招标项目要求及采购需求.docx
《招标项目要求及采购需求.docx》由会员分享,可在线阅读,更多相关《招标项目要求及采购需求.docx(47页珍藏版)》请在冰点文库上搜索。
招标项目要求及采购需求
招标项目要求及采购需求
1.招标项目、标段划分、投标报价
1.1招标项目名称:
见招标公告1.1
1.2标段划分及其交付(实施)期交付(实施)地点:
本次招标项目划分为1个标段。
标段一览表
项目名称
标段名称
标段内容(范围)
交付(实施)期
交付(实施)地点
见招标公告1.1
见招标公告1.1
见“第二章第2条:
标段内容(范围)及具体采购需求”
合同签订后15日内
采购人指定地点(市中院及9个县区院)
1.3投标报价(价格构成)
1.3.1投标人的投标报价应为达到正常使用条件下的项目总包价,包括产品费、相关软件接口费(如需)(采购人现有软件或系统的接口费)、相关税款、备品备件价、易损件价、专用工具价、售后及技术服务费、安装调试费、培训费、业务系统进行数据、身份、流程的集成及服务的相关费用、后期维护费(终身升级维护)及硬件设施运送到安阳地区指定地点的运杂费、装卸费等与招标项目相关的、必须的款项及费用(包括未列明而完成交验所必须的所有设备、材料、工具、费用)。
1.3.2投标报价为一次性报价,报价时间截止后对投标报价的任何承诺、修改,除法定修正或招标文件规定修正情形外,评标委员会将不予考虑。
1.3.3如投标人的投标报价未超过采购预算(见招标公告1.5)的供应商不足三家的,该标段做废标处理。
1.3.4遵循第三章投标人须知3.7.5项规定。
2.标段内容(范围)及具体采购需求
2.1采购标的需实现的功能或者目标,标段总体范围:
2.1.1满足采购人正常工作需要。
中标人负责设备的安装、调试,并具备正常使用条件。
2.2项目落实的政府采购政策(法规标准条款)
2.2.1政府采购节能产品、环境标志产品实施品目清单管理后,对本次采购产品属于“节能产品政府采购品目清单”中强制采购品目的,投标产品应当具有相应的认证证书(认证证书应当为国家确定的认证机构出具、且应处于有效期之内),投标文件中应当提供相应的认证证书(认证证书应当为国家确定的认证机构出具、且应处于有效期之内)。
属于政府强制采购品目、而未按要求提供相应资料的,为无效投标。
2.2.2同等条件下,获得节能产品认证证书或环境标志产品认证证书的产品优先采购。
认证证书应当为国家确定的认证机构出具、且应处于有效期之内。
2.2.3本次采购不允许进口产品参加。
2.2.4信息安全产品须通过国家信息安全认证中心认证,计算机产品须预装正版操作系统软件和数据库软件。
2.2.5促进中小企业发展扶持政策:
见第四章“评标办法”第4条。
2.2.6政府采购支持监狱企业发展
2.2.7促进残疾人就业:
见第四章“评标办法”第4条。
2.3采购标的需执行的国家相关标准、行业标准、地方标准或者其他标准、规范;
投标人所投产品应为全新产品且符合国家质量标准、部颁标准及行业规范的要求,符合国家各项强制性规范及安全标准,投标产品不应与第三方存在知识产权权属问题;投标人应本着服务客户、为客户着想的宗旨,来完善产品及技术要求未尽事宜,不得以招标文件未列明事项为由,来降低投标产品的质量。
2.4标段内容(具体范围、数量),具体技术要求(采购标的需满足的质量、安全、技术规格、物理特性等)
序号
标段内容
基本技术要求
数量
市中院部分
1
下一代防火墙1
1、标准2U机架式设备,标配≥10个千兆电口,4个千兆光口,冗余电源;整机吞吐量≥10Gbps,应用层吞吐量≥2Gbps,并发连接数≥220万;
2、支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式;
3、访问控制规则支持基于源/目的IP,源端口,源/目的区域,用户(组),应用/服务类型,时间组的细化控制方式;
4、支持根据国家/地区来进行地域访问控制;
5、支持URL过滤,支持GET,POST请求过滤和HTTPS网站过滤;
6、支持针对SMTP、POP3、IMAP邮件协议的内容检测,如邮件附件病毒检测、邮件内容恶意链接检测,邮件账号撞库攻击检测等,并给出恶意邮件的提示,支持根据邮件附件类型进行文件过滤;
7、支持不少于7层的压缩文件查杀;
8、设备具备独立的入侵防护漏洞规则特征库,特征总数在7000条以上;
9、支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP、POP3、RDP、Rlogin、SMB、Telnet、Weblogic、VNC)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能;
10、具备防护常见网络协议(SSH、FTP、RDP、VNC、Netbios)和数据库(MySQL、Oracle、MSSQL)的弱密码扫描功能;
11、设备具备独立的热门威胁库,防护类型包括木马远控、恶意脚本、勒索病毒、僵尸网络、挖矿病毒等,特征总数在60万条以上;
12、支持蜜罐功能,能够定位内网感染僵尸网络病毒的真实主机IP地址;
13、支持针对失陷主机持续推送杀毒通知和提供处置工具;
14、支持安全运营中心功能,可以对全网所有的服务器和主机的威胁进行全面评估,一键便可完成对服务器和主机的资产更新识别、脆弱性评估、策略动作的合理化监测、当前服务器和用户的保护状态、当前的服务器和主机的风险状态及需要管理员待办的紧急事项等,可以自动化直观的展示最终的风险;
15、支持管理员权限分级,支持安全管理员、审计员、系统管理员三种权限;
16、支持内置规则库的手动/自动更新。
17、产品提供3年原厂质保服务,含3年病毒库、入侵防御特征库升级服务。
2台
2
下一代防火墙2
1、标准1U机箱;标配≥4个10/100/1000MBase-TX,4个千兆光口,2个USB接口;三层吞吐量≥3.5Gbps,应用层吞吐量≥600Mbps,并发连接数≥150万。
2、支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式;
3、支持802.1QVLANTrunk、access接口,VLAN三层接口,子接口、GRE隧道;
4、支持链路聚合功能;支持LACP协议。
5、支持端口联动功能,当上行/下行端口链路出现故障时,对应的另一端下行/上行端口自动切断链路;
6、支持静态ARP、ARP代理、DNS、DNS代理、DHCPserver、DHCP中继、SNMPV1/V2/V3/Traps、TCPMSS配置;
7、支持静态路由,ECMP等价路由;
8、支持多链路出站负载,支持基于源/目的IP、源/目的端口、协议、ISP、应用类型以及国家/地域来进行选路的策略路由选路功能;
9、支持IPv4/v6NAT地址转换,支持源地址转换,目的地址转换和双向地址转换,支持针对源IP、目的IP和双向IP连接数控制;支持NAT64、NAT46地址转换;
10、访问控制规则支持基于源/目的IP,源端口,源/目的区域,用户(组),应用/服务类型,时间组的细化控制方式,支持长连接功能并可以配置连接时长;
11、支持访问控策略每次变更需填写原因,并提供开启和关闭变更填写原因功能按钮;
12、支持蜜罐功能,能够定位内网感染僵尸网络病毒的真实主机IP地址;
13、支持针对失陷主机持续推送杀毒通知和提供处置工具;
14、支持IPSecVPN,SSLVPN,GRE,GREoverOSPF,GREoverIPSec等VPN接入方式;
15、支持URL过滤,支持GET,POST请求过滤和HTTPS网站过滤;
16、支持主流视频协议识别,如海康、大华等摄像头协议,支持进行视频内容单向传输的访问控制;
17、支持Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing攻击防护;
18、支持管理员权限分级,支持安全管理员、审计员、系统管理员三种权限。
19、产品提供3年原厂质保服务,含3年病毒库、入侵防御特征库升级服务。
3台
3
终端检测响应系统
1、产品形态:
平台虚拟化环境部署;
2、单一管理控制中心可统一管理分别部署在WindowsPC,Win服务器以及Linux服务器的客户端软件;
3、管理平台要求其操作系统为64位的Centos7或ubuntu操作系统;
4、提供至少380个PC和至少20个Windows服务器授权许可;
5、客户端支持WindowsXP/WindowsVista/Windows7/Windows8/Windows8.1/Windows10/WindowsServer2003/WindowsServer2008/WindowsServer2008R2/WindowsServer2012/WindowsServer2016/CentOS/UbuntuDebian/RHEL/SUSE/RedFlagAsianuxServer/OracleLinux等常见操作系统;
6、支持展示终端资产状况,包括:
主机名、在线/离线状态、IPv4地址、MAC地址、操作系统、终端agent版本、病毒库版本、最近登录时间、最近登录的用户名;终端信息变更能自动更新;
7、具备安全智能检测引擎,具备无特征检测技术,有效应对恶意代码及其变种;
8、支持极速、均衡、低耗三种扫描模式,以控制扫描时对业务系统CPU资源的占用;
9、具备基于本地缓存信誉检测与全网信誉检测,构建企业全网信誉库的检测引擎,做到企业内网一台威胁,全网感知并进行针对性查杀,支持处置病毒时选择是否在其它终端上同步处置有效提升查杀效率,减少终端资源开销;
10、支持agent安装目录的文件保护,可以保护agent目录和文件实时监控驱动文件,可以保护agent的服务/进程/文件不被恶意删除,影响正常功能,导致用户的终端受到病毒入侵;
11、支持对来自Internet、E-mail或是光盘、移动存储、网络等各种入口渠道病毒进行实时检测;
12、客户端卸载需要输入密码才能卸载,避免非管理员卸载终端;
13、文件实时监控的驱动技术需通过微软WHQL徽标认证(MicrosoftWindowsHardwareQualityLab),以保证系统稳定性及兼容性;
14、支持主机合规性检查,支持一键式操作对指定终端/终端组进行合规性检查,包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范,对不合规的检查项提供设置建议,并可视化展示终端的基线合规检查结果;
15、支持违规外联管控,针对终端可能存在的“违规外联”的行为进行检测、上报和处置,在探测到违规外联可能时,上报安全日志,并可设置终端弹窗告警和定期邮件告警提示终端用户和管理员及时处理;
16、支持U盘管控,支持常用USB存储设备的识别,支持对U盘、移动硬盘、便携设备(例如收集、数码相机等)等存储设备的禁用,防止病毒通过存储设备传播,或通过存储设备非法获取数据,支持USB设备白名单设置,对单位内部允许的设备进行放通,支持按终端分组的USB设备管控策略配置,可针对不同分组采用不同策略;
17、支持接入安全态势感知平台,通过安全感知平台管理界面下发一键隔离指令,对终端所有连接进行阻断,防止病毒进一步扩散。
18、提供3年原厂质保服务,3年相关特征库升级服务。
1套
4
网络安全审计
1、1U机架式结构,接口:
千兆电口≥4个,标配单电源,吞吐量≥500Mbps,用户支持:
≥500个;
2、实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息;
3、支持记录全部或者指定类别URL、网页标题等信息;
4、必须能审计记录网页正文内容;
5、必须支持只记录含有指定关键字的网页正文内容;
6、支持审计指定类型的URL,其他URL类型不予审计,以提高审计效率;
7、支持网页内容审计后的网页快照功能;
8、支持审计用户的Webmail邮件外发行为,支持webmail形式发送的附件审计,并能精准到原始邮件;
9、支持审计用户外发Email邮件的正文及附件;
10、支持审计用户通过HTTP、FTP、Email当方式外发的文件内容;
11、支持审计通过FTP上传的文件名和内容;
12、支持审计TELNET执行的命令;
13、支持网络安全准入,禁止不满足终端检查要求的用户访问内网;
14、支持审计管理员的操作日志、系统日志等;
15、支持针对特权用户配置免认证key、免审计key、免控制key;
16、设备必须支持内置数据中心和独立数据中心;
17、提供3年原厂质保服务,3年相关特征库升级服务。
1台
5
安全态势感知平台
1、2U架式设备,接口≥4个千兆电口,硬盘容量≥32TB,内存≥96G,单电源;
2、支持资产识别功能,支持通过流量中的应用内容自动识别内网终端和服务器;
3、支持弱口令识别,支持通过镜像流量检测数据包中存在的用户名和密码信息,通过分析密码的强度检测网络中存在的弱密码风险;
4、支持漏洞发现功能,实时发现操作系统、数据库、web应用等存在的漏洞风险,并支持生成漏洞检测报告;
5、内置热门威胁库,威胁库特征总数在60万条以上;
6、平台具备独立邮件威胁模块,支持机器学习技术发现主机发送可疑附件的邮件行为、伪造发件人发送邮件、发送钓鱼网站邮件和垃圾邮件等行为;支持对恶意邮件详情分析,包含收件人账号、恶意邮件数量、发件人账号、附件名称、病毒名称、恶意链接名称等,并支持导出分析结果;
7、平台具备独立文件威胁鉴定模块,支持基于HTTP、邮件、FTB、SMB等协议的文件检测,平台内置病毒检测引擎、人工智能检测引擎等,支持记录恶意文件TOP5、文件名、病毒病毒、发现次数、传播协议、感染源等信息,并支持导出分析结果;
8、支持检测主机的异常行为,从而识别业务是否已失陷被控制,能够及时定位内网中感染勒索病毒的主机;
9、支持检测主机与C&C服务器通信行为,支持区分国内外区域;
10、支持检测违规访问策略黑名单或违反了白名单,或者违反了下一代防火墙中的应用控制策略的行为;
11、支持检测服务器对外发起的远程登录、远程桌面、数据库等风险应用访问;
12、支持安全日志分析引擎、DnsFlow行为分析引擎、HttpFLow分析引擎、NetFLow分析引擎、MailFLow分析引擎、SmbFLow分析引擎、威胁情报分析关联引擎、文件威胁检测引擎等新型检测引擎,支持检测引擎的定期自动升级或离线手动升级;
13、支持设备运行状态监控,支持通过SNMP协议,获取待监测设备机器名、CPU负载、内存使用和流量情况;
14、支持与边界防火墙进行联动响应,支持平台下发安全策略到防火墙上,阻断攻击IP;
15、支持与终端检测响应系统联动,对风险主机进行隔离;
16、支持对等级保护建设整改过程中系统定级、差距评估、备案、整改、测评过程中产生的文档结论进行统计归档;
17、支持通过syslog等接收、存储第三方设备的日志,并提供详细的字段搜索能力;
18、支持通过SNMP协议对网络设备、安全设备等的运行状态进行监控;
19、支持分权管理,可自定义分支管理权限,分支管理员具备独立的管理页面,分支管理员只能管理和查看所分支所属的业务和终端的安全信息;超级管理员支持查看全局的安全信息,并支持通过页面跳转各个分支的独立管理页面。
20、提供3年原厂质保服务,3年相关特征库升级服务。
1台
6
威胁检测探针
1、标准机架式设备,检测性能≥1.5Gbps,标配至少4个千兆电口,4个千兆光口;
2、与安全态势感知平台同一品牌;
3、旁路部署,支持探针同时接入多个镜像口,每个口相互独立不影响;
4、具备报文检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析等;
5、具备多种的入侵攻击模式或恶意URL监测模式,可完成模式匹配并生成事件,可提取URL记录和域名记录,在特征事件触发时可以基于五元组和二元组(IP对)进行原始报文的录制;
6、可实现对外联行为分析、间歇会话连接分析、加密通道分析、异常域名分析、上下行流量分析等在内的多场景网络异常通信行为分析能力;
7、可提供网络流量的会话级视图,根据网络流量的正常行为轮廓特征建立正常流量模型,判别流量是否出现异常,对原始流记录进行异常检测,可发现网络蠕虫、网络水平扫描、网络垂直扫描、IP地址扫描,端口扫描,ARP欺骗,IP协议异常报文检测和TCP协议异常报文等常见网络异常流量事件类型;
8、支持对节点检测节点内部主机外发的异常流量进行检测9、支持对信任区域主机外发的异常流量进行检测,如ICMP,UPD,SYN,DNSFlood等DDoS攻击行为;
10、支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解检测功能;
11、支持同步DNS审计日志,主要用于平台dnsflow分析引擎进行安全分析;同步HTTP审计日志,主要用于平台httpflow分析引擎进行安全分析;同步SMB审计日志,主要用于平台SMBflow分析引擎进行安全分析;同步SMTP审计日志主要用于平台smtpflow分析引擎进行安全分析;
12、支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击;支持跨站请求伪造CSRF攻击检测;支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测;支持其他类型的Web攻击,如文件包含,目录遍历,信息泄露攻击等的检测;
13、产品应具备独立的Web应用检测规则库,Web应用检测规则总数在3000条以上;
14、支持对终端种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;
15、能够针对IP,IP组,服务,端口,访问时间等策略,主动建立针对性的业务和应用访问逻辑规则,包括白名单(哪些访问逻辑是正常的)和黑名单(哪些访问逻辑肯定是异常的)两种方式,并对检测到的违规访问进行实时告警;
16、支持通过设备对流量进行抓包分析,可定义抓包数量、接口、IP地址、端口或自定义过滤表达式;
17、支持安全感知平台对接入探针的统一升级,可展示当前所有接入探针的规则库日期、是否过期等,并支持禁用指定探针的升级。
18、提供3年原厂质保服务,3年相关特征库升级服务。
1台
7
堡垒机
1、标准2U机架设备,至少提供6个1000M电口;
2、可管理资源数≥200个,支持licence扩容;
3、支持windows系统、linux/unix系统、网络设备;
4、支持批量导入、导出用户信息及设备信息;
5、支持资源发现功能,可自动发现目标网段内的设备;
6、支持一对一、一对多、多对多授权,如将单个资产授权多个用户,一个用户授予多个资产,用户组向资产组授权;
7、同时支持本地口令认证、LDAP认证、AD认证、短信认证、Radius、usbkey、动态口令认证;
8、支持密码策略设置,可自定义密码复杂程度,可设置密码中包含数字、字母、符号及禁用关键字等内容;
9、支持自定义多级审批流程,可设置一级或多级审批人,每级审批流程可以指定通过投票数,用户访问关键设备需相关审批人逐级审批通过才允许访问;
10、支持紧急运维流程,当运维人员需对目标设备进行紧急运维时,可通过紧急运维流程直接访问目标设备,同时记录为紧急运维工单,便于相关审批人事后对该流程进行确认以及审计员事后查看;
11、支持双人复核登陆,登录时必须经过第二人授权后才能登录,第二人可通过远程授权或同终端授权两种方式实现授权;
12、支持基于单条操作命令或命令组设置行为规则,当运维人员输入违规命令时(包括通过table键、上下键、复制等方式)自动进行告警或阻断;
13、支持命令审批规则,用户执行高危命令时需要管理员审批后才允许执行;
14、支持对常见设备运维操作进行记录(至少包括windows主机、linux/unix主机、网络设备等),审计信息至少包括以下内容:
用户账户、起止时间、登陆IP、设备IP、设备名称、设备类型、访问账号、访问协议等信息;
15、支持对堡垒主机的配置行为进行审计记录;
16、支持运维审计自查询功能,用户可查看自身的运维审计历史;
17、支持自定义报表,可记录审计报表模板,可生成图形报表,并提供EXCAL、CSV、WORD、PDF、HTML等格式导出。
18、提供3年原厂质保服务,3年相关特征库升级服务。
1台
8
基线核查系统
1、标准1U设备,标配至少6个千兆电口,2个千兆光口,默认包含授权设备至少50个,硬盘容量至少1TBSATA,单电源;
2、支持漏洞扫描,弱口令扫描,基线检查等模块;
3、基线检查和变更检查支持远程检查,SSH、TELENT、SMB、离线检查,支持跳转机跳转,口令批量录入;
4、支持一次性任务、立即任务、周期任务等多种调度方式;支持漏洞扫描、安全基线检查、变更检查的三合一任务,三者也可任意组合执行任务;
5、基线检查支持系统类型包括主机类:
windows、Unix、solaris、HP-Unix、AIX、Linux等;网络设备:
华为、H3C、Cisco、Juniper、中兴等;防火墙:
华为、天融信、H3C、Fortigate、Cisco、Juniper、迪普防火墙等;数据库:
Mysql、DB2、Oracle、Sqlserver、Sybase等;中间件:
Tomcat、IIS、Webservices、Apache、Weblogic、Resin、Nginx等;虚拟化平台:
VMwareESXi、VMwareCenter、XenServer;
漏洞扫描支持指定登录用户名和口令进行本地漏扫检查;
6、能够识别出运行的服务和端口,内置漏洞库至少46000条。
支持CVE等编号,拥有完备的知识体系;
7、支持常见的WEB应用弱点检测,支持主流安全漏洞扫描,如:
SQL注入、跨站脚本攻击、网页木马、系统命令执行漏洞、信息泄露、资源位置预测漏洞、目录遍历漏洞、配置不当漏洞、弱密码、内容欺骗漏洞、外链、暗链、等类型漏洞;支持WEB1.0,WEB2.0扫描;支持对网站资产管理,快捷网站扫描;
8、历次任务比对,支持对周期任务的多次执行任务结果进行比对,比对结果中详细展示报告间的异同之处;
9、支持告警复核,针对已确认的告警进行系统自动检查,通过系统执行相关任务精确确认告警是否已经清除;
10、支持三权分立方式的授权,即管理员只负责完成设备的系统配置,安全管理员配置核查,审计员负责对系统本身的用户操作日志管理和审计。
11、提供3年原厂质保服务,3年相关特征库升级服务。
1台
9
日志审计系统
1、标准2U机架式硬件,可用物理磁盘空间>=1TB;日志存储量至少十亿条,至少配置6个千兆电口,日志采集能力:
至少3000条/秒;
2、内置至少150个主机审计许可证书;
3、提供旁路接入模式,设备部署不影响原有网络结构;
4、B/S方式,采用HTTPS方式远程安全管理,无需安装管理客户端;
5、支持SNMP日志采集,支持日志类型:
网络及安全设备[Cisco、Array、Juniper、H3C、神州数码、绿盟、天融信、安氏领信、网神等]
6、支持通过页面直接将日志文件导入或以syslog方式接收日志信息,支持日志类型:
UNIX、WINDOWS事件[2000、2003、2008、XP、VISTA、Win7及以上版本]、网络及安全设备[Cisco、Array、Juniper、H3C、神州数码、绿盟、天融信、安氏领信、网神等]、AS400日志、数据库访问[Mysql]、WEB访问[Apache、IIS、Tomcat、Nginx、Weblogic、Resin、Websphere]、文件访问[V
升级会员 