一、建设需求
1.1项目建设背景
近几年,上海商学院已经建成了比较完善的校园网基础设施,也建设了大量的应用系统,积累了一些信息化资源以及应用服务,从一定程度上改善了学生、教职工的科研、财务、图书管理等业务的信息化环境。根据我校建设目标,要求我校不断创新、增强学校核心竞争力,全面推动学校由传统教学向信息化教学方向转变。随着学校自身的不断发展,教学改革的深化,随着信息化技术应用规模的延伸,广大师生对信息资源快速获取需求的不断提升,各个职能部门对管理信息化需求的不断增强,对学校来说,信息化建设对学校的整体发展具有极为重要的影响,从一定程度上讲,它直接会影响到学校的发展战略。
随着各类业务系统不断上线运行,技术运维部门面临的确保系统安全稳定运行的压力也随之增加。目前,技术人员普遍采用共享的系统账号在后台设备上进行频繁的管理和维护操作,然而,复杂的人员结构和系统结构使得技术运维管理面临严峻的挑战。突出的管理难题包括:
u 共享账号难控制:操作人员使用共享账号的同时无法准确识别操作者的身份;
u 设备密码难管理:随着设备数量的增加,密码管理的难度越来越大。要求账号密码足够复杂和定期的修改系统账号密码;
u 操作行为难约束:无法对操作人员的操作行为进行事前主动的控制和约束;
u 操作过程不透明:无法清晰的展示每个操作者具体的操作过程;
而当前的管理手段只是从管理的角度对系统安全进行管理,管理手段原始,管理力度弱,级别低,缺少较好的技术手段达到公司内外审及安全的要求。
1.2建设目标
建立一套运维操作管理系统,系统建成后统一对现有的以及未来接收的信息系统的用户身份和行为进行管理和控制,第一,通过集中运维,减少因离散操作导致的失误与风险,提高工作效率,提升系统安全;第二,通过对所有用户在主机上的操作行为进行监控与记录,实时了解用户的操作行为,发现风险及时中止用户的操作,并记录下用户所有的操作行为,便于进行事后的审查与取证,以确保信息系统审计的合规性和系统的安全性。
该系统主要实现如下建设目标:
(1)实现资源集中管理。系统实现对服务器、网络设备、安全设备、数据库等系统的统一管理。运维人员只能通过集中的运维操作管理系统访问各类后台资源。
(2)实现权限统一分配。实现对运维人员账号的统一管理和认证,保证每个运维人员有自己独立的帐号与口令,建立人员账号与设备帐号的授权与关联机制,设置不同运维人员对不同设备的管理权限,避免可能存在的越权访问。
(3)实现操作完整审计。对运维人员操作行为进行全程监控和记录,对违规操作进行阻断和报警,实现运维操作的安全审计,满足信息安全审计要求。
1.3技术要求
项目 |
子项目 |
技术参数 |
系统架构 |
设备数量 |
2台,并做双机热备,以下参数要求都针对单台设备 |
硬件架构 |
采用专业服务器、操作系统和软件系统 |
接口配置 |
至少4个千兆电口网口 |
并发操作性能 |
图形操作并发数≥100个 字符操作并发数≥200个 |
硬盘 |
至少1T存储空间 |
双机 |
支持双机热备 |
授权 |
授权至少1000个设备的管理、运维和审计 |
登录 |
管理界面 |
使用WEB方式登录设备并管理,提供简便友好的设备管理界面 |
认证 |
支持多种认证方式,如本地密码认证、RADIUS认证、LDAP认证、AD域认证 |
用户账号 |
账号基本管理 |
用户帐号的整个生命周期管理,对用户帐号进行增加、修改、删除及锁定、解锁等操作 |
分组管理 |
支持用户帐号的分组管理,如分组可以树形方式展现 |
权限管理 |
不同账户拥有不同的设备访问权限和不同的运维权限 |
资源管理 |
|
1.能够添加、修改、删除被管资源 2.支持资源的分组管理,分组可以树形方式展现 3.资源类型支持Windows服务器、Linux服务器、网络设备 4.资源管理协议支持SSH、TELNET、FTP、WINDOWS文件共享等协议 5.Windows类型设备,可以选择启用或者关闭某台设备的磁盘映射功能 6.对于数据库、web、专用C/S客户端程序支持以应用发布的方式进行授权和审计 |
授权 |
|
1.可以将资源和资源的从帐号授权给帐号。授权给帐号的资源可以新增和删除。授权时可以按照树形组显示资源,方便资源的选择 2. 必须支持登录资源的账号密码含有特殊字符和标点符号等 3.帐号登录后,对本帐号授权的资源只能在即符合帐号的访问策略时访问到资源。 4.对RDP资源进行授权时,支持剪贴板及本地磁盘的使用授权 5.支持授权的流程管理。支持流程申请人、审批人、执行人的委派。授权需要申请人定义申请单,发起事件申请;事件可以多人审批,审批人收到申请后可以同意或拒绝申请,同意时可以指定执行人进行实际的管理动作的执行 6.内部管理功能权限支持角色定义,角色包含的权限可以自定义。自定义内容包括:分组管理权,资源管理权,授权管理权,审计管理权等等。 |
运维 |
Windows主机 |
1.支持windows各版本,包括XP、2003、2008、2012等 2.RDP方式登录Windows系统,便于运维人员快速定位到主机 3.可控制挂载本地磁盘、剪切板等功能;该策略可基于单个用户、用户组配置 |
Linux主机 |
1.支持主流Linux系统运维 2.支持SSH方式运维 3.支持FTP传输。 |
网络设备 |
1.支持思科、华为、H3C等设备运维,包括各型号路由器、交换机、防火墙等。 2.支持SSH方式运维的其他网络设备,如防火墙、负载均衡设备等。 3.支持WEB方式运维的防火墙等。 |
审计 |
操作行为记录 |
1.针对SSH、Telnet操作进行记录及审计;记录发生时间、发生地址、服务端IP、客户端IP、操作指令、返回信息、操作备注、客户端端口、服务器端口、运维用户帐号、审批用户帐号、服务器用户名等信息 2.针对RDP图形终端操作的连接情况进行记录及审计;记录发生时间、发生地址、服务端IP、客户端IP、操作指令、返回信息、操作备注、客户端端口、服务器端口、运维用户帐号、审批用户帐号、服务器用户名等信息 |
会话过程回放 |
1.支持以WEB在线视频回放方式重现维护人员对服务器的所有操作过程 2.支持倍速/低速播放、拖动、暂停、停止、重新播放等播放控制操作 3.支持从特定操作指令开始进行定位回放 4.支持回放界面中显示键盘输入、功能键、鼠标动作 |
实时监控 |
1.支持实时监控近期发生的所有会话信息,显示会话状态(连接中、退出、阻断) 2.支持对会话进行同步监控,执行会话回放、监控和阻断操作 3.支持实时监控审计系统CPU、内存、磁盘的使用情况 |
历史查询 |
1.支持同一次会话中的指令关联查询,显示会话中所有操作指令 2.支持根据查询结果直接定位视频文件,回放历史会话 |
报表 |
|
1.支持对象信息报表功能,对象包括但不限于资源、从账号、角色、授权关系、策略等;报表可按照时间段、操作等条件生成与排序,且可以pdf等格式导出 2.支持对象变更操作报表功能,变更操作包括但不限于资源变更、从账号变更、角色变更、授权关系变更等。报表可按照时间段、操作等条件生成与排序,且可以pdf等格式导出 3.支持认证登录系统报表,可审计出认证登录成功、失败及总次数,并可按照时间段、操作等条件生成与排序,且可以pdf等格式导出 4.支持对违规登录系统的审计及报表功能,可按照时间段、操作等条件生成与排序,且可以pdf等格式导出。 5.支持针对密码一致性检查的审计报表功能,可按照时间段、操作等条件生成与排序,且可以pdf等格式导出。 |
资质要求 |
|
设备厂商需具有《计算机软件著作权登记证书》 公安部颁发的销售许可证 产品必须是自主研发而不是OEM产品 提供上海地区高校成功案例 在上海应设有常驻机构,能够提供本地化服务,设有供应设备的售后技术服务机构,配有较强的技术队伍,能提供快速的售后服务响应 |
1.4其他要求
1.报价范围:设备单价应包含设备的搬运、安装以及售后服务、调试等费用,此类费用不再单列。其中还应包括必不可少的部件、标准备件、设备制造、保险、包装等直至项目验收合格时所发生的全部费用;
3.免费提供不少于三年的原厂商保修服务,免费提供专业安装调试及培训,提供相关售后服务计划书(需列明质保期、维修保养计划、维修响应时间、保修期外的维护保修方案及收费项目收费标准等);
4.在保修期内设备故障的维护应免费,提供5*8小时上门维修服务,提供7*8小时电话技术支持服务。当发生故障时,技术人员在4小时内到达现场并完成对故障硬件的更换所需费用由供应商承担;
5.完成后中标单位必须通过相关部门的验收合格通过;
6.供应商应在投标书中提出保修期之后的设备返修流程,包括返修时间,替用设备,以及返修价格;
二、投标要求
1、标书一式叁份,标书包含以下主要内容:
1)公司基本情况(如有代理产品,有代理授权书)
2)产品介绍及报价
3)同类产品的主要用户名单,联系电话
4)供货时间
5)服务和培训承诺
6)标书务必附上本年度年检的营业执照复印件、税务登记证复印件,两者需加盖
公司红图章。
2、中标后,不得转包给其他单位。合同请先参阅上海商学院资产与设备管理处网站“资料下载”板块中各类采购合同模板。
3、投标截止日期: 2015年7月15日下午2点
联系人:韩老师
联系电话:67103257
技术联系人:张老师
联系电话:67102973
联系地址:三份标书统一密封后送达上海商学院奉贤区南桥环城东路496号商运大厦606室(请务在封面上必标明投标名称,联系人姓名和手机电话)
资产与设备管理处
2015年7月8日
