《标的3:深圳供电局有限公司生产指挥中心IPv6智能技术专网主站系统安全防御建设技术规范书(天选打工人).docx》由会员分享,可在线阅读,更多相关《标的3:深圳供电局有限公司生产指挥中心IPv6智能技术专网主站系统安全防御建设技术规范书(天选打工人).docx(57页珍藏版)》请在第一文库网上搜索。
1、深圳供电局有限公司2023年5月目录1 .总则41.1 总体说明41.2 投标须知41.3 工程实施要求51.4 技术应答要求62 .应遵循的主要标准73 .技术要求83.1 总体技术要求83.2 功能要求833硬件及操作系统要求384 .试验384.1 总体要求384.2 现场验收394.3 竣工验收405 .双方工作安排425.1 招标方职责425.2 中标方职责435.3 项目管理435.4 资料管理435.5 技术联络会与培训435.6 安装调试455.7 现场服务及售后服务466 .项目保密要求477 .网络安全要求487.1 总体要求487.2 安全防护487.3 保密要求487.
2、4 体系结构安全487.5 系统本体安全517.6 安全监测547.7 安全物理环境547.8 并网安全测评和评估计划557.9 关键信息基础设施增强要求错误!未定义书签。8 .订货范围551总则1.1 总体说明a)本技术规范书适用于深圳供电局有限公司(以下简称“招标方”)深圳供电局有限公司生产指挥中心IPv6智能技术专网主站系统安全防御建设(实施部分);b)本技术规范书提出的系统建设目标、规模和业务需求及技术要求等,可供具备所要求资质参与投标的供应商(简称“投标方”)编写投标文件之用;中标的投标方简称“中标方”,系统的最终用户为深圳供电局有限公司(以下简称“用户方”);c)双方项目违约的处罚
3、将在合同谈判中明确。1.2 投标须知a)本招标书中提出的仅为最低限度的技术要求,并未对一切技术细节作出规定,也未充分引述有关标准和规范的条文,投标方应提供符合相关标准和本技术规范的产品。本技术规范所使用的标准如与国家、行业、公司以及投标方所执行的标准不一致时,按要求较高的标准执行。b)投标方提供的技术应答内容至少应包括技术方案(包括功能实现方案等)、工程计划(包括工程进度计划、技术联络会、技术培训计划)等。c)投标方提供的产品必须是标准的,技术上是成熟的,所有产品应是全新的,具有先进结构,并能在中国境内安全使用(包括软件产品必须具有在中国境内的合法使用权),符合环保要求。d)投标方的投标文件应
4、以中文简体编写(原厂商的资料可为英文),所有的计算、说明和图纸等均应采用国际单位。投标方应保证对本次招标的所有技术说明文件保密,在招标前和招标后不得向其他单位公布招标项目单位的有关材料。e)本招标书的解释权属于招标方。未经招标方同意,任何个人和单位对招标书所作的任何修改均无效。在未经双方商定作为订货合同技术附件之前,招标方保留对招标书进行修改的权利,投标方可以提出变更的意见和建议。招投标双方签订合同之后,招标方有权提出和投标方有责任接受因国家、行业、上级主管单位等的规范、标准和规程等发生变化及与相关系统接口要求改变所产生的一些补充要求。具体事项由招投标双方共同商定。f)本招标书在内容或技术指标
5、上如果存在错误(包括拼写、印刷错误),投标方应及时提出并要求招标方澄清,经招标方确认后对错误内容进行修EO1.3 工程实施要求投标书应针对如下工程实施要求逐项进行确认和应答。a)本项目主要供货范围包括深圳供电局有限公司生产指挥中心IPv6智能技术专网主站系统安全防御建设(实施部分),投标所采用产品及服务必须完全满足招标规范要求。清投标方确认。应答:b)中标方应负责所供设备的安装、调试及会议培训在内的技术服务,其中安装调试工作包含系统平台部署。中标方应积极配合项目建设工作,与其它标的中标方、施工方积极配合,如因中标方原因或配合不力造成的一切损失,均由中标方负责。请投标方确认。应答:c)投标方所供
6、货物应与其他设备厂商所供产品兼容性良好,如因兼容性问题需要设备调换或测试,中标方应积极配合,不得以任何理由拒绝。请投标方确认。应答:d)投标方在本项目招投标、提供产品/服务直至质保期结束应遵循深圳供电局有限公司网络安全技术管控工作指引相关要求,请投标方确认。应答:1.4 技术应答要求a)投标方提供的投标书应分别针对商务招标书和技术招标书进行应答。其中商务投标书对商务招标书进行逐项应答,技术投标书对技术招标书进行逐项应答。b)投标方在应答书中,按本招标书中所提的技术及工程要求,对涉及到的主要产品、技术及服务,提供详细的性能参数和技术说明。投标方亦可根据自己的产品技术性能具体情况,在应答书中提出建
7、议,并附详细资料和说明。c)技术应答书中应提供所采用的设备清单,按附件一填写。d)如果投标方提供的设备与本招标书的要求有差异,应在投标书中以“技术差异表”为标题的专门章节中加以详细描述,并按附件二中指定的格式填写。e)投标书中应按附件一分项列明外购的设备(包括软件)。2.应遵循的主要标准除本招标书特别规定外,投标方所提供的设备均应按照国际、国家、行业、公司标准、规范、规定进行设计、制造、检验和安装。所用的标准必须是其最新版本。除非另作特别规定,所有合同设备,包括中标方从他处获得的全部设备或附件,都必须满足最新版本的相关标准,包括在投标时已生效的任何修改和补充。如果投标方选用标书规定以外的标准时
8、,需提交与这种替换标准相当的优于标书规定标准的证明,供招标方确认。本招标书主要引用或参照了以下标准和规范,投标的设备和产品应符合本技术规范及下列标准和规范的要求:a)中华人民共和国网络安全法b)电力行业网络安全管理办法c)电力行业网络安全等级保护管理办法d)中国南方电网有限责任公司发展战略纲要e)南方电网公司管理信息系统安全等级保护标准f)南方电网公司信息安全保障体系g)南方电网公司信息化项目管理办法h)南方电网公司信息系统建设管理办法i)中国南方电网电力监控系统网络安全管理办法j)中国南方电网电力监控系统安全防护技术规范k)南方电网公司全面推行精益管理总体工作方案1)南方电网生产项目准入及预
9、算标准-2023深圳供电局有限公司生产指挥中心IPv6智能技术专网主站系统安全防御建设(实施部分)技术规范书3.技术要求3.1. 总体技术要求1、生产指挥中心IPv6智能技术专网主站系统安全防御建设(实施部分)功能模块需遵循中国南方电网电力监控系统安全防护技术规范技术路线,基于智能技术专网监控安全的要求开发部署功能,保证软件代码所属权,需基于电力监控系统安全防护规定技术原则要求“安全分区、网络专用、横向隔离、纵向认证”,本项目在安全三区建设,部署在智能技术专网内部,生产指挥中心IPv6智能技术专网主站系统安全防御建设(实施部分)功能模块确保自主安全可控。2、本项目部署应符合等保三级各项要求。3
10、、生产指挥中心IPv6智能技术专网主站系统安全防御建设(实施部分)部署在IPv6智能技术专网的安全专区、APN接入区需采用防火墙和加密装置等防护措施,同时应综合采用静态口令、动态口令、密码技术、数字证书、生物特征等两种或两种以上组合技术实现用户身份鉴别功能。4、生产指挥中心IPv6智能技术专网主站系统安全防御建设(实施部分)所有功能模块需支持IPv6网络环境,兼容IPv6IPv4双栈运行相关协议。3.2. 功能要求321.应用功能标注的条款为关键条款,投标方应出具相应技术资料证明达到条款和技术参数的要求,作为评标时打分的重点参考。3.2.1. 1主机安全防护系统功能功能及技术指标详细技术参数管
11、理架构要求采用B/S和C/S双重架构设计,管理控制中心高度集成化,无需额外安装或外接数据库即可实现日志存储和分析展示,无需额外安装或对接升级服务器即可实现文件、特征库的升级和分发;管理中心无法使用时可通过c1ient端直连服务器进行功能管理;产品高度集成,所有功能仅需在服务器端部署Agent,使用管理中心以及c1ient端即可全部实现,无需部署其他额外软硬件;多个管理中心可以集中对接到集中管控中心,实现分级部署集中管控的管理需求。安全总览支持从安全防护和运维监管两个维度对监控防护数据进行统计展示,包括但不限于服务器类型及Agent安装统计、外部风险类型分布统计、外部风险主机列表、服务器巡检问题
12、类型分布统计、服务器巡检问题主机列表,安全策略防护状况统计等。实时监测实时展示当前发生的安全事件和日志并进行多维度的数据统计,数据指标包括但不限于服务器状态、事件拦截情况统计、事件危险等级分布、事件类型分布、攻击时间分布等;支持对服务器进行一键快速隔离等应急措施;支持对安全事件进行快速处置;支持对安全日志进行忽略操作。事件报警支持安全事件和日志的分类列表展示,可以通过多维度的高级筛选和多字段的模糊查询进行快速定位,支持列表的导出;支持对服务器进行一键快速隔离等应急措施;支持对安全事件进行快速处置;支持对安全日志进行忽略操作;支持全量日志的多字段模糊查询,有查询历史功能。资产梳理支持资产数据分类
13、进行展示,支持全量资产的模糊查询操作;资产数据采集基于任务的操作方式,可以支持周期性的定时任务;支持多级组织机构的资产管理,可以为资产指定分组进行管理;Web应用防护支持从Web应用漏洞防护、威胁行为防护等层面对主机的Web应用进行安全防护,可以应对互联网上普遍存在的网络攻击;防护策略中的防护项可以单独设置防护模式,支持监控、拦截两种模式,拦截模式会对行为进行拦截并报警,监控模式则只报警不拦截;支持多策略机制,可以为不同的服务器群组定制不同的Web防护策略。主机系统防护支持对高风险的系统操作行为进行监控和拦截,可以防端口扫描和防暴力破解;防护策略中的防护项可以单独设置防护模式,支持监控、拦截两
14、种模式,拦截模式会对行为进行拦截并报警,监控模式则只报警不拦截;支持Windows和1inux操作系统,支持多策略机制,可以为不同的服务器群组定制不同的系统防护策略。应用堡垒锁基于白名单机制的主、客体可信行为防护,可以有效的防御零日漏洞等未知攻击;可以对每一个进程主体单独设置防护模式,支持监控、拦截两种模式,拦截模式会对行为进行拦截并报警,监控模式则只报警不拦截;支持多策略机制,可以为不同的服务器群组定制不同的应用堡垒锁防护策略;系统堡垒锁基于黑名单机制的主体行为防护,防护内容包括危险文件读写防护、危险命令执行防护等;可以对每一个主体操作对象单独设置防护模式,支持监控、拦截两种模式,拦截模式会
15、对行为进行拦截并报警,监控模式只报警不拦截;支持多策略机制,可以为不同的服务器群组定制不同的系统堡垒锁防护策略;微隔离访问控制支持端口控制级别的细颗粒度主机访问隔离控制;支持单台或批量服务器的进站和出站双向控制;支持自定义端口组功能;一键隔离支持单台或批量服务器的单、双向应急隔离控制。基线扫描基于任务的操作方式,可以支持周期性的定时任务;支持自定义检查项,支持检查项模版功能;可以生成基线检查报告,支持导出功能。风险扫描基于任务的操作方式,可以支持周期性的定时任务;支持自定义风险扫描内容,包括但不限于木马、后门、漏洞、弱口令、补丁;可以生成风险报告,支持导出功能。一键切换运维模式支持一键快速切换服务器防护模式和运维模式,方便运维管理。禁扫时间设置支持设定禁扫时间段,在禁扫时间段内将无法下发资产、风险及基线扫描任务。未知主机探测支持对未安装GOIAgent主机的探测,主动发现未知主机资产IP黑白名单支持将IP地址或IP段加入系统黑
免费区 
