View
35
Download
0
Category
Preview:
Citation preview
1
网址: www.gzggzy.cn
招标文件
项目编号:GZIT2020-A4-647
项目名称:广州市电子政务外网网络安全升级建设项目项目类别:货物类
广 州 公 共 资 源 交 易 中 心
2
2020 年 7 月 20 日
广州公共资源交易中心编制
3
温馨提示:供应商投标特别注意事项
一、 参加投标之前,供应商应确认企业信用档案是否办理、预存工本费账户中的存款额度,以免出现企业信用档案不能被使用以及预存工本费账户中的存款额度不足等问题。上述情况有可能导致投标报名信息无法导入广州公共资源交易中心(以下简称“交易中心”)政府采购交易系统。综合信用评价得分计算的具体时间请参阅《关于公共资源综合信用指数计算时间的说明》(见本项目招标公告附件)。
二、 一律不接受纸质投标文件,只接受具备法律效力的电子投标文件。供应商参加投
标前,应当到依法设立的电子认证服务机构在交易中心设立的办理点,办理 CA 数字证书
和电子签章。三、 如更正公告有重新发布电子招标文件的,供应商需使用更正公告后最新发布的
电子招标文件来制作电子投标文件,否则投标时将无法正常提交电子投标文件。四、 电子投标文件需在提交投标文件截止时间前完整上传并保存在交易中心政府采
购交易系统,且取得回执。逾期送达或错误投递方式送达的投标文件交易中心恕不接收。五、 对收取投标保证金的项目,只接受以银行转账方式交纳投标保证金,投标保证
金到账后须登录银行网页将投标保证金绑定本项目,方为完成投标保证金交纳程序。由于转账当天不一定能够到账,建议至少提前二个工作日转账并绑定。
六、 加★号的条款均被视为重要的指标要求,必须一一响应。若有一项带“★”的指标要求未响应或不满足,将按投标无效处理。
七、 “重要指标项”为重要响应指标,如果投标人未能响应,会严重影响投标人的得
广州公共资源交易中心编制
4
分八、 投标人报价低于最高限价 60%的,必须在投标文件中说明报价理由。
九、 投标人的报价明显低于其他通过符合性审查投标人的报价,有可能影响产品质量或者不能诚信履约的,应当按评标委员会的要求,在评标现场合理的时间内提供书面说明,必要时提交相关证明材料;投标人不能证明其报价合理性的,将被作为无效投标处理。十、 对可接受分公司投标的项目,分公司投标的,需提供具有法人资格的总公司的
营业执照原件扫描件及授权书,授权书须加盖总公司公章。总公司可就本项目或此类项目在一定范围或时间内出具授权书。已由总公司授权的,总公司取得的相关资质证书对分公司有效,法律法规或者行业另有规定的除外。十一、 联合体投标的,供应商录入投标信息时,须将联合体所有成员单位的全称
录入交易中心政府采购交易系统。十二、 评标委员会评标时,对供应商部分信息直接取自供应商在交易中心企业库
登记的信息,请供应商及时维护、更新企业库的信息,确保其有效性。十三、 供应商一旦依法被确认为中标、成交供应商,其投标(响应)文件中的相关
内容(主要中标或者成交标的的名称、规格型号、数量、单价、服务要求等),将会随中标、成交结果公告一并发布在采购信息发布网上,接受社会监督。十四、 交易中心为采购代理机构,不对供应商购买招标文件时提交的相关资料的
真实性负责,如供应商发现相关资料被盗用或复制,应遵循法律途径解决,追究侵权者责任。
(本提示内容非招标文件的组成部分,仅为善意提醒。如有不一致,以招标文件为准。)
广州公共资源交易中心编制
5
广州市电子政务外网网络安全升级建设项目招标公告
广州公共资源交易中心(以下简称“交易中心”)受广州市数字政府运营中心(以下简称“采购人”)的委托,对广州市电子政务外网网络安全升级建设项目进行公开招标采购,欢迎符合资格条件的供应商投标。
一、采购项目编号:GZIT2020-A4-647
二、采购项目名称:广州市电子政务外网网络安全升级建设项目三、采购项目预算金额:广州市电子政务外网网络安全升级建设项目总金额 2866万元,其中:
子项目 1:广州市电子政务外网互联网接入核心层汇聚层网络安全设备升级建设项目,项目预算金额为人民币 1338万元。
子项目 2:广州市电子政务外网汇聚接入边界安全升级项目,项目预算金额为人民币 1528万元。
四、采购数量:2 项五、采购项目内容及需求(采购项目技术规格、参数及要求,需要落实的政府采购政
策):(一)采购内容:广州市电子政务外网互联网接入核心层汇聚层网络安全设备升级
建设项目和广州市电子政务外网汇聚接入边界安全升级项目。本项目分为 2 个子项目:子项目 1 为广州市电子政务外网互联网接入核心层汇聚层网络安全设备升级建设项目;子项目 2 为广州市电子政务外网汇聚接入边界安全升级项目。投标人可对其中一个或两个子项目进行投标,可兼投,但不可兼中其他子项目的第一中标候选人,中标顺序为子项目 1、
广州公共资源交易中心编制
6
子项目 2。评标委员会根据投标人名次以及中标顺序推荐各子项目的中标候选人,如某子项目出现中标人放弃中标或被依法认定中标无效等情形,另行确定中标人后导致同一投标人兼中两个子项目的,则该子项目作废标处理。子项目是投标的最小单位,投标人应对同一个子项目的全部货物投标,开标、评标、定标按子项目进行。兼投者必须就每个子项目分别报价。
(二)本次采购产品为非进口产品(进口产品指通过中国海关报关验放进入中国境内且产自关境外的产品)。
(三)按照《财政部关于在政府采购活动中查询及使用信用记录有关问题的通知》( 财 库 ﹝ 2016 125﹞ 号 ) 的 要 求 , 根 据 评 审 时 “ 信 用 中 国 ” 网 站(www.creditchina.gov.cn)的信息,对列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的供应商,拒绝其参与政府采购活动(如查询结果显示“没查到您要的信息”,视为没有上述三类不良信用记录) 。同时对信用信息查询记录和证据截图存档。
(四)本项目运用公共资源交易综合信用指数(以下简称“信用指数”),综合信用评价得分计入综合评分,请供应商根据《公共资源交易综合信用指数评价标准》对相关资料进行登记或更新,详见本招标公告附件。
(五)对要求原型演示及答辩的项目,请投标人在开标时间前到达交易中心等候。等候地点:广州市天河区天润路 445号广州公共资源交易中心(太阳广场)四楼。
六、供应商资格:(一)符合《政府采购法》第二十二条所规定的条件;分公司投标的,必须由具有法
人资格的总公司授权。
广州公共资源交易中心编制
7
(二)本项目不接受联合体投标。七、根据广东省财政厅政府采购监管处《关于做好供应商注册登记有关工作的通知》的
要求,供应商应在报名前通过广东省政府采购网(www.gdgpo.gov.cn)进行注册登记(相关事宜详见广东省政府采购网《关于做好供应商注册登记有关工作的通知》)。
八、报名前,供应商已办理交易中心供应商信用档案(办理方法请参阅本公告附件3 ) 。 符 合 资格的 供 应 商 应 当 在 公 告 之 时 至 期 间 登 录 交 易 中 心 网站(http://www.gzggzy.cn)会员专区完成本项目报名信息登记并交纳招标文件工本费,工本费为 150元人民币(具体交纳方法请参阅本公告附件 4)。投标人可登录交易中心网站(http://www.gzggzy.cn)自行下载招标文件。
九、踏勘现场及招标答疑会 (一) 本项目不需要踏勘现场。 (二) 本项目不需要现场招标答疑会。
十、提交投标文件时间:。十一、提交投标文件截止时间和开标时间:。十二、供应商提交投标文件的方式:在交易中心网站会员专区上传电子投标文件。十三、投标文件解密时间:。
解密完成后及时公布开标结果,投标人可登录交易中心会员专区查看开标情况。十四、开标地点:在线开标。十五、本公告期限(5 个工作日)。十六、联系事项:
(一)采购人 广州公共资源交易中心编制
8
采购人名称:广州市数字政府运营中心 采购人地址:广州市天河区龙口西路穗园西街 2号广州市数字政府运营中心 联 系 人:雷陈 联系电话:(020)38828363
(二)采购代理机构名称:广州公共资源交易中心地址:广州市天河区天润路 333号 邮编:510630
对外办公时间:工作日 8:30~12:00,14:00~17:30
(三)服务热线:1.业务咨询:(020)28866000-2 传真:(020)28866414
2.CA 数字证书及电子签章:(020)28866000 转 2 转 1
3.政府采购招标部(采购文件咨询):董宁(020)28866415
4.政府采购交易部(项目开标、评审咨询):(020)28866425
5. 电 子 投 标 技 术 支 持 电 话 : ( 020 ) 28866000 转 2 转 2 再 转
2、15360503495、15360503496(工作日服务时间:每天 8:30-17:30)6.政府采购审核部(质疑受理):(020)28866163
发布人:广州公共资源交易中心发布时间:
广州公共资源交易中心编制
9
附:交易中心位置图
广州公共资源交易中心编制
10
第一章 投标人须知
投标人必须认真阅读招标文件中所有的事项、格式、条款和采购人需求等。投标人没有
按照招标文件要求提交全部资料,或者投标文件没有对招标文件在各方面都做出实质性响
应是投标人的风险,并可能导致其投标无效或被拒绝。一、 名词解释
1. 采购代理机构:是指广州公共资源交易中心 (简称交易中心)。交易中心是整个采购活动的组织者,依法负责编制和发布招标文件,对招标文件拥有最终的解释权。交易中心不以任何身份出任评标委员会成员。
2. 采购人:是指广州市数字政府运营中心,是采购活动当事人之一,负责项目的整体规划、技术方案可行性设计论证与实施,作为合同采购方(用户)的主体承担质疑回复、履行合同、验收与评价等义务。
3. 投标人:是指从交易中心购买招标文件并提交投标文件的供应商。4. 招标文件:是指包括招标公告和招标文件及其补充、变更和澄清等一系列文件。5. 电子投标文件:是指使用广州公共资源交易中心提供的投标文件管理软件制作的
投标文件。6. 电子签名和电子签章:是指广东省内依法设立的电子认证服务机构签发的电子签
名认证证书和电子签章,供应商应当到上述服务机构在广州公共资源交易中心设立的办理点办理。电子签名及电子签章与手写签名或者盖章具有同等的法律效力。
7. 日期、天数、时间:未有特别说明时,均为公历日(天)及北京时间。8. 采购信息发布网站:广东省政府采购网(www.gdgpo.com)、广州市政府采购
网(www.gzg2b.gov.cn)和广州公共资源交易中心网(www.gzggzy.cn)。
广州公共资源交易中心编制
11
二、 一般要求(一) 投标的费用1. 不论投标的结果如何,投标人应承担所有与编写和提交投标文件有关的费用。2. 中标人在下载打印电子《中标通知书》前应向交易中心交纳代理服务费,收款银行
帐号以中标结果公告指定的银行帐号为准。3. 代理服务费根据广东省物价局粤价函〔2013〕1233号规定标准,以采购额按差额
定率累进法计算,如下表:采购额 货物类 服务类 工程类
采购额≤100万元 1.2% 1.2% 0.8%
100万元<采购额≤500万元 0.88% 0.64% 0.56%
500万元<采购额≤1000万元 0.64% 0.36% 0.44%
1000万元<采购额≤5000万元 0.4% 0.2% 0.28%
5000万元<采购额≤1亿元 0.2% 0.08% 0.16%
1亿元<采购额≤5亿元 0.04% 0.04% 0.04%
5亿元<采购额≤10亿元 0.028% 0.028% 0.028%
10亿元<采购额≤50亿元 0.0064% 0.0064% 0.0064%
50亿元<采购额≤100亿元 0.0048% 0.0048% 0.0048%
采购额≥100亿元 0.0032% 0.0032% 0.0032%
注:本项目采购额为中标金额。4. 代理服务费交纳方式
广州公共资源交易中心编制
12
中标人凭 CA 数字证书登录广州公共资源交易中心数字交易平台查询交纳金额,并选
用以下两种方式交纳代理服务费:
(1)网上交纳(推荐):中标人登录交易平台,选定“我是投标人(供应商)”-
“投标人缴费管理”,选定交费项目,使用银行借记卡进行网上支付。(2)现场交费:中标人可到交易中心大厅西侧建设银行天润路支行专窗办理交费手
续,然后到业务窗口提交缴款单(原件)、交费项目名称、项目编号、经办人手机号办理确
认收费。注:中标人在交费过程中输入的手机号码是领取网上电子发票的依据,请谨慎填写。中标
人可凭上述经办人手机号登陆发票通网站“www.fapiao.com”或微信号“发票通”中下
载电子发票用于报账。
(二) 招标文件的澄清和修改1. 交易中心对招标文件进行必要的澄清或者修改的,在采购信息发布网站上发布更
正公告。澄清或者修改的内容可能影响投标文件编制的,更正公告在投标截止时间至少15
日前发出;不足15日的,交易中心顺延提交投标文件截止时间。2. 更正公告为招标文件的组成部分,一经在交易中心网站发布,系统将自动通过电
子邮件方式发送给已投标报名的供应商,视同已通知所有招标文件的收受人。3. 如更正公告有重新发布电子招标文件的,供应商应下载最新发布的电子招标文件
制作投标文件。4. 投标人在规定的时间内未对招标文件提出疑问、质疑或要求澄清的,将视其为无异
广州公共资源交易中心编制
13
议。对招标文件中描述有歧义或前后不一致的地方,评标委员会有权进行评判,但对同一条款的评判应适用于每个投标人。
(三) 关于联合体投标 对接受联合体投标的项目:
1.两个以上供应商可以组成一个投标联合体,以一个投标人的身份投标。2.联合体各方均应当符合《政府采购法》第二十二条第一款规定的条件,根据采购项
目的特殊要求规定投标人特定条件的,联合体各方中至少应当有一方符合采购人规定的特定条件。
3.联合体各方之间应当签订共同投标协议并在投标文件内提交,明确约定联合体各方承担的工作和相应的责任。联合体各方签订共同投标协议后,不得再以自己名义单独在同一项目中投标,也不得组成新的联合体参加同一项目投标。
4. 投标报名时,应以主体方名义报名,并须将联合体所有成员单位的全称录入广州公共资源交易中心信息系统,联合体名称需与共同投标协议签署方一致。
5.联合体投标的,应以主体方名义提交投标保证金(如有),对联合体各方均具有约束力。
6. 由同一专业的单位组成的联合体,按照同一项资质等级较低的单位确定资质等级。7.联合体各方均为小型、微型企业的,各方均应提供《中小微企业声明函》;中小微
企业作为联合体一方参与政府采购活动,且《共同投标协议书》中约定,小型、微型企业的协议合同金额占到联合体协议合同总金额30%以上的,应附中小微企业的《中小微企业声明函》。
(四) 关于关联企业除联合体外,法定代表人或单位负责人为同一个人或者存在直接控股、管理关系的不
同供应商,不得同时参加同一项目或同一子项目的投标。如同时参加,则评审时将同时被
广州公共资源交易中心编制
14
拒绝。
(五) 关于分公司投标对可接受分公司投标的项目,分公司投标的,需提供具有法人资格的总公司的营业
执照原件扫描件及授权书,授权书须加盖总公司公章。总公司可就本项目或此类项目在一定范围或时间内出具授权书。已由总公司授权的,总公司取得的相关资质证书对分公司有效,法律法规或者行业另有规定的除外。
(六) 关于提供前期服务的供应商为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,不得
再参加该采购项目的其他采购活动。(七) 关于中小微企业投标中小微企业投标是指符合《中小企业划型标准规定》的投标人,通过投标提供本企业制
造的货物、承担的工程或者服务,或者提供其他中小微企业制造的货物。本项所指货物不包
括使用大型企业注册商标的货物。中小微企业投标应提供《中小微企业声明函》;提供其他
中小微企业制造的货物的,应同时提供制造商的《中小微企业声明函(制造商)》。根据财库〔2014〕68号《财政部 司法部关于政府采购支持监狱企业发展有关问题的通
知》,监狱企业视同小微企业。监狱企业是指由司法部认定的为罪犯、戒毒人员提供生产项
目和劳动对象,且全部产权属于司法部监狱管理局、戒毒管理局、直属煤矿管理局,各省、
自治区、直辖市监狱管理局、戒毒管理局,各地(设区的市)监狱、强制隔离戒毒所、戒毒康复
广州公共资源交易中心编制
15
所,以及新疆生产建设兵团监狱管理局、戒毒管理局的企业。监狱企业投标时,提供由省级
以上监狱管理局、戒毒管理局(含新疆生产建设兵团)出具的属于监狱企业的证明文件,不
再提供《中小微企业声明函》。根据财库〔2017〕141号《财政部 民政部 中国残疾人联合会关于促进残疾人就业政
府采购政策的通知》,在政府采购活动中,残疾人福利性单位视同小型、微型企业,享受政
府采购支持政策的残疾人福利性单位应当同时满足《财政部 民政部 中国残疾人联合会关于
促进残疾人就业政府采购政策的通知》所列条件。残疾人福利性单位属于小型、微型企业的,
不重复享受政策。符合条件的残疾人福利性单位在参加政府采购活动时,应当提供《残疾人
福利性单位声明函》,并对声明的真实性负责。
(八) 知识产权1. 投标人必须保证,采购人在中华人民共和国境内使用投标货物、资料、技术、服务
或其任何一部分时,享有不受限制的无偿使用权,如有第三方向采购人提出侵犯其专利权、商标权或其它知识产权的主张,该责任应由投标人承担。
2. 投标报价应包含所有应向所有权人支付的专利权、商标权或其它知识产权的一切相关费用。
3. 系统软件、通用软件必须是具有在中国境内的合法使用权或版权的正版软件,涉及到第三方提出侵权或知识产权的起诉及支付版税等费用由投标人承担所有责任及费用。
(九) 纪律与保密事项
广州公共资源交易中心编制
16
1. 投标人不得相互串通投标报价,不得妨碍其他投标人的公平竞争,不得损害采购人或其他投标人的合法权益,投标人不得以向采购人、评标委员会成员行贿或者采取其他不正当手段谋取中标。
2. 在确定中标人之前,投标人不得与采购人就投标价格、投标方案等实质性内容进行谈判,也不得私下接触评标委员会成员。
3. 在确定中标人之前,投标人试图在投标文件审查、澄清、比较和评价时对评标委员会、采购人和交易中心施加任何影响都可能导致其投标无效。
4.获得本招标文件者,不得将招标文件用作本次投标以外的任何用途。若有要求,开标后,投标人应归还招标文件中的保密文件和资料。
5. 由采购人向投标人提供的图纸、详细资料、样品、模型、模件和所有其它资料,均为保密资料,仅被用于它所规定的用途。除非得到采购人的同意,不能向任何第三方透露。开标结束后,应采购人要求,投标人应归还所有从采购人处获得的保密资料。
三、 质疑与投诉(一) 供应商认为招标文件、采购过程和中标结果使自己的权益受到损害的,可以在
知道或者应知其权益受到损害之日起七个工作日内,以书面原件形式向采购人或交易中心提出质疑,逾期质疑无效。供应商应知其权益受到损害之日是指:
1. 对招标文件提出质疑的,为收到招标文件之日或者招标文件公告期限届满之日;2. 对采购过程提出质疑的,为各采购程序环节结束之日;3. 对中标结果提出质疑的,为中标结果公告发布之日。(二) 质疑文件应当包括下列主要内容:1. 质疑供应商和相关供应商的名称、地址、联系人及联系电话等;2. 质疑项目及编号、质疑事项;
广州公共资源交易中心编制
17
3. 认为采购文件、采购过程、中标和成交结果使自己的合法权益受到损害的法律依据
事实依据、相关证明材料及证据来源;4. 提出质疑的日期。(三) 质疑函应当署名。质疑供应商为自然人的,应当由本人签字;质疑供应商为法
人或者其他组织的,应当由法定代表人或者主要负责人签字盖章并加盖公章。(四) 供应商质疑应当有明确的请求和必要的证明材料。质疑内容不得含有虚假、恶
意成份。依照谁主张谁举证的原则,提出质疑者必须同时提交相关确凿的证据材料和注明证据的确切来源,证据来源必须合法,交易中心有权将质疑函转发质疑事项各关联方,请其作出解释说明。对捏造事实、滥用维权扰乱采购秩序的恶意质疑者,将上报政府采购监督管理部门依法处理,同时交易中心将在企业信用档案中予以记录,对综合信用评价得分予以扣除。
(五) 质疑供应商对采购人、交易中心的质疑答复不满意,或者采购人、交易中心未在规定期限内作出答复的,可以在答复期满后15个工作日内向采购人的同级政府采购监督管理部门提起投诉。
(六) 质疑受理部门:政府采购审核部(七) 提交质疑文件地点:交易中心三楼政府采购审核部(法律事务部),质疑文
件模板请自行在“交易中心主页-服务指南-资料下载-政府采购”下载。(八) 本次采购活动中,交易中心对质疑回复等文件的送达方式为现场取件或邮寄。
四、 投标要求(一) 投标文件的制作1. 投标文件中,除规定采用交易中心企业信息库中登记的信息外,其他内容均以电
子文件编制,其格式要求详见第五章说明。如因不按要求编制而所引起系统无法检索、读取相关信息时,其后果由投标人承担。
2. 投标人应使用交易中心提供的投标文件管理软件对投标文件进行合成、电子签名、 广州公共资源交易中心编制
18
电子签章及加密打包。所有投标文件不能进行压缩处理。3. 如有对多个子项目投标的,要对每个子项目独立制作电子投标文件。4. 投标人不得将同一个项目或同一个子项目的内容拆开投标,否则其报价将被视为
非实质性响应。5. 投标人须对招标文件的对应要求给予唯一的实质性响应,否则将视为不响应。6. 招标文件中,凡标有“★”的地方均为实质性响应条款,投标人若有一项带
“★”的条款未响应或不满足,将按无效投标处理。7. “★”投标人报价低于最高限价60%的,必须在投标文件中说明报价理由。8. “ 重要指标项”为重要响应指标,如果投标人未能响应,会严重影响投标人的得
分。9. 投标人必须按招标文件指定的格式填写各种报价,各报价应计算正确。除在招标文
件另有规定外,计量单位应使用中华人民共和国法定计量单位,以人民币填报所有报价。10. 投标文件以及投标人与采购人、交易中心就有关投标的往来函电均应使用中文
投标人提交的支持性文件和印制的文件可以用另一种语言,但相应内容应翻译成中文,在解释投标文件时以中文文本为准。
11. 投标人应按招标文件的规定及附件要求的内容和格式完整地填写和提供资料。投标人必须对投标文件所提供的全部资料的真实性承担法律责任,并无条件接受采购人和政府采购监督管理部门对其中任何资料进行核实(核对原件)的要求。采购人核对发现有不一致或供应商无正当理由不按时提供原件的,应当书面知会交易中心,并书面报告本级人民政府财政部门。
12. 投标人应承担其资格审查申请文件编制与提交所涉及的一切费用,在任何情况下交易中心对上述费用均不负任何责任。
(二) 投标文件的提交1. 投标人应在上传电子投标文件前,在交易中心信息系统中完成投标报名。2. 交易中心不接受现场纸质、邮寄纸质、电报、电话、传真方式投标。3. 于提交投标文件截止时间前,投标人将投标文件完整上传并保存在广州公共资源
广州公共资源交易中心编制
19
交易中心信息系统,且取得回执。时间以交易中心信息系统服务器从中国科学院国家授时中心取得的北京时间为准,投标截止时间结束后,系统将不允许投标人上传投标文件。如遇网络上传速度较慢情况,投标人也可选择到交易中心二楼自助服务区完成上传。
4. 上传投标文件时,投标人须使用制作该投标文件的同一业务数字证书进行上传操作。
5. 交易中心对因不可抗力事件造成的投标文件的损坏、丢失的,不承担责任。6. 出现下述情形之一,属于未成功提交投标文件:(1) 至提交投标文件截止时,投标文件未完整上传并保存的;(2) 投标文件未按要求进行电子签名和电子签章,或电子签名或电子签章不完整
的;(3) 投标文件损坏或格式不正确的;(4) 未使用最新发布的招标文件制作投标文件的。
(三) 投标文件的修改与撤回1. 在提交投标文件截止时间前,投标人可以修改或撤回未解密的投标文件,投标文
件一经解密,将不允许修改或撤回。2. 在提交投标文件截止时间后,投标人不得补充、修改和更换投标文件。3. 在提交投标文件截止时间起至投标有效期终止日前,投标人不能撤销投标文件,
否则其投标保证金(如有)将不予退还,且交易中心有权将其撤销行为载入不良信用记录。(四) 投标文件的解密
投标人须在规定的投标解密时间内,使用制作该投标文件的同一业务数字证书对投标文件进行解密,逾期未解密的投标文件作无效投标处理。
广州公共资源交易中心编制
20
(五) 投标有效期投标有效期从提交投标文件的截止之日起算 90 天。在特殊情况下,交易中心可于投标有效期满之前要求投标人同意延长有效期,要求与
答复均以书面形式进行。投标人可以拒绝上述要求,但其投标将会被拒绝并退还投标保证金(如有);同意延期的投标人其权利与义务相应延至新的截止期。
(六) 投标保证金投标人应交纳投标保证金:人民币 元整。
1. 交易中心不接受现金、支票及汇票方式提交的投标保证金。2. 投标保证金交纳及绑定投标项目(1) 投保证金应以投标人的名义汇入广州公共资源交易中心账户收款单位:广州公共资源交易中心 开户行:工商银行广州太阳广场支行银行账号:3602085729200173831-企业编号(说明:企业编号不足 9 位的,
应在企业编号前加“0”补齐 9 位。例:若企业编号为 654321,则转入银行账号应填写
为 3602085729200173831-000654321)。供应商可自行使用 CA 证书登录交易中心政府采购交易系统,以“我是投标人”的身
份在“政府采购保证金管理”菜单处查询工行保证金系统登录密码(银行将继续以短信方
式将该密码发送至供应商首次转账时填写在备注栏的手机号码上),以此登陆办理投标保
证金绑定操作,银行保证金系统咨询联系电话:020-87556157。(2) 绑定项目
广州公共资源交易中心编制
21
投标人汇款到账后,凭密码登陆银行网页:https://verify.gd.icbc.com.cn/index.jsp,登陆点击“绑定投标项目”,在下拉框
选择投标项目,点击确认后,系统即冻结相应的投标保证金金额,投标绑定操作完成。绑定操作须在提交投标文件截止时间的1小时前完成。
3. 在中标结果公告发出之日起5个工作日内,交易中心采用银行主动划账方式退还未中标人的投标保证金(如有);在采购人与中标人签订合同、并上传《广州市政府采购项目合同签订确认书》后5个工作日内,退还中标人的投标保证金(如有);在投标有效期内不能确定中标人的,在投标有效期满后五个工作日内,退还所有投标人的投标保证金(如有)。采购失败的项目,在采购结果公告后五个工作日内,退还所有投标人的投标保证金(如有)。投标保证金自动划回到投标人银行账号。
4. 下列任何一种情况发生时,投标保证金(如有)将不予退还:(1) 投标人在招标文件中规定的投标有效期内撤销投标文件的;(2) 中标人无正当理由未能在规定期限内签订合同的;(3) 中标人无正当理由放弃中标的。
广州公共资源交易中心编制
22
第二章 采购人需求
【子项目 1】1.★本次采购产品为非进口产品(进口产品指通过中国海关报关验放进入中国境
内且产自关境外的产品)。2.投标人需承诺提供厂商原装、全新的、符合国家及用户提出的有关质量标准的设
备。3.投标人需承诺根据采购人的实际需求,本项目所有的设备及端口须按照采购人
实际使用,提供通讯模块及相关的线缆等配件,此部分配件的价格应包含在整体报价内。
4.项目工期要求:在合同签订后 90 天内完成供货、实施,并申请初步验收,初步验收通过之日起进入 3 个月的试运行期,连续稳定试运行满 3 个月后申请用户验收。
5.★投标人需承诺为本项目全部产品提供五年原厂的设备软硬件保修及系统软件升级服务。
6.凡属优先采购节能产品,请投标人尽可能提供《节能产品政府采购清单》中的产品 。 (注: 《节能 产 品 政 府 采 购清单》 投 标 人 可 查询中国政 府 采 购 网 <http://www.ccgp.gov.cn>。)
广州公共资源交易中心编制
23
一、 项目概况1.项目基本情况
项目工期:6 个月
2.项目单位概况根据《中共广州市委机构编制委员会关于调整市工业和信息化局下属事业单位机构编
制事项的批复(穗编字〔2019〕238号)》和《中共广州市委机构编制委员会关于调整广州
市电子政务服务中心机构编制事项的通知(穗编字〔2019〕219号)》,原广州市信息化服
务中心相关业务调整至广州市电子政务服务中心。根据《中共广州市委机构编制委员会关于
调整市电子政务服务中心机构编制事项的批复([2020]31号)》,广州市电子政务服务中
心调整为广州市数字政府运营中心,为广州市政务服务数据管理局公益一类正处级事业单
位。
3.项目背景2016年 11月 22日,国家发展改革委、中央网信办、国家标准委联合发布《关于组织开
广州公共资源交易中心编制
24
展新型智慧城市评价工作务实推动新型智慧城市健康快速发展的通知》,同时下发《新型智
慧城市评价指标(2016年)》。该《评价指标》按包括惠民服务、精准治理、生态宜居、智能
设施、信息资源、网络安全、改革创新、市民体验等 8大类成效指标,旨在客观反映智慧城
市建设实效。其中,绝大大部分智慧城市应用及基础设施相关指标,如政务服务、交通服务
社保服务、医疗服务、教育服务、就业服务、城市服务、城市管理、公共视频采集联网、智慧环
保、信息资源、网络安全等,均需要靠城市的电子政务外网来承载。需要电子政务外网直接
相关或间接承载各项应用指标分数累计占比达到 70%以上。可见广州市的电子政务外网安
全建设,在新型智慧城市的建设当中地位非常关键,需要引起重视。同时,2016年 11月 7日国家颁布了《中华人民共和国网络安全法》,明确提出国家实
行等级保护制度,并要求“健全网络与信息安全法律法规,完善信息安全标准体系和认证
认可体系,实施信息安全建设保护、风险评估等制度。”标志着信息安全建设工作已经上升
到国家战略层面,成为关系国计民生的重要任务,并在 2017年 6月 1日正式实施,因此,
对信息化服务中心信息管理系统进行网络安全建设升级工作是非常重要的任务。近年来,网络安全攻击事件越来越频繁,所造成的影响也越来越大,典型的如:海莲
花、永恒之蓝等攻击事件;对政务外网的 SQL注入攻击如 2016年 12月 9日,致公党组织
广州公共资源交易中心编制
25
网站被黑客攻击,网页被篡改,并且散发反动言论,事件产生了很大的影响;此外近年来
邮件安全已经引起了国家相关部门的高度重视。电子政务外网现网安全设备大多于 2007年投入使用,现有安全设备运行年限已久,
已经趋于老化,性能也不足以满足业务需求。随着业务发展,电子政务外网现有的网络已
越来越难以满足对业务的支撑需求,本期规划对全网的互联网出口、核心、汇聚和接入链路
进行全面的扩容升级,同时,现有的安全设备性能不足的问题也更加凸显,因此应进行同
步的升级处理。近年来,国家在信息安全领域方面高度关注,完善电子政务外网的安全保
障体系,提升电子政务外网整体的信息安全防护能力成为当前安全建设的首要任务。
二、 项目建设需求1.业务需求1.1 安全保障体系建设的需求
《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23
号)文件指出:以邓小平理论和“三个代表”重要思想为指导,深入贯彻落实科学发展观,
广州公共资源交易中心编制
26
以促进资源优化配置为着力点,加快建设下一代信息基础设施,推动信息化和工业化深度
融合,构建现代信息技术产业体系,全面提高经济社会信息化发展水平。坚持积极利用、科
学发展、依法管理、确保安全,加强统筹协调和顶层设计,健全信息安全保障体系,切实增
强信息安全保障能力,维护国家信息安全,促进经济平稳较快发展和社会和谐稳定。 “安全保障体系建设”是广州市电子政务外网建设的主要内容之一,根据网络与安
全同期规划的原则,信息与网络系统的安全,是电子政务建设的前提和基础,要从技术、管
理和组织等方面构建全方位的信息安全防范体系,确保广州市电子政务外网及其所承载的
业务系统的安全。
1.2 等级保护建设的需求新颁布的《中华人民共和国网络安全法》中提出,“国家实行网络安全等级保护制度。
网络运营者应当按照网络安全等级保护制度的要求,履行相关安全保护义务,保障网络免
受干扰、破坏或者未经授权的访问,防止网络数据被窃取、篡改”,明确了网络安全等级保
护在信息化安全中的重要意义。实现安全等级保护,要遵循《“十三五”国家政务信息化工程建设规划》以及信息安全
等级保护的要求,对广州市电子政务外网实施全面信息安全等级保护,从物理层面、网络 广州公共资源交易中心编制
27
层面、系统层面、应用层面和管理层面等角度,并结合具体的安全技术要求和安全管理要求
对电子政务外网的信息系统的安全进行具体的规划、设计和实施,确保电子政务外网汇聚
层、接入层的边界的安全保护水平。
1.3 流量安全保障的需求当前广州市电子政务外网下挂的委办局访问电子政务外网的业务流量按照流向主要可
以分为两种:1、纵向流量主要是指各部门“自上而下”及“自下而上”的业务。从各委办局到我中心或广州市
政府信息化云服务平台的纵向业务流,是目前电子政务外网的主要业务流,也称为“南北
向”流量。2、横向流量主要指各委办局之间需要协调通讯的业务,包括不同委办局之间的互访流量、业务系
统与数据库之间的流量等,也称为“东西向”流量。委办局的业务流量中包含着许多单位重要信息,一旦被获取可能会对委办局以及我中
心造成不可估量的影响,保障“南北向”及“东西向”流量的安全也是信息安全建设的重
广州公共资源交易中心编制
28
点。
2.项目总体架构本项目安全建设的总体架构图如下所示:
广州公共资源交易中心编制
29
2.1 互联网接入域
现网三个互联网出口带宽共计 8.4G,流量主要走穗园小区出口,穗园小区与连新路出
口互为备份,通过独立的出口交换机连接中国电信、中国移动和中国联通出口,为主备架
构出口链路。目前,在政务外网的互联网出口部署有防火墙,穗园机房及连新路机房各 1台,防火
墙策略采用按需开放。在互联网出口汇聚交换设备上采用旁挂方式部署了 1台 IDS设备,
由运维人员监控异常攻击信息。原有的出口防火墙使用年限已久,无法满足业务增长需求,备用链路上防火墙仅支持
千兆端口,且电子政务外网互联网出口缺少抗 DDOS攻击防护能力,IDS入侵检测设备已
过设备报废期,且设备处理性能已经无法满足业务需求。
广州公共资源交易中心编制
30
2.2 核心交换域
核心层由高性能的设备和高速冗余的链路构成,实现数据的高速转发、负载均衡、流量
控制、网络管理等功能,在核心层穗园节点上部署了 1台 IDS设备,检测网络中发生的异
常攻击行为。但该 IDS设备均已超出市财政资产使用报废期限,性能也无法满足现有业务
的需求。目前在核心层穗园节点上部署了 1台 IDS 设备,用于检测网络中发生的异常攻击
行为。该 IDS 设备均已超出市财政资产使用报废期限,性能也无法满足现有业务的需求。
广州公共资源交易中心编制
31
2.3 服务器接入域
除电信、移动、联通云之外,中心还存在实验云平台等少量业务系统部署于穗园小区节点的机房内。在服务器区域出口部署有 2 台防火墙用于边界隔离,1 台 IPS设备用于服务器边界安全检测。
目前服务器接入区出口缺乏 WEB 应用安全防护能力,无法为对外服务的应用或WEB 服务器提供安全防护,且现有的 IPS 设备已超出市财政的设备报废期限,性能功能无法满足当前业务需求。2.4 安全管理域
目前政务外网安全管理中心仅部署了 1台上网行为管理、1 台漏洞扫描器和 2 台堡垒机,分别用于对网络中的漏洞进行扫描,发现网络和系统的潜在威胁和对运维人员的操作权限分配和操作行为进行审计记录,但都使用年限较久,并且已经过保,性能也无法满足业务发展的需要,急需对现有设备进行升级替换;以及根据网络安全三级等保相关要求,通过流量采集及分析技术,还原管理区数据流中的敏感文字内容信息以及网络用户的行为痕迹特点,再根据已定义好的风险判定策略进行甄别,从而实现敏感数据窃取识别、网络安全入侵事件的发现、告警以及溯源取证。对管理区终端、网络
广州公共资源交易中心编制
32
邮件系统等实现集中数据安全审计与防护,对管理区网络流量检测实现全面的数据安全审计与防护。2.5 态势感知平台
广州市政务外网已经发展成为全市电子政务的核心枢纽,以一张覆盖市、区级两级专网。电子政务网络平台目前已实现 1000多家市财政一、二级预算单位、国有企事业单位的统一联网。
(1)在政务外网中部署了大量的网络安全设备、如路由器、交换机、防火墙等,设备产生的日志量大、格式不统一、可读性查,面对复杂的网络环境,很难及时从日志中去分析进而发现安全隐患;同时,大量的网络访问流量是否符合业务需求以及访问流量是否合规目前也无法得到有效的感知。
(2)广州市政务外网的管理者很难获得一个全网安全的综合视图,无法掌握整个网络的安全态势。因此,需要能够将安全分析所需的各类数据统一采集起来,尤其是如流量还原数据、安全设备日志等一手数据,并对这些数据进行归一化和富化处理。
因此需通过对广州市政务外网网络安全态势感知平台的建设,实现对政务外网的网络流量进行监测,形成数据采集、数据分析、预警通告和态势展现等安全监测能力;加强全网网络安全防护和监测预警,增强网络安全威胁主动发现能力,提升网络安全防护水平;及时发现并预警网络中存在的病毒扩散、恶意代码、攻击等网络异常行为;搭建网络安全态势可视化系统,直观展示各类网络安全信息,提高对网络安全威胁的发现处置能力。
广州公共资源交易中心编制
33
3.项目建设目标在国家网络安全等级保护相关政策和标准的指导下,通过对完成市电子政务外网
的互联网出口层、服务器接入区、安全管理中心进行安全升级,完善整网的信息安全保障体系,实现以下目标:
1、满足网络安全法和网络安全等级保护 2.0 的合规要求网络安全是国家重视而且也在大力推动的事情,本项目中 网络安全建设,是国家
的基本制度,是《网络安全法》提出的重点,即现在是有法律要求。根据今年颁布的网络安全等级保护 2.0 的基本要求,基础信息网络也是保护对象
之一,网络运营商作为为基础信息网络提供运营服务的主体,也要履行网络安全防护的义务,本次按照信息安全等级保护 2.0 标准的 3级等保标准对广州市电子政务外网进行安全升级建设,符合网络安全等保的最新要求。
2、提升整网安全防护和管理能力通过本项目建设,对广州市电子政务外网的安全防护体系进行全面升级,从整体
上提升电子政务外网的安全防护能力,增强对已知病毒攻击等的抵御能力,构建对未知新型安全攻击手段的侦测、预警及防护平台,并逐步提升与完善中心的各项信息安全管理制度,适应中心实际的安全需求,完善日常运维中的安全事项及在安全事件中的应急处理流程。
3、整网安全态势可视化通过安全感知平台建设,结合攻击趋势、有效攻击、业务资产脆弱性对全网安全态
势进行整体评价,以业务系统的视角进行呈现,可有效的把握整体安全态势进行安全决策分析,能实时展示内网服务器被外网攻击的实时动态图,实现全网安全攻击态势大屏展示。有助于主管单位对可能发生的安全威胁和风险能做到事前预警,事中阻断,事后溯源。
广州公共资源交易中心编制
34
4、基于 IPV6 的安全技术升级随着电子政务外网由基于 IPv4协议的通信向基于 IPv4/IPv6双栈协议的下一代通信网
络的过渡及演进,安全保障体系的建设须充分结合 IPv6网络中所面临的实际安全需求,
从需求方面考虑电子政务外网安全保障体系的整体设计,通过本次网络安全建设,淘汰技
术和性能落后的安全设备,主要设备在技术选型上必须同时支持 IPV4和 IPV6双栈,实现
网络安全设备从 IPV4向 IPV6的全面升级。
4.建设内容本次项目建设内容包括对广州市电子政务外网的网络安全防护体系进行全面升级,从
整体上提升电子政务外网的网络安全防护能力,增强对已知病毒攻击等的抵御能力,构建
对未知新型安全攻击手段的侦测、预警及防护平台,并逐步提升与完善中心的各项信息安
全管理制度,适应中心实际的安全需求,完善日常运维中的安全事项及在安全事件中的应
急处理流程,保障各项信息安全的落地可行。具体建设内容体现在如下几个方面:1)互联网出口安全建设:增强互联网与电子政务外网边界隔离,替换现有的互联网
广州公共资源交易中心编制
35
出口主链路防火墙并做双机冗余,进一步提升电子政务外网对外抗DDOS攻击防护能力,
提升对外网入侵行为的安全检测能力,并完善对互联网进出口流量的精细化管理。2)服务器接入区安全建设:增强服务器接入区对外的WEB防护及入侵防御能力。3)安全运营管理中心建设:通过漏洞扫描系统、运维堡垒机建设,增强安全管理区的
安全审计、安全运维、漏洞扫描能力,建设安全态势感知平台,使安全管理区具备全网的网
络安全事件分析能力,对网络安全事件能起到提前预警,事中阻断,事后回溯的作用。详细建设清单如下:
4.需求清单及技术参数序号 建设内容 单位 数量
1 漏洞扫描系统 台 12 堡垒机 台 23 入侵检测 IDS 台 24 出口防火墙 台 25 入侵防御 IPS 台 26 WAF 台 27 安全态势感知平台 套 18 上网行为管理 台 19 抗DDOS 台 210 综合日志审计设备 台 111 数据泄漏防护系统 台 2
4.1. 漏洞扫描系统
广州公共资源交易中心编制
36
序号
指标项 技术指标
1 硬件规格★2U,接口配置≥8*千兆电口+4*千兆光口,光模块配置总数≥4 个千兆多模,配置 1+1冗余电源。目标 IP 不受限制,Web
扫描域名无限制,单任务最大并发扫描 IP 数 100。2 重要
指标项
系统扫描
产品漏洞库列表数量必须大于 59000条,提供详细的漏洞描述和 对 应 的 解 决 方 案 描 述 ; 漏 洞 知 识 库 至 少 包 括 与CVE、CNCVE、CNNVD、CNVD、Bugtraq 等主流标准兼容(要求提供截图证明)要求具备威胁情报系统对接能力,需拥有自主运营且拥有自主知识产权的威胁情报中心平台,能够自主生产、运营威胁情报信息。(提供威胁情报中心软件著作权证书及官网截图证明)产 品 应 支 持 多 种 协 议 口 令 猜 测 , 包 括SMB、Snmp、Telnet、Pop3、SSH、Ftp、RDP、DB2、MySQL、Or
acle、PostgreSQL、HighGo、MongoDB、UXDB、STDB、kingb
ase、RTSP、ActiveMQ、WebLogic、WebCAM 等;支持设置口令猜测间隔 0-300秒。(要求提供截图证明)
Web安全
产品应支持漏洞验证功能,在扫描结束后,能够对结果中的重要漏洞进行现场验证,展示漏洞利用过程和风险(要求提供截图证
广州公共资源交易中心编制
37
明)产品资质及制造商服务能力
要求
厂商拥有全国性的漏洞响应平台,累计发现 10万个以上漏洞,并汇聚 28000 个以上的实名认证白帽子。(提供漏洞响应平台软件著作权证书、网站URL、能够证明历史挖掘漏洞数和白帽子注册数的官网截图证明)
3 资产管理
产品应支持对扫描耗时、起始时间、结束时间、扫描进度、发现漏洞数、检测网页数等多种在线扫描数据呈现产品应支持对资产扫描的同时支持漏洞风险分布、检测进度、主机漏洞排名等漏洞数据信息进行查看支持以 txt、csv、dat、xls 等格式进行资产列表的导入(要求提供截图证明)
4 系统扫描 产品应支持 35种以上默认扫描策略模板,如常规安全扫描,中高危漏洞扫描,高危漏洞扫描,web 服务组件扫描,网络设备扫描,云平台漏洞扫描,虚拟化扫描,主机信息收集,攻击性扫描,SQL SERVER 数据库扫描,Apple类扫描,视频监控类扫描等等,同时针对市场应急响应的漏洞提供应急响应策略模板。(要求提供截图证明)产 品 应 支 持 对 主流 的 数 据库 软 件 的 漏 洞 检 查 , 支持
广州公共资源交易中心编制
38
Oracle、MySQL、SQL server、DB2 等数据库的安全漏洞检查,并提供至少 600种以上的相关漏洞库产 品 应 支 持 云 平 台 扫 描 , 漏 洞 覆 盖 OpenStack
、KVM、Vmware、Xen 等主流的云计算平台(要求提供截图证明)产品应网站开源架构类扫描:支持 phpmyadmin、WordPress
等的扫描(要求提供截图证明)产品应支持 python 的多个模块的漏洞扫描,如 audioop模块 、rgbimg模块的漏洞;支持大华、海康等视频监控类设备扫描。(要求提供截图证明)
5 Web安全
产品应具备专用的 Web漏洞库,具备 SQL注入、跨站脚本、信息泄露等常见 Web漏洞的漏洞库列表,并提供至少 9种的漏洞库分类产品应支持对 Web 网站的目录结构进行树形呈现
6 口令破解
产品应具备专用的口令破解字典,包括密码字典、用户名字典、组合字典等多种口令破解字典口令破解利用 SMB、TELNET、FTP、SSH、POP3、TOMCAT、SQL
SERVER、MYSQL、ORACLE、SYBASE、DB2、SNMP 等协议进行口令猜测
广州公共资源交易中心编制
39
7 报表分析
产品应具备在线查询功能,可以根据漏洞严重级别进行区别展示,并以颜色对漏洞级别进行区分产品应具备漏洞对比机制,针对多次漏洞扫描情况进行对比,了解新增漏洞、减少漏洞的详细数据产品应具备漏洞报表导出机制,支持word、html、execl 等导出格式,并支持导出统计报表和详细报表
8 产品资质及制造商服务能力要求
产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》,要求为增强型。产品具有中国网络安全审查技术与认证中心颁发的《网络关键设备和网络安全专用产品安全认证》。产品具有 CNNVD漏洞兼容性资质证书产品具有 IPV6 认证证书产品具有国际CVE组织产品兼容资质认证证书产品具有中国信息安全测评中心颁发的《信息技术产品安全测评证书》,级别 EAL3+
要求产品制造商应是国家信息安全漏洞共享平台 CNVD技术组成员单位,需提供成员单位证书。 要求产品制造商具备 CNNVD 一级技术支撑单位资质。产品在近三年 IDC安全分析、情报、响应和编排软件市场产品中排
广州公共资源交易中心编制
40
名前三;要求产品制造商具备公安部网络安全保卫局颁发的《国家重大活动网络安全保卫技术支持单位》成员证书要求制造商具备自主挖掘漏洞能力,提供 CVE安全漏洞总数不少于 120 个。须提供 CVE 网站截图证明。
4.2. 堡垒机
序号 指标项 技术指标
1 硬件规格★6 个千兆电口,4 个千兆光口,光模块配置总数≥2 个千兆多模;内存≥16G;硬盘≥4T,并发图形数:500、并发字符数:1500。
2 重要指标项
资源管理
支持数据库协议自动改密,改密类型支持:Oracle、PostgreSQL、MySql、DB2、Informix 、SYBASE,M
ssql(2005,2008,2012)、达梦数据库等(要求提供截图证明)
自动运维支持自定义运维任务,实现命令执行、脚本运行、文件批量分发自定义灵活组成自动化运维任务。(要求提供截图证明)
操作记录 支持用户水印功能,避免数据泄露无法追责(要求提供截图证
广州公共资源交易中心编制
41
明)
产品资质及制造商服务
能力要求
制造商获得中国信息安全测评中心颁发的信息安全服务资质证书-云计算安全类要求产品制造商在国家信息安全漏洞共享平台(CNVD) 近三年的成员单位工作贡献排名前三。须提供国家信息安全漏洞共享平台网站截图证明。
3 部署方式 物理旁路,逻辑串联模式,不影响原有网络架构HA双机热备、支持跨地域、跨数据中心,多层次部署
4 资源管理 支持SSH、RDP、VNC、Telnet、FTP、SCP、SFTP、DB2、MySQL、O
racle、SQL Server、Rlogin 等协议;支持Linux /Unix、Windows、H3C、Huawei、Cisco 等系统支持通过应用发布进行协议扩展,支持 http/https协议、X11
协议、VMware vSphere Client、Radmin 等第三方客户端工具,并支持模拟帐号密码代填登录;应用发布调用只能推送应用工具窗口,不得推送 windows桌面,以提升用户体验支持按 IP范围、端口进行资源设备自动发现,一键快速批量添加资源设备支持以资源为视角进行用户访问授权,可在具体资源上直接进
广州公共资源交易中心编制
42
行用户角色绑定,提高授权关系绑定易用性和灵活性。(要求提供截图证明);WEB运维模式:支持运维人员通过 IE(9-11版本)、谷歌浏览器、Firefox浏览器单点登录资源,无需安装 Java控件(要求提供截图证明)支持调用运维人员终端电脑上的数据库工具,不改变运维人员使用习惯:SQLPlus、PLSQLDev、Toad for
Oracle、Db2cmd(DB2)、Quest Central for
DB2、Teradata SQL Assistant、SqlDbx Personal、SqlDbx
Professional、pgAdmin3、Mysql
Command 、SSMS、Dbvisualizer、Navicat、达梦数据库。(要求提供截图证明)
5 用户管理支持本地、RADIUS 和 LDAP、AD域等认证方式支持动态令牌、USBKEY、手机令牌、手机短信等多因子认证支持按 IP黑白名单、访问时间段限制用户访问堡垒机、
6 访问控制 支持按用户、账户组设置多对多的资源访问授权,用户组和账户组内的新增成员自动继承授权关系预制 Linux主机和网络设备的基本命令,支持正则表达式和通配符方式设置匹配规则,自定义命令黑白名单
广州公共资源交易中心编制
43
支持对 MySQL 和 Oracle 数据库的访问操作控制,可基于库、表、命令实现对数据库操作的细粒度访问控制
7 自动运维
支持从 Linux 服务器推拉账户,实现堡垒机与纳管的资源服务器之间的账户同步运维用户设置运维命令,在 Linux类主机和网络设备自动执行并返回结果,供用户查看、下载。(要求提供截图证明)
8
操作记录
实时监控当前连接发生的所有会话信息,发现高危操作可实时切断会话(要求提供截图证明)离线回放重现维护人员对服务器的所有操作过程(回放文件下载到本地播放);倍速播放、拖动、暂停、停止、重新播放等播放控制操作。(要求提供截图证明)支持数据库命令级审计,数据库支持类型包括:DB2、MySQL、Oracle、SQL Server 等支持以图形、字符方式双重审计,完整详细还原操作记录
会话回放 页面直观展示操作指令,包括原始操作命令,命令输出、并可以通过操作的命令关键字定位播放会话视频,视频回放,支持播放速度调整、拖动、暂停、停止、跳过空闲、重新播放等操作,会话录像可离线下载播放支持在 Web 页面播放审计会话时,显示简略信息列表,窗
广州公共资源交易中心编制
44
口,便于快速切换其他资源历史会话
9 改密计划
支持自动修改资源服务器账户密码,系统类型包括Windows/Linux/Unix/Cisco/Huawei/H3C 等网络设备,数据库类型包括MySQL、Oracle、SQL Server 等。支持将改密后的结果分 A、B两段,通过邮件发送给不同的两个堡垒机用户,或者堡垒机页面直接下载改密结果
10 实时监控
支持对当前会话进行无延时的实时监控和切断审计查询关键字和结果显示支持多种编码(UTF-8,Big5,EUC-JP,EUC-KR,GB2312,GB18030,ISO-8859-2,KOI8-
R,KS_C_5601_1987,Shift_JIS,Window-874),由审计管理员自主选择(要求提供截图证明)
11 系统设置
支持系统信息可视化,在“桌面”上以数字、图形展示用户、资源、告警数量,系统状态以及版本信息以及运维用户和资源的Top展示、支持当前活动会话和今日新增会话的统计,每日新增的日志大小查看支持在 web界面上传升级包进行一键升级,对系统的维护,配置备份与还原进行管理支持空间自管理,自动清理超出指定时间之外的历史数据、空间满时自动覆盖
12 产品资质及制造 产品具有中华人民共和国公安部颁发的计算机信息系统安全专
广州公共资源交易中心编制
45
商服务能力要求
用产品销售许可证 运维安全管理产品(增强级)产品具有国家版权局计算机软件著作权登记证书CCID市场排名:产品制造商在上一年度中国运维安全审计产品市场销量排名前三;须提供证明文件。要求产品制造商在具备 CCRC 信息安全服务资质-应急处理、安全运维、安全集成和风险评估服务一级资质要求产品制造商在具备公安部网络安全保卫局颁发的《国家重大活动网络安全保卫技术支持单位》产品具有 IPv6 Ready Logo 认证证书产品获得国家保密科技测评中心《涉密信息系统产品检测证书》要求产品制造商具备 CCRC 信息安全服务资质-应急处理、安全运维、安全集成和风险评估服务一级资质
4.3. 入侵检测系统 IDS
序号 指标项 技术指标1 硬件规格 ★2U专业机架式硬件设备,系统硬件采用全内置封闭式结
构,产品稳定可靠性高,含交流冗余电源模块,≥8 个万兆光
广州公共资源交易中心编制
46
口,≥24千兆电口,吞吐量能力≥20Gbps,最大并发连接数≥1000万,每秒新建连接数≥20万/秒,光模块配置总数≥4
个万兆多模。
2
重要指标项
系统管理支持按照用户典型场景进行引导用户配置(要求提供截图证明)
一体化引擎支持应用识别、入侵防护、关键字检测、URL检测、AV 等安全模块一次性扫描,系统整体性能几乎不受功能的增加而降低(要求提供截图证明)
入侵检测要求具备威胁情报系统对接能力,需拥有自主运营且拥有自主知识产权的威胁情报中心平台,能够自主生产、运营威胁情报信息。(提供威胁情报中心软件著作权证书及官网截图证明)。
产品资质及制造商服务
能力要求
要求具备 APT攻击发现能力,要求制造商具备持续的 APT组织跟踪及 APT事件发现能力,提供至少 10份以上公开发布的APT 报告作为证明;(提供 APT 报告封面截图及公开发布的互联网 URL链接证明)要求制造商在国家信息安全漏洞共享平台(CNVD)近三年的成员单位工作贡献排名前三。须提供国家信息安全漏洞共享平台网站截图证明。
3 数据展示 支持显示系统最近 1小时、24小时、1周、1 个月的入侵攻击事
广州公共资源交易中心编制
47
件趋势图(要求提供截图证明)系统提供威胁的实时展示能力,可以将引擎检测到的威胁在威胁展示界面进行实时显示,现实内容需全面丰富,包括:威胁的中文名称、威胁的处理状态、威胁的等级、威胁流行程度、威胁的源 ip、威胁的目标 ip、威胁发生的时间段(今日该威胁第一条的发生时间、今日该威协最后一条发生时间)、该威胁今日发生次数、该威协最近十分钟的发生次数;(要求提供截图证明)系统需具备可以将离散的实时报警信息通过地理信息、网络结构以及和 IP地址结合显示在图形化的界面上,用户可以清晰的看到入侵事件的源头或目标对象,不同地域的入侵事件发生比例以及事件级别比例(要求提供截图证明)提供系统升级、特征库升级的能力,支持在线和离线升级功能;支持通过 HTTP代理服务器进行在线升级;(要求提供截图证明)
5 一体化引擎系统需支持虚拟引擎的功能,支持按照抓包口、IP地址、IP地址范围、VLAN、MAC地址配置虚拟引擎,不同的虚拟引擎可以采用不同的事件集,(要求提供截图证明)
6 入侵检测 支持基于 IP碎片重组、TCP流重组、会话状态跟踪、应用层协议
广州公共资源交易中心编制
48
解码等数据流处理方式的攻击识别支持模式匹配、异常检测、统计分析,以及抗 IDS/IPS逃逸等多种检测技术可依据应用行为自动识别协议类型,如HTTP、SMTP、POP3、FTP、Telnet、VLAN、MPLS、ARP、GRE
等多种协议,并可进行防护解析内置攻击特征库,特征数量超过 4000条,特征库定期升级可基于 TCP/ICMP/UDP协议自定义攻击特征,可阻挡蠕虫、木马、间谍软件、广告软件、缓冲区溢出、扫描、非法连接、SQL注入、XSS跨站脚本等多种攻击
7 流量可视化
支持对今日总流量、Web流量、数据库流量、邮件流量的统计功能,以及历史均值的基线自动学习能力,(要求提供截图证明)支持用户和应用的关联分析,能够分析用户的应用使用情况,能够分析使用该应用的用户情况支持统计 ACL策略会话数、上行流量、下行流量、上行报文数、下行报文数;支持统计安全策略策略会话数、上行流量、下行流量、上行报文数、下行报文数
8 安全可视化 提供多种业务报表(见下),可依据五元组、应用协议、时间点
广州公共资源交易中心编制
49
/时间段等元素自定义报表内容并显示可对接口流量/应用/协议的异常状态进行告警,并以 Email/
SNMP Trap/声音等方式通知管理员支持攻击类型排名、攻击级别排名、攻击列表等支持对上报的可疑事件加入到分析池中,来确认上报的事件是否为真正的攻击支持将分析池中的事件以案件的形式进行管理,等待后续的人工分析,来确认是否为真实的攻击支持病毒排名、病毒来源排名、防病毒事件列表支持挂马域名排名、攻击来源排名、挂马事件列表支持文件类型排名、攻击来源排名、文件控制列表支持数据检测列表支持URL检测列表支持对检测出的入侵事件进行攻击区域统计支持对 DNS域名统计监测,支持域名排行支持DDOS事件列表支持防病毒和防垃圾邮件统计
9 日志管理 支持设置日志服务器,将日志发送到网络中统一的日志服务器上,进行统一收集、管理支持日志存储空间支持预定义警戒值,达到存储警戒值后实现
广州公共资源交易中心编制
50
日志的覆盖存储,保证新日志的有效记录支持按照业务模块分类存储日志支持日志合并功能 通过对同一和相近日志或事件进行合并,减少日志条数和冗余信息,提升日志处理效率,增强日志可读性,支持日志告警支持 ISP地址列表,支持通过 web手动导入进行升级支持基于地理位置的威胁分析支持基于威胁事件类型的地图展示
10 系统工具
支持 ping、tracert 等网络测试工具支持一键收集系统调试信息,可导出、打包下载支持按接口、会话五元组抓包支持向联动主机下发阻断策略,报文在联动主机上被阻断(要求提供截图证明)支持检测网络内主机开放的端口,并记录日志支持临时阻断会话,能够手动阻断设备上存在威胁的会话支持会话在设备模块间的流程诊断,用户网络问题调试
11 产品资质及制造商服务能力要求
计算机软件著作权登记证书产品具备计算机信息系统安全专用产品销售许可证网络入侵检测系统(第三级)。产品具备国家信息安全测评自主原创产品测评证书。
广州公共资源交易中心编制
51
产品获得国家保密科技测评中心《涉密信息系统产品检测证书》;产品具备 IPv6 Ready Logo 认证证书产品具备国家信息安全漏洞库兼容性资质证书产品具备国际CVE兼容性资质证书制造商为 CNVD国家信息安全漏洞共享平台技术组成员制造商为 CNCERT/CC 网络安全应急服务支撑单位(国家级)要求制造商具备公安部网络安全保卫局颁发的《国家重大活动网络安全保卫技术支持单位》
4.4. 出口防火墙
序号
指标项 技术指标
1 硬件规格 ★主控插槽≥2 个,整机扩展卡槽≥10 个,双主控,独立交换网板≥1块,双交流电源,万兆光口≥12(实配 6 个多模光模块),40G光口≥2(实配 4 个多模光模块);吞吐量≥80Gbps,整机最大吞吐量可扩展≥960Gbps;IPS吞吐量≥55Gbps,整机最大吞吐量可扩展到 240Gbps;并发连接数≥6000万,整机最大并发连接数可扩展≥9.6亿;每秒
广州公共资源交易中心编制
52
新建连接数≥320万,整机最大每秒新建连接数可扩展到≥1280万支持≥1块物理独立交换网板,支持 40GE,100GE 接口,便于平滑扩展需要;
2
重要指标项
虚拟系统 最大虚拟防火墙数≥2000,并且提供官网截图证明材料。
入侵防御 基于特征检测,支持超过 10000种特征的攻击检测和防御;(提供证明材料);
厂家资质
防火墙产品连续五年及以上进入 Gartner 企业防火墙四象限,提供证明材料。厂商是中国反网络病毒联盟 ANVA 成员单位,提供查询链接及查询界面截图。厂商是中国网络空间安全协会成员,提供查询链接及查询界面截图。
3 散热 为了适应机柜并排部署,采用机箱(包括业务板卡区)前后出风风道设计,(提供设备带散热气流走向的示意图)
4 路由功能
支持静态路由、策略路由、RIP、OSPF、BGP、ISIS 等路由协议策略路由支持的匹配条件:源 IP/目的 IP,服务类型,应用类型,用户(组),入接口,DSCP优先级。(提供功能截图)
支持 IPv6协议栈、IPV6穿越技术、IPV6路由协议支持 IPv6 over IPv4 GRE隧道,6RD隧道。
5 VPN 支持 IPSec、L2TP、GRE VPN,能够对相应 VPN隧道报文进
广州公共资源交易中心编制
53
行监控统计
6 NAT支持全面 NAT功能,对多种应用层协议支持 ALG功能,包括ILS、DNS、PPTP、SIP、FTP、ICQ、RTSP、QQ、MSN、MMS 等
7 协议识别 可识别应用层协议数量≥5000种(提供功能截图)
8 数据安全
支持URL识别能力和 URL地址识别库,URL识别库≥1.2亿支持在本地部署 URL 服务器实现 URL 过滤。(提供功能截图)支持 DNS 过滤,提高 WEB 网页过滤的性能。(提供功能截图)
9 策略管理
支持策略的模糊查询,策略组,策略规则标签,方便策略的管理及运维。支持将基于端口的安全策略转换为基于应用的安全策略,对安全策略进行命中分析,冗余分析。(提供功能截图)
10加密流量安全防
护
支持对 HTTPS,POP3S,SMTPS,IMAPS 加密流量代理解密后,并进行内容过滤,审计,安全防护。(提供功能截图)支持基于 URL 分类的精细化解密,提高解密性能。(提供功能截图)支持加密流量解密后镜像给第三方设备做审计,安全检测。(提供功能截图)
11 智能威胁防御 支持与本地沙箱联动,实现对 APT攻击的防御功能。(提供功能截图)
广州公共资源交易中心编制
54
12 入侵防御
可以支持HTTP、FTP、SMTP、POP3、IMAP、NFS 等协议的病毒防护。支持恶意域名过滤,实现对 C&C进行阻断。(提供功能截图)支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件的口令暴力破解防护功能。(提供功能截图)
13 密码技术
国家密码管理局 SSL VPN技术规范起草单位,并提供证明材料;国家密码管理局 IPSec VPN技术规范起草单位,并提供证明材料。
14 产品资质
具有公安部颁发的《计算机信息系统安全专用产品销售许可证》(万兆),提供证书复印件具有国家保密局测评中心颁发的《涉密信息系统产品检测证书》(万兆),提供证书复印件
15 厂家资质 防火墙产品获得 NSS lab 推荐级,提供 NSS lab 防火墙 安全价值地图(SVM)截图证明,加盖厂商公章防火墙产品连续四年及以上进入 IDC 中国区防火墙前三,提供证明材料。厂商是中国互联网网络安全威胁治理联盟成员,提供查询链接及查询界面截图;厂商是中国反钓鱼网站联盟(APAC)成员单位,提供查询链
广州公共资源交易中心编制
55
接及查询界面截图。
4.5. 入侵防御系统 IPS
序号
指标项 技术指标
1 硬件规格
★2U专业机架式硬件设备,系统硬件采用全内置封闭式结构,产品稳定可靠性高;设备采用冗余电源,配置有 USB、console
接口;产品应具备硬盘存储日志系统,硬盘容量≥1000GB;设备配备万兆光口≥8 个;10/100/1000BASE-T≥24 个。网络吞吐量≥30Gbps;IPS吞吐能力≥10Gbps;最大并发数≥400
万;每秒新建连接数≥15万/秒。光模块配置总数≥4 个万兆多模2 重
要指标项
入侵防御
系 统 应 提 供 定 期 自 定 发 送 报 表 功 能 , 通 过 邮 件 将html、doc、xls、CSV 和 pdf格式报表发送给管理员。(要求提供截图证明)要求具备威胁情报系统对接能力,需拥有自主运营且拥有自主知识产权的威胁情报中心平台,能够自主生产、运营威胁情报信息。(提供威胁情报中心软件著作权证书及官网截图证明)
流量可视化
实时流量统计,支持最近 10 分钟、1小时、24小时跨度的流量趋势图、连接趋势图,支持 top10 应用、top10 用户统计,支持流量趋势统计,能够显示过去 24小时的流量趋势(要求提供截图证明)
广州公共资源交易中心编制
56
产品资质及制造商服务能力
要求
制造商获得中国信息安全测评中心颁发的信息安全服务资质证书-
云计算安全类要求制造商在国家信息安全漏洞共享平台(CNVD) 近三年的成员单位工作贡献排名前三。须提供国家信息安全漏洞共享平台网站截图证明。
3 数据展示
支持显示系统最近 1小时、24小时、1周、1 个月的入侵攻击事件趋势图;支持显示系统最近 10 分钟、1小时、24小时的上下行流量趋势、总流量、总流量占比,并支持趋势图和关联用户(要求提供截图证明)支持显示系 统 入侵攻击源地址 TOP10 和 入侵攻击目 的地址TOP10;支持显示系统最近 1小时、24小时、1周、1 个月的入侵攻击事件威胁等级分布。支持实时显示用户流量 TOP10,支持最近 10 分钟、1小时、24
小时跨度的应用统计,统计指标包括:平均速率(上行、下行、双向、双向占比)、实时速率、实时包速率、连接数,并支持一键跳转显示趋势图、关联用户、关联会话(要求提供截图证明)支持显示系统 CPU 使用率趋势图,支持显示系统内存使用率趋势图支持实时显示系统 CPU 使用率、流量内存使用率、系统内存使用率、硬件存储使用率、CPU温度(要求提供截图证明)
4 系统管理 系统内置免配置上线模式,客户可不对设备进行任何设置,就能
广州公共资源交易中心编制
57
够直接串入客户网络,进行入侵检测和阻断保护,降低系统部署的难度。(要求提供截图证明)支持账号自动锁定,支持限制最大失败次数、自动解锁时间;支持限制账号并发登录;包括系统信息、CPU利用率、内存利用率、接口流量、会话查询等显示;支持本地和 NTP 时间同步;支持系统升级、授权升级、特征库升级、恢复出厂设置;支持声音告警方式
5 网络适应性
支持路由 、透明 接 入 、虚拟线、旁路 4 种工 作模式;支持802.1Q、Vlan Trunk、vlan 子接口;支持链路 802.3ad聚合;支持自定义 HA 心跳口和管理接口;可绑定 IP/MAC地址,且可自动探测和做唯一性检查支持取证报文高级报文分析功能。通过系统自身的类 wireshark
分析界面,供使用者和安全专家使用,无须依赖第三方报文分析软件。(要求提供截图证明)支持双机热备、负载均衡、主动共享三种模式;支持将多台设备虚拟成一台设备对外提供服务,集群系统能提供更高的并发和吞吐。
6 基础安全 支持路由模式,至少包括:静态路由、策略路由、ISP 和 OSPF路由协议(要求提供截图证明)支持 对 ACL 策略进行冲突 检测 和冗余 检测 ;可控 制FTP、H.323、H.323GK、TNS、PPTP、MMS、RTSP、SIP、XDMCP
广州公共资源交易中心编制
58
等 ALG,并可自定义;支持静态NAT、动态地址 NAT、网络地址端口转换NAPT
支持通过授权扩展支持对 HTTP、FTP、SMTP、POP3、IMAP协议的文件屏蔽功能,防止文件的下载和传输。支持 VLAN、VoIP 数据流病毒过滤。(要求提供截图证明)支持应用识别、入侵防护、关键字过滤、URL 过滤、AV 等安全模块一次性扫描,系统整体性能几乎不受功能的增加而降低支持入侵防御、防病毒、文件控制、URL 过滤、数据防护、挂马防护、僵尸网络;支持源 IP、目的 IP、源域、目的域、时间、用户、应用。
7 入侵防御 支持基于 IP碎片重组、TCP流重组、会话状态跟踪、应用层协议解码等数据流处理方式的攻击识别;支持模式匹配、异常检测、统计分析,以及抗 IDS/IPS逃逸等多种检测技术。可基于 TCP/ICMP/UDP协议自定义攻击特征,可阻挡蠕虫、木马、间谍软件、广告软件、缓冲区溢出、扫描、非法连接、SQL注入、XSS跨站脚本等多种攻击支持防护 ARP洪水、防护反向 ARP 查询、防护 arp欺骗:防护arp欺骗,广播应答防护、特征检查防护、检查应答、禁止更新缓存;支持防护分片洪水、防护分片洪水、防护分片洪水、防护 ip地址欺骗、防护本地 icmp攻击。防护端口扫描功能;支持类型包括:Fraggle攻击、Smurf攻
广州公共资源交易中心编制
59
击、Land攻击、WinNuke攻击、SYN/FIN扫描攻、Null 扫描攻击、全Xmas扫描攻击、Xmas扫描攻击、ping of death攻击;支持防护 trinoo 工具攻击、防护 tfn 工具攻击、防护 tfn2k 工具攻击、防护 stacheldraht 工具攻击。支持有效查杀木马病毒、蠕虫病毒、宏病毒、脚本病毒;支持过滤邮件病毒、文件病毒、恶意网页代码等;支持多级压缩文件病毒检测;
8 负载均衡
支持端口聚合/链路捆绑协议,并提供手工方式和 LACP两种配置方式。(要求提供截图证明)系统应支持弱口令检测功能,需支持至少 8种网络协议并支持至少 7种弱口令检测元素,(要求提供截图证明)并文字说明支持的网络协议和定义弱口令的检测元素。实时 Top 应用,支持最近 10 分钟、1小时、24小时跨度的应用统计,统计指标包括:平均速率(上行、下行、双向、双向占比)、实时速率、实时包速率、连接数,并支持趋势图、关联用户、关联会话(要求提供截图证明)支持用户和应用的关联分析,能够分析用户的应用使用情况,能够分析使用该应用的用户情况;支持流控策略会话数、上行流量、下行流量、上行报文数、下行报文数。
10 日志管理 支持将日志存储在本地,至少保留用户行为日志 6 个月的要求(此给出的是标准应用参考存储时间);支持按照业务模块分类
广州公共资源交易中心编制
60
存储日志。系统应支持本地日志及 SYSLOG 日志发送,支持向至少 3 个syslog 服务器发送日志。系统应支持 syslog格式修改功能,通过对日志内容裁剪、修改次序,满足用户安全管理平台日志格式要求。(要求提供截图证明)
11 产品资质及制造商服务能力
要求
产品获得公安部网络安全保卫局颁发的《计算机信息系统安全专用产品销售许可证》(三级)产品获得中国网络安全审查技术与认证中心颁发的中国国家信息安全产品认证证书。产品获得中华人民共和国国家版权局颁发的计算机软件著作权登记证书。产品获得国家保密科技测评中心《涉密信息系统产品检测证书》;国家信息安全测评中心颁发的《信息技术产品安全测评证书》,级别为 EAL3+。产品获得 IPv6 Ready Logo 认证证书。产品获得中国信息安全测评中心颁发的《国家信息安全漏洞库兼容性资质证书》制造商需为 CNCERT/CC 网络安全应急服务支撑单位(国家级)制造商需为 CNNVD 一级技术支撑单位要求制造商具备公安部网络安全保卫局颁发的《国家重大活动网络安全保卫技术支持单位》
广州公共资源交易中心编制
61
要求制造商具备中国互联网网络安全治理联盟-成员单位证书;产品具有国际CVE组织产品兼容资质认证证书
4.6. WAF
序号
指标项 技术指标
1 硬件规格
★2U专业机架式硬件设备,系统硬件采用全内置封闭式结构,产品稳定可靠性高,至少具备 6 个 10/100/1000自适应电口(含 2组硬件 BYPASS模块),4 个千兆 SFP插槽,产品至少具备 1 个扩展槽,支持扩展板卡;冗余电源,配置有 USB、console 接口。硬盘容量≥1000GB;网络吞吐量≥5Gbps;http 并发≥50万;http 新建速率≥22000/s。光模块配置总数≥2 个千兆多模
2 重要指标项
网络部署网络部署
产品具备支持镜像分析数据并实现旁路阻断功能,产品具备专门的阻断接口设置(要求提供截图证明)
安全防护 产品具备定时下线功能,能根据日期、工作日、时间等多因素控制网站访问时效(要求提供截图证明)要求具备威胁情报系统对接能力,需拥有自主运营且拥有自主知识产权的威胁情报中心平台,能够自主生产、运营威胁情报信息。(提供威
广州公共资源交易中心编制
62
胁情报中心软件著作权证书及官网截图证明)
产品资质及制造商服务能力
要求
要求具备 APT攻击发现能力,要求制造商具备持续的 APT组织跟踪及 APT事件发现能力,提供至少 10份以上公开发布的 APT 报告作为证明;(提供 APT 报告封面截图及公开发布的互联网 URL链接证明)要求制造商具备 ITSS云计算服务能力(SAAS 服务)标准符合性证书
3 网络部署 产品具备支持透明在线部署,不更改网络或网站配置,即插即用,无需配置 IP地址即可防护产品具备支持旁路流量牵引部署方式,通过 BGP路由牵引和 SNAT
回注方式对流量进行过滤(要求提供截图证明)产品具备支持静态路由、策略路由等路由配置产品支持安装向导式部署,按照该部署方式可直接部署完成;支持NAT环境下的用户识别能力。(要求提供截图证明)产品具备支持 IPv4 和 IPv6双协议栈流量过滤产品具备支持对 SSL(HTTPS)加密会话进行分析产品具备自动学习并构建网站的 URL模型,无需人工干预,支持域名、服务器 IP、端口等信息自动生成产品具备网站锁功能,对网站进行锁定,可按日期、周期进行锁定时
广州公共资源交易中心编制
63
间设置(要求提供截图证明)产品具备自学习网站与防护功自动匹配并启动防御效果产品具备根据网站流量自动生成网站文件和 URL地址的树形结构展示拓扑图(要求提供截图证明)产品具备对 URL、访问次数、响应时间等数据进行统计分析展示(要求提供截图证明)产品具备实时网站流量态势感知监测功能,不需要借助第三方设备就可以对数据分析和展示,并支持全屏效果展示(要求提供截图证明)产品具备源访问区域控制功能,可按照国家、省进行地址访问限制,防止区域性攻击对 Web 网站造成影响(要求提供截图证明)产品具备实时流量趋势展示,提供数据包的接收和发送流量的实时曲线图产品具备实时攻击趋势展示,提供攻击次数效果展示,并用不同颜色表示低、中、高的攻击趋势效果产品具备支持自定义拦截防御页面的标题、页面内容等相关设置项产品具备支持 SQL注入、跨站脚本、防爬虫、扫描器、信息泄露、溢出、协议完整性等至少 7种特征库展示说明产品具备支持 HTTP 协议校验细粒度规则检测,至少提供 20 种HTTP协议校验规则
广州公共资源交易中心编制
64
产品具备对 HTTP协议检验参数提供参数值设置、并提供 3种严重级别分类和至少 5种处理动作设置产品具备独立的防盗链规则,应支持Referer、Cookie检测方式产品具备防跨站请求伪造功能,应支持Get、Post 请求方式产品具备非法上传防护,需支持根据文件类型、MIME类型及真实文件识别等策略参数产品具备非法下载防护,可以根据文件大小、MIME类型,灵活定义下载限制策略,限制用户非法获取网站的关键数据产品具备敏感词防御功能,内置有敏感词库并支持自定义词汇(要求提供截图证明)产品具备 Web恶意扫描防护的检测与防御能力,专利级别防护能力(要求提供截图证明)产品具备支持安全情报中心功能,支持 FTP 或 API 方式进行关联(要求提供截图证明)产品具备业务合规功能,可对业务进行恶意试探、恶意撞库、恶意登录等行为进行检测及拦截(要求提供截图证明)产品具备客户端访问控制功能,预防恶意客户端进行访问频率的多层次恶意访问(要求提供截图证明)产品具备 DDoS防御功能,基于 TCP 和 HTTP 的 DDoS防御类别
广州公共资源交易中心编制
65
(要求提供截图证明)产品具备内置DDoS防御等级设置,支持低、中、高等级自定义设置功能(要求提供截图证明)产品具备 IDP防御功能,并提供 IDP防御特征库,特征库需要提供10种类型并提供至少 10000条 IDP特征库(要求提供截图证明)产品具备 IDP防御策略设置,支持防护等级、处理动作,特征库等多项策略选择(要求提供截图证明)产品具备地域访问控制功能,支持根据国家、中国省会城市等元素进行控制(要求提供截图证明)产品具备发布服务器客户端模式,提供不同域之间的网站服务器文件对比防篡改模式;产品具备网站文件增量更新备份功能,自动进行文件同步更新,无需人工手动操作。
5 综合分析及报表
产品具备 Syslog协议接口,提供字符串和 JSON格式的日志外发功能,并能同时设置 3 个 Syslog 服务器 IP地址产品具备对 CDN、XFF 的 IP地址的日志记录功能,为网站攻击溯源提供技术依据(要求提供截图证明)产品具备访问日志数据分析功能,提供访问源、源地域、访问域名的概况和趋势效果展示(要求提供截图证明)产品备 Web安全事件的报表功能,支持一般的单一条件报表输出、专
广州公共资源交易中心编制
66
业的多维度统计报表输出。(要求提供截图证明)产品具备篡改日志数据分析功能,提供篡改类型、篡改进程、篡改文件的概况和趋势效果展示(要求提供截图证明)
6 统一管理
产品具备三权分立管理,必须有管理员账户、审计管理员、配置管理员产品具备移动终端管理功能,不需要安装 APP 和第三方插件,通过手机浏览器即可管理设备,并可查看设备 CPU、内存使用情况(要求提供截图证明)产品具备移动终端对设备的一键管控功能,提供网站一键下线的终端应急措施(要求提供截图证明)产品具备远程技术支持信息提取,辅助技术支持人员快速排查问题;产品具备升级功能,提供系统、规则库的离线、在线升级方式。
7 系统保障
产品具备双机运行保障机制,支持主/主模式、主/备防护工作模式产品具备软件 bypass功能,当发现系统运行异常时,可手动切换bypass功能,保障网站正常访问产品具备负载保护机制,设置CPU、内存使用率等参数,设备达到峰值时,自动切换 bypass功能
8 产品资质及制造商服务能力
产品具有《计算机信息系统安全专用产品销售许可证》,销售许可证中必须标注“千兆”字样,且销售许可证为 WAF 行标增强级,销售许可证测试中标注的测试标准按照“信息安全技术 Web 应用防火墙安
广州公共资源交易中心编制
67
要求
全技术要求 GA/T 1140-2014(增强级)”。产品获得中国网络安全审查技术与认证中心颁发的中国国家信息安全产品认证证书。产品获得中华人民共和国国家版权局颁发的计算机软件著作权登记证书。产品获得国家信息安全测评中心颁发的《信息技术产品安全测评证书》,级别为 EAL3+。产品获得国家保密科技测评中心《涉密信息系统产品检测证书》;产品获得 IPv6 Ready Logo 认证证书。产品获得中国信息安全测评中心颁发的《国家信息安全漏洞库兼容性资质证书》要求制造商具备公安部网络安全保卫局颁发的《国家重大活动网络安全保卫技术支持单位》;要求制造商具备中国互联网网络安全治理联盟-成员单位证书;产品具有《WEB 应用防火墙认证证书》,须提供证明文件。产品具有国际CVE组织产品兼容资质认证证书;要求制造商在国家信息安全漏洞共享平台(CNVD)的企业单位原创积分排名前三。须提供国家信息安全漏洞共享平台网站截图证明。制造商为互联网安全研究中心的应用安全联盟成员;
广州公共资源交易中心编制
68
4.7. 态势感知平台
序号
指标项 技术指标
1 硬件规格
★厂商需提供满足如下硬件平台资源≥5台:CPU:2颗 10核CPU主频 2.20GHz 以上;内存:256G DDR4 内存。系统盘:960GB 及以上固态硬盘,并提供 Raid 1进行备份。存储盘:48T
企业级 SATA盘(具备至少 6 个月的数据存储能力);网卡:4 个千兆电口及 2 个万兆光口;电源:冗余电源,采用分布式处理框架,整体处理性能要求达≥50000EPS;集群支持百亿级日志秒级查询。要求安全日志存储时间不低于 180 天。流量处理性能≥10Gbps;光模块配置总数 4 个万兆多模
2 重要指标项
外部威胁感知
所投产品必须能够协同云端自主运营的威胁情报中心,实时提供威胁情报预警。(提供威胁情报中心平台软件著作权证书、网站URL 及官网截图证明)
潜伏威胁感知
C&C命令控制行为监测:支持C&C安全事件统计和列表,安全事件包括僵尸命令&控制服务器会话连接,僵尸主机尝试CC活动,僵尸感染主机成功完成 CC 通信行为,可疑的轻量长连接(要求提供截图证明)
网络感知功 支持主动探查方式进行资产扫描发现,主要包括以下功能: 广州公共资源交易中心编制
69
能资产扫描方式:支持 TCP、UDP、ICMP扫描,支持指定端口扫描。(要求提供截图证明)
流量采集与分析功能
支持接入并管理日志采集器、流量采集器,可支持第三方采集器接入;(要求提供截图证明)
资产感知功能
支持主动探查方式进行资产扫描发现,主要包括以下功能:资产扫描方式:支持 TCP、UDP、ICMP扫描,支持指定端口扫描。(要求提供截图证明)
协议解析
支持Web访问流量日志采集提取,支持解析、生成及外发 Web访问日志;包括:传感器序列号、日志生成时间、源 ip、源端口、目的ip、目的端口、HTTP 请求方法、HTTP包头的 URI 字段、uri_md5
值、host 字段、host_md5值、origin 字段、cookie 字段、ser-
Agent 字段、referer 字段、链接来源、原始数据、http状态码、Content类型等字段;(要求提供截图证明))
调查取证功能
支持取证功能:支持规则触发告警的追溯取证,可下载到原始pcap包(要求提供截图证明)
检索中心功能
支持通过创建调查任务对威胁事件和可疑事件进行调查分析,调查任务中可添加:日志数据、告警数据、漏洞数据、配置核查数据、自定义富文本数据等。(要求提供截图证明)
策略 支持与本项目中上网行为管理系统、出口防火墙产品进行联动处
广州公共资源交易中心编制
70
置,当发现失陷主机、恶意域名等威胁事件后,可以及时给联动设备下发阻断或告警的安全防护策略动作且防护策略支持对生效时长的配置,支持的联动处置消息类型包括 IPv4地址、IPv6地址、URL、域名,遏制威胁事态升级;(要求提供截图证明)
产品资质及制造商服务
能力要求
要求制造商在国家信息安全漏洞共享平台(CNVD) 近三年的成员单位工作贡献排名前三。须提供国家信息安全漏洞共享平台网站截图证明。要求具备 APT攻击发现能力,要求制造商具备持续的 APT组织跟踪及 APT事件发现能力,提供至少 10份以上公开发布的 APT 报告作为证明;(提供 APT 报告封面截图及公开发布的互联网 URL链接证明)要求平台具备漏洞情报推送能力,要求制造商具备持续的漏洞情报生产和输出能力,提供制造商自主运营的全国性的漏洞响应平台,累计发现 10万个以上漏洞(提供漏洞响应平台软件著作权证书、网站URL 及能够证明历史挖掘漏洞数的官网截图证明)
制造商获得中国信息安全测评中心颁发的信息安全服务资质证书-云计算安全类
3 部署方式 旁路部署,软硬一体,系统内置管理分析中心和内置 FLOW 采集
器,镜像采集器,无需安装任何其他软件和组件。
广州公共资源交易中心编制
71
支持镜像,分光,FLOW 等多种数据采集方式;
支持按照源区域,目的区域, 源端口,目的端口,应用协议配置报文过滤规则,实现镜像流的采集过滤 支持镜像包采样配置,支持 FLOW 采集的流采样配置(要求提供截图证明)支持流量上下行方向的设定。(要求提供截图证明)
4 采集探针规格 ★厂商需提供 14台处理性能≥3Gbps探针设备:HTTP 并发连接
数≥400万,HTTP 新建连接速率≥15万/秒;2U 标准机架式,冗余电源,专用千兆硬件平台和安全操作系统,6
个电口,可选配 4千兆或 8千兆光口。最大可支持 3G 网络流量的实时接收采集(多路)。光模块配置总数≥4 个千兆多模★厂商需提供 2台处理性能≥7Gbps探针设备:HTTP 并发连接数≥700万,HTTP 新建连接速率≥25万/秒;3U 标准机架式,冗余电源,专用硬件平台和安全操作系统,最大可支持 7G 网络流量的实时接收采集(多路)。6 个电口,4 个光口,2 个万兆光口。配置万兆光模块 4 个★厂商需提供 2台处理性能≥10Gbps探针设备:HTTP 并发连接数≥800万,HTTP 新建连接速率≥30万/秒;3U 标准机架式,冗余电源,专用硬件平台和安全操作系统,最大
广州公共资源交易中心编制
72
可支持 10G 网络流量的实时接收采集(多路)。6 个电口,4 个光口,2 个万兆光口。配置万兆光模块 4 个
55 外部威胁感知
检测高风险流量:境外/区域外通信流量:对境外连接、省际连接、区域外连接进行全面监控,生成地图;检测网络中不安全的TELNET 通信流量;发现隐藏恶意行为的 SMB流量;DNS异常分析:通过内置机器学习算法发现 DNS隧道,实现 DNS
异常行为分析威胁情报:从恶意DN,URL,EMAIL,IP 威胁情报信息来进行威胁预警,给出疑似恶意域名预警,疑似恶意 IP 预警,疑似恶意EMAIL 预警,疑似恶意URL 预警,情报来源包括开源情报,内部情报。支持DDOS攻击的异常缓解,将异常流量牵引到清洗设备上进行异常流量清洗,支持与同品牌的流量清洗 guard 设备进行联动(要求提供截图证明)
66 潜伏威胁感知 支持内网中失陷主机分析与取证。
支持失陷主机列表分析,列表字段包括问题设备,区域,攻击方式,确定度指标,威胁度指标,处理状态和详情。支持支持主机失陷状态迁移图查看以及失陷主机的资产详情:资产详情包括所属区域,主机名称,设备类型,所属区域等
广州公共资源交易中心编制
73
支持对失陷主机的取证,根据安全事件类型对失陷主机给出处置建议(要求提供截图证明)支持潜伏威胁安全事件分析,包括嗅探行为监测,入侵行为监测,C&C控制行为监测,威胁横向扩散以及可疑数据的外发监测嗅探行为监测:支持扫描事件的统计与列表展示,安全事件包括基于 tcp/udp 端口扫描,基于 tcp/udp 的主机扫描告警,ping扫描,stealth主机扫描,(要求提供截图证明)利用行为监测:支持入侵利用事件统计与列表,安全事件包括外连SMB 会话:.暴力登陆(FTP暴力破解,WEB 暴力破解,MYSQL
暴力破解等),扫描后建立双向会话的行为威胁横向扩散行为监测:支持拓扑展示威胁在内网的扩散情况,包括蠕虫传播,蠕虫活动(要求提供截图证明)可疑数据外传监测:支持可疑数据外传的安全事件统计与外传事件列表,包括 Icmp隧道,可疑数据囤积,DNS隧道,数据外发事件
77 流量采集与分
析功能支持端口镜像与被动接收两种采集方式;被动接收支持NetFlow、NetStream、Sflow 和 jflow 的采集。支持多种应用协议的解析并范式化为应用协议日志,包括HTTP,DNS,FTP,SMTP,POP3,TELNET,LDAP,TDS,SMB 等。(要求提供截图证明)
广州公共资源交易中心编制
74
采集器采用 B/S架构设计,有独立的管理界面,通过浏览器可以登录到采集器上进行查看和配置,能够对当前采集器进行配置,能够监视采集器所在服务器的运行状况、设置采集器的时钟同步服务器。(要求提供截图证明)支持从全网到关键业务区域到特定业务主机逐层细粒度精细化流量分析发现带宽占用症结:占用网络带宽的 TOP地址、TOP 应用,可定位到具体的时间,具体区域,具体 IP,具体使用责任人
8 资产感知功能 资产发现,建立资产基线,具备资产发现功能,资产 IP库自学习与变化预警:在设置资产 IP基线学习周期内,全面监控管理区域的在线设备,形成用户正常业务周期内的资产库白名单。自动发现管理域内的设备接入行为,触发预警,上报设备的 IP 地址。支持资产信息补全:资产属性包括资产类型(主机,工控设备,网络设备,安全设备,应用系统等),主机名称,区域,地理位置支持资产列表,字段包括 IP地址,区域,主机名称,资产类型,厂商,型号,版本,联系人,购置日期,质保日期,最近出现时间,当前流速,总流量。支持主机画像功能:可刻画主机的告警,流量基线,访问端口,访
广州公共资源交易中心编制
75
问关系(进出),开放服务端口(要求提供截图证明)支持资产概览,呈现资产会话分析,网段资产分布,资产数量监控,新发现资产的告警趋势和告警列表。
99 行为拓扑监控
功能支持行为拓扑监控视图:以拓扑视图的方式可视化整网或指定区域的数据行为的合规,违规关系:点击区域,则下钻到区域内部 IP 之间的连接行为关系和此区域内部 IP 和其他区域的连接关系。将鼠标的焦点放在节点之间的连线上,可以查看数据总流量,流速,网络协议,应用协议。(要求提供截图证明)不同连线颜色代表不同行为,绿色代表合规行为,红色代表违规操作。黄色代表待确认,拓扑视图中节点与连线均支持钻取,绿色连线可钻取对应的合规行为的会话连接详情;黄色连线获取到交互对应的会话具体信息列表,同时会话可下载具体的 pcap包信息;红色连线可钻取到对应的告警统计列表,并支持继续下钻到原始告警,追溯到事件列表,下载对应的 pcap 报文(要求提供截图证明);节点支持拖拽,双击节点可查看此主机的基本信息,网络协议统计,应用协议统计,会话分析,会话列表,指令信息统计,指令信息列表(要求提供截图证明);拓扑视图支持查询过滤并保存,从而方便下次查询。通过源地址,
广州公共资源交易中心编制
76
目的地址,网络协议,应用协议,行为状态(合规,违规,待确认),流量大小,流速大小进行查询和过滤;拓扑可支持时间轴方式查看历史拓扑,时间轴的粒度为当天 24小时,一周,一个月,二个月,半年,自定义。当天 24小时可查看每小时的拓扑行为视图;周月年的时间粒度,可以查看每天的拓扑行为视图。也可以查看任意时间段(最小粒度为小时)的行为拓扑(要求提供截图证明)。
10 调查取证功能支持安全事件的调查分析功能:支持安全事件的危害说明与安全处置建议(要求提供截图证明)
11 检索中心功能提供会话连接日志,安全事件日志,应用协议日志的检索功能能够基于流量属性字段进行条件查询,或选用已有过滤器进行条件查询或追溯,支持实时查询和历史查询
12 策略 支持基于特征检测的蠕虫事件:Code Red,硬盘杀手,冲击波,SQL Slammer,震荡波,UDP Fragment Flood,私有 IP异常,DarkIP 异常等支持合规行为策略:支持根据源目的 IP(段),源目的端口,网络协议,应用协议,时间,Bps,Pps 来设置合规规则支持违规行为策略:支持链路层(源目的 MAC 地址),网络层(五元组,发送流量,接收流量,发收比率,Tos 等),传输层(源
广州公共资源交易中心编制
77
目的端口,协议),应用协议(DNS 域名,HTTP 协议的请求内容,解析内容,响应,MAIL 的发送方,接收方,邮件主题等字段)设置关联分析,支持逻辑关联,统计关联,多事件关联。
13 界面
页面展示全网流量态势,支持网络访问图,业务关系图,网络攻击图,并支持页面元素的下钻具体说明:网络访问图可展示包括全网平均流速,全网平均包长,活跃 IP 数,活跃端口数,流量采集趋势图,应用协议分布TOP5,7*24小时流量大小雷达图,网络访问列表与地图跃迁图,应用协议时间趋势图,已知资产数,未知资产数,活跃端口数,活跃协议数。当前资产会话桑基图,当前业务区域流量分布图。网络攻击图包括违规策略高级和基线策略告警,支持攻击列表,24
小时的攻击类型分布 TOP5,24小时攻击数量趋势图。业务关系图展示当前客户端与服务器访问连接图 TOP20
网络攻击图,业务关系图,访问关系图可在一个页面进行切换。14 报表报告 支持报表报告的导出,导出的格式支持
EXCEL、PDF、WORD 、PNG 、HTML 、RTF 等,支持 Office 2007格式;支持可将多个报表自动合成一个报告,可以输入报告描述。支持流量趋势报表: L7协议趋势报表,流量趋势报表,地址趋势报表,自治域趋势报表,流量统计报表支持:TOP10_L4协议统计报表,TOP10_L7协议统计报表,TOP10地址统计报表,TOP10自治域统计报表,
广州公共资源交易中心编制
78
支持告警趋势报表与告警统计报表:
15 系统
支持数据代理接口:syslog 或 SNMP TRAP 转发告警日志,系统日志支持多种诊断工具:PING,SNMP,抓包分析支持多种系统资源:地址资源,端口资源,时间资源,指令功能码,自定义资源(要求提供截图证明)支持存储策略配置:支持全流量存储,支持根据 IP,端口信息条件设定存储原始报文
16 节点管理支持对分布式流量采集器,分布式 CDN 存储节点(可选),AC 资产采集器(可选)进行统一管理;自带本地流采集器。
17
产品资质及制造商服务能力
要求
产品须获得中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》;产品须具有《计算机软件著作权登记证书》;产品须具有中国信息安全测评中心《信息技术产品安全测评证书》EAL3+级;产品获得国家保密科技测评中心《涉密信息系统产品检测证书》;产品具备 IPv6 Ready Logo 认证证书
4.8. 上网行为管理
广州公共资源交易中心编制
79
序号
指标项 技术指标
1 硬件规格
采用国际先进的多核处理器硬件架构及多核并行处理系统,2U硬件,标配 4SFP+万兆口+8GE千兆电口+8SFP千兆光口,1T硬盘,交流冗余电源。光模块配置总数≥4 个万兆多模设备支持软硬件 Bypass,设备断电或出现故障时保障业务链路的正常运行。(要求提供设备面板图片证明)
2
重要指标项
安全管理
支持与云端杀毒平台联动,对网络中传输的文件进行特征比对,以便减少对本地计算资源的消耗。(要求提供截图证明)支持通过恶意软件特征检测方式识别失陷主机并记录日志;(要求提供截图证明)
产品资质及制造商服务能力要求
制造商获得中国信息安全测评中心颁发的信息安全服务资质证书-云计算安全类
要求制造商具备 ITSS云计算服务能力(SAAS 服务)标准符合性证书
3 性能要求★吞吐量≥10Gbps,支持用户数 16000 人,最大并发连接数为 1000
万;最大新建连接数为 75万/秒4 设备部署 设备可部署在网络中提供路由转发和 NAT功能,可连接 ADSL线路
和专线。
广州公共资源交易中心编制
80
设备可连接一条或多条镜像线路,获取网络信息,进行行为分析和审计。设备支持静态路由、策略路由、动态路由、ISP路由;策略路由支持七元组策略;动态路由支持RIP、OSPF 等。(要求提供截图证明)
5 系统监控
可支持应用、用户流量统计,应用流量支持趋势图、饼状图呈现,可查看某一应用的流量趋势图和其 Top流量用户。(要求提供截图证明)能够实时提供产品 CPU、内存、磁盘使用率、网口状态、授权状态、系统情况等信息。能够实时提供在线用户趋势、设备流速趋势、用户流量排名、应用流量排名、用户实时流量和应用实时流量等信息。可监控到设备运行的天数,确保设备中间无重启,无宕机;可监控到当前在线的用户信息并支持强制下线。
6 安全管理 支持配置病毒查杀策略,检查网络中传输的文件是否是病毒,支持记录日志、病毒过滤支持基于云端大数据安全平台,对恶意URL访问进行封堵和记录日志。支持与威胁情报大数据平台对接,能够快速识别、封堵失陷主机、记录日志。至少支持拦截对外部威胁 IP 的访问请求和阻塞失陷主机 IP两种控制
广州公共资源交易中心编制
81
策略。阻塞后支持向用户推送威胁情报阻塞提示页面。
7 应用管理
应用协议库包含的应用数量不低于 7100种,应用规则总数不低于30000种。可以对下载工具、视频播放、网络游戏、金融理财、即时消息、移动应用有独立的分类进行识别控制。为覆盖工作无关应用,移动应用不少于 1000种,即时消息应不低于150种,虚拟货币交易平台不低于 40种;为规避外发类风险,论坛发帖应不低于 3000种,网络存储不低于100种,代理隧道不低于 100种。设备内置常用应用标签,分类至少包含内容外发风险、期货行业合规、证券行业合规、高安全风险、影响工作效率、消耗带宽 6大类;支持独立的网安应用行为审计策略,支持基于用户、时间、位置、工具进行策略设置。
8 网页管理 提供智能策略分析功能,支持策略命中分析、策略冗余分析、策略冲突检查,并可在 WEB界面显示检测结果;支持实时和周期性对所有安全策略进行分析。 (要求提供截图证明)不同网页被阻塞后会跳转不同的阻塞页面;支持用户完全自定义对网站的发帖正文关键字进行管理,一条策略可同时实现控制、记录、告警、便于维护管理;
广州公共资源交易中心编制
82
支持基于用户、时间、网站分类或具体网站和搜索关键字推送广告。广告页面支持自定义和设置推送频率。
9 协议审计
通过 HTTPS 审计功能,可以针对网站分类、证书颁发者、证书所有者、证书有效期等进行审计,加以控制通过设置 FTP 审计策略对使用 ftp 的用户、位置、命令、文件名/目录名进行审计和控制通过设置 telnet策略,对使用 Telnet 的用户、位置、登录名、命令等,实现对 telnet 使用的控制和审计通过 DNS 审计策略对 DNS 通信内容进行审计和控制通过 SNMP 审计策略对 SNMP 通信内容进行审计和控制通过 NFS 审计策略对 NFS访问和传输文件进行审计和控制通过 NETBIOS 审计策略对 NETBIOS 通信、登录名及文件、目录进行审计和控制
10 流量管理 支持多级虚拟通道,可以将物理带宽分成至少 7级虚拟通道,合理分配物理带宽资源支持基于用户、时间、应用、源 IP、目的 IP 和服务创建流量控制策略支持在设置流量策略后,可根据整体线路空闲情况,允许流量通道内的流量突破策略上限,以提升带宽的高使用率;空闲值可自定义可以限制 P2P、视频等大流量应用的最大带宽上限,减少带宽的浪费
广州公共资源交易中心编制
83
可以设定 OA、邮件、视频会议的基本带宽保障,保障关键应用必要的带宽资源可以根据用户平均分配虚拟通道内的带宽资源,使每个用户平均分配带宽,公平访问避免资源浪费。支持基于连接数进行流量管理,可以每个人的并发/新建连接数量进行控制
11 共享接入
可识别网络中的私接路由或共享wifi 的网络行为并配置阻塞策略可基于源 IP、用户、位置、终端台数、PC台数、移动台数、阻塞时间和动作,配置多条共享接入策略支持显示被监控和阻塞用户的详细列表,应包含 IP、用户、设备总数、PC 数量、移动终端数量、发现时间、阻塞类型、阻塞原因、阻塞时长、匹配策略等信息支持配置禁用 PC热点开启功能。禁用时 PC仍可以使用网络,但是无法通过随身wifi 或笔记本自带功能创建热点。
12 系统管理 系统管理员外部方式认证方式,外部认证服务器故障可以切换为本地认证(要求提供截图证明)支持管理员账号初始密码检测,如果发现管理员未更改初始密码,能够进行提醒内网资产监控,可对终端风险级别、操作系统、浏览器类型、应用、杀毒
广州公共资源交易中心编制
84
软件等方面进行监控(要求提供截图证明)日志中心支持选择Oracle 数据库,访问日志中心数据必须采用 https
加密方式访问,避免传输过程被窃取。支持厂商工程师在线的远程协助和故障排查,设备界面提供远程协助开关
13
产品资质及制造商服务能力
要求
产品获得公安部网络安全保卫局颁发的《互联网公共上网服务场所信息安全管理系统》销售许可证书,并提供检测报告。产品获得中国网络安全审查技术与认证中心颁发的中国国家信息安全产品认证证书。产品获得 IPv6 Ready Logo测试认证证书。产品获得国家信息安全测评中心颁发的《信息技术产品安全测评证书》,级别为 EAL3+。要求制造商具备公安部网络安全保卫局颁发的《国家重大活动网络安全保卫技术支持单位》;要求制造商在国家信息安全漏洞共享平台(CNVD)的企业单位原创积分排名前三。须提供国家信息安全漏洞共享平台网站截图证明。产品获得中华人民共和国国家版权局颁发的计算机软件著作权登记证书。
广州公共资源交易中心编制
85
4.9. 综合日志审计设备
序号
指标项 技术指标
1 硬件规格
★要求具备≥2颗 10核 CPU;内存:256G DDR4 内存;并提供Raid 1进行备份;48T 企业级 SATA盘;网卡:4 个千兆电口及 2
个万兆光口;电源:冗余电源采用分布式处理框架,具备与本项目态势感知平台的日志采集分析节点参与日志分析计算。要求不低于 10000EPS 日志处理能力,支持百亿级日志秒级查询。支持≥500 个审计对象,日志存储空间≥32TB,光模块配置总数≥4 个万兆多模
2 重要指标项
日志采集及分析日志采集及
分析
日志接入支持界面交互式配置,简化日志接入复杂度,通过图形化界面配置日志解析条件 ,利用 正 则表达 式 、 分隔符 、 Key-
Value、JSON 等方法定义解析规则,实现灵活的日志格式范式化,系统自动生成解析规则,无需通过代码编写解析规则;(要求提供截图证明)支持自定义日志类型功能,可在线对其字段信息、存储类型、存储时间、分区方式、位置等基础属性信息进行配置,从而达到分类存储日志的目的;(要求提供截图证明)
广州公共资源交易中心编制
86
日志搜索支持和冷数据/热数据的手动和自动选择方式。(要求提供截图证明)
产品资质
要求具备 APT攻击发现能力,要求制造商具备持续的 APT组织跟踪及 APT事件发现能力,提供至少 10份以上公开发布的 APT 报告作为证明;(提供 APT 报告封面截图及公开发布的互联网 URL链接证明)制造商为互联网安全研究中心的应用安全联盟成员;
3 日志采集及分析
提 供 Syslog 、 SNMP
Trap、Netflow、JDBC、WMI、FTP、SFTP、agent 等采集方式;支持对网络设备、主机系统等安全日志、网络流量以及业务信息等多种数据源的采集;提供信息预处理功能,可以通过简捷配置相关解析规则、过滤规则、富化规则、日志类型,来达到归一化、过滤、丰富、分类日志信息的目的;支持对日志采集器及数据源进行启用、停用操作,来控制是否接收、处理数据;支将日志中的 IP地址、端口、时间等信息进行资源自定义,为规则所引用。(要求提供截图证明)提供日志维护功能,能够自动定时备份采集上来的安全事件(日
广州公共资源交易中心编制
87
志),也支持手动备份与恢复;可设置存储容量告警阈值。(要求提供截图证明)
4 日志搜索
支持对检索结果的两种展现方式全文展示和结构化展示(Key-
Value格式)支持多种逻辑运算和关系运算包含“大于、小于、等于、大于等于、小于等于、and、or”等运算符,帮助用户降低复杂搜索的理解成本支持按照日志分类进行日志筛选和检索,如网络流量日志、安全设备日志、网络设备日志、服务器日志、中间件日志、存储日志、平台日志等日志类型;支持根据“高级检索”结果,自定义统计视图,根据搜索结果进行视图统计,支持多种视图类型“指标卡/柱状图/堆积柱状图/折线图/
条形图/堆积条形图/面积图/堆积面积图/饼图/玫瑰图/词云图/散点图等;
5 产品资质产品获得中华人民共和国国家版权局颁发的计算机软件著作权登记证书。
4.10. 抗DDOS
序号
指标项 技术指标
广州公共资源交易中心编制
88
1 硬件参数
★≤2U专业机架式硬件设备,系统硬件采用全内置封闭式结构,产品稳定可靠性高;至少具备 4 个 10/100/1000自适应电口和 4 个千兆 SFP插槽复用接口、6 个万兆 SFP+插槽;产品支持模块化硬件规格设计,支持 1 个扩展插槽,提供模块化产品;设备采用冗余电源,配置有 USB、console 接口。配置独立的 DDoS检测和清洗功能,光模块配置总数≥4 个万兆多模
2
重要指标项
攻击防护
产品需支持HTTPS 业务防护功能,包含但不限 ClientHello 合法性和异常协商验证等算法,需要支持证书解密验证防御算法;产品需支持端口联动验证功能,在遭受应用层攻击,业务端口防御不佳时,可采用其它端口进行验证联动(要求提供截图证明)
状态与分析系统
产品需支持全国(世界)地理位置的攻击实时效果展示效果(要求提供截图证明)产品需支持自动抓包取证功能,在防护对象受到攻击时,系统能够自动进行报文捕捉和归档,事后可下载,进行分析取证(要求提供截图证明)
产品资质及制造商服务
能力要求
要求制造商具备 ITSS云计算服务能力(SAAS 服务)标准符合性证书。制造商获得中国信息安全测评中心颁发的信息安全服务资质证书-
云计算安全类
广州公共资源交易中心编制
89
3 性能指标设备 64 字节小包清洗能力不低于 1487万/pps,攻击清洗能力不低于 10G;设备主机防护数量不低于 100万/个;设备新建连接数不低于 40万/秒;设备并发连接数不低于 1500万。
4 网络部署
产品需支持 IPv4/IPv6双协议栈;产品需支持串联部署方式,实现网络隐身效果;产品需支持旁路部署方式,提供流量牵引过滤效果。产品需支持集群部署方式,可通过集群扩容达到抵御大流量攻击效果;产品需支持静态和动态牵引方式,并且支持BGP、OSPF、RIP、IS-IS 等多种路由协议产品需支持二层回注、三层回注、GRE 回注、MPLS LSP 回注、MPLS
VPN 回注等多种回注方式5 攻击防护 产品需支持流量控制功能,可以选择攻击防御模式和透明直通模式
产品需支持对欺骗与非欺骗的 TCP (SYN, SYN-ACK, ACK, FIN,
fragments) 、UDP (random port floods, fragments)、ICMP
(unreachable, echo, fragments)、Frag Flood 及混合类型攻击的防护产品需支持针对 UDP53、TCP53 及 DNS 提供专用的 DNS Query
Flood防护手段产品需支持流量访问控制功能,能够基于“数据内容长度”、“数
广州公共资源交易中心编制
90
据内容字符”、“源目 IP”、“协议类型”、“源目端口”、“TCP
Flags”和“TCP Windows size”等条件组合使用,并且能够输出匹配日志和自动加入屏蔽列表产品需支持针对 HTTP 攻击、CC 应用层攻击必须提供如下防护手段:连接缓存、屏蔽HTTP代理、屏蔽搜索引擎、源 IP连接数限制、源 IP 新建连接速率限制、源 IP GET 请求速率限制、源 IP POST 请求速率限制、源 IP OTHER 请求速率限制。(要求提供截图证明)产品需支持防御UDP Flood攻击:必须提供 2层防护,要求包括UDP防御阈值设置以及丢弃UDP碎片。(要求提供截图证明)。
6 状态与分析系统
产品需支持实时攻击流量态势展示功能,不需要借助第三方设备就可以对数据分析和展示,并支持全屏效果展示产品需提供攻击事件和攻击详情。提供攻击源 IP、被攻击 IP、防护域、攻击类型、攻击事件、总流量、攻击流量、峰值流量等信息;支持按被攻击 IP、防护域、攻击时间等查询特定的攻击事件;支持导出DOC、EXCEL、PDF、HTML、RTF格式的攻击事件和攻击详情。(要求提供截图证明)产品需支持攻击源、源地域、目标服务器的 TOP 数据展示;产品需支持实时流量趋势展示,提供发送流量与接收流量展示;产品需支持实时攻击趋势展示,提供攻击类型、攻击趋势数据展示
广州公共资源交易中心编制
91
产品需支持主机状态监控功能,以列表形式展示所有(非 TOP 或部分)防御对象的实时数据(包含进出方向流量值、报文数、各类型报文频率和连接数),以便于全视所有 IP 的流量动态产品需支持域名黑白名单功能,用于控制访问数据中域名的合法性(可选择域名访问审计、IP访问审计、默认拦截和放行等控制模式),需要支持以列表形式展示,便于快速添加、修改和查询产品需支持 IP黑白名单功能,需要支持以列表形式展示,可快速添加、修改和查询,非高级ACL 等复杂方式产品需支持手动抓包取证功能,支持Mac地址、源目 IP地址、协议、设备接口和采样比等方式作为抓包条件进行有选择性抓取需要的报文产品需支持基于源 IP、目的 IP、源端口、目的端口、协议的五元组抓包功能;必须支持对输入滤前/滤后、输出滤前/滤后、输入拦截、输出拦截、双向滤前、双向滤后、双向拦截等条件抓取指定数据包,指定抓包数量和抓包比例。(要求提供截图证明)
产品需支持历史连接数据查询功能,能够查询所有 IP地址分钟、小时、每日的输入、输出连接数等历史数据(具体值,非图型),并且支持以时间范围和连接值范围作为过滤条件进行筛选产品需支持历史负载数据查询功能,能够查询CPU 和内存分钟、小
广州公共资源交易中心编制
92
时、每日的最大负载历史数据(具体值,非图型),并且支持以时间范围和负载百分值范围作为过滤条件进行筛选产品需支持报表自动同步功能,具备时、日、周和月等不同的同步周期;同步方式需要包含邮件和 TFTP两种模式产品需支持数据报告功能并提供下载Word格式,下载后可根据自己需求进行二次修订
7 设备管理
产品需支持攻击事件记录功能,记录需包含攻击源地址、源端口、目的地址、目的端口、开始时间、结束时间、持续时间、攻击类型、高层协议、当前状态、最大流量和报文档案等信息产品需支持针对防御主机 IP 能够进行流量排名、链接排名、攻击状态筛选等功能产品需支持攻击时自动邮件告警功能,邮件信息需要包含攻击源地址、目的地址、目的端口、开始时间等信息产品需支持GEOIP功能,针对特定国家或区域的 IP批量执行拦截、放行或防护等操作,有效阻止境外 IP 发起的攻击。支持 IP地理位置库升级。(要求提供截图证明)产品需支持Radius外部认证协议,进行登录认证
8 产品资质及制造商服务能力
产品获得公安部网络安全保卫局颁发的《计算机信息系统安全专用产品销售许可证》
广州公共资源交易中心编制
93
要求
制造商获得中国信息安全测评中心-信息安全服务资质证书-安全工程三级。产品获得中华人民共和国国家版权局颁发的计算机软件著作权登记证书。产品获得 IPv6 Ready Logo测试认证证书。
4.11. 数据泄漏防护系统
序号
指标项 技术指标
重要指标项
1
高级数据窃取行为检测(重要指
标
窃取数据行为归类展示
系统可扩展支持基于 ATT&CK攻击模型进行入侵窃取数据行为的归类及界面展示,能够展现出初始访问、执行、驻点、提权、防护逃逸、凭证获取、发现、横向移动、数据收集、数据外发、C&C
各个阶段攻击者采用的攻击入侵策略与方法,对多种数据窃取及泄漏入侵方式实现高效识别预警;(提供系统功能界面)
2 入侵行为检测
系统可扩展支持精确检测DGA域名攻击、账号滥用、网络钓鱼邮件、矿池远控、横向移动攻击、无文件攻击、木马程序窃取数
据、文件混淆攻击等行为;(提供系统功能界面)
广州公共资源交易中心编制
94
项)
3数据窃取风险连接图谱
系统可扩展支持风险连接会进行描绘,可以在一张连接图上查看攻击风险所涉及的服务器及可能的终端,或者是服务器可能
涉及的风险终端;(提供系统功能界面)
4威胁情报快速查询
系统内置至少五个免费威胁情报平台,可进行在线查询比对,用户可迅速研判攻防形势,提升数据安全防护体系能力;(提
供系统功能界面)
5
网络数据保护(重要指
标项)
高级数据盗取技术
能精确检测DNS隐蔽隧道窃取数据行为,无需对加密隧道解密即可检测,并且可组合终端程序,对窃取行为进行干扰,实
现阻断,实现数据泄漏防护;(提供系统功能界面)。
数据泄漏防护系统管理平台功能要求
6
数据内容识别技术
基础技术
集中管理数据泄漏防护产品模块,支持统一管理网络DLP探针;实现在集中下发数据分类识别规则、不同产品模块数据防泄漏策略;
7 需具备关键词、词典、正则表达式、数据指纹等基础的数据内容识别技术,系统需具备正则表达式规则的验证功能;
广州公共资源交易中心编制
95
8机器学习
需具备基于机器学习和自然语言高级处理技术的智能数据内容识别技术,具备无监督机器学习和人工干预的有监督机器学习功能,满足综合性数据的识别规则提取的需求。支持将聚类结果作为标注样本,提取短句和组合词作为语义特征,训练分类器,自动生成文本分类规则库,亦可人工干预对提取出来的语义特征进行选择,训练分类器,自动生成文本分类规则分词支持短语或长组合词,支持对提取的语义特征(短句和长组合词)进行打分排序,提高人工筛选效率;(提供系统功能界面)
9内置识别规则
系统需具备标准数据内容识别规则库,例如个人信息等,支持内置规则根据行业特性自主添加;
10反向学习
需具备对误报的反向机器学习,提取误报特征,优化数据内容识别准确率;(提供系统功能界面)
11数据分类分级
需支持数据自动分类和分级管理,满足按数据层级管理和防护的需求;
12
数据格式识别
数据格式
支持识别常见的文件类型的内容,包括Office 办公软件(doc、docx、xls、xlsx、ppt、pptx)、Apple 办公软件(Pages、Key、Numbers)、PDF、压缩文件(zip、rar、7z)、txt 等;
13 支持常见图片文件的图片内容进行检查,包括
广州公共资源交易中心编制
96
JPEG、TIF、TIFF、BMP、PNG 等常见图片格式;
14支持通过机器学习识别多种编程代码;支持识别单个大容量的文件内容识别;
15 支持识别多层压缩文件(支持一百层以上)、嵌套文件的内容;16 模糊识别 支持英文识别忽略大小写、支持识别中文繁体字;
17
数据识别策略
支持通过后处理脚本对发现的敏感数据进行进一步校验,提高准确率;
18 支持结构化数据指纹,支持指纹库管理;
19支持非结构化数据指纹,非结构化数据指纹识别依据指纹匹配的百分比(相似度)进行响应,匹配百分比可设置;
20支持各种识别技术任意组合方式、必须出现属性方式、关键字、正则表达式最小出现次数、支持检测算法例外;
21
数据属性识别 支持识别常见的文件类型,包括Office 办公软件(doc、docx、xls、xlsx、ppt、pptx、wps、visio)、Apple 办公软件(Pages、Key、Numbers)、PDF、网络文件、压缩文件(zip、rar、7z)、txt、mpp、vsd 等。对于不带扩展名或修改扩展名的文件,能根据其文件特征识别其文件类型;
22 支持识别加密的 Office类文档、rar、zip、arj压缩包、PDF 文档;23 支持识别图片、多媒体文件、多种绘图文件,支持用户自定义文
广州公共资源交易中心编制
97
件格式、未知文件格式识别; 支持Unicode、GB18030、GBK
编码格式;
24
用户行为分析
点滴式泄漏监测
支持点滴式泄漏规则,可监测一定时间内的累计泄漏情况审计和分析用户风险行为;
24支持对连续少量下载敏感数据、短期快速积累敏感数据行为进行检测;
21用户行为分析
可以按照个人风险象限、个人风险排名、个人风险事件分布、个人事件数据统计等生成以人为中心的详细的风险行为分析报告;
(提供系统功能界面)
22用户意图分析
支持预测及分析具有离职意图、邮件泄漏意图、同部门异常行为意图、大量囤积敏感文件意图等的用户行为,并按照意图可视化呈现风险用户; (提供系统功能界面)
23数据发
现
可视化展现资产和风险分布
按部门、拥有者、终端、分类分级等多维度对数据资产的分布态势进行可视化展现;(提供系统功能界面)
24对数据风险和威胁分布情况智能分析及可视化展示;(提供系统功能界面)
25 策略管理
策略组管理
支持设置策略组,支持对不同产品模块统一或分别下发策略,策略在管理平台上统一管理;
26 策略配 支持针对不同的用户、用户组、不同类别/级别的数据下发不同的
广州公共资源交易中心编制
98
置策略,支持根据网络传输域、指定 IP地址进行策略配置,支持对数据检测次数进行阈值设置,支持配置自动响应策略;
27黑白名单策略
支持对组织机构、用户、用户组、IP、IP段、域名配置黑白名单策略;
28入侵行为检测
系统可扩展支持精确检测HTTP user agent异常、SMB异常连接、异常流量激增行为、异常连接激增行为、C&C 心跳连接等异常行为;(提供系统功能界面)
29
识别重要 IT 资
产
系统可扩展支持通过分析用户资产设备的流量行为特征,识别资产中多种类型服务器,服务器类型包括:DNS 服务器、SMB
服务器、FTP 服务器、HTTP 服务器、DB 服务器、LDAP 服务器、远程控制服务器等;(提供系统功能界面)
30事件管
理事件管
理支持所有模块的风险事件、日志统一管理,支持事件按类别管理;
31事件查询
支持事件列表查看,可对事件严重度、组织机构、触发策略、涉及分类等进行事件过滤查看。支持高级查询条件,包括事件 ID、组织机构、用户、策略、数据分级、数据分类、命中规则、响应动作、敏感内容等组合查询;
32 事件后处理
支持根据预设的策略标准对违规事件的严重等级进行划分,支持通过修改事件状态和指定责任人完成事件的处理跟踪,支持
广州公共资源交易中心编制
99
添加事件批注和修改严重度。网络数据泄漏防护(网络DLP)功能要求
33
网络数据保护
性能支持
★标准 1U 机架式设备,CPU*2,每颗配置不低于 2.1 GHz,不低于 8核 16线程;不低于 32GB 内存,磁盘空间≥2TB,大于等于 2千兆网卡,大于等于 2 个万兆 SPF光口(配 4 个光模块);处理流量授权≥500MB;
34考虑后续流量扩展,单台网络DLP 设备处理网络流量性能不低于 1GB;
35 千万级事件查询详情延时不超过 5秒;36 网络协
议支持支持常见的 HTTP、FTP、SMTP、POP3、IMAP协议解析;
37 支持网络共享协议(SMB)解析;
38网络流量抓取
支持全流量、单向上行流量、上下行流量抓取;
39
网络发送内容监控
支持对通过网络上传的附件和外发的内容进行扫描和监控;
40
网络外发流量监控
支持识别网络外发目的地、目标地址、地区坐标;
广州公共资源交易中心编制
100
三、 非功能性要求1、要求提供针对互联网出口流量(不限于管理区)的流量精细化管理技术方案,方案
须符合采购人实际运维及管理需求。2、要求投标人提供针对电子政务外网所承载的业务安全保障方案,方案重点说明针对
现网实现灵活业务编排的“纵横向”流量安全保障。3、要求投标人合同签订前提供所投产品原厂商出具的原厂授权函及售后服务承诺函,
并提供原厂 5年免费上门保修。4、原型演示及答辩要求1)本项目由有效投标人于评标过程中进行功能原型演示及答辩,请投标人自行准备
相关文件。2)授权委托代理人须凭身份证原件参加原型演示及答辩,参加人数一般不超过 3人
(含授权委托代理人在内)。3)如演示、答辩过程中需要用到电脑等设备,请投标人自带,评标现场仅提供电源和
投影设备。演示、答辩时间约 15分钟。
四、 系统集成与服务需求 广州公共资源交易中心编制
101
1.系统部署
1)必须把握本项目工程总体要求,对信息安全系统建设具有完整的思路,并在具体
实施过程中接受招标人、监理单位的监督和指导,按照国家相关标准提交规范化的各阶段
项目文档,保障整个工程建设有序、稳步推进,实现整个项目的建设目标。2)协调、对接各厂商(硬件、系统软件等生产厂商)的实施工作,协助招标人监督各
厂商的工作情况和完成对各厂商实施工作的进度质量考核。3)根据系统详细设计方案具体负责组织和协调本项目所有硬件、系统软件的安装部署
联调、调优、测试、验收等工作。
2.系统测试及联调
除了设备单机测试及系统联网测试,投标人需充分考虑到本期建设的安全体系与其他
平台之间的相关性及业务之间的平滑连接需求,提供与其他平台之间的联调测试方案,构
成一个完整的信息系统安全保障体系。
3.项目实施组织
为使项目建设按质、按量、按时及有序实施,投标人对本项目必须有一个完善和稳定的
广州公共资源交易中心编制
102
管理组织机构。在项目负责人员方面,必须包括一名项目经理、一名有大型网络信息安全项目建设经
验的技术主管。在建设期内,项目管理负责人、技术负责人应长驻广州,并在接到用方通知后 1小时
内到达业主现场处理问题或交流情况。本项目的项目负责人,技术负责人必须具体负责项目的实施,投标人如中途更换项目
负责人,技术负责人,必须征得用户同意。在项目组人员构成方面,必须配备如下几类人员:1)项目经理2)技术主管3)技术工程师4)测试人员5)系统实施人员6)文档管理和维护人员7) 各设备厂商原厂技术工程师以上人员和资质要求是最基本的要求,投标人应给出具体的人员安排说明并提供相关
广州公共资源交易中心编制
103
人员资质证明材料。制定科学、合理的项目实施计划进度和实施方案。
4.驻场服务及应急响应要求
中标人负责本项目全部软硬件产品五年的保修及系统软件升级服务,设备保修及软件
升级等期限从整个工程终验完成时开始计时。为保障项目质量,投标人需承诺在运维期第
一年派驻一名安全工程师在采购人指定地点驻场提供服务,提供 5*8小时的驻场服务,提
供持续的安全服务;并且中标人应配有较强的二线技术队伍,提供 365天 7*24小时的技
术服务热线服务,设备发生故障后需在半小时内响应,远程无法解决的 2小时上门,4小
时内解决问题,如短时间内无法解决需在限定解决时间内提供替换备机。投标人对于运维期间可能出现的安全问题要有前瞻性的解决方案,针对可能发生的安
全事件场景,要提供应急响应方案。
5.定期巡检及安全分析报告要求
在运维期间中标人应提供每季度对安全设备进行全面巡检的服务,对设备硬件状态和
安全装备进行全面检查,并及时向采购人提交安全分析报告。
广州公共资源交易中心编制
104
6.其他改进性建议或服务
投标人提供的对项目质量、建设成果其他的改进性建议或服务。五、 设备安装、测试和验收要求
(一)设备安装要求 中标供应商必须向采购人提供本项目采购的所有硬件的安装和维护服务的全部内容,
并在需要的时候配合设备使用单位完成整个系统的联调工作。若本项目采购的设备产品等
方面的配置或要求中出现不合理或不完整的问题时,中标人有责任和义务在投标文件中提
出补充修改方案并征得采购人同意后付诸实施。对投标人要求:1.要求投标人应具有良好信誉和相关实力的技术队伍。2.投标人应本着认真负责态度,组织技术队伍,做好项目的整体方案,并书面提出长
期保修、维护、服务以及今后技术支持的措施计划和承诺。3.安装调试在设备到货后 3个工作日内开始进行。4.所有设备均须由中标人送达用户指定地点并安装调试。用户不再支付任何费用。5.自系统安装工作一开始,中标供应商应允许采购单位的工作人员一起参与系统的安
装、测试、诊断工作等各项工作,并及时沟通解决项目进行中出现的问题。
广州公共资源交易中心编制
105
(二)项目实施要求 1. 中标供应商负责将本项目采购的所有设备进行项目系统集成,包括设备的验收、系
统的安装、调试等方面工作。2.在正式签订合同后,中标供应商应对项目进行需求分析及询得用户确认,在 90天
内完成系统安装、调试和初步验收工作。制定详细可行的项目实施计划并得到用户认可,指
定系统集成的项目负责人,做好项目实施过程需提交相关的文档,包括施工方案,用户使
用手册,验收文档等工作。3.项目实施中,应确保不影响在用的业务的正常运行。项目完成后,保证各业务能正
常运行。(三)项目设备检验及测试要求 1.开箱检验要求 a.所有设备、器材在开箱时必须完好,无破损。配置与装箱单相符。数量、质量及性能不
低于合同要求。b.拆箱后,投标人应对其全部产品、零件、配件、用户许可证书、资料、介质造册登记,
并与装箱单对比,如有出入应立即书面记录,由供货商解决,如影响安装则按合同有关条
款处理。登记册作为验收文档之一。 广州公共资源交易中心编制
106
2.测试要求 a.单项测试:单项产品安装完成后,由中标供应商进行产品自身性能的测试。设备通
电测试应单台进行,所有设备通电自检正常后,才能相互联结。b.网络联机测试:安全系统安装完成后,由中标供应商和设备使用单位对所有采购的
产品进行联网运行,并进行相应的联机测试。c.系统运行正常,联机测试通过。d.如商检或系统测试中发现设备性能指标或功能上不符合标书和合同时,将被看作性
能不合格,设备使用单位有权拒收并要求赔偿。e.中标供应商应负责在项目验收时将系统的全部有关产品说明书、原厂家安装手册、技
术文件、资料、及安装、验收报告等文档交付设备使用单位。(四)项目验收要求 1.项目初验 在设备到货、安装实施好后 15天内进行项目初验。a.要求对全部设备、产品、型号、规格、数量、外型、外观、包装及资料、文件(如装箱单、
保修单、随箱介质等)的验收。b.中标供应商应负责在项目验收时将系统的全部有关产品说明书、原厂家安装手册、技
广州公共资源交易中心编制
107
术文件、资料、及安装、验收报告等文档汇集成册交付设备使用单位和监理单位。2.系统试运行 a.初步验收通过之日起,进入试运行期。试运行期为三个月。在试运行期间,中标供应
商根据用户的需求情况和使用情况进行产品的相应调整,最后提交包括试运行情况在内的
验收申请报告。b.试运行期内中标供应商需组织用户进行培训,具体培训计划及内容由中标供应商制
定,用户批准后执行。3.项目终验 a.项目验收必须按照财政投资信息化项目验收要求进行。b.系统初验合格之日起连续稳定试运行 1个月,中标供应商提供完整的技术文档和试
运行记录,并申请组织用户验收。用户验收合格后,项目进入质保期。c.验收内容包括但不限于施工质量、技术和资料。施工质量按照设备安装质量的要求进
行验收;技术按照招标文件对各技术指标的要求进行验收;资料验收要求资料内容齐全、
标记正确、文字清楚、数据准确、图文表一致。d.验收工作所产生的一切费用包括在总承包费用当中,由中标供应商负责。
六、 售后服务和培训要求说明 广州公共资源交易中心编制
108
(一)售后服务要求 1.本项目全部产品需提供五年原厂的保修及系统软件升级服务,在签订合同前,必须
提供全部软硬件产品的 5年原厂售后服务承诺函。2.保修期内,本项目产品的维修均为免费。保修期内所有用户业务迁移均为免费,要
求投标人投标时提供运行保护预案,针对可能出现的故障提出解决方案。3.须提供 7x24小时电话服务热线,保证在接到故障电话后半小时响应,2小时到场,
并在 4小时内修复。在质保期内,如在限定时间内无法修复设备,须提供性能不低于原设
备的替代设备,直到故障设备修复为止。4.保修期内,本项目产品的维修服务均为上门服务,由此产生的费用均不再收取。5.对本建设项目的系统扩充、升级方面提供技术支持服务,由此产生的费用均不再收
取。(二)培训要求1.投标人必须提供本项目设备的操作使用培训服务。2.培训授课人必须是经过厂家认证工程师、技术员等。3.投标人必须为所有被培训人员提供培训用文字资料和讲义等相关用品。所有的资料
必须是中文书写。
广州公共资源交易中心编制
109
4.培训地点及时间:本地(具体时间及地点待中标后由双方协商)。5.培训费用投标人应将所有培训费用(含培训教材费)及各项支出列入“售后服务和培训价格
表”,所有的费用必须分别报价并计入投标总价。
七、 付款方式要求1. 合同签订后,采购人向中标供应商支付首期款合同总价 30%,共计 元。2.完成项目设备到货,到货签收后 15个工作日内,采购人向中标供应商支付合同总
额的 20%,共计 元。3.上线试运行结束后 7个工作日内,中标供应商向采购人开具履约保函(保函金额
为合同总额的 10%,即 元,保函期限直至通过项目合同验收),保证完全履行本合同全
部义务。采购人收到中标供应商该保函后 15个工作日内,采购人向中标供应商支付合同总
额的 40%,共计 元。4.通过项目合同验收后 15个工作日内,采购人向中标供应商支付合同总价的 10%,
共计 元。5.说明:
广州公共资源交易中心编制
110
1)项目所涉及经费为广州市财政投资信息化项目建设经费,付款时间需以收到财政
经费为准。如当年广州市财政投资安排经费不足以支付当期全额应付款时,采购人应先告
知乙方当期可支付金额,在乙方提供可支付金额发票后支付等额费用予乙方,差额部分甲
方应在下一年度予以足额支付,乙方不得以此提出延期付款索赔要求。2)乙方须在甲方每次办理付款手续前 10个工作日,向甲方提供当次应收款项等额的
合法发票。
【子项目 2】1.★本次采购产品为非进口产品(进口产品指通过中国海关报关验放进入中国境
内且产自关境外的产品)。2.投标人需承诺提供厂商原装、全新的、符合国家及用户提出的有关质量标准的设
备。3.投标人需承诺根据采购人的实际需求,本项目所有的设备及端口须按照采购人
实际使用,提供通讯模块及相关的线缆等配件,此部分配件的价格应包含在整体报价内。
4.项目工期要求:在合同签订后 90 天内完成供货、实施,并申请初步验收,初步验收通过之日起进入 3 个月的试运行期,连续稳定试运行满 3 个月后申请用户验收。
5.★为了便于统一管理,本项目中投标人所投的所有产品须为同一品牌,投标人需承诺为本项目全部产品提供五年的设备软硬件保修及系统软件升级服务。
6.凡属优先采购节能产品,请投标人尽可能提供《节能产品政府采购清单》中的产品 。 (注: 《节能 产 品 政 府 采 购清单》 投 标 人 可 查询中国政 府 采 购 网 <http://www.ccgp.gov.cn>。)
广州公共资源交易中心编制
111
一、 项目概况1.项目基本情况
项目工期:6 个月
2.项目单位概况根据《中共广州市委机构编制委员会关于调整市工业和信息化局下属事业单位机构编
制事项的批复(穗编字〔2019〕238号)》和《中共广州市委机构编制委员会关于调整广州
市电子政务服务中心机构编制事项的通知(穗编字〔2019〕219号)》,原广州市信息化服
务中心相关业务调整至广州市电子政务服务中心。根据《中共广州市委机构编制委员会关于
调整市电子政务服务中心机构编制事项的批复([2020]31号)》,广州市电子政务服务中
心调整为广州市数字政府运营中心,为广州市政务服务数据管理局公益一类正处级事业单
位。
3.项目背景2016年 11月 22日,国家发展改革委、中央网信办、国家标准委联合发布《关于组织开
展新型智慧城市评价工作务实推动新型智慧城市健康快速发展的通知》,同时下发《新型智
112
慧城市评价指标(2016年)》。该《评价指标》按包括惠民服务、精准治理、生态宜居、智能
设施、信息资源、网络安全、改革创新、市民体验等 8大类成效指标,旨在客观反映智慧城
市建设实效。其中,绝大大部分智慧城市应用及基础设施相关指标,如政务服务、交通服务
社保服务、医疗服务、教育服务、就业服务、城市服务、城市管理、公共视频采集联网、智慧环
保、信息资源、网络安全等,均需要靠城市的电子政务外网来承载。需要电子政务外网直接
相关或间接承载各项应用指标分数累计占比达到 70%以上。可见广州市的电子政务外网安
全建设,在新型智慧城市的建设当中地位非常关键,需要引起重视。同时,2016年 11月 7日国家颁布了《中华人民共和国网络安全法》,明确提出国家实
行等级保护制度,并要求“健全网络与信息安全法律法规,完善信息安全标准体系和认证
认可体系,实施信息安全建设保护、风险评估等制度。”标志着信息安全建设工作已经上升
到国家战略层面,成为关系国计民生的重要任务,并在 2017年 6月 1日正式实施,因此,
对信息化服务中心信息管理系统进行网络安全建设升级工作是非常重要的任务。广州市电子政务外网(简称:电子政务外网,下同)于 2004建设至今,主要为各接
入单位提供互联网信息发布、互联网访问、云服务网络、数据采集、数据交换、公文交换等服
务,已经发展成为全市政府信息化的核心枢纽网络平台,电子政务网络平台目前已实现 10
广州公共资源交易中心编制
113
00多家市财政一、二级预算单位、国有企事业单位。这些单位在日常工作中均需要使用政务
外网访问专门的业务系统、办公系统或互联网。同时电子政务外网还承载了全市多套涉及民生、企业和政府服务的重要业务系统,具
体包括:市政府信息共享平台、市信息化云平台,市财政财税库行业务系统、市社会保障信
息系统(医保、社保)、医疗卫生信息系统、市电子公文交换系统、市视频会议系统、市应急
指挥系统、市工商各类业务系统、市政府门户网站系统、市公积金业务系统、市公务员学习
系统和市人事报名系统及市民网页等。随着互联网飞速的发展,单位和用户面临的威胁也日益严重。大量的漏洞不断涌现,
网络上丰富的信息资源使得普通人很容易就能够掌握各种计算机技术,迅速找到各种软件
的漏洞;此外,计算机安全知识涉及的面太广,单位很难采取有效的措施对网络进行安全
防护。这几个因素使得安全威胁飞速增长,尤其是混合威胁所带来的风险。近年来,网络安全攻击事件越来越频繁,所造成的影响也越来越大,典型的如:海莲
花、永恒之蓝等攻击事件;对政务外网的 SQL注入攻击如 2016年 12月 9日,致公党组织
网站被黑客攻击,网页被篡改,并且散发反动言论,事件产生了很大的影响;此外近年来
邮件安全已经引起了国家相关部门的高度重视。国家发展和改革委员会在 2013年信息安全
广州公共资源交易中心编制
114
专项文件中指出:“综合利用基于标识技术的国家商用密码 SM9专用算法加密,结合国
家信息安全权威机构定点监测,建设安全邮箱服务平台,面向政务部门、团体组织和个人
提供可靠的安全加密邮件与移动终端电子邮件消息加密推送等运营服务”。电子政务外网现网安全设备大多于 2007年投入使用,现有安全设备运行年限已久,
已经趋于老化,性能也不足以满足业务需求。随着业务发展,电子政务外网现有的网络已
越来越难以满足对业务的支撑需求,本期规划对全网的互联网出口、核心、汇聚和接入链路
进行全面的扩容升级,同时,现有的安全设备性能不足的问题也更加凸显,因此应进行同
步的升级处理。近年来,国家在信息安全领域方面高度关注,完善电子政务外网的安全保
障体系,提升电子政务外网整体的信息安全防护能力成为当前安全建设的首要任务。综合以上原因电子政务外网的安全体系建设势在必行。
二、 项目建设需求1.业务需求1.1 等级保护建设的需求
新颁布的《中华人民共和国网络安全法》中提出,“国家实行网络安全等级保护制度。
广州公共资源交易中心编制
115
网络运营者应当按照网络安全等级保护制度的要求,履行相关安全保护义务,保障网络免
受干扰、破坏或者未经授权的访问,防止网络数据被窃取、篡改”,明确了网络安全等级保
护在信息化安全中的重要意义。实现安全等级保护,要遵循《“十三五”国家政务信息化工程建设规划》以及信息安全
等级保护的要求,对广州市电子政务外网实施全面信息安全等级保护,从物理层面、网络
层面、系统层面、应用层面和管理层面等角度,并结合具体的安全技术要求和安全管理要求
对电子政务外网的信息系统的安全进行具体的规划、设计和实施,确保电子政务外网汇聚
层、接入层的边界的安全保护水平。
1.2边界安全防护的需求当前广州市电子政务外网下挂的委办局访问电子政务外网的业务流防护按照流向主要
可以分为两种:1、纵向防护主要是指各部门“自上而下”及“自下而上”的业务。从各委办局到我中心或广州市
政府信息化云服务平台的纵向业务流之间的防护,是目前电子政务外网的主要业务流,也
称为“南北向” 业务流防护。
广州公共资源交易中心编制
116
2、横向防护主要指各委办局之间需要协调通讯业务流之间的防护,包括不同委办局之间的互访、
业务系统与数据库之间的互问等,也称为“东西向”业务流防护。委办局的业务流量中包含着许多单位重要信息,一旦被获取可能会对委办局以及我中
心造成不可估量的影响,保障“南北向”及“东西向”边界防护安全是本项目建设的重点。
1.3边界安全防护体系建设的需求《国家电子政务外网安全接入平台技术规范》(GW0202-2014)指出:应在安全接入
平台的网络入口、内部安全域边界部署防火墙实现网络边界保护和访问控制。
2.项目总体架构本项目安全建设的总体架构图如下所示:
广州公共资源交易中心编制
117
(1)11个区汇聚节点:分别旁挂一台高性能防火墙,采用虚拟防火墙技术,根据各
区级单位接入数量开启相应数量的虚拟防火墙 vsys;(2)穗园、连新汇聚节点:连新路汇聚节点和穗园汇聚节点分别旁挂两台高性能防火
墙组成HA高可用架构,采用虚拟防火墙技术,根据一级单位接入数据开启相应数量的虚
拟防火墙 vsys;(3)珠江新城、市委、市府汇聚节点:珠江新城汇聚节点、市府汇聚节点及市委汇聚
节点分别旁挂一台高性能防火墙,采用虚拟防火墙技术,根据接入单位数量开启相应数量
的虚拟防火墙 vsys;
广州公共资源交易中心编制
118
(4)政务云边界:穗园政务云边界和连新路政务云边界分别串联一台高性能防火墙
对接入流量进行安全访问控制;(5)安全管理区部署安全管理平台集群及安全审计平台集群,实现统一监控、配置管
理、统一策略下发,收集防火墙安全日志并进行分析,一旦发生安全事件,能够快速问题
定位。
3.项目建设目标本次项目的建设目标是在国家信息系统安全等级保护相关政策和标准的指导下,结合
对广州市电子政务网的安全需求现在的分析,通过信息安全保障总体规划、安全管理体系
建设、信息安全技术策略设计以及信息安全产品集成等,全面提升网络改造升级后的中心
电子政务外网的安全性、可靠性及可用性,对电子政务外网的核心层、汇聚层、接入层、服
务器接入区、管理接入区等区域进行安全规划设计、改造与升级,对内实现对全网安全状况
的统一管理,更好地保障政务外网网络的正常运行。
广州公共资源交易中心编制
119
4.建设内容本次项目建设内容包括在设计规划方面重新对广州市电子政务外网的安全防护体系、
安全管理制度、安全策略合规性方面进行设计,从整体上提升电子政务外网的安全防护能
力,增强对已知病毒攻击等的抵御能力,构建对未知新型安全攻击手段的侦测、预警及防
护平台,并逐步提升与完善中心的各项信息安全管理制度,适应中心实际的安全需求,完
善日常运维中的安全事项及在安全事件中的应急处理流程,保障各项信息安全的落地可行。具体建设内容体现在以下两个方面:1)电子政务外网汇聚层边界安全建设:采用虚拟防火墙技术在 5大核心节点和 11个
区汇聚节点部署防火墙,增强汇聚层各区域间的安全隔离及管控能力,替换现有年限过长
性能落后的老旧防火墙,并将汇聚层边界安全防护范围由电子政务网络平台目前已实现 10
00多家市财政一、二级预算单位、国有企事业单位,进一步完善电子政务外网的安全防护,
对所有防火墙统一管理,策略集中下发,简化运维。2)完善健全安全管理体系:依据《信息系统安全等级保护基本要求》中的管理要求,
基于现有的安全管理体系,通过对安全管理机构的健全完善、安全管理制度健全、人员安全
管理完善、安全运维管理精细化和安全服务体系的完善等各方面来建立一套完善的信息安
广州公共资源交易中心编制
120
全管理体系。
4.需求清单及技术参数设备名称 设备数量 部署说明防火墙 1 2 穗园、连新路节点连接政务云边界
防火墙 2 4
穗园、连新汇聚节点分别部署 2台形成 2
组HA 高可用架构;白云区、越秀区、天河区 3 个汇聚节点各 1台
防火墙 3 1411 个区、市委、市府、珠江新城 14 个汇聚节点各 1台
安全管理平台 7 安全管理平台集群安全日志审计平台 4 安全日志平台集群
4.1防火墙 1
序号
指标项 技术指标1. 硬件规格 ★主控插槽≥2 个,整机扩展卡槽≥12 个,双主控,独立交换网板≥2
块,双交流电源,万兆光口≥24(6 个多模光模块),40G光口≥6
(实配 2 个多模光模块);吞吐量≥160Gbps,整机最大吞吐量可扩展到 1000Gbps,IPS吞吐量≥100Gbps,整机最大吞吐量可扩展
广州公共资源交易中心编制
121
≥400Gbps,并发连接数≥1.2亿,整机最大并发连接数可扩展到≥9.6亿,每秒新建连接数≥320万,整机最大每秒新建连接数可扩展到≥1280万;
2.
重要指标
项
硬件规格
支持≥4块物理独立交换网板,支持 40GE,100GE 接口,便于平滑扩展需要;
3.虚拟系统
最大虚拟防火墙数≥2000,并且提供官网截图证明材料。
4.协议识别
可识别应用层协议数量≥5000种(提供功能截图)
5.入侵防御
基于特征检测,支持超过 10000种特征的攻击检测和防御;(提供证明材料)
6.
厂家资质
防火墙产品连续四年及以上进入 IDC 中国区防火墙前三,提供证明材料。
7.厂商是中国反网络病毒联盟 ANVA 成员单位,提供查询链接及查询界面截图。
8.厂商是中国反钓鱼网站联盟(APAC)成员单位,提供查询链接及查询界面截图。
9. 厂商是中国网络空间安全协会成员,提供查询链接及查询界面截图。10. 散热 为了适应机柜并排部署,采用机箱(包括业务板卡区)前后出风风道设
广州公共资源交易中心编制
122
计,(提供设备带散热气流走向的示意图)
11.
路由功能
支持静态路由、策略路由、RIP、OSPF、BGP、ISIS 等路由协议
12.策略路由支持的匹配条件:源 IP/目的 IP,服务类型,应用类型,用户(组),入接口,DSCP优先级。(提供功能截图)
13. 支持 IPv6协议栈、IPV6穿越技术、IPV6路由协议14. 支持 IPv6 over IPv4 GRE隧道,6RD隧道。
15. VPN支持 IPSec、L2TP、GRE VPN,能够对相应 VPN隧道报文进行监控统计
16. NAT支持全面 NAT 功能 , 对多种应 用层协议支持 ALG 功能 ,包括ILS、DNS、PPTP、SIP、FTP、ICQ、RTSP、QQ、MSN、MMS 等
17.
数据安全支持URL识别能力和 URL地址识别库,URL识别库≥1.2亿
18. 支持在本地部署URL 服务器实现 URL 过滤。(提供功能截图)19. 支持DNS 过滤,提高 WEB 网页过滤的性能。(提供功能截图)
20.
策略管理
支持策略的模糊查询,策略组,策略规则标签,方便策略的管理及运维。
21.支持将基于端口的安全策略转换为基于应用的安全策略,对安全策略进行命中分析,冗余分析。(提供功能截图)
22.加密流量安全防护
支持对 HTTPS,POP3S,SMTPS,IMAPS 加密流量代理解密后,并进行内容过滤,审计,安全防护。(提供功能截图)
23. 支持基于 URL 分类的精细化解密,提高解密性能。(提供功能截图) 广州公共资源交易中心编制
123
24.支持加密流量解密后镜像给第三方设备做审计,安全检测。(提供功能截图)
25.智能威胁防御
支持与本地沙箱联动,实现对 APT攻击的防御功能。(提供功能截图)
26.
入侵防御
支持恶意域名过滤,实现对 C&C进行阻断。(提供功能截图)
27.
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能。(提供功能截图)
28. 可以支持HTTP、FTP、SMTP、POP3、IMAP、NFS 等协议的病毒防护。29.
密码技术 国家密码管理局 SSL VPN技术规范起草单位,并提供证明材料;30. 国家密码管理局 IPSec VPN技术规范起草单位,并提供证明材料。
31.
产品资质
具有公安部颁发的《计算机信息系统安全专用产品销售许可证》(万兆),提供证书复印件
32.具有国家保密局测评中心颁发的《涉密信息系统产品检测证书》(万兆),提供证书复印件
33.防火墙产品获得 NSS lab 推荐级,提供 NSS lab 防火墙 安全价值地图(SVM)截图证明,加盖厂商公章
34. 厂商是中国互联网网络安全威胁治理联盟成员,提供查询链接及查询界面截图;
广州公共资源交易中心编制
124
35.防火墙产品连续五年及以上进入 Gartner 企业防火墙四象限,提供证明材料。
4.2防火墙 2
序号
指标项 技术指标
1. 硬件规格
★主控插槽≥2 个,整机扩展卡槽≥10 个,双主控,独立交换网板≥1
块,双交流电源,万兆光口≥12(实配 6 个多模光模块),40G光口≥2(实配 2 个多模光模块);吞吐量≥80Gbps,整机最大吞吐量可扩展≥960Gbps;IPS吞吐量≥55Gbps,整机最大吞吐量可扩展到240Gbps;并发连接数≥6000万,整机最大并发连接数可扩展≥9.6
亿;每秒新建连接数≥320万,整机最大每秒新建连接数可扩展到≥1280万
2.重要指标项
硬件规格
支持≥1块物理独立交换网板,支持 40GE,100GE 接口,便于平滑扩展需要;
3.虚拟系统
最大虚拟防火墙数≥2000,并且提供官网截图证明材料。4. 协议
识别可识别应用层协议数量≥5000种(提供功能截图)
广州公共资源交易中心编制
125
5.入侵防御
基于特征检测,支持超过 10000种特征的攻击检测和防御;(提供证明材料)
6.
厂家资质
防火墙产品连续四年及以上进入 IDC 中国区防火墙前三,提供证明材料。
7.厂商是中国反网络病毒联盟 ANVA 成员单位,提供查询链接及查询界面截图。
8.厂商是中国反钓鱼网站联盟(APAC)成员单位,提供查询链接及查询界面截图。
9. 厂商是中国网络空间安全协会成员,提供查询链接及查询界面截图
10. 散热为了适应机柜并排部署,采用机箱(包括业务板卡区)前后出风风道设计,(提供设备带散热气流走向的示意图)
11.
路由功能
支持静态路由、策略路由、RIP、OSPF、BGP、ISIS 等路由协议
12.策略路由支持的匹配条件:源 IP/目的 IP,服务类型,应用类型,用户(组),入接口,DSCP优先级。(提供功能截图)
13. 支持 IPv6协议栈、IPV6穿越技术、IPV6路由协议14. 支持 IPv6 over IPv4 GRE隧道,6RD隧道。
15. VPN支持 IPSec、L2TP、GRE VPN,能够对相应 VPN隧道报文进行监控统计
16. NAT 支持全面 NAT 功能 , 对多种应 用层协议支持 ALG 功能 ,包括
广州公共资源交易中心编制
126
ILS、DNS、PPTP、SIP、FTP、ICQ、RTSP、QQ、MSN、MMS 等17.
数据安全支持URL识别能力和 URL地址识别库,URL识别库≥1.2亿
18. 支持在本地部署URL 服务器实现 URL 过滤。(提供功能截图)19. 支持DNS 过滤,提高 WEB 网页过滤的性能。(提供功能截图)
20.
策略管理
支持策略的模糊查询,策略组,策略规则标签,方便策略的管理及运维。
21.支持将基于端口的安全策略转换为基于应用的安全策略,对安全策略进行命中分析,冗余分析。(提供功能截图)
22.
加密流量安全防护
支持对 HTTPS,POP3S,SMTPS,IMAPS 加密流量代理解密后,并进行内容过滤,审计,安全防护。(提供功能截图)
23. 支持基于 URL 分类的精细化解密,提高解密性能。(提供功能截图)
24.支持加密流量解密后镜像给第三方设备做审计,安全检测。(提供功能截图)
25.智能威胁防御
支持与本地沙箱联动,实现对 APT攻击的防御功能。(提供功能截图)
26. 入侵防御 支持恶意域名过滤,实现对 C&C进行阻断。(提供功能截图)
27.
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能。(提供功能截图)
28. 可以支持HTTP、FTP、SMTP、POP3、IMAP、NFS 等协议的病毒防护。 广州公共资源交易中心编制
127
29.密码技术 国家密码管理局 SSL VPN技术规范起草单位,并提供证明材料;
30. 国家密码管理局 IPSec VPN技术规范起草单位,并提供证明材料。
31.
产品资质
具有公安部颁发的《计算机信息系统安全专用产品销售许可证》(万兆),提供证书复印件
32.具有国家保密局测评中心颁发的《涉密信息系统产品检测证书》(万兆),提供证书复印件
33.
厂家资质
防火墙产品获得 NSS lab 推荐级,提供 NSS lab 防火墙 安全价值地图(SVM)截图证明,加盖厂商公章
34.厂商是中国互联网网络安全威胁治理联盟成员,提供查询链接及查询界面截图;
35.防火墙产品连续五年及以上进入 Gartner 企业防火墙四象限,提供证明材料。
4.3防火墙 3
序号
指标项 技术指标1. 硬件规格 ★万兆光口≥24(实配 2 个多模光模块);40G 接口≥4(实配 2
个多模光模块);配置冗余双交流电源;设备形态≤2U;吞吐量
广州公共资源交易中心编制
128
≥80Gbps,最大并发连接数≥2400万,每秒新建连接数≥60
万,IPS吞吐量≥20Gbps
2.
重要指标项
硬件规格
配置 1块不低于 240G硬盘 ,支持双电源,支持风扇可插拔,支持前后风道(提供证明截图);
3.虚拟系
统最大虚拟防火墙数≥900,提供证明材料
4.协议识别
可识别应用层协议数量≥5000种;支持识别国标 SIP协议及主流安防厂家的协议(提供功能截图)
5.
入侵防御及病毒防护
基于特征检测,支持超过 10000种特征的攻击检测和防御;(提供证明材料)
6.
厂家资质
防火墙产品连续四年及以上进入 IDC 中国区防火墙前三,提供证明材料。
7.厂商是中国反网络病毒联盟 ANVA 成员单位,提供查询链接及查询界面截图。
8.厂商是中国反钓鱼网站联盟(APAC)成员单位,提供查询链接及查询界面截图。
9. 厂商是中国网络空间安全协会成员,提供查询链接及查询界面截图。10. 策略管控 能够基于时间、用户/用户组/安全组、应用层协议、地理位置、IP地址、
广州公共资源交易中心编制
129
端口、域名组、URL 分类、接入类型、终端类型、设备组、VLANID、内容安全统一界面进行安全策略配置(提供功能截图)
11.
路由功能
支持静态路由、策略路由、RIP、OSPF、BGP、ISIS 等路由协议
12.策略路由支持的匹配条件:源 IP/目的 IP,服务类型,应用类型,用户(组),入接口,DSCP优先级。(提供功能截图)。
13. 支持 IPv6协议栈、IPV6穿越技术、IPV6路由协议14. 支持 IPv6 over IPv4 GRE隧道,6RD隧道。15.
数据安全 支持在本地部署URL 服务器实现 URL 过滤。(提供功能截图)16. 支持DNS 过滤,提高 WEB 网页过滤的性能。(提供功能截图)
17.
策略管理
支持策略的模糊查询,策略组,策略规则标签,方便策略的管理及运维。
18.支持将基于端口的安全策略转换为基于应用的安全策略,分析设备策略风险,及冗余策略,提供安全策略优化建议(提供功能截图)
19.
入侵防御及病毒防护
支持恶意域名过滤,实现对 C&C进行阻断。(提供功能截图)
20.
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能。(提供功能截图)
21.可以支持HTTP、FTP、SMTP、POP3、IMAP、NFS 等协议的病毒防护。
广州公共资源交易中心编制
130
22.
加密流量安全防护
支持对 HTTPS,POP3S,SMTPS,IMAPS 加密流量代理解密后,并进行内容过滤,审计,安全防护。(提供功能截图)
23.支持基于 URL 分类的精细化解密,提高解密性能。(提供功能截图)
24.支持加密流量解密后镜像给第三方设备做审计,安全检测。(提供功能截图)
25. 智能威胁防御支持与本地沙箱联动,实现对 APT攻击的防御功能。(提供功能截图)
26.可靠性
支持 BFD链路检测,支持 BFD与 VRRP联动实现双机快速切换,支持BFD与OSPF联动实现双机快速切换(提供功能截图)
27. 支持HA平滑升级28.
集中管理 开放RESTCONF,NETCONF 等北向接口,对接第三方的管理平台29. 支持U盘升级,减少运维成本30.
密码技术 国家密码管理局 SSL VPN技术规范起草单位,并提供证明材料;31. 国家密码管理局 IPSec VPN技术规范起草单位,并提供证明材料。
32. 产品资质具有公安部颁发的防火墙《计算机信息系统安全专用产品销售许可证》,提供证书复印件。
33. 厂家资质 防火墙产品获得 NSS lab 推荐级,提供 NSS lab 防火墙 安全价值地图(SVM)截图证明。
广州公共资源交易中心编制
131
34.厂商是中国互联网网络安全威胁治理联盟成员,提供查询链接及查询界面截图。
35.防火墙产品连续五年及以上进入 Gartner 企业防火墙四象限,提供证明材料。
4.4安全管理平台
序号 指标项 技术指标
1. 硬件规格★专有硬件及软件:单台高度≤2U,至少提供 2 个 10核处理器;内存≥32GB;数据盘容量≥4T;≥6 个 GE 电口,≥2 个10GE光口;双冗余电源
2.重要指标项
厂商是中国互联网网络安全威胁治理联盟成员,提供查询链接及查询界面截图;
3. 厂商是中国网络空间安全协会成员,提供查询链接及查询界面截图。
4.
安全网元管理
支持≥2000 个安全网元管理授权,本次实际配置≥1500 个网元管理授权
5.自动识别安全设备的双机热备配置,并将双机热备关系的两台安全设备逻辑成一台安全设备进行管理,在策略配置过程中,提高配置效率,提供功能截图;
6. 单点登录到安全设备管理页面,简化运维方式,提供功能截图7.
安全策略管理
对共用对象的管理,供策略调用,简化策略配置工作,包括:安全区域、地址、服务、时间段、网络分区、应用主机、反病毒、入侵防御等;
8. 基于策略或策略组的管理,通过北向接口配置安全策略,支持策略的锁定、解锁、移动;
9. 支持策略的变更统计、一致性统计以及部署状态统计等;10. 安全业务编排 保护网段是安全设备所保护的资产 IP范围,可以通过手工方式
配置也可以同网络控制器自动学习,通过记录保护网段,策略
广州公共资源交易中心编制
132
下发时可以自动找到匹配的安全设备,节省了策略部署的时间;
11.
从基于安全区域的策略管理视角过渡到基于用户业务分区的策略管理视角。站在客户业务分区的视角管理、控制、维护安全策略,用户不需要关注安全区域、设备以及业务的映射关系,仅需要关注业务分区和安全业务,有效降低安全策略设计的复杂度;
12.从基于 IP 到 IP 的策略管理视角过渡到基于应用互访关系的策略管理视角,识别网络中应用间的互访关系,策略管理以应用为核心,有效降低基于 IP管理的安全策略数量;
13.
安全策略运维
策略部署后,针对整网策略进行冗余和命中分析,结合策略优化算法,实现策略去冗余,(提供功能截图);
14. 通过业务互访关系学习结果,对比待部署策略,通过模拟部署的方式评估策略部署后的事前影响,(提供功能截图);
15.
通过定义白名单、风险规则、混合规则等方式对安全策略进行合规性检查,以自动化的方式反馈检查结果、安全等级等信息至安全审批责任人,帮助安全检查人员做到仅需关注不合规的策略条目,提高审批效率,避免审批不及时以及疏漏风险策略的事情发生,(提供功能截图);
16. 部署方式 单机部署、集群部署、虚拟机部署
4.5安全日志审计平台
序号 项目 技术指标
1. 硬件规格
★设备高度≤2U,千兆电口≥2 个,单节点存储≥16T,集群总容量≥64T裸容量(具备至少 6 个月的数据存储能力),NAT 日志≥100000EPS,SYSLOG 日志≥10000EPS,支持RAID5,双冗余电源
广州公共资源交易中心编制
133
2. 重要指标项厂商是中国网络空间安全协会成员,提供查询链接及查询界面截图。
3. 部署模式 支持分布式部署与集中式部署模式
4. 加密的通信信道客户端和服务器之间,采用私有协议进行通讯,或通过 SSL
协议进行保护;与设备的交互,通过 SSH 及 SNMP V3 来满足安全性的要求。
5. 审计和分析 日志存储:支持日志压缩存储;
6.日志采集方式:支持通过二进制会话、Syslog、Dataflow 、N etflow、FTP;
7.
日志分类:系统能够根据日志特征对防火墙的 Syslog 日志进行如下分类:攻击防范、流量监控、黑名单、地址绑定、操作命令、防火墙登录、策略命中、内容过滤和其它;
8.日志查询:支持异步查询和细粒度的查询,查询条件可保存为模板,查询记录提供 Excel、CSV、TXT 文件导出方式;
9.用户威胁报表:支持对攻击、病毒等威胁事件的统计和分析,提供功能截图,用户威胁(网络安全分析)报表;
10. 多维度 Dashboard:入侵防御趋势分析、入侵防御事件排行、攻击防范事件趋势、入侵防御目的 IP排行、病毒事件目的IP排行、病毒事件趋势、策略趋势、URL 分类排行、日志量趋
广州公共资源交易中心编制
134
势、采集器CPU 性能、采集器内存性能、分析器CPU 性能、分析器内存性能等,提供功能截图,多维度 Dashboard;
11.多维度日志分析:网络安全分析、会话及 NAT溯源分析、流量分析、上网行为分析,提供功能截图;
12. 用户权限管理:支持基于 RBAC 和三权分立原则;
13.自身操作审计:系统能自动对每个用户的操作进行记录,并可由审计员进行审计;
14.系统日志:系统能自动对运行过程中的故障及重要状态变化进行记录,方便管理员了解系统运行情况;
15. 系统兼容性为了满足系统兼容性需求,招标日志审计系统需要与本次招标的防火墙为统一品牌
三、 非功能性要求1、要求投标人合同签订前提供所投产品原厂商出具的原厂授权函及售后服务承诺函,
并提供原厂 5年免费上门保修。2、原型演示及答辩要求1)本项目由有效投标人于评标过程中进行功能原型演示及答辩,请投标人自行准备
相关文件。
广州公共资源交易中心编制
135
2)授权委托代理人须凭身份证原件参加原型演示及答辩,参加人数一般不超过 3人
(含授权委托代理人在内)。3)如演示、答辩过程中需要用到电脑等设备,请投标人自带,评标现场仅提供电源和
投影设备。演示、答辩时间约 15分钟。四、 系统集成与服务需求1.系统部署
1)必须把握本项目工程总体要求,对信息安全系统建设具有完整的思路,并在具体
实施过程中接受招标人、监理单位的监督和指导,按照国家相关标准提交规范化的各阶段
项目文档,保障整个工程建设有序、稳步推进,实现整个项目的建设目标。2)协调、对接各厂商(硬件、系统软件等生产厂商)的实施工作,协助招标人监督各
厂商的工作情况和完成对各厂商实施工作的进度质量考核。3)根据系统详细设计方案具体负责组织和协调本项目所有硬件、系统软件的安装部署
联调、调优、测试、验收等工作。
2.系统测试及联调
除了设备单机测试及系统联网测试,投标人需充分考虑到本期建设的安全体系与其他 广州公共资源交易中心编制
136
平台之间的相关性及业务之间的平滑连接需求,提供与其他平台之间的联调测试方案,构
成一个完整的信息系统安全保障体系。
3.项目实施组织
为使项目建设按质、按量、按时及有序实施,投标人对本项目必须有一个完善和稳定的
管理组织机构。在项目负责人员方面,必须包括一名项目经理、一名有大型网络信息安全项目建设经
验的技术主管。在建设期内,项目管理负责人、技术负责人应长驻广州,并在接到用方通知后 1小时
内到达业主现场处理问题或交流情况。本项目的项目负责人,技术负责人必须具体负责项目的实施,投标人如中途更换项目
负责人,技术负责人,必须征得用户同意。在项目组人员构成方面,必须配备如下几类人员:1)项目经理2)技术主管3)技术工程师
广州公共资源交易中心编制
137
4)测试人员5)系统实施人员6)文档管理和维护人员7) 各设备厂商原厂技术工程师以上人员和资质要求是最基本的要求,投标人应给出具体的人员安排说明并提供相关
人员资质证明材料。制定科学、合理的项目实施计划进度和实施方案。
4.驻场服务及应急响应要求
中标人负责本项目全部软硬件产品五年的保修及系统软件升级服务,设备保修及软件
升级等期限从整个工程终验完成时开始计时。为保障项目质量,投标人需承诺在运维期第
一年派驻一名安全工程师在采购人指定地点驻场提供服务,提供 5*8小时的驻场服务,提
供持续的安全服务;并且中标人应配有较强的二线技术队伍,提供 365天 7*24小时的技
术服务热线服务,设备发生故障后需在半小时内响应,远程无法解决的 2小时上门,4小
时内解决问题,如短时间内无法解决需在限定解决时间内提供替换备机。投标人对于运维期间可能出现的安全问题要有前瞻性的解决方案,针对可能发生的安
广州公共资源交易中心编制
138
全事件场景,要提供应急响应方案。投标人对于运维期间可能出现的安全问题要有前瞻性的解决方案,针对可能发生的安
全事件场景,要提供应急响应方案。
5.定期巡检及安全分析报告要求
在运维期间中标人应提供每季度对安全设备进行全面巡检的服务,对设备硬件状态和
安全装备进行全面检查,并及时向采购人提交安全分析报告。
6.其他改进性建议或服务
投标人提供的对项目质量、建设成果其他的改进性建议或服务。五、 设备安装、测试和验收要求
(一)设备安装要求 中标供应商必须向采购人提供本项目采购的所有硬件的安装和维护服务的全部内容,
并在需要的时候配合设备使用单位完成整个系统的联调工作。若本项目采购的设备产品等
方面的配置或要求中出现不合理或不完整的问题时,中标人有责任和义务在投标文件中提
出补充修改方案并征得采购人同意后付诸实施。对投标人要求:
广州公共资源交易中心编制
139
1.要求投标人应具有良好信誉和相关实力的技术队伍。2.投标人应本着认真负责态度,组织技术队伍,做好项目的整体方案,并书面提出长
期保修、维护、服务以及今后技术支持的措施计划和承诺。3.安装调试在设备到货后 3个工作日内开始进行。4.所有设备均须由中标人送达用户指定地点并安装调试。用户不再支付任何费用。5.自系统安装工作一开始,中标供应商应允许采购单位的工作人员一起参与系统的安
装、测试、诊断工作等各项工作,并及时沟通解决项目进行中出现的问题。(二)项目实施要求 1. 中标供应商负责将本项目采购的所有设备进行项目系统集成,包括设备的验收、系
统的安装、调试等方面工作。2.在正式签订合同后,中标供应商应对项目进行需求分析及询得用户确认,在 90天
内完成系统安装、调试和初步验收工作。制定详细可行的项目实施计划并得到用户认可,指
定系统集成的项目负责人,做好项目实施过程需提交相关的文档,包括施工方案,用户使
用手册,验收文档等工作。3.项目实施中,应确保不影响在用的业务的正常运行。项目完成后,保证各业务能正
常运行。
广州公共资源交易中心编制
140
(三)项目设备检验及测试要求 1.开箱检验要求 a.所有设备、器材在开箱时必须完好,无破损。配置与装箱单相符。数量、质量及性能不
低于合同要求。b.拆箱后,投标人应对其全部产品、零件、配件、用户许可证书、资料、介质造册登记,
并与装箱单对比,如有出入应立即书面记录,由供货商解决,如影响安装则按合同有关条
款处理。登记册作为验收文档之一。2.测试要求 a.单项测试:单项产品安装完成后,由中标供应商进行产品自身性能的测试。设备通
电测试应单台进行,所有设备通电自检正常后,才能相互联结。b.网络联机测试:安全系统安装完成后,由中标供应商和设备使用单位对所有采购的
产品进行联网运行,并进行相应的联机测试。c.系统运行正常,联机测试通过。d.如商检或系统测试中发现设备性能指标或功能上不符合标书和合同时,将被看作性
能不合格,设备使用单位有权拒收并要求赔偿。e.中标供应商应负责在项目验收时将系统的全部有关产品说明书、原厂家安装手册、技
广州公共资源交易中心编制
141
术文件、资料、及安装、验收报告等文档交付设备使用单位。(四)项目验收要求 1.项目初验 在设备到货、安装实施好后 15天内进行项目初验。a.要求对全部设备、产品、型号、规格、数量、外型、外观、包装及资料、文件(如装箱单、
保修单、随箱介质等)的验收。b.中标供应商应负责在项目验收时将系统的全部有关产品说明书、原厂家安装手册、技
术文件、资料、及安装、验收报告等文档汇集成册交付设备使用单位和监理单位。2.系统试运行 a.初步验收通过之日起,进入试运行期。试运行期为三个月。在试运行期间,中标供应
商根据用户的需求情况和使用情况进行产品的相应调整,最后提交包括试运行情况在内的
验收申请报告。b.试运行期内中标供应商需组织用户进行培训,具体培训计划及内容由中标供应商制
定,用户批准后执行。3.项目终验 a.项目验收必须按照财政投资信息化项目验收要求进行。
广州公共资源交易中心编制
142
b.系统初验合格之日起连续稳定试运行 3个月,中标供应商提供完整的技术文档和试
运行记录,并申请组织用户验收。用户验收合格后,项目进入质保期。c.验收内容包括但不限于施工质量、技术和资料。施工质量按照设备安装质量的要求进
行验收;技术按照招标文件对各技术指标的要求进行验收;资料验收要求资料内容齐全、
标记正确、文字清楚、数据准确、图文表一致。d.验收工作所产生的一切费用包括在总承包费用当中,由中标供应商负责。
六、 售后服务和培训要求说明(一)售后服务要求 1.本项目产品需提供五年设备保修及系统软件升级服务,在签订合同前,必须提供本
项目产品 5年的原厂售后服务承诺函。2.保修期内,本项目产品的维修均为免费。保修期内所有用户业务迁移均为免费,要
求投标人投标时提供运行保护预案,针对可能出现的故障提出解决方案。3.须提供 7x24小时电话服务热线,保证在接到故障电话后半小时响应,2小时到场,
并在 4小时内修复。在质保期内,如在限定时间内无法修复设备,须提供性能不低于原设
备的替代设备,直到故障设备修复为止。4.保修期内,本项目产品的服务均为上门服务,由此产生的费用均不再收取。
广州公共资源交易中心编制
143
5.对本建设项目的系统扩充、升级方面提供技术支持服务,由此产生的费用均不再收
取。(二)培训要求1.投标人必须提供本项目设备的操作使用培训服务。2.培训授课人必须是经过厂家认证工程师、技术员等。3.投标人必须为所有被培训人员提供培训用文字资料和讲义等相关用品。所有的资料
必须是中文书写。4.培训地点及时间:本地(具体时间及地点待中标后由双方协商)。5.培训费用投标人应将所有培训费用(含培训教材费)及各项支出列入“售后服务和培训价格
表”,所有的费用必须分别报价并计入投标总价。七、 付款方式1. 合同签订后,采购人向中标供应商支付首期款合同总价 30%,共计 元。2.完成项目设备到货,到货签收后 15个工作日内,采购人向中标供应商支付合同总
额的 20%,共计 元。3.上线试运行结束后 7个工作日内,中标供应商向采购人开具履约保函(保函金额
广州公共资源交易中心编制
144
为合同总额的 10%,即 元,保函期限直至通过项目合同验收),保证完全履行本合同全
部义务。采购人收到中标供应商该保函后 15个工作日内,采购人向中标供应商支付合同总
额的 40%,共计 元。4.通过项目合同验收后 15个工作日内,采购人向中标供应商支付合同总价的 10%,
共计 元。5.说明:1)项目所涉及经费为广州市财政投资信息化项目建设经费,付款时间需以收到财政
经费为准。如当年广州市财政投资安排经费不足以支付当期全额应付款时,采购人应先告
知乙方当期可支付金额,在乙方提供可支付金额发票后支付等额费用予乙方,差额部分甲
方应在下一年度予以足额支付,乙方不得以此提出延期付款索赔要求。2)乙方须在甲方每次办理付款手续前 10个工作日,向甲方提供当次应收款项等额的
合法发票。
第三章 合同格式
附:广州市政府采购合同
广州公共资源交易中心编制
145
甲方(采购人):乙方(中标人):根据《中华人民共和国合同法》、《中华人民共和国政府采购法》及广州公共资源交易中
心“广州市电子政务外网网络安全升级建设项目”(项目编号:GZIT2020-A4-647)招
标文件的要求和招标结果,经甲乙双方协商一致,签订本合同。双方共同遵守如下条款:第一条:合同组成下列文件均为本合同不可分割部分:1、甲方招标文件;2、乙方投标文件;3、中标通知书;4、相关保密协议和与履行本合同有关的其它协议。以上文件与本合同具有同等法律效力。甲方招标文件与乙方投标文件不一致的地方以
及甲方招标文件和乙方投标文件与本合同不一致的地方,以有利于甲方的表述为准。第二条:项目地点广州市数字政府运营中心指定地点。第三条:项目工期本项目必须在合同签订后 90 个日历日内完成设备到货验收和实施部署。第四条:项目内容乙方为甲方提供以下技术产品和服务:
《广州市电子政务外网互联网接入核心层汇聚层网络安全设备升级建设项目》的建设内容包括:采购并部署一批信息安全基础设备,采购内容如下:出口防火墙 2台、抗DDOS
设备 2台、入侵检测 IDS2台、WEB防火墙 2台、入侵防御 IPS2台、态势感知平台 1套、堡
广州公共资源交易中心编制
146
垒机 2台、漏洞扫描系统 1台、上网行为管理设备 1台、综合日志审计 1台、数据泄漏防护设备 2台,以上全部产品提供五年的原厂设备软硬件保修及系统软件升级服务。
《广州市电子政务外网汇聚接入边界安全升级项目》的建设内容包括:采购并部署一批信息安全基础设施。采购并部署的上述设施包括:防火墙 1、防火墙 2、防火墙 3、安全管理平台、安全日志审计平台。
本项目的具体内容详见甲方招标文件。第五条:设备供货要求和设备清单1、设备供货要求和技术标准:乙方必须在本合同签订后提供所供货设备的供货证明
相关文件,包括但不限于厂商或其授权的经销商出具的供货确认函、与厂商或其授权的经销商签订的订购合同、厂商的售后服务承诺函等原件(含设备清单),否则不予验收,并不予支付本合同款项。乙方向甲方的全部供货必须符合相应的国家技术标准(无国家标准的需符合行业标准或通用标准),乙方不得通过设备预留特别技术通道(后门)或其他技术路径而窃取甲方及设备使用者的任何信息。
2、设备供货清单:序
号设备类型
品牌、产
地型号规格 数量 单价 总价 备注
123
第六条:项目实施和管理要求本项目设备供货、安装、测试和验收要求,售后服务和培训要求详见甲方招标文件。乙方应当严格按照本项目投标文件响应情况指派专职项目经理,具体负责本项目的实
施并与甲方接洽。同时,乙方应当严格按照本项目投标文件响应情况投入与本项目实施相适应的技术人员进行工作。未经甲方书面同意,乙方不得更换本项目经理、技术人员。因不
广州公共资源交易中心编制
147
可抗力导致本项目经理、技术人员必须更换的,乙方应当于不可抗力发生后 3 个工作日内书面通知甲方,并向甲方提出更换人员建议名单。不可抗力指不能预见、不能避免且不能克服的客观情况。
第七条:项目监理甲方有权聘请独立第三方担任本项目的监理,对乙方履行合同情况进行监督,乙方应
当接受和配合本项目监理方的监督和考核。第八条:项目变更甲方有权根据实际情况对本项目实施的地点、内容、时间等予以变更,在不超过合同规
定工作量的前提下,乙方应当接受该变更。如涉及工作范围和资金等重要变更,甲乙双方应另行签订变更协议。甲方应当于变更前 10 个工作日内书面通知乙方。第九条:项目费用本合同金额为人民币(大写)元整(¥元)。费用包括本项目的全部费用。除合同另有
明文规定外,甲方不再向乙方支付其他任何费用。第十条:付款方式甲方应当按照以下要求向乙方支付本项目费用:1. 合同签订后,甲方向乙方支付首期款合同总价 30%,共计 元。2.完成项目设备到货,到货签收后 15个工作日内,甲方向乙方支付合同总额的 20%,
共计 元。3.上线试运行结束后 7个工作日内,乙方向甲方开具履约保函(保函金额为合同总
额的 10%,即 元,保函期限直至通过项目合同验收),保证完全履行本合同全部义务。
甲方收到乙方该保函后 15个工作日内,甲方向乙方支付合同总额的 40%,共计 元。
广州公共资源交易中心编制
148
4.通过项目合同验收后 15个工作日内,甲方向乙方支付合同总价的 10%,共计
元。5.因甲方使用的是财政资金,上述规定甲方付款时间为向财局递交办理支付通知的时
间(不含财局审核的时间),在规定时间内甲方递交支付通知视为已按期支付。但甲方应当确保该费用到达乙方以下账户:
户 名开户银行帐 号财务联系人联系电话乙方应对其指定收款账户信息的真实性、安全性和准确性负责。甲方向上述账号汇出款
项即视为甲方已履行付款义务,在合同履行过程中,因乙方账户的原因(包括但不限于账号被注销、被冻结等)导致乙方无法收取款项的,由乙方承担相应后果。乙方开具等额正式发票后甲方安排付款事宜,否则甲方有权拒绝付款,且不负任何责
任,乙方不得以此为由拒绝履行相应义务。 第十一条:甲方权利和义务:甲方有权对乙方本项目工作进行督导,对于乙方不履行合同、不正确履行合同、不完全
履行合同等行为,甲方有权要求乙方立即更正,并采取其他补救措施。甲方有权对乙方本项目工作提出建议和修改意见。对于甲方提出的建议和修改意见,
乙方应当采纳并于三天内完成修改。甲方有权对乙方提供的设备,依照清单内容和约定标准进行测试和验收。测试或验收
不合格的设备,甲方有权无条件退货,并拒付相应款项。甲方出具验收合格文件的日期视为乙方正式交付货物的日期。甲方验收合格的结果仅
视为货物在外观、数量、型号、规格上符合约定的证明,检验合格文件的签署不导致甲方丧失因质量问题而向乙方索赔和求偿的权利,同时不免除乙方对于货物质量缺陷或瑕疵负有
广州公共资源交易中心编制
149
的相应责任。甲方负责本项目的主要管理工作,并有权要求乙方提交本项目的技术资料及各项报告。与本项目相关的其它方面进行业务和技术资料交流时由甲方牵头进行,若乙方向第三方提供技术资料需先经甲方书面同意。甲方应派出业务人员配合乙方完成本项目的实施,并向乙方提供与本项目相关的必要
的业务及技术资料。乙方对甲方提供的技术资料、原始数据等资料信息有异议的,应在收到之日起 2 个工作日内向甲方书面提出,否则视为乙方对甲方提供的资料信息予以认可,因资料信息错误或者缺陷等而导致的一切后果由乙方自行承担,给甲方造成损失的,乙方应予以赔偿。无论本合同因何种原因终止,乙方应向甲方返还甲方提供的所有资料信息,甲方另有要求的,以甲方具体要求为准。
第十二条:乙方权利和义务乙方应当遵守国家现行法律法规、行业规范、技术标准及甲方相关制度,根据甲方招标
文件与本合同的要求按期按质的完成本项目工作。乙方应向甲方公开与本项目有关的技术细节,提供必要的技术资料。乙方所提供的一切资料应通过合法途径获得,不得侵犯任何第三方的合法权益。未经甲方书面同意,乙方不得将本合同项下部分或全部权利义务转让第三人。第十三条:知识产权归属乙方根据合同所形成的本项目成果的一切知识产权归甲方所有,未经甲方书面同意,
乙方不得以任何方式使用本项目成果,亦不得以任何方式转让或者许可他人使用本项目成果。
前款所称本项目成果包括阶段性成果和最终成果。第十四条:一般保密条款乙方(包括但不限于乙方、乙方雇员、乙方工作人员、乙方指定人员、乙方委托人员等
下同)为履行本合同之目的接触到甲方保密信息的,乙方仅能为履行本合同之目的使用该保密信息。未经甲方书面同意,乙方不得为其他任何目的使用或者许可合同以外任何第三方使用
甲方保密信息,亦不得向合同以外任何第三方透露或者泄漏甲方保密信息。
广州公共资源交易中心编制
150
乙方应当采取严格的保密措施,与参与本项目的实施人员签订保密协议并报甲方备案,严格限定乙方内部知悉人员的范围,确保甲方保密信息不泄漏。
合同所称的甲方保密信息是指涉及甲方的所有未正式公开的信息、资料和物品,无论其表现形式如何,无论乙方通过何种方式取得。乙方根据本条规定承担的义务不因合同的无效、解除、终止而免除。第十五条:特定保密条款未经甲方书面同意,乙方不得以任何方式向合同以外任何第三方透露或者泄漏合同全
部或者部分内容,乙方根据法律必须披露合同内容的除外。未经甲方书面同意,乙方及其实施人员不得以任何方式向合同以外任何第三方透露或
者泄漏:1、甲方向乙方提供与本项目相关的业务及技术资料;2、本项目任何内容和情况;3、本项目成果内容。乙方及其实施人员根据本条规定承担的义务不因合同的无效、解除、终止而免除。第十六条:甲方违约责任甲方未能根据合同规定履行协助义务,因此造成乙方工作延误的,乙方不承担责任。
若乙方履行本合同确需依赖于甲方提供相关配合的,应事先向甲方提出书面说明并清晰、完整列明甲方需配合事项及时间等要求,经甲方确认同意后,甲方依约定完成配合事项;否则,甲方无需向乙方提供任何协助,乙方亦不能以此为由要求甲方承担任何责任或主张自己减轻或免除任何责任。甲方未能按照合同规定时间向乙方支付费用的,甲方应当向乙方支付违约金。违约金
的标准为每迟延支付一日,支付应付未付金额的千分之五,但违约金累计总额不超过应付未付金额的百分之五十,且不超过合同总金额的 5%(但由于财政拨付安排等非甲方原因,导致甲方逾期付款的,甲方不承担违约责任,并且此情况不能成为乙方逾期完成项目建设的理由。)。乙方如出现通过设备预留特别技术通道(后门)或其他技术路径而搜集、窃取、散发、
广州公共资源交易中心编制
151
外泄甲方及设备使用者工作信息等不当行为,则由乙方承担相关法律责任和关联赔偿义务,并无条件向甲方支付合同总价 30%的违约金。如涉及刑事责任,甲方有权将案件直接移送司法机关予以追究。
第十七条:乙方违约责任乙方未能按照招标文件和合同规定提交中标产品相关供货证明文件,或所交付的产品
品牌、型号、规格等指标不符合招投标文件和合同规定的,甲方有权拒收。乙方应当立即更正、采取补救措施,并向甲方支付违约金,违约金的支付标准为:自甲方拒收之日至乙方交付符合要求之产品或文件,每日支付合同总费用的千分之五。前述时间超过【】日的,甲方有权解除本合同。乙方逾期交付中标产品的,每逾期一天,乙方向甲方支付逾期交货部分产品款总额千
分之五的滞纳金,累计滞纳金总额不超过逾期交货部分产品款总额的百分之三十。逾期超过【】日的,甲方有权解除本合同。乙方未能按照合同规定履行义务或者完成本项目任务的,甲方有权要求乙方立即更正、
采取补救措施,并根据乙方投标文件报价和实际情况相应扣减乙方项目费用。未经甲方书面同意,乙方以任何方式使用本项目成果,或者以任何方式许可他人使用
本项目成果,或者向他人转让本项目成果的,甲方有权要求乙方立即更正,并要求乙方向甲方支付相当于合同总额百分之三十的违约金。乙方单方解除合同或合同因乙方原因解除的,乙方应立即退还所有费用,支付合同总
额 30%的违约金并另行赔偿甲方一切损失。本合同甲方损失包括但不限于甲方及相关方的实际损失、可得利益损失、甲方为处理违约事件所发生的包括调查费、评估费、公证费、仲裁费、诉讼费、律师费、交通费、费等费用在内的费用和开支等;若乙方违约行为导致甲方遭受第三方的指控时,损失亦包括甲方为应诉等行为和承担其他不利义务而支付的一切费用。乙方以下情况视为违约,按以下相应处置:1. 乙方向甲方所供货物必须满足招标文件★要求,否则甲方有权取消乙方中标资格,
广州公共资源交易中心编制
152
并解除本合同。2. 项目实施工作不符合要求2.1 未按时通过财政终验经监理方及外部专家评审确认,确系乙方原因造成本合同项目未能按时验收的,
乙方按合同总价的 10%支付甲方违约金;2.2未按时通过合同验收经监理方及外部专家评审确认,确系因项目质量原因造成项目未能按时验收的,
乙方按合同总价的 20%支付甲方违约金;2.3设备质量问题2.3.1由于乙方供货设备故障造成甲方无法访问互联网情况,乙方须按每分钟
2000元的标准向甲方支付违约金;2.3.2 设备发生故障后,乙方需在半小时内响应,远程无法解决的 2小时上门,
4小时内解决问题,如短时间内无法解决需在 8小时内提供替换备机,12小时内
需提供备机替换上线。12小时内无法提供备机替换上线的,乙方须按每分钟 2000
元的标准向甲方支付违约金。2.4 人员管理要求
广州公共资源交易中心编制
153
2.4.1关于缺勤运维人员未能按甲方规定实施驻场的,乙方按(600元/人×日)×(缺勤
人数)×(缺勤天数)的标准向甲方支付违约金。2.4.2关于请假乙方驻场人员请假的,需报甲方书面同意后方可准假,每季度请假累计不
得超过应驻场人×日的 5%,超过的,按缺勤处理.2.4.3 关于人员变更未经甲方同意,乙方未按照招标文件和乙方的投标文件提供运维项目团
队人员的,需支付合同总价 10%的违约金。2.4.4 关于违反驻场工作纪律运维驻场人员因违反甲方指定驻场场地工作纪律,而造成甲方损失的,
按甲方现有驻场管理办法处置。 2.4.5未按要求提交工作文档
未按照甲方要求提交项目文档,包括文档缺失、文档内容错漏等,乙方按
每份文档 1000元的标准支付违约金。 2.4.6违反保密规定
广州公共资源交易中心编制
154
违反双方保密协议规定,按保密协议处置。在合同项下乙方应付之违约金或赔偿金,甲方均有权从本项目未支付合同款中扣除
或履约保函中扣除也可要求乙方另行支付。第十八条:其他1、本合同适用中华人民共和国法律。2、甲乙双方因合同履行产生争议的,由合同双方协商解决;协商不成的,双方同意
由甲方所在地人民法院管辖。在诉讼期间,除了必须在诉讼过程中解决的部分问题外,合同其余部分应继续履行。
3、因法律、法规、政策、国家计划、实际情况变化,甲方认为本合同目的无法实现或本合同无法/不能继续履行或没有履行必要的,乙方同意甲方有权解除本合同并向甲方退还款项,甲方按乙方实际履行合同情况给予相应补偿。
4、除非甲方以书面形成签署声明外,甲方的任何行为、确认或忽略均不应视为或被推断为放弃其权利或免除、减轻乙方应承担的责任。
5、合同未尽事宜,由甲乙双方协商确定。甲乙双方应就协商事宜另行签订书面补充协议。
6、双方在本合同履行过程中相互发出或者提供的所有通知、文件、文书、资料等,均以本合同所列明的地址送达,一方向对方指定联络人手机或电子邮箱发送的短信或电子邮件亦视为已送达对方。一方如果迁址或者变更电话,应当书面通知对方,否则一方按原地址、原指定联络人邮寄相关材料或通知相关信息即视为已履行送达义务。
7、本合同一式六份,甲乙双方各执两份,广州公共资源交易中心执一份,政府采购管理机构执一份,各文本具有同等法律效力。
8、本合同自甲乙双方授权代表签字和盖章之日起生效。未经双方同意,任何一方无权终止合同。
(以下无正文)
广州公共资源交易中心编制
155
甲方(盖章): 乙方(盖章):
广州市数字政府运营中心
地址:广州市天河区龙口西路穗园西街 2号 地址:
邮编:510635 邮编:
电话: 电话:
甲方授权代表(签字): 乙方授权代表(签字):
年 月 日 年 月 日
广州公共资源交易中心编制
Recommended