能要求 |
支持windows、linux等主流操作系统的文件和目录的保护:支持各类网页文件的保护,支持对指定文件夹以及子文件夹的保护,避免上传非法文件及木马等恶意文件或插入恶意代码 |
|
|
支持一键启停文件保护:一键启停所有监控端对文件保护,不必登录WEB服务器进行停启 |
|
|
|
篡改规则:支持基于目录、进程、文件、文件类型等进行设置篡改规则,支持正则表达式策略 |
|
|
|
支持模板配置:支持在同一种操作系统下,网站路径相同,可通过规则模板,用模板统一将规则下发到各监控端,无需对监控端进行一一配置 |
|
|
|
Docker容器:防护端agent兼容docker容器环境的部署 |
|
|
|
规格 |
每台web云主机一套 |
|
8) 云防火墙(IPS\防病毒网关\内容过滤)服务要求
|
项目 |
要求 |
备注 |
|
服务形态 |
承载于云安全资源池内,以软件形态提供云上安全防护服务 |
|
|
使用方式 |
云租户通过登录云安全管理平台,单点登录云防火墙服务模块,进行安全运维管理。 |
|
|
主要功能要求 |
支持访问控制功能: 基于用户、应用、时间、地址、服务等方式进行网络访问控制 |
|
|
支持攻击源地图实时展示,支持攻击源、攻击目的、攻击事件统计功能 |
|
|
|
★支持入侵防御的功能:IPS特征库数量不少于2000多条,支持事件集自定义自动和手动两种更新,支持应急事件及时更新(提供产品截图或官方技术说明文档) |
|
|
|
支持防病毒功能:支持HTTP,FTP,POP3,SMTP,IMAP协议的病毒查杀、病毒库自动更新、虚拟脱壳、自定义查杀文件大小 |
|
|
|
规格 |
防护流量100Mbps |
|
|
防护流量200Mbps |
|
|
|
防护流量500Mbps |
|
|
|
防护流量1Gbps |
|
七、大数据服务要求
(一)大数据计算服务要求
1. 分布式系统,主要提供结构化数据的存储和计算,采用抽象的作业处理框架为不同用户对各种数据处理任务提供统一的编程接口和界面。
2. 采用分布式架构,规模可以根据需要平行扩展。
3. 自动存储容错机制,保障数据高可靠性。
4. 所有计算在沙箱中运行,保障数据高安全性。
5. 以RESTful API的方式提供服务。
6. 支持高并发、高吞吐量的数据上传下载。
7. 支持离线计算、机器学习两类模型及计算服务。
8. 支持基于SQL、Mapreduce、Graph、MPI等多种编程模型的数据处理方式。
9. 支持多租户,多个用户可以协同分析数据。
10. 支持基于ACL和policy的用户权限管理,可以配置灵活的数据访问控制策略,防止数据越权访问。
(二)数据治理服务
具体见招标文件
收藏