苏州市公共资源交易中心昆山分中心受昆山市档案馆的委托,为其拟采购的IPS入侵防御、上网行为管理、数据库审计、日志审计、防火墙、交换机项目进行询价,欢迎符合条件的供应商前来参与。
一、采购人信息:
1.采购单位:昆山市档案馆;
2.联系人:程知;
3.联系电话:0512-57726370;
4.联系地址:昆山市震川西路1618号。
二、采购代理机构信息:
1.采购代理机构:苏州市公共资源交易中心昆山分中心;
2.联系人:赵珍、俞建琨;
3.联系电话:0512-57382001;
4.地址:昆山市前进西路1801号A2栋620。
三、项目概况:
1.项目编号:KSZC2020-X-005号;
2.项目预算:人民币肆拾叁万壹仟元整(¥431000.00);
3.采购内容:IPS入侵防御、上网行为管理、数据库审计、日志审计、防火墙、交换机;
4.交付时间:合同签订后10天内;
5.质保期:三年;
6.产品清单:
|
序号 |
名称 |
数量 |
|
1 |
IPS入侵防御 |
1台 |
|
2 |
上网行为管理 |
1台 |
|
3 |
数据库审计 |
1台 |
|
4 |
日志审计 |
1台 |
|
5 |
防火墙 |
1台 |
|
6 |
交换机 |
1台 |
1.入侵防御系统IPS:
|
技术指标 |
指标要求 |
|
性能参数 |
网络层吞吐量≥8Gbps; IPS吞吐量≥3Gbps;并发连接数(TCP)≥1800000;新建连接数(CPS)≥40000;存储:≥64G SSD;接口:千兆电口≥10个;尺寸:1U;电源:单电源; |
|
功能指标 |
指标要求 |
|
部署方式 |
支持路由部署、透明网桥部署、旁路部署、虚拟网线以及混合部署等多种方式; |
|
URL过滤 |
内置海量URL分类库,包含非法及不良网站、成人内容、网上购物、微博论坛等分类,实现全面高效的不良网站过滤。 |
|
入侵防护功能 |
支持对服务器和客户端的漏洞攻击防护,支持XSS攻击、SQL注入等WEB攻击行为进行有效防护; |
|
支持根据国家/地区来进行地域访问控制,保障业务访问安全性; |
|
|
数据泄漏防护 |
支持细致的服务器敏感数据识别,识别维度包含服务器IP、业务重要性、识别方式、开放的服务与端口、敏感数据页面数以及更新时间等,并且可以进行详细的页面URL以及页面信息举证; |
|
僵尸主机检测 |
★支持蜜罐功能,即恶意域名重定向至蜜罐IP地址,监听对蜜罐地址的访问,用于DNS代理服务器场景下定位内网感染僵尸网络病毒的真实主机IP地址;(需提供相关功能截图证明) |
|
设备具备独立的热门威胁库,支持木马、勒索软件、蠕虫、挖矿病毒等种类,特征总数在60万条以上; |
|
|
|
★支持对终端已被种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;(需提供相关功能截图证明) |
|
|
支持采用无特征AI检测技术对恶意勒索病毒及挖矿病毒等热点病毒进行检测;(需提供相关功能截图证明) |
|
安全可视化 |
支持全网实时热点事件TOP10展示; |
|
支持基于攻击阶段图的方式来匹配并展示当前用户遭受到攻击的具体所处状态,并详细给出针对性处理建议,便于用户快速响应安全问题; |
2.上网行为管理AC:
|
技术指标 |
指标要求 |
|
|
吞吐量≥2Gb;并发会话数≥150,000;用户规模≥2000人;设备接口:千兆电口≥6个,串口(RJ45)≥1个,USB3.0≥2个;硬盘≥1TB;支持BYPASS ;电源:单电源;尺寸:标准1U架构 |
|
功能指标 |
指标要求 |
|
部署方式 |
支持网关模式,支持NAT、路由转发、DHCP、GRE、OSPF等功能;支持网桥模式,以透明方式串接在网络中;支持电口、光口bypass;支持旁路模式,无需更改网络配置,实现上网行为审计;旁路支持主主、主备模式部署; |
|
|
支持部署在IPv6环境中,设备接口及部署模式均支持ipv6配置;所有核心功能(上网认证、应用控制、流量控制、内容审计、日志报表等)都支持IPv6; |
|
网关管理 |
支持细致的管理员权限划分,包括对不同用户组的管理权限、对各种主要功能界面的配置和查看权限; |
|
实时监控 |
★针对内网用户的web访问质量进行检测,对整体网络提供清晰的整体网络质量评级,支持以列表形式展示访问质量差的用户名单,可对单用户进行定向web访问质量检测;(需提供相关功能截图证明) |
|
用户管理 |
支持触发式WEB认证,静态用户名密码认证等; |
|
支持二维码认证,担保人扫描访客的二维码后对其网络访问授权;支持访客填写信息、担保人填写信息、免填写信息三种模式; |
|
|
应用管理 |
设备内置应用识别规则库,支持超过6000条应用规则数,支持超过2800种以上的应用,1000种以上移动应用,并保持每两个星期更新一次,保证应用识别的准确率; |
|
能够对Github、百度网盘、百度文库等网络应用的上传动作进行细分控制; |
|
|
能够对teamview、QQ远程桌面等远程控制应用做细分控制,如:接受对方远程控制; |
|
|
网页管理 |
设备内置海量预分类的URL地址库,支持根据URL类别实现URL过滤;URL数量在3000万以上,包含分类数量150个以上 |
|
支持对加密HTTPS、POP3-SSL 、POP3、IMAP 、IMAP-SSL、SMTP-SSL、SMTP邮件内容的审计; |
|
|
流量控制 |
能够实时看到各级流控通道的状态:包括所属线路、瞬时速率、通道占用比例、用户数、保证带宽、最大带宽、优先级,启用状态等; |
|
支持在设置流量策略后,根据整体线路或者某流量通道内的空闲情况,自动启用和停止使用流量控制策略,以提升带宽的高使用率; |
|
|
★支持通过抑制P2P的上行流量,来减缓P2P的下行流量,从而解决网络出口在做流控后仍然压力较大的问题;(需提供相关功能截图证明) |
|
|
上网行为审计 |
必须能审计记录网页正文内容;必须支持只记录含有指定关键字的网页正文内容;必须支持记录SSL加密网页的内容; |
|
支持预置几组关键字,当审计日志中出现这些关键字时,将定期以邮件的方式发送报告给指定邮箱 |
3.数据库审计:
|
功能指标 |
指标要求 |
|
产品结构 |
要求为一个完整的软硬件一体化产品;吞吐量≥3Gbps,SQL处理性能:数据库流量比≥1Gb/s,日志条数≥5亿条/天(总条数),日志留存≥180天;≥6个千兆电口,≥2个千兆光口;≥2TB SATA盘; |
|
产品架构 |
采用标准2U机架式硬件; |
|
操作系统 |
深度定制优化的Linux系统; |
|
管理方式 |
B/S方式,采用HTTPS方式远程安全管理,无需安装管理客户端; |
|
设备部署 |
提供旁路接入模式,设备部署不影响原有网络结构; |
|
部署模式 |
工作模式:数据库审计产品可以旁路镜像模式部署,不影响数据库性能和网络架构;支持多点联合部署; |
|
部署管理 |
采用B/S管理方式,无需在被审计系统上安装任何代理;无需单独的数据中心,一台设备完成所有工作;提供图形用户界面,以简单、直观的方式完成策略配置、警报查询、攻击响应、集中管理等各种任务; |
|
审计功能 |
支持主流数据库Oracle、SQL-Server、DB2、MySQL、informix、sybase、Postgresql、Cache、MongDB,K-DB、达梦、人大金仓、南大通用 |
|
支持同时审计多种数据库及跨多种数据库平台操作 |
|
|
支持HTTP请求审计,可指定GET、POST、URL、响应码进行精细审计; |
|
|
支持白名单审计,系统使用审计白名单将非关注的内容进行过滤,不进行记录,降低了存储空间和无用信息的堆砌 |
|
|
支持时间段、源IP、客户端程序、业务系统、数据库用户、数据库名、操作类型、表名、返回行数、影响行数、响应时长、响应码等对数据库日志进行精细检索; |
|
|
深度解码数据库网络传输协议,完整记录用户数据库会话细节,包括发生时间、源IP、源端口、源MAC、目的IP、目的端口、数据库用户、数据库类型、操作类型、SQL语句、SQL模版、客户端程序名、响应码、影响行数、返回行数、SQL预计响应时间; |
|
|
支持客户端程序、数据库用户、操作类型、数据库名表名、响应时间、返回行数、影响行数、响应内容等实现对敏感数据库操作的精细监控; |
|
|
统计功能 |
支持以图表方式(饼图、柱图、曲线图、清单列表)显示日志数据分布情况; |
|
支持以源IP、业务主机、操作类型、SQL模版、数据库用户为维度的数据库行为排行; |
|
|
支持执行SQL语句失败分析,包括登录失败排行,SQL语句失败排行; |
|
|
支持指定源IP、时间日期、客户端程序、业务系统、数据库用户、操作类型等精细日志查询; |
|
|
精细化日志秒级查询:通过SQL串模式抽取保障磁盘IO的读写性能;分离式存储SQL语句保障数据审计速度快; |
|
|
TB级日志秒级查询、支持指定源IP、时间日期、客户端程序、业务系统、数据库用户、操作类型等精细日志查询、支持操作类型精细化日志查询、支持风险级别排行统计查询、支持数据库条件的统计查询、支持统计趋势查询分析、支持风险级别查询分析、支持通过多SQL语句的统计查询、支持统计分析下钻、支持业务系统元素统计查询; |
|
|
支持以时间、源IP、客户端程序、业务系统、数据库用户、数据库名、操作类型、表名、返回行数、影响行数、响应时长、响应码、策略、规则、风险级别、SQL模版为条件的数据库风险查询。 |
|
|
支持以风险级别、源IP、业务主机、数据库用户、风险类型为维度的数据库风险排行。 |
|
|
数据库安全 |
内置大量SQL安全规则,包括如下:导出方式窃取、备份方式窃取、导出可执行程序、备份方式写入恶意代码、系统命令执行、读注册表、写注册表、暴露系统信息、高权存储过程、执行本地代码、常见运维工具使用grant、业务系统使用grant、客户端sp_addrolemember提权、web端sp_addrolemember提权、查询内置敏感表、篡改内置敏感表等; |
|
可以对SQL语句进行安全检测,并识别当前的SQL操作是否有暴库、撞库等严重性安全问题,如果命中了安全风险规则,那么可根据动作进行阻断、告警、记录等操作,可提示管理员作出相应的防御措施 |
|
|
支持基于SQL命令的webshell检测; |
|
|
风险分析 |
支持以时间、源IP、客户端程序、业务系统、数据库用户、数据库名、操作类型、表名、返回行数、影响行数、响应时长、响应码、策略、规则、风险级别、SQL模版为条件的数据库风险查询; |
|
响应方式 |
支持Syslog告警、SNMP trap告警、邮件告警,短信告警; |
|
支持WEB界面备份及日志恢复导入工作; |
|
|
系统管理 |
支持审计系统用户(组)管理(添加、修改、删除、停用、启用); |
|
提供管理员权限设置和分权管理,提供三权分立功能,系统可以对使用人员的操作进行审计记录,可以由审计员进行查询,具有自身安全审计功能。 |
4.日志审计LAS:
|
功能指标 |
指标要求 |
|
产品结构 |
要求为一个完整的软硬件一体化产品;无需用户另行提供服务器、操作系统、数据库、防火墙软件、及用户手动升级系统补丁;内置≥50个主机审计许可,可用存储量≥2*1TB SATA盘,≥6个千兆电口; |
|
操作系统 |
深度定制优化的Linux系统; |
|
管理方式 |
B/S方式,采用HTTPS方式远程安全管理,无需安装管理客户端; |
|
设备部署 |
提供旁路接入模式,设备部署不影响原有网络结构; |
|
数据存储 |
所供系统设备必须自带本地存储功能; |
|
RAID架构以保证数据可靠性; |
|
|
支持后期扩展外部网络存储(IP SAN、NAS、DAS、磁盘阵列等); |
|
|
数据采集 |
支持通过页面直接将日志文件导入或以syslog方式接收日志信息,支持日志类型:UNIX、WINDOWS事件[2000、2003、2008、XP、VISTA、Win7及以上版本]、网络及安全设备 |
|
支持SNMP日志采集,支持日志类型:网络及安全设备[深信服、Cisco、Array、Juniper、H3C、神州数码、绿盟、天融信、安氏领信、网神]; |
|
|
支持镜像数据采集,支持类型:数据库模块[Oracle、Mssql、Mysql、DB2、Informix、Sybase、DM]、文件传输模块[FTP、SMB、HTTP]、邮件模块[SMTP、POP、HTTP]、远程控制模块[Telnet]、网站访问模块[网页浏览]、应用服务模块[FTP] |
|
|
监控功能 |
支持以图表方式(饼图、柱图、曲线图)显示当日日志数据分布情况; |
|
支持对所添加的资产进行实时监控,并能以不同图标显示发生的事件及告警; |
|
|
支持实时监控系统当前运行状态,包括系统CPU、内存、硬盘状态及管理员操作; |
|
|
报表分析功能 |
系统内置多种类报表模板; |
|
支持动态\静态(日报、周报、月报)两种系统生成方式; |
|
|
支持导出html、Excel、PDF; |
|
|
查询分析功能 |
支持多种方式的查询检索,包括:日志检索、事件检索、告警检索、高级检索; |
|
支持以日志类型、时间范围及条件字段快速检索过滤; |
|
|
支持高级检索以多条件组合查询方式,可以将每一个日志字段作为查询条件进行查询; |
|
|
策略管理功能 |
支持显示审计事件分类统计列表,根据审计策略名称、审计事件类型、被审计人员、目标设备地址四个维度展现; |
|
支持内置关联分析策略,可设定用户在规定时间内连续多次输入错误口令产生告警或事件; |
|
|
支持以告警页面、短信、邮件、SYSLOG、SNMP等各种方式呈现告警信息; |
|
|
数据管理功能 |
支持按日志属性、日志类型、时间范围进行数据备份; |
|
支持WEB界面备份及日志恢复导入工作; |
|
|
系统配置功能 |
支持审计系统用户(组)管理(添加、修改、删除、停用、启用); |
|
支持从WEB界面查看网卡IP设置,修改静态路由设置等内容; |
|
|
支持安全页面(SSL)证书下载; |
|
|
系统自身安全 |
系统内置安全防火墙;支持控制访问审计主机范围; |
|
必需提供内部通讯检查机制,传输128加密; |
|
|
管理界面与其他功能模块分离; |
|
|
日志数据安全 |
审计日志文件方式存储; |
|
审计日志加密导出审计系统; |
|
|
支持对所有审计管理员操作审计系统的动作进行审计; |
5.防火墙招标参数
|
序号 |
指标项 |
功能描述 |
|
1、设备基本要求 |
专有硬件平台 |
1U机架式。硬件平台采用先进的多核网络专用架构, 非X86的多核架构或ASIC架构,硬件平台采用多核处理器,使用64位MIPS多核处理器,处理器最低配置为4核心以上并行处理CPU(RMI或者Cavium芯片)。 |
|
安全系统 |
64位安全操作系统,需提供国家知识产权局颁发的“安全操作系统软件著作权”证书 |
|
|
管理接口 |
1个CON口, 1个 USB2.0口 |
|
|
接口数量 |
≥5个千兆电口、4个GE/SFP光电复用口。每个接口可划分到不同安全域实现各接口间的安全隔离,提供独立的带外管理接口和HA接口。 |
|
|
★防雷击浪涌 |
防雷击浪涌等级四级,通过国家无线电监测中心检测中心浪涌(冲击)抗扰度(4KV)测试项目,并出具国家无线电监测中心检测中心委托测试报告复印件 |
|
|
2、性能要求 |
吞吐量 |
≥4.5Gbps,最大6Gbps |
|
IPsec VPN吞吐率 |
≥3Gbps |
|
|
并发会话数 |
≥100万,最大200万 |
|
|
AV防病毒模块 |
≥1.2Gbps(本次配备AV防病毒模块) |
|
|
IPS入侵防御模块 |
≥1.8Gbps(本次配备IPS入侵防御模块) |
|
|
★最大IPSEC VPN隧道数 |
≥2000,无需增加授权许可,缺省免费提供。 |
|
|
每秒新建连接数 |
(TCP) ≥ 8万, (HTTP) ≥6万 |
|
|
SSL VPN用户数 |
SSL VPN用户数本次配置8个,最大需支持1000个 |
|
|
3、网络适应性 |
支持端口镜像 |
支持将任意接口数据完全镜像到设备自身的其余接口,用于抓包分析 |
|
接口二级IP |
必须支持接口二级IP功能,且可配置的二级接口IP不少于6个 |
|
|
接入模式 |
必须支持透明、路由、混合、旁路四种工作模式,支持虚拟系统技术。必须支持在旁路模式下对流量进行统计、扫描、记录和会话重置。 |
|
|
多链路负载均衡(ECMP、WCMP) |
支持智能链路负载均衡技术,可动态探测链路响应速度并选择最优链路进行转发。支持基于源、基于源和目的、基于会话等多种负载均衡模式。支持HTTP GET、DNS请求和TCP端口的方式探测被监控链路或被监控服务器的健康状态。支持GRE和GRE over IPSec,IPSec VPN、SSL VPN、L2TP VPN。 |
|
|
支持对服务器的负载均衡 |
支持链路ping、应用端口等方式探测服务器状态,支持服务器负载均衡,支持智能DNS功能,使外网访问内部服务器的流量可以在多条链路上实现智能分担。 |
|
|
★支持BFD 功能 |
支持BFD与静态路由/OSPF/BGP进行联动。快速检测到与相邻设备间的通信故障,减小设备故障对业务的影响。通过与动态路由协议联动,缩短收敛时间,提升可靠性。 |
|
|
基于应用的健康监测 |
必须支持HTTP GET、DNS请求和TCP端口的方式探测被监控链路或被监控服务器的健康状态 |
|
|
★支持线路过载保护功能 |
当某条外网线路拥塞时,自动将其流量切换到其他链路;系统对各出口的流量带宽进行实时监测,当自身接口的流量带宽超过配置的阈值时,新建会话的流量将不再从这个接口转发。当此接口的流量带宽回落到正常值以下时,新建会话的流量再恢复从这个接口转发 |
|
|
VPN支持 |
支持GRE和GRE over IPSec、IPSEC VPN、SSL VPN、L2TP VPN |
|
|
ARP欺骗防护 |
支持免费ARP广播,ARP客户端认证(基于PKI技术)防止ARP攻击和ARP病毒 |
|
|
路由协议 |
OSPF、BGP和RIPv1/v2(动态路由协议非透传)支持策略路由、支持ISP路由并内置多运营商路由表;必须支持IPv4和IPv6的静态路由;必须支持基于会话的原路回包功能,可设置优先于路由策略而通过会话表中的入接口进行回包;必须支持基于动态端口应用协议的策略路由;必须支持基于角色、用户、用户组的策略路由。 |
|
|
高可用性(HA) |
支持A-S模式,A-A模式 |
|
|
IPv6功能 |
支持地址自动配置功能,包括全状态自动配置(StatefulAutoconfiguration)和无状态自动配置(Stateless Autoconfiguration)以及手工配置,并支持IPv6/v4双协议栈功能 |
|
|
802.3ad 链路聚合 |
透明、路由模式下支持将多条链路带宽进行捆绑 |
|
|
NAT技术 |
要求必须支持NAT full cone模式。 |
|
|
要求必须支持多对多的NAT,且公网地址池可选择逐一使用和同时使用两种模式 |
||
|
支持NAT公网地址池中IP有效性检测,避免因NAT地址无法使用导致业务中断。 |
||
|
为解决公网IP地址资源问题,要求必须支持NAT的端口扩展技术,突破传统单个公网地址64512个端口的瓶颈,而可以达到更大值。 |
||
|
要求必须支持基于标准SYSLOG及二进制的日志格式,且需具备高性能硬件日志服务器设备供选择。 |
||
|
IPV6 |
必须支持基于IPv6邻居发现协议(ND)的攻击防护,包括地址欺骗攻击、路由通告欺骗攻击及泛洪攻击等 |
|
|
支持对IPV6用户的会话日志监控、流量监控、应用监控功能,并且能够对IPV6用户进行自定义监控统计功能 |
||
|
必须支持IPv6与IPv4的网络地址与协议转换技术:NAT64和DNS64 |
||
|
4、访问控制 |
抗ddos攻击 |
必须支持抵御所列所有攻击类型,包括:DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、Winnuke |
|
会话控制 |
必须支持会话控制功能,要求能够基于源、目的、应用协议三种条件做会话数限制 |
|
|
必须支持会话控制功能,要求能够限制会话新建速率 |
||
|
DNS安全防护 |
必须支持DNS透明代理 |
|
|
必须支持DNS代理黑白名单功能,用户可通过该功能过滤域名查询请求,保护DNS服务 |
||
|
ALG应用 |
必须支持所列所有应用,包括:H.323、SIP、FTP、TFTP、RSH、RTSP、SQL Net、HTTP、MS-RPC、PPTP/GRE、SUN-RPC |
|
|
访问控制 |
支持按照应用、时间、用户帐号、IP地址、服务端口、物理端口等方式对数据进行访问控制 |
|
|
策略管理 |
必须支持对防火墙策略命中次数进行统计 |
|
|
用户认证 |
支持本地数据库,并可通过LDAP、Radius和Windows AD域联动 |
|
|
认证用户提供有效期功能,并在登录成功页面上提示剩余时间 |
||
|
支持本地用户通过Web认证后,通过认证登录成功页面修改自己的用户密码 |
||
|
单点认证 |
支持与AD域联动,同步登录信息,使已登录域的用户实现单点认证 |
|
|
★SSL代理(加密协议内容过滤) |
必须支持SSL代理功能,对SSL加密的HTTPS流量进行URL过滤、IPS和病毒过滤 |
|
|
必须支持对使用SSL代理功能支持请求、例外、卸载模式,请求模式是针对cert-subject-name为白名单,当检查到证书中的CN匹配到list中的CN时,做代理;例外模式是针对cert-subject-name为为黑名单,当证书中的CN匹配到list中的CN时,则不会对连接做代理;卸载模式是设备检测到https连接,就会对https进行解密操作,然后将解密后的数据以明文的方式发送给server端。 |
||
|
必须支持对使用SSL代理功能自定义执行动作,对过期服务器证书进行检查,支持设置解密、阻断、放行等动作 |
||
|
必须支持对使用SSL代理功能自定义执行动作,阻断指定加密方式,包括TLS 1.0、TLS 1.1、SSL V3等常用方式 |
||
|
必须支持对使用SSL代理功能自定义执行动作,阻断指定加密算法,包括DES、3DES、RC4、RC2等常用算法,支持对不支持算法自定义执行动作 |
||
|
网页重定向 |
支持基于策略方式的网页重定向功能。当用户使用HTTP访问网页时,页面会先跳转到指定页面。页面须支持自定义。 |
|
|
5、SSL VPN |
用户认证 |
支持硬件USB-key的认证方式 |
|
支持基于手机短信的登录认证方式 |
||
|
客户端插件兼容性 |
支持32位和64位Windows 2000/2003/XP/Vista/Windows 7操作系统 |
|
|
多出口链路优选 |
多出口链路下支持选择最快响应链路建立SSL连接 |
|
|
硬件特征码绑定 |
支持客户端硬件特征码绑定认证 |
|
|
定制网页 |
支持登录SSL VPN后自动打开可自定义的网页 |
|
|
客户端检测 |
必须支持对登录SSL VPN的用户端系统进行端点安全检查,至少包括指定文件、指定进程、系统补丁、浏览器版本、杀毒软件等方面 |
|
|
6、IPSEC VPN |
互通性 |
严格遵循RFC国际标准,必须支持的算法有DES、3DES、AES128、AES192、AES256,SHA-256、SHA-512等 |
|
快速部署 |
支持速连VPN部署技术,中心端自动下发配置到分支设备而无需手工配置 |
|
|
7、L2TP OVER IPSec |
智能移动终端免客户端接入 |
必须提供L2TP OVER IPSec功能,使iphone、ipad、android智能终端无需安装客户端程序即可安全接入网络 |
|
8、管理功能 |
系统回滚 |
必须支持2个系统软件并存,并支持系统软件回滚,防止配置不当或系统故障造成的网络中断,充分保证系统的稳定性。 |
|
网页浏览日志 |
必须支持基于已认证用户身份的访问URL日志记录 |
|
|
IM上下线日志 |
支持对QQ上下线的行为进行记录 |
|
|
高性能日志记录 |
必须支持基于二进制的日志记录格式 |
|
|
系统监控告警 |
支持监控设备系统资源的实时状况,必须包括CPU、内存、接口带宽、日志容量、策略数、会话数等对象 |
|
|
配置文件保存 |
必须支持不少于10个配置文件并存,并支持配置文件备注 |
|
|
管理界面 |
中、英文操作界面,必须支持命令行下操作, |
|
|
云安全运维 |
提供手机APP,实施监控展现设备CPU利用率、内存利用率、并发连接数、流量等状态 |
|
|
提供防火墙威胁分析服务,包括攻击级别展示、攻击类型分析、攻击者和受害者信息统计分析 |
||
|
NAT资源状态告警 |
必须支持在NAT的动态端口资源利用率达到一定值时,设备能够主动发送告警信息通知设备管理人员。 |
|
|
统计 |
要求支持基于IP地址的流量统计功能,包括短时间周期和长时间周期 |
|
|
要求支持基于应用的流量统计功能,包括短时间周期和长时间周期 |
||
|
要求支持基于IP地址的会话统计,包括短时间周期和长时间周期 |
||
|
要求支持基于应用的会话统计,包括短时间周期和长时间周期 |
||
|
要求支持自定义统计功能 |
||
|
9、WEB安全防护 |
防御未知SQL注入或XSS攻击 |
需采用基于语法分析的检测模式、有效防御未知SQL注入或XSS攻击,对常见注入点的数据经过解析、解码后,将结果作语法分析,看是否符合SQL、XSS语法,如果满足语法则表明有注入攻击。 |
|
过滤CC攻击或HTTP Floode攻击 |
需具有四种检测技术识别CC攻击,包括Auto-js-cookie、Auto-redirect、Manual-confirm、Manual-CAPTCHA。即识别某一访问请求是来自正常网络访问或是攻击软件的自动化攻击。同时需支持对开放代理的识别,用户可以选择对通过开放代理访问的速率进行限制,从而有效应对通过开放代理发起的CC攻击。 |
|
|
10、可扩展安全风险评估功能 |
全网健康检测与预警 |
提供对网络节点延迟、丢包率等可达性和可用性的实时检测并预警;提供对关键业务WEB、邮件、FTP、LDAP、DNS以及自定义协议的延迟、可用性的实时检测并预警,并提供上述检测项预警结果的显示以及查询功能;提供可视化的故障诊断:模拟、在线、导入报文回放三种不同的诊断方式,将数据包在防火墙中的处理过程动态的呈现出来。 |
|
11、AV防病毒模块(本次增加该模块) |
检测技术要求 |
必须采用基于并行流引擎技术,被检测文件大小不受限制。 |
|
检测多类型压缩包 |
支持对压缩文件类型的病毒检测,必须支持RAR、ZIP、GZIP、BZIP2、TAR等压缩文件类型 |
|
|
检测多重压缩包 |
支持对多重压缩文件的病毒检测,且不小于5层压缩 |
|
|
多协议支持 |
必须支持对HTTP、FTP、SMTP、POP3、IMAP协议的应用进行病毒扫描和过滤 |
|
|
病毒特征库 |
对于HTTP协议和邮件协议,病毒特征库数量大于200万。 |
|
|
升级服务 |
病毒特征库需提供国内地址的升级服务 |
|
|
恶意网站阻断 |
必须支持防恶意网站功能,防止用户点击恶意链接并访问恶意网站 |
|
|
12、IPS入侵防御模块(本次增加该模块) |
协议支持 |
必须支持对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VoIP、NETBIOS、TFTP、SUNRPC和MSRPC等常用协议及应用的攻击检测和防御。 |
|
检测技术 |
支持基于安全策略和安全域启用IPS |
|
|
IPS特征库 |
具备7000种以上攻击特征库规则列表,并可自定义特征库。具备1100种以上HTTP特征库规则列表。提供产品真实界面截图证明 |
|
|
部署模式 |
支持旁路和在线两种模式,支持基于安全策略和安全域启用IPS功能,可在不同的攻击方向上启用IPS(至少支持流入\流出\双向等方向),提供产品界面截图有效 |
|
|
防御策略 |
可在不同的攻击方向上启用IPS(流入\流出\双向) |
|
|
暴力破解防护 |
支持对TELNET、SMTP、FTP协议的暴力破解防护 |
|
|
13、特征库更新 |
特征库更新 |
IPS入侵防御、AV防病毒、应用识别的特征库均为独立文件,并必须都支持自动更新。 |
|
14、可额外扩展QOS流量管理模块 |
QoS策略 |
必须支持基于用户,ip地址以及7层应用进行保证带宽,最大带宽的控制,支持针对7层应用的优先级转发控制 |
|
多层QoS功能 |
多层QoS功能要求包含应用QoS 和IP QoS 是两个独立的数据流控制功能,应用QoS下可以嵌套IP Qos策略;IP QoS可以嵌套应用QoS。 |
|
|
弹性QoS功能 |
必须支持弹性带宽功能,可自定义阀值来上弹或回收带宽,充分利用网络带宽资源 |
|
|
应用特征库 |
必须在国内有应用特征库开发团队,并提供国内地址的应用升级服务 |
|
|
15、★售后服务及其他要求 |
1、设备最终用户必须注册成为:昆山市档案馆; 2、中标后三个工作日内,提供样机进行上述功能要求的逐一测试验证,全部通过后才能执行合同流程,测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。 3、在质保期内设备出现硬件故障后,除了电源和散热风扇返厂维修外,其他硬件损坏,一律提供免费换机服务; 4、设备生产厂商在苏州设立有分公司形式的研发售后服务基地,并有原厂全系列产品的备机备件库; 5、本次增加IPS入侵防御模块、AV防病毒模块。原厂商提供5年免费软硬件质保服务,对应系统版本、应用特征库提供5年免费的升级服务。投标时投标人需提供原厂商授权函,供货时需提供5年原厂商免费质保承诺函.。 |
|
6.交换机
★1、交换容量≥598Gbps,包转发率≥168Mbps
2、端口数量支持24个千兆电口,4个千兆光口,4个100/1000 SFP
★3、为了提高设备可靠性,支持冗余电源
4、MAC地址表≥64K
★5、支持ARP表项规格≥12K,提供权威第三方测试报告
★6、支持静态路由、RIP、RIPng、OSPF、OSPFv3、ISIS、BGP等路由协议,支持Ipv4路由表≥8K,Ipv6路由表≥2K,提供权威第三方测试报告,支持sflow网络监测技术(提供官网截图),支持CPU保护功能,支持以太网OAM 802.3ah和802.1ag,支持G.8032以太环保护协议(提供官网截图),支持802.3az能效以太网EEE(提供官网截图)
7、支持DHCPv6 snooping、ND snooping、SAVI、MFF
8、支持纵向虚拟化,作为纵向子节点零配置即插即用
9、VLAN≥4K,支持Access端口,支持Trunk端口,支持Hybrid端口,支持管理VLAN,支持Voice VLAN
10、支持零配置开局
备注:打★的参数为关键性条款,投标产品必须满足,否则视为无效投标
四、供应商资格要求:
(一)一般条件:
1.供应商具有独立承担民事责任的能力(提供营业执照、法定代表人身份证等相关证明材料);
2.供应商具有良好的商业信誉和健全的财务会计制度(提供参加本次政府采购活动前的会计报告或者银行出具的资信证明,有财政部门认可的政府采购专业担保机构出具的响应担保函,就无需提供其他财务状况报告);
3.供应商具有履行合同所必需的设备和专业技术能力(提供相应设备和专业技术能力的证明材料);
4.供应商有依法缴纳税收和社会保障资金的良好记录(提供参加本次政府采购活动前依法缴纳税收和社会保障资金的相关材料);
5.供应商参加政府采购活动前三年内,在经营活动中没有重大违法记录(详见响应函)。
(二)特殊条件
(三)其他条件
根据政府采购法及相关法规,以及苏州市财政局《关于印发苏州市市级政府采购信用记录查询和使用工作试行办法的通知》(苏财购(2017)11号)文件的规定,采购代理机构将对供应商进行信用查询。对列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的供应商,拒绝其参与政府采购活动。
五、时间节点
1.网上报名起止时间:上网之日起至2020年05月21日17:00(北京时间);
2.提交响应文件截止时间:2020年05月28日14:30(北京时间);
3.远程签到起止时间:2020年05月28日14:00至14:30(北京时间);
4.远程CA预解密时间:2020年05月28日14:30至14:40(北京时间);
5.远程开标时间:2020年05月28日14:30(北京时间);
6.开标地点:苏州市公共资源交易中心昆山分中心开标室(昆山市前进西路1801号政务服务中心(西区)A1栋B2层)。
六、报名响应及远程开标
1.本项目采用网上报名、网上提交响应文件及网上远程开标方式,未使用上述方式将导致无法报名或响应失败。
2.供应商须通过苏州市公共资源交易平台昆山市分中心下载中心自行下载安装“供应商投标工具客户端”。
3.供应商通过“供应商投标工具客户端”进行网上报名、下载谈判文件、网上递交响应文件及完成远程开标。
4.远程开标支持计算机端及手机端,供应商可根据“苏州市公共资源交易平台昆山市分中心下载中心”对应的操作手册进行操作。
5.技术咨询(工作日09:00-17:00)
5.1联系电话:0512-50355903;
5.2供应商QQ群:115194657,投标相关流程请参考群文件中《昆山市政府采购供应商投标快速指引》文件
5.3 CA咨询:0512-57379257。
6.注意事项
6.1本项目以电子响应文件的内容为准,不再收取纸质响应文件,电子响应文件上传成功与否,以收到系统自动发回的PDF格式的回执为准。
6.2远程开标设备必须符合配置要求(配置要求详见操作手册),且必须配备麦克风和摄像头(网上开标需要视频和语音交流)。项目开标前,供应商应当提前检查电力供应、网络环境和远程开标会议有关设施、设备的稳定性和安全性,并对必要的软件进行提前启动,供应商因自身原因导致无法完成响应或者不能进行现场实时交互的,自行承担一切后果。
七、公告信息
1.本公告在江苏政府采购网、苏州市政府采购网、苏州市公共资源交易平台发布;
2.公告期限:公告发布之日起三个工作日。
八、其他事项
1.本项目不接受联合体形式参与;
2.本项目不接受进口产品响应;
3.供应商在成交后须在一个工作日内将《成交信息》与《成交报价明细》(格式详见谈判文件)发至kszcggzy@163.com邮箱,联系电话:0512-57337661;
4.本项目由苏州市公共资源交易中心昆山分中心代理,不收取报名费用、谈判文件费用、响应保证金及代理服务费用;
5.本谈判文件由苏州市公共资源交易中心昆山分中心负责解释;
6.供应商在参加政府采购活动时须遵守《昆山市政府采购供应商诚信管理办法》的相关规定;
7.昆山市财政局监督电话:0512-57310854。
8.为认真贯彻国家、省、苏州市及我市关于做好新型冠状病毒肺炎疫情防控工作的要求,进一步做好公共资源交易领域疫情防控工作,请严格按照苏州市公共资源交易中心昆山分中心网站发布的最新版本的《新冠肺炎疫情防控期间昆山市公共资源交易中心开评标活动现场管理细则》要求参与开标。
疫情期间请各个供应商合理安排到场时间,按开标时间提前30分钟到达现场,配合执行昆山市政务服务中心(西区)、交易中心及代理机构关于防疫防护的相关管理和措施,并提前填写“苏州市公共资源交易中心昆山分中心交易项目人员健康承诺书”(见管理细则附件)并带至开标现场。
苏州市公共资源交易中心昆山分中心
2020年5月18日
原文链接:http://www.ks.gov.cn/kss/zfcggg/202005/b140b70c2afb4f5da327e1a947fb55d0.shtml
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/23339
