招标
浏阳天福打叶复烤有限责任公司网络信息安全系统建设项目变更公告(第三次)
金额
-
项目地址
湖南省
发布时间
2021/11/29
公告摘要
项目编号jycz202101198
预算金额-
招标公司浏阳天福打叶复烤有限责任公司
招标联系人何云
招标代理机构湖南建业管理咨询有限公司
代理联系人鲁奕伶0731-84455989
标书截止时间-
投标截止时间-
公告正文
各潜在投标人:
现对《浏阳天福打叶复烤有限责任公司网络信息安全系统建设项目》(招标编号:JYCZ202101198)》进行第三次变更,具体内容如下:
1)原招标文件第三章 《技术服务方案及要求》货物需求清单:
序号 货物名称 规格型号或技术要求 数量 单位
办公网
1 终端安全管理系统 1、本次项目配置信息:
控制中心:终端安全管理系统基础组件,实现系统的集中管理、策略配置、报表查看等功能。可安装在Windowsserver 2016等系统上。
客户端:防病毒功能+补丁+运维管控功能,支持Windows XP/VISTA/WIN7/WIN8/WIN10,可扩展其它操作系统平台和其它功能。含180个授权点,三年升级服务。
2、按终端维度展示终端的硬件、软件、操作系统、网络、进程等信息;
3、支持插件清理,按插件显示展示全网存在的插件和涉及的终端,可清理指定或全部插件、加入信任;按终端显示展示全网每个终端存在的插件,可清理插件;
★4、支持控制中心防暴力破解,采用手机APP动态令牌方式进行二次认证,针对控制中心高危操作支持动态口令验证;
5、能至少实现以下四大类安全防护:如浏览器防护,系统防护,入口防护和隔离防护,其中浏览器防护包含网页防护,看片防护,网购防护,搜索防护,首页锁定,默认浏览器防护,邮件安全防护。系统防护包含摄像头防护,键盘记录防护,文件系统防护,驱动防护,进程防护,注册表防护。入口防护包含下载安全防护,U盘防护,黑客入侵防护,漏洞入侵防护,DNS防护,局域网防护。隔离防护包含可疑程序隔离防护。
6、根据用户部署模式可配置云查询引擎的鉴定模式,能实现终端直接连接到公有云查询,终端通过控制中心连接到公有云查询,终端连接到鉴定中心查询,终端通过代理服务器连接到公有云端查询
7、支持Windows操作系统、IE、.NET Framework、Office、Adobe Flash Player、Adobe Acrobat和Adobe Acrobat Reader DC漏洞管理功能。
8、支持按照补丁(漏洞)的维度统计漏洞修复情况,包括补丁号、CVE号、安全公告、补丁名称、补丁描述、漏洞级别、发布日期、未修复终端数、已修复终端数、已安装未重启终端、已忽略终端数。并支持统计报表导出
9、具备漏洞集中修复、自动修复,具备蓝屏修复功能;
10、远程管理:支持远程操作时锁定屏幕、截取屏幕,远程锁定屏幕后需要输入解锁密码才可再次使用;
11、违规外联:支持tcp、ping、域名解析三种外联探测方式,支持自定义探测地址,探测频率,支持外联告警断网,支持终端互联网出口IP探测
12、应用程序管理:进程白名单,只允许名单中的进程运行,运行名单外的进程时,弹框告警,同时上报告警日志;进程黑名单,禁止名单中的进程运行,运行名单中进程时弹框告警,同时上报告警日志;进程红名单,必须允许名单中的进程,如未运行则强制启动,启动不成功上报告警日志;
13、外设管理:支持管控USB存储设备、usb非存储设备、存储卡、冗余硬盘、软驱、打印机、扫描仪、磁带机、键盘、鼠标、红外、蓝牙、摄像头、手机/平板;
14、所投终端安全管理系统与所投下一代防火墙(互联网边界)进行协同联动,达到网络中立体防护效果,要求所投终端安全管理系统与所投下一代防火墙(互联网边界)为同一品牌,保障系统与系统兼容性与稳定性。
15、提供全球IPv6 Ready测试中心出具的认证证书。。 1 套
2 终端准入控制系统 1、主要针对PC终端、哑终端等设备的准入控制管理,包含:应用准入、802.1x准入、Portal准入、终端入网合规检查、隔离修复、访问控制等功能。整机支持600Mbps吞吐量,可以管理1000终端以下环境。6个千兆电口,1TB 硬盘, 1U设备。配置180个终端授权,三年硬件质保服务。
2、控制中心采用B/S架构管理,具备分组管理、策略制定下发,系统配置,灵活的管理方式
3、支持有线、无线基于应用准入方式,准入配置支持保护服务器区域、例外终端等灵活的配置方式
4、支持基于受控域的入网流程配置,区分有线和无线网络,能够针对有线和无线网络区域分别采用有客户端和无客户端方式准入
5、支持哑终端MAC例外管理,支持批量例外同类型哑终端设备
6、支持健康合规检查策略,采用动态检测技术,需支持多种检查机制,至少支持入网检查、定时检查、周期检查机制,针对接入内部网络的计算机终端实行多种安全检查策略,支持分组策略下发控制,拦截不安全终端接入网络。
7、支持Web认证的在线用户认证会话,认证有效期
8、支持802.1x用户认证、主机认证、MAC认证的在线会话
9、可按照计算机名、 IP、 组织、 检查时间、 模板名称、 检查项、 违规项、 入网隔离、 各违规项具体内容等详情查看,提供分组统计、按违规项统计、违规次数统计等视角统计分析
10、支持与所投的终端安全管理系统统一平台统一客户端管理,并实现集中管理,要求所投终端准入控制系统与所投终端安全管理系统为同一品牌。 1 台
3 下一代防火墙
(互联网边界) 1、网络层吞吐量≥10G,并发连接≥260万,每秒新建连接数≥18万, 标准2U机箱,冗余电源,128GB SSD固态硬盘存储,标准配置6个10/100/1000M自适应电口,4个SFP插槽,另有2个接口板卡扩展插槽,最大支持22个接口,1个Console口,支持液晶屏,支持SSL VPN功能,支持50客户端接入,提供三年应用识别库、URL分类特征库、病毒防护特征库、入侵防御特征库升级、威胁情报订阅功能升级授权和三年软硬件维保服务。
2、所投产品必须支持在源地址转换过程中,对SNAT(源地址转换)使用的地址池利用率进行监控,并在地址池利用率超过阈值时,通过SNMP Trap、邮件等方式告警。
3、支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求。支持旁路模式;
4、支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查;
5、本地防病毒特征库数量≥3500万,能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,以及对至少6级压缩文件进行解压查杀;
6、漏洞防护特征库包含高危漏洞攻击特征,至少包括“SMB溢出攻击”“Struts”、“Struts2”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息
7、支持基于主机或威胁情报视图,统计网络中确认被入侵、攻破的主机数量,至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息;并对威胁情报发现的恶意主机执行自动阻断
8、提供关联分析面板,可将Top应用、Top威胁、Top URL分类、Top源地址、Top目的地址等信息关联,并支持以任意元素于为过滤条件进行数据钻取
9、支持双系统备份,三权分立管理
10、支持与云端联动,至少实现病毒云查杀、URL云识别、应用云识别、云沙箱、威胁情报云检测等功能
11、所投产品为自主创新产品,获得《国家信息安全测评自主原创产品测评证书》 2 台
4 下一代防火墙
(视频监控网边界) 1、网络层吞吐量≥8G,并发连接≥200万,每秒新建连接数10万, 标准2U机箱,冗余电源,标准配置6个千兆电口,2个SFP插槽,支持1个接口板卡扩展槽,1个Console口,64GB SSD固态硬盘存储,支持液晶屏,含三年病毒防护特征库、入侵防御特征库升级服务,三年硬件维保服务
2、所投产品必须支持在源地址转换过程中,对SNAT(源地址转换)使用的地址池利用率进行监控,并在地址池利用率超过阈值时,通过SNMP Trap、邮件等方式告警。
3、支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求。支持旁路模式
4、支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查
5、本地防病毒特征库数量≥3500万,能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,以及对至少6级压缩文件进行解压查杀
6、漏洞防护特征库包含高危漏洞攻击特征,至少包括“SMB溢出攻击”“Struts”、“Struts2”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息
7、提供关联分析面板,可将Top应用、Top威胁、Top URL分类、Top源地址、Top目的地址等信息关联,并支持以任意元素于为过滤条件进行数据钻取
8、支持双系统备份,三权分立管理
9、支持与云端联动,至少实现病毒云查杀、URL云识别、应用云识别、云沙箱等功能
10、所投产品为自主创新产品,获得《国家信息安全测评自主原创产品测评证书》 1 台
5 上网行为管理 1、1U硬件;标配≥6个千兆电接口,提供1个扩展插槽。最大并发连接数为≥15万;最大新建连接数为≥24000个/秒,提供三年硬件质保服务,含三年软件版本升级服务,三年URL库、应用协议库升级服务
2、设备具备独立的(具备标识的)网络管理接口。所有接业务接口均被用满后,仍然可以存在独立的管理口可以访问设备
3、设备提供物理硬件bypass按钮,便于设备巡检、设备故障时管理员无需重启、关机、断电即可恢复网络通畅
4、设备在部署时支持模式选择,可设置为Portal模式,实现Portal服务器功能
5、能够支持IPv6环境下的网址访问审计、生成分析报表等功能;能够在IPv6环境下,正确审计显示用户的IPv6地址
6、可集中呈现上网行为风险等级和状态。行为风险等级包括安全等级、效率等级、合规等级和管控等级。行为状态包括管控效果、运行状态、安全状态、泄密风险状态、合规状态和应用使用状态。点击页面数值可直接跳转查询详情。
7、当用户的网页访问被网页浏览策略封堵时,用户如果发现分类错误能够在页面中向管理员进行反馈;管理员可查看用户反馈的分类错误,并可以选择向服务器反馈
8、可审计、控制Oracle, MySql, SqlServer, PostgreSQL等数据库的访问与操作,包括添加、删除、修改、查询等
9、支持多级虚拟通道,可以将物理带宽分成至少7级虚拟通道,合理分配物理带宽资源
10、支持基于连接数进行流量管理,可以每个人的并发/新建连接数量进行控制
11、用户未通过认证时,支持放行指定的应用
12、具备中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》,级别EAL3+及以上 2 台
生产网
6 web应用防火墙 1、标准1U机箱,1TB硬盘,标准配置千兆≥6个千兆电口,≥2个SFP插槽,2组bypass,1个Console口,2个USB口。网络吞吐量为≥800Mbps,应用层处理能力为≥300Mbps,网络并发连接数≥40万,HTTP并发为≥12万。配置三年特征库服务,三年硬件维保服务。
2、定时下线功能,能根据日期、工作日、时间等多因素控制网站访问时效
3、支持服务器探测功能,提供对服务器进行在线探测
4、支持自学习系统,无需人工干预,自动获取网站相关信息
5、支持根据网站流量自动生成网站文件和URL地址的树形结构展示拓扑图
6、支持实时网站流量态势感知监测功能,不需要借助第三方设备就可以对数据分析和展示,并支持全屏效果展示
7、支持支持SQL注入、跨站脚本、防爬虫、扫描器、信息泄露、溢出、协议完整性等至少7种特征库展示说明
8、支持HTTP协议校验细粒度规则检测,至少提供20种HTTP协议校验规则
9、支持敏感词防御功能,内置有敏感词库并支持自定义词汇
10、支持防暴力破解功能,可支持攻击阈值或动态令牌的方式实现暴力破解防护
11、支持DDoS防御功能,基于TCP和HTTP的DDoS防御类别
12、支持IDP防御功能,并提供IDP防御特征库,特征库需要提供10种类型并提供至少10000条IDP特征库
13、支持对CDN、XFF的IP地址的日志记录功能,为网站攻击溯源提供技术依据
★14、支持移动终端管理功能,不需要安装APP和第三方插件,通过手机浏览器即可管理设备,并可查看设备CPU、内存使用情况。
15、中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》,级别EAL3+及以上 1 台
7 网闸 1、系统吞吐量:≥450Mbps , 2U机箱,冗余电源;支持液晶面板,内网接口:≥6个千兆电口,≥2个SFP插槽,1个Console口,2个USB口;外网接口:≥6个千兆电口,≥2个SFP插槽,1个Console口,2个USB口;提供功能模块:数据库同步、文件交换、数据库访问、邮件访问、安全浏览、安全FTP、工控访问等;三年硬件维保。
3、采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块,内外端机为网络协议终点,彻底阻断各种网络协议;产品包含文件交换、数据库同步、数据库访问、邮件访问、安全FTP、安全浏览、定制模块、工控模块、视频模块、SSL通道、日志审计、告警中心、防病毒等全功能模块
4、支持双系统冗余架构,可通过WEB页面进行主备系统切换,当主系统发生故障或需要升级时可切换至备系统进行工作
5、在首页可直观展现出当前系统实时CPU使用情况、硬盘使用情况、TCP连接数、UDP连接数,同时可直观呈现当前应用CPU、内存 top5排名
6、支持文件制定文件前缀、后缀、文件名暂缓传输,同时具备文件未传输完成时,增加文件指定前缀、后缀,传输完成以后自动删除该前后缀,以此来判断文件文件完整性
7、支持对附件及其附件类型进行过滤控制,邮件内容过滤、文档重建、病毒过滤
8、支持异构双引擎病毒模块,防止恶意文件通过网闸进入内网,提供高中低不同级别阻断策略;
9、支持MySQL、ORACLE、ORACLE_RAC、SQLServer、DB2、SYBASE、POSTGRESQL等常见数据库,支持神通、达梦、人大金仓、南大通用等国产数据库同步
10、支持一对一、一对多、多对一数据库同步;支持异构数据库同步,实现不同表结构和不同数据库类型之间的转化
11、安全浏览支持域名控制、源端控制、URL过滤、命令过滤、文件大小限制、用户认证
12、支持工业SCADA网络OPC协议、MODBUS协议、IEC104协议等,支持工控协议过滤规则设定,可限制哪些类型命令可以通过、设置起始公共地址、结束公共地址、起始信息体地址、结束信息体地址
13、产品符合《网络隔离产品密码检测准则》的要求 1 台
8 下一代防火墙
(数据中心边界) 1、网络处理能力为≥10G,并发连接≥250万,每秒新建连接≥18万/秒,标准2U机箱,冗余电源,标准配置≥6个千兆电口,≥4个SFP插槽,支持两个扩展槽,1个Console口,支持液晶屏,1T存储容量的企业级硬盘;提供三年应用识别库、URL分类特征库、病毒防护特征库、入侵防御特征库升级、威胁情报订阅功能升级授权;三年硬件维保服务
2、所投产品必须支持在源地址转换过程中,对SNAT(源地址转换)使用的地址池利用率进行监控,并在地址池利用率超过阈值时,通过SNMP Trap、邮件等方式告警。
3、支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查
4、本地防病毒特征库数量≥3500万,能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,以及对至少6级压缩文件进行解压查杀
5、漏洞防护特征库包含高危漏洞攻击特征,至少包括“SMB溢出攻击”“Struts”、“Struts2”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息
6、支持基于主机或威胁情报视图,统计网络中确认被入侵、攻破的主机数量,至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息;并对威胁情报发现的恶意主机执行自动阻断
7、提供关联分析面板,可将Top应用、Top威胁、Top URL分类、Top源地址、Top目的地址等信息关联,并支持以任意元素于为过滤条件进行数据钻取
8、支持双系统备份,三权分立管理
9、支持加密的WebUI和CLI管理,且支持网页命令行管理(WebUI中内嵌CLI管理界面)
10、所投产品为自主创新产品,获得《国家信息安全测评自主原创产品测评证书》 2 台
9 工业防火墙 1、1U工业防火墙,≥6个千兆电口(2对Bypass),≥4个千兆光口,1个Console口,2个USB口,全封闭被动散热,IP40,双电源,网络吞吐≥4G,并发连接数≥100万。提供三年病毒库升级服务,三年维保服务包
2、产品支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求
3、支持导入或输入工业点表信息,点表信息自动匹配安全策略、日志等信息
4、支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查
5、支持S7协议寄存器区、DB区区号、点类型、起始地址、结束地址等深度解析和访问控制,并默认提供S7只读配置。支持S7畸形报文检查
6、支持基于工业协议白名单的访问控制策略,包括OPC、S7、MODBUS、Ethernet/IP、IEC60870-5-104、CIP、DNP3等工业协议指令的自动发现和生成白名单规则
7、告警模式时可对告警信息进行一键加入工业协议白名单。
8、支持单独配置OPC、S7、MODBUS、Ethernet/IP、IEC60870-5-104、CIP、DNP3对象,并在白名单规则中进行引用
9、支持学习、告警、防护、关闭四种工作模式
10、支持基于不同安全区域防御DNS Flood、HTTP Flood攻击,并支持警告、阻断、首包丢弃、TC反弹技术、NS重定向、自动重定向、手工确认等多种防护措施
11、支持可配置阈值的基于安全域或基于二层接口局域网广播防护,防止局域网内广播和多播数据包泛滥
12、支持DHCP协议防护;支持手动定义可信DHCP服务器IPv4和基于阈值限制DHCP请求传输速率
13、支持基于安全区域的异常包攻击防御,异常包攻击类型至少包括Ping of Death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke、DNS异常、IP分片等;并可在设备页面显示每种攻击类型的丢包统计结果
14、支持对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,支持对最多6级的压缩文件进行解压查杀
15、支持基于工业协议白名单的访问控制策略,包括OPC、OPC UA、S7、S7 PLUS、MODBUS(TCP/UDP)、Ethernet/IP、IEC60870-5-104、CIP、DNP3、HartIP、IEC61850-MMS、BACnet、FINS、RSSP-1、IEC61850-GOOSE、IEC61850-SV、Profinet(DCP)、Profinet(MRP)、Profinet(PTCP)等工业协议指令的自动发现和生成白名单规则
16、产品具有CNAS检测机构出具的IP40检测报告
17、产品具有IT产品信息安全认证证书(符合《工业控制系统专用防火墙产品安全技术要求》) 2 台
10 工业主机安全防护系统 1、工业主机安全防护系统网络版控制中心:工业主机白名单防护、外设管控、漏洞防御、网络防护、资产管理、集中管理、告警与日志审计
2、客户端:工业主机白名单防护、外设管控、漏洞防御、网络防护、资产管理、集中管理、告警与日志审计;支持微软32位/64位 Windows2000、Windows XP SP2及以上等系统;含30个安装授权;带3年维保服务包
3、支持永恒之蓝勒索病毒漏洞防御,支持永恒之蓝勒索病毒专杀工具进行查杀。
4、支持常见高危漏洞防护
5、支持可执行文件(包 括 EXE、DLL、COM 等PE文件和脚本 )创建主机应用白名单
6、支持exe、com、bat、vbs、vbe、hta、js、wsh、msi、wsf、cmd可执行程序防护
7、白名单文件非明文存储与后台数据库中,非授权管理员无法修改、删除、添加白名单
8、支持无线网卡、存储卡、串口、并口、蓝牙、手机、平板禁用和启用
9、支持TCP、UDP协议网络防护
10、支持目的IP、端口的网络防护
11、支持黑白名单网络防护
12、基于分组的终端概况展示,展示计算机名、所在分组、操作系统、IP地址、MAC、白名单数、告警数、工作模式等
13、支持终端分组转移
14、支持单点显示和维护(信息概览、硬件信息、策略配置、白名单库管理、日志审计)
15、在告警模式和防护模式下,业务审计均记录了非白名单文件的加载执行记录告警日志,业务审计日志包括时间、操作类型、响应方式、重复次数、执行对象等;审计信息存储于后台数据库中,掉电不丢失;
16、白名单日志按照终端名统计
17、白名单日志详情展现、搜索、导出
18、终端操作日志详情展现、搜索、导出 1 套
11 工业安全监测系统 1、导轨式;全封闭无风扇;双电源;≥5个电口(含1管理口);1个Console口;1个USB口。包含三年特征库规则升级服务包。三年维保服务。
2、支持被动监听方式自动识别工控资产,支持的厂商包括Siemens、Schneider、Rockwell、GE、ABB、OMRON、MITSUBISHI、Beckhoff、HoneyWell、OPTO22、HollySys等。
3、支持资产主动识别,主动识别可对资产的资产名称、开放端口、操作系统、MAC地址进行探测。
4、支持对流量识别资产配置信息的设置。设置内容包括:识别模式、最大识别资产数、资产活跃阈值、IP地址范围。
5、支持资产风险阈值告警、MAC地址变更告警设置。
6、支持基于流量自动生成资产的通信连接关系
7、支持基于时间段、源地址段、目的地址段等条件查询,显示资产实际通信连接关系,并能显示有威胁的连接
8、支持以可视化的方式展示,并支持放大、缩小
9、支持资产风险指数与风险等级(危急、高危、中危、低危)分析显示
10、支持根据资产的重要性、漏洞、威胁、失陷、异常行为等几个维度对资产的风险进行评估,并能通过列表显示和导出
11、可识别OPC-Classic、Modbus、S7、IEC104、ENIP/CIP、DNP3、Q/GDW376.1、BACnet、MELSEC、OMRON FINS、MMS、OPC-UA、RSSP-1、FANUC FOCAS、MQTT等30种以上工业协议
12、支持工控关键操作审计,包括下装、上载、启动、停止、其它关键操作指令等
13、支持网络的总体风险实时显示,包含风险指数、风险等级、资产活跃度、失陷资产、资产漏洞、威胁告警、异常行为等
14、支持报表任务,报表周期可设置为每天、每周、每月,通报方式可设置为本地保存、FTP服务器上传、邮件发送
15、支持报表模板设置,内容包括威胁汇总、流量汇总、应用汇总,并可设置统计数量
16、支持日志通过syslog发送;支持基于日志级别发送,级别分为8种,包括紧急、警报、严重、错误、告警、通知、信息、调试
17、支持不同的日志类型发送到不同的syslog服务器
18、产品支持“网络通讯安全审计类”和“网络入侵检测系统”两类标准,且支持OPC、Modbus、S7、CIP、IEC104工业协议 2 台
12 统一安全管理平台 1、产品形态为软硬件一体版;≥4个千兆电口,含8个扩展槽,最大可支持36个口;硬盘为4*8T + 960G SSD。提供集中管理基础组件:设备管理、设备监控、拓扑管理、日志中心、报表管理等;提供三年软件特征库升级,三年产品硬件维保服务。
2、支持对工业安全监测系统、工业主机安全防护系统、工业防火墙的集中管理,能够对所管控的安全监测硬件设备进行集中性能监测,实现设备管控
★3、为了方便运维管理,提升整体安全效果,要求所投统一安全管理平台与所投工业主机安全防护系统、工业安全监测系统、工业防火墙以及日志审计与分析系统为同一品牌。
4、支持资产漏洞管理。支持对资产进行漏洞的关联,匹配漏洞信息。支持4000多个工控漏洞,覆盖CVE、CNVD、CNNVD、ICS-CERT等漏洞库。支持查看资产的当前漏洞信息,如果漏洞发生变更,可以查询该资产历史的漏洞详情。支持自定义漏洞。
5、支持工控关键操作审计,包括下装、上载、启动、停止、其它关键操作指令等
支持工艺操作指令级信息审计,包括指令产生的时间、源IP、目的IP、源端口、目的端口、应用、协议、指令操作详细操作内容。
6、支持对客户业务工艺流程相关的变量点表的监控,可自定义监控点表的地址,设备名称,监控数值合法范围。
7、支持自定义基于工业场景的工艺点表实时可视化监测功能
8、支持异常行为分析。包括网络异常行为、工艺异常行为的建模分析与告警统计。支持对异常行为建模形成安全基线,如网络行为基线、工艺行为基线。在此基础上生成异常告警与统计
9、支持对网络中的各种设备与终端通过SNMP方式进行统一监控。包括边界安全设备、网络监测审计设备、终端设备、网络设备、工控设备等,监控内容除在线状态、CPU利用率、内存利用率外,还支持用户自定义监控参数
10、支持对采集的数据多维度统计分析,形成报表。系统自带安全和态势两种综合信息报表模板。并支持客户自定义周期性(天周月季年)或一次性生成报表。并可导出WORD等多种格式
11、支持对工业安全的态势分析,提供各种维度的态势大屏。包括工业安全态势、工业资产态势、资产漏洞态势、实时威胁态势、工业威胁态势、异常行为态势、网络监控态势等,并可以基于客户需求进行定制化
12、产品具有计算机信息系统安全专用产品销售许可证,须符合《工业控制系统安全管理平台》(增强级)。 1 台
13 日志审计与分析系统 1、性能:事件处理最高3000EPS。硬件规格:标准1U机箱,≥6个千兆电口,2个扩展插槽(可选2万兆光、4千兆电、4千兆光),1个Console接口,单电源,4T硬盘。包含50个日志源授权,三年硬件维保服务和三年软件升级维护服务
2、能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、虚拟化、云计算、数据库、中间件以及各种应用系统的日志、事件、告警等安全信息进行全面的审计
3、支持通过syslog、SNMP Trap、JDBC、Agent代理、WMI、(S)FTP、NetBIOS、文件\文件夹读取、Kafka等多种方式完成各种日志的收集功能
4、日志归一化(规范化):日志解析字段内置≥130个字段,属性字段 可扩展,用户可根据审计需要自行创建字段,字典表可根据需要自定义扩展。
5、可自定义统计场景,统计的字段条件和时间段以及过滤器等可自由设定;支持将统计结果保存为仪表板、报表和策略
6、告警功能:支持磁盘空间阈值告警,当磁盘使用率达到设定的阈值时可产生并外发告警
7、支持对资产日志进行过滤,设置允许接收和拒绝接收日志,并可以对资产设置一定时间范围内未收到事件后进行主动告警
8、支持实时的日志滚动显示,可通过雷达图等直观显示目前日志量和日志详细信息
9、支持对实时展示的字段进行选择,调整字段顺序,修改显示字段别名。双击单条日志显示详细信息,支持左右布局和上下布局
10、支持自定义实时监视场景,提供可视化规则编辑视图,对关注的事件进行实时展示
11、可对收集的日志进行分类实时分析和统计,从而快速识别安全事故;分析统计结果支持柱图、饼图、曲线图等形式并自动实时刷新,图表数据支持数据下钻
12、支持统计分析的时长设定,分析结果支持导出报表PDF,HTML,RTF,XLS,PNG,DOCX,XLSX
13、支持自定义实时分析场景,提供可视化规则编辑视图,根据实际业务编写分析规则
14、系统支持提供安全运维报告,帮助运维人员快速生成日常日志分析和运维报告
15、系统具备全文检索的大数据处理能力,提供大规模事件处理的规则群组系统及处理方法证书。
16、支持以FTP/SFTP方式将日志数据备份至外部存储空间,支持数据恢复
17、采用基于角色的权限管理机制,通过角色定义支持多用户访问;
系统口令错误次数可设置,超过错误次数锁定,锁定时间可设置 1 台
14 堡垒机 1、标准1U机架式,≥6个千兆电口,支持2个接口扩展槽位,内置4TB硬盘,支持液晶屏,最大支持150路图形会话或400路字符会话并发,最大可选300授权许可。本次配置50个资源授权许可。含三年标准售后服务。
2、支持SSH、RDP、VNC、Telnet、FTP、SCP、SFTP、DB2、MySQL、Oracle、SQL Server、Rlogin等协议;支持Linux/Unix、Windows、H3C、Huawei、Cisco等系统
3、支持资源按标签管理,实现添加主机时快速分类
4、运维过程中支持会话协同,可邀请其他用户参与、协助操作
5、所投产品支持Web在线和离线回放重现运维人员对资源的所有操作过程,并支持回放文件下载到本地播放;
6、支持动态令牌、USBKEY、手机令牌、手机短信等多因子认证
7、支持按IP黑白名单、访问时间段限制用户访问堡垒机
8、支持按功能模块自定义角色权限,便于管理
9、支持按用户、账户组设置多对多的资源访问授权,用户组和账户组内的新增成员自动继承授权关系
10、支持从Linux服务器推拉账户,实现堡垒机与资源服务器的账户同步
11、支持在页面上批量执行命令,实时查看命令和脚本的输出结果。且按执行周期,将命令、脚本、文件批量传输设置自动化运维任务。
12、支持用户通过工单申请资源,权限包括文件上传下载、RDP剪切板,流程可按多人多级审批模式或会签审批模式
13、支持通过工单形式对高危命令操作实现动态审批授权
14、支持用户水印功能,避免数据泄露无法追责
15、支持登录失败次数锁死设置
16、支持内置OpenVPN客户端、实现异地资源管理
17、支持网盘功能,可以自定义网盘总空间和每用户使用空间
18、支持查看用户所属角色的权限范围,包含系统登录日志、系统操作日志和资源登录日志
19、支持以云盘形式在堡垒机上存储文件,并自定义云盘大小,实现操作端、堡垒机、目标服务器三者之间文件共享
20、为了方便日常运维管理,提升整体安全效果,要求安全运维与管理系统与所投工业防火墙、下一代防火墙(数据中心边界)为同一品牌
21、产品不存在中、高风险漏洞,提供信息技术产品安全测试证书证明 1 台
办公网
15 核心交换机 1、包转发率 720M,交换容量 2.56T,24个10GE SFP+光口(支持GE光模块),6个40G QSFP光口(不支持一分四),并提供一个RJ45 Console口用于本地配置,一个GE RJ45管理网口和一个USB口(管理口在电源侧),提供两个电源插槽,可支持600W AC电源,支持4个独立可插拔风扇,设备支持前后风道(端口侧进风),双电源。 1 台
16 工业汇聚交换机 交换容量:432Gbps/4.32Tbps
包转发率:144Mpps/166Mpps
业务端口描述:48个10/100/1000Base-T自适应以太网端口,4个万兆SFP+口
链路聚合:支持GE端口聚合;支持10GE端口聚合;支持静态聚合;支持动态聚合;支持跨设备聚合
MAC地址表:支持黑洞MAC地址;支持设置端口MAC地址学习个数
VLAN:支持基于端口的VLAN;支持QinQ、灵活QinQ;支持Voice VLAN;
支持协议VLAN;支持MAC VLAN
单播路由:支持IPv4/IPv6静态路由;支持RIP/RIPng,OSPF v2/v3
二层环网协议:支持STP/RSTP/MSTP协议;支持STP Root Protection;
支持BPDU Protection;支持G.8032以太网环保护协议ERPS,切换时间≤50ms,可兼容其他支持该协议的产品;支持RRPP 2 台
17 数据库备份与恢复系统 1、软件与硬件一体化备份系统,支持为数据库、文件、操作系统提供在线备份保护,系统基于Linux底层设计,支持WEB化管理。
2、2U机架式, 1*Intel至强 银牌 4210 主频≥2.2GHz/10核20线程, 64G内存,2*480GB SSD系统盘,6*8T数据盘, 2*1GE 电口,2*10GE 光口,2GB缓存RAID卡+掉电保护,三年软硬件质保服务
3、接入备份客户端数量不受限制,有效授权容量不低于32TB
提供Windows、Linux与Unix平台下文件备份与恢复功能授权,提供Windows、Linux与Unix平台下数据库备份与恢复功能授权,提供Windows与Linux操作系统备份与恢复功能授权,
提供VMware/H3C CAS/Huawei FusionCloud 备份与恢复功能授权。
4、支持对SQL Server/Always On、Oracle/Oracle RAC、MySQL、DB2、Sybase、Exchange Server、DB2、MongoDB、PostgreSQL、达梦(DM)、人大金仓(kingbase)、南大通用(GBase)、神舟通用(ShenTong)、优炫(UXDB)、瀚高(Highgo)等主流数据库和应用进行在线备份保护
5、支持对Oracle/Oracle RAC的日志进行详细解析,可以查看每条日志数据的实际执行内容,在数据恢复作业中可以选择准确的SCN来确定数据恢复点
6、支持MySQL 物理合成备份和日志备份,支持恢复到指定的GTID(global transaction identifier)
7、支持对Windows、Linux、Unix、对象存储与Hadoop 分布式文件系统(HDFS)的文件进行在线备份保护,在同一文件备份任务中采用多通道并发备份,提高备份和恢复的速度
8、支持文件、对象存储和HDFS的异构交互恢复,将对象存储备份数据直接恢复到文件系统
9、支持Linux 和Windows操作系统的备份与异机恢复。Windows恢复过程中提供驱动程序更换GUI,允许对驱动程序做调整
10、支持D2T/D2D2T/D2C/LAN-Free多种模式,备份过程无须缓存数据,直接通过备份客户端(Agent)将数据写到目的设备
11、支持VMware vCenter联动,在vCenter的管理界面上可以直接查看备份产品中虚拟机备份任务的状态,支持以VMware vAPP分组来展现虚拟机,并以vAPP分组为对象创建备份作业,包括完全备份、差异备份、增量备份。
支持虚拟化和云平台的虚拟机恢复后自动开、恢复网络标签
12、支持对操作系统、文件、数据库与虚拟机备份集进行重复数据删除,支持变长和固定重删方式,支持根据数据类型,选择数据块大小
13、配置三员分立(系统管理员、安全管理员、审计管理员)管理功能,可自定义账户、角色和备份客户端绑定关系,支持备份与恢复权限分开
14、配置备份任务流程审批管理功能,包括创建备份空间、创建备份作业、创建原机/异机恢复作业,实现备份和恢复分离审批
15、支持租户式资源隔离,单独计费和审计,并拥有二级管理员和操作员权限 1 台
18 等保测评服务 按照国家信息安全等级保护相关政策等文件要求,持续开展信息系统等级保护测评工作。参照等级保护的国家标准和省公安厅有关信息系统等级保护的指导意见的要求,开展等级保护测评。邀请专业等级保护测评公司对本单位二级系统进行等级保护测评工作,掌握信息系统信息安全防护与保障体系的现状,并编制《信息系统安全等级保护测评报告》,确保系统达到国家等级保护基本要求。(包含两个二级业务系统的等级保护测评服务) 1 次
19 等保测评整改服务
(协助) 对客户单位进行网络安全环境进行咨询与评估,并结合等级保护测评标准进行差距分析,最后协助客户单位完成等级保护建设及测评服务 1 次
20 应急响应服务 1、根据国家网络安全应急预案,结合用户单位网络安全相关制度实际情况,帮助用户单位制定《网络安全事故应急预案制度》。在遇到网络安全攻击时,30分钟予以响应,协助单位采取紧急措施、将业务恢复到正常服务状态,12小时内调查、分析、研判安全事件发生的原因以综合分析研判、切实解决问题为核心,结合威胁情报与安全数据资源提升应急响应效果,提供故障排查报告;并在24小时内排除系统故障,保证系统的正常运行,并事后形成《XX系统(事件)应急响应报告》、《应急响应服务确认单》。
2、应急响应事件服务范围具体包括以下内容:勒索病毒、挖矿木马、蠕虫病毒、APT事件、网站挂马、网站暗链、网站篡改、漏洞事件、数据泄露以及其他安全事件。需要注意的是:DDOS事件、网络线路异常、设备硬件状态异常、单台普通终端的中毒事件、个人账户密码丢失不在服务范围内。针对以上范围内的网络安全事件提供应急响应专家协助处置现场突发安全事件
3、厂商具备网络安全应急服务支撑单位(国家级)资质。
4、以综合分析研判、切实解决问题为核心,结合威胁情报与安全数据资源提升应急响应效果,3年内不限次数服务 1 项
21 年度维护 负责对甲方所有运行中的服务器进行补丁升级服务,对终端设备进行安全检测,对问题终端立即采取措施,对网络安全设备进行应用识别库、URL分类特征库、病毒防护特征库、入侵防御特征库升级,对硬件设备进行维保服务。 1 年
22 安装实施费用 项目设备系统安装实施费用。 1 项
现变更为:
序号 货物名称 规格型号或技术要求 数量 单位
办公网
1 终端安全管理系统 1、本次项目配置信息:
控制中心:终端安全管理系统基础组件,实现系统的集中管理、策略配置、报表查看等功能。可安装在Windowsserver 2016等系统上。
客户端:防病毒功能+补丁+运维管控功能,支持Windows XP/VISTA/WIN7/WIN8/WIN10,可扩展其它操作系统平台和其它功能。含180个授权点,三年升级服务。
2、支持控制中心防暴力破解,采用手机APP动态令牌方式进行二次认证,针对控制中心高危操作支持动态口令验证;
3、能至少实现以下四大类安全防护:如浏览器防护,系统防护,入口防护和隔离防护,其中浏览器防护包含网页防护,看片防护,网购防护,搜索防护,首页锁定,默认浏览器防护,邮件安全防护。系统防护包含摄像头防护,键盘记录防护,文件系统防护,驱动防护,进程防护,注册表防护。入口防护包含下载安全防护,U盘防护,黑客入侵防护,漏洞入侵防护,DNS防护,局域网防护。隔离防护包含可疑程序隔离防护。
4、支持按照补丁(漏洞)的维度统计漏洞修复情况,包括补丁号、CVE号、安全公告、补丁名称、补丁描述、漏洞级别、发布日期、未修复终端数、已修复终端数、已安装未重启终端、已忽略终端数。并支持统计报表导出
5、具备漏洞集中修复、自动修复,具备蓝屏修复功能;
6、远程管理:支持远程操作时锁定屏幕、截取屏幕,远程锁定屏幕后需要输入解锁密码才可再次使用;
7、违规外联:支持tcp、ping、域名解析三种外联探测方式,支持自定义探测地址,探测频率,支持外联告警断网,支持终端互联网出口IP探测
8、应用程序管理:进程白名单,只允许名单中的进程运行,运行名单外的进程时,弹框告警,同时上报告警日志;进程黑名单,禁止名单中的进程运行,运行名单中进程时弹框告警,同时上报告警日志;进程红名单,必须允许名单中的进程,如未运行则强制启动,启动不成功上报告警日志;
9、外设管理:支持管控USB存储设备、usb非存储设备、存储卡、冗余硬盘、软驱、打印机、扫描仪、磁带机、键盘、鼠标、红外、蓝牙、摄像头、手机/平板;
10、所投终端安全管理系统与所投下一代防火墙(互联网边界)进行协同联动,达到网络中立体防护效果。 1 套
2 终端准入控制系统 1、主要针对PC终端、哑终端等设备的准入控制管理,包含:应用准入、802.1x准入、Portal准入、终端入网合规检查、隔离修复、访问控制等功能。整机支持600Mbps吞吐量,可以管理1000终端以下环境。6个千兆电口,1TB 硬盘, 1U设备。配置180个终端授权,三年硬件质保服务。
2、支持有线、无线基于应用准入方式,准入配置支持保护服务器区域、例外终端等灵活的配置方式
3、支持基于受控域的入网流程配置,区分有线和无线网络,能够针对有线和无线网络区域分别采用有客户端和无客户端方式准入
4、支持哑终端MAC例外管理,支持批量例外同类型哑终端设备
5、支持健康合规检查策略,采用动态检测技术,需支持多种检查机制,至少支持入网检查、定时检查、周期检查机制,针对接入内部网络的计算机终端实行多种安全检查策略,支持分组策略下发控制,拦截不安全终端接入网络。
6、支持Web认证的在线用户认证会话,认证有效期
7、支持802.1x用户认证、主机认证、MAC认证的在线会话
8、可按照计算机名、 IP、 组织、 检查时间、 模板名称、 检查项、 违规项、 入网隔离、 各违规项具体内容等详情查看,提供分组统计、按违规项统计、违规次数统计等视角统计分析
9、支持与所投的终端安全管理系统统一平台统一客户端管理,并实现集中管理。 1 台
3 下一代防火墙
(互联网边界) 1、网络层吞吐量≥10G,并发连接≥260万,每秒新建连接数≥18万, 标准2U机箱,冗余电源,128GB SSD固态硬盘存储,标准配置6个10/100/1000M自适应电口,4个SFP插槽,另有2个接口板卡扩展插槽,最大支持22个接口,1个Console口,支持液晶屏,支持SSL VPN功能,支持50客户端接入,提供三年应用识别库、URL分类特征库、病毒防护特征库、入侵防御特征库升级、威胁情报订阅功能升级授权和三年软硬件维保服务。
2、所投产品必须支持在源地址转换过程中,对SNAT(源地址转换)使用的地址池利用率进行监控,并在地址池利用率超过阈值时,通过SNMP Trap、邮件等方式告警。
3、支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求。支持旁路模式;
4、支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查;
5、本地防病毒特征库数量≥3500万,能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,以及对至少6级压缩文件进行解压查杀;
6、漏洞防护特征库包含高危漏洞攻击特征,至少包括“SMB溢出攻击”“Struts”、“Struts2”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息
7、支持基于主机或威胁情报视图,统计网络中确认被入侵、攻破的主机数量,至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息;并对威胁情报发现的恶意主机执行自动阻断
8、提供关联分析面板,可将Top应用、Top威胁、Top URL分类、Top源地址、Top目的地址等信息关联,并支持以任意元素于为过滤条件进行数据钻取
9、支持与云端联动,至少实现病毒云查杀、URL云识别、应用云识别、云沙箱、威胁情报云检测等功能 2 台
4 下一代防火墙
(视频监控网边界) 1、网络层吞吐量≥8G,并发连接≥200万,每秒新建连接数10万, 标准2U机箱,冗余电源,标准配置6个千兆电口,2个SFP插槽,支持1个接口板卡扩展槽,1个Console口,64GB SSD固态硬盘存储,支持液晶屏,含三年病毒防护特征库、入侵防御特征库升级服务,三年硬件维保服务
2、所投产品必须支持在源地址转换过程中,对SNAT(源地址转换)使用的地址池利用率进行监控,并在地址池利用率超过阈值时,通过SNMP Trap、邮件等方式告警。
3、支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求。支持旁路模式
4、支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查
5、本地防病毒特征库数量≥3500万,能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,以及对至少6级压缩文件进行解压查杀
6、漏洞防护特征库包含高危漏洞攻击特征,至少包括“SMB溢出攻击”“Struts”、“Struts2”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息;
7、提供关联分析面板,可将Top应用、Top威胁、Top URL分类、Top源地址、Top目的地址等信息关联,并支持以任意元素于为过滤条件进行数据钻取
8、支持与云端联动,至少实现病毒云查杀、URL云识别、应用云识别、云沙箱等功能。 1 台
5 上网行为管理 1、1U硬件;标配≥6个千兆电接口,提供1个扩展插槽。最大并发连接数为≥15万;最大新建连接数为≥24000个/秒,提供三年硬件质保服务,含三年软件版本升级服务,三年URL库、应用协议库升级服务
2、设备具备独立的(具备标识的)网络管理接口。所有接业务接口均被用满后,仍然可以存在独立的管理口可以访问设备
3、设备在部署时支持模式选择,可设置为Portal模式,实现Portal服务器功能
4、能够支持IPv6环境下的网址访问审计、生成分析报表等功能;能够在IPv6环境下,正确审计显示用户的IPv6地址
5、可集中呈现上网行为风险等级和状态。行为风险等级包括安全等级、效率等级、合规等级和管控等级。行为状态包括管控效果、运行状态、安全状态、泄密风险状态、合规状态和应用使用状态。点击页面数值可直接跳转查询详情。
6、当用户的网页访问被网页浏览策略封堵时,用户如果发现分类错误能够在页面中向管理员进行反馈;管理员可查看用户反馈的分类错误,并可以选择向服务器反馈
7、可审计、控制Oracle, MySql, SqlServer, PostgreSQL等数据库的访问与操作,包括添加、删除、修改、查询等
8、支持多级虚拟通道,可以将物理带宽分成至少7级虚拟通道,合理分配物理带宽资源
9、支持基于连接数进行流量管理,可以每个人的并发/新建连接数量进行控制 2 台
生产网
6 web应用防火墙 1、标准1U机箱,1TB硬盘,标准配置千兆≥6个千兆电口,≥2个SFP插槽,2组bypass,1个Console口,2个USB口。网络吞吐量为≥800Mbps,应用层处理能力为≥300Mbps,网络并发连接数≥40万,HTTP并发为≥12万。配置三年特征库服务,三年硬件维保服务。
2、定时下线功能,能根据日期、工作日、时间等多因素控制网站访问时效
3、支持服务器探测功能,提供对服务器进行在线探测
4、支持自学习系统,无需人工干预,自动获取网站相关信息
5、支持根据网站流量自动生成网站文件和URL地址的树形结构展示拓扑图
6、支持实时网站流量态势感知监测功能,不需要借助第三方设备就可以对数据分析和展示,并支持全屏效果展示
7、支持敏感词防御功能,内置有敏感词库并支持自定义词汇
8、支持防暴力破解功能,可支持攻击阈值或动态令牌的方式实现暴力破解防护
9、支持DDoS防御功能,基于TCP和HTTP的DDoS防御类别
★10、支持移动终端管理功能,通过手机浏览器即可管理设备,并可查看设备CPU、内存使用情况。 1 台
7 网闸 1、系统吞吐量:≥450Mbps , 2U机箱,冗余电源;支持液晶面板,内网接口:≥6个千兆电口,≥2个SFP插槽,1个Console口,2个USB口;外网接口:≥6个千兆电口,≥2个SFP插槽,1个Console口,2个USB口;提供功能模块:数据库同步、文件交换、数据库访问、邮件访问、安全浏览、安全FTP、工控访问等;三年硬件维保。
3、采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块,内外端机为网络协议终点,彻底阻断各种网络协议;产品包含文件交换、数据库同步、数据库访问、邮件访问、安全FTP、安全浏览、定制模块、工控模块、视频模块、SSL通道、日志审计、告警中心、防病毒等全功能模块
4、支持双系统冗余架构,可通过WEB页面进行主备系统切换,当主系统发生故障或需要升级时可切换至备系统进行工作
5、在首页可直观展现出当前系统实时CPU使用情况、硬盘使用情况、TCP连接数、UDP连接数,同时可直观呈现当前应用CPU、内存 top5排名
6、支持文件制定文件前缀、后缀、文件名暂缓传输,同时具备文件未传输完成时,增加文件指定前缀、后缀,传输完成以后自动删除该前后缀,以此来判断文件文件完整性
7、支持对附件及其附件类型进行过滤控制,邮件内容过滤、文档重建、病毒过滤
8、支持异构双引擎病毒模块,防止恶意文件通过网闸进入内网,提供高中低不同级别阻断策略;
9、支持MySQL、ORACLE、ORACLE_RAC、SQLServer、DB2、SYBASE、POSTGRESQL等常见数据库,支持神通、达梦、人大金仓、南大通用等国产数据库同步
10、支持一对一、一对多、多对一数据库同步;支持异构数据库同步,实现不同表结构和不同数据库类型之间的转化。 1 台
8 下一代防火墙
(数据中心边界) 1、网络处理能力为≥10G,并发连接≥250万,每秒新建连接≥18万/秒,标准2U机箱,冗余电源,标准配置≥6个千兆电口,≥4个SFP插槽,支持两个扩展槽,1个Console口,支持液晶屏,1T存储容量的企业级硬盘;提供三年应用识别库、URL分类特征库、病毒防护特征库、入侵防御特征库升级、威胁情报订阅功能升级授权;三年硬件维保服务
2、所投产品必须支持在源地址转换过程中,对SNAT(源地址转换)使用的地址池利用率进行监控,并在地址池利用率超过阈值时,通过SNMP Trap、邮件等方式告警。
3、支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查
4、本地防病毒特征库数量≥3500万,能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,以及对至少6级压缩文件进行解压查杀
5、漏洞防护特征库包含高危漏洞攻击特征,至少包括“SMB溢出攻击”“Struts”、“Struts2”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息
6、支持基于主机或威胁情报视图,统计网络中确认被入侵、攻破的主机数量,至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息;并对威胁情报发现的恶意主机执行自动阻断
7、提供关联分析面板,可将Top应用、Top威胁、Top URL分类、Top源地址、Top目的地址等信息关联,并支持以任意元素于为过滤条件进行数据钻取
8、支持双系统备份,三权分立管理
9、支持加密的WebUI和CLI管理,且支持网页命令行管理(WebUI中内嵌CLI管理界面) 2 台
9 工业防火墙 1、1U工业防火墙,≥6个千兆电口(2对Bypass),≥4个千兆光口,1个Console口,2个USB口,全封闭被动散热,IP40,双电源,网络吞吐≥4G,并发连接数≥100万。提供三年病毒库升级服务,三年维保服务包
2、产品支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求
3、支持导入或输入工业点表信息,点表信息自动匹配安全策略、日志等信息
4、支持基于工业协议白名单的访问控制策略,包括OPC、S7、MODBUS、Ethernet/IP、IEC60870-5-104、CIP、DNP3等工业协议指令的自动发现和生成白名单规则
5、告警模式时可对告警信息进行一键加入工业协议白名单。
6、支持单独配置OPC、S7、MODBUS、Ethernet/IP、IEC60870-5-104、CIP、DNP3对象,并在白名单规则中进行引用
7、支持基于不同安全区域防御DNS Flood、HTTP Flood攻击,并支持警告、阻断、首包丢弃、TC反弹技术、NS重定向、自动重定向、手工确认等多种防护措施
8、支持可配置阈值的基于安全域或基于二层接口局域网广播防护,防止局域网内广播和多播数据包泛滥
9、支持基于安全区域的异常包攻击防御,异常包攻击类型至少包括Ping of Death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke、DNS异常、IP分片等;并可在设备页面显示每种攻击类型的丢包统计结果
10、支持对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,支持对最多6级的压缩文件进行解压查杀 2 台
10 工业主机安全防护系统 1、工业主机安全防护系统网络版控制中心:工业主机白名单防护、外设管控、漏洞防御、网络防护、资产管理、集中管理、告警与日志审计
2、客户端:工业主机白名单防护、外设管控、漏洞防御、网络防护、资产管理、集中管理、告警与日志审计;支持微软32位/64位 Windows2000、Windows XP SP2及以上等系统;含30个安装授权;带3年维保服务包
3、支持永恒之蓝勒索病毒漏洞防御,支持永恒之蓝勒索病毒专杀工具进行查杀。
4、支持常见高危漏洞防护
5、支持可执行文件(包 括 EXE、DLL、COM 等PE文件和脚本 )创建主机应用白名单
6、支持exe、com、bat、vbs、vbe、hta、js、wsh、msi、wsf、cmd可执行程序防护
7、白名单文件非明文存储与后台数据库中,非授权管理员无法修改、删除、添加白名单
8、支持无线网卡、存储卡、串口、并口、蓝牙、手机、平板禁用和启用
9、支持单点显示和维护(信息概览、硬件信息、策略配置、白名单库管理、日志审计)
10、在告警模式和防护模式下,业务审计均记录了非白名单文件的加载执行记录告警日志,业务审计日志包括时间、操作类型、响应方式、重复次数、执行对象等;审计信息存储于后台数据库中,掉电不丢失; 1 套
11 工业安全监测系统 1、导轨式;全封闭无风扇;双电源;≥5个电口(含1管理口);1个Console口;1个USB口。包含三年特征库规则升级服务包。三年维保服务。
2、支持被动监听方式自动识别工控资产,支持的厂商包括Siemens、Schneider、Rockwell、GE、ABB、OMRON、MITSUBISHI、Beckhoff、HoneyWell、OPTO22、HollySys等。
3、支持资产主动识别,主动识别可对资产的资产名称、开放端口、操作系统、MAC地址进行探测。
4、支持对流量识别资产配置信息的设置。设置内容包括:识别模式、最大识别资产数、资产活跃阈值、IP地址范围。
5、支持资产风险阈值告警、MAC地址变更告警设置。
6、支持基于时间段、源地址段、目的地址段等条件查询,显示资产实际通信连接关系,并能显示有威胁的连接
7、支持以可视化的方式展示,并支持放大、缩小
8、支持资产风险指数与风险等级(危急、高危、中危、低危)分析显示
9、可识别OPC-Classic、Modbus、S7、IEC104、ENIP/CIP、DNP3、Q/GDW376.1、BACnet、MELSEC、OMRON FINS、MMS、OPC-UA、RSSP-1、FANUC FOCAS、MQTT等30种以上工业协议
10、支持工控关键操作审计,包括下装、上载、启动、停止、其它关键操作指令等。 2 台
12 统一安全管理平台 1、产品形态为软硬件一体版;≥4个千兆电口,含8个扩展槽,最大可支持36个口;硬盘为4*8T + 960G SSD。提供集中管理基础组件:设备管理、设备监控、拓扑管理、日志中心、报表管理等;提供三年软件特征库升级,三年产品硬件维保服务。
2、支持对工业安全监测系统、工业主机安全防护系统、工业防火墙的集中管理,能够对所管控的安全监测硬件设备进行集中性能监测,实现设备管控
3、为了方便运维管理,提升整体安全效果,要求所投统一安全管理平台与所投工业主机安全防护系统、工业安全监测系统、工业防火墙以及日志审计与分析系统为同一品牌。
4、支持资产漏洞管理。支持对资产进行漏洞的关联,匹配漏洞信息。支持4000多个工控漏洞,覆盖CVE、CNVD、CNNVD、ICS-CERT等漏洞库。支持查看资产的当前漏洞信息,如果漏洞发生变更,可以查询该资产历史的漏洞详情。支持自定义漏洞。
5、支持工控关键操作审计,包括下装、上载、启动、停止、其它关键操作指令等
支持工艺操作指令级信息审计,包括指令产生的时间、源IP、目的IP、源端口、目的端口、应用、协议、指令操作详细操作内容。
6、支持对客户业务工艺流程相关的变量点表的监控,可自定义监控点表的地址,设备名称,监控数值合法范围。
7、支持自定义基于工业场景的工艺点表实时可视化监测功能
8、支持异常行为分析。包括网络异常行为、工艺异常行为的建模分析与告警统计。支持对异常行为建模形成安全基线,如网络行为基线、工艺行为基线。在此基础上生成异常告警与统计
9、支持对网络中的各种设备与终端通过SNMP方式进行统一监控。包括边界安全设备、网络监测审计设备、终端设备、网络设备、工控设备等,监控内容除在线状态、CPU利用率、内存利用率外,还支持用户自定义监控参数
10、支持对工业安全的态势分析,提供各种维度的态势大屏。包括工业安全态势、工业资产态势、资产漏洞态势、实时威胁态势、工业威胁态势、异常行为态势、网络监控态势等,并可以基于客户需求进行定制化。 1 台
13 日志审计与分析系统 1、性能:事件处理最高3000EPS。硬件规格:标准1U机箱,≥6个千兆电口,2个扩展插槽(可选2万兆光、4千兆电、4千兆光),1个Console接口,单电源,4T硬盘。包含50个日志源授权,三年硬件维保服务和三年软件升级维护服务
2、能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、虚拟化、云计算、数据库、中间件以及各种应用系统的日志、事件、告警等安全信息进行全面的审计
3、支持通过syslog、SNMP Trap、JDBC、Agent代理、WMI、(S)FTP、NetBIOS、文件\文件夹读取、Kafka等多种方式完成各种日志的收集功能
4、日志归一化(规范化):日志解析字段内置≥130个字段,属性字段 可扩展,用户可根据审计需要自行创建字段,字典表可根据需要自定义扩展。
5、支持实时的日志滚动显示,可通过雷达图等直观显示目前日志量和日志详细信息
6、支持对实时展示的字段进行选择,调整字段顺序,修改显示字段别名。双击单条日志显示详细信息,支持左右布局和上下布局
7、支持自定义实时监视场景,提供可视化规则编辑视图,对关注的事件进行实时展示
8、支持自定义实时分析场景,提供可视化规则编辑视图,根据实际业务编写分析规则
9、系统支持提供安全运维报告,帮助运维人员快速生成日常日志分析和运维报告
10、系统具备全文检索的大数据处理能力,提供大规模事件处理的规则群组系统及处理方法证书。 1 台
14 堡垒机 1、标准1U机架式,≥6个千兆电口,支持2个接口扩展槽位,内置4TB硬盘,支持液晶屏,最大支持150路图形会话或400路字符会话并发,最大可选300授权许可。本次配置50个资源授权许可。含三年标准售后服务。
2、运维过程中支持会话协同,可邀请其他用户参与、协助操作
3、所投产品支持Web在线和离线回放重现运维人员对资源的所有操作过程,并支持回放文件下载到本地播放;
4、支持动态令牌、USBKEY、手机令牌、手机短信等多因子认证
5、支持在页面上批量执行命令,实时查看命令和脚本的输出结果。且按执行周期,将命令、脚本、文件批量传输设置自动化运维任务。
6、支持用户通过工单申请资源,权限包括文件上传下载、RDP剪切板,流程可按多人多级审批模式或会签审批模式
7、支持通过工单形式对高危命令操作实现动态审批授权
8、支持用户水印功能,避免数据泄露无法追责
9、支持网盘功能,可以自定义网盘总空间和每用户使用空间
10、支持以云盘形式在堡垒机上存储文件,并自定义云盘大小,实现操作端、堡垒机、目标服务器三者之间文件共享 1 台
业务网改造
15 核心交换机 1、包转发率 720M,交换容量 2.56T,24个10GE SFP+光口(支持GE光模块),6个40G QSFP光口(不支持一分四),并提供一个RJ45 Console口用于本地配置,一个GE RJ45管理网口和一个USB口(管理口在电源侧),提供两个电源插槽,可支持600W AC电源,支持4个独立可插拔风扇,设备支持前后风道(端口侧进风),双电源。 1 台
16 工业汇聚交换机 交换容量:432Gbps/4.32Tbps
包转发率:144Mpps/166Mpps
业务端口描述:48个10/100/1000Base-T自适应以太网端口,4个万兆SFP+口
链路聚合:支持GE端口聚合;支持10GE端口聚合;支持静态聚合;支持动态聚合;支持跨设备聚合
MAC地址表:支持黑洞MAC地址;支持设置端口MAC地址学习个数
VLAN:支持基于端口的VLAN;支持QinQ、灵活QinQ;支持Voice VLAN;
支持协议VLAN;支持MAC VLAN
单播路由:支持IPv4/IPv6静态路由;支持RIP/RIPng,OSPF v2/v3
二层环网协议:支持STP/RSTP/MSTP协议;支持STP Root Protection;
支持BPDU Protection;支持G.8032以太网环保护协议ERPS,切换时间≤50ms,可兼容其他支持该协议的产品;支持RRPP 2 台
17 数据库备份与恢复系统 1、软件与硬件一体化备份系统,支持为数据库、文件、操作系统提供在线备份保护,系统基于Linux底层设计,支持WEB化管理。
2、2U机架式, 1*Intel至强 银牌 4210 主频≥2.2GHz/10核20线程, 64G内存,2*480GB SSD系统盘,6*8T数据盘, 2*1GE 电口,2*10GE 光口,2GB缓存RAID卡+掉电保护,三年软硬件质保服务
3、接入备份客户端数量不受限制,有效授权容量不低于32TB
提供Windows、Linux与Unix平台下文件备份与恢复功能授权,提供Windows、Linux与Unix平台下数据库备份与恢复功能授权,提供Windows与Linux操作系统备份与恢复功能授权,
提供VMware/H3C CAS/Huawei FusionCloud 备份与恢复功能授权。
4、支持对Windows、Linux、Unix、对象存储与Hadoop 分布式文件系统(HDFS)的文件进行在线备份保护,在同一文件备份任务中采用多通道并发备份,提高备份和恢复的速度
5、支持文件、对象存储和HDFS的异构交互恢复,将对象存储备份数据直接恢复到文件系统
6、支持Linux 和Windows操作系统的备份与异机恢复。Windows恢复过程中提供驱动程序更换GUI,允许对驱动程序做调整
7、支持D2T/D2D2T/D2C/LAN-Free多种模式,备份过程无须缓存数据,直接通过备份客户端(Agent)将数据写到目的设备
8、支持VMware vCenter联动,在vCenter的管理界面上可以直接查看备份产品中虚拟机备份任务的状态,支持以VMware vAPP分组来展现虚拟机,并以vAPP分组为对象创建备份作业,包括完全备份、差异备份、增量备份。
支持虚拟化和云平台的虚拟机恢复后自动开、恢复网络标签
9、配置三员分立(系统管理员、安全管理员、审计管理员)管理功能,可自定义账户、角色和备份客户端绑定关系,支持备份与恢复权限分开
10、支持租户式资源隔离,单独计费和审计,并拥有二级管理员和操作员权限 1 台
18 等保测评服务 按照国家信息安全等级保护相关政策等文件要求,持续开展信息系统等级保护测评工作。参照等级保护的国家标准和省公安厅有关信息系统等级保护的指导意见的要求,开展等级保护测评。邀请专业等级保护测评公司对本单位二级系统进行等级保护测评工作,掌握信息系统信息安全防护与保障体系的现状,并编制《信息系统安全等级保护测评报告》,确保系统达到国家等级保护基本要求。(包含两个二级业务系统的等级保护测评服务) 1 次
19 等保测评整改服务
(协助) 对客户单位进行网络安全环境进行咨询与评估,并结合等级保护测评标准进行差距分析,最后协助客户单位完成等级保护建设及测评服务 1 次
20 应急响应服务 1、根据国家网络安全应急预案,结合用户单位网络安全相关制度实际情况,帮助用户单位制定《网络安全事故应急预案制度》。在遇到网络安全攻击时,30分钟予以响应,协助单位采取紧急措施、将业务恢复到正常服务状态,12小时内调查、分析、研判安全事件发生的原因以综合分析研判、切实解决问题为核心,结合威胁情报与安全数据资源提升应急响应效果,提供故障排查报告;并在24小时内排除系统故障,保证系统的正常运行,并事后形成《XX系统(事件)应急响应报告》、《应急响应服务确认单》。
2、应急响应事件服务范围具体包括以下内容:勒索病毒、挖矿木马、蠕虫病毒、APT事件、网站挂马、网站暗链、网站篡改、漏洞事件、数据泄露以及其他安全事件。需要注意的是:DDOS事件、网络线路异常、设备硬件状态异常、单台普通终端的中毒事件、个人账户密码丢失不在服务范围内。针对以上范围内的网络安全事件提供应急响应专家协助处置现场突发安全事件
3、厂商具备网络安全应急服务支撑单位(国家级)资质。
4、以综合分析研判、切实解决问题为核心,结合威胁情报与安全数据资源提升应急响应效果,3年内不限次数服务 1 项
21 年度维护 负责对甲方所有运行中的服务器进行补丁升级服务,对终端设备进行安全检测,对问题终端立即采取措施,对网络安全设备进行应用识别库、URL分类特征库、病毒防护特征库、入侵防御特征库升级,对硬件设备进行维保服务。 1 年
22 安装实施费用 项目设备系统安装实施费用。(包含调试、辅材、运送、集成等) 1 项
2)原招标文件第三章 《技术服务方案及要求》增加“注:项目验收时,采购人将对该项目所涉及的所有产品,按照乙方应答材料中响应内容进行验证,如验收过程中发现结果与应答材料不符,经采购人查证属实的,则视为虚假应标,采购人有权解除已签署的合同并取消其中标资格,将按照评标委员会提出的中标候选人名单排序依次确定其他中标候选人为中标人。”
3)原招标文件第65页第七章 《评标办法》中商务评分标准:
序号 评分项目 分值 评分标准 评分
1 类似项目
业绩 40 投标人开标日前36个月内,单个合同金额低于50万元(原则上低于招标控制价20%的),不计分;单个合同金额50(含) ~ 100 万元的项目,每个计4分,最多计20分;单个合同金额100 (含)~ 150万元的项目,每个计5分,最多计30分;单个合同金额150万元(不含)以上的项目,每个计 10 分,最多计40分。上述得分相加最多计 40 分。(以业绩合同复印件为准,如合同以单价为结算单位的还需提供结算发票复印件)
2 供货期 10 符合招标文件计5分,每提前 2 天交货加1分,最多加5分。
3 履约能力 30 1、投标人具有中国电子工业标准化技术协会颁发的信息技术服务运行维护标准符合性认证(ITSS),计5分。
2、投标人具有中国网络安全审查技术与认证中心颁发信息安全系统集成资质(CCRC),计10分。
3、投标人具有中国网络安全审查技术与认证中心颁发的信息安全应急处理资质(CCRC),计10分。
4、投标人为2021年度省级工业控制系统信息安全服务支撑机构单位,计5分。
(以上资质皆须提供资质证书的复印件加盖公章,不提供则不得分,)
4 售后服务 20 售后服务方案编制全面、详细、符合招标文件要求。优计 15 ~ 20 分;良好计 8 ~ 14 分;一般计 1 ~ 7 分
合计 100
现变更为:
序号 评分项目 分值 评分标准 评分
1 投标人综合实力 40 1、投标人具有中国电子工业标准化技术协会颁发的信息技术服务运行维护标准符合性认证(ITSS),计10分。
2、投标人具有中国网络安全审查技术与认证中心颁发信息安全系统集成资质(CCRC),计10分。
3、投标人具有中国网络安全审查技术与认证中心颁发的信息安全应急处理资质(CCRC),计10分。
4、具备ISO9001质量管理体系认证证书,提供证书复印件加盖公章得5分;
具体ISO27001信息安全管理认证证书,提供证书复印件加盖公章得5分。
2 业绩经验 40 投标人开标日前36个月内,单个合同金额低于50万元(原则上低于招标控制价20%的),不计分;单个合同金额50(含) ~ 100 万元的项目,每个计4分,最多计20分;单个合同金额100 (含)~ 150 万元的项目,每个计5分,最多计30分;单个合同金额150万元(不含)以上的项目,每个计 10 分,最多计40分。上述得分相加最多计 40 分。(以业绩合同复印件为准,如合同以单价为结算单位的还需提供结算发票复印件)
3 服务 20 评委根据投标人的售后服务方案打分:内容需包含售后服务内容、投标人售后服务机构、服务响应时间、质保期后服务情况,综合比较优秀得15-20分,一般得7-14分,较差得1-6分,未提供得0分
合计 100
4)原招标文件第66页第七章 《评标办法》中技术评分标准:
序号 评分项目 分值 评分标准 评分
1 投标文件响应程度 10 1、完全满足或优于招标文件要求的计10分;2、不带★项技术指标,技术参数不清,缺漏项等负偏离扣1 分,扣完10分为止。”本项目偏差范围:非实质性条款,最高项数:10项,超过10项作废标处理。
2 投标文件编制 5 投标文件编制全面、详细,格式符合招标文件要求。优计5分;良好计3分;一般计1分;
3 产品性能 15 对所投网络安全产品系统的技术参数满足度、品牌统一度、产品之间联动技术特色等方面做出描述,根据投标文件进行综合评分,优秀计10-15分,良好计5-9分,一般计1-4分,其他不得分
4 服务(安装)方案 20 安装服务方案优计15~20分;安装服务方案良好计8~14分;安装服务方案一般计1~7分;
5 产品厂商能力资质 40 1、所投信息安全交换与隔离系统产品具备中国信息安全测评中心《国家信息安全测评信息技术产品安全测评证书》EAL3+,符合计2分;EAL4+,符合计5分。
2、所投下一代防火墙产品厂商具备《国家信息安全测评信息安全服务资质证书》(云计算安全类一级或以上级别),符合计10分。
3、所投终端安全管理系统产品厂商具备独立的漏洞研究能力及积累,其在2020年度向国家信息安全漏洞共享平台(CNVD漏洞库)共享了原创漏洞信息大于(含)3万条,计10分;大于2万条小于3万条,计4分;其余不得分。4、所投生产网的全部网络安全产品生产厂商获得CNNVD “2020年度优秀技术支撑单位”、“2020年度漏洞预警报送专项奖”,得10分;每有一项产品生产厂商不满足,扣1分,扣完为止。
5、所投生产网的全部工业网络安全设备厂商为《GB/T37980-2019 信息安全技术 工业控制系统安全检查指南》标准起草单位,得5分;每有一项产品生产厂商不满足,扣2分,扣完为止。(以上资质皆须提供资质证明文件复印件并加盖厂商公章,不提供则不得分)
6 服务人员要求 10 本项目中的响应服务要求原厂工程师支持,为保证服务工程师的专业性和服务的响应及时性,工程师需同时具备CISP-PTE注册渗透测试工程师、CISP-IRE注册应急响应工程师以及CISP-PTS注册信息安全专业人员-渗透测试专家证书中的任意两个证书,每提供一名计2.5分,最高计10分;
(以上人员资质需提供相关证书文件,劳动合同及开标前六个月社保缴纳证明复印件并加盖公章,否则不计分)。
合计 100
现变更为:
序号 评分项目 分值 评分标准 评分
1 技术参数的响应程度 20 采购文件中技术服务方案及要求中货物需求清单和技术规格描述,投标方应逐条响应并按要求提供相应的证明材料。
1、带★号为实质性技术条款,不允许有负偏离。
2、其他非实质性技术条款,最多允许偏离10项。如存在负偏离的、配置不详的、技术参数不清或缺漏项的,每处扣2分,扣完为止。
2 拟投入应急响应服务人员的资格和能力 25 本项目中的应急响应服务要求原厂工程师支持,为保证服务工程师的专业性和服务的响应及时性,工程师需同时具备CISP-PTE注册渗透测试工程师、CISP-IRE注册应急响应工程师以及CISP-PTS注册信息安全专业人员-渗透测试专家证书中的任意两个证书,每提供一名计5分,最高计25分;
(以上人员资质需提供相关证书文件,劳动合同及开标前六个月社保缴纳证明复印件并加盖公章,否则不计分)。
3 产品质量保障 55 为确保所投的网络安全产品生产厂商具备较强的安全实力:
1、所投信息安全交换与隔离系统产品具备中国信息安全测评中心《国家信息安全测评信息技术产品安全测评证书》EAL3+,符合计2分;EAL4+,符合计5分。
2、所投下一代防火墙产品厂商具备《国家信息安全测评信息安全服务资质证书》(云计算安全类一级或以上级别),符合计10分。
3、所投终端安全管理系统产品厂商具备独立的漏洞研究能力及积累,其向国家信息安全漏洞共享平台(CNVD漏洞库)共享原创漏洞信息;在2018-2020年度,连续三年共享原创漏洞信息大于(含)1万条,计10分;在2018-2020年度,连续两年共享原创漏洞信息大于1万条,计4分;在2018-2020年度,三年中某一年度共享原创漏洞信息大于1万条,得1分;其余不得分。
4、所投应急响应服务厂商具备优秀的漏洞挖掘和分析能力,在2018-2020年度,连续三年获得国家信息安全漏洞库与中国信息安全测评中心颁发的“年度优秀技术支撑单位”证书,得10分;在2018-2020年度,连续两年获得国家信息安全漏洞库与中国信息安全测评中心颁发的“年度优秀技术支撑单位”证书,得3分;其余不得分。
5、要求所投生产网的全部网络安全产品生产厂商具备《ITSS信息技术服务标准符合性证书》(运行维护服务)证书,确保网络安全设备生产厂商的安全运维服务能力,得10分;每有一项产品生产厂商不满足,扣1分,扣完为止。
6、所投web应用防火墙原厂商的产品同时具备全球权威机构IPV6 Ready Logo委员会颁发的IPV6 Ready Core Protocols Logo(Phase-2)得10分;
(以上资质皆须提供资质证明文件复印件并加盖厂商公章,不提供则不得分)
合计 100
4)原招标文件第67页第七章 《评标办法》中价格评分标准:
投标报价评分权重为0.4。
评分说明:
(1)报价以最低价为基准价。
偏差率(X) X=(投标人报价-评标基准价)÷评标基准价×100%
投标报价总价评分标准
偏差率大于0:偏差率从0开始每递升1%减1.5分。
偏差率等于0:报价分为40 分;
(偏差率不足1%的,按内插法取值)
序号 项目 评分标准 备注
1 投标报价—基准价
————————×100%>0
基准价 从0开始,每升1%减 1.5 分,即100-1.5*100X 1、 投标报价(经评审的最终投标价)得分最低分为0分
2、 X为投标报价升、降率百分点数的绝对值,即
投标报价—基准价
———————— ×100% 基准价
2 投标报价=基准价 100分
现变更为:
投标报价评分权重为0.4。
评分说明:
投标报价评审计分表
序号 项目 评分标准
1 评标价(算术修正后)>基准价 从0开始每升1%减1.5即100-1.5*100X2
2 评标价(算术修正后)=基准价 100分
3 评标价(算术修正后)<基准价 从0开始每降1%减1分,即100-1*100X2
投标人名称 投标报价
(不含税价) 评标价
(算术修正后) 基准价 X2值 价格权重 投标报价得分
对投标报价的调整记录(算术修正):
备注:1、本项目以不含税总价作为评标依据。投标报价得分:评分标准计算结果×价格权重。
2、评标基准价=(A1+A2+......An)/n
A1、A2、……An 分别为进入基准价计算的各投标人的投标报价(算术修正后); N为进入基准价计算的投标人投标报价的个数。
3、投标报价的偏差率(X2,绝对值) =(投标报价—基准价)/基准价×100%
4、最终投标价以人民币万元为单位,计算保留至小数点后2位(百分比亦然),小数点后第3位采取4舍5入。
5)原报名截止时间:2021年12月8日17:00(北京时间),投标截止时间及开标时间:2021年12月11日09:30(北京时间)
现变更为:
报名截止时间:2021年12月14日17:00(北京时间),投标截止时间及开标时间:2021年12月17日09:30(北京时间)
招标文件如涉及上述内容应作相应修改,其他内容不变。
联系方式
1、采购人:浏阳天福打叶复烤有限责任公司
地 址:浏阳高新技术产业开发区永和路2号
电 话:15802625119
联系人:何云
2、招标代理公司:湖南建业管理咨询有限公司
地址:长沙市雨花区时代阳光大道西388号轻盐雅苑1栋东座10层-11层
电 话:0731-84455989
联系人:鲁奕伶 许春媛 张维
邮箱:306718159@qq.com
3、监督部门:
监督机构:浏阳天福打叶复烤有限责任公司综合管理部,83228888-635。
现对《浏阳天福打叶复烤有限责任公司网络信息安全系统建设项目》(招标编号:JYCZ202101198)》进行第三次变更,具体内容如下:
1)原招标文件第三章 《技术服务方案及要求》货物需求清单:
序号 货物名称 规格型号或技术要求 数量 单位
办公网
1 终端安全管理系统 1、本次项目配置信息:
控制中心:终端安全管理系统基础组件,实现系统的集中管理、策略配置、报表查看等功能。可安装在Windowsserver 2016等系统上。
客户端:防病毒功能+补丁+运维管控功能,支持Windows XP/VISTA/WIN7/WIN8/WIN10,可扩展其它操作系统平台和其它功能。含180个授权点,三年升级服务。
2、按终端维度展示终端的硬件、软件、操作系统、网络、进程等信息;
3、支持插件清理,按插件显示展示全网存在的插件和涉及的终端,可清理指定或全部插件、加入信任;按终端显示展示全网每个终端存在的插件,可清理插件;
★4、支持控制中心防暴力破解,采用手机APP动态令牌方式进行二次认证,针对控制中心高危操作支持动态口令验证;
5、能至少实现以下四大类安全防护:如浏览器防护,系统防护,入口防护和隔离防护,其中浏览器防护包含网页防护,看片防护,网购防护,搜索防护,首页锁定,默认浏览器防护,邮件安全防护。系统防护包含摄像头防护,键盘记录防护,文件系统防护,驱动防护,进程防护,注册表防护。入口防护包含下载安全防护,U盘防护,黑客入侵防护,漏洞入侵防护,DNS防护,局域网防护。隔离防护包含可疑程序隔离防护。
6、根据用户部署模式可配置云查询引擎的鉴定模式,能实现终端直接连接到公有云查询,终端通过控制中心连接到公有云查询,终端连接到鉴定中心查询,终端通过代理服务器连接到公有云端查询
7、支持Windows操作系统、IE、.NET Framework、Office、Adobe Flash Player、Adobe Acrobat和Adobe Acrobat Reader DC漏洞管理功能。
8、支持按照补丁(漏洞)的维度统计漏洞修复情况,包括补丁号、CVE号、安全公告、补丁名称、补丁描述、漏洞级别、发布日期、未修复终端数、已修复终端数、已安装未重启终端、已忽略终端数。并支持统计报表导出
9、具备漏洞集中修复、自动修复,具备蓝屏修复功能;
10、远程管理:支持远程操作时锁定屏幕、截取屏幕,远程锁定屏幕后需要输入解锁密码才可再次使用;
11、违规外联:支持tcp、ping、域名解析三种外联探测方式,支持自定义探测地址,探测频率,支持外联告警断网,支持终端互联网出口IP探测
12、应用程序管理:进程白名单,只允许名单中的进程运行,运行名单外的进程时,弹框告警,同时上报告警日志;进程黑名单,禁止名单中的进程运行,运行名单中进程时弹框告警,同时上报告警日志;进程红名单,必须允许名单中的进程,如未运行则强制启动,启动不成功上报告警日志;
13、外设管理:支持管控USB存储设备、usb非存储设备、存储卡、冗余硬盘、软驱、打印机、扫描仪、磁带机、键盘、鼠标、红外、蓝牙、摄像头、手机/平板;
14、所投终端安全管理系统与所投下一代防火墙(互联网边界)进行协同联动,达到网络中立体防护效果,要求所投终端安全管理系统与所投下一代防火墙(互联网边界)为同一品牌,保障系统与系统兼容性与稳定性。
15、提供全球IPv6 Ready测试中心出具的认证证书。。 1 套
2 终端准入控制系统 1、主要针对PC终端、哑终端等设备的准入控制管理,包含:应用准入、802.1x准入、Portal准入、终端入网合规检查、隔离修复、访问控制等功能。整机支持600Mbps吞吐量,可以管理1000终端以下环境。6个千兆电口,1TB 硬盘, 1U设备。配置180个终端授权,三年硬件质保服务。
2、控制中心采用B/S架构管理,具备分组管理、策略制定下发,系统配置,灵活的管理方式
3、支持有线、无线基于应用准入方式,准入配置支持保护服务器区域、例外终端等灵活的配置方式
4、支持基于受控域的入网流程配置,区分有线和无线网络,能够针对有线和无线网络区域分别采用有客户端和无客户端方式准入
5、支持哑终端MAC例外管理,支持批量例外同类型哑终端设备
6、支持健康合规检查策略,采用动态检测技术,需支持多种检查机制,至少支持入网检查、定时检查、周期检查机制,针对接入内部网络的计算机终端实行多种安全检查策略,支持分组策略下发控制,拦截不安全终端接入网络。
7、支持Web认证的在线用户认证会话,认证有效期
8、支持802.1x用户认证、主机认证、MAC认证的在线会话
9、可按照计算机名、 IP、 组织、 检查时间、 模板名称、 检查项、 违规项、 入网隔离、 各违规项具体内容等详情查看,提供分组统计、按违规项统计、违规次数统计等视角统计分析
10、支持与所投的终端安全管理系统统一平台统一客户端管理,并实现集中管理,要求所投终端准入控制系统与所投终端安全管理系统为同一品牌。 1 台
3 下一代防火墙
(互联网边界) 1、网络层吞吐量≥10G,并发连接≥260万,每秒新建连接数≥18万, 标准2U机箱,冗余电源,128GB SSD固态硬盘存储,标准配置6个10/100/1000M自适应电口,4个SFP插槽,另有2个接口板卡扩展插槽,最大支持22个接口,1个Console口,支持液晶屏,支持SSL VPN功能,支持50客户端接入,提供三年应用识别库、URL分类特征库、病毒防护特征库、入侵防御特征库升级、威胁情报订阅功能升级授权和三年软硬件维保服务。
2、所投产品必须支持在源地址转换过程中,对SNAT(源地址转换)使用的地址池利用率进行监控,并在地址池利用率超过阈值时,通过SNMP Trap、邮件等方式告警。
3、支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求。支持旁路模式;
4、支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查;
5、本地防病毒特征库数量≥3500万,能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,以及对至少6级压缩文件进行解压查杀;
6、漏洞防护特征库包含高危漏洞攻击特征,至少包括“SMB溢出攻击”“Struts”、“Struts2”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息
7、支持基于主机或威胁情报视图,统计网络中确认被入侵、攻破的主机数量,至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息;并对威胁情报发现的恶意主机执行自动阻断
8、提供关联分析面板,可将Top应用、Top威胁、Top URL分类、Top源地址、Top目的地址等信息关联,并支持以任意元素于为过滤条件进行数据钻取
9、支持双系统备份,三权分立管理
10、支持与云端联动,至少实现病毒云查杀、URL云识别、应用云识别、云沙箱、威胁情报云检测等功能
11、所投产品为自主创新产品,获得《国家信息安全测评自主原创产品测评证书》 2 台
4 下一代防火墙
(视频监控网边界) 1、网络层吞吐量≥8G,并发连接≥200万,每秒新建连接数10万, 标准2U机箱,冗余电源,标准配置6个千兆电口,2个SFP插槽,支持1个接口板卡扩展槽,1个Console口,64GB SSD固态硬盘存储,支持液晶屏,含三年病毒防护特征库、入侵防御特征库升级服务,三年硬件维保服务
2、所投产品必须支持在源地址转换过程中,对SNAT(源地址转换)使用的地址池利用率进行监控,并在地址池利用率超过阈值时,通过SNMP Trap、邮件等方式告警。
3、支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求。支持旁路模式
4、支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查
5、本地防病毒特征库数量≥3500万,能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,以及对至少6级压缩文件进行解压查杀
6、漏洞防护特征库包含高危漏洞攻击特征,至少包括“SMB溢出攻击”“Struts”、“Struts2”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息
7、提供关联分析面板,可将Top应用、Top威胁、Top URL分类、Top源地址、Top目的地址等信息关联,并支持以任意元素于为过滤条件进行数据钻取
8、支持双系统备份,三权分立管理
9、支持与云端联动,至少实现病毒云查杀、URL云识别、应用云识别、云沙箱等功能
10、所投产品为自主创新产品,获得《国家信息安全测评自主原创产品测评证书》 1 台
5 上网行为管理 1、1U硬件;标配≥6个千兆电接口,提供1个扩展插槽。最大并发连接数为≥15万;最大新建连接数为≥24000个/秒,提供三年硬件质保服务,含三年软件版本升级服务,三年URL库、应用协议库升级服务
2、设备具备独立的(具备标识的)网络管理接口。所有接业务接口均被用满后,仍然可以存在独立的管理口可以访问设备
3、设备提供物理硬件bypass按钮,便于设备巡检、设备故障时管理员无需重启、关机、断电即可恢复网络通畅
4、设备在部署时支持模式选择,可设置为Portal模式,实现Portal服务器功能
5、能够支持IPv6环境下的网址访问审计、生成分析报表等功能;能够在IPv6环境下,正确审计显示用户的IPv6地址
6、可集中呈现上网行为风险等级和状态。行为风险等级包括安全等级、效率等级、合规等级和管控等级。行为状态包括管控效果、运行状态、安全状态、泄密风险状态、合规状态和应用使用状态。点击页面数值可直接跳转查询详情。
7、当用户的网页访问被网页浏览策略封堵时,用户如果发现分类错误能够在页面中向管理员进行反馈;管理员可查看用户反馈的分类错误,并可以选择向服务器反馈
8、可审计、控制Oracle, MySql, SqlServer, PostgreSQL等数据库的访问与操作,包括添加、删除、修改、查询等
9、支持多级虚拟通道,可以将物理带宽分成至少7级虚拟通道,合理分配物理带宽资源
10、支持基于连接数进行流量管理,可以每个人的并发/新建连接数量进行控制
11、用户未通过认证时,支持放行指定的应用
12、具备中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》,级别EAL3+及以上 2 台
生产网
6 web应用防火墙 1、标准1U机箱,1TB硬盘,标准配置千兆≥6个千兆电口,≥2个SFP插槽,2组bypass,1个Console口,2个USB口。网络吞吐量为≥800Mbps,应用层处理能力为≥300Mbps,网络并发连接数≥40万,HTTP并发为≥12万。配置三年特征库服务,三年硬件维保服务。
2、定时下线功能,能根据日期、工作日、时间等多因素控制网站访问时效
3、支持服务器探测功能,提供对服务器进行在线探测
4、支持自学习系统,无需人工干预,自动获取网站相关信息
5、支持根据网站流量自动生成网站文件和URL地址的树形结构展示拓扑图
6、支持实时网站流量态势感知监测功能,不需要借助第三方设备就可以对数据分析和展示,并支持全屏效果展示
7、支持支持SQL注入、跨站脚本、防爬虫、扫描器、信息泄露、溢出、协议完整性等至少7种特征库展示说明
8、支持HTTP协议校验细粒度规则检测,至少提供20种HTTP协议校验规则
9、支持敏感词防御功能,内置有敏感词库并支持自定义词汇
10、支持防暴力破解功能,可支持攻击阈值或动态令牌的方式实现暴力破解防护
11、支持DDoS防御功能,基于TCP和HTTP的DDoS防御类别
12、支持IDP防御功能,并提供IDP防御特征库,特征库需要提供10种类型并提供至少10000条IDP特征库
13、支持对CDN、XFF的IP地址的日志记录功能,为网站攻击溯源提供技术依据
★14、支持移动终端管理功能,不需要安装APP和第三方插件,通过手机浏览器即可管理设备,并可查看设备CPU、内存使用情况。
15、中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》,级别EAL3+及以上 1 台
7 网闸 1、系统吞吐量:≥450Mbps , 2U机箱,冗余电源;支持液晶面板,内网接口:≥6个千兆电口,≥2个SFP插槽,1个Console口,2个USB口;外网接口:≥6个千兆电口,≥2个SFP插槽,1个Console口,2个USB口;提供功能模块:数据库同步、文件交换、数据库访问、邮件访问、安全浏览、安全FTP、工控访问等;三年硬件维保。
3、采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块,内外端机为网络协议终点,彻底阻断各种网络协议;产品包含文件交换、数据库同步、数据库访问、邮件访问、安全FTP、安全浏览、定制模块、工控模块、视频模块、SSL通道、日志审计、告警中心、防病毒等全功能模块
4、支持双系统冗余架构,可通过WEB页面进行主备系统切换,当主系统发生故障或需要升级时可切换至备系统进行工作
5、在首页可直观展现出当前系统实时CPU使用情况、硬盘使用情况、TCP连接数、UDP连接数,同时可直观呈现当前应用CPU、内存 top5排名
6、支持文件制定文件前缀、后缀、文件名暂缓传输,同时具备文件未传输完成时,增加文件指定前缀、后缀,传输完成以后自动删除该前后缀,以此来判断文件文件完整性
7、支持对附件及其附件类型进行过滤控制,邮件内容过滤、文档重建、病毒过滤
8、支持异构双引擎病毒模块,防止恶意文件通过网闸进入内网,提供高中低不同级别阻断策略;
9、支持MySQL、ORACLE、ORACLE_RAC、SQLServer、DB2、SYBASE、POSTGRESQL等常见数据库,支持神通、达梦、人大金仓、南大通用等国产数据库同步
10、支持一对一、一对多、多对一数据库同步;支持异构数据库同步,实现不同表结构和不同数据库类型之间的转化
11、安全浏览支持域名控制、源端控制、URL过滤、命令过滤、文件大小限制、用户认证
12、支持工业SCADA网络OPC协议、MODBUS协议、IEC104协议等,支持工控协议过滤规则设定,可限制哪些类型命令可以通过、设置起始公共地址、结束公共地址、起始信息体地址、结束信息体地址
13、产品符合《网络隔离产品密码检测准则》的要求 1 台
8 下一代防火墙
(数据中心边界) 1、网络处理能力为≥10G,并发连接≥250万,每秒新建连接≥18万/秒,标准2U机箱,冗余电源,标准配置≥6个千兆电口,≥4个SFP插槽,支持两个扩展槽,1个Console口,支持液晶屏,1T存储容量的企业级硬盘;提供三年应用识别库、URL分类特征库、病毒防护特征库、入侵防御特征库升级、威胁情报订阅功能升级授权;三年硬件维保服务
2、所投产品必须支持在源地址转换过程中,对SNAT(源地址转换)使用的地址池利用率进行监控,并在地址池利用率超过阈值时,通过SNMP Trap、邮件等方式告警。
3、支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查
4、本地防病毒特征库数量≥3500万,能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,以及对至少6级压缩文件进行解压查杀
5、漏洞防护特征库包含高危漏洞攻击特征,至少包括“SMB溢出攻击”“Struts”、“Struts2”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息
6、支持基于主机或威胁情报视图,统计网络中确认被入侵、攻破的主机数量,至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息;并对威胁情报发现的恶意主机执行自动阻断
7、提供关联分析面板,可将Top应用、Top威胁、Top URL分类、Top源地址、Top目的地址等信息关联,并支持以任意元素于为过滤条件进行数据钻取
8、支持双系统备份,三权分立管理
9、支持加密的WebUI和CLI管理,且支持网页命令行管理(WebUI中内嵌CLI管理界面)
10、所投产品为自主创新产品,获得《国家信息安全测评自主原创产品测评证书》 2 台
9 工业防火墙 1、1U工业防火墙,≥6个千兆电口(2对Bypass),≥4个千兆光口,1个Console口,2个USB口,全封闭被动散热,IP40,双电源,网络吞吐≥4G,并发连接数≥100万。提供三年病毒库升级服务,三年维保服务包
2、产品支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求
3、支持导入或输入工业点表信息,点表信息自动匹配安全策略、日志等信息
4、支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查
5、支持S7协议寄存器区、DB区区号、点类型、起始地址、结束地址等深度解析和访问控制,并默认提供S7只读配置。支持S7畸形报文检查
6、支持基于工业协议白名单的访问控制策略,包括OPC、S7、MODBUS、Ethernet/IP、IEC60870-5-104、CIP、DNP3等工业协议指令的自动发现和生成白名单规则
7、告警模式时可对告警信息进行一键加入工业协议白名单。
8、支持单独配置OPC、S7、MODBUS、Ethernet/IP、IEC60870-5-104、CIP、DNP3对象,并在白名单规则中进行引用
9、支持学习、告警、防护、关闭四种工作模式
10、支持基于不同安全区域防御DNS Flood、HTTP Flood攻击,并支持警告、阻断、首包丢弃、TC反弹技术、NS重定向、自动重定向、手工确认等多种防护措施
11、支持可配置阈值的基于安全域或基于二层接口局域网广播防护,防止局域网内广播和多播数据包泛滥
12、支持DHCP协议防护;支持手动定义可信DHCP服务器IPv4和基于阈值限制DHCP请求传输速率
13、支持基于安全区域的异常包攻击防御,异常包攻击类型至少包括Ping of Death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke、DNS异常、IP分片等;并可在设备页面显示每种攻击类型的丢包统计结果
14、支持对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,支持对最多6级的压缩文件进行解压查杀
15、支持基于工业协议白名单的访问控制策略,包括OPC、OPC UA、S7、S7 PLUS、MODBUS(TCP/UDP)、Ethernet/IP、IEC60870-5-104、CIP、DNP3、HartIP、IEC61850-MMS、BACnet、FINS、RSSP-1、IEC61850-GOOSE、IEC61850-SV、Profinet(DCP)、Profinet(MRP)、Profinet(PTCP)等工业协议指令的自动发现和生成白名单规则
16、产品具有CNAS检测机构出具的IP40检测报告
17、产品具有IT产品信息安全认证证书(符合《工业控制系统专用防火墙产品安全技术要求》) 2 台
10 工业主机安全防护系统 1、工业主机安全防护系统网络版控制中心:工业主机白名单防护、外设管控、漏洞防御、网络防护、资产管理、集中管理、告警与日志审计
2、客户端:工业主机白名单防护、外设管控、漏洞防御、网络防护、资产管理、集中管理、告警与日志审计;支持微软32位/64位 Windows2000、Windows XP SP2及以上等系统;含30个安装授权;带3年维保服务包
3、支持永恒之蓝勒索病毒漏洞防御,支持永恒之蓝勒索病毒专杀工具进行查杀。
4、支持常见高危漏洞防护
5、支持可执行文件(包 括 EXE、DLL、COM 等PE文件和脚本 )创建主机应用白名单
6、支持exe、com、bat、vbs、vbe、hta、js、wsh、msi、wsf、cmd可执行程序防护
7、白名单文件非明文存储与后台数据库中,非授权管理员无法修改、删除、添加白名单
8、支持无线网卡、存储卡、串口、并口、蓝牙、手机、平板禁用和启用
9、支持TCP、UDP协议网络防护
10、支持目的IP、端口的网络防护
11、支持黑白名单网络防护
12、基于分组的终端概况展示,展示计算机名、所在分组、操作系统、IP地址、MAC、白名单数、告警数、工作模式等
13、支持终端分组转移
14、支持单点显示和维护(信息概览、硬件信息、策略配置、白名单库管理、日志审计)
15、在告警模式和防护模式下,业务审计均记录了非白名单文件的加载执行记录告警日志,业务审计日志包括时间、操作类型、响应方式、重复次数、执行对象等;审计信息存储于后台数据库中,掉电不丢失;
16、白名单日志按照终端名统计
17、白名单日志详情展现、搜索、导出
18、终端操作日志详情展现、搜索、导出 1 套
11 工业安全监测系统 1、导轨式;全封闭无风扇;双电源;≥5个电口(含1管理口);1个Console口;1个USB口。包含三年特征库规则升级服务包。三年维保服务。
2、支持被动监听方式自动识别工控资产,支持的厂商包括Siemens、Schneider、Rockwell、GE、ABB、OMRON、MITSUBISHI、Beckhoff、HoneyWell、OPTO22、HollySys等。
3、支持资产主动识别,主动识别可对资产的资产名称、开放端口、操作系统、MAC地址进行探测。
4、支持对流量识别资产配置信息的设置。设置内容包括:识别模式、最大识别资产数、资产活跃阈值、IP地址范围。
5、支持资产风险阈值告警、MAC地址变更告警设置。
6、支持基于流量自动生成资产的通信连接关系
7、支持基于时间段、源地址段、目的地址段等条件查询,显示资产实际通信连接关系,并能显示有威胁的连接
8、支持以可视化的方式展示,并支持放大、缩小
9、支持资产风险指数与风险等级(危急、高危、中危、低危)分析显示
10、支持根据资产的重要性、漏洞、威胁、失陷、异常行为等几个维度对资产的风险进行评估,并能通过列表显示和导出
11、可识别OPC-Classic、Modbus、S7、IEC104、ENIP/CIP、DNP3、Q/GDW376.1、BACnet、MELSEC、OMRON FINS、MMS、OPC-UA、RSSP-1、FANUC FOCAS、MQTT等30种以上工业协议
12、支持工控关键操作审计,包括下装、上载、启动、停止、其它关键操作指令等
13、支持网络的总体风险实时显示,包含风险指数、风险等级、资产活跃度、失陷资产、资产漏洞、威胁告警、异常行为等
14、支持报表任务,报表周期可设置为每天、每周、每月,通报方式可设置为本地保存、FTP服务器上传、邮件发送
15、支持报表模板设置,内容包括威胁汇总、流量汇总、应用汇总,并可设置统计数量
16、支持日志通过syslog发送;支持基于日志级别发送,级别分为8种,包括紧急、警报、严重、错误、告警、通知、信息、调试
17、支持不同的日志类型发送到不同的syslog服务器
18、产品支持“网络通讯安全审计类”和“网络入侵检测系统”两类标准,且支持OPC、Modbus、S7、CIP、IEC104工业协议 2 台
12 统一安全管理平台 1、产品形态为软硬件一体版;≥4个千兆电口,含8个扩展槽,最大可支持36个口;硬盘为4*8T + 960G SSD。提供集中管理基础组件:设备管理、设备监控、拓扑管理、日志中心、报表管理等;提供三年软件特征库升级,三年产品硬件维保服务。
2、支持对工业安全监测系统、工业主机安全防护系统、工业防火墙的集中管理,能够对所管控的安全监测硬件设备进行集中性能监测,实现设备管控
★3、为了方便运维管理,提升整体安全效果,要求所投统一安全管理平台与所投工业主机安全防护系统、工业安全监测系统、工业防火墙以及日志审计与分析系统为同一品牌。
4、支持资产漏洞管理。支持对资产进行漏洞的关联,匹配漏洞信息。支持4000多个工控漏洞,覆盖CVE、CNVD、CNNVD、ICS-CERT等漏洞库。支持查看资产的当前漏洞信息,如果漏洞发生变更,可以查询该资产历史的漏洞详情。支持自定义漏洞。
5、支持工控关键操作审计,包括下装、上载、启动、停止、其它关键操作指令等
支持工艺操作指令级信息审计,包括指令产生的时间、源IP、目的IP、源端口、目的端口、应用、协议、指令操作详细操作内容。
6、支持对客户业务工艺流程相关的变量点表的监控,可自定义监控点表的地址,设备名称,监控数值合法范围。
7、支持自定义基于工业场景的工艺点表实时可视化监测功能
8、支持异常行为分析。包括网络异常行为、工艺异常行为的建模分析与告警统计。支持对异常行为建模形成安全基线,如网络行为基线、工艺行为基线。在此基础上生成异常告警与统计
9、支持对网络中的各种设备与终端通过SNMP方式进行统一监控。包括边界安全设备、网络监测审计设备、终端设备、网络设备、工控设备等,监控内容除在线状态、CPU利用率、内存利用率外,还支持用户自定义监控参数
10、支持对采集的数据多维度统计分析,形成报表。系统自带安全和态势两种综合信息报表模板。并支持客户自定义周期性(天周月季年)或一次性生成报表。并可导出WORD等多种格式
11、支持对工业安全的态势分析,提供各种维度的态势大屏。包括工业安全态势、工业资产态势、资产漏洞态势、实时威胁态势、工业威胁态势、异常行为态势、网络监控态势等,并可以基于客户需求进行定制化
12、产品具有计算机信息系统安全专用产品销售许可证,须符合《工业控制系统安全管理平台》(增强级)。 1 台
13 日志审计与分析系统 1、性能:事件处理最高3000EPS。硬件规格:标准1U机箱,≥6个千兆电口,2个扩展插槽(可选2万兆光、4千兆电、4千兆光),1个Console接口,单电源,4T硬盘。包含50个日志源授权,三年硬件维保服务和三年软件升级维护服务
2、能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、虚拟化、云计算、数据库、中间件以及各种应用系统的日志、事件、告警等安全信息进行全面的审计
3、支持通过syslog、SNMP Trap、JDBC、Agent代理、WMI、(S)FTP、NetBIOS、文件\文件夹读取、Kafka等多种方式完成各种日志的收集功能
4、日志归一化(规范化):日志解析字段内置≥130个字段,属性字段 可扩展,用户可根据审计需要自行创建字段,字典表可根据需要自定义扩展。
5、可自定义统计场景,统计的字段条件和时间段以及过滤器等可自由设定;支持将统计结果保存为仪表板、报表和策略
6、告警功能:支持磁盘空间阈值告警,当磁盘使用率达到设定的阈值时可产生并外发告警
7、支持对资产日志进行过滤,设置允许接收和拒绝接收日志,并可以对资产设置一定时间范围内未收到事件后进行主动告警
8、支持实时的日志滚动显示,可通过雷达图等直观显示目前日志量和日志详细信息
9、支持对实时展示的字段进行选择,调整字段顺序,修改显示字段别名。双击单条日志显示详细信息,支持左右布局和上下布局
10、支持自定义实时监视场景,提供可视化规则编辑视图,对关注的事件进行实时展示
11、可对收集的日志进行分类实时分析和统计,从而快速识别安全事故;分析统计结果支持柱图、饼图、曲线图等形式并自动实时刷新,图表数据支持数据下钻
12、支持统计分析的时长设定,分析结果支持导出报表PDF,HTML,RTF,XLS,PNG,DOCX,XLSX
13、支持自定义实时分析场景,提供可视化规则编辑视图,根据实际业务编写分析规则
14、系统支持提供安全运维报告,帮助运维人员快速生成日常日志分析和运维报告
15、系统具备全文检索的大数据处理能力,提供大规模事件处理的规则群组系统及处理方法证书。
16、支持以FTP/SFTP方式将日志数据备份至外部存储空间,支持数据恢复
17、采用基于角色的权限管理机制,通过角色定义支持多用户访问;
系统口令错误次数可设置,超过错误次数锁定,锁定时间可设置 1 台
14 堡垒机 1、标准1U机架式,≥6个千兆电口,支持2个接口扩展槽位,内置4TB硬盘,支持液晶屏,最大支持150路图形会话或400路字符会话并发,最大可选300授权许可。本次配置50个资源授权许可。含三年标准售后服务。
2、支持SSH、RDP、VNC、Telnet、FTP、SCP、SFTP、DB2、MySQL、Oracle、SQL Server、Rlogin等协议;支持Linux/Unix、Windows、H3C、Huawei、Cisco等系统
3、支持资源按标签管理,实现添加主机时快速分类
4、运维过程中支持会话协同,可邀请其他用户参与、协助操作
5、所投产品支持Web在线和离线回放重现运维人员对资源的所有操作过程,并支持回放文件下载到本地播放;
6、支持动态令牌、USBKEY、手机令牌、手机短信等多因子认证
7、支持按IP黑白名单、访问时间段限制用户访问堡垒机
8、支持按功能模块自定义角色权限,便于管理
9、支持按用户、账户组设置多对多的资源访问授权,用户组和账户组内的新增成员自动继承授权关系
10、支持从Linux服务器推拉账户,实现堡垒机与资源服务器的账户同步
11、支持在页面上批量执行命令,实时查看命令和脚本的输出结果。且按执行周期,将命令、脚本、文件批量传输设置自动化运维任务。
12、支持用户通过工单申请资源,权限包括文件上传下载、RDP剪切板,流程可按多人多级审批模式或会签审批模式
13、支持通过工单形式对高危命令操作实现动态审批授权
14、支持用户水印功能,避免数据泄露无法追责
15、支持登录失败次数锁死设置
16、支持内置OpenVPN客户端、实现异地资源管理
17、支持网盘功能,可以自定义网盘总空间和每用户使用空间
18、支持查看用户所属角色的权限范围,包含系统登录日志、系统操作日志和资源登录日志
19、支持以云盘形式在堡垒机上存储文件,并自定义云盘大小,实现操作端、堡垒机、目标服务器三者之间文件共享
20、为了方便日常运维管理,提升整体安全效果,要求安全运维与管理系统与所投工业防火墙、下一代防火墙(数据中心边界)为同一品牌
21、产品不存在中、高风险漏洞,提供信息技术产品安全测试证书证明 1 台
办公网
15 核心交换机 1、包转发率 720M,交换容量 2.56T,24个10GE SFP+光口(支持GE光模块),6个40G QSFP光口(不支持一分四),并提供一个RJ45 Console口用于本地配置,一个GE RJ45管理网口和一个USB口(管理口在电源侧),提供两个电源插槽,可支持600W AC电源,支持4个独立可插拔风扇,设备支持前后风道(端口侧进风),双电源。 1 台
16 工业汇聚交换机 交换容量:432Gbps/4.32Tbps
包转发率:144Mpps/166Mpps
业务端口描述:48个10/100/1000Base-T自适应以太网端口,4个万兆SFP+口
链路聚合:支持GE端口聚合;支持10GE端口聚合;支持静态聚合;支持动态聚合;支持跨设备聚合
MAC地址表:支持黑洞MAC地址;支持设置端口MAC地址学习个数
VLAN:支持基于端口的VLAN;支持QinQ、灵活QinQ;支持Voice VLAN;
支持协议VLAN;支持MAC VLAN
单播路由:支持IPv4/IPv6静态路由;支持RIP/RIPng,OSPF v2/v3
二层环网协议:支持STP/RSTP/MSTP协议;支持STP Root Protection;
支持BPDU Protection;支持G.8032以太网环保护协议ERPS,切换时间≤50ms,可兼容其他支持该协议的产品;支持RRPP 2 台
17 数据库备份与恢复系统 1、软件与硬件一体化备份系统,支持为数据库、文件、操作系统提供在线备份保护,系统基于Linux底层设计,支持WEB化管理。
2、2U机架式, 1*Intel至强 银牌 4210 主频≥2.2GHz/10核20线程, 64G内存,2*480GB SSD系统盘,6*8T数据盘, 2*1GE 电口,2*10GE 光口,2GB缓存RAID卡+掉电保护,三年软硬件质保服务
3、接入备份客户端数量不受限制,有效授权容量不低于32TB
提供Windows、Linux与Unix平台下文件备份与恢复功能授权,提供Windows、Linux与Unix平台下数据库备份与恢复功能授权,提供Windows与Linux操作系统备份与恢复功能授权,
提供VMware/H3C CAS/Huawei FusionCloud 备份与恢复功能授权。
4、支持对SQL Server/Always On、Oracle/Oracle RAC、MySQL、DB2、Sybase、Exchange Server、DB2、MongoDB、PostgreSQL、达梦(DM)、人大金仓(kingbase)、南大通用(GBase)、神舟通用(ShenTong)、优炫(UXDB)、瀚高(Highgo)等主流数据库和应用进行在线备份保护
5、支持对Oracle/Oracle RAC的日志进行详细解析,可以查看每条日志数据的实际执行内容,在数据恢复作业中可以选择准确的SCN来确定数据恢复点
6、支持MySQL 物理合成备份和日志备份,支持恢复到指定的GTID(global transaction identifier)
7、支持对Windows、Linux、Unix、对象存储与Hadoop 分布式文件系统(HDFS)的文件进行在线备份保护,在同一文件备份任务中采用多通道并发备份,提高备份和恢复的速度
8、支持文件、对象存储和HDFS的异构交互恢复,将对象存储备份数据直接恢复到文件系统
9、支持Linux 和Windows操作系统的备份与异机恢复。Windows恢复过程中提供驱动程序更换GUI,允许对驱动程序做调整
10、支持D2T/D2D2T/D2C/LAN-Free多种模式,备份过程无须缓存数据,直接通过备份客户端(Agent)将数据写到目的设备
11、支持VMware vCenter联动,在vCenter的管理界面上可以直接查看备份产品中虚拟机备份任务的状态,支持以VMware vAPP分组来展现虚拟机,并以vAPP分组为对象创建备份作业,包括完全备份、差异备份、增量备份。
支持虚拟化和云平台的虚拟机恢复后自动开、恢复网络标签
12、支持对操作系统、文件、数据库与虚拟机备份集进行重复数据删除,支持变长和固定重删方式,支持根据数据类型,选择数据块大小
13、配置三员分立(系统管理员、安全管理员、审计管理员)管理功能,可自定义账户、角色和备份客户端绑定关系,支持备份与恢复权限分开
14、配置备份任务流程审批管理功能,包括创建备份空间、创建备份作业、创建原机/异机恢复作业,实现备份和恢复分离审批
15、支持租户式资源隔离,单独计费和审计,并拥有二级管理员和操作员权限 1 台
18 等保测评服务 按照国家信息安全等级保护相关政策等文件要求,持续开展信息系统等级保护测评工作。参照等级保护的国家标准和省公安厅有关信息系统等级保护的指导意见的要求,开展等级保护测评。邀请专业等级保护测评公司对本单位二级系统进行等级保护测评工作,掌握信息系统信息安全防护与保障体系的现状,并编制《信息系统安全等级保护测评报告》,确保系统达到国家等级保护基本要求。(包含两个二级业务系统的等级保护测评服务) 1 次
19 等保测评整改服务
(协助) 对客户单位进行网络安全环境进行咨询与评估,并结合等级保护测评标准进行差距分析,最后协助客户单位完成等级保护建设及测评服务 1 次
20 应急响应服务 1、根据国家网络安全应急预案,结合用户单位网络安全相关制度实际情况,帮助用户单位制定《网络安全事故应急预案制度》。在遇到网络安全攻击时,30分钟予以响应,协助单位采取紧急措施、将业务恢复到正常服务状态,12小时内调查、分析、研判安全事件发生的原因以综合分析研判、切实解决问题为核心,结合威胁情报与安全数据资源提升应急响应效果,提供故障排查报告;并在24小时内排除系统故障,保证系统的正常运行,并事后形成《XX系统(事件)应急响应报告》、《应急响应服务确认单》。
2、应急响应事件服务范围具体包括以下内容:勒索病毒、挖矿木马、蠕虫病毒、APT事件、网站挂马、网站暗链、网站篡改、漏洞事件、数据泄露以及其他安全事件。需要注意的是:DDOS事件、网络线路异常、设备硬件状态异常、单台普通终端的中毒事件、个人账户密码丢失不在服务范围内。针对以上范围内的网络安全事件提供应急响应专家协助处置现场突发安全事件
3、厂商具备网络安全应急服务支撑单位(国家级)资质。
4、以综合分析研判、切实解决问题为核心,结合威胁情报与安全数据资源提升应急响应效果,3年内不限次数服务 1 项
21 年度维护 负责对甲方所有运行中的服务器进行补丁升级服务,对终端设备进行安全检测,对问题终端立即采取措施,对网络安全设备进行应用识别库、URL分类特征库、病毒防护特征库、入侵防御特征库升级,对硬件设备进行维保服务。 1 年
22 安装实施费用 项目设备系统安装实施费用。 1 项
现变更为:
序号 货物名称 规格型号或技术要求 数量 单位
办公网
1 终端安全管理系统 1、本次项目配置信息:
控制中心:终端安全管理系统基础组件,实现系统的集中管理、策略配置、报表查看等功能。可安装在Windowsserver 2016等系统上。
客户端:防病毒功能+补丁+运维管控功能,支持Windows XP/VISTA/WIN7/WIN8/WIN10,可扩展其它操作系统平台和其它功能。含180个授权点,三年升级服务。
2、支持控制中心防暴力破解,采用手机APP动态令牌方式进行二次认证,针对控制中心高危操作支持动态口令验证;
3、能至少实现以下四大类安全防护:如浏览器防护,系统防护,入口防护和隔离防护,其中浏览器防护包含网页防护,看片防护,网购防护,搜索防护,首页锁定,默认浏览器防护,邮件安全防护。系统防护包含摄像头防护,键盘记录防护,文件系统防护,驱动防护,进程防护,注册表防护。入口防护包含下载安全防护,U盘防护,黑客入侵防护,漏洞入侵防护,DNS防护,局域网防护。隔离防护包含可疑程序隔离防护。
4、支持按照补丁(漏洞)的维度统计漏洞修复情况,包括补丁号、CVE号、安全公告、补丁名称、补丁描述、漏洞级别、发布日期、未修复终端数、已修复终端数、已安装未重启终端、已忽略终端数。并支持统计报表导出
5、具备漏洞集中修复、自动修复,具备蓝屏修复功能;
6、远程管理:支持远程操作时锁定屏幕、截取屏幕,远程锁定屏幕后需要输入解锁密码才可再次使用;
7、违规外联:支持tcp、ping、域名解析三种外联探测方式,支持自定义探测地址,探测频率,支持外联告警断网,支持终端互联网出口IP探测
8、应用程序管理:进程白名单,只允许名单中的进程运行,运行名单外的进程时,弹框告警,同时上报告警日志;进程黑名单,禁止名单中的进程运行,运行名单中进程时弹框告警,同时上报告警日志;进程红名单,必须允许名单中的进程,如未运行则强制启动,启动不成功上报告警日志;
9、外设管理:支持管控USB存储设备、usb非存储设备、存储卡、冗余硬盘、软驱、打印机、扫描仪、磁带机、键盘、鼠标、红外、蓝牙、摄像头、手机/平板;
10、所投终端安全管理系统与所投下一代防火墙(互联网边界)进行协同联动,达到网络中立体防护效果。 1 套
2 终端准入控制系统 1、主要针对PC终端、哑终端等设备的准入控制管理,包含:应用准入、802.1x准入、Portal准入、终端入网合规检查、隔离修复、访问控制等功能。整机支持600Mbps吞吐量,可以管理1000终端以下环境。6个千兆电口,1TB 硬盘, 1U设备。配置180个终端授权,三年硬件质保服务。
2、支持有线、无线基于应用准入方式,准入配置支持保护服务器区域、例外终端等灵活的配置方式
3、支持基于受控域的入网流程配置,区分有线和无线网络,能够针对有线和无线网络区域分别采用有客户端和无客户端方式准入
4、支持哑终端MAC例外管理,支持批量例外同类型哑终端设备
5、支持健康合规检查策略,采用动态检测技术,需支持多种检查机制,至少支持入网检查、定时检查、周期检查机制,针对接入内部网络的计算机终端实行多种安全检查策略,支持分组策略下发控制,拦截不安全终端接入网络。
6、支持Web认证的在线用户认证会话,认证有效期
7、支持802.1x用户认证、主机认证、MAC认证的在线会话
8、可按照计算机名、 IP、 组织、 检查时间、 模板名称、 检查项、 违规项、 入网隔离、 各违规项具体内容等详情查看,提供分组统计、按违规项统计、违规次数统计等视角统计分析
9、支持与所投的终端安全管理系统统一平台统一客户端管理,并实现集中管理。 1 台
3 下一代防火墙
(互联网边界) 1、网络层吞吐量≥10G,并发连接≥260万,每秒新建连接数≥18万, 标准2U机箱,冗余电源,128GB SSD固态硬盘存储,标准配置6个10/100/1000M自适应电口,4个SFP插槽,另有2个接口板卡扩展插槽,最大支持22个接口,1个Console口,支持液晶屏,支持SSL VPN功能,支持50客户端接入,提供三年应用识别库、URL分类特征库、病毒防护特征库、入侵防御特征库升级、威胁情报订阅功能升级授权和三年软硬件维保服务。
2、所投产品必须支持在源地址转换过程中,对SNAT(源地址转换)使用的地址池利用率进行监控,并在地址池利用率超过阈值时,通过SNMP Trap、邮件等方式告警。
3、支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求。支持旁路模式;
4、支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查;
5、本地防病毒特征库数量≥3500万,能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,以及对至少6级压缩文件进行解压查杀;
6、漏洞防护特征库包含高危漏洞攻击特征,至少包括“SMB溢出攻击”“Struts”、“Struts2”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息
7、支持基于主机或威胁情报视图,统计网络中确认被入侵、攻破的主机数量,至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息;并对威胁情报发现的恶意主机执行自动阻断
8、提供关联分析面板,可将Top应用、Top威胁、Top URL分类、Top源地址、Top目的地址等信息关联,并支持以任意元素于为过滤条件进行数据钻取
9、支持与云端联动,至少实现病毒云查杀、URL云识别、应用云识别、云沙箱、威胁情报云检测等功能 2 台
4 下一代防火墙
(视频监控网边界) 1、网络层吞吐量≥8G,并发连接≥200万,每秒新建连接数10万, 标准2U机箱,冗余电源,标准配置6个千兆电口,2个SFP插槽,支持1个接口板卡扩展槽,1个Console口,64GB SSD固态硬盘存储,支持液晶屏,含三年病毒防护特征库、入侵防御特征库升级服务,三年硬件维保服务
2、所投产品必须支持在源地址转换过程中,对SNAT(源地址转换)使用的地址池利用率进行监控,并在地址池利用率超过阈值时,通过SNMP Trap、邮件等方式告警。
3、支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求。支持旁路模式
4、支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查
5、本地防病毒特征库数量≥3500万,能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,以及对至少6级压缩文件进行解压查杀
6、漏洞防护特征库包含高危漏洞攻击特征,至少包括“SMB溢出攻击”“Struts”、“Struts2”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息;
7、提供关联分析面板,可将Top应用、Top威胁、Top URL分类、Top源地址、Top目的地址等信息关联,并支持以任意元素于为过滤条件进行数据钻取
8、支持与云端联动,至少实现病毒云查杀、URL云识别、应用云识别、云沙箱等功能。 1 台
5 上网行为管理 1、1U硬件;标配≥6个千兆电接口,提供1个扩展插槽。最大并发连接数为≥15万;最大新建连接数为≥24000个/秒,提供三年硬件质保服务,含三年软件版本升级服务,三年URL库、应用协议库升级服务
2、设备具备独立的(具备标识的)网络管理接口。所有接业务接口均被用满后,仍然可以存在独立的管理口可以访问设备
3、设备在部署时支持模式选择,可设置为Portal模式,实现Portal服务器功能
4、能够支持IPv6环境下的网址访问审计、生成分析报表等功能;能够在IPv6环境下,正确审计显示用户的IPv6地址
5、可集中呈现上网行为风险等级和状态。行为风险等级包括安全等级、效率等级、合规等级和管控等级。行为状态包括管控效果、运行状态、安全状态、泄密风险状态、合规状态和应用使用状态。点击页面数值可直接跳转查询详情。
6、当用户的网页访问被网页浏览策略封堵时,用户如果发现分类错误能够在页面中向管理员进行反馈;管理员可查看用户反馈的分类错误,并可以选择向服务器反馈
7、可审计、控制Oracle, MySql, SqlServer, PostgreSQL等数据库的访问与操作,包括添加、删除、修改、查询等
8、支持多级虚拟通道,可以将物理带宽分成至少7级虚拟通道,合理分配物理带宽资源
9、支持基于连接数进行流量管理,可以每个人的并发/新建连接数量进行控制 2 台
生产网
6 web应用防火墙 1、标准1U机箱,1TB硬盘,标准配置千兆≥6个千兆电口,≥2个SFP插槽,2组bypass,1个Console口,2个USB口。网络吞吐量为≥800Mbps,应用层处理能力为≥300Mbps,网络并发连接数≥40万,HTTP并发为≥12万。配置三年特征库服务,三年硬件维保服务。
2、定时下线功能,能根据日期、工作日、时间等多因素控制网站访问时效
3、支持服务器探测功能,提供对服务器进行在线探测
4、支持自学习系统,无需人工干预,自动获取网站相关信息
5、支持根据网站流量自动生成网站文件和URL地址的树形结构展示拓扑图
6、支持实时网站流量态势感知监测功能,不需要借助第三方设备就可以对数据分析和展示,并支持全屏效果展示
7、支持敏感词防御功能,内置有敏感词库并支持自定义词汇
8、支持防暴力破解功能,可支持攻击阈值或动态令牌的方式实现暴力破解防护
9、支持DDoS防御功能,基于TCP和HTTP的DDoS防御类别
★10、支持移动终端管理功能,通过手机浏览器即可管理设备,并可查看设备CPU、内存使用情况。 1 台
7 网闸 1、系统吞吐量:≥450Mbps , 2U机箱,冗余电源;支持液晶面板,内网接口:≥6个千兆电口,≥2个SFP插槽,1个Console口,2个USB口;外网接口:≥6个千兆电口,≥2个SFP插槽,1个Console口,2个USB口;提供功能模块:数据库同步、文件交换、数据库访问、邮件访问、安全浏览、安全FTP、工控访问等;三年硬件维保。
3、采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块,内外端机为网络协议终点,彻底阻断各种网络协议;产品包含文件交换、数据库同步、数据库访问、邮件访问、安全FTP、安全浏览、定制模块、工控模块、视频模块、SSL通道、日志审计、告警中心、防病毒等全功能模块
4、支持双系统冗余架构,可通过WEB页面进行主备系统切换,当主系统发生故障或需要升级时可切换至备系统进行工作
5、在首页可直观展现出当前系统实时CPU使用情况、硬盘使用情况、TCP连接数、UDP连接数,同时可直观呈现当前应用CPU、内存 top5排名
6、支持文件制定文件前缀、后缀、文件名暂缓传输,同时具备文件未传输完成时,增加文件指定前缀、后缀,传输完成以后自动删除该前后缀,以此来判断文件文件完整性
7、支持对附件及其附件类型进行过滤控制,邮件内容过滤、文档重建、病毒过滤
8、支持异构双引擎病毒模块,防止恶意文件通过网闸进入内网,提供高中低不同级别阻断策略;
9、支持MySQL、ORACLE、ORACLE_RAC、SQLServer、DB2、SYBASE、POSTGRESQL等常见数据库,支持神通、达梦、人大金仓、南大通用等国产数据库同步
10、支持一对一、一对多、多对一数据库同步;支持异构数据库同步,实现不同表结构和不同数据库类型之间的转化。 1 台
8 下一代防火墙
(数据中心边界) 1、网络处理能力为≥10G,并发连接≥250万,每秒新建连接≥18万/秒,标准2U机箱,冗余电源,标准配置≥6个千兆电口,≥4个SFP插槽,支持两个扩展槽,1个Console口,支持液晶屏,1T存储容量的企业级硬盘;提供三年应用识别库、URL分类特征库、病毒防护特征库、入侵防御特征库升级、威胁情报订阅功能升级授权;三年硬件维保服务
2、所投产品必须支持在源地址转换过程中,对SNAT(源地址转换)使用的地址池利用率进行监控,并在地址池利用率超过阈值时,通过SNMP Trap、邮件等方式告警。
3、支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查
4、本地防病毒特征库数量≥3500万,能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,以及对至少6级压缩文件进行解压查杀
5、漏洞防护特征库包含高危漏洞攻击特征,至少包括“SMB溢出攻击”“Struts”、“Struts2”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息
6、支持基于主机或威胁情报视图,统计网络中确认被入侵、攻破的主机数量,至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息;并对威胁情报发现的恶意主机执行自动阻断
7、提供关联分析面板,可将Top应用、Top威胁、Top URL分类、Top源地址、Top目的地址等信息关联,并支持以任意元素于为过滤条件进行数据钻取
8、支持双系统备份,三权分立管理
9、支持加密的WebUI和CLI管理,且支持网页命令行管理(WebUI中内嵌CLI管理界面) 2 台
9 工业防火墙 1、1U工业防火墙,≥6个千兆电口(2对Bypass),≥4个千兆光口,1个Console口,2个USB口,全封闭被动散热,IP40,双电源,网络吞吐≥4G,并发连接数≥100万。提供三年病毒库升级服务,三年维保服务包
2、产品支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求
3、支持导入或输入工业点表信息,点表信息自动匹配安全策略、日志等信息
4、支持基于工业协议白名单的访问控制策略,包括OPC、S7、MODBUS、Ethernet/IP、IEC60870-5-104、CIP、DNP3等工业协议指令的自动发现和生成白名单规则
5、告警模式时可对告警信息进行一键加入工业协议白名单。
6、支持单独配置OPC、S7、MODBUS、Ethernet/IP、IEC60870-5-104、CIP、DNP3对象,并在白名单规则中进行引用
7、支持基于不同安全区域防御DNS Flood、HTTP Flood攻击,并支持警告、阻断、首包丢弃、TC反弹技术、NS重定向、自动重定向、手工确认等多种防护措施
8、支持可配置阈值的基于安全域或基于二层接口局域网广播防护,防止局域网内广播和多播数据包泛滥
9、支持基于安全区域的异常包攻击防御,异常包攻击类型至少包括Ping of Death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke、DNS异常、IP分片等;并可在设备页面显示每种攻击类型的丢包统计结果
10、支持对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,支持对最多6级的压缩文件进行解压查杀 2 台
10 工业主机安全防护系统 1、工业主机安全防护系统网络版控制中心:工业主机白名单防护、外设管控、漏洞防御、网络防护、资产管理、集中管理、告警与日志审计
2、客户端:工业主机白名单防护、外设管控、漏洞防御、网络防护、资产管理、集中管理、告警与日志审计;支持微软32位/64位 Windows2000、Windows XP SP2及以上等系统;含30个安装授权;带3年维保服务包
3、支持永恒之蓝勒索病毒漏洞防御,支持永恒之蓝勒索病毒专杀工具进行查杀。
4、支持常见高危漏洞防护
5、支持可执行文件(包 括 EXE、DLL、COM 等PE文件和脚本 )创建主机应用白名单
6、支持exe、com、bat、vbs、vbe、hta、js、wsh、msi、wsf、cmd可执行程序防护
7、白名单文件非明文存储与后台数据库中,非授权管理员无法修改、删除、添加白名单
8、支持无线网卡、存储卡、串口、并口、蓝牙、手机、平板禁用和启用
9、支持单点显示和维护(信息概览、硬件信息、策略配置、白名单库管理、日志审计)
10、在告警模式和防护模式下,业务审计均记录了非白名单文件的加载执行记录告警日志,业务审计日志包括时间、操作类型、响应方式、重复次数、执行对象等;审计信息存储于后台数据库中,掉电不丢失; 1 套
11 工业安全监测系统 1、导轨式;全封闭无风扇;双电源;≥5个电口(含1管理口);1个Console口;1个USB口。包含三年特征库规则升级服务包。三年维保服务。
2、支持被动监听方式自动识别工控资产,支持的厂商包括Siemens、Schneider、Rockwell、GE、ABB、OMRON、MITSUBISHI、Beckhoff、HoneyWell、OPTO22、HollySys等。
3、支持资产主动识别,主动识别可对资产的资产名称、开放端口、操作系统、MAC地址进行探测。
4、支持对流量识别资产配置信息的设置。设置内容包括:识别模式、最大识别资产数、资产活跃阈值、IP地址范围。
5、支持资产风险阈值告警、MAC地址变更告警设置。
6、支持基于时间段、源地址段、目的地址段等条件查询,显示资产实际通信连接关系,并能显示有威胁的连接
7、支持以可视化的方式展示,并支持放大、缩小
8、支持资产风险指数与风险等级(危急、高危、中危、低危)分析显示
9、可识别OPC-Classic、Modbus、S7、IEC104、ENIP/CIP、DNP3、Q/GDW376.1、BACnet、MELSEC、OMRON FINS、MMS、OPC-UA、RSSP-1、FANUC FOCAS、MQTT等30种以上工业协议
10、支持工控关键操作审计,包括下装、上载、启动、停止、其它关键操作指令等。 2 台
12 统一安全管理平台 1、产品形态为软硬件一体版;≥4个千兆电口,含8个扩展槽,最大可支持36个口;硬盘为4*8T + 960G SSD。提供集中管理基础组件:设备管理、设备监控、拓扑管理、日志中心、报表管理等;提供三年软件特征库升级,三年产品硬件维保服务。
2、支持对工业安全监测系统、工业主机安全防护系统、工业防火墙的集中管理,能够对所管控的安全监测硬件设备进行集中性能监测,实现设备管控
3、为了方便运维管理,提升整体安全效果,要求所投统一安全管理平台与所投工业主机安全防护系统、工业安全监测系统、工业防火墙以及日志审计与分析系统为同一品牌。
4、支持资产漏洞管理。支持对资产进行漏洞的关联,匹配漏洞信息。支持4000多个工控漏洞,覆盖CVE、CNVD、CNNVD、ICS-CERT等漏洞库。支持查看资产的当前漏洞信息,如果漏洞发生变更,可以查询该资产历史的漏洞详情。支持自定义漏洞。
5、支持工控关键操作审计,包括下装、上载、启动、停止、其它关键操作指令等
支持工艺操作指令级信息审计,包括指令产生的时间、源IP、目的IP、源端口、目的端口、应用、协议、指令操作详细操作内容。
6、支持对客户业务工艺流程相关的变量点表的监控,可自定义监控点表的地址,设备名称,监控数值合法范围。
7、支持自定义基于工业场景的工艺点表实时可视化监测功能
8、支持异常行为分析。包括网络异常行为、工艺异常行为的建模分析与告警统计。支持对异常行为建模形成安全基线,如网络行为基线、工艺行为基线。在此基础上生成异常告警与统计
9、支持对网络中的各种设备与终端通过SNMP方式进行统一监控。包括边界安全设备、网络监测审计设备、终端设备、网络设备、工控设备等,监控内容除在线状态、CPU利用率、内存利用率外,还支持用户自定义监控参数
10、支持对工业安全的态势分析,提供各种维度的态势大屏。包括工业安全态势、工业资产态势、资产漏洞态势、实时威胁态势、工业威胁态势、异常行为态势、网络监控态势等,并可以基于客户需求进行定制化。 1 台
13 日志审计与分析系统 1、性能:事件处理最高3000EPS。硬件规格:标准1U机箱,≥6个千兆电口,2个扩展插槽(可选2万兆光、4千兆电、4千兆光),1个Console接口,单电源,4T硬盘。包含50个日志源授权,三年硬件维保服务和三年软件升级维护服务
2、能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、虚拟化、云计算、数据库、中间件以及各种应用系统的日志、事件、告警等安全信息进行全面的审计
3、支持通过syslog、SNMP Trap、JDBC、Agent代理、WMI、(S)FTP、NetBIOS、文件\文件夹读取、Kafka等多种方式完成各种日志的收集功能
4、日志归一化(规范化):日志解析字段内置≥130个字段,属性字段 可扩展,用户可根据审计需要自行创建字段,字典表可根据需要自定义扩展。
5、支持实时的日志滚动显示,可通过雷达图等直观显示目前日志量和日志详细信息
6、支持对实时展示的字段进行选择,调整字段顺序,修改显示字段别名。双击单条日志显示详细信息,支持左右布局和上下布局
7、支持自定义实时监视场景,提供可视化规则编辑视图,对关注的事件进行实时展示
8、支持自定义实时分析场景,提供可视化规则编辑视图,根据实际业务编写分析规则
9、系统支持提供安全运维报告,帮助运维人员快速生成日常日志分析和运维报告
10、系统具备全文检索的大数据处理能力,提供大规模事件处理的规则群组系统及处理方法证书。 1 台
14 堡垒机 1、标准1U机架式,≥6个千兆电口,支持2个接口扩展槽位,内置4TB硬盘,支持液晶屏,最大支持150路图形会话或400路字符会话并发,最大可选300授权许可。本次配置50个资源授权许可。含三年标准售后服务。
2、运维过程中支持会话协同,可邀请其他用户参与、协助操作
3、所投产品支持Web在线和离线回放重现运维人员对资源的所有操作过程,并支持回放文件下载到本地播放;
4、支持动态令牌、USBKEY、手机令牌、手机短信等多因子认证
5、支持在页面上批量执行命令,实时查看命令和脚本的输出结果。且按执行周期,将命令、脚本、文件批量传输设置自动化运维任务。
6、支持用户通过工单申请资源,权限包括文件上传下载、RDP剪切板,流程可按多人多级审批模式或会签审批模式
7、支持通过工单形式对高危命令操作实现动态审批授权
8、支持用户水印功能,避免数据泄露无法追责
9、支持网盘功能,可以自定义网盘总空间和每用户使用空间
10、支持以云盘形式在堡垒机上存储文件,并自定义云盘大小,实现操作端、堡垒机、目标服务器三者之间文件共享 1 台
业务网改造
15 核心交换机 1、包转发率 720M,交换容量 2.56T,24个10GE SFP+光口(支持GE光模块),6个40G QSFP光口(不支持一分四),并提供一个RJ45 Console口用于本地配置,一个GE RJ45管理网口和一个USB口(管理口在电源侧),提供两个电源插槽,可支持600W AC电源,支持4个独立可插拔风扇,设备支持前后风道(端口侧进风),双电源。 1 台
16 工业汇聚交换机 交换容量:432Gbps/4.32Tbps
包转发率:144Mpps/166Mpps
业务端口描述:48个10/100/1000Base-T自适应以太网端口,4个万兆SFP+口
链路聚合:支持GE端口聚合;支持10GE端口聚合;支持静态聚合;支持动态聚合;支持跨设备聚合
MAC地址表:支持黑洞MAC地址;支持设置端口MAC地址学习个数
VLAN:支持基于端口的VLAN;支持QinQ、灵活QinQ;支持Voice VLAN;
支持协议VLAN;支持MAC VLAN
单播路由:支持IPv4/IPv6静态路由;支持RIP/RIPng,OSPF v2/v3
二层环网协议:支持STP/RSTP/MSTP协议;支持STP Root Protection;
支持BPDU Protection;支持G.8032以太网环保护协议ERPS,切换时间≤50ms,可兼容其他支持该协议的产品;支持RRPP 2 台
17 数据库备份与恢复系统 1、软件与硬件一体化备份系统,支持为数据库、文件、操作系统提供在线备份保护,系统基于Linux底层设计,支持WEB化管理。
2、2U机架式, 1*Intel至强 银牌 4210 主频≥2.2GHz/10核20线程, 64G内存,2*480GB SSD系统盘,6*8T数据盘, 2*1GE 电口,2*10GE 光口,2GB缓存RAID卡+掉电保护,三年软硬件质保服务
3、接入备份客户端数量不受限制,有效授权容量不低于32TB
提供Windows、Linux与Unix平台下文件备份与恢复功能授权,提供Windows、Linux与Unix平台下数据库备份与恢复功能授权,提供Windows与Linux操作系统备份与恢复功能授权,
提供VMware/H3C CAS/Huawei FusionCloud 备份与恢复功能授权。
4、支持对Windows、Linux、Unix、对象存储与Hadoop 分布式文件系统(HDFS)的文件进行在线备份保护,在同一文件备份任务中采用多通道并发备份,提高备份和恢复的速度
5、支持文件、对象存储和HDFS的异构交互恢复,将对象存储备份数据直接恢复到文件系统
6、支持Linux 和Windows操作系统的备份与异机恢复。Windows恢复过程中提供驱动程序更换GUI,允许对驱动程序做调整
7、支持D2T/D2D2T/D2C/LAN-Free多种模式,备份过程无须缓存数据,直接通过备份客户端(Agent)将数据写到目的设备
8、支持VMware vCenter联动,在vCenter的管理界面上可以直接查看备份产品中虚拟机备份任务的状态,支持以VMware vAPP分组来展现虚拟机,并以vAPP分组为对象创建备份作业,包括完全备份、差异备份、增量备份。
支持虚拟化和云平台的虚拟机恢复后自动开、恢复网络标签
9、配置三员分立(系统管理员、安全管理员、审计管理员)管理功能,可自定义账户、角色和备份客户端绑定关系,支持备份与恢复权限分开
10、支持租户式资源隔离,单独计费和审计,并拥有二级管理员和操作员权限 1 台
18 等保测评服务 按照国家信息安全等级保护相关政策等文件要求,持续开展信息系统等级保护测评工作。参照等级保护的国家标准和省公安厅有关信息系统等级保护的指导意见的要求,开展等级保护测评。邀请专业等级保护测评公司对本单位二级系统进行等级保护测评工作,掌握信息系统信息安全防护与保障体系的现状,并编制《信息系统安全等级保护测评报告》,确保系统达到国家等级保护基本要求。(包含两个二级业务系统的等级保护测评服务) 1 次
19 等保测评整改服务
(协助) 对客户单位进行网络安全环境进行咨询与评估,并结合等级保护测评标准进行差距分析,最后协助客户单位完成等级保护建设及测评服务 1 次
20 应急响应服务 1、根据国家网络安全应急预案,结合用户单位网络安全相关制度实际情况,帮助用户单位制定《网络安全事故应急预案制度》。在遇到网络安全攻击时,30分钟予以响应,协助单位采取紧急措施、将业务恢复到正常服务状态,12小时内调查、分析、研判安全事件发生的原因以综合分析研判、切实解决问题为核心,结合威胁情报与安全数据资源提升应急响应效果,提供故障排查报告;并在24小时内排除系统故障,保证系统的正常运行,并事后形成《XX系统(事件)应急响应报告》、《应急响应服务确认单》。
2、应急响应事件服务范围具体包括以下内容:勒索病毒、挖矿木马、蠕虫病毒、APT事件、网站挂马、网站暗链、网站篡改、漏洞事件、数据泄露以及其他安全事件。需要注意的是:DDOS事件、网络线路异常、设备硬件状态异常、单台普通终端的中毒事件、个人账户密码丢失不在服务范围内。针对以上范围内的网络安全事件提供应急响应专家协助处置现场突发安全事件
3、厂商具备网络安全应急服务支撑单位(国家级)资质。
4、以综合分析研判、切实解决问题为核心,结合威胁情报与安全数据资源提升应急响应效果,3年内不限次数服务 1 项
21 年度维护 负责对甲方所有运行中的服务器进行补丁升级服务,对终端设备进行安全检测,对问题终端立即采取措施,对网络安全设备进行应用识别库、URL分类特征库、病毒防护特征库、入侵防御特征库升级,对硬件设备进行维保服务。 1 年
22 安装实施费用 项目设备系统安装实施费用。(包含调试、辅材、运送、集成等) 1 项
2)原招标文件第三章 《技术服务方案及要求》增加“注:项目验收时,采购人将对该项目所涉及的所有产品,按照乙方应答材料中响应内容进行验证,如验收过程中发现结果与应答材料不符,经采购人查证属实的,则视为虚假应标,采购人有权解除已签署的合同并取消其中标资格,将按照评标委员会提出的中标候选人名单排序依次确定其他中标候选人为中标人。”
3)原招标文件第65页第七章 《评标办法》中商务评分标准:
序号 评分项目 分值 评分标准 评分
1 类似项目
业绩 40 投标人开标日前36个月内,单个合同金额低于50万元(原则上低于招标控制价20%的),不计分;单个合同金额50(含) ~ 100 万元的项目,每个计4分,最多计20分;单个合同金额100 (含)~ 150万元的项目,每个计5分,最多计30分;单个合同金额150万元(不含)以上的项目,每个计 10 分,最多计40分。上述得分相加最多计 40 分。(以业绩合同复印件为准,如合同以单价为结算单位的还需提供结算发票复印件)
2 供货期 10 符合招标文件计5分,每提前 2 天交货加1分,最多加5分。
3 履约能力 30 1、投标人具有中国电子工业标准化技术协会颁发的信息技术服务运行维护标准符合性认证(ITSS),计5分。
2、投标人具有中国网络安全审查技术与认证中心颁发信息安全系统集成资质(CCRC),计10分。
3、投标人具有中国网络安全审查技术与认证中心颁发的信息安全应急处理资质(CCRC),计10分。
4、投标人为2021年度省级工业控制系统信息安全服务支撑机构单位,计5分。
(以上资质皆须提供资质证书的复印件加盖公章,不提供则不得分,)
4 售后服务 20 售后服务方案编制全面、详细、符合招标文件要求。优计 15 ~ 20 分;良好计 8 ~ 14 分;一般计 1 ~ 7 分
合计 100
现变更为:
序号 评分项目 分值 评分标准 评分
1 投标人综合实力 40 1、投标人具有中国电子工业标准化技术协会颁发的信息技术服务运行维护标准符合性认证(ITSS),计10分。
2、投标人具有中国网络安全审查技术与认证中心颁发信息安全系统集成资质(CCRC),计10分。
3、投标人具有中国网络安全审查技术与认证中心颁发的信息安全应急处理资质(CCRC),计10分。
4、具备ISO9001质量管理体系认证证书,提供证书复印件加盖公章得5分;
具体ISO27001信息安全管理认证证书,提供证书复印件加盖公章得5分。
2 业绩经验 40 投标人开标日前36个月内,单个合同金额低于50万元(原则上低于招标控制价20%的),不计分;单个合同金额50(含) ~ 100 万元的项目,每个计4分,最多计20分;单个合同金额100 (含)~ 150 万元的项目,每个计5分,最多计30分;单个合同金额150万元(不含)以上的项目,每个计 10 分,最多计40分。上述得分相加最多计 40 分。(以业绩合同复印件为准,如合同以单价为结算单位的还需提供结算发票复印件)
3 服务 20 评委根据投标人的售后服务方案打分:内容需包含售后服务内容、投标人售后服务机构、服务响应时间、质保期后服务情况,综合比较优秀得15-20分,一般得7-14分,较差得1-6分,未提供得0分
合计 100
4)原招标文件第66页第七章 《评标办法》中技术评分标准:
序号 评分项目 分值 评分标准 评分
1 投标文件响应程度 10 1、完全满足或优于招标文件要求的计10分;2、不带★项技术指标,技术参数不清,缺漏项等负偏离扣1 分,扣完10分为止。”本项目偏差范围:非实质性条款,最高项数:10项,超过10项作废标处理。
2 投标文件编制 5 投标文件编制全面、详细,格式符合招标文件要求。优计5分;良好计3分;一般计1分;
3 产品性能 15 对所投网络安全产品系统的技术参数满足度、品牌统一度、产品之间联动技术特色等方面做出描述,根据投标文件进行综合评分,优秀计10-15分,良好计5-9分,一般计1-4分,其他不得分
4 服务(安装)方案 20 安装服务方案优计15~20分;安装服务方案良好计8~14分;安装服务方案一般计1~7分;
5 产品厂商能力资质 40 1、所投信息安全交换与隔离系统产品具备中国信息安全测评中心《国家信息安全测评信息技术产品安全测评证书》EAL3+,符合计2分;EAL4+,符合计5分。
2、所投下一代防火墙产品厂商具备《国家信息安全测评信息安全服务资质证书》(云计算安全类一级或以上级别),符合计10分。
3、所投终端安全管理系统产品厂商具备独立的漏洞研究能力及积累,其在2020年度向国家信息安全漏洞共享平台(CNVD漏洞库)共享了原创漏洞信息大于(含)3万条,计10分;大于2万条小于3万条,计4分;其余不得分。4、所投生产网的全部网络安全产品生产厂商获得CNNVD “2020年度优秀技术支撑单位”、“2020年度漏洞预警报送专项奖”,得10分;每有一项产品生产厂商不满足,扣1分,扣完为止。
5、所投生产网的全部工业网络安全设备厂商为《GB/T37980-2019 信息安全技术 工业控制系统安全检查指南》标准起草单位,得5分;每有一项产品生产厂商不满足,扣2分,扣完为止。(以上资质皆须提供资质证明文件复印件并加盖厂商公章,不提供则不得分)
6 服务人员要求 10 本项目中的响应服务要求原厂工程师支持,为保证服务工程师的专业性和服务的响应及时性,工程师需同时具备CISP-PTE注册渗透测试工程师、CISP-IRE注册应急响应工程师以及CISP-PTS注册信息安全专业人员-渗透测试专家证书中的任意两个证书,每提供一名计2.5分,最高计10分;
(以上人员资质需提供相关证书文件,劳动合同及开标前六个月社保缴纳证明复印件并加盖公章,否则不计分)。
合计 100
现变更为:
序号 评分项目 分值 评分标准 评分
1 技术参数的响应程度 20 采购文件中技术服务方案及要求中货物需求清单和技术规格描述,投标方应逐条响应并按要求提供相应的证明材料。
1、带★号为实质性技术条款,不允许有负偏离。
2、其他非实质性技术条款,最多允许偏离10项。如存在负偏离的、配置不详的、技术参数不清或缺漏项的,每处扣2分,扣完为止。
2 拟投入应急响应服务人员的资格和能力 25 本项目中的应急响应服务要求原厂工程师支持,为保证服务工程师的专业性和服务的响应及时性,工程师需同时具备CISP-PTE注册渗透测试工程师、CISP-IRE注册应急响应工程师以及CISP-PTS注册信息安全专业人员-渗透测试专家证书中的任意两个证书,每提供一名计5分,最高计25分;
(以上人员资质需提供相关证书文件,劳动合同及开标前六个月社保缴纳证明复印件并加盖公章,否则不计分)。
3 产品质量保障 55 为确保所投的网络安全产品生产厂商具备较强的安全实力:
1、所投信息安全交换与隔离系统产品具备中国信息安全测评中心《国家信息安全测评信息技术产品安全测评证书》EAL3+,符合计2分;EAL4+,符合计5分。
2、所投下一代防火墙产品厂商具备《国家信息安全测评信息安全服务资质证书》(云计算安全类一级或以上级别),符合计10分。
3、所投终端安全管理系统产品厂商具备独立的漏洞研究能力及积累,其向国家信息安全漏洞共享平台(CNVD漏洞库)共享原创漏洞信息;在2018-2020年度,连续三年共享原创漏洞信息大于(含)1万条,计10分;在2018-2020年度,连续两年共享原创漏洞信息大于1万条,计4分;在2018-2020年度,三年中某一年度共享原创漏洞信息大于1万条,得1分;其余不得分。
4、所投应急响应服务厂商具备优秀的漏洞挖掘和分析能力,在2018-2020年度,连续三年获得国家信息安全漏洞库与中国信息安全测评中心颁发的“年度优秀技术支撑单位”证书,得10分;在2018-2020年度,连续两年获得国家信息安全漏洞库与中国信息安全测评中心颁发的“年度优秀技术支撑单位”证书,得3分;其余不得分。
5、要求所投生产网的全部网络安全产品生产厂商具备《ITSS信息技术服务标准符合性证书》(运行维护服务)证书,确保网络安全设备生产厂商的安全运维服务能力,得10分;每有一项产品生产厂商不满足,扣1分,扣完为止。
6、所投web应用防火墙原厂商的产品同时具备全球权威机构IPV6 Ready Logo委员会颁发的IPV6 Ready Core Protocols Logo(Phase-2)得10分;
(以上资质皆须提供资质证明文件复印件并加盖厂商公章,不提供则不得分)
合计 100
4)原招标文件第67页第七章 《评标办法》中价格评分标准:
投标报价评分权重为0.4。
评分说明:
(1)报价以最低价为基准价。
偏差率(X) X=(投标人报价-评标基准价)÷评标基准价×100%
投标报价总价评分标准
偏差率大于0:偏差率从0开始每递升1%减1.5分。
偏差率等于0:报价分为40 分;
(偏差率不足1%的,按内插法取值)
序号 项目 评分标准 备注
1 投标报价—基准价
————————×100%>0
基准价 从0开始,每升1%减 1.5 分,即100-1.5*100X 1、 投标报价(经评审的最终投标价)得分最低分为0分
2、 X为投标报价升、降率百分点数的绝对值,即
投标报价—基准价
———————— ×100% 基准价
2 投标报价=基准价 100分
现变更为:
投标报价评分权重为0.4。
评分说明:
投标报价评审计分表
序号 项目 评分标准
1 评标价(算术修正后)>基准价 从0开始每升1%减1.5即100-1.5*100X2
2 评标价(算术修正后)=基准价 100分
3 评标价(算术修正后)<基准价 从0开始每降1%减1分,即100-1*100X2
投标人名称 投标报价
(不含税价) 评标价
(算术修正后) 基准价 X2值 价格权重 投标报价得分
对投标报价的调整记录(算术修正):
备注:1、本项目以不含税总价作为评标依据。投标报价得分:评分标准计算结果×价格权重。
2、评标基准价=(A1+A2+......An)/n
A1、A2、……An 分别为进入基准价计算的各投标人的投标报价(算术修正后); N为进入基准价计算的投标人投标报价的个数。
3、投标报价的偏差率(X2,绝对值) =(投标报价—基准价)/基准价×100%
4、最终投标价以人民币万元为单位,计算保留至小数点后2位(百分比亦然),小数点后第3位采取4舍5入。
5)原报名截止时间:2021年12月8日17:00(北京时间),投标截止时间及开标时间:2021年12月11日09:30(北京时间)
现变更为:
报名截止时间:2021年12月14日17:00(北京时间),投标截止时间及开标时间:2021年12月17日09:30(北京时间)
招标文件如涉及上述内容应作相应修改,其他内容不变。
联系方式
1、采购人:浏阳天福打叶复烤有限责任公司
地 址:浏阳高新技术产业开发区永和路2号
电 话:15802625119
联系人:何云
2、招标代理公司:湖南建业管理咨询有限公司
地址:长沙市雨花区时代阳光大道西388号轻盐雅苑1栋东座10层-11层
电 话:0731-84455989
联系人:鲁奕伶 许春媛 张维
邮箱:306718159@qq.com
3、监督部门:
监督机构:浏阳天福打叶复烤有限责任公司综合管理部,83228888-635。
解决方案
联系我们
返回顶部