一、 项目概况
淮北市供水有限责任公司重要业务系统为满足国家网络安全等级保护的要求,需采购具有相关资质和能力的专业机构对公司网络安全进行提升改造。具体要求见附件。
二、 招标范围
1、采购人:淮北市供水有限责任公司
2、招标方式:竞争性谈判
3、项目名称:淮北市供水有限责任公司网络安全提升项目
4、最高限价:49万元
5、资金来源:企业自筹
6、计划工期:30日历天
三、资质要求
1、具有独立承担民事责任能力的法人企业或经法人企业授权的分支机构。
2、供应商应当满足政府采购法第二十二条。
3、响应人必须提供真实可信的相关材料,严禁弄虚作假,否则,经查实,取消其本次相关资格。
4、谈判单位名称。
接到邀请的单位可参加。
四、响应文件的组成
1.提供合法有效的营业执照;
2.法定代表人身份证明书或授权委托书(格式自拟);
3.报价书(格式自拟),供应商应当按竞争性谈判文件规定进行响应报价
4.服务响应承诺(格式自拟);
5.谈判文件要求和响应人认为需要提供的其他说明和资料;
注:响应文件一式两份,格式自拟,按照上述顺序装订成册,签字盖章,并密封提交。
五、投标保证金及履约保证金
本项目免收投标保证金及履约保证金。
六、无效报价
响应人发生以下条款情况之一者,视为无效报价,其响应文件将被拒绝:
(1)无有效资格证明文件或超出营业范围。
(2)响应文件不按规定的格式、内容填写或不按规定签字、盖章。
(3)响应文件不满足谈判文件的条款要求或技术要求。
(4)响应人的资质不符合谈判文件的资格要求。
(5)响应人的报价超过规定的最高限价。
(6)响应文件内容有与国家现行法律法规相违背的内容,或附有采购人
无法接受的条件。
七、开标时间及地点
响应文件递交截止时间(评审时间):2024年 7月18 日下午2 点50分
响应文件递交地点(评审地点):淮北市供水有限责任公司9楼会议室(淮北市南黎路128号)。
供应商应仔细阅读和检查竞争性谈判文件的全部内容。如有疑问,应及时联系采购人并要求采购人对竞争性谈判文件予以澄清。
八、谈判与评审方法
谈判与评审由采购人组建的竞争性谈判小组负责,谈判小组分别与供应商进行谈判,给予所有参加谈判的供应商平等的谈判机会。通过资格评审,符合要求的响应响应人则进入报价阶段。一次采购时合格供应商少于三家的,采购失败。二次采购时,如递交响应文件的供应商不足三家,可以正常开启供应商的谈判申请文件并进行评审和谈判;如经评审后合格的供应商不足三家,即使只有一家合格供应商,谈判小组应继续进行谈判,直至推荐成交候选人。
报价轮次为两轮,谈判响应文件中报价即为首轮报价,第二轮报价即为谈判最后报价,供应商如未在规定的时间内提交第二轮报价,又未书面告知退出谈判,则以首轮报价为最后报价。最后报价结束后公布各供应商最后报价。
全部合格的响应供应商,由评审委员会按照响应报价由低到高的顺序推荐候选人排名,排名第一的中标候选人为中标人,若中标候选人有放弃中标、因不可抗力不能履行合同、不按照招标文件要求提交履约,或者被查实存在影响中标结果的违法行为等情形,不符合中标条件的,采购人可以按照评标委员会提出的中标候选人名单依次确定中标候选人为中标人。
九、费用支付
确定中标单位后,由采购人和供应商通过协商的方式订立相关合同。支付方式按年支付,应在采购人付款前出具相应发票,否则采购人有权拒绝付款。
十、联系方式
采购人:淮北市供水有限责任公司
联系人:朱龙
电 话 : 19356156898
监督管理机构:淮北市水务投资发展集团有限公司纪检监察部
地 址:淮北市相山区南黎路128号
附件1.
市供水公司网络安全提升方案
本次网络安全保护方案包含由我公司管理并在公安部备案的收费系统、办公系统、地理信息系统、压力监测系统等4个系统。收费系统按备案等级三级,办公系统、地理信息系统、压力监测系统按备案登记二级分别规划方案。
方案清单:
等保三级(收费系统):
产品名称 |
功能介绍 |
产品参数 |
单位 |
数量 |
防火墙 |
防火墙相当于家里的一扇门,防止别人随便进入,起到防病毒,木马等攻击单位网络 |
1.硬件参数要求:标准1U设备,内存≥4G,硬盘容量≥128G SSD,接口≥8千兆电口+2千兆光口SFP,提供3年质保及软件升级服务; 2.性能要求:网络层吞吐量≥4G,应用层吞吐量≥2G,防病毒吞吐量≥600M,IPS吞吐量≥600M,并发连接数≥200万,HTTP新建连接数≥6万; 3.支持路由模式、透明模式、虚拟网线模式、旁路镜像模式等多种部署方式; 4.支持勒索病毒检测与防御功能; 5.支持多维度流量控制功能,支持基于IP地址、用户、应用、时间设置流量控制策略,保证关键业务带宽日常需求; 6.支持https解密功能,支持TCP代理和SSL代理; 7.产品支持策略生命周期管理功能,支持对安全策略修改的时间、原因、变更类型进行统一管理,便于策略的运维与管理;
|
套 |
1 |
日志审计 |
日志审计相当于书记员,记录单位所有设备的日志,如果发生安全事故,安服技术人员首先要看的就是该设备的日志源,进行分析发生事故的原因 |
1.硬件参数要求:标准2U设备,内存≥8G,硬盘容量≥128G minisata+2T SATA*2,接口≥6千兆电口,提供3年质保及软件升级服务; 2.性能要求:主机审计许可证书数量≥50,最大可扩展审计主机许可数≥150,可用存储量≥2TB(RAID1 模式),平均每秒处理日志数(eps)最大性能≥2500; 3.支持安全设备、网络设备、中间件、服务器、数据库、操作系统、业务系统等不少于800种日志对象的日志数据采集; 4.支持对解析结果字段的新增、合并、映射,以满足除内置解析规则之外未被覆盖的日志类型的解析; 5.支持设置日志存储策略,包括设置日志存储周期(天)、存储空间容量使用阈值等; 6.支持对每个日志源设置过滤条件规则,自动过滤无用日志,满足根据实际业务需求减少采集对象发送到核心服务器的安全事件数,减少对网络带宽和数据库存储空间的占用; 7.支持对单个/多个日志源批量转发,支持定时转发,同时支持转发已解析日志和原始日志的两种日志; 8.支持自定义过滤条件检索,支持对模糊ip、多个ip、ip地址段、应用、协议、MAC地址等其他字段精准检索.
|
套 |
1 |
堡垒机 |
堡垒机相当于防内鬼,一个就是通过该设备可以对其他计算机,服务器及网络设备的安全远程访问,还有就是对网络管理人员进行权限管理,同时会记录管理员的操作及审计,防止单位内鬼或者是对重要信息的误删除等。 |
1.硬件参数要求:标准1U设备,内存≥8G,硬盘容量≥2T SATA,接口≥6千兆电口,提供3年质保及软件升级服务; 2.性能要求:运维授权数≥50,最大可扩展资产数≥150,图形运维最大并发数≥100,字符运维最大并发数≥200; 3.物理旁路单臂部署,以逻辑网关方式工作;不改变现有网络结构; 4.支持字符协议:SSHv1、SSHv2、TELNET,图形协议:RDP、VNC,文件传输协议:FTP、SFTP、RDP磁盘映射、RDP剪切板等; 5.支持通过动作流配置提供广泛的应用接入支持,无论被接入的资源如何设计登录动作,通过动作流配置都可以实现单点登陆和审计接入; 6.支持批量导入、导出用户信息;支持用户手动添加、删除、编辑、设定角色、单独指定登陆认证方式、设定用户有效期; 7.支持从windows AD域/LADP抽取用户账号作为主账号,支持一次性抽取和周期性抽取两种方式; 8.支持运维水印、录像水印、监控水印开启; 9.支持unix资源、windows资源、网络设备资源、数据库资源、C/S资源、B/S资源; 10.支持在授权基础上自定义访问审批流程,可设置一级或多级审批人,需逐级审批通过才可最终发起运维操作; 11.支持生成授权报表和可访问外部资源报表,报表详细展示用户和资源的授权关系,并提供EXCEL、WORD、PDF、HTML等格式导出;
|
台 |
1 |
数据库审计 |
集合检测、响应、策略为一体的数据库安全审计产品。 |
1.硬件参数要求:标准1U设备,内存≥8G,硬盘容量≥2T SATA,接口≥6千兆电口+2万兆光口SFP+,提供3年质保及软件升级服务; 2.性能要求:最大硬件吞吐量≥2Gbps,最大纯数据库流量≥400Mb/s,数据库实例个数≥30个,SQL处理性能≥30000条SQL/s,日志检索性能≥500000条/秒; 3.提供旁路接入模式,设备部署不影响原有网络结构,采用HTTPS方式远程安全管理,无需安装管理客户端; 4.采用B/S管理方式,无需在被审计系统上安装任何代理;无需单独的数据中心,一台设备完成所有工作;提供图形用户界面,以简单、直观的方式完成策略配置、警报查询、攻击响应、集中管理等各种任务; 5.支持深度解码数据库网络传输协议,完整记录用户数据库会话细节,包括发生时间、源IP、源端口、源MAC、目的IP、目的端口、数据库用户、数据库类型、操作类型、SQL语句、SQL模版、客户端程序名、响应码、影响行数、返回行数、SQL预计响应时间; 6.支持吞吐量分析,包括SQL语句吞吐量排行、SQL语句吞吐量趋势、SQL操作类型吞吐量排行、SQL操作类型吞吐量趋势、数据库用户吞吐量排行、数据库用户吞吐量趋势、业务主机吞吐量排行、业务主机吞吐量趋势; 7.支持精细化日志秒级查询,通过SQL串模式抽取保障磁盘IO的读写性能;分离式存储SQL语句保障数据审计速度快; 8.支持指定源IP、时间日期、客户端程序、业务系统、数据库用户、操作类型等精细日志查询、支持操作类型精细化日志查询、支持风险级别排行统计查询、支持数据库条件的统计查询、支持统计趋势查询分析、支持风险级别查询分析、支持通过多SQL语句的统计查询、支持统计分析下钻、支持业务系统元素统计查询; 9.通过自定义报表拖拽功能可以随意拖拽用户预期的统计报表,帮助用户提升通过高级选项筛选报表的可读性,更方便达到预期效果; 10.内置大量SQL安全规则,包括如下:导出方式窃取、备份方式窃取、导出可执行程序、备份方式写入恶意代码、系统命令执行、读注册表、写注册表、暴露系统信息、高权存储过程、执行本地代码、常见运维工具使用grant、业务系统使用grant、查询内置敏感表、篡改内置敏感表等; 11.可以对SQL语句进行安全检测,并识别当前的SQL操作是否有暴库、撞库等严重性安全问题,如果命中了安全风险规则,那么可根据动作进行阻断、告警、记录等操作,可提示管理员作出相应的防御措施; |
台 |
1 |
终端安全管理系统 |
安装在每台电脑终端上,可以防止电脑中病毒,补丁及时更新,防止弹窗等 |
1.产品可以纯软件交付,包含管理控制中心软件及终端客户端软件,本次提供60点PC端授权,并提供3年软件升级服务; 2.单一管理控制中心可统一管理分别部署在WindowsPC、Windows服务器、Linux服务器以及国产化服务器的客户端软件; 3.采用B/S架构的管理控制中心,具备终端安全可视,终端统一管理,统一威胁处置,统一漏洞修复,威胁响应处置,日志记录与查询等功能; 4.产品支持直观展示最近七天勒索病毒防护效果,包括已处置的勒索病毒数量、已阻止的勒索病毒行为次数、已阻止的未知进程操作次数、已阻止的暴力破解攻击次数; 5.支持针对已发生的威胁提供详细的分析结果,包含威胁分析、网络行为、静态分析、分析环境和影响分析; 6.基于勒索病毒攻击过程,建立多维度立体防护机制,提供事前入侵防御-事中反加密-事后检测响应的完整防护体系,展示勒索病毒处置情况,对勒索病毒及变种实现专门有效防御; 7.具备强力专杀云端下发通道,支持在管理端批量下发强力专杀工具到内网各终端快速响应终端威胁; 8.支持Windows系统的违规外联动能,有效帮助管理员规范终端上网行为。 |
套 |
60 |
核心交换机 |
与原有核心交换机共同工作,进行分流 |
1.性能:整机交换容量 ≥3.9Tbps;转发性能 ≥126Mpps; 2.端口:≥48个千兆电,≥4个千兆SFP; 3.支持IPv4/IPv6静态路由,支持VLAN虚接口; 4.交换机支持最大堆叠台数≥9,可以将多台交换机连接,形成一个逻辑上的独立实体,从而构建具备高可靠性、易扩展性和易管理性的新型智能网络; 5.实现CPU保护功能,能限制非法报文对CPU的攻击,保护交换机在各种环境下稳定工作; 6.采用专业的内置防雷技术,支持≥10KV业务端口防雷能力; 7.绿色节能,支持端口休眠,关闭没有应用的端口,节省能源; 8.支持用户访问控制、MAC 地址绑定功能;支持基于源 MAC、目的 MAC 的 ACL 功能. |
台 |
1 |
网络安全服务 |
实地网络系统安检测试,季度/次 |
渗透测试工作主要是主要依据目前已经掌握的安全漏洞信息和项目调研阶段获取的相关信息,模拟黑客的真实攻击方法对各重要信息系统和网络进行非破坏性质的攻击性测试。 |
次 |
每年4次,共计不低于12次 |
云等保二级(办公系统、地理信息系统、压力监测系统):
序号 |
设备名称 |
功能介绍 |
技术参数 |
数量 |
1 |
云安全中心 |
通过在服务器安装Agent方式,为您提供防勒索、漏洞检测、防病毒、防暴力破解、合规基线检查、云平台配置检测等多种安全检测能力,为资产上云提供有力的安全保障,并满足监管合规要求。 |
为保证平台建设中服务器(云主机)层面的安全,需提供的云安全中心需满足: 1.安全风险总览页面的风险分析界面能够根据资产整体的安全状态展示当前的安全评分。安全评分越高说明系统的安全隐患越少。支持展示补丁、弱密码、系统、应用、账号风险的检查结果,并能够点击结果查看风险详情。 2.支持检测网络访问控制、数据安全、日志审计、身份认证及权限类型配置是否存在安全隐患,检测结果包括风险描述,验证信息,修复建议。 3.支持开启病毒防御,病毒防御支持对运行进程和文件的实时防护和扫描。支持查杀勒索病毒、恶意攻击、挖矿软件、肉鸡程序等多种类型病毒,主要包括:间谍软件、广告软件、拨号器、玩笑病毒、宏病毒、IRC木马、网页病毒、木马、蠕虫、后门、挖矿软件、勒索病毒。 4.支持收集账号及对应权限信息,可清点特权账号,检测提权行为。支持主机操作系统账号信息,至少包括:账号名、账号状态、用户组、最近登录时间、账号UID。
|
6 |
2 |
云下一代防火墙 |
云下一代防火墙是一款虚拟化边界网络安全防护产品,可提供互联网边界和内网VPC边界的流量管理与安全防护,具备安全访问控制、入侵防御、病毒防御、僵尸网络防御等能力,是网络边界防护和等保合规利器。 |
为保证平台的网络安全,需提供下一代防火墙,满足互联网边界和内网VPC边界的流量管理与安全防护,具体如下: 1.支持策略路由功能,支持多线路负载路由,可以基于源/目的IP、源/目的端口、协议、ISP、应用类型、国家/地域来进行选路的策略路由选路功能,策略路由支持轮询、带宽比例、加权最小流量、优先使用前面线路4种负载均衡算法来智能选路 2.支持基于应用类型、认证用户/组、IP地址、时间、国家/地区、子接口和VLAN进行流量策略管理控制 3.支持基于对象、区域和国家/地区维度设置安全访问控制策略,允许或拒绝特定国家/地区对象访问内部网络,保障业务重大时期安全可靠性 4.支持对HTTP、HTTPS、FTP、SMB、SMTP、POP3、IMAP协议进行病毒检测和查杀,支持最大16层的压缩文件查杀 5.支持僵尸、木马、蠕虫、恶意软件等攻击检测与防护。
|
3 |
3 |
云日志审计 |
针对大量分散的异构日志进行集中采集、统一管理、存储、统计分析的一体化产品,可协助企业满足等保合规要求、高效统一管理资产日志并为安全事件的事后取证提供依据。 |
为保证平台大量分散的异构日志进行集中采集、统一管理、存储、统计分析,提供的日志审计需满足: 1.支持SNMP Trap、Syslog、ODBC\JDBC、文件\文件夹、WMI、FTP、SFTP、SMB、NetBIOS、OPSEC等多种方式完成日志收集功能; 2.支持日志采集任务; 3.支持HTTP/HTTPS协议接口进行采集任务配置实现日志数据采集。 4.支持定制任务进行日志数据采集扩展,包括文本格式、目录下文本和数据库格式日志采集,支持编辑正则表达式和SQL语句进行日志采集,支持设置自定义任务时间; 6.支持对国内主流国产化数据库进行日志数据采集,支持动态表名模式进行数据库采集,能按照时间或者数字的规则动态每天递增采集日志表;
|
1 |
4 |
web全栈防护 |
通过对web应用层数据的解析,识别并拦截恶意流量,对流量清洗和过滤,将正常、安全的流量返回,从而保障业务安全。 |
为保证平台业务安全,避免业务入侵、篡改、窃取等,提供的web防护需满足: 1.支持浏览器端安全防御功能,支持在不改变源代码情况下,对可维护参数的动态加密和混淆功能。 2.支持防护OWASP常见威胁 、目录遍历、cookie劫持(会话劫持) 、缓冲区溢出、目录遍历。
|
6 |
5 |
云堡垒机 |
实现对云上资产运维过程的事前规划、事中控制和事后审计。同时,云堡垒机还支持自动化运维、资产拓扑发现、工单审批等功能,帮助用户建立完善的运维管理与内控体系,建立安全、高效、可控的运维管理机制。 |
为实现对云上资产运维过程的事前规划、事中控制和事后审计,建立完善的运维管理与内控体系,需提供云堡垒机服务: 1.支持对用户从主机上下载或上传到主机的文件进行保存,可灵活设置保存文件的大小(支持单文件或会话级别限制),可自动计算文件的SHA256值 2.支持用户的登录时间、来源IP地址和来源MAC地址限制(黑名单或白名单),限制非法时间和非法地址登录堡垒机。 3.可根据用户、用户组、账户、账户组、有效期、文件管理控制、文件传输控制(上传、下载)、RDP剪切板控制、键盘审计控制、时间限制、IP限制为条件,细粒度地进行访问控制。 4.针对核心设备可配置双人授权,需要管理员现场审批才能访问资源 5.支持云主机资源批量添加,包括阿里云、百度云、华为云、腾讯云云平台的资源。
|
1 |
6 |
网站安全升级 |
ssl证书等网站安全升级,可以保护网站和用户的敏感信息。 |
需提供国际标准的SSL证书,类型为企业型OV 保护网站和用户的敏感信息,确保数据在传输过程中的安全性和完整性,助力用户实现网站的可信身份认证与数据安全传输。 |
6 |
7 |
网络安全检测服务 |
云二级等保系统网络安检测试,季度/次 |
渗透测试工作主要是主要依据目前已经掌握的安全漏洞信息和项目调研阶段获取的相关信息,模拟黑客的真实攻击方法对各重要信息系统和网络进行非破坏性质的攻击性测试。 |
不少于12次 |
备注:硬件清单设备品牌不低于国内主流品牌,型号选择性价比高的国营企业常用型号规格,防火墙要求为下一代防火墙;网络安全服务参照市级以上网络安全攻防演练标准;云端服务器目前均为移动云服务器,安全防护不得使用数据引流方式,云安全服务不涉及机房的硬件安装。
除上述清单外,还需配合进行:
1.机房原有线路整理。
2.设备安装及布线。
3.增加必要的机柜安置网络安全设备(机柜参照机房现有机柜)。
4. 配合原中标的等保测评公司完成等保测评。
5 .以上服务要承诺不低于三年的免费故障更换和维护,云端服务除网络安全检测服务外均只需提供两年服务,云端网络安全检测服务为三年,出具承诺书。
6 .项目完成能达到分别满足三级、二级等保要求。
7. 因系统多数涉及供水安全,本地和云端网络安全部署禁止造成业务中断,出具承诺书。