采购计划编号: | 2023NCZ* | 项目名称: | 宁夏回族自治区疾病预防控制中心宁夏疾病监测业务信息平台建设项目云安全服务(六标段) |
---|---|---|---|
分包名称: | 云安全服务(六标段) | 分包类型: | 服务类 |
采购方式: | 单一来源 | 预算金额 | *.00 |
报价方式: | 总价采购项目 | 是否属于技术复杂, 专业性强的采购项目: | 否 |
是否为执行国家统一定价标 和固定价格采购项目: | 否 |
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
二、供应商资格条件
1.1 提供在中华人民共和国境内注册的法人或其他组织的营业执照 (或事业单位法人证书,或社会团体法人登记证书),如投标供应商为自然人的需提供自然人身份证明;
1.2 法人授权委托书、法人及被授权人身份证复印件(法定代表人直接投标可不提供,但须提供法定代表人身份证复印件);
1.3 提供具有良好商业信誉和健全的财务会计制度的承诺函;
1.4 提供履行合同所必需的设备和专业技术能力的证明材料;
1.5 具有依法缴纳税收和社会保障资金的良好记录的承诺函;
1.6 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明;(提供《资格承诺函》)。
序号 | 合格投标人的其他资格要求 |
---|---|
1 | 无 |
三、商务要求
四、技术要求
标的清单(服务类) | |||||||
---|---|---|---|---|---|---|---|
序号 | 标的名称 | 服务内容 | 数量 | 单价 | 服务标准及详细要求 | 服务期限 | 备注 |
1 | 安全运维服务 | 一、项目背景 本次项目建设平台部署在宁夏电子政务公共云平台(信创环境),以《中华人民共和国数据安全法》和《中华人民共和国密码法》为保障,以《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)和《信息安全技术 信息系统密码应用基本要求》(GB/T 39786—2021)为标准,按照网络安全保护等级第三级安全要求来建设,从安全通用要求的安全管理防护体系设计和云计算安全扩展要求两个方面设计安全系统,评测结果将作为项目验收的基础条件。 安全管理防护体系是确保网络安全责任明确和建章立制的核心,需要建立可持续改进的安全管理防护体系,包括安全策略和管理制度、安全管理机构和人员管理、安全建设管理和安全运维管理等内容。安全管理防护体系是对安全技术体系进行管理,并保证安全技术体系的有效实施。 安全技术体系是为了实现网络安全保障体系,而采用的一系列技术措施的组合,从技术层面落实安全策略和安全责任。安全技术体系覆盖纵深防御、监测分析、响应处置和态势管理,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全建设管理、安全运维管理这七个方面形成整体的技术防护框架,防护措施全面覆盖宁夏疾病监测业务信息平台的网络和信息系统。 宁夏疾病监测业务信息平台项目部署在宁夏电子政务公共云平台(信创环境),为了进一步加强系统安全防护能力,本次采购政务云安全服务形成集管理与技术于一体的综合安全防护体系。具体服务要求如下: 二、需防护云资源信息 1、系统有互联网公网IP,IP地址不少于30个; 2、平台所使用的主机资源,主机不少于200台。 3、平台所使用的数据库资源,数据库不少于16台。 三、防护功能要求 1、漏洞扫描 扫描器应不受云平台云盾阻拦,能够对云平台主机进行漏洞扫描。 按要求对宁夏疾病监测业务信息平台进行漏洞扫描,采用国内安全厂商扫描器进行扫描,从可及时发现漏洞并及时修复。扫描如出现中高危漏洞则提供详细报告,对每个漏洞都有详细的描述,包括漏洞的说明、影响的系统、平台、危险级别以及标准的CNCVE、CVE、CNNVD、BUGTRAQ 等对应关系以及链接信息,并提供修补方案,如系统加固建议、安全配置步骤、以及补*下载链接等,这些信息可以帮助用户建立对漏洞的全面认识,正确完成弱点修复工作。详见技术招标清单中第1项。 2、下一代防火墙 按要求对宁夏疾病监测业务信息平台进行网络安全控制,保障核心业务稳定可靠运行。包含至少以下功能: 融合下一代云防火墙能力,结合单路径并行处理的用户识别、应用识别和安全检测引擎,实现对用户、应用和内容的深入分析,为宁夏疾病监测业务信息平台提供高性能、可视化、精准有效的应用层一体化安全防护。下一代云防火墙以用户识别、应用识别为基础,提供应用层防火墙、入侵防护、防病毒、反APT、VPN、智能带宽管理、多出口链路负载均衡、内容过滤、URL过滤等多重安全功能。采用高性能软硬件架构,以智能用户识别与智能应用识别为基础,实现了完全以用户和应用为中心的控制策略,先进的APT防护技术能够有效防范0day攻击和社工渗透等新型威胁。丰富而直观的可视化信息,可以方便地查看策略实施效果、定位网络问题,指导网络管理员进行更合理的规划乃至网络投资决策。主要功能包括:一体化安全策略、网络访问控制、流量控制、入侵防御、病毒防护、安全资产管理、安全会话管理、黑名单管理等。详见技术招标清单中第2项。 3、WEB应用防火墙(WAF) 为宁夏疾病监测业务信息平台提供Web应用安全防护能力,可以针对各个层面不同的安全属性,分别采取相互独立的安全防御技术进行针对性防御。 (1)网站防护 Web应用防火墙提供目前业界覆盖范围最广、防护能力最强的安全防护,对Web网站或应用进行严格的保护。安全策略来自Snort、CWE、OWASP组织,以 (略) 对国内典型应用的深入研究成果,主要功能包括:超文本传输安全协议协议规范性检查、超文本传输安全协议、超文本传输安全协议s协议流量识别、超文本传输安全协议协议深层解码、独立防护的语义分析检测引擎、WebShell检测、CSRF和SSRF检测、服务器响应信息检测、CC攻击防护、文件B超、反序列化攻击防护注入攻击防护、跨站脚本攻击防护、网页木马防护、信息泄漏防护、智能防护、第三方组件漏洞防护、CSRF跨站请求伪造防护、防盗链和支持自定义基于正则表达式的防护规则。 (2)用户数据报表 可查看平台访问流量报表、安全防护报表,安全防护报表包含攻击次数态势分析、攻击者区域态势分析、攻击者IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻击威胁等级统计等。 详见技术招标清单中第3项。 4、日志审计 日志审计产品通过对宁夏疾病监测业务信息平台网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,并进行全维度、跨设备、细粒度的关联分析,透过事件的表象真实地还原事件背后的信息,从而全面审计信息系统整体安全状况。对各类日志进行综合审计分析,以图表的形式展现在线服务的业务访问情况。通过对访问记录的深度分析,发掘出潜在的威胁,起到追根溯源的目的,并且记录服务器返回的内容,便于取证式分析,以及作为案件的取证材料。 主要特点如下: ?全面的智能收集功能:不断的连接检查和完整性检查以及可自定义的缓存功能,确保系统接收到所有数据,配置过滤和聚合功能可以消除无关数据,并且合并重复的设备日志; ?标准化日志:将各类日志统一进行解析识别,包括各种安全事件日志(攻击、入侵、异常)、各种行为事件日志(内控、违规)、各种弱点扫描日志(弱点、漏洞)、各种状态监控日志(可用性、性能、状态); ?日志解析能力:采用多级解析功能和动态规划算法,实现灵活的未解析日志事件处理,同时支持多种解析方法(如正则表达式、分隔符、MIB信息映射配置等); ?先进的关联算法:采取In-Memory的设计,全内存运算方式,保证事件分析保持高效率和及时性。 详见技术招标清单中第4项。 5、云堡垒机 为宁夏疾控中心提供宁夏疾病监测业务信息平台运维审计能力,通过云端开通使用运维审计堡垒机服务,使其成为运维宁夏疾病监测业务信息平台的唯一入口,主机连接都必须经过堡垒机的统一身份管理,并基于IP地址、账号、命令进行控制,防止越权操作,集认证、授权、安全响应和行为审计为一体,实现全操作过程的审计记录,为业务系统的访问提供了一个统一、集中的授权、访问控制和审计平台。 主要功能包括:账号管理、身份认证、资源授权、访问控制、操作审计。 详见技术招标清单中第5项。 6、主机安全 为宁夏疾控中心提供宁夏疾病监测业务信息平台的主机安全及管理能力,提供符合网络安全法要求的日志集中化管理功能和多种类型的关联分析,并依照合规要求生成多种审计报表,为用户提供持续性的安全监控能力和高效的攻击溯源分析技术平台。 主要功能包括:病毒查杀、微隔离、Web攻击防护、访问控制、进程防护、可疑行为检测、异常进程行为监控、网络对外连接审计、WebShell扫描、文件完整性监控、网站漏洞防护、网站后门查杀,详见技术招标清单中第6项。 7、态势感知 态势感知平台需满足可以采集云平台全网流量分析,包含互联网流量、电子政务外网流量、以及厅局专网流量,需满足与政务云平台云盾实现接口对接,获取云盾上的安全告警信息,与云平台相关安全防护能力联动。 提供安全综合分析及预警能力,展现安全态势能力,汇聚各种安全设备日志、流量日志,进行融合建模分析,展示网络攻击态势、恶意程序态势、资产态势和行为态势。 具备安全威胁要素的采集能力,采用多样的、可适配数据源的方式对各类安全设备、系统数据进行采集、清洗、标准化、存储,提供离线、实时、全文检索等多种数据订阅及分析方式。采集内容包含内部、外部及情报,其中内部要素包括:资产信息、网络拓扑、安全配置、安全漏洞、系统指纹;外部要素包括:安全攻击、恶意扫描、拒绝服务、异常流量等;情报要素包括:战略安全情报、战术安全威胁情报、通告和预警等。 具备安全威胁要素分析能力,为安全管理员、安全决策人员提供简单、实用、高效的安全数据平台,内置业务支撑网重点安全分析场景,采用大数据技术在更大量数据、更全面、更透彻的方式分析安全威胁。 具备将安全威胁作为预警输出的能力,实现预警通知效果,并对其范围、类型、危害以图形化展示,为安全分析人员提供直观、强大、清晰的安全威胁预警能力,以及重大问题、事件的整体性报告。 实现安全数据的集中采集、存储、检索及对外接口,建设安全数据中心(SDC)平台。实现资产核查管理、漏洞检测管理、安全监测、安全事件管理、威胁情报管理、关联分析,安全态势展示,详见技术招标清单中第7项。 8、数据库审计 提供数据库安全审计能力,实现对进出核心数据库的访问流量进行数据报文字段级的解析操作,完全还原出操作的细节,并给出详尽的操作返回结果,以可视化的方式将所有的访问都呈现在管理者的面前,数据库不再处于不可知、不可控的情况,数据威胁将被迅速发现和响应,详见技术招标清单中第8项。 9、蜜罐 基于网络欺骗和主动防御理论,通过蜜罐、蜜饵构建沉浸式诱捕蜜网、混淆攻击者视听、增加攻击代价,达到延缓攻击进程,进而保护用户资产的目的。 主要功能包括:构建蜜罐网络,掩盖和保护真实用户的业务与数据;通过蜜罐、蜜饵、转发 Agent 等的部署,捕获攻击者的攻击行为、采集攻击者指纹、并分析其动作以感知其攻击意图,为反制、追溯提供数据支撑,详见技术招标清单中第9项。 10、超文本传输安全协议S证书服务 为网站及WEB应用系统提供超文本传输安全协议S保护,对网站流量进行加密,防止数据被窃取。超文本传输安全协议S在常规超文本传输安全协议协议的通信基础上,利用SSL/TLS技术(协议)来加密传输的数据包,提供对网站服务器的身份验证,对网站流量进行加密,防止数据被窃取,保护交换数据的隐私与完整性,详见技术招标清单中第10项。 11、密钥管理服务 密钥管理服务为业务系统提供密钥生命周期管理,提供密钥托管、对称密钥管理和非对称密钥管理等功能。 支持国家密码管理局发布的国产商用密码算法,包括SM1、SM2、SM3、SM4等。 提供应用主密钥、密钥加密密钥、数据加密密钥三级密钥管理,应用按需选择安全的密钥管理策略,可实现不同应用间密钥数据安全隔离存储。 提供基于应用进行管理密钥加密密钥和数据加密密钥,包括密钥更新、注销、失信、销毁、恢复以及密钥查询等密钥管理操作。 具备定时或即时产生备用密钥,并提供备用密钥销毁功能。具备密钥归档管理操作,详见技术招标清单中第11项。 12、密码运算服务 提供统一的密码计算服务,对业务应用系统重要数据的不同算法、不同类型、不同方式的加解密服务,采用密码技术实现机密性、完整性、真实性和不可否认性功能。 具备多种密码计算服务的协议解析、转换和请求分发到对应密码设备中进行密码计算。 提供对称加密服务、对称解密服务、非对称加密服务、非对称解密服务、摘要计算服务、MAC计算服务等。 提供对称密钥加解密、消息鉴别码产生和验证、数据摘要、随机数生成、非对称加解密、非对称签名等密钥级密码计算服务。 能够通过标准接口和协议实现与各类密码设备、密码资源、密码服务、密码系统的集中统一监管,应用单位可及时掌握密码设备的运行状态、密码资源使用情况,详见技术招标清单中第12项。 13、应用对接服务及专家咨询服务 提供云上应用与密码服务平台对接服务,实现密码运算及密钥管理等密码服务调用。 提供业务应用系统调研(系统现状、关键业务数据、业务流程等梳理)、密码应用风险分析,密码应用需求分析,密码应用符合性分析,密码应用总体应用框架设计,密码应用关键应用流程设计等,详见技术招标清单中第13项。 14、网络传输及接入认证服务 提供安全的集中业务访问及安全管理通道。基于安全网关实现对云平台用户的强身份鉴别和审计。 支持SM2及RSA双算法,支持国家密码管理局发布的国产商用密码算法,包括SM1、SM2、SM3、SM4等。支持国密标准的SSL协议。支持基于PKI/CA数字证书和用户名/口令的身份认证方式,详见技术招标清单中第14项。 15、智能密码钥匙 符合国家密码管理局提出的《智能IC卡及智能密码钥匙密码应用接口规范》 符合国家密码管理局关于“密钥不落地”的技术规范要求。提供标准安全中间件接口(CSP、国密接口)。 支持多个密钥的存储。 硬件内置算法:SM1,SM2,SM3,SM4,SSF33 RSA,SHA1,SHA256,MD5,DES,AES 通过硬件实现数字签名。 支持X.509 v3标准证书格式。 符合CE和FCC标准。 符合RoHS环保要求,遵守WEEE指令要求。 详见技术招标清单中第15项。 16、CA认证相关服务器和服务 各级医疗卫生机构访问平台需采用VPN+CA认证方式,因本项目部署于信创环境,需增加CA认证设备,同时需更换原有用户的key,包含签名验签服务器、时间戳服务器、个人数字证书(按2000用户计),详见技术招标清单中第16-20项。 17、防火墙设备 本平台部署于政务云信创环境,访问国家疾控方式为业务平台(信创云)-自治区疾控-国家疾控,由于自治区疾控机房不满足密评要求,因此要求直接从政务云侧对接国家疾控,详见技术招标清单中第21项。 18、设备托管服务 根据项目需求,CA设备及新增防火墙需进行设备托管。 四、技术招标清单 为了进一步提升宁夏疾病监测业务信息平台安全防护能力,需采购为期3年的政务云安全增值服务,内容如下: 序号 安全服务 安全服务配置选型 服务内容 数量 单位 1 漏洞扫描 WEB 应用漏洞扫描,每月1次 针对WEB 应用系统进行漏洞检测,如SQL注入、Cookie 注入、XPath 注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据,网页木马检测,配置审计、弱口令检测。 1 系统 主机漏洞扫描,每月1次 以CNCVE 为基础,对操作系统、中间件进行安全检查,综合系统安全漏洞和配置隐患检查结果分析系统安全风险。 1 系统 2 下一代防火墙 政务外网区 统一管理互联网到业务的南北向访问策略和业务与业务之间的东西向微隔离策略,提升业务安全性(4G吞吐) 1 套 互联网区 统一管理互联网到业务的南北向访问策略和业务与业务之间的东西向微隔离策略,提升业务安全性(4G吞吐) 1 套 3 WAF 政务外网区 提供SaaS化的Web应用安全防护能力防护流量500M 1 套 互联网区 提供SaaS化的Web应用安全防护能力防护流量500M 1 套 4 日志审计 政务外网区 提供日志集中审计,日志备份的功能(200个实例) 1 套 互联网区 提供日志集中审计,日志备份的功能(50个实例) 1 套 5 云堡垒机 政务外网区 提供安全审计功能,对所有运维操作进行审计,提供证据回放功能(200实例) 1 项 互联网区 提供安全审计功能,对所有运维操作进行审计,提供证据回放功能(50实例) 1 项 6 主机安全 主机安全+网页防篡改管理中心 200 台 7 态势感知 对攻击、威胁、流量、行为、运维等态势生成全方位的安全全景视图,并联动响应。 1 套 8 数据库审计 提供数据库操作的审计,对增删改查等操作进行审计(16实例) 1 套 9 蜜罐 基于网络欺骗和主动防御理论,通过蜜罐、蜜饵构建沉浸式诱捕蜜网、混淆攻击者视听、增加攻击代价,达到延缓攻击进程,进而保护资产 1 套 10 超文本传输安全协议S证书服务 为网站及WEB应用系统提供超文本传输安全协议S保护,对网站流量进行加密,防止数据被窃取。 6 项 11 密钥管理服务 密钥管理服务为业务系统提供密钥生命周期管理,提供密钥托管、对称密钥管理和非对称密钥管理等功能。 2 项 12 密码运算服务 提供统一的密码计算服务,采用密码技术实现机密性、完整性、真实性和不可否认性功能。 2 项 可监控密码资源、密码服务、密码系统运行状态及密码资源使用情况。 13 应用对接服务及专家咨询服务 1.为用户提供密码应用对接支撑服务,提供密码应用相关咨询及方案编制服务。包括业务应用系统调研(系统现状、关键业务数据、业务流程等梳理)、密码应用风险分析,密码应用需求分析,密码应用符合性分析,密码应用总体应用框架设计,密码应用关键应用流程设计等。 9 应用 2.提供云上应与密码服务平台对接服务,实现密码运算及密钥管理等密码服务调用。 14 网络传输及接入认证服务 安全的集中业务访问及安全管理通道。基于安全网关SDK简单、快速地实现对云平台用户的强身份鉴别。 4 项 15 智能密码钥匙 结合VPN网关做管理员用户身份认证。 45 个 16 签名验签服务器 提供基于信创环境下的数字证书的身份认证服务、数据签名与签名验证服务、加解密服务和数字信封服务; 2 台 17 时间戳服务器(物理服务器) 信创版时间戳服务器内置时间源模块,实现时间戳签名、验签、时间同步服务等功能; 2 台 18 智能密码钥匙(替换原有国家疾控平台不支持的信创环境的 USBKEY智能密码钥匙基于HID协议,相当于HID设备,兼容性好,适用范围广,可以避免操作系统、安全软件等对硬件设备和通信协议设置的限制。USBKEY智能密码钥匙可以支持中标麒麟、银河麒麟等操作系统; 2000 个 19 个人数字证书 标识个人的网上身份。 2000 个 20 对接费 对接业务系统对接集成 1 套 21 防火墙 政务外网(信创)至国家疾控中间的防火墙 1 台 22 设备托管服务 CA服务器、防火墙(至国家疾控) 1 项 五、实施要求 (一)中标人须提供完善的实施方案和计划,经采购人审核通过后实施,实施建设期间项目系统安全及相关云安全服务由中标单位负责,需保证项目网络与数据安全。 (二)中标人须与采购人签订项目合同、保密协议,核实项目实施人员与投标时对本项目配备的是否一致。确因工作调配需要更换实施人员,需提前10 个工作日向采购方书面报备。 (三)中标人在项目实施过程中,须严格遵守相关法律、法规、规范、标准等相关要求,确保过程记录的完整性和真实性。 (四)中标人根据采购人的实际需求,在重大节日活动、重要会议召开前、护网行动期间等关键时间点,须提供专业漏洞扫描服务不少于2 次,组织护网团队,配合中心完成防守工作,及时修复和整改出现的问题。 (五)中标人须提供专业的网络安全培训服务2 次,网络安全培训主要针对采购人指定技术人员开展网络安全专业技术培训,具体包括但不仅限于国内外信息安全管理标准和体系介绍、常见攻击方式介绍与案例分析、安全事件应急处理与分析等。 (六)中标人须提供自项目完成验收之日起为期3年信创环境下国产化软、硬件产品联调测试等适配服务1次,保障应用系统正常稳定运行。 (七)中标人须提供自项目完成验收之日起为期3年的短信服务1套,按照密评要求,登录需使用用户名、口令加短信验证码,短信服务需满足各级医疗卫生机构使用本平台APP进行现场采样业务数据填报。 (八)中标人须提供自项目完成验收之日起为期3年的传输链路服务1套,包含互联网专线1条(政务云至国家疾控)和裸光纤电路2条,其中裸光纤电路为CA服务器至信创云和防火墙至信创云。 六、进度要求 投标方根据宁夏疾病监测业务信息平台建设情况,制定合理的时间进度。云安全防护需在签订合同后一个月内完成部署工作。 七、售后要求 (一)提供自项目完成验收之日起为期3年的免费售后服务。就本项目成果中的具体内容提供解释,提供云安全服务相关工作的技术支持和咨询服务,以协助采购方提高云安全防护能力。 (二)在合同服务期内,中标人须提供应急事件处理及应急响应服务。在重大节日保障期间,或一旦部署在云上的信息系统出现紧急重大安全事件,收到采购方的服务请求,项目工程师在3小时内到达现场提供服务。 | 1 | *.00 | 标的1-安全运维服务:一、项目背景 本次项目建设平台部署在宁夏电子政务公共云平台(信创环境),以《中华人民共和国数据安全法》和《中华人民共和国密码法》为保障,以《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)和《信息安全技术 信息系统密码应用基本要求》(GB/T 39786—2021)为标准,按照网络安全保护等级第三级安全要求来建设,从安全通用要求的安全管理防护体系设计和云计算安全扩展要求两个方面设计安全系统,评测结果将作为项目验收的基础条件。 安全管理防护体系是确保网络安全责任明确和建章立制的核心,需要建立可持续改进的安全管理防护体系,包括安全策略和管理制度、安全管理机构和人员管理、安全建设管理和安全运维管理等内容。安全管理防护体系是对安全技术体系进行管理,并保证安全技术体系的有效实施。 安全技术体系是为了实现网络安全保障体系,而采用的一系列技术措施的组合,从技术层面落实安全策略和安全责任。安全技术体系覆盖纵深防御、监测分析、响应处置和态势管理,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全建设管理、安全运维管理这七个方面形成整体的技术防护框架,防护措施全面覆盖宁夏疾病监测业务信息平台的网络和信息系统。 宁夏疾病监测业务信息平台项目部署在宁夏电子政务公共云平台(信创环境),为了进一步加强系统安全防护能力,本次采购政务云安全服务形成集管理与技术于一体的综合安全防护体系。具体服务要求如下: 二、需防护云资源信息 1、系统有互联网公网IP,IP地址不少于30个; 2、平台所使用的主机资源,主机不少于200台。 3、平台所使用的数据库资源,数据库不少于16台。 三、防护功能要求 1、漏洞扫描 扫描器应不受云平台云盾阻拦,能够对云平台主机进行漏洞扫描。 按要求对宁夏疾病监测业务信息平台进行漏洞扫描,采用国内安全厂商扫描器进行扫描,从可及时发现漏洞并及时修复。扫描如出现中高危漏洞则提供详细报告,对每个漏洞都有详细的描述,包括漏洞的说明、影响的系统、平台、危险级别以及标准的CNCVE、CVE、CNNVD、BUGTRAQ 等对应关系以及链接信息,并提供修补方案,如系统加固建议、安全配置步骤、以及补*下载链接等,这些信息可以帮助用户建立对漏洞的全面认识,正确完成弱点修复工作。详见技术招标清单中第1项。 2、下一代防火墙 按要求对宁夏疾病监测业务信息平台进行网络安全控制,保障核心业务稳定可靠运行。包含至少以下功能: 融合下一代云防火墙能力,结合单路径并行处理的用户识别、应用识别和安全检测引擎,实现对用户、应用和内容的深入分析,为宁夏疾病监测业务信息平台提供高性能、可视化、精准有效的应用层一体化安全防护。下一代云防火墙以用户识别、应用识别为基础,提供应用层防火墙、入侵防护、防病毒、反APT、VPN、智能带宽管理、多出口链路负载均衡、内容过滤、URL过滤等多重安全功能。采用高性能软硬件架构,以智能用户识别与智能应用识别为基础,实现了完全以用户和应用为中心的控制策略,先进的APT防护技术能够有效防范0day攻击和社工渗透等新型威胁。丰富而直观的可视化信息,可以方便地查看策略实施效果、定位网络问题,指导网络管理员进行更合理的规划乃至网络投资决策。主要功能包括:一体化安全策略、网络访问控制、流量控制、入侵防御、病毒防护、安全资产管理、安全会话管理、黑名单管理等。详见技术招标清单中第2项。 3、WEB应用防火墙(WAF) 为宁夏疾病监测业务信息平台提供Web应用安全防护能力,可以针对各个层面不同的安全属性,分别采取相互独立的安全防御技术进行针对性防御。 (1)网站防护 Web应用防火墙提供目前业界覆盖范围最广、防护能力最强的安全防护,对Web网站或应用进行严格的保护。安全策略来自Snort、CWE、OWASP组织,以 (略) 对国内典型应用的深入研究成果,主要功能包括:超文本传输安全协议协议规范性检查、超文本传输安全协议、超文本传输安全协议s协议流量识别、超文本传输安全协议协议深层解码、独立防护的语义分析检测引擎、WebShell检测、CSRF和SSRF检测、服务器响应信息检测、CC攻击防护、文件B超、反序列化攻击防护注入攻击防护、跨站脚本攻击防护、网页木马防护、信息泄漏防护、智能防护、第三方组件漏洞防护、CSRF跨站请求伪造防护、防盗链和支持自定义基于正则表达式的防护规则。 (2)用户数据报表 可查看平台访问流量报表、安全防护报表,安全防护报表包含攻击次数态势分析、攻击者区域态势分析、攻击者IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻击威胁等级统计等。 详见技术招标清单中第3项。 4、日志审计 日志审计产品通过对宁夏疾病监测业务信息平台网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,并进行全维度、跨设备、细粒度的关联分析,透过事件的表象真实地还原事件背后的信息,从而全面审计信息系统整体安全状况。对各类日志进行综合审计分析,以图表的形式展现在线服务的业务访问情况。通过对访问记录的深度分析,发掘出潜在的威胁,起到追根溯源的目的,并且记录服务器返回的内容,便于取证式分析,以及作为案件的取证材料。 主要特点如下: ?全面的智能收集功能:不断的连接检查和完整性检查以及可自定义的缓存功能,确保系统接收到所有数据,配置过滤和聚合功能可以消除无关数据,并且合并重复的设备日志; ?标准化日志:将各类日志统一进行解析识别,包括各种安全事件日志(攻击、入侵、异常)、各种行为事件日志(内控、违规)、各种弱点扫描日志(弱点、漏洞)、各种状态监控日志(可用性、性能、状态); ?日志解析能力:采用多级解析功能和动态规划算法,实现灵活的未解析日志事件处理,同时支持多种解析方法(如正则表达式、分隔符、MIB信息映射配置等); ?先进的关联算法:采取In-Memory的设计,全内存运算方式,保证事件分析保持高效率和及时性。 详见技术招标清单中第4项。 5、云堡垒机 为宁夏疾控中心提供宁夏疾病监测业务信息平台运维审计能力,通过云端开通使用运维审计堡垒机服务,使其成为运维宁夏疾病监测业务信息平台的唯一入口,主机连接都必须经过堡垒机的统一身份管理,并基于IP地址、账号、命令进行控制,防止越权操作,集认证、授权、安全响应和行为审计为一体,实现全操作过程的审计记录,为业务系统的访问提供了一个统一、集中的授权、访问控制和审计平台。 主要功能包括:账号管理、身份认证、资源授权、访问控制、操作审计。 详见技术招标清单中第5项。 6、主机安全 为宁夏疾控中心提供宁夏疾病监测业务信息平台的主机安全及管理能力,提供符合网络安全法要求的日志集中化管理功能和多种类型的关联分析,并依照合规要求生成多种审计报表,为用户提供持续性的安全监控能力和高效的攻击溯源分析技术平台。 主要功能包括:病毒查杀、微隔离、Web攻击防护、访问控制、进程防护、可疑行为检测、异常进程行为监控、网络对外连接审计、WebShell扫描、文件完整性监控、网站漏洞防护、网站后门查杀,详见技术招标清单中第6项。 7、态势感知 态势感知平台需满足可以采集云平台全网流量分析,包含互联网流量、电子政务外网流量、以及厅局专网流量,需满足与政务云平台云盾实现接口对接,获取云盾上的安全告警信息,与云平台相关安全防护能力联动。 提供安全综合分析及预警能力,展现安全态势能力,汇聚各种安全设备日志、流量日志,进行融合建模分析,展示网络攻击态势、恶意程序态势、资产态势和行为态势。 具备安全威胁要素的采集能力,采用多样的、可适配数据源的方式对各类安全设备、系统数据进行采集、清洗、标准化、存储,提供离线、实时、全文检索等多种数据订阅及分析方式。采集内容包含内部、外部及情报,其中内部要素包括:资产信息、网络拓扑、安全配置、安全漏洞、系统指纹;外部要素包括:安全攻击、恶意扫描、拒绝服务、异常流量等;情报要素包括:战略安全情报、战术安全威胁情报、通告和预警等。 具备安全威胁要素分析能力,为安全管理员、安全决策人员提供简单、实用、高效的安全数据平台,内置业务支撑网重点安全分析场景,采用大数据技术在更大量数据、更全面、更透彻的方式分析安全威胁。 具备将安全威胁作为预警输出的能力,实现预警通知效果,并对其范围、类型、危害以图形化展示,为安全分析人员提供直观、强大、清晰的安全威胁预警能力,以及重大问题、事件的整体性报告。 实现安全数据的集中采集、存储、检索及对外接口,建设安全数据中心(SDC)平台。实现资产核查管理、漏洞检测管理、安全监测、安全事件管理、威胁情报管理、关联分析,安全态势展示,详见技术招标清单中第7项。 8、数据库审计 提供数据库安全审计能力,实现对进出核心数据库的访问流量进行数据报文字段级的解析操作,完全还原出操作的细节,并给出详尽的操作返回结果,以可视化的方式将所有的访问都呈现在管理者的面前,数据库不再处于不可知、不可控的情况,数据威胁将被迅速发现和响应,详见技术招标清单中第8项。 9、蜜罐 基于网络欺骗和主动防御理论,通过蜜罐、蜜饵构建沉浸式诱捕蜜网、混淆攻击者视听、增加攻击代价,达到延缓攻击进程,进而保护用户资产的目的。 主要功能包括:构建蜜罐网络,掩盖和保护真实用户的业务与数据;通过蜜罐、蜜饵、转发 Agent 等的部署,捕获攻击者的攻击行为、采集攻击者指纹、并分析其动作以感知其攻击意图,为反制、追溯提供数据支撑,详见技术招标清单中第9项。 10、超文本传输安全协议S证书服务 为网站及WEB应用系统提供超文本传输安全协议S保护,对网站流量进行加密,防止数据被窃取。超文本传输安全协议S在常规超文本传输安全协议协议的通信基础上,利用SSL/TLS技术(协议)来加密传输的数据包,提供对网站服务器的身份验证,对网站流量进行加密,防止数据被窃取,保护交换数据的隐私与完整性,详见技术招标清单中第10项。 11、密钥管理服务 密钥管理服务为业务系统提供密钥生命周期管理,提供密钥托管、对称密钥管理和非对称密钥管理等功能。 支持国家密码管理局发布的国产商用密码算法,包括SM1、SM2、SM3、SM4等。 提供应用主密钥、密钥加密密钥、数据加密密钥三级密钥管理,应用按需选择安全的密钥管理策略,可实现不同应用间密钥数据安全隔离存储。 提供基于应用进行管理密钥加密密钥和数据加密密钥,包括密钥更新、注销、失信、销毁、恢复以及密钥查询等密钥管理操作。 具备定时或即时产生备用密钥,并提供备用密钥销毁功能。具备密钥归档管理操作,详见技术招标清单中第11项。 12、密码运算服务 提供统一的密码计算服务,对业务应用系统重要数据的不同算法、不同类型、不同方式的加解密服务,采用密码技术实现机密性、完整性、真实性和不可否认性功能。 具备多种密码计算服务的协议解析、转换和请求分发到对应密码设备中进行密码计算。 提供对称加密服务、对称解密服务、非对称加密服务、非对称解密服务、摘要计算服务、MAC计算服务等。 提供对称密钥加解密、消息鉴别码产生和验证、数据摘要、随机数生成、非对称加解密、非对称签名等密钥级密码计算服务。 能够通过标准接口和协议实现与各类密码设备、密码资源、密码服务、密码系统的集中统一监管,应用单位可及时掌握密码设备的运行状态、密码资源使用情况,详见技术招标清单中第12项。 13、应用对接服务及专家咨询服务 提供云上应用与密码服务平台对接服务,实现密码运算及密钥管理等密码服务调用。 提供业务应用系统调研(系统现状、关键业务数据、业务流程等梳理)、密码应用风险分析,密码应用需求分析,密码应用符合性分析,密码应用总体应用框架设计,密码应用关键应用流程设计等,详见技术招标清单中第13项。 14、网络传输及接入认证服务 提供安全的集中业务访问及安全管理通道。基于安全网关实现对云平台用户的强身份鉴别和审计。 支持SM2及RSA双算法,支持国家密码管理局发布的国产商用密码算法,包括SM1、SM2、SM3、SM4等。支持国密标准的SSL协议。支持基于PKI/CA数字证书和用户名/口令的身份认证方式,详见技术招标清单中第14项。 15、智能密码钥匙 符合国家密码管理局提出的《智能IC卡及智能密码钥匙密码应用接口规范》 符合国家密码管理局关于“密钥不落地”的技术规范要求。提供标准安全中间件接口(CSP、国密接口)。 支持多个密钥的存储。 硬件内置算法:SM1,SM2,SM3,SM4,SSF33 RSA,SHA1,SHA256,MD5,DES,AES 通过硬件实现数字签名。 支持X.509 v3标准证书格式。 符合CE和FCC标准。 符合RoHS环保要求,遵守WEEE指令要求。 详见技术招标清单中第15项。 16、CA认证相关服务器和服务 各级医疗卫生机构访问平台需采用VPN+CA认证方式,因本项目部署于信创环境,需增加CA认证设备,同时需更换原有用户的key,包含签名验签服务器、时间戳服务器、个人数字证书(按2000用户计),详见技术招标清单中第16-20项。 17、防火墙设备 本平台部署于政务云信创环境,访问国家疾控方式为业务平台(信创云)-自治区疾控-国家疾控,由于自治区疾控机房不满足密评要求,因此要求直接从政务云侧对接国家疾控,详见技术招标清单中第21项。 18、设备托管服务 根据项目需求,CA设备及新增防火墙需进行设备托管。 四、技术招标清单 为了进一步提升宁夏疾病监测业务信息平台安全防护能力,需采购为期3年的政务云安全增值服务,内容如下: 序号 安全服务 安全服务配置选型 服务内容 数量 单位 1 漏洞扫描 WEB 应用漏洞扫描,每月1次 针对WEB 应用系统进行漏洞检测,如SQL注入、Cookie 注入、XPath 注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据,网页木马检测,配置审计、弱口令检测。 1 系统 主机漏洞扫描,每月1次 以CNCVE 为基础,对操作系统、中间件进行安全检查,综合系统安全漏洞和配置隐患检查结果分析系统安全风险。 1 系统 2 下一代防火墙 政务外网区 统一管理互联网到业务的南北向访问策略和业务与业务之间的东西向微隔离策略,提升业务安全性(4G吞吐) 1 套 互联网区 统一管理互联网到业务的南北向访问策略和业务与业务之间的东西向微隔离策略,提升业务安全性(4G吞吐) 1 套 3 WAF 政务外网区 提供SaaS化的Web应用安全防护能力防护流量500M 1 套 互联网区 提供SaaS化的Web应用安全防护能力防护流量500M 1 套 4 日志审计 政务外网区 提供日志集中审计,日志备份的功能(200个实例) 1 套 互联网区 提供日志集中审计,日志备份的功能(50个实例) 1 套 5 云堡垒机 政务外网区 提供安全审计功能,对所有运维操作进行审计,提供证据回放功能(200实例) 1 项 互联网区 提供安全审计功能,对所有运维操作进行审计,提供证据回放功能(50实例) 1 项 6 主机安全 主机安全+网页防篡改管理中心 200 台 7 态势感知 对攻击、威胁、流量、行为、运维等态势生成全方位的安全全景视图,并联动响应。 1 套 8 数据库审计 提供数据库操作的审计,对增删改查等操作进行审计(16实例) 1 套 9 蜜罐 基于网络欺骗和主动防御理论,通过蜜罐、蜜饵构建沉浸式诱捕蜜网、混淆攻击者视听、增加攻击代价,达到延缓攻击进程,进而保护资产 1 套 10 超文本传输安全协议S证书服务 为网站及WEB应用系统提供超文本传输安全协议S保护,对网站流量进行加密,防止数据被窃取。 6 项 11 密钥管理服务 密钥管理服务为业务系统提供密钥生命周期管理,提供密钥托管、对称密钥管理和非对称密钥管理等功能。 2 项 12 密码运算服务 提供统一的密码计算服务,采用密码技术实现机密性、完整性、真实性和不可否认性功能。 2 项 可监控密码资源、密码服务、密码系统运行状态及密码资源使用情况。 13 应用对接服务及专家咨询服务 1.为用户提供密码应用对接支撑服务,提供密码应用相关咨询及方案编制服务。包括业务应用系统调研(系统现状、关键业务数据、业务流程等梳理)、密码应用风险分析,密码应用需求分析,密码应用符合性分析,密码应用总体应用框架设计,密码应用关键应用流程设计等。 9 应用 2.提供云上应与密码服务平台对接服务,实现密码运算及密钥管理等密码服务调用。 14 网络传输及接入认证服务 安全的集中业务访问及安全管理通道。基于安全网关SDK简单、快速地实现对云平台用户的强身份鉴别。 4 项 15 智能密码钥匙 结合VPN网关做管理员用户身份认证。 45 个 16 签名验签服务器 提供基于信创环境下的数字证书的身份认证服务、数据签名与签名验证服务、加解密服务和数字信封服务; 2 台 17 时间戳服务器(物理服务器) 信创版时间戳服务器内置时间源模块,实现时间戳签名、验签、时间同步服务等功能; 2 台 18 智能密码钥匙(替换原有国家疾控平台不支持的信创环境的 USBKEY智能密码钥匙基于HID协议,相当于HID设备,兼容性好,适用范围广,可以避免操作系统、安全软件等对硬件设备和通信协议设置的限制。USBKEY智能密码钥匙可以支持中标麒麟、银河麒麟等操作系统; 2000 个 19 个人数字证书 标识个人的网上身份。 2000 个 20 对接费 对接业务系统对接集成 1 套 21 防火墙 政务外网(信创)至国家疾控中间的防火墙 1 台 22 设备托管服务 CA服务器、防火墙(至国家疾控) 1 项 五、实施要求 (一)中标人须提供完善的实施方案和计划,经采购人审核通过后实施,实施建设期间项目系统安全及相关云安全服务由中标单位负责,需保证项目网络与数据安全。 (二)中标人须与采购人签订项目合同、保密协议,核实项目实施人员与投标时对本项目配备的是否一致。确因工作调配需要更换实施人员,需提前10 个工作日向采购方书面报备。 (三)中标人在项目实施过程中,须严格遵守相关法律、法规、规范、标准等相关要求,确保过程记录的完整性和真实性。 (四)中标人根据采购人的实际需求,在重大节日活动、重要会议召开前、护网行动期间等关键时间点,须提供专业漏洞扫描服务不少于2 次,组织护网团队,配合中心完成防守工作,及时修复和整改出现的问题。 (五)中标人须提供专业的网络安全培训服务2 次,网络安全培训主要针对采购人指定技术人员开展网络安全专业技术培训,具体包括但不仅限于国内外信息安全管理标准和体系介绍、常见攻击方式介绍与案例分析、安全事件应急处理与分析等。 (六)中标人须提供自项目完成验收之日起为期3年信创环境下国产化软、硬件产品联调测试等适配服务1次,保障应用系统正常稳定运行。 (七)中标人须提供自项目完成验收之日起为期3年的短信服务1套,按照密评要求,登录需使用用户名、口令加短信验证码,短信服务需满足各级医疗卫生机构使用本平台APP进行现场采样业务数据填报。 (八)中标人须提供自项目完成验收之日起为期3年的传输链路服务1套,包含互联网专线1条(政务云至国家疾控)和裸光纤电路2条,其中裸光纤电路为CA服务器至信创云和防火墙至信创云。 六、进度要求 投标方根据宁夏疾病监测业务信息平台建设情况,制定合理的时间进度。云安全防护需在签订合同后一个月内完成部署工作。 七、售后要求 (一)提供自项目完成验收之日起为期3年的免费售后服务。就本项目成果中的具体内容提供解释,提供云安全服务相关工作的技术支持和咨询服务,以协助采购方提高云安全防护能力。 (二)在合同服务期内,中标人须提供应急事件处理及应急响应服务。在重大节日保障期间,或一旦部署在云上的信息系统出现紧急重大安全事件,收到采购方的服务请求,项目工程师在3小时内到达现场提供服务。 | 三年 |
五、合同管理安排
合同类型:
服务类
六、评审方法及评审细则
评标方法:
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。