大庆市大同区财政局财政专用网络安全设备采购竞争性谈判公告
 
项目概况
大庆市大同区财政局财政专用网络安全设备采购项目的潜在供应商应在大庆市电子政府采购交易管理平台获取采购文件，并于   2021年12月9日9点 30 分前提交响应文件。
 
一、项目基本情况
黑龙江省大庆市政府采购中心受采购人委托组织  大庆市大同区财政局财政专用网络安全设备采购。本项目面向各类型企业进行采购，欢迎有能力的国内供应商参加,本项目为远程开标项目。
项目编号：DZC20211384
项目名称：大庆市大同区财政局财政专用网络安全设备采购
采购方式：竞争性谈判
预算金额： 689,400.00元，参与谈判供应商最终报价超出此价格的谈判无效。
采购需求：详见附件
合同履行期限：  合同签订后15工作日内交货（工）
本项目不接受联合体。
二、申请人的资格要求：
1.满足《中华人民共和国政府采购法》第二十二条规定；
2.落实政府采购政策需满足的资格要求：本项目执行政府采购扶持中小企业的相关政策。详见《政府采购促进中小企业发展管理办法》。
参与本项目供应商所投全部产品为小型企业或微型企业或监狱企业或残疾人福利单位制造，提供声明函（须按谈判文件内规定格式填写声明函），则总报价享受10%的扣除，用扣除后的价格参与评审。
注：①以上“用扣除后的价格参与评审”是指开标现场，依据供应商谈判总报价进行10%的扣除后参与评审。
②涉及多个产品的声明函中应包含全部产品，不提供声明函或提供不全的不享受相关扶持政策。
3.本项目的特定资格要求：
（1）提供参与本项目竞争供应商有效的营业执照或事业单位法人证书。
（2）提供参与本项目竞争供应商有效的电子与智能化工程专业承包二级以上（含二级）资质
（3）谈判现场，防火墙（入侵防御、防病毒、上网行为管理）及远程安全评估(漏扫）产品均必须满足三个以上（含三个）品牌，否则本项目废标。
（4）本项目不接受联合体参与竞争。
（5）单位负责人为同一人或者存在直接控股、管理关系的不同供应商，不得参加同一合同项下的政府采购活动。
三、获取采购文件
时间：公告发布之日起至2021年12月7日
注：请参与本项目投标的供应商在2021年12月7日17时0分前自助下载文件，逾期则无法下载文件，由此造成的后果由供应商自行承担。
地点：大庆市电子政府采购交易管理平台
方式：网上自助下载文件（详见：
http://ggzyjyzx.daqing.gov.cn/bsznTbr/20199.htm?pa=7355---《入库、办理数字证书及自助下载文件说明》）
售价：免费
四、响应文件提交
截止时间： 2021年 12月9日 9 点 30 分
地点：大庆市电子政府采购交易管理平台
五、开启
时间：  2021年 12月9日 9 点 30 分
地点：大庆市电子政府采购交易管理平台
六、公告期限
自本公告发布之日起3个工作日。
七、其他补充事宜
1、退出竞争时限：如供应商退出竞争，必须在谈判响应文件截止时间前48小时，否则不予退出。
2、全面贯彻庆财采【2019】3号文大庆市财政局关于开展政府采购领域扫黑除恶专项斗争的通知的规定，在本项目中重点打击8类政府采购领域涉黑、涉恶、涉乱形为。详见：
http://www.hljcg.gov.cn/xwzs!queryOneXwxxqx.action?xwbh=8B2FAECAA29800DEE053AC10FDFA79C0
八、凡对本次采购提出询问，请按以下方式联系。
1.采购人信息
名    称：　大庆市大同区财政局　　
地    址：　大庆市大同区财政局　
联系方式：　　13734578452　　　
2.采购代理机构信息
名    称：大庆市政府采购中心
地　　址：大庆市萨尔图区东风新村纬二路2号（大庆市行政服务中心三楼）
联系方式：　0459-6158157　　
3.项目联系方式
采购人项目联系人：  白光    
电　话：　　　　13734578452　　　
采购代理机构项目联系人：  李 维
电话：    0459-6158157           
 
      附件：
项目需求
一、规格型号及参数

序号	名称	参数	数量	单位
1	防火墙（入侵防御、防病毒、上网行为管理）	1. 千兆电口≥10，Combo口≥2，支持千兆接口总数≥12。硬盘≥500G，1+1冗余电源。 2. 设备最大吞吐量≥4Gbps，HTTP吞吐量≥1.8 Gbps，IPS吞吐量≥650 Mbps，AV吞吐量≥650Mbps，IPSec VPN性能≥950Mbps，最大并发连接数≥150万，每秒新建连接数≥4万，IPSec VPN隧道数≥1024，SSL VPN接入数≥400 3. 具有透明、路由、混合、旁路、虚拟线工作模式；支持端口镜像功能，支持入流量、出流量和双向流量维度镜像。 4. 支持IPv4/v6双栈协议的源地址转换、目的地址转换、双向NAT、NAT44、NAT66、NAT46、NAT64地址转换。 ★5. 预置防护模板，可基于常见场景进行一键式的安全加固；支持基于常见协议进行异常检查，包括但不限于：HTTP、HTTPS、SMTP、POP3、FTP；检查内容支持自定义，包括但不限于：url长度、请求长度、目录长度、字符检测、文本长度、文件名长度、命令参数长度，支持针对每协议设置处置动作和事件级。 6. 支持标准IPsec VPN和快速IPsecVPN，标准IPsecVPN认证方式包括但不限于国密认证、数字证书和预共享密钥； 7. 支持基于多元组的访问控制；并提供智能策略分析功能，支持策略命中分析、隐藏策略分析、冗余策略分析、冲突策略分析、可合并策略分析、过期策略发现、空策略发现、策略宽松度分析，并在web页面显示分析结果。 8. 支持独立的Web防护模块，提供防盗链、CSRF攻击、CC攻击、应用隐藏、网页防篡改防护；支持HTTP协议的精确访问控制，可针对Method、Referer、User-Agent、Cookie、Url-args字段设置内容。 9. 支持非法外联学习和防护特性，可有效保障服务器安全，可定义外联白名单地址和端口；支持通过流量自学习获得服务器合法的外联行为，检测流量中的异常访问流量，实现自动拦截；学习时长可选择1小时、12小时、一天、一周。 10. 支持针对IP、端口进行端口扫描，可选择立即执行或定期执行；支持呈现扫描结果，包括端口、端口状态、端口服务、程序版本、操作系统、风险状态、设备类型和时间信息，支持导出功能。 11. 拥有自有威胁情报数据来源，每日可获得不低于6亿次的互联网访问样本。并提供在设备端上的全网威胁情报的搜索查询；提供最新的热点威胁事件并提供配置向导协助管理员生成防护规则； 12. 支持HTTP，FTP，POP3，SMTP，IMAP协议的病毒查杀，支持查杀邮件正文/附件、网页及下载文件中包含的病毒，并支持在线升级和手动升级病毒库。 13. 支持基于流量和时长的流量限额功能，针对超过限额的用户，可选择禁止上网或加入至惩罚流控通道。 14. 支持Web认证、Portal认证、短信认证、免认证、微信认证、混合认证、AD域单点登录、访客二维码认证、APP认证和钉钉认证。 ★15. 支持防网络共享行为，针对私接路由器和非法无线热点行为进行识别和阻断；并针对私接网络行为，惩罚方式包括但不限于无操作、阻断和限速。 ★16. 支持对最多20级的压缩文件进行解压查杀。	1	台
2	数据库审计	1. 网络端口：配备至少2个千兆电口管理口；支持千兆网络环境下的监听能力，配备至少4个千兆业务电口。 2. 处理器采用Intel高性能CPU，内存≥8GB DDR3 1600Mhz，硬盘≥2TB，支持审计数据库数量≥2； 3. 旁路部署模式下无须在被审计数据库系统上安装任何代理即可实现审计； 4. 支持和ES平台对接，将审计日志和告警日志存储在ES系统中，并支持通过页面查询日志。 ★5. 支持MongoDB、Hbase、Hive、impala、Elastic Search、HDFS、Cassandra、greenplum、LibrA、graphbase、cache、Redis、HANA、ArangoDB、Neo4j、OrientDB非关系型数据库的审计； 6. 审计信息能够记录执行时长，影响行数、执行结果描述与返回结果集。 7. 支持数据库请求和返回的双向审计，特别是返回字段和结果集、执行状态、返回行数、执行时长、客户端工具、主机名内容，支持通过返回行数控制返回结果集大小 ★8. 产品具有内置规则，规则类型有sql注入、账号安全、数据泄露和违规操作，并可依据规则进行邮件告警。 9. 支持基于数据库访问日期、时间、源/目的IP、来源、数据库名、数据库表名、字段值、数据库登录账号、SQL关键词、数据库返回码、SQL响应时间、数据库操作类型、影响行数条件的审计查询； 10. 支持在审计日志中一键添加过滤规则，支持在告警规则中一键添加信任规则和规则白名单 ★11. 支持基于表维度的报表分析，表分析报表支持通过桑基图展示对该表的访问情况； 12. 支持HTML、PDF、PNG、Word格式的报表导出； 13. 支持将审计日志通过FTP/SFTP的方式外送，支持自定义在线数据备份时间周期，支持从FTP/SFTP上恢复数据，恢复数据支持进度展示； 14. 提供审计策略和系统配置信息的单独导入、导出功能。	1	台
3	日志审计	1. 千兆工作管理口≥6个，至少包含HA口≥1个，审计口≥4个，管理口≥1个。 2. 支持审计日志源≥15个。 3. 支持kafka日志接收转发、大数据安全域同步、APT沙箱报告转发大数据联调功能，Kafka收发支持SSL加密。 ★4. 支持通过界面自定义字段方式实现与第三方平台的数据共享，快速满足第三方平台个性化分析和对接需求。 5. 支持Syslog、SNMP Trap、HTTP、ODBC/JDBC、WMI、FTP、SFTP协议日志收集； 6. 可通过接收协议限制日志接收速率，包括Http接收、syslog接收、SNMPtrap接收、TCP接收、WMI接收、aliyun接收。 7. 支持目前的网络安全设备、交换设备、路由设备、操作系统、应用系统； ★8. 支持解析规则性能以界面列表形式显示，可了解解析耗时、解析成功或失败次数信息。 9. 可设置日志存储备份策略。包括系统日志保存期（天）、磁盘使用率百分比策略； 10. 支持按日期、时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、操作对象、技术方式、技术动作、技术效果、攻击类型、地理城市参数进行过滤查询； 11. 支持用任意关键字对所有事件进行高性能全文检索； ★12. 支持磁盘空间阈值告警，当磁盘使用率达到设定的阈值时可产生并外发告警；资产性能监控异常告警，对于监控的资产系统资源进行监测当指定指标使用率达到设定的阈值时可产生并外发告警； 13. 支持报表导出为PDF和Word格式文件。 14. 根据三权分立的原则和要求进行职、权分离，对系统本身进行分角色定义，如管理员只负责完成设备的初始配置，规则配置员只负责审计规则的建立，审计员只负责查看相关的审计结果及告警内容；日志员只负责完成对系统本身的用户操作日志管理； 15. 用户支持双因子认证登录，双因子认证令牌支持绑定至具体用户 16. 支持分布式部署，支持页面一键添加子节点，自动进行绑定添加，采集器可以选择同步日志范围，按需转发数据。	1	台
4	运维审计	1. 配备至少2个GE电管理口、至少4个GE电业务口。 2. 资产数≥100个，字符连接≥100个，图型连接≥20个。 3. 支持用户多角色划分功能，如系统管理员、部门管理员、运维员、审计管理员、密码管理员，对各类角色需要进行细粒度的权限管理。 ★4. 支持按部门组织架构（至少5个层级的部门）管理用户数据、资产数据、授权数据、审计数据。 5. 支持常用的运维协议：SSH、TELNET、RDP、VNC、FTP、SFTP、rlogin；可通过应用发布的方式进行协议扩展，如数据库Oracle、MSSQL、MySQL、VMware vSphere Client、浏览器客户端工具。 6. 支持对设备进行按设备类型分组、按部门分组，支持设备批量导入/导出。 7. 持定期自动修改windows服务器、网络设备、linux/unix目标设备密码功能。 8. 支持与AD、LDAP、RADIUS、吉大正元认证系统联动登录堡垒机，支持自动同步AD/LDAP用户。 9. 支持使用本地的winscp/flashFXP/SecureFX客户端工具登录堡垒机访问SFTP/FTP设备 10. Web访问方式：至少支持使用IE、谷歌、火狐三种浏览器打开堡垒机的Web页面直接调用mstsc、VNC、Xshell、SecureCRT、Putty、winscp、flashFXP、FileZilla、SecureFX运维客户端工具 11. 支持对运维操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容（如对文件的上传、下载、删除、修改操作的详细行为日志。 ★12. 支持DB2、oracle、mysql、sqlserver数据库协议代理运维，可直接调用本地windows系统的数据库客户端工具，支持自动登录、无需应用发布前置机。 ★13. H5运维方式：支持ssh、telnet、rlogin、rdp、vnc协议的H5运维，无需本地运维客户端工具。 14. 支持审计数据库（如DB2、oracle、mysql、sql server）运维中的SQL语句，可进行关键信息定位查询 15. 支持自身审计，包括但不限于：系统状态检测、登录日志、用户配置日志、设备配置日志、授权配置日志、策略配置日志、运维访问日志、系统配置日志。	1	台
5	远程安全评估(漏扫）	1. 软硬件一体化产品，硬盘≥1T，内存≥16G，配备至少6个100/1000M自适应电口，USB口≥2，RJ45串口≥1。 2. 提供3年硬件维保服务及特征库升级。 3. 支持对各种网络主机、操作系统、网络设备(如交换机、路由器、防火墙)、常用软件以及应用系统的识别和漏洞扫描。 4. 用户可自定义扫描范围、定义扫描端口、扫描使用的参数集具体扫描选项。 5. 提供采用SMB、SSH、Telnet、RDP、SNMP协议对Windows、Linux系统进行登录授权扫描。 ★6. 具备弱口令扫描功能，支持弱口令扫描协议数量≥22种，包括FTP、SMB、RDP、SSH、TELNET、SMTP、IMAP、POP3、Oracle、MySQL、MSSQL、DB2、REDIS、MongoDB、Sybase、Rlogin、RTSP、SIP、Onvif、Weblogic、Tomcat、SNMP协议进行弱口令扫描，允许用户自定义用户、密码字典。 ★7. 支持端口探测方式≥7种，如： TCP ACK、TCP SYN、TCP Connect、TCP Null、TCP Xmas、TCP Window、TCP Fin。 8. 在做系统扫描任务时发现的新资产能够自动录入至资产管理页面。 9. 支持自定义扫描策略模板，可以将自定义策略模板导出备份，也可以导入备份的策略模板，能够对策略模板进行编辑、另存为新的模板。 10. 支持导出的报告类型≥5种，包括HTML、WORD、PDF、EXCEL、XML报告格式。 ★11. 支持在线查看报告和离线导出报告，报告导出可将弱口令隐藏不以明文的形式展现至报告。 12. 提供直观的风险危害等级图表和风险类型统计图表、漏洞的描述、漏洞的风险级别、加固建议。 13. 提供审计功能，能够对登录日志、操作日常进行记录和查询，并可以将日志导入导出操作。 14. 支持安全配置，可以根据需要开启或关闭验证码登录。	1	台
6	EDR杀毒软件	1. 至少支持30台PC和6台SERVER杀毒功能。 2. PC支持Windows XP、Windows 7、Windows 8、Windows 10操作系统，SERVER支持Windows server 2003、Windows server 2008、Windows server 2012、Windows server 2016、Centos 5.0 +、Redhat 5.0 + 、Suse11 +、 Ubuntu 14 +操作系统 3. 支持控制台动态更新显示全网终端安全状态分布，包括：终端总数、在线终端数、防护中终端数、异常设备数； 4. 支持对CPU使用率监控、内存占用率监控、磁盘读写监控、上下行流量监控。 ★5. 支持对CPU、内存、磁盘读写、网络上下行流量达到配置阈值时告警。支持对CPU、内存达到一定阈值时客户端进行熔断。 6. 支持自动收集终端资产信息，包括：计算机名称、内核版本、操作系统、处理器、主板、内存、硬盘、显卡、终端版本、病毒库版本、最近更新时间 ★7. 违规外联支持黑、白名单双模式，白名单模式可配置是否允许访问特定的网站和地址；黑名单模式可自定义恶意IP，支持黑名单告警和阻断。 ★8. 支持登录防护，包括以系统账号为粒度的异常登录防护、支持五个任意维度（任意IP，任意域名，任意计算机名，任意时间）的系统登录访问策略设置。 9. 支持扫描的漏洞类型包括但不限于操作系统漏洞（Windows、Linux）、数据库漏洞（MySQL）、Web容器漏洞（Tomcat、Apache、Ngnix）及其他组件漏洞。 10. 支持对无线网卡、光驱、软驱、打印机、调制解调器、红外设备、蓝牙设备、摄像头、鼠标、键盘、手机/数码设备的权限管理。 11. 支持对USB接口、串口/并口、1394控制器、PCMCIA接口的控制。 12. 针对Windows系统，提供内核级的数据防护能力，保护文件不被恶意修改、加密，可自定义配置保护的文件及目录，支持设置例外进程。 13. 支持强力查杀，对于无法普通隔离的病毒文件进行处理并加入隔离区，或动态移动到信任区。 14. 支持部分病毒感染文件的修复功能，对于二进制文件可剥离感染部分，保证应用正常使用。 15. 支持下发文件、安装应用程序、远程执行命令。	1	台
7	准入设备	1. 硬件规格：硬件服务器工控机硬盘≥2T、千兆电口≥6个、Console口≥1； 2. 最大支持30台无代理软件设备安全管理，同时支持瘦终端、IoT设备、ICS设备 3. 支持802.1x、EOU、Portal、端口镜像、策略路由、设备指纹准入多种控制方式，并可以混合使用，且支持无代理方式，适应有线、无线、NAT、HUB、VPN、远程分支机构接入多种复杂网络环境。 4. 支持对接入设备指定相应的绑定规则，根据接入设备是否符合接入规则来决定允许或拒绝其接入，防止仿冒终端接入，如基于计算机IP/MAC、交换机端口、接入控制点设备进行灵活绑定，并且可支持一对多、一对一、多对一、多对多进行绑定。 5. 支持对免检设备进行仿冒检查，可支持基于设备行为特征的仿冒检查，并可将仿冒设备隔离。 ★6. 支持Liunx操作系统安全检查，其中包括防病毒软件检查、进程运行检查、软件、软件组配置检查、屏保检查。 7. 支持MacOS安全检查，其中包括防病毒软件检查、终端是否加域检查、进程运行检查、软件、软件组配置检查和屏保检查。 8. 支持无客户端环境下，802.1x有线、无线网络的VLAN动态下发和ACL动态下发。 9. 支持对思科、华三、华为、锐捷、迈普网络和安全设备进行识别。 10. 支持对操作系统、设备信息、流量关系进行识别，同时支持自定义添加资产指纹，可根据扫描到的资产字段添加资产指纹识别规则。 ★11. 支持AD域环境，无需安装任何客户端。支持Windows设备安全检查，其中包括防病毒软件检查、是否加域检查、系统补丁检查、服务检查、软件及软件组检查。 12. 支持以图表的方式展现IP资源的实际使用情况，包括已使用、未使用IP地址以及每个IP地址的终端类型，协助管理员对IP资源进行整体规划，快速完成IP地址资源分配和回收登记管理。 13. 系统拥有自监控模块，能够检测系统硬件资源使用情况。系统模块可用性检测，如有异常可通过页面、短信、邮件方式向管理员预警，也可与第三方监控平台对接，如Zabbix。 ★14. 支持Windows设备安全检查，其中包括防病毒软件检查、Guest来宾账号检查、弱口令账号检查、是否加域检查、共享目录检查、系统补丁检查、系统版本检查、服务检查。	1	套
8	终端管理	管理中心系统软件，支持主流Windows Server及Linux操作系统，Windows版支持单机模式部署，Linux版支持单机或集群模式部署，中英双语界面。可实现对客户端的集中管理，包括终端统一部署、策略配置、任务分发、集中监控、日志报表等终端安全管理功能。含防病毒（不含第三方扩展引擎）、补丁管理、主机防火墙、终端管控功能。支持Windows PC客户端操作系统（30套），默认包含三年更新服务。	1	套
9	机房物理环境	1.增加火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火； 2.采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； 3.采取措施防止暖气水管漏水； 4.采取措施防止机房内水蒸气结露和地下积水的转移与渗透； 5.增加精密空调温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围之内；	1	套
10	测评	等保二级评测服务	1	套

其他要求：
1、提供有效的证明材料（检测报告或截图或其他证明材料），要求证明项目需求中“★”条款。
2、分包
（1）本项目仅“测评”部分为非主体、非关键性工作，允许成交供应商中标后将其分包，分包承担主体必需具备《网络安全级保护测评机构推荐证书》，且不得再次分包，不得将本项目全部分包。分包单位在项目实施前需提供项目需求中要求评测机构具备的有效的人员及资质证书报采购人审核。
（2）经采购人同意，中标人可以依法采取分包方式履行合同，政府采购合同的分包履行必须经过采购人同意，未经同意，不得擅自采用分包方式履行合同。
（3）分包，指中标人将自己在合同中的一部分权利和义务转让给其他供应商，由受让供应商负责履行。
 
二、告知事项
1、参与供应商投标文件中实质响应的技术参数须符合项目需求的要求且应为所投产品的实际详细技术参数，如所投产品的参数为固定数值的，则必须填写实际的固定值。
2、验收程序：由采购单位依据本项目文件组织验收。
3、所属行业分类：信息传输业
 
 
 
1