(二)各包特定资格要求:1.投标人参加政府采购活动前三年内未被列入“信用中国”网站 (www.creditchina.gov.cn)失信被执行人、重大税收违法案件当事人、政府采购严重违法失信行 为记录名单和“中国政府采购”网站(www.ccgp.gov.cn)政府采购严重违法失信行为记录名单
投标人资格要求
(一)投标人必须符合《政府采购法》第二十二条规定的条件: 1.具有独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度;
3.具有履行合同所必需的设备和专业技术能力;
4.有依法缴纳税收和社会保障资金的良好记录;
5.参加政府采购活动前三年内,在经营活动中没有重大违法记录;
6.法律、行政法规规定的其他条件。
(二)各包特定资格要求:1.投标人参加政府采购活动前三年内未被列入“信用中国”网站 (xxx.xxxxxxxxxxx.xxx.xx)失信被执行人、重大税收违法案件当事人、政府采购严重违法失信行 为记录名单和“中国政府采购”网站(xxx.xxxx.xxx.xx)政府采购严重违法失信行为记录名单
(以投标截止当日查询结果为准)。
第一章 项目采购需求
一、采购内容
序号 | 名称 | 数量 | 单位 | 备注 |
1 | 防火墙 | 13 | 台 | 核心产品 |
2 | 态势感知系统 | 1 | 套 | 须与防火墙为同一品牌 |
3 | 汇聚交换机 | 2 | 台 | |
4 | xxx模块 | 26 | 个 | |
5 | xxx模块 | 6 | 个 | |
6 | 光纤跳线 | 50 | x | |
7 | 系统集成 | 1 | 项 |
二、采购说明
2.1、项目概述
2017 年 6 月 1 日施行的《中华人民共和国网络安全法》从网络产品、服务、运营、信息安全以及监测、早期诊断、应急响应和报告等方面做了详细的要求,为建立严格的网络治理指导方针树立了一个重要的里程碑。东西湖宣传信息中心是全区电子政务网络运行维护和监督服务的单位,负责区政府门户网站的建设、运行、维护,负责统筹规划、建设和管理全区互联网信息内容监测指挥系统、互联网信息监管技术平台,是东西湖区政府对外宣传的信息窗口。
东西湖区电子政务外网传输平台于 2008 年建设投入使用,承载着东西湖区 260 家单位、5000多个用户数据的传输,一直在有效快速的传递着政府政令,为促进东西湖区经济发展与信息化进程,提高政府的管理和服务水平发挥着巨大的作用。但是,随着大数据、AI、云计算、多媒体的大量应用,网络中传输的数据也呈现爆发式的增长,现有的网络架构、配置规则和设备已经不能满足日益增加的政务应用的需要,由此,我中心组织相关人员根据我区政务工作对网络的需求,结合目前先进的信息技术编制了东西湖区电子政务外网传输平台未来 5 年的规划。希望通过未来几年的建设,逐步将东西湖区电子政务外网传输平台建成结构合理、边界清晰、技术先进、安全可靠的政务外网网络平台,应用支撑平台,信息交换平台。最大限度的发挥东西湖区电子政务外网网络中枢和对外窗口的作用,同时提高政府事务处理的信息流效率,改善政府组织和公共管理。从而提高政府的监管能力、服务质量与政务信息化水平。
本期主要进行以下几个方面的建设,一是通过调整现有的网络架构,将原有的大二层改为三层结构,广播域下移至街道;二是新增两个机房节点,并和中心机房组成一个环形网络,互为冗余;三是通过重新规划调整,将现有的 IP 地址资源合理利用,以便在网络出问题时准确定位;四是通过在各个街道出口架设防火墙,这些防火墙和位于数据中心的上网行为管理系统以及网络安全态势感知系统进行联动,起到一加一大于二的效果。完成后可以提供快速的转发性能和基本的安全防护,网络健壮性将大大增强。
2.2、商务要求
1. 交货期:45 个日历天;
2. 交货地点:用户指定地点;
3. 质保期:三年;
4. 付款方式:按合同约定执行;
5. 投标人须具备 ISO20000 信息技术服务管理体系认证,提供证书复印件加盖公章;
6. ★为了减少网络调整对日常办公的影响,投标人需要至少提供三组施工人员同时进行实施,实施时间以节假日及下班时间为主;
7. ★投标人实施时需要对街道及街道辖区内社区大队、农场、行政单位进行现场的培训讲解,并且每完成一个街道办的网络调整需要至少派遣一名工程师驻场三天(该名工程师需具备高级项目经理资质,需提供资质证书复印件、社保证明、劳动合同及驻场承诺函),驻守人员需精通网络调试,并能在驻场时间内逐一完成所负责辖区的调试;
三、技术规格、参数及要求
3.1、防火墙
技术指标 | 指标要求 |
性能要求 | ★性能参数:三层吞吐量≥3G,应用层吞吐量≥500M,并发连结数≥150W,新建连接数(CPS)≥30000 个,SSL VPN 接入数(最大)≥1000 个,SSL 最大加密流量≥ 200M ,IPSec VPN 隧道数(最大)≥1000 个,IPSec VPN 加密速度≥60M;硬件参 数≥1U,≥4G 内存,≥SSD 64G 硬盘,单电源,≥4 个千兆电口+2 个xxx口; |
防火墙 | 提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议: FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)、SQLNET、MMS、PPTP 等;传输层协议:TCP、UDP; |
支持多种 NAT ALG,包括 DNS、FTP、H.323、SIP 等; | |
攻击防护 | 为了更好了解内网终端的安全风险要求设备支持终端安全检测功能,具备僵尸网络 检测,远控木马识别,恶意链接检测和支持移动客户端安全检测功能; |
★具备云端安全分析引擎,设备可以与云引擎进行联动,威胁行为在云端进行沙盒 执行检测并返回行为分析报告; | |
安全可视化 | 所投防火墙产品支持通过外置数据中心将各台防火墙设备的安全日志进行统一收集与分析,可以在统一监控界面看到每台安全设备的详细安全状态信息,包括安全等级评定(分优、良、中、差四个等级)、最近有效攻击事件、有效攻击事件趋势、用户安全情况排名、服务器安全情况排名和攻击来源排名,提供统一报表样本操作 界面。 |
网页防篡 改 | 产品可防止 Cookie 劫持、网关型网页防篡改,该功能无需在服务器中安装任何插件; |
关键业务 系统安全加固 | 提供针对敏感URL 或者其他非Web 关键服务的短信强认证机制,提供三种以上服务的短信认证配置。 |
漏洞风险扫描 | 设备内置所护 WEB 应用漏洞扫描功能,可生成 Web 风险监控与评估报告。 |
产品具有Webshell 侦测功能,可阻止入侵者访问调用 Webshell 文件,并防止利用 Webshell 实施:挂马、注入、文件下载、端口扫描、内容篡改、DDOS 攻击等恶意行 为,并可免费提供专有的 WEBSHELL 扫描工具。 | |
联动性 | ★为了保证处理问题的及时性,要求此次配置的防火墙能和现有的上网行为管理设 备进行联动。 |
产品资质 | 产品具备公安厅信息安全等级保护计算机信息系统专业产品备案证书(需提供证书 复印件并加盖制造商印章) |
3.2、态势感知系统
技术指标 | 指标要求 |
品牌 | ★必须与防火墙同一品牌 |
基本参数 | ★硬件指标:≥2U,≥96G 内存,≥SSD 128G 系统盘、SATA 32T 存储、双电源, RAID50、标配 4 个千兆电口;安全感知平台基于海量的安全数据,通过机器学习、 UEBA、关联分析等智能技术,帮助客户看清业务、感知威胁、及时预警、快速响 |
应。 | |
外 置 数 据中心 | ★为了提升业务部署便捷性,需要提供一套服务器虚拟化管理软件,使用虚拟化平台后,所有的计算资源都进行了统一整合,业务软件或者业务系统上线时直接通过管理中心新建一个虚拟机,分配系统需要的 CPU 和内存等资源即可完成环境 准备,然后安装日志软件立即就能满足日志数据中心安全业务报表统一呈现。 |
综合态势大屏 | 支持以图形化大屏的综合监控展示,包括但不限于安全事件态势、安全事件 TOP5、高危漏洞 TOP5,最新攻击事件等; |
服务器与 漏洞态势大屏 | 支持以图形化大屏的服务器与漏洞实时态势,包括但不限于漏洞等级分布、TOP5 漏洞、服务器操作系统分布、影响服务器的数量、被访问服务器 TOP5、实时漏洞发现更新、业务对外开放 TOP5 端口; |
业务风险外连大屏 | ★支持以图形化大屏的方式展示业务外连的实时态势,包括但不限于外连业务风险 TOP10、外连态势、外连地址TOP10、最新事件等,支持国际、国内地图自主切换; |
攻击态势大屏 | 支持以图形化大屏展示实时外部攻击态势,包括但不限于攻击事件、攻击源、危害级别等进行统计与展示。 |
横向威胁大屏展示 | 支持图形化大屏的横向威胁展示,包括但不限于横向威胁趋势,威胁类型分布、被访问业务 TOP5、攻击源 TOP5、违规访问源 TOP5、可疑访问源 TOP5、风险访问源 TOP5; |
设备运行监控 | 支持通过 SNMP 协议,获取待监测设备机器名、CPU 负载、内存使用和流量情况,同时也支持 OID 定制 |
自动识别服务器信息 | 支持自动识别资产,在不影响内部网络的前提下,通过主动发送微量包的扫描方式探测潜在的服务器以及学习服务器的基础信息,如:操作系统、开放的端口号等; |
支持自动识别已知服务器,通过被动检测机制,对经过探针的流量进行分析,识别已知服务器对外提供的所有服务、已开放端口及端口传输的协议/应用等; | |
脆弱性总览 | 支持页面展示业务脆弱性风险分布,不同严重级别业务分布,漏洞类型分布图,漏洞整体态势等,支持 7 天、30 天统计; |
弱密码扫描 | 支持通过镜像流量检测数据包中存在的用户名和密码信息,通过分析密码的强度检测网络中存在的弱密码风险; |
Web 明文检测 | ★支持通过镜像流量检测 web 流量中是否存在可截获的口令信息,分析 web 业务系统是否存在明文传输情况,避免因明文传输导致信息泄露的风险; |
僵尸网络检测 | 支持通过云端沙盒对全球威胁情报源进行验证,提取有效信息形成规则定期更新到僵尸网络识别库,增量提升检测能力; |
★具备僵尸网络识别能力,行为规则 35 万条以上; | |
DNS 协议深度检测 | 支持 DNSFlow 分析引擎,利用机器学习算法结合威胁情报,能够从大量的样本中进行学习,总结其伪装的规律,从而发现伪装的恶意 DNS 协议; |
SMB 协议深度检测 | ★支持 SMBFlow 分析引擎,利用机器学习技术,发现主机传输可疑文件、恶意软件行为、文件或关键目录的可疑操作行为以及 SMB 暴力破解等; |
AD 域控检测 | 支持对 AD 域控服务器安全检测,发现主机对域控服务器 DNS 探测、SMB 会话枚举、账户探测、暴力破解等攻击; |
文件威胁深度检测 | 支持从流量中还原可执行文件进行深度检测,并展示主机所感染恶意文件名、病毒名称、传播协议、外部感染源等 |
邮件深度检测 | ★支持 SMTPFlow 分析引擎,利用机器学习技术,发现主机发送可疑附件的邮件行为、伪造发件人发送邮件、发送钓鱼网站邮件和垃圾邮件等行为; |
支持检测恶意邮件检测,可定位具体的收件人账号、发件人账号、恶意邮件数量、邮件附件是否包含病毒; |
APT C&C 通 信 | 支持检测主机与 C&C 服务器通信行为,支持区分国内外区域; |
可疑行为 | ★支持检测访问恶意链接、使用 IRC 协议进行通信、浏览最近 30 天注册域名、下载文件格式与实际文件不符、基于行为检测的木马远控、比特币挖矿等可疑访问行为,支持区分国内外区域和显示可疑行为访问趋势; |
隐蔽通信 | 支持检测隧道、Tor 暗网通信、端口反弹等对外通信方式,支持区分国内外区域; |
违规访问 | 支持检测违规访问策略黑名单或违反了白名单,或者违反了下一代防火墙中的应用控制策略的行为; |
风险访问 | 支持检测服务器对外发起的远程登录、远程桌面、数据库等风险应用访问; |
外连攻击 | 支持检测主机对外发起的攻击行为; |
数据索引 | 支持记录用户网络当中南北向和东西向的访问信息,包括时间、五元组、具体应用、归属地、访问次数、流量大小等各类实时信息; |
支持识别应用类型超过 1100 种,应用识别规则总数超过 3000 条; | |
支持自动识别所有访问关系,并能够将访问请求进行归类:正常访问、风险访问、违规访问等; | |
支持自定义威胁情报,可自定义确定性等级、威胁等级、事件描述、危害描述和 处理建议; | |
漏洞利用攻击检测 | 支持对服务器、客户端的各种应用发起的漏洞攻击进行检测,包括 20 种攻击类型共 9000+以上规则; |
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP 等)和数据库软件(MySQL、 Oracle、MSSQL 等)的口令暴力破解检测功能。 | |
WEB 应用攻击检测 | 支持检测针对 WEB 应用的攻击,如 SQL 注入、XSS、系统命令等注入型攻击; |
支持跨站请求伪造 CSRF 攻击检测; | |
支持对 ASP,PHP,JSP 等主流脚本语言编写的 webshell 后门脚本上传的检测; | |
支持其他类型的 Web 攻击,如文件包含,目录遍历,信息泄露攻击等的检测; | |
要求具备独立的 Web 应用检测规则库,Web 应用检测规则总数在 3000 条以上; | |
外部风险行为监测 | 支持展示外网对网络内部尝试(或已成功)进行的远程登陆、数据库访问等行为,可查看明细列表,内容包括但不限于外网 IP、受影响网络内部主机 IP、外部风险 访问者数等; |
潜伏威胁黄金眼 | 支持基于可视化的形式展示威胁的影响面,通过大数据分析和关联检索技术,能够直观的看到失陷主机攻击了谁,被谁攻击了,帮助管理人员及时了解威胁的影 响,并制定有效的处置动作; |
失陷主机举证 | 支持对风险业务、风险用户进行详细举证,详细举证为什么评判该主机为失陷级,并针对每个举证的安全事件进行详细的描述,如具体事件、该事件带来的危害、 如何进行处置; |
威胁攻击链展示 | 支持基于威胁活动链的形式展现主机的安全状况,能够直观地展示主机正处于被黑客入侵的哪个阶段,是否已经被利用、以及威胁的程度; |
访问关系梳理 | 支持基于用户/业务维度的访问关系梳理,可呈现该用户/业务已经通过哪些应用、协议和端口访问了哪些业务,这些访问是否是攻击、违规、远程登陆等行为,IT人员可清晰的看出已对哪些业务存在影响,也能推导当前用户是否已失陷(或可 疑); |
安全组件接入展示 | 支持接入防火墙、上网行为管理、终端 EDR、虚拟安全系统和潜伏威胁探针,并在页面中显示安全组件接入的数量和状态; |
EDR 组件联动 | 支持与同品牌终端 EDR 组件联动响应,禁止攻击流量出站或入站,也可以实现被感染主机 IP 封锁隔离,防止风险扩展; |
防火墙设备联动 | 支持与同品牌防火墙进行联动响应,支持平台下发安全策略到防火墙上,阻断攻击 IP; |
SSL VPN 设 备联动 | 支持同步 SSL VPN 用户信息,实现与安全事件关联;支持同步管理日志,满足审计要求; |
上网行为设备联动 | 支持与同品牌上网行为管理设备进行联动响应,同步上网行为管理设备认证用户,实现与安全事件关联;支持通过浏览器推送用户提醒或冻结用户上网; |
特征库升级 | ★具备 IPS 漏洞特征识别库、WEB 应用防护识别库、僵尸网络识别库、实时漏洞分析识别库、URL 库、应用识别库、恶意链接库、白名单库等,支持定期自动升级或离线手动升级; |
深度检测引擎升级 | ★具备安全日志分析引擎、DnsFlow 行为分析引擎、HttpFLow 分析引擎、NetFLow分析引擎、MailFLow 分析引擎、SmbFLow 分析引擎、威胁情报分析关联引擎、第 三方安全检测引擎、文件威胁检测引擎等,支持定期自动升级或离线手动升级; |
接入设备管理 | 支持管控接入探针的统一升级,可展示当前所有接入探针的规则库日期、是否过期等,并支持禁用指定探针的升级; |
对接入的安全组件实时监控,包括展示是否在线、日志传输模式、今日传输日志量、当前传输总量等; | |
制造商资 质 | 制造商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位;(需提 供证书复印件并加盖制造商印章) |
其他 | 中标后三个工作日内,提供样机进行上述功能要求的逐一测试验证,全部通过后 才能执行合同流程,测试中发现虚假应标的行为将予以废标处理并保留对该制造商追究相关责任的权利。 |
3.3、汇聚交换机
技术指标 | 指标要求 |
★交换容量 | 交换容量≥598Gbps |
★转发性能 | 包转发率≥252Mpps |
硬件 | 为了提高设备可靠性,支持模块化可插拔双电源 |
★端口 | 至少 24 个千兆电口,4 个 100/1000 SFP,4 个万兆 SFP+ |
二层功能 | 支持 4K 个 VLAN,支持 Voice VLAN,基于端口的 VLAN,基于 MAC 的 VLAN,基 于协议的 VLAN |
支持 MAC 地址≥16k | |
IP 路由 | 支持静态路由、RIP、RIPng、OSPF、BGP 等 |
堆叠 | 支持堆叠,主机堆叠数不小于 9 台 |
支持以太电口堆叠,用网线连接实现堆叠功能 | |
纵向虚拟化 | 支持纵向虚拟化,作为纵向子节点零配置即插即用 |
QOS | 支持对端口接收报文速率和发送报文速率进行限制,支持 SP、WRR、SP+WRR 等 队列调度算法 |
可靠性 | 支持 G.8032 以太环保护协议 |
管理维护 | 支持 SNMP v1/v2/v3、Telnet 远程维护 |
3.4、xxx模块
技术指标 | 指标要求 |
xxx模块 | FP-1310nm-1.25Gb/s-40KM-LC |
3.5、xxx模块
技术指标 | 指标要求 |
xxx模块 | SFP-1310nm-10GE-40KM-LC |
3.6、光纤跳线
技术指标 | 指标要求 |
光纤跳线 | SC-FC 接头,长度 10 米,单模 |
3.7、系统集成
技术指标 | 指标要求 |
系统集成 | 根据招标文件的要求,提供完整的项目解决方案,方案须具备系统性和前瞻性。 |
参与部署投标实施单位,需要针对东西湖宣传信息中心政务外网当前的网络部署架构现状、地址使用、逻辑划分、网络 QOS 策略等基础的网络体系架构进行充分的了解,结合基础网络架构当前存在的安全性问题,并依据当前政务外网业务系统架构类型、应用程序类型等能够做出合理的网络安全区域规划和划 分。 | |
★参与投标单位需要对现有网络架构重新调整,并完成 ip 地址、vlan、路由 规划等 | |
★参与投标的需要完成调整后全区街道及街道辖区内社区大队、农场、行政单 位共计 260 个单位的网络调试; | |
投标人需要完成新购防火墙、态势感知系统和现有出口防火墙、上网行为管理 设备的联动性调试。 |
评分标准
评标项目 | 评标分项 | 分 值 | 子项目及分值 |
价格评审 (35 分) | 投标报价 | 35 | 满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。其他投标人的价格分统一按照下列公式计算: 投标报价得分=(评标基准价/投标报价)×价格权值×100价格权值=35% 备注:符合“投标人须知前附表”第 1.12 条规定的,在评审时予以价格扣除, 用扣除后的价格参与评审。 |
商务评审 (19 分) | 管理体系认证 | 3 | 投标人具备 ISO27001 信息安全管理体系认证得 3 分,否则不得分。 (以证书复印件加盖投标人公章为准) |
3 | 投标人具备 ISO20000 信息技术服务管理体系认证证书得 3 分,否 则不得分。(以证书复印件加盖投标人公章为准)。 | ||
3 | 投标人具备 OHSAS18001 职业健康安全管理体系认证得 3 分,否则 不得分。(以证书复印件加盖投标人公章为准) | ||
xx技术 企业证书 | 3 | 投标人或制造商具备xx技术企业证书得 3 分,否则不得分。(以 证书复印件加盖投标人公章为准)。 | |
信用等级 证书 | 3 | 投标人具备 AAA 级企业信用等级证书的得 3 分,否则不得分(以证 书复印件加盖投标人公章为准)。 | |
守合同重 信用证书 | 2 | 投标人近三年获得市级及以上守合同重信用证书的得 2 分,否则不 得分。(以证书复印件加盖投标人公章为准)。 | |
类似项目 业绩 | 2 | 投标人在近三年内具有类似项目业绩,提供 1 份得 1 分,最高得 2 分。(以合同为准,需提供加盖投标人公章的复印件) | |
技术评审 (46 分) | 技术指标 | 12 | 投标人所投产品设备技术参数、性能以及对招标文件各项技术要求和配置完全响应得 12 分,其中标注“★”号项的为重要产品性能或功能技术指标,如果低于招标要求或不满足招标要求的每一项扣 3 分,扣完为止;非“★”号项技术参数低于招标要求或不满足招 标要求的每一项扣 1 分,扣完为止 |
防火墙 | 3 | 为保证产品后续技术支持和研发能力,制造商研发体系通过 CMMI 5 认证得 3 分,CMMI 4 认证得 2 分,CMMI 3 认证得 1 分,其它不得分。(以证书复印件加盖制造商印章为准) | |
3 | 制造商具备国家安全应急服务支撑单位证书(国家级),满足得 3分,未提供不得分。 | ||
3 | 支持 Web 漏洞扫描功能,可扫描检测网站是否存在 SQL 注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞,满足得 3 分,未提供不得分。(以功能截图加盖制造商印章为准)。 | ||
2 | 投标人提供所投核心产品的原厂售后服务承诺函原件的得 2 分,否则不得分。(以原厂售后服务承诺函原件加盖制造商印章为准)。 | ||
态势感知系统 | 3 | 能够与现有出口防火墙进行联动响应,支持平台下发安全策略到防火墙上,阻断攻击 IP 得 3 分,否则不得分。(以截图证明并加盖 制造商印章为准) | |
3 | 能够与出口上网行为管理设备进行联动响应,同步上网行为管理设备认证用户,实现与安全事件关联得 3 分,否则不得分。(以截图 证明并加盖制造商印章为准) |
评标项目 | 评标分项 | 分 值 | 子项目及分值 |
3 | 支持基于流量实时分析漏洞功能,漏洞分析类型包含配置错误漏洞、OpenSSH 漏洞、目录遍历漏洞、OpenLDAP 等操作系统、数据库、 Web 应用等,满足得 3 分,未提供不得分。(以功能截图加盖制造 商印章为准)。 | ||
系统集成 | 2 | 根据投标人提供的项目技术方案进行综合考评,技术方案具体、可 行,符合项目总体建设目标的要求,详细描述的得 2 分,一般得 1分,否则不得分。 | |
2 | 投标人提供的技术方案中具有详细的拓扑图,且符合用户实际需 求,详细描述的得 2 分,基本符合用户需求的得 1 分,否则不得分。 | ||
3 | 投标人提供的技术方案中具有详细的 IP 地址规划、路由规划、VLAN规划,且符合用户实际需求,详细描述的得 3 分,基本符合用户需 求的得 1 分,否则不得分。 | ||
2 | 投标人提供的技术方案中能详细的给出未来东西湖区政务外网的分期建设方案,且符合用户实际需求,详细描述的得 2 分,基本符 合用户需求的得 1 分,否则不得分。 | ||
项目班组成员 | 2 | 投标人承担本项目维护服务的技术工程师具有运维管理工程师资格证书,提供一份得 1 分,最高得 2 分(以证书复印件加盖投标人 公章为准)。 | |
3 | 投标人拟投入本项目技术人员中有具有 ITSS 服务项目经理资质证 书的得 3 分,否则不得分。(以证书复印件加盖投标人公章为准)。 | ||
总分 | 10 0 | ||