昆明航空有限公司一体化安全项目供应商征集公告
| 发布时间 | 2020-11-25 | 项目编号 | 点击查看 |
| 招标预算 | 详见内容 | 资质要求 | 点击查看 |
采购规模走势
|
点击查看 | 招标方式
|
点击查看 |
| 潜在报名单位
|
点击查看 | 潜在中标人
|
点击查看 |
| 招标单位 | 点击查看 | ||
| 代理机构 | 点击查看 | ||
| 招标状态 | 详见内容 | ||
设置中标提醒
(略) (以下简称“昆航”) * 体化安全项目, (略) 立项,现公开征集实施方案及项目供应商。
项目名称
(略) * 体化安全项目。
项目背景
为落实等级保护“ (略) , * 重防护”的网络安全整体目标( (略) 、 (略) 络、安全区域边界、安全计算环境),特启动项目的供应商征集工作。
项目目标
项目建设能够在统 * 安全策略下防护 (略) 有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击,以及其他相当危害 (略) 造成的主要资源损害,能够及时发现、 (略) (略) 置安全事件。此外本项目作为安全策略及安全计算环境、安全区域边界 (略) 络的安全机制实施统 * 管理的系统平台,可以实现统 * 管理、统 * 监控、统 * 审计、综合分析和协同防护。
建设原则
系统方案的整体设计应遵循如下原则,并在方案中逐条详述。
整体规划,分步实施
项目方案应遵循全盘考虑、分阶段实施的原则。方案设计上应充分考虑与其他安全系统的连接,包括数据的采集和引用,资源的共享与复用等;同时,充分考虑服务器和终端个数、流量、数据量、数据扩展对整体架构的影响。
标准 * 致
遵循昆航航项目建设相关技术标准,遵循数据标准、数据质量、数据安全等相关数据管理要求。
先进性与实用性结合
随着当前科技的迅猛发展,新技术不断涌现,在本项目的建设过程中也可能会出现新的概念、技术和设备。方案的设计应当充分考虑现有的技术储备及未来技术的发展趋势,建议方案应该做到既充分保护原有的技术投资,也能够为今后的系统扩展做好准备。
集约要求
建议方案能充分考虑昆航现有各类信息设备,最大程度与其充分联动,能够发挥现有设备的最大使用价值。
开放性、可扩展性
在选择实现技术、总体架构设计时,应考虑可以支持多种硬件平台,并采用通用的软件开发平台、第 * 方开放的组件产品,并保证实施后的系统具备良好的可扩展性与可移植性。 (略) 理的灵活配置,支持业务功能的灵活重组与更新,提供 * 次开发的开放接口。
可靠性、安全性、易用性、可维护性
可用性方面,需满足7* * 小时对外服务,综合可用性要高于 * . * %。安全性方面,因本项目涉及安全、数据等领域,在不影响性能的同时,建议方案中应 (略) (略) (略) 安全。硬件架构要求支持无缝硬件资源扩展,充 (略) 络等环境资源,利用成熟的图形界面技术和经验,保证界面 (略) 、易于使用、维护简单、实用。
征集内容
项目目标
本次项目建设为完成如下目标,供应商应为昆航提供相应的硬件、管理平台、服务、标准化流程等,
序号 | 功能模块 | 功能简介 |
1 | 态势感知平台 | 1.信息安全事件管理;2.信息安全?险管理;3.与其他信息安全设备系统集成联动;4.独立的DDOS防流量攻击平台;5.主机防篡改平台;6.能够与现有的华为、ONE APM 深度融合主动监控报警;7.各安全设备、系统可以与态势感知平台联动; |
2 | (略) 络设 (略) | 1. (略) 络设备资产收集;2. (略) 络设备脆弱性管理;3. (略) 络设备安全监控;4. (略) 络设备病毒防护;5.已有和新建的安全设备、安全系统等可以 (略) 集成联动;6、主动情报管理,提供动态跟踪 防护能力(病毒、攻击等);7.通过产品、服务等对防火墙、入侵防御系统等边界 (略) 优化,完全满足等级保护 * 级中有关安全边界防护的要求; |
3 | (略) 络核心交接机及路由器信息设备 | 1.将基地大楼现有两台思科 C * 设备更换为更高性能的国产自主可控产品;2.双电源双引擎配置;3. * 口万兆光纤卡和 * (略) 卡配置;4.与态势感知平 (略) 络设 (略) 能够深入融合;5.完整的大楼内公用电脑全面公用电脑主机管理、可控,确保主机可控;6.完整的主机资产管理平台、确保 有防病毒、楼层异常主机防护等功能集成态势感知平 (略) 络设 (略) ;7.协助集成后, (略) 署 IPV6 服务, (略) AOC; |
4 | 数据库审计加密脱敏系统 | 1. (略) 为和重要 (略) 审计;2.对数 (略) 有效溯源和定位;3. (略) 加密脱敏及符合GDPR、隐私法管控;4.符合国家隐私法规、确保核心数据可控、达到等保相关要求; |
详细需求
态势感知平台
平台解 (略) 络信息安全工作中因各子系统“各自为战”导致的风险评估难、预警告警难、追踪定位难等问题,并符合等级保护条令中有 (略) 相关条款的要求。需求主要如下:
2.1.1 信息安全事件管理
主要依照等级保护条令有 (略) 要求和我方实际使用需求,具体描述如下:
支持安全事检测采集功能,可及时发现和采 (略) 全事件:
(略) 外部的攻击情况;
暴力破解、木马病毒、跳板攻击等横向威胁态势;
(略) 为 (略) 为;
不同通信协议的弱口令风险;
(略) 为和脆弱性风险;
对外攻击、APTC&C通信、 (略) 为、隐蔽通信、违规访问 (略) 为;
挖矿病毒、勒索病毒感染情况 (略) 门重点督办问题;
支持通过流量形式采 (略) 全事件,事件范围应涵盖主机设备、网络设备、数据库、安全设备、各类中间件等,支持对目前不同品牌主流安全产品的日志接入,并能够对 (略) (略) 理,将不同来源和不同内容组成的原始事件转换为标准的事件格式;
安全事件的内容应包括日期、时间、主体标识、客体标识、事件类型、事件等级、影响资产、事件举证、处置建议、事件结果等内容;
能够对采集的安全事件 (略) 集中存储,存储时间至少为6个月
能够支持ssl证书导入等功能,从而解密隐藏在Https等加密协 (略) 为;
2.1.2 信息安全风险管理
具备告警功能,在发现异常时可根据预先设定的阔值和规则产生告警,并可通过邮件、微信、短信、钉钉等形式下发告警;
具有对高频度发生的相同 (略) 合并告警,并支持白名单功能,避免出现告警风暴和排除误告警的能力;
支 (略) 络中的安全态势情况, (略) 络攻击态势、安全事件态势、横向 (略) 景
(略) 络中各主机的风险情况,显示已失陷、高可疑、低可疑等不同等级的安全风险等级
能够支持自定义安全事件功能
2.1.3 独立的DDOS防流量攻击平台
通过DDOS防流量攻击产品和服务对 (略) 处理及阻断,保护昆航服务主 (略) 造成的损失。
2.1.3 主机防篡改平台
(略) 防篡改产品及服务, (略) 站被篡改,保障深航 (略) 上可被 (略) 站信息安全。
2.1.4 系统集成联动
支持与我方现有安全防护 (略) 置功能,能根据风险等信息编排自动响应策略
能够与现有的华为、ONE APM深度融合主动监控报警
已有和新建的各安全设备、系统可以与态势感知平台联动;
主机及?络设备安全管理中?
引进专用主 (略) (略) 络信息安全防护工作中的“最后 * 公里”问题, (略) 现有业务规模不相适应的多人分管、手工运维及人工审计等低效安全运维模式,实现对业务服务器、终端、网络设备的实时安全监控和精准管理。
另外需要针对防火墙、入侵防御系统等边界 (略) 优化,完全满足等级保护 * 级中有关安全边界防护的要求。
2.2.1 主机及?络设备资产收集
都支持Windows Server操作系统、CentOs操作系统和RedHat操作系统,能识别操作系统的类型和版本信息。
能识别和管理操作系统上安装的数据库类型及版本信息。
都能识别和管理操作系统上安装的JBoss中间件、Nginx中间件、Redis中间件、Memcached中间件、Apache中间件、IIS中间件、Kafka中间件、Zookeeper中间件、Tomcat中间件、Websphere中间件等。
能识别和管理操作系统上Web应用使用的包括Struts2、Spring、Hibernate、MyBatis在内的Web应用框架信息。
能识别和管理操作系统上安装的其他软件信息。
能识别和管理容器环境。
能识别和管理操作系统的进程及开放端口信息。
能识别和管理操作系统的账号基本情况和权限信息。
能针对预定义的规则对 (略) 告警,包括但不限于黑白名单、红名单机制。
能生成可视化的资产管理报表,可导出。
提供简便快捷的服务安装方法。
能提供详细的资产属性(基本信息、硬件配置、网卡配置、磁盘信息、资产等级、责任人等),支持自定义。通过对资产设备类型、部门、使用人、工号、手 (略) 收集,便于 (略) 终端资产信息,同时实时监控系统状态并告警,保障业务连续性。
能实时体现资产变更记录。(增、删、离线资产)。
(略) 主机、网络设备、终 (略) 整合统 * 展示。
(略) 分组管理, (略) 设备分组概况和设备概况,显示内容包含终端IP地址、MAC地址、所在分组及操作系统、使用人员等信息等。
2.2.2 主机及?络设备脆弱性管理
为昆航提供自动化的漏洞管理工具和流程,可及时发现和修复已暴露的安全漏洞,解决漏洞可能被利用的安全隐患。
(略) (略) 漏洞的扫描、漏洞的修复以及漏洞忽略,可显示设备的名称、IP地址及高危漏洞数量,提供多维度的查看和分析试图。
能识别和管理包括SQLServer、MySQL和Oracle等数据库的补 * 。
能识别和管理包括JBoss中间件、Nginx中间件、Redis中间件、Memcached中间件、apache中间件、IIS中间件、Kafka中间件、Zookeeper中间件、Tomcat中间件、Websphere中间件等的补 * 。
能识别和管理包括Windows Server、CentOs、RedHat等操作系统及其组件的补 * 。
提供补 * 的修复建议。
可以对选择的设备下发系统扫描任务, (略) 的漏洞缺陷修复建议和下发修复任务。
可检测系统是否存在恶意的插件、系统设置异常等问题,可以针对检测出来的问题, (略) “修复”操作。
(略) (略) 软件安装的统计,可统计软件的安装率和版本正版率。
针对设备防火墙启用、系统密码、远程桌面启用、文件共享、进程黑白名 (略) 检查。
2.2.3 主机及?络设备安全监控
能实时检测发现系 (略) 为, (略) 阻止
能实时检测发现注册表更改, (略) 分析告警
能实时检测发现异常进程启动, (略) 分析告警
能实时检测发现异常外传流量
能实时监测发现各类Webshell和反弹Shell;
能实时检测发现针对windows/linux服务器 (略) 为
能自定义规则发现弱口令
能实时监控资产安全情况
实时监测发现针对服务器的暴力破解攻击,并告警通知;
实时监测可能存在的系统后门程序,并告警通知;
实时监测 (略) 为,针对异 (略) 告警;
能够检测恶意代码(包括但不限于病毒、漏洞等)感染windows、linux服务器及在虚拟机间蔓延的情况,主动提出告警并防护。
能实时检测发现针对服务器 (略) 为;
支持管 (略) (略) 的地址使用概况,可查看的内容包含:子网地址、名称、大小、是否NAT转换、地址使用率、已用地址数量、可用地址数量等;
2.2.4 主机及?络设备病毒防护
具备多样化的病毒监测和深度的清除能力,对 (略) 病毒查杀;
自动隔离已感染但无法修复的文件;
实时监测包括但不限于挖矿木马、蠕虫病毒、勒索病毒具等恶意性程序;
支持自动配置定制化的主机防御策略;
具备缓冲区溢出漏洞保护模块;
具有病毒爆发锁定的功能。
能够实时检测恶意病毒感染情况和蔓延情况,主动提出 (略) 理措施,并实时更新最新病毒特征库;
2.2.5 安全边界区域防护
能够对非授权设备 (略) (略) (略) 检查或限制;
(略) 用户非 (略) (略) (略) 检查或限制;
(略) 络的使用, (略) 络通过受控的边界 (略) 网络。
能够对源地址、目的地址、源端口、目的端口 (略) 检查,以允许/拒绝数据包进出;
能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;
(略) 络的数据流实现基于应用协议和应用内容的访问控制
能够检测、防止 (略) (略) (略) 为;
能够检测、防止 (略) (略) (略) 为;
能够采取 (略) (略) 分析, (略) 络攻击 (略) (略) 为的分析;
当 (略) 为时,能够记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供告警。
可以对 (略) 检测和清除,并维护恶意代码防护机制的升级和更新;
能够对 (略) 检测和清除,并维护垃圾邮件防护机制的升级和更新;
审计记录应包括事件的日期和时间;用户、事件类型、事件是否成功及其他与审计相关的信息
能对 (略) 保护,定期备份,避免受到未预期的删除、修改或覆盖等;
能对远程 (略) 为、 (略) (略) (略) 行为审计和数据分析
2.2.6 其他管理功能
可对终端完成如下管理功能:
模块 | 子模块 | 功能 |
设备管理 | 管控设备 | 支持对终端设备 (略) |
认证配置 | 通过VLAN绑定、端口绑定、自动学习绑 (略) (略) ,支持认 (略) 程序, (略) 、 (略) | |
规则配置 | 支持NAT环境下的漫游管理,依据IP段及NAT情况分配新的设备通信地址 | |
认证用户 | 显示已经通过VLAN或端口实名认证的用户 | |
认证会话 | 显示通过Web认证、 * .1X认证以及客户端认证的终端 | |
NAC管理 | 对 (略) 管控设置 | |
访问管理 | 对访 (略) 管控安检 |
支持日志报表功能
日志报表 | (略) 有终端天擎的安装率,未修复高危的漏洞数,平均体检分数以及健康率 |
以报表和日志的方式统计平均扫描分数最低的T (略) 展示 | |
(略) 访问的日志, (略) 访问成功及失败的次数 | |
(略) 有分组资产的使用情况以及资产类型 | |
订阅病毒查杀的报表以及漏洞修复报表等信息 | |
(略) 环境中 (略) 的病毒/补 * 等更新程序通过离线 (略) 拷贝导入, * (略) 通 (略) 进行级联更新, (略) 可以 (略) 报告警信息 |
应支持策略配置管理
(略) | 终端策略 | 作用在单个终端上的策略,当分组策略不满足个别终端的时候,可以配置终端策略 |
文件黑白名单 | (略) 自定义上传,将获取上传文件的指纹信息加入白名单/黑名单中,当终端扫描此指纹 (略) /自动查杀隔离 | |
安检合规 | 针对防火墙启用、系统密码、远程桌面启用、文件共享、进程黑白名 (略) 检查 | |
综合评估 | 对终端的配置脆弱性、数据价值、沦陷迹象、健康状 (略) 扫描评估 | |
时段管理 | 时段管理用于管理在应用控制策略中使用的各种时间段 | |
规则管理 | (略) 规则创建,在创建终端策略/用户策略的策略模板时可以引用相关规则。 |
2.2.7 其他需求
已有和新建的安全设备、安全系统等可以 (略) 集成联动;
平台支持 (略) (略) 有的主机、终端、网络设备的使用。
支持主动情报管理,提供动态跟踪防护能?(病毒、攻击等)。
针对服务器主程序,终端主程序,病毒库,补 * 库,补 * 文件设置自定义升级时间,可选择升级源。支持断点续传和代理服务器升级。
(略) 络核心交接机及路由器信息设备
提供核心交换机2台, (略) 大楼现有两台思科C * 设备更换为更高性能的国产自主可控产品。 (略) 实施、原厂3年及以上维保、现场巡检、 (略) 理、 (略) 等服务。
2.3.1 设备核心功能
功能模块 | 子模块 | 描述 |
基本功能 | * 层基本功能 | VLAN、ARP、VXLAN、MAC 地址功能等 |
路由支持 | 支持IP 路由、支持 RIP、OSPF、ISIS、BGP 等 IPv4 动态路由协议、支持 RIPng、OSPFv3、ISISv6、BGP4+等 IPv6 动态路由协议 | |
其他基本功能 | 支持组播、支持MPLS、支持QOS、STP、RSP、M (略) 保护技术 | |
可靠性 | 双机冗余 | 支持主主、 (略) 署,支持IRF、VSS等虚拟化技术 |
可靠性 | 支持LACP等链路聚合协议、支持跨设备链路聚合、支持VRRP | |
安全和管理 | 安全性支持 | 支持ACL、 (略) 分级保护,未授权用户无法侵入、支持防范广播风暴攻击、大流量攻击、防范ARP攻击等 |
管理支持 | 支持SSHv2及以上管理协议、支持SNMP、Syslog等协议 | |
配置和维护 | 配置维护 | 支持SNMP v1/v2c/v3 等网络管理协议、支持热补 * |
2.3.2 设备参数
支持2.2 核心功能介绍 所描述的功能。
整机最大交换容量大于等于 * Tbps;
整机最大包转发率大于等于 * 0Mpps ;
整机支持槽位数量≥8个,支持业务板槽位数≥6个,支持主控引擎≥2;
配备双主控、双电源、风扇数量大于等于2;
支持IPV6;
支持主主、 (略) 署模式,支持虚拟化技术;
支持VXLAN;
支持OSPF、BGP、RIP、ISIS等路由协议,路由协议需要支持IPV6;
支持大于2k个vlan;
支持STP、RSTP、MSTP等生成树协议;
支持MPLS;
千兆电口数量大于等于 * ;
千兆光口数量大于等于 * ;(如配置万兆光口,并向下兼容千兆,可加分)
配置独立的堆叠/虚拟化口,数量不小于2个;
配置相对数量的光模块、光纤,光模块需要兼容思科、华为、华 * (略) 商设备(需要能与对端为思科、华为、华 * (略) (略) );
2.3.3 其他需求
设 (略) 络设 (略) 、态势感知平台能够深入融合;
设备对完整的大楼内公用电脑全面公 用电脑主机管理、可控,确保主机可控;
可提供完整的主机资产管理平台、确保有防病毒、楼层异常主机防护等功能集成到态势感知平 (略) 络设 (略) ;
协助集成后, (略) 署 IPV6 服务, (略) AOC;
设备 (略) 商提供的国产设备;
(略) 实施;
数据库审计加密脱敏系统
数据库审计
数据库审计主要实现:(1) (略) 为和重要 (略) 审计;(2)对数 (略) 有效溯源和定位;
2.4.1.1 核心设备要求
序号 | 内容 | 备注 |
1 | 数据采集、管理、存储为 * 体化设备或分离式设备(采集与管理分离) | (略) (略) 署 |
2 | 2U机架式(服务器平台),冗余交流电源,2GE板载管理口,4GE板载接口,3×接口板卡插槽,4个千兆电口与4个千兆光口;配备3个扩展槽,可支持千兆、万兆口;配备冗余电源; (略) (略) 署实施服务。 | 若 (略) 署,则采集器标准为2U机架式(服务器平台),冗余交流电源,2GE板载管理口,4GE板载接口,1×接口板卡插槽,管理端参数不变。 |
3 | 内存不低于 * G,硬盘存储容量5×2TB硬盘(RAID 5),支持热插拔 | 若 (略) 署,则 * GB内存,1×2TB硬盘。 |
4 | (略) 理能力 *** * (条/秒) | N/A |
5 | 在线日志量 * 亿条语句以上,归档日志量 * 亿条语句以上。 | N/A |
6 | 在线会话数 * 0个以上 | N/A |
7 | 流量吞吐量大小为 * 0 Mbps,纯数据库流量至少为 * Mbit以上。 | N/A |
8 | 不限被审计的数据库数或实例数(IP+Port) | N/A |
9 | 平均无故障时间超过 * , * 小时 | N/A |
* | 工作温度3℃~ * ℃,湿度 * ~ * %RH | N/A |
* | (略) 署,并能接收云平台SPAN功能转发的GRE镜像流量,支持vxlan报文解析。(提供功能截图证 (略) 公章) |
2.4.1.2 (略) 署要求
昆航只能通过端口镜像的方式将数据库流量接入到数据库审计设备, (略) 的数据库流量由青云自带SP (略) 推送(将数据库服 (略) 指向特定的IP地址),无法区分流量类型,数据库审计设备接收的流量较大,并非纯数据库流量,存有其他的业务流量,占比为3:7。
面临的问题:
(1)无法在数据库服务器中安装探针采集流量;
(2)当青云平台推送的流量(含业务流量)过大时,数据库审计设备可能存在满负载的情况,导致设备不可用。
(略) 署要求:
从青云平台推送出的流量,进入数据库审计设备之前必须为纯数据库流量(占总流量的 * %以上)。 (略) 限于旁路、 (略) 署模式,可采用采集器 (略) 署(可选)。
2.4.2 数据库加密脱敏
数据库加密脱敏主要实现:1. (略) 加密脱敏及符合GDPR、隐私法管控;2.符合国家隐私法规、确保核心数据可控、达到等保相关要求;
供应商提供平台和服务对昆航 (略) 数据脱敏、漂白和加密,从而在有效支持业务生产数据需求的同时保障敏感数据不被泄露。
征集方式
公开征集。
请供应商于发布之日起的 * 日前向项目方案征集邮箱提供项目方案(含投资说明)。供应商提供的项目方案是昆航对供应商能力考查的参考依据,请各位供应商认真地阅读理解征集方案相关要求,认真编制和审核项目方案及投资规模。
报名邮件需包含以下内容:
(1)供应商简介;
(2)供应商资质条件;
(3)供应商相关案例说明;
(4)供应商联系方式;
(5)供应商参加该项目方案征集的意愿说明;
(6)供应商项目方案及投资规模;
供应商资质要求
具有独立签订合同的权利和承担民事责任的能力,近 * 年无违法和重 (略) 为,无处罚记录。
中华人民共和国境内注册具有独立法人资格。注册资金大于或等于 * 万元人民币或等值外币(以含有注册资金信息的工商营业执照为准)。具有良好的财务状况,能够开具增值税专用发票。
不在 (略) 供应商黑名单之列。
不在 (略) 供应商黑名单之列。
(略) 禁止交易名单之列。
不在深航禁止交易企业名单 * 之列。
具有良好的财务状况,能够开具增值税专用发票。
地址及联系方式
地址: (略) (略) 机场 (略) (略) 办公大楼 * 楼
联系人:张先生
电子邮件地址: K * 0@ ***
联系电话: *** 转 *
本公告由 (略) (略) 负责解释
特此公告。
(略)
* 〇 * 〇年十 * 月 * 十 * 日
