采购公告

我司拟对大家保险IT远程运维系统项目进行供应商征集，诚邀符合要求的供应商报名参加。

项目具体内容如下：

一、项目名称：IT远程运维系统项目

二、采购服务内容（以最终标书为准）：

1.采购标准

执行标准：供应商产品须符合 《网络安全技术—零信任参考体系架构》 （GB/T 43696-2024）标准。

质量标准：供应商应标的设备应技术成熟可靠，产品兼容性高，在金融行业有广泛的部署应用。

功能标准：完全满足项目采购说明书所述的各项功能需求，包括但不限于网络访问控制、权限管理、安全检测、日志审计等功能。

安全标准：

（1）投标产品须通过国家密码管理局商用密码检测中心GM/T 0025《SSL VPN 网关产品规范》，GM/T 0028《密码模块安全技术要求》二级（含）以上的认证。

（2）服务器CPU：通过中国信息安全测评中心的安全可靠测评且在有效期内（提供证明材料）。

（3）一体机操作系统要求使用国产操作系统，通过中国信息安全测评中心的安全可靠测评且在有效期内（提供证明材料）。

（4）一体机内存、硬盘、网卡需符合国家网络安全审查相关规定。

2.采购标的

采购1套IT远程运维准入控制系统，该系统包含配套的软硬一体机和1500点数终端并发授权。满足各主体 IT 员工的远程运维管理需求。

（1）硬件设备需具备高性能、高可靠性，能够支撑系统长期稳定运行。

（2）供应商提供安装配置服务（包括但不限于方案设计制定、设备上线安装、网络配置调试、权限迁移配置调试、SDK配置调试等服务）。

（3）原厂提供3年7×24×4的维保及备机服务，确保在系统出现故障时能快速响应和恢复。提供3年系统免费升级服务，定期进行维护巡检服务，每季度对设备的软件和硬件进行全面检查，包括系统性能评估、硬件设备健康检查、安全漏洞扫描等，及时发现并处理安全问题。

3.功能需求

网络访问控制：实现精细化网络访问控制，对每个访问请求进行严格的身份验证和权限检查。基于用户身份、角色、设备状态（如设备是否合规、是否处于可信网络环境）、时间等多因素动态调整访问权限。能够对不同业务系统、不同网络区域进行差异化访问控制，例如限制某些用户在特定时间段内访问敏感业务系统，或者禁止未通过安全检测的设备访问内部网络资源。访问控制策略的配置应灵活、直观，支持可视化操作界面，方便管理员进行管理和维护。

安全基线检测：基于终端进行多维度安全基线检测，包括操作系统版本合规性检测，确保终端操作系统为受支持的版本且及时安装了必要的安全补丁；防病毒软件状态检测，检查终端是否安装了有效的防病毒软件且病毒库为最新；网络配置检测，确保终端网络配置符合公司安全策略，如防火墙设置、IP 地址分配等。对于不符合安全基线的设备，应阻止其接入内网，帮助用户快速修复问题。安全基线应可根据公司安全策略的变化进行灵活调整和更新。

日志审计分析：提供多维度日志审计功能，记录用户登录、操作、权限变更、设备接入等行为。日志内容应包括操作时间、操作人、操作对象、操作内容、操作结果等详细信息。支持实时分析日志数据，及时发现异常行为和安全威胁，如多次登录失败、异常的权限提升操作等，并能生成告警信息通知管理员。具备事后追溯能力，能够根据日志数据还原安全事件发生的全过程，为安全事件的调查和处理提供有力支持。同时能够对日志数据进行统计分析，生成报表，如用户行为分析报表、安全事件趋势报表等，帮助公司了解网络安全状况，优化安全策略。

权限管理：实现基于用户身份的动态权限管理，用户权限根据实际业务需求和安全策略动态调整。当用户岗位变动或业务需求发生变化时，系统能够自动更新用户权限，确保用户只能访问其权限范围内的资源，避免权限滥用。支持权限的分级管理，管理员可根据不同的管理职责分配不同的权限管理范围，如超级管理员可管理所有用户权限，部门管理员只能管理本部门用户权限。权限管理应具备自助审批流程，任何权限的变更都需经过审批，确保权限变更的合规性和安全性。

系统高可用性：采用双活架构，确保系统7×24小时不间断运行。两个机房的系统应实时同步数据，当一个机房出现故障时，另一个机房能够立即接管业务，保障业务连续性。具备容灾能力，能够应对设备故障、网络攻击等各种意外情况，确保数据不丢失、业务不中断。系统应满足未来横向资源扩充需求，可以通过增加服务器、存储设备等硬件资源，提升系统性能和容量。

VPN权限迁移：能够完整、准确地完成现有VPN 系统中的用户权限数据迁移。在迁移过程中，对用户权限数据进行备份和校验，确保迁移后用户权限与原 VPN 系统一致，用户可正常使用已有权限进行远程运维操作。对于迁移过程中出现的用户权限异常问题，应具备快速排查和校验机制，保障业务连续性。迁移完成后，对新系统中的用户权限进行全面测试和验证，确保用户权限数据的准确性和完整性。

SDK 对接：支持与手机端自研应用进行SDK对接联调，确保我司自研手机端应用在嵌入 SDK 后能稳定运行。在不同网络环境（如 4G、5G、WiFi）、不同设备类型（如不同品牌和系统的手机）下，实现安全可靠的远程接入功能，确保手机端用户体验流畅，数据传输安全。

4.接口需求

系统应具备与域控、邮箱、OTP 令牌、企业微信、短信平台、用户统一登陆中心oauth2.0对接的API接口，确保数据交互顺畅、身份验证准确、权限控制有效。接口应支持常见的通信协议，如 LDAP、SAML、OAuth2.0 等，实现与现有系统的无缝集成。在对接过程中，应提供详细的接口文档和技术支持，确保公司技术人员能够顺利完成对接工作。

供应商须提供与手机端自研软件 SDK 对接的标准接口，满足不同网络环境、设备类型下的数据交互和功能调用需求。接口应具备良好的兼容性和扩展性，能够适应手机端应用的不断升级和功能扩展。SDK 对接应支持数据加密传输，保障数据安全。同时，提供 SDK 对接的示例代码、开发文档和配套的技术支持服务，协助公司研发团队完成对接工作。

5.非功能需求

安全要求：采用行业标准加密算法对数据进行加密存储和传输，并支持国密算法，有国密认证证书，确保数据的保密性、完整性和可用性。具备完善的访问控制机制，包括用户认证、授权、访问控制列表等，防止数据泄露、网络攻击、恶意软件入侵等安全事件发生。系统应具备安全漏洞扫描和修复机制，定期进行安全漏洞扫描，及时修复发现的漏洞，确保系统安全。

兼容性要求：与公司现有基础设施和系统兼容，兼容国产手机终端的CPU芯片，包括不同的PC操作系统（如 Windows、Linux、macOS），不同的手机端操作系统（如安卓、苹果、鸿蒙）和国产化操作系统（如统信、麒麟等）。

6.部署要求

采用本地化部署方式，确保系统数据的安全性和可控性。

7.硬件采购需求

本标段采购IT远程运维软硬一体机，配置参数要求如下表：

软硬一体机参数
名称	IT远程运维准入控制系统
关键参数	类别 功能 子项 详细信息 硬件规格 硬件要求 硬件参数 单台设备内存不少于32GB，固态硬盘不少于480GB SSD，冗余电源，软硬件一体专业设备 解析性能 性能 集群并发用户数15000个（可扩容） 集群SSL加密流量（Mbps）1200Mbps （可扩容） 集群https并发连接数160000个（可扩容） 集群https新建连接数3600个/秒（可扩容） 高速接口 端口 单台设备不少于2个千兆光口、2个千兆电口、2万兆光口SFP+、1个千兆管理电口，支持扩展 软件功能 身份安全 身份源对接 支持本地用户批量导入、SCIM2.0用户、LDAP/AD用户、钉钉用户、飞书用户、企业/政务微信、企业微信同步指定部门下的账户、用户字段映射、支持AD导入支持条件过滤等身份源对接。 认证源对接 本地账号密码认证、LDAP/AD认证、Radius账号认证、企业/政务微信认证、钉钉认证、飞书认证、阿里云短信认证、腾讯云短信认证、SMTP认证、腾讯云邮件认证、阿里云邮件认证、腾讯企业邮认证、阿里企业邮认证、自定义Oauth2.0认证（大家统一认证中心）、CAS认证、OIDC认证、OTP令牌认证等多种认证源。 安全单点登录 支持SSO单点登录。 用户行为风险 支持异常登录行为检测和异常访问行为检测。 SDP访问 业务资源授权 1）支持应用精细化授权，可支持基于用户/组织架构/角色对应用和应用分类进行授权，对权限授权进行精细化管控，提升安全性。 2）支持应用精细化授权，可支持基于应用和应用分类对用户/组织架构/角色进行授权，对权限授权进行精细化管控，提升安全性。 暴露面收敛 支持自身服务收敛技术，如UDP协议终端敲门、TCP协议终端敲门、ICMP协议终端敲门等单包敲门技术。 动态访问权限控制 支持基于资源视角进行权限策略的授权与回收，用户可以自助申请资源权限和超时回收资源权限。 接入能力验证 支持客户端L4隧道接入和客户端L7隧道接入。 进程管理 支持资源访问进程和进程基础信息采集。 终端管控 终端合规检测 终端软件支持检测以下终端基线信息： 1）浏览器名称、版本； 2）内外网判断（基于接入网关的地址）； 3）客户端的源IP； 4）计算机信息：MAC地址、客户端IP、计算机名称、计算机硬件特征码、计算机域、操作系统、操作系统版本、补丁信息、软件信息、注册表信息； 5）运行进程、服务； 6）杀毒软件是否安装、病毒库是否过期等。 终端基线加固 支持禁用共享高危服务、 闲置终端管控、 禁止运行特定的程序、禁止指定系统服务运行、 4）注册表检查修复、补丁检查修复 5）特定进程检查、特定软件检查、 6）禁止指定系统服务运行等终端加固行为。 攻击识别与防护 支持高危网站拦截、钓鱼文件渠道监控、支持常见钓鱼免杀手段监控和拦截、支持钓鱼事件的溯源和审计、横向渗透监测与拦截。 员工行为审计 1）支持员工访问web记录审计、文件操作审计、应用操作审计、截屏审计、打印审计。支持将虚拟IP的申请和释放日志以Syslog的形式同步到第三方服务器（如：第三方态势感知），第三方服务器可通过日志获取虚拟IP对应的用户及终端信息。 2）对于风险事件支持以拓扑图的形式还原会话内的登录和访问行为，并能够展示关联IP和终端信息，以帮助管理员快速确定风险情况和影响范围； 3）支持对IP进行关联分析，展示IP登录过的用户和终端信息； 4）支持对终端进行关联分析，展示终端登录过的用户和IP信息； 5）支持导出溯源审计报告：安全事件一键自动生成溯源报告，报告内容包含事件背景、会话拓扑图、登录过程分析、访问过程分析、涉及用户分析、涉及IP分析、涉及终端分析、事件描述和处置建议等内容； 资产管理 支持终端资产盘点-终端自助登记信息，终端资产盘点-终端硬件变更信息记录，自定义终端组-终端自定义分组策略下发，终端（设备）画像-终端画像（基本信息） 日志 日志报表 支持生成各类日志和报表，包括但不限于身份安全日志、资源访问日志、客户端操作日志、终端安全日志、终端管控日志、终端合规日志、风险分析日志、安全准入日志、客户端修复日志、License授权日志、管理员日志。 日志审计 设备支持本地日志查询和通过syslog协议发送至第三方日志服务器，实现溯源审计。 客户端与基础平台 客户端智能选路 根据客户端智能选路算法自动选择最优代理网关线路进行接入，实现用户侧的就近接入； 当客户端接入的网关发生故障时，客户端可支持快速自动切换至剩余代理网关线路，实现故障自恢复。 设备支持当网关发生故障时，客户端可自动切换至剩余网关线路，实现故障自恢复，确保业务连续性。 基础平台集群可靠性 设备在本地集群模式下，支持集群内某一节点因故障宕机、业务网口断线、设备断电、核心服务异常可快速完成集群切换，且集群的整体业务授权数能保持一致，已登录的用户不受影响，持续提供服务。 分布式集群支持某个单元故障后，集群依旧可继续提供业务，不中断业务，实现异地灾备的同时可提升整体架构的稳定性。 SDK集成相关 SDK对接 设备支持第三方APP应用可在Windows/MacOS/麒麟/统信/iOS/Android上集成SDP的功能。开发人员可以通过调用SDK中的接口函数，调用客户端执行相关的业务流程，实现共享客户端的安全接入、隧道代理、安全空间能力。开发人员可根据提供的SDK集成文档，完成Windows/MacOS/麒麟/统信/iOS/Android上的APP集成；

8.服务类需求（含服务水平）

服务项	服务内容描述	服务要求/水平描述
项目实施阶段	1. 完成IT远程运维项目设计及实施方案制定，包括项目整体规划、技术方案设计、实施步骤安排等，确保方案具有可行性和前瞻性。 2. 完成设备上线安装及配置、网络对接调试、远程运维系统配置及变更实施，严格按照设计方案进行操作，确保系统安装和配置的准确性和稳定性。 3. 配合完成 VPN 系统权限迁移和 SDK 对接联调测试，积极与公司相关团队协作，保障数据迁移和对接工作的顺利进行。 4. 组织相关技术培训，培训内容应涵盖系统原理、操作方法、管理维护等方面，确保公司技术人员和业务人员能够熟练掌握系统的使用和管理。	1. 服务应严格按照设计方案和实施方案执行，项目实施过程中需提交详细的项目进度报告和技术文档，确保项目按时交付。 2. 实施过程中遇到问题应及时沟通解决，对于技术难题，应在 48 小时内给出解决方案。 3. 交付物包括详细的实施方案、技术白皮书、用户使用手册、测试报告等项目资料，资料应完整、准确、清晰。 4. 服务人员应具备丰富的远程运维系统实施经验，至少参与过同类型项目 2 个及以上，具备相关专业认证证书者优先考虑。
项目上线后维保阶段	1. 提供3年7×24×4原厂维保及备机服务，在系统出现故障时，确保在规定时间内响应和解决问题。 2. 提供3年系统免费升级服务，及时更新系统功能、修复安全漏洞，确保系统始终处于最新的安全和功能状态。 3. 每季度进行设备软、硬件巡检，对系统性能、硬件设备健康状况、安全漏洞等进行全面检查，及时发现并处理潜在问题。	1. 故障处理响应服务：质保期内提供 7×24 小时全时非现场和现场技术服务，非现场响应时间不超过 15 分钟，现场响应时间为 2 小时。对于重大故障，应在 4 小时内恢复系统正常运行。 2. 硬件故障处理服务：硬件设备故障时，备件先行，4 小时携带备件到现场。对于无法及时修复的硬件故障，应提供临时备用设备，确保业务不受影响。 3. 巡检服务需提供详细的巡检报告，包括巡检内容、发现的问题、处理建议等。对于发现的潜在问题，应在7 个工作日内完成处理。 4. 服务人员应为原厂服务人员或持有原厂高级认证服务人员，具备丰富的技术经验和良好的服务态度。

9.培训需求

（1）本项目培训目标是运维人员可熟练配置本项目所采购设备

（2）本项目要求的培训内容包括设备原理及配置培训、日常运维培训等

（3）培训应以现场方式进行，课程培训次数4次，每次培训2小时、总培训时长8小时

（4）培训应提供设备原理及配置资料、课件

（5）培训讲师应具备原厂授权培训讲师或原厂高级认证资质

三、供应商资格条件及提交材料要求

1. 资格条件：

（1）中华人民共和国境内合法注册的独立法人，实缴资本金不低于人民币300万元；近三年无重大违约行为或违法等情况；
（2）投标方须获得所投标产品的原厂授权；
（3）具备金融行业网络集成实施经验；
（4）投标产品须通过国家密码管理局商用密码检测中心GM/T 0025《SSL VPN 网关产品规范》，GM/T 0028《密码模块安全技术要求》二级（含）以上的认证。CPU：通过中国信息安全测评中心的安全可靠测评且在有效期内。操作系统：设备使用国产操作系统并通过中国信息安全测评中心的安全可靠测评且在有效期内；
（5）供应商具备至少一种（ISO9001/ISO20000/ISO27000）管理体系认证。

2.供应商提供资料要求：

（1）需提供企业法人营业执照（复印件）；

（2）投标方或原厂须具备金融行业项目集成实施经验，提供2022年以后（含2022年的案例）合同金额150万以上的金融行业成功案例不少于3个，需提供合同关键页复印件；

（3）投标产品须通过国家密码管理局商用密码检测中心GM/T 0025《SSL VPN 网关产品规范》，GM/T 0028《密码模块安全技术要求》二级（含）以上的认证。CPU：通过中国信息安全测评中心的安全可靠测评且在有效期内。操作系统：设备使用国产操作系统并通过中国信息安全测评中心的安全可靠测评且在有效期内（以上提供相关证明材料）；

（4）提供至少一种（ISO9001/ISO20000/ISO27000）管理体系认证证书；

（5）提供国家企业信用信息公示系统（http://www.gsxt.gov.cn/index.html）查询截图，无行政处罚信息，未被列入经营异常名录、严重违法失信企业名单截图、股权穿透图；

（6）近3年无重大违约行为或违法等情况承诺函（格式自拟）；

（7）投标方须获得所投标产品的原厂授权，并提供原厂针对本项目的相关授权文件。

四、征集起止时间

2025年5月8日-2025年5月14日 18:00

五、禁止参加本次采购活动的供应商

拒绝列入失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单、以及被大家保险集团列入黑名单和冻结名单的供应商报名参加本项目的采购活动。

供应商需提供自征集公告发布之日至响应截止之日期间对以上三项内容的“信用中国”（www.creditchina.gov.cn）查询截图并加盖公章（若供应商提供有误，以评审现场查询为准）。

六、报名方式

本次供应商公开征集采用邮件形式报名。参与供应商在截至时间前将要求提供的用印版资料（PDF格式）发送邮箱： DJ004058GUORUI@DJBX.COM、SUNXUECHUN@DJBX.COM。

七、声明

符合本公告报名条件的服务供应商，按时提交合格报名资料后，并不必然获得采购邀请。我司将从符合报名条件的供应商中择优选取不少于3家供应商发出采购邀请。

大家保险联系人：

郭老师 13910608847

孙老师 15801549014

大家保险集团有限责任公司

公告发布时间: 2025年5月8日

征集报名