采购公告标题： 温江区就业服务管理局网络安全设备采购公告
采购项目名称： 温江区就业服务管理局网络安全设备采购公告
预审公告： 无 采购方式： 询价采购
招标编号： WJCG［2009］135 公告日期： 2009年7月3日15时39分
行政区划： 成都市－温江区 采购包个数： 1个
采 购 人： 更正公告： 无
委托招标单位/
采购中介机构名称： 中介机构编码：
包号：1 类别：货物 采购单位：温江区就业服务管理局
包的描述： 网络安全设备，详见附件。
该包技术指标：

报价人资格要求： 供应商资格要求：符合《政府采购法》第二十二条规定，并能满足上门服务和具备品牌特约经销商资格。未在我中心登记备案的供应商需在报价时提供资质证明材料（营业执照、国地税务登记证、机构代码证、品牌授权书）原件到我中心审核，留复印件加盖公章。

报价截止日期： 2009年7月8日15时0分

联系人/联系方式： 成都市温江区政府采购中心
地 址：温江区柳城大道99号五楼
联 系 人：冯先生、陈先生
联系电话：***-********
报价传真：***-********
成都市温江区就业服务管理局
联系人：刘引
联系电话：********
标书内容：

温江区政府采购询价通知书

各供应商：
温江区政府采购中心受采购人的委托，拟对网络安全设备采购项目采用询价采购方式进行采购，现邀请合格供应商参加投标。
一、采购清单及报价单格式（详附件）。
二、报价文件递交时间：2009年7月8日14:30-15:00时密封递交到温江区政府采购中心综合采购科（逾期恕不接受）。
三、供应商资格要求：符合《政府采购法》第二十二条规定，并能满足上门服务和具备经销商资格。
四、评定成交供应商标准：采用最低评标价法，即在符合采购需求、质量和服务相等的前提下，以提出最低报价的供应商作为成交供应商。
五、投标保证金
1、供应商在开标前以现金形式交纳投标保证金￥5000元（现金用信封密封，所有密封处加盖公章并注明金额、项目名称和公司名称）；未交纳保证金的投标被视为无效投标；招标工作结束后，未中标人的保证金当场退还；中标人的投标保证金自动全额转为履约保证金，于项目验收合格后无息退还；如因中标人原因造成项目不能按时完工或质量不合格等引起验收不合格，将按合同要求比例收取违约金，并首先从履约保证金中扣除，超出部分从货款中扣除。
2、投标保证金的没收：供应商有下列情形者，将视其行为恶劣程度或造成的不良影响没收投标保证金；情节严重的，由财政部门将其列入不良行为记录名单，在一至三年内禁止参加政府采购活动，并予以通报：（1）中标后无正当理由不与采购单位或采购中心签订合同；（2）将中标项目转让给他人，或者在投标文件中未说明，且未经采购中心同意，将中标项目分包给他人；（3）拒绝履行合同义务；（4）其它违法违规行为。
六、相关事项
1、请报价人注明所供货物详细规格配置，并按标准配置报价，一个分包中的项目必须全部填报（请列明配置清单包括赠品，若有不含在报价内的选配件请详细注明）。该报价必须是最终成交价，报价书提交后，不得更改。货物的总价应包括税金、运输、安装、调试、培训、技术服务、必不可少的部件、配件等所有费用。
2、货物安装及售后服务：提供的货物应是全新、未使用过的原装合格正品，并保证所提供货物开箱合格率为100%，外观和内在质量都不得有任何问题；质保期限如果没有明确要求的应不低于原厂家的承诺，产品应至少提供1年以上的免费质保期，终身维修服务，若能提供其他更优质的服务，可在服务承诺中自行提供，该承诺将做为确定成交的参考依据。报价单位方所承诺的所有事项及内容即成为双方签订合同的组成部分，不得以任何理由对其承诺进行更改或者另外提出附加条件，报价书和合同具有同等法律效力。
3、交货地点：温江区。
4、交 货 期：合同签定后七天内必须供货（特别注明除外）。
5、付款方式：验收合格后七个工作日转帐支付。

温江区政府采购中心
二00九年七月三日

附件一
温江区政府采购报价单
编号：WJCG[2009]135
采购单位: 温江区就业服务管理局
名称及型号接口及性能要求功能要求数量金额备注
方正
FA UTM-1001U上架机箱，
接口：10个百兆电口，并发连接数：20万，吞吐量：200Mbps，VPN隧道数：200采用自主研发的安全内核，使用NP纯硬件架构的专用处理器，具有以下功能：防火墙、VPN、IDS/IPS、防病毒、内容过滤和应用控制等。详细参数见附件二1套 不接受偏离报价文件
方正熊猫企业级防病毒安全套装企业级防病毒含TruPrevent技术能够集中保护工作站、文件器、Exchange和Domino邮件服务器，SMTP网关以及ISA Server等，集成HIPS（主机入侵防护）预防技术，使用自带防火墙保护网络通讯，免受拒绝式服务器攻击、主机入侵防护、端口扫描和网络病毒入侵，能够自动检测和阻断未知病毒、入侵以及缓冲区溢出攻击等。详细参数见附件三1套不接受偏离报价文件
合计金额（大写）： （小写）：
1、以上产品至少提供一年免费升级服务；
2、产品必须为同一国内知名信息安全厂商；
3、生产制造厂商必须具有中国信息安全产品测评认证中心提供的《国家信息安全认证信息安全服务资质证书》二级以上资质；
4、必须有针对本项目的原厂商授权及售后服务承诺；
5、投标产品以彩页资料（加盖鲜章）为准。

联系人： 联系电话：
供应商全称（加盖公章）：
2009年 月 日

附件二UTM网关指标要求
1、性能参数

性能参数详细性能指标
接口数量、类型10个10/100Mbps电口
硬件平台1U机架式
技术架构纯硬件NP芯片
明文吞吐量200Mbps
密文吞吐量20Mbps
发连接数（万条）20
VPN隧道数200
用户数限制无用户数限制
系统内核非linux系统专用硬件防火墙

一、功能参数

功能参数详细功能描述
品牌及认证国内自有品牌，产品获得计算机信息系统安全专用产品销售许可证（公安部）、涉密信息系统产品检测证书（国家保密局）、国家信息安全认证产品型号证书（中国信息安全产品测评认证中心）、军用信息安全产品认证证书（中国人民解放军信息安全评测中心）、计算机软件著作权证书（中华人民共和国国家版权局）、商用密码产品销售许可证书(国家密码管理局)，需提供以上所有证书的复印件。
工作模式支持路由、桥接、混合模式等工作模式。在透明模式下支持NAT、VLAN、VPN、OSPF、HA和虚拟防火墙等功能。防火墙支持同一接口下的透明+NAT。
NAT支持任意网络接口的地址转换功能，对于任何一个网络接口，可以进行向外的源地址转换，向内的目的地址转换以及向内的源地址转换和源地址、目标地址同时转换等多种NAT。实现了静态地址映射、动态地址映射、端口转换以及负载均衡等功能。并且，无论防火墙工作在何种模式（路由，透明，混合）下，都能实现NAT功能。
单一外部IP地址，可无限NAT，不受65535的限制。
支持NAT地址池
路由支持静态路由、动态路由和策略路由功能。
可以根据源地址、目标地址、服务、时间等定义策略路由，同时，可以对数据包向前、返回的方向进行选择策略路由选择。
防火墙可以支持路由备份功能，这样可以保证不会因为一条链路的中断而造成业务的中断。
支持RFC 1538和RFC 2328定义的OSPF版本，防火墙在透明、路由模式下都可以参与OSPF运算；在VPN网络环境下也支持OSPF协议的运行。
在一个物理的防火墙上虚拟多个路由器，并且每个虚拟的路由器都可以独立设置路由并单独工作，也可以在多个虚拟路由器之间交换数据，称之为虚系统技术。
VPN支持AES、DES, 3DES, Twofish, Blowfish, CFAT-128等加密算法以SHA-1,MD5Y认证算法。
站点之间的VPN 支持Pre-Share KEY 的方式验证身份，也可以支持CA服务器颁发的证书 或 自己生成的自签名证书。
站点之间的VPN 支持点对点VPN连接、网状VPN连接、星型VPN的互连。
站点之间的VPN 支持全开放的加密协议和生命周期的调试，IKE提议和IPSec的加密和传输方法都可以调试，可以和其他VPN设备建立VPN隧道。
支持IKE、支持PKI、支持预共享密钥，支持数字证书，支持自签名证书。
全面支持PPTP、L2TP和GRE封装形式的VPN技术。支持IPSEC。支持DHCP IN IPSEC。
支持2个站点之间建立多台VPN隧道，并且做到隧道之间的备份。
支持客户端与网关以全动态地址方式实现VPN应用。
VPN客户端不仅可以拨号防火墙的外口公网IP地址建立VPN隧道，也可以拨号一个动态域名建立隧道。
VPN客户端拨号上来可以通过证书的方式做用户认证，并且支持 CA服务器颁发的证书 或 自己生成的自签名证书。
VPN客户端拨号上来不仅可以通过Pre-Share KEY 的方式验证，同时还可以做用户名和密码的XAuth验证（通过RADIUS数据库）
VPN客户端拨号上来可以自己手动设定一个虚拟IP地址，并可以和内网用户做双向通讯。
VPN客户端拨号上来可以通过DHCP服务器动态得到地址。
支持在网络环境中已有NAT的情况下的VPN隧道建立。支持同一子网内多个客户端以NAT方式与网关通信。
访问控制对应用层的协议进行控制和过滤。提供SMTP、HTTP、FTP、H.323等多种应用协议的应用层网关。可以对与数据包的负载内容进行更深层次的访问控制。可以设定更加严格的访问规则，从而更加有效的保证用户网络安全。
支持多种控制选项如域名、时间、端口、方向、URL、支持内容过滤、JAVA Scripts、Java Applet、ActiveX等过滤。
应用层过滤支持对HTTP、SMTP、POP3、FTP等协议的内容过滤。支持URL过滤，支持对如Java applet、Active-X、VBScript、Jscript、Java script的过滤。
接入方式支持ADSL、DHCP Client、固定IP地址，支持多条ADSL线路拨号，支持ADSL按需拨号。防火墙支持单链路多网关接入。
支持接入线路冗余。
支持DHCP Server，支持DHCP Client，支持DHCP 代理。
身份认证支持Radius认证以及防火墙自身认证，可大大丰富内网安全管理，当使用防火墙自身认证时，可自动弹出认证窗口。
在同一台PC上，输入不同的用户名和口令可以获得不同带宽，访问不同的目标地址。
实时性能监控提供对内核、规则、QoS、接口、RAM、Buffer、连接等数据等进行详细的统计和图形报表。可以实时掌握防火墙的运行状态，网络的流量情况，及时发现可能发生的非法攻击。并且提供对多台产品同时监控，从而保证对全网的防火墙进行实时监控
IP/MAC地址绑定技术产品应支持IP和MAC地址的绑定，防止内部用户盗用，同时应具备IP所对应的MAC地址的自动发现功能。
流量控制、带宽管理通过定义管道的方式设置带宽。管道带宽设置可以为BPS或者PPS，而设置精度为1Kbps，或者1PPS。
提供CoS/QoS功能，并且管道没有数量的限制，可以基于IP、基于协议、基于接口、基于组信息、基于VLAN信息、VPN连接等信息进行带宽管理。通过对新建连接阀值的设置，可以对网络中每个用户每秒新建连接数量进行控制，当阀值被触动后，动态将非法用户添加到黑名单里，直接将非法用户连接进行阻断，并且可以灵活的设置控制黑名单有效时间。通过每秒新建连接数限制，可以做到：
?当内网病毒爆发时，阻止大量数据包对外建立连接，耗费网络资源；
? 阻止黑客对网络的扫描；
? 阻止黑客的DOS攻击
可对上传与下载设置不同的流量控制策略。
对每个IP的新建连接及并发连接数量均可进行控制。
抵御攻击能力为了更有效抵御SYN-flood攻击，在防范该攻击时候，不采用设置阈值的方法；而采用类似代理技术进行攻击防范，攻击者必须首先与防火墙建立起标准的TCP连接，防火墙才会再与服务器进行连接，确保服务器的安全。
攻击后自愈能力，在任何情况下，防火墙的CPU利用率不能到达100％，不能死机，确保攻击停止后，网络正常运行。
管理方式描述防火墙提供基于图形界面的管理方式，控制机和防火墙的通讯采用高强度加密保证安全。同时防火墙支持集中管理。
支持CONSOLE。
支持SNMP集中管理与监控，并与当前通用的网络管理平台兼容。
支持策略模板，减少用户配置难度。
日志管理深层日志及灵活、强大审计分析功能。支持日志的自动导出与自动分析。支持防火墙配置文件的导入与导出（防火墙配置文件信息的备份与恢复）。
管理员授权等级支持不同的管理权限给出不同的管理角色，列出各种管理员角色和权限，不同的管理员担任不同的角色和权限。
与IDS联动支持与国内厂家的IDS联动，并可根据IDS指令动态生成安全规则，阻断访问。
双机热备份采用虚拟IP、虚拟MAC技术，切换后防火墙周边设备ARP列表不变，保证平滑切换。
不同型号的防火墙可以作双机热备、链路备份。
双机热备、链路备份切换的时间不超过1秒。
负载均衡支持服务器负载均衡。
IPS 可以针对服务器同时开启IPS规则和IDS规则。IPS与IDS对应不同的特征库，当数据包进入UTM设备，首先经过IPS检查，可以确定100％的攻击，UTM可以对该攻击进行阻断；如果数据包疑是攻击，进行IDS检查，UTM对该数据进行审计，从而达到IPS和IDS的统一，保证服务器的同时不会产生因为误报而将正常数据包阻断现象。同时通过硬件加速保证系统的性能。
网页过滤能够禁止在上班时间访问与工作无关的网站，避免员工浏览不适当的网站产生相应的违法行为或者遭受间谍软件/网络钓鱼程序攻击导致机密数据被窃取。可以对各种危险网站进行阻隔。
可能对全球的URL进行分类。通过对全球网页时时进行分类，UTM产品通过在线自动更新网站列表，可以灵活的设置访问网页的内容，从而避免了在上网时候访问于工作无关的网页；同时通过对Internet上“钓鱼”网站的分类屏蔽，阻止用户访问“钓鱼”的网站，保证上网的安全性。
防病毒病毒防护组件提供网关级实时病毒监控功能，能够对所有WEB、FTP和E-mail流量进行实时监控，保护网络免受病毒、木马、反钓鱼式攻击、网络蠕虫、以及其它恶意软件的危害。凭借多元化的探测方法和强悍卡巴斯基病毒标识的数据库，保证其高度的精确性。

附件三防病毒含主机防护软件指标要求

要求
说明序号技术指标要求
系统
运行
平台1所有Windows系统：包括Windows9X/NT/2000/XP/2003
2Novell系统：包括 NetWare 4.11 、NetWare 4.20 、NetWare 5.0 、NetWare 5.1、 NetWare 6.0 、NetWare 6.5
3Linux系统：
?OpenSuse10.1
?SuseEnterprise10
?FedoraCore5
?Red Hat Enterprise 4
?Ubuntu 6.06
?Debian 3.1
4支持64位操作系统
应用平台和文件传输防护1支持邮件系统群件防护：
Exchange 5.5以上；
Domino 4.6；
SendMail 8.11.3以上；
Qmail 1.03以上；
PostFix 1.1.4以上
2支持Linux和Windows、Unix传输文件病毒防护
联动
防护1支持和Proxy、ISA、CVP Firewall等多种防火墙进行防病毒联动
2支持和Cisco NAC自防御体系进行网络交换隔离审查防护

安装
方式1通过同一管理平台，即可远程安装所有组件的防病毒模块
2支持自动安装、远程手动安装、脚本登录安装、客户端本地安装和FTP安装等等
3支持10种以上语言，并能在安装时根据系统自动选择默认语言
4支持HTTP客户端安装方式
5能够存储多语言版本客户端安装程序，并可随时生成独立安装包
数据库1管理服务器支持桌面数据库MSDE或大型数据库SQL Server7.0以上
集中
管理1支持两层或两层以上多级统一管理，策略可以由最高级服务器下发，也可由二级服务器下发
2防病毒与内容过滤和反垃圾邮件系统通过同一平台进行管理
3根据客户端操作系统类型和应用平台自动将客户端分配到相应组，方便用户快速查找和部署策略
4根据不同组别设定不同的安全级别和杀毒策略
5支持移动客户端通过Internet接受远程管理
6能够远程即时或定制计划任务启动客户端的病毒查杀，控制客户端病毒报告显示，根据目录或病毒名称屏蔽扫描
7实时病毒报告统计，能够以心跳线方式显示，用户可自定义报警阀值
8强制禁止客户端软件卸载
9根据网络带宽质量调整通讯时间间隔
10远程安装/卸载客户端
11预定义报表功能，自动生成多种报表，并支持自定义报告格式
12产品安全性高，各个组件之间的网络通讯都是加密传输的，而且压缩发送以减少带宽占用
13对整个防病毒系统本身进行自我诊断，以确定各组件是否正常工作，当发现异常时将及时提醒管理员
14提供多种病毒警告途径，如微软网络消息、SMTP 邮件、MAPI和Notes等警告用户或通知网络管理员
15支持升级服务器备份方式，降低对中心升级服务器的资源消耗
16支持管理服务器备份方式，备份管理服务器和主管理服务器定时同步数据，一旦主管理服务器宕机，备份服务器可以迅速接管，保证系统正常运行
17控制面板中显示网络情况和保护状态
1)监控IT资源使用状态
2)监控安全保护状况
18支持SDK(软件开发工具包)
系统
病毒
处理1病毒查杀范围广，能查杀本地文件，能够查杀网络驱动器中的文件
2除了防护病毒以外，还有防其它恶意代码（如盗拨程序、间谍程序、玩笑程序、黑客工具等）的功能
3病毒扫描引擎查杀能力强，可以查杀185万多种病毒
4针对未知病毒提供启发式扫描，并可设定高、中、低三级灵敏度扫描
5支持5种以上常用压缩格式文件扫描TAR、ZIP、ARJ、ACE、TGZ等
6支持加壳格式文件扫描如PECompace，ASPack，Petite等
7支持10层以上嵌套压缩包文件扫描
8自动调节CPU负载，在高效杀毒的同时保障系统稳定运行
9针对已发现病毒提供多种操作方式，如自动清毒、阻断访问、重命名文件或者删除受感染文件等
10支持病毒及可疑文件隔离机制，用户可以设定隔离目录、空间大小、保存时间，以及恢复文件目录
11提供文件修复技术，无需用户干预就可以修复由病毒或木马、蠕虫对系统所造成的破坏
12工作站客户端是瘦客户端，更小的资源占用和更适合于带宽有限的网络进行分发部署
13能够自动从防病毒厂商的网站获取与最新的病毒信息和其他安全信息公告，并提醒管理员进行予以关注，以便采取相应对策
14Cookie内存监控
15抵御工作站和文件服务器上的Rootkits.
邮件
安全
防护1能够扫描和清除邮件客户端公共文件夹、私人文件夹、SMTP、MAPI、POP3协议中包含的病毒
2彻底查杀客户端邮件中的间谍软件、盗拨程序、恶意代码、玩笑程序、黑客工具和网络钓鱼
3支持对客户端邮件附件的多扩展名称、不一致格式和危险名称进行内容过滤
4邮件客户端具有反垃圾邮件功能，同时支持邮件备份存储以便生成相关报表内容
5为了提高垃圾邮件检测效率，管理员可以选择高、中、低三种灵敏度
6可添加黑、白名单方便用户提高判断垃圾邮件的准确性
7针对检测到的垃圾邮件可以选择替换主题、转移到垃圾邮件目录或直接删除三种处理方式
8并且可以根据用户对反垃圾系统的训练逐步提高反垃圾能力
9支持对邮件附件规则过滤，例如多扩展名、包含宏的文件、密码保护和可以压缩文件等等
10支持对邮件的内容过滤，可以设置对邮件主题、邮件内容、嵌入的脚本、外部引用以及发件人和收件人邮箱等的过滤
11能够检测到利用邮件漏洞进行的攻击和拆包发送的邮件
12安装Domino邮件服务器防病毒时不需要重启系统
13实时内存扫描Domino信息，完全保护数据库
14能够检测出病毒对Domino漏洞的扫描，可以正确拦截异常信息以避免感染服务器
15当打开Domino文件超链接时即可以扫描文档
入侵
防护1产品可以防止针对系统漏洞的网络层蠕虫攻击，如红色代码、冲击波、震荡波等
2能够检测恶意代码对系统的入侵攻击
3能够检测针对IIS服务器和SQL数据库服务器的入侵访问
4客户端资源访问控制，自动加固客户端安全级别，强化安全策略，比如禁止没有安装防病毒和防火墙软件的机器接入网络
5一旦发现系统被病毒、间谍软件等感染后，可以立即将系统从网络中断开
6保护工作站中的可执行程序，禁止它们被修改
7保护工作站重要Windows目录（如Windows安装目录、系统目录SYSTEM和SYSTEM32等），禁止邮件客户端、Web浏览器及即时消息软件有写入权限
更新
和
服务1病毒库、入侵特征库和垃圾邮件特征库全部增量更新
2直接从网站或本地升级服务器上得到最新的病毒代码库进行自动更新，从而保护最新的病毒代码库
3支持移动客户端通过Internet远程增量更新
4增量更新的病毒库文件压缩发送，降低网络带宽消耗
5提供每日病毒库更新、365x24小时热线技术支持、SOS24小时病毒响应等服务
6手工修改病毒更新通讯时间间隔，满足低带宽网络需求
证书1产品获得包括中国公安部、ICSA、CheckMark在内的多项权威认证