招标文件编号:T090032
致各潜在投标人:
我司拟对密码安全系统软件(需求见附件一)进行招标,参与投标的潜在投标人需符合以下条件:
1. 投标人应具有独立的法人资格,持有在中国合法注册的经年检合格的《企业法人营业执照》、《组织机构代码证》和《税务登记证》,注册资本金应在100万元人民币以上;
2. 投标人应为软件的生产商或专项授权的代理商,在此类产品技术领域中具有培训、售前、售后服务人员及经验;
3. 企业财务状况良好,具备良好的银行资信证明,并可提供近叁年由注册会计师事务所出具的经审计的财务报告(应包括资产负债表、利润及利润分配表、现金流量表等);
4. 具备良好的服务业绩及商业信誉,无不良的诉讼记录。对提供的解决方案在大中华区域最少1年以上的部署经验;
5. 并可提供相关业绩资料;
6. 具备有效的ISO质量管理体系认证;
7. 供应商最少能够提供在近24个月的在大中华区域成功部署案例以供参考;
本项目不接受挂靠、转包、联合体单位参与投标,请符合上述条件的潜在投标人于2009年10月23日前,与采购部吴先生联系 (电话:010-88641364,邮件:jy.wu@mtr.bj.cn,) 地址 :北京市丰台区马家堡四号线车辆段行政办公楼,邮编 100068)进行报名。
感谢贵公司对本采购项目的关注,并期待您的积极参与。
顺颂商祺!
北京京港地铁有限公司
2009年10月15日
附件一
企业特权账户管理需求
一、 详细需求描述
我司基础平台概况
l 特权帐户及密码存在于任何硬件或者软件架构中,包括操作系统平台、数据库、硬件和网络设备
l 特权帐户及密码的数量多;各种应用分布在服务器管理和数据用户及应用系统之中
l 特权帐户及密码权限分类较多,不同的人掌握了它们,就可以窃取和控制企业信息系统
l 特权帐号无法禁用
l 特权帐号密码通常是多人共享, 如有意外故障发生,无法无法准确定位何人何时使用了该帐号
l 审计法规有相关规定,比如Sarbanes Oxley 404, PCI 和Basel II 都对特权密码的管理有严格要求
l 在人工对特权帐户及密码相关的流程管理时,耗时、低效、人力成本高。
l 需要管理的帐号总数为101个
二、 技术需求部分
1. 对供应商和产品资质要求
l 供应商提供的解决方案必须能够帮助MTR有效管理和使用特权账户
l 供应商提供的解决方案应通过第3方的安全认证(如ICSA 等)
l 供应商提供的产品应该有IDC 或Garther评价
2. 产品结构的要求:
l 产品部署需要支持我公司现有的主要操作系统平台
l 产品要支持根据客户现有的系统架构进行调整(如:Windows AD域)
l 产品要支持完善系统冗余备份功能、
l 产品要支持高可用性群集管理
l 产品要支持系统的负载均衡功能
l 产品需能够提供安全的远程管理客户端
l 产品操作帐号能够符合公司安全管理标准
l 产品能够实现对所有账号集中式管理
l 产品能够提供一套有效的密码管理审批流程
l 产品能够提供友好的Web管理界面功能
l 产品的部署不需要在客户端安装任何代理程序
l 产品要能够与客户现有的安全管理环境整合
l 产品要支持分布式部署架构和灵活完善的特权帐号管理组件,以支持现有平台的部署和未来扩展需要
3. 产品基本功能的要求:
3.1管理平台支持
产品应具备管理公司现在所有操作系统、数据库、网络设备帐号密码的功能
l 产品应支持公司的操作系统 (包括:WindowsServer2003 X86/X64 ;Linux;EXS Server;HP Unix)
l 产品应支持公司的数据库系统 (包括:MSSQL2000;MSSQL2005; Oracle 9/10g)
l 产品应支持公司的网络设备 (包括:alcatel;Juniper ; Cisco产品)
l 对其他平台也需要有良好的支持,以增强方案的灵活性,不仅可以应对现在的需要,也可以支持未来的扩展
3.2 用户管理
产品应对特权账户使用用户提供安全有效的用户管理功能,简化IT管理工作
l 产品应支持对能获取特权密码人员进行管理 (增加、修改、删除)
l 产品在用户管理功能上应支持远程管理
l 产品应支持对用户分组分类,符合公司部门划分
l 产品应支持与Windows AD域或LDAP 服务结合管理用户(导入,导出)
l 产品支持与其他身份认证产品结合,实现安全SSO单点登录
l 产品支持与其他外部认证系统同步管理和维护账户
3.3 密码安全策略
产品应可自定义密码规则设置策略并符合公司安全认证标准的要求
l 产品应支持统一密码安全存放
l 产品应支持密码复杂度,比如长度、结构、是否有大小写要求、是否要包含特殊字符等
l 产品应支持密码更改方式,手动或者自动更改密码
l 产品可定期自动修改和管理操作系统/数据库/网络安全设备密码
l 产品在一定时间要定期检查密码一致性
l 产品应具备密码“用完即改”效能
l 产品应该能够自动同步Windows 服务,Windows 计划任务,IIS 应用程序池等所用登录帐号
l 产品应能够经过配置允许某个时刻只能有一个用户可以使用某个特权帐号密码,以加强审计力度
l 所有密码的使用和修改记录最少可以保存3年,符合相关安全法规
3.4密码的获取和授权
产品应具备权限控制, 被分配相应权限的人能获得相对应权限的用户及密码,或通过产品修改密码
l 产品应自定义IP及物理地址区域限制用户获取密码
l 产品可自定义用户分组,分级授权
l 产品可自定义时间段限制用户获取密码
l 产品可以通过支持密码获取的申请和审批流程加强安全性和可管理性
l 产品支持与其他身份认证产品(如AD,LDAP)及令牌结合
3.5审批流程
支持申请审批流程, 在获取密码之前需要经过相关人员,比如上级领导的审批
l 产品支持对用户在获取密码时设置审批功能,加强审计
l 产品应包含事前审计功能,可强制用户在每次拿密码的时候输入原由
l 产品应提供在用户申请密码的有效期限设定功能
l 产品应能限定被授权人在指定的时间内使用已审批的密码
l 产品应设定通过审批后的密码,在超过有效期限后系统自动注销
l 产品应能支持对未能通过审批的密码禁止被使用
l 产品应支持自定义某密码的获取需要一人或多人审批
l 审批人不能查看特权帐户的权限
3.6审计报告和监控
l 产品提供邮件通知的方式,发送任何关于密码管理系统的活动的消息给管理人员,并且邮件通知的格式和内容必须可以定制
l 系统中保存过去所有密码变更记录以及变更前后的密码版本
l 提供审计和日志功能,审计数据不可删除和更改
l 可以对日志报告进行搜索、过滤、和分类列表
l 图形化显示当前企业总体特权帐号密码统计信息和密码使用情况
l 报告可以以CSV 或Txt 表格形式导出
l 报告应包含 (系统活动报告 ,密码校验报告,用户授权报告,用户活动状态报告等)
l 产品应能定期自动保存报告
3.7 产品的安全性
l 密码的传输应使用安全的加密传输协议
l 产品应具备容灾功能,生产主机和备份主机能实时同步
l 所有密码信息应以加密形式保存
l 要使用Web界面获取或管理密码的用户必须支持SSL加密
l 产品必须为特权帐户密码提供专门的安全存储,在此专门服务器上,没有任何其他无关应用程序或者组件同时运行,只有此产品自己的组件应用(如防火墙功能,文件加密,VPN, 双重控制,访问控制,认证,会话加密等)可以和此服务器进行通信
l 该解决方案中在管理跨网段设备时为最小化风险,应遵循端口开放最少原则(仅需要开放一个必要的安全端口)
3.8 扩展能力(可选模块)
l 产品能在将来提供用户访问的监控和录像功能作为事后审计产品能提供应用程序间密码的自动更改和获取
l 该解决方案应支持负载均衡功能 为基于Web访问的用户提高工作效率
l 产品对密码管理平台的支持应该能够与主流产品升级同步