项目名称：智慧公积金网络安全等级保护2.0系统建设项目编号：[230601]QC[GK]20220004

大庆市政府采购中心

公开招标文件

项目名称：智慧公积金网络安全等级保护2.0系统建设项目编号：[230601]QC[GK]20220004

第一章投标邀请

大庆市政府采购中心受大庆市住房公积金管理中心的委托，采用公开招标方式组织采购智慧公积金网络安全等级保护2.0系统建设。欢迎符合资格条件的国内供应商参加投标。

一.项目概述

1.名称与编号

项目名称：智慧公积金网络安全等级保护2.0系统建设批准文件编号：庆财采核字[2022]00128号

采购项目编号：[230601]QC[GK]20220004

2.内容及分包情况（技术规格、参数及要求）

包号	货物、服务和工程名称	数量	采购需求	预算金额（元）
1	智慧公积金网络安全等级保护2.0系统建设	1	详见采购文件	2,000,000.00

二.投标人的资格要求

1.投标人应符合《中华人民共和国政府采购法》第二十二条规定的条件。

2.到提交投标文件的截止时间，投标人未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。（以通过查询“信用中国”网站和“中国政府采购网”网站的信用记录内容为准。）

3.其他资质要求：

合同包1（智慧公积金网络安全等级保护2.0系统建设）：无

三.获取招标文件的时间、地点、方式

获取招标文件的地点：详见招标公告；

获取招标文件的方式：供应商须在公告期内凭用户名和密码，登录黑龙江省政府采购网，选择“交易执行-应标-项目投标”，在“未参与项目”列表中选择需要参与的项目，确认参与后即可获取招标文件。

其他要求

1.采用“现场网上开标”模式进行开标，投标人需到达开标现场。

2.采用“不见面开标”模式进行开标投标人无需到达开标现场，开标当日在投标截止时间前30分钟登录黑龙江省政府采购网进行签到，选择“交易执行-开标-供应商开标大厅”参加远程开标。请投标人使用投标客户端严格按照招标文件的相关要求制作和上传电子投标文件，并按照相关要求参加开标。“若出现供应商因在投标客户端中对应答点标记错误，导致评审专家无法进行正常查阅而否决供应商投标的情况发生时，由投标人自行承担责任。”

3.将采用电子评标的方式，为避免意外情况的发生处理不及时导致投标失败，建议投标人需在开标时间前1小时完成投标文件上传，否则产生的一系列问题将由投标人自行承担。

注：开标模式详见供应商须知-开标方式

四.招标文件售价

x次招标文件的售价为无元人民币。

五.递交投标文件截止时间、开标时间及地点：

递交投标文件截止时间：详见招标公告投标地点：详见招标公告

开标时间：详见招标公告开标地点：详见招标公告

备注：所有电子投标文件应在投标截止时间前递交至黑龙江省政府采购云平台，逾期递交的投标文件，为无效投标文件。

六.询问提起与受理：

项目经办人： xxx 联系方式： 0459-6158195

七.质疑提起与受理：

1.对采购文件的质疑按要求以书面形式提供纸质材料：项目经办人： xxx 联系方式： 0459-6158195

2.对评审过程和结果的质疑按要求以书面形式提供纸质材料：质疑联系人： xxx 电话： 0000-0000000

八.公告发布媒介：

联系信息

中国政府采购网黑龙江省政府采购网

1．采购代理机构

采购代理机构名称：大庆市政府采购中心地址： xxxxxxxxxxxxxx0x联系人： xxx

联系电话： 0000-0000000

账户名称：系统自动生成的缴交账户名称开户行：详见投标人须知

账号：详见投标人须知

2．采购人信息

采购单位名称：大庆市住房公积金管理中心

地址：开发区学府街54号住房公积金服务中心联系人： xxx

联系电话： 00000000000

大庆市政府采购中心

第二章供应商须知

一、前附表：

序号

条款名称

内容及要求

分包情况

共1包

采购方式

公开招标

开标方式

不见面开标

评标方式

现场网上评标

是否专门面向

中小企业采购

合同包1（智慧公积金网络安全等级保护2.0系统建设）：是

评标办法

合同包1（智慧公积金网络安全等级保护2.0系统建设）：最低评标价法

获取招标文件时间（同招标文件提供期限

）

详见招标公告

保证金缴纳截止时间（同递交投标文件截

止时间）

详见招标公告

电子投标文件

递交

电子投标文件在投标截止时间前递交至黑龙江省政府采购网--政府采购云平台

投标文件数量

（1）加密的电子投标文件 1 份（需在投标截止时间前上传至“黑龙江省政府采购网--黑龙江省政府采

购管理平台”）

中标人确定

采购人授权评标委员会按照评审原则直接确定中标（成交）人。

备选方案

不允许

联合体投标

包1：不接受

采购机构代理

费用

无

代理服务费收

取方式

不收取。

不收取

投标保证金

x项目允许投标供应商按照相关法律法规自主选择以支票、汇票、本票或者金融机构、担保机构出具的保函等非现金形式缴纳保证金。

智慧公积金网络安全等级保护2.0系统建设：保证金人民币：0.00元整。开户单位：无

开户银行：无银行账号：无

特别提示：

1、投标供应商应认真核对账户信息，将投标保证金足额汇入以上账户，并自行承担因汇错投标保证金而产生的一切后果。投标保证金到账（保函提交）的截止时间与投标截止时间一致，逾期不交者，投标文件将作无效处理。

2、投标供应商在转账或电汇的凭证上应按照以下格式注明，以便核对：“（项目编号：***、包

组：***）的投标保证金”。

电子招投标

各投标人应当在投标截止时间前上传加密的电子投标文件至“黑龙江省政府采购网”未在投标截止时间前上传电子投标文件的，视为自动放弃投标。投标人因系统或网络问题无法上传电子投标文件时，请在工作时间及时拨打联系电话0000000000按5转1号键。

不见面开标（远程开标）：

1．项目采用不见面开标（网上开标），如在开标过程中出现意外情况导致无法继续进行电子开标时，将会由开标负责人视情况来决定是否允许投标人导入非加密电子投标文件继续开标。本项目采用电子评标（网上评标），只对通过开标环节验证的电子投标文件进行评审。

2．电子投标文件是指通过投标客户端编制，在电子投标文件中，涉及“加盖公章”的内容应使用单位电子公章完成。加密后，成功上传至黑龙江省政府采购网的最终版指定格式电子投标文件。

3．使用投标客户端，经过编制、签章，在生成加密投标文件时，会同时生成非加密投标文件，投标人请自行留存。

4．投标人的法定代表人或其授权代表应当按照本招标公告载明的时间和模式等要求参加开标，在开标时间前30分钟，应当提前登录开标系统进行签到，填写联系人姓名与联系号码。

5．开标时，投标人应当使用 CA 证书在开始解密后30分钟内完成投标文件在线解密，若出现系统异常情况，工作人员可适当延长解密时长。（请各投标人在参加开标以前自行对使用电脑的网络环境、驱动安装、客户端安装以及CA证书的有效性等进行检测，保证可以正常使用。具体环境要求详见操作手册）

6．开标时出现下列情况的，将视为逾期送达或者未按照招标文件要求密封的投标文件，采购人

、采购代理机构应当视为投标无效处理。

（1）投标人未按招标文件要求参加远程开标会的；

（2）投标人未在规定时间内完成电子投标文件在线解密；

（3）经检查数字证书无效的投标文件；

（4）投标人自身原因造成电子投标文件未能解密的。

7．投标人必须保证在规定时间内完成项目已投标标段的电子投标文件解密。

8．投标人需在规定时间内对开标记录表进行签章确认，未在规定时间内签章的，视同接受开标结果。

电子投标文件

签字、盖章要求

应按照第七章“投标文件格式”要求，使用单位电子签章（CA）进行签字、加盖公章。

说明：xxx到授权代表签字的可将文件签字页先进行签字、扫描后导入加密电子投标文件。

投标客户端

投标客户端需要自行登录“黑龙江省政府采购网--政府采购云平台”下载。

有效供应商家数

包1：3

此数约定了开标与评标过程中的最低有效供应商家数，当家数不足时项目将不得开标、评标；文件中其他描述若与此规定矛盾以此为准。

报价形式

合同包1（智慧公积金网络安全等级保护2.0系统建设）:总价

投标有效期

从提交投标（响应）文件的截止之日起90日历天

其他

项目兼投兼中

规则

兼投兼中：-

报价区间

各合同包报价不超过预算总价

三、投标须知

1.投标方式

1.1投标方式采用网上投标，流程如下：

应在黑龙江省政府采购网（xxxx://xxxxx.xxx.xxx.xx）提前注册并办理电子签章CA，CA用于制作投标文件时盖章、加密和开标时解密（CA办理流程及驱动下载参考黑龙江省政府采购网（xxxx://xxxxx.xxx.xxx.xx）办事指南-CA办理流程）具体操作步骤，在黑龙江省政府采购网（xxxx://xxxxx.xxx.xxx.xx/）下载政府采购供应商操作手册。

1.2缴纳投标保证金（如有）。本采购项目采用“虚拟子账号”形式收退投标保证金，每一个投标人在所投的每一项目下合同包会对应每一家银行自动生成一个账号，称为“虚拟子账号”。在进行投标信息确认后，应通过应标管理-已投标的项目，选择缴纳银行并获取对应不同包的缴纳金额以及虚拟子账号信息，并在开标时间前，通过转账至上述账号中，付款人名称必须为投标单位全称且与投标信息一致。

若出现账号缴纳不一致、缴纳金额与投标人须知前附表规定的金额不一致或缴纳时间超过开标时间，将导致保证金缴纳失

败。

1.3查看投标状况。通过应标管理-已投标的项目可查看已投标项目信息。

2.特别提示

2.1缴纳保证金时间以保证金到账时间为准，由于投标保证金到账需要一定时间，请投标人在投标截止前及早缴纳。

三、说明

1.总则

x招标文件依据《中华人民共和国政府采购法》、《中华人民共和国政府采购法实施条例》和《政府采购货物和服务招标投标管理办法》（财政部令第87号）及国家和自治区有关法律、法规、规章制度编制。

投标人应仔细阅读本项目信息公告及招标文件的所有内容（包括变更、补充、澄清以及修改等，且均为招标文件的组成部分），按照招标文件要求以及格式编制投标文件，并保证其真实性，否则一切后果自负。

本次公开招标项目，是以招标公告的方式邀请非特定的投标人参加投标。

2.适用范围

x招标文件仅适用于本次招标公告中所涉及的项目和内容。

3.投标费用

投标人应承担所有与准备和参加投标有关的费用。不论投标结果如何，采购代理机构和采购人均无义务和责任承担相关费

用。

4.当事人：

4.1“采购人”是指依法进行政府采购的国家机关、事业单位、团体组织。本招标文件的采购人特指本项目采购单位。

4.2“采购代理机构”是指本次招标采购项目活动组织方。本招标文件的采购代理机构特指大庆市政府采购中心。

4.3“投标人”是指向采购人提供货物、工程或者服务的法人、其他组织或者自然人。

4.4“评标委员会”是指根据《中华人民共和国政府采购法》等法律法规规定，由采购人代表和有关专家组成以确定中标人或者推荐中标候选人的临时组织。

4.5“中标人”是指经评标委员会评审确定的对招标文件做出实质性响应，取得与采购人签订合同资格的投标人。

5.合格的投标人

5.1符合本招标文件规定的资格要求，并按照要求提供相关证明材料。

5.2单位负责人为同一人或者存在直接控股、管理关系的不同投标人，不得参加同一合同项下的政府采购活动。

5.3为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的投标人，不得再参加该采购项目的其他采购活动。

6.以联合体形式投标的，应符合以下规定：

6.1联合体各方应签订联合体协议书，明确联合体牵头人和各方权利义务，并作为投标文件组成分部分。

6.2联合体各方均应当具备政府采购法第二十二条规定的条件，并在投标文件中提供联合体各方的相关证明材料。

6.3联合体成员存在不良信用记录的，视同联合体存在不良信用记录。

6.4联合体各方中至少应当有一方符合采购人规定的资格要求。由同一资质条件的投标人组成的联合体，应当按照资质等级较低的投标人确定联合体资质等级。

6.5联合体各方不得再以自己名义单独在同一项目中投标，也不得组成新的联合体参加同一项目投标。

6.6联合体各方应当共同与采购人签订采购合同，就合同约定的事项对采购人承担连带责任。

6.7投标时，应以联合体协议中确定的主体方名义投标，以主体方名义缴纳投标保证金，对联合体各方均具有约束力。

7.语言文字以及度量衡单位

7.1所有文件使用的语言文字为简体中文。专用术语使用外文的，应附有简体中文注释，否则视为无效。

7.2所有计量均采用中国法定的计量单位。

7.3所有报价一律使用人民币，货币单位：元。

8.现场踏勘

8.1招标文件规定组织踏勘现场的，采购人按招标文件规定的时间、地点组织投标人踏勘项目现场。

8.2投标人自行承担踏勘现场发生的责任、风险和自身费用。

8.3采购人在踏勘现场中介绍的资料和数据等，不构成对招标文件的修改或不作为投标人编制投标文件的依据。

9.其他条款

9.1无论中标与否投标人递交的投标文件均不予退还。

四、招标文件的澄清和修改

1.采购人或采购代理机构对已发出的招标文件进行必要的澄清或修改的，澄清或者修改的内容可能影响投标文件编制的，采购人或者采购代理机构应当在投标截止时间15日前，不足15日的，顺延投标截止之日，同时在“黑龙江省政府采购网”、“黑龙江省公共资源交易网”上发布澄清或者变更公告进行通知。澄清或者变更公告的内容为招标文件的组成部分，投标人应自行上网查询，采购人或采购代理机构不承担投标人未及时关注相关信息的责任。

五、投标文件

1.投标文件的构成

投标文件应按照招标文件第七章“投标文件格式”进行编写（可以增加附页），作为投标文件的组成部分。

2.投标报价

2.1投标人应按照“第四章招标内容与要求”的需求内容、责任范围以及合同条款进行报价。并按“开标一览表”和“分项报价明细表”规定的格式报出总价和分项价格。投标总价中不得包含招标文件要求以外的内容，否则，在评审时不予核减。

2.2投标报价包括本项目采购需求和投入使用的所有费用，如主件、标准附件、备品备件、施工、服务、专用工具、安装、调试、检验、培训、运输、保险、税款等。

2.3投标报价不得有选择性报价和附有条件的报价。

2.4对报价的计算错误按以下原则修正：

（1）投标文件中开标一览表（报价表）内容与投标文件中相应内容不一致的，以开标一览表（报价表）为准；

（2）大写金额和小写金额不一致的，以大写金额为准；

（3）单价金额小数点或者百分比有明显错位的，以开标一览表的总价为准，并修改单价。

注：修正后的报价投标人应当采用书面形式，并加盖公章，或者由法定代表人或其授权的代表签字确认后产生约束力，但不得超出投标文件的范围或者改变投标文件的实质性内容，投标人不确认的，其投标无效。

3.投标有效期

3.1投标有效期从提交投标文件的截止之日起算。投标文件中承诺的投标有效期应当不少于招标文件中载明的投标有效期。投标有效期内投标人撤销投标文件的，采购人或者采购代理机构可以不退还投标保证金。

3.2出现特殊情况需要延长投标有效期的，采购人以书面形式通知所有投标人延长投标有效期。投标人同意延长的，应相应延长其投标保证金的有效期，但不得要求或被允许修改或撤销其投标文件；投标人拒绝延长的，其投标失效，但投标人有权收回其投标保证金。

4.投标保证金

4.1投标保证金的缴纳：

投标人在提交投标文件的同时，应按投标人须知前附表规定的金额、开户银行、行号、开户单位、账号和招标文件本章“投标须知”规定的投标保证金缴纳要求递交投标保证金，并作为其投标文件的组成部分。

4.2投标保证金的退还：

（1）投标人在投标截止时间前放弃投标的，自所投合同包结果公告发出后5个工作日内退还，但因投标人自身原因导致无法及时退还的除外；

（2）未中标供应商投标保证金，自中标通知书发出之日起5个工作日内退还；

（3）中标供应商投标保证金，自政府采购合同签订之日起5个工作日内退还。

4.3有下列情形之一的，投标保证金将不予退还：

（1）中标后，无正当理由放弃中标资格；

（2）中标后，无正当理由不与采购人签订合同；

（3）在签订合同时，向采购人提出附加条件；

（4）不按照招标文件要求提交履约保证金；

（5）要求修改、补充和撤销投标文件的实质性内容；

（6）要求更改招标文件和中标结果公告的实质性内容；

（7）法律法规和招标文件规定的其他情形。

5.投标文件的修改和撤回

5.1投标人在提交投标截止时间前，可以对所递交的投标文件进行补充、修改或者撤回。补充、修改的内容旁签署（法人或授权委托人签署）、盖章、密封和上传至系统后生效，并作为投标文件的组成部分。

5.2在提交投标文件截止时间后到招标文件规定的投标有效期终止之前，投标人不得补充、修改、替代或者撤回其投标文

件。

6.投标文件的递交

6.1在招标文件要求提交投标文件的截止时间之后送达或上传的投标文件，为无效投标文件，采购单位或采购代理机构拒收。采购人、采购代理机构对误投或未按规定时间、地点进行投标的概不负责。

7.样品（演示）

7.1招标文件规定投标人提交样品的，样品属于投标文件的组成部分。样品的生产、运输、安装、保全等一切费用由投标人自理。

7.2开标前，投标人应将样品送达至指定地点，并按要求摆放并做好展示。若需要现场演示的，投标人应提前做好演示准备（包括演示设备）。

7.3评标结束后，中标供应商与采购人共同清点、检查和密封样品，由中标供应商送至采购人指定地点封存。未中标投标人将样品自行带回。

六、开标、评审、结果公告、中标通知书发放

1.网上开标程序

1.1主持人按下列程序进行开标：

（1）宣布开标纪律；

（2）宣布开标会议相关人员姓名；

（3）投标人对已提交的加密文件进行解密，由采购人或者采购代理机构工作人员当众宣布投标人名称、投标价格和招标文件规定的需要宣布的其他内容（以开标一览表要求为准）；

（4）参加开标会议人员对开标情况确认；

（5）开标结束，投标文件移交评标委员会。

1.2开标异议

投标人代表对开标过程和开标记录有疑义，以及认为采购人、采购代理机构相关工作人员有需要回避的情形的，应当当场提出询问或者回避申请，开标会议结束后不再接受相关询问、质疑或者回避申请。

1.3投标人不足三家的，不得开标。

1.4备注说明：

（1）若本项目采用不见面开标，开标时投标人使用 CA证书参与远程投标文件解密。投标人用于解密的CA证书应为该投

标文件生成加密、上传的同一把 CA证书。

（2）若本项目采用不见面开标，投标人在开标时间前30分钟，应当提前登录开标系统进行签到，填写联系人姓名与联系号码；在系统约定时间内使用CA证书签到以及解密，未成功签到或未成功解密的视为其无效投标。

（3）投标人对不见面开标过程和开标记录有疑义，应在开标系统规定时间内在不见面开标室提出异议，采购代理机构在网上开标系统中进行查看及回复。开标会议结束后不再接受相关询问、质疑或者回避申请。

2.评审（详见第六章）

3.结果公告

3.1中标供应商确定后，采购代理机构将在黑龙江省政府采购网发布中标结果公告，中标结果公告期为 1 个工作日。

3.2项目废标后，采购代理机构将在黑龙江省政府采购网上发布废标公告，废标结果公告期为 1 个工作日。

4.中标通知书发放

发布中标结果的同时，中标供应商可自行登录“黑龙江省政府采购网--政府采购云平台”打印中标通知书，中标通知书是合同的组成部分，中标通知书对采购人和中标供应商具有同等法律效力。

中标通知书发出后，采购人不得违法改变中标结果，中标供应商无正当理由不得放弃中标。

七、询问、质疑与投诉

1.询问

1.1供应商对政府采购活动事项有疑问的，可以向采购人或采购代理机构提出询问，采购人或采购代理机构应当在3个工作日内做出答复，但答复的内容不得涉及商业秘密。供应商提出的询问超出采购人对采购代理机构委托授权范围的，采购代理机构应当告知其向采购人提出。

1.2为了使提出的询问事项在规定时间内得到有效回复，询问采用实名制，询问内容以书面材料的形式亲自递交到采购代理机构，正式受理后方可生效，否则，为无效询问。

2.质疑

2.1潜在投标人已依法获取招标文件，且满足参加采购项目基本条件的潜在供应商，可以对招标文件提出质疑；递交投标文件的供应商，可以对该项目采购过程和中标结果提出质疑。采购中心应当在正式受理投标人的书面质疑后七个工作日作出答复，但答复的内容不得涉及商业秘密。

2.2对招标文件提出质疑的，应当在首次获取招标文件之日起七个工作日内提出；对采购过程提出质疑的，为各采购程序环节结束之日起七个工作日内提出；对中标结果提出质疑的，为中标结果公告期届满之日起七个工作日内提出。

2.3质疑供应商应当在规定的时限内，以书面形式一次性地向采购中心递交《质疑函》和必要的证明材料，不得重复提交质疑材料，《质疑函》应按标准格式规范填写。

2.4供应商可以委托代理人进行质疑。代理人提出质疑，应当递交供应商法定代表人签署的授权委托书，其授权委托书应当载明代理人的姓名或者名称、代理事项、具体权限、期限和相关事项。供应商为自然人的，应当由本人签字；供应商为法人或者其他组织的，应当由法定代表人、主要负责人签字或者xx，并加盖公章。

2.5供应商提出质疑应当递交《质疑函》和必要的证明材料。《质疑函》应当包括下列内容：

（1）供应商的姓名或者名称、地址、联系人及联系电话；

（2）质疑项目的名称、编号；

（3）具体、明确的质疑事项和与质疑事项相关的请求；

（4）事实依据；

（5）必要的法律依据；

（6）提出质疑的日期；

（7）供应商首次下载招标文件的时间截图。

2.6有下列情形之一的，采购中心不予受理：

（1）按照“谁主张、谁举证”的原则，应由质疑供应商提供质疑事项的相关证据、依据和其他有关材料，未能提供的；

（2）未按照补正期限进行补正或者补正后仍不符合规定的；

（3）未在质疑有效期限内提出的；

（4）超范围提出质疑的；

（5）同一质疑供应商一次性提出质疑后又提出新质疑的。

2.7有下列情形之一的，质疑不成立：

（1）质疑事项缺乏事实依据的；

（2）质疑供应商捏造事实或者提供虚假材料的；

（3）质疑供应商以非法手段取得证明材料的。

2.8质疑的撤销。质疑正式受理后，质疑供应商申请撤销质疑的，采购中心应当终止质疑受理程序并告知相关当事人。

2.9对虚假和恶意质疑的处理。对虚假和恶意质疑的供应商，报省级财政部门依法处理，记入政府采购不良记录，推送省级信用平台，限制参与政府采购活动。有下列情形之一的，属于虚假和恶意质疑：

（1）主观臆造、无事实依据进行质疑的；

（2）捏造事实或提供虚假材料进行质疑的；

（3）恶意攻击、歪曲事实进行质疑的；

（4）以非法手段取得证明材料的。

3.0接收质疑函的方式：为了使提出的质疑事项在规定时间内得到有效答复、处理，质疑采用实名制，且由法定代表人或授权代表亲自递交至采购代理机构，正式受理后方可生效。

联系部门：采购人、采购代理机构（详见第一章投标邀请）。联系电话：采购人、采购代理机构（详见第一章投标邀请）。通讯地址：采购人、采购代理机构（详见第一章投标邀请）。

3.投诉

3.1质疑人对采购人、采购代理机构的答复不满意或者采购人、采购代理机构未在规定的时间内做出书面答复的，可以在答复期满后十五个工作日内向监督部门进行投诉。投诉程序按《政府采购法》及相关规定执行。

3.2供应商投诉的事项不得超出已质疑事项的范围。

第三章合同与验收

一、合同要求

1.一般要求

1.1采购人应当自中标通知书发出之日起30日内，按照招标文件和中标供应商投标文件的规定，与中标供应商签订书面合同。所签订的合同不得对招标文件确定的事项和中标供应商投标文件作实质性修改。

1.2合同签订双方不得提出任何不合理的要求作为签订合同的条件。

1.3政府采购合同应当包括采购人与中标人的名称和住所、标的、数量、质量、价款或者报酬、履行期限及地点和方式、验收要求、违约责任、解决争议的方法等内容。

1.4采购人与中标供应商应当根据合同的约定依法履行合同义务。

1.5政府采购合同的履行、违约责任和解决争议的方法等适用《中华人民共和国民法典》。

1.6政府采购合同的双方当事人不得擅自变更、中止或者终止合同。

1.7拒绝签订采购合同的按照相关规定处理，并承担相应法律责任。

1.8采购人应当自政府采购合同签订之日起2个工作日内，将政府采购合同在指定的媒体上公告，但政府采购合同中涉及国家秘密、商业秘密的内容除外。

1.9采购人应当自政府采购合同签订之日起2个工作日内，将政府采购合同在省级以上人民政府财政部门指定的媒体上公告，但政府采购合同中涉及国家秘密、商业秘密的内容除外。

2.合同格式及内容

2.1具体格式见本招标文件后附拟签订的《合同文本》（部分合同条款），投标文件中可以不提供《合同文本》。

2.2《合同文本》的内容可以根据《民法典》和合同签订双方的实际要求进行修改，但不得改变范本中的实质性内容。

二、验收

中标供应商在供货、工程竣工或服务结束后，采购人应及时组织验收，并按照招标文件、投标文件及合同约定填写验收

单。

政府采购合同（合同文本）

甲方：***（填写采购单位）地址（详细地址）：

乙方：***（填写中标投标人）地址（详细地址）：

合同号：

根据《中华人民共和国政府采购法》、《中华人民共和国民法典》等相关法律法规，甲、乙双方就（填写项目

名称）（政府采购项目编号、备案编号：），经平等自愿协商一致达成合同如下：

1.合同文件

x合同所附下列文件是构成本合同不可分割的部分：

(1)合同格式以及合同条款

(2)中标结果公告及中标通知书 (3)招标文件

(4)投标文件 (5)变更合同

2.本合同所提供的标的物、数量及规格等详见中标结果公告及后附清单。

3.合同金额

合同金额为人民币 x元，大写：

4.付款方式及时间

***（见招标文件第四章） 5.交货安装

交货时间：交货地点： 6.质量

乙方提供的标的物应符合国家相关质量验收标准，且能够提供相关权威部门出具的产品质量检测报告；提供的相关服务符合国家（或行业）规定标准。

7.包装

标的物的包装应按照国家或者行业主管部门的技术规定执行，国家或业务主管部门无技术规定的，应当按双方约定采取足以保护标的物安全、完好的包装方式。

8.运输要求

（1）运输方式及线路：

（2）运输及相关费用由乙方承担。

9.知识产权

乙方应保证甲方在中国境内使用标的物或标的物的任何一部分时，免受第三方提出的侵犯其知识产权的诉讼。

10.验收

（1）乙方将标的物送达至甲方指定的地点后，由甲乙双方及第三方（如有）一同验收并签字确认。

（2）对标的物的质量问题，甲方应在发现后向乙方提出书面异议，乙方在接到书面异议后，应当在日内负责处理。甲方逾期提出的，对所交标的物视为符合合同的规定。如果乙方在投标文件及谈判过程中做出的书面说明及承诺中，有明确质量保证期的，适用质量保证期。

（3）经双方共同验收，标的物达不到质量或规格要求的，甲方可以拒收，并可解除合同且不承担任何法律责任，

11.售后服务

（1）乙方应按招标文件、投标文件及乙方在谈判过程中做出的书面说明或承诺提供及时、快速、优质的售后服务。

（2）其他售后服务内容：（投标文件售后承诺等）

12.违约条款

（1）乙方逾期交付标的物、甲方逾期付款，按日承担违约部分合同金额的违约金。

（2）其他违约责任以相关法律法规规定为准，无相关规定的，双方协商解决。

13.不可抗力条款

因不可抗力致使一方不能及时或完全履行合同的，应及时通知另一方，双方互不承担责任，并在天内提供有关不可抗力的相关证明。合同未履行部分是否继续履行、如何履行等问题，双方协商解决。

14.争议的解决方式

合同发生纠纷时，双方应协商解决，协商不成可以采用下列方式解决：

（1）提交仲裁委员会仲裁。

（2）向人民法院起诉。

15.合同保存

合同文本一式五份，采购单位、投标人、政府采购监管部门、采购代理机构、国库支付执行机构各一份，自双方签订之日起生效。

16.合同未尽事宜，双方另行签订补充协议，补充协议是合同的组成部分。甲方：（章）乙方：（章）

采购方法人代表：	（签字）	投标人法人代表：（签字）
开户银行：		开户银行：
帐号：		帐号：
联系电话：		联系电话：
		签订时间年月日

附表：标的物清单（主要技术指标需与投标文件相一致）（工程类的附工程量清单等）

名称	品牌、规格、标准/主要服务内容	产地	数量	单位	单价（元）	金额（元）
**	**	**	**	**	**	**

名称	品牌、规格、标准/主要服务内容	产地	数量	单位	单价（元）	金额（元）


合计：人民币大写：**元整						￥：**

第四章招标内容与技术要求

一、项目概况：

智慧公积金网络安全等级保护

2.0系统建设

一、大庆市公积金与银行安全传输解决方案

1、需求分析

1.1.业务安全需求

为贯彻落实国家“普惠金融”政策及“互联网+”的发展战略，促进互联网和经济社会融合发展，为大庆地区广大公积金缴存职工提供更加高效、便捷、优质的增值服务及延伸服务，本着精诚合作、服务大众的原

则，大庆市公积金支持银行使用住房公积金信息开展个人信用贷款业务，业务处理过程需要与接入银行实现实时互联互通，涉及用户的个人信息、公积金账户信息、银行账户信息及公积金业务数据等敏感数据的传输及处理。与银行互联的安全目标主要体现在以下几个方面：

1.公积金与银行业务应用系统间提供基于数字证书的身份认证安全保障机制。

2.为互联双方系统提供身份认证、应用及操作提供真实的、不可抵赖的数字签名证据。

3.推动电子数据合法性、不可否认性、安全性及安全架构体系的快速发展。

4.实现大庆公积金与银行网络互联业务数据的加密传输。

通过本项目建设一套安全互联平台，可以实现双方应用使用国产密码算法数字证书因素安全方式确立网络唯一数字身份标识，用户身份鉴别、关键数据的防篡改、电子签名、数据加密传输、数据传输完整性保护等可靠的安全接入支撑平台。

1.2.密码合规需求

厅字〔2018〕36号--中共中央办公厅国务院办公厅关于印发《金融和重要领域密码应用与创新发展工作规划（2018-2022年》的通知中提出：为保障国家关键信息基础设施安全，着力推进密码全面应用，着力在构建自主可控信息技术体系中推进密码优先发展，构建以密码技术为核心、多种技术相互融合的新网络安全体系，建设以密码基础设施为支撑的新网络安全环境，形成安全互信、开放共享的新网络安全x x。

2021年9月1日起施行《中华人民共和国数据安全法》，自2021年11月1日起施行《中华人民共和国个人信息保护法》。公积金缴存用户信息及用户缴存带宽等信息均属于个人敏感信息及数据安全法要求保护的信息数据。大庆市公积金在向银行共享数据时，有责任和义务保护缴存人个人信息及公积金相关数据不被泄露、篡改、恶意利用等。

1.2.1.等级保护的要求

大庆市住房公积金管理中心等级保护测评工作将依据等级保护2.0标准执行。根据新的标准和要求，大庆公积金外联业务环境的安全建设无法达到安全等级要求，需要整改。中心的外联业务中，银行与中心的数据交换网络风险等级高，需要银行采购部署国密应用安全网关，以满足中心外联业务对接时的安全认证、数据加密、数据完整性保护和数字签名防抵赖要求，并符合《数据安全法》、《个人信息保护法》的相关规定。

在GB/T 22239—2019《网络安全等级保护基本要求》中，要求重要信息系统建设应满足如下技术需求：

(一)安全通信网络

1.应采用校验技术或密码技术保证通信过程中数据的完整性

2.应采用密码技术保证通信过程中数据保密性 (二)安全计算环境

1.进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。

2.应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

3.应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

1.2.2.密码应用安全性评估的要求

在GBT 39786《信息系统密码应用基本要求》，要求重要信息系统建设应满足如下技术需求： (一)网络和通信安全需求

网络和通信密码安全主要包含连接到内部网络的设备的安全认证、通信双方身份认证、通信数据的完整性、通信数据的保密性、网络边界访问及系统资源访问的访问控制信息的完整性、网络设备和安全组件远程管理信息的保密性。针对第三级信息系统具体需求如下：

a)采用密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性； b)采用密码技术保证通信过程中数据的完整性；

c)采用密码技术保证通信过程中重要数据的机密性； d)采用密码技术保证网络边界访问控制信息的完整性；

e)采用的密码产品，应达到GB/T 37092二级及以上安全要求。 (二)设备和计算安全需求

设备和计算密码安全主要包含登录用户的身份鉴别、系统资源访问控制信息的完整性、信息资源敏感标记的完整性、重要程序或文件的完整性及日志记录的完整性保护。针对第三级信息系统具体需求如下：

a)采用密码技术对登录设备的用户进行身份鉴别，保证用户身份的真实性； b)远程管理设备时，采用密码技术建立安全的信息传输通道

c)采用密码技术保证系统资源访控制信息的完整性

d)采用密码技术保证设备中的重要信息资源安全标记的完整性 e)采用的密码产品，应达到GB/T 37092二级及以上安全要求。 (三)应用和数据安全需求

应用和数据密码安全主要包含登录用户的身份鉴别、系统资源访问控制信息的完整性、信息资源敏感标记的完整性、重要数据传输过程和存储过程的机密性和完整性、重要程序加载和卸载安全控制、实体行为的不可否认性、日志记录的完整性保护。针对第三级信息系统具体需求如下：

a)采用密码技术对登录用户进行身份鉴别保证应用系统用户身份的真实性； b)采用密码技术保证信息系统应用的访问控制信息的完整性；

c)采用密码技术保证信息系统应用的重要信息资源安全标记的完整性； d)采用密码技术保证信息系统应用的重要数据在传输过程中的机密性； e)采用密码技术保证信息系统应用的重要数据在存储过程中的机密性； f)采用密码技术保证信息系统应用的重要数据在传输过程中的完整性； g)采用密码技术保证信息系统应用的重要数据在存储过程中的完整性

h)在可能涉及法律责任认定的应用中宜采用密码技术提供数据原发证据和数据接收证据，实现数据原发行为的不可否认性和数据接收行为的不可否认性；；

i)采用的密码产品，应达到GB/T 37092二级及以上安全要求。

1.2.3.商业银行对接的要求

依据《商业银行应用程序接口安全管理规范》、《银发〔2020〕35号中国人民银行关于发布《网上银行系统信息安全通用规范》行业标准的通知》规范要求：

1.商业银行与应用方的身份认证应通过秘钥、数字证书等密码技术手段进行双向身份认证；

2.商业银行与应用方应使用加密算法和安全协议保护银行服务器与应用方服务器之间的所有连接，保证传输数据的机密性和完整性。

2、解决方案

根据业务安全需求，解决方案需要实现业务数据传输加密和双向可信身份认证。为实现这一安全目标需要一款在国产密码算法SSL【SM2v1.1】协议下实现安全加密并能够进行身份认证的前置通信产品（简称安全互联网关），安全互联网关应符合国家密码管理局相关技术标准，如《GB/T 37092-2018 信息安全技术密码模块安全要求》，需具备商用密码产品认证证书，且支持国产密码算法。

安全互联网关通过SSL传输和数字签名与验签名功能实现应用安全需求，透明地实现明文和SSL加密传输之间的转换和数据转发传输过程；同时提供签名和验签名功能，保证交易数据的内容安全，实现数据的防篡改、抗抵赖和数据提供方身份的真实性验证。

部署专业的数字证书认证系统，为安全互联的双方（大庆公积金、接入银行及其他第三方接入结构）颁发国产密码算法数字证书，提供可信身份、加解密、数字签名功能的密钥支撑服务。

2.2.1.数字证书认证系统

数字证书是整个方案实现的基础。部署专业的数字证书认证系统，符合《GB/T 37092-2018 信息安全技术密码模块安全要求》，需具备商用密码产品认证证书，且支持国产密码算法。为安全互联双方提供数字证书申请、下载、冻结、解冻、更新、作废等服务。

2.2.互联业务服务端

大庆市公积金作为安全互联的业务服务端，部署安全互联网关，作为加密传输通道的服务端，可创建多个加密传输通道服务，同时为多个接入方提供加密传输通道服务及数字证书认证服务。

2.3.互联业务客户端

商业银行及其他接入机构作为安全互联业务的客户端，需同样部署安全互联网关，作为加密传输通道的客户端。

2.4.数据流程

该方案同时具备传输加密、身份认证和数字签名能力，业务详细流程如下：业务流程（客户端发起）：

1.商业银行消费贷业务处理，业务数据由应用服务器送交安全互联网关签名端口进行签名。

2.安全互联网关返回签名结果给客户端应用服务器。

3.应用服务器将签名结果及其他需要加密的业务数据发送至安全互联网关加密端口。

4.安全互联网关加密业务数据并发送至大庆市公积金端的安全互联网关。

5.大庆市公积金端安全互联网关及商业银行端安全互联网关进行双向数字证书身份认证。

6.安全互联网关服务器解密业务数据并发送至大庆市公积金应用服务器。

7.大庆市公积金应用服务器发现签名数据，则交给安全互联网关进行验签。

8.安全互联网关验签后返回验签结果给后台应用服务器。

9.大庆市公积金应用服务器继续业务，如数据共享等。

□业务流程（大庆市公积金端发起）：

1.大庆市公积金发起业务，关键业务数据由大庆市公积金应用服务器送交安全互联网关签名端口进行签

名。

2.安全互联网关返回签名结果给应用服务器。

3.大庆市公积金应用服务器将签名结果及其他需要加密的业务数据发送至安全互联网关加密端口。

4.安全互联网关加密业务数据并发送至客户端的安全互联网关。

5.大庆市公积金端安全互联网关及商业银行端安全互联网关进行双向数字证书身份认证。

6.安全互联网关解密业务数据并发送至客户端应用服务器。

7.商业银行应用服务器发现签名数据，则交给安全互联网关进行验签。

8.安全互联网关验签后返回验签结果给后台应用服务器。

9.客户端应用服务器继续业务。

3、方案收益

通过安全互联网关安全互联解决方案的部署，大庆公积金应用可实现：

−公积金应用接入第三方的可信身份认证；

−公积金应用与第三方交互数据的保密性；

−公积金应用与第三方交互数据的完整性；

−公积金应用与第三方交互数据的不可否认性；

−符合《GB/T 22239—2019网络安全等级保护基本要求》

−符合《GB/T 39786信息系统密码应用基本要求》

−符合《商业银行应用程序接口安全管理规范》

−符合《网上银行系统信息安全通用规范》

−满足《中华人民共和国个人信息保护法》要求

−满足《中华人民共和国数据安全法》要求二、大庆市住房公积金管理中心

等级保护三级信息系统概述

随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式。随着网络技术在各行业的全面应用，大大提高了大庆市住房公积金管理中心的业务处理效率和管理水平，促成了各项创新业务的开展，改善了整个企业的经营环境，增强了业务信息的可靠性及便捷性。但是，信息安全风险伴随着信息化技术在大庆市住房公积金管理中心的全面应用而全面笼罩在大庆市住房公积金管理中心的每个业务角落。

大庆市住房公积金管理中心现有重要信息系统2个，其中门户网站、信息管理系统拟定为等保三级系统。本方案将主要以等级保护三级系统相关技术标准为依据，制定网络安全解决方案。

安全建设路线设计原则

等级保护建设原则

大庆市住房公积金管理中心系统属国计民生的重要信息系统，其安全建设不能忽视国家相关政策要求，在安全保障体系建设上最终所要达到的保护效果应符合三级系统基本要求。

体系化的设计原则

系统设计应充分考虑到各个层面的安全风险，构建完整的安全防护体系，充分保证系统的安全性。同时，应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。

产品的先进性原则

大庆市住房公积金管理中心安全保障体系建设规模庞大，意义深远。对所需的各类安全产品提出了很高的要求。必须认真考虑各安全产品的技术水平、合理性、先进性、安全性和稳定性等特点，共同打好工程的技术基础。

按步骤有序建设原则

大庆市住房公积金管理中心安全保障体系的建设是一项长期的工程，并非一蹴而就解决所有安全问题。因此，在实际建设过程中要根据实际情况分轻重缓急，分期、分批的进行部署。

安全服务细致化原则

要使得安全保障体系发挥最大的功效，除安全产品的部署外还应提供有效的安全服务，根据大庆市住房公积金管理中心网络系统具体现状及承载的重要业务，全面而细致的安全服务会提升日常运维及应急处理风险的能力。安全服务就需要把安全服务商的专业技术经验与行业经验相结合，结合大庆市住房公积金管理中心实际信息系统量身定做才可以保障其信息系统安全稳定的运行。

等级化建设思路

我公司提出的“按需防御的等级化安全体系”是依据国家信息安全等级保护制度，根据系统在不同阶段的需求、业务特性及应用重点，采用等级化的安全体系设计方法，帮助构建一套覆盖全面、重点突出、节约成本、持续运行的等级化安全防御体系。

“等级化”设计方法，是根据需要保护的信息系统确定不同的安全等级，根据安全等级确定不同等级的安全目标，形成不同等级的安全措施进行保护。等级保护的精髓思想就是“等级化”。等级保护可以把业务系统、信息资产、安全边界等进行“等级化”，分而治之，从而实现信息安全等级保护的“等级保护、适度安全”思想。

整体的安全保障体系包括技术、管理和运维三个大的部分，其中技术部分分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设；而管理部分分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。而信息安全运维则是促进信息安全技术和管理不断补充、完善和持续改进的有力组成部分。

整个安全保障体系各部分既有机结合，又相互支撑。之间的关系可以理解为“构建安全管理机构，制定完善的安全管理制度及安全策略，由相关人员，利用技术工手段及相关工具，进行系统建设和运行维护。”方案参照标准

计算机信息系统安全等级保护划分准则（GB 17859-1999）（基础类标准）信息系统安全等级保护实施指南（GB/T 25058-2020）（基础类标准）

信息系统安全保护等级定级指南（GB/T 22240-2020）（应用类定级标准）信息系统安全等级保护基本要求（GB/T 22239-2019）（应用类建设标准）信息系统通用安全技术要求（GB/T 20271-2006）（应用类建设标准）

信息系统等级保护安全设计技术要求（GB/T 25070-2019）（应用类建设标准）信息系统安全等级保护测评要求（GB/T 28448-2019）（应用类测评标准）

信息系统安全等级保护测评过程指南（GB/T 28449-2018）（应用类测评标准）信息系统安全管理要求（GB/T 20269-2006）（应用类管理标准）

信息系统安全工程管理要求（GB/T 20282-2006）（应用类管理标准）安全风险与需求分析

伴随着大庆市住房公积金管理中心信息化的快速发展，信息安全问题日益显现。从大庆市住房公积金管理中心安全建设角度，目前还没有成规模的部署安全产品，无论是业务网还是办公网均面临着来自网络外部和内部的一系列新型复杂的安全威胁；因此，必须认清威胁，明确需求，采取措施“攮外”与“xx”并

举，才能确保信息化的顺利进行。

（一）自然灾害。计算机信息系统仅仅是一个智能的机器，易受自然灾害及环境(温度、湿度、振动、冲击、污染、电磁)的影响。

（二）软件或系统缺陷。银行的计算机系统是一个庞大而非常复杂的系统，包含硬件、软件、网络等诸多子系统和要素。由于软件或某一系统缺陷造成的计算机信息风险也屡见不鲜。

（三）黑客的威胁和攻击。计算机信息网络上的黑客攻击事件越演越烈。他们通常采用非法侵入重要信息系统，窃听、获取、攻击侵入网的有关敏感性重要信息，修改和破坏信息网络的正常使用状态，造成数据丢失或系统瘫痪，给国家造成重大政治影响和经济损失。

（四）计算机病毒。90 年代，出现了曾引起世界性恐慌的“计算机病毒”，其蔓延范围广，增长速度惊人，损失难以估计。它像灰色的幽灵将自己附在其他程序上，在这些程序运行时进入到系统中进行扩散。计算机感染上病毒后，轻则使系统工作效率下降，重则造成系统死机或毁坏，使部分文件或全部数据丢失，甚至造成计算机主板等硬件的损坏。

（五）间谍软件、流氓软件。与计算机病毒不同，间谍软件、流氓软件的主要目的不在于对系统造成破坏，而是窃取系统或是用户信息。间谍软件、流氓软件的功能繁多，它可以监视用户行为，或是发布广告，修改系统设置，威胁用户隐私和计算机安全，并可能不同程度地影响系统性能。

（六）人为的无意失误和共享软件。互联网的飞速普及，信息资源丰富，提供下载功能的网站很多。目前流行的几个点对点下载软件，如迅雷、BT、电驴等软件，在提供快速下载服务的同时，也将本机硬盘上的相关信息搜索并共享给整个网络使用，由于上述软件并没有公告会被搜索共享这一功能，这样容易因为认识上的错误而导致将本机上的一些重要或涉密信息呈现在别人面前。

（七）计算机犯罪。计算机犯罪，通常是利用窃取口令等手段非法侵入计算机信息系统，传播有害信息，恶意破坏计算机系统，实施贪污、盗窃、诈骗和犯罪等活动。网络上形形色色的冒充网上银行的“钓鱼”网站就是计算机网络犯罪的主要形式之一。

安全技术需求分析

计算环境安全风险与需求分析

计算环境的安全主要指主机以及应用层面的安全风险与需求分析，包括：身份鉴别、访问控制、系统审计、入侵防范、恶意代码防范、软件容错、数据完整性与保密性、备份与恢复、资源合理控制、剩余信息保护、抗抵赖等方面。

□身份鉴别

身份鉴别包括主机和应用两个方面。

主机操作系统登录、数据库登陆以及应用系统登录均必须进行身份验证。过于简单的标识符和口令容易被穷举攻击破解。同时非法用户可以通过网络进行窃听，从而获得管理员权限，可以对任何资源非法访问及越权操作。因此必须提高用户名/口令的复杂度，且防止被网络窃听；同时应考虑失败处理机制。访问控制

访问控制包括主机和应用两个方面。

访问控制主要为了保证用户对主机资源和应用系统资源的合法使用。非法用户可能企图假冒合法用户的身份进入系统，低权限的合法用户也可能企图执行高权限用户的操作，这些行为将给主机系统和应用系统带来了很大的安全风险。用户必须拥有合法的用户标识符，在制定好的访问控制策略下进行操作，杜绝越权非法操作。

系统审计

系统审计包括主机审计和应用审计两个方面。

对于登陆主机后的操作行为则需要进行主机审计。对于服务器和重要主机需要进行严格的行为控制，对用

户的行为、使用的命令等进行必要的记录审计，便于日后的分析、调查、取证，规范主机使用行为。而对于应用系统同样提出了应用审计的要求，即对应用系统的使用行为进行审计。重点审计应用层信息，和业务系统的运转流程息息相关。能够为安全事件提供足够的信息，与身份认证与访问控制联系紧密，为相关事件提供审计记录。

入侵防范

主机操作系统面临着各类具有针对性的入侵威胁，常见操作系统存在着各种安全漏洞，并且现在漏洞被发现与漏洞被利用之间的时间差变得越来越短，这就使得操作系统本身的安全性给整个系统带来巨大的安全风险，因此对于主机操作系统的安装，使用、维护等提出了需求，防范针对系统的入侵行为。

恶意代码防范

病毒、蠕虫等恶意代码是对计算环境造成危害最大的隐患，当前病毒威胁非常xx，特别是蠕虫病毒的爆发，会立刻向其他子网迅速蔓延，发动网络攻击和数据窃密。大量占据正常业务十分有限的带宽，造成网络性能严重下降、服务器崩溃甚至网络通信中断，信息损坏或泄漏。严重影响正常业务开展。因此必须部署恶意代码防范软件进行防御。同时保持恶意代码库的及时更新。

软件容错

软件容错的主要目的是提供足够的冗余信息和算法程序,使系统在实际运行时能够及时发现程序设计错误,采取补救措施,以提高软件可靠性,保证整个计算机系统的正常运行。

数据安全

主要指数据的完整性与保密性。数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要，是必须考虑的问题。应采取措施保证数据在传输过程中的完整性以及保密性；保护鉴别信息的保密性

备份与恢复

数据是信息资产的直接体现。所有的措施最终无不是为了业务数据的安全。因此数据的备份十分重要，是必须考虑的问题。对于关键数据应建立数据的备份机制，而对于网络的关键设备、线路均需进行冗余配置，备份与恢复是应对突发事件的必要措施。

资源合理控制

资源合理控制包括主机和应用两个方面。

主机系统以及应用系统的资源是有限的，不能无限滥用。系统资源必须能够为正常用户提供资源保障。否则会出现资源耗尽、服务质量下降甚至服务中断等后果。因此对于系统资源进行控制，制定包括：登陆条件限制、超时锁定、用户可用资源阈值设置等资源控制策略。

剩余信息保护

对于正常使用中的主机操作系统和数据库系统等，经常需要对用户的鉴别信息、文件、目录、数据库记录等进行临时或长期存储，在这些存储资源重新分配前，如果不对其原使用者的信息进行清除，将会引起用户信息泄漏的安全风险，因此，需要确保系统内的用户鉴别信息文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除

对于动态管理和使用的客体资源，应在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄漏。

抗抵赖

对于数据安全，不仅面临着机密性和完整性的问题，同样还面临着抗抵赖性（不可否认性）的问题，应采用技术手段防止用户否认其数据发送和接收行为，为数据收发双方提供证据。

区域边界安全风险与需求分析

区域边界的安全主要包括：边界访问控制、边界完整性检测、边界入侵防范以及边界安全审计等方面。

边界访问控制

对于各类边界最基本的安全需求就是访问控制，对进出安全区域边界的数据信息进行控制，阻止非授权及越权访问。

边界完整性检测

边界的完整性如被破坏则所有控制规则将失去效力，因此需要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，维护边界完整性。

边界入侵防范

各类网络攻击行为既可能来自于大家公认的互联网等外部网络，在内部也同样存在。通过安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS

等，实现对网络层以及业务系统的安全防护，保护核心信息资产的免受攻击危害。边界安全审计

在安全区域边界需要建立必要的审计机制，对进出边界的各类网络行为进行记录与审计分析，可以和主机审计、应用审计以及网络审计形成多层次的审计系统。并可通过安全管理中心集中管理。

边界恶意代码防范

现今，病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加泛滥，目前计算机病毒的传播途径与过去相比已经发生了很大的变化，更多的以网络（包括 Internet、广域网、局域网）形态进行传播，因此为了安全的防护手段也需以变应变。迫切需要网关型产品在网络层面对病毒予以查杀。

通信网络安全风险与需求分析

大庆市住房公积金管理中心通信网络的安全主要包括：网络结构安全、网络主机安全审计、网络设备防护、通信完整性与保密性等方面。

网络结构

网络结构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要具备一定的冗余性；带宽能够满足业务高峰时期数据交换需求；并合理的划分网段和VLAN。

网络安全审计

由于用户的计算机相关的知识水平参差不齐，一旦某些安全意识薄弱的管理用户误操作，将给信息系统带来致命的破坏。没有相应的审计记录将给事后追查带来困难。有必要进行基于网络行为的审计。从而威慑那些心存侥幸、有恶意企图的少部分用户，以利于规范正常的网络应用行为。

网络设备防护

由于大庆市住房公积金管理中心在建网络系统将会使用大量的网络设备和安全设备，如交换机、防火墙、入侵检测设备等。这些设备的自身安全性也会直接关系到涉密网和各种网络应用的正常运行。如果发生网络设备被不法分子攻击，将导致设备不能正常运行。更加严重情况是设备设置被篡改，不法分子轻松获得网络设备的控制权，通过网络设备作为跳板攻击服务器，将会造成无法想象的后果。例如，交换机口令泄漏、防火墙规则被篡改、入侵检测设备失灵等都将成为威胁网络系统正常运行的风险因素。

通信完整性与保密性

由于网络协议及文件格式均具有标准、开发、公开的特征，因此数据在网上存储和传输过程中，不仅仅面临信息丢失、信息重复或信息传送的自身错误，而且会遭遇信息攻击或欺诈行为，导致最终信息收发的差异性。因此，在信息传输和存储过程中，必须要确保信息内容在发送、接收及保存的一致性；并在信息遭受篡改攻击的情况下，应提供有效的察觉与发现机制，实现通信的完整性。

而数据在传输过程中，为能够抵御不良企图者采取的各种攻击，防止遭到窃取，应采用加密措施保证数据的机密性。

网络可信接入

对于一个不断发展的网络而言，为方便办公，在网络设计时保留大量的接入端口，这对于随时随地快速接入到业务网络进行办公是非常便捷的，但同时也引入了安全风险，一旦外来用户不加阻拦的接入到网络中来，就有可能破坏网络的安全边界，使得外来用户具备对网络进行破坏的条件，由此而引入诸如蠕虫扩散、文件泄密等安全问题。因此需要对非法客户端实现禁入，能监控网络，对于没有合法认证的外来机器，能够阻断其网络访问，保护好已经建立起来的安全环境。

安全管理中心风险与需求分析

安全管理中心是等保要求中的重要组成部分，在相关国内国际标准，如IATF和《信息安全保障体系框

架》中称为安全基础设施，安全管理中心的安全技术需求主要在于设备的集中管理，实现异构数据源的事件、日志的采集、智能分析、存贮，以实现安全风险的可视化展现。

总体来讲主要有以下几个方面的需求：

需要改善目前“设备管理分散、各自为战”的局面

目前数量较多的安全设备是针对某种特定威胁的——防病毒系统针对病毒爆发；防火墙可以有效防范外部攻击——但随着信息安全事件的不断复杂化，孤立的安全产品和措施很难应对彼此牵连的复杂安全问题，更不能从根本上解决这些问题。

这些设备的管理和维护根据安全管理的需要是分专人管理的，这从另外一个方面也导致这些设备的安全事件和系统日志的处理也是分开的。但是安全事件发生后会在不同的设备和系统上产生不同的安全事件和系统日志，这就导致比较难以看到安全风险的“全貌”。

设备在安装调试时遵从的是各自的安全策略配置，没有从全行统一安全策略的角度出发，系统分别管理，这样导致安全信息分散互不相通，安全策略难以保持一致，最终成为许许多多安全隐患的根源。另一方面，设备自身的安全策略配置也可能存在着不合理或者不安全的因素。

因此，需要提供设备的集中统一管理和统一的安全策略，为各项安全工作的开展提供指导，解决因缺乏口令、认证、访问控制等方面策略而带来的安全风险问题。

对信息安全风险缺少有效的管理

目前各种安全设备独立工作，所报的安全事件，以及所体现的风险级别没有跟省局业务的风险相关联，不能体现出信息安全事件以及资产的脆弱性给业务带来的风险，也就是说目前省局缺少一种将资产风险转化为业务风险的机制或者手段。

不对风险进行定期和持续的评估自然就缺少对信息安全风险的发展趋势进行预测的基础和依据。同样，不同时期信息安全风险状况就没有对比，更不利于行领导掌控信息安全的全局视图、变化趋势，将关注点放在高风险区域或者高风险业务上。

需要逐步建立信息安全事件的处置规范和安全状态的评价基准

信息安全事件的处置的结果和效果以及安全态势的认识有多种因素决定，跟工程师的技术背景、经验和所擅长的领域都有关系，这也会导致事件的处理结果会因人而异，千差万别。如果可以建立（循序渐进）起一整套的事件处置规范和处置流程，人员经过上岗培训就基本可以按照流程和规范处理问题，那么处理的效果应该差距不大，效率也会大大提升。

因此，平台作为事件管理的入口，需要实现事件的流程化管理：事件受理，事件分析，事件处理，事件报告，并逐步建立起事件的升级和上报机制。将“看不见，摸不到”的信息安全事件处置流程化、系统化和可视化，基本具备信息安全态势的评价基准。

需要逐步建立信息安全知识管理体系

目前缺少一个知识库体系，建立一个知识共享平台/知识库是很有必要的，可以对下面的一些分离的知识点进行统一和共享，比如：

各类设备的应用经验、使用技巧等知识的共享与交流；

各类信息安全的新闻、重大信息安全事件通报、重大攻击/漏洞/蠕虫/病毒预警信息的发布；

以及业界最新的安全漏洞（CNCVE/CVE/BugTraq）、安全事件、攻防方法等知识库的共享与维护。缺乏有效手段了解全局信息安全总体情况

现有的技术手段无法及时发现各单位的实时安全情况，只能依靠事后汇报或抽查的方式发现问题。无法有效掌控全局的信息安全情况，为领导的科学决策提供依据。

无法准确识别/计算现有的各类风险

现有的安全设备往往是针对技术的，并不能从信息资产价值、安全的投资回报率等方面对信息安全的风险提出有效的建议；

对过去的数据不能进行有效分析

安全设备在过去几年积累了大量的历史数据，目前尚未有合适的方法对其进行有效分析，从而预测未来的趋势，协助制定新的安全策略；

缺乏完备的安全体系，孤立的安全措施难以从根本上解决问题

过去的安全设备往往是针对某种特定威胁的：防病毒系统针对的是病毒的爆发，防火墙可以有效防范外部攻击，但随着信息安全事件的不断复杂化，孤立的安全措施很难适应综合的安全事件，也不能从根本上解决这些问题；

安全设备的投入带来了新的工作量，大量重复的工作需要人工进行

安全设备的投入增加了维护的工作量，防火墙、入侵监测系统、防病毒系统等安全设备每天产生数百到数万条事件，汇总、过滤、分析这些事件需要大量的人力，而目前这些重复的工作只能由人工进行；

发生安全事件后的响应速度无法达到业务的要求

业务连续性至关紧要，业务系统的停顿往往意味着巨大的损失，现有的安全措施很难保证在发生安全事故后能快速的响应和恢复；大量的安全事件日志会淹没真正的预警，分布的安全设备难以进行统一的指挥和协调，安全设备和组织之间也很难进行有效配合；同时也缺乏一套能够对应急响应进行有效支撑的系统。安全管理需求分析

“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术管理措施外，安全管理是保障安全技术手段发挥具体作用的最有效手段，建立健全安全管理体系不但是国家等级保护中的要求，也是作为一个安全体系来讲，不可或缺的重要组成部分。

安全管理体系依赖于国家相关标准、行业规范、国际安全标准等规范和标准来指导，形成可操作的体系。主要包括：

安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理

根据等级保护的要求在上述方面建立一系列的管理制度与操作规范，并明确执行。信息安全运维需求分析

按照等级保护要求，信息安全工作应贯穿信息系统建设的生命周期，信息安全是一个动态的和不断补充完善、持续改进的过程。

运行管理

从保证业务连续性的角度来看，运行管理是保障业务连续性中非常重要的环节。涉及到机房物理环境的安全管理、资产设备和介质的生命周期管理管理、网络安全管理、系统安全管理、恶意代码防范以及容灾管

理。运行管理需要考虑以下部分：机房环境管理

a)指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理，对机房的出入、服务器的开机或关机等工作进行管理

b)建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定；

c)加强对办公环境的保密性管理，规范办公环境人员行为，包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等。

资产、设备和介质管理

资产、设备和介质实现全生命周期的管理，从采购、开始使用到废置进行全程跟踪管理。

a)编制并保存与信息系统相关的资产、设备和介质清单，包括资产责任部门、重要程度和所处位置等内容；

b)建立资产安全管理制度，规定信息系统资产资产、设备和介质管理的责任人员或责任部门，并规范资产管理和使用的行为；

c)应根据资产、设备和介质的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施； d)对信息的使用、传输和存储等进行规范化管理。

e)对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理。网络安全管理

a)指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作；

b)建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定；

c)根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份； d)定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补；

e)实现设备的最小服务配置，并对配置文件进行定期离线备份； f)依据安全策略允许或者拒绝便携式和移动式设备的网络接入； g)定期检查违反规定拨号上网或其他违反网络安全策略的行为。系统安全管理

a)根据业务需求和系统安全分析确定系统的访问控制策略； b)定期进行漏洞扫描，对发现的系统安全漏洞及时进行修补；

c)安装系统的最新补丁程序，在安装系统补丁前，首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装；

d)建立系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定； e)指定专人对系统进行管理，划分系统管理员角色，明确各个角色的权限、责任和风险，权限设定应当遵循最小授权原则；

f)根据操作手册对系统进行维护，详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容，严禁进行未经授权的操作；

g)定期对运行日志和审计数据进行分析，以便及时发现异常行为。恶意代码防范

a)提高所有用户的防病毒意识，及时告知防病毒软件版本，在读取移动存储设备上的数据以及网络上接收文件或邮件之前，先进行病毒检查，对外来计算机或存储设备接入网络系统之前也应进行病毒检查；

b)指定专人对网络和主机进行恶意代码检测并保存检测记录；

c)对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确规定；

d)定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录，对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理，并形成书面的报表和总结汇报。

备份与恢复

a)识别需要定期备份的重要业务信息、系统数据及软件系统等；

b)建立备份与恢复管理相关的安全管理制度，对备份信息的备份方式、备份频度、存储介质和保存期等进行规范；

c)根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略，备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法；

d)建立控制数据备份和恢复过程的程序，对备份过程进行记录，所有文件和记录应妥善保存；

e)定期执行恢复程序，检查和测试备份介质的有效性，确保可以在恢复程序规定的时间内完成备份的恢复。

安全监控

安全基础设中的各种安全设备部署和安全管理平台建设完成后，需要通过安全监控工作始终保持对安全状态的关注，及时处理安全问题，把安全隐患扼杀在萌芽之中。

安全事件监控

a)对分散或集中的安全管理系统的访问授权、操作记录、日志等方面进行有效管理 b)对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理

安全事件处置

a)应严格管理运行过程文档，其中包括责任书、授权书、许可证、各类策略文档、事故报告处理文档、安全配置文档、系统各类日志等，并确保文档的完整性和一致性。

b)应组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，并采取必要的应对措施；

安全状态监控

a)对主机、网络设备和应用软件的运行状况（主机的CPU、硬盘、内存和网络等资源的使用情况）、网络流量、用户行为等进行监测和报警，形成记录并妥善保存；

b)通过对安全状态信息进行分析，及时发现安全事件或安全变更需求，并对其影响程度和范围进行分析，形成安全状态结果分析报告。

c)对影响系统、业务安全性的关键要素进行分析，确定安全状态监控的对象，这些对象可能包括防火墙、入侵检测、防病毒、核心路由器、核心交换机、主要通信线路、关键服务器或客户端等系统范围内的对象；也可能包括安全标准和法律法规等外部对象。

风险监控管理

a)展现基于资产的风险计算结果和资产风险排名（Top10） b)实时监控信息安全事件

c)基于安全域的方式展现风险计算结果和域风险排名（Top10） d)展现基于资产或设备的安全漏洞信息

应急响应

制定应急响应流程和应急预案并定期演练，也可以借助第三方厂商帮助应急。安全事件处置管理

a)制定安全事件报告和处置管理制度，明确安全事件的类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责；

b)按照国家事件分类规范对本系统计算机安全事件进行等级划分，一般是5个等级；

c)制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及处理方法等；

d)在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训，制定防止再次发生的补救措施，过程形成的所有文件和记录均应妥善保存；

e)对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。应急预案管理

a)在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容；

b)从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障； c)对系统相关的人员进行应急预案培训，应急预案的培训应至少每年举办一次； d)定期对应急预案进行演练，根据不同的应急恢复内容，确定演练的周期；

e)规定应急预案需要定期审查和根据实际情况更新的内容，并按照执行。设备管理

按客户需求对现场安全设备进行管理，包括现场和远程两种方式。风险评估

将风险评估工作制度化、日常化，按照PDCA的循环定期、不定期的进行时风险管理成果得以持续提升和改进的重要步骤。

a)需要对信息系统的安全状态进行风险评估，为信息系统的持续改进过程提供依据和建议。

b)成立风险评估工作组，制定风险评估工作计划和风险评估方案，说明风险评估的范围、对象、工作方法等，准备风险评估需要的各类表单和工具。

c)根据风险评估计划，通过询问、检查和测试等多种手段，进行安全状况检查，记录各种检查活动的结果数据，分析安全措施的有效性、安全事件产生的可能性和信息系统的实际改进需求等。

d)根据风险评估的结果，提出改进的的建议，并产生风险评估报告。将风险评估过程的各类文档、资料归档保存。适当调整信息系统的安全状态，保证信息系统安全防护的有效性。

按照安全改进方案实现各项补充安全措施，并确保原有的技术措施和管理措施与各项补充的安全措施一致有效地工作。

技术体系方案设计方案设计目标

根据《信息系统等级保护安全设计技术要求》等相关等级保护技术标准的邀请。满足等级保护三级系统安全保护环境的设计目标是：落实等级保护三级系统安全保护要求，在三级安全保护环境的基础上，通过实现基于安全策略模型和标记的强制访问控制以及增强系统的审计机制，使得系统具有在统一安全策略管控下，保护敏感资源的能力。

通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设；为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得网络系统的等级保护建设方案最终既可以满足等级保护的相关要求，又能够全方面为的业务系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。

方案设计框架

根据《信息系统信息安全等级保护实施指引》，分为技术和管理两大类要求，本方案将严格根据技术与管

理要求进行设计。首先应根据本级具体的基本要求设计本级系统的保护环境模型，根据《信息系统等级保护安全设计技术要求》，保护环境按照安全计算环境、安全区域边界、安全通信网络和安全管理中心进行设计，内容涵盖基本要求的5个方面。同时结合管理要求，根据《信息系统安全管理要求》，从信息系统安全管理文档体系建设要求；领导层、管理层以及执行机构要求；风险管理要求；环境和资源管理要求；运行和维护管理要求；备份与恢复、应急处理、安全事件处理要求；监督和检查管理要求；系统生存周期管理要求等八个层面对信息安全管理要求进行设计。

安全技术体系设计计算环境安全设计身份鉴别

身份鉴别可分为主机身份鉴别和应用身份鉴别两个方面：

1）主机身份鉴别：

为提高主机系统安全性，保障各种应用的正常运行，对主机系统需要进行一系列的加固措施，包括：对登录操作系统和数据库系统的用户进行身份标识和鉴别，且保证用户名的唯一性。

根据基本要求配置用户名/口令；口令必须具备采用3种以上字符、长度不少于8位并定期更换；启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。

远程管理时应启用SSH等管理方式，加密管理数据，防止被网络窃听。

对主机管理员登录进行双因素认证方式，采用USB key+密码进行身份鉴别 2）应用身份鉴别：

为提高应用系统系统安全性应用系统需要进行一系列的加固措施，包括：对登录用户进行身份标识和鉴别，且保证用户名的唯一性。

根据基本要求配置用户名/口令，必须具备一定的复杂度；口令必须具备采用3种以上字符、长度不少于8位并定期更换；

启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。

应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能开发，且使用效果要达到以上要求。

对于三级系统，要求对用户进行两种或两种以上组合的鉴别技术，因此可采用双因素认证（USB key+密码）或者构建PKI体系，采用CA证书的方式进行身份鉴别。

自主与强制访问控制

等级保护三级系统一个重要要求是实现自主访问控制和强制访问控制。自主访问控制实现：在安全策略控制范围内，使用户对自己创建的客体具有各种访问操作权限，并能将这些权限的部分或全部授予其他用户；自主访问控制主体的粒度应为用户级，客体的粒度应为文件或数据库表级；自主访问操作应包括对客

体的创建、读、写、修改和删除等。强制访问控制实现：在对安全管理员进行严格的身份鉴别和权限控制基础上，由安全管理员通过特定操作界面对主、客体进行安全标记；应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制；强制访问控制主体的粒度应为用户级，客体的粒度应为文件或数据库表级。

由此主要控制的是对应用系统的文件、数据库等资源的访问，避免越权非法使用。采用的措施主要包括：启用访问控制功能：制定严格的访问控制安全策略，根据策略控制用户对应用系统的访问，特别是文件操作、数据库访问等，控制粒度主体为用户级、客体为文件或数据库表级。

权限控制：对于制定的访问控制规则要能清楚的覆盖资源访问相关的主体、客体及它们之间的操作。对于不同的用户授权原则是进行能够完成工作的最小化授权，避免授权范围过大，并在它们之间形成相互制约的关系。

账号管理：严格限制默认账户的访问权限，重命名默认账户，修改默认口令；及时删除多余的、过期的账户，避免共享账户的存在。

访问控制的实现主要采取两种方式：采用安全操作系统，或对操作系统进行安全增强改造，且使用效果要达到以上要求。

系统安全审计

系统审计包含主机审计和应用审计两个层面：主机审计：

启用主机审计功能，或部署主机审计系统，实现对主机监控、审计和系统管理等功能。审计范围应覆盖到服务器上的每个操作系统用户和数据库用户；

审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；

审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；应用审计：

应用层安全审计是对业务应用系统行为的审计，需要与应用系统紧密结合，此审计功能应与应用系统统一开发。

应用系统审计功能记录系统重要安全事件的日期、时间、发起者信息、类型、描述和结果等，并保护好审计结果，阻止非法删除、修改或覆盖审计记录。同时能够对记录数据进行统计、查询、分析及生成审计报表。

部署数据库审计系统对用户行为、用户事件及系统状态加以审计，从而把握数据库系统的整体安全。入侵防范

入侵防范主要体现在主机及网络两个层面。针对主机的入侵防范，可以从多个角度进行处理：入侵检测系统可以起到防范针对主机的入侵行为；

部署漏洞扫描进行系统安全性检测；

部署终端安全管理系统，开启补丁分发功能模块及时进行系统补丁升级；

操作系统的安装遵循最小安装的原则，仅安装需要的组件和应用程序，关闭多余服务等；另外根据系统类型进行其它安全配置的加固处理。

针对网络入侵防范，可通过部署网络入侵检测系统来实现。将网络入侵检测系统位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录，或执行用户自定义的安全策略等。

入侵检测系统可以部署在核心处以及主要服务器区，这里我们建议在这些区域的交换机上部署入侵检测系统，监视并记录网络中的所有访问行为和操作，有效防止非法操作和恶意攻击。同时，入侵检测系统还可以形象地重现操作的过程，可帮助安全管理员发现网络安全的隐患。

需要说明的是，入侵检测系统是对防火墙的非常有必要的附加而不仅仅是简单的补充。作为网络安全体系的第二道防线，在防火墙系统阻断攻击失败时，可以最大限度地减少相应的损失。因此，入侵检测系统应具备更多的检测能力，能够和其他安全产品（边界防火墙、内网安全管理软件等）进行联动。

加密与校验

加密设计目标主要是保护数据的机密性及完整性——即要实现涉密数据在服务器内是以密文形式存储

可以对服务器和终端进行加密。服务器密码机是用于解决服务器端数据加密的硬件密码设备，该设备作为底层密码设备工作在应用层，提供API接口供应用调用。重要终端的终端加密密码模块具备密码运算及密

钥存储等多项功能，配备密码模块的终端可以无需再配置USB KEY，而将证书存在密码模块中。主机恶意代码防范

各类恶意代码尤其是病毒、木马等是对大庆市住房公积金管理中心重大危害，病毒在爆发时将使路由器、

3层交换机、防火墙等网关设备性能急速下降，并且占用整个网络带宽。

针对病毒的风险，我们建议重点是将病毒消灭或封堵在终端这个源头上。比如，在所有终端主机和服务器上部署网络防病毒系统，加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。在大庆市住房公积金管理中心安全管理安全域中，可以部署防病毒服务器，负责制定和终端主机防病毒策略，在大庆市住房公积金管理中心内网建立全网统一的一级升级服务器，在下级节点建立二级升级服务器，由管理中心升级服务器通过互联网或手工方式获得最新的病毒特征库，分发到数据中心节点的各个终端，并下发到各二级服务器。在网络边界通过防火墙进行基于通信端口、带宽、连接数量的过滤控制，可以在一定程度上避免蠕虫病毒爆发时的大流量冲击。同时，防毒系统可以为安全管理平台提供关于病毒威胁和事件的监控、审计日志，为全网的病毒防护管理提供必要的信息。

客体安全重用

客体安全重用指对存贮媒体(如页框、盘扇面、磁带)重新分配和重用。为了安全地重分配、重用，媒体不得包含重分配前的残留数据。

根据等保相关要求，客体安全重用应保证操作系统和数据库管理系统用户的鉴别信息以及系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。

区域边界安全设计合理的网络架构

大庆市住房公积金管理中心信息系统状况相对复杂，因此需要根据大庆市住房公积金管理中心的主体结构和网络中不同的应用系统及网络访问方式，结合资产安全属性、安全要求、威胁程度，将网络从逻辑上划分为多个安全域，每个安全域都承担不同的工作，完成不同的任务。同时实现三级系统区域与其他系统区域之间物理隔离的安全网络架构。

安全域划分是将网络系统划分为不同安全区域，分别进行安全防护的过程。分域保护框架是从安全角度出发，通过对各保护对象进行组合来对信息系统进行结构化处理的方法。

边界访问控制

通过对大庆市住房公积金管理中心的边界风险与需求分析，在网络层进行访问控制需部署防火墙产品，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。同时可以和内网安全管理系统、网络入侵检测系统等进行安全联动，为网络创造全面纵深的安全防御体系。

在各安全域边界部署防火墙产品，部署效果如下：

1.网络安全的基础屏障：

防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

2.强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

3.对网络存取和访问进行监控审计

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

4.防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。

5.精确流量管理

通过部署防火墙设备，不仅可以实现精准访问控制与边界隔离防护，还能实现阻止由于病毒或者P2P软件引起的异常流量、进行精确的流量控制等。对各级节点安全域实现全面的边界防护，严格控制节点之间的网络数据流。

边界完整性检查

边界完整性检查核心是要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，维护网络边界完整性。通过部署终端安全管理系统可以实现这一目标。

终端安全管理系统其中一个重要功能模块就是非法外联控制，探测内部网中非法上互联网的计算机。非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理，可以防止用户访问非信任网络资源，并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。区域边界安全审计

满足网络边界安全审计要求是大庆市住房公积金管理中心区域边界安全审计的重要工作内容。记录网络中发生的违规行为，完整地记录各种信息的起始地址和使用者，以利于事后追踪，为调查取证提供第一手的资料。

网络安全审计通常要求专门细致的协议分析技术，完整的跟踪能力和数据查询过程回放功能，是通过干路接入或旁路侦听的方式对网络数据流进行采集、分析和识别，实时监视网络系统的运行状态，记录网络事件，发现安全隐患，并对网络活动的相关信息进行存储、分析和审计回放。

安全的通信网络

通信网络数据传输保护

通信网络是不同应用系统之间进行信息交互的通道，安全的通信网络能够保证应用系统之间交互信息的可用性、机密性和完整性。安全计算环境、安全区域边界以及安全通信网络共同为应用系统构建了一个严密的立体防护网，既能够防止应用环境之内的用户对系统安全进行破坏，又能够防止外部用户对系统安全的破坏，最终有效的保护高等级应用系统的安全。

可信的通信网络接入

网络准入控制（NAC）是实现通信网络可信接入保护的重要手段之一（可以结合终端安全管理一起实现安全、可信的介入网络）。NAC使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查，从而限制病毒、蠕虫和间谍软件等新兴安全威胁损害网络安全性。实施NAC的客户能够仅允许遵守安全策略的可信终端设备(PC、服务器及PDA等)访问网络，并控制不符合策略或不可管理的设备访问网络。

安全管理中心设计

由于大庆市住房公积金管理中心覆盖面广，用户众多，技术人员水平不一。为了能准确了解系统的运行状

态、设备的运行情况，统一部署安全策略，应进行安全管理中心的设计，根据要求，应在系统管理、审计管理和安全管理几个大方面进行建设。

在安全管理安全域中建立安全管理中心，是有效帮助管理人员实施好安全措施的重要保障，是实现业务稳定运行、长治久安的基础。通过安全管理中心的建设，真正实现安全技术层面和管理层面的结合，全面提升用户网络的信息安全保障能力。

系统管理

通过系统管理员对系统的资源和运行进行配置、控制和管理，包括：

用户身份管理：统一管理系统用户身份，按照业务上分工的不同，合理地把相关人员划分为不同的类别或者组，以及不同的角色对模块的访问权限。权限设置可按角色划分，角色分为普通用户、系统管理员、安全管理员、审计管理员等。

系统资源配置与监控：进行系统资源配置管理与监控，包括CPU负载、磁盘使用情况、服务器内存、数据库的空间、数据库日志空间、SWAP使用情况等，通过配置采样时间，定时检测。

系统加载和启动：进行系统启动初始化管理，保障系统的正常加载和启动。

数据备份与恢复：数据的定期备份与恢复管理，识别需要定期备份的重要业务信息、系统数据及软件系统，规定备份信息的备份方式、备份频度、存储介质、保存期等；根据数据的重要性及其对系统运行的影响，制定数据的备份策略和恢复策略，定期执行备份与恢复策略。

恶意代码防范管理：建立恶意代码管理中心，进行防恶意代码软件的统一管理，并根据情况建立二级管理中心。恶意代码管理中心实现：杀毒策略统一集中配置；自动并强制进行恶意代码库升级；定制统一客户端策略并强制执行；进行集中病毒报警等。

系统补丁管理：集中进行补丁管理，定期统一进行系统补丁安装。注意应首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装。

系统管理员身份认证与审计：对系统管理员进行严格的身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。

安全管理

应通过安全管理员对系统中的主体、客体进行统一标记，进行系统安全监测，并为安全计算环境、安全区域边界、安全通信网络配置统一的安全策略；应对安全管理员进行严格的身份鉴别，并只允许其通过特定的命令或操作界面进行安全管理操作，并进行审计。

审计管理

应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括：根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等；对审计记录进行分析，并根据分析结果进行处理；对安全审计员进行严格的身份鉴别，并只允许其通过特定的命令或操作界面进行安全审计操作。

备份与恢复

备份与恢复主要包含两方面内容，首先是指数据备份与恢复，另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。

数据是最重要的系统资源。数据丢失将会使系统无法连续正常工作。数据错误则将意味着不准确的事务处理。可靠的系统要求能立即访问准确信息。将综合存储战略作为计算机信息系统基础设施的一部分实施不再是一种选择，而已成为必然的趋势。

数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。备份系统先进的特性可提供增强的性能，易于管理，广泛的设备兼容性和较高的可靠性，以保证数据完整性。广泛的选件和

代理能将数据保护扩展到整个系统,并提供增强的功能，其中包括联机备份应用系统和数据文件，先进的设备和介质管理，快速、顺利的灾难恢复以及对光纤通道存储区域网（SAN）的支持等。

本地完全数据备份至少每天一次，且备份介质需要场外存放。

提供能异地数据备份功能，利用通信网络将关键数据定时批量传送至异地备用场地。

对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计，保障从网络结构、硬件配置上满足不间断系统运行的需要。

安全管理体系设计

“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术管理措施外，安全管理是保障安全技术手段发挥具体作用的最有效手段，建立健全安全管理体系不但是国家等级保护中的要求，也是作为一个安全体系来讲，不可或缺的重要组成部分。

管理体系文件结构

信息安全管理制度有一系列不同层面的制度文件组成，可以分为以下管理体系文件结构：

其中，第一阶文件为安全管理体系文件中最上层的文件—整体安全策略，它反映了最高层领导的意志，明确信息安全工作的总体方针、政策性文件和安全策略文件，明确机构安全工作的总体目标、范围、方针、原则、责任等，明确信息系统的安全策略。

第二阶文件为本单位制定的信息安全管理制度，上级单位或国家相关部门下发的信息安全要求，以及重要安全管理活动流程的制度化文件。它是整体安全策略的具体化表现，通过一系列的安全管理制度文件确保信息系统安全总体方针、目标的实现，确保信息安全管理体系与信息系统安全运行维护相适宜,确保信息安全管理体系的建立、保持和运行，并持续不断的改进。

第三阶文件为指导信息系统运行维护过程中的具体安全操作，如各类安全技术指南，各类安全检查表要求等。本类文件是第二阶文件的具体落地，它有效将各类管理制度文件中的要求与运维过程中的具体技术相结合，有效实现安全运维。

第四阶文件是执行安全管理制度、要求、指南等的记录性文件。形成一系列信息系统运维过程的记录表单。

管理体系文件类别

管理体系文件类别可以根据国家安全法规等级保护的要求，将信息安全管理制度分为安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理五个方面。

五个方面包含的主要内容如下：安全管理制度

为建立大庆市住房公积金管理中心完善的安全管理制度，需要包含以下内容：

□制定信息安全工作的总体方针、政策性文件和安全策略等，说明机构安全工作的总体目标、范围、方针、原则、责任等；

□对安全管理活动中的各类管理内容建立安全管理制度，以规范安全管理活动，约束人员的行为方式；

□对要求管理人员或操作人员执行的日常管理操作，建立操作规程，以规范操作行为，防止操作失误；

□形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系；

□由安全管理职能部门定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。在信息安全领导小组的负责下，组织相关人员制定；

保证安全管理制度具有统一的格式风格，并进行版本控制；组织相关人员对制定的安全管理进行论证和审定；

安全管理制度应经过管理层签发后按照一定的程序以文件形式发布；安全管理制度应注明发布范围，并对收发文进行登记；

安全管理制度应注明密级，进行密级管理；

定期对安全管理制度进行评审和修订，对存在不足或需要改进的安全管理制度进行修订；

当发生重大安全事故、出现新的安全漏洞以及技术基础结构发生变更时，应对安全管理制度进行检查、审定和修订；

每个制度文档应有相应负责人或负责部门，负责对明确需要修订的制度文档的维护；评审和修订的操作范围应考虑安全管理制度的相应密级。

安全管理机构设置

为建立大庆市住房公积金管理中心完善的安全管理机构设置，需要包含以下内容：

设立信息安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人，定义各负责人的职责；

设立系统管理人员、网络管理人员、安全管理人员岗位，定义各个工作岗位的职责；

成立指导和管理信息安全工作的委员会或领导小组，其最高领导应由单位主管领导委任或授权；制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。

配备一定数量的系统管理人员、网络管理人员和安全管理人员等；配备专职安全管理人员，不可兼任；

关键区域或部位的安全管理人员应按照机要人员条件配备；关键岗位应定期轮岗；

关键事务应配备多人共同管理；

授权审批部门及批准人，对关键活动进行审批；列表说明须审批的事项、审批部门和可批准人；

建立各审批事项的审批程序，按照审批程序执行审批过程；建立关键活动的双重审批制度；

不再适用的权限应及时取消授权；

定期审查、更新需授权和审批的项目；记录授权过程并保存授权文档；

加强各类管理人员和组织内部机构之间的合作与沟通，定期或不定期召开协调会议，共同协助处理信息安全问题；

信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议，协调安全工作的实施；信息安全领导小组或者安全管理委员会定期召开例会，对信息安全工作进行指导、决策；

加强与兄弟单位、公安机关、电信公司的合作与沟通，以便在发生安全事件时能够得到及时的支持；

加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通，获取信息安全的最新发展动态，当发生紧急事件的时候能够及时得到支持和帮助；

文件说明外联单位、合作内容和联系方式；

聘请信息安全专家，作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等；

由安全管理人员定期进行安全检查，检查内容包括用户账号情况、系统漏洞情况、系统审计情况等；

由安全管理部门组织相关人员定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；

由安全管理部门组织相关人员定期分析、评审异常行为的审计记录，发现可疑行为,形成审计分析报告，并采取必要的应对措施；

制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报；制定安全审核和安全检查制度规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活

动。

人员安全管理

保证被录用人具备基本的专业技术水平和安全管理知识；

对被录用人声明的身份、背景、专业资格和资质等进行审查；对被录用人所具备的技术技能进行考核；

对被录用人说明其角色和职责；签署保密协议；

对从事关键岗位的人员应从内部人员选拔，并定期进行信用审查；对从事关键岗位的人员应签署岗位安全协议；

立即终止由于各种原因即将离岗的员工的所有访问权限；

取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；

经机构人事部门办理严格的调离手续，并承诺调离后的保密义务后方可离开；关键岗位的人员调离应按照机要人员的有关管理办法进行；

对所有人员实施全面、严格的安全审查；

定期对各个岗位的人员进行安全技能及安全认知的考核；对考核结果进行记录并保存；

对违背安全策略和规定的人员进行惩戒；对各类人员进行安全意识教育；

告知人员相关的安全责任和惩戒措施；

制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训；针对不同岗位制定不同培训计划；

对安全教育和培训的情况和结果进行记录并归档保存。系统建设管理

a）系统定级

应明确信息系统划分的方法；

应确定信息系统的安全保护等级；

□应以书面的形式定义确定了安全保护等级的信息系统的属性，包括使命、业务、网络、硬件、软件、数据、边界、人员等；

应确保信息系统的定级结果经过相关部门的批准。

b）安全方案设计

根据系统的安全级别选择基本安全措施，依据风险评估的结果补充和调整安全措施；

以书面的形式描述对系统的安全保护要求和策略、安全措施等内容，形成系统的安全方案；对安全方案进行细化，形成能指导安全系统建设和安全产品采购的详细设计方案；

组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定；确保安全设计方案必须经过批准，才能正式实施。

c）产品采购

确保安全产品的使用符合国家的有关规定；

确保密码产品的使用符合国家密码主管部门的要求；指定或授权专门的部门负责产品的采购；

d）自行软件开发

开发环境与实际运行环境物理分开；

系统开发文档由专人负责保管，系统开发文档的使用受到控制；提供软件设计的相关文档和使用指南；

e）外包软件开发

与软件开发单位签订协议，明确知识产权的归属和安全方面的要求；根据协议的要求检测软件质量；

在软件安装之前检测软件包中可能存在的恶意代码；要求开发单位提供软件设计的相关文档和使用指南； f）工程实施

与工程实施单位签订与安全相关的协议，约束工程实施单位的行为；指定或授权专门的人员或部门负责工程实施过程的管理；

制定详细的工程实施方案控制实施过程；

g）测试验收

对系统进行安全性测试验收；

在测试验收前根据设计方案或合同要求等制订测试验收方案，测试验收过程中详细记录测试验收结果，形成测试验收报告；

组织相关部门和相关人员对系统测试验收报告进行审定，没有疑问后由双方签字。

h）系统交付

明确系统的交接手续，并按照交接手续完成交接工作；由系统建设方完成对委托建设方的运维技术人员的培训；

由系统建设方提交系统建设过程中的文档和指导用户进行系统运行维护的文档；由系统建设方进行服务承诺，并提交服务承诺书，确保对系统运行维护的支持；系统运维管理

a）环境管理

对机房供配电、空调、温湿度控制等设施指定专人或专门的部门定期进行维护管理；配备机房安全管理人员，对机房的出入、服务器的开机或关机等工作进行管理；

建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定；

应对机房来访人员实行登记、备案管理，同时限制来访人员的活动范围；

加强对办公环境的保密性管理，包括如工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等；

b）资产管理

建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门；

编制并保存与信息系统相关的资产、资产所属关系、安全级别和所处位置等信息的资产清单；根据资产的重要程度对资产进行定性赋值和标识管理，根据资产的价值选择相应的管理措施。 c）介质管理

确保介质存放在安全的环境中，并对各类介质进行控制和保护，以防止被盗、被毁、被未授权的修改以及信息的非法泄漏；

介质的存储、归档、登记和查询记录，并根据备份及存档介质的目录清单定期盘点；

对于需要送出维修或销毁的介质，应首先清除介质中的敏感数据，防止信息的非法泄漏；根据所承载数据和软件的重要程度对介质进行分类和标识管理，并实行存储环境专人管理。

d）设备管理

对信息系统相关的各种设备、线路等指定专人或专门的部门定期进行维护管理；

对信息系统的各种软硬件设备的选型、采购、发放或领用等过程建立基于申报、审批和专人负责的管理规定；

对终端计算机、工作站、便携机、系统和网络等设备的操作和使用建进行规范化管理；对带离机房或办公地点的信息处理设备进行控制；

按操作规程实现服务器的启动/停止、加电/断电等操作，加强对服务器操作的日志文件管理和监控管理，并对其定期进行检查；

e）监控管理

进行主机运行监视，包括监视主机的CPU、硬盘、内存、网络等资源的使用情况；

f）网络安全管理

指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作；根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份；

进行网络系统漏洞扫描，对发现的网络系统安全漏洞进行及时的修补；保证所有与外部系统的连接均应得到授权和批准；

建立网络安全管理制度，对网络安全配置、网络用户以及日志等方面作出规定；

对网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志以及配置文件的生成、备份、变更审批、符合性检查等方面做出具体要求；

规定网络审计日志的保存时间以便为可能的安全事件调查提供支持；

g）系统安全管理

指定专人对系统进行管理，删除或者禁用不使用的系统缺省账户；

制定系统安全管理制度，对系统安全配置、系统账户以及审计日志等方面作出规定；对能够使用系统工具的人员及数量进行限制和控制；

定期安装系统的最新补丁程序，并根据厂家提供的可能危害计算机的漏洞进行及时修补，并在安装系统补丁前对现有的重要文件进行备份；

根据业务需求和系统安全分析确定系统的访问控制策略，系统访问控制策略用于控制分配信息系统、文件及服务的访问权限；

对系统账户进行分类管理，权限设定应当遵循最小授权要求；

对系统的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志以及配置文件的生成、备份、变更审批、符合性检查等方面做出具体要求；

规定系统审计日志的保存时间以便为可能的安全事件调查提供支持；进行系统漏洞扫描，对发现的系统安全漏洞进行及时的修补；

h）恶意代码防范管理

提高所用用户的防病毒意识，告知及时升级防病毒软件；

在读取移动存储设备（如软盘、移动硬盘、光盘）上的数据以及网络上接收文件或邮件之前，先进行病毒检查，对外来计算机或存储设备接入网络系统之前也要进行病毒检查；

指定专人对网络和主机的进行恶意代码检测并保存检测记录；

对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确管理规定；

i）密码管理

密码算法和密钥的使用应符合国家密码管理规定。

j）变更管理

确认系统中要发生的变更，并制定变更方案；

建立变更管理制度，重要系统变更前，管理人员应向主管领导申请，变更和变更方案经过评审、审批后方可实施变更；

系统变更情况应向所有相关人员通告；

k）备份与恢复管理

识别需要定期备份的重要业务信息、系统数据及软件系统等；

规定备份信息的备份方式（如增量备份或全备份等）、备份频度（如每日或每周等）、存储介质、保存期等；

根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略，备份策略应指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法；

指定相应的负责人定期维护和检查备份及冗余设备的状况，确保需要接入系统时能够正常运行；根据备份方式，规定相应设备的安装、配置和启动的流程；

l）安全事件处置

所有用户均有责任报告自己发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点；制定安全事件报告和处置管理制度，规定安全事件的现场处理、事件报告和后期恢复的管理职责；

分析信息系统的类型、网络连接特点和信息系统用户特点，了解本系统和同类系统已发生的安全事件，识别本系统需要防止发生的安全事件，事件可能来自攻击、错误、故障、事故或灾难；

根据国家相关管理部门对计算机安全事件等级划分方法，根据安全事件在本系统产生的影响，将本系统计算机安全事件进行等级划分；

记录并保存所有报告的安全弱点和可疑事件，分析事件原因，监督事态发展，采取措施避免安全事件发生；

m）应急预案管理

在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容；

对系统相关的人员进行培训使之了解如何及何时使用应急预案中的控制手段及恢复策略，对应急预案的培训至少每年举办一次；

产品解决方案

按照上述需求分析和设计策略，落实三级计算环境安全、区域边界安全、通信网络安全以及安全管理中心的设计要求，选择符合相应要求的安全产品，进行三级系统安全保护环境的产品解决方案。

防火墙产品解决方案设计需求

随着大庆市住房公积金管理中心业务数据的逐年递增，目前的网关设备已无法满足现阶段的业务需求；网关设备目前的访问控制策略不严谨，没有起到边界防护的作用，无法对通讯信息进行合理的控制，一旦网络中发生冲击波、震荡波及ARP攻击等会通过网络设备传播到另一片网络，对本单位和相关联单位带来安全隐患。通过部署高性能防火墙，并配置和里的访问控制策略可以有效的解决此类问题。

解决方案

可扩展多核硬件及免重组深度包检测

扫描并清除任意大小文件中的威胁，对并发连接没有限制而且网速不减。网络管理员可使用主级或次级调制解调器或3G 无线接口来配置防火墙，确保防火墙产品的高度扩展能力可以满足未来的需求。

高可用性

防火墙产品应具有的全状态高可用性及负载均衡功能可充分利用网络带宽，保证最大的网络正常运行时间，让您随时能访问关键业务资源，并且确保VPN 隧道及其它网络流量在故障切换时不会中断。

高性能及更低的总拥有成本（TCO）

通过同时使用多核处理能力而实现，极大地增加了吞吐量和并行检测能力，同时降低了功耗。先进的路由服务及网络功能

结合了先进的网络安全技术，包括802.1q VLAN、WAN/WAN容错功能、基于域和对象的管理、负载均衡、先进的NAT 模式及更多技术，为您提供灵活的细粒度配置及全面的安全防护能力。

标准VoIP

功能为VoIP 基础架构的每一个单元，从通信设备到适用于VoIP 的设备，如SIP Proxies 、H.323 Gatekeepers 以及CallServer，提供最高级别的安全保护。

联网服务质量（QoS）

特性利用行业标准的802.1p 及差异化服务编码点（DSCP）服务类别（CoS）指示符提供强大灵活的带宽管理，这对VoIP、多媒体内容及关键业务应用起到至关重要的作用。

入侵防御产品解决方案设计需求

随着互联网业务的开通，移动存储介质的使用，对于传统的网络带来的安全隐患也随之加剧，如：DoS

（Denial of Service 拒绝服务)，DDoS (Distributed DoS 分布式拒绝服务)，暴力猜解(Brut- Force-Attack)，端口扫描(Portscan)，嗅探，病毒，蠕虫，垃圾邮件等等。一旦内网遭受攻击，将会对大庆市住房公积金管理中心带来难以估量的损失。

解决方案

a）网络入侵防御系统

入侵防御系统能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测，入侵防御系统在发生损失之前阻断恶意流量。利用TippingPoint提供的数字疫苗服务，入侵防御系统能得到及时的特征、漏洞过滤器、协议异常过滤器和统计异常过滤器更新从而主动地防御最新的攻击。

通过全面的数据包侦测，入侵防御系统提供吉比特速率上的应用、网络架构和性能保护功能。应用保护能力针对来自内部和外部的攻击提供快速、精准、可靠的防护。由于具有网络架构保护能力，入侵防御系统保护路由器、交换机、DNS和其他网络基础免遭恶意攻击和防止流量异动。入侵防御系统的性能保护能力帮助客户来遏制非关键业务抢夺宝贵的带宽和IT资源，从而确保网路资源的合理配置并保证关键业务的性能。

b）网络入侵检测系统

入侵检测系统应以旁路方式接入到网络，不会更改网络的拓扑和既有配置。此外，旁路部署的入侵检测系统可以分析那些只是在网络内部进行的通讯数据。

入侵检测系统可以发现各种恶意和可疑行为，并提供相应的处理建议。可发现的恶意和可疑行为包括：缓冲区溢出攻击网络数据库攻击网络设备攻击

安全扫描木马后门间谍软件

DOS与DDOS 蠕虫病毒 CGI访问/攻击网络娱乐安全漏洞穷举探测

脆弱口令暴力猜解 ......

入侵检测系统应提供可独立部署的报表分析组件，内置近百种报表模板，还可根据用户需求，自行组合报表类型。

运维管理审计产品解决方案设计需求

目前，大庆市住房公积金管理中心在系统运维层面存在着一定的安全隐患。

1、共享帐号及粗粒度权限带来的安全隐患

目前在我公司系统管理过程中，多人共用一个系统帐号的情况普遍存在。多人共用一个系统帐号带来管理方便性的同时，也为操作者带来无法预知的危险。同时管理员权限过高，可以对日志进行肆意修改，一旦发生安全事件，无法准确定位恶意操作或误操作的具体负责人。

2、设备密码安全策略难以有效执行

为保证密码的安全性，我公司制定比较严格的密码管理制度：定期修改密码，密码要有足够强度等。但在实际情况中，由于需管理的机器和帐号数量太多，定期修改复杂密码难度较大，因此管理员往往难以做到定期修改，且均会使用有一定规律的密码。

3、缺乏对运维过程监督审计能力

随着安全需求提升，加密SSH、HTTPS、图形化操作已逐步代替传统类似telnet的明文访问协议，传统安全审计产品只能处理明文访问协议，对于加密和图形的访问协议无法进行内容识别，因而监督、审计功能也无法实现。

解决方案

运维管理审计系统是基于4A安全思想模型，也是符合4A标准，因此其主要功能包括以下几点：

a）身份认证与鉴别

运维管理审计系统支持多种身份认证方式，包括静态密码、Windows AD 域、Radius认证、数字证书等，此外还可以通过认证接口扩展与第三方认证系统的集成。

为解决服务器账号共用情况而带来的责任人难以确定的问题，运维管理审计系统通过“运维审计账

号”与“服务器账号”关联的方式，为每次访问过程建立账号关联信息，从而实现将用户身份的通过运维账号落实到唯一的操作“自然人”。

为保障企业密码策略的顺利执行，运维管理审计系统提供主机密码定期自动修改功能；通过该功能管理员只需设定修改密码的策略即可，系统可根据策略自动定期修改目标服务器的密码，远程服务器不需要安装任何第三方软件。修改后的密码强度可以由管理员指定。在每次自动改密后，改密结果文件可下载至本地，也可自动发送到管理员指定的邮箱中。

b）自主与强制访问控制

运维审计系统可实现基于运维用户、目标主机、目标账号等多种访问方式的组合授权。

运维审计系统也能够提供指令级细粒度的访问控制，最大限度保护用户资源的安全。管理员可以设定每个用户能够使用的黑、白指令集，一旦运维人员执行黑名单指令，运维系统会自动阻断其操作，从而最大限度保护目标设备的安全，确保运维用户访问过程的合规性。

运维管理审计系统支持基于B/S单点登陆系统，采用访问授权结合方式，使用户登陆运维管理审计系统后只能访问已获得管理授权的目标设备。

c）系统安全审计

运维管理审计系统支持通过目标地址、目标账号、运维账号、访问时间等方式对历史记录进行单条件或者多条件组合查询。

针对具体的某次特定操作会话，运维管理审计系统能够直接查看该操作过程的所有操作命令、RDP键盘输入、Windows窗口标题等，便于管理员进行人工分析。

对于任何一次历史操作，运维管理审计系统均能够通过图形回放方式重现原始操作过程。回放基于

WEB界面进行，无须安装任何客户软软件，管理员可以对回放过程进行常见的视频播放操作，如：快

进、倍速播放、暂停、拖动等等，本系统还支持从特定位置进行定位回放。

对于所有进行中的访问操作，运维管理审计系统均可对其进行同步过程监视，运维人员在服务器上做的任何操作都会同步显示在管理人员的监控画面中，管理员可以根据需要随时切断违规操作会话。

数据库审计产品解决方案设计需求

大庆市住房公积金管理中心数据库数据非常重要，一旦被恶意泄露、修改破坏，对我公司造成的损失时难以估计的。

解决方案

数据库安全审计系统，是一款专业、致力于全面保障数据安全的专业管理系统，它可以有效监控数据库访问行为，准确掌握数据库系统的安全状态，及时发现违反数据库安全策略事件，并实时报警、记录，从而实现对安全事件的定位分析、事后追查取证，以此全面保障数据库的安全。系统以网络审计方式为主，同时兼顾数据库本地审计，对数据库的查询、提供数据管理者查询、分析和决策，。

数据库统计

数据库安全审计系统的数据库统计实现了两个部分的功能:数据库管理及数据库信息统计。数据库管理展现了设备可支持的目标数据库类型并以分组分类,支持手工添加和自动发现目标数据库,对已有数据库可进行全面管理。

数据库信息统计对目标数据库进行全方位统计,能过查看设备数据库统计界面,可知道:什么时间, 什么目标数据库在活动;数据库访问值,数据库操作压力多大;告警多少次,出错多少次;进出数据库总流量。通过查询栏可查询到具体某个数据库具体时间段内的数据库具体信息。

数据库审计

数据库安全审计系统具备强大的审计功能:包括数据库会话审计和数据库操作内容审计，支持c/s模式本地操作数据库、telnet操作数据库、ftp操作数据审计，此外，通过设备sql关联web的配置可支持b/s模式下数据库访问审计，还体现在灵活的审计策略上。会话型的数据库会话审计，记录了所有活跃过的数据库会话信息，每条会话包括什么用户什么时间。

数据库专家

数据库专家系统由三个部分组成:故障诊断专家、数据安全专家、系统优化专家。故障诊断专家为数据库提供稳定性保障,其作用是发现并减少数据库系统故障的发生以及在发生故障时帮助数据库管理人员,判断数据库故障原因,减少宕机时间。故障诊断专家可对目标数据库系统进行一键式体检服务,产生体检报告,还可对故障点场景进行还原记录,及统计失败的数据库操作。

数据库安全专家为数据库提供安全性保障,其作用是发现系统内隐藏的安全问题,并通过报告、图表等方式,展示给数据库管理人员。使管理人员能够通过这些数据找到安全隐患,及正在发生的安全事故,并能追查原凶,还原现场等。通过管理员设置策略,产品可对目标数据库访问进行攻击行为分析、越权操作分析、安全状态分析。

系统优化专家为数据库的优化提供数据支持。管理人员可能过系统优化专家分析整理出的数据、报告、图表等,找到系统中存在的瓶颈,调优SQL及调整操作时间等。

数据库报表

产品统计报表模块提供了丰富的各类数据报表等,管理员可下载各类数据报表到本地查看或定制报表到邮件中查看。

日志审计产品解决方案设计需求

大庆市住房公积金管理中心网络规模庞大，信息系统设备繁多，设备产生的日志种类多种多样，无法对系统产生的日志进行统一的管理，无法定期生成审计日志，不便于管理员对信息系统进行排错分析。

解决方案

先进的日志管理与审计

提供了一个先进的可扩展的日志管理与审计解决方案，包括以下功能：

对各类主流设备的支持，包括服务器、网络、安全、应用、用户能够从来源对事件进行监控高效且可自定义的数据分析流程

支持各种类型网络拓扑、虚拟化构架、应用系统的状态分析先进的安全规则处理核心系统

可以将实时事件和历史事件进行整合型分析处理可按事件的不同优先级进行分级处理

优化的系统界面和通知机制

基于海量数据分析引擎技术的事件关联搜索可自定义的资产和用户管理

提供各类图文合规报表安全保密的事件存放

可根据需要，提供不同的分析性能和部署方式无限制的事件管理

凭借多年来对各软硬件厂商的产品分析，日志审计系统可以收集、存放、分析和管理来自几乎所有类型IT基础架构单元的事件，并可以智能判断设备类型及其处理策略

网络设备事件可来自于防火墙、路由器、交换机、VPN网关、无线网络、网络IPS等服务器设备事件来自于Windows、Unix、Linux和各类VM

其他事件通过可扩展的事件收集接口和分析规则引擎，快速提供支持能力全面的收集方法

对与事件收集方法没有任何局限，无论是无代理或基于代理，无论是设备或是应用系统，都能提供收集渠道，包括：

Syslog、SNMP、WMI、RPC、Cisco SDEE、Checkpoint LEA、JDBC、VMWare VI-SDK、 JMX、Telnet、SSHNetFlow、HTTPS

基于海量数据的业务分析引擎

可以监控网络设备和安全设备的网络服务状态和统计网络业务流量，并在任意可变时间段内收集大量而复杂的日志数据后，日志审计系统内置的数据业务分析引擎会处理这些信息。这些工作包括关联各种模式的网络、系统、安全、应用和用户的活动，同时可以很方便地自定义扩展。

安全事件分析引擎提供了一套整体的、可自定义的、可嵌套的规则框架：运算符可以包括AND，OR，NOT，AND-NOT，AND-OR等组合

每个模式都能使用多种条件操作符每个模式都能使用多种统计操作符

阈值可以是自定义的静态值或是从智能统计数据中获得灵活的操作界面

提供了一个整体操作视图，可包含任意特定业务相关设备和应用的性能、可用性和安全状态。

利用快速更新技术，并凭借优化的展现功能，日志审计系统可及时更新屏幕内容，并按级别显示为多个等级：正常、警告和严重等。用户可以非常容易地点击获取各个数据的来源、细节及趋势，从而可以提前发

现问题并作出反应。当然，用户还可以根据业务的关键程度自定义调整核心运行参数的阀值。具有完全可定定义的用户化界面，覆盖可用性、性能、流程管理和安全方面。优化的立即刷新技术使用户操作界面的数据近乎于实时，从而当IT架构发生任何问题或威胁时都能提供及时信息。

智能运维安全管理平台产品解决方案设计需求

目前，大庆市住房公积金管理中心在系统运维层面存在着一定的安全隐患；数据库数据非常重要，一旦被恶意泄露、修改破坏，对我单位造成的损失时难以估计的；设备产生的日志种类多种多样，无法对系统产生的日志进行统一的管理，无法定期生成审计日志，不便于管理员对信息系统进行排错分析；单位网络规模庞大，信息资产繁多，无法形成有效地管理手段对信息资产进行集中管控，一旦某一设备或网络节点出现故障，排查困难，无法对故障原因进行准确判断，严重影响正常业务运行。

使用综合业务管理平台，平台包含运维审计模块（堡垒机）、数据库审计模块、日志审计模块、设备网络资源监控模块，实现使用安全管理中心统一管理的安全要求。

解决方案

运维管理审计模块方案

运维管理审计系统是基于4A安全思想模型，也是符合4A标准，因此其主要功能包括以下几点：

a）身份认证与鉴别

为解决服务器账号共用情况而带来的责任人难以确定的问题，运维管理审计系统通过“运维审计账

号”与“服务器账号”关联的方式，为每次访问过程建立账号关联信息，从而实现将用户身份的通过运维账号落实到唯一的操作“自然人”。

b）自主与强制访问控制

运维审计系统可实现基于运维用户、目标主机、目标账号等多种访问方式的组合授权。

运维管理审计系统支持基于B/S单点登陆系统，采用访问授权结合方式，使用户登陆运维管理审计系统后只能访问已获得管理授权的目标设备。

c）系统安全审计

运维管理审计系统支持通过目标地址、目标账号、运维账号、访问时间等方式对历史记录进行单条件或者多条件组合查询。

对于任何一次历史操作，运维管理审计系统均能够通过图形回放方式重现原始操作过程。回放基于 WEB界面进行，无须安装任何客户软软件，管理员可以对回放过程进行常见的视频播放操作，如：快进、倍速播放、暂停、拖动等等，本系统还支持从特定位置进行定位回放。

对于所有进行中的访问操作，运维管理审计系统均可对其进行同步过程监视，运维人员在服务器上做的任

何操作都会同步显示在管理人员的监控画面中，管理员可以根据需要随时切断违规操作会话。数据库审计模块方案

数据库统计

数据库审计

数据库专家

数据库报表

产品统计报表模块提供了丰富的各类数据报表等,管理员可下载各类数据报表到本地查看或定制报表到邮件中查看。

日志审计模块方案

先进的日志管理与审计

提供了一个先进的可扩展的日志管理与审计解决方案，包括以下功能：

对各类主流设备的支持，包括服务器、网络、安全、应用、用户能够从来源对事件进行监控高效且可自定义的数据分析流程

支持各种类型网络拓扑、虚拟化构架、应用系统的状态分析先进的安全规则处理核心系统

可以将实时事件和历史事件进行整合型分析处理

可按事件的不同优先级进行分级处理优化的系统界面和通知机制

基于海量数据分析引擎技术的事件关联搜索可自定义的资产和用户管理

提供各类图文合规报表安全保密的事件存放

可根据需要，提供不同的分析性能和部署方式无限制的事件管理

网络设备事件可来自于防火墙、路由器、交换机、VPN网关、无线网络、网络IPS等服务器设备事件来自于Windows、Unix、Linux和各类VM

其他事件通过可扩展的事件收集接口和分析规则引擎，快速提供支持能力全面的收集方法

对与事件收集方法没有任何局限，无论是无代理或基于代理，无论是设备或是应用系统，都能提供收集渠道，包括：

Syslog、SNMP、WMI、RPC、Cisco SDEE、Checkpoint LEA、JDBC、VMWare VI-SDK、 JMX、Telnet、SSHNetFlow、HTTPS

基于海量数据的业务分析引擎

安全事件分析引擎提供了一套整体的、可自定义的、可嵌套的规则框架：运算符可以包括AND，OR，NOT，AND-NOT，AND-OR等组合

每个模式都能使用多种条件操作符每个模式都能使用多种统计操作符

阈值可以是自定义的静态值或是从智能统计数据中获得灵活的操作界面

提供了一个整体操作视图，可包含任意特定业务相关设备和应用的性能、可用性和安全状态。

利用快速更新技术，并凭借优化的展现功能，日志审计系统可及时更新屏幕内容，并按级别显示为多个等级：正常、警告和严重等。用户可以非常容易地点击获取各个数据的来源、细节及趋势，从而可以提前发现问题并作出反应。当然，用户还可以根据业务的关键程度自定义调整核心运行参数的阀值。具有完全可定定义的用户化界面，覆盖可用性、性能、流程管理和安全方面。优化的立即刷新技术使用户操作界面的数据近乎于实时，从而当IT架构发生任何问题或威胁时都能提供及时信息。

资产网络监控模块方案（网管软件）

IT系统资产及配置管理：

1．通过识别IT系统的资产和配置，为自动化监测IT系统提供有关IT基础架构配置的准确信息，从而反映了哪些IT组件出现故障将会影响哪些业务和客户的信息。

2．通过配置管理数据库为突发事件管理、问题管理、变更管理和发布管理等运维流程提供了的运作基础。

3．由于配置管理数据库中记录了IT组件和业务应用系统之间的逻辑关系，所以配置管理数据库是业务

服务管理的基础。

4．计量组织和服务中所使用的所有IT资产和配置项的价值。

IT基础设施整合监测管理：

1．整合的管理IT系统运行状态，为IT部门提供整体IT系统的完整信息。

2．通过自动化监测，提高对IT系统中潜在和存在的故障侦测效率，缩短处理突发事件的时间。

3．监测信息为突发事件管理和问题管理提供客观依据。业务服务管理：

1．辅助IT部门从以IT基础设施保障为中心，向以业务需求为中心转换。

2．协助IT部门测量业务应用的可用性指标。

3．协助IT部门进行前瞻性的IT基础设施容量计划。运维流程管理：

1．构建系统化的运维管理体系，而不是割裂和孤立的流程堆砌。

2．通过KPI监测，建设对效率和效能可测量、可视化的流程系统，从而辅助IT部门对运维流程的管理。网络版防病毒软件解决方案

设计需求

为了加强单位终端安全管理，确保终端防病毒软件病毒库的定期更新，避免终端用户受到病毒攻击，我单位选择使用网络版防病毒软件系统。

解决方案

全方位的病毒防护

防病毒扫描引擎能够拦截各种病毒和恶意代码威胁，包括宏病毒、木马程序、 Internet 蠕虫，甚至是恶意的 ActiveX 和 Java 对象。采用的防病毒技术能够对压缩数据进行深入分析，因而能够检测出隐藏在

.zip 或其他类型压缩文件中的威胁。先进的启发式检测和通用检测技术使他具有了前瞻性的防护能力，能够“提前”防御各种新的、未知的病毒以及其他多种威胁。

潜在恶意程序安全防护

能够自动检测“垃圾”程序，有效防止隐藏程序跟踪和用户的 Internet 使用记录、访问用户个人数据（例如密码和帐户信息）或者在用户系统中造成安全漏洞。用户或管理员可以为他选择一种在检测到潜在恶意程序时的应急方式（“警告”、“清除”、“删除”和“隔离”）。管理员可以根据的实际情况来定制恶意程序列表，如广告软件、拨号器、恶意玩笑程序，以便使的终端系统符合通用运行环境 (COE) 的要求。缓冲区溢出防御

可以为大约 20 种常见和存在漏洞的软件应用程序及 Microsoft? Windows? OS 服务提供缓冲区溢出攻击防护。这些应用程序和服务包括 Microsoft Word 、 Excel 、 Internet Explorer 、 Outlook和 SQL Server 。必要时，管理员可以根据流程创建例外。

全方位的突发事件响应

借助内置的应急功能，他可以在发布 DAT 文件之前对最新的病毒进行防护，即在 DAT 发布之前，管理员可以对识别病毒之后存在的关键性漏洞窗口采取防御措施。突发事件响应功能包括：

端口拦截 / 锁定

使管理员或用户可以“关闭”（拦截）传入或传出网络流量的端口（例如，应该拦截 MyDoom 端口

#3196 ； Bagel.n 是端口 #2556 ）应用程序监控功能：电子邮件引擎

允许管理员拦截传出流量的端口，但是，可以设置相应的规则，使某些进程可以通过关闭的端口进行通信。例如，管理员应该拦截传出流量的端口 25 ，但是允许 outlook.exe 通过该端口与传出流量进行通

信。启用此项功能时， NetSxx x MyDoom 不会断开与系统的连接。文件拦截，目录锁定，文件夹 / 共享拦截

根据系统或传入的网络进程创建相应的策略，用于控制可能对特定文件、目录或文件夹 / 共享（或采用由文字和通配符组成的匹配名称模式的文件组或文件夹）执行的操作。例如，基于 Sasser 蠕虫的策略不会拦截 avserve*.exe 、 skynetave.exe 、 lsasss.exe 、 napatch.exe 、 *_up.exe 、 cmd.ftp 、 ftplog.txt 和 winlog2* 和 win*.log 。

强大的内存扫描

通过引入“按需”和“按计划”两种内存扫描模式增强了扫描功能，从而大大提升了对病毒、蠕虫和木马的防护。能够抵御多种诸如 CodeRed 和 SQLSlammer 的威胁因素，虽然此类威胁不会将代码写入到磁盘中。

防护使用脚本的威胁

可以检测到利用 JavaScript 和 / 或 Visual Basic (VB) 脚本（例如， Nimda 或 LoveLetter ）的恶意代码，还可以防止这些恶意代码的运行，从而切断感染源。

针对移动用户的优化功能

区域服务器路由使得用户能够根据地理位置和连接速度对现场更新进行优化，较小的文件规模也使得用户能够轻松地通过连接速度较慢的网络（例如拨号连接）来下载更新文件。借助于可恢复的更新功能，即使远程用户的网络连接被中断，他们也仍然能够在其它时间从中断处继续下载更新文件。

备份一体机产品解决方案设计需求

大庆市住房公积金管理中心网络规模庞大，需要加强对重要业务数据的保护。解决方案

综合多种技术手段，实现层次化数据保护

随着计算机系统的进一步运行，业务数据将随着时间的推移逐步增加，这些数据对用户至关重要，在执行数据备份时，利用专业的数据在线备份与恢复系统，通过制定不同、合理的备份策略，实现集中、无人值守、自动化的数据备份，对桌面系统中的数据加以保护，不仅能详尽地记录历史数据、有效的管理日益增多的数据量，还能在灾难发生时对系统进行恢复，使损失减至最小。

策略定义

A.在进行数据备份时，必须根据实际需要配置备份策略。若定义备份策略，涉及到以下内容：在什么时间（备份时间，如下班时间19:00）；

将什么数据（备份内容，如文件数据或数据库）；

以什么方式（备份方式，如完全备份、增量备份或差异备份）；

B.在对每一组数据都根据需要定义好备份策略后，系统就会自动的按照我们定义的时间、方式、将需要备份的数据备份到我们的数据备份一体机产品中去。

C.备份的方式可以分为三种：完全备份、增量备份、差异备份。完全备份

每次备份定义的所有数据，优点是恢复快，缺点是备份数据量大，数据多时可能做一次全备份需很长时间。

增量备份

备份自上一次备份以来更新的所有数据，其优点是每次备份的数据量少，缺点是恢复时需要全备份及多份增量备份。

差异备份

备份自上一次全备份以来更新的所有数据。备份类型选择

在备份类型选择时，一般的规则是：对于一些日常数据更新量大，但总体数据量不是非常大的关键数据，可每天在用户使用量较小的时候安排完全备份；

对于日常更新量相对于总体数据量较小，而总体数据量非常大的关键数据，可每隔一个月或一周安排一次全备份，在此基础上，每隔一个较短的时间间隔做增量备份。

备份策略设计

在进行数据备份时，数据备份一体机产品可根据用户设置好的备份策略自动执行数据备份。在进行数据备份策略的制定时，可以对业务数据每天进行增量备份，每个月、每个季度、每年进行一次数据的完全备份。

Web防火墙产品解决方案设计需求

大庆市住房公积金管理中心业务应用大多是web形式，一旦web应用遭受攻击，会造成业务的中断。解决方案

Web应用防护

精准识别基于HTTP/HTTPS/FTP协议的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等基本攻击；CGI扫描、漏洞扫描等扫描攻击；SQL注入攻击、XSS攻击等Web攻击；应用层Dos防护等。

Web非授权访问防护

精确识别并防护常见的Web非授权访问攻击：CSRF攻击防护、Cookxxxx防护、网站盗链防护

Web恶意代码防护

精确识别并防护常见的Web恶意代码攻击：网页挂马防护、WebShell防护。

Web应用合规

精确识别并防护常见的Web应用合规：基于URL的访问控制、HTTP协议合规、敏感信息泄露防护、文件上传下载控制、Web表单关键字过滤

Web应用交付

能够对Web应用加速和流量分配：网页防篡改、基于URL的流量控制集中管理与事件分析

能够实时监控Web流量的连接状况和流量信息，能够实时监控经过WAF保护后，Web服务器交付质量提升的效果；具备丰富的Web安全事件统计分析功能与详尽的Web安全事件报表功能，既适用于运维人员对具体事件进行查询、分析；也适用于安全状况的分析与决策。

入侵检测产品解决方案设计需求

随着互联网业务的开通，移动存储介质的使用，对于传统的网络带来的安全隐患也随之加剧，如：DoS

解决方案

c）网络入侵检测系统

入侵检测系统可以发现各种恶意和可疑行为，并提供相应的处理建议。可发现的恶意和可疑行为包括：缓冲区溢出攻击网络数据库攻击网络设备攻击

安全扫描木马后门间谍软件

DOS与DDOS 蠕虫病毒 CGI访问/攻击网络娱乐安全漏洞穷举探测

脆弱口令暴力猜解 ......

入侵检测系统应提供可独立部署的报表分析组件，内置近百种报表模板，还可根据用户需求，自行组合报表类型。

网络安全预警平台解决方案设计需求

网络安全已成为人类信息时代重要的主题，网络安全问题的日益突出主要体现在：计算机系统受病毒感染和破坏的情况相当严重;地下黑产组织已形成重要威胁;企业信息系统在预测、响应、防护和恢复能力方面存在许多薄弱环节;网络政治颠覆活动频繁，面对复杂且不断变化的网络环境，大多数用户缺乏综合性的安全管理解决方案。

在现实网络中，企业通过部署安全设备来防护入侵行为及病毒威胁，从网络攻击的发展历程来看，早期攻击的方式具备着目标单点、手段单一的特点，但现阶段的网络攻击却存在着隐蔽性强、攻击周期长、手段多样化等特点，例如：APT、Miral(DDoS)、SQL注入、DNS劫持等，可以发现网络攻击的自动化程度越来越高，黑客所使用的工具也越来越复杂。因此，我们需要一个全面、智能的安全威胁分析平台，来补充和完善企业级用户的安全防护体系，帮助企业用户从容的面对当前各种安全威胁。

解决方案

态势感知技术是指：在一定规模化的系统环境中，对能够引起系统状态发生变化的安全要素进行获取、理解、显示以及预测未来安全威胁的发展趋势。态势感知平台可采集企业内碎片化的安全设备日志信息，通过大数据引擎进行分析、挖掘、关联以及汇总，进而不断优化安全设备的防护策略。同时，该平台通过可视化技术让用户直观了解安全设备的防护效果、当前网络威胁状况以及发展趋势，帮助用户及时发现安全隐患、大幅提升企业安全防护工作效率。

安全可视化

基于先进的安全可视化技术，平台通过安全总览、威胁分析等不同分析维度为用户实时呈现网络安全状况，帮助用户快速识别网络异常入侵行为，及时把握网络安全事件发展趋势，为用户营造全新安全管理体验。

安全威胁态势感知

平台系统提供全面的网络威胁入侵检测能力，同时具备丰富的安全特性：支持信息资产的识别，可对资产进行长期监控;支持对僵尸、木马、蠕虫等系统类攻击，SQL注入、网络爬虫等Web类攻击，HTTP Flood、ACK Flood等DDoS类攻击进行态势感知。平台从全网整体安全监测入手，再细化到信息资产以及安全数据的监测，实现全方位安全的态势感知。

大数据引擎技术

该引擎技术作为态势感知的“大脑”，能够对海量数据日志进行存储、特征提取以及挖掘分析。其通过机器学的特征积累方式来不断优化平台的处理精度，以及通过对历史日志信息进行关联、回溯等手段，帮助用户发现潜在的安全威胁，进而实现对未来安全威胁趋势的科学预测。

虚拟探针技术

平台通过软件实现方式，将用户现网中的安全设备虚拟化成不同区域的采集探针，使得态势感知平台可以

将各种安全设备日志、威胁情报等数据进行整理和汇总，从而保障用户自身安全设备数据能发挥出最大的利用价值。

攻击事件还原

平台会从采集的日志中整理攻击事件，对攻击事件进行时间线还原，绘制攻击者从开始到结束的每个具体攻击动作，从而帮助用户实现对攻击行为的还原追溯

被攻击主机分析

平台对被攻击主机进行统计，基于被攻击主机的端口、攻击源IP及地理分布、攻击方式、攻击数量趋势等多个维度进行深入分析，检测该IP主机上是否有WebShell、病毒、木马等，帮助用户判断此主机是否被入侵提供线索。

安全策略优化

摆脱过去单兵作战的防护模式，每个安全设备都只作为整个安全防护网的一个节点，设备间进行信息共享，安全策略通过态势感知平台不断的进行优化调整。

合同包1（智慧公积金网络安全等级保护2.0系统建设）

1.主要商务要求

标的提供的时间	合同签订后一个月内交货
标的提供的地点	大庆市住房公积金管理中心
投标有效期	从提交投标（响应）文件的截止之日起90日历天
付款方式	1期：支付比例100%，由采购单位自行结算付款给供应商。验收合格后支付合同价款的100%。
验收要求	1期：采购单位将自行按照项目要求内容逐条核验。采购设备需要安装调试，达到正常使用标椎后进行验收程序，验收时，采购单位将自行按照招标文件项目需求内容逐条验收，如不满足不予验收。
履约保证金	收取比例：5%,说明：中标（成交）供应商签订合同前，应向采购人提交履约保证金；合同履约验收合格并办理资金结算后，采购人应退回履约保证金。

其他

统一社会信用代码： 122306004141788020 名称：大庆市住房公积金管理中心住所：开发区学府街54号住房公积金服务中心开户行：建行大庆开发区支行名称：大庆市住房公积金管理中心账号： 23001664251 000000000 电话： 0000000: 履约保证金账户

设备三年维保服务，包括远程支持、现场服务、备机、备件、设备维修等

。: 备注

1、接到用户报修通知后，供应商保证1小时内做出响应，需至用户现场维护的，保证响应后2小时内派工程师到达现场维护。 2、售后服务：质保期内免费提供技术服务和软件升级。质保期自验收合格之日起计算。 3

、中标供应商交货前提供所投WEB应用防护系统产品有效的检测报告原件（一份或多份），要求检测报告包含以下内容：（ 1）能够对HTTP协议头（包括： general-header、request-header、response-head er）中不同字段的长度设置过滤规划，并能够根据过滤规则允许或者禁止访问。；（ 2）能够对所请求的WEB资源文件后缀名设置过滤规则，并能够根据过滤规则允许或者禁止访问。； 4、中标供应商交货前提供所投态势感知系统产品有效的检测报告原件（一份或多份），要求检测报告包含以下内容：（ 1）具备动态沙箱分析能力，包括沙箱检测能力（进程操作行为、文件操作行为、系统配置操作行为及网络通信行为）、沙箱扩展能力；（ 2）支持IPv4和IPv6网络环境下的部署，可同时对IPv4和IP v6网络流量分析检测（ 3）具备对未知木马传播和活动行为监测能力，包含对木马下载行为的监测、木马与控制端的通信行为的监测。 5、所属行业：软件和信息技术服务业。 6、参与本项目供应商投标文件中实质响应的技术参数须符合项目需求的要求且应为所投产品的实际详细技术参数

，如所投产品的参数为固定数值的，则必须填写实际的固定值。 7、质保期： 1年。供应商的质保期高于1年的按供应商承诺执行；项目需求中质保期及相关服务有特殊要求的按项目需求中要求的质保期执行。 8、本次采购安全服务为1年服务。 9.人员要求：中标供应商进行安全服务时，依据《网络安全等级保护测评机构管理办法》（公信安【2018】765号）配置的评测人员需提供评测人员资质证书并留存复印件存档。: 其它要求 1、本项目仅“安全服务”中等保评测部分为非主体、非关键性工作，允许成交供应商中标后将其分包，分包承担主体在中标后服务实施的时候提供

《网络安全等级保护测评机构推荐证书》，且不得再次分包，不得将本项目全部分包。分包单位需将其有效的上述证书报采购人审核。 2、投标人根据招标文件的规定和采购项目的实际情况，拟在中标后将中标项目的非主体、非关键性工作分包的，应当在投标文件中载明分包承担主体，分包承担主体应当具备相应资质条件且不得再次分包。 3、分包，指中标人将自己在合同中的一部分权利和义务转让给其他供应商，由受让供应商负责履行。 4、测评机构在中标后服务实施的时候提供公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》，且不在整改机构名单中。: 本项目仅“安全服务”中等保评测部分允许分包。

2.技术标准与要求

序

号

核心产品（

“△”）

品目名称

标的名称

单

位

数

量

分项预算单

价（元）

分项预算总价

（元）

所属行业

招标技术

要求

△

其他网络连

接设备

应用安全网关（

服务端）

台

1.0

000

250,000.00

其他未列

x行业

详见附表

一

△

其他网络连

接设备

应用安全网关（

客户端）

台

1.0

000

120,000.00

其他未列

x行业

详见附表

二

其他网络连

接设备

安全互联网关

台

1.0

000

40,000.00

其他未列

x行业

详见附表

三

△

其他网络连

接设备

数字证书认证系

统

台

1.0

000

120,000.00

其他未列

x行业

详见附表

四

△

其他网络连

接设备

智能运维安全管

理平台

套

1.0

000

170,000.00

其他未列

x行业

详见附表

五

信息安全软

件

防病毒软件

套

1.0

000

40,000.00

其他未列

x行业

详见附表

六

其他网络连

接设备

数据备份系统

套

1.0

000

89,000.00

其他未列

x行业

详见附表

七

其他网络连

接设备

入侵防御系统升

级

套

1.0

000

16,000.00

其他未列

x行业

详见附表

八

其他网络连接设备

防火墙升级

套

2.0

000

30,000.00

60,000.00

其他未列明行业

详见附表九

△

其他网络连

接设备

WEB应用防护

系统

套

2.0

000

125,000.00

250,000.00

其他未列

x行业

详见附表

一十

其他网络连

接设备

数据库审计系统

升级

套

2.0

000

23,500.00

47,000.00

其他未列

x行业

详见附表

一十一

其他网络连

接设备

运维管理审计系

统升级

套

1.0

000

25,000.00

其他未列

x行业

详见附表

一十二

其他网络连

接设备

日志审计系统升

级

套

1.0

000

23,000.00

其他未列

x行业

详见附表

一十三

△

其他网络连

接设备

态势感知

套

1.0

000

200,000.00

其他未列

x行业

详见附表

一十四

△

其他网络连

接设备

入侵防御系统

套

1.0

000

90,000.00

其他未列

x行业

详见附表

一十五

其他网络连

接设备

网闸维保

套

2.0

000

15,000.00

30,000.00

其他未列

x行业

详见附表

一十六

信息安全软

件

风险评估

项

2.0

000

50,000.00

100,000.00

其他未列

x行业

详见附表

一十七

信息安全软

件

安全服务

项

2.0

000

125,000.00

250,000.00

其他未列

x行业

详见附表

一十八

序

号

核心产品（

“△”）

品目名称

标的名称

单

位

数

量

分项预算单

价（元）

分项预算总价

（元）

所属行业

招标技术

要求

信息安全软

件

安全加固

项

1.0

000

80,000.00

其他未列

x行业

详见附表

一十九

附表一：应用安全网关（服务端）是否进口：否

参数性质

序

号

具体技术(参数)要求

★

1. 不大于2U机架式设备，双电源，≥1T硬盘 X1，≥16G内存

2. 不少于10个千兆电口

3. 内置国密加密卡

4. SSL(RSA2048)性能：单向新建连接≥7000TPS、双向新建连接≥5000TPS；

5. SSL(SM2)性能：单向新建连接≥7000TPS、双向新建连接≥3000TPS； 6. 并发连接：RSA2048≥ 50000、SM2≥ 50000；

7. 签名能能：RSA2048≥ 2000TPS、SM2≥3000TPS

8. 支持数字签名及签名验证功能，支持attached、Detached、RAW签名验签

9. 客户端安全HTTP功能支持配置是否验证CRL，是否验证证书增强型密钥用法；

10. 客户端安全HTTP功能支持配置服务端证书主题，可指定HTTP服务端所使用的服务器证书的DN中的用户名CN

11. 客户端安全HTTP功能支持负载均衡方式添加多个后台服务，负载均衡算法至少支持轮询、IP HASH

、LC。

12. 支持在设备上关闭指定SSL协议，SSL加密算法套件

13. 支持无协议的客户端安全服务和服务端安全服务，满足非http协议类型的安全通道服务

14. 服务端安全HTTP功能，支持配置是否识别证书秘钥用法

15. 服务端安全HTTP功能，支持一个服务同时支持国密算法和国际算法

16. 支持灵活配置签名摘要算法、签名方式、验签名Content-Type值；

17. 支持在验签数据中灵活添加证书信息，如DN、startime、endtime、SN、Issure等信息

18. 可在验签数据中灵活配置其他信息，如数据内容、证书内容、回车符、验签结果中英文显示；

19. 数字信封服务配置支持配置正序或反序DN项，可自定义DN各项间的分隔符；

20. 支持单向、双向SSL卸载，支持标准的 SSL3.0/TLS1.0/TLS1.2 /TLS1.1/SM2v1.1协议

21. 签名验签服务支持配置是否纪录签名结果、是否纪录验签成功原文

22. 支持制作数字信封及解密数字信封，支持DES、3DES、AES-256-CBC、AES-256-ECB、RC2、R C4、SM4-CBC算法

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

附表二：应用安全网关（客户端）是否进口：否

参数性质

序

号

具体技术(参数)要求

★

1.不大于1U机架式设备，双电源，≥1T硬盘 X1，≥8G内存

2.不少于4个千兆电口

3.内置国密加密卡

4.SSL(RSA2048)性能：单向新建连接≥2000TPS、双向新建连接≥1500TPS；

5.SSL(SM2)性能：单向新建连接≥2000TPS、双向新建连接≥1000TPS；

6.并发连接：RSA2048≥ 50000、SM2≥ 50000；

7.签名能能：RSA2048≥ 2000TPS、SM2≥3000TPS

8.支持数字签名及签名验证功能，支持attached、Detached、RAW签名验签 9.客户端安全HTTP功能支持配置是否验证CRL，是否验证证书增强型密钥用法；

10.客户端安全HTTP功能支持配置服务端证书主题，可指定HTTP服务端所使用的服务器证书的DN中的用户名CN

11.客户端安全HTTP功能支持负载均衡方式添加多个后台服务，负载均衡算法至少支持轮询、IP HASH

、LC。

12.支持在设备上关闭指定SSL协议，SSL加密算法套件

13.支持无协议的客户端安全服务和服务端安全服务，满足非http协议类型的安全通道服务

14.服务端安全HTTP功能，支持配置是否识别证书秘钥用法

15.服务端安全HTTP功能，支持一个服务同时支持国密算法和国际算法

16.支持灵活配置签名摘要算法、签名方式、验签名Content-Type值；

17.支持在验签数据中灵活添加证书信息，如DN、startime、endtime、SN、Issure等信息

18.可在验签数据中灵活配置其他信息，如数据内容、证书内容、回车符、验签结果中英文显示；

19.数字信封服务配置支持配置正序或反序DN项，可自定义DN各项间的分隔符；

20.支持单向、双向SSL卸载，支持标准的 SSL3.0/TLS1.0/TLS1.2 /TLS1.1/SM2v1.1协议

21.签名验签服务支持配置是否纪录签名结果、是否纪录验签成功原文

22.支持制作数字信封及解密数字信封，支持DES、3DES、AES-256-CBC、AES-256-ECB、RC2、R C4、SM4-CBC算法

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

附表三：安全互联网关是否进口：否

参数性质

序

号

具体技术(参数)要求

1. 标准Mini ITX设备，双电源，≥100G硬盘，≥2G内存

2. 不少于4个千兆电口

3. 内置国密加密卡

4. SSL(RSA2048)性能：单向新建连接≥1000TPS、双向新建连接≥400TPS；

5. SSL(SM2)性能：单向新建连接≥400TPS、双向新建连接≥300TPS； 6. 并发连接：RSA2048≥ 30000、SM2≥30000；

7. 签名能能：RSA2048≥ 500TPS、SM2≥1000TPS

8. 支持数字签名及签名验证功能，支持attached、Detached、RAW签名验签

9. 客户端安全HTTP功能支持配置是否验证CRL，是否验证证书增强型密钥用法；

10. 客户端安全HTTP功能支持配置服务端证书主题，可指定HTTP服务端所使用的服务器证书的DN中的用户名CN

11. 客户端安全HTTP功能支持负载均衡方式添加多个后台服务，负载均衡算法至少支持轮询、IP HASH

、LC。

12. 支持在设备上关闭指定SSL协议，SSL加密算法套件

13. 支持无协议的客户端安全服务和服务端安全服务，满足非http协议类型的安全通道服务

14. 服务端安全HTTP功能，支持配置是否识别证书秘钥用法

15. 服务端安全HTTP功能，支持一个服务同时支持国密算法和国际算法

16. 支持灵活配置签名摘要算法、签名方式、验签名Content-Type值；

17. 支持在验签数据中灵活添加证书信息，如DN、startime、endtime、SN、Issure等信息

18. 可在验签数据中灵活配置其他信息，如数据内容、证书内容、回车符、验签结果中英文显示；

19. 数字信封服务配置支持配置正序或反序DN项，可自定义DN各项间的分隔符；

20. 支持单向、双向SSL卸载，支持标准的 SSL3.0/TLS1.0/TLS1.2 /TLS1.1/SM2v1.1协议

21. 签名验签服务支持配置是否纪录签名结果、是否纪录验签成功原文；

22. 支持制作数字信封及解密数字信封，支持DES、3DES、AES-256-CBC、AES-256-ECB、RC2、R C4、SM4-CBC算法。

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

附表四：数字证书认证系统是否进口：否

参数性质

序

号

具体技术(参数)要求

★

1. 不大于1U机架式设备，双电源，≥1T硬盘 X1，≥8G内存

2. 不少于4个千兆电口

3. 内置国密加密卡

4. 支持SM2/3/4算法，密码算法可以灵活配置。支持所有的ITU X.509 V3标准定义的扩展

5. 具备证书系统CA、证书注册系统RA、秘钥管理系统KMC、目录服务系统LDAP模块

6. 具备证书申请、证书审核、证书签发、证书下载、证书更新、证书冻结、证书解冻、证书作废、证书操作审计等基本证书管理功能；

7. 支持基于同态秘钥技术的移动数字证书注册、签发等安全管理功能

8. 支持SCEP协议

9. CA策略管理：对CA证书的应用模式定义策略，根据不同策略模式，可定义该证书不同的加密方式、到期时间等重要信息，在此功能中需要实现CA策略的分配、更新以及CRL，对于相关查询记录中有相应的操作链接对策略进行维护

10. 支持CRL循环发布功能

11. 实现证书、CRL（证书撤销列表）下载与更新服务，提供能自行设置证书和证书撤销列表更新频率和有效期的管理界面，证书和证书撤销列表（CRL）的发布支持分布式技术

12. 在进行签发证书等重要操作时，支持多人复核机制

13. 支持USBKey远程解锁功能

14. 提供日志管理功能，具体包括系统运行日志、系统管理日志、帐户日志、证书日志和证书撤销列表日志。对于事件来源和产生者还应提供详细记录；

15. 数字证书认证系统需要有良好的扩展性，支持双机热备技术，系统支持密码机冗余配置；

16. 具备LDAP及HTTP两种方式的CRL下载功能，可以基于DN、超时时间、CRL下载时间间隔、CRL最大文件尾号范围的设置；

17. 支持SSL服务器证书、签名证书、SCEP证书

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

附表五：智能运维安全管理平台是否进口：否

参数性质

序

号

具体技术(参数)要求

万兆平台，采用标准机架式硬件和专用的安全操作系统。≥6*1000M电口。可扩展：扩展槽可以插入8千兆电口/光口扩展卡或4电口+4光口扩展，也可插10Gbps扩展卡*1，可扩展到4xxx口；

平台包含：基础平台系统，支持用户管理、身份认证、用户权限管理、组织机构管理、资产发现、资产基础配置、事件告警、日志报表功能等；

支持Telnet、SSH、RDP、VNC、HTTP(s)、X11、FTP、SFTP协议，支持syslog、SNMP Trap、FTP等协议进行日志的采集，并通过指

定的监听端口与告警接收级别进行设置所要接收的日志类别；支持日志信息的统一管理，系统通过统一集中的日志管理展现；

支持上百种设备及应用日志；原始日志数据进行高效压缩存储；支持资产自定义检验脚本、运维脚本、改密脚本以及自定义脚本测试，实现所有资产的运维及改密功能；

运维人员能够自行发起主动运维申请，提交自己需要运维的主机及本次运维需要执行的命令；部门领导审批通过后，运维人员才可按照申请内容进行运维，否则无法进行任何操作；

运维申请范围可设置在申请清单、授权清单或者混合清单中；

支持对ORACLE、MSSQL、MySQL等数据库远程访问协议审计；

提供领导离线审批功能，仅需匹配领导的登录账号和动态口令牌口令即可自动通过审批；

支持运维脚本批量定时执行，可按照日、周、月设置执行时间，可批量上传多个脚本，可根据设备、协议、设备账号、脚本目录、结果存放目录等创建自动脚本任务；任务到期自动执行，执行的结果自动发送给相关管理员或者保存到FTP服务器；

支持脚本上传后需通过上级主管审批后才可执行；若有多级主管，可自定义中间人审批权限为审批通过

、审批拟通过、审批拒绝、审批拟拒绝多种审批权限；

对于重要设备的危险指令操作，需要有复核人对运维人员的操作进行复核后才可继续操作；

支持Oracle、Informix、DB2、SQL Server、Sybase、MySQL、Cache、PostgreSQL通用数据库及达梦、人大金仓等国产数据库审计、告警，FTP、TELNET操作命令的审计；

采用物理旁路的方式接入，交换机镜像端口方式部署，特殊数据库可采用部署agent方式实现数据库审计。

提供网络设备综合监控管理界面，能够直观查看网络设备的资产信息、运行信息、事件与告警信息等，在运行信息中可查看设备当前可用性、当前未处理事件数、已告警事件数、已恢复事件数、连续运行时间、PING检测状态、PING响应时间等；

支持网络拓扑发现、软硬件监控、电视墙、业务服务、故障告警功能；

支持从AD域、LDAP服务器批量导入用户，包括域组织结构同步和安全组同步两种方式；支持自动导入和手动导入。

支持多种认证方式：本地口令认证、Xxxxxx认证、LDAP认证、AD域认证、内置动态口令牌认证、短信认证、手机动态口令认证、双因素认证、任意两两组合的双因素认证。

支持动态口令牌认证采用SM3国密算法且内置于系统中，用户无需额外部署认证服务器。支持对数据库资产的自动扫描发现添加数据库功能。

根据敏感语句、sql注入、漏洞攻击、风险操作等维度，分析信息并进行展示，支持规则命中查询、支持风险检索

支持syslog、SNMP Trap、FTP等协议进行日志的采集，并通过指定的监听端口与告警接收级别进行设置所要接收的日志类别；

支持将不同设备所产生的不同格式的难以理解的日志数据进行统一格式化处理，提炼出有用信息清晰、明确的展示给管理者；

管理员可以对日志源进行查看、添加、编辑、删除以及启\禁用的操作；

支持对常见的网络设备、主机设备、数据库等日志源接收设置，通过统一页面进行管理展示；

能够灵活设置策略名称、监控项、事件级别、日志内容、日志特性、日志级别以及策略和处理动作；支持对已添加规则进行查看、编辑、批量及单个删除；支持将日志审计事件与等级保护规则相匹配；支持对日志规则生成事件的查看与处理；支持将日志审计事件转入流程进行处理；实时监测，显示最新的日志审计事件；

支持当天、每周、每月告警事件的统计；

支持多种告警方式的配置，例如邮件、短信、微信；

支持日志信息的统一管理，系统通过统一集中的日志管理展现；支持上百种设备及应用日志；原始日志数据进行高效压缩存储；

支持对Windows服务器、Linux服务器、交换机、路由器、应用系统、数据库等系统的日志采集与集中

存储，依据时间、源IP地址、日志级别、特性等多维度的日志查询，日志统计分析，日志规则告警及报

表管理，

支持对网络中终端的监控，包括：摄像头、打印机、电源，能够监控到打印机的墨粉使用率、带宽、缺纸与卡纸状态，电源的电池容量、输入输出功率等；

含双因素认证。

可基于账号、IP/MAC地址、操作系统主机名、操作系统用户名、客户端工具、表、数据库操作、数据库实例等维度对行为模型做钻取分析、变更分析，对学习的安全基线以外的行为自动智能的进行告警。

支持客户端、WEB应用服务器、数据库服务器三层架构环境的审计，支持对WEB访问URL的审计，支持以时间、客户端IP、关键字等条件的查询功能。

可将中间件审计结果与数据库操作自动关联，形成客户端信息、客户端访问URL、中间件服务器信息、访问SQL语句、数据库服务器信息一条完整链路，实现前端用户与数据库操作的关联。

支持配置巡检，能对IT资产进行定期的配置核查，了解IT资产整体状况；

支持可用性巡检，能够针对资产的可用性进行定期巡检，了解资产运行状况；

支持安全性巡检，能够自动化执行安全巡检，支持实现基于等保三级的巡检策略配置；

支持统计报表，查看资产巡检结果得分详情；支持对巡检结果生成统计报表，并以多种方式进行发送；支持对Window、Linux、AIX操作系统进行等保三级检查项的安全自检；

支持通过作业任务，将文件分发、脚本执行、流程、通知及公告等信息关联起来，实现一整套自动化执行的作业流程；

能够灵活设置事件级别、需要审计的应用系统、阈值、审计/免审计的类型、审计/免审计的时间段，以及处理方式。

提供数据库服务器状态告警信息，包括设备名称、设备IP、告警时间、告警类别、告警内容等。最大支持800路字符会话或200路图形会话并发。

含应用托管中心一套，用于扩展对自定义协议以及非标准运维协议的支持

此平台充分满足等保2.0的一个安全管理中心要求：能与资产监控、堡垒机、日志审计、数据库审计等设备无缝衔接，同台展示，建立一个智能运维安全管理大平台。

提供原厂商首次安装服务，三年原厂质保。提供5年原厂工程师现场服务，服务级别：5×9×NBD，2小

时响应。

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

附表六：防病毒软件是否进口：否

参数性质

序

号

具体技术(参数)要求

1、支持当前待处理高危风险展示，包括弱口令、待处理病毒、待处理漏洞数据，并支持一键跳转到对应处理页面

2、支持控制台动态更新显示全网终端安全状态分布，包括：终端总数、在线终端数、防护中终端数、异常设备数；

3、支持自定义安全策略、安全策略可继承，内置多个初始策略模板，包括防护模板、审计模板

4、支持对CPU使用率监控、内存占用率监控、磁盘读写监控、上下行流量监控。

5、支持对CPU、内存、磁盘读写、网络上下行流量达到配置阈值时告警。支持对CPU、内存达到一定阈值时客户端进行熔断。

6、支持自动收集终端资产信息，包括：计算机名称、内核版本、操作系统、处理器、主板、内存、硬盘

、显卡、终端版本、病毒库版本、最近更新时间

7、支持自动收集终端资产：监听端口、运行程序、账号、软件、启动项等信息，并支持从资产的维度和信息的维度去查看数据，支持数据的导出

8、违规外联支持黑、白名单双模式，白名单模式可配置是否允许访问特定的网站和地址；黑名单模式可自定义恶意IP，支持黑名单告警和阻断。

9、支持流量画像，支持全网流量可视化。

10、支持登录防护，包括以系统账号为粒度的异常登录防护、支持五个任意维度（任意IP，任意域名，任意计算机名，任意时间）的系统登录访问策略设置。

11、具备为用户提供Windows漏洞修复的热补丁列表能力。

12、支持扫描的漏洞类型包括但不限于操作系统漏洞（Windows、Linux等）、数据库漏洞（MySQL

等）、Web容器漏洞（Tomcat、Apache、Ngnix等）及其他组件漏洞。

13、支持对无线网卡、光驱、软驱、打印机、调制解调器、红外设备、蓝牙设备、摄像头、鼠标、键盘

、手机/数码设备的权限管理。

14、支持对USB接口、串口/并口、1394控制器、PCMCIA等接口的控制。

15、针对Windows系统，提供内核级的数据防护能力，保护文件不被恶意修改、加密等，可自定义配置保护的文件及目录，支持设置例外进程。

16、提供专门的勒索风险评估功能。

17、支持强力查杀，对于无法普通隔离的病毒文件进行处理并加入隔离区，或动态移动到信任区。

18、支持部分病毒感染文件的修复功能，对于二进制文件可剥离感染部分，保证应用正常使用。

19、支持下发文件、安装应用程序、远程执行命令。

20、支持对屏幕拍照泄密数据的行为进行溯源。

21、支持多级中心部署，查看所有下级控制中心的资产部署情况以及风险数据。

22、支持通过web页面进行客户端推广部署，推广页面支持自定义 23、管理中心支持支持Windows系统部署及Linux系统部署。

24、支持自动识别指定AD域和邮件服务器的PC，自动准入发现并下发权限控制策略

25、支持AD域环境，无需安装任何客户端。支持Windows设备安全检查，其中包括防病毒软件检查、是否加域检查、系统补丁检查、服务检查、软件及软件组检查。

26、支持MacOS安全检查，其中包括防病毒软件检查、终端是否加域检查、进程运行检查、软件、软件组配置检查和屏保检查

27、支持通过WMI协议发现Windows终端设备信息

28、可与WEB应用防护系统、态势感知实现统一联动统一管理。

29、提供原厂商首次安装服务，三年原厂质保。提供5年原厂工程师现场服务，服务级别：5×9×NBD

，2小时响应。

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

附表七：数据备份系统是否进口：否

参数性质

序

号

具体技术(参数)要求

1、国内品牌，一体化数据备份容灾及存储系统；

2、支持iSCSI/NAS功能，具有自动数据备份、数据增量、差量备份、压缩、加密、重复数据删除等功能

，支持Windows、Mac、linux、Unix等操作系统，支持对常用数据库及应用系统等备份，支持异地容灾功能。

3、支持RAID 0，1，5，50，6，60等；支持重复数据删除技术、数据压缩技术,支持RAID在线扩容、支持全局热备盘技术等。

4、备份加密方式：支持备份数据Twofish、DESede、AES加密算法；支持ECB、CBC 加密方式；支持

128/256位加密密钥长度；支持SSL 数据传输加密；支持最高448位加密密钥长度的磁盘加密。

5、全中文化Web界面管理，提供设置向导功能，配置简捷方便；

6、所有功能管理全部集成在同一个Web界面，方便管理；

7、支持SNMP/Email报警功能；

8、支持系统配置备份与恢复功能；

9、支持系统性能报表及诊断功能。

10、存储备份系统为存储专用基于非Windows的64位嵌入式系统，存储备份系统与备份数据存储空间完全独立，减少病毒感染机率，确保存储备份系统稳定，存储备份系统与备份容灾系统整合成为一体，无需再额外配备份服务器；

11、支持CIFS/SMB、NFS、AFP共享空间快照功能，可手动创建快照，可自动定时创建快照，方便随时查看文件的历史版本；

12、支持各版本Windows、MAC、Linux、Unix等操作系统； 13、支持MS SQL、Oracle等数据库及VM Ware等应用系统；

14、支持增量、变化量数据备份技术，支持将数据还原为任意版本；

15、支持持续数据保护（CDP）；

16、支持恢复Windows 文件权限；支持备份Windows 打开文件；

17、支持定期循环冗余校验检查，确保备份数据可恢复性；

18、支持自动压缩备份数据以减少储存空间和备份速度；

19、支持自动执行备份前后自定指令，可自行撰写脚本结合其他应用程序；

支持断点续传、流量控制等有效的广域网数据备份技术，减少网络通信流量，提高数据传输的稳定性和高效性；

20、能够灵活定制备份策略，如具有定时备份功能，能够自主地设定数据库、文件备份的策略，

21、具有完全备份、增量备份、差分备份功能，并提供时间和多种计划触发机制，实现任务计划的灵活性；

22、支持使用Web或客户端按时间点进行数据恢复，数据可恢复到原始位置或其它位置，支持基于文件名以及扩展名完全匹配、包含、前接、后接类型进行过滤数据恢复；

23、全面支持私有云中心数据备份容灾管理，可利用酷备数据保险箱云备份功能轻松构建企业私有云容灾中心；

24、可限定云备份执行时间、备份内容及带宽占用等条件，一次设置可长期自动运行；

25、所有备份的文件在传送到酷备数据保险箱前可以通过用户自定义的密钥进行加密。密钥可选本地保存或集中管理，没有密钥时文件不能被解密或还原；

26、内置存储安全引擎,对硬盘驱动器上信息加密,提供更强大的保护,防止人为偷盗、设备丢失造成的数据损失及外泄；

27、内置专业防火墙功能，能够对内、外部网络的IP地址、通信端口进行过滤，可以防止数据备份容灾及存储系统被黑客攻击和病毒入侵； 28、内置虚拟化平台，可任意部署Windows、Linux、Unix等操作系统

29、2U12盘位；容量≥20T；≥2千兆口，可扩展2光口。

30、支持将获取的一个源数据库，创建成多个相同的虚拟数据库，虚拟数据库几乎不占用额外的存储空

间，并且可以在几分钟之内创建完成

31、支持将任意时间点的数据同时提供给多个辅助业务使用，虚拟数据库的数量不限，且支持同一目标机多实例虚拟数据库在线创建

支持Oracle/SQL Server/MySQL/MariaDB/DB2/PostgreSQL/

31、Informix/国产数据库的脱敏连接，支持txt、csv等文本数据的脱敏，支持Hadoop的脱敏

32、提供原厂商首次安装服务，三年原厂免费产品升级和保修服务。提供3年原厂工程师现场服务，服务级别：5×9×NBD，2小时响应。

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

附表八：入侵防御系统升级是否进口：否

参数性质

序

号

具体技术(参数)要求

1、软硬件维保：包含原厂叁年软硬件免费质保及免费上门服务；

2、技术支持服务：包含原厂叁年电话支持服务、电子邮件支持服务、远程登录支持服务、现场支持服务

、应急响应服务（技术支持能2小时内赶到现场）；

3、软件升级服务：包含设备同等功能软件版本更新、升级，含叁年最新应用识别规则库升级；

4、服务响应：对产品提供7×24小时电话服务，接用户服务电话后，1小时内响应，如不能远程处理，将会用最快时间内到达用户现场，24小时内修复故障，如24小时不能处理好故障，则提供同型号设备进行更换或代用。

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

附表九：防火墙升级是否进口：否

参数性质

序

号

具体技术(参数)要求

新增静态路由，RIP v1, RIP v2, OSPF, BGP, 组播路由等动态路由设置；新增DES，3DES，AES加密算法；

新增SSL VPN代理模式、通道模式、通道分割；新增硬件对防病毒扫描加速；

新增用户自定义的IPS特征库；

新增可扩展在线网站过滤功能，新增在线URL分类库实时检索；新增链路负载均衡策略；

新增基于关键字和文件指纹的内容过滤和审计；

新增角色可划分的管理员（超级，日志，策略等）；

10、包含原厂叁年软硬件免费质保及免费原厂工程师上门服务；

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

附表一十： WEB应用防护系统是否进口：否

参数性质

序

号

具体技术(参数)要求

万兆平台：标配≥2*GE电管理口，标配≥4*GE电业务口，≥4*GE光业务口，可扩展万兆4个口。网络吞吐量≥4Gbps,HTTP应用吞吐量≥2Gbps，HTTP最大并发数≥20万,保护站点无限制；

WAF-V3系统引擎，含核心安全引擎及基于特征库的安全防护模块；WEB缓存、WEB压缩、TCP连接优化、WEB访问审计、负载均衡；

★

高性能白名单安全识别模块、自学习建模模块、智能攻击者锁定模块、应用层CC防御模块、虚拟补丁自动生成模块、WEB访问流程合规防护模块支持透明串接、反向代理、旁路镜像等多种部署模式部署，支持链路聚合

支持集群模式、主-主模式、主备模式、硬件BYPASS、软件BYPASS支持多条链路数据的防护，防护网段数量不限

支持ipv4/ipv6双协议栈

支持自动发现网络环境中存在的Web业务系统，记录服务器的IP、Port、域名等信息。

支持HTTPS协议的选择可以选择SSL/TLS协议版本，可选SSLv3、TLS1.0、TLS1.1、TLS1.2支持透明串接和旁路反向代理下的HTTPS业务的安全防护

支持源地址识别，部署在SSL网关后面，能够解析到真实的访问者IP，并能对真实的IP进行防护和阻断支持证书批量管理，并且支持证书有效性检测

在单个服务器通过相同的IP地址为多个HTTPS域名提供服务时，WAF可以通过启用SNI，准确确定域名与证书的对应关系。

支持对跨站脚本(XSS)和注入式攻击（包括SQL注入、命令注入、代码注入、文件注入、LDAP注入、S SI注入等）的检测防护

支持防护Session-Fixation攻击，防止提交过期会话进行攻击检查HTTP报文合法性

检查HTTP报头是否有缺失或为空

通过检查上传和下载的文件类型，防止下载敏感文件和上传webshell文件检查HTTP报头长度，防止缓冲区攻击

内置身份证、银行卡、手机号、社保号等个人敏感信息数据，对服务器返回的敏感个人信息数据通过星号进行隐藏，并支持用户自定义敏感词。

支持禁止防敏感词发布，防止提交政冶敏感、违反法规相关的言论信息，保障网站的内容健康呈现内置安全规则可有效识别baidu、google、yahoo等常见网络爬虫的访问行为

支持防护WEB容器漏洞，防止Nginx、IIS、Tomcat等WEB服务器漏洞

支持防护Kuwebs、phpcms、TRS WCM、JBR-CMS、DeDeCMS内容管理系统等开源CMS漏洞支持防护WEB服务器插件漏洞，防止Apache Struts2漏洞、

支持对HTTP请求中URI、HOST、参数、参数名、请求头、Cookie、版本号、方法和请求体及HTTP响应的响应体等条件进行自定义

支持多种组合条件，并且对于编写的正则表达式需要支持在WAF的管理界面上在线验证合规性。

WAF与云端高防中心联动，通过WAF一键开启防护，实现3-7的DDOS安全防护，可提供1T的抗D能力可基于时间设置对客户端IP放行、阻断或检测

支持链路聚合，提升网络带宽、增加容错性和链路负载均衡支持集群模式、主-主模式、主备模式

能详细记录攻击事件的HTTP请求头信息，含请求的URL、UserAgent、POST内容，cookie等所有的请求头内容

能详细记录服务器响应头信息，服务器响应内容

根据产生的安全日志进行智能分析，提高人工分析效率，减小规则误判概率。

支持记录应用防护日志、网络防护日志、CC防护日志、访问审计日志、防篡改日志、操作日志、系统日志、升级日志

支持HTTPS站点SSL算法自动探测功能。探测时可以设置指定站点及端口，可以显示探测结果

支持客户端安全防护，插入特殊的HTTP报头以保护客户端免受某些攻击包括但不限于增加以下安全报头

：X-Frame-Options（用于防护客户端免受Clickjacking攻击）、X-Content-Type-Options（以防止浏览器将文件解释为内容类型声明以外的其他内容）、X-XSS-Protect（用于当检测到XSS攻击时，指示浏览器停止加载页面）、Content-Security-Policy（用于降低浏览器上的XSS风险和数据注入攻击）

设备管理采用管理员与审计员分离,可与态势感知、防病毒系统实现统一联动统一管理，实现对未知威胁的感知拦截

支持标准网管 SNMPv3，并且兼容SNMP v1和v2c

支持系统升级并可查看升级日志;支持Syslog、手机短信、邮件等多种告警方式

提供原厂商首次安装服务，三年原厂特征库升级和三年原厂硬件质保。提供5年原厂工程师现场服务，服务级别：5×9×NBD，2小时响应。

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

附表一十一：数据库审计系统升级是否进口：否

参数性质

序

号

具体技术(参数)要求

新增在目标数据库安装agent解决云环境、虚拟化环境内部流量无法镜像场景下数据库的审计；新增按一定的周期强制修改密码；

新增本地密码认证、动态口令认证、Xxxxxx认证、AD域认证、LDAP认证、双因素认证方式等多种认证方式登录；

新增自定义启用或停用验证码登录功能；新增数据中心和审计引擎的分布式部署；

新增数据库审计，告警，数据库弱口令扫描，数据库健康扫描，数据库安全扫描，数据库优化分析；新增对常见的数据库，如Mysql、Oracle、SQLServer进行漏洞扫描；

新增对定时发现的数据库以邮件、短信、Syslog等方式提醒；新增锁定当前会话功能；

10、新增对cache数据库,并新增少有的Cache数据库的Global访问方式和Object访问方式审计； 11、新增外接同品牌存储产品，以保证归档数据的安全及可靠性；

12、新增统一管理功能：可与智能运维安全管理平台实现无缝联动，实现无中断升级及维护。

13、提供原厂商三年硬件质保及三年软件升级服务，三年原厂工程师免费上门服务。

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

附表一十二：运维管理审计系统升级是否进口：否

参数性质

序

号

具体技术(参数)要求

新增结合时间和来源IP制定高级访问控制策略，策略类型包括允许访问和拒绝访问；时间访问控制策略新增设置登录时间段方式，地址访问控制策略新增设置多个IP段方式，以确保可信用户访问其拥有权限的主机设备；

新增部门的整个生命周期管理，可方便添加、删除、修改部门信息及部门成员；新增部门和部门所属设备以EXCEL方式批量导入、导出功能；新增批量删除部门信息；

新增主机设备的整个生命周期管理，可添加、删除、修改主机设备内容；主机设备可设置部门属性，通过部门分级实现主机设备只能本部门管理员管理；

新增角色以EXCEL方式批量导入、导出功能；

新增Telnet、SSH、RDP、FTP、SFTP协议使用C/S客户端工具通过菜单选择方式或直接输入IP方式登录目标资源；

新增主机设备自定义检验脚本、运维脚本、改密脚本以及自定义脚本测试，实现所有主机设备的运维及改密功能新增；

新增用户账号密码强度管理，包括设定密码长度、密码复杂度、是否包含大写字母、是否包含小写字母

、是否包含数字、是否包含特殊字符；新增一键恢复设备初始密码功能；

新增运维人员能够自行发起主动运维申请，提交自己需要运维的主机及本次运维需要执行的命令；部门领导审批通过后，运维人员才可按照申请内容进行运维，否则无法进行任何操作；

10、新增统一管理功能：可与智能运维安全管理平台实现联动，实现无中断升级及维护。

11、提供原厂商三年硬件质保及三年软件升级服务，三年原厂工程师免费上门服务。

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

附表一十三：日志审计系统升级是否进口：否

参数性质

序

号

具体技术(参数)要求

★

新增标准的syslog协议进行日志的采集，通过指定的syslog监听端口与告警接收级别进行设置所要接收的日志类别；

新增日志信息的统一管理，系统通过统一集中的日志管理展现；

新增支持原始日志数据进行高效压缩存储,灵活设置系统日志存储空间上限，达到告警上限提示管理员及时处理，达到删除上限会自动删除最旧日志释放空间；

新增自定义存储位置（磁盘阵列、SAN、NAS等外部存储网络）以获取超大存储空间；

新增对系统内关键数据的自动备份与恢复功能，备份方式为实时手动备份，保证客户数据的完整性与数据迁移的便捷性；

新增日志可加密压缩传输，保证数据的完整性和机密性；

新增多种方式的查询检索，包括：日志检索、事件检索、告警检索、高级检索等；新增以日志类型、时间范围及条件字段快速检索过滤；

新增全网日志级别数量统计展示图，新增全网日志数量时间分布展示图；

10、新增具有防恶意暴力破解账号与口令功能,口令错误次数可设置，超过错误次数锁定，锁定时间可设置；

11、新增系统内置安全防火墙，可设置防火墙策略；

12、新增统一管理功能：可与智能运维安全管理平台实现联动，实现无中断升级及维护。

13、提供原厂商三年硬件质保及三年软件升级服务，三年原厂工程师免费上门服务。

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

说明

附表一十四：态势感知是否进口：否

参数性质

序

号

具体技术(参数)要求

硬件外形：软硬一体化2U标准机架式设备；电源：1+1冗余电源

标配≥6个10/100/1000M以太网端口；≥4个光口；接口扩展：千兆RJ45网口*4 + 千兆SFP光口*4 ）或 x兆SFP光口*2 或 x兆SFP光口*4 。

旁路镜像模式部署，不影响服务器处理性能和网络架构；

支持旁路部署和分布式部署，对探测器可以添加、删除，显示探测器版本、状态和IP，管理中心可实现告警统一管理；可自定义管理中心和探测器之间的数据传输速率、时间、发送目录等参数；

设备吞吐率网络层≥4Gbps；应用层≥2Gbps；HTTP最大并发数：≥20万/秒；邮件处理数：≥300万封/24小时；支持全流量检测，可根据需求打开或关闭全流量检测功能；

支持接入文本格式、CVS等格式的文件数据，可通过模板文件的填写导入实现资产数据的导入和管理；支持通过云端对接、本地导入或手动编辑的方式，接入威胁情报数据；

大数据平台中的安全数据，包括告警数据、资产数据、工单等至少20种可共享给第三方系统，实现数据共享和交换；支持IPv4和IPv6网络环境下的部署，可同时对IPv4和IPv6网络流量分析检测；

支持风险数据包保存功能，以帮助用户还原攻击过程，进行取证和关联分析；可提供防勒索病毒解决方案；

支持数据包去重功能，在原始流量存在重复包的情况下能够自动剔除重复的数据包，确保分析结果的准确性，数据包去重功能不影响设备的处理性能；

支持解析HTTP、FTP、SMTP、POP3、SMB、IMAP、DNS、Mysql、MSSQL、Oracle、HTTPS、SMTPS、POP3S

、IMAPS等协议报文（HTTPS、SMTPS、POP3S、IMAPS加密协议解析需要导入服务器私钥证书），并提供审计协议类型的端口号配置，可根据需要变更端口号；

支持非标端口下的常规协议自动识别、解析和威胁检测功能，包括HTTP/FTP/IMAP/SMTP/POP3/SSL/SMB/RDP等；

★

可自定义是否启用该功能；

数据采集和处理性能≥12000EPS，每条数据大小>1KB；可接收全流量吞吐量≥2Gbps接入日志源不少于200个；1 0亿数据关键字查询结果响应时间<2秒；

支持检测WEB攻击、恶意文件攻击、远程控制、WEB后门访问、发件人欺骗、邮件头欺骗、邮件钓鱼、邮件恶意链接

、DGA域名请求、SMB远程溢出攻击、WEB行为分析、非法数据传输、弱口令、隧道通信、暴力破解、挖矿、恶意工具利用、密码明文形式传播、漏洞利用、ARP欺骗、扫描行为等风险；

支持通过多种类型的安全、泛安全类数据接入采集，应包括但不限于设备日志数据、流量数据、弱点漏洞数据、系统性能数据、威胁情报数据、资产人员数据；

支持通过流量采集设备采集接入全流量数据，包含流量中的请求包和返回包等信息，并可在数据检索中体现包信息；支持挖矿活动、流氓软件、可疑文件、勒索软件、僵木蠕、Webshell等25000种以上恶意程序检测规则，可针对任意单条规则进行启用和禁用；

支持文件白名单、发件人邮箱白名单、发件人域名白名单、黑域名白名单、黑IP白名单、域名白名单、客户端IP白名单

、服务端IP白名单、WEB特征风险白名单、IDS规则白名单的配置；

支持私网IP地址或网段的地理位置配置，在风险信息中按实际配置数据，展示对应IP地址的地理位置信息；同时支持原始日志、标准化数据、告警数据≥3种数据的共享和交换；

支持违规操作、违规访问、违规应用、违规外发等300种以上行为审计检测规则，可针对任意单条规则进行启用和禁用

；

支持隧道通信、可疑内容、恶意IP、恶意域名、恶意证书、远程控制等3000种以上可疑通信检测规则，可针对任意单条规则进行启用和禁用；

支持对HTTP、IMAP、SMTP、POP3、Telnet、FTP等协议的弱口令检测；

支持前端拖拽式交互设计安全风险分析研判策略和联动响应剧本，支持多种策略编排动作，包括但不限于数据源、分析组件、处置响应等，可自动判断策略编排是否合理并弹窗提示；

支持端口扫描、服务扫描、Web扫描、扫描器指纹检测等300种以上的扫描探查检测规则，可针对任意单条规则进行启用和禁用；

支持SMB漏洞、RDP漏洞、软件漏洞、设备漏洞、系统漏洞、拒绝服务漏洞、shellcode等7000种以上漏洞利用检测规则，可针对任意单条规则进行启用和禁用；

安全分析模型支持自定义创建，可通过字段映射、静态值、模板、表达式等多种方式自由定义分析模型的告警名称、威胁等级、告警类型、攻击链、可选字段、告警描述、处置建议等内容；

支持自定义弱口令规则配置（最短口令长度、最少字符类型数），自定义新增弱密码及其检测类型；

支持对HTTP协议请求头中用户认证弱口令、对JSON格式(逗号分割和冒号区分键值)的用户信息提取和弱口令、明文口令和MD5加密口令碰撞的弱口令、BASE64加密口令的弱口令等进行检测；

平台内置不少于8种机器学习分析场景模型，可检测发现勒索挖矿告警数异常、安全设备日志数异常、网络会话数异常

、域名请求数异常等特定场景条件下的安全态势异常；

支持自定义部署AI机器学习模型，允许用户选用的高级机器学习算法不少于4种，通过输入任意指标类数据进行模型训练，发现异常行为并生成安全事件与告警，辅助用户发现潜在的安全风险；

支持自定义HTTP登录行为关键字，包括用户名和密码。支持弱口令风险、明文传输风险、HTTP配置风险、中间件配置风向、数据库配置风险、服务配置风险等100种以上配置风险检测规则；

支持HTTP、SMB、SMTP、IMAP、POP3、FTP、TELNET、RADMIN、SSH、RDP等协议的暴力破解，能识别出尝试登录次数、账户信息、爆破成功与否的攻击状态；

支持HTTP协议的明文密码泄露行为检测，能识别出登录页面URL、账户和明文密码；

支持根据MAC与IP地址的绑定关系，分析网络中的ARP流量，判断ARP应答包中的IP和MAC地址是否匹配；

支持端口扫描、服务扫描、Web扫描、扫描器指纹检测等300种以上的扫描探查检测规则，可针对任意单条规则进行启用和禁用；

支持SMB漏洞、RDP漏洞、软件漏洞、设备漏洞、系统漏洞、拒绝服务漏洞、shellcode等7000种以上漏洞利用检测规则，可针对任意单条规则进行启用和禁用；

支持端口过滤配置，对指定端口的网络流量不做分析检测；支持IP过滤配置，对指定IP或IP对的网络流量不做分析检测

，可通过批量导入、导出等方式完成IP过滤的配置；

支持详细展现风险等级、时间、威胁名称、攻击状态、攻击方向、客户端IP、客户端IP所在地理位置、服务端IP、服务端IP所在地理位置、报文、操作等信息，包含请求URL、请求类型、请求内容、请求头、Host、User-Agent、Accept

、Accept-Language、Accept-Encoding、Accept-Charset、Keep-Alive、Connection、Cookie、请求参数、响应码、返回长度等信息，并提供相应的数据包下载链接；

支持端口扫描、服务扫描、Web扫描、扫描器指纹检测等300种以上的扫描探查检测规则，可针对任意单条规则进行启用和禁用；可与WEB应用防护系统、防病毒系统实现统一联动统一管理，

支持SMB漏洞、RDP漏洞、软件漏洞、设备漏洞、系统漏洞、拒绝服务漏洞、shellcode等7000种以上漏洞利用检测规则，可针对任意单条规则进行启用和禁用；

支持对内网主机进行主机威胁分析，详细展示具体的威胁等级、威胁次数、攻击开始时间、攻击结束时间、威胁性指数统计等；

可按攻击链阶段（弱点探测、渗透入侵、获取权限、命令与控制、数据盗取）详细展示主机相关事件数量；

审计数据保留策略应至少满足天数和百分比两个控制参数，支持web界面可配置，且恢复数据不影响正常的审计功能。对审计日志可自动备份并加密，必须导入设备才能进行恢复查看，并可自动释放磁盘空间；

攻击溯源：支持大屏展示风险较为严重的事件，并进行攻击溯源，包括攻击主机个数最多的情报事件TOP10、威胁情报告警类型分布、3D攻击关系图、威胁活动（弱点探测、渗透入侵、获取权限、命令与控制、数据盗取）；支持按IP搜索关联的攻击事件，包括攻击拓扑图、攻击者基本信息、被攻击者信息、攻击过程（攻击过程列表内容包括时间、攻击者、被攻击者、攻击链阶段、风险标签、攻击次数）。

提供原厂商首次安装服务，三年特征库升级和三年原厂硬件质保。提供5年原厂工程师现场服务，服务级

别：5×9×NBD，2小时响应。

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

附表一十五：入侵防御系统是否进口：否

参数性质

序

号

具体技术(参数)要求

产品应采用专用机架式硬件设备，系统硬件为全内置封闭式结构, 1+1冗余电源；

基本网络接口：千兆电口*6,2对千兆电口Bypass , xxx口*4，可扩展，接口扩展：（千兆RJ45网口*

4 + 千兆SFP光口*4 ）或 x兆SFP光口*2 或 x兆SFP光口*4。本次提供标准配置1路WAF防护功能

；

吞吐能力：吞吐量≥4000Mbps；防护能力：≥2800M；并发TCP会话数：≥1000万

部署模式：透明部署（基于透明网桥），需即插即用，无需做任何配置即可防护。支持旁路部署。策略路由（支持流量牵引）；

支持单一设备部署和多级分布式部署方式；

总控中心管理：支持通过总控中心管理检测设备，并支持总控中心与检测设备的数据交互；检测引擎：高性能攻击特征检测引擎；

防护规则：系统提供完善的内置规则；提供高度灵活的自定义规则向导，适用于高级用户；

★

规则数量：≥24000条；

基本攻击拦截能力：支持拦截对操作系统、数据库、邮件服务、FTP的攻击；

提供基于全流量、大数据的分析方法，并支持在木马植入、木马活跃、木马潜伏不同生命周期阶段，采用不同的检测方法识别木马行为；

基于木马流量行为特征检测未知木马，具备木马流量特征库；

识别木马行为并能实时报警，报警数据中包含触发报警的网络数据；可在显示页面上直接查看网络数据

；

恶意IP连接实时报警和统计：包含黑IP库，可通过数据包实时分析内部终端与恶意IP进行连接，具有40万条以上IP地址对应地理位置信息。报警数据中包含触发报警的原始网络数据；可在显示页面上直接查看网络数据；

支持木马、威胁和资产的关联分析，可按照资产重要程度、威胁严重程度设置报警；

资产管理：提供对资产、业务系统资产管理功能，支持添加、修改、删除资产信息，支持通过上传模板方式进行资产信息的批量导入；

上网行为管理：识别应用库不少于500种，并能够对其进行访问控制；

支持恶意域名防护策略,能够对色情/赌博/钓鱼/黑客/欺诈/违规类别进行域名区分，并提供访问控制；恶意域名连接实时报警和统计：包含黑域名库，可通过数据包实时分析内部终端与恶意域名进行连接。报警数据中包含触发报警的原始网络数据；可在显示页面上直接查看网络数据；

恶意URL连接实时报警和统计：包含黑URL库，可通过数据包实时分析内部终端与恶意URL进行连接。报警数据中包含触发报警的原始网络数据；可在显示页面上直接查看网络数据；

动态域名分析：可检测分析内部终端与动态域名进行连接，并产生记录，记录数据中包含触发条件的原始网络数据，可在显示页面上直接查看网络数据；

规律性域名解析：可对规律性域名访问进行检测分析，并产生记录，记录数据中包含触发条件的原始网络数据，可在显示页面上直接查看网络数据；

非常见服务端口检测：可对非常规服务端口访问进行检测，并产生记录，记录数据中包含触发条件的原始网络数据，可在显示页面上直接查看网络数据；

碎片组包：支持任意碎片组包；支持超长报文组包（最大30M）；

访问控制：基于规则的ACL；来源IP的ACL；目的IP的ACL；针对规则的ACL；支持基于时间的计划任务

；

协议还原：能够实时捕获网络中的数据流量，并从会话报文序列识别出应用层协议，支持协议类型包括F TP、HTTP、POP3、IMAP、SMTP、DNS等。支持从已识别出应用层协议类型的数据流还原出应用层会话数据，如：HTTP传输的内容、POP3收的邮件、FTP传送的文件等；

规则测量：支持对已有的访问控制规则进行冲突检测，发现重复的访问控制策略，帮助用户优化访问控制策略，去除冗余条目；

URL访问数量异常：可对URL访问数量异常进行检测分析，并产生记录，记录数据中包含触发条件的原始网络数据，可在显示页面上直接查看网络数据；

上下行流量异常：可对网络流量的上下行流量异常进行检测分析，并产生记录，记录数据中包含触发条件的原始网络数据，可在显示页面上直接查看网络数据；

某IP传输总量异常：可对某IP传输总量异常进行检测分析，并产生记录，记录数据中包含触发条件的原始网络数据，可在显示页面上直接查看网络数据；

内网IP外联异常：可对内网IP外联异常进行检测分析，并产生记录，记录数据中包含触发条件的原始网

络数据，可在显示页面上直接查看网络数据；

802.1Q支持：支持VLAN解码，在Trunk线路上部署并提供防护；

端口汇聚（Trunk）：支持端口汇聚（Trunk），显著提高设备间的吞吐能力；路由配置：支持静态路由的配置；

检测分析结果可按时间、威胁类型等组合条件进行查询；

报表类型：安全报表（入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地理位置、网络接口流量趋势）；

报表查询：按事件类型、统计目标或周期类型条件进行统计；

输出格式：支持将生成的报表以HTML、Word等通用格式输出；

日志类型：系统日志、审计日志和安全防护日志（入侵记录、攻击源IP所处地理位置、网络流量）；日志查询：可基于时间、IP、端口、协议、动作、规则、规则类别、危害等级、等条件进行日志查询；日志管理：日志导出、清空、自动磁盘日志清理；

监控类型：安全事件监控、访问情况监控、设备负载监控；

系统信息：显示网络接口状态，引擎状态、系统CPU、内存及磁盘使用率；维护工具：抓包工具，可抓取的网络原始报文，用于分析网络状况；

配置备份与导入：支持系统配置的备份与导入功能；

要求与原有设备实现HA双机：支持主从部署模式；支持链路是否正常的监控；支持双机配置自动同步；硬件BYPASS：内置bypass模块，设备故障直接切换到bypass模式；

售后服务支持：上述硬件平台、所有软件功能模块提供三年原厂保修和升级服务。为应对网络安全事件

，投标方应成立WEB安全应急处置小组进行紧急响应，响应时间：7×24小时响应。

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

附表一十六：网闸维保是否进口：否

参数性质

序

号

具体技术(参数)要求

1、软硬件维保：包含原厂三年软硬件免费质保及免费上门服务；

2、技术支持服务：包含原厂三年电话支持服务、电子邮件支持服务、远程登录支持服务、现场支持服务

、应急响应服务（技术支持能2小时内赶到现场）；

3、软件升级服务：包含设备同等功能软件版本更新、升级，

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

附表一十七：风险评估是否进口：否

参数性质

序

号

具体技术(参数)要求

依据《GB/T 20984-2007 信息安全技术信息安全风险评估规范》、及国内外相关信息安全标准和规范

，对甲方指定的信息系统从风险管理、应急管理、系统安全、数据安全、应用安全、网络安全等几方面开展信息安全评估工作，并根据评估过程中发现的安全问题，协助甲方完成整改和加固工作。

漏洞扫描：应采用专业的漏洞扫描工具对信息基础设施单位的各软、硬件设备可能存在的安全漏洞进行全面扫描，扫描对象包括关键的服务器、网络设备、安全设备、商用软件及应用等，并人工验证所发现的Web应用漏洞、主机操作系统漏洞、数据库漏洞、逻辑缺陷、弱口令、信息泄露及配置不当等脆弱性问题。

渗透测试：应对甲方指定的重要系统进行渗透测试，针对渗透测试发现的问题，反馈发现的问题给被检查单位。

基线检测：对指定的信息基础设施进行检查，包括各软硬件的基线配置合规性、安全防护策略的有效性，包括但不限于

：操作系统基线配置、数据库基线配置、中间件基线配置、网络设备基线配置、安全设备基线配置、WEB扫描系统策略

威胁分析：威胁分析是现场检查的一部分，使用必要的监测手段，结合人工验证分析的方式进行检测和分析，目的是深入检测被测系统所面临的威胁，包括是否已经被国外或其他机构植入特种木马、是否存在敏感信息泄露等，最后从一个侧面获得该系统的整体安全状况。

安全管理检查：对指定信息基础设施安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面进行检查，找出安全管理现状与相关标准之间的差距。

在安全评估过程中，为保障评估的准确性，必须使用2种以上商业化检测工具，

具备自动化渗透测试工具，可自动化包括支持网络远程扫描攻击测试，并且可取得真实有效的漏洞利用证据。可提供具备自主知识产权的Web扫描工具，且参与过web应用安全扫描标准的制定。

检测工具的安全扫描结果支持将漏洞以紧急、高危、中危、低危、信息进行危害程度的分类，并且可根据用户需要自定义漏洞等级。

可提供具备自主知识产权的数据库扫描工具，能够对数据库内核的篡改检测。

对指定系统进行一次信息系统安全评估工作

交付服务文档：《信息系统风险评估报告》。

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

附表一十八：安全服务是否进口：否

参数性质

序

号

具体技术(参数)要求

1.xxxx《GB/T22239-2019信息安全技术网络安全等级保护基本要求》为大庆市公积金管理中心两个三级系统开展基于等保2.0的等保测评工作；

2.从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等10个安全层面开展测评工作；

3.安全物理环境测评通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。测试过程中使用高低频电磁辐射计、绝缘电阻测试仪、粉尘颗粒物计数器等检测设备开展工作，并在报告中体现具体物理数值；

4.安全通信网络测评通过核查和验证测试的方式验证通信网络安全性，主要验证对象为广域网、城域网和局域网等；涉及的安全控制点包括网络架构、通信传输和可信验证；

5.安全区域边界测评通过核查和验证测试的方式验证网络区域边界的安全性，主要对象为系统边界和区域边界等；涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证等；

6.安全计算环境测评通过核查和验证测试的方式验证计算环境安全性，主要对象为边界内容部的所有对

象。包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等；涉及的控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等；

7.安全管理中心测评通过核查和验证测试的方式验证安全管理中心的安全性，主要对象为集中管控平台

、集中运维平台、日志审计系统等。涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控等；

8.安全管理制度测评将通过访谈和检查的方式测评信息系统的安全管理制度建立情况。主要涉及对象为

：信息安全管理体系、日常安全管理制度、重要操作规程及相关执行记录等；

9.安全管理机构测评将通过访谈和检查的方式测评信息系统的安全管理机构建立情况。主要涉及对象为

：安全管理机构设立文档、信息安全小组名单、岗位说明书、等文档及执行记录；

10.安全管理人员测评将通过访谈和检查的方式测评信息系统的人员安全管理方面情况。主要涉及对象为

：人事管理制度、外部人员访问要求等安全管理制度及执行记录；

11.系统建设管理测评将通过访谈和检查的方式测评信息系统的系统建设管理方面情况。主要涉及对象为

：系统建设过程中涉及的相关文档，如：系统定级报告、安全设计方案、测试验收报告等文档及软件开发、工程实施等方面的安全管理制度及执行记录；

12.系统运维管理测评将通过访谈和检查的方式测评信息系统的系统运维管理方面情况。主要涉及对象为

：系统运维过程中涉及的安全管理制度及执行记录；

13.在测评工作结束后，依据《网络安全等级保护测评报告2021版》为采购单位出具符合等保2.0测评要求的测评报告；

14.xxxx《GB/T28449-2018信息安全技术网络安全等级保护测评过程指南》开展现场测评工作，测评方法包括但不限于访谈、核查、工具测试等内容；

15.制定严格的风险控制方案，确保工具测试环节不会对采购单位信息系统造成损害；

16.依据《网络安全等级保护测评机构管理办法》（公信安【2018】765号）配置现场实施人员，且常驻在现场测评操作时四名测评师，分别为一名高级测评师、一名中级测评师和两名初级测评师；

17.依据《网络安全等级保护测评机构管理办法》（公信安【2018】765号）要求，本次项目现场实施人员有2人具备国家网络安全应用检测专业测评人员（NSATP-A）资质证书，项目实施前提供证书； 18.本次项目现场实施人员有2人具备国家商用密码应用安全性评估人员测评能力考核合格证书，项目实施前提供证书；

19.协助采购单位编写《定级报告》、《备案表》等合规性文档，并完成上述系统在公安机关的备案工作

；

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

附表一十九：安全加固是否进口：否

参数性质

序

号

具体技术(参数)要求

配合用户对信息系统进行整改，内容包括但不限于等保，定级备案服务、协助测评服务、安全漏洞检测服务、等保管理体系设计服务、差距分析服务、渗透测试服务、协助网络和主机安全加固服务，安全培

训服务、应急响应服务、安全管理制度建立等，3年运维服务。

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。

第五章投标人应当提交的资格、资信证明文件

投标人应提交证明其有资格参加投标和中标后有能力履行合同的相关文件，并作为其投标文件的一部分，所有文件必须真实可靠、不得伪造，否则将按相关规定予以处罚。

1.法人或者其他组织的营业执照等证明文件，自然人的身份证明：

（1）法人包括企业法人、机关法人、事业单位法人和社会团体法人；其他组织主要包括合伙企业、非企业专业服务机

构、个体工商户、农村承包经营户；自然人是指《中华人民共和国民法通则》（以下简称《民法通则》）规定的具有完全民事行为能力、能够承担民事责任和义务的公民。如投标人是企业（包括合伙企业），要提供在工商部门注册的有效“企业法人营业执照”或“营业执照”；如投标人是事业单位，要提供有效的“事业单位法人证书”；投标人是非企业专业服务机构的，如律师事务所，会计师事务所要提供执业许可证等证明文件；如投标人是个体工商户，要提供有效的“个体工商户营业执照”；如投标人是自然人，要提供有效的自然人身份证明。

（2）这里所指“其他组织”不包括法人的分支机构，由于法人分支机构不能独立承担民事责任，不能以分支机构的身份参加政府采购，只能以法人身份参加。“但由于银行、保险、石油石化、电力、电信等行业具有其特殊性，如果能够提供其法人给予的相应授权证明材料，可以参加政府采购活动”。

2.投标人应符合《中华人民共和国政府采购法》第二十二条规定的条件，提供标准格式的《资格承诺函》。

3.信用记录查询

（1）查询渠道：通过“信用中国”网站(xxx.xxxxxxxxxxx.xxx.xx)和“中国政府采购网”（xxx.xxxx.xxx.xx）进行查

询；

（2）查询截止时点：本项目资格审查时查询；

（3）查询记录：对列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单、信用报告

进行查询；

4.采购人或采购代理机构应当按照查询渠道、查询时间节点、查询记录内容进行查询，并存档。对信用记录查询结果中显示投标人被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的投标人作无效投标处

理。

5. 按照招标文件要求，投标人应当提交的资格、资信证明文件。

第六章评审

一、评审要求

1.评标方法

智慧公积金网络安全等级保护2.0系统建设：最低评标价法,是指投标文件满足招标文件全部实质性要求，且投标报价最低的投标人为中标候选人的评标方法。

2.评标原则

2.1评标活动遵循公平、公正、科学和择优的原则，以招标文件和投标文件为评标的基本依据，并按照招标文件规定的评标方法和评标标准进行评标。

2.2具体评标事项由评标委员会负责，并按招标文件的规定办法进行评审。

2.3合格投标人不足三家的，不得评标。

3.评标委员会

3.1评标委员会由采购人代表和有关技术、经济等方面的专家组成，成员人数为5人及以上单数，其中技术、经济等方面的评审专家不得少于成员总数的三分之二。

3.2 评标委员会成员有下列情形之一的，应当回避：

（1）参加采购活动前三年内,与投标人存在劳动关系,或者担任过投标人的董事、监事,或者是投标人的控股股东或实际控制人；

（2）与投标人的法定代表人或者负责人有夫妻、直系血亲、三代以内旁系血亲或者近姻亲关系；

（3）与投标人有其他可能影响政府采购活动公平、公正进行的关系；

3.3评标委员会负责具体评标事务，并独立履行下列职责：

（1）审查、评价投标文件是否符合招标文件的商务、技术等实质性要求；

（2）要求投标人对投标文件有关事项作出澄清或者说明；

（3）对投标文件进行比较和评价；

（4）确定中标候选人名单，以及根据采购人委托直接确定中标供应商；

（5）向采购人、采购代理机构或者有关部门报告评标中发现的违法行为；

（6）法律法规规定的其他职责。

4.澄清

4.1对于投标文件中含义不明确、同类问题表述不一致或者有明显文字和计算错误的内容，评标委员会应当以书面形式要求投标人作出必要的澄清、说明或者补正。

4.2投标人的澄清、说明或者补正应当采用书面形式，并加盖公章，或者由法定代表人或其授权的代表签字。投标人的澄清、说明或者补正不得超出投标文件的范围或者改变投标文件的实质性内容。

4.3评标委员会不接受投标人主动提出的澄清、说明或补正。

4.4评标委员会对投标人提交的澄清、说明或补正有疑问的，可以要求投标人进一步澄清、说明或补正。

5.有下列情形之一的，视为投标人串通投标

5.1不同投标人的投标文件由同一单位或者个人编制；（不同投标人投标文件上传的项目内部识别码一致）；

5.2不同投标人委托同一单位或者个人办理投标事宜；

5.3不同投标人的投标文件载明的项目管理成员或者联系人员为同一人；

5.4不同投标人的投标文件异常一致或者投标报价呈规律性差异；

5.5不同投标人的投标文件相互混装；

5.6不同投标人的投标保证金为从同一单位或个人的账户转出；

说明：在项目评审时被认定为串通投标的投标人不得参加该合同项下的采购活动。

6.有下列情形之一的，属于恶意串通投标

6.1投标人直接或者间接从采购人或者采购代理机构处获得其他投标人的相关情况并修改其投标文件或者响应文件；

6.2投标人按照采购人或者采购代理机构的授意撤换、修改投标文件或者响应文件；

6.3投标人之间协商报价、技术方案等投标文件或者响应文件的实质性内容；

6.4属于同一集团、协会、商会等组织成员的投标人按照该组织要求协同参加政府采购活动；

6.5投标人之间事先约定由某一特定投标人中标、成交；

6.6投标人之间商定部分投标人放弃参加政府采购活动或者放弃中标、成交；

6.7投标人与采购人或者采购代理机构之间、投标人相互之间，为谋求特定投标人中标、成交或者排斥其他投标人的其他串通行为。

7.投标无效的情形

7.1详见资格性审查、符合性审查和招标文件其他投标无效条款。

8.废标的情形

8.1出现下列情形之一的，应予以废标。

（1）符合专业条件的投标人或者对招标文件作实质响应的投标人不足3家；（或参与竞争的核心产品品牌不足3个）的；

（2）出现影响采购公正的违法、违规行为的；

（3）投标人的报价均超过了采购预算；

（4）因重大变故，采购任务取消；

（5）法律、法规以及招标文件规定其他情形。

9.定标

9.1评标委员会按照招标文件确定的评标方法、步骤、标准，对投标文件进行评审。评标结束后，对投标人的评审名次进行排序，确定中标人或者推荐中标候选人。

10.其他说明事项

x出现供应商因在投标客户端中对应答点标记错误，导致评审专家无法进行正常查阅而否决供应商投标的情况发生时，由投标人自行承担责任。

二、政府采购政策落实

1.节能、环保要求

采购的产品属于品目清单范围的，将依据国家确定的认证机构出具的、处于有效期之内的节能产品、环境标志产品认证证书，对获得证书的产品实施政府优先采购或强制采购。如所投设备属于《节能产品政府采购品目清单》中强制采购产品范围的

（如台式计算机，便携式计算机，平板式微型计算机，激光打印机，针式打印机，液晶显示器，制冷压缩机，空调机组，专用制冷、空调设备，镇流器，空调机，电热水器，普通照明用双端荧光灯，电视设备，视频设备，便器，水嘴等为政府强制采购的产品），供应商应提供国家确定的认证机构出具的、处于有效期之内的节能产品认证证书，否则其投标文件无效；

2.对小型、微型企业、监狱企业或残疾人福利性单位给予价格扣除

依照《政府采购促进中小企业发展管理办法》、《关于政府采购支持监狱企业发展有关问题的通知》和《财政部民政部中国残疾人联合会关于促进残疾人就业政府采购政策的通知》的规定，凡符合要求的小型、微型企业、监狱企业或残疾人福利性单位，按照以下比例给予相应的价格扣除：（监狱企业、残疾人福利性单位视同为小、微企业）

合同包1（智慧公积金网络安全等级保护2.0系统建设）

序号

情形

适用对象

价格扣除比

例

计算公式

注：（1）上述评标价仅用于计算价格评分，成交金额以实际投标价为准。（2）组成联合体的大中型企业和其他自然人、

法人或者其他组织，与小型、微型企业之间不得存在投资关系。

3.价格扣除相关要求

3.1所称小型和微型企业应当同时符合以下条件：

（1）符合中小企业划分标准；

（2）提供本企业制造的货物、承担的工程或者服务，或者提供其他中小企业制造的货物。本项所称货物不包括使用大型企业注册商标的货物。

（3）中小企业划分标准，是指国务院有关部门根据企业从业人员、营业收入、资产总额等指标制定的中小企业划型标

准。

（4）小型、微型企业提供中型企业制造的货物的，视同为中型企业。符合中小企业划分标准的个体工商户，在政府采购

活动中视同中小企业。

3.2在政府采购活动中，供应商提供的货物、工程或者服务符合下列情形的，享受《政府采购促进中小企业发展管理办法》规定的中小企业扶持政策：

（1）在货物采购项目中，货物由中小企业制造，即货物由中小企业生产且使用该中小企业商号或者注册商标；

（2）在工程采购项目中，工程由中小企业承建，即工程施工单位为中小企业；

（3）在服务采购项目中，服务由中小企业承接，即提供服务的人员为中小企业依照《中华人民共和国劳动合同法》订立劳动合同的从业人员。

在货物采购项目中，供应商提供的货物既有中小企业制造货物，也有大型企业制造货物的，不享受《政府采购促进中小企业发展管理办法》规定的中小企业扶持政策。

以联合体形式参加政府采购活动，联合体各方均为中小企业的，联合体视同中小企业。其中，联合体各方均为小微企业的，联合体视同小微企业。

3.3投标人属于小微企业的应填写《中小企业声明函》；监狱企业须投标人提供由监狱管理局、戒毒管理局（含新疆生产建设兵团）出具的属于监狱企业的证明文件；残疾人福利性单位应填写《残疾人福利性单位声明函》，否则不认定价格扣除。

说明：投标人应当认真填写声明函，若有虚假将追究其责任。投标人可通过“国家企业信用信息公示系

统”（xxxx://xxx.xxxx.xxx.xx/xxxxx.xxxx），点击“小微企业名录”（xxxx://xxxx.xxxx.xxx.xx/）对投标人和核心设备制造商进行搜索、查询，自行核实是否属于小微企业。

3.4提供投标人的《中小企业声明函》、《残疾人福利性单位声明函》（格式后附，不可修改），未提供、未盖章或填写内容与相关材料不符的不予价格扣除。

三、评审程序

1.资格性审查和符合性审查

1.1资格性审查。依据法律法规和招标文件的规定，对投标文件中的资格证明文件等进行审查，以确定投标投标人是否具备投标资格。（详见后附表一资格性审查表）

1.2符合性审查。依据招标文件的规定，从投标文件的有效性、完整性和对招标文件的响应程度进行审查，以确定是否对招标文件的实质性要求作出响应。（详见后附表二符合性审查表）

1.3资格性审查和符合性审查中凡有其中任意一项未通过的，评审结果为未通过，未通过资格性审查、符合性审查的投标单位按无效投标处理。

2.投标报价审查

2.1评标委员会认为投标人的报价明显低于其他通过符合性审查投标人的报价，有可能影响产品质量或者不能诚信履约

的，应当要求其在评标现场合理的时间内提供书面说明，必要时提交相关证明材料；投标人不能证明其报价合理性的，评标委员会应当将其作为无效投标处理。

3.政府采购政策功能落实

对于小型、微型企业、监狱企业或残疾人福利性单位给予价格扣除。

4.核心产品同品牌审查

4.1采用最低评标价法的采购项目，提供相同品牌产品的不同投标人参加同一合同项下投标的，以其中通过资格审查、符合性审查且报价最低的参加评标；报价相同的，按最终上传投标文件时间或技术指标或售后服务条款或业绩的优劣顺序排列确定进入评审的投标人，其他投标无效。

4.2使用综合评分法的采购项目，提供相同品牌产品且通过资格审查、符合性审查的不同投标人参加同一合同项下投标

的，按一家投标人计算，评审后得分最高的同品牌投标人获得中标人推荐资格；评审得分相同的，由采购人或者采购人委托评标委员会按照招标文件规定的方式确定一个投标人获得中标人推荐资格，招标文件未规定的采取随机抽取方式确定，其他同品牌投标人不作为中标候选人。

5.详细评审

综合评分法：分为投标报价评审、商务部分评审、技术部分评审（得分四舍五入保留两位小数）。（详见后附表三详细评审表）

最低评标价法：无

6.汇总、排序

6.1综合评分法：评标结果按评审后总得分由高到低顺序排列。总得分相同的，按投标报价由低到高顺序排列。得分且投标报价相同的，按技术指标或售后服务条款或业绩的优劣顺序排列确定；以上均相同的由采购人确定。

6.2最低评标价法：投标文件满足招标文件全部实质性要求，且进行政府采购政策落实的价格扣除后，对投标报价进行由低到高排序，确定价格最低的投标人为中标候选人。价格相同的，按最终上传投标文件时间或技术指标或售后服务条款或业绩的优劣顺序排列确定。上述相同的，按照提供优先采购产品证明材料的数量进行排序；以上均相同的属于保护环境、不发达地区和少数民族地区企业的优先。

表一资格性审查表

合同包1（智慧公积金网络安全等级保护2.0系统建设）

具有独立承担民事责任的能

力

在中华人民共和国境内注册的法人或其他组织或自然人，投标时提交有效的营业执照（或事

业法人登记证或身份证等相关证明）。

有依法缴纳税收和社会保障

资金的良好记录

按资格承诺函提供

具有良好的商业信誉和健全

的财务会计制度

按资格承诺函提供。

履行合同所必须的设备和专

业技术能力

按资格承诺函提供

参加采购活动前3年内，在

经营活动中没有重大违法记录

按资格承诺函提供

信用记录

对列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单

、信用报告进行查询；应当按照查询渠道、查询时间节点、查询记录内容进行查询，并存档

。对信用记录查询结果中显示投标人被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的供应商作无效响应处理。

供应商必须符合法律、行政

法规规定的其他条件

按资格承诺函提供

促进中小企业发展

采购包整体专门面向中小企业。参与供应商所投全部产品为小型企业或微型企业或监狱企业或残疾人福利单位制造，提供声明函（须按招标文件内规定格式填写声明函，且必须签公章

），不提供声明函或提供不全的投标无效。供应商按照《政府采购促进中小企业发展管理办

法》规定和《中小企业划行标准规定》（工信部联企业[2011]300号）如实填写。

表二符合性审查表：

合同包1（智慧公积金网络安全等级保护2.0系统建设）

投标报价	报价（包括分项报价和总报价）只能有一个有效报价且不超过采购预算，不得缺项、漏项。
投标文件规范性、符合性	投标文件的签署、盖章、涂改、删除、插字、公章使用等符合招标文件要求；投标文件文件的格式、文字、目录等符合招标文件要求或对投标无实质性影响；投标承诺书。
主要商务条款	按要求提供标准格式的“主要商务要求承诺书”
联合体投标	非联合体投标不提供。
投标承诺书	按要求提供标准格式的“投标承诺书”
技术部分实质性内容	1.货物类：明确所投标的的产品品牌、规格型号；投标文件对招标文件提出的要求和条件作出明确响应并满足招标文件全部实质性要求。 2.节能产品认证证书。货物中，所投设备属于《节能产品政府采购品目清单》中强制采购产品范围的（如台式计算机，便携式计算机，平板式微型计算机，激光打印机，针式打印机，液晶显示器，制冷压缩机，空调机组，专用制冷、空调设备，镇流器，空调机，电热水器，普通照明用双端荧光灯，电视设备，视频设备，便器，水嘴等为政府强制采购的产品），供应商应提供国家确定的认证机构出具的、处于有效期之内的节能产品认证证书，否则其投标文件无效；信息安全产品，供应商响应产品应为经国家认证的信息安全产品，并提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书，否则其投标文件无效。
其他要求	无

表三详细评审表：

第七章投标文件格式与要求

投标人提供投标文件应按照以下格式及要求进行编制，且不少于以下内容。

投标文件封面

（项目名称）投标文件封面

项目编号：[230601]QC[GK]20220004

所投采购包：第包

（投标人名称）年月日

投标文件目录

一、投标承诺书二、资格承诺函。三、授权委托书

四、主要商务要求承诺书五、技术偏离表

六、中小企业声明函七、监狱企业

八、残疾人福利性单位声明函九、分项报价明细表

十、联合体协议书

十一、项目实施方案、质量保证及售后服务承诺等十二、项目组成人员一览表

十三、投标人业绩情况表十四、各类证明材料

格式一：

采购单位、大庆市政府采购中心：

投标承诺书

1.按照已收到的项目（项目编号：）招标文件要求，经我方（投标人名

称）认真研究投标须知、合同条款、技术规范、资质要求和其它有关要求后，我方愿按上述合同条款、技术规范、资质要求进行投标。我方完全接受本次招标文件规定的所有要求，并承诺在中标后执行招标文件、投标文件和合同的全部要求，并履行我方的全部义务。我方的最终报价为总承包价，保证不以任何理由增加报价。

2. 我方同意招标文件关于投标有效期的所有规定。

3.我xxxxx：所提供的投标文件内容全部真实有效。如经查实提供的内容、进行承诺的事项存在虚假，我方自愿接受有关处罚，及由此带来的法律后果。

4.我方将xxxx《中华人民共和国政府采购法》、《中华人民共和国民法典》等有关法律、法规规定，如有违反，无条件接受相关部门的处罚。

5. 我方同意提供贵方另外要求的与其投标有关的任何数据或资料。

6.我方将按照招标文件、投标文件及相关要求、规定进行合同签订，并严格执行和承担协议和合同规定的责任和义务。

7. 我单位如果存在下列情形的，愿意承担取消中标资格、接受有关监督部门处罚等后果：

（1）中标后，无正当理由放弃中标资格；

（2）中标后，无正当理由不与招标人签订合同；

（3）在签订合同时，向招标人提出附加条件或不按照相关要求签订合同；

（4）不按照招标文件要求提交履约保证金；

（5）要求修改、补充和撤销投标文件的实质性内容；

（6）要求更改招标文件和中标结果公告的实质性内容；

（7）法律法规和招标文件规定的其他情形。

详细地址：邮政编码：

电话：电子函件：

投标人开户银行：账号/行号：投标人 (加盖公章)

法定代表人 (签字)授权委托人 (签字)

年月日

格式二：

《投标资格承诺函》

大庆市政府采购中心：

我公司作为本次采购项目的投标人，根据招标文件要求，现xxxx如下：

1.符合《中华人民共和国政府采购法》第二十二条规定的条件； (1)具有独立承担民事责任的能力；

(2)具有良好的商业信誉和健全的财务会计制度； (3)具有履行合同所必需的设备和专业技术能力； (4)有依法缴纳税收和社会保障资金的良好记录；

(5)参加本次政府采购活动前三年内，在经营活动中没有重大违法记录； (6)符合国家法律、行政法规规定的其他条件。

2.我公司作为本项目参加政府采购活动的投标人、法定代表人/单位负责人近3年内不具有行贿犯罪记录。

3.我公司在截至投标截止日未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名

单。

4.我公司未违反“单位负责人为同一人或者存在直接控股、管理关系的不同供应商，不得同时参加本采购项目（包组）投

标。为本项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商，不得再参与本项目投标。”的情形。

本公司对上述承诺的内容事项真实性负责。如经查实上述承诺的内容事项存在虚假，我公司愿意接受以提供虚假材料谋取中标追究法律责任。

投标人（单位盖章）：

日期：

格式三：

授权委托书

本人（姓名）系（投标人名称）的法定代表人，现委托（姓名）为我方代理人。代理人根据授权，以我方名义签署、澄清确认、递交、撤回、修改招标项目投标文件、签订合同和处理有关事宜，其法律后果由我方承担。委托期限：。

代理人无转委托权。

投标人：（加盖公章）法定代表人：（签字）授权委托人：（签字）

人像面

法定代表人身份证扫描件

国徽面

法定代表人身份证扫描件

人像面

授权委托人身份证扫描件

国徽面

授权委托人身份证扫描件

年月日

格式四：

主要商务要求承诺书

我公司承诺可以完全满足本次采购项目的所有主要商务条款要求（如标的提供的时间、标的提供的地点、投标有效期、采购资金支付、验收要求、履约保证金等）。若有不符合或未按承诺履行的，后果和责任自负。

如有优于招标文件主要商务要求的请在此承诺书中说明。具体优于内容（如标的提供的时间、地点，质保期等）。

特此承诺。

投标人名称（加盖公章）：

法定代表人（或授权代表）签字或盖章：

日期：年月日

序号	标的名称	招标技术要求		投标人提供响应内容	偏离程度	备注
1		★	1.1
			1.2
			……
2		★	2.1
			2.2
			……
……

格式五：（工程类项目可不填写或不提供）技术偏离表

说明：

1.投标人应当如实填写上表“投标人提供响应内容”处内容，对招标文件提出的要求和条件作出明确响应，并列明具体响应数值或内容，只注明符合、满足等无具体内容表述的，将视为未实质性满足招标文件要求。

2.“偏离程度”处可填写满足、响应或正偏离、负偏离。

3.佐证文件名称及所在页码：系指能为投标产品提供技术参数佐证或进一步提供证据的文件、资料名称及相关佐证参数所在页码。如直接复制招标文件要求的参数但与佐证材料不符的，为无效投标。

4.上表中“招标技术要求”应详细填写招标要求。

格式六：（不属于可不填写内容或不提供）

中小企业声明函（工程、服务）

本公司（联合体）xxxx，根据《政府采购促进中小企业发展管理办法》（财库﹝2020﹞46 号）的规定，本公司

（联合体）参加（单位名称）的（项目名称）采购活动，工程的施工单位全部为符合政策要求的中小企业（或者：服务全部由符合政策要求的中小企业承接）。相关企业（含联合体中的中小企业、签订分包意向协议的中小企业）的具体情况如下：

1.（标的名称），属于（采购文件中明确的所属行业）；承建（承接）企业为（企业名称），从业人员人，营业收入为 x元，资产总额为 x元，属于（中型企业、小型企业、微型企业）；

2.（标的名称），属于（采购文件中明确的所属行业）；承建（承接）企业为（企业名称），从业人员人，营业收入为 x元，资产总额为 x元，属于（中型企业、小型企业、微型企业）；

……

以上企业，不属于大企业的分支机构，不存在控股股东为大企业的情形，也不存在与大企业的负责人为同一人的情形。本企业对上述声明内容的真实性负责。如有虚假，将依法承担相应责任。

企业名称（xx）：

日期：

中小企业声明函（货物）

本公司（联合体）xxxx，根据《政府采购促进中小企业发展管理办法》（财库﹝2020﹞46 号）的规定，本公司（联合体）参加（单位名称）的（项目名称）采购活动，提供的货物全部由符合政策要求的中小企业制造。相关企业（含联合体中的中小企业、签订分包意向协议的中小企业）的具体情况如下：

1.（标的名称），属于（采购文件中明确的所属行业）行业；制造商为（企业名称），从业人员人，营业收入为万元，资产总额为 x元，属于（中型企业、小型企业、微型企业）；

2.（标的名称），属于（采购文件中明确的所属行业）行业；制造商为（企业名称），从业人员人，营业收入为 x元，资产总额为 x元，属于（中型企业、小型企业、微型企业）；

……

企业名称（xx）：

日期：

格式七：（不属于可不填写内容或不提供）

监狱企业

提供由监狱管理局、戒毒管理局（含新疆生产建设兵团）出具的属于监狱企业的证明文件。

格式八：（不属于可不填写内容或不提供）

残疾人福利性单位声明函

x单位xxxx，根据《财政部民政部中国残疾人联合会关于促进残疾人就业政府采购政策的通知》（财库〔2017〕 141号）的规定，本单位为符合条件的残疾人福利性单位，且本单位参加单位的项目采购活动提供本单位制造的货物（由本单位承担工程/提供服务），或者提供其他残疾人福利性单位制造的货物（不包括使用非残疾人福利性单位注册商标的货物）。

本单位对上述声明的真实性负责。如有虚假，将依法承担相应责任。

单位名称（加盖公章）：日期：

格式九：

分项报价明细表（网上开评标可不填写）

注：投标供应商应在投标客户端【报价部分】进行填写，投标客户端软件将自动根据供应商填写信息在线生成开标一览表（首轮报价表、报价一览表）或分项报价表，若在投标文件中出现非系统生成的开标一览表（首轮报价表、报价一览表）或分项报价表，且与投标客户端生成的开标一览表（首轮报价表、报价一览表）或分项报价表信息内容不一致，以投标客户端生成的内容为准。

格式十：（不属于可不填写内容或不提供）

联合体协议书

（所有成员单位名称）自愿组成（联合体名称）联合体，共同参加

（项目名称）招标项目投标。现就联合体投标事宜订立如下协议。

1. （某成员单位名称）为（联合体名称）牵头人。

2. 联合体各成员授权牵头人代表联合体参加投标活动，签署文件，提交和接收相关的资料、信息及指示，进行合同谈判活动，负责合同实施阶段的组织和协调工作，以及处理与本招标项目有关的一切事宜。

3. 联合体牵头人在本项目中签署的一切文件和处理的一切事宜，联合体各成员均予以承认。联合体各成员将严格按照招标文件、投标文件和合同的要求全面履行义务，并向招标人承担连带责任。

4. 联合体各成员单位内部的职责分工如下：。

5. 本协议书自所有成员单位法定代表人或其授权代表签字或盖单位章之日起生效，合同履行完毕后自动失效。

6. 本协议书一式份，联合体成员和招标人各执一份。

协议书由法定代表人签字的，应附法定代表人身份证明；由授权代表签字的，应附授权委托书。联合体牵头人名称：（加盖公章）

法定代表人或其授权代表：（签字）联合体成员名称：（加盖公章）

法定代表人或其授权代表：（签字）

年月日

格式十一：

（未要求可不填写）项目实施方案、质量保证及售后服务承诺等内容和格式自拟。

格式十二：

项目组成人员一览表（未要求可不填写）

序号姓名 x项目拟任职务学历职称或执业资格身份证号联系电话

……

按招标文件要求在本表后附相关人员证书。

注：

1.本项目拟任职务处应包括：项目负责人、项目联系人、项目服务人员或技术人员等。

2.如投标人中标，须按本表承诺人员操作，不得随意更换。

格式十三：

投标人业绩情况表（未要求可不填写）

序号使用单位业绩名称合同总价签订时间

…

投标人根据上述业绩情况后附销售或服务合同复印件。

格式十四：

各类证明材料（未要求可不填写）

1.招标文件要求提供的其他资料。

2.投标人认为需提供的其他资料。

Document Metadata

Table of Contents

项目名称：智慧公积金网络安全等级保护2.0系统建设项目编号：[230601]QC[GK]20220004

Document Metadata

项目名称：智慧公积金网络安全等级保护2.0系统建设项目编号：[230601]QC[GK]20220004

大庆市政府采购中心

公开招标文件