企业邮箱
询价文件--启东农商银行新大楼中心机房设备采购项目(一至二标段)
来源:发布时间:2022年12月20日
江苏启东农村商业银行股份有限公司
二〇二二年十二月二十日
地址: 启东市汇龙镇人民中路599号 邮政编码:226200
启东农商银行(招标公告栏目):http://www.qdnsyh.com/qdrcb/604878/605994/700695/index.html
启东百业网: http://www.128qd.com/
目 录
第一部分 询价公告
第二部分 询价须知
第三部分 项目需求
第四部分 询价程序和内容
第五部分 合同签订与验收付款
第六部分 质疑提出和处理
第七部分 报价文件组成
第一部分 询价公告
项目概况:启东农商银行新大楼中心机房设备采购项目(一至二标段)的潜在投标人应在启东农商银行网(招标公告栏目)、启东百业网获取招标文件,并于2022年12月28日14时00分(北京时间)前提交投标文件。
一、项目基本情况
项目名称:启东农商银行新大楼中心机房设备采购项目(一至二标段)
采供方式:询价
最高限价:一标段:115万元;二标段:314万元。报价超过或等于最高限价的均为无效报价。
采购需求:详见第三部分项目需求,请仔细研究。
本项目不接受联合体。
二、申请人的资格要求
1.符合《中华人民共和国政府采购法》第二十二条的规定。
2.投标人应具有有效的法人营业执照。
3.为保证项目质量,本项目不接受联合形式的报价。本项目的实施,不允许转包分包。
4.禁止情形:
拒绝以下投标人参与投标:
(1)单位负责人为同一人或者存在直接控股、管理关系的不同投标人,不得参加同一合同项下的政府采购活动。
(2)为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的投标人,不得再参加本采购项目的其他采购活动。
三、获取采购文件
时间:2022年12月20日至2022年12月28日。
地点:启东农商银行网(招标公告栏目)
http://www.qdnsyh.com/qdrcb/604878/605994/700695/index.html
启东百业网 http://www.128qd.com/
方式:自行下载操作。
售价:300元/标段,于递交投标文件时递交。
四、响应文件提交
1、提交截止时间:报价文件请于2022年 12 月 28 日13:30至14:00时密封送至江苏启东农村商业银行股份有限公司三楼会议室并登记(只接受直接送达),
2、投标截止时间:2022年 12 月 28 日14时00分,逾时则不予受理。
3、地点:启东市汇龙镇人民中路599号。
五、开启及评审时间
时间:2022年12月28日14时00分(北京时间)
地点:江苏启东农村商业银行股份有限公司三楼会议室(人民中路599号)。
六、公告期限
自本公告发布之日起3个工作日。
七、其他补充事宜
1、交易方式:本项目采用现场开标方式,成交结果在评审结束后现场公布并在启东农商银行网(招标公告栏目)公示。
2、对项目需求部分(供应商资格要求、项目需求)的询问、质疑请向采购人提出,由采购人负责答复。
八、凡对本次采购提出询问,请按以下方式联系。
1、采购人信息
单位名称:江苏启东农村商业银行股份有限公司
联系人:吴先生,联系电话:0513-80929126
联系地址:启东市汇龙镇人民中路599号
2、采购代理机构信息
单位名称:江苏本源工程项目管理有限公司
联系方式:朱晓红,0513-83351266
联系地址:启东市汇龙镇和平南路306号海四达科创园三楼
第二部分 询价须知
一、询价文件由采购人解释。
1、供应商在网上下载询价文件后,应仔细检查询价文件的所有内容,如对采购活动事项有疑问的,应向采购人以书面形式提出,否则视同供应商理解并接受本询价文件所有内容,并由此引起的损失自负。供应商不得在询价结束后针对询价文件所有内容提出质疑事项。
2、供应商应认真审阅询价文件中所有的事项、格式、条款和规范要求等,如果供应商没有按照询价文件要求提交响应文件,或者响应文件没有对询价文件做出实质性响应,将被拒绝参与询价。
二、询价文件的澄清、修改、答疑
采购人可以对已发出的询价文件进行必要的澄清或者修改,澄清或者修改的内容作为询价文件的组成部分。澄清或者修改的内容可能影响响应文件编制的,采购人将在提交首次响应文件截止之日3个工作日前,以网上公告书面形式通知所有接收询价文件的供应商,不足3个工作日的,应当顺延提交首次响应文件截止之日。
供应商由于对询价文件的任何推论和误解以及采购人对有关问题的口头解释所造成的后果,均由供应商自负。
三、询价采购报价须知
(一)报价参与
1、获取询价文件:供应商登录启东农商银行网(招标公告栏目)
http://www.qdnsyh.com/qdrcb/604878/605994/700695/index.html、
启东百业网 http://www.128qd.com/,自行下载。
2、投标注意事项:
投标材料一式三份,密封在一个封袋中,密封送至江苏启东农村商业银行股份有限公司三楼会议室并登记(只接受直接送达),逾时则不予受理。
投标文件接收截止时间:2022年12月28日14时00分(北京时间)。
3、响应文件的编制和签署:供应商报价应严格按照询价文件要求编写、提交询价响应文件并进行报价。供应商应按“第七部分 报价文件组成”要求编制响应文件,自编目录并连续标注页码,不得将内容拆开。报价文件不得行间插字、涂改、增删,如修补错漏处,须经响应文件签署人签字并加盖公章。
四、报价注意事项
1、报价采用全费用综合单价报价方式,全费用综合单价中含相关附件、安装辅材、授权、软件资源使用、货物运输、安装、调试、使用培训、税金、质保、售后服务等所有相关费用,同时供应商所报的综合单价在合同实施期间不因市场变化因素而变动。无论本文件是否以文字形式规定,报价供应商应具备足够的专业知识和能力判定本项目所需的一切材料、施工、服务、材料检测等各种未预见费用,采购方不接受任何可选择的报价,成交供应商也不得在供货、安装期间提出任何增加费用的要求,不得降低安装质量,请各供应商在报价时请充分考虑各种因素。最终结算时综合单价不变,供货安装数量按实际供货量计算。
2、对采购人提供的招标清单及招标参数,供应商如有疑问,应按本询价文件中规定的期限内提出,否则视为默认,招标清单及招标参数不再作任何修改,成交供应商不得再提任何调整要求。对完成本询价文件中的全部货物、服务使之成为一个完整系统的其余配套材料项目、措施项目等,均由供应商根据现场踏勘情况自行算量后自行计入投标报价中,成交后采购人对该部分不作任何调整。
五、询价程序简介
询价小组对供应商报价文件审核,按照质量和服务均能满足询价采购文件实质性响应要求且报价最低的原则确定第一成交供应商。
六、相关费用
供应商承担参与询价可能发生的全部费用,采购人在任何情况下均无义务和责任承担这些费用。
第三部分 项目需求
一标段:招标清单及招标参数
(一)招标清单
序号 | 类型 | 数量 | 规格参数 | 品牌 |
1 | 服务器汇集交换机 | 2 | 交换容量≥256Tbps,包转发率≥14400 Mpps,以官网或彩页较小值为准; 主控引擎与交换网板物理分离;主控引擎≥2;独立交换网板≥2;整机业务板槽位数≥4; 为保证设备散热效果和可靠性,要求设备支持模块化风扇框,可热插拔,当单个风扇框发生故障时,有其他风扇正常运行,保证设备散热,独立风扇框数≥2; 支持CPU黑名单及攻击溯源防御功能。 CPU和交换芯片为品牌自主研发。 投标产品须是国内外主流厂商产品 实配:双主控,双交换网板,电源≥3,万兆光口≥48,千兆光口≥48,3米堆叠线缆≥2,提供3年原厂质保。 | 华为、华三、浪潮 |
2 | 66网核心交换机 | 1 | 交换容量≥500Tbps,包转发率≥28800 Mpps,以官网或彩页较小值为准; 采用信元交换架构,主控引擎与交换网板物理分离;主控槽位数(全宽槽位)≥2;业务槽位数≥8;独立交换网槽位≥4; 采用独立的硬件监控模块, 控制平面和监控平面物理槽位分离,支持1+1备份; 支持CPU黑名单及攻击溯源防御功能。 CPU和交换芯片为品牌自主研发。 投标产品须是国内外主流厂商产品 实配:双主控,双电源,双交换网板,千兆电口≥48,万兆光口≥24,千兆光口≥24,3米万兆堆叠线缆≥2,提供3年原厂质保。 | 华为、华三、浪潮 |
3 | 互联网火墙 | 2 | 标准机架式,网络层吞吐量≥25G,应用层吞吐量≥9G,防病毒吞吐量≥3.5G,IPS吞吐量≥2.5G,并发连接数≥410万,HTTP新建连接数≥18万, 硬件参数:规格:1U,内存大小:≥8G,硬盘容量:≥64G SSD,电源:冗余电源,接口:≥16千兆电口+6万兆光口SFP+。 三年质保;三年IPS;三年杀毒;三年软件升级 | 深信服、山石、东软 |
4 | 上网应为管理 | 1 | 性能参数:网络层吞吐量(大包):10Gb,应用层吞吐量:1.5Gb,带宽性能:1Gb,IPSEC VPN加密性能(最高性能):200Mb,支持用户数:1500,包转发率:132Kpps,每秒新建连接数:14000,最大并发连接数:600000。 规格:1U,内存大小:8G,硬盘容量:64GB MSATA+480G SSD,电源:冗余电源,接口:6千兆电口+2千兆光口SFP。 三年质保;三年URL规则库升级;三年软件升级 | 深信服、山石、东软 |
5 | 漏扫 | 1 | 软硬一体设备。 硬件说明:1U,1*RJ45串口,1*GE管理口,4个10M/100M/1000M自适应以太网电口扫描口,1个接口扩展槽位(支持4电、4光、8电、8光),支持漏洞扫描、WEB应用扫描、弱口令探测等。登陆扫描后扫描速度不低于1000ip/h。三年原厂质保及故障上门支持。 软件说明:远程安全评估系统:1、系统漏洞扫描能力:支持检测的漏洞数大于240000条;支持对系统漏洞扫描、WEB漏洞、配合合规进行检查和综合分析,可输出同时包含漏洞扫描和配置核查结果的报表;提供高级漏洞模板过滤器,支持将符合筛选条件的漏洞自动加入到自定义模板中,后续插件升级包中的漏洞也可以自动加入到模板中;支持扫描国产操作系统、应用及软件的安全漏洞;支持扫描主流云主机管理系统的安全漏洞;2、WEB应用漏洞扫描能力:具备WEB应用扫描能力,提供多种WEB应用漏洞的安全检测,如SQL注入、跨站脚本、网站挂马、CGI漏洞等;3、配置核查能力:支持45种以上常见设备和应用的配置检查;支持虚拟化设备配置核查;风险展示和报表,提供3年原厂质保。 | 深信服、山石、绿盟 |
备注 | 一、招标人对本项目设备提供了推荐品牌和技术需求,投标人必须按招标人提供的推荐品牌和技术需求进行投标报价,投标人如拟投产品不在推荐品牌之列的,拟投品牌不得低于推荐的品牌,并将拟投产品的技术资料及相关证明材料在开标一天前报招标人,招标人将组织进行评审,当三分之二及以上评委认定,所投品牌、型号档次等于或高于建议品牌档次的,将以补充通知的形式在相关网站予以公布,所投品牌档次低于推荐品牌档次的,则不予受理。投标文件中报价品牌、型号为非推荐品牌且未在规定时间内经招标人评审通过以补充通知形式发布的,将被视作无效报价。 二.中标人需为采购人提供7*24小时应急响应服务,在接到采购人紧急保修时,中标人务必在半小时内响应,8小时内到达现场维修。如24小时内不能修复,中标人则免费提供与故障设备同容量、同品牌(或同等档次)的设备并负责安装调试正常使用。 三.质保期内在每年巡检四次,巡检中标设备时发现问题应及时处理,每次巡检完毕提供巡检报告。 | |||
(二)招标参数
服务器区核心交换机
技术指标 | 功能要求 |
交换容量 | ★交换容量≥256Tbps,以官网所列最低参数为准 |
包转发率 | ★包转发率≥14400Mpps,以官网所列最低参数为准 |
单板槽位 | ★主控引擎与交换网板物理分离;主控引擎≥2;独立交换网板≥2;整机业务板槽位数≥4 ★主控槽位与业务线卡槽位宽度相同,为全宽槽位 |
机柜要求 | ★为适应业界主流机柜的深度,要求设备深度≤600mm |
硬件要求 | ★为保证设备散热效果和可靠性,要求设备支持模块化风扇框,可热插拔,当单个风扇框发生故障时,有其他风扇正常运行,保证设备散热,独立风扇框数≥2 |
CPU和交换芯片为品牌自主研发。 | |
支持颗粒化电源,支持M+N电源冗余(AC和DC均支持),电源插槽个数≥4 | |
★支持独立的硬件监控板卡, 控制平面和监控平面物理槽位分离,支持1+1备份,能集中监控板卡、风扇、电源、环境,能调节能耗 | |
★为安装及日常维护方便,所有可插拔板卡(主控、交换、业务板卡)是前插板,所有走线全部在前面板走线,包括业务和管理线缆,单面维护。 | |
VxLAN | ★支持VxLAN功能,支持BGP EVPN,VxLAN分布式网关 |
MAC | 支持整机MAC地址≥1M |
ARP | ★支持ARP表项≥380K |
IP路由 | 支持IPv4路由转发表FIB规格≥3M 支持Ipv6 路由转发表FIB规格≥1M |
支持静态路由、RIP、RIPng、OSPF、OSPFv3、BGP、BGP4+、ISIS、ISISv6 | |
IPv6 | 支持IPv6过渡技术,IPv4/IPv6双栈、6over4隧道、4 over6隧道 支持IPv6 DHCP SERVER、IPv6 DHCP Relay、DHCP Snooping |
MPLS | 支持MPLS L3VPN、MPLS L2VPN(VPLS,VLL)、MPLS-TE、MPLS QoS |
可靠性 | ★支持真实业务流实时检测技术,实时检测网络故障 |
支持G.8032标准以太环网协议,倒换时间≤50ms | |
★支持硬件BFD/OAM,3.3ms稳定均匀发包检测 | |
★支持CPU黑名单及攻击溯源防御功能 | |
产品资质 | ★投标产品须是国内外主流厂商产品 |
配置要求 | 实配:双主控,双交换网板,电源≥3,万兆光口≥48,千兆光口≥48,3米堆叠线缆≥2,提供3年原厂质保。 |
售后服务 | ★投标时提供原厂商针对此项目的授权原件及服务承诺书原件。 |
监控大数据区核心交换机
技术指标 | 功能要求 |
交换容量 | ★交换容量≥500Tbps,以官网所列最低参数为准 |
包转发率 | ★包转发率≥28000Mpps,以官网所列最低参数为准 |
单板槽位 | ★主控引擎与交换网板物理分离;主控引擎≥2;独立交换网板≥4;整机业务板槽位数≥8 ★主控槽位与业务线卡槽位宽度相同,为全宽槽位 |
机柜要求 | ★为适应业界主流机柜的深度,要求设备深度≤600mm |
硬件要求 | ★为保证设备散热效果和可靠性,要求设备支持模块化风扇框,可热插拔,当单个风扇框发生故障时,有其他风扇正常运行,保证设备散热,独立风扇框数≥2 |
CPU和交换芯片为品牌自主研发。 | |
支持颗粒化电源,支持M+N电源冗余(AC和DC均支持),电源插槽个数≥4 | |
★支持独立的硬件监控板卡, 控制平面和监控平面物理槽位分离,支持1+1备份,能集中监控板卡、风扇、电源、环境,能调节能耗 | |
★为安装及日常维护方便,所有可插拔板卡(主控、交换、业务板卡)是前插板,所有走线全部在前面板走线,包括业务和管理线缆,单面维护。 | |
VxLAN | ★支持VxLAN功能,支持BGP EVPN,VxLAN分布式网关 |
MAC | 支持整机MAC地址≥1M |
ARP | ★支持ARP表项≥380K |
IP路由 | 支持IPv4路由转发表FIB规格≥3M 支持Ipv6 路由转发表FIB规格≥1M |
支持静态路由、RIP、RIPng、OSPF、OSPFv3、BGP、BGP4+、ISIS、ISISv6 | |
IPv6 | 支持IPv6过渡技术,IPv4/IPv6双栈、6over4隧道、4 over6隧道 支持IPv6 DHCP SERVER、IPv6 DHCP Relay、DHCP Snooping |
MPLS | 支持MPLS L3VPN、MPLS L2VPN(VPLS,VLL)、MPLS-TE、MPLS QoS |
可靠性 | ★支持真实业务流实时检测技术,实时检测网络故障 |
支持G.8032标准以太环网协议,倒换时间≤50ms | |
★支持硬件BFD/OAM,3.3ms稳定均匀发包检测 | |
支持CPU黑名单及攻击溯源防御功能 | |
资质 | ★投标产品须是国内外主流厂商产品 |
配置要求 | 实配:双主控,双电源,双交换网板,千兆电口≥48,万兆光口≥24,千兆光口≥24,3米万兆堆叠线缆≥2,提供3年原厂质保。 |
售后服务 | ★投标时提供原厂商针对此项目的授权原件及服务承诺书原件。 |
外联防火墙
技术指标 | 功能要求 |
硬件规格要求 | ★产品不少16个千兆电口,6个万兆光口,支持冗余电源。 |
产品性能要求 | ★网络层吞吐量≥25Gbps,应用层吞吐量≥9Gbps,防病毒吞吐量≥3.5Gbps;IPS吞吐量≥2.5Gbps并发连接数≥410万,每秒新建连接数≥18万。 |
工作模式 | 产品支持路由模式、透明模式、虚拟网线模式、旁路镜像模式等多种部署方式。 |
产品支持虚拟防火墙功能,支持虚拟防火墙的创建和删除,具备独立的接口、会话管理、应用控制策略、NAT等资源。 | |
路由特性 | 产品支持静态路由、策略路由和多播路由协议。 |
产品支持BGP、RIP、OSPF等动态路由协议。 | |
NAT功能 | 产品支持多对一、一对多和一对一等多种地址转换方式。 |
产品支持NAT穿透技术ALG,支持FTP、TFTP、SQLNET、PPTP、RTSP、SIP、H.323等协议。 | |
访问控制 | 产品支持基于网络区域、网络对象、MAC地址、服务、应用等维度进行访问控制策略设置。 |
应用控制 | ★产品支持对不少于9160种应用的识别和控制,应用类型包括游戏、购物、图书百科、工作招聘、P2P下载、聊天工具、旅游出行、股票软件等类型应用进行检测与控制。 |
DDoS防护 | 产品支持异常数据包攻击防御,防护类型包括IP数据块分片传输防护、Teardrop攻击防护、Smurf攻击防护、Land攻击防护、WinNuke攻击防护等攻击类型。 |
入侵防御 | ★产品内置不低于10800种漏洞规则,同时支持在控制台界面通过漏洞ID、漏洞名称、危险等级、漏洞CVE标识、漏洞描述等条件查询漏洞特征信息,支持用户自定义IPS规则。 |
★产品支持僵尸主机检测功能,产品内置僵尸网路特征库超过128万种,可识别主机的异常外联行为。 | |
防病毒 | ★产品支持对压缩病毒文件进行检测和拦截,压缩层数支持15层及以上。 |
★产品支持勒索病毒检测与防御功能。 | |
蜜罐联动 | ★产品支持主动防御功能,通过与云端蜜罐智能联动,通过仿真虚拟业务混淆黑客攻击,并对攻击进行溯源取证和阻断威胁IP,保护网络真实业务安全。 |
策略生命周期管理 | ★产品支持对策略变更内容进行日志审计记录,至少包含策略变更日期、变更原因、变更内容等。 |
产品资质 | ★所投产品通过ICSA Labs 防火墙品类产品认证。 |
★所投产品具备IT产品信息安全认证证书EAL4增强级。 | |
售后服务 | ★提供三年产品质保,三年软件升级,三年IPS漏洞规则库及病毒库更新服务、原厂工程师上门安装服务。 |
★投标时提供原厂商针对此项目的授权原件及服务承诺书原件。 |
上网行为管理
技术指标 | 功能要求 |
性能要求 | ★网络层吞吐量≥10G,应用层吞吐量≥1.5G,带宽性能≥1G,IPSEC VPN加密性能(最高性能):200Mb,支持用户数≥1500,每秒新建连接数≥14000,最大并发连接数≥600000。 硬件参数:规格:1U,内存大小≥8G,硬盘容量≥64GB MSATA+480G SSD,冗余电源;千兆电口≥6,千兆光口≥2; |
部署方式 | 支持路由模式(NAT、路由转发、DHCP、GRE、OSPF)、网桥模式(多路桥接模式)、旁路模式; |
★支持两台及两台以上设备同时做主机的部署模式; | |
认证方式 | ★支持终端用户账号绑定手机号码和微信号,绑定后可以通过手机验证码和微信扫码实现上网快捷登录认证。 |
支持短信认证方式,用户输入手机号作为用户名,通过短信平台发送验证码; | |
★支持通过OAuth认证协议对接,支持阿里钉钉,口袋助理,企业微信第三方账号授权认证; | |
★支持提供二维码和会议号,用户扫码或输入会议号认证上网;支持通过验证手机号码实名认证; | |
网页管理 | 设备内置海量预分类的URL地址库,能够针对:网上购物、成人内容、求职招聘、宗教、在线影音及下载、游戏资讯、网上聊天、个人网站及博客、色情、赌博、非法药物、风水命理、娱乐场所、汽车、餐饮、钓鱼及恶意网站、网上银行、在线支付等各种URL类型做识别和分类,同时所有URL类型都支持区分“网站浏览”、“文件上传”、“其他上传”、“HTTPS”等细分行为并分别做权限控制; |
★URL数量在3000万以上,包含分类数量150个以上; | |
支持根据访问的URL、网页关键字进行网页过滤,支持设置拒绝以IP访问网页行为;支持在放行URL时,自动放行主域名的子链接中被禁止的网站,保证网页显示完整; | |
识别并过滤SSL加密的钓鱼网站、非法网站等,支持将违规https访问重定向到告警页面; | |
★支持客户端SSL解密,客户端会自动推送根证书安装; | |
应用管理 | ★设备内置应用识别规则库,支持超过9000条应用规则数、支持超过6000种以上的应用;支持根据标签选择应用,并支持给每个应用自定义标签;支持根据标签选择一类应用做控制; |
支持超过900种主流Saas应用,对Saas应用有默认分类标签,帮助客户统一配置策略 | |
★支持QQ白名单功能,仅允许使用列表中的QQ号,支持PC和移动QQ应用; | |
流量管理 | 支持在设置流量策略后,根据整体线路或者某流量通道内的空闲情况,自动启用和停止使用流量控制策略,以提升带宽的高使用率;空闲值可自定义; |
★支持通过抑制P2P的上行流量,来减缓P2P的下行流量,从而解决网络出口在做流控后仍然压力较大的问题; | |
用户配额管理 | 支持对单个用户/用户组、位置、终端类型等设置日流量、月流量配额功能;必须支持流量配额的配置、实时使用量查询; |
★基于“流量”、“流速”、“时长”设置配额,当配额耗尽后,将用户加入到指定的流控黑名单惩罚通道中;用户指定应用上网流速超过预设阈值后,网关自动提醒该用户 | |
终端资产管理 | ★支持图形化查看当前内网IP使用情况,帮助管理员减少人工维护IP表的工作量; |
★对网络接入的终端进行可视化管理,展示终端详细信息、合规状态等,支持查看终端类型,以及终端详细信息(厂商,系统,端口等); | |
排障工具 | ★支持针对上网权限策略进行检测分析,查看各个应用是否匹配相关策略; |
支持针对用户认证的故障进行分析,给出错误详情以及处置建议; | |
★支持客户端解密排障,自动检测解密审计不成功原因; | |
针对内网用户的web访问质量进行检测,对整体网络提供清晰的整体网络质量评级; | |
产品资质 | ★要求所投产品应具备相当的技术认可度; |
★要求所投产品应为市场成熟产品; | |
服务要求 | ★要求提供三年的产品软件升级、产品质保服务;三年URL&应用规则识别库升级服务、原厂工程师上门安装服务。 |
★投标时提供原厂商针对此项目的授权原件及服务承诺书原件。 |
运维管理区漏洞扫描
技术指标 | 功能要求 |
基本要求 | 产品需使用专门的硬件,有自主知识产权的安全操作系统,采用B/S设计架构,并采用SSL加密通信方式,无须安装客户端,用户可通过浏览器远程方便的对产品进行管理。 |
1U机架式设备,含1个RJ45串口,1个GE管理口,4个10M/100M/1000M自适应以太网电口扫描口,1个接口扩展槽位,含交流单电源。 | |
支持IPv4和IPv6环境的部署和扫描 | |
产品性能 | 允许最大并发扫描≥30个IP地址,允许最大并发任务≥5个任务,支持无限IP授权扫描。 |
开启全插件漏洞扫描、弱口令探测和登陆扫描后扫描速度不低于1000 ip/h。 | |
产品应支持多路扫描功能,可以同时对多个隔离业务子网进行扫描。 | |
资产探测 | ★支持资产探测功能,可单独下发主机资产探测和Web资产探测扫描任务。 主机资产探测任务可配置扫描模板,支持CPE模板、常规模板和工控物联网模板。 |
★支持的资产标记库数量大于23000条,覆盖操作系统、应用软件、硬件、中间件等资产。 | |
漏洞管理和分析 | ★支持检测的漏洞数大于240000条,兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准,并提供CVE Compatible证书。 |
产品支持对系统漏洞扫描、web漏洞、配置合规进行检查和综合分析,可输出同时包含漏洞扫描和配置核查结果的报表。 | |
同时支持远程扫描和采用SMB、SSH、RDP、Telnet等协议对Windows、Linux等系统进行登录扫描。 | |
★产品应支持通过多种维度对漏洞进行检索,包括:CVE ID、BUGTRAQ ID、CNCVE ID、CNVD ID、CNNVD ID、MS 编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息。 | |
★提供高级漏洞模板过滤器,支持将符合筛选条件的漏洞自动加入到自定义漏洞模板中,及后续插件升级包中的漏洞也可以自动加入到模板中。 | |
★内置不同的漏洞模板针对Unix、Windows操作系统、网络设备和防火墙等模板,同时支持用户自定义扫描范围和扫描策略;支持自动模板匹配技术。 | |
支持扫描国产操作系统、应用及软件的安全漏洞,如华为欧拉、open欧拉、统信、麒麟、bclinux、达梦、南大通用、人大金仓、神通、金蝶、东方通等。 | |
支持扫描大数据组件框架的漏洞,需覆盖Ambari、Cassandra、Elasticsearch、Flume、Hadoop、Hbase、Hdfs、Hive、 Impala、Kafka、Mongodb、Oozie、Redis、Spark、Storm、Yarn、Zookeeper,要求能够扫描大于300条相关漏洞。 | |
★支持扫描主流云主机管理系统的安全漏洞,如:VMWareESX/ESXi、KVM、Xen,要求能够扫描大于5000条相关漏洞。 | |
支持识别多种物联网设备,覆盖常见品牌摄像头、打印机、路由器,能够扫描大于100条相关漏洞。 | |
★支持扫描容器镜像存在的漏洞,支持扫描互联网上公开仓库中的镜像以及私有仓库中的镜像。 | |
★支持对C/C++/Python/Java/Php/go等语言的代码解析,语言的词法、语法分析。内置缺陷模板和缺陷规则,并支持自定义。 | |
★支持对扫描出的漏洞提供取证性质的验证并输出报告,直观展示漏洞利用过程和危害性。支持漏洞验证扫描任务,包括系统漏洞验证扫描、Web漏洞验证扫描。 | |
★支持通过在目标资产部署终端代理agent方式,实时精准获取资产信息,进一步完成漏洞分析扫描。 | |
支持专门针对DNS服务的安全漏洞检测,包括DNS投毒等漏洞检测能力;支持“幽灵木马”检测。 | |
★支持专门针对已有攻击利用代码的漏洞检测,检测用户资产是否存在可利用的漏洞。 | |
支持Oracle、MySQL、MS SQL、DB2、Sybase、MongoDB数据库漏洞检查。 | |
支持智能端口挖掘,可以智能发现非默认端口启动的服务。 | |
具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用SMB、RDP、SSH、Telnet、SQL SERVER、MySQL 、Oracle、Sybase、DB2、MongoDB、Memcached、Redis 、PostgreSQL 、HighGo 、UXDB 、Kingbase 、STDB 、FTP、SFTP、ActiveMQ、POP3、Tomcat、SMTP、IMAP、Onvif、RTSP、 SNMP、SIP、Vmware ESXi、HTTP Digest、Weblogic、Elasticsearch、Websphere等协议进行口令猜测,允许外挂用户提供的用户名字典、密码字典和用户名密码组合字典。 | |
支持立即执行、定时执行、周期执行扫描任务,自定义的周期时间可精确至每*月第*个星期*的*点*分。 | |
支持断点续扫,可对已完成的扫描任务中没有被覆盖到的目标重新下发扫描任务。 | |
支持扫描时间段控制,只在指定时间段内执行任务,未完成任务在下一时间段自动继续执行。 | |
支持复用已有任务配置用于新的扫描任务。 | |
★支持认证信息管理,可将系统登录信息、配置检查模板进行统一管理和配置,提供登录信息导入功能,无须每次下任务时进行配置。可跟堡垒机联动获取账户的密码,支持登录信息的批量更新和全部更新。 | |
支持和微软WSUS补丁系统的联动,能够在发给主机管理员的邮件中附带自动配置WSUS的注册表文件,方便进行自动化的补丁修补。 | |
提供通过资产树对资产进行分级管理,支持设备权重设置和可信设备登记,支持将资产信息批量导入到资产树,可在资产树上直接指定主机开展扫描任务。 | |
可以通过多种维度搜索定位资产和查看资产风险,包括并不限于:节点或设备名称、资产IP范围、资产管理员、资产操作系统类型、资产风险等级、漏洞名称、开放的端口、资产banner信息等。 | |
★支持风险告警和风险闭环处理,可在集中告警平台灵活配置告警内容、告警方式、告警资产范围等,支持邮件和页面告警,支持单个或批量修改风险状态。 | |
★支持自定义风险值计算标准配置,可对主机风险等级评定标准和网络风险等级评定标准进行自定义。 | |
风险展示和报表 | ★支持通过仪表盘直观展示资产风险值、主机风险等级分布、资产风险趋势、资产风险分布趋势等内容,并可查看详情。 |
支持在线报表,在线查看展示各节点和主机资产风险分布、漏洞分布、配置合规和脆弱账号信息,在线查看设备风险详情。 | |
报表输出范围支持普通扫描任务、Web应用扫描任务、镜像扫描任务、代码审计任务、主机资产探测任务和web资产探测任务 | |
★支持高级数据分析,可对同一IP的两次扫描结果进行风险对比分析,并可在线查看同一IP的多次历史扫描结果。 | |
支持将按IP范围、起止时间、任务名称、任务状态、漏洞模板、用户等筛选扫描任务,并对筛选结果进行汇总,和生成在线及离线报表。 | |
★支持实现显示扫描结果,包括扫描进度、主机存活数、预计扫描时间、漏洞风险信息等。 | |
支持扫描任务完成后自动生成报表和发送到指定邮箱或上传到FTP服务器。 | |
★提供多种报表类型,包括综述报表和主机报表。 | |
报表能提供针对不同角色的默认模板,离线报告支持HTML、WORD、EXCEL、PDF、XML等格式,报告可以直接下载或自动通过邮件直接发送给相应管理人员。 | |
★提供灵活的报表自定义,可定制报表标题、封面logo、报表页眉和页脚、报表各章节显示内容。 | |
多权限用户管理 | 支持不同用户角色权限管理,区分系统管理员、普通用户、审计管理员等角色,不同管理员拥有不同的管理权限。 |
支持多用户分级权限管理,可为每个用户角色分配账号、任务级的权限分配、允许登录的IP范围和允许扫描的IP范围等。 | |
提供审计功能,能够对登录日志、操作日志和异常报告进行记录和查询。 | |
二次开发接口和维护 | 具备对外接口,支持安全运营平台或其它安全产品通过该接口下发扫描任务以及获取检查结果。 |
支持分布式大规模部署,可通过统一平台进行集中化管理。 | |
提供备份恢复机制,能够对扫描结果、扫描模板、参数集等配置文件进行导出和导入操作;能够对系统创建还原点对系统进行备份和还原。 | |
★支持手动和自动升级。自动定时升级支持Http代理方式,立即升级支持一键式更新。 | |
漏洞知识库至少每隔一周进行一次定期升级。 | |
具备应急漏洞响应能力,可在紧急漏洞爆发后第一时间提供检测插件。 | |
产品资质 | ★产品要求为国内开发,具备自主知识产权,具备高度稳定性和可靠性。 |
★产品应该是被广泛应用的成熟产品。 | |
服务要求 | ★要求提供三年的产品软件升级、产品质保服务;原厂工程师上门安装服务。 |
★投标时提供原厂商针对此项目的授权原件及服务承诺书原件。 |
二标段:招标清单及招标参数
(一)招标清单
序号 | 类型 | 数量 | 规格参数 | 品牌 |
1 | 区域隔离防火墙 | 2 | 软硬件平台基本系统,含硬件保修、应用识别库升级和软件升级维护服务。硬件参数:机架型1U,2×10GE + 8×GE(光) + 16×GE(电) + MGT + HA,1个接口扩展槽(含扩展卡),交流双电源,配置一块480G硬盘 SSD硬盘;性能参数:吞吐20G,IPS吞吐17.5G,AV吞吐9.4G;并发1000万,新建31万,含三年IPS、AV、Ti(威胁情报)服务 | 山石、东软、安恒 |
2 | 外联区外层异构防火墙 | 2 | 标准机架式结构,标配18个千兆电口,8个千兆SFP接口,2个万兆SFP+光口;默认整机吞吐量20G;IPS吞吐10G;NGFW吞吐5G;并发连接数300万;延时≤5us;实配用户数300;交流冗余电源。具备反病毒、反垃圾邮件、DLP、IPS、WEB过滤、防僵尸网络、防APT攻击、应用识别与控制、广域网优化功能,包含三年特征库升级服务 | 山石、东软、安恒 |
3 | 外联区内层异构防火墙 | 2 | 软硬件平台基本系统,含硬件保修、应用识别库升级和软件升级维护服务。硬件参数:机架型1U,2×10GE + 8×GE(光) + 8×GE(电) + MGT,交流双电源;配置一块480G硬盘 SSD硬盘;性能参数:吞吐16G,IPS吞吐5G,AV吞吐4.2G;并发250万,新建13万,含三年IPS、AV、Ti(威胁情报)服务 | 山石、东软、安恒 |
4 | 内联防火墙 | 2 | 软硬件平台基本系统,含硬件保修、应用识别库升级和软件升级维护服务。硬件参数:机架型1U,2×10GE + 8×GE(光) + 8×GE(电) + MGT,交流双电源;配置一块480G硬盘 SSD硬盘;性能参数:吞吐10G,IPS吞吐8.3G,AV吞吐4.8G;并发220万,新建13万,含三年IPS、AV、Ti(威胁情报)服务 | 山石、东软、安恒 |
5 | WAF防火墙 | 2 | 标准2U硬件平台 标配网口:2千兆电口管理口,千兆业务电口*4(含2组硬件BYPASS模块),千兆业务光口*4(标配GE多模SFP模块*2,不含硬件BYPASS模块) 1*RJ45串口 标准可热插拔电源模块*2 保护站点:无限制 硬件性能:网络吞吐量6Gbps,HTTP应用吞吐量4Gbps,HTTP最大并发数30万,HTTP最大新建数3万,HTTPS应用吞吐量1Gbps,HTTPS最大并发数6万,HTTPS最大新建数6000 提供3年原厂质保 | 山石、东软、安恒 |
6 | 态势感知 | 1 | 支持200个日志源资产; 支持≤1Gbps的镜像流量 硬件参数:CPU≥24核,内存≥128GB,配置企业级存储磁盘总容量≥24TB,接口要求≥千兆电口*4,冗余1+1电源模块。 软件要求:内置威胁情报订阅模块的能力,帮助产品实现实时定位、预警、降噪以及分析威胁趋势; 支持在线和离线更新威胁情报数据; 支持在平台中在线查询情报(如IP/域名),查询结果包括:威胁类型、情报来源、WHOIS、开放端口、关联情报、SSL证书、样本分析等多个维度的溯源结果; 威胁情报云端能力:提供海量的威胁情报数据、持续更新IP情报、域名情报、哈希情报、漏洞情报、APT情报、事件情报等 提供3年原厂质保 | 山石、东软、安恒 |
7 | 堡垒机 | 1 | 规格:2U,接口:千兆电口管理口*2,千兆业务电口*4,千兆业务光口*4(含2个千兆SFP多模光模块) 硬盘:2T*2 RAID1,USB口:USB2.0*2,串口:RJ45口*1,电源:1+1热插拔冗余电源 授权数:500,并发字符连接最大:500个,并发图形连接最大:100个, 提供3年原厂质保 | 山石、东软、安恒 |
8 | 日志审计 | 1 | 规格:2U,接口:6个千兆工作管理口(1管理口+1HA口+4审计口),4个千兆光口(含2个千兆SFP多模光模块),1个console口 内存:16GB,硬盘:2T*2 RAID1,1+1冗余电源 日志处理能力EPS:9000/秒,峰值:12000/秒,日志源支持量:200个 提供3年原厂质保 | 山石、东软、安恒 |
9 | 数据库审计 | 1 | 规格:2U,CPU:4核,内存:16GB,硬盘:2T*2 RAID1,接口:1管理口+1HA口+8审计口(4个千兆电+4个千兆光口,标配2个千兆SFP多模光模块,2根3米LC-LC跳线) 1+1冗余电源 总网络吞吐量:2000Mbps,双向审计最大数据库六类:200Mbps,峰值事务处理能力TPS:20000条/秒,日志数量存储:20亿条,数据库实例授权许可数量:20 提供3年原厂质保 | 山石、东软、安恒 |
备注 | 一、招标人对本项目设备提供了推荐品牌和技术需求,投标人必须按招标人提供的推荐品牌和技术需求进行投标报价,投标人如拟投产品不在推荐品牌之列的,拟投品牌不得低于推荐的品牌,并将拟投产品的技术资料及相关证明材料在开标一天前报招标人,招标人将组织进行评审,当三分之二及以上评委认定,所投品牌、型号档次等于或高于建议品牌档次的,将以补充通知的形式在相关网站予以公布,所投品牌档次低于推荐品牌档次的,则不予受理。投标文件中报价品牌、型号为非推荐品牌且未在规定时间内经招标人评审通过以补充通知形式发布的,将被视作无效报价。 二.中标人需为采购人提供7*24小时应急响应服务,在接到采购人紧急保修时,中标人务必在半小时内响应,8小时内到达现场维修。如24小时内不能修复,中标人则免费提供与故障设备同容量、同品牌(或同等档次)的设备并负责安装调试正常使用。 三.质保期内在每年巡检四次,巡检中标设备时发现问题应及时处理,每次巡检完毕提供巡检报告。 | |||
(二)招标参数
监控大数据区域隔离防火墙
技术指标 | 功能要求 |
硬件规格 | 机架式硬件设备,基于高性能硬件平台和专业安全操作系统,多核处理器硬件架构;标配单电源,可配冗余双电源;可配置≥480G/1T/2T SSD硬盘。 |
★配置≥16个千兆电口,≥8个千兆光口,≥2个万兆光口;提供RJ45串口≥1个、USB3.0口≥2个、MGT口≥1个。SSD硬盘≥480G | |
★防雷击,必须通过国家无线电监测中心检测中心浪涌(冲击)抗扰度(4KV)测试项目 | |
性能 | ★网络吞吐量≥20Gbps,IPv6并发连接数≥800万,IPv4并发连接数≥1000万,IPS吞吐量≥19Gbps,AV吞吐量≥9.4Gbps;IPSec隧道数≥20000个,IPsec VPN吞吐量≥12Gbps并发SSL VPN用户≥8个,可支持扩展到10000个。本次配置三年IPS,AV,TI(威胁情报)授权 |
网络适应性 | 支持透明、路由、混合、直连(虚拟线)模式 |
支持对3000+ 种应用的识别和控制 | |
要求支持多系统引导,并可在WEB界面上直接配置启动顺序; | |
★支持静态路由、ISP路由,OSPF、BGP、RIP、ISIS、策略路由,策略路由支持基于应用协议的路由功能,根据应用类型进行路由选择 | |
★支持BFD 功能,支持BFD与静态路由/OSPF/BGP进行联动。快速检测到与相邻设备间的通信故障,减小设备故障对业务的影响。通过与动态路由协议联动,缩短收敛时间,提升可靠性。 | |
支持基于源地址、目的地址、生效时间、应用协议(http、https、mysql、ms-sql、sqlnet、sip等)限制新建连接、并发连接 | |
支持将任意接口数据完全镜像到设备自身的其他接口用于抓包分析,支持基于源IP、目的IP、源端口、目的端口、网络协议(TCP、UDP、ICMP)等条件对镜像流量进行过滤,并且支持选择入方向、出方向及双向流量镜像。 | |
支持出站负载均衡功能,能够自动探测多出口,选择最快的出口转发;支持基于多出口的DNS代理功能,可根据配置实现对不同外网线路的DNS服务器地址管理;支持入站SmartDNS,能自动判断访问者的IP地址并解析出对应的IP地址,提升网站访问速度;支持服务器负载均衡功能,提供加权轮询、加权最小连接数、加权散列等多种负载均衡方式;支持web界面实时显示所有服务器的状态和当前连接数 | |
★支持把同一类型的策略通过聚合策略或者策略组的功能进行统一管理;支持策略命中数统计、冗余策略检测功能;支持通过策略助手功能帮助管理员自动生成安全策略 | |
支持口令认证、短信认证、口令+短信方式的Web认证,短信认证支持阿里云和ACC CEP2.0协议的电信等4种短信服务网关,支持WebAuth认证页面定制 | |
NAT功能 | 支持多对一、多对多的NAT地址转换,且公网地址池可选择逐一使用和同时使用两种模式。 |
★支持NAT444模式,支持导出NAT444静态映射表 | |
为解决公网IP地址资源问题,要求必须支持NAT的端口扩展技术,支持NAT full cone模式。 | |
★支持NAT公网地址池中IP有效性检测,避免因NAT地址无法使用导致业务中断 | |
攻击防护 | 支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护,支持IP地址扫描,端口扫描防护,支持欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测 |
★支持源/目的IP地址白名单 | |
入侵防御 | ★具备12000种以上攻击特征库规则列表,并可自定义特征库,设备具备CVE漏洞防护能力 |
支持缓冲区溢出、SQL注入和跨站脚本攻击的检测和防护,支持专业的Web Server防护功能,含CC攻击防护和外链防护等 | |
支持旁路和在线两种模式,支持基于安全策略和安全域启用IPS功能,可在不同的攻击方向上启用IPS(至少支持流入流出双向等方向) | |
支持源/目的IP地址、特征ID白名单 | |
病毒过滤 | 支持对HTTP、SMTP、POP3、IMAP4、FTP、SMB协议传输的文件进行病毒扫描,不少于300万病毒特征库 |
支持用户手动添加MD5特征码到AV病毒库中,也可以手动清除该特征码。 | |
威胁情报 | ★支持与云端威胁情报中心联动,支持热点情报推送到设备,并提供配置向导协助用户生成安全防护策略 |
支持威胁情报与防火墙威胁事件、威胁日志检测结果加强与取证,用户可通过手动触发与自动触发将日志元素上送威胁情报平台进行上下文查询。 | |
终端安全管控 | 支持视频管控功能;支持识别IP摄像头、网络视频录像机等各类网络终端;支持终端类型、IP、终端状态等条件过滤查询终端监控结果;支持自定义准入名单,对接入的终端进行管理 |
支持防止共享上网功能,可识别共享上网终端的数量、操作系统(包括windows、IOS、Android)并阻断 | |
支持对用户/用户组限制指定时间段内的流量总额;支持限制每日总流量和每月总流量。 | |
数据安全 | 支持HTTP、FTP、SMTP、POP3、IMAP、SMB等协议设置文件过滤 |
支持基于文件类型、文件大小、文件名称进行数据传输安全控制,其中文件类型不少于100种 | |
支持对网页关键字、Web外发信息、邮件过滤、应用行为控制等内容进行过滤 | |
支持新浪微博、微信UID和QQ虚拟身份的识别及相关上网行为的审计记录 | |
IPV6功能 | 支持IPV6邻居发现协议、IPV6 SNMP管理、IPV6路由配置、IPV6 DNS配置、IPV6策略配置、IPV6 ALG配置、IPV6 6TO4隧道配置、IPV6 4to6隧道配置、NAT-PT配置、NAT64和DNS64配置 |
★支持对IPV6用户的会话日志监控、流量监控、应用监控功能,并且能够对IPV6用户进行自定义监控统计功能 | |
VPN功能 | 支持标准IPSec VPN(IKEV1/V2)、GRE、L2TP(IPV4/IPV6)、Xauth等VPN连接;支持国密算法SM2/SM3/SM4;支持Android、iOS等移动设备的安全接入。 |
提供SSL VPN功能;必须支持对登录SSL VPN的用户端系统进行端点安全检查,至少包括指定文件、指定进程、系统补丁、浏览器版本、杀毒软件等方面 | |
SSL解密 | 支持基于客户端、服务端流量检查功能;支持基于HTTPS/SMTPS/POP3S/IMAPS协议的应用解密功能 |
支持基于URL分类设置白名单;提供SSL代理根证书供PC端使用,以消除浏览器告警提示,并能在浏览器上弹出下载提示。 | |
云安全运维 | ★提供手机APP,实施监控展现设备CPU利用率、内存利用率、并发连接数、流量等状态 |
★提供防火墙威胁分析服务,包括攻击级别展示、攻击类型分析、攻击者和受害者信息统计分析 | |
管理功能 | 支持不少于8个配置文件并存,并支持配置文件备注以便配置回退。 |
提供标准的SNMPV1/V2/V3协议管理方式;支持LLDP协议。 | |
支持预定义和自定义报表模板,可自定义报表内容,报表内容包含网络及安全风险概况、网络流量详情、应用统计及风险详情、URL活动及风险详情、网络风险威胁详情和威胁说明等;报表格式支持PDF、HTML、WORD。 | |
支持netflow进行流量信息采集和外发。 | |
支持链路状态监控,可以查看链路的延迟、丢包率、抖动信息,可查看指定应用/应用组详情,支持选择多条链路进行对比分析 | |
支持数据包路径检测工具通过在线检测、模拟检测等检测手段,WEB界面图形化展现数据包经过的每个防火墙功能模块的处理过程,以便快速定位异常功能模块 | |
WEB界面支持在线抓包工具,可以根据源地址、目的地址、应用、协议、抓包时长等条件在线抓包 | |
售后服务 | ★提供3年硬件及软件升级服务;产品的安装、培训由原厂工程师完成实施; |
★提供原厂商对本项目的授权和售后服务承诺 |
外联区外层异构防火墙
技术指标 | 功能要求 |
基本要求 | ★国产品牌,采用ASIC芯片架构,并对各项安全功能进行加速优化处理; ★采用专用安全操作系统,系统基于可信安全操作平台。 |
接口及性能要求 | ★硬件规格≤1U;标配18个千兆电口,8个千兆SFP接口,2个万兆SFP+光口;默认整机吞吐量20G;IPS吞吐10G;NGFW吞吐5G;并发连接数300万;延时≤5us;实配用户数300;交流冗余电源。 |
特征要求 | ★实配反病毒(特征库≥1500万,含移动终端检测)、反垃圾邮件、DLP、IPS、Web过滤(分类≥70种;特征库≥2亿)、防僵尸网络、防APT攻击、应用识别与控制、工业协议管控;以上功能模块三年特征库升级服务; ★实配IPsecVPN功能,实配隧道数≥7000,客户端数≥15000;实配SSLVPN功能,实配用户数300; |
访问控制 | ★支持一体化安全策略配置,可以通过一条策略实现五元组信息过滤、时间、接口、安全域过滤、安全检查(IPS、应用控制、网页过滤、DNS过滤、AV检查、SSL检查)、源NAT、目标NAT功能; 支持基于地区国家、IP网段、IP范围、域名、IPV6、多播地址的地址定义方法; |
组网能力 | 支持静态路由、策略路由、及RIP、OSPF、BGP、IS-IS动态路由协议,能够与网络无缝集成; 支持IPv6和IPv4双栈协议并存,支持NAT64和NAT46功能; 支持NAT、透明模式、旁路模式、混合模式部署,在任何模式下都支持虚拟防火墙技术和各种HA功能,支持NAT模式下的透明接口对。支持NAT和透明的混合部署模式; ★支持DNS Doctoring功能,能够将来自内部网络的域名解析请求定向到真实内网资源,提高访问效率; |
HA功能 | HA群组id值范围要求支持0-255; HA群组可实现2-4个节点的配置同步、会话同步及其它RTO同步; HA群组节点通过监控自身软硬件健康状态、监控上下游接口状态、上下游业务IP或端口的连通性实现主备自动切换; |
高级安全功能 | 支持10000种以上的入侵检测特征数目,支持特征码检测和行为检测,并支持分级(严重性、对象、OS类型、应用程序、协议)启用; 能识别常用网络应用软件(QQ、BT、eMule、迅雷、PPS等),支持检测3500种以上网络应用,并可进行阻断; 支持HTTP、FTP、IMAP、POP3、SMTP、IM、NNTP、HTTPS、IMAPS、POP3S、SMTPS协议病毒过滤,支持深达10级以上的文件压缩。可以限制过滤文件的大小,对超大文件采取“通过”或“阻止”动作; 支持15800000种以上的病毒特征库,能够针对新的攻击方法及时升级防护手段或攻击库特征; ★支持botnet僵尸网络库更新及阻断僵尸网络连接; 支持Internet服务数据库以及云应用的解析及应用控制,如亚马逊,百度,360,yahoo mail,office 365等; ★支持防数据泄漏功能,可基于信息内容或文件(类型、大小、指纹、水印等)定义,能对HTTP、FTP、SMTP、POP3等协议中的敏感内容进行过滤和阻断; 支持文档指纹识别、水印检测功能,提高文档安全性; |
广域网优化功能 | 支持SD-WAN功能; 支持基于用户、用户组的SD-WAN策略配置; 支持SLA功能,可以基于延时,抖动,丢包等进行链路健康检测,并提供链路质量的图形化展示; 支持网关与网关、网关与客户端的正反向透明代理缓存及非透明代理的正向缓存。 支持协议优化压缩,提高带宽利用率。(协议包括CIFS/FTP/MAPI/HTTP/HTTPS/TCP) 支持ICAP动态数据分块标记传输,实现数据快速传输。 |
管理功能 | 防火墙web管理界面可监控设备CPU利用率、内存利用率、并发会话数、会话新建数、HA状态、接口带宽利用率、日志记录速率,可显示TOP源、TOP目标、TOP应用等; ★防火墙web管理界面可展现基于策略的活跃会话数、策略第一次命中时间、最后一次命中时间、hit计数、基于策略的流量统计计数器; ★WEB界面需提供多接口并行抓包功能,可同时对多个接口进行抓包,可基于接口、主机地址、通信协议、端口号、Vlan、IPv4、IPv6、抓包数量进行设置; |
售后服务 | ★提供3年硬件及软件升级服务;产品的安装、培训由原厂工程师完成实施; |
★提供原厂商对本项目的授权和售后服务承诺 |
外联区内层异构防火墙
技术指标 | 功能要求 |
硬件规格 | 机架式硬件设备,基于高性能硬件平台和专业安全操作系统,多核处理器硬件架构;标配单电源,可配冗余双电源;可配置≥480G/1T/2T SSD硬盘。 |
★配置≥8个千兆电口,≥8个千兆光口,≥2个万兆光口;提供RJ45串口≥1个、USB3.0口≥2个、MGT口≥1个,SSD硬盘≥480G。 | |
★防雷击,必须通过国家无线电监测中心检测中心浪涌(冲击)抗扰度(4KV)测试项目 | |
性能 | ★网络吞吐量≥16Gbps,IPv6并发连接数≥180万,IPv4并发连接数≥250万,IPS吞吐量≥5Gbps,AV吞吐量≥4.2Gbps;IPSec隧道数≥8000个,IPsec VPN吞吐量≥6Gbps并发SSL VPN用户≥8个,可支持扩展到4000个。本次配置三年IPS,AV,TI(威胁情况)服务。 |
网络适应性 | 支持透明、路由、混合、直连(虚拟线)模式 |
支持对3000+ 种应用的识别和控制 | |
要求支持多系统引导,并可在WEB界面上直接配置启动顺序; | |
★支持静态路由、ISP路由,OSPF、BGP、RIP、ISIS、策略路由,策略路由支持基于应用协议的路由功能,根据应用类型进行路由选择 | |
★支持BFD 功能,支持BFD与静态路由/OSPF/BGP进行联动。快速检测到与相邻设备间的通信故障,减小设备故障对业务的影响。通过与动态路由协议联动,缩短收敛时间,提升可靠性。 | |
支持基于源地址、目的地址、生效时间、应用协议(http、https、mysql、ms-sql、sqlnet、sip等)限制新建连接、并发连接 | |
支持将任意接口数据完全镜像到设备自身的其他接口用于抓包分析,支持基于源IP、目的IP、源端口、目的端口、网络协议(TCP、UDP、ICMP)等条件对镜像流量进行过滤,并且支持选择入方向、出方向及双向流量镜像。 | |
支持出站负载均衡功能,能够自动探测多出口,选择最快的出口转发;支持基于多出口的DNS代理功能,可根据配置实现对不同外网线路的DNS服务器地址管理;支持入站SmartDNS,能自动判断访问者的IP地址并解析出对应的IP地址,提升网站访问速度;支持服务器负载均衡功能,提供加权轮询、加权最小连接数、加权散列等多种负载均衡方式;支持web界面实时显示所有服务器的状态和当前连接数 | |
★支持把同一类型的策略通过聚合策略或者策略组的功能进行统一管理;支持策略命中数统计、冗余策略检测功能;支持通过策略助手功能帮助管理员自动生成安全策略 | |
支持口令认证、短信认证、口令+短信方式的Web认证,短信认证支持阿里云和ACC CEP2.0协议的电信等4种短信服务网关,支持WebAuth认证页面定制 | |
NAT功能 | 支持多对一、多对多的NAT地址转换,且公网地址池可选择逐一使用和同时使用两种模式。 |
★支持NAT444模式,支持导出NAT444静态映射表 | |
为解决公网IP地址资源问题,要求必须支持NAT的端口扩展技术,支持NAT full cone模式。 | |
★支持NAT公网地址池中IP有效性检测,避免因NAT地址无法使用导致业务中断。 | |
攻击防护 | 支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护,支持IP地址扫描,端口扫描防护,支持欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测 |
★支持源/目的IP地址白名单 | |
入侵防御 | ★具备12000种以上攻击特征库规则列表,并可自定义特征库,设备具备CVE漏洞防护能力 |
支持缓冲区溢出、SQL注入和跨站脚本攻击的检测和防护,支持专业的Web Server防护功能,含CC攻击防护和外链防护等 | |
支持旁路和在线两种模式,支持基于安全策略和安全域启用IPS功能,可在不同的攻击方向上启用IPS(至少支持流入流出双向等方向) | |
支持源/目的IP地址、特征ID白名单 | |
病毒过滤 | 支持对HTTP、SMTP、POP3、IMAP4、FTP、SMB协议传输的文件进行病毒扫描,不少于300万病毒特征库 |
支持用户手动添加MD5特征码到AV病毒库中,也可以手动清除该特征码。 | |
威胁情报 | ★支持与云端威胁情报中心联动,支持热点情报推送到设备,并提供配置向导协助用户生成安全防护策略 |
支持威胁情报与防火墙威胁事件、威胁日志检测结果加强与取证,用户可通过手动触发与自动触发将日志元素上送威胁情报平台进行上下文查询。 | |
终端安全管控 | 支持视频管控功能;支持识别IP摄像头、网络视频录像机等各类网络终端;支持终端类型、IP、终端状态等条件过滤查询终端监控结果;支持自定义准入名单,对接入的终端进行管理 |
支持防止共享上网功能,可识别共享上网终端的数量、操作系统(包括windows、IOS、Android)并阻断 | |
支持对用户/用户组限制指定时间段内的流量总额;支持限制每日总流量和每月总流量。 | |
数据安全 | 支持HTTP、FTP、SMTP、POP3、IMAP、SMB等协议设置文件过滤 |
支持基于文件类型、文件大小、文件名称进行数据传输安全控制,其中文件类型不少于100种 | |
支持对网页关键字、Web外发信息、邮件过滤、应用行为控制等内容进行过滤 | |
支持新浪微博、微信UID和QQ虚拟身份的识别及相关上网行为的审计记录 | |
IPV6功能 | 支持IPV6邻居发现协议、IPV6 SNMP管理、IPV6路由配置、IPV6 DNS配置、IPV6策略配置、IPV6 ALG配置、IPV6 6TO4隧道配置、IPV6 4to6隧道配置、NAT-PT配置、NAT64和DNS64配置 |
★支持对IPV6用户的会话日志监控、流量监控、应用监控功能,并且能够对IPV6用户进行自定义监控统计功能 | |
VPN功能 | 支持标准IPSec VPN(IKEV1/V2)、GRE、L2TP(IPV4/IPV6)、Xauth等VPN连接;支持国密算法SM2/SM3/SM4;支持Android、iOS等移动设备的安全接入。 |
提供SSL VPN功能;必须支持对登录SSL VPN的用户端系统进行端点安全检查,至少包括指定文件、指定进程、系统补丁、浏览器版本、杀毒软件等方面 | |
SSL解密 | 支持基于客户端、服务端流量检查功能;支持基于HTTPS/SMTPS/POP3S/IMAPS协议的应用解密功能 |
支持基于URL分类设置白名单;提供SSL代理根证书供PC端使用,以消除浏览器告警提示,并能在浏览器上弹出下载提示。 | |
云安全运维 | ★提供手机APP,实施监控展现设备CPU利用率、内存利用率、并发连接数、流量等状态 |
★提供防火墙威胁分析服务,包括攻击级别展示、攻击类型分析、攻击者和受害者信息统计分析 | |
管理功能 | 支持不少于8个配置文件并存,并支持配置文件备注以便配置回退。 |
提供标准的SNMPV1/V2/V3协议管理方式;支持LLDP协议。 | |
支持预定义和自定义报表模板,可自定义报表内容,报表内容包含网络及安全风险概况、网络流量详情、应用统计及风险详情、URL活动及风险详情、网络风险威胁详情和威胁说明等;报表格式支持PDF、HTML、WORD。 | |
支持netflow进行流量信息采集和外发。 | |
支持链路状态监控,可以查看链路的延迟、丢包率、抖动信息,可查看指定应用/应用组详情,支持选择多条链路进行对比分析 | |
支持数据包路径检测工具通过在线检测、模拟检测等检测手段,WEB界面图形化展现数据包经过的每个防火墙功能模块的处理过程,以便快速定位异常功能模块 | |
WEB界面支持在线抓包工具,可以根据源地址、目的地址、应用、协议、抓包时长等条件在线抓包 | |
售后服务 | ★提供3年硬件及软件升级服务;产品的安装、培训由原厂工程师完成实施; |
★提供原厂商对本项目的授权和售后服务承诺 |
DMZ区内联防火墙
技术指标 | 功能要求 |
硬件规格 | 机架式硬件设备,基于高性能硬件平台和专业安全操作系统,多核处理器硬件架构;标配单电源,可配冗余双电源;可配置≥480G/1T/2T SSD硬盘。 |
★配置≥8个千兆电口,≥8个千兆光口,≥2个万兆光口;提供RJ45串口≥1个、USB3.0口≥2个、MGT口≥1个, SSD硬盘≥480G。 | |
★防雷击,必须通过国家无线电监测中心检测中心浪涌(冲击)抗扰度(4KV)测试项目 | |
性能 | ★网络吞吐量≥10Gbps,IPv6并发连接数≥150万,IPv4并发连接数≥220万,IPS吞吐量≥8.3Gbps,AV吞吐量≥4.8Gbps;IPSec隧道数≥6000个,IPsec VPN吞吐量≥5Gbps并发SSL VPN用户≥8个,可支持扩展到4000个。本次配置三年IPS,AV,TI(威胁情况)服务。 |
网络适应性 | 支持透明、路由、混合、直连(虚拟线)模式 |
支持对3000+ 种应用的识别和控制 | |
要求支持多系统引导,并可在WEB界面上直接配置启动顺序; | |
★支持静态路由、ISP路由,OSPF、BGP、RIP、ISIS、策略路由,策略路由支持基于应用协议的路由功能,根据应用类型进行路由选择 | |
★支持BFD 功能,支持BFD与静态路由/OSPF/BGP进行联动。快速检测到与相邻设备间的通信故障,减小设备故障对业务的影响。通过与动态路由协议联动,缩短收敛时间,提升可靠性。 | |
支持基于源地址、目的地址、生效时间、应用协议(http、https、mysql、ms-sql、sqlnet、sip等)限制新建连接、并发连接 | |
支持将任意接口数据完全镜像到设备自身的其他接口用于抓包分析,支持基于源IP、目的IP、源端口、目的端口、网络协议(TCP、UDP、ICMP)等条件对镜像流量进行过滤,并且支持选择入方向、出方向及双向流量镜像。 | |
支持出站负载均衡功能,能够自动探测多出口,选择最快的出口转发;支持基于多出口的DNS代理功能,可根据配置实现对不同外网线路的DNS服务器地址管理;支持入站SmartDNS,能自动判断访问者的IP地址并解析出对应的IP地址,提升网站访问速度;支持服务器负载均衡功能,提供加权轮询、加权最小连接数、加权散列等多种负载均衡方式;支持web界面实时显示所有服务器的状态和当前连接数 | |
★支持把同一类型的策略通过聚合策略或者策略组的功能进行统一管理;支持策略命中数统计、冗余策略检测功能;支持通过策略助手功能帮助管理员自动生成安全策略 | |
支持口令认证、短信认证、口令+短信方式的Web认证,短信认证支持阿里云和ACC CEP2.0协议的电信等4种短信服务网关,支持WebAuth认证页面定制 | |
NAT功能 | 支持多对一、多对多的NAT地址转换,且公网地址池可选择逐一使用和同时使用两种模式。 |
★支持NAT444模式,支持导出NAT444静态映射表 | |
为解决公网IP地址资源问题,要求必须支持NAT的端口扩展技术,支持NAT full cone模式。 | |
★支持NAT公网地址池中IP有效性检测,避免因NAT地址无法使用导致业务中断 | |
攻击防护 | 支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护,支持IP地址扫描,端口扫描防护,支持欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测 |
★支持源/目的IP地址白名单 | |
入侵防御 | ★具备12000种以上攻击特征库规则列表,并可自定义特征库,设备具备CVE漏洞防护能力 |
支持缓冲区溢出、SQL注入和跨站脚本攻击的检测和防护,支持专业的Web Server防护功能,含CC攻击防护和外链防护等 | |
支持旁路和在线两种模式,支持基于安全策略和安全域启用IPS功能,可在不同的攻击方向上启用IPS(至少支持流入流出双向等方向) | |
支持源/目的IP地址、特征ID白名单 | |
病毒过滤 | 支持对HTTP、SMTP、POP3、IMAP4、FTP、SMB协议传输的文件进行病毒扫描,不少于300万病毒特征库 |
支持用户手动添加MD5特征码到AV病毒库中,也可以手动清除该特征码。 | |
威胁情报 | ★支持与云端威胁情报中心联动,支持热点情报推送到设备,并提供配置向导协助用户生成安全防护策略 |
支持威胁情报与防火墙威胁事件、威胁日志检测结果加强与取证,用户可通过手动触发与自动触发将日志元素上送威胁情报平台进行上下文查询。 | |
终端安全管控 | 支持视频管控功能;支持识别IP摄像头、网络视频录像机等各类网络终端;支持终端类型、IP、终端状态等条件过滤查询终端监控结果;支持自定义准入名单,对接入的终端进行管理 |
支持防止共享上网功能,可识别共享上网终端的数量、操作系统(包括windows、IOS、Android)并阻断 | |
支持对用户/用户组限制指定时间段内的流量总额;支持限制每日总流量和每月总流量。 | |
数据安全 | 支持HTTP、FTP、SMTP、POP3、IMAP、SMB等协议设置文件过滤 |
支持基于文件类型、文件大小、文件名称进行数据传输安全控制,其中文件类型不少于100种 | |
支持对网页关键字、Web外发信息、邮件过滤、应用行为控制等内容进行过滤 | |
支持新浪微博、微信UID和QQ虚拟身份的识别及相关上网行为的审计记录 | |
IPV6功能 | 支持IPV6邻居发现协议、IPV6 SNMP管理、IPV6路由配置、IPV6 DNS配置、IPV6策略配置、IPV6 ALG配置、IPV6 6TO4隧道配置、IPV6 4to6隧道配置、NAT-PT配置、NAT64和DNS64配置 |
★支持对IPV6用户的会话日志监控、流量监控、应用监控功能,并且能够对IPV6用户进行自定义监控统计功能 | |
VPN功能 | 支持标准IPSec VPN(IKEV1/V2)、GRE、L2TP(IPV4/IPV6)、Xauth等VPN连接;支持国密算法SM2/SM3/SM4;支持Android、iOS等移动设备的安全接入。 |
提供SSL VPN功能;必须支持对登录SSL VPN的用户端系统进行端点安全检查,至少包括指定文件、指定进程、系统补丁、浏览器版本、杀毒软件等方面 | |
SSL解密 | 支持基于客户端、服务端流量检查功能;支持基于HTTPS/SMTPS/POP3S/IMAPS协议的应用解密功能 |
支持基于URL分类设置白名单;提供SSL代理根证书供PC端使用,以消除浏览器告警提示,并能在浏览器上弹出下载提示。 | |
云安全运维 | ★提供手机APP,实施监控展现设备CPU利用率、内存利用率、并发连接数、流量等状态 |
★提供防火墙威胁分析服务,包括攻击级别展示、攻击类型分析、攻击者和受害者信息统计分析 | |
管理功能 | 支持不少于8个配置文件并存,并支持配置文件备注以便配置回退。 |
提供标准的SNMPV1/V2/V3协议管理方式;支持LLDP协议。 | |
支持预定义和自定义报表模板,可自定义报表内容,报表内容包含网络及安全风险概况、网络流量详情、应用统计及风险详情、URL活动及风险详情、网络风险威胁详情和威胁说明等;报表格式支持PDF、HTML、WORD。 | |
支持netflow进行流量信息采集和外发。 | |
支持链路状态监控,可以查看链路的延迟、丢包率、抖动信息,可查看指定应用/应用组详情,支持选择多条链路进行对比分析 | |
支持数据包路径检测工具通过在线检测、模拟检测等检测手段,WEB界面图形化展现数据包经过的每个防火墙功能模块的处理过程,以便快速定位异常功能模块 | |
WEB界面支持在线抓包工具,可以根据源地址、目的地址、应用、协议、抓包时长等条件在线抓包 | |
售后服务 | ★提供3年硬件及软件升级服务;产品的安装、培训由原厂工程师完成实施; |
★提供原厂商对本项目的授权和售后服务承诺 |
DMZ区WAF防火墙
技术指标 | 功能要求 |
硬件要求 | 标准2U硬件平台, |
性能要求 | 网络吞吐量6Gbps |
部署方式 | 旁路部署,直至支持主备模式,支持主主模式。 |
部署模式 | 支持透明串接、反向代理、旁路镜像等多种部署模式部署,支持链路聚合 |
保护对象 | 支持多条链路数据的防护,防护网段数量不限,支持ipv4/ipv6双协议栈 |
可通过设置数据缓存、页面压缩进行web加速,可以设置后端TCP连接模式,可根据业务特点设置长连接和短连接,并且可以通过设置连接复用,减轻后端服务器压力 | |
Web服务自发现 | 支持自动发现网络环境中存在的Web业务系统,记录服务器的IP、Port、域名等信息,支持HTTPS站点SSL算法自动探测功能。探测时可以设置指定站点及端口,可以显示探测结果,并支持对其防护。 |
攻击检测 | 支持对跨站脚本(XSS)和注入式攻击(包括SQL注入、命令注入 、代码注入、文件注入、LDAP注入、SSI注入等)以及CC攻击的检测防护 |
★支持对HTTP请求关键字段进行合规性的检测(包括Host字段、User-Agent、Content-type字段等) | |
Webshell检测(语义分析) | 内置Webshell检测规则,可以对上传的文件内容进行检查,防止恶意Webshell文件上传,对已经上传的Webshell发起请求的行为进行拦截阻断 |
敏感信息泄露检测 | 内置身份证、银行卡、手机号、社保号等个人敏感信息数据,对服务器返回的敏感个人信息数据通过星号进行隐藏,并支持用户自定义敏感词 |
★能够检测防止服务器导致的信息泄露行为,包括:目录信息泄露、服务器信息泄露、数据库信息泄露、源代码泄露等信息泄露行为 | |
客户端安全防护 | ★支持客户端安全防护,插入特殊的HTTP报头以保护客户端免受某些攻击包括但不限于增加以下安全报头:X-Frame-Options(用于防护客户端免受Clickjacking攻击)、X-Content-Type-Options(以防止浏览器将文件解释为内容类型声明以外的其他内容)、X-XSS-Protect(用于当检测到XSS攻击时,指示浏览器停止加载页面)、Content-Security-Policy(用于降低浏览器上的XSS风险和数据注入攻击) |
爬虫、扫描器等自动化工具的安全检测 | 内置安全规则可有效识别Acunetix、nessus 、WebScan、Webdump、AppScan等扫描器的扫描和baidu、google、yahoo等常见网络爬虫的访问行为。 |
第三方组件漏洞防护 | 支持防护WEB容器漏洞,防止Nginx、IIS、Tomcat等WEB服务器漏洞以及第三方组件漏洞,如Apache Struts2漏洞 |
自定义规则 | 支持对HTTP请求中URI、HOST、参数、参数名、请求头、Cookie、版本号、方法和请求体及HTTP响应的响应体等条件进行自定义正则,支持多种组合条件,并且对于编写的正则表达式需要支持在WAF的管理界面上在线验证合规性 |
智能语义分析 | 内置对SQL注入、XSS攻击检测的语义分析规则 |
机器学习 | ★1、具有机器学习安全引擎,可以对用户web业务系统建立安全的访问模型 ,学习的内容包括URL地址、URL请求参数等信息 |
APT联动 | ★WAF支持与APT产品联动实现对未知威胁的感知拦截 |
日志分析 | 根据产生的安全日志进行智能分析,提高人工分析效率,减小规则误判概率 |
报表 | 支持定时报表,并发送到管理员邮箱,支持攻击事件、告警等级、被攻击服务器IP、攻击者IP、攻击入口等不同报表模板,支持对不同报表模板进行组合生成多维度报表 |
告警方式 | 支持Syslog、手机短信、邮件等多种告警方式 |
规则升级 | 规则库支持手工、在线升级两种方式,在线升级可支持规则定时检查新版本和在线更新,确保WAF能够针对新型的、突发型的Web攻击进行防护 |
售后服务 | ★提供3年硬件及软件升级服务;产品的安装、培训由原厂工程师完成实施; |
★提供原厂商对本项目的授权和售后服务承诺 |
运维管理区态势感知
技术指标 | 功能要求 |
硬件要求 | CPU :≥24核 |
性能要求 | 支持200个日志源资产; |
行为审计 | 支持违规操作、违规访问、违规应用、违规外发等300种以上行为审计检测规则,可针对任意单条规则进行启用和禁用; |
安全分析模型 | ★应内置包括规则模型、关联模型、统计模型、情报模型、AI模型等不少于5类安全分析模型 |
安全分析模型支持自定义创建,可通过字段映射、静态值、模板、表达式等多种方式自由定义分析模型的告警名称、威胁等级、告警类型、攻击链、可选字段、告警描述、处置建议等内容; | |
支持对安全日志里200个以上字段进行任意形式的逻辑与或非形式组合建模,运算方式包括但不限于等于、不等于、大于、小于、大于等于、小于等于、属于、不属于、存在、不存在,并能根据组合方式自动生成运算表达式,字段包括但不限于应用协议、目的IP、目的主机名、目的端口、目的用户名、数据流方向、情报IOC等 | |
AI高级分析 | 平台内置不少于4种机器学习分析场景模型,可检测发现流量异常、网络会话数异常、网址访问失败异常、域名请求数异常等特定场景条件下的安全态势异常 |
威胁情报分析 | 碰撞情报IOC支持通过情报源、IOC类型、情报类型、置信度等多维度进行碰撞分析; |
支持对接威胁情报中心,支持情报离线更新及在线更新,支持查看情报源中有效情报数、最近更新条数、最近更新时间、今日更新情报数、昨日命中情报数等;支持对接第三方威胁情报平台,支持配置情报碰撞接口及查询接口,支持查看请求接口数、今日情报请次数、昨日命中情报数,支持设置接口请求频率阈值,进行接口请求限制; | |
网络实体分析画像 | 实现实体间网络互访关系的多级钻取,支持通过端口、协议、异常访问类型、攻击链等过滤关联关系,支持通过一键溯源进行威胁关系的自动拓展; |
场景化分析 | 支持需封禁的外部攻击者、外部攻击者成功入侵、CVE漏洞被利用成功的系统、感染勒索病毒的主机、正在挖矿的主机、威胁情报、存在Webshell后门的系统、收到钓鱼邮件的邮箱、正在暴力破解的攻击者、存在弱口令的系统等10种以上的内置安全分析场景,基于场景特性进行默认条件的数据聚合分析,支持至少3个任意字段的快速聚合分析,聚合后的所有数据均支持快速统计分析,展示统计排序信息,支持分析结果导出。 |
★支持在告警详情中展示数据血缘关系,包括数据来源、原始日志、规则模型及原始告警,支持下钻至原始日志和规则模型 | |
归并告警分析 | 支持对告警进行自动化归并,并通过告警列表条目颜色区分已读告警和未读告警;支持查看归并告警基本信息、原始告警列表、规则详情、全部字段、PCAP包详细信息,告警基本信息应包括资产安全域、地理位置、应用协议、响应请求码、攻击者、受害者、攻击链、规则编号、数据来源、请求头、请求体、响应头、响应体、数据报文等;支持在归并告警页面进行告警快速处置,包括添加白名单、联动防火墙、发布预警、生成工单等; |
取证分析 | 支持调查场景的四维自定义攻击流向图取证,攻击趋势取证、攻击链分布取证、和实体信息取证,展示攻击者和受害者的威胁情报与资产信息,可联动会话详情,点击查看不同溯源维度的会话详情,通过请求头,payload等详情字段定位攻击; |
白名单 | 支持通过单条告警、聚合告警、归并告警添加白名单,快速过滤误报;支持通过配置模型名称、告警名称、IP、URL等告警字段生成白名单策略; |
数据字典管理 | 支持管理系统中原始日志、异常记录、安全告警的所有字段和取值,每个字段均有清晰的说明; |
支持数据标准管理,用户可以根据实际需求,对字典进行编辑,支持手动修改、增加或删除相应的字段; | |
自动化响应编排 | ★持前端拖拽式交互设计安全风险分析研判策略和联动响应剧本,支持多种策略编排动作,包括但不限于数据源、分析组件、处置响应等,可自动判断策略编排是否合理并弹窗提示 |
设备联动 | 支持与不同品牌的网关类安全产品进行联动防护,包括但不限于:奇安信、绿盟天融信、深信服、山石、华为、华三、迪普、阿里云(提供与上述网关类设备联动的组件证明),防护策略支持设置每次阻断不同时长生效时间,时间设置包括10分钟,30分钟,6小时,24小时,72小时,7天,15天,30天,3个月,永久阻断,支持将安全策略同步下发至多台联动设备;支持查看封禁设备数、封禁IP数、自动封禁IP数、本日解禁IP数、封禁订阅规则数、封禁SOAR剧本数,支持查看最近7天封禁IP趋势及防护设备封禁IP分布;支持封禁策略批量删除、解禁、导出; |
安全态势可视化 | 支持安全态势的可视化呈现,以大屏的方式从攻击事件、资产安全、追踪溯源、运行监测、重保方案等多个维度进行可视化展示,提供不少于10块大屏展示界面,支持大屏轮播,可自定义选择播放大屏及轮播时间间隔; |
安全运营门户 | 平台应具有统一的安全运营门户,作为多个安全态势分析与感知功能的统一入口,集成态势感知、威胁狩猎、通报预警、异常监测、运行监测等多个功能模块,实现平台内部业务、数据、服务、资源的无缝整合与集成; |
统一门户应支持与第三方产品集成,一键跳转至产品功能界面 | |
资产管理 | ★支持通过流量无侵入式自动发现资产,支持发现终端、Web服务器、DNS服务器、邮件服务器、FTP文件服务器等类型≥5种,其中web服务器支持自动识别服务域名和服务站点名称; |
支持一键访问安全设备的管理界面、监控大屏、设备日志、处置联动记录; | |
安全运营 | 支持统一的安全运营工作台,在工作台可以集中查看当前用户的待办工单、最新通报预警状态 |
支持通过安全告警自动派发工单到对应的安全管理员,支持自定义编辑预警信息内容;支持将预警信息直接转为内部通报,支持将通报内容作为工单定向指派。 | |
重大活动保障 | 支持重大活动保障任务前期、中期、后期分阶段的任务管理,保障预案管理; |
分析报告 | 支持用户自定义编辑报告模板,根据实际的业务需求自定义统计分析的指标对象,生成有针对性的分析报告,安全分析中的所有字段内容,都可以作为报告的统计对象,并自定义时间范围实现报告导出; |
内置平台运营简报、安全分析运营、风险资产、深度威胁分析等4个以上报告模板,报告订阅支持通过邮件方式在设定时间点发送日报、周报、月报到不同邮箱; | |
一站式运维 | ★支持大数据平台一键巡检,一键检查项包含但不限于数据健康、探针健康检查、大数据集群健康、Elasticsearch健康、实时流计算引擎健康、管理服务健康、服务器节点健康等多种维度检查,并能提供处置建议,一键导出各类服务的故障日志,包括但不限于Elasticsearch、Logstash、Kafka、实时计算引擎、操作系统等。 |
联动APP管理 | 支持联动APP安装卸载,对每类APP联动资产数进行管理统计,联动APP信息包括厂商、APP版本号、开发语言、支持设备型号、开发者、更新时间、描述信息等;支持根据APP名称、设备名称、设备标签、动作名称、动作URI、APP类型、APP状态等进行APP检索;此外,支持跳转APP商城查看当前可联动设备。 |
系统消息 | 支持自定义消息订阅,订阅方式包括机器人、短信、邮件、钉钉等方式,消息类型包括告警通知、数据接入异常、系统资源使用超限、系统组件状态异常、探针状态消息、联动设备状态异常、系统配置异常、系统更新、日常运维等类型; |
个性化配置管理 | 支持常用配置参数的前端可视化修改,如信任IP、页面嵌套开关、首页缓存开关、告警推送主题、测试告警推送内容、ES集群IP、告警聚合条数上限配置、字体、主题皮肤颜色、产品名称LOGO等的前端可视化配置,满足用户的个性化配置需求。 |
售后服务 | ★提供3年硬件及软件升级服务;产品的安装、培训由原厂工程师完成实施; |
★提供原厂商对本项目的授权和售后服务承诺 |
运维管理区堡垒机
技术指标 | 功能要求 |
硬件要求 | 机箱高度:2U |
性能要求 | 授权资产:500个 |
用户管理 | 支持用户多角色划分和按部门组织架构管理用户功能,并可按照部门划分不同管理权限,如系统管理员、部门管理员、运维员、审计管理员、密码管理员等,对各类角色需要进行细粒度的权限管理 |
内置VPN | ★产品内置VPN模块,无需与其他VPN设备联动,实现运维入口安全接入 |
双因子认证 | 堡垒机须内嵌动态令牌和usbkey认证引擎,可同时使用本地验证、动态令牌、USBkey、APP动态口令认证等组合方式双因子认证 |
单点身份登入 | ★支持标准化对接CAS、JWT单点登录认证,且支持配置是否自动创建堡垒机中不存在用户。 |
支持的协议和应用 | 支持常用的运维协议:SSH、TELNET、RDP、VNC、FTP、SFTP、rlogin;可通过应用发布的方式进行协议扩展,如数据库Oracle、MSSQL、MySQL、VMware vSphere Client、浏览器等客户端工具 |
主流数据库运维管理 | ★支持DB2、oracle、mysql、sqlserver主流数据库协议代理运维,可直接调用本地windows系统的数据库客户端工具,支持自动登录、无需应用发布前置机 。 |
混合云管理 | 可以通过socks5/http/ssh等代理协议连接管理异地云资源区中私有网络的云主机 |
申请审批工单 | 运维人员可以向管理员申请需要访问的设备,申请时可以选择:设备IP、设备账户、运维有效期、备注事由等,并且运维工单以邮件方式通知管理员。 管理员对运维工单进行审核允许后才可以进行访问,否则就无法访问。 |
自动改密 | 支持定期自动修改windows服务器、网络设备、linux/unix、数据库等目标设备密码功能,具备完善的自动改密安全保护机制,包括:改密前备份、备份失败不改密、改密后备份、密码文件加密; |
多种浏览器登录 | Web访问方式:至少支持使用IE、谷歌、火狐三种浏览器打开堡垒机的Web页面直接调用mstsc、VNC、Xshell、SecureCRT、Putty、winscp、flashFXP、FileZilla、SecureFX等运维客户端工具 |
H5运维方式:支持ssh、telnet、rlogin、rdp、vnc协议的H5运维,无需本地运维客户端工具 | |
数据库运维 | 支持通过堡垒机页面直接调用本地Windows系统里的plsql、sqlplus、toad、sqlwb、ssms、mysql.exe等数据库客户端工具。 |
客户端工具登录 | 客户端访问方式:支持使用本地的mstsc/Xshell/SecureCRT/Putty等客户端工具登录堡垒机访问图形或字符设备,视图界面一致性、搜索能力 |
自动收集和自动授权 | ★支持自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系,可自动完成授权。 |
SFTP/FTP的客户端登录 | 支持使用本地的winscp/flashFXP/SecureFX等客户端工具登录堡垒机访问SFTP/FTP设备 |
会话数量限制 | 可进行用户会话数量限制,允许自定义每个用户最多可以同时开启多少个会话 |
运维审计日志 | 支持对运维操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容(如对文件的上传、下载、删除、修改等操作等)的详细行为日志。 |
文件传输审计 | 支持保存SSH的sz/rz命令(zmodem)、SFTP/FTP、RDP粘贴板(桌面之间复制-粘贴)、RDP磁盘映射传输的原始文件 |
日志数据归档 | 审计数据支持通过SFTP/FTP方式自动归档,并在页面中可以查询哪些数据是否归档。归档后的数据可以用专用播放器离线查看 |
运维规则策略 | 支持通过基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、控制动作、黑白名单等组合访问控制策略,授权用户可访问的目标设备。 |
审批审核 | 支持对重要设备启用登录和重要命令审核功能,运维人员须向管理员申请登录,管理员允许之后才可操作。 |
运维报表内容 | 内置根据运维人员和组生成各种维度的分析报表,维度包含总为运维次数、时长、活动时长、会话起止时间、会话大小、命令数、上传下载文件数,分别从全局及平均值、最大值、最小值、单次运维、单个会话等角度提供非常有价值有意义的报表 |
自动发送报表 | 支持运维报表自动定期发送,提供一键导出符合等级保护、SOX法案要求的综合分析报告,支持PDF、doc、html格式导出 |
告警输出 | 支持邮件、syslog方式输出告警日志 |
排错功能 | 提供排错工具:ping、TCP端口检测、UDP端口检测、路由跟踪等 |
售后服务 | ★提供3年硬件及软件升级服务;产品的安装、培训由原厂工程师完成实施; |
★提供原厂商对本项目的授权和售后服务承诺 |
运维管理区日志审计
技术指标 | 功能要求 |
硬件要求 | 标准2U硬件 |
性能要求 | 日志处理能力EPS:9000/秒 |
系统架构 | 旁路部署,独立完成审计日志采集,不依赖于设备或系统自身的日志系统; |
采集方式 | 可通过接收协议限制日志接收速率,包括Http接收、syslog接收、SNMPtrap接收、TCP接收、WMI接收、aliyun接收 |
Agent采集和管理 | 支持使用代理(Agent)方式提取日志并收集;安装包支持界面下载,且安装支持可视化向导。支持对Agent进行统一管控,包括卸载、升级、启动及停止操作,支持将日志收集策略统一分发。 |
大数据平台对接 | ★支持kafka日志接收转发、大数据安全域同步、APT沙箱报告转发等大数据联调功能。Kafka收发支持SSL加密。 |
日志支持能力 | 支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等; |
资产发现 | 注册用户资产时,提供自动发现识别能力; |
资产拓补定义 | 资产拓扑支持按照实际的用户环境进行编辑发布并可以和资产进行绑定,拓扑可以显示资产采集的事件数量被采集资产的状态等信息 |
日志过滤 | 支持日志过滤,日志等级和自定义日志过滤 |
解析规则 | 内置5000+解析规则,支持对收集的5000+设备类型日志进行解析(标准化、归一化,包括网络设备、主机操作系统、数据库、安全设备、中间间、虚拟化设备等系统日志采集),解析维度多达200+,解析规则可以根据客户要求定制扩展。 |
自定义解析 | 支持美观易用的思维导图模式的解析规则界面自定义,并支持解析规则性能以界面列表形式显示,可了解解析耗时、解析成功或失败次数等信息 |
场景分析 | ★内置设备异常、漏洞利用、横向渗透、权限提升、命令执行、可疑行为6大类50+子类的安全分析场景 |
日志备份 | 支持日志备份自动传送到远程服务器;支持从远程仓库恢复数据;支持FTP、SAMBA、NFS和FILE等方式的远程服务器,可设置日志存储备份策略。包括系统日志保存期(天)、磁盘使用率百分比等策略; |
windows监控 | 支持监控Windows操作系统以下参数:CPU使用率、内存使用率、磁盘使用率、网络发送流量、网络接收流量、网络发送接收总流量、交换区使用率、磁盘总使用率、进程数、线程数; |
linux性能监控 | 支持监控Linux操作系统以下参数:一分钟系统负载、5分钟系统负载、15分钟系统负载、CPU使用率、内存使用率、磁盘使用率、网络发送流量、网络接收流量、网络发送接收总流量、交换区使用率、磁盘总使用率、进程数、线程数; |
脆弱性管理 | 支持从IBM Rational AppScan、安恒明鉴Web应用监测工具、NESSUS网络扫描器、NetSparker Web应用等主流扫描器导入资产弱点漏洞信息; |
报警抑制 | 自动防止在短时间内大量发送报警信息(告警抑制),具备报警合并和在一个时间段内抑制报警次数的能力; |
报表扩展方案包 | ★内置SOX、ISO27001、WEB安全等解决方案包,可快速实现报表自定义 |
一键盘排障 | 提供一键式故障排除功能; |
升级管理 | 提供自助式的升级接口,支持对产品升级、规则升级。 |
售后服务 | ★提供3年硬件及软件升级服务;产品的安装、培训由原厂工程师完成实施; |
★提供原厂商对本项目的授权和售后服务承诺 |
运维管理区数据库审计
技术指标 | 功能要求 |
硬件要求 | 硬件尺寸:标准2U |
性能要求 | 总网络吞吐量:2000Mbps |
部署方式 | 旁路部署,不影响现有业务 |
传统协议 | 支持包括传统、大数据以及国产化主流数据库审计,包括但不仅限于如下数据:Oracle、PostgreSQL、SQL Server、DB2、Informix、Sybase、MySQL、MongoDB、Hbase、Hive、impala、Elastic Search、HDFS、greenplum、LibrA、Redis、GuassDB、Teradata、人大金仓(Kingbase)、达梦(DM)、南大通用数据库(Gbase)、Oscar、K-DB数据库 |
双向审计 | ★支持数据库请求和返回的双向审计,特别是返回字段和结果集、执行状态、返回行数、执行时长、客户端工具、主机名等内容,支持通过返回行数控制返回结果集大小,包括如下数据库(Oracle、SQL Server、MySQL、Hbase、Hive等数据库返回) |
内置规则库 | 内置安全特征库不少于900条,如SQL注入、缓冲区溢出等;规则类型有注入、命令执行、CVE漏洞攻击、拖库、账号提权等行为等,并可依据规则进行邮件告警; |
自定义规则 | 可自定义审计规则,审计规则至少支持18个条件; |
过滤规则 | 支持在审计日志中一键添加过滤规则,支持在告警规则中一键添加信任规则和规则白名单 |
智能联想查询 | 设置日志检索条件时,检索条件可根据历史信息自动弹出,检索条件支持源IP、目的IP、客户端工具、数据库名、数据库账号等,输入检索条件时支持智能联想; |
查询条件 | 支持基于数据库访问日期、时间、源/目的IP、来源、数据库名、数据库表名、字段值、数据库登录账号、SQL关键词、数据库返回码、SQL响应时间、数据库操作类型、影响行数等条件的审计查询; |
告警分析 | 支持告警分析功能,告警支持按照源IP和数据库账号对、SQL模板维度进行排行,支持在页面一键去除规则、添加规则白名单。 |
合规报表 | 报表支持严格按照塞班斯(SOX)法案、等级保护标准要求生成多维度综合报告 |
行为报表 | 支持按照数据库访问行为生成报表,智能识别帐号的增删、权限变更、密码修改、特权操作等行为; |
访问桑基图 | 可通过桑基图展示访问数据库的路径,路径包括数据库账号、IP地址、客户端工具、数据库名、表明等; |
模型分析 | 可依据客户端工具名、数据库用户名、客户端IP、操作系统用户名、客户端主机名、数据库名服务器IP等配置行为模型,并可查看相应告警日志 |
数据存储策略 | 支持根据在线数据最小保留天数和在线数据的磁盘空间占比自动清理早期数据;审计日志通过FTP/SFTP的方式外送,支持自定义在线数据备份时间周期,支持从FTP/SFTP上恢复数据,恢复数据支持进度展示 |
告警管理 | ★支持用户界面告警、邮件、短信、钉钉、SYSLOG、微信方式告警; |
系统管理 | 支持系统资源使用率超阈值、agent状态异常、长时间无审计日志时触发系统告警,且告警支持通过页面、SYSLOG、邮件、短信、钉钉、微信方式输出。 |
升级管理 | 支持通过页面对数据库审计系统和数据库审计安全规则库进行升级,支持内置安全规则单独升级。 |
插件亲和性要求 | Agent支持设置CPU亲和性、最大资源使用率限制(CPU、内存),支持根据系统CPU使用率、系统内存使用率、系统I/O使用率自动熔断; |
启停和安装 | 支持在审计管理端启动、停止、挂起Agent、安装、卸载、重新安装审计代理。 |
售后服务 | ★提供3年硬件及软件升级服务;产品的安装、培训由原厂工程师完成实施; |
★提供原厂商对本项目的授权和售后服务承诺 |
三、项目具体需求说明
1.质量要求:
成交供应商须保证货物是全新、未使用过的,并完全符合强制性的国家技术质量规范和合同规定的质量、规格、性能和技术规范等的要求。
2.交货与安装时间:
交货以甲方书面指令为准。
3.交货安装地点:
启东农商银行大厦指定位置。
4.验收要求:
在采购人收到成交供应商提供的产品后,可委托启东市市场监督管理局组织抽样检验,如在抽检过程中供应商不能到场配合的,将视采购人为其委托单位配合抽检,并在相关文书签字确认。
5.售后服务
(1)保修期:本项目系统和设备的免费保修期为验收合格之日起三年。
(2)保修期内,同一商品、同一质量问题连续两次维修仍无法正常使用,报价方应无条件给予全套更新或退货。
(3)在系统和设备试运行期间,卖方应有技术人员在现场提供技术支持,特别是在买方有重要任务使用该系统时,卖方应派资深技术人员提供技术保障服务,其所有费用卖方自理。
(4)中标人需为采购人提供7*24小时应急响应服务,在接到采购人紧急保修时,中标人务必在半小时内响应,8小时内到达现场维修。如24小时内不能修复,中标人则免费提供与故障设备同容量、同品牌(或同等档次)的设备并负责安装调试正常使用。
(5)质保期内在每年巡检四次,巡检中标设备时发现问题应及时处理,每次巡检完毕提供巡检报告。
第四部分 询价程序和内容
一、组织询价
1、询价小组的职责:
确认或者制定询价文件;从符合相应资格条件的供应商名单中确定不少于3家的供应商参加询价;审查供应商的响应文件并作出评价;要求供应商解释或者澄清其响应文件;告知采购人在评审过程中发现的供应商的违法违规行为。
2、询价小组成员的义务:
遵纪守法,客观、公正、廉洁地履行职责;根据采购文件的规定独立进行评审,对个人的评审意见承担法律责任;参与评审报告的起草;配合采购人答复供应商提出的质疑;配合财政部门的投诉处理和监督检查工作。
二、询价程序、内容
询价小组应当对响应文件进行评审,并根据询价文件规定的程序、评定成交的标准等事项与实质性响应询价文件要求的供应商进行询价。未实质性响应询价文件的响应文件按无效处理,询价小组应当告知有关供应商。
三、评定方法
(一)询价小组将根据质量和服务均能满足采购文件实质性响应要求且报价最低的原则确定第一成交供应商。
(二)本项目第一成交供应商原则上为中标人。
当第一成交供应商放弃中标、因不可抗力不能履行合同、不按照招标文件要求提交履约保证金,或者被查实存在影响中标结果的违法行为等情形,不符合中标条件的,采购人将重新招标。
本办法未尽事宜,由评标委员会依据相关法规研究确定。
(一)审查响应文件的有效性、完整性、响应程度
1、供应商资格是否符合;
2、响应文件是否完整;
3、响应文件是否恰当地签署;
4、是否作出实质性响应(是否有实质性响应,只根据响应文件本身,而不寻求外部证据);
5、是否有计算错误。
(二)误差纠正
1、如果单价汇总金额与总价金额有出入,以单价金额计算结果为准;
2、单价金额小数点有明显错位的,应以总价为准;
3、若文件大写表示的数据与数字表示的有差别,以大写表示的数据为准。
(三)出现下列情形之一的,作无效响应处理;
1、未按照询价文件规定要求签署、盖章的;
2、未完整提交响应文件的;
3、不具备询价文件中规定的资格要求的;
4、响应报价超出预算的;
5、报价金额不一致的;
6、不符合法律、法规和询价文件中规定的其他实质性要求的。
四、出现下列情形之一的,采购活动终止,发布项目终止公告并说明原因,重新开展采购活动:
1、因情况变化,不再符合规定的询价采购方式适用情形的;
2、出现影响采购公正的违法、违规行为的;
3、在采购过程中符合竞争要求的供应商或者报价未超过采购预算的供应商不足3家的。
五、成交通知
成交结果在启东农商银行网(招标公告栏目)公示1个工作日。《成交通知书》一经发出,采购人改变成交结果,或者成交供应商放弃成交的,各自承担相应的法律责任。《成交通知书》是采购合同的组成部分。
第五部分 合同签订与验收付款
一、成交供应商和采购单位在接到《成交通知书》后十五日内签订合同。合同签订后成交供应商方可履约,否则引起的一切后果由成交人自行承担。纸质合同一式六份,采购人四份、供应商两份;所签合同不得对采购文件作实质性修改。采购单位不得向成交供应商提出不合理的要求作为签订合同的条件,不得与成交供应商私下订立背离采购文件实质性内容的协议。
二、中标人签订合同后在招标人规定的时间内,必须将符合询价文件要求的所有合格货物送到指定地点,在采购人收到成交供应商提供的产品后,可委托启东市市场监督管理局组织抽样检验,如在抽检过程中供应商不能到场配合的,将视采购人为其委托单位配合抽检,并在相关文书签字确认。
三、采购人故意推迟项目验收时间的,与成交供应商串通或要求成交供应商通过减少货物数量或降低服务标准的,在履行合同中采取更改配置、调换物品等手段的,要求成交供应商出具虚假发票或任意更改销售发票的,谋取不正当利益的,承担相应的法律责任。
四、成交供应商出现违约情形,应当及时纠正或补偿;造成损失的,按合同约定追究违约责任;发现有假冒、伪劣、走私产品、商业贿赂等违法情形的,应由采购人移交工商、质监、公安等行政执法部门依法查处。
五、采购资金的支付方式、时间、条件:
1、采购资金的支付方式:银行转账,由采购人按相关财务支付规定办理支付手续。
2、采购资金的支付时间、条件:
合同签订后30日内预付合同价的30%;设备到货后支付至合同价的60%;设备安装调试且经采购人确认后支付至合同价的95%,5%为质保金待质保期满后支付(不计息)。
六、履约保证金交纳要求:金额为合同总价的10%,履约保证金将在投标人供货安装完毕并经招标人验收合格后无息退还。形式:转账。
七、合同签订:被确定成交的供应商,必须在收到成交通知书后15日内和采购人签订合同。
第六部分 质疑提出和处理
一、质疑的提出
(一)质疑人的身份要求
1.提出质疑的供应商应当是参与所质疑项目采购活动的供应商或依法获取其可质疑采购文件的潜在供应商。
2.未参加投标活动的供应商或在投标活动中自身权益未受到损害的供应商所提出的质疑不予受理。
(二)质疑提出的格式要求
1.质疑必须按《政府采购法》、《政府采购法实施条例》及《江苏省政府采购供应商监督管理暂行办法》的相关规定提交,质疑实行实名制,不得进行虚假、恶意质疑,未按上述要求提交的质疑函,采购方有权不予受理。
2.质疑函应包括:
(1)质疑投标人的名称、地址、邮编、联系人及联系电话;
(2)具体、明确的质疑事项及明确的请求;
(3)质疑的事实依据和必要的法律依据;
(4)提起质疑的日期;
(5)认为自己合法权益受到损害或可能受到损害的相关证据材料;
(6)质疑函应当署名:质疑人为自然人的,应当由本人签字并附有效身份证明;质疑人为法人或其他组织的,应当由法定代表人签字并加盖单位公章,未按要求签字和盖章的为无效质疑,采购方将不予受理。质疑人委托代理质疑的,应当向采购方提交授权委托书,并载明委托代理的具体权限和事项。
3.质疑函需遵循的原则:
提出质疑时,必须坚持“谁主张,谁举证”、“实事求是”的原则,不能臆测。属于须由法定部门调查、侦查或先行作出相关认定的事项,质疑人应当依法申请具有法定职权的部门查清、认定,并将相关结果提供给招标人。招标人不具有法定调查、认定权限。
(三)质疑提出的时效要求
1.投标人认为采购文件、采购过程和采购结果使自己的权益受到损害的,可以在知道或应知其权益受到损害之日起2个工作日内,以书面形式向采购方或采购人提出质疑。上述应知其权益受到损害之日,是指:
(1)对可以质疑的采购文件提出质疑的,为收到采购文件之日或者采购文件公告期限届满之日;
(2)对采购过程提出质疑的,为各采购程序环节结束之日;
(3)对中标或者成交结果提出质疑的,为中标或者成交结果公告期限届满之日。
投标人认为采购文件使自己的权益受到损害的,可以按照招标公告第八项要求向采购人提出质疑;投标人认为采购过程和采购结果使自己的权益受到损害的,可以以书面形式向采购采购方或采购人提出质疑。
2.投标人应在法定质疑期一次性提出针对同一采购程序环节的质疑。
二、《质疑函》的受理和答复
1. 采购方收到质疑函后,将对质疑的形式和内容进行审查,如质疑函内容、格式不符合规定,采购方将告知质疑人进行补正。
2. 质疑人应当在法定质疑期限内进行补正并重新提交质疑函,拒不补正或者在法定期限内未重新提交质疑函的,为无效质疑,采购方将不予受理。
3.采购人或采购代理机构答复供应商质疑应当采用书面方式并依法送达,质疑供应商或其委托代理人拒绝签收的视为已经送达。
三、质疑处理
1. 质疑成立的处理
(1)对于内容、格式符合规定的质疑函,采购方在收到投标供应商的书面质疑后七个工作日内作出书面答复,但答复的内容不得涉及商业秘密。
(2)对采购文件提出的质疑,依法通过澄清或者修改可以继续开展采购活动的,澄清或者修改采购文件后继续开展采购活动;否则应当修改采购文件后重新开展采购活动。
(3)对采购过程、中标或者成交结果提出的质疑,合格供应商符合法定数量时,可以从合格的中标候选人中另行确定中标、成交供应商的,应当依法另行确定中标供应商;否则应当重新开展采购活动。
质疑答复导致中标、成交结果改变的,采购人或者采购代理机构应当将有关情况书面报告本级财政部门。
2.质疑不成立的处理
若质疑不成立,或者成立未对中标、成交结果构成影响的,继续开展采购活动。
3.虚假质疑的处理
(1)投标人提出书面质疑必须有理、有据,不得恶意质疑或提交虚假质疑。否则,一经查实,采购方有权依据政府采购的有关规定,报请政府采购监管部门对该投标人进行相应的行政处罚。
(2)在江苏省范围内一年累计三次以上质疑,均查无实据的供应商将按失信行为记入该注册供应商诚信档案中。
第七部分 报标文件组成
一、报价文件
(1)报价承诺书(按照附件一格式填写);
(2)法定代表人授权委托书(法定代表人授权委托书按照附件二格式填写)及被授权人身份证正反面复印件(加盖报价单位公章);
(3)法定代表人身份证正反面复印件(加盖报价单位公章);
(4)有效的营业执照副本复印件(加盖报价单位公章);
(5)原厂商针对本项目出具的授权函及质保服务承诺函;
(6)技术响应表(按照附件三格式填写)
(7)投标报价明细表(按照附件四格式填写)。必须按提供的样表格式填写报价,所有涉及报价的页面均必须加盖单位公章,否则视为无效报价文件。
(8)质保承诺书(按照附件五格式填写);
(9)参加采购活动前三年内在经营活动中没有重大违法记录的书面声明(按照附件六填写)。
备注:
(1)报价文件中必须包含上述要求提供的所有材料,否则视为无效报价文件。投标文件须每页加盖报价单位公章,未按要求加盖报价单位公章、法定代表人或被授权人(签字或盖章)的一律视为无效报价文件!
(2)如投标单位同时参与两个标段的投标,请按照标段号分别密封。
附件一 :
报 价 承 诺 书
江苏启东农村商业银行股份有限公司 :
(报价单位全称)授权(姓 名)(职 务)为全权代表,参加启东农商银行新大楼中心机房设备采购项目(*标段)询价的有关活动,并宣布同意如下:
1.我方愿意按照报价文件的全部要求进行报价(报价内容及价格以报价文件为准)。
2.我方完全理解并同意放弃对询价公告有不明及误解的权利。
3.我方将按询价公告的规定履行合同责任和义务。
4.我方同意提供按照贵方可能要求的与其报价有关的一切数据或资料,理解并同意贵方的评标办法。
5.我方的报价文件自开标后60天内有效。
6.与本报价有关的一切往来通讯请寄:
地址: 邮编:
电话: 传真:
报价单位代表姓名: 职务:
报价单位代表手机:
报价单位名称: (加盖单位公章)
年 月 日
附件二:
法 定 代 表 人 授 权 委 托 书
江苏启东农村商业银行股份有限公司:
(报价单位全称)系中华人民共和国合法企业(或事业单位),法定地址: ,特授权(姓 名)(职 务)代表我单位全权办理针对启东农商银行新大楼中心机房设备采购项目(*标段)的投标,并签署全部有关文件、协议及合同。我单位对被授权人签名的所有文件负全部责任。被授权人签署的所有文件(在授权书有效期内签署的)不因授权的撤销而失效,本授权书自投标开始至合同履行完毕止。
被授权人无权转委托。
被授权人(签字):性别:年龄:职务:
身份证号码:
通讯地址:
联系电话:
法定代表人(签字或盖章):
报价单位(盖章):
年 月 日
附:被授权人身份证正反面复印件(加盖报价单位公章)
附件三:
技术响应表(*标段)
序号 | 类型 | 招标要求的规格参数 | 投标品牌 | 投标货物的详细规格参数 | 偏离情况说明 |
1 | |||||
2 | |||||
3 | |||||
4 |
注:本表为技术参数响应表格式,请投标人根据询价文件第三部分项目需求招标清单中规格参数的内容自行拓展并按序填写。
2. 本次招标不接受负偏离,偏离情况可选填:“无偏离”或“正偏离”,如有正偏离的,请予以说明。
3.供应商若提供其他增值服务,可以在表中自行据实填写。
报价单位(盖公章):
法定代表人或被授权人(签字或盖章):
年 月 日
.
附件四:
投标报价明细表
项目名称:启东农商银行新大楼中心机房设备采购项目(一标段)
序号 | 类型 | 品牌型号 | 数量 | 单价 | 总价 |
1 | 服务器汇集交换机 | 2 | |||
2 | 66网核心交换机 | 1 | |||
3 | 互联网火墙 | 2 | |||
4 | 上网应为管理 | 1 | |||
5 | 漏扫 | 1 | |||
合计 | 大写: 小写 | ||||
备注:1、投标人可根据情况在推荐品牌中选择1个或若干个品牌型号进行投标,但必须提供有相应的原厂授权函及质保服务承诺函。
2、本报价表须机打并加盖报价单位公章,手填无效。
报价单位(盖公章):
法定代表人或被授权人(签字或盖章):
年 月 日
投标报价明细表
项目名称:启东农商银行新大楼中心机房设备采购项目(二标段)
序号 | 类型 | 品牌型号 | 数量 | 单价 | 总价 |
1 | 区域隔离防火墙 | 2 | |||
2 | 外联区外层异构防火墙 | 2 | |||
3 | 外联区内层异构防火墙 | 2 | |||
4 | 内联防火墙 | 2 | |||
5 | WAF防火墙 | 2 | |||
6 | 态势感知 | 1 | |||
7 | 堡垒机 | 1 | |||
8 | 日志审计 | 1 | |||
9 | 数据库审计 | 1 | |||
合计 | 大写: 小写 | ||||
备注:1、投标人可根据情况在推荐品牌中选择1个或若干个品牌型号进行投标,但必须提供有相应的原厂授权函及质保服务承诺函。
2、本报价表须机打并加盖报价单位公章,手填无效。
报价单位(盖公章):
法定代表人或被授权人(签字或盖章):
年 月 日
附件五:
质保承诺书
江苏启东农村商业银行股份有限公司:
(报价单位全称)授权(姓 名)(职 务)为全权代表,参加启东农商银行新大楼中心机房设备采购项目(*标段)询价的有关活动,并承诺如下:
1、我方承诺对本项目提供三年(原厂质保期高于供应商承诺质保期的,则按原厂承诺的执行)的提供上门服务及全免费质保等售后服务。质保期自验收合格之日起计算。
2、保修期内,同一商品、同一质量问题连续两次维修仍无法正常使用,我方同意无条件给予全套更新或退货。更换后的货物质保期自更换之日起重新计算,期限按投标时承诺的年限。
3、在系统和设备试运行期间,我方委派技术人员在现场提供技术支持,在业主有重要任务使用该系统时,委派资深技术人员提供技术保障服务,其所有费用由我方自理。
4、保修期内,我方提供7*24小时应急响应服务,在接到采购人紧急保修时,我方务必在半小时内响应,8小时内到达现场维修。如24小时内不能修复,我方则免费提供与故障设备同容量、同品牌(或同等档次)的设备并负责安装调试正常使用。
5、质保期内在每年巡检四次,巡检中标设备时发现问题应及时处理,每次巡检完毕提供巡检报告。
报价单位(盖章):
法定代表人或被授权人(签字或盖章):
年 月 日
附件六:
参加政府采购活动前 3 年内在经营活动中没有重大违法记录和失信记录的书面声明
我公司郑重声明:参加本次政府采购活动前 3 年内,我公司在经营活动中没有因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款等行政处罚。
在投标截止时间节点,没有被信用中国、中国政府采购网、信用江苏网站列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。
报价单位(公章):
授权代表签字:______________
日期:______年 月 日
附件七:
质疑函范本
一、质疑投标人基本信息
质疑投标人:
地址: 邮编:
联系人: 联系电话:
授权代表:
联系电话:
地址: 邮编:
二、质疑项目基本情况
质疑项目的名称:
质疑项目的编号: 包号:
采购人名称:
采购文件获取日期:
三、质疑事项具体内容
质疑事项1:
事实依据:
法律依据:
质疑事项2
……
四、与质疑事项相关的质疑请求
请求:
签字(签章): 公章:
日期:
质疑函制作说明:
1.投标人提出质疑时,应提交质疑函和必要的证明材料。
2.质疑投标人若委托代理人进行质疑的,质疑函应按要求列明“授权代表”的有关内容,并在附件中提交由质疑投标人签署的授权委托书。授权委托书应载明代理人的姓名或者名称、代理事项、具体权限、期限和相关事项。
3.质疑投标人若对项目的某一分包进行质疑,质疑函中应列明具体分包号。
4.质疑函的质疑事项应具体、明确,并有必要的事实依据和法律依据。
5.质疑函的质疑请求应与质疑事项相关。
6.质疑投标人为自然人的,质疑函应由本人签字;质疑投标人为法人或者其他组织的,质疑函应由法定代表人、主要负责人,或者其授权代表签字或者盖章,并加盖公章。
7. 对其他资格要求、项目需求、评分标准的质疑,请向采购人提出,由采购人负责答复。
