**忠信项目管理有限公司受金普新区人力**和社会保障局的委托,就其金普新区人力**网站信息安全等级保护采购项目进行公开招标方式采购。招标工作已于****年**月*日结束。现将中标结果公告如下:
*、项目名称:金普新区人力**网站信息安全等级保护采购项目
*、项目编号:ZXCG****-JP**
*、采购人名称:金普新区人力**和社会保障局
*、招标代理机构:**忠信项目管理有限公司
地址:*******泉水B*区**号*单元*层*号
联系人:蔡万鹏 联系电话:****-********
招标公告发布日期:****年**月**日
*、评标小组成员:杨素英 王鹏 司丹 姜彬 苗强
*、项目内容:
序号 | 货物名称 | 数 量 | 单 位 | 质保期 |
| ||
* | 网站防篡改系统 | * | 套 | *年 |
| ||
* | 主机加固软件 | * | 套 | *年 |
| ||
* | 数据库审计系统 | * | 台 | *年 |
| ||
指标项 | 指标要求 | ||||||
基本要求 | 产品形态 | 软件 | |||||
支持的操作系统 | Windows****,****,**** **&**位 Redhat,CentOS,SUSE,Asianux等 **&**位 UNIX系列:AIX,HP-UX,Solaris | ||||||
支持WEB服务器 | IIS,apache,java系列(weblogic,websphere,tomcat,jboss等),nginx | ||||||
管理方式 | B/S管理方式,支持windows/linux平台。 | ||||||
核心技术 | 采用先进内核驱动、WEB核心内嵌和实时触发机制结合 | ||||||
防篡改功能 | 文件保护 | 支持各类网页文件的保护,包括静态和动态网页以及各类文件信息 | |||||
目录保护 | 支持对指定文件夹以及子文件夹的保护,避免上传非法文件及木马等恶意文件或插入恶意代码 | ||||||
断线检测和防护 | 在与其它模块网络断开的情况下能防止文件被篡改 | ||||||
许可策略 | 支持基于目录、进程、文件、文件类型等进行设置许可。 支持正则表达式设置许可策略。 支持对符合许可策略的更新发布进行审计。 | ||||||
自我保护 | 防篡改程序的进程被kill,防篡改功能不会失效。 防篡改程序有自我保护机制。 | ||||||
防攻击功能 | WEB安全防护 | 能够有效防止SQL注入攻击、跨站攻击、溢出代码攻击、对危险文件类型的访问、对危险系统路径的访问、特殊字符构成的URL利用、防止构造危险的Cookie等。 | |||||
防字段溢出 | 支持自定义HTTP头的各字段溢出自定义 | ||||||
规则自定义 | 支持防护规则基于HTTP头的各字段进行自定义 | ||||||
基于时间,IP调整规则 | 能根据时间段,IP段进行规则调整。 | ||||||
IP黑白名单 | 黑白名单内的IP访问页面时进行阻断。 | ||||||
同步功能 | 自动同步 | 支持事件触发机制和时间触发机制,将更新的文件同步到WEB服务器上。 且支持一对多同步。 | |||||
HA功能 | 同步服务器自带HA功能,保证同步服务器高可用。 | ||||||
增量同步 | 同步机制采用增量同步机制 | ||||||
同步规则 | 支持同步规则自定义 | ||||||
管理控制 | 站点管理 | 对WEB状态监控,启动、停止等操作; 对WEB服务器的CPU,内存,磁盘等信息进行监控展显。 | |||||
用户管理 | 支持多用户分级管理 管理端支持ACL,设定允许的源IP才能访问 | ||||||
日志 | 支持多种日志级别,并支持日志导出。 相同日志支持归并展现。 每天接收百万条日志界面操作不会有延时现象。 | ||||||
告警方式 | 支持SYSLOG、邮件、短信、界面提示等多种告警方式 | ||||||
网站备份 | 支持对网站全量备份、增量备份和恢复。 | ||||||
性能指标 | 最大保护对象 | 不限 | |||||
最大保护深度 | 不限 | ||||||
占用**情况 | CPU,内存占用资小于*% | ||||||
售后服务 | 提供*年免费升级维护。 | ||||||
指标项 | 指标要求 | ||
系统管理 | 支持各类主流操作系统 | **位/**位 Windows 操作系统, 各主流类Linux 系统(包含国产定制Linux 系统) 各类主流Unix版本系统 | |
系统监控 | 可对代理端进行禁用CMD、禁用注册表、远程重启、远程关机的监控(windows版) | ||
用户管理 | 用户管理 | 查看、添加、删除、修改代理器端的用户和用户组, 可以设置用户等级。 | |
用户监控 | 可以禁止代理端添加、删除、修改用户和用户组信息。 | ||
密码管理 | 设定用户有效期、密码格式限定(linux版) | ||
root超级用户权限剥夺 | 实现剥夺root用户权限,防止root用户被非法攻击导致超级用户权限被盗(linux版) | ||
进程管理 | 进程管理 | 可以保护代理端的指定进程不被杀掉。 | |
进程白名单 | 只有属于白名单的进程可以运行, 可以有效禁止病毒或木马的执行。 必须进行进程白名单初始化, 将操作系统进程和合法进程设为白名单。 采用进程文件内容MD*的识别技术, 只要进程文件内容发生改变, 该进程就被禁止运行(windows版) | ||
强制访问 控制 | 内核级实现文件强制访问控制 | 文件的访问权限扩展为读、写、执行、删除、修改等多种, 并将文件的级别和用户的级别进行比较, 综合控制(windows版) 文件的访问权限扩展为创建、读、写、执行、删除、改模式、改属主等多种(linux版) | |
进程强制访问控制 | 实现用户对进程的强制访问控制。 | ||
自主访问 控制 | 基于访问控制列表的自主访问控制 | 可以指定用户、角色、程序、IP等主体,对文件的细分访问权限(linux版) | |
安全审计 | 日志类型 | 支持各类日志审计,日志控制,并实时告警 | |
身份认证 和 权限分离 | 身份认证 | 具有安全基线功能清单。针对身份鉴别策略的密码复杂度,密码到期提示和登录次数限制;操作系统审核及追踪策略;远程安全登录及客户端网段限制;禁用文件共享;可进行一键加固或选择性加固。 | |
权限分离 | 登陆用户分管理员、操作员、审计员三种。能够限制超级用户的权限,各级用户的权限分离,实现最小权限。 | ||
安全防护 | CMD保护,注册表保护,防缓冲区溢出攻击保护,防止DDOS攻击 | ||
具有防火墙功能,限制访问IP网段,禁用不必要端口,无需启用系统防火墙 | |||
实现系统主机USB端口灵活控制,能够通过菜单控制开关,关闭不必要的USB端口,只保持物理键盘,和鼠标支持。 | |||
系统自防护 | 实现内核层保护和内核层隐藏,保护系统自身进程不被异常终止,自身注册表不被修改和删除, 自身的目录不被访问(windows版)。 实现内核封装和内核隐藏,保护系统自身进程不被异常终止、伪造、信息注入,系统自身文件不被恶意修改和删除(linux版)。 | ||
透明模式 | 各个模块都有开关控制功能,即提供了模拟运行“透明”模式,不影响原有系统正常应用,以此减少因配置安全策略引起的问题。 | ||
文件 完整性校验 | 可以检查指定文件内容和属性是否被修改。 | ||
告警管理 | 可以针对文件数据的增删改寄重命名,进程的启动与结束等事件设置等级,并可以选择设置通过邮件或短信向安全员告警。 | ||
数据安全 | 剩余 信息清除 | 具有文件粉碎并清理磁盘剩余信息的功能,防止恶意数 据恢复。 | |
防止磁盘 格式化 | 可以设定磁盘无法执行格式化,防止数据被破坏。 | ||
软件定制 | 产品支持国产定制linux系统,按用户需求增加或调整特定功能,并提供相应源代码供安全审查的支持。 | ||
指标项 | 指标要求 |
硬件指标 | 系统:审计产品采用专用工控机硬件架构,非普通PC服务器, MTBF(平均故障间隔时间)≥*****小时; 系统启动采用CF卡加硬盘方式,保证稳定可靠不可篡改。 |
处理器:Intel I*或I*以上cpu,*核*线程,至少主频*.*G | |
内存:≥*GB DDR* ****Mhz; | |
硬盘可用容量:≥*TB,最大支持扩展至*T硬盘 | |
网络端口:支持监听接口扩展;配备至少*个千兆电口管理口; 支持千兆网络环境下的监听能力,配备至少*个千兆业务电口 | |
审计性能:能够稳定、流畅地同时支持*个数据库数审计能力,不会产生漏审; | |
部署方式 | 旁路部署模式下无须在被审计数据库系统上安装任何代理即可实现审计 |
支持在目标数据库安装agent解决云环境、虚拟化环境内部流量无法镜像场景下数据库的审计(提供以上功能国家权威检测机构检测报告) | |
支持分布式部署,管理中心可实现统一配置、统一报表生成、统一查询; | |
管理中心和探测器都可存储审计数据,实现大数据环境下磁盘空间的有效利用和扩展; | |
管理中心和探测器直接的数据传输速率、时间、端口都可自定义;(提供功能截图证明); | |
支持大数据平台部署,具有成熟的大数据hadoop平台处理,支持后期无缝扩展大数据版本,支持审计数据外送至大数据平台,检索性能高达***亿数据仅需*-*秒,存储数据量高达****亿以上 | |
处理能力 | 吞吐能力:≥****M,日处理业务操作数:≥*亿条 |
峰值处理能力:≥*万条/秒(提供以上功能国家权威检测机构检测报告) | |
审计日志检索能力:≥****万条/秒; | |
协议支持 | 支持Oracle、SQL-Server、DB*、Informix、Sybase、MySQL等六种主流数据库审计; |
支持对SQLserver ****以上版本加密用户名的审计(提供功能截图证明); | |
支持PostgreSQL、Teradata、Cache、人大金仓、达梦、南**用等数据库审计; | |
支持主流业务协议 HTTP、Telnet、FTP、SMTP、POP*、DCOM; | |
支持对各种协议自动识别编码及在web界面手工配置特定编码 (提供功能截图证明) | |
审计功能 | 支持数据库操作类、表、视图、索引、存储过程等各种对象的所有SQL操作审计; |
支持对操作时间、SQL语句、执行结果、返回结果集、影响行数、执行时长、数据库用户名、实例名、源/目的IP、源/目的端口、源/目的MAC、客户端主机名、客户端程序名称、客户端操作系统用户名、业务主机群、SQL模板、会话ID、事件唯一ID等至少**个条件进行审计; | |
支持数据库请求和返回的双向审计,特别是返回字段和结果集、执行状态、返回行数、执行时长等内容,支持通过返回行数和内容大小控制返回结果集大小 (提供功能截图证明,并提供以上功能国家权威检测机构检测报告); | |
支持跨语句、跨多包的绑定变量名及绑定变量值的审计 | |
支持对超长SQL操作语句审计,可以正常记录单条长度<=**K个字节的SQL语句内容; | |
支持在IPV*环境中部署,且支持所有数据库IPV*协议的审计(提供功能截图证明) | |
支持数据库防火墙功能,支持对根据IP、账号、客户端工具名、时间等定制规则进行阻断 | |
支持导入审计关联的账号信息,支持通过IP和账号关联到具体SQL是哪个自然人操作。 | |
智能发现 | 自动识别流量中存在的数据库,也可通过扫描发现网络中的数据库(提供功能截图证明); |
支持定期自动扫描数据库漏洞和不安全配置,提供漏洞扫描报告;(提供功能截图证明,并提供以上功能国家权威检测机构检测报告) | |
应用关联 (三层关联) | 支持B/S业务系统三层关联审计;(提供功能截图证明,并提供以上功能国家权威检测机构检测报告) |
支持C/S、B/S三层架构下的真实用户名关联配置 | |
支持通过部署agent实现java web环境***%准确关联(提供功能截图证明) | |
支持旁路自动学习三层审计关联功能(提供功能截图证明); | |
运维审计 | 支持网络TCP会话审计;(提供功能截图证明) |
支持数据库协议解析成会话形式,并支持一键关联到具体的SQL操作会话。 | |
支持与堡垒主机自动关联审计通过ssh、rdp等加密协议操作数据库行为(提供产品功能截图证明,并提供以上功能国家权威检测机构检测报告); | |
安全审计 | 支持审计记录中敏感数据的模糊化处理,内置常见敏感数据掩码规则,支持自定义敏感数据掩码规则(提供功能截图证明) |
内置安全特征库规则不少于***条,支持对数据库安全进行检查,如SQL注入,缓冲区溢出,数据库漏洞、弱口令等;(提供功能截图证明) | |
审计策略 | 内置审计规则库不少于***条。支持事件类型和策略分组,同时支持黑白名单方式策略 |
可自定义审计策略。审计策略至少支持**个条件(提供截图证明); | |
规则各条件之间支持与或非逻辑关系(提供截图证明); | |
告警数量需支持最大告警数量限制,超过告警阈值之后便不告警(提供截图证明); | |
告警分析应支持根据SQL模板排行分析,便于告警处理。 | |
告警查询应支持根据登陆用户、客户端工具名、客户端IP、规则进行归并分析,能详细展示每类告警占总告警数量百分比,便于告警分析处理(提供截图证明); | |
审计查询 | 具有高效的查询性能,后台采用SPHINX全文检索引擎检索(提供产品功能截图); |
查询条件易于使用,审计查询条件均为非正则表达式形式进行(提供功能截图证明); | |
支持采用部分匹配模糊查询方式检索审计日志 (提供功能截图证明); | |
支持基于数据库访问日期、时间、源/目的IP、来源、数据库名、数据库表名、字段值、数据库登陆账号、SQL关键词、数据库返回码、SQL响应时间、数据库操作类型、影响行数等条件的审计查询; | |
统计报表 | 系统提供内置多种报表模板库,内置的报表不少于**种(提供功能截图); |
支持根据单个数据库或逻辑数据库组生成报表(提供功能截图); | |
报表支持严格按照塞班斯(SOX)法案、等级保护标准要求生成多维度综合报告; | |
支持按照源IP地址、客户端工具、帐号、告警数等源信息生成报表; | |
支持按照数据库访问行为生成报表,智能识别帐号的增删、权限变更、密码修改、特权操作等行为; | |
支持按照时间曲线统计流量、在线用户数、并发会话、DDL操作数、DML操作数、执行量最多的SQL语句等报表;(提供功能截图) | |
支持性能分析,准确提炼出SQL语句执行频率和执行时间异常的报表; | |
支持Word、PDF、ppt等格式的报表导出; | |
支持定期自动生成审计报表且以电子邮件方式自动进行发送;(提供功能截图) | |
支持报表自定义,自定义的条件不少于**个(提供功能截图) | |
模型分析 | 支持对数据库自动建模及智能对异常行为告警功能;(提供产品功能截图,并提供以上功能国家权威检测机构检测报告) |
可通过行为轨迹图方式展示数据库访问行为(提供功能截图) | |
可基于账号、IP地址、访问权限、客户端工具等维度对行为模型做钻取分析、变更分析,对学习的安全基线以外的行为自动智能的进行告警(提供功能截图) | |
可以自动对比不同时期的行为模型,以区分其审计日志数趋势、用户、IP地址、工具、访问权限的差异情况;(提供功能截图) | |
数据管理 | 支持根据保留天数和占用百分比自动清理最早的数据(提供功能截图) |
备份文件需要加密,支持审计数据自动备份审计日志,并外送到独立FTP服务器; | |
提供审计策略和系统配置信息的单独导入、导出功能; | |
实时监视 | 提供用户界面告警、Syslog告警、SNMP告警、邮件告警、短信告警、ftp告警等六种方式 |
支持本地和数据中心查看CPU、内存、磁盘、网口、运行状态等信息 | |
系统管理 | 采用B/S架构管理,支持中英文两种管理界面(提供产品功能截图); |
支持系统安全配置(会话锁定、超时退出、IP地址访问控制、密码复杂性管理、验证码登陆等安全措施) | |
支持NTP时间同步、SNMP(v*、V*、V*)网络管理协议 | |
支持离线手工自动升级,升级数据和配置均需保留 | |
支持三权分立,系统默认设定系统管理员、规则配置员、审计查看员、操作日志查看员等角色 | |
具有自身安全审计功能,可以对审计系统的所有用户操作进行审计记录 | |
故障排错 | 系统内置独立的故障排错系统,可以支持一键导出加密的系统调试日志,支持一键检测服务、许可证、流量等大部分常见常见故障的检测(提供功能截图证明) |
支持流量分析功能,包括抓包、包内容查看、自动探测sql语句等。(提供截图证明) | |
服务要求 | 提供不少于三年产品质保服务;提供不少于三年的****小时上门现场服务支持。 |
*、中选单位:
分包名称 | 成交单位 | 成交价 | 地址 |
金普新区人力**网站信息安全等级保护采购项目 | **华信计算机技术股份有限公司 | **万元 | ***高新技术产业园区**路***号 |
*、成交结果确**期:****年**月**日
*、该公告的公告期限为*个工作日:****年**月**日-****年**月**日
