济南市第八人民医院网络安全WEB应用防火墙系统推荐性论证公告
济南市第八人民医院网络安全WEB应用防火墙系统推荐性论证公告
随着济南市第八人民医院的信息技术的高速发展,信息化和数字化已经深入到医院的各个角落。医疗信息化是济南市第八人民医院的重要组成部分,Web应用、移动应用、API接口等已经融入生产生活的各个领域。根据Freebuf的统计,75%的网络攻击发生在Web应用层而非网络层面,约2/3的站点都相当脆弱,易受攻击。SQL 注入攻击、跨站脚本(XSS)攻击、网站挂马、 Webshell 等各种各样的攻击,都会对业务系统造成严重威胁。
医院业务系统采用了较全的安全防护体系,网络层有专业的网络防火墙进行网络防护控制,针对网络流量进行安全防护,随着暴露面及互联网业务发布数量增多,web业务系统的安全防护缺乏专业的安全设备进行应用层深度防御。
一.供应商资质要求:
1.供应商应具有良好的商业信誉和财务状况,具有独立法人资格。
2.营业执照;
3.法定代表人授权委托书(需明确授权范围),附法人和授托人身份证正反面;
4.企业信用信息公示报告;
5.供应商须提供以下资质证明文件原件或复印件及其它要求的材料(复印件必须加盖单位公章);
(1)营业执照;
(2)质量管理体系认证证书;
(3)信息安全管理体系认证证书;
(4)信息技术服务管理体系认证证书;
(5)产品彩页资料;
(6)生产厂商售后服务承诺书。
二.报名截止时间:2023年8月31日
地址:济南市第八人民医院
电话:0531-********
联系人:刘斌
三、项目名称及内容
济南市第八人民医院WEB应用防火墙系统,通过部署新一代专业的Web应用安全防护产品,对网站及web应用系统提供专业的应用层深度防御,可以帮助应对OWASP TOP 10 安全风险,并针对Webshell、网站挂马、暴力破解等各种Web攻击进行防御。针对目前Web安全防护面临的风险,在Web资产发现、漏洞评估、流量学习、威胁定位等方面全面应用智能分析和机器学习技术,更轻松,更全面部署Web安全防御策略,屏蔽Web漏洞和风险,确保网站的安全运营。
四、质保期
三年免费维护期,保修内的系统升级、硬件维修费用全免,接到客户问题后半小时响应,24小时内赶到现场维修。服务合同期暂定为3年,如中标人服务标准达不到采购人服务标准,自动终止合同。
服务地点:采购人指定地点。
五、货物明细及预算
序号 | 科室 | 货物名称 | 数量 | 单价 | 总金额 |
1 | 信息科 | WEB应用防火墙系统 | 1 | ||
合计 | 1 |
六、WEB应用防火墙系统技术参数
产品名称 | 技术参数 | |
1 | WEB应用防火墙 | 一、基本要求: 软硬件一体,标准机架式设备,需采用独立的专用硬件,而非通过添加功能模块的方式实现。 二、硬件要求: ★配置冗余双电源,要求千兆电口≥16个、千兆光口≥8个,万兆光口≥2个(万兆接口需要配置BYPASS功能,设备出现故障,不会导致网络中断)。 三、性能要求: 吞吐量≥20Gbps,HTTP吞吐量≥10Gbps,HTTPS吞吐量≥4Gbps,基于HTTP的TCP并发≥300万,每秒事务处理能力(http) ≥25万,配置网站防护站点数量≥1024个。 四、功能要求: 1、部署模式:支持透明桥部署,透明代理部署,端口镜像部署,网关部署,负载均衡部署;在透明部署模式下,防护口不占用IP地址;支持在路由不对称场景下部署。支持AA/AP模式,主主模式下配置支持实时同步、会话实时同步。 2、防护站点:支持默认站点,不需要配置IP和端口,自动防护;HTTP/HTTPS网站自发现,自动发现网络中的http/https网站,包含服务器IP/端口/域名/访问次数等信息;https站点同时配置商密算法+国密算法;(提供产品功能截图并加盖原厂公章)。 3、安全防护:支持slow header和slow body等慢速DDoS攻击防护;支持ARP欺骗攻击防护;支持用户会话跟踪功能,用户攻击事件事后分析,从用户名以及源IP地址等维度对用户行为研究;支持静态网页缓存和篡改监控,在检测到篡改发生时,可以将篡改前的缓存页面返回给用户,提供中国泰尔实验室出具的《web应用防火墙检测证书》加以证明;支持对篡改内容的取证。支持源ip识别(支持通过TCP option字段识别源ip地址); 4、关键字泄露防护功能:可以检测到个人身份信息(包括中国大陆身份证号、港澳台身份证号、美国社会安全号)、银行卡号、信用卡号、电子邮件账号等信息泄露,支持对敏感信息的脱敏操作(替换为指定字符),设备内置大量的关键字,将请求或者响应中的关键字进行脱敏处理(替换为任意指定字符); 5、防御功能:能够识别恶意请求,包含但不限于跨站脚本(XSS)攻击、注入式攻击(包括SQL注入、命令注入、Cookie 注入)、跨站请求伪造等应用攻击行为;能够识别服务端响应内容导致的缺陷,包含但不限于敏感信息泄露、已有的网页后门、错误配置、目录浏览等缺陷;能基于访问行为特征进行分析,能识别防盗链、应用DOS攻击的能力,能识别网站中的网页木马程序,通过策略可防止木马网页被用户访问;内置主流Webshell特征库,对上传内容进行检查,防止恶意Webshell上传; ▲6、具有漏洞扫描及防护功能,所投WAF应具备WEB漏扫功能,并且能够在扫描完成之后,根据扫描结果,新建虚拟补丁策略。提供由CNAS或符合CNAS《能力验证提供者认可准则》要求的第三方检测检验机构出具的检测报告加盖制造商公章的原件扫描件证明; 7、安全运维:支持多级日志聚合(按照威胁类型进行一级聚合后,按照防护规则进行二级聚合);智能日志分析(包括威胁分析和误报分析,可以根据分析结果,对安全策略进行一键优化);系统内置tcpdump、dpdump、页面抓包、httpry等抓包工具,支持通过设备本身自助抓包、分析和导出;系统内置curl、telnet、hping等网络连通性测试工具,可快速协助定位问题;支持大屏展示; ▲8、支持云端联动,移动运维,提供手机APP的监控通告服务,服务内容至少包括:安全资讯、设备监控、告警信息、威胁日志等,支持APP基于域名方式的一键断网,网站跳转到自定义的“维护中页面”,而不是提示”404”错误,可在用户现场演示(提供手机APP的截图证明)。; 9、具备弱口令检测功能,自定义检测强度,并记录使用弱密码的用户名(提供产品功能截图并加盖原厂公章)。 10、具有从TCP Option获取源IP地址(TOA)功能。提供由CNAS或符合CNAS《能力验证提供者认可准则》要求的第三方检测检验机构出具的检测报告加盖制造商公章的原件扫描件证明。 11、IPv6改造方案能够解决天窗问题,不允许通过人工解析配置的方式解决天窗问题;支持网站进行IPv6改造时,页面首页展示IPv6标识。 资质要求: 1、所投产品为自主研发非OEM产品,具备《计算机软件著作权登记证书》。 ★配置资产风险系统一套,实现网络资产的风险管理和暴露面检测,包含以下功能: 1、部署方式支持独立部署、集群部署、分部署部署方案。 2、可以实现全量资产的自动发现,资产的自动识别、完善资产画像,达到资产风险自治理的目标,为安全运营提供资产统一视图,提升资产风险发现和风险处置的效率; 3、支持 syslog、kafka 消息队列、openapi 等方式被动接收第三方数据; 4、提供可视化开发工具和SDK,实现快速开发APP(第三方连接器),主动获取第三方系统数据,在线查询第三方数据; 5、系统支持自定义安全运营指标,比如资产总量、资产类型、风险资产数量、资产治理情况、资产安全防御策略有效性等。 6、支持主动、被动的方式采集信息,通过资产适配引擎完成资产信息的适配、整合,包括新增资产、增加属性、更新属性、删除属性等操作,实现资产发现、资产识别、持续完善资产信息。 7、提供可视化编排模块,将资产治理的过程编排成自动化剧本,比如资产合规治理、资产风险治理、资产威胁治理等,实现资产的自治理、高效治理。 8、支持资产风险画像,可定义资产的属性,即资产模型,不同资产之间的关系,即资产模型关系,资产风险画像包括资产漏洞情况、资产补丁安装情况、硬件配置信息、敏感数据情况等。 9、支持资产唯一性校验、资产模型自定义、资产关系自定义、图展示、资产精准查询和模糊搜索等;资产属性和资产关系动态更新,持续完善资产画像;支持以剧本方式进行风险自动治理。 |
信息科
2023年8月22日
七、项目资金来源
自筹资金。
八、对项目转包、分包要求
1、该项目不允许转包、分包。
2、采购人发现成交人进行转包、分包的,有权单方解除合同,取消成交人实施项目资格。成交人除赔偿损失外,还须向采购人支付项目合同总价款10%的违约金。
九、其他要求
1、合同项目履行过程中的一切风险,均由供应商综合考虑并承担。
2、磋商费用:供应商须自行承担编制与递交响应文件所涉及的一切费用。不管磋商结果如何,采购人对上述费用不承担任何责任。
3、报价有效期:从递交响应文件的截止之日起计算60日历天。
4、磋商过程中可能实质性变动的内容:采购项目采购需求。
十、评分标准
10.1 评分因素以及分值
评分因素 | 商务部分 | 技术部分 | 总分 |
分值比重 | 50分 | 50分 | 100分 |
10.2 商务部分
评分因素 | 分数 | 评分标准 |
报价 | 30分 | 满足采购文件要求且响应价格(或者最终价格)最低的报价为评审基准价,其价格分为满分。 其它报价得分=评审基准价÷(响应报价或者最终价格)×30。 |
企业业绩 | 10分 | 自2020年1月1日至今已完成的同类项目案例,每份案例得2分,最高得10分。 供应商须提供合同复印件加盖公章,否则不得分。 同类项目案例时间以合同签订时间为准。 |
企业认证 | 6分 | 供应商通过ISO9001质量管理体系认证的,得2分; 供应商具有ISO*****信息安全管理体系认证的,得2分。 供应商具有ISO*****信息技术服务管理体系认证的,得2分。 投标时供应商须提供证书复印件加盖公章,否则不得分。 |
产品资质 | 4分 | 1、具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》(国标-增强级)的,得2分。 2、产品具有中国网络安全审查技术与认证中心颁发的《IT产品信息安全认证证书》的,得2分。 须提供证明复印件加盖公章,否则不得分。 |
10.3 技术部分
评分因素 | 分数 | 评分标准 |
响应情况 | 10分 | 基础分为8分。 优于采购文件实质性要求的,每有1条加0.5分,最高加1分;对非实质性要求,每出现1条正偏离,加0.5分,最高加1分。 每出现1条负偏离,扣除基础分2分,出现3条及以上负偏离的,响应情况项不得分。 |
技术方案 | 15分 | 供应商对本项目提出的测试方案先进,措施得力的,优得5-4分,良得3-2分,一般得1分; 供应商针对本项目工作流程合理,衔接得当的,优得5-4分,良得3-2分,一般得1分; 供应商针对本项目组织方案良好,组织措施得力的,优得5-4分,良得3-2分,一般得1分。 |
服务定位 | 5分 | 从服务好业主角度出发对项目的整体统筹规划强、认识深刻、定位合理的,得5-3分;对项目的整体统筹规差、认识不深刻、定位不合理的,得2-1分,未提供者不得分。 |
服务能力 | 10分 | 供应商具有“智能安全运营管理系统”软件著作权或入网许可证提供证明材料并加盖公章,得3分; 供应商具有“资产暴漏面管理系统”软件著作权或入网许可证提供证明材料并加盖公章,得3分; 所投Web应用防火墙设备厂家具备“业务连续性管理体系认证证书”提供证明材料并加盖原厂公章,得2分; 所投Web应用防火墙设备厂家具备“隐私管理体系认证证书”提供证明材料并加盖原厂公章,得2分; |
服务保证 | 5分 | 供应商组织机构及服务质量保证措施、保密措施等能做到机构健全,建立完整的工作台帐、工作信息收集、反馈等客户质量保证措施完善,得5-3分;供应商组织机构及服务质量保证措施、保密措施等能做到机构不健全,建立的工作台帐不完整、工作信息收集、反馈等客户质量保证措施差的,得2-1分,未提供者不得分。 |
人员配备 | 5分 | 供应商提供的专业技术人员的构成、配备科学合理,满足岗位要求并提供优质服务的,得5-3分;专业技术人员的构成、配备基本合理,基本能满足岗位要求并提供服务的,得3-1分;专业技术人员的构成、配备不合理,满足岗位要求未能提供服务的,得1-0分。 |
招标
|
- 关注我们可获得更多采购需求 |
关注 |
山东
山东
山东
山东
山东
山东
最近搜索
无
热门搜索
无