信息安全等级保护整改建设项目招标文件.docx
《信息安全等级保护整改建设项目招标文件.docx》由会员分享,可在线阅读,更多相关《信息安全等级保护整改建设项目招标文件.docx(82页珍藏版)》请在冰点文库上搜索。
公开招标文件
采购项目名称:
云浮市中医院信息化安全等级保护整改建设项目
项目编号:
0724-1901D20N3481
国义招标股份有限公司编制发布日期:
2019年8月6日
温馨提示
(一)
一、 如无另行说明,投标文件递交时间为投标截止时间之前30分钟内。
二、 为避免因迟到而失去投标资格,请适当提前到达。
三、 投标人请注意区分邮购招标文件、投标保证金及中标服务费各收款帐号的区别。
务必将保
证金按招标文件的要求存入指定的投标保证金缴纳账户,切勿将款项转错账户,以免影响
投标及保证金退还的速度。
中标服务费存入指定的中标服务费缴费账户。
四、 投标保证金必须于投标截止时间前到达招标文件指定的投标保证金缴纳账户(开户行及账
号见《投标人须知》)。
由于转账当天不一定能够到账,为避免因投标保证金未到账而导致投标被拒绝,建议提前合理安排转账事宜。
中标人应在签订采购合同后两个工作日内交
采购代理机构,以便退还保证金。
五、 投标文件应按顺序编制页码。
六、 请仔细检查投标文件是否已按招标文件要求盖章、签名及密封。
七、 请正确填写《开标一览表》,并与《投标保证金缴纳凭证》一同封装在单独的唱标信封当中多包项目请每包单独封装,并请仔细检查包号,包号与包名称必须对应。
八、 招标项目内或所投包号内有多项设备或报价内容的,应加总后报总价。
九、 如投标人以非独立法人注册的分公司名义代表总公司盖章和签署文件的,须提供总公司的营业执照复印件及总公司针对本项目投标的授权书原件。
十、 购买了招标文件的公司,请在投标截止时间前3日以书面形式通知采购代理机构是否参加投标。
邮购文件的公司应提供快递地址以确保收到纸质的采购文件。
(以上提示内容仅作一般事项提醒,如与实际招标项目要求有不一致,以招标文件为准)
请已购买招标文件的供应商登录“广东省政府采购网”(:
//) 供应商注册栏目进行供应商账号注册操作,注册随时办理、自动备案,供应商信息由供应商自行登记维护,并对填报资料的真实性负责。
(已注册的供应商请忽略此信息)
80
温馨提示
(二)
供应商在国e平台()报名参加本项目或购买本项目招标文件、制作投标文件时,须按招标文件要求上传在信用中国网站()“信用信息”、中国政府采购网()“政府采购严重违法失信行为信息记录”的信用记录查询结果(打印查询页面并加盖公章)。
1.登录信用中国网站(),在首页“信用信息”栏输入公司名称,上传式样如下图:
2.登录中国政府采购网(),在页面右侧点击“政府采购严重违法失信行为信息记录名单”栏,输入公司名称,点击“查找”。
上传式样如下图:
目 录
第一部分投标邀请函 4
第二部分 采购项目内容 6
第三部分 投标人须知 37
第四部分 合同格式 48
第五部分 投标文件格式 51
第一部分投标邀请函
各(潜在)投标人:
国义招标股份有限公司受云浮市中医院的委托,对云浮市中医院信息化安全等级保护整改建设项目进行公开招标采购,欢迎符合资格条件的投标人投标。
一、项目编号:
0724-1901D20N3481
二、采购项目名称:
云浮市中医院信息化安全等级保护整改建设项目三、项目预算金额(元):
¥980,000.00
四、采购数量:
见采购项目内容及需求五、采购项目内容及需求:
1、项目标的及最高采购限价
标的名称
数量
采购预算(元)
信息化安全等级保护整改建设
1项
¥980,000.00
本项目采购本国产品。
详细技术规范请参阅招标文件中的用户需求书。
投标人必须对本项目全部内容进行投标报价,如有缺漏或超过采购预算,将导致投标无效。
2、交货时间:
合同签订起15天内交货。
3、项目地点:
云浮市中医院指定地点。
六、投标人资格要求
1、投标人具备《政府采购法》第二十二条规定的条件,并提供以下证明文件:
(1)2017年或2018年的财务报表(新成立的投标人提供成立至今的月或季度财务报表复印件)或银行出具的资信证明;
(2)税收部门出具的至投标截止时间当月前六个月内任意一个月的缴纳税收证明(零纳税的投标人提供至投标截止时间当月前六个月内任意一个月的纳税申报证明);
(3)至投标截止时间当月前六个月内任意一个月的缴纳社会保险凭据;
2、投标人必须是在中华人民共和国境内注册的具有独立承担民事责任能力的法人或其他组织;
3、投标人是在信用中国网站( )、中国政府采购网( )没有被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单及其他不符合规定条件的供应商;
4、单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一包号投标或者未划分包号的同一招标项目投标(投标人出具声明函);
5、为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,不得再参加该采购项目的其他采购活动(投标人出具声明函);
6、本项目不接受联合投标体投标;
7、投标人在采购代理机构登记并购买了招标文件。
七、符合资格的投标人应当在2019年8月6日至2019年8月13日每天9:
00至17:
00(北京
时间)购买招标文件,本招标文件每套售价为人民币150元,售后不退。
购买招标文件方式:
1、本项目招标文件在国e招标采购平台(以下简称“国e平台”,网址:
)进
行招标文件线上售卖(建议使用“傲游( )”、“QQ(:
// )、搜狗(s:
// )”浏览器,且在浏览器设置中需要允许flash运行)。
2、首次参与国e平台网上购标/投标的单位在购买招标文件前,须前往国e平台网页进行注册
(请尽早办理注册以便及时购买招标文件),操作步骤详见国e平台首页“用户指南”中的《投标人注册手册》,参阅此手册完成购标程序:
a.在国e平台完成注册手续(已注册单位可跳过该步骤);
b.注册审批通过后,选择“文件管理”-“招标文件购买”,选择所投项目,生成订单
(购买招标文件时应上传以下附件:
①法定代表人/负责人资格证明书、法定代表人/负责人授权委托书;②有效的营业执照复印件,加盖公章;③信用中国网站()“信用信息”、中国政府采购网()“政府采购严重违法失信行为信息记录”的信用记录查询结果);
c.通过选择网上支付方式完成购买手续;
d.如需兼投多个子包,请重复该步骤b、c;
e.购标订单完成后,选择“文件管理→招标文件订单”,可在具体项目订单详情页下载电子发票(一般订单支付完成后48小时内开具)。
3、国e平台操作咨询联系人:
李冰(020-37860665)、叶韵诗(020-37860669)。
八、投标截止时间(北京时间):
2019年8月27日14时30分00秒(注14时00分开始受理投标文件)
九、投标文件送达地点(投标地址):
国义招标股份有限公司2楼5号会议室(广州市东风东路726号国义招标股份有限公司2楼)(投标文件应由投标人授权代表亲自送达投标地址,采购代理机构将不接受其它形式递交的投标文件)
十、开标时间(北京时间):
2019年8月27日14时30分00秒
十一、开标地点:
国义招标股份有限公司2楼5号会议室(广州市越秀区东风东路726号国义招标股份有限公司2楼)
十二、采购人及采购代理机构的联系方式:
采购代理机构:
国义招标股份有限公司 采购人:
云浮市中医院采购代理机构联系人:
黄紫莹、林永健、李允仪 采购人:
刘晶晶
电话:
020-37860530/0766-8609606 电话:
0766-6622992
传真:
020-87768283 传真:
0766-6622966
联系地址:
广州市东风东路726号18楼 联系地址:
云浮市云城区建设北路100号邮编:
510080 邮编:
527300
国义招标股份有限公司
2019年8月6日
第二部分 采购项目内容
★〈一〉投标人资格要求
1、投标人具备《政府采购法》第二十二条规定的条件,并提供以下证明文件:
(1)2017年或2018年的财务报表(新成立的投标人提供成立至今的月或季度财务报表复印件)或银行出具的资信证明;
(2)税收部门出具的至投标截止时间当月前六个月内任意一个月的缴纳税收证明(零纳税的投标人提供至投标截止时间当月前六个月内任意一个月的纳税申报证明);
(3)至投标截止时间当月前六个月内任意一个月的缴纳社会保险凭据;
2、投标人必须是在中华人民共和国境内注册的具有独立承担民事责任能力的法人或其他组织;
3、投标人是在信用中国网站( )、中国政府采购网( )没有被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单及其他不符合规定条件的供应商;
4、单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一包号投标或者未划分包号的同一招标项目投标(投标人出具声明函);
5、为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,不得再参加该采购项目的其他采购活动(投标人出具声明函);
6、本项目不接受联合投标体投标;
7、投标人在采购代理机构登记并购买了招标文件。
〈二〉用户需求书
说明:
1、标注“★”的条款为评标时不可偏离条款不允许偏离,为无效投标条款。
标注“▲”的条款为评标时重要条款,不满足者将会被严重扣分,不作为无效投标条款。
一、项目概述
1、项目名称:
云浮市中医院信息化安全等级保护整改建设项目
2、项目预算:
¥980,000.00元
3、项目背景及内容:
医院信息系统(HIS、LIS、PACS)已完成系统信息安全等级保护的测评工作。
为满足国家政策和法律法规及监管部门要求,防范信息安全事件发生,现需要根据测评的内容进行网络安全的整改工作,以达到公安监管部门的要求,提升医院信息安全的防范能力和水平。
现对医院信息系统开展信息安全等级保护整改工作,具体工作内容如下:
(1)根据国家与上级主管部门的要求,医院需要对1个三级信息系统(HIS)、2个二级信息系统(LIS、PACS)进行信息安全等级保护整改工作。
(2)对物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全进行技术加固或安全设备的增加;
(3)完善安全管理体系建设:
安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全体系建设。
(4)通过等级保护整改,增加信息系统的安全与达到的安全等级的目标,使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善,使医院的信息系统安全工作有的放矢,有效防范信息安全事件的发生。
中标人须完成以上内容,协助医院按照测评报告整改建议方案进行合规性整改,并顺利通过市公安局网监部门的测评和备案,达到信息系统等级保护的要求。
4、采购内容:
序号
标的名称
单位
数量
核心产品
1
下一代防火墙产品(外网)
台
1
是
2
下一代防火墙产品(内网)
台
1
是
3
运维审计与风险控制系统(堡垒机)
台
1
4
WEB应用防火墙
台
1
5
综合日志审计平台
台
1
6
数据库审计与风险控制系统
台
1
7
APT攻击预警系统—平台
台
1
8
APT攻击预警系统—探针
台
1
9
主机安全及管理系统软件
套
1
10
容灾备份一体机
台
1
11
机房安全加固服务
项
1
12
精密空调
台
1
13
主机安全加固服务
项
1
14
安全体系建设
项
1
注:
提供相同品牌产品(非单一产品采购项目的,以项目所确定的核心产品为准)且通过资格审查、符合性审查的不同投标人参加同一项目下投标的,按一家投标人计算。
二、技术参数及要求
1、下一代防火墙产品(外网)
(一)性能要求
★1.整机吞吐量:
≥4Gb;
★2.应用层吞吐量:
≥600Mb;
★3.并发连接数:
≥1,800,000;
4.每秒新建连接数:
≥4万;
5.设备接口:
标准1U机架设备,标配10个千兆电口,并含2个高速USB2.0接口,1个RJ45串口;
6.硬盘:
64GSSD;
7.BYPASS:
支持;
8.电源:
单电源;
9.尺寸:
标准1U架构。
(二)部署模式
支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式。
(三)网络特性
1.支持802.1QVLANTrunk、access接口,VLAN三层接口,子接口、GRE隧道;
2.支持链路聚合功能;
3.支持LACP协议;
4.支持端口联动功能,当上行/下行端口链路出现故障时,对应的另一端下行/上行端口自动切断链路;
5.支持静态ARP、ARP代理、DNS、DNS代理、DHCPserver、DHCP中继、SNMPV1/V2/V3/Traps、TCPMSS配置;
6.支持IPV6环境部署,包括接口/区域配置、路由配置等网络适应性功能,支持核心常用安全功能,包括僵尸网络,IPS漏洞防御,WEB应用防护等,支持协议一致性(包括但不限于Core、NDP、Autoconfig、PMTU、ICMPV6)和协议健壮性检测(IPv6畸形报文、ICMPv6
畸形报文、其他协议畸形报文),支持IPV6的地址转换、双栈的过渡技术。
(四)路由支持
1.支持静态路由,ECMP等价路由;
2.支持RIPv1/v2,OSPFv2/v3,BGP等动态路由协议;
3.支持多播/组播路由协议;
4.支持路由异常告警功能;
5.支持多链路出站负载,支持基于源/目的IP、源/目的端口、协议、ISP、应用类型以及国家/地域来进行选路的策略路由选路功能。
(五)基础功能
1.支持连接会话展示,可针对具体的IP地址进行会话详情查询,支持封锁异常会话信息,并支持设置监听具体IP的会话记录;
2.支持IPv4/v6NAT地址转换,支持源地址转换,目的地址转换和双向地址转换,支持针对源IP、目的IP和双向IP连接数控制;
3.支持NAT64、NAT46地址转换;
4.支持DNS-Mapping;
5.访问控制规则支持基于源/目的IP,源端口,源/目的区域,用户(组),应用/服务类型,时间组的细化控制方式,支持长连接功能并可以配置连接时长;
6.访问控制规则支持失效规则识别,如规则内容存在冲突、规则生效时间过期、规则长时间未有匹配等情况;
7.访问控制规则支持模拟策略匹配,输入源目的IP、端口、协议五元组信息,模拟策略匹配方式,给出最可能的匹配结果,方便排查故障,或环境部署前的调试;
8.支持根据国家/地区来进行地域访问控制;
9.支持基于应用类型,网站类型,文件类型进行流量控制,支持基于IP段、时间、国家/地区、认证用户、子接口和VLAN进行流量控制;
10.支持IPSecVPN,SSLVPN,GRE,GREoverOSPF,GREoverIPSec等VPN接入方式;
11.IPsecVPN支持子接口、VLAN口、聚合口,支持双机环境下vpn组网;
12.支持在防火墙上配置VPN安全策略对加密隧道内的流量进行清洗。
(六)内容安全
1.支持URL过滤,支持GET,POST请求过滤和HTTPS网站过滤;
2.支持文件过滤,文件上传和下载方向过滤,支持多种文件类型,如avi、mp3、php、jpg、
imap、pop3、mdf、pdf、文件驱动、核心驱动等并可支持用户自定义;
3.支持针对SMTP、POP3、IMAP邮件协议的内容检测,如邮件附件病毒检测、邮件内容恶意链接检测,邮件账号撞库攻击检测等,并给出恶意邮件的提示,支持根据邮件附件类型进行文件过滤;
4.支持采用无特征AI检测技术对恶意勒索病毒及挖矿病毒等热点病毒进行检测,给出基于AI技术的病毒检测报告;
5.支持识别管控的应用类型超过1200种,应用识别规则总数超过3000条;
6.支持自定义应用规则;
7.支持应用协议命令级控制,如FTP可细化到rmdir、get、put等命令级控制;
8.支持SMBv1/v2协议传输的文件杀毒;
9.支持压缩文件查杀;
10.支持在业务防护场景,监测服务器外连流量,防止服务器非法下载;
11.支持从多维度聚合分析主机的中毒情况并在界面展示,如威胁情报,夜间外联,攻击链条等;
12支持Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing攻击防护;
13.支持SYNFlood、ICMPFlood、UDPFlood、DNSFlood、ARPFlood攻击防护;支持
IP地址扫描,端口扫描防护,支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测;
14.支持内网访问控制,配置内网区域只允许指定的IP地址或IP范围对外进行访问,防止内部伪造源IP对外DoS攻击的情况;
15.支持对信任区域主机外发的异常流量进行检测,如ICMP,UPD,SYN,DNSFlood等DDoS
攻击行为。
▲1.设备具备独立的热门威胁库,防护类型包括木马远控、恶意脚本、勒索病毒、僵尸网
络、挖矿病毒等,特征总数在60万条以上;(提供相关功能截图证明)
2.支持木马远控类、恶意链接类、移动安全类、异常流量类僵尸网络行为的检测;
▲3.支持蜜罐功能,定位内网感染僵尸网络病毒的真实主机IP地址;
4.支持对未知域名进行拦截,防止中毒主机访问恶意的域名;
(七)僵尸主机
▲5.支持对终端已被种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的
检测
恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;
6.对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙
盒检测,并下发威胁行为分析报告;
7.支持通过云端的大数据分析平台,发现和展示整个僵尸网络的构成和分布,定位僵尸网
络控制服务器的地址;
8.支持在僵尸网络检测中避免误判DNS服务器。
▲1.设备具备独立的入侵防护漏洞规则特征库,特征总数在7400条以上;(提供相关功
能截图证明)
2.支持对服务器、客户端、口令暴力破解、恶意软件等漏洞攻击防护;
3.支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP、POP3、RDP、Rlogin、SMB、Telnet、
(八)入侵防护功能
Weblogic、VNC)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能;
4.具备防护常见网络协议(SSH、FTP、RDP、VNC、Netbios)和数据库(MySQL、Oracle、
MSSQL)的弱密码扫描功能;
5.支持同防火墙访问控制规则进行联动,可以针对检测到的攻击源IP进行联动封锁,支
持自定义封锁时间;
6.可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现
问题后支持一键生成防护规则。
1.设备具备独立的WEB应用防护识别库,特征总数在3500条以上;(提供相关功能截图
证明)
2.支持HTTP1.0/1.1,HTTPS协议的安全威胁检测和防护;
3.支持HTTP异常协议检测,对Content-Type、multipart头部字段重复的异常协议,URL、
HTTP头部溢出等进行识别检测,可对HTTP方法进行过滤;
▲4.支持口令防护,包括FTP弱口令检测、WEB登录弱口令检测、WEB登录明文传输检测、
口令暴力破解防护;
5.支持抵御SQL注入、XSS、系统命令等注入型攻击;
6.支持关联上下文,对webshell脚本上传动作进行语法,语义匹配和过滤;
7.支持对已经植入webshell后门的服务器持续检测,对后续非法的通信动作进行识别和
(九)WEB应用安全防护
阻断;
8.支持上传文件类型识别,防止文后缀名修改绕过;
9.支持对网站的恶意扫描防护和恶意爬虫攻击防护;支持其他类型的Web攻击,如文件包
含,目录遍历,信息泄露攻击等;
10.支持针对网站的漏洞扫描进行深度防护,能够拦截漏洞扫描设备或软件对网站漏洞的
扫描探测,支持基于目录访问频率和敏感文件扫描等恶意扫描行为进行防护;
11.支持Web漏洞扫描功能,可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍
历、文件包含、命令执行等脚本漏洞;
▲12.支持对网站黑链进行检测;
13.支持Windows和Linux系统下网页防篡改功能;防篡改支持网站登录后台和FTP登录
后台防护,管理员支持IP认证和邮件认证;
14.支持热点威胁实时处理检测与快速响应;
15.支持对企业所有的网站提供保护情况的总览,包括哪些网站当前保护措施不足,哪些
网站在有效保护中,当前的漏洞、恶意扫描、web攻击及篡改事件发生的总体情况,同时风险要可定位到某个网站,并可以对网站面临的威胁给出处理方式;
16.支持基于所有安全模块的检测结果进行恶意IP联动封锁,包含高危封锁和所有封锁。
1.支持基于业务安全和用户安全维度的风险展示;
2.支持业务服务器的自动发现以及业务服务器脆弱性和服务器开放端口的自动识别,支持
包含敏感数据业务的识别;
3.支持针对业务安全的风险汇总,包括现存的存在风险的业务数量,哪些业务存在漏洞、
哪些已经遭受攻击、哪些已经失陷;
4.支持对业务详情进行展示,包括业务存在关键的风险,可以提供具体的攻击链过程并对
攻击进行举证;
5.支持对用户安全进行风险汇总,对攻击终端的事件类型进行统计,可展示哪些用户存在
高危行为,哪些用户已经被攻陷,并展示风险详情,包括用户所处的阶段如C&C通信阶段,
可以明确给出对应的解决建议;
6.支持对检测到的攻击行为按照IP