| 深航邮件网关老旧替换项目建设方案征集 为顺利推进深圳航空有限责任公司邮件网关老旧替换项目,现由深航向社会公开征集项目建设方案。有意参与项目建设方案征集的供应商,请按照项目建设方案公开征集流程和项目建设目标完成项目建设方案的编写,并通过深航集中采购管理部公共邮箱向深航反馈项目建设方案。 一、项目名称 邮件网关老旧替换项目 二、项目概述 1、项目背景 随着互联网攻击手段持续演进,深航在用邮件网关基于意图分析和恶意地址库等技术已无法有效识别和阻断以二维码和伪装url跳转为代表的隐蔽性强、变种频繁的恶意邮件、钓鱼邮件攻击。当前公司受到恶意邮件、钓鱼邮件等攻击威胁与日俱增,亟需开展邮件网关系统的全面升级改造。 2、项目建设目标 通过项目建设新一代邮件安全网关系统,全面替代现有老旧设备。新系统具备有效抵御垃圾邮件、钓鱼邮件、病毒邮件攻击,整体防御能力和功能较现有系统有显著跃升。 三、项目业务需求 1、系统业务需求 (1)信创适配要求:支持国产CPU:海光、鲲鹏;支持国产操作系统:麒麟、欧拉、统信;支持国产数据库:TDSQL、达梦、人大金仓、IMDB;要求信创(需提供兼容性认证证书),要求能兼容国产芯片、数据库、操作系统等。 (2)系统终端安全机制:支持双因素登录认证或支持SMTP、POP、IMAP用户认证具备防暴力破解功能,以保证其登录身份合法有效,密码复杂程度校验。用户疑似被盗号后,可向用户或管理员发送告警功能。Web管理平台支持HTTPS身份认证通信加密方法。 (3)系统权限管理:系统具有为用户提供角色分配等管理权限功能,为不同角色设计对应的操作权限。支持分配指定域管理员,分配之后该管理员仅可检索指定域内的邮件且支持自定义账号有效期截止时间,并且自定义开启、关闭新增管理员的邮件下载、邮件内容显示以及首次登录强制更改密码权限,可指定管理员登录的信任IP地址。 (4)日志管理与审计:所有操作日志与系统运行日志保留期限不少于半年。提供详细的日志查询功能,包括连接日志中、收信日志、投递日志、系统日志、CPU与内存使用日志。邮件日志中详细记录邮件的投递状态、邮件类型、邮件处理结果、邮件拦截原因等;可直接通过邮件日志执行邮件白名单、黑名单操作。 (5)报表管理:支持预定义报表及自定义报表,便于统计分析邮件流量趋势与风险;支持自定义时间报表导出,导出方式至少支持excel和PDF。 (6)系统监控与告警:支持监控邮件网关运行状态、垃圾邮件状态、邮件投递状态、病毒状态等,提供实时监控仪表板,便于快速查看系统健康状况。可通过图形化界面实时查看邮件网关与邮件系统、外部服务器的连接状态;支持图形化显示实时检测系统的各项指标,当检测到指标超过阀值,向管理员发送邮件告警。可添加多条不同阈值告警任务,配置不同告警邮箱账号、添加多告警邮箱账号 2、系统功能需求(包含但不限于) (1)URL钓鱼检测:可结合邮件内容、URL地址特征以及URL黑白名单等方式进行钓鱼检测。并支持可自定义开启、关闭附件URL检测、正文URL检测、二维码图片URL检测。 (2)图片类社工钓鱼识别:基于图片识别技术,针对带URL的钓鱼邮件以及纯文字、纯图片社工钓鱼样本,在不依赖第三方库的情况下(关闭IP黑名单、SPF检查、RBL库),能够检测并识别99.9%以上的钓鱼邮件。 (3)二维码提取与识别:能够提取各种格式的图片(包括jpg、jpeg、bmp、png、gif、tiff等)、office、wps和PDF文件中携带的二维码,并基于策略或情报进行阻断。并支持自定义配置单封邮件二维码图片识别数量配置,超出配置数量的二维码图片不进行提取扫描。 (4)防病毒功能;支持基于情报的传统查杀,支持国产多重引擎查杀,支持基于AI的智能学习查杀,以及勒索软件等病毒邮件的过滤(包含Office宏病毒等。) (5)加密附件检测:支持自定义开启加密附件自动解密,能够从主题、正文、附件名、txt文件、压缩包里的txt文件以及图片中提取文档的密码(包括数字、字母大小写、特殊字符以及中文)解析加密附件,从而进行查杀。支持管理员自定义预设密码 (6)OCR图片识别功能:能够对静态图和动态图均能进行图片识别,图片类型包括:jpg、png、jpeg、bmp、gif、tiff等和解析HTML中的data/image图片。可识别正文、附件的图文信息,并支持自定义配置单封邮件OCR图片扫描数量。 (7)支持多重压缩包解压检测:支持嵌套层数至少5层以上的压缩包,并能提取压缩包中所有文档、图片的文字内容以及二维码。压缩包的类型包括:rar、zip、eml、tar、7z等格式 (8)邮件队列记录:记录扫描通过后的邮件投递情况,可依据邮件的增减量判断是否阻塞,可对批量勾选的邮件或符合检索条件的邮件执行“重投”或“删除”操作,其中重投支持按原默认地址发送或指定新IP地址发送;记录系统扫描后拦截的恶意病毒邮件情况,可通过收发信人、来源IP、判定原因、垃圾邮件等级等条件检索邮件,批量勾选邮件执行“隔离”、“放行”、“转发”(支持同时转发给多个邮箱)、“邮件上报”、“下载”、“删除”邮件动作。 (9)风险账号排行:可以查看各种类型风险账号排名,譬如给本地发送钓鱼邮件的账号排名,给本地发送病毒的账号排名等,以便于管理员重点关注攻击账号。按外部发信人统计、 内部发信人统计、外部发信域统计、内部收信人统计、认证邮箱统计、 认证邮箱发信统计、认证IP统计、认证IP发信统计、 IP连接统计、IP发信统计、判定原因统计、邮件主题统计、发信邮箱投递失败统计、收信域投递失败统计TOP100数据排名。 (10)隔离邮件处理机制:可根据垃圾邮件类型,设定是否发送隔离通知,发送隔离通知信时必须排除钓鱼、病毒邮件,隔离通知信中并可限制普通用户的查看详情与放行权限,由管理员确认无风险后再手动放行,避免因误放行造成损失。 (11)性能监控与报告推送:提供邮件网关性能监控,根据性能监控的报告,帮助优化邮件流量。可多选方式自定义发送指定周期的系统运行报,如日报、周报、月报、年报。报告内容包括系统授权使用状态、邮件过滤情况等。 (12)安全事件报告与分析:记录并报告安全事件,提供事件分析工具,帮助确定安全漏洞与改进措施。 (13)数据泄露防护:支持自定义规则与策略,阻止敏感数据通过邮件发送出去。对从公司内部发送到因特网的邮件提供按照规则的邮件外发审计功能,防止通过邮件形式的泄密事件发生;针对中审计规则的邮件进行审批动作的处理,并记录相关日志;审计管理员无需登录到网关界面,通过邮件即可完成邮件的审批动作支持单独的邮件审批队列,被拦截的违规邮件全部暂存在该队列,允许审计管理员进行查看、放行等。 (14)特征库更新机制:支持垃圾邮件特征库更新与病毒特征库的定期更新服务,可自定义设置更新频率(至少每小时更新一次),确保网关能够防御最新垃圾邮件与病毒威胁。 (15)邮件BATV验证机制:能够在发送邮件时给发件人加一个TAG,出现退信时如果发现收件人没有这个TAG直接阻断;支持设置BATV例外的功能:支持对Inbound的发件人IP地址、IP段绕过BATV检测; 支持对Inbound的发件人域名绕过BATV检测;支持对Outbound的收件人域名不添加BATV标识。 (16)具有沙箱分析能力,支持 Win7, Win10,UOS等平台沙箱镜像,支持:PDF,OFFICE文档,SWF,EXE,RTF,LINK,JAR,CHM,JS,HTML,HTM文件分析,支持自定义沙箱,可使用客户环境特性的Windows作业平台与应用作为沙箱运行环境;沙箱能够对未知漏洞利用代码和恶意程序的以下行为进行动态分析:进程操作行为;文件操作行为;系统配置操作行为;网络通信行为;内存镜像分析。 (17)差异化威胁策略配置:支持管理员对不同子域名、邮箱用户、来源IP等设置不同的威胁邮件策略。可定义威胁邮件的标准。如:威胁指数中度、威胁指数较高、威胁指数严重的自由识别标准;支持内置YARA策略,且管理员可自行上传所需YARA规则。 四、项目非业务功能性需求 1、系统响应时间指标(基于10万封邮件数据量) 用户访问响应时间不超过5秒;在10个并发用户同时查询的情况下,需满足如下指标:
| 查询类别 |
查询范围 |
性能指标 |
| 简单查询 |
最近2周 |
≤10秒 |
| 一般查询 |
最近1个月 |
≤20秒 |
| 大数据查询 |
超过1个月 |
≤50秒 |
2、可靠性要求 邮件网关系统采用主备或集群架构来实现冗余,确保在单个设备或组件故障时,邮件网关系统能自动切换到备用设备或单机上运行,保持服务的连续性。 3、可用性要求 可用性:邮件网关系统采用主备或集群架构来实现冗余,确保在高负载或故障情况下,邮件系统满足7*24小时对外服务。 4、易用性要求 (1)提供直观、易用的用户界面,方便管理员进行配置、监控与维护。 (2)包含自定义报表。 (3)支持的语言版本:支持中文及英文。 5、兼容性要求 (1)支持与多种邮件服务器和客户端兼容,确保邮件系统的广泛性。 (2)支持主流的操作系统,Windows Server系列、Linux及国产操作系统等主流版本。 (3)支持主流浏览器:IE10及以上、Chrome、Firefox、360、Safari等主流浏览器。 五、技术架构要求 充分考虑技术的前瞻性,按照统一架构的思路完成整体解决方案和相关技术标准的设计。方案中应包括清晰的总体架构、物理架构、应用架构、数据架构、安全体系架构等内容。除下列要求外,应用系统建设详细技术要求还需参照《深航应用系统建设技术规范》执行。 1、基础设施要求:应综合考虑系统应用软件部署、性能需求等因素,通过合理分配应用服务器及负载均衡等资源,构建稳定、高效、安全、可维护的系统基础设施架构,提供基础架构拓扑图。 2、系统要求: (1)设备已安装的操作系统和软件必须合法授权,并向深航提供license。 (2)软件必须为厂商已发行的稳定版本。 (3)方案需包含完整的梭子鱼邮件网关迁移方案,可根据业务、系统、安全等要求,制定迁移方案完成迁移。 3、网络要求:提供完整的网络访问方案,包括但不限于服务器的配置要求、接入方式、带宽要求等。 六、技术支持和售后服务 1、系统技术服务标准要求,应根据故障级别采取差异化的故障修复策略。免费维护期自通过整体验收起算,免费维护期期不低于五年。
| 等级 |
说明(根据具体项目定义) |
响应时限 |
| 一级事件 |
如:整个系统处于瘫痪状态,完全无法运行,或者某个功能模块完全无法运行, 对业务连续性产生严重影响,同时无替代方案可选。 |
10分钟响应,20分钟评估问题解决时间,60分钟内恢复生产。 |
| 二级事件 |
如:系统核心功能不可用,或者性能出现严重问题,对业务连续性产生严重影响。 |
10分钟响应,30分钟评估问题解决时间,120分钟内恢复生产。 |
| 三级事件 |
如:系统非核心功能不可用,或者性能下降,对业务连续性影响较小,并有其他方案替代。 |
10分钟响应,60分钟评估问题解决时间,480分钟内恢复生产。 |
在系统上线后,要求供应商承担系统上线后的所有运维工作,主要包括检查系统上线运行情况,解答用户问题,建立问题跟踪记录,系统持续优化调整等。 七、投资说明 1、结合项目建设方案,供应商需要说明基于方案的项目投资规模,具体如下: (1)如用到第三方软件或服务,包含第三方软件费用、服务等报价。 (2)综合全部项目需求,汇总给出项目整体报价和建设团队人员规模(包括人员结构、单价、人数)。 (3)报价模板详见附件《项目建设方案报价表.xlsx》。 2、项目周期: 项目合同签订日期起3个月内完成。 3、系统维保: (1)系统建设所涉及到的软件及硬件维保售后服务标准:硬件维保费为项目建设标的的8%,软件维保费为项目建设标的的10%。 (2)系统所涉及到的软硬件维保期标准:软硬件维保为项目终验后不低于五年免费。 八、供应商资质要求 最终的入围条件需要以招标公告中的招标文件为准 1、不在深圳航空有限责任公司供应商黑名单之列。 2、不在中航集团禁止交易名单之列。 3、不在深航禁止交易企业名单之列。 4、具有独立签订合同的权利和承担民事责任的能力,近三年无违法和重大违规执业行为,无处罚记录。 5、具有良好的财务状况,能够开具增值税专用发票。 6、自*开通会员可解锁*起至今,至少有3个替换邮件网关系统项目的实施案例,以合同关键页(合同首页、合同金额页、合同清单和签字盖章页)复印件为准。 7、邮件网关产品具备自主知识产权; 九、方案提交要求 请供应商在1月19日前向项目建设方案征集邮箱提供项目建设方案(含投资说明)。供应商提供的项目建设方案是深航对供应商能力考查的参考依据,请各位供应商认真地阅读理解征集方案相关要求,认真编制和审核项目建设方案及投资规模。 十、地址及联系方式 1、地址:深圳宝安国际机场深圳航空有限责任公司。 2、电子邮件地址: X03404@shenzhenair.com ; A08381@shenzhenair.com; 十一、本公告由深圳航空有限责任公司信息管理部负责解释 特此公告。 附件一:项目建设方案报价表 深圳航空有限责任公司 *开通会员可解锁* |
收藏
400-888-7022
