项目需求和技术方案要求1 建设背景山东警务云安全，依据《山东公安警务云计算建设总体方案》和《山东大数据警务云计算安全技术白皮书》，结合国家信息安全等级保护制度、公安部《公安信息化“十三五”规划重点任务_公安信息化安全保障体系_建设内容及要求》等进行统筹建设。

在我省已建公安信息系统和安全防护措施的基础上，构建安全数据分析和安全资源服务系统，将分散在各地的安全数据进行汇总，打通各安全系统间壁垒，将现有安全资源进行整来，建设一套统一资源标准、统一应用分析、统一防范管理的“三统一”一体化安全管控体系。

根据公安部相关安全要求，为防止信息泄漏等违规问题发生，确保数据和信息安全，进一步加强全省公安信息化应用系统日志审计工作，开展全省一体化安全数据分析，省厅下发了《关于上传公安信息化应用系统日志数据的通知》（鲁公信通传〔 2017〕39 号），要求各地上传公安信息化应用系统日志数据，同时建议采用主动抓取应用流量的方式分析应用日志。

目前，济南市警务云平台已经部署了包括防火墙在内的多种访问控制类、检测类、审计类安全设备和安全系统，对各类防护对象及安全问题进行针对性防护。

然而，针对济南市局重要应用系统的操作行为，仍然缺少有效的审计监督手段。

因此，本次拟采购综合安全审计系统，实现市局重要信息系统的日志全面、准确审计，以及关键网络节点流安全信息采集。

2建设目标通过对济南市局重要信息系统访问情况进行监听、记录、分析，实现对用户操作行为的全面监视、违规报警、统计分析、事故追溯。

通过对网络关键节点流量包头信息的采集、分析，实现对业务流互访关系、网络连接情况的梳理，建立正常流量模型，当网内发生大规模蠕虫病毒、木马反向连接、拒绝服务工具等异常流量时进行预警。

同时，为全省公安安全一体化数据分析提供数据来源，实现山东公安警务云安全态势感知、预警分析。

3 建设依据及原则3.1 方案设计参考依据《山东公安警务云计算建设总体方案》《山东大数据警务云计算安全技术白皮书》《公安信息通信网运行服务管理规定》《关于上传公安信息化应用系统日志数据的通知》（鲁公信通传〔2017〕39 号）《公安信息系统应用日志安全审计平台规范》3.2 方案设计原则行业合规性原则：符合国家、行业相关审计技术法规的要求，能满足行业法规检查、检测要求，如信息安全等级保护制度等。

功能全面性原则：产品应具有成熟的市场经验，功能应符合公安部建设“公安信息系统应用日志安全审计平台”收集、转发日志及日志格式的要求，同时符合山东省公安厅建设安全数据分析和安全资源服务系统的日志采集、转发、分析要求。

节约性原则：安全措施的实施必须以根据安全级别和经费限度统一考虑，整体方案的设计应该尽可能的不改变原来网络的设备和环境，以免资源的浪费和重复投资。

适应性和可扩展性原则：所采取的措施必须能随着网络性能、应用变革、网络扩展的变化而变化，要具备灵活的可扩充性和可升级性，以适应将来网络规模的发展。

业务符合性原则：产品所提供的应用日志格式、应用日志内容、应用日志报告等，必须符合公安部规范和实际工作特性、工作过程。

可管理性原则：产品必须具备良好的可管理性，易操作性，便于日常运营和技术管理。

4 方案设计说明基于市局网络拓扑情况，计划在市局数据中心、交警支队部署 3 套综合安全审计系统，数据中心 2 套，交警支队 1 套，实现对相应区域内的应用审计日志、流量包头安全信息的采集。

可以采取多采集引擎单中心，采集引擎中心一体化两种部署模式。

多采集引擎单中心方式，具体部署说明如下：1、 2 台万兆审计引擎部署于济南市局数据中心核心交换机处，在该节点对济南市局重要信息系统访问流量进行监听、记录、分析，实现对市局重要应用系统业务用户操作行为的全面审计。

同时，对网络流量包头信息进行采集、分析。

2、 1 台万兆审计引擎部署于济南交警支队核心交换机处，对交警支队重要信息系统访问流量进行监听、记录、分析，实现对交警重要应用系统业务用户操作行为的全面审计。

同时，对网络流量包头信息进行采集、分析。

3、在济南市局数据中心处部署 1 台统一分析中心，对 3 台审计引擎进行集中管理，并对采集到的审计日志进行集中存储和分析。

采用引擎、分析中心分离的方式，独立硬件设备各司其职，提高审计引擎工作效率、审计准确度，降低丢包风险。

省公安厅市交警支队市局各单位万兆引擎万兆引擎万兆引擎市局数据中心核心市局数据中心接入统一分析中心警务云数据中心采集引擎中心一体化部署方式，具体部署说明如下：1、2 台万兆综合安全审计系统部署于济南市局数据中心核心交换机处，在该节点对济南市局重要信息系统访问流量进行监听、记录、分析，实现对市局重要应用系统业务用户操作行为的全面审计。

同时，对网络流量包头信息进行采集、分析。

2、 1 台万兆综合安全审计系统部署于济南交警支队核心交换机处，对交警支队重要信息系统访问流量进行监听、记录、分析，实现对交警重要应用系统业务用户操作行为的全面审计。

同时，对网络流量包头信息进行采集、分析。

3 台综合安全审计系统3、在数据中心选择其中一套作为统一分析中心，对进行集中管理。

省公安厅市交警支队市局各单位综合安全审计系统（万兆）综合安全综合安全审计系统审计系统（万兆）市局数据中心核心（万兆）市局数据中心接入警务云数据中心5 综合安全审计产品规格统一分析中心和采集中心可以为一体化设备或分别为单独设备。

统一分析中心： 2U 设备，要求硬盘容量≥6T，支持 RAID5；入库速度≥ 50000 条/ 秒，日处理事件数≥ 100000 万条；采集引擎： 2U 设备，配置至少 2 个万兆光口并配置光模块；双电源。

应用日志内容和格式要求完全满足山东省公安厅《公安信息系统应用日志安全审计平台日志采集规范》；功能要求1、必须具备通过旁路流量采集方式，对至少10 个应用系统进行审计（包括加密的 web 应用）；★2、必须具备审计流量包头信息功能，包括源目的IP、源目的端口、源目的 MAC、协议类型、上下行流量等信息；★3、与山东公安厅安全平台对接，进行审计日志上报。

支持与吉大正元、格尔认证网关对接，对通过认证网关登录、中间件认证登录的应用系统的用户标识进行提取。

4、要求可对采集引擎进行统一管理，对日志进行统一存储和分析。

5、审计记录支持关键信息翻译，正确识别业务语言，支持页面形式回放，方便用户进行场景还原；6、针对此产品，可提供对应用、数据库环境下的用户-应用系统 -数据库访问的精确关联审计。

关联算法具有一定的先进性，提供专利编号并加盖公章证明。

7、针对此产品，支持对 XSS、SQL注入等常见攻击行为的检测，检测算法具有一定的先进性，提供专利编号并加盖公章证明。

8、支持以统计场景的形式，查看不同的日志信息，提供实时统计和历史统计两种模式。

9、可完整记录对业务系统的操作类型、操作时间、客户端地址、用户名等关键信息。

10、产品与可与高级可持续性威胁检测产品、WEB 应用防火墙产品联动，提供产品界面截图并加盖公章证明。

11、可支持基于大数据架构的分布式日志存储和分析，进行审计日志的分类和聚类分析，挖掘异常业务，请提供截图证明。

厂商资质、产品资1、产品厂商具有中国信息安全认证中心颁发的信息安全应急质处理服务一级资质证书2、产品厂商为微软MAPP 计划成员单位3、投标厂商所投产品需具有国家信息安全测评中心颁发的信息技术安全产品测评证书 EAL3+、IPV6 认证证书（以上产品、厂商资质证书需提供扫描件并加盖公章）售后服务中标方在中标后提供 3 年原厂质保服务。

评标方法和评分细则一、评标方法本次评标采用综合评分法，将依据投标人投标文件对其资信、业绩、投标产品质量、服务、技术方案、价格等各项因素进行评价，综合评选出最佳投标方案。

每一投标人的最终得分为所有评委评分的算术平均值。

高得分的投标人为中标人。

得分相同的，报价较低的一方为中标人。

得分且投标报价相同的，技术指标较优的一方为中标人。

评分因素分值分配价格部分30商务部分15技术部分45服务部分10合计100二、评分细则评分因素价格部分30分商务部分15分评分内容分值以满足招标文件要求且投标价格最低的投标报价为评标基准价，其价格分为满分 30 分，其他投标人的价格分按照下列公式计算：30 投标报价得分 =（评标基准价 / 投标报价）× 30%× 100自开标日起近36 个月内签订的公安系统业务审计类产品案例，每提供 1 个案例，得 2 分，省内 50 万以上案例加 1 分，最多得 5 分， 5 没有案例不得分。

需提供合同复印件。

技术部分45分服务部分10分至少 2 个审计报文过滤和关联审计相关专利，一个 1 分，最高得 2分。

提供证明文件或专利编号，加盖公章备查。

2产品制造商具有国家互联网应急中心（CNCERT/CC）网络安全应急服务支撑单位证书：国家级得 3 分，省级得31 分。

产品制造商具有中国信息安全测评中心颁发的国家信息安全测评2 信息安全服务资质证书（应急响应一级），得2分。

未提供不得分。

所投审计类产品在第三方机构排名前三位，第一名 3 分，第二名 2分，第三名 1 分。

3对投标人提供的技术方案是否从用户实际应用出发，实现现有各业务应用系统的集成、优化，进行综合评价，分为优：得 7-10 分；10 良：得 3-6 分，差： 0-2 分。

对投标设备配置及技术指标与招标要求的响应程度进行综合评价，对投标产品的技术先进性，整体设计成熟、合理、高效，升25 级扩展性、兼容性、安全易用、易维护等性能进行综合评价，优20-25 分，良 14-19 分，一般8-13 分，较差 0-7 分。

对投标人提供的项目实施方案进行评价，包括技术力量、实施进度、质量保障机制、验收及测试方案等，分为优：得 7-10 分；10 良：得 3-6 分，差： 0-2 分。

对投标人提供的服务保障体系、技术服务力量、服务内容、服务响应时间、培训方案等情况进行评价。

优 3-5 分；一般 1-2 分， 5 较差 0分。

投标产品制造商在济南有分支机构得 5 分，请提供证明文件；没有不得分。

5合计100。