关于上海市教育考试院数字院区统一身份认证服务采购的询价公告
2018-10-10 16:20:40
一、项目背景
上海市教育考试院建设有门禁管理系统、邮件管理系统、财务管理系统、图书借阅管理系统、上网认证等通用型办公业务管理系统,同时,各业务部门建设有与考试院业务紧密相关如中考、高考、自考、招生等业务相关的业务系统。为支撑教育考试院众多的业务管理系统及办公管理系统的运行,我院已建设有上百台虚拟化服务器组成的服务器运行区域,在服务器上运行、存储众多数据库系统及各类保密与核心业务数据。
随着上海市教育考试院的业务发展及IT建设资源的优化更新,提升用户管理系统操作体验、便捷性,提高IT运维人员管理便捷性、安全性,增强IT建设信息化安全程度等均提上日程。
为提高后台运维管理人员的工作效率,确保虚拟化服务资源的管理能力提升、安全控制能力提升、可审计性提升等,我院拟通过采购内部资源控制管理服务的形式,来提升管理、安全、审计等方面能力,为运维服务人员提供更可靠的环境支撑。
二、项目需求
1.统一身份安全服务
(1)提供用户身份生命周期管理服务
通过提供组织机构、用户管理等功能管理,实现对运维人员上岗、岗位调整等对应的身份生命周期的统一管理服务,支持账号新建、修改、启用、禁用、删除等基本功能。
(2)用户主数据管理服务
提供主数据管理服务,以主数据管理作为身份信息的主数据源,整合现有的身份账号数据,通过建立统一的用户身份信息,使得管理的主题由原有的资源帐户为中心,上升到以实名用户为中心。支持对设备维护人员进行分组管理,可以对应为维护人员所在部门或者小组。
(3)账号管理
提供账户标识身份管理服务,包括资源账号生命周期管理,包括账号创建、账号修改、状态调整、账号提取、物理账号创建、帐号删除、帐号查询等能力.
(4)密码管理服务
通过密码管理服务功能,实现账号密码重置,可以根据不同资源类型、帐号级别指定不同的帐号密码重置策略周期,定期重置帐号密码;管理员也可以通过管理台手动为单个帐号重置密码。实现资源帐号密码以密码信封的形式打印保存,并提供密码信封库存管理功能。实现资源帐号密码链查询及下载的功能,查询必须通过二次认证,下载密码链存放在加密的zip包中。
2.访问管理服务
访问管理是保证接入安全的重要手段,它负责管理允许登录从安全内控管理平台接入的设备维护人员及需要被维护的目标设备对象,对接入后的访问策略、访问过程以及访问方式进行集中控制管理。
(1)身份认证服务:实现普通的用户名/密码认证,支持第三方认证方式,如动态令牌、手机短信一次性口令等,经平台认证通过后访问相关目标设备无需再次认证,即实现了通过网络安全管控平台统一了所有被管理目标设备的认证并支持强认证。
(2)系统权限控制服务:据对不同来源、不同身份的设备维护和管理人员的权限和职责,对其实际可管理的设备进行授权,用户只能看到其有权限的设备和管理菜单。可实现对于用户和用户组的授权,可实现命令控制(黑名单功能)。
(3)单点登录服务:维护人员通过登录安全内控管理平台后,在维护授权的目标设备时无需二次认证,实现设备维护管理基于实名制的单点登录。
(4)访问控制策略控制服务:定义设备维护人员或所属组与目标设备、设备内部管理帐号的关联策略,以及允许的IP地址或时间段等控制策略的维护,即实现:什么人或什么组、使用什么IP地址、在什么时间、可以维护什么设备、甚至使用机房设备的什么帐号
3.资源管理服务
实现对安全设备、网络设备、服务器主机、数据库、应用服务器等设备的基本信息的新增、查询、编辑和删除等服务,以及设备管理方式的定义、设备内部管理帐号及密码的录入功能,以及相关参数的配置。包括以下管理内容:
? 设备的名称、IP地址、管理端口、描述等基本信息的管理。
? 设备内部管理帐号和密码的管理。
? 设备的类型等管理。
? 设备访问方式的管理。
? 不同设备不同参数的管理。
4.安全审计服务
机房设备维护人员对机房设备的操作行为将被记录并审计,接收和保存日志至据库,用于安全审计和追踪依据,不仅可以确保维护人员以认真负责的态度对待设备维护工作,并可以作为事后调查的技术手段。
(1)提供日志记录服务:为企业领导和IT部门经理提供可视化的日志信息。日志记录范围包括:
? 设备维护人员访问安全内控管理平台用户界面的登录、登出行为;
? 设备维护人员进入被管理的目标机房设备的登录、登出行为;
? 设备维护人员进入被管理的目标机房设备所做的所有操作
(2)提供操作记录服务:提供对设备维护人员操作设备的会话查询功能,能够根据类型、原因、起始结束日期、操作人等进行搜索查询。
对于所有管理方式的设备维护过程,均提供操作回放功能,支持用户操作场景的真实再现,以更直观的方式审计用户操作;
(3)提供命令记录服务:可以看到本次会话中,操作员执行的所有命令的命令日志。
(4)提供实时监控服务:提供维护日志跟踪功能,从业务流程上保证维护任务的可监控、可管理性。
5.自助平台服务
为降低维护人员的工作负担,需要为维护人员提供自助服务,方便他们对个人基本信息进行修改,以及对登录安全内控管理平台操作管理界面的密码进行修改:
? 设备管理人员可以通过自助服务查看本人的身份信息,并能够对个人基本信息进行修改。
? 设备管理人员可以通过自服务工作流,来自助申请资源主机的访问权限,审批管理员可以在待办事项中,审批用户提交的访问权限申请。
? 设备管理人员可以通过自助服务修改本人的静态密码。
? 当设备管理人员已经申请了动态令牌后,由于时间不准确的原因可以会影响到令牌的使用,这时候用户可以通过自服务对动态令牌进行同步。
三、服务内容
服务内容报价方式为先报每工时单价,再报服务项目的工时数。
1.每工时单价,作为服务项目结算费用的基数。
类别 | 项目 | 描述 | 单位 |
工时 | 每工时单价 | 按照标准工程师每工作1小时产生的费用计量,作为固定工时项目和非固定工时项目结算费用的基数。 | 工时 |
2.服务内容分类报价,报价为每个服务项目的工时数。
(1)基础设施
类别 | 项目 | 子项目 | 描述 | 单位 | 预估数量 |
设备梳理 | 设备账号梳理服务 | Linux类系统 | 所有被管辖的Linux系统 | 台 | 20 |
Windows类系统 | 所有被管辖的Windows系统 | 台 | 20 | ||
网络设备类系统 | 所有被管辖的网络设备系统 | 台 | 20 | ||
设备密码梳理服务 | Linux类系统 | 所有被管辖的Linux系统 | 台 | 20 | |
Windows类系统 | 所有被管辖的Windows系统 | 台 | 20 | ||
网络设备类系统 | 所有被管辖的网络设备系统 | 台 | 20 | ||
设备账号权限梳理服务 | Linux类系统 | 所有被管辖的Linux系统 | 台 | 20 | |
Windows类系统 | 所有被管辖的Windows系统 | 台 | 20 | ||
网络设备类系统 | 所有被管辖的网络设备系统 | 台 | 20 | ||
设备初始化 | 设备账号初始化服务 | Linux类系统 | 所有被管辖的Linux系统 | 台 | 20 |
Windows类系统 | 所有被管辖的Windows系统 | 台 | 20 | ||
网络设备类系统 | 所有被管辖的网络设备系统 | 台 | 20 | ||
设备密码初始化服务 | Linux类系统 | 所有被管辖的Linux系统 | 台 | 20 | |
Windows类系统 | 所有被管辖的Windows系统 | 台 | 20 | ||
网络设备类系统 | 所有被管辖的网络设备系统 | 台 | 20 | ||
设备账号权限初始化服务 | Linux类系统 | 所有被管辖的Linux系统 | 台 | 20 | |
Windows类系统 | 所有被管辖的Windows系统 | 台 | 20 | ||
网络设备类系统 | 所有被管辖的网络设备系统 | 台 | 20 | ||
设备平台配置 | 设备平台安装服务 | 数据库安装 | 设备所需数据安装 | 台 | 2 |
中间件安装 | 设备所需中间件安装 | 台 | 2 | ||
设备软件安装 | 设备所需软件安装服务 | 台 | 2 | ||
设备配置初始化工作 | 统一用户安全服务配置初始化 | 统一身份安全服务初始化配置 | 台 | 1 | |
访问管理服务配置初始化 | 访问管理服务初始化配置 | 台 | 1 | ||
资源管理服务配置初始化 | 资源管理配置服务初始化配置 | 台 | 1 | ||
安全审计服务配置初始化 | 安全升级服务配置初始化工作 | 台 | 1 | ||
自助服务配置初始化 | 自助服务配置服务初始化配置 | 台 | 1 | ||
设备配置定制化工作 | 统一用户安全服务配置定制化 | 统一身份安全服务定制化配置 | 台 | 1 | |
访问管理服务配置定制化 | 访问管理服务定制化配置 | 台 | 1 | ||
资源管理服务配置定制化 | 资源管理配置服务定制化配置 | 台 | 1 | ||
安全审计服务配置定制化 | 安全升级服务配置定制化工作 | 台 | 1 | ||
自助服务配置定制化 | 自助服务配置服务定制化配置 | 台 | 1 | ||
基本包 | 巡检服务 | 对校内该平台的基础架构服务及基本系统服务进行每月2次的全面健康巡检并给出报告,对发现的问题进行跟踪处理,对相关的流程进行持续优化。 | 天 | 365 | |
备份服务 | 依据SLA要求制定数据备份策略,并予以执行和恢复演练。 | ||||
安全服务 | 依据ISO 27000及等保要求,制定信息系统安全策略并予以执行 | ||||
系统性能调优 | 使用性能分析方法和工具,对应用系统的计算资源、存储资源、网络资源等基础资源层、操作系统层、数据库层、应用层等进行性能分析与诊断,通过资源调整、应用架构优化、代码级优化等多种手段,调节几者之间的关系,实现整个系统性能最大化,不断的满足业务需求。 | ||||
安全评估及加固 | 网络、系统、数据库等等信息化安全风险的评估及加固。 | ||||
监控服务 | 满足巡检和服务保障需求,部署监控平台,制定监控策略,并进行日常管理维护和持续优化。 | ||||
故障处理服务 | 对运维工作中发生的系统可用性问题进行故障处理。 | ||||
配置管理服务 | 配置基线、配置文档等相关信息的建立、维护、验证。 | ||||
技术研究服务 | 新技术、新架构、新产品的评估、测试与验证,新技术的生产导入。 | ||||
(2)软件系统
类别 | 项目 | 子项目 | 描述 | 单位 | 预估数量 |
统一身份安全 | 用户管理 | 查询操作 | 查询用户 | 个 | 1 |
增加操作 | 增加用户 | 个 | 1 | ||
导入操作 | 导入用户 | 个 | 1 | ||
修改操作 | 修改用户 | 个 | 1 | ||
删除操作 | 删除用户 | 个 | 1 | ||
机构管理 | 查询操作 | 查询机构 | 个 | 1 | |
增加操作 | 增加机构 | 个 | 1 | ||
导入操作 | 导入机构 | 个 | 1 | ||
修改操作 | 修改机构 | 个 | 1 | ||
删除操作 | 删除机构 | 个 | 1 | ||
用户组管理 | 查询操作 | 查询用户组 | 个 | 1 | |
增加操作 | 增加用户组 | 个 | 1 | ||
修改操作 | 修改用户组 | 个 | 1 | ||
删除操作 | 删除用户组 | 个 | 1 | ||
物理群组管理 | 增加操作 | 增加物理组 | 个 | 1 | |
修改操作 | 修改物理组 | 个 | 1 | ||
删除操作 | 删除物理组 | 个 | 1 | ||
关联账号 | 关联账户 | 个 | 1 | ||
物理账户管理 | 增加操作 | 增加物理账号 | 个 | 1 | |
修改操作 | 修改物理账号 | 个 | 1 | ||
删除操作 | 删除物理账号 | 个 | 1 | ||
密码管理 | 密码重置 | 支持重置密码 | 个 | 1 | |
密码信封 | 密码导出并使用电子信封存储和打印 | 个 | 1 | ||
密码链管理 | 密码链查询和下载管理 | 个 | 1 | ||
访问管理服务 | 登录服务 | 静态口令登录 | 静态密码登录 | 个 | 1 |
动态口令登录 | 支持通过第三方令牌实现动态口令登录 | 个 | 1 | ||
Radius认证登录 | 通过Radius完成认真做 | 个 | 1 | ||
AD认证 | 通过AD完成认证 | 个 | 1 | ||
SMS短信认证 | 通过短信网关配置,完成SMS短信认证 | 个 | 1 | ||
用户凭证管理 | 凭证查询工作 | 进行凭证查询 | 个 | 1 | |
静态口令重置操作 | 重置静态口令 | 个 | 1 | ||
动态口令锁定操作 | 锁定动态口令功能 | 个 | 1 | ||
动态口令解锁操作 | 解锁动态口令 | 个 | 1 | ||
资源管理服务 | 节点信息管理 | 增加操作 | 增加节点 | 个 | 1 |
删除操作 | 删除节点 | 个 | 1 | ||
修改操作 | 修改节点 | 个 | 1 | ||
设备管理 | 增加操作 | 增加设备 | 个 | 1 | |
删除操作 | 删除设备 | 个 | 1 | ||
修改操作 | 修改设备 | 个 | 1 | ||
资源管理 | 查询操作 | 查询资源 | 个 | 1 | |
增加操作 | 增加资源 | 个 | 1 | ||
导入操作 | 导入资源 | 个 | 1 | ||
修改操作 | 修改资源 | 个 | 1 | ||
删除操作 | 删除资源 | 个 | 1 | ||
安全审计服务 | 用户维度审计 | 用户资源运维时间审计 | 用户资源运维信息记录并审计 | 个 | 1 |
用户运维时间审计 | 用户运维时间审计 | 个 | 1 | ||
资源维度审计 | 资源接入情况审计 | 资源接入审计 | 个 | 1 | |
资源组运维时间审计 | 资源组审计 | 个 | 1 | ||
资源运维时间审计 | 资源运维审计 | 个 | 1 | ||
账户维度审计 | 账户运维时间审计 | 账户运维时间审计 | 个 | 1 | |
孤儿账户审计 | 孤儿账户审计 | 个 | 1 | ||
访问控制审计 | 访问授权审计 | 访问授权审计 | 个 | 1 | |
运维操作审计 | 在线监控审计 | 在线监控所有内容 | 个 | 1 | |
登录日志审计 | 登录日志审计 | 个 | 1 | ||
会话日志审计 | 会话审计 | 个 | 1 | ||
命令日志审计 | 命令所有日志审计 | 个 | 1 | ||
自助服务 | 自服工作流 | 访问控制申请 | 访问控制申请 | 个 | 1 |
待办事项 | 展现待办事项 | 个 | 1 | ||
工单跟踪 | 进行工单跟踪 | 个 | 1 | ||
修改密码 | 修改密码 | 进行密码修改 | 个 | 1 | |
个人信息维护 | 个人信息查看与修改 | 个人信息查看与修改 | 个 | 1 |
四、投标方式
本次报价上限20万元。有意向的单位可先了解详情后,于2018年10月17日前向上海市教育考试院(民星路465号)提供书面投标文件。投标文件须加盖公章,密封完整(上下底必须贴封条加盖公章)。后附报价单位的相关企业资料复印件(售后服务、企业营业执照、税务证明、相关资质等证明材料)并加盖公章,并提供此类销售的案例。
联系人:张老师,联系电话:35367583。相关报价和材料请寄至:上海市杨浦区民星路465号6号楼211室(邮编:200433),上海市教育考试院,张老师收。