浏览量:2481
深圳市深汕特别合作区党政办公室关于2019年机房和网络信息安全基础建设
与运维项目(一期)询价公告
一、采购项目编号:SSHZQDZB2019-009
二、采购项目名称:深圳市深汕特别合作区党政办公室关于2019年机房和网络信息安全基础建设与运维项目(一期)
三、项目概况:
(一)、项目内容概况:
序号 | 采购内容 | 单位 | 数量 | 备注 |
1 | 下一代防火墙(政务出口) | 台 | 1 | |
2 | 下一代防火墙(服务器区) | 台 | 1 | |
3 | 上网行为管理 | 台 | 1 | |
4
| 终端安全 | 个 | 100 | 服务器端100个; |
个 | 2000 | PC端2000个 | ||
5 | 日志审计 | 台 | 1 | 提供100个授权 |
6 | SSL VPN | 台 | 1 | 提供200个SSL授权 |
7 | 威胁分析与处置服务 | 年 | 1 | |
8 | 驻场运维 | 人 | 2 |
(二)、采购软硬件内容及需求
技术指标 | 指标要求 |
性能要求 | 吞吐性能≥3G;带宽性能≥1.6G;最大并发连接数≥1,000,000;每秒新建连接数≥20000;支持用户数15000; |
硬件要求 | 千兆电口≥4个,千兆光口≥4个;内存8G,硬盘配置为1T SATA盘,支持BYPASS,2对Bypass口,1个RJ45串口,2个USB2.0接口,冗余电源; |
部署模式
| 支持两台及两台以上设备同时做主机的部署模式; |
支持部署在IPv6环境中,设备接口及部署模式均支持ipv6配置; | |
网关管理 | 多台设备支持通过统一平台集中管理、集中配置等;加入集中管理时,支持身份认证,比如密码正确才能加入;解除集中管理时,要输入中心端的解控秘钥才允许解控 |
终端管理 | ▲支持终端调用管理员指定脚本/程序以满足个性化检查要求,比如检测系统更新是否开启、开放端口、已安装程序列表、终端发通知等;(提供产品界面截图) |
实时监控 | 支持首页分析显示接入用户人数、终端类型、认证方式;带宽质量分析、实时流量排名;泄密风险、违规访问、共享上网等行为风险情况; |
▲Web访问质量检测: 针对内网用户的web访问质量进行检测,对整体网络提供清晰的整体网络质量评级;支持以列表形式展示访问质量差的用户名单;支持对单用户进行定向web访问质量检测 (提供产品界面截图) | |
用户管理 | 支持多种认证方式,包括本地用户名密码、第三方服务器、短信认证、微信认证、二维码认证等; |
支持LDAP、Radius、POP3、Proxy等第三方认证;Radius必须支持GBK和UTF-8编码格式可选; 支持ISA\lotus ldap\novel ldap\oracle、sql server、db2、mysql等数据库等第三方认证; | |
▲支持二维码认证,管理员扫描访客的二维码后对其网络访问授权;(提供产品界面截图) | |
支持认证页面分权分域管理。启用后,普通管理员只能看到自己有权限的页面,其他管理员页面不可见。 系统管理员可以将某个页面授权给指定的普通管理员管理。 | |
应用管理 | 设备内置应用识别规则库,支持超过6000条应用规则数,支持超过2800种以上的应用,1000种以上移动应用,并保持每两个星期更新一次,保证应用识别的准确率; |
设备能够发现私接路由(或者共享软件等)共享网络的行为: 支持自定义配置终端数量和冻结时间; 支持“仅统计电脑”和“统计所有终端”两种模式; 支持可选“冻结IP”还是“冻结用户名”; 支持添加信任列表; 支持显示以IP或用户名的维度统计一段时间内的趋势图 | |
上网权限管理 | 支持对单个用户/用户组、位置、终端类型等设置一天内总上网时长; 支持将超过配额的用户/用户组添加到低带宽惩罚通道; |
用户指定应用上网时长超过预设阈值后,网关自动提醒该用户; | |
流量控制 | 必须支持在不同线路上,根据不同的应用、用户/用户组、位置、终端类型来保证或者限制流量;支持根据百分比或数值设置通道带宽,并支持设置各通道的优先级; |
▲支持通过抑制P2P的上行流量,来减缓P2P的下行流量,从而解决网络出口在做流控后仍然压力较大的问题;(提供产品界面截图) | |
基于“流量”、“流速”、“时长”设置配额,当配额耗尽后,将用户加入到指定的流控黑名单惩罚通道中; | |
上网行为审计 | 能审计记录网页正文内容;支持只记录含有指定关键字的网页正文内容;支持记录SSL加密网页的内容; |
上网日志管理 | 日志中心所有导出都有对应管理员操作日志、系统日志的日志清理中记录数据删除日志、规则库升级有对应升级日志;支持日志中心网关杀毒; |
支持预置几组关键字,当审计日志中出现这些关键字时,将定期以邮件的方式发送报告给指定邮箱 | |
▲支持预置几组关键字,当审计日志中出现这些关键字时,将定期以邮件的方式发送报告给指定邮箱;(提供产品界面截图) | |
产品资质证书 | 具有工信部颁发的《电信设备进网许可证》; |
技术指标 | 指标要求 | |
环境要求 | 产品形态 | 产品可以纯软件交付,包含管理控制中心软件及终端客户端软件,其中管理控制中心可云化部署; |
管理控制中心要求 | 单一管理控制中心可统一管理分别部署在Windows PC,Windows服务器以及Linux服务器的客户端软件; 管理平台要求其操作系统为64位的Centos7或ubuntu操作系统 | |
Windows PC 客户端支持 | Windows XP sp3/Windows Vista/Windows 7/Windows 8/Windows 8.1/Windows 10 | |
Windows 服务器 客户端支持 | Windows Server 2003 SP2/Windows Server 2008/Windows Server 2008 R2/Windows Server 2012/Windows Server 2016 | |
Linux 服务器 客户端支持 | CentOS/UbuntuDebian/RHEL/SUSE/Red Flag Asianux Server/Oracle Linux | |
控制中心平台 | 终端安全可视 | 采用B/S架构的管理控制中心,具备终端安全可视,终端统一管理,统一威胁处置,统一漏洞修复,威胁响应处置,日志记录与查询等功能; 支持显示当前未处理的病毒数量、勒索病毒数量、暴力破解数量、WebShell后门数量、高危漏洞及其各自影响的终端数量; 支持按“最近7天”“最近30天”“最近三个月”不同时间维度展示病毒查杀事件爆发趋势和病毒TOP5排行榜,并展示对应的事件数及终端数; |
网端联动可视 | 支持展示跟同品牌下一代防火墙、安全感知平台、上网行为管理,云端SOC平台,SAAS化管理平台的联动状态 | |
终端管理 | 支持展示终端资产状况,包括:主机名、在线/离线状态、IPv4地址、MAC地址、操作系统、终端agent版本、病毒库版本、最近登录时间、最近登录的用户名;终端信息变更能自动更新; 支持录入终端所属责任人、责任人联系方式、邮箱、资产编号、资产位置信息、终端最近接入时间,并可设置哪些为必填项,以便于进行终端资产管理; 支持终端客户端软件的启用禁用,重启,卸载; 支持以安全策略模板方式对指定终端组快速部署安全策略,安全策略模板支持默认模板和自定义模板; ▲支持安全策略一体化配置,通过一条策略即可实现不同安全功能的配置,包括:终端病毒查杀的文件扫描配置、文件实时监控的参数配置、WebShell检测的检测和威胁处置方式、暴力破解的威胁处置方式和信任目录;(需提供产品截图证明) | |
终端威胁视角 | 支持跳转链接至云端安全威胁响应系统,针对已发生的病毒的基本信息,影响分析(客户情况、影响行业、区域分布)、威胁分析和处理建议等 | |
终端日志报表 | 支持根据统计周期、终端名称、IP地址,补丁信息和漏洞等级等多维度的入侵检测日志,杀毒扫描日志,微隔离日志,合规检测日志的查询和检测 | |
终端风险报表 | 支持导出针对全网终端的终端风险报告,从整体分析全网安全状况,快速了解业务和网络的安全风险,提供安全规划建设建议 | |
邮件告警 | 支持针对管理控制中心性能,安全事件,勒索病毒事件等邮件告警 | |
错峰升级 | 支持客户端的错峰升级,可根据实际情况控制客户端同时升级的最大数量,避免大量终端程序同时更新造成网络拥堵或I/O风暴; | |
终端防御 | 多维度检测 | ▲具备基于人工智能的检测引擎,具备无特征检测技术,有效应对恶意代码及其变种;(需提供产品截图证明) 具备基于虚拟沙盒、引擎和操作系统环境仿真的检测引擎,通过分析多维构成的行为有效识别威胁; 可通过多维度引擎进行漏斗式检测,保障查杀效果在低误报率的情况下保持高检出率; |
终端自保护 | 支持agent安装目录的文件保护,可以保护agent目录和文件实时监控驱动文件,可以保护agent的服务/进程/文件不被恶意删除,影响正常功能,导致用户的终端受到病毒入侵; 支持禁止黑客工具启动,包含:冰刃、xuetr、ProcessHacker、PCHunter、火绒剑、Mimikatz的自启动,可以防止黑客攻击; | |
介入点实时防护 | 支持对来自Internet、E-mail或是光盘、移动存储、网络等各种入口渠道病毒进行实时检测 | |
文件实时监控 | 文件实时监控的驱动技术需通过微软WHQL徽标认证(Microsoft Windows Hardware Quality Lab),以保证系统稳定性及兼容性 | |
勒索病毒专防 | 支持监控诱饵文件,诱饵文件可被实时监控,当勒索病毒对该文件进行修改或加密操作时进行拦截 | |
暴力破解检测 | 支持展示终端检测到的暴力破解事件及事件详情,包括:攻击源、攻击类型、检测引擎、最后攻击时间、攻击方法、攻击内容、攻击历史; | |
Windows终端合规检查 | 一键式操作对指定终端/终端组进行合规性检查,包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范,对不合规的检查项提供设置建议,并可视化展示终端的基线合规检查结果; | |
Linux终端合规检查 | 一键式操作对指定终端/终端组进行合规性检查,包括身份鉴别、访问控制、安全审计、 SSH策略检测、入侵防范、恶意代码防范,对不合规的检查项提供设置建议,并可视化展示终端的基线合规检查结果 | |
威胁同步处置 | 构建全网文件信誉库,当一台终端发现某一病毒文件,全网可进行感知并进行针对性查杀,支持处置病毒时选择是否在其它终端上同步处置 | |
终端漏洞管理及补丁管理 | 支持对终端的漏洞情况进行扫描,并查看漏洞具体情况及KB号,并显示具体修复情况 | |
终端控制 | 微隔离流量可控 | ▲提供对业务系统之间、业务系统内不同应用角色之间、业务系统内相同应用角色之间的访问控制策略配置(需提供产品截图证明) |
技术指标 | 指标要求 |
性能及硬件参数 | 性能参数:应用层吞吐量≥3G,三层吞吐量≥10G;并发连结数≥220W,新建连接数(CPS)≥20W; 硬件参数:标准2U架构,冗余电源,千兆电口≥6个,千兆光口≥4个,并含2个USB2.0接口和1个RJ45串口;支持bypass; |
部署方式 | 支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式; |
网络特性 | 支持链路聚合功能,支持LACP协议;支持802.1Q VLAN Trunk、access接口,VLAN三层接口,子接口、GRE隧道; 支持端口联动功能,当上行/下行端口链路出现故障时,对应的另一端下行/上行端口自动切断链路; |
路由支持 | 支持静态路由,ECMP等价路由;支持RIPv1/v2,OSPFv2/v3,BGP等动态路由协议;支持多播/组播路由协议; |
基础功能 | 支持连接会话展示,可针对具体的IP地址进行会话详情查询,支持封锁异常会话信息,并支持设置监听具体IP的会话记录; 支持IPv4/v6 NAT地址转换,支持源地址转换,目的地址转换和双向地址转换,支持针对源IP、目的IP和双向IP连接数控制;支持NAT64、NAT46 地址转换; 访问控制规则支持模拟策略匹配,输入源目的IP、端口、协议五元组信息,模拟策略匹配方式,给出最可能的匹配结果,方便排查故障,或环境部署前的调试; |
内容安全 | 支持针对SMTP、POP3、IMAP邮件协议的内容检测,如邮件附件病毒检测、邮件内容恶意链接检测,邮件账号撞库攻击检测等,并给出恶意邮件的提示,支持根据邮件附件类型进行文件过滤; ▲支持蜜罐功能,定位内网感染僵尸网络病毒的真实主机IP地址;(需提供相关功能截图证明) |
DoS/DDoS攻击防护 | 支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护;支持IP地址扫描,端口扫描防护,支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测; 支持内网访问控制,配置内网区域只允许指定的IP地址或IP范围对外进行访问,防止内部伪造源IP对外DoS攻击的情况; |
僵尸主机检测 | 支持对终端已被种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为; |
入侵防护功能 | 设备具备独立的入侵防护漏洞规则特征库,特征总数在7400条以上; 支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP、POP3、 RDP、Rlogin、SMB、Telnet、Weblogic、VNC)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能; 可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则; |
Web应用安全防护 | 设备具备独立的WEB应用防护识别库,特征总数在3500条以上; 支持Web漏洞扫描功能,可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞; 支持针对网站的漏洞扫描进行深度防护,能够拦截漏洞扫描设备或软件对网站漏洞的扫描探测,支持基于目录访问频率和敏感文件扫描等恶意扫描行为进行防护; ▲设备需要具备web业务自学习能力,可自行判断与标记业务特征,确认业务模型学习趋势;(需提供相关功能截图证明) |
安全可视化 | 支持安全运营中心功能,可以对全网所有的服务器和主机的威胁进行全面评估,管理员通过一键便可完成对服务器和主机的资产更新识别、脆弱性评估、策略动作的合理化监测、当前服务器和用户的保护状态、当前的服务器和主机的风险状态及需要管理员待办的紧急事项等,可以自动化直观的展示最终的风险; ▲支持业务服务器的自动发现以及业务服务器脆弱性和服务器开放端口的自动识别,支持包含敏感数据业务的识别;(需提供相关功能截图证明) |
安全集中管理 | 支持通过集中管理平台统一配置业务保护策略,包括但不限于ACL、IPS、僵尸网络、内容安全、WEB应用防护,统一定期更新安全规则库,保障业务安全; 支持接入统一的安全监测平台,通过安全监测平台可以实时看到每台安全设备的详细安全状态信息,包括安全评分级别、最近有效事件、有效事件趋势、用户安全统计、服务器安全统计和攻击来源统计; |
系统配置管理 | 支持自动备份配置,可通过自动备份中快速恢复系统配置以防止管理员误操作风险,至少保存一个月的配置快照; |
技术指标 | 指标要求 |
设备性能 | SSLVPN加密速度≥240Mbps;SSLVPN并发用户数(个) ≥1200;SSLVPN每秒新建用户数(个)≥90;IPSecVPN加密速度≥130 Mbps;千兆点口≥6个;标准1U设备;单电源; |
部署方式 | 支持网关模式、单臂模式部署两种方式; |
基本特性 | 专业VPN设备,非插卡或防火墙带VPN模块设备。 |
支持PC终端使用包括Windows8、Windows7、Windows Vista、Windows xp、Mac OS、Linux等主流操作系统来登录SSLVPN系统,并完整支持该操作系统下的各种IP层以上的B/S和C/S应用; | |
▲支持终端使用包括IE6、7、8、9、10、11或其他IE内核的浏览器,以及非IE内核浏览器、如Firefox,Safari,Google Chrome,Opera登录SSLVPN系统(提供截图证明) | |
产品应支持国家商用密码算法包括:SM1,SM2,SM3,SM4算法; | |
易用性 | 可支持虚拟门户功能,在一台设备上配置不同的访问域名、IP地址,以及不同的使用界面,实现一台设备为多个不同用户群体服务的的使用效果; |
支持智能递推技术,针对多外链的门户网站进行动态嗅探页面内的链接并完成资源自动授权,防止资源漏访; | |
▲产品应提供环境检测、自动修复工具,支持对Windows的环境兼容性一键检测能力,以及对检测结果进行一键修复的能力,避免由于用户操作系统环境存在问题影响SSL VPN的使用,减轻运维工作。(提供截图证明) | |
终端安全 | 产品应提供HTTPS驱动病毒查杀工具,支持对Windows环境下的针对HTTPS拦截监听 的驱动病毒进行扫描查杀,避免因为HTTPS驱动病毒导致无法正常接入和使用SSL VPN |
权限控制 | 支持主从认证账号绑定,必须实现SSL VPN账号与应用系统账号的唯一绑定,VPN资源中的系统只能以指定账号登陆,加强身份认证,防止登录SSL VPN后冒名登录应用系统 |
身份认证 | 产品可进行用户名/密码、LDAP、USB KEY、硬件特征码、短信认证或动态令牌的五因素捆绑认证 |
设备内部必须支持自建CA中心,单台VPN设备同时支持5套以上CA根证书; | |
支持结合阿里钉钉、口袋助理等移动APP,实现动态口令认证,增加认证的多样性。 | |
高速性 | 支持至少4条外网线路;并能实现基于SSL VPN的智能选路 |
支持利用网页进行动态寻址的方法,客户端无需安装插件、不依靠IP地址库、不依赖于第三方动态IP寻址、直接根据速度探测实现用户端接入线路的自动优选,用户通过访问寻址代理页面(简称Webagent页面),通过Webagent页面自动寻找VPN设备IP(非DDNS),该方法不必单独注册域名或占用IP地址,大大降低了系统部署难度。 | |
▲支持针对不同的web页面进行数据优化,支持动态压缩技术,基于数据流进行压缩,减少不必要的数据传输。(提供界面配置截图) | |
高管理要求 | 支持15级以上的管理员分级分权限管理,从Admin派生树形结构下级管理员;上级管理员可分配下级管理员享有设备配置模块权限,可管理的用户、资源、角色权限,并可限制下级管理员是否允许创建下级管理员、创建资源、创建角色;上级管理员可限制下级管理员对权限内配置享有查看或配置权限 |
支持253台不同型号设备间进行集群(A/A) | |
支持系统实时监控,图形化显示一段时间内的运行状况,可查看CPU占用率、各条线路网络吞吐量、各条线路的IP地址及发送接收流速、并发会话数、SSL并发用户数;可查看历史最高并发用户数并显示时间记录;可实时查看SSL接入用户的用户名、发送流速、接收流速、发送流量、接收流量、接入时间、并发会话数、接入IP、虚拟IP、认证方式等信息,并可在线中断指定用户 | |
移动智能终端支持 | 产品支持应用虚拟化功能,可以无需二次开发,即把Windows应用发布到移动智能终端中 |
产品应该支持企业级“云盘”(又名“网盘”、“文件共享”)功能, | |
▲支持改写WindowsRDP协议,经改写的协议必须独立于OS运行环境,避免跨平台兼容性,针对图像数据,服务端必须支持有损压缩算法服务端必须能够支持过滤动态内容(gif/flash/video)以减少传输流量,且根据客户需要配置。(提供配置界面截图) | |
产品必须支持经过集成的,基于Android IOS平台的第三方软件开发包(SDK),并实现基于Android IOS平台第三方应用软件(APP)代码量不超过20行。(要求提供代码Demo和企业证明)支持针对移动APP的VPN安全代码的自动封装,实现App应用的安全加固 | |
防火墙 | 产品应具备基于状态监测技术的防火墙功能,能够抵抗常见的网络攻击 |
7、其他要求:所有设备应包含三年售后服务及版本升级。
(三)、采购服务内容及需求
威胁分析与处置服务应包含:①安全威胁分析:结合安全感知日志和威胁情报进行深度分析,研判网络中存在的威胁和攻击行为,明确对业务的影响和危害;②安全事件处置:对安全事件进行处置,清除恶意文件、快速恢复业务; ③事件溯源分析:深入分析安全事件的成因,发现存在的薄弱点,溯源攻击路径; ④安全加固建议:根据事件发生的根因、影响范围,针对性给出安全加固方案; 按季度输出安全加固方案及安全运营效果汇报。
服务频率及标准:每季度1次(4次/年)、现场服务。
(2)技术人员驻场服务
安排两名专业信息安全技术人员驻点深汕合作区,其中一名网络工程师,一名网络安全工程师,负责配合合作区党政办政数局开展日常信息安全保障工作,所派驻的驻场服务人员必须获得合作区党政办政数局认可,若派驻人员在技术水平、外在形象或是服务态度方面不符合工作需求,区党政办政数局可以要求重新派驻符合要求的人员。
上级单位及合作区要求的其他信息安全工作,具体工作包括但不限于:①每季度对终端和服务器安全漏洞扫描、每半年一次对服务器进行本地检查(网页后门/暗链/密件和附件病毒查杀);②协助合作区对发现的问题进行整改,完成整改后进行回归测试直至问题全部解决;③安全监控:为合作区对外网站提供全年7X24小时的网站安全监控服务。
四、供应商资格要求:
1、提供营业执照(或事业单位法人证书,或社会团体法人登记证书扫描件,原件备查)、组织机构代码证、税务登记证(如已办理了多证合一,则仅需提供合证后的营业执照扫描件,原件备查);
2、参与本项目投标前三年内,在经营活动中没有重大违法记录;参与本项目政府采购活动时不存在被有关部门禁止参与政府采购活动且在有效期内的情况;具备《中华人民共和国政府采购法》第二十二条第一款规定的条件。(以上三项内容由供应商在《承诺函》中作出声明);
3、2018年度或2019年度任意一个月缴纳税收和社会保险的凭据证明材料复印件;如依法免税或不需要缴纳社会保障资金的,应提供相应文件证明;
4、本项目不接受进口产品投标,不接受联合体投标。
1.报价单内容按照统一模板填写(详看附件)
符合资格的供应商应当在2019年8月23日至2019年8月30日期间将报价单发送至以下两个邮箱:
深汕特别合作区采购办:sshzcgb@163.com
深汕特别合作区党政办公室:389692804@qq.com
2.供应商报价为市场摸底,最终采购方式由采购人负责解释。
3.本公告期限:(5个工作日,公布当天不算)自2019年8月23日至2019年8月30日止。
4.采购人及区财政局有权对中标供应商就本项目资格条款要求提供的相关证明资料(原件)进行审查。供应商提供虚假资料被查实的,则可能面临被取消本项目报价资格、列入不良行为记录名单、三年内禁止参与本区政府采购活动的风险。
5.本询价公告及本项目招标文件所涉及的时间一律为北京时间。报价单位有义务在询价期间浏览深圳群伦项目管理有限公司网(www.qunlunjituan.com)在深圳群伦项目管理有限公司网上公布的与本项目有关的信息视为已送达各报价人。
六、联系方式
1.询价平台机构
单位:深圳群伦项目管理有限公司
详细地址:深圳市龙华区民治街道东方天德大厦1322
联 系 人:汪先生
联系电话:0755-83266309
传 真:0755-83266309
2.采购单位
单位名称:深汕特别合作区党政办公室
详细地址:广东省深汕特别合作区管理委员会
项目联系人:马艺璇
联系方式:15627903300
3.投诉单位
单位:深汕特别合作区财政局采购办
电话:0755-22108333转8077
邮编:518200
地址:广东省深圳市深汕特别合作区党政办公楼1号楼
广东仁化农村商业银行股份有限公司食堂经营服务外包项目中标(成交)结果公告 一、项目编号:QLSG2023XJ010二、项目名称:广东仁化农村商业银行股份有限公司食堂经营服务外包项目三、采购结...
详细内容 >>
