颍上县财政局国库支付电子化网络改造项目变更公告[更正公告]

招标

电子化网络改造虚拟防火墙底层虚拟化策略预编译技术带宽管理流量控制应用特征识别行为控制会话控制策略每IP总连接数控制每秒总新建连接数控制每IP新建连接数控制配置界面截图证明整机威胁统计威胁地图展示统计分析 TOP10统计展示运维安全管理与审计系统 1U机架式设备运维客户端分布式部署多协议代理服务器 web页面防跳转功能内置USB-KEY和动态口令卡时间集管理入侵防御系统 AV病毒检测引擎 URL分类库安全防护体系安全审计负载均衡健康探测功能高可靠部署热备方式线路/IP状态检测电口硬件Bypass 提供多种报表系统管理规划 IP控制列表 WEB应用防火墙多核处理器硬件构架标准机架式设备透明代理云部署模式主动防御威胁情报网站云防护 Web防护数据库审计系统专用千兆硬件平台安全操作系统透明部署支持混合模式部署 SQL-Server 自动监控国产数据库 MongoDB数据库的审计支持Redis数据库的审计内容审计日志审计管理系统软硬件一体化设备标准1U机架事件采集事件处理通过旁路部署探测设备操作审计日志采集日志实时监视事件可视化展现日志在线挖掘事件挖掘事件调查工具日志检索核心交换机千兆电接口千兆多模光模块跨设备链路聚合二层协议 IP路由静态路由策略路由组播接入层交换机门禁系统布线系统视频监控系统信息安全及等保整改集成服务等级保护管理整改管理方案设计组织设计制度规划应急预案制定预演信息系统安全详细方案设计安全技术实施安全加固等级保护自测评等级保护测评支持服务测评技术支持等级保护测评服务机架式服务器笔记本

金额

项目地址

发布时间

2018/08/23

公告摘要

项目编号yszgy-cg20180107

预算金额-

招标公司颍上县财政局

招标联系人李主任

标书截止时间-

投标截止时间2018/08/30

公告正文

颍上县财政局国库支付电子化网络改造项目（二次）更正公告
一、原公告主要信息
原项目名称：颍上县财政局国库支付电子化网络改造项目（二次）
原项目编号：YSZGY-CG20180107
原公告日期：2018年8月17日
二、公告内容（更正事项、内容及日期等）
（一）本项目用户需求书中采购需求更正为：

序号	货物名称	技术参数	数量
1	下一代防火墙	1.标准2U机架式设备，设备固定配置18个GE千兆电口，12个SFP插槽(提供产品正面照片证明)，吞吐量不低于12G，支持下一代防火墙访问控制、入侵防御、网络防病毒及URL分类管理、流控和IPSec VPN功能，且都开启。 2.支持通过ICMP、TCP、DNS和HTTP协议实现对链路可用性的多重健康检查。 3.★基于硬件Hypervisor技术的底层虚拟化，各个虚拟防火墙之间完全隔离，可运行不同的防火墙版本，拥有完全独立的CPU、内存、接口等资源；提供虚拟防火墙Hypervisor层资源配置管理界面截图； 4．支持策略预编译技术，在大量防火墙访问控制策略情况下整机性能不受影响； 5．支持基于线路和多层通道嵌套的带宽管理和流量控制功能； 6．支持并开通基于DPI和DFI技术的应用特征识别及行为控制，应用识别的种类不少于1000种； 7．★具有基于接口/安全域、地址、用户、服务、应用和时间的会话控制策略，包括总连接数控制、每秒总新建连接数控制、每IP总连接数控制、每IP新建连接数控制，提供配置界面截图证明； 8．★支持整机威胁统计和展示，包括基于地理位置的威胁地图展示、基于威胁级别和威胁类型的统计分析、基于威胁事件源/目的主机的TOP10统计展示、基于具体威胁事件/威胁类型的TOP10统计展示等，统计展示的时间周期包括1小时/1天/7天/30天，提供相关系统界面截图证明； 9．★产品需具有《计算机信息系统安全专用产品销售许可证》，《EAL4+级安全认证证书》，提供证书复印件加盖原厂公章；厂商需具有ISO14001证书、ISO27001证书，需为MAPP成员，涉及国家秘密的计算机信息系统集成资质证书（甲级），提供以上证书复印件并加盖原厂公章； 10.投标时提供原厂三年质保服务承诺函。	1台
2	运维安全管理与审计系统	1.标准1U机架式设备，物理存储不低于1TB，具有6个以上千兆电口，一个扩展插槽（可扩充万兆光口），本次配置50节点被管资源数； 2.字符协议不低于700个,图形协议不低于200个，本次提供100个运维客户端（提供C/S客户端截图）； 3.分布式部署：支持添加一台或多台协议代理服务器，分担审计中心性能压力；并支持通过不同的协议代理服务器节点访问不同的资源，多协议代理服务器节点可访问相同资源时实现自动负载均衡； 4.支持web页面防跳转功能，进行http/https访问过程中，运维人员仅允许访问授权地址； 5.支持Oracle、postgresql、sybase、mysql、sqlserver数据库下行返回行数和oracle数据库变量绑定； 6.支持运维客户端功能，运维操作过程不依赖浏览器和JAVA环境； 7.SSH协议支持私钥代填登录，最大程度保障运维安全； 8.RDP协议支持windows服务端开启安全层SSL加密，加密级别符合FIPS标准，允许运行使用网络级别身份验证的远程桌面的计算机连接； 9.内置USB-KEY和动态口令卡，无需再单独配置服务器； 10.业务管理员以业务管理权限范围实现不同业务管理员权限的完全隔离，可设置业务管理员可管理的用户组和资源组范围； 11.支持时间集管理，支持按时间集配置访问控制策略；支持IP集管理，支持按IP集配置访问控制策略； 12.支持用户忘记登录密码时，可通过邮件或短信方式获取验证码，验证通过后重置登录密码。 13.支持对违规或高危指令的正则表达式设置匹配规则。 14.支持运维用户使用有效期配置；支持运维用户客户端IP和MAC限制。 15.★产品需具有以下证书：计算机信息系统安全专用产品销售许可证（运维安全网关）：涉密信息系统产品检测证书：中国国家信息安全产品认证证书，提供以上证书复印件并加盖原厂公章； 16.★设备厂商具有以下资质证书：涉及国家秘密的计算机信息系统集成资质证书（甲级）；信息安全服务资质证书（安全开发类一级）；信息安全服务资质（一级信息系统安全集成服务）；信息安全服务资质（一级应急处理服务）；提供以上证书复印件并加盖原厂公章； 17.投标时提供原厂三年质保服务承诺函。	1台
3	入侵防御系统	1．标准机架式设备，标配≥6个10/100/1000自适应电口，千兆光口≥8个，吞吐量≥6G，含三年IPS特征库升级服务； 2.网络适应性：支持透明、路由、混合多种工作模式；支持静态、策略路由、OSPF、BGP4等动态路由；支持端口聚合；支持ALG应用协议的NAT应用和端口重定向，包括SIP、H.323、XDMCP等，并支持自定义协议。 3.内置4000种以上的攻击特征，能够检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类等攻击；支持AV病毒检测引擎，内置病毒特征不少于10万条；内置URL分类库，具有不少于 1万条URL地址库；内置1700多种应用特征库，可准确识别各种IM、P2P、网络游戏、流媒体、股票等应用，并可自定义。可对URL地址以及域名进行过滤，且支持黑名单和白名单。 4.安全防护：支持4种安全防护模式，基于网络、用户、应用以及云租户；支持租户独立的配置和租户间视图的切换，支持租户模式下IP地址配置的隔离、直连路由生成的隔离和下静态ARP的隔离；支持基于租户的NAT、IP地址配置、IP_MAC绑定、病毒过滤和防挂马、入侵防护、攻击防护、应用识别、文件控制、ARP防护、内容安全特性（邮件、网页的内容过滤）、策略/静态/多出口路由。采用语境关联分析技术实现准确的攻击及应用威胁识别； 5.安全审计：支持将日志存储在本地，支持全部日志按天和统一格式存储，可以通过web页面查看历史日志列表，且可以针对列表日志进行删除、导出等操作；支持历史日志，保证设备掉电后仍然可以保留上次运行的日志记录。 6.★负载均衡：支持基于多种方式划分的负载均衡，如按照服务器、链路、全局等不同方面划分；支持服务器、链路、全局负载均衡的健康探测功能；支持根据监测到的链路状态进行出口链路选择，可根据链路探测结果自动进行链路切换，提供证明。 7.高可靠性：支持不少于4个节点，使用虚拟IP地址技术，通过VRRP协议实现高可靠部署；支持主备模式(A/S)、主主模式(A/A)等多种热备方式；能够进行线路/IP状态检测，并根据检测结果自动切换；支持电口硬件Bypass,保证设备在断电或宕机的情况下，不会引起网络中断； 8.★安全可视：产品可以图形化显示设备接口面板信息，直观查看接口是否联线；可以显示设备当前的系统状况，包括cpu使用率、内存使用率、cpu温度等；可以图形化展示应用风险指数、网络风险指数便于用户整体了解网络风险等级；实时图表显示用户连接数、当前会话数、应用使用排名等信息；提供多种报表，可依据五元组、应用协议、时间点/时间段等元素自定义报表内容并显示。 9.系统管理：支持通过web方式调用设备命令行窗口功能，无需登录串口就可对设备进行命令行操作；提供管理友好的中文Web图形界面配置，支持Telnet、SSH、串口登陆命令行模式配置；支持配置管理IP控制列表、SNMP网管协议以及邮件报警。 10.产品需具有以下资质：公安部计算机信息系统安全专用产品销售许可证（三级）要求提供证明文件； 11.投标时提供原厂三年售后服务承诺函。 12.其他要求：甲方保留要求中标方在中标公示期内提供所投型号设备在指定地点进行功能性验证测试的权利，若不满足作废标处理，由供应商自行承担后果。	1台
4	WEB应用防火墙	1．★硬件特征：采用多核处理器硬件构架，标准机架式设备，包含IP地址、登陆用户、CPU、内存、session等详细信息，标准机架式设备，标准配置6个10/100/1000M自适应电口，2个SFP接口，1个Console口，2个USB口，网络吞吐量为2Gbps，应用层处理能力为250M，HTTP新建连接数大于6000/s，网络并发连接数40万，HTTP并发为12万，硬件内置有fail-open模块，至少具备1组fail-open接口，产品出现故障时，能自动转变成通路，不影响流量正常传输。 2．支持透明代理、纯透明无需IP地址双网络部署模式，支持云部署模式，可以对互联网DNS解析流量过滤；产品需支持镜像分析数据并实现旁路阻断功能，产品具备专门的阻断接口设置。 3．主动防御：产品需支持SQL注入、跨站脚本、防爬虫、扫描器、信息泄露、溢出、协议完整性等至少7种知识库展示说明，产品需具备弱密码检测功能，提供用户名、密码字典检测机制，提供相关证明资料。 4．威胁情报：产品需支持威胁情报中心联动功能，具备FTP、API、key联动方式，需提供威胁情报中心的安全情报IP数量统计，并提供分析数据模型、IP数量、百分比等详细信息，提供威胁情报中心的安全情报风险值统计，并提供分析数据模型、危险程度、百分比等详细信息，需对威胁情报中心提供的相关数据运用到产品防护策略中，并提供僵尸网络、扫描器、钓鱼代理、网络攻击、Windows利用等漏洞库数据分类。 5．网站云防护：产品需支持网站云防护，是Web应用防火墙的集成功能，并非独立的服务或是独立产品，需支持网站云防护通过域名解析方式实现Web防护功能,提供网站云防护访问数量统计分析模型，提供IP、PV、UV、Visit等数据分析、网站云防护攻击数据统计分析模型，提供CC攻击、Web漏洞攻击等数据分析。 6．DDoS清洗：支持TCP DDoS防护策略，应具备端口扫描、SYN flood、Conn Flood、ACK flood、序号攻击、慢攻击等常见TCP DDoS攻击防御能力，产品支持UDP DDoS防护策略，应具备UDP flood、DNS flood等常见UDP DDoS攻击防御能力，产品支持HTTP DDoS防护策略，应具备HTTP限速、CC攻击等常见HTTP DDoS攻击防御能力。 7．保障与冗余：产品需支持负载保护机制，设置CPU、内存使用率等参数，设备达到峰值时，自动切换bypass功能。 8．★资质要求：WEB应用防火墙的计算机信息系统安全专用产品销售许可证； 9.投标时提供原厂3年质保服务函。 10. ★WEB应用防火墙与入侵防御系统为同一品牌。	1台
5	数据库审计系统	1.标准1U机架式，专用千兆硬件平台和安全操作系统，6个千兆电口，存储容量1TB； 2.支持透明部署，支持Bypass, 支持混合模式部署，可在线和旁路方式同时使用； 3.支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Teradata、Cache数据库审计；支持对Oracle数据库状态的自动监控，可监控会话数、连接进程、CPU和内存占用率等信息；支持国产数据库人大金仓、达梦、南大通用、神通数据库的审计； 4.★支持MongoDB数据库的审计，支持Redis数据库的审计，需提供截图证明； 5.支持对针对数据库的XSS攻击、SQL注入攻击行为进行审计； 6.支持数据库存储过程自动获取及内容审计，需提供截图证明； 7.★支持用户操作轨迹图展示，轨迹图维度可根据资源账号、源ip、客户端程序名、命令、表名、错误码等按需定义，可根据昨天、最近七天、最近30天以及自定义时间进行轨迹显示，可显示下一节点数量，可在某一维度中进行筛选，提供截图证明； 8.支持IPV6环境下数据库的审计。 9.★资质要求：产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》（增强级）；产品具有中国信息安全认证中心颁发的强制认证证书（增强级）；产品具有中国信息安全测评中心的信息技术产品安全测评证书EAL3+；产品具有IPv6 Ready logo Phrase 2认证； 10.★设备厂商具有： ISO14001，ISO/IEC 27001；涉及国家秘密的计算机信息系统集成资质证书（甲级）。 11. 需提供原厂三年质保服务承诺函。	1台
6	日志审计管理系统	1.★设备要求：采用软硬件一体化设备，标准1U机架，6个千兆电口，2T硬盘，1个Console接口，1个扩展接口（2光\4光\8光\4电\8电），性能：事件采集10000EPS，事件处理3000EPS，本次配置50个节点授权许可； 2.支持审计范围：支持安全设备、路由器、交换机、BRAS设备、网络设备，各类主机、数据库、web服务器，标准Syslog设备日志，对所有日志进行统一集中收集、归并、存储管理和磁盘阵列存储； 3.支持审计对象：通过旁路部署探测设备，支持对FTP/Telnet/Http应用层协议的解析、行为监控、还原，对高危操作实时告警，及时发现和制止异常行为，有效的用户行为监管；支持DB2、Oracle、Informix、Sybase、SQL server数据库的操作审计，使管理员实时掌握数据库动态，保障数据安全； 4.支持资产管理：可按照设备资产重要程度和管理域的方式组织设备资产，提供便捷的添加、修改、删除、查询与统计功能，支持资产信息的批量导入，便于安全管理和系统管理人员能方便地查找所需设备资产的信息，并对资产进行关键度赋值； 5.支持日志采集方式：支持syslog、snmp trap、netflow、netscreem、jdbc、odbc、opensec lea、agent代理、wmi等多种方式完成各种日志的收集功能。对windows服务器（系统、应用和安全）日志和文件类型日志，可免日志代理或插件；支持用户环境中EVT格式的业务系统日志采集。对于保存在日志文件和数据库中的日志使用agent采集方便，无需定制开发采集； 6.支持日志实时监视：提供实时的日志滚动显示和查询，可自定义实时监视的日志内容，可查看实时日志详细信息，可通过图示等直观显示目前日志量，可以控制日志对管理员账号的可见性管理； 7.支持事件可视化展现：支持通过世界地图定位IP地址，通过事件攻击图展示网络安全态势，通过行为分析图展示一段时间内的用户访问行为，提供相关证明； 8.支持日志在线挖掘：系统具备事件挖掘能力可通过事件调查工具对某条日志中的源IP地址、目的IP地址、或者目的端口进行相关性日志检索，提供相关证明； 9.要求支持趋势分析：可对根据过滤条件收集日志，针对设备地址、源地址、目标地址等进行事件数量、流量等的趋势分析；支持事件追溯，对于关联告警事件可进行追溯，查看导致该关联事件的所有原始事件。支持事件追溯功能； 10.支持告警和响应管理：对于通过关联分析发现的严重事件可以进行自动告警。告警方式包括邮件、短信、SNMP Trap、Syslog等，支持设备联动及阻断，即可以在告警后对防火墙/NIDS/网络设备下发联动策略，及时阻断威胁； 11. ★资质要求：提供产品软件著作权证书、提供公安部信息系统安全专用产品销售许可证，中国信息安全认证中心《中国国家安全产品认证证书》，涉密信息系统产品检测证书，厂商具有信息安全服务资质证书（安全开发类一级），提供上述资质证书复印件加盖原厂公章； 12.提供原厂商针对本项目的三年售后服务承诺函。	1套
7	核心交换机	1．单机标配千兆电接口≥24个，千兆光口≥4个，万兆光口≥4个，扩展业务槽位≥1（支持40G端口扩展），单台配置6个千兆多模光模块（含光纤跳线），提供官网链接及截图证明； 2．交换容量≥5Tbps，包转发率≥220Mpps，MAC地址表项≥32K，提供官网链接及截图证明； 3．支持跨设备链路聚合，支持多台设备性能聚合，路由表聚合； 4．为保证设备稳定运行，要求工作环境温度：0℃～45℃； 5．二层协议：支持STP/RSTP/MSTP；支持IEEE 802.3x；支持IEEE 802.3ad；支持IEEE 802.1P；支持IEEE 802.1q；支持MAC地址黑洞； 6．IP路由协议：支持静态路由；支持RIPv1/v2、OSPF、BGP、VRRP；支持RIPng 、OSPFv3、BGP4+ for IPv6、VRRPv3；支持策略路由； 7．组播：支持IGMP Snooping v1/v2/v3, MLD Snooping v1/v2；支持IGMP v1/v2/v3, MLD v1/v2；支持PIM-DM, PIM-SM； 8．安全特性：支持 Portal, MAC address-based 认证；支持AAA, Radius认证；支持 802.1X 认证；支持 IP+MAC+port 绑定； 9．提供原厂三年质保和技术支持服务。	2台
8	接入层交换机	1．整机可用端口数≥28，其中千兆电口≥24，千兆光口≥4；单台配置1个千兆多模光模块（含光纤跳线）； 2．交换容量≥336Gbps，整机转发性能≥66Mpps，以官网公布信息为准，如有双重指标X/Y，以小指标X为准； 3．要求设备单端口支持的MAC地址用户数≥4k； 4. 支持静态路由、RIP、OSPF，提供官网链接及截图证明； 5．安全特性：支持MAC认证、802.1x认证、Portal认证等，并支持本地和集中认证；支持动态ARP检测、ARP一键绑定、授权ARP、ARP源抑制、ARP源地址检查；支持端口隔离、端口安全；支持广播风暴抑制；支持IEEE 802.1ae介质访问控制安全技术，能够实现MAC层安全加密；支持SSH2.0； 6. 为便于统一管理及维护，要求与核心交换机同一品牌，提供原厂三年质保和技术支持服务。	4台
9	门禁系统	实现对单套门的门禁管理（含所有配件），设备开锁方式支持:指纹/密码/钥匙/蓝牙钥匙/APP，开门记录实时查询。	1套
10	布线系统	要求使用国产优质六类网线和相应配件产品，实现对整体机房的布线整理，对机房内所有布线端进行梳理、标识，提供整理过程中的所有光纤、网线及辅材辅料；	1项
11	视频监控系统	针对机房环境部署一套视频监控系统，要求：摄像机:数量3个,200万像素13” CMOS ICR日夜型半球型网络摄像机； NVR：1台，设备为双网口，硬盘槽位不低于2个，支持8路视频输入；硬盘:2块企业级4TB,存128M,转速7200rpm,接口类型，SATA3.0,接口速率6Gb/s；	1套
12	信息安全及等保整改集成服务	1、等级保护管理整改根据用户当前安全管理需要，根据用户的管理特点，针对等级保护所要求的组织安全、管理制度、人员安全、系统建设和系统运维，从人员、制度、运作、规范等角度，进行全面的整改，提升用户信息系统管理的能力，避免人为因素给系统带来的威胁，符合等级保护对管理的要求。该阶段的活动包括管理方案设计、组织设计、制度规划、系统管理规划、应急预案制定及预演等。 2、等级保护技术整改根据建设目标和建设内容将信息系统安全总体方案中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上，从网络安全、主机安全、应用安全和数据安全的角度，根据等级保护基本要求，整合多种技术手段，通过整改集成形成最终的安全防护体系，有力保障用户信息系统。该阶段的活动包括安全详细方案设计、安全技术实施、安全加固、等级保护自测评等工作。 3、等级保护测评支持服务在用户等级保护建设的测评阶段提供。在测评实施前，协助用户对信息系统进行自测评，发现系统可能存在的不足项提前进行完善；测评实施中，将协助用户完成测评材料的准备、测评方案的制定、配合测评实施、测评技术支持等活动，以使用户单位信息系统能够顺利通过二级等保测评。	1项
13	等级保护测评服务	需对财政一体化平台管理系统进行二级系统测评，包括系统中安全技术与安全管理两个方面。等级保护测评机构需满足以下条件： 1、服务商应提供入围全国等级保护测评机构推荐目录（网址http://www.djbh.net可查询，并提供等级保护推荐证书，且已在安徽省备案）； 2、评测机构需具有中国信息安全认证中心颁发的信息安全风险评估服务资质； 3、评测机构需具有中国信息安全测评中心颁发的信息安全服务资质； 4、评测机构需具有中国信息安全认证中心颁发的应急处理服务资质。 5、等保服务必需通过相关部门测评验收，并取得等保证书。	1项
14	服务器	1．规格：国产2U标准机架式服务器； 2. 处理器：配置2颗英特尔至强E5-2620 v4 处理器； 3. 内存类型：128GB DDR4内存；内存插槽数不低于20个DIMM 插槽； 4.硬盘类型：配置5块2TB SATA 硬盘；SFF SAS SATA;单机最大可支持26块2.5寸SATA/SAS接口硬盘或固态磁盘扩展； 5.RAID：支持RAID0、1、5、10等标准； 6.I/O扩展槽： 6 个 PCIe 3.0,最少4个全长全高； 7.芯片组：Intel C600以上芯片组； 8.以太网控制器：2个高性能千兆以太网控制器，支持虚拟化加速、网络加速、负载均衡、冗余等高级功能，另外可支持FLOM技术，选择集成双千兆、双万兆等；本次配置2口千兆光接口网卡, 2口8GB FC HBA卡。 9.电源：高性能双电源；配件:机架安装导轨； 10. 提供原厂三年质保和技术支持服务。	2台
15	机房设备配置用笔记本	1.CPU型号：Intel 酷睿i5 8250U； 2.内存容量：8GB，最大可达32GB； 3.硬盘容量：256G固态硬盘； 4.显存容量：2GB独显； 5.操作系统：自带WINDOWS正版操作系统； 6.屏幕类型：13.3英寸，1920x1080分辨率LED屏 7.具有千兆以太网口，无线，蓝牙，HDMI，SD，USB接口； 8.重量不高于1.5KG； 9.原厂质保二年	1台