1、合格的供应商可于 2021-12-01 本公告发布之日起至 2021-12-10,登录“上海政府采购网”(http://www.zfcg.sh.gov.cn)在网上招标系统中上传如下材料:
xxxxx委数据中心信息设备更替政府采购
招标文件
招标编号:xxxx 2021-199
招标单位:上海市xx区政府采购中心二〇二一年十二月
第一部分 投标邀请
根据《中华人民共和国政府采购法》之规定,上海市xx区政府采购中心受委托,对xxxxx委数据中心信息设备更替政府采购项目进行国内公开招投标采购,特邀请合格的供应商前来投标。
一、合格的投标人必须具备以下条件:
1、符合《中华人民共和国政府采购法》第二十二条规定的供应商。
2、根据《上海市政府采购供应商登记及诚信管理办法》已登记入库的供应商。
3、其他资质要求:
(1) 具有《中华人民共和国营业执照》、《税务登记证》,根据《上海市政府采购供应商登记及诚信管理办法》要求登记入库,在近三年内无行贿犯罪记录,未被政府采购监督管理部门禁止参加政府采购活动的供应商,同时经信用信息查询未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单;
(2) 本项目不允许联合投标。二、项目概况:
1、项目名称:xxxxx委数据中心信息设备更替政府采购项目
2、招标编号: (代理机构内部项目编号:xxxx 2021-199)
3、预算编号: 0421-12189
4、项目主要内容、数量及要求:
本项目要求采购的xxxxx委数据中心信息设备更替包括防火墙、数据库审计、堡垒机、无线准入、网闸、入侵防御等产品采购及系统集成和售后服务等。投标供应商应投报以上所有采购内容,具体要求详见招标文件第三部分。
招标范围包括:上述采购内容所涉及的系统设计、设备供货、运输、保险、卸货、安装到位、系统集成、调试、验收合格、培训及保修等。
5、项目工期:合同签订后 6 个月内完成。
6、交付地点:xx区卫生事业管理发展中心指定地点。
7、采购项目需要落实的政府采购政策情况:本项目拒绝采购进口产品,进口产品是指通过中国海关报关验放进入中国境内且产自关境外的产品;根据上海市财政局沪财库 [2009]19 号“关于落实政府采购优先购买福利企业产品和服务的通知”要求,本项目在同等条件下优先采购福利企业的产品和服务。同时项目采购应当符合采购价格低于市场平均价格、采购质量优良和服务良好的要求。本项目面向所有企业采购,对小型和微型企业投标人产品的价格给予 6%的扣除,用扣除后的价格参与评审。其要求标准详见《政府采购促进中小企业发展管理办法》(财库[2020]46 号)中相关规定。
三、招标文件的获取
1、合格的供应商可于 2021-12-01 本公告发布之日起至 2021-12-10,登录“上海政府采购网”(xxxx://xxx.xxxx.xx.xxx.xx)在网上招标系统中上传如下材料:
/招标文件下载时间 2021 年 12 月 01 日至 2021 年 12 月 10 日止采购文件上午获取时间:00:00:00~12:00:00
采购文件下午获取时间:12:00:00~23:59:59
2、凡愿参加投标的合格供应商可在上述规定的时间内下载(获取)招标文件并按照招标文件要求参加投标。
注:投标人须保证报名及获得招标文件需提交的资料和所填写内容真实、完整、有效、一致,如因投标人递交虚假材料或填写信息错误导致的与本项目有关的任何损失由投标人承担。
四、投标截止时间及开标时间:
1、投标截止时间:2021 年 12 月 22 日 10:30,迟到或不符合规定的投标文件恕不
接受。
2、开标时间:2021 年 12 月 22 日 10:30。
五、投标地点和开标地点
1、投标地点:上海市政府采购网(政府采购云平台)xxxx://xxx. zfcg. xx.xxx.xx;根据上海市财政局相关规定,本项目招投标相关活动在上海市政府采购云平台(网址: xxx.xxxx.xx.xxx.xx)进行。政府采购云平台是由市财政局建设和维护。投标人应根据
《上海市电子政府采购管理暂行办法》等有关规定和要求执行。投标人在政府采购云平台的有关操作方法可以参照政府采购云平台中相关专栏的有关内容和操作要求办理。
2、开标地点:上海市政府采购网(政府采购云平台)xxxx://xxx. zfcg. xx.xxx.xx;本项目实行网上远程开标,按有关规定在开标时间内无法签到、解密的供应商将被取消投标资格,不纳入评审范围。响应投标的供应商请在开标时间开始后持投标时所使用的数字证书(CA 证书)参加远程开标。
3、开标所需携带其他材料:
/,响应投标的供应商请在开标时间开始后持投标时所使用的数字证书(CA 证书)参加远程开标。
六、发布公告的媒介:
以上信息若有变更我们会通过“上海政府采购网”通知,请供应商关注。七、其他事项
(1)投标单位对招标文件有疑问的可在 2021 年 12 月 6 日上午 10 点整前以书面传真的
形式向xx区政府采购中心提出,由采购中心负责统一解答。采购中心将于 2021 年 12月 6 日下午 17 点前通过“上海政府采购网” (xxxx://xxx. zfcg. xx.xxx.xx)公开发布。
(2)本项目采购预算为 3935500 元人民币,报价超过采购预算的投标不予接受。
(3)投标人应在投标截止时间前尽早加密上传投标文件,电话通知招标人进行签收,并及时查看招标人在电子采购平台上的签收情况,以免因临近投标截止时间上传造成招标人无法在开标前完成签收的情形。未签收的投标文件视为投标未完成。
八、联系方式
采购人: | xx区卫生事业管理发 展中心 | 采购代理机构: | xxxxxxxxxxxx |
xx: | xxx 00 x | xx: | xxx 000 x |
xx: | 000000 | xx: | 000000 |
联系人: | xx | 联系人: | 杜鹃 |
电话: | 00000000 | 电话: | 00000000*2587 |
第二部分 投标人须知
一、总则
1、概述
1.1 本招标文件适用于本投标邀请中所述系统及相关服务的招标投标。
1.2 参与招标投标活动的所有各方,对在参与招标投标过程中获悉的国家、商业和技术秘密以及其它依法应当保密的内容,均负有保密义务,违者应对由此造成的后果承担全部法律责任。
1.3 根据上海市财政局相关规定,本项目招投标相关活动在上海市政府采购云平台(网址: xxx.xxxx.xx.xxx.xx)进行。
2、定义:
2.1“招标人”指组织本次招标的上海市xx区政府采购中心和采购人。
2.2“采购人”指xx区卫生事业管理发展中心。
2.3“招标项目”指本招标文件中第三部分所述系统及相关服务,本项目属于软件和信息技术服务行业。
2.4“潜在投标人”指符合招标文件规定的合格供应商。
2.5“投标人”指按规定获取招标文件,并按照招标文件要求提交投标文件的供应商。
2.6“上海市政府采购云平台”系指上海市政府采购信息管理平台的门户网站上海政府采购网(xxx.xxxx.xx.xxx.xx),是由市财政局建设和维护。
3、合格投标人的条件
3.1 具有本项目生产、供应或实施能力,符合、承认并承诺履行本文件各项规定的国内法人和其他组织均可参加投标。
3.2 投标人应遵守有关的国家法律、法规和条例,具备《中华人民共和国政府采购法》和本文件中规定的条件:
(1)具有《中华人民共和国营业执照》、《税务登记证》,根据《上海市政府采购供应商登记及诚信管理办法》要求登记入库,在近三年内无行贿犯罪记录,未被政府采购监督管理部门禁止参加政府采购活动的供应商;同时经信用信息查询未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。
(2)本项目不允许联合投标。
3.3 只有在法律上和财务上独立运作并独立于采购中心的供应商才能参加投标。
3.4 投标人必须向采购中心申领招标文件并登记备案,未向采购中心递交投标申请并登记
备案的,没有资格参加投标。
3.5 如投标人代表不是法定代表人,须持有《法定代表人授权委托书》(统一格式)。
4.投标费用
4.1 投标人应承担所有与准备和参加投标有关的费用,采购中心和采购人在任何情况下均无义务和责任承担这些费用。
4.2 本次招标工作由xx区政府采购中心自行组织实施,不收取任何中介费用。
二、招标文件
5.招标文件
5.1 招标文件是阐明招标的项目范围、投标文件的编写、递交、招标投标程序、评标原则、中标条件和相关的协议条款的文件。招标文件由以下六部分内容组成:
第一部分 投标邀请(招标公告);第二部分 投标人须知;
第三部分 招标技术需求;第四部分 合同参考文本;第五部分 投标文件格式;第六部分 评标办法
5.2 投标人应详细阅读招标文件的全部内容。如果投标人没有按照招标文件要求提交全部资料或者没有对招标文件在各方面的要求都做出实质性响应,可能导致其投标被拒绝。
6.招标文件的澄清
6.1 任何通过电子采购平台获取了招标文件的潜在投标人,均可要求对招标文件进行澄清。澄清要求应于投标邀请函所述日期前,按投标邀请书中的联系地址以书面形式(包括书面材料、信函、传真等,下同)送达采购中心,采购中心将通过“上海政府采购网”(xxxx://xxx. zfcg. xx.xxx.xx)公开发布相关答复。
6.2 采购中心将视情况确定是否有必要召开标前会(现场踏勘)。召开标前会(现场踏勘)的,所有投标人应根据招标文件或者招标人通知的要求参加答疑会。投标人如不参加,其风险由投标人自行承担,招标人不承担任何责任。
7.招标文件的修改
7.1 在投标截止期 15 日以前任何时候,采购中心无论出于何种原因,均可对招标文件用补充文件的方式进行修改。
7.2 对招标文件的修改,将通过“上海政府采购网” (xxxx://xxx. zfcg. xx.xxx.xx)公开发
布。补充文件将作为招标文件的组成部分,对所有获取了招标文件的潜在投标人均具有约束力。
7.3 为使投标人有足够的时间按招标文件的修改要求考虑修正投标文件,采购中心可酌情推迟投标的截止日期和开标日期,并将具体变更情况通知上述每一投标人。
8.通知
8.1 对与本项目有关的通知,采购中心将通过“上海政府采购网” (xxxx://xxx. zfcg. xx.xxx.xx)公开发布。
8.2 招标文件的澄清、答复、修改或补充都应由采购中心以澄清或修改公告形式发布,除此以外的其他任何澄清、修改方式及澄清、修改内容均属无效,不得作为投标的依据,否则,由此导致的风险由投标人自行承担,招标人不承担任何责任。
三、投标文件
9.投标文件的语言和计量单位
9.1 投标人提交的以及投标人与采购中心就有关投标的所有来往函电均应使用中文简化字。
9.2 投标人所提供的技术文件和资料,包括图纸中的说明,应使用中文简化字。所使用的计量单位,应使用国家法定计量单位。
10.投标文件的组成及相关要求
10.1 投标文件由商务响应文件、技术响应文件两部份构成。
10.2 商务响应文件、技术响应文件所应包含的内容如下:
10.2.1 商务响应文件:
(1)投标函;
(2)投标报价明细表;
(3)供应商行贿犯罪记录承诺书;
(4)中小企业声明函;
(5)投标单位基本情况表及声明;
(6)法定代表人证明书和法人代表委托书;
(7)主要产品厂商授权证明及原厂质保承诺书;
(8)主要产品检测报告(复印件加盖单位xx);
(0)近三年同类型项目成功案例介绍及最终用户的有效联系方式,附相关采购合同复印件加盖单位公章;
(10)资格证明文件,包括:投标单位营业执照、税务登记证(复印件加盖单位公章);
投标人信用信息查询记录,投标人应当通过“信用中国”网站(xxx.xxxxxxxxxxx.xxx.xx)查询投标人主体信用记录(查询截止时点为 2021 年 12 月 21 日),并对查询的信用详情
截屏打印并加盖单位公章;投标单位 2020 年度财务状况报告或基本账户的银行资信证明
(复印件加盖单位公章);开标日前半年内任意一个月依法缴纳税收和社会保障资金的相关证明材料(复印件加盖单位公章)。资格证明文件不满足招标要求的,将作为无效投标处理。
(11)投标产品中属于国家强制性认证的,应提供相应认证证书等相关资料,并提供副本等明细材料以便于评标查阅;(复印件加盖单位公章);
(12)投标产品涉及《信息安全产品强制性认证目录》内产品的,应按国家相关规定提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书,复印件加盖单位公章;
10.2.2 技术响应文件:
(1)产品选型及说明一览表;
(2)产品规格、技术参数偏离表;
(3)拟从事本项目人员及其技术资格一览表;
(4)项目设计方案 投标人自行编写的技术方案以及按招标要求提供的系统集成实施方案;各系统拓扑结构图等;
(5)项目实施计划 请投标单位自报项目实施周期,并根据项目实施具体情况制作详细实施周期及针对性施工组织方案、施工管理人员的资质(包括项目经理相关资质证书)、项目组成员工作内容与职责、项目组人员表(列表说明姓名、年龄、性别、学历、职称、从事本分系统工作年限、主要业绩)等项目质量、安全、工期保障措施,以确保项目优质按期安全完工;
(6)投标货物的说明书、产品厂家彩页性能介绍样本(catalog)等技术文件;
(7)售后服务承诺(保修期内售后服务的内容、期限、响应时间、应急保障措施等)及培训等相关伴随服务实施方案;
(8)投标人认为需要提供的其它说明和资料。
10.3 上述文件中凡招标文件提供格式文本的以及要求“加盖单位公章”的材料须上传原件彩色扫描件。
10.4 如因上传、扫描、格式等原因导致评审时受到影响,由投标人承担相应责任。招标人认为必要时,可以要求投标人提供文件原件进行核对,投标人必须按时提供,否则视作投标人放弃潜在中标资格,并且招标人将对该投标人进行调查,发现有欺诈行为的按有关规定进行处理。
10.5 本项目不接受纸质投标文件。
11.投标内容填写说明
11.1 获取了招标文件的潜在投标人应认真阅读招标文件的所有内容,按照招标文件和电子采购平台电子招投标系统要求的格式填写相关内容。
11.2 投标人必须保证投标文件所提供的全部资料真实可靠,并接受采购中心对其中任何资料进一步审查的要求。
11.3 开标一览表要求按格式统一填写,不得自行增减内容。
11.4 投标文件须对招标文件中的内容做出实质性和完整的响应,否则其投标将被拒绝。如果投标文件填报的内容资料不详,或没有提供招标文件中所要求的全部资料及数据,包括但不限于第 10 条(投标文件的组成及相关要求)规定的内容,将可能导致投标被拒绝。
12.投标报价
12.1 所有投标报价均以人民币元为计算单位。投标价格应该已经扣除所有同业折扣以及现金折扣,应为考虑所有优惠后的最有竞争性价格,不得再以其他形式进行标后优惠,否则视为不诚信行为记入供应商诚信记录。投标报价应已经包含了购买产品和相关服务的费用和所需缴纳的所有税费,并包含了产品发运到指定地点所需的一切费用。
12.2 投标人要按投标货物数量、价格表(统一格式)的内容填写货物单价(包括货物报价,装箱、包装、包装物料、送货和保险费用)、总价及其他事项,并由法定代表人或投标人代表签署。对于标准货物,每种规格的货物只允许有一个报价,任何有选择的报价将可能导致投标被拒绝。
12.3 对于一个项目中的多个分包,投标人可以投报全部包,也可以只投其中一包。投标人应对每个包分别提供报价并填报开标一览表。
12.4 对于有配件、耗材、选件和特殊工具的货物,还应填报投标货物配件、耗材、选件表和备件及特殊工具清单,注明品牌、型号、产地、功能、单价、批量折扣等内容,该表格式由投标人自行设计。投标人按照上述要求分类报价,其目的是便于采购中心评标,但在任何情况下并不限制采购中心或采购人以任何条款签订合同的权利。
12.5 投标货物数量、价格表中标明的价格在合同执行过程中是固定不变的,投标人不得以任何理由予以变更。以可调整的价格提交的投标将被视为非响应性投标而被拒绝。
13.投标保证金
x项目不收取投标保证金。
14.投标文件的有效期
14.1 自开标日起 90 天内,投标文件应保持有效。有效期短于该规定期限的投标,将被拒绝。
14.2 在特殊情况下,采购中心可与投标人协商延长投标文件的有效期。这种要求和答复都应以书面形式进行。此时,按本须知规定的投标保证金的有效期也相应延长。投标人可以拒绝接受延期要求而不会被没收保证金。同意延长有效期的投标人除按照采购中心要求修改投标文件有效期外,不能修改投标文件的其他内容。
15.投标文件的签署及其他规定
15.1 组成投标文件的各项文件均应遵守本条。
15.2 投标文件中凡招标文件要求签署、盖章之处,均应由投标人的法定代表人或法定代表人正式的代表签署和加盖公章。投标人应写明全称。如果是由法定代表人授权代表签署投标文件,则必须按招标文件提供的格式出具《法定代表人授权书》并将其附在投标文件中。投标文件若有修改错漏之处,须加盖投标人公章或者由法定代表人或法定代表人授权代表签字或盖章。投标文件因字迹潦草或表达不清所引起的后果由投标人自负。
15.3 投标人应按招标文件和电子采购平台电子招投标系统规定的内容、格式和顺序编制投标文件。凡招标文件提供有相应格式的,投标文件均应完整的按照招标文件提供的格式打印、填写并按要求在电子采购平台电子招投标系统上传。投标文件内容不完整、格式不符合导致投标文件被误读、漏读或者查找不到相关内容的,是投标人的责任,投标人需承担其投标在评标时因此被扣分甚至被认定为无效标的风险。
15.4 用于网上招投标系统上传的扫描件等有关文件应确保清晰、可辨,投标人上传文件的电子数据量不应过大,因数据量过大导致无法正常投标、开标的,投标人将自行承担其责任后果,招标人不承担任何责任。
四、投标文件的递交和解密(开标)
16.投标文件的递交和解密
16.1 投标单位在制作投标文件后应在上传投标文件截止时间之前在上海政府采购网上将电子投标文件加密上传。
16.2 举行开标会时,各投标供应商须带好本单位的CA 证书及可以无线上网的笔记本电脑,按照规定的开标时间和地点到场后登陆上海政府采购网集中解密。按有关规定当场无法解密的供应商将被取消投标资格,不纳入评审范围。
16.3 在投标文件解密之后,投标人不得撤回投标。投标后撤回投标文件的行为将被记录在案,投标人今后参与同类政府采购项目的机会可能会受到影响.
17.投标截止时间
17.1 投标文件须按照招标文件规定的投标时间、地点解密。
17.2 采购中心推迟投标截止时间时,将通过“上海政府采购网” (xxxx://xxx. zfcg. xx.xxx.xx)公开发布。在这种情况下,采购中心和投标人的权利及义务将受到新的截止期的约束。
五、评标
18.评标
18.1 采购中心根据有关法律法规和本招标文件的规定,结合本招标项目的特点组建评标委员会,对具备实质性响应的投标文件进行评估和比较。评标委员会由采购人、技术、经济、法律专家和其他有关方面的代表组成。
18.2 评标原则
(1)评标应严格按照招标文件的要求和条件进行;
(2)评标委员会只对实质上响应招标文件的投标进行评价和比较;
(3)评标委员会分别对每包进行独立评标,每包只限确定一家供应商为中标单位,但一家供应商可以中一包或多包;
(4)评标委员会在评标时除考虑投标报价因素外,同时还根据各项技术和服务因素对投标人和投标货物进行综合评价,包括但不限于以下各项因素:
A、货物的性能和投标方案的合理性;
B、货物的配置与招标文件技术规格要求的偏离; C、付款条件;
D、交货和配送能力的承诺,包括交货时间(货物应在招标文件规定的时间范围内交货,提前交货并不加分,交货时间超过采购人可接受的时间范围的投标将视为非实质响应投标)等;
E、售后服务和备件供应(投标人应该为采购人建立最起码的服务设施和备件库存,在保修期内所需的费用如果是单独报价的话,评标时应计入评标价,若免费保修,请注明免费保修期限;在保修期满后的服务费用应在投标文件中列明,但不包含在评标价中)以及其他有附加值的服务承诺;
F、运费和保险(货物从出厂地/到货港运抵指定交货地点所发生的内陆运费、保险费及其它相关费用的计算将按照铁路/公路等交通部门、保险公司和/或其它官方机构发布的计算标准进行计算,并计入评标价---投标总报价中应含有);
G、财务状况和经营信誉;
H、投标人提供的其它内容和条件。
18.3 评标办法:本项目采用综合评分法,各评标因素所占权重见第六部分评标办法。
19.对投标文件的初审
19.1 开标后,采购中心将组织对投标文件进行资格性检查,依据法律法规和招标文件的规定,对投标文件中的资格证明、投标保证金等进行审查,以确定投标供应商是否具备投标资格。
19.2 在详细评标之前,评标委员会对通过资格性检查的投标文件进行符合性检查,依据招标文件的规定,从投标文件的有效性、完整性和对招标文件的响应程度进行审查,以确定是否对招标文件的实质性要求作出响应。
(1)实质上响应的投标是指与招标文件的全部条款、条件和规格相符,没有重大偏离或保留。
(2)重大偏离或保留系指投标人货物的质量、数量和交货期限等明显不能满足招标文件的要求,或者实质上与招标文件不一致,而且限制了采购中心的权利或投标人的义务,纠正这些偏离或保留将对其他实质上响应要求的投标人的竞争地位产生不公正的影响。
(3)重大偏离不允许在开标后修正,但采购中心将允许修正投标中不构成重大偏离的地方,这些修正不会对其他实质上响应招标文件要求的投标人的竞争地位产生不公正的影响。
(4)如果实质上没有响应招标文件的要求,评标委员会将予以拒绝,投标人不得再对投标文件进行任何修正从而使其投标成为实质上响应的投标。
19.3 初审中,投标文件中如果有下列计算或表达上的错误或矛盾,将按以下原则或方法进行修正;其他错误或矛盾将按不利于出错投标人的原则进行修正:
(1)开标一览表内容与报价明细表及投标文件其他部分内容不一致的,以开标一览表内容为准。
(2)如果以文字表示的数据与数字表示的有差别,以文字为准修正数字。如果大小写金额不一致的,以大写金额为准。
(3)单价金额小数点或者百分比有明显错位的,以开标一览表的总价为准,并修改单价。总价金额与按单价汇总金额不一致的,以单价金额计算结果为准。
(4)修正后的结果应对投标人具有约束力,投标人不同意以上修正,其投标将被拒绝。
19.4 评标委员会对投标文件的判定,只依据投标文件内容本身,不依据任何外来证明。
20.投标的澄清
20.1 评标委员会有权要求投标人对投标文件中含义不明确、对同类问题表述不一致或者有明显文字和计算错误的内容等作必要的澄清、说明或者补正。投标人必须按照评标委员会通知的澄清内容和时间做出澄清。必要时评标委员会可要求投标人就澄清的问题作书面答复,该答复经投标人的法定代表人或投标人代表的签字认可,将作为投标文件内容的一部分。澄清、说明或者补正不得超出投标文件的范围或者改变投标文件的实质性内容。
20.2 如评委会一致认为某个投标人的报价明显不合理,有降低质量、不能诚信履行的可能时,评标委员会有权通知投标人限期进行解释。若该投标人未在规定期限内做出解释,或作出的解释不合理,经评标委员会取得一致意见后,可拒绝该投标。
21.评标过程保密
21.1 开标之后,直到授予投标人合同止,凡是属于审查、澄清、评价和比较投标的有关资料以及授标意向等,均不向投标人或其他与评标无关的人员透露。
21.2 在评标期间,投标人企图影响采购中心或评标委员会的任何活动,将导致投标被拒绝,并由其承担相应的法律责任。
六、授予合同
22.合同授予标准
22.1 买方将把合同授予符合招标文件的要求,并能圆满地履行合同的,对买方最为有利的得分最高的投标方。
22.2 最低报价不是被授予合同的保证。
23. 买方接受和拒绝任何或所有投标的权利
买方保留在授标之前任何时候接受或拒绝任何投标,以及宣布招标程序无效或拒绝所有投标的权利,对于受影响的投标人不承担任何责任,也无义务向受影响的投标人解释采取这一行动的理由。
24. 采购中心宣布废标的权利
24.1 出现下列情况之一时,采购中心有权宣布废标,并将理由通知所有投标人:
(1)符合专业条件的投标人或者对招标文件作实质性响应的投标人不足三家的;
(2)出现影响采购公正的违法、违规行为的;
(3)投标人的报价均超过了采购预算,采购人不能支付的;
(4)因重大变故,采购任务取消的。
24.2 有下列情况之一的投标文件,将做无效投标处理:
(1) 投标文件无法按规定解密;
(2) 不具备招标文件中规定的资格要求的;
(3) 投标报价不按招标文件规定的计价办法投报或超过招标文件规定的预算金额或投标最高限价;
(4) 投标文件未按招标文件要求签署、盖章的;
(5) 未按规定格式填写,内容不全或字迹模糊,辨认不清;
(6) 经行贿犯罪档案查询,被政府采购监督管理部门禁止参加政府采购活动的;
(7) 经信用信息查询,投标供应商被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单;
(8) 不同投标人的投标文件出现了评标委员会认为不应当雷同的情况;
(9) 投标人递交两份或多份内容不同的投标文件,按招标文件规定提交备选投标方案的除外;
(10) 投标文件未对招标文件作出完全的、实质性响应,导致投标无效;
(11) 投标文件含有采购人不能接受的附加条件的;
(12) 因不可抗力造成投标文件遗失或损坏的。
25.中标通知
25.1 评标结束后,采购中心将向中标单位签发《中标通知书》,《中标通知书》一经发出即发生法律效力。
25.2 采购中心同时通过指定网络发布评标结果公告。采购中心对未中标的投标人不作未中标原因的解释,不退还投标文件。
25.3 中标通知书是合同的组成部分。
26 签定合同
26.1 中标人应按采购中心规定的时间、地点与采购人签定中标合同。中标人不得再与采购人签署订立背离合同实质性内容的其它协议或声明,否则按开标后撤回投标处理。
26.2 中标人应按照招标文件、投标文件及评标过程中有关的澄清文件的内容与采购人签订合同。
26.3 投标人一旦中标,签订合同后,未经监管部门书面同意不得转包,否则将被视为中标后撤回投标处理。
27. 履约保证金
27.1 中标人在总合同签定后十五(15)天内,应按照合同条款的规定,按照招标文件中提供的履约保证金格式向买方提交履约保证金。
27.2 中标人送货并安装调试完毕后履约保证金期将自动转为质量保证金。(质量保证金期限为不少于三年)
27.3 如果中标人没有按照投标人须知第 26 条、第 27.1 条规定执行,买方将有充分理由取消原中标决定并没收其投标保证金。在此情况下,买方可将该标授予下一个综合评标得分最好的投标人,或重新招标。
28. 腐败和欺诈
28.1“腐败行为”是指提供、给予、接受或索取任何有价值的东西来影响采购人员在采购过程或合同实施过程中行为;“欺诈行为”是指为了影响采购过程或合同实施过程而谎报事实,损害采购人的利益,包括投标人之间串通投标(递交投标书之前或之后),人为地使投标丧失竞争性,损害采购人从自由公开竞争中所能获得的权益。
28.2 如果买方认为所建议的中标人在本合同的竞争中有腐败和/或欺诈行为,则将拒绝该授标建议。
七、中标服务费
29 中标服务费
29.1 本次招标不收取中标服务费,请投标人在测算投标报价时充分考虑这一因素。
八、询问和质疑
30 询问和质疑
30.1 投标人对招标活动事项有疑问的,可以向招标人提出询问。询问可以采取电话、电子邮件、当面或书面等形式。对投标人的询问,招标人将依法及时作出答复,但答复的内容不涉及商业秘密或者依法应当保密的内容。
30.2 投标人认为招标文件、招标过程或中标结果使自己的合法权益受到损害的,可以在知道或者应知其权益受到损害之日起七个工作日内,以书面形式向招标人提出质疑。其中,对招标文件的质疑,应当在其收到或下载招标文件之日起七个工作日内提出;对招标过程的质疑,应当在各招标程序环节结束之日起七个工作日内提出;对中标结果的质疑,应当在中标公告期限届满之日起七个工作日内提出。投标人提出质疑应当坚持依法依规、诚实信用原则,并应在法定质疑期内一次性提出针对同一采购程序环节的质疑。
30.3 质疑函应明确阐述招标文件、招标过程或中标结果中使自己合法权益受到损害的实质性内容,具体、明确的质疑事项和与质疑事项相关的请求,提供相关事实依据、必要的法律依据和证据及其来源或线索,以便于有关单位调查、答复和处理。
30.4 招标人将在收到投标人的书面质疑后七个工作日内作出答复,并以书面形式通知提出质疑的投标人和其他有关投标人,但答复的内容不涉及商业秘密或者依法应当保密的内容。
30.5 对投标人询问或质疑的答复将导致招标文件变更或者影响招标活动继续进行的,招标人将通知提出询问或质疑的投标人,并在原招标公告发布媒体上发布变更公告。
30.6 投标人提起询问和质疑,应当按照《xx区政府采购中心质疑答复处理规程》的规定办理。质疑函应当由质疑供应商法定代表人签字并加盖公章。质疑函应当按照财政部制定的范本填写,范本格式可通过中国政府采购网(xxxx://xxx.xxxx.xxx.xx)右侧的“下载专区”下载。质疑供应商委托代理人办理质疑事务的,应当向xx区政府采购中心提交供应商法定代表人签署的授权委托书和身份证明。质疑函的递交可以采取邮寄、快递或当面递交形式。接收质疑函的联系人:柳老师,联系电话:000-00000000*2591,通讯地址:上海市南宁路 969 号。
九、保密和披露
31 保密和披露
31.1 投标人自领取招标文件之日起,须承诺承担本招标项目下保密义务,不得将因本次招标获得的信息向第三人外传。
31.2 采购中心有权将投标人提供的所有资料向其他政府部门或有关的非政府机构负责评审标书的人员或与评标有关的人员披露。
31.3 采购中心有权在认为适当时,或在任何第三人提出要求(书面或其他方式)时,无须事先征求中标人同意而披露关于已订立合同的资料、中标人的名称及地址、中标货物的有关信息以及合同条款等。
一、项目背景
近年来随着卫生信息化建设的加快,业务和信息化也结合越来越紧密,在给卫生行业带来巨大便捷的同时,也给的信息安全管理带来了xx的挑战,因此,必须提高信息安全集中监管的能力和水平,从而减少业务应用信息系统的运营风险。根据上海市委网信办、市公安局关于加强信息基础设施网络安全要求,为确保xx卫生系统网络信息安全,加强区平台信息基础设施网络安全防护,统筹管理区平台网络安全建设。
二、建设内容
依据《xx区卫生数据中心安全建设方案》规划内容,本项目的建设内容如下:
1.区平台整体安全防护,依据最新等级保护三级要求:结合基本标准要求变化增补设备,完善安全系统;主要包括对网络、主机、应用、数据等方面的安全加固,在充分考虑投资最优化的前提下,新增边界入侵防护、边界病毒防护、HTTPS 证书、入侵检测、无线准入、安全管理平台、抗 DDOS 系统、链路负载均衡等设备。
2.随着业务系统不断新增,本次建设考虑存储资源扩容,异地备份规划设计。
3.设备采购清单
序号 | 名称 | 数量 | 单位 | 是否需要原厂授权及售后服务承诺函 | 维保期 |
1 | 防火墙 | 2 | 台 | 是 | 3 年 |
2 | 防毒墙 | 3 | 台 | 是 | 3 年 |
3 | 数据库审计 | 1 | 台 | 是 | 3 年 |
4 | 无线准入 | 1 | 台 | 是 | 3 年 |
5 | 上网行为管理 | 1 | 台 | 是 | 3 年 |
6 | 网闸 | 1 | 台 | 否 | 3 年 |
7 | 入侵防御 | 1 | 台 | 是 | 3 年 |
8 | WAF | 1 | 台 | 是 | 3 年 |
9 | 堡垒机 | 1 | 台 | 是 | 3 年 |
10 | 安全管理平台 | 1 | 套 | 是 | 3 年 |
11 | CA 证书 | 2 | 套 | 否 | 3 年 |
12 | 网页防篡改 | 1 | 套 | 是 | 3 年 |
13 | 链路负载均衡 | 2 | 台 | 是 | 3 年 |
14 | 抗 DDOS 设备 | 1 | 台 | 是 | 3 年 |
15 | 存储 | 1 | 台 | 否 | 3 年 |
16 | 备份一体机 | 1 | 台 | 是 | 3 年 |
三、集成要求
投标人需依据本次项目建设需求、未来业务扩展以及设备采购需求,统一规划设计,须在投标文件中以独立章节详细描述“系统集成建设方案”。方案应当以先进性,安全性,高可用性,可扩展性为原则。方案的设计及实施过程需考虑到业务系统实时性要求,以最小的停机时间窗口完成系统切换,确保业务的连续性。需充分考虑到实施时存在的风险,并描述实施过程的时间进度以及影响程度范围。具体集成要求如下:
1. 信息系统按照安全等级保护 2.0 三级标准进行规划和建设,作为集成商,投标人应根据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)等规范标准要求进行建设,对此,投标人应结合系统现状,遵从等级保护(三级)相关规范要求提出详细可落地的方案;
2. 项目严格参照等级保护(三级)《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)进行建设,投标人集成本项目新增设备,所投产品需符合本次采购要求,设备重要指标需提供有效且合法的证明材料或技术方案;
3.如有对现有业务造成影响的实施操作,须明确影响时间、影响范围以及保障措施等;
4.方案应详尽合理,须包括项目组织、参与人员、质量管理、工程进度、测试与验收计划和标准等。
四、主要设备技术指标要求
1、防火墙
指标项 | 技术规格要求 | |
硬件要求 | 硬件规格要求 | 千兆电口≥6 个,xxx口 SFP≥2 个,冗余电源,1U 机箱。 |
性能要求 | 性能要求 | 网络层吞吐量≥10G,应用层吞吐量≥4.4G,防病毒吞吐量≥1G, IPS 吞吐量≥800M,全威胁吞吐量≥650M,并发连接数≥200 万, HTTP 新建连接数≥8 万。 |
网络适应性 | 工作模式 | 产品支持路由模式、透明模式、虚拟网线模式、旁路镜像模式等 多种部署方式。 |
链路聚合 | 产品支持链路聚合功能,可以将多个物理链路组合成一个性能更 高的逻辑链路接口,提高链路带宽和链路可靠性。 | |
接口联动 | 产品支持接口联动功能,同一联动组内所有物理接口的 UP/DOWN 状态同步变化。 | |
DNS 代理 | 产品支持 DNS 透明代理功能,避免单运营商 DNS 解析出现单一链 路流量过载,xx多条运营商线路的带宽利用率。 | |
NAT 功能 | 产品支持支持源地址转换 SNAT,目的地址转换 DNAT 和双向 NAT 等功能, 支持一对一、一对多、多对一等形式的 NAT。 | |
产品支持 NAT64 和 NAT46 地址转换方式,满足 IPv6 改造要求。 | ||
IPv6 功能 | 产品支持 IPv4/IPv6 双栈工作模式,以适应 IPv6 发展趋势。 | |
产品支持 IPv6 访问控制策略设置,基于 IPv6 的 IP 地址、服务、 域名、应用、时间等条件设置访问控制策略。 | ||
用户识别 与认证 | 认证方式 | 产品支持多种用户认证方式,用户认证方式要求支持本地密码认 证、外部密码认证和单点登陆等方式。 |
应用控制 | 应用识别 | 重要指标:产品支持对不少于 9880 种应用的识别和控制,应用类型包括游戏、购物、图书百科、工作招聘、P2P 下载、聊天工具、旅游出行、股票软件等类型应用进行检测与控制。(需提供产品 功能截图证明) |
流量控制 | 产品支持多维度流量控制功能,支持基于 IP 地址、用户、应用、 时间设置流量控制策略,保证关键业务带宽日常需求。 | |
产品支持基于地区维度设置流控策略,实现多区域流量批量快速 | ||
管控功能。 | ||
会话控制 | 产品支持基于 IP 对象的会话控制策略,实现并发连接数的合理限 制。 | |
访问控制 | 访问控制策略 | 产品支持多维度安全策略设置,可基于时间、用户、应用、IP、 域名等内容进行安全策略设置。 |
地域访问控制 | 产品支持与国家位置信息结合设置安全策略,识别流量发起的国 家或地区的位置信息,根据流量发起的国家或地区的访问位置信息实现对不同区域访问的差异化控制。 | |
安全防护 | DDoS 防护 | 产品支持对 ICMP、UDP、DNS、SYN 等协议进行 DDOS 防护。 |
产品支持异常包攻击防御,异常包攻击类型至少包括 Ping of Death、Teardrop、Smurf、Land、WinNuke 等攻击类型。 | ||
URL 分类过滤 | 产品支持全面的 URL 分类库,针对网站类别实现细粒度管控,杜 绝非法、违规网站的访问行为。 | |
文件过滤 | 产品支持对文件传输行为进行安全过滤,支持基于上传、下载、双向的文件内容过滤,内容过滤类型至少支持网页、脚本、压缩 文件、图片、可执行文件、适配、文本等常见文件类型。 | |
入侵防御 | 产品预定义漏洞特征数量超过 7650 种,支持在产品漏洞特征库中 以漏洞名称、漏洞 ID、漏洞 CVE 标识、危险等级和漏洞描述等条件快速查询特定漏洞特征信息,支持用户自定义 IPS 规则。 | |
产品支持僵尸主机检测功能,产品预定义特征库超过 110 万种, 可识别主机的异常外联行为。 | ||
安全策略管理 | 策略有效性分析 | 产品支持安全策略有效性分析功能,分析内容至少包括策略冗余分析、策略匹配分析、风险端口风险等内容,提供安全策略优化 建议。 |
策略生命周期 管理 | 产品支持策略生命周期管理功能,支持对安全策略修改的时间、 原因、变更类型进行统一管理,便于策略的运维与管理。 | |
高可用性 | 双机部署 | 产品支持主主、主备两种双机模式部署。 |
资质要求 | 产品资质 | 具有中国信息安全产品认证中心颁发的《中国国家信息安全产品 认证证书》。 |
2、防毒墙
指标项 | 技术规格要求 | |
硬件规格 | 产品结构 | 机架式独立硬件设备,系统硬件为全内置封闭式结构,多核架构设计 MIPS 架构,功能采用模块化结构设计,加电即可运行,启动过程无须人工干预,设备高度 2U |
最大功率≤300W;内置硬件、软件 Bypass 机制,在设备流量异常、突增、异常断电、重启等情况时,可自动切换到 Bypass 状态,当设备恢复时,可自动切换回工作状态 | ||
接口 | 至少 6 个 10/100/1000Mbps 电口,支持至少 2 条 Bypass 链路 | |
性能 | 网络吞吐量 | ≥10Gbps |
并发连接数 | 并发连接数≥1000 万,每秒新建连接数≥30 万; | |
设备部署 | 部署模式 | 支持路由模式、透明(网桥)模式、混合模式、旁路模式;旁路部署支持加入 2 个以上物理接口,无需接口对;部署模式切 换无需重启设备 |
接口 | 支持端口镜像功能,支持入流量、出流量和双向流量等维度镜像。 | |
LAN 口和 WAN 口无固化,支持接口属性修改,修改接口 IP 类型、地址模式无需重启设备 | ||
4G 支持 | 支持 4G USB 插卡。支持在 4G 接口上运行 IPSec VPN | |
DNS-DNAT | 支持负载在出接口的 DNS 请求主动完成 DNS 服务器替换。 | |
DDNS | 支持花生壳 DDNS 客户端以及域名 IP 绑定功能 | |
网络特性 | 策略路由 | 支持七元组策略路由,支持基于线路权重进行负载转发 |
ISP 路由 | 支持基于 ISP 地址表动态选路,选路算法包括但不限于优先级和权重,支持基于PING、TCP、DNS 协议探测连通性,探测目标支持 IP 和域名,ISP 信息支持自定义。 | |
链路负载均衡 | 支持 7 元组的链路负载均衡策略,负载均衡接口支持接口和接口组,支持基于域名进行链路负载,负载算法包括但不少于优先级和权重,负载均衡接口支持 pppoe、dhcp、tunnel、物理接口等三层接口。 | |
支持基于接口和目的地址进行健康检查,可自定义检查间隔、重试次数等。 | ||
支持基于负载链路进行 dns-dnat 机制,解决用户主机配置 DNS解析结果,与实际转发运营商链路解析结果有冲突,从而导致跨运营商访问慢的问题;支持进行 DNS 探测,针对探测失败情况,支持选择禁用dns-dnat 功能或禁用负载链路出接口。 | ||
支持直连网段和特定网段的负载均衡排除;支持过载保护、会话保持,会话保持可实现用户的访问请求均分配至同一出口。 | ||
服务器负载均衡 | 支持 5 元组的负载均衡策略,转换类型支持地址映射或端口映 射 | |
负载算法支持权重、源地址散列+权重 | ||
支持针对服务器进行连通性探测,支持会话保持。 | ||
NAT | 支持源地址转换、目的地址转换、双向 NAT、NAT44 等地址转换 | |
IPv6 | 支持 IPv6/v4 双栈,支持 IPv6 安全策略、包括审计策略、NAT策略、流量控制策略、会话控制策略、黑名单、白名单、认证 策略等 | |
支持 IPv6 策略路由、OSPFv3、静态路由、IPv6 隧道,包括 IPv6手工隧道、isatap、6to4 等隧道模式、支持IPv6 DHCP、DNS、 SNMP、PPPoE 等基础协议 | ||
支持 IPv6 入侵防御、病毒防护、Web 防护、风险扫描、安全分析、资产发现、弱密码防护等安全功能 | ||
DNS | 支持基于全局或链路进行 DNS 透明代理,支持指定 DNS 或继承链路 DNS 配置,针对多链路支持基于优先级、权重、流量算法进行 DNS 负载。 | |
支持针对特殊域名使用指定 DNS 进行解析,支持域名定向解析 | ||
支持 DNS 解析动态缓存,缓存信息包括但不少于域名、IP、TTL 和命中次数等 | ||
VRF | 支持虚拟路由转发功能,使用 VRF 功能可以从系统层面隔离不同 VRF 组里的流量信息和路由信息,可作为 MPLS 组网里的 MCE设备。 | |
不同 vrf 下的接口可以配置相同的 ip 地址 | ||
支持 VRF 静态路由 |
安全防护 | 病毒查杀 | 支持 HTTP,FTP,POP3,SMTP,IMAP 协议的病毒查杀,支持查杀邮件正文/附件、网页及下载文件中包含的病毒,支持 300 万余种病毒的查杀,病毒库定期与及时更新 |
支持启发式扫描查杀未知病毒 | ||
重要指标:支持 ZIP、TAR 等压缩打包文件的病毒查杀,压缩:默认 5 层,最大 20 层。(需提供产品功能截图证明) | ||
端口扫描 | 支持针对 IP、端口进行端口扫描,可选择立即执行或定期执行;支持呈现扫描结果,包括端口、端口状态、端口服务、程序版本、操作系统、风险状态、设备类型和时间等信息,支持导出 功能。 | |
弱口令扫描 | 支持弱口令扫描能力,可针对 IP、IP 端、端口等对象,扫描监控空密码、用户名密码相同、预置弱口令、自定义弱口令等规则,可设置立即扫描或定期扫描,弱口令字典可自定义设置。 | |
实名认证 | 认证 | 本地认证、Portal 认证、Xxxxxx 认证、LDAP 认证、POP3 认证、 AD 域单点登录、短信认证、微信公众号认证、APP 认证、IC 卡认证、二维码认证、互联网钉钉认证、混合认证和免认证,其中微信公众号认证支持通过小程序获取手机号;支持对接 AC Controller、IMC、AAS、SMP、深澜、城市热点、PPPOE、安美等常见认证服务器;支持通过解析 Radius、http 流量,获取用 户名、IP 和 MAC 信息,实现无认证实名上线。 |
Portal 逃生 | 支持 Xxxxxx 逃生,支持选择不逃生、全部用户逃生和已认证用户逃生等方式;可基于 PING、TCP、DNS 等方式探测认证服务器。 | |
短信认证 | 短信认证需支持短信平台方式,短信平台包括但不限于亿美软通、xx、一信通、佳诺、xx云、数梦科技、移动云 MAS、xx等,针对亿美软通平台支持拓展号段,拓展号段类比“电话分机号”,企业分部之间可以分别设置“拓展号段”,短信认证时设备携带“拓展号段”将手机号和验证码提交至亿美平台,亿美平台根据每一个分部的“拓展号段”通道进行短信发送,从而避免多个分部使用一个亿美账号发送短信时产生拥堵的情 况。 | |
旁路认证 | 支持在设备旁路部署时针对内网上网用户进行实名身份认证,旁路认证方式包括但不限于本地 WEB 认证、Portal Server 认证、短信认证、免认证、混合认证、单点登录等。 | |
高级特性 | 支持用户 MAC 感知,当用户 MAC 地址变更后,要求重新认证,避免冒名认证现象;支持伪 Portal 抑制技术,支持通过 http302重定向或 html-refresh 方式抑制非正常的 http 或 https 的页面请求,从而保障系统稳定高效运行;支持基于 https 协议推 送认证页面。 | |
增值运维 | 应用缓存加速 | 支持文件缓存,支持xx和 IOS 形式的文件,主动缓存文件形式不限于视频、APP 等;设备智能解析用户流量,针对域名或者文件请求,设备推送文件至终端,帮助用户缓解互联网出口压力,实现文件下载加速的效果。 |
支持手动上传缓存文件,支持模糊匹配。 | ||
服务质量管理 | 支持 PING、TCP、DNS 方式进行接口、域名、IP 地址连通性和时延探测,对整体网络提供清晰的整体网络质量评级,支持以列表形式展示的名单。 |
API 管理 | 支持 Restful API 接口管理设备,设备主要功能均支持 Restful接口请求调用,如接口管理、路由、NAT、DNS、控制策略、QoS、系统管理等。能支持平台调用接口对防火墙进行基础管理,满 足设备使用的大部分场景 | |
支持 xml 接口管理设备,支持配置设备基本功能以及执行命令 行等操作。 | ||
广告推送 | 具备推送广告页面,支持针对用户、接口、安全域、源地址、目的地址、时间等维度推送本地自定义广告或引用第三方广告,针对 PC 端支持推送 4 个方位的广告,手机端支持推送全屏广告,支持自定义推送间隔。 | |
支持针对广告图片添加文本描述和跳转域名,支持多广告图片 轮询 | ||
双机热备 | 支持双机热备,支持主主模式、主备模式,支持同步配置、会话、运行状态、VPN 状态、特征库,支持配置抢占模式和抢占延 时,支持配置 HA 监控接口 | |
支持非对称路由 | ||
配置向导 | 支持配置向导功能,在设备上线时引导配置人员快速将设备投入使用,支持引导配置系统名称、系统时间、部署模式、路由、 策略等信息。 | |
快速向导支持路由模式、透明模式、旁路模式等场景部署使用。 | ||
管理员外部认证 | 系统管理员支持与第三方服务器联动认证,第三方服务器包括但不限于 RADIUS 服务器、LDAP 服务器。支持第三方服务器状态探测,根据服务器状态自动切换认证方式,服务器异常时,切换为本地认证,服务器恢复后使用外部认证。 | |
系统管理 | 支持 https、http、ssh、telnet 等管理方式;支持自定义登录尝试阀值和登录失败阻断间隔;支持自定义设备管理端口,包括但不限于 https 和 ssh 端口,提升设备安全性。 | |
系统维护 | 支持 U 盘零配置上线,设备端无需预配置,将 U 盘插入设备 USB接口中,即可实现快速上线实施;配置文件内容支持加密;支持按需升级系统版本,可自动快速升级系统版本;支持导入多份配置文件,用于业务需求,变更业务运行,保障可靠性 | |
提供智能策略分析功能,支持策略命中分析、隐藏策略分析、冗余策略分析、冲突策略分析、可合并策略分析、过期策略发现、空策略发现、策略宽松度分析,并在 web 页面显示分析结 果。 | ||
支持多配置切换,配置文件之间相对独立。灾备场景可快速恢复业务,保障业务正常运行 | ||
web 管理界面支持 Ping、Traceroute、TCP Syn 诊断工具,可支持基于接口、协议、IP 地址、端口、应用进行网络抓包,并可 下载导出分析 |
3、数据库审计
招标项 | 技术规格要求 |
硬件规格 | 产品采用专用工控机硬件架构,非普通 PC 服务器,MTBF(平均故障间隔时间)≥65000 小时; 处理器采用 Intel 高性能 CPU,内存≥16GB DDR3 1600Mhz,硬盘≥4TB |
(2T*2),支持 RAID1,最大支持扩展到 4T*4 硬盘;网络端口: 支持监听接口扩展,配备至少 2 个千兆电口管理口; 支持千兆网络环境下的监听能力,标配至少 4 个千兆电口和 4 个xxx口; 支持最大扩展至 8 电 8 光或 16 电或 16 光共 16 个千兆以太网口。 | |
处理能力 | x次项目支持的数据库实例数 8 个 审计性能:峰值 SQL 处理能力≥20000 条/秒; 硬件最大吞吐量 2000Mbps,最大纯数据库流量 200Mbps,标配日志存储数 20 亿条; 审计日志检索能力≥1500 万条/秒。 |
部署方式 | 旁路部署模式下无须在被审计数据库系统上安装任何代理即可实现审计;可在云环境操作系统中安装软件代理; 在目标数据库安装 agent 解决云环境、虚拟化环境内部流量无法镜像场景下数据库的审计; 支持分布式部署,管理中心可实现统一配置、统一报表生成、统一查询、一键批量升级所有节点; 管理中心和探测器都可存储审计数据,实现大数据环境下磁盘空间的有效利用和扩展; 支持 IPv4/IPv6 双栈审计; 支持和 ES 平台对接,将审计日志和告警日志存储在 ES 系统中,并支持通过页面查询日志。 |
协议支持 | 支持 Oracle、PostgreSQL、SQL Server、DB2、Informix、Sybase、MySQL、 MariaDB、Sybase IQ 等主流数据库的审计; 支持 GuassDB、Teradata、人大金仓(Kingbase)、达梦(DM)、南大通用数据库(Gbase)、Oscar、K-DB 等国产数据库的审计; 支持 MongoDB、Hbase、Hive、impala、Elastic Search、HDFS、Cassandra、 greenplum、LibrA、graphbase、cache、Redis、HANA、ArangoDB、Neo4j、 OrientDB 等非关系型数据库的审计; 支持主流业务协议 HTTP、HTTPS、Telnet、FTP 的审计; 可以通过导入证书的方式实现审计和防护,支持对 SQL Server(2005 及以上版本)数据库; 可以通过导入证书的方式实现 MySQL 5.7 及以上版本采用了加密协议通讯的审计; 支持对各种协议自动识别编码及在 web 界面手工配置特定编码。 |
审计功能 | 支持数据库操作表、视图、索引、存储过程等各种对象的所有 SQL 操作审 计; 审计信息能够记录执行时长,影响行数、执行结果描述与返回结果集 支持数据库请求和返回的双向审计,特别是返回字段和结果集、执行状态、返回行数、执行时长、客户端工具、主机名等内容,支持通过返回行数控制返回结果集大小 支持跨语句、跨多包的绑定变量名及绑定变量值审计; 支持超长 SQL 语句(最长 4M)审计。 |
管理发现 | 支持自动发现流量中的数据库信息,简化配置。 |
安全审计 | 支持审计记录中敏感数据的模糊化处理,内置常见敏感数据掩码规则,支持自定义; |
重要指标:产品具有内置规则,规则类型有 sql 注入、账号安全、数据泄露和违规操作等,并可依据规则进行邮件告警;(提供产品功能截图,并提供国家权威检测机构(公安部或国家保密科技测评中心)检测报告证明) 内置安全特征库不少于 900 条,如 SQL 注入、缓冲区溢出等;可自定义审计规则,审计规则至少支持 18 个条件; 规则各条件之间支持与或非逻辑关系;支持内置安全规则单独升级; 支持信任规则,信任规则至少支持 18 个匹配条件。 | |
查询分析 | 具有高效的查询性能,后台采用全文检索引擎检索; 查询条件易于使用,审计查询条件均为非正则表达式形式进行; 支持基于数据库访问日期、时间、源/目的 IP、来源、数据库名、数据库表名、字段值、数据库登录账号、SQL 关键词、数据库返回码、SQL 响应时间、数据库操作类型、影响行数等条件的审计查询; 支持在审计日志中一键添加过滤规则,支持在告警规则中一键添加信任规则和规则白名单 设置日志检索条件时,检索条件可根据历史信息自动弹出,检索条件支持源 IP、目的 IP、客户端工具、数据库名、数据库账号等,输入检索条件时支持智能联想; 支持告警分析功能,告警支持按照源 IP 和数据库账号对 SQL 模板维度进行排行,支持在页面一键去除规则、添加规则白名单。 |
统计报表 | 系统内置多种报表模板库,报表不少于 20 种; 报表支持严格按照塞班斯(SOX)法案、等级保护标准要求生成多维度综合报告; 支持按照时间曲线统计流量、在线用户数、并发会话、DDL 操作数、DML操作数、执行量最多的 SQL 语句等报表; 支持性能分析,准确提炼出 SQL 语句执行频率和执行时间异常的报表; 支持基于表维度的报表分析,表分析报表支持通过桑基图展示对该表的访问情况; 支持 HTML、PDF、PNG、Word 等格式的报表导出; 支持报表页面信息钻取。 |
模型分析 | 为了更加智能发现数据库安全问题,产品需要具备以下功能: 可依据客户端工具名、数据库用户名、客户端 IP、操作系统用户名、客户端主机名、数据库名、操作类型、服务器 IP 等配置行为模型,并可查看相应告警日志; 可通过桑基图展示访问数据库的路径,路径包括数据库账号、IP 地址、客 户端工具、数据库名、表明等; |
数据管理 | 为满足数据备份保留的需求,产品需要具备以下功能: 支持根据在线数据最小保留天数和在线数据的磁盘空间占比自动清理早期数据; 支持对在线数据的备份,支持调整备份压缩级别,支持展示数据备份进度;支持将审计日志通过 FTP/SFTP 的方式外送,支持自定义在线数据备份时间周期,支持从 FTP/SFTP 上恢复数据,恢复数据支持进度展示; 提供审计策略和系统配置信息的单独导入、导出功能。 |
系统管理 | 为增加系统管理的安全性、适应性、可维护性,产品需要具备以下的功能:支持用户界面告警、邮件、短信、钉钉、SYSLOG、微信方式告警; 采用 B/S 架构管理; |
支持系统安全配置(登录超时、用户登录失败锁定策略、密码强弱策略、密码有效时间); 支持 NTP 时间同步,客户端浏览器时间同步、SNMP(V1、V2、V3)网络管理协议; 支持系统资源使用率超阈值、agent 状态异常、长时间无审计日志时触发 系统告警,且告警支持通过页面、SYSLOG、邮件、短信、钉钉、微信方式输出。 | |
Agent 管理 | 支持在审计管理端批量安装、卸载、重新安装审计代理;支持在审计管理端启动、停止、挂起 Agent; Agent 支持设置 CPU 亲和性、最大资源使用率限制(CPU、内存) 可监控 Agent 的转发速率,以及 Agent 所在数据库服务器的 CPU、内存利用率,并可设置 CPU、内存利用率的上线阈值,超阈值时 Agent 将自动停止转发数据; 支持根据系统 CPU 使用率、系统内存使用率、系统 I/O 使用率自动熔断; Agent 支持按照客户端工具、数据库账号过滤审计日志; Agent 支持在 RDP 或 SSH 登录数据库服务器运维时,审计原始登录人员的 IP 地址; Agent 支持设置抓包过滤串、回环网口抓包; 支持在审计页面直接升级或回退已安装在数据库服务器上的 Agent,且升级或回退不需要输入数据库服务器的账号、密码 |
API 化 | 功能全面 API 化,支持第三方调用。 |
分布式 | 支持在管理节点上管理数据库资产、审计规则、报表订阅、告警通知等;支持在管理节点查询所有审计节点的日志信息; 支持在管理节点上监控所有审计节点的状态信息,包括 CPU 使用率、内存使用率、数据库流量、磁盘使用率、审计日志数、告警日志数等信息; 支持管理中心和审计节点手工同步配置信息; 支持在管理中心直接升级审计节点; 管理中心和审计节点统一 license。 |
三层关联 | 可提供客户端访问 Web 服务器的 URL 和应用服务器访问数据库的 SQL 语句关联功能; 支持通过部署 agent 实现 java web 环境 100%准确关联。 |
易用性 | 支持对 SQL 语句进行业务化翻译支持资产组管理; 支持分组管理,分组管理包含 IP 组、应用用户组、对象组、时间组、数据库账号组; 支持一键取证; 支持区分历史会话和在线会话;支持 LADP 用户认证; 支持配置过滤规则,过滤规则包含 IP 过滤、SQL 模板过滤和自定义过滤,自定义过滤条件不少于 28 个条件; 在页面支持 ping、traceroute、nc 命令测试连通性; 支持路由配置。 |
支持英文界面 | |
可维护性 | 内置排错平台,支持一键检测系统的关键信息 内置运维终端,可实现日志查看、设备状态检查、执行 SQL 语句、执行常用命令、特权运维等能力 支持系统引擎管理,调整系统运行参数 |
租户化管理 | 支持租户化管理,针对租户的账户只授权租户可查看租户内的数据库产生 的审计日志、告警信息。 |
产品资质 | 具有中国信息安全产品认证中心颁发的《中国国家信息安全产品认证证 书》。 |
4、 无线准入
指标项 | 技术规格要求 |
系统要求 | 投标产品需符合公安部终端接入控制标准(GA/T 1105-2013) |
具有独立自主知识产权,须为标准机架式硬件产品。具有独立自主知识产权的 准入控制技术。 | |
性能要求 | 1U 机架结构;单电源;标准配置 6 个 1000MBASE-T 接口; 每秒事务数(TPS): ≥800(次/秒),最大吞吐量:≥500Mbps,最大并发连接数:600(条);支持 300 个客户端接入 |
IPv6 支持 | 支持在 IPv4 和 IPv6 双栈环境下的终端准入控制、重定向、认证、安检、修复 等。 |
高可用性 | 准入设备必须具备HA 模式。 提供第三方监控平台。 |
语言支持 | 支持终端入网时客户端和WEB 页面显示进行中英文双语切换 |
终端发现 | 能够实时监测并发现接入内网的 PC、移动终端、其他 IP 设备等终端。 对自动发现的终端能够按照类别自动归类,以方便网络终端的统计管理。能够通过自定义将不同的设备分组到不同的大类中,实现客制化的设备类型管理。 支持分类不少于 32 个大类, 64 小类/大类 |
准入技术 | 重要指标:准入设备支持基于多厂商 Virtual Gateway 的 VLAN 隔离技术,实现无客户端下端口级准入控制。(提供产品界面截图) 准入设备支持基于策略路由技术的准入控制模式,入网设备在访问网内关键资源时,将被强制隔离、引导至认证管理页面; 支持交换机接口动态 VLAN 下发、端口隔离模式的网络边界管理。 支持通过 MAC 旁路认证进行 ACL 下发的准入控制。 |
802.1x 特性支持 | 支持根据账户指配下发的 VLAN/ACL 通过 802.1x 认证进行 VLAN 切换后,可以在 30 秒内重新进行 IP 地址获取,避免切换 VLAN 后需要等待较长时间才能够访问网络 重要指标:终端(PC 和哑终端)认证通过后,当需要对终端进行下线、切换 VLAN/ACL 等动作时,准入系统可以通过动态授权(CoA)的方式立即执行,而不需要等待重认证周期。(提供产品界面截图) 支持系统自带客户端 支持域计算机单点登录,在 802.1x 环境下,管理员将终端加入了域管理,终端用户第一次使用时准入客户端可以帮助用户进行 802.1x 认证,以便终端可以和 AD 域服务器进行账号验证,避免第一次无法登录的问题。 |
多路支持 | 单台准入设备可支持至少 4 路策略路由准入控制。 单台准入设备可支持至少 4 个镜像口进行准入控制。 单台准入控制设备支持至少 2 种准入技术组合使用,以增强环境的兼容性。 |
IP/MAC 绑定 | 支持 IP/MAC/端口三者强制绑定。 支持在 DHCP 环境下的 IP、MAC 绑定功能 |
指标项 | 技术规格要求 |
Hub 管理 | 支持对连接 HUB 的交换机端口采用多种策略进行 VLAN 切换 |
网络设备管理 | 支持对:交换机、路由器、防火墙等,按照类别进行添加归类管理和展示。 支持设备管理模板的定义功能,能够通过 SNMP、SSH、TELNET 等方式自动、批量添加网络设备。 |
终端网络拓扑 | 能够在拓扑图上选取设备查看其基本状态信息、设备型号、所处位置、子节点、路由表、ARP 表等信息。 支持在界面上提供对该网络设备进行 TELNET、SSH 等管理。 能够在网络拓扑图上由用户自定义显示的节点类型,方便用户通过不同方式查看拓扑连接。 网络拓扑图支持按照网络设备归属的部门进行拓扑图展示。管理员在拓扑图上 只能查看和管理有权限的设备。 |
交换机管理 | 支持可网管型交换机面板图形化展现各接口状态 用户可以根据网络安全要求自定义交换机管理端口号,准入设备可以支持使用自定义的 Telnet 和 SSH 端口进行交换机管理。 通过交换机面板显示可以直观查看每个端口下连接的设备类型、数量,可以直 接进行端口关闭操作。 |
终端识别 | 支持当前主流智能终端设备的安全准入控制,能够自动识别主流手机、智能终 端等设备,并自动进行分类。 |
移动终端入网 | 提供独立的智能终端入网引导界面的自主定制功能。能够提供移动终端入网的设备注册功能。 支持指纹入网认证 |
证书认证 | 在进行 Ukey 认证时,支持多个合法的根证书。终端用户认证时,自动进行根证书的匹配。 支持采用软证书认证。 支持 802.1x 客户端认证时使用Ukey 进行认证。 |
接入审核 | 能够针对不同的角色或设备状态有选择的开启入网审核功能,待审核的用户或 设备必须经过管理员审批才能入网。 |
认证控制 | 重要指标:支持某类(角色)账户只能在指定的时间段、IP 段认证入网。(提 供产品界面截图) |
来宾角色 | 能够提供来宾角色选择,能够设定来宾设备的访问权限和入网时长。 |
安全检查库 | 准入设备须提供系统安全配置、用户行为规范等类别检查项,至少提供 30 种 以上安全检查项。 |
计算机 健康性检测 | 支持对终端的磁盘使用率、垃圾文件、IE 主页、网络监听端口等安全性配置进 行检查和修复 |
自定义安全检查 | 通过检测终端文件、指定文件版本、大小、MD5,注册表的项、注册表值,进程、服务状态进行检查。通过安装包运行、访问站点、开关服务、关闭进程、执行文件、删除文件、修改注册表进行修复。可以灵活的对终端进行安全检查 和修复。 |
软件检查 | 通过安全检查检测终端软件安装、使用状态为终端指定修复的安装包或访问的网络站点 软件产品授权,支持进行windows、office、WPS 产品授权信息进行检查 |
IP 地址管理 | 提供 IP 地址分配矩阵图。 可以通过组织架构为维度查看 IP 地址分配矩阵图。 |
移动终端管理 | 支持移动终端专用平台管理页面,方便使用平板、智能手机进行准入设备基本操作。 重要指标:可实现设备快速定位、设备审核、实时报警监控、小助手确认码生 成、准入控制器管理、平台基本信息、关机与重启(提供产品界面截图) |
安全管理报 表 | 能够支持自定义多个不同的报表模板; 准入设备后台提供每日入网报告、每周入网报告、每月入网报告。 |
指标项 | 技术规格要求 |
报警信息 | 支持系统报警、网络报警、终端报警等报警类型,超过 20 种以上自定义报警类型。 支持报警信息通过 Syslog、邮件、短信进行输出。 |
资质要求 | 具有中国信息安全产品认证中心颁发的《中国国家信息安全产品认证证书》。 |
5、 上网行为管理
指标项 | 技术规格要求 | |
产品规格 | 性能参数 | 网络层吞吐量(大包)≥2.5Gb,应用层吞吐量≥300Mb,带宽性能 ≥200Mb,支持用户数≥1000,包转发率≥27Kpps,每秒新建连接 数≥2400,最大并发连接数≥120000 |
硬件参数 | 千兆电口≥6 个,冗余电源,1U | |
部署方式 | 网关模式 | 支持网关模式,支持 NAT、路由转发、DHCP、GRE、OSPF 等功能; |
网桥模式 | 支持网桥模式,以透明方式串接在网络中;支持电口 bypass;必须支持多路桥接功能,最多可支持 32 组网桥模式; | |
旁路模式 | 支持旁路模式,无需更改网络配置,实现上网行为审计;旁路支持主主、主备模式部署; | |
全面支持 IPv6 | 支持部署在 IPv6 环境中,设备接口及部署模式均支持 ipv6 配置,所有核心功能(上网认证、应用控制、流量控制、内容审计、日志 报表等)都支持 IPv6; | |
DNS 代理 | DNS 透明代理 | 支持 DNS 透明代理,能够基于用户、域名、目标 DNS,指定代理策略生效,代理策略可以设置为:重定向至 DNS 服务器、解析为 IP、 丢弃、重定向至制定线路; |
网关管理 | 支持集中管理 | 多台设备支持通过统一平台集中管理、集中配置等; |
加入集中管理时,支持身份认证,比如密码正确才能加入; | ||
解除集中管理时,要输入中心端的解控秘钥才允许解控; | ||
链路负载 | 支持按剩余带宽、带宽比例、平均分配、前面优先的方式进行多链路负载; | |
支持使用 VPN 做专线备份; | ||
支持链路故障检测; | ||
用户管理 | 帐户导入 | 支持从本地导入和扫描导入,支持以 CSV 格式文件导入帐户/分组 /IP/MAC/描述/密码等信息; |
用户密码安全性 | 1.可设置用户密码置密码最小长度 2.可设置密码必须包括数字或字母或特殊字符 3.可设置用户密码不能等于用户名 4.新密码不 能与旧密码相同; | |
自定义用户属性 | 支持为用户添加自定义属性(职位、临时项目组、邮件组等),能够根据用户属性自动归类并可以针对用户属性配置上网权限策略、 流控策略,审计策略等; | |
多终端自绑定 | 同一个账号,支持与指定数量的多个终端进行自动绑定; | |
认证管理 | 差异化认证策略 | 基于 IP 网段、VlanID、MAC、SSID、地址等实现新用户差异化的账户创建、自动分组、认证规则; |
登录限制 | 限制某个新用户只能在某个 IP 段、MAC 段范围内登录; | |
认证分权管理 | 支持认证页面分权分域管理。启用后,普通管理员只能看到自己有 权限的页面,其他管理员页面不可见。 系统管理员可以将某个页面授权给指定的普通管理员管理; | |
自动注销 | 支持自动注销指定时间内无流量的已认证用户; | |
冻结用户 | 支持冻结认证失败次数超过最大值的用户,在冻结时间结束后恢复登录; | |
应用管理 | 应用识别规则库 | 重要指标:1.设备内置应用识别规则库,支持超过 10000 条应用规 则数,支持超过 6500 种以上的应用,并保持每两个星期更新一次,保证应用识别的准确率;2.支持根据标签选择应用,标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖 6 大类;3.支持给每个应用自定义标签;4.支持根据标签选择一类应用做控制;5.支持对每一种应用的定义和解释,帮助客户快速定位应用的分类;6.支持给每一 种应用列上图标,易于客户了解应用的特征。(提供产品界面截图) |
桌面应用细分控制 | 1.能够对新浪微博、腾讯微博、网易微博等进行细分控制,如:登录、浏览、发微博、上传附件等; | |
2.能够对 teamview、QQ 远程桌面等远程控制应用做细分控制,如:接受对方远程控制; | ||
3.能够对 Github、百度网盘、百度文库等网络应用的上传动作进行细分控制; | ||
移动应用的细分控制 | 支持对移动应用的细分权限控制,微信:微信网页版、微信传文件、微信朋友圈、微信游戏。移动 QQ:QQ 传文件、QQ 视频语音等; | |
流控策略 | 流控策略适用多种对象 | 支持基于用户组、位置、终端类型、URL 类型配置流量管控策略; |
流控单位 | 支持灵活配置流控单位是 IP 还是用户名(适用于公共账号:多个 IP 公用一个账号时,可以对每个 IP 进行限速,更加灵活准确) | |
流控可视化 | 流控通道实时可视化 | 能够实时看到各级流控通道的状态:包括所属线路、瞬时速率、通道占用比例、用户数、保证带宽、最大带宽、优先级,启用状态等; |
审计策略 | 审计分权限 | 支持对网页过滤和网页审计分开控制; |
支持审计指定类型的 URL,其他 URL 类型不予审计,以提高审计效率; | ||
支持在审计时,将行为与内容分离,即可分别设置只审计用户行为还是审计内容; | ||
特权 DKey | 支持针对特权用户配置免认证 key、免审计 key、免控制 key | |
免审计 IP | 免除审计目标为指定 IP 的上网行为; | |
日志管理 | 数据中心 | 设备必须支持内置数据中心和独立数据中心 |
日志分级审查 | 支持分级配置管理员日志查看权限,管理员登录数据中心只能审计指定用户组的上网行为日志; | |
日志审查 Key | 必须支持以 USB-Key 方式验证接入数据中心的管理员身份; | |
终端安全统计报表 | 支持基于用户和事件类型等维度的上网安全日志统计分析; | |
资质要求 | 产品资质 | 具有中国信息安全产品认证中心颁发的《中国国家信息安全产品认 |
证证书》。 |
6、网闸
指标项 | 技术规格要求 | |
产品架构 | 系统基本架构 | “2+1”系统结构,内外端机为 TCP/IP 网络协议的终点,阻断 TCP/IP 协议的直接贯通。内外端机之间采用专用硬件和专用协议进行连接,不可编程。网闸以软硬件结合的方式,有效地隔 断内外网络间直接的连接,防止信息无限制交换 |
安全体系结构 | 仲裁审计系统部署于内端机上,通用协议无法通过外端机直接连接到仲裁系统 只能通过内端机上的管理口对网闸进行配置,避免内外端机由 于被黑客入侵,导致隔离网闸被黑客完全控制的现象。 | |
操作系统 | 采用安全操作系统、增强型内核,能够对两个主机系统提供多层次、高强度的安全防护,保护其重要进程、文件、数据不受黑客侵袭 采用对象互斥和线程守护技术,保护主要进程的安全性和稳定性; 不采用通用的指令库和函数库,只提供有限的内部调试用指令函数; 内置病毒查杀库,可查杀基于 Linux 操作系统各种主流病毒,保证操作系统安全,保证网闸自身不受病毒、木马侵害; 系统基于可信安全操作平台,提供内核级主动防御; | |
功能要求 | 安全上网功能 | 提供安全的上网访问,支持 HTTP 协议及代理等 访问控制对象:源地址、目标地址、源端口、目的端目、域名、 URL、访问方式、时间等 内容过滤:关键字过滤 脚本过滤:javascript、Applet、ActiveX 等 其他过滤策略:文件类型、页面提交方式等能够对每个用户的上网带宽进行限定 |
安全邮件功能 | 提供安全的邮件访问,支持 POP3、SMTP 协议 支持邮件主机地址、邮件内容、发件地址、收件地址、邮件主题过滤 支持附件传输进行、邮件大小、访问时间控制 支持邮件服务器之间的邮件传输,可黑白名设置允许通过的邮件服务器域名 | |
文件传输功能 | 提供安全的文件传输功能,支持 FTP、NFS、SAMBA 等文件传输协议 支持将所传输的文件保存在网闸本地 支持对传输文件的类型过滤非后缀 | |
文件同步功能 | 可通过专用客户端和网闸主动获取两种方式提供安全的文件同步功能 支持 windows 平台和 linux 平台 支持实时扫描、一对多或多对一传输、增量传输支持目录内子目录同步,至多支持 32 级目录 支持中文文件名或目录同步支持传输后删除源文件 支持对格式类型进行特征过滤,并允许用户通过样本文件自定 | |
义格式类型; 支持文件在线编辑、在线预览等操作;支持文件分享功能,可设置到期时间和提取密码。 | ||
数据库访问功能 | 提供对多种主流数据库(SQL、ORACLE、DB2、SYBASE 等)数据库系统的安全访问 支持用户查询、修改、添加、删除等操作支持全表复制、增量更新、全表更新等 支持各种实例访问 支持针对数据库用户、操作、表进行黑白名单过滤 | |
数据库同步功能 | 基于专用客户端与网闸安全连接方式,提供多种主流数据库 (SQLS、ORACLE、DB2、SYBASE 等)的单、双向数据交换无需修改数据库表结构,不涉及到代码修改及二次开发同步粒度可以达到表内具体字段 支持多种增量同步方式,可分别定义增加、删除、修改的传输方式 支持异构数据结构以及代码语义的转换规则定义,并实现源数据到目标数据之间的实时数据交换,支持数据整合业务 支持数据一对一、一对多、多对多的单向或双向交换和同步 支持实时交换或定时同步的策略定义 | |
视频传输功能 | 实现视频网络与信息通信网的网络隔离,切断所有基于网络协议的连接; 支持多种视频硬件平台,如摄像头、DVR(数字硬盘机)、流媒体服务器、视频服务器等设备; 支持服务端口控制,对访问视频管理服务器的端口进行控制,其它视频端口默认关闭; 支持标准 SIP 协议支持 RTSP 协议 支持符合 GB/ T28181 标准的视频业务 | |
自定义功能 | 支持用户基于标准TCP、UDP 开发的自定义协议软件,无需对自定义协议软件进行二次修改开发,可以根据需求开发新的专用协议处理过滤功能 支持 OPC 控制协议,可动态分析 OPC 端口协议 支持对基于 HTTP 的 SOAP 协议进行过滤,确保访问的安全;可与运维审计产品进行联动,自动开启或关闭运维通道 | |
安全功能 | 支持用户名与密码认证 支持用户名与 IP-MAC 绑定,(非仅仅 IP/MAC 绑定)支持访问时间控制 支持病毒查杀功能 支持对每个应用设定带宽及最大连接数 | |
可靠性要求 | 多机热备 | 可实现多台设备应用分流、互相冗余的应用模式 |
网口冗余 | 使一端机多网口冗余,可实现链路备份冗余或负载均衡的工作 模式 | |
审计要求 | SNMP 支持 | 支持 SNMP 协议,可与标准网管平台无缝兼容 |
SYSLOG 支持 | 支持 SYSLOG 协议,可与标准日志服务器平台无缝兼容,可实时 发送网闸运行状态 | |
其他功能 | 可动态实时显示网闸当前各个应用的并发连接数,非总体连接数 发生异常状况时可通过短信以及邮件方式通知管理员 | |
安全防御 | 入侵检测模块 | 内置独立的入侵检测模块,可与网闸联动对入侵行为做出处理 |
抗攻击模块 | 抗攻击模块具有抗 DOS、DDOS 功能,当攻击发生时能有效地保 障正常应用请求的应答 | |
其他要求 | 管理配置功能 | 管理端采用 B/S 结构 管理端:用于通道建立、策略制定、日志查询、分析、导出等;安全终端管理:可通过串口终端管理方式对网闸进行维护; 支持 USB-KEY 登陆身份认证 为保证网闸安全性,管理端和审计端需独立与管理口连接使用,不允许使用内端机或外端机上的通讯口对网闸进行配置管理 支持指纹登陆身份认证 |
接口要求 | x网不少于 6 个 10/100M RJ45 接口(含一个管理口),1 个串口,2 个 USB 口 外网不少于 6 个 10/100M RJ45 接口(含一个 HA 口),1 个串口, 2 个 USB 口 | |
性能指标 | 系统吞吐量:4Gbps 系统整体时延:<1 毫秒并发连接数:20000 | |
产品资质要求 | 具有中国信息安全产品认证中心颁发的《中国国家信息安全产 品认证证书》。 |
7、入侵防御
指标项 | 技术规格要求 |
硬件架构 | 采用多核网络专用架构,使用 64 位 MIPS 多核处理器,非 X86 多核架构或 ASIC 架构 |
产品规格 | 标准 2U 专用万兆硬件平台内置交流双电源 硬盘≥1 T |
网口数量 | 千兆电口*12 SPF 光口*12 SPF+光口*4 支持千兆接口总数≥24 支持万兆接口总数≥4 |
性能 | 设备最大吞吐量≥20 Gbps HTTP 吞吐量≥14 Gbps IPS 吞吐量≥10 Gbps AV 吞吐量≥10 Gbps IPSec VPN 性能≥3 Gbps最大并发连接数≥500 万每秒新建连接数≥50 x IPSec VPN 隧道数≥1024 SSL VPN 接入数≥3000 |
部署模式 | 支持路由、网桥、旁路、混合、虚拟网线工作模式;部署模式切换无需重启设备 |
端口镜像 | 支持端口镜像功能,支持入流量、出流量和双向流量等维度镜像。 |
接口 | 接口支持配置从属 IP 地址,每个接口要求支持至少 200 个 second IP。 |
4G 支持 | 支持 4G 接入,并可实现 4G 连接与有线链路之间的互为备份。 |
DDNS | 支持 DDNS 功能,支持花生壳服务商的域名,将动态获取的 IP 地址映射为固定的域名。 |
NAT | 支持 IPv4/v6 双栈协议的源地址转换、目的地址转换、双向 NAT、NAT44、 NAT66、NAT46、NAT64 等地址转换。 |
路由支持 | 支持静态路由、动态路由、ISP 路由;支持基于入接口、源地址、目标地址、用户、服务、应用、时间、域名的策略路由;ISP 路由支持联通、电 信、教育网、移动等 ISP 服务商地址列表,并支持运营商地址自定义 |
链路负载均衡 | 支持基于 7 元组、域名的链路负载均衡策略;负载算法支持优先级和权重;支持过载保护、会话保持和健康检查,会话保持可实现用户的访问请求均分配至同一出口。支持基于负载链路的出接口的 DNS 请求主动完成 DNS 服务器替换,解决用户主机配置 DNS 解析结果,与实际转发运营商链路解析结果有冲突,从而导致跨运营商访问慢的问题;支持进行 DNS 探测,针对 探测失败情况,支持选择禁用 dns-dnat 功能或禁用负载链路出接口。 |
服务器负载均衡 | 支持 5 元组的服务器负载均衡策略,负载算法支持权重、源地址散列+权重;支持服务器健康检查和会话保持。 |
DNS | 支持 DNS 透明代理,支持指定DNS 或继承链路 DNS 配置,针对多链路支持基于优先级、权重、流量算法进行 DNS 负载。 支持针对特殊域名使用指定 DNS 进行解析,支持域名定向解析 支持 DNS 解析动态缓存,缓存信息包括但不少于域名、IP、TTL 和命中次数等。 |
IPv6 | 支持 IPv6/v4 双栈,支持 IPv6 安全策略、包括审计策略、NAT 策略、流量控制策略、会话控制策略、黑名单、白名单、认证策略等 支持 IPv6 策略路由、OSPFv3、静态路由、IPv6 隧道,包括 IPv6 手工隧道、 isatap、6to4 等隧道模式、支持 IPv6 网络下的 DHCPv6、DNSv6、SNMPv6、 NTPv6、PPPoE 等基础协议 支持 IPv6 入侵防御、病毒防护、Web 防护、风险扫描、安全分析、资产发现、弱密码防护等安全功能 要求通过全球下一代互联网测试中心的“IPv6 Ready Phase-2”认证 |
VRF | 支持虚拟路由转发功能,使用 VRF 功能可以从系统层面隔离不同 VRF 组里的流量信息和路由信息,可作为 MPLS 组网里的 MCE 设备。不同 VRF 下的接口可以配置相同的 IP 地址 支持 VRF 的静态路由 |
访问控制 | 支持一体化安全策略:可基于设备接口/安全域、地址、服务、应用、用 户、时间等属性,配置入侵防御、病毒防护、URL 过滤、应用过滤、会话老化时间、终端过滤等高级访问控制功能。 |
策略分析 | 提供智能策略分析功能,支持策略命中分析、隐藏策略分析、冗余策略分析、冲突策略分析、可合并策略分析、过期策略发现、空策略发现、策略 宽松度分析,并在 web 页面显示分析结果。 |
入侵防御 | 系统定义超过 8000+条主流攻击规则,包含用户提权、任意代码执行、木马、后门、挖矿、web 序列化、webshell 等主流防护类型。并支持在线升级和手动升级 预置防护模板,可基于常见场景进行一键式的安全加固;支持基于常见协议进行异常检查,包括但不限于:HTTP、HTTPS\DNS、SMTP、POP3、FTP;检查内容支持自定义,包括但不限于:url 长度、请求长度、目录长度、 host 字段、version 字段、字符检测、文本长度、文件名长度、命令参数长度,支持针对每协议设置处置动作和事件等级。 支持针对攻击进行本地报文存储,方便管理员事后回溯攻击事件,支持针对某一个和某一类攻击设置报文存储机制;支持针对某一个和某一类攻击的源地址进行隔离,隔离时间可自定义。 支持基于攻击类型、严重程度、操作系统、发布时间、漏洞厂商、CVE 编 |
号、CNNVD 编号、规则关键词等条件搜索过滤防护规则,帮助管理员快速检索和配置防护策略 重要指标:支持自定义 IPS 特征,至少支持 IP、UDP、TCP、ICMP、HTTP、 FTP、POP3、SMTP 等协议自定义入侵攻击特征;可拓展协议字段,设置数据包中的匹配内容;支持选择包含、等于、不等于、大于、正则匹配等匹配方式;可选择多种匹配条件,支持设置“与”和“或”的匹配顺序;支持设置检测方向,包括双向、客户端方向和服务端方向;支持自定义选择重要等级。(需提供产品功能截图证明) 支持日志聚合,可按照源 IP、目的 IP、防护规则和源目 IP 等维度进行聚合,方便管理员快速进行攻击事件统计和回溯。 支持 IPS 高阶告警功能,可以配置多种告警条件,达到告警规则可通过邮 件或者 syslog 告警,不同告警规则可以发送给不同的用户 | |
病毒防护 | 支持 HTTP,FTP,POP3,SMTP,IMAP 协议的病毒查杀,支持查杀邮件正文 /附件、网页及下载文件中包含的病毒,支持 400 万余种病毒的查杀,并支持在线升级和手动升级病毒库 支持对最多 20 级的压缩文件进行解压查杀。 |
Web 防护 | 支持独立的 Web 防护模块,提供 SQL 注入攻击、XSS 攻击、恶意扫描与爬虫、服务器防护、CMS 漏洞防护等不少于 10 种的防护类型。 支持 HTTP 协议的精确访问控制,可针对 IP、URL、Method、Referer、 User-Agent、Cookie、Url-args 等字段设置内容,匹配内容包括但不少于:包括、不包含、等于、不等于、属于、不属于、长度小于、长度等于、长度大于、正则匹配等。 支持防盗链、CSRF 攻击、CC 攻击、应用隐藏、网页防篡改等防护;应用隐藏可隐藏 Server 信息、X-Powered-By 信息、替换客户端出错页面(4xx)、替换服务器端出错页面(5xx)等。 支持缓存防篡改网页,可手动清理缓存内容 |
端口扫描 | 支持针对 IP、端口进行端口扫描,可选择立即执行或定期执行;支持呈现 扫描结果,包括端口、端口状态、端口服务、程序版本、操作系统、风险状态、设备类型和时间等信息,支持导出功能。 |
弱密码扫描 | 支持弱密码扫描能力,可针对 IP、端口等对象,扫描监控空密码、用户名密码相同、预置弱口令、自定义弱口令等规则,可设置立即扫描或定期扫 描,弱口令字典可自定义设置。 |
基础防护 | 支持 IPv4、IPv6 双协议栈异常包攻击防御,攻击类型至少包含:Ping of Death、Land-Base、Tear Drop、TCP flag、Winnuke、Smurf、IP 选项、 IP Spoof、Jolt2 等 至少支持 telnet、ftp、imap、pop3、smtp、rlogin、http、oracle、mysql、 postgres 等常见协议的防暴力破解功能,针对每种协议可自定义检测时长、阈值和阻断时长。 支持非法外联学习和防护特性,可有效保障服务器安全,可定义外联白名单地址和端口;支持通过流量自学习获得服务器合法的外联行为,检测流量中的异常访问流量,实现自动拦截;学习时长可选择 1 小时、12 小时、 一天、一周等。 |
安全事件分析 | 支持展示攻击源的相关信息,包括但不少于:归属地、级别、攻击次数、开始时间、结束时间等,支持针对攻击源进行“一键处置”,将攻击源加入至黑名单。 支持关联所有安全事件,基于全球地图进行攻击源地域分析统计,支持以发起的网络攻击次数展现全球攻击源热度,统计攻击源 TOP 国家,统计时 间包括但不限于:一天、一周、一月和自定义时间。 |
攻击链可视 | 支持安全事件攻击链分析,以资产和攻击者两种角度关联所有安全事件,将攻击过程阶段化,分析和统计每个攻击阶段的攻击内容和攻击次数,支持针对每个攻击阶段进行数据下钻,支持分析攻击事件、检测模块、攻击级别、攻击时间、攻击源、攻击目的、等信息,帮助管理员清晰了解 APT攻击的攻击进度,及时在数据泄露前加固网络,针对已经数据泄露的情况,进行事件回溯,为后续网络加固提供数据支撑。 支持以攻击者的视角从攻击的四个阶段进行安全事件分析,包括但不限于:内网渗透、数据盗取、扫描探测、入侵尝试。支持统计每个攻击阶段的次数和攻击目的,支持针对每个攻击阶段进行数据下钻,以便了解详细的攻击内容。 支持以资产的视角从被攻击的四个阶段进行安全事件展示,包括但不限于:扫描探测、入侵事件、暴露内网、数据泄漏。支持统计每个被攻击阶段的次数和攻击目的,支持针对每个被攻击阶段进行数据下钻,以便了解 详细的攻击内容。 |
威胁情报 | 拥有自有数据来源,每日可获得不低于 6 亿次的互联网访问样本 支持展示全球热门和新型的威胁事件,支持数据下钻查看该威胁事件的时间、描述、类型、威胁级别、应用措施和指示器等信息。支持针对威胁事件提供安全防护的配置向导,通过引导方式帮助用户完成安全加固,规避威胁风险。 具有情报数据置信度算法,提供高置信度活跃威胁情报数据不低于 160 x (提供高置信度活跃威胁情报数据证明) 提供在设备端上的全网威胁情报的搜索查询,包括 IP、域名、文件 (MD5/SHA1 等)情报的查询。 支持针对内网进行威胁情报安全分析,支持以饼状图、柱状图等形式展示网络安全态势。支持针对资产维度进行数据下钻,分析维度包括但不限于资产、威胁风险、命中次数、命中时间、目的地址、威胁类型、威胁信息等,支持跳转至威胁情报平台,查看详细的威胁情报内容。 支持配置 2 个威胁情报云平台。 |
资产安全分析 | 支持内网资产自动发现功能,开启后自动评估内网资产安全,无需人工干预。支持手动创建、导入导出资产信息 支持展示内网资产的风险级别、重要程度、受攻击总数、IP、用户、部门、操作系统、来源等内容。 支持数据下钻至单资产风险详情,可自动关联该资产所有安全信息,安全信息包括但不少于:入侵防御、非法外联防护、弱密码防护、扫描攻击防御、威胁情报、WEB 防护、病毒防护、防暴力破解和行为模型等,支持以趋势图方式按时间展示各类安全事件的趋势,方便管理员快速了解资产安全状况,以便进行准确的安全防护。 支持以资产维度展示各类安全事件的信息,统计分析各类攻击时间开始和 结束时间 |
协同防御 | 支持与本方案所投的 EDR 产品协同工作,实现终端在访问特定 IP/网段时必须安装 EDR,否则拒绝访问并重定向 EDR 的安装页面,加强终端安全检查管理 支持与本方案所投的 APT 产品协同工作,实现将 APT 分析到的 SMB 远程溢出攻击、扫描行为、Web 后门访问、隐蔽信道通信、暴力破解、挖矿、远控工具利用、WEB 特征攻击等外部攻击源 IP 同步到本设备,通过本设备的黑名单功能实现自动阻断 支持与本方案所投的大数据智能安全分析平台协同工作,实现将大数据智能安全分析平台分析到的外部攻击源 IP 或者对外主动发起攻击的内部攻 击源 IP 同步给本设备,通过本设备的黑名单功能实现自动阻断 |
应用识别 | 应用特征不少于 5000 个,移动应用不少于 450 个。 支持根据标签选择应用,预置标签分类至少包含安全风险、高带宽消耗、降低工作效率等 10 大类;支持给每个应用自定义标签;支持根据标签选择一类应用做控制。 支持自定义应用,包括但不限于数据包方向、协议、端口、IP 地址、目标域名、关键字识别等维度,数据包方向包括任意、请求数据、响应数据,关键字匹配模式支持文本或正则表达式;支持 DNS 域名学习模式,可引用数据包特征中的目标域名或指定域名。 支持应用智能识别,有效识别 P2P 和迅雷行为,识别模式可选择严格、适中、宽松,支持排除扫描端口。 支持智能识别模式和快速识别模式,在智能识别模式下应用引擎尽可能地用各种方式识别网络流量,在快速识别模式下应用引擎将关闭部分智能分 析功能以提高性能。 |
应用控制 | 提供应用控制,支持针对应用动作的细粒度控制,比如针对社区类型,支持管控”上传“、“发表”、“浏览”、”登陆“等动作。 支持邮件控制,支持基于发件人黑白名单、收件人黑白名单、标题及内容关键字、邮件大小、附件个数进行行为过滤。 支持针对搜索引擎、http、网页内容进行关键字过滤并实时生成日志记录。支持针对虚拟账号进行黑白名单管理。 |
URL 识别与控制 | 内置 URL 分类库,支持≥56 个 URL 分类,URL 库可在线升级 支持自定义 URL 过滤,包括恶意 URL 白名单、恶意 URL 黑名单、URL 白名单等,并支持 URL 的模糊匹配。 支持基于 DNS 前置技术实现在 DNS 解析阶段针对 http 和 https 域名进行 过滤,防止 https 域名过滤逃逸情况。 |
旁路阻断 | 支持在设备旁路部署时针对违规上网行为进行阻断过滤。 |
流量管理 | 支持基于线路和多层通道嵌套的带宽管理和流量控制功能,提供至少四层管道嵌套;支持基于地址、用户、服务、应用、时间等匹配条件进行流量控制;并支持配置保障带宽、最大带宽、每 IP 带宽、每用户带宽、带宽优先级等 QoS 动作 支持带宽动态调整技术,带宽繁忙通道支持动态借用空闲通道的带宽,避免带宽浪费 支持流量限额功能,可基于用户、源 IP、目的 IP、时间、应用等维度,进行日流量总额、月流量总额、当日使用时长、当月使用时长等限额类型进行流量管理;针对达到限额阀值的用户进行弹窗提醒,限额阀值和弹窗提醒频率支持自定义;针对超过限额的用户,管理员可选择禁止上网或者 加入至惩罚流控通道。 |
防私接路由 | 支持防网络共享行为,针对私接路由器和非法无线热点行为进行识别和阻断。 支持自定义配置终端数量、冻结时间和添加信任列表;支持例外排除功能,可针对终端类型分别设置阀值数量。 针对私接网络行为,惩罚方式包括但不限于无操作、阻断和限速,阻断和 限速支持自定义惩罚时长。 |
公告提醒 | 支持针对 URL 控制、恶意 URL、移动转端冻结、共享接入、限额策略等行为进行公告提醒。 公告页面支持 html 的源码编辑,方便管理员个性化公示信息。 支持使用设备内置公告页面或引用第三方公告页面,支持自定义提醒频率,支持定时发布公告。 |
数据分析 | 支持用户全天行为分析,一个界面同时展示用户名、用户组、在线时长、虚拟身份(如 QQ 号码、微博账号等)、日志关联情况、全天流量使用分布、 网站访问类别分布、全天关键网络行为轴等信息。 |
支持监控用户和应用实时流速,包括用户名、应用名、用户组、上行速率、下行速率、总速率、会话数等信息,帮助管理员快速甄别网络异常行为;支持数据下钻跳转至详细列表,针对用户支持通过趋势图形式,按照时间顺序展示该用户网络会话和流量趋势,支持下钻跳转至详细列表访问的应用组成和流速情况。针对应用支持通过趋势图形式,按照时间顺序展示该应用会话和流量趋势,支持下钻跳转至详细列表使用该应用的用户、速率和会话数等情况。 支持基于 1 小时、1 天、1 周等时间维度进行流量和用户统计,统计结果为了更直观更方便的向管理员呈现,展示效果包括但不限于趋势图、饼状图和表格。统计结果支持数据下钻跳转至详细列表,更清晰的将用户、应用、时间、流量等信息进行关联,帮助管理员快速了解内网行为趋势和行为组成。 支持会话的统计与分析,支持统计会话源 Top20、会话目的 Top20,以趋势图方式展示并发会话、新建、TCP、UDP、其他协议等趋势信息;针对会话支持正向排名,支持数据下钻跳转至详细列表,深入钻取会话中用户、用户组、源目 IP、源目端口、协议、连接类型、应用、流量、时间等信息; 支持多条件组合形成筛选条件。 | |
认证 | 本地认证、Portal 认证、Xxxxxx 认证、LDAP 认证、POP3 认证、AD 域单点登录、短信认证、微信公众号认证、APP 认证、二维码认证、互联网钉钉认证、混合认证和免认证,其中微信公众号认证支持通过小程序获取手机号。 支持对接 AC Controller、IMC、AAS、SMP、深澜、城市热点、PPPOE、安美等常见认证服务器。 支持通过解析 Radius、http 流量,获取用户名、IP 和 MAC 信息,实现无认证实名上线。 支持用户 MAC 感知,当用户 MAC 地址变更后,要求重新认证,避免冒名认证现象; 支持伪 Portal 抑制技术, 支持通过 http302 重定向或 html-refresh 方式抑制非正常的 http 或 https 的页面请求,从而保障系 统稳定高效运行;支持基于 https 协议推送认证页面。 |
Portal 逃生 | 支持 Xxxxxx 逃生,支持选择不逃生、全部用户逃生和已认证用户逃生等方式;可基于 PING、TCP、DNS 等方式探测认证服务器。 |
短信认证 | 短信认证需支持短信平台方式,短信平台包括但不限于亿美软通、xx、一信通、佳诺、xx云、梦网科技、移动云 MAS、xx等,针对亿美软通平台支持拓展号段,拓展号段类比“电话分机号”,企业分部之间可以分别设置“拓展号段”,短信认证时设备携带“拓展号段”将手机号和验证码提交至亿美平台,亿美平台根据每一个分部的“拓展号段”通道进行短信发送,从而避免多个分部使用一个亿美账号发送短信时产生拥堵的情 况。 |
旁路认证 | 支持在设备旁路部署时针对内网上网用户进行实名身份认证,旁路认证方 式包括但不限于本地 WEB 认证、Portal Server 认证、短信认证、免认证、混合认证、单点登录等。 |
VPN | 支持 IPSec VPN、SSL VPN、Gre VPN,支持手机、平板电脑等移动终端 VPN接入,功能标配,无需增加功能授权即可使用 支持标准 IPsec VPN 和快速 IPsecVPN,标准 IPsecVPN 认证方式包括但不限于国密认证、数字证书和预共享密钥;同品牌设备快速 IPsecVPN 对接时加密算法等参数无需配置,自动生成,仅需配置保护子网、共享密钥、 IP 地址。 支持配置 IPsec VPN 隧道内网段映射,解决 VPN 地址网段重叠问题 支持指定 VPN 链路优先级,优先保障 VPN 建立和传输处于同一个运营商, 避免跨运营商访问。 |
支持 IPsec VPN 业务网段、感兴趣流和 VPN 路由自学习,更改业务网段时自动收敛,无需手工配置,保障业务不中断,减少运维工作量 HA 可同步 IPsec VPN 状态,当 HA 主备切换时无需VPN 重建,业务零中断支持 IPsec VPN 冷备份技术,指定 VPN 主备链路,当主链路存活时,备链路不接受不发送报文,避免主备链路同时收发包来回路径不一致导致业务 中断的情况。 | |
应用缓存加速 | 支持文件缓存,缓存文件形式不限于视频、xx和IOS 形式的 APP 等;设 备智能解析用户流量,针对域名或者文件请求,设备推送文件至终端,帮助用户缓解互联网出口压力,实现文件下载加速的效果。 |
服务质量管理 | 支持 PING、TCP、DNS 方式进行接口、域名、IP 地址连通性和时延探测,对整体网络提供清晰的整体网络质量评级,支持以列表形式展示的名单。 |
API 管理 | 支持被第三方管理平台通过 RESTFUL 接口进行调动管理,结合业务需求,实现业务快速变更和威胁动态处置。防火墙主要功能应具备restful 接口,包括但不限于:接口管理、路由、NAT、DNS、控制策略、QoS、系统管理 等 |
广告推送 | 具备推送广告页面,支持针对用户、接口、安全域、源地址、目的地址、时间等维度推送本地自定义广告或引用第三方广告,支持自定义推送间 隔。 |
双机热备 | 支持双机热备,支持主主模式、主备模式,支持同步配置、会话、运行状 态、VPN 状态、特征库,支持配置抢占模式和抢占延时,支持配置 HA 监控接口 |
管理员认证 | 系统管理员登陆认证支持 XXXxxx 双因子认证。 系统管理员支持与第三方服务器联动认证,第三方服务器包括但不限于 RADIUS 服务器、LDAP 服务器。支持第三方服务器状态探测,根据服务器状态自动切换认证方式,服务器异常时,切换为本地认证,服务器恢复后 使用外部认证。 |
系统维护 | 支持 U 盘零配置上线,设备端无需预配置,将U 盘插入设备 USB 接口中,即可实现快速上线实施。 支持 SNMPv1、v2、v3 版本,支持跨三层自学习 MAC 地址 web 管理界面支持 Ping、Traceroute、TCP Syn 诊断工具,可支持基于接口、协议、IP 地址、端口、应用进行网络抓包,并可下载导出分析 |
产品资质 | 具有中国信息安全产品认证中心颁发的《中国国家信息安全产品认证证 书》。 |
8、WAF
指标项 | 技术规格要求 | |
硬件要求 | 硬件规格要求 | 千兆电口≥6 个,xxx口 SFP≥4 个,冗余电源,1U 机箱。 |
性能要求 | 性能要求 | 网络层吞吐量≥6Gbps,HTTP 应用层吞吐量≥250Mbps,HTTP 新建 连接数≥60000,HTTP 并发连接数≥1800000。 |
网络适应性 | 工作模式 | 产品支持路由模式、透明模式、虚拟网线模式、旁路镜像模式等 多种部署方式。 |
链路聚合 | 产品支持链路聚合功能,可以将多个物理链路组合成一个性能更 高的逻辑链路接口,提高链路带宽和链路可靠性。 | |
接口联动 | 产品支持接口联动功能,同一联动组内所有物理接口的 UP/DOWN 状态同步变化。 | |
DNS 代理 | 产品支持 DNS 透明代理功能,避免单运营商 DNS 解析出现单一链 路流量过载,xx多条运营商线路的带宽利用率。 | |
NAT 功能 | 产品支持支持源地址转换 SNAT,目的地址转换 DNAT 和双向 NAT 等功能, 支持一对一、一对多、多对一等形式的 NAT。 | |
产品支持 NAT64 和 NAT46 地址转换方式,满足 IPv6 改造要求。 | ||
IPv6 功能 | 产品支持 IPv4/IPv6 双栈工作模式,以适应 IPv6 发展趋势。 | |
产品支持 IPv6 访问控制策略设置,基于 IPv6 的 IP 地址、服务、 域名、应用、时间等条件设置访问控制策略。 | ||
用户识别 与认证 | 认证方式 | 产品支持多种用户认证方式,用户认证方式要求支持本地密码认 证、外部密码认证和单点登陆等方式。 |
应用控制 | 应用识别 | 产品支持对不少于 9880 种应用的识别和控制,应用类型包括游戏、购物、图书百科、工作招聘、P2P 下载、聊天工具、旅游出 行、股票软件等类型应用进行检测与控制。 |
流量控制 | 产品支持多维度流量控制功能,支持基于 IP 地址、用户、应用、 时间设置流量控制策略,保证关键业务带宽日常需求。 | |
产品支持基于地区维度设置流控策略,实现多区域流量批量快速 管控功能。 | ||
会话控制 | 产品支持基于 IP 对象的会话控制策略,实现并发连接数的合理限 制。 | |
访问控制 | 访问控制策略 | 产品支持多维度安全策略设置,可基于时间、用户、应用、IP、 域名等内容进行安全策略设置。 |
地域访问控制 | 产品支持与国家位置信息结合设置安全策略,识别流量发起的国家或地区的位置信息,根据流量发起的国家或地区的访问位置信 息实现对不同区域访问的差异化控制。 | |
安全防护 | DDoS 防护 | 产品支持对 ICMP、UDP、DNS、SYN 等协议进行 DDOS 防护。 |
产品支持异常包攻击防御,异常包攻击类型至少包括 Ping of Death、Teardrop、Smurf、Land、WinNuke 等攻击类型。 | ||
URL 分类过滤 | 产品支持全面的 URL 分类库,针对网站类别实现细粒度管控,杜 绝非法、违规网站的访问行为。 | |
文件过滤 | 产品支持对文件传输行为进行安全过滤,支持基于上传、下载、 双向的文件内容过滤,内容过滤类型至少支持网页、脚本、压缩文件、图片、可执行文件、适配、文本等常见文件类型。 | |
防病毒 | 产品支持对 SMTP、HTTP、FTP、SMB、POP3、HTTPS、IMAP 等协议进行病毒防 御。 | |
产品支持对多重压缩文件的病毒检测能力,支持不小于 12 层压缩 文件病毒检测与处置。 | ||
产品支持病毒例外特征设置,根据文件 MD5 值和文件 URL 设置病 毒白名单,不对白名单进行病毒查杀。 | ||
入侵防御 | 产品预定义漏洞特征数量超过 7650 种,支持在产品漏洞特征库中以漏洞名称、漏洞 ID、漏洞 CVE 标识、危险等级和漏洞描述等条 件快速查询特定漏洞特征信息,支持用户自定义 IPS 规则。 | |
产品支持僵尸主机检测功能,产品预定义特征库超过 110 万种, 可识别主机的异常外联行为。 | ||
Web 安全防护 | 重要指标:产品支持对常见 Web 应用攻击防御,攻击类型至少支持跨站脚本(XSS)攻击、SQL 注入、文件包含攻击、信息泄露攻击、WEBSHELL、网站扫描、网页木马等类型,产品预定义 Web 应 用漏洞特征库超过 3320 种。(需提供产品功能截图证明) | |
产品支持对请求报文头的X-Forward-For 字段检测,并对非法源 IP 进行日志记录和联动封锁。 | ||
产品支持 CC 攻击防护功能,所投产品应提供第三方检测机构关于 “CC 攻击防护”功能项的产品检测报告。 | ||
安全策略管理 | 策略有效性分析 | 产品支持安全策略有效性分析功能,分析内容至少包括策略冗余分析、策略匹配分析、风险端口风险等内容,提供安全策略优化 建议。 |
策略生命周期 管理 | 产品支持策略生命周期管理功能,支持对安全策略修改的时间、 原因、变更类型进行统一管理,便于策略的运维与管理。 | |
高可用性 | 双机部署 | 产品支持主主、主备两种双机模式部署。 |
资质要求 | 产品资质 | 具有中国信息安全产品认证中心颁发的《中国国家信息安全产品 认证证书》 |
9、堡垒机
指标项 | 技术规格要求 |
产品架构 | 软硬件一体化产品,采用标准机架式硬件结构; |
部署方式 | 旁路代理模式,不影响正常业务流量;支持 HA 双机部署; |
硬件配置 | ≥6 个千兆以太网口;并发会话数≥500;设备内置硬盘至少 2TB*2,采用 RAID1磁盘阵列;内置 150 个主机/设备操作监控许可证书;3 个双因素认证介质 USBKEY |
支持协议 | 字符型远程操作协议:SSH(V1、V2)、TELNET、RLOGIN、AS400;图形化远程操作协议:RDP、VNC、X11; 文件传输协议:FTP、SFTP; 数据库远程操作协议:支持 ORACLE、MSSQL、Sybase、Mysql、DB2 数据库远程访问协议审计; 支持通过应用发布的代理进行协议扩展, 支持 Radmin 、Pcanywhere 、 HTTP/HTTPS,可定制开发其它访问协议及客户端支持; 1)安全终端仿真协议监控时实现会话复制和跟踪 2)FTP 二次登录系统及实现文件传输和过程监控 3)远程虚拟桌面访问统一管理和监控 4)远程桌面传输协议监控时实现操作识别 |
运维方式支持 | Web 访问方式:支持使用 IE、Chrome、firefox、safari 等浏览器直接调用 H5控件实现运维操作; Web 访问方式:支持运维用户个人保存未托管的目标主机账号密码;支持运维用户快速连接自设定的被授权主机; 客户端访问方式:支持使用 SQL Manager、Navicat、ISQLW、DBVisualizer、 mstsc、Xshell、SecureCRT、Putty、winscp、flashFXP、FileZilla、Netterm、 LeapFTP 等运维客户端工具实现数据库及目标设备的访问 Web 访问方式:通过系统的 Web 页面控件直接访问服务器或通过 WEB 页面调用本地工具(含数据库官方客户端)直接访问服务器; web 访问方式支持直接输入目标 IP 快速连接功能; 重要指标:支持 HTML 页面方式连接远程服务器而不需要安装任何客户端(需提供产品功能截图证明); |
身份认证 | 支持多种认证方式:本地密码认证、XxxXxx 认证、第三方 CA 证书认证、RSA动态口令认证、安盟动态口令认证、RADIUS 认证、LDAP 认证、AD 域认证以及短信认证; 支持系统自带的 Usbkey 和 Token 令牌强身份认证模式; 内置配置管理员、密码管理员、审计管理员、系统管理员、系统审计员、普通运维用户等管理角色; |
访问授权 | 支持 SSO 功能,运维人员不必输入服务器帐号及密码,无需进行二次登录认证;支持通过基于时间、IP/IP 段、用户/用户组、设备/设备组、设备账号、命令关键字、命令关键字、黑白名单等组合访问控制策略,授权用户可访问的目标设备。支持粗放式访问授权模式,授权条件仅基于运维用户(用户组)和目标 主机 IP 地址段,不限制使用的系统账号及协议等其它条件;支持审批模式: |
指标项 | 技术规格要求 |
运维用户访问特定的服务器设备必须经过管理员的临时审批授权才能进行,否则无法进行任何操作; 重要指标: 1)支持对重要设备启用登录审核策略:运维人员须向管理员申请登录,管理员允许之后才可登录;否则无法登录(提供相关 Web 页面截图证明) 2)支持对重要设备启用登录备注策略:运维用户访问设备时必须先填写该次访问的目的等内容,否则无法登录;(提供相关 Web 页面截图证明) 3)支持对重要命令进行实时审核:运维人员执行命令后,系统响应动作包括:实时审批、忽略指令、断开会话、实时告警;(提供相关 Web 页面截图证明) 4)支持工单授权功能:通过运维人员申请或管理员下发工单的方式来赋予运维人员访问目标服务器的权限,且有工单生效时间限制;(提供相关 Web 页面 截图证明) | |
访问控制及异常告警 | 支持按用户(用户组)、目标设备(设备组)、系统帐号、命令集和生效时间等内容或按访问授权策略设定安全事件规则;支持指令黑白名单; 支持对违规操作的指令(黑名单)进行告警、忽略处理、自动阻断或指令审批; 支持 以屏幕、邮件、SYSLOG、Snmp Trap、短信方式实时发送告警信息; |
用户管理功能 | 支持添加、删除、修改以及启用、停用运维用户;支持用户多角色划分功能,如系统管理员、配置管理员、审计管理员、密码管理员、审计审计员、运维用户等,对各类角色可组合进行细粒度的权限管理支持用户的批量导入/导出,按用户类型等分组方式;支持用户安全策略功能,如密码锁定次数、密码有效期、密码复杂度、用户有效期、用户登录时间限制、用户登录 IP 范围等; 重要指标: 1)支持用户/用户组的多级架构管理,可以复制、剪切、粘贴、移除用户/用户组,实现用户/用户组架构的灵活调整;(提供相关 Web 页面截图证明) 2)支持用户的移交功能,可以将用户的群组属性和权限交接给其它用户(提 供相关 Web 页面截图证明) |
主机管理功能 | 支持主机/主机组的多级架构管理,可以复制、剪切、粘贴、移除主机/主机组,实现主机/主机组架构的灵活调整;支持常用的运维协议:SSH、TELNET、RDP、 FTP、SFTP、Oracle、Mysql、Sybase、DB2、MSSQL 支持系统类型管理:内置常见系统类型,可自定义添加目标设备的系统类型及内容,包括显示图标、该系统拥有的协议及默认端口等内容;支持在线 ping 主机功能,即时获取该主 机存活信息; 支持主机/主机组的批量导入/导出 |
操作行为记录 | 支持对运维操作会话的在线监控、实时阻断、会话回放、起止时间、来源用户、来源 IP、目标设备、协议、命令记录、操作内容(如对文件的上传、下载、删除、修改等操作等)的详细行为日志。 支持对 RDP 屏幕文字内容、标题窗口、键盘输入的记录和搜索定位 |
会话过程回放 | 支持以 WEB 在线视频回放方式重现维护人员对服务器的所有操作过程,无须在客户端安装播放客户端软件;支持倍速/低速播放、拖动、暂停、停止、重新 播放等播放控制操作; |
密码管理 | 支持按设备、数据库、系统帐号、计划执行时间、改密周期、密码策略、改密结果发送等生成详细的改密计划,到期自动执行;支持使用 agent 方式修改主机密码;支持随机生成不同密码、随机生成相同密码以及手工指定相同密码的 密码策略,并能严格遵守密码强度设置; |
实时监控 | 支持实时监控近期发生的所有会话信息,显示会话状态(连接中、退出、阻断); 支持对会话进行同步监控,执行会话回放、监控和阻断操作; |
数据安全管 理 | 提供专用数据存储系统的著作权证书; 提供高性能日志及行为审计系统证书; |
10、安全管理平台
指标项 | 技术规格要求 |
硬件参数 | 规格:2U,内存≥32G,冗余电源,千兆电口≥6 个,xxx口 SFP+≥2 个, xxx口 SFP+≥2 个 |
产品形态 | 产品支持软、硬件一体化与软硬件解耦两种部署方式 |
部署模式 | 支持网桥、路由、旁路模式部署 |
平台要求 | 平台包含网管中心安全功能组件,平台配置≥40 个管理授权。 |
平台可根据实际业务环境定义业务安全区域,简化运维管理 | |
平台首页可以展示详细主机状态、磁盘状态及应用状态,以及业务和用户 遭受的安全风险、待处理的系统事件等相关安全信息; | |
支持故障迁移功能,当主机发生故障迁移后,可自动将组件迁移到其他主 机上运行; | |
为了提供更好的排障手段,支持在平台内节点抓包分析分析功能,能够设置抓包的网口、过滤条件、文件大小等参数 | |
支持双因素认证功能,用户需在登录时进行双重认证,以此提高用户的安 全性。 | |
平台支持关键安全组件双机功能,保障安全组件高可用;在双机场景下, 管理平台要支持双机配置同步,在硬件故障时保障无感知切换。 | |
支持基于一体化平台的安全运营中心功能,至少能够提供业务、用户视角 的安全风险展示。 | |
网管中心功能要求 | 重要指标:支持对采用 SNMP V1、V2、V3 和 ICMP 等网络管理协议的主流品牌网络设备的监控。应包括深信服、Cisco、F5、华为、H3C、中兴、Juniper、 FortiGate、SecGate、A10、锐捷、天融信等厂家的路由器、交换机、防火墙等。主要参数为接口流量、CPU 负载、内存使用量等性能参数的。对接口的监控包括每秒非广播包数量、广播包数量、丢包数、错误包数、未知协议包数等参数。接口流量可设定高流量阀值和低流量阀值。对支持的产 品可监控设备温度、电源状态、风扇等物理部件状态。(提供界面截图证明) |
可自动扫描支持 CISCO、HUAWEI、H3C、深信服等品牌的无线 AC、AP,对连 接数、在线用户数、上下行吞吐量等无线 AC/AP 设备实时数据 | |
支持使用 IPMI 协议对服务器的硬件状态的监控。主要参数为服务器内部温度、CPU 温度、电源状态和电压、风扇转速等服务器IPMI 功能支持的任意参数。支持授权状态下,对服务关机以及重启。支持 DELL IDRAC、IBM IMM 的 SNMP 监控,并实现图形化展示。 | |
支持对 Window、Linux、Sun Solaris、IBM AIX、HP-UX 等 UNIX 操作系统监控,可提供第三方客户端支持对 WINDOWS SNMP V3 的支持,主要参数为 CPU/内存/磁盘空间/IO 读写/网口状态和流量等。可根据进程运行的路径、所附带的运行参数进行监控进程的选择。支持进程启动、停止、僵死等状 态告警。 | |
可自动扫描发现针对 MYSQL、ORACLE 系统,可提供提供的信息,自动扫描数据库模板文件,无需添加自动生成图形化展示,自动生成数据库概览、 SGA、PGA、表空间、数据文件、会话、日志、缓存数据、锁队列等重要性 能指标。 |
11、CA 证书
序号 | 技术规格要求 |
1 | 单域名证书,能绑定一个完整域名 |
2 | 支持 RSA、SM2 国密算法 |
3 | 支持在云防护平台、WAF、VPN 等安全设备上使用 |
4 | 支持主流操作系统兼容性,兼容性要求 Firefox 6.0 及以上、Android 4.0 及以 上、IOS 5 及以上、java 6u45 及以上、Windows XP 及以上、OS X 10.9 及以上 |
5 | 证书有效期内无限次重签发; |
6 | 电子认证服务提供商具有完全独立自主的证书品牌,在国内拥有申请,验证,签发,吊销,重颁等全流程的证书 PKI/CA,确保用户信息申请材料和审核数据不出境,避免用户信息泄漏,保护用户信息的安全性,并提供自主品牌证明和完整 的自主签发流程说明作为承诺函 |
7 | 电子认证服务提供商应在国内有 PKI/CA 体系,可支持国内 OCSP\CRL 查询 |
8 | 电子认证服务提供商应具有工信部颁发的电子认证服务许可证、国家密码管理局 颁发的电子认证服务使用密码许可证、证书供应商应通过国际 WebTrust 认证 |
12、网页防篡改
指标项 | 技术规格要求 |
核心技术 | 基于特征码、模糊 Hash、脚本虚拟机动态监测 Webshell。 |
基本功能 | 支持网站服务器防篡改。支持网站服务器防攻击。 配置 2 个保护站点 |
策略模版 | 支持自定义防篡改&防攻击模板,策略绑定资产实现防护策略批量下发。 |
防篡改功能 | 支持目录保护,可通过新增白名单实现对子目录的排除。一键启停所有对监控端的保护。 支持基于目录、进程、IP、用户等进行设置篡改规则。 支持防篡改程序自我保护机制。 |
发布端 | 具备完善的发布功能,支持事件同步(文件变更时触发同步)、定时同步。支持完全同步和增量同步。 支持点对点,点对多同步。 |
防攻击功能 | 实时防护网站常见的 SQL 注入攻击、XSS 跨站攻击、应用漏洞攻击,并可进行自定义规则。 重要指标:智能检测并防御 CC 攻击,保证网站正常服务能力。防护分为高中低三级,主要进行策略验证、Cookie 验证、JS 脚本混合验证、抗图片识别工具的干扰色图片验证。(需提供产品功能截图证明) 高:对每个 IP 的首次访问,需要手动验证,用于识别是否为真实访客浏览行为,适用于网站处于长期性被攻击情况下。 中:对每个 IP 的首次访问,自动识别该请求是否为真实访客浏览行为,无需访客参与验证,适用于网站处于间断性被攻击情况下。 低:智能验证模式,当请求数达到出发条件时,自动识别该 IP 是否为真实访客浏览行为,解决大部分 CC 攻击问题。 通过配置 IP 或页面路径,对特定的访问者或页面进行放行或拦截。 基于特征码、模糊 Hash、脚本虚拟机动态检测 Webshell。 |
管理控制 | 可展示 Web 服务器的终端详情、监听端口、运行进程、账号(包括隐藏账号)信息、软件信息、性能监控及临时封锁 IP 等信息。 支持设置口令最小长度、口令包含策略类型、登录失败次数限制、登录失败锁定时间及验证码开关。 支持查看多种日志记录,并支持导出日志操作。 |
指标项 | 技术规格要求 |
支持按时间筛选的报表,支持导出 PDF、HTML 及 DOC 格式。 支持邮件,Syslog,短信,SNMP Trap,平台告警多种告警方式。 |
13、链路负载均衡
指标项 | 技术规格要求 |
硬 件 配 置 和 性 能 要 求 | 4 层吞吐量(默认网口)≥14G,四层并发连接数≥8000000,4 层新建连接数 CPS≥210000,7 层新建连接数 RPS≥350000;2U 机架;冗余电 源;千兆电口≥6 个,xxx口 SFP+≥2 个 |
部署方式 | 支持串接部署方式和旁路部署方式,支持三角传输模式。 |
多 合 一 功 能集成 | 单一设备可同时支持包括链路负载均衡、全局负载均衡和服务器负载均 衡的功能。三种功能同时处于激活可使用状态,无需额外购买相应授权。 |
提供针对多站点业务发布的全局负载均衡功能,通过智能 DNS 等机制实 现公网用户对多个数据中心或单个数据中心多条线路的最佳访问。 | |
负 载 均 衡 算法 | 支持轮询、加权轮询、按主机加权轮询、加权最小连接、按主机加权最 小连接、动态反馈、最快响应、加权最小流量、按主机加权最小流量、加权源 IP 哈希、带宽比例、哈希、首个可用、优先级等算法。 |
链 路 负 载 均衡 | 支持基于管理员自定义的时间计划来进行出站访问的流量调度分发。 |
支持基于 URL 的链路调度功能,内置不少于 1000 条的国外 URL 网址库, 无需手动导入并支持自动更新,管理员可查看并进行编辑。可根据 URL将访问国外网站的请求调度到指定线路。 | |
支持基于域名的流量调度,针对特定网站选择指定的链路转发。 | |
支持多种链路检测方法,能够通过 PING、TCP、HTTP 等方式监控链路的连通性,当某一条链路故障时,可将访问流量切换到其它链路,保障用 户业务的持久通畅。 | |
支持基于应用协议的智能选路,能对网银、游戏、视频等流量进行调度 | |
支持智能 DNS 解析功能,实现外网用户访问内网业务系统的最优路径选 择。 | |
支持 DNS 透明代理功能,可基于负载均衡算法代理内网用户进行 DNS 请 求转发,避免单运营商 DNS 解析出现单一链路流量过载,xx多条运营商线路的带宽利用率。 | |
支持基于五元组条件(源 IP 地址,源端口,目的 IP 地址,目的端口, 传输层协议号)来进行出站访问的流量调度分发。 | |
链路健康检查与服务器健康检查联动,入站负载跟服务器负载结合的时候,如果后端服务器全挂,则入站负载时也认为该虚拟 IP(此时要求入站负载的虚拟 IP 与虚拟服务发布的 IP 组相同)也离线,从而达到联动 效果。 | |
支持链路负载投屏展示,能够分别基于链路监测、应用选路和 ISP 流量 进行投屏展示分析。链路监测展示链路的健康状态、上下行带宽、总带宽、新建连接数、并发连接数和吞吐量;应用选路展示基于应用分类选 |
择相应链路的示意图;ISP 展示基于运营商分类选择链路的示意图。 | |
服 务 器 负 载均衡 | 支持源 IP、Cookie(插入/被动/改写)、HTTP-Header、SSL Session ID 等多种会话保持机制,支持跨虚拟服务的会话保持。 |
支持常见的主动式健康检查功能,提供基于 SNMP、ICMP、TCP/UDP、FTP、 HTTP、DNS、RADIUS,ORACLE/MSSQL/MYSQL 数据库等多种类型的探测判断机制,支持对 HTTPS 服务进行内容健康检查。 | |
支持被动式健康检查,可根据对业务流量的观测采样,辅助判断应用服务器健康状况;对常规 HTTP 应用可配置基于反映 URL 失效的 HTTP 响应状态码的观测判断机制,对于复杂应用可配置基于 RST 关闭连接和零窗 口等异常 TCP 传输行为的观测判断机制。 | |
对于超过服务器的连接数上限或者请求数上限的新建连接缓存起来放 入队列中,后续分批逐步发送给服务器,而不是直接丢弃数据包 | |
业 务 交 付 优化 | 支持非对称式部署的 TCP 协议优化技术,提升远端用户访问应用服务的速度。无需在用户终端或应用服务器上安装任何插件和软件,不受操作系统类型、浏览器版本等兼容性因素限制,并且用户首次访问应用服务 即可产生加速效果。 |
IPv6 | IPv6支持双栈模式,支持NAT46、NAT64、NAT66等协议转换 |
IPv6改造方案能够解决天窗问题,支持一条策略匹配多个外链网站,同时外链和网站子链发生修改时支持自动识别并做主动修改,不允许通过 人工解析配置的方式解决天窗问题 | |
运维管理 | 支持全中文管理界面和HTTPS方式登录、用户角色管理、多级授权管理。 |
设备内置数据中心,支持自动订阅和手动生成两种方式输出PDF格式的报表。报表可对链路和服务器的稳定性进行统计,可查询服务器的异常状态信息,并提供对故障原因的分析。 支持全局数据中心智能DNS统计,包括访问次数统计及按照Local DNS来源统计;支持统计虚拟服务和真实服务器的流量、访问次数、并发连接 数。 |
14、抗 DDOS 设备
指标项 | 技术规格要求 | |
硬件参数 | 硬件规格 | 流量清洗能力4Gbps,主机防护数量100万,新建连接数 15万,并发连接数600万。设备支持4路防护清洗,冗余电源,标准配置4个10/100/1000M自适应电口, 2个 扩展卡插槽。 |
产品需支持IPv4/IPv6双协议栈 | ||
网络部署 | 牵引回注 | 产品需支持静态和动态牵引方式,并且支持BGP、OSPF等多种路由协议 |
攻击防护 | 攻击防御 | 产品需支持流量控制功能,可以选择攻击防御模式和透明 直通模式 |
产品需支持HTTPS业务防护功能,包含但不限ClientHello 合法性和异常协商验证等算法,需要支持证书解密验证防御算法 | ||
产品需支持HTTP、HTTPS、游戏、UDP、FTP、SMTP、POP3和DNS等业务防护功能,需要具备专用的防护插件,非 TCP/UDP协议层面的限速、流控等防护方式 | ||
产品需支持纯UDP业务防护功能,在遭受深度应用层攻击时,系统可自动代理服务器进行响应验证,缓解服务器压 力 | ||
产品需支持HTTP业务防护功能,包含但不限“按钮点击”、 “验证码”和“鼠标滑动”等手工验证算法;验证响应页面需要支持自定义 | ||
状态与分析系统 | 实时态势 | 产品需支持实时攻击流量态势展示功能,不需要借助第三方设备就可以对数据分析和展示,并支持全屏效果展示 |
产品需支持连接监控功能,以列表形式展示所有(非TOP或部分)防御对象的实时连接,连接条目需要包含源目IP、 连接数和连接状态等信息,以便于全视所有IP的连接动态 | ||
产品需支持自动抓包取证功能,在防护对象受到攻击时, 系统能够自动进行报文捕捉和归档,事后可下载,进行分析取证 | ||
数据报表 | 产品需支持历史流量数据查询功能,能够查询所有IP地址分钟、小时、每日的输入、输出流量和报文等历史数据(具体值,非图型),并且支持以时间范围和流量值范围作为 过滤条件进行筛选 | |
产品需支持报表自动同步功能,具备时、日、周和月等不同的同步周期;同步方式需要包含邮件和TFTP两种模式( | ||
设备管理 | 管理与保障 | 产品需支持攻击事件记录功能,记录需包含攻击源地址、源端口、目的地址、目的端口、开始时间、结束时间、持续时间、攻击类型、高层协议、当前状态、最大流量和报 文档案等信息 |
产品需支持防护对象自动学习功能,设备部署后对于未知的防护对象,系统可自动学习,在学习完成后自动进行 防护 | ||
产品需支持Xxxxxx外部认证协议,进行登录认证 |
15、存储
指标项 | 指标要求 |
体系架构 | 实配 SAN 与 NAS 统一存储,配置 NAS 协议(包括 NFS 和 CIFS)、IP SAN 和 FC SAN 协议,不需额外配置 NAS 网关,存储操作界面同时支持块存储和文件存储功能,提供官网证明材料 |
控制器扩 展能力 | 支持控制器扩展,最大可支持≥8 控; |
控制器配 置 | 配置双 Active-Active 控制器;采用 2U 盘控一体架构 |
控制器处 理器 | 采用多核处理器,配置双控制器处理器总物理核心数≥32 核 |
支持硬盘类型 | 支持 SAS SSD、SAS、NLSAS 硬盘,并支持混插 |
存储缓存容量 | 配置双控缓存容量≥64GB,控制器缓存均具备断电保护功能, 在出现电源故障时,可提供充足的电源,将高速缓存内容转储至非易失性内部 存储设备上 |
前端主机 通道接口 | 配置≥8*1 GE+4*10GE(光口)+ 8*16G FC+8*10GE(RJ45)接口 |
后端磁盘 通道 | 配置后端磁盘通道带宽≥192Gbps |
文件系统分级 | 配置文件系统分级功能,支持基于文件(文件名、扩展名、文件大小、 文件时间等策略)在 SSD 与 HDD 之间做分级。 |
本地数据保护 | 配置数据卷镜像功能 |
配置硬盘 | 配置≥12 块 2.4TB SAS 10K 转速硬盘;配置≥4 块 3.84TB SSD SAS 硬盘 |
最大硬盘 数 | 最大支持磁盘插槽个数≥400 |
支持 RAID | 支持 RAID 1、RAID3、RAID 10、RAID50、RAID 5、RAID6 等可选配置 |
本地数据 保护 | 支持数据快照功能,恢复某个时间点的快照,其他时间点快照不丢失; |
文件系统全局 命名空间 | 多个文件系统能够挂载在根目录,实现全局统一命名空间访问 |
NAS 功 能 | 配置 NAS 功能,配置 NFS、CIFS、NDMP、多租户、目录配额功能;NFS业务支持全局命名 空间和日志审计功能; |
存储专用多路径软件 | 存储厂商提供专有多路径(非操作系统自带多路径)软件,提供故障切换和负载均衡功能,支持 Windows\Linux。提供计算机软件著作权登记 证书复印件。 |
自动分级 | 配置自动分级功能,提供 SSD、SAS、NLSAS 三级分级配置界面 |
安装服务 | 设备生产商需在国内设有 400 技术服务热线。 |
16、备份一体机
指标项 | 技术规格要求 |
软件功能 | 通过一个集中管理平台,可以实现对各种备份、容灾、集群等数据安全功能的统一集中管理; |
要求国产自主开发,拥有完全自主知识产权;支持全中文管理平台,支持储存额、网络流量、扩充存储模块控制;软件有标准的开发接口,便于第三方应用的有效集成,通过该接口,用户可以将容灾功能集成到第三方应用系统中,有效提升整体可靠性。 | |
可以进行广域网、异地远距离的数据备份。支持一对一的灾难备份,多对一的集中式备份。通过采用数据压缩、断点续传、流量控制、双向缓冲等技术,减少了网络通信流量,提高了数据传输的稳定性和高效性,最大限度地增加数据吞吐量。 | |
支持全局去重功能,支持客户端备份源与服务器上已备份数据列表做比较, 仅上传修改过增量或完全没有上传过的数据, 从而确保备份源与一体机端的数据唯一性/去重。 | |
支持多级账号分权管理,备份服务器支持多级账户的管理能力,允许创建和管理下层的管理员账户/下级账户。 | |
支 持 对 等 主 流 虚 拟 化 系 统 的 备 份 ( 例 如 : VMware ESX/ESXi/Player/Workstation/Fusion/Server、Hyper-V Server 等);支持虚 |
指标项 | 技术规格要求 |
拟机的颗粒还原无需还原整机即可还原虚拟机内的单个文件。 | |
支持虚拟机无需还原直接挂载启动,且直接启动期间产生的数据可以自动同步至要恢复到的虚拟化主机上。 | |
支持流量控制,支持通过备份服务器 web 管理界面控制每个备份客户端账户的备份上传流量。 | |
支持通过 D2D 方式进行数据备份时,对备份数据量和备份存储空间没有软件许可的限制。 | |
支持群组权限设置功能,可批量设置不同用户的权限。 | |
支持数据加密,所有数据在备份过程中通过客户端加密后上传至备份一体机端, 保证数据存放在云端的高度安全性。国际加密算法以及方式:算法: Twofish、XXXxxx & AES,方式:ECB、CBC。 | |
支持智能运营管理功能,要求支持空间使用情况监控、授权监控、服务运行性能监控、平台及用户侧的硬件监控,如网络、CPU、内存等。 | |
支持数据三种模式压缩和传输,所有数据在备份过程中通过客户端压缩后上传至备份一体机端, 为减低数据对带宽/云端存储的压力。 当中提供以下 3 中压缩类型:不压缩、正常压缩、快速压缩。 | |
支持将亚马逊 S3 云存储、Google 云存储、微软 Azure、OneDrive、Rackspace、 Dropbox、天翼云、xx云等云上数据备份至本地,也支持将本地数据备份至以上云上 | |
支持各种故障报警:备份任务告警、空间使用情况告警、运行性能告警、故障告警。 | |
支持各类数据库(MS SQLServer,MySQL,ORACLE,ORACLE RAC,Lotus Domino, Microsoft Exchange(必须达到邮件层面恢复))等数据备份。 | |
要求支持在线容灾备份演练,容灾备份服务器可以在不影响生产服务器业务正常运行的情况下,在备份一体机上进行数据回放及操作;演练时可以选择数据轴上进行无限次数的任意时间点进行数据恢;在演练场景下,可以反复对回放时间点进行秒级的前进和后退恢复操作,提高容灾演练的可操作性; | |
支持备份数据传输加密,内置至少 3 种加密方式供用户选择;支持分布式存储架构,备份设备与存储逻辑分离,可以实现存储无限扩展,并且备份数据冗余,达到更高的扩展性和安全性。 | |
管理功能 | 支持基于 B/S 集中的统一管理平台;支持全中文网页式管理平台,界面清晰,支持储存额、网络流量、扩充存储模块控制;有完善的备份日志功能,以及备份状况邮件提醒机制;用户界面按钮、标签等需要有只读或隐藏控制,可由服务器直接定制用户端界面;支持设置备份群组,为不同群组预设备份政策,方便管理不同部门之备份工作及资源分配。 |
部署环境 | 支持 Windows 2003/2008/2012 Server or later、CentOS、Red Hat、FreeBSD、 OpenBSD、AIX、Solaris、HP-UNIX 、Mac 等操作系统备份。 |
容灾备份部署具有硬件无关性,与存储设备、服务器的品牌、型号无关;支持 SAN 存储环境下的数据备份;支持备份数据流量控制,有效管理工作环境网络 资源;支持备份前、备份后命令扩展;支持备份文件筛选功能;支持分布式存 |
指标项 | 技术规格要求 |
储架构,备份设备与存储逻辑分离,可以实现存储无限扩展,并且备份数据冗余,达到更高的扩展性和安全性。 | |
硬件配置 | 24 盘位,4U 机架式;双路 6 核至强 CPU;64G 内存;配置≥60TB 可用存储空间; RAID 0、1、5、6、50、60;550W 冗余电源。 |
资质要求 | 备份一体机必须原厂研发,拥有完全自主知识产权,要求容灾备份软件具备《计算机软件著作权登记证书》或《软件产品登记证书》 |
注:1、根据上海市财政局沪财库[2009]19 号“关于落实政府采购优先购买福利企业产品和服务的通知”要求,本项目在同等条件下优先采购福利企业的产品和服务。同时项目采购应当符合采购价格低于市场平均价格、采购质量优良和服务良好的要求。
2、本项目采购中产品涉及《信息安全产品强制性认证目录》内产品的,供应商应按国家相关规定提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书,否则作为无效投标处理。
五、服务人员要求
投标人应提供本项目服务人员名单及简介,且服务人员数量不得少于 7 人。
投标人项目组成员中,应包括项目经理、项目技术负责人及具备主机、网络、存储、安全相关从业经历的实施人员。其中项目经理和项目技术负责人应具有担任过类似大型信息系统项目工作经验,实施人员应具有网络、主机存储、安全相关证书及类似项目经验。在投标书中提供书面名单,提供项目组成员姓名、其相关资质、在本项目中的职责及以前参与过的项目情况说明等,并提供对应的社保证明。
六、质保及售后服务要求
1、在接到报修电话通知后 1 小时内响应;2 小时内赶到现场处理故障,使系统恢复正常。免费期内对系统优化和常规安全检查。
2、质保期:本项目涉及的所有设备质保期为不少于三年。质量保证期不满足要求将作为无效投标处理。
3、投标人应承诺能向买方保证提供相应设备的备品备件,当设备出现故障时,能及时更换坏掉的设备,保证整个系统的可用性。
4、投标人应提供电话咨询服务,以及必要的人员和物资的应急响应服务。
5、投标人须作出无推诿承诺。即投标人应提供特殊措施,无论由于哪一方产生的问题而使系统发生不正常情况时,并在得到买方或系统集成商通知后,须立即派工程师到场,全力协助系统集成商和其他供应商,使系统尽快恢复正常。
七、其他要求
1、报价要求:本项目为交钥匙工程。投标人必须对以上全部采购内容及相关服务进行报价,报价中应包含设备采购、安装集成费用、免费维护费用、相关培训等伴随服务等全部明细内容,并将与本项目有关的其他所有费用全部计入投标报价,采购人不再承担其
他任何费用。
2、本项目需按照信息安全技术网络安全等级保护三级要求实施。项目工期要求在合同签订后 6 个月内完成,以达到等级保护三级测评条件,并以通过第三方等级保护测评作为项目验收标准。请投标单位根据用户方需求自报项目实施周期,并制作详细实施周期及施工组织方案、人员安排等质量、安全、工期保障措施,以确保项目按期完工。
3、验收要求:根据招标的设计技术和功能对中标设备进行完善的测试和验收。同时提供测试文档和验收文档;提供全套完善的产品设备档案资料文档;投标方应在投标时提供相关验收标准,验收方案与相关验收表格。
4、培训要求:投标方应对业主的操作、维修技术人员进行免费技术培训。包括一般维修、常见故障排除等一系列专业培训。使之能够正确操作与使用全部设备,并能进行常见故障排除,并提供系统操作培训计划。
5、项目实施保障要求:投标方必须提供完整的项目保障实施方案,描述项目的实施过程,提出需采取的确保整个项目实施正常有序的措施和办法。
6、项目管理要求:
1)项目管理首先要建立管理的原则,组织,协调机制和实施办法。投标方必须提供实施本项目的完整的项目管理方案,并在项目建设过程中严格执行。
2)项目计划的制定和执行要体现医院信息系统项目的特点。
3)必须高度重视对过程的管理控制,高度重视对各类文档的管理,必须建立中间环节和文档的内部测试审核制度。
4)在项目管理方案中,应充分体现投标方在项目管理方面的经验和能力以及对该项目管理的设想和具体方法,以下内容必须涉及:
项目组;
项目经理,项目组成员及项目组织结构;
项目组成员除基本信息外,必须说明专业背景,相关资质和专长;组织管理(与系统集成环节相关);
项目计划(与项目整体管理相关);
7、风险分析和相应处理方案的要求:投标方应该对项目技术,安全性,质量管理和进度控制,需求变动,实施条件和配合,以及内部人员变动等因素可能出现的意外和对项目完成带来的风险有清晰的认识和处理预案。
8、中标单位与采购人应当在中标通知书发出之日起三十日内,按照招标文件确定的事项签订政府采购合同,采购人应当按照《xx区政府采购货物、服务项目合同履约验收管理办法》相关规定进行验收管理和支付相应合同价款,中标单位有义务参加并协助采购人验收,提供相关技术资料、合格证明等文件或材料,并对自己生产或销售的货物质量或提供的服务负责。验收书要求见附件。
9、供应商实际供货产品与投标产品不一致,送货服务承诺无法完成,产品质量、服务被使用方有效投诉,经查实中标供应商要承担相应违约责任,并将按《xx区政府采购供应商诚信档案管理(暂行)办法》规定进行相应记载和处理,同时保留向市、区政府采购管理机构通报的权利。
合同通用条款及专用条款
合同统一编号: [合同中心-合同编码]
合同条款前附表
序号 | 条款号 | 内 容 |
1 | 6.3 | 1.货款支付时间: 合同签定后十五(15)天内,供应商上交买方合同金额 5%履约保证金(在项目验收完成后自动转为质量保证金)。按合同约定及项目实施进度分期进行支付。质量保证金在投标人承诺的保修期满后,由买方在十五(15)天内无息退还。 2.投标保证金的退回: 中标方投标保证金在货物验收后退回。 |
2 | 7.2 | 伴随服务的内容: 至少按照合同条款第 7.2 条(1)~(4)款规定,卖方若还有其它伴随服务请在投标书中一并说明。 |
3 | 8.1 | 质量保证期限: 货物及系统交付并经最终验收合格后不低于叁(3)年。 |
4 | 15.1 | 履约保证金金额:为合同金额的 5%。 |
合同一般条款 合同内部编号:
合同各方:
甲方:[合同中心-采购单位名称] | 乙方:[合同中心-供应商名称] |
地址:[合同中心-采购单位所在地] | 地址:[合同中心-供应商所在地] |
邮政编码:[合同中心-采购人单位邮编] | 邮政编码:[合同中心-供应商单位邮编] |
电话:[合同中心-采购单位联系人电话] | 电话:[合同中心-供应商联系人电话] |
传真:[合同中心-采购人单位传真] | 传真:[合同中心-供应商单位传真] |
联系人:[合同中心-采购单位联系人] | 联系人:[合同中心-供应商联系人] |
根据《中华人民共和国政府采购法》、《中华人民共和国合同法》之规定,本合同当事人在平等、自愿的基础上,经协商一致,同意按下述条款和条件签署本合同:
1.乙方根据本合同的规定向甲方提供以下系统:
1.1 系统
乙方所提供的系统其来源应符合国家的有关规定,系统的配置、功能、规格、等级、版本、数量、价格和交付日期等详见合同附件清单。
2. 合同价格、服务地点和服务期限
2.1 合同价格
x合同价格为[合同中心-合同总价]元整([合同中心-合同总价大写])。
乙方为履行本合同而发生的所有费用均应包含在合同价中,甲方不再另行支付其它任何费用。
2.2 服务地点
2.3 服务期限
x服务的服务期限:[合同中心-合同有效期]。
3.质量标准和要求
3.1 乙方所交付系统的质量标准按照国家标准、行业标准或制造厂家企业
标准确定,上述标准不一致的,以严格的标准为准。没有国家标准、行业标准和企业标准的,按照通常标准或者符合合同目的的特定标准确定。
3.2 乙方所交付的系统还应符合国家和上海市有关安全、环保、卫生之规定。
4.权利瑕疵担保
4.1 乙方保证对其交付的系统享有合法的权利。
4.2 乙方保证在其交付的系统上不存在任何未曾向甲方透露的担保物权,如抵押权、质押权、留置权等。
4.3 乙方保证其所交付的系统没有侵犯任何第三人的知识产权和商业秘密等权利。
4.4 如甲方使用该系统构成上述侵权的,则由xxxx全部责任。 5.交付、领受与验收
5.1 甲方应依据系统项目工程的条件和性质,根据乙方的要求向乙方提供系统的施工、安装和集成环境。如甲方未能在该时间内提供该施工和安装环境,乙方可相应顺延交付日期。如对乙方造成经济损失,甲方还应依本合同规定承担违约责任。
5.2 乙方应在进行每项交付前 个工作日内,以书面方式通知甲方。甲方应当在接到通知的 工作日内安排接受交付。乙方在交付前应当根据附件中的检测标准对所交付的项目进行功能和运行检测,以确认交付项目符合本合同的规定。
5.3 乙方应按照合同及其附件所约定的内容进行交付,如果本合同约定甲方可以使用或拥有某软件源代码的,乙方应同时交付软件的源代码。所交付的文档与文件应当是可供人阅读的书面和电子文档。
5.4 甲方在领受交付项目后,应当在 工作日内对所交付项目进行检验,向乙方出具书面文件,以确认其符合本合同所约定系统的任务、需求和功能。如有缺陷,应向乙方出具书面报告,xx需要改进的缺陷。乙方应立即改进此项缺陷,并再次进行检测和评估。甲方应当于 工作日内再次检验并向乙方出具书面领受文件或递交缺陷报告。甲、乙双方将重复此项程序直至甲方领受或甲方依法或依约终止本合同为止。
5.5 自系统功能检测通过之日起,甲方拥有 天的系统试运行权利。
5.6 如果由于乙方原因,导致系统在试运行期间出现故障或问题,乙方应及时排除该故障或问题。以上行为产生的费用均由乙方承担。
5.7 如果由于甲方原因,导致系统在试运行期间出现故障或问题,乙方应及时配合排除该方面的故障或问题。以上行为产生的相关费用均由甲方承担。
5.8 系统试运行完成后,甲方应及时进行系统验收。乙方应当以书面形式向甲方递交验收通知书,甲方在收到验收通知书后的 个工作日内,确定具体日期,由双方按照本合同的规定完成系统验收。甲方有权委托第三方检测机构进行验收,对此乙方应当配合。
5.9 如果属于乙方原因致使系统未能通过验收,乙方应当排除故障,并自行承担相关费用,同时延长试运行期 个工作日,直至系统完全符合验收标准。
5.10 如果属于甲方原因致使系统未能通过验收,甲方应在合理时间内排除故障,再次进行验收。如果属于故障之外的原因,除本合同规定的不可抗力外,甲方不愿或未能在规定的时间内完成验收,则由乙方单方面进行验收,并将验收报告提交甲方,即视为验收通过。
5.11 甲方根据系统的技术规格要求和质量标准,对系统验收合格后,如为政府集中采购项目,甲方收取发票并在《xx区政府采购中心验收单》上签署验收意见及加盖单位印章。
6.知识产权和保密
6.1 甲方委托开发软件的知识产权归甲方所有。乙方向甲方交付使用的系统已享有知识产权的,甲方在许可的范围内合理使用。
6.2 在本合同项下的任何权利和义务不因合同乙方发生收购、兼并、重组、分立而发生变化。如果发生上述情形,则本合同项下的权利随之转移至收购、兼并、重组后的企业继续履行合同,分立后成立的企业共同对甲方承担连带责任。
6.3 如果甲方或乙方提供的内容属于保密的,应签订保密协议,甲乙双方均有保密义务。
7.付款
7.1 本合同以人民币付款。
7.2 本合同款项按照以下方式支付、付款内容。
付款次序 | 付款号 | 国库支付金额 | 甲方支付金额 |
7.2.1 付款条件:(一次性付款)
(1)在本合同签订且甲方收到乙方按本合同第 14 条规定提交的履约保证金后、乙方交货的同时,甲方根据付款内容向乙方支付货款。如果甲方不付款,乙方可以延迟交货而不负违约责任;
(2)如为政府集中采购国库支付项目, 集中采购机构收到发票复印件和经甲方签字盖章的《付款通知单》以及《xx区政府采购中心验收单》或法定质量检测机构出具的验收报告并且甲方收到乙方按本合同第9.8 款规定提交的质量保证金后十五天内,集中采购机构根据付款通知单的内容申请国库向乙方支付货款。
7.2.2 付款条件:(分期付款)
(1)甲方支付项目:本合同付款按照上述付款内容和付款编号顺序分期付款。
(2)政府集中采购国库支付项目:
第一笔付款预付款:在本合同签订且集中采购机构收到预付款等额的银行保函和甲方收到乙方按本合同第 14 条规定提交的履约保证金后十五日内,根据甲方签署的付款通知单内容,集中采购机构申请国库支付款项;
第二笔付款交货付款:甲方收到全部货物和发票后十五日内,集中采购机构根据甲方签署的付款通知单内容申请国库支付款项,并同时退还已经收到的预付款银行保函;
第三笔付款最终验收付款:验收单或验收报告出具并且甲方收到乙方按本合同第 9.8 款规定提交的质量保证金后十五天内,集中采购机构根据甲方签署的付款通知单内容申请国库支付剩余款项。
8.辅助服务
8.1 乙方应提交所提供硬件设备的技术文件,包括相应的每一套设备和仪器的中文技术文件,例如:产品目录、图纸、操作手册、使用说明、维护手册和/或服务指南。这些文件应包装好随同设备一起发运。
8.2 乙方还应提供下列服务:
(1)硬件设备的现场移动、安装、调试、启动监督及技术支持;
(2)提供设备组装和维修所需的专用工具和辅助材料;
(3)在质量保证期内对交付的系统实施运行监督、维护、维修;
(4)乙方应根据项目实施的计划、进度和需要与客户的合理要求,及时安排对甲方的相关人员进行培训。培训目标为使受训者能够独立、熟练地完成操作,实现依据本合同所规定的弱电系统的目标和功能。
8.3 辅助服务的费用应包含在合同价中,甲方不再另行支付。 9.系统保证和维护
9.1 在乙方所交付的系统中,不得含有未经甲方许可的可以自动终止或妨碍系统运作的软件和硬件,否则,乙方应承担赔偿责任;
9.2 乙方所提供的软件,包括受甲方委托所开发的软件,如果需要经国家
有关部门登记、备案、审批或许可的,乙方应当保证所提供的软件已经完成上述手续。
9.3 乙方保证,依据本合同向甲方提供的系统及其附属产品不存在品质或工艺上的瑕疵,能够按照本合同所规定的技术规范、要求和功能进行正常运行。乙方保证其所提供的软件系统在当前情况下是最适合本项目的版本。
9.4 乙方自各项目交付验收通过之日起( )个月内向甲方提供免费的保修和维护服务并对由于设计、工艺或材料的缺陷而产生的故障负责。如果厂商对系统产品中的相应部分的保修期超过一年的,则按厂商规定进行免费保修。在此期间如发生系统运作故障,或出现瑕疵,乙方将按照售后服务的承诺
(见合同附件)提供保修和维护服务。
9.5 乙方应保证所供系统是全新的、未使用过的。在质量保证期内,如果系统的质量或规格与合同不符,或证实系统是有缺陷的,包括潜在的缺陷或使用不符合要求的材料等,甲方可以根据本合同第 10 条规定以书面形式向乙方提出补救措施或索赔。
9.6 乙方在约定的时间内未能弥补缺陷,甲方可采取必要的补救措施,但其风险和费用将由乙方承担,甲方根据合同规定对乙方行使的其他权利不受影响。
9.7 在保修期内如由于乙方的责任而需要对本系统中的部件(包括软件和硬件)予以更换或升级,则该部件的保修期应相应延长。
9.8 乙方应向甲方提交一笔金额为( )元人民币的质量保证金,质量保证金可以采用支票或者甲方认可的银行出具的保函。乙方提交质量保证金所需的有关费用均由其自行负担。质量保证金应在甲方最后一次付款前支付,有效期为验收合格后( )个月。质量保证金期满后 15 天内,甲方应一次性将质量保证金无息退还乙方,无正当理由逾期不退的,甲方应承担由此而造成的乙方直接损失。
10.补救措施和索赔
10.1 甲方有权根据质量检测部门出具的检验证书向乙方提出索赔。
10.2 在质量保证期内,如果乙方对缺陷产品负有责任而甲方提出索赔,乙方应按照甲方同意的下列一种或多种方式解决索赔事宜:
(1)乙方同意退货并将货款退还给甲方,由此发生的一切费用和损失由乙方承担。
(2)根据系统的质量状况以及甲方所遭受的损失,经过买卖双方商定降低系统的价格。
(3)乙方应在接到甲方通知后七天内负责采用符合合同规定的规格、质
量和性能要求的新零件、部件和设备来更换有缺陷的部分或修补缺陷部分,其费用由乙方负担。同时,乙方应在约定的质量保证期基础上相应延长修补和/或更换件的质量保证期。
10.3 如果在甲方发出索赔通知后十天内乙方未作答复,上述索赔应视为已被乙方接受。如果乙方未能在甲方发出索赔通知后十天内或甲方同意延长的期限内,按照上述规定的任何一种方法采取补救措施,甲方有权从应付货款中扣除索赔金额或者没收质量保证金,如不足以弥补甲方损失的,甲方有权进一步要求乙方赔偿。
11.履约延误
11.1 乙方应按照合同规定的时间、地点交货和提供服务。
11.2 如乙方无正当理由而拖延交货,甲方有权没收乙方提供的履约保证金,或解除合同并追究乙方的违约责任。
11.3 在履行合同过程中,如果乙方可能遇到妨碍按时交货和提供服务的情况时,应及时以书面形式将拖延的事实、可能拖延的期限和理由通知甲方。甲方在收到乙方通知后,应尽快对情况进行评价,并确定是否同意延长交货时间或延期提供服务。
12.误期赔偿
12.1 除合同第 13 条规定外,如果乙方没有按照合同规定的时间交货和提供服务,甲方应从货款中扣除误期赔偿费而不影响合同项下的其他补救方法,赔偿费按每(周、天)赔偿迟交货物的交货价或延期服务的服务费用的百分之零点五(0.5%)计收,直至交货或提供服务为止。但误期赔偿费的最高限额不超过合同价的百分之五(5%)。(一周按七天计算,不足七天按一周计算。)一旦达到误期赔偿的最高限额,甲方可考虑终止合同。
13.不可抗力
13.1 如果合同各方因不可抗力而导致合同实施延误或不能履行合同义务的话,不应该承担误期赔偿或不能履行合同义务的责任。
13.2 本条所述的“不可抗力”系指那些双方不可预见、不可避免、不可克服的事件,但不包括双方的违约或疏忽。这些事件包括但不限于:战争、严重火灾、洪水、台风、地震、国家政策的重大变化,以及双方商定的其他事件。
13.3 在不可抗力事件发生后,当事方应尽快以书面形式将不可抗力的情况和原因通知对方。合同各方应尽可能继续履行合同义务,并积极寻求采取合理的措施履行不受不可抗力影响的其他事项。合同各方应通过友好协商在合理的时间内达成进一步履行合同的协议。
14.履约保证金
14.1 在本合同签署之前,乙方应向甲方提交一笔金额为( )元人民币的履约保证金。履约保证金应自出具之日起至全部系统按本合同规定验收合格后三十天内有效。在全部系统按本合同规定验收合格后 15 日内,甲方应一次性将履约保证金无息退还乙方。
14.2 履约保证金可以采用支票或者甲方认可的银行出具的保函。乙方提交履约保证金所需的有关费用均由其自行负担。
14.3 如乙方未能履行本合同规定的任何义务,则甲方有权从履约保证金中得到补偿。履约保证金不足弥补甲方损失的,乙方仍需承担赔偿责任。
15.争端的解决
15.1 合同各方应通过友好协商,解决在执行本合同过程中所发生的或与本合同有关的一切争端。如从协商开始十天内仍不能解决,属于政府集中采购的项目,可以向xx区政府采购管理办公室提请调解。如果经调解不能达成协议,则在买方住所地有管辖权的人民法院提起诉讼。在诉讼期间,除了必须在诉讼过程中进行解决的那部分问题外,合同其余部分应继续履行。
16.违约终止合同
16.1 在甲方对乙方违约而采取的任何补救措施不受影响的情况下,甲方可在下列情况下向乙方发出书面通知书,提出终止部分或全部合同。
(1)如果乙方未能在合同规定的期限或甲方同意延长的期限内提供部分或全部系统。
(2)如果乙方未能履行合同规定的其它义务。
16.2 如果甲方根据上述 16.1 款的规定,终止了全部或部分合同,甲方可以依其认为适当的条件和方法购买与未交货的系统,乙方应对购买类似的系统所超出的那部分费用负责。但是,乙方应继续执行合同中未终止的部分。
16.3 如果乙方在履行合同过程中有不正当竞争行为,甲方有权解除合同,并按《中华人民共和国反不正当竞争法》之规定由有关部门追究其法律责任。
17.破产终止合同
17.1 如果乙方丧失履约能力或被宣告破产,甲方可在任何时候以书面形式通知乙方终止合同而不给乙方补偿。该终止合同将不损害或影响甲方已经采取或将要采取任何行动或补救措施的权利。
18.合同转让和分包
18.1 除甲方事先书面同意外,乙方不得转让和分包其应履行的合同义务。 19.合同生效
19.1 本合同在合同各方签字盖章并且甲方收到乙方提供的履约保证金后生效。
19.2 本合同一式(4)份,以中文书就,签字各方各执一份,属于政府集中采购的项目还需一份报xx区政府采购管理办公室备案,一份送xx区政府采购中心归档。
20. 合同附件
20. | 1 | 本合同附件包括:招标文件、投标文件等。 |
20. | 2 | 本合同附件与合同具有同等效力。 |
20. | 3 | 合同文件应能相互解释,互为说明。若合同文件之间有矛盾,则以 |
最新的文件为准。 21.合同修改
21.1 除了双方签署书面修改协议,并成为本合同不可分割的一部分之外,本合同条件不得有任何变化或修改。
签约各方: | |
甲方(盖章): | 乙方(盖章): |
法定代表人或授权委托人(签章): | 法定代表人或授权委托人(签章): |
日期:[合同中心-签订时间] | |
合同签订点:网上签约 |
第五部分 投标文件格式
投标文件格式详见网上招投标系统相关附件
徐汇区政府采购中心:
( 投标人全称) 授权 ( 投标人代表姓名) (职务、职称)为我方代表,参加贵方组织的 (项目名称、项目编号、
包号)招标的有关活动,并对此项目进行投标。为此:
1、我方同意在本项目招标文件中规定的开标日起 90 天内遵守本函中的承诺且在此期限期满之前均具有约束力。
2、我方按招标文件规定提供交付的系统及其辅助服务的投标总价为 (大写)元人民币。
3、我方承诺已经具备《中华人民共和国政府采购法》中规定的参加政府采购活动的供应商应当具备的条件:
(1) 具有《中华人民共和国营业执照》、《税务登记证》,根据《上海市政府采购供应商登记及诚信管理办法》要求登记入库,在近三年内无行贿犯罪记录,未被政府采购监督管理部门禁止参加政府采购活动的供应商,同时经信用信息查询未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单;
(2) 本项目不允许联合投标。
4、我方已充分考虑到投标期间网上投标会发生的故障和风险,并对发生的任何故障和风险造成投标内容不一致或利益受损或投标失败,承担全部责任。
5、我方同意网上投标内容均以网上投标系统开标时的开标记录表内容为准,投标人的授权代表将在开标记录上签名以确认开标过程和结果,如果不签字,则由我们承担全部责任。 6、保证遵守招标文件的规定,忠实地执行双方所签订的合同,并承担合同规定的责任和义务。
7、如果在开标后规定的投标有效期内撤回投标,我方的投标保证金可被贵方没收。
8、我方完全理解贵方不一定接受最低价的投标或收到的任何投标。
9、我方愿意向贵方提供任何与本项投标有关的数据、情况和技术资料。若贵方需要,我方愿意提供我方作出的一切承诺的证明材料。
10、我方已详细审核全部投标文件,包括投标文件修改书(如有的话)、参考资料及有关附件,确认无误。
11、我方承诺:采购中心若需追加采购本项目招标文件所列货物及相关服务的,在不改变合同其他实质性条款的前提下,按相同或更优惠的折扣保证供货。
12、我方承诺接受招标文件中《中标合同》的全部条款且无任何异议。
13、我方将xxxx《中华人民共和国政府采购法》的有关规定,若有下列情形之一的,将被处以采购金额 5‰以上 10‰以下的罚款,列入不良行为记录名单,在一至三年内禁止参加政府采购活动;有违法所得的,并处没收违法所得;情节严重的,由工商行政管理机关吊销营业执照;构成犯罪的,依法追究刑事责任:
(1)提供虚假材料谋取中标、成交的;
(2)采取不正当手段诋毁、排挤其他供应商的;
(3)与采购人、其它供应商或者采购中心工作人员恶意串通的;
(4)向采购人、采购中心工作人员行贿或者提供其他不正当利益的;
(5)未经监管部门同意,在采购过程中与采购人进行协商谈判的;
(6)拒绝有关部门监督检查或提供虚假情况的。
与本投标有关的一切往来通讯请寄:
地址: 邮编:
电话: 传真:
投标人代表姓名:
投标人代表联系电话,e-mail:
投标人(公章):
投标人代表(签字):
日 期:
投标报价一览表(开标一览表)
项目名称: 项目编号: 投标人名称:
xxxxxxxxxxxx——xxxxxxxxxx信息设备更替包 1
项目名称 | 产品及系统保修期 | 项目工期 | 最终报价(总价、元) |
注:(1)所有价格均系用人民币表示,单位为元,保留到整数位。
投标人代表签字:投标人(公章):
日期: 年 月 日
附件 2 投标报价明细表
投标人(公章): 招标编号: 价格单位:人民币元
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 |
货物名称 | 品牌 | 规格型号 | 产地 | 厂家 | 数量 | 设备单价 | 设备合价 | 技术服务费 | 安装费 | 其他服务费 | 分项合价 |
投标总价: | |||||||||||
注: 1. 投标报价要求见招标文件的“投标人须知”相关要求。
2. 表中同一行中的第 8 栏数据=第 6 栏数据×第 7 栏数据。
3. 表中第 9 栏、第 10 栏费用应根据招标文件的“投标人须知”相关要求列明细表。
4. 表中同一行中的第 12 数据=第 8~第 11 栏数据之和。
5. 表中的“投标总价”=∑(第 12 栏的数据)。
6. 表中第 11 栏的费用如果有时,应注明具体内容。
7、投标人必须按要求填报本明细表,否则会影响对投标文件的评判。投标人代表签名: 日期:
附件 3 设备安装调试集成费报价明细表(如有)
价格单位:人民币元
序号 | 名称 | 品牌 | 数量 | 单价 | 合价 |
安装集成费总价 | |||||
注: 1.本合同为闭口的总包价格。
2. 投标要求见招标文件文件的“投标人须知”相关要求。
3. 表中的“安装集成费总价”=∑(系统设备的安装集成费合价)。
投标人代表签字:投标人(公章):
日期: 年 月 日
附件 4 产品选型及说明一览表
序号 | 产品名称 | 型号规格及 主要技术参数 | 产地 | 数量 | 性能说明 | 备注 |
投标人代表签字:投标人(公章):
日期: 年 月 日
附件 5 产品规格、技术参数(功能)偏离表(可根据实际情况自行设计表式填报)
序号 | 产品名称及品目号 | 数量 | 产地 | 招标产品配置要求 | 投标产品对应配置 | 偏差 | 备注 |
说明:1、投标人必须根据采购技术需求的相关要求一一对应填写本表,如投标产品实际技术规格与技术需求无偏差,在“偏离”一列填写“无”。
2、投标产品的规格、技术参数和性能与招标文件的要求如不完全一致,在“偏离”一列填写“有”,还需填写偏差说明,并注明是“正偏离”还是“负偏离”以及偏差的幅度(以百分比表示)。
投标人(公章):
投标人代表签名: 日 期:
附件 6 法定代表人证明书和法人代表委托书
先生/女士现担任 职务,负责全面工作,为我单位的法定代表人。
特此证明。
投标人全称: 公章(盖章):
年 月 日
法人代表委托书
兹委托 先生/女士全权代理 (招标项目和招标编号)政府采购招标项目的招标投标工作。
特此证明。
投标人法定代表人姓名(印刷体): 投标人法定代表人签字、盖章: 公章(xx):
年 月 日
附件 7 拟从事本项目人员及其技术资格一览表
人 员 名 册
填报单位: 第 页 共 页
序 号 | 姓 名 | 出生 年月 | 性 别 | 学历 | 职称 等级 | 相关认证 资格 | 专业经历 | 成功案例 | 拟从事 岗位 |
注:
1、在填写时,如本表格不适合投标单位的实际情况,可根据本表格格式自行制表。
2、我方承诺以上人员均为本单位职工,并按时交纳四金。并提供项目组人员身份证及相关资格证书、工作履历等证明材料复印件,并加盖单位公章。
3、此表作为中标后服务承诺书的组成部分,项目组人员应保持稳定。
投标人(公章):
投标人代表(签字):填写日期:
— 67 —
附件 8 供应商行贿犯罪记录承诺书
上海市xx区政府采购中心:
(投标供应商全称)现参与你单位组织的 政府采购项目,并承诺本公司根据《上海市政府采购供应商登记及诚信管理办法》已申请加入上海市政府采购供应商库,且在 3 年内无行贿犯罪行为记录。
投标供应商全称: 公章(盖章):
法定代表人签字、盖章:
— 68 —
附件 9 中小企业声明函
x公司(联合体)xxxx,根据《政府采购促进中小企业发展管理办法》(财库﹝2020﹞46 号)的规定,本公司(联合体)参加
(单位名称)的(项目名称)采购活动,服务全部由符合政策要求的中小企业承接。相关企业(含联合体中的中小企业、签订分包意向协议的中小企业)的具体情况如下:
1. (标的名称) ,属于软件和信息技术服务行业;承接企业为(企 业名称),从业人员 人,营业收入为 万元,资产总额为万元,属于(中型企业、小型企业、微型企业);
2. (标的名称) ,属于软件和信息技术服务行业;承接企业为(企 业名称),从业人员 人,营业收入为 万元,资产总额为万元,属于(中型企业、小型企业、微型企业);
……
以上企业,不属于大企业的分支机构,不存在控股股东为大企业的情形,也不存在与大企业的负责人为同一人的情形。
本企业对上述声明内容的真实性负责。如有虚假,将依法承担相应责任。
企业名称(xx):日期:
从业人员、营业收入、资产总额填报上一年度数据,无上一年度数据的新成立企业可不填报。
— 69 —
附件 10 投标人近三年来已承接的主要类似项目一览表
序号 | 年份 | 项目名称 | 合同金额 | 业主情况 | 项目主要内容 | ||
单位名称 | 经办人 | 联系方式 | |||||
1 | |||||||
2 | |||||||
3 | |||||||
4 | |||||||
… | |||||||
注: 1、如在本表格不能全部填写完,可按此表格格式自行制表填写。 2、提供相应采购项目合同复印件,加盖单位公章。
投标人代表签字:
投标人(公章): 日期: 年 月 日
— 70 —
附件 11 投标单位基本情况表及声明
(一)名称及其他资料: 1、单位名称:
2、地址:
3、邮编:
4、电话/传真:
5、工商注册日期:
6、企业类型:
7、注册资本:
8、法定代表人或执行事务负责人姓名:
9、人员情况
从业人员数
(二)主要财务指标(2020 年 1 月 1 日至 2020 年 12 月 31 日)并请如实另附单位财务状况报告,依法缴纳税收和社会保障资金的相关材料
① 业务收入:
② 风险基金额:
③ 资产净值:
(三)参加政府采购活动前三年内在经营活动中没有重大违法记录的声明:(请如实填写)上海市xx区政府采购中心:
按照政府采购法实施条例要求,我单位郑重声明:我单位参与 政府采购项目,在参加本项目政府采购活动前三年内在经营活动中(没有/有)重大违法记录。特此声明。
就我方全部所知,x证明上述声明是真实、准确的,并已提供了全部现有资料和数据,我方同意根据招标方要求出示文件予以证实。
投标单位(公章):投标人代表(签字):填写日期:
附件 上海市xx区政府采购项目验收书(服务类)
— 71 —
供应商: 采购单位:
采购编号 | 采购项目 | 金额(元) |
项目金额合计 | ||
验收内容 | ||
一、规章制度 | 1、人员管理 | |
2、设备运维 | ||
3、服务管理 | ||
4、应急管理 | ||
…… | ||
二、运行记录 | 1、人员上岗及培训 | |
2、设备检测记录 | ||
3、巡更记录 | ||
4、内审记录 | ||
…… | ||
三、现场实地检查情况 | ||
— 72 —
验收意见 | 验收小组意见: 结论:该服务采购项目验收合格(或不合格)。 | |
验收小组签字:组长: 组员: 年 月 日 | ||
供应商盖章: | 采购单位盖章: | |
备注:1、采购人须按照《xx区政府采购货物、服务项目合同履约验收管理办法》第三章第十条“验收的基本程序”组织验收。2、政府向社会公众提供的公共服务项目(包括:以物为对象的公共服务,如公共设施管理服务、环境服务、专业技术服务等;以人为对象的公共服务,如教育、医疗卫生和社会服务等),验收时应当邀请服务对象参与并出具意见,验收结果应当向社会公告。3、该表式仅供参考。
— 73 —
第六部分
xxxxx委数据中心信息设备更替政府采购招标评标办法
一、评标依据:
1、评标办法系本着公开、公平、公正的原则,按照《中华人民共和国政府采购法》、《政府采购货物和服务招标投标管理办法》制定,作为本次采购招标选定中标单位的依据。本次采购招标采用“综合评分法”评标,根据评标细则规定的评分标准对所有投标单位的有效投标文件进行评议,各评标项目累计总分为 100 分。
2、评标委员会由专家和采购单位代表组成,对各投标单位的投标报价进行甄别并经算术修正后得出各投标报价的得分,最终结果取算术平均值。
3、评标委员会依据投标文件评分结果汇总后,对各投标单位的得分按由高到低的顺序依次 排列,得出相应名次,得分最高的投标单位作为本项目中标单位。如出现最高得分并列情况时,则取投标报价较低者作为中标单位,如出现最高得分并列且报价相同则由评标委员会以投票表决方式,得票最多者为中标单位。采购人授权评标委员会在投标供应商中直接确定本项目中标单位。
二、评标规则:
(1) 参加评标的专家为上海市政府采购咨询专家库中的专家,并在评标前按规定程序产生。
(2) 任何人不得干预评标委员会成员的评审权利,评审及评分表要保存备查。
(3) 评标委员会成员必须对所有投标单位作出评审。三、“综合评分法”评标细则
1、报价(30 分)采用低价优先法计算
(1)首先确定评标基准价:经评标委员会甄别确认,满足招标文件要求且投标价格最低的投标报价为评标基准价,其报价分为满分 30 分。
(2)确定其他投标报价分:计算公式为投标报价得分=评标基准价/打分投标单位的投标报价
×30%×100。
注:①经评标委员会评审如投标单位的服务内容不能满足招标文件要求,该投标将不列入评审范围,其报价如为最低投标报价,将不作为评标基准价。②如果评标委员会认为投标人的报价明显低于其他通过符合性审查投标人的投标报价,有可能影响产品质量或不能诚信履约的,将要求该投标人作书面说明并提供相关证明材料。投标人不能证明其报价合理性的,评标委员会应将其作无效投标处理。
2、产品性能及质量(32 分)
根据所提供的各类设备性能及质量优劣进行评分,主要对各类设备的性能、市场使用程度、
— 74 —
成熟度、可靠性、产品的性价比、品牌知名度、市场占有率、设备选型与匹配、品牌一致性等进行评分。综合评价好的得(32-28 分),较好的得(28-24 分),一般的得(24-20 分)。 3、项目实施计划及设计方案(18 分)
根据所提供项目实施计划、项目组技术力量、项目相关保障措施、项目管理、项目设计方案等进行评分。综合评价好的得(18-15 分),较好得(15-12 分),一般得(12-9 分)。
4、售后服务(10 分)
对保修期内售后服务进行评分(包括上海设有维修人员和单位、维护力量,设备及系统免费维修年限的长短、用户培训计划、设备故障响应时间、应急保障措施等)。综合评价好的得(10-8 分),较好得(8-5 分),一般得(5-3 分)。
5、综合服务能力及投标响应度(10 分)
根据投标单位相关类似系统案例实施经验、综合服务能力及相关信誉、投标文件响应程度等进行综合评价,综合评价好的得(10-8 分),较好得(8-5 分),一般得(5-3 分)。
累计最高得分 100 分。
— 75 —