招标
中煤第五建设有限公司安全防护体系建设项目及天融信TopWAF设备采购询价公告
安全防护体系建设TopWAF设备全网上网行为管理平台全局域网集中管控平台多级安全互联平台万兆汇聚三层交换机网页防火墙24口三层核心交换机路由云端开局易部署VPN隧道内的实时选路传输基础网络配置智能选路策略指定线路选路最优线路选路包负载选路策略分支设备配置集中备份自动备份文件全网分支网络安全告警分支端操作系统内部调试用指令函数应用协议检查模块应用用户管理可信认证安全加固技术自我保护机制安全隔离保护禁止对产品自身的非法操作防非法卸载的能力可执行代码拔KEY锁屏解锁时需实现基于硬件USB-key防篡改保护服务强制访问控制修改系统服务配置信息可信源认证数据库访问多种主流数据库安全访问服务器注册表实时使用量查询删除等操作全表复制增量更新全表更新实例访问目标数据库策略控制数据库同步HTTP应用HTTP协议访问文件传输协议支持FTP指令控制FTP文件名黑白名单控制支持FTP传输文件大小控制文件同步功能任务优先级控制实时扫描多对一传输增量传输支持目录内子目录同步传输后删除源文件日志审计AV防病毒功能文件在线编辑文件分享功能视频传输实现视频网络与信息通信网的网络隔离视频硬件平台摄像头流媒体服务器视频服务器服务端口控制对访问视频管理服务器工控传输应用数据的传输自定义应用自定义协议软件MAC强制访问控制通道可信模块支持可信网络连接1U机架SSLVPN模块AI应用识别混合虚拟线智能DNS手工链路聚合链路可靠性LACP链路聚合病毒防御资源虚拟化虚拟系统策略智能管理智能策略分析功能策略命中分析策略冗余分析策略冲突检查一体化访问控制一体化智能过滤引擎识别与控制DDoS攻击动态黑名单配置维护支持多个配置文件并存智能报表内置17类预定义报表模板全网行为管理上网认证应用控制流量控制内容审计日志报表移动QQQQ传文件QQ视频语音多条线路流量复用智能选择流速最快线路日流量文件审计邮件收发访问网站即时通讯Web防护应用层访问控制功能阻断跨站脚本(XSS)攻击支持HTTPtoken防护恶意扫描防护文件的上传下载进行控制支持对上传文件内容进行病毒检测的功能DDoS攻击网页篡改防护网页防篡改WEB漏洞扫描虚拟补丁功能应用交付WEB缓存URL重写HTTP压缩系统日志管理日志攻击日志多条件与查询web应用防火墙设备运输安装调试验收检测设备操作说明书网络拓扑图网络安全设备设备设施安装系统调试现场安装维护培训软硬件系统运维培训记录工料费维护保养
金额
-
项目地址
江苏省
发布时间
2021/05/13
公告摘要
项目编号-
预算金额-
招标联系人张雷
标书截止时间-
投标截止时间2021/05/17
公告正文
中煤第五建设有限公司安全防护体系建设项目及天融信TopWAF设备采购询价公告
一、 报价须知:
1、报价人需先在http://ego.chinacoal.com/注册(提交中煤第五建设有限公司)成为我公司注册供应商。
2、报价必须明确价格、配置、供货周期、税率、付款方式,报价单必须加盖单位公章,有报价人姓名、联系电话、传真、邮箱等信息,所报价格须为到甲方指定地点价(含税、运费、安装调试费和服务费)。
3、报价投递邮箱:zmwjwzcgzx@chinacoal.com  
报价截止时间:2021年5月17日下午5:30
二、交货时间、地点
1、 交货时间:合同签订后1个月内完成安装和调试。
2、 交货地点:江苏省徐州市淮海西路241号中煤第五建设有限公司。
三、付款方式:
    无预付款,货到交货地点安装调试验收合格后,供方按要求开具全额增值税专票后,根据合同约定分期支付货款。(可采取转账、电汇等形式付款)。
四、设备清单及技术要求
(一)采购名称、数量
                          

序号

产品名称

型号

技术参数

单位

数量

1

全网上网行为管理平台(全局域网集中管控平台)

BBC

硬件参数:1U标准架构,内存≥16G,硬盘容量≥240G SSD+1TB SATA,单电源,千兆电口≥6个。
性能参数:支持管控设备数量≥200
国产品牌,并提供相应的计算机软件著作权登记证书。
设备必须支持单臂模式,以在不影响原有网络情况下同时能降低网络单点故障的发生概率。
支持云端开局易部署,只需在管理平台端提前导入设备信息,设备首次通电联网后,无需借助邮件、U盘等设备,接入SD-WAN集中管理平台实现集中管理及自动完成VPN组网。
支持通过应用名称、IP搜索某个应用在多条VPN隧道内的实时选路传输详情



1

2

多级安全互联平台

MISP V1.0 -FS400P

集中管理中心、隔离部件、应用前置、应用后置



1

3

万兆汇聚三层交换机

S6720-32C-SI-AC

交换容量:2.56 Tbps/23.04Tbps
包转发率:780Mpps
固定端口:24×100M/1G/2.5G/5G/10GB
ase-T 以太网端口,4×10GESFP+
MAC特性:32K支持 MAC 地址自动学习和老化支持静态、动态、黑洞 MAC 表项/支持源 MAC 地址过滤



2

4

下一代防火墙

NGFW4000-UF

1U机箱,8个千兆电口,单电源;防火墙吞吐2.6G,并发连接100万,每秒新建连接1.6万,IPSEC VPN吞吐60M,SSL VPN吞吐160M;默认含IPSEC VPN模块,可扩展SSL VPN模块;支持扩展AI应用识别、IPS入侵防御及AV防病毒功能;
攻击知识库3年升级服务许可



8

5

全网上网行为管理

AC-1000-B1190

性能参数:网络层吞吐量(大包):3Gb,应用层吞吐量:300Mb,带宽性能:200Mb,IPSEC VPN加密性能(最高性能):50Mb,支持用户数:800,准入终端数(默认客户端授权数):400,包转发率:27Kpps,每秒新建连接数:1600,最大并发连接数:80000。
硬件参数:规格:1U,内存大小:4G,硬盘容量:128G minisata SSD,电源:单电源,接口:4千兆电口。
功能描述:全网行为管理聚焦企事业组织网络行为安全,实现全网资产、身份、行为可视可控,智能感知内部威胁风险。
含:URL&应用识别规则库升级(*3);全网行为管理系统软件V13.0(*1);产品质保(*3);软件升级(*3);



8

6

24口三层核心交换机

LSW5662-28GT4XGS

支持STP、RSTP、MSTP支持DHCP Client、DHCP Server、DHCP Snooping支持OpenFlow1.3标准,支持多控制器(EQUAL模式、主备模式) 支持普通模式与OpenFlow模式切换
支持静态路由、RIPv1/v2、OSPF、BGP、VRRP、RIPng 、OSPFv3、BGP4+ for IPv6、VRRPv3、策略路由
OSPF路由表容量≥12K支持MPLS L3VPN、MPLS L2VPN、MPLS-TE、MPLS QoS,支持IGMP Snooping、IGMP Proxy、GMRP,支持PIM-SM/PIM-SSM/PIM-DM,支持静态、动态、黑洞MAC表项,支持源MAC地址过滤
要求设备单端口支持的MAC地址用户数≥4k,支持基于VLAN、MAC地址、IP地址、TCP/UDP端口号等ACL
支持每端口8个优先级队列 支持802.1p/DSCP/TOS流量分类 支持端口限速和流限速 支持SP、WRR、SP+WRR队列调度,支持端口隔离、端口安全,支持广播风暴抑制,支持SSH2.0,支持实时温度检测和告警
支持SNMP、CLI、Web网管和UMC统一管理中心,支持系统日志、操作日志、调试信息等本地和远程输出
具有工信部《电信设备进网许可证》



8

7

网页防火墙(天融信)

TopWAF

1U,6个千兆电口, 2个千兆光口,单电源,2个扩展槽位,应用层吞吐1Gbps,网络层吞吐3.5G,并发连接90万含3年应用特征库升级许可;默认含SQL注入、XSS、CSRF等WEB攻击防护功能、URL访问控制功能、防盗链功能、WEB漏洞扫描功能、DDoS攻击防护功能、网页防篡改功能、服务器负载均衡功能、报表分析及告警功能



1

 
 
(二)主要技术参数
 1、全网行为管理集中管控平台(全局域网集中管控平台)

★硬件和性能参数

硬件参数:1U标准架构,内存≥16G,硬盘容量≥240G SSD+1TB SATA,单电源,千兆电口≥6个。
性能参数:支持管控设备数量≥200

功能参数

★国产品牌,并提供相应的计算机软件著作权登记证书。
设备必须支持单臂模式,以在不影响原有网络情况下同时能降低网络单点故障的发生概率。
★支持云端开局易部署,只需在管理平台端提前导入设备信息,设备首次通电联网后,无需借助邮件、U盘等设备,接入SD-WAN集中管理平台实现集中管理及自动完成VPN组网。(提供设备界面截图证明,加盖厂商公章)
支持邮件开局易部署,通过下发邮件方式,实现分支管理人员点击邮件链接即可实现分支自动完成基础网络配置,自动连接到集中管理平台,简化分支配置,实现分支快速上线。
支持以全局视角显示全网VPN拓扑图,支持显示每条VPN链路的连接状态、流速、延时等信息。
★支持通过应用名称、IP搜索某个应用在多条VPN隧道内的实时选路传输详情(提供设备界面截图证明,加盖厂商公章)
支持展示所有受控设备状态,包括分支设备版本信息、CPU/内存/磁盘占用、网络吞吐带宽、当前用户流量信息、分支设备版本信息;
支持展示分支资源利用率排行TOPN、分支带宽利用率TOP排行、分支告警问题总数趋势、分支告警排行TOP5、分支告警数量分布、分支离线时长TOP5等报表。
★支持通过应用名称、IP搜索某个应用在多条VPN隧道内的实时选路传输详情(提供设备界面截图证明,加盖厂商公章)
支持对指定一台或多台设备统一下发智能选路策略,包括指定应用指定线路选路、最优线路选路、包负载选路策略等
支持对平台及分支设备进行集中备份,并可通过自动备份文件或者手动导入备份文件快速恢复平台及分支设备配置。
对主机网口掉线、数据通信口不通、虚拟机与外部网络不通、直击网口丢包等进行告警。
对分支设备序列号过期、序列号状态异常、虚拟网络设备序列号过期等进行告警。
对全网分支网络安全告警,如系统漏洞、攻击、木马等安全风险进行告警。
★智能监控分支端设备版本库,可设置升级计划,在某个时间段进行升级。(提供设备界面截图证明,加盖厂商公章)

资质要求

设备生产厂商通过SD-WAN Ready测试,提供证明材料.
★所投产品需具备公安部颁发的计算机系统安全专用产品销售许可证,提供证明材料。
★设备生产厂商参与信通院(云计算开源产业联盟)云计算与SD-WAN标准制定,提供证明材料。
厂商软件开发必须通过CMMI5级认证,要求提供证书,CMMI官方可查询并提供网站截图

 
 
 
 
2、多级安全互联平台

平台架构要求

隔离部件一台双向,内外各6个10/100/1000Base-T(RJ45)接口,2个SFP千兆接口;
前后置各一台,2U机架式,内外各6个10/100/1000Base-T(RJ45)接口;
通过集中管理中心对平台所有设备进行统一管理配置和日志审计
服务器源端可信要求增强采用软件方式部署,采用主动防御机制,可与应用前置进行可信源端认证,可对服务器进行加固深度防御,
产品硬件基于PTM可信机制,能够对硬件进行全方位的可信计算。

操作系统

★系统基于加固安全操作平台,为主机提供深度防御
能够对系统提供多层次、高强度的安全防护,保护其重要文件、数据不受黑客侵袭;
操作系统基于Linux标准操作系统精简、强化;
采用对象互斥和线程守护技术,保护主要进程的安全性和稳定性;
不采用通用的指令库和函数库,只提供有限的内部调试用指令函数。

支持协议

标准TCP、UDP协议

支持网络

支持IPV4与IPV6

应用协议支持

HTTP、SMTP、POP3、FTP、TELNET、SQL、ORACLE、NULL_TCP等;
可定制应用协议检查模块。

功能要求

信息流控制

支持通过对信息流单向、双向定义,对跨系统互联的信息流向进行控制,支持通道并发数控制。

身份认证

支持通过用户名口令、IP/MAC绑定等方式对访问用户身份进行鉴别,确保用户身份的真实性;
支持应用用户管理;

安全标记

★支持系统间交换的合法数据会进行安全标记,隔离部件会对标记进行判别解析,以确保所交换的数据都是经过授权的;(提供界面截图)
支持标记根据时限要求进行自动更换。

可信认证

采用主动防御机制,使用基于操作系统内核级的安全加固技术;
具有自我保护机制,对产品自身文件、重要敏感信息进行安全隔离保护,禁止对产品自身的非法操作;
具备防非法卸载的能力;
基于可信计算理念,利用信任链机制,对系统中所有装载的可执行代码进行控制;
提供拔KEY锁屏功能,当用户离开时拔除USB-KEY自动锁定用户工作环境,解锁时需实现基于硬件USB-key的双因素身份认证;
提供对白名单中所包含执行程序及脚本文件的防篡改保护,拒绝非授权的修改、删除等操作;
支持服务强制访问控制,能够阻止增加、删除、修改系统服务配置信息
支持可信源认证,加载过安全策略的通道只有经过源端可信增强的服务器才可进行数据传输;

访问控制

支持对访问操作的IP地址、端口、内容(格式检查)进行控制,确保跨系统操作的安全性

数据库访问

提供对多种主流数据库(SQL、ORACLE、DB2、MYSQL等)数据库系统的安全访问;
无需修改数据库工作模式或服务器注册表;
支持用户查询、修改、添加、删除等操作;
支持全表复制、增量更新、全表更新等;
支持各种实例访问;
★支持对用户、操作、目标数据库等策略控制。(提供界面截图)

数据库同步功能

★可通过专用客户端和平台主动获取两种方式提供安全的数据库同步功能;(提供两种方式的界面配置截图)
提供多种主流数据库(SQL、ORACLE、DB2、MYSQL等)的单、双向数据交换;
支持同步表双向检索功能;
无需修改数据库表结构,不涉及到代码修改及二次开发;
同步粒度可以达到表内具体字段;
支持防病毒;
支持表异构同步;
支持数据库异构同步;
支持多种增量同步方式,可分别定义增加、删除、修改的传输方式;
支持数据一对一、一对多、多对多的单向或双向交换和同步。

HTTP应用

支持HTTP协议访问;
访问控制对象:源地址、目标地址、源端口、目的端目、域名、URL、访问方式等;
内容过滤:关键字(采用自主研发的下推自动机的高效过滤算法);
脚本过滤:Javascript、Applet、ActiveX等;
支持对基于HTTP的SOAP协议进行过滤,确保访问的安全;(提供界面截图)
其他过滤策略:文件类型、页面提交方式等。

文件传输功能

提供安全的文件传输功能,支持FTP、NFS、SAMBA等文件传输协议;
支持FTP对传输文件的类型过滤;
支持FTP指令控制;
支持FTP文件名黑白名单控制;
支持FTP传输文件大小控制。

文件同步功能

★可通过专用客户端和平台主动获取两种方式提供安全的文件同步功能;(提供两种方式的界面配置截图)
支持windows平台和linux平台;
支持不同任务设置不同的扫描间隔和扫描的时间段;
支持任务优先级控制;
支持实时扫描、多对一传输、增量传输;
支持目录内子目录同步,至多支持32级目录;
支持中文文件名或目录同步;
支持传输后删除源文件;
提供详细的日志审计;
支持防病毒;
★支持对格式类型进行特征过滤,并允许用户通过样本文件自定义格式类型;(提供界面截图)
★支持文件在线编辑、在线预览等操作;(提供界面截图)
★支持文件分享功能,可设置到期时间和提取密码。(提供界面截图)

视频传输功能

实现视频网络与信息通信网的网络隔离,切断所有基于网络协议的连接;
支持多种视频硬件平台,如摄像头、DVR(数字硬盘机)、流媒体服务器、视频服务器等设备;
支持服务端口控制,对访问视频管理服务器的端口进行控制,其它视频端口默认关闭;
★支持标准SIP协议(提供界面截图)
★支持RTSP协议(提供界面截图)

工控传输功能

支持OPC\Modbus等工控传输协议
支持DCS/SCADA网络与办公网络之间的应用数据的传输。

自定义应用

支持用户基于标准TCP、UDP开发的自定义协议软件;
无需对自定义协议软件进行二次修改开发;
可以根据需求开发新的专用协议处理过滤功能。
★支持MAC强制访问控制通道,针对被访问端文件进行类别和等级标记,通过标记匹配才能正常访问文件。(提供界面截图)

可信模块

支持可信网络连接,平台中各设备通过可信网络连接进行数据传输;
支持应用端可信模块部署,部署可信模块后可保证应用进程的安全可靠,并通过可信网络连接进行数据传输。

安全审计

管理中心可以对身份认证、访问控制等安全机制的仲裁结果进行记录,记录内容包括:事件时间、类型、操作内容等;
支持Syslog可与标准日志服务器平台无缝兼容,可实时发送运行状态;
支持可视化大屏展示和系统概览。

可靠性要求

网口冗余

基于Bonding模块技术,使多网口冗余,可实现链路备份冗余的工作模式,支持lacp、负载均衡、主备模式;

双机热备

可实现多套平台互相冗余的应用模式,支持跨定级管理中心的双机热备及整套链路的双机热备。

其他要求

SNMP模块

支持SNMP协议,可与标准网管平台无缝兼容;能够针对读团体字、系统位置、系统联系人等参数进行自定义;

SYSLOG模块

支持SYSLOG协议,可与标准日志服务器平台无缝兼容,可实时发送设备运行状态;

IDS模块

支持IDS,在发现可疑传输时记入日志。

管理要求

管理中心基于HTTPS进行管理 ;
★支持指纹认证登录(提供界面截图)

性能指标要求

网络吞吐量:400Mbps

文件同步吞吐量:200Mbps

数据库同步吞吐量:5000条/秒

并发连接:>10000

延时:<1ms

 
 
 
3、下一代防火墙

参数项

技术参数指标

硬件配置和性能

标准1U机架设备,不低于8个千兆电口;防火墙吞吐不低于2.6G,并发连接不低于100万,每秒新建连接不低于1.6万,IPSEC VPN吞吐不低于60M,SSL VPN吞吐不低于160M;含IPSEC VPN功能;

攻击知识库3年升级服务许可

可扩展SSL VPN模块、AI应用识别、AV防病毒功能;

工作模式

★支持路由、交换、混合、虚拟线工作模式;(截图证明)

智能DNS

支持智能DNS功能,有效提高用户跨网访问效率;

支持将来自内部网络的域名解析请求定向到真实内网资源,降低路径开销,提高访问效率;

链路聚合

★为提高链路可靠性,需支持手工链路聚合及LACP链路聚合,提供不少于11种的负载分担算法;(截图证明)

访问控制

支持针对目的/源地址、目的/源服务端口、区域、服务、时间、扩展头属性等条件进行安全访问规则的设置;

★病毒防御

★支持对HTTP/SMTP/POP3/FTP/IM等协议进行病毒防御;(提供截图)

★支持至少2种专业反病毒厂商的病毒特征库(提供至少2家专业防病毒厂商或研究机构的合作文件复印件)

资源虚拟化

★支持在一台物理设备上划分出128个相互独立的虚拟系统,可根据连接配额及连接新建速率为每个虚拟系统分配资源;(截图证明)

★策略智能管理

提供智能策略分析功能,支持策略命中分析、策略冗余分析、策略冲突检查,并且可在WEB界面显示检测结果:红色为冗余策略,绿色为冲突策略;(截图证明)

一体化访问控制

内置高度集成的一体化智能过滤引擎技术,支持在同一条访问控制策略中配置五元组信息、应用、服务、时间、安全引擎(入侵、URL过滤、病毒过滤、DLP、内容过滤)的识别与控制;

支持黑名单功能,可设置多个对象条件,如:五元组信息、源MAC、地址范围、应用、用户,实现对特定报文进行快速过滤(提供截图);

配置维护

★支持多个配置文件并存,配置文件数量不少于4个(提供截图);

智能报表

内置17类预定义报表模板,支持根据通信流量、上网行为、威胁统计等来源数据库自定义报表模板;支持一次性报表及周期性报表,可自定义统计时间;(截图证明)

审计

★支持独立审计策略,支持审计白名单;(提供截图)

提供完善的审计数据查询功能,方便管理员对用户的上网行为进行审查和分析。支持对用户上网行为进行完整的审计数据查询,包括访问网站、邮件收发、论坛微博、FTP、TELNET等;同时支持对用户上网流量时长进行完整的审计数据查询,包括服务端IP、用户名、协议、上行流量、下行流量、总流量、时间等;

产品资质

产品具有防火墙密码检测证书;

具有《自主原创产品测评证书》;

★近三年IDC报告防火墙市场占有率排名前三;

★公司资质

★产品生产厂商具有TL9000证书

★产品生产厂商信息系统建设和服务能力等级证书(CS4)证书

产品生产厂商具有CMMI5证书

产品生产厂商具有安全开发类二级

4、全网行为管理

★硬件和性能参数

硬件参数:1U机箱,内存≥4G,硬盘容量≥128G,单电源,千兆电口≥4个。
性能参数:网络吞吐量≥3Gb,带宽性能≥200Mb,IPSEC VPN加密性能(最高性能)≥50Mb,支持用户数≥800,最大并发连接数≥8万,每秒新建连接数≥1600。

功能参数

支持网桥模式,以透明方式串接在网络中;支持电口、光口bypass;
必须支持多路桥接功能,最多可支持32组网桥模式;
★支持部署在IPv6环境中,设备接口及部署模式均支持ipv6配置;所有核心功能(上网认证、应用控制、流量控制、内容审计、日志报表等)都支持IPv6;(提供产品界面截图)
多种认证方式,支持触发式WEB认证,支持用户名密码认证、短信认证、微信认证、二维码认证、单点登录认证、USB-KEY认证等多种认证方式;
可设置四类管理员,分别为配置管理员、查看管理员、日志管理员,以及多种权限的超级管理员;管理员支持分级,高级别管理员的策略配置优先生效,并可修改低级管理员的策略;
实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息;
实时显示设置过滤条件的用户上网行为监控,支持手动设置刷新时间;
★支持PPS异常、丢包异常、ARP异常、内网DOS攻击等异常情况实时监测,显示每日异常事件个数及情况;(提供产品界面截图)
支持LDAP、Radius、POP3、Proxy等第三方认证;
支持绑定IP认证、绑定MAC认证,及IP/MAC绑定认证等;支持通过SNMP服务器跨三层获取MAC地址;支持当用户MAC地址变动时,需要重新认证;
密码登录支持用户自注册;支持用户信息自管理Web界面,终端用户可以自己修改当前账号的绑定手机、绑定邮箱、密码等信息;支持用户可查看和管理到当前账号的终端绑定关系;
支持识别终端操作系统版本、系统补丁安装情况;(必须提供自主知识产权证明);
★支持终端调用管理员指定脚本/程序以满足个性化检查要求,比如检测系统更新是否开启、开放端口、已安装程序列表、终端发通知等;(提供产品界面截图)
支持对移动应用的细分权限控制,微信:微信网页版、微信传文件、微信朋友圈、微信游戏。移动QQ:QQ传文件、QQ视频语音等。(提供产品界面截图)
支持根据访问的URL、网页关键字进行网页过滤,支持设置拒绝以IP访问网页行为;
用户指定应用上网时长超过预设阈值后,网关自动提醒该用户;
网关必须能同时连接多条外网线路,且支持多条线路流量复用和智能选择流速最快线路的技术(必须提供自主知识产权证明);
★支持通过抑制P2P的上行流量,来减缓P2P的下行流量,从而解决网络出口在做流控后仍然压力较大的问题;(提供产品界面截图)
支持对单个用户/用户组、位置、终端类型等设置日流量、月流量配额功能;必须支持流量配额的配置、实时使用量查询;
支持审计用户的Webmail邮件外发行为,支持webmail形式发送的附件审计,并能精准到原始邮件;
支持查询和导出基于指定时间段/用户/用户组的文件审计、邮件收发、访问网站、即时通讯、发帖/微博、搜索关键字等详细用户行为的报表
★支持基于时间段/用户/用户组/终端类型/位置等维度的应用行为趋势、网站分类行为趋势报表

资质要求

★国家标准《信息安全技术信息系统安全审计产品 技术要求和测试评价方法》的主要起草单位
★国家应急中心应急支撑单位CNCERT证书(国家级)
公司研发体系通过国际认证CMMI5
售后服务体系通过ISO9001认证

5、网页防火墙(天融信TopWAF)

指标

指标要求

配置

标准机架式1U设备,不低于6个千兆电口,不低于2个千兆光口 , 不低于2个扩展槽位,应用层吞吐不低于1Gbps,网络层吞吐不低于3.5G,并发连接不低于100万

3年应用特征库升级许可;默认含SQL注入、XSS、CSRF等WEB攻击防护功能、URL访问控制功能、防盗链功能、WEB漏洞扫描功能、DDoS攻击防护功能、网页防篡改功能、服务器负载均衡功能、报表分析及告警功能

架构

★采用专用硬件架构与安全操作系统,基于操作系统内核的完全检测技术;产品为专业性 Web 应用安全防护系统硬件设备,而非下一代防火墙\UTM 类设备集成的 WEB 防护功能模块。

网络适应性

★支持虚拟线接入,无论任何网络环境可强制数据从一个接口转发到另一个接口(提供截图)

Web防护

支持应用层访问控制功能,针对 HTTP请求字段进行过滤,包括HTTP协议版本,请求方法,Cookie信息等。

应能识别和阻断SQL注入攻击,Cookie 注入攻击,命令注入攻击;

应能识别和阻断跨站脚本(XSS)攻击

应能识别和阻断跨站请求伪造(CSRF)攻击,支持HTTP token防护和referer匹配防护等多种防护方式。

★支持恶意扫描防护:通过人机识别方式,进行恶意扫描智能检测;支持扫描防护阈值设置和扫描IP的阻断周期设置。(提供截图)

★支持对文件的上传下载进行控制,包括上传及下载最大文件大小、文件扩展名、MIME类型等进行控制;支持对上传文件内容进行病毒检测的功能。(提供截图)

DDoS攻击

支持基线学习,可以自动学习用户http正常流量阈值模型,并给出推荐阈值配置项。

★支持DDoS攻击动态黑名单功能,检测到DDoS攻击将其攻击源自动加入黑名单。(提供截图)

网页篡改

★网关型网页防篡改,无需在服务器中安装任何插件,即可对网站文件内容进行篡改防护,当检测到篡改后可以实时恢复篡改内容。(提供截图)

缓存型网页篡改防护;WAF通过将缓存的网站页面返回给客户端,从而保证客户端无法看到被非法篡改的页面,来做到网页篡改防护。

WEB漏洞扫描

支持虚拟补丁功能,支持导入WAF内置扫描器及appscan、w3af等第三方扫描器的扫描结果生成WAF的防护规则,对此类网站漏洞直接防护。

应用交付

支持WEB缓存,URL重写,HTTP压缩等应用交付功能。

日志报表

支持记录系统日志、管理日志,流量日志,攻击日志等多种日志类型,支持多条件与查询,支持CSV及XML格式的日志导出,日志支持清空配置。

★针对攻击日志,可对任意一条编辑其行为动作,包括阻断记录日志、阻断不记录日志、继续、警告、临时或永久跳转到某一重定向页面等动作。(提供截图)

产品资质

★国家信息安全测评信息技术产品安全测评证书(EAL3+)

OWASP颁发的《web应用防火墙认证证书》

IPV6金牌证书(专业WAF类)

厂商资质

★原厂商具有电讯业质量管理体系认证《TL9000》证书;

原厂商具有CMMI5证书;

★产品生产厂商信息系统建设和服务能力等级证书(CS4)证书

产品生产厂商具有安全开发类二级

注:以上带★号的技术要求及商务要求必须全部响应,同时提供相关资料验证,否则作废标处理。
 
五、报价资格要求
(一)资格要求
1、必须在中华人民共和国注册,具有法人资格的一般纳税人,有能力提供招标服务的产品,注册资金不低于300万元的代理商。
2、具有良好的银行资信和商业信誉,没有处于被责令停业、财产被接管、冻结、破产状态。
3、提供近3年同类产品销售业绩及正在执行的合同,且不少于3份(提供合同复印件以及相应项目结算证明,并加盖公章)。
4、供方须有厂家授权及盖章。
5、提供所投主要产品厂家市场占有率排名证明文件。
6、提供所投产品原厂质保函证明。
 
(二)报价要求
1、所报价格须为到甲方指定地点价,含税、运费、安装调试费和服务费。
2、报价如有偏离,必须详细注明。
3、报价信息与交货实物的名称、规格型号、品牌不一致的,甲方有权拒绝收货。
4、外购部件和元件必须要有详细型号及厂家名称,对其合理性、先进性及质量负责。
 
(三)实施要求
1、实施期的要求:签订合同后 7天(日历日)内,开始项目实施动工,30天(日历日)内完成设备安装调试。
2、报价人必须承担设备运输、安装调试、验收检测,提供设备操作说明书、网络拓扑图等其他类似的义务。
3、实施地点:江苏省徐州市淮海西路241号中煤第五建设有限公司机关办公楼。
4、其它要求:网络安全设备采购项目涉及的设备设施质保期,自设备设施安装及系统调试完毕、经招标单位验收合格之日算起。提供现场安装、调试设备设施,直至运行正常,提供操作及维护培训。在未验收前,货物保管、安全均由供应商负责。提供的产品须为原厂正品,相关的配套附件质量优良,数量齐全。所投产品需注明硬件设备的质保期限和具体的维修保障内容;采购方使用该设备的任何一部分,当受第三方提出的侵犯其专利权、商标权或工业设计权的投诉时,一切后果由供应商负责。提供必要的软硬件系统的安装、使用、运维等的免费培训。
 
(四)验收要求 
1、报价人建设内容经过双方检验认可后,签署验收报告,设备设施保修期自验收合格之日起算,由报价人提供产品原厂质保函文件。
2、当满足以下条件时,采购人向中标人签发项目验收报告:
A 中标人已按照合同规定提供了全部设备设施、完整的技术资料、安装调试正常;
B 设备设施符合招标文件技术规格书的要求,性能满足要求,运行稳定,满测试期限;
C 设备设施具备产品合格证;
D 完成培训,提供相关操作说明书、培训记录。
 
(五)售后服务及培训要求
1、质保期限:不少于叁年(自项目竣工验收合格后算起)。
2、在保修期内出现任何设备因质量问题损坏及不正常工作,由设备原厂负责维修及工料费等。
3、供应商提供7*24全天侯服务,一般性故障接到服务请求1小时内响应,24小时内有效处理。
4、设备设施运行前,供应商派原厂工程师培训,免费对管理该系统人员进行使用及维护保养培训,方便用户的使用并确保系统正常使用操作。保证采购人能够胜任系统的全部运行、操作、维护,简单的故障处理。
5、培训应有电子文档或纸质材料交由采购人留存。
 
(六)付款方式
无预付款。签订合同后,货到采购方指定交货地点,完成安装调试阶段验收合格后,支付合同金额的30%。配合完成采购方阶段性安全保障工作后,出具工作及整改报告支付合同金额的35%。阶段性保障工作结束后,半年内无重大安全隐患,所提供设备系统均运行平稳,完成最终验收支付合同金额的25%。余款10%一年后设备运行无故障,一次性付清。注:每次付款前,供方均需按要求开具全额增值税专用发票。
 
(七)履约保证金
1、金额:50000元(人民币大写:伍万元)。
2、中标单位必须在合同签定前,将履约保证金交付到中煤第五建设有限公司财务部。
3、保证金不计利息,项目验收后退还。
 
六、报价书格式
1、 报价一览表(根据主要设备和材料清单进行分报价和总价)
2、 法定代表人授权书及法定代表和授权代表的身份证复印件。
3、 技术方案
4、 资格证明文件
1)具有独立的法人资格:提供具有统一社会信用代码的营业执照印复件;
2)提供2021年第一季度(1月—3月)缴纳税收的证明材料,依法免税的提供相应的免税证明文件;
3)报价截至日前三年内参加无违法行为及涉黑涉恶记录的声明书;
4)投标人须在经营活动中没有重大违法记录,未被列入“信用中国”网站记录失信被执行人或重大税收违法案件当事人名单和“政府采购严重违法失信行为”记录名单证明;
5)提供近3年同类产品销售业绩及正在执行的合同,且不少于3份(提供合同复印件以及相应项目结算证明,并加盖公章);
6)供方须有设备厂家授权及盖章;
7)提供所投主要产品厂家市场占有率排名证明文件;
8)提供所投产品原厂质保函证明;
9)本项目不接受联合体投标,中标单位不得分包、转包;
注:报价书每页需加盖报价单位公章。发送到邮箱的报价书要求为PDF格式。
 
六、重要说明
1、甲方根据报价情况,邀请前三名性价比好的供应商进行谈判,择优选择。
 
七、联系方式  
技术咨询:张  雷 18556166588
商谈联系:庆文奎    18556161955
返回顶部