《应用系统安全防护项目需求书.docx》由会员分享,可在线阅读,更多相关《应用系统安全防护项目需求书.docx(38页珍藏版)》请在三一办公上搜索。
1、安徽省公安厅应用系统安全防护项目需求标前公示项目名称安徽省公安厅应用系统安全防护项目编号2015FACZ0608采购内容详见采购需求项目预算1320.00万元投标人资格要求1、 符合政府采购法第二十二条规定;2、 具有计算机信息系统集成二级及以上资质(证书在有效期内或2014年2月15日后有效期满的);3、 近五年内具有金额不少于1000万元的公安行业软件或服务系统建设案例业绩;4、 具有本地化服务能力;5、 本项目不接受联合体投标。付款方式由省公安厅统一招标,统一验收。省公安厅按合同总价分配到各市、县公安局,由各市、县公安局直接支付到供应商。服务周期工期180天,服务三年评标办法及明细综合评
2、分法详细评审指标如下:类别指标指标描述分值范围技术标(70分)应用安全审计控制中心实施描述当前安徽省应用安全审计的建设现状,能够对项目建设的目的和意义有深入的理解和认识。系统架构符合安徽省厅总体技术架构要求,功能完整且清晰,重点阐述部署方案对于网络检测及硬件实施环境准备、数据库搭建和应用部署、集成方案制定与集成调试、部署应用测试及集成测试等要求。根据各投标人描述进行排名,第一名得10分,第二名得5分,第三名得2分,其余不得分。0-10分应用安全审计外挂软件包重点描述各类业务系统日志获取的技术实现方法,重点描述对于无法改造的业务系统的集成设计,方案完整详尽,技术合理。根据各投标人描述进行排名,第
3、一名得5分,第二名得2分,第三名得1分,其余不得分。0-5分应用安全审计级联子系统符合公安部应用安全审计平台部省市联动设计规范要求,详细阐述各功能模块的设计,方案完整详尽,技术合理。根据各投标人描述进行排名,第一名得5分,第二名得2分,第三名得1分,其余不得分。0-5分应用安全审计基础支撑-国产数据库对项目需求理解准确,各项功能模块满足并且描述详细清晰,完全响应招标文件技术需求的得基础分3分。投标产品技术指标优于招标文件要求的一项加0.5分,最多加1分。0-4分应用安全审计基础支撑-云平台病毒防护对项目需求理解准确,各项功能模块满足并且描述详细清晰,完全响应招标文件技术需求的得基础分3分。投标
4、产品技术指标优于招标文件要求的一项加0.5分,最多加1分。0-4分应用安全防护基础支撑-公共服务工具投标方案中各项功能模块满足需求,并提供详细文字说明和功能截图,重点描述服务处理机制要求,包括异常处理机制、性能及并发处理控制机制、数据访问安全机制、服务运行状态监控机制、日志审计机制,且支持分布式部署,单节点需达到4000并发或以上。根据各投标人描述进行排名,第一名得4分,第二名得2分,第三名得1分,其余不得分。0-4分应用安全防护-Web应用智能检测子系统对项目需求理解准确,各项功能模块满足并且描述详细清晰,完全响应招标文件技术需求的得基础分3分。投标产品技术指标优于招标文件要求的一项加0.5
5、分,最多加2分。0-5分应用安全防护基础支撑-运维管理平台升级一、对本次运维管理平台升级功能设计需求理解深刻,准确把握招标技术要求中的各项优化升级内容,对新增的移动服务中心、科信业务管理、3D数据中心机房管理等主要功能模块设计合理,描述清晰准确。根据功能设计方案的优良情况得0-6分。未提供得0分。二、对本次运维管理平台升级对接设计要求理解准确,实现与省厅现有运维平台、地市运维平台的无缝对接,提供切实可行的对接方案,并实现省市运维联动。根据对接设计方案的优良情况得0-4分。未提供得0分。0-10分人员能力投标人承诺为本项目提供不少于20名专业技术服务人员的本地化服务团队,团队成员要求提供最近一年
6、在安徽连续缴纳的社保缴费证明和在安徽注册的相关机构的营业执照副本,复印件加盖公司公章,得4分。不能提供社保缴费证明或者服务人员数量不足不得分。项目负责人须为本地化服务团队成员,并具有计算机信息系统集成高级项目经理资质证书,得2分。本地化服务团队成员中具有OCP认证、软件设计师、数据库系统工程师等证书每个得0.5分,本项最高为2分。0-8分企业信用获得省级以上工商行政管理部门“全国守合同重信用单位证书”的得1分,无证书或证书不在有效期内不得分。0-1分企业资质一、投标人获得高新技术企业认证并获得公安部重点实验室资质得2分。二、投标人具备系统集成一级资质的得2分,二级资质的得1分; 三、具备系统集
7、成涉密乙级及以上资质得2分。0-6分本地化服务投标人注册地在合肥,得3分;其他本地化服务机构或本地化服务能力得12分,不提供本地化服务不得分。(提供营业执照复印件,原件备查;未提供不得分)。0-3分业绩案例2011年以来单个合同金额不低于400万元省级及以上公安机关软件系统项目案例,每个1分。 最高得5分。0-5分商务标(30分)最终投标报价价格分统一采用有效最低价法,即满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。其他投标人的价格分统一按照下列公式计算:投标报价得分(评标基准价/投标报价)301000-30分采购需求前注:如对本招标文件有任何疑问或澄清要求,请按本招标
8、文件“投标人须知前附表”中的约定方式联系采购中心,或接受答疑截止时间前联系采购人。否则视同理解和接受。一、需求一览表序号设备名称技术参数要求数量1应用安全审计控制中心实施详见技术需求16套2应用安全审计外挂软件包详见技术需求16套3应用安全审计级联子系统详见技术需求16套4应用安全审计基础支撑-国产数据库详见技术需求1套5应用安全审计基础支撑-云平台病毒防护详见技术需求1套6应用安全防护基础支撑-公共服务工具详见技术需求1套7应用安全防护-Web应用智能检测子系统详见技术需求16套(另赠1套)8应用安全防护基础支撑-运维管理平台升级详见技术需求16套(另赠1套)二、技术要求(一)概述随着安徽省
9、公安信息网信息化的深入发展,公安信息网信息与网络安全问题日益突出。加强公安信息网安全管理已成为确保公安信息化建设成效的重要且紧迫的工作。当前,公安信息网安全管理工作面临的形势十分严峻;一是安全管理技术的建设与应用严重滞后于网络和信息系统的建设与应用;二是公安信息网内各类违规现象不断出现,安全教育和事后处置不足以杜绝重大安全事故的发生;三是随着信息应用的深化,公安信息网与外网的信息交互给公安信息网边界安全管理带来极大的挑战。大力加强公安厅信息网安全管理技术建设,变“被动防御、被动管理”为“主动防御、主动管理”,已是公安局信息化建设中一项重要工作。2013年7月,安徽省公安厅已通过安徽省公安厅公安
10、业务系统升级与改造项目(项目编号:AH-F20130174)第四包:公安信息网运行维护及安管平台项目采购,开展安徽公安信息网应用安全防护前期建设并取得初步的应用成果。此次项目的采购与实施,将实现应用安全审计、云平台病毒防护、WEB应用智能检测、运维管理平台等安全体系的系统全省全面建设和实施,进一步提升全省信息网安全管理和运维服务管理水平,提高科信部门的快速响应能力,建立并完善公安信息网安全管理技术体系和工作机制,强化对信息与网络安全问题的检测、预警和处置能力,确保公安信息网的安全运行。(二)总体设计要求系统整体设计架构如上图所示。虚拟资源层为应用安全审计控制中心提供虚拟计算资源池、虚拟网络资源
11、池、虚拟存储资源池。云平台病毒防护,为VWmare平台下应用安全审计控制中心、级联管理等系统建设提供安全防护功能,为全省开展应用安全审计业务提供基础安全支撑。通过外挂软件包收集全网各业务系统的行为日志,汇集到审计控制中心数据库集群,实现对日志的智能分析,以准确识别安全风险和事件,运用“高内聚、低耦合”的先进软件设计理念,对系统进行顶层设计,通过SOA架构的应用服务提供给平台的监管页面进行集中展示。通过级联系统的服务接口能将上至上级平台,下至下级平台,达到多级级联的目的,保证全网的信息安全。应用安全审计控制中心主要实现了各类安全风险监测、分析、管控技术的融合,是整个安全保障体系的技术支撑部分,而
12、运维管理平台为系统稳定性、可维护性提供支持。实现了各类资源实行统一的注册和管理,理清资源间的关联关系,构建一体化监管体系,自动汇集全网重要设备、重要系统、机房环境、UPS及电源等各类资源运行数据,并通过丰富直观的各类视图实现对全网IT架构的全面实时监测。(三)建设要求1. 应用安全审计控制中心实施随着公安信息化建设的快速发展,信息资源大范围的应用,与此同时产生的信息泄露问题日显突出,信息的安全问题也变得越来越严重,发现问题很难进行倒查跟踪。2013年7月,安徽省公安厅已在安徽省公安厅公安业务系统升级与改造项目(项目编号:AH-F20130174)第四包:公安信息网运行维护及安管平台进行了应用系
13、统安全审计平台子系统的采购,现已完成省级应用安全审计控制中心试点建设,实现了对各级业务应用系统和资源库日志信息的集中安全管理,初步解决了省级系统“跟踪不下去、查不到源头、取不到证据”难题,现急需在16个地市进行部署实施,并对原有业务系统进行系统升级与完善,进一步规范全省各应用系统和资源库的日志采集的监测、预警和处置工作。1.1目标任务完成16个地市应用安全审计控制中心的部署实施,各地市对已建应用系统和资源库按照日志采集规范进行功能改造与升级,新建应用系统和资源库一律增加应用日志安全审计功能;加快技术手段建设,实现对应用日志的集中采集、关联分析和处置管理;建立健全配套工作机制和保障机制,逐步构建
14、与公安信息化应用模式相适应的公安信息系统应用日志安全审计工作体系。主要任务是:(一)开展市级应用日志安全审计部署实施。将省级采购的应用日志审计平台的部署到16个地市,各地按照“谁建设、谁改造”的原则,根据安徽省公安信息系统应用安全审计平台技术规范,对已建应用系统及资源库进行应用日志安全审计功能改造,补充对用户操作行为和接口服务的日志记录及存储功能;新建应用系统和资源库,全部增加应用日志安全审计功能;完整记录公安网用户“增、删、改、查询、比对”等操作行为和信息资源服务情况,确保日志记录可追踪、可倒查。(二)建立应用日志安全审计工作机制。各地要建立应用日志安全审计管理工作机制。要以平台为载体,建立
15、事前预警、事中监测、事后分析为主要内容的应用日志安全审计运维工作机制。同时,要建立公安科信、纪检监察、警务督察等部门相互配合的应用日志安全审计取证核查工作机制,建立检查、考核、通报等工作机制。1.2技术要求1.2.1整体架构应用安全审计控制中心总体架构分数据层、服务层、应用层等三个层次。主要内容包括数据同步、数据抽取、汇集库、索引库、综合查询系统、管理工具、平台门户、自动监测等方面。1.2.2应用安全审计控制中心的日志规范要求应用安全审计控制中心所采集的日志应包括应用系统/资源库的登录、查询、新增、删除、修改和接口服务等日志记录,相关标准参考公安信息系统应用日志安全审计平台日志采集规范(V1.
16、0)。1.2.3基础软件功能平台基础软件主要功能见下表:模块建设要求功能说明系统门户单点登录通过PKI统一认证后实现系统及导航的应用单点登录日志全文检索通过智能检索和高级检索对日志库数据进行检索查询,对日志信息以人、车、案、物、线索、组织、其它等几方面为对象类型检索通知通告发布发布跟安全管理工作相关通知通告日志采集监控在门户上展现各接入应用日志采集的运行状况和日志采集量应用日志采集统计在图形化展现各接入应用日志采集量统计状况,展示登录、增、删、改、查、导、接口等日志统计安全检测系统运行监测图在门户上图形化展现全省安全审计平台的运行状况应用导航网内相关应用的导航事前预警预警结果用于展示各类预警(
17、名单预警、异常地址访问、频繁操作)并通过多种预警方式通知预警接收人名单预警用于建立各类名单预警任务,通过启用预警任务参与系统日志数据比对异常地址访问用于建立各类异常地址访问任务,通过启用预警任务参与系统日志数据比对频繁数据操作用于建立各类频繁数据操作任务,通过启用预警任务参与系统日志数据比对事中监测监测任务管理对一些日志信息通过建立监测任务,持续评估其应用效果的,一段时间来特定的用户访问特定应用的频率监测比对服务一个后台的引擎服务,针对名单信息以及监测任务进行日志的碰撞比对,找出满足规则的预警。引擎服务支持全量或增量数据计算规则监测结果及应用通过监测任务产生的监测结果可供分析人员使用,数据直接
18、为对应的分析模块提供支撑事后倒查综合查询可以针对具体的日志分类进行综合查询索引查询全文检索页面热点分析按照应用系统、操作用户、操作对象区分并访问量和趋势分析的图表分析行为分析通过对操作人员操作行为分析,同时以对象类型、操作类型等进行过滤,将用户所关注的内容直接加入到关注列表进行日常关注和行为分析关联分析通过对当前检索的信息被多个信息或操作人员所关联异动分析通过对日志记录设置分析条件,将分析时间段和比较时间段内在设置一定阀值内的差异图表分析分析结果对于各类分析所产生的分析结论保存起来,形成日常的审计分析记录系统管理审计配置管理审计配置的URL等参数的管理日志导入提供对系统外的临时日志信息的导入,
19、支持的文件格式包括txt、csv、excle等格式,同时数据格式必须按照日志的采集规范进行导入,导入前系统会经过数据验证用户和授权管理平台的用户和权限管理系统日志管理记录审计平台本身的日志信息,并提供管理员查询,同时也需要满足相关的规范格式,并本地数据库存储1.3服务需求本次项目依托安徽省公安厅组织开发的应用安全审计系统平台,提供该软件的部署实施、培训并承诺提供三年原厂运维服务。详细需求如下:序号内容详细需求1部署实施按照实施部署的规范要求,准备好相关部署环境,并将系统成功部署:1、网络检测及硬件实施环境准备2、数据库搭建和应用部署3、集成方案制定与集成调试4、部署应用测试及集成测试2培训提供
20、符合系统培训相关的材料,并配合各地市完成系统推广培训工作:1、地市系统管理员培训一次2、地市普通用户培训一次3、地市对接应用系统改造培训一次3三年运维服务三年原厂运维服务:1、每周一次人工巡查2、24小时软件运行监测3、每月一次系统运行状态报告4、突发事件技术支持5、第三方对接技术支持6、根据公安部审计软件功能调整,免费升级全省安审软件,免费提供软件除BUG和优化服务7、投标文件中需对运维服务具体内容进行描述,并书面承诺:合同签订前取得安徽省公安厅“应用系统安全审计平台子系统”原开发厂商三年服务承诺函。1.4性能指标要求(1)系统必须稳定、可靠,不因系统本身的原因造成死机、停止等故障,系统有效
21、运行时间 99.9%,系统故障平均间隔时间 180天。(2)应用日志安全审计分析响应时间,省级平台不超过5秒,市级平台不超过3秒。(3)日志汇集管理量级,省级平台不小于10T,市级平台不小于1T。1.5人员要求具有相关证书人员需全程现场参与项目建设与实施,否则取消中标人中标资格并没收履约保证金。1.6实施进度要求(1)项目实施周期为50天。合同签订生效后50天内按照招标文件所规定功能要求进行初步部署和用户培训。(2)投标厂商需在投标文件中作出书面承诺:自合同签订之日起五个工作日内,完成合肥、芜湖、淮南、池州、宣城五个试点公安局的应用安全审计控制中心的部署上线并实现省市两级应用安全数据联动,取得
22、该五个试点公安局系统上线书面确认函。投标文件中未明确书面承诺的,视为未完全响应招标文件技术需求,取消投标人投标资格;中标厂商未完成书面承诺的,取消中标人中标资格并没收履约保证金。2.应用安全审计外挂软件包2.1技术要求外挂软件包要支持三种日志采集方式,包括:l ETL抽取方式通过ETL工具实现外部系统日志的抓取,前提是外部系统的日志要符合公安信息系统应用日志安全审计平台日志采集规范(V1.0)要求。l Webservice接口方式通过webservice方式进行日志推送,前提是外部系统的日志要符合公安信息系统应用日志安全审计平台日志采集规范(V1.0)要求。l 自动抓取工具包方式对无法找到开发
23、商或不宜改动源代码的应用系统,可通过外挂工具包获取数据,形成操作安全审计规范的日志记录,发送给安全审计平台。自动抓取工具包必须为纯软件实现方式,支持Java Web和.Net Web系统,支持与PKI系统集成。2.2服务需求本次项目依托安徽省公安厅组织开发的应用安全审计外挂包产品,提供该软件的部署实施、培训并承诺提供三年原厂运维服务。详细需求如下:序号内容详细需求1部署实施根据安徽省业务系统建设状况,完成9个以上重点业务系统日志采集与汇集,后续根据公安部建设任务要求进行新业务系统的接入实施。投标文件中需对日志采集的业务系统进行列举。2培训提供符合系统培训相关的材料,并配合各地市完成系统推广培训
24、工作:1、地市系统管理员培训一次2、地市普通用户培训一次3、地市对接应用系统改造培训一次3三年运维服务三年原厂运维服务:1、每周一次人工巡查2、24小时软件运行监测3、每月一次系统运行状态报告4、突发事件技术支持5、第三方对接技术支持6、投标文件中需对运维服务具体内容进行描述,并书面承诺:合同签订前取得安徽省公安厅“应用系统安全审计平台子系统”原开发厂商三年服务承诺函。2.3性能指标要求(1)系统必须稳定、可靠,不因系统本身的原因造成死机、停止等故障,系统有效运行时间 99.9%,系统故障平均间隔时间 180天。(2)日志拦截效率达到99%,准确率达到99%2.4人员要求 具有相关证书人员需全
25、程现场参与项目建设与实施,否则取消中标人中标资格并没收履约保证金。2.5实施进度要求(1)项目实施周期为50天。合同签订生效后50天内按照招标文件所规定功能要求进行初步部署和用户培训。(2)投标厂商需在投标文件中作出书面承诺:自合同签订之日起十五个工作日内,在合肥、芜湖、淮南、池州、宣城五个试点公安局完成5个或5个以上重点业务系统日志采集与汇集,其中至少有2个重点业务系统为采用自动抓取工具包方式,取得该五个试点公安局系统上线书面确认函。投标文件中未明确书面承诺的,视为未完全响应招标文件技术需求,取消投标人投标资格;中标厂商未完成书面承诺的,取消中标人中标资格并没收履约保证金。3.应用安全审计级
26、联子系统3.1技术要求级联子系统实现部、省、市三级平台的协同和联动:实现上级平台对下级平台运行状况查询、统计、监测;实现下级向上级、平级之间的日志访问等。主要功能包括级联管理、接口管理(含查询、统计、监测接口)。3.1.1级联管理通过级联管理,确定级联的对象和级联的IP和内容的管理,完成级联信息的统一管理和上报信息的有效管理。3.1.2接口管理l 查询接口完成省厅和地市的查询接口的互联互通,上级可以查询到下级的审计日志信息。l 统计接口完成省厅和地市的统计接口的互联互通,上级可以针对下级审计日志信息通过统计接口完成各地市日志统计的要求。l 监测接口完成省厅和地市的监测接口的互联互通,上级可以针
27、对下级审计日志的信息监测接口,通过监测接口可以完全应用安全审计平台的事前监测、事中监测、事后监测等各类接口。3.2服务需求本次项目依托安徽省公安厅组织开发的应用安全审计系统平台,提供该软件的部署实施、培训、省市级联并承诺提供三年原厂运维服务。详细需求如下:序号内容详细需求1部署实施按照实施部署的规范要求,准备好相关部署环境,并将系统成功部署:1、网络检测及硬件实施环境准备2、环境搭建和应用部署3、集成方案制定与集成调试4、部署应用测试及集成测试2培训提供符合系统培训相关的材料,并配合各地市完成系统推广培训工作:1、地市系统管理员培训一次2、地市普通用户培训一次3、地市对接应用系统改造培训一次3
28、数据级联部省市服务联动调试工作:1、完成省市数据服务联动4三年运维服务三年原厂运维服务:1、每周一次人工巡查2、24小时软件运行监测3、每月一次系统运行状态报告4、突发事件技术支持5、第三方对接技术支持6、投标文件中需对运维服务具体内容进行描述,并书面承诺:合同签订前取得安徽省公安厅“应用系统安全审计平台子系统”原开发厂商三年服务承诺函。3.3性能指标要求(1)系统必须稳定、可靠,不因系统本身的原因造成死机、停止等故障,系统有效运行时间 99.9%,系统故障平均间隔时间 180天。(2)省市级联响应时间不超过8s。3.4人员要求 具有相关证书人员需全程现场参与项目建设与实施,否则取消中标人中标
29、资格并没收履约保证金。3.4实施进度要求(1)项目实施周期为50天。合同签订生效后50天内按照招标文件所规定功能要求进行初步部署和用户培训。(2)投标厂商需在投标文件中作出书面承诺:自合同签订之日起五个工作日内,完成合肥、芜湖、淮南、池州、宣城五个试点公安局的应用安全审计系统实现省市两级应用安全数据联动,取得该五个试点公安局系统上线书面确认函。投标文件中未明确书面承诺的,视为未完全响应招标文件技术需求,取消投标人投标资格;中标厂商未完成书面承诺的,取消中标人中标资格并没收履约保证金。4.应用安全审计基础支撑-国产数据库依据公安部相关建设标准规范,采购国产数据库一套,为全省开展应用安全审计业务提
30、供基础数据库支撑。4.1总体要求企业版,2cpu许可,不限用户数,并提供原厂商授权承诺书和原厂3年售后服务承诺函;产品技术先进、功能完备、安全可靠,数据库厂商需具有CMM3以上资质,并提供证书,且必须是成熟的第三方商用产品。4.2兼容性产品必须跨平台,具有良好的兼容性、开放性,可以适应现有主流的硬件、软件环境,支持异构数据库间的透明访问。支持WINDOWS、LINUX、UNIX、AIX、SOLARIS、国产操作系统等操作系统,支持SMP、集群硬件架构,支持64位,支持SAN和磁盘阵列。支持其他主流数据库数据无损迁移至本地数据库,并拥有成熟移植方案,技术和案例;支持与异种数据库之间数据的平滑移植
31、;应支持应用系统到异种数据库平台上的平滑移植,提供数据和应用移植的图形化集成工具;产品必须有配套的支持基于日志或者归档文件的Oracle数据库实时同步功能,并提供产品著作权证书。4.3容错能力具有良好的容灾恢复能力,支持双机热备功能。提供多种备份/恢复手段,支持事务故障、系统故障和介质故障恢复,可以恢复到任意指定时间点。4.4高性能支持具有TB级大容量数据处理能力,支持大数量用户对同一数据库的并发访问。能够提供第三方权威测试机构10TB以上评测报告。4.5二次开发支持产品应支持多种语言的外部过程加载。用户可将动态链接库、JAVA程序包的外部程序定义成存储过程,可以直接调用。产品必须有配套的企业
32、级数据库加速引擎系统和安全智能数据整合平台,提供产品著作权证书。产品须有配套的智能报表平台、数据整合系统(ETL)、OLAP分析系统,并分别提供产品著作权证书;4.6安全性具有良好的系统安全性,支持存储加密和通信加密。提供自主访问控制、强制访问控制、审计、加密、身份识别与验证等安全功能,安全级别达到国家安全标准第四级要求,提供国家相关权威机构的软件产品安全测试报告、提供军用信息安全产品认证证书军B+级。产品须具有国家信息安全测评信息技术产品安全测评证书,级别:EAL4,且在投标时须提供证书复印件或影印件;投标时须提供中国信息安全评测中心颁发的自主原创产品测评证书复印件或影印件。4.7高扩展性可
33、满足业务数据量增大时的系统扩展要求。提供无共享的实时故障转移集群,支持故障转移与集群节点的自动维护与管理功能4.8对主流开发技术和SOA的支持支持主流的Web Service技术。支持主流接口标准,提供对X/OPEN XA等分布式处理协议的支持。方便WEB Service应用的编制,向开发人员提供广泛的开发支持。4.9查询、检索功能提供先进的查询技术和优化手段,支持多种检索功能,支持中文全文检索。提供多语言全文检索功能(中文、英文、俄文和日文等),支持精确查找与模糊查找。4.10服务3年免费7x24维护。5.应用安全审计基础支撑-云平台病毒防护依据公安部相关建设标准规范,采购云平台病毒防护软件
34、一套,满足在VWmare平台下的应用安全审计控制中心、级联管理等系统建设中的安全防护,为全省开展应用安全审计业务提供基础安全支撑。5.1产品基本要求(1)必须为国产品牌,专业反病毒厂商产品,拥有自主知识产权;要求提供原厂商的营业执照证明为国有品牌。(2)分布式体系结构:整个防病毒体系是由五个相互关联的子系统组成:管理中心、安全虚拟设备、日志中心、升级中心、查杀协作。各个子系统协同工作,共同完成对整个虚拟化平台的病毒防护工作;(3)集中式授权管理:授权管理采用中心集中统一管理,管理中心自动维护整个网络安全虚拟机的授权计数,此外,授权计数是可以累加的,用户需要扩容时,只需在管理中心导入扩容授权证书
35、即可;(4)产品适合VMware虚拟化产品使用,授权数为虚拟器中100个CPU端点数量,控制台可管理的CPU数和客户端数无数量上限。5.2支持虚拟化运行环境(1)支持虚拟化系统l VMware vCenter 4.0.0及以上;ESXi5.1.0及以上(2)支持虚拟机操作系统系统Windows Vista(32-bit)、Windows 7 (32-bit)、Windows XP SP2(32-bit)、Windows 2003SP2(32-bit、64-bit)、Windows 2008(32-bit、64-bit)。5.3系统管理技术要求(1)管理控制台;基于 Web的界面交互方式,安全管
36、理员可轻松、快速的导航至特定信息并进行详细分析,浏览器支持Microsoft Internet Explorer 8以上、Firefox、Google Chrome、Safari等多种浏览器;(2)安全管理:基于角色的用户管理,支持设置不同权限层级用户的访问和编辑权限集合,控制用户可以操作和查看的功能信息,避免非授权人员使用引发的安全风险;(3)安全策略的定制与分发;支持安全策略模板,管理员通过管理控制台对全网或某个分组设置统一的防毒策略,也可对特定的客户虚拟机设置防毒策略,保证防病毒策略的有效实施;(4)总体安全概要分析:全面直观地展现整个虚拟化系统的安全情况,包括:客户虚拟机存在病毒、升级
37、情况和比例、安全防护系统的运行情况,让管理员能够轻松地掌握虚拟化系统的总体安全情况并及时调整防毒策略;(5)远程控制与管理:虚拟化系统安全软件具有全面集中管理和控制功能,管理员可通过管理控制台或工具对客户虚拟机执行远程查杀病毒、远程开启/关闭实时监控、通知终端立即升级、远程安装/卸载终端;(6)全网查杀毒:虚拟化系统安全软件支持对虚拟机网络执行统一查杀毒(即使本次没有启动的客户虚拟机,在下次启动后也会自动进行查杀毒),这样就能全网统一行动,最大程度的减小了病毒传播的可能;(7)病毒隔离备份:提供病毒隔离系统,将染毒文件安全隔离并备份,可以从隔离区中对染毒文件进行恢复。防止误操作或异常情况下造成
38、的文件损失,为用户提供一个统一的病毒文件恢复机制;(8)查杀协作是轻量化高性能软件组件,可选安装在被保护的虚拟机上,配合安全虚拟设备实现查毒后的隔离及后处理操作;(9)病毒与事件报警:管理中心记录了整个虚拟机网络中任意终端上发现的病毒信息和异常事件,警报信息包含事件时间、严重性、终端、事件ID、以及内容。可提供组、子组、终端的名称、IP地址以及时间等范围进行警报信息搜索,方便管理员及时发现染毒的客户虚拟机和系统运行的异常情况;(10)病毒日志查询与统计:具有丰富的病毒日志统计与分析功能,能够统计染毒终端最新记录、病毒最新记录、病毒趋势等诸多日志分析数据和图表,便于管理员直观地掌握虚拟机网络内病
39、毒感染情况和发作趋势;(11)日志报告管理:系统提供 “杀毒类报告”与“系统类报告”不同安全报告,“杀毒类报告”提供详尽的病毒趋势、终端染毒情况、终端染毒排行Top20、病毒类型、病毒排行的分析报告,“系统类报告”提供详尽的终端版本统计、终端在线统计情况以及升级情况,日志报告提供据筛选条件(所有终端、组、单个终端)进行报告的查看及导出,导出模式支持生成PDF格式文档;(12)升级管理功能:支持在虚拟环境建立多个升级中心,支持增量升级,以减少升级时带来的网络流量;可设置升级周期和升级时间范围,保证及时升级并避免升级时引起虚拟机网络资源风暴,保证用户正常业务的通讯,对于当前没有启动的虚拟机,将在下
40、一次启动时进行升级,采用均衡流量的策略,尽快将新版本部署到全部终端上,保证虚拟化系统安全软件时刻都是最新的,而且版本一致,完全杜绝了由于版本差异而可能造成的安全漏洞和安全隐患。5.4软件功能技术要求(1)虚拟化系统支持多种安装方式,安装方式包括:智能安装、远程安装、域脚本登录安装等多种安装;(2)支持自动增量升级方式:支持病毒库无缝主动式智能升级,支持指定升级中心升级,采用均衡流量的策略,保证各虚拟安全机升级到最新版本;(3)实时监控:支持在客户虚拟机文件被访问时查杀和截获病毒,阻止病毒通过文件进行传播,全面保护客户虚拟机不受病毒侵害。5.5产品资质要求,且在投标时须提供以下证书复印件或影印件
41、:(1)公安部销售许可证;(2)计算机软件著作权证书;(3)国家信息中心软件测评认证;(4)采用无代理模式,具备VMware Ready认证;(5)军用信息安全产品认证。5.6制造厂商资质要求,且在投标时须提供以下复印件或影印件:(1)企业法人营业执照;(2)国家信息安全服务(安全工程类一级)认证;(3)质量管理体系ISO 9001认证;(4)信息技术服务管理体系ISO 20000认证;(5)信息安全管理体系ISO 27001认证;(6)具有产品原厂商出具的项目授权及升级服务承诺函。6.应用安全防护基础支撑-公共服务工具6.1技术要求6.1.1服务总线基于SOA标准的服务总线,实现基于流程的跨
42、领域的业务协同和流程定制,同时提供企业级应用构建平台,通过封装应用系统通用组件,实现快速系统开发的支持;同时提供各类服务接口,为其他各层提供相应服务,并进行统一注册、调度、调用管理。功能主要包括服务协议管理、服务调度、服务编排、安全控制、调度管理、日志分析等。(1)多服务协议功能。支持多种类型的服务资源,除支持常用的web(web service)服务外,还包括xml服务、消息传输服务,支持servlet、file、jms 、mq等多种数据服务传输协议的交互。(2)服务调度功能。服务调度主要通过代理访问模式实现,即将服务请求发往服务接口所挂接的资源服务总线,由资源服务总线代理访问服务接口,并返
43、回结果;同时也支持直接访问模式,就是资源服务总线根据服务请求方权限信息向每次服务请求授予动态授权码,并将服务请求重定向到服务提供方接口,服务提供方检查授权码,通过后直接向服务请求方提供服务。(3)服务编排功能。对于应用安全审计访问接口实现服务编排功能,可有效提高服务日志监测的能力,实现对服务接口调用全生命周期的管理。(4)安全控制功能。提供请求服务的权限检查,确保一个服务请求不被篡改,确保数据请求的安全性。(5)调度管理功能。实现通过桥接器从请求服务系统开放的服务资源目录与管理服务,获得公安信息资源服务平台上管理的各类服务请求方、服务资源、标准规范、应用资源集和共享数据项集等资源目录信息,同时
44、支持向总线节点和运行监控提供相关资源信息,包括节点路由信息、服务资源和服务请求方信息、授权控制信息等。(6)日志分析功能。实现对服务接口的运行状态监控、性能监控、负载监控以及异常自动告警;从服务接口的在线率、访问量、访问成功率、响应速度等方面对服务质量进行评价和排名。6.1.2消息服务消息服务可对接服务总线,基于消息传送机制,支持人与应用,应用与应用之间相互收发消息。支持系统消息集成管理、消息传输、安全访问等功能。提供了包括消息队列、负载均衡、消息异常处理、消息重发以及消息日志记录等一整套消息安全处理机制。(1)队列分为持久化消息队列和非持久化消息队列,其中持久化消息队列存放在磁盘等硬介质上,
45、如存储在关系型、非关系型数据库上;非持久化的消息存放在内存中,系统恢复时不可恢复。(2)消息服务需采取Broker-Cluster模式解决系统的负载均衡.(3)需提供了异常处理机制,包括业务异常、系统异常、应用程序或MQ异常。(4)需提供了消息失败重发机制,基于可配置的消息重发策略,保证消息的可靠性。(5)需把所有由队列管理器控制的数据的重要更改到日志中,包括消息请求日志、消息异常日志。6.1.3认证中心实现安徽省公安机关统一用户登录和身份认证入口,支持系统内部用户名/密码身份认证和基于PKI的数字身份证书认证,同时可支持分级身份认证。(1)支持B/S、C/S结构的业务系统集成,支持多个系统的
46、用户信息、单位信息、组信息、角色信息、权限信息、资源信息的集中管理。(2)统一管理用户信息和机构信息,通过注册在服务总线上的服务,供其他安全审计系统获取统一的用户信息和机构信息。6.2服务需求本次项目提供应用安全设计基础支撑所需的公共服务工具的研发,包括服务总线、消息总线、认证中心,要求在省厅部署实现3个典型的基础应用以验证软件的可靠性与推广性,对全省各地市部署实施、应用对接、系统培训不在本项目范围内。详细需求如下:序号内容详细需求1软件研发研发应用安全设计基础支撑所需的公共服务工具,包括服务总线、消息总线、认证中心,要求在省厅部署实现3个典型的基础应用2三年维保服务三年原厂维保服务,运维期内发生的需求变更,中标厂商要及时响应予以解决。6.3人员要求 具有相关证书人员需全程现场参与项目建设与实施,否则取消中标人中标资格并没收履约保证金。6.4实施进度要求项目实施周期为50天,合同签订生效后50天内按照招标文件所规定功能进行系统研发。7.应用安全防护-Web应用智能检测子系统7.1技术指标技术指标指标要求硬件配置标准机架设备,1个串口,4个千兆以太网电口,1TB SATA硬盘,单电源吞吐量不少于300Mbps,不少于8000子域名/天扫描能力。支持多种部署方式至少支持单机部署、分布式部署2种部署方式漏洞扫描