金华市审计局数据分析室建设及审计专网改造项目招标文件
来源:公务员考试 发布时间:2020-11-05 点击:
金华市审计局数据分析室建设及审计专网改造项目
招
标
文
件
项目编号:
JHTY2020- - ZFCG045
项目名称:数据分析室建设及审计专网改造项目
采购单位:
金华市审计局
代理机构:
金华天逸工程咨询有限公司
日
期:
0 2020 年 年 0 10 月 月 8 28 日
目
录
第一章
公开招标采购公告
第二章
招标需求
第三章
投标人须知
第四章
开标和评标须知
第五章
评标细则
第六章
合同条款
第七章
投标文件格式
温馨提示:
投标供应商不得向采购人、政府采购工作人员、评标专家行贿 ,违者一经查实,将列入政府采购黑名单!
投标供应商可在政采云平台( httpz z s:// www. zc zcy.gov.cn )进行免费注册,具体详见网站供应商注册要求,投标供应商获取中标资格后应在合同签订前完成注册并成为正式注册供应商。否则将无法完成合同签订与付款程序。
注:请认真阅读此招标文件,并按规定制作投标文件,否则我们的努力将是徒劳。
3 第一章
公开招标采购公告
一、项目基本情况 项目编号 JHTY2020-ZFCG045 项目名称:
数据分析室建设及审计专网改造项目 采购方式:公开招标 预算金额:664000 元
最高限价:664000 元 采购需求:
项目名称 规格及要求 数量 单位
预算金额(万元)
数据分析室建设及审计专网改造项目 见第二章“技术规格(或技术参数)”要求 1 项 66.4 合同履行期限:2020 年 12 月底前。
本项目(否)接受联合体投标。
二、申请人的资格要求:
满足《中华人民共和国政府采购法》第二十二条规定:
(1)具有独立承担民事责任能力; (2)具有良好的商业信誉和健全的财务会记制度; (3)具有履行合同所必需的设备和专业技术能力; (4)有依法缴纳税收和社会保障资金的良好记录; (5)参加政府采购活动前三年内,在经营中没有重大违法记录。
项目概况 数据分析室建设及审计专网改造项目招标项目的潜在投标人应在:1、网上获取:已在政采云注册的正式供应商自行登录浙江政府采购网(httpz://zfcg.czt.zj.gov.cn/)潜在供应商版块获取文件。2、代理机构获取:未在政采云注册潜在供应商向金华天逸工程咨询有限公司(婺城区董宅路董和巷48 号)获取文件,并于 2020 年 11 月 18 日 09:20(北京时间)前递交投标文件。
4 三、获取招标文件
1、时间:即日起至 2020 年 11 月 17 日(提供期限自本公告发布之日起不得少于5 个工作日),每天上午 08:30 至 11:30,下午 14:00 至 17:00(北京时间,线上获取法定节假日均可,线下获取文件法定节假日除外)
2、地点:(网址):(1)网上获取:已在政采云注册的正式供应商自行登录浙江政府采购网(httpz://zfcg.czt.zj.gov.cn/)潜在供应商版块获取文件(首次参加投标的单位应先登录浙江省政府采购网(zfcg.czt.zj.gov.cn/)进行账户注册,注册完毕待审核成功后方可登录获取,注册咨询电话:400-881-7190);(2)代理机构获取:未在政采云注册潜在供应商向金华天逸工程咨询有限公司(婺城区董宅路董和巷 48 号)获取文件
3、方式:下载或现场获取 4、售价:0 5.注:(1)上述为供应商依法获取招标文件的方式,未按上述方式获取招标文件的,不得对招标文件提起质疑投诉。同时请供应商在参加投标前随时关注项目的更正公告情况。浙江政府采购网上随公告发布的招标文件仅供阅览。
(2)采购代理机构将拒绝接受未报名人的投标文件。
四、提交投标文件截止时间、开标时间和地点
提交投标文件截止时间:2020 年 11 月 18 日 09:20(北京时间)
投标地点(网址):金华市公共资源交易中心(双龙南街 858 号财富大厦四楼)开标 3 室。
开标时间:2020 年 11 月 18 日 09:20
开标地点(网址):
金华市公共资源交易中心(双龙南街 858 号财富大厦四楼)开标 3 室。
五、公告期限
自本公告发布之日起 5 个工作日。
六、其他补充事宜
1、供应商认为采购文件使自己的权益受到损害的,可以自获取采购文件之日或者采购文件公告期限届满之日(公告期限届满后获取采购文件的,以公告期限届满之日为准)起 7 个工作日内,以书面形式向采购人和采购代理机构提出质疑。质疑供应商对采购人、采购代理机构的答复不满意或者采购人、采购代理机构未在规定的时间
5 内作出答复的,可以在答复期满后十五个工作日内向同级政府采购监督管理部门投诉。质疑函范本、投诉书范本请到浙江政府采购网下载专区下载。
2、其他事项:无 七、对本次招标提出询问,请按以下方式联系。
1.采购人信息 名 称:金华市审计局 地 址:双龙南街 801 号
传 真:0579-82469680 项目联系人:金华振 项目联系方式:0579-82469679 质疑联系人:金华振 质疑联系方式:0579-82469679 2.采购代理机构信息 名 称:金华天逸工程咨询有限公司 地 址:浙江省金华市婺城区董宅路董和巷 48 号 传 真:0579-82569123 项目联系人(询问):周敏 质疑联系人:赵女士 质疑联系方式:15068085201 3.同级政府采购监督管理部门 名 称:金华市财政局政府采购监管处 地址:双龙南街 801 号西辅楼 传真:
联系人:
周老师
监督投诉电话:0579-82468735
6 第二章
招标需求
一、 项目采购编号:
JHTY2020- - ZFCG045
二 、采购单位名称:
金华市审计局
三 、 项目 名称:
数据分析室建设及审计专网改造项目
四、項目实施要求
(一)
技术规格(或技术参数)及数量要求
内容 序号 设备名称 规格 数量 单位
1 屏蔽机柜 1、屏蔽壳体:冷轧钢板焊接成的全密闭的箱体,经过镀锌与油漆等防腐蚀处理; 2、屏蔽门:高强度屏蔽簧片、冷轧钢板焊接成的门扇组成的屏蔽门; 3、滤波器:电源滤波器具有宽抑制频带和高的插入损耗; 4、通风波导窗:蜂窝型通风波导窗,顶部波导窗设有微型轴流风机四只,单只排风量1.4m³/min; 5、传输管:传输管设有带弹性夹头的铜制传输导管; 6、光导管:φ14*100 镀铜光纤输导管; 7、服务器支架:上下前后可调位置的服务器安装支架; 8、外形尺寸:700*1000*1550(毫米)
1 台 2 交换机 1、交换容量:432Gbps 2、转发性能:≥120Mpps
3、配置:24 个 SFP 端口 4、路由协议:支持 IPv4 静态路由、RIP V1/V2、OSPF、BGP;支持 IPv6 静态路由、RIPng、OSPFv3、BGP4+;支持 IPv6 手动隧道、6to4隧道和 ISATAP 隧道 5、可靠性:支持 VRRPv2/v3(虚拟路由冗余协议);支持 RRPP(快速环网保护协议),环网故障恢复时间不超过 50ms; 1 台 3 光模块 配套光纤模块 34 个 4 光网卡 1、配置两个千兆光纤口,自适应单模多模光模块 2、支持 WIN7、WIN8、WIN10、LINUX、Vmware等操作系统 3、自带驱动光盘 4、兼容 PCI-E X4、X8、X16 插槽 16 个 5 分析室点位布放 配套光纤、线槽、线卡等辅材及终端红黑电源(5 插)7 套。
1 项
7 6 光纤跳线等终端材料 10-15 米 20 条 7 甲级防盗门 表面钢材厚:2mm,度锁闭点数:12 个,防破坏开启时间≥30min 1 扇 8 防盗窗 定制国标防盗窗 1 项 9 安防系统 包含:
监控设备:400 万红外 POE 半球摄像机两只,镜头大小根据现场情况调整;硬盘录像机一套,录像存储时间要求大于 180 天。
红外报警设备:主机一台、红外室内探头两只。
1 项 10 门禁 门禁控制器一套、门禁电源一套、触摸开关一套、指纹门禁刷卡器一套、50 张 ID 卡,设备要求可保存 180 天相关记录 1 项 11 数据显示屏 80 寸 4K 电视,含壁挂支架 1 套 12 装修工程 包含:两个房间约 80 平方的地面强化地板铺设、隔断拆除、墙面粉刷、空调风道拓展、外间吊顶改造、外间灯光改造及垃圾清运等项目 国标强化地板规格:(1).木地板表面:水晶面;三氧化二铝耐磨纸≥46 克;表面耐磨转数≥6000;(2).木地板基材(高密度纤维板)的密度应为 0.82-0.96 g/cm3;(3).甲醛释放量:E0 级,且≤0. 5mg/L ;木地板的接缝处:采用锁扣形式、有防潮处理。
涂料:净味环保乳胶漆。
背景墙:艺术漆、软包等根据现场定制化设计 吊顶材料:微孔铝扣板。
灯光:嵌入式led平板灯 1 项 13 办公桌椅 卡座型办公桌椅,板材选用 E0 级环保颗粒板、铝合金框架 工位按现场情况定制(包含拐角定制切割等工作),专网分析室不少于 12 个工位;数据分析网工位不少于 15 个工位 椅子采用网面透气材料。
1 项
8 审计专网升级改造 14 核心交换机 1、交换容量:736Gbps 2、转发性能:≥222Mpps
3、配置:24 个 SFP 端口(其中 8 个 combo 口)端口,4 个万兆 SFP+口,1 个端口扩展槽位,配置模块化双电源,双风扇,1 个 RJ-45 Console 口,1 个 Micro USB Console 口(不能同时工作,Micro USB 优先)
4、堆叠:最大堆叠台数≥9 台;最大堆叠带宽≥40G;可要求堆叠带宽≥40G,并要求实配接口的基础上额外满配堆叠带宽所需的接口和互联模块;支持跨设备链路聚合,单一IP 管理,分布式弹性路由 5、路由协议:支持 IPv4 静态路由、RIP V1/V2、OSPF、BGP;支持 IPv6 静态路由、RIPng、OSPFv3、BGP4+;支持 IPv6 手动隧道、6to4隧道和 ISATAP 隧道 6、可靠性:支持 VRRPv2/v3(虚拟路由冗余协议);支持 RRPP(快速环网保护协议),环网故障恢复时间不超过 50ms; 7、▲安全扩展:可以集成包括 FW,IPS、负载均衡等高性能 OAP 模块插卡,提供证明资料 8、有线无线一体化:支持无线控制器功能,提供证明资料加盖原厂章 9、访问控制策略:支持基于第二层、第三层和第四层的 ACL; 10、▲Macsec:支持 802.1ae Macsec 安全加密,实现 MAC 层安全加密,包括用户数据加密、数据帧完整性检查及数据源真实性校验。提供证明资料加盖原厂章 1 台 15 楼层交换机 24 口 10/100/1000M 自适应电口交换机,固化2 个 10/100/1000M 电口和 2 个 SFP 千兆光口,交换容量: 192Gbps,包转发率:42Mpps,二层管理型交换机,每台配置两块光纤模块 9 台 16 机柜 42U 标准网络机柜 1 台 17 配线架 六类 24 口非屏蔽配线架,适用于 T568A 和T568B,支持前端打线;面板表面整洁,没有螺丝,包括色标槽和打印标签条; 可端接22-24AWG,UTP/FTP 电缆;支持超五类、六类、超六类及光纤模块的组合安装,可直接安装在标准的 19”机架或机柜上,后置线缆管理器有效引导线缆至正确位置,节省机柜空间。
★投标的产品必须获得 CE 认证,且投标型号必须与 CE 认证证书型号相一致;提供信息产9 套
9 业数据通信产品质量监督检验中心出具的两年内的(四连接点)检验报告及原厂家 15 年产品免费保修承诺函原件。
18 模块 六类非屏蔽模块,性能符合六类标准中的规定,568A 和 568B 彩色编码,方便线缆端接,材料采用镀金层 50um,可拔插 2000 次以上,性能向下兼容五类,超五类产品,多种颜色可供选择。
★投标的产品必须获得 CE 认证,且投标型号必须与 CE 认证证书型号相一致;提供信息产业数据通信产品质量监督检验中心出具的两年内的(四连接点)检验报告及原厂家 15 年产品免费保修承诺函原件。
192 个 19 跳线 六类非屏蔽跳线,性能符合 TIA/EIA568C 六类标准中的规定,可以与五类和超五类产品兼容。多股线缆内部的十字骨架使得线缆具有超强的柔性寿命;可以滑动的去应力护套提供更好的搭扣保护;提供多种颜色选择和长度选择;插拔次数高于 1000 次。
192 根 20 熔接盒 尾部带有进线孔,适合端接室内紧套型光缆和室外铠装型光缆;前端自带光纤端口标识系统和机械滑动装置,便于系统安装维护;支持适配器类型:ST 、SC 、LC、FC 及 MTRJ;内部含有光纤熔接盘,并预留足够的盘纤空间,支持 12-96 芯及高密度光纤端接;柜体整体为铝合金制作,同时支持超五类、六类模块安装。
2 套 21 光纤 室外多模光纤双面涂塑钢带(PSP)加强了光缆的允许压力,抗冲击力和防潮性能,高强度中心松套管,管内充有阻水油膏,轻铠装结构。
60 米 22 熔接 定制服务 1 项 23 桥架 楼层走线用金属桥架 1 项 24 网线 六类 4 对非屏蔽 UTP 双绞线,0.57mm(23AWG)实芯裸铜导体、线缆中心采用十字芯骨架,最大程度上保证安装过程中不破坏双绞线绞距从而提供更大的传输带宽和传输速率,外径:6.3mm ± 0.2mm,绝缘层:高密度聚乙烯,绝缘直径:1.0mm±0.03mm,外护套:聚氯乙烯,厚度:0.6mm,防火等级:CMR,LSZH,CM 可选。
★投标的产品必须获得 CE 认证,且投标型号必须与 CE 认证证书型号相一致;提供信息产业数据通信产品质量监督检验中心出具的两90 箱
10 年内的(四连接点)检验报告及原厂家 15 年产品免费保修承诺函原件。
25 面板底盒 白色 86 型面板双层模块化设计、采用 UL94V0 耐冲击及耐燃 ABS 材料高强度抗冲击热塑材料制成;所有面板均带防护门,可适应不同的恶劣施工环境,防潮,有效延长模块寿命,兼容超五类、六类及光纤模块。
96 套
26 辅材 管材、线卡、胶带、标签等 1 批 专网等保三级建设 27 全流量威胁分析系统 1、硬件规格:2U 上架设备,单电源;不少于4 个千兆电口(监听口);不少于 2 个千兆电口(管理口);内存≥32GB;硬盘容量≥1T。含 3 年硬件维保、软件升级和每季度一次的安全分析服务。
2、性能要求:流量吞吐≥1Gbps;并发会话数≥150 万;每秒新建会话数≥1 万。
3、网络协议:支持常见协议识别并还原网络流量,用于取证分析、威胁发现,支持:httpz、dns、smtp、pop3、imap、webmail、DB2、Oracle、MySQL、sql server、Sybase、SMB、FTP、SNMP、telnet、nfs 等 4、文件协议:支持对流量中出现文件传输行为进行发现和还原,并记录文件 MD5 发送至分析设备,如可执行文件(EXE、DLL、OCX、SYS、COM、apk 等)、压缩格式文件(RAR、ZIP、GZ、7Z 等)、文档类型文件(word、excel、pdf、rtf、ppt 等)
5、数据库协议:支持常见数据库协议的识别或还原:DB2、Oracle、SQL Server、MySQL、PostgreSQL 等协议 6、自定义协议:支持自定义协议和端口,满足特殊场景下的流量抓取 7、威胁情报:支持基于流量实时 IOC 匹配功能,设备具备主流的 IOC,情报总量 50+万条 8、网络攻击检测:支持多种攻击检测,能更全面的从流量中发现威胁,如:协议异常、网络欺骗、黑市攻击、代码执行等 9、Webshell 攻击检测 :支持基于代理程序的攻击检测,如 TCP 代理程序、HTTPZ 代理程序等 10、文件还原:支持对 HTTPZ、FTP_DATA、SMB、SMTP、POP3、WEBMAIL、IMAP、TFTP、QQ、NFS等类型协议的流量进行文件还原 11、抓包分析:支持通过设备对流量进行抓包分析,可定义抓包流量双向或单向、数量、IP 地址、端口或协议类型 1 台
11 12、语义分析:支持基于网络请求的语义分析检测,能够将网络请求拆分后从请求头、响应头、请求体、响应体四方面详细展示请求内容,并能提升对未知威胁检测能力 13、旁路阻断:
1)支持基于 IP 地址的旁路阻断,能够在实时镜像的流量中发现恶意 IP 并实现实时阻断 2)支持基于 URL 的旁路阻断,并能将 URL 请求进行重定向 14、▲自定义弱口令:支持自定义弱口令字典,支持 HTTPZ、HTTPZS、Telnet、FTP、POP、SMTP、IMAP 等协议的自定义弱口令检测。
15、▲HTTPZS 威胁检测:支持旁路 HTTPZS 解密、威胁检测。
16、高级参数:web 端提供针对恶意扫描、Flood 攻击、IP 碎片攻击、ARPSpoof、PingSweep 等检测策略配置功能。
17、兼容和联动性:与现有终端安全防护系统联动 18、部署模式:支持旁路部署,可同时接入多个镜像口,每个镜像口相互独立不影响 19、系统配置:
1)支持 AES256、SM4 数据传输加密,确保数据传输的安全性 2)支持威胁告警信息发送给 syslog 服务器,支持将威胁告警、威胁等级、网络日志、攻击结果、威胁类型等日志传输给 KAFKA、威胁分析平台。
3)支持与集中管理平台进行联动,统一进行情报、规则的升级。
20、★服务和测试要求:中标后采购人有权要求中标人提供产品测试,测试发现虚假应标的行为将予以废标处理并保留对该供应商及厂商追究相关责任的权利。签订合同时提供 3 年原厂商质保服务承诺函及授权书。
12 28 数据库审计 1、设备性能规格要求:
1)接口配置 6 个千兆电口,硬盘存储>=4TB,内存>=8GB ,单电源,可支持 1 个扩展插槽,支持液晶屏 2)内置 4TB 硬盘,采用一种 SOC 产品硬盘减震技术,加强硬盘运行稳定性 3)性能指标:峰值事件处理能力不低于 12000条语句/秒,日志存储最低 5 亿条。
2 、 审 计 数 据 库 类 型 :
支 持 Oracle 、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、达梦、人大金仓 kingbase 南大通用 Gbase,hadoop 架构下 Hbase,支持后关系型数据库 Cache、工控 IP21 的审计。
3、审计协议类型:支持 Telnet、pop3、smtp、nfs 协议审计,针对 FTP 协议,txt 文件传输可对其内容进行的审计。
4、▲数据库监控:
1)支持对 MySQL、Oracle、sqlserver、mongodb、redis 数据库的状态监控,主动发现数据库潜在风险 2)提供基于环境动态,整体地洞悉安全风险,以数据为基础,从全局视角提升对安全威胁的发现识别、理解分析的数据库态势感知,及时发现各种异常和危险操作,为整体信息安全管理提供决策依据 5、部署和管理:系统支持分布式部署方式,并支持数据库审计集中管理功能,可快速查看所有审计系统的状态、风险状态等,方便区域性管理及防护策略的落实。
6、▲审计能力:
1)全面支持后关系型数据库 Cache 的集成工具 terminal、portal、studio、Sqlmanager、MedTrak 工具的审计,Terminal 能审计到 M语句和返回结果。提供截图证明,能够提供实际测试。
2)支持 B/S、C/S 应用系统三层架构 httpz应用审计,可提取包括应用系统的应用层帐号、数据库帐号、操作系统用户名、客户端主机名、客户端 IP、客户端 MAC 等身份信息,精确定位到人,并可获取 XML 返回结果。提供截图证明,能够提供实际测试。
3)支持带 COM、COM+、DCOM 组件的三层架构应用审计,可提取包括应用层帐号、数据库帐号、操作系统用户名、客户端主机名、客户端 IP、客户端 MAC 等身份信息,精确定位1 台
13 到人。提供截图证明,能够提供实际测试。
4)在无需重启被审计数据库的情况下,支持对 MS SQLSserver 加密协议的审计,可正常审计到数据库账号、操作系统用户名、操作系统主机名等身份信息。提供截图证明,能够提供实际测试。
7、审计策略支持:
1)审计策略支持 18 种以上分项响应条件,可支持数据库操作命令(包括 select、create等 14 个命令)、语句长度、语句执行回应、语句执行时间、返回内容、返回行数、数据库名、数据库账户、服务器端口、客户端操作系统主机名、客户端操作系统用户名、客户端 MAC、客户端 IP、客户端端口、客户端进程名、会话 ID、关键字、时间(含开始结束日期)等 2)支持操作语句系列的组合审计规则,可根据某一客体的操作行为序列,连续操作了设定的语句序列时进行规则审计告警。
3)支持重复操作的统计审计规则,可根据在一定的时间内,重复某项操作达到设定的统计次数进行规则审计告警 4)支持与运维堡垒机联动,对违规操作进行监控与阻断; 8、事件查询统计:
1)告警检索效率高达亿条数据分钟级,搜索条件支持全范围搜索(特别要求在超过亿条数据量时),一次性完成搜索的响应时间在分钟级别。
2)实现对当前监控服务器访问情况进行图形化展示分析,并生成报表;对客户端使用的程序、客户端 IP、用户名进行图形化排名展示,并生成报表;支持 Word、PDF、xls 格式报表导出 3)可集成等级保护报表,确保能通过公安部信息安全等级保护的评测 9、★服务和测试要求:中标后采购人有权要求中标人提供产品测试,测试发现虚假应标的行为将予以废标处理并保留对该供应商及厂商追究相关责任的权利。签订合同时提供 3年原厂商质保服务承诺函及授权书。
14 29 上网行为管理 1、★设备规格:
1)1U 硬件,标配 6 个千兆电接口(其中含 1个管理接口和 1 个 HA 接口),提供 1 个扩展插槽,单交流电源,最大并发连接数为 80 万,最大新建连接数为 26000 个/秒; 2)上网行为管理系统基础组件。含网页过滤、用户认证、应用控制、内容审计、带宽管理、行为监控分析等功能 2、日志存储:支持将多台设备日志集中存储于一台日志中心服务器,便于数据的集中查询与统计。日志中心支持选择 Oracle 数据库,访问日志中心数据必须采用 httpzs 加密方式访问,避免传输过程被窃取。
3、系统监控:
1)能够实时提供产品 CPU、磁盘占有率、接口状态、授权状态等信息。能够提供 24 小时内流量状态趋势图。
2)能够实时提供应用流量排名、网址分类排名、用户流量排名、应用流量趋势、用户流量趋势等信息 3)能够提供设备流速趋势、用户实时流速、设备实时日志等信息。
4)支持 key 免审计、key 免管控、key 免认证以及三者灵活组合 4、网页管理:必须具备较完整的上网行为管理URL数据库,官网承诺URL条目不少于5000万,提供官网截图证明和网页过滤技术自主知识产权证明。
5、邮件管理:
1)一条策略可实现 Webmail 以及 SSL 加密的Webmail 基于发件人、收件人、主题、内容、附件名、附件大小维度的记录、阻塞、告警; 2)能够基于发件人、收件人、主题、内容、附件名、附件大小维度进行过滤、记录、告警;能够支持 SSL 加密的 SMTP 邮件发送; 能够对 POP3、IMAP 邮件接收进行审计 3)根据邮件标题、正文、附件名、文件触发延迟审计,邮件在通过管理员审核后才能够发送。
6、文件管理:
1)FTP 文件外发管理:支持 FTP 文件上传管理,可根据文件大小、文件名、扩展名、传输方向、内容关键字进行审计过滤;支持对帐号、命令的审计与过滤 2)网页文件管理:可以对网页的文件,根据1 套
15 传输方向、文件名、扩展名、文件大小、网站域名进行控制管理,违规文件下载阻塞同时可以告警; 7、▲IM 管理:可针对 QQ 账号制定策略,对聊天、登录及登出的行为进行记录与控制;能够对 QQ 文件传输行为进行审计,并且能够对传输的文件进行备份留存;支持对 QQ 聊天内容进行审计。可制定多条 QQ 审计控制策略,实现针对不同的用户匹配不同审计策略(提供设备界面截图证明)
9、应用访问管理:
1)应用协议库包含的应用数量不低于 4000种,一级分类不少于 40 种,移动应用数量不低于 900 种 2)设备内置常用应用标签,分类至少包含内容外发风险、期货行业合规、证券行业合规、高安全风险、影响工作效率、消耗带宽 6 大类;(提供设备界面截图证明)
3)支持独立的网安应用行为审计策略(提供设备界面截图证明)
10、信息审计:可记录论坛发帖账号、发帖内容,并基于关键字过滤发帖内容;可审计、控制 MySQL、Oracle、SQL Server、Postgre等数据库的访问与操作,包括添加、删除、修改、查询等。提供功能界面截图 11、运行管理:
1)核心系统应固化在电子芯片内,在硬盘损坏的情况下,系统应该能够正常运行管理,提高设备可靠性。
2)双系统冗余热备必须通过权威第三方评测,要求提供测试报告扫描件。
12、流量管理:
1)可将物理带宽分成至少 7 级虚拟通道,合理分配物理带宽资源 2)支持在设置流量策略后,可根据整体线路空闲情况,允许流量通道内的流量突破策略上限,以提升带宽的高使用率;空闲值可自定义 3)可以每个人的并发/新建连接数量进行控制。
4)支持根据自身需要自定义报表中折线图、饼图、柱状图和表格的描述文字内容 13、安全管理:
1)支持配置病毒查杀策略,检查网络中传输的文件是否是病毒,支持记录日志、病毒过
16 滤 2)★支持与云端杀毒平台联动,对网络中传输的文件进行特征比对,以便减少对本地计算资源的消耗。(提供设备界面截图证明加盖原厂公章)
3)至少应支持对以下几类网络应用传输的文件 进 行 病 毒 云 查 杀 :HTTPZ/FTP/IMAP/SMTP/POP3" 4)支持基于云端大数据安全平台,对恶意 URL访问进行封堵和记录日志。
5)支持与威胁情报大数据平台对接,能够快速识别、封堵失陷主机、记录日志。(提供设备界面截图证明)
14、共享接入:
1)可识别网络中的私接路由或共享 wifi 的网络行为并配置阻塞策略 2)阻塞条件支持基于终端总数量、PC 数量、移动终端数量分别配置 3)支持自定义阻塞时间 4)支持可配置阻塞 IP 或阻塞用户 5)支持显示被堵塞用户的详细列表,应包含IP、用户、阻断开始时间、阻断结束时间、阻断方式等信息(提供设备界面截图证明)
15、★终端管理软件联动:能够与现有终端管理软件联动,设备检测到未安装终端管理软件的 PC,可将其 Web 访问自动重定向到特定页面并提示下载;(提供设备界面截图证明)
16、★服务和测试要求:中标后采购人有权要求中标人提供产品测试,测试发现虚假应标的行为将予以废标处理并保留对该供应商及厂商追究相关责任的权利。签订合同时提供 3 年原厂商质保服务承诺函及授权书。
17 30 日志审计系统 1、硬件要求:事件采集≥10000EPS,事件处理最高≥3000EPS。硬件规格:标准 1U 机箱,6 个千兆电口,2 个扩展插槽(可选 2 万兆光、4 千兆电、4 千兆光),1 个 Console 接口,单电源,4T 硬盘。包含 25 授权节点,包含三年标准维保 2、部署模式:支持单一部署,也支持级联部署,管理中心内嵌数据库,用户无需另外安装数据库管理系统 3、使用模式:界面 100%都是 B/S 模式,无需安装客户端,使用浏览器访问管理中心,支持 Chrome 浏览器,浏览器端无需安装 Java运行环境 4、采集方式:支持通过 syslog、snmptrap、netflow、jdbc、odbc、agent 代理、wmi 等多种方式完成各种日志的收集功能 5、综合监控:系统应提供从总体上把握日志告警和日志统计分析的实时综合性监控界面,用户可以自定义监控主页(提供产品功能截图)
6、资产管理:系统支持自定义资产属性;支持对资产日志进行过滤,设置允许接收和拒绝接收日志,并可以对资产设置一定时间范围内未收到事件后进行主动告警 7、日志归一化:支持采集一化后的日志和保留原始日志,方便用户对关键日志快速定位,和事后取证;日志收集后进行字段和安全等级的归一化处理,系统归一化字段不少于 50个字段,并至少有 8 个可自定义字段(提供产品功能截图)
8、★日志归并:支持对事件名称、源地址、源端口、目的地址、目的端口相同的进行归并,条件可以多种组合;支持对指定设备发送的日志进行归并,其他设备发送的将不进行归并;支持对事件个数深度和事件时间深度进行归并(提供产品功能截图)
9、实时监视:
1)支持实时的日志滚动显示,可通过趋势图等直观显示目前日志量和日志详细信息。支持对实时展示的字段进行选择,调整字段顺序,修改显示字段别名(提供产品功能截图)
2)支持自定义实时监视场景,提供可视化规则编辑视图,对关注的事件进行实时展示。
3)支持鼠标放在日志对应字段上界面可悬浮提示资产信息和常用端口信息(提供产品功1 台
18 能截图)
4)在实时监视的过程中如果发现某条事件的相关属性需要持续予以关注,可以将该事件分配到黑白名单中;支持对于关联事件进行追溯,查看导致该关联事件的所有原始事件 10、实时分析:支持自定义实时分析场景,提供可视化规则编辑视图,根据实际业务编写分析规则 11、▲可视化展现:能够在世界地图上实时定位事件源/目的 IP 地址的地理位置(提供产品功能截图)
12、关联分析:可对不同类型设备的日志之间进行关联分析,支持递归关联,统计关联,时序关联,这几种关联方式能同时应用于一个关联分析规则 13、报表管理:报表格式支持 html,excel,word,pdf,png、rtf 多种格式 14、知识库:系统预置知识库,IP 地理库,漏洞库( 15、日志外发:日志转发支持设置过滤条件选择对转发的日志进行过滤 16、▲系统管理:支持禁止与允许用户访问日志审计系统的 IP 地址限制,支持 raidus认证(提供产品功能截图)
31 边界防火墙 1、系统架构:
1)系统要求为下一代防火墙产品,原厂商要求参与第二代防火墙标准 GA/T1177-2014《信息安全技术 第二代防火墙安全技术要求》标准编制,投标时要求提供相关证明复印件。
2)▲系统采用多核 AMP+架构架构,硬件设计采用高性能一体化智能安全处理引擎,要求提供计算机软件著作权登记证书,证书上要求有“高性能一体化智能安全处理引擎”字样。
2、▲硬件要求:多核 AMP+架构,网络层吞吐量 8G,并发连接≥210 万,每秒新建连接数 9万,标准 2U 机箱 标准配置 1 个 Console 口 、1 个 HA 接口,1 个 MGT 接口,配置 6 个千兆电口,支持 Bypass 功能,支持液晶屏,含 3年硬件维保服务。提供原厂 3 年入侵防御特征库、应用控制、URL、病毒防护特征库、威胁特征库的升级服务。
3、部署模式:支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求。1 台
19 支持旁路模式。
4、网络协议:支持支持 3G/4G 接入,并可实现 3G/4G 连接与有线链路之间的互为备份;支持 MPLS 流量透传;支持针对 MPLS 流量的安全审查,包括入侵防护、反病毒、URL 过滤、基于终端状态访问控制功能;支持 802.3ad协议,并可根据源目的 Mac 组合、Mac 和 IP地址组合或 TCP/UDP 端口组合等方式实现负载均衡和备份。必须支持 NAT64,包括:对源地址为 IPv6 地址、目的地址为 IPv4 地址的会话执行源地址转换,将 IPv6 地址转换为IPv4 地址,实现 IPv6 客户端访问 IPv4 资源;源地址为 IPv4 地址、目的地址为 IPv6 地址的会话执行目的地址转换,将 IPv4 地址地址转换为IPv6地址,实现IPv4客户端访问IPv6资源。
5、路由协议:
1)支持支持静态路由、策略路由及动态路由。策略路由支持用户自定义其优先级,动态路由应至少支持 RIP v1/v2/ng, OSPFv2/v3,BGP4/4+协议; 2)支持基于策略的路由负载,支持根据应用和服务进行智能选路,不少于 12 种路由负载均衡方式;
3)支持 ISP 路由负载均衡,最大支持 8 条链路负载均衡,支持自定义负载权重,支持基于优先级的 ISP 路由链路备份; 4)支持基于 IPv4 或 IPv6 的 TCP、HTTPZ、DNS、ICMP 等方式的链路探测,同时 TCP 与 HTTPZ可使用自定义目标端口进行测试。
6、高可靠性:支持路由模式、透明模式的 HA高可靠性部署,可工作于主备、主主模式,会话、用户、配置可实时同步;HA 高可靠性部署支持接口联动,某个端口失效(DOWN),属于同一接口组中其他端口都会进入失效状态(DOWN);HA 高可靠性部署支持配置接口权重;支持链路探测。
访问控制:支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN 等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查。
7、应用识别与控制:支持应用识别,应用特征库包含的应用数量(非应用协议的规则总数)大于 2800 种,支持配置基于 IP、用户、
20 应用的流量管理规则,可深度识别每种应用的属性,为每种应用提供预定义的风险系数,并将应用基于类型、使用场景、数据传输、风险等级等特征分类。
8、病毒防护:
1)能够对 HTTPZ/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,支持对最多 6 级的压缩文件进行解压查杀(提供功能截图并且盖原厂公章)
2)支持基于 MD5 的自定义病毒签名;支持设置例外特征,对特定的病毒特征不进行查杀。
9、入侵防御:
1)支持漏洞防护功能,同时将漏洞防护特征库分类,至少包括缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQL 注入、WEB 攻击等六种分类;漏洞防护支持日志、阻断、放行、重置等执行动作,可批量设置针对某一分类或全部攻击签名的执行动作;支持基于 FTP、HTTPZ、IMAP、OTHER_APP、POP3、SMB、SMTP等应用协议的漏洞防护; 2)★支持漏洞防护特征库包含高危漏洞攻击特征,至少包括“永恒之蓝”、“震网三代”、“暗云 3”、“Struts”、“Struts2”、“Xshell后门代码”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息;(投标文件需要提供设备包含上述所有高危漏洞攻击的特征及对应详细信息的截图盖公章)
3)支持间谍软件防护功能,同时将间谍软件特征库分类,至少包括木马后门、病毒蠕虫、僵尸网络等三种分类;支持在防火墙间谍软件签名库直接查阅攻击的名称、严重性、描述等信息;间谍软件防护支持日志、阻断、放行、重置等执行动作,可批量设置针对某一分类或全部攻击签名的执行动作;支持基于FTP、HTTPZ、IMAP、OTHER_APP、POP3、SMB、SMTP 等应用协议的间谍软件防护。
10、VPN 功能:
1)支持支持 IPSec VPN 功能,支持基于主模式(Main Mode)、积极模式(Aggressive Mode)、国密三种协商模式建立的网关-网关加密隧道;支持本地 CA 并可为参与 IPSec VPN隧道建立的设备颁发用于身份认证。
2)支持支持 GRE 隧道,支持 GRE over IPSec VPN;
21 3)支持 L2TP、支持 L2TP over IPSec、支持PPTP ,并支持本地认证以及 LDAP/Radius/证书/Active Directory/TACACS+/POP3 等第三方用户认证系统。支持客户端地址分配。
4)支持 SSL VPN,支持使用 SSL VPN 客户端与防火墙建立 SSL VPN 加密隧道,支持对远程用户进行口令认证或证书认证,或证书认证+口令认证双因素;口令认证支持本地认证以 及 LDAP/Radius/ 证 书 /Active Directory/TACACS+/POP3 等第三方用户认证系统;支持 USB-key 证书;支持本地 CA 并可为 SSL VPN 客户端颁发用于身份认证。
11、▲网络异常感知:
1)支持基于主机或威胁情报视图,统计网络中确认被入侵、攻破的主机数量,至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机 IP、用户名、资产等信息;并对威胁情报发现的恶意主机执行自动阻断(提供截图盖公章)
2)支持基于主机或威胁情报视图,统计网络中存在安全风险的主机数量以及对应的风险等级,至少可查看遭遇风险的时间、威胁类别、情报来源、威胁简介、失陷主机 IP、用户名、资产等信息; 3)支持与威胁感知设备协同,实现主机状态检测及告警;(需提供包含云端配置的威胁感知设备的截图)
4)支持统计网络内威胁事件的数量及对应的风险等级;支持一键跳转查看详情并自动显示关联日志;可基于网络连接、应用名称、威胁事件处置威胁事件; 5)支持用户自定义重点 URL 分类和应用,并可基于定义的重点关注对象进行用户维度关联,并结合分析中心进行基于关联的用户/地址、URL 分类、应用进行二次递进式深度分析,挖掘异常用户及异常网络行为。
12、安全事件分析:
1)提供关联分析面板,可将 Top 应用、Top威胁、Top URL 分类、Top 源地址、Top 目的地址等信息关联,并支持以任意元素于为过滤条件且不少于 35 个维度进行数据钻取; 2)支持基于网络活动,威胁活动、阻止活动等多维关联统计及分析,发现异常行为; 3)提供关联的威胁事件日志,系统可自动将产生威胁事件的连接经过防病毒、防漏洞、
22 防间谍软件、URL 过滤、文件过滤等安全模块检查的日志集中显示。
13、策略与处置:
1)可在单条策略中启用病毒防护、入侵防御、网址过滤、文件过滤、文件内容过滤、终端过滤等安全功能选项。
2)支持基于受害主机的一键式阻断链接、记录日志等处置动作,处置周期至少包括 1 天、7 天、30 天、90 天、永久等; 3)支持接收针对突发重大安全事件的“应急响应消息”,并至少在界面显示安全事件名称、类型、当前防护状态、处置状态以及相应的操作等信息;并可根据设备安全配置的变化动态显示应急响应的处理结果。
4)支持持针对“应急响应消息”的手动或自动处置,处置方法至少包括基于漏洞的处置和基于威胁情报的处置(提供截图盖原厂公章)
14、运维管理:
1)支持双系统备份,三权分立管理; 2)支持加密的 WebUI 和 CLI 管理,且支持网页命令行管理(WebUI 中内嵌 CLI 管理界面)
15、▲云端协同:支持与云端联动,实现病毒云查杀、URL 云识别、应用云识别、云沙箱、威胁情报云检测等功能(提供截图盖原厂公章)
16、★安全联动:与原有终端安全防护软件联动,保证业务的稳定连续;提供联动功能截图并盖原厂公章 17、服务:中标后采购人有权要求中标人提供产品测试,测试发现虚假应标的行为将予以废标处理并保留对该供应商及厂商追究相关责任的权利。签订合同时提供 3 年原厂商质保服务承诺函及授权书。
23 32 堡垒机 1、▲硬件规格:采用专用千兆多核硬件平台和安全操作系统,外观:标准 1U 机架式,6个千兆电口,支持2个接口扩展槽位,内置4TB硬盘,单电源,支持液晶屏,最大支持 150路图形会话或 400 路字符会话并发,本次授权 50 个授权。
2、部署方式:
1)物理旁路,逻辑串联模式,不影响正常业务流量 2)支持 NAT 地址映射部署,通过映射后的 IP地址访问堡垒机 3、用户:
1)支持多因子方式认证,包括手机短信、手机令牌、USBKEY、动态令牌 2)支持微信小程序手机令牌
3)支持用户的 IP 地址(黑名单或白名单)和 MAC 地址限制(黑名单或白名单)限制,非法地址无法登陆
4、资源管理:
1)支持 SSH、RDP、TELNET、VNC、FTP、SFTP、SCP、x11、Rlogin 协议主机,支持发布 MySQL、SQL Server、Oracle、IE、Firefox、Chrome、VNC Client、SecBrowser、VSphere Client类型的应用
2)支持资源按标签管理,每个用户可以给每个资源打 10 个标签
3)支持导入阿里云、华为云、腾讯云和 Ucloud等平台云主机
4)支持 TELNET、SSH 协议资源使用普通账户自动切换到 root(或 enable)账户
5)无需安装任何客户端,便可 windows、linux、MAC OS 等类操作系统登录堡垒机,并访问管理资源;支持 IE、Edge、Chrome、FireFox、Safari 等主流浏览器 6)支持查看改密日志,了解改密账户总数、改密成功数量、改密失败数量和未修改数量
5、策略:
1)访问控制策略基于用户、用户组、资源账户、账户组、有效期、文件管理控制、文件传输控制(上传、下载)、RDP 剪切板控制、时间限制、IP 限制进行设置
2)访问控制策略支持配置双人授权候选人,针对核心设备,需要管理员现场审批才能操作
3)支持查看改密日志,了解改密账户总数、1 台
24 改密成功数量、改密失败数量和未修改数量;改密日志支持下载,查看改密前后密码变化
6、运维:
1)批量登录:支持 SSH、RDP、TELNET、VNC协议资源的批量登录功能; 2)▲数据水印:添加当前操作用户名作为水印背景,防止用户拍照造成数据泄露
(投标提供相关功能的界面截图)
3)支持通过堡垒机同时对多台网络设备执行相同命令; 4)提供类似云盘形式的文件存储,支持 RDP、SSH、VNC 协议类型主机的文件上传和下载,并进行审计 5)会话协同:运维过程中支持会话协同,可邀请其他用户参与、协助操作。会话协同过程中,支持参与者控制会话,同时支持创建者强制获取控制权。支持多个参与者使用相同的会话邀请链接进入会话 6)预置命令:支持字符协议预置命令功能,可添加 15 个经常使用的命令在系统当中
7、审计:
1)系统内置多种系统报表和运维报表模板,支持按日、周、月为周期,自动生成报表
2)对剪切板拷贝文件行为和文本信息内容的记录,并支持通过搜索文本内容关键字定位审计回放
3)离线回放重现运维人员对资源的所有操作过程,并支持回放文件下载到本地播放,在线回放过程支持播放速度调整、拖动、暂停、停止、重新播放等播放控制操作
4)支持应用发布 Web 页面防跳转功能 8、工单:
1)运维场景中,对特定的资源发出工单请求,管理员审批后,可以在指定时间段内运维操作该资源 2)支持文件管理权限、RDP 剪切板权限、上传、下载权限的申请
9、★服务和测试要求:中标后采购人有权要求中标人提供产品测试,测试发现虚假应标的行为将予以废标处理并保留对该供应商及厂商追究相关责任的权利。签订合同时提供 3年原厂商质保服务承诺函及授权书。
注:1、本项目核心产品为核心交换机、楼层交换机。
25 2、★条款为实质性条款,不允许负偏离,否则作无效标处理;▲条款为重要项,负偏离将导致严重扣分。要求提供的资质证书、检测报告、彩页、截图等证明文件资料,逐条对应;要求加盖原厂商或投标人公章的以加盖“鲜章”为准,上传的扫描件与原件必须一致,签订合同前需将招标文件当中的原件资料交由采购人存档作为验收文件的一部分。若有虚假响应,将上报监管部门进行相应追责及处罚。
(二)其他要求
1、本项目为交钥匙工程,采购人不再另行支付其它任何运输、安装、调试、检测等所需的费用。
2 2 、项目实施与系统的集成。技术方案、方案设计、供货调试、验收标准、售后维护情况和培训计划等。
3 3 、项目组成员中要有相应的专业人员。
(四)服务期限及地点:
本项目完成期限:2020年12月底前。服务地点由采购指定。
(五)质保期:三年,质保期内免费服务。
五、验收:所有成果均须通过甲方组织的验收。
六、售后服务:
发生故障2小时响应,6小时内解决。
七、付款方式
签订合同后支付40%,项目验收合格后付款40%,稳定运行6个月后,支付剩余尾款。
26 第三章
投标人须知前附表
序号 内容、要求 1 项目名称:
数据分析室建设及审计专网改造项目招标 2 采购内容及要求:详见第二章 3 投标报价及费用:1、本项目投标应以人民币报价; 2、投标人取得中标资格后,中标人须向金华天逸工程有限公司支付支付采购代理服务费 3500 元;3、不论投标结果如何,投标人均应自行承担所有与投标有关的全部费用。
4 投标保证金:无。
5 现场踏勘:采购人不组织,供应商自行到踏勘 6 质疑和投诉:投标人认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,可以在知道或者应知其权益受到损害之日起 7 个工作日内,以书面形式向采购人、采购代理机构提出质疑。投标人对采购人、采购代理机构的质疑答复不满意或者采购人、采购代理机构未在规定时间内作出答复的,可以在答复期满后 15 个工作日内向同级采购监管部门投诉。采购人、采购代理机构在收到质疑函后 7 个工作日内作出答复,并以书面形式通知质疑投标人和其他有关投标人。投诉、质疑应当采用书面形式,质疑书、投诉书均应明确阐述招标文件、招标过 程或中标结果中使自己合法权益受到损害的实质性内容,提供相关事实、依据和证据及其来源或线索,便于有关单位调查、答复和处理。
7 投标文件组成:技术商务标,正本1份,副本4份。价格标,正本1份,副本4份。
8 投标截止时间:
2020 年 年 1 11 月 月 8 18 日 日 09 :
20 时整。
9 开标时间及地点:0 2020 年 年 1 11 月 月 8 18 日 日 09 :0 20 时 整 ,在金华市公共资源交易中心(金华市双龙南街 858 号财富大厦 4 楼)开标 3 室。
10 评标办法:附后 11 评标结果公示:评标结束后2天内,评标结果公示于浙江省政府采购网(httpz://www.zczjzfcg.gov.cn)等网站; 评标结果公示时间:评标结束后1个工作日。
12 中标通知书的领取:评标结果公示结束后到金华天逸工程咨询有限公司领取。
13 签订合同:中标通知书发出后30天内。
14 采购预算价:人民币66.4万元整 15 最高限价:66.4万元 16 付款方式:签订合同后支付40%,验收后付款40%,稳定运行6个月后,支付剩余尾款。
17 履约保证金:无。
18 投标文件有效期:90 天 19 解释:本招标文件的解释权属于招标组织单位。
27 一、说明
(一)适用范围 1、本招标文件仅适用于本次招标采购所叙述的数据分析室建设及审计专网改造项目招标。
(二)定义 (1)“招标方”系指组织本次招标的金华天逸工程咨询有限公司 ;
(2)“采购人”系指组织本次招标的金华市审计局; (3)“投标方”系指向招标方提交投标文件的供应商; (4)
“货物”系指按招标文件要求配置的一切设备、机械、仪器仪表、备品备件、工具、手册及其它有关技术资料和文字材料。
(5)
“服务”系指招标文件规定投标人须承担的义务; (6)
. “书面形式”包括信函、传真、电报等。
(7)“ ★”系指必须满足不能负偏离或必须应答的条款。
3 3 、合格的投标方
详见招标公告 4 4 、投标费用
不论投标过程中的作法和结果如何,投标方应承担所有与投标有关的全部费用 (含公证费)
。
二、招标文件细则
(一)
招标文件的组成
本招标文件由以下部份组成:
1...
推荐访问:审计局 金华市 招标文件