辽阳市公共资源交易中心政府采购部受 辽阳市财政局 委托,对该单位网络安全设备 项目 ( LYZFCG-2017107 )进行国内公开招标,现欢迎国内合格的投标人参加本次政府采购活动。
有关事项如下:
一、 采购项目名称、采购范围及采购内容
1 采购项目名称:网络安全设备 项目 。
|
品目号 |
产品名称 |
数量 |
项目要求、技术参数及产品资质要求 |
|
1 |
堡垒机 |
2 |
设备必须满足如下配置: 1、 ★目标资源许可:≥ 1000 个目标资源许可,支持目标资源扩展;字符并发连接数: 1000; 图形并发连接数: 100 ; WEB 并发连接数: 1000 ;日志存储量:≥ 6 个月; 2、 ★≥ 4 个 10/100/1000Mb 电口;≥ 4 个千兆 SFP 单模光插槽 ; 支持硬件 bypass ; 设备必须具有如下功能模块: 1. ★ 单点登录功能模块 2. ★ 用户及组管理功能模块 3. ★密码托管功能模块 4. ★操作审计功能模块 5. ★登录审批流程模块 6. ★访问控制功能模块 7. ★身份认证与访问授权功能模块 8. ★系统管理功能模块 设备必须满足如下功能指标: 1. ★提供可多级扩展的的组管理模式,在相应组下可建立主账号或资源、资源从账号,审计查看、管理权限划分可依据树形组作为范围区分; 2. ★支持从 LDAP 目录(如 windowsAD 域)中抽取用户作为系统的主账号; 3. ★支持下载录像文件到本地加密保存,只能通过专用播放器查看,防止会话视频记录泄密;支持对回话进行实时监控和阻断操作;支持实时监控堡垒主机 CPU 、内存、磁盘的使用情况; 4. ★支持对任意目标设备上的账号指定审批人及审批类型(审批类型至少包括:单人审批授权、双人授权审批);申请及审批具有时效性,并且可自定义有效时限;申请、审批等未完成操作可通过邮件进行通知提醒;产品应支持对通过审批,但超过有效期限的申请,应禁止访问目标设备或系统自动注销超出时限的运维回话,为保障运维过程连续性,即将达到申请有效期前应当给予操作人提示,并提供仅允许一次的延时选项,方便运维人员主动保存工作进度。 5. ★支持堡垒主机端口配置,可配置关闭不必要的端口;
|
|
2 |
合规管控管理系统 |
4 |
系统必须具有如下功能模块: 1. ★ 事件收集功能模块 2. ★ 事件分析功能模块 3. ★ 审计与响应功能模块 系统必须满足如下功能指标: 1. ★ 要求支持以下主流防火墙的实时监控和分析: Cisco PIX、Nokia CheckPoint NG、Jiniper/NetScreen、天融信、安氏领信(linktrust)、启明、东软、联想等; 2. ★ 考虑网络设备管理信息的通用性,要求代理通过通用协议或应用服务收集设备信息,具体要求支持:SNMP v1、SNMP v2、SNMP v3、SNMP Trap、SysLog、ODBC、网络SOCKET接口、File等; 3. ★ 支持日志分析,可以按照指定条件动态分析各种日志排名、分布和关联。
|
|
3 |
网络审计 系统 |
1 |
设备必须满足如下配置: 1. ★≥1U,≥1个交流电源,≥2个USB接口,≥5个GE接口,检查审计吞吐量≥200Mbps; 设备必须满足如下功能指标: 1. ★支持WEB登录认证功能,提供本地用户数据库和LDAP、RADIUS用户数据库集成功能。 2. ★支持审计ORACLE、SQL Server、MY SQL、Postgresql等各类主流数据库系统审计;支持网站URL审计功能,能够对不良言论、色情暴力等信息进行审计;支持电子邮件审计,可以全面还原邮件内容及附件;支持审计QQ、MSN Messenger、ICQ、雅虎通、新浪UC等;支持TELNET、FTP等业务操作进行命令级审计;可对对P2P下载、在线视频、网络游戏、炒股软件等行为进行审计; 3. ★支持基于IP地址、时间、用户/用户组、数据库用户名、数据库类型、数据库表名、字段名、关键字等组合审计策略;支持完全监测MAC地址、客户端类型;访问时间、URL、网页浏览时间等;发帖论坛、发帖人、主题、发帖时间、发帖内容等; 4. ★支持带外管理(OOB)功能,可以通过专用管理口,进行引擎管理,解决远程应急管理的需求。 5. ★针对接入外网的终端用户,系统提供增强的身份认证功能,支持标准的radius和LDAP接口,及第三方认证平台,实现更灵活、更安全的认证控制。 6. ★提供实时在线升级、自动在线升级、离线升级多种升级方式; 7. ★支持历史版本回滚功能,系统内建历史版本库,可保留最近升级的两个历史版本,并支持回滚到任一历史版本。
|
|
4 |
高性能万兆 防火 墙 |
2 |
设备必须满足如下配置: 1. ★≥12个千兆电接口,≥12个千兆光接口,≥2个万兆SFP+光口,≥1个扩展插槽,≥2U标准机架,提供前面板液晶屏,冗余电源; 2. ★网络吞吐量≥10Gbps;并发连接数≥500万;提供防病毒、防攻击、上网行为管理等增强特性授权模块; 设备必须满足如下功能指标: 1. ★支持路由模式、透明(网桥)模式、混合模式,支持将多个物理网口加入一个网桥中;部署模式切换无需重启设备; 2. ★支持虚拟防火墙,单台设备支持按照1:4比例虚拟,虚拟机之间独立控制和转发,互相隔离;由管理员定义和分配资源; 3. ★支持源地址转换、目的地址转换、双向地址转换、NAT44; 4. ★支持静态路由、策略路由、RIP、OSPF、BGP、ISP路由; 5. ★支持HTTP,FTP,POP3,SMTP,IMAP协议的病毒查杀; 6. ★支持启发式扫描查杀未知病毒; 7. ★支持ZIP/RAR等压缩文件的病毒查杀; 8. ★支持TAR等多种打包文件的病毒查杀; 9. ★内置URL分类库,支持≥100个URL分类,URL库可在线升级 10. ★支持基于带宽负载、优先级负载、服务器负载三种链路负载均衡模式; 11. ★支持双机热备,支持主主模式、主备模式,支持同步配置、会话、运行状态、VPN状态、特征库,支持配置抢占模式和抢占延时,支持配置HA监控接口;
|
|
5 |
边界合规审计系统 |
1 |
设备必须满足如下配置: 1. ★≥2U设备,存储空间≥4TB,支持RAID1;支持千兆网络环境监听,≥6个千兆电口。
2.
★≥
设备必须满足如下功能指标: 1. ★采用旁路部署方式对原有网络不造成影响,产品的故障不影响用户网络的正常运行;无需在被梳理的防火墙上安装任何代理。 2. ★能够导出流经某具体防火墙的互联关系,指导新防火墙进行策略配置; 3. ★系统支持已有防火墙策略的命中频率分析,辅助用户快速完成策略次序的调整,从而达到优化防火墙处理性能的目的。 4. ★系统支持已有防火墙策略的潜在冲突分析,辅助用户快速完成策略的调整,从而达到防火墙访问控制的目的。 5. ★系统能够提供整体的防火墙策略审计报告,支持导出 6. ★提供管理员权限设置和分权管理,提供三权分立功能,系统可以对使用人员的操作进行审计记录,可以由审计员进行查询,具有自身安全审计功能; 7. ★管理员登陆支持静态口令认证,支持密码的复杂性管理,比如大小写、数字、特殊字符、长度等; 8. ★能够对连续失败登陆进行自动锁定,锁定时间可设置; 9. ★提供存储数据的管理功能,能够实现对存储数据的自动备份、删除; 10. ★提供CPU、内存、磁盘、网口、运行时间、运行状态等信息的监视功能;
|
|
6 |
数据库审计系统 |
1 |
设备必须满足如下配置: 1. ★≥6个千兆电口,≥4个千兆光口,可定制≥2个万兆(SFP+)接口; 2. ★提供≥1000Mbps的业务流量(数据库流量)处理能力,每秒处理≥100,000条SQL语句的能力,同时保持不到一毫秒的包延迟; 设备必须满足如下功能指标: 1. ★可靠性:硬件产品应具有灵活的冗余方式,同时应支持标准的STP协议,VRRP协议,RTSP协议,以确保最长的稳定运行时间和应用的可用性。产品部署在桥接模式下,要求2个或者多个数据库网关使用高可用性协议IMPVHA实现恢复,恢复时间小于一秒。具有故障短接的By-pass功能; 2. ★实时阻断:在触发严重告警时,实时阻断对数据库的危险访问; 3. ★动态建模(数据库访问特征):设备应具有自动建立用户数据库访问行为模型的能力。自动智能建模功能可以自动学习、并且自动适应用户数据库及应用系统的各方面特点,自动建立“充分必要”的安全策略。同时,结合全面的、精细的手工定制和调优功能,在最大程度的降低管理工作量的同时,提供最佳的安全配置; 4. ★动态模型(数据库访问特征)的自动更新:产品需支持自动特征更新功能,以确保特征始终是最新的,即使数据库用户的访问特征发生了变化,产品依然能够通过自动更新访问特征,反映应用系统的最新变化; 5. ★关键字过滤策略:针对数据库的请求和返回数据,可以设定关键字和参数过滤策略,过滤的关键字的规则数量≥5000个; 6. ★丰富的后续动作集:可以在某一安全策略违法后,除了执行即时的阻断动作外,还应具有发出Syslog、SNMP Trap、Email等后续动作,可以灵活的定义某一安全策略采用某一特定的后续动作; 7. ★数据库防御功能:产品应具有专门针对数据库服务的防御功能。对已知的攻击和“第零日蠕虫”提供有效保护,同时提供多协议的Snort以及兼容CVE的特征库; 8. ★防火墙功能:产品具有防范未授权用户、危险协议、通常的网络层攻击以及蠕虫感染的能力。访问控制策略支持协议/IP地址组合的控制列表,应有效避免数据中心暴露给不必要的用户,并能够限制危险协议,例如Telnet、pcAnywhere或者是SQL; 9. ★对数据库协议的合规性的检查和防护:产品必须具备对数据库协议的合规性检查和防护的功能; 10. ★URL和SQL操作关联功能:产品具有Web与数据库相关连技术,能够在应用程序的更深层次识别用户身份。通过在 Web 相关事件与数据库相关事件之间建立关联,产品可以提取相关的 Web 事件属性,例如应用程序用户 ID 和请求的 URL,并且将它们与应用安全保护系统记录的关联数据库事件联系起来; 11. ★数据库安全评估功能:对数据库的基础系统以及运行时的配置进行评估。数据库的基础系统包括,操作系统和数据库应用程序,它们通常会存在软件的缺陷或漏洞,容易被攻击者利用。可以主动评估数据库的安全状况,包括是否打了Patch,包括用户权限在内的各种安全设置是否合理; 12. ★可以审计所有针对数据库的访问,包括对数据库直接连接的访问,以及前台应用程序对数据库的访问;如果应用通过加密方式访问数据库,同样应该可以审计到; 13. ★审计功能要求审计到尽可能详细的信息:针对每一条数据库的访问,审计记录要细致到每一次事务/查询的原始信息记录,应该可以记录所有的关键信息; 14. ★可以定义敏感数据表,保护核心机密数据:可将机密数据定义敏感表,任何用户对敏感表的非法和违规访问可以产生特别的报警; 15. ★丰富的报表功能:系统要支持定制报告的功能;
|
|
7 |
应用汇聚交换机 |
1 |
设备必须满足如下配置:
1.
★设备端口:≥24个10/100/
2.
★交换容量:≥
|
|
8 |
安全管理服务器 |
1 |
设备必须满足如下配置: 1. ★≥ 1 U机架式; 2. ★CPU:配置≥1颗X86通用CPU,每CPU主频≥2.0GHz,每CPU核心数量≥4核; 3. ★内存: ≥8GB DDR3 1333 ECC REG; 4. ★硬盘: 配置1块≥1T硬盘; 5. ★网卡:标配双口千兆网卡; 6. ★电源: ≥1个; 7. ★外设: 超薄DVD-RW;配置原厂上架导轨; 8. ★管理维护: 集成远程KVM,配置虚拟介质,配置远程IPMI功能,提供基于硬件的远程访问及控制,可通过网络远程控制、远程开关机、远程修改BIOS及安装操作系统;提供基于web界面的嵌入式管理软件; |
(具体参数详见招标文件)
项目预算: 870000 元。
二、合格投标人的资格条件
本项目将由评标委员会在开标时,对参加投标的供应商进行资格性审查,审查合格的供应商才可进入开标和评审阶段,合格供应商的资格条件为:
1 . 符合《中华人民共和国政府采购法》第二十二条规定应当具备的条件;
2. 营业执照;
3. 税务登记证;
4. 企业代码证;
5. 2017 年至今任意一月依法缴纳社会保障资金的证明;
6. 供应商应 为辽阳市公共资源交易中心政府采购部准入供应商(辽阳市公共资源交易中心政府采购部供应商入库合格凭证);
7 . 本项目不允许联合体投标 。
供应商递交投标文件的同时须提供上述资料的原件进行合格供应商资格审查。
三、政府采购供应商入库须知
参与辽阳市政府采购项目的投标人未进入辽阳市政府采购供应商库的,及时办理入库登记手续(办理手续相关事宜请查询“辽阳市政府采购网”中的“辽阳市公共资源交易中心政府采购部征集供应商公告”)。
四、招标文件的下载时间及方式
拟参加本项目的供应商请于
五、递交投标文件截止及开标时间,递交投标文件及开标地点
递交投标文件截止及开标时间:
递交投标文件及开标地点:辽阳市公共资源交易中心政府采购部第一开标室,届时请投标人的法定代表人或其授权代表按时参加公开开标大会。
六、采购单位、采购执行机构的名称、地址和联系方式
采购单位联系人: 傅瑶
联系电话: 18741931188
采购部项目联系人:王子帅、王红
联系电话: 0419-3795562
传真: 0419-3795562
邮编: 111000
地址:白塔区八一街 60 号
注: 1. 公告中内容没有明确的,以招标文件内容为准。
2. 免责声明:初审合格的可以领取文件,合格投标人资格由评标委员会审定。
辽阳市财政局
辽阳市公共资源交易中心
2017107-辽阳市财政局网络安全设备项目招标文件 2017.6.26.doc
