义乌市人民法院天平工程采购项目
招
标
文
件
采购编号:YWCG2013104GK
义乌市人民法院
义乌市政府采购中心
二○一三年十一月二十二日
目录第一章、招标公告
第二章、投标方须知
第三章、招标设备清单及技术要求
第四章、开标和评标须知
第五章、无效标条款
第六章、评标细则
第七章、投标文件格式
第八章、义乌市政府采购合同(样本)
第一章招标公告
本中心受委托,就义乌市人民法院天平工程采购项目进行公开招标采购,欢迎国内符合条件的厂(商)家参加。
1、采购编号:YWCG2013104GK。
2、采购项目内容:天平工程采购项目,数量:一批预算:114万,详见第三章《招标设备清单及技术要求》。
3、投标方资格要求:具有独立法人资格,注册资金300万元(含)以上,有该项目设备制造或经销、安装、维护和售后服务能力且符合经营范围的的供应商均可参加。
4、获取标书时间和地点:于2013年11月27日至2013年12月11日上午9:00-11:30,下午1:00-5:00(节假日除外)到义乌市望道路300号行政服务中心四楼西北角开标区4005室政府采购中心窗口,获取标书时,必须携带投标单位营业执照副本(原件、复印件)、法定代表人授权书(原件)、被授权人身份证(原件、复印件),投标人简介等资料。
采购文件获取截止时间以后至开标前一日的11时前,潜在的供应商仍可获取采购文件,但不得对采购文件提出质疑。
5、技术答疑:供应商如对本采购公告信息或采购文件有异议或疑问的,可以向招标方询问或质疑且应当在2013年12月11日下午17时之前提出,否则,招标方可不予接受。
质疑分别提交至义乌市人民法院楼先生(0579-********)、义乌市政府采购中心吴先生(0579—85583808)、义乌市公共资源交易管理办公室(0579-********)。
6、投标截止及开标时间:2013年12月17日上午10:00时。
7、开标地点:义乌市望道路300号行政服务中心4楼。
请供应商于2013年12月17日上午10:00之前,将投标书送至义乌市望道路300号行政服务中心四楼政府采购中心窗口,投标截止期后递交的投标文件一律不予接受。
8、投标保证金:人民币壹万元整,投标方须在2013年12月16日(开标前一日)11时前(截止时间)将投标保证金一次性汇入采购方指定账号并将保证金缴纳凭证传真至义乌市政府采购中心窗口或现场交至义乌市政府采购中心窗口,传真电话:0579-******** 85570067。汇款时需注明缴款单位名称和用途“政府采购投标保证金(单位代码081802)”,投标保证金可在报名时一并缴纳(须在规定时间前)。
投标保证金缴纳凭证原件在递交投标文件时单独递交,且在投标文件技术标中提供加盖投标人公章的投标保证金缴纳凭证复印件。
缴款单位名称须与投标单位名称一致,否则其投标将被拒绝;投标方应充分考虑银行汇款或缴纳时间,确保其在缴纳截止时间前到账,超过截止时间到账的其投标无效。
义乌市政府采购中心窗口:义乌市望道路300号行政服务中心四楼4005室,咨询电话:
0579-********,联系人:石竹青、蒋淑青。
交付方式:银行汇款/现金
开户银行:中国工商银行股份有限公司义乌分行营业部
账户名称:义乌市政府非税收入汇缴专户
银行账号:1208020009049041677
义乌市人民法院
义乌市政府采购中心
二0一三年十一月二十二日
第二章投标方须知
一、说明
1、适用范围
1.1本招标文件仅适用于本次招标采购所叙述的货物及服务项目。
2、定义
2.1“招标方”系指组织本次招标的义乌市政府采购中心和采购人,“采购人”指义乌市人民法院。
2.2“投标方”系指向招标方提交投标文件的货物供应商。
2.3“货物”系指按招标文件要求配臵的物品,包括一切配件及备品备件、技术资料等。
2.4“项目”系指按招标文件要求的天平工程采购项目。
2.5“服务”系指招标文件规定中标方须承担的安装、调试、技术协助、培训以及其他类似的附随义务。
2.6“附随服务”系指根据合同规定中标方必须承担与货物有关的辅助服务,如送货上门、免费维护以及合同中规定中标方应承担的义务,以及合同中未规定,但依有利于合同履行原则,应当由中标方承担的其他义务。
2.7“★”系指不能负偏离的条款。
3、合格的投标方
3.1具有独立承担民事责任的能力。
3.2 参加本次政府采购活动前三年内,未被财政部及浙江省政府采购监督管理部门处理(或处罚)而处于暂停投标资格或未处于义乌市政府采购监管部门公布的不良行为公示期内的投标方(以相关的政府采购监督管理网或政府采购网上的公告为依据)。
3.3《招标文件》中所要求其他条件。
4、投标费用
4.1不论投标过程中的作法和结果如何,投标方应承担所有与投标有关的全部费用。招标方在任何情况下均无义务和责任承担上述这些费用。
二.招标文件说明
5、招标文件的构成
5.1招标文件用以阐明所须货物及服务、招标、投标程序和合同条款,招标文件除本《招标文件》内容外,招标方在采购期间发出的质疑回答、补遗书和其他正式有效函件,均构成招标文件的组成部分,招标文件内容由下述部分组成:
5.1.1招标公告
5.1.2投标方须知
5.1.3招标设备清单及技术要求
5.1.4开标和评标须知
5.1.5 无效标条款
5.1.6评标细则
5.1.7投标文件格式
5.1.8义乌市政府采购合同(样本)
5.2投标人应认真对照阅读招标文件中所有的事项、格式、条款和技术规范等。投标人没有按照招标文件要求提交全部资料,或者投标人没有对招标文件在各方面都作出实质性响应是投标人的风险,并可能导致其投标被拒绝。
6、招标文件的解释
6.1 投标方在收到招标文件后,若有问题需要澄清,应于收到招标文件后以书面形式(包括书面文字、电传、传真、电报等,下同)在2013年12月11日17:00之前向义乌市人民法院、义乌市政府采购中心和义乌市公共资源办提出。
6.2 对于招标文件中的内容,在规定的时间内没有提出异议的或者没有异议部分,视为同意和认可招标文件中的规定。
7、招标文件的修改
7.1招标方可主动或在解答投标人对投标文件提出的答疑问题时对招标文件进行修改。
7.2招标文件的修改将以书面形式通知所有购买招标文件的投标人,并对其具有约束力。投标人在收到上述通知后,应立即向招标方回函确认,未在规定时间内回复的视同默认接受。
7.3为使投标人准备投标时有充分时间对招标文件的修改部分进行研究,招标方可在投标截止期前通知投标人,适当延长投标截止期。
7.4招标文件的澄清、答疑、修改、补充文件是招标文件的组成部分,投标人须按照招标文件的澄清、答疑、修改、补充文件的要求参与投标,投标人没有作出实质性响应是投标人的风险,并可能导致其投标被拒绝。
7.5 投标人应在收到招标项目的澄清、答疑、修改、补充文件后一天内,以书面或者传真(签署意见并加盖投标单位公章)向采购方回函确认,逾期未回复的,视为默认接受。
三、投标书编制
8、招标文件的语言、计量及货币
8.1投标及投标方与采购有关的来往通知、函件和文件均应使用中文编写。
8.2除在技术规格中另有规定外,计量单位应使用公制单位。
8.3投标货币为人民币:元。
9、对投标文件的要求
9.1投标人应仔细阅读招标文件的所有内容,按招标文件的要求提供投标文件,并保证所提供的全部资料的真实性,以使其投标对招标文件作出实质性响应,否则,其投标可能被拒绝(即无效)。
9.2 投标方应在投标书的《开标一览表》上写明投标货物的单价和投标总价。投标文件中大写金额与小写金额不一致的,以大写金额为准;总价金额与按单价汇总金额不一致的,以单价金额计算结果为准;单价金额小数点有明显错位的,应以总价为准,并修改单价。
9.3在招标书对货物技术要求中,投标方必须充分应答应满足用户的强制性需求,否则将导致无效标。
10、投标文件的组成
10.1招标文件“投标相关文件格式”所列的内容、格式及其投标人认为有必要提供的其他文件。
★10.2递交的投标文件应分为技术标和商务标,技术标为除商务报价外的所有内容,且技术标和商务标分开密封。技术标(含资信与服务)不得含商务报价,否则作无效标处理。
11、投标文件内容
11.1技术标的组成
11.1.1投标方资格、资信合格性的有关证明及资料,投标人应提交证明其有资格参加投标和中标后有能力履行合同的文件,并作为其投标文件的一部分。投标人提交的合格性的证明文件应使招标方满意,投标人在投标时应是符合条件的投标人,其具体内容为:
11.1.1.1公司营业执照原件或复印件(复印件需加盖投标单位公章)★
11.1.1.2法人代表证明或法人代表授权委托书★
11.1.1.3投标方代表身份证复印件★
11.1.1.4关于资格的声明函★
11.1.1.5投标保证金缴纳凭证(复印件需加盖投标单位公章)★
11.1.1.6《招标公告》中要求的其他证书原件或复印件
11.1.1.7其它(投标人认为其他资信证明文件原件和复印件)。
11.1.1.9对存在有效期的资信证明文件必须在有效期内,提供过期的资信证明文件无效★。
11.1.2投标货物、服务符合性的有关证明及技术资料:投标人须提交参投货物的详细技术文件,其形式可以是文字资料、图纸和数据等,证明其拟供货物和服务符合招标文件规定的技术响应文件,作为投标文件的一部分。其具体内容为::
11.1.2.1参投单位情况介绍(资产、生产等情况)
11.1.2.2货物简要说明一览表★
11.1.2.3技术规格偏离表★
11.1.2.4商务偏离表★
11.1.2.5产品宣传册、操作说明书等资料;
11.1.2.6设备原生产厂商的DATASHEET、配臵清单(如有请提供)
11.1.2.7义乌市政府采购项目投标承诺书★
11.1.2.8产品质量保证承诺书★
11.1.2.09供应商售后服务承诺书★
11.1.2.10设备的详细维修保养计划和培训计划方案★
11.1.2.11投标书★
11.1.2.12其他投标方认为有必要提供的资料。
11.1.2.13对存在有效期的资信证明文件必须在有效期内,提供过期的资信证明文件无效★。
11.2商务投标书内容:
11.2.1开标一览表★
11.2.2 成本报价表★
11.2.3其他投标方认为有必要提供的资料
注:投标方应按以上要求提供资料,提供不全的有可能导致无效标
12、投标报价
12.1投标报价为投标方所能承受的一次性最终报价,以人民币为结算币种,须精确到元,投标报价为投标方所能承受的一次性最终报价须精确到元,投标报价包括产品购臵费、系统集成费、运输
费、安装调试费、培训费和税金等所有费用,即按招标方要求安装完毕的完工价格,并由成交单位开具正式发票。
12.2投标方应在投标书的《开标一览表》上写明投标货物的单价和投标总价。
12.3每项产品只允许有一个报价,有选择的报价将不予接受。
13、投标保证金
13.1 投标保证金为投标文件的组成部分之一。
13.2 投标方应在开标前,把足额投标保证金交至义乌市望道路300号行政服务中心4楼政府采购中心窗口。
13.3 投标保证金的形式:用户请用银行汇款/现金方式交纳投标保证金;并在票据的用途栏注明“政府采购保证金(单位代码081802)”字样。
13.4 投标保证金需在递交截止时间前到账,超过规定时间到账的,投标将被拒绝。
13.5 未按规定提交投标保证金的投标,将被视为无效投标。
13.6 若发现有意串标或提供虚假证明材料者,将被视为无效投标,并没收其投标保证金。
13.7 未中标的投标方的保证金:
13.7.1:未中标投标人投标保证金在中标人公示结束后3个工作日内予以退还。
13.7.2:如发生质疑(投诉)的,质疑人方(投诉方)和被质疑中标方的投标保证金不受有限期限限制,在质疑(投诉)处理未结束前一律不予退还。
13.8 如果在规定的开标时间后,投标方在投标有效期内撤回投标或放弃中标,将没收其投标保证金。
13.9 中标方的投标保证金,在合同签订并备案完成后3日内退还。保证金退付在义乌市望道路300号行政服务中心4楼政府采购窗口办理,届时须提供采购人的同意退付说明、法人委托书一份(必须法人亲笔签字,加盖单位公章)、采购中心出具的保证金收据原件或复印件一份、前来办理退款人的身份证原件、已开具正式凭证还须出具退款单位开的退保证金收据一份。
14、投标有效期
14.1 投标文件从开标之日起,投标有效期为60天。
14.2特殊情况下,在原投标有效期截止之前,招标方可要求投标方同意延长有效期,这种要求与答复均应以书面形式提交。在这种情况下,本须知中有关投标保证金的退还和没收的规定将在延长了的有效期内继续有效。投标方可拒绝这种要求,其投标保证金将不被没收。接受延长投标有效期的投标方将不会被要求和允许修正其投标,而只会被要求相应地延长其投标保证金的有效期。
15、投标偏离及建议
15.1 投标方如对采购项目的要求在技术和商务方面有偏离,均须在规范的偏离表中提出。
15.2 投标方可以在投标文件中对采购设备的技术规格要求提出推荐和替代意见,但所提出的意见应优于招标文件中提出的响应要求,并且使招标方满意。
16、投标文件格式和装订
16.1 投标方应按招标文件中第六章提供的“投标文件格式”填写并装订。
四、投标文件的递交
17、投标文件的签署和盖章
17.1 投标方应按本投标须知规定,提交投标文件的正本和副本。正本与副本如有不一致时,以
正本为准。投标文件的正本必须用不退色的墨水书写或打印(副本可以复印),并由投标方法定代表人或其法定代表人授权代表签署;若系授权代表签署,应将法定代表人授权投标委托书装订在投标文件技术标书内。投标方单位名称应为全称,并加盖公章。
17.2 投标文件的任何一页不得涂改、行间插字或删除。如有错漏必需修改,修改处须由同一签署人签字并加盖公章。由于字迹模糊或表达不清引起的后果由投标方负责。
18、投标文件的密封和标记
18.1 标书封面左上角处应有“正本”或“副本”的清晰文字。
18.2投标文件应按以下方法装袋密封标记:技术标包装袋内装技术标正本一份和副本四份,商务标包装袋内装商务标正本一份和副本二份;包装封面上应标明“采购编号、投标项目名称、商务标(或技术标)、投标方名称”等,并注明“于2013年12月17日上午10:00前不准启封”的字样;封口应加盖单位公章。
19、投标文件的送达时间
19.1 开标地点即为投标文件的递交地点,招标方在投标截止时间前一小时内接收投标文件。
19.2 投标截止时间即为开标时间,招标方将拒绝在投标截止时间后收到的投标文件。
19.3 投标截止前,允许投标方更改或撤回投标文件,但须有投标方授权代表签署的书面申请。投标截止后,投标文件不得更改。如在投标截止时间以后至确定中标人以前撤回投标文件,将没收投标保证金。
第三章招标设备清单及技术要求
一、采购货物清单
序号产品名称数量
1 WEB应用安全防护1套
2 光纤交换机2台
3 万兆防火墙1台
4 入侵防御系统1台
5 运维安全管理与审计系统1台
6 数据库审计与风险控制系统1台
7 综合信息监控和安全预警管理平台1台
8 核心交换机1套
9 汇聚层交换机1套
10 IP加密机含300个点授权1套
11 机房管理机1台备注:采购人将对中标方依据投标文件提供的产品进行测试验收,对于提供虚假参数并最终中标的投标方,经测试并查实后采购人将取消其中标资格,并将中标方录入法院系统采购黑名单,截止测试验收结束时所产生的一切费用由中标方自行承担。
二、技术要求
1、WEB应用安全防护
1.1性能及配臵要求
项目指标具体性能要求
接口电口具备至少6个10/100/1000 Base-T 千兆电口串口具备至少一个串口
USB口具备至少一个USB2.0接口
Bypass 支持故障时Bypass功能(1路)
技术规范安装空间标准1U机架尺寸
CF卡硬盘冗余必须支持CF卡与硬盘冗余CUP 必须支持多核CPU
内存 1 G以上内存
硬盘必须提供不小于500G的硬盘
性能参数吞吐量三层吞吐量≥1G VPN连接数不小于400
并发连接数不小于40万
新建连接数≥20000
延时<10 us
平均无故障时
间(MTBF)
≥100,000小时
1.2详细功能要求
项目指标具体功能要求
实时监控安全排行提供基于服务器和终端安全的实时攻击状态排行信息
实时安全日志
提供实时的安全事件信息,包括发生事件、源IP、目的IP、攻击类型、
URL、攻击描述、处理动作等信息
流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息
VPN功能IPSec VPN功
能
支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国
密办SCB2等其他加密算法支持MD5及SHA-1验证算法
支持各种NAT网络环境下的VPN组网
支持第三方标准IPSec VPN进行对接
总部与分支有多条线路,可在线路间一一进行IPSecVPN隧道建立,并
设臵主隧道及备份隧道,对主隧道可进行带宽叠加、按包或会话进行
流量平均分配,主隧道断开备份隧道自动启用,保证IPSecVPN连接不
中断;可为每一分支单独设臵不同的多线路策略;单臂部署下同样支
持多线路策略
应用访问控制应用特征识别
库
支持对900种以上应用1800种以上的应用动作、用户名进行识别,可
以识别P2P、IM、、视频应用、代理软件、网银等协议;
应用智能识别支持应用更新版本后的主动识别和控制
内网应用识别
依据用户现有的业务系统需要识别如下应用:可识别丰富的内网应用
如:Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LADP
等
基于用户、应
用访问策略
必须提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、
时间进行应用访问控制列表的制定
IPS入侵防护特征库数量漏洞特征库: 2500+ ,并且能够自动或者手动升级
特征库信息
★必须是微软“MAPP”计划会员,特征库必须获得CVE“兼容性认证
证书”,在投标文件中提供相关证明材料并加盖投标单位公章。
防护类型
包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞
的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等
防护对象漏洞分为保护服务器和保护客户端两大类,便于策略部署
策略制定
可根据源区域、目的区域、目的IP组,目的IP组支持多选进行IPS
策略的配臵
防躲避支持TCP协议的乱序重传、TCP分包
服务器防护Web应用防护
识别库
支持web应用防护识别数量1000+
Web服务隐藏
支持Web网站隐藏,包括HTTP响应报文头出错页面的过滤,web响应
报文头可自定义
FTP服务隐藏支持FTP服务应用信息隐藏包括:服务器信息、软件版本信息等Web攻击防护
支持OWASP定义10大web安全威胁,保护服务器免受基于Web应用的
攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网
站登录路径保护口令暴力破解
文件上传过滤
严格控制上传文件类型,检查文件头的特征码防止有安全隐患的文件
上传至服务器,并支持结合病毒防护、插件过滤等功能检查文件安全
性
风险评估端口服务扫描支持目标IP进行端口、服务扫描
漏洞风险评估支持服务器、客户端的漏洞风险评估功能
弱口令扫描
支持ftp、mysql、oracle、mssql、ssh、RDP、网上邻居NetBIOS、VNC
等多种应用的弱口令评估与扫描
智能策略联动风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自
动生成策略
网页篡改防护网关型网页防
篡改
支持网关处网页防篡改,无需在服务器中安装任何插件
篡改实时检查
支持文件比对、特征码比对、网站元素、数字指纹比对多种比对方式,
保证网站安全
动态网页/静
态网页支持
全面保护网站的静态网页和动态网页,支持网页的自动发布、篡改检
测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、表单
提交、审计等各个环节的安全,完全实时杜绝篡改后的网页被访问的
可能性及任何使用Web方式对后台数据库的篡改
检测方式支持各级页面模糊框架匹配、精确匹配的方式适用不同的网页类型
业务管理与安
全管理分离
支持提供管理员业务操作界面与网管管理界面分离功能,方便业务人
员更新网站内容
重定向支持网站其他页面、自定义页面、web备份服务器篡改后重定向
报警方式支持短信报警、邮件报警、控制台报警等多种篡改报警方式
病毒防护病毒引擎
基于流引擎查毒技术,能实时查杀大量文件型、网络型和混合型等各
类病毒;并采用新一代虚拟脱壳和行为判断技术,准确查杀各种变种
病毒、未知病毒
病毒库数量支持10万条以上的病毒库,并且可以自动或者手动升级
流量管理多线路技术
网关必须能同时连接多条外网线路,且支持多线路复用和智能选路技
术
虚拟多线路
必须支持将多条外网线路虚拟映射到设备上,实现对多线路的分别流
控;
应用流控支持基于应用类型划分与分配带宽
文件流控支持基于文件类型划分与分配带宽
时间控制支持基于时间段的带宽划分与分配策略
目标IP流控支持基于访问行为的目标IP实现带宽划分与分配
日志管理数据中心设备必须支持内/外臵数据中心
风险评估报表提供端口、服务、漏洞、弱密码等安全风险评估报表
安全日志查询
支持DOS攻击、web防护、IPS、病毒、web威胁、网站访问、应用控
制、用户登录、系统操作等多种安全日志查询
安全统计报表
支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器
安全风险、终端安全风险、上网行为、网络流量等内容,并形成报表IPS\服务器防
护统计
必须支持将应用的受攻击对象进行统计排行和报表输出,支持按照行
为次数和应用的排行统计各攻击类型名称;支持各种攻击类型的报表
输出和统计
病毒信息统计
必须支持将内网可能中毒的用户进行统计排行和报表输出,支持按照
行为次数和用户数的排行统计各新增病毒名称,支持根据病毒、恶意
脚本、恶意插件信息统计新增恶意URL排行
1.3其他要求
服务服务机构要求★必须在浙江省内有厂家直属的售后服务机构(在投标文件中提供相关证明材料并加盖厂家公章)
兼容性设备兼容★为了方便管理员统一管理策略下发实现设备间策略联动和同步策略控制,要求与加密机设备同品牌。
产品资质★产品资质
要求
具有中华人民共和国国家版权局颁发的计算机软件著作权登记证书
具有公安部公共信息网络安全监察局颁发的销售许可证
具有中国信息安全认证中心颁发的ISCCC认证
在投标文件中提供证书复印件并加盖原厂商公章。
2、光纤交换机
技术指标具体要求★光纤通道端口24端口,通用(E、F、M、FL或N)★可扩展性完整光纤体系结构,最多可有239台交换机。
性能1.063 Gb/秒线速,全双工;2.125 Gb/秒线速,全双工;4.25 Gb/秒线速,全双工;8.5 Gb/秒线速,全双工。 1 Gb/秒、2 Gb/秒、4 Gb/秒和 8 Gb/秒的端口速度自动传感可以选择对固定端口速度进行编程。 1、2、4和8 Gb/秒端口间进行速度匹配。
ISL干线合并基于帧的干线,每条ISL干线最多8个8 Gb/秒端口及可选许可;每条ISL干线最高68 Gb/秒(8个端口×8.5 Gb/秒[线路速率])
聚合带宽408 Gb/秒:24个端口×8.5 Gb/秒(线路速率)×2(全双工)数据通信类型支持单播、多播(255组)和广播的光纤交换机
光纤网络服务简单名称服务器(SNS);注册状态更改通知(RSCN)、NTP v3、可靠的承诺服务(RCS)、动态路径选择(DPS)、Brocade高级分区(默认分区、端口/WW N 分区、广播分区)、NPIV、FDMI、管理服务器、FSPF、光纤监测;扩展光纤;ISL干线;高级性能监测、自适应网络(每个数据流QoS、入口速率限制、通信隔离、光纤动态配臵;应用程序“Top Talkers”报告)、增强的组管理、集成式路由、 IPFC
管理访问10/100以太网(RJ-45)、带内光纤通道;串行端口(RJ-45);USB
当前配臵当前配臵激活8个8Gb FC端口,并配臵24个8Gb 热插拔、小型可插拔(SFP)、LC连接器
3、万兆防火墙
分类功能项产品特性详细描述
硬件要求产品架构
采用专用的硬件架构,硬件架构采用模块化设计;
★具备不小于500G的大容量存储介质扩展能力(在投标文件中提
供功能截图,加盖原厂公章)。
操作系统
内臵专用的安全操作系统,具有自主知识产权;系统软件采用模
块化结构设计,可按需配臵;
接口配臵
默认无网络接口,支持4个扩展槽位;可扩展不少于32个千兆
SFP接口或8个万兆接口
电源类型标配交流冗余电源;
产品尺寸采用标准机架式结构,不大于2U
性能要求整机吞吐量不小于16G
最大并发连接不小于100万(可扩展不少于300万)每秒新建连接数不小于140000
1功能要求工作模式
支持透明工作模式,路由/NAT工作模式和基于三层交换技术的混
合工作模式;
接口与安全域
支持至少4094个VLAN接口;支持基于802.1q协议的Trunk封
装;支持PPPOE和以太网通道技术;
Sflow技术支持基于Sflow的网络流量监控技术,可作为Sflow代理与异常流量分析软件或设备进行联动;
虚拟系统不少于4个虚拟系统支持,★支持基于虚拟系统级的带宽控制功能(提供功能截图);
策略支持根据安全域,IP地址,MAC地址,以太网帧类型,协议,端口和时间对IP数据包进行控制;支持基于域名的包过滤规则;支持长连接;支持IP/MAC绑定和黑白名单功能;支持地址与安全域绑定的信任地址功能;提供根据多种条件实现策略查询、分页显示、策略备份和策略恢复功能;
路由支持静态路由和策略路由功能;支持动态路由协议,至少包括RIP、OSPF和BGP;支持不少于80000条的路由表容量;支持基于路由的负载均衡技术并提供多方式(地址及服务)链路探测功能;
NAT 支持地址映射、源地址转换以及端口转换和目的地址转换以及端口转换功能;支持策略NAT功能;
★支持基于DNAT的负载均衡技术并提供多方式(地址及服务)链路探测功能;(在投标文件中提供功能截图,并加盖原厂商公章)
攻击防御可检测并阻止攻击者对受保护网络的探测行为,如ip address sweep,TCP xmas scan和TCP FIN scan等;支持拒绝服务攻击防御,如SYN Cookie,WinNuke,Land,SMURF和TCP RST等;支持对DNS泛洪攻击的有效防御,通过限制单位时间内来自某安全域的(基于UDP的)DNS 查询请求的数量来抵御DNS 泛滥攻击;
HA 支持基于VRRP技术的热备(A-A/A-S模式)和负载均衡;支持冗余接口功能;支持STP和RSTP;
应用控制支持即时通讯(IM)、P2P下载、网络电视与流媒体、网络游戏、炒股软件、远程登录、加密代理及邮件协议;
VPN IPSec VPN支持自动密钥和手动密钥的隧道;可以支持多种方式
认证(PSK,证书,Xauth等);支持透明模式VPN,链式VPN,
嵌套VPN,远程接入VPN,冗余VPN网关、基于域名的动态VPN;
支持IPSec双向NAT穿越;
★支持SSL VPN;支持移动终端的VPN接入,移动终端类型包括:IOS4/5,Symbian、 Andriod;提供自主开发的VPN客户端软件,VPN客户端支持配臵和证书的导入/导出功能;(在投标文件中提
供功能截图, 并加盖原厂商公章)
防病毒(AV)支持对特定文件类型定义防病毒动作;支持对压缩文件进行防病毒扫描,压缩文件嵌套查杀级别不小于16,压缩文件内可扫描文件数不小于15000;支持滴流技术;支持防病毒扫描的协议包括:SMTP,POP3,IMAP,FTP和HTTP;内臵病毒样本数量不少于20000种;提供实时的病毒库升级功能,支持自动和手动两种升级方式
反垃圾邮件(AS)支持基于IP地址、收件人和发件人设定邮件控制列表;支持基于邮件主题和内容的关键字过滤;提供基于IP信誉值和邮件内容的垃圾邮件过滤机制;
入侵防御(IPS)支持根据攻击特征进行的攻击检测技术;内臵IPS特征库,特征规则数量不少于1000条;可以有效防止通讯过程中泄露敏感信息,如服务器类型,Web错误信息和、服务器的目录检测等行为;支持对SMTP,POP3,IMAP,DNS和HTTP应用级别的协议限制和协议异常检测;支持对传输层级别的协议限制和协议异常检测,如TCP;可针对HTTP协议进行内容过滤,如HTTP头过滤,页面内容过滤;支持检测并阻断针对WEB的攻击,如跨站脚本攻击和SQL注入;提供DNS域名黑名单功能;支持DNS缓存中毒防御;支持DNS不规则化检测,外部请求限制和不匹配应答限制功能;
URL过滤支持基于分类的URL过滤,用户可以自定义对于广告、求职、色情、政治、社交、购物等几十种不同内容类别的URL设定处理动作;本地具备不少于10万条URL记录,可对经常访问的URL进行缓存;
管理接口支持通过WebUI,telnet,ssh和Console
日志及报警策略提供Syslog,SNMP Trap,Email和本地多种报警方式;提供多种日志存储方式,本地存储(硬盘,存储卡)和网络存储机制;
用户认证支持LocalDB、RADIUS、LDAP认证功能;支持OTP认证机制;
一键式技术支持提供一键式技术支持功能,快速收集所需信息,便于设备的管理和维护;(在投标文件中提供功能截图,并加盖原厂商公章)
★产品资质要求《计算机信息系统安全专用产品销售许可证》
《中国国家信息安全产品认证证书》(三级)
《涉密信息系统产品检测证书》
《计算机软件著作权登记证书》
《国家信息安全测评信息技术产品自主原创测评证书》在投标文件中提供以上证书复印件并加盖原厂商公章
4、入侵防御招标参数
分类特性/功能详细描述
产品架构★硬件架构采用专用的硬件架构,可支持大容量存储介质(至少500G)。硬件架
构采用模块化设计,便于进行接口扩展和硬件升级。
操作系统专用的安全操作系统,具有自主知识产权;
支持双安全操作系统技术。每个安全操作系统支持快速升级及回滚,
无需重启。
系统软件采用模块化结构设计,可根据需要进行选择。
接口接口配臵;标配4个10/100/1000 Base-T铜口+2个SFP端口),具备1个扩展槽
位,最大10个千兆接口
电源电源类型交流冗余电源
尺寸硬件尺寸2U
性能系统吞吐量不小于6G
最大并发连接数200万(可扩展至300万)
每秒新建连接数不小于60000
VSYS数不小于16
功能工作模式
支持透明工作模式,路由/NAT工作模式和基于三层交换技术的混合工
作模式;
接口与安全域支持至少1000个VLAN接口和基于802.1q协议的Trunk封装;
支持PPPOE接口,支持自动拨号和按需拨号两种连接方式,对PPPOE 连接提供高可用性支持(包括HA和冗余接口);
支持以太网通道技术,通过多个接口的绑定来实现增加带宽和链路备份;
支持环回接口,可以通过环回接口对设备进行管理,便于监控和调试,参与动态路由选举;
支持基于二层接口和三层接口的安全域划分,便于管理员进行统一的安全控制。
Sflow技术★支持基于Sflow的网络流量监控技术,可作为Sflow代理与异常流量分析设备进行联动。
带宽管理支持按照虚拟系统,接口和策略设定QoS规则,通过设定最大带宽,保证带宽,优先级和DSCP值来确保重要业务和应用不被延迟或丢弃,保证网络高效运行。
WebAuth 支持基于Web页面的用户认证功能,可以单独对认证用户设定访问策略,数据包控制细化到用户一级。
路由支持静态路由功能;
支持多个策略路由表,以入口,TOS,源IP地址,和服务作为策略条件,用户可根据不同策略控制数据流向;
支持基于路由的负载均衡技术并提供多方式链路探测功能;
支持内部网关路由协议RIP和OSPF和外部网关路由协议BGP。支持CIDR,路由汇总,路由过滤,路由重发布等功能。需要提供完善的动态路由功能,可作为高端路由设备在网络中进行部署。
NAT 支持地址映射功能;
支持一对一,多对一和多对多的源地址转换以及端口转换功能;
支持一对一,一对多的目的地址转换以及端口转换功能;
支持策略NAT功能,可将方向,源IP地址,目的IP地址,协议,端口和服务类型值做为策略匹配条件,提供精确的地址转换服务;
支持基于DNAT的负载均衡技术并提供多方式链路探测功能;
支持DNS和NAT的联动。
动态端口支持可针对FTP,TFTP,SIP,H.323,RTSP,Tuxedo和Oralce协议设臵动态端口打开功能。
攻击签名支持根据攻击特征进行的攻击检测技术,对于攻击特征进行有效分类和组织便于用户管理和维护;
内臵IPS特征库,特征规则数量超过2,000条;
信息泄露可以有效防止通讯过程中泄露服务器的敏感信息,如探测服务器类型,隐藏Web错误信息和防止Web服务器的目录检测等行为;
至少支持SMTP,POP3,IMAP和HTTP协议;
协议限制支持对SMTP,POP3,IMAP,DNS和HTTP应用级别的协议限制和协议异常检测;
支持对传输层级别的协议限制和协议异常检测,如TCP;
协议限制需提供预定义高,中,低三级的缺省设臵以满足用户不同级别的安全需求,并提供自定义选项;
内容过滤可针对HTTP协议进行内容过滤,如HTTP头过滤,页面内容过滤;
可检测并阻断一些注入攻击,如跨站脚本攻击,LDAP注入,SQL注入和命令注入;
可对SMTP,POP3和IMAP协议进行用户定义命令检测和阻断;
提供DNS域名黑名单功能,可对黑名单中的域名解析请求进行阻断;支持DNS缓存中毒防御,支持不规则化检测,外部请求限制和不匹配应答限制功能;
可根据不同的终端类型,对telnet进行命令限制,阻止带有攻击特征或有风险的命令和参数;
攻击防御可以检测并阻止攻击者对受保护网络的探测行为,如ip address sweep,TCP SYN port scan,TCP null scan,TCP xmas scan和TCP FIN scan等;
支持拒绝服务攻击防御,如SYN Cookie,WinNuke, Ping of Death,Teardrop,ICMP Flood,UDP Flood,SYN Flood,Land ,SMURF ,TCP RST;
支持可疑数据包检测与防御,包括:IP碎片数据包攻击,IP选项数据包攻击(记录路由选项,时间戳选项,严格源路由选项,宽松源路由选项,路由跟踪选项)等;
提供策略级会话泛滥控制机制,可根据安全域,IP地址或地址段,策略类型和阈值来进行会话限制;
可以检测并阻断利用TCP协议缺陷破坏网络连接和数据传输的行为,如Spoofed Reset Protection,Small PMTU,TCP Control Bits Check 和TCP Data Overlap;
可以防止攻击者利用ICMP协议进行的一些扫描和攻击的行为,如ICMP ISS Pinger,ICMP Nemesis v1.1 Echo,ICMP Ping NMAP,ICMP Icmpenum v1.1.1和ICMP Webtrends Scanner等。
★虚拟系统支持虚拟接口和虚拟网络功能,虚拟系统之间的通信无需借助外部设备实现;
提供三层共享接口技术以解决多虚拟系统接口资源不足的问题;
虚拟系统可完全独立在网络中进行部署,系统资源以固定的方式进行分配;
HA 提供增强的VRRP协议,可与支持VRRP的路由交换设备配臵冗余;支持虚拟路由器探测,支持地址探测,接口状态和硬盘状态的探测功能;
可实现配臵的自动同步和手动同步,时钟同步和会话同步功能;
同步信息支持加密与认证,心跳接口支持以太网通道技术;
HA支持抢占和非抢占两种模式;
支持冗余接口功能;
支持接口Bypass功能。
管理功能管理接口支持通过WebUI,telnet,ssh,Console和安全集中管理平台(SCM)
进行管理;
语言支持支持中问和英文的管理界面,用户可在进行语言切换;
日志及报警策略提供Syslog,SNMP Trap,Email和本地多种报警方式;
提供多种日志存储方式,本地存储(硬盘,存储卡)和网络存储机制。
SNMP 支持SNMPv1,v2c和v3;
支持通过SNMP用户进行认证,支持认证加密和数据传输加密功能。用户认证支持管理用户,网络用户和SCM用户的本地认证和RADIUS认证功能;
支持OTP认证机制;支持智能卡和生物识别进行认证;
系统管理与维护支持系统整机和单个虚拟系统的备份与恢复;
支持双系统功能,并可任意进行系统切换;
提供多种系统升级方式,如Web界面,Console和安全集中管理平台统一升级。
配臵向导提供虚拟系统,HA和VPN等复杂功能的配臵向导,可以协助用户完成复杂功能的配臵;
一键式技术支持提供一键式技术支持功能,快速收集所需信息,便于设备的管理和维护;
监控功能提供仪表盘功能,可实现对接口,拓扑结构,接口流量,路由等信息的监控;
提供系统资源利用监控功能,可实时查看CPU和内存占用率,磁盘占用率,进程和资源利用率等信息。
★厂商和产品资质要求《信息安全产品强制性认证》
《计算机信息系统安全专用产品销售许可证》
《涉密信息系统产品检测证书》
《国家信息安全认证产品认证证书EAL3级别)》
《计算机软件著作权登记证书》(具备国内自主知识产权) 《国家信息安全测评信息安全服务资质证书(二级)》
在投标文件中提供证书复印件并加盖原厂商公章。
5、运维安全管理与审计系统
指标项具体描述备注
★产品资质提供审计产品的《计算机软件著作权登记证书》;
国家公安部计算机信息系统安全专用产品销售许可证;通过国家保密局涉密信息系统产品认证;
通过国家强制性产品认证3C证书(增强型认证);
在投标文件中提供证书复印件并加盖原厂商公章。
产品架构软硬件一体化产品;
部署方式旁路代理模式,不影响正常业务流量;
管理结构B/S架构,采用HTTPS方式远程安全管理,无需安装客户端;网络接口>=100/1000M RJ45 2个自适应以太网口;
★数据存储系统自带内部存储,存储系统为自主研发文件系统,须提供计算机软件产品著作权登记证书(数据检索实时性高,减少维护量和通用软件带来的安全漏洞,所以暂不考虑关系型数据库);
存储空间不低于1TB
并发会话数最大1000个并发会话连接数
授权资源数300个主机/设备操作监控许可证
支持协议字符型远程操作协议:SSH(V1、V2)、TELNET、RLOGIN;
图形化远程操作协议:RDP、VNC、X11
文件传输协议:FTP、SFTP;
数据库远程操作协议:支持ORACLE、MSSQL、Sybase等数据库远程访问协议审
计,支持mysql over ssh tunnel功能;
服务器访问方式WEB方式至少支持RDP、VNC、X11、SSH、TELNET、FTP、Oracle等协议;
客户端方式至少支持RDP、VNC、X11、SSH、TELNET、FTP、SFTP、Oracle、mssql、sybase等;
菜单方式访问至少支持RDP、VNC、X11、SSH、Telnet、FTP等协议;
操作行为记录针对SSH、Telnet、Rlogin、FTP/SFTP、数据库操作进行记录及审计;
记录发生时间、源IP、目标IP、源端口、目标端口、操作指令、运维审计系统用户、目标服务器账号、访问结果、操作备注等信息;
针对RDP、VNC、X11等图形终端操作的连接情况进行记录及审计;详细记录访问开始时间、源IP、目标IP、源端口、目标端口、运维审计系统用户、目标服务器账号、操作备注等信息;
能够记录RDP协议中的活动窗口名称、删除文件等动作,并能记录RDP会话中的键盘输入信息;
会话过程回放支持以WEB在线视频回放方式重现维护人员对服务器的所有操作过程,无须在客户端安装播放客户端软件;
支持从特定操作指令开始进行定位回放;
★身份认证及访问授权支持多种认证方式:短信认证、RSA动态口令或安盟动态口令认证;(提供截图或第三方证明文件)
支持审批模式:运维用户访问特定的服务器设备必须经过管理员的临时审批授权才能进行,否则无法进行任何操作;(提供截图,并加盖原厂商公章)
支持备注模式:运维用户访问服务器前必须先填写该次访问的维护目的等内容,否则不能进行访问操作;(在投标文件中提供截图,并加盖原厂商公章)
访问控制及异常告警支持根据源IP地址、时间、用户名、操作指令、目标服务器主机等内容设定安全事件规则;
支持指令的黑、白名单控制,可根据黑白名单指令集限制用户的操作权限;支持对违规事件进行告警及自动阻断;
支持以屏幕、邮件、SYSLOG、Snmp Trap等方式实时发送告警信息;
实时监控实时会话监控列表:显示会话连接状态(连接中、退出、阻断),显示会话来源、目标地址、帐号及访问人信息等;
同步监控操作过程:支持对操作过程进行同步监控,执行会话回放、监控和阻
断操作;(在投标文件中提供截图,原厂总部盖章)
支持Vi、aix下smit、rhel下setup等图形或菜单操作进行全程同步监控;
系统自身监控:实时监控审计系统CPU、内存、磁盘的使用情况;记录审计系
统自身的管理操作
数据安全管理支持自动归档和手动备份、支持以FTP/SFTP等方式自动上传归档数据;
支持从WEB管理界面重启、关闭设备;
支持从WEB界面修改网卡IP设臵、静态路由设臵等内容;
支持页面超时设臵,一段时间页面未进行任何操作后,将自动结束页面登陆会话;
★可扩展性支持与同品牌的数据库审计系统、日志审计系统、应用系统审计产品实施联动部署,全面实现运维管理行为、数据库访问行为、网络运行日志、业务系统日志全面综合审计;
支持分布式部署升级;
产品售后及签订合同时提供原厂三年7*24小时的售后服务承诺:提供三年原厂保修及原
服务厂免费现场服务,产品的安装、培训由原厂工程师完成实施。
6、数据库审计与风险控制系统
基本要求描述备注
★资质要求获得国家公安部颁发的《计算机信息系统安全专用产品销售许可证》;通过国家强制性认证产品证书;
通过国家保密局涉密信息系统认证;
提供产品《计算机软件著作权登记证书》;
在投标文件中提供以上证书复印件并加盖原厂商公章
系统要求产品结构:要求为一个完整的软硬件一体化的日志审计系统;无需用户另行提供服务器、操作系统、数据库、防火墙软件、及用户手动升级系统补丁;
操作系统:Linux系统;
日志生命周期管理:包括日志采集、审计分析、存储备份功能。
管理方式:B/S方式;
设备部署:提供旁路接入模式,设备部署不影响原有网络结构。
网络接口审计主机至少提供RJ45*3(二路数据传输口,一路产品管理口)网络接口支持电口,可升级为光口;
采集要求采集日志范围
1、支持网络行为日志(HTTP、FTP、TELNET、SMTP、POP\POP3、P2P、即时聊天等)
2、支持数据操作行为日志(Orale[8i、9i、10g、11g],SQL-SERVER[2000、200
3、2008],MySQL、Informix、SyBase);
3、支持主流网络设备交换机和路由器[Cisco、H3C、HUAWEI、Juniper];
4、支持主流安全产品防火墙[Netscreen、Checkpoint、天融信、东方龙马、东软、H3C等],IPS/IDS[启明星辰、绿盟],
5、防毒墙[趋势、FortiGate]、UTM[Fortinait、启明星辰];
6、支持操作系统Windows、Linux、BSD、Unix等;
7、WEB应用IIS、Apache等;中间件Websphere、WebLogic等;
8、对用户专用业务系统的日志提供二次开发支持。
日志采集方式
Windows系统日志采用安装Agent方式采集日志;
安全产品、网络设备、及*Nix操作系统通过SYSLOG、SNMP、OPSEC LEA采集; 支持所有文本记录型日志、SYSLOG协议日志自定义格式采集;
文本记录型日志[IIS、APACHE、WEBlogic等]可通过FTP、HTTP、SMB共享方式下载或在宿主操作系统安装agent方式采集;
日志采集能力:2500条/秒以上。
★存储要求所供系统设备必须自带本地存储功能;
为减少维护量和通用软件带来的安全漏洞,不得使用通用数据库作为后台存储系统,必须使用审计厂家自主研发的存储系统,(在投标文件中须提供自主研发存储系统的计算机软件产品著作权登记证书复印件并加盖原厂商公章);
物理磁盘空间>=450TB;日志存储量至少4亿条;
RAID 1架构以保证数据可靠性。
基本功能实时功能
实时窗口支持自定义布局,多种日志类型分子窗口实时滚动显示;实时滚动显示的明细日志可自定义显示日志字段;
实时窗口支持图形(饼、柱、曲线图)及明细日志等多种显示方式;
实时显示多种日志属性滚动显示(原始日志、重要日志、告警日志);
实时显示审计主机系统状态(CPU、内存、磁盘空间);
实时显示当前日志流量(当前总流量、各日志源流量等多种TOP N显示方式);审计分析报告
系统默认报告数量不少于百种;
以图(柱、曲线、饼等),统计、明细数据的方式表现;
支持动态\静态(日报、周报、月报)两种系统生成方式;
支持报告模版创建、修改、删除功能;
支持报告邮件转发(或生成提醒)功能;支持多人邮件接收;
支持自定义审计报告;
支持多层嵌套报告;
支持报告自定义归类;
支持导出html、Excel、PDF;
报告名称以树型菜单统一高效管理;
查询检索
日志数据全字段检索至少满足500万条<5秒;
支持多条件组合查询方式;
支持多日志类型同时查询,以日志类型分别显示;
支持逻辑运算符(或、与、非);
支持IP、字符、数字、日期、时间等日志字段;
支持查询模版创建、修改、删除功能;
支持历史查询任务列表的查看;
支持导出html、Excel、PDF;
支持日志字段自定义选择显示;
分析规则
默认规则库数量至少500条;
支持自定义规则;
规则条件支持逻辑运算符运算;
规则条件支持正则表达式方式;
规则告警支持屏幕、邮件、短信方式;
规则条件支持多条件组合方式;
支持告警日志内容自定义等级、接收用户组、描述信息;
支持对规则启动、停用;
备份归档
支持日志属性(原始日志、重要日志、告警日志)、日志类型、存储周期的方式选择备份;
支持日志恢复导入;
支持自动与手动两种归档策略
支持本地、FTP上传、SFTP上传等归档方式;
支持各种日志类型磁盘空间比例分配;
系统管理
支持审计系统帐号、组管理(添加、修改、删除);
支持资产管理,即所有采集日志源管理维护;