bd%bb%d2%d7%c6... · web...
TRANSCRIPT
第二章 采购需求一、 项目总体需求1.1 项目建设背景
2017 年 6 月 1 日,《中华人民共和国网络安全法》(《网络安全法》)正
式实施。《网络安全法》首次确立了“网络安全”等级保护制度,要求网络运
营者按照网络安全等级保护制度的要求履行一系列安全保护义务。为落实网络
安全等级保护工作,建立一个安全稳定运行的基础软硬件环境,政府部门应充
分考虑电子政务信息系统的安全现状,以最新信息安全理论为基础,按照信息
系统安全等级保护(等保)标准的要求,从技术、管理和运维等多个层面做好
信息安全的保障工作,进一步提高基础信息网络和重要信息系统的安全保护能
力,维护电子政务网络空间和谐稳定。
荔湾区人民政府政务管理办公室是荔湾区政务云平台的建设和管理单位,
该政务云平台承载我区大部分电子政务的信息系统。荔湾区大部分电子政务信
息系统已经投入运行多年,机房物理环境和网络安全配置相对完善,但网络安
1
全、主机安全、应用安全、数据安全和管理制度与等保合规要求还存在一定差
距,因此需要围绕网络安全等级保护要求对这些电子政务信息系统进行安全风
险评估,制定合理可行的等保设计方案,确保符合等保要求。
1.2 项目建设目标本项目建设目标如下:
1. 依据《网络安全法》和《信息安全等级保护管理办法》文件要求,通过
对荔湾区现有信息系统进行安全合规建设以满足等保的标准要求,并严
格参照《信息安全技术网络安全等级保护基本要求》、《信息系统安全
等级保护基本要求》、《信息系统安全等级保护实施指南》等标准完成
信息系统安全差距评估、整改和测评工作;
2. 以预防为主、标本兼制为宗旨,建成满足等保要求的电子政务信息系统
保障体系,完善荔湾区电子政务信息系统的安全防护能力。
1.3 项目采购清单中标人需提供安全咨询服务、安全产品配套、安全集成服务和等保测评服
2
务,依据《网络安全等级保护定级指南》对荔湾区前期摸查的 70 个电子政务信
息系统(包含一个政务云平台)进行合理定级并开展等级保护相关工作,具体
内容如下:
1. 对于定级为等保二级(含)及以上的电子政务信息系统,取得国家信
息安全等级保护主管部门出具的信息系统等级保护备案证明文件,完
成差距测评、安全整改等工作,取得符合国家信息安全等级保护主管
部门要求的验收测评报告,并最终通过国家信息安全等级保护主管部
门的测评验收,其中定级为等保三级的电子政务信息系统须确保不降
分通过第二年的年审测评(采购人对照《网络安全等级保护定级指
南》进行初步定级,等保三级系统约为 10 个,等保二级的系统约为
30 个)。
2. 对于定级为等保二级(不含)以下的电子政务信息系统,需按等保二
级标准进行整改,并提供《等保整改报告》。
3. 根据前期调研,为满足等保合规建设,安全产品需求如下:
3
序号 安全产品 用途/名称 数量 备注
1 安全设备配套
防火墙设备 20 台
2
安 全资源池配套
安全组件
服务器 5 台
中标人提供包含系统基础组件和控制管理中 心 的 防 病 毒 软件 , for linux 和 for
windows 终端杀毒软件,共 180 个授权。
3 防火墙软件
38 套
4 WAF 防护软件
5信 息 内 容 审 计 软件
6运 维操作 管 理 审计软件
7 日志审计软件8 数据库审计软件9 防病毒软件 1 套
★项目最终以 70 个电子政务信息系统达到等保有关文件要求并最终通过国家信
息安全等级保护主管部门验收为准,以上三级、二级系统数量及安全产品数量
4
均为采购人前期自查自测得出的数量,在项目实施过程中如未达到等保有关文
件和国家信息安全等级保护主管部门要求而有所增加,一并在本项目中解决,
采购人不再支付费用。
★本次招标文件中的安全产品为非进口产品(进口产品指通过中国海关报关验
放进入中国境内且产自关境外的产品)。
1.4 项目建设工期合同签订后 10 个月内,完成安全咨询服务、安全产品配套、安全集成服
务和等保测评服务的工作并通过项目初验。初验后,提供为期 1 年的项目维护
服务期且完成等保三级年审测评工作并通过项目终验。
1.5 项目建设原则本项目将按照《信息安全技术网络安全等级保护安全设计技术要求》及相
关标准和规定进行建设,因此本项目所有的工作应遵循以下原则:
1. 最小影响原则:项目实施工作应尽可能小的影响网络和电子政务信息系统
的正常运行,不能对现有网络和电子政务信息系统的运行产生明显的影响;
5
2. 标准性原则:服务方案的设计与实施应依据国内等级保护相关要求、相关
标准进行;
3. 规范性原则:工作中的过程和文档,具有很好的规范性,便于项目的跟踪
和控制;
4. 可控性原则:方法和过程要在双方认可的范围之内,安全服务的进度要按
照进度表进度的安排,保证单位对于服务工作的可控性;
5. 整体性原则:应从各个方面整体考虑,包括了安全涉及的各个层面,避免
由于遗漏造成未来的安全隐患;
6. 安全性原则:安全性设计从全方位、多层次加以考虑,即通过物理层、链
路层、网络层、系统层和应用层等安全技术措施以及安全管理来确实保证
系统的整体安全。保证各种相关的网络和系统具有相当的抗攻击性,能够
检测并及时对各种攻击行为做出响应;
7. 保密原则:对过程数据和结果数据严格保密,所有项目组成员均需签订保
密协议。6
1.6 项目建设依据本项目建设应依据《网络安全法》和等保相关标准开展工作,包括但不限
于以下政策文件和标准:
1.6.1 政府政策文件1. 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发
[2003]27号)
2. 《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
3. 《信息安全等级保护管理办法》(公通字[2007]43号)
4. 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》
(发改高技[2008]2071号)
5. 《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45号)
6. 《广东省计算机信息系统安全保护条例》
7. 《中华人民共和国网络安全法》
8. 《关于传发广东省公安机关互联网数据中心和云平台“大清查”专项行7
动方案的通知》(粤公网发[2018]75号)
9. 《关于开展 2018 年广州市网络安全执法检查工作的通知》(穗网安
[2018]6号)
1.6.2 技术标准规范1. GB/T 19716-2005 信息安全技术信息安全管理实用规则
2. GB/T 21052-2006 信息安全技术等级保护系列安全产品技术要求
3. GB/T 20270-2006 信息安全技术网络基础安全技术要求
4. GB/T 20271-2006 信息安全技术信息系统安全通用技术要求
5. GB/T 20272-2006 信息安全技术操作系统安全技术要求
6. GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求
7. GB/T 21052-2007 信息安全技术信息系统物理安全技术要求
8. GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求
9. GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南
10. GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南8
11. GB/T28449-2012 信息安全技术信息系统安全等级保护测评过程指南
12. GB/T28448-2012 信息安全技术信息系统安全等级保护测评要求
9
二、 项目具体需求本项目具体需求主要包括安全咨询服务、安全产品配套、安全集成服务和
等保测评服务需求。详细需求内容如下:
2.1 安全咨询服务需求中标人需对荔湾区 70 个电子政务信息系统提供安全咨询服务,确保采购人
能够全面把握安全体系建设的各个环节,有序开展电子政务信息系统安全体系
建设,建立持续可靠的安全保障机制。
2.1.1 等保系统调研服务在项目实施之前,中标人需安排专业的技术人员对荔湾区电子政务信息系
统进行详细的等保调研,具体调研工作包括但不限于以下内容:
序
号
等保调研项 等保调研内容
1 系统信息调
研
详细调研荔湾区现有电子政务信息系统,了解电子政务信
息系统边界、功能、服务范围、涉及部门和重要程度,并10
进行全面的差距分析和脆弱性评估,找出不足之处和安全
漏洞,为等级保护体系设计提供客观依据。
2 资产信息调
研
确定荔湾区现有电子政务信息系统中重要资产,比如服务
器、核心交换机、边界防火墙和 WAF 等资产信息。
3 服务信息调
研
通过对荔湾区现有电子政务信息系统服务信息的调查,确
定系统服务对象。
4 系统边界调
研
通过对荔湾区现有电子政务信息系统边界的调查,确定各
电子政务信息系统边界情况。
5 网络安全调
研
通过对荔湾区现有电子政务信息系统的边界访问控制、边
界入侵防范和防 web攻击等网络安全的调研,为电子政
务信息系统网络安全的建设提供依据。
6 计算环境调
研
通过对荔湾区现有电子政务信息系统的计算环境进行调
研,了解电子政务信息系统存在的问题,为电子政务信息
11
系统计算环境的安全建设提供依据。
7 云平台调研 通过对荔湾区现有政务云平台进行调研,了解云平台存在
的问题,为云平台系统的安全建设提供依据。
8 应用系统调
研
通过对荔湾区现有电子政务信息系统的应用系统进行调
研,了解电子政务信息系统存在的问题,为电子政务信息
系统应用层的安全建设提供依据。
等保系统调研交付物:
《等保系统调研汇总表》
2.1.2 等保咨询服务中标人需组建等保专家工作小组提供国家和电子政务行业信息安全等级保
护政策、法规和相关标准等咨询服务,等保咨询服务包括但不限于以下内容:
1. 信息安全等级保护咨询
通过网络安全等级保护咨询服务,确保荔湾区电子政务信息系统满足国家
非涉密信息系统合理定级,极大的缩短定级备案及测评的周期,信息安全等级12
保护咨询服务包括但不限于以下内容:
1) 协助采购人明确等保对象,确定其受到破坏后对客体造成的侵害程度;
2) 根据等级保护基本要求,确认采购人的安全需求,进行等级保护标准的
总体分析和规划设计;
3) 基于等级保护规范的实施与测评,协助采购人完成安全详细方案设计、
安全技术实施、安全管理实施和等级化测评等工作;
4) 基于等级保护规范的运行与维护,协助采购人完成操作管理和控制、变
更管理和控制、安全状态监控、安全应急、安全评估和持续改进的监督
检查等工作。
2. 信息安全管理体系咨询
信息安全管理体系是信息安全体系不可缺少的内容,中标人需结合相关标
准向采购人提供完善的信息安全管理体系咨询服务,协助采购人完善信息安全
管理体系,使信息安全体系能够在管理中得到落地,信息安全管理体系咨询服
务包括但不限于以下内容:13
1) 协助建立信息安全管理体系
2) 协助建立信息安全技术体系
3) 协助设计信息安全管理组织架构
4) 协助制定信息系统安全运维执行规范标准
5) 协助制定人员岗位、角色和职责
6) 协助制定重大安全事故应急预案
7) 协助改进和完善现有安全制度和策略
3. 日常安全管理咨询
中标人通过分析搜集最新的安全漏洞、升级补丁、安全技术最新动态、安
全产品和安全标准与法规等信息,提炼出信息通告并及时发送给采购人,日常
安全管理咨询服务包括但不限于以下内容:
1) 搜集公司产品安全通告
2) 搜集操作系统安全通告
3) 搜集应用系统安全通告14
4) 当发生病毒爆发事件时,提供技术解决建议
5) 当电子政务信息系统出现安全事件时,提供分析建议
6) 以电话、传真和电子邮件等方式响应采购人的相关安全咨询
7) 提供 7×24小时电话技术支持
8) 专员记录采购人的咨询和投诉,并及时提供反馈
9) 定期提交相应的安全咨询服务汇总
4. 安全方案设计咨询
中标人从网络结构、应用系统以及安全管理等方面提供安全解决方案咨询,
安全方案涉及咨询服务包括但不限于以下内容:
1) 系统安全设计咨询
2) 应用安全设计咨询
3) 安全持续性保障设计咨询
4) 网络结构设计咨询
15
5) 安全产品部署设计咨询
2.1.3 安全风险评估服务中标人需全面掌握荔湾区电子政务信息系统的安全状况,对电子政务信息
系统及其关键资产进行识别,并合理分类。在资产识别过程中,详细识别核心
资产的安全属性,重点评估出资产在遭受泄密、中断和损害等破坏时所遭受的
影响。
中标人需采用手工检查、安全扫描等方式对网络安全设备、主机操作系统、
政务云平台和电子政务信息系统进行脆弱性评估,安全风险评估服务包括但不
限于以下内容:序号 风险评估类别 风险评估项
1 管理体系安全风险评估 安全管理机构评估
2 安全管理制度完善与合理性评估
3 人员安全管理相关体制评估
4 系统安全建设管理体制评估16
5 系统安全运维管理体制评估
6
技术体系安全风险评估
物理层安全风险评估
7 网络层安全风险评估
8 主机安全风险评估
9 应用层安全风险评估
10
数据层安全风险评估
安全风险评估交付物:
1.《荔湾区电子政务信息系统安全评估报告》
2.《荔湾区电子政务信息系统安全加固建议书》
2.2 安全产品配套需求安全产品是构建网络安全防护体系的重要组成部分,中标人需根据等保要
求进行安全产品配套。投标人要承诺提供厂商原装、全新的、符合国家及采购
人提出的有关质量标准的设备。如果因为生产厂商无法提供的原因而提供其他
17
品牌的设备/部件,投标人应明确说明和列出产品性能和市场情况比较表,并提
出质量保证承诺。投标人在投标文件中对提供的安全产品必须给出具体的选型
依据说明,并提供有关产品说明,这些证明文件应以附件形式在投标文件中列
出。若提供的产品说明与投标文件中提供的安全产品的同一指标不一致时,应
由设备生产厂商出具相关证明,否则以产品说明为准。
2.2.1 安全设备配套本项目需采购防火墙设备部署在各单位自建机房,防火墙技术规格参数如
下:
序号产品名
称指标项 技术规格参数
1 防火墙
设备
性能指标 网络接口数:≥6 个千兆电口、4 个千兆 SFP光口
最大吞吐量:≥1.4Gbps
最大并发连接数:≥80万
每秒新建连接数:≥1.4万
18
序号产品名
称指标项 技术规格参数
SSL VPN 用户数:≥100 用户
2 系统要求
具有专用多核网络安全平台架构,一次解包分类
完成全部流量威胁分析,具备多层次并行数据包
处理能力
具有双内核系统架构,采用独立系统内核以及专
用恢复内核,在极端情况下具备自动恢复系统能
力
3 网络管理 支持透明模式、路由模式和混合模式接入
支持多子接口,支持网络接口状态实时显示,可
以图形化显示接口是否插线,接口是否启用,支
持多条件搜索接口列表
具有三层交换能力,至少支持 4000 个虚拟 vlan
19
序号产品名
称指标项 技术规格参数
接口,并且与三层接口之间混用,支持批量添
加、删除 vlan接口
能够将任一接口作为二层接口,支持与其他交换
机进行 trunk互联
支持端口冗余和链路状态探测
支持 STP(802.1d)生成树协
议,RSTP(802.1w)快速生成树协议
支持基于源地址、目的地址、接口和服务的策略
路由,支持基于路径轮询和按带宽比例分配的智
能路由选择策略
支持 ISP路由,支持最多 16 家 ISP 运营商扩展,
支持手动导入 ISP地址列表和 ISP路由显示功能,
20
序号产品名
称指标项 技术规格参数
能够提供 ISP地址列表更新导入
支持RIPv1、RIPv2 和 OSPF 的 Ipv4动态路由协
议,支持RIPng、ISISv6、BGP4+和 OSPFv3 的
IPv6动态路由协议
支持动态路由邻居信息、链路信息、网络配置和
参数设置等实时显示,可以界面化显示各类动态
路由信息,在界面路由表中可以搜索各类动态路
由表
至少支持 32张限速规则表,支持独立控制进出方
向带宽策略,支持每个接口应用不同的带宽策略
表。(提供设备界面真实截图证明,并加盖原厂
公章)
21
序号产品名
称指标项 技术规格参数
每个分类器支持源 IP地址、目的 IP地址、 服务、
用户、 时间和应用层协议等至少 6种匹配方式
(提供设备界面真实截图证明,并加盖原厂公
章)
支持根据网络接口实时流量动态调整带宽策略,
根据网络用户多少动态调整每用户带宽(提供设
备界面真实截图证明,并加盖原厂公章)
可以精确设置 TCP、UDP、ICMP连接等各种超时
时间,包括synsen
t、synrecv、finwait、closewait、lastack、ti
mewait、close、udp、udpstream、icmp 和
icmpv6。(提供设备界面真实截图证明,并加盖
22
序号产品名
称指标项 技术规格参数
原厂公章)
支持内网服务器NAT负载均衡,支持独立设置开
放服务策略,支持地址轮询、流量均衡、连接均
衡、随机选择、加权值、最快响应时间和优先权
等至少 7种服务器均衡策略(提供设备界面真实
截图证明,并加盖原厂公章)
4 安全防护 支持一体化安全策略,支持在一条策略中包含 2-7
层所有安全策略管控,包括源\目的 MAC、源\目
的 IP、源\目的端口、用户、IPv6扩展头、高层应
用防护 profile 和时间策略等
支持策略优先级随意插入技术,可指定策略插入
任意位置(提供设备界面真实截图证明,并加盖
23
序号产品名
称指标项 技术规格参数
原厂公章)
支持独立设置安全域默认行为与安全域内部默认
行为(提供设备界面真实截图证明,并加盖原厂
公章)
支持对知名WEB邮件系统进行精细化过滤控制,
支持针对发件人、收件人、主题、内容和附件等
条件进行黑白名单的过滤
支持实时主动拦截漏洞攻击、恶意软件和后门木
马等非法流量,支持检测 CEV漏洞
支持分类别精细化启用部分漏洞库(提供设备界
面真实截图证明,并加盖原厂公章)
支持自定义 http请求检测行为和 http请求报头检
24
序号产品名
称指标项 技术规格参数
查行为(提供设备界面真实截图证明,并加盖原
厂公章)
支持自定义 cookie隐藏加密(提供设备界面真实
截图证明,并加盖原厂公章)
支持防护 SYN Flood、UDP Flood、ICMP
Flood、FRAG Flood 等攻击
支持分别配置保护主机与远程主机的 SYN
flood、SYN MAX、UDP flood、ICMP flood 和
Frag Flood 等阈值,精细化控制各种DDoS攻击
防护参数(提供设备界面真实截图证明,并加盖
原厂公章)
支持防护Winnuk
25
序号产品名
称指标项 技术规格参数
e、Teardrop、Fraggle、Smurf、Land、Ping
of death、ICMP redirect 和 ICMP
unreachable 等异常包攻击
支持HTTP、FTP、SMTP、POP3 和 IMAP 等协议
的病毒防护
5 高可用性
基于标准虚拟路由冗余协议VRRP,支持主备和主
主模式,最快状态切换时间小于 1s
支持 IPv4 及 IPv6两种虚拟路由冗余
至少支持 254 个冗余备份组
6 虚拟专网 支持H2N 以及 N2N两种模式,支持 IPSec隧道
支持 IPSec VPN、PPTP VPN、GRE VPN、L2TP
VPN 和 SSL VPN,支持以上 VPN 在 IPv6 和 IPv4
26
序号产品名
称指标项 技术规格参数
协议下的使用
7 状态监控
支持图形化显示实时接口状态、实时接口流量、
实时系统负载,并支持自动实时刷新
支持图形化显示实时系统 CPU使用量、内存使用
量、磁盘使用量、网络接口负载、会话连接和内
网主机流量
8 其他 支持组织企业结构设置,支持基于角色、用户的
准入控制,支持无客户端模式的准入控制,强制
访问网络的用户进行身份认证
★具有手机配套安装的身份认证二维令APP(安
卓或 IOS版本),可通过物理二维令硬件配合手
机 APP扫描一键登录 SSL VPN 的客户端
27
序号产品名
称指标项 技术规格参数
★为保障用户登录VPN 的身份认证安全,支持二
维令身份认证方式,SSL VPN 用户的电脑VPN客
户端集成了二维令硬件扫描联动功能,可以通过
手机 APP扫描使用二维令远程登录VPN
★二维令认证必须是防火墙系统内置的安全认证方
式,投标时请提供真实可用的投标产品管理界面
二维令管理配置截图,以及物理二维令牌及包装
盒真实照片证明,并加盖公章
支持访客模式,提供访客自注册页面,可以定制
管理访客行为,支持查看在线用户与访客列表,
可强制用户下线(提供设备界面真实截图证明,
并加盖原厂公章)
28
序号产品名
称指标项 技术规格参数
9 产品资质
具备公安部第二代防火墙销售许可证(增强级)
注明支持 IPV6
具备国家保密科技测评中心颁发的《涉密信息系
统产品检测证书》
具备中国信息安全认证中心颁发的《国家信息安
全产品认证证书》(ISCCC)
安全设备配套交付物:
1.《安全设备配套实施方案》
2.《安全设备配套使用手册》
2.2.2 安全资源池配套本项目需配置虚拟安全资源池服务器、安全组件(防火墙软件、WAF 防护
软件、信息内容审计软件、运维操作管理审计软件、数据库审计软件、日志审29
计软件)和防病毒软件。虚拟安全资源池的授权需灵活共享,需支持实际业务
迁移情况随意调配,且关键核心位置为主备冗余配置。
在项目服务期内,如果荔湾区现有电子政务信息系统迁移至新云平台,虚
拟安全资源池的服务器需添加至新云平台作为计算节点使用,安全组件能够迁
移至新云平台上。
安全资源池配套参数如下:
序号产品名
称指标项 技术规格参数
安全资源池配套设备
1 安全资
源池服
务器
服务器
设备参
数
CPU :≥ 2.2GHZ,≥10核
内存:≥128GB
硬盘:≥6 个 600G 热插拔 SAS 硬盘(1万转)
阵列卡:集成 RAID控制器,支持RAID5、RAID
1、RAID0
30
序号产品名
称指标项 技术规格参数
网口配置数量: ≥2 个万兆 SFP+模块,≥2 个千
兆以太网接口
控制器:集成远程访问控制器
电源:≥2 个热插拔冗余电源
2产品资
质
《中国节能产品认证证书》
《中国国家强制性产品认证证书》(CCC认证)安全资源池配套软件
1 防火墙
软件
网络管
理
支持带宽限速、带宽保证、智能动态带宽调整和
流量优先级控制等基本功能
支持基于 Tos 的差分服务和自定义优先服务级别
至少支持 32张限速规则表,支持独立控制进出方
向带宽策略,支持每个接口应用不同的带宽策略
31
序号产品名
称指标项 技术规格参数
表(提供界面真实截图证明,并加盖原厂公章)
每个自定义类至少支持整体限速、每 IP限速、智
能均衡和 智能限制高耗等 4种管控模式
每个分类器至少支持源 IP地址、目的 IP地址、 服
务、用户、 时间和应用层协议等 6种匹配方式
(提供界面真实截图证明,并加盖原厂公章)
支持根据网络接口实时流量动态调整带宽限制策
略,根据网络用户动态调整每用户带宽(提供界
面真实截图证明,并加盖原厂公章)
支持精确设置 TCP、UDP、ICMP连接的各种超时
时间,包括synsen
t、synrecv、finwait、closewait、lastack、ti
32
序号产品名
称指标项 技术规格参数
mewait、close、udp、udpstream、icmp 和
icmpv6(提供界面真实截图证明,并加盖原厂公
章)
安全防
护
支持一体化安全策略,支持在一条策略中包含 2-7
层所有安全策略管控,包括源\目的 MAC、源\目
的 IP、源\目的端口、用户、IPv6扩展头、高层应
用防护 profile 和时间策略
支持策略优先级随意插入技术,可指定策略插入
任意位置(提供界面真实截图证明,并加盖原厂
公章)
支持独立设置安全域间默认行为与安全域内部默
认行为(提供界面真实截图证明,并加盖原厂公
33
序号产品名
称指标项 技术规格参数
章)
支持实时主动拦截漏洞攻击、恶意软件和后门木
马等非法流量,支持检测 CEV漏洞
支持自定义 http请求检测行为和 http请求报头检
查行为(提供界面真实截图证明,并加盖原厂公
章)
支持自定义 cookie隐藏加密(提供界面真实截图
证明,并加盖原厂公章)
支持防护 SYN Flood、UDP Flood、ICMP Flood
和 FRAG Flood 等统计型攻击
支持防护Winnuk
e、Teardrop、Fraggle、Smurf、Land、Ping 34
序号产品名
称指标项 技术规格参数
of death、ICMP redirect 和 ICMP
unreachable异常包攻击
支持分别配置保护主机与远程主机的 SYN
flood、SYN MAX、UDP flood、ICMP flood 和
Frag Flood 等阈值,精细化控制各种DDoS攻击
防护参数(提供界面真实截图证明,并加盖原厂
公章)
采用流式杀毒引擎,下一代病毒查杀技术,高效
病毒检测速度
支持HTTP、FTP、SMTP、POP3 和 IMAP 等协议
的病毒防护
虚拟专 支持H2N 以及 N2N两种模式,支持 IPSec隧道
35
序号产品名
称指标项 技术规格参数
网 支持 IPSec VPN、PPTP VPN、GRE VPN、L2TP
VPN 和 SSL VPN,支持以上 VPN 在 IPv6 和 V4
协议下的使用
★具有手机配套安装的身份认证二维令APP(安
卓或 IOS版本),可通过物理二维令硬件配合手
机 APP扫描一键登录 SSL VPN 的客户端
★为保障用户登录VPN 的身份认证安全,支持二
维令身份认证方式,SSL VPN 用户的电脑VPN客
户端集成了二维令硬件扫描联动功能,可以通过
手机 APP扫描使用二维令远程登录VPN
★二维令认证必须是防火墙系统内置的安全认证方
式,投标时请提供真实可用的投标产品管理界面
36
序号产品名
称指标项 技术规格参数
二维令管理配置截图,以及物理二维令牌及包装
盒真实照片证明,并加盖公章
状态监
控
支持图形化实时显示系统 CPU使用量、内存使用
量、磁盘使用量、网络接口负载、会话连接和内
网主机流量
具有系统首页看板,支持在看板图形化显示实时
接口状态、实时接口流量和实时系统负载,并支
持自动实时刷新
2 WAF 防
护软件
WEB 防
护
支持基于静态规则的白名单、黑名单设置
支持系统内置安全策略和用户自定义安全策略
支持利用漏洞攻击防护
支持爬虫防护37
序号产品名
称指标项 技术规格参数
支持暴力猜解防护
支持注入攻击防护,包括:SQL注入、代码注
入、命令注入、文件注入、LDAP注入和 SSI注入
等
支持基于 HTTP请求方法控制,包括:GE
T、DELETE、TRACE、OPTIONS、COPY、CO
NNECT、HEAD、MKCOL、MOVE、POST、LO
CK 和 PUT
支持多种类型信息泄露防护,包括:数据库信
息、服务器信息、目录信息以及其他信息泄露
支持对下载文件名、文件拓展名等进行限制和限
制用户非法获取敏感数据(比如:配置文件、数38
序号产品名
称指标项 技术规格参数
据库文件等);
支持上传内容安全检测,可根据需要对多种文件
类型进行上传限制
支持WEB、CLI串口和 SSH远程等多种方式管
理,可提供 API 开发手册,支持与其他应用系统
集成和联动
支持 SYN Flood 防护,防护内容包括:服务器访
问流量、源 IP地址、数据包属性检测等
3 信息内
容审计
软件
非法内
容审计
支持域名备案查询,快速精确查找被访问网站的
域名备案情况(提供界面真实截图证明,并加盖
原厂公章)
系统支持自定义添加查询域名后缀
39
序号产品名
称指标项 技术规格参数
支持自定义设置 IP 和 URL黑白名单,通过 IP 和
URL黑白名单设置,有条件的对 IP地址、IP地址
段和 URL地址进行实时阻断和跳转
支持HTTP 协议的文本信息进行实时监控
具有违法违规网站的发现、处置及上报功能,并
记录违法违规网站的域名、IP、服务内容、行为以
及当前状态(已处置或未处置)、处置人账号和
处置时间
支持用户自定义监控条件,命中条件的事件将会
被记录,支持关键字匹配和模糊匹配
发现违规信息后,可以通过本系统查询对应的 IP
或者域名(提供界面真实截图证明,并加盖原厂
40
序号产品名
称指标项 技术规格参数
公章)
4 运维操
作管理
审计软
件
单点登
录审计
支持 ssh、telnet、rdp 和 http/https协议的主
机访问(提供界面真实截图证明,并加盖原厂公
章)
支持对 X11、linux、unix、数据库、网络设备和
安全设备等授权账号的密码自动化周期更改
账户管
理
支持统一账户管理策略,能够实现对所有服务
器、网络设备和安全设备等账号的集中管理,完
成对账号整个生命周期的监控,并且可以对设备
进行特殊角色设置如:审计员、操作员和管理员
等权限的自定义
提供统一的认证接口,支持动态口令、静态密
41
序号产品名
称指标项 技术规格参数
码、硬件 key 和生物特征等多种认证方式,设备
具有灵活的定制接口,可以与其他第三方认证服
务器之间结合
资源授
权
提供基于用户、目标设备、时间、协议类型、IP
和行为等要素的操作授权
访问控
制
支持对不同用户进行不同策略的制定(提供界面
真实截图证明,并加盖原厂公章)
操作审
计
支持字符串、图形、文件传输和数据库等操作行
为审计;支持实时录像监控运维人员对操作系
统、安全设备、网络设备、数据库等操作行为
5 日志审
计软件
日志审
计
支持本地存储日志、syslog 多发日志,支持配置
日志归档周期
42
序号产品名
称指标项 技术规格参数
支持记录信息系统安全事件、用户访问行为、系
统运行日志和系统运行状态等各类信息
日志查
询
支持登录日志、恢复备份日志、重启关机日志、
管理员操作日志、资源告警日志、防火墙日
志、IPS 日志、防病毒日志、WEB 应用防护日
志、信息泄漏防护日志、DDOS攻击防护日志、
应用管控日志、URL访问日志、用户认证日志、
网中网监测日志和 VPN 日志
支持自定义日志任务;支持分模块、基于时间、
响应方式、协议和源地址/目的地址等纬度导出
excel 格式日志
支持配置日志审计平台或第三方日志服务器,提
43
序号产品名
称指标项 技术规格参数
供日志管理和审计功能(存储、审计、报表)
支持导出流量统计报表,支持基于应用、协议和
IP/用户流量统计
6 数据库
审计软
件行为审
计
支持数据库的操作和行为审计,实时记录网络上
的数据库活动,对数据库操作进行细粒度审计,
对数据库的风险行为进行告警,对数据库的攻击
行为进行阻断,支持对用户访问数据库行为分析
和报表生成
权限管
理
提供完善的权限管理功能,权限角色分离,用户
可根据自身状况进行权限设置,提供全面细致的
审计,针对业务层、应用层和数据库等各个层面
的一切操作进行跟踪定位,包括数据库 SQL执行
44
序号产品名
称指标项 技术规格参数
情况和数据库返回值等;提供数据表和对象的细
粒度审计策略,实现对敏感信息的精细监控
日志分
析
基于平台及数据库审计技术,不仅可提供数据库
审计系统,还能实现与云平台源码级的整合,通
过数据库审计引擎,实现数据库操作行为审计、
事件追踪、威胁分析和实时告警等多种功能防病毒软件
1 防病毒
软件
环境要
求
支持Windows Server 2008 R2/2012/2012
R2/2016 的 64 位系统版本(简体中文版)
支持Windows XP_SP3 及以上/Windows
Vista/Windows 7/Windows 8/Windows 10
★支持CentOS 7、Redhat 7 等 Linux 系统(要
求 Docker版本大于 1.8.2)
45
序号产品名
称指标项 技术规格参数
支持在虚拟机上安装控制中心
系统管
理
采用 B/S架构管理端,具备设备分组管理、策略
制定下发、全网健康状况监测、统一杀毒、统一
漏洞修复、网络流量管理、终端软件管理、硬件
资产管理以及各种报表和查询等功能
提供控制中心管理所需的相关数据信息,通讯可
选择非明文方式;提供木马病毒查杀、漏洞修复
等安全操作
支持终端保护密码,设置密码后,终端退出或卸
载杀毒、或安装控制中心,都需要输入正确的密
码方可执行,要求客户端程序具备自保功能,避
免被恶意篡改
46
序号产品名
称指标项 技术规格参数
支持网页访问部署、离线安装包部署、域推送等
部署方式,可自定义部署通知邮件及部署通知公
告
支持加密的控制中心远程访问,支持管理账户并
发数、密码有效期和鉴别失败锁定等设置
支持设置日志上报的带宽限制
支持根据分组、计算机名称、IP地址、操作系
统、在线状态等条件的组合来筛选出符合条件的
终端进行管理
支持控制中心迁移、数据备份、数据恢复;支持
多升级服务器
资产管 按终端维度展示终端的硬件、软件、操作系统、
47
序号产品名
称指标项 技术规格参数
理 网络、进程等信息;可监控CPU温度、硬盘温度
和主板温度
支持终端软、硬件变更审计,资产清单报表导出
支持统计指定分组或全网的终端扫描数、终端管
理软件安装数、未安装终端数及安装率
支持自动发现设备的 IP-MAC地址的绑定(提供界
面真实截图证明,并加盖原厂公章)
支持插件清理,按插件显示展示全网存在的插件
和涉及的终端,可清理指定或全部插件、加入信
任;按终端显示展示全网每个终端存在的插件,
可清理插件(提供界面真实截图证明,并加盖原
厂公章)
48
序号产品名
称指标项 技术规格参数
支持正版软件的正版序列号的读取功能,确保软
件正版化。(提供功能截图,并加盖公司公章)
日志报
表
支持展示全网终端健康状态、报警信息;可方便
的查看不健康、亚健康终端列表;展示全网终端
病毒库日期比例,可方便的查看全网终端病毒库
的情况
支持展示指定时间段内指定终端修复漏洞,病毒
查杀,木马查杀的情况
支持邮件报警,可以设定多种触发条件,满足条
件后自动发送邮件到相关人。邮件触发条件至少
包括:一定时间内的病毒数量阈值、一定时间内
的未知文件数量阈值、重点关注的终端发现病
49
序号产品名
称指标项 技术规格参数
毒、病毒库超期等
支持大数据引擎系统,可将全网终端日常运维数
据汇聚存储分析,并根据采购人运维管理所需的
要求定制报表
提供系统升级、热备、管理员操作、管理员远程
等系统日志
病毒、
恶意代
码、木
马防护
支持内存实时监控查毒,能够自动隔离感染而暂
时无法修复的文件
支持抢先加载防毒,在系统未加载前启动文件监
控,通常情况下不必重启到安全模式也能清除病
毒
支持文件、引导区、内存、注册表、服务、进
50
序号产品名
称指标项 技术规格参数
程、进出文件、目录、压缩文件、网页等恶意代
码、恶意样本查杀
支持电子邮件内文件检测,可清除隐藏于电子邮
件计算机病毒和恶性程序
支持对网页提供安全防护,发现网页中的危险行
为实时阻断;能够对网页挂马进行拦截,能够自
动拦截网页中的钓鱼、欺诈信息
支持拦截下载器自动下载木马程序、恶意推广程
序、盗号木马;能够拦截黑客远程控制本机
支持用户添加嵌入杀毒的应用程序;支持FlashGe
t、NetAnts、WinZip、WellGet、WinRAR 等工
51
序号产品名
称指标项 技术规格参数
具的嵌入式杀毒功能
提供 U盘等移动设备接入电脑自动检测功能,全
面拦截和清除在移动设备接入系统可能带来的病
毒木马
支持对局域网共享文件传输进行检测和查杀
支持浏览器防护,对篡改浏览器设置的恶意行为
进行有效防御,并可以锁定默认浏览器设置(提
供功能截图,并加盖公司公章)
支持检测 QQ、MSN、阿里旺旺等常用聊天软件
传输文件的安全性,确保传输文件不中毒;检测
QQ、YY、飞信等聊天软件中对方发来网址的安全
性,聊天软件传输某些文件会添加“.重命名”,
52
序号产品名
称指标项 技术规格参数
如果文件安全,将自动去除“.重命名”
支持拦截伪装成输入法程序的木马;要求拦截利
用输入法启动的木马程序
支持U盘等移动磁盘设备和电脑硬盘间文件传输
检测;支持局域网共享文件传输检测
能够实时检测和拦截攻击行为,包括改写系统关
键文件、修改注册表关键键值、感染移动存储介
质、创建系统账号
支持扫描发现文件遭破坏或被感染时触发修复流
程,修复通过公有云下载正常文件替换遭破坏的
文件
要求能够自定义时间、自定义扫描频率,自定义
53
序号产品名
称指标项 技术规格参数
扫描类型,对终端进行定时查毒,并且可以自定
义查杀病毒后的处理方式自定义
支持文件、目录和数字签名自定义黑白名单的方
式来管理全网终端的文件;支持手工导入
MD5+SHA1 的黑白名单方式,支持 txt批量导入
方式;文件被加入白名单,客户端不再查杀,加
入黑名单,客户端不可执行此文件;(提供功能
截图,并加盖公司公章)支持下发忽略白名单的
病毒扫描;支持对 windows/Linux/国产操作系统
终端的文件黑白名单和信任区在服务端统一管理;
要求支持通过数字签名或者文件名的方式分别显
示文件,方便管理员管理全网终端上报的文件;
54
序号产品名
称指标项 技术规格参数
((提供界面真实截图证明,并加盖原厂公
章))
支持按病毒、木马、终端等维度统计全网病毒感
染状况;
支持对网内未知文件云查询的控制,可以选择直
接连接互联网云查询中心查询,也可以选择采用
私有云查杀引擎完成未知文件查询
支持上报文件至少包括:文件名称、发现时间、鉴
定结果、文件大小、数字签名和文件所属源计算
机等信息
支持XP 系统的漏洞利用防御,尤其对通过文件漏
洞(尤其是 0day漏洞)的攻击行为进行有效检测
55
序号产品名
称指标项 技术规格参数
与防御;(提供界面真实截图证明,并加盖原厂
公章)
支持文件解压缩病毒查杀,支持对 zip、rar、7z
等多种格式的压缩文件查杀能力;可对压缩包层
级设置以节省终端计算资源
可对备份区、隔离区的文件进行有效管理。能够
对单个、指定的文件和全部文件,进行文件的删
除、恢复等多项管理措施
★对敲诈者病毒提供防护机制,同时可提供相关解
密工具,解密工具为自主研发(提供功能截图,
并加盖公司公章)
要求产品具备本地多引擎查杀能力,且引擎可配
56
序号产品名
称指标项 技术规格参数
置;(提供功能截图,并加盖公司公章)
支持 linux、国产操作系统杀毒(提供至少 2 个厂
商认证证书)
要求产品具备公有云与本地私有云检测能力
支持部署私有云查杀引擎,增强本地隔离网查杀
效果
要求产品具备公有云检测能力(提供界面真实截
图证明,并加盖原厂公章)
支持私有云查杀,终端威胁统一到控制中心查询
黑白并进行查杀(提供界面真实截图证明,并加
盖原厂公章)
要求支持服务器端病毒库的定时更新和手动更新57
序号产品名
称指标项 技术规格参数
两种升级模式
要求支持客户端升级时对网络带宽的保护,可以
设定服务器端最大升级带宽(提供截图,并加盖
单位公章)
补丁分
发与漏
洞修复
要求产品具有定时修复漏洞功能,同时可以设置
筛选高危漏洞、软件更新、功能性补丁等修复类
型
支持漏洞修复影响文档编辑时提醒功能
支持补丁下载安装顺序设置,可以有效节省漏洞
修复时间与减少CPU占用
支持自定义补丁排除名单,防止终端打补丁后造
成系统或业务进程崩溃
58
序号产品名
称指标项 技术规格参数
支持设置对特定分组优先进行补丁分发,一段时
间后再全网升级
支持智能屏蔽过期补丁、与操作系统不兼容的补
丁,可以查看或搜索系统已安装的全部补丁(提
供界面真实截图证明,并加盖原厂公章)
产品具备漏洞集中修复,强制修复,自动修复;
具备蓝屏修复功能(提供界面真实截图证明,并
加盖原厂公章)
产品具备漏洞集中修复过程中的流量控制和保证
带宽,补丁分发支持服务端带宽限流与客户端 P2P
补丁分发加速,有效节省外网带宽资源(提供界
面真实截图证明,并加盖原厂公章)
59
序号产品名
称指标项 技术规格参数
运维管
控
支持远程协助终端(不依赖Windows远程桌面协
议)、远程关机、重启终端;支持远程操作时锁
定屏幕、截取屏幕,远程锁定屏幕后需要输入解
锁密码才可再次使用
支持冗余有线网卡、无线网卡、3G 网
卡、MODEM、ADSL、ISDN 等设备的外联控
制;违规外联发生时可针对内外网连接状态分别
设置违规处理措施
支持终端进程红名单、黑名单、白名单功能,可
设置核心进程必须运行,也可保护核心进程不被
结束。
支持网址白名单,通过信任网址白名单可以管理
60
序号产品名
称指标项 技术规格参数
企业网络内信任的网址,加入信任后终端不再将
此网址视为威胁
支持网址黑名单,可设置终端不能访问的网址
URL,终端访问这些 URL时会被拦截,并展示拦
截记录
支持对终端各种外设(USB 存储、硬盘、存储
卡、光驱、打印机、扫描仪、摄像头、手机、平
板等)、接口(USB口、串口、并
口、1394、PCMIA)设置使用权限
支持对终端桌面系统的账号密码、本地安全策
略、控制面板、屏保与壁纸、浏览器安全、杀毒
软件检查
61
序号产品名
称指标项 技术规格参数
终端支持在线、离线策略,可同时使用在线或离
线两种状态,保证终端安全运行;支持按照域
名、操作系统、WIFI SSID 等条件匹配预先设定
好的场景策略;支持 LDAP账号的终端用户策略
模式
移动存
储介质
管理
支持管理员对入网的移动存储介质进行注册,可
以对已注册的移动介质进行管理,包括授权、启
用、停用、删除、取消注册、导出注册列表等
支持客户端自主申请移动存储介质注册,管理员
统一对申请进行审批;支持管理员设置自动审批
用户端注册请求;
支持移动存储介质读写权限划分设置,有效控制
62
序号产品名
称指标项 技术规格参数
不明来历的移动存储可能带来的病毒传播等隐患
支持移动存储介质外出管理,并可以设置外出使
用权限与有效时间
支持移动存储介质权限设为普通设备与加密设
备,可设置是否允许网外使用;
XP 防护 支持针对 Windows XP 系统可带来安全隐患的设
计机制进行加固性修复,至少支持 10 以上防护机
制;(提供界面真实截图证明,并加盖原厂公
章)
支持Windows XP热补丁修复,支持热补丁引
擎;
支持安全沙箱技术,可对 word、excel、ppt 等
63
序号产品名
称指标项 技术规格参数
程序进行沙箱隔离运行
支持系统 IE 降权,防止黑客利用 IE浏览器提权渗
透;(提供界面真实截图证明,并加盖原厂公
章)
资质要
求
提供公安部颁发的《计算机信息系统安全专用产
品销售许可证》内网主机监测(一级)资质证书
提供中国信息安全测评中心颁发的《国家信息安
全测评信息技术产品安全测评证书 EAL2》资质证
书
具备该软件产品的软件著作权,并提供相关的
《计算机软件著作权登记证书》资质证书
提供连续 2 年及以上入选Gartner 终端安全魔力
64
序号产品名
称指标项 技术规格参数
象限证明文件
8 安全资
源池系
统资质
产品资
质
《计算机信息系统安全专用产品销售许可证》
《国家信息安全测评信息技术产品安全测评证
书》EAL3+级
国产品牌非OEM,提供软件著作权证书复印件,
提供原厂授权
国产自主知识产权,至少支持
VMware、KVM、XEN 三种主流虚拟化软件中其
中一种虚拟化软件。
通过国家工信部 CSIP“代码扫描”与“确认测
试”,获得 工信部“自主原创测评”认证。
国家“可信云服务”认证65
序号产品名
称指标项 技术规格参数
通过国家公安部“增强级”安全销售许可,信息
系统安全等级三级等保认证
CMMI 3 级软件开发成熟度认证证书
安全设备配套交付物:
1.《安全设备配套实施方案》
2.《安全设备配套使用手册》
2.3 安全集成服务需求为提升电子政务信息系统安全防护的能力,确保电子政务信息系统安全合
规运行,中标人需针对荔湾区 70 个电子政务信息系统提供包括但不限于以下的
安全集成服务内容:
2.3.1 等保集成服务中标人需提供等保集成服务并协助电子政务信息系统技术人员对应用程序
和数据库存在的高风险项进行安全整改,确保 70 个电子政务信息系都满足等保66
二级及以上的标准要求,达到以下效果:
1) 能有效地检测和防御互联网病毒感染行为,防止内部服务器及数据
被窃取破坏,并完整记录涉及敏感信息的操作日志,以便事后追溯;
2) 能及时发现和修补系统漏洞,保障系统安全;
3) 优化网络运行管理,规范网络行为,检测非法授权外联和内网接入
行为;
4) 加强终端用户管理,实现资产管理,补丁管理、上网行为管理等;
5) 能对上网行为、网络内容以及异常行为进行监控审计,防止敏感信
息外泄;
6) WEB 网站不会被非法篡改和破坏;
7) 规范系统安全基线配置,提高系统全面的防护能力;
8) 能对各种应用服务器的运行状况进行健康监控,在出现故障或超过
监测的阈值时,会产生相应的告警。
等保集成服务包括但不限于以下内容:67
1. 技术整改需求
中标人依据等级保护差距测评结果,进行进行一系列的安全整改建设,包
括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、
抗抵赖、软件容错、资源控制、结构安全、边界完整性检查、入侵防范、恶意
代码防范和网络设备防护。
2. 管理整改需求
所谓“三分技术,七分管理”,技术和产品是基础,安全管理是关键。中
标人协助采购人建立统一的信息安全管理体系,落实各项管理制度。安全集成
服务的安全管理方案设计从安全管理制度、安全管理机构、人员安全管理、系
统建设及运维管理等方面进行系统规划设计,让荔湾区的安全管理体系符合宏
观的设计、清晰的责任权限和合理的制度要求。
等保集成服务交付物:
1.《等保技术整改方案》
2.《等保技术整改报告》
68
3.《等保管理文档》(含安全管理制度、安全管理机构、人员安全管理、
系统建设及运维管理五个类别多份安全管理文档)
2.3.2 安全应急服务1. 安全应急预案服务
任何系统的运行都会存在一些不可预见的安全风险因素,这些因素的产生
有可能会影响荔湾区电子政务信息系统的正常运行,甚至会引起业务中断、系
统瘫痪、数据破坏或失窃等严重的问题。中标人需针对本项目提供应用系统故
障、网络病毒事件、黑客攻击事件的应急预案,包括但不限于以下要求:
应用系统故障应急预案要求:应用系统故障的发生时,应用系统管理员需
要第一时间通知中标人。中标人接到应用系统故障报告时,中标人应第一时间
配合系统管理员对故障所涉及的范围和需要修复的时间进行评估的能力。如果
是严重故障,无法立刻修复,则升级事件响应,报告信息安全领导小组,由信
息安全领导小组协调相关应急处理工作人员向受系统故障影响的其他部门发送
应用系统暂停服务的通知,中标人到现场支持信息系统修复;故障修复完成,
69
中标人及时配合应用系统管理员整理报告事件故障的原因,恢复服务后由信息
安全领导小组通知受影响部门服务已经恢复,中标人对此次故障进行记录,如
果是应用系统程序编写原因,则应由软件公司对程序进行全面检查和测试,防
止类似事件再次发生。
网络病毒事件应急预案要求:当发现不良信息或网络病毒时,中标人应配
合信息系统管理员立即作出处理操作,终止不良信息或网络病毒传播,采取隔
离网络等措施,及时杀毒或清除不良信息,并追查不良信息来源。如果是事态
或后果严重的,应及时报告信息安全领导小组或相关负责部门。处置结束后,
中标人应将事件经过、影响范围、处置结果做相应的记录,在应急工作结束后
一日内通过书面报告方式向信息安全领导小组汇报网络病毒事件的应急内容。
黑客攻击事件应急要求:当发现网络被非法入侵、网页内容被篡改,应用
服务器上的数据被非法拷贝、修改和删除时,应用系统管理员应断开网络,并
立即报告信息安全领导小组。接报告后,信息安全领导小组指令中标人核实情
况,关闭服务器或系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破
70
的登陆帐号,阻断可疑用户进入网络的通道。协助信息系统管理员及时清理系
统,恢复数据、程序,恢复系统和网络正常;情况严重的,应上报市局应急领
导小组或有关负责部门。处置结束后,中标人应将事件经过、影响范围、处置
结果做相应的记录,在应急工作结束后一日内通过书面报告方式向信息安全领
导小组汇报黑客攻击事件内容。
应急预案演练要求:模拟电子政务信息系统遭遇应用系统故障、网络病毒
和黑客攻击等事件的应急处理。全体演练人员按照预先制定的方案及流程进行
有针对性的演练。通过演练使相关技术人员进一步熟悉电子政务信息系统遭遇
应用系统故障、网络病毒和黑客攻击等事件的应急处置流程和方法,提升荔湾
区政务电子政务信息系统的安全管理水平。随着网络规模的不断扩大,网络承
载的信息会不断增多。在运维工作中,中标人协助采购人继续完善相关措施,
落实责任,并开展有特定目标的网络信息运维安全演练,使荔湾区网络信息安
全运维工作常态化,不断增强荔湾区网络与信息安全意识和应急能力。
2. 安全应急响应服务
71
应急响应,在指定时间内响应或处理完毕采购人认为需要进行紧急处理的
事件。中标人应具备应急安全解决能力,提供等保安全应急解决方案。在电子
政务信息系统及机房互联网出口出现安全事件时,中标人需确保能提供持续服
务能力,包括但不限于以下能力:
1) 提供分布式 DNS解决办法及案例,确保电子政务信息系统域名解释持
续运作;
2) 具备 DDoS攻击防护服务能力及案例,确保电子政务信息系统对公众
服务能力;
3) 具备互联网出口紧急扩容预案及提供能力,确保电子政务信息系统发
生外部攻击而不会造成网络拥塞情况;
4) 具备电子政务信息系统异地系统灾备能力。
中标人应阐述应用系统、数据库等网络病毒和黑客攻击等事件的应急响应
措施,应急响应措施包含但不限于如下要求:
服务在线支持:中标人需具备 7*24小时的应急在线支持服务;72
远程应急响应:中标人在接到采购人的电话、Email 等方式的请求后,需通
过电话、Email、远程协助等方式查找事发原因并解决相应的问题,问题解决后
需出具详细的应急响应服务报告;
现场应急响应:中标人应具备市内 2小时到现场的技术支持服务能力,问
题出现之后需在第一时间委派工程师协助采购人查找故障原因并解决故障问题,
收集故障信息,整理故障报告。
应急响应内容:中标人需提供包括远程应急响应服务和本地应急响应服务
等内容,其主要包括但不限于以下内容:序
号
应急项 应急内容
1 安全隐患检
查
通过日志信息和其他信息,检查后门程序和网络系统漏
洞,消除其会受到攻击的可能性。
2 安全日志检
查
通过检查系统、防火墙和路由器等系统的安全日志,为确
认攻击来源和攻击手段以及调查取证提供必要的条件。
73
3 入侵者追踪 通过所能得到的信息追踪入侵源,并记录其尽可能多的信
息,为调查取证提供条件。
4 主机恢复 在采购人电子政务信息系统的网络或主机受到攻击并且出
现网页被篡改或系统丢失等恶性事件后,在系统网络管理
人员的协助下,中标人需第一时间对应用系统或操作系统
进行恢复,保证电子政务信息系统的可使用。
5 网络恢复 荔湾区电子政务信息系统的核心交换机、路由设备等网络
设备出现问题时,在确定是受到攻击所造成的情况下,在
经过荔湾区授权后,中标人需第一时间对网络设备进行恢
复,保证荔湾区电子政务信息系统网络资源可使用。
安全应急服务交付物:
1) 《荔湾区电子政务信息系统应急响应预案》
2) 《荔湾区电子政务信息系统安全应急演练方案》
74
3) 《荔湾区电子政务信息系统安全应急演练报告》
4) 《荔湾区电子政务信息系统应急响应过程文档》
2.3.3 安全年审配套服务为了保障采购人电子政务信息系统安全持续运营,项目初验后,中标人在
电子政务信息系统通过等保三级测评验收后,第二年需提供年审测评一揽子包
干服务,包含合规评估、集成服务和第三方测评机构测评等服务等内容。
安全年审配套交付物:
1. 《测试问题记录表与整改意见建议》
2. 《等保技术整改方案》
3. 《等保技术整改报告》
4. 《等保管理文档》
5. 《等保验收测评报告》
2.4 等保测评服务需求中标人配合第三方测评机构对采购人项目建设进行测评,确保其所属的电
75
子政务信息系统达到国家非涉密信息系统各类等级保护建设要求。
2.4.1 等保测评要求中标人需配合采购人开展电子政务信息系统等级保护测评工作,通过演示、
答疑等方式将政务信息系统的安全技术内容和安全管理内容准确高效的传递给
第三方测评机构,确保通过等级保护测评。
第三方测评机构需具备广东省信息安全等级保护工作协调小组办公室颁布
的“信息安全等级保护测评机构推荐证书”资质,测评工程师需具备“信息安
全等级测评师”资质。
2.4.2 等保测评目标等级保护工作的目的是建立健全荔湾区现有电子政务信息系统信息安全等
级保护机制,对已有已建信息系统作等级保护测评,找出差距并进行安全整改
与测评验收,使荔湾区现有电子政务信息系统在技术和管理上达到等级保护的
要求,进一步提升荔湾区电子政务信息系统的信息安全工作水平。
2.4.3 等保测评依据
76
第三方测评机构需依据《GB/T28448-2012 信息安全技术信息系统安全等级
保护测评要求》和《GB/T28449-2012 信息安全技术信息系统安全等级保护测评
过程指南》来开展测评工作。
2.4.4 等保测评方法等级测评方法是指第三方测评机构的测评工程师在测评实施过程中所使用
的方法,包括工具测试、配置检查、人员访谈、实地察看和文档审查。具体描
述如下:
1. 工具测试
第三方测评机构的测评工程师需利用漏洞扫描等专业技术工具,从网络的
不同接入点对网络内的主机、服务器、数据库、网络设备和安全设备等进行脆
弱性检查和分析。
2. 配置检查
第三方测评机构的测评工程师需根据测评结果记录表格内容,通过登陆系
统控制台的方式,人工核查和分析主机、服务器、数据库、网络设备、安全设
77
备和应用系统的安全配置情况。
3. 人员访谈
第三方测评机构的测评工程师需通过对荔湾区相关人员进行访谈,了解和
获取电子政务信息系统安全技术的功能、策略和机制的设置及其实际运行情况,
以及系统安全管理的策略、措施的设置和执行效果。
4. 实地查看
第三方测评机构的测评工程师需根据信息系统的实际情况,测评人员到系
统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安
全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否
达到了相应等级的安全要求。
5. 文档审查
第三方测评机构的测评工程师需通过检查设计资料、管理文档、运行日志、
登记资料等安全技术和管理相关文档是否齐备,检查信息系统被测安全技术的
功能、策略和机制的设置和实际运行,以及被测安全管理的策略、措施的设置78
和实际执行情况以及文件的完整性和这些文件之间的内部一致性。
2.4.5 等保测评过程服务在等保测评过程中,中标人对荔湾区 70 个电子政务信息系统提供等保系统
定级、等保系统备案、等保差距分析和等保测评支撑服务,具体服务内容包括
但不限于以下内容:
1. 等保系统定级
中标人需组建等保专家工作小组,以用户为主导,等保专家工作小组对荔
湾区现有的电子政务信息系统进行充分的调研分析,具体分析工作包括但不限
于以下内容:
序号 定级流程 工作内容
1 业务类型分
析
通过对荔湾区现有电子政务信息系统的业务类型进行分
析,确定各系统的重要性。
2 管理机构分
析
通对荔湾区现有电子政务信息系统的管理机构进行分
析,确定安全管理机构设置的合理性。79
3 业务信息分
析
通过以上调查与分析,明确业务信息(系统数据)被破
坏后受侵害的客体(公民、法人和其他组织的合法权
益,社会秩序、公共利益,国家安全)和侵害程度。
4 系统服务分
析
通过以上调查与分析,明确系统被破坏或者中断服务后
受侵害的客体(公民、法人和其他组织的合法权益,社
会秩序、公共利益,国家安全)和侵害程度。
5 综合分析 通过对业务信息分析与系统服务分析,分别确定其安全
等级。
6 确定等级 取荔湾区电子政务信息系统业务信息安全等级与系统服
务安全等级中最高级为整个系统安全等级。
7 撰写定级报
告
通过以上调查与分析,撰写系统定级报告,包括系统描
述、业务信息安全保护等级的确定、系统服务安全保护
等级的确定和整个系统安全保护等级的确定等内容,最
80
终完成等保定级工作。
等保系统定级报告交付物:
《系统定级报告》
2. 等保系统备案
中标人需组建等保专家工作小组,以用户为主导,协助采购人编写《备案
申请表》、《信息系统拓扑结构》、《信息安全组织机构与岗位职责》和《信
息安全等保设计方案》,完成等保备案流程工作,确保采购人获得等级保护备
案证明文件。
等保系统定级备案交付物:
(1)《备案申请表》
(2)《信息系统拓扑结构》
(3)《信息安全组织机构与岗位职责》
(4)《信息安全等保设计方案》
81
(5)《等级保护备案证明文件》
3. 等保差距测评
中标人需配合第三方测评机构,根据等级保护相关标准,进行网络及业
务系统等级保护差距测评。差距测评主要是比较分析信息系统安全防护能力与
等级要求之间的差距,为等级化体系设计提供依据,从技术上的物理安全、网
络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机
构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面
分别进行差距分析。
具体技术差距测评包括但不限于以下内容:序
号
服务类别 服务内容
1 物理安全 物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、
防火、防水和防潮、防静电、温湿度控制、电力供应和电磁
防护等内容。2 网络安全 网络架构安全与网段划分、网络访问控制、网络安全审计、
82
边界完整性检查、网络入侵防范、恶意代码防范和网络设备
防护等内容。3 主机安全 结构安全与网段划分、网络访问控制、网络安全审计、边界
完整性检查、网络入侵防范、恶意代码防范和网络设备防护
等内容。4 应用安全 身份鉴别、访问控制、安全审计、通信完整性、通信保密
性、抗抵赖、软件容错和资源控制等内容。5 数据安全 数据在采集、传输、处理和存储等内容。
具体管理差距测评包括但不限于以下内容:序
号
服务类别 服务内容
1 安全管理制
度
评估安全管理制度的制定、发布、评审和修订等情况,主
要涉及安全主管人员、安全管理人员、各类其它人员、各
类管理制度和各类操作规程文件等内容。
83
2 安全管理机
构
评估安全管理机构的组成情况和机构工作组织情况,主要
涉及安全主管人员、安全管理人员、相关的文件资料和工
作记录等内容。3 人员安全管
理
评估机构人员安全控制方面的情况,主要涉及安全主管人
员、人事管理人员、相关管理制度和相关工作记录等内
容。4 系统建设管
理
评估系统建设管理过程中的安全控制情况,主要涉及安全
主管人员、系统建设负责人、各类管理制度、操作规程文
件和执行过程记录等内容5 系统运维管
理
评估系统运维管理过程中的安全控制情况,主要涉及安全
主管人员、安全管理人员、各类运维人员、各类管理制
度、操作规程文件和执行过程记录等内容。
等保差距分析交付物:
84
《测试问题记录表及整改建议》
4. 等保测评支撑
采购人在进行电子政务信息系统测评的时候,中标人需提供的支撑服务包
括但不限于以下内容:
1) 中标人陪同第三方测评机构测评工程师进入机房,并介绍机房相关设施
的配备及使用情况,测评工程师根据测评的标准记录现场情况;
2) 中标人配合第三方测评机构测评工程师在网络设备上执行相应的操作、
命令,检查被测设备,如网络访问控制、网络安全审计、边界完整性检
查、网络入侵防范、网络设备防护等做必要配置;
3) 中标人配合第三方测评机构测评工程师对主机、数据库、中间件的管理
人员配合在主机或数据库上执行相应的命令,检查被测操作系统重要操
作,如令牌的使用、帐户认证、密码管理、登录限制、身份标识和鉴别、
主体和客体的访问控制、用户授权、安全审计、报警、监控、系统保护、
恶意代码防护、剩余信息保护、资源控制等做必要配置;
85
4) 中标人需提供被测系统重要数据备份与恢复操作的情况;
5) 中标人需配合采购人提供相关的管理制度、运维手册、操作日志,同时
介绍应用维护相关的工作方法、流程,帮助测评工程师了解应用系统的
结构及使用方法;
6) 中标人需配合采购人介绍荔湾区安全管理机构、网络安全管理制度、系
统人员管理、系统建设管理和系统运维管理等情况,配合完成相关访谈
工作;
2.4.6 第三方测评机构服务第三方测评机构需提供安全技术测评服务和安全管理测评服务,具体服务
包括但不限于以下内容:
1. 安全技术测评服务
1) 物理安全
物理安全测评主要对象为物理机房。在测评过程中,第三方测评机构测评
工程师需重点关注冗余电力供应等对系统可用性提供保障的控制点。
86
2) 网络安全
网络安全测评重点对网络中的核心交换机、防火墙、处于网络边界的重要
网络设备进行配置检查。在网络结构安全测评中,第三方测评机构测评工程师
需重点关注网络设备的冗余设置是否可以为系统的可用性提供保障。
3) 主机安全
主机安全是对服务器的操作系统及数据库进行测评,被测的服务器涉及所
有的业务类型,对于同一业务类型中功能、配置相同的服务器,第三方测评机
构测评工程师需采用抽样的方式进行测评。
4) 应用安全
第三方测评机构测评工程师需对电子政务信息系统采取的应用安全测评内
容有身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错和
资源控制等内容。
5) 数据安全
第三方测评机构测评工程师需从业务数据的完整性、保密性、备份与恢复
87
三个方面进行数据安全测评。
2. 安全管理测评服务
第三方测评机构测评工程师需采用访谈、制度文件和记录文件审查的方
式进行安全管理制度的测评。安全管理测评包括但不限于以下内容:
1) 安全管理制度
2) 安全管理机构
3) 人员安全管理
4) 系统建设管理
5) 系统运维管理
3. 等保测评交付物
第三方测评机构服务交付物:
1) 测试问题记录表及整改建议
2) 信息系统安全等级测评报告
88
三、 项目实施和服务需求3.1 项目实施管理
中标人应充分分析投标项目的建设要求,提出完整的项目管理、培训、项
目实施、项目验收、技术支持方案。
中标人应书面明确实施投标项目的人员配置管理计划,包括组织结构、项
目负责人、组成人员的资历信息、类似项目的经验及分工职责。具体实施内容
如下:
1. 等保系统调研:中标人通过现场进行电子政务信息系统的调研和分析,
撰写《调研系统汇总表》;
2. 等保定级备案:中标人组建等保专家工作小组,结合《调研系统汇总
表》与等级保护相关技术要求,对电子政务信息系统进行合理定级,撰
写《信息系统安全等级保护定级报告》和《信息系统安全等级保护备案
表》等备案材料,并负责向公安主管等保备案的部门提交备案材料,确
保完成电子政务信息系统的定级备案工作;89
3. 等保差距测评:中标人协助第三方测评机构针对荔湾区电子政务信息系
统的物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复
5 个技术层面以及安全管理制度、安全管理机构、人员安全管理、系统
建设管理、系统运维管理 5 个管理层面进行现场测评和差距分析,记录
相关的测评信息,输出《测试问题记录表及整改建议》;
4. 整改方案制定:中标人依照《测试问题记录表及整改建议》中的整改建
议,结合荔湾区电子政务信息系统等保定级的实际情况制定《信息系统
安全等级保护建设方案》;
5. 安全技术整改:中标人按照等级保护要求,开展电子政务信息系统技术
层面安全整改工作,包括但不限于主机安全整改、物理机房安全整改、
网络设备安全整改、应用安全整改和数据库安全整改等内容;
6. 安全管理整改:中标人针对项目标的的各类安全管理需求,从人员安全
管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等内
容,制定安全管理人员或操作人员的操作章程,结合等级保护要求,建
90
立符合国家标准的信息安全管理体系文件,最终形成本次项目标的安全
管理体系,应用于实际工作之中,包括但不限于信息安全管理制度、备
份恢复管理制度、变更管理制度、密码管理制度、设备管理制度、系统
运维管理制度等制度体系。
7. 安全应急响应:在建设期及运维服务期,提供安全事件应急响应服务,
输出《荔湾区电子政务信息系统应急响应预案》和《荔湾区电子政务信
息系统应急响应过程文档》;
8. 等保测评验收:由中标人负责与第三方测评机构测评工程师进行沟通,
开展信息安全等级保护测评,完成安全测评前准备、现场测评、测评结
果整改等工作,并确保最终通过等级保护测评机构的测评验收,输出
《信息安全等级保护测评报告》;
9. 等保护航服务:在等保护航服务期限内配合公安机关及上级主管单位对
通过测评的电子政务信息系统开展安全检查工作。
3.2 项目团队管理91
中标人需承诺成立不少于 3 人等保专家工作小组:专责对采购人的电子政
务信息系统进行等保调研和等保评估分析;协助荔湾区对电子政务信息系统进
行优化整合;编写等保合规设计方案,完成等保实施工作。
中标人须承诺在项目建设期间至少提供 5名技术人员负责项目实施。
中标人必须提供投标项目的详细工作日程表和人员配备方案,明确工作地
点和起止时间,并经采购人审核、批准。
中标人在项目实施过程中必须配备足够的项目人员并保证人员稳定,任何
变更应书面征得招标人的同意。对此中标人必须无条件接受采购人的监督检查,
并承担人员不足、不到位所导致的相关质量、进度等违约责任。
中标人在项目实施过程中出现资源、进度、质量协调控制不力的情况,采
购人有权要求更换相关项目人员,中标人必须予以配合,并确保不影响项目建
设的进度和质量。
为了验证项目中的质量保证活动是否符合计划要求,同时检查质量保证体
系的有效性,以不断完善质量保证体系,中标人内部需建立全面的审核制度,92
配备专门的质量保证人员开展质量保证活动。
3.3 项目进度管理中标人需提供相应的项目计划书,需按阶段分解实施内容,明确需要采购
人协调与配合的事项,并经采购人审核、批准。
采购人有权监督和管理项目的各项工作,中标人必须接受并服从采购人的
监督和管理,无条件提供项目过程的工作文档。
中标人在项目实施过程中应加强问题管理,采购人提出的问题应在约定的
时间内解决,并提交书面汇报,否则由此导致的项目进度延迟责任由中标人承
担。
3.4 项目沟通管理中标人必须在投标文件中详细明确项目沟通计划,确保中标人与采购人之
间信息沟通顺畅。
双方技术人员需要保持邮件等方式的沟通,就过去遇到问题情况作总结汇
报和交流,明确每一步工作的方案,以提高和改善服务质量,并根据需求对安
93
全实施方案不断进行完善;善于发现潜在和细小问题,防患于未然。
对于任何安全事件的紧急情况,如有必要,应协调相关部门负责人、技术
人员,无论何时何地,根据需要召开安全紧急会议,重点处理安全紧急问题,
以保证问题得到及时解决。
3.5 项目质量管理中标人需提交正式的项目质量计划,明确项目实施的质量要求。中标人必
须接受采购人的质量监督检查,提供真实有效的相关项目实施质量记录、证据,
无条件接受采购人提出的合理质量问题整改要求,承担项目实施质量责任及因
质量问题导致的项目进度延迟责任。
3.6 项目交付物中标人须根据《网络安全等级保护基本要求》,结合采购人单位信息主体
及版本控制,提供相应的安全管理制度文档和项目实施文档,建立专门的项目
档案库,确保项目资料管理齐全。荔湾区电子政务信息系统等级保护服务项目
文档交付物包括但不限于以下文档:
94
1) 等保系统调研汇总表
2) 安全设备配套实施方案
3) 安全设备配套使用手册
4) 安全资源池实施方案
5) 安全资源池使用手册
6) 安全培训资料
7) 等保技术整改方案
8) 等保技术整改报告
9) 等保安全管理类文档(含安全管理制度、安全管理机构、人员安全管理、
系统建设及运维管理五个类别多份安全管理文档)
10) 荔湾区电子政务信息系统安全应急预案
11) 荔湾区电子政务信息系统应急响应报告
12) 系统定级报告
95
13) 备案申请表
14) 信息系统拓扑结构
15) 信息安全组织机构与岗位职责
16) 信息安全等保设计方案
17) 测试问题记录表及整改建议
18) 荔湾区电子政务信息系统安全评估报告
19) 荔湾区电子政务信息系统安全加固建议书
20) 信息系统安全等级测评报告
3.7 项目验收(一)项目初验
合同签订后,中标人依据《网络安全等级保护定级指南》在 10 个月内对荔
湾区 70 个电子政务信息系统合理定级并完成以下工作之后完成初验:
1) 定级为等保二级(含)及以上的电子政务信息系统,取得国家信息安全
等级保护主管部门出具的信息系统等级保护备案证明文件,完成等保差96
距测评、整改等工作,取得出具的符合国家信息安全等级保护主管部门
要求的验收测评报告,并最终通过国家信息安全等级保护主管部门的测
评验收,其中定级为等保三级的电子政务信息系统须确保不降分通过第
二年的年审。
2) 定级为等保二级(不含)以下的电子政务信息系统,按等保二级标准进
行整改,并提供《等保整改报告》。
(二)项目终验
项目运维服务期满,定级为等保三级的电子政务信息系统不降分通过第二
年的年审测评并通过第三方符合性验收。
3.8 安全培训服务中标人应负责对采购人的相关系统管理员进行全面的安全基础培训,提升
其安全技术操作水平和解决安全问题的能力。中标人需提供培训资料、详细的
培训课程以及时间表交给采购人,征得采购人同意后才能进行培训。对于所有
培训,中标人必须派出具有安全认证资质且三年以上工作经验的讲师,培训所
97
使用的语言必须是中文。具体培训内容包括但不限于如下内容:
1. 安全产品培训
面向安全产品的使用人员,从安全技术的原理对特定安全产品的功能、性
能和使用进行阐述和培训。
1) 安全评估分析介绍
2) 安全审计分析介绍
3) 防火墙系统介绍
4) 防病毒系统介绍
5) 安全网络构架介绍
2. 安全意识培训
面向普通工作人员,普及安全的基本知识,灌输安全意识。
1) 网络安全的定义介绍
2) 病毒/木马的侵害及解决方法介绍
3) 暴力破解密码及解决方法介绍98
4) 钓鱼邮件的侵害及解决办法介绍
5) 数据泄露的侵害及解决方法介绍
3. 系统安全培训
面向具有 UN WINDOWSⅨ 系统管理基础的技术人员,掌握各种主流操作
系统上所需的安全策略、各种安全防御工具等技能。
1) 常见UNIX/WINDOWS 系统安全配置和管理介绍
2) 常见 UNIX/WINDOWS后门及分析介绍
3) 常见 UNIX/WINDOWS漏洞类型分析介绍
4) 常见 UNIX/WINDOWS 安全案例分析介绍
4. 等保合规培训
面向各系统管理人员,普及等保合规的基本知识,灌输等保合规意识。
1) 物理安全介绍
2) 网络安全介绍
3) 主机安全介绍99
4) 应用安全介绍
5) 数据安全介绍
6) 安全管理制度介绍
7) 安全管理机构介绍
8) 人员安全管理介绍
9) 系统建设管理介绍
10) 系统运维管理介绍
3.9 售后服务质保服务是产品的原厂售后服务,所有产品均需提供 1 年质保服务,质保
期自本项目通过项目初验之日起开始计算。
1. 质保期内,所有产品的质保均为免费;
2. 质保期内,所有产品提供 7 x 24小时网上在线响应服务,网上在线无法
解决的售后问题,4小时内中标人技术人员需到达现场进行维护。其它
一般问题应在 24小时内解决,如遇重大问题或其它无法迅速解决的问100
题应在 36小时内解决或提出明确解决方案。
3.10 付款方式1. 合同签订生效后的 30 个工作日内,采购人向中标人支付合同总额的
15%;
2. 项目初验通过后的 30 个工作日内,采购人向中标人支付合同总额的
60%;
3. 项目终验通过后的 30 个工作日内,采购人向中标人支付合同总额的
25%。
说明:
1)以上 30 个工作日均从采购人收到中标人发票等报账材料之日起;
2)本项目的资金来源涉及到财政拨款,具体支付由财政局按有关规定执
行,采购人不承担由此造成的支付迟缓及偏差责任。
101