基本信息

在线竞价单编号	32021111206424602	采购目录	安全审计设备
报价开始时间	2021-11-12 11:12:03	报价截止时间	2021-11-17 15:00:00
采购单位	国家税务总局山东省税务局	采购单位联系人	谢英华
联系方式	0531-82613805	传真号码
供应商资格要求	基本要求：符合《中华人民共和国政府采购法》第二十二条的规定，符合《关于规范政府采购供应商资格设定及资格审查的通知》第六条规定且已在本系统注册并通过资质初审的供应商。
控制总价（元）	1600000.00
成交规则及确认方式	自动成交：报价截止时间后，系统对所有参与供应商按照报价由低到高排序，以'最低报价'原则推荐出成交供应商，报价相同的以报价时间优先。

商品清单

商品名称	技术参数或配置要求	建议品牌及型号	数量	单项控制总价(元)
机电设备	主要参数：扩容硬件产品数量要求: 扩容分析平台扩展节点1台，扩容流量传感器2台;扩容分析平台扩展节点硬件配置参数: 分析平台处理器≥24核;扩容分析平台扩展节点硬件配置参数: 分析平台内存≥256GB;扩容分析平台扩展节点硬件配置参数: 分析平台硬盘≥960GBSSD+48T企业级硬盘;扩容分析平台扩展节点硬件配置参数: 分析平台处理性能≥17000eps;扩容分析平台扩展节点硬件配置参数: 分析平台电源冗余电源;扩容分析平台扩展节点硬件配置参数: 分析平台设备接口至少包含4*GE管理电口、3*USB3.0接口、1*DB9 Console接口;扩容分析平台扩展节点硬件配置参数: 尺寸为标准2U机架式;扩容分析平台扩展节点硬件维保要求: 扩容分析平台设备三年产品标准维保服务;扩容流量传感器硬件配置参数: 流量采集探针处理器≥24核;扩容流量传感器硬件配置参数: 流量采集探针内存≥64GB;扩容流量传感器硬件配置参数: 流量采集探针硬盘≥4T;扩容流量传感器硬件配置参数: 流量采集探针流量吞吐≥8G;扩容流量传感器硬件配置参数: 流量采集探针并发会话数≥700W;扩容流量传感器硬件配置参数: 流量采集探针新建会话数≥8W;扩容流量传感器硬件配置参数: 冗余电源;扩容流量传感器硬件配置参数: 至少包含2个千兆电口(管理口)、2个千兆电口(监听口)、2个万兆电口(监听口)、4*USB3.0接口、1*DB9 Console接口;扩容流量传感器硬件配置参数: 尺寸为标准2U机架式;扩容流量传感器硬件维保要求: 包含威胁检测引擎以及三年规则库更新及产品标准维保服务;现有威胁情报系统软硬件续保: 对现有的一台分析平台和三台探针提供3年原厂维保及3年规则库、情报库更新服务，现有的一台分析平台和三台探针维保将于2022年3月27日到期。;扩容产品兼容性要求: 扩容需与省局现有威胁情报系统兼容;扩容分析平台扩展节点产品功能要求: 支持告警的深度行为分析，行为包括DNS解析行为、TCP/UDP交互行为、WEB访问行为、传输文件行为;扩容分析平台扩展节点产品功能要求: 支持以受害资产维度进行分析，分析内容包括失陷状态、受到的攻击类型、威胁级别、处于的攻击阶段、所属的资产分组;扩容分析平台扩展节点产品功能要求: 以攻击者的维度进行分析，对攻击者进行画像，画像内容包括地理位置信息、国家信息、所属组织、使用的攻击手段、攻击的所有资产;扩容分析平台扩展节点产品功能要求: 支持从威胁情报、应用安全、系统安全和设备安全的业务场景维度对告警进行攻击带外分析。;扩容分析平台扩展节点产品功能要求: 威胁情报维度分析包括：情报详情、影响资产列表、资产的行为（行为包含：DNS解析、TCP流量、UDP流量、WEB访问、文件传输）;扩容分析平台扩展节点产品功能要求: 应用安全的细分维度包括：WEB安全、数据库安全、中间件安全；系统安全的细分维度包括：暴力破解、弱口令、未授权访问、挖矿行为、设备安全；;扩容分析平台扩展节点产品功能要求: 支持与云端威胁情报中心联动，可对攻击IP、C&C域名和恶意样本MD5进行一键搜索，查看基本信息、相关样本、关联URL、可视化分析、域名解析、注册信息、关联域名、数字证书等;扩容分析平台扩展节点产品功能要求: 支持基于威胁情报的威胁检测，检测类型包含APT事件、僵尸网络、勒索软件、流氓推广、窃密木马、网络蠕虫、远控木马、黑客工具、其他恶意软件，并可自定义威胁情报;扩容分析平台扩展节点产品功能要求: 支持对告警进行加白，加白参数包括受害IP、攻击IP、威胁情报、规则、XFF、URL、威胁名称。;扩容分析平台扩展节点产品功能要求: 支持可疑DNS解析：能够检测发现DGA域名与DNS隧道域名，支持根据时间范围、请求次数、DNS域名总长度自定义DNS隧道检测规则;扩容分析平台扩展节点产品功能要求: 支持疑似DNS服务器发现：能够根据响应DNS请求与发起DNS请求进行行为分类;扩容分析平台扩展节点产品功能要求: 支持链路劫持分析：能够展示被劫持对象、CDN服务器、被劫持资源、文件MD5、访问时间等详细信息;扩容分析平台扩展节点产品功能要求: 支持DNS重绑定分析：能够展示受害IP、攻击IP、域名、DNS解析记录、访问时间等详细信息。;扩容分析平台扩展节点产品功能要求: 支持可疑代理分析：能够发现socks、http、reDuh、Regeory Tunnel、Tunna等代理类型。;扩容分析平台扩展节点产品功能要求: 支持远程工具分析：能够发现pc_anywhere、ultra_vnc、chrome_remote_desktop、 oray、teamviewer等远程工具类型;扩容分析平台扩展节点产品功能要求: 支持反弹shell分析：能够展示受害IP、攻击IP、端口、受害地域/资产组、攻击地域/资产组、最近访问时间等详细信息;扩容分析平台扩展节点产品功能要求: 支持暴力破解行为检测，检测内容包含：源ip、目的ip、使用协议、爆破次数、爆破成功与否等;扩容分析平台扩展节点产品功能要求: 支持异常登录行为检测，检测内容包括：源ip、账号、登录资产IP、使用协议、登录结果等信息，且能进行异常时间配置。;扩容分析平台扩展节点产品功能要求: 支持ssh、telnet、ftp、smb等常见协议特权账号登录行为分析，且能自定义特权账号;扩容分析平台扩展节点产品功能要求: 支持对http、pop3、smtp、Telnet、ftp、imap等协议弱口令分析，且能够自定义弱口令字典;扩容分析平台扩展节点产品功能要求: 支持明文密码泄露行为检测，检测内容包含：登录账号IP、账号、密码、使用协议。;扩容分析平台扩展节点产品功能要求: 支持非常用请求方法分析，展示源ip、目的ip、域名、访问链接、请求方法、状态码、最近访问时间等信息;扩容分析平台扩展节点产品功能要求: 支持可疑爬虫或扫描分析，能自定义web访问频率，且能设置源IP白名单。;扩容分析平台扩展节点产品功能要求: 支持后门上传利用分析，能展示受害ip、攻击ip、上传页面、后门链接、利用次数、最近发生时间等详细信息;扩容分析平台扩展节点产品功能要求: 支持对mysql、mssql、oracle、sybase等常见数据库高危操作行为分析，其能自定义规则;扩容分析平台扩展节点产品功能要求: 支持资产横向访问分析，能展示源资产ip、目的资产ip、端口、协议、banner、时间等详细信息，且能自定义源ip白名单;扩容分析平台扩展节点产品功能要求: 支持内部资产主机外联分析，能展示资产ip、外联ip、外联地域、端口、协议、时间等详细信息，且能自定义源ip白名单;扩容分析平台扩展节点产品功能要求: 支持风险端口访问分析，能自定义风险端口，且能自定义白名单;扩容分析平台扩展节点产品功能要求: 支持通过云端威胁情报获取黑IP列表，与告警和日志进行匹配并生成告警，支持黑IP规则导入。;扩容分析平台扩展节点产品功能要求: 与全包设备联动后，支持根据日期、源ip、目的ip、端口等对全流量数据进行查询，并支持原始pcap包下载到本地进行分析;扩容分析平台扩展节点产品功能要求: 支持对任意线索的自定义拓线及溯源取证分析，支持以可视化分析画布形式展示拓线过程并支持结果快照导出；支持对于给定线索的溯源结果展示，包括但不限于攻击溯源、失陷主机分析、暴力破解分析、弱口令分析等;扩容分析平台扩展节点产品功能要求: 支持工作流程自定义编排。;扩容分析平台扩展节点产品功能要求: 支持联动服务管理，支持python语言与javascript语言在web页面编辑联动服务;扩容分析平台扩展节点产品功能要求: 支持任务脚本自定义编辑，支持python语言与javascript语言在web页面进行编辑;扩容分析平台扩展节点产品功能要求: 支持策略定义，可根据工作流进行处置动作定义，且能根据告警类型、攻击结果、威胁类别进行联动策略定义;扩容分析平台扩展节点产品功能要求: 支持编排处置日志记录，记录处置时间、受害ip、攻击ip、告警类型、威胁名称、域名、处置策略、告警来源等信息;扩容分析平台扩展节点产品功能要求: 支持检索异常报文、域名解析、文件传输、FTP控制通道、LDAP行为、登录动作、邮件行为、MQ流量、网络阻断、数据库操作、SSL加密协商、TCP流量、Telnet行为、UDP流量、WEB访问等网络流量日志，并可基于时间、IP、端口、协议、上下行负载等多重字段组合进行日志检索。;扩容分析平台扩展节点产品功能要求: 支持告警日志检索，可基于时间、告警类型、文件MD5、文件名、文件传输方向、攻击方式、攻击结果、来源/目的所属国、IP地址、上下行负载等多字段混合搜索;扩容分析平台扩展节点产品功能要求: 支持检索终端IM文件传输、邮件附件传输、DNS访问、 进程、U盘文件传输等动作的日志，可以及时发现终端上存在的异常现象，并可结合网络日志及告警日志深挖威胁的攻击全过程。;扩容分析平台扩展节点产品功能要求: 支持通过SPL搜索语句进行详细检索并能够采用多字段组合来进行日志检索生成视图;扩容分析平台扩展节点产品功能要求: 支持大屏展示网络攻击态势，包括整体网络风险指数、告警总数、攻击次数、攻击IP数、攻击源国家/地区TOP5、攻击态势，并支持自动翻转的攻击全景地图展示。;扩容分析平台扩展节点产品功能要求: 支持大屏展示整体威胁事件态势，包括威胁类型分布、威胁类型TOP5、受害主机TOP5、威胁事件趋势、最新告警事件、威胁星云图;扩容分析平台扩展节点产品功能要求: 支持大屏展示整体资产风险态势，包含资产树结构、资产分类、开放服务统计、网段管理、资产风险趋势、资产风险状态;扩容分析平台扩展节点产品功能要求: 支持大屏展示资产包括外部访问、横向访问、内网外联态势。;扩容分析平台扩展节点产品功能要求: 支持自动从流量中识别资产信息包含：IP、端口、服务、操作系统、MAC ;红队模拟攻击的安全评估服务: 在采购人授权的时间范围内，制定评估方案和计划，每年组织一次（共3次）专业的网络攻击团队，最大限度模拟APT攻击手法，不限定攻击路径和手段，以不采用破坏性攻击为底线，以系统提权、控制业务、获取数据为目标，以最大程度暴露省局安全风险、发现省局防护和威胁发现短板为目的，深入评估采购人安全防护能力，发现安全漏洞和防御缺陷，并提出改进建议。;互联网资产发现服务: 在采购人授权的时间范围内，每年组织一次（共3次）专业的网络攻击团队，进行全省税务系统互联网资产梳理与暴露面筛查服务，发现采购人暴露在外的IT设备、端口以及应用，并提出改进建议。;到货及实施时间要求: 必须在合同生效之日起30日（自然日）内完成全部软、硬件产品到货，并在到货之日起10日内完成设备的集成安装、调试工作。投标时自报最快交货期。;到货及实施地点要求: 省局英雄山路机房;项目实施要求: 1.上述所有软硬件产品均须提供专业技术人员负责软硬件设备、集成安装、配置调试和技术支持服务。本项目为交钥匙工程，项目所产生任何费用均视同计入报价。2.设备试运行期为1个月。试运行期满后，由采购人和中标人共同组成验收小组，由中标人按照验收方案对产品的性能和配置进行测试并形成测试报告，经采购人确认并同意后完成终验。如终验过程中性能和配置测试结果与招标文件、投标文件不符，采购人有权要求中标人退、换设备，同时保留索赔的权利。;验收文档: 详见附件; 次要参数：扩容分析平台扩展节点产品功能要求: 支持对资产进行分组管理及对应内网网段的录入，系统自动根据用户录入的网段发现资产信息，同时支持根据分组过滤资产列表;扩容分析平台扩展节点产品功能要求: 支持对资产打标签，同时支持根据标签过滤资产列表;扩容分析平台扩展节点产品功能要求: 支持展示自动发现、终端管理系统获取和人工录入的资产信息，信息包括：资产IP、资产名称、分类、责任人、责任人部门、资产分组、权重、服务、资产标签、设备型号、操作系统、物理地址、网关标识、厂家;扩容分析平台扩展节点产品功能要求: 支持展示资产及资产分组之间互访信息，信息包括：互访协议、目的端口、互访次数;扩容分析平台扩展节点产品功能要求: 支持展示资产漏洞信息，信息包括：资产IP、资产名称、资产组、漏洞名称、最近发现时间、威胁级别、漏洞来源、漏洞披露时间、CVE编号、CNNVD编号。并支持导入漏洞知识库文件。;扩容分析平台扩展节点产品功能要求: 支持展示资产配置核查信息，配置类型包括：敏感端口暴露、明文密码泄露、弱口令;扩容分析平台扩展节点产品功能要求: 支持配置展示云端众测平台漏洞情报及资产漏洞信息;扩容分析平台扩展节点产品功能要求: 可自定义选择报表生成的数据范围、报表格式、报表模版;扩容分析平台扩展节点产品功能要求: 支持自定义生成周期、报表格式、报表模版;扩容分析平台扩展节点产品功能要求: 默认提供多种报表模版（支持用户自定义模版），模版包括告警、受害资产、日志、威胁分析等等。;扩容分析平台扩展节点产品功能要求: 支持分析平台横向扩展至多台设备集群;扩容分析平台扩展节点产品功能要求: 支持自定义产品名称、产品logo;扩容分析平台扩展节点产品功能要求: 支持与流量传感器进行联动，发现威胁事件后支持对攻击IP、恶意域名和受害资产的流量进行封禁;扩容分析平台扩展节点产品功能要求: 支持与税务终端安全管理系统（进行联动，发现威胁事件后支持与控制中心进行指令下发执行终端隔离和扫描操作;扩容分析平台扩展节点产品功能要求: 支持与防省局现有防火墙进行联动，发现威胁事件后支持对攻击IP、恶意域名和受害资产的流量进行阻断（将策略下发给防火墙，由防火墙执行阻断）;扩容分析平台扩展节点产品功能要求: 支持AES256、SM4数据传输加密，确保数据传输的安全性;扩容分析平台扩展节点产品功能要求: 支持对日志进行导出备份以及导入恢复;扩容分析平台扩展节点产品功能要求: 可根据用户角色对用户进行区分，赋予不同角色用户不同的操作权限（系统管理员、操作员、审计员）;扩容分析平台扩展节点产品功能要求: 支持配置平台访问白名单;扩容分析平台扩展节点产品功能要求: 支持配置第三方域账号登录;扩容分析平台扩展节点产品功能要求: 支持自定义威胁情报、白名单、弱口令字典、暴力破解规则、漏洞知识库配置，支持用户新建/导入已有的规则信息;扩容分析平台扩展节点产品功能要求: 支持查看本级设备及连接设备的状态信息;扩容流量传感器产品功能要求: 支持常见协议识别并还原网络流量，用于取证分析、威胁发现，支持：http、dns、smtp、pop3、imap、webmail、DB2、Oracle、MySQL、sql server、Sybase、SMB、FTP、SNMP、telnet、nfs等;扩容流量传感器产品功能要求: 支持对流量中出现文件传输行为进行发现和还原，并记录文件MD5发送至分析设备，如可执行文件（EXE、DLL、OCX、SYS、COM、apk等）、压缩格式文件（RAR、ZIP、GZ、7Z等）、文档类型文件（word、excel、pdf、rtf、ppt等）;扩容流量传感器产品功能要求: 支持常见数据库协议的识别或还原：DB2、Oracle、SQL Server、MySQL、PostgreSQL等协议;扩容流量传感器产品功能要求: 支持TCP/UDP会话记录、异常流量会话记录、web访问记录、域名解析、SQL访问记录、邮件行为、登录情况、文件传输、FTP控制通道、SSL加密协商、telnet行为、IM通信等行为描述;扩容流量传感器产品功能要求: 支持自定义协议和端口，满足特殊场景下的流量抓取;扩容流量传感器产品功能要求: 支持基于流量实时IOC匹配功能，设备具备主流的IOC，情报总量不少于50万条;扩容流量传感器产品功能要求: 支持检测针对WEB应用的攻击，如SQL注入、XSS、系统配置等注入型攻击；;扩容流量传感器产品功能要求: 支持跨站请求伪造CSRF攻击检测；;扩容流量传感器产品功能要求: 支持其他类型的WEB攻击，如目录遍历、弱口令、权限绕过、信息泄露、文件包含、文件写入攻击等检测;扩容流量传感器产品功能要求: 支持基于工具特征的WEBSHELL检测，能通过系统调用、系统配置、文件的操作来及时发现威胁，如：中国菜刀、冰蝎、小马上传工具、小马生成器等;扩容流量传感器产品功能要求: 支持基于webshell函数的攻击检测，如文件包含漏洞、任意文件写入、任意目录读取、任意文件包含、preg_replace代码执行等;扩容流量传感器产品功能要求: 支持基于代理程序的攻击检测，如TCP代理程序、HTTP代理程序等;扩容流量传感器产品功能要求: 支持多种攻击检测，能更全面的从流量中发现威胁，如：协议异常、网络欺骗、黑客攻击、代码执行等;扩容流量传感器产品功能要求: 支持对HTTP、FTP_DATA、SMB、SMTP、POP3、WEBMAIL、IMAP、TFTP、QQ、NFS等类型协议的流量进行文件还原;扩容流量传感器产品功能要求: 支持通过设备对流量进行抓包分析，可定义抓包流量双向或单向、数量、IP地址、端口或协议类型;扩容流量传感器产品功能要求: 支持基于网络请求的语义分析检测，能够将网络请求拆分后从请求头、响应头、请求体、响应体四方面详细展示请求内容，并能提升对未知威胁检测能力;扩容流量传感器产品功能要求: 支持基于IP地址的旁路阻断，能够在实时镜像的流量中发现恶意IP并实现实时阻断;扩容流量传感器产品功能要求: 支持基于URL的旁路阻断，并能将URL请求进行重定向;扩容流量传感器产品功能要求: 支持自定义弱口令字典，支持HTTP、HTTPS、Telnet、FTP、POP、SMTP、IMAP等协议的自定义弱口令检测;扩容流量传感器产品功能要求: 支持旁路HTTPS解密、威胁检测;扩容流量传感器产品功能要求: web端提供针对恶意扫描、Flood攻击、IP碎片攻击、ARPSpoof、PingSweep等检测策略配置功能。;扩容流量传感器产品功能要求: 支持旁路部署，可同时接入多个镜像口，每个镜像口相互独立不影响;扩容流量传感器产品功能要求: 支持AES256、SM4数据传输加密，确保数据传输的安全性。;扩容流量传感器产品功能要求: 支持威胁告警信息发送给syslog服务器，支持将威胁告警、威胁等级、网络日志、攻击结果、威胁类型等日志传输给KAFKA、威胁分析平台。;扩容流量传感器产品功能要求: 支持与集中管理平台进行联动，统一进行情报、规则的升级。;重保期间安全专家现场值守: 详见附件;网络安全技术培训: 中标人提供对采购人集中技术培训，培训人数不少于30人，培训时间不少于5天，培训标准为550元/人/天。中标人需提供除往返交通费之外的全部费用，包括师资、场地、教材、工具、食宿等全部费用。投标人须提供全面、详细的培训方案。培训方案至少包括如下内容：培训计划、培训大纲、培训人数、培训教材和师资（有相应的专业资格和实际工作经历并至少有三年的教学经验）等。投标文件中须说明具有针对性的培训教材、讲师资质、课程安排等，须具备本地培训能力，提供培训教室截图等材料。培训可分多期举办。中标人须在系统投入使用前对采购人提供具有针对性的系统培训，培训内容包含但不限于网络安全威胁情报和态势感知系统的使用及相关知识，以保证系统的各项功能让采购人完全掌握，能够胜任系统的全部运行、操作、维护以及故障分析处理。;		1套	1600000.00

附件	威胁情报系统扩容商品参数.xls

收货信息

送货方式	送货上门	送货时间	工作日09：00至17：00	送货期限	合同生效后7个工作日内
送货地址	山东省 济南市 市中区 七里山街道 英雄山路155号国家税务总局山东省税务局
备注

商务要求

商务要求