(3)在设备维保期内提供每年四次、每季度一次的设备巡检服务、日志分析服务和配置核查服务,要求服务工程师具有中国信息安全测评中心颁发得注册信息安全专业人员(CI SP)资质证书,具备注册信息安全工程师(CISE)资质,且投标人的响应文件中所附的CISP人员资质证书要与进行相应服务的人员为同一人。投标人如提供虚假资料,对 采购人所产生的一切损失由投标人负责赔偿,并依法追究责任。
附件
采购内容与技术要求
一、项目说明
呼和浩特市行政审批和政务服务局采购等保设备采购。
2.供货期要求:合同签订后15日内完成设备1到5的供货安装调试工作,6、7两项设备于明年指定时间内完成供货安装调试工作。
3.交货安装地点:采购人指定地点。
4.验收要求:以采购软硬件及安装调试完毕,并可以正常使用。投标人所投标报价中应包含所有价格,中标后不得以任何理由增加费用。
5、售后服务要求:提供三年原厂软硬件维修维保服务,三年技术支持服务。
6、其他要求:
(1)提供适合于本项目应用系统运行的整体安全建设方案;
(2)提供现场功能演示,演示内容和方式另行通知;
(3)在设备维保期内提供每年四次、每季度一次的设备巡检服务、日志分析服务和配置核查服务,要求服务工程师具有中国信息安全测评中心颁发得注册信息安全专业人员(CISP)资质证书,具备注册信息安全工程师(CISE)资质,且投标人的响应文件中所附的CISP人员资质证书要与进行相应服务的人员为同一人。投标人如提供虚假资料,对采购人所产生的一切损失由投标人负责赔偿,并依法追究责任。
(4)如中标人提供虚假投标承诺或所投产品与招标要求不相符的,采购人有权按招标公告要求更换产品或终止合同,并要求中标人承担违约责任。
二、采购设备清单及参数配置要求
序号 |
设备名称 |
数量 |
单位 |
预算 |
1 |
安全网关 |
1 |
台 |
33万元 |
2 |
主机安全管理系统 |
1 |
套 |
|
3 |
日志审计系统软件 |
1 |
套 |
|
4 |
数据库审计系统软件 |
1 |
套 |
|
5 |
堡垒机软件 |
1 |
套 |
|
6 |
网闸 |
1 |
台 |
|
7 |
SSL VPN |
1 |
套 |
2.1 安全网关参数配置要求
功能要求:
1、具备基本网络防火墙功能,含攻击防护,访问控制功能,用户认证功能,链路负载均衡功能、流量控制功能;
2、支持IPv4、IPv6双协议栈异常包防御,至少包含:Ping of Death、Land-Base、Tear Drop、TCP flag、Winnuke、Smurf、IP选项、IP Spoof、Jolt2等(提供功能截图);
3、具备入侵检测与防御许可(IPS) :基于状态、精准的高性能攻击检测和防御,实时攻击源阻断、IP 屏蔽、攻击事件记录,支持针对多种协议和应用的攻击检测和防御,支持SQL注入和XSS防御、外链防护和Web访问控制。内置IPS规则库,不少于4000条主流攻击规则,包含Backdoor、bufferoverflow、dos、im、p2p、vulnerability、scan、webcgi、worm;支持自定义IPS特征,至少支持IP、UDP、TCP、ICMP、HTTP、FTP、POP3、SMTP等8种协议自定义入侵攻击特征;可拓展协议字段,设置数据包中的匹配内容;支持选择包含、等于、不等于、大于、正则匹配等匹配方式;可选择多种匹配条件,支持设置“与”和“或”的匹配顺序(提供功能截图);
4、具备防病毒许可(AV):支持大病毒文件的扫描,实时病毒连接阻断,病毒事件记录,支持常见病毒传输协议HTTP、FTP及各种邮件协议扫描。支持ZIP/RAR等压缩文件的病毒查杀,默认支持检测到5层,最大可检测到20层(提供功能截图);特征库库支持手动升级和自动升级;支持HTTP协议的精确访问控制,可针对IP、URL、Method、Referer、User-Agent、Cookie、Url-args等字段设置内容,匹配内容包括但不少于:包括、不包含、等于、不等于、属于、不属于、长度小于、长度等于、长度大于、正则匹配等;日志级别包括但不少于:不记录、危急、告警、严重、错误、警告、通知、信息等(提供功能截图);
5、提供至少有150家开源与商用情报来源,至少包括CNCERT等国内外知名情报源;拥有自有数据来源,每日可获得不低于6亿次的互联网访问样本,需提供访问量证明;提供全网威胁情报的搜索查询,包括ip、url、domain和文件MD5情报的查询(提供功能截图);提供威胁情报订阅,能够主动推送当前热门0day、高危漏洞等,并提供一站式配置向导生成安全防护策略;支持威胁情报关联本地资产,并支持本地访问威胁目标主机主动提示并可登录威胁情报云平台查看详情;
6、具备对检测到的攻击行为按照攻击源地址的地理位置信息进行威胁信息展示,并支持将攻击源地址一键加入“封堵名单”的操作实例(提供功能截图);具备资产的自动发现以及分析总体资产的风险概览和特定资产的风险详情(提供功能截图);
7、支持4G扩展网卡,支持在4G接口上运行IPSec VPN(提供功能截图);
8、支持IP+MAC准入、本地WEB认证、Portal认证、短信认证、免认证、微信认证、混合认证、AD域单点登录和访客二维码认证(提供功能截图);
9、设备web管理界面支持Ping、Traceroute、TCP Syn诊断工具,可支持基于接口、协议、IP地址、端口、应用进行网络抓包,并可下载导出分析(提供功能截图);
10、提供公安部计算机信息系统安全专用产品销售许可证;中国国家信息安全产品认证证书;IPv6 Ready Phase 2证书。
配置要求:
1、标准1U硬件平台,单交流电源;至少配置10*GE电口,4*combo口,不低于500G硬盘;网络吞吐性能不低于6Gbps;最大并发连接数不低于200万,每秒新建HTTP连接数不低于5万;
2、接口实际配置支持second IP地址,每个接口要求支持至少200个second IP(提供功能截图)。
2.2 主机安全管理系统参数配置要求
功能要求:
1、具备丰富的系统防护与加固、网络防护与加固等功能的主机安全产品。具备专利技术的文件诱饵引擎,提供勒索专防专杀能力;通过内核级东西向流量隔离技术,实现网络隔离与防护。要求拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力;
2、支持防端口扫描,防违规外联,锁定恶意的端口扫描及外联行为,并记录告警。违规外联支持黑、白名单双模式,白名单模式可配置是否允许访问特定的网站和地址;黑名单模式可自定义恶意IP,支持黑名单告警和阻断。要求具备内核级防火墙(业务间流量东西向隔离)功能,包括IP、端口、协议、流向等细粒度权限控制(提供功能截图)。要求支持流量画像,支持全网流量可视化(提供功能截图);支持威胁横向扩散路径可视化与一键阻断;支持违规外联路径可视化与一键阻断;
3、具备为用户提供Windows漏洞修复的热补丁列表能力;要求支持扫描的漏洞类型包括但不限于操作系统漏洞(Windows、Linux等)、数据库漏洞(Mysql等)、Web容器漏洞(To;mcat、Apache、Ngnix等)、其他组件漏洞(提供功能截图);
4、提供专门的勒索风险评估功能。至少需要包含:弱口令检测、系统漏洞检测、恶意进程检测、高危端口检测等能力。提供专门的针对已知勒索病毒的防御引擎,并提供功能开关项。对于已知勒索病毒确保进程无法启动。提供专门的针对未知勒索病毒的防御引擎,并提供功能开关项。对于未知勒索病毒确保无法加密。支持白名单设置(提供功能截图);
5、提供专门的挖矿风险评估工具。评估项目至少包括:弱口令、系统漏洞、恶意进程、DNS历史查询、违规外联等。提供专门的挖矿实时防御工具,并提供功能开关。自研免疫引擎通过强制访问控制技术免疫WannaMine1.0/2.0/3.0等免杀病毒(提供功能截图)。支持强力查杀,对于无法普通隔离的病毒文件强制停止进程并隔离或动态移除到删除队列。支持部分病毒感染文件的修复功能,对于二进制文件可剥离感染部分,保证应用正常使用;
6、支持对恶意文件进行自动化动静态分析,获取样本行为分析、样本同源性等分析。支持IP&域名&文件&邮箱的信誉判断,可以对应急响应事件进行处置溯源分析,还可以获取可视化数据形成黑客团伙画像及获取实时的热门威胁情报(提供功能截图);
7、提供公安部销售许可证书、公安部网络版防病毒产品(一级品)销售许可证书;IPv6论坛IPv6 Ready Logo委员会认证并获得认证证书。
配置要求:
1、配置一个管理中心:实现对终端的统一管理和策略下发;需要CentOS 6.5以上的安装环境。
2、配置六个服务器端:适用于各类型服务器防护;支持Windows server 2003、Windows server 2008、Windows server 2012、Windows server 2016、Centos 5.0 +、Redhat 5.0 +、Suse11 +、Ubuntu 14 +等操作系统。
2.3 日志审计系统软件
功能要求:
1、支持Syslog、SNMP、XML、FTP及本地文件等协议实现对各种资产进行日志采集;
2、采用解决方案包上传对产品进行功能扩展,无需要代码开发(提供功能截图);
3、具备安全评估模型,评估模型基于设备故障、认证登录、攻击威胁、可用性、系统脆弱性等纬度加权平均计算总体安全指数。安全评估模型可以显示总体评分、历史评分趋势。安全评估模型各项指标可钻取具体的评分扣分事件(提供功能截图);
4、支持各种网络部署需要,包括日志聚合、日志过滤、事件过滤、日志转发、特殊日志格式支持(如单报文多事件)等。要求内置非法访问、可疑入侵、病毒爆发、设备异常、弱点针对等5大类50子类的安全分析场景(提供功能截图);
5、通过各种事件的归一化处理,实现高性能的海量事件存储和检索优化功能,提供高速的事件检索能力、事后的合规性统计分析处理。
6、实现全维度、细粒度关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测,及云计算租户间可轻松实现各资产间的关联分析。要求支持通过资产、安全知识库、弱点库三个维度分析事件是否存在威胁,并形成关联事件(提供第三方检测报告);
7、支持监控设备自身CPU、内存、磁盘等工作运行状况;通过在目标主机上安装Agent程序,支持监测目标主机的CPU利用率、内存使用率、磁盘使用率、磁盘使用情况、流量等信息(提供第三方检测报告);
8、实现所监控的信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理;
9、提供公安部计算机信息系统安全产品销售许可证以及公安部信息安全产品检测中心出具产品检验报告,所提供的产品检验报告须符合《信息安全技术 日志分析产品安全技术要求 GA/T 911-2010》(行标三级);中国网络安全审查技术与认证中心颁发的《中国国家信息安全产品认证证书》;《IPv6 Ready Logo认证》证书。
配置要求:
1、提供软件形式产品;不少于20个日志源。
2.4 数据库审计系统软件
1、产品在协议支持应具备以下数据库:支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL六种主流数据库审计;支持PostgreSQL、HANA、Teradata、Cache、人大金仓、达梦、南大通用数据库审计;
2、可以通过导入证书的方式实现MySQL 5.7及以上版本采用了加密协议通讯的审计(提供功能截图);
3、支持数据库操作表、视图、索引、存储过程等各种对象的所有SQL操作审计;支持数据库请求和返回的双向审计,特别是返回字段和结果集、执行状态、返回行数、执行时长、客户端工具、主机名等内容,支持通过返回行数控制返回结果集大小(提供功能截图);
4、支持审计记录中敏感数据的模糊化处理,内置常见敏感数据掩码规则,支持自定义(提供功能截图); 要求内置安全特征库不少于900条,如SQL注入、缓冲区溢出等(提供功能截图);
5、提供自动定期发现功能,可及时发现新增或者一些未知的数据库并告警,也可自动加载为审计对象;
6、支持按照时间曲线统计流量、在线用户数、并发会话、DDL操作数、DML操作数、执行量最多的SQL语句等报表;支持性能分析,准确提炼出SQL语句执行频率和执行时间异常的报表;支持HTML、PDF、PNG、Word等格式的报表导出;支持报表页面信息钻取;
7、支持对数据库自动建模及智能对异常行为告警功能(提供功能截图);
8、所有资质必须为数据库审计产品专有的资质,非网络审计产品或综合审计产品的资质,要求提供公安部颁发的《计算机信息系统安全专用产品销售许可证》,数据库安全审计国标-增强级; 具备国家信息安全测评中心颁发的《信息技术产品安全测评证书》,级别EAL3+,提供证书复印件。
配置要求:
1、支持审计数据库数不低于4个;每秒处理性能不低于2000TPS;每秒处理流量不低于50Mb/s。
2.5 堡垒机软件
功能要求:
1、支持用户多角色划分功能,如系统管理员、部门管理员、运维员、审计管理员、密码管理员等,对各类角色需要进行细粒度的权限管理;
2、支持常用的运维协议:SSH、TELNET、RDP、VNC、FTP、SFTP、rlogin;可通过应用发布的方式进行协议扩展,如数据库Oracle、MSSQL、MySQL、VMware vSphere Client、浏览器等客户端工具;
3、支持输入输出审计功能,为用户内部提供完整的审计信息,通过账号管理、身份认证、自动改密、资源授权、实时阻断、同步监控、审计回放、自动化运维、流程管理等功能增强运维管理的安全性;
4、产品内置VPN模块,无需与其他VPN设备联动,实现运维入口安全接入(提供功能截图);
5、支持与AD、LDAP、RADIUS、吉大正元、北京CA认证系统联动登录堡垒机,支持自动同步AD/LDAP用户(提供相关截图);支持DB2、oracle、mysql、sqlserver主流数据库协议代理运维,可直接调用本地windows系统的数据库客户端工具,支持自动登录、无需应用发布前置机(提供功能截图);HTTP/HTTPS协议的web设备,且可以直接代填账号和密码(提供国家权威机构证明);要求可以通过socks5/http/ssh等代理协议连接管理异地云资源区中私有网络的云主机;
6、提供用户、资产、授权的增删改查等API接口,允许第三方平台调用堡垒机的API接口,实现用户、资产、权限自动同步到堡垒机,简化堡垒机配置工作量(提供功能截图);要求支持和同品牌数据库审计系统进行联动,将通过SSH/RDP等加密方式操作数据库的行为整合到数据库审计中,实现数据库行为的统一集中查询、展示、审计分析等(提供功能截图);要求支持和同品牌的SOC系统进行联动,对绕过堡垒机而登录主机的行为,SOC进行实时告警,并且与SOC进行日志关联性分析;
7、提供公安部产品销售许可证;产品需符合国家GB/T 20945-2013《信息安全技术信息系统安全审计产品技术要求和测试评价方法》增强级测试标准,并提供中国网络安全审查技术与认证中心《中国国家信息安全产品认证证书》资质。
配置要求:
1、提供授权资产不少于100个、并发字符连接不少于100个、并发图形连接不少于20个。
2.6 网闸
功能要求:
1、设备支持透明、代理及路由三种工作模式,管理员可依据实际网络状况进行相应的部署(提供功能截图);
2、产品内置各类应用支持模块,无须用户增加投资,功能模块至少包含:邮件模块、安全浏览模块、视频交换模块、数据库访问模块、数据库同步模块、文件交换模块、OPC模块、MODBUS模块、WINCC模块、组播代理模块、用户自定义应用模块等各类应用模块,并可控制相应应用协议的的动作、参数、内容;
3、支持Samba、FTP等多种文件协议,可以实现内网到外网、外网到内网、双向的文件传送。支持病毒检测;支持对文件类型的黑白名单控制,根据文件格式特征进行过滤,并且不依赖于文件扩展名;支持文件内容深度检测,对包含关键字内容的文件进行过滤;支持增量传输、传输后删除等传输策略;支持目录内子目录同步,子目录级别不受限制;支持文件交换容错和告警功能,交换出错能够自动重传,出现异常能够告警提示并记录日志;可通过专用客户端或共享方式提供安全的文件同步功能。要求支持内置私有协议的主动文件交换模块,支持增量、完全同步、删除源等功能;
4、支持Oracle、SQLServer、Mysql、Sybase、DB2、Postgresql等多种主流国外数据库的同步和国产达梦数据库、人大金仓数据库的同步(提供截图);支持同构、异构数据库之间的同步,如Mysql同步至Oracle。支持字段级数据同步,仅同步表中某几个字段。支持BLOB、CLOB等大字段的同步。同步功能由网闸主动发起并完成,无需在数据库安装方软件,支持Windows、Linux、Unix 等多种数据库操作系统,且网闸无需开放端口以杜绝安全隐患;同时支持客户端方式,提供更高性能的数据库同步。支持数据库同步实时日志记录,提供日志审计、查询;
5、支持应用层指令控制,如GET、POST、PUT、HEAD、CONNECT等。可限制用户行为,如只允许浏览不允许登陆等;支持代理模式;支持URL地址过滤,并可限制网页中的Script脚本、ActiveX脚本、java applet等;支持关键字网页过滤;支持对下载文件的大小、类型过滤;
6、系统支持多任务的组播代理功能,可穿透三层交换机网络进行部署,支持PIM协议(提供截图);
7、系统提供ping、traceroute 、TCP端口探测、抓包等工具,方便管理员在配置策略或调整网络时排查问题(提供截图);要求支持HTTPS的Web方式管理,可实时监控CPU、内存、硬盘、网络流量等状态;实现了远程管理信息加密传输;支持命令行方式管理,可以通过命令方式进行资源分配、排错、查看日志、深层次管理。提供非IP认证系统管理工具,避免客户忘记管理员密码无法登陆设备的情况;
8、提供公安部计算机信息系统安全专用产品销售许可证(增强级);中国安全隔离网闸产品质量合格消费者放心产品;产品通过GB/T28181-2016标准的产品检测报告;产品获得中国国家信息安全产品认证证书(ISCCC)。
配置要求:
1、要求采用2+1系统架构即内网单元+外网单元+FPGA专用隔离硬件。不能采用网线等形式直通;
2、要求采用基于linux内核的多核多线程专用安全操作系统,加固内核;
3、2U标准机架式机箱、安全单电源;配置内网 4个10/100/1000M BASE-TX接口、外网 4个10/100/1000M BASE-TX接口,2个RJ45串口,4个USB2.0接口;并发连接数不低于5万,开关切换时间小于10ns,系统延时小于 1ms,无用户数限制,最大吞吐量不低于500Mbps。
2.7 SSL VPN
功能要求:
1、支持IPv6/IPv4协议下的网关模式、单臂模式、主备模式、集群模式的部署;
2、为专业VPN设备,采用标准SSL、TLS 协议,同时支持IPSec VPN、SSLVPN两种VPN,非插卡或防火墙带VPN模块设备;支持终端使用包括IE6、7、8、10、11或其他IE内核的浏览器,以及最新版本的非IE内核浏览器,如Windows EDGE,Google Chrome,Firefox,Safari,Opera最新版登录SSLVPN系统,登录后可完整支持各种IP层以上的B/S和C/S应用(提供截图证明);产品应支持的密码算法包括:AES、DES、3DES、DH、RSA、RC4、MD5、SHA1;
3、产品必须支持防中间人攻击,产品可在用户登录SSLVPN时智能判断存在中间人攻击行为,断开被攻击的连接,并可提示异常现象(提供证明材料);
4、支持HTP快速传输协议,大幅优化无线环境(WIFI、3G、4G)、高丢包、高延等恶劣网络环境下传输速度及效率;支持根据网络境自动选择并切换至最优的传输协议(提供界面截图)。
配置要求:
1、要求设备最大理论加密流量(Mbps)不低于200,最大理论并发用户数不低于800,IPSec加密最大流量(Mbps)不低于100,设备整机理论最大吞吐量不低于500Mbps,设备整机理论最大并发会话数不低于60w。
封面、目录
一、投标承诺书
二、授权委托书
三、报价表
四、分项报价明细表
五、技术偏离表
六、主要商务要求承诺书
七、投标人资格证明材料
八、项目组成人员一览表
九、项目实施方案、质量保证及售后服务承诺等
十、各类证明材料
四、资格证明及相关文件要求
投标人应提交证明其有资格参加询价采购活动和中标后有能力履行合同的相关文件,并作为其投标文件的一部分,所有文件必须真实可靠、不得伪造,否则将按相关规定予以处罚。
4.1
投标人资格证明文件
2.经审计的上一年度的财务审计报告(带二维码认证标识)或基本账户开户银行出具的资信证明(在有效期内的或在报名期内出具的)(原件);
3.近6个月依法缴纳税收凭证(经税务部门盖章或经办银行盖章确认的纳税证明材料,如税收为零申报,须提供相关证明材料)(原件);
4.近6个月为企业员工缴纳社保资金的凭证(经社保部门盖章或经办银行盖章确认的社会保险缴纳证明材料)(原件);
5.提供履行合同所必需的设备和专业技术能力的证明材料/承诺书(格式自拟)(原件);
6.提供参加政府采购活动前3年内在经营活动中没有重大违法记录的书面声明(格式自拟)(重大违法记录,是指投标人因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款等行政处罚)(原件);
(1)查询渠道:通过“信用中国”网站(xxx.xxxxxxxxxxx.xxx.xx)和“中国政府采购网”(xxx.xxxx.xxx.xx)进行查询;
(2)查询截止时点:本项目询价公告发布之日起至递交响应文件截止至日止。
(3)查询记录:对列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单、信用报告进行查询;
对信用记录查询结果中显示投标人被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的投标人作无效投标处理。
注:企业名称如有变更,需提供有关行政机关提供的变更证明原件。
—22—