采购公开招标文件
运维安全审计系统建设项目
招标文件
编号:
目录
第一部分招标公告
第二部分编制和提交采购响应文件须知第三部分项目技术规范和服务要求
第四部分采购合同的一般和特殊条款第五部分应提交的有关格式范例
第一部分招标公告
政府采购中心作为采购机构,就“、运维安全审计系统建设项目”进行公开招标采购。具体如下:
1、招标编号:
2、项目名称:、运维安全审计系统建设项目
3、招标内容:、运维安全审计系统建设项目分为两个标项。
标项一:运维安全审计系统建设项目
主要内容包括:采购运维安全审计系统软件一套,搭建运维管理系统平台,以适应全市医疗系统统一安全审计的新要求,进一步提升运维安全审计管理工作的质量和水平,为工作提供全天候、全过程、全方位的技术支持和服务保障。
标项二:运维安全审计系统建设项目
主要内容包括:采购运维安全审计系统软件一套,搭建运维管理系统平台,以适应全市医疗系统统一安全审计的新要求,进一步提升运维安全审计管理工作的质量和水平,为工作提供全天候、全过程、全方位的技术支持和服务保障。
以上两个标项具体还包括:系统设计、软件供货、安装调试、系统集成、运行维护、项目验收、技术培训以及不少于三年原厂商的标准保修服务、软件免费升级等。
详见招标文件。
4、合格的投标人应具备的资格要求:
(1)在中华人民共和国境内注册,注册资金人民币100万元以上,具有独立法人资格,符合《中华人民共和国政府采购法》第二十二条的规定,且符合、承认并承诺履行本招标文件各项规定,所提供的货物和服务须在我国境内合法销售的;
(2)具有较强的项目管理、技术服务和组织实施能力,并具有相关项目实施的经验,能够承担本项目实施,并有良好的工作业绩和履约记录;配有较强的专业技术队伍,能确保驻场服务,且对医疗行业的业务应用系统及数据流程有所了解。
5、采购方式:公开招标。
6、获取标书:已办理数字证书的供应商可以登录“”门户网站、网、公共资源交易中心网站和政府采购网直接下载招标文件(采购机构将拒绝接受非按照本公告第6、7条之方式获取标书的投标文件),尚未办理数字证书的供应商需按本公告第7条要求前往政府采购中心领取招标文件。
7、领取标书:
(1)时间:(工作时间上午9:00-12:00,下午13:30-17:00,节假日除外)。
(2)领取标书地点:公共资源交易中心政府采购服务窗口
(3)领取标书时必须提供企业法人营业执照复印件、税务登记证复印件、社保登记证复印件、法人委托书、项目实例简介等文件(均需加盖公章)。
8、投标截止时间与地点:地点:公共资源交易中心第三开标室。
9、开标时间与地点:地点:公共资源交易中心第三开标室。
10、质疑和投诉:投标人如认为招标文件使自身的合法权益受到损害的,应于自领取标书截止时间之日起七个工作内以书面形式向采购机构提出质疑;投标人如认为采购过程和中标结果使自身的合法权益受到损害的,可以在知道或者应知其权益受到损害之日起七个工作日内,以书面形式向采购机构提出质疑;投标人对采购机构的质疑答复不满意或者采购机构未在规定时间内作出答复的,可以在答复期满后十五个工作日内向同级政府采购监督管理部门投诉。
11、联系方式:
政府采购中心
公共资源交易中心
第二部分编制和提交采购响应文件须知
一、总则
1.项目说明
1.1项目说明见投标须知前附表(以下称“前附表”)第1项所述。
1.2采购单位、为本项目的采购人(合同中的甲方),政府采购中心为采购机构(合同中的鉴证方),政府采购办为政府采购监督管理部门,自愿参加本次项目投标的公司为投标人,经评审产生并经批准的投标人为预中标人,经公示无异议,并签订合同后的中标人为供应商(合同中的乙方)。
1.3潜在投标人领取招标文件后,必须按照国家《保密法》以及保密工作的相关规定,对招标文件内容应承担保密义务,维护采购人的权益,发生窃、泄密事件潜在投标人应承担相应的法律责任。
1.4投标人一旦参与本次招标活动,即被视为接受了本招标文件的所有内容,如有任何异议,均已在答疑截止时间前提出。
1.5投标人须对所投产品、方案、技术、服务等拥有合法的占有和处臵权,并对涉及项目的所有内容可能侵权行为指控负责,保证不伤害采购人的利益。在法律范围内,如果出现文字、图片、商标和技术等侵权行为而造成的纠纷和产生的一切费用,采购人概不负责,由此给采购人造成损失的,供应商应承担相应后果,并负责赔偿。供应商为执行本项目合同而提供的技术资料等归采购人所有。
2.采购方式
公开招标。
3.定义
3.1 合格的投标人应具备的资格要求,见招标文件第一部分“招标公告”第4条。
3.2 产品
系指中标人按合同要求,向采购人提供的货物、备品、手册、安装光盘及其它技术资料和材料。
3.3 集成
系指中标人通过计算机网络技术,将各个分离的货物、功能和信息等软硬件设备集成到相互关联,并构建计算机信息系统,以满足采购人的需求,包括应用软硬件平台转换、新增功能开发、集成和安装调试等。
3.4 培训
系指中标人按合同要求,向采购人提供操作使用培训、系统管理培训和其他相关培训等。
3.5 服务
系指合同规定中标人须承担的运输、装卸、仓储、安装、调试、验收、技术支持和交付使用后质保期内应履行的售后服务等义务。
4.投标费用
投标人需自行承担涉及投标的一切费用。
二、招标文件
5.招标文件的构成
5.1 招标文件包括下列文件及附件
●第一部分招标公告
●第二部分编制和提交采购响应文件须知
●第三部分项目技术规范和服务要求
●第四部分采购合同的一般和特殊条款
●第五部分应提交的有关格式范例
5.2 投标人应认真审阅招标文件中所有的内容,包括编制和提交采购响应文件须知、项目技术规范和服务要求、采购合同的一般和特殊条款、应提交的有关格式范例等。如果投标人编制的投标文件没有从实质上响应招标文件的要求,其投标文件将被采购机构拒绝。
6. 招标文件的解释
6.1 已获取招标文件的潜在投标人,若有问题需要澄清,应于前,以书面形式送达采购单位(、),采购单位与采购机构研究后,对认为有必要回答的问题,将以书面解答形式通知所有招标文件收受人。
6.2招标文件领取截止时间之后获取招标文件的潜在供应商,如对招标文件有异议,采购单位和采购机构将不予受理和答复。
6.3不论采购机构向投标人发送的资料文件,还是投标人提出的问题,均采用书面形式,任何口头提问及答复一律无效。
7. 招标文件的修改
7.1 从招标文件发出至投标截止日期,采购机构可能会以补充通知的方式修改招标文件。补充通知作为招标文件的组成部分,以书面形式同时发给所有招标文件的收受人。
7.2 若有必要,采购机构将酌情延长递交投标文件的截止日期。
8. 投标报价
8.1 标的物
、运维安全审计系统建设项目分为两个标项。
标项一:运维安全审计系统建设项目
主要内容包括:采购运维安全审计系统软件一套,搭建运维管理系统平台,以适应全市医疗系统统一安全审计的新要求,进一步提升运维安全审计管理工作的质量和水平,为工作提供全天候、全过程、全方位的技术支持和服务保障。
标项二:运维安全审计系统建设项目
主要内容包括:采购运维安全审计系统软件一套,搭建运维管理系统平台,以适应全市医疗系统统一安全审计的新要求,进一步提升运维安全审计管理工作的质量和水平,为工作提供全天候、全过程、全方位的技术支持和服务保障。
以上两个标项具体还包括:系统设计、软件供货、安装调试、系统集成、运行维护、项目验收、技术培训以及不少于三年原厂商的标准保修服务、软件免费升级等。
详见第三部分——项目技术规范和服务要求。
投标人可参考采购单位推荐的主要产品的配臵,欢迎其他能满足本项目技术需求且性能与所明确品牌相当或优于的产品参加,但其配臵不能低于采购单位提供的设备配臵要求,并能满足本系统运行的需求。如有必要,采购机构保留另行组织采购部分直至全部设备的权利。
8.2 报价
有关本项目建设所需的技术方案编写、设备购臵费、运输费、安装调试和验收费、系统集成费、质保期运行维护、技术支持、培训费、售后服务和税金等费用均计入报价。《投标(开标)一览表》是报价的唯一载体。
8.3 其它费用处理
招标文件未列明,而投标人认为必需的费用也需列入报价。
8.4 投标货币
投标文件中价格全部采用人民币报价。报价应是唯一的, 采购机构将不接受有选择的报价。
三、投标文件的编制
9. 投标文件的语言
投标文件及投标人与采购有关的来往通知、函件和文件均应使用中文。
10. 投标文件的组成
投标文件一般应当包括以下主要内容:商务报价文件[投标响应函和投标(开标)一览表,招标文件要求提供的其他资料],技术文件(针对本项目的技术和服务响应方案,技术偏离说明表,招标文件要求提供的其他资料),商务文件(证明其为合格供应商和所提供的为合格产品的有关资格证明文件,商务偏离说明表,招标文件要求提供的其他资料),以及电子文档(WORD/WPS格式)组成。
10.1 投标人的商务报价文件至少应包括以下内容(均需加盖公章):
(1) 投标响应函;
(2) 投标(开标)一览表;
(3) 投标报价明细清单(需同时提供设备详细配件清单和报价)。
10.2 投标人的技术文件应至少包括:针对本项目的技术和服务响应方案,技术偏离说明表,招标文件要求提供的其他资料等(均需加盖公章)。
(1)投标人应提供针对本项目的完整技术解决方案:
●针对本项目的方案设计和产品选型方案;针对项目的完整技术解决方案和实施方案;符合项目建设对当前和未来发展的要求;以及对功能设计和实施计划的建议。
●项目实施相关软件产品名称、配臵、数量;所投标的软件产品的完整配臵方案,详细列明投标软件产品的所有技术指标,明确表示该项指标是标准配臵还是选择配臵(所有技术指标表述均应采用中文,如当前公布的技术指标只有英文表述的,必须由投标人作出中文注释,否则任何含糊不清的表述导致评标委员会技术扣分直至认定为投标无效都将是投标人的责任)。
(2)投标人在投标文件中,应对项目技术规范和服务要求中所提出各项要求进行逐条逐项的答复、说明和解释。首先对实现或满足程度明确作出“满足”、“不满足”、“部分满足”等应答,然后作出具体、详细的说明。回答“满足”应说明如何满足,回答“部分满足”要明确哪部分满足和哪部分不满足。同时明确满足的程度。若采用“详见”、“参见”方式说明的,应指明所指文档(应是投标文件的组成部分)的具体章节及页码。任何含糊不清的表示对评标结果的影响将是投标人的责任;
(3)针对本项目建设的详细实施计划,包括产品供货、验货、安装调试、系统集成、试运行、测试、调优、系统管理培训、系统运行维护培训等内容。本项目详细工作实施组织方案,包括(但不限于)以下内容:组织机构、工作时间进度表、工作程序和步骤、管理和协调方法、关键步骤的思路和要点;
(4)项目验收之前、验收之后的维护方案;针对本项目的系统运行维护方案,包括本地()售后服务机构及人员情况等。投标人应以书面形式完整准确地表述原厂家的标准售后服务承诺(范围、标准及期限等)、投标人可能增加的服务承诺等。并明示服务承诺可能涉及的前提设定和费用,否则将被认为是无条件和免费的。承诺货物升级、故障排除、性能调优、技术咨询等售后技术支持服务情况。质保期内外均提供免费上门维护、升级服务,对故障在1小时内响应,24小时以内解决问题所采取的措施;
(5)投标人为完成本项目组建的工作小组名单,每个专业人员的情况和在人员数应该明确表示,明确各阶段投入人数,在提交的标书中安排的人员,须为公司的固定职
员;每个参加项目人员的履历表应随标书一并提交,主要内容包括学历(学院、大学和
其他职业教育,列出大学的名称,就学日期以及所取得的学位)、工作特长(特长领域、能力取向等)、经验与业绩(包括从事相关系统建设的经验,对每一个项目有一个简要的描述,该人员参与的时间以及在项目中的责任)、资质情况(包括项目组人员的产品认证工程师资质,其他有关资质)等;
(6)优惠条件及特殊承诺;
(7) 备品备件清单;
(8)培训计划(每项注明具体内容及是否需要费用);
(9)验收方案(须提请采购人确认);
(10)技术偏离说明表;
(11)关于对招标文件中有关条款的拒绝声明(如果有);
(12)投标人认为需要的其他技术文件或说明。
10.3 投标人的商务文件至少应包括:证明其为合格供应商和所提供的为合格产品的有关资格证明文件,商务偏离说明表,招标文件要求提供的其他资料等(均需加盖公章)。
(1)法人授权委托书,法定代表人及授权委托人的身份证(复印件);
(2)投标保证金(银行缴款凭证复印件);
(3)声明书;
(4)通过年检有效的企业法人营业执照、税务登记证、社保登记证(副本复印件);非本地投标人在的分公司(需提供本地工商注册登记资料)或办事处(需提供本地国内经济合作办注册资料)或符合本项目服务能力并签订合作协议的第三方机构作为常驻服务和技术支持机构;
(5)年上半年资产负债表、损益表(限企业)(复印件)(新成立的公司,必须提
供验资报告);
(6)所有资质文件。所有资质文件。包括投标人已取得主要设备原厂商针对此项目的授权书 (含原厂家相关技术、服务承诺的证明书,投标文件正本中要有原厂商针对本项目授权书原件) 或原厂商授权的产品代理证书和原厂质保服务承诺函等证明材料;
包括投标产品已取得国家信息安全产品强制认证(增强型认证)、军用信息安全产品认证、国家保密局涉密信息系统产品认证、国家信息安全测评信息安全服务资质证书、SCCC信息安全(应急响应)服务资质证书、国家信息安全测评工程类安全服务资质证书、国家版权局颁发的计算机软件产品登记证书、计算机软件著作权登记证书;投标人已取
得省级(含)以上软件企业认证、高新技术企业认定的证书; ISO9000质量管理体系认证证书;银行资信、政府部门(企业)或第三方权威鉴定机构出具的信用等级证书或证明复印件;项目组人员的有关资质证书等 (如果有) ;
(7)公司介绍及相关的主要业绩证明,2008年以来投标人承担类似项目情况, [参考合同或用户验收报告等工程实例证明(以签订时间为准,原件备查,采购机构在项目评审直至合同签订、履约期间,有权要求投标人出具投标文件中的主要业绩证明原件:如合同或用户验收报告等,予以确认其的真实性和有效性,如出现与事实不符等情况,将根据有关规定以“提供虚假材料谋取中标”予以处罚),是否有良好的工作业绩和履约记录等情况,原件备查];如投标人提供的合同复印件等实施项目证明材料与事实不符或与其无关,评标委员会将进行技术扣分直至认定投标无效;
(8)投标人参与本次招标活动前三年内,在浙江省范围内政府采购领域中,在项目招标、投标和合同履约期间是否存在不良行为记录和违法、违规行为(如果有);
(9)商务偏离说明表;
(10)廉政承诺书;
(11)关于对招标文件中有关条款的拒绝声明(如果有);
(12)投标人认为需要的其他商务文件或说明。
10.4投标人的投标文件必须按照招标文件要求制作,并制作电子文档(光盘)。电子文档内容为招标文件第五部分中相关表格(商务报价部分、技术文件部分)。
11. 投标有效期
11.1投标文件合格投递后,自投标截止日期起,至前附表第3项所列的日期内有效。
11.2在原定投标有效期之前,如果出现特殊情况,采购机构可以以书面形式通知投标人延长投标有效期。
12. 投标保证金
12.1 投标人应提供前附表中的投标保证金,作为投标文件的一个组成部分。
12.2投标保证金可以用现金、支票、银行汇票或银行保函的形式缴纳。
12.3 采购机构将拒绝未能按规定时间和数额提交投标保证金的投标人。
12.4中标人按要求与采购人签订合同,经采购机构鉴证,并报采购办备案后,全额无息退还其投标保证金。
12.5未中标人的投标保证金将在发布中标公告之日起七个工作日后无异议,全额无息退还。
12.6 如投标人有下列情况,将被没收投标保证金:
12.6.1投标人在投标截止时间后撤销投标文件的;
12.6.2投标人未按规定签订合同或转让中标的。
13. 投标文件的编制和签署
13.1投标人按本须知第9条规定的语言和前附表第5项规定的份数编制投标文件,并在封面上标明“正本”和“副本”。投标文件正本和副本如有不一致之处,以正本为准。
13.2投标文件正本和副本均应使用不能擦去的墨水打印或书写,投标(开标)一览表及反映企业资质和经营情况的资料必须加盖法人单位公章,并由法定代表人或授权委托人签字盖章。
13.3全套投标文件应无涂改和行间插字,除非这些删改是根据采购机构要求进行,或者是投标人造成的必须修改的错误。所修改处应由法定代表人或授权委托人签字盖章予以确认。
13.4 投标文件采用A4幅面,必须按顺序统一编目编码装订成册。提倡双面打印。
四、投标文件的递交
14. 投标文件的密封与标志
14.1投标文件分正本和副本,其中商务报价文件[投标响应函、投标(开标)一览表和相关的报价明细清单]、技术文件(技术和服务方案等)、商务文件(商务资格等)分别装订并密封包装。其中电子文档(光盘)一份(含招标文件第五部分中相关表格)与投标文件正本一起密封包装。没有密封包装的投标文件,将被当场拒绝。
14.2包装封面物的正面应写明项目名称、投标人全称与地址、邮政编码,封口处要密封并加盖投标人公章(或授权委托人签章)。不论投标人中标与否,投标文件均不退回。
14.3 投标文件递交至前附表第7项所述的单位和地址。
15. 投标截止期
15.1投标人应按前附表第6、7两项规定的时间、地点将投标文件递交给采购机构,采购机构将拒绝接受逾期送达的投标文件。
15.2采购机构可以按本须知第7条规定以补充通知的方式,酌情延长递交投标文件的截止日期。在上述情况下,采购机构与投标人以前在投标截止期方面的全部权利、责任和义务,将适用于延长至新的投标截止期。
16. 投标文件的修改
16.1投标人递交投标文件以后,在规定的投标截止时间之前,可以书面形式对投标文件进行补充、修改,修改文件须加盖单位公章,并由法定代表人或授权委托人签字盖章,在投标截止时间以后,不能修改、补充投标文件。
16.2 投标人的修改文件,应按本须知规定编制、密封、标志和递交,如果一份投标文件有几份函件时,应注明哪一份有效,否则所作修改视为无效。
16.3投标人对投标文件的修改均要加以说明,否则其修改将被视为无效。
16.4在投标截止日期与招标文件中规定的有效期终止日之间的这段时间内,投标人不能撤回投标文件,否则其投标保证金将不予退还。
五、开标
17. 开标
17.1采购机构将于,在公共资源交易中心第三开标室开标,各投标人法定代表人或授权委托人应准时参加,携带本人有效证件原件,投标文件中按要求提供授权委托书。投标人如不派代表参加开标大会的,事后不得对采购相关人员、开标过程和开标结果提出异议。
17.2 开标时,由投标人法定代表人或授权委托人检查其投标文件的密封情况,经确认无误后,由采购机构工作人员当众拆封,宣读投标人名称、投标价格和投标文件的其他主要内容。未宣读的投标价格和投标文件其他实质内容等,投标人应当及时声明或提请采购机构宣读,否则可能在评标时不予承认,由此带来的责任由投标人自己承担。
17.3 开标时,投标文件中的投标(开标)一览表内容与投标文件中明细表内容不一致的,以投标(开标)一览表为准。投标文件的大写金额和小写金额不一致的,以大写金额为准;总价金额与按单价汇总金额不一致的,以单价金额计算结果为准;单价金额小数点有明显错位的,应以总价为准,并修改单价;对不同文字文本投标文件的解释发生异议的,以中文文本为准。
18. 投标文件鉴定
18.1开标时,采购机构将对投标文件进行初步审查,检查投标书内容是否完整、编排是否有序、是否提交了投标保证金、文件签署是否规范以及投标人资格是否符合要求等。如投标文件被确认为无效,采购机构将及时通知该投标人。
18.2在评标前,采购机构可组织审标小组对每份投标文件是否实质上响应了招标文件的要求并对投标人的资格进行审核。实质上响应是指投标文件与招标文件要求的全部条款、投标人资格和条件相符,无显著差异或保留。评标委员会只根据投标文件本身的
内容来判定投标文件的响应性,而不寻求外部的证据。
18.3对于投标文件中不构成实质性偏差的、细微的不正规、不一致或不规范,采购机构及评标委员会可以接受,但这种接受不能影响评标时投标人之间的相对排序。
18.4如果投标文件实质上不响应招标文件的要求,采购机构及评标委员会将予以拒绝,并且不允许通过修正或撤消不符合要求的差异或保留,使之成为具有响应性的投标。
18.5 经开标后递交至评标委员会的投标文件,仍需接受相关符合性的检查,并有可能在评标过程中被判断为无效。
六、评标
19. 评标组织
采购机构依法组建由5人及以上奇数的人员组成的评标委员会,负责对投标文件进行审查、质询、评审和比较等。评标委员会由采购单位代表和政府采购咨询专家组成,其中政府采购咨询专家人数不少于成员总数的三分之二。
20. 评标原则
20.1 竞争优选;
20.2 坚持公开、公平、公正、科学合理的原则;
20.3 价格合理,方案、产品先进可行;
20.4 反对不正当竞争。
21. 投标文件审查
21.1投标文件资格性审查:评标委员会依据法律法规和招标文件的规定,对投标文件中的资格证明、投标保证金等进行审查,以确定投标人是否具备投标资格。
21.2投标文件符合性审查:评标委员会依据招标文件的规定,从投标文件的有效性、完整性和对招标文件的响应程度进行审查,以确定是否对招标文件的实质性要求作出响应。
21.3修正原则
评标委员会对投标文件的商务报价文件进行审核,对发现计算、书写等错误的,按以下原则进行修正:
21.3.1大写金额与小写金额不一致的,以大写金额为准;
21.3.2总价金额与按单价汇总金额不一致的,以单价金额计算结果为准;
21.3.3单价金额小数点有明显错位的,应以总价为准,并修改单价;
21.3.4以修正后的总价作为投标报价。
22. 评标办法
22.1 本项目采用综合评分法,评标委员会将对各投标人的投标报价、技术和服务方案、投标产品情况和投标人业绩情况等方面进行综合评审,对实质上响应招标文件的投标人,由各评委独立记名打分。经统计,得出各投标人的最终评审分,按最终评审分由高到低顺序排列。得分相同的,按投标报价由低到高顺序排列。得分且投标报价相同
的,按技术指标优劣顺序排列,并形成评标意见。
各投标人的综合得分为:投标价格得分+技术和服务方案得分+投标人的资质和业绩情况得分之和,总分为100分,其中:投标价格得分40分,技术和服务方案51分,投标产品情况和投标人业绩情况9分。各投标人总分为:综合得分-投标人的信誉情况扣分。
各投标人的技术和服务方案、投标产品情况和投标人业绩情况(评标委员会独立打分)得分为:评标委员会人数为5人以上时,为评标委员会成员评分去除最高、最低分后各成员评分的算术平均值。各投标人的投标价格得分按投标价格评分公式由采购机构计算,评标委员会审核。根据上述评标原则,分值安排如下:
▲投标价格(A=40分):
(1)报价的合理性:分析总报价及各个分项报价是否合理,报价范围是否完整,有否重大错漏项,评标委员会认为投标报价出现异常时,有权要求投标人在评标期间对投标报价的详细组成和投标设备的供应渠道等事项作出解释和澄清,并确认其投标报价是否有效。
报价分计算方法:根据各投标人的有效投标报价,以满足招标文件要求且有效投标价格的最低的投标报价为评标基准价,其价格分为40分。其他投标人的价格分统一按照下列公式计算:投标报价得分=(评标基准价/有效投标报价)×价格权值×100(精确到小数点后二位,由采购机构当场统一计算)。
(2)投标报价高于本项目总投资,价格分将作零分处理。
▲技术和服务方案(B=51分):
主要包含方案的先进性、科学性和完整性,方案与需求的吻合程度,提供的售后服务方案、维护人员和机构服务优劣程度以及承诺和优惠等方面的因素。
评审要点为:
(1)投标方案的科学性和完整性(11分):
●投标方案与需求的吻合程度,包括方案的科学性、先进性、可靠性、成熟性、合理性和扩展性;方案设计的功能实现以及方案配臵的合理性等方面与项目对应需求的满
足程度等(4分);
●投标方案对于系统设计是否满足功能需求,是否响应了采购单位系统建设的建设要求,对该建设的理解情况和所采取的措施情况,对重点、难点技术环节是否有先进、合理的建议,解决方案是否完整、经济、安全、切实可行,措施得力,对可能遇到的问题是否提出应对措施等(3分);
●对项目建设思路、原则、特点、技术要求的理解情况,系统的应急方案设计是否合理,是否充分考虑用户实际使用需求,方案在确保阶段性任务实现的同时,是否统筹考虑了总体目标的实现(2分);
●投标方案点对点应答是否详尽、明晰,是否满足招标文件要求;投标文件编制是否完整、格式规范、内容齐全、表述准确、条理清晰,内容无前后矛盾,符合招标文件要求(2分)。
(2)投标产品的性能与需求的吻合程度(10分):
●投标产品的基本功能、技术指标与需求的吻合程度和偏差情况(包括所投标产品的品牌、规格型号、详细配臵、主要技术参数、随机软件等),是否体现一定先进性、可靠性、成熟性、易维护性、可扩展性等(4分);
●投标产品的选型与上是否能够满足标书的基本要求,是否能满足本项目技术需求且性能与所明确品牌范围相当的产品,其配臵和性能是否能满足本系统运行的需求,在同类产品中是否具有优势(4分);
●投标产品的兼容性、可靠性,结合投标产品的知名度、销售量、市场占有率、使用现况和用户反馈情况,功能是否达到采购人的实际需求,参考投标产品的供货合同、验收报告及中标通知书等(2分)。
(3)现场方案讲解情况(10分):
●包括系统整体架构,主要组成部分介绍、系统主要功能特性的实现等方面因素,与项目需求的吻合程度以及偏差情况;系统应用深度,应用关键技术对系统建设的解决能力,实例结果与项目实际需求结果的吻合程度以及偏差情况,效果是否达到采购人的实际需求等(3分);
●投标人对医院信息化需求的了解情况,对系统建设的熟悉程度(包括系统的性能、技术指标、成熟度等),尤其是系统建设应具备的足够的整体升级扩展能力,是否适应业务需求的发展和系统本身的升级扩展要求(3分);
●系统应用深度,应用关键技术对系统建设的解决能力;在解决系统关键问题、系统扩展性考虑、体系结构、设计思想,是否体现前瞻性,合理性和可行性等(2分);
●方案讲解和系统现场演示中对专家提出问题的回答情况是否全面、科学、合理(2分)。
(4)组织实施方案(3分):投标人组织实施方案的科学性、合理性、规范性和可操作性,包括系统集成、产品供货、验货、安装调试、试运行、测试、调优、系统管理培训、系统运行维护培训等内容,以及组织机构、工作时间进度表、工作程序和步骤、管理和协调方法、关键步骤的思路和要点等。
(5)售后服务保障情况(6分):
●投标人提供的售后维护机构和人员等情况,是否具有较强的本地化服务能力,在项目所涉及的实施地区是否拥有常驻服务和技术支持机构(非本地投标人在项目实施地区是否有分公司或办事处作为常驻服务和技术支持机构)以及较强的专业技术队伍,能提供快速的售后服务响应(2分);
●投标人提供的售后服务方案、维护人员和机构等情况,是否满足采购人的要求,服务期限的长短以及服务承诺的可行性、完整性以及服务承诺落实的保障措施,服务期内外的后续技术支持和维护能力情况;(2分);
●投标产品原厂服务承诺是否满足采购需求,是否提供主要产品原厂商的授权书(或原厂授权的代理证书)及服务承诺书,参考主要设备原厂商的授权书(或原厂授权的代理证书)及原厂服务承诺书(2分)。
(6)项目的投入和项目组人员素质情况(3分):
●是否具有完备的管理组织、项目实施规范和管理制度,是否有完善的质量管理体系,并能有效实施;拟投入本项目的管理与作业人员总数等综合水平情况(1分);
●拟担任本项目经理和技术负责人的专业素质、技术能力、经验等情况,项目组实施人员专业人员素质(包括专业认证工程师人员)、技术能力、专业分布、经验等情况,数量是否充足,配臵是否合理,是否具有类似项目建设经验,项目组人员资质、工作履历、工程实践证明资料、劳动合同和参保证明等情况(参考履历表和相关资料、相关证书等)(2分)。
(7)培训、测试、试运转、验收(2分):
●投标人提出的功能测试、试运转及验收方案的合理性、可行性情况等(1分);
●投标人提出培训计划、地点、组织、人员配备、软硬件资料等内容是否完整、科学合理,费用是否计入总报价(1分)。
(8)质量保证措施和建设工期情况(4分):
●投标人按采购人要求有明确的质量保证目标,质量保证措施和体系合理先进并具
有详细的实施内容等(2分);
●投标人是否提出符合招标文件和采购单位要求,按期完成产品到货、软件安装调试、系统集成、上线运行、验收等措施(2分)。
(9)优惠和承诺情况(2分):投标人提出的优惠条件和承诺情况,及其可实现程度等,方案讲解中对专家提出问题的回答情况是否全面、科学、合理。
▲投标产品情况和投标人业绩情况(C=9分):主要包含投标人的资质、类似项目建设成功案例等方面的因素。评审要点为:
(1)投标产品和投标人有关情况(5分):
●投标产品已取得国家信息安全产品强制认证(增强型认证)、军用信息安全产品认证(1分);
●投标产品已取得国家保密局涉密信息系统产品认证、国家安全专用产品销售许可证(1分);
●投标产品已取得SCCC信息安全(应急响应)服务资质证书、国家信息安全测评工程类安全服务资质(1分);
●投标产品已取得国家版权局颁发的计算机软件产品登记证书、计算机软件著作权登记证书(1分);
●投标人已取得省级(含)以上软件企业认证和高新技术企业认定的证书(1分)。
(2)投标人类似项目建设的成功经验(4分):2008年以来投标人承担类似项目情况,参考合同或用户验收报告等工程实例证明(以签订时间为准,原件备查,采购机构在项目评审直至合同签订、履约期间,有权要求投标人出具投标文件中的主要业绩证明原件:如合同或用户验收报告等,予以确认其的真实性和有效性,如出现与事实不符等情况,将根据有关规定以“提供虚假材料谋取中标”予以处罚),是否有良好的工作业绩和履约记录等情况;如投标人提供的合同复印件等实施项目证明材料与投标主体无关或违规转包分包的,评标委员会将进行扣分直至认定投标无效。
▲综合得分=A+B+C
▲减分:投标人的信誉情况(D):政府采购领域中投标人在项目招标、投标和合同履约期间是否存在不良行为记录。
●投标人参与本次招标活动前三年内,在浙江省范围内政府采购领域中受到不良行为记录处罚的每次扣1分。
▲总分=综合得分-D
22.2报价是中标的一个重要因素,但最低报价不是中标的唯一依据。
23. 评标内容的保密
23.1 公开开标后,直到宣布中标单位止,凡属于审查、澄清、评价和比较投标的所有资料,都不应向投标人或与评标无关的其他人泄露。
23.2 在投标文件的审查、澄清、评价和比较以及确定中标人过程中,投标人对采购机构和评标机构施加影响的任何行为,都将导致取消资格。
24. 投标文件的澄清
对投标文件中含义不明、表述不一致或有明显计算错误等内容,评标委员会将对投标人进行询标,并要求投标人作书面澄清;投标人的书面澄清,应由法定代表人或授权代表签字,作为投标文件的补充部分,但澄清的内容不得改变投标文件的实质性内容。
25. 废标
根据《中华人民共和国政府采购法》第三十六条之规定,在采购中,出现下列情形之一的,应予废标:
(1)符合专业条件的供应商或者对招标文件作实质响应的供应商不足3家的;
(2)出现影响采购公正的违法、违规行为的;
(3)投标人的报价均超过了采购预算,采购单位不能支付的;
(4)因重大变故,采购任务取消的。
废标后,采购机构应当将废标理由通知所有投标人。
26. 无效标
投标文件有下列情况之一的,其投标文件作无效处理:
(1)投标文件没有密封包装或者由于包装不妥,在送交途中严重破损或失散的投标文件;
(2)开标时授权委托人与投标文件中授权委托书所载内容有异的;
(3)投标文件组成漏项或未按规定的格式编制或投标文件正、副本份数不足,内容不全或内容字迹模糊辨认不清的。
(4)投标人不具备投标资格的,或者未按规定交纳投标保证金的;
(5)投标报价明显高于市场价或低于成本价,且不能提供书面证明材料说明原因的;
(6)投标人未按招标文件变更通知更改投标文件的;
(7)《投标(开标)一览表》和《投标报价明细清单》填写不完整或字迹不能辨认的;
网域NSYS运维安全审计(堡垒机)解决方案 网域运维安全审计(堡垒机)提供运维用户操作以及违规事件等多种审计报表,过报表功能,即能够满足大部分客户的日常审计需求,也可满足如" 等级保护"、" 萨班斯法案"等合规性要求。同时,系统也支持通过自定义或二次开发方式进行灵活扩展。 集中统一管理、安全审计、统一账号管理, 统一身份认证, 统一授权管理,统一操作审计,流程管理,单点登录,并能图像形式的回放操作员记录、使管理员操作简单快捷。 运维用户通过一个统一的平台就能登录所有的目标设备,包Unix 、Linux 、Win dows月服务器以及各类网络设备。 集中管理用户、设备、系统账号; 集中管理用户、系统账号的密码;所有用户集中登录、集中认证; 集中配置账号密码策略、访问控制策略;集中管理所有用户操作记录; 访问控制 1. 根据用户角色设置分组访问控制策略; 2. 实现" 用户-系统-系统账号"的对应关系; 权限控制 1. 可设置以命令为基础的权限控制策略; 2. 可支持IT 运维人员对多种远程维护方式,如字符终端方式(SSH、Telnet 、Rlogin)、图形方式(RDR X11、VNC Radmin PCAnywhere、文件传输(FTP、SFTP以及多种主流数据库工具按照用户/用户组、资源/资源组、运维时间段、运维会话时长等授权。 实时的操作告警及审计机制 监控告警机制 能对运维用户的所有操作进行实时的控制阻断、告警及监控,避免由于一些敏感的操作导致网络中断或企业信息泄露。 详尽的会话审计与回放机制 系统提供运维协议Telnet 、FTP、SSH、SFTP、RDP(Windows Terminal )、Xwindows、VNC、AS400、Http 、Https 等完整会话记录,完全满足内容审计中信息百分百不丢失的要求。 1. 能记录所有操作并能随时根据审计的需要查询任何时候任何人员所做的任何操作。 2. 提供图像形式的回放,真实、直观、可视地重现当时操作过程。 3. 能记录加密维护协议SSH数据符合法律法规
360运维安全管理与审计系统 产品白皮书 2017年2月
目录 1.产品概述 (3) 2.产品特点 (3) 健全的账号生命周期管理 (3) 丰富多样的安全认证机制 (4) 细粒度的访问授权与控制 (4) 监控与敏感过程回放 (4) 性能资源弹性调度 (5) 成熟的高可用性机制 (5) 3.主要功能 (5) SSO单点登录 (5) 集中账号管理 (5) 集中身份认证 (6) 统一资源授权 (6) 集中访问控制 (6) 集中操作审计 (6) 4.核心功能列表 (7) 5.产品价值 (8) 规范运维管理 (8) 降低资源风险 (8) 提高管理效益 (8) 过程透明可控 (8) 完善责任认定 (8) 满足各组织合规要求 (8)
1.产品概述 随着企业信息系统规模的不断扩大,业务范围的快速扩张,运维工作量也随之增多。在运维过程中存在事前身份不确定、授权不清晰,事中操作不透明、过程不可控,事后结果无法审计、责任不明确导致客户业务及运维服务面临安全风险。 360运维安全管理与审计系统是针对政府、金融、医疗、电力、教育、能源、企业、军队、海关等重点行业客户推出的,主要解决事企业IT运维部门账号难管理,身份难识别,权限难控制,操作过程难监控,事件责任难定位等问题。360运维安全管理与审计系统基于软硬件一体化设计,集账号、认证、授权、审计为一体的设计理念,实现对事企业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计。对运维人员整个操作过程处于可管、可控、可见、可审的状态,为事企业IT中心运维构建一套事前预防、事中监控、事后审计完善的运维管理体系。 2.产品特点 健全的账号生命周期管理 通过主从账号分离的方式来将账号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权,并针对自然人的行为审计。 密码强度策略对主从账号密码强度进行监测,强制对密码强度进行修改至符合强度要求才可进行修改或登录。 360运维安全管理与审计系统提供账号密码到期提醒功能,强制对密码到期的用户进行密码修改,结合密码强度实现定期对密码按照密码强度强制修改。 360运维安全管理与审计系统可对用户帐号密码、资源帐号密码按照密码策略要求进行定期、定时自动变更密码,防止口令因为过于简单易于猜测而被破解
数据库审计系统技术建议书
目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计........................ 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计............................ 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书.......................... 错误!未定义书签。
1.综述 随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路: 管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。 技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。 不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高并发的事务处理,还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求,还会降低数据库性能并增加管理费用。 2.需求分析 随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。 通过对XXX的深入调研,XXX面临的安全隐患归纳如下:
IT运维管理解决方案简介 V1.0
第1章平台介绍 1.1产品定位 Broadview IT运维管理平台立足于帮助企事业单位的IT部门构筑一个统一的IT服务管理平台,它融合了主动式资源监控、操作管理、资产配置管理、服务流程管理等核心功能,为IT部门的服务供给、业务快速上线、业务稳定运行提供持续保障能力。 产品定位于信息化程度较高的高端用户,注重行业化用户的需求特点,主要面向如公安、海关、社保、税务等政府行业,以及金融、能源、烟草、通信、制造等的高端行业,同时借助平台化的技术优势,通过功能裁剪也能满足中小规模的市场用户需求。 1.2产品架构 Broadview V6.0 R2是Broadview产品的最新版本,其系统架构可分为4个层次,对应了五大子系统:集中监控子系统、资产配置子系统、操作审计子系统、流程管理子系统、集成展现子系统。
图1.产品架构 ?集中监控子系统:集中监控子系统主要实现对生产环境中IT基础设施的集中监控管理,包括了对网络设备、服务器、存储、数据库、中间件、 安全设备、业务应用系统等性能采集和事件处理,并利用监控可视化平 台提供可视化展现。 ?资产配置子系统:资产配置子系统旨在帮助用户建立统一的IT基础设施台帐。通过一系列业务建模、自动采集、调和、变更控制等手段,保证 IT生产环境中配置项的完整性和精准性,为上层服务流程提供数据支撑。 ?操作审计子系统:操作审计子系统主要功能是统一管理网络设备、服务器、数据库等资源账号并合理授权,为运维人员提供统一的操作入口并 记录操作行为。 ?流程管理子系统:流程管理子系统的目的是通过规范服务流程和技术服务工作,建立一套标准的运维服务流程,围绕事件管理、问题管理、变 更管理、配置管理、发布管理等ITIL最佳实践,进行IT运维服务的流 程化、规范化管理。 ?集成展现子系统:集成展现子系统包括了统一运维门户、报表平台、权限管理等主要模块,目的是保证平台不同角色的运维人员可以通过浏览 器访问到跟自身职责对应的功能和视图。 第2章功能特点 2.1集中监控子系统 集中监控子系统主要由网络监控模块、系统与应用监控模块、统一事件平台模块、统一性能管理模块、性能管理数据库PMDB以及监控可视化平台组成;实现了对用户IT生产环境基础设施的监控,包括:网络设备、业务服务器、存储设备、数据库系统、中间件系统、安全设备、业务应用系统等。逻辑架构如下:
目录 1运维现状和风险分析 (3) 1.1客户运维管理现状 3 1.2操作风险分析 4 2解决方案 (5) 2.1方案目标 5 2.2方案实现的功能 5 3方案部署结构 (6) 3.1代理部署方式 6 4方案高可用性 (8) 4.1代理模式集群部署 9 5方案优势 (9) 5.1部署简单灵活 9 5.2简化账号管理 9 5.3权限的细粒度控制 10 5.4专业的操作审计 10 5.5事件的快速定位 10 5.6审计日志格式及回放 10 6客户价值 (10)
1运维现状和风险分析 1.1客户运维管理现状 近年来,随着IT的不断发展,信息化应用也逐渐增强,网络系统中的应用也越来越多。各级企业纷纷建立信息系统,以提高劳动生产率和管理水平,加强信息反馈,提高决策的科学性和准确性,提高企业的综合竞争力。 早期的信息系统安全只是防止外部网络的攻击、但现在安全威胁的80%来自内部,如:内部员工的非法登录、越权操作、误操作、恶意行为对信息系统造成严重威胁,运维人员操作的盲区,发生运维事故,无法回溯事故原因,无法快速定位事故责任人。所以如何将用户在服务器和网络设备上的操作行为变为透明可视,如何掌握运维人员在什么时间做过什么事情,是否有违规或违法操作,是否触及敏感数据,对于业务系统故障,如何及时找到故障原因,以及如何审计运维虚拟化云平台,这些都是一个现实而严峻的问题。 1.1.1客户的运维管理特点 公司管理人员构成多有多样:系统运维人员、研发人员、网络安全人员、安全审计人员、业务系统人员、外包代维人员、厂商维护人员等; 网络设备和业务系统服务器众多; 运维人员掌握被管设备的账号和密码众多; 被管设备要求具有严格的复杂密码机制; 各角色运维人员登录地点分散,登录方式多种多样; 运维工具多种多样; 各网络设备和业务系统服务器要求的身份认证机制多种多样; 厂商及外包技术人员掌握着部分关键设备的账号信息; 部分设备提供共享账号供运维人员登录操作。 虚拟化云平台的部署(VMware) 1.1.2客户的运维管理隐患 1.1. 2.1共享账号 各角色运维人员通过共享账号登录业务系统,多人同时使用一个系统账号导致用户身份唯一性无法确定,一旦发生操作事故后,无法快速定位事故责任人。 1.1. 2.2账号密码丢失及泄露 每个运维人员掌握多个业务系统的登录账号和密码,无法保证对每个业务系统的账号密码进行安全的保管,对于业务系统的登录密码时常忘记是不可避免的,管理员如果要处理给运维人员所负责的业务系统更改密码并告知的工作是繁琐的、困难的。以及针对运维人员负责的业务系统账号密码信息泄露被其他人盗用,所产生的后果是非常严重的。
运维安全审计系统(HAC) 系统管理员手册 广州江南科友科技股份有限公司 2010年5月
版权声明 本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于广州江南科友科技股份有限公司所有。未经广州江南科友科技股份有限公司许可,不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本手册中的信息受中国知识产权法和国际公约保护。 版权所有,翻版必究?
目录 1.前言 (4) 1.1 概述 (4) 1.2 阅读说明 (4) 1.3 适用版本 (4) 1.4 使用环境 (4) 2.设备说明 (5) 2.1 HAC面板说明 (5) 2.2 工作状态 (5) 2.3 出厂配置 (5) 2.3.1 接口IP地址 (5) 2.3.2 用户名、口令 (6) 2.3.3 缺省空闲时间 (6) 2.4 管理方式 (6) 3.安装配置 (7) 3.1 准备工作 (7) 3.1.1 确定部署模式 (7) 3.1.2 确定IP结构 (7) 3.2 具体配置 (8) 3.2.1 设备初始化配置 (8) 3.2.2 采用WebUI方式初始化 (8) 4.首次登陆 (9) 5.系统信息 (11) 6.管理员管理 (12) 6.1 管理员管理 (12) 6.2 管理员角色管理 (16) 7.网络配置 (19)
7.1 配置路由 (19) 7.2 DNS配置 (21) 7.3 PING功能 (22) 7.4 虚拟网卡配置 (22) 8.外部认证 (24) 8.1 LDAP服务器 (24) 8.2 AD域服务器 (25) 8.3 R ADIUS服务器 (26) 9.双机热备 (27) 10.全局配置 (29) 10.1 基本配置 (29) 10.2 CA证书 (30) 10.3 服务器证书 (32) 10.4 SYSLOG日志外发 (34) 10.5 T OKEN配置文件 (35) 11.日志维护 (36) 11.1 日志状态 (36) 11.2 定期备份配置 (37) 11.3 日志备份 (38) 11.4 日志文件删除 (39) 11.5 日志数据库删除 (39) 12.系统维护 (41) 12.1 重新激活 (41) 12.2 系统重启 (42) 12.3 配置备份 (42) 12.4 升级管理 (44) 12.5 缓存维护 (44)
软件平台系统运维方案 令狐采学 1.技术支持服务 技术服务主要包括如下:400电话支持、线上客服务、远程服务;针对上述技术支持服务工作,提供2名专责客服务人员; 1.1400电话 专门成立Call Center团队,保障做好平台的技术支持服务工作;收集整理相关问题记录,最终形成问题库,通过问题库更好的为客户提供相应服务;主要提供服务主要包括如下: ●通话录音 ●智能来电分配 ●客服工号播报 ●服务评分 1.2线上客服 线上客户主要为广大用户提供俩大类服务,主要服务的内容如下: ●问题查找:系统自动根据当前用户所关心的问题,列出最
近的相关问题,并对问题可分类进行展示,用户也可通过 “搜索”进行查找; ●提交工单:用户也可以向系统管理员提交工单,管理员接 到工单后,会针对提交工单进行相应处理,用户可查看到 管理员所反馈工单处理结果; 1.3远程协助 远程协助主要通过远程终端操作,解决用户在使用系统过程中遇到的各类问题; 1.4客服满意度 ●用户提出来所有问题,均采用“一问一答”闭环式关闭所 有问题;并对相关问题形成完整问题记录库; ●400电话,所有通话至少保留10个工作日通话语音记录, 便于以后追责; ●启用客服满意度评估机制,有效提高客服满意度; 2.运维服务 2.2基础运维 主要从物理安全、网络安全、主机安全、应用安全、数据安全以及日常设备巡检六个层面分别进行。具体内容为: (1)物理安全:针对信息系统所处的物理环境即机房、线路、
基础支撑设施等进行标准符合性识别。主要包含:物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。针对各个风控点安排相应的技术人员进行排查; (2)网络安全:对工作范围内的网络与安全设备、网络架构进行网络安全符合性排查检验。主要包含:结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等方面,针对各个风控点安排相应的技术人员进行排查; (3)主机安全:针对身份鉴别、访问控制、安全审计、系统保护、入侵防护、恶意代码防护、资源控制等方面,针对各个风控点安排相应的技术人员进行排查;; (4)应用安全:对信息系统进行应用安全符合性排查。如身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等方面,针对各个风控点安排相应的技术人员进行排查; (5)数据安全:主要检查系统的数据在采集、传输、处理和存储过程中的安全,针对各个风控点安排相应的技术人员进行排查; (6)日常巡检:检查系统相关服务器操作系统、数据库和中间件的开放服务及端口、磁盘使用率、内存使用率、账户设置(定期修改密码并且满足复杂度和长度)、登录设置、文件权限设置、
真功夫 IT运维安全审计体系建设需求申请报告
1需求依据: ●ISO 27001 要求组织必须记录用户访问、意外和信息安全事件的日志,记录系统管理和维护人员的操作行为,并保留一定期限,以便为安全事件的调查和取证,确保所有负责的安全过程都在正确执行,符合安全策略和标准的要求。 ●SOX SEC相关规定及内部控制方面的要求 ●企业内控管理规范 运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。 ●计算机等级保护 根据《国家重要信息系统等级保护条例》,对于等保二级以上的系统,应对网络系统中的设备运行状况、网络流量、用户行为等进行日志记录,能够根据记录数据进行分析,并生成审计报表,同时对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。 2项目必要性分析 2.1内部人员安全隐患形势严峻 根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过85%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了6056.5万美元的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。 而在众多的内部人员中,对于系统的运维人员、第三方系统运维人员以及设备厂商维护人员,他们享有“最高权限”,一旦出现恶意操作或误操作,将会对业务系统带来巨大影响,造成不可估量的损失。 因此,对IT系统进行有效运维,是控制内部风险、保障业务连续性的重要手段,如何保障运维工作的有序运转、降低运维风险、提高应急响应能力,为IT系统提供强有力的后台支撑,是当前急需解决的课题。 2.2现有运维安全体系存在不足 随着信息化建设的快速发展,真功夫已经开始建立起一定规模的信息化系统,信息系统
运维安全审计 配置运维审计整体解决方案
目录 1. 概述 (3) 2. 解决方案介绍 (4) 2.1业务目标 (4) 2.2解决方案 (4) 2.3方案亮点 (6) 3. 典型应用场景 (7)
1.概述 据权威机构统计,80%的系统和系统故障与配置的漏洞和变更有关;在有计划的系统变更中,有60%的系统故障因系统配置的缺陷引起。系统的配置指挥着系统如何的运行,如果配置出现差错,系统故障是随之而来的。 但是,面对各类繁杂、数量众多的IT设备,如何才能高效、合理的管理设备和应用的配置却不是一件简单的事情。主要体现在如下几个方面: ●很多同类型的设备需要重复性的去配置,每次巡检的时候,需要人工进行逐一核查。 效率低下,而且极易出错。 ●设备数量和类型众多,配置文件的存在形式,操作方式,配置项目都不一样。管理起 来非常的复杂。 ●配置的变更如何控制?如何检测非法的配置变更,管理人员也没有一个完整的视图来 观察设备配置的变化情况,变化趋势。 ●配置的备份都放到管理员自己的电脑上,特别是多人配置的时候,会有不同的配置版 本出来,当出现故障进行恢复的时候,一是都找不到最后正常运行时候的配置文件。 ●行业法规,企业法规的遵从上,也无法进行定期的检查。 ●设备的配置效果如何,是否存在安全上的漏洞,新的漏洞发布了后,涉及到配置上的 更改是否及时进行了。都无从强制的贯彻下去。 秉承着”客户的困难就是我们的困难,客户的成功就是我们的成功”的理念,我们推出了IT设备与系统配置管理的方案。本解决方案可以帮助您建立集中的自动化管理平台,实现对服务器,IT系统,应用的统一操作和管理,有效的减低认为操作的失误,保姆式的监控和管理IT系统的配置状况和对系统设备配置的非法操作,配置的合理性等多个方面。它针对各种开放平台(Windows, AIX, HP-UX, SUSE, Redhat, Solaris 等),中间件,网络设
运维安全审计系统(HAC) 运维管理员手册 广州江南科友科技股份有限公司 2012年3月
版权声明 本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于广州江南科友科技股份有限公司所有。未经广州江南科友科技股份有限公司许可,不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本手册中的信息受中国知识产权法和国际公约保护。 版权所有,翻版必究?
目录
1前言 1.1 概述 本文档为运维安全审计系统的运维管理员使用手册,是运维管理员使用HAC的操作指南。 1.2 阅读说明 本手册包含运维管理员的全部日常操作,主要是与运维相关的操作。包含如何添加用户(组),如何添加资源(组),怎样给用户进行授权,并且分配该用户能自动登录使用的帐户,以及定义应用发布,如何对运维方面的配置进行设置。 1.3 适用版本 本手册,适用于的发布版。 1.4 使用环境 HAC的运维管理员使用WEB登录方式作为用户界面。HAC的运维管理员,可以使用Microsoft Internet Explore或以其为内核的其他浏览器,因部分控件的兼容问题,如果您使用的是IE 8浏览器,请在兼容模式下进行运行。
2准备工作 2.1 确定用户 即确定运维人员的用户名、授权信息(主要是指某运维人员可以通过哪些协议访问哪些核心服务器或网络设备)。 2.2 确定访问服务器的协议 该内容是准备工作的重点,主要是确定核心服务器提供何种类型的运维协议供运维终端访问,即确定运维终端使用Telnet、SSH、FTP、SFTP、RDP、HTTP、HTTPS、AS400、XWIN 和VNC的哪些协议、端口去访问核心服务器进行日常运行维护操作。 2.3 确定自动登录帐户 该内容是为运维用户进行自动登录(SSO)做配置,主要是确定核心服务器提供的后台登录帐户可以由哪个运维用户使用。如果,您所在的公司有独立的口令管理员,则帐户分配的
产品简介 运维安全审计系统(HAC)着眼于解决关键IT基础设施运维安全问题。它能够对Unix和Windows主机、服务器以及 网络、安全设备上的数据访问进行安全、有效的操作审计,支持实时监控和事后回放。HAC补了传统审计系统的不足,将运维审计由事件审计提升为内容审计,集身份认证、授权、审计为一体,有效地实现了事前预防、事中控制和事后审计。 审计要求 针对安然、世通等财务欺诈事件,2002年出台的《公众公司会计改革和投资者保护法案》(Sarbanes-Oxley Act)对 组织治理、财务会计、监管审计制定了新的准则,并要求组织治理核心如董事会、高层管理、内外部审计在评估和报告组织内部控制的有效性和充分性中发挥关键作用。与此同时,国内相关职能部门亦在内部控制与风险管理方面制定了相应的指引和规范。 由于信息系统的脆弱性、技术的复杂性、操作的人为因素,在设计以预防、减少或消除潜在风险为目标的安全架构时,引入运维管理与操作监控机制以预防、发现错误或违规事件,对IT风险进行事前防范、事中控制、事后监督和纠正的 组合管理是十分必要的。 IT系统审计是控制内部风险的一个重要手段,但IT系统构成复杂,操作人员众多,如何有效地对其进行审计,是长期 困扰各组织的信息科技和风险稽核部门的一个重大课题。 解决之道 XX因市场对IT运维审计的需求,集其多年信息安全领域运维管理与安全服务的经验,结合行业最佳实践与合规性要求,率先推出基于硬件平台的“运维安全审计系统(HAC)”,针对核心资产的运维管理,再现关键行为轨迹,探索操作意图,集全局实时监控与敏感过程回放等功能特点,有效解决了信息化监管中的一个关键问题。 系统功能 - 完整的身份管理和认证 解决IT系统中普遍存在的交叉运维而无法定位到具体人的问题,满足审计系统“谁做的”要求,支持静态口令、动态口令、LDAP、AD域证书KEY等认证方式; - 灵活、细粒度的授权 系统提供基于用户、运维协议、目标主机、运维时间段(年、月、日、周、时间)、会话时长、运维客户端IP等组合 的授权功能,实现细粒度授权功能,满足用户实际授权的需求。 - 后台资源自动登陆 后台资源自动登陆功能是运维人员通过HAC认证和授权后,HAC根据配置策略实现后台资源的自动登录。此功能提供了运维人员到后台资源帐户的一种可控对应,同时实现了对后台资源帐户的口令统一保护。 - 实时监控 提供在线运维的操作的实时监控功能。针对命令交互性协议可以图像方式实时监控正在运维的各种操作,其信息与运维客户端所见完全一致。 - 违规操作实时告警与阻断 针对运维过程中可能存在潜在操作风险,HAC根据用户配置的安全策略实施运维过程中的违规操作检测,对违规操作 提供实时告警和阻断,从而达到降低操作风险及提高安全管理与控制的能力。 - 完整记录网络会话过程 系统提供运维协议Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、Xwindows、VNC、AS400等网络会话 的完整会话记录,完全满足内容审计中信息百分百不丢失的要求。 - 详尽的会话审计与回放 HAC提供视频回放的审计界面,以真实、直观、可视的方式重现操作过程。 - 完备的审计报表功能 HAC提供运维人员操作,管理员操作以及违规事件等多种审计报表。 - 各类应用运维操作审计功能
运维安全审计系统(HAC) 口令管理员手册 广州江南科友科技股份有限公司 2010年5月
版权声明 本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于广州江南科友科技股份有限公司所有。未经广州江南科友科技股份有限公司许可,不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本手册中的信息受中国知识产权法和国际公约保护。 版权所有,翻版必究?
目录 1.前言 (2) 1.1 概述 (2) 1.2 阅读说明 (2) 1.3 适用版本 (2) 1.4 使用环境 (2) 2.准备工作 (3) 2.1 确定设备对应的帐户 (3) 2.2 确定统一帐户进行运维的用户 (3) 3.首次登陆 (4) 4.统一帐户管理 (6) 5.设备帐户管理 (9) 5.1 设备帐户管理 (9) 5.2 设备帐户托管 (11) 5.3 设备帐户获取 (13) 6.SSO配置 (15) 6.1 配置模板 (15) 6.2 配置内容 (17) 7.口令管理配置 (19) 8.密函打印审批 (20) 9.技术支持 (21)
1.前言 1.1 概述 本文档为运维安全审计系统的口令管理员使用手册,是口令管理员使用HAC的操作指南。 1.2 阅读说明 本手册包含口令管理员的全部日常操作,主要是与后台核心服务器的帐户密码管理相关的操作。包含如何添加统一主机帐户,如何添加设备帐户,怎样进行设备口令的托管,帐户的获取,如何根据主机的个性配置情况进行自动登录配置文件的调整,以及与口令相关的配置。 1.3 适用版本 本手册,依据HAC 3.6.5374E版本编写,适用于3.6的发布版。 1.4 使用环境 HAC的运维管理员使用WEB登录方式作为用户界面。HAC的运维管理员,可以使用Microsoft Internet Explore或以其为内核的其他浏览器,因部分控件的兼容问题,如果您使用的是IE 8浏览器,请在兼容模式下进行运行。
煤炭行业数字化矿山I T 运维审计解决方案 内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)
瑞宁数字化矿山解决方案 煤矿信息化现状 起步晚基础弱 由于行业发展的历史背景,煤矿企业以往的信息化建设投入较少,信息化方面的应用比其它行业起步晚,基础弱。 信息化认识不足 目前,各个煤矿对信息化的认识不足,许多煤矿认为信息化就是建设网络上网,主要用于办公、OA系统、发邮件等等简单的工作,并没有全面认识到什么才是真正的煤矿信息化。一个煤矿的信息化包括井上系统和井下系统,并且将二者进行有机的结合,称之为数字化矿山,数字矿山是建立在数字化、信息化、虚拟化、智能化、集成化基础上的,由计算机网络管理的管控一体化系统,它综合考虑生产、经营、管理、环境、资源、安全和效益等各种因素,使企业实现整体协调优化,在保障企业可持续发展的前提下,达到提高其整体效益、市场竞争力和适应能力的目的。数字矿山的最终目标是实现矿山的综合自动化。 投资散,见效慢 信息化建设是一个长期的过程,短、中,长期目标如何有效结合是关键。目前,由于煤炭行业企业自身基础及厂商服务模式双方面的种种因素,导致企业普遍面临信息化建设投资不系统、应用系统开发周期长、综合应用效应不明显。信
息化建设没有做到“步步为营、持续见效”。在此状况下,投资加大就可能面临风险增多。 信息化投入加大 国家煤炭企业进一步整合,现代化的煤炭行业发展战略促使煤炭企业必须进一步提高经营管理水平,信息化建设成为必不可少的战略支撑手段。因此,近年来,企业信息化投入不断增大已成为煤炭行业的趋势。 煤矿企业面临问题 企业内部信息化专业队伍力量严重不足 信息化建设涉及到企业的方方面面,是一项融入技术与管理的综合工程,煤炭企业普遍面临极度缺少专业化、复合型信息化人才,尤其整体系统应用建设管理的专业人才,缺少能够深入理解企业信息化,从而综合把控信息化建设过程的管理人才。而人事制约事情成功的首位因素,人才的缺乏严重影响了煤炭企业信息化建设的有效性。 企业缺少科学的认识和有效的方法 对于一项综合的、长期的、覆盖面广的建设工程,清晰的思路和有效的方法是成功的关键因素。由于煤炭企业普遍缺少信息化建设的经验积累,而且行业的个性化特点比较突出,因此,企业自身在建设过程中面临缺少有序有效的过程思路和方法,缺少有效的组织管理经验,造成信息化工作效果不明显。 逐步解决信息化建设难点需要企业内外环境两方面的配合:
网御网络审计系统V3.0 (运维安全管控型) 管理员使用手册 北京网御星云信息技术有限公司
文档修订记录 版本号日期修订者修订说明 V1.0.1 2014-08-13 李彬创建 V1.0.2 2014-09-25 李彬修订产品截图和说明V1.0.3 2014-12-19 李彬修订产品截图和说明
目录 1 概述 (6) 1.1 关于本手册 (6) 1.2 格式约定 (6) 2 初始化配置 (7) 2.1 完成配置向导 (7) 2.1.1 设置密码策略 (7) 2.1.2 设置管理员账号和密码 (8) 2.1.3 配置主机网络参数 (9) 2.1.4 导入授权文件 (10) 2.1.5 确认配置信息 (11) 2.1.6 向导配置完成 (12) 2.2 管理员登录 (13) 2.3 配置认证方式 (15) 2.4 添加管理员 (16) 2.5 系统密码策略 (17) 3 用户管理 (18) 3.1 添加用户 (18) 3.2 编辑用户属性 (20) 3.3 用户其它操作 (22) 3.4 用户组织机构 (23) 4 资源管理 (24) 4.1 添加资源 (24) 4.2 编辑主机 (27) 4.3 主机其它操作 (28) 4.4 资源组 (29) 4.5 资源分类 (29) 4.6 资源系统类型 (30) 4.7 资源AD域 (31) 5 策略管理 (32) 5.1 访问策略 (32) 5.2 命令策略 (35) 5.3 集合设定 (37) 5.3.1 时间集合 (37) 5.3.2 IP集合 (38)
6 审计管理 (40) 6.1 实时监控 (40) 6.1.1 会话监控 (40) 6.1.2 实时监控 (40) 6.2 日志查询 (41) 6.2.1 管理日志 (42) 6.2.2 登录日志 (44) 6.2.3 审计日志 (45) 6.3 审计报表 (48) 6.3.1 报表模板 (48) 6.3.2 自定义报表 (50) 7 密码管理 (53) 7.1 密码策略 (53) 7.2 自动改密计划 (53) 7.3 自动改密结果 (55) 7.4 下载密码列表 (55) 7.5 手动改密 (56) 8 系统管理 (57) 8.1 系统信息 (57) 8.1.1 授权信息 (57) 8.1.2 系统升级 (58) 8.1.3 配置备份 (59) 8.1.4 数据备份 (60) 8.1.5 电源管理 (60) 8.2 系统选项 (61) 8.2.1 高可用性 (61) 8.2.2 格尔认证 (62) 8.2.3 认证源 (64) 8.2.4 网络配置 (64) 8.2.5 时间配置 (65) 8.2.6 超时配置 (66) 8.3 接口配置 (67) 8.3.1 Syslog (67) 8.3.2 短信 (67) 8.3.3 邮件 (68) 8.3.4 SNMP (69) 8.3.5 资源同步接口 (70) 8.4 设备管理 (70)
运维安全审计系统解决方案 33、1安全分析 33、2建设需求54设计原则及依据 64、1设计原则 64、2设计依据65解决方案 95、1部署拓扑示意图 95、2安全实现过程105、3产品列表及性能1 15、3、1产品列表1 15、3、2产品性能参数1 15、4产品上线给企业带来的优势121 前言作为企业的IT技术主管,经常会被一些问题所困扰,如:业务系统数量越来越多,且安全管理相对分隔,不利于故障的准确定位;IT系统的关键配置信息登记不完善,不利于IT运维人员的整体管理和把控;故障处理解决方案的知识不能得到有效沉淀,发生类似问题不能及时调用成型解决方案,对人员依赖性问题严重;IT运维人员的技能要求不断增高,繁多的业务系统需要业务人员进行更多的维护和管理,而工作却无法得以量化。另外,目前计算机及网络风险日益突出,计算机犯罪案件就以每年成倍增长,发案原因多以有章不循、屡禁不止、检查监督不力等内部风险控制和运行管理方面的安全漏洞为主。 因此加强计算机及网络内部管理和监控是保证计算机系统安全生产的重中之重,为此,各单位都采用了多种技术手段,如会话加密、数字证书、防火墙、虚拟专用网等,但运维管理仍存在较多的安全隐患,特别体现在针对核心服务器、网络基础设施的运维管理上。2 运维现状目前公司内部日常运维的安全现状如下:1) 针对核心服务器缺乏必要的审计手段,仅能通过监控录像、双人分段或专人保存密码、操作系统日志结合手工记录操作日志等管理办法,无法追溯操作人员在服务器上的操作过程、了解操作人员行为意图,并且这样的管理成本很高,很难做到长期照章执行。2) 对服务器的维护和管理依赖于操作系统的口令认证,口令具有可被转授、被窥探及易被遗忘等弱点,另外,在实际环境中还存在经常使用Root权限帐户而
IT运维安全审计 派拉IT运维安全管理中心是针对企业IT运维的信息安全平台性产品。该产品是对企业内部IT基础架构资源的安全管理。通过清晰的帐号,认证,权限审批流程实现对IT基础设施帐号的申请、审批、操作进行有效的安全控制。并提供单点登录的功能,简化管理员的访问过程,实现操作审计,在增强安全性的同时,提高管理员的工作效率。OSC产品还具备特权使用管理的功能,在操作人员不知道特权账户口令的情况下,在授权时限内进行高权限操作,并全程审计。 随着企业各项业务的发展,支撑企业业务运行的IT资源例如:服务器、数据库也越来越多,服务器帐号、个人帐号的数量、种类都在不停的增加。由于各个服务器所要求的密码安全策略各不相同,系统用户就会需要掌握多个帐号的用户名、密码,在更新密码的时候还需要去区分不同的服务器对应的不同的密码安全要求,在登录不同的系统时需要多次输入口令。一旦登录之后,进行非法命令操作,将不能进行有效的命令权限控制。 目前对这些帐号的管理仍然停留在手工操作阶段,对整个用户帐号生命周期的创建、调整、注销、密码的更新等都是由对应服务器管理员、数据库管理员、网络管理员手动管理,存在工作
量繁重,维护艰难,安全漏洞多等问题。对于这些日常操作,缺乏有效手段对这些日常工作的流程进行规范。同时,需要对这些用户帐号进行事前审批、事中监控、事后审计等合规性要求。 很多企业都急迫的希望通过一个IT运维安全平台来进行统一的管理,来提高人员工作效率,保证信息系统稳定、安全、高效运行。通过多种策略和技术手段实现多种系统帐号的统一管理、实现日常化操作的流程、实现合规审计的规范化,从而实现帐号资源的自动化管理配置、优化、有效提高其安全性、可控性及可用性。整合资源,实现流程、人员、合规、审计的有机结合,通过提供理论、方法、技术、应用的一整套完整的解决方案,建立一套较为完整的身份管理体系,提高运维管理的整体效能。 1.账号集中管理: 对操作系统、数据库、网络设备等各种IT资源的帐号的集中控制和管理。实现账户, 组的查询、创建、修改和删除。 2.统一认证管理: 用户只需要记住一个主帐号,可自动实现单点登录访问有权限访问的资源,且客户端无需安装任何客户端工具,这样便统一了登录的入口。支持多种认证方式:RSA、CA证书、PKI、Ukey、短消息一次性口令(OTP)、AD域、Ldap、静态口令等。 3.统一认证管理: 用户只需要记住一个主帐号,可自动实现单点登录访问有权限访问的资源,且客户端无
运维管理审计系统 测试方案
目录 1.测试概述 (1) 1.1测试产品及目的 (1) 1.2测试人员及时间 (1) 1.3测试准备 (2) 1.3.1测试环境及设备 (2) 1.3.2管理客户端操作环境 (2) 1.4测试部署方式 (2) 2.测试内容及结果 (4) 2.1用户管理模块测试 (4) 2.2主机管理模块测试 (5) 2.3密码管理模块测试 (6) 2.3.1单点登录 (6) 2.4权限管理模块测试 (7) 2.4.1访问控制模块测试 (7) 2.4.2权限控制模块测试 (7) 2.4.3批量管理模块测试 (7) 2.5审计和监控模块 (8) 2.5.1图形会话监控和审计测试 (8) 2.5.2字符会话监控和审计测试 (9) 2.5.3应用托管中心监控和和审计测试 (11)
2.5.4文件传输审计测试 (12) 2.5.5审计日志模块测试 (13) 2.6第三方集成模块测试 (13) 2.7系统服务测试 (14) 3.附录15 3.1管理设备信息表 (15) 3.2支持的协议及设备 (15) 4.测试结论 (16)
1.测试概述 1.1测试产品及目的 本次测试的目的主要是评估运维管理审计系统的基本功能及其兼容性、可靠性、稳定性,测试产品对客户目前环境的影响,并帮助客户简化运维操作、降低运维风险,强化运维审计。 本次测试产品为: 1.2测试人员及时间 用户参与人员: 厂商参与人员: 测试时间:
1.3测试准备 1.3.1测试环境及设备 由用户搭建一个模拟生产环境的网络,或条件允许的情况下使用生产环境内的非核心的设备来组成测试环境(运维管理审计系统是单臂方式部署的,所以不会对配合测试的各个设备等造成影响),包括如下类型的设备和相应的配置。 注:上述目标设备均要提供设备IP,可正常登录的用户名,密码。并将所有内容填写入附录内的“管理设备信息表”。此外也请在测试前再次确认提供的账号密码及登录方式是无误的。 1.3.2管理客户端操作环境 操作主机(windows系统),模拟运维用户登录, 审计主机(windows系统),模拟管理审计人员。 注:这几台主机系统内都以安装IE6.0以上版本浏览器,且已安装最新版JRE(1.6.19或以上版本,运维管理审计系统亦提供下载)。 1.4测试部署方式 运维管理审计系统采用操作网关方式,在不更改原有网络拓扑结构、不影响设备的业务数据流、不需要在被保护服务器和终端上安装任何Agent的情况下,以集中管理为特征,单点登录为基础,实现对服务器、网络设备操作管理的集中认证、集中控制、集中审计,最终帮助用户实现对操作的集中管理,最小化人为操作风险。
真功夫 IT 运维安全审计体系建设 需求申请报告 1需求依据: ISO27001 要求组织必须记录用户访问、意外和信息安全事件的日志,记录系统管理和维护人员的操作行为,并保留一定期限,以便为安全事件的调查和取证,确保所有负责的安全过程都在正确执行,符合安全策略和标准的要求。 SOX SEC相关规定及内部控制方面的要求 企业内控管理规范 运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程 与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。 计算机等级保护 根据《国家重要信息系统等级保护条例》,对于等保二级以上的系统,应对网络系统中的设备运行状况、网络流量、用户行为等进行日志记录,能够根据记录数据进行分析,并生成审计报表,同时对审计记录进行保护,避免受到未预期的删除、修改或覆
2项目必要性分析 2.1 内部人员安全隐患形势严峻 根据FBI 和CSI 对484 家公司进行的网络安全专项调查结果显示:超过85%的安全威 胁来自公司内部,在损失金额上,由于内部人员泄密导致了6056.5 万美元的损失,是黑客造成损失的16 倍,是病毒造成损失的12 倍。另据中国国家信息安全测评认证中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。 而在众多的内部人员中,对于系统的运维人员、第三方系统运维人员以及设备厂商维护人员,他们享有“最高权限”,一旦出现恶意操作或误操作,将会对业务系统带来巨大影响,造成不可估量的损失。 因此,对IT 系统进行有效运维,是控制内部风险、保障业务连续性的重要手段, 如何保障运维工作的有序运转、降低运维风险、提高应急响应能力,为IT 系统提供强有力的后台支撑,是当前急需解决的课题。 2.2 现有运维安全体系存在不足 随着信息化建设的快速发展,真功夫已经开始建立起一定规模的信息化系统,信息系统已经涉及公司核心数据,业务运营、日常办公等方方面面。随着系统应用范围的逐步扩大和应用层次的不断深入, 应用系统越来越多,IT 系统的构成越来越复杂,运维操作人员越来越多,IT 操作管理的难度和和面临的风险也越来越大。主要集中在以下几个问题: 一、IT 系统口令管理 IT 系统口令对IT 系统的安全是非常重要的,因此随着IT 系统数量庞大,IT 系统的口令管理工作量越来越大,复杂度也越来越高。但在实际管理中,由于安全性和可用性之间的矛盾,导致IT 系统口令管理存在很多安全隐患。主要表现如下: 1、为了满足安全管理要求,IT 系统的口令需定期修改(一般半个月或一个月),这大大加大了口令管理的工作量; 2、口令强度要满足安全要求,其复杂性也有一定要求。一方面加大了修改口令的工作量和复杂度,同时对维护人员来说也很不方便,经常是将口令记录在记事本上,造成口令泄露问题。同时在实际操作中,经常将口令设置为很有规律性,一旦知道一个口令,很容易知道其他系统的口令; 3、由于部分系统是由外包厂商提供运维服务,所以口令也容易泄露出去。 4、没有口令管理的策略,口令管理制度宽松,隐患很大。 二、多入口操作现象 随着IT 系统构成的复杂,在运维过程中可通过多种入口对IT 系统进行维护,导致无法统一管理、设置统一安全策略等而引起各种安全隐患。 三、交叉运维操作现象 在IT 系统运维过程中,存在多种管理角色,如设备管理员、系统管理员、安全管理员和应用系统管