招标
华南农业大学WebVPN设备采购项目采购公告
金额
-
项目地址
广东省
发布时间
2021/11/10
公告摘要
项目编号zb-10-04f-2021-d-e23391
预算金额-
招标公司华南农业大学
招标联系人-
招标代理机构公诚管理咨询有限公司
代理联系人李先生18680285672
标书截止时间2021/11/17
投标截止时间2021/11/23
公告正文
华南农业大学WebVPN设备采购项目采购公告
(招标编号:ZB-10-04F-2021-D-E23391)
项目所在地区:广东省
一、招标条件
本华南农业大学WebVPN设备采购项目已由项目审批/核准/备案机关批准,项目
资金来源为其他资金/,招标人为中国银行股份有限公司广东省分行。本项目已
具备招标条件,现招标方式为其它方式。
二、项目概况和招标范围
规模:本项目拟采购1家供应商为华南农业大学提供WebVPN设备
范围:本招标项目划分为1个标段,本次招标为其中的:
(001)华南农业大学WebVPN设备采购项目;
三、投标人资格要求
(001华南农业大学WebVPN设备采购项目)的投标人资格能力要求:供应商须为We
bVPN设备生产厂商或厂商针对本项目的唯一授权公司(WebVPN设备生产厂商应
具备公安部网络安全保卫局颁发的在效期内的WebVPN设备《计算机信息系统安
全专用产品销售许可证》)。
供应商除上述要求之外,还应满足以下条件:
1、具有独立承担民事责任的能力。
2、遵守法律法规,具有良好的商业信誉和健全的财务会计制度。
3、在参加我行采购活动前3年内,经营活动中没有重大违法违规记录或涉及环
境保护、劳动用工等方面的违法违规行为,以及没有被我行认定为损害我行权
益的行为。
4、提供的货物、工程或服务符合国家、行业标准及我行要求。
5、具有为我行提供货物、工程或服务所必需的设备和专业技术能力。
6、截至本项目公告发布之日,未被禁止参与我行采购活动(已解除处罚的除外
)
。
7、不接受联合体参加。
8、未经采购方同意不得将本项目以任何方式进行转包或分包。
9、供应商应主动披露与其存在关联关系的其他供应商。对于存在关联关系的不
同供应商,不得同时参加同一子包采购或者未划分子包的同一项目采购。关联
关系企业包含以下情况之一:
(1)与本单位的单位负责人为同一人的其他单位;
(2)与本单位存在直接控股、管理关系的其他单位,含母公司与全资子公司或
由其控股的子公司(但国家控股的企业之间不仅因为同受国家控股而具有关联
关系)。
10、其他要求
供应商应主动披露其与我行人员利益关系,对于存在下列情形之一的供应商,
我行保留不接受其参与本项目的权利:
(1)供应商的法定代表人、董事、监事、主要控股股东、实际控制人或拟派项
目团队人员曾经与中国银行广东省分行(含辖属分支机构)存在劳动关系;
(2)供应商的法定代表人、董事、监事、主要控股股东、实际控制人或拟派项
目团队人员与中国银行广东省分行财务管理部、中国银行广州分行、中国银行
广州天河支行管理层成员或利益关联人员有夫妻、直系血亲关系。
;
本项目不许合体投标。
四、招标文件的获取
获取时间:从2021年11月11日 09时00分到2021年11月17日 17时30分
获取方式:1、时间:2021年11月11日至2021年11月17日,每天上午9:00至
12:00,下午12:00至17:30(北京时间,法定节假日除外
)
。
2、地点:公诚管理咨询有限公司“诚E招”电子采购交易平台(www.cheng
ezhao.com)。3、方式:符合资格的供应商应当在规定时间内前往诚E招电子采
购交易平台完成报名登记并获取竞争性磋商文件。(1)“诚E招”注册方式详
见【诚E招电子采购交易平台-帮助中心-操作指南-
注册指引】,注册成功后请登录,登陆后可在【常用文件】处下载《投标人&供
应商操作手册》;“报名登记”方式详见《投标人&供应商操作手册》-
“
3.1.1”;“购买文件、支付及下载文件”方式详见《投标人&供应商操作手
册》 -
“
3.2”。(2)在诚E招电子采购交易平台完成购买竞争性磋商文件即完成投标
登记。(3)平台操作若有疑问,可致电客服热线:020-
89524219。服务时间8:30-
17:30(法定公休日、法定节假日除外)。4、售价:免费。
五、投标文件的递交
递交截止时间:2021年11月23日 09时30分
递交方式:广州市东风西路197号中国银行广东省分行综合楼三楼集中采购
中心纸质文件递交
六、开标时间及地点
开标时间:2021年11月23日 09时30分
开标地点:广州市东风西路197号中国银行广东省分行综合楼三楼集中采购
中心
七、其他
公诚管理咨询有限公司受中国银行股份有限公司广东省分行的委托,对
华南农业大学WebVPN设备采购项目
进行竞争性磋商采购。欢迎符合资格条件的供应商参加。
一、项目基本情况
1、项目编号:ZB-10-04F-2021-D-E23391
2、项目名称:华南农业大学WebVPN设备采购项目
3、项目内容及需求:本项目拟采购1家供应商为华南农业大学提供WebVPN设备
,
详见第二部分《用户需求书》。
二、供应商资格条件:
供应商须为WebVPN设备生产厂商或厂商针对本项目的唯一授权公司(WebVPN设
备生产厂商应具备公安部网络安全保卫局颁发的在效期内的WebVPN设备《计算
机信息系统安全专用产品销售许可证》)。
供应商除上述要求之外,还应满足以下条件:
1、具有独立承担民事责任的能力。
2、遵守法律法规,具有良好的商业信誉和健全的财务会计制度。
3、在参加我行采购活动前3年内,经营活动中没有重大违法违规记录或涉及环
境保护、劳动用工等方面的违法违规行为,以及没有被我行认定为损害我行权
益的行为。
4、提供的货物、工程或服务符合国家、行业标准及我行要求。
5、具有为我行提供货物、工程或服务所必需的设备和专业技术能力。
6、截至本项目公告发布之日,未被禁止参与我行采购活动(已解除处罚的除外
)
。
7、不接受联合体参加。
8、未经采购方同意不得将本项目以任何方式进行转包或分包。
9、供应商应主动披露与其存在关联关系的其他供应商。对于存在关联关系的不
同供应商,不得同时参加同一子包采购或者未划分子包的同一项目采购。关联
关系企业包含以下情况之一:
(1)与本单位的单位负责人为同一人的其他单位;
(2)与本单位存在直接控股、管理关系的其他单位,含母公司与全资子公司或
由其控股的子公司(但国家控股的企业之间不仅因为同受国家控股而具有关联
关系)。
10、其他要求
供应商应主动披露其与我行人员利益关系,对于存在下列情形之一的供应商,
我行保留不接受其参与本项目的权利:
(1)供应商的法定代表人、董事、监事、主要控股股东、实际控制人或拟派项
目团队人员曾经与中国银行广东省分行(含辖属分支机构)存在劳动关系;
(2)供应商的法定代表人、董事、监事、主要控股股东、实际控制人或拟派项
目团队人员与中国银行广东省分行财务管理部、中国银行广州分行、中国银行
广州天河支行管理层成员或利益关联人员有夫妻、直系血亲关系。
三、本项目磋商文件获取方式:
1、时间:2021年11月11日至2021年11月17日,每天上午9:00至12:00,下午12:
00至17:30(北京时间,法定节假日除外 )。
2、地点:公诚管理咨询有限公司“诚E招”电子采购交易平台(www.chengezha
o.com)。
3、方式:符合资格的供应商应当在规定时间内前往诚E招电子采购交易平台完
成报名登记并获取竞争性磋商文件。
(1)“诚E招”注册方式详见【诚E招电子采购交易平台-帮助中心-操作指南-
注册指引】,注册成功后请登录,登陆后可在【常用文件】处下载《投标人&供
应商操作手册》;“报名登记”方式详见《投标人&供应商操作手册》-
“
3.1.1”;“购买文件、支付及下载文件”方式详见《投标人&供应商操作手
册》 -“3.2”。
(2)在诚E招电子采购交易平台完成购买竞争性磋商文件即完成投标登记。
(3)平台操作若有疑问,可致电客服热线:020-89524219。服务时间8:30-
17:30(法定公休日、法定节假日除外)。
4、售价:免费。
四、响应文件提交
1、截止时间:2021年11月23日9:30分(北京时间)
2、地点:广州市东风西路197号
广州国际金融大厦附属综合楼三楼集中采购中心。
五、磋商时间
1、时间:2021年11月23日9:30分(北京时间),具体磋商时间按递交响应文
件先后顺序进行排序。
2、地点:广州市东风西路197号
广州国际金融大厦附属综合楼三楼集中采购中心。
六、其他补充事宜
无。
七、代理机构联系方式
联系人:李先生
电话:18680285672;
邮箱:gczx_zbywb@163.com;
联系地址:广州市东风西路197号中国银行广东省分行综合楼三楼集中采购中心
;
采购代理机构:公诚管理咨询有限公司
发布时间:2021年11月10日
八、监督部门
本招标项目的监督部门为/。
九、联系方式
招 标 人:中国银行股份有限公司广东省分行
地 址:广州市越秀区东风西路197—199号
联 系 人:邓经理
电 话:/
电子邮件:/
招标代理机构:公诚管理咨询有限公司
地 址: 广州市天河北路423号远晖商厦8楼
联 系 人: 李先生
电 话: 18680285672
电子邮件: gczx_zbywb@163.com
招标人或其招标代理机构主要负责人(项目负责人): (签名)
招标人或其招标代理机构: (盖章)
一、项目概况
(一)项目简介
随着互联网和移动终端的飞速发展,我校教学、科研
和办公的方式日益丰富,需要满足全校师生使用多种不同
终端接入校园内网业务平台和访问图书馆数据库资源。原V
PN平台由于功能和性能问题,已无法满足现在的业务应用
环境。通过升级采购一套免客户端安装的WEBVPN平台,就
可以统一管理移动用户接入的身份认证、访问权限,最大
程度的简化用户在互联网接入我校内部业务平台,并提供
各种智能移动终端接入校园网业务平台的功能,实现用户
在任何时间、任何地点、使用任何终端安全、快速的接入
我校内部业务系统。
(二)建设目标
通过WEBVPN平台,支撑全校约5万师生在校外使用浏览
器,免插件安装访问校内网业务平台和图书馆数据库资源
。
二、建设原则
(一)推进学校智慧校园信息化系统建设,保障师生
安全、健康用网,通过WEBVPN平台统一管理外部互联网用
户免插件安装接入学校内网业务平台的身份认证、访问权
限。
(
二)提供安全、快速、易用的远程接入方案,实现
异地办公和外地出差人员随时随地访问内部资料、办公OA
、
科研项目管理系统等。
三、建设内容
(一)采购清单设备
本期项目旨在保障师生安全、健康用网,具体建设清
单如下:
序号 硬件/软件名称 数量 单位
1 WebVPN 1 套
(二)技术参数要求(重要技术参数要求请用“★”标记)
(说明:对所有加注了星号“★”号(如有)的是实质性的商
务、服务指标,未达到这些指标要求的将导致废标,优于参
数及服务要求的不视作负偏离;“▲”号(如有)的是重要的技
术需求指标,未达到这些指标要求的不会导致废标,但会严
重影响技术得分,如无特别说明,一般要求提供的相关证明
材料均提供复印件,加盖供应商单位公章,如用户需求书中
有明确要求的,以用户需求书为准。如该部分内容与招标文
件合同内容存在对同一事项、规定或要求有不一致时,以招
标文件的合同内容为准。)
1、WebVPN设备技术参数及具体配置要求
指标
项 具体指标内容 技术参数
控制中心 最大并发用户数(个)≥16000
新建用户数(个/秒)≥400
设备尺寸≥2U
网络接口≥4千兆电口,≥4个千兆光口
电源使用冗余电源
内存≥16G
SSD硬盘≥480G
(要求提供加盖原厂公章的技术参数表)
★硬件
指标
代理网关 加密流量(Mbps)≥900Mbps
并发用户数(个)≥9000
https并发连接数(个)≥200000
https新建连接数(个/s)≥3000
设备尺寸≥2U
网络接口≥8个千兆电口,≥4个千兆光口
电源使用冗余电源
内存≥32G
SSD硬盘≥480G
(要求提供加盖原厂公章的技术参数表)
支持单臂模式部署 控制中心和安全代理均支持单臂模式
部署 支持分离部署模式 控制中心和安全代理网关分离部署
支持免插件B/S-
WEB资源纯浏览器访
问 支持跨平台免插件访问,支持多资源(http/https
/
websocket等)免客户端接入,便于用户无感接入
,
提升用户使用体验
支持CS隧道TCP协议
资源接入 支持发布TCP协议资源(包括FTP、TELNET、RDP、SMT
P/POP3邮箱及其他常规CS应用)
支持多地址资源发布支持同一个资源发布多个IP或网段,简化资源发
布配置
支持WEB资源配置URL黑白名单,支持通配符配置,
有效抵御恶意软件和有针对性的攻击
支持IP和端口级的CS资源配置
▲支持以通配符方式
发布单位内部WEB和C
S业务(学校自有域名
)支持简易发布业务,支持以通配符方式发布单位
内部WEB系统,避免配置多次资源(如发布一条*.s
cau.edu.cn资源即可访问oa.scau.edu.cn和mail.
scau.edu.cn及其他域名资源),减少配置难度
(要求提供加盖原厂公章的承诺函)
WEB资源支持依赖站
点 支持多站点管理,将WEB主站点的多个依赖站点资
源,全部配置在一条资源中,简化授权和管理
▲私有DNS解析 支持以私有DNS发布学校资源,无需额外购买DNS
服务即可使用域名访问内网资源,支持区分网络
区域进行私有解析(内/外网),确保用户使用无感
知
(要求提供加盖原厂公章的承诺函)
支持全终端浏览器
接入并访问WEB资源 1、支持IE8及以上版本浏览器访问WEB资源
2、支持Chrome 69及以上版本访问WEB资源
3、支持Edge、Firefox、Opera、Safari等其他主流
浏览器访问WEB资源
4、支持微信内置浏览器、钉钉内置浏览器访问WEB
资源
5、支持ANDROID、IOS各大手机厂商的自带浏览器
访问WEB资源
6、支持国产操作系统浏览器接入并访问WEB资源
▲支持主流PC终端以
隧道模式接入访问CS
资源 支持主流终端以隧道模式接入访问内网CS资源,
包括Windows7(x86、x64)、Windows10(x86、x64、AR
M)、MacOS10.12及以上版本
(要求提供加盖原厂公章的承诺函)
▲支持不同平台的终
端同时在线 支持不同平台的终端同时在线,管理员可设置可
同时在线的终端个数,当超过终端个数时,可以注
销最早登录的终端
(要求提供加盖原厂公章的配置截图证明)
支持用户自助管理在
线终端 支持终端设备可视管理
1、支持用户自助查看在线终端列表,并注销其他
终端,避免账号盗用
2、支持同账号其他终端上下线提示,防止账号盗
用
▲可信应用:仅允许
信任进程访问资源,
有效防止木马入侵系
统后攻击服务器 1、支持免配置收集学校师生访问资源所使用的终
端上的应用程序
2、支持管理员标记、添加可信应用和不可信应用
3、支持配合安全基线配置仅可信应用访问资源,
或非可信应用访问时进行二次确认,以避免后台
木马攻击
(要求提供加盖原厂公章的可信应用配置截图证明
)
支持的认证方式 支持Local
DB、LDAP、短信认证、动态令牌、安全令等多种认证
方式。
支持认证服务器对接支持第三方对接认证,支持以oauth2、CAS、LDAP等
对接第三方认证服务器。
▲动态准入-
支持在登录上线后,
持续、动态检测终端
环境安全 支持在登录上线后,持续、动态检测终端环境安全
,
不符合后注销用户或锁定用户,便于及时定位并
响应终端威胁
(要求提供加盖原厂公章的功能和实际效果演示截
图证明)
防爆破 支持对账号暴力破解的防护,支持在用户访问时,
识别到多次密码输入错误后,开启防爆破机制,进
行图像校验或锁定IP或用户
▲防机器人 防机器人输入,提供强安全性的点击图像校验码
机制
(要求提供加盖原厂公章的配置截图证明)
手机安全令 提供独立手机安全令APP(支持android、ios系统)
,
支持绑定手机终端,提供手势解锁、FACEID或指
纹等生物解锁的方式保护手机令牌不被盗用
(要求提供加盖原厂公章的配置截图证明)
支持扫码认证 支持手机令牌认证登录,支持在PC端登录时,可以
通过令牌扫码登录,避免密码泄露且使用便捷
支持多因素认证 支持多因素认证,如短信+用户名密码双因素认证
外部认证服务器登录
用户支持设置默认权
限 支持登录外部认证服务器(如oauth2、ad/ldap、ca
s)等,默认关联角色,简化权限授权
支持在创建认证服务器时,为服务器指定认证域,
(domain),如scau.edu.cn,便于账号区分
号区分 支持用户访问时,以username@domain的方式进行
精确账号指定,避免不同认证服务器中的重名账
号的用户权限不清晰
默认认证域 支持登录快速便捷,支持指定一个认证来源为默
认认证域,默认认证域使得用户在登陆时,不需要
选择域后缀,默认使用该认证域作为域后缀登陆,
便于师生快速登录,提升用户体验
▲支持准入阻断时,
配置自定义提示 支持准入阻断时,配置自定义提示。如要求下载指
定软件并提供下载链接等,便于师生自行解决登
录问题
(要求提供加盖原厂公章的功能截图证明)
▲支持信任浏览器后
可免除辅助认证 支持免辅助认证,师生手动勾选信任浏览器后,在
该浏览器下30天内不需要重复输入短信验证码,
提升用户体验。
(要求提供加盖原厂公章的功能截图证明)
支持一键上线,免密登陆;
*
基于网络环境;
*
基于域环境;
*
基于受信终端。
(要求提供加盖原厂公章的功能截图证明)
支持免除二次认证;
*
基于网络环境;
*
基于域环境;
*
基于受信终端。
(要求提供加盖原厂公章的功能截图证明)
支持异常环境下,要求增强认证
*
异常时间段;
*
异地登陆
*
弱密码
(要求提供加盖原厂公章的功能截图证明)
受信终端 1、支持用户设置授信终端,优化认证体验;
2、支持受信终端用户自管理,优化终端管理。
支持按角色授权 支持按用户、用户组、安全组进行角色授权,简化
权限管理
支持下级组织结构继承上级用户组的角色和应用
,
简化权限管理
支持用户选择是否继承上级用户组权限
支持用户可选继承标签(安全组)的权限
支持授权可视化 支持可视每一用户或用户组的权限,可以看到该
用户、该用户组关联的所有应用及应用分类,避免
出现权限授权不可视、难管理的问题
▲终端环境动态安全
检测和业务准入能力可根据不同敏感度的业务系统,为不同的用户设
置不同的安全规则,对终端环境、用户身份进行全
生命周期的检测评估,一旦触发安全规则,则实时
执行相应的防护动作。如,必须运行单位指定软件
、
须安装杀毒软件、必须在内网才能访问核心业务
系统等。
1)支持对应用信息(浏览器名称、版本、内外网判
断(基于接入Proxy的地址)、源IP);
2)Windows终端信息(计算机信息:MAC地址、客户
端IP、计算机名称、计算机域、操作系统、操作系统
版本、运行进程:杀毒软件是否安装、杀软是否过
期、操作系统补丁、防火墙是否开启、安装软件(wi
ndows/mac)、安装指定文件);
3)Mac终端信息(接入IP、名称、MAC地址、IP列表、
操作系统、操作系统版本)执行处置阻止访问、注
销、禁用账号、增强认证、警示、有效期。
(要求提供加盖原厂公章的功能截图证明)
持续、动态的访问控
制能力 支持对访问行为持续、动态的检测,一旦发现不符
合访问控制策略的行为变化,可动态回收访问授
权、阻断访问,有效保护核心业务
▲支持灵活的补救措
施,便于管理 当检测到不符合安全条件时,支持设置如短信增
强认证、告警等灵活的补救动作,实现灰度处置,
且能配置处置有效时长,平衡师生访问体验和安
全保障。
(要求提供加盖原厂公章的功能截图证明)
支持按应用授权 支持按需授权,支持用户或用户组直接关联到应
用,避免需要为部门中的个别特殊人员或用户组
建立大量角色,简化权限管理
▲支持配置化的动态
ACL规则引擎 支持配置动态访问规则,可配置化的ACL规则引擎
,
可以灵活地将终端环境、用户身份、处置动作进
行配置,为单位不同业务不同部门提供灵活丰富
的访问控制策略
(要求提供加盖原厂公章的功能截图证明)
支持权限申请和审批支持师生权限的申请和审批,正式运行时,未获得
授权的师生访问提供申请和管理员审批机制(支持
管理员分级分权审批,符合业务安全要求),防止
师生权限过大,同时简化权限运维工作
▲支持权限梳理 支持通过采集、试运行、正式运行的方式将权限结
构化和可视化
1、采集阶段,可将用户与应用之间的关系可视,并
提供权限确认机制验证权限有效性。基于身份化
流量分析方式将权限可视,解决人工梳理导致的
耗时长、难实现的问题;
2、试运行阶段,能够不中断用户访问业务,提前试
运行,并在该阶段对权限结构进行调优,以避免正
式上线后,大面积影响用户访问业务。在此期间,
用户均可以访问业务,未授权用户可以通过提交"
访问理由"继续访问业务;
3、正式运行阶段,进行智能权限梳理后,可将权限
规范化,并正式上线。在此期间,只有有权限的用
户才能访问业务系统。
(
要求提供加盖原厂公章的功能截图证明)
轻量
级数
据防
泄漏 ▲屏幕安全(WEB水印
)支持针对不同的B/S应用开启WEB水印
水印内容包括:用户名+当前日期
具有威慑作用,有效预防数据泄露
(要求提供加盖原厂公章的功能截图证明)
安全
能力
增强 ▲提供开放的安全能
力集成API 支持提供开放的API,管理员可在控制台创建API
KEY,供第三方安全设备或单位自有安全分析平台
对接,便于形成统一的安全体系
(要求提供加盖原厂公章的功能截图证明)
支持AD/LDAP域用户
管理 支持多种与外部协作的用户管理
1、支持导入外部用户到本地
2、支持导入外部用户组
3、支持导入安全组
支持与数据中心对接支持通过ETL、API等方式获取用户基础数据
能力
▲本地用户密码安全
配置 支持初始密码的安全强度配置,管理员在新建或
修改本地用户密码时,必须符合强密码规则,不能
设置弱密码,增强师生初始账号的安全性
(要求提供加盖原厂公章的功能截图证明)
支持分权管理 支持按模块灵活分配管理员权限
支持只读和修改权限
划分 支持按模块区分只读或可写
支持细粒度分权管理支持按资源粒度划分权限,如指定某管理员仅能
管理指定的应用,规范管理员的管理权限
支持管理员登录防爆破(会锁定IP)
管理员登录安全
支持设置只允许指定IP登录控制台
支持全面的日志记录1、支持用户登录日志(登录、注销,含MAC地址、终
端类型、浏览器类型等)
2、支持管理员操作日志(含管理员、接入IP、时间、
管理行为、对象)
3、支持资源访问日志(用户、源IP、URL、时间)
支持日志syslog对接支持以syslog方式对接客户自有的外部日志中心
,
支持TCP、UDP双模式,支持两个日志服务器作为
主备,便于实现日志备灾,保护日志数据
支持虚拟IP对接 1、支持以虚拟IP方式,访问真实的业务系统,便于
流量分析类设备进行流量分析
2、支持虚拟IP池,用户首次连接时分配虚拟IP,后
续用户与虚拟IP绑定,便于用户访问行为可追溯
支持设备证书管理 支持设备证书管理、域名证书管理,便于运维
支持SNMP对接 提供SNMP服务,可对接运维监控设备
支持NTP时间同步 支持NTP时间同步
▲终端运维-
【
终端诊断工具】支持终端环境诊断排查,提供终端诊断工具,支持
Windows、MAC系统,支持对当前终端的基本环境进
行扫描和一键修复,便于师生自行排查修复终端
问题,减少IT运维工作量
(要求提供加盖原厂公章的功能截图证明)
▲终端运维-
日志收集 支持Windows客户端进行日志收集,方便运维排查
(要求提供加盖原厂公章的功能截图证明)
后台运维-
SSH自动关闭 支持自动式后台运维,支持选择开启和关闭SSH,
同时支持SSH自动关闭,以免运维人员进行远程运
维后,忘记关闭SSH,带来潜在风险
▲B/S应用依赖站点
梳理 支持站点智能梳理
1、支持使用自动改写采集的方式梳理依赖站点;
2、支持依赖站点一键启用,自动采集
便于业务快速上线,简化运维工作
(要求提供加盖原厂公章的功能截图证明)
四、实施要求
学校委托监理单位对供应商项目实施的全过程进行监
督、管理和考核,要求供应商严格遵照国家软、硬件工程
规范进行开发工作,根据开发实施进度及时提供进度反馈
材料,并按监理要求及时向用户单位和监理同时提交项目
文档,对于监理提出的合理整改要求,积极落实整改措施
,
确保项目实施能得到更好的质量控制。供应商须向学校
提交合理的实施计划及详细的进度安排计划,配合学校对
项目实施组织方案进行追踪和控制。项目文档主要包括:
项目总体计划、需求规格说明书、系统测试报告、系统操
作手册、系统运维手册、项目验收报告等。
(一)需求分析阶段
需求分析阶段要求供应商必须进行详细的业务需求调
研,与学校进行充分的互动,熟悉校方管理相关业务,对
整个系统业务功能需求进行深入分析。
(二)系统部署阶段
根据需求分析,供应商提供软件、硬件设备的调试,
测试系统质量达到客户需求,并在合同签订后50天内将系
统部署到用户指定地点。供应商必须对测试的结果进行详
细记录,对测试中出现的问题,给予解决。
(三)试运行阶段
供应商必须对系统在试运行时的各种情况进行详细的
记录,并对出现的各种问题给予及时解决,并提交试运行
报告。
(
四)验收阶段
(1)供应商需提交符合学校需求及银行要求的相关验
收材料(包含但不限于以下材料:中标通知书、合同复印
件、货物签收单、实施方案、安装调试报告、试运行报告
、
培训记录),待验收成功后,系统转入维护服务阶段,
提供合同规定的服务要求。
(2)交付验收标准依次序对照适用标准为:①符合中
华人民共和国国家安全质量标准、环保标准或行业标准;
②符合招标文件和响应承诺中甲方认可的合理最佳配置、
参数及各项要求;③货物来源国官方标准。
(3)货物为原厂商未启封全新包装,具出厂合格证,
序列号、包装箱号与出厂批号一致,并可追索查阅。所有
随设备的附件必须齐全。
(4)供应商应将关键主机设备的用户手册、保修手册
、
有关单证资料及配备件、随机工具等交付给用户单位,
使用操作及安全须知等重要资料应附有中文说明。
(5)招标人和用户单位组成验收小组按国家有关规定
、
规范进行验收,必要时邀请相关的专业人员或机构参与
验收。因货物质量问题发生争议时,由本地质量技术监督
部门鉴定。鉴定费由供应商承担。
(五)维保阶段
供应商对所投设备提供不少于三年的原厂保修及技术
支持服务,且在项目所在地有固定的维修服务点、可提供
正常的技术、备品备件服务。货物所包含的软件必须是正
版软件,可通过原厂验证。
1. 保修时间:
针对本项目所有设备,原厂保修期不少于三年,保修
期自从双方全面验收合格后开始计算。
保修期内,供应商对所有设备提供7*24小时免费上门
维护服务,免费人工、部件。
2. 故障响应:
接到用户方故障电话申报后2小时内响应,12小时内解
决问题。如故障导致业务中断,中断时间不超过24小时,
如超过24小时,需提供备件先恢复业务。
3. 服务内容:
在保修期内,供应商负责免费对全部货物进行维护和
升级。
供应商在保修期内每一季度一次巡检,每次巡检后提
供巡检报告。
(六)工期要求
供应商交货时间:签订合同后50天内;
安装调试时间:到货后7天内完成安装调试;
试运行时间:完成安装调试后15天。
| 标 指 项 | 标 具体指 内容 | 术 技 参数 |
| 序号 | 软 硬件/ 件名称 | 数量 | 单 位 |
| 1 | WebVPN | 1 | 套 |
| ★ 硬件 标 指 | 控制中心 | 发 户 ≥ 最大并 用 数(个) 16000 户 ≥ 新建用 数(个/秒) 400 设备 ≥ 尺寸 2U 络 ≥ 电 ≥ 网 接口 4千兆 口, 4个千兆光口 电 电 源使用冗余 源 ≥ 内存 16G 盘≥ SSD硬 480G ( 术 ) 要求提供加盖原厂公章的技 参数表 |
| 代理网关 | 加密流量(Mbps)≥900Mbps 发 户 并 用 数(个)≥9000 发连 https并 接数(个)≥200000 连 https新建 接数(个/s) ≥3000 设备 尺寸≥2U 络 电 网 接口≥8个千兆 口,≥4个千兆光口 电 电 源使用冗余 源 内存≥32G 盘 SSD硬 ≥480G (要求提供加盖原厂公章的技术参数表) | |
| 设备 部署 | 单 支持 臂模式部署 | 单 控制中心和安全代理均支持 臂模式 |
| 支持分离部署模式 | 控制中心和安全代理网关分离部署 | |
| 资 源 发 布 能力 | 支持免插件B/S- 资 纯浏览 访 WEB 源 器 问 | 访问 资 支持跨平台免插件 ,支持多 源(http/https 户 户 /websocket等)免客 端接入,便于用 无感接入 户 验 ,提升用 使用体 |
| 协议 支持CS隧道TCP 资 源接入 | 发 协议资 支持 布TCP 源(包括FTP、TELNET、RDP、SMT 邮 规 应 P/POP3 箱及其他常 CS 用) | |
| 资 发 支持多地址 源 布 | 资 发 简 资 发 支持同一个 源 布多个IP或网段, 化 源 布配置 | |
| 细 资 发 支持 粒度的 源 布 | 资 单 支持WEB 源配置URL黑白名 ,支持通配符配置, 恶 软 针对 击 有效抵御 意 件和有 性的攻 | |
| 级 资 支持IP和端口 的CS 源配置 |
| ▲支持以通配符方式 发 单 布 位内部WEB和C 业务 S (学校自有域名 ) | 简 发 业务 发 单 支持 易 布 ,支持以通配符方式 布 位 统 资 发 内部WEB系 ,避免配置多次 源(如 布一条*.s 资 访问 cau.edu.cn 源即可 oa.scau.edu.cn和mail. 资 难 scau.edu.cn及其他域名 源),减少配置 度 诺 (要求提供加盖原厂公章的承 函) | |
| 资 赖 WEB 源支持依 站 点 | 赖 资 支持多站点管理,将WEB主站点的多个依 站点 资 简 权 源,全部配置在一条 源中, 化授 和管理 | |
| ▲私有DNS解析 | 发 资 额 购买 支持以私有DNS 布学校 源,无需 外 DNS 务 访问 资 络 服 即可使用域名 内网 源,支持区分网 进 户 区域 行私有解析(内/外网),确保用 使用无感 知 诺 (要求提供加盖原厂公章的承 函) | |
| 终 端 接入 能力 | 终 浏览 支持全 端 器 访问 资 接入并 WEB 源 | 浏览 访问 资 1、支持IE8及以上版本 器 WEB 源 访问 资 2、支持Chrome 69及以上版本 WEB 源 3、支持Edge、Firefox、Opera、Safari等其他主流 浏览 访问 资 器 WEB 源 浏览 钉钉 浏览 访问 4、支持微信内置 器、 内置 器 WEB 资 源 带浏览 5、支持ANDROID、IOS各大手机厂商的自 器 访问 资 WEB 源 产 统浏览 访问 资 6、支持国 操作系 器接入并 WEB 源 |
| 终 ▲支持主流PC 端以 访问 隧道模式接入 CS 资 源 | 终 访问 资 支持主流 端以隧道模式接入 内网CS 源, 包括Windows7(x86、x64)、Windows10(x86、x64、AR M)、MacOS10.12及以上版本 诺 (要求提供加盖原厂公章的承 函) | |
| 终 ▲支持不同平台的 时 线 端同 在 | 终 时 线 员 设 支持不同平台的 端同 在 ,管理 可 置可 时 线 终 过终 时 同 在 的 端个数,当超 端个数 ,可以注 销 录 终 最早登 的 端 图证 (要求提供加盖原厂公章的配置截 明) | |
| 户 支持用 自助管理在 线终 端 | 终 设备 视 支持 端 可 管理 户 查 线终 销 1、支持用 自助 看在 端列表,并注 其他 终 账 端,避免 号盗用 账 终 线 账 2、支持同 号其他 端上下 提示,防止 号盗 |
| 用 | ||
| 应 仅 许 ▲可信 用: 允 进 访问资 信任 程 源, 马 有效防止木 入侵系 统 击 务 后攻 服 器 | 1、支持免配置收集学校师生访问资源所使用的终 应 端上的 用程序 员标记 应 应 2、支持管理 、添加可信 用和不可信 用 线 仅 应 访问资 3、支持配合安全基 配置 可信 用 源, 应 访问时进 认 或非可信 用 行二次确 ,以避免后台 马 击 木 攻 应 图证 (要求提供加盖原厂公章的可信 用配置截 明 ) | |
| 身份 安全 能力 与准 入 | 认证 支持的 方式 | 支持Local 认证 动态 认证 DB、LDAP、短信 、 令牌、安全令等多种 方式。 |
| 认证 务 对 支持 服 器 接 | 对 认证 支持第三方 接 ,支持以oauth2、CAS、LDAP等 对 认证 务 接第三方 服 器。 | |
| 动态 ▲ 准入- 录 线 支持在登 上 后, 续 动态检测终 持 、 端 环 境安全 | 录 线 续 动态检测终 环 支持在登 上 后,持 、 端 境安全 销 户 锁 户 时 ,不符合后注 用 或 定用 ,便于及 定位并 应终 胁 响 端威 实际 (要求提供加盖原厂公章的功能和 效果演示截 图证 明) | |
| 防爆破 | 对账 护 户访问时 支持 号暴力破解的防 ,支持在用 , 识别 码输 错误 进 到多次密 入 后,开启防爆破机制, 图 验 锁 户 行 像校 或 定IP或用 | |
| ▲防机器人 | 输 强 击图 验码 防机器人 入,提供 安全性的点 像校 机制 图证 (要求提供加盖原厂公章的配置截 明) | |
| 手机安全令 | 统 提供独立手机安全令APP(支持android、ios系 ) 绑 终 势 锁 ,支持 定手机 端,提供手 解 、FACEID或指 纹 锁 护 等生物解 的方式保 手机令牌不被盗用 图证 (要求提供加盖原厂公章的配置截 明) | |
| 扫码认证 支持 | 认证 录 录时 支持手机令牌 登 ,支持在PC端登 ,可以 过 扫码 录 码 通 令牌 登 ,避免密 泄露且使用便捷 |
| 认证 支持多因素 | 认证 户 码 认证 支持多因素 ,如短信+用 名密 双因素 | |
| 认证 务 录 外部 服 器登 户 设 认权 用 支持 置默 限 | 录 认证 务 支持登 外部 服 器(如oauth2、ad/ldap、ca 认 联 简 权 权 s)等,默 关 角色, 化 限授 | |
| 认证 务 账 支持多 服 器 号区分 | 创 认证 务 时 为 务 认证 支持在 建 服 器 , 服 器指定 域, 账 (domain),如scau.edu.cn,便于 号区分 | |
| 户访问时 进 支持用 ,以username@domain的方式 行 账 认证 务 账 精确 号指定,避免不同 服 器中的重名 户权 号的用 限不清晰 | ||
| 认认证 默 域 | 录 认证 为 支持登 快速便捷,支持指定一个 来源 默 认认证 认认证 户 陆时 域,默 域使得用 在登 ,不需要 选择 缀 认 该认证 为 缀 陆 域后 ,默 使用 域作 域后 登 , 师 录 户 验 便于 生快速登 ,提升用 体 | |
| 时 ▲支持准入阻断 , 义 配置自定 提示 | 时 义 载 支持准入阻断 ,配置自定 提示。如要求下 指 软 载链 师 定 件并提供下 接等,便于 生自行解决登 录问题 图证 (要求提供加盖原厂公章的功能截 明) | |
| 浏览 ▲支持信任 器后 辅 认证 可免除 助 | 辅 认证 师 动 选 浏览 支持免 助 , 生手 勾 信任 器后,在 该浏览 输 验证码 器下30天内不需要重复 入短信 , 户 验 提升用 体 。 图证 (要求提供加盖原厂公章的功能截 明) | |
| 应认证 ▲自适 | 键 线 陆 支持一 上 ,免密登 ; 络环 *基于网 境; 环 *基于域 境; 终 *基于受信 端。 图证 (要求提供加盖原厂公章的功能截 明) | |
| 认证 支持免除二次 ; 络环 *基于网 境; 环 *基于域 境; 终 *基于受信 端。 图证 (要求提供加盖原厂公章的功能截 明) | ||
| 环 强认证 支持异常 境下,要求增 时间 *异常 段; |
| 陆 *异地登 码 *弱密 图证 (要求提供加盖原厂公章的功能截 明) | ||
| 终 受信 端 | 户设 终 优 认证 验 1、支持用 置授信 端, 化 体 ; 终 户 优 终 2、支持受信 端用 自管理, 化 端管理。 | |
| 资 源 访问 权 限 控制 能力 | 权 支持按角色授 | 户 户组 组进 权 简 支持按用 、用 、安全 行角色授 , 化 权 限管理 |
| 组织 权 支持 架构的授 继 承 | 级组织结 继 级 户组 应 支持下 构 承上 用 的角色和 用 简 权 , 化 限管理 | |
| 户选择 继 级 户组权 支持用 是否 承上 用 限 | ||
| 户 选继 标签 组 权 支持用 可 承 (安全 )的 限 | ||
| 权 视 支持授 可 化 | 视 户 户组 权 该 支持可 每一用 或用 的 限,可以看到 户 该 户组 联 应 应 类 用 、 用 关 的所有 用及 用分 ,避免 现权 权 视 难 问题 出 限授 不可 、 管理的 | |
| 终 环 动态 ▲ 端 境 安全 检测 业务 和 准入能力 | 业务 统 为 户设 可根据不同敏感度的 系 , 不同的用 规则 对终 环 户 进 置不同的安全 , 端 境、用 身份 行全 检测评 发 规则 则实时 生命周期的 估,一旦触 安全 , 执 应 护动 须 单 软 行相 的防 作。如,必 运行 位指定 件 须 杀 软 须 访问 业务 、 安装 毒 件、必 在内网才能 核心 统 系 等。 对应 浏览 1)支持 用信息( 器名称、版本、内外网判 断(基于接入Proxy的地址)、源IP); 终 计 户 2)Windows 端信息( 算机信息:MAC地址、客 计 计 统 统 端IP、 算机名称、 算机域、操作系 、操作系 进 杀 软 杀软 过 版本、运行 程: 毒 件是否安装、 是否 统补 墙 软 期、操作系 丁、防火 是否开启、安装 件(wi ndows/mac)、安装指定文件); 终 3)Mac 端信息(接入IP、名称、MAC地址、IP列表、 统 统 执 处 访问 操作系 、操作系 版本) 行 置阻止 、注 销 账 强认证 、禁用 号、增 、警示、有效期。 图证 (要求提供加盖原厂公章的功能截 明) | |
| 续 动态 访问 持 、 的 控 制能力 | 对访问 为 续 动态 检测 发现 支持 行 持 、 的 ,一旦 不符 访问 为变 动态 访问 合 控制策略的行 化,可 回收 授 |
| 权 访问 护 业务 、阻断 ,有效保 核心 | ||
| 补 ▲支持灵活的 救措 施,便于管理 | 检测 时 设 当 到不符合安全条件 ,支持 置如短信增 强认证 补 动 实现 处 、告警等灵活的 救 作, 灰度 置, 处 时长 师 访问 验 且能配置 置有效 ,平衡 生 体 和安 全保障。 图证 (要求提供加盖原厂公章的功能截 明) | |
| 应 权 支持按 用授 | 权 户 户组 联 应 支持按需授 ,支持用 或用 直接关 到 为 门 别 员 户组 用,避免需要 部 中的个 特殊人 或用 简 权 建立大量角色, 化 限管理 | |
| 动态 ▲支持配置化的 规则 ACL 引擎 | 动态访问规则 规则 支持配置 ,可配置化的ACL 引擎 终 环 户 处 动 进 ,可以灵活地将 端 境、用 身份、 置 作 为单 业务 门 行配置, 位不同 不同部 提供灵活丰富 访问 的 控制策略 图证 (要求提供加盖原厂公章的功能截 明) | |
| 权 请 审 支持 限申 和 批 | 师 权 请 审 时 获 支持 生 限的申 和 批,正式运行 ,未 得 权 师 访问 请 员审 授 的 生 提供申 和管理 批机制(支持 员 级 权审 业务 管理 分 分 批,符合 安全要求),防止 师 权 过 时简 权 维 生 限 大,同 化 限运 工作 | |
| 权 ▲支持 限梳理 | 过 试 权 结 支持通 采集、 运行、正式运行的方式将 限 视 构化和可 化 阶 户 应 间 视 1、采集 段,可将用 与 用之 的关系可 ,并 权 认 验证权 提供 限确 机制 限有效性。基于身份化 权 视 导 流量分析方式将 限可 ,解决人工梳理 致的 时长 难实现 问题 耗 、 的 ; 试 阶 够 户访问业务 试 2、 运行 段,能 不中断用 ,提前 该阶 对权 结 进 调优 运行,并在 段 限 构 行 ,以避免正 线 积 户访问业务 间 式上 后,大面 影响用 。在此期 , 户 访问业务 权 户 过 用 均可以 ,未授 用 可以通 提交" 访问 继续访问业务 理由" ; 阶 进 权 权 3、正式运行 段, 行智能 限梳理后,可将 限 规 线 间 权 范化,并正式上 。在此期 ,只有有 限的用 户 访问业务 统 才能 系 。 |
| 图证 (要求提供加盖原厂公章的功能截 明) | ||
| 轻 量 级 数 据防 泄漏 | ▲屏幕安全(WEB水印 ) | 针对 应 支持 不同的B/S 用开启WEB水印 户 水印内容包括:用 名+当前日期 慑 预 具有威 作用,有效 防数据泄露 图证 (要求提供加盖原厂公章的功能截 明) |
| 安全 能力 强 增 | ▲提供开放的安全能 力集成API | 员 创 支持提供开放的API,管理 可在控制台 建API 设备 单 KEY,供第三方安全 或 位自有安全分析平台 对 统 接,便于形成 一的安全体系 图证 (要求提供加盖原厂公章的功能截 明) |
| 户 用 管理 能力 | 户 支持AD/LDAP域用 管理 | 协 户 支持多种与外部 作的用 管理 导 户 1、支持 入外部用 到本地 导 户组 2、支持 入外部用 导 组 3、支持 入安全 |
| 对 支持与数据中心 接 | 过 获 户 础 支持通 ETL、API等方式 取用 基 数据 | |
| 户 码 ▲本地用 密 安全 配置 | 码 强 员 支持初始密 的安全 度配置,管理 在新建或 户 码时 须 强 码规则 修改本地用 密 ,必 符合 密 ,不能 设 码 强师 账 置弱密 ,增 生初始 号的安全性 图证 (要求提供加盖原厂公章的功能截 明) | |
| 权 分 管理 能力 | 权 支持分 管理 | 块 员权 支持按模 灵活分配管理 限 |
| 读 权 支持只 和修改 限 划分 | 块 读 支持按模 区分只 或可写 | |
| 细 权 支持 粒度分 管理 | 资 权 员仅 支持按 源粒度划分 限,如指定某管理 能 应 规 员 权 管理指定的 用, 范管理 的管理 限 | |
| 员 录 管理 登 安全 | 员 录 锁 支持管理 登 防爆破(会 定IP) | |
| 设 许 录 支持 置只允 指定IP登 控制台 | ||
| 审计 能力 | 记录 支持全面的日志 | 户 录 录 销 终 1、支持用 登 日志(登 、注 ,含MAC地址、 类 浏览 类 端 型、 器 型等) 员 员 时间 2、支持管理 操作日志(含管理 、接入IP、 、 为 对 管理行 、 象) 资 访问 户 时间 3、支持 源 日志(用 、源IP、URL、 ) |
| 对 支持日志syslog 接 | 对 户 支持以syslog方式 接客 自有的外部日志中心 务 为 ,支持TCP、UDP双模式,支持两个日志服 器作 |
| 备 实现 备 护 主 ,便于 日志 灾,保 日志数据 | ||
| 拟 对 支持虚 IP 接 | 拟 访问 实 业务 统 1、支持以虚 IP方式, 真 的 系 ,便于 类设备进 流量分析 行流量分析 拟 户 连 时 拟 2、支持虚 IP池,用 首次 接 分配虚 IP,后 续 户 拟 绑 户访问 为 用 与虚 IP 定,便于用 行 可追溯 | |
| 维 运 能力 | 设备证书 支持 管理 | 设备证书 证书 维 支持 管理、域名 管理,便于运 |
| 对 支持SNMP 接 | 务 对 维监 设备 提供SNMP服 ,可 接运 控 | |
| 时间 支持NTP 同步 | 时间 支持NTP 同步 | |
| 终 维 ▲ 端运 - 终 诊 【 端 断工具】 | 终 环 诊 查 终 诊 支持 端 境 断排 ,提供 端 断工具,支持 统 对 终 环 进 Windows、MAC系 ,支持 当前 端的基本 境 扫 键 师 查 终 行 描和一 修复,便于 生自行排 修复 端 问题 维 ,减少IT运 工作量 图证 (要求提供加盖原厂公章的功能截 明) | |
| 终 维 ▲ 端运 - 日志收集 | 户 进 维 查 支持Windows客 端 行日志收集,方便运 排 图证 (要求提供加盖原厂公章的功能截 明) | |
| 维 后台运 - 动 闭 SSH自 关 | 动 维 选择 闭 支持自 式后台运 ,支持 开启和关 SSH, 时 动 闭 维 员进 远 同 支持SSH自 关 ,以免运 人 行 程运 维 记 闭 带 风险 后,忘 关 SSH, 来潜在 | |
| 应 赖 ▲B/S 用依 站点 梳理 | 支持站点智能梳理 动 赖 1、支持使用自 改写采集的方式梳理依 站点; 赖 键 动 2、支持依 站点一 启用,自 采集 业务 线 简 维 便于 快速上 , 化运 工作 图证 (要求提供加盖原厂公章的功能截 明) |
解决方案
联系我们
返回顶部