襄阳市第一人民医院网络安全产品采购项目磋商文件
襄阳市第一人民医院网络安全产品采购项目磋商文件
襄阳市第一人民医院拟对如下项目进行采购,欢迎符合条件且诚意合作的供应商报名参与。
一、项目概述
项目编码:XYYYCS-*******
项目名称:襄阳市第一人民医院网络安全产品采购项目
项目概述:本次项目主要采购襄阳市第一人民医院网络安全产品一批,以达到国家相关法律法规要求标准及保障医院网络安全的目的。具体采购产品清单如下:
采购清单 | ||
数据中心防火墙 | 1台 | 要求详见参数部分 |
互联网区防火墙 | 1台 | 要求详见参数部分 |
堡垒机 | 1套 | 要求详见参数部分 |
数据库审计系统 | 1套 | 要求详见参数部分 |
日志审计 | 1套 | 要求详见参数部分 |
网络防病毒 | 1套 | 要求详见参数部分 |
SDN控制器集群 | 1套 | 要求详见参数部分 |
二、项目商务资质要求
(一)供应商资质要求:
1.公司注册资金不少于200万元
2.公司注册时间不少于5年
3.只允许注册法人名下一家公司报名
4.公司经营范围需包含本项目,并提供本产品授权链(必有项)
①法人授权书;②公司营业执照;③同类项目业绩的印证材料;④所有产品的项目授权和原厂服务函
5.投标人必须未被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人、重大税收违法案件当事人、政府采购严重违法失信行为记录名单。(提供网站截图并加盖鲜章,以本公告发布后的查询结果为准)
6. 本项目不接受联合体投标。
标书要求:标书需提供五套,一正四副及电子版。包含的内容依次为:
1.标书目录(注意标明页码)
2.投标函、廉洁承诺书
3.报价表(响应院方采购文件配置需求一览表表)
4.法定代表人身份证(含法人身份证正反面复印件)
5.授权委托书(格式详见附件1)
6.被委托人与委托人签订的劳动合同,以及社会保障部门出具
的委托人给被委托人缴纳社会保障金的证明材料。
7.提供现场资质审查的原件资料(营业执照、信用中国网站查
询截图、业绩案例、所有产品的项目授权及原厂服务函)(必有项)
8.项目方案(可选项)
9.公司财务状况(可选项)
10.同类项目业绩的印证材料(必有项)
11.其他事项(可选项)
(三)注意事项:
1.请注明设备的标配及质保期(设备正常工作必需的配置须包含在标配中)(必有项)
2.与项目有关的承诺、报价单等书面承诺必须有公司受托人签字。
(必有项)
3.各供应商代表报价以人民币报价为准,合同价格以院内谈判最
终价格为准。(必有项)
4.项目付款方式为:双方共同约定本合同采取以下方式支付。
系统实施验收运行正常后的一个月内,甲方向乙方支付合同总价款的70%的款项;在验收运行半年后,无质量及其他违约事项,一个月内向乙方支付合同总价款的20%;在质保期结束后,向乙方支付合同总价款的10%。(必有项)
三、采购项目技术要求
为保证产品联动及效果最大化,所购产品中要求数据中心防火墙、
互联网区防火墙为同一品牌;堡垒机、日志审计、数据库审计为同一品牌。
1.数据中心防火墙
技术指标 | 指标要求 |
性能指标 | ★★整机吞吐量≥10Gbps;应用层吞吐量≥3Gbps;并发连接数≥220W;每秒新建连接数≥20W;设备接口≥6个千兆电口,≥4个千兆光口,≥4个万兆光口; |
部署方式 | 支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式; |
网络特性 | 支持802.1Q VLAN Trunk、access接口,VLAN三层接口,子接口、GRE隧道; 支持链路聚合功能; 支持端口联动功能,当上行/下行端口链路出现故障时,对应的另一端下行/上行端口自动切断链路; 支持静态ARP、ARP代理、DNS、DNS代理、DHCP server、DHCP中继、SNMPV1/V2/V3/Traps、TCP MSS配置。 |
路由支持 | 支持静态路由,ECMP等价路由; 支持RIPv1/v2,OSPFv2/v3,BGP等动态路由协议; 支持多播路由协议; 支持路由异常告警功能; |
基础功能 | 支持连接会话展示,可针对具体的IP地址进行会话详情查询,支持封锁异常会话信息,并支持设置监听具体IP的会话记录; 支持IPv4/v6 NAT地址转换,支持源地址转换,目的地址转换和双向地址转换,支持针对源IP、目的IP和双向IP连接数控制;支持NAT64、NAT46 地址转换; ★支持DNS-Mapping;(需提供加盖厂商印章的功能截图原件) 访问控制规则支持失效规则识别,如规则内容存在冲突、规则生效时间过期、规则长时间未有匹配等情况; ★支持基于应用类型,网站类型,文件类型进行流量控制,支持基于IP段、时间、国家/地区、认证用户、子接口和VLAN进行流量控制;(需提供加盖厂商印章的相关功能截图证明原件) 支持IPSec VPN,SSL VPN,GRE,GRE over OSPF,GRE over IPSec等VPN接入方式; IPsecVPN支持子接口、VLAN口、聚合口,支持双机环境下vpn组网; |
内容安全 | 支持URL过滤,支持GET,POST请求过滤和HTTPS网站过滤; ★支持采用无特征AI检测技术对恶意勒索病毒及挖矿病毒等热点病毒进行检测,给出基于AI技术的病毒检测报告;(需提供加盖厂商印章的相关功能截图证明原件) 支持主流视频协议识别,如海康、大华等摄像头协议,支持进行视频内容单向传输的访问控制; 支持对视频协议的信令进行控制,提供信令级别的访问控制; |
DDoS攻击防护 | 支持Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing攻击防护、支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护,支持IP地址扫描,端口扫描防护,支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测; |
入侵防护功能 | 支持提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则; |
Web应用安全防护 | 支持HTTP 1.0/1.1,HTTPS协议的安全威胁检测; 支持抵御SQL注入、XSS、系统命令等注入型攻击; 支持跨站请求伪造CSRF攻击防护; 支持对服务器已经被植入webshell后门之后的通信动作进行识别和阻断; 支持上传文件类型识别,防止文件后缀名修改绕过; 支持对网站的扫描防护和防止恶意爬虫攻击;支持其他类型的Web攻击,如文件包含,目录遍历,信息泄露攻击等; ★支持Web漏洞扫描功能,可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞;(需提供加盖厂商印章的相关功能截图证明原件) ★支持对网站黑链进行检测;(需提供加盖厂商印章的相关功能截图证明原件) |
僵尸主机检测 | 设备具备独立的僵尸网络识别库,特征总数在40万条以上; 支持对终端已被种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为; 对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告; ★支持通过云端的大数据分析平台,发现和展示整个僵尸网络的构成和分布,定位僵尸网络控制服务器的地址;(需提供加盖厂商印章的相关功能截图证明原件) |
威胁地理位置感知 | ★支持将检测到的应用层攻击行为按照IP地址的地理位置信息进行动态展示,实时监测和展示最新的攻击威胁信息;(需提供加盖厂商印章的相关功能截图证明原件) |
安全可视化 | 支持报表以HTML、Excel、PDF等格式导出; |
安全监测 | 支持安全设备的集中管理,包括配置统一下发,规则库统一更新,安全日志,流量日志实时上报等功能。 支持接入统一的安全监测平台,通过安全监测平台可以实时看到每台安全设备的详细安全状态信息,包括安全评分级别、最近有效事件、有效事件趋势、用户安全统计、服务器安全统计和攻击来源统计。 |
产品成熟度要求 | ★要求所投设备生产原厂商具备CMMI L5认证证书 |
售后服务 | ★提供原厂针对此项目的授权原件和三年原厂售后服务承诺函原件 |
2.互联网区防火墙
技术指标 | 指标要求 |
性能指标 | ★★整机吞吐量≥5Gbps;应用层吞吐量≥700Mbps;并发连接数≥180W;设备接口≥6个千兆电口; |
部署方式 | 支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式; |
网络特性 | 支持802.1Q VLAN Trunk、access接口,VLAN三层接口,子接口、GRE隧道; 支持链路聚合功能; 支持端口联动功能,当上行/下行端口链路出现故障时,对应的另一端下行/上行端口自动切断链路; 支持静态ARP、ARP代理、DNS、DNS代理、DHCP server、DHCP中继、SNMPV1/V2/V3/Traps、TCP MSS配置。 |
路由支持 | 支持静态路由,ECMP等价路由; 支持RIPv1/v2,OSPFv2/v3,BGP等动态路由协议; 支持多播路由协议; 支持路由异常告警功能; |
基础功能 | 支持连接会话展示,可针对具体的IP地址进行会话详情查询,支持封锁异常会话信息,并支持设置监听具体IP的会话记录; 支持IPv4/v6 NAT地址转换,支持源地址转换,目的地址转换和双向地址转换,支持针对源IP、目的IP和双向IP连接数控制;支持NAT64、NAT46 地址转换; ★支持DNS-Mapping;(需提供加盖厂商印章的相关功能截图证明原件) 访问控制规则支持失效规则识别,如规则内容存在冲突、规则生效时间过期、规则长时间未有匹配等情况; ★支持基于应用类型,网站类型,文件类型进行流量控制,支持基于IP段、时间、国家/地区、认证用户、子接口和VLAN进行流量控制;(需提供加盖厂商印章的相关功能截图证明原件) 支持IPSec VPN,SSL VPN,GRE,GRE over OSPF,GRE over IPSec等VPN接入方式; IPsecVPN支持子接口、VLAN口、聚合口,支持双机环境下vpn组网; |
内容安全 | 支持URL过滤,支持GET,POST请求过滤和HTTPS网站过滤; ★支持采用无特征AI检测技术对恶意勒索病毒及挖矿病毒等热点病毒进行检测,给出基于AI技术的病毒检测报告;(需提供加盖厂商印章的相关功能截图证明原件) 支持主流视频协议识别,如海康、大华等摄像头协议,支持进行视频内容单向传输的访问控制; 支持对视频协议的信令进行控制,提供信令级别的访问控制; |
DDoS攻击防护 | 支持Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing攻击防护、支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护,支持IP地址扫描,端口扫描防护,支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测; |
入侵防护功能 | 支持提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则; |
Web应用安全防护 | 支持HTTP 1.0/1.1,HTTPS协议的安全威胁检测; 支持抵御SQL注入、XSS、系统命令等注入型攻击; 支持跨站请求伪造CSRF攻击防护; 支持服务器资产自动识别; 支持对网站的扫描防护和防止恶意爬虫攻击;支持其他类型的Web攻击,如文件包含,目录遍历,信息泄露攻击等; ★支持Web漏洞扫描功能,可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞;(需提供加盖厂商印章的相关功能截图证明原件) ★支持对网站黑链进行检测; (需提供加盖厂商印章的相关功能截图证明原件) |
僵尸主机检测 | 支持调用Google SafeBrowsing API接口过滤恶意URL链接; 支持内置恶意URL链接库,恶意链接库能够做到每日实时更新; |
威胁地理位置感知 | ★支持将检测到的应用层攻击行为按照IP地址的地理位置信息进行动态展示,实时监测和展示最新的攻击威胁信息;(需提供加盖厂商印章的相关功能截图证明原件) |
安全可视化 | 支持报表以HTML、Excel、PDF等格式导出; |
安全监测 | 支持安全设备的集中管理,包括配置统一下发,规则库统一更新,安全日志,流量日志实时上报等功能。 支持接入统一的安全监测平台,通过安全监测平台可以实时看到每台安全设备的详细安全状态信息,包括安全评分级别、最近有效事件、有效事件趋势、用户安全统计、服务器安全统计和攻击来源统计。 |
产品成熟度要求 | ★要求所投设备生产原厂商具备CMMI L5认证证书 |
售后服务 | ★提供原厂针对此项目的授权原件和三年原厂售后服务承诺函原件 |
3.堡垒机
技术指标 | 指标要求 |
硬件性能要求 | ★★软硬一体化机架式设备,支持所有主流图形终端、字符终端、文件传输和数据库管理,支持HTTP/HTTPS、KVM和第三方软件(如Radmin、 Pcanywhere) ,最大并发会话连接数≥2000,千兆电口≥6个,本次授权数≥150个。 |
支持类型 | 支持windows系统、linux/unix系统、网络设备 |
支持KVM、Vmware、数据库、http/https等 | |
用户与资产管理 | 支持批量导入、导出用户信息及设备信息 |
★支持从windows AD域抽取用户账号作为主账号,支持一次性抽取和周期性抽取两种方式(需提供加盖厂商印章的相关功能截图证明原件) | |
支持Windows AD域账号与堡垒主机账号周期比对,自动或手动删除或锁定失效的域账号 | |
支持资源发现功能,可自动发现目标网段内的设备 | |
支持windows系统、网络设备、linux/unix系统、数据库等设备账号的收集功能 | |
运维授权 | 支持一对一、一对多、多对多授权,如将单个资产授权多个用户,一个用户授予多个资产,用户组向资产组授权 |
支持跨部门的交叉授权操作 | |
认证管理 | 同时支持本地口令认证、LDAP认证、AD认证、短信认证、Radius、usbkey、动态口令认证 |
改密计划 | 支持定期变更目标设备真实口令,支持自定义口令变更周期和口令强度。口令变更方式至少支持手动指定固定口令、通过密码表生成口令、依照设备挂载的口令策略生成随机口令、依照密码策略生成同一口令等方式 |
支持密码策略设置,可自定义密码复杂程度,可设置密码中包含数字、字母、符号及禁用关键字等内容 | |
支持口令有效期设置,用户账号口令到期强制用户修改自身口令 | |
支持密码文件备份功能,密码文件需密文保存,密码包及解密密钥分别发送给不同管理员保存 | |
访问审批 | ★支持自定义多级审批流程,可设置一级或多级审批人,每级审批流程可以指定通过投票数(需提供加盖厂商印章的相关功能截图证明原件),用户访问关键设备需相关审批人逐级审批通过才允许访问 |
紧急运维 | ★支持紧急运维流程,当运维人员需对目标设备进行紧急运维时,可通过紧急运维流程直接访问目标设备,同时记录为紧急运维工单,便于相关审批人事后对该流程进行确认以及审计员事后查看 |
双人复核 | ★支持双人复核登陆,登录时必须经过第二人授权后才能登录,第二人可通过远程授权或同终端授权两种方式实现授权(需提供加盖厂商印章的相关功能截图证明原件) |
访问控制 | 支持用户访问时间策略、资源访问时间策略、用户IP地址策略 |
命令过滤 | 支持基于单条操作命令或命令组设置行为规则,当运维人员输入违规命令时(包括通过table键、上下键、复制等方式)自动进行告警或阻断 |
命令审批 | 支持命令审批规则,用户执行高危命令时需要管理员审批后才允许执行 |
命令审批规则可以指定运维人员、访问设备、设备账号及命令审批人; | |
行为审计 | 支持对常见设备运维操作进行记录(至少包括windows主机、linux/unix主机、网络设备等),审计信息至少包括以下内容:用户账户、起止时间、登陆IP、设备IP、设备名称、设备类型、访问账号、访问协议等信息 |
审计报表 | 支持自定义报表,可记录审计报表模板,可生成图形报表,并提供EXCAL、CSV、WORD、PDF、HTML等格式导出 |
管理能力 | 支持NTP系统时间同步配置,保证审计日志拥有可靠的时间戳 |
支持告警对外转发,转发方式支持syslog、SNMP等方式 | |
虚拟化部署 | 支持云端快速部署,实现远程运维管理的规范化;可按照运维人员数量,调整云端服务器配置,即可实现性能优化。 |
客户端兼容 | 全面支持Windows、linux、国产麒麟系统、Android、IOS、Mac OS等客户端。 |
HA功能 | ★需支持HA,配置信息实时同步,配置过程在web界面完成(需提供加盖厂商印章的相关功能截图证明原件) |
产品成熟度要求 | ★要求所投设备生产原厂商具备CMMI L5认证证书 |
售后服务 | ★提供原厂针对此项目的授权原件和三年原厂售后服务承诺函原件 |
4.数据库审计系统
技术指标 | 指标要求 |
硬件性能要求 | ★★单向数据库流量≥400Mbps,千兆电口≥6个;千兆光口≥2个;SQL审计抓包≥10000条SQL语句/s; |
部署方式 | 审计方式:旁路交换机镜像 、 Agent抓包 |
多机部署支持集中管理,可集中管理多台采集器审计的事件、分析,实现统一配置、统一报表、统一查询; | |
★支持多种虚拟化平台,包括Sangfor-HCI (vma格式)、Kvm (qcow2格式)、Vmware (ova格式) (需提供加盖厂商印章的相关功能截图证明原件) | |
部署管理 | 采用B/S管理方式,无需在被审计系统上安装任何代理;无需单独的数据中心,一台设备完成所有工作;提供图形用户界面,以简单、直观的方式完成策略配置、警报查询、攻击响应、集中管理等各种任务。 |
支持IPv6协议:可识别IPv6协议的数据流,支持基于IPv6地址格式的审计策略。 | |
审计能力 | 支持多种数据库类型的审计,支持Oracle数据库审计、SQL-Server数据库审计、DB2数据库审计、MySQL数据库审计、Informix数据库审计、达梦数据库审计、人大金仓数据库审计、postgresql数据库审计、sysbase数据库审计、cache数据库。 |
审计SQL模版:产品支持自动基线学习数据库语义语法,并支持提取参数自动生成SQL模板,可以减少审计日志的重复写入和节省磁盘的存储空间 | |
安全能力 | 识别当前的SQL操作是否有暴库、撞库等严重性安全问题,如果命中了安全风险规则,那么可根据动作进行阻断、告警、记录等操作,可提示管理员作出相应的防御措施。 |
★支持基于SQL命令的webshell检测,提供webshell日志查询,可通过查看webshell攻击的时间、源IP、业务系统、webshell规则发现威胁(需提供加盖厂商印章的相关功能截图证明原件) | |
新型SQL模板快速发现威胁,通过新增的SQL模式串趋势快速分析来自外部的攻击威胁,分析维度包括 新型SQL模板增长趋势、时间轴、导出报表、源IP、业务系统、SQL模板 | |
日志分析 | 支持执行SQL语句失败分析,包括登录失败排行,SQL语句失败排行。 |
TB级日志秒级查询,支持指定源IP、时间日期、客户端程序、业务系统、数据库用户、操作类型等精细日志查询、支持操作类型精细化日志查询、支持风险级别排行统计查询、支持数据库条件的统计查询、支持统计趋势查询分析、支持风险级别查询分析、支持通过多SQL语句的统计查询、支持统计分析下钻、支持业务系统元素统计查询。 | |
自定义报表拖拽,通过自定义报表拖拽功能可以随意拖拽用户预期的统计报表,帮助用户提升通过高级选项筛选报表的可读性,更方便达到预期效果。 | |
风险分析 | 支持以时间、源IP、客户端程序、业务系统、数据库用户、数据库名、操作类型、表名、返回行数、影响行数、响应时长、响应码、策略、规则、风险级别、SQL模版为条件的数据库风险查询。 |
支持Syslog告警、SNMP trap告警、邮件告警,短信告警,包括支持SNMP TRAP方式,提供系统运行状态给第三方网管系统; | |
★旁路主动发rest包阻断技术,Netfilter框架技术可灵活针对IP、端口、业务系统做精准阻断。 | |
产品成熟度要求 | ★要求所投设备生产原厂商具备CMMI L5认证证书 |
售后服务 | ★提供原厂针对此项目的授权原件和三年原厂售后服务承诺函原件 |
5.日志审计
技术指标 | 指标要求 |
产品结构 | ★★完整的软硬件一体化产品;千兆电口≥6个,可用存储量≥1TB ,本次授权数≥150个 |
数据采集 |
|
监控功能 |
|
报表分析功能 |
|
查询分析功能 |
|
策略管理功能 |
|
数据管理功能 |
|
系统自身安全 |
|
日志数据安全 |
|
日志权限 |
|
产品成熟度要求 | ★要求所投设备生产原厂商具备CMMI L5认证证书 |
售后服务 | ★提供原厂针对此项目的授权原件和三年原厂售后服务承诺函原件 |
6.网络防病毒
技术指标 | 指标要求 | |
产品整体概 述 | 产品形态 | 产品是软件形态,包含管理平台和终端Agent软件; 管理平台要求其操作系统为64位的Centos7或ubuntu操作系统; Agent软件支持32位和64位的Windows系统和64位的Linux系统,适用于Vmware、华为云、华三云、阿里云、腾讯云等国内主流云平台的主机; ★★本次Windows授权≥20个,Linux授权≥5个; |
平台管理可视化 | 简化终端管理 | 支持自动收集终端资产状况,包括:主机名、在线/离线状态、IPv4地址、MAC地址、操作系统、终端Agent版本、病毒库版本、最近登录时间、最近登录的用户名 |
支持Vmware、Ctrix、Hyper-V、华为云、华三云、阿里云、腾讯云等国内主流云平台的虚拟机防护,并可在同一个管理平台进行统一管理。 | ||
全网风险可视 | 支持热点安全事件动态更新和展示及全网终端已发生的热点安全事件及其数量; | |
安全策略 一体化 | ★支持安全策略一体化配置,通过一条策略即可实现不同安全功能的配置,包括:终端病毒查杀的文件扫描配置、WebShell检测的检测和威胁处置方式、暴力破解的威胁处置方式和Windows系统下信任区文件目录配置;(需提供加盖厂商印章的相关功能截图证明原件) | |
系统管 理 | 产品安装升级场景化 | 支持本地安装包部署、网页推广部署、上网行为管理系统联动部署、虚拟机模板部署,终端安装部署可根据客户环境选择最优部署方式。 |
权限分级的账户体系 | 支持管理员权限分级,支持超级管理员、普通管理员(管理)、审计管理员(查看)三种权限。 | |
级联管理 | 支持超级管理员接入/编辑/删除/同步下级分支; 支持其他管理员仅可查看下级分支包括下下级分支的名称/IP/终端数/最近同步时间/上级控制中心; 支持免登录跳转到级联设备 | |
威胁检测与响应能力 | 终端病毒查杀 | ★具备基于多维度轻量级的无特征检测技术,多引擎协同工作,包括:基于AI技术的自研引擎、基于家族基因分析的特征检测引擎、基于虚拟执行和操作系统环境仿真技术的行为引擎、基于大数据分析平台的云查引擎。 (需提供加盖厂商印章的相关功能截图证明原件) |
支持极速、均衡、低耗三种扫描模式,以控制扫描时对业务系统CPU资源的占用; 支持快速扫描和全盘扫描两种任务类型,以控制扫描范围; | ||
支持对zip, rar, jar, cab, 7z等常见压缩文件的查杀,支持压缩文件查杀层级进行策略配置,最大可配置检查10层压缩文件; 支持配置跳过一定大小的文件,大小范围支持1M~100M; | ||
支持威胁文件同步处置病毒时,选择是否在其它终端上同步处置。 | ||
暴力破解检测 | 基于Agent的RDP和SSH登录日志检测的暴力破解入侵检测; | |
支持开启暴力破解实时检测,自动封堵攻击源的IP地址,封停时间支持配置; | ||
基线合规检查 | 针对Windows系统提供如下安全基线合规检查:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范; 支持windows系统永恒之蓝漏洞(MS17-010)的检测; 针对Linux系统提供如下安全基线合规检查:身份鉴别、访问控制、安全审计、 SSH策略检测、入侵防范、恶意代码防范; | |
WebShell检测 | WebShell文件的检查综合利用文件信誉库、静态分析、机器学习、运行行为分析对文件进行判断。 | |
支持配置WebShell实时扫描,一旦发现WebShell文件,自动隔离或仅上报不隔离。 | ||
支持展示终端检测到的WebShell事件及事件详情,包括:恶意文件名称,事件等级,受感染的文件,发现时间,检测引擎,文件类型,文件名,文件Hash值,文件大小,文件创建时间,检测依据; | ||
文件实时监控 | 支持对来自Internet、E-mail或是光盘、移动存储、网络等各种入口渠道病毒进行实时检测 | |
微隔离-流量访问控 制 | 微隔离流量可视 | 支持微隔离功能主界面图形化显示业务系统、服务器及流量详情; 流量线详情支持展示该流量线对应的微隔离策略; 支持图形化显示服务器间流量关系,包括访问详情、流量趋势等; |
微隔离策略管理 | 支持微隔离功能配置开启、禁用; 支持流量上报功能开启、禁用; 支持定时备份和手动备份mgr的微隔离配置(微隔离策略、业务系统、服务器、IP组、应用角色、服务列表、安全配置、系统维护配置)和微隔离数据(访问关系、访问详情)。 | |
联动响应能力 | 安全运维一键化 | 支持管理平台向终端下发脚本执行文件,可以选择下发终端范围; 支持下发脚本文件类型为.bat和.sh。 |
与同厂商下一代防火墙设备进行联动 | 支持多台同厂商防火墙通过配置终端检测响应管理平台IP地址实现与EDR平台的联动,实现端网安全联动; 支持管理员在同厂商平台通过EDR管理平台对其下属终端下发快速查杀任务; 支持管理员在同厂商下一代防火墙平台查看其下发的查杀任务中各个终端的查杀状态; | |
云端联 动 | 全网威胁定位 | ★支持基于威胁情报的病毒md5值的全网终端定位搜索,适用于对变种流行病毒的快速响应,快速确认全网终端是否感染;(需提供加盖厂商印章的相关功能截图证明原件) |
支持对于搜索出来的威胁文件进行批量勾选隔离或信任操作。 | ||
产品成熟度要求 | ★要求所投产品生产原厂商具备CMMI L5认证证书 | |
售后服务 | ★提供原厂针对此项目的授权原件和原厂售后服务承诺函原件 | |
7.SDN控制器集群
指标项 | 参数要求 |
兼容性 | ★★与医院核心交换机同一品牌。 |
产品架构 | 支持交换机、安全设备联动,实现网络安全智能防护; |
终端自动化上线 | 支持资产设备自动发现,实现物联网终端自动上线,能提供向导式配置界面。 |
★支持自定义终端免准入确认时间,免确认时间内自动进行整网IP/终端MAC/端口/接入设备的信息收集。 | |
★终端上线时无需提前收集终端MAC地址,无需提前在控制器导入MAC信息,以节约上线时间简化上线工作量。 | |
准入方式 | ★超出免确认时间接入,管理员需在准入界面手动确认,才能入网; |
★终端无须安装任何客户端与插件,能自动发现整网接入终端; | |
能实现IP+MAC+端口的绑定; | |
★用户信息发生变更,即用户MAC/用户IP/用户接入位置发生变更,需要管理员重新审批后入网; | |
系统支持终端准入日志功能,能够回溯终端在端口的接入时间等具体信息 | |
★当出现控制器故障的时候,支持准入逃生机制,不影响当前业务运行。 | |
IP管理 | ★控制器管理页面能自动判断静态IP、动态IP、设备的接口IP、排除IP、IP地址冲突,能直观的显示哪些静态ip地址是否可以分配,哪些IP地址不可分配,提供功能截图。 |
管理页面能快速的检索出某个IP地址的MAC地址、所属的子网、所属接入交换机、所属的Vlan,以及所属的接口; | |
★可视化IP地址管理分配,能清楚IP地址占用情况,能快速收集设备报废情况,(设备报废了IP也跟回收)。能通过手动或者自动方式来进行ip地址回收,提供功能截图。 | |
控制器提供不少于4094个静态&动态IP地址池监控,同时能直观的显示具体IP的入网时间,用户可以根据时间来决定IP地址是否可以回收; | |
环路管理 | ★为了确保网络的高可靠,高稳定需要方案,能够通过WEB页面一键开启所有设备环路检测功能; |
为了快速感知环路位置,支持在web界面上快速的显示环路位置端口; | |
自动化运维 | 能够图形化的管理接入交换机的配置,查看交换机是否正常工作,并根据不同工作状态用不同的颜色显示; |
★支持同型号的接入交换机零配置上线,确保在正确连接线缆后接入交换机无人值守业务恢复; | |
安全服务链 | ★可以通过安全设备和SDN智能控制系统旁挂核心的部署方式,实现按需引流的效果;支持旁挂设备透明模式、路由模式,支持旁挂设备跨品牌负载均衡部署、支持旁挂设备跨品牌主备部署; |
支持对指定业务流经过安全资源中心各安全设备的顺序进行编排 | |
为控制新增物理安全设备上线风险,支持设备上线不动原有物理拓扑; | |
支持业务流可定制安全设备路径转发,业务流支持L3、L4方式; | |
★支持不同品牌安全设备故障检测,并且自动bypass故障安全设备;支持旁挂不同品牌安全设备基于流量选择故障是否自动bypass;支持控制器、核心交换机与旁挂不同品牌安全设备之间的心跳检测,以确保业务正常转发。 | |
支持在SDN智能控制系统web界面实施呈现网络拓扑,并通过特定颜色做故障提醒;支持配置备份服务链,当主服务链故障时业务自动切换至备服务链;支持故障修复感知和迁回,当主服务链故障恢复时业务自动迁回;支持服务链组之间的负载均衡模式转发; | |
配置要求 | ★★单套系统提供的设备联动管理授权数量≥20台;提供上述功能的使用授权 |
产品成熟度要求 | ★提供软件开发成熟度CMMI5级认证证书 |
售后服务 | ★提供原厂针对此项目的授权原件和原厂售后服务承诺函原件 |
四、采购项目综合要求
(一)基本要求
1.中标人应与招标人协商项目实施计划,本次招标为一次性采
购,分步实施,应无条件配合招标人完成各功能的分步上线。
2.中标投标人应协助招标人完成相关联的服务器使用环境的配置、搭建、调试,不得以任何理由拒绝,并提供相关的软硬件解决方案。
3.中标投标人须免费对所投产品进行安装调试,且应在投标文件中做出明确承诺,中标投标人所派出的项目实施人员须按招标人信息中心管理要求进行管理。
(二)售后服务承诺
1.提供现场安装服务、现场维护服务。
2.服务响应时间:提供7×24小时技术支持服务,必须0.5
小时内响应,如需到达现场的必须于8小时内到达现场,并于24小时内解决相关故障问题,若无法解决问题,投标者应提出相应解决方案。
3.投标人须在投标文件中对售后服务和技术支持的内容和时限做出明确承诺。
4.投标人应提供针对本项目的服务承诺函,其中包括原厂服务和投标人增值服务。
(三)中标公司需提供资料、文档
中标方应提供包括但不限于下列全套技术资料, 费用已包括在投标价格之内:
安装、操作、维护手册、调试标准、验收报告、产品配置参数等。
(四)培训方案
1.投标人应就本项目所涉产品的安装、调试、维护、管理等对招标人技术人员和维护人员进行现场免费培训,并提供相应的管理方法和手段,直至指定相应人员完全掌握操作、基本维护技术为止。
2.投标人须在投标文件中对招标人各类相关人员的培训做出明确响应,必须提供所有培训涉及的文字资料和讲义等相关用品,所有的资料必须是中文书写。
项目评分标准评委根据项目承办科室提出的商务、技术、综合、价格等方面的要求,进行评判、打分、排序。
(一)价格评审(满分值30分)
评标 项目 | 评审分项 | 评分细则 |
价格得分(30分) | 投标价格 | 只对评审合格的投标文件进行价格评议,报价分采用低价优先法计算,即满足招标文件要求且投标价格最低的投标报价为评标基准价,其报价分为满分。其他投标人的报价分按下列公式计算:报价分=(评标基准价/投标报价)×30分。 |
(二)商务评审(满分值40分)
评审 项目 | 评审分项 | 分值 | 评分细则 |
商务得分 (40分) | 防火墙 | 3 | 所投防火墙产品经过国际知名实验室NSS Labs测试,并获得recommended推荐级别(测试报告推荐级别为WAF,非IPS、NGFW品类),提供NSS Labs相关测试报告。提供相关证明文件并加盖原厂公章得3分。 |
3 | 所投防火墙产品厂商具备CSA CS-CMMI5认证。提供相关证明文件并加盖原厂公章得3分。 | ||
2 | 所投防火墙设备生产原厂家为公安部第二代防火墙标准起草单位之一。提供相关证明文件并加盖原厂公章得2分。 | ||
防病毒 | 4 | 所投防病毒产品厂家为国家信息安全漏洞共享平台(CNVD)技术组和用户组成员。提供证明文件并加盖原厂公章得4分。 | |
2 | 所投防病毒产品厂家具备信息安全风险评估服务资质(一级)提供证明文件并加盖原厂公章得2分。 | ||
堡垒机、日志审计、数据库审计 | 5 | 所投数据库审计产品能够与本次所投防火墙产品实现有效联动,如:webshell阻断,提供webshell日志查询,可通过查看webshell攻击的时间、源IP、业务系统、webshell规则发现外部威胁。提供相关截图证明并加盖原厂公章得5分。 | |
3 | 所投堡垒机及审计产品生产原厂家具备信息安全应急处理服务资质(一级)提供证明文件并加盖原厂公章得3分。 | ||
SDN | 5 | 所投产品制造商售后服务体系须通过符合国家GB/T27922-2011标准的售后服务认证,具有5星级认证。提供相关证明文件并加盖原厂公章5分。 | |
2 | 提供软件开发成熟度CMMI5级认证证书。提供相关证明文件并加盖原厂公章得2分。 | ||
2 | 所投产品制造商需具备较高的服务水平和技术水平,符合ITSS信息技术服务运行维护标准,提供ITSS信息技术服务运行维护标准、ITSS官网查询链接(www.itss.cn)及截图。提供相关证明文件并加盖原厂公章得2分。 | ||
技术实力 | 5 | 能提供所投安全产品(防火墙、堡垒机、日志审计、防病毒、数据库审计)原厂认证工程师证书,全部提供得4分,缺1个扣2分,最低得0分; 提供信息安全、信息化类工程师证书,有1个得0.5分,最高1分。 (注:认证工程师需为投标人公司所在职员工,以提供有效社保缴费记录为凭证) | |
业绩案例 | 4 | 投标人类似产品业绩案例,每份得2分,最多4分。 |
(三)技术评审(满分值30分)
评审 项目 | 评审分项 | 分值 | 评分细则 |
技术得分 (30分) | 整体技术 要求 | 30 | 1、投标产品技术参数和配置完全满足或高于招标文件要求的,得30分; 2、对于重要的性能参数和配置(标识★★),有一项不满足即废标; 3、对于关键的性能参数和配置(标识★),有一项不满足扣3分; 4、对于非关键技术指标的一般指标,每项不满足扣2分,此项最低得分0分,最高得30分。 |
(一)本次采购为竞争性磋商采购。供应商应派其授权代表持有效身份证件按采购文件规定的时间递交磋商响应文件,并准备参加磋商。
(二) 供应商应当在磋商文件“供应商须知前附表”要求的截止时间前,将响应文件密封送达磋商会议现场。在截止时间后送达的响应文件为无效文件,磋商小组应当拒收。
(三)供应商在提交响应文件截止时间前,可以对所提交的响应文件进行补充、修改或者撤回。补充、修改的内容作为响应文件的组成部分。补充、修改的内容与响应文件不一致的,以补充、修改的内容为准。
(四)磋商小组在对响应文件的有效性、完整性和响应程度进行审查时,可以要求供应商对响应文件中含义不明确、同类问题表述不一致或者有明显文字和计算错误的内容等作出必要的澄清、说明或者更正。供应商的澄清、说明或者更正不得超出响应文件的范围或者改变响应文件的实质性内容。
(五) 磋商小组所有成员应当集中与单一供应商分别进行磋商,并给予所有参加的供应商平等的磋商机会。
磋商小组将依据磋商文件要求,对所有供应商提交的磋商文件进行资格评审;对未实质性响应文件要求的,磋商小组应现场告知供应商,取消其参加评标资格。
(一)实质性响应磋商文件资格要求的供应商按所抽取的磋商顺序,依次与磋商小组分别进行磋商。
(二)磋商小组将就磋商文件中的技术、服务要求、合同草案条款等与供应商一一洽谈。
(三)磋商小组可以根据磋商文件和磋商情况实质性变动采购需求中的技术、服务要求以及合同草案条款。
(四)对磋商文件作出实质性变动是磋商文件的有效组成部分,应当以书面形式同时通知所有参加磋商的供应商。
(五)磋商结束后,磋商小组将要求不少于三家参加磋商的供应商在规定时间内提交最后报价,提交最后报价的供应商不少于3家。最后报价是供应商磋商响应文件的有效组成部分。
(六)响应供应商的报价均超过了采购预算,磋商活动终止。
(一)经磋商,在确定最终采购需求和提交最后报价的供应商后,由磋商小组采用综合评分法对提交最后报价的供应商的响应文件和最后报价进行综合评分。
(二)磋商小组按照评审时名次排名情况推荐候选供应商,并编写该项目的磋商情况报告,经院长办公会研究通过后进行公示。
十、合同条款
根据《中华人民共和国合同法》,采购人和中标人(成交供应商)之间的权力和义务,应当按照平等、自愿的原则,依据文件要求和响应文件承诺,签订合同。
十一、供应商报名须知
(一)报名起止时间:2019年8月7日至2019年8月13日(法定公休日、法定节假日除外),上午8时至12时;下午2时30分至5时30分。
(二)报名地点及联系电话:采购管理办公室 ****-*******
(三)磋商时间及地点:另行通知
(四)报名资料清单:(现场报名,复印件均需加盖公司原章)
1.法人证明或法人授权委托书(请严格按照附件1格式出具法人和受托人的身份证复印件)
2.营业执照
3.同类项目业绩的印证材料
4.信用中国截图
5.公司承诺书(对本公司提供报名资料复印件真实性的承诺)。
(五)注意事项:
1.请报名的供应商在接到会议通知后,按要求准备好标书五份(一正四副及电子版)、项目受托人身份证原件等各类资料证件;采购文件中若要求提供样品,则供应商必须携带样品入场,否则视为自动弃权。
2.请供应商准时到达会场,迟到者,视为自动放弃,不再另行通知。
3.若采购会议前更换受托人,新受托人需携带新的法人授权委托书和相关资料到现场;若采购会议前更换代理产品品牌,需在会前1-3天将新的相关授权书交至采购管理办审核。
附件1:
法定代表人授权委托书
致:
我(姓名)系(单位名称) 的法定代表人,现授权委托本单位(姓名)为该项目代理人,代表我单位参加贵院组织的(项目名称) (项目编号为:)采购,授权事项:
。
委托期限: 。受托人在办理上述事宜过程中以其自己名义签署的所有文件我公司均予以承认。受托人无权转让委托权。
受托人在本单位的任职部门及职务:
受托人身份证号:
受委托人的联系方式(手机):
附:1、单位法定代表人身份证复印件(复印正、反两面)
2、受托人身份证复印件(复印正、反两面)
委托单位(供应商): (公章)
法定代表人(签字或个人印章):
受委托人(签字):
授权日期:年月日
附件2:
报价表
序号 | 名称 | 数量 | 单价(元) | 单位 | 合计(元) |
1 | |||||
2 | |||||
3 | |||||
4 | |||||
5 | |||||
… | |||||
合计 | 大写: | ||||
供货期 | |||||
质保期 | |||||
供应商名称(签章):
授权代表(签字):
日期:
附件3:
技术偏离表
项目编号:
项目名称:
********6">序号 | ********9">磋商 ********8">文件要求 | ********6">磋商响应文件 ********7">具体响应 | ||
********9">1 | ||||
供应商名称(签章):
授权代表(签字):
日期:
|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
