应用系统安全防护项目需求书

1、安徽省公安厅应用系统安全防护项目需求标前公示项目名称项目编号采购内容项目预算安徽省公安厅应用系统安全防护2015facz0608详见采购需求1320.00万元1、 符合政府采购法第二十二条规定；2、 具有计算机信息系统集成二级及以上资质（证书在 有效期内或 2014 年 2 月 15 日后有效期满的）；投标人资格要求 3、 近五年内具有金额不少于 1000 万元的公安行业软件或服务系统建设案例业绩；4、 具有本地化服务能力；5、 本项目不接受联合体投标。由省公安厅统一招标，统一验收。省公安厅按合同总价付款方式服务周期评标办法及明细分配到各市、县公安局，由各市、县公安局直接支付到 供应商。工期

2、180 天，服务三年综合评分法1 / 39详细评审指标如下：类别指标指标描述分值范围技 术 标(70 分)描述当前安徽省应用安全审计的建设现状，能够 对项目建设的目的和意义有深入的理解和认识。 系统架构符合安徽省厅总体技术架构要求，功能应用安全审 完整且清晰，重点阐述部署方案对于网络检测及 计控制中心 硬件实施环境准备、数据库搭建和应用部署、集实施成方案制定与集成调试、部署应用测试及集成测 试等要求。根据各投标人描述进行排名，第一名得 10 分，第 二名得 5 分，第三名得 2 分，其余不得分。 重点描述各类业务系统日志获取的技术实现方应用安全审 法，重点描述对于无法改造的业务系统的集成设 计

3、外挂软件 计，方案完整详尽，技术合理。包根据各投标人描述进行排名，第一名得 5 分，第 二名得 2 分，第三名得 1 分，其余不得分。 符合公安部应用安全审计平台部省市联动设计规应用安全审 范要求，详细阐述各功能模块的设计，方案完整 计级联子系 详尽，技术合理。统根据各投标人描述进行排名，第一名得 5 分，第 二名得 2 分，第三名得 1 分，其余不得分。应用安全审 对项目需求理解准确，各项功能模块满足并且描 计基础支撑 述详细清晰，完全响应招标文件技术需求的得基 -国产数据 础分 3 分。投标产品技术指标优于招标文件要求库的一项加 0.5 分，最多加 1 分。应用安全审 对项目需求理解准确，

4、各项功能模块满足并且描 计基础支撑 述详细清晰，完全响应招标文件技术需求的得基 -云平台病 础分 3 分。投标产品技术指标优于招标文件要求毒防护的一项加 0.5 分，最多加 1 分。2 / 390-10 分0-5 分0-5 分0-4 分0-4 分投标方案中各项功能模块满足需求，并提供详细 文字说明和功能截图，重点描述服务处理机制要应用安全防 求，包括异常处理机制、性能及并发处理控制机 护基础支撑 制、数据访问安全机制、服务运行状态监控机制、 -公共服务 日志审计机制，且支持分布式部署，单节点需达0-4 分工具到 4000 并发或以上。根据各投标人描述进行排名，第一名得 4 分，第 二名得 2

5、分，第三名得 1 分，其余不得分。应用安全防 对项目需求理解准确，各项功能模块满足并且描 护-web 应 述详细清晰，完全响应招标文件技术需求的得基 用智能检测 础分 3 分。投标产品技术指标优于招标文件要求0-5 分子系统应用安全防 护基础支撑 -运维管理 平台升级的一项加 0.5 分，最多加 2 分。1、 对本次运维管理平台升级功能设计需求理解 深刻，准确把握招标技术要求中的各项优化升级 内容，对新增的移动服务中心、科信业务管理、 3d 数据中心机房管理等主要功能模块设计合理， 描述清晰准确。根据功能设计方案的优良情况得 0-6 分。未提供得 0 分。2、 对本次运维管理平台升级对接设计要

6、求理解 准确，实现与省厅现有运维平台、地市运维平台 的无缝对接，提供切实可行的对接方案，并实现 省市运维联动。根据对接设计方案的优良情况得 0-4 分。未提供得 0 分。0-10 分3 / 39人员能力企业信用企业资质本地化服务业绩案例投标人承诺为本项目提供不少于 20 名专业技术 服务人员的本地化服务团队，团队成员要求提供 最近一年在安徽连续缴纳的社保缴费证明和在安 徽注册的相关机构的营业执照副本，复印件加盖 公司公章，得 4 分。不能提供社保缴费证明或者 服务人员数量不足不得分。项目负责人须为本地化服务团队成员，并具有计 算机信息系统集成高级项目经理资质证书，得 2 分。本地化服务团队成员

7、中具有 ocp 认证、软件设计 师、数据库系统工程师等证书每个得 0.5 分，本 项最高为 2 分。获得省级以上工商行政管理部门“全国守合同重 信用单位证书”的得 1 分，无证书或证书不在有 效期内不得分。1、 投标人获得高新技术企业认证并获得公安部 重点实验室资质得 2 分。2、 投标人具备系统集成一级资质的得 2 分，二 级资质的得 1 分；3、 具备系统集成涉密乙级及以上资质得 2 分。投标人注册地在合肥，得 3 分；其他本地化服务 机构或本地化服务能力得 12 分，不提供本地化 服务不得分。（提供营业执照复印件，原件备查； 未提供不得分）。2011 年以来单个合同金额不低于 400 万

8、元省级及 以上公安机关软件系统项目案例，每个 1 分。 最 高得 5 分。0-8 分0-1 分0-6 分0-3 分0-5 分4 / 39商 务 标 最终投标报 (30 分) 价价格分统一采用有效最低价法，即满足招标文件 要求且投标价格最低的投标报价为评标基准价， 其价格分为满分。其他投标人的价格分统一按照 下列公式计算：投标报价得分（评标基准价 / 投标报价）30100采购需求0-30 分前注：如对本招标文件有任何疑问或澄清要求，请按本招标文件“投标人须知前 附表”中的约定方式联系采购中心，或接受答疑截止时间前联系采购人。否则视 同理解和接受。一、需求一览表序号1设备名称应用安全审计控制中 心

9、实施技术参数要求详见技术需求数量16 套2345678二、技术要求 （一）概述应用安全审计外挂软件 包应用安全审计级联子系 统应用安全审计基础支 撑-国产数据库应用安全审计基础支 撑-云平台病毒防护 应用安全防护基础支撑- 公共服务工具应用安全防护-web 应 用智能检测子系统 应用安全防护基础支撑- 运维管理平台升级5 / 39详见技术需求 16 套详见技术需求 16 套详见技术需求 1 套详见技术需求 1 套详见技术需求 1 套详见技术需求 16 套（另赠 1 套）详见技术需求 16 套（另赠 1 套）随着安徽省公安信息网信息化的深入发展，公安信息网信息与网络安全问 题日益突出。加强公安信

10、息网安全管理已成为确保公安信息化建设成效的重要 且紧迫的工作。当前，公安信息网安全管理工作面临的形势十分严峻；一是安 全管理技术的建设与应用严重滞后于网络和信息系统的建设与应用；二是公安 信息网内各类违规现象不断出现，安全教育和事后处置不足以杜绝重大安全事 故的发生；三是随着信息应用的深化，公安信息网与外网的信息交互给公安信 息网边界安全管理带来极大的挑战。大力加强公安厅信息网安全管理技术建 设，变“被动防御、被动管理”为“主动防御、主动管理”，已是公安局信息 化建设中一项重要工作。2013 年 7 月，安徽省公安厅已通过安徽省公安厅公安业务系统升级与改 造项目（项目编号：ah-f201301

11、74）第四包：公安信息网运行维护及安管平台 项目采购，开展安徽公安信息网应用安全防护前期建设并取得初步的应用成 果。此次项目的采购与实施，将实现应用安全审计、云平台病毒防护、 web 应 用智能检测、运维管理平台等安全体系的系统全省全面建设和实施，进一步提 升全省信息网安全管理和运维服务管理水平，提高科信部门的快速响应能力， 建立并完善公安信息网安全管理技术体系和工作机制，强化对信息与网络安全 问题的检测、预警和处置能力，确保公安信息网的安全运行。（二）总体设计要求6 / 39系统整体设计架构如上图所示。虚拟资源层为应用安全审计控制中心提供虚拟计算资源池、虚拟网络资源 池、虚拟存储资源池。云平

12、台病毒防护，为 vwmare 平台下应用安全审计控制中 心、级联管理等系统建设提供安全防护功能，为全省开展应用安全审计业务提 供基础安全支撑。通过外挂软件包收集全网各业务系统的行为日志，汇集到审计控制中心数 据库集群，实现对日志的智能分析，以准确识别安全风险和事件，运用“高内 聚、低耦合”的先进软件设计理念，对系统进行顶层设计，通过 soa 架构的应 用服务提供给平台的监管页面进行集中展示。通过级联系统的服务接口能将上至上级平台，下至下级平台，达到多级级 联的目的，保证全网的信息安全。应用安全审计控制中心主要实现了各类安全风险监测、分析、管控技术的 融合，是整个安全保障体系的技术支撑部分，而运

13、维管理平台为系统稳定性、 可维护性提供支持。实现了各类资源实行统一的注册和管理，理清资源间的关 联关系，构建一体化监管体系，自动汇集全网重要设备、重要系统、机房环 境、 ups 及电源等各类资源运行数据，并通过丰富直观的各类视图实现对全网 it 架构的全面实时监测。7 / 39（三）建设要求1. 应用安全审计控制中心实施随着公安信息化建设的快速发展，信息资源大范围的应用，与此同时产生 的信息泄露问题日显突出，信息的安全问题也变得越来越严重，发现问题很难 进行倒查跟踪。2013 年 7 月，安徽省公安厅已在安徽省公安厅公安业务系统 升级与改造项目（项目编号：ah-f20130174）第四包：公安

14、信息网运行维护及安 管平台进行了应用系统安全审计平台子系统的采购，现已完成省级应用安全审 计控制中心试点建设，实现了对各级业务应用系统和资源库日志信息的集中安 全管理，初步解决了省级系统“跟踪不下去、查不到源头、取不到证据”难 题，现急需在 16 个地市进行部署实施，并对原有业务系统进行系统升级与完 善，进一步规范全省各应用系统和资源库的日志采集的监测、预警和处置工 作。1.1 目标任务完成 16 个地市应用安全审计控制中心的部署实施，各地市对已建应用系统 和资源库按照日志采集规范进行功能改造与升级，新建应用系统和资源库一律 增加应用日志安全审计功能；加快技术手段建设，实现对应用日志的集中采

15、集、关联分析和处置管理；建立健全配套工作机制和保障机制，逐步构建与公 安信息化应用模式相适应的公安信息系统应用日志安全审计工作体系。主要任 务是：（1） 开展市级应用日志安全审计部署实施。将省级采购的应用日志审计平 台的部署到 16 个地市，各地按照“谁建设、谁改造”的原则，根据安徽省公 安信息系统应用安全审计平台技术规范，对已建应用系统及资源库进行应用日 志安全审计功能改造，补充对用户操作行为和接口服务的日志记录及存储功 能；新建应用系统和资源库，全部增加应用日志安全审计功能；完整记录公安 网用户“增、删、改、查询、比对”等操作行为和信息资源服务情况，确保日 志记录可追踪、可倒查。（2） 建

16、立应用日志安全审计工作机制。各地要建立应用日志安全审计管理 工作机制。要以平台为载体，建立事前预警、事中监测、事后分析为主要内容 的应用日志安全审计运维工作机制。同时，要建立公安科信、纪检监察、警务8 / 39督察等部门相互配合的应用日志安全审计取证核查工作机制，建立检查、考 核、通报等工作机制。1.2 技术要求1.2.1 整体架构应用安全审计控制中心总体架构分数据层、服务层、应用层等三个层次。 主要内容包括数据同步、数据抽取、汇集库、索引库、综合查询系统、管理工 具、平台门户、自动监测等方面。1.2.2 应用安全审计控制中心的日志规范要求应用安全审计控制中心所采集的日志应包括应用系统 / 资

17、源库的登录、查 询、新增、删除、修改和接口服务等日志记录，相关标准参考公安信息系统应 用日志安全审计平台日志采集规范（v1.0）。1.2.3 基础软件功能平台基础软件主要功能见下表：模块系统门户事前预警建设要求单点登录日志全文检索通知通告发布日志采集监控应用日志采集统计安全检测系统 运行监测图 应用导航预警结果名单预警功能说明通过 pki 统一认证后实现系统及导航的应用单点登录 通过智能检索和高级检索对日志库数据进行检索查 询，对日志信息以人、车、案、物、线索、组织、其 它等几方面为对象类型检索发布跟安全管理工作相关通知通告在门户上展现各接入应用日志采集的运行状况和日 志采集量在图形化展现各接

18、入应用日志采集量统计状况，展示 登录、增、删、改、查、导、接口等日志统计在门户上图形化展现全省安全审计平台的运行状况 网内相关应用的导航用于展示各类预警（名单预警、异常地址访问、频繁 操作）并通过多种预警方式通知预警接收人用于建立各类名单预警任务，通过启用预警任务参与 9 / 39事中监测事后倒查系统管理异常地址访问频繁数据操作监测任务管理监测比对服务监测结果及应用综合查询索引查询热点分析行为分析关联分析异动分析分析结果审计配置管理日志导入系统日志数据比对用于建立各类异常地址访问任务，通过启用预警任务 参与系统日志数据比对用于建立各类频繁数据操作任务，通过启用预警任务 参与系统日志数据比对对一

19、些日志信息通过建立监测任务，持续评估其应用 效果的，一段时间来特定的用户访问特定应用的频率 一个后台的引擎服务，针对名单信息以及监测任务进 行日志的碰撞比对，找出满足规则的预警。引擎服务 支持全量或增量数据计算规则通过监测任务产生的监测结果可供分析人员使用，数 据直接为对应的分析模块提供支撑可以针对具体的日志分类进行综合查询全文检索页面按照应用系统、操作用户、操作对象区分并访问量和 趋势分析的图表分析通过对操作人员操作行为分析，同时以对象类型、操 作类型等进行过滤，将用户所关注的内容直接加入到 关注列表进行日常关注和行为分析通过对当前检索的信息被多个信息或操作人员所关 联通过对日志记录设置分析

20、条件，将分析时间段和比较 时间段内在设置一定阀值内的差异图表分析对于各类分析所产生的分析结论保存起来，形成日常 的审计分析记录审计配置的 url 等参数的管理提供对系统外的临时日志信息的导入，支持的文件格 式包括 txt、csv、excle 等格式，同时数据格式必须 按照日志的采集规范进行导入，导入前系统会经过数10 / 39用户和授权管理系统日志管理 1.3 服务需求据验证平台的用户和权限管理记录审计平台本身的日志信息，并提供管理员查询， 同时也需要满足相关的规范格式，并本地数据库存储本次项目依托安徽省公安厅组织开发的应用安全审计系统平台，提供该软 件的部署实施、培训并承诺提供三年原厂运维服

21、务。详细需求如下：序号1内容部署实施详细需求按照实施部署的规范要求，准备好相关部署环 境，并将系统成功部署：1、 网络检测及硬件实施环境准备2、 数据库搭建和应用部署3、 集成方案制定与集成调试4、 部署应用测试及集成测试提供符合系统培训相关的材料，并配合各地市 完成系统推广培训工作：23培训 1、地市系统管理员培训一次2、 地市普通用户培训一次3、 地市对接应用系统改造培训一次三年原厂运维服务：1、 每周一次人工巡查2、 24 小时软件运行监测3、 每月一次系统运行状态报告三年运维服务 4、突发事件技术支持5、 第三方对接技术支持6、 根据公安部审计软件功能调整，免费升级全 省安审软件，免费

22、提供软件除 bug 和优化服务 7、投标文件中需对运维服务具体内容进行描11 / 39述，并书面承诺：合同签订前取得安徽省公安 厅“应用系统安全审计平台子系统”原开发厂 商三年服务承诺函。1.4 性能指标要求（1） 系统必须稳定、可靠，不因系统本身的原因造成死机、停止等故障， 系统有效运行时间 99.9%，系统故障平均间隔时间 180 天。（2） 应用日志安全审计分析响应时间，省级平台不超过 5 秒，市级平台不 超过 3 秒。（3） 日志汇集管理量级，省级平台不小于 10t，市级平台不小于 1t。1.5 人员要求具有相关证书人员需全程现场参与项目建设与实施，否则取消中标人中标资格并 没收履约保

23、证金。1.6 实施进度要求（1） 项目实施周期为 50 天。合同签订生效后 50 天内按照招标文件所规定 功能要求进行初步部署和用户培训。（2） 投标厂商需在投标文件中作出书面承诺：自合同签订之日起五个工作 日内，完成合肥、芜湖、淮南、池州、宣城五个试点公安局的应用安全审计控 制中心的部署上线并实现省市两级应用安全数据联动，取得该五个试点公安局 系统上线书面确认函。投标文件中未明确书面承诺的，视为未完全响应招标文 件技术需求，取消投标人投标资格；中标厂商未完成书面承诺的，取消中标人 中标资格并没收履约保证金。2.应用安全审计外挂软件包2.1 技术要求外挂软件包要支持三种日志采集方式，包括：et

24、l 抽取方式通过 etl 工具实现外部系统日志的抓取，前提是外部系统的日志要符合公 安信息系统应用日志安全审计平台日志采集规范（v1.0）要求。12 / 39llwebservice 接口方式通过 webservice 方式进行日志推送，前提是外部系统的日志要符合公安 信息系统应用日志安全审计平台日志采集规范（v1.0）要求。自动抓取工具包方式对无法找到开发商或不宜改动源代码的应用系统，可通过外挂工具包获取 数据，形成操作安全审计规范的日志记录，发送给安全审计平台。自动抓取工具包必须为纯软件实现方式，支持 java web 和.net web 系统， 支持与 pki 系统集成。2.2 服务需求

25、本次项目依托安徽省公安厅组织开发的应用安全审计外挂包产品，提供该 软件的部署实施、培训并承诺提供三年原厂运维服务。详细需求如下：序号1内容部署实施详细需求根据安徽省业务系统建设状况，完成 9 个以上 重点业务系统日志采集与汇集，后续根据公安 部建设任务要求进行新业务系统的接入实施。 投标文件中需对日志采集的业务系统进行列 举。提供符合系统培训相关的材料，并配合各地市 完成系统推广培训工作：2培训 1、地市系统管理员培训一次2、 地市普通用户培训一次3、 地市对接应用系统改造培训一次13 / 393三年运维服务三年原厂运维服务：1、 每周一次人工巡查2、 24 小时软件运行监测3、 每月一次系统

26、运行状态报告4、 突发事件技术支持5、 第三方对接技术支持6、 投标文件中需对运维服务具体内容进行描 述，并书面承诺：合同签订前取得安徽省公安 厅“应用系统安全审计平台子系统”原开发厂 商三年服务承诺函。2.3 性能指标要求（1） 系统必须稳定、可靠，不因系统本身的原因造成死机、停止等故障， 系统有效运行时间 99.9%，系统故障平均间隔时间 180 天。（2） 日志拦截效率达到 99%，准确率达到 99%2.4 人员要求具有相关证书人员需全程现场参与项目建设与实施，否则取消中标人中标 资格并没收履约保证金。2.5 实施进度要求（1） 项目实施周期为 50 天。合同签订生效后 50 天内按照招

27、标文件所规定 功能要求进行初步部署和用户培训。（2） 投标厂商需在投标文件中作出书面承诺：自合同签订之日起十五个工 作日内，在合肥、芜湖、淮南、池州、宣城五个试点公安局完成 5 个或 5 个以上 重点业务系统日志采集与汇集，其中至少有 2 个重点业务系统为采用自动抓取 工具包方式，取得该五个试点公安局系统上线书面确认函。投标文件中未明确 书面承诺的，视为未完全响应招标文件技术需求，取消投标人投标资格；中标 厂商未完成书面承诺的，取消中标人中标资格并没收履约保证金。14 / 39lll3.应用安全审计级联子系统3.1 技术要求级联子系统实现部、省、市三级平台的协同和联动：实现上级平台对下级 平台

28、运行状况查询、统计、监测；实现下级向上级、平级之间的日志访问等。 主要功能包括级联管理、接口管理（含查询、统计、监测接口）。3.1.1 级联管理通过级联管理，确定级联的对象和级联的 ip 和内容的管理，完成级联信息 的统一管理和上报信息的有效管理。3.1.2 接口管理查询接口完成省厅和地市的查询接口的互联互通，上级可以查询到下级的审计日志 信息。统计接口完成省厅和地市的统计接口的互联互通，上级可以针对下级审计日志信息 通过统计接口完成各地市日志统计的要求。监测接口完成省厅和地市的监测接口的互联互通，上级可以针对下级审计日志的信 息监测接口，通过监测接口可以完全应用安全审计平台的事前监测、事中监

29、 测、事后监测等各类接口。3.2 服务需求本次项目依托安徽省公安厅组织开发的应用安全审计系统平台，提供该软 件的部署实施、培训、省市级联并承诺提供三年原厂运维服务。详细需求如 下：序号1内容部署实施详细需求按照实施部署的规范要求，准备好相关部署环 境，并将系统成功部署：1、 网络检测及硬件实施环境准备2、 环境搭建和应用部署15 / 3923、 集成方案制定与集成调试4、 部署应用测试及集成测试提供符合系统培训相关的材料，并配合各地市 完成系统推广培训工作：培训 1、地市系统管理员培训一次2、 地市普通用户培训一次3、 地市对接应用系统改造培训一次34数据级联三年运维服务部省市服务联动调试工作

30、：1、完成省市数据服务联动三年原厂运维服务：1、 每周一次人工巡查2、 24 小时软件运行监测3、 每月一次系统运行状态报告4、 突发事件技术支持5、 第三方对接技术支持6、 投标文件中需对运维服务具体内容进行描 述，并书面承诺：合同签订前取得安徽省公安 厅“应用系统安全审计平台子系统”原开发厂 商三年服务承诺函。3.3 性能指标要求（1） 系统必须稳定、可靠，不因系统本身的原因造成死机、停止等故障， 系统有效运行时间 99.9%，系统故障平均间隔时间 180 天。（2） 省市级联响应时间不超过 8s。3.4 人员要求具有相关证书人员需全程现场参与项目建设与实施，否则取消中标人中标 资格并没收

31、履约保证金。3.4 实施进度要求（1）项目实施周期为 50 天。合同签订生效后 50 天内按照招标文件所规定16 / 39功能要求进行初步部署和用户培训。（2）投标厂商需在投标文件中作出书面承诺：自合同签订之日起五个工作 日内，完成合肥、芜湖、淮南、池州、宣城五个试点公安局的应用安全审计系 统实现省市两级应用安全数据联动，取得该五个试点公安局系统上线书面确认 函。投标文件中未明确书面承诺的，视为未完全响应招标文件技术需求，取消 投标人投标资格；中标厂商未完成书面承诺的，取消中标人中标资格并没收履 约保证金。4.应用安全审计基础支撑-国产数据库依据公安部相关建设标准规范，采购国产数据库一套，为全

32、省开展应用安 全审计业务提供基础数据库支撑。4.1 总体要求企业版，2cpu 许可，不限用户数，并提供原厂商授权承诺书和原厂 3 年售 后服务承诺函；产品技术先进、功能完备、安全可靠，数据库厂商需具有 cmm3 以上资质，并提供证书，且必须是成熟的第三方商用产品。4.2 兼容性产品必须跨平台，具有良好的兼容性、开放性，可以适应现有主流的硬件、 软件环境，支持异构数据库间的透明访问。支持 windows、linux、unix、aix、 solaris、国产操作系统等操作系统，支持 smp、集群硬件架构，支持 64 位，支 持 san 和磁盘阵列。支持其他主流数据库数据无损迁移至本地数据库，并拥有

33、成熟移植方案，技 术和案例；支持与异种数据库之间数据的平滑移植；应支持应用系统到异种数据 库平台上的平滑移植，提供数据和应用移植的图形化集成工具；产品必须有配套 的支持基于日志或者归档文件的 oracle 数据库实时同步功能，并提供产品著作 权证书。4.3 容错能力具有良好的容灾恢复能力，支持双机热备功能。提供多种备份/恢复手段， 支持事务故障、系统故障和介质故障恢复，可以恢复到任意指定时间点。17 / 394.4 高性能支持具有 tb 级大容量数据处理能力，支持大数量用户对同一数据库的并发访问。 能够提供第三方权威测试机构 10tb 以上评测报告。4.5 二次开发支持产品应支持多种语言的外部

34、过程加载。用户可将动态链接库、java 程序包 的外部程序定义成存储过程，可以直接调用。产品必须有配套的企业级数据库加 速引擎系统和安全智能数据整合平台，提供产品著作权证书。产品须有配套的智能报表平台、数据整合系统（etl）、olap 分析系统，并 分别提供产品著作权证书 ；4.6 安全性具有良好的系统安全性，支持存储加密和通信加密。提供自主访问控制、强 制访问控制、审计、加密、身份识别与验证等安全功能，安全级别达到国家安全 标准第四级要求，提供国家相关权威机构的软件产品安全测试报告、提供军用信 息安全产品认证证书军 b+级。产品须具有国家信息安全测评信息技术产品安全测评证书，级别： eal4

35、， 且在投标时须提供证书复印件或影印件；投标时须提供中国信息安全评测中心 颁发的自主原创产品测评证书复印件或影印件。4.7 高扩展性可满足业务数据量增大时的系统扩展要求。提供无共享的实时故障转移集 群，支持故障转移与集群节点的自动维护与管理功能4.8 对主流开发技术和 soa 的支持支持主流的 web service 技术。支持主流接口标准，提供对 x/open xa 等分 布式处理协议的支持。方便 web service 应用的编制，向开发人员提供广泛的开 发支持。4.9 查询、检索功能提供先进的查询技术和优化手段，支持多种检索功能，支持中文全文检索。 提供多语言全文检索功能（中文、英文、俄

36、文和日文等），支持精确查找与模糊 查找。18 / 394.10 服务3 年免费 7x24 维护。5.应用安全审计基础支撑-云平台病毒防护依据公安部相关建设标准规范，采购云平台病毒防护软件一套，满足在 vwmare 平台下的应用安全审计控制中心、级联管理等系统建设中的安全防护， 为全省开展应用安全审计业务提供基础安全支撑。5.1 产品基本要求（1） 必须为国产品牌，专业反病毒厂商产品，拥有自主知识产权；要求提 供原厂商的营业执照证明为国有品牌。（2） 分布式体系结构：整个防病毒体系是由五个相互关联的子系统组成： 管理中心、安全虚拟设备、日志中心、升级中心、查杀协作。各个子系统协同工 作，共同完成

37、对整个虚拟化平台的病毒防护工作；（3） 集中式授权管理：授权管理采用中心集中统一管理，管理中心自动维 护整个网络安全虚拟机的授权计数，此外，授权计数是可以累加的，用户需要扩 容时，只需在管理中心导入扩容授权证书即可；（4） 产品适合 vmware 虚拟化产品使用，授权数为虚拟器中 100 个 cpu 端点 数量，控制台可管理的 cpu 数和客户端数无数量上限。5.2 支持虚拟化运行环境（1）支持虚拟化系统vmware vcenter 4.0.0及以上；esxi5.1.0及以上（2）支持虚拟机操作系统系统windows vista（32-bit）、windows 7 （32-bit）、windo

38、ws xp sp2（32-bit）、 windows 2003sp2（32-bit、64-bit）、windows 2008（32-bit、64-bit）。5.3 系统管理技术要求（1） 管理控制台；基于 web 的界面交互方式，安全管理员可轻松、快速的 导航至特定信息并进行详细分析，浏览器支持 microsoft internet explorer 8 以上、firefox、google chrome、safari 等多种浏览器；（2） 安全管理：基于角色的用户管理，支持设置不同权限层级用户的访问19 / 39和编辑权限集合，控制用户可以操作和查看的功能信息，避免非授权人员使用引 发的安全风

39、险；（3） 安全策略的定制与分发；支持安全策略模板，管理员通过管理控制台 对全网或某个分组设置统一的防毒策略，也可对特定的客户虚拟机设置防毒策 略，保证防病毒策略的有效实施；（4） 总体安全概要分析：全面直观地展现整个虚拟化系统的安全情况，包 括：客户虚拟机存在病毒、升级情况和比例、安全防护系统的运行情况，让管理 员能够轻松地掌握虚拟化系统的总体安全情况并及时调整防毒策略；（5） 远程控制与管理：虚拟化系统安全软件具有全面集中管理和控制功能， 管理员可通过管理控制台或工具对客户虚拟机执行远程查杀病毒、远程开启 /关 闭实时监控、通知终端立即升级、远程安装/卸载终端；（6） 全网查杀毒：虚拟化系

40、统安全软件支持对虚拟机网络执行统一查杀毒 （即使本次没有启动的客户虚拟机，在下次启动后也会自动进行查杀毒），这样 就能全网统一行动，最大程度的减小了病毒传播的可能；（7） 病毒隔离备份：提供病毒隔离系统，将染毒文件安全隔离并备份，可 以从隔离区中对染毒文件进行恢复。防止误操作或异常情况下造成的文件损失， 为用户提供一个统一的病毒文件恢复机制；（8） 查杀协作是轻量化高性能软件组件，可选安装在被保护的虚拟机上， 配合安全虚拟设备实现查毒后的隔离及后处理操作；（9） 病毒与事件报警：管理中心记录了整个虚拟机网络中任意终端上发现 的病毒信息和异常事件，警报信息包含事件时间、严重性、终端、事件 id、

41、以 及内容。可提供组、子组、终端的名称、 ip 地址以及时间等范围进行警报信息 搜索，方便管理员及时发现染毒的客户虚拟机和系统运行的异常情况；（10） 病毒日志查询与统计：具有丰富的病毒日志统计与分析功能，能够统 计染毒终端最新记录、病毒最新记录、病毒趋势等诸多日志分析数据和图表，便 于管理员直观地掌握虚拟机网络内病毒感染情况和发作趋势；20 / 39（11） 日志报告管理：系统提供 “杀毒类报告”与“系统类报告”不同安 全报告，“杀毒类报告”提供详尽的病毒趋势、终端染毒情况、终端染毒排行 top20、病毒类型、病毒排行的分析报告，“系统类报告”提供详尽的终端版本统 计、终端在线统计情况以及升

42、级情况，日志报告提供据筛选条件（所有终端、组、 单个终端）进行报告的查看及导出，导出模式支持生成 pdf 格式文档；（12） 升级管理功能：支持在虚拟环境建立多个升级中心，支持增量升级， 以减少升级时带来的网络流量；可设置升级周期和升级时间范围，保证及时升级 并避免升级时引起虚拟机网络资源风暴，保证用户正常业务的通讯，对于当前没 有启动的虚拟机，将在下一次启动时进行升级，采用均衡流量的策略，尽快将新 版本部署到全部终端上，保证虚拟化系统安全软件时刻都是最新的，而且版本一 致，完全杜绝了由于版本差异而可能造成的安全漏洞和安全隐患。5.4 软件功能技术要求（1） 虚拟化系统支持多种安装方式，安装方

43、式包括：智能安装、远程安装、 域脚本登录安装等多种安装；（2） 支持自动增量升级方式：支持病毒库无缝主动式智能升级，支持指定 升级中心升级，采用均衡流量的策略，保证各虚拟安全机升级到最新版本；（3） 实时监控：支持在客户虚拟机文件被访问时查杀和截获病毒，阻止病 毒通过文件进行传播，全面保护客户虚拟机不受病毒侵害。5.5 产品资质要求 ,且在投标时须提供以下证书复印件或影印件：（1） 公安部销售许可证；（2） 计算机软件著作权证书；（3） 国家信息中心软件测评认证；（4） 采用无代理模式，具备 vmware ready 认证；（5） 军用信息安全产品认证。5.6 制造厂商资质要求，且在投标时须提

44、供以下复印件或影印件：21 / 39（1） 企业法人营业执照；（2） 国家信息安全服务（安全工程类一级）认证；（3） 质量管理体系 iso 9001 认证；（4） 信息技术服务管理体系 iso 20000 认证；（5） 信息安全管理体系 iso 27001 认证；（6） 具有产品原厂商出具的项目授权及升级服务承诺函。6.应用安全防护基础支撑-公共服务工具6.1 技术要求6.1.1 服务总线基于 soa 标准的服务总线，实现基于流程的跨领域的业务协同和流程定制， 同时提供企业级应用构建平台，通过封装应用系统通用组件，实现快速系统开发 的支持；同时提供各类服务接口，为其他各层提供相应服务，并进行统

45、一注册、 调度、调用管理。功能主要包括服务协议管理、服务调度、服务编排、安全控制、 调度管理、日志分析等。（1） 多服务协议功能。支持多种类型的服务资源，除支持常用的 web(web service) 服务外，还包括 xml 服务、消息传输服务，支持 servlet 、 file 、 jms 、mq 等多种数据服务传输协议的交互。（2） 服务调度功能。服务调度主要通过代理访问模式实现，即将服务请求 发往服务接口所挂接的资源服务总线，由资源服务总线代理访问服务接口，并 返回结果；同时也支持直接访问模式，就是资源服务总线根据服务请求方权限 信息向每次服务请求授予动态授权码，并将服务请求重定向到服务

46、提供方接 口，服务提供方检查授权码，通过后直接向服务请求方提供服务。（3） 服务编排功能。对于应用安全审计访问接口实现服务编排功能，可有 效提高服务日志监测的能力，实现对服务接口调用全生命周期的管理。（4） 安全控制功能。提供请求服务的权限检查，确保一个服务请求不被篡 改，确保数据请求的安全性。22 / 39（5） 调度管理功能。实现通过桥接器从请求服务系统开放的服务资源目录 与管理服务，获得公安信息资源服务平台上管理的各类服务请求方、服务资 源、标准规范、应用资源集和共享数据项集等资源目录信息，同时支持向总线 节点和运行监控提供相关资源信息，包括节点路由信息、服务资源和服务请求 方信息、授权

47、控制信息等。（6） 日志分析功能。实现对服务接口的运行状态监控、性能监控、负载监 控以及异常自动告警；从服务接口的在线率、访问量、访问成功率、响应速度 等方面对服务质量进行评价和排名。6.1.2 消息服务消息服务可对接服务总线，基于消息传送机制，支持人与应用，应用与应 用之间相互收发消息。支持系统消息集成管理、消息传输、安全访问等功能。 提供了包括消息队列、负载均衡、消息异常处理、消息重发以及消息日志记录 等一整套消息安全处理机制。（1） 队列分为持久化消息队列和非持久化消息队列，其中持久化消息队列 存放在磁盘等硬介质上，如存储在关系型、非关系型数据库上；非持久化的消 息存放在内存中，系统恢复

48、时不可恢复。（2） 消息服务需采取 broker-cluster 模式解决系统的负载均衡.（3） 需提供了异常处理机制，包括业务异常、系统异常、应用程序或 mq 异常。（4） 需提供了消息失败重发机制，基于可配置的消息重发策略，保证消息 的可靠性。（5） 需把所有由队列管理器控制的数据的重要更改到日志中，包括消息请 求日志、消息异常日志。6.1.3 认证中心实现安徽省公安机关统一用户登录和身份认证入口，支持系统内部用户名 / 密码身份认证和基于 pki 的数字身份证书认证，同时可支持分级身份认证。（1）支持 b/s、c/s 结构的业务系统集成，支持多个系统的用户信息、单位23 / 39信息、组

49、信息、角色信息、权限信息、资源信息的集中管理。（2）统一管理用户信息和机构信息，通过注册在服务总线上的服务，供其 他安全审计系统获取统一的用户信息和机构信息。6.2 服务需求本次项目提供应用安全设计基础支撑所需的公共服务工具的研发，包括服 务总线、消息总线、认证中心，要求在省厅部署实现 3 个典型的基础应用以验 证软件的可靠性与推广性，对全省各地市部署实施、应用对接、系统培训不在 本项目范围内。详细需求如下：序号12内容软件研发三年维保服务详细需求研发应用安全设计基础支撑所需的公共服务工 具，包括服务总线、消息总线、认证中心，要 求在省厅部署实现 3 个典型的基础应用三年原厂维保服务，运维期内

50、发生的需求变更， 中标厂商要及时响应予以解决。6.3 人员要求具有相关证书人员需全程现场参与项目建设与实施，否则取消中标人中标 资格并没收履约保证金。6.4 实施进度要求项目实施周期为 50 天，合同签订生效后 50 天内按照招标文件所规定功能进 行系统研发。7.应用安全防护-web 应用智能检测子系统7.1 技术指标技术指标硬件配置支 持 多 种 部 署 方式指标要求标准机架设备，1 个串口，4 个千兆以太网电口，1tb sata 硬 盘，单电源吞吐量不少于 300mbps，不少于 8000 子域名/天扫 描能力。至少支持单机部署、分布式部署 2 种部署方式24 / 39支持常见漏洞：sql

51、 注入漏洞、cookie 注入漏洞、xss 漏洞、 漏洞扫描 xpath 注入、ldap 注入、代码注入、文件包含、命令执行、目录遍历漏洞、信息泄漏漏洞、认证方式脆弱、常见弱口令、ssrf 1、支持同一个链接扫描频率可配置，支持内网自动扫描；支 持是否启用密码暴力破解功能配置及是否启用破坏性 sql 注入扫描策略准确率测试；支持扫描签名(user-agent)可配置；支持业务分组，按 分组查看报告、导出报告；支持添加禁扫网站、禁扫 url，支 持查看实时流量大小扫描出来的漏洞误报率小于 1%虚 拟 补 丁 提 供 对漏洞能够提供虚拟补丁，保证在服务器不重启的情况下修复能力漏洞监控与漏 洞平台a

52、pp 漏洞扫描漏洞全自动化监控 web 漏洞，只要业务有变动就能及时发现安全问 题；厂商须有成熟的漏洞平台，并且产品能够利用该漏洞平台 的成果，增强产品使用效果，投标时须提供具体漏洞平台相关 官网网址及说明。支持 app 漏洞扫描，能够自动发现 app 产品安全漏洞自 动 收 集 资 产 通过分析流量中的资产信息，可以全自动化的收集到业务系统清单清单，可以节省大量收集资产清单的时间新 域 名 自 动 提 通过分析流量数据和已有域名数据，能够自动推导出新增域名 醒 /资产厂商须有成熟的云安全体系，并且产品支持云安全体系，能够云安全体系直接利用云安全体系的情报，实现产品使用效果的最大化，投 标时须提供具体实现方式证明材料。可根据服务器扫描结果，提供服务器防护插件，拦截网页挂马、服 务 器 主 动 防 漏洞攻击等行为， 投标时须提供相关技术实现方式及证明材御能力支持 urlrewrite