南平市政府采购合同
编制说明
1、签订合同应遵守《中华人民共和国政府采购法》、《中华人民共和国合同法》。
2、签订合同时,采购人与中标人应结合招标文件第五章规定填列相应内容。招标文件第五章已有规定的,双方均不得对规定进行变更或调整;招标文件第五章未作规定的,双方可通过友好协商进行约定。
甲方:福建林业职业技术学院
乙方:福建广电网络集团股份有限公司
根据招标编号为[350700]NPGGZY[GK]2019023的福建林业职业技术学院信息系统安全运维及等保服务货物类采购项目项目(以下简称:“本项目”)的招标结果,乙方为中标人。现经甲乙双方友好协商,就以下事项达成一致并签订本合同:
1、下列合同文件是构成本合同不可分割的部分:
1.1合同条款;
1.2招标文件、乙方的投标文件;
1.3其他文件或材料:□无。□无。
2、合同标的
包号 | 品目号 | 品目编号 | 品目名称 | 商品名称 | 数量 | 计量 单位 |
产地 类型 |
单价 | 金额 | 品牌 | 型号技术 指标等 |
产品属性 | ||||
1 | 1-1 | A02010301 | 防火墙 | 详见投标文件 | 1 | 批 | 国内 | 1955000 | 1955000 | 详见投标文件 | 详见投标文件 | 无 | ||||
合计: | 1955000.0000 |
3、合同总金额
3.1合同总金额为人民币大写:壹佰玖拾伍万伍仟元整(¥1955000.0000)。
4、合同标的交付时间、地点和条件
4.1交付时间:合同签订后 (20 ) 天内交货;
4.2交付地点:福建省南平市延平区海瑞路1号;
4.3交付条件:按业主要求。
5、合同标的应符合招标文件、乙方投标文件的规定或约定,具体如下:
1-1 信息系统安全运维及等保服务 优炫、定制本服务根据学院的网络环境结合本次采购硬件安全设备完成安全域建设服务、边界安全访问服务、边界入侵防御服务和抗拒绝服务、边界病毒过滤服务、WEB应用安全网关服务、网页防篡改服务、数据库审计服务、运维审计服务、门户网站安全监测、系统安全评估、系统配置核查及优化、应急处置机制和等级保护建设日常体系化管理服务。一、等级保护咨询服务1次/年根据《中华人民共和国网络安全法》及教育部关于《信息系统安全等级保护基本要求》等,对我院的应用系统、内部信息管理系统和网络现状进行调研,参照业务信息安全级别和系统服务安全级别,判定信息系统所属级别,编制等级保护定级备案表和信息系统定级报告,最后协助到公安机关指定部门完成定级备案过程。 提交《等级保护定级备案表》、《信息系统定级报告》。 二、安全资产梳理服务1次/年 提供相应的系统网址,通过数据挖掘和调研的方式确定单位资产范围,之后基于IP或域名,采用 WEB扫描技术、操作系统探测技术、端口的探测技术、服务探测技术、WEB爬虫技术等各类探测技术,对客户信息系统内的主机/服务器、安全设备、网络设备、工控设备、WEB应用、中间件、数据库、邮件系统和DNS系统等进行主动发现,并生成资产及应用列表,列表中不仅包括设备类型、域名、IP、端口,更可深入识别运行在资产上的中间件、应用、技术架构的详细情况(类型、版本、服务名 称等),并由安全专家对每个业务梳理分析,结合业务特点对资产重要程度、业务安全需求进行归纳,最终针对性的形成的资产画像,精准探测信息系统互联网暴露面。 提交我院《互联网系统资产信息表》。 三、安全风险评估服务2次/年 1、对校园的信息系统网络安全、主机安全(WINDOWS、Linux等操作系统,Oracle及SQL Server等数据库,Windows终端等)、应用安全(Weblogic、Tomcat等)、数据安全等开展风险评估,形成信息系统风险评估报告,清晰呈现信息系统的的整体信息安全状况。 2、对安全存在的漏洞及问题协助相关人员开展安全整改工作; 3、对整改后的问题进行复测进行验证并编制安全评估报告。 4、提交《XXX信息系统风险评估报告》。 四、安全漏洞扫描评估服务4次/年 1、利用先进的漏洞扫描工具和服务理念,为客户提供漏洞扫描、漏洞修复和修复确认等闭环的漏洞管理服务。信息系统漏洞扫描服务需经过服务授权,使用的方法、流程细节经过的授权同意。承诺不会对授权范围之外的主机、网络系统进行相关实施操作。 2、通过安全扫描评估,可以及时发现信息系统中存在的安全漏洞,通过对Windows、Linux服务器及安全设备漏洞的整改,可以及时地消除安全漏洞可能带来的安全风险。采用的漏洞扫描工具为拥有自主知识产权的成熟商业漏洞扫描器产品。 3、对每次扫描结果生成校园网安全漏洞扫描报告。 五、安全漏洞整改加固服务12次/年 协助对非合规项进行加固,并协助完成安全等保测评和安全复查。 准备阶段: 1.加固资产清单:根据系统资产清单或日常巡检结果、漏扫结果、基线安全扫描结果确定需要进行加固的设备; 2.安全加固方案:制定加固方案,内容包括各类型资产的加固项、实施步骤等内容; 3.准备测试环境:为重要信息系统的安全加固工作提供相应的测试环境。 执行阶段: a)启动安全加固工作,通过《基线安全检测表》、《基线扫描结果》、《日常巡检结果》、《漏洞扫描结果》及《威胁情报分析结果》形成安全加固需求,最终形成《安全加固方案》; b)围绕必要性、适用性和可行性,对《安全加固方案》组织专家评审; 4.测试环境加固生效通过,进行正式生产环境的部署加固,形成相关工作日志记录,最终完成安全加固工作。 5.提交《安全漏洞扫描报告》《安全漏洞整改计划表》等。 六、弱口令扫描与整改服务12次/年 1、在服务工作中,使用传统漏洞扫描器并结合其他第三方工具,比较快速的进行全端口扫描(0-65535),进而进行弱口令猜测扫描。 2、口令包括系统弱口令、应用弱口令、数据库弱口令、中间件弱口令,检测方式包括黑盒暴破、灰盒检测。 3、通过口令检测任务,对SMB、TELNET、FTP、SSH、POP3、SQL Server、MYSQL、Oracle、Sybase、DB2和SNMP协议进行口令猜测。在任务扫描过程中,可以自定义扩展密码字典,实现对移动特有口令的检查。 4、对弱口令扫描结果与整改情况生成报告,《弱口令扫描报告》《弱口令整改情况报告》。 七、渗透测试服务1次/年 服务内容: 通过安全渗透,深入挖掘应用系统安全漏洞,验证现有安全防护措施的有效性,综合分析可能导致的破坏影响程度。 测试过程中需按照开放式Web应用程序安全项目等标准进行逐项测试,提供原始测试记录。 充分验证找出的问题,给出有针对性的整改加固方案,配合使用单位实施整改,提供整改后的验证测试,直到问题解决。 利用各种主流的攻击技术(包括漏洞扫描)对网络系统做模拟攻击测试,以发现系统中的安全漏洞和风险点,提前发现系统潜在的各种高危漏洞和安全威胁。 采用的渗透测试扫描工具可实现自动化渗透测试,贯穿整个渗透过程的操作,包括信息收集、指纹管理、漏洞发现、漏洞利用、后渗透攻击等模块;可以根据可编程平台提供的接口编写自己的攻击插件,实现自定义的攻击需求。 服务要求: 1.保证网站等应用系统安全;涉及到潜在危害性操作需沟通确认。相关技术人员签订保密协议。 2.提交《应用系统渗透测试报告》、《应用系统渗透整改报告》,为用户提供测试过程、方法及结果的分析讲解。为保障渗透测试安全有效。 八、安全配置核查评估服务12次/年 1、针对交换机、路由器、防火墙、入侵防御系统、VPN等网络及安全设备进行设备设置的人工检查,尽量减少网络设备因配置不当产生的安全弱点,提升网络设备自身及网络整体的抗攻击能力,包括设备管理(console、ssh、管理IP、AAA等)、账号管理、认证授权、登陆方式、日志审计、服务端口优化、安全防护(SNMP、协议加密、地址欺骗等)、安全策略合理性。 2、采用的安全配置核查工具允许导入策略配置数据采集生成的xml报表格式的扫描结果,并生成报告进行评分。 3、提交《安全配置核查报告》 九、应急响应服务(按需) 1、对单位内的信息安全事件进行现场及远程应急响应处理,在2小时之内,完成安全事件的响应、到场协助处理,制定网络安全事件处理报告。提供7×24小时的应急响应服务,第一时间电话响应和驻场处置。 2、提交《信息安全事件情况报告》和《应急响应处置情况报告》。 十、重大安全事件处置服务(按需) 1. 及时快速解决安全故障,修复系统,减少或挽回业务损失; 2. 对故障系统作安全检查和清理,弥补故障系统上的安全漏洞; 3. 后续采取预防性措施避免类似事件再次发生; 4. 收集由于安全故障造成的入侵记录、破坏情况、直接损失情况等证据。 5. 当遇到重大安全事件,乙方应立即给予电话咨询或远程维护方式技术协助,提供7×24小时服务支持。重大安全事件处置服务小于2小时。 6、提交《重大安全事件处置情况报告》等。 十一、网站安全监测服务 使用云端监测平台进行机器检测,并且在网站监测中心配有7x24小时值班队伍。一旦在发生安全告警事件,值班队伍会针对告警内容进行人工检测,确保无误报。确认安全问题后会及时通过电话、邮件、短信等方式通知相关网站的运维团队。 十二、系统上线评估服务1次/年 1、在系统上线前对系统安全状况进行检验,从信息安全的角度对应用系统、集成环境等安全状况进行安全检查与评估,对发现的问题进行及时处理,避免将影响系统安全的问题遗留到系统上线后,成为系统安全的隐患。 2、综合运用漏洞扫描、web漏洞扫描、弱口令检查、配置基线核查、渗透测试等多种类型的工具,开展风险评估服务。 3、对新系统参照业务信息安全级别和系统服务安全级别,判定信息系统所属级别,编制等级保护定级备案表和信息系统定级报告,最后协助到公安机关指定部门完成定级备案过程。 十三、安全检查迎检服务(按需) 在规定项目服务时间内,配合客户迎接上级领导或相关部门的安全检查工作,并制定安全迎检规范和计划,协助进行安全检查工作,协助进行安全应急演练。安全检查迎检服务不定期,服务厂商具有在互联网上自建独立运营的漏洞响应众测平台,支撑渗透测试开展。 具体工作如下: 技术层面上:协助完成安全检查所要求的符合性评测表点对点应答、安全风险评估报告、安全自评估总结报告等工作,并总结相关安全迎检技巧,例如弱口令彩虹表比对方式、政策法律法规宣讲、最小化的安全加固方式等; 管理层面:协助完成要求的安全技术纲领和管理制度文档,协助完成审核需要提交的文档报告,包括风险评估报告、应急演练预案等。 重大节日期间值守服务 针对如元旦、春节、315、两会、七一建党节、国庆等重大节假日时期提供重要时期的安全保障服务,主要服务安排如下: 事前服务:重大节假日开始之前,对服务范围内的重要系统进行全面安全检查,并协助进行安全加固,并对安全加固的结果进行复测,确认安全问题的及时有效的修复; 事中值守:在重大节假日期间提供增强的安全运维服务,包括至少额外增派1名经验丰富的专家进行现场值守。 事后服务:重大节假日提供重要时期安全保障服务后进行安全保障工作的总结,提供《重要时期安全保障服务报告》。 十四、管理制度梳理及完善服务1次/年 我院安全管理制度建设的梳理及完善,主要包括网络信息安全工作职责,信息安全监督、检查机制;辅助用户编写各项安全制度、各类记录表格等。管理制度包括但不限于:《安全管理日常维护细则》、《安全审计管理制度》、《第三方人员管理制度》、《防病毒紧急响应流程》、《机房监控与管理流程》、《机房运行管理规范》、《服务器运维管理规范》、《软件开发环境使用管理要求》、《系统交付管理规范》、《资产安全管理规范》、《安全事件报告和处置管理规范》、《人员安全管理规范》、《信息系统安全运维管理规范》等。 提交成果:《安全管理制度汇编》。 十五、网络与信息安全培训服务2次/年 提供安全教育服务和安全意识培训,包括信息安全意识宣传和信息安全意识培训,内容涵盖信息安全的基本概念、安全管理制度要求、日常操作安全须知、常见应用软件安全配置、恶意代码的防范等知识。帮助采购人提高安全意识、安全知识和安全能力,普及信息安全日常知识。 提交《xxx安全培训.PPT》《xxx培训记录表》等培训服务资料。 1-2 下一代防火墙(核心产品) 2台 网神、NSG5000-TG65M-Q 1.采用2U机箱, 6个10/100/1000BASE-T接口, 2个SFP+插槽(含4个原厂SFP+模块),可插拨的扩展槽1个,双冗余电源,包含应用识别功能,含3年应用特征库升级许可,3年硬件保修服务;防火墙吞吐率16Gbps,应用层吞吐率8Gbps,并发连接数400万,日志存储时长6个月。 2.产品由专用的硬件平台、安全操作系统及功能软件构成。设备采用自主知识产权的专用安全操作系统,采用多核多平台并行处理特性;安全操作系统采用冗余设计,出于安全性考虑,多系统需在设备启动过程中进行选择不得在WEB维护界面中设置系统切换选项。 3.为提高链路可靠性,支持手工链路聚合及LACP链路聚合,提供11种的负载分担算法,灵活实现对聚合组内业务流量的负载分担。 4.支持智能DNS及DNS Doctoring功能,能够将来自内部网络的域名解析请求定向到真实内网资源,提高访问效率,同时支持通过配置多条 DNS Doctoring,实现内网资源服务器的负载均衡。 5.支持一对一SNAT、多对一SNAT、一对一DNAT、双向NAT、NoNAT等多种转换方式;支持Sticky NAT开关,使相同源IP的数据包经过地址转换后为其转换的源 IP 地址相同; 6.支持MAP66功能,将从内部发往Internet的数据包的源IPv6地址修改为全球单播源IPv6地址,实现IPv6网络间的地址转换; 7.支持在一台物理设备上划分出128个相互独立的虚拟系统,可根据连接配额及连接新建速率为每个虚拟系统分配资源; 8.支持设置密码有效性,如首次登陆修改密码、密码定期修改、密码有效时间等设置,用户忘记密码时,支持密码找回; 9.支持本地CA和第三方CA,支持作为CA认证中心为其他人签发证书,也可采用第三方CA为其他人签发证书;支持标准CRL列表,支持CRL手工更新,同时支持CRL自动下载,通过HTTP或者LDAP方式定时自动下载更新CRL文件; 10.支持对单条访问控制策略进行最大并发连接数限制; 11.支持监控功能,显示最近被拦截的IP、地址对象及应用的节点信息;同时支持对连接数限制策略匹配信息进行分类统计,方便管理员根据统计分析结果进行相应的防护控制; 12.提供智能策略分析功能,支持策略命中分析、策略冗余分析、策略冲突检查,并且可在WEB界面显示检测结果:红色为冗余策略,绿色为冲突策略; 13.支持异常行为检测,内置统计智能学习算法,对特定地址对象建立监控策略,基于新建、并发、流量等数据与上一周期记录值进行比较判定是否异常,如果存在异常则报警; 14.支持基于DNS协议的检测清洗,包括但不限于:DNS QUERY FLOOD、DNS REPLY FLOOD、DNS投毒攻击、DNS格式检查、DNS NX异常比率检测等;支持DNS QUERY源认证、DNS REPLY源认证,认证方式可选基本源认证或者cname认证; 15.支持基于HTTP协议的检测清洗,包括但不限于:HTTP Flood、HTTP新建连接Flood、HTTP并发连接Flood、HTTP URI CC等攻击检测,同时支持对HTTP slow-header和HTTP slow-post设置最大传输时间以及异常会话数阈值,有效防御慢速攻击; 16.支持基于NTP协议的检测清洗,包括NTP REQUEST FLOOD、NTP REPLY FLOOD等攻击检测,支持基于NTP请求限速、NTP响应限速、源认证、会话认证的防御策略; 17.支持根据DOS/DDOS攻击行为自动添加动态黑/白名单功能,可自定义动态黑/白名单超时时间; 18.可扩展支持防病毒功能,内置2种专业反病毒厂商或研究机构的病毒特征库,符合等级保护相关标准对网关防病毒特征库和主机防病毒特征库异构的要求,病毒特征库规模400万; 19.支持多个配置文件并存,配置文件数量20个。 1-3 VPN 1台 深信服、VPN-1000-B440 1.性能指标:吞吐量500Mbps,并发会话数60万;支持 SSL VPN 并发用户1000个;SSL 最大加密流量200Mbps,IPSEC 最大加密流量85Mbps; 硬件指标:内存2G,SSD硬盘64G,配备4个千兆电口,4个千兆光口,双电源,1U;包含500个SSL VPN接入授权; 2.支持PC终端使用包括Windows8、Windows7、Windows Vista、Windows xp、Mac OS、Linux等主流操作系统来登录SSLVPN系统,并完整支持该操作系统下的各种IP层以上的B/S和C/S应用; 3.支持终端使用包括IE6、7、8、9、10、11或其他IE内核的浏览器,以及非IE内核浏览器、如Firefox,Safari,Google Chrome,Opera,Windows EDGE登录SSL VPN系统; 4.支持用户终端登录前、登陆后的安全性检测,确保接入终端的安全性.检测范围包括:用户接入IP、登录时间、进程、文件、注册表、操作系统、使用终端; 5.支持硬件网关的硬件鉴权,可根据VPN设备本身的硬件信息生成证书,分支设备接入总部根据该证书进行验证,防止非法网关的接入; 6.为保证产品性能及后续技术开发; 7.支持针对不同的web页面进行数据优化,基于数据流进行压缩,减少不必要的数据传输; 8.支持非对称式部署的传输协议优化技术(单边加速),不用在用户终端上安装任何插件和软件,即可提升用户访问应用服务的速度; 9.为保证产品符合技术要求, SSL VPN设备厂商符合国家密码管理局发布的《SSL VPN技术规范》; 10.支持HTP快速传输协议,大幅优化无线环境(CDMA、GPRS、WIFI、3G)、高丢包、高延等恶劣网络环境下传输速度及效率;支持根据网络境自动选择并切换至最优的传输协议; 11.支持改写WindowsRDP协议,经改写的协议独立于OS运行环境,避免跨平台兼容性,针对图像数据,服务端必须支持有损压缩算法;服务端能够支持过滤动态内容(gif/flash/video)以减少传输流量,且根据客户需要配置; 12.支持经过集成的,基于Android IOS平台的第三方软件开发包(SDK),并实现基于Android IOS平台第三方应用软件(APP)代码量不超过20行; 13.为保证产品市场 认 可度及技术成熟 性,投标人所投的SSL VPN设备应为国产虚拟专用网络VPN成熟产品; 14.扩展支持安全工作域离线登陆,仅验证手势密码即可,保证离线状态下员工可以访问本地应用和数据; 15.扩展支持iOS应用切换到后台后界面模糊,防止未授权的偷窥导致信息泄漏; 16.扩展支持对设备ROOT/越狱动作进行检测,并根据用户终端状态进行自动化处置。若监测到用户终端被ROOT/越狱,可自动对设备进行锁定,避免用户因中木马病毒导致设备被自动ROOT/越狱的情况; 1-4 日志审计系统 1台 网神、R2000-T1624P 1.事件采集能力10000EPS,事件处理能力3000EPS。标准1U机箱,千兆电口6个,2个扩展插槽,1个Console接口,双电源,内置硬盘4T。配置50授权节点。 2.日志收集后进行字段和安全等级的归一化处理,系统归一化字段5个字段,并有8个可自定义字段,日志存储时长不低于6个月。 3.产品支持审计各种网络设备(路由器、交换机等)配置日志、运行日志、告警日志等;支持审计各种安全设备(防火墙、IDS、IPS、VPN、防病毒网关,网闸,防DDOS攻击,Web应用防火墙、等)配置日志、运行日志、告警日志等; 4.产品支持审计各种主机操作系统(包括Windows,Solaris,Linux,AIX, HP-UX,UNIX,AS400)配置日志、运行日志、告警日志等;支持审计各种数据库(Oracle、Sqlserver、Mysql、DB2、Sybase、Informix)配置日志、运行日志、告警日志等;支持审计各种中间价(tomcat、apache、webshpere、 weblogic等)配置日志、运行日志、告警日志等; 5.产品支持通过syslog、snmp trap、netflow、jdbc、odbc、agent代 理、wmi等多种方式完成各种日志的收集功能;对windows服务器(系统、应用和安全)日志和文件类型日志,可免日志代 理或插件,支持用户环境中EVT格式的业务系统日志采集。 6.为保证产品防护效果与实施效果,发挥日志的最大价值,产品生产商具备信息安全服务能力,保障后续在安全风险评估、分析等维度上,数据与结论可信可靠,满足国家安全测评合规要求。。 7.产品支持自定义实时监视场景,提供可视化规则编辑视图,对关注的事件进行实时展示。 8.产品支持在世界地图上实时定位事件源/目的IP地址的地理位置(包括二维及三维显示方式); 9.产品支持对不同类型设备的日志之间进行关联分析,支持递归关联,统计关联,时序关联,这几种关联方式能同时应用于一个关联分析规则; 10.产品支持通过关联分析,对于发现的严重事件可以进行自动告警,告警内容支持用户自定义字段;告警方式包括邮件、短信、SNMP Trap、Syslog、MSN、飞鸽传书、设备联动等; 11.为保证产品的防护效果以及后期实施效果,所投产品的生产单位有自主发现漏洞的能力。 12.产品支持提供丰富的报表管理功能,预定义针对各类服务器、网络设备、防火墙、入侵检测系统、防病毒系统、终端安全管理系统、数据库、策略变更、流量,设备事件趋势以及总体报表,满足等保等其他合规性要求;根据时间、数据类型等生成报表,提供打印、导出以及邮件送达等服务;直观地为管理员提供决策和分析的数据基础,帮助管理员掌握网络及业务系统的状况。报表可以保存为html,excel,文本,pdf等多种格式。 1-5 数据库审计系统 1台 网神、K6000-H-TF10M 1.产品为专用硬件平台和安全操作系统,事件处理12000条/秒,4TB磁盘存储空间(内置)。6个千兆自适应电口,支持液晶屏,支持两个扩展槽位,双电源; 2.产品支持旁路部署方式,对原有网络不造成影响,产品本身的故障不影响被审计系统的正常运行; 3.支持数据库绑定变量审计、函数审计(sum求和函数等); 4.支持系统包括审计引擎及管理后台软件、策略管理、告警管理、权限管理、系统日志、系统配置等功能,可支持同时审计多个不同类型的数据库,审计数据统一存储、查询、分析、统计; 5.在无需重启被审计数据库的情况下,支持对MS SQLSserver 加密协议的审计,可正常审计到数据库账号、操作系统用户名、操作系统主机名等身份信息; 6.产品支持分布式部署方式,并支持数据库审计集中管理功能,可快速查看所有审计系统的状态、风险状态等,方便区域性管理及防护策略的落实; 7.产品支持B/S、C/S应用系统三层架构h t t p应用审计,可提取包括应用系统的人员工号(账号)在内的“六元组”身份信息,精确定位到人,并可获取XML返回结果; 8.产品支持翻译功能:实现对SQL语句转换成中文自然语言的描述功能,便于非技术人员理解报警内容; 9.为保证产品的防护效果以及后期实施效果,所投产品的生产单位有自主发现漏洞的能力。 10.产品支持H T T P、POP3、SMTP、NFS网络协议的审计; 11.产品支持审计结果隐秘设置,通过*号对审计结果中的重要信息进行隐秘处理,防止二次泄密。 1-6 堡垒机 1台 圣博润、NK-1000-C200 1.软硬一体化机架式设备,双电源,提供4个1000M电口,支持扩展4个千兆SFP光插槽(非标配),可管理资源数200个,支持licence扩容; 2.支持windows系统、linux/unix系统、网络设备,支持KVM、Vmware、数据库、http/https等; 3.支持批量导入、导出用户信息及设备信息,支持从windows AD域抽取用户账号作为主账号,支持一次性抽取和周期性抽取两种方式,支持Windows AD域账号与堡垒主机账号周期比对,自动或手动删除或锁定失效的域账号,支持windows系统、网络设备、linux/unix系统、数据库等设备账号的收集功能; 4.支持一对一、一对多、多对多授权,如将单个资产授权多个用户,一个用户授予多个资产,用户组向资产组授权,支持跨部门的交叉授权操作; 5.同时支持本地口令认证、AD域认证、短信认证、Radius、usbkey、动态口令认证; 6.支持定期变更目标设备真实口令,支持自定义口令变更周期和口令强度。口令变更方式支持手动指 定固定口令、通过密码表生成口令、依照设备挂载的口令策略生成随机口令、依照密码策略生成同一口令等方式,支持密码策略设置,可自定义密码复杂程度,可设置密码中包含数字、字母、符号及禁用关键字等内容,支持口令有效期设置,用户账号口令到期强制用户修改自身口令; 7.支持密码文件备份功能,密码文件密文保存,密码包及解密密钥分别发送给不同管理员保存; 8.支持自定义多级审批流程,可设置一级或多级审批人,每级审批流程可以指 定通过投票数,用户访问关键设备需相关审批人逐级审批通过才允许访问; 9.支持紧急运维流程,当运维人员对目标设备进行紧急运维时,可通过紧急运维流程直接访问目标设备,同时记录为紧急运维工单,便于相关审批人事后对该流程进行确认以及审计员事后查看; 10.支持双人复核登陆,登录时必须经过第二人授权后才能登录,第二人可通过远程授权或同终端授权两种方式实现授权; 11.支持用户访问时间策略、资源访问时间策略、用户IP地址策略; 12.支持基于单条操作命令或命令组设置行为规则,当运维人员输入违规命令时(包括通过table键、上下键、复制等方式)自动进行告警或阻断。 13.支持命令审批规则,用户执行高危命令时需要管理员审批后才允许执行,命令审批规则可以指 定运维人员、访问设备、设备账号及命令审批人; 14.支持对常见设备运维操作进行记录(至少包括windows主机、linux/unix主机、网络设备等),审计信息至少包括以下内容:用户账户、起止时间、登陆IP、设备IP、设备名 称、设备类型、访问账号、访问协议等信息。支持对堡垒主机的配置行为进行审计记录; 15.支持运维审计自查询功能,用户可查看自身的运维审计历史 ; 16.支持自定义报表,可记录审计报表模板,可生成图形报表,并提供EXCEL、CSV、WORD、PDF、HTML等格式导出; 17.支持IPv6,可以运维使用 IPv6地址的服务器、网络设备,并可实现完整审计; 18.支持手动和自动定期备份配置信息,支持配置信息本地备份及异地FTP备份,支持系统配置还原,可以还原至任一备份点,具有日志防溢出功能,当磁盘空间达到阈值时,可设置停止记录审计日志或日志回滚; 19.支持NTP系统时间同步配置,保证审计日志拥有可靠的时间戳,支持告警对外转发,转发方式支持syslog、SNMP等方式。 20.支持web页面直接发起运维,无需安装任何控件,并同时支持调用SecureCRT、Xshell、Putty、WinSCP、FileZilla、RDP等客户端工具实现单点登陆,不改变运维人员操作习惯; 21.支持通过动作流配置完美支持所有C/S系统的单点登录功能 ; 22.支持云端快速部署,实现远程运维管理的规范化;可按照运维人员数量,调整云端服务器配置,即可实现性能优化; 23.全面支持Windows、linux、国产麒麟系统、Android、IOS、Mac OS等客户端; 24.支持HA,配置信息实时同步,配置过程在web界面完成 ; 25.所投产品具有中国信息安全测评中心颁发的《信息技术产品安全测评证书》且级别EAL3+,具有国家信息安全认证中心颁发的《IT产品信息安全认证证书》。 1-7 网络安全态势感知平台 1台 深信服、SIP-1000-E600 1.硬件指标:1U,内存32G,系统盘为SSD硬盘容量128G,SATA存储空间16T,双电源,标配6个千兆电口;安全感知平台与探针设备为同一品 牌产品; 2.支持不同视角展示全网态势,包括综合安全态势、分支安全态势、安全事件态势、网络攻击态势、外连风险态势、横向威胁态势、脆弱性态势、资产态势等8个独立的大屏展示功能,并支持大屏轮播; 3.支持感知业务、服务器资产,可定义IP地址、所属分支、主机名、责任人、责任人邮箱、所属业务、操作系统、服务与端口等信息,并支持基于流量支持识别操作系统、开放的服务与端口。 4.支持对业务服务器内网横向被访问、横向主动访问、外连等建立行为基线,其中包括访问流量趋势、访问次数趋势、自定义非正常时间段、常见访问源网段、访问源主机、应用TOP5、目的端口TOP5等; 5.支持镜像流量检测业务系统中的弱密码,检测列表包含账号、密码、服务器、所属分析和业务、最近登录源IP、类型、最近发现时间等信息,密码星号显示需超级管理员才可查看,并支持储存数据包内容; 6.支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击;支持跨站请求伪造CSRF攻击检测;支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测;支持其他类型的Web攻击,如文件包含,目录遍历,信息泄露攻击等的检测; 7.平台具备独立文件威胁鉴定模块,支持基于HTTP、邮件、FTB、SMB等协议的文件检测,平台内置病毒检测引擎、人工智能检测引擎等,支持记录恶意文件TOP5、文件名、病毒病毒、发现次数、传播协议、感染源等信息,并支持导出分析结果; 8.支持页面展示业务脆弱性风险分布,不同严重级别业务分布,漏洞类型分布图,漏洞整体态势等,支持7天、30天统计; 9.支持检索审计网络流量日志、DNS日志、用户日志、操作日志,其中网络流量日志可基于时间、访问类型、应用类型等选择项进行组合查询,可基于具体设备、来源/目的所属、IP地址、端口进行具体条件搜索; 10.具备安全日志分析引擎、DnsFlow行为分析引擎、HttpFLow分析引擎、NetFLow分析引擎、MailFLow分析引擎、SmbFLow分析引擎、威胁情报分析关联引擎、第三方安全检测引擎、文件威胁检测引擎等,支持定期自动升级或离线手动升级; 11.日志类型至少包含漏洞利用攻击、网站攻击、僵尸网络、业务弱点、DOS攻击、邮件安全、文件安全、网络流量、DNS日志、HTTP日志、用户日志、数据库日志、文件审计日志、POP3日志、SMTP等各类日志,并可按照以上类型日志的各个关键字段搜索日志; 12.具备失陷(业务和用户)主机详细分析,包含攻击阶段分布、风险等级趋势、安全事件举证、遭受的外部攻击、存在的漏洞风险、行为画像(UEBA)、开放端口等信息。支持对每个安全事件详细举证分析,包含风险危害、处置建议、专杀工具、安全知识库等; 13.为保障产品合规性和成熟度,方便后续的技术支撑和研发; 14.支持与无线控制器进行联动响应,同步无线接入用户信息,实现与安全事件关联,同时支持下发安全策略冻结无线用户账号; 15.支持基于流量实时漏洞功能,漏洞分析类型包含配置错误漏洞、OpenSSH漏洞、目录遍历漏洞、OpenLDAP等操作系统、数据库、Web应用等,页面上支持展示业务脆弱性风险分布、漏洞类型分析、漏洞态势与危害和处置建议,并支持导出脆弱性感知报告; 16.具备国家版权局颁发的软件著作权登记证书,非OEM。 1-8 探针 2台 深信服、STA-100-B440 1.性能指标:吞吐量1.5Gbps,硬件指标:2U,SATA 硬盘1T、内存16G,双电源,配备4个千兆电口+4个千兆光口; 潜伏威胁探针安全感知平台设备为同一品 牌产品; 2.支持旁路部署,支持探针同时接入多个镜像口,每个口相互独立不影响; 3.支持5种类型日志传输模式,包含标准模式、精简模式、高级模式、局域网模式、自定义模式,适应不同应用场景需求; 4.产品具备独立的Web应用检测规则库,Web应用检测规则总数在3000条以上; 5.支持敏感数据泄密功能检测能力,支持敏感信息自定义,支持根据文件类型和敏感关键字进行信息过滤; 6.支持对被Web网站是否被挂黑链进行检测; 7.支持对终端种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为; 8.能够针对IP,IP组,服务,端口,访问时间等策略,主动建立针对性的业务和应用访问逻辑规则,包括白名单(哪些访问逻辑是正常的)和黑名单(哪些访问逻辑肯定是异常的)两种方式; 9.支持安全感知平台对接入探针的统一升级,可展示当前所有接入探针的规则库日期、是否过期等,并支持禁用指 定探针的升级; 10.为保证产品的威胁情报发掘能力,探针设备厂商与第三方有广泛合作,提供cloudfeeder、瑞星、火绒、VirusTotal等平台。 1-9 网络版终端杀毒软件 1台 北信源、景云网络防病毒系统V1.0 1.含100个以上服务器杀毒授权,五年授权。 2.杀毒软件服务端具备企业内部云建设能力,可搭建私有云查杀平台,摒弃公有云,防止数据外泄,减少网络负载; 3.杀毒软件服务端能对所有客户端进行集中管控,通过控制台直接给客户端发送命令,指令采用国际标准的SSL方式加密; 4.具备自主研发的杀毒引擎,类型包括本地引擎,私有云引擎,启发式引擎,系统修复引擎等; 5.具备云端病毒检测技术,可在云端通过当前多种主流引擎对未知样本进行鉴定; 6.具备回扫机制,可定时回扫,重新汇总引擎的扫描结果,确保样本准确性; 7.具备宏病毒专杀能力,支持对加密病毒进行解码; 8.具备主动防御模块,能够监控和清除来自各种途径的病毒、木马、广告软件、恶意插件、隐蔽软件、黑客工具、风险程序等; 9.具备边界防护,对网页访问、程序下载、文件拷贝等敏感系统边界入口的实时监控,拦截危险文件的落地;。
6、验收
6.1验收应按照招标文件、乙方投标文件的规定或约定进行,具体如下:
6.1验收应按照招标文件、乙方投标文件的规定或约定进行,具体如下: 6.1.1设备部分:乙方提供的货物须原厂原包装。在甲方接收前,乙方不得擅自拆封。乙方所提供的货物安装调试完成后,通知甲方签收。在乙方到货后、验收合格前,风险由乙方承担;甲方的签收、代管行为不认定为验收行为。甲、乙双方共同按国家有关验收标准、招标文件、投标文件及合同相关条款要求一同对货物进行验收,逐一检查、核对货物的品牌、外观、规格、数量、配件及安装调试后的使用性能、运行状况等等。若发现有不符合本项目合同内容、招投标文件要求及有关规定的,需立即进行整改;同时甲方可根据不合格货物的情形,有权拒绝接受全部货物或部分货物。双方验收成员应全部在验收报告书上签名;验收结果经甲乙双方盖章确认后,视为验收合格。经两次整改,仍不能达到质量标准的,视为验收不合格。因验收产生的费用全部由乙方承担。设备安装调试到位,符合学院要求运行稳定由学院组织相关人员验收。 6.1.2服务部分:本次服务期3年,每12个月服务期满后,学校将根据双方签订的合同(设备供应、服务过程、服务结果及服务质量等)进行验收。验收时乙方必须派代表参加。 6.1.3验收过程所发生的一切费用由乙方承担。。 6.1.4验收合格后,质保期从安全设备验收合格之日起算,履约保证金同步转为质保金。 。
6.2本项目是否邀请其他投标人参与验收:
不邀请。
7、合同款项的支付应按照招标文件的规定进行,具体如下:
支付期次 | 支付比例(%) | 支付期次说明 |
1 | 100 | 安全设备在满足验收条件,经验收合格后10个工作日支付合同内安全设备总价的100%;(合计:1610000.00元) |
2 | 33 | 完成第一年服务,经学院考核符合学院要求后30日内,支付合同内安全服务总价的33%(合计:113850.00元) |
3 | 33 | 完成第二年服务,经学院考核符合学院要求后30日内,支付合同内安全服务总价的33%(合计:113850.00元) |
4 | 34 | 完成第三年服务,经学院考核符合学院要求后30日内,支付合同内安全服务总价的34%(合计:117300.00元) |
8、履约保证金
有,具体如下:有,具体如下:有,具体如下:是否收取履约保证金: 是。履约保证金百分比:5%。说明:中标金额中设备部分总金额的5%(合计80500.00元)。本项目安全设备验收合格后该履约保证金转为质保金,质保金3年后无未了事宜无息付清。若中标方违约,招标方将没收其履约保证金或扣除相应维保费用。。
9、合同有效期
合同签订之日起至质保期满且双方款项结算清楚后,自动失效。。
10、违约责任
10.1未按合同规定标准交付货物的违约责任。 乙方所交付的货物的品种、型号、规格、数量、质量等不符合合同规定标准的,甲方有权拒绝部分或全部货物,乙方应向甲方偿付被拒货物货款的20%的违约金。 10.2乙方未按期交货的违约责任。 ①如果乙方未能按合同规定的时间足额交货(不可抗力除外),须支付延期交货违约金并赔偿由此给甲方造成的损失,延期交货违约金按迟交货物金额的0.5%(每日)计算。甲方同时有权选择同意延长交货期还是不予延长。 ②若乙方逾期交货达30天(含30天)以上的,甲方有权单方面解除合同,乙方仍应按上述约定支付延期交货违约金。 ③若乙方不能交货的,乙方应按合同金额的30%向甲方支付违约金。若因此给甲方造成损失的,乙方还应赔偿甲方所受的损失。 10.3乙方所供货物质量不合格的违约责任。 ①若乙方所供货物在质量保证期头三个月内出现货物质量问题,甲方有权要求无条件免费更换设备,并有权要求乙方赔偿甲方交易价15%的损失。 ②在质量保证期内,若乙方所供货物修理两次后,仍不能正常使用的产品,应由乙方负责为甲方免费调换同型号同规格的产品或者退货。甲方并有权要求乙方赔偿甲方交易价15%的损失。 ③依据合同规定甲方提出换货的,乙方应在15天内无条件更换至合格(进口设备 60 天内),换货所产生的费用由乙方自行承担;若二次更换后的产品还存在质量问题,甲方有权终止合同、要求乙方全额退还货款,且乙方应向甲方偿付货款的30%的违约金,违约金不足以补偿甲方损失的,甲方有权要求乙方继续对不足部分予以赔偿。 10.4乙方未能按照约定的限定时间提供服务的违约责任。 若乙方未能按照合同约定的时间提供服务的,≤100万元的设备,每逾期1天,乙方应按货款的0.3%向甲方支付违约金;高于100万元且低于1000万元的设备,每逾期1天,乙方应按货款的0.15%向甲方支付违约金;违约金的上限为合同总金额的30%。若因此给甲方造成损失的,乙方还应赔偿甲方所受的损失。 10.5在补救违约而采取的任何其他措施未能实现的情况下,即在甲方发出的违约通知后15天内(或经甲方书面确认的更长时间内)仍未纠正其下述任何一种违约行为,甲方有权解除或终止本合同:①乙方明确表示不履行合同义务的。②乙方未能在合同规定的期限内或双方另行确定的延期交货时间内交付合同约定的货物。③经过二次退换货或三次维修后,仍不能达到约定质量标准或不能满足使用性能的。④乙方部分供货缺陷导致其余货物不能完整有效使用且该缺陷未能改正的。。
11、知识产权
11.1乙方提供的采购标的应符合国家知识产权法律、法规的规定且非假冒伪劣品;乙方还应保证甲方不受到第三方关于侵犯知识产权及专利权、商标权或工业设计权等知识产权方面的指控,任何第三方如果提出此方面指控均与甲方无关,乙方应与第三方交涉,并承担可能发生的一切法律责任、费用和后果;若甲方因此而遭致损失,则乙方应赔偿该损失。
11.2若乙方提供的采购标的不符合国家知识产权法律、法规的规定或被有关主管机关认定为假冒伪劣品,则乙方中标资格将被取消;甲方还将按照有关法律、法规和规章的规定进行处理,具体如下:。
12、解决争议的方法
12.1甲、乙双方协商解决。
12.2若协商解决不成,则通过下列途径之一解决:
提交仲裁委员会仲裁,具体如下:。
向人民法院提起诉讼,具体如下: 向人民法院提起诉讼,具体如下:因本合同或与本合同有关的一切事项发生争议,由双方友好协商解决。协商不成的,任何一方均可向甲方所辖地人民法院提起诉讼。。
13、不可抗力
13.1因不可抗力造成违约的,遭受不可抗力一方应及时向对方通报不能履行或不能完全履行的理由,并在随后取得有关主管机关证明后的15日内向另一方提供不可抗力发生及持续期间的充分证据。基于以上行为,允许遭受不可抗力一方延期履行、部分履行或不履行合同,并根据情况可部分或全部免于承担违约责任。
13.2本合同中的不可抗力指不能预见、不能避免、不能克服的客观情况,包括但不限于:自然灾害如地震、台风、洪水、火灾及政府行为、法律规定或其适用的变化或其他任何无法预见、避免或控制的事件。
14、合同条款
乙方应通过有效、稳定、可靠的服务,持续的服务保障体系,完善的维护响应计划,以及完整、贴切的技术培训服务来为该项目构建完善的售后服务体系。
14.1 售后服务机构
乙方应在服务期内指定专门负责人负责该项目的实施,负责对本项目的售后服务进行协调,负责用户硬件设备的返回维修、对工程人员的技术指导、对用户提供咨询、建立售后服务档案、派精干技术人员赴用户现场解决疑难问题等。
14.2 响应和故障恢复时间
设备如发生故障,接到用户的函、电后,半小时内响应。如需现场服务,2 小时内响应,4 小时内到达现场。在规定时间内不能修复,提供备品备件。每次服务需由运维人员将维护内容记录在维护记录单内,并由甲方在维护记录单的签署为有效,维护记录单将长期保存在用户档案中。
14.3 服务期与设备保修期
项目服务期为 3 年(36 个月),所涉及设备保修期为三年(36 个月)。在项目服务期内,乙方应根据甲方要求提供服务,甲方根据服务质量进行评估,经甲方评估乙方未达相应服务标准的,甲方有权扣减相应服务费。在设备保修期内,乙方应无偿并迅速更换故障产品或部件,软件免费维护和升级。
14.4 保修期后的服务
保修期满后,乙方维修响应时间、服务质量承诺不变,提供免费技术咨询和远程服务,但提供有偿现场服务(费用包含差旅费和备件成本)。
14.5 服务范围
根据服务条款完成服务,涉及的安全设备在服务期内发生故障,乙方应免费立即诊断故障、排除故障、包括更换设备零部件。
15、其他约定
15.1合同文件与本合同具有同等法律效力。
15.2本合同未尽事宜,双方可另行补充。
15.3本合同自签订之日起生效。
15.4本合同纸质文件一式三份。合同电子文本通过政府采购网上公开信息系统自动备案。合同纸质文本需与备案电子文本一致,以备案电子文本为准,具有同等效力。
15.5其他:□无。□无 。
甲方: | 福建林业职业技术学院 | 乙方: | 福建广电网络集团股份有限公司 |
住所: | 1、福建省南平市金山路140号(天麟校区)2、福建省南平市海瑞路1号(江南校区) | 住所: | 福州市鼓楼区温泉街道华林路207号福建广电网络大楼 |
单位负责人: | 刘文开 | 单位负责人: | 张远 |
委托代理人: | 委托代理人: |
|
|
联系方法: | 13328387060 |
联系方法: | 15859020286 |
开户银行: | 中国农业银行南平市延平支行 | 开户银行: | 中国银行福建省分行 |
账号: | 13910101040001559 | 账号: | 427362517691 |
签订地点: