【正文】 粵北人民醫(yī)院 信息網(wǎng)絡(luò)安全設(shè)備采購項目 招 標(biāo) 文 件 招標(biāo)編號： SG13GZ138 韶關(guān)市公共資源交易中心 二 〇一三 年十 二 月 三 日 2 第一部分 投 標(biāo) 邀 請 3 投標(biāo)邀請函 韶關(guān)市公共資源交易中心就 粵北人民醫(yī)院信息網(wǎng)絡(luò)安全設(shè)備采購項目 進行公開招標(biāo)方式采購。特邀請貴單位前來投標(biāo)。 項目名稱： 粵北人民醫(yī)院信息網(wǎng)絡(luò)安全設(shè)備采購項目 招標(biāo)編號： SG13GZ138 招標(biāo)內(nèi)容：詳見第二部分招標(biāo)要求 招標(biāo)文件發(fā)售時間： 2020 年 12 月 3日 至 2020 年 12 月 9日；地點：韶關(guān)市西聯(lián)鎮(zhèn)韶關(guān)市公共資源交易中心（原韶關(guān)市司法學(xué)校）；招標(biāo)文件售價：人民幣 150 元 /每套 遞交投標(biāo)文件時間： 2020 年 12 月 24 日 上 午 9： 00— 9： 30（投標(biāo)方應(yīng)在 2020 年 12月 23日 下 午 17： 00 前，將投標(biāo)保證金匯入我中心帳戶，詳見投標(biāo)人須知 ） 投標(biāo)截止時間及開標(biāo)時間： 2020 年 12 月 24 日 上 午 9： 30正 投標(biāo)及開標(biāo)地點：韶關(guān)市西聯(lián)鎮(zhèn)韶關(guān)市公共資源交易中心（原韶關(guān)市司法學(xué)校） 購買標(biāo)書時須帶營業(yè)執(zhí)照副本（復(fù)印件加蓋公章）和法人委托授權(quán)書 (原件 )。 聯(lián)系電話： 8379625 傳真： 8379615 聯(lián)系人：陳先生 采購單位名稱：粵北人民醫(yī)院 聯(lián)系人：廖先生 聯(lián)系電話： 6913468 韶關(guān)市公共資源交易中心 二〇一三年十 二 月 三 日 4 第二部分 采購項目內(nèi)容 5 一、供應(yīng)商資格： 投標(biāo)人必須滿足《中華人民共和國政府采購法》第二十二條，供應(yīng)商參加政府采購活動應(yīng)當(dāng)具備下列條件： ① 具有獨立承擔(dān)民事責(zé)任的能力； ② 具有良好的商業(yè)信譽和健全的 財務(wù)會計制度 ； ③ 具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力； ④ 有依法繳納稅收和社會保障資金的良好記錄； ⑤ 參加政府采購活動前三年內(nèi)，在經(jīng)營活動中沒有重大違法記錄； ⑥ 法律、行政法規(guī)規(guī)定的其他條件。 投標(biāo)人必須是具有獨立承擔(dān)民事責(zé)任能力的在中華人民共和國境內(nèi)注冊的法人，營業(yè)執(zhí)照應(yīng) 具有相應(yīng)的經(jīng)營范圍 ； 投標(biāo)人如非制造商，在投標(biāo)時必須提交主要設(shè)備產(chǎn)品的合法授權(quán)書和售后服務(wù)承諾書，并在項目中標(biāo)后供貨時提供由廠家出具的供貨證明函原件 ；為確保設(shè)備兼容性以及方便用戶日后維護管理，所有設(shè)備必須為同一品牌。 4. 本項目不接受聯(lián)合體投標(biāo)。 二、 采購清單： 序號 產(chǎn)品名稱 技術(shù)參數(shù) 單位 數(shù)量 1 防火墻 設(shè)備功能明細(xì)見附表 1 套 1 2 IDS入侵檢測系統(tǒng) 設(shè)備功能明細(xì)見附表 2 套 1 3 網(wǎng)絡(luò)審計系統(tǒng) 設(shè)備功能明細(xì)見附表 3 套 1 4 安全管理平臺 設(shè)備功能明細(xì)見附表 4 套 1 合計 4 注： 投標(biāo)人必須對本項目的全部內(nèi)容進行投標(biāo)報價，如有缺漏，將導(dǎo)致投標(biāo)無效。 開標(biāo)時投標(biāo)報價超過預(yù)算金額為無效投標(biāo)。 三、詳細(xì)技術(shù)參數(shù)要求 附表 防火墻設(shè)備技術(shù)參數(shù) : 技術(shù)指標(biāo) 指標(biāo)要求 硬件架構(gòu) 硬件要求采用專用架構(gòu)平臺， 采用專用的處理芯片 ，廠商要求自主設(shè)計硬件架構(gòu)的能力 ★ 接 口 標(biāo)準(zhǔn) 1U機箱，標(biāo)配 8個 10/100/1000BASET端口， 1個擴展插槽，并含 2個高速 ，可接移動存儲進行日志存儲，要求現(xiàn)場可驗證，標(biāo)配單電源，可擴展冗余電源 性 能 要求吞吐量 ，最大并發(fā)連接數(shù) 160萬，每秒新建 /秒， VPN隧道數(shù) 4000條 系統(tǒng)要求 要求具備自主研發(fā)的安全操作系統(tǒng)，并提供該安全 操作系統(tǒng)的軟件著作權(quán)， 無通用操作系統(tǒng)漏洞 。 要求支持雙系統(tǒng)引導(dǎo)，并可 WEB 界面上配置啟動順序， 要求除恢復(fù)系統(tǒng)之外，還可支持系統(tǒng)一鍵式切換及完整備份 6 要求支持虛擬系統(tǒng)技術(shù)， 每個虛擬系統(tǒng) vFW 具備獨立的管理權(quán)限、安全策略、等功能，互不干擾 訪問控制 基于狀態(tài)檢測的動態(tài)包過濾 支持同一主機源會話、目的會話的分別管理和限制，支持設(shè)定網(wǎng)段內(nèi)共享的或者任一地址的并發(fā)連接限制 支持應(yīng)用層訪問控制，包括 P2P軟件、 IM軟件、炒股軟件、網(wǎng)游軟件等 網(wǎng)絡(luò)適應(yīng)性 支持透明、路由、混合三種工作模式 支持靜態(tài) 路由，動態(tài)路由（ OSPF/v RIP/RIPng等）， VLAN間路由，單臂路由，組播路由等 ▲ 內(nèi)置 ISP地址列表，可輕松完成基于 ISP的策略路由（要求截圖） 服務(wù)器負(fù)載均衡支持輪詢、加權(quán)值、最小連接、源 /目的地址 Hash 等至少 8 種算法（要求截圖） 3G安全接入 支持 3G(CDMA2020)協(xié)議，支持用戶通過 3G提供上行網(wǎng)絡(luò)接入，要求截圖證明 WiFi接入 支持 ,，支持設(shè)備作為 WiFi熱點（即 AP），為客戶機提供無線安全接入服務(wù) IPv6/IPv4雙協(xié)議棧 支 持 IPv6地址、地址組配置，要求截圖證明； 支持持 IPv6 安全控制策略設(shè)置，能針對 IPV6 的目的 /源地址、目的 /源服務(wù)端口、服務(wù)、擴展頭屬性等條件進行安全訪問規(guī)則的設(shè)置，要求截圖證明。 支持 IPv6靜態(tài)路由，要求截圖證明 支持 IPv6/IPv4翻譯策略技術(shù)，包括支持靜態(tài) NATPT、動態(tài) NATPT、 NAPTPT 技術(shù)，要求截圖證明 支持雙棧、 6to4隧道實現(xiàn) IPv6網(wǎng)絡(luò)與 IPv4網(wǎng)絡(luò)訪問。 IPSec VPN 支持標(biāo)準(zhǔn) IPSec、 SSL、 GRE、 PPTP、 L2TP協(xié)議， IPSec VPN要求支持隧道熱備份技術(shù) (SSL VNP 功能模塊需要單獨購買 ) 支持多種認(rèn)證方式如：預(yù)共享密鑰、數(shù)字證書，基于動態(tài)令牌（ Token）的雙因子認(rèn)證 支持可視化 VPN配置，支持 VPN狀態(tài)監(jiān)控，包括資源狀態(tài)、在線用戶等 IPSec VPN客戶端支持 Microsoft Windows 2020/XP、 Vista、 Win7等操作系統(tǒng) 可擴展 SSL VPN 支持基于用戶、用戶組的訪問控制，用戶認(rèn)證要求支持 Radius、 LDAP、 Windows AD域等方式，并內(nèi)置動態(tài)令牌認(rèn)證服務(wù)器，支持基于動態(tài)令牌的 雙因子認(rèn)證 WEB網(wǎng)站過濾 至少有 50種分類庫， 1000萬級網(wǎng)址特征庫 （要求分類庫及數(shù)目截圖） ▲ 要求支持掛馬網(wǎng)站過濾，通過對訪問目標(biāo) URL過濾的方式，阻止對含木馬 /病毒網(wǎng)站、釣魚網(wǎng)站、僵尸網(wǎng)絡(luò)的訪問 抗攻擊能力 可識別和防御 syn flood、 Ping flood、 udp flood、 teardrop、 sweep、 landbase、 ping of death、 smurf、 winnuke、圣誕樹、碎片等多種攻擊 要求支持防護 ARP攻擊，通過發(fā)送頻率有效定位 ARP攻擊源，支持防護 CC 各種攻擊方 式 漏洞掃描 需支持漏洞掃描功能支持后門、服務(wù)探測、文件共享、系統(tǒng)補丁、 IE漏洞等主動式掃描 主動防御 要求掛馬網(wǎng)站過濾，支持通過對訪問目標(biāo) URL過濾的方式，阻止對含木馬 /病毒網(wǎng)站、釣魚網(wǎng)站、僵尸網(wǎng)絡(luò)的訪問 7 要求惡意地址主動屏蔽，以用于提前免疫包括病毒網(wǎng)站或者攻擊源地址的攻擊，要求提供基于主動識別技術(shù)的專利號 管理配置 支持友好 WEBUI/SSH/Tel 管理，支持?jǐn)?shù)字證書和電子鑰匙方式，支持 SNMP 管理，與當(dāng)前通用的網(wǎng)絡(luò)管理平臺兼容 可提供專用的軟件實現(xiàn)對防火墻接入用戶認(rèn)證的集中管理，至 少可同時管理 1000臺防火墻 支持用戶可配置的 WEBUI接口，提供多套皮膚設(shè)置 高可用性 支持鏈路備份、鏈路聚合功能，可以在用戶的多條網(wǎng)絡(luò)出口之間進行自動的切換； 既支持基于 VRRP 技術(shù)的熱備和負(fù)載均衡，也支持私有的雙機熱備協(xié)議，在 NAT、路由、透明模式下支持 AA,AS模式，且切換時間小于 1秒 產(chǎn)品資質(zhì) 具備公安部頒發(fā)的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》 具備中國信息安全產(chǎn)品認(rèn)證中心頒發(fā)的《中國強制產(chǎn)品認(rèn)證證書》簡稱 3C 證書 中國信息安全測評中心頒發(fā)的防火墻 EAL3證書 具備國家保密局涉密信息系統(tǒng)安全保密測評中心頒發(fā)的《涉密信息系統(tǒng)產(chǎn)品檢測證書》 ★ 要求所投產(chǎn)品提供 IPv6 Ready第二階段核心金牌認(rèn)證證書或相關(guān)證明文件 具備國家版權(quán)局頒發(fā)的《多核多線程 ASIC并行操作系統(tǒng)軟件著作權(quán)登記證書》和《防火墻操作系統(tǒng)軟件著作權(quán)》 具備信息產(chǎn)業(yè)部頒發(fā)的電信設(shè)備進網(wǎng)許可證 ▲ 權(quán)威組織認(rèn)證 要求加入微軟安全響應(yīng)中心（ Microsoft Security Response Center）發(fā)起的 MAPP（ Microsoft Active Protection Program）計劃，作為該計劃成員，可在微軟發(fā)布每月安全公告之前獲得微軟產(chǎn)品的詳細(xì)漏洞信息，為用戶提供更及時的安全防護。 要求加入云安全聯(lián)盟 CSA（ Cloud Security Alliance） , 作為該聯(lián)盟成員，可及時獲得病毒、木馬、釣魚網(wǎng)站、僵尸網(wǎng)絡(luò)等樣本信息，為用戶提供更及時的安全防護。 設(shè)備制造廠商應(yīng)具備自己發(fā)現(xiàn)主流操作系統(tǒng)或應(yīng)用系統(tǒng)新漏洞的能力，并提供兩個以上2020年以后發(fā)現(xiàn)的新漏洞及國內(nèi)外相關(guān)權(quán)威機構(gòu) (如：國家漏洞庫和 CVE)的證明。 附表 IDS 入侵檢測系統(tǒng)技術(shù)參數(shù)： 技術(shù)指標(biāo) 指標(biāo)要 求 產(chǎn)品架構(gòu) 產(chǎn)品由控制臺軟件和探測器兩部分組成，探測器使用專用的一體化硬件平臺 ▲ 探測器引擎的操作系統(tǒng)為 VSP通用安全平臺，具備高效、智能、安全、健壯、易擴展等特點 （提供相關(guān)證明材料） 探測器引擎采用高性能的 USE統(tǒng)一安全引擎 要求系統(tǒng)主機為 2U獨立式硬件架構(gòu)平臺 要求 IDS為專業(yè)的旁路檢測類產(chǎn)品，因此要求不得以 IPS旁路部署的方式提供，不能串接部署，即由廠商提供承諾函，承諾 IDS和 IPS非同一系統(tǒng)架構(gòu)，同時提供 IPS和 IDS的界面截圖，并加蓋公章。 ★ 基本配置 標(biāo)準(zhǔn) 2U機箱，雙冗余電 源；管理口： 1個 10/100/1000M BaseTX；監(jiān)聽口： 4個 SFP插槽，3個 10/100/1000M BaseTX； 最大檢測能力：不小于 1200Mbps 最大并發(fā) TCP會話數(shù)： 不小于 120萬 網(wǎng)絡(luò)適應(yīng)性 支持 IPv4/v6 雙協(xié)議棧網(wǎng)絡(luò)地址解析；支持針對 IPv4/v6 網(wǎng)絡(luò)中的數(shù)據(jù)包解析、支持IPv4/v6碎片重組等功能。 支持基于 IPv4/v6網(wǎng)絡(luò)的攻擊檢測。 8 攻擊檢測 綜合運用會話狀態(tài)檢測、應(yīng)用層協(xié)議完全解析、誤用檢測、異常檢測等多種檢測技術(shù)，并支持自定義協(xié)議和檢測事件 產(chǎn)品應(yīng)具有對 蠕蟲 病毒、蠕蟲、間諜軟件、木馬后門、刺探掃描、暴力破解、拒絕服務(wù)、緩沖區(qū)溢出、欺騙劫持、僵尸網(wǎng)絡(luò)、 SQL注入、 XSS、 Xpath、網(wǎng)頁木馬、釣魚網(wǎng)站、 Webshell、數(shù)據(jù)庫攻擊、網(wǎng)絡(luò)設(shè)備攻擊、 0day攻擊、可疑行為等常見攻擊具有高精度的檢測能力。 （提供界面截圖） 支持 IP碎片重組、 TCP流重組、引擎級的事件歸并、報警縮略再分析、規(guī)則閾值修改、多網(wǎng)段定義檢測等功能 超過 2800條的檢測規(guī)則，全面兼容 CVE、 BugTraq等國際標(biāo)準(zhǔn)漏洞庫 （ 提供界面截圖 ） 產(chǎn)品應(yīng)具有專業(yè)的 Web攻擊檢 測引擎，可對 SQL注入、 XSS及其各種語法變形、語義變形、編碼等環(huán)境進行精確檢測 可按源地址、目的地址、協(xié)議、事件類型、風(fēng)險級別、時間范圍、地址范圍等條件靈活定義安全策略，實現(xiàn)安全策略的動態(tài)調(diào)整 探測器提供本地日志緩存，避免因為控制臺與探測器斷開引擎的報警日志丟失 一臺探測器實體可基于監(jiān)聽網(wǎng)口虛擬成多個獨立的虛擬探測引擎 每個虛擬探測引擎可應(yīng)用不同的檢測和響應(yīng)策略 產(chǎn)品應(yīng)支持對網(wǎng)絡(luò)攻擊事件進行回歸檢測的能力，即對已生成的事件進行再次分析與統(tǒng)計，可根據(jù)統(tǒng)計結(jié)果進行報警，同時，系統(tǒng)應(yīng)支持自定 義統(tǒng)計閾值的圖形化配置接口 產(chǎn)品支持基于 IPMAC地址綁定的 ARP攻擊檢測功能 可對包括 HTTP、 SMTP、 POP TELNET、 FTP等多種應(yīng)用協(xié)議進行報文事后回放，實現(xiàn)對訪問行為或網(wǎng)絡(luò)使用情況的事后分析或取證 安全事件監(jiān)控 攻擊事件監(jiān)控功能要求顯示每一條事件的威脅程度、流行程度、事件名稱、源 IP、目的IP、發(fā)生時間、最近 24 小時發(fā)生次數(shù)、最近十分鐘發(fā)生次數(shù)、合并方式，實時事件顯示精確到秒。 系統(tǒng)支持事件優(yōu)化處理功能，可針對達到識別策略的事件進行優(yōu)化處理，包括對日志的處理和策略的處理。 系統(tǒng)支持事件過濾功能，并可基于事件名稱、風(fēng)險級別進行事件過濾，同時還支持基于引擎名稱進行事件過濾。（提供基于引擎進行事件過濾功能界面截圖） 系統(tǒng)支持重要消息提示功能，通過重要消息實時閃爍，進行報警提示。 智能威脅事件管理 產(chǎn)品可提供威脅事件的實時展示功能，可以將引擎檢測到的威脅事件在控制臺界面進行實時顯示，內(nèi)容包括：威脅