发布日期:(略)
**大学应用数据风险监测系统招标公告
(开标时间202(略))
根据国家采购与招投标法律法规的相关规定,**大学(略)公开招标采购,欢迎具备投标资格条件的供应商参加。现将有关事项公告如下:
一、采购内容: 应用数据风险监测系统(参数详见标书附件)
1、本次采购1个标段:供应商应全部响应本标书采购文件所列示内容。
采购预算:(略)
2、采购范围:货物的供应、运输、安装、调试、培训和售后服务等。
二、供应商资格要求:
供应商须符合《中(略)
(一)具有独立承担民事责任的能力;
(二)具有良(略)
(三)具有履行合同所必需的设备和专业技术能力;
(四)有依法缴纳税收和社会保障资金的良好记录;
(五)参加政府采购活动前三年内,在经营活动中(略)
(六)法律、行政法规规定的其他条件。
(七)本项目不接受供应商联合体响应。
三、报名及获取标书文件的时间:即日起至(略)午5:00。(欲报名的公司请点击网站招标公告进行网上报名,免费下载标书,但请确认投标后再报名!)
四、开标(投标截止)时间、地点:2023年11月30日上午9:00,**大学采购与招投标管理中心会议室
1、投标人应当在投标时间截止前到开标现场递交密封的投标文件,投标人凭当天开标的投标文件从弘毅门(西门)进校。
2、若不(略),请签署《不出席开标现场声明函》,须单独封装和投标文件一起递交,请按照下列邮寄地址(用顺丰快递非同城急送)将投标文件快递至指定地点。请投标人合理预留投递邮寄时间,投标人因自身贻误行为导致投标失败的,责任自负,缺《不出席开标现场声明函》的按废标处理。
收件地址:**大学采购与招投标管理中心(文理学部财务大楼407室),许老师收,电话(略)。
五、联系人及联系方式:
项目联系人: (略)
联系电话: (略),(略)
邮箱地址: (略)
**大学采购与招投标管理中心
2023年11月21 日
**大学应用数据风险监测系统招标文件
(开标时间(略)
根据国家采购与招投标法律法规的相关规定,**大学拟对信息中心应用数据风险监测系统进行校内平台公开招标采购,欢迎具备投标资格条件的供应商参加。现将有关事项公告如下:
一、采购内容及技术指标要求(详见标书附件)
二、本项目采购时间安排表
1、供应商提出书面问题时间:供应商应认真阅读标书中的所有条款、事项、格式和技术规范、参数、图纸、附表和附件等要求。如有疑问,应在递交标书截止时间3天前以书面形式提出(质疑函请注明公司名称、联系人、联系方式并加盖单位公章);逾期不予受理。
2、采购人发答疑文件时间:答疑文件或修改后的采购文件在递交截止时间2天前以电子邮件或电话方式通知所有购买采购文件的供应商。请供应商自行、及时查看邮箱(不及时查看邮箱者责任自负)。供应商应立即以传真或电邮形式回复采购人,确认已收到。没有回复的,视同已收到。
3、为(略),采购人有权推迟采购会日期,并将此变更以电子邮件或电话方式通知所有获得标书文件的供应商。
4、标书递交时间:(略)午9:00之前。邮寄标书请投标公司用顺丰快递(非同城急送)提前一天送达。
收件地址:**大学采购与招投标管理中心(文理学部财务大楼407室),许老师收,电话(略)。
投标文件递交截止及开标开始时间:(略)午9:00。地点:**大学采购与招投标管理中心会议室。
三、投标文件编制
投标文件所有内容须装订为一册,正本1份、副本2份。
1、投标文件须载明如下内容:响应承诺函、响应报价一览表(进口货物要求CIP**外币报价)、分项报价清单、技术响应情况表、法定代表人身份证明书、法定代表人授权委托书、公司简介;公司营业执照、税务登记证、组织机构代码证复印件及销售许可证或代理销售资格证明等有关资信证明(加盖公章)、供货期、质保期等。供应商应按本采购文件要求提交商务、技术部分的内容和需要供应商自行编写的其他文件。采购响应文件的编制要求及编排顺序必须使用格式样本。(请上本中心网站:https://(略)edu.cn/info/1008/5049.htm下载“采购响应文件格式范本”)。
2、投标文件规(略)(A4),按“采购(略),统一编(略)(投标文件(略)排页码)。
四、投标文件包封
1、投标文件1正本2副本合并成一个包封,封包上应写明供应商名称和项目名称(包括采购分项名称),在封袋骑缝处以显著标志密封,并盖单。
2、“采购响应报价一览表”请用信封单独密封,在递交(略)。信封上写明(略)(包括分项名称)。信封(略)。邮寄标书的并附上盖章的《不出席开标现场声明函》。
3、供应商投报多个采购分项的,应对每个分项(略)。
五、投标文件的递交
1、投标文件须由供应商的法定代表人或其委托代理人递交(邮寄快递投送的标书包装内须附上《不出席开标现场声明函》)。
2、供应商应在规定的时间和地点递交投标文件,逾期递交的投标文件不予受理并原封退回。
3、未(略)。
六、评审办法
(一)评审原则
公平、公正;(略)。
(二)评审指标
一般以产品质量、技术参数、响应报价、供货期限、质(略)
(三)评审
1、(略)
评审委员会严格依据采购文件规定的各项要求,对投标文件的商务资质、技术配置、价格组成等进行审核,经评审委员会认定为符合性评审不合格,不得进入下一阶段评审。投标文件有(略),视为符合性(略):
(1)投标承诺函未(略)(签字),或法定代表人(略)
(2)供应商资质、业绩证明文件未提供或不能满足招标文件的要求的;
(3)投标文件不满足招标文件技术规格中(略)
(4)投标文件技术规格、参数超出允许偏离的最大范围的;
(5)投标文件技术规格中的响应与事实情况不符或虚假响应的;
(6)有备选方案的供应商,凡未按要求(略)
(7)未按规定格式填写,内容不全或关键字迹模糊、无法辨认的;
(8)不符合采购文件中规定的其他实质性要求的。
2、详细评审
(1)评审委员会对已通过符合性评审的所有投标文件中的主要技术配置和性能参数进行逐一比较,明确不同品牌之间的参数或配置差异;
(2)评审委员会结合响应报价、技术性能、质量差异、同类项目业绩、售后保证等进行综合评审;
(3)评审委员会按照综合评审的原则,独立地对符合招标要求的投标供应商进行择优排序。
3、有下列情形之一的,应进行重新采购
(1)所有投标供应商的响应报价均超过了采购预算的;
(2)因明显缺乏竞争时,评审委员会可(略)。
(四)定标
1、评审委员会综合各评委的评审结果,并按照评委中少数服从多数的原则,最终作出评审决定。评审决定可以直接确定成交供应商,也可以推荐(略)。当评审结果为“推荐成交供应商候选人”时,须经商务谈判小组依序与成交供应商候选人洽谈后确定成交供应商;
2、评审委员会完成评审程序后,对最终评审决定(略)。
七、(略)
国产设备:在货物验收合格后七个工作日内向乙方支付合同总金额的90%,余额10%在验收合格使用半年后7个工作日内支付。
进口设备:采用信用证付款方式(L/C)。甲乙双方(略),乙方按照签订协议当天的汇率,将协议价款10%支付至学校财务基本账户(设备验收合格后一个月退回乙方)。甲方委托的外贸代理公司与乙方委托的境外供货商签订外贸进口合同后,甲方外贸代理公司开具100%信用证,见单即付。
项目联系人: (略)
联系电话: 027-68754516,68754597,邮箱地址: (略)
**大学采购与招投标管理中心
(略)
附件一: **大学应用数据风险监测系统参考技术指标
硬件要求 | 硬件参数 | 1、2U机架式(专用硬件平台),冗余交流电源,内置:2G(略),6GE板(略)(SFP)板载接口和2×接口板卡插槽。 2、CPU不小于8核16线程,内存不小于64GB,硬盘不小于8TB硬盘。 3、网络流量(略),HTTP吞吐量 不小于1.5Gbps/秒,日志入库量不小于4000条/秒,日志峰值吞吐量不小于5000条/秒。 4、标配30个探针授权和不限制业务系统个数授权。 |
协议支持 | 网络协议 | IP(略) |
解析协议 | HTTP、HTTPs、HTTP2、TLS、Dubbo | |
接口协议类型 | HTTP、Soap、gRPC、GraphQL、Jsonp(略) | |
请求类型 | POST,GET(略),TRACE | |
**类型 | HTML,JSON,XML,TXT,PDF,DOC,DOCX,XLS,XLSX,CSV,PPT,PPTX,ZIP,RAR,7z,TAR,GZ,WPS,ET,DPS,RTF,OFD | |
发现能力 | 发现信息 | 接口URL、服务器IP、服务器端口、所属应用、账号、地域、客户端IP、客户端端口、包含敏感数据、敏感文件、**类型、请求方法、请求头、请求体、响应头、响应体、行数等 |
敏感应用梳理 | 应用清单 | 展现系统识别的所有应用:支持筛选(略)用域名进行应用识别,可以对重点应用进行关注 |
应用合并/拆分 | 支持手动以及规则匹配形式进行应用合并;支持根据接口规则相似度进行智能应用合并推荐;支持手动以及规则匹配形式进行应用拆分 | |
应用自动发现 | 支持自动发现应用系统的相关信息:应用域名、应用名称、应用状态、首次发现时间等 | |
应用发现范围 | 支持按照IP、IP地址段、域名、响应状态码配置发现范围,可设置黑白名(略) | |
应用发现结果核实 | 支持自动核实发现结果并自动添加到应用清单。可配置发现结果的核实方式,包含自动核实与(略) | |
应用监控状态 | 可针对应用的监控状态进行开启与关闭的设置 | |
敏感(略) | 接口自动发现 | 通过接口自动化发现技术,对网络流量中的URL进行模板化提取,对包含敏感数据的接口自动打上敏感数据标签,例如身份证、姓名、手机号等 |
接口(略) | 对识别出来的应用接口进行自动分类,接口类型包含敏感接口、普通接口、登录接口、脱敏接口、伪脱敏接口、第三方接口、文件(略) | |
接口清单 | 展现识别出的所有接口:可按接口地址、接口名称、行数、接口类型、接口等级、**类型、数据标签、接口标签、所属应用、请求方法、请求类型、响应类型、访问域、监控状态、请求敏感标签、响应敏感标签、敏感级别、发现时间等条件进行过滤;支持手动配置接口地址进行接口识别;支持对重要接口进行标记 | |
接口合并/拆分 | 支持手动配置规则匹配和自动规则匹配形式进行接口合并;(略),智能进行合并的接口列表推荐 | |
接口监控状态 | 可针对接口的监控状态进行开启与关闭的设置 | |
敏感资产 | 敏感(略) | 支持敏感信息的自动发现能力:能对姓名、地址、电话、身份证、统一信用代码、银行卡号(略) |
敏感数据发现策略 | 支持针对敏感数据标签的发现策略进行配置 内置敏感数据特征库,内置>150(略) 支持策略的(略) | |
敏感数据清单 | 展现识别(略),以及敏感数据的标签、数据内容、敏感级别、所属应用(略) | |
行为检索 | 支持敏感数据行为的查询,近30种检索条件:客户端ip、客户端端口、账号、账号类型、所属应用、应用域名、接口地址、接口类型、请求方法状态码等条件检索 | |
行为分析 | 可基于账号、接口、应用的访问量、行数、涉敏访问量维度进行top展示;并进行多维度周期趋势对比图展示;进行趋势分析与统计,并以(略)的详细信息展现 | |
Top API | 以接口请(略),进行(略),展现数据,供用户分析参考,以耗时取前10倒序排序 | |
业务化数据智能识别 | 针对返回的敏感数据内行的行数,进行行数提取特定的敏感标签 :手机号、个人姓名、住址、邮箱地址、国际手机号、身份证号、军官证号、银行卡号、港澳通行证号码、港澳居民往来内地通行证、中国护照号、澳门身份证号码、台湾身份证号码、以及客户自定义的, 以这些敏感标签为行数自动拆分的依据 | |
数据分析 | 支持基于数(略),进行全局联动筛选:应用、API、账户、客户端ip、会话等维度秒级响应;支持(略) | |
分类分级 | 支持对接口传输的敏感数据自动进行分类并设定敏感等级;支持自定义数据分类及敏感等级 | |
应用(略) | 账号自动发现 | 支持从网络(略) |
账号(略) | 支持对应用系统的账号发现策略进行配置 | |
账号清单 | 展现系统识别到的所有应用账号信息,支持按照应(略) | |
风险监测 | 风险监测 | 可从网络流量中识别出数据安全风险,例如涉敏访问、超量访问、频次异常、非工作时间、账号共用、密码泄漏等 |
风险规则 | 规则类型:内置6大规则分类,近40小类风险规则,如涉敏访问、超量访问、频次异常、未知敏感数据、非工作时间访问、账号共(略) 白名单:支持根据接口、IP、账号等维度构建白名单 | |
风险规则指标项 | 支持访问次数、敏感数据总量、时间域、敏感数据类型总量、ip数量、账号数量、去重接口数量、登录失败次数、去重敏感数据量、去重密码数、去重账号密码组合数 | |
风险告警方式* | 提供短信、邮件、Syslog、kafka、企业微信、界面等告警方式;能够根据自定义按照敏感数据条数、时间、ip等条件确定告警级别,并能够配置地区(**市、校园网)ip白名单。 | |
基线学习 | 支持建立自(略),进行API风险监测;支持自定义基线学习起止时间;支持细粒度的基线学习筛选,可指定应用、账号、接口进行细粒度的基线学(略) | |
风险处置 | 支持对风险进行处置标识 | |
接口脆弱性监测 | 脆弱性监测 | 规则类型:内置5大规则分类,近30小类弱点规则维护,可从网络流量中识别出接口脆弱性,例如接口未鉴权、接口参数可遍历,明文密码传输、伪脱敏、弱密码、接口可执行系统命令、接口可执行SQL语句等 支持自定义敏感标签及关键字响应范围; 支持对监测范围从接口、应用维度进行自定义 |
脆弱性规则指标项 | 敏感标签、忽略遍历参数关键字、忽略遍历参数关键字、忽略后缀、授权关键字、URL授权关键字、命令关键字、登录异常关键字、SQL关键字、SQL注入关键字、令牌关键字、弱口令集、敏感标签上限、敏感标签类型上限、每页条数限制、文件路径关键字、分页关键字、每页条数关键字、短信内容关键字、短信手机号关键字、SQL参数关键字、遍历参数 | |
分析报表 | 内置报表 | 内置8种专项报表,涉及:敏感数据暴露(略)报告; 支持对报表加入定时任务进行周期推送 |
自定义报表 | 支持按照资产、行为、风险、弱点等视角快速定制自定义报告,可选择饼状图、柱状图、折线图,(略)址、风险量、风险等级等。 | |
线索追溯 | 可以对收集的网络流量进行分析,一旦发生数据安全事件,可基于敏感数据内容进行追踪溯源,同时可基于(略) IP /应用/接口进行追踪溯源,还原用户账号或 IP 历史访问轨迹画像及敏感数据流向统计 | |
定时推送 | 支持自定义定时推送报表任务及线索追溯任务;支(略) | |
全流量检索 | 支持所有数据访问行为的查询,不少于10种检索条件 | |
主体画像 | 应用画像 | 支持针对单一应用,可选择时间段内,进行多维度趋势分析及统计:(略) |
接口画像 | 支持针对单一接口,可选择时间段内,进行多维度趋势分析及统计: | |
账号画像 | 支持(略),可选(略),进行多维度趋势分析及统计;可以根据月、周、日、行为基线等维度进行单账号画像对比 | |
IP画像 | 支持针对单一IP,可选择时间段内,进行多维度趋势分析及统计: | |
数据分析 | 敏感数据统计 | 系统可按照应用、数据敏感等级、时(略)敏感数据等级对数据特征的分布情况进行分析。可按照数据的视角,对敏感数据的访问及流向进行分析,以图形化的方式展示敏感数据暴露在哪些应用及接口中,被哪些客户端IP和应用账号访问过。 |
首页 | 资产概览 | 支持展示应用、涉敏应用、风险应用、失活应用、弱点应用、新增应用、接口、涉敏接口、新增接口、失活接口、风险接口、弱点接口的数量 |
数据概览 | 支持展示敏感数据访问总量及今日访问量。支持按照数据分类及敏感等级对数据特征(略) | |
风险分布 | 支持以图形化方式对频繁产生的风险及弱点进行统计排名:包括但不限于风险等级、风险类型、应用风险、接口弱点分布及top排名 | |
最新发现 | 支持展示最新识别的敏感数据特征及数据量,新发现的接口及(略) | |
日志备份和恢复 | 日志备份与恢复 | 支持日志自动备份到本地和远端FTP、SFTP服务器 支持日志、系统配置的导入导出 支持高性能、高压缩比不同选择模式进行数据备份 |
系统管理 | 系统架构 | B/S架构 |
网卡管理 | 支持IPv6、IPv4的网络配置 自身网卡管理、旁路网口管理、静态路由管理 | |
授权证书管理 | Licen(略),并查看当前证书状态 | |
系统升级 | 支持系统升级并显示升级历史及系统当前版本 | |
自身安全 | 系统告警 | 对自身运行进行实时监控,并通过告警通知当前系统运行状况,系统告警内容包括:(略) |
三权分立 | 默认提供(略),支持账户三权分离,如管理员只负责完成设备的初始配置,审计员只负责查看相关的审计结果及告警内容,日志员只负责完成对系统本身的用户操作日志管理 | |
系统用户组 | 支持(略),对用户组赋予角色、权限 | |
安全管理 | 网络访问设置:WEB管理平台访问设置、SSH访问权限、SNMP访问限制、安全日志访问限制 | |
自动诊断 | 支持产品自动诊断能力,便于产(略) | |
产品资质 | 知识产权 | 产品具备《计算机软件著作权登记证书》,提供(略) |
销售许可 | 产品具备《计算机信息系统安全专用产品销售许可证》,检测依据:(略) | |
公司资质 | 质量管理 | 厂商通过ISO9001认证,认证范围:数据安全系统的(略),提供证书复印件 |
信息安全管理 | 厂商通过ISO27001认证,认证范围:与数据安全系统的技术开发及服务相关的信息安全管理活动,提供证书复印件 | |
信息安全服务 | 厂商具备信息安全风险评估服务资质,提供证书复印件 | |
厂商具备信息系统安全集成服务资质,提供证书复印件 | ||
厂商具备信息(略),提供证书复印件 | ||
国产化兼容能力 | 兼容各种国产化环境,提供(略):中科可控H系列服务器-产品兼容性互认证、中科可控R系列服务器-产品兼容性互认证、中科可控企业级机架式服务器-产品兼容性互认证、龙晰操作系统Anolis OS 8产品兼容互认证明、统信服务器操作系统V20-软件产品互认证明、宝兰德应用服务器软件V9.5-产品兼容性互认证证书、海光3000 5000 7000-海光CPU生态(略)证 | |
售后服务 | 培训咨询服务和质保 | 1、提供不低于8个学时的原厂培训。 |