扬州农村商业银行网络安全设备采购公告
来源:发布时间:2016年05月13日
因我行互联网业务需要,现公开采购防火墙、入侵防御(IPS)、WAF各一套,本着“公开、公平、公正、择优”的原则,请符合以下条件和规定的公司踊跃参与。投标公司需按要求制作投标文件,密封并加盖骑缝章,于2016年5月20日17点前送达(或邮寄)至扬州农商行监察室 金红收(地址:扬州市开发区鸿大路1号,邮编:225009,联系电话:0514-82990298)。密封袋上需注明网络安全设备采购项目投标文件字样,并注明公司名称,联系人及联系号码。
一、项目名称:
网络安全设备采购
二、合格的投标人
投标人参加本次招标采购活动必须具备以下条件:
1、资信条件:
1)依法取得工商行政管理机关颁发的《营业执照》和相关许可证件;注册资金不少于300万元
2)商业信誉良好;
3)具有履行合同必须具备的服务能力;
4)有依法缴纳税金的良好记录;
5)参加本次招标活动前两年内,在经营活动中无各种违法违规纪录;
6)具有有效的价格依据;
7)法律法规规定的其他条件。
8)设备提供商针对本项目的项目授权。
2、投标企业需提供书面承诺,在投标总价内实现并完成设备的安装、调试和配置、人员培训、正常运转、维护等,并保证不再另外收取任何费用;
3、投标企业应按照招标文件的要求编制投标文件。投标文件必须对招标文件提出的要求、条件及评标因素和内容做出实质性响应与承诺。
三、所投设备服务需求
所投的三个设备不得为同一品牌,三个设备组成为异构模式。
所投品牌需对此项目提供原厂三年质保函及三年原厂工程师服务函。
本次投标允许公司只投一个设备或多个设备。
四、产品技术参数及数量
防火墙、入侵防御、WAF均建议采用近三年国内成熟知名一线品牌(如山石、深信服、天融信、网御、启明星辰、绿盟)
1、防火墙,数量1台。
指标项 | 技术性能参数 |
操作系统 | 系统采用完全自主版权的操作系统;提供主、备双操作系统,提高设备自身可靠性和网络的可用性。 |
定位要求 | 本次购置的设备防火墙定位为中高端档,标准2U机架设备,双电源,中标防火墙必须开放全功能模块,防火墙类型定位为下一代防火墙,且至少包括以下功能(见下文参数),防火墙所有软件许可和硬件维保均为三年原厂,原厂能提供7*24小时快速响应服务。 |
固定端口数量 | 至少8个千兆电口(含一对 Bypass 接口);至少4个 SFP口;至少 2个万兆 SFP+口(投标时须提供加盖原厂公章的官网链接与官网截图证明原件),如不能提供8个千兆口,请提供SFP转千兆模块。 |
扩展性 | 支持4个接口板卡扩展槽位;千兆接口最大扩展到40个;万兆接口最大扩展到10个(投标时须提供加盖原厂公章的官网链接与官网截图证明原件) |
性能 | 整机吞吐量不小于16Gbps(投标时须提供加盖原厂公章的官网链接与官网截图证明原件) |
最大并发连接不小于600万(投标时须提供加盖原厂公章的官网链接与官网截图证明原件) | |
每秒新建连接数(TCP/HTTP):不小于20万/15万(投标时须提供加盖原厂公章的官网链接与官网截图证明原件) VPN连接用户数至少为5000个 | |
接入模式 | 支持透明、路由、混合、旁路、直连(虚拟线)五种工作模式 |
NAT功能 | 支持动态地址转换和静态地址转换,支持多对一、一对多和一对一等多种方式的地址转换 |
为解决公网IP地址资源问题,支持NAT的端口扩展技术,实现单个公网IP的无限地址转换 | |
路由协议 | 支持静态路由、等价路由、策略路由,以及BGP、RIPv1/v2、OSPF、ISIS等动态路由协议 |
高可用性(HA) | 支持A/P模式、A/A模式、Peer模式,支持非对称路由场景 |
支持基于接口、HTTP、PING、ARP、DNS、TCP等监测对象实现HA切换 | |
链路负载均衡 | 支持基于ISP的路由功能,支持内置ISP地址列表和自定义地址列表功能 |
支持SmartDNS功能;注:SMARTDNS功能实现当外部用户访问内部服务器时,联通用户解析到的域名IP为联通地址,电信用户解析到的域名IP为电信地址(投标时须提供加盖原厂公章的功能界面截图) | |
支持就近探测算法(根据SYN报文探测的响应时间和PING报文探测的响应时间等方法自动生成静态路由表,并将探测的响应时间生成日志)选择最优路径(投标时须提供加盖原厂公章的功能界面截图) | |
抗DDoS攻击 | 支持抵御所列所有攻击类型,包括:PortScan、DOS Flood、Sockstress、反射攻击、SSL攻击、应用层攻击等,动作支持记录、阻断两种模式。支持对不同安全域设定不同阈值和处理模式 |
防病毒 | 高性能的病毒过滤功能。领先的基于流扫描技术的检测引擎可实现低延时 的高性能过滤。支持对HTTP、FTP 及各种邮件传输协议流量和压缩文件 (zip,gzip,rar 等)中病毒的查杀 |
策略管理 | 支持防火墙策略命中数统计功能,便于管理员维护防火墙策略 |
支持冗余策略的检测(投标时须提供加盖原厂公章的功能界面截图) | |
应用协议智能识别 | 支持对2800+种应用的识别和控制,包括200+移动应用(iOS,Android等),(投标时须提供加盖原厂公章的功能界面截图) |
支持应用过滤器便于配置和维护,至少支持6个维度进行过滤,包括:名称、类别、子类、应用技术、风险界别、特性等;其中应用技术至少包括:基于浏览器、客户端服务器、网络协议、点对点;风险级别包括:1、2、3、4、5总共5个等级;特性包括:能够传输文件、已被大规模使用、大量消耗带宽、易逃逸、易被滥用、被其它应用使用、存在已知漏洞、被恶意软件利用(投标时须提供加盖原厂公章的功能界面截图) | |
支持将通过应用过滤器筛选出来的应用直接生成模板供用户统一管理使用(投标时须提供加盖原厂公章的功能界面截图) | |
支持扩展未知威胁检测 | 未知威胁检测:采用高级威胁检测引擎的行为分析技术检测无法通过特征方式检测出来的未知网络威胁(如威胁的加壳与变种)提供未知威胁的检测详细说明截图:包括检测时间、名称、域名、已知恶意URL、恶意软件的可信度等(投标时须提供加盖原厂公章的功能界面截图) |
监控统计 | 要求支持基于IP地址的流量和会话统计的功能,包括短时间周期和长时间周期,通过图表的形式直观地呈现出来 |
要求支持基于应用的流量和会话统计功能,包括短时间周期和长时间周期,通过图表的形式直观地呈现出来。 | |
要求支持自定义统计集的功能。 | |
管理员密码策略 | 支持自定义管理员密码最小长度、密码复杂度设置 |
系统登录管理员支持双因素认证 | |
三权分立 | 至少内置三种管理角色,包括系统管理员、系统操作员、系统审计员(投标时须提供加盖原厂公章的功能界面截图) |
厂商资质 | 公安部颁发的《计算机信息系统安全专用产品销售许可证》(万兆三级),提供证书文件复印件并加盖原厂公章有效 |
中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》(万兆三级),提供证书文件复印件并加盖原厂公章有效 | |
中国信息安全测评中心颁发的《信息技术产品安全测评证书》EAL3(万兆)提供证书文件复印件并加盖原厂公章有效 | |
防雷击浪涌等级四级,通过国家无线电监测中心检测中心浪涌(冲击)抗扰度(4KV)测试项目,并出具国家无线电监测中心检测中心委托测试报告 |
2、入侵防御(IPS),数量1台。
定位要求 | 本次购置的IPS定位为中高端档,标准机2U架设备,中标IPS必须开放全功能模块,且至少包括以下功能(见下文参数),IPS所有软件许可和硬件维保均为三年原厂,原厂能提供7*24小时快速响应服务。 |
固定端口数量 | 至少4个千兆电口,至少两组BYPASS接口(投标时须提供加盖原厂公章的官方彩页截图证明原件) |
扩展性 | 最大千兆电口数量:至少8个千兆电口(投标时须提供加盖原厂公章的官方彩页截图证明原件) |
最大千兆光口数量:至少4个千兆光口(投标时须提供加盖原厂公章的官方彩页截图证明原件) | |
扩展槽位数:至少1个通用插槽(投标时须提供加盖原厂公章的官方彩页截图证明原件) | |
性能 | 整机吞吐:不小于8G(投标时须提供加盖原厂公章的官方彩页截图证明原件) |
IPS性能:不小于4G(投标时须提供加盖原厂公章的官方彩页截图证明原件) | |
最大并发连接数(HTTP):不小于100万(投标时须提供加盖原厂公章的官方彩页截图证明原件) | |
每秒新建连接数(HTTP):不小于5万(投标时须提供加盖原厂公章的官方彩页截图证明原件) | |
Web防护 | 系统具备对网站外链防护功能,可以对Web服务系统提供保护 |
系统具备对CC攻击的检测和防御能力,可以对Web服务系统提供保护 | |
系统具备对跨站脚本攻击的检测和防御能力,可以对Web服务系统提供保护(投标时须提供加盖原厂公章的功能界面截图) | |
系统具备对SQL注入攻击的检测和防御能力,可以对Web服务系统提供保护(投标时须提供加盖原厂公章的功能界面截图) | |
入侵防御 | 支持针对HTTP、SMTP、IMAP、POP3、VOIP、NETBIOS等20余种协议和应用的攻击检测和防御(投标时须提供加盖原厂公章的功能界面截图) |
支持自定义入侵防御特征(投标时须提供加盖原厂公章的功能界面截图) - 依据IP、TCP、UDP、IGMP、ICMP等网络层的各项参数设置特征 l- 全面设置TCP/IP应用层的特征比对内容,不受通信协议的限制 l- 支持跨数据包检测机制,包括:比对位移(matching offset)、比对长度(matching depth)、比对距离(matching distance)、比对范围(within) l- 支持基于流的数据包(stream-based)比对技术 | |
提供5000多种特征的攻击检测和防御,特征库支持网络实时更新(投标时须提供加盖原厂公章的功能界面截图) | |
部署模式 | —监控模式-IDS |
—L2透明模式-IPS | |
—L3模式(支持NAT,PAT,路由等),可支持多条线路 | |
应用识别 | 可识别超过2,800种以上应用程序(投标时须提供加盖原厂公章的功能界面截图) |
支持SSL加密应用识别与控制(投标时须提供加盖原厂公章的功能界面截图) | |
告警与邮件通知 | 支持电子邮件、SNMP、SYSLOG及自定义等多种响应方式进行实时推送。 |
日志与报表 | 支持报表,报表需要包含多视角,提供安全风险概览、安全风险详情、威胁类型、网络流量分析、系统运行状况不同维度报表(投标时须提供加盖原厂公章的功能界面截图) |
支持PDF报表格式 | |
支持周期性报表输出 | |
丰富的威胁日志内容,包含CVE-ID、漏洞描述信息和解决方案(投标时须提供加盖原厂公章的功能界面截图) | |
支持日志导出和过滤搜索(投标时须提供加盖原厂公章的功能界面截图) | |
厂商资质 | 产品应具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》(千兆)(投标时须提供加盖原厂公章的有效证书复印件) |
产品具有中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》(千兆)(投标时须提供加盖原厂公章的有效证书复印件) | |
具有自主知识产权专用的安全操作系统(投标时须提供加盖原厂公章的有效证书复印件) | |
具备IPS软件著作权(投标时须提供加盖原厂公章的有效证书复印件) | |
3、WAF,数量1台。
,
技术指标 | 指标要求 | |
基本要求 | 要求提供全功能模块,软件许可和硬件维保均为三年原厂, 原厂能提供7*24小时快速响应服务。 | |
硬件规格 | 标准1U机架式设备,标配8个10/100/1000 Base-T千兆电口,并含2个高速USB2.0接口,1个RJ45串口 整机吞吐量≥8Gbps,七层吞吐量≥1.5Gbps,并发连接数≥2,000,000,每秒新建连接数≥100,000 | |
部署方式 | 支持网关模式,支持NAT、路由转发、DHCP等功能;支持网桥模式,以透明方式串接在网络中;支持同时开启网关和网桥模式。 | |
网络适应能力 | 支持802.1Q协议,VLAN解码,在Trunk主链路上部署 | |
支持端口汇聚(port-channel),显著提高设备间的吞吐能力 | ||
为了满足不同网络组网需要,支持静态路由、RIP、OSPF路由配置 | ||
WEB安全防护 | 支持OWASP定义10大web安全威胁,保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解 | |
支持Web网站隐藏,包括HTTP响应报文头出错页面的过滤,web响应报文头可自定义。 | ||
需支持Web服务器软件(IIS、tomcat、nginx、apache)自身漏洞安全防护,web服务器底层操作系统漏洞安全防护 | ||
支持FTP服务应用信息隐藏包括:服务器信息、软件版本信息等。 | ||
URL过滤,对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST等应用行为;并进行阻断和记录日志。 | ||
脚本过滤,支持基于操作类型的脚本过滤,如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等。 | ||
自动建立网站合法访问行为模型。 | ||
提供内置规则及自定义规则。 | ||
产品可防御常规盗链和分布式盗链。 | ||
产品可防御恶意扫描。 | ||
防web攻击逃逸(ASCII编码的还原、Unicode编码的还原、各种混淆编码的还原) | ||
WEBSHELL文件拦截 | ||
支持应用识别类型、URL、用户名、接口、安全域、IP地址、端口、时间等进行细粒化应用访问控制列表 | ||
支持APT检测功能,防止僵尸网络感染PC终端用户 | ||
网页篡改防护 | 支持网关型网页防篡改,无需在服务器中安装任何插件。 | |
动态网页/静态网页支持,全面保护网站的静态网页和动态网页,支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全,完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改。 | ||
业务管理与安全管理分离,支持提供管理员业务操作界面与网管管理界面分离功能,方便业务人员更新网站内容。 | ||
篡改防护效果,支持通过替换、重定向等技术手段,防护篡改页面。 | ||
报警方式,支持短信报警、邮件报警、控制台报警等多种篡改报警方式 | ||
敏感信息防泄漏 | 可定义的敏感信息,内置常见敏感信息的特征,且可自定义敏感信息特征,如用户名、密码、邮箱、身份证信息、MD5密码等。 | |
数据文件敏感信息检测,支持数据库文件敏感信息检测,防止数据库文件被“拖库”、“暴库”。 | ||
http敏感信息检测,支持正常访问http连接中非法敏感信息的外泄操作。 | ||
弱口令扫描 | 支持ftp、mysql、oracle、mssql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令评估与扫描 | |
智能策略联动 | 风险评估可以实现web安全防护模块的智能策略联动,自动生成策略(需提供截图证明并加盖厂商公章)。 | |
数据中心 | 设备必须支持内置数据中心(需提供截图证明并加盖原厂商公章)。 | |
特征库实时更新 | web攻击特征库支持在线,应每月至少更新两次(要求提供官网最近1年内的截图证明) | |
日志/报表 | 风险评估报表 | 提供端口、服务、漏洞、弱密码、WEB安全漏洞等安全风险评估报表 |
安全日志查询 | 支持DOS攻击、web防护、IPS、病毒、web威胁、网站访问、应用控制、用户登录、系统操作等多种安全日志查询 | |
安全趋势报表 | 提供可定义时间内安全趋势分析报表 | |
服务器安全报表 | 提供遭受攻击最多服务器、攻击类型分布、攻击最多来源IP、服务器安全说明、服务器安全分析等内容服务器安全报表(需提供截图证明并加盖原厂商公章) | |
安全统计报表 | 支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容,并形成报表 | |
报表订阅 | 支持将统计/趋势等报表自动发送到指定邮箱 | |
报表导出 | 支持导出安全统计/趋势等报表,包括网页、PDF等格式 | |
高可 用性 | HA部署 | 支持A/S主从部署方式,出现设备宕机、端口失效等故障时,完成主机和备机的即时切换,确保关键应用的持续正常运转。 |
BYPASS方案 | 内置硬件bypass模块,设备故障直接切换到bypass模式;支持软件BYPASS功能,系统软件故障时,系统自动实现旁路保护,避免网络中断等事故的发生。 | |
售后服务要求 | 必须在省内有厂家直属的服务办事机构,提供7*24小时快速响应服务 | |
厂商资质 | 国家规划布局重点软件企业和国家级高新技术企业证书;具有国密办商用密码产品生产定点单位证书 | |
售后服务体系通过ISO9001认证 | ||
为了保障项目的环境质量,要求产品制造厂商具备IS014001环境管理体系认证证书 | ||
产品资质 | 产品应具备软件著作权登记证书; , 产品应具备计算机信息系统安全专用产品销售许可证; 产品应具备CVE兼容性认证证书和OWASP web防火墙认证证书; | |
其他 | 中标后三个工作日内,提供样机进行上述功能要求的逐一测试验证,全部通过后才能执行合同流程,测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。 | |
五、其他要求
(1)投标人必须于2016年5月20日17:00前将标书送达。
(2)本次投标报价应含运输、卸货、安装、调试、税金等交付采购方使用前所有可能发生的所有费用,交货地点为采购方指定地点。
(3)投标文件组成:
1、投标书至少包含企业营业执照(副本)、税务登记证、组织机构代码证三证复印件(或三证合一证件)并加盖公章;
2、法人代表授权书;
3、报价表(加盖公章);
4、相关成功案例(合同复印件或甲方原始证明);
5、投标商认为有必要提供的资料等。标书装订成册密封于一个密封袋内;密封袋上需注明投标单位名称,项目名称,联系人,联系电话并加盖单位公章。
合同签订、供货时间及付款方式成交供应商持成交通知书三个工作日内与采购人签订合同,否则视为弃权;合同签订后10个工作日内完成供货。项目实施竣工,经验收合格,付款90%,余下10%在设备安装运行12个月后付清余款。
六、评审方法:
开标时间:另行通知。
开标方式:由我单位负责单独开标,如有需要有现场讲标的可能,中标单位由电话通知,未中单位恕不另行通知。
评分原则:本次项目采用综合评估法确定中标人。我们将综合考虑商务条款、报价、成功案例、服务、技术方案等内容并采取打分的方法衡量投标文件是否最大限度地满足招标文件中规定的各项评价标准,满分为100分,得分最高者为中标人,最低价者有不中标的可能。
有以下情形之一的,投标人按废标处理:
1、投标文件逾期送达的或者未送达指定地点的;
2、未按投标文件规定签署、盖章和密封的;
3、未按照招标人所要求的参数进行投标的;
4、标书中未能提供原厂项目授权函和产品质保函原件;
5、提供虚假证明材料或材料提供不全;
6、供应商报价明显低于市场价的恶性竞标;
7、参与投标的供应商数量少于三家。
七、本次招标最终解释权归扬州农村商业银行。
[苏公网安备号32100302010005]