广州白云国际机场股份有限公司安检护卫部T1安检信息系统测评整改采购项目竞价公告
第一部分竞价项目说明
第二部分采购人需求
第三部分网上竞价报名文件要求
第四部分附录文件格式
第五部分合同条款
(注:若图片或文字缺失,请在文末下载附件查看)
广州白云国际机场股份有限公司(以下简称“采购人”)现就安检护卫部T1安检信息系统测评整改采购项目,邀请有相应资质的合作商(以下简称“报价人”)进行网上竞价。
1.项目概况:
1.1项目名称:广州白云国际机场股份有限公司安检护卫部
T1安检信息系统测评整改采购项目。
1.2项目内容:本项目为安检护卫部T1安检信息系统测评整改采购,采购包括安全硬件整改(包含:日志审计、防病毒网关、备份一体机、数据库审计、准入控制设备、防病毒软件)、等保安全服务(漏洞扫描服务、安全应急服务、安全培训服务)。所选的主要网络安全设备产品(见清单“▲”标注产品)厂家范围为:北京神州绿盟科技有限公司或深信服科技股份有限公司或奇安信科技集团股份有限公司,具体内容及要求详见采购人需求。
1.3项目限价:98万元,如报价人所报总价或单价超出本项目的限价超出限价将被采购人否决。
2.合格报价人条件:
(1)具备本项目履约能力的在中华人民共和国境内注册的独立的企业法人,并具有一般纳税人资格;
(2)报价人持有有效的中国信息安全认证中心发放的CCRC信息安全服务资质认证证书(信息安全集成)、CCRC信息安全服务资质认证证书(信息安全运维);
(4)报价人提供交付所有产品后提供安装培训服务和及时的售后服务承诺函(格式自拟);
(5)2018年1月1日至今,报价人没有因腐败或欺诈行为而被政府或业主宣布取消投标资格;同时,2018年1月1日年至今报价人(包括其关联公司)与广东省机场管理集团有限公司及其下属的全资、控股公司、非法人实体单位发生各种诉讼和仲裁。(须就此项内容提供承诺函并加盖报价人公章,格式样版见附件);
(6)报价人不存在被广州白云国际机场股份有限公司认定为发生不良行为合作商,且仍在处置期内的情形;
(10)报价人法定代表人为同一人的两个及两个以上法人,母公司、全资子公司及其控股公司,都不得在该项目中同时报价;
(11)本项目不接受联合体报价;
3.报价文件的有效期:
本项目报价文件的有效期为报价文件提交后90天之内。
4.报价人注册方式:
(1)报价人应在广东省机场管理集团有限公司采购、招商管理网络平台(wz.gdairport.com)主页中“合作商注册”模块,按规定格式填写正确的合作商登记信息,登记为合格的候选合作商(已注册的除外)。
(2)报价人完成合作商登记工作后,方可在广东省机场管理集团有限公司采购、招商管理网络平台(wz.gdairport.com)的竞价系统中递交项目资格预审文件,资格预审通过后的合作商才能进入网上竞价环节。
5.2资格预审结果查看:
6.竞价答疑:
若报价人对本项目有任何疑问,请在项目公告及资格预审文件报名阶段面提出,采购人将以书面形式或发布项目变更方式通知所有合作商。
7.递交资格预审文件资格预审要求:
资格预审期间,报价人应按竞价公告第三部分网上竞价报名文件要求在系统中提交纸质版扫描版资格预审。若报价人提交的资格预审文件存在下列情况,将不能通过资格预审:
(1)不能完全符合项目合格报价人条件要求的;
(2)资格预审文件资料未按要求签字或加盖公章的;
(3)资格预审文件资料中透露了项目报价的;
(4)资格预审文件资料与实际情况不符,文件造假的;
(5)其他不能通过资格预审原因。
8.合作商的确定:
符合资格条件,且参与报价的合作商至少应达到三家以上,不足三家的,采购人将重新发布采购信息,组织第二次采购。
如果经资格审查两次报名符合资格条件、且参与竞价的合作商只有两家的,采购人可按程序继续进行评审,确定合作商。
如果两次报名符合资格条件,且参与报价的合作商只有一家的,采购人可直接与符合资格条件的合作商进行合同谈判。
没有符合资格条件合作商的项目,采购人将中止项目竞价,变更采购方式确定合作商。
9.纸质报价文件提交:
网上竞价结束后3个工作日内,报价人应提交资格预审文件及项目报价单(包括清单)纸质版报价文件供采购人核对。资格预审文件应与系统上传的文件一致,项目报价单中的总金额及分项金额须完全一致,否则采购人有权认定其资格预审文件或报价单无效。
10.成交合作商的确定:
采购人按照系统排名选定排名最前的报价人为成交合作商,若报价人的报价明显低于市场价,采购人有权要求报价人提供其报价理由和有关未低于企业成本价的证明材料,如果报价人拒绝提供或提供的材料不充分,采购人有权认定其报价为无效报价。
11.竞价结果发布:
12.不诚信行为处置
1.对于报价人不符合竞价公告要求而参与竞价、恶意报低价、资料造假以及冒用他人身份参加我司网上竞价活动等不诚信行为,广州白云国际机场股份有限公司视其情节轻重而将报价人记录到此采购平台合作商信息中,并保留将其列入黑名单的权利。
13.投诉监督方式
1.报价人可以对本次竞价活动中的任何违法及不公平内容向广州白云国际机场股份有限公司安检护卫部纪检监察室实名投诉。
2.报价人应本着公平竞争、实事求是原则,按程序进行投诉,若存在下列情形之一的,采购人将视为无效投诉,并保留将其列入黑名单的权利:
(1)投诉主体不是项目参与合作商和其他利害关系人;
(2)投诉人未有真实署名,未同时提供投诉身份证复印件、联系方式;
(3)投诉人未提供必要的证明材料和明确的要求的;
14.联系方式
单位名称:广州白云国际机场股份有限公司安检护卫部
联系人:王工
地址:广州白云国际机场东南工作区安检护卫部办公楼
1、合同为固定总价,提供相应金额的有效增值税发票。
3、费用包括且不限于设备运输、设备安装、调试及强弱电布线费用、税费、人工费、办理施工证、人员控制区通行证等,由此产生的额外费用包含在报价内,采购人不再支付其他费用。
4、设备质保期为3年,质保期内提供2小时到场响应服务。
5、报价人必须对取得的资料承担保密义务,不得向第三方提供或披露,也不得将资料用于本项目之外的其他用途。保密期限以集团公司、股份公司的要求为准,违反保密义务,报价人将承担法律责任。
6、所选网络安全产品范围在北京神州绿盟科技有限公司、深信服科技股份有限公司、奇安信科技集团股份有限公司,所选设备采购人有权要求提供功能证明及测试,若所选设备与清单与技术需求不符合,中标人应立即更换设备,直至满足技术需求为止,同时承担由此产生的费用,具体要求如下:
(1)采购清单:
序号
名称
品牌型号
描述
单位
数量
一、安全硬件整改(二级)
1.1
日志审计系统
▲
台
1
1.2
备份一体机
不限品牌
1.3
防病毒网关
性能参数:6个10/100/1000BASE-T接口(支持2对Bypass接口),支持Bypass光口,支持万兆和千兆关口,最大吞吐量为7Gbps,HTTP杀毒吞吐750Mbps,FTP杀毒吞吐≥650Mbps,SMTP杀毒吞吐≥600Mbps,POP3杀毒吞吐≥600Mbps,最大并发数≥1,800,000,新增并发数≥40,000;含三年原厂质保和服务。
2
1.4
数据库审计
1.5
准入控制
个
100
1.6
防病毒软件
在内部Linux服务器中部署杀毒软件,包含(Webshell检测、暴力破解检测、基线合规检查),3年服务。
20
二、等保安全服务
2.1
漏洞扫描服务
每年对安检信息系统进行漏洞检查,采用安全扫描工具对系统进行安全扫描,挖掘可能存在的安全漏洞隐患,并根据扫描结果出具一份安全漏洞扫描报告,对系统中的漏洞修复提供技术支持。
次/年
4
2.2
安全应急服务
年
2.3
安全培训服务
根据安检护卫部具体需求,对指定人员进行信息安全意识培训,包括但不限于安全事件解读,安全预防案例,安全事件防护措施,信息安全政策法规解读,提升员工的信息安全意识
(2)技术需求:
1、日志审计
指标
功能要求
部署模式
支持单一部署,也支持分布式部署。
使用模式
采用B/S模式,无需安装客户端,使用WEB浏览器访问管理中心,浏览器端无需安装Java运行环境。支持chrome浏览。
管理范围
能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、虚拟化、云计算、数据库、中间件以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。
审计对象
支持审计各种网络设备(路由器、交换机等)配置日志、运行日志、告警日志等;
支持审计各种安全设备(防火墙、IDS、IPS、VPN、防病毒网关,网闸,防DDOS攻击,Web应用防火墙、等)配置日志、运行日志、告警日志等;
支持审计各种主机操作系统(包括Windows,Solaris,Linux,AIX,HP-UX,UNIX,AS400)配置日志、运行日志、告警日志等;
支持审计各种数据库(Oracle、Sqlserver、Mysql、DB2、Sybase、Informix)配置日志、运行日志、告警日志等;
支持审计各种中间件(tomcat、apache、webshpere、weblogic等)配置日志、运行日志、告警日志等;
支持各种应用各种应用系统(邮件,Web,FTP,Telnet、等)配置日志、运行日志、告警日志等;
以及用户自己的业务系统的日志、事件、告警等安全信息进行全面的审计。
采集方式
支持通过syslog、SNMPTrap、JDBC、Agent代理、WMI、(S)FTP、NetBIOS、文件\文件夹读取、Kafka等多种方式完成各种日志的收集功能;
资产管理
能够将资产按照多种维度进行分组、分域管理,如地理位置、组织结构、业务系统等,提供便捷的添加、修改、删除、查询与统计功能;
支持资产信息的批量导入和导出,便于安全管理和系统管理人员能方便地查找所需设备资产的信息,并对资产进行CIA赋值,自动计算资产价值,设置等保等级;在资产管理界面可查看每个资产的属性信息,情境信息,本身产生的事件信息、关联告警信息;
支持对资产IP地址的地理信息进行管理,支持单个IP、IP段设置行政区及经纬度,支持地图显示。
支持自定义资产类型及资产属性;支持对资产自定义标签,支持对标签内容进行查询和管理
日志归一化
支持对日志进行归一化处理并保留原始日志,方便用户对关键日志快速定位和事后取证;
系统提供页面可视化编辑归一化策略,对页面查看的日志编辑归一化策略,所见即所得,也支持通过归一化文件的导入来支持归一化,不需修改系统程序。
日志收集后进行字段和安全等级的归一化处理,系统归一化字段不少于95个字段,并支持动态扩展,扩展数量不限,扩展字段与原始字段具有相同功能,可参与统计分析、关联分析、报表生成等;
系统可自动识别收集的日志并自动选择范化策略,也可由人工设置设备的范化策略。针对匹配的多条范化策略,系统支持用户手工设置策略匹配优先级,保证最佳范化策略匹配。
对于枚举类型的范化字段,其字典表可根据需要自定义扩展
对于原始日志的枚举字段,能够将原始的枚举值映射为系统统一的枚举值
日志交互式分析
系统具备全文检索的大数据处理能力,能够对事件进行非格式化的文本式处理,可将原始信息进行自动索引,快速搜索分析各类安全事件。系统提供即席查询功能,支持归一化字段及关键字搜索,从海量事件原始信息中获取与关键字匹配或部分匹配的所有事件。系统支持基于正则表达式的检索功能,用户可在搜索栏内输入正则表达式,系统可搜索出原始信息中与正则表达式相匹配的所有事件;
用户可自定义事件搜索查询条件,并可保存为策略,以树形结构进行组织,形成一个搜索分析策略树;每个查询场景都可以查询策略的形式进行存储。
系统支持即席在线查询,支持嵌套查询,可针对查询结果任意回退,收敛事件范围;查询结果可支持加密导出。
用户可根据需要配置事件显示的字段内容等。
用户点击事件任意属性字段,可以该字段为条件对事件进行统计分析,并展示Top20排序,排序支持正序和倒序,并可对统计内容进行点击下钻;
用户点击单条事件,可对该事件进行展开,显示事件详细信息和原始信息
用户点击事件的某一字段,可以该字段及内容为条件在当前事件集中进行事件搜索,显示相应结果;
可以对事件依据其源目的IP和端口等各类字段信息进行深入的事件追踪调查,支持无限次数的追踪调查;
系统具备丰富的事件可视化展示能力,具备多种展现手段,至少包括数值、动态事件移动图、事件统计图、饼状图、柱状图、堆积图、折线图、面积图、列表、地图等等
日志统计分析
2)支持柱状图、饼图、折线图、面积图、堆积图、环状图、数值图、地图等形式的统计信息可视化展示,并可将统计结果保存为仪表板和报表等。图表数据支持数据下钻。
3)支持将统计结果保存为仪表板、报表和策略。
日志综合展现
1)系统提供可编辑的灵活强大的自定义仪表板;
2)系统内置仪表板至少包括日志源事件分析仪表板,Windows事件分析仪表板,网络设备分析仪表板,防火墙事件总览分析仪表板,WEB事件总览分析仪表板,FTP服务器日志分析等;
3)仪表板支持自定义创建框架,用户根据需要在框架内添加不同的仪表板组件(数值、折线、面积、柱图、饼图、环状图、地图、组件、URL、文本、图片、列表等),支持组件位置自由摆放,组件大小自由拖曳等。
4)用户可根据需要随时调整已创建的仪表板,编辑仪表板展示条件,调整大小和位置、新增组件等;可针对仪表板的任一元素进行下钻,查看原始日志。
5)支持仪表板导入导出,支持仪表板共享,可将仪表板共享给其他用户。
关联分析
1)具备完善的基于规则的关联分析引擎,能够提供逻辑关联、统计关联和递归关联三种关联分析能力。其中,逻辑关联支持与、或、非逻辑,支持丰富的逻辑表达式(包括并不限于大于、大于等于、小于、小于等于、不等于、包含、在……之间、属于、开始于、结束于、是否为空、通配符匹配、正则匹配等),支持逻辑嵌套;统计关联支持在统计的时候针对特定的一个或多个字段进行相同计数和不同计数,支持统计时长设置和触发次数设置,具备重复触发的抑制设置功能;
2)提供基于图形化方式的规则编辑器,能够对规则进行各种编辑和自定义,规则可实时启用和停用。
4)关联规则支持规则嵌套和引用,通过多规则联合,可精确识别复杂安全事件和场景;
6)关联规则支持导入导出;支持关联规则复制;
7)支持对关联规则进行监控,了解该规则命中历史情况;
9)关联规则触发后能够通过多种方式进行告警,支持发邮件、发送syslog、执行命令使设备协同工作、发送SNMPTrap等方式发送告警,并能够在动作中引用事件的属性变量;
告警管理
1)告警规则可以自定义,告警可查询,支持列表和统计展示;
2)告警支持提供告警统计策略,选中某条策略,就能展示某个统计图表,支持柱图、饼图、曲线图等统计展示形式;
3)支持告警归并,有效抑制重复告警,归并规则可自定义;
4)系统自带4中告警分类场景:外部威胁、外连威胁、横向攻击、自身告警
报表管理
系统支持提供安全运维报告,帮助运维人员快速生成日常日志分析和运维报告
备份归档
支持按周期的方式选择备份,支持原始日志与分析后日志分离,支持历史日志恢复导入;
当磁盘空间日志存储量达到一定百分比时可设定为删除磁盘中的历史日志或接收的日志不再入库,并进行告警;
支持以FTP/SFTP方式将日志数据备份至外部存储空间,支持数据恢复
系统管理
采用基于角色的权限管理机制,通过角色定义支持多用户访问;
支持三权分立;内置管理员组与用户组。管理员组包括:系统管理员、安全管理员、审计管理员;用户组默认用户包括:管理员。
系统自身的健康状况监控,包括CPU、内存、磁盘的利用率;
支持页面系统升级;
支持页面设置网络接口IP、网关等信息
2、备份一体机
主机兼容性
X86物理服务器:提供对所有的X86服务器的灾备保护功能;虚拟化主机:提供对MicrosoftHyper-V、VMwarevSphere(ESX\ESXi)、KVM、CitrixXen、IBMPowerVM、RedHatEnterpriseVirtulization、HuaweiFusionSphere等虚拟化主机的灾备保护功能;私有云/超融合云:提供对基于Openstack、Vmware和KVM技术且采用VmwareVsan、glusterfs或ceph分布式存储技术搭建的私有云/超融合云的灾备保护功能;公有云主机:提供对基于KVM、Xen、MicrosoftHyper-V和OracleVirtualBox技术的公有云主机(不限于:阿里云、腾讯云、百度云、华为云、AWS亚马逊、微软云、浪潮云、金山云、京东云、沃云、天翼云、移动云和OracleCloud)等云主机的灾备保护功能;
操作系统兼容性
提供对Windows/Linux操作系统的灾备保护功能,满足对32/64位系统平台及应用支持,具体如下:WindowsSever2003/2003R2/2008/2008R2/2012/2012R2/2016;WindowsXP/7/8/10;Redhat/Centos/OracleLinux5.x及其之后;Suse10sp1~sp4/11sp1~sp4/12sp1~sp4;Ubuntu12-~Ubuntu16;Debian8~Debian9;中标麒麟5.x6.x
应用系统兼容性
提供对各种不同部署方式和技术开发的业务系统的灾备保护功能,满足各种应用系统的灾备保护需求:普通单机应用;数据库同步类HA集群(如Web服务器集群);共享存储类HA集群(如OracelRac);共享双活类应用集群(如OracleDataGuard);基于GoogleFileSystem,Hadoop等技术开发的应用系统;
数据库兼容性
提供对主流SQLServer、Oracle、Sybase、ExchangeServer、LotusDomino、DB2、MySQL、AD、MONGODB、达梦等应用的灾备保护功能;提供对OracleRac、SAPHANA等应用的灾备保护;提供对其他运行在WindowsSever2003及以上或Linux2.6.18及以上操作系统上的任意数据库的灾备保护;
数据传输和存储加密
提供加密算法对备份数据进行加密,确保备份数据存储无泄密风险;提供分布式通讯框架、双向数字证书验证TLS协议进行数据传输,保障数据即使被网络截获也无法破解,攻击者无法伪造客户端、灾备系统欺骗来获得数据的上传和下发;
平台安全性
存储备份系统需为专用基于Linux的嵌入式系统减少病毒感染几率;系统维护后台采用动态口令机制不存在固定口令账户,动态口令由设备管理员和原厂口令组成,原厂口令随着设备管理员的改密码操作而变化,保障灾备系统后台不被非法登入;对备份数据进行结构重组,且禁止执行备份数据、直接浏览或重组数据,确保备份源主机中的计算机病毒(蠕虫、木马等)在备份系统中失去活性,保障备份系统中数据安全;
灾备系统自备份和多机容灾机制
备份技术原理
采用整机磁盘数据块备份技术对X86物理主机、虚拟化主机、云主机进行灾备保护;通过监控磁盘IO高效发现数据的变化,无需通过日志和文件解析的方式,提高备份效率和降低对备份源主机的资源占用;采用顺序IO技术对磁盘数据进行复制,提高在大数据量、大文件数量等场景下的备份效率;
整机灾备保护
提供对整机包括但不限于操作系统、业务系统、各类系统配置、数据库和数据/文件的在线完整机备份;
定时备份策略
支持按计划对指定的服务器做备份--每月xx天;每周x天;每天xx时;xx年xx月xx日xx时xx秒仅备份一次;
全量和增量备份
支持完整备份和增量备份,第一次备份时使用完整备份保留整机应用的完整状态,后续采用增量备份,大幅减少备份的数据量。
CDP持续数据保护(实时备份)
无需重启业务系统
即时开始备份任务,安装、卸载、备份过程不需要重启动客户的业务系统。
备份带宽控制
提供基于备份任务的数据流的流量控制功能,可根据实际情况进行上限大小控制,避免对业务带宽的过度占用。
断点续传
支持断点续传,当备份复制过程中出现非正常中断后,恢复备份条件后可基于上一次断点处进行续传;
可扩展性
支持外部SAN存储扩展,可支持多台横向扩展;
文件恢复和卷恢复
提供单文件级细粒度恢复功能,当原机中的某些重要文件丢失时,可直接恢复丢失的文件;
提供卷恢复功能,当原机中的卷丢失时,可直接恢复指定的卷;
虚拟化应急接管
自带虚拟化应急接管系统,无需额外配置应急服务器即可自建虚拟机,可配置多个应急接管业务主机同时接管多个业务系统;应急接管操作配置简单,全Web操作完成虚拟机创建、接管备份点的选取和虚拟机开机业务恢复的全流程;业务主机虚拟化应急接管系统提供服务时,灾备系统可为虚拟化接管主机提供CDP保护,且新增的数据会形成备份点可进行灾难恢复;采用硬件虚拟化技术隔离接管主机中的数据读取和写入,即便其中有活性的计算机病毒也无法感染备份系统和备份点;虚拟化应急接管系统可以提供私有网络和桥接网络两种网络模式,在私有网络下灾备系统提供端口映射实现接管系统的对外服务提供;可对业务群(如OracleRac)提供应急接管服务,实现业务群的业务快速恢复;
备份点验证
提供便捷、简单的灾备系统备份点可靠性验证,以便管理员确认灾备系统的工作状态正常、可靠:可将选定的备份点加载为网络共享路径、可直接在WEB浏览器中直接URL访问,管理员可快速确认需被验证的备份点文件是否是符合预期,备份点是否可用、可靠;虚拟化灾备验证系统自建隔离私有虚拟化网络,减少备份点验证时的配置难度和杜绝IP冲突风险;
灾备演练和灾难重建
提供原主机和异构目标机(X86物理机、虚拟机和云主机)之间的自动化灾备演练和灾难重建功能,可以实现P2P、P2V、P2C、V2P、V2V、V2C、C2C、C2P和C2V的灾备演练或灾难重建;提供目标机无需预置任何灾备演练或灾难重建环境(目标机无操作系统、目标机和原机操作系统不一致、目标机无应用系统、目标机无数据库等)可即时开展自动化的灾备演练或灾难重建功能;提供整机恢复的灾备演练或灾难重建功能,无需了解操作系统、应用系统、数据库和业务逻辑,也无需逐步手工安装、配置,即可完成灾备演练或灾难重建;灾备演练或灾难重建时可通过灾备系统Web管理界面完成所有操作,无需业务系统开发商工程师、数据库工程师和灾备系统工程师支持;千兆网络环境中,无预置灾备演练或灾难恢复环境条件下,无论数据量大小可分钟级将灾备点应用系统重建至异构主机上并可以对外提供服务实现业务恢复;提供无需启动介质整机全场景自动重建恢复功能,可在灾备系统的Web控制台上为目标机做差异硬件驱动配置、系统IP/路由配置和脚本配置等各种必要的配置,实现任意品牌/技术的X86服务器、虚拟机和云主机之间的异构自动化灾难重建。
3、防病毒网关
硬件规格要求
网络层吞吐量≥8G,并发连接≥210万,每秒新建连接数10万,标准2U机箱,单电源,标准配置6个10/100/1000M自适应电口,2个SFP插槽,支持1个扩展槽,1个Console口,支持液晶屏,含三年硬件维保服务。含应用控制、URL过滤、病毒防护、入侵防御、威胁情报检测功能。
产品支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求。支持旁路模式;
网络协议
所投产品必须支持VTEP(VxLanTunnelEndPoint)模式接入VxLAN网络,并可作为VXLAN二层、三层网关实现VxLan网络与传统以太网的相同子网内、跨子网间互联互通;支持通过绑定VLAN、VNI(VXLANNetworkIdentifier)、远程VTEP,手动管理VxLan网络;支持MAC、VNI、VTEP静态绑定
所投产品必须支持MPLS流量透传;支持针对MPLS流量的安全审查,包括漏洞防护、反病毒、间谍软件防护、内容过滤、URL过滤、基于终端状态访问控制等安全防护功能;
所投产品必须支持支持通过802.3ad协议、轮询、热备等方式将多个物理口绑定为一个逻辑接口,实现接口级的冗余,并可根据:源目的MAC组合、MAC和IP组合或TCP/UDP端口组合等方式实现负载和备份
路由协议
所投产品必须支持支持静态路由、策略路由及动态路由。策略路由支持用户自定义其优先级,动态路由应至少支持RIPv1/v2/ng,OSPFv2/v3,BGP4/4+协议;必须支持静态和动态多播路由,动态多播路由必须支持PIM-SM(稀疏模式)
所投产品必须支持基于策略的路由负载,支持根据应用和服务进行智能选路,支持源地址目的地址哈希、源地址哈希、轮询、时延负载、备份、随机、流量均衡、源地址轮询、目的地址哈希、最优链路带宽负载、最优链路带宽备份、跳数负载等不少于12种路由负载均衡方式,支持基于IPv4或IPv6的TCP、HTTP、DNS、ICMP等方式的链路探测,同时TCP与HTTP可使用自定义目标端口进行测试
所投产品必须支持ISP路由负载均衡,最大可支持8条链路负载,支持自定义负载权重,支持基于优先级的ISP路由链路备份;支持基于IPv4或IPv6的TCP、HTTP、DNS、ICMP等方式的链路探测,同时TCP与HTTP可使用自定义目标端口进行测试
地址转换
所投产品必须支持全面的NAT转换配置,包括一对一,一对多,多对一的源、目的地址转换,并至少支持FULL_CONE模式和SYMMETRIC模式
所投产品必须支持在会话的源、目的地址同为IPv4地址时,可将目的地址转换至指定服务器地址,同时可探测服务器是否存活
高可靠性
所投产品必须支持路由模式、透明模式的HA高可靠性部署,可工作于主备、主主模式,会话、用户、配置可实时同步;HA高可靠性部署支持接口联动,某个端口失效(DOWN),属于同一接口组中其他端口都会进入失效状态(DOWN);HA高可靠性部署支持配置接口权重;支持链路探测
访问控制
所投产品比如支持基于IPv4/v6地址、应用的会话限制,限制动作包每IP新建、每IP并发、所有IP新建、所有IP并发,且可以基于安全域指定限制方向
应用识别与控制
所投产品必须支持应用识别,应用特征库包含的应用数量(非应用协议的规则总数)大于2800种,可深度识别每种应用的属性,为每种应用提供预定义的风险系数,并将应用基于类型、使用场景、数据传输、风险等级等特征分类
所投产品可直观展示不同风险等级的应用在1天(24小时)或一周(7天)内传输流量的绝对数值及占全网流量的百分比。
用户识别与认证
所投产品必须支持基于用户的访问控制,可与LDAP/Radius/证书/ActiveDirectory/TACACS+/POP3等用户认证系统联动
所投产品必须支持802.1x认证,要求支持基于端口和MAC两种接入控制方式
支持二层MAC地址IP地址绑定;支持跨三层MAC地址IP地址绑定
邮件过滤
所投产品必须支持基于关键字的接收、发送或双向Email发件人、收件人过滤,并支持自定义RLB服务器地址配置,并可结合IP黑名单或白名单
文件过滤
所投产品必须支持对应用的文件传输行为进行上传、下载、双向的文件类型过滤,应用至少包含即时通讯、常用协议、文件共享、论坛、博客、网页邮件五种分类;
所投产品必须支持上传、下载、双向的文件内容过滤;内容过滤支持手工及文件批量导入两种方式进行敏感信息定义;内容过滤至少支持html、doc、docx、xls、xlsx、ppt、pptx、chm、7z等30种常见文件类型;文件类型识别基于文件特征而非扩展名,更改文件扩展名后仍可有效识别
流量管理
所投产品必须支持多调度类相互嵌套最大5级的带宽管理设置。支持设置每IP最大或最小带宽,支持对每IP进行带宽配额管理,可通过优先级实现多应用的差分服务,并支持对剩余带宽进行基于优先级的动态分配。
支持配置基于IP、用户、应用的流量管理规则,且至少支持对2900种应用定制流量管理规则
网络攻击防护
所投产品必须支持基于不同安全区域防御DNSFlood、HTTPFlood攻击,并支持警告、阻断、首包丢弃、TC反弹技术、NS重定向、自动重定向、手工确认等多种防护措施
所投产品必须支持可配置阈值的基于安全域或基于二层接口局域网广播防护,防止局域网内广播和多播数据包泛滥
所投产品必须支持DHCP协议防护;支持手动定义可信DHCP服务器IPv4和基于阈值限制DHCP请求传输速率
所投产品必须支持基于安全区域的异常包攻击防御,异常包攻击类型至少包括PingofDeath、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke、DNS异常、IP分片等;并可在设备页面显示每种攻击类型的丢包统计结果
所投产品必须支持防御基于安全域的IP地址欺骗攻击,指定IP或网段必须从特定安全域流入
病毒防护
所投产品必须能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀
所投产品必须支持对最多6级的压缩文件进行解压查杀
所投产品必须支持基于MD5的自定义病毒签名;支持设置例外特征,对特定的病毒特征不进行查杀
入侵防御
所投产品必须支持漏洞防护功能,同时将漏洞防护特征库分类,至少包括缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQL注入、WEB攻击等六种分类;漏洞防护支持日志、阻断、放行、重置等执行动作,可批量设置针对某一分类或全部攻击签名的执行动作;支持基于FTP、HTTP、IMAP、OTHER_APP、POP3、SMB、SMTP等应用协议的漏洞防护
所投产品必须支持间谍软件防护功能,同时将间谍软件特征库分类,至少包括木马后门、病毒蠕虫、僵尸网络等三种分类;支持在防火墙间谍软件签名库直接查阅攻击的名称、严重性、描述等信息;间谍软件防护支持日志、阻断、放行、重置等执行动作,可批量设置针对某一分类或全部攻击签名的执行动作;支持基于FTP、HTTP、IMAP、OTHER_APP、POP3、SMB、SMTP等应用协议的间谍软件防护
SSL解密
所投产品必须支持IPv4和IPv6流量的HTTPS协议进行解密,支持配置基于源安全域、目的安全域、源地址、目的地址、SSL协议服务的解密策略,并可同时基于安全域、IPv4和IPv6地址进行例外设置
策略与处置
所投设备可在单条策略中启用病毒防护、入侵防御、网址过滤、文件过滤、文件内容过滤、终端过滤等安全功能选项。
所投设备必须支持安全策略的快速检索及基于名称、地址、端口、协议多维度的高级策略检索,支持策略的复制、调序、查询
所投产品必须支持基于受害主机的一键式阻断链接、记录日志等处置动作,处置周期至少包括1天、7天、30天、90天、永久等;
所投产品必须支持接收针对突发重大安全事件的“应急响应消息”,并至少在界面显示安全事件名称、类型、当前防护状态、处置状态以及相应的操作等信息;并可根据设备安全配置的变化动态显示应急响应的处理结果
所投产品必须支持针对“应急响应消息”的手动或自动处置,处置方法至少包括基于漏洞的处置和基于威胁情报的处置
运维管理
所投产品必须支持三权分立管理,权限设置至少包括全部权限,仅具有策略变更权限和仅具有日志审计权限、仅具有账户配置权限、虚系统配置管理权限以及虚系统审计权限;并支持以读写、只读、无权限的方式自定义权限管理,权限管理的范围至少包括策略配置、对象配置、网络配置、系统配置、统计分析、威胁处置等
所投产品必须支持将告警信息以SNMPTrap、邮件、声音、短信等形式通知管理员,告警信息的范围至少包括配置变更、病毒事件、攻击事件、异常事件、CPU利用率、内存利用率、硬盘利用率、接口带宽利用率等;
所投产品必须支持通过TFTP或FTP协议实现IPS特征库、威胁情报库、应用识别库等数据库的实时更新。
所投产品必须web页面必须内置抓包工具,并可通过表达式方便灵活的指定抓包过滤条件
4、数据库审计
审计功能
支持主流数据库Oracle、SQL-Server、DB2、MySQL、informix、sybase、Postgresql、Cache、MongDB,K-DB、达梦、人大金仓、南大通用
日志查询
精细化日志秒级查询
通过SQL串模式抽取保障磁盘IO的读写性能;分离式存储SQL语句保障数据审计速度快
数据库安全
内置大量SQL安全规则
包括如下:导出方式窃取、备份方式窃取、导出可执行程序、备份方式写入恶意代码、系统命令执行、读注册表、写注册表、暴露系统信息、高权存储过程、执行本地代码、常见运维工具使用grant、业务系统使用grant、客户端sp_addrolemember提权、web端sp_addrolemember提权、查询内置敏感表、篡改内置敏感表等
数据库访问
数据库访问可视:
数据库威胁分析
可以通过自定义交互分析设置正常访问和异常访问视图、数据库泄密分析、图形化泄密轨迹分析、数据窃取、数据库风险、外发数据人员、受攻击业务系统、风险总次数这几个维度实时监控内网数据威胁态势并且提供交互式分析视图帮助企业快速溯源。
风险分析
响应方式
支持Syslog告警、SNMPtrap告警、邮件告警,短信告警;
支持旁路阻断;
提供管理员权限设置和分权管理,提供三权分立功能,系统可以对使用人员的操作进行审计记录,可以由审计员进行查询,具有自身安全审计功能。
日志数据安全
支持SNMP方式,提供系统运行状态给第三方网管系统;
支持Syslog方式向外发送审计日志;
数据存储
支持后期扩展外部网络存储(IPSAN、NAS、DAS、磁盘阵列等)
部署管理
采用B/S管理方式,无需在被审计系统上安装任何代理;无需单独的数据中心,一台设备完成所有工作;提供图形用户界面,以简单、直观的方式完成策略配置、警报查询、攻击响应、集中管理等各种任务;
5、准入控制
Web访问质量检测
针对内网用户的web访问质量进行检测,对整体网络提供清晰的整体网络质量评级
支持网络故障排查
支持PPS异常、丢包异常、ARP异常、内网DOS攻击等异常情况实时监测,显示每日异常事件个数及情况
支持权限策略故障排查
用户认证故障排查
支持针对用户认证的故障进行分析,给出错误详情以及处置建议;
SSL解密故障排查
支持解密排障,自动检测解密审计不成功原因,包括客户端安装异常、证书安装异常、驱动异常、代理异常等类型,帮助管理员快速配置和修复
OA认证
自定义任务检查
支持终端调用管理员指定脚本/程序以满足个性化检查要求,比如检测系统更新是否开启、开放端口、已安装程序列表、终端发通知等对不满足检查要求的终端可弹窗提示、禁止上网;
杀软流量检查
无需安装客户端,通过流量状况检查10款以上主流杀毒软件的运行情况,对不满足检查要求的终端可重定向页面修复
终端识别发现
自动发现网络里面的终端,并获取IP、Mac、厂商、操作系统、开放服务、开放端口等信息,设备必须支持PC、移动设备、哑终端、专用设备的发现和型号识别:至少支持Windows、Linux、MAC、瘦客户机等PC;至少支持手机、平板等移动设备;至少支持服务器、交换机、无线控制器等7类网络设备;至少支持打印机、投影仪、电视、摄像头、门禁系统等10类哑终端;
6、防病毒软件
2、支持在客户端查看拦截效果,包括拦截内容、拦截次数等;
多维度威胁展示
提供勒索病毒整体防护体系入口,直观展示最近七天勒索病毒防护效果,包括已处置的勒索病毒数量、已阻止的勒索病毒行为次数、已阻止的未知进程操作次数、已阻止的暴力破解攻击次数
全球威胁展示
支持展示全球热点风险事件在网内终端的爆发情况,及时了解、处置网内终端的热点风险事件,并显示影响终端数量
云端威胁分析
支持跳转链接至云端安全威胁响应系统,针对已发生的病毒的基本信息,影响分析(客户情况、影响行业、区域分布)、威胁分析和处理建议
支持全网视角的终端资产统一清点,清点信息包括操作系统、应用软件、监听端口和主机账户,其中操作系统、应用软件和监听端口支持从资产和终端两个视角进行统计和展示
勒索病毒专防
基于勒索病毒攻击过程,建立多维度立体防护机制,提供事前入侵防御-事中反加密-事后检测响应的完整防护体系,展示勒索病毒处置情况,对勒索病毒及变种实现专门有效防御
全网威胁定位
支持基于威胁情报的病毒文件哈希值和域名全网终端搜索,可定位出全网终端该病毒的感染情况
控制策略
支持基于IP(组)、服务和角色维度进行配置项设置,并且支持对配置项的备份以及恢复操作
挖矿病毒巡检
WebShell事件处理
升级管理
支持客户端的错峰升级或灰度升级,可根据实际情况控制客户端同时升级的最大数量,避免大量终端程序同时更新造成网络拥堵或I/O风暴
7、漏洞扫描服务
漏洞扫描的目的是全面、准确的了解安检护卫部的网络安全现状,发现系统中的安全问题及其可能的危害,为系统最终安全需求的提出提供依据,准确了解组织的网络和系统安全现状。
l服务内容
(1)资产调研:对内网的IT资产进行调研和收集,包括网络架构、信息系统、服务器、操作系统、中间件、数据库、网络设备、安全设备等IT资产。
(2)威胁和脆弱性识别:对安检护卫部网络环境及资产通过漏洞扫描、人工分析的方式识别内网存在的威胁和脆弱性。
(3)风险分析:针对发现的威胁和脆弱性进行安全风险分析,并根据风险分析结果给出安全处置建议。
l服务标准
服务期内,每年四次基于网络安全等级保护标准对网络设备、服务器操作系统、数据库系统、应用软件系统进行细致深入的漏洞检测、分析,提供专业、有效的漏洞防护建议;漏洞扫描完成后15个工作日内提供《漏洞扫描报告》;针对安检护卫部自建信息系统上线前,额外进行安全检查,包括安全风险分析、攻击事件分析、安全加固建议等;检查后五个工作日提供《漏洞扫描报告》。
l服务方式以及频率
采用人工扫描评估、人工评估方式进行现场评估。服务频率4次每年。
8、安全应急服务
对安检护卫部建立合理的安全应急制度有利于安检护卫部及时处理发现的信息安全风险问题,做出提前预案。
为安检护卫部提供应急响应制度,且结合突发安全事件为安检护卫部提供技术支持。在安全问题得到解决后,为安检护卫部提供安全问题产生原因以及溯源分析。
采用人工现场问题处理方式。服务1年。
9、安全培训服务
通过对内部员工进行安全意识培训,提升内部员工安全认知,让员工认识到信息安全意识不足对组织可能造成的危害,传导应正确恪守的行为方式,通过全员安全意识的理论培训和案列分析以及关键行为上的最佳实践指导,让信息安全“人防”保障有效支撑业务高效稳定运行,培训内容包括普通员工的上网安全、邮件安全、通信安全等常见的安全意识内容。
对指定人员进行信息安全意识培训,包括但不限于安全事件解读,安全预防案例,安全事件防护措施,信息安全政策法规解读,提升员工的信息安全意识。
10、报价人须在质保期内每季度提供一份审计系统和日志系统的分析报告,报告内容包括但不限于:数据流向、行为日志分析等。
一、资格预审文件
1.营业执照复印件并加盖报价人公章;
2.一般纳税人资格证明文件并加盖报价人公章;
3.报价人持有有效的中国信息安全认证中心发放的CCRC信息安全服务资质认证证书(信息安全集成)、CCRC信息安全服务资质认证证书(信息安全运维);
5.报价人提供交付所有产品后提供安装培训服务和及时的售后服务承诺函(格式自拟);
8.按附件格式要求提交“网上竞价项目采购文件响应承诺书”;
9.按附件格式填妥并签章的“诚信承诺函”;
11.按附件格式要求提交“国家企业信用信息公式系统网站”截图并加盖报价人公章;
12.按附件格式要求提交“信用中国网站”截图并加盖报价人公章;
13.按附件格式要求提交“中国执行信息公开网”网站截图并加盖报价人公章。
二、项目报价单
项目报价单
产品名称
品牌要求
单价限价
拟投入设备的品牌
单价报价
小计
120000
158000
125000
168000
88000
60
2500
15000
50000
合计:
2)对含糊不清或不确定的报价将视为无效报价。
3)报价人所报的总价或者单价超过限价将被采购人否决。
报价人名称(签章):
日期:年月日
附录1:营业执照复印、一般纳税人资格证明文件
附录2
法定代表人证明书
(如报价文件签署人是法人代表)
先生/女士,现我单位职务,为法定代表人,特此证明。
本证明书有效日期:
签发日期:
报价人名称:(公章)
附件:法定代表人身份证或其他有效身份证明(注:报价人必须在上述附件上加盖公章)
附录3:
(如报价文件签署人不是法定代表人)
报价人法定代表人签字(盖章):
职务:
单位名称:
地址:
附录4:
网上竞价项目采购文件响应承诺书
致:广州白云国际机场股份有限公司
我司(合作商名称)保证提交的(项目名称)报价文件所有内容与贵司(单位)的采购文件要求完全响应,无任何偏差,特此承诺!
合作商名称(公章):
附录5
诚信承诺函
在研究并完全理解了广州白云国际机场股份有限公司安检信息系统整改采购项目采购项目竞价公告后,我司(合作商名称)完全同意并接受项目竞价公告的所有内容,同时向贵司承诺:
1.2016年1月1日至今,我司没有因腐败或欺诈行为而被政府或业主宣布取消投标资格;
2.2016年1月1日年至今,我司(包括独立法人及关联公司和自然人)未与广东省机场管理集团有限公司其下属的全资、控股公司、非法人实体单位发生各种诉讼和仲裁,不存在拒不履行法院或仲裁机构生效判决或裁定的情形;
3.我司不存在被广州白云国际机场股份有限公司认定为发生不良行为合作商,且仍在处置期内的情形;
如有造假行为,我公司愿意无条件接受采购人的以下处理:
2.由采购人没收合同履约保证金;
3.三年至六年内停止或禁止参加广州白云国际机场股份有限公司及其下属单位的所有非招标采购项目采购活动;
4.对不良行为予以纪录,并进行公告;
5.报广东省机场管理集团有限公司备案;
6.其他行政处理决定。
合作商名称:(公章)
日期:
附录6
致:
附录7:
注:报价人须按上述格式要求截图并加盖公章,截图清晰显示报价人单位名称及列入严重违法失信企业名单(黑名单)信息,
附录8:
“信用中国”网站(www.creditchina.gov.cn)截图格式
注:报价人须按上述格式要求截图并加盖公章,截图清晰显示报价人单位名称及列入黑名单信息。
附录9:
“中国执行信息公开网”网站截图
注:报价人须按上述格式要求截图并加盖公章,截图清晰显示报价人单位名称及查询结果。
广州白云国际机场股份有限公司
安检护卫部T1安检信息系统测评整改服务合同
项目名称:
委托方(甲方):
受托方(乙方):
签订地点:广州市
本合同甲方委托乙方就广州白云国际机场股份有限公司安检护卫部信息系统网络安全整改提供产品与服务,并支付技术服务报酬。双方经过平等协商,在真实、充分地表达各自意愿的基础上,根据《中华人民共和国合同法》的规定,达成如下协议,并由双方共同恪守。
第一条乙方进行技术服务的内容、要求和方式:
1、服务内容:
单价(元)
合计(元)
2、实施与服务要求:
(1)实施内容要求
合同签订后,乙方于120个工作日内完成相应产品采购与实施工作。乙方须按照清单按时完成各项工作,并将报告发送给甲方,在服务过程中,甲方有权对乙方提供的服务质量问题提出意见,乙方应按甲方的要求进行及时的改进。
(2)服务团队要求
项目经理须具备5年或以上信息安全服务经验,并具有项目管理资质证书。
(3)服务期限要求
在项目验收后1年内,乙方须提供4次安全扫描服务及2次安全培训服务。乙方应在服务期限内完成本合同约定的全部内容,并提交相应技术材料与服务报告。
3、保密要求:
(1)在项目过程中,乙方应遵守国家法律法规及地方法规、机场集团公司、股份公司等有关规定。
(2)乙方对甲方为完成实施信息安全整改而提供的任何技术资料、数据或其他工作成果负有保密义务,应妥善保管,不得泄露,并不得以任何形式提供给任何第三方或用于本合同以外的其它目的。
(3)保密期:永久。
第二条为保证乙方有效进行技术服务工作,甲方应当向乙方提供下列协作事项:
1、提供技术资料:甲方向乙方提供完成信息安全服务所需的网络应用需求、网络结构拓扑及说明、产品清单及配置、安全保护设施设计实施方案或改建实施方案、网络软件硬件和网络安全产品服务清单等必要的技术资料;
2、提供工作条件:甲方为乙方提供工作上必要的便利。
第三条双方确定,按以下标准和方式对乙方提交的技术咨询工作成果进行验收:
1、乙方提交技术咨询工作成果的内容:包含但不限于《实施报告》、《漏洞扫描和修复报告》、《安全应急制度》等项目过程中的文档。
2、技术咨询工作成果的验收标准:经甲方组织的评审会评审通过。
3、乙方完成项目实施后,并通过第三方有资质的测评机构的等保测评工作,形成测评报告,并获得公安部的回执。未能通过第三方测评机构的测评要求的,乙方必须无条件整改,所需的新增费用,由乙方自行承担。
5、乙方在实施中如人为或技术不够等原因导致甲方安检系统出现非正常故障的,甲方有权向乙方索赔相应由此带来的影响和损失。
第四条合同总价及支付方式为:
1、本合同价款为含税价,包含增值税等税费,其中:设备费税率为%;服务费税率为%;最高限价为:人民币(大写)元(¥元),其中:
1)设备总价:人民币(大写)元(¥元)
2)服务总价:人民币(大写)元(¥元)。
2、合同总价由甲方分三期支付给乙方。
(1)合同签订后,甲方向乙方支付合同预付款金额为合同总金额的25%,即人民币(小写:元)。
(2)项目实施完成,乙方完成全部实施内容,经甲方确认后,向乙方支付合同实施款项金额为合同总金额的65%,即人民币(小写:元)。
(3)项目验收合格满一年后,且乙方完成全部技术服务内容,经甲方确认后,乙方提出书面申请,甲方收到书面申请后20个工作日内向乙方支付合同剩余10%尾款,即人民币(小写:元)。
第五条双方确定,在本合同有效期内,甲方指定为甲方项目联系人,乙方指定本项目负责人为乙方项目联系人。项目联系人承担以下责任:
1、督促工作进度;
2、传递有关信息、资料;
3、合同双方一切未尽事宜的协调。
一方变更项目联系人的,应当及时以书面形式通知另一方。未及时通知并影响本合同履行或造成损失的,应承担相应的责任。
第六条违约责任
(一)乙方未能按照本合同的约定和甲方的要求交付成果的,每逾期一天,乙方按本合同总金额的万分之五向甲方支付违约金;逾期30天以上(含)的,甲方有权单方解除本合同,并要求赔偿相应损失。
(三)本合同履行期限内,乙方不得委托任何第三方完成本合同委托事项,否则视为乙方根本违约,甲方有权解除合同。
(四)乙方未经甲方同意未按项目报价文件提供的团队成员提供服务,更换项目负责人的,甲方有权解除合同。
(五)甲方逾期未支付乙方款项,每逾期一天,甲方按本合同总金额的万分之五向乙方支付违约金;逾期30天以上(含)的,乙方有权单方解除本合同,并要求赔偿相应损失。
(六)乙方未能履行保密条款的,甲方有权追究其法律责任,并要求其赔偿损失。
第七条双方因履行本合同而发生的争议,应协商、调解解决。协商、调解不成的,任何一方可向广州市白云区人民法院提起诉讼。
第八条任何一方由于不可抗力原因不能履行合同时,应在不可抗力事件结束后1日内向对方通报,以减轻可能给对方造成的损失,在取得有关机构的不可抗力证明或双方谅解确认后,允许延期履行或修订合同,并根据情况可部分或全部免于承担违约责任。
第九条本合同一式柒份,甲方执伍份,乙方执贰份,具有同等法律效力。
第十一条本合同到期后,由甲方对乙方的服务按照本合同第一条的约定进行考核,如甲方考核满意,双方可另行协商约定续约事宜。