2024年省科技馆采购网络安全设备招标公告

正文内容

公告标题: ****年省科技馆采购网络安全设备招标公告 有效期: ****-**-** 至 ****-**-** 撰写单位: **中工建设项目管理有限公司 （****年省科技馆采购网络安全设备）招标公告 项目概况 ****年省科技馆采购网络安全设备招标项目的潜在供应商应在线上获取招标文件,并于****年**月**日 **时**分（**时间）前递交投标文件。 一、项目基本情况 项目编号：JH**-******-***** 项目名称：****年省科技馆采购网络安全设备 包组编号：*** 预算金额（元）：***,***.** 最高限价（元）：***,*** 采购需求：查看 （一）终端防护系统 数量***点 ★*、支持Windows *及以上Windows */Windows **系统或以上，含防病毒、补丁管理、主机防火墙功能。支持主流Windows PC客户端操作系统，提供不少于***点PC端授权，≥*年更新服务。在原有系统扩容升级，一起纳管。提供原有系统厂商盖章的扩容许可授权函。 *、采用B/S架构管理端，具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能； *、要求能够自定义时间、自定义扫描频率，自定义扫描类型，对终端进行定时查毒，并且可以自定义查杀病毒后的处理方式自定义； *、支持客户端升级时对网络带宽的保护，可以设定服务器端最大升级带宽； *、终端支持智能屏蔽过期补丁、与操作系统不兼容的补丁，可以查看或搜索系统已安装的全部补丁 *、支持Windows **补丁预热,提高终端下载补丁成功率。 *、支持内存实时监控查毒，能够自动隔离感染而暂时无法修复的文件。 *、具备自有漏洞补丁管理服务器，无需第三方补丁服务器支持，自身即可以提供完整的流程化补丁管理。 *、支持ldap联动，终端实名认证后自动同步资产信息。 **、支持管理员通过手动添加或处置终端用户拦截申请来运维本地弹窗规则黑名单，可对非主流第三方软件的弹窗进行拦截。 ▲**、产品支持对终端分组进行自定义授权模块分配，支持不同模块不同终端点数限制；（提供功能截图，并加盖厂商公章)。 ▲**、产品支持控制中心防暴力破解，采用手机APP动态令牌方式进行二次认证，针对控制中心高危操作支持动态口令验证，要求令牌APP自主研发；（提供功能截图，并加盖厂商公章)。 （二）服务器访问控制系统 数量**点 ★*、配置**个主机授权，包含安装调试服务及*年授权与软件保修服务，在原有系统扩容升级，一起纳管。提供原有系统厂商盖章的扩容许可授权函。 ▲*、客户端管理与防护功能分离，主机防护不受管理进程关闭影响依然有效；（提供对应功能截图，并加盖厂商公章） *、客户端包含反逆向、反调试及自保护功能，客户端和管理中心通信采用安全的加密机制； *、支持两种以上病毒查杀引擎，支持控制中心私有云查杀病毒模式和本地引擎查杀病毒两种模式并可随意切换查杀模式； *、支持展示当**程、账户、软件应用、Web资产、Web服务、Web框架、数据库、端口、网络连接、启动服务、安装包、计划任务、环境变量、内核模块等分类资产数量统计及版本等详细情况，可对分类资产全局进行快速搜索，能保留历史搜索记录及搜索条件以进行快捷搜索，同时提供服务器名、IP地址、操作系统、资产类型的筛选搜索与导出； *、支持应用发现web应用中存在的漏洞并支持Java类Web的防护。包括：未知WebShell实时防护、未知SQL注入漏洞防护、未知上传漏洞防护、Struts*漏洞防护、反序列化漏洞防护、任意文件读取漏洞防护、命令执行漏洞防护等设置； ▲*、支持RASP（运行时应用自我保护）技术，可对ASP、.Net、PHP、Java四种语言进行RASP防护，通过对应用系统流量、上下文、行为进行持续监控，有效抵御一句话木马、变形/未活动/加密Webshell、SQL注入、命令执行、文件上传、任意文件读写、反序列化、Struts*漏洞等高级Web应用攻击；（提供对应功能截图，并加盖厂商公章） ▲*、支持对应用漏洞防护的设置，可有效拦截各类WEB入侵，包括：SQL注入类、XSS防护、Web服务器溢出攻击防护、文件名解析漏洞防护、禁止浏览畸形文件、自动屏蔽扫描器、X-Forwarded-For防护、请求类型控制、禁止下载特定类型文件、网站浏览实时防护、HTTP请求头防护等。同时可对一句话木马利用工具进行防护，包括：ASP、PHP、ASPX等语言；（提供对应功能截图，并加盖厂商公章） ▲*、系统支持自动学习并梳理出暴露端口信息功能，对暴露的端口进行封禁或加白功能；支持基线核查内容包括不限于：mysql基线检查项、oracle基线检查项、Tomcat检查项、Ngnix检查项、Apache检查项、系统服务核查、账户安全核查、系统配置安全核查、应用配置安全检查、等保二级检查、未授权访问应用等；（提供对应功能截图，并加盖厂商公章） ▲**、支持从服务器与进程维度监控分析进程外连情况，外连IP地址及域名，并提供告警；支持“白+黑”网络访问控制，即可基于五元组源/目的IP、源/目的端口、协议做网络访问控制，也可以学习主机程序网络访问行为做加白限制；（提供对应功能截图，并加盖厂商公章） ▲**、支持对代理客户端的CPU利用率、内存使用率进行监控，定制通过后台限制agent CPU**和内存占有率（如当Agent端CPU使用率达到阈值后重启Agent服务）功能，防止服务器宕机；（提供对应功能截图，并加盖厂商公章） ▲**、管理中心可单独提供对管理中心、驱动库、特征库等应用组件升级接口，同时提供升级时间、版本、内容状态等信息；（提供对应功能截图，并加盖厂商公章） （三）集群分发系统 数量 * ★*.网络层整机吞吐为≥**Gbps，网络层并发连接数≥***万，网络层每秒**连接数≥**万，存储≥*TB，扩展插槽≥*个。板载千兆**/***/****M自适应电口≥*个。包含三年硬件维修服务。 ▲*.支持IPv*/IPv*双栈，支持IPv*/IPv*地址转换,支持前缀地址转换，IVI，地址池，IPv*和IPv*混合环境下的四层服务器负载，链路负载，健康检查。（提供功能截图，并加盖厂商公章) ▲*.支持DNSv*，支持基于IPV*地址的七层内容交换（URL负载、HTTP头擦除、重定向信息改写等功能）。（提供功能截图，并加盖厂商公章) ▲*.支持双边加速功能，在两台设备之间保护并且加速广域网上传送的数据。在链路质量不佳时，实现广域网安全快速传输功能。（提供功能截图，并加盖厂商公章) *.支持会话保持信息同步，以保障业务不间断切换。 *.支持基于脚本的全流程健康检查功能：支持用户自定义方式的健康检查，支持通过Python语言编写脚本，用户可实现对业务登录后，访问节点运行的实际业务流程来编写代码，检查业务处理逻辑是否正常。 *.支持业务的带宽保障：在链路拥塞时，支持对指定业务分配优先级，高优先级的业务优先处理，可以实现对指定业务的带宽保证，链路空闲时，所有业务可以任意使用带宽，链路拥塞时，可保障指定业务使用带宽。 *.支持HTTP访问速率限制：通过代理方式解析HTTP请求，根据限速规则可以限制某个浏览器每秒钟对某个页面发送的HTTP请求数，超过这个数量将进行重置或重定向处理；可以有效防止用脚本对某个固定页面的反复刷新。 （四）网络行为审计 数量* ★*.审计事件能力≥*****EPS；最大并发连接数为≥****万；最***连接数为≥******个/秒； 板载千兆电接口≥*个；扩展插槽≥*个；存储≥*T；大于等于三年系统版本升级、协议库升级和硬件质保服务。设备必须提供物理硬件bypass按钮，便于设备巡检、设备故障时管理员无需重启、关机、断电即可恢复网络通畅。 ▲*、设备在部署时支持模式选择，可设置为Portal模式，实现Portal服务器功能；（提供功能截图，并加盖厂商公章) *、可集中呈现上网行为风险等级和状态。 行为风险等级包括安全等级、效率等级、合规等级和管控等级。 行为状态包括管控效果、运行状态、安全状态、泄密风险状态、合规状态和应用使用状态。 点击页面数值可直接跳转查询详情。 *、支持通过恶意软件特征检测方式识别失陷主机并记录日志 ▲*、当用户的网页访问被网页浏览策略封堵时，用户如果发现分类错误能够在页面中向管理员进行反馈；管理员可查看用户反馈的分类错误，并可以选择向服务器反馈；（提供功能截图，并加盖厂商公章) *、可审计、控制Oracle, MySql, SqlServer, PostgreSQL等数据库的访问与操作，包括添加、删除、修改、查询等。 *、通过DNS审计策略对DNS通信内容进行审计和控制，通过SNMP审计策略对SNMP通信内容进行审计和控制，通过NFS审计策略对NFS访问和传输文件进行审计和控制。 （五）访问检测系统 数量* *、★最大网络层吞吐≥**Gbps，最大应用层吞吐≥**Gbps，最大并发连接数标配≥****万，每秒最***连接≥**万/秒，冗余电源，硬盘≥*TB；板载**/***/****Base-T电口≥*个（支持*组bypass），扩展板卡插槽≥*个 含三年特征库、应用识别库和威胁情报订阅服务和三年硬件维保服务,与本项目中网端联动处置平台联动，提供加盖厂商公章的厂商承诺函。 *、产品具备透明接入、旁路部署等多种部署模式。 *、产品具备接口配置IPv*地址功能，包括接口名称、IP地址/掩码、地址类型和IPv*路由通告，并可以显示当前本机的IPv*邻居信息。 *、产品具备丰富的应用识别特征库，提供P*P下载、网络电视、即时通讯、股票软件、流媒体、网络电话、手机应用等多种应用识别类型。 *、产品具备一体化安全策略模板功能，通过单条策略既可完成多项策略设置，可以配置源目的地址、国家地区、源目的域、源目的MAC、时间对象、用户、虚拟身份、服务对象、URL分类等对象，同时可在同一策略下，调用入侵检测、一体化防病毒、文件检测、URL检测、数据检测、威胁情报、口令检测、挂马防护、僵尸网络等应用安全策略进行安全检测。 ▲*、产品具备配置向导功能，通过引导用户配置，包括拓扑图、桥接口配置、地址区域流、IDS、可视、概览等多项元素实现快速配置上线。（提供功能效果截图，并加盖厂商公章) *、产品提供入侵检测特征库，特征数超过*****条。并提供基于正则表达式匹配方式的自定义特征检测策略。 *、产品具备云端威胁情报功能，提供僵尸网络、钓鱼网站、恶意网站等**大类的威胁情报的检测，并对检测到的威胁事件执行记录日志、邮件、声音等动作。 ▲*、产品具备安全态势大屏实时展示，可通过实时态势监测模块进行攻击态势地图展示，包含对威胁趋势图、风险主机TOP**、威胁等级 、最新入侵事件 、设备运行状态 、**监控、告警总数等信息统计展示。（提供功能效果截图，并加盖厂商公章) **、产品具备移动终端管理功能，无需安装APP和第三方插件，通过手机浏览器即可管理设备，并可查看设备CPU、内存、硬盘使用情况。 （六）安防网访问控制系统 数量* ★*.网络处理能力为≥**G，并发连接≥***万，每秒**连接≥***万/秒， 标准*U机箱，冗余电源，板载**/***/****M自适应电口≥*个，SFP插槽≥*个，扩展槽≥*个，支持液晶屏；大于等于三年硬件维保服务。与现有态势感知系统联动封禁网络威胁，提供原有态势感知厂商盖章的联动技术授权函。 *. 防火墙能够对HTTP/FTP/POP*/SMTP/IMAP/SMB六种协议进行病毒查杀；本地病毒库规模大于****万 ▲*. 支持IPv*和IPv*流量的HTTPS、POP*S、SMTPS、IMAPS协议进行解密，支持配置基于源安全域、目的安全域、源地址、目的地址、SSL协议服务的解密策略，动作可以设置解密或不解密，并可基于安全域、IPv*和IPv*地址进行例外设置，同时支持将解密后流量镜像到其他设备进行分析统计。（提供对应功能截图，并加盖厂商公章） ▲*. 支持共享上网检测功能，支持共享接入检测和共享接入管控功能，可以通过设置管控地址和例外地址优化管控功能，同时支持阻断或告警动作。（提供对应功能截图，并加盖厂商公章） ▲*. 支持接收针对突发重**全事件的“应急响应消息”，并至少在界面显示安全事件名称、类型、当前防护状态、处置状态以及相应的操作等信息；并可根据设备安全配置的变化动态显示应急响应的处理结果。（提供对应功能截图，并加盖厂商公章） ▲*.支持基于主机或威胁情报视图，统计网络中确认被入侵、攻破的主机数量，至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息；并对威胁情报发现的恶意主机执行自动阻断。（提供对应功能截图，并加盖厂商公章） ▲*. 支持基于主机或威胁情报视图，统计网络中存在安全风险的主机数量以及对应的风险等级，至少可查看遭遇风险的时间、威胁类别、情报来源、威胁简介、失陷主机IP、用户名、资产等信息。（提供对应功能截图，并加盖厂商公章） ▲*. 支持用户自定义重点URL分类和应用，并可基于定义的重点关注对象进行用户维度关联，并结合分析中心进行基于关联的用户/地址、URL分类、应用进行二次递进式深度分析，挖掘异常用户及异常网络行为。（提供对应功能截图，并加盖厂商公章） ▲*.支持可明文或加密方式调用的Restful API，并可指定Restful API使用的本地端口；为确保设备管理的安全性，所投产品支持限制特定主机调用Restful API，支持定义第三方设备、平台通过调用Restful API 至少可配置所投设备的访问控制策略、源NAT策略、目的NAT策略、静态路由、高可用以及区域、地址、服务、时间、用户对象等功能。（提供所投产品的Restful API使用说明并加盖厂商公章） ▲**.具备一体化智能处理引擎（提供具有自主知识产权的处理引擎软件著作权证书复印件，并加盖厂商公章） ▲**. 支持VTEP（VxLan Tunnel EndPoint）模式接入VxLAN网络，且可作为VXLAN二层、三层网关实现VxLan网络与传统以太网的相同子网内、跨子网间互联互通；支持通过绑定VLAN、VNI（VXLAN Network Identifier）、远程VTEP，手动管理VxLan网络；支持MAC、VNI、VTEP静态绑定的。（提供对应功能截图，并加盖厂商公章） ▲**.支持MPLS流量透传；支持针对MPLS流量的安全审查，包括漏洞防护、反病毒、间谍软件防护、内容过滤、URL过滤、基于终端状态访问控制等安全防护功能。（提供对应功能截图，并加盖厂商公章） ▲**.支持基于策略的路由负载，支持根据应用和服务进行智能选路，支持源地址目的地址哈希、源地址哈希、轮询、时延负载、备份、随机、流量均衡、源地址轮询、目的地址哈希、最优链路带宽负载、最优链路带宽备份、跳数负载等不少于**种路由负载均衡方式，支持基于IPv*或IPv*的TCP、HTTP、DNS、ICMP等方式的链路探测，同时TCP与HTTP可使用自定义目标端口进行测试。（提供对应功能截图，并加盖厂商公章） ▲**.支持在设备漏洞防护特征库直接查阅攻击的名称、CVEID、CNNVDID、CWEID、严重性、影响的平台、类型、描述、解决方案建议等详细信息。（提供对应功能截图，并加盖厂商公章） ▲**.支持与云端联动，至少实现病毒云查杀、URL云识别、应用云识别、云沙箱、威胁情报云检测等功能。（提供对应功能截图，并加盖厂商公章） ▲**.支持DS-Lite CPE B*功能，支持成为b*或aftr角色，支持从DHCPv*服务器或手动方式获取AFTR参数。（提供对应功能截图，并加盖厂商公章） （七）应用层安全加固防护系统 数量* ★*. 网络吞吐量为≥**Gbps，网络并发连接数≥***万，HTTP并发为≥**万，HTTP**连接数≥*****/s。板载液晶面板，硬盘≥*TB，扩展插槽≥*个。千兆**/***/****M自适应电口≥*个，千兆SFP插槽≥*个，≥*组bypass，三年软件特征库服务，三年硬件维修服务。 *、产品具备旁路部署对镜像流量分析的同时实现阻断功能，产品具备专门的阻断接口设置和对端MAC地址设置功能。 ▲*、产品具备SQL注入、XSS跨站攻击防御策略，支持特征检测与语义算法检测。（提供相应截图证明，并加盖厂商公章） *、产品具备Web业务控制防御功能，提供针对爬虫、黑链、内网代理以及盗链的防护功能。 *、产品具备敏感信息检测防护，检测类型包括：中间件信息保护，数据库信息保护，敏感文件保护，代码错误信息保护，隐私信息保护。 *、产品具备Web业务加固防御功能，提供人机识别、弱密码检测、会话安全、CGI安全、跨站请求伪造以及业务流程控制的防御功能。 ▲*、产品具备支持威胁情报中心联动功能，基于FTP或FTPS协议登录云端获取数据来源。（提供相应截图证明，并加盖厂商公章） *、产品具备隐藏服务器信息功能，支持自定义错误页面返回码、错误页面标题、错误页面内容以及重定向URL功能。 *、产品具备虚拟补丁功能，支持导入Appscan和SecVSS scan扫描器的扫描结果生成WAF的规则，对此类网站漏洞直接防护 **、产品具备安全态势大屏实时展示，可通过产品自带的实时态势监测模块进行攻击态势地图展示，包含对源地域、目标资产、安全防护攻击类型、攻击趋势、HTTP并发请求及实时事件统计。 ▲**.产品具备双重防护机制，当web应用防火墙遭受DDOS攻击的时候，如果攻击的流量达到了设备的处理峰值，web应用防火墙会自动转为云端防护模式。（提供相应截图证明，并加盖厂商公章） ▲**.所投产品具备检测TCP并发链接数，TCP**链接数，TCP带宽（c*s），UDP带宽（c*s），ICMP带宽（c*s），HTTP GET 速率，HTTP POST 速率，HTTP 其他请求速率，DNS 查询请求速率，并发IP数量等单用户和总量进行自定义阈值配置。（提供相应截图证明，并加盖厂商公章） （八）网端联动处置平台 数量* ★*、支持采集网络威胁告警，并将告警威胁日志进行分析发送到核心网络交换机、路由器、防火墙等设备进行自动化编排处置。支持SYSLOG等方式对网络中安全设备告警日志进行采集。通过对告警日志类型及级别设置数据采集策略及联动处置。与现有态势感知系统联动封禁边界网络威胁，提供原有态势感知厂商盖章的联动技术授权函。设备≥*U，千兆电口≥*个，USB口≥*个，Console口≥*个，千兆SFP插槽≥*个，特征库升级与硬件维保≥*年。 *、支持不少于三家WAF、IPS、流量探针等安全设备厂家对接，实现威协汇总，统一查询。 ▲*、实现与多家网络安全设备（包含但不限于：华三、华为、锐捷、天融信、深信服等）的日志采集分析及威胁阻断，并进行自动的联动阻断，威协日志统一管理，实现全网威协自动处置; （提供功能截图，并加盖厂商公章) ▲*、与云平台联动接收国内外病毒威协源及攻击源，提**行预防及联动处置。（提供功能截图，并加盖厂商公章） ▲*、能有效识别僵尸网络，支持对外提供接口，可为DNS等其他安全设备提供僵尸网络域名，用于处置网络威胁。（提供功能截图，并加盖厂商公章） ▲*、产品支持联动出口的核心交换机、防火墙、路由器等设备形成自动化处置流程，针对攻击频度、内外网攻击源设置不同防护策略;（提供功能截图，并加盖厂商公章) ▲*、产品支持通过手机短信方式推送每日固定时间点黑名单数量及前一日威协数量。（提供功能截图，并加盖厂商公章) ▲*、针对攻击频度、内外网攻击源设置不同防护策略，可提供**小时无人值守自动防护; 　 　 　 　 合同履行期限：合同签订后**个工作日内 需落实的政府采购政策内容：中小微企业（含监狱企业）相关规定、促进残疾人就业政府采购政策相关规定、对于节能产品、环境标志产品相关规定等。 本项目（是/否）接受联合体投标：否 二、供应商的资格要求 *.满足《中华人民**国政府采购法》第二十二条规定。 *.落实政府采购政策需满足的资格要求：无 *.本项目的特定资格要求：无 三、政府采购供应商入库须知 参加**省政府采购活动的供应商未进入**省政府采购供应商库的，请详阅**政府采购网 “首页—政策法规”中公布的“政府采购供应商入库”的相关规定，及时办理入库登记手续。填写单位名称、统一社会信用代码和联系人等简要信息，由系统自动开通账号后，即可参与政府采购活动。具体规定详见《关于进一步优化**省政府采购供应商入库程序的通知》（辽财采函〔****〕***号）。 四、获取招标文件 时间：****年**月**日 **时**分至****年**月**日 **时**分（**时间，法定节假日除外） 地点：线上获取 方式：线上 售价：免费 五、提交投标文件截止时间、开标时间和地点 ****年**月**日 **时**分（**时间） 地点：电子版文件上传至**政府采购网，备份文件递交至**中工建设项目管理有限公司开标室 六、公告期限 自本公告发布之日起*个工作日。 七、质疑与投诉 供应商认为自己的权益受到损害的，可以在知道或者应知其权益受到损害之日起七个工作日内，向采购代理机构或采购人提出质疑。 *、接收质疑函方式：线上或书面纸质质疑函 *、质疑函内容、格式：应符合《政府采购质疑和投诉办法》相关规定和财政部制定的《政府采购质疑函范本》格式，详见**政府采购网。 质疑供应商对采购人、采购代理机构的答复不满意，或者采购人、采购代理机构未在规定时间内作出答复的，可以在答复期满后**个工作日内向本级财政部门提起投诉。 八、其他补充事宜 *、供应商应认真学习电子投标（响应）文件制作教程，有任何技术问题可拨打网站客服电话进行咨询：***-***-****，代理机构不负责解答此类问题。供应商因自身操作问题导致的一切不良后果由投标单位自身负责。 *、响应文件同时采用线上递交电子响应文件及现场递交U盘形式存储的可加密备份文件两种方式，并承诺备份文件与电子评审系统中上传的投标（响应）文件内容、格式一致，备系统突发故障使用。供应商仅提交备份文件的，投标（响应）无效。具体操作流程详见**政府采购相关通知。 *、供应商需在响应文件中提供备份文件与电子评审系统中上传的投标（响应）文件内容、格式一致的承诺函（格式自拟），开标时，供应商自行准备投标解密所需可以登录**政府采购网并成功进入账号的电脑以及CA认证等设备，供应商对响应文件进行网络电子解密应在**分钟内完成。 *、供应商在电子评审活动中出现以下情形的，应按如下规定进行处理： （*）因供应商原因造成投标文件未解密的； （*）因供应商自用设备原因造成的未在规定时间内解密、上传文件或投标（响应）报价等问题影响电子评审的； （*）因供应商原因未对文件校验造成信息缺失、文件内容或格式不正确以及备份文件不符合要求等问题影响评审的。 出现前款（*）（*）情形的，视为放弃投标（响应）；出现前款（*）情形的，由供应商自行承担相应责任。 九、对本次招标提出询问，请按以下方式联系 *.采购人信息 名称： **省科学技术馆 地址： **省***浑南区智慧三街***号 联系方式： ***-******** *.采购代理机构信息： 名称： **中工建设项目管理有限公司 地址： ***浑南区明波路**号*-*-* 联系方式： ***-******** 邮箱地址： *********** 开户行： **************奥体支行 账户名称： **中工建设项目管理有限公司 账号： ***************** *.项目联系方式 项目联系人： 韩聪 电话： ***-********