Thông báo nhu cầu "Mua sắm giải pháp quản lý tài khoản đặc quyền (PAM)"

PHẠM VI CÔNG VIỆC VÀ YÊU CẦU KỸ THUẬT

MUA SẮM GIẢI PHÁP QUẢN LÝ TÀI KHOẢN ĐẶC QUYỀN (PAM)

1. Phạm vi công việc

1. Yêu cầu kỹ thuật
2. Yêu cầu kỹ thuật chung

• Giải pháp nằm trong nhóm Leader trong bảng đánh giá Magic Quadrant™ for PAM năm 2024 của tổ chức Gartner.
• Máy chủ quản trị của giải pháp cần đảm bảo có thể triển khai trên nền tảng ảo hoá vsphere vcenter có sẵn của PV POWER.
• Phần tuyên bố của nhà thầu về đáp ứng kỹ thuật phải đầy đủ, có tài liệu tham chiếu và chỉ rõ vị trí tham chiếu trên tài liệu tham chiếu.
• Hàng hóa do nhà thầu cung cấp phải đảm bảo các yêu cầu kỹ thuật sau:
• Có nguồn gốc xuất xứ rõ ràng.
• Có thông số kỹ thuật rõ ràng.
• Thời hạn hiệu lực của sản phẩm: giải pháp được bảo hành và bản quyền của phần mềm có thời hạn tối thiểu 12 tháng kể từ ngày bàn giao, nghiệm thu đưa vào sử dụng.
• Nhà thầu phải cam kết hàng hóa do Nhà thầu chào đảm bảo tính tương thích, đồng bộ với hệ thống của Chủ đầu tư đang sử dụng. Cam kết việc triển khai tích hợp các thiết bị, phần mềm không ảnh hưởng đến an ninh an toàn hệ thống và có phương án khả thi có thể kiểm soát thời gian gián đoạn hoạt động của chủ đầu tư.

2. Yêu cầu kỹ thuật chi tiết
3. Kiến trúc và tính năng của giải pháp (Architecture and Performance)

• Hỗ trợ cài đặt tất cả các thành phần tính năng của giải pháp trong một Virtual Appliance.
• Hỗ trợ lưu trữ các phiên ghi hình ra các vùng lưu trữ ngoài mà không phát sinh thêm chi phí hoặc yêu cầu bổ sung
• Dạng ứng dụng: Đóng gói Image, hoạt động trên nền tảng ảo hoá
• Giải pháp phải hỗ trợ khả năng sẵn sàng cao (High Availability) ở chế độ Active-Passive với cơ chế chuyển đổi dự phòng (failover) tự động và thủ công trong cùng một site hoặc giữa các site khác nhau mà không cần thêm công cụ hoặc giấy phép bổ sung.
• Giải pháp phải hỗ trợ khả năng sẵn sàng cao (High Availability) ở chế độ Active-Active với 2 hoặc nhiều node có thể được triển khai tại nhiều site để mở rộng theo chiều ngang (horizontal scaling).
• Giải pháp phải dựa trên kiến trúc không sử dụng agent (agentless) cho cả quản lý mật khẩu và quản lý phiên truy cập.
• Giải pháp phải hỗ trợ tính năng lưu trữ (archiving) phiên ghi hình có sẵn (out-of-the-box) mà không phát sinh chi phí hoặc tài nguyên bổ sung ngoài yêu cầu lưu trữ.
• Giải pháp phải hỗ trợ tính năng lưu trữ (archiving) phiên ghi hình có sẵn (out-of-the-box) mà không phát sinh chi phí hoặc tài nguyên bổ sung ngoài yêu cầu lưu trữ.
• Hỗ trợ lưu trữ các phiên ghi hình ra các vùng lưu trữ ngoài mà không phát sinh thêm chi phí hoặc yêu cầu bổ sung.

1. Quản trị tài sản và Khả năng dò quét (Asset Management and Discovery)

• Giải pháp phải có khả năng tải hàng loạt (bulk loading) để nhập các hệ thống được quản lý, tài khoản đặc quyền, người dùng và các đối tượng cần thiết khác thông qua API
• Dò quét và kiểm kê tất cả các tài khoản đặc quyền và không đặc quyền trong các hệ thống đã biết và chưa biết trên các nền tảng bao gồm:
• Windows
• Unix/Linux
• MacOS
• Directories (AD/LDAP)
• Databases
• Network Device
• …
• Có khả năng khám phá và phát hiện tài sản trên các phân đoạn mạng khác nhau và báo cáo kết quả tập trung.
• Có khả năng khám phá các cổng được mở trong hệ thống.
• Có khả năng nhóm các hệ thống được quản lý dựa trên các thuộc tính hệ thống được phát hiện và tùy chỉnh.
• Có khả năng tự động khám phá các tài khoản đặc quyền mới và tự động quản lý mật khẩu thông qua smart rule.

1. Quản trị tài khoản (Credential Management)

• Quản lý mật khẩu cho các nền tảng tối thiểu như sau:
• Hệ điều hành: Linux, Windows, MacOS,…
• Cơ sở dữ liệu: MongoDB, MySQL, Oracle, PostgreSQL, SQL Server, Sybase, Teradata,…
• Các dịch vụ: AD, LDAP, Windows Services, Task Scheduler, IIS Application Pools, Windows Auto Logon, COM+ Applications, DCOM Applications,…
• Thiết bị mạng: Cisco, IOS, Dell iDRAC, Fortinet, HP Comware, HP iLo, Juniper (JunOS), Palo Alto Networks,…
• Ứng dụng: vSphere, Google, Office 365,…
• Có khả năng thiết lập tần suất thay đổi mật khẩu dựa trên ngày và giờ.
• Có khả năng tự mở khóa tài khoản khi thay đổi mật khẩu của tài khoản.
• Hỗ trợ thay đổi mật khẩu thủ công theo yêu cầu của người dùng được ủy quyền.
• Có khả năng kiểm tra kết nối giữa hệ thống được quản lý và giải pháp PAM.
• Giải pháp phải có tính linh hoạt để đặt lại và tạo ngẫu nhiên mật khẩu cho các tài khoản được chọn ngay khi check-in nhằm loại bỏ rủi ro mật khẩu bị xâm phạm.
• Giải pháp phải hỗ trợ cơ chế truy xuất mật khẩu theo thời gian, theo đó mật khẩu được yêu cầu sẽ tự động được đặt lại khi hết thời gian được cấp quyền.
• Giải pháp phải có khả năng thực hiện xác minh mật khẩu đối với tài khoản được quản lý và thông báo khi phát hiện mật khẩu bị "lệch" (out of sync).
• Giải pháp phải có khả năng tự động thay đổi mật khẩu đăng nhập của Windows Services và Scheduled Tasks, đồng thời tùy chọn khởi động lại các dịch vụ khi mật khẩu của tài khoản đặc quyền tương ứng được giải pháp thay đổi.
• Hỗ trợ duy trì lịch sử mật khẩu cho các tài khoản đặc quyền được quản lý và hỗ trợ xem mật khẩu cũ thông qua giao diện của giải pháp PAM.
• Hỗ trợ quản lý key SSH một cách tự động.
• Hỗ trợ tạo key SSH với các loại key DSA & RSA với kích thước key có thể được cấu hình trước …

1. Quản trị phiên truy cập (Session Management)

• Hỗ trợ giám sát và ghi lại quyền truy cập phiên đặc quyền theo thời gian thực;
• Hỗ trợ theo dõi và ghi lại phiên đặc quyền cho mọi quyền truy cập ứng dụng khách cho các máy khách vSphere Client, Microsoft SQL Management Studio, SQL Developer, SAPGui, Toad,... và các trình duyệt web;
• Hỗ trợ đăng nhập phiên quản trị các thiết bị/máy chủ mà không cần sử dụng thông tin đăng nhập username/password.
• Hỗ trợ quản trị viên thêm mới và cấu hình mọi quyền truy cập ứng dụng khách với khả năng giám sát phiên và tự động đăng nhập.
• Hỗ trợ giới hạn số phiên mà người dùng có thể mở cho một nhóm tài khoản đặc quyền nhất định tại một thời điểm.
• Cho phép người dùng thực hiện các kết nối trực tiếp đến các hệ thống được quản lý thông qua các ứng dụng RDP và SSH mà không cần phải đăng nhập vào giao diện web của giải pháp PAM.
• Tự động chấm dứt phiên truy cập từ xa nếu truy cập vượt quá khung thời gian được yêu cầu.
• Có khả năng khóa phiên SSH khi lệnh được liệt kê trong danh sách đen được thực thi và gửi thông báo email đến nhân viên được chỉ định khi phát hiện việc thực thi các lệnh đó.
• Hỗ trợ giám sát trực tiếp các phiên từ giao diện web mà không cần cài đặt phần mềm của bên thứ ba.
• Hỗ trợ cho phép người dùng được ủy quyền khóa hoặc chấm dứt phiên từ xa khi hoạt động đáng ngờ được thực hiện.
• Có khả năng đảm bảo tính toàn vẹn của các phiên được ghi lại để ngăn chặn giả mạo.

1. Quản trị và Quy trình (Administration & Workflow)

• Hỗ trợ phân chia nhiệm vụ theo Kiểm soát truy cập dựa trên vai trò (Role-Based Access Control)
• Hỗ trợ phân chia vai trò tối thiểu bao gồm: Requestor, Approver và Reviewer.
• Cho phép chỉ định nhiều người phê duyệt cho nhiều tài khoản được quản lý để kiểm soát kép. Giải pháp sẽ có tính linh hoạt để cho phép cấu hình này được áp dụng cho một hoặc các nhóm tài khoản được quản lý.
• Cho phép nhiều người dùng yêu cầu cùng một hệ thống được quản lý trong cùng một khoảng thời gian.
• Hạn chế khung thời gian và tần suất mà người dùng có thể yêu cầu mật khẩu và phiên cho các hệ thống được quản lý.
• Hạn chế địa chỉ IP của máy tính người dùng nơi yêu cầu mật khẩu và phiên được thực hiện.
• Cho phép nhiều chính sách phê duyệt được gán cho một tài khoản được quản lý cho cùng một người yêu cầu (Hỗ trợ sử dụng như tài khoản đặc quyền không yêu cầu phê duyệt trong giờ hành chính nhưng cần có phê duyệt sau giờ hành chính)
• Cho phép người dùng được ủy quyền bỏ qua phê duyệt cho tài khoản đặc quyền được chọn.
• Gửi thông báo qua email đến người yêu cầu và người phê duyệt khi yêu cầu mật khẩu và phiên được thực hiện.
• Gửi thông báo qua email đến người yêu cầu và người phê duyệt khi người phê duyệt đã phê duyệt hoặc từ chối yêu cầu.

1. Giao diện người dùng (End User Interface)

• Hỗ trợ giao diện web HTML5 để người dùng thực hiện các hoạt động liên quan đến tài khoản đặc quyền như yêu cầu, phê duyệt, phát lại phiên và truy xuất đường dẫn kiểm toán và quản trị viên để quản lý tài khoản đặc quyền, hồ sơ người dùng, nhóm, tổ chức, vai trò và chính sách.
• Hỗ trợ try cập web console thông qua tối thiểu các trình duyệt sau:
  • Microsoft Edge
  • Google Chrome
  • Mozilla Firefox
  • Apple Safari

1. Kiểm toán, báo cáo và phân tích (Audit, Reporting and Analytics)

• Hỗ trợ ghi lại các thay đổi được thực hiện bởi quản trị viên trong quá trình audit bao gồm tên người dùng, mốc thời gian, hoạt động được thực hiện, địa chỉ IP.
• Tạo ra các báo cáo theo bao gồm các yêu cầu sau:
  • Theo tần suất.
  • Theo nhu cầu.
  • Các tác vụ theo lịch trình.
• Hỗ trợ tối thiểu các định dạng báo cáo sau như: CSV, Excel, PDF, PowerPoint, MHTML, Word, TIFF và XML,…
• Tự động gửi báo cáo qua email và thư mục dùng chung.

1. Xác thực, bảo mật và tuân thủ (Authentication, Security and Compliance)

• Hỗ trợ mật mã được xác thực FIPS 140-2 để mã hóa dữ liệu nhạy cảm bao gồm mật khẩu, khóa, các bản ghi phiên hoạt động và tất cả các thông tin liên lạc an toàn khác.
• Có khả năng tích hợp với nhiều phương thức xác thực doanh nghiệp tối thiểu bao gồm:
  • Smart Card.
  • SAML 2.0.
• Hỗ trợ tích hợp xác thực Windows và SAML cho đăng nhập Single Sign-on.
• Giải pháp phải được chứng nhận với chứng chỉ Common Criteria.
• Hỗ trợ tính năng xác thực hai lớp (2FA) để truy cập vào Web Console.
• Giải pháp phải có khả năng tích hợp sẵn (out-of-the-box) với Mô-đun Bảo mật Phần cứng (Hardware Security Module – HSM) bằng cách sử dụng tiêu chuẩn PKCS#11.

1. Quản trị hệ thống và API

• Thực hiện cập nhật tự động khi có sẵn phiên bản phần mềm mới.
• Gửi thông báo qua email cho nhân viên được chỉ định khi có sẵn phiên bản mới hơn của các gói phần mềm sẵn có hoặc đã được cài tự động.
• Thực hiện sao lưu thường xuyên và sao lưu theo lịch các cấu hình trạng thái hoạt động của giải pháp PAM.
• Gửi thông tin sức khỏe hệ thống dựa trên các ngưỡng định trước tối thiểu:
  • Thông qua syslog đến Syslog Server.
  • Thông qua SNMP đến SNMP Server.
  • Đến quản trị viên thông qua Email.
• Có cung cấp tiện ích dòng lệnh hỗ trợ trên các nền tảng Windows, Linux.
• Tích hợp sẵn tính năng secret management phục vụ việc quản lý an toàn các thông tin mật (API key, token, chứng chỉ, tệp JSON & XML) do các nhà phát triển cloud và DevOps sở hữu với Secrets Safe.

1. Yêu cầu về nền tảng giải pháp có khả năng tích hợp

• Có khả năng tích hợp với các hệ thống SIEM thông dụng trên thế giới như:
  • Exabeam (using CEF format)
  • HP ArcSight (using CEF format)
  • IBM Qradar (using LEEF format)
  • LogRhythm
  • McAfee DXL
  • McAfee Enterprise Security Manager (ESM)
  • NetIQ Sentinel (using LEEF format)
  • Splunk (using HTTP Event Collector)
  • Generic Syslog
  • Universal Event Forwarder (using XML or JSON format)
  • Có khả năng tích hợp hệ thống Ticket
  • BMC Remedy
  • CA Service Desk Manager
  • Jira Ticket System
  • ServiceNow
  • …
• Có khả năng tích hợp hệ thống ITSM
• BMC Remedy
• ServiceNow
• …
• Có khả năng tích hợp hệ thống IAM
• SailPoint
• IBM
• RSA
• …
• Có khả năng tích hợp hệ thống Vulnerable Management
• Tenable Nessus
• Qualys Cloud Suite
• …

3. Yêu cầu về nhân sự
4. Quản lý dự án

• Số lượng: 01 nhân sự.
• Tốt nghiệp đại học trở lên liên quan chuyên ngành CNTT hoặc ATTT.
• Có khả năng quản lý dự án và kiến thức về bảo mật để đảm bảo tổng thể dự án theo đúng mục tiêu gói thầu. Nhân sự phải có đồng thời chứng chỉ PMP và CEH hoặc tương đương.
• Số năm kinh nghiệm của nhân sự được tính từ thời điểm tốt nghiệp đại học tính đến thời điểm nộp thầu tối thiểu 5 năm.

1. Triển khai dự án

• Số lượng: 01 nhân sự.
• Tốt nghiệp đại học trở lên liên quan chuyên ngành CNTT hoặc ATTT.
• Có khả năng thiết kế, xây dựng mô hình triển khai tích hợp phù hợp với hạ tầng hiện có của PVPOWER. Nhân sự có kinh nghiệm đạt chứng chỉ triển khai của hãng cung cấp giải pháp (được đề xuất trong bản chào giá) và có chứng chỉ CEH về bảo mật để tư vấn, góp ý cho chủ đầu tư trong quá trình triển khai.
• Số năm kinh nghiệm của nhân sự được tính từ thời điểm tốt nghiệp đại học tính đến thời điểm nộp thầu tối thiểu 05 năm

1. Hỗ trợ kỹ thuật, xử lý sự cố

• Số lượng: 02 nhân sự.
• Tốt nghiệp đại học trở lên liên quan chuyên ngành CNTT hoặc ATTT.
• Nhân sự cần có đồng thời 02 chứng chỉ quốc tế trong các chứng chỉ sau: CEH, ECSA, ECIH hoặc tương đương để xử lý và phòng ngừa sự cố
• Số năm kinh nghiệm của nhân sự được tính từ thời điểm tốt nghiệp đại học tính đến thời điểm nộp thầu tối thiểu 05 năm.

Đề nghị các đơn vị có năng lực, kinh nghiệm và quan tâm đến việc nêu trên gửi báo giá đến Ban Kỹ thuật – PV Power trước 17h00 ngày 21/8/2025.

Để biết thêm thông tin chi tiết, xin liên hệ địa chỉ email như sau: nguyentruongan@pvpower.vn.