详情见附件(注:以下内容为附件图片识别,个别文字可能不准确,请以附件为准)| 产品名称 | 数量 | 指标项 | 指标要求 | 关键性要求(负偏离视为无效投标) |
| 分布式扫描器 | 2套 | 指标1 | 两套分布式漏扫每套应包含1个管理节点、5个硬件版扫描探针节点、2个软件版扫描探针节点 | ★ |
| | 指标2 | 硬件设备的核心部件(包括但不限于CPU、操作系统)为国产自研,软件需支持国产CPU及操作系统环境部署,提供证明材料,并加盖厂商公章或投标专用章; | ★ |
| | 指标3 | 管理节点及硬件扫描探针节点配置:≥6个千兆电口 | |
| | 指标4 | 单个扫描探针节点性能系统漏扫并发≥50个IP地址web漏扫并发≥50个Web站点扫描并发连接≥1,000 | |
| | 指标5 | 登录认证支持Http基础认证登录、自动识别URL认证登录、Https 证书登录、Cookie 认证登录; | |
| | 指标6 | 系统漏洞扫描:支持针对系统漏洞扫描功能,包含但不限于操作系统、数据库、网络设备、安全设备等。操作系统支持Windows、Linux、麒麟、UOS等主流操作系统等;数据库支持Oracle、Mysql、SQL Server、人大金仓、达梦等;中间件支持:weblogic、tomcat、金蝶、东方通等网络设备支持思科(Cisco)、Juniper、华为(Huawei)、H3C、中兴、迈普等;安全设备支持思科(Cisco)、天融信、网神、华为、山石在内的主流厂商的防火墙等安全设备漏洞扫描; | |
| | 指标7 | 支持对Windows、Linux等系统进行登录扫描 | |
| | 指标8 | 支持扫描参数自定义:支持自定义扫描特定端口;支持自定义扫描并发数、重试次数等 | |
| | 指标9 | web漏扫:Web漏洞扫描需覆盖OWASP重点漏洞及主流开发语言支持Web漏洞检查能力,包括但不限于Sql注入、XSS、CSRF、反序列化、LDAP注入、XPath注入、文件上传、权限绕过、信息泄露等。 | |
| | 指标10 | 支持JS渲染的Web2.0应用,包括JQuery、Ajax、Flash、Applet等Web2.0应用和Vue、React等单页应用; | |
| | 指标1 | 支持对网站进行登录扫描,如通过录制登录过程、保存会话凭据等方式实现对特定站点的登录扫描。 | |
| | 指标12 | 支持针对最大并发连接数、响应超时时间、页面大小限制等Web扫描的参数设置; | |
| | 指标13 | 支持针对弱口令扫描功能,包含不限于MySQL、MongoDB、Redis、MSSQL、PostgreSQL、AMQP、SSH、SNMP、FTP、Telnet、Sybase、Oracle、RTSP、RDP、IMAP、POP3、SMTP、DB2、SMB、VNC、JBoss、WebLogic、Zabbix、phpMyAdmin 等协议 | |
| | 指标14 | 支持自定义用户名字典、密码字典、口令猜测时间、口令猜测次数等; | |
| | 指标15 | 支持物联网漏洞扫描能力,包括且不限于海康威视、宇视、大华摄像头,惠普、爱普生、三星打印机,TP-LINK、D-LINK、NETGEAR路由器等 | |
| | 指标16 | 支持自定义漏洞POC检测插件,包括漏洞名称、漏洞类型、漏洞危害、检测脚本等,用于日常突发漏洞应急。 | |
| | 指标17 | 产品须CNNVD兼容性认证 | |
| | 指标18 | 产品须具备所使用CPU及操作系统的兼容性认证证书,并提供证书复印件 | |
| | 指标19 | 5年原厂维保及特征库升级服务 | ★ |
| Web应用防火墙 | 4台 | 指标1 | WAF1两台WAF2两台为实现异构部署,两者不能为同品牌。 | ★ |
| | 指标2 | ≥256G SSD +4T SATA硬盘≥64G内存≥4*千兆电口≥4*万兆光口(含多模光模块) | ★ |
| | 指标3 | 网络吞吐量≥40Gbps | ★ |
| | 指标4 | 应用层最大吞吐量≥5Gbpshttp最大并发≥150w | |
| | 指标5 | 国产芯片、国产操作系统 | ★ |
| | 指标6 | 标准机架式硬件设备,配置冗余电源、风扇; | |
| | 指标7 | 支持旁路镜像、透明串联和反向代理等部署模式 | |
| | 指标8 | 支持HA模式,支持配置信息同步 | |
| | 指标9 | 支持IPv4/IPv6协议双栈,支持IPv6环境下的检测和防御。 | |
| | 指标10 | 具备成熟的语义识别技术,不依靠规则库起到WEB防护功能。 | |
| | 指标1 | 支持对包括但不限于owasp top 10定义的常见web应用层攻击的防御。 | |
| | 指标12 | 支持自定义基于正则表达式的防护规则。 | |
| | 指标13 | 支持扩展bot动态防御功能 | |
| | 指标14 | 支持多种防护策略,可根据告警威胁等级灵活调整放行和拦截策略。 | |
| | 指标15 | 支持访问IP溯源,能够从Socket、X-Forwarded-For和任意Http头中获取访问源IP。 | |
| | 指标16 | 支持实时防护状态监控,包括但不限于基于IP的实时请求数、攻击数、拦截数统计。 | |
| | 指标17 | 支持基于站点、URL的访问频率限制,支持基于HTTP特征的黑白名单。 | |
| | 指标18 | 支持对防护目标服务器的健康状态进行检测。 | |
| | 指标19 | 支持API接口远程调用,API接口需具备高强度的安全认证机制,防止非法调用。 | |
| | 指标20 | 支持将日志通过syslog发送,并且日志发送格式可自定义; | |
| | 指标21 | 支持配置备份及还原。 | |
| | 指标22 | 5年原厂维保及特征库升级服务 | ★ |
| 流量清洗设备 | 3台 | 指标1 | 流量清洗设备配置1(2台)配置清洗设备2台,串联部署,此外需配置集中管理平台1套,可统一纳管两台清洗设备。标准机架式设备,单台清洗设备支持4路硬件bypass。 | ★ |
| | 指标2 | 流量清洗设备配置2(1台)配置检测设备及清洗设备各1台,独立旁路部署,配置集中管理平台1套。单台配置千兆电口≥4个,万兆光口≥6个(含多模光模块) | ★ |
| | 指标3 | 国产芯片、国产操作系统 | ★ |
| | 指标4 | 清洗能力≥10Gbps | ★ |
| | 指标5 | 最大清洗能力支持扩展到40Gbps | |
| | 指标6 | 配置冗余电源,冗余风扇,均支持热插拔更换 | |
| | 指标7 | 支持逐包检测 | |
| 产品名称 | 数量 | 指标项 | 指标要求 | 关键性要求(负偏离视为无效投标) |
| 网络数据防泄漏系统 | 1台 | 指标1 | 提供标准机架式硬件设备,配置冗余电源;CPU、操作系统等关键组件满足国产化要求;万兆光口≥4个(具备2组bypass)(含对应光模块),千兆电口≥2个; | ★ |
| | 指标2 | 持旁路部署、串行部署;CPU ≥20核,内存≥64G,硬盘≥2TB,设备分析流量≥400M; | ★ |
| | 指标3 | 能够根据关键字、正则表达式、文件类型、文件后缀等文件属性对文档内容进行识别; | |
| | 指标4 | 支持文件头中携带敏感内容检测能力,能够区分大小写、中英文字符、繁体简体; | |
| | 指标5 | 支持使用采集工具离线采集指纹,导入到管理平台进行分析; | |
| | 指标6 | 支持对常见办公文件、压缩文件、代码格式文件等内容识别; | |
| | 指标7 | 具备内嵌OCR识别引擎,能够对图片、文档内嵌图片及压缩包图片OCR内容提取与识别; | |
| | 指标8 | 支持HTTP/HTTPS,SMTP,FTP,IMAP,POP3,SMB,DNS-TCP,DNS-UDP等协议的敏感信息识别与监控且可以通过端口自定义网络协议,并对于自定义协议进行内容识别和检测; | |
| | 指标9 | 支持对于请求/响应的不同内容进行DLP检查,包括POST、PUT、GET、HEAD、DELETE、TRACE、OPTIONS等; | |
| | 指标10 | 支持对RMS加密的文件进行内容获取分析识别,并根据DLP策略实施相应的保护措施; | |
| | 指标11 | 支持对内网络中流动数据包含的文件进行收集,并对文件进行自动分类,通过自动机器学习功能输出数据特征,转换成对应的保护策略; | |
| | 指标12 | 支持根据功能菜单自定义权限角色类型,支持三员(审计、操作、系统)分立,赋予不同账号不同权限角色; | |
| | 指标13 | 提供5年原厂维保升级服务。 | ★ |
| 终端数据防泄漏软件 | 1套 | 指标1 | 平台支持国产化操作系统麒麟X86、ARM部署;客户端支持Windows桌面操作系统、macOS桌面操作系统、Ubuntu 、银河麒麟桌面操作系统、UOS桌面操作系统等主流操作系统常用版本; | ★ |
| | 指标2 | 客户端授权≥200个(不区分操作系统类型) | ★ |
| | 指标3 | 客户端在安装和运行时无需关闭操作系统自身安全防护,包括Windows防火墙和Mac SIP等,即可提供完整功能; | |
| | 指标4 | 支持查看系统在线终端数、失效终端、CPU、内存、磁盘占用、网络占用;支持对全局终端进行一键关闭/启动,或者按能力模块一键关闭/启动; | |
| | 指标5 | 支持非结构化数据内容识别规则,包含关键词组、正则匹配、关键词对的方式,须支持格式识别规则,内置类型包含文本、压缩、办公、图像、工业、源代码、数据库文件等文件; | |
| | 指标6 | 支持嵌套文件类型识别,包括:docx嵌套docx、pptx嵌套docx、xlsx嵌套docx等各种互相嵌套的形式;支持压缩包穿透检测,不少于15层; | |
| | 指标7 | 支持对识别的数据进行分类分级,可自定义; | |
| | 指标8 | 至少支持文档形式数据流转溯源分析,图形化展现外传途径过程,包括但不限于IM通讯、网盘、浏览器、邮件,需承诺后期支持代码类数据流转溯源分析; | |
| | 指标9 | 支持配置一次性和周期性执行资产扫描任务,可全盘扫描、特定目录扫描,也可过滤数据分类、文件大小、文件格式、文件修改时间等;支持机器重启后资产扫描任务断点续扫; | |
| | 指标10 | 支持按照图表/列表方式查看资产发现结果,支持导出资产发现的结果;支持自对Git和SVN的代码上传和下载行为管控,可区分内外部代码仓库,判断Git仓库域名、仓库组名与仓库地址,SVN仓库地址; | |
| | 指标11 | 支持自由检索所有终端的数据资产,图形化展示文件总数、已分类数据量、未分类数据量等; | |
| | 指标12 | 支持管控各类型的常见渠道,包括IM即时通信、浏览器、工具类、办公类、文件共享(SMB、AirDrop)、桌面共享(RDP)、移动存储、蓝牙通道等;须支持自定义渠道,Windows类支持按照进程名添加,macOS按照进程名、BundleID添加,Linux类支持按照进程名添加; | |
| | 指标13 | 具备软件著作权登记证书并提供证书复印件; | |
| | 指标14 | 提供5年原厂维保升级服务。 | ★ |
| 自动化编排工具 | 1套 | 指标1 | 软件形态交付,采用B/S架构,需适配国产CPU、操作系统等环境部署(并提供相关适配证明文件);一次授权永久使用,不存在任何功能及使用上限制;支持集群化部署与分布式部署;支持系统级、服务级扩容和缩容,系统支持物理服务器部署、虚拟机部署、容器环境部署、云环境部署等多种部署方式; | ★ |
| | 指标2 | 支持同时在线处置各类事件的人数≥50人;最大支持的剧本数≥2000个;最大支持的对接设备数≥1000台;最大并发执行剧本数≥100个; | ★ |
| | 指标3 | 提供开箱即用应用组件库≥200个,包括主流安全厂商的防火墙、态势感知、WAF、全流量分析、主机安全等常见安全设备及安全应用工具类等; | |
| | 指标4 | 提供开箱即用的剧本模板≥10个,包括并不限于运行监控类、监测预警类、应急响应类、巡检备份类、安全处置类、分析研判类、信息检索类、统计报告类; | |
| | 指标5 | 支持Kafka、API、Syslog等多种日志接入方式,同时支持与发送端的连通状态测试;支持同时接入多个事件源日志,不限制接入数量;支持对同一日志源接入的日志自定义接入规则来生成不同的事件类型,能够通过自定义去重字段与剧本对重复日志进行自动去重归并; | |
| | 指标6 | 支持以图谱的方式可视化展示事件处置过程中所用到的应用组件、执行动作、执行参数、执行结果、关联关系等信息;系统可提供图形化的代码集成开发工具,开发者可通过配置应用开发模板快速生成主文件代码; | |
| | 指标7 | 支持应用组件上传、删除、资源配置、帮助文档查看以及应用标签分类等管理,能够对设备资源进行健康状态监测; | |
| | 指标8 | 系统提供图形化、零代码、拖拽式的编排工具,所画即所得,能够将业务场景中所用到的日志信息、执行参数、判断规则、人员角色、业务逻辑、业务流程等要素编排为可自动化执行的剧本,快速实现业务场景的自动化流程再造; | |
| | 指标9 | 支持自定义规则对节点中的出参和入参进行条件判断,可根据不同的判断结果输出一条或多条分支;支持在一个剧本中嵌套一个或多个子剧本实现复杂逻辑编排,并且子剧本与主剧本之间能够进行参数传递; | |
| | 指标10 | 支持在流程中设置人员审批操作,审批操作可绑定人员、角色、超时时间以及消息通知等元素,审批链接支持外发以及自定义URL链接中的域名;支持设置时间轮询来控制应用动作的轮询执行间隔、超时时间以及轮询退出规则; | |
| | 指标11 | 支持将剧本执行过程与工单流程相关联,剧本节点中的入参与出参能够传递到表单中应用;支持将单个剧本绑定一个或多个场景与标签,支持基于不同的条件快速检索剧本库,支持对单个剧本的执行情况进行统计分析,支持批量导入/导出剧本配置,支持将剧本图下载为图片,并在下载的剧本图上添加水印; | |
| | 指标12 | 支持对单个设备、多个设备或设备组进行IP地址一键封禁/解封; | |
| | 指标13 | 提供函数代码编辑工具,支持Java与Python语言,开发者可直接在页面上进行函数开发,并能在剧本中调用; | |
| | 指标14 | 支持分类查看已处置、待处置事件的清单与详情等内容,可对于处置记录进行导出;支持基于表单、审批、任务、规则等元素设计工单流程,用户可查看与自己相关工单的流转情况等内容; | |
| | 指标15 | 系统提供URL集合、事件类型集合、关键词集合等模板,支持在剧本编排的规则节点中引用集合数据;支持IPv4和IPv6两种IP集合类型,支持配置IP的业务类型、责任人等属性信息; | |
| | 指标16 | 支持用户自定义字段来映射所提取的日志信息,可设置字段名称、字段描述、字段类型、备注等信息,字段类型至少包括字符串与整形类型; | |
| | 指标17 | 支持将一类复杂安全业务处置逻辑抽象为处置模型,支持将处置过程分解为若干阶段,可在每个处置阶段中添加多个子任务; | |
| | 指标18 | 提供《产品使用手册》、《剧本编排开发手册》《系统API接口使用手册》等,提供原厂技术培训服务,含应用开发、剧本开发、场景设计、产品操作等。 | |
| | 指标19 | 提供专属微信售后技术支持服务群,配备具备丰富应用开发及剧本开发经验的售后技术支持人员,能够及时为用户提供持续性的场景设计、应用开发、剧本编排等方面的技术指导。提供每季度不少于4个工作日的现场技术支持服务,根据甲方需求开现场技术支持工作,并在服务完成后提供现场技术支持服务报告。 | |
| | 指标20 | 提供≥10个指定新剧本开发,≥10个指定新应用对接; | ★ |
| | 指标21 | 具备软件著作权登记证书并提供证书复印件; | |
| | 指标22 | 提供5年原厂维保升级服务。 | ★ |
| 邮件安全设备 | 2台 | 指标1 | 提供标准机架式硬件设备,冗余电源;千兆电口≥2个,万兆光口≥2个(含多模光模块); | ★ |
| | | CPU≥64核,内存≥64G,硬盘≥2TB;CPU、操作系统满足国产化要求; | |
| | 指标2 | 授权用户≥3000人,支持横向扩容授权人数; | ★ |
| | 指标3 | 支持 DoS、实时黑名单库, 地址信誉库、以及连线层流量控制的防护机制,可灵识配置不同的防御处理方式; | |
| | 指标4 | 支持回弹防护,处置动作支持拦截; | |
| | 指标5 | 提供密码的安全策略设置,支持 Web 登录及 SMTP 登录验证锁定,可按照审核规则设置自动解锁帐号,提供帐号的安全性设置; | |
| | 指标6 | 支持针对邮件条目(含发信人,来源IP,或同一主题等),大量发信侦测,可针对异常行为自动阻挡,并可灵活设置阻挡生效时间; | |
| | 指标7 | 支持对邮件发件人会话地址和标头地址的一致性校验; | |
| | 指标8 | 支持基于规则自动生成发件人黑名单,支持手动添加发件人黑名单; | |
| | 指标9 | 设备支持杀毒引擎对已知病毒进行检测,支持通过API调度沙箱技术分析未知威胁的可疑附件,支持第三方及自定义规则侦测恶意附件; | |
| | 指标10 | 支持密码保护附件解压检测,能够自定义预设的解压密码集合、提取邮件正文可能的解压密码、支持提取图片中的解压密码; | |
| | 指标11 | 支持邮件恶意URL防护,能够提取嵌入在office以及PDF文档附件中的URL,提取嵌入邮件正文中的URL,针对恶意URL可置换为无效链接; | |
| | 指标12 | 支持附件OCR识别,能够识别邮件内图片上的URL,对二维码图片进行URL信誉识别,对附件内容、以及可识别正文或附件包含二维码的图片开启拦截; | |
| | 指标13 | 支持内嵌沙盒技术,仿真产出静态特征,拦截恶意附件、APT攻击工具、含有文件漏洞的攻击附件等攻击手法的威胁邮件; | |
| | 指标14 | 提供5年原厂维保升级服务。 | ★ |
| | 指标4 | 支持SM1/2/3/4国密算法整机性能指标不低于以下:SM2密钥产生速率≥40对/秒SM2签名速率≥50对/秒SM2验签速率≥30对/秒 | ★ |
| | 指标5 | 5年设备原厂维保及相应升级服务 | ★ |
| API安全网关 | 1台 | 指标1 | 标准机架式硬件设备,配置冗余电源;CPU、操作系统满足国产化要求;万兆光口≥2个(含对应多模光模块),千兆电口≥2个;内存≥128G,CPU≥32核心; | ★ |
| | 指标2 | 支持旁路、串行部署方式;网络流量吞吐≥6Gbps;http吞出≥2Gbps; | ★ |
| | 指标3 | 具备站点资产自动梳理能力,支持对API接口安全性打分; | |
| | 指标4 | 支持对API资产访问的通信协议、路径、请求方式、请求参数、响应参数等进行整理,对API资产进行用户可视化展现,自动化对站点进行分类;具备restful、soap、WebSocket、GraphQL、Webhooks等API协议资产的自动化梳理能力; | |
| | 指标5 | 支持批量对API资产进行移动、删除、忽略等操作,支持对API资产进行上线、下线操作; | |
| | 指标6 | 支持旁路分析请求是否为bots行为; | |
| | 指标7 | 支持对梳理出的API构建行为基线,对异常情况进行告警; | |
| | 指标8 | 支持根据用户应用实际业务场景,自定义异常API调用访问模型,进行分析呈现; | |
| | 指标9 | 具备API敏感信息检测能力,支持自定义敏感内容; | |
| | 指标10 | 具备检测API缺陷能力,支持缺陷修复状态的自动验证; | |
| | 指标11 | 5年设备原厂维保及相应升级服务 | ★ |
| 防火墙 | 4台 | 指标1 | 10GE工作光口≥6个(含对应多模光模块);GE工作光口≥4个(含对应多模光模块);GE工作电口≥4个;管理接口:1个CON口; | ★ |
| | 指标2 | 设备的核心部件(包括但不限于CPU)为国产自研,提供证明材料,并加盖厂商公章或投标专用章; | ★ |
| | 指标3 | 机架式硬件设备,配置冗余电源、风扇; | |
| | 指标4 | 每秒新建连接数≥15万;最大并发连接数≥1000万;防火墙最大吞吐量≥20G; | ★ |
| | 指标5 | 支持防病毒、IPS功能 | |
| | 指标6 | 支持路由模式和透明模式部署; | |
| | 指标7 | 支持对源、目的地址,源、目的端口,协议,用户,时间的精细粒度访问控制策略的配置;支持安全策略的命中数统计、会话匹配记录; | |
| | 指标8 | 能够基于时间、应用层协议、IP地址、端口、域名组、URL分类、内容安全进行安全策略配置; | |
| | 指标9 | 支持基于应用识别的访问控制,支持应用可视;支持自定义应用; | |
| | 指标10 | 支持ISP路由,支持智能选路,支持远端链路状态监测;支持远端链路检测,支持链路检测的联动机制,可实现双机快速切换; | |
| | 指标11 | 支持IPv6协议栈、IPV6穿越技术、IPV6路由协议; 支持NAT66,NAT64,6RD隧道; | |
| | 指标12 | 支持IPv6安全控制策略设置,能针对IPv6的目的/源地址、目的/源服务端口、区域、服务、时间等条件进行安全访问规则的设置; | |
| | 指标13 | 支持多种NAT地址转换,支持源/目的NAT、双向NAT等转换方式; | |
| | 指标14 | 支持实时流量统计和分析功能; | |
| | 指标15 | 支持安全事件统计功能; | |
| | 指标16 | 支持静态、策略路由、RIP、OSPF、BGP、ISIS等动态路由协议; | |
| | 指标17 | 支持双活负载分担;支持双机热备; | |
| | 指标18 | 支持HA的配置同步,支持会话同步; | |
| | 指标19 | 主备切换时间≤3秒,保持TCP会话连接不中断; | |
| | 指标20 | 支持策略命中、应用流量、用户流量、上网行为、威胁统计等报表,支持报表自定义; | |
| | 指标21 | 支持日志本地存储,支持管理日志、系统日志、连接日志等日志类型存储; | |
| | 指标22 | 支持日志外发至多个SYSLOG服务器; | |
| | 指标23 | 易于安装和管理,提供命令行和图形化用户接口; | |
| | 指标24 | 支持SNMP V2c/3监视和配置; | |
| | 指标25 | 支持SSH/HTTPS等远程管理方式; | |
| | 指标26 | 支持Syslog日志输出协议; | |
| | 指标27 | 支持用户多种认证方式,包括本地认证、radius认证、LDAP等; | |
| | 指标28 | 支持netflow; | |
| | 指标29 | 开放RESTCONF,NETCONF等北向接口,可对接第三方的管理平台; | |
| | 指标30 | 投标产品须具有自主知识产权,提供有效证书的复印件并加盖厂商授权章; | |
| | 指标31 | 具有中国网络安全审查与技术认证中心颁发的《中国国家信息安全产品认证证书》(万兆),提供证书复印件; | |
| | 指标32 | 5年设备原厂维保及相应升级服务 | ★ |
郑州商品交易所2024年网络安全产品采购项目技术参数公示
(招标编号:WXZB2024-1284)
项目所在地区:河南省,郑州市
一、招标条件
本郑州商品交易所2024年网络安全产品采购项目已由项目审批/核准/备案机关
批准,项目资金来源为其他资金0,招标人为郑州商品交易所。本项目已具备招
标条件,现招标方式为公开招标。
二、项目概况和招标范围
规模:郑州商品交易所2024年网络安全产品采购项目
范围:本招标项目划分为1个标段,本次招标为其中的:
(001)郑州商品交易所2024年网络安全产品采购项目;
三、投标人资格要求
(001郑州商品交易所2024年网络安全产品采购项目)的投标人资格能力要求:/;
本项目不允许联合体投标。
四、招标文件的获取
获取时间:从2024年08月29日 09时00分到2024年09月02日 17时30分
获取方式:所有意见和建议应在公示期内以电子邮件形式发送至45144662@
qq.com,附加盖单位印章的扫描件和word电子版,逾期不予受理。
五、投标文件的递交
递交截止时间:2024年09月27日 09时00分
递交方式:详见本项目招标公告纸质文件递交
六、开标时间及地点
开标时间:2024年09月27日 09时00分
开标地点:详见本项目招标公告
七、其他
各潜在投标人:
河南省伟信招标管理咨询有限公司受郑州商品交易所的委托,就郑州商品交易
所2024年网络安全产品采购项目进行公开招标,现将郑州商品交易所2024年网
络安全产品采购项目技术参数进行网上公示,请各潜在投标人对技术参数是否
存在倾向性、歧视性、排他性、唯一性等内容提出意见和建议。
公示期限:2024年8月29日09时00分至2024年9月2日17时30分
所有意见和建议应在公示期内以电子邮件形式发送至45144662@qq.com,附加盖
单位印章的扫描件和word电子版,逾期不予受理。
本技术参数公示同时在《河南省电子招标投标公共服务平台》、《中国招标投
标公共服务平台》发布。
八、监督部门
本招标项目的监督部门为/。
九、联系方式
招 标 人:郑州商品交易所
地 址:河南省郑州市金水区商务外环路30号
联 系 人:张老师
电 话:0371-65612532
电子邮件:/
招标代理机构:河南省伟信招标管理咨询有限公司
地 址:
郑州市郑东新区东风南路与创业路交汇处西南角绿地中心双子塔北塔16楼
联 系 人: 陈先生
电 话: 0371-65837988
电子邮件: /
招标人或其招标代理机构主要负责人(项目负责人): (签名)
招标人或其招标代理机构: (盖章)
第五章 技术标准和要求
2.技术要求
(1)货物需求及技术要求,投标人所投配置、性能和质量应满足下列技术指
标要求。
(2)技术参数指标中的标“★”为关键性参数指标,每有一项不满足视为无效
投标。
2.1标段一具体要求如下:
产品名称
数量 指标项
指标要求
指标1
两套分布式漏扫
每套应包含1个管理节点、5个硬件版扫描探针节点、2个软件版扫描探针节点
指标2 硬件设备的核心部件(包括但不限于CPU、操作系统)为国产自研,软件需支持国产CPU及操作系统环境部署,提供证明材料,并加盖厂商公章或投标专用章;
关键性要求
(负偏离视为无效投标)
★
★
指标3
管理节点及硬件扫描探针节点配置:
≥6个千兆电口
指标4
单个扫描探针节点性能
系统漏扫并发≥50个IP地址
web漏扫并发≥50个Web站点
扫描并发连接≥1,000
分布式扫描器 2套
指标5 登录认证支持Http基础认证登录、自动识别URL认证登录、Https 证书登录、Cookie 认证登录;
指标6
系统漏洞扫描:
支持针对系统漏洞扫描功能,包含但不限于操作系统、数据库、网络设备、安全设备等。
操作系统支持Windows、Linux、麒麟、UOS等主流操作系统等;
数据库支持Oracle、Mysql、SQL Server、人大金仓、达梦等;
中间件支持:weblogic、tomcat、金蝶、东方通等
网络设备支持思科(Cisco)、Juniper、华为(Huawei)、H3C、中兴、迈普等;
安全设备支持思科(Cisco)、天融信、网神、华为、山石在内的主流厂商的防火墙等安全设备漏洞扫描;
指标7 支持对Windows、Linux等系统进行登录扫描
指标8
支持扫描参数自定义:
支持自定义扫描特定端口;
支持自定义扫描并发数、重试次数等
web漏扫:
指标9
Web漏洞扫描需覆盖OWASP重点漏洞及主流开发语言
支持Web漏洞检查能力,包括但不限于Sql注入、XSS、CSRF、反序列化、LDAP注入、XPath注入、文件上传、权限绕过、信息泄露等。
指标10 支持JS渲染的Web2.0应用,包括JQuery、Ajax、Flash、Applet等Web2.0应用和Vue、React等单页应用;
指标11 支持对网站进行登录扫描,如通过录制登录过程、保存会话凭据等方式实现对特定站点的登录扫描。
指标12 支持针对最大并发连接数、响应超时时间、页面大小限制等Web扫描的参数设置;
指标13
支持针对弱口令扫描功能,包含不限于MySQL、MongoDB、Redis、MSSQL、PostgreSQL、AMQP、SSH、SNMP、FTP、Telnet
、Sybase、Oracle、RTSP、RDP、IMAP、POP3、SMTP、DB2、SMB、VNC、JBoss、WebLogic、Zabbix、phpMyAdmin 等协议
指标14 支持自定义用户名字典、密码字典、口令猜测时间、口令猜测次数等;
指标15 支持物联网漏洞扫描能力,包括且不限于海康威视、宇视、大华摄像头,惠普、爱普生、三星打印机,TP-LINK、D-LINK、NETGEAR路由器等
指标16 支持自定义漏洞POC检测插件,包括漏洞名称、漏洞类型、漏洞危害、检测脚本等,用于日常突发漏洞应急。
指标17 产品须CNNVD兼容性认证
指标18 产品须具备所使用CPU及操作系统的兼容性认证证书,并提供证书复印件
指标19
5年原厂维保及特征库升级服务
指标1
WAF1两台
WAF2两台
为实现异构部署,两者不能为同品牌。
≥256G SSD +4T SATA硬盘
指标2
≥64G内存
≥4*千兆电口
≥4*万兆光口(含多模光模块)
指标3 网络吞吐量≥40Gbps
指标4
应用层最大吞吐量≥5Gbps
http最大并发≥150w
Web应用防火墙 4台
指标5 国产芯片、国产操作系统
指标6 标准机架式硬件设备,配置冗余电源、风扇;
指标7 支持旁路镜像、透明串联和反向代理等部署模式
支持HA模式,支持配置信息同步
支持IPv4/IPv6协议双栈,支持IPv6环境下的检测和防御。
指标8
指标9
指标10 具备成熟的语义识别技术,不依靠规则库起到WEB防护功能。
★
★
★
★
★
指标11 支持对包括但不限于owasp top 10定义的常见web应用层攻击的防御。
指标12 支持自定义基于正则表达式的防护规则。
指标13 支持扩展bot动态防御功能
指标14 支持多种防护策略,可根据告警威胁等级灵活调整放行和拦截策略。
指标15 支持访问IP溯源,能够从Socket、X-Forwarded-For和任意Http头中获取访问源IP。
指标16 支持实时防护状态监控,包括但不限于基于IP的实时请求数、攻击数、拦截数统计。
指标17 支持基于站点、URL的访问频率限制,支持基于HTTP特征的黑白名单。
指标18 支持对防护目标服务器的健康状态进行检测。
指标19 支持API接口远程调用,API接口需具备高强度的安全认证机制,防止非法调用。
指标20 支持将日志通过syslog发送,并且日志发送格式可自定义;
指标21 支持配置备份及还原。
指标22
5年原厂维保及特征库升级服务
指标1
指标2
流量清洗设备配置1(2台)
配置清洗设备2台,串联部署,此外需配置集中管理平台1套,可统一纳管两台清洗设备。
标准机架式设备,单台清洗设备支持4路硬件bypass。
流量清洗设备配置2(1台)
配置检测设备及清洗设备各1台,独立旁路部署,配置集中管理平台1套。
单台配置千兆电口≥4个,万兆光口≥6个(含多模光模块)
指标3 国产芯片、国产操作系统
流量清洗设备 3台
指标4 清洗能力≥10Gbps
指标5 最大清洗能力支持扩展到40Gbps
指标6 配置冗余电源,冗余风扇,均支持热插拔更换
指标7 支持逐包检测
★
★
★
★
★
指标8 支持透明模式接入串联部署
指标9
支持对SYN Flood、SYN-ACK Flood、ACK Flood、FIN Flood、RST Flood、TCP Malformed、TCP链接耗尽、TCP Fragment Flood、UDP Flood、UDP Fragment
Flood、ICMP Flood等常见网络层泛洪攻击识别及防御,支持各类TCP反射、UDP反射攻击的识别和阻断。
指标10
支持HTTP应用层Flood/HTTP CC识别及防御,支持HTTPS应用层Flood/HTTPS CC识别及防御,支持DNS Query
Flood识别及防御。支持基于行为分析防御针对WEB、APP的HTTP CC/大资源高频请求攻击。
指标11 支持IPV4/IPV6共栈防御,既配置防护目标时,IP地址可以同时配置统一防御目标的IPV4和IPV6地址。
指标12 支持通过集中的管理平台实现多台防御设备集中管理、性能监控,支持基于业务划分防护对象,定义防御策略,提供精细化防护
指标13
5年原厂维保
★
产品名称
数量 指标项
指标要求
2.2标段二具体要求如下:
提供标准机架式硬件设备,配置冗余电源;
指标1
CPU、操作系统等关键组件满足国产化要求;
万兆光口≥4个(具备2组bypass)(含对应光模块),千兆电口≥2个;
指标2
持旁路部署、串行部署;
CPU ≥20核,内存≥64G,硬盘≥2TB,设备分析流量≥400M;
指标3 能够根据关键字、正则表达式、文件类型、文件后缀等文件属性对文档内容进行识别;
指标4 支持文件头中携带敏感内容检测能力,能够区分大小写、中英文字符、繁体简体;
指标5 支持使用采集工具离线采集指纹,导入到管理平台进行分析;
网络数据防泄漏系统 1台
指标6 支持对常见办公文件、压缩文件、代码格式文件等内容识别;
指标7 具备内嵌OCR识别引擎,能够对图片、文档内嵌图片及压缩包图片OCR内容提取与识别;
指标8 支持HTTP/HTTPS,SMTP,FTP,IMAP,POP3,SMB,DNS-TCP,DNS-UDP等协议的敏感信息识别与监控且可以通过端口自定义网络协议,并对于自定义协议进行内容识别和检测;
指标9 支持对于请求/响应的不同内容进行DLP检查,包括POST、PUT、GET、HEAD、DELETE、TRACE、OPTIONS等;
指标10
支持对RMS加密的文件进行内容获取分析识别,并根据DLP策略实施相应的保护措施;
指标11 支持对内网络中流动数据包含的文件进行收集,并对文件进行自动分类,通过自动机器学习功能输出数据特征,转换成对应的保护策略;
关键性要求
(负偏离视为无效投标)
★
★
指标12 支持根据功能菜单自定义权限角色类型,支持三员(审计、操作、系统)分立,赋予不同账号不同权限角色;
指标13 提供5年原厂维保升级服务。
指标2 客户端授权≥200个(不区分操作系统类型)
指标1
平台支持国产化操作系统麒麟X86、ARM部署;
客户端支持Windows桌面操作系统、macOS桌面操作系统、Ubuntu 、银河麒麟桌面操作系统、UOS桌面操作系统等主流操作系统常用版本;
指标3 客户端在安装和运行时无需关闭操作系统自身安全防护,包括Windows防火墙和Mac SIP等,即可提供完整功能;
指标4
指标5
指标6
支持查看系统在线终端数、失效终端、CPU、内存、磁盘占用、网络占用;
支持对全局终端进行一键关闭/启动,或者按能力模块一键关闭/启动;
支持非结构化数据内容识别规则,包含关键词组、正则匹配、关键词对的方式,
须支持格式识别规则,内置类型包含文本、压缩、办公、图像、工业、源代码、数据库文件等文件;
支持嵌套文件类型识别,包括:docx嵌套docx、pptx嵌套docx、xlsx嵌套docx等各种互相嵌套的形式;
支持压缩包穿透检测,不少于15层;
终端数据防泄漏软件 1套
指标7 支持对识别的数据进行分类分级,可自定义;
指标8 至少支持文档形式数据流转溯源分析,图形化展现外传途径过程,包括但不限于IM通讯、网盘、浏览器、邮件,需承诺后期支持代码类数据流转溯源分析;
支持配置一次性和周期性执行资产扫描任务,可全盘扫描、特定目录扫描,也可过滤数据分类、文件大小、文件格式、文件修改时间等;
指标9
支持机器重启后资产扫描任务断点续扫;
指标10
支持按照图表/列表方式查看资产发现结果,支持导出资产发现的结果;
支持自对Git和SVN的代码上传和下载行为管控,可区分内外部代码仓库,判断Git仓库域名、仓库组名与仓库地址,SVN仓库地址;
指标11 支持自由检索所有终端的数据资产,图形化展示文件总数、已分类数据量、未分类数据量等;
指标12
支持管控各类型的常见渠道,包括IM即时通信、浏览器、工具类、办公类、文件共享(SMB、AirDrop)、桌面共享(RDP)、移动存储、蓝牙通道等;
须支持自定义渠道,Windows类支持按照进程名添加,macOS按照进程名、BundleID添加,Linux类支持按照进程名添加;
指标13 具备软件著作权登记证书并提供证书复印件;
指标14 提供5年原厂维保升级服务。
软件形态交付,采用B/S架构,需适配国产CPU、操作系统等环境部署(并提供相关适配证明文件);
一次授权永久使用,不存在任何功能及使用上限制;
支持系统级、服务级扩容和缩容,系统支持物理服务器部署、虚拟机部署、容器环境部署、云环境部署等多种部署方式;
自动化编排工具
1套
指标1
指标2
支持集群化部署与分布式部署;
支持同时在线处置各类事件的人数≥50人;
最大支持的剧本数≥2000个;
最大支持的对接设备数≥1000台;
最大并发执行剧本数≥100个;
指标3 提供开箱即用应用组件库≥200个,包括主流安全厂商的防火墙、态势感知、WAF、全流量分析、主机安全等常见安全设备及安全应用工具类等;
★
★
★
★
★
★
指标4 提供开箱即用的剧本模板≥100个,包括并不限于运行监控类、监测预警类、应急响应类、巡检备份类、安全处置类、分析研判类、信息检索类、统计报告类;
指标5
指标6
支持Kafka、API、Syslog等多种日志接入方式,同时支持与发送端的连通状态测试;
支持同时接入多个事件源日志,不限制接入数量;
支持对同一日志源接入的日志自定义接入规则来生成不同的事件类型,能够通过自定义去重字段与剧本对重复日志进行自动去重归并;
支持以图谱的方式可视化展示事件处置过程中所用到的应用组件、执行动作、执行参数、执行结果、关联关系等信息;
系统可提供图形化的代码集成开发工具,开发者可通过配置应用开发模板快速生成主文件代码;
指标7 支持应用组件上传、删除、资源配置、帮助文档查看以及应用标签分类等管理,能够对设备资源进行健康状态监测;
指标8 系统提供图形化、零代码、拖拽式的编排工具,所画即所得,能够将业务场景中所用到的日志信息、执行参数、判断规则、人员角色、业务逻辑、业务流程等要素编排为可自动化执行的剧本,快速实现业务场景的自动化流程再造;
指标9
支持自定义规则对节点中的出参和入参进行条件判断,可根据不同的判断结果输出一条或多条分支;
支持在一个剧本中嵌套一个或多个子剧本实现复杂逻辑编排,并且子剧本与主剧本之间能够进行参数传递;
指标10
支持在流程中设置人员审批操作,审批操作可绑定人员、角色、超时时间以及消息通知等元素,审批链接支持外发以及自定义URL链接中的域名;
支持设置时间轮询来控制应用动作的轮询执行间隔、超时时间以及轮询退出规则;
指标11
支持将剧本执行过程与工单流程相关联,剧本节点中的入参与出参能够传递到表单中应用;
支持将单个剧本绑定一个或多个场景与标签,支持基于不同的条件快速检索剧本库,支持对单个剧本的执行情况进行统计分析,支持批量导入/导出剧本配置,支持将剧本图下载为图片,并在下载的剧本图上添加水印;
指标12 支持对单个设备、多个设备或设备组进行IP地址一键封禁/解封;
指标13 提供函数代码编辑工具,支持Java与Python语言,开发者可直接在页面上进行函数开发,并能在剧本中调用;
指标14
支持分类查看已处置、待处置事件的清单与详情等内容,可对于处置记录进行导出;
支持基于表单、审批、任务、规则等元素设计工单流程,用户可查看与自己相关工单的流转情况等内容;
指标15
系统提供URL集合、事件类型集合、关键词集合等模板,支持在剧本编排的规则节点中引用集合数据;
支持IPv4和IPv6两种IP集合类型,支持配置IP的业务类型、责任人等属性信息;
指标16 支持用户自定义字段来映射所提取的日志信息,可设置字段名称、字段描述、字段类型、备注等信息,字段类型至少包括字符串与整形类型;
指标17 支持将一类复杂安全业务处置逻辑抽象为处置模型,支持将处置过程分解为若干阶段,可在每个处置阶段中添加多个子任务;
指标18 提供《产品使用手册》、《剧本编排开发手册》《系统API接口使用手册》等,提供原厂技术培训服务,含应用开发、剧本开发、场景设计、产品操作等。
指标19
提供专属微信售后技术支持服务群,配备具备丰富应用开发及剧本开发经验的售后技术支持人员,能够及时为用户提供持续性的场景设计、应用开发、剧本编排等方面的技术指导。
提供每季度不少于4个工作日的现场技术支持服务,根据甲方需求开现场技术支持工作,并在服务完成后提供现场技术支持服务报告。
指标20 提供≥10个指定新剧本开发,≥10个指定新应用对接;
指标21 具备软件著作权登记证书并提供证书复印件;
指标22 提供5年原厂维保升级服务。
邮件安全设备
2台 指标1
提供标准机架式硬件设备,冗余电源;
千兆电口≥2个,万兆光口≥2个(含多模光模块);
★
★
★
CPU≥64核,内存≥64G,硬盘≥2TB;
CPU、操作系统满足国产化要求;
指标2 授权用户≥3000人,支持横向扩容授权人数;
指标3 支持 DoS、实时黑名单库, 地址信誉库、以及连线层流量控制的防护机制,可灵识配置不同的防御处理方式;
指标4 支持回弹防护,处置动作支持拦截;
指标5 提供密码的安全策略设置,支持 Web 登录及 SMTP 登录验证锁定,可按照审核规则设置自动解锁帐号,提供帐号的安全性设置;
指标6 支持针对邮件条目(含发信人,来源IP,或同一主题等),大量发信侦测,可针对异常行为自动阻挡,并可灵活设置阻挡生效时间;
指标7 支持对邮件发件人会话地址和标头地址的一致性校验;
指标8 支持基于规则自动生成发件人黑名单,支持手动添加发件人黑名单;
指标9 设备支持杀毒引擎对已知病毒进行检测,支持通过API调度沙箱技术分析未知威胁的可疑附件,支持第三方及自定义规则侦测恶意附件;
指标10 支持密码保护附件解压检测,能够自定义预设的解压密码集合、提取邮件正文可能的解压密码、支持提取图片中的解压密码;
指标11 支持邮件恶意URL防护,能够提取嵌入在office以及PDF文档附件中的URL,提取嵌入邮件正文中的URL,针对恶意URL可置换为无效链接;
指标12 支持附件OCR识别,能够识别邮件内图片上的URL,对二维码图片进行URL信誉识别,对附件内容、以及可识别正文或附件包含二维码的图片开启拦截;
指标13 支持内嵌沙盒技术,仿真产出静态特征,拦截恶意附件、APT攻击工具、含有文件漏洞的攻击附件等攻击手法的威胁邮件;
指标14 提供5年原厂维保升级服务。
2.3标段三具体要求如下:
产品名称
数量 指标项
指标要求
指标1 至少支持1:8虚拟化能力,即1台物理密码机至少可虚拟生成8台虚拟密码机。
云服务器密码机 2台
指标2
各虚拟密码机安全隔离;
各虚拟密码机密钥安全隔离。
指标3 支持与阿里云飞天专有云平台的适配对接,提供适配证明。
关键性要求
(负偏离视为无效投标)
★
★
★
★
指标4
指标1
指标2
支持SM1/2/3/4国密算法
整机性能指标不低于以下:
SM2密钥产生速率≥40000对/秒
SM2签名速率≥50000对/秒
SM2验签速率≥30000对/秒
指标5
5年设备原厂维保及相应升级服务
标准机架式硬件设备,配置冗余电源;
CPU、操作系统满足国产化要求;
万兆光口≥2个(含对应多模光模块),千兆电口≥2个;
内存≥128G,CPU≥32核心;
支持旁路、串行部署方式;
网络流量吞吐≥6Gbps;
http吞出≥2Gbps;
指标3 具备站点资产自动梳理能力,支持对API接口安全性打分;
指标4
支持对API资产访问的通信协议、路径、请求方式、请求参数、响应参数等进行整理,对API资产进行用户可视化展现,自动化对站点进行分类;
具备restful、soap、WebSocket、GraphQL、Webhooks等API协议资产的自动化梳理能力;
指标5 支持批量对API资产进行移动、删除、忽略等操作,支持对API资产进行上线、下线操作;
API安全网关
1台
指标6 支持旁路分析请求是否为bots行为;
指标7 支持对梳理出的API构建行为基线,对异常情况进行告警;
指标8 支持根据用户应用实际业务场景,自定义异常API调用访问模型,进行分析呈现;
指标9 具备API敏感信息检测能力,支持自定义敏感内容;
指标10 具备检测API缺陷能力,支持缺陷修复状态的自动验证;
指标11
5年设备原厂维保及相应升级服务
指标1
10GE工作光口≥6个(含对应多模光模块);
GE工作光口≥4个(含对应多模光模块);
GE工作电口≥4个;
管理接口:1个CON口;
防火墙
4台
指标2 设备的核心部件(包括但不限于CPU)为国产自研,提供证明材料,并加盖厂商公章或投标专用章;
指标3 机架式硬件设备,配置冗余电源、风扇;
指标4
每秒新建连接数≥15万;
最大并发连接数≥1000万;
防火墙最大吞吐量≥20G;
★
★
★
★
★
★
★
★
指标5 支持防病毒、IPS功能
指标6 支持路由模式和透明模式部署;
指标7 支持对源、目的地址,源、目的端口,协议,用户,时间的精细粒度访问控制策略的配置;支持安全策略的命中数统计、会话匹配记录;
指标8 能够基于时间、应用层协议、IP地址、端口、域名组、URL分类、内容安全进行安全策略配置;
指标9 支持基于应用识别的访问控制,支持应用可视;支持自定义应用;
指标10 支持ISP路由,支持智能选路,支持远端链路状态监测;支持远端链路检测,支持链路检测的联动机制,可实现双机快速切换;
指标11 支持IPv6协议栈、IPV6穿越技术、IPV6路由协议; 支持NAT66,NAT64,6RD隧道;
指标12 支持IPv6安全控制策略设置,能针对IPv6的目的/源地址、目的/源服务端口、区域、服务、时间等条件进行安全访问规则的设置;
指标13 支持多种NAT地址转换,支持源/目的NAT、双向NAT等转换方式;
指标14 支持实时流量统计和分析功能;
指标15 支持安全事件统计功能;
指标16 支持静态、策略路由、RIP、OSPF、BGP、ISIS等动态路由协议;
指标17 支持双活负载分担;支持双机热备;
指标18 支持HA的配置同步,支持会话同步;
指标19 主备切换时间≤3秒,保持TCP会话连接不中断;
指标20 支持策略命中、应用流量、用户流量、上网行为、威胁统计等报表,支持报表自定义;
指标21 支持日志本地存储,支持管理日志、系统日志、连接日志等日志类型存储;
指标22 支持日志外发至多个SYSLOG服务器;
指标23 易于安装和管理,提供命令行和图形化用户接口;
指标24 支持SNMP V2c/3监视和配置;
指标25 支持SSH/HTTPS等远程管理方式;
指标26 支持Syslog日志输出协议;
指标27 支持用户多种认证方式,包括本地认证、radius认证、LDAP等;
指标28 支持netflow;
指标29 开放RESTCONF,NETCONF等北向接口,可对接第三方的管理平台;
指标30 投标产品须具有自主知识产权,提供有效证书的复印件并加盖厂商授权章;
指标31 具有中国网络安全审查与技术认证中心颁发的《中国国家信息安全产品认证证书》(万兆),提供证书复印件;
指标32
5年设备原厂维保及相应升级服务
★
联系人:郝工
电话:
010-68960698 邮箱:1049263697@qq.com
