中标
广西壮族自治区桂东人民医院信息安全设备与服务采购项目询价公告
金额
-
项目地址
广西壮族自治区
发布时间
2019/12/29
公告摘要
公告正文
广西壮族自治区桂东人民医院
信息安全设备与服务采购项目询价公告
我院拟对信息安全设备与服务采购项目进行公开询价,欢迎符合条件的潜在供应商前来参加。请按下列清单填写出贵公司所参标品牌以及最低的承受价格,保证中标后能及时供货,各投标公司请于2020年1月6日 前或医院组织开标前1天止(开标具体时间待定)将标书寄回我院招标小组收,请在信封、标书上务必注明投标单位、地址和电话号码、投标项目并加盖公章,以便联系。
一、项目名称:信息安全设备与服务采购项目
二、项目采购需求:
(一)需求说明
1.建设目标
秉承“持续保护、不止合规”的理念,本着建立真正有效的技术体系的原则,构建“防御+检测+响应”的安全能力。使安全技术体系不再是简单的堆叠防御手段。既能满足等级保护2.0标准3级等级保护要求,又能充分发挥安全技术体系的有效性,抵御新威胁,同时采取应用可视化技术包括安全可视化、统一运维管理的创新的技术手段,简化安全运维管理,减轻安全运维管理的负担,提升安全运维管理的效率,最终做到整体防御、分区隔离;积极防护、内外兼防;自身防御、主动免疫;纵深防御、技管并重,切实的解决医院信息安全问题,减少事故发生的概率。
2.建设要求
等级保护2.0解决方案给医院带来全网安全可视、预警及响应,高效感知内部高级安全风险;在外部,通过大量的外部威胁情报,辅助高级安全事件的分析;在网络内部,在各个子域的关键节点上,通过探针或安全设备,精准的采集有效检测信息。将外部威胁情报和内部真实流量信息汇总到一起,通过行为分析、机器学习等算法对各类潜伏到网络内部的高级威胁进行检测,并通过可视化的方式,最终让医院感知到医院现在是否安全,哪里不安全,造成什么危害,并如何处置。结合边界防护、安全检测、内网检测、管理中心、可视化平台,基于行为和关联分析技术,对全网的流量实现全网应用可视化,业务可视化,攻击与可疑流量可视化,解决安全黑洞与安全洼地的问题。
全网安全可视,用于辅助决策,外部攻击的可视,帮助医院掌控攻击态势,业务层面外联和脆弱性的可视,帮助医院掌控业务安全状态,快速定位安全事件源头,避免了医院登录每台设备查看安全日志,定位问题,简化了运维工作量。
动态感知持续检测
医院基于业界领先信息安全理念,预采用业界领先的大数据、人工智能技术安全,建立了安全感知平台,在安全事件发生前就能够及时发现并采用有效安全策略,从而降低医院安全风险。
资产的新增或变更感知
通过业务识别引擎主动识别新增业务资产或变更新的业务资产。发现资产变更后,自动对“变动资产”进行增量评估。减少新漏洞在网上暴露时间。
潜伏威胁及风险感知
实时汇集漏洞扫描信息,感知漏洞分别及危害情况;
对绕过边界防御的进入到内网的攻击进行检测,以弥补静态防御的不足。
安全事件感知
对内部重要业务资产已发生的安全事件进行持续检测,第一时间发现已发生的安全事件。
异常行为感知
对医院内部、业务资产的异常行为进行持续的检测,发现潜在风险以降低可能的损失。
协同防御,多级联动
方案涉及到的立体保护能力,重点强调的是建立起纵深的防护能力,实现业务端到端的安全、形成协同防御。
首先是业务的边界安全。医院通过安全重构业务的边界。边界安全依然重要。构建业务安全边界,防范外部入侵威胁。主要技术手段,包括终端、网络接入安全,L2-L7层外部威胁防御。
其次,构建医院核心承载环境的安全。需要加强业务的接入、认证和审计,以及加强业务内部的持续监测,发现潜伏的网络攻击、内部攻击等高级威胁。
最后,从外部视角,提供外部的情报和云端专家对抗能力。从业务外部的视角,依靠外部的力量、云端的力量,加强威胁情报联动、云端沙箱未知威胁检测等手段,引入更多的外部视角去和威胁对抗。协同云端,实时监测网站安全事件,3-5分钟生成可视化的报告,并及时告知医院。
(二)需求清单一览表
| 项号 | 内容 | 数量 | 单位 |
| 1 | 下一代防火墙系统 | 1 | 台 |
| 2 | WEB应用防火墙系统 | 1 | 台 |
| 3 | 下一代防火墙系统 | 2 | 台 |
| 4 | 运维安全管理与审计系统 | 1 | 台 |
| 5 | 数据库审计系统 | 1 | 台 |
| 6 | 日志收集与分析系统 | 1 | 台 |
| 7 | 威胁感知与分析系统 | 1 | 台 |
| 8 | 漏洞扫描系统 | 1 | 台 |
| 9 | 安全隔离与信息交换系统 | 1 | 台 |
| 10 | 上网行为管理与审计系统 | 1 | 台 |
| 11 | 万兆光口汇聚交换机 | 2 | 台 |
| 12 | 运维接入交换机 | 1 | 台 |
| 13 | 终端安全管理系统 | 1 | 套 |
| 14 | 防火墙规则库升级 | 3 | 年 |
| 15 | 信息系统安全等级保护测评咨询服务 | 1 | 项 |
| 16 | 信息系统安全等级保护测评服务 | 1 | 项 |
| 项号 | 货物名称 | 参考品牌 | 数量 | 单位 | 技术参数及性能(配置)要求 |
| 1 | 下一代防火墙系统 | 网神NSG3000-TE45或同等次其他品牌型号 | 1 | 台 | 1. ★标准2U设备,配置≥6个10/100/1000 Base-T自适应电口,≥2个千兆光口, 支持1个接口扩展槽,提供不低于64G 固态硬盘,1个Console口,交流电源;配置SSL VPN软件模块,支持50客户端接入;含3年硬件质保和全功能模块升级服务; 2. ★防火墙吞吐量≥8Gbps,并发连接数≥210万,每秒新建连接数≥10万/秒,含应用控制、URL过滤、病毒防护、入侵防御、威胁情报检测功能模块; 3. 产品支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求;支持3G接入,可实现3G及有线链路之间的互为备份; 4. 支持静态路由、动态路由、策略路由,动态路由包括RIP v1/v2/ng、 OSPFv2/v3、BGP4/4+; 5. 支持静态DNS,从指定的入接口或源ISP接收到的DNS请求,防火墙会代替DNS服务器将指定的域名与IP地址对应关系应答给客户端; 6. 支持防御IP地址欺骗,可将IP与安全域关联,即指定IP或网段从特定安全域流量流入,否则视为IP地址欺骗; 7. ★支持在IPv6环境下配置安全策略、SSL解密策略等规则,实现漏洞防护、间谍软件防护、URL过滤、反病毒、内容过滤、文件过滤、邮件过滤、行为管控及带宽管理; 8. ★支持MPLS流量透传;支持针对MPLS流量的安全审查,包括漏洞防护、反病毒、间谍软件防护、内容过滤、URL过滤、基于终端状态访问控制等安全防护功能; 9. ★支持基于源安全域、目的安全域、源用户、源地址/地区、目的地址/地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制(提供功能界面截图); 10. ★支持冗余策略分析功能,系统可自动检测别列出与某一策略存在冗余关系的其他策略; 11. 支持全面的NAT转换能力,支持对源目的地址、端口的转换;包括一对一,一对多,多对一,多对多地址转换方式; 12. ★支持虚拟防火墙功能,支持在虚系统内进行病毒防护、漏洞利用防护、间谍软件防护、URL过滤、文件过滤、内容过滤、邮件过滤、行为管控等安全功能。并可支持对本虚系统内产生的日志进行独立审计(提供功能界面截图); 13. ★支持与云端联动,实现病毒云查杀、URL云识别、应用云识别、云沙箱等功能。通过安全云系统提升识别库数量级,补充本地识别库,并加快防火墙对威胁的识别速度;(提供功能界面截图); 14. 支持面板下的异常、威胁、重点关注监控、接口信息、系统信息、内容日志、威胁日志、URl过滤日志、邮件过滤日志、并发连接数; 15. 支持实现HTTP、FTP、POP3、SMTP、IMAP、SMB六种应用协议的双向内容过滤,支持预定义敏感信息库及自定义敏感信息库两种方式进行敏感信息定义,支持阻断及日志两种处理动作; 16. ★漏洞防护特征库要求包含高危漏洞攻击特征,至少包括“永恒之蓝”、“震网三代”、“暗云3”、“Struts”、“Struts2”、“Xshell后门代码”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息; 17. 支持自定义漏洞签名。可标识自定义漏洞的CVE编号或CNNVD编号。支持自定义基于TCP、UDP、HTTP协议的漏洞,并根据各协议的报文结构,指定一个或多个字段的特征值,这些特征值可以被以文本的形式或正则表达式的形式进行匹配,同时支持是否按顺序对这些特征值进行匹配检测。支持自定义漏洞的源端口范围及目的端口范围; 18. ★支持与防病毒系统或终端安全管理系统进行联动,增强防火墙对应用特征及木马特征的识别(提供功能界面截图); 19. 支持双系统备份,且在系统切换中可实现配置的自动迁移; 20. ★支持基于受害主机的一键式阻断链接、记录日志等处置动作,处置周期至少包括1天、7天、30天、90天、永久等; 21. ★支持在单条策略中启用病毒防护、入侵防御、网址过滤、文件过滤、文件内容过滤等安全功能选项(要求提供功能界面截图); 22. 基于源目地址、源目端口、协议、域名、URL多维度的一键式快速运维处置; 23. 日志支持模糊搜索和按精确策略条件搜索,协助定位异常行为,并通过带条件跳转实现指定行为在分析中心中的关联活动展示,确认异常行为是否具有威胁; 24. 支持基于网络活动,威胁活动、阻止活动等多维关联统计及分析,发现异常行为; 25. ★产品资质要求,提供以下资质证书复印件: 1)具有中国信息安全测评中心颁发的《信息技术产品安全测评证书(EAL4+)》; |
| 2 | Web应用防火墙系统 | 网神W1500-U010P或同等次其他品牌型号 | 1 | 台 | 1. ★标准1U设备,交流电源;配置≥6个10/100/1000M自适应电口,2个接口扩展槽,≥2组bypass,1个Console口,2个USB口,≥1TB硬盘;支持Web安全保护≥16个站点,含4个站点的网页防篡改授权,包括windows,linux操作系统,不区分操作系统类型。包含三年硬件维修服务及软件升级服务。 2. ★网络吞吐量≥1Gbps,应用层处理能力≥500Mbps,网络并发连接数≥65万,HTTP并发≥24万; 3. 支持透明在线部署,不更改网络或网站配置,即插即用,无需配置IP地址即可防护;支持链路聚合(Channel)部署,接口支持自定义划分,支持多进多出模式; 4. 支持对SQL注入、XSS跨站脚本、信息泄露等Web漏洞扫描 5. 支持对虚拟机中的任意数量网站进行防护,使多个虚拟机共用一个IP地址, 6. 支持对负载均衡服务器任意数量网站进行防护,内置有负载均衡算法,包含轮询、Hash算法; 7. ★支持SQL注入、跨站脚本、防爬虫、扫描器、信息泄露、溢出、协议完整性等至少7种知识库展示说明(提供功能界面截图); 8. 具备敏感信息检测功能,用户可以自定义检测敏感信息,并提供替换功能,替换信息可以根据用户需求自行定义; 9. ★支持与威胁情报中心联动功能,具备FTP、API、key联动方式(提供功能界面截图); 10. ★支持对威胁情报中心提供的相关数据运用到产品防护策略中,并提供僵尸网络、扫描器、钓鱼代理、网络攻击、Windows利用等漏洞库数据分类(提供功能界面截图); 11. 支持windows、linux的32位与64位操作系统的网页防篡改功能,并提供相应的客户端下载功能; 12. 支持网页防篡改客户端与Web应用防火墙实时联动,支持断点检测状态检测机制; 13. ★支持网站云防护是Web应用防火墙的集成功能,并非独立的服务或是独立产品(提供功能界面截图); 14. 支持TCP DDoS防护策略,应具备端口扫描、SYN flood、Conn Flood、ACK flood、序号攻击、慢攻击等常见TCP DDoS攻击防御能力; 15. ★支持镜像分析数据并实现旁路阻断功能,产品具备专门的阻断接口设置(提供功能界面截图); 16. 支持对攻击、访问、审计、篡改、DDoS等日志审计功能,支持系统报表功能,报表格式包含PDF\WORD\HTML格式; 17. 支持冗余系统备份机制,升级或运行中出现软件异常,可自动切换至备份系统保障设备正常运行; 18. ★产品资质要求,提供以下资质证书复印件: 1)具备中国信息安全测评中心颁发的《信息技术产品安全测评证书(EAL3+)》; |
| 3 | 下一代防火墙系统 | 网神NSG5000-TG55或同等次其他品牌型号 | 2 | 台 | 1. ★标准2U设备,配置≥6个10/100/1000 Base-T自适应电口,≥4个万兆光口(含4个万兆多模光模块),另有1个接口板卡扩展插槽,提供不低于128G 固态硬盘,1个Console口,冗余交流电源;配置SSL VPN软件模块,支持50客户端接入;含3年硬件质保和全功能模块升级服务; 2. ★防火墙吞吐量≥24Gbps,并发连接数≥400万,每秒新建连接数≥26万/秒,含应用控制、URL过滤、病毒防护、入侵防御、威胁情报检测功能模块; 3. 产品支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求;支持3G接入,可实现3G及有线链路之间的互为备份; 4. 支持静态路由、动态路由、策略路由,动态路由包括RIP v1/v2/ng、 OSPFv2/v3、BGP4/4+; 5. 支持静态DNS,从指定的入接口或源ISP接收到的DNS请求,防火墙会代替DNS服务器将指定的域名与IP地址对应关系应答给客户端; 6. 支持防御IP地址欺骗,可将IP与安全域关联,即指定IP或网段从特定安全域流量流入,否则视为IP地址欺骗; 7. ★支持在IPv6环境下配置安全策略、SSL解密策略等规则,实现漏洞防护、间谍软件防护、URL过滤、反病毒、内容过滤、文件过滤、邮件过滤、行为管控及带宽管理; 8. ★支持MPLS流量透传;支持针对MPLS流量的安全审查,包括漏洞防护、反病毒、间谍软件防护、内容过滤、URL过滤、基于终端状态访问控制等安全防护功能; 9. ★支持基于源安全域、目的安全域、源用户、源地址/地区、目的地址/地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制(提供功能界面截图); 10. ★支持冗余策略分析功能,系统可自动检测别列出与某一策略存在冗余关系的其他策略; 11. 支持全面的NAT转换能力,支持对源目的地址、端口的转换;包括一对一,一对多,多对一,多对多地址转换方式; 12. ★支持虚拟防火墙功能,支持在虚系统内进行病毒防护、漏洞利用防护、间谍软件防护、URL过滤、文件过滤、内容过滤、邮件过滤、行为管控等安全功能。并可支持对本虚系统内产生的日志进行独立审计(提供功能界面截图); 13. ★支持与云端联动,实现病毒云查杀、URL云识别、应用云识别、云沙箱等功能。通过安全云系统提升识别库数量级,补充本地识别库,并加快防火墙对威胁的识别速度;(提供功能界面截图); 14. 支持面板下的异常、威胁、重点关注监控、接口信息、系统信息、内容日志、威胁日志、URl过滤日志、邮件过滤日志、并发连接数; 15. 支持实现HTTP、FTP、POP3、SMTP、IMAP、SMB六种应用协议的双向内容过滤,支持预定义敏感信息库及自定义敏感信息库两种方式进行敏感信息定义,支持阻断及日志两种处理动作; 16. ★漏洞防护特征库要求包含高危漏洞攻击特征,至少包括“永恒之蓝”、“震网三代”、“暗云3”、“Struts”、“Struts2”、“Xshell后门代码”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息; 17. 支持自定义漏洞签名。可标识自定义漏洞的CVE编号或CNNVD编号。支持自定义基于TCP、UDP、HTTP协议的漏洞,并根据各协议的报文结构,指定一个或多个字段的特征值,这些特征值可以被以文本的形式或正则表达式的形式进行匹配,同时支持是否按顺序对这些特征值进行匹配检测。支持自定义漏洞的源端口范围及目的端口范围; 18. ★支持与防病毒系统或终端安全管理系统进行联动,增强防火墙对应用特征及木马特征的识别(提供功能界面截图); 19. 支持双系统备份,且在系统切换中可实现配置的自动迁移; 20. ★支持基于受害主机的一键式阻断链接、记录日志等处置动作,处置周期至少包括1天、7天、30天、90天、永久等; 21. ★支持在单条策略中启用病毒防护、入侵防御、网址过滤、文件过滤、文件内容过滤等安全功能选项(要求提供功能界面截图); 22. 基于源目地址、源目端口、协议、域名、URL多维度的一键式快速运维处置; 23. 日志支持模糊搜索和按精确策略条件搜索,协助定位异常行为,并通过带条件跳转实现指定行为在分析中心中的关联活动展示,确认异常行为是否具有威胁; 24. 支持基于网络活动,威胁活动、阻止活动等多维关联统计及分析,发现异常行为; 25.★产品资质要求,提供以下资质证书复印件: 1)具有中国信息安全测评中心颁发的《信息技术产品安全测评证书(EAL4+)》; |
| 4 | 运维安全管理与审计系统 | 网神C6100-H-TF10或同等次其他品牌型号 | 1 | 台 | 1. ★配置≥ 6个10/100/1000BASE自适应电口,≥2个扩展插槽,交流电源,≥4T硬盘存储空间,支持液晶屏; 2. ★支持150路图形会话或400路字符会话并发;配置100个被管资源数授权许可; 3. 支持用户多次登录失败将自动锁定账户或IP,可配置解锁时长、到期自动解锁,也可以手动解锁; 4. 支持资源申请,运维场景中,对特定的资源发出工单请求,管理员审批后,可以在指定时间段内运维操作该资源; 5. 支持基于消息等级、消息类型设置是否告警和告警方式; 6. 支持云主机资源批量添加,包括阿里云、百度云、华为云、腾讯云和Ucloud云平台的资源; 7. 支持通过Web页面访问目标支持,包括SSH、RDP、TELNET、VNC和应用发布资源; 8. 支持SSH客户端、FTP客户端、SFTP客户端访问目标资源;支持直接在FTP、SFTP客户端进行编码切换,支持big5、GB18030和utf8编码切换; 9. 支持将运维资源列表导出成xshell和SecureCRT格式的配置,通过客户端快速访问资源; 10. ★运维过程中支持会话协同,可邀请其他用户参与、协助操作(要求提供功能界面截图); 11. 支持不同的用户设置不同多因子方式认证,包括手机短信和手机令牌; 12. 支持用户帐号和目标设备的部门分权,不同的用户和设备可以归属于不同的部门(子部门); 13. ★支持用户的批量修改,包括重置密码、移动部门、更改角色、修改多因子配置、修改有效期、修改IP限制、修改MAC限制; 14. 支持SSH、RDP、TELNET、VNC、FTP、SFTP协议主机,支持发布MySQL、SQL Server、Oracle、IE、Firefox、Chrome、VNC Client、SecBrowser、VSphere Client类型的应用; 15. 支持资源按标签管理,每个用户可以给每个资源打多个标签; 16. ★内置常用的系统类型,包括Linux、Windows、H3C、Huawei、Cisco(要求提供功能界面截图); 17. 支持查看改密日志,了解改密账户总数、改密成功数量、改密失败数量和未修改数量; 18. 访问控制策略支持基于用户、用户组、资源账户、账户组、有效期、文件管理控制、文件传输控制(上传、下载)、RDP剪切板控制、时间限制、IP限制进行设置; 19. 支持传统的putty、SecureCRT、MAC Terminal等工具,支持双人授权和多因子认证,运维资源可分页显示,并且可以根据名称、IP、标签等多种条件进行查找; 20. 支持RDP、VNC图形操作过程中键盘输入操作记录和鼠标点击行为记录; 21. 在线回放过程支持播放速度调整、拖动、暂停、停止、重新播放等播放控制操作; 22. ★支持工单权限申请,支持文件管理权限、RDP剪切板权限、上传、下载权限的申请(要求提供功能界面截图); 23. 系统内置多种系统报表和运维报表模板,支持按日、周、月为周期,自动生成报表; 24. ★支持系统负载、内存信息、网卡信息、磁盘使用信息、路由表信息等运行状态信息的采集(要求提供功能界面截图); 25. ★产品资质要求,提供以下产品资质证书复印件: 1)具有中国信息安全认证中心颁发的《IT产品信息安全认证证书》; |
| 5 | 数据库审计系统 | 网神K6000-H-TF10或同等次其他品牌型号 | 1 | 台 | 1. ★系统支持事件处理≥12000条/秒,硬盘总容量≥4TB。标准1U机架式设备,交流电源;配置≥6个千兆电口,≥4个千兆光口(含2个千兆多模光模块),1个Console口; 2. ★支持液晶显示屏,提供CPU、内存、磁盘、管理IP等实时展现 3. ★支持MS SQL Server、Oracle、DB2、Sybase、MySQL、Informix、达梦、Postgresql等在内的多种数据库审计(要求提供功能界面截图); 4. 支持Telnet、pop3、smtp、nfs协议审计,针对FTP协议,txt文件传输支持其内容进行的审计; 5. ★支持对MySQL、Oracle、sqlserver、mongodb、redis数据库的状态监控,主动发现数据库潜在风险(要求提供功能界面截图); 6. 支持数据库语句执行时间、语句执行回应、最大操作语句长度等作为分项响应条件; 7. ★支持B/S、C/S应用系统三层架构http应用审计,可提取包括应用系统的应用层帐号、数据库帐号、操作系统用户名、客户端主机名、客户端IP、客户端MAC等身份信息,精确定位到人,并可获取XML返回结果(要求提供功能界面截图); 8. 在无需重启被审计数据库的情况下,支持对MS SQLSserver 加密协议的审计,可正常审计到数据库账号、操作系统用户名、操作系统主机名等身份信息; 9. 系统支持分布式部署方式,并支持数据库审计集中管理功能,可快速查看所有审计系统的状态、风险状态等,方便区域性管理及防护策略的落实; 10. 支持审计HTTP/HTTPS协议的URL、访问模式、cookie、页面内容、Post内容; 11. 系统支持发现未知仿冒进程工具、防范非法IP地址、防范暴力破解登录用户密码(能够对连续失败登陆进行自动锁定,锁定时间可设置)、设置系统黑白名单等安全功能; 12. 支持对当前监控服务器访问情况进行图形化展示分析,并生成报表;对客户端使用的程序、客户端IP、用户名进行图形化排名展示,并生成报表;支持Word、PDF、xls格式报表导出性; 13. 提供管理员权限设置和分权管理,提供三权分立功能,系统可以对使用人员的操作进行审计记录,可以由审计员进行查询,具有自身审计功能; 14. 数据库审计支持Cache数据库集成工具terminal、portal、studio、Sqlmanager、MedTrak工具的审计,其中Portal能审计到sql语句、查询Global、返回结果,Terminal能审计到M语句和返回结果; 15. 数据库审计,支持COM、COM+、DCOM等中间件; 16. 支持管理员权限设置和分权管理,提供三权分立功能,系统可以对使用人员的操作进行审计记录,可以由审计员进行查询,具有自身安全审计功能; 17. 系统具备能发现未知仿冒进程工具、防范非法IP地址、防范暴力破解登录用户密码、设置系统黑白名单等安全功能; 18. ★产品可集成等级保护报表,确保能通过公安部信息安全等级保护的评测;(要求提供功能界面截图) 19. ★翻译功能:实现对SQL语句转换成中文自然语言的描述功能,便于非技术人员理解报警内容;(要求提供功能界面截图) 20. 系统支持管理界面告警、Syslog和SNMP trap告警、邮件和短信告警; 21. 支持超长操作语句审计,针对传统型数据库,支持3万字节审计而不截断; 22. ★产品资质要求,提供以下资质证书复印件: 1)具有中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》; |
| 6 | 日志收集与分析系统 | 网神R2000-T1624或同等次其他品牌型号 | 1 | 台 | 1.★ 标准1U机架式设备,配置≥6个10/100/1000M Base-T自适应电口,≥2个扩展槽,带1个Console口,≥4TB磁盘存储空间,交流电源;包括100个日志审计节点许可。 2.★ 事件采集≥10000EPS,事件关联分析≥3000EPS,事件入库性能≥5000EPS; 3. 能够对IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计; 4. 界面采用B/S模式,无需安装客户端,使用IE浏览器访问管理中心,浏览器端无需安装Java运行环境; 5. ★支持对各类网络设备、安全设备、工作站、存储设备、机房设备、其他设备、中间件、数据库、防病毒系统、服务器系统的日志、事件、告警等安全信息进行全面的审计(要求提供功能界面截图); 6. 支持通过syslog、snmp trap、netflow、netscreem、jdbc、odbc、opensec lea、agent代理、wmi等多种方式完成各种日志的收集功能; 7. 支持对资产日志进行过滤,设置允许接收和拒绝接收日志,并可以对资产设置一定时间范围内未收到事件后进行主动告警; 8. 系统提供实时的日志滚动显示和查询,可查看实时日志详细信息,支持鼠标放在日志对应字段上界面可悬浮提示资产信息和常用端口信; 9. 支持对于关联事件进行追溯,查看导致该关联事件的所有原始事件; 10. ★系统具备事件挖掘能力可通过事件调查工具可以对某条感兴趣的日志中的源IP地址、目的IP地址、或者目的端口进行相关性日志检索(要求提供功能界面截图); 11. 能够在世界地图上实时定位事件源/目的IP地址的地理位置(包括二维及三维显示方式); 12. 系统能够将数千条事件记录及其这些事件之间的关联关系变成一幅事件图,形象地展现出一段时间内的用户访问行为; 13. ★系统应提供从总体上把握日志告警和日志统计分析的实时综合性监控界面。界面由多个监控组件组成,用户可以自定义监控主页(要求提供功能界面截图); 14. 采用基于角色的权限管理机制,通过角色定义支持多用户访问。支持禁止与允许用户访问日志审计系统的IP地址限制。支持三权分立; 15. ★支持用户名密码认证方式,认证时需要提供验证码。支持动态口令认证(要求提供功能界面截图); 16. 支持各种配置项的一键备份和恢复;当磁盘空间日志存储量达到一定百分比时可设定为删除磁盘中的历史日志或接收的日志不再入库,并进行告警; 17. 提供丰富的报表管理功能,预定义了针对各类服务器、网络设备、防火墙、入侵检测系统、防病毒系统、终端安全管理系统、数据库、策略变更、流量,设备事件趋势以及总体报表,满足等保等其他合规性要求;根据时间、数据类型等生成报表,提供打印、导出以及邮件送达等服务;直观地为管理员提供决策和分析的数据基础,帮助管理员掌握网络及业务系统的状况。报表可以保存为html,excel,文本,pdf等多种格式。 18. ★提供自定义报表,用户可根据自身需要进行定制。报表可根据设置自动运行,调度生成日报、周报和月报; 19. ★产品资质要求,提供以下资质证书复印件: 1)具有中国信息安全测评中心颁发的《信息技术产品安全测评证书(EAL3+)》; |
| 7 | 威胁感知与分析系统 | 网神TSS10000或同等次其他品牌型号 | 1 | 套 | 1. ★分析平台1台:标准2U机架式设备,配置≥4个千兆电口,内存≥128G,至少配置960G SSD + 8*4TB SATA 存储硬盘,≥2个USB3.0接口,冗余交流电源;提供三年的软硬件质保,含三年威胁情报更新授权;流量探针1台:标准2U机架式设备,配置≥6个千兆电口,配置2口万兆光口板卡(含2个万兆多模光模块),硬盘存储≥1TB,≥2个USB3.0接口,交流电源,含系统软件一套,含三年维保服务;系统采集吞吐量≥1Gbps,并发会话数≥100万/s; 2. 能够定期接收云端提供的威胁情报,威胁情报可支持在线和离线升级两种方式; 3. 支持常见协议识别并还原网络流量,用于取证分析、威胁发现,支持:http、dns、smtp、pop3、imap、webmail、DB2、Oracle、MySQL、sql server、Sybase、SMB、FTP、SNMP、telnet、nfs等; 4. 支持对流量中出现文件传输行为进行发现和还原,并记录文件MD5发送至分析设备,如可执行文件(EXE、DLL、OCX、SYS、COM、apk等)、压缩格式文件(RAR、ZIP、GZ、7Z等)、文档类型文件(word、excel、pdf、rtf、ppt等); 5. 支持常见数据库协议的识别或还原:DB2、Oracle、SQL Server、Sybase、MySQL、MongoDB、PostgreSQL等协议; 6. ★威胁检测告警能够直接体现攻击结果即企图、成功、失陷等,同时支持威胁情报实时匹配检测和自定义威胁情报;(提供产品功能截图) 7. 网络攻击支持的协议类型达到100种以上,网络攻击引擎支持多种DDoS检测:SYN FLOOD、NTP放大、DNS放大、CC拒绝服务攻击、Udpflood、http flood、Pingflood、Dnsreqflood、Dnsreplyflood、ACK_FLOOD、PSH_ACK_FLOOD、ACK_FIN_FLOOD等; 8. 具备WEB攻击检测技术,检测类型包含SQL注入、跨站脚本攻击、文件写入、文件下载、文件上传、文件读取、文件包含、弱口令、权限许可和访问控制、配置不当/错误、目录遍历、默认配置不当、命令执行、敏感信息/重要文件泄露、逻辑/设计错误、跨站请求伪造、后门程序、非法授权访问/权限绕过、代码执行、URL跳转、系统/服务配置不当等等,告警事件能标记主机攻陷状态是否失陷; 9. 支持语义分析检测,提升未知威胁检测能力; 10. ★支持基于威胁情报的威胁检测,检测类型包含APT事件、僵尸网络、勒索软件、流氓推广、窃密木马、网络蠕虫、远控木马、黑市工具、其他恶意软件,并可自定义威胁情报(提供截图) 11. ★支持与云端威胁情报中心联动,可对攻击IP、C&C域名和恶意样本MD5进行一键搜索,查看基本信息、相关样本、关联URL、可视化分析、域名解析、注册信息、关联域名、数字证书等(提供截图) 12. ★可以和终端安全管理系统联动,实现恶意文件的查杀、被感染主机的网络隔离;(提供产品功能截图) 13. 支持对告警从多维度进行分析展示,维度包含:威胁情报、WEB攻击、邮件攻击、恶意软件、天擎、沙箱、攻击链(侦察、入侵、命令控制、横向渗透、数据外泄、痕迹清理); 14. 能够对告警进行深层次分析,分析内容包含:基本信息、主机详情、威胁情报详情、投递的恶意样本、在主机上运行的恶意样本、外联C&C服务器域名、C&C服务器会话记录、C&C服务器传送文件、受到的攻击等; 15. ★支持对基于攻击成功与否的判定功能,能够精准识别攻击结果是企图、成功还是失陷;(提供产品功能截图) 16. 可基于机器学习和行为模型进行未知威胁和异常行为的检测,可检测异常行为包含:业务资产主动外连、HTTP代理、SOCKS代理、异常DNS服务器、DNS Tunnel、reGeorg Tunnel、DGA域名、异地账号登录、暴力破解、明文密码泄露、弱口令监测、敏感关键词邮件、敏感后缀邮件; 17. ★DGA域名发现,通过结合机器学习技术发现动态恶意域名,检测行为特征包含包含请求域名以及检测的准确率;(提供产品功能截图) 18. 支持暴力破解,检测行为特征包含:登录IP归属、使用协议、爆破次数、爆破成功与否;支持明文密码泄露检测和弱口令监测; 19. 威胁事件的追踪溯源分析能力,可基于事件告警进行调查分析,对攻击过程进行可视化展现,可展示命中威胁情报的内部主机之间的连接行为,能输出完整的基于时间序列和攻击链的事件报告,事件报告支持word格式导出; 20. 支持展示网络风险指数、攻击三维地图展示、告警统计、受害主机统计、威胁检测统计、APT事件统计、攻击回溯、异常行为TOP5统计、攻击源国家TOP5统计、网络流量展示等内容; 21. ★配套提供威胁情报精准告警分析,包含每年12次远程分析; 22. 具备公安部APT类监测产品销售许可证; |
| 8 | 漏洞扫描系统 | 网神S1500-W010P或同等次其他品牌型号 | 1 | 台 | 1. ★Web扫描域名无限制,Web扫描任务并发数不低于5个域名。系统扫描IP地址无限制,支持扫描A类、B类、C类地址,系统扫描支持不低于50个IP地址并行扫描; 2. ★标准1U机设备,配置≥6个10/100/1000M自适应电口,2个扩展插槽, 不底于1TB硬盘,2个USB口,1个Console口,交流电源; 3. ★分布式部署方式下支持自定义管理中心端口号、策略端口号、远端扫描引擎名称等信息(要求提供功能界面截图); 4. 支持对资产扫描的同时支持漏洞风险分布、检测进度、主机漏洞排名等漏洞数据信息进行查看; 5. 具备操作系统、数据库、网络设备等主流系统的漏洞库列表; 6. 支持对主流的数据库软件的漏洞检查,支持Oracle、MySQL、SQL server、DB2等数据库的安全漏洞检查; 7. ★支持主流虚拟机管理系统的漏洞检查,支持Vmware ESX\Vmware ESXi等相关漏洞(要求提供功能界面截图); 8. 支持DNS服务的安全漏洞检查,包括DNS缓存中毒、DNS拒绝服务漏洞、签名欺骗等至少100种以上的相关漏洞库; 9. 支持三种以上扫描类型,深度扫描、普通扫描、快速扫描等; 10. 支持后门检测的安全漏洞检查,包括对Microsoft IIS特洛伊木马检测、Mac OS X恶意程序等常见后门漏洞的安全检测; 11. 产品应具备专用的口令破解字典,包括密码字典、用户名字典、组合字典等多种口令破解字典; 12. 应支持公有云自动特征库升级服务; 13. ★支持专用的Web漏洞库,具备SQL注入、跨站脚本、信息泄露等常见Web漏洞的漏洞库列表(要求提供功能界面截图); 14. 支持操作系统的配置核查,能够对主流操作系统进行安全配置进行检查,支持windows、linux、unix等主流操作系统; 15. 支持网络设备的配置核查,能够对主流网络设备进行安全配置进行检查,支持Cisco、华为、Juniper、F5等主流网络设备; 16. 产品应具备安全设备的配置核查,能够对主流安全设备进行安全配置进行检查,支持Cisco、华为、赛门铁克、Juniper、McAfee等主流安全设备; 17. ★产品应提供漏洞验证工具,支持通用验证方式,提供GET、Post、Put、Delete等多种验证方式(要求提供功能界面截图); 18. 支持ping、tcpdump、ifconfig、url测试等网络工具; 19. ★支持后门检测的安全漏洞检查,包括对Microsoft IIS特洛伊木马检测、Mac OS X恶意程序等常见后门漏洞的安全检测,并提供至少100中以上的相关漏洞库(要求提供功能界面截图); 20. ★支持对Web网站漏洞扫描的同时,查看网站漏洞情况和Web目录结构,数据进行实时同步呈现(要求提供功能界面截图); 21. 支持以漏洞为中心为查询对象,查询存在漏洞的相关资产,并可以查询深入的详细漏洞明细; 22. ★产品资质要求,提供以下资质证书复印件: 1)具有中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》; |
| 9 | 安全隔离与信息交换系统 | 网神G1500-TY20或同等次其他品牌型号 | 1. ★系统内部采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块;标配文件交换模块、数据库访问模块、FTP访问模块、邮件访问模块、安全浏览模块、TCP/UDP定制模块、SSL通道模块; 2. ★系统吞吐量≥450Mbps, 2U设备,交流电源,具有液晶显示屏;内网:≥6个10/100/1000Base-T自适应电口,≥2个千兆SFP插槽,1个Console口,2个USB口; 外网:≥6个10/100/1000Base-T自适应电口,≥2个千兆SFP插槽,1个Console口,2个USB口; 3. 支持透明模式、代理模式及混合模式部署; 4. ★设备面板内、外网机分别具有液晶显示屏,能够显示产品品牌、型号、CPU/内存占用率、网络接口状态等信息; 5. 内、外网分别具有独立的管理接口,而不是通过网络接口管理,也不是通过内网一个管理接口完成全部管理; 6. 提供基于https的图形化安全管理,支持用户名/口令、数字证书、U-KEY等多种认证管理方式; 7. 管理员及审计员区分并独立,支持分权管理,对管理员角色定制,可以添加多个管理员角色,并定制权限; 8. ★支持带内管理,可通过业务口进行网闸管理工作;用户可自行选择是否启用带内管理功能(提供功能界面截图); 9. ★配置SSL通道模块:可支持SSL隧道访问模式,针对FTP访问模块、数据库访问模块、邮件访问、定制模块等模块,通过网闸实现访问客户端认证、授权及访问链路加密,保证客户端访问合法性及访问链路的安全性; 10. 支持Oracle、SQL Server等多种主流数据库同步,支持神通、达梦、人大进仓、南大通用等国产数据库同步;支持客户端、无客户端多种部署方式实现数据库同步; 11. 文件同步支持传送优先级,可根据文件大小、后缀名等多种方式进行优先级排序传输; 12. 支持缓时设置,可根据文件大小设定缓时时间,保证文件传输稳定性和成功率; 13. ★提供内嵌模式数据库同步功能,同步由网闸主动发起并完成,不需要第三方软件支持(提供功能界面截图); 14. ★支持多种同步模式: 完全一致、完全复制、首次复制+新增、源端移动、源端删除等多种模式;(提供证明截图) 15. 设备支持双机热备及多机热备,支持设备优先级设置和自动抢占功能。支持ping、connect主动链路探测技术,发现异常实现主备切换; 16. 支持双机配置同步功能,可将主闸配置主动同步到备闸,方便配置管理; 17. 提供调制工具,其中包括:trace、connect、tcpdump、ping、arp等; 18. ★支持TCP定制服务;支持源地址绑定、网络接口地址绑定功能;(提供功能截图) 19. 文件交换模块支持病毒检测功能,支持通过文件大小控制病毒查杀; 20. 邮件模块支持病毒检测功能;支持通过文件大小控制病毒查杀;支持超长邮件限定是否接受; 21. FTP访问模块支持病毒检测功能,支持通过文件大小控制病毒查杀; 22. 安全浏览模块支持病毒检测功能,支持通过内容长度控制病毒查杀;支持图片文件、媒体文件等文件类型病毒检查;可设定病毒扫描内容最大长度; 23. ★支持双引擎病毒查杀模块,可根据用户需求选择需要的病毒引擎(提供功能界面截图); 24. 支持状态日志审计功能,能够对CPU、内存、设备信息、许可证信息、运行时间、交换卡状态、网络接口状态、功能模块运行状态进行审计,并支持设置审计记录间隔时间; 25. 支持集中监管平台,支持多台网闸进行统一监控,记录每台设备的系统资源运行情况; 26. ★产品资质要求,提供以下资质证书复印件: 1)具有中国信息安全测评中心颁发的《信息技术产品安全测评证书(EAL3+)》; | ||
| 10 | 上网行为管理与审计系统 | 网神NBM3240或同等次其他品牌型号 | 1.★ 配置≥6个10/100/1000 Base-T自适应电口,交流电源,至少1个接口扩展插槽,内置Bypass功能模块;含三年硬件质保及软件升级服务; 2.★ 适用带宽≥150Mbps,支持用户数≥1000人,并发会话数≥70万,每秒新建连接数≥24,000/秒; 3. 支持GRE、L2TP、WLTP、CAACWS、LWAPP、CAPWAP协议下的网络环境;系统管理,支持Web方式、命令行方式、集中管理模式; 4. 支持管理员账号初始密码检测,如果发现管理员未更改初始密码,能够进行提醒; 5. 可识别用户上网设备类型并作为策略条件。可将IP、IP段、VLAN作为策略条件; 6. 日志中心支持采用企业级Oracle数据库,访问、日志中心数据必须采用https加密方式访问,避免传输过程被窃取; 7. 设备具备三权分立功能,减少超管权限,帮助超管免责:超管无论如何配置都无权看审计日志,审计员必须经过超管授权,审核员确认才能看日志,审核员仅能审核审计员权限是否合法,不能看日志; 8. 可以基于IP、MAC、终端类型等多因素进行用户认证、识别; 9. 可以为用户添加多属性,并根据用户的属性(如职位、部门、电话、邮件等)自动进行用户分类,根据分类的结果做审计、控制策略; 10. 支持对QQ账号制定策略,对聊天、登录及文件传输的行为进行记录与控制; 11. 可以对P2P,网络视频,游戏,炒股,期货,即时通讯,移动应用有独立的分类进行识别控制,协议库数量不低于3000种,移动终端应用协议库数量不低于800种; 12. ★设备必须提供物理硬件bypass按钮,便于设备巡检、设备故障时管理员无需重启、关机、断电即可恢复网络通畅;支持远程登录在界面实现bypass,并可进行切换; 13. 支持厂商工程师在线的远程协助和故障排查,设备界面提供远程协助开关; 14. ★支持与终端安全管理系统或终端杀毒软件联动,为终端安全管理系统配置推送部署策略,并能够通过终端安全管理系统获取到PC系统信息、漏洞情况,并支持对这些信息进行准入策略设置(提供功能界面截图); 15. 支持利用微信公众号进行网络接入的身份准入认证; 16. Webmail基于发件人、收件人、主题、内容、附件名、附件大小维度进行记录、告警;支持根据邮件主题、正文关键字进行阻塞并进行告警; 17. ★可审计Oracle, MySql, SqlServer, PostgreSQL等数据库的访问与操作,包括添加、删除、修改、查询等(提供功能界面截图); 18. 可以限制P2P、视频等大流量应用的最大带宽上限,减少带宽的浪费;可以设定OA、邮件、视频会议的基本带宽保障,保障关键应用必要的带宽资源; 19. ★提供对微信PC版进行行为和内容审计、记录发送/接受信息的微信账号(提供功能界面截图); 20. URL库大小要求≥3600万条URL数据,≥150种网页分类; 21. 所有日志可以按照用户,IP地址,匹配策略,访问控制,时间等各个列排序,可生成网页访问、论坛发帖,webmail、邮件收发、应用访问、应用流量等各种统计报表; 22. 支持key免审计、key免管控、key免认证三者的灵活组合; 23. 可识别私接主机个数,并可制定策略以私接主机个数为阀值进行封堵。同时可建立白名单,可生成日志。 24. 可识别用户上网设备类型,“工具”对象,并可作为策略条件。可将IP段作为 “地点”对象,并可作为策略条件; 25. ★支持与威胁情报大数据平台对接,能够快速识别、封堵失陷主机、记录日志(提供功能界面截图); 26. ★支持与云端杀毒平台联动,对网络中传输的文件进行特征比对,以便减少对本地计算资源的消耗(提供功能界面截图); 27. ★产品资质要求,须提供以下证书复印件: 1)具有中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》; | ||
| 11 | 万兆光口汇聚交换机 | 华为 S6720S-26Q-EI-24S或同等次其他品牌型号 | 2 | 台 | 1、▲1U标准机架式路由交换机;8个千兆以太网电口+24个SFP+万兆光口+2个40G QSFP+光口,主机内置AC+48V DC;满配光模块; 2、▲交换容量12Tbps;包转发率480Mpps; 3、▲支持BDF(静态路由、RIP、BGP、VRRP)等功能,设备支持快速收敛,收敛时间不得大于50ms,供货时提供第三方权威机构的检测测试报告结论部分复印件; 4、支持ULDP技术,供货时提供设备制造厂商官网链接及截图复印件; 5、▲支持CFM-OAM功能,供货时提供第三方权威机构的检测测试报告结论部分复印件; 6、支持IPv4vlanACL,IPv4 ACL安全策略可直接绑定vlan,可对该vlan的ipv4数据进行过滤,达到节能ACL资源的目的; 7、支持生成树快速收敛,在网络拓扑发生变化时,设备能进行快速收敛,且收敛时间不高于65ms; 8、支持虚拟化; 9、▲支持标准802.1X认证接入、扩展802.1X认证接入、纯WebPortal认证接入,供货时提供第三方权威机构的检测测试报告结论部分复印件; 10、支持优雅重启功能,可以实现协议层的不间断数据转发,有效避免协议震荡,可保障业务转发的连续性不受影响,供货时提供第三方权威机构的检测测试报告结论部分复印件; 11、支持CPU镜像功能与多Session镜像功能;单台设备可同时支持多个镜像会话,且能同时工作; 12、支持划分独立的MSTP进程,分层计算提高性能,新增接入环通过新创建一个MSTP进程实现,不影响原有业务流量,减少网络震荡; 13、支持N:1 VLAN Translation,可以将接入端口报文的N个VLAN Tag转为指定的一个VLAN Tag; 14、▲支持标准的IGMP Query、IGMP v1\v2、IGMP v2 snooping、IGMP v3、IGMP v3 snooping、PIM、PIM6,支持Fast leave v2\v3;支持组播VLAN技术,支持DCSCM受控组播功能,全面支持信源受控、点播目的受控,以及策略组播,供货时提供设备制造厂商官网链接及截图复印件; 15、支持RIP、OSPF、BGP IPv4单播路由协议,以及RIPng、OSPFv3、BGP4+ IPv6单播路由协议; 16、支持802.1d/w/s 生成树协议,支持GVRP,802.1q,802.1p,LACP/802.3ad,802.3x,DHCP Server/Client/BOOTP/Relay,NTP等; 17、可根据环境温度实时监控,调节风扇转速或者控制风扇停止; 18、支持多vlan子网流量工程EMVTE,可实现非环网条件下快速收敛; 19、提供三年原厂质保。 |
| 12 | 运维接入交换机 | 华为 S5720S-28X-LI-AC或同等次其他品牌型号 | 1、24个10/100/1000M电口+ 4个SFP万兆端口;满配光模块; 2、▲交换容量3.6Tbps;包转发率130Mbps; 3、▲支持端口LED Shut-off功能; 4、▲支持断电告警Dying GASP功能,设备在系统电源丢失后触发SNMP告警信息通报给远端的网管平台(供货时提供第三方权威测试报告); 5、IPv4/IPv6路由表:分别可达128(IPv4和IPv6共享); 6、支持802.3az EEE节能标准; 7、支持基于vlan的mac数量限制; 8、支持三层交换机噪音等级符合国标GB3096-2008《声环境质量标准》中0类噪音标准(供货时提供第三方权威测试报告); 9、DHCP特性:支持v4/v6 Relay、v4/v6 Server; 10、业务端口必须支持6KV防雷技术(供货时提供第三方权威测试报告); 11、IP路由表:128; 12、支持IPV6的静态路由和RIP; 13、支持实现SDN OpenFlow,可提供用户组建开放式网络(供货时提供制造厂商具备国家权威机构认证资质的SDN证明文件); 14支持ND snooping; 15、支持受控组播及组播VLAN;支持全局组播与独立组播; 16、支持支持ARP自动防御特性,包括ARP放扫描、网关防护、AM访问管理等(供货时提供第三方权威测试报告); 17、支持dot1x/gvrp/stp/usr-defined-protoco; 18、▲mstp instence数目≥48、端口最大聚合组数≥128; 19、支持的镜像特性:一对一,多对一,出方向、入方向和both、支持基于流的和基于CPU的镜像、支持4个session镜像、支持RSPAN、支持ERSPAN; 20、支持smart link/monitor link(EMVTE—ULPP+ULSM)冗余; 21、支持端口环路检测、PPPOE、非dot1x web portal; 22、▲支持增强型远程镜像功能,可跨越交换机进行镜像,可实现远程设备的管理(供货时提供第三方权威测试报告); 23、▲设备原厂三年质保。 | ||
| 13 | 终端安全管理系统 | 360天擎终端安全管理系统-PC端、360天擎终端安全管理系统-windows服务器端或同等次其他品牌型号 | 1 | 套 | 1. ★控制中心:采用B/S架构管理端,具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、以及各种报表和查询等功能。配置50个Windows客户端授权,20个Windows服务器授权(提供病毒防护+补丁管理功能模块)。 2. ★Windows客户端支持安装Windows XP_SP3及以上/Windows Vista/Windows 7/Windows 8/Windows 10;服务器客户端支持安装:Windows Server 2003_SP2/Windows Server 2008/Windows Server 2012/中标麒麟/Deepin/SUSE Linux/Red Hat Linux。 3. 支持网页访问部署、离线安装包部署、域推送等部署方式,可自定义部署通知邮件及部署通知公告。 4. 支持内存实时监控查毒,能够自动隔离感染而暂时无法修复的文件; 5. ★支持linux、国产操作系统杀毒、云桌面(至少两家)产品(要求提供功能界面截图)。 6. 支持私有云查杀,预置至少2亿黑名单及2000万全面的白名单,终端威胁统一到控制中心查询黑白并进行查杀; 7. 支持自定义补丁排除名单,防止终端打补丁后造成系统或业务进程崩溃。 8. ★对敲诈者病毒提供防护机制,同时提供解密工具,解密工具应为自主研发;(要求提供功能界面截图)。 9. 能够对网页提供安全防护,发现网页中的危险行为实时阻断;能够对网页挂马进行拦截,能够自动拦截网页中的钓鱼、欺诈信息。 10. 要求产品具备3项以上的主动防御技术; 11. 要求支持文件解压缩病毒查杀,支持对zip、rar、7z等多种格式的压缩文件查杀能力; 12. 要求产品具有定时修复漏洞功能,同时可以设置筛选高危漏洞、软件更新、功能性补丁等修复类型。 13. ★要求产品生产公司具备热补丁修复功能(至少需要8个以上为用户提供Windows漏洞修复的热补丁列表)。 14. ★产品具备漏洞集中修复,强制修复,自动修复,蓝屏修复功能(要求提供功能界面截图)。 15. ★支持与防火墙、上网行为管理系统联动,达到网关边界联动防御效果(要求提供功能界面截图)。 16. 支持邮件报警,可以设定多种触发条件,满足条件后自动发送邮件到相关人。邮件触发条件至少包括:一定时间内的病毒数量阈值、一定时间内的未知文件数量阈值、重点关注的终端发现病毒、病毒库超期等。 17. 展示指定时间段内指定终端修复漏洞,病毒查杀,木马查杀的情况。 18. ★产品资质要求,提供以下资质证书复印件: 1)具有中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书 EAL2》; |
| 14 | 防火墙规则库升级 | 网神NSG3000-TE45规则库升级 | 3 | 年 | 续保原有防火墙的应用识别库、URL分类特征库、病毒防护特征库、入侵防御特征库、威胁情报升级服务 |
| 15 | 信息系统安全等级保护测评咨询服务 | 咨询服务 | 1 | 项 | 1、▲指导配合招标人完成等级备案; 2、▲指导配合招标人完成测评材料、管理制度的制定和归档; 3、▲指导配合招标人完成等级保护测评工作; |
| 16 | 信息系统安全等级保护测评服务 | 广西网信信息安全等级保护测评有限公司 | 1 | 项 | ▲基本要求: 1、依据《信息安全等级保护管理办法》(公通字[2007]43号)和《信息安全等级保护定级指南》(GB/T 22240-2008)(安全保护等级拟定为3级)开展信息系统定级和备案工作,协助采购单位编写和提交符合公安管理部门规范要求的定级报告和备案表以获得公安机关颁发的信息系统安全等级备案证明。 2、依据《信息系统安全等级保护基本要求》(GB/T 22239-2008)对系统(安全保护等级拟定为3级)开展安全等级测评工作,在项目终验前完成正式等级测评并出具符合国家信息安全等级保护管理部门规范要求、公安机关认可的信息系统安全等级测评报告。 3、协助采购单位建立和完善信息安全管理制度,初步建立信息安全管理体系。 4、信息系统的安全等级测评内容应包括技术和管理两大类,其中技术类应包括对物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等方面的测评,管理类测评应包括对机构安全管理机构、人员安全管理、安全管理制度、系统建设管理和系统运维管理等方面的测评,并提出安全建设整改建议。 5、在等级保护测评过程中,应采用访谈、检查、测试、工具扫描等国际国内认可的先进方法和手段进行,并与国家相关规范及标准的要求相符。测评中必须采用专业的国内安全扫描设备及软件产品辅助测评工作的完成。 6、对信息系统进行安全漏洞检测和挖掘,检测例如缓冲区溢出、SQL注入和跨站脚本等常见安全漏洞,并提供漏洞修补建议及时采取适当的处理措施进行修补,有效阻止安全隐患被利用和发生安全事件。 7、中标人必须签署相关保密协议,严格遵守协议要求。 ▲8、投标时必须提供针对本项目的技术、测评方案。 |
1.本项目预算上控价为人民币1200000圆整(人民币大写壹佰二十万圆整)。
2.▲交货时间:自合同签订之日起60天内完成全部设备、系统安装及调试。
3.交货地点:指定地点;交货方式:现场交货
4.货物验收要求:
4.1▲招标人有权要求投标人在中标前,限定期限内提供与投标型号一致的样机,用于测试相关招标功能要求,如提供实机与标书要求不符的,用户有权解除投标人的中标资格。
4.2▲中标人提供所有货物必须是具备厂家合法渠道的全新正品,合同签订后供货时若招标人对所供产品有疑问的,可要求中标人提供制造商针对本项目投标产品的参数真实性证明、供货证明函,以上材料不全者,视为产品验收不合格,采购单位有权不予验收。
4.3中标人交货前不允许提前开箱、调试;货物备齐后通知招标人对货物进行清点、核实,由招标人、中标人双方派代表当场开箱验货,并按合同条款逐条检验签收后,双方代表签字,否则不予验收。如供货时出现有设备停产的情况,中标人应提供具备与原设备技术参数要求相同或高于原设备技术参数要求的替代产品,并经招标人确认后方可更换。
4.4交货时,所有产品均严格按招标文件上的技术规格要求、中标人响应和承诺的技术参数及性能和国家(设备制造国)等有关标准进行验收,达不到要求的不予验收,视为产品验收不合格,采购单位可解除双方的供货合同。
5.项目实施要求:
5.1本次项目实施工作内容涵盖设备采购、安装、调试、包括各个硬件系统集成实施工作,投标人应制定详细的系统技术方案及实施方案,并在投标文件中提供,要求实施方案满足项目建设要求,达到招标人总体建设目标,项目实施方案必须条理清晰,方案明确,架构先进,保证工程质量的技术措施到位,安装进度计划合理,设备安装调试方案和验收措施合理、完备。
5.2中标人在项目实施前应提供项目实施过程的工作内容和方法、工作日程表等进度计划方案,并在征得招标人的认可和同意后,中标人应立即开始严格按照进度计划方案执行。
5.3▲投标人须提供详细技术实施方案,包括对货物需求表中各子系统的安装设计、联网、系统架构图等内容。
5.4▲投标人在投标文件递交前应派人员进行现场勘查,确定设计安装调试方案,确保有关设备、线路设计合理、运行可靠、维护方便。
5.5▲为保证设备安装质量,本项目购货物需求表中所有设备必须由原厂工程师上门安装调试,并提供原厂工程师工作证件等证明资料,由招标人核实,方可进行安装调试。
5.6中标人应向招标人提供项目实施的具体测试计划、内容和方法,并经与招标人讨论并通过后,方可进行测试。系统测试中如发现硬件设备性能指标或功能上不符合招标文件要求或最终签订的合同时,将被视为性能不合格,招标人有权拒收货物并要求中标人赔偿。
6.质量保障要求:
6.1工程质量要求
6.1.1中标人必须严格按国家、行业和地方现行的质量标准及规范组织施工及验收(以现行最高标准、最新规范为准),并保证工程质量达到上述标准及规范规定的工程质量合格标准。
6.1.2中标人对本项目的质量向招标人负责,其职责包括但不限于:
(1)编制施工技术方案,确定施工技术措施;
(2)提供和组织足够的工程技术人员,检查和控制项目施工质量;
(3)控制施工所用的材料和项目设备,使其符合标准与规范、设计要求及合同约定的标准;
(4)负责竣工验收不合格的整改工作;
(5)参加项目的所有验收工作,包括隐蔽验收、中间验收、竣工验收;
(6)承担质量保修期的项目保修责任;
(7)其他项目质量责任。
6.2为保证采购需求表中带有“★”的技术指标和性能达到招标文件的要求,招标人可以在合同签订后,要求中标人提供相应的设备进行现场演示,以供确认是否达到招标文件中所规定的技术功能要求,未达到技术要求所导致的所有损失由中标人承担。
6.3中标人应当保证其所提供的产品为符合国家知识产权法律法规要求的正规正版产品,不属于假冒伪劣商品;中标人还应保证招标采购单位不受到第三方关于侵犯知识产权以及专利权、商标权或工业设计权等知识产权方面的指控,任何第三方如果提出此方面指控均与招标采购单位无关,中标人应与第三方交涉,并承担可能发生的一切法律责任、费用和后果;若招标采购单位因此而遭致损失的,中标人应赔偿该损失。
7.培训要求:
7.1在系统实施完成后,根据招标人要求,中标人免费提供不同设备或系统相关的业务培训,投标时提供详细的人员培训方案。
7.2免费对招标人的管理人员、应用使用人员进行集中培训,确保参与培训人员,能够理解系统原理、系统功能,熟练掌握系统操作流程、常用功能等应用,能熟练掌握硬件设备的安装、使用,能掌握硬件设备运维技巧。
7.3培训地点、培训时间和期限由本项目招标人根据需要确定。
8.售后服务要求:
8.1▲所有设备提供不少于3年的原厂硬件质保和软件版本升级及病毒库更新升级服务。自验收合格之日起计,整体系统集成项目,质保期内免费上门维修,定期巡检;设备的质保期以厂商售后服务承诺书为准。在保修期间,需提供原厂家保修服务,可通过厂家客户服务电话或官方网站查询。
8.2要求所有提供的投标产品必须为厂家合法生产的正品,其他无特殊要求的产品按国家有关产品“三包”规定售后服务,因产品质量问题发生的相关费用由中标单位承担。
8.3质保期从验收合格之日起,即通过并获得3级等级保护测评认证证书开始计算,质保期内免费上门维修、免费更换硬件。
9.投标报价:
9.1▲本项目为交钥匙工程,投标人必须承诺所投标报价费用为项目总包干价,包括:
9.1.1货物及标准附件、备品备件、专用工具的价格;
9.1.2其他费用(包括但不限于运输、装卸、软件开发、软件部署、调试、培训、技术支持、售后服务、检测、更新升级等费用);
9.1.3必要的保险费用和各项税费;
9.1.4安装费用(包括但不限于各类硬件、软件、系统等的安装、集成、试运行等费用);
9.1.5网络安全3级等级保护备案、测评认证等所需费用。
9.1.6培训费用(包括但不限于场地费、教材、技术认证、考试费用等)。
9.1.7与各类相关系统对接的费用。
9.1.8包括项目整体验收各项费用。
9.1.9投标人报价中须包含整个项目所有需要的设备、外设、线缆所有工程和服务。
9.2投标人应承诺当所购置系统种类、数量发生变化时,保证所提供的技术服务等方面的各种优惠条件不变;硬件设备投标人应承诺该项目以后升级扩容时,将享受优惠条件。同时,投标供应商中标后如果招标人对采购数量有所调整的话,将按投标供应商在投标文件中承诺的单价调整合同总价,投标供应商不得有异议。
9.3投标人对每种货物只允许有一个报价,招标人不接受任何选择的报价。
10.▲付款方式:
项目无预付款,全部货物到达指定地点、安装调试并验收合格,完成并取得3级等级保护测评认证,凭双方签署验收合格证,乙方开具全额增值税发票给甲方,甲方支付合同金额的70%;通过测评,取得等级测评认证并正常运行3个月后,乙方同时完成对甲方的培训任务,甲方支付合同金额的25%;其余5%作为质保金。质保期满后,经招标人验收无质量问题,并办理相关确认手续后10个工作日内,一次性支付完剩余货款(不计利息)。
11.其他要求:
11.1质保期后:中标人应继续提供有偿维修、维护服务,服务内容包括但不局限于硬件设备维保、软件版本及病毒库更新升级等,服务费用不能高于总成交价的5%/年,若只购买单项设备续保的,则单项服务费用不能高于单项设备成交价的5%/年。
11.2按项目进度要求供货到施工现场,包装、卸货、安装并负责调试。免费培训使用人员和维护人员,保证熟练掌握全部功能为止。
11.3免费质保期内,投标人承诺:
11.3.1设备如发生部件损坏,在2个工作日内提供更换;
11.3.2设备出现故障的,须派出原厂技术工程师到达现场处理故障,并承担一切费用,免费质保期外,设备出现故障的,只收材料成本费;
11.3.3免费保修期满前1个月内中标人应负责对设备进行一次免费全面检查、维护,如发现潜在问题,应写出正式报告,并负责排除,保证设备正常运行。
11.4故障响应时间:
11.4.1如采购的货物发生损坏,投标人应在0.5小时内电话服务应答,2小时内现场维护响应,4小时内提供解决方案,6小时内排除并解决故障。特殊情况无法修复的,免费质保期内投标人应无条件更换新设备或提供代用设备或采取使设备可正常运转的其它措施;
11.4.2投标人必须提供7天X24小时通过远程、上门服务、电话、E-mail 等方式为招标人提供完善的售后技术咨询服务;
11.4.3每季度不少于1次定期回访及对设备巡检、系统维护,并出具巡检报告。
11.5免费保修期外,投标人应明确承诺继续优惠提供以下维护服务:
11.5.1对于投标产品的安全问题应及时免费提供补丁;
11.5.2投标人应提交厂家售后服务电话,厂家技术人员联系电话,方便、确保招标人可自行联系咨询技术人员。
11.5.3如不按照售后服务要求提供服务的,中标人应每次向招标人支付违约金壹万元。
四、评标方法及评标标准
1、评标方法
评标方法定义:本项目采取价格竞争性谈判进行评标。
2.评标程序
评标工作由医院招标领导小组负责组织,具体评标事务由招标领导小组依法组建的评标委员会负责。评标以封闭方式进行。
评标委员会成员到位后,推举其中一位评审专家担任评审组长,并由评审组长牵头组织该项目评审工作。评标委员会按以下程序独立履行评审职责:
2.1资格性检查
依据法律法规和招标文件的规定,对投标文件中的资格证明、投标保证金(若有)等进行审查,以确定投标人是否具备投标资格。资格性检查资料表如下:
| 序号 | 检查因素 | 检查内容 | |
| 1 | 投标人应符合的基本资格条件 | (1)具有独立承担民事责任的能力 | 投标人法人营业执照(副本) 投标人法定代表人身份证明和法定代表人授权代表委托书。 |
| (2)具有履行合同所必需的设备和专业技术能力 | 投标人须具有信息系统集成三级或以上资质 | ||
| (3)参加采购活动前三年内,在经营活动中没有重大违法记录及不良信用记录 | 投标人提供书面声明及招标公告发布后任一日信用查询记录 查询渠道:信用中国网站(http://www.creditchina.gov.cn/) 查询记录形式:上述查询渠道查询结果(查询结果网页打印件并加盖投标人公章)。 | ||
| (4)法律、行政法规规定的其他条件 | 符合法律、行政法规规定的其他条件 | ||
依据招标文件的规定,从投标文件的有效性、完整性和对招标文件的响应程度进行审查,以确定是否对招标文件的实质性要求作出响应。符合性检查资料表如下:
| 序号 | 评审因素 | 评审标准 | |
| 1 | 有效性审查 | 投标文件签署 | 投标文件上法定代表人或其授权代表人的签字齐全。 |
| 法定代表人身份证明及授权委托书 | 法定代表人身份证明及授权委托书有效,符合招标文件规定的格式,签字或盖章齐全。 | ||
| 投标方案 | 每个标只能有一个方案投标。 | ||
| 报价唯一 | 只能在采购预算范围内报价,只能有一个有效报价,不得提交选择性报价。 | ||
| 2 | 完整性审查 | 投标文件份数 | 投标文件正、副本数量(含电子文档)符合招标文件要求。 |
| 投标文件内容 | 投标文件内容齐全、无遗漏。 | ||
| 3 | 招标文件的响应程度审查 | 投标文件内容 | 对招标文件第二点规定的招标内容作出响应。 |
| 投标有效期 | 满足招标文件规定。 | ||
对投标文件中含义不明确、同类问题表述不一致或者有明显文字和计算错误的内容,评标委员会可以书面形式(应当由评标委员会成员签字)要求投标人作出必要澄清、说明或者纠正。投标人的澄清、说明或者补正应当采用书面形式,由其法定代表人授权代表签字,其澄清的内容不得超出投标文件的范围或者改变投标文件的实质性内容。
2.4比较与评价。
按招标文件中规定的评标方法和标准,对资格性检查和符合性检查合格的投标文件进行商务和技术评估。
2.5推荐中标候选人名单。
按评审后价格由低到高的排列顺序推荐投标报价最低的为中标候选人。
3.无效投标条款
实质上没有响应招标文件要求的投标将被视为无效投标。投标人不得通过修正或撤消不合要求的偏离或保留从而使其投标成为实质上响应的投标,但经评标委员会认定属于投标人疏忽、笔误所造成的差错,应当允许其在评标结束之前进行修改或者补正(可以是复印件、传真件等,原件必须加盖单位公章)。修改或者补正投标文件必须以书面形式进行,并应在中标结果公告之前查核原件。限期内不补正或经补正后仍不符合招标文件要求的,应认定其投标无效。投标人修改、补正投标文件后,不影响评标委员会对其投标文件所作的评价结果。
3.1在符合性审查和资格性审查时,如发现下列情形之一的,投标文件将被视为无效:
3.1.1不具备按照法律法规规定必须获得行政许可或者行政审批的经营范围。
3.1.2资格证明文件不全的,或者不符合招标文件标明的资格要求的。
3.1.3投标文件无法定代表人签字或其授权委托代理人签字,未按招标文件规定要求签署盖章,或未提供法定代表人授权委托书、投标声明书或者填写实质性要求项目不齐全的。
3.1.4投标代表人未能出具身份证明或与法定代表人授权委托人身份不符的。
3.1.5项目不齐全或者内容虚假的。
3.1.6投标文件的实质性内容未使用中文表述、意思表述不明确、前后矛盾或者使用计量单位不符合招标文件要求的(经评标委员会认定并允许其当场更正的笔误除外)。
3.1.7投标有效期等实质性条款不能满足招标文件要求的。
3.1.8未实质性响应招标文件或不符合法律、法规要求或投标文件有招标方不能接受的附加条件的。
3.2在技术评审时,如发现下列情形之一的,投标文件将被视为无效:
3.2.1未提供或未如实提供投标产品或服务的指标,或者投标文件载明的响应或偏离与事实不符或虚假的。
3.2.2与招标文件中标注“★”的条款或指标、要求发生实质性偏离的。
3.2.3所有投标产品的技术参数负偏离超过允许偏离的最大项目数的。
3.2.4技术方案不明确,存在一个或一个以上备选(替代)投标人案的。
3.3在报价评审时,如发现下列情形之一的,投标文件将被视为无效:
3.3.1未采用人民币报价或者未按照招标文件标明的币种报价的。
3.3.2报价超出采购预算金额,招标人不能支付的。
3.3.3投标报价具有选择性,或者开标价格与投标文件承诺的优惠(折扣)价格不一致的。
3.4被拒绝的投标文件为无效。
4.招标失败处理
评审时出现以下情况之一的,本项目招标失败:
4.1投标人的报价均超过了采购预算,招标人不能支付的;
4.2出现影响采购公正的违法、违规行为的;
4.3所有投标被否决或者部分投标被否决后,导致投标明显缺乏竞争的。
4.4因重大变故,采购任务取消的。
招标失败后,除采购任务取消情形外,应当重新组织采购。
五、投标人的资格要求:
1、符合《中华人民共和国政府采购法》第二十二条规定:
(1)具备独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必需的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)参加政府采购活动前三年内,在经营活动中没有重大违法记录。
2、国内注册(指按国家有关规定要求注册的)具备法人资格的供应商,生产或经营达到本次招标采购内容。
3、单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项下的政府采购活动。除单一来源采购项目外,为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,不得再参加该采购项目的其他采购活动。
4、对在“信用中国”网站(www.creditchina.gov.cn)、中国政府采购网(www.ccgp.gov.cn)等渠道列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的供应商,不得参与政府采购活动。
5、本项目不接受联合体投标。
六、联系方式:
投标文件寄:广西梧州市西江四路金鸡冲1号(543001)
广西桂东人民医院招标小组收
联系人:农主任 0774-2023107
招标咨询:0774-2023107 技术咨询0774-2848389
广西桂东人民医院招标小组
2019年12月29日
解决方案
联系我们
返回顶部