上海市第六人民医院

Web应用防火墙续费项目

采 购 文 件

采 购 单 位：上海市第六人民医院

二O二三年五月

一、项目基本情况

1、项目名称：上海市第六人民医院Web应用防火墙续费项目

2、预算金额：13万元（人民币）

3、采购方式：院内谈判

4、合同履行期限：合同签订后三个月内

5、项目内容：包括本项目批复范围内全部项目内容。

二、申请人资格要求

1、具有“三证合一”的营业执照，具有独立承担民事责任的能力并且具有相应的经营范围；

1. 参加采购活动前三年内，在经营活动中没有重大违法记录。

2. 未被列入“信用中国”网站失信被执行人名单、重大税收违法案件当事人名单和中国政府采购网政府采购严重违法失信行为记录名单的供应

   4、本项目不接受联合体投标。

   三、申请时间及联系人

   谈判时间：自公告日期起一周后

   谈判地点：上海市第六人民医院教学楼1楼

   联 系 人：金懿

   联系电话：********

   投标邮箱：lyxxcbm@163.com

1 适用范围及说明

1.1、本采购文件适用于上海市第六人民医院Web应用防火墙续费项目的公开采购。中标单位负责与相关部门的沟通、协调、落实经相关部门出具的实施方案。直至交付使用，采用院内采购方式选择实施单位。

1.2、采购单位向投标单位提供的有关采购文件及资料和数据或组织勘察现场,是采购单位现有的能使投标单位利用的资料,采购单位对投标单位由此做出的推论、理解和结论概不负责。

2 投标费用

投标人应承担所有与编写、提交投标文件和制作样品等有关的费用，不论投标的结果如何，采购方在任何情况下均无义务和责任承担这些费用。

3 采购文件

投标人应认真阅读采购文件中所有的章节、条款、格式、附表。如果投标人没有按照采购文件的要求提交全部资料，或者投标文件没有对采购文件在各方面都做出实质性响应，则属于投标人的风险，没有实质上响应采购文件要求的投标将被拒绝。

4 投标文件

4.1投标文件组成：投标报价、资质证明文件、营业执照、项目方案、“信用中国”相关企业证明文件等投标单位认为需要提交的其他材料。

4.2请投标公司在投标时间截止前将以下内容发至报名邮箱：投标公司名称、投标项目名称、投标公司联系人、投标公司联系人电话、投标公司信用中国截图及投标意向书（需加盖投标单位公章）电子档。如投标单位多次无理由缺席，将被纳入医院采购黑名单。重要提示：发送至邮箱的材料中请勿包含投标文件。投标文件需由应标人在采购当日，采用密封方式携带至谈判地点，并在监督下现场拆封。请勿在邮件中包含投标文件，如因此对投标人造成不利影响，责任由投标人自负。

5 签订合同

合同由院方提供标准合同模板。

项目名称：上海市第六人民医院Web应用防火墙续费项目

项目地点：本项目将在上海市第六人民医院实施和应用。

项目背景：目前我院使用的是安恒-玄武盾Web应用防火墙，主要用于云端应用（官网）的安全防护工作，防护内容包括云WAF标准模块、网页防篡改、WEB防攻击、云检测等。目前该产品使用状况良好，鉴于前次签约服务将到期，特进行续约工作。

本项目采购内容如下所示：

安恒-玄武盾Web应用防火墙续费期限为3年，对于Web应用防火墙所具有的功能要求如下：

支持集群化和高可用部署架构，全国范围至少具备90个云防护节点。（提供服务平台界面截图并加盖公章）

支持通过一体化平台提供云防护和云监测服务，以便在用户需要时将防护站点加入监测系统进行安全自检。（提供服务平台界面截图并加盖公章）

系统基于云化SaaS架构，无需消耗虚拟机资源或本地物理资源，通过云端服务平台完成站点管理，为用户提供云防护服务。（提供服务平台界面截图并加盖公章）

支持通过统一界面展示网站访问次数、拦截攻击次数、网站出入总流量、疑似攻击元IP数量，并以时间维度展示攻击与访问趋势图。

支持通过服务平台以手工导入和批量导入的方式完成防护站点的添加申请，支持添加HTTP和HTTPS类型的站点，并支持自主上传网站公钥或和私钥。

支持HTTP强制跳转HTTPS，当用户访问HTTP端口（如80）时，支持强制将访问牵引至HTTPS端口（如443）（提供服务平台界面截图并加盖公章）

支持对HTTP协议合法性进行验证，提供HTTP协议防护功能，支持对HTTP协议的URI、HOST、UA、Cookie、Referer、Content、Accept、Range、其他头部和参数在内的元素、参数进行检测与处理。且支持非法编码和解码的灵活控制与处理。

支持针对主流Web服务器及插件的已知漏洞防护。Web服务器应覆盖主流服务器：apache、tomcat、lightpd、NGINX、IIS等。

支持对用户上传的文件后缀名和文件内容进行全方面检查，杜绝Webshell的上传和访问。

支持流量监测的功能，基于用户的访问记录，实时检查被访问页面的安全状况，能够发现更深层次的暗链、Webshell等安全事件。

支持提供攻击防护安全策略，支持对命令注入（包括SQL注入、SQL盲注、代码注入等）、跨站脚本、SSI指令、路径穿越、远程文件包含、WebShell防护。

支持一键关停功能，当网站出现紧急安全事件时，可通过浏览器一键完成关停，防止产生恶劣影响。

支持永久在线功能，当网站因为服务器故障、线路故障、电源等问题出现无法连接时，可显示云防护节点中的缓存页面。当在敏感期或特殊时期时，用户网站主动关闭期间可显示缓存页面，增强网站安全性。

▲服务商须提供安恒原厂授权证明。

▲服务商需具有云端7*24远程安全专家服务能力，提供7*24小时安全值守和应急响应服务。提供策略优化、配置调整、规则更新、问题处理、技术咨询安全事件通告等常规技术支持服务，实时监测感知持续性攻击、0day攻击等事件，并及时响应和对抗，同时在重大节会期间提供更高级别的安全响应服务

（▲为必选项）